آماده سازی برای راه اندازی دومین کنترولرهای خواندنیRODC 

فقط ویندوز سرور ۲۰۰۸ یا ویندوز سرورهای بعد از آن میتوانند به عنوان دومین کنترولرهای RODC مورد استفاده قرار گیرند. به طور معمول، شما نیاز به هیچ تغییری بر روی کامپیوترهای کلاینت برای اجازه استفاده از RODC ندارید. کامپیوترهای کلاینت زیر میتوانند از RODC استفاده کرده و ساپورت میشوند :

ویندوز ۲۰۰۰

ویدوز ایکس پی   

ویندوز سرور ۲۰۰۳

ویندوز ویستا

ویندوز هفت

سرورهای member ویندوز سرور ۲۰۰۸ یا بالاتر

RODC ها از ویژگیهای مشابه دومین کنترولرهای writable ساپورت میکنند و میتوان بر روی سرور بصورت Core یا Full اینستال کرد. به صورت پیشفرض RODC ها پسوردها و اعتبارات credentials را به غیر از اکانت کاپیوتر خودشان و اکانت های krbtgt ، ذخیره نمیکنند. در عوض ، اعتبارات کامپیوتر و یوزر را از یک دومین کنترولر ویندوز writable سرور ۲۰۰۸ کسب میکند یا بدست میاورد. شما باید به طور صحیح اجازه کش شدن cached اعتباراتی credentials که میخواهید را روی RODC با استفاده از Password Replication Policy پیکربندی کنید .

تیپ: بعد از آنکه RODC ، پسورد یک یوزر را کش کرد، آن در دیتابیس اکتیو دایرکتوری باقی میماند، تا زمانی که یوزر پسورد خود را تغییر دهد یا Password Replication Policy به RODC اطلاع دهد که دیگر نباید پسورد یوزر کش شود. اکانتهایی که اعتبار آنها روی RODC کش نشده باشد، برای لاگان کردن به دومین میتوانند از RODC استفاده کنند. RODC اعتبارات آنها را از دومین کنترولر writable پارتنر replication بدست میاورد. با این حال اعتبارات آنها در زمان لاگان روی RODC کش نمیشود .

به غیر از پسوردها، صفت هایی attributes که تعیین شده replication نشوند، RODC همه اشیاء objects و صفت های attributes مشابه یک دومین کنترولر writable را در خود ذخیره میکند. اشیاء و صفت هائیکه به RODC ، replicated میشوند از یک replication یکطرفه از سمت دومین کنترولر writable که به عنوان پارتنر replication است استفاده میشوند .

اگر چه کلاینت های اکتیو دایرکتوری و برنامه ها applications برای خواندن دیتا میتوانند به دایرکتوری دسترسی داشته باشند، اما کلاینتها قادر به نوشتن تغییرات بر روی RODC به طور مستقیم نمیباشند. کلاینتها و برنامه هائی که احتیاج به نوشتن تغییرات دارند به یک دومین کنترولر writable مراجعه میکنند. این کار سبب مانع شدن یوزرهای مخرب یا بدکار در شعبات برای خرابکاری در forest اکتیو دایرکتوری میشود .

RODC ها میتوانند به عنوان هاست یا میزبان یک گلوبال کاتالوگ باشند اما نمیتوانند به عنوان یک سرور bridgehead باشند یا رول های operations master را در خود داشته باشند. روی یک RODC ، شما میتوانید سرویس سرور DNS را اینستال کنید. اگر شما آن را انجام دهید، یک کپی خواندنی از همه application directory partitions ها که برای DNS استفاده میشود را دارا خواهد شد که در آن ForestDNSZones و DomainDNSZones نیز میباشند. کلاینتها و برنامه ها میتوانند روی DNS مربوط به RODC برای پیدا کردن و حل نام name resolution جستجو کنند که مانند سایر سرورهای DNS این کار انجام میشود. مانند دیتای اکتیو دایرکتوری، سرور DNS روی RODC نمیتواند به طور مستقیم به روز رسانی updates شود. کلاینتها و برنامه هابرای به روز رسانی updates روی DNS ، احتیاج دارند تا به یک سرور writable DNS مراجعه کنند . 

از آنجا که هیچ تغییری به طور مستقیم روی RODC انجام یا نوشته نمیشود، replication به صورت یکطرفه است و دومین کنترولرهای writable که به عنوان پارتنر replication میباشند هیچ تغییری از سمت دریافت نمیکنند، این امر سبب کاهش حجم کاری سرورهای bridgehead و نظارت یا مانیتوریگ شما بر روی replication میشود. RODC ها سبب کاهش کارهای ادمینها در سطح اینترپرایز با اجازه دادن به هر یوزر دومین که میتوان به آن لوکال ادمین را واگذار کرد delegated بدون آنکه هیچ اجازه دیگری در سطح دومین داد، میشود. این کار سبب جدایی بین ادمین های دومین و یوزرهای ادمین در شعبات میشود .

