Windows Server 2008 R2 Server Core: Protezione della connessione delle succursali

Paul Yu

Alcuni ambienti sono più difficile per il supporto di un ufficio remoto. Stabilire e mantenere connessioni protette presenta una serie di problemi tecnici e procedurali. Lo stesso può essere considerato di qualsiasi datacenter a cui è connesso un ufficio remoto.

Uffici remoti sono spesso distribuiti su una WAN, sono in genere piuttosto alcune di esse, ognuno ha una popolazione di utenti relativamente piccolo, si connettono ai siti centro dati mediante collegamenti di rete lenti ed è raramente un responsabile IT competente nel sito. Ogni fattore di per sé potrebbe costituire una sfida. Quando si combinano i, occorre una ricetta per un incubo IT.

Sebbene la maggior parte delle filiali presentano in genere un insieme di caratteristiche (come quelle elencate) simile, esistono anche i requisiti specifici dell'organizzazione che determinano la modalità di funzionamento dell'ambiente. L'importanza della protezione o il grado di tecnologia sono centralizzate delle risorse può variare da un ufficio remoto framework a un'altra. Indipendentemente dalla modalità di funzionamento di ogni filiale, Windows Server 2008 R2 presenta nuove opportunità per distribuire la tecnologia aggiornata rende fondamentale assume come distribuire e sfruttare i controller di dominio (DC) in ambienti remoti.

Una soluzione di protezione

Protezione dei deployment nelle filiali è uno scenario comune per Active Directory Domain Services (ADDS). Le caratteristiche univoche e i vincoli degli ambienti remoti sono particolarmente adatti ad ADDS. Windows Server 2008 R2 ha una serie di nuove funzionalità notevole e aggiornati gli approcci per la distribuzione di ADDS. Let’s imparare a distribuire Windows Server 2008 R2 in questo tipo di ambiente in modo sicuro. Verranno illustrate tipica branch office caratteristiche, elementi chiave dell'architettura e opzioni di distribuzione consigliata specifiche per la distribuzione di Windows Server 2008 R2.

L'aspetto più importante di Windows Server 2008 R2 riguarda i controller di dominio di sola lettura (RODC). In genere, i RODC vengono distribuiti in percorsi che richiedono servizi di controller di dominio, ma non le misure di protezione fisica adeguata. A causa di una migliore protezione e funzionalità di gestione migliorate, sostituendo i controller di dominio esistenti con i RODC può superare i requisiti esistenti correlate ad ADDS in molti ambienti di filiale. Per le posizioni in cui non sono attualmente Nessun controller di dominio, i RODC rappresentano una notevole opportunità per introdurre ADDS nell'ambiente.

Un altro fattore importante è la versione aggiornata di Server Core, un'opzione di installazione di Windows Server 2008 R2 fornisce un ambiente minimo per l'esecuzione di ruoli server specifici, supportata, ad esempio il ruolo di controller di dominio.  Selezione Server Core installa solo il sottoinsieme di file binari richiesti dal ruolo server installato, che in questo caso sarebbe il RODC. L'installazione minima comporta la superficie di attacco ridotta, più facile gestione e manutenzione ridotta. Consente inoltre il server RODC eseguire meno risorse.

Poiché molti di questi fattori possono ridurre i vincoli associati comunemente filiali, Windows Server 2008 R2 Server Core e RODC sono un'opzione interessante per tutti gli ambienti remoti. Le seguenti considerazioni sulla distribuzione passare in dettaglio le opzioni di distribuzione e configurazione di specifici componenti Server Core e RODC.

This exact configuration is a fairly common setup, although it may not meet every organization’s branch office requirements. or instance, most major aspects of this configuration are already highlighted in the current best practices guide for the Windows Server 2008 Security Compliance Management Toolkit.

Ecco un run-down degli aspetti critici distribuzione associato alla definizione di una soluzione protetta di Windows Server 2008 R2 Server Core RODC per ambienti di filiale.  Ciò illustra i presupposti della soluzione, elementi importanti, i prerequisiti di infrastruttura e altre opzioni di installazione dettagliate.

Pianificazione di progettazione preliminari

Come con qualsiasi distribuzione di controller di dominio, è necessario prendere numerose decisioni importanti prima della distribuzione di. Alcune di tali decisioni includono la valutazione dei requisiti hardware, decidere la strategia di aggiornamento del software, determinare la build per server RODC e l'identificazione del controller di dominio l'aggiornamento ordine. Queste decisioni indicherà l'intero processo di distribuzione e le configurazioni disponibili.

