Scroll Top

Curso Gratuito Microsoft + Certificado Internacional.

>> Para receber o link do curso preencha o campo ao lado.

Active Directory

RODC no Active Directory Como Instalar!

Introdução ao RODC

RODC é uma feature do Active Directory implementada a partir do Windows Server 2008 que permite criar um controlador de domínio em modo de somente leitura, o termo RODC vem do inglês Read Only Domain Controllers.

A imagem abaixo mostra um exemplo prático de uma infraestrutura com o RODC.

rodc

Rodc

Função do RODC

A função principal do é armazenar uma cópia das partições do Active Directory em modo somente leitura.

Quando usar um RODC?

Você deve utilizar um RODC em cenários onde a segurança física não pode ser aplicada ou uma parte dela está comprometida, ou seja, um RODC é adequado para sites do Active Directory que não tem um usuário que é membro do grupo de administradores do domínio.

O RODC facilita que as empresas ou organizações implementem de forma fácil e transparente um servidor de controlador de domínio somente leitura em cenários onde o armazenamento de senhas dos usuários é considerado crítico.

Com exceção das senhas do usuários, ele possui a maioria dos objetos e dos atributos do Active Directory.

Aviso

As alterações não podem ser feitas ao banco de dados que é armazenado no RODC. As alterações devem ser feitas em um controlador de domínio com permissão de escrita nas suas partições e depois replicadas de volta no RODC.

Pré-requisitos para Instalar um RODC

Você deve estar atento aos seguintes pré-requisitos antes de implementar um RODC:

  • Floresta deve estar no nível funcional no mínimo no Windows Server 2003: A partir do Windows Server 2003 o Active Directory teve muitas melhorias incluindo o linked value replication e para você entender melhor este conceito é preciso que eu volte no tempo na época do Windows 2000 onde a menor unidade de replicação do Active Directory era um atributo. Um atributo do Active Directory podia ter múltiplos valores o que fazia que quando era alterado um valor todas as informações eram replicados elevando assim o tráfego de replicação. Um exemplo bem comum do que acontecia na época quando você tinha um Grupo Universal com centenas de usuários ou milhares de usuários quando você adiciona um novo usuário neste grupo todos as informações de membros era replicação gerando um alto consumo de replicação.
  • Executar o comando adprep.exe para preparar a floresta e o domínio existente para suportar os novos atributos do Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 ou Windows Server 2012 R2.
    • Preparar a floresta executando o comando adprep /forestprep no servidor que armazena as funções de Schema Master.
    • Preparar o domínio executando o comando adprep /domainprep /gpprep no servidor que armazena a função de infraestrutura.
    • Caso o RODC for instalado em um domínio onde existe um controlador de domínio com o Windows Server 2003 você deve executar o comando adprep /rodcprep.
  • Instalar o Active Directory Domain Services (AD DS)
  • Implementar no mínimo um controlador de domínio de escrita para atender os requisitos do RODC é necessário no mínimo um servidor com o Windows Server 2008 ou Windows Server 2008 R2 no mesmo domínio.

Delegação para Administração e Instalação

Quando você promove um servidor RODC, você deve especificar qual usuário ou grupo será responsável pela administração do servidor. Se você NÃO especificar um usuário ou grupo, apenas usuários que são membros do grupo Administradores do Domínio ou do grupo Enterprise Admins estarão aptos para administração do servidor. Caso você especifique um usuário ou grupo, esse usuário ou grupo também será o responsável pela administração do RODC após a instalação estiver concluída. Você pode especificar apenas um usuário ou grupo para esta tarefa.

Aviso

Se você quer que um servidor RODC armazene as senhas em cache você precisa adicionar uma conta de usuário na lista de administração também conhecida como Allowed List, em outras palavras você precisa escolher algum usuário ou grupo durante a instalação. Se você não especificar um usuário ou grupo para administração vai impedir do servidor de autenticar o usuário ou grupo delegado quando um servidor de controlador de domínio de escritar (writable) estiver indisponível.

O usuário ou grupo que você especificar nas opções do Assistente de Instalação do AD DS terá permissões administrativas locais no RODC. Em outras palavras o usuário ou grupo tem controle completo do servidor que é instalar e remover softwares, instalar drivers de dispositivos, e assim por diante. Este usuário ou grupo delegado terá a permissão também de remover (desinstalar) a função do Active Directory no RODC.

Aviso

Delegue apenas a função de administração do servidor apenas para os usuários e grupos que de fato precisam ter este direito de acesso e permissão. A boa prática é atribuir a permissão para grupos e não para os usuários.

Passos para instalar um RODC no Windows Server 2008 R2

Como aprender mais sobre este assunto?

Você pode aprender mais sobre o Active Directory adquirindo nosso curso avançado basta clicar na imagem abaixo:

  • Neste curso você vai aprender como planejar, instalar, configurar e administrar o Active Directory mesmo que você não saiba nada.
  • Você vai poder fazer o download de todas as vídeos-aulas incluindo todos os scripts utilizados no curso.
  • Você vai ter acesso aos seguintes bônus: Simulados para Certificação MCSA Windows 8 e MCSA Windows 2012 e Junto com o Ebook Sobre o Active Directory.
  • Grupo Exclusivo no Facebook sobre o Curso Active Directory
  • Acesso direto ao Instrutor Leonardo Duarte – Via Skype para esclarecer dúvidas.

capa-ad

Sobre o autor | Website

Meu nome é Leonardo Duarte sou profissional de TI com mais de 15 anos de experiência em produtos da Microsoft. Possuo diversas certificações: MCP/MCT/MCTS/MCSA/MCSE

Que tal um Curso Microsoft Gratuito com Certificado Internacional? Não fiquede fora junte-se aos 1100 alunos já inscritos.

Curso Gratuito Microsoft + Certificado Internacional Para receber o link do curso preencha o campo abaixo.

Por gentileza, se deseja alterar o arquivo do rodapé,
entre em contato com o suporte.
UA-52233266-1