Пакет совместимости для Windows Server 2003 и Windows XP, исправляющий проблемы при работе с контроллером домена только для чтения - Read Only Domain Controller (RODC)
Рано или поздно это произойдет. Вы задумаетесь о том, чтобы повысить безопасность контроллеров домена установленных в филиалах. Постепенно дело дойдет до внедрения в филиальной инфраструктуре контроллеров домена только для чтения (RODC). Маловероятно что под этот проект, вы разрушите все до основания и начнете переустанавливать все сервера и клиентские рабочие места. Революция не наш метод, да и бизнес не одобрит подобные проекты миграции, приводящие к простоям. :)
Поэтому скорее всего у вас RODC филиала будет работать в смешанной инфраструктуре. В ней будут не только Windows Vista и Windows Server 2008, но и Windows Server 2003 и Windows XP.
До тех пор пока клиентские системы Windows Server 2003 и Windows XP в филиальном офисе могут контактировать с контролленром домена доступном для записи все будет работать нормально.
Давайте представим себе ситуацию когда из соображения безопасности или экономии трафика, те же филиальные клиенты принуждены работать только с RODC и не имеют доступа к полноценнному контроллеру домена. На этом пути вас могут ждать некоторые неприятные сюрпризы. В связи с тем, что по умолчанию Windows Server 2003 и Windows XP не поддерживают все флаги и проверки необходимые для абсолютно правильной работы с RODC у вас могут случаться следующие сбои:
- Фильтры Windows Management Instrumentation (WMI) сконфигурированные групповыми политкиками могут не применяться.
- Политики Internet Protocol security (IPsec) не могут быть применены. В ответ на запрос получаем ошибку "8219 (ERROR_POLICY_OBJECT_NOT_FOUND)".
- Члены домена Windows Server 2003 и Windows XP не производят синхронизацию времени с RODC Windows Server 2008.
- Компьютеры находящиеся в сети DMZ не могут присоединиться к домену.
- Смена пароля пользователя работающего в системах Windows 2000, Windows XP, или Windows Server 2003 может завершиться ошибкой.
- Клиенты использующие Data Protection API (DPAPI) не могут получить или создать сертифика публичного ключа задействовав функции LsaRetrievePrivateData или LsaStorePrivateData.
- Опубликованные принтеры могут работать некоректно.
- При использовании диалогового окна "Find Printer" на клиентских компьютерах под управлением Windows 2000, Windows XP или Windows Server 2003 окно Find Printer может перестать отвечать на запросы.
- API функции Active Directory Service Interfaces (ADSI) клиентов Windows Server 2003 и Windows XP всегда посылают запросы к удаленному контролеру с возможностью записи вместо того, чтобы использовать локальный RODC. Это может приводить к лишних расходам трафика и задержкам при доступе к домену.
- Контроллеры домена работающие под управлением Windows Server 2003 выполняют автоматическое покрытие сайтов филиальных офисов в которых уже установлен RODC. Контроллер домена Windows Server 2003 может зарегистрировать свой DNS SRV ресурс для сайта с установленым RODC. Таким могут перестать авторизовываться локальным RODC.
Для того чтобы исправить вышеперечисленные проблемы, ежели таковые у вас возникнут, необходимо ознакомиться с KB944043 и установить обновление для клиентских систем Windows XP, Windows Server 2003.
