none
RODC Verständnis Frage RRS feed

  • Frage

  • Hallo liebe Gemeinde,

    ich habe mich bzgl. dem Thema RODC ein bischen eingelesen und diese nun installiert.

    Mein Frage - Sollte es nicht so sein, dass wenn ich auf dem RODC mich via Domain Administrator anmelde, ich weder in der AD MMC noch im DNS, Einträge, Objekte erstellen ergo ändern kann?

    Nach der RODC installation was ohne Probleme durchlief, habe ich mich via Administrator am RODC Server angemeldet und festgestellt das ich in der AD User anlegen, löschen etc. durchführen kann.

    Wenn ich aber auf Sites/Services und DNS gehe, so kann ich auf der DNS AD Zone nach rechtsklick keine Menüs auswählen. (Grau Schattiert) genau so unter AD Sites/Services

    Hab ich da ein Denkfehler oder fehlt da noch was?

    Danke


    • Bearbeitet mighty82 Dienstag, 14. Januar 2014 12:44
    Dienstag, 14. Januar 2014 12:40

Antworten

  • Hi,

    Am 14.01.2014 13:40, schrieb mighty82:

    Nach der RODC installation was ohne Probleme durchlief, habe ich mich
    via Administrator am RODC Server angemeldet und festgestellt das ich
    in der AD User anlegen, löschen etc. durchführen kann.

    Nein. Kannst du nicht. Der RODC verbindet sich mit seinen MMC Konsolen zu einem schreibbaren DC. Genau wie es dein Adminpack auf XP oder das RSAT auf Win7/8 machen würde.
    "rechte Maustaste" -> MMC Knoten -> DC ändern
    da siehst du den, mit dem er aktuell verbunden ist. Wahrscheinlich ist es dein PDC Emulator

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 14. Januar 2014 13:22

Alle Antworten

  • Hi,

    Am 14.01.2014 13:40, schrieb mighty82:

    Nach der RODC installation was ohne Probleme durchlief, habe ich mich
    via Administrator am RODC Server angemeldet und festgestellt das ich
    in der AD User anlegen, löschen etc. durchführen kann.

    Nein. Kannst du nicht. Der RODC verbindet sich mit seinen MMC Konsolen zu einem schreibbaren DC. Genau wie es dein Adminpack auf XP oder das RSAT auf Win7/8 machen würde.
    "rechte Maustaste" -> MMC Knoten -> DC ändern
    da siehst du den, mit dem er aktuell verbunden ist. Wahrscheinlich ist es dein PDC Emulator

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Dienstag, 14. Januar 2014 13:22
  • Hallo Mark,

    besten dank für deine Antwort!

    Dazu habe ich nun folgende Frage:

    - Würde es denn generell gehen das sich die AD MMC immer mit dem RODC Verbindend  startet? Egal mit welchen Domain Admin Usern?.

    Denn es soll bekanntlich keiner der Domain Admins auf dem RODC die MMC im Normalen Modus starten. Ich weiss das man in der AD MMC einrichten kann "mit folgenden DC" anmelden. Würde diese dauerhaft gehen? Da gibt es fürs MMC einen spez. Modul mein ich.

    - Wie bewirke ich das die Clients im Branch Office sich mit dem RDOC connecten? Muss ich hierzu eine OU oder Gruppe erstellen und die Ressourcen dorthin Hinzufügen und diese im RODC Reiter hinzufügen?

    Ich dachte da eher an GPO... (festlegen bzgl. LOGONSERVER)

    Besten Danke für die Hilfe!

    Beste Grüsse


    • Bearbeitet mighty82 Freitag, 17. Januar 2014 11:40
    Freitag, 17. Januar 2014 10:29
  • > - Würde es denn generell gehen das sich die AD MMC immer mit dem RODC
    > Verbindend  startet? Egal mit welchen Domain Admin Usern?.
     
    Nein.
     
    > - Wie bewirke ich das die Clients im Branch Office sich mit dem RDOC
    > connecten? Muss ich hierzu eine OU oder Gruppe erstellen und die
    > Ressourcen dorthin Hinzufügen und diese im RODC Reiter hinzufügen?
     
    Sites und Subnetze richtig pflegen, dann finden die den automatisch.
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 17. Januar 2014 11:47
  • Hallo Martin,

    Ok dann sollte es doch so passen oder?

    Hatte vor der RODC Installation wie folgt die AD Site eingerichtet.

    RODC ist im Standort Neu Seeland  mit Subnetz 192.168.113.0/24

    Hier die Subnetz Info für Standort Neu Seeland:

    Nun habe ich folglich an einem Windows Member Server der in Neu Seeland ist folgende IP Konfiguration eingerichtet:

    IP - 192.168.113.11

    SM - 255.255.255.0

    GW - 192.168.113.1

    DNS#1 - 192.168.113.211 -> RODC

    Wenn ich nun mit einem Member Client aus Neu Seeland mich anmelden, sehe ich als LogonServer den dritten DC (DFBSVMDC03) aus Stuttgart

    Fehlt da noch etwas? Evtl. am RODC noch was einstellen? Habe nur via DCPROMO die RODC Funktion Installiert mehr nicht.

    Und dann die Sites noch.

    Danke



    • Bearbeitet mighty82 Freitag, 17. Januar 2014 12:09
    Freitag, 17. Januar 2014 12:04
  • > Wenn ich nun mit einem Member Client aus Neu Seeland mich anmelden, sehe
    > ich als LogonServer den dritten DC aus Stuttgart
     
    OS dieses Clients? Und ich bin nicht sicher, ob Logonserver überhaupt
    jemals einen RODC enthalten kann - replizierst Du die Kennwörter des
    Users auf den RODC?
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Freitag, 17. Januar 2014 12:12
  • > Wenn ich nun mit einem Member Client aus Neu Seeland mich anmelden, sehe
    > ich als LogonServer den dritten DC aus Stuttgart
     
    OS dieses Clients? Und ich bin nicht sicher, ob Logonserver überhaupt
    jemals einen RODC enthalten kann - replizierst Du die Kennwörter des
    Users auf den RODC?

    Also das OS vom Client ist ein Windows Server 2008 der Member in der AD ist. IP vom Member ist im vorletzten Post bereits bekannt.

    Replizieren der Kennwörter des Users? -> Du meinst nicht das Comuterkonto sondern den AD User "Hans" z.B :)

    Da bin ich mom. und meine das ich im Reiter des RODC "Password Replication Policy" eine AD Gruppe Typ local erstelle und diese hinzufüge. Liege ich da richtig?

    Habe nun in der AD eine local Groub erstellt. Also Hans in die globale Gruppe diese dann in die local Gruppe. Und die local Gruppe im RODC Password Replication Policy mit Allow hinzugefügt.

    Habe auch noch eine Gruppe mit allen Computerkonten die in Nez Seeland sind hinzugefügt.

    Passt dies sowie die Site Konfiguration?

    Besten dank!


    • Bearbeitet mighty82 Freitag, 17. Januar 2014 13:39
    Freitag, 17. Januar 2014 12:31
  • Nun sehe ich den Member Client DFBSVMNZ01 (Windows 2008 Member Server in Neu Seeland) mit folgenden Eintrag im Advanced Passwort Replication Policy:

    Freitag, 17. Januar 2014 13:45
  • Hi,

    Am 17.01.2014 11:29, schrieb mighty82:

    - Würde es denn generell gehen das sich die AD MMC immer mit dem RODC
    Verbindend  startet? Egal mit welchen Domain Admin Usern?.

    Nein, das kannst du nicht vorgeben. Das entscheidet die MMC Konsole selbst, aber dafür speichert sie die letzte Verbindung im MMC Cache des Benutzers.

    Ich habe nie probiert, ob man die Dateien einfach kopieren kann
    -> %appdata%\Microsoft\MMC

    Denn es soll bekanntlich keiner der Domain Admins auf dem RODC die
    MMC im Normalen Modus starten.

    "Eigentlich" sollte sich ein Domänen Admin nicht mal am RODC anmelden!
    Das ist ja der Trick: Der RODC kennt wieder Lokale Admins.
    Du kannst sie wie auf der Workstation pflegen und Benuzter/Gruppen in die Gruppe der Administratoren aufnehmen.

