Active Directory - DC & RODC
DC & RODC
Bereits bei der Installation des ersten Domänencontrollers, wird das Verzeichnis aufgebaut. Jeder weitere Domänencontroller, der sich in der identischen Domäne befindet und bei der Installation die Rolle erhält, erwirbt somit eine Kopie von diesem Verzeichnis. In gewissen Abständen werden, aufgrund des Replikationsverfahren (Multimaster-Replikation), alle Informationen unter den Domänencontrollern ausgetauscht, damit sich jeder Domänencontroller immer auf dem aktuellen Stand befindet.
Seit der letzten Windows Server 2008 Version gibt es noch einen weiteren Domänencontroller, der in Bereiche eingesetzt werden kann, wenn keine physikalische Sicherheit (Serverraum) vorhanden ist. Dazu aber mehr im nächsten Abschnitt RODC.
Aufgabe s Domänencontroller
- Jeder Domänencontroller ist für eine Domäne zuständig. Sind mehrere Domänencontroller in einer Domäne vorhanden, erfolgt bei einer Änderung an der Datenbank eine Replizierung auf allen Systemen.
- Es ist mind. ein beschreibbarer Domänencontroller in einer Domäne verfügbar.
- Der Domänencontroller veranlasst die Anmeldung der Benutzer.
- Ein Domänencontroller hat die Datenbank Active Directory, in der das erstellen, bearbeiten und löschen von Objekten möglich ist.
- Suchanfragen werden von einem Domänencontroller, im Zusammenhang mit der Datenbank Active Directory, beantwortet.
RODC
Dieser Domänencontroller wird in Umgebungen eingesetzt, wo kein Serverraum zur Verfügung gestellt werden kann, z.B. Zweigstellenumgebung eines Unternehmens mit wenigen Arbeitsplätzen. Aufgrund dessen lohnt es sich nicht einen Vollzeit-Administrator dafür einzusetzen.
Durch eine Installation eines RODC (Read Only Domänencontroller) ist der Betreuungsaufwand sehr gering, dass somit auch ein Angestellter solche Administrationsaufgaben übernehmen kann. Der Benutzer muss auch nicht der Administratorgruppe angehören. Normale Benutzerrechte reichen allemal für das Einspielen von Updates und sonstige kleine Wartungsarbeiten aus.
Ein RODC verfügt auch über alle Objekte und Attribute aus der Active Directory und steht auch in Verbindung mit einen beschreibbaren Domänencontroller.
Änderungen die von einem Host aus getätigt werden, können auf einen RODC nicht direkt beschrieben werden, deshalb finden die Änderungen erstmal auf einen beschreibbaren Domänencontroller statt, der die Informationen (uni-direktional) an alle RODC's, aufgrund der Replikationspartnerschaft, nur verteilt und nicht direkt abrufen kann.