RODC Nedir ? ve RODC Kurulumu

RODC Nedir ? ve RODC Kurulumu

Read Only Domain Controller (RODC), yani salt okunur domain controller Windows Server 2008 ailesi ile hayatımıza girmiş bir servistir. RODC, Active Directory ve DNS hizmetlerini sadece salt okunur şeklinde kullanıcılarına sunar ve bu servisler üzerinde değişklik yapma hakkına sahip değildirler. RODC’ ler öncelikle güvenlik önlemleri çok iyi olmayan ve az kullanıcıya sahip şubeler için tasarlanmışlardır. Aşağıdaki örnekte bu durum daha iyi açıklanmıştır.

RODC özelliklerine kısaca tanıtırsak;

1. 1.       Salt Okunur Active Directory Database : RODC default olarak parololar hariç bütün aktif directory nesnelerinin bilgilerini üzerinde tutar. Yazma ihtiyaçlarında bu istek Hub sitelerindeki DC lere yönlendirilir.
2. 2.       Attribute Filtreleme : Önceki aktif directory makalelerinde her nesneye ait bilgilerin attribute dediğimiz şema üzerindeki alanlarda bulunduğu anlatmıştık. Kimlik bilgileri, şifre anahtarları attribute bilgilerini RODC ile replikasyon yaptırmaya bilirsiniz.  Bu işlemler bize ekstra güvenlik kazandıracaktır. Detaylı bilgi için Technet sayfasına buradan ulaşabilirsiniz.
3. Tek Yönlü Replikasyon : Kötü niyetli şube çalışanlarının bir şekilde RODC üzerinde yapmış olduğu değişiklikleri Forest çapında dağılımını önlemek için yazılabilir DC’ ler, domain üzerindeki değişiklikleri RODC’ler üzerinden alamazlar.
4. Kimlik Bilgileri Depolama : RODC kurulum sonrası, kendi bilgisayar hesabı ve KRBGT hesabı dışında hiçbir hesabın bilgilerini üzerinde depolamaz. Fakat şube ile HUB arasındaki WAN data hattının sürekli kesiliyor olması şube kullanıcılarını olumsuz yönde etkileyebilir. Bu yüzden Şube kullanıcılarının kimlik bilgileri (bilgisayar ve servisler hesaplarıda dahil) RODC üzerinde bizim belirlediğimiz Şifre Politikaları ile tutulabilir.
5. Temsili Admin Seçme : RODC üzerinde gerçekleşecek olan bakım işlemleri için bir Administrator hesabı tanımlanabilir. Bu hesap başka DC ler üzerinde hiçbir işlem yapamaz iken RODC üzerinde yazılım ve drive yükleyebilir.
6. Sadece Okunabilir DNS : Şube performansını arttırmak için RODC üzerinde DNS rolünü yükleyebiliriz. DNS servisi Forest ve Domain DNS bilgileri diğer DC’ lardan alır fakat bu kayıtları sadece isim sorgulamaları için kullanabilir. Böylelikle şube ve HUB arasındaki WAN data hattı daha verimli kullanılabilir. İstemci DNS bilgilerinde bir değişik ihtiyacı hissettiğinde bu istek yazılabilir DC lara yönlendirilir.

RODC ile neler yapılamaz;

1. RODC sunucusuna FSMO rolleri verilemez.
2. Replikasyon tek yönlü olacağından dolayı Bridge Server olamazlar.

RODC kurulumunu ne zaman tercih etmeliyim;

1. Şubenizin Fiziksel güvenliği yeterli değil ise.

2. Şubede tecrübeli bir IT personeli yok ise

3. Şube Personeli AZ ise.

Yukarıdaki sebeplerden biri veya bir kaçını birden karşılıyorsanız RODC sizin için doğru bir tercih olacaktır.

RODC kurulumu için gereklilikler;

1. Forest Functional Level Windows 2003 veya daha yukarı bir sürüm olmalıdır.
2. RODC kurulumu gerçekleştirilecek olan domain içerisinde en az 1 adet Windows Server 2008 veya daha yukarı sürüme sahip bir yazılabilir Domain Controller olmalıdır.

RODC Kurulumu

RODC kurulumu için iki yöntem izlenebilir. Birincisi yazılabilir DC üzerinde Domain Controllers OU ‘su üzerinde sağ tıklayarak “Pre-Create Read Only Domain Controllers” siharbazı yardımıyla  RODC sunucusunu tanımlamak ve daha sonra delagasyon vermiş olduğumuz bir kullanıcı ile de sunucuyu RODC ye yükseltebiliriz. Bu yöntem güvenli ve kolaydır. Çünkü şubedeki herhangi bir kullanıcı RODC kurulumunu tamamlayabilir.

İkinci yöntem ise sunucuyu normal bir ADC kurulumu gerçekleştiriyor gibi hazırlamak fakat seçeneklerden RODC ile devam etmektir. İnternetteki bütün kaynaklar birinci yöntemi anlattıklarından dolayı ben sizler için ikinci yöntem ile kurulumu tamamlayacağım. Bakınız.

1. Server Manager-Dashboard ekranından yada  Manage Menüsü içerisinde yer alan  “Add Roles and Features” seçeneğine tıklıyoruz ve Rol ekleme sihabazına geliyoruz.

   

2.  “Active Directory Domain Services” seçeneği ile ilerliyoruz.

   

3. Karşımıza bu rol için gerekli olan bileşenlerin penceresi gelecektir. “Add Features” butonuna tıklayarak yüklenmesini onaylıyoruz.

   

4. Üçüncü adımda yüklenmesini onayladığımız bileşenleri bu pencerede seçilmiş olarak görebiliriz. Bu yüzden Next ile ilerliyoruz.

   
   

5. Active Directory Servisi ile ilgili bilgilendirme penceresini Next ile geçiyoruz.

   
   

6.  Kurulum aşamasında sunucunun yeniden başlatma gereksinimlerinde otomatik yeniden başlamasını istiyorsak “Restart the destination server automatically if required” seçeneğini aktif ediyoruz ve Install butonu ile ilerliyoruz.

   
   7. Bileşenlerin yükleme işlemi bittiğinde sunucuyu Domain Controller rolüne yükseltmek için “Promote this server Domain Controller” seçeneğini seçiyoruz.

8.  “Add a new domain to an existing domain” seçeneği ile ilerliyoruz. Domain pencerisine mevcut domainimizin ismini giriyoruz. Eğer daha önceden domaine alınmış olan bir sunucuyu ADC yapıyorsak Select menüsünü butonu yardımıyla domaini seçebiliriz. Enterprise Admins veya Domain Admins gruplarına üye olan bir kullanıcı hesabını credentials bölümüne griyoruz.

9. Bu adımda sunucunun Read Only Domain Controller olacağını belirtiyoruz. Ayrıca DNS ve GC seçeneğini aktif hale getiriyoruz. Her hangi bir felaket anında gerekli olacak Directory Service Restore Mode şifresini belirliyoruz ve Next ile ilerliyoruz.

10. RODC üzerinde Admin delegasyonu vermek istersek “Delegated Administrator Account” hanesinde kullanıcımızı belirtiyoruz. Ayrıca Password Replikasyonunu kabul ettiğimiz ve engellediğimiz gurupları istersek bu adımda belirleyebiliriz. Bu adımları bir sonraki makalemizde detaylı olarak işleyeceğimizden şuan için ben vasrsayılanlar ile geçiyorum.

11. Kurulum aşamasında oluşturulacak Active Directory Database ve Global Catalog bilgilerinin hangi sunucudan alınacağı istersek manuel olarak Replicate From hanesinden seçebiliriz. Install From Media hanesini aktif ederek, bu bilgileri system state yedek dosyasından da alabiliriz.

12. Active Directory Database ve Log dosyalarının konumunu belirliyor ve NEXT ile devam ediyoruz.

13. Yapmış olduğumuz ayarları gözden geçiriyoruz. Aynı ayarlar ile başka bir DC kurulumu yapılacak ise hazır powershell scriptini View Script butonu ile elde edebilirsiniz.

14. Bütün gereksinimler karşılanmış olduğunda “All prerequisities checks passed successfully” ibaresi görünecek  Install butonu aktif olacaktır.

15. Kurulumun bitmesini sabırla bekliyoruz ve bitiminde sunucu yeniden başlatılarak Directory Servislerini gözlemliyoruz.

Kaynak : http://technet.microsoft.com/en-us/library/cc731243(v=ws.10).aspx

http://technet.microsoft.com/tr-tr/library/cc771030(v=ws.10).aspx