Windows Server 2012: Por Qué un RODC (Read Only Domain Controller)

En esta demostración y casi como continuación a las dos anteriores Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory  voy a desarrollar una funcionalidad poco comprendida como es el RODC (Read Only Domain Controller) y sus importantes propiedades

Pienso que es casi un desconocido para la mayoría de los administradores y provee solución a un problema muy común para la mayoría de las organizaciones pequeñas y medianas, como es tener un sitio remoto donde se necesita tener un Controlador de Dominio, pero que sin embargo no cuenta ni con seguridad ni con personal que pueda administrarlo

Hay ocasiones donde la organización posee una oficina remota donde por el tamaño y cantidad de usuarios no existe la infraestrucura necesaria para tener un servidor con valiosa información como es un Controlador de Dominio, esto es por ejemplo, no hay sala de servidores, no hay seguridad física, más, ni siquiera la oficina tiene personal capacitado para administrarlo.

Pero sin embargo, es necesario tener en dicha oficina un Controlador de Dominio, tanto para agilizar el proceso de inicio de sesión, como quizás lo más común que es asegurarse que los usuarios remotos puedan trabajar localmente aunque el enlace al sitio central esté caído.

Originalmente, si se daban las condiciones antes descriptas, la única solución era poner un Controlador de Dominio en esta oficina, pero involucraba un riesgo muy grande de seguridad (por que no existe en el sitio), y un problema de mantenimiento del servidor (por no tener personal capacitado en el mismo

Al no haber seguridad una situación posible es que alguien sustrajera el Controlador de Dominio, o simplemente hiciera un ataque “offline” y consiguiera apoderarse de la base de usuarios (NTDS.DIT) llevándose en este caso la información de todos los usuarios con sus correspondientes contraseñas

Así que primero vamos a desarrollar algunas de sus características más importantes de un RODC

La primera es evidente por su nombre que incluye “Read Only” (Sólo Lectura), lo cual implica que no se pueden hacer cambios en la copia de la base de Active Directory local al mismo

E inclusive si alguien de alguna forma pudiera alterar la base de Active Directory, estos cambios nunca se propagarán al resto, pues un RODC tiene sólo replicación entrante; nunca replicarán otros Controladores de Dominio desde un RODC

Otra característica particular, es que no tiene replicadas las contraseñas de todos los usuarios, tiene solamente las que el administrador específicamente permita que se repliquen

Y la última característica principal, es que puedo delegar la administración e instalación de este Controlador de Dominio en particular a un usuario normal. Si fuera un Controlador de Dominio normal la única forma sería teniendo un administrador de Dominio, en este caso no es necesario

Resumiendo:

  • No acepta cambios
  • No replica cambios a otros Controladores de Dominio
  • No contiene todas las contraseñas de usuarios
  • Se puede delegar la instalación y administración del servidor

Para demostrar su instalación y configuración utilizaré como base la configuración hecha en Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory solamente que igual que en forma análoga a como se hizo antes, agregaré un Site (Neuquen con la red 192.168.3.1/24) con una máquina (DC3) que promoveremos a RODC en el Dominio

Pongo la figura con la infraestructura completa que explica más que muchas palabras

Varios de los procedimientos que usaremos para esta demostración están documentados en las dos notas anteriores mencionadas, así que no pondré acá las capturas de pantalla, aunque describiré que he hecho

DC1
He creado un Site llamado Neuquén, le he asociado la subnet 192.168.3.0/24 y he creado un Site Link llamado BAires-Neuquen que obviamente interconecta ambos sitios
Como aclaración: cuando crean el Site Neuquen obligatoriamente hay que asociarlo al Site Link BAires-Mendoza. Luego se crea un nuevo Site Link BAires-Neuquen, y se elimina Neuquen del Site Link BAires-Mendoza

VPN1
En Routing and Remote Access, propiedades de VPN1, ficha IPv4, he editado el rango de direcciones IP agregando una más, tres en total
Una para el servidor, otra para usar con Mendoza, y otra para usar con Neuquen

Luego, igual que en las notas anteriores he creado una conexión “Demand-dial interface” sólo que esta vez apuntando a la dirección del VPN3 (131.107.0.3), a la red 192.168.3.0/24 y por supuesto con el nombre Neuquen

VPN3
Instalado de acuerdo a la figura, interfaz interna 192.168.3.254/24 e interfaz externa 131.107.0.3/16, he instalado Remote Access y creado una conexión “Demand-dial Interface” apuntando a VPN1 (131.107.0.1), todo similar como hemos creado las demás aunque por supuesto cambiando nombres y direcciones IP de acuerdo a la figura. Para la VPN utilizé 172.18.0.0

