Tải bản đầy đủ (.docx) (55 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Dịch vụ thư mục (ACTIVE DIRECTORY) Cấu hình và cài đặt

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.89 MB, 55 trang )

Mục lục


LỜI MỞ ĐẦU
Window Server 2008 là hệ điều hành Windows Server thiết kế nhằm tăng sức
mạnh cho các mạng, ứng dụng và dịch vụ Web thế hệ mới. Với Windows Server 2008,
người quản trị có thể phát triển, cung cấp và quản lý các trải nghiệm người dùng và ứng
dụng phong phú, đem tới một hạ tầng mạng có tính bảo mật cao, và tăng cường hiệu quả
về mặt công nghệ và giá trị trong phạm vi tổ chức của mình. Windows Server 2008 kế
thừa những thành cơng và thế mạnh của các hệ điều hành Windows Server thế hệ trước,
đồng thời đem tới tính năng mới có giá trị và những cải tiến mạnh mẽ cho hệ điều hành
cơ sở này. Với tính năng Active Directory, Window server 2008 có thể tạo ra các vùng
(Domain) để có thể dễ dàng quản lý, áp dụng các chính sách đối với toàn bộ các máy
trong miền, giúp nâng cao khả năng bảo mật, tính an tồn, tăng cường hiệu năng quản
lý, nâng cấp các máy trong domain.
Theo sự phân công của thầy giáo giảng dạy mơn Quản trị mạng máy tính, nhóm
chúng em thực hiện đề tài “Tìm hiểu và xâu dựng Domain Controller, Child Domain,
Server đồng hành, RODC”. Đề tài được chia thành 3 phần:
Phần 1: Tổng quan về Window Server 2008
Phần 2: Dịch vụ thư mục Active Directory
Phần 3: Cấu hình và cài đặt
Sự hiểu biết của nhóm chúng em về lĩnh vực này cịn nhiều thiếu sót nên chúng em
rất mong được sự thơng cảm và góp ý chân thành của thầy giáo. Chúng em chân thành
cảm ơn!

2


Chương 1
Tổng quan về Window Server 2008


1.1. Giới thiệu tổng quan về window server 2008
- Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows
Server, có thể giúp các chun gia cơng nghệ thơng tin có thể kiểm soát tối đa cơ sở hạ
tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn
hẳn trong việc đảm bảo độ an tồn, khả năng tin cậy và mơi trường máy chủ vững chắc
hơn các phiên bản trước đây.
- Windows Server 2008 đem tới tính năng mới, có giá trị cùng những cải tiến mạnh
mẽ cho hệ điều hành lõi Windows Server để giúp các tổ chức ở mọi quy mơ tăng cường
khả năng kiểm sốt, tính sẵn có, và linh hoạt nhằm đối phó với nhu cầu kinh doanh luôn
biến đổi của họ.
- Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảo
đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ
mạng. Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều
hành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ cho
các doanh nghiệp.
- Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền
tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến
những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện
mạnh mẽ cho hệ điều hành cơ bản.
- Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính năng mới, Windows
Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ bản so với hệ điều
hành Windows Server 2003.
- Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảo
mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công cụ
kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phịng, sự triển khai và hệ thống
file.
- MS Windows Server 2008 chứa nhiều tính năng cải thiện, hỗ trợ tối đa cho hệ
thống mạng doanh nghiệp. Trong đó nổi bật nhất là cơng nghệ ảo hóa giúp tối ưu hóa hạ
tầng mạng của doanh nghiệp khai thác tối đa hiệu suất của phần cứng server x64, cùng
với sự ra đời của MS Windows Server core giúp cho doanh nghiệp có thể triển khai hệ

thống server chỉ hỗ trợ dòng lệnh sẽ giúp bảo mật hơn và giảm bề mặt tấn cơng, những
tính năng mới trong kết nối mạng của MS Windows Server 2008 giúp cải thiện cho hệ
3


thống server trong việc phục vụ các dịch vụ mạng nhanh hơn, bảo mật hơn và tương
thích với các chuẩn mạng mới. Một điểm nỗi bật nữa đó là Web server với IIS 7.0 (mới
nhất IIS 7.5) bảo mật hơn, sẵn sàng hơn, hỗ trợ hosting mạnh mẽ hơn. MS Windows
Server 2008 hỗ trợ quản trị tối đa trong việc quản trị bằng giao diện đồ họa, bằng
Windows Remote Management và Windows Powershell.

1.2. Các tính năng trên Window Server 2008
1.2.1. Dịch vụ thư mục (ACTIVE DIRECTORY)

Active Directory là một kiến trúc độc quyền của Microsoft. Đây là một kiến trúc
không thể thiếu được trên Window Server. Active Directory được hiểu nôm na là một
dịch vụ thư mục. Tương tự như dịch vụ trên các hệ thống khác, như Novell, Active
Directory là một hệ thống được chuẩn hóa với khả năng quản trị tập trung về người
dùng cũng như các nguồn tài nguyên trong một hệ thống mạng. Active Directory được
sử dụng trong mơ hình mạng Client/Server.
Active Directory là dịch vụ thư mục có vai trị lưu giữ tồn bộ thơng tin và cơ sở
của các đối tượng (object) trong hệ thống mạng như tài khoản người dùng (user), tài
khoản nhóm (user group) máy tính (computer) máy in, ứng dụng (application)… Active
Directory cung cấp tất cả thông tin của một đối tượng cho các dịch vụ cần thiết, ví dụ
cung cấp thông tin cho việc chứng thực khi user truy cập vào tài nguyên. Khi sử dụng
Active Directory trong Window Server 2008 ta có thể tạo ra một hạ tầng mạng bảo mật,
dễ dàng quản lý user, computer, account và các tài ngun. Ngồi ra ta có thể sử dụng
Active Directory để hỗ trọe cho những ứng dụng khác như Exchange Server.
1.2.2. Chính sách hệ thống và chính sách nhóm


Trong cơng tác quản trị mạng Window Server việc ứng dụng các chính sách tác
động lên hệ thống đảm bảm hệ thống ln được quản lý giám sát. Chính sách hệ thống
xuất hiện cả trên mơi trường nhóm làm việc (Work group) và miền (Domain).
Trên mơi trường Workgroup chính sách hệ thống xuất hiện trong tác vụ Local
Policy.
Trên môi trường Domain đối với hệ thống Window Server 2008 chính sách hệ
thống xuất hiện trên 2 công cụ:
+ Domain Security Policy giúp người quản trị thiết lập chính sách bảo mật hệ
thống có phạm vi tác động lên toàn miền.
+ Domain Controller Security policy giúp người quản trị thiết lập chính sách bảo
mật hệ thống có phạm vi tác động lên máy DC.
Đặc điểm Policy:một Policy có 3 trạng thái:
4


+ Trạng thái mặc định do hệ thống tự thiết lập (Not Defined)
+ Đồng ý với chính sách policy đưa ra (Enable: bật)
+ Khơng đồng ý với chính sách đưa ra (Disable: tắt)
1.2.3. Quản lý thư mục và ổ đĩa

Quản lý tập tin quản lý việc lưu trữ và định vị các tập tin trên đĩa cứng. Windows
Server 2008 hỗ trợ hệ thống quản lý tệp tin NTFS. Hệ thống NTFS được giới thiệu cùng
với phiên bản Window NT đầu tiên. Với không gian địa chỉ 64 bit, khả năng thay đổi
kích thước của Cluster độc lập với dung lượng của đĩa cứng, NTFS hầu như đã loại trừ
được những hạn chế về số Cluster, kích thước tối đa của tập tin trên một phân vùng đĩa
cứng. NTFS sử dụng bảng quản lý tập tin (MFT – Master File Table) thay cho bảng cấp
phát tập tin (FAT – File Allocation Table) quen thuộc nhằm tăng cường khả năng lưu
trữ, tính bảo mật cho tập tin, thư mục, khả năng mã hóa dữ liệu đến từng tập tin. Ngồi
ra, NTFS có khả năng chịu lỗi cao, cho phép người dùng đóng một ứng dụng “chết”
(not responding) mà không làm ảnh hưởng đến các ứng dụng khác.

