Для чего на самом деле полезен контроллер домена только для чтения?

18

Windows Server 2008 представил контроллеры домена только для чтения, которые получают полную копию базы данных домена, но не могут ее изменять, как старый добрый Windows NT BDC.

Я знаю все технические подробности о том, как управлять этими полу-DC (я только что прошел 70-646 и 70-647), но все же у меня нет четкого ответа на самый важный вопрос из всех: почему вы должны использовать их ?

Этот комментарий от TheCleaner действительно подводит итог для меня:

@Massimo - да, ты прав. Вы ищете вескую причину для RODC, а ее нет. У него есть несколько дополнительных функций безопасности, которые помогают облегчить безопасность филиала, и его действительно нужно развернуть там только в том случае, если у вас там нет DC и вы не уверены в его безопасности.

Это было то же самое, о чем я думал ... небольшое повышение безопасности, да, конечно, но определенно не настолько, чтобы стоить хлопот.

windows-server-2008 active-directory domain-controller Massimo
источник

Ответы:

10

Я дам вам реальный сценарий:

  • у нас есть один в нашем филиале в Китае

Мы используем его, потому что там нет отдела ИТ, мы обрабатываем все запросы на учетные записи AD и т. Д. Здесь, в США. Имея RODC, мы знаем:

  1. Никто не может зайти на него и попытаться «взломать» AD.
  2. Никто не может украсть его и получить что-нибудь стоящее, чтобы потом вернуться и «взломать» сеть позже.

Имея AD / DNS только для чтения, нам не нужно беспокоиться о попытках манипулировать данными на контроллере домена.

Это из-за особенностей, найденных здесь: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

Для нас это больше «душевное спокойствие», чем что-либо еще ... плюс, это позволило выполнить минимальную установку сервера, поскольку это было просто ядро ​​сервера с установленной ролью RODC. Мы поместили его на старый сервер 1U с двумя дисками Raid-1 18GB. Мы фактически поместили 2 из них в одну и ту же точную конфигурацию, используя старое негарантированное оборудование, которое было у нас в стойках.

Просто, делает то, что нужно, и нам не нужно об этом беспокоиться. Если одна из коробок выйдет из строя, мы просто заменим ее снова.

Очиститель
источник
1
Вы сказали, что никто не может войти на него; но никто не сможет войти в стандартный DC, если у него не будет надлежащих учетных данных домена. Так где же улучшенная безопасность? О краже: как именно украденный доступный для записи DC будет более опасным, чем украденный только для чтения?
Массимо
2
@Massimo - ссылаясь на вход в систему, это проблема, только если у человека есть права локального входа, вы правы. Однако мы предоставляем их нескольким учетным записям, чтобы они могли проверять резервные копии / резервные копии на ленту. В целях физической безопасности украденный доступный для записи контроллер домена дает вам возможность выяснить их учетные данные и пароли, а затем вернуться в сеть для получения дополнительных данных ... контроллер домена только для чтения.
TheCleaner
@Massimo - Я заметил, что в вашем ОП вы сказали «полная копия» ... это правда, КРОМЕ паролей. Он не копирует пароли, так что в конечном итоге это самая большая функция защиты от кражи.
TheCleaner
Договорились о паролях. Но разве они не хранятся с использованием одностороннего шифрования? Конечно, лучше, если кто-то их вообще не завладеет, но я не думаю, что взломать пароли AD так просто.
Массимо
3
RODC не сохраняет хэши паролей, если вы отключите кэширование ... Я считаю, что он хранит "токен входа в систему". Да, изначально клиент аутентифицируется с реальным DC в другом месте. Смотрите здесь: devendrathatte.blogspot.com/2009/04/… и здесь: milesconsultingcorp.com/…
TheCleaner
10

У меня есть целая глава об этой функции в моей книге (www.briandesmond.com/ad4/). Суть в том, что это функция безопасности, а для распределенных организаций это огромная сделка.

Здесь есть два действительно больших сценария:

-> RODC не хранят пароли по умолчанию. Это означает, что если кто-то физически получает диски с сервера, он не получает все ваши пользовательские (и компьютерные) пароли.

Правильный ответ, если кто-то украл RWDC, - сбросить ВСЕ пароли в домене, так как вы можете считать их все скомпрометированными. Это серьезное начинание.

С помощью контроллера домена только для чтения можно, к примеру, кэшировать только пароли для подмножества X пользователей и компьютеров. Когда RODC фактически кеширует пароль, он сохраняет эту информацию в AD. Если RODC украден, у вас теперь есть небольшой список паролей, которые необходимо сбросить.

-> RODC копируются в одну сторону. Если кто-то украл у вас RWDC, внес в него некоторые изменения и подключил его обратно, эти изменения были бы воспроизведены обратно в среду. Например, они могут добавить себя в группу администраторов домена или сбросить все пароли администратора или что-то в этом роде. С RODC это просто невозможно.

Улучшения скорости не будет, если вы не разместите RODC в месте, где раньше не было постоянного тока, а в некоторых сценариях может произойти улучшение скорости.

Ответ TheCleaner действительно неверен. Существует множество привлекательных сценариев для контроллеров домена только для чтения, и я могу представить несколько вариантов их развертывания в произвольном масштабе. Это простые вещи безопасности, а не "анал о безопасности".

