Поделиться через

Сведения об устройствах из Технологии Riverbed, настроенных как RODC

  • Статья

В этой статье описаны сведения об устройствах из Riverbed Technology, настроенных в качестве контроллеров rodc.

Исходный номер базы знаний: 3192506

Сводка

Корпорация Майкрософт предлагает коммерчески обоснованную поддержку своего программного обеспечения. Если нам не удается устранить проблему клиента при использовании стороннего программного обеспечения, мы будем запрашивать у стороннего поставщика. В зависимости от сценария служба поддержки Майкрософт может попросить клиента удалить или перенастроить компонент из конфигурации, чтобы узнать, сохраняется ли проблема. Если подтверждается, что проблема была вызвана сторонним компонентом или сильно повлияла на нее, поставщик компонента должен быть вовлечен в ее решение. Эта политика также применяется к устройствам компании Riverbed Technology, Inc.

Дополнительная информация

Riverbed Technology, Inc. создает промежуточные сетевые устройства, которые предназначены для оптимизации сети сетевого трафика путем сжатия и иным образом формирования трафика, который проходит через загруженные подключения глобальной сети.

Устройства могут перехватывать сеансы SMB конечного пользователя и повысить производительность, если устройство Riverbed может создать действительную контрольную сумму полезных данных в контексте безопасности сервера. Для этого устройство настраивает себя в качестве экземпляра доверенного сервера, чтобы он выполнял роль и для сервера, который находится в области оптимизированного сетевого трафика.

Текущий подход к развертыванию (сентябрь 2016 г.) предусматривает включение параметров UserAccountControl контроллера домена только для чтения (RODC) в обычной учетной записи компьютера; или с помощью учетной записи службы с высоким уровнем привилегий, которая имеет разрешения Репликация изменений каталога все. В некоторых конфигурациях будут использоваться оба типа учетных записей. Такой подход имеет ряд последствий для безопасности, которые могут быть неочевидны во время настройки.

Ожидания

Когда учетная запись компьютера настроена в качестве контроллера домена, она получает определенные флаги и членство в группах, которые позволяют ей выполнять процедуры, связанные с безопасностью и Active Directory. К ним относятся следующие:

  • Учетная запись может олицетворять любого пользователя в Active Directory, кроме тех пользователей, которые помечены как "конфиденциальные и не разрешены для делегирования". Из-за перехода протокола Kerberos учетная запись может сделать это даже без пароля для пользователей, разрешенных олицетворением.
  • Разрешение "Реплицировать изменения каталога все" позволяет устройству получать доступ к хэшам паролей всех пользователей в домене, включая конфиденциальные учетные записи, такие как KrbTgt, учетные записи контроллера домена и отношения доверия.
  • Учетная запись может осуществлять мониторинг в качестве контроллера домена с помощью решений мониторинга.
  • Исходя из наличия этих флагов, "вызывающие" (включая средства администрирования) ожидают сервера под управлением Windows и пытаются получить доступ к сущностям, представляющим себя в качестве контроллеров домена, или взаимодействовать с ними. Сюда входят службы, основанные на WMI, WinRM, LDAP, RPC и веб-службах Active Directory. Аналогичным образом, приложения, компьютеры-члены и контроллеры домена партнеров ожидают, что сущности, представляющие себя как контроллеры домена, будут взаимодействовать и реагировать согласованно, четко определенно.

Последствия для безопасности

Как и любое другое вычислительное устройство в сетевой среде, устройства Riverbed могут подвергнуться атаке вредоносных программ. Из-за их способности олицетворять пользователей Active Directory устройства Riverbed являются привлекательными объектами для таких атак.

Корпорация Майкрософт настоятельно рекомендует использовать тот же уровень физической и сетевой защиты и аудита, что и для контроллеров домена Read-Write (RWDCs). Администрирование этих устройств должно соответствовать текущим рекомендациям по защите привилегированного доступа в статье Защита привилегированного доступа. Если в настоящее время вы используете устройства Riverbed в местах, которые недостаточно безопасны для RWDC, настоятельно рекомендуется ознакомиться с размещением этих устройств.

Операционные последствия

Контроллеры домена имеют специальный флаг и дополнительные объекты, связанные с их учетными записями, которые обеспечивают уникальную идентификацию ролей. Ниже приведены следующие компоненты:

  • Значения UserAccountControl в учетной записи компьютера контроллера домена
    • RWDC 0x82000 (шестнадцатеричный)
    • 0X5011000 RODC (шестнадцатеричный)
  • Объект NTDS Settings в контейнере конфигурации на сайте контроллера домена

Средства, службы и приложения могут запрашивать эти атрибуты, чтобы создать список контроллеров домена, а затем выполнить операцию, например запрос, которая предполагает нормальный ответ контроллера домена. Устройства Riverbed не реализуют полный набор служб контроллера домена Windows и не отвечают на обычные запросы контроллера домена. Корпорация Майкрософт знает о следующих проблемах, вызванных этой конфигурацией:

  • Перенос репликации sysvol из службы репликации файлов (FRS) в распределенную репликацию файловой системы (DFSR)

    При переходе домена в режим домена Windows Server 2008 или более поздней версии корпорация Майкрософт рекомендует перенести подсистему репликации sysvol из FRS в DFSR.

    Средство миграции DFSR (dfsrMig.exe) создает инвентаризацию всех контроллеров домена в домене при начале миграции. Сюда входят учетные записи, подобные контроллеру домена, используемые устройствами Riverbed. Устройства Riverbed не реагируют на изменения в объектах Active Directory, необходимые для выполнения миграции. Таким образом, средство миграции DFSR завершается сбоем, и администраторы должны игнорировать ошибки, чтобы перейти к следующему шагу миграции sysvol. Эти ложные ошибки могут перекрываться с фактическими ошибками на реальных компьютерах под управлением Windows Server.

    Так как миграцию sysvol невозможно выполнить, если в домене есть устройство Riverbed, корпорация Майкрософт рекомендует удалить устройства Riverbed во время миграции.

  • Средства отслеживания

    Большинство средств мониторинга серверов на рынке поддерживают использование запросов Active Directory для заполнения инвентаризации клиентских и серверных систем. Средства, использующие объект UserAccountControl или NTDS Setting для поиска контроллеров домена, могут неправильно идентифицировать учетные записи Riverbed в качестве учетных записей контроллеров домена. В результате устройства Riverbed отображаются как управляемые серверы в этом списке инвентаризации.

    Многие решения разрешают удаленное развертывание агентов мониторинга или позволяют удаленно запрашивать у устройства диагностические сведения. Однако устройства Riverbed не поддерживают эти интерфейсы, и средства мониторинга сообщают о них как о сбое.

    Обратитесь в Riverbed для получения сведений о том, как успешно отслеживать устройства Riverbed с помощью выбранного средства мониторинга. Если средство мониторинга не доступно, изучите вариант исключения устройства из мониторинга. Корпорация Майкрософт настоятельно рекомендует отслеживать работоспособность устройств, учитывая чувствительность функций, выполняемых такими устройствами.

  • Средство администрирования групповых политик (GPMC)

    В Windows Server 2012 и более поздних версиях GPMC может отображать состояние репликации параметров групповой политики в домене или для каждой политики. Устройства Riverbed включены в список подходящих учетных записей для этой проверки состояния.

    Однако сведения, возвращенные в GPMC riverbed, неполны, так как в разделе конфигурации Active Directory у них нет объекта параметров NTDS. Так как GPMC этого не ожидается, консоль GPMC завершает работу.

    Чтобы избежать этого сбоя, разверните на компьютерах администрирования следующее обновление:

    Консоль управления групповыми политиками завершается сбоем при щелчке целевого домена

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.