(0) exportieren Drucken
Alle erweitern

AD DS: Schreibgeschützte Domänencontroller

Letzte Aktualisierung: Januar 2011

Betrifft: Windows Server 2008

Beim schreibgeschützten Domänencontroller (Read-only Domain Controller, RODC) handelt es sich um einen neuen Domänencontrollertyp im Betriebssystem Windows Server® 2008. Mit einem RODC können Organisationen einfach Domänencontroller an Standorten bereitstellen, an denen die physische Sicherheit nicht garantiert werden kann. Auf einem RODC werden schreibgeschützte Partitionen der AD DS-Datenbank (Active Directory® Domain Services, Active Directory®-Domänendienste) gehostet.

Vor der Veröffentlichung von Windows Server 2008 hatten Benutzer, die eine Authentifizierung mit einem Domänencontroller über ein WAN (Wide Area Network) ausführen wollten, keine echte Alternative. In vielen Fällen stellte dies keine effiziente Lösung dar. Zweigstellen können oft nicht die für einen beschreibbaren Domänencontroller erforderliche physische Sicherheit bereitstellen. Außerdem verfügen Zweigstellen oft über eine geringe Netzwerkbandbreite, wenn sie mit einem Hubstandort verbunden sind. Dadurch kann sich der Zeitbedarf für die Anmeldung erhöhen. Außerdem kann der Zugriff auf Netzwerkressourcen behindert werden.

Mit Windows Server 2008 kann eine Organisation diese Probleme lösen, indem sie einen RODC bereitstellt. Dadurch ergeben sich für Benutzer in dieser Situation die folgenden Vorteile:

  • Verbesserte Sicherheit

  • Schnellere Anmeldungen

  • Effizienterer Zugriff auf Ressourcen im Netzwerk

Weitere Informationen zu RODCs finden Sie in der schrittweisen Anleitung zum Planen und Bereitstellen schreibgeschützter Domänencontroller (http://go.microsoft.com/fwlink/?LinkId=92728).

Wozu dient ein RODC?

Unzureichende physische Sicherheit ist der häufigste Grund für das Inbetrachtziehen der Bereitstellung eines RODC. Als RODC kann ein Domänencontroller sicherer an Standorten bereitgestellt werden, an denen schnelle und zuverlässige Authentifizierungsdienste erforderlich sind, an denen jedoch die physische Sicherheit eines beschreibbaren Domänencontrollers nicht sichergestellt werden kann.

Möglicherweise möchte eine Organisation jedoch auch einen RODC für spezielle Verwaltungsanforderungen bereitstellen. Beispielsweise kann eine Branchenanwendung möglicherweise nur dann erfolgreich ausgeführt werden, wenn sie auf einem Domänencontroller installiert ist. Oder möglicherweise ist der Domänencontroller der einzige Server in der Zweigstelle und muss zum Hosten von Serveranwendungen verwendet werden.

In solchen Fällen muss sich der Besitzer der Branchenanwendung oft interaktiv beim Domänencontroller anmelden oder die Anwendung mithilfe von Terminaldiensten konfigurieren und verwalten. Durch diese Situation entsteht ein Sicherheitsrisiko, das für einen beschreibbaren Domänencontroller möglicherweise nicht akzeptabel ist.

Mit einem RODC wird ein sichererer Mechanismus für das Bereitstellen eines Domänencontrollers in diesem Szenario bereitgestellt. Sie können einem Domänenbenutzer ohne Administratorberechtigungen das Recht erteilen, sich beim RODC anzumelden, und gleichzeitig das Sicherheitsrisiko für die Active Directory-Gesamtstruktur minimieren.

Sie können einen RODC auch in anderen Szenarien bereitstellen, in denen die lokale Speicherung aller Domänenbenutzer-Kennwörter eine primäre Bedrohung darstellt, beispielsweise in einer mit einem Extranet oder einer Anwendung verbundenen Rolle.

Für wen ist dieses Feature von Interesse?

Der RODC ist in erster Linie für die Bereitstellung in Remote- oder Zweigstellenumgebungen gedacht. Zweigstellen haben normalerweise die folgenden Merkmale:

  • Relativ wenige Benutzer

  • Mangelhafte physische Sicherheit

  • Relativ geringe Netzwerkbandbreite für einen Hubstandort

  • Wenige IT-Kenntnisse

Lesen Sie diesen Abschnitt und die zusätzliche unterstützende Dokumentation zum RODC, wenn Sie einer der folgenden Gruppen angehören:

  • IT-Planer und -Analytiker, die das Produkt technisch bewerten

  • IT-Planer in Unternehmen und Designer für Organisationen

  • Für die IT-Sicherheit zuständige Personen

  • AD DS-Administratoren, die für kleine Zweigstellen zuständig sind

Gibt es spezielle Überlegungen?

Zum Bereitstellen eines RODC muss auf mindestens einem beschreibbaren Domänencontroller in der Domäne Windows Server 2008 ausgeführt werden. Außerdem muss die Funktionsebene für die Domäne und die Gesamtstruktur Windows Server 2003 oder höher entsprechen.

Weitere Informationen zu den Voraussetzungen für das Bereitstellen eines RODC finden Sie unter Wie sollte die Bereitstellung dieses Features vorbereitet werden?.

Welche neue Funktionalität wird mit diesem Feature bereitgestellt?

Mit einem RODC können einige der Probleme behoben werden, die häufig in Zweigstellen anzutreffen sind. An diesen Standorten ist möglicherweise kein Domänencontroller vorhanden. Oder sie haben einen beschreibbaren Domänencontroller, aber es fehlt an der physischen Sicherheit, der Netzwerkbandbreite oder dem lokalen Fachwissen für die Unterstützung. Durch die folgende RODC-Funktionalität können diese Probleme gemindert werden:

  • Schreibgeschützte AD DS-Datenbank

  • Unidirektionale Replikation

  • Zwischenspeicherung von Anmeldeinformationen

  • Aufteilung der Administratorrolle

  • Schreibgeschütztes DNS (Domain Name System)

Schreibgeschützte AD DS-Datenbank

Mit Ausnahme von Kontokennwörtern enthält ein RODC alle Active Directory-Objekte und -Attribute, die ein beschreibbarer Domänencontroller enthält. An der auf dem RODC gespeicherten Datenbank können jedoch keine Änderungen vorgenommen werden. Änderungen müssen auf einem beschreibbaren Domänencontroller vorgenommen und dann zurück an den RODC repliziert werden.

Lokale Anwendungen, die Schreibzugriff auf das Verzeichnis anfordern, können Zugriff erhalten. LDAP-Anwendungen (Lightweight Directory Application-Protokoll), die Schreibzugriff anfordern, empfangen eine LDAP-Verweisantwort. Mit dieser Antwort werden sie an einen beschreibbaren Domänencontroller, normalerweise an einem Hubstandort, geleitet.

Attributsatz mit RODC-Filter

Manche Anwendungen, bei denen AD DS als Datenspeicher verwendet wird, enthalten möglicherweise Anmeldeinformationen ähnelnde Daten (beispielsweise Kennwörter, Anmeldeinformationen oder Verschlüsselungsschlüssel), die aufgrund des Risikos der Gefährdung eines RODC nicht auf einem RODC gespeichert werden sollen.

Für diese Anwendungstypen können Sie dynamisch im Schema für Domänenobjekte, die nicht an einen RODC repliziert werden, einen Attributsatz konfigurieren. Dieser Attributsatz wird als Attributsatz mit RODC-Filter bezeichnet. Attribute, die im Attributsatz mit RODC-Filter definiert sind, können nicht an RODCs in der Gesamtstruktur repliziert werden.

Ein böswilliger Benutzer, der einen RODC gefährdet, kann versuchen, ihn so zu konfigurieren, dass versucht wird, im Attributsatz mit RODC-Filter definierte Attribute zu replizieren. Wenn versucht wird, diese Attribute von einem Domänencontroller unter Windows Server 2008 an den RODC zu replizieren, wird die Replikationsanforderung verweigert. Wenn jedoch versucht wird, diese Attribute von einem Domänencontroller unter Windows Server 2003 an den RODC zu replizieren, wird die Replikation möglicherweise ausgeführt.

Legen Sie daher als Sicherheitsmaßnahme die Gesamtstrukturfunktionsebene Windows Server 2008 fest, wenn Sie den Attributsatz mit RODC-Filter konfigurieren möchten. Wenn die Gesamtstrukturfunktionsebene Windows Server 2008 entspricht, kann ein gefährdeter RODC nicht auf diese Weise ausgenutzt werden, da Domänencontroller unter Windows Server 2003 in der Gesamtstruktur nicht zulässig sind.

Sie können dem Attributsatz mit RODC-Filter keine systemkritischen Attribute hinzufügen. Ein Attribut ist systemkritisch, wenn es für die ordnungsgemäße Funktionsweise von AD DS; der lokalen Sicherheitsautorität (Local Security Authority, LSA); der Sicherheitskontenverwaltung (Security Accounts Manager, SAM) und Microsoft-spezifischer Security Service Provider-Schnittstellen (SSPIs), wie beispielsweise Kerberos, erforderlich ist. Bei einem systemkritischen Attribut ist der Wert des schemaFlagsEx-Attributs gleich 1 (Wert des schemaFlagsEx-Attributs & 0x1 = TRUE).

Der Attributsatz mit RODC-Filter wird auf dem Server konfiguriert, der die Rolle des Schemabetriebsmasters innehat. Wenn Sie versuchen, dem Attributsatz mit RODC-Filter ein systemkritisches Attribut hinzuzufügen, während auf dem Schemamaster Windows Server 2008 ausgeführt wird, gibt der Server den LDAP-Fehler "unwillingToPerform" zurück. Wenn Sie versuchen, dem Attributsatz mit RODC-Filter auf einem Windows Server 2003-Schemamaster ein systemkritisches Attribut hinzuzufügen, scheint der Vorgang erfolgreich ausgeführt zu werden, aber das Attribut wird nicht wirklich hinzugefügt. Daher sollte beim Hinzufügen von Attributen zu einem Satz mit RODC-Filter ein Windows Server 2008-Domänencontroller als Schemamaster verwendet werden. Dadurch wird sichergestellt, dass keine systemkritischen Attribute in den Attributsatz mit RODC-Filter eingeschlossen werden.

Unidirektionale Replikation

Da keine Änderungen direkt auf den RODC geschrieben werden, gehen von diesem keine Änderungen aus. Entsprechend müssen beschreibbare Domänencontroller, die Replikationspartner sind, keine Änderungen vom RODC abrufen. Das bedeutet, dass alle Änderungen oder Schäden, die ein böswilliger Benutzer in Zweigstellen vornehmen könnte, nicht vom RODC an die restliche Gesamtstruktur repliziert werden können. Dadurch wird außerdem die Arbeitslast der Bridgeheadserver im Hub sowie der zum Überwachen der Replikation erforderliche Aufwand reduziert.

Die unidirektionale RODC-Replikation betrifft die AD DS-Replikation und die DFS-Replikation (Distributed File System, verteiltes Dateisystem) von SYSVOL. Für Änderungen an AD DS und SYSVOL führt der RODC eine eingehende Replikation aus.

noteHinweis
Alle anderen Freigaben auf einem RODC, den Sie zum Replizieren mithilfe der DFS-Replikation konfigurieren, sind dann bidirektional.

