Mejore la eficiencia de la administración de la red con los controladores de dominio de solo lectura

Comenzando con el sistema operativo Windows 2000, Active Directory se ha convertido en el estándar en la administración de la red del sistema operativo Windows, incluido el proceso de inicio de sesión, la autenticación, el sistema de nombres de dominio y otras funciones de dominio. Todas las actividades de la red son controladas por ellos. La aparición de los controladores y la replicación de múltiples maestros ha hecho que el objetivo de la integración de la gestión de la red global sea un gran paso más cerca.

En el sistema operativo Windows Server 2008, la función Active Directory se ha mejorado y el controlador de dominio de solo lectura es una de estas mejoras. Esta función permite una verificación más rápida de la información de Active Directory de la oficina remota y asegura un acceso más rápido a los recursos, al mismo tiempo que no afecta la seguridad del servidor y los terminales remotos. Para ello, proporciona una copia de solo lectura de la mayoría de la información de Active Directory para controladores de dominio de Windows Server 2008 en terminales remotos.

Mejoras de seguridad al iniciar sesión en

La información de autenticación del usuario, incluido el nombre de cuenta y la contraseña, no se puede copiar en un servidor de controlador de dominio de solo lectura. De esta manera, la pérdida causada por el momento en que se compromete el servidor puede controlarse sin afectar el uso de nombres de usuario y contraseñas en toda la base de datos de Active Directory. Cuando el usuario solicita la autenticación, la consulta de información se realizará en el controlador de dominio de solo lectura local en lugar de copiar el certificado de autorización. Si no se encuentra información en la copia local de la base de datos de Active Directory, la solicitud se enviará a otro controlador de dominio en la red para confirmar los permisos del usuario. Una vez que el usuario se autentica, la información se puede guardar localmente. Cuando el usuario vuelve a iniciar sesión, se puede utilizar la copia en caché del certificado de autorización, lo que aumenta la velocidad de inicio de sesión.

Cuando el certificado de autorización ha cambiado — por ejemplo, cuando la contraseña del usuario ha caducado — el controlador de dominio de solo lectura analizará el inicio de sesión, la contraseña no puede coincidir con la contraseña en el caché, luego se reenviará la solicitud Ir a otro controlador de dominio. En este caso, cuando se pierde la contraseña del usuario, se reducirá el daño al propio servidor.

El sistema de nombres de dominio se vuelve más seguro

Otra ventaja de los controladores de dominio de solo lectura es que el sistema de nombres de dominio replicado también es de solo lectura. Toda la información del sistema de nombres de dominio en Active Directory se copia al controlador de dominio de solo lectura, pero el sistema de nombres de dominio replicado no se actualiza, y el registro o las actualizaciones deben realizarse en otro controlador de dominio. Estas actualizaciones se replican en el controlador de dominio de solo lectura. La solución de consulta y denominación se ejecuta de la misma manera que lo habitual, y ejecutar la copia del Sistema de nombres de dominio localmente puede mejorar la experiencia del usuario. La información de la caché para el Sistema de nombres de dominio también se replicará en el controlador de dominio de solo lectura.

Esta configuración puede mejorar el rendimiento general de la red y mejorar el rendimiento de los terminales de oficinas remotas que utilizan Active Directory. Sin embargo, hay algunos aspectos que debe tener en cuenta al configurar esta vez:

· Windows Server 2008 El primer controlador de dominio en el sistema operativo no puede convertirse en un controlador de dominio de solo lectura en un entorno de Active Directory existente. En el sistema operativo Windows Server 2008, primero debe instalar un controlador de dominio completamente funcional para replicar el controlador de dominio de solo lectura.

· Antes de instalar el primer controlador de dominio de solo lectura, debe ejecutar las herramientas de preparación de Active Directory adprep y rodcprep para asegurarse de que la instalación del controlador de dominio de solo lectura tenga licencia.

· En cualquier caso, un controlador de dominio de solo lectura no puede ser un servidor de catálogo global, ni puede asumir un rol para las operaciones de host en un entorno de directorio.

La razón principal por la que introduje el controlador de dominio de solo lectura en este artículo es para proporcionar una manera de mejorar el trabajo a distancia en el contexto de un entorno de controlador de dominio donde existen terminales de oficinas remotas, mientras se mantiene la seguridad. La eficiencia Al acercarse la fecha de lanzamiento del sistema operativo Windows Server 2008, los controladores de dominio de solo lectura pueden proporcionar una gran ayuda para un entorno de red descentralizado.