Для чого насправді корисний контролер домену лише для читання?

Windows Server 2008 представив контролери домену лише для читання, які отримують повну копію бази даних домену, але не можуть її змінити, як і старий добрий BDC Windows NT.

Я знаю всі технічні результати, як запустити ці напів-постійні постійні струми (я щойно пройшов 70-646 і 70-647), але все одно я не маю чіткої відповіді на найважливіше з усіх питань: навіщо вам використовувати їх ?

Цей коментар від TheCleaner справді резюмує для мене:

@Massimo - так, ти маєш рацію. Ви шукаєте вагому причину для RODC, а такої немає. У нього є кілька додаткових функцій безпеки, які допомагають полегшити безпеку відділень, і його дійсно потрібно розміщувати там, якщо у вас вже немає постійного струму і є аналогічними щодо його безпеки.

Це було те саме, що я думав ... трохи збільшити безпеку, так, звичайно, але, безумовно, не так сильно, щоб вартувати клопоту.

Я дам вам сценарій у реальному світі:

• у нас це є у нашому відділенні в Китаї

Ми використовуємо це, оскільки там немає відділу інформаційних технологій, ми обробляємо всі запити на акаунти AD тощо у США. Маючи там RODC, ми знаємо:

1. Ніхто там не може увійти в нього і спробувати "зламати" в AD.
2. Ніхто не може його вкрасти і отримати щось вартісне, щоб потім повернутися і «зламати» в мережі пізніше.

Маючи AD / DNS лише для читання, нам не потрібно турбуватися про спроби маніпулювання даними на постійному струмі.

Це пов’язано з особливостями, знайденими тут: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx

Для нас це більше "душевного спокою", ніж будь-що інше ... плюс це дозволило встановити дуже мінімальну установку сервера, оскільки це було просто серверне ядро ​​з встановленою роллю RODC. Ми ставимо його на більш старий сервер 1U з 2 дисками Raid-1 на 18 ГБ. Ми фактично помістили 2 з них у ... таку ж точну конфігурацію, використовуючи старіше не гарантійне обладнання, яке було у стелажів.

Просто, робить те, що йому потрібно робити, і нам не потрібно про це турбуватися. Якщо одна з скриньок виходить з ладу, ми її просто знову замінимо.

У цій книзі я цілий розділ про цю особливість (www.briandesmond.com/ad4/). Довгий і короткий факт полягає в тому, що це функція безпеки, і для розподілених організацій це величезна справа.

Тут є два дійсно великих сценарію:

-> RODC не зберігають паролі за замовчуванням. Це означає, що якщо хтось фізично отримує диски з сервера, він не отримує всі ваші користувацькі (та комп’ютерні) паролі.

Правильна відповідь, якщо хтось викраде RWDC - це скидання ВСІХ паролів у домені, оскільки ви можете вважати, що всі вони порушені. Це головне починання.

За допомогою RODC ви можете сказати лише кешування паролів для підмножини X користувачів та комп'ютерів. Коли RODC фактично кешує пароль, він зберігає цю інформацію в AD. Якщо RODC вкрадено, у вас зараз невеликий список паролів, які потрібно скинути.

-> RODC копіюються в одну сторону. Якщо хтось вкрав вам RWDC, вніс деякі зміни в нього і знову підключив його, ці зміни повторилися б у оточенні. Наприклад, вони можуть додати себе до групи адміністраторів домену або скинути всі паролі адміністратора чи щось таке. З RODC це просто неможливо.

Поліпшення швидкості не відбувається, якщо ви не розміщуєте RODC у місці, де раніше не було постійного струму, і тоді, швидше за все, в деяких сценаріях буде покращено швидкість.

Відповідь TheCleaner дійсно неправильна. Є ВЕЛИКЕ переконливих сценаріїв для RODC, і я можу придумати декілька розгортань з них на масштабній відстані. Це прості матеріали з безпеки, а не "анали про безпеку".

Спасибі,

Брайан Десмонд

MVP Active Directory

Вам потрібні RODC, коли у вас є багато відділень з поганою фізичною захищеністю та / або повільним або ненадійним мережевим підключенням. Приклади:

• Медичний постачальник із центральним офісом та поліклініками, які часто рухаються та використовують DSL / Cable для підключення
• Компанія, яка має послуги у віддалених районах, де інфраструктура телекомунікацій ненадійна, або де ви змушені використовувати стільникові або супутникові мережі.

Більшість організацій мають стандарти фізичної безпеки для віддаленого обладнання. Якщо ви не можете виконати ці вимоги, RODC дозволяє надати високошвидкісну аутентифікацію для доступу до локальних програм та спільних файлів. Вони також дозволяють обмежити кількість облікових даних, що зберігаються на сервері. Порушений сервер компрометує лише користувачів у віддаленому місці. Повний постійний дім із 75 000 користувачів викриває всіх цих користувачів у випадку локального компромісу.

Якщо ви працюєте в меншій компанії, це взагалі не велика справа. Мені пропонується розгорнути їх за допомогою BitLocker, оскільки RODC істотно знижує ризик безпеки.

Ми збираємось використовувати RODC у DMZ на основі цієї статті TechNet . Налаштування нового лісу для веб-служб за допомогою RODC в DMZ.

В першу чергу для безпеки, але також і для швидкості.

Дивіться коротке написання тут

RODC містить копію рекламного оголошення, доступну лише для читання, і ви використовуєте її у філії, де немає ІТ-персоналу, і тому не можете гарантувати безпеку та цілісність серверного приміщення. У випадку компрометації RODC ви впевнені, що той, хто робить компроміс, отримає доступ до вашої реклами лише в тому стані, в якому він знаходився на момент виявлення. Ніякі зміни, внесені до нього, не будуть відтворені на ваші основні постійні струми. Це означає, що той, хто компромісує з цим, не може робити неприємних речей, як-от піднятись на Адміністратора домену, заблокувати власних адміністраторів та провести їх нечестивий шлях у всій мережі.

RODC корисні для великих корпоративних організацій, які конкурують в службах каталогів підприємств, як-от Novell eDirectory, вже протягом багатьох років мають репліки для читання.

Ще одна перевага RODC полягає в тому, що вони дозволять вам мати робочі контролери домену, коли ви робите відновлення після аварій, що передбачає зняття всіх звичайних контролерів домену для відновлення активного каталогу. У цих ситуаціях не потрібно вимикати RODC.