خوش آموز درخت تو گر بار دانش بگیرد، به زیر آوری چرخ نیلوفری را
راه اندازی Read-Only Domain Controller یا RODC
برای اولین بار مفهوم read-only domain controller یا RODC در ویندوز سرور 2008 معرفی شد. وظیفه اصلی فناوری RODC نصب ایمن دامین کنترلر شما در دفاتر آفیس ها و شعبات راه دور است که بصورت خواندنی یک Additional domain از دامین اصلی ایجاد می شود. این بدان معناست که هیچ کس نمی تواند داده ها را در AD تغییر دهد(البته در سروی که بصورت RODC راه اندازی شده است. حتی پسورد Administrator دامین را هم نمی توانید ریستارت کنید).
در این مقاله به ویژگی های اصلی RODC و چگونگی استقرار یک دامین گنترلر فقط خواندنی جدید درWindows Server خواهیم پرداخت.
➊RODC یک کپی فقط برای خواندن از پایگاه داده AD را ذخیره می کند. بنابراین کلاینت های این دامین کنترلرها ها نمی توانند در آن تغییری ایجاد کنند.
➋RODC ها داده های اکتیودایرکتوری و فولدر SYSVOL را بین سایر دامین کنترلرها(RWDC) تکثیر یا replicate نمی کنند.
➌RODC یک کپی کامل از پایگاه داده AD به جز هش پسورد آبجکت هایAD و برخی دیگر از ویژگی های حاوی اطلاعات حساس را در خود ذخیره می کند. این مجموعه از attribute ها Filtered Attribute Set یا FAS نام دارد. ویژگی هایی مانند ms-PKI-AccountCredentials ، ms-FVE-RecoveryPassword ، ms-PKI-DPAPIMasterKeys و غیره در آن گنجانده شده است. در صورت لزوم، می توانید برخی از attribute های دیگر را اضافه کنید، به عنوان مثال، اگر از LAPS استفاده می کنید، ms-MCS-AdmPwd باید به مجموعه اضافه شود.
➍اگر RODC درخواست احراز هویت را از کاربر دریافت کند، درخواست را به RWDC ارسال می کند.
➎RODC می تواند اطلاعات کاربری برخی از کاربران را پنهان کند (این امر احراز هویت را سرعت می بخشد و به کاربران اجازه می دهد تا از داین کنترلر مجوز بگیرند، حتی اگر هیچ ارتباط کاملی با DC نداشته باشد).
خب، برای راه اندازی Read-Only Domain Controller شرایطی را باید فراهم کنید:
➊سرور شما باید IP Address ثابت داشته باشد.
➋فایروال ویندوز باید غیرفعال یا به درستی پیکربندی شود تا ترافیک بین DC ها و دسترسی کلاینت را فراهم کند.
➌نزدیک ترین RWDC باید به عنوان DNS Server معرفی شود.
سپس کنسول Server manager را در این ویندوز باز کنید و مراحل را ادامه دهید.
روش های باز کردن کنسول Server Manager در ویندوز سرور
آشنایی با کنسول Server Manager ویندوز سرور
نحوه افزودن و گروه بندی کردن سرورها در کنسول Server Manager ویندوز سرور
نحوه اضافه کردن سرورهای Workgroup به کنسول Server Manager
در کنسول، تیک گزینه Active Directory Domain Services را فعال کرده و پیغامی که ضرورت نصب برخی کامپوننت ها و Feature ها را نشان می دهد، Add features کنید.
به همین منوال مراحل نصب را دنبال کنید و پس از اینکه نصب به اتمام رسید، حالا نوبت به Promot کردن سیستم به دامین کنترلر است(اگر دامین کنترلر نصب کرده باشید با همه این مراحل آشنایی دارید).
سپس در مرحله زیر، گزینه Add a domain controller to an existing domain را فعال کرده و سپس Domain را مشخص کنید. پس از آن باید credential ای که دسترسی administrator دارد را معرفی کنید که در اینجا از همان administrator دامین استفاده شده است.
