Bài giảng Quản trị mạng - Chương 2: Cài đặt và cấu hình Active - Phan Thị Thu Hồng

Phan Thị Thu Hồng 
Bộ môn Khoa học máy tính – Khoa CNTT 
hongptvn@gmail.com 
1 
Tìm hiểu Active Directory Domain Services 
 Giới thiệu về quản trị AD 
 Chức năng của AD 
 Kiến trúc AD 
2 
Giới thiệu Active Directory Domain Services 
 AD DS bao gồm cả các thành phần vật lý và logic 
 Thành phần vật lý 
 Domain controllers: Chứa bản sao cơ sở dữ liệu AD DS. 
 Data store: Tập tin trên mỗi máy điều khiển miền chứa các 
thông tin DS AD. 
 Global catalog servers: chứa các bản sao chỉ đọc (read-only) 
của tất cả các đối tượng trong rừng. Global catalog tăng tốc độ 
tìm kiếm các đối tượng có thể được lưu trữ trên những máy 
điều khiển miền khác nhau trong một miền khác của rừng. 
 Read-only domain controllers (RODC). 
3 
Giới thiệu Active Directory Domain Services 
 AD DS bao gồm cả các thành phần vật lý và logic 
 Thành phần logic 
 Partition: Một phần của cơ sở dữ liệu AD DS. 
 Schema: Định nghĩa danh sách các loại đối tượng và thuộc tính mà tất cả 
các đối tượng trong AD DS có thể có. 
 Site: là tập hợp các người dùng, các nhóm, và các máy tính được xác định 
bởi vị trí vật lý. Site thường được dùng trong việc lên kế hoạch thực hiện 
sao lưu những thay đổi vào cơ sở dữ liệu AD DS. 
 Domain 
 Domain Tree Forest 
 OU (Organizational Unit) 
4 
Giới thiệu Active Directory Domain Services 
 Active Directory 
 Là một tổ chức có thứ bậc lưu trữ và quản lý thông tin tài 
nguyên (objects) như users, groups, computers , trong hệ 
thống mạng cũng như các thông tin liên quan đến các đối 
tượng đó. 
 Cho phép: 
 Quản lý tập trung tài nguyên bằng việc quản trị tài nguyên 
mạng từ một vị trí duy nhất 
 Phân cấp việc quản trị bằng cách ủy thác các điều khiển quản 
trị tài nguyên 
5 
Chức năng Active Directory Domain Services 
 Lưu giữ tập trung các tên tài khoản người dùng, mật khẩu tương ứng 
và các tài khoản máy tính. 
 Cung cấp một Server đóng vai trò chứng thực (authentication 
server) hoặc Server quản lý đăng nhập (logon Server), Server này 
còn gọi là domain controller (máy điều khiển vùng). 
 Duy trì bảng chỉ mục (index) giúp tìm kiếm nhanh tài nguyên mạng. 
 Cho phép tạo nhiều tài khoản người dùng với mức độ quyền (rights) 
khác nhau. 
 Cho phép chia nhỏ miền ra thành các miền con (subdomain) hay các 
đơn vị tổ chức OU (Organizational Unit) rồi ủy quyền cho các quản 
trị viên bộ phận quản lý. 
6 
 Tổ chức phân cấp 
Kiến trúc Active Directory Domain Services 
7 
 AD forest: được tạo ra từ một nhóm gồm 2 hay nhiều Domain 
Tree có quan hệ tin cậy với nhau - trust relationship (có thiết 
lập quan hệ và ủy quyền cho nhau). 
 Ví dụ: Microsoft thu mua một công ty khác. Mỗi công ty 
này có một hệ thống Domain Tree riêng 
Các cây này sẽ được hợp nhất với nhau bằng một khái niệm là 
rừng. 
 Tree: là cấu trúc bao gồm nhiều Domain được sắp xếp có cấp 
bậc theo cấu trúc hình cây: Domain root và Child domain. 
