Active Directory Mạng máy tính
Cài đặt một máy chủ Domain Controller cho một Domain
Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò quản lý dữ
liệu người dùng, máy tính, groups, và các chính sách cũng như rất nhiều thông tin khác.
Để triển khai hệ thống Active Directory chuẩn, tránh các sự cố liên quan là điều cần
thiết. Sau đây tôi sẽ trình bày từ cài đặt 1 máy chủ Domain Controller cho một Domain
tới cài thêm một máy chủ DC khác cho Domain đó, bao gồm:
1. Cài đặt Active Directory trên Windows Server 2003
2. Backup Active Directory
3. Cài đặt thêm một máy chủ Active Directory vào một Domain đã có
4. Cài đặt Multiple Domain cho một hệ thống.
a. Cài đặt Active Directory trên một Forest mới.
b. Cài đặt Active Directory trên một domain con
5. Đổi tên Domain
6. Chuyển Master của Domain.
Để có thể cài đặt và cấu hình lên một hệ thống như dưới đây.
1. Cài đặt Active Directory trên Windows Server 2003
1.1 Cài đặt và cấu hình DNS
Khi cài đặt Active Directory trên Windows Server 2003 thì nên cài đặt DNS
trước với các thiết lập chuẩn.
- Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình.
1
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
1
Active Directory Mạng máy tính
- Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu
cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập của
mình vào trong DNS.
a. Đặt địa chỉ IP cho máy chủ - Static IP và DNS vào DNS của chính máy mình.
Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là
192.168.100.11, DNS cũng là 192.168.100.11.

b. Cài đặt và cấu hình DNS
- Vào Start à chọn Administrative Tools à Manage Your Server
- Trong cửa sổ Manage Your Server chọn phần đầu tiên Add or Remove a Role
rồi chọn cài đặt DNS nhấn Next và hệ thống sẽ yêu cầu bạn bộ cài Windows Server
2003 bạn cho đĩa CD hoặc trỏ đường dẫn tới thư mục i386 của bộ cài là OK. Kết thúc
cài đặt
- Tạo Zone trong DNS: Vào Start à Administrative Tools à DNS sẽ xuất hiện cửa
sổ DNS. Trong phần tạo Zone này các bạn sẽ phải tạo dạng Forward Lookup Zone
Dạng Primary Zone.
- Chuột phải vào Forward Lookup zone chọn New Zone.
2
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
2
Active Directory Mạng máy tính
Nhấn Next hệ thống yêu cầu tên Zone cần tạo tôi chọn là vnexperts.net
Sau khi gõ tên đầy đủ của Zone cần tạo ra bạn nhấn Next để thực hiện bước tiếp
tục, chọn Allow Dynamic Update đây là bắt buộc để khi cài đặt Active Directory sẽ tự
động ghi các Record vào DNS
3
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
3
Active Directory Mạng máy tính
Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS. Công việc chưa kết
thúc, ta vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS.
- Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory,
nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên
Zone vừa tạo ra.
4
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
4

Active Directory Mạng máy tính
Chỉnh lại NS Record bằng cách tương tự.
5
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
5
Active Directory Mạng máy tính
Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa.
Ở đây ta tạo ra một Host A record là Server01.vnexperts.net địa chỉ IP là
192.168.100.11.
- Chuột phải vào vnexperts.net Zone chọn Host A record
Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn:
Ping server01.vnexperts.net nếu có reply là ok.
OK hoàn tất quá trình cài đặt và thiết lập DNS chuẩn bị cho việc cài đặt Active
Directory.
1.2 Cài đặt Active Directory trên máy chủ Windows Server 2003
6
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
6
Active Directory Mạng máy tính
Chúng ta có thể vào cửa sổ Manage Your Server chọn Add or Remove a Role để
cài đặt Active Directory nhưng cách mọi người hay sử dụng là vào Run gõ dcpromo.
- Vào Run gõ dcpromo sẽ xuất hiện cửa sổ sau
Các bạn nhấn Next để tiếp tục quá trình cài đặt Active Directory. Vào cửa sổ giới
thiệu tương thích với các Windows của Active Directory.
7
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
7
Active Directory Mạng máy tính
Nhấn Next để tiếp tục, trong cửa sổ này bạn phải lựa chọn giữa hai Options:
- Domain Controller for a New domain: Là thiết lập tạo ra Domain Controller đầu