در این مرحله تیک گزینه RODC را فعال کرده و پسورد DSRM را وارد کنید.
در این مرحله برای تعیین گزینه های RODC، کاربرانی را که به آنها دسترسی مدیریتی به domain controller اختصاص داده می شود، و لیست اکانتها/گروه هایی را که پسورد آنها مجاز/غیرمجاز به Replicate در RODC است (بعداً می توانید این کار را انجام دهید) مشخص کنید.
مشخص کنید که اطلاعات موجود در پایگاه داده AD از هر DC قابل replicate است. پس از کامبوباکس گزینه Any Domain Controller را انتخاب و Next کنید.
سپس مسیرهای مربوط به پایگاه داده NTDS ، لاگ ها مربوطه و فولدر SYSVOL را مشخص کنید (در صورت لزوم بعداً می توانند به دیسک دیگری منتقل شوند).
سایر مراحل را هم next کرده و در نهایت Install کنید و منتظر بمانید تا نصب به اتمام برسد. پس از اتمام نصب، RODC شما آماده است.
این روش، ازطریق کنسول server manager به روش گرافیکی بود ولی در ادامه کار از طریق دستورت پاورشل اقدام به نصب RODC خواهیم کرد.
سپس دستور زیر را در پاورشل وارد کنید:
پس از آن برای نصب RODC از دستور زیر استفاده کنید فقط مقادیر خودتان را جایگزین کنید.
پس از اتمام نصب، درخواست ریستارت سرور به شما داده می شود که باید ویندوز را ریستارت کنید. حتی اگر سرور خودتان ریستارت کنیدف سیستم پس از لحظاتی به صورت خودکار ریستارت می شود.
خب، حالا که نصب به اتمام رسید و سیستم را ریستارت کردید، برای چک کردن اینکه ببینید سرور در حالت RODC در حال اجراست، از دستور زیر استفاده کنید:
در دستور فوق به جای RODC باید نام سرور خودتان را جایگزین کنید. در خروجی دستور اگر مقدار Attribute با نام IsReadOnly برابر True بود نشان از دامین فقط خواندنی است.
به طور پیش فرض ، دو گروه Global جدید در دامین ایجاد می شوند:
به طور پیش فرض، گروه اول خالی است و گروه دوم شامل security group مدیریتی است که برای جلوگیری از به خطر افتادن پسوردهایشان نمی توان در RODC تکثیر یا پنهان کرد. به طور پیش فرض، گروه های زیر در اینجا گنجانده شده است:
به عنوان یک Rule، می توانید گروه هایی از کاربران شعبه را که توسط این RODC سرویس دهی می شوند به Allowed RODC Password Replication اضافه کنید.
اگر چندین دامین کنترلر وجود داشته باشند توصیه می شود این گروه ها را به صورت جداگانه برای هر RODC ایجاد کنید. شما می توانید گروه ها را به RODC در تب PasswordReplication Policy آنهم در Properties سرورها در کنسول ADUC اضافه کنید.
اگر با استفاده از کنسول ADUC دامین کنترلر RODC متصل شوید، حتی Domain Administrator نیز نمی تواند ویژگی های اکانتها و کاربران را ویرایش کند و یا موارد جدیدی اضافه کند.
در این مقاله به ویژگی های اصلی RODC و چگونگی استقرار یک دامین گنترلر فقط خواندنی جدید درWindows Server خواهیم پرداخت.
Features of the Read-Only domain controller (RODC)
بین دامین کنترلرهای RODC یا فقط خواندنی با دامین کنترلرهایی که عمل خواندن و نوشتن روی آنها می تواند انجام شود(RWDC یا read/write domain controllers) تفاوتهایی وجود دارد که در ادامه به تفاوت های آنها می پردازیم:➊RODC یک کپی فقط برای خواندن از پایگاه داده AD را ذخیره می کند. بنابراین کلاینت های این دامین کنترلرها ها نمی توانند در آن تغییری ایجاد کنند.
➋RODC ها داده های اکتیودایرکتوری و فولدر SYSVOL را بین سایر دامین کنترلرها(RWDC) تکثیر یا replicate نمی کنند.
