共用方式為

已設定為 RODC 之 Riverbed Technology 裝置的相關信息

  • 發行項

本文說明已設定為 RODC 之 Riverbed Technology 裝置的相關信息。

原始 KB 編號: 3192506

摘要

Microsoft為其軟體提供商業上合理的支援。 如果涉及第三方軟體時,我們無法解決客戶的問題,我們將要求第三方廠商參與。 視案例而定,Microsoft 支援服務 可能會要求客戶從元件中移除或重新設定元件,以查看問題是否持續發生。 如果確認問題是由第三方元件造成或大幅影響,則元件的廠商必須參與協助解決問題。 此原則也適用於 Riverbed Technology, Inc. 的裝置。

其他相關資訊

Riverbed Technology, Inc. 會建立中繼網路裝置,旨在藉由壓縮和塑造透過載入的 WAN 連線傳輸的流量,將網路流量優化。

裝置可以攔截使用者SMB會話,如果Riverbed裝置可以在伺服器的安全性內容中產生有效簽署的承載總和檢查碼,則可以達到效能提升。 為了達成此目的,裝置會將本身設定為受信任的伺服器實例,讓它可以作為伺服器,以及針對正在優化之網路流量範圍內的伺服器。

目前的部署方法(2016 年 9 月)牽涉到在一般電腦帳戶上啟用只讀域控制器 (RODC) UserAccountControl 設定:或使用具有複寫目錄變更所有許可權的高特殊許可權服務帳戶。 在某些組態中,將會使用這兩種類型的帳戶。 這種方法有許多安全性後果,在設定時可能並不明顯。

預期結果

當計算機帳戶設定為域控制器時,它會收到特定旗標和群組成員資格,以允許它執行安全性和 Active Directory 特定程式。 其中包括下列專案:

  • 帳戶可以模擬 Active Directory 中的任何使用者,但標示為「敏感性且不允許委派」的使用者除外。由於 Kerberos 通訊協議轉換,即使沒有模擬允許使用者的密碼,帳戶也可以執行此動作。
  • 「複寫目錄變更全部」許可權可讓裝置存取網域中所有用戶的密碼哈希,包括 KrbTgt、域控制器帳戶和信任關係等敏感性帳戶。
  • 帳戶可藉由監視解決方案,以域控制器身分進行監視。
  • 根據這些旗標的存在,「呼叫者」(包括管理工具)預期 Windows 伺服器,並嘗試存取或互操作代表自己為域控制器的實體。 這包括以 WMI、WinRM、LDAP、RPC 和 Active Directory Web 服務為基礎的服務。 同樣地,應用程式、成員計算機和合作夥伴域控制器預期實體會以一致且定義完善的方式來互動和回應。

安全性隱含意義

如同網路環境中的任何其他運算裝置,Riverbed 裝置可能會受到惡意代碼的攻擊。 由於他們能夠模擬 Active Directory 使用者,Riverbed 裝置是這類攻擊的誘人目標。

Microsoft強烈建議您使用與讀寫域控制器(RWDC)相同的實體和網路保護和稽核層級。 這些裝置的管理應遵循在保護特殊許可權存取時 保護特殊許可權存取的目前指引。 如果您目前在為 RWDC 不安全的位置使用 Riverbed 裝置,強烈建議您檢閱這些裝置的位置。

操作含意

域控制器具有特殊旗標,以及與其帳戶相關聯的其他物件,以提供唯一的角色識別。 這些項目包括:

  • 域控制器電腦帳戶上的UserAccountControl值
    • RWDC 0x82000 (十六進位)
    • RODC 0x5011000 (十六進位)
  • 組態容器中的 NTDS Settings 對象,位於域控制器的月臺內

工具、服務和應用程式可能會查詢這些屬性來產生域控制器清單,然後執行假設一般 DC 回應的作業,例如查詢。 Riverbed 裝置不會實作一組完整的 Windows 域控制器服務,也不會回應一般 DC 查詢。 Microsoft了解此設定所造成的下列問題:

  • 將 sysvol 複寫從檔案複寫服務 (FRS) 移轉至分散式檔案系統複寫 (DFSR)

    當網域轉換至 Windows Server 2008 網域模式或更新版本時,Microsoft建議您將 sysvol 複寫引擎從 FRS 移轉至 DFSR。

    DFSR 移轉工具 (dfsrMig.exe) 會在移轉開始時,建置網域中所有域控制器的清查。 這包括 Riverbed 裝置所使用的類似 DC 的帳戶。 Riverbed 裝置不會回應移轉進行所需的 Active Directory 物件變更。 因此,DFSR 移轉工具無法完成,而且系統管理員必須忽略錯誤,才能繼續進行 sysvol 移轉中的下一個步驟。 這些錯誤的錯誤可能會與實際 Windows Server 計算機的實際錯誤重疊。

    由於網域中有 Riverbed 裝置時無法完成 sysvol 移轉,因此Microsoft建議您在移轉期間移除 Riverbed 裝置。

  • 監視工具

    市場上大部分的伺服器監視工具都支援使用 Active Directory 查詢來填入客戶端和伺服器系統的清查。 利用 UserAccountControl 或 NTDS 設定物件尋找域控制器的工具,可能會錯誤地將 Riverbed 帳戶識別為域控制器帳戶。 因此,Riverbed 裝置會在此清查清單中顯示為可管理的伺服器。

    許多解決方案接著允許遠端部署監視代理程式,或讓您從遠端查詢裝置以取得診斷資訊。 不過,Riverbed 裝置不支持這些介面,而監視工具會將其回報為觸發失敗。

    如需如何透過您選擇的監視工具成功監視 Riverbed 裝置的相關信息,請連絡 Riverbed。 如果沒有可用的監視工具,請調查排除裝置無法監視的選項。 Microsoft強烈建議監視裝置健康情況,因為這類裝置所執行的功能敏感度。

  • 組策略管理工具 (GPMC)

    在 Windows Server 2012 和更新版本中,GPMC 可以在網域或每個原則中顯示組策略設定的復寫狀態。 Riverbed 裝置會包含在此狀態檢查的合格帳戶清單中。

    不過,Riverbed 傳回 GPMC 的資訊不完整,因為它們在 Active Directory 組態分割區中沒有 NTDS Settings 物件。 因為 GPMC 不預期這種情況,GPMC 控制台會當機。

    若要防止此失敗,請在您的系統管理電腦上部署下列更新:

    當您按兩下目標網域時,組策略管理主控台當機

本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。