Новая система — новые возможности, одна из них — это Read Only Domain Controller(RODC) в Active Directory. У меня сразу же возник вопрос, а как будет с RODC работать Exchange 2007?
Немного теории от Microsoft. «Контроллер домена только для чтения (RODC) позволяет развертывать контроллеры домена, содержащие реплику базы данных домена только для чтения. Такая возможность очень хорошо подходит для тех мест, где нельзя гарантировать физическую безопасность контроллера домена.
RODC содержит те же объекты и атрибуты, что и контроллер домена с поддержкой записи. Тем не менее локально инициированные изменения вносятся не в саму реплику RODC, а в контроллер домена с поддержкой записи и только потом реплицируются назад, на контроллер RODC. Это не позволяет изменениям, произведенным в филиалах, засорять и повреждать лес Active Directory в ходе репликации.
Кроме того, администратор может настроить на контроллере RODC хранение (кэширование) учетных данных пользователей. Когда пользователь впервые пытается пройти проверку подлинности на контроллере RODC, тот пересылает запрос контроллеру домена с поддержкой записи. Если проверка подлинности завершается успешно, RODC запрашивает копию учетных данных. Возможность репликации и кэширования учетных данных на контроллере RODC определяется действующей политикой репликации паролей. Если кэширование выполнено, при последующих попытках пользователя войти в систему его запросы обрабатываются непосредственно контроллером RODC (пока в ходе репликации не будет получено уведомление об изменении учетных данных). Кроме того, службы AD DS ведут список всех учетных данных, хранящихся на RODC; при возникновении проблем с безопасностью контроллера RODC администратор может принудительно сбросить пароли всех имеющихся на нем учетных записей.
Контроллеры RODC позволяют делегировать право на установку и управление не имеющему прав администратора персоналу филиала. Сотрудники филиала могут выполнять установку путем подключения сервера к ранее созданной администратором учетной записи RODC. Это устраняет необходимость использовать промежуточный узел для контроллеров домена в филиале или посылать в филиал установочный носитель и администратора.»
Мой вопрос возник не случайно. Я вчера слушал вебкаст Александра Шаповала Новые возможности Active Directory в Windows Server 2008. (Мне очень понравилось, рекомендую) Так вот, Саше задали в конце вопрос о том, будет ли работать Exchange 2007 с RODC. Я решил поискать побольше информации на эту тему. Самым лучшим источником является пост Microsoft Exchange Team, где написано, что ни одна версия Microsoft Exchange не использует контроллер домена только для чтения (RODC) или глобальный каталог только для чтения (ROGC). Однако MS Exchange работает в сети с RODC и ROGC, но использует обычные контроллеры домена доступные для записи, просто игнорируя RODC/ROGC. Exchange 2003 тоже игнорирует RODC/ROGC, т.к. ничего про них не знает. Принудительная настройка E2003 на работу с RODC/ROGC может привести к непредсказуемым результатам.
Немного Tips&tricks на тему Windows 2008 и Exchange 2007:
Нельзя установить Exchange 2007 RTM и все предыдущие версии Exchange на Windows 2008. Можно установить только Exchange 2007 SP1. Но Exchange 2007 RTM будет работать с DC/GC на Windows 2008(но не RODC/ROGC)
Можно апргрейдить Windows 2003 на Windows 2008. Нельзя апгрейдить Windows 2003 с установленным Exchange 2007 SP1 на Windows 2008. Exchange будет порушен. Scott Schnoll не поверил в это и решил проверить. Не работает 🙂
p.s. Мое мнение про полезность RODC не такое оптимистичное по сравнению с Микрософт. Главный аргумент — безопасность, RODC предназначены для удаленных офисов с невозможностью ограничения физического доступа к серверу, просто вызывает улыбку.
Я когда-то работал в одной компании у которой был офис в центре города, возле моря. Там физически не было закрытой комнаты для сервера. Вышли из положения просто — поставили железный шкаф, типа этого, просверлили дыр для вентиляции и засунули во внутрь сервер. Это был 2000 год и топорное решение. Сейчас же при наличии красивых прозрачных шкафчиков, прибиваемых к полу, проблема физического доступа решается просто и дешевле, чем изучение и поддержание новой технологии, которая еще и не со всеми приложениями работает. Поэтому я не фанат RODC 🙁
Паша, а винчестеры ты тоже будешь приклеивать к серверу или гвоздями прибивать.
Контроллер же это, по большому счету, не сервер — это небольшой файлик, который при доступе к телу можно просто выдернуть… Причем так, что не всегда это заметно. Ну предположим, что у тебя там какой-нибудь RAID0 с hotspare. Об этом кто-нибудь знает. один диск вытащил — другой такой же воткнул: если нет мониторинга, то никто и не узнает, если он присутствует, то есть шанс, что просто придут и вставят другой диск, поудивляются, что сбойнул живой, в общем-то диск и забудут. А у злоумышленника уже есть наша база =)
Посему RODC + Bitlocker = Хорошо
Правда то, что Exch не умеет этим делом пользоваться очень сильно напрягает…
http://www.exchangerus.ru Pavel Nagaev
Если DC закрыть в шкаф на ключ, то это уже довольно серьезная защита, т.к. злоумышленнику придется его ломать на виду у всей охраны. Но мы все прекрасно понимаем, что за бутылку водки сторож дядя Вася поможет погрузить этот шкаф в грузовик. Вместо бутылки могут быть деньги, а вместо дяди Васи — админ. И зачем все эти игры в безопасность? Опять же, ты можешь привести пример хоть одной компании у которой :
1. Украли DC и выдрали оттуда данные.
2. Компания понесла реальные потери от этого хищения?
Cписок номеров кредиток гораздо более серьезная потеря по сравнению с каким-то DC. Это так, мысли.
Дмитрий
"Если DC закрыть в шкаф на ключ, то это уже довольно серьезная защита"-ну это сказал
Это защита от мальчишек, так как ключи например от Хьюлетовых стоек подходят друг к другу:-)
Вот если у тебя стоит сигнализация на вскрытие стоек…с выводом на охрану плюс НетБотц неусыпно снимает что творится возле стойек и в них…тогда спи спокойно дорогой товарищ:-)
Другой вопрос…что дейсвительно…лучше уж базу SQL умыкнуть(например свежий ночной бэкап ну и заодно бэкап DC дабы у себя развернуть и подсмотреть) например, а не данные DC:-)
Мне кажется это дуют на воду….дабы молодые админы в филиалах не наделали больших бед:-)
http://www.exchangerus.ru Pavel Nagaev
Понятно, что "Если DC закрыть в шкаф на ключ, то это уже довольно серьезная защита" — это образное выражение и это лучше, чем сервер на полу. Минимальную физическую защиту от дурака всегда можно обеспечить не за очень большие деньги.
Я вот не слышал, чтобы молодым админам в филиалах вообще давали права, кроме тряпкой пыль с серверов вытирать. Когда я таким был, то прав было — минимум и самой крутой административной задачей было вставить CD диск, который присылали по DHL 🙂
Sadok
> Посему RODC + Bitlocker = Хорошо
Битлокер в РФ пока вне закона.
mike
RODC решает в доп.офисе важную проблему. Ты можешь быть администратором сервера, но при этом не сможешь выполнить ни одной операции с AD. Кроме того, у тебя не будет возможности скопировать ntds.dit и вытащить пароли всего домена. А весь домен это зачастую тысячи и тысячи учетных записей.
http://komatozo.blogspot.com Alexander Trofimov
Хе… Ну давайте по порядку: Начнем с модели нарушителя. Для RODC лучше всего подходит внутренний нарушитель. Которому не интересно один раз украсть базу, ему нужнее какие-то права получить, чтобы регулярно что-то тырить. В этом случае — RODC если не панацея, то серьезное подспорье.
Дальше — больше: бывает, что сервер в запертом шкафу стоит на входе в какое-то помещение и все. Проходная комната 😉 Никакой ключик не поможет, база данных находится в Москве (а мы — не забыли? — находимся во Владивостоке) и получить к ней доступ можно только по сети и с чужими полномочиями.
