Tw-city.info

IT Новости
0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Контроллер домена только для чтения

Что собой представляет контроллер домена, доступный только для чтения (RODC)?

RODC — новый режим контроллера домена (DC) в Windows Server 2008. На таком DC можно сохранить экземпляр базы данных домена Active Directory (AD), доступный только для чтения, но его функциональность гораздо шире, чем у простого экземпляра базы данных, пригодного только для чтения. Основные функции RODC:

В. Что собой представляет контроллер домена, доступный только для чтения (RODC)?

О.

  • База данных AD Domain Services (AD DS) только для чтения. Приложения, которым нужен доступ только для чтения базы данных, могут использовать RODC; но все изменения необходимо выполнять на DC с возможностью чтения и записи (RWDC), а затем реплицировать на RODC.
  • Односторонняя репликация. Из RODC нельзя распространить ложные данные по остальному домену, даже если изменение сделано на RODC. Таким образом снижается опасность атаки против всей системы и сложность структуры репликации.
  • Конфигурация с набором фильтрованных атрибутов. Набор фильтрованных атрибутов не реплицируется ни на один RODC в лесе. Если RODC скомпрометирован и набор изменен, то в отличие от Windows Server 2003 DC, Server 2008 RWDC не реплицирует значения. Если возможно, лучше установить функциональный уровень леса Server 2008, запретив использование серверов Server 2003 в лесе, где они могут испортить данные. Кроме того, важно отметить, что нельзя добавлять критические системные атрибуты в набор фильтрованных атрибутов RODC.
  • Ограниченное кэширование учетных данных. RODC не хранит учетные данные пользователя или компьютера (за исключением учетной записи компьютера RODC). Получая запрос проверки подлинности, RODC передает его в RWDC. Затем RODC запрашивает копию учетных данных, чтобы в будущем самостоятельно обслуживать запрос. Если политика репликации пароля допускает кэширование учетных данных, то они будут записаны в кэш, и RODC сможет обслуживать запросы на регистрацию (пока учетные данные не изменятся).
  • Отделение возможностей администратора. RODC может назначать пользователей администраторами сервера, не предоставляя им прав в домене или на других DC.
  • DNS только для чтения. RODC DNS не позволяет обновлять клиентов и не регистрирует записи ресурсов имени службы.
  • Двухэтапная установка RODC. Первый этап установки выполняется администратором с учетными данными. Он создает учетную запись AD DS для RODC со всей информацией распределенной базы данных AD, в том числе именем учетной записи DC и местонахождением сайта. Затем администратор может указать пользователей и группы, которые могут выполнить второй этап установки, обычно удаленно. На втором этапе AD DS устанавливается на RODC, и учетная запись AD DS привязывается к серверу.

RODC может реплицировать данные только с Windows Server 2008 RWDC, поэтому репликация из контроллеров домена Windows Server 2003 и других Windows Server 2008 RODC невозможна.

Поделитесь материалом с коллегами и друзьями

Работа с контроллерами домена, доступными только для чтения (часть 3)

Итак, в этом цикле статей я уже объяснил, что собой представляют контроллеры домена – только чтение, а также некоторые преимущества их использования. В этой части я покажу вам, как устанавливать контроллеры домена Read Only Domain Controller (RODC).

Прежде чем начать

Прежде чем мы начнем с процедурами установки, необходимо установить Windows Server 2008 на свой контроллер домена – только чтение и присоединить этот сервер к домену. Технически можно создать контроллер домена RODC без подключения этого сервера к домену, однако описываемые здесь шаги предполагают, что сервер входит в состав домена.

Функциональный уровень леса

Прежде чем приступать, необходимо убедиться в том, что функциональный уровень леса задан для Windows Server 2003 или более поздней версии. Для этого открываем консоль Active Directory Domains and Trusts. Когда консоль откроется, нажмите правой клавишей на списке лесов Active Directory, а затем выберите команду Свойства из появившегося контекстного меню. Как показано на рисунке A, функциональный уровень леса перечислен на странице свойств в закладке Общие.