    Zusätzlich kannst du in den Eigenschaften der Computerkontos im ADuC
    im Reiter "Verwaltet von" einen User/Gruppe angeben, dieser wird automatisch "Lokaler Admin" auf der Maschine.

    - Wie bewirke ich das die Clients im Branch Office sich mit dem RDOC
    connecten?

    Das ist über Sites/Services gelöst.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 18. Januar 2014 17:26
  • Am 17.01.2014 11:29, schrieb mighty82:

    Denn es soll bekanntlich keiner der Domain Admins auf dem RODC die MMC im Normalen Modus starten.

    Nein, das ist kein Problem. Das ist nichts anderes als die Verbindung von der MMC von einem Client/Memberserver heraus.

    Anders könnte ein "Standortverwalter" an einem RODC ja gar keine User für seinen Standort erstellen. Der RODC muss sich zu einem SChreibbaren DC verbinden und dann die Replikation zum ihm hin abwarten.

    Das Problem ist die Anmeldung des DomänenAdmin Accounts ansich.
    Das ist sie aber auf jedem Client, denn die local gecachten Anmeldeinformationen sind angreifbar. Da unterscheidet sich er RODC nicht vom Client.
    Zusätzlich wird aber der Transfer des Kennworts eines DomAdmins (zzgl. selbstdefinierter User/Gruppen) zum RODC unterbunden.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Samstag, 18. Januar 2014 21:01
  • Am 18.01.2014 22:01, schrieb Mark Heitbrink [MVP]:

    Zusätzlich wird aber der Transfer des Kennworts eines DomAdmins (zzgl. selbstdefinierter User/Gruppen) zum RODC unterbunden.

    Kleine Korrektur:
    ... sowohl bei der Replikation zwischen den DCs als auch lokalen Anmeldung.

    RODC Filtered Attribute Set, Credential Caching, and the Authentication Process with an RODC
    http://technet.microsoft.com/de-de/library/cc753459(v=ws.10).aspx

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Sonntag, 19. Januar 2014 08:14

  • - Wie bewirke ich das die Clients im Branch Office sich mit dem RDOC
    connecten?

    Das ist über Sites/Services gelöst.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Hallo und besten dank für deine Antworten!

    Wäre die Konfig mit den Sites bei meinem Fall so nun OK?

    Dann würde ich diesen Part bzgl. Sites schonmal abhaken.

    Was ich mal getestet habe - Die Verbindung zwischen RODC und PDC getrennt. Dann mich mit einem Windows Client was in Neu Seeland ist versucht sich anzumelden. A) Dauerte das erscheinen des Anmeldenfenster extrem lange. B) Nach anmeldung des Users dauerte diese auch eine lange Zeit bis sich das Desktop sich zeigte. Als Logonserver stand der PDC in Stuttgart...

    Aber dazu meinte Martin Binder folgendes:

    OS dieses Clients? Und ich bin nicht sicher, ob Logonserver überhaupt
    jemals einen RODC enthalten kann

    Sollten die Anmeldezeiten sowie ein ping auf den RODC DNS nicht schneller bzw. DNS technisch genrell klappen?

    Abgeesehen von der sehr langen Anmeldedauer konnte ich kein resolve im DNS über den RODC starten. Obwohl der RODC auch einen DNS hat. (Read only)

    Und die Windows Clients in Neu Seeland den RODC als Primären DNS eingetragen haben.

    Und sorry das mit dem Admin auf dem RODC Anmelden ja/nein habe ich nicht ganz Verstanden... :(

    Kann soll ich nun die lokale Anmledung des Domain Admin über Richtlinien verbieten oder nicht?

    In Neu Seeland soll keiner User anlegen etc. Diese wird direkt am HQ Stuttgart passieren.

    Besten dank im vorraus und danke für die bisherigen Antowrten!

    Gruss

    Montag, 20. Januar 2014 09:30
  • Hi,

    Am 20.01.2014 10:30, schrieb mighty82:

    Was ich mal getestet habe - Die Verbindung zwischen RODC und PDC
    getrennt. Dann mich mit einem Windows Client was in Neu Seeland ist
    versucht sich anzumelden. A) Dauerte das erscheinen des
    Anmeldenfenster extrem lange. B) Nach anmeldung des Users dauerte
    diese auch eine lange Zeit bis sich das Desktop sich zeigte. Als
    Logonserver stand der PDC in Stuttgart...

    Hm, ich habe leider gerade keine umgebung zum Test, aber das ist eigentlich genaus das, was ich nicht erwarten würde.

    Hast du einen User verwendet, dessen Kennwort repliziert wird?

    Aber dazu meinte Martin Binder folgendes: OS dieses Clients? Und
    ich bin nicht sicher, ob Logonserver überhaupt*//*jemals einen RODC
    enthalten kann

    Muss ich mal ausprobieren, aber dein Test würde das bestätigen.
    Muss ich selber mal aufbauen.
    Anhand der FAQ sollte das nicht so sein.

    http://technet.microsoft.com/de-de/library/cc754956(v=ws.10).aspx
    Der Fall mit dem %logonserver% ist da eine Sonderlocke.
     > Kann soll ich nun die lokale Anmledung des Domain Admin über

    Richtlinien verbieten oder nicht?

    Nein, das ist nicht nötig.
    Entschuldige, die Verwirrung, der RODC hat gar keine CachedCredentials, das ist sonst das "typische" Angriffsscenario, das verwendet wird.
    Irgendwann hat sich ein DomAdmin an einer Workstation angemeldet und diese lokal hinterlegten Daten werden angegriffen.

    In Neu Seeland soll keiner User anlegen etc. Diese wird direkt am HQ
    Stuttgart passieren.

    Genau so ist es.

    Noch mal: Stell dir ein XP mit Adminpack vor. Das XP steht in Neuseeland. Du erstellst einen User in Neuseeland auf diesem XP.
    Wo wird der User tatsächlich erzeugt?
    -> In Stuttgart auf einem SChreibbaren DC, denn XP hat keine AD DAtenbank, es verbindet sich per RPC und MMC auf einen DC

    Der einzige Unterschied vom RODC zum XP ist:
    Nach der Erstellung wartet der RODC auf die Replikation, bis er selber weiss, daß es den User gibt.

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Montag, 20. Januar 2014 20:59
  • Hallo Mark,

    erst einmal besten Dank für deine Nachricht! Das mit dem Zitieren klappt bei mir warum auch immer nicht so wie bei dir Mark... :)

    Aber ich halte folgende Erkenntnis fest:

    Auf den Clients (Windows Server 2008 AD Meber & Windows 7 Clients) wird als LOGONSERVER der RODC angezeigt *freu*

    Diese ging erst nach dem ich eine Gruppe in der AD erstellt hatte in der die Computerkonten aus Neu Seeland hinzugefügt wurden. Diese Gruppe habe ich am RODC "Password replication" hinzugrfügt mit "ALLOW"

    erst dann sah ich als Logonserver den RODC ;)

    Somit kann ich was Site Konfig und RODC Konfig im generellen als OK abhaken?

    Das nächste was noch offen ist, ich es aber nach einer Woche wieder testen kann, ist das lange dauern bis STRG+ALT+ENTF Meldung zur Anmeldung erscheint. Ebenso das anschließende Anmelden bis das Desktop. Denn da vergehen echt bis zu 15min ins Land...

    So wie ich das Bsp. mit dem XP und Adminpack verstanden habe, würde im fall der fälle beim Anlegen eines Users über einen Client via Adminpack oder auch dem Windows 7 Remote Adminstration Pack es wie folgt ablaufen:

    Ein User logt sich am Client was in Neu Seeland ist an und startet die Remote Admin mmc in der AD User mmc, etc sich dann öffnen. Erstellt einen neuen User in der AD was auf einem Schreibbaren DC  - in unserem Falle der DC in Stuttgart ist angelegt. Nun greift quasi ein "Einbahnstraßen" Prinzip ein, diese würde dann so Ablaufen das der PDC im HQ dem RODC die Änderung mitteilt. Aber nicht wenn ich am RODC einen User Anlege, der mit dem PDC gesynct wird?! *Hoffe es so richtig verstanden zu haben.

    wenn ich wieder im Office bin werde ich es nochmals testen.

    Beste Grüsse

    Mittwoch, 22. Januar 2014 13:19
  • > erst einmal besten Dank für deine Nachricht! Das mit dem Zitieren klappt
    > bei mir warum auch immer nicht so wie bei dir Mark... :)
     
    Weil Du das Webinterface verwendest :) Andere nutzen die nntp-Bridge in
    Verbindung mit einem Newsreader:
     
     
    > > Anmeldung erscheint. Ebenso das anschließende Anmelden bis das Desktop.
    > Denn da vergehen echt bis zu 15min ins Land...
     1. Ereignisanzeige "Gruppenrichtlinien" analysieren, insbesondere die
    Skriptverarbeitung (Event-ID 5018/6018/7018)
    GPO-Verarbeitung analysieren.
     
     

    Martin

    Mal ein GUTES Buch über GPOs lesen?

    NO THEY ARE NOT EVIL, if you know what you are doing: Good or bad GPOs?
    And if IT bothers me - coke bottle design refreshment :))
    Mittwoch, 22. Januar 2014 13:28
  • Hi,

    Am 22.01.2014 14:19, schrieb mighty82:

    erst einmal besten Dank für deine Nachricht! Das mit dem Zitieren
    klappt bei mir warum auch immer nicht so wie bei dir Mark... :)

    hahaaa :-) Das ist nicht dein Fehler, ich nutze ein besseres Werkzeug.

    Auf den Clients (Windows Server 2008 AD Meber & Windows 7 Clients)
    wird als LOGONSERVER der RODC angezeigt freu [...]

    Cool. Das freut mich. Der Punkt ist wohl erledigt.

    Das nächste was noch offen ist, ich es aber nach einer Woche wieder
    testen kann, ist das lange dauern bis STRG+ALT+ENTF Meldung zur
    Anmeldung erscheint.

    Welchen DNS nutzen die Clients in Neu Seeland?
    Kann es sein, daß da der Stuttgarter eingetragen ist?
    Jeder Standort sollte seine lokalen Ressourcen verwenden. 10 Minuten ist
    neben dem Script, das Martin nannte auch ein klassischer DNS TimeOut.

    So wie ich das Bsp. mit dem XP und Adminpack verstanden habe, [...]
    greift quasi ein "Einbahnstraßen" Prinzip ein, diese würde dann so
    Ablaufen das der PDC im HQ dem RODC die Änderung mitteilt.

    Richtig. Genau so.

    Aber nicht wenn ich am RODC einen User Anlege, der mit dem PDC
    gesynct wird?! *Hoffe es so richtig verstanden zu haben.

    Knapp vorbei. Der RODC ist genau wie XP.
    Er initiiert niemals einen Schreibvoragend. er Liest (Read Only)

    Ein vollwertiger DC in NeuSeeland, würde den User in seiner lokalen AD Datenbank erstellen und dann mit den anderen abgleichen. Er würde den Wert schreiben und auf seinem Speicher speichern.
    Der RODC hat aber keine schreibbare lokale Datenbank, da ist er wie ein XP. XP hat auch keine AD Datenbank auf "C:\"
    Der RODC stellt nur eine lesbare Ressource zur Verfügung.

    wenn ich wieder im Office bin werde ich es nochmals testen.

    Och, wenn es sein muss, fahre ich gerne für dich in dein Office in Neuseeland und supporte dich auch zum Sonderpreis, wenn du die Reisekosten übernimmst :-D

    Tschö
    Mark


    Mark Heitbrink - MVP Windows Server - Group Policy

    Homepage: http://www.gruppenrichtlinien.de - deutsch
    GPO Tool: http://www.reg2xml.com - Registry Export File Converter

    Mittwoch, 22. Januar 2014 21:33
  • Hallo Mark,

    besten Dank für deine Antworten.

    Ok dann hat es bis dato bzgl. Konfiguration alles gepasst.

    Naja fast -> DNS und timeout ist noch offen.

    Die IP auf den Clients sind statisch festgelegt und als Primären DNS ist der Neu Seeland Server eingetragen.

    DNS Suffixe sind über GPO´s eingetragen.

    Erster suffix die AD suffix und alle weiteren sind Linux DNS Standard Zonen

    Gibt es hierzu noch etwas, was ich vergessen habe?

    Grüsse


    • Bearbeitet mighty82 Montag, 3. Februar 2014 13:30
    Montag, 3. Februar 2014 13:30