toàn tập trương trình mcse tiếng việt
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.03 MB, 99 trang )
Nguyễn Quốc Dũng
70-294 (Cài đặt và Cấu hình AD)
Installing Active Directory
Triển khai trong cùng vị trí địa lý.
Nâng cấp DC
Gia nhập Domain
Additional DC
Global Catalog Sv
Secondary DNS Sv
DFS (Distributed File System) – Đồng bộ dữ liệu giữa các file Server.
Chú ý:
1- Khi cài đặt DNS cùng với AD thì phải cấu hình thêm DNS số (Reverse lookup Zone).
DNS hỗ trợ Join Domain + Đăng nhập Domain.
2- Multidomain thì phải xem lựa chọn:
Đồng bộ đến tất cả DNS trong cùng Forest
Đồng bộ đến tất cả DNS trong cùng Domain
Tất cả máy DC trong cùng Domain
3- Có nhiều Network thì phải tạo nhiều Reverse Lookup Zone
4- User được chứng thực dựa vào Global Catalog
Nguyễn Quốc Dũng
5- Tạo nhiều Server: Load Balancing và Failover
6- Tạo Additional DC (Máy ADC phải đang logon as Administrator\DomX.local)
DC thứ 2 trở lên không phải là Global Calalog Server. Phải cấu hình thêm.
7- Khởi động lại sau khi cài Secondary DNS Server trên ADC. Máy Domain Member
chỉnh Prefer DNS và Afternate DNS về máy nào cũng được.
8- DFS (Đồng bộ dữ liệu giữa các file Server)
Domain root: Multi domain
Stand-alone root: Single Domain
Nguyễn Quốc Dũng
Nguyễn Quốc Dũng
Nguyễn Quốc Dũng
Nguyễn Quốc Dũng
Nguyễn Quốc Dũng
Nguyễn Quốc Dũng
Install & Configure Active Directory
Cấu hình AD ở hai vị trí khác nhau
Verifying AD
AD Tools
Nếu Server 2 Join Domain thì mọi thao tác sẽ dễ dàng hơn khi cài đặt ADC. Nếu
không Join thì chỉnh Prefer DNS về Server 1.
{ Để khắc phục tình trạng chập chờn của mạng trong khi cấu hình ADC thì
Backup (System State) Server 1 sau đó Restore tại Server 2 (hoặc có thể Copy, Host
lên Server trung gian…) }
Chỉnh ghi đè lên file có sẵn.
Restore ra thư mục C:\ABC (Alternate location)
Nguyễn Quốc Dũng
Nâng cấp DC ở chế độ Advance Run | dcpromo /adv
Nguyễn Quốc Dũng
Administering AD
1- Backup AD
2- Restore AD
Boot DC1 lại nhất F8 vào Directory Services Restore Mode
None Authoritative: Phục hồi System State cho một DC mà không làm ảnh hưởng
đến AD Database của hệ thống. Khi thực hiện Restore trên 1 DC thì không cần thiết phải
tắt DC thứ 2 (tắt thì không chứng thực được cho User khi Logon).
Nếu DC1 xóa 1 User thì sau khi Restore User sẽ được tạo lại. Nhưng sau khi khởi
động lên DC2 sẽ Replicate qua DC1 là mất User đó Không ảnh hưởng AD Database.
Authoritative: Restore cụ thể một đối tượng trong AD Database.
Mặc định khi Restore là Non Authoritative. Để thực hiện Authoritative Restore thì sau
khi Restore thì không Restart lại. Sau đó vào CMD
NTDSutil | Authoritative Restore
+ Phục hồi nguyên Database: Restore Database
+ Phục hồi một phần Database: Restore subtree (sử dụng cho OU)
Ví dụ: Restore Subtree “OU=HN,dc=domX,dc=local”
Quit
Quit
Exit
+ Phục hồi một đối tượng: Restore Object (sử dụng cho User)
Ví dụ: Restore Object “CN=KT2, OU=HN,dc=domX,dc=local”
Nguyễn Quốc Dũng
Multi: Domain, Tree, Forest
Domain được xây dựng đầu tiên trong một Forest được gọi là Forest Root
Domain – Child Domain (Enterprise Admin quản lý). Xây dựng AD thì dùng quyền của
Domain Admin. Nếu xây dựng thêm 1 Domain mới thì phải sử dụng quyền Enterprise
Admin.
Domain đầu tiên được xây dựng trong một cây được gọi là Tree Root Domain –
Child Domain – Grandchild Domain, được triển Domain mới không kế thừa Domain
đang có.
