Udostępnij za pośrednictwem

Informacje o urządzeniach z technologii Riverbed, które są skonfigurowane jako RODC

W tym artykule opisano informacje o urządzeniach z technologii Riverbed, które są skonfigurowane jako RODC.

Oryginalny numer KB: 3192506

Podsumowanie

Firma Microsoft oferuje rozsądną komercyjnie pomoc techniczną dotyczącą oprogramowania. Jeśli nie możemy rozwiązać problemu klienta, gdy dotyczy to oprogramowania innej firmy, zażądamy zaangażowania dostawcy innej firmy. W zależności od scenariusza pomoc techniczna firmy Microsoft może poprosić klienta o usunięcie lub ponowne skonfigurowanie składnika z konfiguracji, aby sprawdzić, czy problem będzie się powtarzać. Jeśli problem zostanie potwierdzony, że jest spowodowany lub w dużym stopniu wpływa na składnik innej firmy, dostawca składnika musi być zaangażowany w pomoc w rozwiązaniu problemu. Te zasady dotyczą również urządzeń firmy Riverbed Technology, Inc.

Więcej informacji

Riverbed Technology, Inc. sprawia, że pośrednie urządzenia sieciowe, które mają na celu optymalizację sieci ruchu sieciowego poprzez kompresowanie i kształtowanie ruchu, który podróżuje przez załadowane połączenia WAN.

Urządzenia mogą przechwytywać sesje SMB użytkownika końcowego i mogą osiągać wzrost wydajności, jeśli urządzenie Riverbed może wygenerować prawidłową podpisaną sumę kontrolną ładunku w kontekście zabezpieczeń serwera. Aby to osiągnąć, urządzenie konfiguruje się jako wystąpienie zaufanego serwera, aby mogło działać jako i dla serwera, który znajduje się w zakresie ruchu sieciowego, który jest zoptymalizowany.

Obecne podejście wdrażania (wrzesień 2016 r.) obejmuje włączenie ustawień userAccountControl kontrolera domeny tylko do odczytu na zwykłym koncie komputera; lub przy użyciu wysoce uprzywilejowanego konta usługi z uprawnieniami Replikuj katalog zmienia wszystkie uprawnienia. W niektórych konfiguracjach będą używane oba typy kont. Takie podejście ma szereg konsekwencji zabezpieczeń, które mogą nie być oczywiste w momencie konfiguracji.

Oczekiwania

Gdy konto komputera jest skonfigurowane jako kontroler domeny, otrzymuje pewne flagi i członkostwa w grupach, które umożliwiają mu wykonywanie procedur specyficznych dla zabezpieczeń i usługi Active Directory. Należą do nich następujące:

  • Konto może personifikować dowolnego użytkownika w usłudze Active Directory, z wyjątkiem tych, którzy są oznaczani jako "poufne i niedozwolone do delegowania". Ze względu na przejście protokołu Kerberos konto może to zrobić nawet bez posiadania hasła dla użytkowników z dostępem do personifikacji.
  • Uprawnienie "Replikuj wszystkie zmiany katalogu" umożliwia urządzeniu dostęp do skrótów haseł wszystkich użytkowników w domenie, w tym poufnych kont, takich jak KrbTgt, konta kontrolera domeny i relacje zaufania.
  • Konto kwalifikuje się do monitorowania jako kontrolera domeny przez rozwiązania do monitorowania.
  • Na podstawie istnienia tych flag "wywołujących" (w tym narzędzi administracyjnych) oczekuje serwera opartego na systemie Windows i spróbuj uzyskać dostęp lub współpracować z jednostkami reprezentującymi się jako kontrolery domeny. Obejmuje to usługi oparte na usługach WMI, WinRM, LDAP, RPC i Active Directory Web Services. Podobnie aplikacje, komputery członkowskie i kontrolery domeny partnera oczekują jednostek reprezentujących się jako kontrolery domeny do interakcji i reagowania w spójny, dobrze zdefiniowany sposób.

Implikacje dotyczące zabezpieczeń

Podobnie jak w przypadku innych urządzeń obliczeniowych w środowisku sieciowym, urządzenia Riverbed mogą zostać zaatakowane przez złośliwe oprogramowanie. Ze względu na możliwość personifikacji użytkowników usługi Active Directory urządzenia Riverbed są atrakcyjnymi celami w przypadku takich ataków.

Firma Microsoft zdecydowanie zaleca korzystanie z tego samego poziomu ochrony fizycznej i sieciowej oraz inspekcji, jak w przypadku kontrolerów domeny odczytu i zapisu (RWDCs). Administrowanie tymi urządzeniami powinno postępować zgodnie z bieżącymi wskazówkami dotyczącymi zabezpieczania uprzywilejowanego dostępu na stronie Zabezpieczanie uprzywilejowanego dostępu. Jeśli obecnie używasz urządzeń Riverbed w lokalizacjach, które nie są wystarczająco bezpieczne dla RWDCs, zdecydowanie zalecamy przejrzenie umieszczania tych urządzeń.

Implikacje operacyjne

Kontrolery domeny mają specjalną flagę i dodatkowe obiekty skojarzone z ich kontami, które zapewniają unikatową identyfikację roli. Są to następujące dane:

  • Wartości UserAccountControl na koncie komputera kontrolera domeny
    • 0X82000 RWDC (szesnastkowy)
    • 0x5011000 RODC (szesnastkowy)
  • Obiekt USTAWIEŃ NTDS w kontenerze konfiguracji w lokacji kontrolera domeny

Narzędzia, usługi i aplikacje mogą wysyłać zapytania do tych atrybutów, aby wygenerować listę kontrolerów domeny, a następnie wykonać operację, taką jak zapytanie, które zakłada normalną odpowiedź kontrolera domeny. Urządzenia riverbed nie implementują pełnego zestawu usług kontrolera domeny systemu Windows i nie odpowiadają na normalne zapytania kontrolera domeny. Firma Microsoft zdaje sobie sprawę z następujących problemów, które są spowodowane tą konfiguracją:

  • Migracja replikacji folderu sysvol z usługi replikacji plików (FRS) do rozproszonej replikacji systemu plików (DFSR)

    Gdy domena została przeniesiona do trybu domeny systemu Windows Server 2008 lub nowszego, firma Microsoft zaleca przeprowadzenie migracji aparatu replikacji sysvol z usługi FRS do usługi DFSR.

    Narzędzie do migracji dfSR (dfsrMig.exe) tworzy spis wszystkich kontrolerów domeny w domenie po rozpoczęciu migracji. Obejmuje to konta podobne do kontrolera domeny używane przez urządzenia Riverbed. Urządzenia riverbed nie reagują na zmiany w obiektach usługi Active Directory, które są wymagane do przeprowadzenia migracji. Dlatego nie można ukończyć narzędzia migracji dfSR, a administratorzy muszą zignorować błędy, aby przejść do następnego kroku migracji folderu sysvol. Te fałszywe błędy mogą nakładać się na rzeczywiste błędy z rzeczywistych komputerów z systemem Windows Server.

    Ponieważ nie można ukończyć migracji folderu sysvol, gdy w domenie znajduje się urządzenie riverbed, firma Microsoft zaleca usunięcie urządzeń riverbed podczas migracji.

  • Narzędzia do monitorowania

    Większość narzędzi do monitorowania serwera na rynku obsługuje zapytania usługi Active Directory w celu wypełnienia spisu systemów klienckich i serwerowych. Narzędzia wykorzystujące obiekt UserAccountControl lub NTDS Setting do znajdowania kontrolerów domeny mogą niepoprawnie identyfikować konta Riverbed jako konta kontrolera domeny. W związku z tym urządzenia riverbed są wyświetlane jako zarządzane serwery na tej liście spisu.

    Wiele rozwiązań umożliwia zdalne wdrażanie agentów monitorowania lub umożliwia zdalne wykonywanie zapytań dotyczących urządzenia w celu uzyskania informacji diagnostycznych. Jednak urządzenia Riverbed nie obsługują tych interfejsów, a narzędzia do monitorowania zgłaszają je jako błędy wyzwalające.

    Skontaktuj się z riverbed, aby uzyskać informacje o tym, jak pomyślnie monitorować urządzenia Riverbed za pomocą wybranego narzędzia do monitorowania. Jeśli żadne narzędzie do monitorowania nie jest dostępne, zbadaj opcję wykluczenia urządzenia z monitorowania. Firma Microsoft zdecydowanie zaleca monitorowanie kondycji urządzenia, biorąc pod uwagę wrażliwość takich funkcji, które wykonują takie urządzenia.

  • Narzędzie do administrowania zasadami grupy (GPMC)

    W systemie Windows Server 2012 i nowszych wersjach konsola zarządzania zasadami grupy może wyświetlać stan replikacji ustawień zasad grupy w domenie lub na zasady. Urządzenia z rzeką znajdują się na liście kwalifikujących się kont na potrzeby tego sprawdzenia stanu.

    Jednak informacje zwrócone do konsoli zarządzania zasadami grupy przez riverbed są niekompletne, ponieważ nie mają obiektu ustawień NTDS w partycji konfiguracji usługi Active Directory. Ponieważ konsola zarządzania zasadami grupy nie oczekuje tego, konsola zarządzania zasadami grupy ulega awarii.

    Aby zapobiec temu awarii, wdróż następującą aktualizację na komputerach administracyjnych:

    Konsola zarządzania zasadami grupy ulega awarii po kliknięciu domeny docelowej

Produkty innych firm omówione w tym artykule są wytwarzane przez producentów niezależnych od firmy Microsoft. Firma Microsoft nie udziela żadnych gwarancji, dorozumianych ani żadnego innego rodzaju, w odniesieniu do wydajności lub niezawodności tych produktów.