احتمالا با مفهوم RODC (Read Only Domain Control) زیاد برخورد داشتهاید و می دانید که چه نوع سروری میباشد ولی با این حال در این مقاله توضیحی مختصر در مورده سرور RODC و نحوه پیادهسازی آن در ویندوز سرور خواهیم داد.
همانطور که از نام این سرور میتوان فهمید یک دامین سروری میباشد که فقط خواندنی هست، یک کپی از بانک اطلاعتی اکتیو دایرکتوری (NTDS.DIT) است (همه اشیاء Objects و خواص Attributes)، که همانند آن بر روی یک دومین کنترولر معمولی موجود است. تنها چیزی که در مقایسه بین این دو دومین کنترولر فرق میکند این است که اجازه ندارد این بانک اطلاعتی اکتیو دایرکتوری (NTDS.DIT) را تغییر دهد و فقط اجازه خواندن آن را دارد و تمام تغییرات را دومین کنترولر معمولی از طریق عملیات Replication بر روی آن اعمال میکند .
در چه مواقعی و یا در چه سناریوهایی می توان از سرور RODC استفاده کرد.
درجواب این سوال میتوان گفت که بر فرض مثال یک سرور DC معمولی در شرکت در اصفهان داریم، این شرکت یک دفتر شعبه در تهران دارد و نیز کارمندان خود را دارد حال میخواهیم یک سرور DC ثانویه در شعبه تهران برای بالا بردن Performance شبکه ایجاد کنیم. اگر بخواهیم سرور Additional را بصورت معمول ایجاد کنیم یعنی در واقع تمامی اطلاعات سرور DC در سرور Additional کپی خواهد شد که اگر کسی در پشت سرور Additional در شعبه تهران قرار بگیرد میتواند به تمامی اطلاعات سرور دسترسی داشته باشد و هر تغییری را که بخواهد میتواند انجام دهد چونکه تبادل داده بین سرورهای DC دو طرفه میباشد یعنی فرضا هم از سرور DC1 به طرف DC2 و هم از طرف سرور DC2 به طرف سرور.DC1 در این مثالی که زدیم سناریو را بدین صورت در نظر میگیرم که در طرف شعبه تهران نفری بعنوان Admin شبکه نداریم که مدیریت این سرور را به آن شخص بسپاریم و یا ترس از این داریم که اگر Admin شبکه نداشته باشیم شاید تمامی اطلاعات سرور در دسترس افرار سودجو قرار گیرد به همین دلیل باید سرور Additional در دفتر شعبه تهران را جوری پیادهسازی کنیم که اطلاعات این سرور غیره قابل دسترسی باشد، مایکروسافت برای همچین سناریوهایی بود که مفهوم RODC را بوجود آورد که با ایجاد چنین حالتی دیگر سرور DC سمت دفتر شعبه تهران فقط خواندنی و read only خواهد بود و تمامی اطلاعاتش غیره قابل تغییر میباشند که به عبارتی فقط خواندنی میشوند. در سرور RODC سرویس DNS و Global Catalog هم فقط خواندنی میباشند.
یک نکته را در نظر داشته باشید که در RODC هیچ پسوردی بصورت پیشفرض ذخیره نشده است. پس مورد دیگر استفاده در مکانهایی هست که امنیت فیزیکی(physical security) نداریم و مشتریان میتوانند با سرقت سرور یا هارددیسکهای آنها اطلاعات حساس مشتریان را بدست آورند.
احراز هویت توسط پروتکل Kerberos انجام میشود که پروتکل احراز هویت پیشفرض اکتیودایرکتوری است. مهمترین قانون در Kerberos این است که اگر شما Ticket احراز هویت نداشته باشید، بنابراین احراز هویت هم نمیشوید و دسترسیها برای شما باز نخواهند شد. شما از Kerberos برای همه سرویسهای دامین استفاده میکنید ، برای انجام برخی کارها حتی کامپیوترها نیز در اکتیودایرکتوری بایستی احراز هویت شوند چه برسد به کاربران ، بنابراین بسیار ضروری است که شما سیستم احراز هویتی خودتان را که در دفتر مرکزی دارید در شعبهها و نمایندگیها هم داشته باشید و از همه مهمتر شما باید سیستمی داشته باشید که حتی در صورت از بین رفتن لینک و ارتباط بین دفتر اصلی و شعبه یا نمایندگی ، همچنان بتواند احراز هویت کاربران را نیز انجام بدهد.
برای عملیات احراز هویت از RWDC های دیگر استفاده میکند و بنابراجازه یPassword Replication Policy قابلیت Cache کردن پسوردها به RODCرا هم خواهد داشت و صرفا اولین بار هنگام لاگین یوزر RODC به سراغ RWDC می رود.
و در نبود ارتباط بین RWDC وRODC لاگین کاربران و استفاده آنها از سرویسها از دست نخواهد رفت.
مشاهده دورههای آموزش امنیت شبکه و آموزش برنامه نویسی از سایت کندو.
