읽기 전용 도메인 컨트롤러(RODC) 이 기능은 Windows Server 2008에서 처음 도입되었습니다. RODC의 주요 목적은 ADDS 역할 서버를 물리적으로 보호하기 어려운 원격 지점 및 사무실에 자체 도메인 컨트롤러를 안전하게 설치하는 것입니다. RODC에는 Active Directory 데이터베이스의 읽기 전용 복사본이 포함되어 있습니다. 이는 도메인 컨트롤러 호스트에 물리적으로 액세스할 수 있는 경우에도 아무도 AD의 데이터(도메인 관리자 암호 재설정 포함)를 변경할 수 없음을 의미합니다.
이 기사에서는 Windows Server 2022/2019를 기반으로 하는 새로운 읽기 전용 도메인 컨트롤러를 설치하는 방법과 관리 방법을 살펴보겠습니다.
Active Directory의 RODC(읽기 전용 도메인 컨트롤러)란 무엇입니까?
다음은 일반적인 읽기-쓰기 가능 도메인 컨트롤러(RWDC)와 RODC의 주요 차이점입니다. )
- RODC는 AD 데이터베이스의 읽기 전용 복사본을 유지 관리합니다. 따라서 이 도메인 컨트롤러의 클라이언트는 변경할 수 없습니다.
- RODC는 AD 데이터 및 SYSVOL 폴더를 다른 도메인 컨트롤러(RWDC)로 복제하지 않고 단방향 복제를 사용합니다.
- RODC는 AD 개체의 비밀번호 해시와 민감한 정보가 포함된 일부 기타 속성을 제외하고 AD 데이터베이스의 전체 복사본을 유지 관리합니다. 이 속성 집합을 필터링된 속성 집합(FAS)이라고 합니다. . ms-PKI-AccountCredentials, ms-FVE-RecoveryPassword, ms-PKI-DPAPIMasterKeys 등과 같은 속성이 여기에 포함됩니다. LAPS를 사용할 때 ms-MCS-AdmPwd 속성에 일반 텍스트로 저장된 컴퓨터 비밀번호와 같은 다른 속성을 이 세트에 추가할 수 있습니다.
- RODC가 사용자로부터 인증 요청을 받으면 요청을 RWDC로 전달합니다.
- RODC는 일부 사용자의 자격 증명을 캐시할 수 있습니다(RWDC에 대한 연결이 없는 경우에도 인증 속도를 높이고 사용자가 도메인 컨트롤러에서 인증할 수 있음).
- 관리자가 아닌 사용자에게 RODC에 대한 관리 및 RDP 액세스를 제공할 수 있습니다(예:분기 SysOps의 경우).
- RODC의 DNS 서비스가 읽기 전용 모드입니다.
읽기 전용 도메인 컨트롤러를 배포하기 위한 요구 사항.
- 서버에 고정 IP를 할당해야 합니다.
- DC와 클라이언트 간에 트래픽을 전달하려면 Windows 방화벽을 비활성화하거나 올바르게 구성해야 합니다.
- 가장 가까운 RWDC를 DNS 서버로 지정해야 합니다.
- Windows Server Full GUI와 Windows Server Core 에디션 모두에 RODC를 설치할 수 있습니다.
- RODC를 RWDC와 동일한 AD 사이트에 배치하면 안 됩니다.
서버 관리자 GUI를 사용하여 RODC 설치
서버 관리자 콘솔을 열고 Active Directory 도메인 서비스를 추가합니다. 역할(모든 추가 구성 요소 및 관리 도구 설치에 동의).
새 DC에 대한 설정을 지정할 때 기존 도메인에 도메인 컨트롤러 추가 옵션에서 도메인 이름과 필요한 경우 도메인 관리자 권한이 있는 사용자 계정의 자격 증명을 지정합니다.
DNS 서버, GC(글로벌 카탈로그) 및 RODC 기능을 설치해야 함을 지정합니다. 그런 다음 새 컨트롤러가 위치할 사이트와 DSRM 모드에서 액세스하기 위한 암호를 선택합니다.
