RODC - Read Only Domain Controller

RODC là gì

Read Only Domain Controler hay còn gọi là RODC, là một tính năng của Micorsoft window server, được Microsoft tích hợp vào kể từ bản window server 2008.

Các đặc tính chính của RODC :

  • RODC đúng với tên gọi của nó là một read only domain, do đó nó không thể tự thêm dữ liệu vào mà chỉ có thể đọc được dự liệu từ một Primary Domain Controller (PDC) thông qua cơ chế Replication giữa các Domain Controller của Microsoft.
  • RODC mặc định không lưu trữ dữ liệu người dùng nên nếu không có kết nối với PDC thì RODC không hoạt động được. Do đó, muốn RODC vẫn hoạt động thì chúng ta phải khai báo lưu trữ dữ liệu người dùng thông qua một policy riêng của RODC.

Chắc hẳn nhiều người sẽ tự hỏi tại sao lại cần đến RODC trong khi nếu mở rộng hoạt động của Domain, chúng ta có thể chỉ đơn giản là thêm vào một Additional Domain Controller (ADC) , vừa để mở rộng site , vừa có 1 giải pháp backup cho PDC . Nhưng khoan, hãy nhìn vào thực tế một chút. Lấy ví dụ như bạn đang có một công ty, trụ sở chính ở Hà Nội chẳng hạn, quy mô công ty cũng kha khá, do đó mọi trang thiết bị , hệ thống data đều hoàn hảo và có hẳn một đội ngũ để vận hành chúng. Đến một lúc, bạn có nhu cầu mở rộng hoạt động của công ty sang các vùng miền khác. Bạn sẽ bắt đầu có câu hỏi như việc sẽ xây dựng hệ thống hạ tầng ở nơi mới như thế nào ? Trường hợp bạn muốn rửa tiền, hoặc là kiểu biết trước tương lai - đầu tư chắc chắn thành công thì không nói làm gì. Nhưng với một người bình thường thì chắc chắn sẽ là một vấn đề khá đau đầu. Bạn không thể vung tiền xây dựng một hệ thống hoành tráng y chang như văn phòng chính trong những bước khởi đầu được. Đây chính là chỗ RODC thể hiện được vai trò của nó. RODC cũng giống như các domain controller khác, ngoại trừ cơ sở dữ liệu Active Directory không thể ghi trực tiếp. Việc đặt RODC tại văn phòng chi nhánh không khắc phục triệt để được vấn đề lưu lượng bản sao của Active Directory nhưng nó làm giảm được một phần tải trọng của các máy chủ đầu cầu vì chỉ có lưu lượng bản sao gửi đến là được cho phép.

RODC cũng có thể cải thiện được vấn đề bảo mật vì người tại văn phòng chi nhánh không thể thay đổi bất cứ thứ gì trong cơ sở dữ liệu Active Directory. Thêm vào đó, không có thông tin về tài khoản nào được tạo bản sao đến RODC (trừ khi chúng ta khai báo cho RODC lưu trữ chúng). Điều này có nghĩa rằng nếu ai đó đánh cắp một RODC thì người này cũng không thể sử dụng các thông tin mà họ lấy được từ nó. Như những gì bạn thấy, Read Only Domain Controller có vai trò rất quan trọng của nó, chứ không hẳn là một tính năng kiểu cho có (yaoming)

Triển khai RODC

Chuẩn bị : – 01 máy Windows Server 2016 đã triển khai làm Primary Domain Controller (PDC) - IP 192.168.1.2/24 – 01 máy Windows Server 2016 sẽ xây dựng thành Read Only Domain Controller (RODC) - IP 192.168.1.27/24

**Mô hình triển khai **

Thực tế là trước khi triển khai RODC phải đáp ứng được yêu cầu là RODC phải có connect đến PDC cho nên mình cứ cho là 2 site này đã thông với nhau ( bằng VPC hay gì gì đó tùy các bạn thiết lập nhá 😄)

Thực hiện

Bước 1 :

Đặt IP tĩnh và cho máy làm RODC join domain. Cái này thì cơ bãn quá rồi nên bypass nhé 😐

Bước 2: Add role và cài promote thành RODC

Sau khi join domain xong, các bạn login vào (login bằng user local nhé) Mở Server Manager, sau đó chọn Add roles and features. Màn hình giới thiệu chọn Next để qua bước tiếp theo Màn hình Select insallation type Chọn Role based or…..Click Next

Ở Màn hình Select Destination server, Chọn Select a Server from the server pool, Click Next Ở màn hình Select Server Roles, bạn đánh dấu chọn vào ô Active Directory Domain Services

Chương trình sẽ yêu cầu cài thêm các Features, bạn Click Add Features

Các bước còn lại bạn nhấn Next theo mặc định. Màn hình Confirm installation selections, nếu bạn đánh dấu chọn vào ô Restart the destination server automatically if required (hệ thống sẽ tự khởi động lại khi có yêu cầu), sau đó Click Install, để bắt đầu cài đặt

Sau khi hoàn tất, nhấp vào Promote this Server to a domain controller.

