معرفی Read Only Domain Controller بخش اول
RODCیک Feature در Active Directory Domain Services می باشد که از Windows server 2008 معرفی گردید. اساس انجام این کار توسط شرکت مایکروسافت به خاطر نداشتن یا نبودن امنیت در مکان های خارج از دفتر مرکزی است تا دامین کنترلر بهتر محافظت بشود در واقع RODC یک نسخه ی فقط خواندنی از پارتیشن های پایگاه داده اکتیودایرکتوری و یک کپی فقط خواندنی از محتویات پوشه ی Sysvol می باشد. دامین کنترلر ها اطلاعات را با استفاده از بیرون کشیدن هر تغییری که در دیگر دامین کنترلرها رخ می دهد Replicate می کنند. به دلیل اینکه تعییرات انجام شده توسط کاربر به طور مستقیم روی RODC نوشته نمی شوند بنابراین می توان گفت تغییرات از RODC نمی باشد بنابراین دیگر دامین کنترلرها مجبور نیستند تغییرات را از RODC ها بیرون بکشند. با جایگرین کردن RODC ها با Writable Domain Controller در مراکزی خارج از سازمان مرکزی شما می توانید یک توپولوژی Replication ساده از محیط داشته باشید و بار را از روی دامین کنترلرها در مکان های مرکزی کاهش بدهید.
RODC Sysvol
Sysvol مخفف کلمه SYStem VOLume است. در سیستم عامل ویندوز زمانیکه شما یک دامین کنترلر راه اندازی می کنید پوشه ای به این نام درست می شود که در آن اطلاعات و داده های عمومی که بایستی در سطح دامین در دسترس باشند در آن قرار می گیرند ، این اطلاعات معمولا برای انجام فرآیند Replication اطلاعات اکتیودایرکتوری شما مورد استفاده قرار می گیرند. واژه Sysvol در واقع به مجموعه ای از فایل ها و پوشه ها گفته می شود که بصورت محلی بر روی هارد دیسک های همه دامین کنترلرهای موجود در یک دامین قرار گرفته است و این فایل ها و پوشه ها با یکدیگر با استفاده از سرویس File Replication Service یکسان سازی یا Replicate می شوند. کلاینت های موجود در شبکه شما از طریق استفاده از پوشه های Netlogon و Sysvol می توانند به دستورات و فرمان ها و همچنین داده هایی که سرور دامین در اختیار آنها قرار می دهد دسترسی پیدا کنند. تمامی Policy هایی که شما در یک دامین ایجاد می کنید و به ویژه Policy های مربوط به دامین کنترلرها و همچنین Logon Script هایی که بایستی بر روی اعضای دامین اجرا شوند در این پوشه قرار دارند.
پوشه ی به اشتراک گذاشته شده Sysvol در RODC فقط خواندنی می باشد. این پوشه با استفاده از (File Replication Services (FRS و (Distribute File System (DFS عملیات Replication را در RODC انجام می دهد. اینکه FRS و DFSR چگونه پوشه ی Sysvol را در RODC ، آپدیت می کنند با هم تفاوت دارند. زمانی که forest Functional Level آن ها Windows server 2000 یا Windows Server 2003باشد از FRS و زمانی که forest Functional Level آن ها Windows server 2008 باشد از DFS استفاده می شود.
در سازمان های که به ویندوز سرور های بالاتر ارتفا داده می شوند برای Replicate پوشه ی Sysvol از DFSR استفاده می شود. در Windows server 2008 RODC یک Administrator می تواند در پوشه ی Sysvol تغییر ایجاد کند این تغییرات حتی در صورتی که پوشه ی Sysvol با دیگر دامین کنترلرها Replicate کند باقی می مانند. اما در نسخه های بالاتر حتی اگر Administrator پوشه ی Sysvol RODC را تغییر بدهد این تغییرات هنگام Replicate شدن با بقیه ی دامین کنترلرها Overwrite می شوند.
جدول زیر خلاصه ای از رفتار FRS و DFSR را در ویندوز سرورهای 2008 و2008r2 را نشان می دهد:
|
Local changes are not replicated out, and they are not discarded. |
Windows Server 2008 RODC, where SYSVOL is replicated with FRS |
|
Local changes are not replicated out, and they are discarded. |
Windows Server 2008 RODC, where SYSVOL is replicated with DFSR |
|
Local changes are not replicated out, and they are not discarded. |
Windows Server 2008 R2 RODC, where SYSVOL is replicated with FRS |
|
Local changes are blocked by a file system filter driver. |
Windows Server 2008 R2 RODC, where SYSVOL is replicated with DFSR |
شرکت مایکروسافت توصیه کرده که برای Replicate پوشه ی Sysvol RODC از DFSR استفاده شود زیرا DFSR همه ی تغییراتی که به صورت لوکالی ایجاد شده اند را باز می گردانند. هیچ Event Log ای برای زمانی که DFSR تغییرات را باز می گردانند وجود ندارد.
(RODC Filtered Attribute Set (RODC FAS
RODC یک کپی کامل از پایگاه داده اکتیودایرکتوری دارد در واقع یک کپی فقط خواندنی از تمام پارتیشن ها می باشد به عنوان مثال RODC شامل یک کپی فقط خواندنی از Schema و Configuration پارتشین می باشد. اگر شما از Active Directory–integrated Domain Name System(DNS) استفاده می کنید RODC DNS Server یک کپی فقط خواندنی از DNS application directory پارتیشن دارد.
بنابراین به صورت پیش فرض مجموعه ای از Attribute ها وجود دارند که باRODC ، Replicate نمی شود:
- Attribute هایی که عضو RODC FAS هستند .
- Credential ها به صورت پیش فرض RODC اطلاعات کاربران یا کامپیوترها را ذخیره نمی کند. فقط اطلاعات کاربران کامپیوتر خود و یک اکانت Krbtgt سرور RODC را ذخیره می کند.
با استفاده از قابلیت RODC FAS شما میتوانید مشخص کنید که کدام Attribute ها اجازه دارند با RODC ، Replicate بشوند و کدام Attribute ها اجازه ی Replicate شدن را ندارند.
توصیه می شود که شما Attribute هایی که محرمانه می باشند را علامت بزنید و RODC FAS را تنظیم کنید ، این کار باعث می شود که Attribute های محرمانه در سرور RODC ای که به خطر افتاده است محافظت شوند.
