Моя организация развернула контроллеры домена только для чтения 2008 года на нескольких морских платформах. Идея заключалась в том, чтобы расширить наш прибрежный домен на наши корабли, чтобы лучше контролировать политику безопасности. Контроллеры RODC были выбраны с предположением, что они будут потреблять меньше полосы пропускания. Были и проблемы с безопасностью, но они были второстепенными.
Подключение к Интернету на море обеспечивается очень дорогой спутниковой связью. Скорости варьируются от медленных до несуществующих. Управление изменениями пользователей, компьютеров, групп и разрешений, а также обновлениями GPO мучительно медленное.
Я начинаю верить, что мы разработали туннельное видение в отношении контроллеров домена только для чтения и что наличие контроллера домена с возможностью записи может быть лучшей альтернативой. Я думаю, что один RWDC и один RODC на корабль для резервирования. Это небольшая пользовательская база, но очень важно иметь избыточность.
Это еще не все, но я не могу подвести краткий итог. Мне любопытно, проверял ли кто-нибудь разницу в потреблении полосы пропускания между RODC и RWDC? Может ли замена одного из контроллеров домена только для чтения на RWDC значительно увеличить потребление полосы пропускания? Я бы перенаправил RODC для репликации с RWDC. Это будет означать, что один контроллер домена подключается к берегу.
Сейчас дела обстоят так, что на то, что обычно занимает минуты, могут уйти часы. Наличие администраторов на борту кораблей, работающих над RWDC, сделало бы жизнь намного лучше. Есть опасения, что болтовня RWDC заполнит трубу.
Итак, кто-нибудь когда-нибудь проверял разницу?
Нет, я никогда не проверял разницу в потреблении полосы пропускания между RODC и RWDC, но тем не менее позвольте мне предложить некоторые наблюдения:
Если безопасность является для вас «наименьшей проблемой», а сетевое соединение имеет первостепенное значение, RODC может оказаться действительно плохим выбором.
Помните это, поскольку это только чтение, любая операция, которая требует обновления данных в каталоге (включая блокировку учетных записей, сбои аутентификации и т. д.), будет успешной только при перенаправлении на доступный для записи контроллере домена и двунаправленном использовании полосы пропускания (исходное списание + репликация на RODC).
Вероятно, вам будет лучше с двумя RWDC и выделенным сайтом на судно / платформу.
Обязательно настройте Site Link между оффшорными сайтами и наземным узлом со следующими характеристиками:
RODC - УЖАСНЫЙ вариант для удаленных местоположений с изворотливой сетью.
Кроме того, RODC НЕ следует развертывать на сайте, на котором есть RWDC.
Единственная причина, по которой RODC будет использовать меньшую полосу пропускания, заключается в том, что исходящие изменения не будут реплицироваться (нет исходящих партнеров по репликации).
Вы не можете редактировать / управлять объектами с помощью RODC с такими приложениями, как AD Users and Computers или Group Policy Management Console, им необходимо подключиться к контроллеру домена с возможностью записи. Неудивительно, что это медленно для вас, потому что вам нужно подключиться к RWDC по медленному каналу WAN.