24/07/2020 Instalando um RODC (Read-Only Domain Controller) no Windows 2008 | Suporte de Rede

Suporte de Rede

EXPANDINDO CONHECIMENTO
ACTIVE DIRECTORY

Instalando um RODC (Read-Only Domain

Controller) no Windows 2008

PUBLICADO POR BRUNO FELIPE ⋅ TERÇA-FEIRA, 14 JUNHO 2011 ⋅ 1 COMENTÁRIO

ARQUIVADO EM ACTIVE DIRECTORY, ADDS, INSTALAÇÃO, READ-ONLY DOMAIN
CONTROLLER, RODC, WINDOWS SERVER 2008
Boa noite pessoal.

Nesse artigo irei explicar o procedimento necessário para instalação e configuração de um RODC em
seu ambiente.

O RODC em resumo é um Domain Controller como qualquer outro do ambiente do domínio, porém
o mesmo permite apenas a leitura dos objetos do Active Directory, o mesmo não efetua a escrita de
objetos (criação / exclusão / alteração).

É bastante recomendado em cenários que exigem uma autenticação rápida, porém que não
proporcione uma infraestrutura de segurança ideal para um Controlador de Domínio com permissão
de escrita.

ALGUNS REQUISITOS IMPORTANTES

– O RODC não pode ser configurado caso haja apenas 1 DC no Domínio, o mesmo deverá ser
configurado a partir do momento em que já tenho um DC rodando no domínio.
– O nível funcional da floresta deve ser Windows 2003 ou superior

Para esse cenário irei utilizar 2 máquinas virtuais usando o Windows Server 2008:
DC01 – Domain Controller do domínio “suportederede.local” com nível funcional “Windows 2003”
RODC01 – Servidor não configurado, apenas com instalação limpa do Windows

PREPARAR O AMBIENTE PARA RECEBER O RODC

No nosso ambiente o nível funcional está definido como “Windows 2003”, para esses casos há a
necessidade de “preparar” o ambiente para assim seguir os procedimentos adiantes. Caso o seu
ambiente esteja no nível funcional “Windows 2008” ou posterior, pode-se desconsiderar esse passo.

1- No Domain Controller (DC01) coloque o disco do Windows 2008 e através do prompt de comando
navegue até a pasta “X:\sources\adprep“, em seguida execute o comando “adprep /forestprep“, e em
seguida o “adprep /rodcprep”

2- Verifique os resultados e se houve alguma falha reveja o seu ambiente.

PRÉ-CRIAR A CONTA DE RODC NO DOMAIN CONTROLLER

3- Abra o console do “Active Directory Users and Computers”, clique com o botão direito sobre
“Domain Controllers” e em seguida clique em “Pre-create Read-only Domain Controller account
https://suportederede.wordpress.com/2011/06/14/instalando-um-rodc-read-only-domain-controller-no-windows-2008/ 1/4
24/07/2020 Instalando um RODC (Read-Only Domain Controller) no Windows 2008 | Suporte de Rede

…“.

4- O assistente será iniciado, marque a opção “Use advanced mode installation“, em seguida em
“Next“.

5- Em “Operating System Compatibility”, leia atentamente e clique em “Next“.

6- Em “Network Credentials” você precisa definir um usuário com privilégios para a continuidade do
processo. Clique em “My current logon …” e em seguida em “Next“.

7- Em “Computer Name”, defina o nome que será atribuído ao RODC quando o mesmo for
promovido ao domínio. No cenário vamos chamá-lo de “RODC01“. Clique em “Next” em seguida.

8- Em “Select a Site” defina o site que o RODC será configurado, para o nosso cenário manteremos o
padrão e “Next“.

9- Mantenha as opções “DNS Server” e “Global catalog” marcadas, verifique que por padrão a opção
RODC já está ativada, clique em “Next“.

Nesse passo iremos configurar uma opção importante para o RODC que é a Política de Replicação de
Senhas. Por padrão o RODC não armazena cache de senhas, com isso em caso de falhas de
comunicação entre o DC e o RODC, os usuários não conseguirão efetuar logon nas estações. Tendo
como uma solução podemos criar um grupo e nesse grupo incluir os usuários que farão parte dessa
política de replicação.

10- Clique em “Add” e marque a opção “Allow passwords for the account to replicate to this
RODC“. Em seguida em “OK“.

11- Previamente criei um grupo no AD chamado “GS_CACHE_BRANCHOFFICE“, na qual será

adicionado os usuários que entrarão na política descrita acima. Selecione o usuário ou grupo criado
anteriormente e e valide ele clicando em “Check Names“. Depois em “OK“.

12- O grupo ou usuário pertencente a nova política irá aparecer na listagem, clique em “Next” para
continuar.

13- Agora vamos precisar definir um usuário ou grupo que irá administrar / ter acesso ao servidor.
Nesse caso selecionei um usuário criado previamente chamado “j.silva“. Clique em “Next“.

14- Teremos um resumo das opções selecionadas anteriormente, tendo a possibilidade de exportar
para um arquivo de respostas a ser utilizado posteriormente em algum novo servidor. Clique em
“Next“.

15- Após o término do processo clique em “Finish“. O processo inicial no Domain Controller foi
finalizado, a continuidade agora se dará no servidor que será o RODC.

PROMOVENDO UM SERVIDOR COM WINDOWS 2008 A UM RODC

16- No servidor que irá se tornar o RODC (RODC01), abra o “Server Manager”, botão direito do
mouse em “Roles” e em seguida em “Add Roles“.

17- Avance a tela inicial do assistente clicando em “Next“.

18- Ative a role “Active Directory Domain Services” e clique em “Next“.

19- Avance a tela de apresentação do ADDS clicando em “Next“.

20- Clique em “Install” para iniciar a instalação da role.

https://suportederede.wordpress.com/2011/06/14/instalando-um-rodc-read-only-domain-controller-no-windows-2008/ 2/4
 q
24/07/2020 p Instalando um RODC (Read-Only Domain Controller) no Windows 2008 | Suporte de Rede
21- Após o término em “Installation Results” clique em “Close this wizard and launch the Active
Directory Services Installation Wizard (dcpromo.exe)“.

22- O assistente será iniciado, marque a opção “Use advanced mode installation” e clique em
“Next“.

23- Avance também a informação de compatibilidade clicando em “Next“.

24- Em “Choose a Deployment Configuration”, marque a opção “Existing forest” e depois em “Add
a domain controller to an existing domain“.

25- Digite o nome do domínio, no nosso cenário vamos usar o “suportederede.local” e clicar em
“Next“.

26- Selecione o domínio na floresta e clique em “Next“.

27- Será apresentado um alerta de que o nome do servidor já existe no Active Directory em uma conta
pré-configurada, clique em “OK” para dar continuidade.

28- Em “Install from Media” temos a opção de receber a replicação dos objetos de um Domain
Controller existente através da rede, ou através de uma mídia criada anteriormente, a segunda opção
é recomendada para locais com link crítico.

29- Em “Source Domain Controller” devemos selecionar um Domain Controller que servirá como
fonte para replicação, manterei o default do assistente, em seguida clicando em “Next“.

30- Assim como na instalação comum do AD DS é necessário definir os locais para armazenamento
da base do AD, nesse caso vamos manter o default e em seguida clicar em “Next“.

31- Digite a senha do Restore Mode do AD, em seguida clique em “Next“.

32- Em “Summary” verifique o resumo das opções selecionadas anteriormente e depois clique em
“Next“.

33- Ao inciar o processo, marque a opção “Reboot on completion”

VERIFICANDO O ÊXITO DA CONFIGURAÇÃO

34- Após o reboot, incie com a conta definida no ítem 13 (no caso j.silva). Abra o console do “Active
Directory Users and Computers“. Verifique que o RODC01 é apresentado como “Read-only, GC”.

Verifique que as opções normais de “New User / Group /etc…” não são apresentados.

Verifique também que as informações dos usuários não podem ser alteradas.

Espero que tenham gostado.

Abraços a todos e até a próxima

Discussão

https://suportederede.wordpress.com/2011/06/14/instalando-um-rodc-read-only-domain-controller-no-windows-2008/ 3/4
24/07/2020 Instalando um RODC (Read-Only Domain Controller) no Windows 2008 | Suporte de Rede

Um comentário sobre “Instalando um RODC (Read-Only Domain

Controller) no Windows 2008”

1. Para maіѕ recentes informações você tem que visite

internet е diante web encontrei іsto site сomo ᥙm mais excelente
web site para mɑіs novo atualizações.

PUBLICADO POR DIADANOIVAMELHORESLOCAIS.WORDPRESS.COM | SEGUNDA-

FEIRA, 12 FEVEREIRO 2018, 12:11
REPLY TO THIS COMMENT

Suporte de Rede

https://suportederede.wordpress.com/2011/06/14/instalando-um-rodc-read-only-domain-controller-no-windows-2008/ 4/4