Quelques recommandations pour deployer les RODC

  • Article

Afin de pouvoir déployer les RODC (Read Only DC), il faut avant tout préparer votre forêt à recevoir les RODC. Pour cela les commandes suivantes permettent de faire cette préparation :

Préparer la forêt en lancant cette commande sur le DC qui a le rôle de Schema Master:

adprep /forestprep

Préparer le domaine en exécutant cette commande sur le DC qui tient le rôle de infrastructure master :

adprep /domainprep /gpprep

Et enfin si vous installez an RODC dans un domaine 2003, exécutez la commande suivante :

adprep /rodcprep

Cette opération va loars contacter les Infrastructures Master de chaque domaine de la forêt, ainsi que chaque partition applicative pour modifier les permissions. Afin que cette opération se déroule sans encombre, vérifier que les Infrastructure Masters de chaque domaine est joignable.

Pour plus d'information, veuillez consulter l'article technique suivant :

https://support.microsoft.com/kb/949257

 

. Une autre question dont on pourrait se poser est le compte krbtgt.

Le compte krbtgt sur un RODC est un compte special, ne ressemblant pas aux comptes krbtgt des DC normaux. Un des rôles de krbtgt du RODC consiste à fournir les TGT aux comptes qui sont autorisés à être dans le cache du RODC, en plus il jour le rôle de 'forwarder' pour transférer les requêtes Kerberos aux DC en écriture au cas où il ne possède pas d'information en local.

 

. Filtered Attributes Set

Certains attributs, pour des craisons de sécurité, ne sont pas répliqués des DC vers les RODC de la forêt, voici la liste des attributs non répliqués (FAS : filtered attributes set) par défaut :

· ms-PKI-DPAPIMasterKeys

· ms-PKI-AccountCredentials

· ms-PKI-RoamingTimeStamp

· ms-FVE-KeyPackage

· ms-FVE-RecoveryGuid

· ms-FVE-RecoveryInformation

· ms-FVE-RecoveryPassword

· ms-FVE-VolumeGuid

· ms-TPM-OwnerInformation

Si vous voulez étendre les attributs dans le FAS, marquez les comme 'confidentials'

 

. Password Replication Policy (PRP)

Chaque RODC a son propre PRP, par défaut aucun compte n'est autorisé à être mis dans le cache du RODC.

Si vous voulez voir la stratégie du PRP d'un RODC, utilisez la commande :

repadmin /prp view <RODC> reveal