Windows Server 2008 R2 域控制器: 仔細規(guī)劃 RODC
在缺乏物理安全性時,提高對數(shù)據(jù)安全性的關注就變得很重要。Windows Server 2008 和 R2 提供了一些新方法來實現(xiàn)這一點,這些方法似乎就是專門為物理安全性不嚴格的遠程辦公室這樣的環(huán)境量身定制的。只讀域控制器 (RODC) 是 Windows Server 系統(tǒng)中 Active Directory 域服務 (AD DS) 的一項新功能。只讀域控制器體現(xiàn)了對通常使用域控制器 (DC) 的方式的根本改變。
因為 RODC 的許多新功能會影響設計和部署過程的關鍵方面,所以了解如何在您的企業(yè)中利用這些功能十分重要。在將這些功能引入到您的環(huán)境中之前,還有一些必須考慮的關鍵性設計和規(guī)劃注意事項。RODC 是這樣一種 DC,它承載 Active Directory 數(shù)據(jù)庫分區(qū)的完整只讀副本、SYSVOL 的只讀副本,以及對來自可寫 DC 的某些應用程序數(shù)據(jù)的入站復制進行限制的篩選屬性集 (FAS)。
默認情況下,RODC 不會有選擇地存儲用戶和計算機帳戶憑據(jù),但是您可以將其配置為進行選擇性存儲。這通常只會保證在遠程分支機構(gòu)中或在數(shù)據(jù)中心 Intranet 中通常缺少物理安全性的外圍網(wǎng)絡中使用 RODC。RODC 還提供其他不太知名的安全功能,例如專門的 Kerberos RODC 票證授予帳戶,用于應對與遭到破壞的 RODC 本身相關聯(lián)的基于票證的攻擊。
雖然關注安全性是部署 RODC 的最常見原因,但是 RODC 也提供了許多其他優(yōu)點,例如企業(yè)可管理性和可伸縮性。一般而言,RODC 用于需要本地身份驗證和授權(quán),但缺乏安全地使用可寫 DC 的物理安全性這樣的環(huán)境。因此,RODC 在數(shù)據(jù)中心外圍網(wǎng)絡或分支機構(gòu)位置中最常見。
需要 AD DS 的數(shù)據(jù)中心就是有效利用 RODC 的一個典范,但是由于安全約束而無法在外圍網(wǎng)絡中利用公司的 AD DS 林。在這種情況下,RODC 可能滿足相關的安全要求,因此改變了公司實現(xiàn) AD DS 的基礎結(jié)構(gòu)范圍。此類情形將可能變得更常見。這也反應了外圍網(wǎng)絡的當前最佳實踐 AD DS 模型,例如擴展的公司林模型。
使用 RODC 建立分支機構(gòu)
使用 AD DS 的 RODC 的最常見環(huán)境仍然是分支機構(gòu)。這類環(huán)境通常是中心輻射型網(wǎng)絡拓撲中的端點。它們通常分布于廣泛的地理位置中,而且數(shù)量巨大,分別承載少量用戶群,通過速度較慢且不可靠的網(wǎng)絡鏈路連接到中心站點,并且常常缺乏經(jīng)驗豐富的本地管理員。
對于已經(jīng)承載可寫 DC 的分支機構(gòu),可能不需要部署 RODC。但是在這種情況下,RODC 不但可滿足現(xiàn)有的 AD DS 相關要求,而且超出其關于提高安全性、增強管理、簡化體系結(jié)構(gòu)和降低總體擁有成本 (TCO) 的要求。對于由于安全性或可管理性要求而禁止使用 DC 的位置,RODC 可幫助您將 DC 引入環(huán)境中,并提供大量有益的本地化服務。
雖然新功能和優(yōu)點使得評估 RODC 備受矚目,但是還有其他因素需要考慮,例如應用程序兼容性問題和服務影響情況。這些因素可能致使某些環(huán)境不可接受 RODC 部署。
例如,由于許多支持目錄的應用程序和服務從 AD DS 讀取數(shù)據(jù),它們應繼續(xù)運行和使用 RODC。但是,如果某些應用程序在所有時間都需要可寫權(quán)限,則可能無法接受 RODC。RODC 對可寫 DC 的寫操作還取決于網(wǎng)絡連接。雖然寫操作失敗可能是最常見的與應用程序相關的問題所導致,但是還要考慮其他問題,例如讀取操作效率低下或失敗,寫入-讀取-返回操作失敗,以及與 RODC 本身相關聯(lián)的一般應用程序故障。
