Selamlar.
Bu konuda RODC (Read-only Domain Controller) kurulumunu anlatacağım.
RODC, genellikle güvenliği konusunda endişe edilen şubelere DC kurulması gerektiğinde tercih edilmektedir. Örneğin, şirketinizin başka bir şehirde şubesi var diyelim. Buraya DC kurmak istiyorsunuz fakat şubedeki IT personeline güvenmiyorsunuz. Şube için kuracağınız DC'de kullanıcı şifrelerinin tutulmasını istemiyorsunuz. Ayrıca AD objelerinde değişiklik yapmasını da sakıncalı görüyorsunuz. Yetkili personelin DC üzerinde sadece local admin olmasını istiyorsunuz. Böyle bir ortam için RODC kurmanız mantıklı olacaktır. RODC'li ortam için kullanıcı hesapları bu makineye aktarılabilirken, kullanıcı şifreleri sadece yazılabilir DC'ler üzerinde tutulur. Herhangi bir kullanıcı RODC üzerinden kimlik doğrulaması yapmak isterse, kullanıcı şifresi yazılabilir bir DC üzerinden kontrol edilerek authorize olmasına izin verilir.
Örneğimizde rodcadmin isimli bir kullanıcı hesabı oluşturup rodc isimli server üzerinde kurulum yapacağız.
Active Directory Users and Computers konsolu üzerindeki
Domain Controllers'a sağ tıklayıp
Pre-create Read-only Domain Controller account yazısına tıklıyorum.
Computer Name olarak belirteceğiniz bilgisayar adı kurulum için önemlidir.
RODC rolünün yükleneceği bilgisayarın
local adı ile burada belirteceğiniz
Computer Name aynı olmalıdır.
Kurulumu gerçekleştirecek olan hesabı bu ekrandan seçmelisiniz. İlgili kullanıcı hesabı
rodc makinesi için yetkilendirilecektir.
Şimdi ise
RODC olarak hizmet verecek makineye gidip birkaç ayar yapacağız. Öncelikle makinenin
IP adresini sabitleyelim.
Makinenin local bilgisayar adını
rodc olarak belirliyorum. Bu aşamada makineyi
domain'e join etmiyorum. (Burası önemli. Eğer
domain'e join edilmiş bir sistemi
RODC olarak yapılandıracaksanız, öncelikle makineyi
workgroup'a almalısınız. Daha sonra
dsa.msc'den ilgili bilgisayar hesabını silip kuruluma local administrator ile başlamalısınız.)
Makineyi yeniden başlattıktan sonra local administrator hesabıyla
ADDS'in kurulumunu başlatıyorum.
Konfigürasyon ekranında sanki
ADC kuruyormuş gibi ilerliyorum.
Credentials kısmından
DC'de oluşturduğum kullanıcı hesabının bilgilerini girip devam ediyorum.
Kurulum tamamlandıktan sonra
RODC üzerinden
Active Directory Users and Computers'ı açıp obje oluşturmayı deniyorum ama tüm çabalarım boşuna. :)
RODC üzerinden
AD objeleri oluşturamazsınız.
RODC'nin sadece okunabilir olduğunu, kullanıcı parolalarının bu
server'da tutulmayacağını söylemiştik. Örneğin eğer
RODC'nin kurulacağı lokasyonda çalışan personelin şifrelerinin
RODC'de tutulmasında sakınca görmüyorsanız, bu personeller için bir kullanıcı grubu oluşturup o grubu
Allowed RODC Password Replication Group'a üye yaparak kullanıcıların bir sonraki login işlemleriyle birlikte bu hesapların şifrelerinin
RODC üzerinde tutulmasını sağlayabilirsiniz.
RODC üzerinde izin verilen ya da izin verilmeyen
Password Replication Policy'leri görüntülemek için en iyi yol,
Domain Controllers içerisinde yer alan
RODC'nin özelliklerine girip
Password Replication Policy'i incelemek olacaktır.
Ben daha önceden
RODC Replika Grubu isminde bir grup oluşturup
test1 isimli kullanıcı hesabını bu gruba üye yapmıştım.
RODC Replika Grubu'nu
Password Replication Policy'e eklemek için
Add butonuna tıklayıp
Allow passwords for the account to replicate to this RODC seçeneği ile ilerleyip ilgili kullanıcı grubunu ekliyorum.
İsterseniz ilgili kullanıcı hesaplarının şifrelerini doğrudan
RODC ile senkronize edebilirsiniz. Bu işlem için öncelikle kullanıcı grubunu
Allow passwords for the account to replicate to this RODC seçeneği ile
Password Replication Policy'e eklemiş olmanız gerekiyor. Daha sonra
Advanced butonuna tıklayıp
Prepopulate Passwords butonuna tıklayıp aktarmak istediğiniz kullanıcı hesabını ya da kullanıcı grubunu seçmelisiniz.
Display users and computers that meet the following criteria kısımından hangi sistemlerin/kullanıcı şifrelerinin
RODC üzerinde tutulduğunu ya da
RODC üzerinden kimlik doğrulama işlemini gerçekleştirmiş olduğunu öğrenebilirsiniz.
RODC makinesi üzerindeki
DNS hizmeti de sadece okunur durumdadır.
RODC üzerinden
DNS record oluşturulamaz.
