Pendahuluan
Pada Windows Server 2008, Microsoft memutuskan untuk mengembalikan fitur yang belum kita lihat sejak Windows NT: itu adalah teknologi pengontrol domain read-only. Pada artikel ini saya akan berbicara tentang teknologi Read Only Domain Controllers dan kelebihannya. Saya telah menyebutkan teknologi ini lebih dari sekali dalam artikel saya, misalnya, dalam artikel tentang penggunaan utilitas adprep di Windows 2008.
Sebuah contoh yang baik dari sifat siklus pengembangan teknologi IT adalah fitur Windows Server 2008 baru yang disebut Read Only Domain Controller, atau RODC. Bagaimanapun, teknologi ini pertama kali muncul sejak lama, tetapi selama 10 tahun terakhir ini praktis belum pernah digunakan.
Windows NT adalah OS server pertama dari Microsoft. Seperti sistem operasi Windows Server modern, Windows NT sepenuhnya mendukung teknologi domain. Satu perbedaan adalah kenyataan bahwa hanya satu pengontrol domain di setiap domain yang dapat ditulis. Pengontrol domain ini, disebut Pengontrol Domain Utama atau PDC, adalah satu-satunya pengontrol domain tempat administrator dapat membuat perubahan. Pengontrol domain utama kemudian mendorong pembaruan ke pengontrol domain lain di domain. Pengontrol domain ini disebut pengontrol domain cadangan (BDC), dan informasi tentang mereka diperbarui hanya ketika pengontrol domain utama diperbarui, untuk klien domain mereka hanya baca.
Dan meskipun model domain ini beroperasi penuh, itu juga memiliki kelemahan yang signifikan. Secara khusus, masalah dengan pengontrol domain utama dapat melumpuhkan seluruh domain. Seperti yang Anda ketahui, Microsoft telah membuat perubahan signifikan pada model domain yang telah mereka terapkan di sistem operasi server baru mereka, Windows 2000 Server. Dua teknologi baru untuk pengontrol domain muncul di Windows 2000 Server, dan kedua inovasi ini masih digunakan sampai sekarang: mereka adalah Active Directory dan model dengan beberapa pengontrol utama (model multi master).
Dan meskipun peran PDC masih tetap, pengontrol domain lainnya dalam konfigurasi multi-master dapat ditulis. Ini berarti bahwa administrator dapat membuat perubahan pada pengontrol domain apa pun, dan perubahan ini dalam bentuk pembaruan pada akhirnya akan didistribusikan ke semua pengontrol domain lainnya di jaringan.
Kemudian model multi-master disimpan di Windows Server 2003 dan Windows Server 2008. Namun, pada Windows Server 2008 menjadi mungkin untuk membuat Read Only Domain Controllers. RODC adalah pengontrol domain di mana informasi tidak dapat secara langsung diubah bahkan oleh administrator. Satu-satunya cara untuk memperbarui pengontrol domain ini adalah menerapkan perubahan ke PDC, dan kemudian perubahan ini harus disebarkan (direplikasi) ke RODC. Tidak mengingatkan apa pun?
Seperti yang Anda lihat, RODC tidak lebih dari peninggalan zaman Windows NT. Tentu saja, Microsoft tidak akan mengembalikan teknologi RODC jika tidak melihat keuntungan signifikan dalam aplikasi mereka..
Sebelum menjelaskan mengapa Microsoft memutuskan untuk kembali ke RODC, izinkan saya menjelaskan mengapa menggunakan RODC bukanlah prasyarat untuk bekerja dengan domain Active Directory di Server 2008. Jika Anda ingin setiap pengontrol domain di forest Anda dapat ditulis, Anda tentu bisa melakukan ini.
Saya ingin menyebutkan secara singkat bahwa meskipun RODC sangat mirip dengan pengendali domain cadangan (BDC) di NT, mereka telah mengalami sejumlah perubahan. Ada beberapa hal yang baru dalam teknologi RODC, dan saya ingin membicarakannya.
