دومین کنترولر خواندنی چیست؟
[RIGHT][FONT=courier new][FONT=arial]مایکروسافت با[/FONT] RODC [FONT=arial]یک قابلیت دیگر جدید به ویندوز سرور [/FONT][FONT=arial]۲۰۰۸[/FONT][FONT=arial] و یا بهتر بگویم به دومین کنترولر[/FONT] (DC) [FONT=arial]اضافه کرد. اساس انجام این کار توسط مایکروسافت به خاطر نداشتن یا نبودن امنیت در مکانهایی خارج از دفتر مرکزی بود تا دومین کنترولرها بهتر محافظت شوند. همانطور که میدانیم در اینگونه مکانها امنیت فیزیکی یا خیلی کم است و یا اصلا نیست، همچنین در این مکانها کسانی که دارای دانش فنی کافی باشند، وجود ندارند و اصولا تعدادی یوزر[/FONT] (User) [FONT=arial]هستند که در حال انجام کار روزانه خود و استفاده از یک خط اینترنت یا[/FONT] WAN [FONT=arial]میباشند. پس مشاهده میکنیم که این دومین کنترولرها به مانند دومین کنترولرهای واقع در دفتر مرکزی یا سنترال از امنییتهای فیزیکی و دانش فنی برخوردار نیستند[/FONT] .[/FONT]
[/RIGHT] [RIGHT][FONT=courier new][FONT=arial]تا قبل از ویندوز سرور [/FONT][FONT=arial]۲۰۰۸[/FONT][FONT=arial] به خاطر این مشکلات گفته شده تا حد امکان تلاش میشد که در این مکانها دومین کنترولر وجود نداشته باشد و به همین علت یوزرها برای عملیات[/FONT] Authentication [FONT=arial]از خط[/FONT] WAN [FONT=arial]که به دومین کنترولر سنترال متصل بود استفاده میکردند و در صورتی که برای این خط[/FONT] WAN [FONT=arial]مشکلی پیش میامد یوزرها نمیتوانستند عمل[/FONT] Authentication [FONT=arial]انجام داده و به دومین وارد شوند[/FONT] (Logon) [FONT=arial]و نهایت میتوانستند از قابلیت[/FONT] (cached credentials) [FONT=arial]استفاده کرده و به صورت لوکال وارد شوند[/FONT] (Logon) [FONT=arial]که آن هم مشکلی را حل نمیکرد، زیرا به منابعی که در دومین به اشتراک گذاشته شده[/FONT] (Shared Resource) [FONT=arial]بود دیگر دسترسی نداشتند. دقیقا به همین علت مایکروسافت[/FONT] RODC [FONT=arial]را وارد صحنه کرد[/FONT] [/FONT] [FONT=courier new] [/FONT].[/RIGHT]
[RIGHT][COLOR=#1f497d][FONT=courier new][B][FONT=arial]ویژگیهای یک دومین کنترولر[/FONT][/B] [B] RODC[/B][/FONT][/COLOR][/RIGHT]
[RIGHT][FONT=courier new][FONT=arial]- ی[/FONT][FONT=arial]ک[/FONT] RODC [FONT=arial]دارای یک کپی یا المثنی از بانک اطلاعتی اکتیو دایرکتوری[/FONT] (NTDS.DIT) [FONT=arial]است (همه اشیاء[/FONT] Objects [FONT=arial]و خواص[/FONT] Attributes)[FONT=arial]، که همانند آن بر روی یک دومین کنترولر معمولی موجود است. تنها چیزی که در مقایسه بین این دو دومین کنترولر فرق میکند این است که اجازه ندارد این بانک اطلاعتی اکتیو دایرکتوری[/FONT] (NTDS.DIT) [FONT=arial]را تغییر دهد و فقط اجازه خواندن آن را دارد و تمام تغییرات را دومین کنترولر معمولی از طریق عملیات[/FONT] Replication [FONT=arial]بر روی آن اعمال میکند[/FONT][/FONT] [FONT=courier new] [/FONT].[/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- این قابلیت وجود دارد که روی[/FONT] RODC [FONT=arial]سرور[/FONT] DNS [FONT=arial]اینستال شود، ولی باز هم فقط اجازه خواندن دارد. میتواند در خود همه نرم افزارهای پارتیشن دایرکتوری [/FONT]Application Directory Partitions [FONT=arial][FONT=arial]به [/FONT]مانند[/FONT] DomainDNSZones [FONT=arial]یا[/FONT] ForestDNSZones [FONT=arial]داشته باشد. کامپیوترها میتوانند از آن برای پیدا کردن اسم[/FONT] (Name Resolution) [FONT=arial]استفاده کنند و یوزرهایی که در آن مکان هستند میتوانند به صورت نرمال[/FONT] Logon [FONT=arial]کنند. اما اجازه ندارد که اسامی را به روز رسانی کند[/FONT] (Name Updates) [FONT=arial]یا اینکه رکورد جدید[/FONT] NS [FONT=arial]ایجاد کند (منظور خودش به صورت مستقل)[/FONT].
