năng Re
a
do tại sa
o
Controll
e
Read On
Tuy nhi
ê
Chúng t
a
Microso
f
cũng hỗ
t
miền m
ớ
Controll
e
đó Prim
a
domain
c
những g
ì
Mặc dù
m
trong số
miền. N
h
miền khi

mới cho
Director
y
Dù vẫn
c
controll
e
viên có t
h
rộng cho
Mô hình
trong W
i
Read On
quản trị
v
nâng cấ
p
ghi, sau
đ
L
a
d Only Do
m
o
Microsoft
e
rs nằm ở c
h
ly Domain

C
ê
n nó lại xuấ
t
a
đều biết W
f
t. Cũng giố
n
t
rợ sử dụng
m
ớ
i có khả nă
n
e
r hay PDC,
a
ry domain
c
c
ontroller k
h
ì
mà chúng
đ
m
ô hình mi
ề
các nhược

đ
h
ư những gì
họ phát hà
n
các domain
y
và multi
m
c
ó những va
i
e
r t
r
ong mô
h
h
ể sử dụng
m
tất cả các d
o
multi mast
e
i
ndows Serv
ly Domain
C
v
iên không

t
p
các domai
n
đ
ó cho phép
L
àm việc
v

T
M
C

G
T
n
m
ain Contro
l
lại làm như
h
ỗ nào.
C
ontroller (
h
t
hiện trở lạ
i
indows NT

l
n
g như các
h
m
iền. Tuy
n
n
g ghi. Dom
a
là một dom
c
ontroller sẽ
h
ác này đượ
c
đ
ược nâng c
ấ
ề
n này làm v
i
đ
iểm đó là v
ấ
bạn có thể
b
n
h Windows
controller,

c
m
aster domai
n
i
t
r
ò của PD
C
h
ình multi
m
m
ột nâng cấ
p
o
main contr
e
r do
m
ain đ
ư
er 2008. M
ặ
C
ontroller.
R
t
hể cập nhật
n

controller l
thay đổi đó
v
ới Rea
d
T
rong bài n
à
M
icrosoft lạ
i
C
ontrollers
v
G
iới thiệu
T
rong Wind
o
n
ăng mà ch
ú
l
lers. Trong
vậy và ưu đ
i
h
ay được vi
ế
i

trong Win
d
l
à hệ điều h
à
h
ệ điều hàn
h
n
hiên có nh
ữ
a
in controll
e
ain controll
e
cập nhật ch
o
c
coi như m
ộ
ấ
p bởi prim
a
i
ệc khá tốt
n
ấ
n đề với pr
i

b
iết, Micros
o
2000 Serve
r
c
ả hai đều v
ẫ
n
(mô hình
đ
C
và một số
m
aster domai
p
cho bất c
ứ
oller khác t
r
ư
ợc giữ lại t
r
ặ
c
d
ù vậy,
W
R
ODC là cá

c
trực tiếp cơ
à sử dụng
m
nhân rộng
đ
d
Only D
o
à
y chúng tôi
i
đưa trở lại
v
à tầm quan
o
ws Server
2
ú
ng ta khôn
g
bài viết này
i
ểm trong v
i
ế
t tắt là RO
D
d
ows Server

à
nh máy ch
ủ
h
máy chủ
W
ữ
ng khác biệ
t
e
r này được
b
e
r mà quản
t
o
các domai
n
ộ
t backup d
o
a
ry domain
c
n
hưng nó cũ
n
i
mary doma
i

o
ft đã giới t
h
r
. Windows
ẫ
n được sử
d
đ
a miền chủ
vai t
r
ò đặc
b
n đều có th
ể
ứ
domain co
n
r
ong miền.
r
ong Windo
w
W
indows Ser
v
c
bộ điều kh
i

sở dữ liệu
A
m
ột sự thay
đ
đ
ến RODC.
o
main Co
sẽ giới thiệ
u
tính năng
R
trọng của c
h
2
008, Micr
o
g
thấy từ Wi
n
, chúng tôi
s
i
ệc sử dụng
R
D
C) đã bị bỏ
2008, điều
n

ủ
Windows
S
W
indows Ser
v
t
đó là dom
a
b
iết đến với
t
rị viên có t
h
n
controller
o
main contr
o
c
ontroller.
n
g có nhược
i
n controller
h
iệu một số
t
2000 Serve
r

d
ụng cho tới
).
b
iệt khác, n
h
ể
ghi. Điều
đ
n
troller nào
v
w
s Server 2
0
v
er 2008 cũ
n
i
ển miền (d
o
A
ctive Direc
t
đ
ổi đối với d
o
ntroller
u
cho các b

ạ
R
ead Only D
o
h
úng như th
ế
o
soft đã đưa
n
dows NT;
đ
s
ẽ giới thiệu
R
ead Only
D
r
ơi các đây
n
ày hẳn là c
ó
S
erver đầu t
i
v
er hiện đại
,
a
in controlle

r
tên Primar
y
h
ể ghi thông
khác bên tr
o
o
ller và ở trạ
n
điểm của n
ó
có thể là tê
t
hay đổi lớn
r
có giới thi
ệ
ngày nay đ
ó
h
ưng hầu hế
t
đ
ó có nghĩa
r
v
à nâng cấp
0
03 và vẫn

đ
n
g cho phép
o
main contr
o
t
ory. Chỉ có
o
main contr
o
ạ
n lý do tại s
a
o
main
ế
nào.
t
r
ở lại một t
í
đ
ó chính là
t
cho các bạ
n
D
omain
hàng thập k

ỷ
ó
lý do của
n
i
ên của
,
Windows
N
r
bên trong
m
y
Domain
tin lên đó.
S
o
ng miền. C
á
n
g thái chỉ
đ
ó
. Đáng kể
n
liệt toàn bộ
đối với mô
h
ệ
u hai công

n
ó
là Active
t
các domai
n
r
ằng một qu
ả
đó sẽ được
n
đ
ược sử dụn
g
bạn có thể
t
o
ller)
m
à cá
c
một cách đ
ể
o
llers cho p
h
a
o
í
nh

t
ính
n
lý
ỷ
.
n
ó.
N
T
m
ỗi
S
au
á
c
đ
ọc
n
hất
h
ình
n
ghệ
n

ả
n trị
n
hân

g

t
ạo
c

ể

h
ép
Như những gì bạn có thể thấy, RODC không phải là sự thiếu sót của một di hài từ thời Windows
NT. Trong trường hợp này công nghệ thực sự mang tính chất chu kỳ! Rõ ràng Microsoft sẽ
không đưa trở lại RODC nếu họ không thấy có những ưu điểm trong việc thực hiện đó.
Trước khi bắt đầu giải thích tại sao Microsoft lại đưa trở lại RODC, hãy cho phép chúng tôi làm
sáng tỏ rằng việc sử dụng RODC hoàn toàn không mang tính bắt buộc. Nếu bạn muốn mọi
domain controller trong toàn bộ forest đều có thể ghi thì bạn hoàn toàn có thể thực hiện điều đó.
Một thứ khác mà chúng tôi muốn đề cập nhanh là mặc dù RODC rất giống với Backup Domain
Controllers (BDC) được sử dụng trong Windows NT nhưng chúng có một chút tiến hóa. Tuy
nhiên bên cạnh đó cũng có một số thứ mang tính duy nhất đối với RODC và chúng tôi sẽ chỉ ra
cho các bạn về những vấn đề này.
Lại quay trở về với câu hỏi tại sao Microsoft lại đưa trở lại RODC? Quả thực có rất nhiều khó
khăn trong việc hