راه اندازی ( Read Only Domain Controller ) RODC در ویندوز سرور

721 بازدید

دسته بندی: بلاگ - دوره MCSA 2016 - دوره MCSE 2012 منتشر شده در دی 13, 1398 نویسنده: آرش صفرزاده زمان مطالعه: 5 دقیقه 0 نظر به روز شده در دی 16, 1398

راه اندازی ( Read Only Domain Controller ) RODC

راه اندازی RODC : یکی از راه های ایجاد امنیت در سازمان ها استفاده از RODC می باشد. (RODC (read only domain controller یک دامین سرور می باشد که فقط خواندنی است . در سایتهایی که کارشناس IT مورد اعتمادی وجود ندارد استفاده از RODC بسیار کارا خواهد بود. یعنی تمامی اطلاعات موجود در این سرور فقط قابل مشاهده می باشد و نه می توان در آن اطلاعات تغییری ایجاد کرد و نه می توان حذف کرد و نه می توان اطلاعات جدیدی را ایجاد کرد.

در واقع این دامین کنترولر یک Additional از دومین کنترولر دیگر است و تنها یک کپی از اطلاعات دومین کنترولر اصلی را در خود نگه می دارد. تمامی تغییرات توسط دومین کنترولر اصلی انجام و replicate خواهد شد.
در تصویر زیر سرور اصلی و سرور rodc را مشاهده می کنید که تمامی آپدیت ها به صورت یک طرفه به سرور read only فرستاده می شود.

اصول کار و شروع نصب سرویس rodc

برای شروع کار نیاز به یک domain controller اصلی می باشد که این دامین کنترولر از قبل راه اندازی شده است زیرا RODC یک Additional DC فقط خواندنی است.

برای راه اندازی RODC نیاز به یک سرور دیگر که بر روی آن سیستم عامل ویندوز سرور 2012 یا 2016 نصب هست داریم . اقدامات پس از نصب مربوط به سرور که شامل ، نام سرور ، تنظیمات کارت شبکه و تنظیمات فایروال است را انجام میدهیم ، ارتباط میان سرور اصلی و سرور فعلی را بررسی میکنیم. و در صورتی که ارتباط به صورت کامل برقرار بود اقدام به نصب و راه اندازی RODC میکنیم . (Ping به IP و اسم دامنه اصلی را باید داشته باشد. )

راه اندازی RODC

در سرور جدید لاگین میکنیم و server manager را اجرا کرده و همانند تصویر 1 برروی add roles feauters کلیک کنید و در دو تصویر بعد next را بزنید.

در تصویر 2 در بخش انتخاب رول های سرور گزینه active directory domain services را انتخاب کرده و بر روی add features کلیک کنید و برروی next کلیک کرده تا feature های مورد نیاز این سرویس همراه آن نصب شود .در دو تصویر بعدی نیز برروی next کلیک کنید.

در تصویر 3 برای نصب سرویس برروی install کلیک کنید.(اگر تیک ریستارت زده شود موقع نصب سیستم به طور خودکار زمانی که نصب به پایان برسد ریستارت می شود و دوباره راه اندازی می شود)

ادامه راه اندازی RODC

در تصویر 4 بعد از نصب سرویس در همان صفحه برروی promote this server to a domain controller کلیک کنید تا تنظیمات مربوط به سرویس rodc صورت بگیرد.

در تصویر 5 برروی گزینه add a domain controller to an existing domain را انتخاب کنید زیرا قصد نصب یک Additional DC را داریم و در بخش change کلیک کنید و یوزر و پسورد سرور اصلی وارد کنید و ok را انتخاب کنید. همان طور که مشاهده می کنید دامین hiva در بخش select شناسایی شده است برای ادامه کار برروی next کلیک کنید.

در تصویر 6 بخش مهم انتخاب گزینه read only domain controller می باشد تیک آن را بزنید. و بعد یک رمز برای restore mode در بخش dsrm وارد کنید و برروی next کلیک کنید.

اقداماتی که در سرور اصلی باید انجام میدادیم

قبل از اینکه موارد کادر تصویر 8 را پر کنید ابتدا باید یک یوزر در سرور اصلی خود بسازید در تصویر 7 وارد بخش tools در سرور اصلی خود شوید و active directory users and computers را انتخاب کنید. برای ساخت یوزر بر روی پوشه users راست کلیک کنید گزینه new و بعد user را انتخاب کنید و یک نام و پسورد برای این یوزر انتخاب کنید و با راست کلیک برروی این یوزر add to a group را انتخاب می کنیم در کادر مورد نظر عبارت read را بنویسید check names را بزنید بعد ok را بزنید. درواقع با این کار این یوزر را عضو یک گروه فقط خواندنی خواهید کرد.

ادامه پروسه نصب و راه اندازی RODC

در تصویر 8 می توانید با کلیک برروی بخش های add , select گروه یا کاربر موردنظر خود را در هر دو بخش که در تصویر 7 ساختید را به این لیست اضافه کنید (یوزر ساخته شده rodc-252 ) که کافی است با زدن check names این یوزر را پیدا کرده و ok را بزنید و برروی next کلیک کنید.

در تصویر 9 می توانید از لیست مورد نظر سرور اصلی خود را که دامین کنترولر اصلی روی آن نصب می باشد را انتخاب کنید.برروی next کلیک کنید.

در تصویر 10 برروی next کلیک کنید.

در تصویر 11 که مربوط به اطلاعات کامل از نصب دامین می باشد که با بررسی آن برروی next کلیک کنید.

در تصویر 12 برای نصب سرویس مورد نظر برروی install کلیک کرده و در انتها close را بزنید.

اقدامات پس از نصب RODC

بعد از مدت زمانی سرویس مورد نظر نصب و سیستم restart می شود. زمانی که سیستم شروع به کار کرد یوزرنیم و پسورد سیستم rodc که طی مراحل بالا ساختید (rodc-252) را وارد کنید (با یوزرنیم و پسورد ادمین وارد نشوید) که کاربر تنها دسترسی خواندن روی سرور را داشته باشد.

در تصویر 13 زمانی که برروی پوشه domain controllers در سرور اصلی خود کلیک کنید خواهید دید که سرور rodc هنگامی که نصب شد در این بخش نام این سرور(win-server) قرار دارد.

در تصویر 14 بعد از نصب سرویس و راه اندازی آن سرویس active directory users and computers را روی سرور موردنظر (rodc) اجرا کنید.

در تصویر 15 خواهید دید که اگر برروی بخش sazman-pc که در سرور اصلی ساخته شد یا برروی دامنه اصلی سرور کلیک راست کنید (hiva.local) مشاهده خواهید کرد که نمی توان یکی گروه یا کاربر جدید و…. اضافه کرد چون این سرور ماهیت فقط خواندنی (rodc) برروی سرور اصلی را دارا است و تمامی مدیریت ها توسط سرور اصلی انجام می گیرد.