Tài liệu Làm việc với Read Only Domain Controller doc
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.3 MB, 19 trang )
Làm
v
Giới t
h
Trong
mà ch
ú
Only
D
cho cá
việc s
ử
Read
O
các đâ
y
Serve
r
Chúng
Serve
r
chủ W
i
Tuy n
h
miền
m
Prima
r
trị viê
n
sẽ cập
domai
n
và ở t
r
domai
n
Mặc d
ù
điểm
c
prima
r
bạn c
ó
hình
m
Serve
r
hai đề
u
v
iệc với
R
h
iệu
Window
s
ú
ng ta k
h
D
omain C
o
c bạn lý
d
ử
dụng R
e
O
nly Do
m
y
hàng t
h
r
2008, đ
i
ta đều
b
r
đầu tiê
n
i
ndows S
h
iên có n
h
m
ới có kh
r
y Domai
n
n
có thể
g
nhật ch
o
n
control
l
r
ạng thái
n
control
l
ù
mô hìn
h
c
ủa nó. Đ
r
y domai
n
ó
thể biết
,
m
iền khi
h
r
có giới
t
u
vẫn đư
ợ
R
ead On
T
b
n
q
s
Server
2
h
ông thấ
y
o
ntroller
s
d
o tại sa
o
e
ad Only
m
ain Cont
h
ập kỷ.
T
i
ều này
h
b
iết Wind
o
n
của Mic
r
erver hi
ệ
h
ững kh
á
ả năng
g
n
Control
g
hi thông
o
các do
m
l
er khác
n
chỉ đọc
n
l
er.
h
miền n
à
áng kể n
n
controll
,
Microso
h
ọ phát h
hiệu hai
ợ
c sử dụ
n
ly Dom
a
T
rong bà
i
b
ạn lý d
o
n
ăng Re
a
q
uan trọ
n
2
008, Mi
c
y
từ Win
d
s
. Trong
b
o
Micros
o
Domain
roller (h
a
T
uy nhiên
h
ẳn là có
o
ws NT l
à
r
osoft. C
ũ
ệ
n đại, W
i
á
c biệt đó
g
hi. Dom
a
ler hay
P
tin lên
đ
m
ain con
t
n
ày được
n
hững g
ì
à
y làm vi
hất tron
g
er có th
ể
ft đã giới
ành Win
d
công ng
h
n
g cho t
ớ
a
in Cont
r
i
này ch
ú
o
tại sao
M
a
d Only
D
n
g của c
h
c
rosoft đ
ã
d
ows NT;
b
ài viết
n
o
ft lại là
m
Controll
e
a
y được
v
nó lại x
u
lý do củ
a
à
hệ điều
ũ
ng giốn
g
i
ndows N
là doma
a
in contr
o
P
DC, là m
đ
ó. Sau đ
t
roller kh
á
coi như
mà chún
g
ệc khá t
ố
g
số các
n
ể
là tê liệ
t
thiệu m
ộ
d
ows 20
0
h
ệ mới c
h
ớ
i ngày n
a
r
oller
ú
ng tôi s
ẽ
M
icrosoft
D
omain C
o
h
úng như
ã
đưa trở
đó chín
h
n
ày, chún
m
như vậ
y
e
rs nằm
ở
v
iết tắt là
u
ất hiện
t
a
nó.
hành m
á
g
như cá
c
T cũng h
in contr
o
o
ller này
ột doma
i
ó Primar
y
á
c bên tr
o
một bac
k
g
được n
â
ố
t nhưng
n
hược đi
ể
t
toàn bộ
ộ
t số tha
y
0
0 Serve
r
h
o các do
m
a
y đó là
A
ẽ
giới thiệ
lại đưa t
o
ntroller
s
thế nào.
lại một
t
h
là tính
n
g tôi sẽ
g
y
và ưu đ
ở
chỗ nà
o
RODC)
đ
t
rở lại tro
á
y chủ W
c
hệ điều
ỗ trợ sử
d
o
ller bên
t
được biế
t
i
n contro
l
y
domain
o
ng miề
n
k
up dom
a
â
ng cấp
b
nó cũng
ể
m đó là
v
miền. N
h
y
đổi lớn
r
. Windo
w
m
ain con
A
ctive Di
r
u cho cá
c
rở lại tín
h
s
và t
ầ
m
t
ính năng
n
ăng Rea
d
g
iới thiệu
iểm tron
g
o
.
đ
ã bị bỏ
r
ng Wind
o
indows
hành m
á
d
ụng mi
ề
t
rong mỗ
t
đến với
l
ler mà q
controll
e
n
. Các
a
in contr
o
b
ởi prim
a
có nhượ
c
v
ấn đề v
ớ
h
ư nhữn
g
đối với
m
w
s 2000
troller, c
ả
r
ectory v
à
c
h
d
g
r
ơi
o
ws
á
y
ề
n.
i
tên
uản
e
r
o
ller
a
ry
c
ớ
i
g
gì
m
ô
ả
à
multi master domain (mô hình đa miền chủ).
Dù vẫn có những vai trò của PDC và một số vai trò đặc biệt khác,
nhưng hầu hết các domain controller trong mô hình multi master
domain đều có thể ghi. Điều đó có nghĩa rằng một quản trị viên có thể
sử dụng một nâng cấp cho bất cứ domain controller nào và nâng cấp
đó sẽ được nhân rộng cho tất cả các domain controller khác trong
miền.
Mô hình multi master domain được giữ lại trong Windows Server 2003
và vẫn được sử dụng trong Windows Server 2008. Mặc dù v
ậy,
Windows Server 2008 cũng cho phép bạn có thể tạo Read Only
Domain Controller. RODC là các bộ điều khiển miền (domain
controller) mà các quản trị viên không thể cập nhật trực tiếp cơ sở dữ
liệu Active Directory. Chỉ có một cách để nâng cấp các domain
controller là sử dụng một sự thay đổi đối với domain controllers cho
phép ghi, sau đó cho phép thay đổi đó nhân rộng đến RODC.
Như những gì bạn có thể thấy, RODC không phải là sự thiếu sót của
mộ
t di hài từ thời Windows NT. Trong trường hợp này công nghệ thực
sự mang tính chất chu kỳ! Rõ ràng Microsoft sẽ không đưa trở lại
RODC nếu họ không thấy có những ưu điểm trong việc thực hiện đó.
Trước khi bắt đầu giải thích tại sao Microsoft lại đưa trở lại RODC, hãy
cho phép chúng tôi làm sáng tỏ rằng việc sử dụng RODC hoàn toàn
không mang tính bắt buộc. Nếu bạn muốn mọi domain controller trong
toàn bộ forest đều có thể ghi thì bạn hoàn toàn có thể thực hiện điều
đó.
Một thứ khác mà chúng tôi muốn đề cập nhanh là mặc dù RODC rất
giống với Backup Domain Controllers (BDC) được sử dụng trong
Windows NT nhưng chúng có một chút tiến hóa. Tuy nhiên bên cạnh
đó cũng có một số thứ mang tính duy nhất đối với RODC và chúng tôi
sẽ chỉ ra cho các bạn về những vấn đề này.
Lại quay trở về với câu hỏi tại sao Microsoft lạ
i đưa trở lại RODC? Quả
thực có rất nhiều khó khăn trong việc hỗ trợ các văn phòng chi nhánh.
Điều đó là vì sự cách ly của các văn phòng này và vì bản chất của kết
nối giữa cơ quan đầu não của công ty và văn phòng nhánh.
Thông thường, có một số tùy chọn khác nhau cho việc quản lý các văn
phòng chi nhánh, tuy nhiên trong các phương pháp đó lại có một số
các ưu nhược điểm của riêng chúng. Một trong những cách chung nhất
cho việc xử lý với các văn phòng nhánh là để tất cả các máy chủ trong
một văn phòng chính, sau đó cung cấp cho người dùng văn phòng chi
nhánh kết nối với các máy chủ này thông qua một liên kết WAN.
Rõ ràng, bất thuận lợi rõ nhất trong việc sử dụng phương pháp này là
nếu liên kết WAN gặp trục trặc thì người dùng t
ại văn phòng chi nhánh
sẽ không thể thực hiện bất cứ công việc gì, vì họ hoàn toàn bị cách ly
khỏi tài nguyên máy chủ. Thậm chí nếu liên kết WAN hoạt động nhưng
hiệu suất có thể bị giảm vì các liên kết WAN thường có tốc độ chậm và
dễ bị tắc nghẽn.
