RODC として構成されている Riverbed Technology のデバイスに関する情報
この記事では、RODC として構成されている Riverbed Technology のデバイスに関する情報について説明します。
元の KB 番号: 3192506
概要
Microsoft は、そのソフトウェアに対して商業的に妥当なサポートを提供します。 サード パーティ製ソフトウェアが関与しているときにお客様の問題を解決できない場合は、サード パーティ ベンダーの関与を要求します。 シナリオによっては、Microsoft サポートが、問題が解決しないかどうかを確認するために、構成からコンポーネントを削除または再構成するようにお客様に依頼する場合があります。 問題が原因であることが確認された場合、またはサードパーティコンポーネントによって大きな影響を受けている場合は、コンポーネントのベンダーが問題の解決に関与する必要があります。 このポリシーは、Riverbed Technology, Inc. のデバイスにも適用されます。
詳細
Riverbed Technology, Inc. は、読み込まれた WAN 接続を介して移動するトラフィックを圧縮し、その他の形でネットワーク トラフィック ネットワークを最適化することを目的とする中間ネットワーク デバイスを作成します。
デバイスはエンド ユーザーの SMB セッションをインターセプトでき、Riverbed デバイスがサーバーのセキュリティ コンテキストでペイロードの有効な署名済みチェックサムを生成できる場合、パフォーマンスを向上させることができます。 これを実現するために、デバイスは自身を信頼されたサーバー インスタンスとして設定し、最適化されているネットワーク トラフィックのスコープ内にあるサーバーとして機能できるようにします。
現在の展開方法 (2016 年 9 月) には、通常のコンピューター アカウントで読み取り専用ドメイン コントローラー (RODC) UserAccountControl 設定を有効にする必要があります。または、ディレクトリのレプリケートのすべてのアクセス許可を持つ高い特権を持つサービス アカウントを使用します。 一部の構成では、両方の種類のアカウントが使用されます。 この方法にはセキュリティ上の影響が多数あり、構成時には明らかでない可能性があります。
期待値
コンピューター アカウントがドメイン コントローラーとして設定されると、セキュリティと Active Directory 固有の手順を実行できる特定のフラグとグループ メンバーシップを受け取ります。 これには、次のものが含まれます。
- アカウントは、"機密性が高く、委任が許可されていない" とマークされているユーザーを除き、Active Directory 内の任意のユーザーを偽装できます。Kerberos プロトコルの移行により、偽装が許可されたユーザーのパスワードがなくても、アカウントでこれを実行できます。
- "ディレクトリの変更をすべてレプリケート" アクセス許可を使用すると、KrbTgt、ドメイン コントローラー アカウント、信頼関係などの機密性の高いアカウントを含む、ドメイン内のすべてのユーザーのパスワード ハッシュにデバイスがアクセスできます。
- このアカウントは、ソリューションの監視によってドメイン コントローラーとして監視する資格があります。
- これらのフラグの存在に基づいて、"呼び出し元" (管理ツールを含む) は Windows ベースのサーバーを想定し、ドメイン コントローラーとして自分自身を表すエンティティにアクセスまたは相互運用しようとします。 これには、WMI、WinRM、LDAP、RPC、Active Directory Web サービスに基づくサービスが含まれます。 同様に、アプリケーション、メンバー コンピューター、パートナー ドメイン コントローラーは、ドメイン コントローラーとして自分自身を表すエンティティが、一貫した適切に定義された方法で対話して応答することを期待しています。
セキュリティへの影響
ネットワーク環境の他のコンピューティング デバイスと同様に、Riverbed デバイスはマルウェアによる攻撃を受ける可能性があります。 Active Directory ユーザーを偽装する能力があるため、Riverbed デバイスはこのような攻撃の魅力的なターゲットです。
Microsoft では、Read-Write ドメイン コントローラー (RWDC) で使用するのと同じレベルの物理およびネットワーク保護と監査を使用することを強くお勧めします。 これらのデバイスの管理は、「特権アクセスのセキュリティ保護」の特権アクセスのセキュリティ保護に関する最新のガイダンス に従う必要があります。 現在、RWDC のセキュリティが十分でない場所で Riverbed デバイスを使用している場合は、これらのデバイスの配置を確認することを強くお勧めします。
