JamesKirk 10 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 Hallo, ich habe mal ein paar Fragen zum RODS: Irgendwie ist mir der Sinn dieses "BDC Deluxe" - Features etwas entgangen. Okay, an Standorten mit mangelnder physischer Sicherheit ist sowas vllt anwendbar, aber wozu? Soweit ich weiss, müssen Credential - Abfragen doch an einen beschreibbaren DC weitergeleitet werden! Also kann ich auch gleich den über WAN angebundenen DC kontaktieren! AD - Integrierte Anwendungen können auf dem Ding auch nixx machen, da er halt ReadOnly ist. Wie sieht es mit einem Globalen Katalog aus? Lässt sich ein solcher auf dem RODC installieren? ReadOnlyDNS: Ist das sozusagen eine "AD - Integrierte Sekundäre Zone"? Also eine Kopie des DNS von einem Master, welches im AD integriert ist? Oder ist dies einfach die Primärzone, AD - Integriert, die halt nur ReadOnly - Rechte gewährt bekommt? Thx 4 Help gruß Markus Zitieren Link zu diesem Kommentar
Lian 2.421 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 Hallo Markus, richtig, ein RODC hält keine Passwörter/Credentials vor, cached diese aber. Dazu gibt es eine Password Replication Policy: Password Replication Policy Mehr zu den Features im speziellen: Microsoft Corporation - RODC Features Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 16. April 2008 Melden Teilen Geschrieben 16. April 2008 Ein weiterer Vorteil von RODCs (der IMHO häufig Unterschlagen wird), ist das es einen lokalen Admin-Account gibt. Das ist gerade in kleinen Branch-Offices ein sehr nettes Feature. Zitieren Link zu diesem Kommentar
JamesKirk 10 Geschrieben 17. April 2008 Autor Melden Teilen Geschrieben 17. April 2008 Hallo, vielen Dank, die Technet Artikel lese ich auch gerade. Lokaler Adm in - Acc? Hat der RODC auch eine Lokale Nutzerdatenbank? Bisher hatten die DCs ja immer nur eine Datenbank, die für die Domain-Users zuständig war. Zitieren Link zu diesem Kommentar
LukasB 10 Geschrieben 17. April 2008 Melden Teilen Geschrieben 17. April 2008 Lokaler Adm in - Acc? Hat der RODC auch eine Lokale Nutzerdatenbank? Bisher hatten die DCs ja immer nur eine Datenbank, die für die Domain-Users zuständig war. Jein. Es ist etwas speziell: RODC Features Zitieren Link zu diesem Kommentar
Daim 12 Geschrieben 17. April 2008 Melden Teilen Geschrieben 17. April 2008 Servus, Okay, an Standorten mit mangelnder physischer Sicherheit ist sowas vllt anwendbar, aber wozu? oftmals ist es in verteilten Umgebungen so, dass vor Ort an einem Standort ein EDV-Beauftragter existiert, der sich z.B. um die Datensicherung auch "wenige/leichte" Administrationsaufgaben vor Ort kümmert. Der EDV-Beauftragte benötigt aber im Prinzip lediglich die Rechte auf die LOKALE Maschine und nicht auf die Domäne. Mit dem RODC kann er nun die lokale Maschine, aber nicht die Domäne, administrieren. Wird die Maschine geklaut, besteht ebenfalls keine Gefahr für die Domäne, denn das AD sowie DNS ist auf dem RODC "Read-Only". Oder die Fertigstellung der RODC-Installation kann nun vor Ort, von dem EDV-Beauftragten fertiggestellt werden, der KEINE Domänen-Admin Rechte besitzt. Yusuf`s Directory - Blog - Die Installation eines RODC Soweit ich weiss, müssen Credential - Abfragen doch an einen beschreibbaren DC weitergeleitet werden! Also kann ich auch gleich den über WAN angebundenen DC kontaktieren! Ja, sofern die Benutzer- sowie Computerkontokennwörter nicht auf den RODC repliziert wurden, was man aber tuen würde. Denn wenn mal der WAN-Link unterbrochen ist und sich die Kennwörter nicht vor Ort auf dem RODC befinden, kann sich solange der WAN-Link down ist, keiner an dem RODC authentifizieren. Du kannst von bestimmten Benutzern sowie Computerkonten die Kennwörter auf den RODC replizieren lassen. Weiterhin kannst du dir bei einem Diebstahl anzeigen lassen (in den Eigenschaften des RODC-Computerkontos), welche Kennwörter auf den RODC repliziert waren. Somit bekommst du nun die Möglichkeit, die "geklauten" Kennwörter zu resetten. Wenn sich nun ein Benutzer gegenüber einem RODC authentifizieren möchte, überprüft der RODC ob er das Kennwort des Benutzerkontos vorliegen hat. Falls das nicht der Fall ist, leitet er diese Anmelde-Anfrage an einen beschreibbaren DC weiter erhält von diesem dann ein Kerberos-Ticket. Danach stellt der RODC dem Benutzer ein eigenes Kerberos-Ticket aus. Zeitgleich stellt der RODC eine Replikationsanforderung nach dem Kennwort des Benutzers an einen beschreibbaren DC. Der beschreibbare DC überprüft dann, ob der RODC dazu die Berechtigung hat und repliziert ggf. das Passwort-Hash zum RODC. Yusuf`s Directory - Blog - Read-Only Domain Controller (RODC) Wie sieht es mit einem Globalen Katalog aus? Lässt sich ein solcher auf dem RODC installieren? Ja, der RODC kann auch GC sein. Oder ist dies einfach die Primärzone, AD - Integriert, die halt nur ReadOnly - Rechte gewährt bekommt? Es ist eine primäre Zone, worauf der RODC keine Rechte bekommt. DNS-Updates leitet der RODC auf einen beschreibbaren DC weiter und der RODC repliziert sich die Informationen dann. Lokaler Adm in - Acc? Hat der RODC auch eine Lokale Nutzerdatenbank? Bisher hatten die DCs ja immer nur eine Datenbank, die für die Domain-Users zuständig war. Jeder DC hat noch eine lokale SAM. Denn was denkst du, wo das Konto für den DSRM gespeichert wird ;) . Aber das Verhalten bezgl. des RODCs ist ein anderes. Siehe oben meinen ersten Link. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.