Gerçekte salt okunur etki alanı denetleyicisi ne işe yarar?

Windows Server 2008, iyi bir eski Windows NT BDC gibi, etki alanı veritabanının tam bir kopyasını alan ancak değiştiremeyen salt okunur etki alanı denetleyicilerini tanıttı.

Bu yarı DC'lerin nasıl çalıştırılacağına dair tüm teknik bilgileri ve çıkışları biliyorum (70-646 ve 70-647'yi geçtim), ancak yine de hepsinin en önemli sorusuna net bir cevabım yok: neden yapmalısınız? onları kullan ?

TheCleaner'ın bu yorumu gerçekten benim için özetliyor:

@Massimo - evet, haklısın. U bir RODC için zorlayıcı bir neden arıyor ve bir tane yok. Şube ofis güvenliğini hafifletmeye yardımcı olacak birkaç ek güvenlik özelliği vardır ve orada yalnızca DC'niz yoksa ve güvenliği hakkında anal iseniz gerçekten orada dağıtılması gerekir.

Düşündüğümle aynıydı ... güvenlikte biraz artış, evet, elbette, ama kesinlikle uğraşmaya değecek kadar değil.

Size gerçek dünyadan bir senaryo vereceğim:

• Çin'de bir şubemiz var

Bunu kullanıyoruz çünkü orada bir BT departmanı yok, ABD'deki AD hesapları vb. İle ilgili tüm talepleri yerine getiriyoruz. Orada bir RODC ile şunları biliyoruz:

1. Orada kimse oturum açamaz ve AD'de "hacklemeye" çalışamaz.
2. Kimse onu çalamaz ve daha sonra geri gelip daha sonra ağa "hack" yapmak için değerli bir şey alamaz.

AD / DNS'nin salt okunur olmasını sağlayarak, orada DC'deki verileri değiştirme girişimleri hakkında endişelenmemize gerek kalmaz.

Bunun nedeni burada bulunan özellikler: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

Bizim için her şeyden daha fazla "gönül rahatlığı" ... artı sadece RODC rolü yüklü sunucu çekirdeği olduğundan çok az bir sunucu kurulumu için izin verdi. 2 Raid-1 18GB sürücüsüne sahip eski bir 1U sunucusuna yerleştirdik. Aslında bunlardan 2 tanesini ... raflarda sahip olduğumuz eski, garantisiz donanımı kullanarak tam olarak aynı konfigürasyona koyduk.

Basit, yapması gerekeni yapar ve bunun için endişelenmemiz gerekmez. Kutulardan biri başarısız olursa, tekrar değiştiririz.

Kitabımda (www.briandesmond.com/ad4/) bu özellik hakkında bütün bir bölüm var. Uzun ve kısa olması, bunun bir güvenlik özelliği olması ve dağıtılmış kuruluşlar için büyük bir anlaşma olmasıdır.

Burada iki büyük senaryo var:

-> RODC'ler varsayılan olarak parola depolamaz. Bu, birisi diskleri fiziksel olarak sunucudan alırsa, tüm kullanıcı (ve bilgisayar) parolalarınızı alamadığı anlamına gelir.

Birisi bir RWDC'yi çalarsa doğru yanıt, etki alanı içindeki TÜM şifreleri sıfırlamaktır; Bu büyük bir girişim.

Bir RODC ile yalnızca kullanıcı ve bilgisayarların X alt kümesi parolalarını önbelleğe alabilirsiniz. RODC gerçekten parolayı önbelleğe aldığında, bu bilgileri AD'de depolar. RODC çalınırsa, sıfırlanması gereken küçük bir parola listeniz var.

-> RODC'ler tek yönlü çoğaltılır. Birisi sizi RWDC'yi çaldıysa, üzerinde bazı değişiklikler yaptıysa ve yeniden taktıysa, bu değişiklikler tekrar çevreye geri dönecekti. Örneğin, kendilerini alan yöneticileri grubuna ekleyebilir veya tüm yönetici şifrelerini veya başka bir şeyi sıfırlayabilirler. Bir RODC ile bu mümkün değildir.

