Freigeben über

Informationen zu Geräten aus Riverbed Technology, die als RODCs konfiguriert sind

  • Artikel

In diesem Artikel werden die Informationen zu Geräten aus Riverbed Technology beschrieben, die als RODCs konfiguriert sind.

Ursprüngliche KB-Nummer: 3192506

Übersicht

Microsoft bietet kommerziellen angemessenen Support für seine Software. Wenn wir das Problem eines Kunden nicht beheben können, wenn Software von Drittanbietern beteiligt ist, fordern wir die Beteiligung des Drittanbieters an. Je nach Szenario bitten Microsoft-Support den Kunden, die Komponente aus der Konfiguration zu entfernen oder neu zu konfigurieren, um festzustellen, ob das Problem weiterhin besteht. Wenn das Problem durch die Drittanbieterkomponente verursacht oder stark beeinflusst wird, muss der Anbieter der Komponente daran beteiligt sein, das Problem zu beheben. Diese Richtlinie gilt auch für Geräte von Riverbed Technology, Inc.

Weitere Informationen

Riverbed Technology, Inc. macht Zwischennetzwerkgeräte, die darauf abzielen, das Netzwerkdatenverkehr zu optimieren, indem der Datenverkehr komprimiert und anderweitig gestaltet wird, der über geladene WAN-Verbindungen reist.

Die Geräte können SMB-Sitzungen des Endbenutzers abfangen und Leistungsgewinne erzielen, wenn das Riverbed-Gerät eine gültige signierte Prüfsumme der Nutzlast im Sicherheitskontext des Servers generieren kann. Um dies zu erreichen, richtet sich das Gerät als vertrauenswürdige Serverinstanz ein, sodass es als und für einen Server fungieren kann, der sich im Bereich des netzwerkdatenverkehrs befindet, der optimiert wird.

Der aktuelle Bereitstellungsansatz (September 2016) umfasst entweder die Aktivierung von schreibgeschützten Domänencontrollereinstellungen (RODC) UserAccountControl auf einem regulären Computerkonto; oder verwenden Sie ein Dienstkonto mit hoher Berechtigung, das alle Berechtigungen "Verzeichnisänderungen replizieren" hat. In einigen Konfigurationen werden beide Arten von Konten verwendet. Dieser Ansatz hat eine Reihe von Sicherheitsfolgen, die zum Zeitpunkt der Konfiguration möglicherweise nicht offensichtlich sind.

Erwartungen

Wenn ein Computerkonto als Domänencontroller eingerichtet ist, empfängt es bestimmte Flags und Gruppenmitgliedschaften, die es ermöglichen, Sicherheits- und Active Directory-spezifische Verfahren auszuführen. Dazu gehören die folgenden:

  • Das Konto kann jeden Benutzer in Active Directory imitieren, mit Ausnahme derjenigen, die als "vertraulich" gekennzeichnet sind und für die Delegierung nicht zulässig sind. Aufgrund des Kerberos-Protokollübergangs kann das Konto dies auch dann tun, wenn das Kennwort für Benutzer mit Identitätswechsel zulässig ist.
  • Die Berechtigung "Verzeichnisänderungen alle replizieren" ermöglicht dem Gerät den Zugriff auf die Kennworthashes aller Benutzer in der Domäne, einschließlich vertraulicher Konten wie KrbTgt, Domänencontrollerkonten und Vertrauensstellungen.
  • Das Konto ist für die Überwachung als Domänencontroller durch Überwachungslösungen berechtigt.
  • Basierend auf dem Vorhandensein dieser Flags erwarten "Aufrufer" (einschließlich Verwaltungstools) einen Windows-basierten Server und versuchen, auf Entitäten zuzugreifen oder diese als Domänencontroller darzustellen. Dazu gehören Dienste, die auf WMI, WinRM, LDAP, RPC und Active Directory-Webdiensten basieren. Ebenso erwarten Anwendungen, Mitgliedscomputer und Partnerdomänencontroller Entitäten, die sich selbst als Domänencontroller darstellen, auf konsistente, gut definierte Weise zu interagieren und darauf zu reagieren.

Folgen für die Sicherheit

Wie bei jedem anderen Computer in einer Netzwerkumgebung können Riverbed-Geräte von Schadsoftware angegriffen werden. Aufgrund ihrer Fähigkeit zum Identitätswechsel von Active Directory-Benutzern sind Riverbed-Geräte für solche Angriffe attraktive Ziele.

Microsoft empfiehlt dringend, den gleichen Physischen und Netzwerkschutz und die gleiche Überwachung wie für Ihre Read-Write-Domänencontroller (RWDCs) zu verwenden. Die Verwaltung dieser Geräte sollte den aktuellen Anleitungen zum Sichern des privilegierten Zugriffs beim Sichern des privilegierten Zugriffs folgen. Wenn Sie Riverbed-Geräte derzeit an Standorten verwenden, die für RWDCs nicht sicher genug sind, empfehlen wir dringend, die Platzierung dieser Geräte zu überprüfen.

Operative Auswirkungen

Domänencontroller verfügen über ein spezielles Kennzeichen und zusätzliche Objekte, die ihren Konten zugeordnet sind, die eindeutige Rollenidentifikation bereitstellen. Dies sind:

  • UserAccountControl-Werte im Computerkonto des Domänencontrollers
    • RWDC-0x82000 (Hex)
    • RODC-0x5011000 (Hex)
  • NTDS Settings-Objekt im Konfigurationscontainer innerhalb der Website des Domänencontrollers

Tools, Dienste und Anwendungen können diese Attribute abfragen, um eine Liste von Domänencontrollern zu generieren und dann einen Vorgang auszuführen, z. B. eine Abfrage, die eine normale DC-Antwort annimmt. Riverbed-Geräte implementieren nicht den vollständigen Satz von Windows-Domänencontrollerdiensten und reagieren nicht auf normale DC-Abfragen. Microsoft ist sich der folgenden Probleme bewusst, die durch diese Konfiguration verursacht werden:

  • Migration der sysvol-Replikation vom Dateireplikationsdienst (FILE Replication Service, FRS) zu verteilter Dateisystemreplikation (DISTRIBUTED File System Replication, DFSR)

    Wenn eine Domäne in den Windows Server 2008-Domänenmodus oder höher umgestellt wurde, empfiehlt Microsoft, das Sysvol-Replikationsmodul von FRS zu DFSR zu migrieren.

    Das DFSR-Migrationstool (dfsrMig.exe) erstellt einen Bestand aller Domänencontroller in der Domäne, wenn die Migration beginnt. Dazu gehören die DC-ähnlichen Konten, die von den Riverbed-Geräten verwendet werden. Riverbed-Geräte reagieren nicht auf die Änderungen an Active Directory-Objekten, die für die Migration erforderlich sind. Daher kann das DFSR-Migrationstool nicht abgeschlossen werden, und Administratoren müssen Fehler ignorieren, um mit dem nächsten Schritt in der Sysvol-Migration fortzufahren. Diese falschen Fehler können sich mit tatsächlichen Fehlern von echten Windows Server-basierten Computern überlappen.

    Da die Sysvol-Migration nicht abgeschlossen werden kann, wenn ein Riverbed-Gerät in der Domäne vorhanden ist, empfiehlt Microsoft, Riverbed-Geräte während einer Migration zu entfernen.

  • Überwachungstools

    Die meisten Serverüberwachungstools auf dem Markt unterstützen die Verwendung von Active Directory-Abfragen zum Auffüllen eines Inventars von Client- und Serversystemen. Tools, die das UserAccountControl- oder NTDS-Einstellungsobjekt verwenden, um Domänencontroller zu finden, können die Riverbed-Konten möglicherweise fälschlicherweise als Domänencontrollerkonten identifizieren. Daher werden Riverbed-Geräte in dieser Bestandsliste als verwaltbare Server angezeigt.

    Viele Lösungen ermöglichen dann die Remotebereitstellung von Überwachungs-Agents oder ermöglichen es Ihnen, das Gerät remote nach Diagnoseinformationen abfragen zu lassen. Riverbed-Geräte unterstützen diese Schnittstellen jedoch nicht, und die Überwachungstools melden sie als Auslösen von Fehlern.

    Wenden Sie sich an Riverbed, um Informationen darüber zu erfahren, wie Riverbed-Geräte erfolgreich über das Überwachungstool Ihrer Wahl überwacht werden. Wenn kein Überwachungstool verfügbar ist, untersuchen Sie die Option, das Gerät von der Überwachung auszuschließen. Microsoft empfiehlt dringend die Überwachung der Geräteintegrität, angesichts der Vertraulichkeit der Funktionen, die solche Geräte ausführen.

  • Gruppenrichtlinienverwaltungstool (GPMC)

    In Windows Server 2012 und höheren Versionen kann die Gruppenrichtlinien-Verwaltungskonsole den Replikationsstatus der Gruppenrichtlinieneinstellungen in der Domäne oder pro Richtlinie anzeigen. Riverbed-Geräte sind in der Liste der berechtigten Konten für diese Statusüberprüfung enthalten.

    Die Informationen, die von Riverbed an die GPMC zurückgegeben werden, sind jedoch unvollständig, da sie kein NTDS-Einstellungsobjekt in der Active Directory-Konfigurationspartition haben. Da die GPMC dies nicht erwartet, stürzt die GPMC-Konsole ab.

    Um diesen Fehler zu verhindern, stellen Sie das folgende Update auf Ihren Verwaltungscomputern bereit:

    Gruppenrichtlinien-Verwaltungskonsole stürzt ab, wenn Sie auf die Zieldomäne klicken

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.