En este artículo, tiene como objetivo dar a conocer los conceptos fundamentales de los controladores de dominio de solo lectura.
Básicamente repasaremos en alto nivel qué es y cómo funciona un Read Only Domain Controller (RODC).
¿Qué es un RODC?
Un RODC (Read-Only Domain Controller) es un controlador de dominio adicional que aloja particiones de solo lectura de la base de datos de Active Directory.
¿Qué son las particiones de Active Directory?
Repasando rápidamente el concepto, las particiones son una porción del espacio de nombres de directorios donde Active Directory aloja la información de forma lógica.
Existen cuatro particiones y ellas son:
- Schema Partition: Contiene los detalles de definición acerca de objetos y atributos que se pueden almacenar en Active Directory, dicha información replica a todos los controladores de dominio. Esta partición por ejemplo es modificada cuando extendemos el esquema de nuestro directorio al instalar un Exchange Server o Lync Server.
- Configuration Partition: Contiene los datos de configuración sobre los bosques y los árboles ,dicha información replica a todos los controladores de dominio del bosque. Por ejemplo aloja la información de la organización de Exchange Server del dominio de Active Directory.
- Domain Partition: Contiene la información los objetos de un dominio (usuarios, grupos, etc.), dicha información replica a todos los controladores de dominio dentro de un dominio. También se hace una réplica parcial a los servidores catálogo globales cuando la actualización se realiza en un atributo que se marca para la replicación del catálogo global (GC).
- Application Partition: Contiene información sobre las aplicaciones en Active Directory. Por ejemplo cuando se utiliza zonas DNS integradas en Active Directory, hay particiones de aplicación llamadas DNS – ForestDNSZones y DomainDNSZones.
Para mayor información sobre las particiones hacer click aquí.
¿Por qué instalar un RODC?
Por muchos motivos las empresas optan por instalar controladores de solo lectura en sus sucursales, pero entre los más destacados se encuentran los siguientes:
- Lugares con escasa seguridad física.
- Lugares con ancho de banda limitado.
- Escaso conocimiento de IT on-site.
Base de datos de Active Directory en RODC
Las bases de datos de Active Directory en los controladores de dominio de solo lectura tienen las siguientes característica:
- Contiene todos los objetos y atributos de AD.
- No contiene los Passwords de cuentas.
- Sólo lectura (no se permite escribir).
Replicación unidireccional
Los cambios no se escriben directamente en el RODC por lo que no es necesario que los controladores de dominio grabables, que son asociados de replicación, extraigan los cambios del RODC.
Cualquier cambio o daño que un usuario malintencionado pueda realizar en las ubicaciones de la sucursal, no se pueden replicar desde el RODC al resto del bosque.
Autenticación en RODC
Por defecto, un RODC no almacena credenciales de usuario ni credenciales de equipos. Cuando un usuario de la sucursal se conecta, el RODC recibe la solicitud y la envía a un controlador de dominio para la autenticación.
Image may be NSFW.
Clik here to view.
Para que funcione la autenticación de usuarios, cuando el vínculo entre la sucursal donde se aloja el RODC y casa central la cual aloja el RWDC se corta, debemos almacenar en cache las credenciales.
Almacenamiento en cache de credenciales
El almacenamiento en cache de credenciales consiste en guardar las credenciales de usuario, de servicio y de equipo.
Por lo que se debe permitir explícitamente que almacene las credenciales, de modo de que el RODC pueda satisfacer las solicitudes de autenticación
Replicación de contraseñas
Por defecto los controladores de dominio grabable no permiten la replicación de contraseñas hacia un RODC. La directiva de replicación de contraseñas, determina si las credenciales de un usuario o equipo se pueden replicar o no desde el controlador de dominio grabable en el RODC.
Al limitar el almacenamiento en caché de credenciales y la directiva de replicación de contraseñas, se limita la posible exposición de credenciales si un RODC fuera sustraído.
Por lo que se debe asignar al grupo el cual permite la replicación de contraseña, a los usuarios y equipos de las sucursales que utilizaran el RODC para autenticarse, para luego realizar el almacenamiento de credenciales en cache.
Separación de la función de administrador
Se puede delegar a cualquier usuario de dominio o grupo de seguridad la administración local del RODC por ejemplo para realizar trabajos de mantenimiento.
Dicho usuario o grupo de seguridad no podrá iniciar sesión en ningún otro controlador de dominio por lo que no se pondrá en riesgo la seguridad del resto del dominio.
Servidor DNS Controlador de dominio de solo lectura
El rol de servidor DNS puede ser instalador en un RODC, el cual puede replicar todas las particiones de directorio de aplicaciones que use el DNS, incluidos ForestDNSZones y DomainDNSZones. Los clientes pueden consultarlo para la resolución de nombres, como consultarían a cualquier otro servidor DNS.
A diferencia de un controlador de dominio grabable, el servidor DNS en un RODC no admite las actualizaciones del cliente directamente. El RODC replicara en segundo plano los registros de la zona DNS desde otro controlador de dominio el cual puede realizar actualizaciones.
Conclusiones
Tal como indicamos, los controladores de dominio de solo lectura puedan facilitarnos la administración y seguridad en sucursales donde no dispongamos de un centro de cómputos con la seguridad deseada o no contamos con personal IT capacitado en la ubicación remota.
Por otro lado también nos beneficia ante un corte de vínculo, la sucursal o ubicación donde se encuentre operando el controlador de dominio de solo lectura, podrá seguir operando o mejor dicho los usuario podrán continuar autenticándose contra el RODC con la utilización de cacheo de credenciales.
Les recomiendo que prueben dicha solución ya que funciona de manera efectiva y evitaran dolores de cabeza.
————————————————————————————————————————————————————–
Fuente: http://technet.microsoft.com/es-es/library/cc753223(v=ws.10).aspx
Image may be NSFW.Clik here to view.
