Общая информация

Read-Only режим контроллера домена предназначен для развертывания сервисов каталогов в небезопасных местоположениях. Например, в сети периметра, либо в филиалах, в которых нельзя обеспечить физическую безопасность контроллера домена. 

Для обеспечения безопасности RODC реализует следующие меры:

1. RODC не может инициировать репликацию. Если какая-либо операция требует записи в каталог, такой запрос перенаправляется контроллеру домена, доступному для записи.
2. RODC предоставляет возможность ограничить получение чувствительных учетных данных при репликации. Учетные записи, входящие в группу "DeniedRODCPasswordReplicationGroup", не будут реплицированы на контроллер домена для чтения. Это позволяет не размещать учетные данные административных УЗ в небезопасных местоположениях.

Топология репликации Read-Only контроллера домена отличается от обычных КД:

1. RODC не участвует в построении стандартной топологии. Вместо этого он выбирает ближайший доступный для записи КД и привязывается к нему для получения изменений при репликации.
2. RODC не может инициировать перестроение топологии при недоступности КД, который он использует для получения изменений. Вместо этого он использует обнаружение DNS-записей для переключения на ближайший доступный КД.

Настройка Read-Only контроллера домена

Чтобы создать RODC необходимо выполнить действия по одной из инструкций раздела: "4.2. Установка Avanpost DS на контроллер домена", но в команду ввода контроллера в репликацию необходимо добавить ключ "--readonly true".

/opt/avanpost/tools/cli/cli add-instance --host 192.168.1.12 --name ds02.avanpost.local --endpoint 192.168.1.11:48910 --user Administrator --password Avanp0st --readonly true