98
SPRÁVA WINDOWS SERVERU 2008
ERROR – AD DS Warning State Doménový řadič je v chybovém stavu. Takových variant může být celá řada a musíme je rozeznat v protokolech prohlížeče událostí jak v protokolu systémovém, tak zejména v odděleném protokolu adresářových služeb. Takovým typickým příkladem může být doménový řadič s poškozenou či kolizní rolí hlavního operačního serveru FSMO, kdy běžné požadavky klientů na ověření jména a hesla zvládá v pořádku, ale své specifické systémové požadavky na generaci jedinečných identifikátorů objektůnebo synchronizaci systémového času v doméně nezvládá. Příkaz dcpromo /forceremoval můžeme použít pro odstranění adresářových služeb ve všech čtyřech vypsaných stavech. Pokud adresářové služby odstraníme, dojde tím nejen k ukončení mateřské služby AD DS, ale i služeb, které jsou na této službě závislé: File Replication Service (FRS), Kerberos Key Distribution Center (KDC), Intersite Messaging.
2.6 Speciální řadiče 2.6.1
RODC
Řadič domény jen pro čtení (RODC – Read Only Domain Controller) je zcela nový typ řadiče domény. Jde o řadič domény, který má oproti klasickému řadiči omezenou funkčnost. Je typicky určen pro nasazení v pobočkách, kde se již vyplatí umístnit samostatný doménový řadič kvůli přihlašovacím činnostem, ale není zde možné zajistit plnou fyzickou bezpečnost takového serveru. Hrozí tedy nebezpečí útoku na Active Directory a zcizení cenných informací. Nejcennější jsou hesla uživatelů, konkrétně správců. Tento řadič RODC replikuje s ostatními pouze jednosměrně! (Někdo může namítnout, že to již není replikace a že se jedná o krok zpět k synchronizaci…) Replikace jde pouze od jiných řadičů v doméně k RODC a nikdy obráceně. Platí nutná podmínka, že ve vaší síti musíte mít pro každou doménu minimálně jeden plný doménový řadič Windows 2008, abyste do takové domény mohli nasadit RODC. A ještě navíc RODC v tomto jediném směru nereplikuje všechny objekty a atributy Active Directory, ale pouze některé. Pokud by tedy nějaký útočník dokázal prolomit bezpečnost serveru a provést úspěšný útok na databázi AD DS, nezíská z ní to nejcennější – hesla uživatelů! Správce může dokonce řídit, zda nějaká hesla budou či nebudou k našemu RODC replikována. RODC má tyto hlavní výhody: • Databáze Active Directory Domain Services pouze pro čtení, • jednosměrná replikace (PULL, ale nikoli PUSH), • mezipaměť (caching) pro ověřená jména a hesla, • separační role pro nižší správce, • databáze DNS pouze pro čtení. Jak takový řadič může provádět autentikaci uživatelů, když nezná jejich hesla? Pokud není příslušný údaj v mezipaměti, nebude RODC autentikaci provádět. Pokud heslo nemá v databázi, začne se chovat jako členský server a požadavek předá jinému (skutečnému) doménovému řadiči, který má plnou repliku doménové databáze. To pak ovšem znamená,
2. Active Directory
Ukázka elektronické knihy, UID: KOS181398