Благодарность,

Брайан Десмонд

Active Directory MVP

Брайан Десмонд
источник
Брайан, спасибо за подробный ответ, но мне все еще так же любопытно, как и раньше, о некоторых вещах: 1) Если кто-то может получить DC, как он может внести изменения в домен, если у него нет административного учетная запись? Он даже не сможет войти в систему. 2) Если кто-то украл DC, как он может получить пароли из базы данных AD? Они хранятся в собственной базе данных с использованием одностороннего шифрования (и довольно надежного, IIRC). 3) Если ваш DC украден и кто украл его, может получить доступ к вашей сети и подключить его обратно, что-то определенно сломано в вашей безопасности ... и RODC не собирается это исправить.
Массимо
1
Что касается 1 и 2, в Интернете есть инструменты, которые с радостью возьмут базу данных AD и будут читать и писать прямо в нее. Все, что вам нужно сделать, это вставить жесткий диск (и) куда-нибудь, где он содержится, и открыть его с другого компьютера. Договорились на 3 до некоторой степени. Многие организации имеют сотни ДК в филиалах по всему миру. Я могу вам сказать из первых рук, что обеспечить физическую безопасность в шкафу в 10000 миль от вашего стола практически невозможно.
Брайан Десмонд
Если плохой парень имеет доступ к вашему оборудованию - это больше не ваше оборудование. Используете ли вы Bitlocker для своих текущих контроллеров домена для начала? Если нет, подумайте об этом, чтобы начать с какого-либо другого полного шифрования диска ... если у плохих парней есть ваши данные - вы SOL ^^
Оскар Дювеборн
1

Вам нужны RODC, когда у вас много филиалов с плохой физической безопасностью и / или медленным или ненадежным сетевым подключением. Примеры:

  • Медицинский работник с центральным офисом и частными клиниками, которые часто передвигаются и используют DSL / Cable для подключения
  • Компания, имеющая оборудование в отдаленных районах, где инфраструктура телекоммуникационных компаний ненадежна или где вы вынуждены использовать сотовые или спутниковые сети.

Большинство организаций имеют стандарты физической безопасности для удаленного оборудования. Если вы не можете выполнить эти требования, контроллеры RODC позволяют обеспечить высокоскоростную аутентификацию для доступа к локальным приложениям и общим папкам. Они также позволяют ограничить количество учетных данных, хранящихся на сервере. Скомпрометированный сервер только скомпрометирует пользователей в удаленном местоположении. Полный DC с 75 000 пользователей предоставляет всех этих пользователей в случае локального компромисса.

Если вы работаете в небольшой компании, это совсем не страшно. Я готов развернуть их с помощью BitLocker, потому что RODC существенно снижает риск для безопасности.

duffbeer703
источник
1

Мы собираемся использовать RODC в демилитаризованной зоне на основе этой статьи TechNet . Настройка нового леса для веб-сервисов с RODC в DMZ.

IT команда
источник
0

В первую очередь для безопасности, но и для скорости.

Смотрите короткую запись здесь

geeklin
источник
2
Я не согласен с «скоростью». Если пользователям необходимо выполнить аутентификацию на «реальном» контроллере домена, тогда контроллер домена только для чтения ничего не ускоряет: доступный для записи контроллер домена, доступный на сайте вместо контроллера домена только для чтения, будет на самом деле быстрее .
Массимо
0

RODC содержит копию вашей AD, предназначенную только для чтения, и вы используете ее в филиале, где у вас нет ИТ-персонала, и, следовательно, вы не можете гарантировать безопасность или целостность вашей серверной комнаты. В случае компрометации контроллера домена только для чтения вы уверены, что тот, кто скомпрометирует его, будет иметь доступ к вашей AD только в том состоянии, в котором он находился на момент обнаружения. Внесенные в него изменения не будут реплицированы обратно на ваши основные контроллеры домена. Это означает, что тот, кто идет на компромисс, не может делать неприятных вещей, таких как повышение уровня до Администратора домена, блокирование ваших собственных администраторов и их злой путь со всей вашей сетью.

Максимус Минимус
источник
Что вы подразумеваете под "никакими изменениями, внесенными в него, не будет скопировано"? Если я смогу получить административный доступ к AD, который вообще необходим для изменения чего-либо, тогда я могу подключить ADUC к «реальному» DC (или RDP в него) и внести свои изменения прямо там . И если я не могу получить административный доступ, я ничего не могу сделать, даже если у меня на столе сидит DC.
Массимо
2
@Massimo - да, ты прав. Вы ищете вескую причину для RODC, а ее нет. У него есть несколько дополнительных функций безопасности, которые помогают облегчить безопасность филиала, и его действительно нужно развернуть там только в том случае, если у вас там нет DC и вы не уверены в его безопасности.
TheCleaner
@Massimo Вам не нужен административный доступ к AD, чтобы что-то изменить - загрузитесь с DVD, и вы можете напрямую записывать в базы данных AD.
Ричард Гадсден
0

RODC полезны для крупных корпоративных организаций, поскольку конкурирующие корпоративные службы каталогов, такие как Novell eDirectory, уже несколько лет имеют реплики только для чтения.


источник
0

Еще одно преимущество контроллеров домена только для чтения состоит в том, что они позволят вам иметь работающие контроллеры домена, пока вы выполняете аварийное восстановление, которое включает в себя отключение всех обычных контроллеров домена для восстановления активного каталога. В таких ситуациях вам не нужно отключать RODC.

JPS
источник