Read-only Domain-Controller (RODC) unter Windows Server 2016 installieren

Wie frühere Ver­sionen sieht auch Server 2016 zwei Methoden vor, um einen Read-only Domain-Controller (RODC) einzu­richten. Man kann ent­weder alle Setup-Schritte in einem Durch­gang aus­führen, oder man legt zuerst wichtige Einstel­lungen in einem AD-Konto fest und ver­bindet den Server später mit diesem Account.

Schreib­geschützte Domänen-Controller verrichten ihren Dienst hauptsächlich in Außenstellen. In dieser meist weniger sicheren Umgebung bieten sie Schutz gegen den Diebstahl von sensiblen Daten, weil sie standard­mäßig weder Passwörter noch andere heikle Attribute speichern (siehe dazu: Read-only Domain Controller (RODC): Features und Voraussetzungen).

Wahl der Deployment-Optionen

Ein spezifisches Feature eines RODC besteht darin, dass sich seine Verwaltung an Benutzer ohne admini­strative Privilegien delegieren lässt. Mitarbeiter vor Ort können sogar einen Windows Server, auf dem die Domänen-Diente bereits installiert wurden, zu einem RODC promoten, wenn für den Rechner ein entsprechendes Computer-Konto im AD vorhanden ist.

Möchte man auf diese Möglichkeit verzichten und als Administrator einen RODC gleich von Anfang bis Ende selbst einrichten, dann kann man den folgenden Abschnitt überspringen und direkt mit der Installation im Server Manager beginnen. Dabei legt man mehrere Einstellungen, die man sonst beim Staging konfiguriert, erst dort fest.

RODC-Konto im AD anlegen

Für dieses so genannte Staging eines RODC-Kontos existiert seit Windows Server 2008 unverändert ein Wizard im Active Directory-Verwaltungscenter (ADAC). Alternativ dazu gibt es seit einiger Zeit das PowerShell-Cmdlet Add-ADDS­ReadOnly­Domain­Controller­Account, das im Modul ADDSDeployment enthalten ist und nur auf einem Server zur Verfügung steht.

Will man ein RODC-Konto vorab einrichten, dann wird man unter Umständen gezwungen sein, adprep.exe separat auszuführen. Der Wizard im ADAC bietet nämlich kein integriertes Adprep wie der Server Manager oder das Cmdlet Install-Adds­Domain­Controller, wenn man damit einen RODC direkt installiert.

Den Wizard zum Einrichten eines AD-Kontos für einen RODC startet man unter Aufgaben im Active Directory-Verwaltungscenter, wenn man den Container Domain Controllers öffnet. Der Befehl lautet Konto für schreibgeschützten Domänencontroller vorab erstellen.

Der erste Dialog bietet die Option Installation im erweiterten Modus verwenden. Wenn man sie aktiviert, dann kann man auch die Policies für die Replikation der Passwörter verändern. Diese lassen sich aber auch nachträglich noch konfigurieren.

In den nächsten 3 Schritten wählt man das Benutzerkonto aus, unter dem der RODC-Account eingerichtet werden soll, gibt den Namen für den Computer ein und legt den Standort (Site) fest.

Anschließend kann man bestimmen, ob der RODC auch eine Replik des Global Catalog und des DNS vorhalten soll, um entsprechende Anfragen von lokalen Rechnern zu beantworten.

Hat man sich für den erweiterten Modus entschieden, dann kann man nun festlegen, für welche Konten die Passwörter auf dem RODC zwischen­gespeichert werden können und welche von dieser Möglichkeit auszuschließen sind.

Schließlich gibt man noch User bzw. Gruppen an, an die der Administrator das Management des schreibgeschützten Domain-Controllers delegieren möchte. Nach der abschließenden Zusammen­fassung startet der Vorgang.

Zieht man den Einsatz des PowerShell-Cmdlets Add-ADDS­ReadOnly­Domain­Controller­Account der GUI vor, dann erschließt sich die Bedeutung der Parameter anhand der oben beschriebenen Schritte. So definiert etwa Delegated­Administrator­Account­Name das Konto, an das die RODC-Verwaltung delegiert werden soll oder Domain­Controller­Account­Name den Namen des RODC.

Readonly-DC installieren

Unabhängig davon, ob man das Computer-Konto für einen RODC vorab angelegt hat oder nicht, erfolgt seine eigentliche Installation über den Server Manager oder das PowerShell-Cmdlet Install-ADDS­Domain­Controller.

Entscheidet man sich für die GUI-Variante, dann hat sich das Vorgehen gegenüber den letzten Versionen von Windows Server nicht verändert. Mein Beitrag Domänen-Controller unter Windows Server 2012 installieren beschreibt das Procedere für einen normalen DC, das sich von einem RODC- Setup nur geringfügig unterscheidet. Wichtig ist in beiden Fällen, dass ein Windows Server nicht Mitglied in der Domäne sein darf, bevor man ihn zu einem (RO)DC hinaufstuft.

Nach dem Installieren der AD DS über den Wizard zum Hinzufügen von Rollen und Features macht der Server Manager darauf aufmerksam, dass die Active-Directory-Domänendienste noch konfiguriert werden müssen. Klickt man auf diesen Hinweis, dann startet der zuständige Assistent.

Die wesentlichen Abweichungen zwischen DC und RODC bestehen zum einen darin, dass man bei der Konfiguration unter Domänen­controller­optionen die Checkbox Schreibgeschützter Domänencontroller anhaken muss. Zum anderen kann ein RODC natürlich nicht der erste DC in einem Forest sein.

Und schließlich gibt es noch einen zusätzlichen Zwischenschritt bei der Installation eines RODC, wenn man vorab ein RODC-Konto im Active Directory eingerichtet hat und dieses mit dem Hostname des Rechners übereinstimmt.

In diesem Fall muss sich der Anwender entscheiden, ob er den Server mit dem bestehenden Account verbinden und die darin konfigurierten Einstellungen übernehmen will oder ob er einen RODC von Grund auf neu installieren möchte.