Compartilhar via

Informações sobre dispositivos da Riverbed Technology configurados como RODCs

  • Artigo

Este artigo descreve as informações sobre dispositivos da Riverbed Technology configurados como RODCs.

Número original do KB: 3192506

Resumo

A Microsoft oferece suporte comercialmente razoável para seu software. Se não conseguirmos resolver o problema de um cliente quando houver um software de terceiros envolvido, solicitaremos o envolvimento do fornecedor terceirizado. Dependendo do cenário, o Suporte da Microsoft pode solicitar que o cliente remova ou reconfigure o componente da configuração para ver se o problema persiste. Se o problema for confirmado como causado ou muito influenciado pelo componente de terceiros, o fornecedor do componente deverá estar envolvido para ajudar a resolver o problema. Esta política também se aplica a dispositivos da Riverbed Technology, Inc.

Mais informações

A Riverbed Technology, Inc. fabrica dispositivos de rede intermediários que visam otimizar a rede de tráfego de rede, compactando e moldando o tráfego que trafega por conexões WAN carregadas.

Os dispositivos podem interceptar sessões SMB do usuário final e obter ganhos de desempenho se o dispositivo Riverbed puder gerar uma soma de verificação assinada válida da carga no contexto de segurança do servidor. Para fazer isso, o dispositivo se configura como uma instância de servidor confiável para que ele possa atuar como e para um servidor que está no escopo do tráfego de rede que está sendo otimizado.

A abordagem de implantação atual (setembro de 2016) envolve a habilitação das configurações UserAccountControl do RODC (controlador de domínio somente leitura) em uma conta de computador normal; ou usando uma conta de serviço altamente privilegiada que tenha permissões Replicar Alterações de Diretório Tudo. Em algumas configurações, ambos os tipos de contas serão usados. Essa abordagem tem várias consequências de segurança, que podem não ser óbvias no momento da configuração.

Expectativas

Quando uma conta de computador é configurada como controlador de domínio, ela recebe determinados sinalizadores e associações de grupo que permitem executar procedimentos de segurança e específicos do Active Directory. Estes incluem os seguintes:

  • A conta pode representar qualquer usuário no Active Directory, exceto aqueles marcados como "confidenciais e não permitidos para delegação". Devido à transição do Protocolo Kerberos, a conta pode fazer isso mesmo sem ter a senha para usuários permitidos por representação.
  • A permissão "Replicar Alterações de Diretório Tudo" permite que o dispositivo acesse os hashes de senha de todos os usuários no domínio, incluindo contas confidenciais como KrbTgt, contas do Controlador de Domínio e relações de confiança.
  • A conta está qualificada para monitoramento como controlador de domínio por soluções de monitoramento.
  • Com base na existência desses sinalizadores, os "chamadores" (incluindo ferramentas de administração) esperam um servidor baseado no Windows e tentam acessar ou interoperar com entidades que se apresentam como controladores de domínio. Isso inclui serviços baseados em WMI, WinRM, LDAP, RPC e Active Directory Web Services. Da mesma forma, aplicativos, computadores membros e controladores de domínio parceiros esperam que as entidades que se representam como controladores de domínio interajam e respondam de maneira consistente e bem definida.

Implicações de segurança

Como acontece com qualquer outro dispositivo de computação em um ambiente de rede, os dispositivos Riverbed podem ser atacados por malware. Devido à sua capacidade de se passar por usuários do Active Directory, os dispositivos Riverbed são alvos atraentes para esses ataques.

A Microsoft recomenda usar o mesmo nível de proteção e auditoria física e de rede que você usa para seus RWDCs (Controladores de Domínio de Leitura e Gravação). A administração desses dispositivos deve seguir as diretrizes atuais sobre como proteger o acesso privilegiado em Protegendo o acesso privilegiado. Se você usa dispositivos Riverbed em locais que não são seguros o suficiente para RWDCs, recomendamos que você revise o posicionamento desses dispositivos.

Implicações operacionais

Os controladores de domínio têm um sinalizador especial e objetos adicionais associados às suas contas que fornecem identificação de função exclusiva. Elas são as seguintes:

  • Valores UserAccountControl na conta de computador do controlador de domínio
    • RWDC 0x82000 (Hex)
    • RODC 0x5011000 (Hex)
  • Configurações NTDS no contêiner de configuração, no site do controlador de domínio

Ferramentas, serviços e aplicativos podem consultar esses atributos para gerar uma lista de controladores de domínio e, em seguida, executar uma operação, como consulta, que pressupõe uma resposta DC normal. Os dispositivos Riverbed não implementam o conjunto completo de serviços do controlador de domínio do Windows e não respondem a consultas normais do DC. A Microsoft está ciente dos seguintes problemas causados por essa configuração:

  • Migração da replicação sysvol do FRS (Serviço de Replicação de Arquivos) para o DFSR (Replicação do Sistema de Arquivos Distribuído)

    Quando um domínio tiver feito a transição para o modo de domínio do Windows Server 2008 ou posterior, a Microsoft recomenda que você migre o mecanismo de replicação sysvol do FRS para o DFSR.

    A ferramenta de migração DFSR (dfsrMig.exe) cria um inventário de todos os controladores de domínio no domínio quando a migração começa. Isso inclui as contas do tipo DC usadas pelos dispositivos Riverbed. Os dispositivos Riverbed não respondem às alterações nos objetos do Active Directory necessárias para que a migração prossiga. Portanto, a ferramenta de migração DFSR não é concluída e os administradores devem ignorar os erros para prosseguir para a próxima etapa na migração sysvol. Esses erros falsos podem se sobrepor a erros reais de computadores reais baseados no Windows Server.

    Como a migração sysvol não pode ser concluída quando há um dispositivo Riverbed no domínio, a Microsoft recomenda que você remova os dispositivos Riverbed durante uma migração.

  • Ferramentas de monitoramento

    A maioria das ferramentas de monitoramento de servidor no mercado oferece suporte ao uso de consultas do Active Directory para preencher um inventário de sistemas cliente e servidor. As ferramentas que aproveitam o objeto UserAccountControl ou NTDS Setting para localizar controladores de domínio podem identificar incorretamente as contas da Riverbed como contas de controlador de domínio. Como resultado, os dispositivos Riverbed aparecem como servidores gerenciáveis nesta lista de inventário.

    Muitas soluções permitem a implantação remota de agentes de monitoramento ou permitem que você consulte o dispositivo remotamente para obter informações de diagnóstico. No entanto, os dispositivos Riverbed não oferecem suporte a essas interfaces e as ferramentas de monitoramento as relatam como falhas de gatilho.

    Entre em contato com a Riverbed para obter informações sobre como monitorar com sucesso os dispositivos da Riverbed por meio da ferramenta de monitoramento de sua escolha. Se nenhuma ferramenta de monitoramento estiver disponível, investigue a opção de excluir o dispositivo do monitoramento. A Microsoft recomenda monitorar a integridade do dispositivo, dada a sensibilidade das funções que esses dispositivos executam.

  • GPMC (Ferramenta de Administração de Diretiva de Grupo)

    No Windows Server 2012 e versões posteriores, o GPMC pode mostrar o status de replicação das configurações de Política de Grupo no domínio ou por política. Os dispositivos Riverbed estão incluídos na lista de contas elegíveis para esta verificação de status.

    No entanto, as informações retornadas ao GPMC pelo Riverbed estão incompletas, pois não têm nenhum objeto Configurações NTDS na Partição de Configuração do Active Directory. Como o GPMC não espera isso, o console do GPMC trava.

    Para evitar essa falha, implante a seguinte atualização nos computadores de administração:

    O Console de Gerenciamento de Política de Grupo falha quando você clica no domínio de destino

Os produtos de terceiros mencionados neste artigo são produzidos por empresas independentes da Microsoft. A Microsoft não oferece nenhuma garantia, implícita ou não, do desempenho ou da confiabilidade desses produtos.