Windows Server 2008에는 읽기 전용 도메인 컨트롤러가 도입되었습니다.이 컨트롤러는 도메인 데이터베이스의 전체 복제본을 수신하지만 오래된 Windows NT BDC처럼 수정할 수는 없습니다.
나는 semi-DC를 실행하는 방법에 대한 모든 기술적 인과 지식을 알고 있지만 (단지 70-646 및 70-647을 통과했습니다) 여전히 가장 중요한 질문에 대한 명확한 대답이 없습니다. 왜해야합니까? 그들을 사용 합니까?
TheCleaner 의이 의견은 실제로 나를 위해 요약합니다.
@Massimo-예, 맞습니다. U는 RODC에 대한 설득력있는 이유를 찾고 있습니다. 여기에는 지사 보안을 완화하는 데 도움이되는 몇 가지 추가 보안 기능이 있으며 DC가없고 보안에 대한 정보가없는 경우에만 실제로 배포해야합니다.
그것은 내가 생각했던 것과 같았습니다 … 보안이 약간 증가했습니다. 그렇습니다. 그러나 번거롭지 않을만큼 확실하지는 않습니다.
답변
실제 시나리오를 알려 드리겠습니다.
- 우리는 중국 지사에 하나 있습니다
우리는 IT 부서가 없기 때문에 그것을 사용합니다. 미국의 AD 계정 등에 대한 모든 요청을 처리합니다. RODC를 통해 다음을 알 수 있습니다.
- 아무도 그것에 로그온하여 AD에서 “해킹”을 시도 할 수 없습니다.
- 아무도 그것을 훔치고 가치있는 것을 얻지 못하고 나중에 네트워크에서 “해킹”할 수 없습니다.
AD / DNS를 읽기 전용으로함으로써 DC의 데이터를 조작하려는 시도에 대해 걱정할 필요가 없습니다.
http://technet.microsoft.com/en-us/library/cc732801%28WS.10%29.aspx 에있는 기능 때문입니다.
RODC 역할이 설치된 서버 코어이기 때문에 최소한의 서버 설치도 가능했습니다. 2 개의 Raid-1 18GB 드라이브가있는 구형 1U 서버에 설치했습니다. 우리는 실제로 랙에 있던 오래된 보증되지 않은 하드웨어를 사용하여 동일한 구성으로 2 개를 배치했습니다.
단순하고 필요한 작업을 수행하므로 걱정할 필요가 없습니다. 상자 중 하나에 오류가 발생하면 다시 교체하기 만하면됩니다.
답변
저의 책 (www.briandesmond.com/ad4/)에이 기능에 대한 전체 장이 있습니다. 짧고 짧다는 것은 이것이 보안 기능이며 분산 된 조직에게는 큰 문제입니다.
여기에는 두 가지 큰 시나리오가 있습니다.
-> RODC는 기본적으로 비밀번호를 저장하지 않습니다. 즉, 누군가 서버에서 실제로 디스크를 가져 오는 경우 모든 사용자 (및 컴퓨터) 암호를 얻지 못합니다.
누군가 RWDC를 훔친 경우 올바른 응답은 도메인의 모든 비밀번호를 재설정하여 모든 비밀번호가 손상된 것으로 간주하는 것입니다. 이것은 중요한 사업입니다.
RODC를 사용하면 사용자 및 컴퓨터의 하위 집합 X에 대한 암호 만 캐시 할 수 있습니다. RODC는 실제로 암호를 캐시하면 해당 정보를 AD에 저장합니다. RODC를 도난당한 경우 이제 재설정해야하는 작은 비밀번호 목록이 있습니다.
-> RODC는 단방향으로 복제됩니다. 누군가 RWDC를 훔쳐서 변경 한 후 다시 연결하면 해당 변경 사항이 다시 환경으로 복제됩니다. 예를 들어 도메인 관리자 그룹에 자신을 추가하거나 모든 관리자 비밀번호 등을 재설정 할 수 있습니다. RODC를 사용하면 불가능합니다.
이전에 DC가 없었던 위치에 RODC를 배치하지 않으면 속도 향상이 없으며 일부 시나리오에서는 속도가 향상 될 수 있습니다.
The Cleaner의 답변이 실제로 잘못되었습니다. RODC에 대한 많은 매력적인 시나리오가 있으며 규모에 상관없이 여러 배포를 생각할 수 있습니다. 이것은 “보안에 대한 분석”이 아닌 단순한 보안입니다.
감사,
브라이언 데스몬드
액티브 디렉토리 MVP
답변
물리적 보안이 불량하거나 네트워크 연결 속도가 느리거나 신뢰할 수없는 지점이 많은 경우 RODC가 필요합니다. 예 :
- 자주 이동하고 연결을 위해 DSL / 케이블을 사용하는 중앙 사무실 및 매장 클리닉이있는 의료 제공자
- 통신 인프라가 신뢰할 수 없거나 셀룰러 또는 위성 네트워크를 사용해야하는 원격 지역에 시설이있는 회사.
대부분의 조직에는 원격 장비에 대한 물리적 보안 표준이 있습니다. 이러한 요구 사항을 충족 할 수없는 경우 RODC를 사용하면 로컬 응용 프로그램 및 파일 공유에 액세스하기위한 고속 인증을 제공 할 수 있습니다. 또한 서버에 저장된 자격 증명 수를 제한 할 수 있습니다. 손상된 서버는 원격 위치의 사용자 만 손상시킵니다. 75,000 명의 사용자가있는 전체 DC는 로컬 손상시 해당 사용자를 모두 노출합니다.
소규모 회사에서 일한다면 큰 문제가되지 않습니다. RODC는 보안 위험을 크게 줄이므로 BitLocker를 사용하여 배포하려고합니다.
답변
이 TechNet 기사를 기반으로 DMZ에서 RODC를 사용할 것 입니다. DMZ에서 RODC를 사용하여 웹 서비스를위한 새 포리스트 설정
답변
답변
RODC에는 AD의 읽기 전용 복사본이 포함되어 있으므로 IT 직원이없는 지점에서이를 사용하여 서버 룸의 보안 또는 무결성을 보장 할 수 없습니다. RODC가 손상되는 경우이를 침해 한 사람은 검색 당시의 상태에서만 AD에 액세스 할 수 있다는 것을 알고 있습니다. 변경 사항은 기본 DC로 다시 복제되지 않습니다. 즉, 타협하는 사람은 자신을 도메인 관리자로 승격시키고 자신의 관리자를 잠그고 전체 네트워크에서 사악한 길을 열 수 없습니다.
답변
RODC는 대기업 조직에 유용하며 Novell eDirectory와 같은 경쟁 기업 디렉토리 서비스는 수년간 읽기 전용 복제본을 가지고있었습니다.