MCSEمایکروسافت

راه اندازی RODC (Read-only Domain Controller) در سایت های از راه دور

راه اندازی سرویس های Primary و Additional دامین کنترلر را در وبسایت تک تیک آموختید. مدیریت سایت های راه دور سازمان تحت دامنه یکسان و امنیت آنها بسیار حیاتی است. در بعضی از سایت ها بنا به مصلحت می خواهیم یک دامین کنترلر با کمترین دسترسی مدیریتی داشته باشیم، به این دلیل که نیروی متخصص مقیم نداریم و یا شخصی با دانش فنی کافی نمی توانیم مستقر کنیم ، همچنین ممکن است دسترسی به سرورها در سایت مورد نظر آزاد باشد و رک سرور به سادگی در دسترس عموم است.

در این راهکار نیز با وجود سرور Primary در سایت مرکزی، یک Additional DC در سایت راه دور راه اندازی می کنیم بصورتی که قابلیت تغییر در ساختار دامین کنترلر برخلاف حالت عادی وجود نداشته باشد. همچنین مشخصات امنیتی کاربر مسئول شبکه سایت قابل دسترس نباشد. کافیست از قابلیت Additional Read-only DC یا RODC بهره بگیریم. همانطور که گفته شد نیروی مقیم سایت مذکور هیچ گونه دسترسی برای تغییرات در Domain Controller اصلی ندارد.

همچنین قابلیت Cache نشدن پسوورد و اطلاعات حیاتی کاربران امکان پذیر است. بنابر سیاستی که قابل اجراست ، می توانیم پسوورد کاربران را Cache نکنیم اما ممکن است اینکار باعث بالارفتن ترافیک به سمت WAN و لینک ارتباطی با دامین کنترلر اصلی شود، زیرا کاربر باید داده مورد نیاز خود را از Primary Domain Controller واکاوی کند. برای مدیریت ترافیک می توانیم بنحوی تنظیمات را انجام دهیم که کاربران عادی قابلیت Cache شدن پسوورد را داشته باشند و دیتای مرتبط با احراز هویت خود را از دیتابیس RODC محلی دریافت کنند اما کاربری که سطح دسترسی بالاتری در سایت دارد پسووردش Cache نشود.

همچنین با توجه به اینکه در RODC رکورد و آبجکت جدیدی ایجاد نمی شود Replication بصورت یک جهته و از سمت Primary Domain Controller به RODC بصورت Inbound انجام می پذیرد. پس نتیجه می گیریم کنترل ترافیک تا حد مطلوبی انجام پذیر است.

راه اندازی RODC

در ابتدا بهتر است از سرور RODC خود، سرور Primary را Ping کنید و Nslookup بگیرید تا مطمئن شوید ارتباط بدرستی برقرار است، سپس در بخش Preferred DNS تنظیمات ipv4 آدرس آی پی سرور Primary را وارد کنید.

ایجاد Self-Signed Certificate در Windows Server 2016

همچنین، بهتر است در کنسول مدیریت کاربران و کامپیوترها در Domain Controller اصلی برای سایت های راه دور Organizational Unit جداگانه ای ایجاد کنید و طراحی کاربران را بصورت مرتب و تفکیک شده انجام دهید. همچنین یک کاربر استاندارد و متمایز بعنوان ادمین RODC باید ایجاد شود. لازم نیست سطح دسترسی را برای کاربر ایجاد شده بالا ببریم زیرا وی تنها می تواند به نصب و پیکره بندی نرم افزارهای و تنظیمات اولیه تحت شبکه دسترسی داشته باشد و کاربران سایت را Join به دامین کند.

در گام بعد باید نقش Active Directory Domain Services برروی سرور RODC نصب شود. نحوه نصب این نقش در وبسایت تک تیک آموزش داده شده است.

پس از نصب کامل نقش، وارد Promote this server to a domain controller شوید تا بتوانید پیکره بندی های دامین کنترلر و تنظیمات تکمیلی RODC را انجام دهید.

