IT Bloguje - pomoc pro všechny IT nadšence
Active Directory

Windows Server 2008 a RODC Read Only Domain Controller
Active Directory
Napsal uživatel Ondřej Soukup   
Pondělí, 13 Červenec 2009

Windows Server 2008 a RODC Read Only Domain Controller neboli doménový řadič jen pro čtení.

Co je to RODC Read Only Domain Controller

Doménový řadič RODC je primárně určen do poboček, které nejsou schopny dostatečně fyzicky zabezpečit své servery. Hlavní vlastnost řadiče RODC je, že má kopii datábáze DC pouze pro čtení a neobsahuje hashe hesel. Při ověřování uživatele je dotaz přeposlán na DC, který hashe hesel uložené má. Standartně RODC neukládá do mezipaměti (cache) žádná uživatelská oprávnění. Jedna z nevýhod použití RODC je, že pokud dojde k výpadku sítě (VPN, LAN) mezi RODC a DC s plně zapisovatelnou databázi, uživatelé nebudou ověřeni a nebudou se moci přihlásit. Tento problém se dá částečně řešit povolením ukládání hashe hesel do mezipaměti (cache) RODC použitím Password Replication Policies, kde definujete uživatele či skupiny. Mezipamět (cache) se drží pouze do restartu serveru, poté je opět nutné nové ověření uživatele, aby bylo možné uložením hashe do mezipaměti serveru RODC.

Replikace RODC

RODC má sice kopii databáze AD , ale jen pro čtení, proto samotná replikace je vždy jednosměrná, a to z DC se zapisovatelnou databází AD na RODC. Pokud uživatel potřebuje publikovat jakékoliv změny do AD, RODC změny nemůže provést a přepošle je proto na DC se zapisovatelnou databází AD.

Delegace Lokálního administrátora na  RODC

Pro instalaci RODC je možné vybrat uživatele (Domain Users), kterému delegujete Lokálního administrátora na nově vzniklý RODC. Uživatel tak ve vztahu s ostatními DC má stále původní oprávnění (Domain Users), jen na úrovní konkrétního RODC může provádět Administrativní úkony (Instalace, aktualizace ... atd.)

Instalace RODC

Pro instalaci doménového řadiče RODC použijeme tento postup:

  1. Doménový administratátor předvytvoří účet počítače RODC a specifikuje uživatele, kterému deleguje oprávnění lokálního administratátoru jen na tomto RODC
  2. předvytvoření účtu:
    • v Active Directory Users and Computers
    • pravým tlačítkem klikneme na Domain Controllers organization unit
    • potom vybereme možnost Pre-create Read-only Domain Controller account
  3. Na serveru RODC spustíme instalaci AD příkazem dcpromo /UseExistingAccount:Attach nebo předpřipravíme instalační image serveru 2008, který následně doručítě do pobočky i s odpovědním souborem pro instalaci RODC.

 RODC může replikovat pouze se serverem 2008, úroveň lesa i domény stačí na 2003, ale je nutné provést adprep /rodcprep

Odkaz na stránky Microsoft.com
 
Navigace
Domů
Windows
Windows Server
SharePoint
Exchange
SQL
Scripts
Aplikace
Webdesign
Webcasts
Potřebujete pomoc?

V případě problémů, či žádosti o radu je možné se kdykoliv přímo obrátit na naše konzultanty:

 GAUZY, s.r.o.
 

Ondřej Soukup
Solution Consultant
Tel.: +420 224 400 013
Mob.: +420 775 142 899
E-mial: soukup@gauzy.cz