Read Only Domain Controller (RODC) installieren und einbinden So betreiben Sie schreib­ge­schützte Domänen­controller

Autor / Redakteur: Thomas Joos / Dipl.-Ing. (FH) Andreas Donner

In Umgebungen mit geringeren Sicherheitsvorkehrungen empfiehlt sich der Beim Betrieb eines RODC (Read Only Domain Controller). Bei einem derartig konfigurierten DC werden Änderungen von herkömmlichen Domänencontrollern aus repliziert. Wir nennen die Vorteile eines solchen DCs und zeigen in die Einrichtung und den Betrieb.

Firma zum Thema

Schreibgeschützte Domain Controller können in Umgebungen mit geringerem Schutzstatus sehr nützlich sein.
Schreibgeschützte Domain Controller können in Umgebungen mit geringerem Schutzstatus sehr nützlich sein.
(Bild: © kmiragaya - stock.adobe.com)

Wenn in Niederlassungen oder wenig gesicherten Büros Domänencontroller installiert werden sollen, ist es sinnvoll, auf schreibgeschützte Domänencontroller (Ready Only Domain Controller, RODC) zu setzen. Hier werden, wie bei anderen Domänencontrollern auch, Anmeldungen von Benutzerkonten und von Servern ermöglicht. Auch Kennwortänderungen der Benutzer sind möglich. Diese führt aber nicht der RODC selbst aus, sondern leitet Anfragen, die einen schreibenden Zugriff benötigen an einen herkömmlichen Domänencontroller weiter.

Wird ein schreibgeschützter Domänencontroller gestohlen, enthält dieser ausschließlich die Daten der Benutzerkonten, die zur Replikation auf den Server ausgewählt sind. Alle anderen Daten von Active Directory sind auf dem Server nicht verfügbar und können daher auch nicht gestohlen bzw. missbraucht werden.

Bildergalerie
Bildergalerie mit 6 Bildern

Die Replikation in Active Directory läuft aber immer von herkömmlichen Domänencontrollern zu RODCs niemals in die andere Richtung. Änderungen in Active Directory können daher auf diesen Domänencontrollern nicht direkt durchgeführt werden. Nicht alle Serverdienste unterstützen RODCs. Exchange Server 2019 beispielsweise benötigt für den Zugriff einen vollwertigen Domänencontroller. Keine Probleme haben aber SharePoint und SQL. Pro Standort in Active Directory ist nur ein RODC erlaubt. Zwischen RODCs findet ebenfalls keine Replikation statt. Die RODCs synchronisieren sich nur mit herkömmlichen DCs.

Installation eines RODC delegieren und vorbereiten

Administratoren können die Installation von RODCs auch delegieren. In diesem Fall können untergeordnete Administratoren vor Ort einen Server mit den Einstellungen, die ein übergeordneter Administrator vorgegeben hat, in Active Directory integrieren.

Die Einrichtung des neuen DCs erfolgt durch den übergeordneten Administrator über einen Assistenten. Dieser wird zum Beispiel über das Snap-In „Active Directory-Benutzer und -Computer“ über das Kontextmenü von „Domain Controllers“ durch Auswahl von „Konto für schreibgeschützten Domänencontroller vorbereiten“ aufgerufen. Bei Auswahl von „Installation im erweiterten Modus verwenden“ sind zusätzliche Optionen steuerbar.

Im Rahmen des Assistenten wird auch festgelegt, welchen Name in Active Directory der neue DC erhalten soll. Auch der Active-Directory-Standort, in dem der Server positioniert sein soll, kann im Assistenten festgelegt werden. Wenn ein neuer Active-Directory-Standort genutzt werden soll, ist es sinnvoll, diesen vor der Durchführung des Assistenten zu erstellen und zu konfigurieren.

Bei der Erstellung des Domänencontroller-Kontos kann auch festgelegt werden, ob der neue Server zum (schreibgeschützten) DNS-Server werden soll und/oder auch zum (schreibgeschützten) globalen Katalog. Es stehen dann jeweils alle Daten wie auch auf anderen DCs zur Verfügung – allerdings lassen sich diese nicht ändern. Schreibgeschützte DNS-Server akzeptieren keine dynamischen Registrierungen in DNS, sondern geben nur Auskunft über die synchronisierten Daten.

Bei der Durchführung des Assistenten kann auch die Kennwortreplikationsrichtlinie konfiguriert werden. Diesen Bereich behandeln wir im nächsten Abschnitt. Die Einstellungen, die im Assistenten festgelegt werden, können jederzeit nachträglich angepasst werden.

Über den Assistenten wird auch das Benutzerkonto oder die Gruppe festgelegt, die den RODC installieren und dabei auf die vorgegebenen Einstellungen zugreifen darf. Die Einstellungen des Assistenten können auch exportiert werden.

RODC mit der PowerShell installieren

Die Installation eines RODC kann auch mit der PowerShell durchgeführt werden. Ein Beispielskript sieht folgendermaßen aus:

Import-Module ADDSDeployment
Install-ADDSDomainController `
-AllowPasswordReplicationAccountName @("CONTOSO\Zulässige RODC-Kennwortreplikationsgruppe") `
-NoGlobalCatalog:$false `
-Credential (Get-Credential) `
-CriticalReplicationOnly:$false `
-DatabasePath "C:\Windows\NTDS" `
-DelegatedAdministratorAccountName "CONTOSO\joost" `
-DenyPasswordReplicationAccountName @("VORDEFINIERT\Administratoren", "VORDEFINIERT\Server-Operatoren", "VORDEFINIERT\Sicherungs-Operatoren", "VORDEFINIERT\Konten-Operatoren", "CONTOSO\Abgelehnte RODC-Kennwortreplikationsgruppe")
-DomainName "contoso.int"
-InstallDns:$true
-LogPath "C:\Windows\NTDS"
-NoRebootOnCompletion:$false
-ReadOnlyReplica:$true
-SiteName "Erbach"
-SysvolPath "C:\Windows\SYSVOL"
-Force:$true

Kennwortreplikationsrichtlinien auf RODCs steuern

Bei der Einrichtung eines RODCs kann festgelegt werden, von welchen Benutzern Kennwörter auf den RODC repliziert werden dürfen. Die Einstellungen dazu können auch nach der Fertigstellung angepasst werden. Nur Benutzerkonten, die Mitglied in einer der Benutzergruppen sind, bei denen die Replikation erlaubt ist, können sich an einem RODC anmelden. Alle anderen Anmeldungen leitet der Server an einen vollständigen DC weiter.

Bei der ersten Anmeldung an einem RODC fragt dieser bei einem DC nach, ob eine Replikation des Kennwortes für den entsprechenden Benutzer erlaubt ist. Der DC überprüft dabei mit den Richtlinien für die Kennwortreplikation, ob Anmeldedaten zum RODC übertragen werden dürfen. Nach der ersten Anmeldung laufen nachfolgende Anmeldungen deutlich schneller ab.

In der OU „Users“ in einem Active Directory gibt es die Benutzergruppen „Zulässige RODC-Kennwortreplikationsgruppe“ und „Abgelehnte RODC-Kennwortreplikationsgruppe“. Benutzerkonten, die die diesen Benutzergruppen zugeordnet sind, können sich an einem RODC anmelden (Zulässige RODC-Kennwortreplikationsgruppe), oder sie können sich nicht anmelden (Abgelehnte RODC-Kennwortreplikationsgruppe).

In den Eigenschaften des Computerkontos des schreibgeschützten Domänencontrollers werden auf der Registerkarte „Kennwortreplikationsrichtlinie“ nach einem Klick auf die Schaltfläche „Erweitert“ alle auf dem RODC zwischengespeicherten Benutzer angezeigt.

Vorbereiten eines Active-Directory-Installationsmediums

Für die erste Synchronisierung eines DCs wird einiges an Bandbreite benötigt. Es besteht aber auch die Möglichkeit, einen Replikationsdatenträger zu erstellen und den Administratoren zur Verfügung zu stellen, die den RODC installieren. Nach der Synchronisierung über den Datenträger müssen nur noch die aktuellen Daten synchronisiert werden. Um ein Installationsmedium vorzubereiten, muss sich ein Administrator an einem Domänencontroller anmelden und folgende Schritte ausführen:

  • Öffnen Sie eine Eingabeaufforderung und geben Sie „ntdsutil“ ein.
  • Geben Sie als nächstes „activate instance ntds“ ein und bestätigen Sie.
  • Geben Sie „ifm“ ein und bestätigen Sie.
  • Geben Sie „create rodc c:\temp“ ein, um ein Installationsmedium für einen RODC (schreibgeschützter Domänencontroller) zu erstellen. Den Ordner können Sie beliebig festlegen.
  • Beenden Sie Ntdsutil mit der wiederholten Eingabe von „quit“.
  • Überprüfen Sie, ob der Ordner erstellt wurde und die Daten darin enthalten sind. Kopieren Sie die Daten auf einen Datenträger und stellen ihn den Administratoren zur Verfügung, welche die Daten einlesen sollen.

Bei der Installation eines RODCs kann der Datenträger für die erste Synchronisierung ausgewählt werden.

(ID:47313787)

Über den Autor

 Thomas Joos

Thomas Joos

Freiberuflicher Autor und Journalist