 Chú ý: 
 Tên của các domain con phải khác biệt nhau. 
 1 Tree domain=Domain Root + Child Domain 
Kiến trúc Active Directory Domain Services 
8 
  DS AD forest là một khu vực bảo mật: 
 Không có người dùng từ bên ngoài rừng có thể truy cập bất 
kỳ tài nguyên trong rừng. 
 Quản trị từ bên ngoài rừng không có quyền truy cập quản trị 
bên trong rừng. 
9 
Kiến trúc Active Directory Domain Services 
Domain: 
 Là một tập hợp những người dùng, 
máy tính, tài nguyên chia sẻ dùng cho 
các mục đích quản lý và bảo mật. 
 Đóng vai trò như một khu vực quản trị 
(Administrative boundary) các đối 
tượng có chung một CSDL, thư mục 
dùng chung, các chính sách bảo mật, các 
quan hệ ủy quyền với domain khác. 
 Quản lý bảo mật các các tài nguyên chia 
sẻ. 
 Cung cấp các Server dự phòng làm chức 
năng điều khiển vùng (domain 
controller) và đồng bộ các server. 
Kiến trúc Active Directory Domain Services 
10 
Kiến trúc Active Directory Domain Services 
 Organizational Units 
 Là đơn vị nhỏ nhất của AD 
 Chứa các Objects phục vụ mục đích quản trị: 
 Trao quyền kiếm soát tài nguyên cho một nhóm người hay một 
phụ tá quản trị. 
 Kiểm soát và khóa bớt một số chức năng trên các máy trạm của 
người dùng trong OU thông qua việc sử dụng các đối tượng chính 
sách nhóm (GPO) 
11 
Kiến trúc Active Directory Domain Services 
 Organizational Units 
12 
Kiến trúc Active Directory Domain Services 
 Objects: 
 Đối tượng: printers, users, servers, clients, shared folders, 
network services,  
 Attribute: là tập hợp các giá trị phù hợp gắn kết với một đối 
tượng cụ thể 
13 
Domain Controllers 
 Domain Controller: là một máy chủ điều khiển miền được cấu hình 
để lưu trữ một bản sao của cơ sở dữ liệu AD DS (NTDS.DIT) và một 
bản sao của thư mục SYSVOL. 
 Tất cả các DC trừ RODC lưu trữ một bản sao đọc / ghi của cả 
NTDS.DIT và thư mục SYSVOL. 
 NTDS.DIT là cơ sở dữ liệu chính nó, và 
 Các thư mục SYSVOL chứa tất cả các thiết lập mẫu cho các 
GPO. 
14 
Các bước thiết lập mô hình quản trị 
 Xác định không gian tên 
 Tên domain, tên máy 
 Tổ chức thứ bậc các đơn vị tổ chức 
 Theo mô hình hoạt động 
 Theo mô hình quản trị 
 Thiết lập tổ chức vật lý 
 Thiết kế subnet,  
15 
Cài đặt và cấu hình AD DS 
 Nâng cấp server thành DC 
 Kết nối máy trạm vào domain 
 Xây dựng DC đồng hành 
 Hạ cấp DC thành Stand-alone 
 Cài đặt cấu hình RODC 
16 
Nâng cấp Server thành Domain Controller 
 Active Directory Installation Wizard: 
 Chú ý: 
 Stand-alone Server -> Domain Controller (promoting) 
 Domain Controller -> Stand-alone Server (demoting) 
17 
Nâng cấp Server thành Domain Controller 
 Chuẩn bị cài đặt 
 Đổi tên máy 
 Tên miền cntt.edu.vn 
 Đặt địa chỉ IP tĩnh, DNS trỏ về địa chỉ IP của máy DC 
 192.168.152.128 
18 
Đổi tên máy 
19 
Click 
Đổi tên máy 
20 
Click 
Click 
Click 
Cấu hình IP máy chủ 
21 
Các bước cài đặt 
22 
Server Manager/ Add Roles and Features 
ChọnAdd 
roles and 
features 
Before You Begin 
 Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các 
gói security. 
