Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Windows Server 2008 in der Zweigstelle 413
Lokale Anwendungen, die Lesezugriff auf die Verzeichnisinformationen der Domäne anfordern,
können direkt auf den RODC zugreifen, während LDAP-Anwendungen (Lightweight
Directory Access Protocol), die einen Schreibzugriff anfordern, einen LDAP-Verweis als
Antwort erhalten. Diese Antwort verweist sie direkt an einen beschreibbaren Domänencontroller,
der sich normalerweise an einem zentralen Standort befindet.
In der Domänendatenbank hat jeder Sicherheitsprinzipal (Benutzer, Computer oder iNet-
OrgPerson) einen Satz von bis zu 10 Kennwörtern oder Geheimnissen, die generell als Anmeldeinformationen
(engl. credentials) bezeichnet werden. Ein RODC speichert diese Anmeldeinformationen
nicht, abgesehen von seinem eigenen Computerkonto und dem speziellen
krbtgt-Konto für jeden RODC. Der RODC wird als Schlüsselverteilungscenter für seinen
Standort angekündigt, der normalerweise die Zweigstelle ist, in der er aufgestellt ist. Wenn
der RODC ein TGT (Ticket-Granting Ticket) ausstellt und signiert, benutzt er dazu sein
eigenes krbtgt-Konto samt den zugehörigen Schlüsseln, das sich vom krbtgt-Konto unterscheidet,
das sich die KDCs auf allen beschreibbaren Domänencontroller in der Domäne
teilen.
Wenn ein Benutzer zum ersten Mal versucht, sich an einem RODC zu authentifizieren, sendet
der RODC die Anforderung an einen beschreibbaren Domänencontroller im zentralen
Standort. Falls die Authentifizierung erfolgreich ist, fordert der RODC auch eine Kopie der
entsprechenden Anmeldeinformationen an. Der beschreibbare Domänencontroller erkennt,
dass die Anforderung von einem RODC stammt, und wertet die Kennwortreplikationsrichtlinie
aus, die für diesen RODC gilt.
Die Kennwortreplikationsrichtlinie legt fest, ob die Anmeldeinformationen auf den RODC
repliziert und dort gespeichert werden dürfen. Ist das der Fall, sendet ein beschreibbarer
Domänencontroller die Anmeldeinformationen an den RODC und der RODC speichert sie
für die künftige Verwendung in seinem Cache. Wenn die Anmeldeinformationen auf dem
RODC zwischengespeichert sind, kann der RODC die Anforderung beim nächsten Anmeldeversuch
des Benutzers direkt bedienen, jedenfalls bis sich die Anmeldeinformationen
ändern.
Offensichtlich muss der RODC dafür wissen, ob er eine Kopie der Anmeldeinformationen
zur Verfügung hat. Um überflüssige Suchvorgänge zu vermeiden, prüft der RODC die Signatur
in verschiedenen Anforderungen. Falls ein TGT mit seinem eigenen krbtgt-Konto
signiert wurde, erkennt der RODC sofort, dass er eine zwischengespeicherte Kopie der Anmeldeinformationen
besitzt. Falls dagegen ein anderer DC das TGT signiert hat, leitet der
RODC die entsprechenden Anforderungen immer weiter.
Die Gefahr bei der Installation von RODCs in Zweigstellen lässt sich vor allem dadurch
verringern, dass mit der Kennwortreplikationsrichtlinie gesteuert wird, welche Anmeldeinformationen
zwischengespeichert werden. In der Standardeinstellung werden Anmeldeinformationen
von Benutzern nicht auf einem RODC zwischengespeichert, aber das ist ein
ineffizienter Entwurf. Wenn Sie sich die meisten Domänen mit einer Zweigstelle ansehen,
stellen Sie fest, dass sogar in einer großen Zweigstelle (sagen wir mal 100 Benutzer) diese
Benutzer nur ein winziger Teil der gesamten Benutzer in der Domäne sind. Falls Sie
20.000 Benutzer in der Domäne haben, handelt es sich um eine halbes Prozent.
Weil nur für wenige Domänenbenutzer Anmeldeinformationen auf einem bestimmten RODC
zwischengespeichert werden müssen, sollten Sie über die Kennwortreplikationsrichtlinie
festlegen, bei welchen Gruppen von Benutzern die Zwischenspeicherung in Frage kommt.
Indem Sie die RODC-Zwischenspeicherung auf Benutzer beschränken, die häufig in dieser