Mejoras en Active Directory en Windows Server 2008: controlador de dominio de solo lectura (RODC)

  

¿Está el controlador de dominio de solo lectura (RODC) en Windows Server? Un nuevo controlador de dominio en el sistema operativo 2008. Con un controlador de dominio de solo lectura, las organizaciones pueden implementar fácilmente controladores de dominio en áreas donde la seguridad física no está garantizada. Un RODC contiene una parte de solo lectura de la base de datos de Active Directory.

¿En Windows Server? Antes del lanzamiento de 2008, si los usuarios tenían que conectarse al controlador de dominio para la autenticación a través de la WAN, no habría una mejor alternativa. En muchos casos, esta no es una solución efectiva. Las sucursales generalmente no proporcionan suficiente seguridad física para un controlador de dominio grabable. Además, cuando las sucursales están conectadas a los sitios centrales, el ancho de banda de su red suele ser bajo. Esto resultará en tiempos de inicio de sesión más largos. Esto también dificulta el acceso a los recursos de la red.

¿Desde Windows Server? A partir de 2008, las organizaciones pueden implementar RODC para abordar estos problemas. Como resultado de la implementación, los usuarios pueden obtener los siguientes beneficios: Seguridad mejorada Inicio de sesión rápido Acceso más eficiente a los recursos de la red ¿Qué puede hacer un RODC?

Al considerar la implementación de RODC, la falta de seguridad física es la razón más común. RODC proporciona una nueva forma de implementar controladores de dominio donde se requiere una autenticación rápida y confiable, mientras que la seguridad física no está garantizada para los controladores de dominio de escritura.

Sin embargo, su organización también puede elegir implementar RODC para necesidades de administración especiales. Por ejemplo, una línea de negocio (LOB) solo se puede instalar en un controlador de dominio para que funcione correctamente. O, el controlador de dominio es el único servidor en la sucursal y tiene que ejecutar la aplicación del servidor.

En estos ejemplos, los propietarios de procesos de negocios deben iniciar sesión de forma interactiva en los controladores de dominio o utilizar los Servicios de Terminal Server para configurar y administrar programas. Este entorno crea un riesgo de seguridad que no es aceptable en los controladores de dominio de escritura.

RODC proporciona una estructura mecánica más segura para implementar controladores de dominio en estos escenarios. Puede transferir el derecho de iniciar sesión en el RODC para los usuarios de dominios sin derechos administrativos, a la vez que minimiza los riesgos de seguridad asociados con el bosque de directorios interactivo.

También puede implementar RODC en otros escenarios. Por ejemplo, todas las contraseñas de dominio almacenadas localmente en EXTRANETS se consideran amenazas importantes.

¿Existen otras consideraciones especiales?

Para implementar un RODC, debe haber al menos un controlador de dominio grabable que ejecute Windows Server 2008. Además, el nivel funcional del dominio y bosque de Active Directory debe ser Windows Server 2003 o superior.

¿Qué nuevas características ofrece esta característica?

RODC maneja problemas comunes en sucursales. Estos lugares pueden no tener controladores de dominio. O tienen un controlador de dominio de escritura, pero no tienen suficiente seguridad física, ancho de banda de la red y personal técnico dedicado para brindar soporte. Las siguientes características de RODC alivian estos problemas: las bases de datos de replicación unidireccionales de Active Directory de solo lectura la función de administrador de la memoria caché dividen el DNS de solo lectura. Los objetos y propiedades que posee el controlador. Sin embargo, no se pueden hacer cambios a los datos en la base de datos almacenada en el RODC. Los cambios en los datos deben realizarse en el controlador de dominio de escritura y luego copiarse de nuevo en el RODC.

Un programa local que solicita permiso para leer el directorio puede obtener permiso de acceso. Se recibirá una respuesta de "referencia" cuando un programa que utiliza el Protocolo ligero de acceso a directorios (LDAP) solicita acceso de escritura. En un sitio central, estas respuestas generalmente dirigen las solicitudes de escritura a un controlador de dominio grabable.