[/FONT][/RIGHT] [RIGHT][FONT=arial]- بر روی یک[/FONT] RODC [FONT=arial]میتوان مشخص کرد که کدام اکانت یوزر، کامپیوتر یا سرویس اجازه ذخیره شدن یا نشدن دارد[/FONT] (credential caching).[FONT=arial]به صورت استاندارد اکانتهای ادمینها به مانند[/FONT] Domain Administrator[FONT=arial] در[/FONT] RODC [FONT=arial]ذخیره نمیشوند. دو گروه دومین امنیت محلی[/FONT] (Domain Local Security Groups) [FONT=arial]وجود دارد که یکی [/FONT]Denied RODC Password Replication Group[FONT=arial] و دیگری[/FONT] Allowed RODC Password Replication Group [FONT=arial]میباشد که برای مدیریت ذخیره سازی اکانتها میباشند. شما همچنین میتوانید از گروههایی که خودتان ساختید استفاده کنید. اگر یک یوزر همزمان در هر دو گروه باشد، گروه[/FONT] Denied RODC Password Replication Group [FONT=arial]حق تقدم دارد. اگر اکانت یک یوزر فقط یکبار ذخیره شود، بار دیگر آن یوزر میتواند حتی با وجود نداشتن ارتباط با دومین کنترولر سنترال[/FONT] Logon [FONT=arial]کند [/FONT][FONT=arial]بدون نیاز به خط[/FONT] .[FONT=courier new]WAN[/FONT] [FONT=arial]در صورتی که[/FONT] RODC [FONT=arial]دزدیده شود، فقط در آن اکانتهای ذخیره شده میباشد و اگر اکانت کامپیوتر[/FONT] RODC [FONT=arial]را از اکتیو دایرکتوری پاک کنیم، به صورت اتوماتیک تمام اکانتهایی که در ذخیره شده بود، ریست[/FONT] (Reset) [FONT=arial]میشوند تا پسوردهای دزدیده شده غیر قابل استفاده باشند[/FONT] .[/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- عملیات[/FONT] Replication [FONT=arial]فقط به صورت یک طرفه[/FONT] (One-Way) [FONT=arial]است. چون[/FONT] RODC [FONT=arial]اجازه هیچ تغییری به صورت مستقل ندارد بنا بر این دومین کنترولرهای معمولی, احتیاجی به گرفتن اطلاعات در عملیات[/FONT] Replication [FONT=arial]از[/FONT] RODC [FONT=arial]ندارند. عملیات[/FONT]Replication [FONT=arial]فقط به صورت ورودی[/FONT] (Inbound) [FONT=arial]هستند و نه به صورت خروجی [/FONT] (Outbound) [FONT=arial] ، به همین علت سرورهای[/FONT] Bridgehead [FONT=arial]کمتر میشوند[/FONT] .[/FONT] [/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- میتوان یک یوزر دومین یا گروه دومین[/FONT] (Domain User or Group) [FONT=arial]را به صورت ادمین برای[/FONT] RODC [FONT=arial]ایجاد کرد, توسط قابلیت[/FONT][FONT=courier new].Delegation [/FONT][FONT=arial] در این صورت آن یوزر یا گروه به صورت ادمین لوکال میشوند بدون اینکه مانند ادمینهای دومین اجازه دسترسیهای گوناگون به دومین کنترولهای دیگر یا دومین را داشته باشند. به طور مثال آنها میتوانند[/FONT] Update [FONT=arial]ها یا[/FONT] Driver [FONT=arial]ها را اینستال کنند[/FONT] .[/FONT][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- به صورت پیش فرض[/FONT] (Default) [FONT=arial]در یک[/FONT] RODC [FONT=arial]اطلاعات اکانت یوزر یا کامپیوتر ذخیره نمیشود، به غیر از اکانت کامپیوتر خودش و یک اکانت ویژه[/FONT] krbtgt [FONT=arial]برای خود[/FONT][FONT=courier new]RODC[/FONT] .RODC [FONT=arial]یک مرکز توزیع کلید[/FONT] (Key Distribution Center - KDC) [FONT=arial]در اکتیو دایرکتوری در آن محل یا سایت[/FONT] (Site) [FONT=arial]است[/FONT] .RODC [FONT=arial]از اکانت برای رمزنگاری[/FONT] (encrypted) [FONT=arial]اعطای بلیط[/FONT] (ticket-granting tickets - TGT) [FONT=arial]استفاده میکند و این در مقایسه با یک دومین کنترولر معمولی فرق میکند.[/FONT][/FONT][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- این رفتاری که[/FONT] RODC [FONT=arial]در عملیات[/FONT] Replication [FONT=arial]یک کپی کامل از[/FONT] Schema [FONT=arial]دریافت میکند در بعضی از شرایط ممکن است مطلوب نباشد. به طور مثال ممکن است که از یک برنامه استفاده شود که اطلاعات مهمی را در اکتیو دایرکتوری ذخیره میکند و ما نمیخواهیم که این اطلاعات در[/FONT] RODC [FONT=arial]باشد.برای همین[/FONT] RODC [FONT=arial]یک انتخاب را عرضه میکند و نامش[/FONT]Read-only partial attribute set - ROPAS[FONT=arial] میباشد که همچنین به نام[/FONT] (RODC filtered attribute set - ROFAS) [FONT=arial]نیز معروف است. این فانکشن اجازه میدهد که که مشخص کنیم کدام خواص[/FONT] ( attributes) [FONT=arial]متفاوت به [/FONT]RODC[FONT=arial] در عملیات[/FONT] Replication [FONT=arial]ارسال شوند.اگر بخواهیم از این قابلیت ذکر شده استفاده کنیم، باید توجه کنیم که سطح در حال کار جنگل یا کل ساختار[/FONT] (forest functional level) [FONT=arial]باید روی[/FONT] Windows Server 2003 [FONT=arial]یا بالاتر باشد[/FONT] .[/FONT][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- RODC را میتوان در محل مورد نظر با این نسخه های ویندوز استفاده کرد[/FONT]:
[FONT=arial]الف- دومین کنترولر 2003/2003[/FONT]R2[FONT=arial]در همان دومین یا در دومین دیگر[/FONT]
[FONT=arial]ب- دومین کنترولر2008/2008[/FONT]R2 [FONT=arial]در همان دومین یا در دومین دیگر[/FONT]
[FONT=arial]پ[/FONT]- RODC [FONT=arial]دومین کنترولر 2008/2008[/FONT]R2 [FONT=arial]در همان دومین یا در دومین دیگر[/FONT][/FONT][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- برای که بتوان از[/FONT] RODC [FONT=arial]استفاده کرد، خواص[/FONT] ( attributes) [FONT=arial]زیر به به در ویندوز 2008 اضافه میشود[/FONT] :[/FONT][/RIGHT]
[B][COLOR=#1f497d][FONT=courier new]- ms-DS-Reveal-OnDemand-group
- ms-DS-Never-reveal-group
- ms-DS-Revealed-list
- ms-DS-AuthenticatedTo-account list[/FONT][/COLOR][/B]
[RIGHT][COLOR=#1f497d][FONT=courier new][B][FONT=arial]چه چیزهایی باید برای استفاده کردن از[/FONT][/B][B] RODC [/B][B][FONT=arial]آماده کر[/FONT][/B][FONT=arial]د[/FONT][/FONT][/COLOR][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- قبل از اینستال کردن باید یک دومین کنترولر2008/2008[/FONT]R2 [FONT=arial]باید وجود داشته باشد. همانطور که گفته شد[/FONT] RODC [FONT=arial]فقط میتواند اطلاعات را بخواند و احتیاج به یک دومین کنترولر معمولی است که اطلاعات را از طریق عملیات[/FONT] Replication [FONT=arial]روی[/FONT]RODC [FONT=arial]بنویسد[/FONT] .[/FONT] [/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- سطح در حال کار جنگل یا کل ساختار[/FONT] (forest functional level) [FONT=arial]باید روی 2003 یا بالاتر باشد تا[/FONT] (linked value replication - LVR) [FONT=arial]قابل دردست باشد[/FONT].[/FONT][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- باید قبلا از فرمان[/FONT] ADPREP /Rodcprep [FONT=arial]استفاده شده باشد این دستور مجوز[/FONT] (Security Descriptor - SD) [FONT=arial]را بر روی همه نرم افزار[/FONT] DNS [FONT=arial]دایرکتوری پارتیشن را در جنگل[/FONT] (Forest) [FONT=arial]بروز رسانی[/FONT] (Update) [FONT=arial]میکند[/FONT] ,[FONT=arial]منظور[/FONT] (DomainDNSZones and ForestDNSZones application directory partitions)[/FONT].[/RIGHT]
[RIGHT][COLOR=#1f497d][B][FONT=courier new][FONT=arial]چه محدودیتهایی یک[/FONT] RODC [FONT=arial]دارد[/FONT][/FONT][/B][/COLOR][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- از آنجایی که یک[/FONT] RODC [FONT=arial]فقط میتواند دیتابیس اکتیو دایرکتوری را بخواند، نمیتواند در خود[/FONT] FSMO [FONT=arial]ها را داشته باشد. به خاطر اینکه برای داشتن[/FONT] FSMO [FONT=arial]باید دومین کنترولر بتواند روی دیتابیس اکتیو دایرکتوری تغییر ایجاد کند یا بنویسد[/FONT] .[/FONT][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- یک[/FONT] RODC [FONT=arial]نمیتواند سرور[/FONT] Bridgehead [FONT=arial]باشد. یک سرور[/FONT] Bridgehead [FONT=arial]مسئوليت عملیات [/FONT] Replication[FONT=arial]را دارد. این سرور تمام تغییرات در سایت[/FONT] (Site) [FONT=arial]خود را جمع آوری میکند و با سرورهای[/FONT] Bridgehead [FONT=arial]دیگر سایتها مبادله میکند که خودش مستلزم عملیات[/FONT] Replication [FONT=arial]دو طرفه است. ولی همانطور که در بالا فهمیدیم[/FONT] RODC [FONT=arial]دارای عملیات[/FONT] Replication[FONT=arial]یکطرفه است[/FONT] .[/FONT][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- باید همیشه قبل از اینستال کردن اولین[/FONT] RODC [FONT=arial]یک دومین کنترولر2008/2008[/FONT]R2 [FONT=arial]در شبکه وجود داشته باشد[/FONT] .[/FONT][/RIGHT] [RIGHT][FONT=courier new]RODC -[FONT=arial] ها نمیتوانند با هم عملیات[/FONT] Replication [FONT=arial]را انجام دهند[/FONT] .[/FONT][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]- سرور اکسچنج[/FONT] (Exchange) [FONT=arial]روی[/FONT] RODC [FONT=arial]ساپورت نمیشود[/FONT] .
[/FONT][/RIGHT] [RIGHT][FONT=courier new][FONT=arial]اگر به هر علتی دومین کنترولر نرمال از از مدار خارج شود و دیگر نتوان آن را وارد کرد و [B]فقط [/B]در شبکه[/FONT] RODC [FONT=arial]باقی مانده باشد، [B]هیچ راهی وجود ندارد[/B] که[/FONT] RODC [FONT=arial]را به یک دومین کنترولر معمولی تبدیل کرد و[B][COLOR=red] باید کل دومین خود از اول درست کنید[/COLOR][/B][/FONT] .[FONT=arial]در جایی خواندم که گفته شده بود[/FONT] RODC [FONT=arial]را میتوان به عنوان پشتیبان دومین کنترولر استفاده کرد که این کاملا اشتباه است و همانطور که خواندید، [/FONT]RODC [FONT=arial]نمیتواند پشتیبان باشد چون نمیتواند[/FONT] FSMO [FONT=arial]را داشته باشد و نمیتوان آن را تبدیل به دومین کنترولر معمولی کرد[/FONT][/FONT][FONT=courier new] [/FONT]. [/RIGHT] [FONT=courier new][FONT=arial]پس همیشه اگر از[/FONT] RODC [FONT=arial]استفاده میکنید حداقل [/FONT][FONT=arial]۲[/FONT][FONT=arial] دومین کنترولر معمولی داشته باشید و به صورت منظم از دومین کنترولرها بک آپ بگیرید[/FONT][/FONT][FONT=courier new] [/FONT]
[FONT=courier new]منبع : [/FONT]microsoft