Als je ooit hebt geprobeerd een alleen-lezen domeincontroller (RODC) in te stellen op basis van Windows Server 2022 of 2019, weet je dat het in het begin best ingewikkeld kan zijn. Het doel is om een domeincontroller te hebben die alleen een alleen-lezen kopie van Active Directory heeft, wat betekent dat deze geen wijzigingen kan aanbrengen, maar wel lokaal de authenticatie afhandelt. Dit is vooral handig in filialen of op locaties met beperkte beveiliging. Maar van het installeren van rollen tot het aanpassen van wachtwoordbeleid, het is niet altijd even eenvoudig. Deze handleiding is niet perfect, maar biedt een redelijk overzicht dat je tijd en frustratie bespaart.
Een alleen-lezen domeincontroller installeren en beheren in Windows Server
Inzicht krijgen in wat een RODC nu eigenlijk is.
Voordat je begint met de installatie, is het handig om te begrijpen wat een RODC (Read-Only Domain Controller) onderscheidt. Het is in principe een kopie van je hoofddomeincontroller, maar dan in alleen-lezenmodus. Het bewaart een beperkte subset van AD-gegevens, voornamelijk wachtwoorden van gebruikers in externe vestigingen – niet de supergevoelige gegevens. Het repliceert gegevens eenrichtingsverkeer vanaf een beschrijfbare DC, zodat er geen onbedoelde updates plaatsvinden in de vestiging. In de ene configuratie werkte het probleemloos, in de andere waren er vreemde vertragingen of ontbraken bepaalde attributen in de console. Windows moet ook kieskeurig zijn wat betreft de plaatsing: plaats de RODC niet op dezelfde locatie als de RWDC (Read-Only Domain Controller), anders kunnen er problemen ontstaan.
Een RODC installeren via de GUI van Server Manager
Het is de klassieke manier: open Serverbeheer, voeg de Active Directory Domain Services (AD DS) -rol toe en ga aan de slag. Wanneer je de wizard start, kies je ‘ Een domeincontroller toevoegen aan een bestaand domein’. Zorg ervoor dat je bent aangemeld als domeinbeheerder, want je hebt die inloggegevens nodig. Geef je domeinnaam op, bijvoorbeeld woshub.com, en stel de inloggegevens in.
Bij de stap waarin wordt gevraagd welke functies moeten worden geïnstalleerd, vinkt u DNS en Global Catalog aan indien nodig, en selecteert u Alleen-lezen domeincontroller. Kies vervolgens de site (als u er meerdere hebt) en stel een DSRM-wachtwoord in – iets dat u gemakkelijk kunt onthouden, maar niet uw beheerderswachtwoord.
Vervolgens kunt u beheerdersrechten voor de RODC delegeren aan bepaalde gebruikers – bijvoorbeeld systeembeheerders op een filiaal – zodat zij de server kunnen beheren zonder volledige domeinrechten. U kunt ook kiezen welke wachtwoorden van accounts in de cache worden opgeslagen. Op sommige servers krijgt u mogelijk een melding over een bestaand RODC-account. Kies in dat geval ‘Bestaand RODC-account gebruiken’, vooral als u het account vooraf hebt aangemaakt.
De paden voor het opslaan van de AD-database, logboeken en SYSVOL zijn configureerbaar, maar de standaardinstellingen werken meestal prima. Na het klikken op ‘Installeren’ zal de server opnieuw opstarten en voilà: een RODC is geboren. Controleer of de replicatie correct verloopt door de server te starten dsa.mscen er verbinding mee te maken. U zult zien dat de knoppen voor het aanmaken van AD-records grijs zijn en dat attributen niet bewerkbaar zijn, wat normaal is voor een alleen-lezen domeincontroller.
Een RODC implementeren met PowerShell
Voor wie de voorkeur geeft aan automatisering of werkt met Server Core, is PowerShell de beste optie. Installeer eerst de rol en de tools:
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter, RSAT-ADDS-Tools
Zodra dat is gebeurd, kunt u de RODC opstarten met een commando zoals dit:
Install-ADDSDomainController -ReadOnlyReplica -DomainName woshub.com -SiteName MUN_Branch1_RO_Site -InstallDns:$true -NoGlobalCatalog:$false
Je krijgt daarna een melding om opnieuw op te starten; doe dat. Als je wilt controleren of je RODC daadwerkelijk alleen-lezen is, voer dan het volgende commando uit:
Get-ADDomainController -Filter * | Select-Object Name, IsReadOnly
Controleer ook of IsReadOnly is ingesteld op True. Als u het RODC-account vooraf wilt aanmaken (bijvoorbeeld om het te prepareren vóór de promotie), kunt u het volgende gebruiken:
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName MUN-RODC01 -DomainName woshub.com -DelegatedAdministratorAccountName "woshub\mbak" -SiteName MUN_Branch1_RO_Site
Om deze server later te promoveren tot een RODC, ziet het commando er als volgt uit:
Install-ADDSDomainController -DomainName woshub.com -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "MUN-DC01.woshub.com" –UseExistingAccount
Houd er rekening mee dat PowerShell geen AD-objectkenmerken kan wijzigen wanneer er rechtstreeks verbinding is gemaakt met een RODC. Als u bijvoorbeeld een gebruikersobject wilt wijzigen, moet u een beschrijfbare DC opgeven met de parameter –Server.
Wachtwoordreplicatie en caching in RODC
Dit onderdeel zorgt vaker voor problemen dan zou moeten. Je kunt bepalen welke wachtwoorden van gebruikers, computers of servers lokaal worden opgeslagen. Op die manier kunnen ze zich authenticeren, zelfs als de RODC niet is verbonden met een beschrijfbare DC – nog een reden om ze te waarderen. Windows maakt automatisch twee groepen aan: een groep met toegestane RODC-wachtwoordreplicatie en een groep met geweigerde RODC-wachtwoordreplicatie.
Standaard worden gevoelige accounts, zoals domeinbeheerders of bedrijfsbeheerders, buiten de cache gehouden, omdat dit een beveiligingsrisico zou vormen als iemand zou inbreken in het filiaal. Voor gewone gebruikers kunt u ze toevoegen aan de groep ‘Toegestaan’ of beleidsregels specificeren in ADUC ( Active Directory Gebruikers en Computers ) onder de eigenschappen van de RODC, tabblad ‘Wachtwoordreplicatiebeleid’.
Het is vervelend dat je een opgeslagen wachtwoord van een gebruiker niet rechtstreeks kunt verwijderen – er is geen verwijderknop. Je kunt het echter afdwingen door het wachtwoord van die gebruiker opnieuw in te stellen in ADUC, waardoor de cache wordt gewist – niet elegant, maar het werkt. Of, als de RODC is gecompromitteerd, kun je de cache ook ongeldig maken door het wachtwoord te wijzigen of door PowerShell-opdrachten te gebruiken om opgeslagen referenties te verwijderen.
Al met al is het implementeren van een RODC geen hogere wiskunde als je de stappen eenmaal door hebt. De grootste uitdaging is meestal het bepalen van de juiste machtigingen en beleidsregels voor wachtwoordcaching, en of de plaatsing van de server wel zinvol is. Maar met een beetje geduld is het goed te doen.
Samenvatting
- Installeer de AD DS-rol via de grafische gebruikersinterface of PowerShell.
- Kies tijdens de installatie de juiste site, domeininformatie en RODC-opties.
- Configureer beleidsregels voor wachtwoordcaching in ADUC.
- Controleer de replicatie en zorg ervoor dat deze correct werkt — geen onnodige wijzigingen in attributen toegestaan.
- Onthoud dat RODC’s nuttig zijn, maar ze hebben hun beperkingen – bewaar gevoelige gegevens niet in de cache.
Samenvatting
Het opzetten van een RODC is niet zo moeilijk als de eerste installatieproblemen eenmaal zijn opgelost. Houd wel rekening met je beveiligingsinstellingen en de plaatsing, vooral omdat sommige attributen worden gefilterd en niet kunnen worden gewijzigd. Op de ene machine werkte het prima na een herstart; op een andere moest ik de DNS-instellingen wat aanpassen. Over het algemeen valt er niets op aan te merken – het werkt goed als het goed gepland is.