Установка контроллера домена только для чтения



Установка контроллера домена только для чтения

RODC (Read-Only Domain Controller)- тип контроллера домена, появившийся в Windows Server 2008, предназначенный для установки в офисы где не гарантируется физическая сохранность контроллера домена. Основной задачей RODC является улучшение безопасности в офисах филиалов компании, поскольку контроллер RODC поддерживает копию всех объектов в домене и всех атрибутов, кроме паролей пользователей. Если контроллер RODC будет похищен, злоумышленники кроме как физического железа ни чего не получат, в частности- список паролей будет не доступен, и за сохранность домена можно не переживать.

Процесс установки RODC зависит от уровня функционирования леса (для уровня Windows Server 2000 установка RODC не предусмотренна)

Условия установки RODC в домене с функциональным уровнем Windows Server 2003

— Перед установкой запустить команду adprep/rodcprep;

— Один из контроллеров в домене должен быть Windows Server 2008;

— После этого можно приступить к установке RODC.

Условия установки RODC в домене с функциональным уровнем Windows Server 2008

— Можно сразу приступить к установке RODC

Установка контроллера домена RODC.

Рассмотрим процесс установки RODC более подробно в функциональном уровне леса Windows Server 2008 (2008 R2)

Перед установкой роли RODC необходимо проделать следующие шаги (более подробно описано в статье » Установка роли контролера домена на Windows Server 2008/ 2008 R2 «:

— Установить обновление на Windows Server 2008 (2008 R2);

— Установить необходимый часовой пояс;

— Изменить имя компьютера (если вас не устраивает нынешнее);

— Настроить сетевую конфигурацию.

Следующим шагом приступаем к разворачиванию роли контроллера домен на сервере, для этого запускаем «Диспетчер сервера- Роли» , нажимаем «Добавить роли».

Читаем информационное окно и нажимаем «Далее».

В окне Выбора ролей сервера ставим галочку напротив «Доменные службы Active Directory», появится окно о установки дополнительных компонентов, нажимаем «Добавить необходимые компоненты».


Читаем информационное окно и нажимаем «Далее».

В окне Подтверждения, утверждаем свой выбор и нажимаем «Установить».

После этого будет происходить установка ролей. По окончании, если все прошло успешно, увидите окно с подтверждением успешной установки, нажимаете «Закрыть».

На этом процесс установки контроллера домена не закончен, теперь необходимо, как и на Windows Server 2003, запустить команду DCPROMO. Для этого нажимаем «Пуск» и в строке поиска пишем DCPROMO и нажимаем «Enter».

Откроется мастер установки доменных служб AD, нажимаем «Далее».

Читаем очередное информационное окно и нажимаем «Далее».

Поскольку мы настраиваем второй домен в лесу, в окне выбора конфигурации развертывания, выбираем «Существующий лес- Добавить контроллер домена в существующий лес».

После этого указываем имя корневого домена леса и прописываем логин и пароль.

Выбираем домен для данного добавочного контроллера домена.

Следующим шагом выбираем сайт.


Выбираем дополнительные параметры для контроллера. Обратите внимание, что именно на этом шаге необходимо указать, что данный контроллер домена RODC.

Задаем, если это необходимо пользователя или группу, которая будет иметь права для администрирования RODC


В следующем окне можно изменить расположение баз данных, файлов журнала и папки Sysvol. Эти файлы лучше всего хранить в трех отдельных папках, где нет приложений и других файлов, которые не связанны с AD, благодаря этому повыситься производительность, а также эффективность архивации и восстановления. Поэтому не рекомендую менять пути, оставить все как есть и нажать кнопку «Далее».

Следующим шагом необходимо ввести пароль администратора для запуска режима восстановления. Поскольку при установке на сервер роли контроллера домена такое понятие как локальный администратор теряет всякий смысл.

В следующем окне проверяем все настройки и если все указано верно нажимаем «Далее».

Начнется установка первого контроллера домена в лесу. Процесс может занять 10-20 мин. Рекомендую установить галочку «Перезагрузить по завершении«.

После перезагрузки сервера, процесс настройки первого контроллера домена можно считать оконченной.