Một tùy chọn khác cho việc xử lý với các văn phòng chi nhánh là đặt
tối thiểu một domain controller trong văn phòng này. Domain
controller này sẽ hoạt động như một DNS server và như một máy chủ
global catalog. Theo cách này, nếu liên kết WAN gặp vấn đề thì người
dùng trong văn phòng chi nhánh vẫn có thể đăng nhập vào mạng. Phụ
thuộ
c vào bản chất của công việc của người dùng tại văn phòng mà có
thể đặt thêm số lượng máy chủ tại văn phòng nhánh.
Giải pháp này thường cho kết quả làm việc khá tốt tuy nhiên vẫn có
một số nhược điểm trong quá trình sử dụng nó. Bất thuận lợi chính là
về giá thành. Việc để nhiều máy chủ tại các văn phòng nhánh yêu cầu
tổ chức cần phải bỏ ra nhiều tiền để
mua phần cứng máy chủ và kèm
theo đó là các đăng ký về phần mềm. Tuy cũng có thể được hỗ trợ về
giá thành. Một tổ chức cần phải xác định rõ xem liệu họ cần thuê nhân
viên CNTT “full time” để hỗ trợ cho văn phòng nhánh không, hay họ có
thể bằng lòng với thời gian mà nhân viên CNTT đi lại từ văn phòng
chính đến văn phòng nhánh khi cần đến sự hỗ trợ onsite.
Một vấn đề khác trong việc để các máy chủ tại văn phòng nhánh là
việc bảo mật. Các máy chủ được đặt bên ngoài trung tâm dữ liệu
thường thiếu tính giám sát cao. Chúng thường chỉ được khóa lại trong
một buồng nhỏ tại văn phòng nhánh và được giao cho nhân viên uy tín
giữ chìa khóa.
Như đã được đề cập ở trên, các kết nối WAN có thể chậm và không ổn
định. Điều này đã làm nảy sinh một vấn đề khác với việc đặt máy chủ
tại các văn phòng chi nhánh. Lưu lượng mô hình thứ bản Domain
controller có thể làm tắc nghẽn liên kết WAN.
Đây chính là chỗ RODC thể hiện được vai trò của nó. RODC cũng giống
như các domain controller khác, ngoại trừ cơ sở dữ liệu Active
Directory không thể ghi trực tiếp. Việc đặt RODC tại văn phòng chi
nhánh không khắc phục triệt để được vấn đề lưu lượng bản sao của
Active Directory nhưng nó làm giảm được một phần tải trọng của các
máy chủ đầu cầ
u vì chỉ có lưu lượng bản sao gửi đến là được cho phép.
RODC cũng có thể cải thiện được vấn đề bảo mật vì người tại văn
phòng chi nhánh không thể thay đổi bất cứ thứ gì trong cơ sở dữ liệu
Active Directory. Thêm vào đó, không có thông tin về tài khoản nào
được tạo bản sao đến RODC. Điều này có nghĩa rằng nếu ai đó đánh
cắp một RODC thì người này cũng không thể sử dụng các thông tin mà
họ lấy được từ nó. Việc các thông tin tài khoản ng
ười dùng không được
ghi đến RODC cũng làm giảm được số lượng lưu lượng bản sao đối với
các liên kết WAN, tuy nhiên nó không có nghĩa rằng với một số ngoại
lệ, thẩm định người dùng sẽ phụ thuộc vào liên kết WAN đang hiện
hữu.
Kết luận
Như những gì bạn thấy, Read Only Domain Controller có vai trò rất
quan trọng của nó. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ
giới thi
ệu cho các bạn việc lập kế hoạch và triển khai cho Read Only
Domain Controller.
Trong phần hai này chúng tôi sẽ giới thiệu cho các bạn về một
số khía cạnh trong triển khai Read Only Domain Controllers.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho
các bạn một số lý do cơ bản về việc Microsoft cung cấp Read
Only Domain Controllers trong Windows Server 2008. Trong
phần hai này, chúng tôi sẽ giới thiệu cho các bạn một số khía
cạnh thực hành trong quá trình làm việc với Read Only Domain
Controllers.
Tiêu chuẩn tài khoản người dùng
Chúng tôi sẽ bắt đầu bằng cách làm rõ một số thứ đã đưa ra
trong phần cuối của phần một. Ở phần cuối của phần một đó,
chúng tôi đã cho rằng không có các thông tin tài khoản nào
được lưu trên read only domain controller.
Tuy nhiên trong thực tế không hẳn như vậy, các thông tin tài
khoản người dùng lại được lưu trên các bộ điều khiển miền chỉ
đọc. Những gì mà các bộ
điều khiển miền domain controllers
đang thiếu là các mật khẩu của người dùng. Những mật khẩu
này không được sao chép vào Read Only Domain Controllers.
