Controller di dominio di Windows Server 2008 R2: pianificazione attenta dei controller di dominio di sola lettura

Paul Yu

In mancanza di strutture di sicurezza fisica, è essenziale aumentare il livello di attenzione sulla sicurezza dei dati. A tale scopo, Windows Server 2008 e R2 offrono nuovi metodi personalizzati in esclusiva per ambienti quali gli uffici remoti, in cui la sicurezza fisica potrebbe non essere implementata in modo appropriato. I controller di dominio di sola lettura sono una nuova funzionalità di Servizi di dominio Active Directory nei sistemi Windows Server e rappresentano una svolta fondamentale nell'utilizzo tradizionale dei controller di dominio.

Poiché molte tra le nuove funzionalità dei controller di dominio di sola lettura incidono sugli aspetti essenziali del processo di progettazione e distribuzione, è importante capire come utilizzarli all'interno dell'impresa. È inoltre opportuno tenere presente alcune considerazioni di progettazione e pianificazione prima di introdurre i controller nell'ambiente. I controller di dominio di sola lettura sono controller di dominio che ospitano copie complete e di sola lettura di partizioni di database Active Directory, una copia di sola lettura di SYSVOL e un set di attributi con filtro che limita la replica in ingresso di determinati dati di applicazione da controller di dominio scrivibili.

Per impostazione predefinita, i controller di dominio di sola lettura non archiviano in modo selettivo le credenziali di account utente e computer, ma è possibile configurarle a tale scopo. Questa condizione garantisce già di per sé l'utilizzo dei controller in succursali remote o reti perimetrali sprovviste del livello di sicurezza fisica in genere disponibile nelle intranet dei centri dati. I controller di dominio di sola lettura dispongono inoltre di altre funzionalità di sicurezza meno note, tra cui un account Kerberos speciale di concessione di ticket specifico per gli attacchi basati su ticket associati al controller stesso, che verrebbe compromesso.

Sebbene i controller vengano distribuiti principalmente per motivi di sicurezza, offrono inoltre una serie di vantaggi quali la gestibilità e la scalabilità aziendali. In generale, sono specifici per gli ambienti che richiedono l'autenticazione e l'autorizzazione locale, ma sono sprovvisti del livello di sicurezza fisica che consente di utilizzare controller di dominio scrivibili nel massimo della tranquillità. Sono pertanto particolarmente diffusi nelle reti perimetrali dei centri dati o nelle sedi di succursali.

Un esempio di utilizzo ottimale di un controller di dominio di sola lettura è un centro dati che richiede Servizi di dominio Active Directory, ma non è in grado di utilizzare la foresta dei servizi di dominio nella rete perimetrale a causa di vincoli di sicurezza. In questo caso i controller di dominio di sola lettura potrebbero soddisfare elevati requisiti di sicurezza e modificare pertanto l'ambito dell'infrastruttura dell'implementazione di Servizi di dominio Active Directory aziendali. Si tratta di un tipo di scenario che diverrà sempre più frequente e riflette i modelli Servizio di dominio Active Directory attuali di procedure ottimali per le reti perimetrali, ad esempio il modello di foresta aziendale esteso.

Controller di dominio di sola lettura nelle succursali

Gli ambienti più comuni per i controller di dominio di sola lettura che utilizzano Servizi di dominio Active Directory continuano a essere le succursali. Questi tipi di ambienti sono in genere costituiti da endpoint in una topologia di rete hub and spoke, dislocati in grande quantità in numerose aree geografiche, che ospitano minime popolazioni di utenti, si connettono a siti hub mediante collegamenti di rete lenti e inaffidabili e sono spesso sprovvisti di amministratori locali esperti.

Per le succursali che già ospitano controller di dominio scrivibili non sarà probabilmente necessario distribuire controller di dominio di sola lettura. In questo scenario i controller potrebbero tuttavia non solo soddisfare i requisiti esistenti relativi a Servizi di dominio Active Directory, ma addirittura superare le aspettative con un livello di sicurezza superiore, l'ottimizzazione della gestione, un'architettura semplificata e un costo totale di proprietà ridotto. Per le sedi in cui i requisiti di sicurezza o gestibilità impediscono l'utilizzo di controller di dominio, i controller di dominio di sola lettura consentono di introdurre controlli di dominio nell'ambiente ed erogare una serie di servizi localizzati e proficui.

Sebbene le nuove funzionalità e i vantaggi rendano praticamente indispensabile prendere in considerazione i controller di dominio di sola lettura, è opportuno considerare altri fattori, ad esempio i problemi di compatibilità delle applicazioni e le condizioni di impatto sui servizi, che potrebbero rendere le distribuzioni impraticabili in determinati ambienti.

