I controller di dominio di sola lettura riguardano davvero la sicurezza fisica e non la sicurezza della rete. Sono un aggiornamento dei controller di dominio di backup obsoleti, che hanno avuto una brutta tendenza a essere rubati (e al database insieme ad esso).
I RODC sono dotati di un unico account kbtgt, quindi non possono intromettersi su Active Directory, o decifrare i ticket di kerberos per conto dei WDC, in caso di violazione fisica e, per impostazione predefinita, i RODC non consentono il caching delle password, di nuovo in caso di violazione fisica.
Limitando le credenziali memorizzate nella cache, solo agli account utente e computer appartenenti a una succursale, limiti la ricaduta in caso di violazione e consenti alla filiale di continuare a funzionare in caso di un collegamento verso il basso.
So che Microsoft supporta ufficialmente la messa in produzione dei controller di dominio di sola lettura nella DMZ, ma per esperienza posso dire che questo è davvero più un problema che non ne vale la pena. Dovrai controllare ognuna delle tue applicazioni integrate AD per assicurarti che funzioni con un controller di dominio di sola lettura. Perché? Perché ci sono ancora molti scenari che i RODC semplicemente non supportano. Alcune chiamate RPC possono semplicemente fallire senza motivo. Questi scenari sono descritti nel documento Microsoft Pianificazione e distribuzione dei controller di dominio di sola lettura , sottosezione Database Active Directory di sola lettura, SYSVOL e Replica unidirezionale :
When a user or application in a site that is serviced by an RODC attempts to perform a write operation, one of the following actions can occur:
- The RODC forwards the write request to a writable domain controller and then replicates the change back from the writable domain controller. For most write operations, the change is replicated back to the RODC during the next scheduled replication interval. In some other cases, the RODC attempts to replicate the change immediately. An RODC forwards a very limited set of writes, including the following:
- Most types of password changes. For more information about password changes, see Password changes on an RODC.
- Service principal name (SPN) updates. When a domain-joined computer has a secure channel to an RODC and Netlogon attempts to update SPNs, the forwarding is done over RPC.
- Some updates to client attributes over Netlogon: client name, DnsHostName, OsVersionInfo, OsName, Supported Encryption Types
- LastLogonTimeStamp. When a domain-joined computer has a secure channel to an RODC and Netlogon attempts to update these attributes, the forwarding is done over LDAP.
- The RODC sends a referral for a writable domain controller to the client. The application from which the write operation originated can then chase the referral and target a writable domain controller to perform the write operation. By default, RODCs send referrals for Lightweight Directory Access Protocol (LDAP) updates and Domain Name System (DNS) record updates.
- The write operation fails: it is neither referred nor forwarded to a writable domain controller. In this case, the application requesting the write should be updated to specifically target a writable domain controller. A number of RPC writes fall under this category.