我的组织已在多个海上平台上部署了2008 RODC。想法是将我们的岸上域扩展到我们的船上,以更好地控制安全策略。选择RODC的前提是它们将消耗较少的带宽。还存在安全问题,但这些问题是次要的。
海上互联网连接是通过非常昂贵的卫星链路提供的。速度范围从慢速到不存在。管理用户,计算机,组和权限更改以及GPO更新非常慢。
我开始相信我们已经针对RODC开发了隧道愿景,并且拥有可写的域控制器可能是更好的选择。我在考虑每艘船一个RWDC和一个RODC的冗余性。这是一个很小的用户群,但是拥有冗余至关重要。
这还有很多,但是我不能简单地总结一下。我很好奇,是否有人曾经测试过RODC和RWDC之间的带宽消耗差异?用RWDC代替RODC之一会大大增加带宽消耗吗?我将重定向RODC以从RWDC复制。这将意味着一个域控制器连接回岸。
事情现在就完成了,通常需要几分钟才能完成事情。让管理员登上RWDC上的船将使生活变得更好。担心的是RWDC chat不休。
那么,有人测试过差异吗?
Answers:
不,我从未测试过RODC和RWDC之间的带宽消耗差异,但是让我提供一些观察结果:
如果安全是您考虑中的“最不用担心”,并且网络连接至关重要,那么RODC可能实际上是一个糟糕的选择。
请记住,由于它是只读的,因此任何需要更新目录中数据的操作(包括帐户锁定,身份验证失败等)都只能通过重新定位可写域控制器并双向消耗带宽来实现(原始写入异地+在RODC上复制)。
每个船只/平台都有2个RWDC和一个专用站点,您可能会更好。
确保使用以下特征在离岸站点和岸上集线器之间配置站点链接:
RODC对于带有躲避性网络的偏远地区来说是一个TERRIBLE选项。
另外,不应将RODC部署在具有RWDC的站点中。
RODC占用较少带宽的唯一原因是没有复制出站更改(没有出站复制伙伴)。
您不能将RODC与AD用户和计算机或组策略管理控制台等应用程序一起使用RODC编辑/管理对象,它们需要连接到可写域控制器。毫不奇怪,这对您来说很慢,因为您需要通过慢速WAN链接连接到RWDC。