Poiché ad esempio molti servizi e applicazioni abilitati per le directory leggono i dati da Servizi di dominio Active Directory, dovrebbero continuare a funzionare senza problemi con un controller di dominio di sola lettura. Se tuttavia alcune applicazioni richiedono l'accesso continuo in scrittura, non è opportuno optare per un controller di dominio di sola lettura. Questi controller dipendono inoltre dalla connettività della rete a un controller di dominio scrivibile per operazioni di scrittura. Sebbene gli errori delle operazioni di scrittura siano probabilmente alla base dei problemi più comuni relativi alle applicazioni, è opportuno considerare altre situazioni, ad esempio operazioni di lettura inefficienti o non riuscite, operazioni di scrittura-lettura-riscrittura con esito negativo e problemi generici nelle applicazioni riconducibili ai controller stessi.

Oltre ai problemi relativi alle applicazioni, le operazioni fondamentali di utenti e computer possono risultare compromesse in caso di interruzione o perdita di connettività a un controller di dominio scrivibile. Affinché ad esempio non si verifichino errori nei servizi di autenticazione di base, le password degli account devono essere inseribili nella cache e memorizzati nella cache locale del controller di dominio di sola lettura. È possibile risolvere questo problema rendendo gli account inseribili nella cache mediante Criteri di replica password di un controller di dominio di sola lettura e quindi memorizzandoli nella cache mediante prepopolamento. Anche l'esecuzione di queste operazioni richiede la connettività a un controller di dominio scrivibile.

Oltre a determinare altri problemi di autenticazione, l'assenza di connettività a un controller di dominio scrivibile incide in modo significativo anche sulle scadenze delle password e sui blocchi degli account. Finché non verrà ripristinata la connettività a un controller di dominio scrivibile, le richieste di modifica delle password e qualsiasi tentativo di sblocco manuale di un account bloccato avranno esito negativo. È fondamentale comprendere queste dipendenze e le relative modifiche nel comportamento operativo per garantire requisiti e contratti di servizio.

È possibile distribuire controller di dominio di sola lettura in diversi scenari generici: risultano ad esempio utili nelle sedi in cui non esistono controller di dominio o che ospitano controller che verranno presto sostituiti o aggiornati a una nuova versione di Windows. Sebbene ogni scenario preveda specifiche considerazioni di pianificazione complete, in questo articolo verranno trattati approcci non specifici, ma tuttavia distinti per controller di dominio di sola lettura e non per controller di dominio scrivibili.

Prepianificazione

Prima di avviare la fase di pianificazione di un controller di dominio di sola lettura, è opportuno eseguire un livello appropriato di due diligence e di prepianificazione fondamentale di Servizi di dominio Active Directory. Rientrano in questa fase alcune attività fondamentali, quali la convalida della struttura logica di Servizi di dominio Active Directory esistente e la garanzia che la struttura fisica di Servizi di dominio Active Directory e del modello di amministrazione supporti i requisiti aziendali e tecnici esistenti. Sarà inoltre opportuno considerare i requisiti hardware, strategie di aggiornamento del software e problemi noti applicabili del sistema operativo, nonché valutare i prerequisiti di Servizi di dominio Active Directory per i controller di dominio di sola lettura. Queste informazioni risulteranno fondamentali per i processi di pianificazione e distribuzione e saranno documentate in modo approfondito negli elenchi di controllo dettagliati per la distribuzione.

Installazione e gestione

Nei controller di dominio di sola lettura è disponibile una pratica funzionalità di gestibilità denominata Separazione del ruolo di amministratore, con cui viene delegata ai membri non amministratori di servizi la capacità di installare e gestire server controller di dominio di sola lettura senza concedere diritti Active Directory. Si tratta di una modifica sostanziale alle considerazioni tradizionali rispetto alla progettazione di server controller di dominio, alla delega dell'amministrazione e alle procedure di distribuzione. Questa separazione dei ruoli assume un significato sempre più importante con applicazioni critiche che richiedono l'installazione diretta in un controller di dominio o per le sedi che ospitano singoli server multifunzione.