1- Multi Domain:
- Sử dụng xây dựng phù hợp chính sách bảo mật (Vd: Password khác nhau - do
Password Policy được chỉnh sửa trong Computer nên không áp dụng được bằng cách gán
GPO cho User trong OU).
- Phù hợp với nhu cầu quản lý. Admin ở vị trí nào thì quản lý Domain ở vị trí đó.
- Tối ưu hóa sự đồng bộ. Domain ở vị trí khác (độc lập với Domain thứ nhất) chỉ
Repicate Schema (do Domain thứ hai này thuộc cùng Forest) Đỡ tốn băng thông.
- Giữ lại hệ thống Domain chạy trên nền WinNT đời cũ. Không cần phải tốn chi
phí để xây dựng hệ thống mới. (WinNT có khả năng nâng cấp thẳng lên Win2003).
Có thể triển khai 1 DNS quản lý nhiều Domain hoặc xây dựng trên mỗi Domain 1
DNS riêng để quản lý.
VD: Trong trường hợp này sử dụng 1 DNS (Internal Namespace) quản lý nhiều
Domain.
B1: Vào DNS Tạo New Forward Lookup Zone bỏ check Store the Zone in
AD…
Nguyễn Quốc Dũng
B2: Nâng cấp Domain sử dụng quyền Enterprise Admin
Nguyễn Quốc Dũng
Nguyễn Quốc Dũng
B3: Logon vào Con04 bằng Administrator password trắng.
B4: Thay đổi Dynamic Update thì vào DNS | Properties (con04.dom03.local)
trên DC1. Trong tab General chọn Change và Check vào Store the Zone in AD.
Chức năng:
+ User của Domain cha có thể Logon tại Domain con và ngược lại (chỉnh Logon theo
đúng tên User)
+ Tài nguyên bên Domain con có thể cấp quyền cho Domain cha.
Nguyễn Quốc Dũng
2- Multi Tree
- Thỏa 1 trong 4 điều kiện của Multi Domain ở trên và không kế thừa tên Domain
đang có.
3- Multi Forest
- Secure data (bảo mật dữ liệu): cần thêm 1 Enterprise Admin mới để quản lý.
Dữ liệu trong Domain mới này bị cô lập và chỉ có những người liên quan mới được truy
xuất.
- Isolate Directory Replication (cách ly đồng bộ AD Database): không đồng bộ
bất cứ dữ liệu nào kể cả Schema.
- Triển khai môi trường LAB: kiểm tra ứng dụng sắp triển khai có tương thích
với môi trường hiện tại hay không.
Nguyễn Quốc Dũng
Rename Domain
(70-294 trang 237)
Sử dụng Windows Support Tool (Win2k3)
1- Rename DC
Điều kiện để đổi được tên là: Domain Functional Level phải là Win2k3 (hệ
thống chỉ toàn sử dụng win2k3 trở lên).
Active Directory Users and Computers | Raise Domain Functional Level |
Windows Server 2003
+ Lệnh sử dụng đổi tên:
netdom computername pc03.dom03.local /add:dc03.dom03.local #Không
khoảng trắng
netdom computername pc03.com03.local /makeprimary: dc03.dom03.local
+ Kiểm tra: Full Computer Name
Netdom computername dc03.dom03.local /enumerate
Netdom computername dc03.dom03.local /remove:pc03.dom03.local
+ Quan trọng nhất là phải tắt domain member rồi sau đó khởi động lại DC. Sau
khi DC khởi động xong thì mởi bắt đầu khởi động Domain Member.
2- Rename Domain (
C1: Sử dụng Email Address Policy trong Exchange Server để đổi phần mở rộng
email của User. Nhưng hệ thống vẫn sử dụng là DomX.local.
C2: Đổi tên Domain. Cần trung gian là Control Station (CS). Mọi thao tác đều
thực hiện trên CS.
Chuẩn bị:
Nguyễn Quốc Dũng
Nguyễn Quốc Dũng
Bước 1: Backup System State của Domain Controllers ( Đảm bảo việc an toàn hệ thống)
Bước 2: Thiết lập máy Control Station. (hầu hết mọi thao tác được thực hiện tại đây)
Bước 3: Tạo file mô tả Forest hiện tại.
Bước 4: Chỉnh sửa lại file mô tả vừa được tạo mới.
Bước 5: Tạo bộ lệnh Rename Domain.
Bước 6: Chuyển bộ lệnh Rename vào DC.
Bước 7: Kiểm tra lại bộ lệnh Rename sau khi chuyển vào DC.
Bước 8: Thực hiện công việc đổi tên Domain bằng bộ lệnh Rename.
