次の方法で共有


RODC として構成されている Riverbed Technology のデバイスに関する情報

この記事では、RODC として構成されている Riverbed Technology のデバイスに関する情報について説明します。

元の KB 番号: 3192506

まとめ

Microsoft は、そのソフトウェアに対して商業的に合理的なサポートを提供しています。 サード パーティ製ソフトウェアが関係しているときにお客様の問題を解決できない場合は、サード パーティ ベンダーの関与を要求します。 シナリオによっては、Microsoft サポートは、問題が解決しないかどうかを確認するために、構成からコンポーネントを削除または再構成するように顧客に依頼する場合があります。 問題がサードパーティコンポーネントによって引き起こされているか、大きな影響を受けていると確認された場合は、コンポーネントのベンダーが問題の解決に関与している必要があります。 このポリシーは、Riverbed Technology, Inc. のデバイスにも適用されます。

詳細

Riverbed Technology, Inc. は、読み込まれた WAN 接続を介して移動するトラフィックを圧縮して形成することで、ネットワーク トラフィック ネットワークを最適化することを目的とする中間ネットワーク デバイスを作成します。

デバイスは、エンド ユーザーの SMB セッションをインターセプトでき、Riverbed デバイスがサーバーのセキュリティ コンテキストでペイロードの有効な署名されたチェックサムを生成できる場合、パフォーマンスを向上させることができます。 これを実現するために、デバイスは自身を信頼されたサーバー インスタンスとして設定し、最適化されているネットワーク トラフィックのスコープ内にあるサーバーとして機能できるようにします。

現在の展開方法 (2016 年 9 月) では、通常のコンピューター アカウントで読み取り専用ドメイン コントローラー (RODC) UserAccountControl 設定を有効にする必要があります。または、ディレクトリのレプリケートのすべてのアクセス許可を持つ高い特権を持つサービス アカウントを使用します。 一部の構成では、両方の種類のアカウントが使用されます。 この方法には多くのセキュリティ上の影響がありますが、これは構成時には明らかではない可能性があります。

期待される回答

コンピューター アカウントがドメイン コントローラーとして設定されると、セキュリティおよび Active Directory 固有の手順を実行できる特定のフラグとグループ メンバーシップを受け取ります。 これには、次のものが含まれます。

  • アカウントは、"機密性が高く委任が許可されていません" とマークされているユーザーを除き、Active Directory 内の任意のユーザーを偽装できます。Kerberos プロトコルの移行により、偽装が許可されたユーザーのパスワードがなくても、アカウントでこれを行うことができます。
  • "ディレクトリ変更をすべてレプリケート" アクセス許可を使用すると、KrbTgt、ドメイン コントローラー アカウント、信頼関係などの機密性の高いアカウントを含む、ドメイン内のすべてのユーザーのパスワード ハッシュにデバイスがアクセスできます。
  • このアカウントは、監視ソリューションによるドメイン コントローラーとしての監視の対象となります。
  • これらのフラグの存在に基づいて、"呼び出し元" (管理ツールを含む) は Windows ベースのサーバーを想定し、ドメイン コントローラーとして自分自身を表すエンティティにアクセスまたは相互運用しようとします。 これには、WMI、WinRM、LDAP、RPC、Active Directory Web サービスに基づくサービスが含まれます。 同様に、アプリケーション、メンバー コンピューター、およびパートナー ドメイン コントローラーは、ドメイン コントローラーとして自身を表すエンティティが、一貫した明確に定義された方法で対話して応答することを想定しています。

セキュリティへの影響

ネットワーク環境の他のコンピューティング デバイスと同様に、Riverbed デバイスはマルウェアによる攻撃を受けます。 Active Directory ユーザーを偽装する機能により、Riverbed デバイスはこのような攻撃の魅力的なターゲットです。

Microsoft では、読み取り/書き込みドメイン コントローラー (RWDC) に使用するのと同じレベルの物理およびネットワーク保護と監査を使用することを強くお勧めします。 これらのデバイスの管理は、特権アクセスのセキュリティ保護に関する最新のガイダンスに従う必要があります 特権アクセスのセキュリティ保護。 RWDC で十分なセキュリティが確保されていない場所で現在 Riverbed デバイスを使用している場合は、これらのデバイスの配置を確認することを強くお勧めします。

運用上の影響

ドメイン コントローラーには、固有のロール ID を提供する特別なフラグと、アカウントに関連付けられている追加のオブジェクトがあります。 制限事項は次のとおりです。

  • ドメイン コントローラーのコンピューター アカウントの UserAccountControl 値
    • RWDC 0x82000 (16 進数)
    • RODC 0x5011000 (16 進数)
  • ドメイン コントローラーのサイト内の構成コンテナー内の NTDS Settings オブジェクト

ツール、サービス、アプリケーションは、これらの属性に対してクエリを実行してドメイン コントローラーの一覧を生成し、通常の DC 応答を想定したクエリなどの操作を実行できます。 Riverbed デバイスは、Windows ドメイン コントローラー サービスの完全なセットを実装せず、通常の DC クエリには応答しません。 Microsoft は、この構成によって発生する次の問題を認識しています。

  • ファイル レプリケーション サービス (FRS) から分散ファイル システム レプリケーション (DFSR) への sysvol レプリケーションの移行

    ドメインが Windows Server 2008 ドメイン モード以降に移行した場合、sysvol レプリケーション エンジンを FRS から DFSR に移行することをお勧めします。

    DFSR 移行ツール (dfsrMig.exe) は、移行の開始時にドメイン内のすべてのドメイン コントローラーのインベントリを構築します。 これには、Riverbed デバイスで使用される DC のようなアカウントが含まれます。 Riverbed デバイスは、移行の進行に必要な Active Directory オブジェクトへの変更に応答しません。 したがって、DFSR 移行ツールの完了に失敗し、管理者はエラーを無視して sysvol 移行の次の手順に進む必要があります。 これらの誤ったエラーは、実際の Windows Server ベースのコンピューターからの実際のエラーと重複する可能性があります。

    ドメインに Riverbed デバイスがある場合、sysvol の移行を完了できないため、移行中に Riverbed デバイスを削除することをお勧めします。

  • 監視ツール

    市場のほとんどのサーバー監視ツールでは、Active Directory クエリを使用してクライアントおよびサーバー システムのインベントリを設定できます。 UserAccountControl または NTDS Setting オブジェクトを利用してドメイン コントローラーを検索するツールでは、Riverbed アカウントがドメイン コントローラー アカウントとして誤って識別される可能性があります。 その結果、Riverbed デバイスは、このインベントリリストに管理可能なサーバーとして表示されます。

    多くのソリューションでは、監視エージェントのリモート展開が可能になります。また、診断情報をリモートで照会することもできます。 ただし、Riverbed デバイスはこれらのインターフェイスをサポートしていません。監視ツールでは、障害のトリガーとして報告されます。

    選択した監視ツールを使用して Riverbed デバイスを正常に監視する方法については、Riverbed にお問い合わせください。 監視ツールが使用できない場合は、デバイスを監視から除外するオプションを調査します。 Microsoft では、デバイスが実行する機能の機密性を考えると、デバイスの正常性を監視することを強くお勧めします。

  • グループ ポリシー管理ツール (GPMC)

    Windows Server 2012 以降のバージョンでは、GPMC はドメインまたはポリシーごとのグループ ポリシー設定のレプリケーション状態を表示できます。 Riverbed デバイスは、このステータス チェックの対象となるアカウントの一覧に含まれています。

    ただし、Active Directory 構成パーティションに NTDS Settings オブジェクトがないため、Riverbed によって GPMC に返される情報は不完全です。 GPMC はこれを予期していないため、GPMC コンソールがクラッシュします。

    このエラーを回避するには、管理コンピューターに次の更新プログラムを展開します。

    ターゲット ドメインをクリックすると、グループ ポリシー管理コンソールがクラッシュする

この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。