Поскольку, как я писал выше, RODC не сохраняет у себя пароли и постоянно подключается к другому контроллеру домена, может возникнуть ситуация, когда связь между RODC и DC будет не доступна и пользователи не смогут даже залогинится в под своими учетными записями на компьютер, для этих целей для пользователей работающих в сети с RODC, можно включить кеширование паролей, таким образом для них обрыв связи RODC с DC будет незаметным. Обратите внимание, для повышения безопасности RODC не должен кешировать пароли привелигерованных пользователей и групп (доменных администраторов, администраторов схемы и т.д.)

Для того что бы добавить пользователей в сохранение паролей на RODC необходимо зайти в оснастку «Active Directory — Пользователи и компьютеры«, выбрать группу «Domain Controllers» найти название сервера RODC, нажать правой кнопкой мыши на нем и выбрать пункт «Свойства«.

В окне свойств заходим во вкладку «Политика репликации паролей» и видим, что существующая группа «Группа с разрешением репликации паролей RODC» разрешает сохранять пароли пользователей, таки образом можно включить в нее необходимых пользователей или группу, а можно явным образом указать необходимых пользователей или группы с состояние «Разрешить«.

Из-за ограниченности возможностей RODC рекомендую использовать его только в случае возможной кражи или общедоступности контроллера домена.

Источник

Установка контроллера домена только для чтения

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-000

Всем привет сегодня я хочу рассказать что такое RODC и как установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2. Контроллеры домена только для чтения (RODC) – новый тип контроллеров домена в операционной системе Windows Server 2008. Используя контроллер домена только для чтения, организации могут легко развернуть контроллер домена в местах, где невозможно гарантировать физическую безопасность. На контроллере домена только для чтения размещаются разделы базы данных доменных служб Active Directory, доступные только для чтения.

Для чего нужен контроллер домена только для чтения?

Самой частой причиной развертывания контроллера домена только для чтения является недостаточный уровень физической безопасности. Контроллер домена только для чтения можно более безопасно развернуть в тех местах, где необходимы быстродействующие надежные службы проверки подлинности, но невозможно гарантировать физическую безопасность контроллера домена, доступного для записи.

Подготовка к развертыванию

Предварительные требования к развертыванию контроллера домена только для чтения указаны ниже.

  • Контроллер домена только для чтения должен перенаправлять запросы проверки подлинности доступному для записи контроллеру домена с ОС Windows Server 2008. На этом контроллере домена должна быть задана политика репликации паролей, определяющая необходимость репликации учетных данных в филиале для перенаправленных запросов от контроллера домена только для чтения.
  • Домен должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать ограниченное делегирование Kerberos. Ограниченное делегирование используется для обработки вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
  • Лес должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать репликацию связанного значения. Это обеспечивает более высокую согласованность репликации.
  • В лесу необходимо однократно выполнить команду adprep /rodcprep для обновления разрешений во всех разделах каталога приложений DNS в лесу. Это позволяет всем контроллерам домена только для чтения, которые также являются DNS-серверами, успешно реплицировать разрешения.

Для кого предназначена эта возможность

Контроллер домена только для чтения предназначен преимущественно для развертывания в удаленных средах и в филиалах. Для филиалов обычно характерны следующие особенности:

  • сравнительно небольшое количество пользователей;
  • низкий уровень физической безопасности;
  • сравнительно низкая пропускная способность соединения с узловым сайтом;
  • плохое знание информационных технологий сотрудниками.
Читайте также:  Виснет клавиатура при установке windows

Представим, что у вас есть два сайта AD и два офиса, главный и филиал, и в филиале планируется установка RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-00

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-00

Видим, что у нас есть контроллер домена rodc.msk.pyatilistnik.org

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-01

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-01

Запускаем мастер установки доменных служб Active Directory, в пуске пишем dcpromo.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-002

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-002

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-003

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-003

В открывшемся окне мастера, жмем далее, но если нужно использовать загрузочный носитель IFM, то выбираем расширенный режим.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-004

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-004

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-005

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-005

Выбираем существующий лес, Добавить контроллер домена в существующий лес.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-006

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-006

Выбираем имя домена и учетные данные у которых есть права на установку.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-007

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-007

Я указываю данные администратора домена.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-008

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-008

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-009

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-009

Выбираем домен для добавления DC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-010

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-010

Указываем сайт AD, у меня один но в идеале у вас у каждого филиала должен быть свой сайт.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-011

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-011

Снимаем галку Глобальный каталог и ставим RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-012

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-012

Теперь нам нужно указать пользователя или группу кто будет иметь права локального администратора на RODC,

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-013

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-013

Я для этого в ADUC создаю группу безопасности под именем Rodc_admin

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-14

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-14

Задаем эту группу

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-15

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-15

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-16

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-16

Задаем место хранения каталогов и БД

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-17

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-17

Задаем пароль администратора восстановления каталогов

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-18

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-18

Смотрим сводные данные и жмем далее.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-19

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-19

Начнется установка поставьте галку перезагрузка, для автоматической перезагрузки.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-20

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-20

После перезагрузки заходим на пишущий контроллер и открываем Active Directory Пользователи и компьютеры открываем контейнер Domain Controllers и видим наш RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-21

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-21

Вот так вот просто установить контроллер домена для чтения RODC Windows Server 2008 R2. Далее читайте базовая настройка контроллера домена для чтения RODC Windows Server 2008 R2.

Источник

Для системного администратора

headermask image

Работа с контроллерами доменов, доступными только для чтения (часть 1

В Windows Server 2008 компания Microsoft вернула функцию, которая отсутствовала в продуктах с времен Windows NT: контроллеры домена – только чтение (Read Only Domain Controllers). В этой статье я объясню, почему это было сделано, а также расскажу о преимуществах использования таких контроллеров домена.

Я очень редко смотрю телевидение, но когда я сел писать эту статью, я не мог не вспомнить эпизод из 30 Rock, который видел недавно. В этом эпизоде, главный персонаж шоу, Лиз Лемон, встречалась с парнем, который был единственным жителем Нью Йорка, все еще торговавшим пейджерами. Когда Лиз сказала ему, что никто уже не использует пейджеры, так как у всех есть сотовые телефоны, он утверждал, что технология циклична, и что пейджеры ждет великое возвращение.

Хотя эта реплика должна была быть комической, я считаю, что технологии в большей степени цикличны, чем многие из нас думают. Например, я не считаю, что пейджеры когда-либо вернуться, но разве функции СМС в сотовых телефонах сильно отличаются от тех текстовых пейджеров, которыми мы пользовались лет пятнадцать назад?

Спонсор поста

Все автомобили audi в одном месте. Отзывы на все авто, фото, цены и многое другое.

Возможно более удачным примером цикличности некоторых технологий будет новый тип контроллеров домена, включенный в Windows Server 2008, которые называется Контроллер домена, доступный только для чтения (Read Only Domain Controller или RODC). Причина, по которой я говорю, что это пример цикличности технологии, заключается в том, что в определенном роде RODC не использовались на протяжении более десяти лет.

Windows NT была первой серверной ОС от компании Microsoft. Как и современные ОС Windows Server, система Windows NT полностью поддерживала использование доменов. Разница, однако, заключалась в том, что только один контроллер в каждом домене был доступен для записи. Этот контроллер домена, известный как Основной контроллер домена (Primary Domain Controller или PDC), был единственным контроллером домена, на который администратор мог записывать информацию. Основной контроллер домена затем мог передавать обновления на другие контроллеры в домене. Эти контроллеры домена назывались резервными контроллерами домена, и были доступны только для чтения в том смысле, что их можно было обновлять только через основной контроллер.

Хотя такая модель домена работала, она имели свои слабые стороны. Самой важной слабостью такой модели было то, что проблема с основным контроллером домена могла повреждать весь домен. Как вы, вероятно, знаете, компания Microsoft внесла значительные изменения в эту модель домена, когда выпустила Windows 2000 Server. Windows 2000 Server представил две новые технологии для контроллеров домена, обе из которых до сих пор используются; служба каталогов Active Directory и модель домена с несколькими основными контроллерами.

Хотя до сих пор существует роль эмулятора PDC и несколько других специфичных ролей, в большей части каждый контроллер домена в такой модели доступен для записи. Это означает, что администратор может применить обновление на любой контроллер домена, и это обновление затем будет передано на все остальные контроллеры в домене.