다음으로 도메인 컨트롤러에 대한 관리 액세스 권한을 위임할 사용자와 RODC에 대한 복제가 허용되거나 거부되는 암호를 가진 계정/그룹 목록을 지정해야 합니다(나중에 수행 가능).
모든 DC에서 AD 데이터베이스 데이터를 복제할 수 있도록 지정합니다.
복제 -> Any domain controller
그런 다음 NTDS 데이터베이스, 로그 및 SYSVOL 폴더에 대한 경로를 지정합니다(필요한 경우 나중에 다른 드라이브로 이동할 수 있음).
모든 옵션을 확인한 후 ADDS 역할을 설치할 수 있습니다.
또는 단계적을 사용하여 RODC를 배포할 수 있습니다. 특징. ADUC 콘솔에서 RODC 컴퓨터 계정을 미리 만들고 기본 설정으로 구성됩니다. 이렇게 하려면 도메인 컨트롤러를 마우스 오른쪽 버튼으로 클릭합니다. 컨테이너를 선택하고 읽기 전용 도메인 컨트롤러 계정 미리 만들기를 선택합니다. .
같은 이름의 서버에 ADDS 역할을 설치하면 다음 메시지가 나타납니다.
A Pre-created RODC account that matches the name of the target server exists in the directory. Choose whether to use this existing RODC account or reinstall this domain controller.
기존 RODC 계정 사용 선택 미리 생성된 RODC 개체를 사용하는 옵션입니다.
역할 설치를 완료하고 서버를 다시 시작하면 RODC 컨트롤러를 받게 됩니다. 도메인 컨트롤러의 상태를 확인할 수 있습니다.
ADUC 스냅인(dsa.msc )가 RODC에 연결되면 모든 새 AD 개체 만들기 버튼이 회색으로 표시됩니다. 또한 읽기 전용 도메인 컨트롤러에서 AD 개체의 특성을 변경할 수 없습니다. 검색을 포함한 Active Directory 콘솔의 다른 모든 작업은 평소와 같이 작동합니다.
PowerShell을 사용하여 Windows Server 읽기 전용 DC 배포
PowerShell을 사용하여 새 RODC를 배포하려면 ADDS 역할과 PowerShell ADDS 모듈을 설치해야 합니다.
Add-WindowsFeature AD-Domain-Services,RSAT-AD-AdminCenter,RSAT-ADDS-Tools
이제 RODC를 설치할 수 있습니다.
Install-ADDSDomainController -ReadOnlyReplica -DomainName woshub.com -SiteName MUN_Branch1_RO_Site -InstallDns:$true -NoGlobalCatalog:$false
설치가 끝나면 cmdlet은 서버를 다시 시작하라는 메시지를 표시합니다.
Active Directory PowerShell 모듈에서 Get-ADDomainController cmdlet을 사용하여 도메인의 DC를 나열합니다.
Get-ADDomainController -Filter * | Select-Object Name,IsReadOnly
읽기 전용 도메인 컨트롤러의 IsReadOnly 특성 값은 True여야 합니다.
도메인의 모든 RODC를 나열하려면 다음을 실행하십시오.
Get-ADDomainController –filter {IsReadOnly –eq $true}
먼저 도메인 RODC 계정을 미리 생성하려면(단계적 배포) 다음 명령을 사용합니다.
Add-ADDSReadOnlyDomainControllerAccount -DomainControllerAccountName MUN-RODC01 -DomainName woshub.com -DelegatedAdministratorAccountName "woshub\mbak" -SiteName MUN_Branch1_RO_Site
Windows Server 호스트를 DC로 승격할 때 다음 명령을 사용하십시오.
Install-ADDSDomainController -DomainName woshub.com -Credential (Get-Credential) -LogPath "C:\Windows\NTDS" -SYSVOLPath "C:\Windows\SYSVOL" -ReplicationSourceDC "MUN-DC01.woshub.com" – UseExistingAccount
RODC 비밀번호 복제 정책 및 자격 증명 캐싱
각 RODC에서 암호 해시가 이 도메인 컨트롤러에 복제하도록 허용되거나 거부되는 사용자, 컴퓨터 및 서버 목록을 지정할 수 있습니다.
RODC 캐시에 암호가 저장된 모든 컴퓨터, 사용자 및 서버는 RWDC에 대한 연결이 없는 경우에도 이 도메인 컨트롤러에 인증할 수 있습니다.기본적으로 두 개의 새 글로벌 그룹이 도메인에 생성됩니다.
- 허용된 RODC 암호 복제 그룹
- 거부된 RODC 비밀번호 복제 그룹
기본적으로 첫 번째 그룹은 비어 있고 두 번째 그룹에는 권한 있는 보안 그룹이 포함되어 있습니다. 이 그룹의 암호는 손상되지 않도록 RODC에서 복제하거나 캐시할 수 없습니다. 기본적으로 다음 그룹이 여기에 포함됩니다.
- 그룹 정책 작성자 소유자
- 도메인 관리자
- 인증 발행인
- 엔터프라이즈 관리자
- 스키마 관리자
- 계정 krbtgt
- 계정 운영자
- 서버 운영자
- 백업 운영자
RODC 암호 복제 허용 그룹에는 일반적으로 RODC가 있는 지점의 사용자가 포함됩니다.
도메인에 여러 RODC를 배포하는 경우 각 RODC에 대해 이러한 그룹을 만드는 것이 가장 좋습니다. 비밀번호 복제 정책 에서 그룹을 RODC에 바인딩할 수 있습니다. ADUC 콘솔의 서버 속성 섹션 탭.
RODC_name에 대한 고급 비밀번호 복제 정책 , 다음을 볼 수 있습니다.
- 이 읽기 전용 도메인 컨트롤러에 비밀번호가 저장된 계정 – 이 RODC에 암호가 캐시된 사용자 및 컴퓨터 목록
- 이 읽기 전용 DC에 인증된 계정 – 현재 이 읽기 전용 도메인 컨트롤러로 인증된 사용자 및 컴퓨터 목록
결과 정책 탭에서 사용자 계정을 선택하고 해당 암호가 RODC에 캐시되는지 확인할 수 있습니다.
PowerShell을 사용하여 RODC 그룹을 관리할 수 있습니다. AD 그룹의 사용자 나열:
Get-ADGroupMember -Identity "Denied RODC Password Replication Group" | ft Name, ObjectClass
특정 Active Directory 조직 구성 단위(OU)에서 활성화된 모든 사용자를 RODC 그룹에 추가:
Get-ADUser -SearchBase 'OU=MUN_Branch1,DC=woshub,DC=com' -Filter {Enabled -eq "True"} | ForEach-Object {Add-ADGroupMember -Identity 'Allowed RODC Password Replication Group' -Members $_ -Confirm:$false }
OU에서 RODC로 사용자 암호 캐시를 미리 채우려면 다음 PowerShell 스크립트를 사용하십시오.
$usrs = Get-ADUser -SearchBase 'OU= MUN_Branch1,DC=woshub,DC=com' -Filter {Enabled -eq "True"}
foreach ($usr in $usrs) {
Get-ADObject -identity $usr | Sync-ADObject -Source MUN-DC01 ‑Destination MUN-RODC1 -PasswordOnly
}
RODC 캐시에 비밀번호가 있는 사용자 및 컴퓨터를 나열할 수 있습니다.
Get-ADDomainControllerPasswordReplicationPolicyUsage -Identity MUN-RODC1 ‑RevealedAccounts
RODC 캐시에서 특정 사용자의 암호를 제거할 수 없습니다. 그러나 ADUC 스냅인이나 Set-ADAccountPassword PowerShell cmdlet을 사용하여 사용자 암호를 재설정하여 이 캐시를 무효화할 수 있습니다.