Контроллер домена, доступный только для чтения (RODC — read-only domain controller), впервые был представлен в Windows Server 2008 и продолжает поддерживаться в версиях Windows Server 2012 R2, 2016, 2019 и 2022. Основная цель RODC — обеспечение безопасности контроллеров домена в удаленных филиалах и офисах с плохими WAN-каналами или ограниченной физической защитой сервера. RODC содержит копию базы Active Directory, доступную только для чтения, что предотвращает изменения данных, даже если злоумышленник получит физический доступ к серверу. В этой статье мы рассмотрим установку и настройку контроллера домена на чтение (RODC) в Windows Server 2019 и 2022.
Приобрести оригинальные ключи активации Windows Server можно у нас в магазине от 1090 ₽
Скачать дистрибутивы Windows Server можно у нас в каталоге.
Основные отличия RODC от стандартного контроллера домена (RWDC — read-write domain controller):
— RODC хранит копию базы данных AD, доступную только для чтения.
— Не реплицирует данные AD и папку SYSVOL на другие контроллеры (используется односторонняя репликация).
— RODC хранит копию базы данных AD, без хэшей паролей и других чувствительных данных (Filtered Attribute Set — FAS).
— RODC может кэшировать учетные данные определенных пользователей, что ускоряет аутентификацию.
— При получении контроллером RODC запроса на аутентификацию от пользователя, он перенаправляет этот запрос на ближайший RWDC контроллер;
— RODC может предоставлять административный доступ без прав на другие DC или Domain Admins.
— DNS на RODC работает в режиме только чтения.
Требования для разворачивания RODC:
1. Назначенный статический IP.
2. Корректная настройка Windows Firewall или его отключение.
3. Указание ближайшего RWDC в качестве DNS-сервера.
4. Установка RODC возможна как на Full GUI, так и на Core редакции Windows Server.
5. Не стоит размещать RODC в одном сайте с RWDC.
1. Откройте Server Manager и добавьте роль Active Directory Domain Services.
2. На этапе выбора настроек нового контроллера домена, выберите:
— Add a domain controller to an existing domain.
— Укажите имя домена и учетные данные администратора домена.
3. Укажите, что необходимо установить роли DNS-сервера, глобального каталога (GC) и RODC. Выберите сайт AD и задайте пароль для Directory Services Restore Mode (DSRM).
4. Далее задайте:
— Администратора, которому будет предоставлен доступ к RODC.
— Учетные записи, пароли которых разрешено (Accounts that are allowed…) или запрещено (Accounts that are denied…) реплицировать на данный RODC.
5. Укажите, что данные базы AD можно реплицировать с любого DC. Replicate from -> Any domain controller
6. Укажите пути для базы данных NTDS и папки SYSVOL.
7. После завершения проверки параметров, запустите установку RODC.
8. Альтернативно, вы можете использовать функцию Staged, которая предполагает предварительное создание учетной записи компьютера RODC через консоль ADUC (Active Directory Users and Computers). Для этого щелкните правой кнопкой по контейнеру Domain Controllers и выберите Pre-create Read-Only Domain Controller account.
При установке ADDS на сервере с таким же именем, появится надпись:
A Pre-created RODC account that matches the name of the target server exists in the directory. Choose whether to use this existing RODC account or reinstall this domain controller.
Выберите опцию Use existing RODC account, чтобы использовать настроенный аккаунт RODC в AD.
После завершения установки роли и перезагрузки сервера вы получите RODC контроллер.
При подключении консолью ADUC (dsa.msc) к RODC все кнопки создания новых объектов AD станут неактивными (серыми). Также на RODC нельзя изменить атрибуты объектов AD. Все остальные действия в консоли Active Directory, в том числе поиск, работают как обычно.
1. Установите необходимые компоненты с помощью PowerShell:
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
2. Запустите установку RODC:
Install-ADDSDomainController -ReadOnlyReplica:$true -DomainName yourdomain.com -SiteName "Default-First-Site-Name" -InstallDns:$true -NoGlobalCatalog:$false
После завершения процесса система запросит перезагрузку.
3. Для проверки статуса DC в домене выполните:
Get-ADDomainController -Filter * | Select-Object Name,IsReadOnly
У RODC значение атрибута IsReadOnly должно быть True. Чтобы вывести только RODC:
Get-ADDomainController –filter {IsReadOnly –eq $true}
4. Если нужно предварительно создать учетную запись RODC в домене:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName SPB-RO-DC1 -DomainName winitpro.ru -DelegatedAdministratorAccountName "winitpro\kbuldogov" -SiteName SPB_RO_Site
5. При повышении сервера до DC используйте команду:
Install-ADDSDomainController -DomainName winitpro.ru -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "SPB-DC01.winitpro.ru" – UseExistingAccount
С помощью PowerShell вы также не сможете изменить атрибуты объектов AD при подключении к RODC. Если вы хотите изменить атрибуты объекта из сайта с RODC, указать адрес ближайшего RWDC с помощью параметра –Server , который доступен у командлетов Set-ADUser, Set-ADComputer, New-ADUser и т.д.
На каждом RODC можно задать список пользователей, компьютеров и серверов, чьи хэши пароли можно или нельзя реплицировать на данный контролер домена.
В домене по умолчанию создаются две глобальные группы:
— Allowed RODC Password Replication Group — группы и пользователи, чьи пароли можно кэшировать.
— Denied RODC Password Replication Group — содержит административные группы, чьи пароли нельзя кэшировать.
Первая группа по умолчанию пуста, а во второй содержатся административные группы безопасности, пароли пользователей которых нельзя реплицировать и кэшировать на RODC с целью исключения риска их компрометации. Сюда по-умолчанию входят такие группы, как:
— Group Policy Creator Owners
— Domain Admins
— Cert Publishers
— Enterprise Admins
— Schema Admins
— Аккаунт krbtgt
— Account Operators
— Server Operators
— Backup Operators
В группу Allowed RODC Password Replication Group обычно добавляются группы пользователей филиала, в котором находится RODC.
Если в домене развернутся несколько контроллеров домена на чтение, лучше создать такие группы для каждого RODC. Привязка групп к контроллеру домена RODC выполняется в свойствах сервера в консоли ADUC на вкладке Password Replication Policy.
В окне Advanced Password Replication Policy for RODC_name можно просмотреть:
Accounts whose passwords are stored on this Read-Only Domian Controller – список пользователей и компьютеров, чьи пароли закешированы на этом RODC
Accounts that have been authenticated to this Read-Only Domain – список пользователей и компьютеров, которые подключены через этот RODC
1. Вы можете управлять группами RODC с помощью PowerShell. Вывести список пользователей в группе AD::
Get-ADGroupMember -Identity "Denied RODC Password Replication Group" | ft Name, ObjectClass
2. Добавить в группу RODC всех активных пользователей из определенного OU Active Directory:
Get-ADUser -Filter {Enabled -eq "True"} -SearchBase 'OU=SPBOffice,DC=winitpro,DC=ru' | ForEach-Object {Add-ADGroupMember -Identity 'Allowed RODC Password Replication Group' -Members $_ -Confirm:$false}
4. Для кэширования паролей пользователей на RODC выполните скрипт:
$users = Get-ADUser -Filter {Enabled -eq "True"} -SearchBase 'OU=SPBOffice,DC=winitpro,DC=ru'
foreach ($user in $users) {
Get-ADObject -identity $user | Sync-ADObject -Source SPB-DC01 ‑Destination SPB-RO-DC1 -PasswordOnly
}
5. Чтобы узнать, кэшируются ли пароли пользователей на RODC, выполните команду:
Get-ADDomainControllerPasswordReplicationPolicyUsage -Identity SPB-RO-DC1 ‑RevealedAccounts
Использование RODC позволяет безопасно устанавливать контроллеры домена в удаленных офисах и филиалах, обеспечивая надежность работы AD и снижая риск компрометации данных в случае физического доступа к серверу.