Nếu ai đó đánh cắp một domain controller từ một văn phòng chi
nhánh thì họ cũng không thể sử dụng các thông tin được lưu
trong cơ sở dữ liệu Active Directory để bẻ khóa mật khẩu của
người dùng.
Thuộc tính của người dùng
Mặc định, mật khẩu chỉ là thuộc tính của người dùng và không
được tạo bản sao đến Read Only Domain Controllers. Mặc dù
vậy bạn vẫn thể cấu hình Windows nhằm ngăn chặn việc bị tạo
bản sao các thuộc tính của nh
ững người dùng khác.
Vậy tại sao bạn lại sử dụng tính năng như vậy? Cần phải nói
rằng nếu chỉ sử dụng với tư cách là một cơ chế thẩm định thì
bạn có thể sẽ không cần đến tính năng này. Tuy nhiên bạn cần
lưu ý có nhiều tổ chức phụ thuộc nhiều vào Active Directory hơn
dùng cơ chế thẩm định quyền.
Trong ví dụ mà chúng tôi sẽ đề cập đến, đó là một môi trường
doanh nghiệp lớn, ở đây họ đã có những nhân viên phát triển
“on site”. Các chuyên gia phát triển của công ty đã tạo các ứng
dụng sử dụng cho các công việc của riêng công ty. Hầu hết tất
cả các ứng dụng này đều sử dụng cơ sở dữ liệu nhưng các cơ sở
d
ữ liệu này không được liên kết với nhau.
Điều đó có nghĩa rằng mỗi một cơ sở dữ liệu đều có một số
thông tin nhân bản. Cho ví dụ, tên của mỗi một nhân viên, số
điện thoại nội bộ và số ID cá nhân (cùng với nhất nhiều thứ
khác) đều có trong mỗi cơ sở dữ liệu. Nếu có lỗi nào đó xuất
hiện trong quá trình nhập dữ liệu thì dữ liệu đó sẽ không nhất
quán trong các cơ sở dữ liệu với nhau. Ví dụ, tên của một nhân
viên có thể bị đánh sai chính tả trong một cơ sở dữ liệu nhưng
lại đúng trong các cơ sở dữ liệu khác, hoặc hai số trong số ID
của nhân viên có thể bị hoán vị trong một cơ sở dữ liệu.
Một vài năm cách đ
ây, một số công ty đã nhận ra rằng việc sử
dụng phương pháp này không thu lại được nhiều hiệu quả như
mong đợi. Phương pháp này không những sinh ra các lỗi mà còn
làm cho các công ty phải tốn thêm chi phí cho việc trả lương
cho các nhân viên nhập dữ liệu có trong cơ sở dữ liệu khác. Có
nhiều giải pháp khác để khắc phục tình trạng này, tuy nhiên
phương pháp thường được sử dụng nhất là sử dụng các thông
tin trong Active Directory.
Cho ví dụ, một tổ chức đã tạo một ứng dụng nhân sự để họ có
thể sử dụng nội bộ. Tuy nhiên dữ liệu được lưu trong m
ột cơ sở
dữ liệu SQL Server, còn những dữ liệu như tên nhân viên, tiêu
đề, số điện thoại,… lại được lưu trong Active Directory với tư
cách là các thuộc tính của tài khoản. Phương pháp này cho phép
các thông tin được dùng chung sẽ được sử dụng lại ở nhiều địa
điểm và nó cho phép hủy kết nối giữa tên của người dùng và
các dữ liệu quan trọng khác. Cơ sở dữ liệu SQL Server có chứa
những dữ liệu như số bảo mật xã hội và thông tin về tiền lương,
tuy nhiên nó không chứa tên của bất cứ nhân viên nào. Chỉ có
một thứ gắn hai cơ sở dữ liệu với nhau là số nhân viên trong cả
hai cơ sở dữ liệu.
Lý do tại sao chúng tôi giới thiệu cho các bạn điều này là muốn
chỉ ra sự thật rằng một số tổ chức sử dụng các thuộc tính tài
khoản người dùng và các thuộc tính này có thể chứa các thông
tin nhạy cảm. Trừ khi có một nhu cầu tr
ực tiếp về kiểu thông tin
cần lưu nội bộ trên một domain controller trong một văn phòng
chi nhánh, bằng không bạn nên xem xét đến việc khóa quá
trình tạo bản sao một số tính năng nhạy cảm.