Zwischenspeicherung von Anmeldeinformationen

Bei der Zwischenspeicherung von Anmeldeinformationen handelt es sich um das Speichern von Benutzer- oder Computeranmeldeinformationen. Die Anmeldeinformationen umfassen eine Gruppe von ca. 10 Kennwörtern, die Sicherheitsprinzipalen zugeordnet sind. Standardmäßig werden Benutzer- oder Computeranmeldeinformationen nicht auf einem RODC gespeichert. Ausnahmen sind das Computerkonto des RODC und ein spezielles KRBTGT-Konto, das auf jedem RODC vorhanden ist. Das Zwischenspeichern aller anderen Anmeldeinformationen auf einem RODC muss ausdrücklich zugelassen werden.

Der RODC wird als Schlüsselverteilungscenter (Key Distribution Center, KDC) für die Zweigstelle angekündigt. Der RODC verwendet zum Signieren oder Verschlüsseln von TGT-Anforderungen (Ticket-Granting Ticket) ein anderes KRBTGT-Konto und -Kennwort als das KDC auf einem beschreibbaren Domänencontroller.

Nach der erfolgreichen Authentifizierung eines Kontos versucht der RODC, eine Verbindung mit einem beschreibbaren Domänencontroller am Hubstandort herzustellen, und fordert eine Kopie der entsprechenden Anmeldeinformationen an. Der beschreibbare Domänencontroller erkennt, dass die Anforderung von einem RODC stammt, und zieht die für diesen RODC geltende Kennwortreplikationsrichtlinie zu Rate.

Die Kennwortreplikationsrichtlinie bestimmt, ob die Anmeldeinformationen eines Benutzers oder eines Computers vom beschreibbaren Domänencontroller an den RODC repliziert werden können. Wenn die Kennwortreplikationsrichtlinie es zulässt, werden die Anmeldeinformationen vom beschreibbaren Domänencontroller an den RODC repliziert und von diesem zwischengespeichert.

Nach der Zwischenspeicherung der Anmeldeinformationen auf dem RODC kann der RODC die Anmeldeanforderungen dieses Benutzers direkt verarbeiten, solange die Anmeldeinformationen nicht geändert werden. (Wenn ein TGT mit dem KRBTGT-Konto des RODC signiert ist, erkennt der RODC, dass er über eine zwischengespeicherte Kopie der Anmeldeinformationen verfügt. Wenn ein anderer Domänencontroller das TGT signiert, leitet der RODC Anforderungen an einen beschreibbaren Domänencontroller weiter.)

Durch die Begrenzung der Zwischenspeicherung von Anmeldeinformationen auf gegenüber dem RODC authentifizierte Benutzer wird auch die potenzielle Gefährdung der Anmeldeinformationen bei einer Gefährdung des RODC begrenzt. In der Regel werden auf einem bestimmten RODC nur die Anmeldeinformationen einer kleinen Gruppe von Domänenbenutzern zwischengespeichert. Wenn ein RODC gestohlen wird, können daher nur die zwischengespeicherten Anmeldeinformationen möglicherweise geknackt werden.

Wenn Sie die Zwischenspeicherung von Anmeldeinformationen deaktiviert lassen, können Sie die Gefahr weiter begrenzen, allerdings führt dies dazu, dass alle Authentifizierungsanforderungen an einen beschreibbaren Domänencontroller weitergeleitet werden. Ein Administrator kann die Standard-Kennwortreplikationsrichtlinie ändern, um das Zwischenspeichern der Anmeldeinformationen von Benutzern auf dem RODC zuzulassen.

