RODC é um novo modelo de DC no Server 2008.
Obs: Para que ele funcione com mais segurança, se possível, configure o nível funcional da sua floresta para Windows 2008. Por que? - Porque se um RODC for "comprometido" o RWDC 2008 não replicará valores, mas o RWDC 2003 sim.
Para quais situações o RODC será útil?
O RODC foi desenvolvido para ser usado em escritórios remotos, onde há poucos usuários, menos que 100 por exemplo, e que não disponha de uma boa segurança física para o servidor. Pode ser usado também em casos onde o link WAN é lento e não haja um Administrador no local.
A grande sacada deste novo modelo é armazenar uma cópia Read-Only do Database, mas com várias funcionalidades. Vamos listar as principais:
- Database read-only do AD: Quando um aplicativo precisa apenas fazer uma consulta, ele pode acessar o RODC, entretando se alguma alteração for necessária o RODC indicará o RWDC (Read Writable DC). Depois que o RWDC fizer a alteração, ele replica esta nova informação para o RODC, pois caso a aplicação precise fazer uma nova consulta, a informação estará atualizada.
- Replicação Unidirecional: Apenas o RODC recebe informações, ele não envia. Lembre-se que qualquer alteração deve ser feita por um RWDC.
- RODC Filtered Attribute Set: Algumas aplicações usam o ADDS para armazenar dados como senhas, credenciais, chaves, etc. Nestes casos você consegue setar atributos no Schema para que estes objetos não sejam replicados para o RODC.
- Cache Limitado de Credenciais: Um RODC não armazena credenciais de users e computers, a não ser é claro da conta de computador do próprio RODC. Se o RODC recebe uma solicitação de autenticação, o RODC encaminha para o RWDC. Após isto o RODC solicita ao RWDC uma cópia das credenciais para atender futuras requisições. Se a diretiva de replicação permitir cache de credenciais, o RODC as armazena em cache e futuras solicitações de autenticações serão atendidas pelo RODC (até é claro houver uma alteração nas credenciais). Obs: Se o cache de credenciais não for permitido, qq solicitação de autenticação será encaminhada ao RWDC, provavelmente através de um link WAN, e se este link estiver fora os users não conseguirão autenticar-se.
- Separação das capacidades do ADM: O RODC pode atribuir o privilégio de administrador a um usuário sem permitir qualquer outro privilégio (permissão) no DC/Domínio.
- Read-only DNS: Mesmo esquema do "Database Read-only" explicado acima. O RODC DNS não permite qq alteração, ele apenas responde a requisições de leitura/consulta.
Abs,
Até o próximo post.
Nenhum comentário:
Postar um comentário