Ulteriori ruoli dei server

In genere è opportuno eliminare dai server tutti i ruoli non necessari per il funzionamento dei controller di dominio di sola lettura. Gli unici ruoli che è pertanto necessario aggiungere ai controller di dominio di sola lettura sono i ruoli dei server di catalogo globale e DNS. È opportuno installare il ruolo del server DNS in ogni controller di dominio di sola lettura per consentire ai client DNS locali di eseguire la risoluzione DNS in assenza di connettività di rete a un controller di dominio scrivibile. Se tuttavia il ruolo del server DNS non viene installato mediante Dcpromo.exe, sarà necessario installarlo in un secondo momento. È necessario utilizzare Dnscmd.exe per integrare il controller di dominio di sola lettura nelle partizioni di directory dell'applicazione DNS che ospitano le zone integrate in Active Directory. È inoltre opportuno configurare i controller di dominio di sola lettura come server di catalogo globale per consentire l'esecuzione dell'autenticazione e delle query di catalogo globale semplice mediante il controller di dominio di sola lettura. Dal punto di vista dell'autenticazione, se il ruolo del catalogo globale non è disponibile, è possibile utilizzare la memorizzazione nella cache di gruppi universali. L'esito positivo dell'autenticazione di un controller di dominio di sola lettura può dipendere in definitiva dalla configurazione di Criteri di replica password per il controller di dominio di sola lettura.  

Posizionamento dei controller di dominio di sola lettura

Il posizionamento dei controller di dominio è cambiato in modo consistente dall'introduzione di Criteri di replica password per i controller di dominio di sola lettura. Questi tipi di controller devono essere in grado di replicare la partizione del dominio da un controller di dominio scrivibile che esegue Windows Server 2008 o Windows Server 2008 R2 nello stesso dominio, in quanto solo questi controller possono applicare i criteri di replica delle password per i controller di dominio di sola lettura. Per garantire una replica corretta, è necessario posizionare il controller di dominio scrivibile nel sito di Servizi di dominio Active Directory con il collegamento meno costo al sito contenente il controller di dominio di sola lettura.

Se non è possibile creare questa configurazione, la replica del controller di dominio di sola lettura dipenderà dall'opzione di bridge di tutti i collegamenti di sito (ovvero di transitività dei collegamenti) o dai bridge tra i collegamenti di sito contenenti il sito del controller di dominio di sola lettura e il sito del controller di dominio scrivibile. Se la transitività dei siti o i bridge dei collegamenti di sito non sono disponibili, è possibile creare nuovi collegamenti per connettere direttamente il sito del controller di dominio di sola lettura e il sito del controller di dominio scrivibile.

Non è in genere opportuno posizionare altri controller di dominio nello stesso sito di Servizi di dominio Active Directory del controller di dominio di sola lettura, in quanto le operazioni client potrebbero risultare incoerenti e determinare comportamenti imprevedibili del client. Attività di base quali l'autenticazione, le operazioni di lettura e scrittura LDAP e la modifica delle password possono avere comportamenti differenti in base a configurazioni diverse dei controller di dominio di sola lettura, alla versione Windows di un controller di dominio scrivibile e alla disponibilità della connettività di rete ad altri controller di dominio scrivibili. È inoltre opportuno mantenere tutti gli utenti e le risorse di un unico dominio in un sito di controller di dominio di sola lettura. I controller di dominio di sola lettura non consentono l'archiviazione di password di trust e richiedono l'autorizzazione tra domini per inoltrare richieste di autenticazione a controller di dominio scrivibili diversi in ogni dominio. Se si presuppone che i controller di dominio scrivibili si trovino in siti separati, tutte le richieste di autenticazione tra domini dipenderanno dalla connettività di rete e non funzioneranno in caso di assenza di quest'ultima.

Scalabilità e replica

I controller di dominio di sola lettura offrono inoltre vantaggi di scalabilità utili in caso di implementazioni di Servizi di dominio Active Directory più complesse o di dimensioni superiori. Uno di questi vantaggi è rappresentato dalla replica unidirezionale. La distribuzione di controller di dominio di sola lettura nelle succursali riduce pertanto il carico delle prestazioni nei server testa di ponte dei siti hub che elaborano in genere la replica in ingresso per i controller di dominio delle succursali. Dal punto di vista del costo totale di proprietà, viene ridotto il numero di oggetti di connessione che sarà necessario creare e gestire, nonché probabilmente anche il numero necessario di controller di dominio dei siti hub.

I controller di dominio di sola lettura apportano inoltre miglioramenti nel bilanciamento del carico che consentono di distribuire automaticamente oggetti di connessione in uscita in modo uniforme tra server testa di ponte di siti hub. Nelle versioni precedenti di Windows è necessario un intervento di routine manuale. Ora, se il controllo di coerenza delle informazioni in un controller di dominio di sola lettura rileva l'aggiunta o la rimozione di un server testa di ponte in un sito hub, viene stabilito se passare i partner di replica a una nuova testa di ponte, eseguendo un algoritmo e un bilanciamento del carico probabilistico. Se nelle succursali vengono aggiunti controller di dominio di sola lettura, il controllo di coerenza delle informazioni bilancerà anche le connessioni in ingresso tra server testa di ponte di siti hub esistenti. 