除了應用程序問題,與可寫 DC 的連接中斷或丟失時也可能影響基本的用戶和計算機操作。例如,如果帳戶密碼不可緩存,也未在本地 RODC 上緩存,則基本身份驗證服務可能會失敗。通過 RODC 的密碼復制策略 (PRP) 使帳戶可進行緩存,然后通過預填充來緩存密碼,您可以消除解決此問題。執(zhí)行這些步驟也需要連接到可寫 DC。
當無法連接到可寫 DC 時,密碼過期和帳戶鎖定與其他身份驗證問題均會受到明顯影響。在恢復與可寫 DC 之間的連接之前,密碼更改請求和任何對鎖定帳戶進行手動解鎖的嘗試都將失敗。了解這些依賴關系和操作行為的后續(xù)變化,對確保滿足您的要求和任何服務級別協(xié)議 (SLA) 極為關鍵。
在幾種一般情況下,您可以部署 RODC。在當前不存在 DC 的位置,或者當前承載的 DC 將被更換或升級到更新版本 Windows 的位置,RODC 十分有用。雖然針對每種情況都有特定的綜合性規(guī)劃考慮,但是我們在此重點討論非特定方法。但是,這些方法是針對 RODC 的截然不同的方法,而不是針對傳統(tǒng)可寫 DC 的。
預先規(guī)劃
在開始任何正式的 RODC 規(guī)劃之前,您應進行必要的盡職操作和基本的 AD DS 預先規(guī)劃。具體應該包括一些關鍵任務,例如驗證現(xiàn)有的 AD DS 邏輯結(jié)構(gòu),確保管理模型和 AD DS 物理結(jié)構(gòu)支持現(xiàn)有的業(yè)務和技術要求。您還必須考慮硬件要求、軟件升級策略以及適用的操作系統(tǒng)已知問題,以及評估 RODC AD DS 先決條件。這些信息對規(guī)劃和部署過程非常關鍵。您可發(fā)現(xiàn)詳細部署檢查表中對此有很好的說明。
安裝和管理
RODC 中有一種重要的可管理性功能,稱為管理員角色分離 (ARS)。此功能可向非服務管理員委托安裝和管理 RODC 服務器的能力,無需授予 Active Directory 權(quán)限。這是對與 DC 服務器設計、管理委托和部署過程相關的傳統(tǒng)注意事項的重大改變。這種角色分離對于需要在 DC 上進行直接安裝的關鍵應用程序或承載單一多用途服務器的位置變得越來越重要。
其他服務器角色
一般而言,您應清除服務器中 RODC 運行不需要的所有角色。因此,您只應向 RODC 增加的角色是 DNS 和全局編錄服務器角色。應當在每個 RODC 上安裝 DNS 服務器角色,以便與可寫 DC 的網(wǎng)絡連接不可用時,本地 DNS 客戶端可以執(zhí)行 DNS 解析。但是,如果未通過 Dcpromo.exe 安裝 DNS 服務器角色,必須在以后安裝它。您必須使用 Dnscmd.exe 使 RODC 參與到承載 Active Directory 集成區(qū)域的 DNS 應用程序目錄分區(qū)中。您還應將 RODC 配置為全局編錄服務器,使其可僅使用 RODC 執(zhí)行身份驗證和全局編錄查詢。從身份驗證角度來看,如果全局編錄角色不可選,則可以使用通用組緩存。對 RODC 成功進行身份驗證最終可能取決于 RODC 的 PRP 配置。
RODC 布置
由于引入了 RODC PRP,DC 布置發(fā)生了顯著改變。RODC 必須能夠從同一個域中運行 Windows Server 2008 或 Windows Server 2008 R2 的可寫 DC 復制域分區(qū),因為只有這些 DC 可以為 RODC 執(zhí)行 PRP。為確保正確復制,對于可寫 DC 應放置到的 AD DS 站點,該站點應具有指向包含 RODC 的站點的最低成本站點鏈接。
如果您無法建立此配置,則 RODC 復制將需要依賴于“為所有站點鏈接搭橋”選項(即站點鏈接可傳遞性),或包含 RODC 站點和可寫 DC 站點的任何站點鏈接之間的站點鏈接橋。如果站點可傳遞性或站點鏈接橋不是可選項,則可以新建站點鏈接來直接連接 RODC 站點與可寫 DC 站點。
作為一般最佳實踐,不應在同一 AD DS 站點中布置其他 DC 作為 RODC,因為客戶端操作可能變得不一致,使客戶端行為不可預測。身份驗證、LDAP 讀寫和密碼更改等基本操作可能都表現(xiàn)出不同的行為,具體取決于不同的 RODC 配置、可寫 DC 的 Windows 版本,以及其他可寫 DC 的網(wǎng)絡連接性是否可用。您還應保留 RODC 站點中單個域的所有用戶和資源。RODC 不存儲信任密碼,需要跨域授權(quán)將身份驗證請求轉(zhuǎn)發(fā)到每個域中不同的可寫 DC。假設可寫 DC 位于不同站點,所有跨域身份驗證請求將依賴網(wǎng)絡連接性,在網(wǎng)絡連接發(fā)生故障的情況下將不能工作。
可伸縮性和復制
RODC 也具備可伸縮性優(yōu)點,這些優(yōu)點對于實現(xiàn)更大或更復雜的 AD DS 十分有用。例如,RODC 提供單向復制。因此,在分支機構(gòu)中部署 RODC 可降低中心站點橋頭服務器上的性能負載,這些服務器通常處理分支機構(gòu) DC 的入站復制。從總體擁有成本角度來看,這將減少您需要創(chuàng)建和管理的連接對象數(shù)量。這也會減少所需中心站點 DC 的數(shù)量。
RODC 也將改善負載平衡,有助于在中心站點橋頭服務器中均勻分配出站連接對象。對于早期版本的 Windows,這需要例行手動干預。現(xiàn)在,當 RODC 上的知識一致性檢查器 (KCC) 檢測到中心站點中添加或刪除了橋頭服務器時,它會決定是否將復制合作伙伴切換到新的橋頭。它通過運行算法和可能性負載平衡達到此目的。如果在分支機構(gòu)中添加了 RODC,則 KCC 也將在現(xiàn)有中心站點橋頭服務器中平衡入站連接。
憑據(jù)緩存
RODC 的 PRP 確定是否可在該特定 RODC 上緩存帳戶。默認情況下,PRP 中的“許可”列表指定您無法緩存任何帳戶密碼。此外,它也會明確拒絕緩存某些帳戶。這種情況比手動配置的“許可”配置具有更高優(yōu)先級。如前所述,您可能需要在每個 RODC 上配置 PRP,以允許對帳戶的密碼進行緩存。
由于 PRP 修改對安全性和服務可用性均會產(chǎn)生影響,因此請謹慎執(zhí)行此步驟。例如,對于不緩存任何帳戶的默認方案,其具備較高安全性,但如果與可寫 DC 的網(wǎng)絡連接變得不可用,則不能進行脫機訪問。相反,當大量帳戶可緩存時(例如域用戶組),如果 RODC 遭到破壞,安全性就會大大降低,但是可緩存帳戶具有更高級別的服務可用性。由于各種基礎結(jié)構(gòu)環(huán)境具有獨特的業(yè)務和技術要求,PRP 設計也會因組織而異。
一旦建立 PRP 模型,您就必須在每個 RODC 上配置 PRP,以便您可以緩存相應帳戶。最佳實踐是以明確許可來配置 PRP,而不修改默認拒絕列表。拒絕列表十分關鍵,因為它可禁止在 RODC 上緩存關鍵帳戶憑據(jù)(例如 AD DS 服務管理員)。
PRP 設計的另一個關鍵方面是確定是否將使用密碼預填充可緩存帳戶。默認情況下,只有當身份驗證請求已轉(zhuǎn)發(fā)給 Windows Server 2008 或 Windows Server 2008 R2 可寫 DC,并且憑據(jù)已復制到 RODC 時,在初次登錄到 RODC 之后,可緩存帳戶的憑據(jù)實際上才會被緩存。這意味著在針對 RODC 驗證可緩存帳戶的身份前,如果與可寫 DC 的網(wǎng)絡連接變得不可用,即使將帳戶配置為可緩存,也將無法成功登錄。
要解決此問題,只要一配置 PRP 并且將帳戶標記為可緩存,您就可以手動預先填充密碼緩存。此操作也需要 Windows Server 2008 或 Windows Server 2008 R2 可寫 DC 與 RODC 之間具有網(wǎng)絡連接。在部署過程中,您可以在可緩存用戶首次登錄以前提前完成此操作。
您可以使用這一基本體系架構(gòu)設計指南作為您的 RODC 規(guī)劃的基礎。本文通過介紹關鍵設計注意事項,為設計詳細和綜合性 RODC 解決方案提供了一個有效出發(fā)點。這不是一個簡單的過程,需要大量時間針對您組織的獨特環(huán)境和要求來協(xié)調(diào)新功能和設計注意事項。
原文:http://technet.microsoft.com/zh-cn/magazine/ff679947.aspx
來源:微軟TechNet中文站
