مایکروسافت با RODC یک قابلیت دیگر جدید به ویندوز سرور ۲۰۰۸ و یا بهتر بگویم به دومین کنترولر (DC) اضافه کرد. اساس انجام این کار توسط مایکروسافت به خاطر نداشتن یا نبودن امنیت در مکانهایی خارج از دفتر مرکزی بود تا دومین کنترولرها بهتر محافظت شوند. همانطور که میدانیم در اینگونه مکانها امنیت فیزیکی یا خیلی کم است و یا اصلا نیست، همچنین در این مکانها کسانی که دارای دانش فنی کافی باشند، وجود ندارند و اصولا تعدادی یوزر (User) هستند که در حال انجام کار روزانه خود و استفاده از یک خط اینترنت یا WAN میباشند. پس مشاهده میکنیم که این دومین کنترولرها به مانند دومین کنترولرهای واقع در دفتر مرکزی یا سنترال از امنییتهای فیزیکی و دانش فنی برخوردار نیستند .

تا قبل از ویندوز سرور ۲۰۰۸ به خاطر این مشکلات گفته شده تا حد امکان تلاش میشد که در این مکانها دومین کنترولر وجود نداشته باشد و به همین علت یوزرها برای عملیات Authentication از خط WAN که به دومین کنترولر سنترال متصل بود استفاده میکردند و در صورتی که برای این خط WAN مشکلی پیش میامد یوزرها نمیتوانستند عمل Authentication انجام داده و به دومین وارد شوند (Logon) و نهایت میتوانستند از قابلیت (cached credentials) استفاده کرده و به صورت لوکال وارد شوند (Logon) که آن هم مشکلی را حل نمیکرد، زیرا به منابعی که در دومین به اشتراک گذاشته شده (Shared Resource) بود دیگر دسترسی نداشتند. دقیقا به همین علت مایکروسافت RODC را وارد صحنه کرد .
ویژگیهای یک دومین کنترولر RODC
- یک RODC دارای یک کپی یا المثنی از بانک اطلاعتی اکتیو دایرکتوری (NTDS.DIT) است (همه اشیاء Objects و خواص Attributes)، که همانند آن بر روی یک دومین کنترولر معمولی موجود است. تنها چیزی که در مقایسه بین این دو دومین کنترولر فرق میکند این است که اجازه ندارد این بانک اطلاعتی اکتیو دایرکتوری (NTDS.DIT) را تغییر دهد و فقط اجازه خواندن آن را دارد و تمام تغییرات را دومین کنترولر معمولی از طریق عملیات Replication بر روی آن اعمال میکند .
- این قابلیت وجود دارد که روی RODC سرور DNS اینستال شود، ولی باز هم فقط اجازه خواندن دارد. میتواند در خود همه نرم افزارهای پارتیشن دایرکتوری Application Directory Partitions به مانند DomainDNSZones یا ForestDNSZones داشته باشد. کامپیوترها میتوانند از آن برای پیدا کردن اسم (Name Resolution) استفاده کنند و یوزرهایی که در آن مکان هستند میتوانند به صورت نرمال Logon کنند. اما اجازه ندارد که اسامی را به روز رسانی کند (Name Updates) یا اینکه رکورد جدید NS ایجاد کند (منظور خودش به صورت مستقل).
- بر روی یک RODC میتوان مشخص کرد که کدام اکانت یوزر، کامپیوتر یا سرویس اجازه ذخیره شدن یا نشدن دارد (credential caching).به صورت استاندارد اکانتهای ادمینها به مانند Domain Administrator در RODC ذخیره نمیشوند. دو گروه دومین امنیت محلی (Domain Local Security Groups) وجود دارد که یکی Denied RODC Password Replication Group و دیگری Allowed RODC Password Replication Group میباشد که برای مدیریت ذخیره سازی اکانتها میباشند. شما همچنین میتوانید از گروههایی که خودتان ساختید استفاده کنید. اگر یک یوزر همزمان در هر دو گروه باشد، گروه Denied RODC Password Replication Group حق تقدم دارد. اگر اکانت یک یوزر فقط یکبار ذخیره شود، بار دیگر آن یوزر میتواند حتی با وجود نداشتن ارتباط با دومین کنترولر سنترال Logon کند بدون نیاز به خط .WAN در صورتی که RODC دزدیده شود، فقط در آن اکانتهای ذخیره شده میباشد و اگر اکانت کامپیوتر RODC را از اکتیو دایرکتوری پاک کنیم، به صورت اتوماتیک تمام اکانتهایی که در ذخیره شده بود، ریست (Reset) میشوند تا پسوردهای دزدیده شده غیر قابل استفاده باشند .
- عملیات Replication فقط به صورت یک طرفه (One-Way) است. چون RODC اجازه هیچ تغییری به صورت مستقل ندارد بنا بر این دومین کنترولرهای معمولی, احتیاجی به گرفتن اطلاعات در عملیات Replication از RODC ندارند. عملیاتReplication فقط به صورت ورودی (Inbound) هستند و نه به صورت خروجی (Outbound) ، به همین علت سرورهای Bridgehead کمتر میشوند .
- میتوان یک یوزر دومین یا گروه دومین (Domain User or Group) را به صورت ادمین برای RODC ایجاد کرد, توسط قابلیت.Delegation در این صورت آن یوزر یا گروه به صورت ادمین لوکال میشوند بدون اینکه مانند ادمینهای دومین اجازه دسترسیهای گوناگون به دومین کنترولهای دیگر یا دومین را داشته باشند. به طور مثال آنها میتوانند Update ها یا Driver ها را اینستال کنند .
- به صورت پیش فرض (Default) در یک RODC اطلاعات اکانت یوزر یا کامپیوتر ذخیره نمیشود، به غیر از اکانت کامپیوتر خودش و یک اکانت ویژه krbtgt برای خودRODC .RODC یک مرکز توزیع کلید (Key Distribution Center - KDC) در اکتیو دایرکتوری در آن محل یا سایت (Site) است .RODC از اکانت برای رمزنگاری (encrypted) اعطای بلیط (ticket-granting tickets - TGT) استفاده میکند و این در مقایسه با یک دومین کنترولر معمولی فرق میکند.
- این رفتاری که RODC در عملیات Replication یک کپی کامل از Schema دریافت میکند در بعضی از شرایط ممکن است مطلوب نباشد. به طور مثال ممکن است که از یک برنامه استفاده شود که اطلاعات مهمی را در اکتیو دایرکتوری ذخیره میکند و ما نمیخواهیم که این اطلاعات در RODC باشد.برای همین RODC یک انتخاب را عرضه میکند و نامشRead-only partial attribute set - ROPAS میباشد که همچنین به نام (RODC filtered attribute set - ROFAS) نیز معروف است. این فانکشن اجازه میدهد که که مشخص کنیم کدام خواص ( attributes) متفاوت به RODC در عملیات Replication ارسال شوند.اگر بخواهیم از این قابلیت ذکر شده استفاده کنیم، باید توجه کنیم که سطح در حال کار جنگل یا کل ساختار (forest functional level) باید روی Windows Server 2003 یا بالاتر باشد .
- RODC را میتوان در محل مورد نظر با این نسخه های ویندوز استفاده کرد:

