Que es un RODC? (Read Only Domain Controller)


Antes de explicarles un poco acerca de la aparicion de este termino, me gustaria hacer un preambulo y hablarles de como se conocia esta funcionalidad en Windows Server 2003, los casos son muy similares, resulta que en un forest tenemos 1 o mas dominios, basandonos en el esquema de dominio sabemos que existe un servidor llamado “Forest Root” obviamente ese servidor esta en el Datacenter de nuestra organizacion en el cual por supuesto tenemos los mejores controles de acceso y seguridad fisica del servidor, en pocas palabras el controlador de dominio primario esta en un entorno seguro, pero seguramente la organizacion o empresa debera extenderse y vemos la necesidad de colocar controladores de dominio adicionales en las distintas sucursales, esto nos ayudara a administrar eficientemente el consumo de ancho de banda y acelerar la replicacion de AD, en muchos casos las empresas no tienen suficientes recursos como para asignar un administrador de datacenter en cada localidad, por eso se instalan los controladores adicionales de dominio en las distintas ubicaciones a pesar de que no gozen de un entorno seguro, en muchos casos el acceso fisico a estos controladores de dominio no esta restringido y cualquier persona puede entrar en contacto con ellos.

Hasta ahi llegaba el concepto de controlador de dominio adicional en Windows Server 2003, ahora pasemos al titulo de este Post…

Que es un RODC? Un RODC es un controlador de dominio adicional para un dominio que hospeda particiones de sólo lectura de la base de datos de Active Directory. Un RODC está diseñado principalmente para su implementación en un entorno de sucursal.

Por lo general, las sucursales tienen relativamente pocos usuarios, escasa seguridad física, poco ancho de banda a un sitio del concentrador y escaso conocimiento de TI local.

Para una mejor comprension he elaborado un Diseño que nos ayudara a entender mejor la topologia del RODC

 

Como veran los RODC tratan algunos de los problemas que pueden ser ocasionados por ubicaciones de la sucursal que no tienen un controlador de dominio o que tienen un controlador de dominio grabable, pero no la seguridad física, el ancho de banda de la red ni la experiencia local para admitirlo. Las siguientes características de los RODC ayudan a resolver estos problemas:

Base de datos de sólo lectura de Active Directory

Excepto por las contraseñas de cuentas, un RODC tiene todos los objetos y atributos de los Servicios de dominio de Active Directory (AD DS) que tiene un controlador de dominio grabable. Sin embargo, los clientes no pueden escribir los cambios directamente en el RODC. Si bien las aplicaciones locales que solicitan acceso de lectura al directorio obtienen acceso, las aplicaciones de Protocolo ligero de acceso a directorios (LDAP) que realizan una operación de escritura obtienen acceso a un controlador de dominio grabable en un sitio del concentrador.

Conjunto de atributos con filtro RODC

Algunas aplicaciones que usan AD DS como almacén de datos pueden tener datos similares a las credenciales (como contraseñas, credenciales o claves de cifrado) que usted no desea que se almacenen en un RODC, en caso de que el RODC fuese sustraído o estuviese en peligro. Para este tipo de aplicación, puede seguir los pasos que figuran a continuación para evitar la exposición innecesaria de dichos atributos:

  • Agregue el atributo al conjunto de atributos con filtro RODC para evitar que se replique en los RODC del bosque.
  • Marque el atributo como confidencial, que quita la opción de leer los datos de los miembros del grupo Usuarios autenticados (incluido todos los RODC).

Adición de atributos al conjunto de atributos con filtro RODC

El conjunto de atributos con filtro RODC es un conjunto dinámico de atributos dinámico que no se replica en ningún RODC del bosque. Puede configurar el conjunto de atributos con filtro RODC en un maestro de esquema que ejecute Windows Server 2008. Si los atributos no puedan replicarse en los RODC, los datos no se expondrán innecesariamente si un RODC fuese sustraído o estuviese en peligro.

Un usuario malintencionado que ponga en peligro un RODC puede intentar configurarlo de manera que intente replicar atributos definidos en el conjunto de atributos con filtro RODC. Si el RODC intenta replicar esos atributos desde un controlador de dominio que ejecuta Windows Server 2008, la solicitud de replicación se deniega. Sin embargo, si el RODC intenta replicar esos atributos desde un controlador de dominio que ejecuta Windows Server 2003, la solicitud de replicación podría aprobarse.

Por lo tanto, como precaución de seguridad, asegúrese de que el nivel funcional del bosque sea Windows Server 2008, si planea configurar el conjunto de atributos con filtro RODC. Si el nivel funcional del bosque es Windows Server 2008, un RODC que esté en peligro no podrá ser explotado de esa manera porque los controladores de dominio que ejecuten Windows Server 2003 no estarán permitidos en el bosque.

No puede agregar atributos críticos para el sistema al conjunto de atributos con filtro RODC. Un atributo es crítico para el sistema si, para funcionar adecuadamente, es necesario para AD DS, la Autoridad de seguridad local (LSA), el Administrador de cuentas de seguridad (SAM) y cualquier proveedor de servicio de seguridad específico de Microsoft, como el protocolo de autenticación Kerberos. Para un atributo crítico del sistema, el valor del atributo schemaFlagsEx es (valor del atributo schemaFlagsEx & 0x1 = TRUE).

Asegúrese de que el maestro de esquema ejecute Windows Server 2008 al agregar atributos al conjunto de atributos con filtro RODC, de modo que se verifique que los atributos no sean críticos para el sistema. Si intenta agregar un atributo crítico para el sistema al conjunto de atributos con filtro RODC mientras el maestro de esquema ejecuta Windows Server 2008, el servidor muestra un error de LDAP “unwillingToPerform” (0x35), que significa que no se puede realizar la operación. El sistema operativo Windows Server 2003 no usa el conjunto de atributos con filtro RODC. Si intenta agregar un atributo crítico para el sistema al conjunto de atributos con filtro RODC mientras el maestro de esquema ejecuta Windows Server 2003, parecerá que la operación se realiza correctamente pero el atributo no se agregará realmente al conjunto.

Marcar un atributo como confidencial

Además, se recomienda que también marque como confidencial cualquier atributo que configure como parte del conjunto de atributos con filtro RODC. Para marcar un atributo como confidencial, debe quitar el permiso de lectura del atributo para el grupo Usuarios autenticados. Marcar un atributo como confidencial proporciona una protección adicional para un RODC que esté en peligro al quitar los permisos que son necesarios para leer los datos similares a las credenciales.

Antes de marcar un atributo como confidencial, pruebe el efecto que podría tener en las aplicaciones. Para obtener más información sobre cómo marcar un atributo como confidencial, consulte el artículo 922836 de Microsoft Knowledge Base en http://support.microsoft.com/kb/922836 (puede estar en inglés).

Conjunto predeterminado de atributos con filtro RODC

Los siguientes atributos se configuran como parte del conjunto de atributos con filtro RODC. Están marcados como confidenciales de forma predeterminada para admitir credenciales móviles y cifrado de unidad BitLocker de Windows Server 2008:

  • ms-PKI-DPAPIMasterKeys
  • ms-PKI-AccountCredentials
  • ms-PKI-RoamingTimeStamp
  • ms-FVE-KeyPackage
  • ms-FVE-RecoveryGuid
  • ms-FVE-RecoveryInformation
  • ms-FVE-RecoveryPassword
  • ms-FVE-VolumeGuid
  • ms-TPM-OwnerInformation

Replicación unidireccional

Dado que no se escriben cambios directamente en el RODC y, por lo tanto, no se originan de manera local, no es necesario que los controladores de dominio grabables, que son asociados de replicación, extraigan los cambios del RODC. Esto significa que cualquier cambio o daño que un usuario malintencionado pueda realizar en las ubicaciones de la sucursal no se puede replicar desde el RODC al resto del bosque.

Esto también reduce la carga de trabajo de los servidores cabeza de puente en el sitio del concentrador y el esfuerzo requerido para supervisar la replicación.

La replicación unidireccional de RODC se aplica a la replicación de AD DS y del Sistema de archivos distribuido (DFS) de SYSVOL. El RODC realiza una replicación entrante normal para los cambios de AD DS y SYSVOL.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: