Bộ kiểm soát miền chỉ đọc thực sự hữu ích cho việc gì?

Windows Server 2008 đã giới thiệu các bộ điều khiển miền chỉ đọc, nhận bản sao đầy đủ của cơ sở dữ liệu miền nhưng không thể sửa đổi nó, giống như một Windows NT BDC cũ.

Tôi biết tất cả các thông tin kỹ thuật về cách chạy các bán DC đó (tôi mới vượt qua 70-646 và 70-647), nhưng tôi vẫn chưa có câu trả lời rõ ràng cho câu hỏi quan trọng nhất: tại sao bạn nên sử dụng chúng ?

Nhận xét này từ TheCleaner thực sự tổng hợp nó cho tôi:

@Massimo - vâng, bạn đúng. Bạn đang tìm kiếm một lý do thuyết phục cho RODC và không có lý do nào. Nó có một vài tính năng bảo mật bổ sung để giúp giảm bớt an ninh văn phòng chi nhánh và thực sự chỉ cần được triển khai ở đó nếu bạn chưa có DC ở đó và đang lo lắng về bảo mật của nó.

Điều đó cũng giống như tôi đã nghĩ ... tăng một chút về bảo mật, vâng, chắc chắn, nhưng chắc chắn không quá đáng để gây rắc rối.

Tôi sẽ cung cấp cho bạn một kịch bản trong thế giới thực:

• chúng tôi có một trong văn phòng chi nhánh tại Trung Quốc

Chúng tôi sử dụng nó vì không có phòng CNTT ở đó, chúng tôi xử lý tất cả các yêu cầu cho tài khoản AD, v.v. tại Hoa Kỳ. Bằng cách có RODC ở đó, chúng tôi biết:

1. Không ai ở đó có thể đăng nhập vào nó và cố gắng "hack đi" tại AD.
2. Không ai có thể đánh cắp nó và nhận được bất cứ thứ gì có giá trị để sau đó quay lại và "hack" tại mạng sau đó.

Bằng cách chỉ đọc AD / DNS, chúng tôi không phải lo lắng về các nỗ lực thao túng dữ liệu trên DC ở đó.

Điều này là do các tính năng được tìm thấy ở đây: http://technet.microsoft.com/en-us/l Library / cc732801% 28WS.10% 29.aspx

Đó là "sự an tâm" hơn bất cứ điều gì khác đối với chúng tôi ... cộng với việc nó cho phép cài đặt máy chủ rất tối thiểu vì nó chỉ là lõi máy chủ với vai trò RODC được cài đặt. Chúng tôi đặt nó trên máy chủ 1U cũ hơn với 2 ổ Raid-1 18GB. Chúng tôi thực sự đặt 2 trong số chúng vào ... cấu hình chính xác bằng cách sử dụng phần cứng không bảo hành cũ hơn mà chúng tôi có trong giá đỡ.

Đơn giản, làm những gì nó cần làm và chúng ta không phải lo lắng về điều đó. Nếu một trong các hộp bị lỗi, chúng tôi chỉ cần thay thế nó một lần nữa.

Tôi có cả một chương về tính năng này trong cuốn sách của mình (www.briandesmond.com/ad4/). Điểm dài và ngắn của nó là đây là một tính năng bảo mật và đối với các tổ chức phân tán thì đó là một vấn đề rất lớn.

Có hai kịch bản thực sự lớn ở đây:

-> RODC không lưu trữ mật khẩu theo mặc định. Điều này có nghĩa là nếu ai đó thực sự lấy được đĩa từ máy chủ, họ sẽ không nhận được tất cả mật khẩu người dùng (và máy tính) của bạn.

Phản hồi chính xác nếu ai đó đánh cắp RWDC là đặt lại TẤT CẢ mật khẩu trong miền vì bạn có thể coi tất cả chúng đều bị xâm phạm. Đây là một công việc chính.

Với RODC, bạn chỉ có thể nói bộ đệm mật khẩu cho tập hợp con X của người dùng và máy tính. Khi RODC thực sự lưu trữ mật khẩu, nó sẽ lưu thông tin đó trong AD. Nếu RODC bị đánh cắp, bây giờ bạn có một danh sách nhỏ mật khẩu cần được đặt lại.