tiên trong Domain
- Additional domain Controller …: là lựa chọn để cài đặt them một máy chủ DC
vào cho một Domain, với thiết lập Hai hay nhiều DC cho một Domain đáp ứng được
khi một máy chủ bị sự cố xảy ra thì hệ thống vẫn hoạt động bình thường. Ở đây ta chọn
Option: Domain Controller for a New Domain để cài đặt Máy chủ Domain Controller
đầu tiên trên Domain.
8
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
8
Active Directory Mạng máy tính
Sau khi lựa chọn Options trên bạn nhấn Next để tiếp tục quá trình cài đặt.
- Trong cửa sổ tiếp theo này có ba Options vô cùng quan trọng để khi bạn cài đặt
Domain Controller.
- Domain in a new forest: Cài đặt máy chủ Domain Controller đầu tiên trên
Forest sẽ phải lựa chọn thiết lập này ví dụ ở đây ta cài cho domain đầu tiên là:
vnexperts.net phải lựa chọn Options này.
- Child domain in an existing domain tree: Nếu khi ta đã có domain vnexperts.net
mà ta lại muốn cài đặt các domain con bên trong của nó như: mcsa.vnexperts.net, hay
ccna.vnexperts.net thì ta phải lựa chọn Options này.
- Domain tree in an existing forest: Nếu ta muốn tạo một domain khác với tên
vne.vn cùng trong forest vnexperts.net ta sẽ phải lựa chọn Options này
- Cả hai options dưới là việc cài đặt Multiple, cài đặt máy chủ Domain Controller
đầu tiên trong Domain.
9
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
9
Active Directory Mạng máy tính
Lựa chọn Options đầu tiên rồi nhấn Next tiếp tục quá trình cài đặt, Trong bước
này hệ thống yêu cầu bạn là: Máy chủ Domain Controller này quản lý Domain tên là gì
ta gõ vnexperts.net

10
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
10
Active Directory Mạng máy tính
Nhấn Next để tiếp tục, lựa chọn NetBIOS name cho Domain. NetBIOS name
chính là tên của Domain xuất hiện khi client đăng nhập vào hệ thống. Bạn để mặc định
Nhấn Next bạn cần phải lựa chọn nơi chứa thư mục NTDS cho quá trình
Replications của hệ thống Domain Controller:
11
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
11
Active Directory Mạng máy tính
Nhấn Next để tiếp tục, bạn cần phải thiết lập nơi lưu trữ thư mục SYSVOL đây là
thư mục bắt buộc phải để trong Partition định dạng NTFS, với tác dụng chứa các dữ
liệu để Replication cho toàn bộ Domain Controller trong Domain. Nếu mặc định hệ
thống sẽ để tại thư mục %systemroot%\SYSVOL
Nhấn Next để tiếp tục, bước này hệ thống sẽ hiển thị các thông tin về DNS đã
được cấu hình chuẩn chưa và các thông tin về Domain… thể hiện ở hình dưới đây. Nếu
trong bước này mà hệ thống báo lỗi bạn cần phải thực hiện lại các bước trong cài đặt và
thiết lập DNS.
- Ở đây toàn bộ đã thiết lập chuẩn
12
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
12
Active Directory Mạng máy tính
Giờ là bước bạn nhấn Next, và lựa chọn Mode cho Domain.
- Domain Function Level có 4 Mode là
- Mix Mode là Active Directory được tạo ra bởi cả Windows NT Server,
Windows 2000 Server, và Windows 2003 Server. Trong Mode này Active Directory
không có một số tính năng cao cấp của Windows Server 2000, và Windows Server

2003, nhưng bạn sẽ phải buộc cài Mode này khi bạn Joint hệ thống windows 2003 mới
vào hệ thống Windows NT cũ đang hoạt động.
- Native Mode: Active Directory được tạo trên nền tảng Windows Server 2000 và
Windows Server 2003 nên có gần như đầy đủ hết các tính năng cao cấp của Active
Directory
- Interim Mode: được tạo ra bởi Windows NT và Windows Server 2003 tương tự
như Mix Mode
- 2003 Mode: Là mode cao nhất hỗ trợ đầy đủ nhất toàn bộ các tính năng của
Windows Server 2003.
- Ở đây trong bước này ta chọn là mode Native
13
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
13
Active Directory Mạng máy tính
Nhấn Next để tiếp tục quá trình cài đặt, Hệ thống yêu cầu thiết lập Password
trong Restore Mode.
- Khi bạn backup Active Directory là hoàn toàn dễ dàng trong Windows Server
2003 bởi hệ thống sử dụng cơ chế Shadow Backup, cho phép backup cả những dữ liệu,
file, service đang hoạt động.
- Nhưng khi bạn Restore lại sẽ là cả vấn đề, Windows không cho can thiệp vào
File, hay dữ liệu đang được sử dụng, và khi đó bạn phải khởi động hệ thống vào Mode
mà Active Directory không hoạt động thì mới Restore được. Password đặt trong phần
này chính là Password để đăng nhập vào hệ thống khi Restore lại Active Directory.
14
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
14
Active Directory Mạng máy tính
Sau đặt Password bạn nhấn Next hệ thống sẽ cho bạn hiển thị toàn bộ thông tin
như:
- NetBIOS name ở đây là VNEXPERTS

- Folder chứa dữ liệu của Active Directory là NTDS ở đâu
- Tương tự vậy các folder SYSVOL
- Hệ thống sẽ thông báo là Password đăng nhập vào Domain của User
Administrator sẽ tương tự như Password đăng nhập của User Administrator trước khi
cài Active Directory.
15
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
15
Active Directory Mạng máy tính
Nhấn Next bắt đầu tiến hành cài đặt Active Directory
16
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
16
Active Directory Mạng máy tính
Đợi vài phút cho đến khi hệ thống thông báo hoàn thành và yêu cầu khởi động lại
là bạn đã hoàn tất quá trình cài đặt Active Directory trên máy chủ Windows Server
2003.
2. Backup & Restore
2.1 Công nghệ NTBACKUP trong Windows Server 2003.
Backup và Restore là một trong những kiến thức vô cùng quan trọng trong việc
đảm bảo hệ thống hoạt động một cách hiệu quả, và tránh được những sự cố đáng tiếc
xảy ra. Trong Windows Server 2003 có sử dụng một công cụ backup dữ liệu đó là:
ntbackup.
- NTBACKUP trong Windows Server 2003 sử dụng công nghệ backup là
Shadow Copy để backup cả những dữ liệu đang hoạt động như SQL, hay dịch vụ
Active Directory, các file đang chạy hay các folder bị cấm truy cập…
- Nhưng trong Windows có một quy định là không cho can thiệp vào các file hay
dữ liệu đang có một chương trình khác đang hoạt động hay đang sử dụng.
- Và hai điều này có nghĩa là bạn hoàn toàn có thể backup được Active Directory
theo một cách nào đó, nhưng bạn không thể Restore lại được bởi Service này hoạt động

từ lúc hệ thống bắt đầu khởi động. Microsoft đã tính toán đến tình huống này - cách
Backup và Restore dữ liệu của Active Directory.
- Khi backup System State sẽ chứa toàn bộ thông tin của Active Directory.
2.2 Backup và Restore Active Directory trong máy chủ Domain Controllers.
a. Lý thuyết
17
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
17
Active Directory Mạng máy tính
- Phần trên ta đã có một Domain với tên miền là: vnexperts.net có máy chủ
Domain Controller cài dịch vụ Active Directory là dc1.vnexperts.net.
- Step 1: Tạo một OU trong Active Directory với tên MCSA trong OU này tôi tạo
tiếp một User Name là Hoang Tuan Dat.
- Step 2: Backup Active Directory
- Step 3: Xoá OU và User vừa tạo ra
- Step 4: Khôi phục lại dữ liệu Active Directory vừa bị xoá.
b. Triển khai.
Step 1
- Log on vào máy chủ Domain Controller bằng user administrator
- Vào Start à All Programs à Administrative tools à Active Directory Users and
Computers.
Chuột phải vào Active Directory domain vnexperts.net chọn New và
Organizational Unit (OU) với tên MCSA
- Vào trong OU MCSA kick chuột phải chọn New User Account - để tạo một tài
khoản User mới.
- Ở đây ta tạo User tên Hoang Tuan Dat, logon name là tocbatdat
18
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
18
Active Directory Mạng máy tính

Nhấn Next hệ thống yêu cầu gõ Password của user mới tạo ra là gì ta chọn
Password là: Password12!
- Chú ý sau khi cài đặt Active Directory sẽ có một Default Domain Security
Policy yêu cầu bất kỳ một user mới tạo ra đều phải có password nhỏ nhất là 7 ký tự và
phải phức tạp. Nếu bạn muốn chỉnh lại để tạo ra User một cách đơn giản hơn phải chỉnh
lại Default Domain Security Policy này và Local Policy của Máy chủ Domain
Controllers.
- Cách chỉnh Default Domain Security Policy: Vào Startà All Programs à
Administrative tools à Domain Security Policy. Trong Cửa sổ chỉnh Policy bạn chọn
chọn Account Policies à Password Policies. Tiếp đến bạn phải chỉnh hai thông số là
Minimum Password Lengh, và Password must meet complexity Requirements (độ dài
tối thiểu và phải phức tạp) nhấp đúp chuột trái sẽ xuất hiện như hình dưới đây bạn bỏ
dấu Check Box – Define this policy setting – thực hiện với cả hai thiết lập.
19
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
19
Active Directory Mạng máy tính
- Vào Run gõ Gpupdate /force để apply sự thay đổi policy trong domain sau đó
bạn phải chỉnh cả trong Local Policy của máy chủ Domain Controller nữa thì mới tạo
được User ở dạng Password là chống (blank).
- Vào Run gõ gpedit.msc để chỉnh Local Policy cho máy chủ Domain
Controllers. Tương tự chỉnh các thông số trong Password Policy. Lưu ý một điều nếu
bạn chưa bỏ dấu check box trong Domain Policy thì vào Local Policy sẽ không chỉnh
được các thông số này.
- Chỉnh Minimum Password Lengh về 0, và Disable Password must meet
complexity requirements
20
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
20
Active Directory Mạng máy tính

Vào Run gõ Gpupdate /force là OK giờ bạn có thể tạo user với password trắng
Step 2 – Backup Active Directory
- Vào Run gõ ntbackup hệ thống sẽ hiện cửa sổ sau đây
Bạn chọn Advanced Mode (dòng chữ màu xanh) sẽ xuất hiện cửa sổ Backup
Utility à Chọn Tab Backup sẽ được cửa sổ như hình dưới đây.
- Bạn muốn backup Active Directory bạn cần phải Backup System State. Để ý thấy khi
backup System State sẽ bao gồm rất nhiều thông tin: Active Directory, Boot Files,
Registry, SYSVOL…
21
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
21
Active Directory Mạng máy tính
- Sau khi chọn System State, cần phải thiết lập nơi chứa file Backup, ở đây ta
chọn là lưu tại ổ C: và tên file là Backup.bkf
- Nhấn Start Backup để bắt đầu Backup dữ liệu.
Khi nhấn Start Backup hệ thống sẽ bật ra cửa sổ như hình dưới đây bạn chọn
Start Backup để bắt đầu thực hiện backup.
Cửa sổ hiển thị quá trình Backup đang được thực hiện, bạn đợi một lát để hệ
thống hoàn thành công việc
22
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
22
Active Directory Mạng máy tính
Step 3 – Xoá dữ liệu trong Active Directory.
Sau khi hệ thống kết thúc việc Backup System State bạn vào Active Directory
(như cách vào bên trên) chuột phải vào OU MCSA chọn Delete, để xoá dữ liệu trong
Active Directory
Step 4 – Restore Acitve Directory.
Bạn không thể thực hiện Restore để thao tác lên các dữ liệu đang hoạt động, giờ
ta phải khởi động lại máy chủ Domain Controller.

- Trong lúc máy tính đang khởi động nhấn F8 để chọn các Mode của hệ thống
như cách vào Safe Mode
- Trong Menu các Mode ta phải chọn "Directory Service Restore Mode" - Bạn
bắt buộc phải chọn mode này bởi khi bạn lựa chọn Mode này mặc định Service Active
23
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
23
Active Directory Mạng máy tính
Directory sẽ bị tắt và bạn có thể thao tác bằng các tác vụ khác vào dữ liệu của Active
Directory được.
Khi chọn khởi động từ "Directory Service Restore Mode" hệ thống sẽ yêu cầu gõ
User name và Password.
- Ở trên, "cài đặt Active Directory" ta có nói tới một Password lúc cài đặt, đó
chính là password để bạn đăng nhập trong khi Restore lại Active Directory.
Vào được trong môi trường Windows
- Run à ntbackup trong cửa sổ ntbackup chọn tab Restore
- Chọn System State để restore
24
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
24
Active Directory Mạng máy tính
Nhấn Start Restore để hệ thống bắt đầu lấy lại dữ liệu như lúc Backup.
- Dưới đây là cửa sổ hệ thống đang Restore lại System State
Sau khi hệ thống Restore hoàn tất sẽ yêu cầu khởi động lại máy tính.
- Lần này bạn để máy tính khởi động vào bình thường và công việc cuối cùng của
chúng ta là xem lại xem OU MCSA và User Hoang Tuan Dat xem có còn hay không
- Thật may mắn là mọi thứ lại như cũ
25
Nguyễn Thị Thu Huyền K54A - Khoa Công nghệ thông tin - ĐHSPHN
25