Active Directory - RODC Kurulumu

 

Selamlar. 

Bu konuda RODC (Read-only Domain Controller) kurulumunu anlatacağım. 

RODC, genellikle güvenliği konusunda endişe edilen şubelere DC kurulması gerektiğinde tercih edilmektedir. Örneğin, şirketinizin başka bir şehirde şubesi var diyelim. Buraya DC kurmak istiyorsunuz fakat şubedeki IT personeline güvenmiyorsunuz. Şube için kuracağınız DC'de kullanıcı şifrelerinin tutulmasını istemiyorsunuz. Ayrıca AD objelerinde değişiklik yapmasını da sakıncalı görüyorsunuz. Yetkili personelin DC üzerinde sadece local admin olmasını istiyorsunuz. Böyle bir ortam için RODC kurmanız mantıklı olacaktır. RODC'li ortam için kullanıcı hesapları bu makineye aktarılabilirken, kullanıcı şifreleri sadece yazılabilir DC'ler üzerinde tutulur. Herhangi bir kullanıcı RODC üzerinden kimlik doğrulaması yapmak isterse, kullanıcı şifresi yazılabilir bir DC üzerinden kontrol edilerek authorize olmasına izin verilir. 

Örneğimizde rodcadmin isimli bir kullanıcı hesabı oluşturup rodc isimli server üzerinde kurulum yapacağız.

Active Directory Users and Computers konsolu üzerindeki Domain Controllers'a sağ tıklayıp Pre-create Read-only Domain Controller account yazısına tıklıyorum. 


Computer Name olarak belirteceğiniz bilgisayar adı kurulum için önemlidir. RODC rolünün yükleneceği bilgisayarın local adı ile burada belirteceğiniz Computer Name aynı olmalıdır.


Kurulumu gerçekleştirecek olan hesabı bu ekrandan seçmelisiniz. İlgili kullanıcı hesabı rodc makinesi için yetkilendirilecektir. 


Şimdi ise RODC olarak hizmet verecek makineye gidip birkaç ayar yapacağız. Öncelikle makinenin IP adresini sabitleyelim. 
Makinenin local bilgisayar adını rodc olarak belirliyorum. Bu aşamada makineyi domain'e join etmiyorum. (Burası önemli. Eğer domain'e join edilmiş bir sistemi RODC olarak yapılandıracaksanız, öncelikle makineyi workgroup'a almalısınız. Daha sonra dsa.msc'den ilgili bilgisayar hesabını silip kuruluma local administrator ile başlamalısınız.) 
Makineyi yeniden başlattıktan sonra local administrator hesabıyla ADDS'in kurulumunu başlatıyorum.
Konfigürasyon ekranında sanki ADC kuruyormuş gibi ilerliyorum. Credentials kısmından DC'de oluşturduğum kullanıcı hesabının bilgilerini girip devam ediyorum.



Kurulum tamamlandıktan sonra RODC üzerinden Active Directory Users and Computers'ı açıp obje oluşturmayı deniyorum ama tüm çabalarım boşuna. :) RODC üzerinden AD objeleri oluşturamazsınız. 
RODC'nin sadece okunabilir olduğunu, kullanıcı parolalarının bu server'da tutulmayacağını söylemiştik. Örneğin eğer RODC'nin kurulacağı lokasyonda çalışan personelin şifrelerinin RODC'de tutulmasında sakınca görmüyorsanız, bu personeller için bir kullanıcı grubu oluşturup o grubu Allowed RODC Password Replication Group'a üye yaparak kullanıcıların bir sonraki login işlemleriyle birlikte bu hesapların şifrelerinin RODC üzerinde tutulmasını sağlayabilirsiniz. RODC üzerinde izin verilen ya da izin verilmeyen Password Replication Policy'leri görüntülemek için en iyi yol, Domain Controllers içerisinde yer alan RODC'nin özelliklerine girip Password Replication Policy'i incelemek olacaktır. 
Ben daha önceden RODC Replika Grubu isminde bir grup oluşturup test1 isimli kullanıcı hesabını bu gruba üye yapmıştım. RODC Replika Grubu'nu Password Replication Policy'e eklemek için Add butonuna tıklayıp Allow passwords for the account to replicate to this RODC seçeneği ile ilerleyip ilgili kullanıcı grubunu ekliyorum.
İsterseniz ilgili kullanıcı hesaplarının şifrelerini doğrudan RODC ile senkronize edebilirsiniz. Bu işlem için öncelikle kullanıcı grubunu Allow passwords for the account to replicate to this RODC seçeneği ile Password Replication Policy'e eklemiş olmanız gerekiyor. Daha sonra Advanced butonuna tıklayıp Prepopulate Passwords butonuna tıklayıp aktarmak istediğiniz kullanıcı hesabını ya da kullanıcı grubunu seçmelisiniz. 

Display users and computers that meet the following criteria kısımından hangi sistemlerin/kullanıcı şifrelerinin RODC üzerinde tutulduğunu ya da RODC üzerinden kimlik doğrulama işlemini gerçekleştirmiş olduğunu öğrenebilirsiniz. 
RODC makinesi üzerindeki DNS hizmeti de sadece okunur durumdadır. RODC üzerinden DNS record oluşturulamaz.