Núcleo do Windows Server 2008 Server R2: Protegendo a conexão das filiais

Paul Yu

Alguns ambientes são mais desafiador para oferecer suporte de escritório remoto. Estabelecer e manter conexões seguras apresenta muitos desafios técnicos e de procedimentos. O mesmo pode ser dito de qualquer data center para o qual um escritório remoto está conectado.

Escritórios remotos com freqüência são espalhados em uma wide area, normalmente existem muito poucas delas, cada um tem uma população relativamente pequeno de usuários, eles se conectam a sites do Centro de dados por links de rede lenta e lá raramente é um gerente de TI com experiência no site. Todos os fatores por si só poderiam representar um desafio. Quando você os estará combinando, você tem uma receita para uma dor de cabeça IT.

Embora a maioria dos ambientes de filiais geralmente apresentam um conjunto similar de características (como aqueles listados aqui), também há requisitos específicos da organização que determinam como o ambiente funciona. A importância da segurança ou o grau ao qual tecnologia de recursos são centralizados pode diferir da estrutura de um escritório remoto para outro. Independentemente de como funciona o escritório da filial, o Windows Server 2008 R2 apresenta novas oportunidades para implantar a tecnologia atualizada que torna fundamental altera como implantar e aproveitar os controladores de domínio (DCs) em ambientes remotos.

Uma solução segura

A proteção de implantações de escritório filial é um cenário comum para o ADDS (Active Directory Domain Services). As características exclusivas e restrições de ambientes remotos são adequadas para o ADDS. Windows Server 2008 R2 possui um conjunto considerável de recursos novos e atualizados abordagens para implantar o ADDS. Explore Let’s como implantar o Windows Server 2008 R2 nesse tipo de ambiente de maneira segura. Abordaremos as características de escritório de filial típica, os elementos de design de arquitetura principal e opções de implantação recomendada específicas para implantar o Windows Server 2008 R2.

O aspecto mais notável do Windows Server 2008 R2 envolve a controladores de domínio somente leitura (RODCs). Em geral, os RODCs são implantados em locais que exigem que os serviços de controlador de domínio, mas não têm as medidas de segurança física adequada. Devido a segurança aprimorada e recursos aprimorados de gerenciamento, substituir os controladores de domínio existentes com os RODCs pode exceder requisitos relacionados ao ADDS existentes em vários ambientes de filiais. Para os locais onde não existem atualmente não há controladores de domínio, os RODCs representam uma oportunidade substancial para apresentar o ADDS no ambiente.

Outro fator importante aqui é a versão atualizada do Server Core, uma opção de instalação do Windows Server 2008 R2 fornece um ambiente mínimo para a execução de funções de servidor específicas, com suporte como, por exemplo, a função de controlador de domínio.  Selecionar o Server Core instala apenas o subconjunto de arquivos binários necessários para a função de servidor instalado, o que, nesse caso, seria o RODC. Esta instalação mínima resulta em menor superfície de ataque, redução de manutenção e gerenciamento mais fácil. Também ajuda o RODC servidor executados em menos recursos.

Porque muitos desses fatores podem ajudar a aliviar restrições normalmente associadas a ambientes de filiais, o núcleo do servidor do Windows Server 2008 R2 e os RODCs são uma opção atraente para todos os ambientes remotos. As seguintes considerações de implantação de entrar em detalhes sobre as opções de implantação e a configuração específicas para componentes do Server Core e RODC.

Esta configuração exata é uma configuração bastante comum, apesar de não pode atender aos requisitos de escritório filial cada organização. ou ocorrência, a maioria dos aspectos principais dessa configuração já são destacados do guia de práticas recomendadas atual para o Windows Server 2008 Security Compliance Management Toolkit.

Aqui está um run-down das considerações de implantação importantes associado com o estabelecimento de uma solução segura de RODC de núcleo de servidor do Windows Server 2008 R2 para ambientes de filiais.  Isso abrange as suposições de solução, os elementos de design importantes, pré-requisitos de infra-estrutura e outras opções de implantação detalhado.

Planejamento de design preliminares

Como com qualquer implantação do controlador de domínio, você precisa tomar inúmeras decisões de design essenciais antes de implantação. Algumas dessas decisões incluem a avaliação de requisitos de hardware, ordem de atualização de decisão da estratégia de atualização de software, determinando a compilação de servidor do RODC e identificando o controlador de domínio. Essas decisões determinarão o processo geral de implantação e as configurações disponíveis.

Da perspectiva de avaliação de hardware, você deve determinar se o hardware do controlador de domínio existente está em conformidade com os requisitos recomendados. Há especificações bem documentadas, para que eles provavelmente não irão representar um problema na maioria das organizações. Com relação aos caminhos de atualização de software com suporte, existem várias opções que variam entre as versões, edições e opções de instalação diferente do Windows.

