В Windows Server 2008 появились контроллеры домена только для чтения, которые получают полную реплику базы данных домена, но не могут ее изменять, как и старый добрый Windows NT BDC.
Я знаю все технические тонкости работы с этими полуконтактными системами (я только что сдал 70-646 и 70-647), но все же у меня нет четкого ответа на самый важный из всех вопросов: почему ты должен их использовать?
Этот комментарий от TheCleaner действительно резюмирует для меня:
@Massimo - да, вы правы. Вы ищете вескую причину для RODC, но ее нет. У него есть несколько дополнительных функций безопасности, которые помогут снизить безопасность филиалов, и его действительно нужно развернуть там, только если у вас еще нет DC и вы не беспокоитесь о его безопасности.
Это было то же самое, о чем я думал ... небольшое усиление безопасности, да, конечно, но определенно не настолько, чтобы стоить хлопот.
В моей книге (www.briandesmond.com/ad4/) есть целая глава об этой функции. Короче говоря, это функция безопасности, и для распределенных организаций это очень важно.
Здесь есть два действительно больших сценария:
-> RODC по умолчанию не хранят пароли. Это означает, что если кто-то физически получает диски с сервера, он не получает все ваши пароли пользователя (и компьютера).
Правильный ответ, если кто-то украл RWDC, - сбросить ВСЕ пароли в домене, так как вы можете считать их все скомпрометированными. Это серьезное мероприятие.
С RODC вы можете сказать, что кэшировать пароли только для подмножества X пользователей и компьютеров. Когда RODC фактически кэширует пароль, он сохраняет эту информацию в AD. Если RODC украден, у вас теперь есть небольшой список паролей, которые необходимо сбросить.
-> Контроллеры домена только для чтения (RODC) реплицируются в одну сторону. Если кто-то украл ваш RWDC, внес в него некоторые изменения и снова подключил, эти изменения реплицировались обратно в среду. Например, они могут добавить себя в группу администраторов домена или сбросить все пароли администраторов или что-то в этом роде. С RODC это просто невозможно.
Нет улучшения скорости, если вы не размещаете RODC в месте, где раньше не было DC, и тогда в некоторых сценариях, вероятно, произойдет улучшение скорости.
Ответ TheCleaner действительно неверен. Существует МНОГО привлекательных сценариев для контроллеров домена только для чтения, и я могу сразу придумать несколько их масштабных развертываний. Это простая информация о безопасности, а не "анал о безопасности".
Спасибо,
Брайан Десмонд
MVP по Active Directory
Я дам вам реальный сценарий:
Мы используем его, потому что там нет ИТ-отдела, мы обрабатываем все запросы на учетные записи AD и т.д. здесь, в США. Имея там RODC, мы знаем:
Имея AD / DNS только для чтения, нам не нужно беспокоиться о попытках манипулировать данными на контроллере домена.
Это из-за функций, найденных здесь: http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx
Для нас это больше «душевное спокойствие», чем что-либо еще ... плюс это позволило установить очень минимальный сервер, поскольку это было всего лишь ядро сервера с установленной ролью RODC. Мы поставили его на более старый сервер высотой 1U с 2 дисками Raid-1 по 18 ГБ. На самом деле мы поместили 2 из них в ... такую же точную конфигурацию, используя старое оборудование без гарантии, которое у нас было в стойках.
Просто, делает то, что нужно, и нам не о чем беспокоиться. Если одна из коробок выйдет из строя, мы просто заменим ее снова.
Вам нужны RODC, когда у вас много филиалов с плохой физической безопасностью и / или медленным или ненадежным сетевым подключением. Примеры:
Большинство организаций имеют стандарты физической безопасности для удаленного оборудования. Если вы не можете удовлетворить эти требования, контроллеры домена только для чтения позволяют обеспечить высокоскоростную аутентификацию для доступа к локальным приложениям и общим папкам. Они также позволяют ограничить количество учетных данных, хранящихся на сервере. Скомпрометированный сервер подвергает опасности пользователей только в удаленном месте. Полный DC с 75 000 пользователей предоставляет доступ ко всем этим пользователям в случае локального взлома.
Если вы работаете в небольшой компании, в этом нет ничего страшного. Я очень хочу развернуть их с помощью BitLocker, потому что контроллеры домена только для чтения существенно снижают риск безопасности.
Мы собираемся использовать RODC в DMZ на основе этого TechNet статья. Настройка нового леса для веб-сервисов с RODC в DMZ.
В первую очередь для безопасности, но также и для скорости.
Смотрите короткую запись Вот
Контроллер домена только для чтения содержит копию вашего AD, доступную только для чтения, и вы используете ее в филиале, где у вас нет ИТ-персонала, и поэтому не может гарантировать безопасность или целостность вашей серверной. В случае компрометации контроллера домена только для чтения вы можете быть уверены, что любой, кто его скомпрометирует, получит доступ к вашему AD только в том состоянии, в котором он находился на момент обнаружения. Никакие изменения, внесенные в него, не будут реплицированы обратно на ваши основные контроллеры домена. Это означает, что кто бы ни пошел на компромисс, он не может делать такие неприятные вещи, как повышать свой уровень до администратора домена, блокировать собственных администраторов и действовать по-своему со всей вашей сетью.
Контроллеры RODC полезны для крупных корпоративных организаций, конкурирующие корпоративные службы каталогов, такие как Novell eDirectory, уже много лет имеют реплики только для чтения.
Еще одним преимуществом контроллеров домена только для чтения является то, что они позволят вам иметь работающие контроллеры домена при выполнении некоторого аварийного восстановления, которое включает отключение всех обычных контроллеров домена для восстановления активного каталога. В таких ситуациях не нужно отключать контроллеры домена только для чтения.