web-dev-qa-db-ja.com

DMZでRODC(読み取り専用DC)を使用したネットワーク関連のセキュリティ上の利点はありますか?

DMZ内のWindowsサーバーはActive Directoryと通信する必要があります。サーバーが私のActive Directoryと直接通信することを望まないので、複製する読み取り専用ドメインコントローラーのインストールを検討します本物。

RODCにのみセキュリティ上の利点があるようです 物理的に安全ではありません -パスワードはキャッシュされません。誰かが盗んだ場合でも、実際のADを変更したり、それを行うための資格情報を見つけたりすることはできません。

http://technet.Microsoft.com/en-us/library/cc732801(v = ws.10).aspx

Inadequate physical security is the most common reason to consider deploying
an RODC. An RODC provides a way to deploy a domain controller more securely in 
locations that require fast and reliable authentication services but cannot
ensure physical security for a writable domain controller.

ネットワークセキュリティに関して、RODCを実装することには実際にメリットがありますか?

3

RODCは実際には物理的なセキュリティに関するものであり、ネットワークのセキュリティに関するものではありません。これらは、古いバックアップドメインコントローラーのアップグレードであり、盗まれるという厄介な傾向がありました(それとともにデータベースも盗まれました)。

RODCには一意のkbtgtアカウントが付属しているため、物理的な違反が発生した場合、Active Directoryに侵入したり、WDCに代わってkerberosチケットを解読したりできません。また、デフォルトでRODCは、パスワードキャッシュを許可しません。物理的な違反。

キャッシュされた資格情報をブランチオフィスに属するユーザーアカウントとコンピューターアカウントのみに制限することにより、違反が発生した場合のフォールアウトを制限し、リンクがダウンした場合にブランチオフィスが機能し続けることを許可します。

Microsoftが技術的にDMZにRODCを配置することを正式にサポートしていることを知っていますが、経験から、これは実際よりも問題が多いと言えます。 AD統合アプリケーションを1つずつ監査して、RODCとの連携をサポートしていることを確認する必要があります。どうして? RODCが単にサポートしないシナリオがまだたくさんあるからです。特定のRPC呼び出しは、理由もなく失敗する可能性があり、単に失敗します。これらのシナリオについては、Microsoftのドキュメント 読み取り専用ドメインコントローラーの計画と展開 、サブセクション 読み取り専用のActive Directoryデータベース、SYSVOL、および単方向レプリケーション で説明されています。

RODCのサービスを受けるサイトのユーザーまたはアプリケーションが書き込み操作を実行しようとすると、次のいずれかのアクションが発生する可能性があります。

  • RODCは書き込み要求を書き込み可能なドメインコントローラーに転送し、変更を書き込み可能なドメインコントローラーからレプリケートします。ほとんどの書き込み操作では、変更は次回のスケジュールされたレプリケーション間隔中にRODCにレプリケートされます。他のいくつかのケースでは、RODCは変更をすぐに複製しようとします。 RODCは、以下を含む非常に限られた書き込みセットを転送します。
    • ほとんどのタイプのパスワード変更。パスワード変更の詳細については、RODCでのパスワード変更を参照してください。
    • サービスプリンシパル名(SPN)の更新。ドメインに参加しているコンピューターにRODCへのセキュリティで保護されたチャネルがあり、NetlogonがSPNを更新しようとする場合、転送はRPCを介して行われます。
    • Netlogonを介したクライアント属性のいくつかの更新:クライアント名、DnsHostName、OsVersionInfo、OsName、サポートされる暗号化タイプ
    • LastLogonTimeStamp。ドメインに参加しているコンピューターにRODCへの安全なチャネルがあり、Netlogonがこれらの属性を更新しようとすると、LDAP経由で転送が行われます。
  • RODCは、書き込み可能なドメインコントローラーの紹介をクライアントに送信します。書き込み操作の元となったアプリケーションは、参照を追跡し、書き込み可能なドメインコントローラーを対象として書き込み操作を実行できます。既定では、RODCはLDAP(ライトウェイトディレクトリアクセスプロトコル)更新とドメインネームシステム(DNS)レコード更新の紹介を送信します。
  • 書き込み操作は失敗します。書き込み可能なドメインコントローラーには参照も転送もされません。この場合、書き込みを要求するアプリケーションは、特に書き込み可能なドメインコントローラーを対象とするように更新する必要があります。いくつかのRPC書き込みがこのカテゴリに該当します
4
mtnielsen

RODCをDMZに導入することにはセキュリティ上の利点があると思います。これは、複製されるAD情報を制御できるためです。したがって、書き込み可能なDCの公開を回避しながら、複製する必要のある情報(アカウント属性/パスワードなど)をすべて選択して選択できます。

Microsoftは、DMZ=にドメインコントローラーを配置することに関する記事を発表しました。これは興味深い読み物です。多くのインターネット向けの独自のMS製品は、リスクを最小限に抑えてインターネットに公開される可能性があると考えています(Exchangeなど)。 TMGが廃止された理由はここにありますが、DC DMZ in your your environment)の要件に対処する必要があります。

MS Documentは here であり、すべての基盤をカバーしていることを確認するには一読の価値があります。

3
DKNUCKLES