Triển khai Active Directory Domain Services

Triển khai Active Directory Domain Services – Phần 1 Share [Đọc: 457-Ngày đăng: 05-11-2010-Ngày sửa: 05-11-2010] Active Directory, còn gọi là dịch vụ thư mục (directory service), là nơi lưu trữ thông tin về các đối tượng (objects) như users, groups, computers, … trong hệ thống mạng. Active Directory giúp người quản trị dễ dàng quản lý và tìm kiếm các đối tượng này.

1/- Giới thiệu về Windows Server 2008 Active Directory Domain Services Windows Server 2008 Active Directory kế thừa những ưu điểm đã được khẳng định trên Windows Server 2003, đồng thời bổ sung thêm những tính năng mới. Active Directory Domain Services Active Directory Domain Services (AD DS) là một dịch vụ server trên Windows Server 2008, sử dụng thông tin lưu trữ trong Active Directory để quản lý các đối tượng users, groups, computers, … Các đối tượng này được tổ chức theo một cấu trúc phân cấp, trong đó gồm có : • Active Directory forest (forest là đối tượng được tạo ra từ một nhóm gồm 2 hay nhiều domain tree có quan hệ tin cậy với nhau – trust relationship). • Các domain tree trong forest, và • Các organizational unit (OU) trong mỗi domain.

Một Active Directory forest

Các OU trong một domain Những điểm mới của AD DS trên Windows Server 2008 bao gồm : • Auditing được điều chỉnh để cho phép lưu trữ các sự kiện liên quan đến những đối tượng trong Active Directory. Nhờ đó, bạn có thể biết được đối tượng đã được thay đổi những gì. Đồng thời, giá trị hiện tại và giá trị trước khi thay đổi cũng được ghi nhận lại. • Password Policies có thể được cấu hình cho những nhóm người dùng riêng biệt trong một domain. Với ưu điểm này, chúng ta không còn phải sử dụng chung một chính sách nmật khẩu cho tất cả người dùng trong domain. • Read-Only Domain Controller là một Domain Controller với cơ sở dữ liệu Active Directory ở dạng read-only. Đây là loại hình dịch vụ phù hợp với những hạ tầng mạng mà khả năng bảo mật chưa được đảm bảo, chẳng hạn như các văn phòng chi nhánh. Read-only Domain Controller không cho phép các domain controller ở cấp chi nhánh thực hiện những thay đổi, sau đó đồng bộ lên Active Directory bằng tao tác replication. • Restartable AD DS là đặc điểm cho phép bạn khởi động lại AD DS trong khi vẫn giữ nguyên trạng thái hoạt động của Domain Controller. Từ đó, bạn có thể hoàn thành những thao tác offline một cách nhanh chóng. • Active Directory Certificate Services (AD CS) là một dịch vụ được dùng để sinh ra và quản lý các certificate trên những hệ thống sử dụng công nghệ public key (khóa công khai). Bạn có thể sử dụng AD CS để tạo ra các máy chủ CA (Certification Authorities). Các CA có tác dụng nhận yêu cầu về certificate, sau đó xử lý và gởi certificate về lại cho đối tượng đã gởi yêu cầu. • Active Directory Federation Services (AD FS) là một dịch vụ cung cấp cơ chế đăng nhập một cửa – single sign-on (SSO), cho phép bạn đăng nhập chỉ một lần nhưng có thể dùng nhiều ứng dụng Web có quan hệ với nhau.

• Active Directory Rights Management Services (AD RMS) là một dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS-enable applications) nhằm bảo vệ dữ liệu quan trọng (báo cáo tài chính, thông tin khách hàng, …) trước những đối tượng người dùng không được phép (unauthorized users). Với AD RMS, bạn có thể xác định những ai có thể thực hiện các thao tác như xem, sửa chữa, in ấn, … trên dữ liệu của mình. • Active Directory Lightweight Directory Services (AD LDS) là một dịch vụ thư mục LDAP (Lightweight Directory Access Protocol) trên Windows Server 2008. AD LDS cung cấp một cơ chế mềm dẻo nhằm hỗ trợ các ứng dụng directory-enabled (sử dụng thư mục để lưu trữ dữ liệu). Dịch vụ này có chức năng tương tự như AD DS, nhưng không đòi hỏi phải triển khai các domain hoặc Domain Controller. Ghi chú : Một ứng dụng directory-enabled là ứng dụng không dùng cơ sở dữ liệu, file hoặc các cấu trúc lưu trữ khác mà thay vào đó là thư mục để lưu trữ dữ liệu của mình. Các ứng dụng dạng này có thể là hệ thống quản lý quan hệ khách hàng, hệ thống quản lý nguồn nhân lực Triển khai Active Directory Domain Services – Phần 2 Share [Đọc: 305-Ngày đăng: 05-11-2010-Ngày sửa: 05-11-2010] Cài đặt và triển khai AD DS là một nhiệm vụ khá phức tạp, cần phải lập kế hoạch tỉ mỉ. Đồng thời bạn cũng cần tham khảo các đề nghị sau đây để hoàn thành việc chuẩn bị trước khi chính thức cài đặt AD DS :

2/- Cài đặt Active Directory Domain Services 2.1/- Yêu cầu trước khi cài đặt • Thiết lập địa chỉ IP cho card mạng của server. Ở bước này, bạn cũng điền địa chỉ IP của các DNS Server trong hệ thống mạng của mình. Nếu Server này là Domain Controller và DNS Server đầu tiên, tiến trình cài đặt AD DS sẽ bao gồm cả cài đặt DNS Server. • Nếu muốn bổ sung server này vào một forest đã tồn tại trên Windows 2000 Server, Windows 2000 Advanced Server hoặc Windows Server 2003, bạn phải cập nhật thông tin về forest bằng lệnh adprep /forestprep. • Nếu muốn bổ sung server này vào một domain đã tồn tại trên Windows 2000 Server, Windows 2000 Advanced Server hoặc Widows Server 2003, bạn phải cập nhật thông tin về domain và group policy bằng lệnh adprep /domainprep /gpprep. • Nếu muốn cài đặt một Read-Only Domain Controller, bạn cần phải chuẩn bị forest bằng lệnh adprep /rodcprep. • Xây dựng các DNS Server trong hệ thống mạng của mình. Nếu chưa có, bạn sẽ cài đặt DNS Server trong quá trình cài đặt AD DS.

2.2/- Các bước cài đặt Trong phần này, bạn sẽ thực hành cài đặt và cấu hình AD DS trên domain của Windows Server 2008. Các bước thực hiện : 1/- Mở cửa sổ Server Manager. Trong khung Roles Summary ở bên phải, bạn bấm Add Roles. 2/- Trong màn hình Before You Begin, bạn kiểm tra lại hệ thống của mình xem đã thỏa mãn các điều kiện như : đặt mật khẩu tốt cho tài khoản Administrator, cấu hình địa chỉ IP tĩnh cho card mạng, download và cập nhật các gói security cho Windows. Sau khi hoàn thành bước kiểm tra,bấm nút Next.

Màn hình cảnh báo trước khi cài đặt dịch vụ 3/- Trong màn hình Select Server Roles, chọn Active Directory Domain Services và bấm nút Next. 4/- Trong màn hình Active Directory Domain Services, bạn sẽ có cơ hội tiếp cận với thông tin giới thiệu tổng quan về dịch vụ cùng tên. Đồng thời, bạn cũng nên đọc kỹ phần chú ý (Things of Note) để nắm rõ những khuyến cáo trong khi triển khai dịch vụ này, sau đó bấm nút Next. 5/- Trong màn hình Confirm Installation Selections, bạn đọc kỹ các chú ý quan trọng như : hệ thống sẽ khởi động lại sau khi tiến trình cài đặt hoàn thành; sau khi cài đặt AD DS, bạn cần chạy file dcpromo.exe để cấu hình hệ thống trở thành Domain Controller. Sau đó, bạn bấm nut Install để bắt đầu tiến trình cài đặt.

Chọn dịch vụ AD DS

Xác nhận lại các thiết lập đã thực hiện trên dịch vụ

6/- Trong màn hình Installation Results, bạn xem thông tin kết quả để chắc chắn rằng AD DS được cài đặt thành công. Sau đó, bạn bấm nút Close.

Tiến trình cài đặt dịch vụ AD DS đã hoàn thành 7/- Trong cửa sổ Server Manager, bạn chọn Active Directory Domain Services. 8/- Trong khung Summary bên phải, bạn chọn Run the Active Directory Domain Services Installation Wizard (dcpromo.exe) để cài đặt dịch vụ DNS và cấu hình server này trở thành Domain Controller. 9/- Trong màn hình Welcome Active Directory Domain Services Installation Wizard, bấm nút Next.

10/- Trong màn hình Choose a Deployment Configuration, bạn chọn Create a new domain in a new forest để cấu hình Domain Controller trên một domain trong một forest mới. Nếu đã tạo forest trước đó, bạn chọn Existing forest, sau đó bấm nút Next.

Cài đặt dịch vụ DNS và cấu hình Domain Controller

Tạo một Domain Controller trên một forest mới 11/- Trong màn hình Name the Forest Root Domain, bạn nhập tên domain vào mục FQDN of the forest root domain, chẳng hạn thuvien-it.net. Sau khi nhập xong, bấm nút Next.

Nhập tên domain mới 12/- Trong màn hình Set Forest Funtional Level, bạn chọn lựa một phiên bản hệ điều hành phù hợp với hệ thống mạng của mình ở mục Forest functional level. Nếu những Domain

Controller của bạn đều được cài Windows Server 2008, bạn chọn phiên bản hệ điều hành cùng tên, sau đó bấm nút Next. 13/- Trong màn hình Additional Domain Controller Options, trình cài đặt sẽ tự động dò tìm và đánh dấu chọn mục DNS server. Lưu ý rằng bạn không thể cấu hình Read-Only Domain Controller trên Domain Controller đầu tiên này, bấm nút Next.

Chọn một forest functional level phù hợp

Chọn mục DNS server để cài đặt bổ sung 14/- Trong màn hình Location for Database, Log Files, and SYSVOL, bạn chấp nhận những giá trị mặc định và bấm nút Next.

Chỉ định vị trí lưu trữ dữ liệu của Domain Controller 15/- Trong màn hình Directory Services Restore Mode Administrator Password, bạn nhập mật khẩu cho tài khoản Administrator để sử dụng trong chế độ restore. Mật khẩu này khác với mật khẩu của tài khoản Administrator trong domain. Sau khi nhập xong, bấm nút Next>.

16/- Trong màn hình Summary, bạn xem lại những tùy chọn mà mình vừa thiết lập. Sau khi chắc chắn các bước cấu hình đã chính xác, bạn bấm nút Next để bắt đầu tiến trình cài đặt DNS Server và cấu hình Domain Controller.

Nhập mật khẩu cho Administrator

Xem lại các thông tin đã thiết lập

17/- Trong màn hình Completing the Active Directory Domain Services Installation Wizard, bạn bấm nút Finish để hoàn thành tiến trình cài đặt DNS Server và cấu hình máy tính này đóng vai trò Domain Controller.

Hoàn thành tiến trình cấu hình Domain Controller Sau bước này, bạn cần khởi động lại hệ thống để những thay đổi vừa thực hiện trên AD DS có hiệu lực.

Khởi động lại hệ thống

Triển khai Active Directory Domain Services – Phần 3 Share

[Đọc: 174-Ngày đăng: 05-11-2010-Ngày sửa: 05-11-2010] Theo mặc định, user được cho phép đăng nhập 24/24. Nếu muốn giới hạn lại thời gian theo chính sách của mình, bạn di chuyển đến tab Account và bấm nút Logon Hours.

3/- Quản lý Users, Group và Organizational Unit 3.1/- Quản lý User Để tạo một user trên domain, bạn thực hiện các bước như sau : 1/- Mở cửa sổ Server Manager. Trong mục Roles, bạn chọn Active Directory Domain Services/Active Directory Users and Computers. Tiếp theo, kích chọn mục Users trong domain. Một cách khác, bạn cũng có thể đến với cửa sổ Active Directory Users and Computers bằng cách vào menu Start/Programs/Administrative Tools.

Cửa sổ Active Directory Users and Computers 2/- Kích chuột phải lên mục Users hoặc một vùng trống tương ứng ở khung bên phải. Trong menu hiện ra, bạn chọn New/User.

Tạo một user mới 3/- Trong màn hình New Object – User, bạn nhập các trường thông tin cần thiết vào các mục First Name, Last Name, … Trong đó, quan trọng nhất là từ khóa được nhập vào User logon name. Từ khóa này tương ứng với một người dùng trong hệ thống mạng, do đó phải đảm bảo tính duy nhất. Sau khi nhập xong, bấm Next. 4/- Trong hộp thoại yêu cầu nhập mật khẩu, bạn gõ hai lần mật khẩu tương ứng với user của mình. Chú ý rằng, mật khẩu này phải thỏa mãn các chính sách mặt định trên Windows Server 2008, nghĩa là mật khẩu gồm ít nhất 7 ký tự, chữ hoa, chữ thường, số và ký tự đặc biệt. Sau khi nhập xong, bấm nút Next.

