Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

254 Kapitel 9: Optimieren der Active Directory-Domänendienste für Sicherheit
Wenn Sie den RODC-gefilterten Attributsatz konfigurieren wollen, müssen Sie das auf dem
Server tun, der die Rolle des Schemabetriebsmasters einnimmt. Falls Sie versuchen, ein
systemkritisches Attribut zum RODC-gefilterten Satz hinzuzufügen, und der Schemamaster
unter Windows Server 2008 läuft, gibt der Server den LDAP-Fehler unwillingToPerform
zurück. Falls Sie versuchen, auf einem Windows Server 2003-Schemamaster ein systemkritisches
Attribut zum RODC-gefilterten Attributsatz hinzuzufügen, scheint die Operation
erfolgreich zu verlaufen, aber das Attribut wird nicht wirklich hinzugefügt. Aus diesem
Grund – und um sicherzustellen, dass keine systemkritischen Attribute im RODC-gefilterten
Attributsatz auftauchen – empfehle ich, die Schemamasterrolle auf einem Windows Server
2008-DC zu betreiben, wenn Sie Attribute zu einem RODC-gefilterten Satz hinzufügen
wollen. Auf der Begleit-CD finden Sie eine Microsoft Office Excel-Datei, die dieses Standardschema
für Windows Server 2008 dokumentiert.
Unidirektionale Replikation
Weil wir nicht direkt in den RODC schreiben, stammen keine Änderungen aus dem RODC.
Und das bedeutet auch, dass die beschreibbaren DCs, die Replikationspartner für den RODC
sind, keine Änderungen vom RODC abzurufen brauchen. Das verringert die Belastung der
Bridgeheadserver in der Zentralstelle und den Aufwand zum Überwachen der Replikation.
Keinerlei Änderungen oder Zerstörungen, die ein böswilliger Benutzer an einem RODC
vornimmt, können vom RODC in die übrige Gesamtstruktur repliziert werden.
Die unidirektionale Replikation des RODCs gilt sowohl für AD DS- als auch DFS-Replikation
(Distributed File System, Verteiltes Dateisystem). Der RODC führt die normale eingehende
Replikation für AD DS- und DFS-Replikationsänderungen durch.
Zwischenspeichern von Anmeldeinformationen
Die Standardeinstellung für einen RODC lautet, ausschließlich Benutzer- oder Computeranmeldeinformationen
für das Computerskonto des RODCs selbst und ein spezielles krbtgt-
Konto für den RODC zu speichern. Jede weitergehende Zwischenspeicherung von Anmeldeinformationen
auf dem RODC müssen Sie explizit konfigurieren. In Kapitel 15 finden Sie
weitere Informationen zu diesem Thema.
In Zweigstellen, die einen RODC haben, kündigt sich der RODC selbst als das Schlüsselverteilungscenter
(Key Distribution Center, KDC) an, aber wenn er TGT-Anforderungen
(Ticket-Granting Ticket) signiert oder verschlüsselt, verwendet der RODC ein anderes
krbtgt-Konto und -Kennwort als das KDC auf einem beschreibbaren DC.
Nach der erfolgreichen Authentifizierung eines Kontos versucht der RODC, Kontakt mit
einem beschreibbaren DC im zentralen Standort aufzunehmen und eine Kopie der entsprechenden
Anmeldeinformationen anzufordern. Der beschreibbare DC erkennt, dass diese
Anforderung von einem RODC stammt, und prüft die gültige Kennwortreplikationsrichtlinie
für diesen RODC (Abbildung 9.5).
Die Kennwortreplikationsrichtlinie legt dann fest, ob die Anmeldeinformationen eines Benutzers
oder Computers vom beschreibbaren DC auf den RODC repliziert werden können.
Falls die Kennwortreplikationsrichtlinie dies erlaubt, repliziert der beschreibbare DC die
Anmeldeinformationen in den RODC und der RODC legt sie für künftige Verwendung in
einem Zwischenspeicher ab. Wenn die Anmeldeinformationen auf dem RODC zwischengespeichert
wurden, kann der RODC direkt die Anmeldeanforderungen dieses Benutzers