silvesterlangen.de

Seite
Menü

RO-DC zur Domäne hinzufügen

Was ist ein RODC?

Ein Read Only Domänen Controller ist ein Domänen Controller, der selbst keine Replikationen initiieren kann. Er kann nur Anfragen an den eigentlichen Domänen Controller stellen, um dort Anmeldeinformationen zu verfizieren und sie zwischenzuspeichern. Selbst kann er keine Änderungen vornehmen. Er kann nur Änderungen an den DC übergeben.

Warum brauche ich einen RODC?

Die Idee ist folgende: Eine Niederlassung eines großen Unternehmens hat 30 Mitarbeiter und ist zu klein für eine eigene IT-Abteilung, die sich um einen DomänenController kümmern könnte. Die Anmeldung müsste über das Internet stattfinden, was ansich kein Sicherheitsproblem ist. Allerdings könnte die Internetverbindung längere Zeit ausfallen. Das würde bedeuten, dass die Mitarbeiter nicht arbeiten können.

Man braucht eine Maschine, die die Anmeldeinformationen der Domäne für die Niederlassung zwischenspeichern kann und es den Niederlassungsmitarbeitern ermöglicht daran zu authentifizieren. Genau das kann der Read Only Domain Controller. Selbst, wenn die Internetverbindung einige Stunden ausfallen würde, könnten die Mitarbeiter wie gewohnt in der Domäne arbeiten.

Das bietet doch auch ein Mehr an Sicherheit, oder?

Ja, tatsächlich. Denn einen RODC anzugreifen und die Kontrolle zu übernehmen, um bspw. Gruppenrichtlinien zu ändern (hohes Sicherheitsrisiko!) ist zwar nicht schön, aber es findet, anders als beim normalen DC, keine Rück-Replikation zu den anderen DCs statt. Somit bleiben diese vom Schaden verschont.

Wie richte ich einen RODC ein?

Schritt 1)

Behalten wir zunächst im Hinterkopf, dass wir weit von der Niederlassung weg sind und selbst nicht dort hin fahren können. Wir sind also auf die Mithilfe eines computerbegeisterten Mitarbeiter in der Niederlassung angewiesen. Aus diesem Grund braucht dieser ein Benutzerkonto auf dem RODC und muss dort lokaler Administrator auf dem Computer sein.

Schritt 2)

Zunächst sollte der RODC kein Mitglied in der Domäne sein und die Netzwerkverbindung muss hergestellt werden, dass sich beide Server, RODC und DC in der Hauptniederlassung, erreichen können. Die Namensauflösung muss funktionieren, sodass der RODC den DC mit seinem Namen erreichen kann. Der Hostname des RODC muss jetzt gesetzt werden.

Schritt 3)

Wir fügen die Rolle Active Directory Domänen Controller dem RODC hinzu, fahren ihn dann runter und verschicken ihn an die Niederlassung. Dort packt der Mitarbeiter den Computer aus und startet ihn.

Schritt 4)

In der Zwischenzeit legen wir noch ein neues Benutzerkonto für den Mitarbeiter im DC in der Hauptniederlassung an. Dann in der OU "Domain Controllers" das Computerkonto für den RODC an. Rechte Maustaste auf die OU und dann den Punkt "Konto für schreibgeschützten Domänencontroller vorbereiten" wählen. Mit dem Assistenten arbeiten und am Ende dann den Benutzer wählen den wir vorhin angelegt haben.

Schritt 5)

Wie gewohnt den Mitarbeiter in der entfernten Niederlassung den RODC beitreten lassen. Feritg ist die Laube!

« vorige Seite Seitenanfang nächste Seite »
Seite
Menü
Earned Certificates:
LPIC-1 LPIC-1 LPIC-1
Powered by CMSimple | Template by CMSimple | Login