Les contrôleurs de domaines en lecture seule (RODC).

Pour ceux d’entre vous qui ont connu les domaines NT4, vous vous rappeler sans doute qu’il existait un contrôleur de domaine primaire (en lecture-écriture) et des contrôleurs de domaines secondaires en lecture. Depuis le passage à Active Directory il reste toujours le rôle FSMO d’émulateur PDC qui permettait à un contrôleur de domaine Active Directory de coexister avec des contrôleurs secondaires NT4. De ce fait la première fois que vous avez entendue parler des RODC (apparu avec Windows 2008), vous vous êtes sans doute poser la question si ce n’est pas une forme de retour en arrière. Eh bien non, le RODC n’a rien à voir avec un contrôleur de domaine secondaire NT4.

 Le contrôleur de domaine en lecture seul contrairement au contrôleur secondaire NT4 ne contient qu’une partie de l’annuaire et ne peut devenir un contrôleur de domaine en lecture-écriture lorsque ce dernier est en panne. Le RODC est une alternative de sécurité afin de gérer des sites distants faiblement sécurisés. Le RODC ne peut valider les mots de passe que d’un certain nombre de comptes. Ces comptes sont identifiables, il est donc possible de modifier les mots en passe de ces utilisateurs en cas de corruption.

Pour installer un contrôleur de domaine en lecture seule :

-          Le niveau fonctionnel de la forêt doit être supérieur à 2003

-          Au moins un contrôleur de domaine avec Windows 2008 ou supérieur

-          Active Directory doit être préparé pour les contrôleurs de domaine en lecture seule (adprep /rodcprep (l’assistant AD exécute automatiquement la mise à jour si elle n’a pas été faites à l’avance, mais attention à la latence de réplication dans un environnement multisite).

 

Pour notre exemple DC1 et DC2 sont 2 contrôleurs de domaines en lecture-écriture, installés en mode graphique. Nous allons installer DC3 en tant que RODC sur un site distant. DC3 est installé en mode « server core », nous effectuerons toutes les étapes de configurations depuis le gestionnaire de serveur sur DC1. Une adresse IP fixe a été attribuée sur DC3 et il est membre du domaine.

La première étape consiste à ajouter le rôle AD DS:

 

 

 

 

 

Une fois le rôle AD-DS installée, l’assistant nous indique qu’il y a une configuration post-déploiement :

Pour information,  nous avons au préalable créé 2 sites et configuré les sous réseaux. Le site principal porte le nom de « siège » et correspond au LAN : 10.10.0.0. Le 2ème site « SiteDistant »  n’a pour l’instant pas de contrôleur de domaine.

 

 

Nous allons maintenant définir les membres de 2 groupes créés automatiquement :

-          Le groupe contenant les comptes dont le mot de passe doit être répliqué avec le RODC

-          Le groupe contenant des objets dont le mot de passe ne peut être répliqué vers le RODC

Si nous regardons dans la console « utilisateurs et ordinateurs Active Directory » nous retrouvons ces 2 groupes :

 

 

 

Une fois l’installation terminée et le contrôleur de domaine redémarré nous constatons que le RODC réplique depuis un autre DC, par contre il n’existe aucun lien de réplication du RODC vers un autre DC. Le RODC ne peut pas être source de réplication et encore moins servir de tête de pont pour la réplication. 

 

 

 

Nous retrouvons les éléments configurés lors de l’installation dans les propriétés du contrôleur de domaine « DC3 » dans la partie « stratégie de réplication de mot de passe » :

 

Le RODC est installé et opérationnel sur le site distant.

 

Tags: 

Theme: 

Annee: 

Commentaires

images masquées

Bonjour Philipe
les images ne sont pas visibles sur cet article et meme certains d'autres. j'utilise firefox v 43.0.4 et Google chrome Version 47.0.2526.111 m.
merci de corriger stp.

re : images masquées

Bonjour,
Essayez en désactivant AdBlock sur ce site les images apparaitront.

je n'ai pas adblock sur

je n'ai pas adblock sur firefox
google chrome est une installation fresh by default !

et puis pourquoi certains articles sont visibles avec les illustrations?
merci

Je n'ai pas de soucis avec

Je n'ai pas de soucis avec Chrome, je vois bien toutes les images. On m'a remonté des problèmes d'affichage de certaine d'image avec AdBlock, que j'ai pu effectivement constaté lors d'un test. Le problème à l'air d'être lié à certains caractères dans le chemin url de l'image qui perturbe AdBlock...