Mục lục

I . Tìm hiểu chung về Domain Controller
1.Domain Controller là gì ?
Một trong những khái niệm quan trọng nhất của mạng Windows là domain
(tức miền hay vùng). Một domain là tập hợp các tài khoản người dùng và tài khoản
máy tính được nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản


lý là dành cho domain controller (bộ điều khiển miền) nhằm giúp việc khai thác tài
nguyên trở nên dễ dàng hơn.
2. Vai trò của Domain Controller
Vậy tại sao domain controller lại rất quan trọng? Trong mạng, bất kỳ máy
trạm nào đang chạy hệ điều hành Windows XP cũng có một nhóm tài khoản người
dùng tạo sẵn nào đó. Windows XP thậm chí cịn cho phép bạn tạo một số tài khoản
bổ sung nếu thấy cần thiết. Nếu máy trạm có chức năng như một hệ thống độc lập
hoặc là một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm
(được gọi là tài khoản người dùng cục bộ) không thể điều khiển truy cập tài
nguyên mạng. Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộ và hoạt
động như với chức năng đảm bảo cho quản trị viên có thể thực hiện cơng việc bảo
dưỡng, duy trì máy trạm, khơng cho phép người dùng cuối khả năng can thiệp vào
các thiết lập trên máy trạm.
Lý do vì sao tài khoản người dùng cục bộ trên một máy trạm nhất định
không được phép điều khiển truy cập tài ngun nằm ngồi máy trạm đó là nó tăng
thêm gánh nặng quản lý rất lớn. Tài khoản người dùng cục bộ chỉ nằm trên các
máy trạm riêng rẽ. Nếu một tài khoản là có chức năng bảo mật chính trong mạng,
quản trị viên sẽ phải di chuyển vật lý tới máy tính có tài khoản đó bất kỳ khi nào
phải thực hiện thay đổi quyền hạn cho tài khoản. Vấn đề này khơng gây ra tác động
gì lớn trong mạng nhỏ, nhưng sẽ trở nên cực kỳ nặng nề với ở mạng lớn hay khi
cần áp dụng thay đổi rộng cho tất cả mọi tài khoản.
Một lý do khác nữa là không ai muốn phải chuyển tài khoản người dùng từ

máy này sang máy khác. Chẳng hạn, nếu máy tính của một người dùng bị phá hoại,
người đó khơng thể đăng nhập vào máy tính khác để làm việc vì tài khoản họ tạo

2


chỉ có tác dụng trên máy cũ. Nếu muốn làm được việc anh ta sẽ phải tạo tài khoản
mới trên máy khác
Chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng
cục bộ cho việc truy cập an tồn tài ngun mạng là khơng thực tế. Thậm chí nếu
bạn muốn triển khai kiểu bảo mật này, Windows cũng không cho phép. Tài khoản
người dùng cục bộ chỉ có thể dùng tài nguyên cục bộ trên một máy trạm nhất định.
3. Nhiệm vụ của Domain Controller
Domain có nhiệm vụ giải quyết các vấn đề vừa nêu và một số vấn đề khác
nữa. Chúng sẽ tập trung hố tài khoản người dùng (hay cấu hình khác, các đối
tượng liên quan đến bảo mật; chúng ta sẽ đề cập đến trong bài sau). Điều này giúp
việc quản trị dễ dàng hơn và cho phép người dùng đăng nhập từ bất kỳ máy tính
nào có trên mạng (trừ khi bạn giới hạn quyền truy cập người dùng).
Với những thông tin đã được cung cấp chắc hẳn bạn sẽ nghĩ, về mặt nguyên
lý, khi một người dùng nào đó muốn truy cập tài nguyên nằm trên một máy chủ
(server), tài khoản người dùng mức server sẽ được dùng để điều khiển truy cập.
Xét trên một số khía cạnh, ý tưởng này là đúng, nhưng cịn có nhiều điều phải lưu
ý hơn thế
4.Ưu điểm và hạn chế khi sử dụng Domain Controller
4.1 Ưu điểm
Ưu điểm quản lý tập trung các dịch vụ, đối tượng. Nhưng tốn chi phí vì cần
ít nhất 1 máy làm Domain Controller (DC). Các máy tính client tham gia vào
domain thì gọi là workstation (domain member).

3



Một máy tính khi cài đặt dịch vụ Active Directory (AD) thì sẽ trở thành DC, DC
lưu trữ AD Database đảm nhiệm chức năng:
- Quản lý tập trung hệ thống (user được tạo trong AD databse có thể log on bất cứ
máy nào trong mạng domain, truy cập tài nguyên mà không cần tạo user trên
workstation như mạng workgroup).
- Chứng thực user log on, truy cập tài nguyên trong hệ thống (mạng workgroup thì
user chứng thực ngay trên local).
- Triển khai Policy tác động lên user, computer trong hệ thống domain (mạng
workgroup thì phải thiết lập policy trên từng máy).
- Triển khai ứng dụng tự động cho user (thay vì đến từng máy cài).
4.2.Hạn chế
-Chỉ sử dụng khi số máy nhiều
-Cần nâng cấp

4


II. Cách sử dụng Domain Controller
Khi máy chủ Windows sử dụng Windows Server 2000, Windows Server
2003 hay Windows Server 2008, công việc của domain controller (bộ điều khiển
miền) là chạy dịch vụ Active Directory. Active Directory hoạt động như một nơi
lưu trữ các đối tượng thư mục, trong đó có tài khoản người dùng (user account). Và
một trong các công việc chính của bộ điều khiển tên miền là cung cấp dịch vụ thẩm
định.
Domain controller cung cấp dịch vụ thẩm định (authentication) chứ không phải
là dịch vụ cấp phép (authorization). Tức là, khi một người dùng nào đó đăng nhập
vào mạng, một bộ điều khiển miền sẽ kiểm tra tính hợp lệ của username và
password họ nhập vào có chính xác và khớp với dữ liệu lưu trong máy chủ hay

khơng. Nhưng domain controller khơng nói với người dùng họ có quyền truy cập
tài ngun nào.
•

Làm việc với Read Only Domain Controller
Read Only Domain Controller (RODC) xuất hiện trong Windows Server
2008

5


Cũng giống như các hệ điều hành máy chủ Windows Server hiện đại,
Windows NT cũng hỗ trợ sử dụng miền. Tuy nhiên có những khác biệt đó là
domain controller bên trong mỗi miền mới có khả năng ghi. Domain
controller này được biết đến với tên Primary Domain Controller hay PDC, là
một domain controller mà quản trị viên có thể ghi thơng tin lên đó. Sau đó
Primary domain controller sẽ cập nhật cho các domain controller khác bên
trong miền. Các domain controller khác này được coi như một backup
domain controller và ở trạng thái chỉ đọc những gì mà chúng được nâng cấp
bởi primary domain controller.
Mặc dù mơ hình miền này làm việc khá tốt nhưng nó cũng có nhược
điểm của nó. Đáng kể nhất trong số các nhược điểm đó là vấn đề với
primary domain controller có thể là tê liệt tồn bộ miền. Như những gì bạn
có thể biết, Microsoft đã giới thiệu một số thay đổi lớn đối với mơ hình miền
khi họ phát hành Windows 2000 Server. Windows 2000 Server có giới thiệu
hai cơng nghệ mới cho các domain controller, cả hai đều vẫn được sử dụng
cho tới ngày nay đó là Active Directory và multi master domain (mơ hình đa
miền chủ).
Mơ hình multi master domain được giữ lại trong Windows Server
2003 và vẫn được sử dụng trong Windows Server 2008. Mặc dù vậy,

Windows Server 2008 cũng cho phép có thể tạo Read Only Domain
Controller. RODC là các bộ điều khiển miền (domain controller) mà các
quản trị viên không thể cập nhật trực tiếp cơ sở dữ liệu Active Directory. Chỉ
có một cách để nâng cấp các domain controller là sử dụng một sự thay đổi
đối với domain controllers cho phép ghi, sau đó cho phép thay đổi đó nhân
rộng đến RODC.

6


RODC cũng giống như các domain controller khác, ngoại trừ cơ sở dữ
liệu Active Directory không thể ghi trực tiếp. Việc đặt RODC tại văn phịng
chi nhánh khơng khắc phục triệt để được vấn đề lưu lượng bản sao của
Active Directory nhưng nó làm giảm được một phần tải trọng của các máy
chủ đầu cầu vì chỉ có lưu lượng bản sao gửi đến là được cho phép.
RODC cũng có thể cải thiện được vấn đề bảo mật vì người tại văn phịng chi
nhánh khơng thể thay đổi bất cứ thứ gì trong cơ sở dữ liệu Active Directory.
Thêm vào đó, khơng có thơng tin về tài khoản nào được tạo bản sao đến
RODC. Điều này có nghĩa rằng nếu ai đó đánh cắp một RODC thì người này
cũng khơng thể sử dụng các thông tin mà họ lấy được từ nó. Việc các thơng
tin tài khoản người dùng khơng được ghi đến RODC cũng làm giảm được số
lượng lưu lượng bản sao đối với các liên kết WAN, tuy nhiên nó khơng có
nghĩa rằng với một số ngoại lệ, thẩm định người dùng sẽ phụ thuộc vào liên
kết WAN đang hiện hữu.

7


III. Cách nâng cấp máy tính từ Window Server 2008 lên thành
Domain Controller

Cài đặt IP và DNS cho server

Sau khi chỉnh IP và DNS bấm OK
Vào menu Start -> run ( nút start + r ), trong ô cửa sổ run bạn gõ “dcpromo” hoặc
bạn cũng có thể sử dụng “server Manager” để cài đặt. Trên các HDH cũ như 2003,
2008 thì ta cần đánh lệnh dcpromo để nâng cấp, thì khi đánh lệnh này thì Windows
sẽ tự động cài dịch vụ ADDS, chúng ta chỉ cần nâng cấp máy thành DC.

8


Sau khi chạy dcpromo bạn sẽ nhìn thấy cửa sổ cài đặt DC, nhấn Next để tiếp tục

9


Sau đó, hệ thống thơng báo sự tương thích giứa Windows server 2008 với hẹ thống
trước

Tiếp theo

10


bạn lựa chọn “Create a new domain in a new forest” để tạo một tên miền mới
sau đó click Next.

Nhấn next để tiếp tục.
Lúc này Windows sẽ kiểm tra tên NetBIOS, sự tồn tại của domain. Trong
trường hợp domain đã có rồi thì bạn sẽ nhận được thơng báo lỗi

Tiếp theo ở phần “Set Forest Function level” bạn cần lựa chọn chức năng
cho Forest.

11


Bạn cần phải lựa chọn cho phù hợp với yêu cầu của tổ chức sau đó click Next để
tiếp tục.
Ở trang “Set domain Function level”, cũng tương tự như phần thiết lập chức năng
cho Forest. Sau khi lựa chọn, nhấn Next để tiếp tục.

12


Tiếp đến là phần lựa chọn cài đặt DNS server, bạn chọn vào “DNS Server” sau đó
click Next.
Tiếp theo bạn để mặc định sau đó click Next.

Tiếp theo là nhập mật khẩu dành cho restore hệ thống ADDS , lưu ý mật khẩu này
không phải mật khẩu của Adminstrantor , và password theo kiểu phức tạp

13


Chọn Next và đợi tiến trình xử lý thơi

14


Sau đó sẽ hiện của sổ hiển thị đã nâng cấp xong Domain Controller , nhấn finish để

kết thúc.

15


Kết quả

16