[Active Directory] – RODC / Read-Only Domain Controller 2008

  • Présentation du nouveau rôle RODC

Avec Windows Server 2008, apparaît un nouveau rôle pour les contrôleurs de domaine à savoir le mode lecture seule. On le retrouve plus régulièrement sous le nom de RODC pour Read-Only Domain Controller. Certains diront qu’il s’agît d’un retour en arrière, comme c’était le cas sous les architectures NT4 avec les PDC et BDC. Non ! Nous restons bien sur une architecture multi maîtres avec une option de lecture seule pour certains DC si nous le souhaitons!

Cette nouveauté permet de répondre à une problématique de sécurité ou l’intégrité physique du DC dans une succursale par exemple, ne peut être assurée.  Ainsi notre contrôleur de domaine en lecture seule, disposera d’une base de données Active Directory non modifiable. La réplication se fera donc de manière unidirectionnelle depuis un DC normal. Ce qui implique que pour mettre en place un RODC, il faut au moins disposer d’un DC pour le domaine donné.


  • Caractéristiques du RODC

 * Base de données (Exceptés les mots de passe utilisateurs, un RODC a une copie de l’intégralité des objets, attributs, classes… d’un contrôleur de domaine en écriture – RWDC, Read-Write Domain Controller).

 * Réplication unidirectionnelle (Les DC standards partenaires de réplication ne rapatrient pas de changements depuis ceux-ci. Aucunes modifications d’un utilisateur ne peut être répliqué vers le reste de la forêt Active Directory.

 * Mise en cache des identifiants (Aucuns mots de passe ne vont être répliqués en local).

 * Séparation des rôles d’administration (définir un compte qui sera administrateur du RODC).

 * DNS en lecture seule (Les clients ne peuvent pas créer directement d’enregistrement sur celui-ci).

 * Utilisateurs et groupes dédiés (compte de service pour le centre de distribution de clés spécifique au RODC « krbtgt_52735 »).

 

  • Fonctionnalités spécifiques

 * Rôles FSMO  – Flexible Single Master Operation : Dans la mesure ou aucune écriture n’est possible sur un RODC, aucuns rôles FSMO ne peut être transféré à un RODC.

 * Tête de pont : Dans la mesure ou le RODC ne peut répliquer de changements vers d’autres DC, cette fonction n’est pas possible.

 

  • Réplication

Les mises à jours d’informations d’Active Directory sont écrites sur un DC puis répliqués dans les 15 secondes aux autres DC du site (réplication 1 à 1). Les mises à jour sont ensuite mises en queue et répliqués via le WAN aux autres DC lorsque la planification le permet (par défaut toutes les 15 minutes).

Dans le cas d’un RODC, certaines opérations intersite ne peuvent respecter la planification classique comme par exemple, le changement de mots de passe (type réplication urgente) ou encore la mise à jour DNS depuis les clients.

 

  • Pré requis à la mise en place d’un RODC

L’infrastructure doit respecter le spoints suivants :

 * Le niveau de fonctionnement de la forêt doit au moins être Windows Server 2003 natif afin de garantir la consistance des processus de réplication.

 * Le niveau de fonctionnement du domaine doit au moins être Windows Server 2003 natif afin d’autoriser les fonctions de délégation contraintes Kerberos.

 * Au moins un DC sous Windows Server 2008 doit être sur le domaine du RODC, celui-ci ne pouvant répliquer que depuis cette version.

 

  • Applications Microsoft ne supportant pas les RODC

 * Microsoft Internet Security and Acceleration (ISA) server

 * Microsoft Office Live Communications Server (OCS / Lync Server également)

 * Microsoft Systems Management Server (SMS) (SCCM également)

 * Microsoft Operations Manager (MOM) (SCOM également)

 * Windows SharePoint Services

 * Microsoft SQL Server (http://support.microsoft.com/kb/947986)

 * Services Windows Server;

 – Active Directory Certificate Services (AD CS)

 – Active Directory Rights Management Services (AD RMS)

 – Credential Roaming

 – Distributed File System (DFS)

 – Distributed File System Replication (DFSR) and File Replication Service (FRS)

 – Domain Name System (DNS)

 – Dynamic Host Configuration Protocol (DHCP)

 – Group Policy

 – Internet Authentication Service (IAS) and Network Policy Server (NPS)

 – Internet Information Services (IIS)

 – Network Access Protection (NAP) 

 – Terminal Services (Users and Computers snap-in)

 – Terminal Services Licensing server

 

Note : Microsoft Exchange Server n’utilisent pas de serveurs RODC. Cependant, vous pouvez configurer les clients Outlook dans chaque site RODC spécifique afin d’obtenir les services auprès d’un catalogue global en lecture seule (« ROGB » – Read-Only Global Catalog). Celui-ci les redirigera vers un serveur jouant le rôle de catalogue global classique.

 

Ressources :

Read-Only Domain Controller (RODC) Planning and Deployment Guide

RODC Technical Reference

jordanlaurent

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *