Triển khai Active Directory Domain Services

Triển khai Active Directory Domain Services – Phần 1

Share        [Đọc: 457-Ngày đăng: 05-11-2010-Ngày sửa: 05-11-2010]

Active Directory, còn gọi là dịch vụ thư mục (directory service), là

nơi lưu trữ thông tin về các đối tượng (objects) như users, groups,

computers, … trong hệ thống mạng. Active Directory giúp người

quản trị dễ dàng quản lý và tìm kiếm các đối tượng này.

1/- Giới thiệu về Windows Server 2008 Active Directory

Domain Services

Windows Server 2008 Active Directory kế thừa những ưu điểm đã được khẳng định trên

Windows Server 2003, đồng thời bổ sung thêm những tính năng mới.

Active Directory Domain Services

Active Directory Domain Services (AD DS) là một dịch vụ server trên Windows Server 2008,

sử dụng thông tin lưu trữ trong Active Directory để quản lý các đối tượng users, groups,

computers, … Các đối tượng này được tổ chức theo một cấu trúc phân cấp, trong đó gồm có :

• Active Directory forest (forest là đối tượng được tạo ra từ một nhóm gồm 2 hay nhiều

domain tree có quan hệ tin cậy với nhau – trust relationship).

• Các domain tree trong forest, và

• Các organizational unit (OU) trong mỗi domain.

Một Active Directory forest

Các OU trong một domain

Những điểm mới của AD DS trên Windows Server 2008 bao gồm :

• Auditing được điều chỉnh để cho phép lưu trữ các sự kiện liên quan đến những đối tượng

trong Active Directory. Nhờ đó, bạn có thể biết được đối tượng đã được thay đổi những gì.

Đồng thời, giá trị hiện tại và giá trị trước khi thay đổi cũng được ghi nhận lại.

• Password Policies có thể được cấu hình cho những nhóm người dùng riêng biệt trong một

domain. Với ưu điểm này, chúng ta không còn phải sử dụng chung một chính sách nmật khẩu

cho tất cả người dùng trong domain.

• Read-Only Domain Controller là một Domain Controller với cơ sở dữ liệu Active

Directory ở dạng read-only. Đây là loại hình dịch vụ phù hợp với những hạ tầng mạng mà khả

năng bảo mật chưa được đảm bảo, chẳng hạn như các văn phòng chi nhánh. Read-only

Domain Controller không cho phép các domain controller ở cấp chi nhánh thực hiện những

thay đổi, sau đó đồng bộ lên Active Directory bằng tao tác replication.

• Restartable AD DS là đặc điểm cho phép bạn khởi động lại AD DS trong khi vẫn giữ

nguyên trạng thái hoạt động của Domain Controller. Từ đó, bạn có thể hoàn thành những thao

tác offline một cách nhanh chóng.

• Active Directory Certificate Services (AD CS) là một dịch vụ được dùng để sinh ra và

quản lý các certificate trên những hệ thống sử dụng công nghệ public key (khóa công khai).

Bạn có thể sử dụng AD CS để tạo ra các máy chủ CA (Certification Authorities). Các CA có

tác dụng nhận yêu cầu về certificate, sau đó xử lý và gởi certificate về lại cho đối tượng đã gởi

yêu cầu.

• Active Directory Federation Services (AD FS) là một dịch vụ cung cấp cơ chế đăng nhập

một cửa – single sign-on (SSO), cho phép bạn đăng nhập chỉ một lần nhưng có thể dùng nhiều

ứng dụng Web có quan hệ với nhau.

• Active Directory Rights Management Services (AD RMS) là một dịch vụ được dùng để

kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS-enable applications) nhằm bảo vệ dữ

liệu quan trọng (báo cáo tài chính, thông tin khách hàng, …) trước những đối tượng người

dùng không được phép (unauthorized users). Với AD RMS, bạn có thể xác định những ai có

thể thực hiện các thao tác như xem, sửa chữa, in ấn, … trên dữ liệu của mình.

• Active Directory Lightweight Directory Services (AD LDS) là một dịch vụ thư mục

LDAP (Lightweight Directory Access Protocol) trên Windows Server 2008. AD LDS cung

cấp một cơ chế mềm dẻo nhằm hỗ trợ các ứng dụng directory-enabled (sử dụng thư mục để

lưu trữ dữ liệu). Dịch vụ này có chức năng tương tự như AD DS, nhưng không đòi hỏi phải

triển khai các domain hoặc Domain Controller.

Ghi chú : Một ứng dụng directory-enabled là ứng dụng không dùng cơ sở dữ liệu, file hoặc

các cấu trúc lưu trữ khác mà thay vào đó là thư mục để lưu trữ dữ liệu của mình. Các ứng

dụng dạng này có thể là hệ thống quản lý quan hệ khách hàng, hệ thống quản lý nguồn nhân

lực

Triển khai Active Directory Domain Services – Phần 2

Share        [Đọc: 305-Ngày đăng: 05-11-2010-Ngày sửa: 05-11-2010]

Cài đặt và triển khai AD DS là một nhiệm vụ khá phức tạp, cần

phải lập kế hoạch tỉ mỉ. Đồng thời bạn cũng cần tham khảo các đề

nghị sau đây để hoàn thành việc chuẩn bị trước khi chính thức cài đặt

AD DS :

2/- Cài đặt Active Directory Domain Services

2.1/- Yêu cầu trước khi cài đặt

• Thiết lập địa chỉ IP cho card mạng của server. Ở bước này, bạn cũng điền địa chỉ IP của các

DNS Server trong hệ thống mạng của mình. Nếu Server này là Domain Controller và DNS

Server đầu tiên, tiến trình cài đặt AD DS sẽ bao gồm cả cài đặt DNS Server.

• Nếu muốn bổ sung server này vào một forest đã tồn tại trên Windows 2000 Server,

Windows 2000 Advanced Server hoặc Windows Server 2003, bạn phải cập nhật thông tin về

forest bằng lệnh adprep /forestprep.

• Nếu muốn bổ sung server này vào một domain đã tồn tại trên Windows 2000 Server,

Windows 2000 Advanced Server hoặc Widows Server 2003, bạn phải cập nhật thông tin về

domain và group policy bằng lệnh adprep /domainprep /gpprep.

• Nếu muốn cài đặt một Read-Only Domain Controller, bạn cần phải chuẩn bị forest bằng

lệnh adprep /rodcprep.

• Xây dựng các DNS Server trong hệ thống mạng của mình. Nếu chưa có, bạn sẽ cài đặt DNS

Server trong quá trình cài đặt AD DS.

2.2/- Các bước cài đặt

Trong phần này, bạn sẽ thực hành cài đặt và cấu hình AD DS trên domain của Windows

Server 2008. Các bước thực hiện :

1/- Mở cửa sổ Server Manager. Trong khung Roles Summary ở bên phải, bạn bấm Add

Roles.

2/- Trong màn hình Before You Begin, bạn kiểm tra lại hệ thống của mình xem đã thỏa mãn

các điều kiện như : đặt mật khẩu tốt cho tài khoản Administrator, cấu hình địa chỉ IP tĩnh

cho card mạng, download và cập nhật các gói security cho Windows. Sau khi hoàn thành

bước kiểm tra,bấm nút Next.

Màn hình cảnh báo trước khi cài đặt dịch vụ

3/- Trong màn hình Select Server Roles, chọn Active Directory Domain Services và bấm nút

Next.

4/- Trong màn hình Active Directory Domain Services, bạn sẽ có cơ hội tiếp cận với thông tin

giới thiệu tổng quan về dịch vụ cùng tên. Đồng thời, bạn cũng nên đọc kỹ phần chú ý (Things

of Note) để nắm rõ những khuyến cáo trong khi triển khai dịch vụ này, sau đó bấm nút Next.

5/- Trong màn hình Confirm Installation Selections, bạn đọc kỹ các chú ý quan trọng như : hệ

thống sẽ khởi động lại sau khi tiến trình cài đặt hoàn thành; sau khi cài đặt AD DS, bạn cần

chạy file dcpromo.exe để cấu hình hệ thống trở thành Domain Controller. Sau đó, bạn bấm

nut Install để bắt đầu tiến trình cài đặt.

Chọn dịch vụ AD DS

Xác nhận lại các thiết lập đã thực hiện trên dịch vụ

6/- Trong màn hình Installation Results, bạn xem thông tin kết quả để chắc chắn rằng AD DS

được cài đặt thành công. Sau đó, bạn bấm nút Close.

Tiến trình cài đặt dịch vụ AD DS đã hoàn thành

7/- Trong cửa sổ Server Manager, bạn chọn Active Directory Domain Services.

8/- Trong khung Summary bên phải, bạn chọn Run the Active Directory Domain Services

Installation Wizard (dcpromo.exe) để cài đặt dịch vụ DNS và cấu hình server này trở thành

Domain Controller.

9/- Trong màn hình Welcome Active Directory Domain Services Installation Wizard, bấm nút

Next.

10/- Trong màn hình Choose a Deployment Configuration, bạn chọn Create a new domain

in a new forest để cấu hình Domain Controller trên một domain trong một forest mới. Nếu đã

tạo forest trước đó, bạn chọn Existing forest, sau đó bấm nút Next.

Cài đặt dịch vụ DNS và cấu hình Domain Controller

Tạo một Domain Controller trên một forest mới

11/- Trong màn hình Name the Forest Root Domain, bạn nhập tên domain vào mục FQDN of

the forest root domain, chẳng hạn thuvien-it.net. Sau khi nhập xong, bấm nút Next.

Nhập tên domain mới

12/- Trong màn hình Set Forest Funtional Level, bạn chọn lựa một phiên bản hệ điều hành

phù hợp với hệ thống mạng của mình ở mục Forest functional level. Nếu những Domain

Controller của bạn đều được cài Windows Server 2008, bạn chọn phiên bản hệ điều hành

cùng tên, sau đó bấm nút Next.

13/- Trong màn hình Additional Domain Controller Options, trình cài đặt sẽ tự động dò tìm và

đánh dấu chọn mục DNS server. Lưu ý rằng bạn không thể cấu hình Read-Only Domain

Controller trên Domain Controller đầu tiên này, bấm nút Next.

Chọn một forest functional level phù hợp

Chọn mục DNS server để cài đặt bổ sung

14/- Trong màn hình Location for Database, Log Files, and SYSVOL, bạn chấp nhận những

giá trị mặc định và bấm nút Next.

Chỉ định vị trí lưu trữ dữ liệu của Domain Controller

15/- Trong màn hình Directory Services Restore Mode Administrator Password, bạn nhập mật

khẩu cho tài khoản Administrator để sử dụng trong chế độ restore. Mật khẩu này khác với

mật khẩu của tài khoản Administrator trong domain. Sau khi nhập xong, bấm nút Next>.

16/- Trong màn hình Summary, bạn xem lại những tùy chọn mà mình vừa thiết lập. Sau khi

chắc chắn các bước cấu hình đã chính xác, bạn bấm nút Next để bắt đầu tiến trình cài đặt

DNS Server và cấu hình Domain Controller.

Nhập mật khẩu cho Administrator

Xem lại các thông tin đã thiết lập

17/- Trong màn hình Completing the Active Directory Domain Services Installation Wizard,

bạn bấm nút Finish để hoàn thành tiến trình cài đặt DNS Server và cấu hình máy tính này

đóng vai trò Domain Controller.

Hoàn thành tiến trình cấu hình Domain Controller

Sau bước này, bạn cần khởi động lại hệ thống để những thay đổi vừa thực hiện trên AD DS có

hiệu lực.

Khởi động lại hệ thống

Triển khai Active Directory Domain Services – Phần 3Share        [Đọc: 174-Ngày đăng: 05-11-2010-Ngày sửa: 05-11-2010]

Theo mặc định, user được cho phép đăng nhập 24/24. Nếu muốn

giới hạn lại thời gian theo chính sách của mình, bạn di chuyển đến tab

Account và bấm nút Logon Hours.

3/- Quản lý Users, Group và Organizational Unit

3.1/- Quản lý User

Để tạo một user trên domain, bạn thực hiện các bước như sau :

1/- Mở cửa sổ Server Manager. Trong mục Roles, bạn chọn Active Directory Domain

Services/Active Directory Users and Computers. Tiếp theo, kích chọn mục Users trong

domain. Một cách khác, bạn cũng có thể đến với cửa sổ Active Directory Users and

Computers bằng cách vào menu Start/Programs/Administrative Tools.

Cửa sổ Active Directory Users and Computers

2/- Kích chuột phải lên mục Users hoặc một vùng trống tương ứng ở khung bên phải. Trong

menu hiện ra, bạn chọn New/User.

Tạo một user mới

3/- Trong màn hình New Object – User, bạn nhập các trường thông tin cần thiết vào các mục

First Name, Last Name, … Trong đó, quan trọng nhất là từ khóa được nhập vào User logon

name. Từ khóa này tương ứng với một người dùng trong hệ thống mạng, do đó phải đảm bảo

tính duy nhất. Sau khi nhập xong, bấm Next.

4/- Trong hộp thoại yêu cầu nhập mật khẩu, bạn gõ hai lần mật khẩu tương ứng với user của

mình. Chú ý rằng, mật khẩu này phải thỏa mãn các chính sách mặt định trên Windows Server

2008, nghĩa là mật khẩu gồm ít nhất 7 ký tự, chữ hoa, chữ thường, số và ký tự đặc biệt. Sau

khi nhập xong, bấm nút Next.

Nhập thông tin cho user mới

Nhập mật khẩu cho user mới

5/- Trong màn hình tiếp theo, bạn xem lại thông tin về user sắp tạo và bấm nút Finish để hoàn

thành thao tác tạo user.

Xem lại thông tin user sắp tạo

6/- Chỉ định thời gian user được phép đăng nhập vào mạng bằng cách nhấp đôi chuột lên user

vừa tạo để mở hộp thoại Properties.

7/- Theo mặc định, user được cho phép đăng nhập 24/24. Nếu muốn giới hạn lại thời gian

theo chính sách của mình, bạn di chuyển đến tab Account và bấm nút Logon Hours.

8/- Trong hộp thoại Logon Hours for, bạn chọn các khoảng thời gian tương ứng và kích vào

tùy chọn Logon Denied (màu trắng) để ngăn cấm user không được phép truy cập. Sau khi

thiết lập xong, bấm nút OK để lưu lại những thay đổi.

Hộp thoại Properties tương ứng với user

Giới hạn thời gian user đăng nhập vào hệ thống

9/- Để chỉ định máy tính nào user vừa tạo được phép sử dụng, bạn bấm nút Log On To.

10/- Trong hộp thoại Logon Workstations, bạn kích chọn mục The following computers.

Tiếp theo, nhập tên máy tính sẽ cho phép user đăng nhập vào và bấm nút Add.

Chỉ định máy tính mà user được phép đăng nhập

11/- Bấm nút OK để lưu lại những thay đổi và đóng hộp thoại Logon Workstations. Bấm nút

OK một lần nữa để đóng hộp thoại Properties.

Khi muốn xóa một user, bạn kích chuột phải lên user tương ứng, chọn Delete. Trong hộp

thoại xác nhận, bạn bấm nút Yes để đồng ý.

Xác nhận thao tác xóa user

Triển khai Active Directory Domain Services – Phần 4Share        [Đọc: 261-Ngày đăng: 05-11-2010-Ngày sửa: 05-11-2010]

Nếu muốn di chuyển các đối tượng như user, group giữa các OU,

bạn kích chuột phải lên đối tượng tương ứng, chọn Move và chỉ định

OU mà mình muốn di chuyển đối tượng đến.

3.2/- Quản lý Group

Để tạo một group trên domain, bạn thực hiện các bước như sau :

1/- Mở cửa sổ Server Manager. Trong mục Roles, chọn Active Directory Domain

Services/Active Directory Users and Computers. Tiếp theo, bạn kích chọn mục Users trong

domain.

2/- Kích chuột phải lên mục Users hoặc một vùng trống tương ứng ở khung bên phải. Trong

menu hiện ra, bạn chọn New/Group.

Tạo một group mới

3/- Trong màn hình New Object – Group, bạn nhập tên group vào mục Group name và bấm

nút OK.

4/- Để bổ sung các user vào group vừa tạo, bạn nhấp đôi chuột lên group tương ứng để mở

hộp thoại Properties.

5/- Trong hộp thoại Properties, trên tab Members, bấm nút Add.

6/- Trong hộp thoại Select Users, Contacts, Computers, or Groups, bạn nhập user vào mục

Enter the object names to select và bấm nút Check Names để kiểm tra tính chính xác của

user vừa nhập. Trường hợp không nhớ tên user, bạn bấm vào nút Advanced để tìm kiếm và

lựa chọn từ danh sách user của hệ thống. Sau khi hoàn thành, bấm nút OK.

Nhập tên cho group mới

Bổ sung user vào group mới

7/- Nếu tiếp tục bổ sung user vào group, bạn lặp lại các bước vừa nêu ở trên. Sau khi kết thúc,

bạn bấm nút OK để đóng hộp thoại Properties.

Kết quả bổ sung user vào group

Khi muốn xóa một group, bạn kích chuột phải lên group tương ứng, chọn Delete. Trong hộp

thoại xác nhận, bạn bấm nút Yes để đồng ý.

Xác nhận lại thao tác xóa group

3.3/- Quản lý Organizational Unit

Để tạo một organizational unit (OU) trên domain, bạn thực hiện các bước sau :

1/- Mở cửa sổ Server Manager. Trong mục Roles, chọn Active Directory Domain

Services/Active Directory Users and Computers. Tiếp theo, bạn kích chuột phải lên

domain, chọn New/Organizational Unit.

Tạo một OU mới

2/- Trong màn hình New Object – Organizational Unit, bạn nhập tên của đối tượng này vào

mục Name và bấm núy OK.

Nhập tên cho OU mới

Lưu ý : nếu muốn cho phép thao tác xóa được thực hiện trên OU này, bạn bỏ dấu chọn ở mục

Protect container from accidental deletion.

3/- Để tạo các đối tượng user, group, OU, computer, … trong OU vừa tạo, bạn kích chuột

phải lên đối tượng này và chọn chức năng tương ứng.

4/- Nếu muốn di chuyển các đối tượng như user, group giữa các OU, bạn kích chuột phải lên

đối tượng tương ứng, chọn Move và chỉ định OU mà mình muốn di chuyển đối tượng đến.

Khi muốn xóa một OU, bạn kích chuột phải lên OU tương ứng, chọn Delete. Trong hộp thoại

xác nhận, bạn bấm nút Yes để đồng ý.

Xác nhận thao tác xóa OU

Triển khai Active Directory Domain Services – Phần 5Share        [Đọc: 245-Ngày đăng: 08-11-2010-Ngày sửa: 08-11-2010]

Sau khi triển khai thành công AD DS, tạo lập hoàn chỉnh các đội

tượng user, group, OU, … bạn cần thực hiện thao tác kết nối (joining)

các máy trạm trong hệ thống mạng nội bộ của mình vào domain.

4/- Kết nối máy tính vào domain

Trong phần này, chúng ta sẽ khảo sát các bước chi tiết để kết nối

máy tính PCxx (Computer Name) vào domain thuvien-it.net. Các bước thực hiện :

1/- Đăng nhập vào máy trạm (PCxx) với tài khoản Administrator của máy này.

2/- Mở cửa sổ Network Connections từ menu Start/Settings.

3/- Kích chọn biểu tượng Local Area Connection trong cửa sổ Network Connections và bấm

nút Properties.

Mở hộp thoại Local Area Connection Properties

4/- Trong hộp thoại Local Area Connection Properties, chọn Internet Protocol (TCP/IP) và

bấm nút Properties.

5/- Điền địa chỉ IP của máy trạm cùng lớp mạng với địa chỉ IP của máy tính đã cài đặt AD

DS. Trong đó, đặc biệt lưu ý mục Use the following DNS server addresses. Tại đây, ở mục

Preferred DNS server, bạn phải điền địa chỉ IP của DNS Server trong hệ thống mạng của

mình. Trong trường hợp của chúng ta, địa chỉ DNS Server cũng là địa chỉ của AD DS.

6/- Bấm nút OK để đóng hộp thoại Internet Protocol (TCP/IP) Properties.

7/- Bấm nút OK để đóng hộp thoại Local Area Connection Properties.

Điền địa chỉ IP của DNS Server trên máy trạm

8/- Kích chuột phải vào biểu tượng My Computer trên desktop của máy trạm, chọn

Properties.

9/- Trên tab Computer Name, bấm nút Change.

10/- Trong hộp thoại Computer Name Change, ở mục Computer Name, bạn hiệu chỉnh chính

xác tên máy tính. Đồng thời, nhập tên domain vào mục Domain. Trong trường hợp này là

thuvien-it.net. Sau khi nhập xong, bấm nút OK.

Điền tên máy tính và tên domain

11/- Trong hộp thoại yêu cầu tài khoản có quyền kết nối vào domain, bạn sử dụng tài khoản

Administrator của domain. Sau khi nhập xong, bấm nút OK.

Sử dụng tài khoản Administrator để kết nối

12/- Khi hộp thoại Welcome xuất hiện, thao tác kết nối máy trạm vào domain đã thành công,

bạn bấm nút OK.

Thao tác kết nối vào domain đã thành công

13/- Trong hộp thoại yêu cầu khởi động lại máy tính, bạn bấm nút OK.

Khởi động lại máy tính để hiệu lực hóa các thay đổi

14/- Trong hộp thoại System Properties, bạn bấm nút OK.

Đóng hộp thoại System Properties

15/- Hộp thoại yêu cầu khởi động lại máy tính xuất hiện một lần nữa, bạn chọn Yes để chính

thức khởi động lại máy tính và hoàn thành thao tác kết nối vào domain.

Khởi động lại máy tính và hoàn thành thao tác kết nối

16/- Sau khi máy tính khởi động lại, bạn sẽ đăng nhập với một user đã được tạo trên domain

thuvien-it.net, chẳng hạn THUVIEN-IT\lnthang.

Ngoài ra trên AD DS, bạn có thể xem thông tin và quản lý các máy trạm đã kết nối vào

domain bằng cách mở cửa sổ Server Manger. Trong mục Roles, bạn chọn Active Directory

Domain Services và tìm đến mục Computers. Tại đây, danh sách các máy trạm sẽ được liệt

kê ở khung bên phải. Nếu muốn xem thông tin, bạn nhấp đôi chuột để mở hộp thoại

Properties. Nếu muốn quản lý máy trạm, bạn kích chuột phải lên tên máy trạm tương ứng,

chọn All Tasks/Manage.

Sử dụng AD DS để quản lý máy trạm Triển khai Active Directory Domain Services – Phần 6

Share        [Đọc: 248-Ngày đăng: 17-11-2010-Ngày sửa: 17-11-2010]

Read-Only Domain Controller (RODC) là một kiểu Domain

Controller mới trên Windows Server 2008. Với RODC, bạn có thể dễ

dàng triển khai các Domain Controller tại các vị trí mà sự bảo mật

(về vật lý, hạ tầng) không được đảm bảo, chẳng hạn như các văn

phòng chi nhánh.

5/- Triển khai Read-Only Domain Controller

Đồng thời, với chế độ read-only, Domain Controller có thể cải thiện tốc độ đáp ứng các yêu

cầu từ máy trạm. RODC không tham gia vào các tiến trình xử lý những thay đổi trên cơ sở dữ

liệu Active Directory cũng như đồng bộ lên các Domain Controller khác trong hệ thống

mạng.

RODC lưu trữ tất cả các đối tượng và thuộc tính giống như một Domain Controller bình

thường, ngoại trừ mật khẩu. Khi một user gởi yêu cầu xác thực đến RODC, RODC sẽ so sánh

với cơ sở dữ liệu đang có. Nếu user này tồn tại, RODC sẽ gởi mật khẩu của user này đến

Domain Controller chính để xác thực.

Cách xác thực như trên tỏ ra không hiệu quả vì lưu lượng truyền thông giữa các Domain

Controller sẽ gia tăng đáng kể. Vì vậy, bạn nên kích hoạt chức năng Credential Caching trên

RODC. Credential Caching có tác dụng lưu lại mật khẩu của các user đã chứng thực thành

công vào cơ sở dữ liệu trên RODC. Từ đó, mỗi khi có một yêu cầu xác thực được gởi đến,

RODC sẽ kiểm tra trong cơ sở dữ liệu của mình. Nếu có, RODC sẽ tự mình tiến hành xác

thực. Ngược lại, RODC sẽ gởi yêu cầu này đến Domain Controller chính để xác thực. Sau khi

Domain Controller chính xác thực thành công, RODC sẽ lưu lại mật khẩu tương ứng với user

này để sử dụng trong tương lai.

Ngoài ra, RODC còn bao gồm một Read-Only DNS được dùng để phân giải tên. Tuy nhiên,

không giống như các DNS Server thông thường, Read-Only DNS không thể cập nhật các bản

ghi DNS (DNS record) vào cơ sở dữ liệu của mình. Do đó, khi một máy khách muốn cập nhật

bản ghi DNS của chính nó, RODC sẽ gởi thông tin đến DNS Server thông thường để cập

nhật. Tiếp đến, bản ghi DNS này sẽ được đồng bộ từ DNS Server về Read-Only DNS.

5.1/- Yêu cầu trước khi triển khai

Để triển khai thành công RODC trong hệ thống mạng của mình, bạn cần thực hiện các yêu

cầu sau :

• Đảm bảo rằng forest functional level là Windows Server 2003 hoặc cao hơn, bằng cách :

1/- Mở cửa sổ Active Directory Domains and Trusts.

2/- Trong cửa sổ này, kích chuột phải lên tên forest, chọn Properties.

3/- Dưới mục Forest functional level, kiểm tra xem giá trị tương ứng có phải là Windows

Server 2003 hoặc Windows Server 2008 hay không.

Mở cửa sổ Properties của forest

Kiểm tra forest functional level

4/- Nếu forest functional level chưa phù hợp, bạn cần phải thực hiện thao tác raise (chuyển

cấp) cho forest của mình. Trước tiên, bạn kích chuột phải lên tên forest trong cửa sổ Active

Directory Domains and Trusts, chọn Raise Domain Functional Level.

Raise Domain Functional Level

5/- Trong hộp thoại Raise domain functional level, bạn chọn Windows Server 2003 trong

danh sách ở mục Select an available domain functional level và bấm nút Raise.

• Thực hiện lệnh adprep /rodcprep

Chú ý : Bạn không cần thực hiện bước này nếu tất cả các Domain Controller đều được triển

khai trên Windows Server 2008.

Lệnh trên sẽ cấp quyền để các DNS Server trên các Domain Controller chính có thể thực hiện

thao tác đồng bộ dữ liệu đến các RODC có kích hoạt Read-Only DNS. Các bước thực hiện

như sau :

1/- Đăng nhập vào một Domain Controller với quyền quản trị domain.

2/- Sao chép thư mục \source\adprep trên đĩa DVD Windows Server 2008 vào ổ đĩa cứng

của máy tính.

3/- Mở cửa sổ dòng lệnh, di chuyển đến thư mục \adprep và gõ lệnh adprep /rodcprep.

• Cài đặt một Writable Domain Controller (Domain Controller chính) trên server chạy

Windows Server 2008. Các bước chi tiết được mô tả trong phần "Cài đặt Active Directory

Domain Services"

Triển khai Active Directory Domain Services – Phần 7

Share        [Đọc: 307-Ngày đăng: 20-11-2010-Ngày sửa: 25-11-2010]

RODC có thể triển khai trên Windows Server 2008 được cài đặt

dưới dạng Server Core Installation hoặc Full Installation. Trong phần

này, chúng ta sẽ thực hành trên Full Installation.

Đến trang:  Trước: 1 2 3 4  Kế

5.2/- Triển khai RODC

Đồng thời, RODC của chúng ta sẽ phục vụ cho chi nhánh có tên là Branch1. Các bước thực

hiện :

5.2.1/- Trên máy tính đóng vai trò Domain Controller chính

Trước khi triển khai RODC, bạn cần thực hiện một số thao tác cấu hình cần thiết trên Domain

Controller chính (server), cụ thể là :

Tạo Site tương ứng với Branch1

1/- Đăng nhập vào Domain Controller với quyền quản trị domain.

2/- Mở cửa sổ Active Directory Site and Services.

3/- Kích chuột phải lên mục Sites, chọn New/Site.

Tạo một site mới

4/- Trong hộp thoại New Object – Site, nhập tên site là Branch1 vào mục Name, chọn

DEFAULTIPSITELINK và bấm nút OK.

Điền tên cho site mới

5/- Trong hộp thông báo Active Directory Domain Services, bạn đọc kỹ thông tin để nắm các

bước tiếp theo cần thực hiện nhằm hoàn thành việc cấu hình site Branch1, bấm nút OK.

Thông tin hướng dẫn cấu hình site

6/- Trong cửa sổ Active Directory Sites and Services, kích chuột phải lên mục Subnets, chọn

New/Subnet.

7/- Trong hộp thoại New Object – Subnet, nhập 172.16.1.0/24 vào mục Prefix, chọn Default-First-Site-Name và bấm OK. Đây là subnet dành cho site chính. Chúng ta sẽ tạo subnet cho site Branch1 ở bước tiếp theo.

Tạo một subnet tương ứng với site mặc định

Điền thông tin cho subnet

8/- Tiếp tục kích chuột phải lên mục Subnets, chọn New/Subnet.

9/- Trong hộp thoại New Object – Subnet, nhập 192.168.0.0/24 vào mục Prefix, chọn Branch1 và bấm nút OK.

Điền thông tin cho subnet tương ứng với site Branch1

10/- Sau khi tạo xong, hai subnet của bạn như sau :

Kết quả tạo các subnet

Tạo một user dùng để ủy quyền quản trị RODC

Đăng nhập vào Domain Controller với quyền quản trị domain. Tiếp theo, mở cửa sổ Active Directory Users and Computers vào tạo ra một user. User này sẽ được ủy quyền quản trị RODC trong quá trình cài đặt server này.

Tạo user dùng để ủy quyền quản trị RODC

Tạo một nhóm người dùng tương ứng với Branch1

Đăng nhập vào Domain Controller với quyền quản trị domain. Tiếp theo, mở cửa sổ Active Directory Users and Computers và tạo ra nhóm Branch1. Đây là nhóm bao gồm các thành viên làm việc tại chi nhánh Branch1.

Tạo nhóm người dùng tương ứng với chi nhánh Branch1

5.2.2/- Trên máy tính đóng vai trò RODC

Sau khi hòan thành các nhiệm vụ cần thiết trên Domain Controller chính, bạn tiếp tục các bước sau đây để triển khai RODC trên hệ thống mạng của mình :

1/- Kết nối máy tính sẽ triển khai RODC (server-rodc) vào domain.

2/- Đăng nhập vào server-rodc với tài khoản quản trị domain, trong trường hợp này là THUVIEN-IT.NET\Administrator.

3/- Mở hộp thoại Run từ menu Start và gõ lệnh dcpromo. Trong màn hình Welcome, đánh dấu chọn mục User advanced mode installation để cấu hình Password Replication Policy và một số tính năng mở rộng khác.

Kết nối hs-rodc vào domain

Khởi động tiến trình triển khai RODC

4/- Trong màn hình Operating System Compatibility, bạn xem thông tin cảnh báo về tính tương thích hệ điều hành khi triển khai Domain Controller trên Windows Server 2008. Sau đó, bấm nút Next.

Thông tin cảnh báo về tính tương thích hệ điều hành

5/- Trong màn hình Choose a Deployment Configuration, chọn Existing forest, Add a domain controller to an existing domain và bấm nút Next.

6/- Trong màn hình Network Credentials, bạn xem lại tên forest và tài khoản dùng để cài đặt RODC. Sau đó, bấm nút Next.

7/- Trong màn hình Select a Domain, chấp nhận giá trị mặc định và bấm nút Next.

8/- Trong màn hình Select a site, chọn Branch1 và bấm nút Next.

Tạo một Domain Controller trên một forest đã tồn tại

Xác định tên forest và tài khoản dùng cài đặt RODC

Chỉ định domain dành cho Domain Controller này

Chỉ định site dành cho Domain Controller này

9/- Trong màn hình Additional Domain Controller Option, đánh dấu chọn 3 mục DNS server, Global catalog, Read-only domain controller (cài đặt Read-Only DNS Server, Global Catalog Server và Read-Only Domain Controller trên server-rodc). Sau đó, bấm nút Next.

Chỉ định vai trò của Domain Controller

10/- Trong màn hình Specify the Password Replication Policy, chấp nhận các giá trị mặc định. Chúng ta sẽ cấu hình Password Replication Policy sau khi tiến trình cài đặt hoàn thành. Bấm nút Next.

11/- Trong màn hình Delegation of RODC Installation and Administrator, bấm nút Set và chọn user THUVIEN-IT\tkhy để ủy quyền quản lý RODC cho user này. Sau đó, bấm nút Next.

Hộp thoại cấu hình Password Replication Policy

Chỉ định user được ủy quyền quản lý RODC

12/- Trong màn hình Install from Media, chấp nhận giá trị mặc định và bấm nút Next.

Đồng bộ dữ liệu từ Domain Controller

13/- Trong màn hình Source Domain Controller, chọn mục Use this specific domain controller. Tiếp theo, chọn tên Domain Controller chính và bấm nút Next.

14/- Trong màn hình Location for Database, Log Files, and SYSVOL, chấp nhận các đường dẫn mặc định và bấm nút Next.

15/- Trong màn hình Directory Services Restore Mode Administrator Password, nhập mật khẩu vào hai mục Password và Confirm password. Mật khẩu này được gán cho tài khoản Administrator để sử dụng khi Domain Controller này chạy ở chế độ Directory Services Restore. Sau khi nhập xong, bấm nút Next.

16/- Trong màn hình Summary, bạn xem lại các thiết lập vừa thực hiện và bấm nút Next.

Chỉ định Domain Controller chính

Chỉ định vị trí lưu trữ dữ liệu của Domain Controller

Nhập mật khẩu cho Administrator

Xem lại các thông tin đã thiết lập

17/- Sau bước này, tiến trình cài đặt sẽ diễn ra. Nếu muốn server-rodc tự động khởi động lại hệ thống để hoàn thành tiến trình cài đặt, bạn đánh dấu chọn mục Reboot on completion.

Tiến trình cài đặt RODC đang diễn ra