通过

有关配置为 RODC 的 Riverbed 技术设备的信息

  • 项目

本文介绍配置为 RODC 的 Riverbed 技术设备的相关信息。

原始 KB 数: 3192506

总结

Microsoft为其软件提供商业合理的支持。 如果在涉及第三方软件时无法解决客户的问题,我们将请求第三方供应商参与。 根据方案,Microsoft 支持部门可能会要求客户从配置中删除或重新配置组件,以查看问题是否仍然存在。 如果确认问题是由第三方组件引起或严重影响的,则必须参与组件的供应商来帮助解决问题。 此策略也适用于来自 Riverbed Technology, Inc 的设备。

详细信息

Riverbed Technology, Inc. 使中间网络设备旨在通过压缩和调整通过负载的 WAN 连接传输的流量来优化网络流量。

设备可以截获最终用户 SMB 会话,如果 Riverbed 设备可以在服务器的安全上下文中生成有效有效有效负载的签名校验和,则可以实现性能提升。 为了实现此目的,设备将自身设置为受信任的服务器实例,以便它可以充当,并充当正在优化的网络流量范围内的服务器。

当前部署方法(2016 年 9 月)涉及在常规计算机帐户上启用只读域控制器 (RODC) UserAccountControl 设置:或使用具有“复制目录更改所有”权限的高特权服务帐户。 在某些配置中,将使用这两种类型的帐户。 此方法会产生许多安全后果,在配置时可能并不明显。

预期

将计算机帐户设置为域控制器时,它会收到某些标志和组成员身份,允许它执行特定于安全性和 Active Directory 的过程。 其中包括以下各项:

  • 该帐户可以模拟 Active Directory 中的任何用户,但标记为“敏感且不允许委派”的用户除外。由于 Kerberos 协议转换,即使没有允许模拟的用户的密码,帐户也可以执行此操作。
  • “复制目录更改全部”权限允许设备访问域中所有用户的密码哈希,包括 KrbTgt、域控制器帐户和信任关系等敏感帐户。
  • 该帐户有资格通过监视解决方案作为域控制器进行监视。
  • 根据这些标志的存在,“调用方”(包括管理工具)需要基于 Windows 的服务器,并尝试访问或与表示自己为域控制器的实体进行互操作。 这包括基于 WMI、WinRM、LDAP、RPC 和 Active Directory Web 服务的服务。 同样,应用程序、成员计算机和合作伙伴域控制器要求以一致、定义明确的一致方式交互和响应自己作为域控制器的实体。

安全隐患

与网络环境中的任何其他计算设备一样,Riverbed 设备可能会受到恶意软件的攻击。 由于他们能够模拟 Active Directory 用户,Riverbed 设备是此类攻击的有吸引力的目标。

Microsoft强烈建议使用与读写域控制器(RWDC)相同的物理和网络保护和审核级别。 管理这些设备应遵循有关在保护特权访问时 保护特权访问的当前指南。 如果当前在对于 RWDC 不够安全的位置使用 Riverbed 设备,我们强烈建议查看这些设备的放置情况。

操作影响

域控制器具有一个特殊的标志和与其帐户关联的附加对象,这些对象提供唯一的角色标识。 这些限制如下:

  • 域控制器的计算机帐户上的 UserAccountControl 值
    • RWDC 0x82000 (十六进制)
    • RODC 0x5011000 (十六进制)
  • 配置容器中的 NTDS 设置对象,位于域控制器的站点中

工具、服务和应用程序可以查询这些属性以生成域控制器列表,然后执行假定正常 DC 响应的操作,例如查询。 Riverbed 设备不实现完整的 Windows 域控制器服务集,并且不响应正常的 DC 查询。 Microsoft请注意此配置导致的以下问题:

  • 将 sysvol 复制从文件复制服务 (FRS) 迁移到分布式文件系统复制 (DFSR)

    当域已转换为 Windows Server 2008 域模式或更高版本时,Microsoft建议将 sysvol 复制引擎从 FRS 迁移到 DFSR。

    迁移开始时,DFSR 迁移工具(dfsrMig.exe)会生成域中所有域控制器的清单。 这包括 Riverbed 设备使用的类似 DC 的帐户。 Riverbed 设备不会响应迁移进行所需的 Active Directory 对象的更改。 因此,DFSR 迁移工具无法完成,管理员必须忽略错误,才能继续执行 sysvol 迁移中的下一步。 这些错误可能与基于 Windows Server 的实际计算机的实际错误重叠。

    由于域中存在 Riverbed 设备时无法完成 sysvol 迁移,因此Microsoft建议在迁移过程中删除 Riverbed 设备。

  • 监视工具

    市场上的大多数服务器监视工具都支持使用 Active Directory 查询来填充客户端和服务器系统的清单。 利用 UserAccountControl 或 NTDS 设置对象查找域控制器的工具可能会错误地将 Riverbed 帐户标识为域控制器帐户。 因此,Riverbed 设备在此清单列表中显示为可管理的服务器。

    然后,许多解决方案允许远程部署监视代理,或让你远程查询设备以获取诊断信息。 但是,Riverbed 设备不支持这些接口,监视工具将其报告为触发故障。

    若要了解如何通过所选的监视工具成功监视 Riverbed 设备,请联系 Riverbed。 如果没有可用的监视工具,请调查从监视中排除设备的选项。 Microsoft强烈建议监视设备运行状况,因为此类设备执行的功能敏感度。

  • 组策略管理工具 (GPMC)

    在 Windows Server 2012 及更高版本中,GPMC 可以在域或每个策略中显示组策略设置的复制状态。 Riverbed 设备包含在此状态检查的合格帐户列表中。

    但是,由 Riverbed 返回给 GPMC 的信息不完整,因为它们在 Active Directory 配置分区中没有 NTDS 设置对象。 由于 GPMC 不希望出现这种情况,GPMC 控制台会崩溃。

    若要防止出现此故障,请在管理计算机上部署以下更新:

    单击目标域时组策略管理控制台崩溃

本文中提到的第三方产品由 Microsoft 以外的其他公司提供。 Microsoft 不对这些产品的性能或可靠性提供任何明示或暗示性担保。