➌RODC یک کپی کامل از پایگاه داده AD به جز هش پسورد آبجکت هایAD و برخی دیگر از ویژگی های حاوی اطلاعات حساس را در خود ذخیره می کند. این مجموعه از attribute ها Filtered Attribute Set یا FAS نام دارد. ویژگی هایی مانند ms-PKI-AccountCredentials ، ms-FVE-RecoveryPassword ، ms-PKI-DPAPIMasterKeys و غیره در آن گنجانده شده است. در صورت لزوم، می توانید برخی از attribute های دیگر را اضافه کنید، به عنوان مثال، اگر از LAPS استفاده می کنید، ms-MCS-AdmPwd باید به مجموعه اضافه شود.
➍اگر RODC درخواست احراز هویت را از کاربر دریافت کند، درخواست را به RWDC ارسال می کند.
➎RODC می تواند اطلاعات کاربری برخی از کاربران را پنهان کند (این امر احراز هویت را سرعت می بخشد و به کاربران اجازه می دهد تا از داین کنترلر مجوز بگیرند، حتی اگر هیچ ارتباط کاملی با DC نداشته باشد).
خب، برای راه اندازی Read-Only Domain Controller شرایطی را باید فراهم کنید:
➊سرور شما باید IP Address ثابت داشته باشد.
➋فایروال ویندوز باید غیرفعال یا به درستی پیکربندی شود تا ترافیک بین DC ها و دسترسی کلاینت را فراهم کند.
➌نزدیک ترین RWDC باید به عنوان DNS Server معرفی شود.
Installing RODC Using Server Manager GUI
تنظیمات کارت شبکه سروری که قرار است RODC شود را باز کرده و IP ثابت بدان تخصیص دهید. سپس DNS Server نزدیک ترین دامین کنترلر که DNS روی آن نصب است را معرفی کنید.سپس کنسول Server manager را در این ویندوز باز کنید و مراحل را ادامه دهید.
روش های باز کردن کنسول Server Manager در ویندوز سرور
آشنایی با کنسول Server Manager ویندوز سرور
نحوه افزودن و گروه بندی کردن سرورها در کنسول Server Manager ویندوز سرور
نحوه اضافه کردن سرورهای Workgroup به کنسول Server Manager
در کنسول، تیک گزینه Active Directory Domain Services را فعال کرده و پیغامی که ضرورت نصب برخی کامپوننت ها و Feature ها را نشان می دهد، Add features کنید.
به همین منوال مراحل نصب را دنبال کنید و پس از اینکه نصب به اتمام رسید، حالا نوبت به Promot کردن سیستم به دامین کنترلر است(اگر دامین کنترلر نصب کرده باشید با همه این مراحل آشنایی دارید).
سپس در مرحله زیر، گزینه Add a domain controller to an existing domain را فعال کرده و سپس Domain را مشخص کنید. پس از آن باید credential ای که دسترسی administrator دارد را معرفی کنید که در اینجا از همان administrator دامین استفاده شده است.
در این مرحله تیک گزینه RODC را فعال کرده و پسورد DSRM را وارد کنید.
در این مرحله برای تعیین گزینه های RODC، کاربرانی را که به آنها دسترسی مدیریتی به domain controller اختصاص داده می شود، و لیست اکانتها/گروه هایی را که پسورد آنها مجاز/غیرمجاز به Replicate در RODC است (بعداً می توانید این کار را انجام دهید) مشخص کنید.
مشخص کنید که اطلاعات موجود در پایگاه داده AD از هر DC قابل replicate است. پس از کامبوباکس گزینه Any Domain Controller را انتخاب و Next کنید.
سپس مسیرهای مربوط به پایگاه داده NTDS ، لاگ ها مربوطه و فولدر SYSVOL را مشخص کنید (در صورت لزوم بعداً می توانند به دیسک دیگری منتقل شوند).
سایر مراحل را هم next کرده و در نهایت Install کنید و منتظر بمانید تا نصب به اتمام برسد. پس از اتمام نصب، RODC شما آماده است.
این روش، ازطریق کنسول server manager به روش گرافیکی بود ولی در ادامه کار از طریق دستورت پاورشل اقدام به نصب RODC خواهیم کرد.
Installing RODC on Windows Server Using PowerShell
برای deploy کردن RODC باید ماژول های ADDS role و ADDS PowerShell module را نصب کنید. اگر سرورتان دسکتاپ است، Powershell را به صورت Run as admin اجرا کنید و در صورتی که ویندوز سرور Core دارید کافیست دستور زیر را در CMD وارد و Enter کنید تا Powershell به صورت Run as admin اجرا شود.
runas /user:administrator powershell.exe
سپس دستور زیر را در پاورشل وارد کنید:
Add-WindowsFeature AD-Domain-Services, RSAT-AD-AdminCenter,RSAT-ADDS-Tools
پس از آن برای نصب RODC از دستور زیر استفاده کنید فقط مقادیر خودتان را جایگزین کنید.
Install-ADDSDomainController -ReadOnlyReplica -DomainName khoshamoz.com -SiteName "Default-First-Site-Name" -InstallDns:$true -NoGlobalCatalog:$false
پس از اتمام نصب، درخواست ریستارت سرور به شما داده می شود که باید ویندوز را ریستارت کنید. حتی اگر سرور خودتان ریستارت کنیدف سیستم پس از لحظاتی به صورت خودکار ریستارت می شود.
Install-ADDSDomainController -ReadOnlyReplica -DomainName khoshamoz.com -SiteName "Default-First-Site-Name" -InstallDns:$true -NoGlobalCatalog:$falseپس از اینکه دستور فوق را وارد و Enter کنید، از شما درخواست پسورد SafeModeAdministratorPassword می کند که همان پسورد DSRM است. پسورد را وارد کرده و سپس منتظر بمانید تا نصب به اتمام برسد.
خب، حالا که نصب به اتمام رسید و سیستم را ریستارت کردید، برای چک کردن اینکه ببینید سرور در حالت RODC در حال اجراست، از دستور زیر استفاده کنید:
Get-ADDomainController -Identity RODC
در دستور فوق به جای RODC باید نام سرور خودتان را جایگزین کنید. در خروجی دستور اگر مقدار Attribute با نام IsReadOnly برابر True بود نشان از دامین فقط خواندنی است.
Password Replication in RODC
در هر RODC می توانید لیستی از کاربران یا گروه هایی را تعیین کنید که پسورد آنها مجاز/ غیرمجاز به Replicate در این دامین کنترلر باشد.به طور پیش فرض ، دو گروه Global جدید در دامین ایجاد می شوند:
Allowed RODC Password Replication Group
Denied RODC Password Replication Group
به طور پیش فرض، گروه اول خالی است و گروه دوم شامل security group مدیریتی است که برای جلوگیری از به خطر افتادن پسوردهایشان نمی توان در RODC تکثیر یا پنهان کرد. به طور پیش فرض، گروه های زیر در اینجا گنجانده شده است:
Group Policy Creator Owners
Domain Admins
Cert Publishers
Enterprise Admins
Schema Admins
Account krbtgt
Account Operators
Server Operators
Backup Operators
به عنوان یک Rule، می توانید گروه هایی از کاربران شعبه را که توسط این RODC سرویس دهی می شوند به Allowed RODC Password Replication اضافه کنید.
اگر چندین دامین کنترلر وجود داشته باشند توصیه می شود این گروه ها را به صورت جداگانه برای هر RODC ایجاد کنید. شما می توانید گروه ها را به RODC در تب PasswordReplication Policy آنهم در Properties سرورها در کنسول ADUC اضافه کنید.
اگر با استفاده از کنسول ADUC دامین کنترلر RODC متصل شوید، حتی Domain Administrator نیز نمی تواند ویژگی های اکانتها و کاربران را ویرایش کند و یا موارد جدیدی اضافه کند.
دسته بندی مطالب خوش آموز
نمایش دیدگاه ها (0 دیدگاه)
دیدگاه خود را ثبت کنید: