Для чего на самом деле полезен контроллер домена только для чтения?

Windows Server 2008 представил контроллеры домена только для чтения, которые получают полную копию базы данных домена, но не могут ее изменять, как старый добрый Windows NT BDC.

Я знаю все технические подробности о том, как управлять этими полу-DC (я только что прошел 70-646 и 70-647), но все же у меня нет четкого ответа на самый важный вопрос из всех: почему вы должны использовать их ?

Этот комментарий от TheCleaner действительно подводит итог для меня:

@Massimo - да, ты прав. Вы ищете вескую причину для RODC, а ее нет. У него есть несколько дополнительных функций безопасности, которые помогают облегчить безопасность филиала, и его действительно нужно развернуть там только в том случае, если у вас там нет DC и вы не уверены в его безопасности.

Это было то же самое, о чем я думал ... небольшое повышение безопасности, да, конечно, но определенно не настолько, чтобы стоить хлопот.

Я дам вам реальный сценарий:

• у нас есть один в нашем филиале в Китае

Мы используем его, потому что там нет отдела ИТ, мы обрабатываем все запросы на учетные записи AD и т. Д. Здесь, в США. Имея RODC, мы знаем:

1. Никто не может зайти на него и попытаться «взломать» AD.
2. Никто не может украсть его и получить что-нибудь стоящее, чтобы потом вернуться и «взломать» сеть позже.

Имея AD / DNS только для чтения, нам не нужно беспокоиться о попытках манипулировать данными на контроллере домена.

Это из-за особенностей, найденных здесь: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

Для нас это больше «душевное спокойствие», чем что-либо еще ... плюс, это позволило выполнить минимальную установку сервера, поскольку это было просто ядро ​​сервера с установленной ролью RODC. Мы поместили его на старый сервер 1U с двумя дисками Raid-1 18GB. Мы фактически поместили 2 из них в одну и ту же точную конфигурацию, используя старое негарантированное оборудование, которое было у нас в стойках.

Просто, делает то, что нужно, и нам не нужно об этом беспокоиться. Если одна из коробок выйдет из строя, мы просто заменим ее снова.

У меня есть целая глава об этой функции в моей книге (www.briandesmond.com/ad4/). Суть в том, что это функция безопасности, а для распределенных организаций это огромная сделка.

Здесь есть два действительно больших сценария:

-> RODC не хранят пароли по умолчанию. Это означает, что если кто-то физически получает диски с сервера, он не получает все ваши пользовательские (и компьютерные) пароли.

Правильный ответ, если кто-то украл RWDC, - сбросить ВСЕ пароли в домене, так как вы можете считать их все скомпрометированными. Это серьезное начинание.

С помощью контроллера домена только для чтения можно, к примеру, кэшировать только пароли для подмножества X пользователей и компьютеров. Когда RODC фактически кеширует пароль, он сохраняет эту информацию в AD. Если RODC украден, у вас теперь есть небольшой список паролей, которые необходимо сбросить.

-> RODC копируются в одну сторону. Если кто-то украл у вас RWDC, внес в него некоторые изменения и подключил его обратно, эти изменения были бы воспроизведены обратно в среду. Например, они могут добавить себя в группу администраторов домена или сбросить все пароли администратора или что-то в этом роде. С RODC это просто невозможно.

Улучшения скорости не будет, если вы не разместите RODC в месте, где раньше не было постоянного тока, а в некоторых сценариях может произойти улучшение скорости.

Ответ TheCleaner действительно неверен. Существует множество привлекательных сценариев для контроллеров домена только для чтения, и я могу представить несколько вариантов их развертывания в произвольном масштабе. Это простые вещи безопасности, а не "анал о безопасности".

Благодарность,

Брайан Десмонд

Active Directory MVP

Вам нужны RODC, когда у вас много филиалов с плохой физической безопасностью и / или медленным или ненадежным сетевым подключением. Примеры:

• Медицинский работник с центральным офисом и частными клиниками, которые часто передвигаются и используют DSL / Cable для подключения
• Компания, имеющая оборудование в отдаленных районах, где инфраструктура телекоммуникационных компаний ненадежна или где вы вынуждены использовать сотовые или спутниковые сети.

Большинство организаций имеют стандарты физической безопасности для удаленного оборудования. Если вы не можете выполнить эти требования, контроллеры RODC позволяют обеспечить высокоскоростную аутентификацию для доступа к локальным приложениям и общим папкам. Они также позволяют ограничить количество учетных данных, хранящихся на сервере. Скомпрометированный сервер только скомпрометирует пользователей в удаленном местоположении. Полный DC с 75 000 пользователей предоставляет всех этих пользователей в случае локального компромисса.

Если вы работаете в небольшой компании, это совсем не страшно. Я готов развернуть их с помощью BitLocker, потому что RODC существенно снижает риск для безопасности.

Мы собираемся использовать RODC в демилитаризованной зоне на основе этой статьи TechNet . Настройка нового леса для веб-сервисов с RODC в DMZ.

В первую очередь для безопасности, но и для скорости.

Смотрите короткую запись здесь

RODC содержит копию вашей AD, предназначенную только для чтения, и вы используете ее в филиале, где у вас нет ИТ-персонала, и, следовательно, вы не можете гарантировать безопасность или целостность вашей серверной комнаты. В случае компрометации контроллера домена только для чтения вы уверены, что тот, кто скомпрометирует его, будет иметь доступ к вашей AD только в том состоянии, в котором он находился на момент обнаружения. Внесенные в него изменения не будут реплицированы обратно на ваши основные контроллеры домена. Это означает, что тот, кто идет на компромисс, не может делать неприятных вещей, таких как повышение уровня до Администратора домена, блокирование ваших собственных администраторов и их злой путь со всей вашей сетью.

RODC полезны для крупных корпоративных организаций, поскольку конкурирующие корпоративные службы каталогов, такие как Novell eDirectory, уже несколько лет имеют реплики только для чтения.

Еще одно преимущество контроллеров домена только для чтения состоит в том, что они позволят вам иметь работающие контроллеры домена, пока вы выполняете аварийное восстановление, которое включает в себя отключение всех обычных контроллеров домена для восстановления активного каталога. В таких ситуациях вам не нужно отключать RODC.