Nhập thông tin cho user mới

Nhập mật khẩu cho user mới 5/- Trong màn hình tiếp theo, bạn xem lại thông tin về user sắp tạo và bấm nút Finish để hoàn thành thao tác tạo user.

Xem lại thông tin user sắp tạo 6/- Chỉ định thời gian user được phép đăng nhập vào mạng bằng cách nhấp đôi chuột lên user vừa tạo để mở hộp thoại Properties. 7/- Theo mặc định, user được cho phép đăng nhập 24/24. Nếu muốn giới hạn lại thời gian theo chính sách của mình, bạn di chuyển đến tab Account và bấm nút Logon Hours.

8/- Trong hộp thoại Logon Hours for, bạn chọn các khoảng thời gian tương ứng và kích vào tùy chọn Logon Denied (màu trắng) để ngăn cấm user không được phép truy cập. Sau khi thiết lập xong, bấm nút OK để lưu lại những thay đổi.

Hộp thoại Properties tương ứng với user

Giới hạn thời gian user đăng nhập vào hệ thống 9/- Để chỉ định máy tính nào user vừa tạo được phép sử dụng, bạn bấm nút Log On To.

10/- Trong hộp thoại Logon Workstations, bạn kích chọn mục The following computers. Tiếp theo, nhập tên máy tính sẽ cho phép user đăng nhập vào và bấm nút Add.

Chỉ định máy tính mà user được phép đăng nhập 11/- Bấm nút OK để lưu lại những thay đổi và đóng hộp thoại Logon Workstations. Bấm nút OK một lần nữa để đóng hộp thoại Properties. Khi muốn xóa một user, bạn kích chuột phải lên user tương ứng, chọn Delete. Trong hộp thoại xác nhận, bạn bấm nút Yes để đồng ý.

Xác nhận thao tác xóa user

Triển khai Active Directory Domain Services – Phần 4 Share

[Đọc: 261-Ngày đăng: 05-11-2010-Ngày sửa: 05-11-2010] Nếu muốn di chuyển các đối tượng như user, group giữa các OU, bạn kích chuột phải lên đối tượng tương ứng, chọn Move và chỉ định OU mà mình muốn di chuyển đối tượng đến.

3.2/- Quản lý Group

Để tạo một group trên domain, bạn thực hiện các bước như sau : 1/- Mở cửa sổ Server Manager. Trong mục Roles, chọn Active Directory Domain Services/Active Directory Users and Computers. Tiếp theo, bạn kích chọn mục Users trong domain. 2/- Kích chuột phải lên mục Users hoặc một vùng trống tương ứng ở khung bên phải. Trong menu hiện ra, bạn chọn New/Group.

Tạo một group mới 3/- Trong màn hình New Object – Group, bạn nhập tên group vào mục Group name và bấm nút OK. 4/- Để bổ sung các user vào group vừa tạo, bạn nhấp đôi chuột lên group tương ứng để mở hộp thoại Properties. 5/- Trong hộp thoại Properties, trên tab Members, bấm nút Add. 6/- Trong hộp thoại Select Users, Contacts, Computers, or Groups, bạn nhập user vào mục Enter the object names to select và bấm nút Check Names để kiểm tra tính chính xác của user vừa nhập. Trường hợp không nhớ tên user, bạn bấm vào nút Advanced để tìm kiếm và lựa chọn từ danh sách user của hệ thống. Sau khi hoàn thành, bấm nút OK.

Nhập tên cho group mới

Bổ sung user vào group mới 7/- Nếu tiếp tục bổ sung user vào group, bạn lặp lại các bước vừa nêu ở trên. Sau khi kết thúc, bạn bấm nút OK để đóng hộp thoại Properties.

Kết quả bổ sung user vào group Khi muốn xóa một group, bạn kích chuột phải lên group tương ứng, chọn Delete. Trong hộp thoại xác nhận, bạn bấm nút Yes để đồng ý.

