Windows Server 2008 R2 Server Core: Protección de la conexión a la sucursal
Paul Yu
Pocos entornos son más difíciles de respaldar que las oficinas remotas. El establecimiento y mantenimiento de conexiones seguras presenta una gran cantidad de desafíos técnicos y procedimentales. Lo mismo sucede con cualquier centro de datos conectado a una oficina remota.
Por lo general, las oficinas remotas se distribuyen en un área extensa, son pocas, cuentan con una población de usuarios relativamente pequeña, se conectan a los sitios de los centros de datos a través de vínculos de red lentos y raramente tienen administradores de TI especializados en el lugar. Cada factor por separado representa un desafío. Si los combina, obtiene la fórmula para un dolor de cabeza de TI.
Aunque la mayoría de los entornos de las sucursales normalmente exhibe una serie similar de características (como las que se enumeran aquí), también existen requisitos específicos de las organizaciones que determinan el funcionamiento del entorno. La importancia de la seguridad o el grado de centralización de los recursos tecnológicos puede diferir del marco de una oficina remota a otro. Independientemente de la cantidad de sucursales operativas, Windows Server 2008 R2 presenta nuevas oportunidades de implementación de tecnología actualizada que modifican sustancialmente la forma de implementar y aprovechar los controladores de dominio (DC) en entornos remotos.
Una solución segura
La protección de la implementación de sucursales es una situación común para los servicios de dominio de Active Directory (ADDS). Las características y restricciones exclusivas de los entornos remotos se adaptan perfectamente a los ADDS. Windows Server 2008 R2 presenta una amplia variedad de funciones nuevas y enfoques actualizados para la implementación de ADDS. Exploremos cómo implementar Windows Server 2008 R2 en este tipo de entorno de forma segura. Cubriremos las características típicas de las sucursales, los principales diseños arquitectónicos y las opciones de implementación recomendadas, específicas de la implementación de Windows Server 2008 R2.
El aspecto más notable de Windows Server 2008 R2 implica los controladores de dominio de sólo lectura (RODC). En términos generales, los RODC se implementan en ubicaciones que requieren servicios de DC, pero que carecen de las medidas de seguridad física correspondientes. Debido a la seguridad y las características de administración mejoradas, la sustitución de los DC existentes por RODC puede exceder los requisitos relacionados con los ADDS existentes en muchos de los entornos de las sucursales. Para las ubicaciones que no cuentan con DC actuales, los RODC representan una oportunidad considerable para introducir ADDS en el entorno.
Otro factor importante es la versión actualizada de Server Core, una opción de instalación de Windows Server 2008 R2 que proporciona un entorno mínimo para ejecutar funciones de servidor específicas y compatibles, como la función de DC. La elección de Server Core sólo instala un subconjunto de archivos binarios requeridos por la función de servidor instalada que, en este caso, serían los RODC. Esta instalación mínima da como resultado una superficie de ataque reducida, un mantenimiento reducido y una administración más sencilla. Además ayuda a que el servidor de RODC funcione con menos recursos.
Dado que muchos de estos factores pueden ayudar a aliviar las restricciones comúnmente asociadas a los entornos de las sucursales, Windows Server 2008 R2 Server Core y los RODC son una opción atractiva para todos los entornos remotos. Las siguientes consideraciones de implementación detallan las opciones de implementación y configuración específicas de los componentes de Server Core y los RODC.
La configuración exacta es una configuración bastante común, aunque es posible que no cumpla con todos los requisitos de las sucursales de la organización. De hecho, se resaltan los principales aspectos de dicha configuración en la guía de prácticas recomendadas vigente de Windows Server 2008 Security Compliance Management Toolkit.
Aquí presentamos un informe de las principales consideraciones de implementación asociadas al establecimiento de una solución de RODC de Windows Server 2008 R2 Server Core segura para los entornos de las sucursales. Dicho informe cubre las premisas de seguridad, los elementos de diseño importantes, los requisitos previos de infraestructura y otras opciones de implementación detalladas.
Planeación del diseño preliminar
Como con la implementación de cualquier DC, debe tomar ciertas decisiones importantes sobre el diseño antes de realizar la implementación. Algunas de estas decisiones incluyen evaluar los requisitos de hardware, decidir la estrategia de actualización de software, determinar la versión del servidor del RODC e identificar el pedido de actualización del DC. Estas decisiones determinarán el proceso general de implementación y las configuraciones disponibles.
Desde la perspectiva de evaluación del hardware, debe determinar si el hardware de su DC actual cumple con los requisitos recomendados. Existen especificaciones bien documentadas, por lo que, probablemente, esto no representará un problema para la mayoría de las organizaciones. Respecto de las rutas de actualización de software compatibles, hay un número de opciones que varía según las diferentes versiones, ediciones y opciones de instalación de Windows.