1.2.4. Quản lý các dịch vụ mạng

Dịch vụ mạng trên Window Server 2008 gồm có những dịch vụ chính như: dịch
vụ tên miền DNS, dịch vụ cấp phát IP DHCP, dịch vụ WEB, dịch vụ truyền file FTP,
dịch vụ MAIL
1.2.4.1. Dịch vụ tên miền DNS
Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thơng tin, dữ liệu cho nhau
cần phải biết rõ địa chỉ IP của nhau. Nếu số lượng máy tính nhiều thì việc nhớ những
địa chỉ IP này là rất khó khăn. Mỗi máy tính ngồi địa chỉ IP cịn có tên (hostname). Đối
với con người, việc nhớ tên này dù sao cũng dễ dàng hơn vì chúng có tính trực quan và
có tính gợi nhớ hơn địa chỉ IP. Vì thế, người ta nghĩ ra cách làm sao ánh xạ địa chỉ IP
thành tên máy tính. Ban đầu do quy mơ mạng ARPANET (tiền thân của mạng internet)
còn nhỏ chỉ vài trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh
xạ tên máy thành địa chỉ IP. Tuy nhiên phương pháp này có một số nhược điểm: Lưu
lượng mạng và máy chủ duy trì bị quá tải, xung đột tên, khơng đảm bảo sự tồn vẹn, do
vậy dịch vụ tên miền DNS ra đời để thay thế cho phương pháp này.
Dịch vụ DNS hoạt động theo mơ hình Client/Server: Phần Server gọi là máy chủ
phục vụ tên hay còn gọi là name server, còn phần client là trình phân giải tên – resolver.
Cơ sở dữ liệu của DNS là một cây đảo ngược. Mỗi nút trên cây cũng lại là nút
của một cây con. Mỗi cây con là một phân vùng con trong toàn bộ cơ sở dữ liệu DNS
gọi là một miền (Domain). Mỗi Domain có một tên (domain name). Tên domain chỉ ra
5


vị trí của nó trong cơ sở dữ liệu DNS. Trong DNS tên miền là chuỗi tuần tự các tên
nhãn tại nút đó đi ngược lại lên gốc của cây và phân cách nhau bởi dấu chấm.
1.2.4.2. Dịch vụ DHCP
- Khi các máy tính trong mạng được định danh bằng địa chỉ IP duy nhất thông
qua giao thức TCP/IP, trước đây để cấp phát địa chỉ IP này các nhà phát triển mạng đã
phát minh ra giao thức Bootstrap (viết tắt BootP) được mô tả trong RFC 951. Người

quản trị cập nhật danh sách địa chỉ vật lý (MAC – Media Access Control) của thiết bị
card mạng của các máy tính trong mạng, sau đó người quản trị sẽ phân bổ một địa chỉ IP
theo mỗi địa chỉ MAC để đảm bảo tính duy nhất trong một mạng. Khi một máy trạm sử
dụng BOOTP khi khởi động sẽ loan báo (broadcast) yêu cầu địa chỉ IP, hệ thống
BOOTP server sẽ nhận ra địa chỉ MAC của máy loan tin và cấp địa chỉ IP tương ứng với
địa chỉ MAC.
-Tuy nhiên việc phân bổ địa chỉ IP thông qua địa chỉ MAC của card mạng dẫn
đến sẹu kém linh động và yêu cầu người quản trị phải thường xuyên cập nhật đại chỉ
MAC cho các card mạng mới được bổ sung. Để hỗ trợ cho vấn đề theo dõi và cấp phát
các địa chỉ IP được thuận tiện và chính xác, tổ chức IETF đã phát triển giao thức DHCP
cải tiến hơn giao thức BOOTP ở chỗ ta chỉ việc cấp phát một phạm vi địa chỉ IP và máy
chủ DHCP server sẽ phân bổ cho các máy trong mạng theo nguyên tắc đến trước giải
quyết trước cho các máy có yêu cầu. lưu ý cả DHCP và BOOTP đều sử dụng cổng UDP
67 và 68 không thể cài đặt đồng thời cả hai giao thức này trên cùng một máy chủ. Trong
hệ thống máy chủ Server 2008 khơng cịn hổ trợ giao thức BOOTP.
- Để có thể làm một DHCP server, máy chủ phải đáp ứng các điều kiện sau: Đã
cài dịch vụ DHCP; Mỗi giao tiếp mạng phải được cấu hình bằng một địa chỉ IP tĩnh; Đã
chuẩn bị sẵn danh sách các đại chỉ IP định cấp phát cho các máy client.
- Dịch vụ DHCP này cho phép chúng ta cấp động các thơng số cấu hình mạng
cho các máy trạm (client). Các hệ điều hành của Microsoft và các hệ điều hành khác
như Unix hoặc Macintosh đều hỗ trợ cơ chế nhận các thơng số động, có nghĩa là trên
các hệ điều hành này phải có một DHCP Client. Cơ chế sử dụng các thông số được cấp
phát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như:
+ Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ
thống mạng.
1.2.4.3. Dịch vụ WEB
Web Server (hay máy chủ web) là máy chủ mà trên đó cài đặt phần mềm Website.
Tất cả các Web Server đều chạy được các file.html và.htm, tuy nhiên mỗi Web Server
lại phục vụ một kiểu file chuyên biệt chẳng hạn như IIS của Microsoft dành
cho.asp,.asps; Apache dành cho PHP. Máy chủ Web Server là máy chủ có dung lượng

6


lớn, tốc độ cao, được dùng để lưu trữ thông tin như một ngân hang dữ liệu, chứa những
website đã được thiết kế cùng với những thông tin liên quan khác.
Khái niệm Web Server đơn giản chỉ là một chương trình mà chúng chờ đợi
những u cầu từ phía client và đáp ứng những yêu cầu đó khi nhận được. Web Server
kết nối với các trình duyệt hoặc các client sử dụng giao thức HTTP, là một giao thức đã
được chuẩn hóa các phương thức của các yêu cầu gửi đi và xử lý các yêu cầu đó. Nó
cho phép rất nhiều các client khác nhau kết nối với server cung cấp mà không gặp bất
kỳ trở ngại nào trong vấn đề tương thích.
Web Server có khả năng gửi đến máy khách những trang Web thông qua môi
trường Internet qua giao thức HTTP. HTTP xác định cách thức trình duyệt yêu cầu trang
web từ Web Server cũng như cách thức Web Server gửi trang Web được yêu cầu tới
trình duyệt.
- Web tĩnh: Ban đầu Web Server chỉ phục vụ các tài liệu HTML và hình ảnh đơn
giản. Tuy nhiên, đến thời điểm hiện tại Web Server có thể làm nhiều hơn thế.
Web Browser
1. User yêu cầu tài
liệu Web, như
index.html

4. Web Server trả tài
liệu về cho Brower

Web Server
3. Web Server lấy tìm
tài liệu trên hệ thống
file


2. Web Server tìm tài
liệu trên hệ thống file

File System

Hình 3.1 Sơ đồ hoạt động của Web tĩnh
- Web động: Một trong các nội dung động cơ bản là các trang web được chế tạo
ra để đáp ứng các dữ liệu nhập vào của người dùng trực tiếp hay gián tiếp.

Web Browser
4. Web Server
chuyển các thông tin
xuất hiện ra từ
chương trình CGI về
cho browser

1. User yêu cầu
chương trình CGI
phục vụ 1 trang động

Web Server
2. Web Server gọi
chương trình
webstore.cgi và gửi
đến chương trình các
tham số mà browser
yêu cầu

7
File System


3. Web Server nhận
các thông tin xuất ra
từ chương trình
webstore.cgi


Hình 3.2 Sơ đồ hoạt động của Web động

8


b. Giới thiệu dịch vụ IIS
IIS là dịch vụ thông tin Internet do Microsoft phát triển chạy trên các hệ điều
hành Windown Server. Nó cung cấp nhiều dịch vụ khác nhau như Web Server, FTP
Server,… Nó có thể sử dụng để xuất bản nội dung của các trang Web lên
Internet/Intranet bằng việc sử dụng HTTP.
Nhiệm vụ của IIS là tiếp nhận yêu cầu của máy trạm và đáp lại yêu cầu đó bằng
cách gửi về máy trạm những thơng tin máy trạm yêu cầu.
1.2.4.4. Dịch vụ truyền file FTP
- Là giao thức truyền file. Giao thức này được xây dựng dựa trên chuẩn TCP. FTP
cung cấp cơ chế truyền tin dưới dạng cập nhật tin (file) thông qua mạng TCP/IP. FTP là
một dịch vụ đặc biệt sử dụng 2 cổng: Cổng 20 dùng để truyền dữ liệu (dât port) và cổng
21 dùng để truyền lệnh (command port). Để truyền tải dữ liệu giữa các máy giao thức
FTP sử dụng hai cơ chế truyền: Truyền chủ động (Active) và cơ chế truyền bị động
(Passive).
- Chương trình FTP Client: Là chương trình giao tiếp với FTP Server, hầu hết các
hệ điều hành đều hỗ trợ FTP Client, để mở kết nối tới FTP Server ta dùng lệnh
#ftp<ftp_address>. Để thiets lập một phiên giao dịch, ta cần phải có địa chỉ IP, một tài
khoản. Username mà FTP hỗ trợ sẵn cho người dùng để mở một giao dịch FTP có tên là

anonymous với password rỗng.
1.2.4.5. Dịch vụ Mail
Thư điện tử là một hệ thống chuyển nhận thư từ qua các mạng máy tính. Thư điện
tử là một phương tiện thông tin nhanh nhất. Một mẫu thơng tin có thể được gửi đi ở
dạng mã hóa hay dạng thơng thường và được chuyển qua các mạng máy tính đặc biệt là
mạng Internet. Email có thể chuyển mẫu thông tin từ một máy nguồn tới một hay nhiều
máy nhận cùng một lúc.
Đây là một dịch vụ phổ biến nhất trên Internet trước khi World Wide Web ra đời,
thông qua dịch vụ này, người sử dụng trên mạng có thể trao đổi các thơng báo cho nhau
trên phạm vi thế giới. Đây là một dịch vụ mà hầu hết các mạng diện rộng đều cài đặt và
cũng là dịch vụ cơ bản nhất của một mạng khi gia nhập Internet. Nhiều người sử dụng
máy tính tham gia mạng chỉ đùng duy nhất dịch vụ này.
Một hệ thống Email thường gồm 3 thành phần chính:
Giao tiếp người dung (user agent): chương trình giao tiếp người dung cho phép
đọc, hồi âm, gửi, lưu trữ và soạn thảo thư.

9


Máy chủ thư (mail server): máy chủ phục vụ thư là thành phần cốt lõi trong hệ
thống Email. Mỗi người có một hộp thư đặt trên mail server. Hộp thư Bob quản lý, lưu
giữ các thư gửi tới Bob.
Giao thức gửi nhận thư: POP3, SMTP, IMAP.

10


Chương 2
Dịch vụ thư mục (Active Directory)


2.1. Active Directory Domain Control
2.1.1. Giới thiệu Active Directory

Trước hết chúng ta hãy đi tìm hiểu xem Active Directory là gì. Active Directory
là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft,
nó là một phần khơng thể thiếu trong kiến trúc Windows. Giống như các dịch vụ thư
mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory là một hệ
thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng,
bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục
khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối
mạng được phân bổ theo một kiểu nào đó.
Active Directory có thể được coi là một điểm phát triển mới so với Windows
2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, trở
thành một phần quan trọng của hệ điều hành. Windows Server 2003 Active Directory
cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong
một mạng, gồm có user, groups, computer, printer, policy và permission.
2.1.2. Khái niệm

Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là
đối tượng) cũng như các thơng tin liên quan đến các đối tượng đó. Active Directory
cung cấp một mức độ ứng dụng mới cho mơi trường xí nghiệp. Dịch vụ xí thư mục
trong mỗi domain có thể lưu trữ hơn 10 triệu đối tượng, đủ để phục vụ 10 triệu người
dùng trong mỗi domain.
2.1.3. Chức năng

- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương
ứng và các tài khoản máy tính.
- Cung cấp một Sever đóng vai trò chứng thực (Authentication Sever) hoặc Sever
quản lý đăng nhập (Logon Sever), Sever này còn gọi là máy chủ điều khiển vùng.
- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục giúp các máy tính trong

mạng có thể dị tìm nhanh một tài ngun nào đó trên các máy tính khác trong vùng.
- Cho phép chúng tạo ra những tài khoản người dùng với những mức độ quyền
khác nhau như: Tồn quyền trên hệ thống mạng, chỉ có quyền sao lưu dữ liệu hay tắt
Sever từ xa…
- Cho phép chúng ta chia nhỏ miền của mình ra các miền con (subdomain) hay
các đơn vị tổ chức (OU – Organizational Unit). Sau đó chúng ta có thể ủy quyền cho
các quản trị viên bộ phận quản lý từng bộ phận nhỏ.
11


12


2.2. Child Domain
Child domain là kỹ thuật ủy thác quyền quản trị cho các chi nhánh. Tùy theo mức
độ mà người ta lựa chọn phương thức khác nhau. Đối với Child Domain thì chúng ta có
thể ủy thác hồn tồn quyền quản trị một site đến một chi nhánh một các độc lập.

