MISE EN PLACE D’UN CONTROLEUR DE

DOMAINE NE LECTURE SEULE (RODC)

PLAN :
I. PREREQUIS
II. CONFIGURATION DES SITES
III. ARCHITECTURE
IV. IMPLEMENTATION
V. DEMONSTRATION D’ADMINISTRATION
D’UN CONTRÔLE DE DOMAINE

Réalisé par : Ibrahima Fall

ENCADREUR : Mr Xavier Diop

 I. PREREQUIS

Le contrôleur de domaine en lecture seul contrairement au contrôleur secondaire

NT4 ne contient qu’une partie de l’annuaire et ne peut devenir un contrôleur de
domaine en lecture-écriture lorsque ce dernier est en panne. Le RODC est une
alternative de sécurité afin de gérer des sites distants faiblement sécurisés. Le
RODC ne peut valider les mots de passe que d’un certain nombre de comptes. Ces
comptes sont identifiables, il est donc possible de modifier les mots en passe de ces
utilisateurs en cas de corruption.

Pour installer un contrôleur de domaine en lecture seule :

- Le niveau fonctionnel de la forêt doit être supérieur à 2003

- Au moins un contrôleur de domaine avec Windows 2008 ou supérieur

- Active Directory doit être préparé pour les contrôleurs de domaine en

lecture seule (l’assistant AD exécute automatiquement la mise à jour si elle n’a pas
été faites à l’avance, mais attention à la latence de réplication dans un
environnement multi-site).

Pour notre exposé ADDS01 est un contrôleur de domaine en lecture-écriture,

installé en mode graphique. Nous allons installer SVR0 en tant que RODC sur
un site distant. SVR0 est installé en mode « server », nous effectuerons toutes
les étapes de configurations depuis le gestionnaire de serveur sur ADDS01. Une
adresse IP fixe a été attribuée sur SVR0 et il est membre du domaine.

II. CONFIGURATION DES SITES

Pour information, nous avons au préalable créé 2 sites (DAKAR et THIES) et

configuré les sous réseaux.
Le site principal porte le nom de « DAKAR » et correspond au LAN : 192.168.1.0
et masque 255.255 .255.0 appartenant au réseau 192.168.1.0 et au masque
255.255.255.0 .
 Le 2ème site « THIES » n’a pour l’instant pas de contrôleur de domaine et
correspond au LAN :192.168.1.128 et masque 255.255.255.0 appartenant au réseau
192.168.1.0 et de masque 255.255.255.0 .

III. ARCHITECTURE

IV. IMPLEMENTATION
La première étape consiste à ajouter le rôle AD DS sur le server SRV0:

L’installation du rôle est identique à un contrôleur de domaine standard, l’option de

lecture seule est faite au moment de sa configuration.

Sur les serveurs où va être installé le rôle, ouvrir le gestionnaire de serveur et cliquer sur
Ajouter des rôles et des fonctionnalités
Sélectionner Installation basée sur un rôle ou une fonctionnalité et cliquer sur Suivant
Choisir le serveur où le rôle AD DS va être installé et cliquer sur Suivant
Dans la liste des rôles, cocher la case Service AD DS

Passer la liste des fonctionnalités en cliquant sur Suivant .

Un résumé du rôle AD DS s’affiche, cliquer sur Suivant

Confirmer l’installation en cliquant sur Installer .

Patienter pendant l’installation du rôle AD DS …

L’installation terminée, quitter l’assistant en cliquant sur Fermer .

Configuration du contrôleur de domaine en
lecture seul (RODC)

Maintenant le rôle contrôleur de domaine est installé sur le serveur, il faut le promouvoir
contrôleur du domaine, c’est dans cette partie que nous allons indiquer qu’il est RODC.

Depuis le gestionnaire de serveur, cliquer sur l’icône de notification 1 et cliquer sur

Promouvoir ce serveur en contrôleur de domaine 2

o Sélectionner l’option Ajouter un contrôleur de domaine à un domaine existant 1,

entrer le nom du domaine 2, indiquer un compte membre du groupe Admins du
domaine 3 et cliquer sur Suivant 4
Cocher la case Contrôleur de domaine en lecture seule (RODC) , indiquer le site où est
installé le serveur , entrer un mot de passe de récupération et cliquer sur Suivant .
A ce moment de la configuration, il faut indiquer les éléments dont les mots de passe
sont répliqués sur ce contrôleur, par défaut un groupe nommer « Groupe de réplication
dont le mot de passe RODC est autorisé » est créé dans lequel on va mettre les
utilisateurs que l’on souhaite répliquer le mot de passe. Dans ce lab, j’ai laissé ce groupe.
En production si vous avez plusieurs sites distants et donc plusieurs contrôleurs RODC, il
faudra créer un groupe par site. Il est inutile de répliquer les mots de passe des
utilisateurs du site B sur le site C par exemple. Il est aussi possible d’indiquer des objets
(utilisateurs ou groupes) dont on ne souhaite pas répliquer le mot de passe comme par
exemple les comptes administrateurs, ceci renforce la sécurité en cas où le contrôleur
RODC serait compromis. Cliquer sur Suivant pour valider les options
Passer les options supplémentaires en cliquant sur Suivant 1.

Si vous le souhaitez changer l’emplacement des dossiers, sinon cliquer sur Suivant 1.
Valider les options en cliquant sur Suivant 1.

Les tests validés, cliquer sur Installer 1.

IV . DEMONSTRATION D’ADMINISTRATION
D’UN CONTRÔLE DE DOMAINE

Dans cette partie, nous allons voir comment administrateur le contrôleur RODC.

Sur un contrôleur « normal », ouvrir la console Utilisateur et ordinateur Active Directory,

aller sur OU Domain Contrôleurs et ouvrir les propriétés du contrôleur RODC.

 NB : Le SRV01 EST UN SERVER DIFFERENT DE SRV0

Dans les propriétés aller sur l’onglet Stratégie de réplication de mot de passe 1. Depuis
cette partie, on peut voir les groupes Autorisés et Refusés. Cliquer sur le bouton Avancé 2
Sur cette fenêtre, il est possible de voir les objets dont le mot de passe est répliqué et
aussi les utilisateurs ayant une session ouverte sur le contrôleur en changeant le
sélecteur.
Maintenant nous allons voir comment ajouter un utilisateur au groupe autorisé à
répliquer les mots de passe et le préremplir. Ajouter un utilisateur au groupe « Groupe de
réplication dont le mot de passe RODC est autorisé ».
Retourner sur les propriétés avancés du controleur RODC et cliquer sur Préremplir les
mots de passe

Sélectionner l’utilisateur qui vient d’être ajouté au groupe et cliquer sur OK

Confirmer l’action en cliquant sur Oui

Fermer le message de confirmation en cliquant sur OK

L’utilisateur est ajouté aux comptes qui ont le mot de passe répliqué.