Server Core requiere una instalación limpia de DC de las sucursales. No hay forma de actualizar esta opción de instalación. En cuanto a las funciones de servidor instaladas, por motivos de seguridad, normalmente se recomienda eliminar todos los servicios y las funciones de servidor no requeridos para que funcione el RODC de la versión del servidor. La solución de RODC estipula que los RODC de Windows Server 2008 R2 Server Core no deben hospedar funciones de servidor o servicios adicionales, excepto los del catálogo global y el servidor del sistema de nombres de dominio (DNS), un enfoque cada vez más común entre las organizaciones empresariales.
El orden en el que implementa los DC es otro aspecto fundamental del proceso. El orden recomendado requiere primero la instalación de ADDS en los centros de datos de los servidores de los miembros de la versión original de Windows Server 2008 R2 para cada dominio, comenzando por la raíz de bosque, y luego la transferencia de todas las funciones de maestro de operaciones aplicables de cada dominio a los DC. Continúe implementando las ubicaciones de los centros de datos y retirando todos los DC heredados en estos sitios. Esto ayuda a estabilizar los ADDS en las ubicaciones grandes y bien administradas. Además contribuye a simplificar el proceso mismo de implementación de RODC. Una vez reemplazados los DC del centro de datos, puede comenzar con los DC de las sucursales.
Preparación de dominios y bosque de Windows Server 2008 R2
Antes de implementar un único DC de Windows Server 2008 R2 en el entorno existente, debe preparar los dominios y el bosque de Active Directory ejecutando Adprep.exe. En primer lugar, actualice el esquema de bosque en el DC que hospeda la función de maestro de operaciones de esquema con el comando adprep /forestprep. En este punto, puede actualizar el bosque que permite la instalación del RODC con el comando adprep /rodcprep. Para preparar cada dominio secundario, debe ejecutar el comando adprep /domainprep /gpprep en el DC que hospeda la función de maestro de infraestructura.
Por último, debe implementar al menos un DC grabable que ejecute Windows Server 2008 R2 en el mismo dominio donde residen los RODC. Como comentario adicional, en los entornos donde ejecuta la versión Windows Server 2008 de los comandos Adprep.exe, la actualización a Windows Server 2008 R2 aún requiere que ejecute todos los comandos con la versión R2, excepto adprep /rodcprep, que no se modifica respecto de la versión Windows Server 2008.
Ubicación de los RODC
Desde la perspectiva del diseño arquitectónico, las consideraciones de ubicación de los RODC han cambiado con la introducción de la Directiva de Replicación de Contraseñas (PRP). Por ejemplo, los RODC deben ser capaces de establecer la replicación de particiones de dominio mediante el DC modificable de Windows Server 2008 R2. Debido a que la mayoría de los entornos de las sucursales están suscritos a topologías de red central y perimetral, es más probable que los sitios de ADDS de los RODC se separen mediante un único vínculo del sitio de costo mínimo, donde se encuentran ubicados los DC modificables de Windows Server 2008 R2.
En los casos en que esto no se aplique, podrá implementar DC modificables adicionales en sitios intermedios, nuevos puentes de vínculos de sitios o podrá crear nuevos vínculos de sitios para controlar el desarrollo de las conexiones de replicación. También debe garantizar que no se coloquen otros DC en el mismo sitio de ADDS que los RODC. Esta condición no se considera un problema en la mayoría de los entornos de las sucursales, que usualmente hospedan una cantidad mínima de servidores. Para las ubicaciones que hospedan varios DC, es posible que la implementación de RODC simplemente no sea una solución aceptable.
Almacenamiento de credenciales en caché
Posiblemente, el elemento de seguridad más importante es el modelo de almacenamiento de credenciales en caché. Se trata de un componente de diseño fundamental que debe establecer cuidadosamente antes de comenzar a implementar la sucursal. En muchos entornos, es probable que el modelo de “almacenamiento de pocas cuentas en caché” sea el modelo más común y adecuado.
Este enfoque, en el que sólo se configuran las cuentas locales del sitio de RODC para su almacenamiento en caché, proporciona las condiciones ideales respecto del principio de privilegio mínimo y disponibilidad de servicio. Una de las desventajas de este enfoque es que da como resultado más responsabilidades administrativas, porque cada PRP del RODC es exclusiva y requiere el aprovisionamiento y desaprovisionamiento operativo de las cuentas, según sea necesario.
Otro de los problemas comunes de diseño de muchos entornos de sucursales es cómo afronta los usuarios que viajan. A menudo, los entornos de las sucursales incluyen usuarios y recursos que requieren que sus cuentas se almacenen en caché en ciertos RODC por motivos de disponibilidad de servicios. Lo ideal es aprovisionar estas cuentas con anticipación, al igual que con los usuarios recién contratados. Sin embargo, debido a la naturaleza aleatoria e impredecible del comportamiento de los viajes, muchas veces esta opción no es posible, especialmente para una gran cantidad de recursos que viajan por las distintas ubicaciones de los RODC.
Para solucionar este problema, puede agregar cuentas adicionales en la PRP de los RODC correspondientes. En los casos extremos en los que un grupo de cuentas requiere que se permita el acceso a la PRP de los RODC, puede aprovechar el grupo predeterminado “Grupo de replicación de contraseñas de controladores de dominios de sólo lectura permitido”. De cualquier modo, debe usarse con cuidado, porque la membresía de este grupo de seguridad permite que todos los miembros se almacenen en caché en todos los RODC.
Otra de las consideraciones implica cuando las cuentas que se almacenan en caché realmente se almacenan en caché. De forma predeterminada, esto no ocurre hasta después del primer inicio de sesión en el RODC, cuando se envía la solicitud de autenticación al DC grabable de Windows Server 2008 R2 y se replica la credencial en el RODC. Debido a que los entornos de las sucursales hospedan DC existentes que probablemente poseen requisitos preexistentes respecto de la disponibilidad de servicio, la opción de rellenado previo de credenciales de los RODC puede ser crítica.
Esto es especialmente importante durante la implementación inicial de un RODC cuando todas las cuentas del sitio del RODC aún deben almacenar en caché sus credenciales. Ni bien se configura la PRP y las cuentas se pueden almacenar en caché, puede usar las contraseñas de rellenado previo en el RODC. No obstante, es importante que tenga en cuenta que el uso de los dos medios tradicionales de rellenado previo de contraseñas tiene ciertas limitaciones. Actualmente, el uso de la consola de usuarios y equipos de Active Directory o el comando repadmin no permite el uso de grupos de seguridad.
Dado que es posible que el rellenado previo de contraseñas de a una cuenta por vez o en pequeños lotes basados en unidades organizativas no sea práctico, puede usar los grupos de seguridad de forma secuencial. De hecho, para usar el mismo grupo de seguridad que autoriza el almacenamiento en caché de las credenciales en un RODC en particular, puede utilizar lo siguiente:
For /F %%a in ('"dsquery group dc=corp,dc=contoso,dc=com -name <Groupname>| dsget group -members"') do (Repadmin /rodcpwdrepl <RODCname> <RWDCname> %%a)
Instalación preconfigurada de RODC
De los dos métodos de instalación de DC provistos por Windows Server 2008 R2, la opción de instalación preconfigurada se prefiere a la instalación directa. El método directo alternativo equivale al proceso tradicional disponible en las versiones anteriores de Windows. La instalación preconfigurada usa la Separación de Funciones de Administrador (ARS), una función de Windows Server 2008 R2 que delega a los administradores ajenos a los servicios la capacidad de instalar y administrar servidores de RODC sin conceder derechos de Active Directory.
Desde la perspectiva de seguridad, la instalación preconfigurada elimina el requisito de uso de credenciales muy elevadas en las ubicaciones de las sucursales que pueden ser inseguras. Por este motivo, es posible que ya no se empleen los argumentos que recomiendan la instalación preconfigurada de DC en el centro de datos como respaldo de las oficinas remotas. La instalación preconfigurada divide la instalación de los RODC en dos etapas.
La primera etapa requiere que el administrador de ADDS cree una cuenta de equipo para el RODC y proporcione configuraciones tales como el nombre del equipo, el sitio adecuado de ADDS, qué funciones de servidor se deben instalar, la configuración de la PRP y la delegación de la ARS. Como práctica recomendada, un grupo de seguridad debe representar al administrador delegado y cada miembro debe tener sus credenciales almacenadas en caché en el RODC. La segunda etapa requiere que el administrador del servidor del RODC delegado use sus credenciales de administrador de servicios ajenos a los ADDS para unir un servidor de grupo de trabajo a la cuenta del RODC previamente creada y completar el proceso de promoción del RODC.
Fuente de promoción del RODC
Para la fuente de promoción del RODC, esta configuración usa la opción de instalación Instalar desde un medio (IFM) junto con la instalación preconfigurada. Esta opción reduce significativamente la cantidad de datos replicados en el RODC durante la instalación de ADDS. Si usa Ntdsutil.exe en un DC modificable de Windows Server 2008 R2, hay cuatro tipos de medios de instalación disponibles. De estos cuatro, sólo dos son relevantes aquí: RODC y RODC con SYSVOL.