2.3. Server đồng hành
DC là máy tính điều khiển mọi hoạt động của mạng nếu máy này có sự cố thì
tồn bộ hệ thống mạng bị tê liệt. do tính năng quang trọng này nên trong một hệ thống
mạng ta thường xây dựng ít nhất hai máy DC, hai máy này có vai trị ngang nhau, cùng
nhau tham gia chứng thực người dung.
Như chúng ta đã biết, công việc chứng thực đăng nhập thường được thực hiện
vào đầu giờ mỗi buổi làm việc, nếu mạng chỉ có một máy điểu khiển dung và 10,000
máy trạm thì chuyện gì xảy ra vào buổi sang. Để giải quyết trường hợp trên, Microsoft
cho phép các máy này điểu khiển các vùng trong mạng cùng nhau hoạt động đồng thời,
chia sẻ công việc của nhau, khi có một máy bị sự cố thì các máy cịn lại đảm nhiệm ln
cơng việc của máy này. Do đó trong tài liệu này ta gọi các máy này là các máy điểu
khiển vùng đồng hành. Nhưng khi khảo sát sâu về Active Directory thì máy điểu khiển

vùng được tạo đầu tiên vẫn có vai trị đặc biệt hơn đó là FSMO (flexible single master
of operations).
Chú ý để đảm bảo các máy điểu khiển vùng này hoạt động chính xác thì chúng
phải liên lạc và trao đổi thơng tin với nhau khi có các thay đổi về thông tin người dung
như: Tạo mới tài khoản, đổi mật khẩu, xóa tài khoản. việc trao đổi thơng tin này gọi là
Active Directory Replication. Đặc biệt các server Active Directory cho phép nén dữ liệu
trước khi gửi đến các server khác, tỉ lệ nén đến 10:1, do đó chúng có thể truyền trên các
đường truyền WAN.

2.4. Read Only Domain Control (RODC)
Read-Only Domain Controllers (RODCs) là một dạng mới của domain controller
trong Windows Server 2008. Cùng với RODCs, các tổ chức có thể dễ dàng triển khai
một domain controller tại vị trí mà bảo mật thơng thường khơng thể đảm bảo.
Mục đích chính của RODC là để củng cố an ninh trong các văn phòng chi nhánh.
Ở các văn phòng chi nhánh thường khó để có được sự giúp đỡ cho những vấn đề cơ sở
hạ tầng IT, đặc biệt là Domain Controllers chứa những dữ liệu nhạy cảm. Thông thường
một DC có thể tìm thấy trong một văn phịng. Nếu người nào đó có thể truy cập vật lý
vào DC, khơng khó để tác động và hệ thống à có thể truy cập dữ liệu. RODC có thể giải
quyết những vấn đề này.
13


Những yếu tố cần thiết cho RODC là:
* Read-Only Domain Controller
* Administrative Role Separation
* Credential Caching
* Read-Only DNS
RODC chứa những bản copy không cho phép ghi và không cho phép đọc của cơ s
ở dữ liệu của cơ sở dữ liệu của Active Directory với tất cả những thuộc tính và đối
tượng. RODC chỉ hỗ trợ những bản sao đơn hướng, những thay đổi của Active

Directory, có nghĩa là RODC luôn sao chép trực tiếp với Domain Controllers tại vị trí
HUB.
RODC sẽ thực hiện việc sao chép thơng thường hướng đến từ vị trí HUB cho
những thay đổi của Active Directory và DFS. RODC sẽ nhận bất kì thứ gì đến từ Active
Directory nhưng những thông tin nhạy cảm, bằng những tài khoản mặc định như
Domain Admins, Enterprise Admins và Schema Admins đều được loại ra khỏi việc sao
chép RODC.
Nếu một bản sao chép cần viết truy cập đến Active Directory, RODC gơi một
phản hồi chuyển đến LDAP tự động đưa ứng dụng đến một Domain Controller cho
phép ghi, tại vị trí HUB chính. RODC này cũng có thể chạy Global Catalog Role để
đăng nhập nhanh hơn nếu ai cần.
Như vậy, nếu có người có thể crack mật mã trên tài khoản người dùng ở AD,
nhưng không phải tất cả các tài khoản nhạy cảm bởi vì chúng khơng tồn tại trên RODC.

