Wenn Sie schon einmal versucht haben, einen schreibgeschützten Domänencontroller (RODC) unter Windows Server 2022 oder 2019 einzurichten, wissen Sie, dass dies anfangs etwas verwirrend sein kann. Ziel ist es, einen Domänencontroller zu erhalten, der lediglich eine schreibgeschützte Kopie von Active Directory (AD) enthält. Das bedeutet, er kann keine Änderungen vornehmen, übernimmt aber weiterhin die lokale Authentifizierung – besonders nützlich in Zweigstellen oder Umgebungen mit begrenzten Sicherheitsvorkehrungen. Doch von der Installation von Rollen bis zur Anpassung von Kennwortrichtlinien ist der Prozess nicht immer einfach. Diese Anleitung ist zwar nicht perfekt, bietet aber einen guten Überblick und spart Ihnen Zeit und Nerven.
So installieren und verwalten Sie einen schreibgeschützten Domänencontroller in Windows Server
Einen Überblick darüber gewinnen, was ein RODC eigentlich ist
Bevor wir mit der Installation beginnen, ist es hilfreich zu verstehen, was einen RODC auszeichnet. Er ist im Grunde eine Kopie Ihres Hauptdomänencontrollers, jedoch im Nur-Lese-Modus. Er speichert eine eingeschränkte Teilmenge der AD-Daten, hauptsächlich Passwörter von Benutzern in Außenstellen – also keine hochsensiblen Daten. Die Daten werden unidirektional von einem beschreibbaren Domänencontroller repliziert, sodass in den Außenstellen keine versehentlichen Aktualisierungen erfolgen. Bei einer Konfiguration funktionierte es reibungslos, bei einer anderen traten seltsame Verzögerungen auf oder es fehlten Attribute in der Konsole. Windows muss auch bei der Platzierung wählerisch sein: Der RODC darf nicht am selben Standort wie der beschreibbare Domänencontroller (RWDC) installiert werden, da es sonst zu Problemen kommen kann.
Installation eines RODC über die Server-Manager-GUI
Das ist der klassische Weg: Server-Manager öffnen, die Active Directory-Domänendienste -Rolle (AD DS) hinzufügen und los geht’s. Wählen Sie im Assistenten „ Domänencontroller zu einer vorhandenen Domäne hinzufügen“. Stellen Sie sicher, dass Sie als Domänenadministrator angemeldet sind, da die entsprechenden Anmeldeinformationen benötigt werden. Geben Sie Ihren Domänennamen an – z. B.woshub.com – und legen Sie die Anmeldeinformationen fest.
Im Schritt, in dem Sie nach den zu installierenden Funktionen gefragt werden, aktivieren Sie gegebenenfalls DNS und den globalen Katalog und wählen Sie außerdem den schreibgeschützten Domänencontroller aus. Wählen Sie anschließend die Website aus (falls Sie mehrere haben) und legen Sie ein DSRM-Passwort fest – etwas, das Sie sich gut merken können, aber nicht Ihr Administratorpasswort.
Anschließend können Sie bestimmten Benutzern – beispielsweise Systemadministratoren in Zweigstellen – Administratorrechte für den lokal referenzierten Domänencontroller (RODC) zuweisen, sodass diese ihn ohne vollständige Domänenrechte verwalten können. Sie legen außerdem fest, welche Passwörter zwischengespeichert werden sollen. Auf manchen Servern wird möglicherweise eine Meldung zu einem bereits vorhandenen RODC-Konto angezeigt. Wählen Sie in diesem Fall einfach „ Vorhandenes RODC-Konto verwenden“, insbesondere wenn Sie dieses zuvor erstellt haben.
Die Pfade zum Speichern der AD-Datenbank, der Protokolle und von SYSVOL sind konfigurierbar, die Standardeinstellungen funktionieren aber in der Regel. Nach dem Klicken auf „Installieren“ wird der Server neu gestartet, und schon ist ein schreibgeschützter Domänencontroller (RODC) erstellt.Überprüfen Sie die korrekte Replikation, indem Sie den Server starten dsa.mscund eine Verbindung herstellen. Die Schaltflächen zum Erstellen von AD sind ausgegraut und die Attribute nicht bearbeitbar, was bei einem schreibgeschützten Domänencontroller normal ist.
Bereitstellen eines RODC mithilfe von PowerShell
Für alle, die es lieber automatisiert mögen oder mit Server Core arbeiten, ist PowerShell die richtige Wahl. Installieren Sie zunächst die Rolle und die Tools:
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
Sobald das erledigt ist, können Sie den RODC mit einem Befehl wie diesem starten:
Install-ADDSDomainController -ReadOnlyReplica -DomainName woshub.com -SiteName MUN_Branch1_RO_Site -InstallDns:$true -NoGlobalCatalog:$false
Anschließend werden Sie zum Neustart aufgefordert – führen Sie diesen durch. Um zu überprüfen, ob Ihr RODC tatsächlich schreibgeschützt ist, führen Sie folgenden Befehl aus:
Get-ADDomainController -Filter * | Select-Object Name, IsReadOnly
Überprüfen Sie außerdem, ob IsReadOnly auf „True“ gesetzt ist. Wenn Sie das RODC-Konto vorab erstellen möchten (z. B.vor der Freigabe bereitstellen), können Sie Folgendes verwenden:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName MUN-RODC01 -DomainName woshub.com -DelegatedAdministratorAccountName "woshub\mbak" -SiteName MUN_Branch1_RO_Site
Um diesen Server später in einen RODC umzuwandeln, lautet der Befehl wie folgt:
Install-ADDSDomainController -DomainName woshub.com -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "MUN-DC01.woshub.com" –UseExistingAccount
Beachten Sie: PowerShell kann AD-Objektattribute nicht ändern, wenn eine direkte Verbindung zu einem schreibgeschützten Domänencontroller (RODC) besteht. Wenn Sie beispielsweise ein Benutzerobjekt ändern müssen, müssen Sie einen beschreibbaren Domänencontroller mithilfe des Parameters „-Server“ angeben.
Passwortersatz und -zwischenspeicherung in RODC
Dieser Teil bereitet mehr Nutzern Probleme als nötig. Sie können festlegen, welche Benutzer-, Computer- oder Serverkennwörter lokal zwischengespeichert werden. Dadurch wird die Authentifizierung auch dann gewährleistet, wenn der schreibgeschützte Domänencontroller (RODC) nicht mit einem beschreibbaren Domänencontroller verbunden ist – ein weiterer Vorteil. Windows erstellt automatisch zwei Gruppen: „Zulässige RODC-Kennwortreplikation“ und „Verweigerte RODC-Kennwortreplikation“.
Standardmäßig werden sensible Konten – wie Domänen- oder Unternehmensadministratoren – nicht im Cache gespeichert, da dies ein Sicherheitsrisiko darstellen würde, falls jemand in die Zweigstelle eindringt. Normale Benutzer können der Gruppe „Zulässig“ hinzugefügt oder in ADUC ( Active Directory-Benutzer und -Computer ) unter den Eigenschaften des RODC (Remote Domain Controller) auf der Registerkarte „Kennwortreplikationsrichtlinie“ festgelegt werden.
Es ist ziemlich ärgerlich, dass man das zwischengespeicherte Passwort eines Benutzers nicht direkt löschen kann – es gibt keine Löschschaltfläche. Stattdessen kann man es erzwingen, indem man das Passwort des Benutzers in ADUC zurücksetzt, wodurch der Cache geleert wird – nicht elegant, aber es funktioniert. Falls der RODC kompromittiert ist, kann man den Cache auch ungültig machen, indem man das Passwort ändert oder PowerShell-Befehle verwendet, um zwischengespeicherte Anmeldeinformationen zu löschen.
Zusammenfassend lässt sich sagen, dass die Bereitstellung eines RODC (Remote Domain Controller) kein Hexenwerk ist, sobald man die einzelnen Schritte verstanden hat. Die größte Schwierigkeit besteht meist darin, die richtigen Berechtigungen und Richtlinien für das Passwort-Caching festzulegen und die optimale Serverplatzierung zu prüfen. Mit etwas Geduld ist das aber durchaus machbar.
Zusammenfassung
- Installieren Sie die AD DS-Rolle über die grafische Benutzeroberfläche oder PowerShell.
- Wählen Sie während der Einrichtung die richtigen Standort-, Domäneninformationen und RODC-Optionen aus.
- Konfigurieren von Kennwortzwischenspeicherungsrichtlinien in ADUC
- Überprüfen Sie die Replikation und stellen Sie sicher, dass sie korrekt funktioniert – unnötige Attributänderungen sind nicht zulässig.
- Denken Sie daran, RODCs sind zwar nützlich, haben aber ihre Grenzen – speichern Sie sensible Daten nicht im Cache.
Zusammenfassung
Die Einrichtung eines RODC ist gar nicht so schwer, sobald die anfänglichen Installationshürden überwunden sind. Man sollte nur die Sicherheitslage und den Standort im Auge behalten, insbesondere da einige Attribute herausgefiltert werden und nicht geändert werden können. Auf einem Rechner funktionierte es nach einem Neustart einwandfrei; auf einem anderen musste ich die DNS-Einstellungen etwas anpassen. Insgesamt bin ich zufrieden – bei guter Planung funktioniert es einwandfrei.