Controlador de dominio Win2008 R2: planificación cuidadosa de RODC

En ausencia de seguridad física, es importante aumentar el enfoque en la seguridad de los datos. Windows Server 2008 y R2 ofrecen nuevas formas de hacer esto, y estos métodos parecen adaptarse a entornos como oficinas remotas donde la seguridad física no es crítica. Un controlador de dominio de solo lectura (RODC) es una nueva característica de los Servicios de dominio de Active Directory (AD DS) en los sistemas Windows Server. Los controladores de dominio de solo lectura representan un cambio fundamental en la forma en que normalmente se usan los controladores de dominio (DC).

Debido a que muchas de las nuevas características de RODC afectan aspectos clave del diseño y el proceso de implementación, es importante comprender cómo aprovechar estas características en su empresa. Hay algunas consideraciones clave de diseño y planificación que deben considerarse antes de introducir estas características en su entorno. Un RODC es un DC que aloja una copia completa de solo lectura de una partición de base de datos de Active Directory, una copia de solo lectura de SYSVOL y un Conjunto de propiedades filtradas (FAS) que limita la replicación entrante de ciertos datos de aplicaciones de DC grabables. .

De forma predeterminada, RODC no almacena de forma selectiva las credenciales de cuenta de usuario y equipo, pero puede configurarlo para el almacenamiento selectivo. Por lo general, esto solo garantiza el uso de los RODC en sucursales remotas o en redes perimetrales donde la seguridad de los datos suele faltar en la intranet del centro de datos. El RODC también proporciona otras características de seguridad menos conocidas, como una cuenta dedicada a la concesión de tickets de Kerberos RODC para ataques basados ​​en tickets asociados con el propio RODC comprometido.

Si bien los motivos de seguridad son la razón más común para implementar los RODC, los RODC también ofrecen muchos otros beneficios, como la capacidad de administración y la escalabilidad de la empresa. En general, los RODC se utilizan en entornos que requieren autenticación y autorización locales, pero carecen del uso seguro de la seguridad física de DC grabable. Por lo tanto, los RODC son los más comunes en redes perimetrales de centros de datos o ubicaciones de sucursales.

Un centro de datos que requiere AD DS es un ejemplo del uso efectivo de los RODC, pero debido a restricciones de seguridad, no es posible aprovechar el bosque de AD DS de la compañía en la red perimetral. En este caso, el RODC puede cumplir con los requisitos de seguridad relevantes, cambiando así la infraestructura de la empresa para implementar AD DS. Tales situaciones probablemente se volverán más comunes. Esto también refleja el modelo AD DS de mejores prácticas para las redes perimetrales, como el modelo de bosque extendido de la compañía.

Establecimiento de sucursales con RODC

El entorno más común para los RODC con AD DS sigue siendo las sucursales. Dichos entornos suelen ser puntos finales en una topología de red de hub-and-radios. Por lo general, se distribuyen en una amplia ubicación geográfica y son grandes en número, cada uno de los cuales lleva una pequeña cantidad de grupos de usuarios, está conectado al sitio central a través de enlaces de red lentos y poco confiables y, a menudo, carece de administradores locales con experiencia.

Para las sucursales que ya albergan DC de escritura, puede que no sea necesario implementar un RODC. Sin embargo, en este caso, el RODC no solo cumple con los requisitos relacionados con AD DS existentes, sino que también supera sus requisitos para mejorar la seguridad, mejorar la administración, simplificar la arquitectura y reducir el costo total de propiedad (TCO). Para los lugares donde los DC están prohibidos debido a los requisitos de seguridad o administración, el RODC puede ayudarlo a llevar los DC al medio ambiente y proporcionar una serie de servicios de localización útiles.

Si bien las nuevas características y beneficios hacen que RODC sea altamente reconocido, hay otros factores a considerar, como los problemas de compatibilidad de las aplicaciones y el impacto en el servicio. Estos factores pueden hacer que algunos entornos sean inaceptables para la implementación de RODC.

Por ejemplo, debido a que muchas aplicaciones y servicios que admiten directorios leen datos de AD DS, deben continuar ejecutando y usando RODC. Sin embargo, si algunas aplicaciones requieren permisos de escritura en todo momento, es posible que no se acepte el RODC. El RODC de escritura en el DC grabable también depende de la conexión de red. Si bien los errores de escritura pueden ser el problema más común relacionado con la aplicación, hay otros problemas que se deben considerar, como operaciones de lectura ineficientes o fallidas, operaciones de escritura-lectura-retorno y asociación con el propio RODC. La aplicación general es defectuosa.

Además de los problemas de aplicación, las operaciones básicas del usuario y la computadora pueden verse afectadas cuando se pierde o pierde una conexión a un DC grabable. Por ejemplo, si la contraseña de la cuenta no se puede almacenar en la memoria caché y no se almacena en la memoria caché en el RODC local, el servicio de autenticación básica puede fallar. Puede eliminar este problema haciendo que la cuenta sea almacenada en caché por la Política de replicación de contraseñas (PRP) del RODC y luego rellene previamente la contraseña. La realización de estos pasos también requiere la conexión a un DC grabable.

Cuando no puede conectarse a un DC grabable, la caducidad de la contraseña, el bloqueo de la cuenta y otros problemas de autenticación se ven significativamente afectados. Las solicitudes de cambio de contraseña y cualquier intento de desbloquear manualmente una cuenta bloqueada fallarán hasta que se restablezca la conexión al DC grabable. Comprender estas dependencias y los cambios posteriores en el comportamiento operativo es fundamental para garantizar que se cumplan sus requisitos y cualquier acuerdo de nivel de servicio (SLA).

En algunos casos generales, puede implementar un RODC. RODC es útil donde el DC no existe actualmente, o donde el DC alojado actualmente será reemplazado o actualizado a una versión más nueva de Windows. Si bien hay consideraciones de planificación integrales específicas para cada situación, nos centramos aquí en métodos no específicos. Sin embargo, estos métodos son un enfoque completamente diferente para RODC, no para los CD de escritura tradicionales.