14


Chương 3
CẤU HÌNH VÀ CÀI ĐẶT

3.1. Active Directory Domain Control
- Kích hoạt Roles: Vào Server Manager  Roles  Add Roles  Next.

- Tích chọn vào Active Directory Domain Service để kích hoạt dịch vụ. Chọn
Next.

15


- Thông tin về Server Role, chọn Next để tiếp tục.


- Kích hoạt Install để cài đặt dịch vụ.

- Quá trình cài đặt.

16


- Sau khi cài đặt thành công,chọn Close để kết thúc quá trình cài đặt dịch vụ
Active Directory.

- Tiếp theo quá trình xây dựng dịch vụ vùng ADDS: Vào Cmd  gõ lệnh
dcpromo. Xuất hiện bảng cài đặt, chọn Next. Trong cửa sổ Operating System
Compatibility, ta sẽ được cảnh báo các máy trạm là Windows NT, non – Microsoft SMB
gặp một số vấn đề với thuật tốn mã hóa, chọn Next.

17


18


19


- Trong cửa sổ tiếp theo, chọn Create a new domain in a new forest (vì đang xây
dựng một miền mới trong một rừng mới). Chọn Next.

- Tiếp theo, nhập tên miền mới vào trong hộp FQDN of the forest root domain. Ví
dụ: thao.com.


20


- Hộp thoại NetBIOS Domain Name, yêu cầu cho biết tên Domain theo chuẩn
BIOS để tương thích với các máy Windows. Theo mặc định, tên Domain BIOS giống
phần đầu của tên Full DNS (ví dụ: thao), ta có thể đổi sang tên khác hoặc chấp nhận tên
mặc định. Chọn Next để tiếp tục.

- Trong trang Set Forest Functional Level, chọn Windows Server 2008, chọn Next
để tiếp tục.

21


- Trong Additional Domain Controller Options chọn DNS server, tùy chọn Global
catalog được chọn mặc định vì ở đây là một DC trong miền thao.com, tùy chọn RODC
mặc định không được chọn vì ta chưa xây dựng Domain chính trong miền.

- Một hộp thoại xuất hiện nói rằng khơng thể tạo đại biểu cho DNS này vì khơng
thể tìm thấy vùng xác thực hoặc nó khơng chạy Windows DNS server. Lý do vì đây là
DC đầu tiên trong mạng, chọn Yes. Nhấn Next để tiếp tục.
- Hộp thoại Locations of Database, Log file and SYSVOL cho phép ta chỉ định vị
trí lưu trữ database Active Directory và các tập tin log. Ta có thể chỉ định vị trí khác
hoặc chấp nhận giá trị mặc định. Tuy nhiên theo khuyến cáo của các nhà quản trị mạng
thì chúng ta nên đặt tập tin chứa thông tin giao dịch ở đĩa cứng vật lý khác với đĩa cứng
chứa cơ sở dữ liệu của Active Directory nhằm tăng hiệu năng của hệ thống. Đối với vị
trị của thư mục SYSVOL phải nằm trên một phân vùng NTFS. Tất cả dữ liệu đặt trong
thư mục SYSVOL này sẽ được tự động sao chép sang tất cả các DC khác trong miền. Ta
có thể chấp nhận giá trị mặc định hoặc chỉ định vị trí khác, sau đó chọn Next để tiếp tục.


22


- Trong hộp thoại Directory Services Restore Mode Addministrator Password, chỉ
định mật khẩu dung trong trường hợp Server phải khởi động vào chế độ phục hồi dữ
liệu cho Active Directory. Chọn Next để tiếp tục.

- Sau đó hộp thoại Summary xuất hiện, trình bày tất cả các thơng tin đã chọn. Nếu
tất cả đều chính xác, chọn Next để bắt đầu thực hiện q trình cài đặt, nếu có thơng tin
khơng chính xác thì chọn Back để quay lại các bước trước đó.

23


- Active Directory sẽ tiến hành quá trình cài đặt.

Gia nhập máy trạm vào vùng:
- Thiết lập Network Adapter, lựa chọn Switch ảo (VMnet 2) cho máy chủ và máy
trạm.
- Đặt địa chỉ IP tĩnh cho máy chủ.

24


- Đặt đại chỉ IP tĩnh cho máy trạm.

- Trên máy trạm:
+ Nhấn chuột phải Computer  Properties  Computer Name.


25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×