Такая модель с несколькими основными контроллерами сохранилась в Windows Server 2003, и все еще используется в Windows Server 2008. Однако Windows Server 2008 также позволяет вам создавать контроллеры домена, доступные только для чтения. RODC – это контроллеры домена, на которых база данных Active Directory не может быть обновлена администратором напрямую. Единственный способ обновления таких контроллеров домена – это применение изменений на контроллере домена, доступном для записи, и последующая передача этих изменений на RODC. Звучит знакомо?

Как вы видите, RODC – это ни что иное, как пережиток времен Windows NT. В этом случае технология действительно циклична! Конечно, компания Microsoft не вернула бы RODC, если бы в этом не было своих положительных сторон.

Прежде чем приступить к объяснению того, почему компания Microsoft вернула RODC, позвольте мне пояснить, что использование RODC является абсолютно опциональным. Если вы хотите, чтобы все контроллеры домена в вашем лесу были доступны для записи, вы определенно можете это сделать.

Единственное, о чем я хотел быстро упомянуть, это то, что даже, несмотря на то, что RODC очень похожи на резервные контроллеры домена, использовавшиеся в Windows NT, они немного изменились. Есть несколько моментов, которые уникальны для RODC, и о них я расскажу позже.

Читайте также:  Мультитроникс rc 700 установка

Итак, почему же компания Microsoft решила вернуть RODC? Это связано с проблемами поддержки офисов филиалов. Офисы филиалов традиционно трудно поддерживать в силу их изоляции и природы подключения между головным офисом и офисами филиалов.

Традиционно существовало несколько вариантов управления офисами филиалов, но каждый из них имеет ряд своих достоинств и недостатков. Одним из наиболее распространенных способов работы с офисами филиалов является расположение всех серверов в головном офисе, и предоставление офисам филиалов подключения к этим серверам через WAN соединение.

Конечно, самым очевидным недостатком такого способа является то, что если соединение WAN обрывается, пользователи в офисах филиалов не смогут ничего сделать, так как они полностью отрезаны от всех ресурсов серверов. Но даже если WAN подключение функционирует, производительность может страдать, так как WAN подключения очень часто медленные и легко перегружаются.

Еще одним распространенным вариантом работы с офисами филиалов является расположение как минимум одного контроллера домена в таком офисе. Зачастую такие контроллеры доменов будут также действовать в качестве DNS серверов и серверов глобальных каталогов. В этом случае, если WAN подключение разрывается, пользователи в офисах филиалов, по крайней мере, смогут входить в сеть. В зависимости от характера работы, выполняемой сотрудниками в офисе филиала, там могут располагаться и другие серверы.

Хотя такое решение, как правило, отлично работает, у него тоже есть свои недостатки. Основным недостатком такого решения является его стоимость. Расположение серверов в филиалах требует от организации выделения денег на серверное аппаратное оборудование и все необходимые лицензии на ПО. Также не стоит забывать о затратах на поддержку. Организации необходимо определить, стоит ли им нанимать ИТ персонал для поддержки филиалов на полное время, или они могут обходиться персоналом частичной занятости.

Еще одной проблемой такого решения является безопасность. В моей практике встречались ситуации, когда серверам, расположенным за пределами центра данных, просто не уделяется должного внимания. Часто они просто запираются в шкафу филиала, и в этом случае приходится надеяться, что сотрудники, у которых есть ключ от шкафа, ничего не испортят в сервере.

Как я упоминал ранее, WAN подключения часто бывают низкоскоростными и ненадежными. В этом кроется еще одна проблема расположения серверов в филиалах. Трафик репликации контроллеров домена может перегружать такие подключения WAN.

Именно здесь на помощь приходят серверы RODC. RODC работают, как и любой другой контроллер домена за исключением того, что база данных Active Directory не записывается напрямую. Размещение RODC в офисе филиала не избавляет подключение от трафика репликации Active Directory, но оно снижает рабочую нагрузку серверов-плацдармов, поскольку разрешен только входящий трафик репликации.

RODC также может повышать уровень безопасности, так как люди в офисе филиала не смогут внести никаких изменений в базу данных Active Directory. Более того, никакие учетные данные не передаются на RODC. Это означает, что если кто-то украл RODC, он не сможет использовать полученную информацию в качестве средства для взлома пользовательских учетных записей. Тот факт, что информацию о пользовательских учетных записях не записывается на RODC, также снижает объем трафика репликации, проходящего через WAN подключение, но это также означает, что, с некоторыми исключениями, аутентификация пользователей, все же, предполагает доступность WAN соединения.

Заключение

Как вы видели, контроллеры домена, доступные только для чтения, имеют свое место. В следующей части мы начнем обсуждение планирования процесса установки RODC.

Автор: Brien Posey. Оригинал на www.windowsnetworking.com

Постовой

Ипотечные кредиты всех банков Москвы. Удобная возможность сравнить ипотечные программы различных банков.

Источник

Выполнение поэтапной установки контроллера домена только для чтения

Установка контроллера домена только для чтения (RODC) может быть выполнена поэтапно, при этом установку в два этапа выполняют различные лица. Для выполнения каждого из этапов установки может использоваться мастер установки службы AD DS.

Описание поэтапной установки RODC

На первом этапе установки создается учетная запись RODC в службе AD DS (Active Directory Domain Service). На втором этапе установки реальный сервер, который станет RODC, связывается с ранее созданной для него учетной записью.

В течение первого этапа мастер установки службы AD DS записывает в распределенную базу данных Active Directory все данные о RODC, которые будут храниться, например имя учетной записи контроллера домена RODC и сайт, в котором он будет находиться. Этот этап должен выполняться членом группы «Администраторы домена».

Пользователь, создающий учетную запись RODC, в этот момент также может определить, какие пользователи или группы смогут выполнить следующий этап установки. Следующий этап установки может быть выполнен в филиале любым пользователем или членом группы, которым делегировано право завершения установки при возданной учетной записи. Этот этап не требует членства ни в каких встроенных группах, таких как группа «Администраторы домена». Если пользователь, создающий учетную запись RODC, не определил никакого делегирования для завершения установки (и администрирования RODC), завершить установку сможет только член группы «Администраторы домена» или член группы «Администраторы предприятия».

На втором этапе установки с помощью мастера устанавливается служба AD DS на сервере, который станет RODC. Этот этап обычно проходит в филиале, где и развертывается RODC. На этом этапе на самом RODC создаются все данные службы AD DS, которые размещаются локально, такие как база данных, файлы журналов и т. д. Файлы источника установки могут быть реплицированы на RODC с другого контроллера домена по сети, либо можно использовать возможность установки с носителя. При установке с носителя, чтобы создать специальный носитель для установки RODC, используйте программу Ntdsutil.exe. Для получения дополнительных сведений об использовании установки с носителя см. Установка с носителя.

Сервер, который станет RODC, не должен быть членом домена до того, как будет предпринята попытка связать его с учетной записью RODC. В процессе установки мастер установки службы AD DS автоматически определяет, соответствует ли имя сервера именам любых учетных записей RODC, заранее созданных для домена. Обнаружив соответствующее имя учетной записи, мастер предлагает пользователю использовать эту учетную запись для выполнения установки RODC.

Сценарий выполнения поэтапной установки

Если в организации используется поэтапная установка, развертывание контроллера домена в филиале может быть выполнено эффективнее, чем в предыдущих версиях Windows Server. Например, член группы «Администраторы домена» в центральном офисе может создать учетную запись RODC в службе AD DS. На этом этапе установки выполняются все задачи развертывания, требующие учетных данных группы «Администраторы домена», например создание учетной записи компьютера для контроллера домена, определение для него сайта и создание для сервера связанного объекта параметров NTDS.

Создавая учетную запись RODC, член группы «Администраторы домена» может делегировать другому пользователю или группе безопасности право завершить установку RODC в филиале. Задача связывания сервера с существующей учетной записью RODC необязательно должна выполняться членом группы «Администраторы домена». Эту задачу может выполнить любой делегированный администратор (или член делегированной группы), указанный членом группы «Администраторы домена» на первом этапе установки.

