Read-only Domain-Controller (RODC) unter Windows Server 2016 installieren

    , 24.01.2017
    Tags: , ,

    Read-only Domain Controller (RODC)Wie frühere Ver­sionen sieht auch Server 2016 zwei Methoden vor, um einen Read-only Domain-Controller (RODC) einzu­richten. Man kann ent­weder alle Setup-Schritte in einem Durch­gang aus­führen, oder man legt zuerst wichtige Einstel­lungen in einem AD-Konto fest und ver­bindet den Server später mit diesem Account.

    Schreib­geschützte Domänen-Controller verrichten ihren Dienst hauptsächlich in Außenstellen. In dieser meist weniger sicheren Umgebung bieten sie Schutz gegen den Diebstahl von sensiblen Daten, weil sie standard­mäßig weder Passwörter noch andere heikle Attribute speichern (siehe dazu: Read-only Domain Controller (RODC): Features und Voraussetzungen).

    Wahl der Deployment-Optionen

    Ein spezifisches Feature eines RODC besteht darin, dass sich seine Verwaltung an Benutzer ohne admini­strative Privilegien delegieren lässt. Mitarbeiter vor Ort können sogar einen Windows Server, auf dem die Domänen-Diente bereits installiert wurden, zu einem RODC promoten, wenn für den Rechner ein entsprechendes Computer-Konto im AD vorhanden ist.

    Möchte man auf diese Möglichkeit verzichten und als Administrator einen RODC gleich von Anfang bis Ende selbst einrichten, dann kann man den folgenden Abschnitt überspringen und direkt mit der Installation im Server Manager beginnen. Dabei legt man mehrere Einstellungen, die man sonst beim Staging konfiguriert, erst dort fest.

    RODC-Konto im AD anlegen

    Für dieses so genannte Staging eines RODC-Kontos existiert seit Windows Server 2008 unverändert ein Wizard im Active Directory-Verwaltungscenter (ADAC). Alternativ dazu gibt es seit einiger Zeit das PowerShell-Cmdlet Add-ADDS­ReadOnly­Domain­Controller­Account, das im Modul ADDSDeployment enthalten ist und nur auf einem Server zur Verfügung steht.

    Das Anlegen eines RODC-Kontos scheitert, wenn ein notwendiges adprep nicht vorher ausgeführt wurde.

    Will man ein RODC-Konto vorab einrichten, dann wird man unter Umständen gezwungen sein, adprep.exe separat auszuführen. Der Wizard im ADAC bietet nämlich kein integriertes Adprep wie der Server Manager oder das Cmdlet Install-Adds­Domain­Controller, wenn man damit einen RODC direkt installiert.

    Wizard für das Staging eines RODC-Kontos im AD-Verwaltungscenter starten.

    Den Wizard zum Einrichten eines AD-Kontos für einen RODC startet man unter Aufgaben im Active Directory-Verwaltungscenter, wenn man den Container Domain Controllers öffnet. Der Befehl lautet Konto für schreibgeschützten Domänencontroller vorab erstellen.

    Der erste Dialog bietet die Option Installation im erweiterten Modus verwenden. Wenn man sie aktiviert, dann kann man auch die Policies für die Replikation der Passwörter verändern. Diese lassen sich aber auch nachträglich noch konfigurieren.

    Festlegen des Computername für den künftigen RODC

    In den nächsten 3 Schritten wählt man das Benutzerkonto aus, unter dem der RODC-Account eingerichtet werden soll, gibt den Namen für den Computer ein und legt den Standort (Site) fest.

    Festlegen, ob der RODC eine Replik von DNS und GC erhalten soll.

    Anschließend kann man bestimmen, ob der RODC auch eine Replik des Global Catalog und des DNS vorhalten soll, um entsprechende Anfragen von lokalen Rechnern zu beantworten.

    Hat man sich für den erweiterten Modus entschieden, dann kann man nun festlegen, für welche Konten die Passwörter auf dem RODC zwischen­gespeichert werden können und welche von dieser Möglichkeit auszuschließen sind.

    Im erweiterten Modus kann man die Richtlinien für die Kennwortreplikation konfigurieren.

    Schließlich gibt man noch User bzw. Gruppen an, an die der Administrator das Management des schreibgeschützten Domain-Controllers delegieren möchte. Nach der abschließenden Zusammen­fassung startet der Vorgang.

    Zieht man den Einsatz des PowerShell-Cmdlets Add-ADDS­ReadOnly­Domain­Controller­Account der GUI vor, dann erschließt sich die Bedeutung der Parameter anhand der oben beschriebenen Schritte. So definiert etwa Delegated­Administrator­Account­Name das Konto, an das die RODC-Verwaltung delegiert werden soll oder Domain­Controller­Account­Name den Namen des RODC.

    Readonly-DC installieren

    Unabhängig davon, ob man das Computer-Konto für einen RODC vorab angelegt hat oder nicht, erfolgt seine eigentliche Installation über den Server Manager oder das PowerShell-Cmdlet Install-ADDS­Domain­Controller.

    Entscheidet man sich für die GUI-Variante, dann hat sich das Vorgehen gegenüber den letzten Versionen von Windows Server nicht verändert. Mein Beitrag Domänen-Controller unter Windows Server 2012 installieren beschreibt das Procedere für einen normalen DC, das sich von einem RODC- Setup nur geringfügig unterscheidet. Wichtig ist in beiden Fällen, dass ein Windows Server nicht Mitglied in der Domäne sein darf, bevor man ihn zu einem (RO)DC hinaufstuft.

    Nach dem Hinzufügen der AD DS erhält man den Hinweis, dass der Assistent für die Konfiguration ausgeführt werden muss.

    Nach dem Installieren der AD DS über den Wizard zum Hinzufügen von Rollen und Features macht der Server Manager darauf aufmerksam, dass die Active-Directory-Domänendienste noch konfiguriert werden müssen. Klickt man auf diesen Hinweis, dann startet der zuständige Assistent.

    Für die Installation eines RODC kommt nur die erste Option in Frage.

    Die wesentlichen Abweichungen zwischen DC und RODC bestehen zum einen darin, dass man bei der Konfiguration unter Domänen­controller­optionen die Checkbox Schreibgeschützter Domänencontroller anhaken muss. Zum anderen kann ein RODC natürlich nicht der erste DC in einem Forest sein.

    DC als schreibgeschützten Domänen-Controller einrichten.

    Und schließlich gibt es noch einen zusätzlichen Zwischenschritt bei der Installation eines RODC, wenn man vorab ein RODC-Konto im Active Directory eingerichtet hat und dieses mit dem Hostname des Rechners übereinstimmt.

    Der Assistent erkennt, dass für den Host bereits ein RODC-Konto im AD existiert.

    In diesem Fall muss sich der Anwender entscheiden, ob er den Server mit dem bestehenden Account verbinden und die darin konfigurierten Einstellungen übernehmen will oder ob er einen RODC von Grund auf neu installieren möchte.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut
    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Ähnliche Beiträge

    Weitere Links

    2 Kommentare

    Andreas Wass (Besucher) sagt:
    7. Mai 2020 - 12:03

    Hallo, tolle Seite. Ich habe da eine Frage zu RODC: Welche DNS-Server soll ich eigentlich in der Netzwerkkonfiguration eintragen? Nach dem Hochstufen, steht localhost als primäre Adresse 127.0.0.1 drin und als alternativer DNS ein domäneneigener DNS? Sollte man das so belassen, oder soll ich als primären DNS auch einen domäneneigenen eintragen?
    Über eine Antwort würde ich mich sehr freuen.
    Viele Grüße, Andreas

    Christian (Besucher) sagt:
    24. November 2020 - 10:39

    Das ist eine interessante Frage. Schade, dass sie bis heute nicht beantwortet wurde.

    Was passiert eigentlich, wenn man kein Konto für die Delegierung angegeben hat? Kann man das noch nachträglich ändern?