在缺乏物理安全性时，提高对数据安全性的关注就变得很重要。Windows Server 2008 和 R2 提供了一些新方法来实现这一点，这些方法似乎就是专门为物理安全性不严格的远程办公室这样的环境量身定制的。只读域控制器 (RODC) 是 Windows Server 系统中 Active Directory 域服务 (AD DS) 的一项新功能。只读域控制器体现了对通常使用域控制器 (DC) 的方式的根本改变。

因为 RODC 的许多新功能会影响设计和部署过程的关键方面，所以了解如何在您的企业中利用这些功能十分重要。在将这些功能引入到您的环境中之前，还有一些必须考虑的关键性设计和规划注意事项。RODC 是这样一种 DC，它承载 Active Directory 数据库分区的完整只读副本、SYSVOL 的只读副本，以及对来自可写 DC 的某些应用程序数据的入站复制进行限制的筛选属性集 (FAS)。

默认情况下，RODC 不会有选择地存储用户和计算机帐户凭据，但是您可以将其配置为进行选择性存储。这通常只会保证在远程分支机构中或在数据中心 Intranet 中通常缺少物理安全性的外围网络中使用 RODC。RODC 还提供其他不太知名的安全功能，例如专门的 Kerberos RODC 票证授予帐户，用于应对与遭到破坏的 RODC 本身相关联的基于票证的攻击。

虽然关注安全性是部署 RODC 的最常见原因，但是 RODC 也提供了许多其他优点，例如企业可管理性和可伸缩性。一般而言，RODC 用于需要本地身份验证和授权，但缺乏安全地使用可写 DC 的物理安全性这样的环境。因此，RODC 在数据中心外围网络或分支机构位置中最常见。

需要 AD DS 的数据中心就是有效利用 RODC 的一个典范，但是由于安全约束而无法在外围网络中利用公司的 AD DS 林。在这种情况下，RODC 可能满足相关的安全要求，因此改变了公司实现 AD DS 的基础结构范围。此类情形将可能变得更常见。这也反应了外围网络的当前最佳实践 AD DS 模型，例如扩展的公司林模型。

使用 RODC 建立分支机构

使用 AD DS 的 RODC 的最常见环境仍然是分支机构。这类环境通常是中心辐射型网络拓扑中的端点。它们通常分布于广泛的地理位置中，而且数量巨大，分别承载少量用户群，通过速度较慢且不可靠的网络链路连接到中心站点，并且常常缺乏经验丰富的本地管理员。

对于已经承载可写 DC 的分支机构，可能不需要部署 RODC。但是在这种情况下，RODC 不但可满足现有的 AD DS 相关要求，而且超出其关于提高安全性、增强管理、简化体系结构和降低总体拥有成本 (TCO) 的要求。对于由于安全性或可管理性要求而禁止使用 DC 的位置，RODC 可帮助您将 DC 引入环境中，并提供大量有益的本地化服务。

虽然新功能和优点使得评估 RODC 备受瞩目，但是还有其他因素需要考虑，例如应用程序兼容性问题和服务影响情况。这些因素可能致使某些环境不可接受 RODC 部署。

例如，由于许多支持目录的应用程序和服务从 AD DS 读取数据，它们应继续运行和使用 RODC。但是，如果某些应用程序在所有时间都需要可写权限，则可能无法接受 RODC。RODC 对可写 DC 的写操作还取决于网络连接。虽然写操作失败可能是最常见的与应用程序相关的问题所导致，但是还要考虑其他问题，例如读取操作效率低下或失败，写入-读取-返回操作失败，以及与 RODC 本身相关联的一般应用程序故障。

除了应用程序问题，与可写 DC 的连接中断或丢失时也可能影响基本的用户和计算机操作。例如，如果帐户密码不可缓存，也未在本地 RODC 上缓存，则基本身份验证服务可能会失败。通过 RODC 的密码复制策略 (PRP) 使帐户可进行缓存，然后通过预填充来缓存密码，您可以消除解决此问题。执行这些步骤也需要连接到可写 DC。

当无法连接到可写 DC 时，密码过期和帐户锁定与其他身份验证问题均会受到明显影响。在恢复与可写 DC 之间的连接之前，密码更改请求和任何对锁定帐户进行手动解锁的尝试都将失败。了解这些依赖关系和操作行为的后续变化，对确保满足您的要求和任何服务级别协议 (SLA) 极为关键。

在几种一般情况下，您可以部署 RODC。在当前不存在 DC 的位置，或者当前承载的 DC 将被更换或升级到更新版本 Windows 的位置，RODC 十分有用。虽然针对每种情况都有特定的综合性规划考虑，但是我们在此重点讨论非特定方法。但是，这些方法是针对 RODC 的截然不同的方法，而不是针对传统可写 DC 的。