254 Kapitel 5: Konfigurieren von AD LDS und RODCs
Daher war ich erleichtert und froh, als ich erstmals von RODCs hörte. Endlich packten
die Microsoft-Entwickler ein Problem an, das mir (und vielen anderen) seit langer Zeit zu
schaffen machte. Ich habe lediglich auszusetzen, dass sie sich schon vor Jahren darum
hätten kümmern können. Wessen Schuld ist das nun?
Authentifizierung und Aufstellung von Domänencontrollern
in einer Zweigstelle
Viele Organisationsstrukturen bestehen aus einem zentralen Standort und mehreren Zweig-
stellen, die über WAN-Verbindungen mit der Zentrale verbunden sind. Diese Verbindungen
sind manchmal überlastet, teuer, langsam oder unzuverlässig. Benutzer in einer Zweigstelle
müssen von AD DS authentifiziert werden, damit sie auf Ressourcen in der Domäne zugrei-
fen können. Steht ein Domänencontroller in der Zweigstelle, brauchen sich die Benutzer
nicht über eine WAN-Verbindung zu authentifizieren, das beschleunigt die Authentifizie-
rung.
Der zentrale Standort wird üblicherweise von qualifiziertem IT-Personal verwaltet, und er
stellt geschützte Räume für die Server zur Verfügung. In den Zweigstellen ist die physische
Sicherheit für Server dagegen oft mangelhaft, und es gibt selten kompetentes IT-Personal für
die Administration der Domänencontroller.
Gibt es keine Domänencontroller in der Zweigstelle, werden Authentifizierungs- und Dienst-
ticketoperationen über eine WAN-Verbindung an den zentralen Standort geleitet. Die Au-
thentifizierung findet statt, sobald sich ein Benutzer an seinem Computer anmeldet. Dienst-
tickets sind eine Komponente des Kerberos-Authentifizierungsmechanismus in Windows
Server 2008-Domänen. Sie ermöglichen es Benutzern, eine Verbindung zu einem Dienst wie
den Datei- und Druckdiensten auf einem Dateiserver herzustellen. Laufen Authentifizie-
rungs- und Dienstticketoperationen über die WAN-Verbindung zwischen Zweigstelle und
Zentrale, kann das dazu führen, dass die Leistung schlecht ist oder stark schwankt.
Weitere Informationen Kerberos und Diensttickets
Als Windows Server 2003-Experte sollten Sie mit Kerberos-Authentifizierung und
Servertickets vertraut sein. Bei Bedarf können Sie Ihr Wissen über diese Themen unter
http://technet.microsoft.com/en-us/library/cc772815.aspx auffrischen.
Wenn in einer Zweigstelle ein Domänencontroller aufgestellt ist, damit die Authentifizierung
effizienter abläuft, entstehen dadurch erhebliche Risiken. Ein Domänencontroller speichert
eine Kopie aller Attribute aller Objekte in seiner Domäne, darunter auch vertrauliche Infor-
mationen zu den Benutzerkennwörtern. Falls es ein Angreifer schafft, auf einen Domänen-
controller zuzugreifen oder ihn ganz zu stehlen, ist es ihm möglich (wenn auch nicht ganz
einfach), gültige Benutzernamen und Kennwörter auszuspähen. Zumindest müssen Sie in
einem solchen Fall die Kennwörter aller Benutzerkonten in der Domäne zurücksetzen. In
einer großen Zentrale können Domänencontroller und andere wichtige Server (etwa Zerti-
fikatserver) in einem sicheren Raum untergebracht werden. Dagegen lässt die physische
Sicherheit von Servern in Zweigstellen oft eine Menge zu wünschen übrig.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
