Инсталирање контролера домена РОДЦ на Виндовс Сервер 2016

По први пут, функционалност контролера домена само за читање (Родц - контролер домена само за читање), представљен је у систему Виндовс Сервер 2008. Главни задатак који следи РОДЦ технологија је могућност безбедног инсталирања сопственог контролера домена у удаљене филијале и канцеларије у којима је тешко обезбедити физичку заштиту сервера са ДЦ улогом. Контролор домена РОДЦ садржи копију базе података Ацтиве Дирецтори која је само за читање. То значи да нико, чак и након физичког приступа таквом контролеру домена, неће моћи да мења податке у АД-у (укључујући ресетовање лозинке администратора домене).

У овом ћемо чланку разговарати о главним значајкама употребе и поступку инсталације новог РОДЦ контролера домена на основу Виндовс Сервер 2016.

Садржај:

  • Карактеристике РОДЦ контролера домена
  • Инсталирајте РОДЦ из ГУИ сервера менаџера
  • Инсталирајте РОДЦ помоћу програма ПоверСхелл
  • Правила репликације РОДЦ лозинке

Карактеристике РОДЦ контролера домена

Главне разлике између РОДЦ и редовних контролера домена који се могу писати (РВДЦ)

  1. Контролор домена РОДЦ чува копију АД базе података која је само за читање. Према томе, клијенти таквог контролера домена не могу да га мењају..
  2. РОДЦ не реплицира податке АД и СИСВОЛ мапу на друге контролере домена (РВДЦ).
  3. РОДЦ контролер чува комплетну копију базе података АД, с изузетком шифри лозинки АД објеката и других атрибута који садрже осетљиве информације. Овај скуп атрибута се зове Филтрирани сет атрибута (ФАС). Ово укључује атрибуте попут мс-ПКИ-АццоунтЦредентиалс, мс-ФВЕ-РецовериПассворд, мс-ПКИ-ДПАПИМастерКеис итд. Ако је потребно, можете да додате друге атрибуте овом скупу, на пример, када користите ЛАПС, додајте му атрибут мс-МЦС-АдмПвд.
  4. Кад РОДЦ од корисника прими захтев за аутентификацију, он га преусмерава на РВДЦ контролер.
  5. РОДЦ контролер може кеширати вјеродајнице неких корисника (ово убрзава брзину ауторизације и омогућава корисницима да се пријаве у контролер домена, чак и ако нема везе с пуним ДЦ-ом).
  6. РОДЦ контролери домена могу добити административни приступ обичним корисницима (на пример, стручним техничким стручњаком).

Услови за постављање контролера домена само за читање.

  1. Серверу мора бити додељен статички ИП
  2. Заштитни зид мора бити онемогућен или правилно конфигурисан како би омогућио промет између ДЦ-а и приступ од клијента
  3. Најближи РВДЦ контролер мора бити наведен као ДНС сервер.

Инсталирајте РОДЦ из ГУИ сервера менаџера

Отворите конзолу Управитеља сервера и додајте улогу Услуге домена Ацтиве Дирецтори (слажете се да инсталирате све додатне компоненте и контроле).

У фази одређивања поставки новог ДЦ-а, одредите да желите да додате нови контролер домена постојећем домену (Додајте контролер домене постојећем домену), наведите име домене и, ако је потребно, податке о корисничком налогу са правима администратора домене.

Изаберите шта желите да инсталирате улоге ДНС сервера, глобалног каталога (ГЦ) и РОДЦ. Затим одаберите локацију на којој ће се налазити нови контролер и лозинку за приступ у ДСРМ режиму.

У следећем прозору за одређивање РОДЦ параметара морате навести кориснике који морају да омогуће административни приступ контролеру домена, као и списак налога / група чије су лозинке дозвољене и забрањене да се реплицирају на овај РОДЦ (могу се поставити касније).

Наведите да се подаци базе података АД могу пресликати са било којег истосмјерног напајања.

Затим одредите путање до базе података НТДС, њених евиденција и СИСВОЛ мапе (ако је потребно, касније их можете пренијети на други диск).

То је све. Након провере свих услова, можете покренути инсталацију улога.

Инсталирајте РОДЦ помоћу програма ПоверСхелл

Да бисте применили нови РОДЦ помоћу ПоверСхелл-а, морате инсталирати АДДС улогу и ПоверСхелл АДДС модул.

Адд-ВиндовсФеатуре АД-Домаин-Сервицес, РСАТ-АД-АдминЦентер, РСАТ-АДДС-Тоолс

Сада можете да започнете инсталацију РОДЦ-а:

Инсталирајте-АДДСДомаинЦонтроллер -РеадОнлиРеплица -ДомаинНаме иоурдимаин.цом -СитеНаме "Дефаулт-Фирст-Наме-Сите-Наме" -ИнсталлДнс: $ труе -НоГлобалЦаталог: $ фалсе

Након што цмдлет заврши, затражит ће поновно покретање сервера.

Можете да проверите да ли је сервер у РОДЦ режиму помоћу команде:

Гет-АДДомаинЦонтроллер -Идентити С2016ВМЛТ

Вриједност атрибута ИсРеадОнли мора бити Труе.

Правила репликације РОДЦ лозинке

На сваком РОДЦ-у можете дефинисати листу корисника и група чије се лозинке могу или не могу копирати на ову контролу домена.

У домену се стварају две нове глобалне групе

  1. Дозвољена РОДЦ група за копирање лозинке
  2. Одбијена група за копирање лозинке РОДЦ

Прва група је подразумевано празна, а друга садржи административне безбедносне групе чије се корисничке лозинке не могу копирати и кеширати на РОДЦ ради уклањања ризика од компромиса. Ово укључује подразумеване групе као што су:

  • Власници стваралаца групних полиса
  • Администратори домена
  • Церт Публисхерс
  • Ентерприсе админс
  • Администратори шеме
  • Крбтгт рачун
  • Оператори рачуна
  • Оператори сервера
  • Резервни оператори

У групи Дозвољена РОДЦ лозинка за копирање, по правилу, можете додати корисничке групе подружнице која служи овом РОДЦ-у..

У случају да у домену постоји више ДЦ-ова, вриједно је креирати такве групе појединачно за сваки РОДЦ. Везивање група на контролер домена РОДЦ изводи се у својствима сервера у АДУЦ конзоли на картици Лозинка
Политика репликације (више детаља).

Када се АДУЦ конзола повеже на контролер домена с улогом РОДЦ, чак ни администратор домене неће моћи уређивати атрибуте корисника / рачунара (поља нису могуће уређивати) нити креирати нове.

Категорија