الف- دومین کنترولر 2003/2003R2در همان دومین یا در دومین دیگر
ب- دومین کنترولر2008/2008R2 در همان دومین یا در دومین دیگر
پ- RODC دومین کنترولر 2008/2008R2 در همان دومین یا در دومین دیگر
- برای که بتوان از RODC استفاده کرد، خواص ( attributes) زیر به به در ویندوز 2008 اضافه میشود :
- ms-DS-Reveal-OnDemand-group
- ms-DS-Never-reveal-group
- ms-DS-Revealed-list
- ms-DS-AuthenticatedTo-account list

چه چیزهایی باید برای استفاده کردن از RODC آماده کرد
- قبل از اینستال کردن باید یک دومین کنترولر2008/2008R2 باید وجود داشته باشد. همانطور که گفته شد RODC فقط میتواند اطلاعات را بخواند و احتیاج به یک دومین کنترولر معمولی است که اطلاعات را از طریق عملیات Replication رویRODC بنویسد .
- سطح در حال کار جنگل یا کل ساختار (forest functional level) باید روی 2003 یا بالاتر باشد تا (linked value replication - LVR) قابل دردست باشد.
- باید قبلا از فرمان ADPREP /Rodcprep استفاده شده باشد این دستور مجوز (Security Descriptor - SD) را بر روی همه نرم افزار DNS دایرکتوری پارتیشن را در جنگل (Forest) بروز رسانی (Update) میکند ,منظور (DomainDNSZones and ForestDNSZones application directory partitions).
چه محدودیتهایی یک RODC دارد
- از آنجایی که یک RODC فقط میتواند دیتابیس اکتیو دایرکتوری را بخواند، نمیتواند در خود FSMO ها را داشته باشد. به خاطر اینکه برای داشتن FSMO باید دومین کنترولر بتواند روی دیتابیس اکتیو دایرکتوری تغییر ایجاد کند یا بنویسد .
- یک RODC نمیتواند سرور Bridgehead باشد. یک سرور Bridgehead مسئوليت عملیات Replicationرا دارد. این سرور تمام تغییرات در سایت (Site) خود را جمع آوری میکند و با سرورهای Bridgehead دیگر سایتها مبادله میکند که خودش مستلزم عملیات Replication دو طرفه است. ولی همانطور که در بالا فهمیدیم RODC دارای عملیات Replicationیکطرفه است .
- باید همیشه قبل از اینستال کردن اولین RODC یک دومین کنترولر2008/2008R2 در شبکه وجود داشته باشد .
RODC - ها نمیتوانند با هم عملیات Replication را انجام دهند .
- سرور اکسچنج (Exchange) روی RODC ساپورت نمیشود .
اگر به هر علتی دومین کنترولر نرمال از از مدار خارج شود و دیگر نتوان آن را وارد کرد و فقط در شبکه RODC باقی مانده باشد، هیچ راهی وجود ندارد که RODC را به یک دومین کنترولر معمولی تبدیل کرد و باید کل دومین خود از اول درست کنید .در جایی خواندم که گفته شده بود RODC را میتوان به عنوان پشتیبان دومین کنترولر استفاده کرد که این کاملا اشتباه است و همانطور که خواندید، RODC نمیتواند پشتیبان باشد چون نمیتواند FSMO را داشته باشد و نمیتوان آن را تبدیل به دومین کنترولر معمولی کرد.
پس همیشه اگر از RODC استفاده میکنید حداقل ۲ دومین کنترولر معمولی داشته باشید و به صورت منظم از دومین کنترولرها بک آپ بگیرید

منبع : microsoft



موضوعات مشابه: