Lektion 2: Konfigurieren von schreibgeschützten Domänencontrollern 253
Lektion 2: Konfigurieren von schreibgeschützten
Domänencontrollern
Mussten in einem Netzwerk Zweigstellen angebunden werden, stellte sich bisher eine Frage,
auf die es keine einfache Antwort gab: Wo stellen Sie Ihre Domänencontroller auf
? Eine
Zweigstelle ist üblicherweise mit einer WAN-Verbindung (Wide Area Network) an den zen-
tralen Standort angebunden. Sollten Sie einen Domänencontroller in der Zweigstelle betrei-
ben, damit die Anmeldung lokal erfolgt und sich die Benutzer nicht über das WAN authenti-
fizieren müssen? Ist das Personal in der Zweigstelle in der Lage, einen Domänencontroller
zu administrieren? Bietet eine Zweigstelle dieselbe physische Sicherheit wie der zentrale
Standort? Verbraucht Replikationsverkehr mehr Bandbreite als Authentifizierungsverkehr?
Windows Server 2008 nimmt dieses Problem in Angriff, indem es den schreibgeschützten
Domänencontroller (Read-Only Domain Controller, RODC) einführt. In dieser Lektion er-
kunden Sie, welche Probleme bei der Authentifizierung in Zweigstellen und dem Betrieb
von Domänencontrollern entstehen. Und Sie lernen, wie Sie einen Zweigstellen-RODC
implementieren und unterstützen.
Am Ende dieser Lektion werden Sie in der Lage sein, die folgenden Aufgaben auszuführen:
■ Beschreiben der Geschäftsanforderungen für RODCs
■ Installieren eines RODCs
■ Konfigurieren einer Kennwortreplikationsrichtlinie
■ Überwachen der Zwischenspeicherung von Anmeldeinformationen auf einem RODC
Veranschlagte Zeit für diese Lektion: 50 Minuten
Praxistipp
Empfohlene Vorgehensweisen (Best Practices) beruhigen oft die Nerven.
Sie sind nicht immer optimal für Ihre konkrete Situation, aber das ist seltener der Fall, als
viele glauben. (Wir alle sind überzeugt, unsere Netzwerke wären etwas ganz Besonderes.)
Sofern daher keine zwingenden Gründe dagegen sprechen, halten sich erfahrene Admi-
nistratoren meist an die empfohlenen Vorgehensweisen. Zynisch betrachtet (was ich oft
tue) haben Sie so eine gute Ausrede, falls etwas schiefgeht. Sie können dem Management
beweisen, dass Sie sich professionell verhalten haben und den empfohlenen Vorgehens-
weisen gefolgt sind: Da steht es Schwarz auf Weiß.
Im Lauf der Jahre haben ich viele Diskussionen über die Aufstellung von Domänencon-
trollern und andere Themen geführt, bei denen es keine Universallösung und keine emp-
fohlene Vorgehensweise gibt. Solche Diskussionen werden oft leidenschaftlich geführt,
weil alle Beteiligten Rückschläge erfahren haben. Der Geschäftsführer besucht eine
Zweigstelle und er braucht 5 Minuten, um sich anzumelden. Das ist mein Fehler. Ein
Domänencontroller in einer Zweigstelle fällt aus und niemand dort kann ihn wieder in
Betrieb nehmen. Auch daran bin ich schuld. Ich kann kein Dokument präsentieren, in
dem steht, dass ich das Richtige getan habe, dass ich der empfohlenen Vorgehensweise
gefolgt bin und dass es sich um eine Verkettung unglückseliger Umstände handelt.
Get Aktualisieren Ihrer MCSA/MCSE-Zertifizierung auf Windows Server 2008 MCTS - Original Microsoft Training für Examen 70-648 und 70-649 now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