Xác nhận lại thao tác xóa group 3.3/- Quản lý Organizational Unit Để tạo một organizational unit (OU) trên domain, bạn thực hiện các bước sau : 1/- Mở cửa sổ Server Manager. Trong mục Roles, chọn Active Directory Domain Services/Active Directory Users and Computers. Tiếp theo, bạn kích chuột phải lên domain, chọn New/Organizational Unit.

Tạo một OU mới 2/- Trong màn hình New Object – Organizational Unit, bạn nhập tên của đối tượng này vào mục Name và bấm núy OK.

Nhập tên cho OU mới Lưu ý : nếu muốn cho phép thao tác xóa được thực hiện trên OU này, bạn bỏ dấu chọn ở mục Protect container from accidental deletion. 3/- Để tạo các đối tượng user, group, OU, computer, … trong OU vừa tạo, bạn kích chuột phải lên đối tượng này và chọn chức năng tương ứng.

4/- Nếu muốn di chuyển các đối tượng như user, group giữa các OU, bạn kích chuột phải lên đối tượng tương ứng, chọn Move và chỉ định OU mà mình muốn di chuyển đối tượng đến. Khi muốn xóa một OU, bạn kích chuột phải lên OU tương ứng, chọn Delete. Trong hộp thoại xác nhận, bạn bấm nút Yes để đồng ý.

Xác nhận thao tác xóa OU

Triển khai Active Directory Domain Services – Phần 5 Share

[Đọc: 245-Ngày đăng: 08-11-2010-Ngày sửa: 08-11-2010] Sau khi triển khai thành công AD DS, tạo lập hoàn chỉnh các đội tượng user, group, OU, … bạn cần thực hiện thao tác kết nối (joining) các máy trạm trong hệ thống mạng nội bộ của mình vào domain.

4/- Kết nối máy tính vào domain Trong phần này, chúng ta sẽ khảo sát các bước chi tiết để kết nối máy tính PCxx (Computer Name) vào domain thuvien-it.net. Các bước thực hiện : 1/- Đăng nhập vào máy trạm (PCxx) với tài khoản Administrator của máy này. 2/- Mở cửa sổ Network Connections từ menu Start/Settings. 3/- Kích chọn biểu tượng Local Area Connection trong cửa sổ Network Connections và bấm nút Properties.

Mở hộp thoại Local Area Connection Properties 4/- Trong hộp thoại Local Area Connection Properties, chọn Internet Protocol (TCP/IP) và bấm nút Properties. 5/- Điền địa chỉ IP của máy trạm cùng lớp mạng với địa chỉ IP của máy tính đã cài đặt AD DS. Trong đó, đặc biệt lưu ý mục Use the following DNS server addresses. Tại đây, ở mục Preferred DNS server, bạn phải điền địa chỉ IP của DNS Server trong hệ thống mạng của mình. Trong trường hợp của chúng ta, địa chỉ DNS Server cũng là địa chỉ của AD DS. 6/- Bấm nút OK để đóng hộp thoại Internet Protocol (TCP/IP) Properties. 7/- Bấm nút OK để đóng hộp thoại Local Area Connection Properties.

Điền địa chỉ IP của DNS Server trên máy trạm 8/- Kích chuột phải vào biểu tượng My Computer trên desktop của máy trạm, chọn Properties. 9/- Trên tab Computer Name, bấm nút Change. 10/- Trong hộp thoại Computer Name Change, ở mục Computer Name, bạn hiệu chỉnh chính xác tên máy tính. Đồng thời, nhập tên domain vào mục Domain. Trong trường hợp này là thuvien-it.net. Sau khi nhập xong, bấm nút OK.

Điền tên máy tính và tên domain 11/- Trong hộp thoại yêu cầu tài khoản có quyền kết nối vào domain, bạn sử dụng tài khoản Administrator của domain. Sau khi nhập xong, bấm nút OK.

Sử dụng tài khoản Administrator để kết nối 12/- Khi hộp thoại Welcome xuất hiện, thao tác kết nối máy trạm vào domain đã thành công, bạn bấm nút OK.

Thao tác kết nối vào domain đã thành công 13/- Trong hộp thoại yêu cầu khởi động lại máy tính, bạn bấm nút OK.

Khởi động lại máy tính để hiệu lực hóa các thay đổi 14/- Trong hộp thoại System Properties, bạn bấm nút OK.

Đóng hộp thoại System Properties 15/- Hộp thoại yêu cầu khởi động lại máy tính xuất hiện một lần nữa, bạn chọn Yes để chính thức khởi động lại máy tính và hoàn thành thao tác kết nối vào domain.

