Windows Server 2008 Sicherheit – Die technische Referenz - Gattner

Schreibgeschützte Domänencontroller 257
anderen beschreibbaren DNS-Server zurück. Der Client kann dann versuchen, seine Daten
bei diesem beschreibbaren DNS-Server zu aktualisieren. Im Hintergrund versucht der DNS-
Server auf dem RODC, den aktualisierten Eintrag vom DNS-Server zu replizieren, der die
Aktualisierung vorgenommen hat. Diese Replikationsanforderung betrifft nur ein einziges
Objekt (den DNS-Eintrag), während dieser speziellen Replikationsanforderung nach einem
einzigen Objekt wird nicht die gesamte Liste der geänderten Zonen- oder Domänendaten
repliziert.
Mehrstufige Installation für schreibgeschützte Domänencontroller
Manchmal ist es sehr nützlich, wenn die Installation in zwei Schritten durchgeführt werden
kann. Wenn Sie den RODC erstellen, können Sie die Installation und Administration des
RODCs entweder an eine Sicherheitsgruppe oder einen Benutzer delegieren. Der erste
Schritt muss von einem Mitglied der Gruppe Domänen-Admins erledigt werden, aber der
zweite Schritt kann von irgendjemanden durchgeführt werden, an den Sie diese Aufgabe im
Assistenten delegiert haben. Bezüglich der Sicherheit bedeutet das, dass Sie jegliche Konfiguration,
die Administratorprivilegien erfordert, erledigen können, bevor Sie den Hardwareserver
verschicken. So brauchen Sie den Server nicht inklusive vertraulicher Daten durch
die Welt zu schicken und auch keine vertraulichen Daten mit einem Kurierdienst getrennt zu
versenden. Klicken Sie dazu mit der rechten Maustaste auf die Organisationseinheit des
Domänencontrollers oder öffnen Sie das Menü Aktion und wählen Sie dann Konto für
schreibgeschützten Domänencontroller vorbereiten. Ich empfehle, dass Sie den zweiten
Schritt der Installation an eine Gruppe delegieren. Das erleichtert auf lange Sicht den Verwaltungsaufwand.
Wenn Sie den AD DS-Installationsassistenten ausführen, finden Sie ein neues Kontrollkästchen
auf der Willkommen-Seite, mit dem Sie den erweiterten Modus direkt im Assistenten
aktivieren können. Die frühere Methode, den Befehl dcpromo /adv auszuführen, steht aber
auch weiterhin zur Verfügung. Im erweiterten Modus stehen zusätzliche Konfigurationsoptionen
zur Verfügung, zum Beispiel die mehrstufige Installation eines RODCs. Sie können
jeden Schritt im Assistenten zum Installieren von Active Directory-Domänendiensten abschließen.
Im ersten Schritt der Installation erstellen Sie ein Konto für den RODC in AD DS. Die zweite
Phase der Installation verbindet den Server, der später ein RODC wird, mit dem Konto, das
vorher dafür erstellt wurde. Während der ersten Phase sammelt der Assistent alle Daten über
den RODC, die in der Active Directory-Datenbank gespeichert werden, zum Beispiel den
Kontonamen des Domänencontrollers und den Standort, in dem er bereitgestellt wird. Wenn
Sie das RODC-Konto anlegen, können Sie auch angeben, welche Benutzer oder Gruppen
die nächste Phase der Installation durchführen dürfen. Diese nächste Phase kann in einem
anderen Standort durchgeführt werden, zum Beispiel in der Zweigstelle, und zwar von jedem
Benutzer oder jeder Gruppe, an die Sie das Recht delegieren, die Installation abzuschließen.
Dieser Benutzer oder diese Gruppe schließen die Installation ab, indem er oder
sie den Befehl dcpromo.exe /UseExistingAccount:Attach ausführt. Damit wird der Server mit
dem vorher erstellten RODC-Konto verbunden. Falls Sie kein Konto angegeben haben, das
die Installation abschließen und den RODC administrieren darf, kann der zweite Schritt nur
von einem Benutzer erledigt werden, der Mitglied der Gruppen Domänen-Admins oder
Organisations-Admins ist. Die zweite Phase der Installation installiert AD DS auf dem neuen
RODC-Server. Alle AD DS-Daten, die lokal abgelegt sind, zum Beispiel Protokolldateien