Llegados a este punto, verifiquen tanto en VPN1 como en VPN3 que las interfaces pueden conectarse

DC3
Importante: para el procedimiento que vamos a hacer DC3 tiene obligatoriamente que estar en grupo de trabajo, no puede estar agreado al Dominio. Si se adelantaron y lo hicieron simplemente sáquenlo y eliminen la cuenta de máquina

La configuración de red de DC3 es:
Dirección IP 192.168.3.203/24
Default Gateway 192.168.3.254
DNS 192.168.1.201 (DC1)

Para verificar que todo está bien desde DC3 ejecuten un PING a DC1.root.guillermod.com.ar debería resolver y responder

Un rol que hay que agregar a DC3 es Active Directory Domain Services, instalarlo como administrador local, pero no configurarlo, solamente instalarlo
Ya lo hemos hecho en tantas notas del blog que entiendo que no necesitan la guía con las capturas de pantalla

Bien, si llegaron hasta acá, ahora es cuando comenzamos la demostración :-)

El objetivo es delegar a un usuario normal la posibilidad de promover a DC3 como Controlador de Dominio, y además darle los privilegios para que pueda administrar este servidor, sin ser administrador del dominio

¿Se puede? claro que se puede

Comencemos en DC, y vamos a crearle la cuenta de usuario normal a esta persona que promoverá a DC2 como Controlador de Domino

Yo he creado una cuenta llamada “Soporte Neuquen” (ROOT\NQNSoporte)

Ahora debemos pre-crear la cuenta de Controlador de Dominio así que con botón derecho sobre la Unidad Organizativa Domain Controllers seguimos el asistente como muestran las siguientes pantallas

Indicamos el nombre de la máquina

Indicamos el Site donde estará

Observemos que nos sugiere DNS y Global Catalog, pero ya está habilitado y no modificable RODC

Acá hay algo interesante para que trataremos más adelante: Ya hay grupos, los más sensibles, que tienen denegada la opción que se replique la contraseña, y además otros dos que su nombre es lo suficientemente descriptivo “Allowed RODC Password Replication Group” y “Denied RODC Password Replication Group”

Elegimos la cuenta que podrá promover el equipo a Controlador de Dominio y que luego será su administrador

Vemos que ha sido creada la cuenta para DC3, con la aclaración que es “Unoccupied DC Account (Read-only, GC)”

Ahora sí, vamos a DC3 a hacer la configuración del Controlador de Dominio

Aunque hayamos iniciado sesión como administrador local, recordemos que esta cuenta no nadie en el Dominio

Ya habíamos dejado instalado el rol, así que ahora a configurarlo de acuerdo a las siguientes pantallas

Acá hay un detalle, por lo menos para mí inesperado, que es donde hay que colocar el nombre de la cuenta autorizada para la instalación

En principio utilizé “ROOT\NQNSoporte”, entonces puso como nombre de dominio a “ROOT”, y en el paso siguiente dio un error informando que no encontraba un Controlador de Dominio de ROOT :-S

Pensando … pensando … pensando … ¿no estará tratando de resolver por NetBIOS? no, no puede ser tan “tonto” :-(

A ver, probemos usando el UPN del usuario “NQNSoporte@root.guillermod.com.ar”. Si, aunque no se puede creer, así funcionó. Y mostró el nombre del Dominio como “root.guillermod.com.ar”

Observen que ha encontrado la cuenta de máquina pre-creada, y por la dirección IP ya sabe en qué Site está, sólo debemos agregarle la “Directory Service Restore Mode Password”

Podemos elegir desde qué Controlador de Dominio replicará

Avisa que si instalamos se reinciará automáticamente

Luego que DC3 completa el reinicio, veamos que podemos iniciar sesión con ROOT\NQNSoporte

Y si vamos a Active Directory Users and Computers veremos que la cuenta ya está ocupada por el nuevo Controlador de Dominio

Algo que deberemos solucionar, no lo haré ahora, es que aunque este usuario (NQNSoporte) no puede hacer ningún cambio en Active Directory, puede verlo, y seguramente eso no lo deseamos

También pueden probar que este usuario es administrador del servidor, por ejemplo podrá agregar Roles y Features, o reiniciarlo, etc. etc.

