Do czego faktycznie służy kontroler domeny tylko do odczytu?

Windows Server 2008 wprowadził kontrolery domeny tylko do odczytu, które otrzymują pełną replikę bazy danych domeny, ale nie mogą jej modyfikować, podobnie jak stary dobry BDC systemu Windows NT.

Znam wszystkie techniczne rozwiązania tego, jak prowadzić te pół-DC (właśnie zdałem 70-646 i 70-647), ale wciąż nie mam jasnej odpowiedzi na najważniejsze ze wszystkich pytań: dlaczego miałbyś użyć ich ?

Ten komentarz TheCleaner naprawdę podsumowuje:

@Massimo - tak, masz rację. Szukacie ważnego powodu dla RODC i nie ma takiego. Ma kilka dodatkowych funkcji bezpieczeństwa, które pomagają zmniejszyć bezpieczeństwo w oddziale firmy. Naprawdę trzeba go tam wdrożyć tylko wtedy, gdy nie masz jeszcze kontrolera domeny i jesteś analitykiem na temat jego bezpieczeństwa.

Tak samo myślałem ... mały wzrost bezpieczeństwa, tak, jasne, ale zdecydowanie nie tyle warty wysiłku.

Dam ci scenariusz z prawdziwego świata:

• mamy jeden w naszym oddziale w Chinach

Używamy go, ponieważ nie ma tam działu IT, obsługujemy wszystkie żądania kont AD itp. Tutaj w USA. Dzięki RODC wiemy, że:

1. Nikt tam nie może się zalogować i spróbować „zhakować” w AD.
2. Nikt nie może go ukraść i zdobyć niczego, co byłoby warte później, a potem „zhakować” sieć.

Dzięki AD / DNS tylko do odczytu nie musimy się martwić o próby manipulowania tam danymi w DC.

Wynika to z funkcji znalezionych tutaj: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

Jest to bardziej „spokój ducha” niż cokolwiek innego dla nas… a ponadto pozwolił na bardzo minimalną instalację serwera, ponieważ był to tylko rdzeń serwera z zainstalowaną rolą RODC. Umieszczamy go na starszym serwerze 1U z 2 dyskami Raid-1 18 GB. Umieściliśmy 2 z nich w ... tej samej dokładnej konfiguracji, używając starszego nie objętego gwarancją sprzętu, który mieliśmy w szafach.

Proste, robi to, co musi, i nie musimy się o to martwić. Jeśli jedno z pudeł ulegnie awarii, po prostu wymienimy je ponownie.

Mam cały rozdział na temat tej funkcji w mojej książce (www.briandesmond.com/ad4/). Krótko mówiąc, jest to funkcja bezpieczeństwa, a dla rozproszonych organizacji to ogromna sprawa.

Istnieją tutaj dwa naprawdę duże scenariusze:

-> RODC domyślnie nie przechowują haseł. Oznacza to, że jeśli ktoś fizycznie pobierze dyski z serwera, nie otrzyma wszystkich haseł użytkownika (i komputera).

Prawidłowa odpowiedź, jeśli ktoś ukradnie RWDC, polega na zresetowaniu WSZYSTKICH haseł w domenie, ponieważ można uznać, że wszystkie zostały naruszone. To duże przedsięwzięcie.

Za pomocą kontrolera RODC możesz powiedzieć tylko buforowanie haseł dla podzbioru X użytkowników i komputerów. Gdy RODC faktycznie buforuje hasło, przechowuje te informacje w AD. Jeśli RODC zostanie skradziony, masz teraz małą listę haseł, które należy zresetować.

-> RODC replikują się w jedną stronę. Gdyby ktoś ukradł ci RWDC, dokonał pewnych zmian i włączył z powrotem, zmiany te powielą się z powrotem w środowisku. Na przykład mogą dodać się do grupy administratorów domeny lub zresetować wszystkie hasła administratora lub coś w tym rodzaju. Z RODC jest to po prostu niemożliwe.

Nie ma poprawy prędkości, chyba że umieścisz kontroler RODC w miejscu, w którym wcześniej nie było DC, a w niektórych scenariuszach prawdopodobnie nastąpi poprawa prędkości.

Odpowiedź Oczyszczacza jest naprawdę niepoprawna. Istnieje wiele atrakcyjnych scenariuszy dla kontrolerów RODC i mogę sobie wyobrazić kilka ich wdrożeń na dużą skalę. To proste rzeczy związane z bezpieczeństwem, a nie „anal o bezpieczeństwie”.

Dzięki,

Brian Desmond

MVP usługi Active Directory

Potrzebujesz kontrolerów RODC, jeśli masz wiele oddziałów o słabym bezpieczeństwie fizycznym i / lub powolnej lub zawodnej łączności z siecią. Przykłady:

• Dostawca usług medycznych z centralnym biurem i klinikami sklepowymi, które często się przemieszczają i używają DSL / Cable do łączności
• Firma posiadająca obiekty na odległych obszarach, na których infrastruktura telekomunikacyjna jest zawodna lub w których użytkownik jest zmuszony korzystać z sieci komórkowych lub satelitarnych.

Większość organizacji ma fizyczne standardy bezpieczeństwa dla urządzeń zdalnych. Jeśli nie możesz spełnić tych wymagań, kontrolery RODC umożliwiają szybkie uwierzytelnianie w celu uzyskania dostępu do lokalnych aplikacji i udziałów plików. Pozwalają również ograniczyć liczbę poświadczeń przechowywanych na serwerze. Zaatakowany serwer naraża tylko użytkowników w zdalnej lokalizacji. Pełna kontroler domeny z 75 000 użytkowników ujawnia wszystkich tych użytkowników w przypadku lokalnego kompromisu.

Jeśli pracujesz w mniejszej firmie, to nic wielkiego. Mam ochotę wdrożyć je za pomocą funkcji BitLocker, ponieważ RODC znacznie zmniejsza ryzyko bezpieczeństwa.

Będziemy używać kontrolera RODC w strefie DMZ na podstawie tego artykułu TechNet . Utworzenie nowego lasu dla usług sieciowych z RODC w DMZ.

Przede wszystkim dla bezpieczeństwa, ale także dla szybkości.

Zobacz krótki opis tutaj

Kontroler RODC zawiera kopię reklamy tylko do odczytu i używasz jej w oddziale, w którym nie ma personelu IT, a zatem nie może zagwarantować bezpieczeństwa ani integralności serwerowni. W przypadku naruszenia RODC masz pewność, że ktokolwiek naruszy ten kod, będzie miał dostęp do AD tylko w stanie, w jakim znajdował się w momencie odkrycia. Żadne wprowadzone zmiany nie zostaną zreplikowane z powrotem na główne kontrolery domeny. Oznacza to, że ktokolwiek pójdzie na kompromis, nie może robić paskudnych rzeczy, takich jak awansowanie do administratora domeny, blokowanie własnych administratorów i niegodziwy sposób w całej sieci.

Kontrolery RODC są przydatne dla dużych organizacji korporacyjnych, konkurencyjne usługi katalogowe dla przedsiębiorstw, takie jak Novell eDirectory, od lat mają repliki tylko do odczytu.

Kolejną zaletą kontrolerów RODC jest to, że pozwalają one mieć działające kontrolery domeny podczas odzyskiwania po awarii, co wiąże się z usunięciem wszystkich normalnych kontrolerów domeny w celu odbudowania active directory. W takich sytuacjach nie musisz wyłączać kontrolerów RODC.