Сведения об устройствах из Riverbed Technology, настроенных в качестве контроллеров домена

В этой статье описываются сведения об устройствах из Riverbed Technology, настроенных в качестве контроллеров домена.

Исходный номер базы знаний: 3192506

Итоги

Корпорация Майкрософт предлагает коммерческую поддержку программного обеспечения. Если мы не можем устранить проблему клиента при участии стороннего программного обеспечения, мы запросим участие стороннего поставщика. В зависимости от сценария служба поддержки Майкрософт может попросить клиента удалить или перенастроить компонент из конфигурации, чтобы узнать, сохраняется ли проблема. Если проблема будет вызвана или сильно влияет на сторонний компонент, поставщик компонента должен быть вовлечен в решение проблемы. Эта политика также применяется к устройствам из Riverbed Technology, Inc.

Дополнительная информация

Riverbed Technology, Inc. делает промежуточные сетевые устройства, которые стремятся оптимизировать сеть сетевого трафика путем сжатия и иначе формирования трафика, который перемещается по загруженным подключениям глобальной сети.

Устройства могут перехватывать сеансы SMB конечных пользователей и достичь повышения производительности, если устройство Riverbed может создать действительную контрольную сумму полезных данных в контексте безопасности сервера. Для этого устройство настраивает себя как доверенный экземпляр сервера, чтобы он действовал как сервер, и для сервера, который находится в области оптимизированного сетевого трафика.

Текущий подход к развертыванию (сентябрь 2016 г.) включает включение параметров UserAccountControl только для чтения (RODC) в обычной учетной записи компьютера; или использование учетной записи службы с высоким уровнем привилегий, включающей все разрешения репликации каталога. В некоторых конфигурациях будут использоваться оба типа учетных записей. Этот подход имеет ряд последствий безопасности, которые могут быть не очевидны во время настройки.

Ожидания

При настройке учетной записи компьютера в качестве контроллера домена он получает определенные флаги и членства в группах, которые позволяют выполнять процедуры безопасности и active Directory. К ним относятся следующие:

• Учетная запись может олицетворить любого пользователя в Active Directory, кроме тех, кто помечен как "конфиденциальный и не разрешен для делегирования". Из-за перехода протокола Kerberos учетная запись может сделать это даже без пароля для олицетворения разрешенных пользователей.
• Разрешение "Реплицировать каталог изменяет все" позволяет устройству получать доступ к хэшам паролей всех пользователей в домене, включая конфиденциальные учетные записи, такие как KrbTgt, учетные записи контроллера домена и отношения доверия.
• Учетная запись может осуществлять мониторинг в качестве контроллера домена с помощью решений мониторинга.
• На основе существования этих флагов вызывающие (включая средства администрирования) ожидают сервера на основе Windows и пытаются получить доступ к сущностям, представляющим себя как контроллеры домена, или взаимодействовать с ними. К ним относятся службы, основанные на WMI, WinRM, LDAP, RPC и веб-службах Active Directory. Аналогичным образом, приложения, компьютеры-члены и контроллеры домена партнера ожидают, что сущности, которые представляют себя как контроллеры домена для взаимодействия и реагирования на них согласованным, хорошо определенным образом.

Последствия для безопасности

Как и при использовании любого другого вычислительного устройства в сетевой среде, устройства Riverbed могут столкнуться с атакой вредоносных программ. Из-за их способности олицетворить пользователей Active Directory устройства Riverbed являются привлекательными целями для таких атак.

Корпорация Майкрософт настоятельно рекомендует использовать тот же уровень физической и сетевой защиты и аудита, что и для контроллеров домена чтения и записи (RWDCs). Администрирование этих устройств должно соответствовать текущим рекомендациям по защите привилегированного доступа при защите привилегированного доступа. Если в настоящее время вы используете устройства Riverbed в расположениях, которые недостаточно безопасны для RWDCs, настоятельно рекомендуется просмотреть размещение этих устройств.

Операционные последствия

Контроллеры домена имеют специальный флаг и дополнительные объекты, связанные с их учетными записями, которые обеспечивают уникальную идентификацию ролей. Вот они:

• Значения UserAccountControl в учетной записи компьютера контроллера домена
  • 0x82000 RWDC (шестнадцатеричный)
  • RODC 0x5011000 (шестнадцатеричное)
• Объект NTDS Settings в контейнере конфигурации на сайте контроллера домена

Средства, службы и приложения могут запрашивать эти атрибуты, чтобы создать список контроллеров домена, а затем выполнить операцию, например запрос, которая предполагает обычный ответ контроллера домена. Устройства Riverbed не реализуют полный набор служб контроллера домена Windows и не отвечают на обычные запросы контроллера домена. Корпорация Майкрософт знает о следующих проблемах, вызванных этой конфигурацией:

• Миграция репликации sysvol из службы репликации файлов (FRS) в распределенную репликацию файловой системы (DFSR)

  При переходе домена в режим домена Windows Server 2008 или более поздней версии корпорация Майкрософт рекомендует перенести подсистему репликации sysvol из FRS в DFSR.

  Средство миграции DFSR (dfsrMig.exe) создает инвентаризацию всех контроллеров домена в домене при начале миграции. Сюда входят учетные записи dc-like, используемые устройствами Riverbed. Устройства Riverbed не реагируют на изменения объектов Active Directory, необходимых для выполнения миграции. Поэтому средство миграции DFSR завершается сбоем, а администраторы должны игнорировать ошибки, чтобы перейти к следующему шагу в миграции sysvol. Эти ложные ошибки могут перекрываться фактическими ошибками на реальных компьютерах под управлением Windows Server.

  Так как миграция sysvol не может быть завершена при наличии устройства Riverbed в домене, корпорация Майкрософт рекомендует удалить устройства Riverbed во время миграции.

• Средства мониторинга

  Большинство средств мониторинга серверов на рынке поддерживаются с помощью запросов Active Directory для заполнения инвентаризации клиентских и серверных систем. Средства, использующие объект UserAccountControl или NTDS Setting для поиска контроллеров домена, могут неправильно определить учетные записи контроллеров домена в качестве учетных записей контроллера домена. В результате устройства Riverbed отображаются как управляемые серверы в этом списке инвентаризации.

  Многие решения позволяют удаленному развертыванию агентов мониторинга или позволяют удаленно запрашивать устройство для диагностических сведений. Однако устройства Riverbed не поддерживают эти интерфейсы, а средства мониторинга сообщают им о сбоях.

  Обратитесь к Riverbed для получения сведений о том, как успешно отслеживать устройства Riverbed с помощью средства мониторинга вашего выбора. Если средство мониторинга недоступно, изучите вариант исключения устройства из мониторинга. Корпорация Майкрософт настоятельно рекомендует отслеживать работоспособность устройств, учитывая чувствительность таких функций.

• Средство администрирования групповой политики (GPMC)

  В Windows Server 2012 и более поздних версиях GPMC может отображаться состояние репликации параметров групповой политики в домене или политике. Устройства Riverbed включены в список соответствующих учетных записей для этой проверки состояния.

  Однако сведения, возвращаемые в GPMC riverbed, не являются неполными, так как они не имеют объекта NTDS Settings в разделе конфигурации Active Directory. Так как GPMC не ожидает этого, консоль GPMC завершает работу.

  Чтобы предотвратить этот сбой, разверните следующее обновление на компьютерах администрирования:

  Консоль управления групповыми политиками завершается сбоем при щелчке целевого домена

В этой статье упомянуты программные продукты независимых производителей. Корпорация Майкрософт не дает никаких гарантий, подразумеваемых и прочих, относительно производительности и надежности этих продуктов.