Организация может заказать и доставить сервер прямо в филиал, в котором необходимо выполнить установку RODC. В прошлом контроллеры доменов для филиалов часто приходилось заказывать и доставлять в центральный офис или на специализированную площадку для сборки и лишь потом отправлять их в филиалы, где эти контроллеры должны быть развернуты. В качестве альтернативы в центральном офисе создавался носитель для установки, который затем доставлялся в филиал для выполнения установки контроллера домена. Поэтапная установка RODC упрощает процесс развертывания контроллера домена, устраняя описанные промежуточные действия по установке.

Читайте также:  Розетки скрытой или открытой установки

Выполнение поэтапной установки

Перед установкой RODC необходимо подготовить лес, выполнив команду adprep /rodcprep. Дополнительные сведения о подготовке леса с помощью команды adprep см. в разделе Выбор конфигурации развертывания службы AD DS.

Затем с помощью оснастки «Active Directory — пользователи и компьютеры» можно создать учетную запись RODC. В дереве консоли либо щелкните правой кнопкой мыши контейнер Контроллеры домена, либо щелкните контейнер Контроллеры домена и выберите Действие, а затем выберите Предварительное создание учетной записи контроллера домена, доступного только для чтения.

Учетную запись RODC также можно создать, выполнив из командной строки команду dcpromo, но при этом в ней также необходимо указать имя домена, в котором устанавливается RODC. В командной строке введите следующую команду и нажмите клавишу ВВОД:

dcpromo /CreateDCAccount /ReplicaDomainDNSName:имя_домена

где имя_домена — это имя домена, в котором планируется установить RODC.

Созданная учетная запись RODC появляется в контейнере Контроллеры домена как незанятая учетная запись контроллера домена, пока делегированный пользователь не свяжет с ней сервер.

Назначив для сервера статический IP-адрес и настроив параметры клиента DNS, делегированный администратор может запустить мастер установки службы AD DS, чтобы связать сервер в филиале с существующей учетной записью RODC. Чтобы связать сервер с существующей учетной записью, откройте окно командной строки на сервере, который станет контроллером домена, введите следующую команду и нажмите клавишу ВВОД:

dcpromo /UseExistingAccount:Attach

Делегированный администратор получает уведомление об установке двоичных файлов службы AD DS. Затем мастер установки службы AD DS автоматически запустит второй этап установки. Делегированный администратор может добавить в команду dcpromo параметр /adv, а также установить флажок Использовать расширенный режим установки на странице Вас приветствует мастер установки доменных служб Active Directory, чтобы задать следующие дополнительные параметры установки:

    будут ли данные реплицироваться по сети или с носителя;

На странице Сетевые учетные данные мастера делегированный администратор должен ввести имя любого домена в лесу, в котором устанавливается данный RODC, а также альтернативные учетные данные, которые будут использоваться для установки. Альтернативные учетные данные необходимы для связывания сервера с существующей учетной записью контроллера домена, так как оно может выполняться только пользователем домена. Но делегированный администратор первоначально входит на сервер, используя учетную запись локального администратора, так как сервер еще не присоединен к домену. Следовательно, делегированный администратор теперь должен указать учетную запись пользователя домена (или учетную запись, являющуюся членом делегированной группы администрирования), которой при создании учетной записи RODC членом группы «Администраторы домена» было делегировано право установки и администрирования RODC.

Удаление службы AD DS с RODC

Делегированный администратор может удалить службу AD DS с RODC, используя программу Dcpromo.exe. Мастер установки службы AD DS запрашивает данные, в том числе пароль для новой учетной записи локального администратора, необходимые для удаления службы AD DS и превращения компьютера в автономный сервер. Для выполнения удаления службы AD DS сервер необходимо перезагрузить.

Обнаружение конфликтов учетной записи и имени компьютера

После того, как делегированный администратор выберет имя учетной записи RODC, с которой связывается сервер, мастер установки службы AD DS проверяет, что эта учетная запись в настоящее время не используется активным контроллером домена. Если проверка проходит успешно, мастер автоматически пытается связать сервер с этой учетной записью, чтобы выполнить установку.

Если мастер не находит учетную запись компьютера с соответствующим именем, он предоставляет делегированному администратору возможность переименовать сервер, присвоив ему другое имя, соответствующее существующей учетной записи компьютера, или предпринять другие действия для разрешения конфликта имен.

Если мастер обнаруживает соответствующее имя учетной записи контроллера домена, но учетная запись активирована, мастер пытается связаться с соответствующим контроллером домена, чтобы проверить, включен ли он. Затем мастер выполняет следующие действия:

    Если мастер может проверить, что другой контроллер домена с тем же именем включен, он блокирует выполнение установки службы AD DS. В этом случае сервер, на котором выполняется установка RODC, должен быть переименован в соответствии с именем учетной записи еще не используемого RODC.

Такая ситуация может возникнуть, если ранее была предпринята попытка связать сервер с существующей учетной записью, но эта попытка была прервана до завершения установки. В этом случае статус учетной записи RODC до завершения установки мог измениться с отключенной на включенную. При этом делегированный администратор, получив предупреждение, может нажать кнопку ОК для продолжения.

Источник

Контроллер домена только для чтения

Delphi site: daily Delphi-news, documentation, articles, review, interview, computer humor.

Многие компании территориально размещены по нескольким офисам, будь то в одном городе или в нескольких регионах. Стабильная работа в филиалах — в случае единого централизованного IT-управления — требует постоянного соединения с центральным офисом, что не всегда реально достижимо. Одним из способов организации работы в случае нестабильного канала связи является размещение в филиале дополнительного контроллера домена. Однако в филиале гораздо сложнее обеспечить необходимый уровень безопасности сервера, а при наличии физического доступа к системе злоумышленнику не представляет особого труда скомпрометировать ее. С выходом ОС Windows 2008 Server появилась возможность установки контроллера домена «только для чтения» — RODC (Read-Only Domain Controller). RODC в некоторой степени можно рассматривать как расширение функционала Backup Domain Controller — контроллеров в домене Windows NT 4.0, на которые также нельзя было вносить изменения.

RODC имеет несколько особенностей:

Односторонняя репликация. Данные копируются на RODC с других контроллеров. Если программа пытается внести изменения в базу, хранящуюся на RODC, то операция записи будет транслироваться на «обычные» контроллеры и выполняться там.

Ограниченный набор атрибутов. На RDOC кэшируется только часть атрибутов каталога. Настройками на контроллере-хозяине схемы администратор может изменить состав этих атрибутов, но часть их помечена как критические и их нельзя реплицировать на RODC. На RODC можно установить сервер DNS в режиме только для чтения.

Возможность хранения данных аутентификации. Администратор может настроить список учетных записей, для которых данные аутентификации будут храниться (кэшироваться) на RODC. Эти пользователи смогут входить в домен и т. п. даже в случае отсутствия соединения с центральным офисом. В случае же компрометации RDOC администратор будет знать, к каким учетным записям злоумышленник мог получить доступ, и сможет принять необходимые меры.

Делегирование прав локального администратора. На «обычных» контроллерах домена локальный администратор является администратором домена. Для выполнения задач обслуживания RODC (установка драйверов и аналогичные операции, требующие наличия прав администратора) предусмотрено, что любая учетная запись, включенная в группу локальных администраторов, будет обладать правами локального администратора, но не получит никаких прав по управлению доменом.

В случае взлома RODC злоумышленник может настроить репликацию на него дополнительных атрибутов службы каталогов, которые не копируются в филиал в нормальных условиях по соображениям безопасности. При взаимодействии с контроллером на Windows 2008 последний откажет в операции копирования. Если связь будет установлена с контроллером на Windows 2003 Server, то данные будут скопированы. Поэтому в целях безопасности необходимо устанавливать RODC в домене, режим которого переведен на уровень Windows 2008.

Установка RODC не представляет никакой сложности. Администратору необходимо начать установку контроллера домена (dcpromo или из консоли управления). Далее на соответствующем шаге мастера указать, что необходимо установить контроллер в режиме «только для чтения», а затем выбрать политику репликации паролей учетных записей. Обычно достаточно согласиться с предложением мастера операций: настройки по умолчанию подходят в большинстве случаев.

Отметим также, что RODC может быть установлен как на полную версию сервера Windows 2008, так и на вариант core.

Источник

Adblock
detector