Si alguna vez has intentado configurar un controlador de dominio de solo lectura (RODC) basado en Windows Server 2022 o 2019, sabes que al principio puede parecer un poco complicado. El objetivo es conseguir un controlador de dominio que solo tenga una copia de solo lectura de AD, lo que significa que no pueda realizar cambios, pero que aún gestione la autenticación localmente; algo útil especialmente en sucursales o lugares con seguridad limitada. Sin embargo, desde la instalación de roles hasta la configuración de políticas de contraseñas, no siempre es sencillo. Esta guía no es perfecta, pero debería ofrecer un buen resumen que te ahorrará tiempo y molestias.
Cómo instalar y administrar un controlador de dominio de solo lectura en Windows Server
Comprender qué es realmente un RODC
Antes de sumergirse en el proceso de instalación, es útil comprender qué distingue a un RODC. Básicamente, es una copia de tu controlador de dominio principal, pero en modo de solo lectura. Mantiene un subconjunto restringido de datos de AD, principalmente contraseñas de usuarios en oficinas remotas (no la información extremadamente confidencial).Replica datos unidireccionalmente desde un controlador de dominio con permisos de escritura, por lo que no se producen actualizaciones accidentales en la sucursal. En una configuración funcionó bastante bien; en otra, se produjeron retrasos inusuales o se veían algunos atributos faltantes en la consola. Windows también debe ser muy selectivo con la ubicación: no coloques el RODC en el mismo sitio que el RWDC, o la situación se complica.
Instalación de un RODC a través de la GUI del Administrador del servidor
Es el método clásico: abre el Administrador del servidor, añade el rol de Servicios de dominio de Active Directory (AD DS) y listo. Al iniciar el asistente, selecciona » Añadir un controlador de dominio a un dominio existente». Asegúrate de haber iniciado sesión como administrador del dominio, ya que se necesitarán esas credenciales. Indica el nombre de tu dominio (por ejemplo, woshub.com ) y configura las credenciales.
En el paso donde se pregunta qué funciones instalar, verifique el DNS y el Catálogo Global si es necesario, y seleccione Controlador de Dominio de Solo Lectura. Luego, seleccione el sitio (si tiene varios) y configure una contraseña DSRM (algo fácil de recordar, pero no su contraseña de administrador).
A continuación, puede delegar derechos de administrador del RODC a ciertos usuarios (por ejemplo, administradores de sistemas de sucursales) para que puedan administrarlo sin tener todos los derechos de dominio. También podrá elegir las contraseñas de las cuentas que desea almacenar en caché. En algunos servidores, podría recibir un mensaje sobre una cuenta RODC existente; simplemente seleccione » Usar cuenta RODC existente» si aparece, especialmente si la ha creado previamente.
Las rutas para almacenar la base de datos de AD, los registros y SYSVOL son configurables, pero la predeterminada suele funcionar. Tras hacer clic en «Instalar», el servidor se reiniciará y listo: se crea un RODC. Simplemente verifique que se replica correctamente ejecutándolo dsa.mscy conectándose. Verá que los botones de creación de AD están atenuados y los atributos no se pueden editar, lo cual es normal en entornos de solo lectura.
Implementar un RODC mediante PowerShell
Para quienes prefieren una automatización más avanzada o trabajan en Server Core, PowerShell es la solución. Primero, instale el rol y las herramientas:
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
Una vez hecho esto, puedes poner en marcha el RODC con un comando como este:
Install-ADDSDomainController -ReadOnlyReplica -DomainName woshub.com -SiteName MUN_Branch1_RO_Site -InstallDns:$true -NoGlobalCatalog:$false
Recibirás un mensaje para reiniciar el sistema. Hazlo. Si quieres comprobar si tu RODC es de solo lectura, ejecuta:
Get-ADDomainController -Filter * | Select-Object Name, IsReadOnly
Y verifique que IsReadOnly esté configurado como True. Si desea precrear la cuenta RODC (como prepararla antes de la promoción), puede usar:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName MUN-RODC01 -DomainName woshub.com -DelegatedAdministratorAccountName "woshub\mbak" -SiteName MUN_Branch1_RO_Site
Posteriormente, para promover este servidor a un RODC, el comando se ve así:
Install-ADDSDomainController -DomainName woshub.com -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "MUN-DC01.woshub.com" –UseExistingAccount
Tenga en cuenta que PowerShell no puede cambiar los atributos de los objetos de AD cuando se conecta directamente a un RODC. Si necesita modificar, por ejemplo, un objeto de usuario, deberá especificar un controlador de dominio con permisos de escritura mediante el parámetro –Server.
Reemplazo y almacenamiento en caché de contraseñas en RODC
Esta parte suele confundir a los usuarios. Puede decidir qué contraseñas de usuarios, equipos o servidores se almacenan en caché localmente. De esta forma, se autentican incluso si el RODC no está conectado a un controlador de dominio con permisos de escritura, lo que resulta muy útil. Windows crea dos grupos automáticamente: Grupo de replicación de contraseñas RODC permitidas y Grupo de replicación de contraseñas RODC denegadas.
La configuración predeterminada es mantener las cuentas confidenciales fuera de la caché, como los administradores de dominio o los administradores de empresa, ya que esto representaría un riesgo de seguridad si alguien accediera a la sucursal. Para los usuarios normales, puede incluirlos en el grupo «Permitidos» o especificar políticas en ADUC ( Usuarios y equipos de Active Directory ), en las propiedades del RODC, pestaña «Política de replicación de contraseñas».
Es un fastidio no poder eliminar la contraseña de un usuario en caché directamente (no hay botón de eliminación).En su lugar, se puede forzar restableciendo la contraseña de ese usuario en ADUC, donde se borra la caché; no es elegante, pero funciona. O bien, si el RODC está comprometido, también se puede invalidar la caché cambiando la contraseña o usando comandos de PowerShell para eliminar las credenciales en caché.
En resumen, implementar un RODC no es tarea fácil una vez que se dominan los pasos. El principal problema suele ser determinar qué permisos y políticas establecer para el almacenamiento en caché de contraseñas y si la ubicación del servidor es adecuada. Pero con un poco de paciencia, es bastante manejable.
Resumen
- Instalar el rol de AD DS mediante GUI o PowerShell
- Elija el sitio correcto, la información del dominio y las opciones de RODC durante la configuración
- Configurar políticas de almacenamiento en caché de contraseñas en ADUC
- Verifique la replicación y asegúrese de que funciona correctamente: no se permiten cambios de atributos innecesarios
- Recuerde, los RODC son útiles, pero tienen límites: mantenga la información confidencial fuera del caché.
Resumen
Configurar un RODC no es tan difícil una vez superados los obstáculos iniciales de la instalación. Simplemente tenga en cuenta su estrategia de seguridad y ubicación, sobre todo porque algunos atributos se filtran y no se pueden modificar. En una máquina, funcionó correctamente tras reiniciar; en otra, tuve que ajustar un poco la configuración de DNS. En general, no me puedo quejar: funciona bien si se planifica correctamente.