Installation eines schreibgeschützen Domänencontrollers – Windows Server Read-Only-Domänencontroller (RODC) einrichten

Konfiguration und Installation einen schreibgeschützten Domänencontrollers unter Windows mit einer Active Directroy

Grundlegendes

Der Domänencontroller ist im Prinzip das Herzstück jeder Netzwerkinfrastruktur. Dieser hat sowohl Leserechte als auch Schreibrechte. Oft ist es jedoch viel sinnvoller gerade in einer Außenstelle einen schreibgeschützten Domänencontroller zu installieren. Man spricht dabei von einem Read-Only Domaincontroller (RODC). Grundsätzlich enthält dieser nur eine schreibgeschützte Kopie der kompletten Active Directory Datenbank sowie DNS Datenbank, welche selbstverständlich auch schreibgeschützt sind.

Funktionsweise eines Read-Only-Domänencontrollers

Es werden nur die Kennwörter die zur Replikation eingerichtet worden sind auf den RODC repliziert. Sofern man nicht eine separate Konfiguration vorgenommen hat, werden die Kennwörter der administrativen Accounts nicht synchronisiert. Generell wird ein RODC wegen folgenden Eigenschaften eingesetzt:

  • Sicherheit (Wird gegeben durch den Schreibschutz)
  • Performance (Ein RODC kann in Außenstellen verwendet werden. Daher näher am Client)

Damit natürlich ein Read-Only-Domänencontroller installiert werden kann, muss vorab ein Windows Server Domänencontroller vorhanden sein, welcher natürlich Schreibrechte besitzt. Die wesentliche Funktionalität ist wie folgt. Der Read-Only-Domänencontroller benötigt zur Authentifizierung eine Verbindung zu einem beschreibbaren Domänencontroller, denn er repliziert standardmäßig keine Password Hashes, sondern er leitet die Anmeldeversuche an den beschreibbaren Domänencontroller weiter. Allerdings kann die Konfiguration so eingestellt werden, dass die Anmeldeinformationen am RODC gecacht werden.

Die grundsätzliche Anmeldung eines Clients läuft wie folgendermaßen ab. Zunächst schickt der Client (z.B. Windows 10) die Anmeldung an seinen lokalen Read-Only-Domaincontroller. Dieser prüft dann in seinem Anmeldecache, ob entsprechende Informationen vorhanden sind. Falls keine Informationen vorhanden sind, schickt der RODC die Anfrage weiter an seinen zuständigen beschreibbaren Domänecontroller, der dann die Authentifizierung vornimmt und entsprechend eine Rückantwort an den RODC schickt, welche die Informationen dann auch in seinem Cache vorhält.

Vorbereitende Maßnahmen zur Installation

Sinnvoll ist es natürlich, wenn man die Installation des RODCs an einen Benutzer in der entsprechenden Zweigstelle delegiert. Dazu muss man als Administrator ein entsprechendes Konto für den RODC anlegen. Im Active Directory-Benutzer und -Computer Snap-In wählt man in der Organisationseinheit, Domain Controllers, über einen Rechtsklick die Option: “Konto für schreibgeschützten Domänencontroller vorbereiten.

Schreibgeschützen Domänencontroller Einrichten (RODC) Computername In OU Festlegen
Schreibgeschützen Domänencontroller Einrichten (RODC) Computername In OU Festlegen

Über diesen Assistenten wählt man auch gleich den Computernamen aus. Sofern er natürlich nicht vorhanden ist, legt man ihn an. Anschließend wählt man den zuvor angelegten Standort aus. Sollte das noch nicht geschehen sein, so muss im Active Directory-Standorte und -Dienste ein neuer Standort angelegt werden. Im Beispiel wurde hier Berlin vorbereitet. Der Assistent leitet jetzt weiter zu den Domänencontrolleroptionen. Also welche weiteren Aufgaben er übernehmen soll. Hier kann direkt der DNS-Server sowie der Globale Katalog gewählt werden. Zu guter Letzt gibt man noch die Gruppe an, welche für die Administration zuständig ist. Auch diese Gruppe muss vorab angelegt worden sein. Außerdem erhält die Gruppe lokale Administratorrechte auf dem Read-Only-Domänencontroller.

Schreibgeschützen Domänencontroller Einrichten (RODC) Administrative Gruppe Wählen
Schreibgeschützen Domänencontroller Einrichten (RODC) Administrative Gruppe Wählen
Schreibgeschützen Domänencontroller Einrichten (RODC) Dienste Für Den RODC Wählen
Schreibgeschützen Domänencontroller Einrichten (RODC) Dienste Für Den RODC Wählen

Installation des Read-Only-Domänencontrollers

Nach Abschluss aller vorbereitenden Maßnahmen kann jetzt der Read-Only-Domänecontroller installiert werden. Grundsätzlich ist die Vorgehensweise gleich, wie bei einem regulären beschreibbaren Domänencontroller. Das bedeutet, dass zuerst die Rolle Active Directory-Domänendienste und der DNS-Server installiert werden. Anschließend verwendet man den Assistenten um den Server zum Domänencontroller hochzustufen. Jetzt wird allerdings die Option “Domänencontroller zu einer vorhandenen Domäne hinzufügen” ausgewählt. Wobei dann neben dem korrekten Domänennamen auch das administrative Benutzerkonto der Domäne ausgewählt werden muss. Als “deligiertes Administratorkonto” wählt man die zuvor angelegt Gruppe.

Schreibgeschützen Domänencontroller Einrichten (RODC) Zur Vorhanden Domänen Hinzufügen
Schreibgeschützen Domänencontroller Einrichten (RODC) zur vorhanden Domänen Hinzufügen
Schreibgeschützen Domänencontroller Einrichten (RODC) RODC Und Standort Wählen
Schreibgeschützen Domänencontroller Einrichten (RODC) RODC Und Standort Wählen

Als Replikation kann jetzt noch “jeder Domänencontroller” oder nur bestimmte festgelegt werden. Nach Abschluss der Voraussetzungüberprüfung kann der Read-Only-Domänencontroller installiert werden. Nach einem Neustart sollte man noch die DNS-Servereinstellungen der Netzwerkkarten prüfen. Den in der Regel werden hier immer die Loopback Adressen hinterlegen. Diese müssen entsprechend der DNS-Serveradressen angepasst werden.

Das könnte dich auch interessieren: