When to RODC and when not to RODC

Der Einsatz eines RODCs kann die folgenden Vorteile in Unternehmen mit Niederlassungen bringen:

  • Sicherheit
    Durch die Tatsache, dass keinerlei Replikationsverkehr von einem RODC initiiert werden kann (inbound only) und nur ausgewählte Benutzerattribute auf einen RODC repliziert werden.
  • Verfügbarkeit
    Durch die Tatsache, dass der RODC in einer Niederlassung eine Authentifizierung auch dann vornehmen kann, wenn die WAN-Verbindung zum Hauptsitz unterbrochen ist (sofern die Kennwörter dieser Benutzer und der Computer durch eine Kennwort-Replikationsrichtlinie übertragen wurden).
  • Bandbreiteneinsparungen
    Durch die Tatsache, dass Gruppenrichtlinien und Scripts direkt vom Sysvol-Ordner des RODCs geladen und ausgeführt werden können. Eine Verbindung des Clients zum Hauptsitz wird demnach überflüssig und es entsteht so kein unnötiger Netzwerkverkehr. Zudem wird auch der Replikationsverkehr reduziert, da ein RODC nur einkommenden Replikationsverkehr annimmt und selbst keinen produziert.

Dennoch gibt es einige Dinge zu beachten, bevor einfach wild RODCs in der Unternehmung zum Einsatz gelangen. Es ergeben sich dabei nämlich auch Einschränkungen, welche unbedingt beachtet werden müssen. Mittels des Einsatzes von RODCs kann eine Infrastruktur u.U. besser an die Begebenheiten in Bezug auf die physische Sicherheit, etc. angepasst werden. Dies soll jedoch nicht heissen, dass ein RODC unbedingt in jeder Niederlassung zum Einsatz kommen muss! Dabei gibt es noch die folgenden Dinge zu beachten:

  • Ein RODC repliziert sich ausschliesslich mit einem RWDC >= Windows Server 2008
    Obwohl sich ein RODC auch in einer Domäne integrieren lässt, bei welcher die Domänenfunktionsebene (sowie die Gesamtstrukturfunktionsebene!) unter Windows Server 2008 oder höher betrieben wird, muss mindestens ein RWDC unter Windows Server 2008 oder höher verfügbar sein. Falls nur ein einzelner RWDC unter Windows Server 2008 eingesetzt wird und dieser ausfällt, ist kein Replikationspartner mehr für den/die RODC(s) verfügbar und ein Abgleich ist nicht mehr möglich.
  • Die Standortkonfiguration muss gewährleisten, dass ein RWDC als direkter Replikationspartner eines RODCs gewählt werden kann
    Falls demnach ein RWDC mehr als ein Standort in Serie vom RODC entfernt ist, so müssen entweder Standortverknüpfungsbrücken oder auch die automatische Überbrückung der Standorte aktiv sein. Nur auf diese Art wird es ermöglicht, dass ein RWDC direkt als Replikationspartner des RODC gewählt werden kann.
  • Ein Exchange-Server (2003 und 2007) kann ausschliesslich einen RWDC unter Windows Server 2008 abfragen
    Falls in einer Niederlassung, in welcher ein einzelner RODC zum Einsatz kommt, auch ein Exchange-Server betrieben wird, so fragt dieser ausschliesslich einen RWDC ab – wenn wie in diesem Szenario nicht anders möglich, gar über eine langsame WAN-Verbindung. Dieses Verhalten gilt beim Einsatz von RODCs unter Windows Server 2008.
  • Pro Niederlassung (und Active Directory-Standort) sollte lediglich ein einzelner RODC zum Einsatz kommen
    Ein einzelner RODC kann auch grössere Niederlassungen ziemlich unbedenklich mit einer Authentifizierung abdecken. Man bedenke bei dieser Tatsache auch den Umstand, dass ein RODC nur dann in einer Niederlassung installiert werden sollte, falls diese über keinen adäquaten physischen Schutz (Server-Raum, etc.) verfügt. Falls eine Niederlassung wirklich über eine grosse Anzahl von Benutzern verfügt, so ist meistens auch ein entsprechender Server-Raum vorhanden, welcher genügend physisch geschützt werden kann. Zudem gilt es auch zu bedenken, dass standardmässig auch die Möglichkeit der zwischengespeicherten Anmeldung gibt – d.h. die Anmeldeinformationen werden standardmässig zwischengespeichert und dies ermöglicht auf diese Weise auch eine Anmeldung, falls kein Domänencontroller zur Verfügung steht. Das Problem bei der Installation mehrerer RODCs an einem physischen ADS-Standort liegt in der Tatsache, dass jeder RODC über separate Kennwortreplikations-Richtlinien verfügt. Somit könnte es vorkommen, dass beide Domänencontroller unterschiedliche Passwort-Hashes zwischengespeichert haben, da sich beide RODCs die Daten ausschliesslich von einem beschreibbaren Domänencontroller abholen. Je nach Anmelde-Server der Benutzer (nach Verfügbarkeit), wird somit der Passwort-Hash auf einem beliebigen RODC abgelegt und könnte somit inkonsistent werden. Auch die DNS-Abfragen können unter Umständen inkonsistent werden, falls beide RODCs mit einem DNS-Dienst durch die Clients abgefragt werden. Da sich die RODCs auch in diesem Falle nicht gegenseitig abgleichen und der Weg immer über einen RWDC führt, kann dies zu Verzögerungen und somit Ungleichheiten führen. Wie einleitend schon als Titel dieses Punktes erwähnt, sollte nicht mehr als ein RODC in einem Standort untergebracht werden – bei guter Planung und dem richtigen Einsatz und korrekter Konfiguration der DNS-Dienste, sowie Kennwort-Replikationsrichtlinien, ist es jedoch möglich, diese Konstellation dennoch zu betreiben. Jedoch macht dies in den meisten Szenarien keinen Sinn.
  • An einem ADS-Standort sollte kein RODC in Kombination mit einem RWDC installiert werden.
    Diese Kombination wäre ein Widerspruch in sich selbst. Ein RODC wird immer dann eingesetzt, falls in einer Niederlassung nicht der gewünschte physische Schutz für den Server-Raum erreicht werden kann. Somit würden hier entweder RWDCs oder ein RODC installiert werden – jedoch nicht die Kombination dieser beiden Domänencontroller-Varianten. Eigentlich ist die einzige Situation, in welcher diese Kombination auftreten könnte, die Migrationsphase selbst. D.h. dass während der Migration auf Windows Server 2008 der bestehende Domänencontroller mit einem RODC ergänzt wird. Während diesem Zeitraum gilt es nur in Kombination mit einem Windows Server 2003-Domänencontroller einige Dinge zu beachten, falls die WAN-Verbindung zum Hauptsitz (in welchem ein RWDC unter Windows Server 2008 erreichbar wäre) fehlschlägt:

    –          Falls der RODC in der Niederlassung die Passwort-Hashes desjenigen Benutzers, welcher sich gerade authentifizieren möchte noch nicht zwischengespeichert hat, so ist eine Anmeldung höchstens noch mittels der lokale zwischengespeicherten Anmeldedaten möglich.

    –          Falls eine Passwortänderung an den RODC in der Niederlassung gesendet wird, so kann dieser diese Anfrage nicht erfolgreich an einen RWDC unter Windows Server 2008 im Hauptsitz weiterleiten und schlägt deshalb fehl.

In Kombination mit einem RWDC unter Windows Server 2008 in der Niederlassung wären beide oben erwähnten Szenarien kein Problem. Deshalb empfiehlt es sich, während der Migration über einen RWDC unter Windows Server 2008 in der Niederlassung zu verfügen. Diese Konstellation sollte jedoch baldmöglichst aufgehoben werden, da Möglichkeiten bestehen, den RWDC der Niederlassung über einen RODC einzunehmen.

VN:F [1.9.22_1171]
Rating: 6.3/10 (3 votes cast)
VN:F [1.9.22_1171]
Rating: +1 (from 1 vote)
When to RODC and when not to RODC, 6.3 out of 10 based on 3 ratings

Schreib einen Kommentar