El medio del RODC es similar al medio de instalación completa, pero no contiene secretos almacenados en caché, como contraseñas. Esta es una característica importante de la perspectiva de seguridad de la sucursal. El único requisito de producción de medios del RODC es que se debe contar con un DC modificable de Windows Server 2008 R2. No obstante, el segundo medio de instalación, RODC con SYSVOL, requiere mucho más desde la perspectiva de infraestructura. Aunque Ntdsutil.exe creará el RODC con el medio SYSVOL, el uso de dicho medio durante la instalación requiere la replicación del sistema de archivos distribuidos (DFS-R) para la replicación de SYSVOL, que necesita un nivel funcional de dominio de Windows Server 2008 R2.
Dado que la mayoría de las organizaciones con entornos de sucursales probablemente no cumple esta condición, la opción de uso del medio no estará disponible hasta que finalice la implementación inicial. Sin embargo, una vez finalizada esta etapa, la migración a la DFS-R y el uso de medios de instalación de RODC y RODC con SYSVOL minimizará considerablemente la replicación del directorio. También contribuirá a que la futura instalación de DC de sucursales sea mucho más efectiva.
Ejecución de DCPROMO
El Asistente para la instalación del controlador de dominio de Active Directory no estará disponible durante la implementación de esta configuración dado que usa RODC para ejecutar Windows Server 2008 R2 Server Core. Puede usarlo durante la promoción en sí de RODC. Por lo tanto, además de la instalación preconfigurada de IFM, un archivo desatendido junto con Dcpromo.exe instalarán la función del DC. Desde el punto de vista de la seguridad y administración, este aspecto de la solución promueve prácticas de desarrollo de DC seguras y uniformes, que ayudan a sostener la configuración y seguridad de los ADDS en todo el entorno de la sucursal.
Las prácticas de desarrollo automatizadas, predecibles y repetibles también pueden minimizar la posibilidad de introducir configuraciones, servicios y software no autorizados en el proceso de desarrollo a través de la intervención manual. Los siguientes son un ejemplo del comando dcpromo y de un archivo de respuesta simple:
DCPROMO /unattend:c:\unattend.txt
[DCINSTALL]
ReplicaDomainDNSName=corp.contoso.com
UserDomain=corp
UserName=corp\<delegated RODC security group>
Password=*
ReplicationSourcePath=C: \IFM
Safemodeadminpassword=<password>
Es importante tener en cuenta que, si se incluye cualquier configuración manual de la PRP en el archivo de respuesta y no durante la sección de creación previa de una cuenta de RODC de la instalación preconfigurada, puede añadir explícitamente todos los valores predeterminados de la PRP. La agregación manual de configuraciones explícitas de la PRP en el archivo de respuesta básicamente reemplaza la configuración predeterminada de la PRP, y las configuraciones especificadas en el archivo de respuesta.
Replicación
Dado que los RODC de Windows Server 2008 R2 proporcionan una replicación unidireccional, la sustitución de los DC de la sucursal existentes por RODC reduce la carga de rendimiento de los servidores de cabeza de puente del centro de datos que normalmente procesan la replicación entrante de los DC de la sucursal. Esto es importante para lo entornos de sucursal. Incrementa la escalabilidad y puede reducir la cantidad total de servidores requeridos en el centro de datos.
Los RODC también brindan la distribución automática uniforme de objetos de conexión saliente en los servidores de cabeza de puente de la oficina central, lo que en Windows Server 2003 requería una herramienta adicional, como Adlb.exe. Por este motivo, se recomienda que actualice todos los DC de los centros de datos a Windows Server 2008 R2 antes de implementar los RODC. Esto garantiza que las conexiones de replicación saliente tengan un equilibrio de carga uniforme y evita la necesidad de medidas alternativas para solucionar problemas relacionados con la sobrecarga del servidor de cabeza de puente del centro de datos durante la implementación de RODC.
Este diseño detallado y la guía de implementación pueden ayudar en la instalación de RODC de Windows Server 2008 R2 Server Core en sucursales seguras. Dado que cubren aspectos clave de las características de las sucursales, los elementos de diseño arquitectónico importantes y las opciones de implementación recomendadas, puede usarlos como base para futuras prácticas recomendadas en implementaciones de RODC en sucursales.
Paul Yu (Paul.Yu@microsoft.com) es consultor senior de los Servicios de Consultoría de Microsoft y trabaja en Microsoft desde hace 10 años proporcionando soluciones de infraestructura empresarial a corporaciones comerciales y organizaciones del sector público.