很少有环境会面对像远程办公室这样的支持挑战。建立和维护安全的连接带来诸多技术和过程难题。远程办公室连接的任何数据中心也是如此。
远程办公室通常分布很广,数量一般较少,每个办公室的用户数相对较少,他们通过速度较慢的网络链路连接到数据中心站点,现场一般都没有熟练的 IT 管理员。每个因素本身都是一个挑战。如果将这些因素组合在一起,您将找到 IT 难题的解决之道。
尽管大多数分支机构环境通常都具有一系列类似特点(正如此处所述),但也存在组织特定的要求,这些要求决定了环境的运营方式。安全重要性或技术资源集中程度对于不同远程办公室框架会有所不同。无论分支机构如何运营,Windows Server 2008 R2 都是一次部署最新技术的全新机会,将对您部署和利用远程环境中的域控制器 (DC) 的方式带来根本性变化。
安全解决方案
保护分支机构部署是 Active Directory 域服务 (ADDS) 的一种常见方案。远程环境所独有的特征和限制使其非常适合于部署 ADDS。Windows Server 2008 R2 具有用于部署 ADDS 的一系列新功能和更新的方法。让我们看看如何在这类环境中以安全的方式部署 Windows Server 2008 R2。我们将介绍分支机构典型特征、关键体系结构设计元素以及特定于部署 Windows Server 2008 R2 的推荐部署选项。
Windows Server 2008 R2 的最重要方面是只读域控制器 (RODC)。一般而言,RODC 部署在需要 DC 服务但缺少适当的物理安全措施的位置。由于安全性提高和管理功能增强,用 RODC 代替现有 DC 可能超出许多分支机构环境中的现有 ADDS 相关的要求。对于当前无 DC 的位置,RODC 是一个将 ADDS 引入环境的重要机会。
另一个重要因素是 Server Core 的更新版本,它作为 Windows Server 2008 R2 的安装选项,提供了运行特定的受支持服务器角色(如 DC 角色)的最小环境。选择 Server Core 将只安装已安装的服务器角色(本示例中为 RODC)所需的二进制文件子集。此最小安装减少了攻击面,降低了维护需求并简化了管理,还有助于 RODC 服务器以更少资源运行。
因为这些因素大多都可以帮助降低分支机构环境通常具有的局限,Windows Server 2008 R2 Server Core 和 RODC 是所有远程环境的不二之选。以下部署注意事项详细说明了特定于 Server Core 和 RODC 组件的部署和配置选项。
尽管可能不能满足每个组织的分支机构要求或具体情况,但此可靠配置是相当常见的设置,此配置的大多数主要方面都已在 Windows Server 2008 安全遵从性管理工具包的当前最佳实践指南中重点说明。
这里将逐一介绍与建立分支机构环境的安全 Windows Server 2008 R2 Server Core RODC 解决方案相关的关键部署注意事项。其中涵盖了解决方案设想、重要的设计元素、基础结构先决条件和其他相关部署选项。
初步设计规划
与任何 DC 部署一样,您必须在部署前制定关键的设计决策。这些决策包括评估硬件要求、确定软件升级战略、确定 RODC 服务器版本以及确定 DC 升级顺序。这些决策将指导总体部署流程和可用的配置。
您必须从硬件评估角度确定现有 DC 硬件是否符合推荐的要求。由于存在记录完整的规范,因此这些决策对于大多数组织而言不成问题。对于支持的软件升级途径,因 Windows 的版本和不同的安装选项,会有各种不同的选项。
Server Core 要求全新安装分支机构 DC。无法升级到此安装选项。对于已安装的服务器角色,出于安全目的,通常建议从服务器版本中删除 RODC 运行不需要的所有服务器角色和服务。根据 RODC 解决方案的规定,Windows Server 2008 R2 Server Core RODC 不承载除全局编录和 DNS 服务器之外的任何其他服务或服务器角色,这是企业组织中日益常见的做法。
部署 DC 的顺序也是部署流程中关键的一环。推荐的顺序是先在早期为每个域构建的 Windows Server 2008 R2 成员服务器的数据中心上安装 ADDS,从林根域开始,然后将每个域的所有适用操作主机角色转移到这些 DC 上。接着,部署数据中心位置,并完全取消这些站点中所有旧 DC 的配置。这有助于稳定大型、管理良好的位置中的 ADDS,还能简化 RODC 部署流程本身。在替换数据中心 DC 后,您就可以启动分支机构 DC。
Windows Server 2008 R2 林和域准备工作
在将单个 Windows Server 2008 R2 DC 部署到现有环境之前,必须通过运行 Adprep.exe 准备 Active Directory 林和域。首先,用 adprep /forestprep 命令更新承载架构操作主机角色的 DC 上的林架构。此时,您可以通过 adprep /rodcprep 命令更新林,以便安装 ROCD。要准备每个子域,您必须在承载基础结构主机角色的 DC 上运行 adprep /domainprep /gpprep 命令。
最后,必须在 RODC 将驻留的相同域中部署至少一个运行 Windows Server 2008 R2 的可写 DC。同时也请注意,对于运行 Windows Server 2008 版本的 Adprep.exe 命令的环境,升级到 Windows Server 2008 R2 仍需要您用 R2 版本重新运行除 adprep /rodcprep(该命令与 Windows Server 2008 版本相比没有变化)以外的所有命令。
RODC 布置
从体系机构设计角度看,密码复制策略 (PRP) 的引入使得 RODC 布置方面的注意事项出现了变化。例如,RODC 必须能够通过 Windows Server 2008 R2 可写 DC 建立域分区复制。由于大多数分支机构环境采用中心辐射型网络拓扑,RODC ADDS 站点很有可能由指向 Windows Server 2008 R2 可写 DC 所在的数据中心站点的单个低成本站点链接所分隔。
对于不属于这种情况的环境,您可以在中间站点部署其他可写 DC,部署新的站点链接桥或创建新的站点链接,以控制创建复制连接的方式。您还必须确保其他 DC 布置在与 RODC 不同的 ADDS 站点中。对于大多数通常只承载最小数量服务器的分支机构环境,这种情况不是问题。对于承载多个 DC 的位置,部署 RODC 可能完全不是可接受的解决方案。
凭据缓存
可能,这里最重要的安全元素是凭据缓存模式。这是您在开始分支机构部署前必须仔细确定的关键设计部分。对于众多环境而言,“少量可缓存帐户”模式可能是最常见和最适合的模式。
这种方法只将 RODC 站点中的本地帐户配置为可缓存,提供了与最少权限和服务可用性的原则相关的适合条件。这种方法的一个缺点是它会增加管理责任,因为每个 RODC 的 PRP 都将是唯一的,并需要根据情况对帐户进行操作置备和取消置备。
如何应对出差的用户也是很多分支机构环境常见的设计问题。通常,分支机构环境包括一些用户和资源,这些用户和资源的帐户因服务可用性目的需缓存到特定 RODC 上。理想情况下,与新雇佣的用户类似,会提前对这些帐户进行置备。但是,由于出差行为的随机和不可预测特性,这种方式通常不现实,尤其对于要在很多 RODC 位置之间流动的大量资源。
要解决此问题,您可以将其他帐户添加到相应的 RODC PRP。对于一组帐户要求允许访问所有 RODC PRP 的极端情况,您还可以利用默认组“只读域控制器密码复制组”。但是,应谨慎使用该组,因为此安全组中的成员身份使所有成员可缓存在所有 RODC 上。
另一个注意事项是可缓存帐户的实际缓存时间。默认情况下,当将身份验证请求转发给 Windows Server 2008 R2 可写 DC,并且将凭据复制到 RODC 时,只有初次登录到 RODC 后,才会缓存。因为承载现有 DC 的分支机构环境很可能仍保持着先前已有的与服务可用性有关的要求,选择在 RODC 上预填充凭据可能一项关键操作。
在 RODC 站点中的所有帐户尚需缓存其凭据的 ROCD 初始部署过程中,这尤其重要。一旦已配置 PRP 并将帐户标记为可缓存,您就可以使用 RODC 上的预填充密码。但是,请务必注意,使用预填充密码的两种传统方式具有一些限制。目前,使用安全组时不允许使用 Active Directory 用户和计算机控制台或 repadmin 命令。
因为一次对一个帐户预填充密码或根据组织单位进行小批量预填充可能不现实,所以您可以通过脚本方式使用安全组。例如,为了利用用于授权在特定 RODC 上缓存凭据的相同安全组,可使用以下代码:
For /F %%a in ('"dsquery group dc=corp,dc=contoso,dc=com -name <Groupname>| dsget group -members"') do (Repadmin /rodcpwdrepl <RODCname> <RWDCname> %%a)
RODC 阶段安装
在 Windows Server 2008 R2 提供的两种 DC 安装方式中,阶段安装方式比直接安装更可取。直接替代方式与 Windows 早期版本中提供的传统过程一样。阶段安装使用管理员角色分离 (ARS),这是 Windows Server 2008 R2 中的一项功能,将安装和管理 RODC 服务器的能力委派给非服务管理员,但不赋予 Active Directory 权限。
从安全性角度考虑,阶段安装方式不再要求在可能不安全的分支机构位置使用高度提升的凭据。出于这一原因,建议在数据中心布置 DC 以支持远程办公室的观点不再适用。阶段安装将 RODC 安装过程分为两个阶段。
