Controladores de Dominio de Solo Lectura (Read-Only Domain Controllers o RODC) sobre Windows Server 2012

Los RODC es un controlador de dominio adicional el cual tiene particiones de la base de datos de Active Directory de solo lectura. Se usa principalmente para sedes que cuenten con pocos usuarios, poca seguridad física, un ancho de banda limitado y sin personal de IT local. Algo a tener en cuenta es que debe de haber como mínimo un controlador de 2008 (o superior) para que pueda replicar la información. Acordaros de leer previamente Despliegue de Controladores de Dominio (Teoría) en Windows Server 2012

Características de un RODC:
-Base de datos de sólo lectura de Active directory: la base de datos tiene todos los objetos y atributos de AD DS y solo las contraseñas de los usuarios que seleccionemos, con esto logramos que en el caso de robo del servidor no podrán sacar todas las contraseñas de los usuarios desde la base de datos (NTDS.DIT) El RODC no puede hacer cambios sobre el AD pero si permite autenticarse a un usuario.

-Replicación unidireccional: la replicación del AD solo trabaja en un sentido, los cambios que se hagan sobre el AD DS se replica sobre el servidor RODC pero no alreves. Todo cambio que necesitemos sobre el AD DS lo tendremos que realizar sobre un servidor que tenga permisos de escritura sobre el AD (cualquiera que no sea RODC) y después esta información se replicara sobre el RODC. En el caso de trabajar con aplicaciones que necesiten acceso al Active Directory y necesiten escribir sobre el, tendremos que configurar la aplicación para que use un controlador de dominio diferente.

-Separación de la función de Administrador: podremos dar permisos administrativos administrativos a un usuario para el RODC, y solo para él. Con esto conseguimos que el usuario no pueda modificar cualquier otro controlador de dominio.

-Registros de DNS de solo lectura: el DNS de un RODC contiene toda la información del DNS, incluyendo las zonas del dominio y del bosque, pero como solo es de lectura no vamos a poder hacer modificaciones, entonces lo que hace el RODC las solicitudes de escritura las reenvia a un servidor DNS que si que pueda hacerlo.

Es muy interesante leer la página Preguntas más frecuentes de RODC de Microsoft, de la cual he sacado la siguiente información:
¿Puede un RODC replicarse en otros RODC?
No, dos RODC del mismo dominio en el mismo sitio no pueden compartir credenciales almacenadas en caché. Puede implementar varios RODC del mismo dominio en el mismo sitio, pero pueden inducir a experiencias de inicio de sesión incoherentes para los usuarios, si la WAN del sitio del concentrador no está conectada.

¿Qué operaciones generan errores si la WAN no está conectada, pero el RODC está conectado en la sucursal?
Si el RODC no se puede conectar a un controlador de dominio grabable que ejecute Windows Server 2008 o superior, las siguientes operaciones de la sucursal generarán errores:
-Cambios de contraseña
-Intentos de unir un equipo a un dominio
-Cambio de nombre del equipo
-Intentos de autenticación para cuentas cuyas credenciales no estén almacenadas en la memoria caché del RODC
-Actualizaciones de la directiva de grupo que es posible que un administrador lleve a cabo al ejecutar el comando gpupdate /forcé

¿Qué operaciones se realizan correctamente si la WAN no está conectada, pero el RODC está conectado en la sucursal?
Si el RODC no se puede conectar a un controlador de dominio grabable que ejecute Windows Server 2008 en el concentrador, las siguientes operaciones de la sucursal se realizarán correctamente:
-Intentos de autenticación e inicio de sesión, si las credenciales del recurso y del solicitante ya están almacenadas en la memoria caché.
-Administración del servidor local de RODC realizada por un administrador de servidor de RODC delegado.

Instalación desde el Administrador del Servidor
Como hemos podido ver en los anteriores post, primero debemos de tener instalado el role de AD DS. Sobre el administrador del servidor. Sobre el Administrador del Servidor pinchamos en promover el servidor.

Marcamos Agregar un controlador de dominio a un dominio existente, seleccionamos el dominio y un usuario del grupo de administradores del dominio. Siguiente.

Dejamos marcado Catálogo global y marcamos Controlador de dominio de solo lectura (RODC), si tenemos un sitio creado para este RODC lo seleccionamos, en este caso dejo el default ya que solo es un test. Introducimos la contraseña para DSRM y Siguiente.

Ahora viene una parte muy interesante, podremos delegar la administración del servidor a un usuario (usuario de dominio), podremos agregar grupos/usuarios para permitir/denegar la réplica de la contraseña, por defecto se crean las siguientes cuentas en el AD : Grupo de replicación de contraseña RODC permitida y Grupo de replicación de contraseña RODC denegada. Esto incluiría a todos los RODC, así que si tenemos más de uno es recomendable crear grupos individuales. Por si no lo sabíais los grupos como por ejemplo BUILTIN\Opers. De cuentas, no es que pertenezcan al dominio BUILTIN, sino que esa es una unidad organizativa que generad el AD para designar permisos sobre los controladores de dominio, y solo a ellos. Siguiente.

Seleccionamos un controlador de dominio y siguiente.

En este caso voy a dejar las rutas por defecto, siguiente.

Revisamos y siguiente.

Vemos si hemos pasado los requisitos mínimos y pinchamos en instalar. Cuando termine de instalar se reiniciara automáticamente.

Ahora que ya tenemos nuestro RODC, vamos a hacer unas pruebas:

-Meter el dominio un equipo usando como DNS el RODC:
Voy a poner todo el proceso del tirón.

Como podéis ver no hemos tenido ningún problema.

-Meter en el dominio un equipo usando como DNS el RODC y el controlador de dominio principal apagado :
Quiero recordar que actualmente solo tengo 2 controladores de dominio: el controlador de dominio principal y el RODC, con lo que solo existe la opción de que el RODC se comunique con el controlador de dominio principal. El proceso es el siguiente, configuramos en un equipo cliente (en esta práctica se llama cliente2) para que tenga como único DNS el RODC, apagamos el controlador de dominio principal (en esta práctica InfoLocal-DC) y dejamos encendido el RODC.

Intento meterlo en dominio

Al intentar contactar con el dominio vemos que nos da error.

Si encendemos de nuevo el controlador de dominio principal vemos que ya nos pide un usuario.

Iniciar sesión con el controlador de dominio principal apagado:
He creado dos usuarios de AD (Usuario1 y Usuario2) en el controlador de dominio principal, por ahora no los he metido en ningún grupo. Con el controlador de dominio principal apagado vamos a intentar a iniciar sesión, por ejemplo en el equipo cliente 1 que hemos metido antes en dominio (os recuerdo que el DNS que debe tener puesto solo debe de ser el del RODC).

Vamos a encender de nuevo el controlador de dominio principal, iniciamos sesión en él y vamos a realizar unos cambios, agregaremos de AD el Usuario1 al “Grupo de replicación de contraseña RODC permitida” y al Usuario2 “Grupo de replicación de contraseña RODC denegada” (a mi entender no debería de ser necesario ya que si no está permitido no la va a cachear, supongo que habrá algún caso en el que pueda llegar a cachear la contraseña, lo cual no nos beneficia).

Después de meter los usuarios en estos grupos, he forzado la replicación sobre el RODC (desde la consola sitios y servicios), he apagado el controlador de dominio principal y……. nada, no me deja iniciar sesión (zas en toda la boca!!). Encendemos de nuevo el controlador de dominio principal (una vez más), buscamos el servidor RODC en la consola de “Usuarios y equipos de Active Directory”, lo encontraremos en la OU Domain Controllers. Fijaros que en tipo de DC pone que es solo lectura. Pinchamos con el botón derecho sobre el RODC y pinchamos en propiedades.

Sobre la pestaña “Directiva de replicación de contraseñas” podremos ver un resumen de los grupos permitidos y no permitidos. Si pinchamos en agregar nos permitirá añadir nuevos grupos para permitirles o denegarles la replicación de la contraseña. Vamos a lo que nos interesa, pinchamos en “Opciones avanzadas”.

En la pestaña de uso de directivas podremos seleccionar dos opciones:

-“Ver las cuentas autenticadas en este controlador de dominio de solo lectura” (no significa que tenga almacenado nada de información de las cuentas.

-“Cuentas cuyas contraseñas están almacenadas en este controlador de dominio de solo lectura”, veremos al Usuario1 (si recodáis antes fallo el inicio de sesión sin el controlador de dominio principal, lo cual ya no pasará ya que ya la tiene almacenada, los he dejado todo una noche encendidos) la propia cuenta del servidor y un usuario krbtgt_395618 (el usuario krbtgt se generá para la autenticación de kerberos entre los controladores de dominio, en este caso el krbtgt_395618 es de solo lectura).

En la pestaña “directiva resultante” podremos agregar usuarios o equipos (grupos no) para forzar la replicación de la contraseña. Esto nos valdría cuando nos urge que almacene alguna contraseña y no replica como me pasó a mí al principio.

Después de todo esto vamos a volver a apagar el controlador de dominio principal y vamos a probar de nuevo a iniciar sesión (os recuerdo que el Usuario1 estaba en el grupo permitido y el Usuario2 en el denegado).

-Usuario1

Ahí lo tenemos

-Usuario2

Espero que haya quedado claro cómo funciona un RODC, algo que no he comentado antes y bastante importante es que si el controlador de dominio principal está apagado o el RODC queda aislado de los demás controladores de dominio, no podremos iniciar sesión con el administrador de dominio el en RODC, de ahí viene la importancia de asignar otro usuario para su administración ;).

Instalación desde el PowerShell
Acordaros que antes debemos de tener instalado el role de ADDS. Sobre Powershell introducimos el siguiente ocmando:
Install-ADDSDomainController –ReadOnlyReplica –InstallDns –Credential (get-credential) –Domainname elinformatiku.local –SiteName Default-first-site-name

Nos pedirá unas credenciales, usaremos un usuario administrador del dominio.

Introduciremos la contraseña de recuperación.

Una vez finalizado se reiniciará el servidor. Una vez reiniciado podemos ir a la consola “Usuario y equipos de Active Directory” y en la OU de controladores de dominio podremos ver el servidor que hemos promocionado.

2 pensamientos en “Controladores de Dominio de Solo Lectura (Read-Only Domain Controllers o RODC) sobre Windows Server 2012

  1. Hola, el post está muy bien. Tengo un laboratorio en el que intento hacer lo mismo,´la única diferencia es que lo he adecuado a mi entorno de producción y el DC es un server 2008 y la estación de trabajo un W7. Cuando apago el DC e intento hacer logon, me sale un error de fallo de confianza: “Error en la relación de confianza entre la estación de trabajo y el dominio principal”. ¿Qué estoy haciendo mal?
    Gracias.

    • Buenas,

      En principio si el DC está apagado te debería de iniciar sesión con el usuario, siempre y cuando se haya iniciado sesión antes en ese equipo. Si el DC esta encendido, revisa que el equipo esté en el AD, que la hora sea la misma en el servidor y el cliente… Puede haber varias causas.

      Espero haberte ayudado y gracias por escribir.

      Un saludo!!

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *