Während der Heraufstufung eines Domänencontrollers können Sie diesen bei Bedarf zum Read-only Domänencontroller (RODC) deklarieren. Der erste Domänencontroller (DC) muss jedoch ein normaler DC sein. Als RODC repliziert sich der DC von anderen Domänencontrollern, gibt aber selbst keine Änderungen weiter. Ein RODC nimmt damit keine Änderungen an der Datenbank des Active Directory (AD) vor, ein lesender Zugriff ist allerdings erlaubt. So schützt ein RODC das AD davor, dass sich Kennwörter ausspionieren lassen. Der geschützte DC kennt zwar alle Objekte im AD, speichert aber nur die Kennwörter der Benutzer, die Sie explizit festlegen. Wird ein solcher DC nun gestohlen oder wird versucht, die Kennwörter aus der Datenbank auszulesen, sind zumindest die Konten der restlichen Domäne geschützt.

Sicherheit im RODC
Schreibende Domänencontroller richten keine Replikationsverbindung zu RODCs ein, da eine Replikation nur von normalen Domänencontrollern zu RODCs erfolgen kann. RODCs richten dagegen Replikationsverbindungen zu schreibenden DCs ein, die Sie bei der Heraufstufung angeben. Klicken Sie also im Snap-In "Active Directory-Benutzer und -Computer" mit der rechten Maustaste auf die OU "Domain Controllers", können Sie im zugehörigen Kontextmenü den Eintrag "Konto für schreibgeschützten Domänencontroller vorbereiten" auswählen. In diesem Fall führen Sie in der Zentrale den Assistent zum Erstellen eines neuen DC aus und weisen diesem ein Computerkonto zu. In der Niederlassung kann anschließend ein Administrator diesen Server installieren. Dem Server wird dann automatisch die Funktion des RODCs zugewiesen. Folgende Abläufe finden dann auf einem RODC beim Anmelden eines Benutzers statt:

1. Der RODC überprüft, ob das Kennwort des Anwenders auf den Server repliziert wurde. Falls ja, wird der Anwender angemeldet.
2. Ist das Kennwort nicht auf dem RODC verfügbar, wird die Anmeldeanfrage an einen vollwertigen DC weitergeleitet.
3. Nach der erfolgreichen Anmeldung wird dem RODC ein Kerberos-Ticket zugewiesen.
4. Der RODC stellt dem Anwender jetzt noch ein eigenes Kerberos-Ticket aus, mit dem dieser arbeitet. Gruppenmitgliedschaften und Gruppenrichtlinien werden übrigens nicht über die WAN-Leitung gesendet. Diese Informationen werden auf dem RODC gespeichert.
5. Als Nächstes versucht der RODC, das Kennwort dieses Anwenders in seine Datenbank von einem vollwertigen DC zu replizieren. Ob das gelingt oder nicht, hängt von der jeweiligen Gruppenmitgliedschaft ab.
6. Bei der nächsten Anmeldung dieses Anwenders beginnt der beschriebene Prozess von vorne.

Die Kennwörter von Administratorkonten im Active Directory werden in keinem Fall auf einem schreibgeschützten Domänencontroller gespeichert. Sie sind aufgrund ihrer Bedeutung von der möglichen Replikation zum schreibgeschützten Domänencontroller ausgeschlossen. Geht die WAN-Verbindung in der Niederlassung mit dem RODC zu einem normalen DC verloren, findet keine Anmeldung mehr an der Domäne statt. Der RODC verhält sich dann wie ein normaler Mitgliedsserver und es ist nur die lokale Anmeldung am Server möglich.

Installieren Sie auf einem RODC den DNS-Dienst, wird dieser Server zum schreibgeschützten DNS-Server. Hier gelten die gleichen Einschränkungen für einen RODC. Ein schreibgeschützter DNS-Server nimmt nur Änderungen von normalen DNS-Servern entgegen und akzeptiert selbst keine Änderungen. Er steht für Benutzer dabei als normaler DNS-Server für Abfragen zur Verfügung, unterstützt jedoch keine dynamische DNS-Registrierung. Versucht sich ein Client zu registrieren, erhält er vom DNS-Server eine Rückmeldung, dass dieser keine Aktualisierung akzeptiert. Im Hintergrund kann der Client versuchen, sich an einem normalen DNS-Server zu registrieren, der die Änderungen dann wieder zum schreibgeschützten DNS-Server überträgt.

    Seite 1: Sicherheit beim RODC-Betrieb
    Seite 2: RODC installieren und in Domäne integrieren

Seite 1 von 2

Nächste Seite >>

dr/ln/Thomas Joos