Рисунок A: Необходимо убедиться, что функциональный уровень имеет значение Windows Server 2003 или более поздней версии

Если функциональный уровень леса недостаточен, вам придется поднять его, прежде чем продолжать. При этом следует учитывать, что вы больше не сможете использовать контроллеры домена под управлением Windows 2000 в своем лесу. Чтобы поднять функциональный уровень леса, нажмите OK для закрытия страницы свойств. Теперь нажмите правой клавишей на списке своего леса еще раз и выберите опцию «Поднять функциональный уровень (Raise Forest Functional level) из появившегося контекстного меню. На открывшейся странице выберите опцию Windows Server 2003, а затем нажмите кнопку Поднять (Raise).

Обновление разделов каталога приложений (Application Directory Partitions)

Следующим шагом в этом процессе будет обновление разрешений для всех разделов каталога приложений в лесу. Таким образом, эти разделы смогут реплицироваться любым контроллером домена – только чтение, также работающим в качестве DNS сервера.

Для этого вставляем установочный диск Windows Server 2008 в привод машины контроллера домена, который был настроен в качестве мастера схемы домена. Затем копируем папку SourcesAdprep с DVD в любую папку на жестком диске сервера. Наконец, открываем окно интерпретатора команд и переходим к только что созданной папке ADPREP, а затем выполняем следующую команду:

На рисунке B показано, как выглядит экран, когда команда запущена.

Рисунок B: Выполнение команды ADPREP /RODCPREP

Делаем сервер контроллером домена

Теперь пришло время настроить наши серверы в качестве контролеров домена – только чтение. Это процесс, на самом деле, довольно похож на процесс, который обычно используется для настройки любых других серверов на работу в качестве контроллеров домена.

Читать еще:  Доменная почта яндекс настройка почтового клиента

Сначала входим в систему сервера от имени учетной записи, принадлежащей к группе администраторов домена (Domain Admins). На данном этапе вводим команду DCPROMO в текстовое поле Выполнить. В результате Windows запустит мастера установки служб домена Active Directory Domain Services Installation Wizard. Этот мастер быстро выполнит проверку, чтобы убедиться, что все необходимее исполняемые файлы Active Directory установлены. Эти исполняемые файлы не устанавливаются по умолчанию, поэтому мастер сделает это самостоятельно.

По завершении установки эти исполняемых файлов Windows отобразит приветственную страницу мастера, как показано на рисунке C. Хотя обычно эта страница пропускается, в данном случае вам нужно отметить на этой странице опцию Использовать расширенный способ установки (Use Advanced Mode Installation).

Рисунок C: Выбор опции расширенного способа установки

Нажмите Далее, и мастер задаст вам вопрос о том, какой лес и домен будет обслуживать новый контроллер домена. Выберите опцию для добавления контроллера домена к существующему домену в существующем лесу, как показано на рисунке D.

Рисунок D: Выберите опцию добавления контроллера домена в существующий домен

Нажмите Далее, и мастер попросит вас указать имя домена, к которому вы планируете добавить контроллер домена. Также нужно подтвердить, что вы хотите использовать те же учетные данные, под которыми вы вошли, когда давали серверу статус контроллера домена, как показано на рисунке E. Когда все готово, нажмите Далее.

Рисунок E: Введите имя домена, к которому хотите добавить этот контроллер

Следующий рисунок немного лишний. В этом окне мастер просто просит подтвердить выбор домена, как показано на рисунке F. После этого нажимаем Далее.

Рисунок F: Подтверждение выбранного домена

Теперь у вас должна открыться страница, на которой мастер просит указать имя сайта, на котором вы хотите разместить новый контроллер домена, как показано на рисунке G. Это особенно важно для контроллеров домена RODC, поскольку они обычно размещаются в офисах филиалов, которые почти всегда расположены на отдельном сайте Active Directory.

Рисунок G: Укажите сайт Active Directory, на котором будет размещен новый контроллер домена

Нажмите Далее, и мастер попросит вас выбрать дополнительные опции для контроллера домена, как показано на рисунке H. Здесь нужно выбрать опцию Read Only Domain Controller, но также будет хорошей мыслью сделать контроллер домена сервером DNS и сервером глобальных каталогов.

Рисунок H: Обязательно выберите опцию Read Only Domain Controller

Нажмите Далее, где вам нужно будет определить политику репликации паролей, как показано на рисунке I. Именно здесь вы контролируете то, какие пароли разрешены для копирования на Read Only Domain Controller. Здесь можно внести любые нужные вам изменения, но, как правило, умолчания отлично работают.

Рисунок I: Стандартные параметры отлично работают

Нажмите Далее, и вам будет дана возможность назначить пользователя или группу для завершения процесса установки RODC. В нашем случае не нужно об этом беспокоиться, поскольку мы завершим процесс установки через пару шагов.

На следующей странице вам даются на выбор опции репликации данных по сети с контроллера домена или создания базы данных Active Directory из файла. Создание базы данных Active Directory из файла очень удобно, если у вас есть большая база данных и низкоскоростное подключение. В противном случае вы можете просто реплицировать данные по сети, как показано на рисунке J.

Рисунок J: Выбор источника репликации данных Active Directory

На следующей странице вам нужно выбрать партнера репликации для контроллера домена. Лучшим вариантом является позволение Windows выбрать партнера репликации вместо вас, если только у вас нет веской причины указывать определенный контроллер домена в качестве партнера репликации.

После нажатия Далее, вы попадете в раздел мастера, с которым вы уже, вероятно, знакомы. На этой странице вам нужно указать место, где будет храниться база данных Active Directory. Выберите его и нажмите Далее.

Теперь мастер попросит вас ввести пароль Directory Services Restore Mode. Введите пароль и нажмите Далее.

После этого вы увидите краткую информацию о выбранных вами опциях установки. Если все правильно, нажмите Далее, чтобы начать процесс установки контроллера домена. По завершении процесса установки нажмите Завершить и перезагрузите сервер.

Заключение

Теперь, когда вы установили свой первый RODC, вы, возможно, захотите установить еще RODC. Если так, вам нужно подождать, пока следующий цикл репликации закончится. В противном случае вы можете получить ошибки Active Directory.

Как установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2

Как установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2

Всем привет сегодня я хочу рассказать что такое RODC и как установить контроллер домена для чтения RODC Active Directory в Windows Server 2008 R2. Контроллеры домена только для чтения (RODC) – новый тип контроллеров домена в операционной системе Windows Server 2008. Используя контроллер домена только для чтения, организации могут легко развернуть контроллер домена в местах, где невозможно гарантировать физическую безопасность. На контроллере домена только для чтения размещаются разделы базы данных доменных служб Active Directory, доступные только для чтения.

Для чего нужен контроллер домена только для чтения?

Самой частой причиной развертывания контроллера домена только для чтения является недостаточный уровень физической безопасности. Контроллер домена только для чтения можно более безопасно развернуть в тех местах, где необходимы быстродействующие надежные службы проверки подлинности, но невозможно гарантировать физическую безопасность контроллера домена, доступного для записи.

Подготовка к развертыванию

Предварительные требования к развертыванию контроллера домена только для чтения указаны ниже.

  • Контроллер домена только для чтения должен перенаправлять запросы проверки подлинности доступному для записи контроллеру домена с ОС Windows Server 2008. На этом контроллере домена должна быть задана политика репликации паролей, определяющая необходимость репликации учетных данных в филиале для перенаправленных запросов от контроллера домена только для чтения.
  • Домен должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать ограниченное делегирование Kerberos. Ограниченное делегирование используется для обработки вызовов безопасности, которые должны олицетворяться в контексте вызывающей стороны.
  • Лес должен работать в режиме Windows Server 2003 или более высоком, чтобы можно было использовать репликацию связанного значения. Это обеспечивает более высокую согласованность репликации.
  • В лесу необходимо однократно выполнить команду adprep /rodcprep для обновления разрешений во всех разделах каталога приложений DNS в лесу. Это позволяет всем контроллерам домена только для чтения, которые также являются DNS-серверами, успешно реплицировать разрешения.
Читать еще:  Понижение контроллера домена до рядового сервера

Для кого предназначена эта возможность

Контроллер домена только для чтения предназначен преимущественно для развертывания в удаленных средах и в филиалах. Для филиалов обычно характерны следующие особенности:

  • сравнительно небольшое количество пользователей;
  • низкий уровень физической безопасности;
  • сравнительно низкая пропускная способность соединения с узловым сайтом;
  • плохое знание информационных технологий сотрудниками.

Представим, что у вас есть два сайта AD и два офиса, главный и филиал, и в филиале планируется установка RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-00

Видим, что у нас есть контроллер домена rodc.msk.pyatilistnik.org

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-01

Запускаем мастер установки доменных служб Active Directory, в пуске пишем dcpromo.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-002

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-003

В открывшемся окне мастера, жмем далее, но если нужно использовать загрузочный носитель IFM, то выбираем расширенный режим.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-004

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-005

Выбираем существующий лес, Добавить контроллер домена в существующий лес.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-006

Выбираем имя домена и учетные данные у которых есть права на установку.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-007

Я указываю данные администратора домена.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-008

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-009

Выбираем домен для добавления DC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-010

Указываем сайт AD, у меня один но в идеале у вас у каждого филиала должен быть свой сайт.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-011

Снимаем галку Глобальный каталог и ставим RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-012

Теперь нам нужно указать пользователя или группу кто будет иметь права локального администратора на RODC,

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-013

Я для этого в ADUC создаю группу безопасности под именем Rodc_admin

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-14

Задаем эту группу

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-15

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-16

Задаем место хранения каталогов и БД

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-17

Задаем пароль администратора восстановления каталогов

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-18

Смотрим сводные данные и жмем далее.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-19

Начнется установка поставьте галку перезагрузка, для автоматической перезагрузки.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-20

После перезагрузки заходим на пишущий контроллер и открываем Active Directory Пользователи и компьютеры открываем контейнер Domain Controllers и видим наш RODC.

Как установить контроллер домена для чтения RODC Windows Server 2008 R2-21

Вот так вот просто установить контроллер домена для чтения RODC Windows Server 2008 R2. Далее читайте базовая настройка контроллера домена для чтения RODC Windows Server 2008 R2.

Контроллер домена только для чтения

Вопрос

Возникла необходимость поднять контроллер домена только для чтения в филиале.

Поставил роль, завел пользователей. завел админа. Все работает пока есть связь. Как только пропадает связь между основным доменом и контроллером домена только для чтения пользователи в филиале перестают авторизоваться в домене. И админ не может зайти на «контроллер домена для чтения» хотя пароли этих пользователей хранятся на нем.

Ответы

Создайте для филиала отдельный сайт и привяжите IP подсеть филиала к новому сайту. Ну и проверьте на клиентах, чтобы в качестве первичного DNS сервера был RODC.

  • Предложено в качестве ответа Dima Razbornov MVP 18 мая 2018 г. 4:53
  • Помечено в качестве ответа Vector BCO Moderator 30 мая 2018 г. 16:03

Все ответы

Нет отдельный сайт не создавал. У меня RODC в одной сети с основным доменом с маской 16. А что в днс может быть не корректно?

  • Изменено Vladimir972 17 мая 2018 г. 8:04

Очевидно, что RODC пересылает запросы на авторизацию на ближайший RWDC (см. вот тут описаны основные принципы RODC работы) . Т.е. либо вы не добавили нужных пользователей филиала в политику Password Replication Policy, чтобы их пароли реплицировались на данном DC. Либо у вас пользователи логинятся на другом RW DC (LogonServer). В этом случае нужно правильно настроить сайты и распределить IP подсети между ними.

Читать еще:  Группа контроллеры домена

Значит не настроены сайты.

На клиентах филиала проверьте logonserver:

Скорее всего там будет ваш основной DC

Нет отдельный сайт не создавал. У меня RODC в одной сети с основным доменом с маской 16. А что в днс может быть не корректно?

Как верно отметил MaxBak83, вполне возможно, что запросы отправляются на недоступный КД.

Вынесите филиал в отдельный сайт, КД сайта — RODC (я, правда, не знаю, возможна ли такая конфигурация, но думаю, что да), оставьте у пользователей этого филиала DNS сервер — RODC, либо сделайте его первичным. Потому как если у Вас в DNS указаны недоступные сервера, то и запросы будут уходить в никуда.

RODC стоит первым в DNS. Так он на себя и по RDP не пускает. Если посмотреть через dsmgmt роли, то пишет что роль администратора не определена.

Р.С. Воссоздал в песочнице такие же условия, домен на 2008 R2. Как только отключаю сеть сервер на себя не пускает никак.

  • Изменено Vladimir972 17 мая 2018 г. 9:25

Значит не настроены сайты.

На клиентах филиала проверьте logonserver:

Скорее всего там будет ваш основной DC

Так и есть, там основной DC.

Создайте для филиала отдельный сайт и привяжите IP подсеть филиала к новому сайту. Ну и проверьте на клиентах, чтобы в качестве первичного DNS сервера был RODC.

  • Предложено в качестве ответа Dima Razbornov MVP 18 мая 2018 г. 4:53
  • Помечено в качестве ответа Vector BCO Moderator 30 мая 2018 г. 16:03

Создайте для филиала отдельный сайт и привяжите IP подсеть филиала к новому сайту. Ну и проверьте на клиентах, чтобы в качестве первичного DNS сервера был RODC.

Создал сайт в тестовой среде. Подсети пересекаются, У основного сайта маска 16, а у сайта RODC 24. Это будет мешать? Или будет отрабатываться сначала 24 битная. Домен имеет несколько подсетей в основном сайте и разделить их не получится. RODC на себя не пускает. Ни по rdp ни консолью. Он же по идее сам у себя должен спрашивать или нет?

Первичным ДНС на и сейчас является RODC.

Запрет аутентификации на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена

В статье «Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008» я рассказывал, какие дополнительные настройки могут потребоваться для того, чтобы разрешить пользователям аутентификацию на контроллерах домена только для чтения при отсутствии доступа к записываемым контроллерам домена. Однако бывают ситуации в которых требуется, напротив, запретить аутентификацию при подобных обстоятельствах.

Стандартная конфигурация доменов Active Directory в Windows Server 2008 предусматривает распределение учетных записей по двум группам репликации паролей контроллера домена только для чтения — «Разрешенные» (Allowed RODC Password Replication Group) и «Запрещенные» (Denied RODC Password Replication Group). О первой я уже рассказывал в своей предыдущей статье, а вторая объединяет в себе все группы безопасности с высокими полномочиями, чтобы предотвратить сохранение этих учетных записей на контроллере домена только для чтения.

На рис. A показан стандартный набор групп, которым запрещается аутентификация на контроллерах домена только для чтения при отсутствии доступа к записываемому контроллеру домена.

Это не запрещает пользователям при любых обстоятельствах входить на сайт и использовать для аутентификации контроллеры домена только для чтения — запрет распространяется только на ситуации, когда записываемый контроллер домена недоступен.

Возьмем для примера ситуацию, в которой контроллер домена только для чтения не может связаться с записываемым контроллером домена. В таком случае все запросы на вход в систему обрабатываются непосредственно и исключительно контроллером домена только для чтения. При этом для всех членов группы «Запрещенные» аутентификация запрещена.

Формировать состав группы «Запрещенные» можно по собственному усмотрению, однако стоит учитывать, что далеко не всегда группам с высокими полномочиями следует разрешать аутентификацию при отсутствии доступа к записываемому контроллеру домена. Наиболее разумный подход — создать группу безопасности, объединяющую альтернативные имена локальных администраторов для всех учетных записей компьютеров, обслуживаемых контроллерами домена только для чтения.

При этом учетные записи с высокими полномочиями могут свободно проходить аутентификацию на контроллерах домена только для чтения, если записываемый контроллер в этот момент непосредственно доступен. Чтобы в этом убедиться, можно просмотреть журнал контроллера домена в оснастке Active Directory «Пользователи и компьютеры» (Users And Computers). Для этого:

1. Нажмите правой кнопкой мыши на контроллере домена только для чтения и выберите пункт «Свойства» (Properties).
2. Откройте вкладку «Репликация паролей» (Password Replication).
3. Дважды щелкните на объекте «Разрешенные».

Здесь содержатся сведения о хранящихся локально данных, а также о том, какие учетные записи компьютеров и пользователей осуществляли вход в систему с использованием контроллера домена только для чтения (рис. B).

В этом примере администратор прошел аутентификацию на контроллере домена только для чтения, однако не присутствует в списке «Учетные записи, пароли которых хранятся в данном контроллере домена» (Accounts Whose Passwords Are Stored On This Domain Controller).

А как появление контроллеров домена только для чтения повлияло на распределение административных прав доступа в вашей организации? Поделитесь своим опытом в комментариях!

Ссылка на основную публикацию
Adblock
detector