Está en la página 1de 11

Se trata de un nuevo tipo de Controlador de

Dominio

No puede escribir en su base de datos fruto de


peticiones externas
No se le permite tener replicacin de salida.
La replicacin de claves de usuarios es controlada y
monitorizada por cada RODC.
Reenva o difiere las escrituras solicitadas a DC de
escritura.

3
Reduce la exposicin de informacion crtica
contenida en el directorio a sites no
seguros.
Reduce el vector de ataque en sites no
seguros.
Reduce costes de administracin en
topologas de oficinas remotas

4
Se trata de un tipo de role diseado y concebido
para topologas de Directorio Activo de oficinas
remotas.
Tambin se est utilizando para dar servicio de
Directorio en DMZs e incluso directamente en
Internet.

5
RODC Dcpromo en dos fases
PRP (Poltica de Replicacin de Claves)
Separacin Criptogrfica
Mecanismo de cacheo de claves
Conjunto de Atributos Filtrados (FAS)
Protocolos que permiten referencia a otro servidor
(DNS LDAP)
Separacin de Roles Administrativos (ARS)
Comportamiento de KCC (BHLB)
FRS / DFSR de solo lectura.

6
DC de escritura DC de solo lectura Comportamiento nuevo
Autenticacin Todos Solo cuentas con credenciales Reenviara a DC de escritura. Provocara el
Kerberos/NTLM cacheadas. intento del cache del la clave del usuario

LDAP Lectura/ Escritura Lectura Reenviara las escrituras a un DC de escritura.


(Depende de la aplicacin)
Catalogo Global Si Si
Conjunto de Atributos No Si Los atributos marcados como FAS no sern
Filtrados (FAS) replicados a los RODC.

DNS Bsquedas y Bsquedas las actualizaciones sern redirigidas a un DC


actualizaciones de escritura utilizando extensiones del
protocolo DNS.
Llamadas RPC (NetR, APIs de lectura API de lectura APIs de escritura fallarn con error
SAMR, LSASRPC, NSPI APIs de escritura (Algunas funciones RPC sern 0xc00000bb STATUS_NOT_SUPPORTED
RPC) encadenas a un DC de escritura (Depender de la aplicacin el soporte control
necesarias para mantener de este error.)
compatibilidad.)
FSMO Roles Todos Ninguno
Cabeza de puente Si No
Replicacin De entrada/ de salida De entrada KCC no contempla a los RODC para generar
(AD & FRS) la topologa. No genera conectores de salida.

Separacin de roles No Si Ciertos usuarios sern Administradores de


administrativos equipo sin ser administradores del dominio.
(ARS)
Funcionalidad de para Si SI Cesa el uso del NTDS.dit para permitir tareas
NTDS de mantenimiento y administracin .

Core Server Si Si Interesante en entornos donde el DC estar en


oficinas remotas.

7
Un DC Windows Server 2008.
RODC solo replicaran desde DCs2008.

Extender el esquema
domainprep
forestprep
rodcprep

Esta soportado tener RODC en entornos


mixtos 2k3 / 2k8

8
Disponible en todas las versiones que soporten
se controladores de dominio.

9
demo
2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.
The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market
conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation.
MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

También podría gustarte