第一个阶段要求 ADDS 服务管理员预先创建 RODC 的计算机帐户,并提供计算机名、相应的 ADDS 站点、要安装的服务器角色、PRP 配置和 ARS 委派等配置信息。最佳做法是,委派的管理员应由安全组代表,且每个成员的凭据都应缓存在 RODC 上。第二个阶段是委派的 RODC 服务器管理员使用其非 ADDS 服务管理员凭据将工作组服务器加入预先创建的 RODC 帐户,并完成 RODC 提升过程。
RODC 提升源
对于 RODC 提升源,此配置使用“从媒体安装 (IFM)”安装选项及阶段安装。此选项大幅减少了安装 ADDS 的过程中复制到 RODC 的数据量。在使用 Windows Server 2008 R2 可写 DC 上的 Ntdsutil.exe 时,可选择四种安装媒体。在这四种媒体中,只有两种与本文相关,就是 RODC 和带 SYSVOL 的 RODC。
RODC 媒体与完全安装媒体类似,但不包含密码等缓存的机密信息。从分支机构安全角度看这是一项重要功能。制作 RODC 媒体的唯一要求是您必须安装了 Windows Server 2008 R2 可写 DC。但是,第二种安装媒体,即带 SYSVOL 的 RODC,从基础结构角度看要求更高。尽管 Ntdsutil.exe 将创建带 SYSVOL 的 RODC 媒体,但在安装过程中使用该媒体还需要分布式文件系统复制 (DFS-R) 以进行 SYSVOL 复制,这需要域功能级别的 Windows Server 2008 R2。
考虑到具有分支机构环境的大多数组织很可能不满足此条件,该媒体使用选项很可能只在初始部署完成后才能使用。但是,一旦达到这个阶段,迁移到 DFS-R 并同时使用 RODC 和带 SYSVOL 的 RODC 安装媒体不仅能最大限度减少目录复制,还能使未来安装分支机构 DC 更具效率。
运行 DCPROMO
在部署此配置时 Active Directory 域控制器安装向导将不可用,因为它使用运行 Windows Server 2008 R2 Server Core 的 RODC。在实际 RODC 提升过程中不能使用此配置。因此,除了使用 IFM 进行的阶段安装之外,包含 Dcpromo.exe 的无人参与文件也将安装 DC 角色。从安全性和可管理性角度看,这一解决方案特点促进了安全和一致的 DC 构建做法,有助于在分支机构环境中保持 ADDS 安全性和配置。
此外,自动化、可预测及可重复的构建做法可最大限度地降低通过手动干预将未授权的软件、服务和配置引入构建过程的可能性。下面是一个 dcpromo 命令示例和一个简单的应答文件示例:
DCPROMO /unattend:c:\unattend.txt [DCINSTALL] ReplicaDomainDNSName=corp.contoso.com UserDomain=corp UserName=corp\<delegated RODC security group> Password=* ReplicationSourcePath=C: \IFM Safemodeadminpassword=<password>
请务必注意,如果应答文件中包含任何手动 PRP 配置,且不是在阶段安装的 RODC 帐户预先创建过程中加入,则必须明确添加所有默认的 PRP 值。在应答文件中手动添加明确的 PRP 配置将从根本上以应答文件中指定的配置替换默认的 PRP 配置。
复制
由于 Windows Server 2008 R2 RODC 提供了单向复制,因此以 RODC 替换现有分支机构 DC 将降低数据中心桥头服务器的性能负载,这些服务器通常处理分支机构 DC 的入站复制。对于分支机构环境,这非常重要。它提高了灵活性,可减少数据中心所需服务器总数。
RODC 还可自动将出站连接对象平均地分布到中心站点桥头服务器,在 Windows Server 2003 中需要 Adlb.exe 这样的附加工具才能实现该操作。出于这一原因,建议您在部署任何 RODC 前将所有数据中心 DC 升级到 Windows Server 2008 R2。这可确保入站复制连接得以均匀地进行负载平衡,就不再需要使用替代方式来解决与数据中心桥头服务器在 RODC 部署过程中过载相关的问题。
此详尽的设计和部署指南可帮助分支机构安全地部署 Windows Server 2008 R2 Server Core RODC。通过介绍分支机构特征的关键方面、重要的设计元素以及推荐的部署选项,将来您可将此指南作为 RODC 分支机构部署的最佳实践。
原文:http://technet.microsoft.com/zh-cn/magazine/ff679937.aspx
来源:微软TechNet中文站