-> RODC nhân rộng một chiều. Nếu ai đó đã đánh cắp RWDC của bạn, thực hiện một số thay đổi cho nó và cắm lại, những thay đổi đó sẽ sao chép lại vào môi trường. Ví dụ: họ có thể thêm chính họ vào nhóm quản trị viên tên miền hoặc đặt lại tất cả mật khẩu quản trị viên hoặc thứ gì đó. Với RODC, điều này đơn giản là không thể.

Không có cải thiện tốc độ trừ khi bạn đặt RODC ở vị trí không có DC ở đó trước đó và sau đó có khả năng sẽ có sự ngẫu hứng về tốc độ trong một số tình huống.

Câu trả lời của TheCleaner thực sự không chính xác. Có rất nhiều kịch bản hấp dẫn cho RODC và tôi có thể nghĩ ra một vài triển khai trong số đó theo quy mô. Đây là công cụ bảo mật đơn giản, không phải là công cụ "hậu môn về bảo mật".

Cảm ơn,

Brian Desmond

Thư mục hoạt động MVP

Bạn cần RODC khi bạn có nhiều văn phòng chi nhánh với bảo mật vật lý kém và / hoặc kết nối mạng chậm hoặc không đáng tin cậy. Ví dụ:

• Nhà cung cấp dịch vụ y tế có văn phòng trung tâm và phòng khám mặt tiền cửa hàng thường xuyên di chuyển và sử dụng DSL / Cáp để kết nối
• Một công ty có các cơ sở ở vùng sâu vùng xa, nơi cơ sở hạ tầng viễn thông không đáng tin cậy, hoặc nơi bạn buộc phải sử dụng mạng di động hoặc vệ tinh.

Hầu hết các tổ chức có tiêu chuẩn bảo mật vật lý cho thiết bị từ xa. Nếu bạn không thể đáp ứng các yêu cầu đó, RODC cho phép bạn cung cấp xác thực tốc độ cao để truy cập vào các ứng dụng cục bộ và chia sẻ tệp. Họ cũng cho phép bạn giới hạn số lượng thông tin đăng nhập được lưu trữ trên máy chủ. Một máy chủ bị xâm nhập chỉ thỏa hiệp người dùng ở vị trí từ xa. Một DC đầy đủ với 75.000 người dùng phơi bày tất cả những người dùng đó trong trường hợp thỏa hiệp cục bộ.

Nếu bạn làm việc trong một công ty nhỏ hơn, thì chẳng có gì to tát cả. Tôi được giới thiệu để tung ra chúng với BitLocker vì RODC giảm đáng kể rủi ro bảo mật.

Chúng tôi sẽ sử dụng RODC trong DMZ dựa trên bài viết này của TechNet . Thiết lập một khu rừng mới cho các dịch vụ web với RODC trong DMZ.

Chủ yếu để bảo mật, nhưng cũng cho tốc độ là tốt.

Xem ngắn viết lên đây

RODC chứa một bản sao AD chỉ đọc của bạn và bạn sử dụng một bản sao trong văn phòng chi nhánh nơi bạn không có nhân viên CNTT và do đó không thể đảm bảo an ninh hoặc tính toàn vẹn của phòng máy chủ của bạn. Trong trường hợp RODC bị xâm phạm, bạn sẽ an toàn khi biết rằng bất kỳ ai thỏa hiệp nó sẽ chỉ có quyền truy cập vào AD của bạn ở trạng thái tại thời điểm phát hiện. Không có thay đổi nào được thực hiện sẽ được sao chép trở lại các DC chính của bạn. Điều đó có nghĩa là bất cứ ai thỏa hiệp nó đều không thể làm những điều khó chịu như nâng cao bản thân lên Quản trị viên tên miền, khóa quản trị viên của riêng bạn và có cách độc ác với toàn bộ mạng của bạn.

RODC là hữu ích cho các tổ chức doanh nghiệp lớn, các dịch vụ thư mục doanh nghiệp cạnh tranh như Novell eDirectory đã có bản sao Chỉ đọc trong nhiều năm.

Một ưu điểm khác của RODC là, chúng sẽ cho phép bạn có các bộ điều khiển miền hoạt động trong khi bạn thực hiện một số phục hồi thảm họa, liên quan đến việc gỡ bỏ tất cả các bộ điều khiển miền bình thường để xây dựng lại thư mục hoạt động. Bạn không phải tắt RODC trong những tình huống đó.