Daha önce orada DC'nin olmadığı bir yere bir RODC yerleştirmediğiniz sürece hız artışı olmaz ve bazı senaryolarda hız artışı olması muhtemeldir.

TheCleaner'ın yanıtı gerçekten yanlış. RODC'ler için ALOT zorlayıcı senaryolar vardır ve bunların birkaç konuşlandırılmasını hazırlıksız düşünebilirim. Bu basit güvenlik şeyler, "güvenlik hakkında anal" şeyler değil.

Teşekkürler,

Brian Desmond

Active Directory MVP'si

Fiziksel güvenliği zayıf ve / veya yavaş veya güvenilir olmayan ağ bağlantısı olan çok sayıda şubeniz olduğunda RODC'lere ihtiyacınız vardır. Örnekler:

• Sık hareket eden ve bağlantı için DSL / Kablo kullanan merkezi bir ofis ve mağaza kliniklerine sahip tıbbi sağlayıcı
• Telco altyapısının güvenilir olmadığı veya hücresel veya uydu ağlarını kullanmak zorunda kaldığınız uzak bölgelerde tesisleri olan bir şirket.

Çoğu kuruluş, uzak ekipman için fiziksel güvenlik standartlarına sahiptir. Bu gereksinimleri karşılayamıyorsanız, RODC'ler yerel uygulamalara ve dosya paylaşımlarına erişim için yüksek hızlı kimlik doğrulaması sağlamanıza olanak tanır. Ayrıca, sunucuda depolanan kimlik bilgilerinin sayısını sınırlamanıza izin verir. Güvenliği ihlal edilmiş bir sunucu yalnızca uzak konumdaki kullanıcıların güvenliğini tehlikeye atar. 75.000 kullanıcılı tam bir DC, yerel bir uzlaşma durumunda bu kullanıcıların tamamını ortaya çıkarır.

Daha küçük bir şirkette çalışıyorsanız, hiç önemli değil. RODC'nin güvenlik riskini önemli ölçüde azalttığı için onları BitLocker ile dağıtmak için pompalandım.

Bu TechNet makalesine dayanan bir DMZ'de RODC kullanacağız . DMZ'de bir RODC ile web hizmetleri için yeni bir orman oluşturma.

Öncelikle güvenlik için olduğu kadar hız için de.

Kısa yazıyı buradan görebilirsiniz

RODC, AD'nizin salt okunur bir kopyasını içerir ve bir şube ofisinde BT personelinizin bulunmadığı bir yer kullanırsınız ve bu nedenle sunucu odanızın güvenliğini veya bütünlüğünü garanti edemezsiniz. RODC'nin tehlikeye girmesi durumunda, taviz verenin, keşfinin yapıldığı durumda yalnızca AD'nize erişebileceğinden emin olabilirsiniz. Burada yapılan hiçbir değişiklik ana DC'lerinize kopyalanmayacaktır. Bu, uzlaşanların kendilerini Alan Adı Yöneticisi'ne yükseltmek, kendi yöneticilerinizi kilitlemek ve tüm ağınızla kötü yollara sahip olmak gibi kötü şeyler yapamayacağı anlamına gelir.

RODC'ler büyük kurumsal kuruluşlar için yararlıdır, Novell eDirectory gibi rakip kurumsal Dizin hizmetleri yıllardır Salt Okunur kopyalarına sahiptir.

RODC'lerin bir başka avantajı da, bazı olağanüstü durum kurtarma işlemleri yaparken çalışma etki alanı denetleyicilerine sahip olmanıza olanak tanımalarıdır; bu, etkin dizini yeniden oluşturmak için tüm normal etki alanı denetleyicilerinin kaldırılmasını içerir. Bu durumlarda RODC'leri kapatmanız gerekmez.