RODC - Read Only Domain Controller

RODC là gì

Read Only Domain Controler hay còn gọi là RODC, là một tính năng của Micorsoft window server, được Microsoft tích hợp vào kể từ bản window server 2008.

Các đặc tính chính của RODC :

• RODC đúng với tên gọi của nó là một read only domain, do đó nó không thể tự thêm dữ liệu vào mà chỉ có thể đọc được dự liệu từ một Primary Domain Controller (PDC) thông qua cơ chế Replication giữa các Domain Controller của Microsoft.
• RODC mặc định không lưu trữ dữ liệu người dùng nên nếu không có kết nối với PDC thì RODC không hoạt động được. Do đó, muốn RODC vẫn hoạt động thì chúng ta phải khai báo lưu trữ dữ liệu người dùng thông qua một policy riêng của RODC.

Chắc hẳn nhiều người sẽ tự hỏi tại sao lại cần đến RODC trong khi nếu mở rộng hoạt động của Domain, chúng ta có thể chỉ đơn giản là thêm vào một Additional Domain Controller (ADC) , vừa để mở rộng site , vừa có 1 giải pháp backup cho PDC . Nhưng khoan, hãy nhìn vào thực tế một chút. Lấy ví dụ như bạn đang có một công ty, trụ sở chính ở Hà Nội chẳng hạn, quy mô công ty cũng kha khá, do đó mọi trang thiết bị , hệ thống data đều hoàn hảo và có hẳn một đội ngũ để vận hành chúng. Đến một lúc, bạn có nhu cầu mở rộng hoạt động của công ty sang các vùng miền khác. Bạn sẽ bắt đầu có câu hỏi như việc sẽ xây dựng hệ thống hạ tầng ở nơi mới như thế nào ? Trường hợp bạn muốn rửa tiền, hoặc là kiểu biết trước tương lai - đầu tư chắc chắn thành công thì không nói làm gì. Nhưng với một người bình thường thì chắc chắn sẽ là một vấn đề khá đau đầu. Bạn không thể vung tiền xây dựng một hệ thống hoành tráng y chang như văn phòng chính trong những bước khởi đầu được. Đây chính là chỗ RODC thể hiện được vai trò của nó. RODC cũng giống như các domain controller khác, ngoại trừ cơ sở dữ liệu Active Directory không thể ghi trực tiếp. Việc đặt RODC tại văn phòng chi nhánh không khắc phục triệt để được vấn đề lưu lượng bản sao của Active Directory nhưng nó làm giảm được một phần tải trọng của các máy chủ đầu cầu vì chỉ có lưu lượng bản sao gửi đến là được cho phép.

RODC cũng có thể cải thiện được vấn đề bảo mật vì người tại văn phòng chi nhánh không thể thay đổi bất cứ thứ gì trong cơ sở dữ liệu Active Directory. Thêm vào đó, không có thông tin về tài khoản nào được tạo bản sao đến RODC (trừ khi chúng ta khai báo cho RODC lưu trữ chúng). Điều này có nghĩa rằng nếu ai đó đánh cắp một RODC thì người này cũng không thể sử dụng các thông tin mà họ lấy được từ nó. Như những gì bạn thấy, Read Only Domain Controller có vai trò rất quan trọng của nó, chứ không hẳn là một tính năng kiểu cho có (yaoming)

Triển khai RODC

Chuẩn bị : – 01 máy Windows Server 2016 đã triển khai làm Primary Domain Controller (PDC) - IP 192.168.1.2/24 – 01 máy Windows Server 2016 sẽ xây dựng thành Read Only Domain Controller (RODC) - IP 192.168.1.27/24

**Mô hình triển khai **

Thực tế là trước khi triển khai RODC phải đáp ứng được yêu cầu là RODC phải có connect đến PDC cho nên mình cứ cho là 2 site này đã thông với nhau ( bằng VPC hay gì gì đó tùy các bạn thiết lập nhá