Introduction

Avec Windows Server 2008, apparaît un nouveau rôle pour les contrôleurs de domaine à savoir le mode lecture seule. On le retrouve plus régulièrement sous le nom de RODC pour Read Only Domain Controller. Certains diront qu’il s’agît d’un retour en arrière, comme c’était le cas sous les architectures NT4 avec les PDC et BDC. Non ! Nous restons bien sur une architecture multi maîtres avec une option de lecture seule pour certains DC si nous le souhaitons.

Cette nouveauté permet de répondre à une problématique de sécurité ou l’intégrité physique du DC dans une succursale par exemple, ne peut être assurée.  Ainsi notre contrôleur de domaine en lecture seule, disposera d’une base de données Active Directory non modifiable. La réplication se fera donc de manière unidirectionnelle depuis un DC dit complet ou normal. Ce qui implique que pour mettre en place un RODC il faut au moins disposer d’un DC complet pour le domaine donné.

Voyons ce qu’il se passe dans l’assistant si au moment de choisir les options pour votre DC vous cochez la case « Contrôleur en lecture seule (RODC) ».

Mise en cache des identifiants

L’objectif principal du RODC étant d’assurer un haut niveau de sécurité, par défaut aucun mot de passe utilisateurs et ordinateurs ne vont être répliqués en local. Ainsi lors de la première connexion le RODC va devoir contacter un DC complet afin de récupérer le mot de passe pour identifier la personne. Si le compte est autorisé dans la stratégie de réplication alors son mot de passe sera mis en cache, sinon la demande sera faite à chaque ouverture de session.

L’idéal étant de n’autoriser que les comptes des utilisateurs du site à être répliqués. 

Séparation des rôles d’administration

Toujours dans la partie sécurité, vous devez définir un compte utilisateur ou un groupe (de préférence un groupe !) qui sera donc administrateur du nouveau DC.

En effet, ceci permet donc de séparer les rôles administrateur du domaine, et administrateur du RODC. Ce compte sera autorisé à effectuer l’installation et à assurer les tâches d’administration locale sans pour autant disposer d’autorisation sur le reste du domaine et ainsi sur les autres contrôleurs de domaine. 

Vérification du RODC

Une fois l’installation du RODC terminée, en lançant la console Utilisateurs et Ordinateurs AD, on peut constater que le nouveau compte d’ordinateur (SRV2) apparaît bien dans l’OU Domain Controllers. Dans la colonne Type de DC on peut bien lire : « Lecture seule ».

Dans les propriétés du compte d’ordinateur sur SRV2, on retrouve un onglet supplémentaire appelé « Stratégie de réplication de mot de passe ». Il permet de modifier la liste des mots de passes autorisés à être répliqués vers le RODC. 

Lors du lancement de la console Utilisateur et Ordinateur Active Directory, vous remarquerez que vous êtes bien en lecture seule, puisqu’il est impossible de créer de nouveaux objets et que les propriétés des objets existants sont grisées.

De plus si vous êtes sur le DC en accès écriture et que vous spécifiez dans la console celui en lecture seule, vous êtes prévenue par un message d’avertissement. 

DNS en lecture seule

Le service DNS est lui aussi uniquement disponible mais uniquement en lecture seule. Ce qui signifie que les clients ne peuvent pas directement créer d’enregistrement sur ce dernier. Comme vous pouvez le voir, les options dans les menus sont également grisées.

Utilisateurs et groupes dédiés

Pour finir avec la fonctionnalité de RODC, voici la liste des comptes et groupes utilisés dans le cadre des cette fonctionnalité. On retrouve notamment le compte « krbtgt_52735 » utilisé comme compte de service pour le centre de distribution de clés pour le RODC. En effet ce n’est pas le même compte qui est utilisé que pour les autres DC. Au niveau des groupes, on a deux groupes concernant la réplication des mots de passe, l’un autorisé, l’autre refusé.

Et enfin deux groupes contenant la liste des RODC du domaine et de la forêt