Información sobre los dispositivos de Riverbed Technology que están configurados como RODC
En este artículo se describe la información sobre los dispositivos de Riverbed Technology que están configurados como RODC.
Número de KB original: 3192506
Resumen
Microsoft ofrece soporte comercialmente razonable para su software. Si no podemos resolver el problema de un cliente cuando interviene software de terceros, solicitaremos la participación del proveedor de terceros. En función del escenario, Soporte técnico de Microsoft puede pedir al cliente que quite o vuelva a configurar el componente de la configuración para ver si el problema persiste. Si se confirma que el problema está causado o influenciado considerablemente por el componente de terceros, el proveedor del componente debe estar implicado en ayudar a resolver el problema. Esta política también se aplica a dispositivos de Riverbed Technology, Inc.
Más información
Riverbed Technology, Inc. hace que los dispositivos de red intermedios que pretenden optimizar la red de tráfico de red comprimiendo y dando forma al tráfico que viaja a través de conexiones WAN cargadas.
Los dispositivos pueden interceptar las sesiones SMB del usuario final y lograr mejoras de rendimiento si el dispositivo Riverbed puede generar una suma de comprobación firmada válida de la carga en el contexto de seguridad del servidor. Para lograrlo, el dispositivo se configura como una instancia de servidor de confianza para que pueda actuar como y para un servidor que se encuentra en el ámbito del tráfico de red que se está optimizando.
El enfoque de implementación actual (septiembre de 2016) implica habilitar la configuración userAccountControl del controlador de dominio de solo lectura (RODC) en una cuenta de equipo normal; o mediante una cuenta de servicio con privilegios elevados que tenga permisos Replicar cambios en el directorio Todos los permisos. En algunas configuraciones, se usarán ambos tipos de cuentas. Este enfoque tiene una serie de consecuencias de seguridad, que pueden no ser obvias en el momento de la configuración.
Expectativas
Cuando una cuenta de equipo se configura como controlador de dominio, recibe ciertas marcas y pertenencias a grupos que le permiten realizar procedimientos específicos de seguridad y Active Directory. Estos incluyen los siguientes:
- La cuenta puede suplantar a cualquier usuario de Active Directory excepto aquellos marcados como "confidenciales y no permitidos para la delegación". Debido a la transición del protocolo Kerberos, la cuenta puede hacerlo incluso sin tener la contraseña para los usuarios permitidos por la suplantación.
- El permiso "Replicar cambios de directorio todo" permite al dispositivo acceder a los hashes de contraseña de todos los usuarios del dominio, incluidas cuentas confidenciales como KrbTgt, cuentas de controlador de dominio y relaciones de confianza.
- La cuenta es apta para la supervisión como controlador de dominio mediante la supervisión de soluciones.
- En función de la existencia de estas marcas, los "autores de llamadas" (incluidas las herramientas de administración) esperan un servidor basado en Windows e intentan acceder o interoperar con entidades que se representan como controladores de dominio. Esto incluye servicios basados en WMI, WinRM, LDAP, RPC y servicios web de Active Directory. De forma similar, las aplicaciones, los equipos miembros y los controladores de dominio asociados esperan que las entidades que se representen como controladores de dominio interactúen y respondan de forma coherente y bien definida.
Implicaciones de seguridad
Al igual que con cualquier otro dispositivo informático en un entorno de red, los dispositivos Riverbed pueden estar bajo ataque por malware. Debido a su capacidad de suplantar a los usuarios de Active Directory, los dispositivos Riverbed son objetivos atractivos para estos ataques.
Microsoft recomienda encarecidamente usar el mismo nivel de protección física y de red y auditoría que usa para los controladores de dominio de lectura y escritura (RWDC). La administración de estos dispositivos debe seguir las instrucciones actuales sobre cómo proteger el acceso con privilegios en Protección del acceso con privilegios. Si actualmente usa dispositivos Riverbed en ubicaciones que no son lo suficientemente seguras para LOS RWDC, se recomienda encarecidamente revisar la ubicación de estos dispositivos.
