Cài đặt và cấu hình Active Directory - Phần 1
Mặc định, tất cả các máy Windows Server 2003 khi mới cài đặt đều là server độc lập
(standolone server). Chương trình DCPROMO chính là Active Directory Installion Wizard
và được dùng để nâng cấp một máy không phải là Domain Controller (Server Standolone)
thành một máy Domain Controller.

1/- Nâng cấp Sever thành Domain Controller :
1.1/- Giới thiệu :

Một khái niệm không thay đổi từ Winodws NT 4.0 là domain. Một domain vẫn còn là
trung tâm của mạng Windows 2000 và Windows 2003, tuy nhiên lại được thiết lập khác đi.
Các máy điều khiển vùng (domain controller) khơng cịn phân biệt PDC (Primary Domain
Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉ còn là
Domain Controller.
Mặc định, tất cả các máy Windows Server 2003 khi mới cài đặt đều là server độc lập
(standolone server). Chương trình DCPROMO chính là Active Directory Installion Wizard
và được dùng để nâng cấp một máy không phải là Domain Controller (Server Standolone)
thành một máy Domain Controller và ngược lại hạ một máy Domain Controller thành một
Server bình thường. Chú ý đối với Windows Server 2003 thì bạn có thể tên máy tính khi đã
nâng cấp thành Domain Controller.
Trước khi nâng cấp Server thành Domain Controller, bạn cần khai báo đầy đủ các thông số
TCP/IP, đặc biệt là phải khai báo DNS Server có địa chỉ chính là IP của server cần nâng
cấp. Nếu bạn có khả năng cấu hình dịch vụ DNS thì bạn nên cài đặt dịch vụ này trước khi
nâng cấp server, còn ngược lại thì bạn chọn cài đặt DNS tự động trong quá trình nâng cấp.
Có 2 cách để bạn chọn cài đặt chương trình Active Directory Installation Wizard :
Dùng tiện ích Manage Your Server trong Administrator Tools (như hình bên dưới) hoặc
nhấp chuột vào Start --> gõ lệnh DCPROMO.


Hình 12.1 : Tiện ích Manage Your Server.
1.2/- Các bước cài đặt :

(1) Chọn Start --> Run, nhập DCPROMO trong hộp thoại Run --> bấm OK. Xuất hiện hộp
thoại :

Hình 13.1 : Hộp hội thoại Directory Installation Wizard.


(2) Chọn Next, xuất hiện hộp hội thoại cảnh báo DOS, Windows 95 và WinNT SP3 trở về
trước sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server 2003.

Hình 13.2 : Cảnh báo các hệ điều hành khơng tương thích.
(3) Chọn Next, xuất hiện hộp hội thoại :


Hình 13.3 : Kiểu Domain Controller.
(4) Chọn mục Domain Controller for a New Domain --> Next, xuất hiện hộp hội thoại :
Nếu bạn muốn bổ sung máy điều khiển vùng vào một Domain có sẵn, bạn chọn Addition
domain controller for an existing domain.

Hình 13.4 : Tạo miền mới.
* Ý nghĩa các mục chọn :
- Domain in new forest nếu muốn tạo domain đầu tiên trong một rừng mới.
- Child domain in an existing domain tree nếu muốn tạo ra một domain con dựa trên một
cây domain có sẵn.
- Domain tree in an existing forest nếu muốn tạo ra một cây domain mới trong một rừng đã
có sẵn.
(5) Chọn Domain in new forest --> Chọn Next, xuất hiện hộp hội thoại :


Hình 13.5 : Đặt tên cho miền mới.

(6) Nhập tên DNS đầy đủ của Domain mà bạn cần xây dựng. Ví dụ thuvien-it.net --> Chọn
Next, xuất hiện hộp hội thoại :

Hình 13.6 : Đặt tên cho NetBIOS.


(7) Nhập tên Domain theo chuẩn NetBIOS để tương thích với các máy WinNT. Mặc định,
tên Domain NetBIOS giống phần đầu của tên FullDNS, bạn có thể đổi sang tên khác hoặc
chấp nhận giá trị mặc định --> Chọn Next, xuất hiện hộp hội thoại :

Hình 13.7 : Chọn đường dẫn lưu database của AD.
Còn tiếp

Về đầu trang
Cài đặt và cấu hình Active Directory - Phần 3
Bạn chỉ định vị trí lưu trữ database Active Directory và các tập tin log. Tuy nhiên, bạn
nên đặt tập tin chức thông tin giao dịch (transaction log) ở một đĩa cứng vật lý khác với đĩa
cứng chứa cơ sở dữ liệu của Active Directory nhằm tăng hiệu năng của hệ thống.

(8) Bạn chỉ định vị trí lưu trữ database Active Directory và các tập tin log. Tuy nhiên, bạn
nên đặt tập tin chức thông tin giao dịch (transaction log) ở một đĩa cứng vật lý khác với đĩa
cứng chứa cơ sở dữ liệu của Active Directory nhằm tăng hiệu năng của hệ thống --> Chọn
Next, xuất hiện hộp hội thoại :


Hình 13.8 : Chọn đường dẫn lưu SYSVOL.
Bạn chỉ định vị trí của thư mục SYSVOL. Thư mục này phải nằm trên một NTFS5
Volume. Tất cả dữ liệu đặt trong thư mục Sysvol này sẽ đựơc tự động sao chép sang các
Domain Controller khác trong miền. Bạn có thể chấp nhận giá trị mặc định hoặc chỉ định
vị trí khác.

(9) Chọn Next, xuất hiện hộp hội thoại :


Hình 13.9 : Cài đặt và cấu hình dịch vụ DNS.
(10) DNS là dịch vụ phân giải tên kết hợp với Active Directory để phân giải tên các máy
tính trong miền. Do đó để hệ thống Active Directory hoạt động được thì trong miền phải
có ít nhất một DNS Server phân giải miền mà chúng ta cần thiết lập. Chọn dòng thứ hai -->
Chọn Next, xuất hiện hộp hội thoại :


Hình 13.10 : Hệ thống tương thích với các hệ điều hành khác.
Dòng Permissions Compartible with pre-Windows 2000 Server khi hệ thống có các server
phiên bản trước Windows 2000.
(11) Chọn dòng Permissions compartible only with Windows Servers 2000 or Windows
Servers 2003 --> Chọn Next, xuất hiện hộp hội thoại :

Hình 13.11 : Nhập mật khẩu.
(12) Nhập mật khẩu dùng trong trường hợp Server phải khởi động ở chế độ Directory
Services Restore Mode. Chọn Next, xuất hiện hộp hội thoại :


Hình 13.12 : Hiển thị thơng tin đã chọn.
(13)Hiển thị tất cả các thông tin bạn đã chọn. Nết tất cả đều chính xác, chọn Next để bắt
đầu thực hiện quá trình cài đặt, ngược lại bạn chọn Back để quay lại các bước trước đó,
xuất hiện hộp hội thoại :

Hình 13.13 : Cài đặt, cấu hình AD.
Bạn chuẩn bị đĩa source Windows Server 2003 để tiến hành sao chép các tập tin nếu khơng
tìm thấy.



(14) Sau khi quá trình cài đặt kết thúc, xuất hiện hộp hội thoại :

Hình 13.14 : Hồn tất việc cài đặt và cấu hình AD.
(15) Chọn Finish, xuất hiện hộp hội thoại :

Hình 13.15 : Khởi động lại hệ thống để cập nhật thông tin của AD.


(16) Chọn Restart Now để các thông tin cài đặt có hiệu lực, hồn tất q trình nâng cấp kết
thúc.
Cài đặt và cấu hình Active Directory - Phần 4
Một máy trạm gia nhập vào một domain là việc tạo ra một mối liên hệ tin cậy (trust
relationship) giữa máy trạm đó với các máy Domain Controller trong vùng.

2/- Gia nhập máy trạm vào Domain :
2.1/- Giới thiệu :

Một máy trạm gia nhập vào một domain là việc tạo ra một mối liên hệ tin cậy (trust
relationship) giữa máy trạm đó với các máy Domain Controller trong vùng.
Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thực người dùng logon vào mạng trên
máy này sẽ do các máy điều khiển vùng đảm nhiệm. nhưng chú ý viêc gia nhập một máy
trạm vào miền phải có sự đồng ý của người quản trị mạng cấp miền và quản trị viên cục bộ
trên máy trạm đó. Nói cách khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải
đăng nhập cục bộ vào máy trạm với vai trò administrator, sau đó gia nhập vào miền, hệ
thống sẽ yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add
Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp miền).
2.2/- Các bước cài đặt :

Giả sử cấu hình TCP/IP đã được thiết lập khi nâng cấp server thành Domain Controller

như sau :


Hình 15.1 : Cấu hình TCP/IP trên máy chủ.
Đăng nhập cục bộ vào máy trạm với vai trò người quản trị (có thể dùng trực tiếp tài khoản
administrator).
Cấu hình địa chỉ TCP/IP trên máy trạm :


Hình 15.2 : Cấu hình TCP/IP trên máy trạm.
Click phải chuột trên biểu tượng My Computer trên desktop, chọn Properties, xấut hiện
hộp hội thoại :


Hình 15.3 : Hộp thoại System Properties.
Chọn Tab Computer Name --> chọn Change, xuất hiện hộp hội thoại :


Hình 15.4 : Hộp hội thoại Computer Name Changes.
Tại mục Member of domain, bạn nhập tên miền của mạng cần gia nhập. Ví dụ thuvienit.net . Chọn OK, xuất hiện hộp hội thoại :


