[Step By Step] Configuración de cacheo de credenciales en RODC en Windows Server 2008 R2

Hola Amigos! En esta oportunidad les traigo un artículo sobre como configurar el cacheo de credenciales en un RODC en Windows Server 2008 R2. Espero que les sea de utilidad!

Objetivo

El Objetivo del presente tutorial es detallar los pasos y requisitos necesarios para permitir el cacheo de credenciales en un Read Only Domain Controller.

Alcance

El Alcance  del presente tutorial es detallar los pasos y requisitos necesarios para permitir el cacheo de credenciales en un Read Only Domain Controller en Windows Server 2008 R2 en un ambiente single-forest/single-domain.

Introducción

En Active Directory Domain Services, los RODC tienen una base de datos de solo lectura la cual tiene una replicación unidireccional con los controladores de dominio grabables, es decir, que desde un RODC no se pueden efectuar cambios. Esta base de datos de solo lectura almacena TODOS los objetos del Dominio/bosque excepto las contraseñas de usuarios, maquinas o cuentas de servicio, lo cual no permite que los usuarios se autentiquen a través de un RODC, sino que este mismo tiene que re-direccionar la consulta a un Full DC.

Para permitir que los usuarios puedan autenticarse a través del RODC sin la necesidad de pasar a través de un Controlador de Dominio Grabable, se debe cachear la contraseña configurando la Política de Replicación de Contraseña (PRP).

En el presente tutorial se detalla la forma de efectuar este proceso.

Escenario

  • DCs
    • PDC01 (DC Grabable)
    • PDC03 (RODC)
    • Desktops
      • W701-PC
      • Usuarios de prueba
        • Prueba1
        • Prueba

Procedimiento a ejecutar

Para que un usuario pueda logearse en un RODC (sin necesidad de tener disponible un Controlador de Dominio grabable) deben ejecutarse la siguiente serie de pasos:

  • Configuración de placa de red de equipo cliente
  • Unión de usuario y cuenta de maquina al grupo Allowed RODC Password Replication Group
  • Pre-población de contraseña.

Configuración de placa de red de equipo cliente

Se debe configurar la placa de red en el equipo cliente: debe colocarse como servidor DNS primario al RODC del sitio.

Unión de usuario y cuenta de maquina al grupo “Allowed RODC Password Replication Group”

Debe unirse al grupo Allowed RODC Password Replication Group al equipo y el usuario del cual se desea cachear las contraseñas.

Pre-población de contraseña

Se debe generar la pre-población de la contraseña del equipo y usuario unidos previamente al grupo Allowed RODC Password Replication Group.

Pruebas de cacheo de credenciales

En base al procedimiento a ejecutar detallado, se generan 2 pruebas para comprobar el funcionamiento del cacheo de credenciales. Para ejecutar estas pruebas se creó el usuario Prueba1@madent.local y se preparó un equipo cliente llamado W701-PC donde no se ha autenticado este usuario.

Picture1

Prueba 1

  • Se une al grupo “Allowed RODC Password Replication Group” el usuario Prueba1 y al equipo W701-PC. Esta operación se efectúa en un Controlador de Dominio Grabable.

Picture2

  • En línea de comando se ejecuta el comando repadmin /syncall
  • Se apaga el controlador de dominio grabable.
  • Se enciende el equipo W701-PC
  • Se intenta logear con el usuario Prueba1 en el equipo W701-PC
  • Se visualiza el siguiente error.

Picture3

Este error se debe a que las contraseñas del usuario y de la cuenta de maquina no se encuentran cacheadas en el RODC. Para poder cachear las credenciales y poder autenticarnos en el RODC sin la existencia de un DC grabable en el sitio debe seguirse el procedimiento detallado en la prueba 2.

Prueba 2

  • Se une al grupo “Allowed RODC Password Replication Group” el usuario Prueba1 y al equipo W701-PC. Esta operación se efectúa en un Controlador de Dominio Grabable.

Picture4

  • Se realiza la pre-población de la contraseña de la cuenta el equipo W701-PC y las cuentas Prueba y Prueba1.
    • Ingresamos a las propiedades del RODC
    • Vamos a la parte de Password Replicaction Policy. Click en Advanced.
    • Click en “Prepopulate Passwords…

    Picture5

  • Se abrirá un cuadro de texto donde debemos agregar el equipo W701-PC

Picture6

  • El wizard nos pregunta si queremos enviar las passwords al RODC

Picture7

  • Se finaliza la Pre población.

Picture8

  • Realizamos los mismos pasos para las cuentas Prueba y Prueba1. Luego, realizamos la prepoblación (recordamos que la cuenta Prueba no fue agregada al grupo de seguridad “Allowed RODC Password Replication Group”)

Picture9

  • Se verifica un error en la prepoblación de la contraseña de la cuenta Prueba debido a que no ha sido agregada al grupo “Allowed RODC Password Replication Group”.

Picture10

  • Se apaga el controlador de dominio grabable.
  • Se enciende el equipo W701-PC
  • Se intenta autenticar con el usuario Prueba1 en el equipo W701-PC

Picture11

  • Se verifica exitosa la prueba.

Picture12

Picture13

  • Se verifica que el logonserver es el PDC03 (RODC)

Picture14

Fuentes

http://technet.microsoft.com/en-us/library/cc772234(v=ws.10).aspx

http://technet.microsoft.com/en-us/library/cc753459(WS.10).aspx

http://technet.microsoft.com/en-us/library/cc730883(v=ws.10).aspx

http://technet.microsoft.com/en-us/library/cc755310(v=ws.10).aspx

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.