Núcleo de servidor requer uma instalação limpa do escritório da filial por controladores de domínio. Não é possível fazer a atualização para esta opção de instalação. Com relação a funções de servidor instaladas por motivos de segurança, geralmente é recomendável que todas as funções de servidor e serviços desnecessários para o RODC para a função de ser eliminados da compilação do servidor. Essa solução RODC estipula que o Windows Server 2008 R2 Server Core RODCs host sem serviços adicionais ou as funções de servidor diferente do catálogo global e o servidor DNS, que é uma abordagem de cada vez mais comum entre empresas.

A ordem em que você implante seus controladores de domínio é um outro aspecto essencial do processo. A ordem recomendada envolve primeiro ADDS instalando em centros de dados em servidores de membro pristinely internos do Windows Server 2008 R2 para cada domínio, a partir da raiz da floresta e, em seguida, transferindo todas as funções de mestre de operações aplicável para cada domínio para esses controladores de domínio. Continue a implantação do Centro de dados locais e totalmente encerrar todos os controladores de domínio legados nesses locais. Isso ajuda a se estabilizar ADDS em um local well-administered grande. Ele também contribui para simplificar o processo de implantação do RODC propriamente dito.  Depois que você o tenha substituído o controladores de domínio do data center, você pode começar na filial da empresa controladores de domínio.

Preparação de domínio e floresta do Windows Server 2008 R2

Antes de implantar um único controlador de domínio R2 Windows Server 2008 para o ambiente existente, você deve preparar a floresta do Active Directory e os domínios executando adprep. exe. Em primeiro lugar, atualize o esquema de floresta no controlador de domínio que hospeda a função de mestre de operações do esquema com o comando de adprep /forestprep. Neste ponto, você pode atualizar a floresta para permitir a instalação do RODC com o comando de /rodcprep adprep. Para preparar cada domínio filho, você deve executar o comando de adprep /domainprep /gpprep no controlador de domínio que hospeda a função de mestre de infra-estrutura.

Por último, você deve implantar pelo menos um controlador de domínio gravável que executam o Windows Server 2008 R2 no mesmo domínio em que os RODCs residirá. Como uma anotação rápida, para ambientes em que você executou a versão do Windows Server 2008 de comandos Adprep. exe, atualizando para o Windows Server 2008 R2 ainda exige que você execute novamente a todos os comandos com a versão R2, com exceção de adprep /rodcprep , que não fará nenhuma alteração da versão do Windows Server 2008.

Posicionamento do RODC

Da perspectiva do design de arquitetura, as considerações de posicionamento do RODC foram alteradas com a introdução de diretiva de replicação de senha (PRP). Por exemplo, os RODCs devem ser capazes de estabelecer a replicação da partição de domínio com um controlador de domínio do Windows Server 2008 R2 gravável. Porque a maioria dos ambientes de filiais inscrever-se a topologias de rede de hub e spoke, ADDS do RODC sites têm mais probabilidade de ser separados por um único link de site para o site do data center, em que os controladores de domínio graváveis do Windows Server 2008 R2 estão localizados de menor custo.

Para instâncias em que isso não podem ser aplicadas, você poderá implantar controladores de domínio graváveis adicionais em sites intermediários, implantar novas pontes de links ou criar novos vínculos de site para controlar a maneira como você cria conexões de replicação. Você também deve garantir que os outros controladores de domínio não são colocados no mesmo site do ADDS como o RODC. Essa condição deve ser um problema-não para a maioria dos ambientes de filiais, que geralmente um número mínimo de servidores de host. Para locais de hospedagem de vários controladores de domínio, implantar os RODCs pode simplesmente não seja uma solução aceitável.

Cache de credencial

Talvez o elemento de segurança mais importante aqui é o modelo de cache de credenciais. Este é um componente crítico do projeto que terá que estabelecer cuidadosamente antes de iniciar a implantação do escritório de filial. Para muitos ambientes, o modelo “ armazenável em cache, algumas contas ” provavelmente será o modelo mais comuns e apropriado.

Essa abordagem, onde apenas as contas locais em um site do RODC são configuradas como armazenável em cache, fornece as condições adequadas em relação ao princípio do menor privilégio e disponibilidade do serviço. Uma desvantagem dessa abordagem é que ela resulta em maiores responsabilidades administrativas, pois PRP de cada RODC será exclusiva e requer operacionais fornecimento e cancelamento de contas, se necessário.

Como lidar com uma viagem de usuários é outra questão de design comum esperado nos vários ambientes de filiais. Geralmente, ambientes de filiais incluem usuários e recursos que talvez exijam a suas contas sejam armazenadas em cache em determinados RODCs para fins de disponibilidade do serviço. O ideal é que essas contas poderiam ser provisionadas antecipadamente, semelhante aos usuários recém-contratados. No entanto, devido à natureza aleatória e imprevisível do comportamento de viagem, essa opção geralmente não é possível, especialmente para um grande número de recursos que trafegam entre vários locais do RODC.

Para resolver esse problema, você pode adicionar contas adicionais para o PRPs apropriado do RODC. Para casos extremos em que precisam de um grupo de contas de acesso é permitidos em todos os PRPs do RODC, e você também pode aproveitar o grupo padrão “ permitido somente leitura Domain Controller senha Replication Group. ”  No entanto, esse grupo deve ser usado com cuidado, como participação no grupo de segurança torna todos os membros armazenável em cache em todos os RODCs.

Outra consideração envolve a contas armazenável em cache, na verdade, são armazenados em cache. Por padrão, isso não ocorrer até após o logon inicial em um RODC quando a solicitação de autenticação é encaminhada para um Windows Server 2008 R2 gravável, controlador de domínio e as credenciais duplicadas para o RODC. Porque os ambientes de filiais que hospedam controladores de domínio existentes provavelmente possuem requisitos de pré-existente em relação à disponibilidade de serviço, a opção para preencher previamente as credenciais dos RODCs pode ser importante.

Isso pode ser especialmente importante durante a implantação inicial de um RODC quando todas as contas no site do RODC ainda têm que suas credenciais em cache. Tão logo o PRP é configurado e contas são marcados como armazenáveis em cache, você pode usar senhas preenchida previamente em um RODC. No entanto, é importante observar que, usando os dois meios tradicionais para pre-populating senhas tem algumas limitações. No momento, usando o console do Active Directory Users and Computers ou o comando repadmin não permite o uso de grupos de segurança.

Como pre-populating senhas de uma conta por vez ou em pequenos lotes com base nas unidades organizacionais pode não ser prático, você pode usar os grupos de segurança de uma forma de script. Por exemplo, para utilizar o mesmo grupo de segurança autoriza o cache de credenciais em um determinado RODC, este procedimento pode ser usado:

For /F %%a in ('"dsquery group dc=corp,dc=contoso,dc=com -name <Groupname>| dsget group -members"') do (Repadmin /rodcpwdrepl <RODCname> <RWDCname> %%a)

Instalação de preparo do RODC

Dos dois DC métodos de instalação fornecidos pelo Windows Server 2008 R2, a opção de instalação em etapas é preferível a instalação direta. O método alternativo direto é igual ao processo tradicional, disponível em versões anteriores do Windows. Em etapas de instalação usa ARS (separação de função do administrador), um recurso do Windows Server 2008 R2, que delega a administradores de serviço que não a capacidade de instalar e administrar servidores do RODC, sem conceder direitos do Active Directory.

Da perspectiva de segurança, instalação em etapas elimina a necessidade de usar credenciais altamente privilegiadas em filiais que não seja seguros. Por esse motivo, os argumentos com a recomendação de controladores de domínio ser testados nos dados do Centro de suporte de escritórios remotos pode não se aplicam mais. Em estágios pela instalação separa o processo de instalação do RODC em dois estágios.

O primeiro estágio requer que um administrador de serviço do ADDS pre-create uma conta de computador para o RODC e fornecer as configurações, como o nome do computador, o site apropriado do ADDS, as funções de servidor para instalar, a configuração de PRP e a delegação ARS. Como prática recomendada, o administrador delegado deve ser representado por um grupo de segurança e cada membro deve ter suas credenciais armazenadas em cache no RODC. A segunda etapa envolve o delegado usando o seu administrador do servidor RODC de não-ADDS para ingressar em um servidor de grupo de trabalho para a conta pré criada do RODC e concluir o processo de promoção de RODC de credenciais de administrador de serviço.

Promoção de RODC de código-fonte

Para a fonte de promoção de RODC, essa configuração usa a instalação da opção de instalação do Media (IFM) em conjunto com a instalação em etapas. Essa opção reduz significativamente a quantidade de dados replicados para o RODC durante a instalação do ADDS. Usando o Ntdsutil. exe em um controlador de domínio do Windows Server 2008 R2 gravável, existem quatro tipos de mídia de instalação disponíveis. Esses quatro apenas duas são pertinentes aqui — RODC e o RODC de SYSVOL.

A mídia do RODC é semelhante da mídia de instalação completa, mas não contém os segredos armazenados em cache, como senhas. Este é um recurso importante de uma perspectiva de segurança do escritório de filial. O único requisito para produzir a mídia do RODC é que você precisa ter um DC gravável do Windows Server 2008 R2 instalado. No entanto, a segunda mídia de instalação, o RODC de SYSVOL, requer muito mais de uma perspectiva de infra-estrutura. Embora o Ntdsutil. exe criará o RODC com mídia em SYSVOL, usar essa mídia durante a instalação, verifique se replicação de arquivos distribuído System (DFS-R) para a replicação de SYSVOL, que requer um nível funcional do domínio do Windows Server 2008 R2.

Considerando a maioria das organizações com filiais ambientes muito provavelmente não atenderá nessa condição, que opção de usar a mídia provavelmente ficará indisponível até que a implantação inicial for concluída. No entanto, uma vez que esta etapa do projeto é obtida, migrando para o DFS-R e usando o RODC e o RODC com mídia de instalação do SYSVOL significativamente minimizará a replicação de diretório. Ele também fará com que ramificação futura instalando controladores de domínio de empresa muito mais eficiente.

Executar o DCPROMO

O Assistente de instalação do Active Directory Domain Controller não estarão disponíveis como implantar essa configuração, pois ele usa os RODCs executando o Windows Server 2008 R2 Server Core. Não é possível usar isso durante a promoção de RODC de real. Portanto, juntamente com a instalação em etapas com IFM, um arquivo autônomo com Dcpromo. exe irá instalar a função de controlador de domínio. A partir de um ponto de vista da capacidade de gerenciamento e segurança, promove a esse aspecto da solução segura e consistente do controlador de domínio crie as práticas recomendadas, que ajuda a manter a configuração de segurança do ADDS e em todo o ambiente de escritório de filial.

Além disso, práticas de criação automatizado, previsível e reproduzível podem minimizar a possibilidade de software não autorizado, serviços e configurações que estão sendo introduzidas no processo de compilação por meio de intervenção manual. Este é um exemplo do comando dcpromo e um arquivo de resposta de exemplo simples:

DCPROMO /unattend:c:\unattend.txt

[DCINSTALL]

ReplicaDomainDNSName=corp.contoso.com

UserDomain=corp

UserName=corp\<delegated RODC security group>

Password=*

ReplicationSourcePath=C: \IFM

Safemodeadminpassword=<password>

É importante observar que, se nenhuma configuração manual de PRP está incluídas no arquivo de resposta e não durante a RODC conta pre-creation seção de instalação em etapas, você deve adicionar explicitamente todos os valores PRP padrão. Adicionar manualmente os PRP explícita as configurações no arquivo de resposta essencialmente substitui a configuração de PRP padrão com as configurações são especificadas no arquivo de resposta.

Replicação

Como os RODCs do Windows Server 2008 R2 fornece replicação unidirecional, substituir o escritório da filial por controladores de domínio existente com os RODCs reduz a carga de desempenho em servidores de ponte de datacenter normalmente processar a duplicação de entrada para o escritório da filial por controladores de domínio. Para ambientes de filiais, isso é significativo. Ela aumenta a escalabilidade e pode reduzir o número total de servidores necessários no data center.

Os RODCs também fornecem a distribuição automática de objetos de conexão de saída igualmente entre os servidores de ponte do site de hub, algo no Windows Server 2003, que exigia uma ferramenta adicional, como Adlb.exe. Por esse motivo, é recomendável que você atualize todos os controladores de domínio do data center para Windows Server 2008 R2 antes de implantar os RODCs. Isso garante que as conexões de duplicação de entrada são igualmente com balanceamento de carga e evita a necessidade de medidas alternativas que corrige problemas associados a sobrecarga do servidor de ponte de data center durante a implantação do RODC.

Esse design detalhado e orientações de implantação podem ajudar com a implantação de escritório filial seguro do Windows Server 2008 R2 Server Core RODCs. Abordando os principais aspectos das características de escritórios de filiais, os elementos de design arquitetônico importantes e opções de implantação recomendada, você pode usar isso como base para obter as práticas futuras implantações de escritório de filial RODC.

Paul Yu (Paul.Yu@microsoft.com) é consultor sênior em serviços de consultoria translation from VPE for picture itExclMark e trabalhou por translation from VPE for picture itExclMark há 10 anos, fornecendo soluções de infra-estrutura comerciais de empresas e organizações de setor público de empresa.

Conteúdo relacionado

• PKI Enhancements in Windows 7 e o Windows Server 2008 R2 (maio de 2009)
• Explorando o SharePoint: Segurança e conformidade com o AD RMS (abril de 2009)
• Especialista de todas as transações: O Server Core no Windows Server 20008 (fevereiro de 2009)