Y por último para esta nota, volvamos al tema que dejamos pendiente: que se puede controlar las contraseñas de qué cuentas se replicarán en el RODC

Siguiendo el ejemplo, crearé dos grupos, uno para máquinas (NQN-Computers) y otro para usuarios (NQN-Users), y como es lógico, en el primero haré pertencer las cuentas de las máquinas que estén en Neuquén, y en el otro las cuentas de usuarios que estén en Neuquén

El objetivo es que solamente las contraseñas de estas cuentas puedan ser replicadas al sitio Neuquén, por si se comprometiera la seguridad del servidor

Luego en DC1, en las propiedades de la cuenta DC3, en la ficha “Password Replication Policy” voy a agregar estos dos grupos permitiendo que se replique la contraseña

Y si ingresamos por el botón Advanced podremos ver cuáles son las cuentas que tienen la contraseña replicada en DC3, que son:

  • La propia cuenta de DC3 como es lógico
  • Una cuentas especial y diferente al resto del Dominio que usa Kerberos

Además podemos observar que podemos replicar con anticipación las contraseñas de las cuentas que se usarán en el sitio Neuquén. De otra forma las recibirá recién cuando la cuenta inicie sesión en el sitio

Una prueba muy interesante, supongamos que ha sido comprometido DC3, recordemos que está en un sitio sin seguridad física, por lo que por seguridad decidimos borrar la cuenta de máquina, probemos …

Observen qué información intereseante, nos da la posibilidad de sacar una lista de las cuentas comprometidas e inclusive “resetear” la contraseña de las mismas

Resumiendo, creo que la opción de RODC viene a cubrir una falta que por lo menos personalmente he visto en más de una oportunidad, ya que da una solución simple a un problema común para la pequeña y mediana empresa

Post a comment or leave a trackback: Trackback URL.

Comentarios

  • alberto  On 16/02/2013 at 10:09

    Guillermo, esta funcionalidad puede implementarse en 2008 Server? O es solo de 2012? Muy interesante el articulo. Saludos!

  • jecavallin  On 16/02/2013 at 11:54

    Gracias Guillermo , muy bueno , saludos

    • Delprato  On 16/02/2013 at 15:56

      Como siempre gracias Jorge por tus comentarios
      Espero te sirva porque RODC es uno de esos “incomprendidos” ;-)

  • Miguel  On 26/02/2013 at 12:56

    Como estas, primero debo felicitarte por el post, esta muy bueno. Estoy instalando un rodc vía vpn, tal cual como lo tienes en la demostración, pero deshabilité la opción DNS ya que pondria ips estáticas a las maquinas. Ahora al agregar una máquina al RODC me indica que no encuentra ningún DC disponible, ojala puedas darme alguna idea de lo que pueda estar fallando.

    • Delprato  On 26/02/2013 at 16:59

      Hola Miguel, gracias por el comentario. Así da gusto :-)

      Respecto a la pregunta, el servicio DNS lo que hace es resolver los nombres de máquina, a su correspodiente dirección IP
      Cuando una máquina trata de encontrar a los DCs, le pregunta al DNS cuáles son los DCs, y luego con la lista de nombres de respuesta va otra vez al DNS para conocer la dirección del/los DCs
      Esto es totamente independiente de que las direcciones IPs de los equipos sean estáticas

      Las máquinas clientes deben apuntar como DNS al RODC. El SOA del DNS le indicará cuál es el DNS en el que puede registrarse. Y además por supuesto le indicará cuáles son los DCs

      • Miguel  On 01/03/2013 at 21:24

        Gracias por tu respuesta acertada, tuve que volver a instalar al RODC ya que no encontré la manera de activarlo.
        Ahora eh intentado rellenar previamente los passwords de algunos usuarios y me sale el mensaje de “The specified server cannot perform the requested operation”, y en el RODC en opciones avanzadas de replicacion me muestra un mensaje “Esta informacion solo esta disponible para AD DC con WS 2008 o superior. Mi nivel funcional de dominio es 2003, quiza sea por esto. Pero necesito guardar previamente passwords :(

      • Delprato  On 02/03/2013 at 10:08

        En el sitio central ¿hay algún W2008? porque un RODC sólo puede replicar desde un W2008 o posterior: no puede desde un W2003

        Y además, para probar se podría crear un usuario que sea validado por el RODC, y ver si de esa forma sí “cachea” la contraseña

  • Miguel  On 02/03/2013 at 10:52

    En el dominio principal tengo 2 DC uno 2003 y el otro 2008, pero la replicación la hice con el 2008, no me permite cachear ninguna contraseña, pero eh iniciado sesión con usuarios de prueba, y después del primer inicio ya pueden iniciar sesión después aunq esté desactivada la WAN, incluso si está desconectado el RODC, pero quisiera cachear previamente

    • Delprato  On 02/03/2013 at 11:56

      Hola Miguel, evidentemente está todo “casi bien” :-)
      Es raro lo que está pasando, habría que revisar en los visores de eventos a ver si hay algo relacionado, e inclusive cual es el texto exacto del mensaje de error que da cuando quieres forzar la replicación de contraseñas ¿tienen contraseña estos usuarios?

      De todas formas te comento, que por unos días no voy a estar en mi lugar normal de trabajo, y tendré muy poco acceso a Internet, por lo que te sugiero plantees el tema en los foros de Technet en español, que si no soy yo somos varios los que respondemos preguntas.
      El foro de Directorio Activo está en http://social.technet.microsoft.com/Forums/es-es/wsades/threads

  • Miguel  On 08/03/2013 at 19:38

    Como estas Delprato,
    El mensaje que me mostraba era: “passwords for none of the accounts could be prepopulated. The following error was encountered: The specified server cannot perform the request operation.
    Estuve realizando varias pruebas, entre ellas cambiar los sites, y cuando lo instalé colocándolo en el mismo site que los RWDC me logró guardar previamente 2 contraseñas; luego lo cambié de site a uno nuevo y a partir de allí me sale otro aviso: “the account must first be added to the allowed list for this read-only domain controller”, aparentemente no se encuentra en la lista de permitidos, pero si lo he agregado y aún así ya no me permite.
    Otro dato importante es que cuando desplego la lista de usuarios autenticados en el RODC, en la configuracion avanzada de replicacion, me están apareciendo que se han logueado varios usuarios y pcs, supongo aparece porque lo instalé en el mismo site.
    Gracias de antemano por los comentarios

    • Delprato  On 09/03/2013 at 11:31

      No necesita estar en el mismo sitio; la idea es justamente replicar las contraseñas a un sitio remoto

      Repasando, por supuesto que las cuentas de usuario deben estar en el grupo “Allowed RODC…” o en un grupo creado y autorizado expresamente como he hecho en la nota

      Y que el comando debes hacerlo desde el DC que tiene permiso de escritura ¿lo haz hecho así?

      • Miguel  On 11/03/2013 at 13:38

        Si, fui a AD Users and Computers del RWDC- Domain Controllers – Propiedades del RODC, allí agregué los usuarios, luego en Avanzado – Guardar Previamente contraseñas, allí intenté agregar los mismos usuarios, sin resultado. También intenté agregarlos a un grupo y dicho grupo agregarlo, sin resultado.
        Mi usuario es administrador del Dominio

      • Delprato  On 13/03/2013 at 08:31

        Hola Miguel, contesto en el otro mensaje que es posterior

  • Miguel  On 12/03/2013 at 17:42

    Hola otra vez,
    Estoy contento ya que voy avanzando, realicé una instalación limpia y sólo con un usuario del dominio para todas las operaciones, puedo pre guardar usuarios en el RODC, ahora me queda un detalle.
    Los usuarios no pueden iniciar sesión cuando desconecto el enlace VPN, en win7 me sale el mensaje “No hay servidores de inicio de sesión disponibles para atender la solicitud de inicio de sesión”.

    RODC:
    IP: A.168.15.2
    DG: A.168.15.1
    DNS: 172.30.16.X –> DC Primario

    USUARIO:
    IP: A.168.15.100
    DG: A.168.15.1
    DNS: A.168.15.2 –> RODC

    Quisiera alguna opinion sobre el tema, gracias

    • Delprato  On 13/03/2013 at 08:36

      Revisa que el RODC sea Catálogo Global, y además confirma que pueda el usuario iniciar sesión con el vínculo activo, por las dudas ;)

      • Miguel  On 13/03/2013 at 19:32

        Los usuarios si pueden iniciar sesión cuando la VPN está activa, y el RODC si es Global Catalog, eh verificado un detalle, que en las propiedades de cualquier usuario no se encuentra la pestaña Password Replication,

      • Delprato  On 14/03/2013 at 07:50

        Es correcto, no figura en las propiedades del usuario. Se puede hacer sólo desde las propiedades de un DC normal

        Como te comenté antes, y para no seguir haciendo esto tan largo, por favor expone el problema en el foro de Technet, que ahí lo podemos desarrollar mejor, y además somos varios los que contestamos

        http://social.technet.microsoft.com/Forums/es-es/wsades/threads

  • Miguel  On 15/03/2013 at 14:42

    Disculpa por hacer largo el tema,
    Ya logré configurar correctamente mi RODC, el problema era que aunque la configuracion la realicé desde mi RWDC en 2008, el RODC estaba llamando al RWDC en 2003.
    Eh verificado también que en la vista de usuarios logueados aparecen usuarios fuera de la subred del RODC, me dijeron que es una situación normal.
    Gracias por todo

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: