Mise en Place d’un Serveur RODC

Mise en Place d’un Serveur RODC

1.Présentation

Une nouveauté intéressante est présente depuis Windows Server 2008, il s’agit de la possibilité de définir un contrôleur de domaine en lecture seule, ce que l’on appelle aussi « RODC » pour « Read Only Domain Controller ».

1.1.Avantages

Dans certaines entreprises,il y a plusieurs sites avec plus ou moins de personnes donc de machines à gérer. Ces personnes, au même titre que les autres personnes de l’entreprise doivent généralement pouvoir accéder aux ressources de l’entreprise, en s’authentifiant grâce à un couple identifiant-mot de passe leur appartenant.

Ces phases d’authentification consomment de la bande passante lors de la connexion sur la machine, de l’accès aux données contrôlées, etc.

C’est là que le contrôleur de domaine RODC a tout son intérêt. Etant donné que l’on peut déterminer avec précision quels sont les mots de passe à stocker sur le serveur RODC, donc, en cas de corruption/vol de serveur, la perte sera moindre.

1.2.Cache DNS

Les requêtes DNS sont également mises en cache, car le serveur RODC peut avoir le rôle de serveur DNS de cache. Là encore il sera en lecture seule sur les fichiers de zone et ne pourra pas effectuer de modification, mais il subira les modifications effectuées sur le ou les serveurs DNS depuis le(s) quel(s) il se réplique.

Cache générera moins de trafic sur la liaison WAN, consommera moins de bande passante, ce qui ne pourra qu’être bénéfique.

1.3.Améliorer l’authentification des utilisateurs

La mise ne cache  des requête d’authentification permet d’économiser de la bande passante de le cas où la requête est en cache, et dans le cas où le RODC est autorisé à mettre en cache le mot de passe utilisateur.

Si la requête n’est pas en cache, elle sera effectuée sur un contrôleur de domaine standard qui retournera la réponse. Elle sera ensuite mise ne cache automatiquement seulement si cela est permis pour l’utilisateur concerné.

1.4.Prérequis

Avant de vous lancer dans la mise en place d’un contrôleur de domaine en lecture seule, viellez à respecter les prérequis suivants :

-Niveau de fonctionnel de la forêt configuré en Windows Server 2003 ou plus,

-Niveau fonctionnel du domaine configuré en Windows Server 2003 ou plus,

-Que le Windows Server de votre AD est le même que celui du RODC

-Préparer le contrôleur de domaine de la forêt avec la commande suivante : adprep /rodprep depuis le DVD de Windows serveur (2012 ou 2016).

2.Installation AD RODC

Dans le gestionnaire du serveur cliquer sur « Ajouter des rôles et des fonctionnalités ».

Ajouter le rôle « Services AD DS » puis cliquer sur suivant.

On constate que le rôle « Services AD DS » requiert certaines fonctionnalités.

Si vous développez le nœud « Outils d’administration de serveur distant » vous pouvez voir que les fonctionnalités requises par le rôle «  Active directory » sont déjà sélectionnées. Cliquer sur « Suivant ».

Ne cochez pas la case « Redémarrer automatiquement… » car à la fin de l’installation vous devrez promouvoir votre serveur en tant que contrôleur de domaine.

Cliquer sur « installer ».

Une fois l’installation terminée, sélectionner AD DS dans le gestionnaire de serveur.

Sélectionner « Autres ».

Ensuite cliquer sur « Promouvoir ce serveur en contrôleur de domaine ».

Note : Pour ceux qui ont connu les anciennes versions, c’est ce que « dcpromo.exe » permettait de faire.

Sélectionner «  Ajouter un contrôleur de domaine à un domaine existant », puis une fenêtre s’ouvrira vous demandant de vous connecter au compte Administrateur du domaine et vous devrez ensuite sélectionner le domaine que le serveur doit rejoindre. Puis cliquer sur « Suivant ».

Maintenant veillez à cochez l’option «  Contrôleur de domaine en lecture seule (RODC) » et éventuellement le DNS et GC si vous souhaitez bénéficier des avantages du RODC pour ces rôles également.

  Le mot de passe pour le mode restauration des services d’annuaire (DSRM) doit être différent de celui du compte Administrateur.

Cliquer sur « Suivant ».

Les options du RODC doivent être définies :

-Compte d’administrateur délégué : il a un rôle d’administrateur local du serveur et peut de ce fait installer des pilotes, gérer les services ou encore redémarrer le serveur. Toutefois, il n’a aucun privilège sur un autre contrôleur de domaine ou un autre RODC. Son champ d’action est uniquement local pour des raisons de sécurité.

Les utilisateurs pour lesquels le mot de passe est répliqué ou non sur le contrôleur de domaine en lecture seule se gère via l’appartenance à deux groupes :

-Groupe de réplication dont le mot de passe RODC est autorisé

-Groupe de réplication dont le mot de passe RODC est refusé

  Si par erreur, vous ajoutez un utilisateur dans les deux groupes, sachez que le droit « refusé » sera prioritaire donc le mot de passe de cet utilisateur ne sera pas répliqué.

-Comptes autorisés à répliquer les mots de passe pour RODC : Ajouter des utilisateurs ou groupes pour lesquels vous souhaitez autoriser la réplication. Le mieux, c’est de laisser uniquement le groupe « Groupe de réplication dont le mot de passe RODC est autorisé » et dans l’Active Directory d’ajouter à ce groupe les objets (utilisateurs/groupes) pour lesquels vous souhaitez la réplication.

– Comptes non autorisés à répliquer les mots de passe pour RODC : Ajouter des utilisateurs ou groupes pour lesquels vous ne souhaitez pas autoriser la réplication ; Par défaut, tous les comptes et groupes sensibles (comme Administrateur, admins domaine, etc…) sont ajoutés, il est fortement déconseillé en terme de sécurité d’autoriser la réplication pour les objets sensibles. Comme pour le cas précédent. Le mieux c’est d’ajouter les utilisateurs et les groupes non autorisés au groupe « Groupe de réplication dont le mot de passe RODC est refusé » directement dans l’annuaire Active Directory. Cliquer sur « Suivant ».

Indiquer un contrôleur de domaine standard depuis le quel répliquer les informations autorisées (ou même installer à partir d’un support si vous disposez d’un support prêt – utile pour économiser de la bande passante même lors de la mise en place). Cliquer sur « Suivant ».

Indiquer l’emplacement de la base de données, des fichiers journaux et de SYSVOl (peuvent être placés sur des disques différents). Cliquer sur « Suivant ».

Examiner une dernière fois les options avant de cliquer sur « Suivant » et d’exécuter l’installation.

Après que la configuration soit vérifiée, cliquez sur « Installer » et patientez un instant. Le serveur va redémarrer automatiquement à la fin de l’installation.

Votre serveur va ensuite redémarrer.

Victor DEMANGE

Laisser un commentaire