Memorizzazione di credenziali nella cache

Criteri di replica password di un controller di dominio di sola lettura determina se gli account sono inseribili nella cache del controller specifico. Per impostazione predefinita, l'elenco di elementi consentiti in Criteri di replica password indica che non è possibile memorizzare nella cache alcuna password di account e viene esplicitamente impedita anche la memorizzazione di determinati account. Questa indicazione ha priorità rispetto alle configurazioni manuali di elementi consentiti. Come indicato in precedenza, potrebbe essere necessario configurare Criteri di replica password in ogni controller di dominio di sola lettura per consentire l'inserimento nella cache delle password di account. 

È opportuno prestare la massima cautela in questa fase, in quanto le modifiche di Criteri di replica password determinano un impatto sulla sicurezza e sulla disponibilità dei servizi. Lo scenario predefinito che non prevede l'inserimento nella cache di alcun account comporta ad esempio in un livello elevato di sicurezza, ma non sarà disponibile l'accesso offline in caso di assenza di connettività di rete a un controller di dominio scrivibile. Se al contrario è possibile inserire nella cache un numero elevato di account (ad esempio, il gruppo di utenti del dominio), il livello di sicurezza risulterà notevolmente ridotto se il controller di dominio di sola lettura è compromesso, a fronte tuttavia di un livello superiore di disponibilità di servizi per gli account inseribili nella cache. A causa dell'esclusività dei requisiti tecnici e aziendali tra vari ambienti di infrastrutture, le progettazioni di Criteri di replica password varieranno in base all'organizzazione.

Dopo aver stabilito un modello di Criteri di replica password, sarà necessario configurare i criteri in ogni controller di dominio di sola lettura per poter memorizzare nella cache gli account appropriati. È in genere consigliabile configurare i criteri con espliciti elementi consentiti e non modificare l'elenco predefinito di elementi non consentiti. Questo elenco è fondamentale, in quanto impedisce la memorizzazione nella cache di credenziali di account critici (ad esempio, gli amministratori di Servizi di dominio Active Directory) nei controller di dominio di sola lettura. 

Un altro aspetto fondamentale della progettazione di Criteri di replica password consiste nel determinare se gli account inseribili nella cache verranno prepopolati con password. Per impostazione predefinita, le credenziali di questi account non verranno inserite nella cache prima dell'accesso iniziale a un controller di dominio di sola lettura se la richiesta di autenticazione viene inoltrata a un controller di dominio scrivibile di Windows Server 2008 o Windows Server 2008 R2 e le credenziali vengono replicate nel controller di dominio di sola lettura. Se pertanto la connettività di rete a un controller di dominio scrivibile non è disponibile prima dell'autenticazione degli account inseribili nella cache rispetto a un controller di dominio di sola lettura, l'accesso avrà esito negativo anche se gli account sono stati configurati come inseribili nella cache.

Per risolvere il problema è possibile prepopolare manualmente la cache della password nel momenti in cui viene configurato Criteri di replica password e gli account vengono contrassegnati come inseribili nella cache. Anche per questa operazione è necessaria la connettività di rete tra un controller di dominio scrivibile di Windows Server 2008 o Windows Server 2008 R2 e il controller di dominio di sola lettura. È possibile eseguire questa operazione durante il processo di distribuzione, in largo anticipo rispetto al primo accesso degli utenti inseribili nella cache.

È possibile utilizzare queste indicazioni essenziali sulla progettazione dell'architettura per iniziare a pianificare un controller di dominio di sola lettura. Questo articolo, in cui vengono trattate considerazioni fondamentali sulla progettazione, rappresenta un efficace punto di partenza per progettare una soluzione di controller di dominio di sola lettura completa e dettagliata. Si tratta di un processo complesso che richiede una considerevole quantità di tempo per riconciliare le considerazioni sulle nuove funzionalità e sulla progettazione rispetto all'esclusività dell'ambiente e dei requisiti di un'organizzazione.

Paul Yu* (Paul.Yu@microsoft.com) è un consulente senior presso Microsoft Consulting Services e lavora per la società da 10 anni. È responsabile di soluzioni di infrastrutture aziendali per grandi aziende commerciali e organizzazioni nel settore pubblico.*

Contenuto correlato

• BranchCache e DirectAccess: miglioramento dell'esperienza delle succursali (dicembre 2009)
• Esportare, confrontare e sincronizzare schemi di Active Directory (aprile 2009)
• Autenticazione proxy nei servizi AD LDS (dicembre 2008)