Windows Server 2008 a RODC Read Only Domain Controller neboli doménový řadič jen pro čtení.
Co je to RODC Read Only Domain Controller
Doménový řadič RODC je primárně určen do poboček, které nejsou schopny dostatečně fyzicky zabezpečit své servery. Hlavní vlastnost řadiče RODC je, že má kopii datábáze DC pouze pro čtení a neobsahuje hashe hesel. Při ověřování uživatele je dotaz přeposlán na DC, který hashe hesel uložené má. Standartně RODC neukládá do mezipaměti (cache) žádná uživatelská oprávnění. Jedna z nevýhod použití RODC je, že pokud dojde k výpadku sítě (VPN, LAN) mezi RODC a DC s plně zapisovatelnou databázi, uživatelé nebudou ověřeni a nebudou se moci přihlásit. Tento problém se dá částečně řešit povolením ukládání hashe hesel do mezipaměti (cache) RODC použitím Password Replication Policies, kde definujete uživatele či skupiny. Mezipamět (cache) se drží pouze do restartu serveru, poté je opět nutné nové ověření uživatele, aby bylo možné uložením hashe do mezipaměti serveru RODC.
Replikace RODC
RODC má sice kopii databáze AD , ale jen pro čtení, proto samotná replikace je vždy jednosměrná, a to z DC se zapisovatelnou databází AD na RODC. Pokud uživatel potřebuje publikovat jakékoliv změny do AD, RODC změny nemůže provést a přepošle je proto na DC se zapisovatelnou databází AD.
Delegace Lokálního administrátora na RODC
Pro instalaci RODC je možné vybrat uživatele (Domain Users), kterému delegujete Lokálního administrátora na nově vzniklý RODC. Uživatel tak ve vztahu s ostatními DC má stále původní oprávnění (Domain Users), jen na úrovní konkrétního RODC může provádět Administrativní úkony (Instalace, aktualizace … atd.)
Instalace RODC
Pro instalaci doménového řadiče RODC použijeme tento postup:
- Doménový administratátor předvytvoří účet počítače RODC a specifikuje uživatele, kterému deleguje oprávnění lokálního administratátoru jen na tomto RODC
- předvytvoření účtu:
- v Active Directory Users and Computers
- pravým tlačítkem klikneme na Domain Controllers organization unit
- potom vybereme možnost Pre-create Read-only Domain Controller account
- Na serveru RODC spustíme instalaci AD příkazem dcpromo /UseExistingAccount:Attach nebo předpřipravíme instalační image serveru 2008, který následně doručítě do pobočky i s odpovědním souborem pro instalaci RODC.
RODC může replikovat pouze se serverem 2008, úroveň lesa i domény stačí na 2003, ale je nutné provést adprep /rodcprep
Komentáře