1、引用: http:/ RODC?更新时间: 2009 年 5 月应用到: Windows Server 2008RODC 是域的附加域控制器,它承载 Active Directory 数据库的只读分区。设计 RODC 主要是为了在分支机构环境中部署。分支机构通常用户相对较少,物理安全性差,连接中线站点的网络带宽也相对较低,并且缺乏本地 IT 知识。下图展示了 RODC 分支机构环境。在本指南中RODC 功能 RODC 上不支持的 Windows Server 2008 域控制器选项 在哪里可以使用 RODC? RODC 功能更新时间: 2009 年 5 月应用到: Windows Server
2、 2008RODC 解决了可能是由于分支机构位置引起的一些问题,这些位置没有域控制器,或者具有可写域控制器但没有物理安全、网络带宽和本地专家的支持。RODC 的下列特性有助于解决这些问题: 只读 Active Directory 数据库 RODC 筛选的属性集 单向复制 凭据缓存 管理员角色分隔 只读域名系统 只读 Active Directory 数据库除了帐户密码之外,RODC 还拥有所有 Active Directory 域服务 (AD DS) 对象以及可写域控制器所拥有的属性。但是,客户端无法直接将更改写入 RODC。请求对目录进行读取访问的本地应用程序可获取访问权限,但中心站点中的可
3、写域控制器要引用执行写操作的轻型目录访问协议 (LDAP) 应用程序。RODC 筛选的属性集将 AD DS 用作数据存储的某些应用程序可能具有类似凭据的数据(如密码、凭据或加密密钥) ,您不希望将这些数据存储在 RODC 上以防 RODC 被盗或受到威胁。对于这种类型的应用程序,您可以采取以下步骤来帮助防止此类属性的不必要暴露: 将属性添加到 RODC 筛选的属性集以防止其被复制到林中的 RODC。 将属性标记为机密,这样便无法读取 Authenticated Users 组成员的数据(包括任何 RODC) 。 将属性添加到 RODC 筛选的属性集RODC 筛选的属性集是一组动态的属性,这些属
4、性不会被复制到林中的任何 RODC。您可以在运行 Windows Server 2008 的架构主机上配置 RODC 筛选的属性集。当阻止这些属性复制到 RODC 时,不得不必要地暴露该数据以防 RODC 被盗或受到威胁。 威胁 RODC 的恶意用户可以尝试采用这种方式对其进行配置,以试图复制在 RODC 筛选的属性集中定义的属性。如果 RODC 尝试从运行 Windows Server 2008 的域控制器复制这些属性,则复制请求会被拒绝。但是,如果 RODC 尝试从运行 Windows Server 2003 的域控制器复制这些属性,则复制请求可能会成功。 因此,出于安全考虑,如果您计划配
5、置 RODC 筛选的属性集,请确保林功能级别为 Windows Server 2008。当林功能级别为 Windows Server 2008 时,无法以这种方式使用受到威胁的 RODC,因为林中不允许运行 Windows Server 2003 的域控制器。 不得将系统关键属性添加到 RODC 筛选的属性集。如果 AD DS、本地安全机构 (LSA)、安全帐户管理器 (SAM) 以及任何特定于 Microsoft 的安全服务提供程序(如 Kerberos 身份验证协议)需要某个属性才能正常工作,则该属性就是系统关键属性。系统关键属性包括值为 TRUE 的 schemaFlagsEx 属性(s
6、chemaFlagsEx 属性值 & 0x1 = TRUE) 。 当您将属性添加到 RODC 筛选的属性集时,确保架构主机正在运行 Windows Server 2008,以便验证这些属性不是系统关键属性。如果您在架构主机正在运行 Windows Server 2008 时尝试将系统关键属性添加到 RODC 筛选的属性集,则服务器返回一个 LDAP 错误 “unwillingToPerform“ (0x35)。Windows Server 2003 操作系统系统不使用 RODC 筛选的属性集。如果您在架构主机正在运行 Windows Server 2003 时将系统关键属性添加到 RODC 筛
