Informazioni sui dispositivi della tecnologia Riverbed configurati come controller di dominio di sola lettura
Questo articolo descrive le informazioni sui dispositivi della tecnologia Riverbed configurati come controller di dominio di sola lettura.
Numero KB originale: 3192506
Riepilogo
Microsoft offre supporto commerciale ragionevole per il software. Se non è possibile risolvere il problema di un cliente quando è coinvolto software di terze parti, verrà richiesto il coinvolgimento del fornitore di terze parti. A seconda dello scenario, supporto tecnico Microsoft potrebbe chiedere al cliente di rimuovere o riconfigurare il componente dalla configurazione per verificare se il problema persiste. Se il problema viene confermato di essere causato o notevolmente influenzato dal componente di terze parti, il fornitore del componente deve essere coinvolto nell'aiutare a risolvere il problema. Questo criterio si applica anche ai dispositivi di Riverbed Technology, Inc.
Ulteriori informazioni
Riverbed Technology, Inc. rende i dispositivi di rete intermedi che mirano a ottimizzare la rete del traffico di rete comprimendo e modellando in altro modo il traffico che attraversa le connessioni WAN caricate.
I dispositivi possono intercettare le sessioni SMB dell'utente finale e possono ottenere miglioramenti delle prestazioni se il dispositivo Riverbed può generare un checksum firmato valido del payload nel contesto di sicurezza del server. A tale scopo, il dispositivo viene configurato come istanza del server attendibile in modo che possa fungere da server e per un server che rientra nell'ambito del traffico di rete ottimizzato.
L'approccio di distribuzione corrente (settembre 2016) prevede l'abilitazione delle impostazioni UserAccountControl (RODC) di sola lettura in un account computer normale; o usando un account del servizio con privilegi elevati con autorizzazioni Replicate Directory Changes All. In alcune configurazioni verranno usati entrambi i tipi di account. Questo approccio ha una serie di conseguenze per la sicurezza, che potrebbero non essere ovvie al momento della configurazione.
Aspettative
Quando un account computer viene configurato come controller di dominio, riceve determinati flag e appartenenze a gruppi che consentono di eseguire procedure specifiche di Sicurezza e Active Directory. Questi includono i seguenti:
- L'account può rappresentare qualsiasi utente in Active Directory, ad eccezione di quelli contrassegnati come "sensibili e non consentiti per la delega". A causa della transizione del protocollo Kerberos, l'account può eseguire questa operazione anche senza avere la password per gli utenti autorizzati alla rappresentazione.
- L'autorizzazione "Replica modifiche directory tutto" consente al dispositivo di accedere agli hash delle password di tutti gli utenti nel dominio, inclusi account sensibili come KrbTgt, account controller di dominio e relazioni di trust.
- L'account è idoneo per il monitoraggio come controller di dominio monitorando le soluzioni.
- In base all'esistenza di questi flag, i "chiamanti" (inclusi gli strumenti di amministrazione) prevedono un server basato su Windows e tentano di accedere o interagire con le entità che si rappresentano come controller di dominio. Sono inclusi i servizi basati su SERVIZI Web WMI, WinRM, LDAP, RPC e Active Directory. Analogamente, le applicazioni, i computer membri e i controller di dominio partner prevedono entità che si rappresentano come controller di dominio per interagire e rispondere in modo coerente e ben definito.
Implicazioni per la sicurezza
Come per qualsiasi altro dispositivo di elaborazione in un ambiente di rete, i dispositivi Riverbed possono venire attaccati da malware. Grazie alla capacità di rappresentare gli utenti di Active Directory, i dispositivi Riverbed sono obiettivi interessanti per tali attacchi.
Microsoft consiglia vivamente di usare lo stesso livello di protezione fisica e di rete e il controllo usati per i controller di dominio di lettura/scrittura ( RWDC). L'amministrazione di questi dispositivi deve seguire le linee guida correnti relative alla protezione dell'accesso con privilegi in Protezione dell'accesso con privilegi. Se attualmente usi dispositivi Riverbed in posizioni che non sono sufficientemente sicure per i controller di dominio di lettura, ti consigliamo vivamente di esaminare il posizionamento di questi dispositivi.
Implicazioni operative
I controller di dominio hanno un flag speciale e oggetti aggiuntivi associati ai relativi account che forniscono un'identificazione univoca del ruolo. Ecco quali sono:
- Valori userAccountControl nell'account computer del controller di dominio
- RWDC 0x82000 (hex)
- 0x5011000 rodc (esadecimale)
- Oggetto Impostazioni NTDS nel contenitore di configurazione, all'interno del sito del controller di dominio
Strumenti, servizi e applicazioni possono eseguire query su questi attributi per generare un elenco di controller di dominio e quindi eseguire un'operazione, ad esempio una query, che presuppone una normale risposta del controller di dominio. I dispositivi Riverbed non implementano il set completo di servizi controller di dominio Windows e non rispondono alle normali query del controller di dominio. Microsoft è a conoscenza dei problemi seguenti causati da questa configurazione:
Migrazione della replica sysvol dal servizio replica file (FRS) alla replica DFSR (Distributed File System Replication)
Quando un dominio è passato alla modalità di dominio di Windows Server 2008 o versione successiva, Microsoft consiglia di eseguire la migrazione del motore di replica sysvol da FRS a DFSR.
Lo strumento di migrazione DFSR (dfsrMig.exe) crea un inventario di tutti i controller di dominio nel dominio all'inizio della migrazione. Sono inclusi gli account simili a DC usati dai dispositivi Riverbed. I dispositivi Riverbed non rispondono alle modifiche apportate agli oggetti di Active Directory necessari per lo stato di avanzamento della migrazione. Pertanto, lo strumento di migrazione DFSR non riesce e gli amministratori devono ignorare gli errori per procedere al passaggio successivo della migrazione sysvol. Questi falsi errori potrebbero sovrapporsi a errori effettivi provenienti da computer reali basati su Windows Server.
Poiché la migrazione sysvol non può essere completata quando è presente un dispositivo Riverbed nel dominio, Microsoft consiglia di rimuovere i dispositivi Riverbed durante una migrazione.
Strumenti di monitoraggio
La maggior parte degli strumenti di monitoraggio dei server sul mercato supporta l'uso di query di Active Directory per popolare un inventario dei sistemi client e server. Gli strumenti che sfruttano l'oggetto UserAccountControl o NTDS Setting per trovare i controller di dominio possono identificare erroneamente gli account Riverbed come account controller di dominio. Di conseguenza, i dispositivi Riverbed vengono visualizzati come server gestibili in questo elenco di inventario.
Molte soluzioni consentono quindi la distribuzione remota degli agenti di monitoraggio o consentono di eseguire query sul dispositivo in remoto per ottenere informazioni di diagnostica. Tuttavia, i dispositivi Riverbed non supportano queste interfacce e gli strumenti di monitoraggio li segnalano come errori di attivazione.
Per informazioni su come monitorare correttamente i dispositivi Riverbed tramite lo strumento di monitoraggio preferito, contattare Riverbedbed. Se non è disponibile alcuno strumento di monitoraggio, esaminare l'opzione di esclusione del dispositivo dal monitoraggio. Microsoft consiglia vivamente di monitorare l'integrità dei dispositivi, data la riservatezza delle funzioni eseguite da tali dispositivi.
Strumento di amministrazione Criteri di gruppo
In Windows Server 2012 e versioni successive, la Console Gestione Criteri di gruppo può visualizzare lo stato di replica delle impostazioni di Criteri di gruppo nel dominio o per criterio. I dispositivi riverbed sono inclusi nell'elenco degli account idonei per questo controllo dello stato.
Tuttavia, le informazioni restituite a GpMC da Riverbed sono incomplete, perché non dispongono di alcun oggetto Impostazioni NTDS nella partizione di configurazione di Active Directory. Poiché Console Gestione Criteri di gruppo non prevede questo problema, la console Console Gestione Criteri di gruppo si arresta in modo anomalo.
Per evitare questo errore, distribuire l'aggiornamento seguente nei computer di amministrazione:
I prodotti di terzi citati in questo articolo sono prodotti da società indipendenti da Microsoft. Microsoft non rilascia alcuna garanzia implicita o esplicita relativa alle prestazioni o all'affidabilità di tali prodotti