En esta demostración y casi como continuación a las dos anteriores Windows Server 2012: Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory voy a desarrollar una funcionalidad poco comprendida como es el RODC (Read Only Domain Controller) y sus importantes propiedades
Pienso que es casi un desconocido para la mayoría de los administradores y provee solución a un problema muy común para la mayoría de las organizaciones pequeñas y medianas, como es tener un sitio remoto donde se necesita tener un Controlador de Dominio, pero que sin embargo no cuenta ni con seguridad ni con personal que pueda administrarlo
Hay ocasiones donde la organización posee una oficina remota donde por el tamaño y cantidad de usuarios no existe la infraestrucura necesaria para tener un servidor con valiosa información como es un Controlador de Dominio, esto es por ejemplo, no hay sala de servidores, no hay seguridad física, más, ni siquiera la oficina tiene personal capacitado para administrarlo.
Pero sin embargo, es necesario tener en dicha oficina un Controlador de Dominio, tanto para agilizar el proceso de inicio de sesión, como quizás lo más común que es asegurarse que los usuarios remotos puedan trabajar localmente aunque el enlace al sitio central esté caído.
Originalmente, si se daban las condiciones antes descriptas, la única solución era poner un Controlador de Dominio en esta oficina, pero involucraba un riesgo muy grande de seguridad (por que no existe en el sitio), y un problema de mantenimiento del servidor (por no tener personal capacitado en el mismo
Al no haber seguridad una situación posible es que alguien sustrajera el Controlador de Dominio, o simplemente hiciera un ataque “offline” y consiguiera apoderarse de la base de usuarios (NTDS.DIT) llevándose en este caso la información de todos los usuarios con sus correspondientes contraseñas
Así que primero vamos a desarrollar algunas de sus características más importantes de un RODC
La primera es evidente por su nombre que incluye “Read Only” (Sólo Lectura), lo cual implica que no se pueden hacer cambios en la copia de la base de Active Directory local al mismo
E inclusive si alguien de alguna forma pudiera alterar la base de Active Directory, estos cambios nunca se propagarán al resto, pues un RODC tiene sólo replicación entrante; nunca replicarán otros Controladores de Dominio desde un RODC
Otra característica particular, es que no tiene replicadas las contraseñas de todos los usuarios, tiene solamente las que el administrador específicamente permita que se repliquen
Y la última característica principal, es que puedo delegar la administración e instalación de este Controlador de Dominio en particular a un usuario normal. Si fuera un Controlador de Dominio normal la única forma sería teniendo un administrador de Dominio, en este caso no es necesario
Resumiendo:
- No acepta cambios
- No replica cambios a otros Controladores de Dominio
- No contiene todas las contraseñas de usuarios
- Se puede delegar la instalación y administración del servidor
Para demostrar su instalación y configuración utilizaré como base la configuración hecha en Conectando Sitios por VPN (Site to Site VPN) y Configurando Sites (Sitios) en Active Directory solamente que igual que en forma análoga a como se hizo antes, agregaré un Site (Neuquen con la red 192.168.3.1/24) con una máquina (DC3) que promoveremos a RODC en el Dominio
Pongo la figura con la infraestructura completa que explica más que muchas palabras
Varios de los procedimientos que usaremos para esta demostración están documentados en las dos notas anteriores mencionadas, así que no pondré acá las capturas de pantalla, aunque describiré que he hecho
DC1
He creado un Site llamado Neuquén, le he asociado la subnet 192.168.3.0/24 y he creado un Site Link llamado BAires-Neuquen que obviamente interconecta ambos sitios
Como aclaración: cuando crean el Site Neuquen obligatoriamente hay que asociarlo al Site Link BAires-Mendoza. Luego se crea un nuevo Site Link BAires-Neuquen, y se elimina Neuquen del Site Link BAires-Mendoza
VPN1
En Routing and Remote Access, propiedades de VPN1, ficha IPv4, he editado el rango de direcciones IP agregando una más, tres en total
Una para el servidor, otra para usar con Mendoza, y otra para usar con Neuquen
Luego, igual que en las notas anteriores he creado una conexión “Demand-dial interface” sólo que esta vez apuntando a la dirección del VPN3 (131.107.0.3), a la red 192.168.3.0/24 y por supuesto con el nombre Neuquen
