В. Какие значения может локально записывать контроллер домена только для чтения (RODC)?

О. . Любая операция записи перенаправляется на контроллер домена для чтения и записи (DC). Однако существуют исключения, чтобы защитить RODC от атаки в тех случаях, когда RODC не может установить связь с контроллером домена для чтения и записи.

Представьте, что RODC в помещении филиала теряет связь с центром обработки данных и его контроллерами домена для чтения и записи. Обычно если злоумышленник пытается предпринять атаку с отгадыванием пароля учетной записи, учетные записи блокируются на некоторое время после заданного числа неудачных попыток, чтобы защитить учетную запись от постоянных атак. Но если контроллеру RODC неизвестно, когда блокировать учетные записи из-за невозможности записать сведения о неудачных попытках регистрации в контроллере домена для чтения и записи, может возникнуть серьезная проблема. У контроллеров RODC есть следующие ограниченные возможности записи для защиты от атак:

  • Атрибут msDS-LastSuccessfulInteractiveLogonTime -- отслеживает последнюю попытку успешной регистрации. Не передается в контроллер домена для чтения и записи.
  • Атрибут msDS-FailedInteractiveLogonCountAtLastSuccessfulLogon -- отслеживает число неудачных попыток интерактивной регистрации за время проведения последних успешных регистраций. Не передается на контроллер домена для чтения и записи.
  • Атрибут msDS-LastFailedInteractiveLogonTime -- отслеживает последние неудачные попытки интерактивной регистрации. Передается на контроллер домена для чтения и записи, который затем реплицирует атрибут на контроллер RODC во время следующего цикла репликации.
  • Атрибут msDS-FailedInteractiveLogonCount -- отслеживает число неудачных попыток интерактивной регистрации. Передается на контроллер домена для чтения и записи, который затем реплицирует атрибут на контроллер RODC во время следующего цикла репликации.