Para que serve um controlador de domínio somente leitura?

18

O Windows Server 2008 introduziu controladores de domínio somente leitura, que recebem uma réplica completa do banco de dados do domínio, mas não podem modificá-lo, como um bom e antigo BDC do Windows NT.

Conheço todos os detalhes técnicos de como executar esses semi-CDs (acabei de passar de 70-646 e 70-647), mas ainda não tenho uma resposta clara para a pergunta mais importante de todas: por que você deveria usá-los ?

Este comentário do TheCleaner realmente resume para mim:

@ Massimo - sim, você está correto. Você está procurando um motivo convincente para um RODC e não há um. Ele possui alguns recursos de segurança adicionais para ajudar a aliviar a segurança das filiais e, na verdade, só precisa ser implantado lá se você não tiver um controlador de domínio lá e for anal sobre sua segurança.

Era o mesmo que eu estava pensando ... um pequeno aumento na segurança, sim, claro, mas definitivamente não muito para valer a pena.

windows-server-2008 active-directory domain-controller Massimo
fonte

Respostas:

10

Vou te dar um cenário do mundo real:

  • nós temos um em nossa filial na China

Nós o usamos porque não há um departamento de TI, lidamos com todos os pedidos de contas do AD, etc. aqui nos EUA. Por ter um RODC, sabemos:

  1. Ninguém lá pode fazer logon e tentar "invadir" o AD.
  2. Ninguém pode roubá-lo e conseguir algo que valha a pena voltar e "invadir" a rede mais tarde.

Por ter AD / DNS somente leitura, não precisamos nos preocupar com tentativas de manipular os dados no controlador de domínio.

Isso ocorre devido aos recursos encontrados aqui: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

É mais "tranqüilidade" do que qualquer outra coisa para nós ... além de permitir uma instalação mínima do servidor, pois era apenas o núcleo do servidor com a função RODC instalada. Colocamos em um servidor 1U mais antigo com 2 unidades Raid-1 18GB. Na verdade, colocamos 2 deles na ... mesma configuração exata usando hardware antigo não garantido que tínhamos nos racks.

Simples, faz o que precisa e não precisamos nos preocupar com isso. Se uma das caixas falhar, simplesmente a substituiríamos novamente.

O limpador
fonte
11
Você disse que ninguém pode entrar nele; mas ninguém seria capaz de fazer logon em um controlador de domínio padrão também, se ele não tivesse credenciais de domínio apropriadas. Então, onde está a segurança aprimorada? Sobre roubá-lo: como exatamente um CD gravável roubado seria mais perigoso do que um CD somente leitura roubado?
Massimo
2
@ Massimo - referindo-se ao logon, isso é apenas um problema se a pessoa tiver direitos de logon local, você está correto. No entanto, concedemos essas contas a algumas contas para que eles possam verificar os backups / trocas de fita de backup. Para a segurança física, um CD gravável roubado oferece a capacidade de descobrir suas credenciais e senhas e voltar à rede mais tarde para obter dados adicionais ... o RODC não.
TheCleaner 01/09/09
@ Massimo - notei no seu OP que você disse "réplica completa" ... isso é verdade, EXCETO as senhas. Ele não replica senhas, o que acaba sendo o maior recurso pró-segurança para roubo.
TheCleaner 01/09/09
Concordou com as senhas. Mas eles não são armazenados usando criptografia unidirecional, afinal? Com certeza, é melhor se alguém não se apossar deles, mas não acho que a quebra de senhas do AD seja tão fácil.
Massimo
3
O RODC não armazena os hashes de senha se você desativar o cache ... Eu acredito que ele armazena o "token de login". Sim, inicialmente, o cliente se autentica com o controlador de domínio real em um local diferente. Veja aqui: devendrathatte.blogspot.com/2009/04/… e aqui: milesconsultingcorp.com/…
TheCleaner
10

Eu tenho um capítulo inteiro sobre esse recurso no meu livro (www.briandesmond.com/ad4/). O longo e curto disso é que esse é um recurso de segurança e, para organizações distribuídas, é um grande negócio.

Existem dois cenários realmente grandes aqui:

-> RODCs não armazenam senhas por padrão. Isso significa que se alguém obtém fisicamente os discos do servidor, eles não obtêm todas as senhas de usuário (e computador).

A resposta correta se alguém roubar um RWDC é redefinir TODAS as senhas no domínio, pois você pode considerá-las todas comprometidas. Esta é uma grande empresa.

Com um RODC, você pode dizer apenas que as senhas do subconjunto X de usuários e computadores são armazenadas em cache. Quando o RODC realmente armazena em cache a senha, ele armazena essas informações no AD. Se o RODC for roubado, você terá uma pequena lista de senhas que precisam ser redefinidas.

-> RODCs replicam unidirecionalmente. Se alguém roubasse sua RWDC, fizesse algumas alterações e a conectasse novamente, essas alterações seriam replicadas novamente no ambiente. Por exemplo, eles podem se adicionar ao grupo de administradores de domínio ou redefinir todas as senhas de administrador ou algo assim. Com um RODC, isso simplesmente não é possível.

Não há melhoria de velocidade, a menos que você esteja colocando um RODC em um local que não tinha um controlador de domínio lá antes e provavelmente haverá uma melhoria de velocidade em alguns cenários.

A resposta do The Cleaner está realmente incorreta. Existem muitos cenários convincentes para os RODCs e posso pensar em várias implantações deles em escala imediata. Isso é coisa simples de segurança, não a coisa "anal sobre segurança".