Khởi động lại máy tính và hoàn thành thao tác kết nối 16/- Sau khi máy tính khởi động lại, bạn sẽ đăng nhập với một user đã được tạo trên domain thuvien-it.net, chẳng hạn THUVIEN-IT\lnthang. Ngoài ra trên AD DS, bạn có thể xem thông tin và quản lý các máy trạm đã kết nối vào domain bằng cách mở cửa sổ Server Manger. Trong mục Roles, bạn chọn Active Directory Domain Services và tìm đến mục Computers. Tại đây, danh sách các máy trạm sẽ được liệt kê ở khung bên phải. Nếu muốn xem thông tin, bạn nhấp đôi chuột để mở hộp thoại Properties. Nếu muốn quản lý máy trạm, bạn kích chuột phải lên tên máy trạm tương ứng, chọn All Tasks/Manage.

Sử dụng AD DS để quản lý máy trạm

Triển khai Active Directory Domain Services – Phần 6 Share

[Đọc: 248-Ngày đăng: 17-11-2010-Ngày sửa: 17-11-2010] Read-Only Domain Controller (RODC) là một kiểu Domain Controller mới trên Windows Server 2008. Với RODC, bạn có thể dễ dàng triển khai các Domain Controller tại các vị trí mà sự bảo mật (về vật lý, hạ tầng) không được đảm bảo, chẳng hạn như các văn phòng chi nhánh.

5/- Triển khai Read-Only Domain Controller

Đồng thời, với chế độ read-only, Domain Controller có thể cải thiện tốc độ đáp ứng các yêu cầu từ máy trạm. RODC không tham gia vào các tiến trình xử lý những thay đổi trên cơ sở dữ liệu Active Directory cũng như đồng bộ lên các Domain Controller khác trong hệ thống mạng. RODC lưu trữ tất cả các đối tượng và thuộc tính giống như một Domain Controller bình thường, ngoại trừ mật khẩu. Khi một user gởi yêu cầu xác thực đến RODC, RODC sẽ so sánh với cơ sở dữ liệu đang có. Nếu user này tồn tại, RODC sẽ gởi mật khẩu của user này đến Domain Controller chính để xác thực. Cách xác thực như trên tỏ ra không hiệu quả vì lưu lượng truyền thông giữa các Domain Controller sẽ gia tăng đáng kể. Vì vậy, bạn nên kích hoạt chức năng Credential Caching trên RODC. Credential Caching có tác dụng lưu lại mật khẩu của các user đã chứng thực thành công vào cơ sở dữ liệu trên RODC. Từ đó, mỗi khi có một yêu cầu xác thực được gởi đến, RODC sẽ kiểm tra trong cơ sở dữ liệu của mình. Nếu có, RODC sẽ tự mình tiến hành xác thực. Ngược lại, RODC sẽ gởi yêu cầu này đến Domain Controller chính để xác thực. Sau khi Domain Controller chính xác thực thành công, RODC sẽ lưu lại mật khẩu tương ứng với user này để sử dụng trong tương lai. Ngoài ra, RODC còn bao gồm một Read-Only DNS được dùng để phân giải tên. Tuy nhiên, không giống như các DNS Server thông thường, Read-Only DNS không thể cập nhật các bản ghi DNS (DNS record) vào cơ sở dữ liệu của mình. Do đó, khi một máy khách muốn cập nhật bản ghi DNS của chính nó, RODC sẽ gởi thông tin đến DNS Server thông thường để cập nhật. Tiếp đến, bản ghi DNS này sẽ được đồng bộ từ DNS Server về Read-Only DNS. 5.1/- Yêu cầu trước khi triển khai Để triển khai thành công RODC trong hệ thống mạng của mình, bạn cần thực hiện các yêu cầu sau : • Đảm bảo rằng forest functional level là Windows Server 2003 hoặc cao hơn, bằng cách : 1/- Mở cửa sổ Active Directory Domains and Trusts. 2/- Trong cửa sổ này, kích chuột phải lên tên forest, chọn Properties. 3/- Dưới mục Forest functional level, kiểm tra xem giá trị tương ứng có phải là Windows Server 2003 hoặc Windows Server 2008 hay không.

