Увод
У систему Виндовс Сервер 2008, Мицрософт је одлучио да врати функцију коју нисмо видели од Виндовс НТ-а: то је технологија контролера домена само за читање. У овом ћу чланку говорити о технологији само за читање домена и њеним предностима. Већ сам једном споменуо ову технологију у својим чланцима, на пример, у чланку о коришћењу услужног програма адпреп у оперативном систему Виндовс 2008.
Добар пример цикличке природе развоја ИТ технологије је нова функција Виндовс Сервер 2008 која се зове „Реад Онли Домаин Цонтроллер“ или РОДЦ. Уосталом, ова се технологија први пут појавила давно, али у последњих 10 година практично се није користила.
Виндовс НТ је био први сервер компаније Мицрософт. Као и модерни Виндовс Сервер оперативни системи, Виндовс НТ у потпуности подржава домену технологију. Једна од разлика била је чињеница да у сваком домену може да се пише само један контролер домена. Овај контролер домена, назван примарни контролер домена или ПДЦ, био је једини контролер домена у који је администратор могао да изврши промене. Тада је примарни контролер домена гурнуо ажурирања на остале контролере домена у домену. Ови контролери домена названи су резервни контролери домена (БДЦ), а информације о њима ажуриране су само када је ажуриран главни контролер домена, а за домене клијенте су само за читање.
Иако је овај доменски модел био у потпуности оперативан, имао је и значајне недостатке. Конкретно, проблеми са главним контролером домена могли би парализовати читав домен. Као што знате, Мицрософт је увео значајне промене у моделу домена које су имплементирали у свом новом оперативном систему сервера, Виндовс 2000 Сервер. Виндовс 2000 Сервер је представио две нове технологије за контроле домена, а обе ове иновације се и данас користе: Ацтиве Дирецтори и модел са неколико главних контролера (мулти мастер модел).
И премда је улога ПДЦ-а и даље остала, остатак контролера домена у мулти-мастер конфигурацији био је записљив. То значи да администратор може извршити промене на било којем регулатору домена, а ове промене у облику ажурирања ће се на крају дистрибуирати на све остале контролере домена у мрежи.
Тада је мулти-мастер модел снимљен и у Виндовс Сервер 2003 и у Виндовс Сервер 2008. Међутим, у Виндовс Сервер 2008 постало је могуће креирати само контроле за читање домена. РОДЦ је контролер домена у коме се информације не могу директно мењати чак ни администратори. Једини начин за ажурирање ових контролера домена је примена промена на ПДЦ, а затим се те промене морају ширити (реплицирати) у РОДЦ. Не подсећа на ништа?
Као што видите, РОДЦ-и нису ништа друго до реликт времена Виндовс НТ-а. Наравно, Мицрософт не би вратио РОДЦ технологију ако не види значајне предности у њиховој примени..
Пре него што објасним зашто се Мицрософт одлучио вратити на РОДЦ, дозволите ми да објасним зашто коришћење РОДЦ-а није предуслов за рад са доменима Ацтиве Дирецтори-а у 2008 Серверу. Ако желите да сваки контролер домена у вашој шуми буде записан, то сигурно можете учинити.
Желим укратко да напоменем да иако су РОДЦ-ови веома слични НТ бацкуп контролерима домена (БДЦ), они су претрпели низ промена. Постоји неколико ствари које су нове у РОДЦ технологији и желим да разговарам о њима.
Па зашто је Мицрософт одлучио да врати РОДЦ? То је због проблема који подржавају мрежу подружница (одељења и подружнице). Пословнице су традиционално прилично тешке за одржавање и одржавање због њихове удаљености и комуникацијских карактеристика између седишта и филијале.
Традиционално је коришћено неколико различитих метода управљања гранама, али свака од њих имала је своје предности и мане. Један од најчешћих начина организовања филијалне мреже је инсталирање свих сервера у седишту и пружање приступа њима корисницима подружнице путем глобалне мреже (ВАН).
Наравно, најочитији недостатак ове методе је да ако је ВАН канал нестабилан или је отпао, корисници који су у огранку нису у могућности нормално радити, јер потпуно су одсечени од свих ресурса централне канцеларије. Чак и ако је мрежна веза са сједиштем стабилна, перформансе ВАН везе често могу бити ниске због оптерећења на каналу или директно брзине везе
Друга уобичајена опција при раду са удаљеним огранцима је приступ који укључује инсталирање најмање једног контролера домена у грани. Овај контролер домена често делује и као ДНС сервер и глобални сервер каталога. Дакле, чак и ако је ВАН веза искључена, онда корисници у огранку, бар имају прилику да уђу у мрежу. У зависности од природе рада организације, у подружници се могу инсталирати и други сервери.
Иако ово решење по правилу делује прилично добро и има неколико недостатака. Главни недостатак су трошкови. Хостинг сервери у филијалама захтевају од предузећа да улаже у хардверске и софтверске лиценце сервера. Знатно порасли трошкови подршке. Организација мора да утврди да ли је огранку потребан кадар сопствених ИТ стручњака или је у случају проблема спремна да сачека док ИТ особље из централне канцеларије стигне до подружнице.
Друга нијанса приликом инсталирања сопствених сервера у огранку је безбедносни проблем. По мом искуству, чести су случајеви у којима сервери смештени изван централног центра за податке остају неугледни без надзора. Често се сервери једноставно закључају у ормарићу са кључем!
Као што сам раније напоменуо, ВАН везе су често спора и непоуздана. Ово је још један проблем са локацијом сервера у огранку. Промет репликације домена може значајно учитати такву везу
Управо то је случај када можете користити РОДЦ. Постављање РОДЦ-а у грану не елиминише у потпуности промет репликације Ацтиве Дирецтори-а, али значајно смањује оптерећење на серверу Бридгехеад-а, јер примају само улазни промет реплике.
РОДЦ-ови такође могу помоћи побољшању сигурности, јер особље у подружници неће моћи да унесе измене у базу података Ацтиве Дирецтори. Поред тога, РОДЦ се не преносе никакве информације о свим корисницима домена и њиховим рачунима. То значи да ако је неко украо РОДЦ сервер, неће моћи да користи информације добијене као резултат пробијања корисничких лозинки.
У наредним чланцима из ове серије расправљаћемо се о процесу планирања и примене контролера домена само за читање..
Везе до свих чланака из ове серије:
Рад са контролерима домена само за читање (РОДЦ) (1. део)
Рад са контролером домена само за читање (2. део)
Рад са контролором домена само за читање (део 3)
