دامین کنترلر فقط خواندنی Read Only Domain Controller چیست؟

دامین کنترلر فقط خواندنی Read Only Domain Controller چیست؟، Read-Only Domain Controller (RODC) نوعی از دامین کنترل است که دارای پارتیشن های فقط خواندنی از پایگاه داده اکتیو دایرکتوری (Active Directory) است. RODC از ویندوز سرور 2008 به بعد ارائه شد.

دامین کنترلر فقط خواندنی Read Only Domain Controller چیست؟

فهرست مطالب

1. دامین کنترلر فقط خواندنی Read Only Domain Controller چیست؟
2. دلایل استفاده
3. ویژگی ها
4. نصب Read-Only Domain Controller

شرکت‌ها تمایل دارند Read-Only Domain Controller (RODC) را تحت دو شرایط مستقر کنند:

• زمانی که امنیت فیزیکی کافی برای مرکز داده وجود ندارد
• زمانی که پهنای باند کافی برای ایجاد اتصالات شبکه وجود ندارد

Read-Only Domain Controller (RODC) امنیت دامنه ( Domain ) را به ویژه در مورد دسترسی از راه دور به Active Directory Domain services ( AD DS ) افزایش می دهد.

به عنوان مثال، اگر یک شرکت نیاز به استقرار یک برنامه کاربردی حیاتی برای کسب و کار داشته باشد که فقط بر روی DC نصب می گردد، هر بار که یک کاربر راه دور سعی می کند به برنامه دسترسی پیدا کند، امنیت در خطر است. RODC در چنین سناریو هایی به کار می آید. از آنجایی که RODC فقط مجوز خواندن را دارد، اکتیودایرکتوری و Domain Controller شما از تغییرات تصادفی و عمدی در امان خواهد بود.

ویژگی های برجسته Read-Only Domain Controller (RODC)

• پایگاه داده فقط خواندنی Active Directory Domain Services ( AD DS ): RODC می تواند تمام اشیاء ( Objects ) و ویژگی های ( Attributes ) موجود در Domain Controller را به جز اعتبار حساب کاربری ها را در خود نگه دارد. اعتبار کاربر ( User Credentials ) تنها زمانی ذخیره می گردد که شما از RODC احراز هویت می نمایید
• جدا سازی نقش مدیر (Administrator): در RODC این امکان وجود دارد تا به یک کاربر برای انجام عملیات تعمیر و نگهداری مانند ارتقای سرور، امتیاز مدیر اعطا شود. با این وجود، این امتیاز مدیر اجازه هیچ تغییری در Domain Controller را نخواهد داشت و این قابلیت به مدیریت موثر RODC بدون به خطر انداختن امنیت Domain کمک خواهد نمود
• Replication به صورت یک طرفه: برای اینکه تغییرات ناخواسته در سایر Domain ها منعکس نگردد، باید اقدامات مناسبی انجام شود و این ارتباط یک طرفه در اینجاست که ایفای نقش می نماید و هیچگونه تغییراتی که در RODC انجام می پذیرد به سایر Domain ها در Forest اعمال نمی گردد و این ارتباط صرفاً یک طرفه است و تغییرات فقط از DC روی RODC اعمال خواهد گردید
• ذخیره Credential: به صورت پیش فرض، اعتبارنامه ( Credential) کاربران، کامپیوتر ها و اپلیکیشن ها در RODC ذخیره نمی گردد. اگر RODC درخواست یک کپی از این اعتبارنامه ها جهت لاکین سریعتر داشته باشد، سپس DC مربوطه با توجه به سیاست های رمزگذاری ( Password Replication Policy ) به آن RODC پاسخگو خواهد بود. و فقط زمانی اعتبارنامه ها در RODC ذخیره میگردد که این دسترسی از طریق سیاست های رمزگذاری ( PRP) داده شده باشد
• DNS های Read-Only: RODC همچنین امکان Name Resolution را فراهم می نماید. Read-Only DNS به واسطه RODC می تواند تمام پارتیشن های دایرکتوری برنامه را که DNS استفاده می نماید Replicate (تکرار) نماید. تنها محدودیتی که در این سرویس وجود دارد، به دلیل اینکه DNS فقط خواندنی است، به روزرسانی کاربران مستقیما پشتیبانی نمی گردد. هر بار که به روزرسانی کاربران وجود داشته باشد، این فرایند می بایست از طریق DNS در  Domain Controller انجام پذیرد

در مجموع استفاده از RODC امنیت Domain controller  را افزایش می دهد و دسترسی بهتر به منابع از یک مکان راه دور را فراهم می نماید. به منظور استفاده درست از عملکرد های RODC، پیشنهاد می گردد Forest Functional Level ویندوز سرور 2008 به بعد پیاده سازی گردد.

نصب Read-Only Domain Controller

جهت نصب Read-Only Domain Controller می بایست در Server Manager روی گزینه Manage رفته و سپس روی Add Roles and Features کلیک نماییم و تمامی مراحل نصب Role اکتیو دایرکتوری را که در قبل هم آموزش دادیم انجام می دهیم. پس از نصب Role اکتیو دایرکتوری مراحل پیاده سازی RODC را با انتخاب Promote this server to a domain controller ادامه می دهیم:

در صفحه باز شده گزینه Add a domain controller to an existing domain را انتخاب می کنیم چرا که قصد اضافه کردن یک Domain Controller را داریم. سپس در قسمت Domain می بایست Domain خود را وارد نماییم که در اینجا MSP.LOCAL می باشد. پس از انتخاب Domain از ما اعتبارنامه یا همان Credential مربوط به Domain را میخواهد که ما با وارد کردن کاربر Administrator مربوط به Domain Controller یا کاربری که سطح دسترسی برای نصب Domain Controller را داشته باشد می توانیم با زدن کلید Ok و سپس گزینه Next به مرحله بعدی برویم

در پنجره جدید DNS به صورت پیش فرض انتخاب شده و همچنین Global Catalog نیز انتخاب گردیده (همواره پیشنهاد می گردد که Global Catalog در حالت انتخاب شده باشد) همچنین برای نصب Read-Only Domain Controller می بایست گزینه Read only domain controller (RODC) را انتخاب نماییم و پس از وارد کردن پسورد مربوط به Directory Service Restore Mode که برای بازیابی دارکتوری سرویس مورد استفاده قرار می گیرد با کلیک بر روی Next به مرحله بعد خواهیم رفت

در پنجره جدید روی گزینه Next کلیک می نماییم

در پنجره بعدی سروری که قصد داریم Replication از روی آن انجام پذیرد را انتخاب می نماییم و  Nextرا انتخاب می نماییم

در پنجره بعدی در صورت نیاز می توانید محل فایل های دیتابیس و Log File ها و SYSVOL را مشخص نمایید در اینجا ما محل پیش فرض را انتخاب نموده ایم

در پنجره بعدی خلاصه ای از تنظیمات انجام شده را نمایش خواهد داد که در صورت نیاز می توانیم آن را بازبینی نماییم و سپس روی Next کلیک نماییم

و نهایتا پس از چک شدن پیش نیاز ها توسط سیستم، می توانیم روی گزینه Install کلیک کنیم تا مراحل نصب را تکمیل نماییم

پس از انجام مراحل نصب سیستم یکبار Reboot خواهد گردید و پس از آن RODC آماده است. از این پس هر تغییرات که شکل بگیرد و Object هایی که در Domain Controller ایجاد یا حذف شوند مستقیم روی RODC اعمال خواهند گردید و همچنین RODC قابلیت ایجاد یا حذف و همچنین تغییرات روی Domain Controller را نخواهد داشت و در واقع یک Domain Controller فقط خواندنی ( Read Only Domain Controller ) خواهد بود.