Windows Server 2008 r2 – Controladores de dominio de solo lectura RODC – Teoría

windows-server-2008-r2-logo

Muy buenas amigos, aquí seguimos con más vídeos sobre Windows Server 2008 y ahora ya vamos a ir tocando los temas que se han quedado fuera durante este tiempo pero que no por ello son menos interesantes, aunque siempre he apostado por crear artículos más “válidos para el día a día” y no tan “espectaculares” o complejos por decirlo de alguna forma.

Un Read Only Domain Controller o RODC o porque no, Controlador de Dominio de Solo Lectura es un controlador de dominio que tiene como finalidad aumentar la seguridad en redes distribuidas geográficamente y para ello hace uso de algunos mecanismos.

Base de datos de Active Directory de solo lectura
Un RODC mantiene una copia de todos los objetos del directorio asi comod e sus atributos salvo por las contraseñas que no se almacenan en este, esto permite a los usuarios utilizar al RODC para validarse, en este proceso el RODC reenvía esta petición a un DC superior para llevar a cabo el proceso de autenticación, como resultado de este proceso algunas credenciales quedan cacheadas en el RODC pero esto a su vez tiene como ventaja el no comprometer todas las credenciales del dominio puesto que solo se almacenarán las utilizadas en esa ubicación especifica. Como remate, el DC de nivel superior mantiene un control sobre estas y en caso de un problema de seguridad podremos reestablecer las contraseñas de los usuarios afectados.

Pero este nivel de seguridad implica el no poder realizar cambios directamente sobre este Controlador de Dominio ya que es de solo lectura, para ello necesitaríamos realizar estos cambios sobre un DC con AD DS de nivel superior (con esto de nivel superior me refiero a un DC de lectura/escritura) y después replicarlos al resto de RODC’s de la red.

Si además trabajamos con aplicaciones que requieren acceso a la base de datos de Active Directory no habrá problema siempre y cuando este acceso sea de solo lectura, en caso de necesitar un acceso más completo deberemos configurar la aplicación para que trabaje contra un DC de lectura/escritura.

Replicación unidireccional
Aunque este tipo de controlador de dominio esta pensado para evitar realizar cambios en el directorio es posible que algún chico o chica mala consiga hacer cambios sobre el RODC, en este caso no pasará nada ni se replicarán los datos al resto de controladores de dominio con lo que se mantendrá un buen nivel de seguridad.

Para reforzar esto y a pesar de que es posible trabajar con un nivel funcional de Windows Server 2003 es recomendable elevar el nivel funcional del dominio hasta Windows Server 2008 ya que si cabe la posibilidad de replicar datos desde un Controlador de Dominio Windows Server 2003, al elevar el nivel funcional a Windows Server 2008 no podremos tener ningún DC 2003 que comprometa la seguridad en este punto.

Separación de la función de Administrador
Obviamente será necesario llevar a cabo algún tipo de mantenimiento en el servidor en algún momento y claro, para esto será necesario hacerlo con una cuenta de usuario de Administrador. Aunque antes comenté que se cachean las contraseñas de los usuarios de la red esto es algo que se puede configurar mediante la directiva de replicación de credenciales o Password Replication Policy PRP mediante la cual podemos especificar que objetos podrán mantener una cache en el servidor.

Para poder llevar a cabo estas tareas administrativas sin comprometer más de lo necesario la seguridad podemos delegar sobre un usuario las tareas de administración del RODC dicho usuario podrá ejercer de administrador para ese servidor pero no podrá hacerlo en ningún otro DC o RODC cosa que contribuye a mantener la seguridad de la red.

Un caso similar a esto lo podemos ver en uno de los últimos vídeos que he publicado, os lo dejo.



Registros de DNS de solo lectura
dado que podemos instalar un servicio de DNS en el RODC deberemos de tener en cuenta que no podremos configurarlo para que acepte actualizaciones dinámicos directas de los registros desde los clientes esto conlleva a que el cliente sea “derivado” a un servidor grabable que si pueda procesar la petición adecuadamente.

Y aunque habían pensado en incluir el vídeo en este mismo artículo creo que esta vez haré una excepción y dejaré este artículo tal cual para poder dedicar algunos vídeos al tema del RODC que creo que es muy interesante y puede ser de utilidad paramuchos,

Antes de irme quiero dejar algunos enlaces en los que me he apoyado comprender mejor todo esto del RODC y que espero que os sean de gran ayuda, un saludo!

Microsoft TechNet
Características de un RODC
Consideraciones adicionales de ubicación de RODC
Preguntas más frecuentes de RODC

Marcelo Di Lorio
Read-Only Domain Controllers (RODC)

Sin categoría

Deja una respuesta