Controladores de Dominio de solo lectura (RODC)

Raúl GonzálezIngeniero de EscalaciónMicrosoft Corporation

3

Introducción

Se trata de un nuevo tipo de Controlador de Dominio

No puede escribir en su base de datos fruto de peticiones externasNo se le permite tener replicación de salida.La replicación de claves de usuarios es controlada y monitorizada por cada RODC.Reenvía o difiere las escrituras solicitadas a DC de escritura.

4

¿Qué hace esta característica?

Reduce la exposición de informacion crítica contenida en el directorio a sites no seguros.Reduce el vector de ataque en sites no seguros.Reduce costes de administración en topologías de oficinas remotas

5

¿A quien puede interesar?

Se trata de un tipo de role diseñado y concebido para topologías de Directorio Activo de oficinas remotas.También se está utilizando para dar servicio de Directorio en DMZs e incluso directamente en Internet.

6

¿Que nueva funcionalidad ofrece esta caracteristica?

RODC Dcpromo en dos fasesPRP (Política de Replicación de Claves)Separación CriptográficaMecanismo de cacheo de clavesConjunto de Atributos Filtrados (FAS)Protocolos que permiten referencia a otro servidor (DNS LDAP) Separación de Roles Administrativos (ARS) Comportamiento de KCC (BHLB)FRS / DFSR de solo lectura.

7

¿Que cambia esta funcionalidad?DC de escritura DC de solo lectura Comportamiento nuevo

Autenticación Kerberos/NTLM

Todos Solo cuentas con credenciales cacheadas.

Reenviara a DC de escritura. Provocara el intento del cache del la clave del usuario

LDAP Lectura/ Escritura Lectura Reenviara las escrituras a un DC de escritura. (Depende de la aplicación)

Catalogo Global Si Si

Conjunto de Atributos Filtrados (FAS)

No Si Los atributos marcados como FAS no serán replicados a los RODC.

DNS Búsquedas y actualizaciones

Búsquedas las actualizaciones serán redirigidas a un DC de escritura utilizando extensiones del protocolo DNS.

Llamadas RPC (NetR, SAMR, LSASRPC, NSPI RPC)

APIs de lecturaAPIs de escritura

API de lectura(Algunas funciones RPC serán encadenas a un DC de escritura necesarias para mantener compatibilidad.)

APIs de escritura fallarán con error 0xc00000bb “STATUS_NOT_SUPPORTED” (Dependerá de la aplicación el soporte control de este error.)

FSMO Roles Todos Ninguno

Cabeza de puente Si No

Replicación (AD & FRS)

De entrada/ de salida De entrada KCC no contempla a los RODC para generar la topología. No genera conectores de salida.

Separación de roles administrativos(ARS)

No Si Ciertos usuarios serán Administradores de equipo sin ser administradores del dominio.

Funcionalidad de para NTDS

Si SI Cesa el uso del NTDS.dit para permitir tareas de mantenimiento y administración .

Core Server Si Si Interesante en entornos donde el DC estará en oficinas remotas.

8

¿Qué debo preparar para desplegar esta característica?

Un DC Windows Server 2008. RODC solo replicaran desde DC´s2008.

Extender el esquemadomainprepforestpreprodcprep

Esta soportado tener RODC en entornos mixtos 2k3 / 2k8

9

¿Disponible en todas las versiones de Windows 2008?

Disponible en todas las versiones que soporten se controladores de dominio.

Demo RODC (PRP/Pwd Cache/ARS)

demo

© 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.

The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after

the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.