Bitlocker вне закона? Жал. Ссылку почитать дайте, пожалуйста. Но о нем вообще речь зашла лишь "в довесок" =)
То Паша: Паш, ты рассуждаешь с колокольни своей достаточно развитой в плане IT организации: у Вас даже свой выделенный администратор постовой системы есть. А есть конторы, в которых в силу объективных причин происходит то, что ты иначе как "бордель" не назовешь. Для таких компаний конечно RODC нужен, в то время, как тебе он вообще представляется бессмысленной поделкой. Я вот не до конца понимаю объем труда вложенный в Core, но это другой вопрос =)
Sadok
2 Александр Трофимов
Да, Битлокер пока официально в пролете. В феврале посетил в Питере мероприятие "Создание защищенной ИТ-инфраструктуры с помощью Microsoft Forefront" и там это было сразу озвучено товарищами из Микрософта. Использовать можно (законно) только в личных целях. Говорили, что ведут работу в этом направлении, но как-то энтузиазма в глазах не присутствовало.
http://komatozo.blogspot.com Alexander Trofimov
To Sadok: я и так понял уже, что Вам кто-то что-то сказал: дайте мне обоснование или хотя бы ссылку на то дело…
Sadok
Александр, мне мучительно лень искать доклады этой конференции 🙂 Можете обратиться к "предводителю" MCP-клуба Питера: Козлов Игорь <kozlov@spb.edu.ru> (человек неадекватен, предупреждаю). Насколько я понял, проблема заключается в невозможности "отключения" этой системы и "органы" сильно против, согласно законодательству. Я сейчас уточню нюансы и пост дополню.
2 Павел: отключите, пожалуйста, эту КАПТЧУ — бесит неимоверно 🙂
http://www.exchangerus.ru Pavel Nagaev
По поводу нарушителя. На мой взгляд, украсть сервер с АД и потом его ломать — это самый сложный взлом. Гораздо проще поставить видеокамеру у рабочего места админа и т.д., т.е. использовать более простые способы.
В свое время у меня была начальница. Было время Novellа 3.11. Я был обычным хелпдеском с совмещением админских обязанностей, только прав мне не давали. Вернее давали, но в зависимости от фазы луны, могли забрать. Мне это надоело и я на С написал эмулятор входа в сеть. У меня был пароль, она ничего не заметила. Я не преследовал какие-то бандитские цели, мне действительно нужен был пароль для работы и мне надоело к ней ходить с просьбами. Она это потом поняла и случаи с забиранием у меня прав прекратились. Поэтому, если есть цель, то ее можно добиться разными способами. Выдирание паролей из АД — это сложный метод, на мой взгляд.
"Проходная комната Никакой ключик не поможет" ну не верю я, что можно спокойно ломать шкаф в присутствии других людей.
Конторы маленькие и в которых "бардак", как правило, не заинтересованы в защите. Защита — это прежде всего деньги и неудобства. Маленьким конторам не до этого. Не мне тебе об этом рассказывать. Да и вообще, слово "защита" в 99% — это зарабатывание денег продавцами или отмывание денег покупателями. Очень мало контор понимают важность потери данных и считают это в деньгах.
Я тоже не слышал, чтобы Микрософт говорили, что Bitlocker прошел сертификацию. Про Forefront наверное Юра Осипов читал, уточни у него. Насколько мне известно технологии шифрования без сертификации запрещены к использованию в госорганах и коммерции, которые используют гостайну. Не так?
Core на мой взгляд идея отличная, только в ней должен работать PowerShell и никакой графики вообще. Единственно, что непонятно, почему она идет по цене полноценной системы. Народ ее просто покупать не будет и ставить.
http://komatozo.blogspot.com Alexander Trofimov
>> На мой взгляд, украсть сервер с АД и потом его ломать — это самый сложный взлом Паш, мне даже не нужен сервер — мне хватит файла NTDS.dit =) Ты чуть не в теме, но если этого никто не заметит — последствия могут быть просто неимоверными… Честно =) И "выдирание паролей" — полная фигня. Это как раз никому не нужно. Гораздо проще, обладая таким вот "левым контроллером" просто установить полный контроль над AD. Какие уж тут пароли… =) Про "бардак" я к тому, что ты это так расценишь. Для них это как раз нормальный баланс защита/деньги/удобство. И для них RODC станет просто параметром, который не увеличивая затрат и не уменьшая удобства увеличит безопасность. Не так, чтобы слишком, но все-таки. Про BitLocker: давайте не путать сертификацию и "вне закона". Да, пока решение не сертифицировано (а оно вряд ли будет сертифицировано, я уже с Осиповым говорил на эту тему), госструктурам и тем, кто рядом ее использовать нельзя. Но обычной комапании — почему нет? Отсутствие PoSh в Core вызывает у меня брезгливость к оному продукту. Но так как я понимаю другие цинусы и вообще причины появления этого продукта, то я таки согласился "прорекламировать" его. (Паша, ты в курсе — жду не дождусь результатов наших "кинопроб") =) Цена тут опять таки не важна. Важно отсутствие .Net, Explorer и сопутствующего. В итоге получаем сервер, несовместимый с разными супер-пупер-шарепойнтами, без управляющей оболочки, НО! У него, если найти ему все-таки применение, таки ниже даунтайм от обновлений. И выше безопасность "out-of-the-box". То есть опять-таки какой-нибудь файловый сервер на нем сделать или RODC — милое дело. Но учитывая лень народа — ты прав — большинство будет лениться ставить Core — он понадобится только крупным организациям, сильно озабоченным непрерывностью предоставления услуг и безопасностью. Но такова тенденция последних новинок MSFT (да и не только последних) — ориентированность на крупный бизнес. Я прав? =)
Sadok
Читал Рональд Бикелар, Осипов прочел вводную и иногда коментировал
SergINI
Alexander Trofimov не подскажите как ломается NTDS.dit?
Понятно, что это база DAO, аналогичная access, exchange и т.д.
Но MS вроде держит структуру в строжайшем секрете…
http://www.exchangerus.ru Pavel Nagaev
>мне даже не нужен сервер — мне хватит файла NTDS.dit =)
>Ты чуть не в теме, но если этого никто не заметит
Согласен, обсудим на Героях.
Я почему-то думал, что если у тебя есть пароль админа, то можешь контролировать чего угодно. Тоже обсудим.
Кстати через время увидим насколько RODC будет распространен. Да пойдет, но не 50 на 50 :-), а действительно только в специальных случаях.
А я с "фаловер кластеризацией" тоже круто выступил. Все увидим 🙂 Недолго осталось, Томы Крузы блин 🙂
По поводу Core. Поработав с Linux я подумал, что вот плохо, что у Микрософта нет решения типа сервера без графики и управления сервисами с командной строки. Есть масса задач, где нужны рабочие лошадки с DHCP,DNS,AD и т.д. Которые один раз настроил и забыл. Тут они со своим Core нарисовались, но языка нет, управление фиговое и графику оставили. Фу блин.
В общем по Core мы сходны во мнении, RODC ты явно любишь больше, чем я. Причина, ты — безопасник и RODC это плюс к безопасности, как ни крути. Я — почтальон и поскольку RODC не работает с Exchange, то любить мне его не за что. Он даже теоретически не может его любить.
http://komatozo.blogspot.com Alexander Trofimov
А его не надо ломать — его можно использовать. Например, в том же 2008 AD DS я могу просто открыть это дело как снапшот и просматривать и модифицировать как мне влезет. За более полной информацией — на TechNet, я взломы не практикую и не спонсирую информацией. Но этот файлик — самое ценное, что есть в Вашей организации с точки зрения безопасности. Если его украли и Вы не знаете — у Вас украдут все. Это будет не просто, но это возможно и будет сделано.
Опять должен все-таки напомнить слова Паши, что если сильно усложнить взлом базы, то злоумышленник просто подкупит уборщицу/бухгалтера/сисадмина и получит все, что ему нужно =(
http://komatozo.blogspot.com Alexander Trofimov
Не, Паш, для меня отсутствие поддержки Exch очень сильно удручает, потому что безопасность должна кое-где идти на поводу у приложений. Я на своем докладе в Клубе (тогда еще не было толком информации) говорил, что, по идее, он должен работать с RODC, но, как вышло, ошиблось я… Кстати, дай ссылочку, если есть — чтобы я голову пеплом посыпал аргументированно =)
Хотя, подозреваю, что есть возможность все-таки натравить его на GC, который на RODC. На самом деле, единственное, что не отличается практически на RODC и на обычном DC это как раз GC.
