Tags: Active Directory, Windows Server 2016, OS Deployment
Wie frühere Versionen sieht auch Server 2016 zwei Methoden vor, um einen Read-only Domain-Controller (RODC) einzurichten. Man kann entweder alle Setup-Schritte in einem Durchgang ausführen, oder man legt zuerst wichtige Einstellungen in einem AD-Konto fest und verbindet den Server später mit diesem Account.
Schreibgeschützte Domänen-Controller verrichten ihren Dienst hauptsächlich in Außenstellen. In dieser meist weniger sicheren Umgebung bieten sie Schutz gegen den Diebstahl von sensiblen Daten, weil sie standardmäßig weder Passwörter noch andere heikle Attribute speichern (siehe dazu: Read-only Domain Controller (RODC): Features und Voraussetzungen).
Wahl der Deployment-Optionen
Ein spezifisches Feature eines RODC besteht darin, dass sich seine Verwaltung an Benutzer ohne administrative Privilegien delegieren lässt. Mitarbeiter vor Ort können sogar einen Windows Server, auf dem die Domänen-Diente bereits installiert wurden, zu einem RODC promoten, wenn für den Rechner ein entsprechendes Computer-Konto im AD vorhanden ist.
Möchte man auf diese Möglichkeit verzichten und als Administrator einen RODC gleich von Anfang bis Ende selbst einrichten, dann kann man den folgenden Abschnitt überspringen und direkt mit der Installation im Server Manager beginnen. Dabei legt man mehrere Einstellungen, die man sonst beim Staging konfiguriert, erst dort fest.
RODC-Konto im AD anlegen
Für dieses so genannte Staging eines RODC-Kontos existiert seit Windows Server 2008 unverändert ein Wizard im Active Directory-Verwaltungscenter (ADAC). Alternativ dazu gibt es seit einiger Zeit das PowerShell-Cmdlet Add-ADDSReadOnlyDomainControllerAccount, das im Modul ADDSDeployment enthalten ist und nur auf einem Server zur Verfügung steht.
Will man ein RODC-Konto vorab einrichten, dann wird man unter Umständen gezwungen sein, adprep.exe separat auszuführen. Der Wizard im ADAC bietet nämlich kein integriertes Adprep wie der Server Manager oder das Cmdlet Install-AddsDomainController, wenn man damit einen RODC direkt installiert.
Den Wizard zum Einrichten eines AD-Kontos für einen RODC startet man unter Aufgaben im Active Directory-Verwaltungscenter, wenn man den Container Domain Controllers öffnet. Der Befehl lautet Konto für schreibgeschützten Domänencontroller vorab erstellen.
Der erste Dialog bietet die Option Installation im erweiterten Modus verwenden. Wenn man sie aktiviert, dann kann man auch die Policies für die Replikation der Passwörter verändern. Diese lassen sich aber auch nachträglich noch konfigurieren.
In den nächsten 3 Schritten wählt man das Benutzerkonto aus, unter dem der RODC-Account eingerichtet werden soll, gibt den Namen für den Computer ein und legt den Standort (Site) fest.
Anschließend kann man bestimmen, ob der RODC auch eine Replik des Global Catalog und des DNS vorhalten soll, um entsprechende Anfragen von lokalen Rechnern zu beantworten.
Hat man sich für den erweiterten Modus entschieden, dann kann man nun festlegen, für welche Konten die Passwörter auf dem RODC zwischengespeichert werden können und welche von dieser Möglichkeit auszuschließen sind.
Schließlich gibt man noch User bzw. Gruppen an, an die der Administrator das Management des schreibgeschützten Domain-Controllers delegieren möchte. Nach der abschließenden Zusammenfassung startet der Vorgang.
Zieht man den Einsatz des PowerShell-Cmdlets Add-ADDSReadOnlyDomainControllerAccount der GUI vor, dann erschließt sich die Bedeutung der Parameter anhand der oben beschriebenen Schritte. So definiert etwa DelegatedAdministratorAccountName das Konto, an das die RODC-Verwaltung delegiert werden soll oder DomainControllerAccountName den Namen des RODC.
Readonly-DC installieren
Unabhängig davon, ob man das Computer-Konto für einen RODC vorab angelegt hat oder nicht, erfolgt seine eigentliche Installation über den Server Manager oder das PowerShell-Cmdlet Install-ADDSDomainController.
Entscheidet man sich für die GUI-Variante, dann hat sich das Vorgehen gegenüber den letzten Versionen von Windows Server nicht verändert. Mein Beitrag Domänen-Controller unter Windows Server 2012 installieren beschreibt das Procedere für einen normalen DC, das sich von einem RODC- Setup nur geringfügig unterscheidet. Wichtig ist in beiden Fällen, dass ein Windows Server nicht Mitglied in der Domäne sein darf, bevor man ihn zu einem (RO)DC hinaufstuft.
Nach dem Installieren der AD DS über den Wizard zum Hinzufügen von Rollen und Features macht der Server Manager darauf aufmerksam, dass die Active-Directory-Domänendienste noch konfiguriert werden müssen. Klickt man auf diesen Hinweis, dann startet der zuständige Assistent.
Die wesentlichen Abweichungen zwischen DC und RODC bestehen zum einen darin, dass man bei der Konfiguration unter Domänencontrolleroptionen die Checkbox Schreibgeschützter Domänencontroller anhaken muss. Zum anderen kann ein RODC natürlich nicht der erste DC in einem Forest sein.
Und schließlich gibt es noch einen zusätzlichen Zwischenschritt bei der Installation eines RODC, wenn man vorab ein RODC-Konto im Active Directory eingerichtet hat und dieses mit dem Hostname des Rechners übereinstimmt.
In diesem Fall muss sich der Anwender entscheiden, ob er den Server mit dem bestehenden Account verbinden und die darin konfigurierten Einstellungen übernehmen will oder ob er einen RODC von Grund auf neu installieren möchte.
Täglich Know-how für IT-Pros mit unserem Newsletter
Ähnliche Beiträge
- Domain-Controller mit Install From Media (IFM) einrichten
- Endpoint Configuration Manager installieren: Design-Entscheidungen und Vorarbeiten (AD-Schema, Rollen und Features, Konten und Gruppen, ADK, etc.)
- Radius-Server mit NPS in Windows Server 2016 installieren und konfigurieren
- In-Place-Upgrade für Windows Server im Semi-annual Channel
- Windows Server 2016: Temporäre Mitgliedschaft in administrativen Gruppen konfigurieren
2 Kommentare
Hallo, tolle Seite. Ich habe da eine Frage zu RODC: Welche DNS-Server soll ich eigentlich in der Netzwerkkonfiguration eintragen? Nach dem Hochstufen, steht localhost als primäre Adresse 127.0.0.1 drin und als alternativer DNS ein domäneneigener DNS? Sollte man das so belassen, oder soll ich als primären DNS auch einen domäneneigenen eintragen?
Über eine Antwort würde ich mich sehr freuen.
Viele Grüße, Andreas
Das ist eine interessante Frage. Schade, dass sie bis heute nicht beantwortet wurde.
Was passiert eigentlich, wenn man kein Konto für die Delegierung angegeben hat? Kann man das noch nachträglich ändern?