Lesezeit
2 Minuten
Windows Server 2012: Schreibgeschützte Domänencontroller verwenden (1)
Domänencontroller sind der Kern einer Active Directory-basierten Netzwerkumgebung. Dementsprechend sensibel sind die Server, wenn es um die Sicherheit geht. Um Domänencontroller in Zweigstellen abzusichern, bietet sich die schreibgeschützte Variante an, der Read-only Domain Controller. Dieser erhält die replizierten Informationen von den normalen Domänencontrollern, nimmt aber selbst keine Änderungen entgegen. Im ersten Teil unseres Workshops beschäftigen wir uns mit den ersten Schritten bei der Installation eines RODC und erklären, welche Sicherheitsfeatures diese Konstruktion bietet.
Während der Heraufstufung eines Domänencontrollers können Sie diesen bei Bedarf zum Read-only Domänencontroller (RODC) deklarieren. Der erste Domänencontroller (DC) muss jedoch ein normaler DC sein. Als RODC repliziert sich der DC von anderen Domänencontrollern, gibt aber selbst keine Änderungen weiter. Ein RODC nimmt damit keine Änderungen an der Datenbank des Active Directory (AD) vor, ein lesender Zugriff ist allerdings erlaubt. So schützt ein RODC das AD davor, dass sich Kennwörter ausspionieren lassen. Der geschützte DC kennt zwar alle Objekte im AD, speichert aber nur die Kennwörter der Benutzer, die Sie explizit festlegen. Wird ein solcher DC nun gestohlen oder wird versucht, die Kennwörter aus der Datenbank auszulesen, sind zumindest die Konten der restlichen Domäne geschützt.
Sicherheit im RODC
Schreibende Domänencontroller richten keine Replikationsverbindung zu RODCs ein, da eine Replikation nur von normalen Domänencontrollern zu RODCs erfolgen kann. RODCs richten dagegen Replikationsverbindungen zu schreibenden DCs ein, die Sie bei der Heraufstufung angeben. Klicken Sie also im Snap-In "Active Directory-Benutzer und -Computer" mit der rechten Maustaste auf die OU "Domain Controllers", können Sie im zugehörigen Kontextmenü den Eintrag "Konto für schreibgeschützten Domänencontroller vorbereiten" auswählen. In diesem Fall führen Sie in der Zentrale den Assistent zum Erstellen eines neuen DC aus und weisen diesem ein Computerkonto zu. In der Niederlassung kann anschließend ein Administrator diesen Server installieren. Dem Server wird dann automatisch die Funktion des RODCs zugewiesen. Folgende Abläufe finden dann auf einem RODC beim Anmelden eines Benutzers statt:
Installieren Sie auf einem RODC den DNS-Dienst, wird dieser Server zum schreibgeschützten DNS-Server. Hier gelten die gleichen Einschränkungen für einen RODC. Ein schreibgeschützter DNS-Server nimmt nur Änderungen von normalen DNS-Servern entgegen und akzeptiert selbst keine Änderungen. Er steht für Benutzer dabei als normaler DNS-Server für Abfragen zur Verfügung, unterstützt jedoch keine dynamische DNS-Registrierung. Versucht sich ein Client zu registrieren, erhält er vom DNS-Server eine Rückmeldung, dass dieser keine Aktualisierung akzeptiert. Im Hintergrund kann der Client versuchen, sich an einem normalen DNS-Server zu registrieren, der die Änderungen dann wieder zum schreibgeschützten DNS-Server überträgt.
Seite 1: Sicherheit beim RODC-Betrieb
Seite 2: RODC installieren und in Domäne integrieren
dr/ln/Thomas Joos
Sicherheit im RODC
Schreibende Domänencontroller richten keine Replikationsverbindung zu RODCs ein, da eine Replikation nur von normalen Domänencontrollern zu RODCs erfolgen kann. RODCs richten dagegen Replikationsverbindungen zu schreibenden DCs ein, die Sie bei der Heraufstufung angeben. Klicken Sie also im Snap-In "Active Directory-Benutzer und -Computer" mit der rechten Maustaste auf die OU "Domain Controllers", können Sie im zugehörigen Kontextmenü den Eintrag "Konto für schreibgeschützten Domänencontroller vorbereiten" auswählen. In diesem Fall führen Sie in der Zentrale den Assistent zum Erstellen eines neuen DC aus und weisen diesem ein Computerkonto zu. In der Niederlassung kann anschließend ein Administrator diesen Server installieren. Dem Server wird dann automatisch die Funktion des RODCs zugewiesen. Folgende Abläufe finden dann auf einem RODC beim Anmelden eines Benutzers statt:
- Der RODC überprüft, ob das Kennwort des Anwenders auf den Server repliziert wurde. Falls ja, wird der Anwender angemeldet.
- Ist das Kennwort nicht auf dem RODC verfügbar, wird die Anmeldeanfrage an einen vollwertigen DC weitergeleitet.
- Nach der erfolgreichen Anmeldung wird dem RODC ein Kerberos-Ticket zugewiesen.
- Der RODC stellt dem Anwender jetzt noch ein eigenes Kerberos-Ticket aus, mit dem dieser arbeitet. Gruppenmitgliedschaften und Gruppenrichtlinien werden übrigens nicht über die WAN-Leitung gesendet. Diese Informationen werden auf dem RODC gespeichert.
- Als Nächstes versucht der RODC, das Kennwort dieses Anwenders in seine Datenbank von einem vollwertigen DC zu replizieren. Ob das gelingt oder nicht, hängt von der jeweiligen Gruppenmitgliedschaft ab.
- Bei der nächsten Anmeldung dieses Anwenders beginnt der beschriebene Prozess von vorne.
Installieren Sie auf einem RODC den DNS-Dienst, wird dieser Server zum schreibgeschützten DNS-Server. Hier gelten die gleichen Einschränkungen für einen RODC. Ein schreibgeschützter DNS-Server nimmt nur Änderungen von normalen DNS-Servern entgegen und akzeptiert selbst keine Änderungen. Er steht für Benutzer dabei als normaler DNS-Server für Abfragen zur Verfügung, unterstützt jedoch keine dynamische DNS-Registrierung. Versucht sich ein Client zu registrieren, erhält er vom DNS-Server eine Rückmeldung, dass dieser keine Aktualisierung akzeptiert. Im Hintergrund kann der Client versuchen, sich an einem normalen DNS-Server zu registrieren, der die Änderungen dann wieder zum schreibgeschützten DNS-Server überträgt.
Seite 1: Sicherheit beim RODC-Betrieb
Seite 2: RODC installieren und in Domäne integrieren
Seite 1 von 2 | Nächste Seite >> |
dr/ln/Thomas Joos