none
configurar RODC RRS feed

  • Pregunta

  • Hola a todos,

    Como podría implementar un servidor RODC sobre Windows Server 2008 R2 en modo CORE. Como se configuraría un RODC bajo ese escenario

    Tuvieran algún procedimiento a seguir ?

    Gracias por la ayuda

    viernes, 4 de abril de 2014 15:49

Respuestas

  • Mikent,

    ¿Como estas? Para realizar la instalacion y configuracion del RODC en Server Core debes realizar el archivo de promocion desatendida con lo siguiente:

    1. DCInstall]

      InstallDNS=Yes

      ConfirmGc=No

      CriticalReplicationOnly=No

      DisableCancelForDnsInstall=No

      PasswordReplicationAllowed= Nombres de grupos cuyas contraseñas de miembro podrán almacenarse en la memoria caché del RODC

      PasswordReplicationDenied= Nombres de grupos cuyas contraseñas de miembro NO podrán almacenarse en la memoria caché del RODC

      Password= Contraseña del administrador de dominio

      RebootOnCompletion=No

      ReplicaDomainDNSName= Nombre DNS completo del dominio

      ReplicaOrNewDomain=ReadOnlyReplica

      ReplicationSourceDC= Nombre de un controlador de dominio de Windows Server 2008 en el mismo dominio

      SafeModeAdminPassword= Elija una contraseña adecuada para usar en el modo de restauración de servicios de directorio

      SiteName= Nombre del sitio de RODC

      UserDomain= nombreDeDominio

      UserName= Nombre de la cuenta del administrador de dominio

      noteNota
      Los grupos que están especificados como valores para PasswordReplicationAllowed y PasswordReplicationDenied ya deben existir. Debe especificar los grupos mediante el formato de Windows NT (dominio\nombre_de_usuario o dominio.com\nombre_de_usuario) o mediante el nombre principal del usuario (UPN) (nombre_de_usuario@dominio.com). Agregue otra entrada para cada grupo adicional. Por ejemplo:

      PasswordReplicationAllowed=CN=AllowedGroup,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com

      PasswordReplicationAllowed=CN=AllowedGroup2,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com

      Si no desea especificar ningún grupo durante la instalación, deje esta entrada en blanco.

    2. En la línea de comandos, escriba el siguiente comando y presione ENTRAR:

      dcpromo /unattend: RutaAlArchivoDeRespuesta

    Podes verificar estos pasos en el siguiente link:

    http://technet.microsoft.com/es-es/library/cc754629(v=ws.10).aspx

    Por ultimo te dejo un link con una breve introduccion a RODC:

    http://nicolasgranata.com/2014/03/31/introduccion-read-only-domain-controller/

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Propuesto como respuesta Uriel Almendra viernes, 4 de abril de 2014 17:47
    • Marcado como respuesta Uriel Almendra lunes, 7 de abril de 2014 15:28
    viernes, 4 de abril de 2014 16:07
  • Mikent,

    ¿Como estas? Tal como te comente en la respuesta anterior, el procedimiento lo podes encontrar en el siguiente enlace:

    http://technet.microsoft.com/es-es/library/cc754629(v=ws.10).aspx

    Para validar si el RODC esta configurado correctamente deberas realizar un protocolo de pruebas similar al siguiente:

    Crear un usuario de prueba en AD y NO HACERLO INICIAR SESION EN EL SITIO RODC.
    Elegir un equipo .
    Permitir la replicación de contraseñas para el equipo y el usuario creado en el primer paso .
    Pre-poblar el usuario creado en el RODC.
    Realizar el corte de vinculo de central (generando la disrupción del servicio).
    Reiniciar equipo elegida.
    Loguearse por primera vez con el usuario creado en el primer paso.
    Comprobar que el log in funcione correctamente.
    Reiniciar equipo elegido.
    Loguearse con un usuario que ya habia realizado log in en otro momento previo al corte de vinculo.
    Comprobar que el log in funcione correctamente.

    Para mas informacion sobre la replicacion de contraseñas:

    http://technet.microsoft.com/en-us/library/cc730883(v=ws.10).aspx

    Para mas informacion sobre la autenticacion RODC:

    http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx

    http://nicolasgranata.com/2014/03/31/introduccion-read-only-domain-controller/

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Marcado como respuesta Uriel Almendra lunes, 7 de abril de 2014 15:28
    lunes, 7 de abril de 2014 14:58

Todas las respuestas

  • Mikent,

    ¿Como estas? Para realizar la instalacion y configuracion del RODC en Server Core debes realizar el archivo de promocion desatendida con lo siguiente:

    1. DCInstall]

      InstallDNS=Yes

      ConfirmGc=No

      CriticalReplicationOnly=No

      DisableCancelForDnsInstall=No

      PasswordReplicationAllowed= Nombres de grupos cuyas contraseñas de miembro podrán almacenarse en la memoria caché del RODC

      PasswordReplicationDenied= Nombres de grupos cuyas contraseñas de miembro NO podrán almacenarse en la memoria caché del RODC

      Password= Contraseña del administrador de dominio

      RebootOnCompletion=No

      ReplicaDomainDNSName= Nombre DNS completo del dominio

      ReplicaOrNewDomain=ReadOnlyReplica

      ReplicationSourceDC= Nombre de un controlador de dominio de Windows Server 2008 en el mismo dominio

      SafeModeAdminPassword= Elija una contraseña adecuada para usar en el modo de restauración de servicios de directorio

      SiteName= Nombre del sitio de RODC

      UserDomain= nombreDeDominio

      UserName= Nombre de la cuenta del administrador de dominio

      noteNota
      Los grupos que están especificados como valores para PasswordReplicationAllowed y PasswordReplicationDenied ya deben existir. Debe especificar los grupos mediante el formato de Windows NT (dominio\nombre_de_usuario o dominio.com\nombre_de_usuario) o mediante el nombre principal del usuario (UPN) (nombre_de_usuario@dominio.com). Agregue otra entrada para cada grupo adicional. Por ejemplo:

      PasswordReplicationAllowed=CN=AllowedGroup,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com

      PasswordReplicationAllowed=CN=AllowedGroup2,OU=Users,DC=spruce,DC=example,DC=contoso,DC=com

      Si no desea especificar ningún grupo durante la instalación, deje esta entrada en blanco.

    2. En la línea de comandos, escriba el siguiente comando y presione ENTRAR:

      dcpromo /unattend: RutaAlArchivoDeRespuesta

    Podes verificar estos pasos en el siguiente link:

    http://technet.microsoft.com/es-es/library/cc754629(v=ws.10).aspx

    Por ultimo te dejo un link con una breve introduccion a RODC:

    http://nicolasgranata.com/2014/03/31/introduccion-read-only-domain-controller/

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Propuesto como respuesta Uriel Almendra viernes, 4 de abril de 2014 17:47
    • Marcado como respuesta Uriel Almendra lunes, 7 de abril de 2014 15:28
    viernes, 4 de abril de 2014 16:07
  • Hola Nicolas,

    Tuvieras algún procedimiento de como configurar el RODC una vez instalado desde el archivo de respuesta, en mi caso tengo 8 Sites y quisiera saber como entraría a funcionar el RODC,como valido si efectivamente el RODC esta bien configurado ?

    Alguna recomendación o procedimiento ?

    Gracias por la ayuda 

    lunes, 7 de abril de 2014 3:11
  • Mikent,

    ¿Como estas? Tal como te comente en la respuesta anterior, el procedimiento lo podes encontrar en el siguiente enlace:

    http://technet.microsoft.com/es-es/library/cc754629(v=ws.10).aspx

    Para validar si el RODC esta configurado correctamente deberas realizar un protocolo de pruebas similar al siguiente:

    Crear un usuario de prueba en AD y NO HACERLO INICIAR SESION EN EL SITIO RODC.
    Elegir un equipo .
    Permitir la replicación de contraseñas para el equipo y el usuario creado en el primer paso .
    Pre-poblar el usuario creado en el RODC.
    Realizar el corte de vinculo de central (generando la disrupción del servicio).
    Reiniciar equipo elegida.
    Loguearse por primera vez con el usuario creado en el primer paso.
    Comprobar que el log in funcione correctamente.
    Reiniciar equipo elegido.
    Loguearse con un usuario que ya habia realizado log in en otro momento previo al corte de vinculo.
    Comprobar que el log in funcione correctamente.

    Para mas informacion sobre la replicacion de contraseñas:

    http://technet.microsoft.com/en-us/library/cc730883(v=ws.10).aspx

    Para mas informacion sobre la autenticacion RODC:

    http://blogs.technet.com/b/askds/archive/2008/01/18/understanding-read-only-domain-controller-authentication.aspx

    http://nicolasgranata.com/2014/03/31/introduccion-read-only-domain-controller/

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    • Marcado como respuesta Uriel Almendra lunes, 7 de abril de 2014 15:28
    lunes, 7 de abril de 2014 14:58
  • Hola Nicolas,

    Tengo la siguiente consulta, acabo de promover el AD en modo Core, y revisando los Sites and Services veo que DC01 no replica con el DC02 (RODC), pero DC02(RODC) si replica con DC01(Active Directory), este comportamiento es normal ?

    Por otro lado para configurar el RODC solo basta con agregar los usuarios y equipos en el grupo que está en el ADDS que es   Allowed RODC Password Replication Group  ?

    Ahora para llevar una mejor administración, en vez de agregar usuario por usuario y equipos, podria agregarlos al grupo, es valido crear un grupo y sobre ello agregar a los usuarios que del site donde estará el RODC ?

    Que tipo de grupo se necesitaría crear ?

    En el caso del Grupo Denied RODC Password Replication Group , cuando es que se utiliza y con que finalidad

    Gracias por la ayuda

    lunes, 7 de abril de 2014 18:45
  • Mikent,

    ¿Como estas? Si el comportamiento es normal, ya que la replicacion de los RODC es unidireccional.

    Para configurar los usuarios y equipos debes agregarlos al grupo Allowed RODC Password Replication Group para que puedan replicar sus contraseñas.

    Luego deberas prepoblar las mismas tal como lo indica el siguiente enlace:

    http://technet.microsoft.com/en-us/library/cc753470(v=ws.10).aspx#BKMK_pre

    En la seccion Prepopulate the password cache for an RODC, encontraras como realizarlo.

    Si es posible realizar un grupo de seguridad de Active Directory para una mejor administracion.

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    lunes, 7 de abril de 2014 19:17
  • Hola Nicolás,

    Al iniciar sesión en un equipo cliente, me muesta el siguiente error, a que puede deberse ?

    Ya verifique que el DNS del ROC este como dns primario en el equipo cliente

    Faltaría alguna configuración en la configuración del RODC ?

    Gracias

    viernes, 11 de abril de 2014 16:01
  • Mikent,

    ¿Como estas? Te hago unas consultas:

    • El equipo cliente ¿Tiene configurado como DNS primario la IP del RODC?
    • El equipo cliente y el usuario con el que te estas tratando de conectar ¿tiene permitida la replicacion de contraseña?
    • El equipo cliente y el usuario ¿Tiene prepoblada la contraseña en el RODC tal como lo indica el siguiente articulo: http://technet.microsoft.com/en-us/library/cc753470(v=ws.10).aspx#BKMK_pre?
    • El RODC, ¿Tiene configurado como DNS primario su IP?

    Saludos!


    This posting is provided AS IS with no warranties and confers no rights! Always test ANY suggestion in a test environment before implementing! Mi blog http://nicolasgranata.com

    viernes, 11 de abril de 2014 16:11
  • Hola Nicolas,

    Ya valide lo que mencionas, he seguido este blogs, me quede en el paso 41

    http://mizitechinfo.wordpress.com/2013/08/11/step-by-step-installing-and-configuring-a-rodc-in-windows-server-2012-r2/

    Gracias por la ayuda

    viernes, 11 de abril de 2014 16:25