Read-Only Domain Controller (RODC) là một khái niệm xuất hiện từ phiên bản Windows Server 2008. Thật ra chức năng này đã được thể hiện ở phiên bản Windows NT, thời điểm đó nó được gọi là Backup Domain Controller (BDC). Ở phiên bản Windows Server 2000 và Windows Server 2003, Microsoft không phát triển tính năng này vào, tuy nhiên đến phiên bản Windows Server 2008 thì chức năng này quay trở lại với một tên mới là Read-Only Domain Controller (RODC).
Khác với Domain Controller và Additional Domain Controller vốn được xem là Fully Writable Domain Controller (Domain Controller có thể ghi được liệu vào Database của AD DS). Read-Only Domain Controller (RODC) chỉ cho phép chứa bản sao của Database của AD DS từ các máy Fully Writable Domain Controller. Mặc định, các thông tin xác thực của Users và Computers không được sao chép tới RODC. Để sử dụng một RODC tăng cường cho việc xác thực người dùng, bạn cần cấu hình tính năng Password Replication Policy (PRP) để chỉ định thông tin xác thực của những người dùng nào mà bạn cho phép lưu trữ trong bộ nhớ Cache của RODC.
Sau đây tôi sẽ trình bày các xây dựng máy Read-Only Domain Controller (RODC) trong một kịch bản là công ty có 2 Site HOCHIMINH và HANOI. Site HOCHIMINH được quản lý bởi máy Domain Controller tên là K16-SRV01 quản lý miền adminvietnam.org. Site HANOI dự định cũng hoạt động trên hệ thống miền là adminvietnam.org, tuy nhiên do hạ tầng mạng tại Site HANOI còn bị hạn chế về mặt hạ tầng thiết bị cũng như nhân lực IT. Giải pháp xây dựng Read-Only Domain Controller (RODC) tại Site HANOI là một lựa chọn hợp lý trong thời điểm này.
Mô hình triển khai như sau:
Đầu tiên, ta nâng cấp máy K16-SRV01 ở Site HOCHIMINH làm máy Domain Controller quản lý root domain là adminvietnam.org như hình bên dưới. (Tham khảo phần Nâng cấp Primary Domain Controller trên Windows Server 2016)
Trong DNS Manager, ta tạo ra 2 Reverse Lookup Zones cho 2 Subnet 192.168.100.0/24 (Site HOCHIMINH) và 192.168.200.0/24 (Site HANOI).
Vào công cụ Active Directory Users and Computers, Raise domain functional level lên cao nhất.
Trong OU Teachnical, tạo một tài khoản người dùng để sau này quản lý máy Read-Only Domain Controller (RODC) K16-SRV02.
Trong OU Sales, tạo các tài khoản người dùng u1, u2 thuộc nhóm tên Branch Office Users để sau này đăng nhập trên máy trạm ở Site HANOI.
Trước khi cấu hình máy RODC bên Site HANOI, ta vào công cụ Active Directory Sites and Services trên máy K16-SRV01 để tạo Site và Subnet tương ứng. Ta chọn chuột phải vào mục Default-First-Site-Name chọn Rename, đặt tên lại là HOCHIMINH.
Ta đã rename thành công.
Tương tự, ta tạo Site HANOI bằng cách chọn chuột phải mục Sites, chọn New, chọn Site…
Đặt tên Site cần tạo là HANOI và chọn liên kết mặc định bên dưới, chọn OK để hoàn tất.
Chọn OK.
Lúc này chúng ta thấy được 2 site HOCHIMINH và HANOI.
Tiếp theo, ta tạo các Subnet tương ứng với các Site bằng cách chọn chuột phải mục Subnet, chọn New, chọn Subnet.
Ta nhập Subnet tương ứng của Site HOCHIMINH.
Ta nhập Subnet tương ứng của Site HANOI.
Ta đã tạo thành công 2 Subnet cho 2 Site của công ty.
Tiếp theo, ngồi trên máy DC K16-SRV01, chọn chuột phải mục Domain Controller, chọn Pre-create Read-only Domain Controller account…
Ta chọn Next để tiếp tục.
Ta chọn Next để tiếp tục.
Trong hộp thoại Specify the Computer Name, nhập tên máy của RODC là K16-SRV02.
Trong hộp thoại Select a Site, chọn Site mà máy RODC thuộc vào là Site tên HANOI.
Ta chọn Next để tiếp tục.
Ta chọn vào nút Set… và chỉ định user sau này sẽ quản lý máy RODC.
Ta chọn Next để tiếp tục.
Chọn Finish.
Lúc này ta đã thấy tài khoản máy RODC đã được tạo ra.
Đăng nhập bằng tài khoản Local Administrator trên máy K16-SRV02. Lưu ý, máy K16-SRV02 phải thuộc Workgroup.
Trong hộp thoại Server Manager, chọn Add roles and features
Chọn Next để tiếp tục.
Chọn Role-based or feature-based installation, chọn Next để tiếp tục.
Chọn Select a server from the server pool, ta chọn máy K16-SRV02. Chọn Next để tiếp tục.
Ta chọn vào mục Active Directory Domain Services, chọn Add Features. Chọn Next để tiếp tục.
Chọn Next để tiếp tục.
Chọn Next để tiếp tục.
Chọn Install để tiến hành cài đặt role AD DS.
Quá trình cài đặt đang diễn ra.
Quá trình cài đặt role AD DS hoàn tất. Chọn Close để kết thúc.
Chọn mục Promote this server to a domain controller.
Chọn Add a domain controller to an existing domain, chọn mục Select… để chọn tên domain, chọn mục Change… để khai báo tài khoản người dùng thực hiện tiến trình này. Chọn Next để tiếp tục.
Chọn mục Use existing RODC account, đặt mật khẩu phục hồi Database AD. Chọn Next để tiếp tục.
Chọn máy Domain Controller sẽ sao chép database AD cho máy RODC. Chọn Next để tiếp tục.
Định đường dẫn lưu trữ Database AD và ghi nhận nhật ký. Chọn Next để tiếp tục.
Xem lại các thông tin đã khai báo trước khi quá trình nâng cấp diễn ra. Chọn Next để tiếp tục.
Quá trình kiểm tra lần cuối hoàn tất, chọn Install để tiến hành nâng cấp máy RODC.
Quá trình nâng cấp đang diễn ra.
Quá trình nâng cấp hoàn tất, chọn Close để kết thúc.
Mở công cụ Active Directory Users and Computers trên máy K16-SRV01, vào mục Domain Controller ta sẽ thấy tài khoản máy K16-SRV02 có kiểu là Read-only Domain Controller trực thuộc Site HANOI.
Vào mục User, chọn chuột phải nhóm Allowed RODC Password Replication Group, chọn Properties.
Đảm bảo trong tab Members không có tài khoản người dùng hoặc nhóm nào.
Chọn chuột phải tài khoản máy K16-SRV02, chọn Properties.
Kiểm tra trong tab Password Replication Policy, đảm bảo có 2 group Allowed RODC Password Replication Group và Denied RODC Password Replication Group
Trong OU Sales, chọn Properties nhóm Branch Office Users, add các tài khoản u1, u2, PC01.
Chọn mục Allow passwords for the account to replicate to this RODC, chọn OK.
Chọn Advanced…
Add tài khoản u1 vào.
Thử đăng nhập tài khoản u1 trên máy RODC K16-SRV02 để lưu trữ mật khẩu trong Cache trên máy RODC. Hệ thống báo u1 không thể đăng nhập trên RODC vì do không có quyền.
Lúc này ta có thể kiểm tra thấy tài khoản u1 đã được máy RODC K16-SRV02 lưu trữ mật khẩu
Các bạn có thể đăng nhập bằng tài khoản mà chúng ta đã khai báo trong lúc cấu hình máy RODC (Adminvietnam\khang) để đăng nhập quản lý máy RODC. Tuy nhiên tài khoản này không thể tạo ra các đối tượng trong hệ thống miền cũng như các record trong DNS.
Ta tiến hành ngắt kết nối giữa máy DC (K16-SRV01) ở HOCHIMINH và RODC (K16-SRV02) ờ HANOI, thử đăng nhập máy trạm ở Site HANOI (máy PC01) với các tài khoản u1, u2 thì ta vẫn có thể đăng nhập được, do thông tin của các tài khoản này được cache trên máy RODC. Bạn thử đăng nhập máy PC01 với các tài khoản khác (không có thiết lập chức năng Password Replication Policy) thì không thể đăng nhập do thông tin xác thực được gửi từ RODC tới DC đã bị gián đoạn. Lưu ý: nhớ tắt chức năng Number of previous logons to cache (in case domain controller is not available) trong Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\
Bigguy
Theo Adminvietnam.org
