Einen Read-Only Domain Controller installieren

Grundlegendes

Der Domänencontroller ist im Prinzip das Herzstück jeder Netzwerkinfrastruktur. Dieser hat sowohl Leserechte als auch Schreibrechte. Oft ist es jedoch viel sinnvoller, gerade in einer Außenstelle einen read-only Domain Controller zu installieren.

Man spricht dabei von einem Read-Only Domaincontroller (RODC). Grundsätzlich enthält dieser nur eine schreibgeschützte Kopie der kompletten Active Directory Datenbank sowie DNS Datenbank, welche selbstverständlich auch schreibgeschützt sind.

Funktionsweise eines Read-Only-Domänencontrollers

Es werden nur die Kennwörter, die zur Replikation eingerichtet worden sind, auf den RODC repliziert. Sofern man nicht eine separate Konfiguration vorgenommen hat, werden die Kennwörter der administrativen Accounts nicht synchronisiert. Generell wird ein RODC wegen folgenden Eigenschaften eingesetzt:

  • Sicherheit (Wird gegeben durch den Schreibschutz)
  • Performance (Ein RODC kann in Außenstellen verwendet werden. Daher näher am Client)

Damit natürlich ein Read-Only-Domänencontroller installiert werden kann, muss vorab ein Windows Server Domänencontroller vorhanden sein, welcher natürlich Schreibrechte besitzt. Die wesentliche Funktionalität ist wie folgt.

Der Read-Only-Domänencontroller benötigt zur Authentifizierung eine Verbindung zu einem beschreibbaren Domänencontroller, denn er repliziert standardmäßig keine Password Hashes, sondern er leitet die Anmeldeversuche an den beschreibbaren Domänencontroller weiter.

Allerdings kann die Konfiguration so eingestellt werden, dass die Anmeldeinformationen am RODC gecacht werden.

Die grundsätzliche Anmeldung eines Clients läuft wie folgendermaßen ab. Zunächst schickt der Client (z.B. Windows 10) die Anmeldung an seinen lokalen read-only Domain Controller. Dieser prüft dann in seinem Anmeldecache, ob entsprechende Informationen vorhanden sind.

Falls keine Informationen vorhanden sind, schickt der RODC die Anfrage weiter an seinen zuständigen beschreibbaren Domänecontroller, der dann die Authentifizierung vornimmt und entsprechend eine Rückantwort an den RODC schickt, welche die Informationen dann auch in seinem Cache vorhält.

Vorbereitende Maßnahmen zur Installation

Sinnvoll ist es natürlich, wenn man die Installation des RODCs an einen Benutzer in der entsprechenden Zweigstelle delegiert. Dazu muss man als Administrator ein entsprechendes Konto für den RODC anlegen.

Im Active Directory-Benutzer und -Computer Snap-In wählt man in der Organisationseinheit, Domain Controllers, über einen Rechtsklick die Option: „Konto für schreibgeschützten Domänencontroller vorbereiten.

Einen read-only Domain Controller unter Windows einrichten
Schreibgeschützen Domänencontroller Einrichten (RODC) Computername In OU Festlegen

Über diesen Assistenten wählt man auch gleich den Computernamen aus. Sofern er natürlich nicht vorhanden ist, legt man ihn an. Anschließend wählt man den zuvor angelegten Standort aus.

Sollte das bisher nicht geschehen sein, so muss im Active Directory-Standorte und -Dienste ein neuer Standort angelegt werden.

Im Beispiel wurde hier Berlin vorbereitet. Der Assistent leitet jetzt weiter zu den Domänencontrolleroptionen. Also, welche weiteren Aufgaben er übernehmen soll. Hier kann direkt der DNS-Server sowie der globale Katalog gewählt werden.

Zu guter Letzt gibt man noch die Gruppe an, welche für die Administration zuständig ist. Auch diese Gruppe muss vorab angelegt worden sein. Außerdem erhält die Gruppe lokale Administratorrechte auf dem read-only Domain Controller.

Schreibgeschützen Domänencontroller Einrichten (RODC) Administrative Gruppe Wählen
Schreibgeschützen Domänencontroller Einrichten (RODC) Administrative Gruppe Wählen
Schreibgeschützen Domänencontroller Einrichten (RODC) Dienste Für Den RODC Wählen
Schreibgeschützen Domänencontroller Einrichten (RODC) Dienste Für Den RODC Wählen

Installation des read-only Domain Controller

Nach Abschluss aller vorbereitenden Maßnahmen kann jetzt der Read-Only-Domänecontroller installiert werden. Grundsätzlich ist die Vorgehensweise gleich, wie bei einem regulären beschreibbaren Domänencontroller.

Das bedeutet, dass zuerst die Rolle Active Directory-Domänendienste und der DNS-Server installiert werden. Anschließend verwendet man den Assistenten, um den Server zum Domänencontroller hochzustufen. Jetzt wird allerdings die Option „Domänencontroller zu einer vorhandenen Domäne hinzufügen“ ausgewählt.

Wobei dann neben dem korrekten Domänennamen auch das administrative Benutzerkonto der Domäne ausgewählt werden muss. Als „deligiertes Administratorkonto“ wählt man die zuvor angelegt Gruppe.

Schreibgeschützen Domänencontroller Einrichten (RODC) Zur Vorhanden Domänen Hinzufügen
Schreibgeschützen Domänencontroller Einrichten (RODC) zur vorhanden Domänen Hinzufügen
Schreibgeschützen Domänencontroller Einrichten (RODC) RODC Und Standort Wählen
Schreibgeschützen Domänencontroller Einrichten (RODC) RODC Und Standort Wählen

Als Replikation kann jetzt noch „jeder Domänencontroller“ oder nur bestimmte festgelegt werden. Nach Abschluss der Voraussetzungüberprüfung kann der Read-Only-Domänencontroller installiert werden.

Nach einem Neustart sollte man noch die DNS-Servereinstellungen der Netzwerkkarten prüfen. Den in der Regel werden hier immer die Loopback Adressen hinterlegen. Diese müssen entsprechend der DNS-Serveradressen angepasst werden.

Das könnte dich auch interessieren:

Dieser Artikel beinhaltet Partner-Links. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhält IT-Learner eine kleine Provision. Der Preis ändert sich für euch nicht. Danke für eure Unterstützung! Letzte Aktualisierung am 23.06.2024

324404c45043407fba8a8148e7000de6
Der Blogbetreiber und Autor: Markus Elsberger

Über den Autor

Mein Name ist Markus Elsberger und ich beschäftige mich mit der Administration von Windows und Linux Systemen sowie mit diversen Themen bzgl. Netzwerktechnik. In meiner Lehrtätigkeit erstelle ich verschiedene Szenarien und teste auch verschiedene Konfigurationen, welche ich in diesem Blog festhalten möchte.


Kostenlose Befehlsreferenzen und E-Books
(Netzwerkanalyse, Benutzerverwaltung, Festplattenkonfiguration, u. v. m.)


Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

×