دامین کنترلرهای فقط خواندنی یا RODC

 

Read-Only Domain Controller ها یا RODC ها  Additional Domain Controller هایی هستند که یک نسخه فقط خواندنی از پارتیشن ها نگه داری می کنند. RODC ها برای قرارگیری در شعبه های شرکت اصلی یا Branch Office ها ساخته شده اند. معمولا این Branch Office ها شرایط محدود کننده ای همانند پهنای باند کم، امنیت فیزیکی نا مناسب، عدم وجود تکنسین شبکه، تعداد کم کاربر و دانش ناکافی در زمینه IT دارند بنابراین نگه داشتن یک دامین کنترلر در آنها ریسکی بزرگ است و امنیت تمام شبکه را به مخاطره می اندازد. این Branch Office ها معمولا با استفاده از یک WAN یا MAN به Main Office یا دفتر مرکزی متصل می شوند همچنین معمولا Branch Office ها با هم متصل نیستند به عبارت دیگر فقط یک لینک کم سرعت بین دفتر شعب و دفتر مرکزی موجود است و لینک پشتیبان وجود ندارد. همچنین پهنای باند لینک موجود هم بسیار کم است و ارتباط از کیفیت مناسبی نیز برخوردار نیست. در گذشته راه حلی نا مناسبی به غیر از راه اندازی یک DC در دفتر شعبه نداشتیم اما با ویندوز سرور ۲۰۰۸ نوع جدید و پر کاربردی از دامین کنترلرها به نام دامین کنترلرهای فقط خواندنی معرفی شد که راه گشای بسیار مشکلات گذشته است. توجه به RODC در طراحی های جدید بسیار مهم و مفید است ضمن آنکه می تواند هزینه های نگه داری و گاهی پیاده سازی را بکاهد. در تصویر زیر یک مثال را مشاهده می کنید:

11

اگر در Branch Office دامین کنترلری موجود نباشد بدون شک باید عملیات Authenticate از طریق لینک WAN و توسط دامین کنترلری که در Main Office موجود است انجام شود. حال در آغاز ساعت کاری که تمام کارمندان می خواهند Login کنند، با دو مشکل رو به رو خواهیم شد. یکی کمبود پهنای باند WAN و دیگری ترافیک بالای دامین کنترلر ها در Main Office. مسئله دیگر Service Ticket ها است که یکی از اجزای جدید Kerberos در ویندوز سرور ۲۰۰۸ است. فعلا هر چند نادرست اما تصور کنید مشابه یک کلیدی است که برای استفاده از سرویس ها توسط دامین کنترلرها برای کاربران صادر می شود و از آنجایی که در هر روز معمولا چندین بار این اتفاق برای هر کاربر می افتد، اگر در دفتر شعب دامین کنترلر نباشد باید از طریق لینک WAN و از دامین کنترلر موجود در Main Office صادر شود. این مسائل و مسائل مشابه دیگری ما را مجبور می سازد تا در هر Branch Office یک دامین کنترلر قرار دهیم و آن را به عنوان یک سایت معین کنیم. همچنین هر شعبه یک IP Subnet مخصوص خود خواهد داشت. اما با توجه به محدودیتی هایی که در ابتدا اشاره شد نمی توان یک دامین کنترلر را در شعب قرار داد چرا که اگر دامین کنترلر مورد هر نوع تهاجمی قرار گیرد، امنیت در تمام شبکه به مخاطره می افتد لذا از یک RODC استفاده می کنیم.

به غیر از کلمه ی عبور User Accounts یک RODC تمام اطلاعاتی که روی یک دامین کنترلر است را نگه داری می کند اما کلاینت ها نمی توانند تغییراتی روی RODC ذخیره کنند. برخی نرم افزاری هایی که از AD DS برای ذخیره سازی اطلاعات خود استفاده می کنند ممکن است اطلاعات پر اهمیتی همانند کلمه عبور یا کلید های Encryption را ذخیره کنند که نباید در RODC ها ذخیره شود. در این خصوص هم می توانید معین کنید این اطلاعات پر اهمیت در RODC ها ذخیره نشوند. زمانی که کاربر می خواهد Login کند، RODC درخواست را دریافت می کند و آن را برای DC موجود در Main Office می فرستد. DC عملیات Authentication را انجام می دهد. اگر قابلیت Cache کردن در RODC فعال باشد، RODC اطلاعات را Cache می کند و اگر دفعه بعدی کاربر بخواهد Login کند، RODC خود جواب Authentication را می دهد. از آنجایی که RODC فقط اطلاعات یک زیر مجموعه ای از کاربران را Cache می کند، تهدید آنکه RODC مورد حمله قرار گیرد محدود می شود. DC های نوشتنی هم لیستی از اطلاعاتی که توسط دامین کنترلرها فقط خواندنی Cache شده را نگه داری می کنند. از آنجایی که Replication فقط یک طرفه صورت می گیرد، هیچ خطری نمی تواند شبکه را تهدید کند و تنها کافی است امنیت برای همان اطلاعات Cache شده بازسازی شود مثلا Password های همان عده از کاربران تغییر پیدا کند. بر خلاف DC ها RODC ها یک گروه Administrator به صورت Local دارند و می توانید به یک یا چند نفر از پرسنل Branch Office قابلیت مدیریت کردن را بدهید بدون آنکه عضو گروه Domain Admins باشند می توانند به نگه داری از RODC بپردازند و دیگر نگران فعالیت های آنان نخواهید بود. این چنین دیگر لازم نیست ساعات زیادی از وقت خود را صرف انتخاب permission های مناسب در بخش های Security کنسول های مختلف کنید.