Bước 9: Thực hiện lệnh kết thúc quá trình cấu hình.
Bước 10: Cập nhật Policy (Quan trọng nhất)
vd: gpfixup /olddns:dom03.local /newdns:dom03.local.vn /oldnb:dom03
/newnb:dom03 /dc:dc03.dom03.local.vn
Nguyễn Quốc Dũng
Operation Master Role
WinNT: Primary DC (máy Master), Backup DC
Win2k: Multi Master, 1 in 5 roles
1- Giới thiệu OMR
Forest-Wide Operation Master Roles
+ Schema Master: quản lý Schema (định nghĩa và thuộc tính của các đối tượng)
trong Forest. Mỗi Forest chỉ có một Schema Master Role. Mặc định được lưu trữ trong
DC đầu tiên trong Forest Root Domain (Domain đầu tiên trong một Forest). – AD
Schema.
+ Domain naming Master: quản lý các Domain Name trong Forest. Mỗi Forest
chỉ có một Domain naming Master. Mặc định được lưu trữ trong DC đầu tiên trong
Forest Root Domain. AD Domain & Trust
+ RID Master Role: quản lý các số ID (SID: đại diện cho các đối trượng trong
AD; RID: ID đại diện cho Domain) trong Domain. Mỗi Domain chỉ có một RID Master
Role. Mặc định được lưu trữ trong DC đầu tiên trong Forest Root Domain. – AD UC
+ PDC Emulator Role: đóng giả lập một PDC (Primary Domain Controller)
chạy trên nền WinNT. Mỗi Domain chỉ có một PDC Emulator Role. Mặc định được lưu
trữ trong DC đầu tiên trong Forest Root Domain. – AD UC
+ Infrastructure Master Role: đồng bộ thông tin từ Domain này sang Domain
kia. (Vd: xóa hoặc thêm đối tượng trong Domain). Mỗi Domain chỉ có một Infrastructure
Master Role. Mặc định được lưu trữ trong DC đầu tiên trong Forest Root Domain. – AD
UC
Cài AdminPack.msi để sử dụng các công cụ trên. Muốn biết máy nào là máy
chính thì xem trong Operations Master (Run | MMC | Add – Schema Master…).
2- Triển khai
Nguyễn Quốc Dũng
Thực hiện khi số lượng WorkStation quá lớn hoặc DC quá cũ.
+ Tranfer OMR: điều kiện là DC cũ phải đang hoạt động bình thường.
Mua máy DC mới Join Domain Nâng cấp lên ADC (cấu hình GC).
DC1: Change Domain Controller Operations Master… Change OK
Nguyễn Quốc Dũng
Nguyễn Quốc Dũng
+ Seizing OMR (chiếm đoạt OMR)
Trường hợp máy DC chính bị chết (hư ổ cứng) bất đắc kỳ tử. Nhưng xác chết vẫn còn
(trong DNS). Dọn xác chết bằng lệnh (trang 207 – 70.294)
B1: Chiếm OMR
Run | CMD | Ntdsutil
Nguyễn Quốc Dũng
Tương tự với Seize domain naming master
Seize RID Master
Seize PDC
Seize Infrastructure Master
Bước cuối cùng là quit
B2: Dọn xác chết (207 – 70.294)
Run | CMD | Ntdsutil
Nguyễn Quốc Dũng
Quit
Nguyễn Quốc Dũng
Trust Relationship
Khi trong môi trường mạng triển khai Multi Domain thì phải chú ý đến Trust Domain.
Khi hai Domain Trust với nhau thì User có thể sử dụng tài nguyên của nhau.
Các Domain nằm trong cùng Forest thì tự động Trust với nhau.
1- Giới thiệu
Sử dụng công cụ AD Domain & Trust để xem và cấu hình.
Hai cơ chế (two-way): Outgoing và Incoming. User được sử dụng tài nguyên
của nhau.
Một cơ chế (one-way): một trong hai. Chỉ được sử dụng tài nguyên của một bên.
Ví dụ: khi mua them công ty.
Trust Protocol: Win2k3 sử dụng Kerberos v.5 (default) hoặc NTLM
Trust Type:
+ Tree-root trust: Trust giữa Forest Root Domain và Tree Root domain (2-way)
+ Parent-child trust: 2-way (vd: Microsoft.com và uk.microsoft.com)
+ Shortcut trust: hai domain tự động Trust thong qua Cross-link (vd:
us.microsoft.com và sls.uk.msn.com) nhưng thời gian đăng nhập quá lâu nên cấu hình
Shorcut Trust (1-way hoặc 2-way)