Một thứ mà bạn cần phải lưu ý là trong khi một số tổ chức sử
dụng các thuộc tính người dùng trong các ứng dụng thì các
công ty này vẫn tận dụng các partition thư mục ứng dụng. Các
partition thư mục ứng dụng ở đây chính là các partition Active
Directory đặc biệt được tạo riêng để sử dụng cho ứng dụng.
Read Only Domain Controllers hỗ trợ đầy đủ việc tạo bản sao dữ
liệu được lưu trong các partition thư mục ứng dụng.
Một lưu ý nữa đó là Read Only Domain Controllers cũng có thể
được cấu hình để thực hiện như một máy chủ DNS chỉ đọc. Về
cơ bản thì điều đó có nghĩa rằng nếu bạn cấu hình một máy chủ
DNS trên một Read Only Domain Controller thì người muốn xâm
nhập sẽ không thể can thiệp vào bản ghi DNS.
Các vấn đề về quản trị
Một câu hỏi mà có lẽ các bạn sẽ đặt ra đó là người dùng thẩm
định như thế nào nếu không có dữ liệu mật khẩu?
Đây thực sự là một mẹo. Như các bạn đã biết, cả tài khoản
người dùng và tài khoản máy tính đều có mật khẩu đi kèm với
chúng. Mặc định, chỉ có m
ật khẩu mà Read Only Domain
Controller sẽ lưu là mật khẩu tài khoản của chính máy tính đó.
Vì không có mật khẩu lưu nội bộ nên các yêu cầu thẩm định sẽ
được chuyển đến một writable domain controller. Nếu mục tiêu
của bạn là cho phép người dùng có thể đăng nhập thậm chí nếu
writable domain controller không thể liên lạc, khi đó bạn cần
kích hoạt cache mật khẩu. Nếu cache mật khẩu được kích hoạt,
khi đó chỉ các tài khoả
n thẩm định thông qua domain controller
mới có các mật khẩu được cache. Nếu domain controller bị thỏa
hiệp, bạn có thể sử dụng các domain controller khác để tìm ra
mật khẩu tài khoản nào được cache để thiết lập lại các mật
khẩu đó.
Quản trị viên làm việc như thế nào?
Trong các văn phòng chi nhánh một domain controller cũng
được cấu hình để thực hiện như một máy chủ ứng dụng. Nếu
không có các nhân viên CNTT chuyên trách trong một vă
n
phòng chi nhánh thì bạn có thể chỉ định ai đó là quản trị viên
của read only domain controller. Bằng cách đó, họ có thể kiểm
soát việc quản trị nội bộ trên máy chủ mà không thể can thiệp
vào Active Directory. Quản trị viên này chỉ được phép cài đặt
bản vá phần mềm và thực hiện các nhiệm vụ bảo dưỡng hàng
ngày cần thiết. Việc chỉ định ai đó là quản trị viên trên Read
Only Domain Controller giống như việc bổ nhiệm ai đó là quản
trị viên nội bộ cho một số lượng máy nhất định.
Kết luận
Qua phần hai này chúng tôi hy vọng các bạn có được kiến thức
cơ bản về Read Only Domain Controllers được sử dụng như thế
nào trong thế giới thực. Trong phần ba của loạt bài, chúng tôi
sẽ giới thiệu cho các bạn về quá trình triển khiai một Read Only
Domain Controller.
Cho đến h
ết phần phần hai của loạt bài
này, chúng tôi đã giải thích cho các bạn về
Read Only Domain Controller là gì và một
số ưu điểm có liên quan đến việc triển khai
của nó. Trong phần này, chúng tôi sẽ giới
thiệu cho các bạn về cách thực hiện triển
khai một Read Only Domain Controller.
Trước khi bắt đầu
Trước khi bắt đầu thực hiện thủ tục cài đặt, bạn cần cài đặt
Windows Server 2008 vào Read Only domain Controller và gia
nhập (join) máy chủ vào miền. Tuy hoàn toàn có thể tạo một
Read Only Domain Controller khi không cần join vào miền
trước, nhưng những bước mà chúng tôi sẽ giới thiệu cho các
bạn sẽ thừa nhận rằng máy ch
ủ của bạn là một thành viên
miền.
Mức chức năng Forest
Trước khi bắt đầu, bạn phải bảo đảm rằng mức chức năng
Forest đã được thiết lập cho Windows Server 2003 hoặc phiên
bản cao hơn. Để thực hiện điều đó, bạn chỉ cần mở giao diện
điều khiển Active Directory Domains and Trusts. Khi cửa sổ này
được mở, hãy kích chuột phải vào Active Directory forest của
bạ
n, sau đó chọn lệnh Properties. Như những gì bạn có thể thấy
qua hình A, mức chức năng forest được liệt kê trên tab General
của trang thuộc tính.
Hình A: Bạn phải thẩm định mức chức năng forest đã được thiết
lập cho Windows Server 2003 hoặc cao hơn
Nếu mức chức năng forest không có đủ thẩm quyền, khi đó bạn
phải nâng mức trước khi tiếp tục. Cần lưu ý rằng điều này có
nghĩa bạn sẽ không thể sử dụng các bộ đ
iều khiển miền của
Windows 2000 trong forest của bạn. Để nâng mức chức năng
forest, kích OK để đóng trang thuộc tính. Lúc này, hãy kích phải
vào danh sách forest của bạn một lần nữa và chọn mức Raise
Forest Functional level, trên cửa sổ xuất hiện sau đó, hãy chọn
tùy chọn Windows Server 2003, sau đó kích nút Raise.
Nâng cấp partition của thư mục ứng dụng
Bước tiếp theo trong quá trình là nâng cấp các điều khoản cho
các partition của thư mục ứng dụng trong forest. Với thao tác
này, các partition có thể được tạo bản sao bằng bất cứ Read
Only Domain Controller nào đang làm việc như một máy chủ
DNS.
Để thực hiện điều đó, hãy chèn DVD cài đặt Windows Server
2008 của bạn vào domain controller được chỉ định là giản đồ
chủ (schema master) của miền. Tiếp đến, copy thư mục
\Sources\Adprep từ DVD vào một thư mục trống trên ổ cứng
của máy chủ. Sau đó mở cửa sổ nhắc lệnh và điều hướng đến
thư mục ADPREP
đã tạo, thực thi lệnh dưới đây:
ADPREP /RODCPREP
Hình B thể hiện những gì xảy ra khi lệnh được chạy.
Hình B: Chạy lệnh ADPREP /RODCPREP
Tăng cấp cho máy chủ lên trạng thái Domain Controller
Bây giờ chính là lúc cấu hình máy chủ của bạn làm nhiệm vụ
của một Read Only Domain Controller. Quá trình thực hiện khá
giống với quá trình cấu hình máy chủ là một domain controller.
Bắt đầu quá trình bằng cách đăng nhập vào máy chủ qua tài
khoản thành viên của nhóm quản trị viên miền. Tại đây, hãy
nhập lệnh DCPROMO vào nhắc lệnh Run của máy chủ. Khi đó
bạn sẽ thấy Windows khởi chạy Active Directory Domain
Services Installation Wizard. Wizard sẽ thực hiện một thủ tục
kiểm tra nhanh chóng để bảo đảm rằng các nhị nguyên phân
Active Directory đã được cài đặt. Các nhị nguyên phân này bình
thường không được cài đặt (mặc định), vì vậ
y wizard sẽ cài đặt
chúng cho bạn.
Khi Windows kết thúc việc cài đặt các nhị nguyên phân, nó sẽ
hiển thị màn hình chào của wizard, xem thể hiện trong hình C.
Mặc dù bạn có thể kích Next và băng qua màn hình chào của
wizard nhưng trong trường hợp này bạn cần tích vào hộp kiểm
Use Advanced Mode Installation.
Hình C: Chọn hộp kiểm Use Advanced Mode Installation
Kích Next, khi đó wizard sẽ hỏi bạn về forest và miền nào mà
domain controller mới sẽ phục vụ. Chọn tùy chọn để bổ sung
domain controller vào một miền bên trong một forest đang tồn
tại, xem thể hiện trong hình D bên dưới.
Hình D: Chọn tùy chọn để bổ sung thêm domain controller vào
miền tồn tại
Kích Next, wizard sẽ nhắc nhở chỉ định tên của miền mà bạn đã
lên kế hoạch cho việc b
ổ sung domain controller đến. Bạn cũng
phải xác nhận rằng mình muốn sử dụng các tiêu chuẩn đã được
đăng nhập khi được nhắc nhở tăng cấp máy chủ lên trạng thái
domain controller, xem thể hiện trong hình E. Khi thực hiện
xong, hãy kích Next.
Hình E: Nhập vào tên của miền mà bạn muốn bổ sung domain
controller đến đó.
Màn hình dưới đây sẽ yêu cầu bạn xác nhận sự lựa chọn miền
của mình, như thể hiện trong hình F. Sau khi thực hiện xong,
kích Next.
Hình F: Xác nhận miền mà bạn muốn bổ sung domain controller
Bạn sẽ thấy một màn hình yêu cầu chỉ định tên của site mà bạn
muốn đặt domain controller trong đó, xem thể hiện trong hình
G. Đây là một bước quan trọng đối với Read Only Domain
Controllers, vì chúng thường được đặt tại các văn phòng chi
nhánh, do vậy luôn nằm trong những site Active Directory độc
lập.
Hình G: Chỉ định site Active Directory mà bạn muốn đặt domain
controller mới vào
Kích Next, bạn sẽ được yêu cầu chọn các tùy chọn bổ sung cho
domain controller, xem thể hiện trong hình H. Rõ ràng bạn sẽ
muốn chọn tùy chọn Read Only Domain Controller nhưng bên
cạnh đó bạn cũng nên tạo chọn cho domain controller các tùy
chọn DNS server và máy chủ catalog toàn cục (global catalog).
Hình H: Phải chọn tùy chọn Read Only Domain Controller
Kích Next, bạn sẽ được yêu cầu chỉ định Password Replication
Policy, xem thể hiện trong hình I. Đây chính là nơi bạn có thể
điều khiển mật khẩu nào được phép tạo bản sao trong Read
Only Domain Controller. Bạn có thể tạo bất cứ thay đổi nào cần
thiết, tuy nhiên những tùy chọn mặc định làm việc cũng khá tốt.
Hình I: Nên sử dụng các tùy chọn mặc định ở đây
Kích Next, bạn sẽ có thể ủy nhiệm người dùng hoặc nhóm để
hoàn tất quá trình cài đặt RODC. Không nên quá quan tâm đến
các tùy chọn mà chúng tôi đã thực hiện ở đây (chỉ mang tính ví
dụ).
Màn hình tiếp theo mà bạn thấy sẽ cung cấp cho bạn tùy chọn
tái tạo dữ liệu trên mạng từ một domain controller hay tạo một
cơ sở dữ liệu Active Directory từ m
ột file. Việc tạo một cơ sở dữ
liệu Active Directory từ một file sẽ rất tiện lợi nếu bạn có một
cơ sở dữ liệu lớn và kết nối chậm. Ngược lại, bạn nên chọn tái
tạo dữ liệu qua mạng, xem thể hiện trong hình J.
Hình J: Chọn nguồn dữ liệu Active Directory để tạo bản sao
Màn hình tiếp theo yêu cầu bạn chọn đối tác tạo bản sao cho
domain controller. Cách tốt nhất vẫn thường được sử dụng là
cho phép Windows chọn đối tác tạo bản sao cho bạn trừ khi bạn
có một lý do nào đó cho việc sử dụng một domain controller cụ
thể nào đó.
Khi kích Next, bạn sẽ được đưa đến một cửa sổ trong wizard mà
bạn có thể sử đã quen sử dụng. Màn hình này yêu cầu bạn chỉ
định vị trí cơ sở dữ liệu Active Directory sẽ được lưu. Cần đưa ra
sự lựa chọn của bạn và kích Next.
Sau đó bạn sẽ được nhắc nhở phải cung cấp mật khẩu Directory
Services Restore Mode. Nhập vào mật khẩu và kích Next.
Lúc này bạn sẽ thấy một bảng tóm tắt về những tùy chọn cài
đặt mà bạn đã chọn. Giả dụ rằng mọi thứ xuất hiện đều đúng
theo nguyện vọng của bạn, hãy kích Next để bắt đầu quá trình
tăng cấp cho domain controller. Khi quá trình hoàn tất, kích
Finish và sau đó khởi động lại máy chủ.
Kết luận
Giờ đây bạn đã thiết lập được RODC xong, có thể bạn sẽ muốn
thiết lập các RODC bổ sung. Nếu rơi vào trường hợp này, bạn
phải đợi chu trình tạo bản sao kế tiếp được hoàn tất. Bằng
không bạn sẽ
kết thúc với việc nhận được các lỗi từ Active
Directory.