نصب یک RODC :

برای نصب یک RODC مراحل زیر را طی کنید:

۱٫ اطمینان پیدا کنید که Forest Functional Level حداقل Windows Server 2003 است. (اینجا و اینجا را بخوانید)

۲٫ اگر در سراسر جنگل دامین کنترلری ویندوز سرور ۲۰۰۳ دارد adprep /rodcprep را اجرا کنید.

۳٫ اطمینان پیدا کنید حداقل یک DC ویندوز سرور ۲۰۰۸ دارد.

۴٫ نصب RODC

اگر یک Forest موجود را به روز رسانی می کنید تا شامل دامین کنترلر های ویندوز سرور ۲۰۰۸ باشد و قصد نصب RODC را دارید باید دستور adprep /rodcprep را اجرا کنید. این دستور باعث می شود تا مجوز های لازم جهت Replicate شدن Application Partition مربوط به DNS با RODC را ایجاد می کند. اگر تمامی دامین کنترلرها ویندوز سرور ۲۰۰۸ دارند نیازی به اجرای این دستور نیست. فایل ها مربوطه در دی وی دی ویندوز سرور ۲۰۰۸ در پوشه Sources در پوشه Adprep قرار دارد و این پوشه را در دامین کنترلری که رول Schema Master را دارد کپی کنید و در CMD به محلی که فایل ها را کپی کرده اید بروید و سپس دستور را اجرا کنید. توجه داشته باشید که برای اجرای این دستور باید مجوز های مدیریتی لازم را داشته باشید در واقع باید عضو گروه Enterprise Admins باشید چرا که قرار است Schema تغییر کند.

حداقل باید یک DC با ویندوز سرور ۲۰۰۸ وجود داشته باشد (در دامین) به صورت ایده آل این دامین کنترلر باید در نزدیک ترین سایت با به عبارت دیگر با کوتاه ترین لینک از محل قرار گیری RODC باشد. اگر می خواهید که RODC به عنوان DNS Server نیز عمل کند باید دامین کنترلر ویندوز سرور ۲۰۰۸ نیز شامل Zone های مربوطه باشد. نصب RODC مشابه نصب Additional Domain Controller است با این تفاوت که در انجام مراحل ویزارد باید چک باکس Read-Only Domain Controller را چک بزنید.

Read-Only DNS :

می توانید DNS Server را روی یک RODC نصب کنید و در این صورت کلاینت ها می توانند با ارسال Query به RODC که در واقع یک DNS Server است نام یا آی پی Resolve کنند. اما DNS Server ای که روی RODC است نمی تواند رکورد جدیدی روی آن ثبت شود. زمانی که کلاینت سعی می کند با استفاده از DDNS یک Record را به روز کند، DNS Server روی read-only Domain Controller کلاینت را ارجاع می دهد و کلاینت رکورد را در محلی که DNS Server روی RODC ارجاع داده Update می کند. البته در پشت صحنه مسائل پیچیده تری از آنچه گفته شد اتفاق می افتد که در آینده بیشتر بررسی خواهند شد.

سناریوهای دیگر:

هرچند که در به سناریو ی محدودیت ها اشاره کردیم اما ممکن است به دلایل دیگری نیز استفاده از Read-Only Domain Controller ها لازم باشد. همانند سناریو هایی که یک نرم افزار LOB یا Line Of Bussines روی دامین کنترلر ها اجرا می شود. برای مدیریت LOB ها می توان به صورت Interactive یا در واقع از پشت کامپیوتر Login کرد و یا از Terminal Service استفاده کرد. با استفاده از RODC در آینده این شانس وجود دارد تا بتوان افرادی به غیر از گروه Admins بتوانند به صورت Interactive به سیستم وارد شوند و هیچ تهدید امنیتی وجود نداشته باشد. احتمال می رود در آینده با حل مشکلات موجود RODC نحوه طراحی تغییر یابد و شاهد بهبود های بسیاری باشیم. تصویر زیر مثالی از این تغییر طراحی است.

22

About Mahyar

OrcID: 0000-0001-8875-3362 ​PhD Candidate (National Academy of Sciences of Ukraine - Institute for Telecommunications and Global Information) MCP - MCSA - MCSE - MCTS Azure Security Engineer Associate MCITP: Enterprise Administrator CCNA, CCNP (R&S , Security) ISO/IEC 27001 Lead Auditor CHFI v10 ECIH v2

Check Also

آشنایی با Windows Azure Active Directory

Windows Azure Active Directory سرویسی است که خدمات Identity and access یا به اختصار IDA …