RODC: Instalación y buenas practicas
Buenos días,
Como lo prometido es deuda y en el webcast prometi publicar una entrada sobre RODCS (Controladores de dominio de solo lectura) aqui la teneis:
Para intentar que el árticulo quede lo más claro posible, lo voy hacer en formato pregunta/respuesta respondiendo a las dudas más frecuentes que se plantean cuando desplegamos rodcs.
1 – ¿Donde puedo/debo desplegar un RODC?
Desde mi punto de vista, todas la delegaciones (brach offices) que no tienen personal IT propio y que el servidor no se encuntra en una ubicación completamente segura frente a robos son firmes candidatas al despliegue de rodcs, también serán firmes candidatas las delegaciones que tengan personal de IT propio al que queramos delegar permisos sobre el servidor de la delegación pero no sobre Active Directory puesto que los rodcs permiten tener administradores locales sin necesidad de ser administradores del dominio.
2 – ¿Que requisitos previos son necesarios para desplegar RODCS?
Los prerequisitos para desplegar RODCS son básicamente 3:
– Tener nuestro bosque con un nivel funcional 2003 server o superior
– Tener nuestro bosque y nuestro dominio preparado la inclusión de RODC para ello cuando realizamos la preparación del bosque y del dominio con adprep /forestprep y adprep /domainprep debemos tambien introducir el comando adprep /rodcprep para extender nuestro esquema con los atributos necesarios para usar controladores de dominio de solo lectura.
– Tener al menos un controlador de dominio de escritura (writable domain controller) corriendo en windows server 2008 o windows server 2008 R2 desde el que replicarán los RODCS.
3 – ¿Como configuro mi servidor como RODC?
Una vez que nos aseguramos que nuestra infraestructura cumple todos los requisitos, ejecutamos el comando dcpromo para añadir un controlador de dominio al dominio existente y en el wizard indicamos que el controlador de dominio será de solo lectura (ver pantallazo ánexo)
4 – ¿Como administro el controlador de dominio de solo lectura?
Es importante mencionar que los controladores de solo lectura requieren muchas menos administración que los controladores de dominio completos, puesto que la replicación solo se realiza en un sentido. Teniendo en cuenta esta consideración podemos decir que la administración de objetos de nuestro directorio activo la seguiremos haciendo de la misma manera con la consola de usuario y equipos de active directory conectando a un controlador de dominio de escritura.
5 – ¿Como funciona la replicación de contraseñas en los RODCS?
Cuando añadimos un controlador de dominio de solo lectura a nuestra red se nos crea un objeto de equipo en active directory asociado al mismo, dicho objeto pose una pestaña más que el resto de equipo en la red que se llama password replication policy que nos permitirá determinar que contraseñas se almacenaran en nuestra rodc y cuales no, tambien nos permitira hacer un precacheo de password en el rodc antes de que los usuarios logen por primera vez. (ver pantallazo ánexo)
6 – ¿Que operaciones no podre realizar si solo tengo conectividad con el rodc (fallo de la wan con el controlador de dominio de escritura)?
– cambios de contraseña
– añadir equipos al dominio
– cambios de nombres de equipos
– iniciar sesión en aquellas cuentas que no tenga la password cacheada
Espero que este árticulo sea de utilidad y resuelva vuestras dudas sobre el deployment de rodcs. Si necesitais cualquier información adicional ya sabeís como contactar conmigo.
Un saludo