VPN3
Instalado de acuerdo a la figura, interfaz interna 192.168.3.254/24 e interfaz externa 131.107.0.3/16, he instalado Remote Access y creado una conexión “Demand-dial Interface” apuntando a VPN1 (131.107.0.1), todo similar como hemos creado las demás aunque por supuesto cambiando nombres y direcciones IP de acuerdo a la figura. Para la VPN utilizé 172.18.0.0
Llegados a este punto, verifiquen tanto en VPN1 como en VPN3 que las interfaces pueden conectarse
DC3
Importante: para el procedimiento que vamos a hacer DC3 tiene obligatoriamente que estar en grupo de trabajo, no puede estar agreado al Dominio. Si se adelantaron y lo hicieron simplemente sáquenlo y eliminen la cuenta de máquina
La configuración de red de DC3 es:
Dirección IP 192.168.3.203/24
Default Gateway 192.168.3.254
DNS 192.168.1.201 (DC1)
Para verificar que todo está bien desde DC3 ejecuten un PING a DC1.root.guillermod.com.ar debería resolver y responder
Un rol que hay que agregar a DC3 es Active Directory Domain Services, instalarlo como administrador local, pero no configurarlo, solamente instalarlo
Ya lo hemos hecho en tantas notas del blog que entiendo que no necesitan la guía con las capturas de pantalla
Bien, si llegaron hasta acá, ahora es cuando comenzamos la demostración :-)
El objetivo es delegar a un usuario normal la posibilidad de promover a DC3 como Controlador de Dominio, y además darle los privilegios para que pueda administrar este servidor, sin ser administrador del dominio
¿Se puede? claro que se puede
Comencemos en DC, y vamos a crearle la cuenta de usuario normal a esta persona que promoverá a DC2 como Controlador de Domino
Yo he creado una cuenta llamada “Soporte Neuquen” (ROOT\NQNSoporte)
Ahora debemos pre-crear la cuenta de Controlador de Dominio así que con botón derecho sobre la Unidad Organizativa Domain Controllers seguimos el asistente como muestran las siguientes pantallas
Indicamos el nombre de la máquina
Indicamos el Site donde estará
Observemos que nos sugiere DNS y Global Catalog, pero ya está habilitado y no modificable RODC
Acá hay algo interesante para que trataremos más adelante: Ya hay grupos, los más sensibles, que tienen denegada la opción que se replique la contraseña, y además otros dos que su nombre es lo suficientemente descriptivo “Allowed RODC Password Replication Group” y “Denied RODC Password Replication Group”
Elegimos la cuenta que podrá promover el equipo a Controlador de Dominio y que luego será su administrador
Vemos que ha sido creada la cuenta para DC3, con la aclaración que es “Unoccupied DC Account (Read-only, GC)”
Ahora sí, vamos a DC3 a hacer la configuración del Controlador de Dominio
Aunque hayamos iniciado sesión como administrador local, recordemos que esta cuenta no nadie en el Dominio
Ya habíamos dejado instalado el rol, así que ahora a configurarlo de acuerdo a las siguientes pantallas
Acá hay un detalle, por lo menos para mí inesperado, que es donde hay que colocar el nombre de la cuenta autorizada para la instalación
En principio utilizé “ROOT\NQNSoporte”, entonces puso como nombre de dominio a “ROOT”, y en el paso siguiente dio un error informando que no encontraba un Controlador de Dominio de ROOT :-S
Pensando … pensando … pensando … ¿no estará tratando de resolver por NetBIOS? no, no puede ser tan “tonto” :-(
A ver, probemos usando el UPN del usuario “NQNSoporte@root.guillermod.com.ar”. Si, aunque no se puede creer, así funcionó. Y mostró el nombre del Dominio como “root.guillermod.com.ar”
Observen que ha encontrado la cuenta de máquina pre-creada, y por la dirección IP ya sabe en qué Site está, sólo debemos agregarle la “Directory Service Restore Mode Password”
Podemos elegir desde qué Controlador de Dominio replicará
Avisa que si instalamos se reinciará automáticamente
Luego que DC3 completa el reinicio, veamos que podemos iniciar sesión con ROOT\NQNSoporte
Y si vamos a Active Directory Users and Computers veremos que la cuenta ya está ocupada por el nuevo Controlador de Dominio
Algo que deberemos solucionar, no lo haré ahora, es que aunque este usuario (NQNSoporte) no puede hacer ningún cambio en Active Directory, puede verlo, y seguramente eso no lo deseamos
También pueden probar que este usuario es administrador del servidor, por ejemplo podrá agregar Roles y Features, o reiniciarlo, etc. etc.
Y por último para esta nota, volvamos al tema que dejamos pendiente: que se puede controlar las contraseñas de qué cuentas se replicarán en el RODC
Siguiendo el ejemplo, crearé dos grupos, uno para máquinas (NQN-Computers) y otro para usuarios (NQN-Users), y como es lógico, en el primero haré pertencer las cuentas de las máquinas que estén en Neuquén, y en el otro las cuentas de usuarios que estén en Neuquén
El objetivo es que solamente las contraseñas de estas cuentas puedan ser replicadas al sitio Neuquén, por si se comprometiera la seguridad del servidor
Luego en DC1, en las propiedades de la cuenta DC3, en la ficha “Password Replication Policy” voy a agregar estos dos grupos permitiendo que se replique la contraseña
Y si ingresamos por el botón Advanced podremos ver cuáles son las cuentas que tienen la contraseña replicada en DC3, que son:
- La propia cuenta de DC3 como es lógico
- Una cuentas especial y diferente al resto del Dominio que usa Kerberos
Además podemos observar que podemos replicar con anticipación las contraseñas de las cuentas que se usarán en el sitio Neuquén. De otra forma las recibirá recién cuando la cuenta inicie sesión en el sitio
Una prueba muy interesante, supongamos que ha sido comprometido DC3, recordemos que está en un sitio sin seguridad física, por lo que por seguridad decidimos borrar la cuenta de máquina, probemos …
Observen qué información intereseante, nos da la posibilidad de sacar una lista de las cuentas comprometidas e inclusive “resetear” la contraseña de las mismas
Resumiendo, creo que la opción de RODC viene a cubrir una falta que por lo menos personalmente he visto en más de una oportunidad, ya que da una solución simple a un problema común para la pequeña y mediana empresa
WindowServer 
Comentarios
Guillermo, esta funcionalidad puede implementarse en 2008 Server? O es solo de 2012? Muy interesante el articulo. Saludos!
Está disponible desde W2008
Un gusto que te resulte interesante :-)
Gracias Guillermo , muy bueno , saludos
Como siempre gracias Jorge por tus comentarios
Espero te sirva porque RODC es uno de esos «incomprendidos» ;-)
Como estas, primero debo felicitarte por el post, esta muy bueno. Estoy instalando un rodc vía vpn, tal cual como lo tienes en la demostración, pero deshabilité la opción DNS ya que pondria ips estáticas a las maquinas. Ahora al agregar una máquina al RODC me indica que no encuentra ningún DC disponible, ojala puedas darme alguna idea de lo que pueda estar fallando.
Hola Miguel, gracias por el comentario. Así da gusto :-)
Respecto a la pregunta, el servicio DNS lo que hace es resolver los nombres de máquina, a su correspodiente dirección IP
Cuando una máquina trata de encontrar a los DCs, le pregunta al DNS cuáles son los DCs, y luego con la lista de nombres de respuesta va otra vez al DNS para conocer la dirección del/los DCs
Esto es totamente independiente de que las direcciones IPs de los equipos sean estáticas
Las máquinas clientes deben apuntar como DNS al RODC. El SOA del DNS le indicará cuál es el DNS en el que puede registrarse. Y además por supuesto le indicará cuáles son los DCs
Gracias por tu respuesta acertada, tuve que volver a instalar al RODC ya que no encontré la manera de activarlo.
Ahora eh intentado rellenar previamente los passwords de algunos usuarios y me sale el mensaje de «The specified server cannot perform the requested operation», y en el RODC en opciones avanzadas de replicacion me muestra un mensaje «Esta informacion solo esta disponible para AD DC con WS 2008 o superior. Mi nivel funcional de dominio es 2003, quiza sea por esto. Pero necesito guardar previamente passwords :(
En el sitio central ¿hay algún W2008? porque un RODC sólo puede replicar desde un W2008 o posterior: no puede desde un W2003
Y además, para probar se podría crear un usuario que sea validado por el RODC, y ver si de esa forma sí «cachea» la contraseña
En el dominio principal tengo 2 DC uno 2003 y el otro 2008, pero la replicación la hice con el 2008, no me permite cachear ninguna contraseña, pero eh iniciado sesión con usuarios de prueba, y después del primer inicio ya pueden iniciar sesión después aunq esté desactivada la WAN, incluso si está desconectado el RODC, pero quisiera cachear previamente
Hola Miguel, evidentemente está todo «casi bien» :-)
Es raro lo que está pasando, habría que revisar en los visores de eventos a ver si hay algo relacionado, e inclusive cual es el texto exacto del mensaje de error que da cuando quieres forzar la replicación de contraseñas ¿tienen contraseña estos usuarios?
De todas formas te comento, que por unos días no voy a estar en mi lugar normal de trabajo, y tendré muy poco acceso a Internet, por lo que te sugiero plantees el tema en los foros de Technet en español, que si no soy yo somos varios los que respondemos preguntas.
El foro de Directorio Activo está en http://social.technet.microsoft.com/Forums/es-es/wsades/threads
Como estas Delprato,
El mensaje que me mostraba era: «passwords for none of the accounts could be prepopulated. The following error was encountered: The specified server cannot perform the request operation.
Estuve realizando varias pruebas, entre ellas cambiar los sites, y cuando lo instalé colocándolo en el mismo site que los RWDC me logró guardar previamente 2 contraseñas; luego lo cambié de site a uno nuevo y a partir de allí me sale otro aviso: «the account must first be added to the allowed list for this read-only domain controller», aparentemente no se encuentra en la lista de permitidos, pero si lo he agregado y aún así ya no me permite.
Otro dato importante es que cuando desplego la lista de usuarios autenticados en el RODC, en la configuracion avanzada de replicacion, me están apareciendo que se han logueado varios usuarios y pcs, supongo aparece porque lo instalé en el mismo site.
Gracias de antemano por los comentarios
No necesita estar en el mismo sitio; la idea es justamente replicar las contraseñas a un sitio remoto
Repasando, por supuesto que las cuentas de usuario deben estar en el grupo «Allowed RODC…» o en un grupo creado y autorizado expresamente como he hecho en la nota
Y que el comando debes hacerlo desde el DC que tiene permiso de escritura ¿lo haz hecho así?
Si, fui a AD Users and Computers del RWDC- Domain Controllers – Propiedades del RODC, allí agregué los usuarios, luego en Avanzado – Guardar Previamente contraseñas, allí intenté agregar los mismos usuarios, sin resultado. También intenté agregarlos a un grupo y dicho grupo agregarlo, sin resultado.
Mi usuario es administrador del Dominio
Hola Miguel, contesto en el otro mensaje que es posterior
Hola otra vez,
Estoy contento ya que voy avanzando, realicé una instalación limpia y sólo con un usuario del dominio para todas las operaciones, puedo pre guardar usuarios en el RODC, ahora me queda un detalle.
Los usuarios no pueden iniciar sesión cuando desconecto el enlace VPN, en win7 me sale el mensaje «No hay servidores de inicio de sesión disponibles para atender la solicitud de inicio de sesión».
RODC:
IP: A.168.15.2
DG: A.168.15.1
DNS: 172.30.16.X –> DC Primario
USUARIO:
IP: A.168.15.100
DG: A.168.15.1
DNS: A.168.15.2 –> RODC
Quisiera alguna opinion sobre el tema, gracias
Revisa que el RODC sea Catálogo Global, y además confirma que pueda el usuario iniciar sesión con el vínculo activo, por las dudas ;)
Los usuarios si pueden iniciar sesión cuando la VPN está activa, y el RODC si es Global Catalog, eh verificado un detalle, que en las propiedades de cualquier usuario no se encuentra la pestaña Password Replication,
Es correcto, no figura en las propiedades del usuario. Se puede hacer sólo desde las propiedades de un DC normal
Como te comenté antes, y para no seguir haciendo esto tan largo, por favor expone el problema en el foro de Technet, que ahí lo podemos desarrollar mejor, y además somos varios los que contestamos
http://social.technet.microsoft.com/Forums/es-es/wsades/threads
Disculpa por hacer largo el tema,
Ya logré configurar correctamente mi RODC, el problema era que aunque la configuracion la realicé desde mi RWDC en 2008, el RODC estaba llamando al RWDC en 2003.
Eh verificado también que en la vista de usuarios logueados aparecen usuarios fuera de la subred del RODC, me dijeron que es una situación normal.
Gracias por todo
Trackbacks
[…] Windows Server 2012: Por Qué un RODC (Read Only Domain Controller) « WindowServer […]
[…] supongo que todos sabemos las características principales de un RODC, o recomiendo lean Windows Server 2012: Por Qué un RODC (Read Only Domain Controller) podemos en este momento seleccionar qué grupos tendrán permitida o denegada la replicacion de la […]
[…] supongo que todos sabemos las características principales de un RODC, o recomiendo lean Windows Server 2012: Por Qué un RODC (Read Only Domain Controller) podemos en este momento seleccionar qué grupos tendrán permitida o denegada la replicacion de la […]
[…] habíamos mostrado en la nota anterior “Windows Server 2012: Por Qué un RODC (Read Only Domain Controller)” podemos seleccionar qué contraseñas de usuario pueden ser replicadas a un RODC. Como es […]