No version of Microsoft Exchange uses read-only domain controllers (RODCs) or read-only global catalog servers (ROGCs). However, Microsoft Exchange works in environments that include RODCs or ROGCs, as long as there are writeable domain controllers available. Exchange 2007 effectively ignores RODCs and ROGCs. Exchange 2003 also ignores RODCs and ROGCs in default conditions where Exchange components automatically detect available domain controllers. No changes were made to Exchange 2003 to make it read-only directory server-aware. Therefore, trying to force Exchange 2003 services and management tools to use RODCs may result in unpredictable behavior.
http://komatozo.blogspot.com Alexander Trofimov
Спасибо… Сдается мне, они просто поленились сделать их RODC aware и до кучи плохо оттестировали и теперь на воду дуют… ладно, посмотрим. Спасибо =)
Stanky
Присоединяюсь к Саше!
Дайте мне физический доступ к контроллеру домена и я дам вам любые права. Причём понадобится мне для этого минут 10, так что думайте о целесообразности RODC сами;-)…
http://www.exchangerus.ru Pavel Nagaev
Физический доступ — пожалуйста, вытащу из него все внешние устройства, закрою корпус на замок и ломай на здоровье. Это ведь можно сделать то в удаленном филиале?
Pavel Dugaev
Stanky — а если там не хранятся хэши — тоже минут 10?
Stanky
Мне не нужны хэши. Нужно лишь, чтоб контроллер к которому будет доступ синхронизировался с остальными. То есть это не взлом админских паролей.
http://komatozo.blogspot.com komatozo
>>закрою корпус на замок и ломай на здоровье
Паш, ну ты как дите, ей богу… Ну это даже не смежно — защита на порядки ниже, чем если просто закриптовать раздел. НУ сидит у тебя там ночной сторож (а ты помнишь, что выделенного помещения у тебя нет), у которого времени на подбор отмычки — дох… Много, в общем, времени =) Ну и что ты будешь против него делать? Ставить видимокамеру? Так она куда-то должна свои данные писать, причем, в надежное место: в нашем случае, читай — главный офис. В общем, RODC вещь полезная, и смущает только то, что с ним не работают заведомо ресурсоемкие в плане доступа к AD приложения. =)
http://www.exchangerus.ru Pavel Nagaev
Мне все же кажется, что проблема с удаленным офисом больше надумана. Микрософту надо же продавать технологии, вот они и продают. У больших компаний с деньгами таких проблем нет и не будет, любой офис подразумевает и CКС, и помещение под серверы. Если уж все будет плохо, то канал купят хороший для офиса. Расчет идет на средние и мелкие компании.
Но я все же не понимаю, это Микрософт коровники подключать к АД планирует?
Понятно, что RODC вещь хорошая, но не все технологии у Микрософта идут хорошо. Я думаю, что это технология не будет сильно распространена. Даже было бы интересно узнать, общее количество RODC против DC установленных в компаниях года через три после выхода Windows 2008.
Саша, это я так, брюзжу ……:-)
http://komatozo.blogspot.com Alexander Trofimov
=)
Есть такие проблемы и у больших компаний. Они деньги считают — куда там маленьким иногда. Я тебе в приватной беседе скажу одну большую контору, которой данные проблемы не чужды =) Опять таки повторюсь — наличие технологии всяко лучше, чем, ее отсутствие. Даже технология с недостатками (а у какой технологии ее нет? =) ) лучше ее отсутствие. А использовать или нет — дело личное =)
З.Ы. А побрюзжать это да… Святое… =)
Такой параноик как я, между прочим, как раз говорил, что происшедшее возможно =)
Так что базовые шаги демонстрации нужно готовить заранее — получится не так затянуто. А в целом — респект. Паша, ты убежден, что RODC вещь, в целом, не бесполезная? =)
Stanky: respect & uvazhukha! =)
http://www.exchangerus.ru Pavel Nagaev
Покательные выступления были очень хороши. Конечно мое мнение изменилось.
Stanky
> Такой параноик как я, между прочим, как раз говорил, что
> происшедшее возможно =)
>
А я, между прочим, сразу присоединился к твоему лагерю — пост № 21. В демке это уже для красного словца 🙂 .
> Так что базовые шаги демонстрации нужно готовить заранее
>
Во-первых — хотелось чистоты эксперимента, а во-вторых — это всё же мой дебют.
> Stanky: respect & uvazhukha! =)
>
Спасибо, от такого Злодея 😉 , как ты, отзывы имеют особую ценность!
http://komatozo.blogspot.com Alexander Trofimov
=)
Та не за шо. Отзывы раздавать это не мешки ворочать =)