7、选的属性集,则该操作看起来已成功,但实际上该属性并没有添加到属性集中。 将属性标记为机密此外,建议您将配置为 RODC 筛选的属性集的一部分的任何属性也标记为机密。若要将属性标记为机密,您必须删除 Authenticated Users 组对该属性的读取权限。将属性标记为机密可以为通过删除读取类似凭据的数据所需的权限而受到威胁的 RODC 提供额外的保护。将属性标记为机密之前,全面测试它可能对您的应用程序产生的影响。有关将属性标记为机密的详细信息,请参阅 Microsoft 知识库中的文章 922836 (http:/ 。 默认的 RODC 筛选的属性集以下属性被配置为 RODC 筛选的属性集
8、的一部分。默认情况下,它们标记为机密以支持 Windows Server 2008 中的凭据漫游和 BitLocker 驱动器加密。 ms-PKI-DPAPIMasterKeys ms-PKI-AccountCredentials ms-PKI-RoamingTimeStamp ms-FVE-KeyPackage ms-FVE-RecoveryGuid ms-FVE-RecoveryInformation ms-FVE-RecoveryPassword ms-FVE-VolumeGuid ms-TPM-OwnerInformation 有关说明如何向 RODC 筛选的属性集中添加属性的过程,请
9、参阅 附录 D:将属性添加到 RODC 筛选的属性集的步骤。 单向复制由于没有更改直接写入到 RODC,因此不是起源于本地且成为复制伙伴的可写域控制器没有必要从 RODC 拉入更改。这意味着恶意用户在分支位置可能进行的任何更改或损坏不能从 RODC 复制到林的其余部分。 这样还减少了中心站点中桥头服务器的工作负荷并且减少了监视复制所需的精力。RODC 单向复制同时适用于 AD DS 和 SYSVOL 的分布式文件系统 (DFS) 复制。针对 AD DS 和 SYSVOL 更改,RODC 执行正常的入站复制。 备注 RODC 上配置为使用 DFS 复制进行复制的任何其他共享都将采用双向复制。 凭
10、据缓存凭据缓存指用户或计算机凭据的存储。凭据由与安全主体相关的一组大约 10 个密码组成。 默认情况下,RODC 除了本身的计算机帐户和该 RODC 的特殊 krbtgt 帐户外,不存储用户凭据或计算机凭据。为了允许 RODC 满足本地身份验证和服务票证请求,您必须明确允许将任何其他凭据缓存在该 RODC 上,包括相应的用户、计算机和服务帐户。当允许列表中只包含来自分支的用户时,RODC 无法满足本地服务票证的请求,因此它依赖于对可写域控制器的访问来实现。在广域网 (WAN) 脱机的情况下,该条件可能会导致服务中断。RODC 作为分支机构的密钥发行中心 (KDC) 播发。当 RODC 对票证授
11、予票证 (TGT) 请求进行签名或加密时,它使用与可写域控制器上的 KDC 使用的帐户和密码不同的 krbtgt 帐户和密码。这样就在不同分支机构的 KDC 之间提供了加密隔离,从而可防止不安全的 RODC 向位于其他分支机构或中心站点的资源颁发服务票证。在帐户成功经过身份验证后,RODC 会尝试联系中心站点中运行 Windows Server 2008 的可写域控制器并从中获取用户凭据或计算机凭据。中心站点可以是安全部署了运行 Windows Server 2008 的可写域控制器的任何 Active Directory 站点。密码复制策略 (PRP) 会在可写域控制器上强制执行,用于确定是
