04.08.2022
1851
5
0Neuer Server soll RODC werden und kann nur offline der Domäne beitreten
Hallo zusammen,
Ich habe einen neu aufgesetzten Windows 2019 Server, der (noch) nicht Domänenmitglied ist. Dieser soll ein RODC werden. Wegen der Sicherheitsbeschränkungen innerhalb des Netzwerks funktioniert ein normaler Domänen-join nicht. Bei einem normalen Server würde ich das mittels Offline Domain Join lösen, z.B. so:
Die Anleitungen zu einrichten eines RODCs gehen aber so vor, dass das Domänenkonto zuerst auf dem DC in der Domänencontroller-OU "vorbereitet" wird und anschließend vom Server aus, der noch nicht in der Domäne ist per Assistent bzw. dcpromo online verknüpft wird. Offline beisst sich das, da das Domänenkonto des Servers einmal von djoin und einmal von RODC-VorbereitungsAssistenten "Konto für
den Schreibgeschützten Domaincontroller vorbereiten". Zu folgenden denkbaren Lösungen finde ich aber keine Dokumentation oder Diskussion in der Suchmaschine meiner Wahl:
Variante 1:
Man könnte das RODC-Konto auf dem DC "vorbereiten" und anschließend djoin /provision mit dem Schalter /reuse verwenden (ohne reuse schlägt der Befehl fehl).
Frage: funktioniert das und hätte das reuse unerwünschte Nebeneffekte?
Variante 2:
Man könnte den Server zuerst per herkömmlichen djoin offline in die Domäne aufnehmen. Anschließend die AD DS Nachkonfigurationsaufgaben ausführen und den Server als RODC einrichten. Geht das - beschrieben wird das eigentlich nicht so mit einem hochstufen zum (RO)DC wenn der Server bereits Domänenmitglied ist? Und muss das Konto vorher zwingend "vorbereitet werden" - oder ist das optional.
Oder geht das einfach nicht?
Grüße
lcer
Ich habe einen neu aufgesetzten Windows 2019 Server, der (noch) nicht Domänenmitglied ist. Dieser soll ein RODC werden. Wegen der Sicherheitsbeschränkungen innerhalb des Netzwerks funktioniert ein normaler Domänen-join nicht. Bei einem normalen Server würde ich das mittels Offline Domain Join lösen, z.B. so:
djoin /provision /domain "test.lokal.de" /machine "Server" /savefile server1.txt
und
djoin /requestodj /loadfile c:\tmp\server1.txt /windowspath c:\windows /localosDie Anleitungen zu einrichten eines RODCs gehen aber so vor, dass das Domänenkonto zuerst auf dem DC in der Domänencontroller-OU "vorbereitet" wird und anschließend vom Server aus, der noch nicht in der Domäne ist per Assistent bzw. dcpromo online verknüpft wird. Offline beisst sich das, da das Domänenkonto des Servers einmal von djoin und einmal von RODC-VorbereitungsAssistenten "Konto für
den Schreibgeschützten Domaincontroller vorbereiten". Zu folgenden denkbaren Lösungen finde ich aber keine Dokumentation oder Diskussion in der Suchmaschine meiner Wahl:
Variante 1:
Man könnte das RODC-Konto auf dem DC "vorbereiten" und anschließend djoin /provision mit dem Schalter /reuse verwenden (ohne reuse schlägt der Befehl fehl).
Frage: funktioniert das und hätte das reuse unerwünschte Nebeneffekte?
Variante 2:
Man könnte den Server zuerst per herkömmlichen djoin offline in die Domäne aufnehmen. Anschließend die AD DS Nachkonfigurationsaufgaben ausführen und den Server als RODC einrichten. Geht das - beschrieben wird das eigentlich nicht so mit einem hochstufen zum (RO)DC wenn der Server bereits Domänenmitglied ist? Und muss das Konto vorher zwingend "vorbereitet werden" - oder ist das optional.
Oder geht das einfach nicht?
Grüße
lcer
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3541691596
Url: https://administrator.de/forum/neuer-server-soll-rodc-werden-und-kann-nur-offline-der-domaene-beitreten-3541691596.html
Ausgedruckt am: 27.07.2025 um 03:07 Uhr
5 Kommentare
Neuester Kommentar
Moin,
Was hast du denn vor ? Du schreibst was von Sicherheitbeschränkungen im Netzwerk. Was willst du erreichen bzw. was ist dien Ziel mit dieser RODC Konfiguration ?
Kurze Rückfrage: Hat der RODC denn später überhaupt eine Verbindung zu einem DC ? bzw. ggf auch zum einem Globalcatalog Server ?
Wenn der RODC keine Verbindung zu einem DC hat was ja, so wie ich es verstehe, das Problem ist mit dem Domainjoin wie soll der RODC dann seine Daten ( User / Gruppen / Kennwörter / Sperrlisten bzw. Sperrinformationen ) bekommen ?
Normalerweise setze ich ein RODC in eine DMZ oder benutze Ihn als Auth.Quelle bzw. Authentifiziere mich aus der DMZ ( als BSP ) gegen den RODC damit hier keiner den DC direkt erreichen bzw. angreifen kann. Eventuell steh ich auch gerade einfach, anhand deiner Frage, auf dem Schlauch.