Hình 15.5 : Nhập tài khoản quản trị miền.
Máy trạm dựa trên tên miền mà bạn đã khai báo để tìm đến Domain Controller gần nhất và
xin gia nhập vào mạng, server sẽ yêu cầu bạn xác thực với một tài khoản người dùng cấp
miền có quyền quản trị. Sau khi nhập tài khoản quản trị miền, chọn OK, xuất hiện hộp hội
thoại :

Hình 15.6 : Bạn đã gia nhập thành công vào miền thuvien-it.net.
Chọn OK, xuất hiện hộp hội thoại :



Hình 15.7 : Khởi động lại máy để việc gia nhập miền có hiệu lực.
Chọn OK, xuất hiện hộp hội thoại :

Hình 15.8 : Hộp hội thoại System Properties sau khi gia nhập miền.
Chọn OK. Sau khi xác thực chính xác và hệ thống chấp nhận máy trạm này gia nhập vào
miền thì hệ thống xuất hiện thơng báo thành công và yêu cầu bạn reboot lại máy lại để
đăng nhập vào mạng.


Hình 15.9 : Hồn tất việc gia nhập máy trạm vào domain.
Chọn Yes để khởi động lại máy và hoàn tất việc gia nhập máy trạm vào domain.
Sau khi khởi động lại máy, bạn thấy hộp thoại Log on to Windows mà bạn dùng mỗi ngày
có vài điều khác, đó là xuất hiện thêm mục Log on to và cho phép bạn chọn một trong hai
phần là : THUVIEN-IT, this Computer. Bạn chọn mục THUVIEN-IT khi bạn muốn đăng
nhập vào miền, nhớ rằng lúc này bạn phải dùng tài khoản người dùng cấp miền. Bạn chọn
mục This Computer khi bạn muốn logon cục bộ vào máy trạm này và nhớ là dùng tài
khoản cục bộ của máy.
Cài đặt và cấu hình Active Directory - Phần 5
Domain Controller là máy tính điều khiển mọi hoạt động của mạng nếu máy này có sự
cố thì tồn bộ hệ thống mạng bị tê liệt.

3/- Xây dựng các Domain Controller đồng hành :
3.1/- Giới thiệu :

Domain Controller là máy tính điều khiển mọi hoạt động của mạng nếu máy này có sự cố
thì tồn bộ hệ thống mạng bị tê liệt. Do tính năng quan trọng này nên trong một hệ thống
mạng thông thường chúng ta phải xây dựng ít nhất hai máy tính Domain Controller. Như
đã trình bày ở trên Windows Server 2003 khơng cịn phân biệt máy Primary Domain

Controller và Backup Domain Controller nữa mà nó xem hai máy này có vai trò ngang
nhau, cùng nhau tham gia chứng thực người dùng. Như chúng ta đã biết, công vịêc chứng
thực đăng nhập thường được thực hiện vào đầu mỗi buổi làm việc, nếu mạng của bạn chỉ
có một máy điều khiển vùng và 10.000 nhân viên thì chuyện gì sẽ xảy ra vào mỗi buổi
sáng ? Để giải quyết trường hợp trên, Microsoft cho phép các máy điều khiển vùng trong
mạng cùng nhau hoạt động đồng thời, chia sẻ công việc của nhau, khi có một máy bị sự cố
thì các máy cịn lại đảm nhiệm ln cơng việc máy này, ta gọi các máy này là các máy điều
khiển vùng đồng hành. Nhưng khi khảo sát sâu về Active Directory thì máy điều khiển
vùng đầu tiên vẫn có vai trị đặc biệt hơn đó là FSMO (flexible single master of
operations).
Chú ý để đảm bảo các máy điều khiển vùng này hoạt động chính xác thì chúng phải liên
lạc và trao đổi thơng tin với nhau khi có các thay đổi về thông tin người dùng như : tạo mới
tài khoản, đổi mật khẩu, xố tài khoản. Việc trao đổi thơng tin này gọi là Active Directory


Replication. Đặc biệt các server Active Directory cho phép nén dữ liệu trước khi gởi đến
các server khác, tỉ lệ nén đến 10:1, do đó chúng có thể truyền trên các đường truyền WAN
chậm chạp.
Trong hệ thống mạng máy tính của chúng ta nếu tất cả các máy điều khiển vùng đều là
Windows Server 2003 thì chúng ta nên chuyển miền trong mạng sang cấp độ hoạt động
Windows Server 2003 (Windows Server 2003 functional level) để khai thác hết các tính
năng của Active Directory.
4.2/- Các bước cài đặt :

Cấu hình TCP/IP trên máy chủ đồng hành như sau :

Hình 16.1 : Cấu hình TCP/IP trên máy chủ đồng hành.
Chọn menu Start --> Run, nhập DCPROMO --> bấm Enter, xuất hiện hộp hội thoại :



Hình 16.2 : Hộp hội thoại Active Directory Installation Wizard.
Chọn Next, xuất hiện hộp hội thoại cảnh báo : DOS, Windows 95 và WinNT SP3 trở về
trước sẽ bị loại ra khỏi miền Active Directory (AD) dựa trên Windows Server 2003.

Hình 16.3 : Cảnh báo các hệ điều hành khơng tương thích.


Chọn Next, xuất hiện hộp hội thoại :

Hình 16.4 : Bổ sung DC trên miền có sẵn.
Chọn mục Additional domain controller for an existing domain --> chọn Next, xuất hiện
hộp hội thoại :


Hình 16.5 : Xác thực quyền quản trị.
Nhập tài khoản người dùng có quyền quản trị cấp miền --> chọn Next, xuất hiện hộp hội
thoại :

Hình 16.6 : Nhập tên miền đã có sẵn.
Nhập tên miền đã có sẵn, ví dụ thuvien-it.net chẳng hạn --> chọn Next, và tiếp tục quá
trình cài đặt tương tự như quá trình nâng cấp Server thành DC.
Bạn khởi động lại máy tính để hồn tất việc xây dựng một DC mới và đồng bộ dữ liệu AD
giữa hai DC.
Bạn kiểm tra lại bằng cách khởi động Active Diectory Users and Computers, chọn và mở
mục Domain Controllers, sẽ xuất hiện tên của 2 DC là Server và Server2 đồng thời đồng
bộ dữ liệu AD giữa hai DC này. Ví dụ OU Phịng Kinh Doanh đã được đồng bộ.


Hình 16.13 : Đồng bộ AD giữa 2 DC.
4/- Xây dựng Subdomain :

Sau khi bạn đã xây dựng Domain Controller đầu tiên quản lý miền, lúc ấy Domain
Controller này là một gốc của rừng hoặc Domain Tree đầu tiên, từ đây bạn có thể tạo thêm
các subdomain cho hệ thống. Để tạo thêm một Domain Controller cho một subdomain bạn
làm các bước sau :
Tại member server, bạn cũng chạy chương trình Active Directory Installation Wizard, các
bước đầu bạn cũng chọn tương tự như phần nâng cấp phía trên.
Trong hộp thoại Domain Controller Tree, chọn mục Domain Controller for a New Domain
và nhấn chọn Next. (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẳn,
bạn sẽ chọn Additional Domain Controller for an existing domain).
Đến đây, chương trình cho phép bạn chọn một trong ba lựa chọn :
- Chọn Domain in new forest nếu bạn muốn tạo domain đầu tiên trong một rừng mới.
- Chọn Child domain in an existing domain tree nếu bạn muốn tạo ra một domain con dựa
trên một cây domain có sẵn.
- Chọn Domain tree in an existing forest nếu bạn muốn tạo ra một cây domain mới trong
một rừng đã có sẵn.
Trong trường hợp này bạn cần tạo mới Domain Controller cho một Child Domain, nên bạn
đánh dấu vào mục lựa chọn thứ hai.


Để tạo child domain trong một domain tree có sẳn, hệ thống yêu cầu bạn phải xác nhận bạn
là người quản trị cấp domain tree. Trong hộp thọai này bạn nhập tài khoản và mật khẩu của
người quản trị cấp rừng và tên của domain tree hiện tại.
Tiếp theo bạn nhập tên của domain tree hiện đang có và tên của child domain cần tạo.
Các quá trình tiếp theo tương tự như quá trình tạo Domain Controller của phần trên.
Cuối cùng bạn có thể kiểm tra cây DNS của hệ thống trên server quản lý gốc rừng có tạo
thêm một child domain khơng, đồng thời bạn có thể cấu hình thêm chi dịch vụ DNS nhằm
phục vụ tốt hơn cho hệ thống.
Còn tiếp

Về đầu trang

5/- Xây dựng Organizational Unit (OU) :
Organizational Unit (OU) là một nhóm tài khoản người dùng, máy tính và tài nguyên mạng
được tạo ra nhằm mục đích dễ dàng quản lý hơn và ủy quyền cho các quản trị viên địa
phương giải quyết các công việc đơn giản. Đặc biệt hơn là thông qua OU chúng ta có thể
áp đặt các giới hạn phần mềm và giới hạn phần cứng thông qua các Group Policy. Muốn
xây dựng một OU bạn thực hiện các bước sau :
Chọn menu Start --> Programs --> Administrator Tools --> Active Directory User and
Computer (ADUC) hoặc Start --> Run, nhập vào dsa.msc, nhấn Enter để khởi động
ADUC, xuất hiện hộp hội thoại :