Jadi mengapa Microsoft memutuskan untuk mengembalikan RODC? Ini karena masalah yang mendukung jaringan cabang (divisi dan cabang). Kantor cabang secara tradisional cukup sulit untuk memelihara dan memelihara karena letaknya yang jauh dan fitur komunikasi antara kantor pusat dan cabang.
Secara tradisional, beberapa metode berbeda dalam mengelola cabang digunakan, tetapi masing-masing memiliki kelebihan dan kekurangan. Salah satu cara paling umum untuk mengatur jaringan cabang adalah dengan menginstal semua server di kantor pusat, dan untuk memberikan akses kepada mereka kepada pengguna kantor cabang melalui jaringan global (WAN).
Tentu saja, kelemahan paling jelas dari metode ini adalah bahwa jika saluran WAN tidak stabil atau jatuh, maka pengguna yang berada di cabang tidak dapat bekerja secara normal, karena mereka sepenuhnya terputus dari semua sumber daya kantor pusat. Bahkan jika koneksi jaringan dengan kantor pusat stabil, seringkali kinerja koneksi WAN bisa rendah karena beban pada saluran atau secara langsung kecepatan koneksi
Opsi umum lainnya saat bekerja dengan cabang jarak jauh adalah pendekatan yang melibatkan pemasangan setidaknya satu pengontrol domain di cabang. Seringkali, pengontrol domain ini juga bertindak sebagai server DNS dan server katalog global. Dengan demikian, bahkan jika koneksi WAN terputus, maka pengguna di cabang, setidaknya, memiliki kesempatan untuk memasuki jaringan. Bergantung pada sifat pekerjaan organisasi, server lain dapat diinstal di kantor cabang.
Meskipun solusi ini, sebagai suatu peraturan, bekerja dengan cukup baik, dan memiliki beberapa kelemahan. Kerugian utama adalah biaya. Server hosting di cabang memerlukan perusahaan untuk berinvestasi dalam lisensi perangkat keras dan perangkat lunak server. Biaya dukungan meningkat secara signifikan. Organisasi harus menentukan apakah cabang membutuhkan staf spesialis TI sendiri, atau jika terjadi malfungsi, siap untuk menunggu sampai staf TI dari kantor pusat mencapai cabang..
Nuansa lain saat memasang server Anda sendiri di cabang adalah masalah keamanan. Dalam pengalaman saya, sering ada kasus di mana server yang terletak di luar pusat data pusat tetap norak. Seringkali, server hanya terkunci di kabinet dengan kunci!
Seperti yang saya sebutkan sebelumnya, koneksi WAN seringkali lambat dan tidak dapat diandalkan. Ini adalah masalah lain dengan lokasi server di cabang. Lalu lintas replikasi pengontrol domain dapat secara signifikan memuat koneksi seperti itu
Inilah yang terjadi ketika Anda dapat menggunakan RODC. Menempatkan RODC di cabang tidak sepenuhnya menghilangkan lalu lintas replikasi Direktori Aktif, tetapi secara signifikan mengurangi beban pada server jembatan, seperti mereka hanya menerima lalu lintas replikasi masuk.
RODC juga dapat membantu meningkatkan keamanan, karena staf di kantor cabang tidak akan dapat membuat perubahan pada database Active Directory. Selain itu, tidak ada informasi tentang semua pengguna domain dan akun mereka yang dikirimkan ke RODC. Ini berarti bahwa jika seseorang mencuri server RODC, mereka tidak akan dapat menggunakan informasi yang diperoleh sebagai akibat dari melanggar kata sandi pengguna.
Dalam artikel mendatang di seri ini, kami akan membahas proses perencanaan dan penggunaan pengontrol domain read-only..
Tautan ke semua artikel dalam seri ini:
Bekerja dengan Pengontrol Domain Read-Only (RODCs) (Bagian 1)
Bekerja dengan Pengontrol Domain Hanya Baca (Bagian 2)
Bekerja dengan Pengontrol Domain Hanya Baca (Bagian 3)