Am 14. September 2017 haben wir eine überarbeitete Fassung unserer Datenschutzrichtlinie veröffentlicht. Wenn Sie video2brain.com weiterhin nutzen, erklären Sie sich mit diesem überarbeiteten Dokument einverstanden. Bitte lesen Sie es deshalb sorgfältig durch.

Windows Server 2012 Grundkurs

RODC im Praxiseinsatz

LinkedIn Learning kostenlos und unverbindlich testen!

Jetzt testen Alle Abonnements anzeigen
Verstehen Sie RODC im Praxiseinsatz. Was sind z.B. die Unterschiede von schreibgeschützten und herkömmlichen DCs und DNS-Servern?
06:48

Transkript

Wenn Sie in einer Niederlassung einen schreibgeschützten, zusätzlichen Domänencontroller zu einer Domäne hinzufügen läuft beim Anmelden ein anderer Vorgang ab, als bei der Anmeldung eines herkömmlichen Domänencontrollers. Beim herkömmlichen Domänencontroller hosten die Domänencontroller alle Daten de Verzeichnisdienstes, unabhängig davon in welcher Niederlassung sie gespeichert sind. Wenn der schreibgeschützte Domänencontroller zusätzlich noch ein globaler Katalog ist, indiziert er diese Daten auch. Bei schreibgeschützten Domänencontrollern in kleineren Standorten können Sie aber das Active Directory vor Verlust und Diebstahl schützen. Dabei laufen folgende Vorgänge ab. Wenn sich ein Benutzer an seiner PC, hier in Schritt 1. gezeigt, an seine Arbeitsstation anmelden will, erhielt er schreibgeschützte Domänencontroller ein Ticket Granting Ticket-Antrag. Das ist bei Kerberos eine Anmeldung. Das heißt die Arbeitsstation möchte eine kerberos-Ticket für die Anmeldung in der Domäne erhalten. Da der Domänencontroller kein vollwertiger Domänencontroller ist, kann er diese Anmeldung nicht einfach so durchführen, sondern muss zunächst bei einem Domänencontroller in der Zentrale, einem echten Domänencontroller nachfragen, ob sich der Benutzer an diese Domäne anmelden kann. Das kann, wie Sie hier sehen auch ein Windows Server 2008 Domänencontroller sein. Es muss sich hier nicht um ein Windows Server 2012 Domänencontroller handeln. Der dritte Schritt besteht darin, dass der echte Domänencontroller in der Niederlassung den Benutzer authentifiziert, das angeforderte Ticket ausstellt und dieses dem Domänencontroller zur Verfügung stellt. Schritt 4 weist schließlich diesem Benutzer das Recht, zu sich an seine Arbeitsstation anzumelden. Im Schritt 5 schließlich überprüft der Domänencontroller nachdem er den Benutzer authentifiziert hat, ob er zukünftig das Kennwort dieses Benutzers zwischenspeichern kann. Wenn der Benutzer in der entsprechenden Gruppe ist, die dem Computerkonto des schreibgeschützten Domänencontrollers zugewiesen ist, also die erlaubt, dass für diesen Benuzer ein Kennwort zwischengespeichert werden kann, speichert der Domänencontroller zukünftig dieses Kennwort zwischen. Das heißt, wenn sich dieser Benutzer das nächste Mal am schreibgeschützten Domänencontroller anmeldet, erhölt er direkt sein Ticket von diesem Domänencontroller. Wenn jetzt dieser Domäncontroller, also der schreibgeschützte Domänencontroller, gestohlen wird, können die Administratoren in der Zentrale das Computerkonto dieses schreibgeschützten Domänencontrollers löschen und alle benutzer deren Kennwort auf diesem Domänencontroller gespeichert waren, werden automatisch bei der nöchsten Anmeldung an irgendeinem Domänencontroller dieser Domäne darauf hingewiesen ihr Kennwort zu ändern. Das heißt die Daten, die auf diesem Domänencontroller gespeichertwerden, sind veraltet und nicht mehr brauchbar. Das hört sich zunächst kompliziert an, ist im Endeffekt aber nichts anderes als das an schreibgeschützete Domänencontroller sozusagen ein Proxy Sever mit Speicherfunktion ist. Das heißt, Benutzer melden sich an, entweder sind sie in der Gruppe zulässige Kennwort-Replikationsgruppe und das Kennwort wird zukünftig hier gespeichert, dann geht die Anmeldung einfach schneller, oder die Benuzer haben nicht das Recht sich an diesem Domänencontroller anzumelden, dann wird die Anfrage an echten Domänencontroller weitergeleitet. In der Praxis sieht das folgendermaßen aus. Ich habe hier jetzt Active Directory Benutzer und Computer für die Domäne geöffnet. Sie sehen hier die OU Domänencontrollers. Hier gibt es die beiden Domänencontroller DC01, das ist ein normaler Domänencontroller, der auch globe Katalog ist und es gibt den Server SRV25, der gleichzeitig schreibgeschützt ist. Rufe ich jetzt hier die Eigenschaften auf, sehen Sie, dass es hier wesentlich mehr Registerkarten gibt, als bei einem herkömmlichen Server. Wichtig in diesem Bereich ist die Kennwortreplikationrichtlinie. Das heißt, hier legen Sie Benutzergruppen fest, deren Mitglieder sich entweder an diesem Domänencontroller anmelden dürfen. Das ist standardmäßig die zulössige Kennwortreplikationsgruppe, oder deren Anmeldung, beziehungsweise deren Zwischenspeicherung hier verweigert wird. Das heißt, wenn sich ein Benuzer anmeldet und die Arbeitsstation in diesem Domänencontroller hier fragt, und es handelt sich hierbei um einen Administrator, verweigert dieser Domänencontroller nicht die Ameldung an der Domäne, leitet aber die Anfrage an einen echten Domänencontroller weiter. Sie shen die mitglieder, wenn Sie die OU Users aufrufen, im Bereich zulässige Kennwortreplikationsgruppe. Hier ist standardmäßig noch niemand Mitglied. Das heißt alle Mitglieder, die sie hier hinzufügen, also alle Active-Directory Benutzerkonten, dürfen sich über die Eigenschaften dieses schreibgeschützten Domänencontrollers an diesem Domänencontroller anmelden. Das ist im Grunde genommen eigentlich schon alles. Ebenfalls interessant in diesem Bereich ist das Subnet in Active Directory Standorte und Dieste. Hier sehen Sie zum einen die angelegten Subnetse, ich habe hier noch keines angelegt. Sie shen die verschiedenen Verknüpfungen, also mit welcher Verbindung sich die verschiedenen Standorte miteinander replizieren und Sie sehen die einzelnen Standorte im Netzwerk. Über Servers sehen Sie schließlich die Mitglieder in diesem Standort. Und hier sehen sie auch über NTDS Settings die verschiedenen Replikationseinstellungen. Sie shen hier den Domänencontroller DC01. Wenn ich auf diesen klicke, sehen Sie es gibt hier keine Replikation. Ich kann die ansicht nochmal aktualisieren lassen. Das heißt dieser Domänencontroller repliziert sich derzeit nicht mit einem anderen. Es gibt hier noch den Server 25. Sie sehen dieser hat eine Verbindung mit dem Server DC01. Ich kann über das Kontextmenü dieser Verbindung die Active Directory Daten auch replizieren lassen. Wenn jetzt ein solcher Domänencontroller verloren geht, haben Sie die Möglichkeit dieses Konto einfach zu löschen. Ich lösche jetzt das Computerkonto. Anschließend erscheint ein neues Fenster, das kommt vor allem bei schreibgeschützten Domänencontrollern. Und ich kann jetzt hier mit einem Schlag alle Kennwörter der Benutzer zurücksetzen, die auf diesem RODC gespeichert sind. Zusätzlich habe ich hier eine Möglichkeit noch Listen anzuzeigen, und ich kann auch die Kennwörter der Benutzer löschen lassen, die einmal auf dem Server gespeichert waren, es mittlerweile aber nicht mehr sind. Sie können über diesen Weg also sehr einfach eine Domäne absichern, auch in Niederlassungen, bei denen Sie nicht sicher sein können, ob die Domänencontroller sicher gelagert sind oder nicht. Ich habe Ihnen in diesem Video gezeigt, wie Sie im Windows Server 2012 einen schreibgeschützten Domönencontroller verwalten und welche Besonderheiten es bei diesen Domänencontrollern gibt. Sie können übrigens auf einem schreibgeschützten Domänencontroller auch einen DNS-Server installieren, wie auf einem herkömmlichen Server auch, dann wird aus diesem DNS-Server automatisch ein schreibgeschützter DNS-Server. Das heißt alle Anfragen, die Benutzer an diesem DNS-Server senden, schickt der DNS-Server automatisch an einen anderen DNS-Server, der über vollständige Rechte verfügt.

Windows Server 2012 Grundkurs

Lernen Sie den Umgang mit Windows Server 2012 kennen und lassen Sie sich Schritt für Schritt am Live-System zeigen, wie Sie Ihre Administrationsaufgaben optimal erledigen können.

7 Std. 32 min (78 Videos)
Derzeit sind keine Feedbacks vorhanden...
 
Hersteller:
Exklusiv für Abo-Kunden
Erscheinungsdatum:18.03.2013

Dieser Online-Kurs ist als Download und als Streaming-Video verfügbar. Die gute Nachricht: Sie müssen sich nicht entscheiden - sobald Sie das Training erwerben, erhalten Sie Zugang zu beiden Optionen!

Der Download ermöglicht Ihnen die Offline-Nutzung des Trainings und bietet die Vorteile einer benutzerfreundlichen Abspielumgebung. Wenn Sie an verschiedenen Computern arbeiten, oder nicht den ganzen Kurs auf einmal herunterladen möchten, loggen Sie sich auf dieser Seite ein, um alle Videos des Trainings als Streaming-Video anzusehen.

Wir hoffen, dass Sie viel Freude und Erfolg mit diesem Video-Training haben werden. Falls Sie irgendwelche Fragen haben, zögern Sie nicht uns zu kontaktieren!