Mở cửa sổ Properties của forest

Kiểm tra forest functional level

4/- Nếu forest functional level chưa phù hợp, bạn cần phải thực hiện thao tác raise (chuyển cấp) cho forest của mình. Trước tiên, bạn kích chuột phải lên tên forest trong cửa sổ Active Directory Domains and Trusts, chọn Raise Domain Functional Level.

Raise Domain Functional Level 5/- Trong hộp thoại Raise domain functional level, bạn chọn Windows Server 2003 trong danh sách ở mục Select an available domain functional level và bấm nút Raise. • Thực hiện lệnh adprep /rodcprep Chú ý : Bạn không cần thực hiện bước này nếu tất cả các Domain Controller đều được triển khai trên Windows Server 2008. Lệnh trên sẽ cấp quyền để các DNS Server trên các Domain Controller chính có thể thực hiện thao tác đồng bộ dữ liệu đến các RODC có kích hoạt Read-Only DNS. Các bước thực hiện như sau : 1/- Đăng nhập vào một Domain Controller với quyền quản trị domain. 2/- Sao chép thư mục \source\adprep trên đĩa DVD Windows Server 2008 vào ổ đĩa cứng của máy tính. 3/- Mở cửa sổ dòng lệnh, di chuyển đến thư mục \adprep và gõ lệnh adprep /rodcprep.

• Cài đặt một Writable Domain Controller (Domain Controller chính) trên server chạy Windows Server 2008. Các bước chi tiết được mô tả trong phần "Cài đặt Active Directory Domain Services"

Share

Triển khai Active Directory Domain Services – Phần 7 [Đọc: 307-Ngày đăng: 20-11-2010-Ngày sửa: 25-11-2010] RODC có thể triển khai trên Windows Server 2008 được cài đặt dưới dạng Server Core Installation hoặc Full Installation. Trong phần này, chúng ta sẽ thực hành trên Full Installation.

Đến trang: Trước: 1 2 3 4 Kế 5.2/- Triển khai RODC Đồng thời, RODC của chúng ta sẽ phục vụ cho chi nhánh có tên là Branch1. Các bước thực hiện : 5.2.1/- Trên máy tính đóng vai trò Domain Controller chính Trước khi triển khai RODC, bạn cần thực hiện một số thao tác cấu hình cần thiết trên Domain Controller chính (server), cụ thể là : Tạo Site tương ứng với Branch1 1/- Đăng nhập vào Domain Controller với quyền quản trị domain. 2/- Mở cửa sổ Active Directory Site and Services. 3/- Kích chuột phải lên mục Sites, chọn New/Site.

Tạo một site mới 4/- Trong hộp thoại New Object – Site, nhập tên site là Branch1 vào mục Name, chọn DEFAULTIPSITELINK và bấm nút OK.

Điền tên cho site mới 5/- Trong hộp thông báo Active Directory Domain Services, bạn đọc kỹ thông tin để nắm các bước tiếp theo cần thực hiện nhằm hoàn thành việc cấu hình site Branch1, bấm nút OK.

Thông tin hướng dẫn cấu hình site 6/- Trong cửa sổ Active Directory Sites and Services, kích chuột phải lên mục Subnets, chọn New/Subnet. 7/- Trong hộp thoại New Object – Subnet, nhập 172.16.1.0/24 vào mục Prefix, chọn DefaultFirst-Site-Name và bấm OK. Đây là subnet dành cho site chính. Chúng ta sẽ tạo subnet cho site Branch1 ở bước tiếp theo.

Tạo một subnet tương ứng với site mặc định

Điền thông tin cho subnet 8/- Tiếp tục kích chuột phải lên mục Subnets, chọn New/Subnet. 9/- Trong hộp thoại New Object – Subnet, nhập 192.168.0.0/24 vào mục Prefix, chọn Branch1 và bấm nút OK.

Điền thông tin cho subnet tương ứng với site Branch1 10/- Sau khi tạo xong, hai subnet của bạn như sau :

Kết quả tạo các subnet Tạo một user dùng để ủy quyền quản trị RODC

Đăng nhập vào Domain Controller với quyền quản trị domain. Tiếp theo, mở cửa sổ Active Directory Users and Computers vào tạo ra một user. User này sẽ được ủy quyền quản trị RODC trong quá trình cài đặt server này.

Tạo user dùng để ủy quyền quản trị RODC Tạo một nhóm người dùng tương ứng với Branch1 Đăng nhập vào Domain Controller với quyền quản trị domain. Tiếp theo, mở cửa sổ Active Directory Users and Computers và tạo ra nhóm Branch1. Đây là nhóm bao gồm các thành viên làm việc tại chi nhánh Branch1.

Tạo nhóm người dùng tương ứng với chi nhánh Branch1 5.2.2/- Trên máy tính đóng vai trò RODC Sau khi hòan thành các nhiệm vụ cần thiết trên Domain Controller chính, bạn tiếp tục các bước sau đây để triển khai RODC trên hệ thống mạng của mình : 1/- Kết nối máy tính sẽ triển khai RODC (server-rodc) vào domain. 2/- Đăng nhập vào server-rodc với tài khoản quản trị domain, trong trường hợp này là THUVIEN-IT.NET\Administrator. 3/- Mở hộp thoại Run từ menu Start và gõ lệnh dcpromo. Trong màn hình Welcome, đánh dấu chọn mục User advanced mode installation để cấu hình Password Replication Policy và một số tính năng mở rộng khác.

Kết nối hs-rodc vào domain

Khởi động tiến trình triển khai RODC 4/- Trong màn hình Operating System Compatibility, bạn xem thông tin cảnh báo về tính tương thích hệ điều hành khi triển khai Domain Controller trên Windows Server 2008. Sau đó, bấm nút Next.

Thông tin cảnh báo về tính tương thích hệ điều hành 5/- Trong màn hình Choose a Deployment Configuration, chọn Existing forest, Add a domain controller to an existing domain và bấm nút Next. 6/- Trong màn hình Network Credentials, bạn xem lại tên forest và tài khoản dùng để cài đặt RODC. Sau đó, bấm nút Next. 7/- Trong màn hình Select a Domain, chấp nhận giá trị mặc định và bấm nút Next. 8/- Trong màn hình Select a site, chọn Branch1 và bấm nút Next.

Tạo một Domain Controller trên một forest đã tồn tại

Xác định tên forest và tài khoản dùng cài đặt RODC

Chỉ định domain dành cho Domain Controller này

Chỉ định site dành cho Domain Controller này 9/- Trong màn hình Additional Domain Controller Option, đánh dấu chọn 3 mục DNS server, Global catalog, Read-only domain controller (cài đặt Read-Only DNS Server, Global Catalog Server và Read-Only Domain Controller trên server-rodc). Sau đó, bấm nút Next.

Chỉ định vai trò của Domain Controller 10/- Trong màn hình Specify the Password Replication Policy, chấp nhận các giá trị mặc định. Chúng ta sẽ cấu hình Password Replication Policy sau khi tiến trình cài đặt hoàn thành. Bấm nút Next. 11/- Trong màn hình Delegation of RODC Installation and Administrator, bấm nút Set và chọn user THUVIEN-IT\tkhy để ủy quyền quản lý RODC cho user này. Sau đó, bấm nút Next.

Hộp thoại cấu hình Password Replication Policy

Chỉ định user được ủy quyền quản lý RODC 12/- Trong màn hình Install from Media, chấp nhận giá trị mặc định và bấm nút Next.

Đồng bộ dữ liệu từ Domain Controller 13/- Trong màn hình Source Domain Controller, chọn mục Use this specific domain controller. Tiếp theo, chọn tên Domain Controller chính và bấm nút Next.

14/- Trong màn hình Location for Database, Log Files, and SYSVOL, chấp nhận các đường dẫn mặc định và bấm nút Next. 15/- Trong màn hình Directory Services Restore Mode Administrator Password, nhập mật khẩu vào hai mục Password và Confirm password. Mật khẩu này được gán cho tài khoản Administrator để sử dụng khi Domain Controller này chạy ở chế độ Directory Services Restore. Sau khi nhập xong, bấm nút Next. 16/- Trong màn hình Summary, bạn xem lại các thiết lập vừa thực hiện và bấm nút Next.

Chỉ định Domain Controller chính

Chỉ định vị trí lưu trữ dữ liệu của Domain Controller

Nhập mật khẩu cho Administrator

Xem lại các thông tin đã thiết lập 17/- Sau bước này, tiến trình cài đặt sẽ diễn ra. Nếu muốn server-rodc tự động khởi động lại hệ thống để hoàn thành tiến trình cài đặt, bạn đánh dấu chọn mục Reboot on completion.

Tiến trình cài đặt RODC đang diễn ra