RODC: partie 1 - Présentation

Envoyer

Sommaire

 

 

Introduction

RODC fait partie des grandes nouveautés qui sont apparues avec la version de Windows Server 2008 et a fait l’objet d’une grande curiosité. D’un premier abord, RODC est un sujet piège car relativement simple à maîtriser et sans réelle complexité. Nous avons donc décidé de traiter le sujet de manière exhaustive.

Nous allons voir en détail dans une série de quatres articles ce que peut nous apporter cette fonctionnalité et les étapes de réalisation. Les deux articles disponibles sur Technet AD DS: Read-Only Domain Controllers et Read-Only Domain Controllers Step-by-Step Guide en seront la pierre angulaire. Ce premier article est consacré à la présentation de la fonctionnalité.

 

 

Présentation

Un contrôleur de domaine Active Directory travaille, et cela en tout logique, à partir d’une base de données qui est constituée de partitions d’annuaire. De façon simplifiée, chaque contrôleur dispose d’un accès en lecture/écriture leur permettant de lire, écrire ou modifier toute type d’information et de les répliquer sur leurs pairs. La particularité principale du contrôleur de domaine en lecture seule est, comme son nom l’indique, d’avoir simplement un accès en lecture seule à la quasi-totalité de la base (en quasi-totalité car nous verrons plus loin que certaines données sensibles ne sont pas répliquées sur le RODC). Si nous ouvrons par exemple la console « Utilisateurs et ordinateurs Active Directory » à partir d'un RODC et que nous accédons aux propriétés d’un utilisateur, nous n’avons pas la possibilité d’ajouter ou de modifier des données mais seulement de les visualiser.

 

 

 

 

 

 

 

 

 

Si la zone DNS est intégrée à Active Directory, elle est soumise aux mêmes contraintes que le reste des données de l’annuaire. Elle n’est accessible qu'en lecture seule depuis le RODC. Ci-dessous vous pouvez voir que toutes les fonctions de création ou de modification sont grisées depuis la console « gestionnaire DNS » à partir d’un RODC.

 

 

 

 

 

 

 

 

 

Ne pouvant ajouter ou modifier des données de l’annuaire depuis un RODC, la réplication se réalise uniquement d’un contrôleur de domaine accessible en écriture vers un RODC et est donc unidirectionnelle. Dans l’exemple suivant, nous voyons depuis la console « Sites et services Active Directory » que seul le contrôleur de domaine accessible en écriture (SRVAD) est défini comme partenaire de réplication pour le contrôleur de domaine en lecture seule (RODC) et pas l'inverse.

 

 

 

 

 

 

 

Les fonctionnalités avancées

Les fonctionnalités spécifiques du RODC qui attirent notre attention sont :

  • La stratégie de réplication de mot de passe: Appelé communément PRP pour Password Replication Policy, cette fonctionnalité vous permettra de définir les comptes dont les mots de passe seront mis en cache sur le RODC. Cela permettra dans un premier temps d’éviter de stocker sur le RODC les mots de passe des comptes sensibles. Dans un second temps, vous éviterez de faire transiter les requêtes d’authentification vers un contrôleur de domaine accessible en écriture pour les comptes où la mise en cache sera autorisée et de ce fait, le RODC assurera l’authentification des utilisateurs même en cas de rupture de vos liaisons WAN. Enfin si le RODC est volé il suffira simplement de réinitialiser les mots de passes des comptes utilisateurs concernés par cette stratégie.
  • Filtrage des attributs: les FAS pour Filtered Attribute Set correspondent à des attributs définis par défaut qui ne sont pas répliqués sur le RODC pour des raisons de sécurité. Il est par la suite possible de rajouter des attributs en fonction des besoins et des contraintes de sécurité se posant dans votre architecture. A noter que si vous envisagez l’utilisation des FAS et même en allant plus loin si vous désirez que cette fonctionnalité soit pleinement opérationnelle, il sera nécessaire de passer le niveau fonctionnel de votre forêt en 2008 et s’assurer que le maître de schéma est hébergé sur un 2008.
  • Délégation d’administration: L’ASR pour Adminitration Role Separation permet de déléguer l’administration du RODC à un utilisateur ou un groupe d’utilisateurs sans pour autant octroyer des droits sur le domaine. De façon simplifiée, cette délégation est assez similaire aux droits d’administrateur local que l’on peut trouver sur des ordinateurs ou serveurs membres du domaine.

 

Ces trois fonctionnalités sont vu en détail depuis les articles RODC: partie 3 - Configuration de PRP et RODC: partie 4 - Configuration de FAS et ARS.

 

 

En résumé

  • Un accès total en lecture seule à la base annuaire
  • Un accès en lecture seule de la zone DNS intégrée à Active Directory
  • Une mise en cache des informations d’authentification et filtrage des attributs
  • Une réplication unidirectionnelle
  • Une séparation des rôles administratifs

 

 

Cadre d’utilisation

Dans un grand nombre de structures constituées de plusieurs sites, la question de mettre en place un contrôleur de domaine sur les sites annexes peut se poser. Entre l’authentification et l’application de stratégies, les ouvertures de sessions peuvent être souvent longues car la bande passante est souvent limitée et peu optimisée pour ce type d’opération sans la mise en place d’un contrôleur de domaine.

D’un autre côté, la mise en place d’un contrôleur de domaine sur un site distant n’ayant pas à disposition de technicien à-même de le gérer ni d’un endroit approprié pour le stocker de manière sécurisée représentaient un réel frein. Il faut, en général, soit attendre que le site annexe prennent de l’ampleur ou que les utilisateurs fassent tout simplement contre mauvaise fortune bon cœur. Dans d’autres cas, certaines applications exigent d’être hébergées sur des contrôleurs et dans ce cas-là, c’est le service informatique qui fait contre mauvaise fortune bon cœur car malheureusement les contraintes fonctionnelles priment sur les contraintes de sécurité.

Une prise de conscience chez Microsoft de ces différents points a donc amené à la création de cette nouvelle fonctionnalité à partir de la version 2008 pour répondre aux besoins suscités que nous récapitulons:

  • Améliorer les performances sur les sites annexes (optimisation et limitation des flux inter-sites...)
  • Adapter la sécurité à la configuration des lieux (risques de sécurité réduits  au niveau physique et applicatif)
  • Limiter les tâches de gestion et d’administration (intervention limitée de façon ponctuelle et délégation spécifique)

Vous avez l'article Technet Deciding Which Type of Domain Controller Meets the Needs of a Branch Office Location pour appuyer le choix d’un déploiement d'un RODC.

 

 

Conclusion

Nous avons donc défini dans cette première partie et dans les grandes lignes la fonctionnalité RODC sur Windows Server 2008 et ce qu'elle peut vous apporter au sein de votre infrastructure. Si vous êtes intéressé par RODC, vous pouvez maintenant aller plus loin dans sa découverte et consulter l'article suivant RODC: partie 2 - Préparatifs et installation.

Mise à jour le Jeudi, 24 Mars 2011 09:35