Read-Only Domain Controller (RODC)

  • dit dosyasını sadece okur
  • Ana DC üzerindeki yeni kayıtlar ve güncelleştirmeler RODC’ ye aktarılır (Tek taraflı eşitleme)
  • Daha küçük, daha az güvenli ve IT ekibi olmayan ofisler için önerilir
  • DNS’i de sadece okur

Ön Gereksinimler

  • PDC Emulator rolüne sahip sunucu en az W2K8 olmalı
  • Güncellemeleri alacağı sunucu en az W2K8 olmalı
  • DFL ve FFL en az W2K3 olmalı
  • adprep /rodcprep komutu çalıştırılmış olmalı
  • Site ve Domain başına 1 adet RODC olur (Microsoft’un önerisi)
  • MS Outlook (ortamda Exchange varsa) kullanılacaksa GC olarak yapılandırılmalı
  • UGMC açık olmalı
  • RODC olacak sunucu önceden alan adına üye yapılmamış olmalı

Credential Caching

  • RODC logon’ları doğrular (DC’ye iletmez)
  • Seçilen hesapların şifrelerini hafızada tutar (Bireyler ve gruplar)
  • Admin hesaplarının şifreleri hafızada tutulmaz
  • Bilgisayar hesaplarını da hafızada tutar

RODC Kurulumu

  • Domain kurulumu esnasında “Read Only Domain Controller (RODC)” kutucuğu işaretlenir.
  • Delegasyon verilecek kullanıcı hesabı seçilir. Aynı ekranda şifrelerinin eşitleneceği gruplar ile eşitlenmeyeceği gruplar seçilir.
  • Kurulum normal şekilde tamamlanır.

RODC Hakkında Diğer Bilgiler

  • AD konsolundan Domain Controllers dizinine gelinip sağ tuş işe “Pre-create Read-only Domain Controller account” sihirbazı ile RODC kurulumu başlamadan önce ilgili sunucunun bilgisayar hesabını kurabiliriz.
  • AD konsolundan RODC bilgisayar hesabının özelliklerine gelip parola eşitlemesiyle alakalı işlemleri gerçekleştirebiliriz.
  • Bu ekrandan mevcut kullanıcı veya bilgisayar hesaplarının mevcut şifrelerinin RODC’ye aktarılmasını prepopulate işlemi ile yapabiliriz. Bu işlem için mevcut ekrandan Advanced’ e basıp açılan pencereden Prepopulate Passwords’ e tıklamalıyız. Burada dikkat edilecek husus; parola eşitlemesine izin verilmiş gruplara üye olan kullanıcı ve bilgisayar hesaplarını ekleyebiliriz. Eğer ekli değilse işlem işe yaramayacaktır. Dolayısıyla önce parola eşitleme kurallarının olduğu alana ekleyip izin vermeliyiz.

Domain Controller Cloning Öngereksinimler

  • Kaynak DC Server 2012 olmalı
  • PDC Emulator rolü Server 2012 üzerinde çalışıyor olmalı
  • Kaynak DC “Clonable Domain Controllers” grubuna üye olmalı.
  • VM-GenerationID özniteliği gereksinimi sebebiyle en az Hyper-V 3.0 altyapısı gerekli. Bu özellik .dit dosyalarının değerlerini karşılaştırabiliyor.
Klonlama işlemine mani olacak veya sorun çıkarabilecek uygulama ve servislerin listesini çıkarır. Kaynak sunucuda çalıştırılır.Get-ADDCCloningExcludedApplicationList
Sonundaki parametre ile sonuçlar bir XML dosyasına yazılır. notepad C:\Windows\NTDS\CustomDCCloneAllowList.xml
komutu ile yazılan dosya görüntülenebilir.
Get-ADDCCloningExcludedApplicationList -GenerateXml
Komutu ile klon DC’ nin konfigürasyonu için gerekli olan XML dosyası oluşturulur.New-ADDCCloneConfigFile -Static -IPv4Address IPAdresi -IPv4DefaultGateway DefaultGWIP -IPv4SubnetMask SubnetMask -IPv4DNSResolver DNSAdresi1,DNSAdresi2 1-CloneComputerName CloneDCAdı -SiteName DahilOlacağıSiteAdı

Kaynak sunucuyu kapatıp, Hyper-V üzerinden Export ederiz. İşlem bittikten sonra Hyper-V konsoldan yeni sunucuyu Import ederiz. Import Type olarak “Copy the virtual machine” seçilmeli. Bunun sebebi, import edilen DC için yeni unique ID yaratacak olmasıdır. Bu işlem tamamlandıktan sonra Hyper-V konsolunda kaynak ve import edilen sunucular aynı isimde görünecektir. Elle isim değişikliği yapılır. Önce kaynak sunucu açılır sonra import edilen sunucu açılır.

Read-Only DC ve Cloned DC