RODC
RODC
RODC。
只讀域控制器 (RODC) 是 Windows Server® 2008 操作系統中的一種新類型的域控制器。藉助 RODC,組織可以在無法保證物理安全性的位置中輕鬆部署域控制器。RODC 承載 Active Directory® 域服務 (AD DS) 資料庫的只讀分區。
在 Windows Server 2008 發布之前,如果用戶必須通過廣域網 (WAN) 對域控制器進行身份驗證,則沒有合適的替代方案。在許多情況下,這不是一個有效的解決方案。分支機構通常不能為可寫域控制器提供所需的充分的物理安全性。此外,當分支機構連接到中心站點時,其網路帶寬狀況通常較差。這可能增加登錄所需的時間。它還可能妨礙對網路資源的訪問。
從 Windows Server 2008 開始,組織可以部署 RODC 來解決這些問題。因此,用戶在此情況下可以獲得以下好處:
提高的安全性
更快的登錄速度
更有效地訪問網路上的資源
有關 RODC 的詳細信息,請參閱只讀域控制器 (RODC) 計劃和部署指南
物理安全性不足是考慮部署 RODC 的最常見原因。RODC 提供了一種在要求快速、可靠的身份驗證服務但不能確保可寫域控制器的物理安全性的位置中更安全地部署域控制器的方法。
但是,您的組織也可選擇根據特殊管理要求部署 RODC。例如,行業 (lob) 應用程序只有在安裝在域控制器上的情況下,才可以成功運行。或者,域控制器可能是分支機構中唯一的伺服器,並且可能必須承載伺服器應用程序。
RODC 為在此方案中部署域控制器提供了更安全的機制。您可以向非管理域用戶授予登錄到 RODC 的許可權,同時最小化 Active Directory 林的安全風險。
還可以在其他方案中部署 RODC,例如,Extranet 或面嚮應用程序的角色中,其中本地存儲的所有域用戶密碼是主要威脅。
RODC 主要設計用於部署在遠程或分支機構環境中。分支機構通常具有以下特性:
相對較少的用戶
物理安全性差
到中心站點的網路帶寬相對較差
對信息技術 (IT) 的了解很少
如果您屬於以下組別,則應關注本部分以及有關 RODC 的附加支持文檔:
從技術方面評估該產品的 IT 計劃者和分析者
各組織的企業 IT 計劃者和設計者
負責 IT 安全的人員
管理小型分支機構的 AD DS 管理員
若要部署 RODC,在域中至少有一個可寫域控制器必須運行 Windows Server 2008。此外,域和林的功能性的級別必須是Windows Server 2003 或更高版本。
有關部署 RODC 的先決條件的詳細信息,請參閱部署此功能應做哪些準備工作?
RODC 解決了分支機構中的一些常見問題。這些位置可能沒有域控制器。或者,這些位置可能具有可寫域控制器,但是不具備支持它的物理安全性、網路帶寬或本地專業知識。以下 RODC 功能將有助於改善這些問題:
只讀 AD DS 資料庫
憑據緩存
管理員角色分隔
只讀域名系統 (DNS)
只讀 ADDS 資料庫
除帳戶密碼之外,RODC 保存了可寫域控制器所保留的所有 Active Directory 對象和屬性。但是,不能對存儲在 RODC 上的資料庫進行更改。更改必須在可寫域控制器上進行,然後複製回 RODC。
請求對目錄的讀取訪問的本地應用程序可以獲取訪問許可權。請求寫入訪問的輕型目錄應用程序協議 (LDAP) 應用程序將接收 LDAP 引用響應。此響應將其定向到可寫域控制器(一般在中心站點中)。
RODC 篩選的屬性集
某些將 AD DS 用作數據存儲的應用程序可能具有不希望存儲在 RODC 上的類似憑據的數據(例如密碼、憑據或加密密鑰),以防 RODC 的安全受到危害。
對於這些類型的應用程序,可以在架構中為將不會複製到 RODC 的域對象動態配置一組屬性。這組屬性稱為 RODC 篩選的屬性集。在 RODC 篩選的屬性集中定義的屬性不允許複製到林中的任何 RODC。
威脅 RODC 的惡意用戶可以嘗試採用這種方式對其進行配置,以試圖複製在 RODC 篩選的屬性集中定義的屬性。如果 RODC 嘗試從運行 Windows Server 2008 的域控制器複製這些屬性,則複製請求會被拒絕。但是,如果 RODC 嘗試從運行 Windows Server 2003 的域控制器複製屬性,則複製請求可能成功。
因此,出於安全考慮,如果您計劃配置 RODC 篩選的屬性集,請確保林功能級別為 Windows Server 2008。當林功能級別為 Windows Server 2008 時,無法以這種方式使用受到威脅的 RODC,因為林中不允許運行 Windows Server 2003 的域控制器。
不得將系統關鍵屬性添加到 RODC 篩選的屬性集。如果一個屬性是 AD DS、本地安全機構 (LSA)、安全帳戶管理器 (SAM) 和 Microsoft 特定的安全服務提供程序介面 (SSPI)(例如 Kerberos)正常工作所要求的,則該屬性是系統關鍵屬性。系統關鍵屬性的schemaFlagsEx 屬性值等於 1 (schemaFlagsEx attribute value & 0x1 = TRUE)。
RODC 篩選的屬性集在保存架構操作主機角色的伺服器上進行配置。當架構主機運行 Windows Server 2008 時,如果嘗試將系統關鍵的屬性添加到 RODC 篩選集,則伺服器將返回 "unwillingToPerform" LDAP 錯誤。如果嘗試將系統關鍵的屬性添加到在 Windows Server 2003 架構主機上的 RODC 篩選的屬性集,則操作看起來成功,但實際上屬性未添加。因此,在將屬性添加到 RODC 篩選的屬性集時,建議架構主機為 Windows Server 2008 域控制器。這確保在 RODC 篩選的屬性集中不包括系統關鍵的屬性。
單向複製
因為不會將更改直接寫入 RODC,不會有更改源自 RODC。相應地,作為複製合作夥伴的可寫域控制器不必從 RODC 拉進更改。這意味著惡意用戶在分支位置可能進行的任何更改或損壞不能從 RODC 複製到林的其餘部分。這也減少了集線器中橋頭伺服器的工作負荷以及監視複製所需的努力。
RODC 單向複製同時適用於 AD DS 和 SYSVOL 的分散式文件系統 (DFS) 複製。針對 AD DS 和 SYSVOL 更改,RODC 執行正常的入站複製。
備註:RODC 上配置為使用DFS 複製進行複製的任何其他共享都將採用雙向複製。
憑據緩存
憑據緩存指用戶或計算機憑據的存儲。憑據由與安全主體相關的一組大約 10 個密碼組成。默認情況下,RODC 不存儲用戶或計算機憑據。例外情況為 RODC 的計算機帳戶和每個 RODC 具有的特殊 krbtgt 帳戶。您必須明確允許任何其他憑據在 RODC 上緩存。
RODC 作為分支機構的密鑰發行中心 (KDC) 播發。當 RODC 對票證授予票證 (TGT) 請求進行簽名或加密時,它使用與可寫域控制器上的 KDC 使用的帳戶和密碼不同的 krbtgt 帳戶和密碼。
在帳戶成功經過身份驗證后,RODC 將嘗試與中心站點中的可寫域控制器聯繫並請求獲取相應憑據的副本。可寫域控制器可以識別出請求來自某個 RODC 並查詢對該 RODC 有效的密碼複製策略。
密碼複製策略確定是否可以將用戶憑據或計算機憑據從可寫域控制器複製到 RODC。如果密碼複製策略允許複製憑據,則可寫域控制器將憑據複製到 RODC,然後 RODC 緩存憑據。
在 RODC 上緩存憑據之後,RODC 就可以直接服務該用戶的登錄請求,直到憑據更改。(當使用 RODC 的 krbtgt 帳戶對 TGT 簽名時,RODC 將識別出它具有憑據的緩存副本。如果其他域控制器對 TGT 簽名,則 RODC 將請求轉發到可寫域控制器。)
通過將憑據緩存僅限於通過 RODC 驗證身份的用戶,通過危害 RODC 而使憑據泄露的可能性也得到限制。通常,在任何給定的 RODC 上只緩存一小部分域用戶的憑據。因此,如果出現 RODC 被竊的情況,只有 RODC 上緩存的那些憑據可能會被破解。
保持憑據緩存處于禁用狀態可能進一步限制泄露,但它將導致所有身份驗證請求被轉發到可寫域控制器。管理員可以修改默認密碼複製策略以允許在 RODC 上緩存用戶憑據。
管理員角色分隔
可以將 RODC 的本地管理許可權委託給任何域用戶,而無需授予該用戶對該域或其他域控制器的任何用戶許可權。這允許本地分支用戶登錄到 RODC 並在伺服器上執行維護工作(例如升級驅動程序)。但是,分支用戶不能登錄到任何其他域控制器或在域中執行任何其他管理任務。以此方式,分支用戶可以被委派在分支機構中有效地管理 RODC 的能力,而不會危害域的其餘部分的安全。
只讀 DNS
可以在 RODC 上安裝 DNS 伺服器服務。RODC 能夠複製 DNS 使用的所有應用程序目錄分區(包括 ForestDNSZones 和 DomainDNSZones)。如果已在 RODC 上安裝了 DNS 伺服器,則客戶端可以與查詢任何其他 DNS 伺服器一樣,查詢該 DNS 伺服器以進行名稱解析。
但是,RODC 上的 DNS 伺服器是只讀的,所以並不直接支持客戶端更新。有關 DNS 伺服器在 RODC 上如何處理 DNS 客戶端更新的詳細信息,請參閱位於RODC 站點的客戶端的 DNS 更新。
為了支持 RODC 密碼複製策略,Windows Server 2008 AD DS 包含了新的屬性。密碼複製策略是一種機制,用於確定是否允許將用戶或計算機的憑據從可寫域控制器複製到 RODC。在運行 Windows Server 2008 的可寫域控制器上始終設置密碼複製策略。
在 Windows Server 2008 Active Directory 架構中為支持 RODC 而添加的 AD DS 屬性包括以下內容:
msDS-Reveal-OnDemandGroup msDS-NeverRevealGroup msDS-RevealedList msDS-AuthenticatedToAccountList 有關這些屬性的詳細信息,請參閱 RODC 計劃和部署指南
部署 RODC 的先決條件如下所示:
RODC 必須將身份驗證請求轉發到運行 Windows Server 2008 的可寫域控制器。在此域控制器上設置了密碼複製策略,以確定是否為從 RODC 轉發的請求將憑據複製到分支位置。域功能性的級別必須是 Windows Server 2003 或更高版本,以便可以使用 Kerberos 受限制的委派。受限制的委派用於必須在調用方的上下文中模擬的安全調用。林功能性的級別必須是 Windows Server 2003 或更高版本,以便可以使用鏈接值複製。這提供了更高級別的複製一致性。在林中必須運行一次 adprep /rodcprep 以更新在林中的所有 DNS 應用