Implicaciones operativas
Los controladores de dominio tienen una marca especial y objetos adicionales asociados a sus cuentas que proporcionan una identificación de roles única. Se trata de las siguientes:
- Valores de UserAccountControl en la cuenta de equipo del controlador de dominio
- RWDC 0x82000 (hexadecimal)
- RODC 0x5011000 (hexadecimal)
- NtDS Settings objeto en el contenedor de configuración, dentro del sitio del controlador de dominio
Las herramientas, los servicios y las aplicaciones pueden consultar estos atributos para generar una lista de controladores de dominio y, a continuación, realizar una operación, como la consulta, que supone una respuesta de controlador de dominio normal. Los dispositivos Riverbed no implementan el conjunto completo de servicios de controlador de dominio de Windows y no responden a consultas de controlador de dominio normales. Microsoft conoce los siguientes problemas causados por esta configuración:
Migración de la replicación de sysvol desde el servicio de replicación de archivos (FRS) a la replicación del sistema de archivos distribuido (DFSR)
Cuando un dominio ha pasado al modo de dominio de Windows Server 2008 o posterior, Microsoft recomienda migrar el motor de replicación sysvol de FRS a DFSR.
La herramienta de migración DFSR (dfsrMig.exe) crea un inventario de todos los controladores de dominio del dominio cuando comienza la migración. Esto incluye las cuentas de tipo DC usadas por los dispositivos Riverbed. Los dispositivos Riverbed no responden a los cambios realizados en los objetos de Active Directory necesarios para que la migración avance. Por lo tanto, la herramienta de migración DFSR no se puede completar y los administradores deben omitir los errores para continuar con el paso siguiente en la migración de sysvol. Estos errores falsos pueden superponerse con errores reales de equipos reales basados en Windows Server.
Dado que no se puede completar la migración de sysvol cuando hay un dispositivo Riverbed en el dominio, Microsoft recomienda quitar dispositivos Riverbed durante una migración.
Herramientas de supervisión
La mayoría de las herramientas de supervisión de servidores en el mercado admiten el uso de consultas de Active Directory para rellenar un inventario de sistemas cliente y servidor. Las herramientas que aprovechan el objeto UserAccountControl o NTDS Setting para buscar controladores de dominio pueden identificar incorrectamente las cuentas de Riverbed como cuentas de controlador de dominio. Como resultado, los dispositivos Riverbed aparecen como servidores administrables en esta lista de inventario.
A continuación, muchas soluciones permiten la implementación remota de agentes de supervisión o permiten consultar el dispositivo de forma remota para obtener información de diagnóstico. Sin embargo, los dispositivos Riverbed no admiten estas interfaces y las herramientas de supervisión las notifican como errores desencadenadores.
Póngase en contacto con Riverbed para obtener información sobre cómo supervisar correctamente los dispositivos Riverbed a través de la herramienta de supervisión de su elección. Si no hay ninguna herramienta de supervisión disponible, investigue la opción de excluir el dispositivo de la supervisión. Microsoft recomienda encarecidamente supervisar el estado del dispositivo, dada la sensibilidad de las funciones que realizan estos dispositivos.
Herramienta de administración de directivas de grupo (GPMC)
En Windows Server 2012 y versiones posteriores, gpMC puede mostrar el estado de replicación de la configuración de directiva de grupo en el dominio o por directiva. Los dispositivos Riverbed se incluyen en la lista de cuentas aptas para esta comprobación de estado.
Sin embargo, la información que se devuelve a GPMC by Riverbed está incompleta, ya que no tienen ningún objeto NTDS Settings en la partición de configuración de Active Directory. Dado que GPMC no espera esto, la consola GPMC se bloquea.
Para evitar este error, implemente la siguiente actualización en los equipos de administración:
Los productos de otros fabricantes que se mencionan en este artículo han sido creados por compañías independientes de Microsoft. Microsoft no ofrece ninguna garantía, ya sea implícita o de otro tipo, sobre la confiabilidad o el rendimiento de dichos productos.