只讀域控制器(RODC)是在Windows Server? 2008操作系統中一種新的域控制器。有了只讀域控制器,組織能夠容易地的物理安全得不到保證的地區部署域控制器。一台RODC包含了活動目錄數據庫的只讀部分。
在Windows Server? 2008發布以前,如果用戶不得不跨廣域網連接域控制器進行身份驗證的話,那也就沒有其它更好的選擇。在許多案例中,這不是有效的解決方法。分支機構通常無法為一台可寫的域控制器提供的足夠的物理安全。而且,當分支機構連接到樞紐站點時,它們的網絡帶寬通常比較差。這將導致登錄時間變長。這也會阻礙網絡資源的訪問。
從Windows Server? 2008開始,組織能夠部署RODC來處理這些問題。作為部署的結果,用戶能夠獲得以下好處:改進的安全性快速登錄更有效的訪問網絡資源RODC可以做什麼?
在考慮部署RODC時,物理安全的不足是最為尋常的理由。RODC給那些需要快速可靠的身份驗證,同時對可寫域控制器而言物理安全無法得到確保的地方部署域控制器提供了新的方法。
然而你的組織也可以為了特殊的管理需要選擇部署RODC。比如,業務程序(line-of-business,LOB)只能被安裝到域控制器上並才能得以成功運行。或者,域控制器是分支機構僅有的服務器,而不得不運行服務器應用。
在這些例子中,業務程序所有者必須經常交互式登錄到域控制器或者使用終端服務來配置和管理程序。這種環境引起了在可寫域控制器上不被接受的安全風險。
RODC為在這些場景中部署域控制器提供了更安全的機械結構。你能夠將登錄到RODC的權利轉讓給沒有管理權限的域用戶同時最小化給互動目錄森林帶來的安全風險。
你也可以在其它場景中部署RODC,比如在外延網(EXTRANETS)中本地儲存的所有域密碼被認為是主要威脅。
還有其它要特別考慮的嗎?
為了部署RODC,域中必須至少有一台運行Windows Server 2008的可寫域控制器。此外,活動目錄域和森林的功能級必須是Windows Server 2003或者更高。
這項特性提供了什麼新功能?
RODC處理了在分支機構中的普遍問題。這些地方也許沒有域控制器。或者他們有可寫的域控制器但是沒有足夠的物理安全,網絡帶寬以及專門的技術人員來提供支持。下面的RODC的功能緩解了這些問題:只讀活動目錄數據庫單向復制憑據緩存管理員角色分割只讀DNS
只讀活動目錄數據庫除了賬戶密碼之外,RODC擁有所有可寫域控制器擁有的對象和屬性。然而,無法針對儲存在RODC的數據庫進行任何數據上的改變。數據上的改變必須在可寫域控制器上進行然後復制回RODC。
請求獲得目錄讀取權限的本地程序能夠獲得訪問許可。當使用輕型目錄訪問協議(LDAP)的程序請求寫入權限時將會收到“referral”應答。在樞紐站點中,通常情況下這些應答將寫入請求引導到可寫的域控制器。
RODC已篩選屬性集使用AD DS作為數據存儲的某些程序,也許會將類似信任憑據的數據(諸如密碼,信任憑據,加密密鑰)儲存在RODC上。而你不想將這些數據儲存在RODC上是因為考慮到RODC受到安全威脅的情況。
為了這些程序。你可以在架構中動態配置不被復制到RODC的域對象的屬性集。這個屬性集被稱為RODC已篩選屬性集。在RODC已篩選屬性集定義的屬性不允許復制到森林內的任何一台RODC。
威脅到RODC的惡意用戶能夠以某種途徑嘗試配置RODC,並嘗試將RODC已篩選屬性集中定義的屬性復制到其它域控制器。如果RODC嘗試從一台安裝Windows Server 2008的域控制器上復制這些屬性,那麼復制請求將被拒絕。然而,如果RODC嘗試從一台安裝Windows Server 2003的域控制器上復制這些屬性,復制請求將被接受。
因此,作為安全性的預防措施,如果你想配置RODC已篩選屬性集請確保森林的功能級是Windows Server 2008。如果森林的功能級是Windows Server 2008,那麼收到威脅的RODC將不能被如此利用,因為運行Windows Server 2003的域控制器在森林中是不被允許的。
你無法添加系統關鍵屬性到RODC已篩選屬性集。判斷是否是系統關鍵屬性的依據是看以下服務能否正常工作,這樣的服務有 AD DS、LSA、SAM(及SSPIs比如Kerberos)在Windows Server 2008 Beta3的後繼版本中,系統關鍵屬性擁有屬性值等於1的schemaFlagsEx屬性。
RODC已篩選屬性集被配置在擁有架構操作主機的的服務器上。如果你嘗試添加系統關鍵屬性打到RODC已篩選屬性集,而且架構操作主機運行在Windows Server 2008上,那麼服務器將返回“unwillingToPerform”的LDAP錯誤。如果你嘗試添加系統關鍵屬性打到RODC已篩選屬性集,但是架構操作主機運行在Windows Server 2003上,那麼操作將看上去是成功完成了,然而屬性值實際上卻沒有被添加。因此,當你想要添加屬性到RODC已篩選屬性集時,價格操作主機建議是運行Windows Server 2008的域控制器。這保證了系統關鍵屬性不包含在RODC已篩選屬性集中。
單向復制因為沒有任何屬性的變化會被直接寫入RODC,所以任何變化不會從RODC發起。因此,作為復制伙伴的可寫域控制器不會產生從RODC“拉”數據的操作。這意味著惡意用戶在分支結構的RODC上進行的操作的結果不會被復制到森林的剩余部分。這也減少了樞紐站點裡的橋頭服務器的工作量以及為了監視復制所要求的工作量。
RODC的單向復制同時應用於AD DS及分布式文件系統(DFS)的復制。RODC為AD DS及DFS執行正常的入站復制。
憑據緩存憑據緩存是用戶或者計算機憑據的儲存器。憑據是由和安全主體關聯的一小組大約接近10個密碼的集合所組成。在默認情況下RODC不儲存用戶或者計算機憑據。例外的情況是RODC自身的計算機賬戶以及每台RODC所有的特殊的krbtgt賬戶。你在RODC上必須顯示允許其它任何憑據緩存。
RODC宣告成為分支結構的密鑰分配中心(KDC)。RODC與可寫域控制器上的KDC相比,它將使用不同的krgbrt賬戶和密碼來簽名或加密(TGT)請求。
當一個賬戶被成功驗證時,RODC會試圖聯系樞紐站點中一台可寫的的域控制器,並請求一份合適憑據的副本。可寫域控制器將會識別出這個請求來自RODC,並考略影響到RODC的密碼復制策略。
密碼復制策略決定了用戶或者計算機的憑據是否可以從可寫域控制器復制到RODC。如果策略允許,那麼可寫域控制器將密碼復制到RODC上,並且RODC緩存這些憑據。
當憑據被RODC緩存之後,RODC能夠直接為用戶登錄請求服務直到憑據發生變化。(當TGT被RODC的krbtgt賬戶簽名時,RODC識別出它有一份緩存的憑據副本。如果其它域控制器對TGT進行了簽名,那麼RODC將會把這個請求轉遞給一台可寫域控制器。)
因為憑據緩存被限制為只有被RODC認證的用戶的憑據才能被緩存,所以由於RODC受到威脅而導致的潛在的憑據洩露也得到了限制。因此,域用戶中只有很少一部分的憑據被緩存在RODC上。因此,當發生RODC被盜的事件時,只有這些被緩存的憑據才有可能被破解。
保持憑據緩存關閉也許能更深層次的限制洩露,但是這樣將導致所有的認證請求都被傳遞給可寫域控制器。管理員能夠修改默認密碼策略來允許用戶憑據被緩存到RODC上。
管理員角色分割你能委派RODC的本地管理權限至任何域用戶而不用使該用戶獲得域或者域控制器的用戶權限。這使分支機構的用戶能夠登錄至RODC並執行諸如升級驅動程序之類的維護工作。然而分支結構用戶無法登錄到其它任何域控制器或者在域中執行其它管理工作。因此分支結構用戶能夠委派有效的權利來管理分支機構的RODC而不會威脅到域內其它部分的安全。
只讀DNS你能在RODC上安裝DNS服務。RODC能夠復制DNS使用的所有程序目錄分區,包括ForestDNSZones以及DomainDNSZones。如果DNS服務被安裝到RODC上,用戶能夠像查詢其它DNS服務器一樣進行名稱解析。
然而,在RODC上的DNS服務不支持客戶端直接更新。因為RODC不登記它所擁有任何的AD集成區域的NS資源記錄。當客戶端試圖在RODC上嘗試更新DNS記錄時,服務器會返回包含支持客戶端更新的DNS服務器的引用。隨後,客戶端能夠嘗試利用引用中提供的DNS服務器進行DNS記錄更新。而在後台,RODC上的DNS服務器會嘗試從更新的DNS服務器中復制已更新的記錄。復制請求僅針對單一對象(DNS記錄)。整個變化區域的列表或者域數據在特定的“復制單一對象”的請求過程中將不被復制。
