Partager via

Informations sur les appareils de Riverbed Technology configurés en tant que contrôleurs de domaine en lecture seule

  • Article

Cet article décrit les informations sur les appareils de Riverbed Technology qui sont configurés en tant que contrôleurs de domaine en lecture seule.

Numéro de la base de connaissances d’origine : 3192506

Résumé

Microsoft offre un support commercialement raisonnable pour ses logiciels. Si nous ne pouvons pas résoudre le problème d’un client quand un logiciel tiers est impliqué, nous demandons l’intervention du fournisseur tiers. Selon le scénario, le Support Microsoft peut demander au client de supprimer ou de reconfigurer le composant de la configuration pour voir si le problème persiste. Si le problème est confirmé comme étant causé ou fortement influencé par le composant tiers, le fournisseur du composant doit être impliqué dans la résolution du problème. Cette politique s’applique également aux appareils de Riverbed Technology, Inc.

Informations supplémentaires

Riverbed Technology, Inc. fabrique des appareils réseau intermédiaires qui visent à optimiser le trafic réseau en compressant et en mettant en forme le trafic qui circule sur des connexions WAN chargées.

Les appareils peuvent intercepter les sessions SMB de l’utilisateur final et peuvent obtenir des gains de performances si l’appareil Riverbed peut générer une somme de contrôle signée valide de la charge utile dans le contexte de sécurité du serveur. Pour ce faire, l’appareil se définit comme une instance de serveur approuvé afin qu’il puisse agir en tant que et pour un serveur qui se trouve dans l’étendue du trafic réseau en cours d’optimisation.

L’approche de déploiement actuelle (septembre 2016) implique l’activation des paramètres Du contrôleur de domaine en lecture seule (RODC) UserAccountControl sur un compte d’ordinateur normal . ou à l’aide d’un compte de service à privilèges élevés disposant des autorisations Répliquer toutes les modifications d’annuaire. Dans certaines configurations, les deux types de comptes sont utilisés. Cette approche a un certain nombre de conséquences sur la sécurité, qui peuvent ne pas être évidentes au moment de la configuration.

Attentes

Lorsqu’un compte d’ordinateur est configuré en tant que contrôleur de domaine, il reçoit certains indicateurs et appartenances aux groupes qui lui permettent d’effectuer des procédures de sécurité et spécifiques à Active Directory. Celles-ci incluent les suivantes :

  • Le compte peut emprunter l’identité de n’importe quel utilisateur dans Active Directory, à l’exception de ceux qui sont marqués comme « sensibles et non autorisés à la délégation ». En raison de la transition du protocole Kerberos, le compte peut le faire même sans avoir le mot de passe pour les utilisateurs autorisés à emprunter l’identité.
  • L’autorisation « Répliquer les modifications de l’annuaire » permet à l’appareil d’accéder aux hachages de mot de passe de tous les utilisateurs du domaine, y compris les comptes sensibles comme KrbTgt, les comptes de contrôleur de domaine et les relations d’approbation.
  • Le compte est éligible pour la supervision en tant que contrôleur de domaine par des solutions de supervision.
  • En fonction de l’existence de ces indicateurs, les « appelants » (y compris les outils d’administration) attendent un serveur Windows et tentent d’accéder ou d’interagir avec des entités qui se représentent en tant que contrôleurs de domaine. Cela inclut les services basés sur WMI, WinRM, LDAP, RPC et les services web Active Directory. De même, les applications, les ordinateurs membres et les contrôleurs de domaine partenaires s’attendent à ce que les entités qui se représentent en tant que contrôleurs de domaine interagissent et répondent de manière cohérente et bien définie.

Implications en matière de sécurité

Comme pour tout autre appareil informatique dans un environnement réseau, les appareils Riverbed peuvent être attaqués par des programmes malveillants. En raison de leur capacité à emprunter l’identité des utilisateurs Active Directory, les appareils Riverbed sont des cibles attrayantes pour de telles attaques.

Microsoft recommande vivement d’utiliser le même niveau de protection et d’audit physique et réseau que vous utilisez pour vos contrôleurs de domaine Read-Write (RWDC). L’administration de ces appareils doit suivre les instructions actuelles concernant la sécurisation de l’accès privilégié dans Sécurisation de l’accès privilégié. Si vous utilisez actuellement des appareils Riverbed dans des emplacements qui ne sont pas suffisamment sécurisés pour les RWDC, nous vous recommandons vivement de passer en revue l’emplacement de ces appareils.

Implications opérationnelles

Les contrôleurs de domaine ont un indicateur spécial et des objets supplémentaires associés à leurs comptes qui fournissent une identification de rôle unique. Elle comprennent notamment :

  • Valeurs UserAccountControl sur le compte d’ordinateur du contrôleur de domaine
    • RWDC 0x82000 (hexadécimal)
    • RODC 0x5011000 (hexadécimal)
  • Objet Paramètres NTDS dans le conteneur de configuration, dans le site du contrôleur de domaine

Les outils, services et applications peuvent interroger ces attributs pour générer une liste de contrôleurs de domaine, puis effectuer une opération, telle que la requête, qui suppose une réponse dc normale. Les appareils Riverbed n’implémentent pas l’ensemble complet des services de contrôleur de domaine Windows et ne répondent pas aux requêtes dc normales. Microsoft est conscient des problèmes suivants qui sont causés par cette configuration :

  • Migration de la réplication sysvol du service de réplication de fichiers (FRS) vers la réplication du système de fichiers distribué (DFSR)

    Lorsqu’un domaine est passé au mode de domaine Windows Server 2008 ou version ultérieure, Microsoft vous recommande de migrer le moteur de réplication sysvol de FRS vers DFSR.

    L’outil de migration DFSR (dfsrMig.exe) génère un inventaire de tous les contrôleurs de domaine dans le domaine au début de la migration. Cela inclut les comptes de type CONTRÔLEUR de domaine utilisés par les appareils Riverbed. Les appareils Riverbed ne répondent pas aux modifications apportées aux objets Active Directory nécessaires à la progression de la migration. Par conséquent, l’outil de migration DFSR ne se termine pas et les administrateurs doivent ignorer les erreurs pour passer à l’étape suivante de la migration sysvol. Ces erreurs fausses peuvent chevaucher les erreurs réelles des ordinateurs Windows Server réels.

    Étant donné que la migration sysvol ne peut pas être effectuée lorsqu’un appareil Riverbed se trouve dans le domaine, Microsoft vous recommande de supprimer les appareils Riverbed pendant une migration.

  • Outils de surveillance

    La plupart des outils de surveillance de serveur sur le marché prennent en charge l’utilisation de requêtes Active Directory pour remplir un inventaire des systèmes clients et serveurs. Les outils qui tirent parti de l’objet UserAccountControl ou NTDS Setting pour rechercher des contrôleurs de domaine peuvent identifier de manière incorrecte les comptes Riverbed en tant que comptes de contrôleur de domaine. Par conséquent, les appareils Riverbed apparaissent en tant que serveurs gérables dans cette liste d’inventaire.

    De nombreuses solutions autorisent ensuite le déploiement à distance d’agents de surveillance ou vous permettent d’interroger l’appareil à distance pour obtenir des informations de diagnostic. Toutefois, les appareils Riverbed ne prennent pas en charge ces interfaces, et les outils de surveillance les signalent comme des échecs déclencheurs.

    Contactez Riverbed pour plus d’informations sur la façon de surveiller correctement les appareils Riverbed via l’outil de surveillance de votre choix. Si aucun outil de surveillance n’est disponible, examinez la possibilité d’exclure l’appareil de la surveillance. Microsoft recommande vivement de surveiller l’intégrité des appareils, compte tenu de la sensibilité des fonctions effectuées par ces appareils.

  • Outil d’administration des stratégies de groupe (GPMC)

    Dans Windows Server 2012 et versions ultérieures, la console GPMC peut afficher l’état de réplication des paramètres de stratégie de groupe dans le domaine ou par stratégie. Les appareils Riverbed sont inclus dans la liste des comptes éligibles pour cette vérification d’état.

    Toutefois, les informations retournées à la console GPMC par Riverbed sont incomplètes, car elles n’ont pas d’objet NTDS Settings dans la partition de configuration Active Directory. Étant donné que la console GPMC ne s’attend pas à cela, elle se bloque.

    Pour éviter cet échec, déployez la mise à jour suivante sur vos ordinateurs d’administration :

    La console de gestion des stratégies de groupe se bloque lorsque vous cliquez sur le domaine cible

Les produits tiers mentionnés dans le présent article sont fabriqués par des sociétés indépendantes de Microsoft. Microsoft exclut toute garantie, implicite ou autre, concernant les performances ou la fiabilité de ces produits.