23 
Click 
Select installation type 
 Chọn kiểu cài đặt 
24 
Chọn Role-based 
or feature-bassed 
installation 
Click 
Select destination server 
25 
Chọn server để cài đặt 
Chọn server 
đề cài AD DS 
Click 
Select server roles 
26 
 Chọn AD DS/ Chọn Next 
Click 
Click 
Chọn AD 
DS 
Installation progress 
27 
Chọn Close khi cài đặt thành công AD DS 
Click 
Cài đặt và cấu hình Domain Controller 
• Chọn Promote this server to a domain contronller 
28 
Click 
Deployment Configuration 
 Đặt tên DNS đầy đủ cho domain xây dựng 
29 Click 
Đặt tên miền 
Click 
Domain Controller Options 
30 
Đặt mật khẩu dùng trong trường hợp đăng nhập vào miền 
Click 
Đặt mật khẩu 
Additional Options 
• Đặt tên domain theo chuẩn NetBIOS để tương thích với các 
máy Windows NT. Chọn Next để tiếp tục 
31 Click 
Location for Database, 
 Log Files and SYSVOL 
• Chọn giá trị mặc đinh (vị trí lưu trữ dữ liệu của DC) 
• Chọn Next để tiếp tục 
32 Click 
Kết thúc quá trình nâng cấp 
33 
Kết nối máy trạm vào Domain 
 Đăng nhập máy trạm với 
quyền quản trị 
 RightClick My Computer/ 
Properties/Change 
Settings/ Change/ 
Computer name. 
 Điền tên Domain muốn gia 
nhập vào mục Member of 
Domain 
34 
Kết nối máy trạm vào Domain 
 Máy trạm tìm đến 
Domain Controller gần 
nhất và xin gia nhập vào 
mạng. 
 DC yêu cầu chứng thực, 
phải điền username và 
password của tài khoản 
miền. 
35 
Kết nối máy trạm vào Domain 
 Thông báo gia nhập thành công 
 Khởi động lại máy để đăng nhập vào mạng 
36 
Kết nối máy trạm vào Domain 
 Log on to cho phép chọn một trong hai phần là: CNTT, 
This Computer. 
 CNTT: đăng nhập vào miền, dùng tài khoản người dùng cấp miền. 
 This Computer khi muốn log on cục bộ vào máy trạm . 
37 
Xây dựng DC đồng hành 
 Vấn đề: 
 DC lỗi 
 Giải pháp: Xây dựng thêm DC 
38 
Hệ thống mạng tê liệt 
Các bước thực hiện 
 Gia nhập member server (Server1) vào domain cntt.edu.vn 
 Đăng nhập vào máy Server1 với vai trò Admin 
 Server manager/ Add role and features 
39 
40 
Server Manager/ Add Roles and Features 
Chọn Add 
roles and 
features 
Before You Begin 
 Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các 
gói security. 
41 
Click 
Select installation type 
 Chọn kiểu cài đặt 
42 
Chọn Role-based 
or feature-bassed 
installation 
Click 
Select destination server 
43 
Chọn server để cài đặt/ 
Click 
Chọn server 
đề cài AD DS 
Select server roles 
44 
 Chọn AD DS/ Chọn Next 
Click 
Click 
Chọn AD 
DS 
Installation progress 
45 
Chọn Close khi cài đặt thành công AD DS 
Click 
 Deployment Configuration, 
 Chọn Add a domain controller to an existing domain 
46 
Click 
Click 
Click 
Click 
 Trong hộp thoại Domain Controller Options, chọn DNS 
server và Global Catalog (cài đặt DNS Server thứ 2 và cấu 
hình Server2 làm Global Catalog Server) 
47 
Click 
DNS Options 
48 Click 
Additional Options 
49 
Click 
Sao chép dữ liệu từ Server chính 
 Hộp thoại Location for Database, Log Files, and SYSVOL, 
giữ nguyên đường dẫn mặc định, chọn Next 
50 
Click 
Review Options 
51 
Xem lại các thông 
tin cài đặt 
Click 
Installation 
52 
Click 
Kiểm tra DC đồng hành 
53 
Chuyển DC thành Stand-alone 
 Server manager/ Local Server 
54 
Click 
55 
 Chọn Add roles 
and features 
 56 
Click 
Click 
 57 
Click 
Click 
 58 
Chọn server để gỡ bỏ cài đặt 
Click 
 59 
Click 
 60 
Click 
Thực hiện hạ cấp DC trước khi gỡ bỏ AD DS 
 61 
 62 
Click 
 63 
Click 
Click 
Đặt password sau khi hạ cấp DC 
64 
Nhập password cho tài khoản 
Administrator sau khi hạ cấp 
65 
Xem lại thông tin đã lựa chọn trong 
quá trình hạ cấp DC 
Click 
 66 
Tiến trình hạ cấp 
67 
Kết quả: Hạ cấp thành công 
Click 
 68 
Read-only Domain Controller 
 Cho phép triển khai DC tại các vị trí mà sự bảo mật (về vật lý, 
cơ sở hạ tầng) không được đảm bảo. 
 Đặc điểm: 
 Tăng tốc độ đáp ứng yêu cầu từ máy trạm 
 Không tham gia vào tiến trình xử lý những thay đổi trên AD 
 Không tham gia đồng bộ các DC trong hệ thống mạng 
 Không lưu trữ mật khẩu 
 Cách xác thực: 
 User RODC DC 
Yêu cầu 
xác thực 
Gửi pass 
69 
RODC 
 Cách xác thực như trên có hiệu quả? 
 Không: vì lưu lượng truyền thông giữa các DC tăng lên. 
 Giải pháp: Kích hoạt Credential Caching. 
 Hoạt động của Credential Caching: Lưu lại mật khẩu của 
user đã chứng thực thành công. 
 RODC có Read-only DNS dùng để phân giải tên: 
 Không cập nhật DNS record vào CSDL 
 Hoạt động: 
 User RODC DNS server RODC 
Cập nhật 
bản ghi 
Gửi bản 
ghi 
Đồng bộ 
bản ghi 
70 
Triển khai RODC 
a. Trên máy tính DC 
 Tạo Site tương ứng với 1 chi nhánh Branch1 
 Đăng nhập vào DC với quyền quản trị domain. 
 Tools/ AD Site and Services/ Right click Sites/ New/Site. 
73 
 New Object – Site: 
 Name: Branch1, 
 DEFAULTIPSITELINK 
 Chọn OK. 
74 
Click 
Click 
 Active Directory Domain Services 
 Đọc kĩ thông tin để thực hiện các bước tiếp theo. 
75 
Click 
 AD Sites and Services, Right click Subnets/ New/Subnet. 
 Tạo Subnet cho Branch1 
76 
Tạo subnet cho defaut-fist-site-name Tạo subnet cho Brand 1 
Kết quả tạo 2 subnet 
77 
Trên máy DC, tạo OU IT của chi nhánh triển khai 
RODC 
78 
Tạo OU IT 
79 
Đặt tên cho OU 
Click 
80 
Trên máy DC, tạo Group RODC làm việc tại chi 
nhánh triển khai RODC 
Click 
 Tạo một user dùng để ủy quyền quản trị RODC 
 Đăng nhập vào DC với quyền quản trị domain. Tạo user tại AD Users and 
Computers. User này sẽ được ủy quyền quản trị RODC trong quá trình cài 
đặt server này. 
81 Click 
Tạo user 
82 
Click 
Click 
Đặt mật khẩu cho tài 
khoản người dùng 
Chọn chính sách cho tài 
khoản người dùng 
Thông tin tài khoản 
người dùng vừa tạo 
 Tạo một nhóm người dùng tương ứng với Branch1 
 Đăng nhập vào DC với quyền quản trị domain. Tạo ra nhóm RODC từ cửa 
sổ Active Directory Users and Computers và. Đây là nhóm bao gồm các 
thành viên làm việc tại chi nhánh Branch1. 
83 
Cách thêm user vào group 
84 
85 
Cách thêm user vào group 
RODC 
b. Trên máy tính triển khai RODC 
 Kết nối máy tính sẽ triển khai RODC (Server1) vào 
domain. 
 Đăng nhập vào server-rodc quyền quản trị. 
 Tiến hành cài đặt, cấu hình RODC 
86 
87 
Server Manager/ Add Roles and Features 
Chọn Add 
roles and 
features 
Before You Begin 
 Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các 
gói security. 
88 
Click 
Select installation type 
 Chọn kiểu cài đặt 
89 
Chọn Role-based 
or feature-bassed 
installation 
Click 
Select destination server 
90 
Chọn server 
đề cài AD DS 
Click 
Select server roles 
91 
 Chọn AD DS/ Chọn Next 
Click 
Click 
Chọn AD 
DS 
 92 
Lựa chọn thêm các 
feature để cài đặt 
Click 
 93 Click 
Một số chú ý khi cài đặt AD DS 
 94 
Một số chú ý khi cài đặt DNS server 
Click 
 95 
Tiến trình cài đặt 
 Kết thúc quá trình cài đặt AD DS, DNS server 
 Nâng cấp từ Stand-alone thành RODC 
96 
Cài đặt và cấu hình RODC 
• Chọn Promote this server to a domain contronller 
97 
Click 
 98 
Click 
Click 
Click 
Click 
 99 
Đặt mật khẩu trong trường hợp 
khởi động vào chế độ Restore 
Click 
Click 
Click 
 100 
Click 
Click 
Click 
Click 
 101 
Xem lại các tài khoản đã ủy quyền 
Click 
 102 
Chọn nguồn sao chép dữ liệu 
Click 
 103 
Giữ nguyên đường dẫn 
Click 
 104 
Xem lại các thông tin đã lựa 
chọn cài đặt ở các bước trước 
Click 
Kiểm tra Read-Only Domain Controller 
 Đăng nhập hệ thống với tài khoản cntt\ Administrator 
 AD DS\ AD Users and Computers\ DCs => SERVER 2 có DC kiểu 
là Read-only. 
105 
 Kiểm tra Server 2 nằm trong mục Servers của Branch1 
106 
 Kiểm tra Read-only DNS 
 Mở DNS manager, kích chuột phải lên domain => Các chức 
năng tương ứng đã bị mờ. 
107 
Cấu hình Password Replication Policy 
 Để server RODC có thể đồng bộ mật khẩu với DC cần cấu hình 
Password Replication Policy (Nhóm người dùng ở chi nhánh 
Branch1 được phép đồng bộ mật khẩu) 
 Đăng nhập RODC với quyền Administrator của DC 
 Mở cửa sổ AD Users and Computers 
 Trong OU Domain Controllers, kích chuột phải lên Server2, 
chọn Propeties/ Password Replication Policy 
108 
Password Replication Policy 
109 
 Chọn Add. 
Add Groups, Users and Computers 
110 
 Chọn Allow passwords for the account to replication this 
RODC 
Select Users, Computers, Service Accounts, 
or Groups 
 Nhập nhóm người dùng RODC 
 Để kiểm tra tên nhóm RODC đã tồn tại? Check Name 
 Nhấn OK để kết thúc quá trình. 
111 
 RODC đã xuất hiện trong hộp thoại SERVER2 Propeties 
112