Controlador de dominio de solo lectura (RODC) es un tipo especial de controlador de dominio que se introdujo por primera vez en Windows Server 2008. RODC solo almacena una copia de solo lectura de Active Directory (excepto hash de contraseñas y otra información confidencial). Los controladores de dominio RODC se usan más comúnmente en sucursales y oficinas remotas donde es difícil proteger físicamente un servidor con una función de controlador de dominio. Si un controlador de dominio RODC se ve comprometido, los atacantes no podrán obtener acceso a su copia completa de Active Directory. En este artículo, lo guiaremos a través de cómo instalar y configurar un controlador de dominio RODC adicional en Windows Server 2019.
Antes de comenzar la instalación del RODC, asegúrese de que:
- El nivel funcional de su dominio es Windows Server 2008 o superior;
- El dominio tiene al menos un controlador de dominio grabable regular (RWDC);
- Puede instalar RODC en instancias de Windows Server 2019 Full GUI y Windows Server Core;
- Instale Windows Server 2019 en un host físico o virtual, asígnele un nombre y asigne una dirección IP estática.
Inicie el Administrador del servidor e instale el Servicios de dominio de Active Directory papel (Gestionar > Agregar funciones y funciones > roles).
Después de instalar el rol ADDS, puede promocionar el servidor a un controlador de dominio. Clickea en el "Promover este servidor a un controlador de dominio" Enlace.
En el Asistente de configuración de servicios de dominio de Active Directory, Seleccione Agregue un controlador de dominio a un dominio existente.
En el siguiente paso, verifique el Controlador de dominio de solo lectura (RODC) y proporcione una contraseña para el modo de restauración del servicio de directorio (DSRM).
En el Cuenta de administrador delegado (en la pantalla de opciones de RODC) puede especificar o crear una cuenta de dominio que actuará como administrador local del host de RODC y podrá realizar tareas administrativas. Sin embargo, esta cuenta no será miembro del grupo de administradores de dominio y no tendrá ningún permiso ADDS.
En el Cuentas que pueden replicar contraseñas en el RODC campo, puede especificar un grupo de usuarios que pueden replicar contraseñas en el RODC. Si el enlace WAN entre su oficina remota y el sitio central desaparece repentinamente, los usuarios de este grupo podrán iniciar sesión en el controlador RODC. Por defecto, se sugiere utilizar el DOMINIOGrupo de replicación de contraseñas de RODC permitido.
El Cuentas a las que se les niega la replicación de contraseñas en el RODC El campo especifica los usuarios que no pueden replicar contraseñas en el RODC. De forma predeterminada, las contraseñas de cuentas administrativas con mayores privilegios en el dominio no se replican en el RODC (administradores de dominio, operadores de servidor, etc.).
En la siguiente pestaña, especifique el nombre del DC que se usará como fuente de replicación o deje el valor predeterminado Cualquier controlador de dominio.
En el último paso, si todas las comprobaciones de requisitos previos se superan con éxito, haga clic en Instalar para comenzar la instalación.
Hay otra opción para crear un RODC. La idea es que, al principio, esté creando previamente una cuenta de computadora en el dominio. Para hacer esto, abra la consola ADUC (dsa.msc), haga clic con el botón derecho en la unidad organizativa denominada Controladores de dominio y seleccione Crear previamente una cuenta de controlador de dominio de solo lectura. Cree una nueva cuenta para el DC (no es necesario que esta computadora sea miembro del dominio todavía).
El Asistente de instalación de servicios de dominio de Active Directory empieza. Compruebe el Usar la instalación en modo avanzado casilla de verificación, haga clic en próximo.
Siga los pasos del asistente y especifique los parámetros del futuro RODC. Después de completar el asistente, una nueva cuenta de equipo RODC deshabilitada con la descripción Cuenta de CC desocupada (solo lectura, GC) aparecerá en AD.
Ahora, al promocionar un servidor a un controlador de dominio, si su nombre coincide con la cuenta RODC en AD, el mensaje Existe una cuenta de RODC creada previamente que coincide con el nombre del servidor de destino en el directorio aparecerá y se le pedirá que seleccione el Usar cuenta RODC existente opción.
Como alternativa, puede instalar el RODC mediante PowerShell:
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools Import-Module ADDSDeployment Install-ADDSDomainController -Credential (Get-Credential) -DomainName theitbros.com -InstallDNS:$true -ReadOnlyReplica:$true -SiteName "Default-First-Site-Name" -Force:$true
O bien, puede usar una forma alternativa con una cuenta RODC creada previamente:
Add-ADDSReadOnlyDomainControllerAccount -DomainName theitbros.com -Credential (get-credential theitbros.comAdministrator) -domaincontrolleraccountname "RODC3" -sitename "Default-First-Site-Name" -delegatedadministratoraccountname "THEITBROSRODCAdmin" Install-ADDSDomainController -DomainName theitbros.com -Credential (get-credential theitbrosAdministrator) – UseExistingAccount
Recomendado para ti
- Procesador Intel Core i7-3770 - 3,40 GHz
- Monitor 24" Reacondicionado con altavoces integrados, Estado excelente.
- Almacenamiento de 240GB SSD+500GB HDD
- Memoria RAM 8GB DDR3
- Sistema Operativo: Windows 10 PRO
