Správa Windows Serveru 2008 (Ukázka, strana 99)

Page 1

98

SPRÁVA WINDOWS SERVERU 2008

ERROR – AD DS Warning State Doménový řadič je v chybovém stavu. Takových variant může být celá řada a musíme je rozeznat v protokolech prohlížeče událostí jak v protokolu systémovém, tak zejména v odděleném protokolu adresářových služeb. Takovým typickým příkladem může být doménový řadič s poškozenou či kolizní rolí hlavního operačního serveru FSMO, kdy běžné požadavky klientů na ověření jména a hesla zvládá v pořádku, ale své specifické systémové požadavky na generaci jedinečných identifikátorů objektůnebo synchronizaci systémového času v doméně nezvládá. Příkaz dcpromo /forceremoval můžeme použít pro odstranění adresářových služeb ve všech čtyřech vypsaných stavech. Pokud adresářové služby odstraníme, dojde tím nejen k ukončení mateřské služby AD DS, ale i služeb, které jsou na této službě závislé: File Replication Service (FRS), Kerberos Key Distribution Center (KDC), Intersite Messaging.

2.6 Speciální řadiče 2.6.1

RODC

Řadič domény jen pro čtení (RODC – Read Only Domain Controller) je zcela nový typ řadiče domény. Jde o řadič domény, který má oproti klasickému řadiči omezenou funkčnost. Je typicky určen pro nasazení v pobočkách, kde se již vyplatí umístnit samostatný doménový řadič kvůli přihlašovacím činnostem, ale není zde možné zajistit plnou fyzickou bezpečnost takového serveru. Hrozí tedy nebezpečí útoku na Active Directory a zcizení cenných informací. Nejcennější jsou hesla uživatelů, konkrétně správců. Tento řadič RODC replikuje s ostatními pouze jednosměrně! (Někdo může namítnout, že to již není replikace a že se jedná o krok zpět k synchronizaci…) Replikace jde pouze od jiných řadičů v doméně k RODC a nikdy obráceně. Platí nutná podmínka, že ve vaší síti musíte mít pro každou doménu minimálně jeden plný doménový řadič Windows 2008, abyste do takové domény mohli nasadit RODC. A ještě navíc RODC v tomto jediném směru nereplikuje všechny objekty a atributy Active Directory, ale pouze některé. Pokud by tedy nějaký útočník dokázal prolomit bezpečnost serveru a provést úspěšný útok na databázi AD DS, nezíská z ní to nejcennější – hesla uživatelů! Správce může dokonce řídit, zda nějaká hesla budou či nebudou k našemu RODC replikována. RODC má tyto hlavní výhody: • Databáze Active Directory Domain Services pouze pro čtení, • jednosměrná replikace (PULL, ale nikoli PUSH), • mezipaměť (caching) pro ověřená jména a hesla, • separační role pro nižší správce, • databáze DNS pouze pro čtení. Jak takový řadič může provádět autentikaci uživatelů, když nezná jejich hesla? Pokud není příslušný údaj v mezipaměti, nebude RODC autentikaci provádět. Pokud heslo nemá v databázi, začne se chovat jako členský server a požadavek předá jinému (skutečnému) doménovému řadiči, který má plnou repliku doménové databáze. To pak ovšem znamená,

2. Active Directory

Ukázka elektronické knihy, UID: KOS181398


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.