Controlador de dominio de solo lectura (RODC) es un tipo especial de controlador de dominio que se introdujo por primera vez en Windows Server 2008. RODC solo almacena una copia de solo lectura de Active Directory (excepto hash de contraseñas y otra información confidencial). Los controladores de dominio RODC se usan más comúnmente en sucursales y oficinas remotas donde es difícil proteger físicamente un servidor con una función de controlador de dominio. Si un controlador de dominio RODC se ve comprometido, los atacantes no podrán obtener acceso a su copia completa de Active Directory. En este artículo, lo guiaremos a través de cómo instalar y configurar un controlador de dominio RODC adicional en Windows Server 2019.

Antes de comenzar la instalación del RODC, asegúrese de que:

  • El nivel funcional de su dominio es Windows Server 2008 o superior;
  • El dominio tiene al menos un controlador de dominio grabable regular (RWDC);
  • Puede instalar RODC en instancias de Windows Server 2019 Full GUI y Windows Server Core;
  • Instale Windows Server 2019 en un host físico o virtual, asígnele un nombre y asigne una dirección IP estática.

Inicie el Administrador del servidor e instale el Servicios de dominio de Active Directory papel (Gestionar > Agregar funciones y funciones > roles).

Después de instalar el rol ADDS, puede promocionar el servidor a un controlador de dominio. Clickea en el "Promover este servidor a un controlador de dominio" Enlace.

controlador de dominio de solo lectura

En el Asistente de configuración de servicios de dominio de Active Directory, Seleccione Agregue un controlador de dominio a un dominio existente.

servidor rodc

En el siguiente paso, verifique el Controlador de dominio de solo lectura (RODC) y proporcione una contraseña para el modo de restauración del servicio de directorio (DSRM).

instalar rodc

En el Cuenta de administrador delegado (en la pantalla de opciones de RODC) puede especificar o crear una cuenta de dominio que actuará como administrador local del host de RODC y podrá realizar tareas administrativas. Sin embargo, esta cuenta no será miembro del grupo de administradores de dominio y no tendrá ningún permiso ADDS.

En el Cuentas que pueden replicar contraseñas en el RODC campo, puede especificar un grupo de usuarios que pueden replicar contraseñas en el RODC. Si el enlace WAN entre su oficina remota y el sitio central desaparece repentinamente, los usuarios de este grupo podrán iniciar sesión en el controlador RODC. Por defecto, se sugiere utilizar el DOMINIOGrupo de replicación de contraseñas de RODC permitido.

El Cuentas a las que se les niega la replicación de contraseñas en el RODC El campo especifica los usuarios que no pueden replicar contraseñas en el RODC. De forma predeterminada, las contraseñas de cuentas administrativas con mayores privilegios en el dominio no se replican en el RODC (administradores de dominio, operadores de servidor, etc.).

servidor de windows rodc

En la siguiente pestaña, especifique el nombre del DC que se usará como fuente de replicación o deje el valor predeterminado Cualquier controlador de dominio.

servidor windows 2019 rodc

En el último paso, si todas las comprobaciones de requisitos previos se superan con éxito, haga clic en Instalar para comenzar la instalación.

ventanas rodc

Hay otra opción para crear un RODC. La idea es que, al principio, esté creando previamente una cuenta de computadora en el dominio. Para hacer esto, abra la consola ADUC (dsa.msc), haga clic con el botón derecho en la unidad organizativa denominada Controladores de dominio y seleccione Crear previamente una cuenta de controlador de dominio de solo lectura. Cree una nueva cuenta para el DC (no es necesario que esta computadora sea miembro del dominio todavía).

microsoft rodc

El Asistente de instalación de servicios de dominio de Active Directory empieza. Compruebe el Usar la instalación en modo avanzado casilla de verificación, haga clic en próximo.

rodc microsoft

Siga los pasos del asistente y especifique los parámetros del futuro RODC. Después de completar el asistente, una nueva cuenta de equipo RODC deshabilitada con la descripción Cuenta de CC desocupada (solo lectura, GC) aparecerá en AD.

Servidor de Windows del controlador de dominio de solo lectura

Ahora, al promocionar un servidor a un controlador de dominio, si su nombre coincide con la cuenta RODC en AD, el mensaje Existe una cuenta de RODC creada previamente que coincide con el nombre del servidor de destino en el directorio aparecerá y se le pedirá que seleccione el Usar cuenta RODC existente opción.

servidor controlador de dominio de solo lectura

Como alternativa, puede instalar el RODC mediante PowerShell:

Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools

Import-Module ADDSDeployment

Install-ADDSDomainController -Credential (Get-Credential) -DomainName theitbros.com -InstallDNS:$true -ReadOnlyReplica:$true -SiteName "Default-First-Site-Name" -Force:$true

O bien, puede usar una forma alternativa con una cuenta RODC creada previamente:

Add-ADDSReadOnlyDomainControllerAccount -DomainName theitbros.com -Credential (get-credential theitbros.comAdministrator) -domaincontrolleraccountname "RODC3" -sitename "Default-First-Site-Name" -delegatedadministratoraccountname "THEITBROSRODCAdmin"

Install-ADDSDomainController -DomainName theitbros.com -Credential (get-credential theitbrosAdministrator) – UseExistingAccount

Recomendado para ti

Bestseller No. 1
Hp Elite 8300 - Ordenador de sobremesa + Monitor 24'' (Intel Core i7-3770, 8GB de RAM, Disco de 240 SSD+ 500GB HDD, Lector DVD, WiFi,Windows 10 Pro 64) (Reacondicionado)
  • Procesador Intel Core i7-3770 - 3,40 GHz
  • Monitor 24" Reacondicionado con altavoces integrados, Estado excelente.
  • Almacenamiento de 240GB SSD+500GB HDD
  • Memoria RAM 8GB DDR3
  • Sistema Operativo: Windows 10 PRO