Windows Server 2008 Read – Only Domain Controllers ( RODC )

 

Birden çok lokasyonda şubesi olan bir şirkette çalıştığınızı farz edin. Kimi şubelerde 200-300 kullanıcı varken, Anadolu’nun bir yerinde çok da yoğun olmayan şubede ise 15-20 kullanıcı olabilir. Burdaki kullanıcıların log on trafiğini rahatlatmak için elbetteki bir Domain Controller (DC) şarttır. Günün birinde merkezde Active Directory Users and Computers snap-in’inde gezerken anlamsız objeler olduğunu farkettiniz.Temizledikten bir süre sonra baktığınızda birileri tarafından benzeri objeler tekrar oluşturuluyor. Uzak ofiste yetki verdiğiniz kullanıcıyı işten attırabilirsiniz ama bir süre sonra başka birilerinin yine Active Directory’nizi kurcalaması muhtemeldir. O zaman size önerim Windows Server 2008 ile birlikte gelen Read-Only Domain Controller ya da kısaca RODC çözümüne göz atmanızdır. Özetlemek gerekirse RODC makinesinde Active Directory’nin salt okunur kopyası yer almaktadır. Bu biraz bize NT’deki Backup Domain Controller’ı çağrıştırsa da olay aslında biraz daha farklıdır.

 

Kullanıcılar RODC üzerinden log on olurken Writeable DC’den RODC’ye cache’lenen credential bilgileriyle kendi credential bilgileri karşılaştırılarak oturum açma için onay verilir ya da onay verilmez.  Eğer oturum açmak için başvuran kullanıcının credential bilgileri RODC’de yer almıyorsa, RODC; Writeable DC’ye başvurarak bu bilgileri temin ettikten sonra credential bilgilerini karşılaştırmaya geçer. Bununla birlikte policy’ler aracılığı ile hangi kullanıcıların credential bilgilerinin RODC’de cacheleneceğini ve kullanıcıların bu credential’ları kullanarak RODC üzerinden log on olup olamayacağına karar verebiliriz.

 

Derslerimde her zaman Server’ların fiziksel güvenliğinin önemli olduğundan söz ederim. Tabii her zaman fiziksel güvenliği arttıramayacağınız durumlar söz konusu olabilir. RODC özellikle fiziksel güvenliğin az olduğu lokasyonlar için iyi bir çözümdür. RODC’de tüm Active Directory’nin kopyası tutulmaz, sadece o ofiste bulunan kullanıcılarla ilgili parçası tutulur. 15-20 kullanıcınızın bulunduğu ofisteki RODC makinesi çalınsa bile sadece bu 15-20 kullanıcının hesapları ile ilgili tehlike yaşayabilirsiniz. Dilerseniz Server Core üzerine RODC kurabilir ya da RODC’yi Bitlocker Drive Encryption’ı implemente edip ekstra güvenlik sağlayabilirsiniz.

 

RODC’yi kullanabilmek için öncelikle düzgün olarak çalışan bir Windows Server 2008 DC’ye ihtiyacımız var, bununla beraber Domain Functional Level’in en az Windows Server 2003 olması gerekmektedir.

Şimdi de RODC kurulumuna bakalım. RODC olacak Member01 isimli makinemde Run satırında dcpromo komutunu çalıştırıyorum. (evet üşengeçlikten makine adını değiştirmedim  )Gelen Wizard ekranında Use Advanced Mode ‘u işaretlemeyi unutmuyoruz.

Bir sonraki bilgilendirme ekranında Next’e tıklayıp, Choose a Deployment Configuration ekranında Existing Forest’ı seçip altındaki Add domain controller to an existing domain seçeneğini seçiyorum.

 

Network Credentials ekranını default ayalarıyla bırakıyorum.

 

Select a domain ekranında domain’imi seçiyorum.

 

 

Snapshot fazlalığı olmasın diye eklemedim; sıradaki ekranda site’ı seçiyorum. Sonraki Additional Domain Controller Options ekranında RODC’yi işaretliyorum.

 

Specify the password replication policy ekranında Denied RODC password Replication Group’u kaldırıp yerine daha önceden oluşturduğum Branch Users grubunu ve Branch Admins grubunu Allow vererek ekliyorum.

  

Delegation of RODC Installation and Administration ekranında RODC’yi yönetecek grubu seçiyorum.

 

Install from Media ekranında, Active Directory data’sının network üzerinden çekilmesi için Replicate data over the network from an existing domain controller seçeneğini seçiyorum.

 

 

Zaten bir tane DC’im olduğu için Source Domain Controller ekranında onu seçiyorum.

  

Sıradaki ekranda Active Directory database’i ile SYSVOL klasörünün nerde oluşturulacağını belirliyorum. Sonraki ekranda Restore Mode Password’ünü belirleyip özet ekranını geçtikten sonra RODC kuruluma geçiyor. Bittikten sonra makinemizi restart ediyoruz.

 

Active Directory Users and Computers altından Domain Controllers’a geldiğimizde Member01 isimli makinemizin RODC olduğunu görüyoruz.

 

Member01’in üzerine sağ tuşla tıklayıp özelliklerine gelip üstten Password Policy Replication tabına geldiğimizde RODC kurulum ekranında olduğu gibi hangi accountların veya grupların bilgisinin replike edileceğini seçebiliriz.

  

Bununla birlikte alttan Advanced’e tıklayıp açılan ekranda yine alttan Prepopulate Passwords butonuna tıkladığımızda istediğimiz kullanıcı ya da kullanıcıların (grupları burda seçemiyoruz) password bilgisinin önceden RODC’de saklanmasını sağlayabilir, bu sayede kullanıcının ilk oturum açmasındaki gecikmeyi minimuma indirebiliriz.

Exit mobile version