Lektion 2: Konfigurieren von schreibgeschützten Domänencontrollern 255
Ein anderes Problem ist, dass Änderungen an der Active Directory-Datenbank in einem
Zweigstellendomänencontroller in den zentralen Standort und alle anderen Domänencon-
troller in der Umgebung repliziert werden. Daher ist die Integrität des Unternehmensver-
zeichnisdienstes gefährdet, wenn die Daten eines Domänencontrollers in einer Zweigstelle
beschädigt werden. Wenn beispielsweise ein Zweigstellenadministrator einen Domänencon-
troller aus einer veralteten Datensicherung wiederherstellt, kann das Auswirkungen auf die
gesamte Domäne haben. Da das IT-Personal in einer Zweigstelle oft weniger Erfahrung hat
als das Team in der Hauptstelle, kann es passieren, dass ein inkompetenter Administrator
den ganzen Standort lahmlegt.
Ein Zweigstellendomänencontroller erfordert unter Umständen Wartung, etwa um einen
neuen Gerätetreiber zu installieren. Um Wartungsaufgaben auf einem Standarddomänen-
controller auszuführen, müssen Sie sich als Mitglied der Administratorengruppe dieses
Domänencontrollers anmelden. Das bedeutet, dass Sie ein Administrator der Domäne sind.
Oft ist es nicht zu verantworten, einem Supportteam in einer Zweigstelle so umfangreiche
Berechtigungen zu gewähren.
Verwenden von schreibgeschützten Domänencontrollern
Der RODC wurde für den Einsatz in einer Zweigstelle entworfen. Ein RODC ist ein Domä-
nencontroller, der eine Kopie aller Objekte in der Domäne und aller Attribute außer vertrau-
lichen Attributen (Geheimnissen) verwaltet. Er speichert also beispielsweise keine Eigen-
schaften im Zusammenhang mit Kennwörtern. Wenn sich ein Benutzer in der Zweigstelle
anmeldet, empfängt der RODC die Anforderung und leitet sie an einen Domänencontroller
am zentralen Standort weiter, damit dort die Authentifizierung durchgeführt wird.
Sie
können für den RODC eine Kennwortreplikationsrichtlinie (Password Replication Policy,
PRP) konfigurieren, die festlegt, welche Benutzerkonten der RODC zwischenspeichern darf.
Ist
der Benutzer, der sich anmeldet, in der PRP aufgelistet, speichert der RODC die Anmelde-
informationen dieses Benutzers in seinem Cache. Wenn der Benutzer das nächste Mal eine
Authentifizierung anfordert, kann der RODC diese Aufgabe daher lokal erledigen. Während
sich Benutzer anmelden, die in der PRP eingetragen sind, baut der RODC seinen Cache mit
Anmeldeinformationen auf, sodass er die Authentifizierung für diese Benutzer lokal durch-
führen kann. Diese Konzepte sind in Abbildung 5.11 dargestellt.
RODCs unterstützen Technologien wie AD FS, DHCP (Dynamic Host Configuration Proto-
col), DNS, Gruppenrichtlinien (Group Policy, GP), verteiltes Dateisystem (Distributed File
System, DFS), MOM (Microsoft Operations Manager) und System Center Configuration
Manager 2007. Sie eignen sich hervorragend für die Virtualisierung, etwa mit Hyper-V, weil
sie nicht besonders viel Netzwerkverkehr verursachen.
Falls der RODC kompromittiert oder gestohlen wird, bleiben die Auswirkungen auf die
Sicherheit sehr begrenzt. Sie brauchen lediglich die Kennwörter der Benutzerkonten zu
ändern, die auf dem RODC zwischengespeichert waren. Beschreibbare Domänencontroller
verwalten eine Liste aller zwischengespeicherten Anmeldeinformationen auf den einzelnen
RODCs. Wenn Sie das Konto des gestohlenen oder kompromittierten RODCs aus AD DS
löschen, haben Sie die Möglichkeit, die Kennwörter aller Benutzerkonten zurückzusetzen,
die auf dem betreffenden RODC zwischengespeichert waren.
256 Kapitel 5: Konfigurieren von AD LDS und RODCs
Abbildung 5.11 Betrieb von RODCs in Zweigstellen
Verwenden von BitLocker und Syskey auf RODCs
BitLocker ist eine Lösung zur Vollverschlüsselung eines Laufwerks, die auf TPM-1.2-
fähiger (Trusted Platform Module) Hardware läuft, um den Verschlüsselungsschlüssel zu
speichern. Es kann über Gruppenrichtlinien konfiguriert werden. BitLocker ist besonders
für Server nützlich, die in Zweigstellen aufgestellt sind, weil sie physisch oft weniger
Schutz genießen als die Computer im zentralen Standort. Wenn ein Dieb einen BitLocker-
geschützten Server stiehlt, ist er nicht in der Lage, die Daten zu lesen, die auf den Fest-
plattenlaufwerken des Systems gespeichert sind.
BitLocker eignet sich auch gut für Server Core-Installationen und RODCs. Wenn Sie
einen RODC mit Windows Server 2008-Technologien wie BitLocker und Server Core
kombinieren, können Sie einen Remoteserver mit optimaler Sicherheit einrichten. Selbst
böswillige Benutzer, die sich physische Kontrolle über einen solchen Server verschaffen,
können Ihr Netzwerk nicht übernehmen.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
