只读域控制器及基于只读域控制器的身份验证过程

2021年09月15日 阅读数:2
这篇文章主要向大家介绍只读域控制器及基于只读域控制器的身份验证过程,主要内容包括基础应用、实用技巧、原理机制等方面,希望对大家有所帮助。
只读域控制器(RODC)是在Windows Server 2008操做系统中一种新的域控制器类型。有了只读域控制器,组织可以容易地的物理安全得不到保证的地区部署域控制器。一台RODC包含了活动目录数据库的只读部分。

  在Windows Server 2008发布之前,若是用户不得不跨广域网链接域控制器进行身份验证的话,那也就没有其它更好的选择。在许多案例中,这不是有效的解决方法。分支机构一般没法为一台可写的域控制器提供足够的物理安全。并且,当分支机构链接到枢纽站点(hub site)时,它们的网络带宽一般比较差。这将致使登陆时间变长。这也会阻碍网络资源的访问。

  从Windows Server 2008开始,组织可以部署RODC来处理这些问题。做为部署的结果,用户可以得到如下好处: 

改进的安全性 
快速登陆 
更有效的访问网络资源 

RODC能够作什么?

  在考虑部署RODC时,物理安全的不足是最为寻常的理由。RODC给那些须要快速可靠的身份验证,同时对可写域控制器而言物理安全没法获得确保的地方部署域控制器提供了新的方法。

  然而你的组织也能够为了特殊的管理须要选择部署RODC。好比,业务线应用程序(line-of-business,LOB)只能被安装到域控制器上并才能得以成功运行。或者,域控制器是分支机构仅有的服务器,而不得不运行服务器应用。

  在这些例子中,业务线应用程序全部者必须常常交互式登陆到域控制器或者使用终端服务来配置和管理程序。这种环境引发了在可写域控制器上不被接受的安全风险。

  RODC为在这些场景中部署域控制器提供了更安全的机械结构。你可以将登陆到RODC的权利转让给没有管理权限的域用户同时最小化给活动目录森林带来的安全风险。

  你也能够在其它场景中部署RODC,好比在外延网(extranets)中本地储存的全部域密码被认为是主要威胁。

还有其它要特别考虑的吗?

  为了部署RODC,域中必须至少有一台运行Windows Server 2008的可写域控制器。此外,活动目录域和森林的功能级必须是Windows Server 2003或者更高。

这项特性提供了什么新功能?

  RODC处理了在分支机构中的广泛问题。这些地方也许没有域控制器。或者他们有可写的域控制器可是没有足够的物理安全,网络带宽以及专门的技术人员来提供支持。下面的RODC的功能缓解了这些问题: 

只读活动目录数据库 
单向复制 
凭据缓存 
管理员角色分离 
只读DNS 

只读活动目录数据库

  除了帐户密码以外,RODC拥有全部可写域控制器拥有的对象和属性。然而,没法针对储存在RODC的数据库进行任何数据上的更改。数据上的更改必须在可写域控制器上进行而后复制回RODC。

  请求得到目录读取权限的本地程序可以得到访问许可。当使用轻型目录访问协议(LDAP)的程序请求写入权限时将会收到“referral”应答。一般状况下这些应答将写入请求引导到在枢纽站点中可写的域控制器。

RODC已筛选属性集

  使用AD DS做为数据存储的某些程序,也许会将相似信任凭据的数据(诸如密码,信任凭据,加密密钥)储存在RODC上。而你不想将这些数据储存在RODC上是由于考虑到RODC受到安全威胁的状况。

  为了这些程序。你能够在架构中动态配置不被复制到RODC的域对象的属性集。这个属性集被称为RODC已筛选属性集。在RODC已筛选属性集定义的属性不容许复制到森林内的任何一台RODC。

  威胁到RODC的恶意用户可以以某种途径尝试配置RODC,并尝试将RODC已筛选属性集中定义的属性复制到其它域控制器。若是RODC尝试从一台安装Windows Server 2008的域控制器上复制这些属性,那么复制请求将被拒绝。然而,若是RODC尝试从一台安装Windows Server 2003的域控制器上复制这些属性,复制请求将被接受。

  所以,做为安全性的预防措施,若是你想配置RODC已筛选属性集请确保林功能级是Windows Server 2008。若是森林的功能级是Windows Server 2008,那么受到威胁的RODC将不能被如此利用,由于运行Windows Server 2003的域控制器在森林中是不被容许的。

  你没法添加系统关键属性到RODC已筛选属性集。判断是不是系统关键属性的依据是看如下服务可否正常工做,这样的服务有 AD DS、LSA、SAM(及SSPIs好比Kerberos)在Windows Server 2008 Beta3的后继版本中,系统关键属性拥有属性值等于1的schemaFlagsEx属性。

  RODC已筛选属性集被配置在拥有架构操做主机的服务器上。若是你尝试添加系统关键属性打到RODC已筛选属性集,并且架构操做主机运行在Windows Server 2008上,那么服务器将返回“unwillingToPerform”的LDAP错误。若是你尝试添加系统关键属性打到RODC已筛选属性集,可是架构操做主机运行在Windows Server 2003上,那么操做将看上去是成功完成了,然而属性值实际上却没有被添加。所以,当你想要添加属性到RODC已筛选属性集时,价格操做主机建议是运行Windows Server 2008的域控制器。这保证了系统关键属性不包含在RODC已筛选属性集中。

单向复制

  由于没有任何属性的变化会被直接写入RODC,因此任何变化不会从RODC发起。所以,做为复制伙伴的可写域控制器不会产生从RODC“拉”数据的操做。这意味着恶意用户在分支结构的RODC上进行的操做的结果不会被复制到森林的其他部分。这也减小了枢纽站点里的桥头服务器的工做量以及为了监视复制所要求的工做量。

  RODC的单向复制同时应用于AD DS及分布式文件系统(DFS)的复制。RODC为AD DS及DFS执行正常的入站复制。

凭据缓存

  凭据缓存是用户或者计算机凭据的储存器。凭据是由和安全主体关联的一小组大约接近10个密码的集合所组成。在默认状况下RODC不储存用户或者计算机凭据。例外的状况是RODC自身的计算机帐户以及每台RODC全部的特殊的krbtgt帐户。你在RODC上必须显示容许其它任何凭据缓存。

  RODC宣告成为分支结构的密钥分配中心(KDC)。RODC与可写域控制器上的KDC相比,它将使用不一样的krgbrt帐户和密码来签名或加密(TGT)请求。

  当一个帐户被成功验证时,RODC会试图联系枢纽站点中一台可写的域控制器,并请求一份合适凭据的副本。可写域控制器将会识别出这个请求来自RODC,并考虑影响到RODC的密码复制策略。

  密码复制策略决定了用户或者计算机的凭据是否能够从可写域控制器复制到RODC。若是策略容许,那么可写域控制器将密码复制到RODC上,而且RODC缓存这些凭据。

  当凭据被RODC缓存以后,RODC可以直接为用户登陆请求服务直到凭据发生变化。(当TGT被RODC的krbtgt帐户签名时,RODC识别出它有一份缓存的凭据副本。若是其它域控制器对TGT进行了签名,那么RODC将会把这个请求转递给一台可写域控制器。)

因  为凭据缓存被限制为只有被RODC认证的用户的凭据才能被缓存,因此因为RODC受到威胁而致使的潜在的凭据泄露也获得了限制。所以,域用户中只有不多一部分的凭据被缓存在RODC上。所以,当发生RODC被盗的事件时,只有这些被缓存的凭据才有可能被破解。

  保持凭据缓存关闭也许能更深层次的限制泄露,可是这样将致使全部的认证请求都被传递给可写域控制器。管理员可以修改默认密码策略来容许用户凭据被缓存到RODC上。

管理员角色分割

  你能委派RODC的本地管理权限至任何域用户而不用使该用户得到域或者域控制器的用户权限。这使分支机构的用户可以登陆至RODC并执行诸如升级驱动程序之类的维护工做。然而分支结构用户没法登陆到其它任何域控制器或者在域中执行其它管理工做。所以分支结构用户可以委派有效的权利来管理分支机构的RODC而不会威胁到域内其它部分的安全。

只读DNS

  你能在RODC上安装DNS服务。RODC可以复制DNS使用的全部程序目录分区,包括ForestDNSZones以及DomainDNSZones。若是DNS服务被安装到RODC上,用户可以像查询其它DNS服务器同样进行名称解析。

  然而,在RODC上的DNS服务不支持客户端直接更新。由于RODC不登记它所拥有任何的AD集成区域的NS资源记录。当客户端试图在RODC上尝试更新DNS记录时,服务器会返回包含支持客户端更新的DNS服务器的引用。随后,客户端可以尝试利用引用中提供的DNS服务器进行DNS记录更新。而在后台,RODC上的DNS服务器会尝试从更新的DNS服务器中复制已更新的记录。复制请求仅针对单一对象(DNS记录)。整个变化区域的列表或者域数据在特定的“复制单一对象”的请求过程当中将不被复制。