Los RODC realmente tienen que ver con la seguridad física, y no con la seguridad de la red. Son una actualización de sus viejos controladores de dominio de copia de seguridad, que tenían una desagradable tendencia a ser robados (y la base de datos junto con ella).
Los RODC vienen con una cuenta kbtgt única, por lo que no pueden entrometerse en Active Directory, ni descifrar boletos kerberos en nombre de WDC, en caso de una violación física, y de manera predeterminada, los RODC no permiten el almacenamiento en caché de contraseñas, nuevamente en caso de una violación física.
Al restringir las credenciales almacenadas en caché, solo a las cuentas de usuario y de computadora que pertenecen a una sucursal, limita las consecuencias en caso de una infracción y permite que la sucursal continúe funcionando en caso de que se caiga un enlace.
Sé que Microsoft técnicamente admite oficialmente poner RODC en la DMZ, pero por experiencia puedo decir que esto es realmente más problema de lo que vale. Tendrá que auditar cada una de sus aplicaciones integradas de AD para asegurarse de que admite el trabajo con un RODC. ¿Por qué? Porque todavía hay muchos escenarios que los RODC simplemente no admiten. Ciertas llamadas RPC pueden y simplemente fallarán sin razón. Estos escenarios se describen en el documento de Microsoft Planificación e implementación de controladores de dominio de solo lectura , subsección Base de datos de Active Directory de solo lectura, SYSVOL, y Replicación unidireccional :
Cuando un usuario o una aplicación en un sitio que recibe servicio de un RODC intenta realizar una operación de escritura, puede ocurrir una de las siguientes acciones:
- El RODC reenvía la solicitud de escritura a un controlador de dominio de escritura y luego replica el cambio desde el controlador de dominio de escritura. Para la mayoría de las operaciones de escritura, el cambio se replica en el RODC durante el siguiente intervalo de replicación programado. En algunos otros casos, el RODC intenta replicar el cambio inmediatamente. Un RODC reenvía un conjunto muy limitado de escrituras, incluyendo lo siguiente:
- La mayoría de los tipos de cambios de contraseña. Para obtener más información sobre los cambios de contraseña, consulte Cambios de contraseña en un RODC.
- Actualizaciones del nombre principal del servicio (SPN). Cuando una computadora unida a un dominio tiene un canal seguro para un RODC y Netlogon intenta actualizar los SPN, el reenvío se realiza a través de RPC.
- Algunas actualizaciones de los atributos del cliente a través de Netlogon: nombre del cliente, DnsHostName, OsVersionInfo, OsName, tipos de cifrado admitidos
- LastLogonTimeStamp. Cuando una computadora unida a un dominio tiene un canal seguro para un RODC y Netlogon intenta actualizar estos atributos, el reenvío se realiza a través de LDAP.
- El RODC envía una referencia para un controlador de dominio grabable al cliente. La aplicación desde la cual se originó la operación de escritura puede luego perseguir la referencia y apuntar a un controlador de dominio grabable para realizar la operación de escritura. De manera predeterminada, los RODC envían referencias para actualizaciones del Protocolo ligero de acceso a directorios (LDAP) y actualizaciones de registros del Sistema de nombres de dominio (DNS).
- La operación de escritura falla: no se refiere ni se reenvía a un controlador de dominio grabable. En este caso, la aplicación que solicita la escritura debe actualizarse para apuntar específicamente a un controlador de dominio grabable. Un número de escrituras RPC se incluyen en esta categoría.