Mit Windows Server 2008 wurden schreibgeschützte Domänencontroller eingeführt, die eine vollständige Replik der Domänendatenbank erhalten, diese jedoch nicht ändern können, genau wie ein guter alter Windows NT-BDC.
Ich kenne mich mit allen technischen Problemen aus (ich habe gerade 70-646 und 70-647 bestanden), aber ich habe immer noch keine klare Antwort auf die wichtigste Frage von allen: Warum sollten Sie ? benutze sie ?
Dieser Kommentar von TheCleaner bringt es für mich auf den Punkt:
@ Massimo - ja, du bist richtig. Sie suchen nach einem zwingenden Grund für einen RODC und es gibt keinen. Es verfügt über einige zusätzliche Sicherheitsfunktionen, um die Sicherheit in Zweigstellen zu verbessern, und muss nur dann dort bereitgestellt werden, wenn Sie dort noch keinen Domänencontroller haben und sich intensiv mit seiner Sicherheit befassen.
Das war das gleiche, was ich dachte ... ein bisschen mehr Sicherheit, ja, sicher, aber definitiv nicht so viel, um den Aufwand wert zu sein.
Ich habe ein ganzes Kapitel über dieses Feature in meinem Buch (www.briandesmond.com/ad4/). Das Entscheidende ist, dass dies ein Sicherheitsmerkmal ist und für verteilte Organisationen eine enorme Herausforderung darstellt.
Hier gibt es zwei wirklich große Szenarien:
-> RODCs speichern standardmäßig keine Passwörter. Dies bedeutet, dass jemand, der die Datenträger physisch vom Server bezieht, nicht alle Benutzer- (und Computer-) Kennwörter erhält.
Die richtige Antwort, wenn jemand einen RWDC stiehlt, besteht darin, ALLE Kennwörter in der Domäne zurückzusetzen, da Sie davon ausgehen können, dass sie alle gefährdet sind. Dies ist ein großes Unterfangen.
Mit einem RODC können Sie sagen, dass nur die Kennwörter für Teilmenge X von Benutzern und Computern zwischengespeichert werden. Wenn der RODC das Kennwort tatsächlich zwischenspeichert, werden diese Informationen in AD gespeichert. Wenn der RODC gestohlen wird, haben Sie jetzt eine kleine Liste von Passwörtern, die zurückgesetzt werden müssen.
-> RODCs replizieren in eine Richtung. Wenn jemand Ihren RWDC gestohlen, einige Änderungen daran vorgenommen und ihn wieder angeschlossen hat, werden diese Änderungen wieder in die Umgebung repliziert. Beispielsweise können sie sich selbst zur Gruppe der Domain-Administratoren hinzufügen oder alle Administratorkennwörter oder ähnliches zurücksetzen. Mit einem RODC ist das einfach nicht möglich.
Es gibt keine Geschwindigkeitsverbesserung, es sei denn, Sie platzieren einen RODC an einem Ort, an dem zuvor kein DC vorhanden war, und in einigen Szenarien ist mit einer Geschwindigkeitsverbesserung zu rechnen.
Die Antwort von TheCleaner ist wirklich falsch. Es gibt VIELE überzeugende Szenarien für RODCs, und ich kann mir mehrere Bereitstellungen von RODCs vorstellen. Dies ist einfaches Sicherheitsmaterial, nicht das "Anal über Sicherheitsmaterial".
Vielen Dank,
Brian Desmond
Active Directory MVP
quelle
Sie benötigen RODCs, wenn Sie viele Zweigstellen mit unzureichender physischer Sicherheit und / oder langsamer oder unzuverlässiger Netzwerkverbindung haben. Beispiele:
Die meisten Organisationen haben physische Sicherheitsstandards für Remote-Geräte. Wenn Sie diese Anforderungen nicht erfüllen können, können Sie mit RODCs eine Hochgeschwindigkeitsauthentifizierung für den Zugriff auf lokale Anwendungen und Dateifreigaben bereitstellen. Sie können damit auch die Anzahl der auf dem Server gespeicherten Anmeldeinformationen begrenzen. Ein gefährdeter Server gefährdet nur Benutzer am Remotestandort. Ein vollständiger Domänencontroller mit 75.000 Benutzern macht alle diese Benutzer im Falle eines lokalen Kompromisses verfügbar.
Wenn Sie in einem kleineren Unternehmen arbeiten, ist das überhaupt keine große Sache. Ich bin hocherfreut, sie mit BitLocker einzuführen, da RODCs das Sicherheitsrisiko erheblich reduzieren.
quelle
Wir werden RODC in einer DMZ verwenden, die auf diesem TechNet- Artikel basiert . Einrichten einer neuen Gesamtstruktur für Webdienste mit einem RODC in der DMZ.
quelle
In erster Linie aus Sicherheitsgründen, aber auch aus Gründen der Geschwindigkeit.
Siehe die kurze Beschreibung hier
quelle
Ein RODC enthält eine schreibgeschützte Kopie Ihres AD, die Sie in einer Zweigstelle verwenden, in der kein IT-Personal anwesend ist und daher die Sicherheit oder Integrität Ihres Serverraums nicht gewährleistet werden kann. Im Falle einer Kompromittierung des RODC können Sie sicher sein, dass jeder, der eine Kompromittierung vornimmt, nur in dem Zustand auf Ihr AD zugreifen kann, in dem es sich zum Zeitpunkt der Entdeckung befand. Es werden keine daran vorgenommenen Änderungen auf Ihre Haupt-DCs repliziert. Das bedeutet, dass jeder, der Kompromisse eingeht, keine üblen Dinge wie sich selbst zum Domain-Administrator erheben, Ihre eigenen Administratoren aussperren und mit Ihrem gesamten Netzwerk auf eine böse Art und Weise vorgehen kann.
quelle
RODCs sind nützlich für große Unternehmensorganisationen. Konkurrierende Unternehmensverzeichnisdienste wie Novell eDirectory verfügen seit Jahren über schreibgeschützte Replikate.
quelle
Ein weiterer Vorteil von RODCs besteht darin, dass Sie während einer Notfallwiederherstellung über funktionierende Domänencontroller verfügen können, bei der alle normalen Domänencontroller heruntergefahren werden, um Active Directory neu zu erstellen. In solchen Situationen müssen Sie RODCs nicht deaktivieren.
quelle