RODC ها برای قرار گرفتن در sites هایی که دومین کنترولر ندارند، طراحی شدند. اما به هر حال شما نمیتوانید RODC های یک دومین یکسان را در یک site یکسان قرار دهید. شما میتوانید :

میتوان RODC را در site یکسان با دومین کنترولرهای writable از دومین یکسان قرار داد .

میتوان RODC را در site یکسان با دومین کنترولرهای writable از دومین های مختلف قرار داد .

میتوان RODCs ها از دومین های مختلف را در site یکسان قرار داد .

RODCs ها میتوانند اطلاعات زیادی را به طور مستقیم از دومین کنترولرهای ویندوز سرور ۲۰۰۳ دریافت کنند. اما RODCs ها به روز رسانی های updates مربوط به پارتیشن دومین domain partition را فقط میتوانند از دومین کنترولرهای writable ویندوز سرور ۲۰۰۸ یا بالاتر که در یک دومین یکسان هستند دریافت کنند .

شما میتوانید را RODC در دومین موجود اینستال کنید و قبل از آنکه شما بخواهید RODC را در هر دومینی اینستال کنید، باید اطمینان حاصل کنید که موارد زیر وجود دارد :

Forest functional level باید ویندوز سرور ۲۰۰۳ یا بالاتر باشد. این تضمین میکند که قابلیت linked-value replication - LVR فعال است و کمک به حفظ ثبات replication میکند

باید Domain functional Level ویندوز سرور ٢٠٠٣ و یا بالاتر باشد. این تضمین می کند که delegation Kerberos-Constrained (وکالت پروتکل اجباری کربروس) وجود داشته باشد بنابراین امنیتی فراخوانی شود که جعل هویت را بتواند تحت چهارچوب تعیین کند.

دومین هایی که شما برای آنها RODC را گسترش دادید شامل دومین کنترولر های بر اساس ویندوز سرور ٢٠٠٣ و ٢٠٠٨ باشد.

حداقل یک دومین کنترولر با ویندوز سرور ٢٠٠٨ باید در همان دومین که RODC قرار دارد وجود داشته باشد و در نزدیکترین site به site ای که در آن RODC است باشد. برای تضمین replicate همه دایرکتوری پارتیشن ها با RODC ، این دومین کنترولر باید گلوبال کاتالوگ GC باشد.

دومین کنترولر صاحب PDC emulator در دومین، ویندوز سرور ٢٠٠٨ باشد. شما باید مطمئن شوید یک ارتباط دو طرفه bidirectional communications بین RODC و PDC emulator وجود دارد و باز است.

RODC ها مانند دومین کنترولرهای نوشتنی، اکانتهای لوکال یا کلیدهای رمزنگاری cryptographic keys جدا گانه ندارند. زمانی که یک سرور را به دومین کنترولر تبدیل می کنید، تمامی اکانتهای لوکال و certificate ها و کلید های رمزگذاری شده از سرور حذف می شوند. تمامی اطلاعات رمزگزاری شده در سرور، شامل اطلاعات ذخیره شده بوسیله فایل سیستم رمزگذاری (EFS )، باید رمزگشایی بشود قبل از اینکه اکتیو دایرکتوری نصب شود، یا اطلاعات برای همیشه غیرقابل دسترسی می شوند.

به همین علت، شما باید اکانتهای لوکال را امتحان کنید برای تصمیم گرفتن جاهایی که شما نیاز به انجام مراحل خاص دارد برای حفظ اکانتهای لوکال قبل از نصب سرویس اکتیو دایرکتوری دارید. شما باید فایل و فولدرهای رمزگذاری شده  خود را بوسیله ابزار ESPInfo بررسی کنید. در محیط داس (CMD ) وارد کنید:

efsinfo /s:DriveDesignator /i | find “: Encrypted ”

برای درایوی که به عنوان designator قرار گرفته مانند C: .

برای راه اندازی سرور DNS روی RODC ، دومین کنترولر دیگری که ویندوز سرور ٢٠٠٨ دارد باید در دامنه باشد و باید Active Directory–integrated DNS zone باشد. Active Directory–integrated DNS zone برروی RODC همیشه فقط خواندنی است و فایل ها را از zone file کپی برداری می کند.

درآخر، شما باید قبل از نصب هر گونه RODC فرمان adprep /rodcprep  را در محیط داس اجرا کنید.  این تضمین می کند RODC ها بتوانند با پارتیشن های DNS هماهنگ و یکدست شوند. این برای forest جدید با یک دومین کنترولر که بر روی ویندوز سرور ٢٠٠٨ اجرا می شود و یا زمانی که شما  Active Directory–integrated DNS zone در forest موجود ندارید، نیازی نیست.

کتاب مشاور جیبی ادمینهای اکتیو دایرکتوری