Найти в Дзене
AVANPOST
729 подписчиков

❔ Что делать, когда нужно обеспечить автономность службы каталогов в удалённом филиале

1 мин
? Такая, казалось бы, тривиальная задача, имеет не совсем тривиальное решение☝️ Ведь не всегда можно просто установить контроллер домена в удалённом филиале: там может не быть ни своего ЦОД, ни даже помещения с достаточным уровнем безопасности. 📃 Служба каталогов является ядром системы аутентификации, и её необходимо защищать соответствующе. Если злоумышленник получит физический доступ к контроллерам домена – он сможет извлечь из каталога аутентификационную информацию или внести туда несанкционированные изменения. Avanpost DS позволяет решить эту проблему за счёт особых котроллеров домена с доступом только на чтение (read-only domain controller – RODC). Впервые эта технология была представлена Microsoft в службе каталогов Active Directory. И так же как решение от Microsoft, RODC Avanpost DS обеспечивает следующие меры защиты: 🔵 RODC не может инициировать репликацию. Если какая-либо операция требует записи в каталог, такой запрос перенаправляется контроллеру домена, доступному дл

❔ Что делать, когда нужно обеспечить автономность службы каталогов в удалённом филиале?

Такая, казалось бы, тривиальная задача, имеет не совсем тривиальное решение☝️ Ведь не всегда можно просто установить контроллер домена в удалённом филиале: там может не быть ни своего ЦОД, ни даже помещения с достаточным уровнем безопасности.

📃 Служба каталогов является ядром системы аутентификации, и её необходимо защищать соответствующе. Если злоумышленник получит физический доступ к контроллерам домена – он сможет извлечь из каталога аутентификационную информацию или внести туда несанкционированные изменения.

Avanpost DS позволяет решить эту проблему за счёт особых котроллеров домена с доступом только на чтение (read-only domain controller – RODC). Впервые эта технология была представлена Microsoft в службе каталогов Active Directory. И так же как решение от Microsoft, RODC Avanpost DS обеспечивает следующие меры защиты:

🔵 RODC не может инициировать репликацию. Если какая-либо операция требует записи в каталог, такой запрос перенаправляется контроллеру домена, доступному для записи. Это предотвращает любые попытки несанкционированных изменений в каталоге из небезопасного местоположения.

🔵 RODC предоставляет возможность ограничить получение чувствительных данных при репликации. Пароли учётных записей, входящих в специальную группу, не будут реплицированы на контроллер домена для чтения. Это позволяет обезопасить чувствительные учётные данные в случае физического доступа к RODC.

Также топология репликации Read-Only контроллера домена отличается от обычных КД:

🔘 RODC не участвует в построении стандартной топологии. Вместо этого он выбирает ближайший доступный для записи КД и привязывается к нему для получения изменений при репликации.

🔘 RODC не может инициировать перестроение топологии при недоступности КД, который он использует для получения изменений. Вместо этого он использует обнаружение DNS-записей для переключения на ближайший доступный КД.

Настроить режим Read-Only на контроллере очень просто! Для этого нужно добавить дополнительный ключ в команду ввода контроллера в репликацию при установке Avanpost DS на КД.

А начать тестирование можно уже сегодня с помощью версии Avanpost DS Public 😏

🅰️ Подписаться на Avanpost

Гаджеты и электроника
5,73 млн интересуются