Obrigado,

Brian Desmond

MVP do Active Directory

Brian Desmond
fonte
Brian, obrigado pela resposta detalhada, mas ainda estou tão curioso quanto antes sobre algumas coisas: 1) Se alguém pode se apossar de um controlador de domínio, como ele pode fazer alterações no domínio, se ele não tem um administrador conta? Ele nem conseguiria fazer login. 2) Se alguém rouba um controlador de domínio, como ele pode obter senhas do banco de dados do AD? Eles são armazenados em um banco de dados proprietário, usando criptografia unidirecional (e bastante forte, IIRC). 3) Se o seu controlador de domínio é roubado e quem o roubou, pode acessar sua rede e conectá-lo novamente, algo está definitivamente quebrado em sua segurança ... e nenhum RODC vai corrigi-lo.
Massimo
11
No que diz respeito a 1 e 2, existem ferramentas disponíveis na Internet que terão prazer em pegar um banco de dados do AD e ler / gravar diretamente nele. Tudo o que você precisa fazer é colocar o (s) disco (s) rígido (s) em algum lugar que o contenha e abri-lo em outra máquina. Acordado em 3 até certo ponto. Muitas organizações têm centenas de CDs em filiais em todo o mundo. Posso dizer em primeira mão que é quase impossível reforçar a segurança física em um armário a 10.000 milhas de sua mesa.
27430 Brian Desmond
Se um bandido tem acesso ao seu hardware - ele não é mais o seu hardware. Você usa o Bitlocker para seus CDs atuais? Se não, considere fazer isso para começar com ou algum outro criptografia completa de disco ... se os bandidos têm seus dados - você está SOL ^^
Oskar Duveborn
1

Você precisa de RODCs quando tiver muitas filiais com pouca segurança física e / ou conectividade de rede lenta ou não confiável. Exemplos:

  • Provedor médico com um escritório central e clínicas de loja que se deslocam com freqüência e usam DSL / Cable para conectividade
  • Uma empresa com instalações em áreas remotas onde a infraestrutura de telecomunicações não é confiável ou onde você é forçado a usar redes de celular ou satélite.

A maioria das organizações possui padrões de segurança física para equipamentos remotos. Se você não puder atender a esses requisitos, os RODCs permitirão fornecer autenticação de alta velocidade para acesso a aplicativos locais e compartilhamentos de arquivos. Eles também permitem limitar o número de credenciais armazenadas no servidor. Um servidor comprometido compromete apenas os usuários no local remoto. Um controlador de domínio completo com 75.000 usuários expõe todos esses usuários no caso de um comprometimento local.

Se você trabalha em uma empresa menor, não é grande coisa. Estou entusiasmado em lançá-los com o BitLocker porque os RODC reduzem substancialmente o risco de segurança.

duffbeer703
fonte
1

Vamos usar o RODC em uma DMZ baseada neste artigo do TechNet . Configurando uma nova floresta para serviços da web com um RODC na DMZ.

Equipe de TI
fonte
0

Principalmente por segurança, mas também por velocidade.

Veja a breve redação aqui

geeklin
fonte
2
Eu discordo da coisa da "velocidade". Se os usuários precisarem se autenticar em um controlador de domínio "real", o RODC não acelera nada: ter um controlador de domínio gravável disponível no site em vez do RODC seria realmente mais rápido .
Massimo
0

Um RODC contém uma cópia somente leitura do seu AD e você a usa em uma filial onde você não possui uma equipe de TI e, portanto, não pode garantir a segurança ou a integridade da sua sala de servidores. No caso de o RODC ser comprometido, você está seguro, sabendo que quem o comprometer terá acesso ao seu AD apenas no estado em que estava no momento da descoberta. Nenhuma alteração feita nela será replicada nos seus principais DCs. Isso significa que quem quer que o comprometa não pode fazer coisas desagradáveis, como se elevar ao administrador de domínio, bloquear seus próprios administradores e seguir seu caminho perverso com toda a sua rede.

Maximus Minimus
fonte
O que você quer dizer com "nenhuma alteração feita será replicada"? Se eu conseguir acesso administrativo ao AD, necessário para alterar alguma coisa, posso conectar o ADUC a um DC "real" (ou RDP nele) e fazer minhas alterações diretamente . E se não consigo acesso administrativo, não posso fazer nada, mesmo que tenha um controlador de domínio na minha mesa.
Massimo
2
@ Massimo - sim, você está correto. Você está procurando um motivo convincente para um RODC e não há um. Ele possui alguns recursos de segurança adicionais para ajudar a aliviar a segurança das filiais e, na verdade, só precisa ser implantado lá se você não tiver um controlador de domínio lá e for anal sobre sua segurança.
TheCleaner 02/09/09
@ Massimo Você não precisa de acesso administrativo ao AD para alterar nada - inicialize a partir de um DVD e poderá gravar diretamente nos bancos de dados do AD.
Richard Gadsden
0

Os RODCs são úteis para grandes empresas, serviços de diretório corporativo concorrentes, como o Novell eDirectory, possuem réplicas somente leitura há anos.


fonte
0

Outra vantagem dos RODCs é que eles permitem que você tenha controladores de domínio em funcionamento enquanto você faz alguma recuperação de desastre, que envolve a desativação de todos os controladores de domínio normais para reconstruir o diretório ativo. Você não precisa desativar os RODCs nessas situações.

JPS
fonte