Màn hình Deployment Configuration, chương trình cung cấp cho bạn ba tùy chọn:

Add a domain controller to an existing domain: Thêm một ADC vào domain có sẵn. Add a new domain to an existing forest: Xây dựng domain mới trong forest có sẵn. Add new forest: xây dựng máy DC đầu tiên của forest. Do chúng ta đang xây dựng RODC nên Bạn chọn vào tùy chọn đầu tiên là Add a domain controller to an existing domain.

  • Mục Specify the domain information for this operation, chọn lựa domain mà bạn muốn làm RODC
  • Mục Supply the credentials to perform this operation, bạn phải dùng user Domain Admin thì mới có thể thực hiện việc cài RODC. Gõ tên domain, sau đó chọn Change để gõ user và password của user Domain Admin trên Domain controller.

Sau đó, click Next

Màn hình Domain Controller Options, bạn đánh dấu chọn vào ô Domain Name System (DNS) server để cài đặt thêm DNS cho RODC.. Tiếp theo bên dưới là ô Global Catalog (GC) bạn đánh dấu chọn vào. Tiếp theo bên dưới là ô Read Only Domain controller, là một domain controller chỉ để đọc mà không thể chỉnh sửa.Vì chúng ta đang xây dựng Read Only Domain Controller nên Bạn tick chọn vào Read only Domain controller (RODC).

  • Bên dưới là mục Type the Directory Services Restore Mode (DSRM) password, bạn nhập vào mật khẩu. Mật khẩu này sẽ được dùng để khôi phục AD ở chế độ Restore Mode. Lưu ý: password phải gồm; ký tự hoa, thường, đặc biệt hoặc ký tự số và từ 7 ký tự trở lên, sau đó click Next,

Màn hình RODC Optionss, bạn Click Next

Tiếp theo ở màn hình Additional Options, mục Replicate from, bạn lựa chọn Domain mà bạn muốn đồng bộ (thường là PDC trong domain). Chọn Replicate là máy PDC sau đó click Next,

Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của AD, log files và SYSVOL. click Next,

Click Next.

Màn hình Prerequisites Check, khi bạn nhận được thông báo All prerequisites check passed successfully nghĩa là quá trình kiểm tra điều kiện để cài đặt ADC đã thành công. Bạn Click Install để bắt đầu cài đặt...

Sau khi hoàn tất, máy tính sẽ khởi động lại.

Sau khi khởi động, mở Server Manager > Active Directory Users and Computers để kiểm tra

Bước 3 : Config policy cho phép store user's data trên RODC.

Mở Active Directory User and Computer mục Domain controller, sau đó phải chuột vào RODC chọn properties. Ở tab Password Replication Policy , chúng ta sẽ thấy có một số policy mặc định được tạo sẵn.

Quy tắc hoạt động của policy này là một user sẽ được lưu trữ data trên RODC khi mà chỉ khi user đó ( hoặc group chứa user đó) được setting Allow và không nằm trong phần Deny. Ví dụ user A thuộc 2 group Admin và User . Group User được setting Allow password replicate nhưng Group Admin lại nằm ở phần Deny thì user A sẽ không được RODC lưu trữ data nên user A sẽ không thể hoạt động nếu RODC bị ngắt kết nối với PDC.

Kiểm tra sơ qua bảng policy mặc định của RODC , dễ dàng nhìn thấy chỉ có một Group có tên là Allowed RODC Password Replication Group được setting là Allow. Do đó nếu muốn lưu trữ user data nào thì chúng ta chỉ đơn giản là add user đó vào Group kia là được. Lưu ý :

  • Group Admin mặc định sẽ bị Deny , do đó nếu muốn lưu trữ thông tin của Admin thì cần remove group Admin ra khỏi policy deny.
  • Computer cũng là một thành phần của Domain, cho nên nếu chỉ lưu trữ user data mà không lưu trữ computer data thì cũng bằng thừa . Do đó cũng cần khai báo group domain computer vào group Allowed RODC Password Replication Group

Ví dụ mình đã add group domain users và group domain computers vào Allowed RODC Password Replication Group

Sau khi add xong, các bạn cần phải thực hiện login một user domain vào một domain computer nào đó để RODC tiến hành lưu trữ data. Để kiểm tra kết quả, các bạn mở Active Directory User and Computer mục Domain controller, sau đó phải chuột vào RODC chọn properties, bấm vào Avanced.. sẽ thấy danh sách user và computer được lưu trữ data bởi RODC .

Những user/computer nào có trong danh sách sẽ có thể login vào domain thông qua RODC kể cả khi RODC không có connect đến PDC. Ngoài ra, nếu các bạn không login lần đầu để RODC lưu trữ data thì có thể lưu trữ bằng tay thông qua việc ấn vào Prepopulate Passwords... ở bên dưới và thực hiện add user/computer nào muốn lưu trữ.

Kết luận

Cơ bản, việc triển khai một RODC đến đây là đã xong. Vì RODC không thể tự ghi dữ liệu, nên mọi cài đặt thêm về các policy , chia sẻ tài nguyên .... đều phải được thực hiện thông qua một Write-able DC như PDC hoặc ADC, và phải mất một khoản thời gian để toàn bộ domain thực hiện replicate data đến RODC.