none
RODC和AD LDS RRS feed

  • 问题

  • 你好,我想了解下RODC和AD LDS的区别。

    如果在外网部署一台目录服务器,供公网的应用系统做身份验证,那么这种情况下该部署RODC还是AD LDS?

    2016年7月12日 6:23

答案

  • 您好!

    AD LDS 提供的许多功能都与 AD DS 相同(实际上是构建在相同的代码基础上),但 AD LDS 无需部署域或域控制器。AD LDS 的实例是 AD LDS 的单一运行副本。可以在一台计算机上同时运行 AD LDS 的多个实例,每个 AD LDS 实例或配置集都有一个独立管理的架构。成员服务器、域控制器和独立服务器都可以配置为运行 AD LDS 服务器角色。

    主要区别在于,它不存储 Windows 安全主体。Windows 无法对存储在 AD LDS 中的用户进行身份验证或者无法使用其 ACL 中的 AD LDS 用户。此外,AD LDS 还不支持域和林、组策略或者全局编录。

    Active Directory 轻型目录服务角色

    https://technet.microsoft.com/zh-cn/library/cc755080(v=ws.10).aspx

    RODC主要用来在分支机构中部署,只读域控制器服务与AD DS域服务相同,同样以服务的方式存在,但是AD数据库只能读取不能写入(AD数据库是AD DS域服务数据库的副本)。

    通常情况下,物理安全性不足是考虑部署 RODC 的最常见原因。RODC 提供了一种在要求快速、可靠的身份验证服务但不能确保可写域控制器的物理安全性的位置中更安全地部署域控制器的方法。 

    如果您想为部署在公网的应用做身份验证,那么我建议您搭建一台AD LDS 服务器,因为它专门为启用目录的应用程序提供目录服务。

    Best Regards,

    Alvin Wang


    Please remember to mark the replies as answers if they help and un-mark them if they provide no help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    • 已标记为答案 Rachelii 2016年7月12日 9:52
    2016年7月12日 7:13
    版主