RODC سرور چیست و نحوه راه اندازی آن در Windows Server 2016

۲۵ فروردین ۱۳۹۷ IT

شاید تا بحال با مفهوم RODC (Read Only Domain Control) زیاد برخورد داشته اید و می دانید که چه نوع سروری می باشد ولی با این حال در این پست توضیحی مختصر در مورده سرور RODC و نحوه پیاده سازی آن در ویندوز سرور ۲۰۱۶ خواهیم داد.
همانطور که از نام این سرور می توان فهمید یک دامین سروری می باشد که فقط خواندنی هست، یعنی تمامی اطلاعات موجود در این سرور فقط قابل مشاهده می باشد و نه می توان در آن اطلاعات تغییری ایجاد کرد و نه می توان حذف کرد و نه می توان اطلاعات جدیدی را ایجاد کرد.
سرور RODC در واقع یک سرورDC از نوع Additional DC می باشد که تمامی اطلاعات موجود در این سرور فقط خواندنی می باشند حال در این قسمت از توضیحات یک سوال پیش میاد و آنهم این هست که در چه مواقعی ویا در چه سناریوهایی می توان از سرور RODC هستفاده کرد؟ درجواب این سوال می توان گفت که بر فرض مثال یک سرور PDC در شرکت واقع در شهر تبریز داریم، این شرکت یک دفتر شعدر در تهران دارد و نیز کارمندان خود را دارد حال می خواهیم یک سرور Additional DC در دفتر شعدر تهران برای بالا بردن Performance شبکه ایجاد کنیم. اگر بخواهیم سرور Additional را بصورت معمول ایجاد کنیم یعنی در واقع تمامی اطلاعات سرور PDC در سرور Additional کپی خواهد شد که اگر کسی در پشت سرور Additional در شعدر تهران قرار بگیرد می تواند در تمامی اطلاعات سرور دسترسی داشته باشدو هر تغییری را که بخواهد می تواند انجام دهد چونکه تبادل داده بین سرور های PDC و Additional دو طرفه می باشد یعنی هم از سرور Additional در طرف PDC و هم از طرف سرور PDC در طرف سرور Additional . در این مثالی که زدیم سناریو را بدینصورت در نظر می گیرم که در طرف شعدر تهران نفری بعنوان Admin شبکه نداریم که مدیریت این سرور را در آن شخص بسپاریم و یا ترس از این داریم که اگر Admin شبکه نداشته باشیم شاید تمامی اطلاعات سرور در دسترس افرار سودجو قرار گیرد در همین دلیل باید سرور Additional در دفتر شعدر تهران را جوری پیاده سازی کنیم که اطلاعات این سرور غیره قابل دسترسی باشد، مایکروسافت برای همچین سناریوهایی بود که مفهوم RODC را بوجود آورد که با ایجاد چنین حالتی دیگر سرور Additional سمت دفتر شعدر تهران فقط خواندنی خواهد بود وتمامی اطلاعاتش غیره قابل تغییر می باشند که بعبارتی فقط خواندنی می شوند. در سرور RODC سرویس DNS و Global Catalog هم فقط خواندنی می باشند. بعد از ارائه توضیحات تئوری در مورده RODC در این بخش در نحوه پیاده سازی این سرور در محیط ویندوز سرور ۲۰۱۶ می پردازیم.
در این بخش ما از دو سرور هستفاده می کنیم که یکی در نقش سرور PDC هست و دیگری نیز در نقش سرور Additional از نوع RODC می باشد. در این مقاله در مورده راه اندازی سرور PDC توضیحاتی ارائه نخواهیم داد و فرض را بر این میگیریم که یک سرور PDC آماده داریم. برای کسب اطلاعات بیشتر در مورده راه اندازی سرور PDC در مقاله "طریقه راه اندازی Active Directory در ویندوز سرور ۲۰۱۲R2 " مراجعه بفرمائید.
در این سناریو ما دو سرور در نامهای Server-1 و Server-2 داریم که در هر دو تای آنها دارای سیستم عامل Server 2016 می باشند، در داخل Server-1 سرویس PDC را راه اندازی کرده ایم یعنی این سرور در نقش PDC می باشد.


مشخصات این سرور :
Operation System : Server 2016
Domain Name: Cyber.local
IP: 192.168.100.1
IP DNS: 192.168.100.1
بعد از راه اندازی Server-1 بعنوان سرور PDC نوبت در این رسیده که Server-2 را بعنوان یک سرور Additional از نوع RODC راه اندازی کنیم. در مرحله اول مشخصات TCP/IP سرور دوم بدینصورت خواهد بود
IP: 192.168.100.2
IP DNS: 192.168.100.1
قبل از راه اندازی سرور RODC در این سرور یک Ping از نام دامین می گیریم تا مطمئن شویم که تنظمیات از لحاظ DNS ای درست باشد. آدرس DNS سرور RODC همان IP سرور PDC می باشد.




بعد از انجام تنظیمات اولیه سرور RODC نوبت در نصب و راه اندازی این سرویس در ویندوز سرور می رسد، قسمت اول راه انداری این سرور همانند راه اندازی سرور PDC می باشد یعنی از داخل Server Manager طبق شکل زیر گزینه Add Roles and Features را انتخاب می کنیم.

بعد از انتخاب این گزینه مراحل نصب را ادامه می دهیم تا اینکه در این مرحله برسیم:



در این مرحله بعد از انتخاب گزینه Install مرحله اول نصب دامین در پایان می رسد که در آخر با این صفحه مواجه می شویم:

مرحله بعدی راه اندازی دامین با انتخاب گزینه Promote this Server to a domain controller آغاز می شود این گزینه را انتخاب می کنیم. با توجه در شکل زیر از سه گزینه موجود گزینه اول را انتخاب می کنیم چونکه با انتخاب این گزینه ما می توانیم یک سرور Additional راه اندازی کنیم.


در مقابل
Textbox عبارت Domain اسم دامینی را که میخواهیم برای آن یک Additional راه اندازی کنیم وارد می کنیم که با توجه در سناریوی ما دامین Cyber.local می باشد. درقسمت پایین یعنی Supply the Credentials to performs this operation سیستم از ما یک یوزری را می خواهد که این یوزر دارای اختیاراتی باشد که توسط آن اختیارات بتوانیم در این سرور، سروری از نوع Additional را راه اندازی کنیم که با توجه در شکل بالا یوزره مربوطه را وارد می کنیم و سپس Ok می کنیم و بعد گزینه Next را برای ادامه کار انتخاب می کنیم.بعد از این مرحله وارد صفحه Domain Controller Options می شویم که بعبارتی شکل زیر می شود. در این سناریو چونکه می خواهیم یک سرور Additional از نوع RODC پیاده سازی کنیم در همین دلیل در صفحه مربوطه تیک گزینه Reade only domain controller را انتخاب می کنیم و سپس در پایین صفحه پسورد DSRM را وارد می کنیم.


بعد از سپری کردن این مرحله وارد صفحه
RODC Options می شویم که این صفحه، صفحه اصلی تنظیمات سرور RODC می باشد.

با توجه در شکل بالا این صفحه دارای سه بخش می باشد، توضیحات این بخش ها از پایین در بالا می باشد. در بخش اول از پایین آن دسته از گروههایی که پسورد اعضای آن گروهها نمی توانند در داخل سرور RODC ذخیره شوند را مشاهده می کنیم که این گروهها بصورت Built-in می باشند و Admin شبکه این گروهها را در این بخش وارد نکرده، برای مثال می توان در گروههای Administrators و Server Operators اشاره کرد، البته می توانیم توسط گزینه Add آن گروههایی را که نمی خواهیم پسوردشان در داخل سرور RODC ذخیره شوند را خودمان مستقیم وارد کنیم.
بخش دوم از پایین اشاره می کند در این مطلب که می توانیم در این بخش آن یوزرهایی که می خواهیم پسوردشان سمت سرور RODC ذخیره شوند را بصورت دستی از طریق گزینه Add وارد کنیم که با توجه در این توضیحات با انتخاب گزینه Add از صفحه مربوطه یوزره user-1 را انتخاب و سپس OK می کنیم.


حال در بخش آخر یوزری را وارد می کنیم که توسط آن اجازه مدیریت سروری را خواهیم داشت که بر روی آن
RODC راه اندازی شده یعنی بعبارتی همانطور که گفتیم سرور RODC فقط خواندنی می باشد و هیچ تغییراتی را نمی توانیم در داخل آن ایجاد کنیم چونکه ماهیت این نوع سرور هست که این شرایط را بوجود آورده هست حال با توجه با توضیحات داده شده نمی توانیم توسط یوزره Domain Admins در این سرور وارد شویم چونکه اگر این کار را بکنیم در اینصورت این سرور ماهیت فقط خواندنی(Read only) بودن خود را از دست می دهد در همین دلیل باید در این بخش یوزری را وارد کنیم که این یوزر تابع قوانین سروره RODC باشد یعنی بغیر از تغییراتی در داخل خوده ویندوز سرور قادر در انجام هیچ تغییرایی در سرویس های این سرور نداشته باشد، با توجه در سناریوی ما از یوزره user-2 هستفاده می کنیم.

بعد از انجام تنظیمات مربوط در این صفحه گزینه Next را انتخاب می کنیم. در صفحه مربوط در Additional Option دامینی را که می خواهیم برای آن Additional راه اندازی کنیم را از بخش Replicate From انتخاب می کنیم سپس گزینه Next را انتخاب می کنیم. بعد از این صفحه مروری از تمامی تنظیماتیکه تا این بخش انجام داده ایم را می کنیم و سپس گزینه Install را برای نصب سرور Additional از نوع RODC را انتخاب می کنیم. سیستم بعد از نصب بصورت کامل کلا ریستارت می شود.

حال بعد از اینکه سرور ریستارت شد و بالا آمد توسط یوزره user-2 در سرور لاگین می شویم.

بعد از اینکه با یوزره user-2 در سرور لاگین کردیم امتحان می کنیم نسبت در اینکه آیا در داخل بخش های مختلف این سرور می توانیم تغییراتی را ایجاد کنیم؟ مثلاً در بخش Active Directory Users and Computers می توانیم یوزر و یا گروهی ایجاد کنیم و یا اینکه یوزر و یا گروهی را می توانیم پاک کنیم و یا اینکه ویرایش کنیم؟همه اینها را تست می کنیم.

با توجه در شکل بالا در بخش Active Directory Users and Computers موجود در سرور PDC ما توانستیم یک OU در نام IT ایجاد کنیم و در داخل آن یوزرهای user-1 , user-2 , user-3 را نیز ایجاد کردیم، حال اگر در سمت سروره Additional برویم می بینیم که همه این مواردی را که ایجاد کردیم در آن بخش نیز Replicate شده در اینجا هست که مطمئن می شویم سرورهای ما در درستی کار می کنند اما شرط اصلی هنوز مانده هست و آن هم تست اینکه آیا ما بعنوان مسئول شبکه می توانیم در داخل سرور Additional می توانیم تغییراتی را ایجاد کنیم؟ تست اینکه می توانیم در این سرور تغییراتی را ایجاد کنیم یا نه بدین حالت می باشد که اولا وارد بخش Active Directory Users and Computers سرور می شویم سپس در بخش سازمانی IT رهست کلیک می کنیم تا اینکه توسط گزینه New اقدام در ایجاد یک user و یا Group کنیم در این حالت اگر گزینه New را مشاهده نکنیم در اینصورت می توان گفت که تمامی تنظیمات ما در درستی انجام شده هست.

اگر در گزینه هایی که وسط کادرقرمز هستند نگاه کنیم گزینه ای در نام New که از آن برای ایجاد user و Group هستفاده می شود مشاهده نمی کنیم و یا اگر بخواهیم user و یا Group ای را حذف کنیم با این پیغام مواجه خواهیم شد.


تا این قسمت از سناریو مراحل راه اندازی سرور
RODC و تست های مربوطه را انجام دادیم، حال دراین قسمت از سناریو یک کاری رو میخواهیم انجام دهیم و آن هم این هست که در داخل سرور PDC می خواهیم یک گروهی را ایجاد کنیم و user هایی که میخواهیم پسوردشان در داخل سرور RODC ذخیره شوند را عضو این گروه می کنیم سپس تست می کنیم که آیا واقعا پسورد یوزره مربوطه در داخل سرور RODC ذخیره شده هست یا نه؟
برای انجام این کار در داخل سرور PDC یک گروهی بر فرض مثال با نام RODC-Users ایجاد می کنیم و یوزرهای مربوطه را عضو این گروه می کنیم.


در بخش user قسمت Active Directory users and Computers موجود در سرور PDC یک گروهی هست در نام Allowed RODC Password Replication Group که Object این گروه اساسا بر روی Group می باشد و هر گروهی را که عضو این گروه بکنیم پسورد اعضای آن گروه در سرور RODC ذخیره خواهد شد که ما گروهی را که ایجاد کردیم را عضو این گروه می کنیم.

حال برای اینکه بصورت عملی ببینیم که آیا پسورد اعضای گروهی را که ایجاد کردیم در سرور RODC ذخیره شده اند یا نه؟ حتما باید هر یک از اعضای گروه مورده نظر در یکی از سیستم ها حداقل یک بار لاگین کرده باشند، برای اینکه ما در این سناریو شاهد این عمل باشیم توسط یکی از اعضای گروهی که ایجاد کردیم در یکی از سیستم ها لاگین می کنیم(یوزری که در نظر گرفته ایم User-1 می باشد). توسط user-1 در یکی از سیستم ها لاگین می کنیم و بعد واردسرور RODC می شویم و در مسیر زیر می رویم:
در سرور PDC وار بخش Active Directory user and Computers می شویم و در آن بخش در قسمت Domain Controllers می رویم و بر روی کامپیوتر اکانت سرور RODC رهست کلیک می کنیم و Properties می گیریم و از صفحه باز شده وارد تب Password Replication Policy می شویم و از پایین صفحه گزینه Advances را انتخاب می کنیم و از صفحه باز شده وارد تب Policy usage می شویم، در این صفحه دو گزینه وجود دارد:

  1. Accounts Whose passwords are stored on this Read-only Domain Controller
  2. Accounts that have been Authentication to this Read-only Domain controller

اگر گزینه اولی را انتخاب کنیم در صفحه پایینی اش تمامی یوزرهایی که پسوردشان در این سرور ذخیره شده هست را نشان می دهد.

و اگر گزینه دومی را انتخاب کنیم تمامی یوزرهایی که توسط این سرور احراز هویت (Authentication) شده اند را نشان می دهد.

بر اساس توضیحاتی که ارائه کردیم یوزری اگر بخواهد پسوردش در سرور RODC ذخیره شود باید حداقل یکبار در یکی از سیستم ها لاگین کند، حال می خواهیم تنظیمات ما چیزی متفاوت از این تنظیمات باشد یعنی یوزر برای اینکه پسوردش در سرور ذخیره در یکی از سیستم ها لاگین نکند و پسوردش بصورت اتوماتیک در سرور RODC ذخیره شود برای انجام این کار از مسیری که اشاره کردیم وارد تب Resultant Policy می شویم وآن یوزرهایی که می خواهیم پسوردشان بصورت اتوماتیک در سرور RODC ذخیره شوند را دستی وارد می کنیم.

خوب در این مقاله ما توانستیم توضیحاتی هر چند مختصر در مورده سرور RODC و نحوه راه اندازی و انجام تنظیماتش ارائه دهیم امیدوارم مورده قبول دوستان عزیز قرار گرفته باشد.

دانلود آهنگ مسعود صادقلو ما به هم میایم