運用上の影響
ドメイン コントローラーには、一意のロール識別を提供する特別なフラグと追加のオブジェクトがアカウントに関連付けられています。 これらは次のとおりです。
- ドメイン コントローラーのコンピューター アカウントの UserAccountControl 値
- RWDC 0x82000 (16 進)
- RODC 0x5011000 (16 進)
- ドメイン コントローラーのサイト内の構成コンテナー内の NTDS Settings オブジェクト
ツール、サービス、アプリケーションは、これらの属性に対してクエリを実行してドメイン コントローラーの一覧を生成し、通常の DC 応答を前提とするクエリなどの操作を実行できます。 Riverbed デバイスは、Windows ドメイン コントローラー サービスの完全なセットを実装せず、通常の DC クエリに応答しません。 Microsoft では、この構成によって発生する次の問題を認識しています。
ファイル レプリケーション サービス (FRS) から分散ファイル システム レプリケーション (DFSR) への sysvol レプリケーションの移行
ドメインが Windows Server 2008 ドメイン モード以降に移行された場合、Sysvol レプリケーション エンジンを FRS から DFSR に移行することをお勧めします。
DFSR 移行ツール (dfsrMig.exe) は、移行の開始時にドメイン内のすべてのドメイン コントローラーのインベントリを構築します。 これには、Riverbed デバイスで使用される DC のようなアカウントが含まれます。 Riverbed デバイスは、移行を進行させるために必要な Active Directory オブジェクトへの変更に応答しません。 そのため、DFSR 移行ツールは完了できず、管理者はエラーを無視して sysvol 移行の次の手順に進む必要があります。 これらの誤ったエラーは、実際の Windows Server ベースのコンピューターからの実際のエラーと重複する可能性があります。
ドメインに Riverbed デバイスがある場合は sysvol の移行を完了できないため、移行中に Riverbed デバイスを削除することをお勧めします。
監視ツール
市場のほとんどのサーバー監視ツールでは、Active Directory クエリを使用してクライアントとサーバー システムのインベントリを設定できます。 UserAccountControl または NTDS Setting オブジェクトを利用してドメイン コントローラーを検索するツールは、Riverbed アカウントをドメイン コントローラー アカウントとして誤って識別する可能性があります。 その結果、Riverbed デバイスはこのインベントリ リストに管理可能なサーバーとして表示されます。
多くのソリューションでは、監視エージェントのリモート展開を許可したり、診断情報をリモートでデバイスに照会したりできます。 ただし、Riverbed デバイスはこれらのインターフェイスをサポートしていません。監視ツールは、障害をトリガーすると報告します。
任意の監視ツールを使用して Riverbed デバイスを正常に監視する方法については、Riverbed にお問い合わせください。 使用可能な監視ツールがない場合は、デバイスを監視から除外するオプションを調査します。 Microsoft では、デバイスが実行する機能の機密性を考えると、デバイスの正常性の監視を強くお勧めします。
グループ ポリシー管理ツール (GPMC)
Windows Server 2012 以降のバージョンでは、GPMC はドメインまたはポリシーごとのグループ ポリシー設定のレプリケーション状態を表示できます。 Riverbed デバイスは、この状態チェックの対象となるアカウントの一覧に含まれています。
ただし、Active Directory 構成パーティションに NTDS Settings オブジェクトがないため、Riverbed によって GPMC に返される情報は不完全です。 GPMC はこれを想定していないため、GPMC コンソールがクラッシュします。
このエラーを回避するには、管理コンピューターに次の更新プログラムを展開します。
この資料に記載されているサードパーティ製品は、マイクロソフトと関連のない他社の製品です。 明示的か黙示的かにかかわらず、これらの製品のパフォーマンスや信頼性についてマイクロソフトはいかなる責任も負わないものとします。