راه اندازی ( Read Only Domain Controller ) RODC
راه اندازی RODC : یکی از راه های ایجاد امنیت در سازمان ها استفاده از RODC می باشد. (RODC (read only domain controller یک دامین سرور می باشد که فقط خواندنی است . در سایت هایی که کارشناس IT مورد اعتمادی وجود ندارد استفاده از RODC بسیار کارا خواهد بود. یعنی تمامی اطلاعات موجود در این سرور فقط قابل مشاهده می باشد و نه می توان در آن اطلاعات تغییری ایجاد کرد و نه می توان حذف کرد و نه می توان اطلاعات جدیدی را ایجاد کرد.
در واقع این دامین کنترولر یک Additional از دومین کنترولر دیگر است و تنها یک کپی از اطلاعات دومین کنترولر اصلی را در خود نگه می دارد. تمامی تغییرات توسط دومین کنترولر اصلی انجام و replicate خواهد شد.
می توانید برای نصب و راه اندازی Additional Domain Controller به مقاله نصب ادیشنال دومین کنترلر در ویندوز سرور 2022 مراجعه کنید.
در تصویر زیر سرور اصلی و سرور RODC را مشاهده می کنید که تمامی آپدیت ها به صورت یک طرفه به سرور read only فرستاده می شود.
لازم به ذکر است که نصب و راه اندازی RODC در ویندوز سرورهای 2022،2019،2016،2012 و 2008 به همین روش می باشد و تفاوتی ندارد.
اقدامات قبل نصب و راه اندازی RODC
برای نصب و راه اندازی RODC ما نیاز به به دو سرویس مجزا داریم. ابتدا باید یک دومین کنترلر اصلی نصب و راه اندازی کنیم که از قبل آن را نصب کرده ایم و در مرحله بعد نصب و راه اندازی RODC می باشد.
همانطورکه می دانید اولین اقدام برای نصب یک سرویس ، تنظیمات اولیه آن می باشد، تنظیمات اولیه شامل :
1- تنظیمات ip می باشد، در واقع هر دو دومین باید از نظر ip در یک رنج و کلاس باشند تا بتوانند باهم در شبکه ارتباط داشته باشند.(همچنین به این نکته توجه داشته باشید که باید ip دامنه Forest را در قسمت DNS سروری که می خواهید RODC را بر روی آن نصب کنید، اضافه کنید و در DNS دوم ip خود سرور RODC را اضافه کنید.)
2- تنظیمات فایروال انجام شود.
3- تنظیمات Time zone بررسی شود، دو دامنه باید Time zone یکسان داشته باشند.
4- تنظیمات IE enhanced security configuration بررسی شده و off شود.
5- Computer name تغییر کند.
6- Microsoft Defender Antivirus خاموش شود.
بعد از انجام این مراحل و گرفتن ping با دامنه اصلی به سراغ نصب و راه اندازی RODC می رویم.
شروع نصب Role Active Directory
برای نصب و راه اندازی RODC ما به دو دامنه نیاز داریم، دامنه اول ما همان دامنه اصلی و Root Forest می باشد، که در ابتدا باید Root Forest را نصب کنیم (در اینجا دامنه اصلی ما hiva.local نام دارد.) و بعد از آنکه نصب و پیکربندی دامنه اصلی به طور کامل انجام شد، به سراغ نصب و راه اندازی RODC می رویم.
بعد از ایجاد Root Forest، به کنسول ویندوز سرور دوم که قرار است RODC بر روی آن نصب و راه اندازی شود، رفته و وارد تنظیمات Server Manager می شویم. مطابق تصویر زیر روی Add role and features کلیک می کنیم. همچنین می توانید از نوار بالا، روی Manage کلیک کرده و همین گزینه را انتخاب کنید.
در این صفحه ابتدا توضیحات و چند نکته مهم را یادآور می شود. تیک گزینه Skip this page by default را بزنید و با زدن روی دکمه Next به مرحله بعد بروید.
در این مرحله، نحوه نصب توضیح داده می شود. اینکه نصب به صورت ریموت دسکتاپ و از راه دور باشد یا به صورت نصب بر روی سرور فیزیکی باشد. بر روی پیش فرض گذاشته و بر روی Next کلیک می کنیم.
در این مرحله باید مشخص کنیم که می خواهیم بر روی کداوم ویندوز سرور RODC ایجاد کنیم، ویندوز سرور موردنظر را انتخاب کرده و Next را می زنیم.
در این مرحله باید سرویسی که قصد نصب آن را دارید، انتخاب کنید. برای ایجاد RODC نیز در ابتدا باید رول اکتیو دایرکتوری را نصب کنیم. برای نصب رول اکتیو دایرکتوری، باید گزینه Active Directory Domain and Services را تیکدار کنیم. با این کار صفحه ای باز می شود که Feature های لازم را نیز به طور خودکار انتخاب می کند. کافیست روی Add Features کلیک کنیم.
همانطور که در تصویر زیر مشاهده می کنید گزینه به طور خودکار تیکدار شده است، بر روی Next کلیک می کنیم تا Role مورد نیاز سرویس نصب شود.
به صورت پیش فرض برخی از Feature ها، از جمله Group Palicy Management به همراه اکتیو دایرکتوری نصب می شود، بدون اینکه تغییری اعمال کنیم، فقط بر روی Next کلیک می کنیم.
در مرحله بعدی توضیحاتی از سرویس اکتیو دایرکتوری ارائه می شود که در زمینه معرفی این سرویس است. روی Next کلیک می کنیم تا مراحل نصب ادامه یابد.
ابتدا تیک …Restart the destination را می زنیم که در صورت نیاز سیستم ریستارت شود سپس Yes را می زنیم و در نهایت روی Install زده تا نصب RODC شروع شود.
بعد از اینکه نصب تمام شد و نوار آبی کامل شد روی Close کلیک می کنیم. در این مرحله سیستم ریستارت می شود.
اقدامات ضروری قبل از پروموت کردن RODC
برای راه اندازی RODC نیاز به 2 اقدام ضروری می باشد:
1- ایجاد user برای ورود به سرویس RODC
2- ایجاد سایت
1- ایجاد user در Root Forest
در ابتدا به دامنه اصلی(Root Forest) می رویم و برای اینکه بتوانیم به سرویس RODC لاگین کنیم یک یوزر ایجاد می کنیم.
برای ایجاد یوزر از منوی Tools وارد Active Directory User and Computer می شویم
بر روی hiva.local کلیک راست می کنیم از گزینه New بر روی organizational unit کلیک کرده و در ابتدا یک ou ایجاد می کنیم تا بتوانیم user خود را داخل ou بسازیم.
یک نام برای ou انتخاب می کنیم. در اینجا ما main گذاشته ایم.
دوباره روی main راست کلیک کرده و باز از گزینه New بر روی organizational unit کلیک می کنیم و یک OU دیگر به نام servers می سازیم.
در این مرحله روی servers راست کلیک کرده و از گزینه New گزینه user را انتخاب می کنیم.
در این مرحله یک نام برای user جدید انتخاب می کنیم. ما در اینجا نام یوزر را rodc-1 گذاشته ایم. در قسمت First name نیز می توانید نامی متفاوت از user بنویسید. ما دراینجا از یک اسم برای هر دو قسمت استفاده کرده ایم.
یک پسورد برای user انتخاب می کنیم. توجه داشته باشید که پسورد حتما بیشتر از 7 کاراکتر و Strong باشد.
اگر گزینه password never expires را انتخاب کنید رمز عبور هرگز منقضی نمی شود.
برای اینکه این یوزر ساخته شده از نوع فقط خواندنی شود، بر روی rodc-1 راست کلیک می کنیم گزینه Add to group را انتخاب کنید.
در کادر عبارت read را تایپ کنید و سپس check name را بزنید.
وقتی check name را بزنید عبارت را به صورت کامل و درست به شما نمایش می دهد. در انتها ok بزنید و تمام.
2- ایجاد سایت در دامنه اصلی
در این مرحله برای اینکه بتوانید برای دامنه RODC یک سایت تعریف کنید باید مراحل زیر را اجرا کنید:
در دامنه اصلی خود از قسمت Tools وارد Active Directory Site and Services می شویم.
در ابتدا بر روی اکستنشن گوشه سایت کلیک کرده و سپس بر روی Default-First-Site-Name راست کلیک کرده و Rename را انتخاب می کنیم، تا نام پیش فرض سایت را به نام دلخواه خود تغییر دهیم. ما در اینجا نام سایت پیش فرض را به Rasht تغییر دادیم.(اولین سایت که پیش فرض است به اکتیو دایرکتوری تعلق دارد.)
برای اینکه برای RODC نیز یک سایت تعریف کنیم بر روی Site کلیک راست کرده و از New گزینه Site را انتخاب می کنیم.
یک اسم برای سایت جدید انتخاب می کنیم. به عنوان مثال چون سرویس RODC ما برای واحد لاهیجان می باشد ما اسم سایت جدید را lahijan می گذاریم. برای اینکه لینک سایت برقرار شود بر روی DEFALT TIPSITELINK کلیک کرده و در نهایت بر روی ok می زنیم.
گاهی اوقات امکان دارد رنج ip سرویس های ایجاد شده با ip دامنه اصلی (Root Forest) متفاوت باشد، بنابراین به قسمت Subnet رفته و برای سایت جدید محدوده ی ipاش را تعریف می کنیم. برای این کار بر روی Subnet کلیک راست کرده و گزینه New Subnet را انتخاب می کنیم.
در کادر Prefix یک ip برای سرویس RODC ایجاد می کنیم و سپس از قسمت Site Name نام سایت مورد نظرمان که در اینجا Lahijan می باشد را انتخاب و در نهایت ok می کنیم.
مشاهده می کنید که subnet ثبت شده است.
خب ما دو کار اصلی یعنی ایجاد user و سایت را انجام دادیم. حالا برای اینکه بتوانیم سرویس RODC را راه اندازی کنیم باید مراحل زیر را انجام دهیم:
ایجاد حساب کاربری جدید برای راه اندازی RODC
در همان دامنه اصلی یعنی Root Forest از منوی Tools گزینهActive Directory User and Computer را انتخاب کرده، سپس اکستنشن گوشه دامنه hiva.local را باز کرده و بر روی Domain Controllers راست کلیک و گزینه pre-create Read-only Domain Controller account را انتخاب می کنیم.
تیک گزینه Use advanced mode installation را زده و بر روی Next کلیک می کنیم.
در این مرحله از ما می خواهد برای نصب، اعتبار حساب را مشخص کنیم. ما روی گزینه پیش فرض می گذاریم.
در این مرحله باید نام کامپیوتری که می خواهیم RODC بر روی آن نصب شود را به طور کامل بنویسیم.به ویندوز سروری که می خواهیم RODC بر روی آن نصب کنیم رفته و Computer Name آن را کپی می کنیم.
در اینجا همان سایتی که از قبل برای سرویس RODC خود ساخته بودیم را انتخاب می کنیم و Next را می زنیم.
در این مرحله از ما می خواهد، مشخص کنیم که این سرویس DNS و Global Catalog هم داشته باشد یا خیر. ما روی پیش فرض گذاشته و بر روی Next کلیک می کنیم.
در این صفحه یکسری دسترسی ها برای سرویس RODC محدود شده است. اگر می خواهید دسترسی سرویس را محدودتر کنید می توانید بر روی Add کلیک کرده و گزینه های مدنظر خود را انتخاب کنید. ما در اینجا بر روی پیش فرض قرار داده و بر روی Next کلیک می کنیم.
حالا باید یک user که بتواند به سرویس RODC لاگین کند را در اینجا معرفی کنیم. همانطور که یادتان هست ما در ابتدا یک user به نام rodc-1 برای این مرحله ایجاد کرده بودیم. (در این مرحله مطمئنا به این موضوع پی برده اید که چرا ما user و سایت ایجاد کردیم.)
در انتها خلاصه ای از کارهایی که برای نصب انجام داده اید به شما نمایش می دهد، بر روی Next کلیک کنید.
در نهایت بر روی Finish کلیک کرده و تمام.
مرحله پروموت کردن سرویس RODC
بعد از راه اندازی مجدد سیستم، مطابق شکل روی علامت تعجب زرد رنگ کلیک کرده و بر روی Promote this server to a domain controller کلیک می کنیم.
1- در این مرحله می خواهیم RODCرا بسازیم، مطابق عکس Add a domain controller to an existing domain را انتخاب می کنیم (بطور پیش فرض تیک این گزینه فعال است). این به این معنی است که شما یک دومین کنترلر دارید و می خواهید یک دامنه دیگر (ادیشنال دومین کنترلر) به آن اضافه کنید.
2- در باکس domain نام دامنه اصلی که hiva.local است را وارد می کنیم.
3- بر روی گزینه Change کلیک می کنیم.
با کلیک روی گزینه Change لازم است نام کاربری و رمز ورود کاربر ادمین را وارد و تایید نمایید.
اطلاعات دامنه را تایید و سپس روی Next کلیک می کنیم.
همانطور که در تصویر زیر مشاهده می کنید به طور پیش فرض تیک RODC زده شده و سایتی که از قبل برای RODC ایجاد کرده بودیم در اینجا آورده و به صورت خودکار لینک شده است.
در کادر DSRM یک رمز عبور برای restore mode تنظیم می کنیم و برروی Next کلیک می کنیم.
در پنجره Additional options، سروری را که باید با آن replicate کنید، در کادر Replicate from از مشخص کنید (دامنه Root Forest را انتخاب می کنیم) و روی next کلیک کنید.
در این مرحله مسیر پوشه های پایگاه داده AD DS، پوشه لاگ فایل ها و پوشه های SYSVOL نمایش داده می شود. می توانید مسیر را تغییر دهید و یا اینکه در حالت پیش فرض قرار داده و روی Next کلیک کنید. ما بر روی پیش فرض قرار می دهیم و Next می کنیم.
یکبار اطلاعات وارد شده به شما نمایش داده می شود، اگر مورد تایید باشد، روی Next کلیک می کنیم.
در نهایت اگر خطایی وجود نداشته باشد، می توانید روی گزینه install کلیک کنید و منتظر بمانید تا فرایند نصب تمام شود. پس از اتمام نصب روی close کلیک کنید تا سیستم ریستارت شود.
نصب و راه اندازی RODC به پایان رسید.پس از اتمام نصب، سیستم ریستارت می شود و بعد از راه اندازی مجدد سیستم، ابتدا باید بر روی کلیک کنید و user و پسوردی که برای دامنه ساخته ایم را در این بخش وارد می کنیم.
حال ارتباط بین هر دو دومین کنترلرها برقرار است و اگر کاربری در Root Forest ایجاد شود، در RODC نیز قرار خواهد گرفت و در واقع RODC بکاپ دومین اصلی ما می باشد ولی از نوع فقط خواندنی.
در سرویس RODC اگر به بخشand Computer Active Directory User بروید و بر روی main راست کلیک کرده و گزینه Delet را بزنید با پیغامی مطابق با عکس زیر مواجه می شوید و این کار امکان پذیر نمی باشد، زیرا این سرویس فقط از نوع خواندنی می باشد و نمی توانید هیچ گونه تغییراتی در آن ایجاد کنید.
برای مشاهده ویدیوی نصب و راه اندازی RODC در ویندوز سرور 2022 می توانید ویدیوی زیر را ببینید.
هیواشبکه
خدمات ما در مجموعه هیواشبکه شامل :
شرکت فنی و مهندسی هیوانوآوران داده گستر : مجری طراحی ، پیاده سازی ، پشتیبانی پروژه های شبکه و امنیت در استان گیلان – رشت و شهرها و استانهای همجوار
آموزشگاه تخصصی هیواشبکه : برگزار کننده دوره های تخصصی شبکه و امنیت ، پیکربندی سرور HP ، مجازی سازی ، MCSA 2016 ، نتورک و … به صورت حضوری با مجوز از سازمان فنی و حرفه ای و آموزش کارکنان دولت در رشت ، استان گیلان و به صورت مجازی در سراسر کشور
در خدمت شما عزیزان هستیم.
هیچ دیدگاهی نوشته نشده است.