Conjuntos de atributos filtrados de RODC Algunos programas que usan AD DS como almacén de datos pueden almacenar datos como credenciales de confianza (como contraseñas, credenciales de confianza, claves de cifrado) en el RODC. Y no desea almacenar estos datos en el RODC debido a las amenazas de seguridad a las que está sujeto el RODC.

Para estos programas. Puede configurar dinámicamente el conjunto de propiedades de objetos de dominio que no se copian al RODC en el esquema. Este conjunto de atributos se denomina conjunto de atributos filtrados RODC. Los atributos definidos en el conjunto de atributos filtrados de RODC no pueden copiarse a ningún RODC en el bosque.

Un usuario malintencionado que amenaza un RODC puede intentar configurar el RODC de alguna manera e intentar copiar los atributos definidos en el conjunto de atributos filtrados del RODC a otros controladores de dominio. Si el RODC intenta copiar estos atributos desde un controlador de dominio que tiene instalado Windows Server 2008, se rechazará la solicitud de copia. Sin embargo, si el RODC intenta copiar estos atributos desde un controlador de dominio que tiene instalado Windows Server 2003, se aceptará la solicitud de copia.

Por lo tanto, como precaución de seguridad, si desea configurar el conjunto de atributos filtrados de RODC, asegúrese de que el nivel funcional del bosque sea Windows Server 2008. Si el nivel funcional del bosque es Windows Server 2008, el RODC que recibe la amenaza no podrá usarlo porque el controlador de dominio que ejecuta Windows Server 2003 no está permitido en el bosque.

No puede agregar atributos de clave de sistema al conjunto de atributos filtrados de RODC. La base para juzgar si es un atributo clave del sistema es ver si los siguientes servicios pueden funcionar normalmente. Dichos servicios tienen AD DS, LSA, SAM (y SSPI como Kerberos). En versiones posteriores de Windows Server 2008 Beta 3, los atributos de la clave del sistema tienen valores de atributo iguales a 1 atributo schemaFlagsEx.

El conjunto de atributos filtrados de RODC se configura en el servidor que posee el maestro de operaciones de esquema. Si intenta agregar un atributo de clave del sistema al conjunto de atributos filtrados por RODC y el maestro de operaciones de esquema se ejecuta en Windows Server 2008, el servidor devolverá un error LDAP "unwillingToPerform". Si intenta agregar atributos clave del sistema al conjunto de atributos filtrados de RODC, pero el host de operaciones de esquema se ejecuta en Windows Server 2003, la operación parecerá exitosa, pero los valores de los atributos no se agregarán realmente. Por lo tanto, cuando desee agregar atributos al conjunto de atributos filtrados de RODC, se recomienda que el host de acción de precio sea un controlador de dominio que ejecute Windows Server 2008. Esto garantiza que los atributos de la clave del sistema no se incluyan en el conjunto de atributos filtrados de RODC.

La replicación unidireccional se escribe directamente en el RODC porque no hay cambios en los atributos, por lo que no se iniciará ningún cambio desde el RODC. Por lo tanto, un controlador de dominio grabable que actúa como un socio de replicación no genera una operación para "extraer" datos del RODC. Esto significa que los resultados de las operaciones realizadas por usuarios malintencionados en el RODC de la estructura de la rama no se copian al resto del bosque. Esto también reduce la carga de trabajo de los servidores cabeza de puente en el sitio central y la cantidad de trabajo requerido para monitorear la replicación.

La replicación unidireccional de RODC se aplica tanto a AD DS como a la replicación del Sistema de archivos distribuido (DFS). El RODC realiza la replicación de entrada normal para AD DS y DFS.

Credenciales El caché de credenciales almacenado en caché es un almacén de credenciales de usuario o computadora. Las credenciales consisten en un pequeño conjunto de aproximadamente 10 contraseñas asociadas con el principal de seguridad. Por defecto, RODC no almacena credenciales de usuario o computadora. Las excepciones son la cuenta de computadora propia del RODC y todas las cuentas krbtgt especiales para cada RODC. Debe mostrar cualquier otro caché de credenciales en el RODC.

El RODC anuncia el centro de distribución de claves (KDC) de la estructura de la rama. El RODC utilizará una cuenta krgbrt y una contraseña diferentes para firmar o cifrar solicitudes (TGT) que el KDC en el controlador de dominio grabable.

Cuando una cuenta se autentica con éxito, el RODC intenta comunicarse con un controlador de dominio grabable en el sitio central y solicitar una copia de las credenciales apropiadas. El controlador de dominio grabable reconocerá que la solicitud provino del RODC y examinará la política de replicación de contraseñas que afecta al RODC.

La política de replicación de contraseñas determina si las credenciales del usuario o la computadora se pueden copiar desde el controlador de dominio grabable al RODC. Si la política lo permite, el controlador de dominio grabable copia la contraseña al RODC y el RODC almacena en caché las credenciales.

Después de que el RODC almacena en caché las credenciales, el RODC puede solicitar directamente el servicio para que el usuario inicie sesión hasta que cambien las credenciales.
(Cuando el TGT está firmado por la cuenta krbtgt de RODC, el RODC reconoce que tiene una copia en caché de las credenciales. Si otro controlador de dominio firma el TGT, el RODC reenviará la solicitud a un controlador de dominio grabable. .)

Debido a que el caché de credenciales está restringido solo a las credenciales de los usuarios que están autenticados por el RODC para su almacenamiento en caché, las posibles filtraciones de credenciales debido a las amenazas al RODC también están limitadas. Por lo tanto, solo un pequeño porcentaje de las credenciales de los usuarios del dominio se almacenan en caché en el RODC. Por lo tanto, cuando se roba un RODC, solo se pueden descifrar las credenciales almacenadas en caché.

Mantener el caché de credenciales cerrado puede permitir restricciones más profundas sobre las fugas, pero esto hará que todas las solicitudes de autenticación pasen al controlador de dominio de escritura. El administrador puede modificar la política de contraseña predeterminada para permitir que las credenciales de los usuarios se almacenen en caché en el RODC.

Segmentación de roles de administrador Puede delegar los derechos administrativos locales del RODC a cualquier usuario del dominio sin otorgarle acceso al dominio o al controlador de dominio. Esto permite a los usuarios de la sucursal iniciar sesión en el RODC y realizar tareas de mantenimiento, como actualizar los controladores. Sin embargo, los usuarios de la estructura de la rama no pueden iniciar sesión en ningún otro controlador de dominio o realizar otras tareas administrativas en el dominio. Por lo tanto, los usuarios de la estructura de sucursales pueden delegar derechos efectivos para administrar los RODC de sucursales sin poner en peligro la seguridad de otras partes del dominio.

DNS de solo lectura Puede instalar el servicio DNS en el RODC. El RODC puede replicar todas las particiones de directorio de programas usadas por DNS, incluyendo ForestDNSZones y DomainDNSZones. Si el servicio DNS está instalado en el RODC, el usuario puede realizar la resolución de nombres al igual que otros servidores DNS.

Sin embargo, el servicio DNS en el RODC no admite actualizaciones directas de clientes. Porque el RODC no registra los registros de recursos del NS de ninguna de las áreas integradas de AD que posee. Cuando el cliente intenta actualizar el registro DNS en el RODC, el servidor devuelve una referencia al servidor DNS que contiene la actualización del cliente. El cliente puede intentar actualizar el registro DNS utilizando el servidor DNS que se proporciona en la referencia. En segundo plano, el servidor DNS en el RODC intentará copiar los registros actualizados del servidor DNS actualizado. La solicitud de copia es para un solo objeto (registro DNS) solamente. La lista de regiones o datos de dominio modificados completos no se replicará durante una solicitud de "copia de un solo objeto" en particular.

Copyright © Conocimiento de Windows All Rights Reserved