利用Server2008空根域来提高安全性

这个主控域控制器，其虽然不负责具体的工作，但是其就好像是域环境中的大脑。若其被感染了，那么会迅速的波及到其下面的任何一个域控制器。所以必须对于主控域控制器要采取严格的保护措施。

一、 利用Windows Server 2008空根域来提高安全性。

在现实工作中，笔者比较喜欢采用隔离的方式来提高主控域控制器的安全。这就好像在网络设计的时候，采用虚拟局域网技术将一些关键的设备隔离开来一样。在2008域环境中，就是通过空根域技术来实现隔离的。

什么叫做空根域技术呢?原理很简单，就是在原有域环境的设计中，再多增加一个域。这个域就是企业整个域环境的根域。不过在这个根域中，只有一台域控制器。而没有其他任何的设备。也就是说，这个根域或者主控域控制器对于用户来说是透明的。除了域管理员，其他用户都不能够访问这个根域，也不知道这个根域的存在。从而将这个根域与企业的网络隔离开来。及时企业下面的域受到了攻击、导致了瘫痪，也不会波及到这个根域中的主控域控制器。而只要这个主控域控制器是安全的，那么就可以及时的利用主控域控制器中的资料对网络进行恢复。

在Windows2008的官方资料中，将这个模型称之为同位体根域模型，即利用一个单独存在的为填充的森林根域将模式主控器与企业网络的其他部门相隔离。也许是直接翻译的缘故，这个“同位体根域模型”听起来有点高深莫测。其实很简单，就是在根域中除了放置主控域控制器外，不放置任何的域对象，从而实现隔离，来提高域环境的安全性与可用性。笔者更喜欢将这个模型称之为空根域模型。这个名字更加的直观，更加容易理解。

二、 什么时候采用空根域模型?

虽然说空根域模型可以提高域环境的安全性，但是并不是在任何环境下都适合采用这个模型。这主要是因为空根域模性会增加网络的复杂性。如对于域安全或者网络可用性没有很高要求的企业，其可能只需要采用一个单域模型就能够满足需要。而此时如果采用空根域模性的话，在必须要采用两个以上的域，组成一个森林。可见，此时由于追求不必要的安全，却反而增加了网络的复杂性，这显然有点得不偿失。为此笔者并不建议在任何情况下都采用空根域模性。而是要根据企业的实际需要，特别是在安全性与网络可用性方面的要求，来考虑是否采用空根域模型。

不同企业的安全性与网络可用性上的要求是不同的。如对于金融企业来说，他们对于网络的安全性与可用性是比较苛刻的。他们甚至要求百分之百的安全与可用。但是有些企业则不同。如一般的制造企业，他们可能只要求白天8个小时的时间网络是正常的即可。这就留给了网络管理员足够多的时间来解决问题。所以一般情况下，如果企业对于网络的安全与可用性有比较高的要求，那么就可以考虑采用空根域模型来实现。由于空根域可以将主控域控制器隔离开来，从而可以免受病毒或者黑客的攻击。而在主控域控制器中保存在整个域环境的配置参数，为此即是域受到攻击而瘫痪，也可以凭借这份资料迅速的恢复。缩短网络故障的时间，提高可用性。

另外，空根域模型除了提高网络安全性之外，还有一个额外的好处，就是方便对域进行改名。虽然在2008服务器系统中已经提供了重命名域的工具，但是使用这个工具的时候仍然受到很多的限制。而如果采用空根域模型的话，可以让管理员可以灵活、方便的对域进行更名。为此对于一些正在扩张的企业，即使对于安全没有特殊的要求，但是采用空根域模型仍然能够享受到不少的益处。特别是当企业在不断的吞并其他公司的时候，可以通过空根域模型来提高域名更改的灵活性。