Я работаю в школьном округе, где насчитывается около 30 школьных участков. Установка Windows 2008 A / D - все централизованно в районном офисе. В A / D все находится под одним сайтом, и подсети не определены. Один лес A / D и только один домен под ним.
Сейчас мы планируем поставить RODC в школах, чтобы сделать аутентификацию и DNS ближе к ним.
Я не работал с сайтами и подсетями A / D и лишь немного работал с репликацией паролей RODC. Но только что получил приглашение на встречу, чтобы поговорить об этом завтра ...
Если мы начнем разбивать части A / D на сайты / подсети, можем ли мы также использовать это как способ помочь применить политику репликации паролей RODC таким образом, чтобы они соответствовали друг другу, так что только пароли пользователей каждого школьного сайта реплицируются / кэшируются на их RODC?
Сайты AD и политики репликации паролей на контроллерах домена только для чтения не имеют ничего общего. Сайты AD определяют границы репликации. С другой стороны, PRP определяет, чьи пароли реплицируются на контроллер домена только для чтения. Последнее основано на членстве пользователя. Если вы устанавливаете RODC в каждой школе, вам обязательно нужно создать соответствующий сайт / подсеть AD. Проще говоря: сайты / подсети AD помогают клиентам найти ближайшие контроллеры домена, независимо от того, являются ли они RODC или RWDC.
Да. Именно для этого и предназначен RODC. Вы размещаете его в местах, которые имеют медленный восходящий канал к PDC. Вы также должны определить учетные записи пользователей, пароли которых реплицируются на контроллеры домена только для чтения.