Mise en place d’un contrôleur de domaine en lecture seule – RODC


Windows 2008R2 Windows Server 2012 Windows Server 2012R2 Windows Server 2016 Windows Server 2019

Introduction

Dans cet article, nous allons avoir comment mettre en place un contrôleur de domaine en lecture seule (RODC).

Ce type de contrôleur comme son nom l’indique est lecture seule et ne peut donc pas modifier les attributs utilisateurs ou même ajouter des objets.

Il existe plusieurs scénarios d’implémentation de ce type de contrôleur de domaine, en voici deux que j’ai déjà utilisé :

  • Sur des sites distants afin d’optimiser le processus tout en gardant une part de sécurité.
  • En DMZ pour les services nécessitant une authentification.

En plus de l’annuaire Active Directory, les services DNS sont installés en lecture seul.

Un autre avantage du contrôleur RODC est qu’il conserve sa base locale (SAM) d’utilisateur ce qui permet de mettre un utilisateur d’un site distant Administrateur sur le serveur dans le cas où il serait nécessaire d’intervenir sur la machine.

Prérequis

  • Etre dans un domaine Active Directory avec un niveau fonctionnel de domaine et foret en 2003 ou plus.
  • Configurer le site Active Directory si nécessaire.
  • Configurer un IP fixe au serveur et lui indiquer en DNS un contrôleur de domaine existant
  • Configurer les ports des firewalls logiciels et matériels pour assurer la communication entre le contrôleur RODC et les autres DCs.

Installation du rôle

L’installation du rôle est identique à un contrôleur de domaine standard, l’option de lecture seule est faite au moment de sa configuration.

Sur les serveurs où va être installé le rôle, ouvrir le gestionnaire de serveur et cliquer sur Ajouter des rôles et des fonctionnalités 1.

RODC - Server manager

Au lancement de l’assistant, cliquer sur Suivant 1.

RODC - wizard welcome

Sélectionner Installation basée sur un rôle ou une fonctionnalité 1 et cliquer sur Suivant 2.

RODC - installation type

Choisir le serveur où le rôle AD DS va être installé 1 et cliquer sur Suivant 2.

RODC - select server

Dans la liste des rôles, cocher la case Service AD DS 1.

RODC - List of role

Cliquer sur Ajouter des fonctionnalités 1.

RODC - validate the features

Maintenant que le service AD DS est sélectionné, cliquer sur Suivant 1.

RODC - selected role

Passer la liste des fonctionnalités en cliquant sur Suivant 1.

RODC - pass the features

Le résumé du rôle AD DS s’affiche, cliquer sur Suivant 1.

RODC - resume AD DS

Confirmer l’installation en cliquant sur Installer 1.

RODC - confirm install

Patienter pendant l’installation du rôle AD DS …

L’installation terminée, quitter l’assistant en cliquant sur Fermer 1.

Installation completed

Configuration du contrôleur de domaine en lecture seul (RODC)

Maintenant le rôle contrôleur de domaine est installé sur le serveur, il faut le promouvoir contrôleur du domaine, c’est dans cette partie que nous allons indiquer qu’il est RODC.

Depuis le gestionnaire de serveur, cliquer sur l’icône de notification 1 et cliquer sur Promouvoir ce serveur en contrôleur de domaine 2.

promote dc

Sélectionner l’option Ajouter un contrôleur de domaine à un domaine existant 1, entrer le nom du domaine 2, indiquer un compte membre du groupe Admins du domaine 3 et cliquer sur Suivant 4.

domain configuration

Cocher la case Contrôleur de domaine en lecture seule (RODC) 1, indiquer le site où est installé le serveur 2, entrer un mot de passe de récupération 3 et cliquer sur Suivant 4.

select rodc controler

À ce moment de la configuration, il faut indiquer les éléments (objet Active Directory) dont les mots de passe sont répliqués sur ce contrôleur, par défaut un groupe nommer « Groupe de réplication dont le mot de passe RODC est autorisé » est créé dans lequel on va mettre les utilisateurs que l’on souhaite répliquer le mot de passe. Dans ce lab, j’ai laissé ce groupe. En production si vous avez plusieurs sites distants et donc plusieurs contrôleurs RODC, il faut créer un groupe par site. Il est inutile de répliquer les mots de passe des utilisateurs du site B sur le site C par exemple. Il est aussi possible d’indiquer des objets (utilisateurs ou groupes) dont on ne souhaite pas répliquer le mot de passe comme les comptes administrateurs, ceci renforce la sécurité en cas où le contrôleur RODC serait compromis.

Cliquer sur Suivant 1 pour valider les options.

options rodc

Passer les options supplémentaires en cliquant sur Suivant 1.

additional options

Si vous le souhaitez changer l’emplacement des dossiers, sinon cliquer sur Suivant 1.

folder dc

Valider les options en cliquant sur Suivant 1.

valid options

Les tests validés, cliquer sur Installer 1.

confirm promote

Patienter pendant l’installation, durant cette phase le serveur va redémarrer. Après il sera membre du domaine ainsi que contrôleur.

Après le redémarrage, le serveur est contrôleur de domaine.

Server manager

Administration du contrôleur du domaine (RODC)

Dans cette partie, nous allons voir comment administrateur le contrôleur RODC.

Sur un contrôleur « normal », ouvrir la console Utilisateur et ordinateur Active Directory, aller sur OU Domain Controllers et ouvrir les propriétés du contrôleur RODC.

Dans les propriétés aller sur l’onglet Stratégie de réplication de mot de passe 1. Depuis cette partie, on peut voir les groupes Autorisés et Refusés. Cliquer sur le bouton Avancé 2.

Sur cette fenêtre, il est possible de voir les objets dont le mot de passe est répliqué et aussi les utilisateurs ayant une session ouverte sur le contrôleur en changeant le sélecteur.

Maintenant nous allons voir comment ajouter un utilisateur au groupe autorisé à répliquer les mots de passe et le préremplir. Ajouter un utilisateur au groupe « Groupe de réplication dont le mot de passe RODC est autorisé ».

Retourner sur les propriétés avancées du contrôleur RODC et cliquer sur Préremplir les mots de passe 1.

Sélectionner l’utilisateur qui vient d’être ajouté au groupe et cliquer sur OK 1.

select user

Confirmer l’action en cliquant sur Oui 1.

Fermer le message de confirmation en cliquant sur OK 1.

L’utilisateur 1 est ajouté aux comptes qui ont le mot de passe répliqué.




Laisser un commentaire