Was ggf. eine Möglichkeit ist wenn aus der DMZ oder wo auch immer der RODC steht keinen DC erreich kann/darf wäre VPN eine Option wenn der Server denn überhaupt am Netzwerk hängt. VM Client ( den WIndows Standard nehmen denn der müsste auch auf dem Server vorhanden sein ) und ein VPN aufbauen. FW so Konfigurieren das der RODC nur über VPN auf bestimmte DC´s und Ports zugreifen darf. Der Vorteil wäre hierbei das der RODC sich alle benötigten Daten ziehen kann die er SPÄTER dann für den Betrieb braucht. Danach kannst du ja das VPN beenden und wenn Aktualisierungen vorhanden sind regelmäßig wieder aktivieren....
Was hast du denn vor ? Du schreibst was von Sicherheitbeschränkungen im Netzwerk. Was willst du erreichen bzw. was ist dien Ziel mit dieser RODC Konfiguration ?
Kurze Rückfrage: Hat der RODC denn später überhaupt eine Verbindung zu einem DC ? bzw. ggf auch zum einem Globalcatalog Server ?
Wenn der RODC keine Verbindung zu einem DC hat was ja, so wie ich es verstehe, das Problem ist mit dem Domainjoin wie soll der RODC dann seine Daten ( User / Gruppen / Kennwörter / Sperrlisten bzw. Sperrinformationen ) bekommen ?
Normalerweise setze ich ein RODC in eine DMZ oder benutze Ihn als Auth.Quelle bzw. Authentifiziere mich aus der DMZ ( als BSP ) gegen den RODC damit hier keiner den DC direkt erreichen bzw. angreifen kann. Eventuell steh ich auch gerade einfach, anhand deiner Frage, auf dem Schlauch.
Was ggf. eine Möglichkeit ist wenn aus der DMZ oder wo auch immer der RODC steht keinen DC erreich kann/darf wäre VPN eine Option wenn der Server denn überhaupt am Netzwerk hängt. VM Client ( den WIndows Standard nehmen denn der müsste auch auf dem Server vorhanden sein ) und ein VPN aufbauen. FW so Konfigurieren das der RODC nur über VPN auf bestimmte DC´s und Ports zugreifen darf. Der Vorteil wäre hierbei das der RODC sich alle benötigten Daten ziehen kann die er SPÄTER dann für den Betrieb braucht. Danach kannst du ja das VPN beenden und wenn Aktualisierungen vorhanden sind regelmäßig wieder aktivieren....
Hallo,
also dass der RODC einen DC erreichen können muss, ist klar.
Das Problem ist die erforderliche Kerberos-Authentifizierung, da NTLM gesperrt ist. Diese ist nicht möglich, solange der Server nicht in der Domäne ist. Dieses Problem lässt sich bei normalen Member-Servern oder PCs umgehen, wenn man einen offline-Domänen-Join macht. Beim RODC funktioniert dieses Vorgehen aber scheinbar nicht, da djoin und dcpromo nicht parallel funktionieren.
Grüße
lcer
also dass der RODC einen DC erreichen können muss, ist klar.
Das Problem ist die erforderliche Kerberos-Authentifizierung, da NTLM gesperrt ist. Diese ist nicht möglich, solange der Server nicht in der Domäne ist. Dieses Problem lässt sich bei normalen Member-Servern oder PCs umgehen, wenn man einen offline-Domänen-Join macht. Beim RODC funktioniert dieses Vorgehen aber scheinbar nicht, da djoin und dcpromo nicht parallel funktionieren.
Grüße
lcer
Muss der DC ( egal ob DC od. RODC ) sich nicht generell mit Kerberos unterhalten?
DCPROMO und DCJOIN widersprechen sich ja eigentlich denn ein DC tritt ja nicht per DCJOIN bei sondern per DCPROMO so weit ich weiss geht nur entweder oder.
Wie sieht es mit der Temp.VPN Lösung aus welche ich oben vorgeschlagen hatte. das Kerberos wäre ja dann im Tunnel und nicht direkt. Sozusagen eine zusätzliche Schicht Sicherheit drum rum.
LG
DCPROMO und DCJOIN widersprechen sich ja eigentlich denn ein DC tritt ja nicht per DCJOIN bei sondern per DCPROMO so weit ich weiss geht nur entweder oder.
Wie sieht es mit der Temp.VPN Lösung aus welche ich oben vorgeschlagen hatte. das Kerberos wäre ja dann im Tunnel und nicht direkt. Sozusagen eine zusätzliche Schicht Sicherheit drum rum.
LG
Hallo,
Kerberos geht nicht, wenn einer der Verbindungspartner nicht Domänenmitglied ist. Ein Henne-Ei Problem.
Grüße
lcer
Kerberos geht nicht, wenn einer der Verbindungspartner nicht Domänenmitglied ist. Ein Henne-Ei Problem.
Grüße
lcer
Ja aber du könntest doch auf dem Server eine VPN Verbindung aufbauen lassen ( natürlich die FW Richtig konfiguriert und angepasst etc.pp. ) und dann den DCPROMO Vorgang starten somit hättest du das ganze mit Offline Join und co gespart ?
Das Kerberos nur geht wenn Domainjoined ist auch klar.
Alternativ kannst du den Server nicht alternativ in einem anderen Netz aufsetzen und dann verschieben ?
Das Kerberos nur geht wenn Domainjoined ist auch klar.
Alternativ kannst du den Server nicht alternativ in einem anderen Netz aufsetzen und dann verschieben ?
