Expert Zone  (Farsi User Guide)  
Winteacher.com
Resource: Microsoft Technet Published : April 2007

 

Step-by-Step Guide for Read-Only Domain Controller RODC

Step-by-Step Guide for Read-Only Domain Controller RODC

Microsoft در سرور جدید خود بنام Windows "Longhorn" Server یک نوع جدید از DC را بنام RODC را ایجاد کرده

از نام آن مشخص می شود که RODC دارای یک AD Database در حالت Read-only می باشد .

 

دلیل ایجاد این نوع جدید: راحتی در گسترش DC ها در شبکه های بزرگ و مناطقی از شبکه که سرور ها دارای امنیت مکانی و فیزیکی

خوب و استاندارد نمی باشند. به دلیل اینکه Domain Passwords بر روی RODC ها نگهداری نمی شوند این سرور ها اگر در مکانهای نا امن از نظر

فیزیکی هم قرار داشته باشند خطری شبکه و Password ها را تهدید نمی کند.

 

در RODC ترافیک Replication یک جهته می باشد و چون Password ها بر روی این سرور نمی باشد همیشه ترافیک از طرف سرور های دیگر به سوی

این سرور می باشد و دیگر در این حالت two way Replication رخ نمی دهد .

و به دلیل اینکه RODC اجازه می دهد که یک Domain Users Account کار های Administration آن را انجام دهد یعنی به یک User معمولی Delegate

می کند برای انجام کار های Admin توسط آن User با این Features دیگر نیازی نمی باشد که یک Admin Group User بر روی آن فعالیت کند و یا

بر روی آن وجود داشته باشد در نتیجه Risk حمله به Admin Groups بسیار کم شده بر روی این نوع سرور ها .

 
What Is an RODC?

در RODC یک Read-only Partitions AD Database وجود دارد و RODC طراحی شده برای Branch Office یعنی Office های کوچک و زیر مجموعه

که معمولا دارای افراد و کارمندان بسیار زیاد می باشند و سرور نیز دارای امنیت فیزیکی نمی باشد و یا خیلی امنیت آن رعایت نمی شود و در آخر

اینکه علم و سطح آگاهی IT در Branch Office ها و یا Office های زیر مجموعه و کوچک بسیار کم می باشد در میان کارمندان آنها 

و معمولا سطح افراد همگی در یک سطح می باشد پس سرور ها نمی توانند دارای امنیت لازمه در این Office ها باشند

اتاق های سرور های بزرگ و Datacenter ها معمولا جاهای محافظت شده و خلوت می باشند یک و حداکثر سه نقر در آنها کار می کنند که از نظر

درک و اطلاعات IT در سطح بالا می باشند نسبت به کارمندان دیگر IT در شرکتها .

در شکل 1 شما می توانید طراحی شبکه های RODC و Central Site را مشاهده کنید .

 

   Figure 1: The following figure illustrates the RODC branch office environment

دراینجا نام سرورهایی که RODC نمی باشند Writeable DC می باشد .یا FullDC.

 
RODC Features

Branch Office ها و یا Office های کوچک دارای پهنای باند کمتری نسبت به Central Site می باشند و وجود سرور های Writeable DC در آنها

منطقی نمی باشد و دوم اینکه متخصص در آنها کم می باشد اینها مشکلاتی می باشد که وجود RODC در Branch Office ها به رفع آنها کمک می کند

و یا در واقع  انها را بر طرف می کند.

 

اما موارد مهم دیگری نیز جزو Feature های این نوع سرور های می باشد که در زیر مشاهده می کنید :

Read-Only Active Directory Database
Unidirectional Replication
Read-Only Partial Attribute Set
Credential Caching
Administrator Role Separation
Read-Only Domain Name System
Read-Only Active Directory Database

بجز Domain Passwords کلیه Object ها و Attribute های یک Active Directory Domain Services   AD DS بر روی RODC وجود دارد

Local Application بر روی RODC حالت ReadAccess به این اطلاعت را دارند اما LDAP از طریق Client ها امکان دارد حالت WriteAccess را

داشته باشد که در این وضعیت راهنمایی می شود به Writeable DC ها در Hub Site در شکل 1 .

پس زمانی که ترافیک LDAP میان Client ها با RODC روی داد تغییری بر روی RODC رخ نمی دهد یا اینکه LDAP توانایی Write بر روی Object ها

و Attribute ها دارد چون این ترافیک توسط RODC راهنمایی می شود به یک Writeable DC در Central Site or Hub site.

 
Read-Only Partial Attribute Set  ROPAS

برخی از Application ها استفاده می کنند از مواردی همچون Password , Credentials , Encrypted Keys  برای کار کردن

و اما شما بر روی RODC نمی خواهید که این اطلاعات Save شود بر روی AD DS آن سرور بدیل جلوگیری از دزدبده شدن آنها .

برای جلوگیری کردن از دسترسی این Application ها به این اطلاعات بر روی RODC شما می توانید Attribute های مربوط به

Domain Objects ها را تغیرر دهید یصورت دستی تا Replicate نشوند از GC  Global Catalog ها به سوی RODC ها شبکه .

به این کار ROPAS گفته می شود .یعنی Set کردن و تغییر دادن Attribute ها بر روی Domain تا بسوی RODC ها Replicate نشوند .

ROPAS مانند یک تغییر بر روی Attribute ها می باشد که جلوگیری می کند از Replicate شدن آنها به سوی Domain Partition  موجود بر

روی RODC ها.با این کار Risk دزدیده شدن آنها از یک RODC نیز دیگر وجود ندارد .

 

برخی از Malicious Users با دزدیدن این Attribute ها بر روی RODC هایی که وجود دارد سعی به نفوذ به سیستم ها می کنند .

و جالب اینجاست که سعی می کنند که Attribute هایی که در ROPAS تعریف شده است را بدست آورد با تحریک RODC به Replicate کردن آنها

از  GC به RODC .

اگر یک RODC سعی کند به Replicate کردن این Attribute ها از یک GC دارای Windows Server 2008 Longhornبه خود وجود ROPAS موجب می شود

به جلوگیری از این ترافیک یا Request is Denied.

اما اگر GC مایک Windows Server 2003 باشد از این ترافیک جلوگیری نمی شود در نتیحه Request با Successfully به  پایان می رسد .

واین خطرناک می باشد برای شبکه .

بنابر این برای بالا بردن امنیت این مورد بهتر می باشد که در Domain شما از Functional Level : Windows Server Longhorn استفاده کنید اگر از

ROPAS بر روی RODC ها بهره می برید و یا استفاده می کنید .چون Functional Level در این حالت جلوگیری می کند از وجود Windows 2003 Server

در یک Forest در شبکه در نتیجه این ترافیک هیچ وقت رخ نمی دهد .

 
Unidirectional Replication

بدلیل اینکه یک RODC نمی تواند تغییراتی بر روی Object ها و Attribute های یک Domain انجام دهد در نتیجه در Forest کلیه

Writeable  Domain Controller ها تغییرات یک RODC بر روی Object ها را بسمت خود Replication نمی کنند پس Attacker ها و Malicious Users

اگر تغییراتی بر روی Object ها و Attribute های موجود بر روی یک RODC انجام دهند این تغییرات

در Forest از طریق Replication Traffic بخش نمی شود .

This also reduces the workload of bridgehead servers in the hub site and the effort required to monitor replication.

RODC unidirectional replication applies to both AD DS and Distributed File System Replication (DFSR). The RODC performs normal inbound replication for AD DS and DFSR changes

پس همیشه برای RODC خا ترافیک Replication بصورت Inbound می باشد .

Credential Caching

در RODC حداکثر 10 تا User or Computer Account متفاوت توانایی Cache شدن را دارند .

بصورت Default بر روی یک RODC هیچ Account وجود ندارد از شبکه بجز یک Computer Account که برای خود RODC می باشد و یک krbtgt Account

برای آن RODC وجود دارد.

RODC دارای یک krbtgt Account  ,Password متفاوت با krbtgt Account موجود بر روی Writeable DC ها و همچنین دیگر RODC ها می باشد

در نتیجه یک جور Isolation  برای krbtgt Account ها بین Branch office ها با Central Site وجود دارد و همچنین بین RODC ها.

ما  می دانیم که از krbtgt Account یک RODC استفاده می کند برای Authentication با Writeable DC و دیگر DC های شبکه.

زمانی که یک User توسط یک RODC شناسایی شد و Authentication بر روی آن رخ داد (این زمانی می باشد که یک فرد به شبکه Logon کرده)

در این زمان RODC سعی می کند که User Credentials , Computer Credentials آن فرد را از Writeable DC موجود در Hub Site بگیرد

و بر روی خود Cache کند یادمان باشد که در Hub Site تمامی سرور ها Windows Server 2008 می باشند همانند شکل 1 .

در این زمان بر روی Writeable DC یک Policy جدید وجود دارد بنام Password Replication Policy که در این زمان تصمیم می گیرد که آیا

User Credentials , Computer Credentials مد نظر اجازه Replicate شدن از Writeable DC ها یه RODC را دارند یا خیر.

اگر Policy اجازه Replication را بدهد این اطلاعات به سمت RODC می رود و بر روی آن Cache می شود و از این به بعد خود RODC می تواند

به فرد مشخص یا Account مشخص سرویس بدهد تا رمانی که یکی از آن دو Change شود یا تغییر کند .

منظور یکی از User Credentials , Computer Credentials می باشد .

فقط  User Credentials , Computer Credentials افرادی بر روی RODC بصورت Cache در می آیند که در Policy آنها Allow شده باشند در نتیجه

امکان دزدیده شدن اطلاعات مریوط به Account های شبکه بر روی RODC ها بسیار کم می باشد .

 
Administrator Role Separation

بر روی RODC می توان هر Domain User را که وجود دارد به عنوان Local Administrator آن سرور معرفی کرد در واقع Delegate می شود .

 

این بدان معنا می باشد که شما می توانید از User های معمولی برای Administration آن RODC استفاده کنید و از Domain Admin Groups استفاده

نکنید تا امنیت این گروه مهم حفظ شود و ار لو رفتن PWD آنها جلوگیری شود .

تذکر: بر روی RODC هر فردی که Admin شود توانایی Administration بر روی Domain و یا دیگر DC ها را ندارد فقط بر روی سیستم Local می تواند

کار انجام دهد .این User که Admin شده است نمی تواند به دیگر FullDC ها و با RODC ها  Logon کند و ...

و فقط توانایی ها Administrative Task را دارد .

 
Read-Only Domain Name System

شما می توانید بر روی RODC یک DNS نصب کنید و از آن برای Client ها استفاده کنید و می تواند این DNS بر روی خود مواردی همچون

ForestDNSZone , DomainDNSZone را دارا باشد .

اما بر روی RODC یک DNS نمی تواند Client Update Direcly را دارا باشد یعنی اینکه یک DNS بر روی RODC توانایی و یا اجازه Update کردن Record های

موجود در Zone های DNS را بصورت مستقیم ندارند .و این کار را ارجا می دهند به دیگر DNS Server های موجود .

 
Windows Server "Longhorn" Domain Controller Options That Are Not Supported on an RODC

برخی از Option های موجود بر روی Writeable DC خا بر روی RODC ها وجود ندارد برای امنیت بیشتر RODC .

برای مثال Operation Master Role  اطلاعاتی را Write می کند بر روی Active Directory Database که این حالت فقط بر روی FullDC ها امکان

پذیر می باشد و بر روی RODC این Role نمی تواند فعالبت کند چون نیاز به Write اطلاعاتی بر روی AD DS دارد.

اطلاعاتی که بر روی AD Database باید Write شود مواردی همچون New Objects و New Attributes و RID آنها می باشد .

BridgeHead Server

این سروها طراحی شده اند برای ایجاد و گرفتن Replication Changes بین دیگر Site های شبکه بدلیل اینکه بر روی RODC ترافیک Replication

فقط بصورت Inbound می باشد سرور های RODC نمی توانند نقش BridgeHead Server را نیز ایفا کنند .

General RODC Deployment Recommendations

در اینجا ما مقایسه می کنیم بین شبکه های امروزی که با استفاده از سرورهای Win 2000 و Win 2003 کار می کنند با شبکه های که در آینده

با فردا قرار است با کمک Windows Server 2008 کار کنند .

اگر بر روی Server های شبکه که در Branch Office ها وجود دارد مشکلس یرای سرور ها رخ دهد و AD Database آنها خراب شود و با

هوشمندانه دستکاری شود مشاهده می کنید در شکل 2 که تمامی این تغییرات توسط Replication Traffic می تواند پخش شود در کل Site.

چون Replication Traffic دو طرفه می باشد یعنی همان two way Replication. برای اطلاعات بیشتر بر روی آن کلیک کنید .

مشکل دومی که وجود دارد بر روی سروهای 2000و2003 باید یک User که عضو Domain Admin Groups هست به سرور های Branch Office ها

Logon کند که این خود موجب می شود که Risk لوء رفتن این PWD بالا رود هیچ یک از این دو مشکل جدی در حالت

Tomorrow که همان استفاده از RODC ها بکمک Windows Server 2008 می باشد وجود ندارد در نتیجه می تواند تفاوت ها را مشاهده کرد .

 

  Today : Using Windows 2000 Server - OR - Windows 2003 Server

  Tomorrow : Using Windows 2008 Server "Longhorn"

 

   

   

   Figure 2: Writeable DC Network & RODC Network

ادامه این بخش را در Part 2 آن می توانید مشاهده کنید برای دیدن آن بر روی لینک زیر کلیک کنید .

  RODC Placement Considerations for Windows Server 2003 Domains (PART2)

 
Winteacher.com
Expert Zone  (Farsi User Guide)

LastUpdate:2007/05/27 - Release:1

Step-by-Step Guide for Read-Only Domain Controller RODC