, intorduction, i den tidligere artikel i denne serie, vi begyndte at revidere nogle af de vigtigste ressourcer på read - only domænecontrollere (rodcs) arbejde, hvorfor de er nyttige, og hvordan de kan udnyttes.rodcs kan give lidt ekstra sikkerhed for deres aktive adresseregister miljø, især hvis din virksomhed har afsidesliggende filialer, hvor den fysiske sikkerhed er ikke op på samme niveau som i deres centrale kontor på stedet.jeg sagde så, at når du har downloadet og læse alle de rodc dokumentation, at microsoft har fremlagt, du kan stadig komme over et par spørgsmål eller scenarier, ikke er omfattet af disse varer, eller i det mindste er ikke dækket meget af dem.vi så på to vigtige aspekter i forbindelse med rodcs:,,, rodcs og deres forenelighed med din branche ansøgninger, rodcs skal kunne kommunikere direkte med område registeransvarlige, der pdc emulator rolle, i denne artikel, vil vi undersøge et par ting, du skal være klar over, når har du planer om at rodcs i deres miljø,.,, sharepoint på rodcs,, rodc anvendelse forenelighed vejledning angiver, at vinduer sharepoint tjenesteydelser er forenelig med rodcs, men så er det ved at sige, at det ikke kan fungere ordentligt, hvis det er direkte monteret på en rodc.en af mine kolleger tog et nærmere kig på dette som en af hans kunder, insisterede på at indsætte sharepoint server 2010 i dmz segment af deres net.den klient ville enten at installere sharepoint direkte på rodc i den demilitariserede zone, hvis det er muligt, eller i det mindste monteret på en server i dmz.den rodc selvfølgelig var det eneste område, tilsynsførende i deres dmz.,, for det første, det ville ikke være muligt at anvende sharepoint i dmz.det er, fordi sharepoint 2010 anlæg proces skal være i stand til at skrive til aktive adresseregister for at få en vellykket afslutning på anlægget.dette er beskrevet i artikel spor eller blokere sharepoint server 2010 anlæg i technet bibliotek.så lige ud, ser det ud som om, det er umuligt.selvfølgelig, du kunne prøve midlertidigt at indføre en sikker område registeransvarlige i den demilitariserede zone for at afslutte sharepoint anlæg og derefter fjerne sikker område registeransvarlige endnu en fælde er færdig, så kun rodc.virker det?,, før vi besvare dette, lad os først se på spørgsmålet om, hvad der sker, når du installere sharepoint på en rodc.bill baer, senior manager for sharepoint produkt på microsoft har en post på hans blog med titlen sharepoint og læser kun domænecontrollere (rodc), der indeholder en detaljeret beskrivelse af nogle af de begrænsninger, der opstår, når du installere sharepoint på en rodc.vi springer lige til bill 's konklusion, hvor han siger følgende:,,, "i de fleste tilfælde en organisation bør ikke oplever de spørgsmål, der er nævnt ovenfor, som rodc gennemførelse bør omfatte skrivbare partner replikation servere.i ekstranet og området net scenarier, forfatter operationer vil mislykkes, rodc er ikke en kandidat i sådanne situationer, men hvor konnektivitet mellem og rodc og en partner replikation - serveren, skrive operation vil vende tilbage en henvisning til fornyet udvalgsbehandling, skrivbare område registeransvarlige – hvis forbindelser til en skrivbare område registeransvarlige ikke er til rådighed, så skriv operationer ikke, uanset om anvendelsen bruger ldap eller adsi.,,, så er det bedste praksis er her ikke at anvende sharepoint i dmz, hvor kun rodcs er til stede, og ingen sikker domænecontrollere.men hvis du er kun planer om at sharepoint for at være vært for et eksternt over for websted, så ikke skrive tilbage til rodc er nødvendige, så det er nok okay at gennemføre noget sådant.,, konfigureringen kodeord caching på rodcs, da du først indsætte en rodc i din aktive adresseregister miljø, du er nødt til at få det kodeord replikation politik om skrivbare område registeransvarlige, der vil være replikationen partner for rodc.denne politik fungerer som en adgangskontrol liste, der afgør, om den rodc bør cache passwords for bruger - og edb - regnskaber i active directory.de skridt, for konfigureringen af de kodeord replikation politik for en rodc er forklaret i denne artikel i technet bibliotek.,, en stor del af de problemer, virksomheder ofte erfaring med rodcs resultat fra korrekt konfigureret kodeord replikation politikker for deres rodcs.for eksempel, et selskab, jeg ved, der er rodcs på flere afsidesliggende filialer for bedre sikkerhed.så på grund af hardwaresammenbrud wan forbindelse gik ned i mere end en uge mellem selskabets hovedkontor og en af deres afsides lokaliteter, og efter et par dage flere brugere på ernstedet ikke længere kunne få adgang til alle de lokale ressourcer på deres eget område, fordi de rodc ikke længere ville bekræfte dem.brugerne på ernstedet blev frustreret, bestyreren klagede, og den person er sur på microsoft for udformningen af rodcs så dårligt!og, selvfølgelig, det virkelige problem var, at den person, ikke havde foretaget en korrekt konfigureret kodeordet replikation, politik for rodcs på fjerntliggende steder.kodeordet replikation politik for en rodc omfatter en indbygget sikkerhed gruppe ved navn lov rodc kodeord replikation gruppe, der som standard tilskud til medlemmer af denne gruppe, evnen til at cache passwords for rodc i området, hvor rodc er bosat.men det er ikke nok bare at tilføje brugerkonti af brugere på ernstedet til denne gruppe.du bør også tilføje de edb - regnskaber for computere på ernstedet til denne gruppe.som det hedder i bilag a til rodc planlægning og anvendelse af vejledning om technet:,,, "forsigtighed: for at bekræfte en anmodning om en rodc logon lokalt, både brugerne og edb - mandater skal være skjult lokalt.hvis brugeren ’ s kreditiver er skjult, men computeren papirer ikke er skjult, rodc ikke kan yde en service billet til brugeren til at logge på computeren.hvis et netværk udfald forhindrer rodc i at kontakte en sikker område registeransvarlige løber windows server - 2008 eller senere, rodc ikke vil være i stand til at levere en tjeneste billet til edb - regnskab, og brugeren login vil fejle. ", er det også vigtigt at indse, at bare fordi du har angivet en liste over bruger - og edb - konti, som har lov til at være skjult af rodc betyder ikke, at de kodeord for disse konti har faktisk været skjult.rundt om dette spørgsmål, er at forsyne logon manuelt forud for brugeren og edb - regnskaber prøvelse, at du har brug for rodc kunne godkendelse.proceduren for at gøre dette er beskrevet i afsnittet med titlen "prepopulating kodeordet depot for en rodc" på denne side i technet bibliotek.være sikker på også at læse beskeden sidst i dette afsnit vedrørende latenstiden mellem rodc og sikker område registeransvarlige efter prp - tilladelse ændringer er gennemført, er der en række andre spørgsmål vedrørende rodcs, som jeg har hørt fra området, men vi vil udsætte behandlingen af disse til senere i denne serie, har. spørgsmål om active directory?,, hvis du har spørgsmål om anvendelse af read - only domænecontrollere, det bedste sted at bede dem er active directory domain services forum om technet.hvis du ikke får hjælp, du har brug for det, kan du prøve at sende deres spørgsmål til [email protected], så vi kan offentliggøre det i spørge vores læsere, del af vores nyhedsbrev og se, om nogen af de næsten 100.000 det pro abonnenter på vores nyhedsbrev har nogen forslag om dit problem.
active directory indsigt (del 4)
Next Page:active directory indsigt (del 3)