12、否可以将用户凭据或计算机凭据从可写域控制器复制到 RODC。如果密码复制策略允许复制,RODC 会从可写域控制器中复制凭据,然后缓存凭据。在 RODC 缓存凭据之后,RODC 就可以直接服务该用户或计算机的登录请求,直到凭据更改。通过将凭据缓存限制为仅通过 RODC 身份验证且密码复制策略允许其缓存凭据的用户和计算机的同时,也限制了因 RODC 被盗而使凭据泄露的可能性。这是因为通常在任何给定的 RODC 上只缓存一小部分域用户和计算机的凭据。因此,如果出现 RODC 被盗的情况,只有经过缓存的那些凭据可能会泄露。管理员角色分隔管理员角色分隔指定可以委派任何域用户或安全组成为 RODC 的本地
13、管理员,而无需授予该用户或组该域或其他域控制器的任何权限。相应地,委派的管理员可以登录 RODC 以在服务器上执行维护工作(如升级驱动程序) 。但是委派的管理员将不能登录任何其他域控制器或在域中执行其他任何管理任务。这样就可以委派包含分支用户的安全组而不是 Domain Admins 组的成员来有效地管理分支机构中的 RODC,而不会危及域中其他域控制器的安全。 只读域名系统您可以在 RODC 上安装域名系统 (DNS) 服务器服务。RODC 能够复制 DNS 使用的所有应用程序目录分区,包括 ForestDNSZones 和 DomainDNSZones。如果在 RODC 上安装了 DNS
14、服务器,则客户端可以像查询其他任何 DNS 服务器一样查询它获得名称解析。 但是,RODC 上的 DNS 服务器不直接支持客户端更新。当客户端尝试根据 RODC 更新其 DNS 记录时,服务器会返回一个引用。然后客户端尝试根据引用中提供的 DNS 服务器进行更新。在后台 RODC 上的 DNS 服务器将尝试从进行更新的 DNS 服务器复制更新的记录。此复制请求仅适用于单个对象(DNS 记录) 。在此特殊的 replicate-single-object 请求过程中不会复制更改区域或域数据的完整列表。RODC 上不支持的 Windows Server 2008 域控制器选项更新时间: 2009
15、年 5 月应用到: Windows Server 2008为了帮助减少安全风险和 RODC 所需的管理,在 RODC 上某些可用于可写域控制器的域控制器选项不可用。 RODC 不得用作: 操作主机角色所有者(也称为灵活单主机操作 (FSMO))。操作主机角色所有者必须能够向 Active Directory 数据库写入某些信息。例如,架构主机必须能够写入新对象类和属性的定义。相对 ID (RID) 主机必须能够写入分配给其他域控制器的 RID 池的值。由于 RODC 上 Active Directory 数据库的只读本性,因此该数据库不得充当操作主机角色所有者。 桥头服务器。桥头服务器是指定用
16、来从其他站点复制更改的服务器。由于 RODC 仅指定入站复制,因此它们不得充当某个站点的桥头服务器。 在哪里可以使用 RODC?更新时间: 2009 年 5 月应用到: Windows Server 2008作为一项通用规则,应该将 RODC 部署在您的网络的外围。在此上下文中,网络外围可以是分支机构位置、Extranet 或主要是为了支持需要目录访问的应用程序而在其中部署域控制器的任何位置。将 RODC 指定为放置在需要快速、可靠以及强大的身份验证服务的位置中。但是,这些位置也可能具有防止部署可写域控制器的安全要求。 除了分支机构中常见的物理安全限制之外,组织还可能出于特殊的管理要求部署 R
17、ODC。例如,可能有必要在域控制器上运行行业 (LOB) 应用程序。若要管理此应用程序,LOB 应用程序所有者必须以交互方式或通过使用终端服务登录到域控制器。通过实现新的管理员角色分隔功能,RODC 提供了一种安全机制,用于授予非管理域用户登录域控制器的权限,同时不会危及 AD DS 的安全。此外,在本地篡改的任何 AD DS 数据无法复制 RODC。下图演示了外围网络当前如何与运行 Microsoft Windows(R) 2000 Server 操作系统或 Windows Server 2003 操作系统的域控制器一同显示,以及同一网络如何与运行 Windows Server 2008 的 RODC 一同显示。