Aufteilung der Administratorrolle

Sie können lokale Administratorrechte für einen RODC an beliebige Domänenbenutzer delegieren, ohne diesen Benutzern Benutzerrechte für die Domäne oder andere Domänencontroller zu erteilen. Auf diese Weise darf ein Benutzer sich in der lokalen Zweigstelle bei einem RODC anmelden und Wartungsarbeiten auf dem Server ausführen, beispielsweise das Aktualisieren eines Treibers. Der Zweigstellenbenutzer kann sich jedoch nicht bei einem anderen Domänencontroller anmelden oder andere Verwaltungsaufgaben in der Domäne ausführen. Auf diese Weise kann dem Zweigstellenbenutzer die Möglichkeit delegiert werden, den RODC in der Zweigstelle effektiv zu verwalten, ohne dass die Sicherheit der restlichen Domäne gefährdet wird.

Schreibgeschütztes DNS

Sie können den DNS-Serverdienst auf einem RODC installieren. Ein RODC kann alle von DNS verwendeten Anwendungsverzeichnispartitionen replizieren, einschließlich ForestDNSZones und DomainDNSZones. Wenn der DNS-Server auf einem RODC installiert ist, können Clients bei ihm die Namensauflösung genau wie bei jedem anderen DNS-Server abfragen.

Der DNS-Server auf einem RODC ist jedoch schreibgeschützt und unterstützt Clientupdates nicht direkt. Weitere Informationen zum Verarbeiten von DNS-Clientupdates durch einen DNS-Server auf einem RODC finden Sie unter DNS-Updates für Clients an einem RODC-Standort (möglicherweise in englischer Sprache).

Welche Einstellungen wurden hinzugefügt oder geändert?

Zur Unterstützung der RODC-Kennwortreplikationsrichtlinie enthält Windows Server 2008 AD DS neue Attribute. Die Kennwortreplikationsrichtlinie ist ein Mechanismus, mit dem bestimmt wird, ob die Anmeldeinformationen eines Benutzers oder eines Computers vom beschreibbaren Domänencontroller an einen RODC repliziert werden dürfen. Die Kennwortreplikationsrichtlinie wird immer auf einem beschreibbaren Domänencontroller unter Windows Server 2008 festgelegt.

Folgende AD DS-Attribute wurden im Windows Server 2008 Active Directory-Schema zur Unterstützung von RODCs hinzugefügt:

  • msDS-Reveal-OnDemandGroup

  • msDS-NeverRevealGroup

  • msDS-RevealedList

  • msDS-AuthenticatedToAccountList

Weitere Informationen zu diesen Attributen Sie in der schrittweisen Anleitung zum Planen und Bereitstellen schreibgeschützter Domänencontroller (http://go.microsoft.com/fwlink/?LinkID=135993).

Wie sollte die Bereitstellung dieses Features vorbereitet werden?

Folgende Voraussetzungen gelten für das Bereitstellen eines RODC:

  • Der RODC muss Authentifizierungsanforderungen an einen beschreibbaren Domänencontroller unter Windows Server 2008 weiterleiten. Die Kennwortreplikationsrichtlinie muss auf diesem Domänencontroller festgelegt sein, um zu bestimmen, ob Anmeldeinformationen für eine weitergeleitete Anforderung vom RODC an den Zweigstellenstandort repliziert werden.

  • Die Domänenfunktionsebene muss Windows Server 2003 oder höher entsprechen, damit eingeschränkte Kerberos-Delegierung verfügbar ist. Die eingeschränkte Delegierung wird für Sicherheitsaufrufe verwendet, für die ein Identitätswechsel unter dem Kontext des Aufrufers ausgeführt werden muss.

  • Die Gesamtstrukturfunktionsebene muss Windows Server 2003 oder höher entsprechen, damit verknüpfte Wertreplikation verfügbar ist. Dadurch ergibt sich eine höhere Replikationskonsistenz.

  • Sie müssen einmal adprep /rodcprep in der Gesamtstruktur ausführen, um die Berechtigungen für alle DNS-Anwendungsverzeichnispartitionen in der Gesamtstruktur zu aktualisieren. Auf diese Weise können die Berechtigungen von allen RODCs, die auch als DNS-Server verwendet werden, erfolgreich repliziert werden.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft