Windows Server 2008 R2 Server Core:保障分公司連線的安全
Paul Yu
幾個環境都比遠端辦公室支援更具挑戰性。 建立及維護安全的連線提供主應用程式的技術和程序的挑戰。 相同可以說的任何連線到遠端的辦公室的資料中心。
遠端的辦公室通常展現寬的區域上,通常有相當的幾個、 各有一個相對較小的使用者人數、 它們連線到資料中心網站透過慢速網路的連結和有 ’s 很少技術的 IT 管理員在站台上。 每個單獨的因素會造成一項挑戰。 合併它們時您就會有一個配方的 IT 麻煩。
雖然大部分的分支辦公室環境通常會展示一組類似的特性 (如這裡所列的那些),也有組織的特定需求,判斷環境的運作方式。 安全性或以哪一種技術的資源集中式的程度的重要性可能會有所不同到另一個遠端的辦公室架構。 不論任何分公司的作業方式,Windows Server 2008 R2 會呈現新的機會來部署更新讓基本的技術變更如何部署,並運用在遠端的環境中的網域控制站 (DC)。
安全的方案
設定分公司部署的安全性是最常見的案例的 Active Directory 網域服務 (ADDS)。 唯一的特性和遠端的環境的條件約束是適用於 ADDS。 Windows Server 2008 R2 有相當多的新功能,並更新部署 ADDS 的方法。 let’s 探索如何以安全的方式部署 Windows Server 2008 R2,在這種環境。 我們涵蓋一般的分支辦公室的特性、 關鍵的架構設計元素和特定部署 Windows Server 2008 R2 的建議的部署選項。
最值得注意的長寬的 Windows Server 2008 R2 牽涉到唯讀網域控制站 (RODC)。 通常就說 RODC 會部署在需要 DC 的服務,但缺乏適當的實體安全性措施的地方。 由於的改良的安全性和管理增強的功能,以 RODC 取代現有的 DC 可能會超過現有 ADDS 相關的需求,在許多分支辦公室環境中。 位置的目前有沒有 DC,RODC 代表實質的機會 ADDS 引入環境。
這裡另一個重要因素是更新的版的伺服器核心中提供最少的環境,以執行特定的支援的伺服器角色,如 DC 角色的 Windows Server 2008 R2, 的安裝選項。 選取伺服器核心時,只會安裝二進位檔案所需的就是這種情況下 RODC 的 [已安裝的伺服器] 角色的子集。 這個最小安裝會產生降低被攻擊的風險、 降低的維護和更容易管理。 它也會協助 RODC 伺服器執行較少的資源上。
因為許多這些因素可以幫助減輕通常關聯分支辦公室環境的條件約束,Windows Server 2008 R2 Server Core 和 RODC 會吸引人的選項為所有遠端的環境。 下列部署考量移到詳細資料上部署和設定選項特定伺服器核心和 RODC 的元件。
雖然可能不符合每個組織 ’s 分支辦公室需求是很常見的安裝在此確切的設定。 或執行個體,大部分的這項設定的主要方面已醒目提示目前在 Windows Server 2008 安全性相容性管理工具組的最佳作法指南中。
這裡 ’s run-down,以建立安全的 Windows Server 2008 R2 伺服器核心 RODC 解決方案的分支辦公室環境相關聯的重要部署考量事項。 涵蓋了解決方案假設、 重要的設計元素、 基礎結構必要條件及其他詳細的部署選項。
初步設計規劃
如同任何 DC] 部署,您必須作出許多重要的設計決策,才能部署。 這些決策的部份包括評估硬體需求,決定軟體升級策略、 判斷 RODC 的伺服器組建和識別 DC 升級順序。 這些決策會聽寫整體的部署程序和可用的組態。
從一個硬體評估觀點來看,您必須決定您現有的 DC 硬體是否符合建議的需求。 因此這些可能不會造成的問題,對大多數組織來說,是制訂的規格。 來支援的軟體升級的路徑方面有一些跨版本、 版本和 Windows 的不同的安裝選項不同的選項。
伺服器核心需要分公司 DC 的全新的安裝。 沒有任何方法,升級到這個安裝選項。 為了安全性的目的的已安裝的伺服器角色與相關它通常建議使用所有的伺服器角色和服務不需要的函式 RODC 被消滅伺服器組建。 這個 RODC 方案 stipulates Windows Server 2008 R2 伺服器核心 RODC 主機沒有其他服務或的通用類別目錄和是越來越普遍的方法在企業組織之間的 DNS 伺服器以外的伺服器角色。
部署您的 DC 的順序是程序的另一個重要的長寬。 建議的順序牽涉到第一個安裝 ADDS 中每個的網域的 pristinely 建置 Windows Server 2008 R2 成員伺服器上的資料中心開始樹狀目錄的根,然後將所有適用的作業的每個網域主機角色轉移到這些 DC。 繼續部署資料中心位置,並完全解除委任所有舊版的 DC,在這些網站。 這可幫助穩定 ADDS 大型、 well-administered 位置中。 它也提供簡化 RODC 部署程序本身。 一旦您取代資料中心 DC,您可以開始在分公司 DC 上。
Windows Server 2008 R2 樹系和網域準備
現有的環境中部署單一的 Windows Server 2008 R2 DC 之前, 您必須藉由執行 Adprep.exe 準備 Active Directory 樹系和網域。 首先,更新樹系結構描述,裝載 adprep /forestprep 命令在架構操作主機角色的 DC 上。 在此時,您可以更新樹系允許 RODC 安裝使用 adprep /rodcprep 指令。 若要準備每一個子網域您必須執行 adprep /domainprep /gpprep 指令在 DC 上裝載基礎結構主機角色。
上次,您必須部署至少一個可寫入的 DC,執行 Windows Server 2008 R2 在相同的網域,RODC 所在的位置。 為您用來執行 Windows Server 2008 版本 Adprep.exe] 命令的環境的快速筆記升級到 Windows Server 2008 R2 仍然需要重新執行與 R2] 版本的 adprep /rodcprep ,使得從 Windows Server 2008 版本沒有變更的所有命令。
RODC 位置
從架構設計的觀點 RODC 位置考量已經變更與介紹密碼複寫原則 (PRP)。 就例如 RODC 必須能夠建立與 Windows Server 2008 R2 可寫入的 DC 的網域磁碟分割複寫。 因為大多數的分支辦公室環境訂閱中樞和支點網路拓樸,RODC 新增站台就會是最有可能用到 Windows Server 2008 R2 可寫入的 DC 的所在位置,資料中心站台的站台連結的成本最低的是單一分隔。
執行個體,這可能不會套用,您能夠部署其他可寫入的 DC 中介的站台、 部署新的站台連結橋接器,或建立新的站台連結,來控制複寫連線的建立方式。 您也必須確定其他 DC aren’t 置於相同 ADDS 網站為 RODC。 這種情況被應該是一個非-問題的大多數的分支辦公室環境,這通常裝載伺服器的最小數目。 裝載多個 DC 的位置為部署 RODC 可能只是不是可接受的方案。
認證快取
或許最重要安全性元件這裡是認證快取的模型。 這是一種重要的設計元件,必須仔細地建立之前啟動分支辦公室部署。 許多的環境的 「 快取少數帳戶 」 模型可能是最常見且最適當的模型。
這種方法,只在 RODC 上的本機帳戶設定為可快取,提供適當的條件,以最少的權限和服務可用性的原則。 這種方法的一個缺點是它產生中增加的管理責任,因為每個 RODC ’s PRP 將是唯一的且需要操作的佈建和 de-provisioning 帳戶為必要。
您如何處理出差的使用者會預期許多分支辦公室環境中的另一個常見設計問題。 通常分支辦公室環境包含使用者和可能需要某些 RODC 上的快取其帳戶的服務可用性之用的資源。 在理想的情況下,這些帳戶就會提供在就事先類似於新進的使用者。 但是,到旅遊行為隨機且無法預期本質,因為這個選項通常是不可能特別是針對大量的許多 RODC 位置上傳輸的資源。
若要解決此問題中,,您可以將額外的帳戶加入適當的 RODC PRPs。 對極端的情況其中一群帳戶需要允許存取所有的 RODC PRPs 上,您也可以利用 「 允許唯讀網域控制站密碼複寫群組 」 上的 [預設] 群組。 但是,當此安全性群組中的成員資格進行所有的成員可快取所有 RODC 上,應該是仔細,使用此群組。
另一個考量包括當可快取的帳戶實際上會快取。 預設情況下,wouldn’t 發生這個直到初始登入後向 RODC 驗證要求轉送到一個 Windows Server 2008 R2 可寫入 DC 及複寫到 RODC 的認證。 因為裝載現有的 DC 最有可能的分支辦公室環境擁有預先存在的需求,關於服務可用性,選擇預先填入在 RODC 上的認證可能很重要。
這可能會特別重要 RODC 在初始部署期間時 RODC 站台中的所有帳戶都尚未快取他們的認證。 只要在設定 [PRP,並帳戶會標示為可快取可以使用預先填入的密碼在 RODC 上。 但是,它 ’s 重要附註的 pre-populating 密碼中使用兩個的傳統方法會有一些限制。 目前,使用 [Active Directory 使用者和電腦] 主控台或 repadmin 命令並不允許安全性群組的使用方式。
因為 pre-populating 密碼一個帳戶,一次,或根據組織單位的小型批次中可能不會實際,您可以使用安全性群組,以執行指令碼的方式。 對於執行個體來利用同一個授權特定 RODC 上的認證快取的安全性群組,下列可能會使用:
For /F %%a in ('"dsquery group dc=corp,dc=contoso,dc=com -name <Groupname>| dsget group -members"') do (Repadmin /rodcpwdrepl <RODCname> <RWDCname> %%a)
RODC 分段安裝
兩個 DC 安裝方法所提供的 Windows Server 2008 R2,分段的安裝選項會比直接安裝好。 直接的替代方法等於可用在舊版的 Windows 傳統的程序。 分段的安裝使用系統管理員角色分隔 (ARS),在委派給非服務系統管理員的 Windows Server 2008 R2 的功能能力來安裝和管理 RODC 伺服器,而不授與 Active Directory 的權限。
從安全性的觀點分段的安裝移除可能不安全的分支辦公室位置中使用高度提高權限的憑證需求。 此引數,建議您將 DC 因為原因而被接移在資料中心,以支援遠端辦公室可能不再適用。 分段的安裝會分隔成兩個階段 RODC 的安裝程序。
第一個階段需要 ADDS 服務系統管理員預先建立的電腦帳戶,RODC 的並提供安裝 PRP 組態和 ARS 委派的伺服器角色的設定例如電腦廠商的姓名適當的 ADDS 站台。 作為最佳的作法委派的系統管理員應由安全性小組,以及每個成員都應該有他在 RODC 上快取的認證。 第二個階段牽涉到在委派 RODC 伺服器系統管理員,他使用非-新增服務加入預先建立的 RODC 帳戶] 和 [完成 RODC 的升級程序的工作群組伺服器的系統管理員認證。
RODC 升級來源
RODC] 升級來源這項設定,請使用分段的安裝從媒體 (IFM) 安裝選項一起安裝。 這個選項會大幅降低複寫至 RODC ADDS 安裝期間的資料量。 在 Windows Server 2008 R2 可寫入的 DC 上,使用 Ntdsutil.exe,有四種可用的安裝媒體。 這些的四個只能有兩個是相關這裡 — RODC 並與 SYSVOL RODC。
RODC 媒體完整安裝] 媒體類似,但不包含快取的機密資料,例如密碼。 這是重要的功能,從分支辦公室安全性的觀點。 RODC 媒體會產生唯一的要求是您必須有安裝的 Windows Server 2008 R2 可寫入的 DC。 但是,第二個安裝媒體與 SYSVOL,RODC 需要很多從基礎架構的觀點來看。 雖然 Ntdsutil.exe 將會建立 RODC SYSVOL 媒體,在安裝期間使用該媒體需要的分散式檔案系統 (DFS-R) 的複寫需要的 Windows Server 2008 R2 的網域功能等級的 SYSVOL 複寫。
給定的大部分的組織,與分公司環境最有可能不符合這項條件使用此媒體] 選項將最有可能是無法使用直到完成初始部署。 但是,一旦達到這個階段性目標,移轉至 DFS-R,並將 RODC 和 RODC SYSVOL 安裝媒體可以大幅減少目錄複寫。 它也將安裝未來的分支辦公室 DC 更有效率。
執行 DCPROMO
當您部署這項設定,因為它使用執行 Windows Server 2008 R2 Server Core RODC,將無法使用 [Active Directory 網域控制站安裝精靈。 您 can’t 實際 RODC 升級時使用。 因此,除了分段 IFM 與安裝,Dcpromo.exe 的自動安裝檔案將安裝 DC 角色。 從安全性和管理性的觀點來看這方面的解決方案可提升安全,而且一致的 DC 建置實務作法有助於維持 ADDS 安全性和設定跨分支辦公室環境。
在就另外自動化、 可預測,且可重複的建置作法可能降低未經授權的軟體、 服務和組態建置程序,透過手動介入的情況下被引入的可能性。 下列是 dcpromo 命令和簡單的範例回應檔案的範例:
DCPROMO /unattend:c:\unattend.txt
[DCINSTALL]
ReplicaDomainDNSName=corp.contoso.com
UserDomain=corp
UserName=corp\<delegated RODC security group>
Password=*
ReplicationSourcePath=C: \IFM
Safemodeadminpassword=<password>
’s 請注意,如果任何手動 PRP 組態包括在回應檔案中,並不在 RODC 帳戶指定區段的分段安裝,您必須明確地新增所有預設 PRP 值很重要的。 以手動方式新增明確 PRP 回應檔中的組態基本上取代預設 PRP 組態在回應檔案中所指定的任何設定。
複寫
Windows Server 2008 R2 RODC 提供單向複寫,以 RODC 取代現有分公司 DC 就可以減少正常處理輸入的分公司 DC 的複寫的資料中心 Bridgehead 伺服器的效能負荷。 分支辦公室的環境這非常重要。 它會增加延展性,並可降低整體的 DataCenter 中所需的伺服器數目。
RODC 也提供輸出連線物件的自動的散發平均橫跨集線器站台 Bridgehead 伺服器,需要額外的工具,例如 [Adlb.exe 的 Windows Server 2003 中的項目。 這個原因,所以建議您升級所有的資料中心 DC 部署任何 RODC 之前 Windows Server 2008 R2。 如此可確保的傳入的複寫連線是平均的負載平衡,並可避免處理期間 RODC 部署相關聯資料中心 Bridgehead 伺服器多載的問題的其他量值的需要。
此詳細的設計和部署指南可以幫助與安全的分支辦公室部署 Windows Server 2008 R2 伺服器核心 RODC。 所涵蓋的分支辦公室的特性、 重要的架構設計元素和建議的部署選項的金鑰方面,您可以使用這為基礎的未來與 RODC 分公司部署的最佳作法。
Paul Yu (Paul.Yu@microsoft.com) 是 Microsoft 顧問服務內的資深顧問和 Microsoft 曾 10 年的時間,提供企業商業公司和公用磁區組織的基礎結構解決方案。