Yaks, disini saya akan sedikit membagikan mengenai step by step implementasi RODC pada Existing environment
AD Windows Server 2003, sebagian rekan-rekan di wss-id mungkin sebelumnya telah menjelaskan secara teori mengenai RODC
Saya akan sedikit memberikan cara implementasinya, Sebelumnya saya akan memberikan sedikit review kembali mengenai RODC sendiri.
Read Only Domain Controller merupakan fitur baru dalam Windows Server 2008, DC yang hanya bisa dibaca tanpa kita bisa melakukan
perubahan dalam Domain Controller tersebut.
Adapun beberapa kelebihan RODC
1. Read Only AD Database, database dalam AD hanya bisa kita bisa baca atau lihat tanpa kita bisa melakukan perubahan
sehingga dapan mencegah kerusakan DC yang dicabang tersebar dalam satu forest.
2. Unidirectional Replication, penyebaran replikasi data dari pusat ke cabang-cabang(semua cabang yang ada RODC bukan
ADC(Addtional Domain Controller) ini bisa menghemat bandwidth karena yang bisa melakukan perubahan hanya dari pusat
dan disebarkan ke cabang-cabangnya dan tidak bisa sebaliknya sehingga replikasi hanya terjadi satu arah dan menghemat bandwitdh.
3. Credential Caching( bisa menyimpan credential), ketika WAN Failure atau koneksi ke cabang sedang tidak bagus,
user-user pada cabang bisa tetap login ke domain.
4. Administrator Role Separation (pemisahan Administrator Lokal dan Domain), kita bisa memisahkan membuat administrator local
untuk RODC karena pada saat kita pertama kali menjadikan WIndows Server 2008 sebagai RODC maka kita tidak mempunyai admin
lokal untuk server tersebut. Kita bisa membuat account domain kita menjadi Admin lokal RODC dan account tersebut tidak bisa
melakukan perubahan dalam DC.
5. Read Only Domain Name System(DNS yang hanyabisa kita baca), ketika kita menginstall DNS Server pada RODC, DNS nya juga
hanya bisa kita baca saja tanpa bisa kita melakukan perubahan.
Beberapa pertimbangan dan prasyarat sebelum kita menyebarkan RODC dalam satu forest :
1. PDC Emulator (salah satu operations master), DC yang memegang PDC Emulator dalam satu domain harus berjalan pada Windows
Server 2008 DC, karena dibutuhkan pada saat kita akan membuat krbtgt yang baru untuk RODC.
2. Global Catalog, apabila ada outlook klien pada RODC di kantor cabang, maka RODC harus sebagai global catalog.
Apabila tidak ada outlook klien, sebaiknya jangan dibuat sebagai global catalog karena akan terjadi replikasi tambahan,
karena akan terjadi replikasi tambahan secara otomatis.
3. Universal group membership caching. Fitur ini secara otomatis akan berjalan dalam sebuah site yang ada RODC nya.
4. Domain Functional Level, Domain Functional Level harus berjalan pada Windows Server 2003 agar terdapat delegasi untuk kerberos.
5. Forest Functional Level. Forest Functional Level harus Windows Server 2003 agar terdapat jalur untuk replikasi.
Ini bisa menyediakan tingkat replikasi yang lebih baik dibandingkan dengan Windows Server 2000.
6. Authentication Request. RODC perlu untuk meneruskan permintaan untuk authentikasi ke global catalog terdekat pada site
yang berjalan pada Windows Server 2008.
7. Schema Modification. kita harus menjalankan rodc preparatin (adprep.exe /rodcprep) dalam forest untuk meng-update permission
ke semua DNS application dalam satu forest, disini semua RODC yang juga DNS Server bisa replikasi permission secara tepat.
8. Multiple RODCs, didalam satu domain dan satu site yang sama tidak boleh ada lebih dari 1 RODC, dikarenakan mereka tidak bisa
melakukan perubahan antar masing-masing DC, sehingga harus ada 1 DC yang bisa ditulis(writeable DC)
Disini ada beberapa tahapan untuk implementasi RODC pada Active Directory 2003
a. Installasi Windows Server 2008 dan jadikan member domain dari AD Windows Server 2003(untuk dijadikan sebagai Additional
Domain Controller)
b. Naikkan Domain Functional Level, Forest Functional level dan lakukan Forest preparation dan Domain prepartion(untuk menjadikan
Windows Server 2008 sebagai ADC), kemudian jadikan Addtional Domain Controller(karena untuk menjadikan RODC dalam satu domain
harus ada minimal 1(satu) DC 2008 yang writeable)
c. Installasi WIndows Server 2008 dan jadikan member domain dari Windows Server 2003( untuk dijadikan sebagai RODC).
catatan : akan lebih baik lagi, ketika kita bisa deploy RODC yang terinstall dalam Server Core.
Untuk configurasi lebih lengkapnya bisa download disini.
http://wss-id.org/files/folders/bobbyprimasta/entry7957.aspx
Semoga Membantu.
Terima Kasih.