Dal punto di vista della valutazione di hardware, è necessario determinare se l'hardware del controller di dominio esistente è conforme ai requisiti consigliati. Esistono specifiche ben documentate, in modo implicati potrebbe non essere un problema per la maggior parte delle organizzazioni. Riguardo ai percorsi di aggiornamento software supportato, esistono numerose opzioni che variano tra le versioni e le edizioni diverse opzioni di installazione di Windows.

Server Core richiede un'installazione pulita di filiale DC. Non è possibile eseguire l'aggiornamento a questa opzione di installazione. Riguardo ai ruoli del server installati, per motivi di protezione, è consigliabile che tutti i ruoli del server e servizi non necessari per la sola funzione essere eliminate dalla generazione del server. Questa soluzione RODC stabilisce che i RODC Core di Windows Server 2008 R2 Server non host ulteriori servizi o ruoli di server diverso da quello del catalogo globale e server DNS, che è un approccio sempre più comune tra organizzazioni aziendali.

L'ordine in cui è possibile distribuire i controller di dominio è un altro aspetto critico del processo. L'ordine consigliato prevede prima ADDS installazione nei centri dati sui server membri di Windows Server 2008 R2 pristinely generato per ogni dominio, iniziando la radice della foresta e quindi trasferire tutti i ruoli di master operazioni applicabili per ogni dominio i controller di dominio. Continuare la distribuzione posizioni datacenter e disabilitazione completamente tutti i controller di dominio legacy in questi siti. Ciò consente di stabilizzare ADDS in un percorso well-administered grande. Contribuisce inoltre a semplificare il processo di distribuzione RODC.  Una volta che è stato sostituito datacenter controller di dominio, è possibile iniziare il domain controller di filiale.

Preparazione del dominio e dell'insieme di strutture di Windows Server 2008 R2

Before deploying a single Windows Server 2008 R2 DC to the existing environment, you must prepare the Active Directory forest and domains by running Adprep.exe. First, update the forest schema on the DC hosting the schema operations master role with the adprep /forestprep command. A questo punto, è possibile aggiornare l'insieme di strutture per consentire la sola installazione con il comando di /rodcprep adprep. Per preparare ogni dominio figlio, è necessario eseguire il comando di adprep /domainprep /gpprep sul controller di dominio che ospita il ruolo di master infrastrutture.

Infine, è necessario distribuire almeno un controller di dominio scrivibile che esegue Windows Server 2008 R2 nello stesso dominio in cui risiedono il RODC. Come nota laterale, per gli ambienti in cui è stata eseguita la versione di Windows Server 2008 di comandi adprep.exe l'aggiornamento a Windows Server 2008 R2 richiede nuovamente tutti i comandi con la versione R2, ad eccezione di adprep /rodcprep , pertanto nessuna modifica della versione di Windows Server 2008.

Posizionamento del RODC

Dal punto di vista dell'architettura, considerazioni sul posizionamento RODC modificati con l'introduzione di criterio di replica password (PRP). Ad esempio, i RODC devono essere in grado di stabilire la replica di partizione di dominio con un controller di dominio scrivibile R2 di Windows Server 2008. Poiché la maggior parte degli ambienti di filiale sottoscrivere le topologie di rete hub e spoke, RODC ADDS siti sono probabilmente essere separati da un singolo collegamento di sito al sito del centro dati, in cui sono presenti controller di dominio scrivibile Windows Server 2008 R2 di costo più basso.

Per le istanze in cui questa potrebbe essere non valida, sarà possibile distribuire ulteriori controller di dominio scrivibile in siti intermedi, distribuire nuovi ponti di collegamenti di sito o creare nuovi collegamenti di sito per controllare la modalità di creazione delle connessioni di replica. Occorre inoltre assicurarsi che altri controller di dominio non sono collocati nello stesso sito ADDS QUEST'ULTIMO. Questa condizione è previsto un problema non per la maggior parte delle filiali, che in genere contengono un numero minimo di server. Per i siti che ospitano più controller di dominio, distribuzione RODC potrebbe semplicemente non essere una soluzione accettabile.

La cache delle credenziali

Forse la più importante elemento protezione è il modello di caching delle credenziali. Questo è un componente critico di progettazione che sarà necessario stabilire attentamente prima di iniziare il deployment nelle filiali. Per molti ambienti, il modello “ inseribile nella cache alcuni account ” sarà probabilmente il modello più appropriato e comune.

Questo approccio, in cui solo gli account locali nel sito RODC sono configurati come memorizzabile nella cache, offre condizioni appropriate rispetto al principio di meno privilegi e servizio disponibilità. Uno svantaggio di questo approccio è che determina un aumento delle responsabilità amministrative, poiché ogni del RODC PRP saranno univoco e richiedono provisioning operative e de-provisioning degli account, se necessario.

Come gestire gli spostamenti di utenti è un altro problema di progettazione comune in molte filiali. Ambienti di filiale spesso includono utenti e risorse che potrebbero richiedere gli account da memorizzare nella cache su un determinato RODC per scopi di disponibilità del servizio. Idealmente, questi account dovrebbe essere predisposto in anticipo, simile agli utenti appena procedura di assunzione. Tuttavia, a causa della natura del comportamento di viaggio casuale e imprevedibile, questa opzione spesso non è possibile, soprattutto per un numero elevato di risorse attraversare numerosi percorsi RODC.

Per risolvere questo problema, è possibile aggiungere altri account per il PRPs RODC appropriato. Per casi estremi dove è necessario un gruppo di conti consentiti accedere tutti PRPs RODC, possono inoltre sfruttare il gruppo predefinito “ Allowed Read-Only Domain Controller Password gruppo replica. ”  Tuttavia questo gruppo deve essere utilizzato con attenzione, come l'appartenenza a questo gruppo di protezione rende tutti i membri memorizzabile nella cache su tutti i RODC.

Un'altra considerazione riguarda quando gli account inseribile nella cache sono effettivamente memorizzati nella cache. Per impostazione predefinita, questo non verificarsi finché dopo l'accesso iniziale a un RODC quando la richiesta di autenticazione viene inoltrata a una scrittura di Windows Server 2008 R2 controller di dominio e le credenziali replicate a QUEST'ULTIMO. Poiché filiali che ospitano domain controller esistente probabilmente possiedono i requisiti esistenti relative alla disponibilità del servizio, può essere importante la possibilità di inserire le credenziali nel RODC.

Questa potrebbe essere particolarmente importante durante la distribuzione iniziale di un RODC quando tutti gli account del sito RODC sono ancora da memorizzare nella cache le credenziali. Come è configurata la PRP e conti contrassegnati inseribile nella cache, è possibile utilizzare le password predefinite in un RODC. Tuttavia, è importante notare che utilizza due metodi tradizionali per immissione automatica delle password presenta alcune limitazioni. Attualmente, utilizzando la console utenti e computer oppure il comando repadmin non consente l'utilizzo di gruppi di protezione.

Poiché immissione automatica password uno account alla volta o in batch di piccole dimensioni in base alle unità organizzative non è pratico, è possibile utilizzare gruppi di protezione in modo da script. Ad esempio, per utilizzare il gruppo di protezione stesso che autorizza il caching delle credenziali in un determinato RODC, di seguito può essere utilizzati:

For /F %%a in ('"dsquery group dc=corp,dc=contoso,dc=com -name <Groupname>| dsget group -members"') do (Repadmin /rodcpwdrepl <RODCname> <RWDCname> %%a)

RODC graduale installazione

Metodi di installazione DC due forniti da Windows Server 2008 R2, l'opzione di installazione graduale è preferibile installazione diretta. Il metodo alternativo diretto equivale al processo tradizionale disponibile nelle versioni precedenti di Windows. Installazione gestita utilizza separazione ruoli amministratore (ARS), una funzionalità di Windows Server 2008 R2 che delega agli amministratori del servizio non la possibilità di installare e amministrare server RODC senza concedere i diritti di Active Directory.

Dal punto di vista della protezione, installazione gestita elimina la necessità di utilizzare credenziali estremamente elevate nelle filiali non sia protetti. Per questo motivo, gli argomenti si consiglia il controller di dominio da gestire temporaneamente i dati centrale per il supporto di uffici remoti non siano più applicabili. Installazione graduale separa il processo di installazione RODC in due fasi.

La prima fase è necessario che un amministratore di servizio ADDS creare prima un account computer per il RODC e fornire configurazioni come nome di computer, sito ADDS appropriato, i ruoli server per l'installazione, la configurazione PRP e delega ARS. L'amministratore delegato deve essere rappresentato da un gruppo di protezione ottimale, e ogni membro deve avere le credenziali nella cache di QUEST'ULTIMO. La seconda fase prevede la delega di amministratore server RODC utilizzando la non-ADDS servizio credenziali di amministratore per poter aggiungere un server del gruppo di lavoro l'account RODC creati in precedenza e completare il processo di promozione RODC.

Origine promozione RODC

Per l'origine di promozione RODC, questa configurazione utilizza installazione dall'opzione di installazione Media (IFM) in combinazione con installazione graduale. Questa opzione consente di ridurre significativamente la quantità di dati replicati durante l'installazione di ADDS a QUEST'ULTIMO. Utilizzando Ntdsutil.exe in un controller di dominio scrivibile R2 di Windows Server 2008, sono disponibili quattro tipi di supporti di installazione disponibili. Di questi quattro solo due sono pertinenti, ovvero RODC e RODC con SYSVOL.

Il supporto RODC è simile al supporto di installazione completa ma non contiene memorizzate nella cache informazioni riservate come le password. Si tratta di una funzionalità importante dal punto di vista di protezione branch office. L'unico requisito per produrre supporti RODC è necessario un DC scrivibile Windows Server 2008 R2 installato. Tuttavia, il secondo supporto di installazione RODC con SYSVOL, richiede molto più dal punto di vista dell'infrastruttura. Sebbene Ntdsutil.exe creerà il RODC con supporti SYSVOL, che supporti l'utilizzo durante l'installazione richiede che replica DFS (DFS-R) per la replica di SYSVOL richiede un livello funzionale di dominio di Windows Server 2008 R2.

Data la maggior parte delle organizzazioni con filiali ambienti probabilmente non soddisferà questa condizione, che consente di utilizzare i supporti probabilmente sarà disponibile fino al completamento della distribuzione iniziale. Tuttavia, dopo questa tappa viene ottenuta, migrazione DFS-R e con il supporto di installazione di SYSVOL del RODC e il RODC significativamente ridurrà la replica di directory. Verranno inoltre effettuate ramo futura installazione office DC molto più efficiente.

Esecuzione di DCPROMO

Installazione guidata controller di dominio Active Directory non è disponibile come distribuire questa configurazione, in quanto utilizza RODC esegue Windows Server 2008 R2 Server Core. Impossibile utilizzare durante la promozione del RODC effettiva. Pertanto, oltre a installazione gestita con IFM, un file di installazione automatica con Dcpromo.exe installerà il ruolo di controller di dominio. Da una protezione e gestibilità punto di vista, questo aspetto della soluzione promuove protetta e coerente DC generazione ottimali che aiuta sostenere ADDS protezione e configurazione tra la filiale.

Inoltre, procedure di generazione automatica, prevedibili e ripetibili potrebbero ridurre la possibilità di software non autorizzato, servizi e configurazioni vengano introdotte nel processo di generazione tramite l'intervento manuale. Di seguito è riportato un esempio di comando dcpromo e un file di risposte di esempio:

DCPROMO /unattend:c:\unattend.txt

[DCINSTALL]

ReplicaDomainDNSName=corp.contoso.com

UserDomain=corp

UserName=corp\<delegated RODC security group>

Password=*

ReplicationSourcePath=C: \IFM

Safemodeadminpassword=<password>

È importante notare che se eventuali configurazioni PRP manuali sono inclusi nel file di risposte e non durante il RODC preliminari sezione account di installazione graduale, è necessario aggiungere esplicitamente tutti i valori PRP predefiniti. Aggiungendo manualmente PRP esplicita configurazioni nel file di risposte sostituisce sostanzialmente PRP configurazione predefinita con le configurazioni specificate nel file di risposte.

Replica

Poiché i RODC R2 di Windows Server 2008 fornisce la replica unidirezionale, sostituendo filiale esistente domain controller con i RODC riduce il carico di prestazioni sul server testa di ponte datacenter che elaborano normalmente la replica in ingresso per la filiale di controller di dominio. Per ambienti di filiale, è importante. Aumenta la scalabilità e ridurre il numero dei server necessari nel datacenter.

RODCs also provide automatic distribution of outbound connection objects evenly across hub site bridgehead servers, something in Windows Server 2003 that required an additional tool such as Adlb.exe. For this reason, it’s recommended that you upgrade all datacenter DCs to Windows Server 2008 R2 before deploying any RODCs. Questo assicura che le connessioni di replica in ingresso siano uniformemente a carico bilanciato e impedisce la necessità di misure alternative che consentono di risolvere i problemi correlati a sovraccarico del server testa di ponte datacenter durante la distribuzione del RODC.

Questa progettazione dettagliata e sulla distribuzione può contribuire con deployment nelle filiali protetto di Windows Server 2008 R2 Server Core RODC. Per coprire gli aspetti principali di branch office caratteristiche, gli elementi di progettazione architetturale importante e opzioni di distribuzione consigliata, è possibile utilizzare questo come base per future ottimali con RODC deployment nelle filiali.

Paul Yu * (Paul.Yu@microsoft.com) is a senior consultant within Microsoft Consulting Services and has worked for Microsoft for 10 years providing enterprise infrastructure solutions to commercial corporations and public sector organizations.*

Contenuto correlato

• Miglioramenti di PKI in Windows 7 e Windows Server 2008 R2 (maggio 2009)
• Inside SharePoint: Security and Compliance with AD RMS (April 2009)
• Appassionato di All Trades: Server Core in Windows Server 20008 (February 2009)