Bài giảng Quản trị mạng - Chương 2: Cài đặt và cấu hình Active - Phan Thị Thu Hồng
Giới thiệu Active Directory Domain Services
AD DS bao gồm cả các thành phần vật lý và logic
Thành phần vật lý
Domain controllers: Chứa bản sao cơ sở dữ liệu AD DS.
Data store: Tập tin trên mỗi máy điều khiển miền chứa các
thông tin DS AD.
Global catalog servers: chứa các bản sao chỉ đọc (read-only)
của tất cả các đối tượng trong rừng. Global catalog tăng tốc độ
tìm kiếm các đối tượng có thể được lưu trữ trên những máy
điều khiển miền khác nhau trong một miền khác của rừng.
Read-only domain controllers (RODC).
AD DS bao gồm cả các thành phần vật lý và logic
Thành phần logic
Partition: Một phần của cơ sở dữ liệu AD DS.
Schema: Định nghĩa danh sách các loại đối tượng và thuộc tính mà tất cả
các đối tượng trong AD DS có thể có.
Site: là tập hợp các người dùng, các nhóm, và các máy tính được xác định
bởi vị trí vật lý. Site thường được dùng trong việc lên kế hoạch thực hiện
sao lưu những thay đổi vào cơ sở dữ liệu AD DS.
Domain
Domain Tree Forest
OU (Organizational Unit)
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Tóm tắt nội dung tài liệu: Bài giảng Quản trị mạng - Chương 2: Cài đặt và cấu hình Active - Phan Thị Thu Hồng
Phan Thị Thu Hồng Bộ môn Khoa học máy tính – Khoa CNTT hongptvn@gmail.com 1 Tìm hiểu Active Directory Domain Services Giới thiệu về quản trị AD Chức năng của AD Kiến trúc AD 2 Giới thiệu Active Directory Domain Services AD DS bao gồm cả các thành phần vật lý và logic Thành phần vật lý Domain controllers: Chứa bản sao cơ sở dữ liệu AD DS. Data store: Tập tin trên mỗi máy điều khiển miền chứa các thông tin DS AD. Global catalog servers: chứa các bản sao chỉ đọc (read-only) của tất cả các đối tượng trong rừng. Global catalog tăng tốc độ tìm kiếm các đối tượng có thể được lưu trữ trên những máy điều khiển miền khác nhau trong một miền khác của rừng. Read-only domain controllers (RODC). 3 Giới thiệu Active Directory Domain Services AD DS bao gồm cả các thành phần vật lý và logic Thành phần logic Partition: Một phần của cơ sở dữ liệu AD DS. Schema: Định nghĩa danh sách các loại đối tượng và thuộc tính mà tất cả các đối tượng trong AD DS có thể có. Site: là tập hợp các người dùng, các nhóm, và các máy tính được xác định bởi vị trí vật lý. Site thường được dùng trong việc lên kế hoạch thực hiện sao lưu những thay đổi vào cơ sở dữ liệu AD DS. Domain Domain Tree Forest OU (Organizational Unit) 4 Giới thiệu Active Directory Domain Services Active Directory Là một tổ chức có thứ bậc lưu trữ và quản lý thông tin tài nguyên (objects) như users, groups, computers , trong hệ thống mạng cũng như các thông tin liên quan đến các đối tượng đó. Cho phép: Quản lý tập trung tài nguyên bằng việc quản trị tài nguyên mạng từ một vị trí duy nhất Phân cấp việc quản trị bằng cách ủy thác các điều khiển quản trị tài nguyên 5 Chức năng Active Directory Domain Services Lưu giữ tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). Duy trì bảng chỉ mục (index) giúp tìm kiếm nhanh tài nguyên mạng. Cho phép tạo nhiều tài khoản người dùng với mức độ quyền (rights) khác nhau. Cho phép chia nhỏ miền ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit) rồi ủy quyền cho các quản trị viên bộ phận quản lý. 6 Tổ chức phân cấp Kiến trúc Active Directory Domain Services 7 AD forest: được tạo ra từ một nhóm gồm 2 hay nhiều Domain Tree có quan hệ tin cậy với nhau - trust relationship (có thiết lập quan hệ và ủy quyền cho nhau). Ví dụ: Microsoft thu mua một công ty khác. Mỗi công ty này có một hệ thống Domain Tree riêng Các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng. Tree: là cấu trúc bao gồm nhiều Domain được sắp xếp có cấp bậc theo cấu trúc hình cây: Domain root và Child domain. Chú ý: Tên của các domain con phải khác biệt nhau. 1 Tree domain=Domain Root + Child Domain Kiến trúc Active Directory Domain Services 8 DS AD forest là một khu vực bảo mật: Không có người dùng từ bên ngoài rừng có thể truy cập bất kỳ tài nguyên trong rừng. Quản trị từ bên ngoài rừng không có quyền truy cập quản trị bên trong rừng. 9 Kiến trúc Active Directory Domain Services Domain: Là một tập hợp những người dùng, máy tính, tài nguyên chia sẻ dùng cho các mục đích quản lý và bảo mật. Đóng vai trò như một khu vực quản trị (Administrative boundary) các đối tượng có chung một CSDL, thư mục dùng chung, các chính sách bảo mật, các quan hệ ủy quyền với domain khác. Quản lý bảo mật các các tài nguyên chia sẻ. Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller) và đồng bộ các server. Kiến trúc Active Directory Domain Services 10 Kiến trúc Active Directory Domain Services Organizational Units Là đơn vị nhỏ nhất của AD Chứa các Objects phục vụ mục đích quản trị: Trao quyền kiếm soát tài nguyên cho một nhóm người hay một phụ tá quản trị. Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO) 11 Kiến trúc Active Directory Domain Services Organizational Units 12 Kiến trúc Active Directory Domain Services Objects: Đối tượng: printers, users, servers, clients, shared folders, network services, Attribute: là tập hợp các giá trị phù hợp gắn kết với một đối tượng cụ thể 13 Domain Controllers Domain Controller: là một máy chủ điều khiển miền được cấu hình để lưu trữ một bản sao của cơ sở dữ liệu AD DS (NTDS.DIT) và một bản sao của thư mục SYSVOL. Tất cả các DC trừ RODC lưu trữ một bản sao đọc / ghi của cả NTDS.DIT và thư mục SYSVOL. NTDS.DIT là cơ sở dữ liệu chính nó, và Các thư mục SYSVOL chứa tất cả các thiết lập mẫu cho các GPO. 14 Các bước thiết lập mô hình quản trị Xác định không gian tên Tên domain, tên máy Tổ chức thứ bậc các đơn vị tổ chức Theo mô hình hoạt động Theo mô hình quản trị Thiết lập tổ chức vật lý Thiết kế subnet, 15 Cài đặt và cấu hình AD DS Nâng cấp server thành DC Kết nối máy trạm vào domain Xây dựng DC đồng hành Hạ cấp DC thành Stand-alone Cài đặt cấu hình RODC 16 Nâng cấp Server thành Domain Controller Active Directory Installation Wizard: Chú ý: Stand-alone Server -> Domain Controller (promoting) Domain Controller -> Stand-alone Server (demoting) 17 Nâng cấp Server thành Domain Controller Chuẩn bị cài đặt Đổi tên máy Tên miền cntt.edu.vn Đặt địa chỉ IP tĩnh, DNS trỏ về địa chỉ IP của máy DC 192.168.152.128 18 Đổi tên máy 19 Click Đổi tên máy 20 Click Click Click Cấu hình IP máy chủ 21 Các bước cài đặt 22 Server Manager/ Add Roles and Features ChọnAdd roles and features Before You Begin Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các gói security. 23 Click Select installation type Chọn kiểu cài đặt 24 Chọn Role-based or feature-bassed installation Click Select destination server 25 Chọn server để cài đặt Chọn server đề cài AD DS Click Select server roles 26 Chọn AD DS/ Chọn Next Click Click Chọn AD DS Installation progress 27 Chọn Close khi cài đặt thành công AD DS Click Cài đặt và cấu hình Domain Controller • Chọn Promote this server to a domain contronller 28 Click Deployment Configuration Đặt tên DNS đầy đủ cho domain xây dựng 29 Click Đặt tên miền Click Domain Controller Options 30 Đặt mật khẩu dùng trong trường hợp đăng nhập vào miền Click Đặt mật khẩu Additional Options • Đặt tên domain theo chuẩn NetBIOS để tương thích với các máy Windows NT. Chọn Next để tiếp tục 31 Click Location for Database, Log Files and SYSVOL • Chọn giá trị mặc đinh (vị trí lưu trữ dữ liệu của DC) • Chọn Next để tiếp tục 32 Click Kết thúc quá trình nâng cấp 33 Kết nối máy trạm vào Domain Đăng nhập máy trạm với quyền quản trị RightClick My Computer/ Properties/Change Settings/ Change/ Computer name. Điền tên Domain muốn gia nhập vào mục Member of Domain 34 Kết nối máy trạm vào Domain Máy trạm tìm đến Domain Controller gần nhất và xin gia nhập vào mạng. DC yêu cầu chứng thực, phải điền username và password của tài khoản miền. 35 Kết nối máy trạm vào Domain Thông báo gia nhập thành công Khởi động lại máy để đăng nhập vào mạng 36 Kết nối máy trạm vào Domain Log on to cho phép chọn một trong hai phần là: CNTT, This Computer. CNTT: đăng nhập vào miền, dùng tài khoản người dùng cấp miền. This Computer khi muốn log on cục bộ vào máy trạm . 37 Xây dựng DC đồng hành Vấn đề: DC lỗi Giải pháp: Xây dựng thêm DC 38 Hệ thống mạng tê liệt Các bước thực hiện Gia nhập member server (Server1) vào domain cntt.edu.vn Đăng nhập vào máy Server1 với vai trò Admin Server manager/ Add role and features 39 40 Server Manager/ Add Roles and Features Chọn Add roles and features Before You Begin Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các gói security. 41 Click Select installation type Chọn kiểu cài đặt 42 Chọn Role-based or feature-bassed installation Click Select destination server 43 Chọn server để cài đặt/ Click Chọn server đề cài AD DS Select server roles 44 Chọn AD DS/ Chọn Next Click Click Chọn AD DS Installation progress 45 Chọn Close khi cài đặt thành công AD DS Click Deployment Configuration, Chọn Add a domain controller to an existing domain 46 Click Click Click Click Trong hộp thoại Domain Controller Options, chọn DNS server và Global Catalog (cài đặt DNS Server thứ 2 và cấu hình Server2 làm Global Catalog Server) 47 Click DNS Options 48 Click Additional Options 49 Click Sao chép dữ liệu từ Server chính Hộp thoại Location for Database, Log Files, and SYSVOL, giữ nguyên đường dẫn mặc định, chọn Next 50 Click Review Options 51 Xem lại các thông tin cài đặt Click Installation 52 Click Kiểm tra DC đồng hành 53 Chuyển DC thành Stand-alone Server manager/ Local Server 54 Click 55 Chọn Add roles and features 56 Click Click 57 Click Click 58 Chọn server để gỡ bỏ cài đặt Click 59 Click 60 Click Thực hiện hạ cấp DC trước khi gỡ bỏ AD DS 61 62 Click 63 Click Click Đặt password sau khi hạ cấp DC 64 Nhập password cho tài khoản Administrator sau khi hạ cấp 65 Xem lại thông tin đã lựa chọn trong quá trình hạ cấp DC Click 66 Tiến trình hạ cấp 67 Kết quả: Hạ cấp thành công Click 68 Read-only Domain Controller Cho phép triển khai DC tại các vị trí mà sự bảo mật (về vật lý, cơ sở hạ tầng) không được đảm bảo. Đặc điểm: Tăng tốc độ đáp ứng yêu cầu từ máy trạm Không tham gia vào tiến trình xử lý những thay đổi trên AD Không tham gia đồng bộ các DC trong hệ thống mạng Không lưu trữ mật khẩu Cách xác thực: User RODC DC Yêu cầu xác thực Gửi pass 69 RODC Cách xác thực như trên có hiệu quả? Không: vì lưu lượng truyền thông giữa các DC tăng lên. Giải pháp: Kích hoạt Credential Caching. Hoạt động của Credential Caching: Lưu lại mật khẩu của user đã chứng thực thành công. RODC có Read-only DNS dùng để phân giải tên: Không cập nhật DNS record vào CSDL Hoạt động: User RODC DNS server RODC Cập nhật bản ghi Gửi bản ghi Đồng bộ bản ghi 70 Triển khai RODC a. Trên máy tính DC Tạo Site tương ứng với 1 chi nhánh Branch1 Đăng nhập vào DC với quyền quản trị domain. Tools/ AD Site and Services/ Right click Sites/ New/Site. 73 New Object – Site: Name: Branch1, DEFAULTIPSITELINK Chọn OK. 74 Click Click Active Directory Domain Services Đọc kĩ thông tin để thực hiện các bước tiếp theo. 75 Click AD Sites and Services, Right click Subnets/ New/Subnet. Tạo Subnet cho Branch1 76 Tạo subnet cho defaut-fist-site-name Tạo subnet cho Brand 1 Kết quả tạo 2 subnet 77 Trên máy DC, tạo OU IT của chi nhánh triển khai RODC 78 Tạo OU IT 79 Đặt tên cho OU Click 80 Trên máy DC, tạo Group RODC làm việc tại chi nhánh triển khai RODC Click Tạo một user dùng để ủy quyền quản trị RODC Đăng nhập vào DC với quyền quản trị domain. Tạo user tại AD Users and Computers. User này sẽ được ủy quyền quản trị RODC trong quá trình cài đặt server này. 81 Click Tạo user 82 Click Click Đặt mật khẩu cho tài khoản người dùng Chọn chính sách cho tài khoản người dùng Thông tin tài khoản người dùng vừa tạo Tạo một nhóm người dùng tương ứng với Branch1 Đăng nhập vào DC với quyền quản trị domain. Tạo ra nhóm RODC từ cửa sổ Active Directory Users and Computers và. Đây là nhóm bao gồm các thành viên làm việc tại chi nhánh Branch1. 83 Cách thêm user vào group 84 85 Cách thêm user vào group RODC b. Trên máy tính triển khai RODC Kết nối máy tính sẽ triển khai RODC (Server1) vào domain. Đăng nhập vào server-rodc quyền quản trị. Tiến hành cài đặt, cấu hình RODC 86 87 Server Manager/ Add Roles and Features Chọn Add roles and features Before You Begin Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các gói security. 88 Click Select installation type Chọn kiểu cài đặt 89 Chọn Role-based or feature-bassed installation Click Select destination server 90 Chọn server đề cài AD DS Click Select server roles 91 Chọn AD DS/ Chọn Next Click Click Chọn AD DS 92 Lựa chọn thêm các feature để cài đặt Click 93 Click Một số chú ý khi cài đặt AD DS 94 Một số chú ý khi cài đặt DNS server Click 95 Tiến trình cài đặt Kết thúc quá trình cài đặt AD DS, DNS server Nâng cấp từ Stand-alone thành RODC 96 Cài đặt và cấu hình RODC • Chọn Promote this server to a domain contronller 97 Click 98 Click Click Click Click 99 Đặt mật khẩu trong trường hợp khởi động vào chế độ Restore Click Click Click 100 Click Click Click Click 101 Xem lại các tài khoản đã ủy quyền Click 102 Chọn nguồn sao chép dữ liệu Click 103 Giữ nguyên đường dẫn Click 104 Xem lại các thông tin đã lựa chọn cài đặt ở các bước trước Click Kiểm tra Read-Only Domain Controller Đăng nhập hệ thống với tài khoản cntt\ Administrator AD DS\ AD Users and Computers\ DCs => SERVER 2 có DC kiểu là Read-only. 105 Kiểm tra Server 2 nằm trong mục Servers của Branch1 106 Kiểm tra Read-only DNS Mở DNS manager, kích chuột phải lên domain => Các chức năng tương ứng đã bị mờ. 107 Cấu hình Password Replication Policy Để server RODC có thể đồng bộ mật khẩu với DC cần cấu hình Password Replication Policy (Nhóm người dùng ở chi nhánh Branch1 được phép đồng bộ mật khẩu) Đăng nhập RODC với quyền Administrator của DC Mở cửa sổ AD Users and Computers Trong OU Domain Controllers, kích chuột phải lên Server2, chọn Propeties/ Password Replication Policy 108 Password Replication Policy 109 Chọn Add. Add Groups, Users and Computers 110 Chọn Allow passwords for the account to replication this RODC Select Users, Computers, Service Accounts, or Groups Nhập nhóm người dùng RODC Để kiểm tra tên nhóm RODC đã tồn tại? Check Name Nhấn OK để kết thúc quá trình. 111 RODC đã xuất hiện trong hộp thoại SERVER2 Propeties 112
File đính kèm:
- bai_giang_quan_tri_mang_chuong_2_cai_dat_va_cau_hinh_active.pdf