در گام بعدی، میدانیم RODC یک Additional DC است و می خواهیم همزمان با Primary و سایر Additional ها در دامنه یکسان باشند پس لازم نیست Forest ایجاد کنیم و کافیست یک Domain Controller جدید بعنوان زیرمجموعه دامنه از قبل ساخته شده اضافه کنیم. برای اینکار در مرحله Deployment Configuration ابتدائا Add a domain controller to an existing domain را انتخاب  کنید، سپس جهت تایید Credentials دامنه آدرس Domain name و اکانت Administrator را اضافه کنید.

در گام بعد، باید در کنار گزینه های DNS و Global Catalog گزینه Read-only domain controller (RODC) را فعال کنید. همچنین بهتر است در بخش Site name سرور Primary را انتخاب کنید و در نهایت Password کامپلکس شامل کاراکتر ، عدد و حروف بزرگ و کوچک را وارد کنید.

گام بعدی بسیار مهم است، همانطور که در ابتدا مراحل گفته شد ، برای سایت از راه دور یک OU مجزا ایجاد کرده اید و همچنین یک کاربرمسئول جهت اعطا دسترسی بالاتر ساخته اید، حال در بخش Delegated administrator account کاربر مورد نظر را انتخاب می کنیم تا وی بتواند کاربر جدید به دامنه Join کند.

جلوگیری از اجرای Macro ها در نرم افزارهای آفیس از طریق Group Policy

همچنین در این بخش بصورت سریع به دو گروه RODC دسترسی دارید و می توانید کاربران را مدیریت کنید.

گروه Allowed to replicate passwords to the RODC : این گروه شامل کاربرانی است که پسووردشان در دیتابیس RODC نباید Cache شود و مجاز به Replication با سرور اصلی هستند، بعنوان مثال پسوورد کاربری که Delegated شده است. همچنین توصیه می شود یک OU جدید ایجاد کنید و در این گام گروه ساخته شده را اضافه کنید.

گروه Denied form replicating passwords to the RODC : گروه هایی که لازم نیست کاربرانشان با سرور اصلی Replication داشته باشند و پسووردشان در دیتابیس RODC باید Cache شود. بعنوان مثال کاربران عادی شبکه که برای دسترسی به سایر سرورها و فعالیت در شبکه نیازی نیست به دیتابیس سرور Primary از راه دور متصل شوند.

همچنین در کنسول مدیریت کاربران اکتیودایرکتوری دسترسی به این گروه ها امکان پذیر است.

در گام بعد، دامنه ای که می خواهید RODC با سایر دامین کنترلرهای درون آن Replication داشته باشد را انتخاب کنید.

پس از اتمام مراحل install را انتخاب کنید.

پس از نصب و Restart سیستم ، کافیست به یوزر Delegated شده لاگین کرده و سطح دسترسی را بررسی کنید. با ورود به کنسول مدیریت کابران و کامپیوترهای اکتیودایرکتوری می توانید بررسی کنید، کاربر قابلیت حذف و یا اضافه کردن سایر کاربران را داشته باشد. همچنین می توانید بررسی کنید، بدون اینکه کاربر مذکور دسترسی Domain admin داشته باشد می تواند کاربر محلی را Join به دامنه کند یا خیر.

درنهایت در بخش مدیریتی کاربران و کامپیوترهای اکتیودایرکتوری در دامین کنترلر اصلی، سرور RODC به OU مربوط به Domain Controllers اضافه شده است.

۴.۵ ۲ رای دادن
رای دادن به مقاله
اشتراک در
اشاره به موضوع
guest

1 دیدگاه
جدیدترین
قدیمی ترین نظرات با تعداد رای بالا
Inline Feedbacks
مشاهده همه کامنت ها
ناشناس
ناشناس
1 سال پیش

خیلی خوب بود. ممنون.

دکمه بازگشت به بالا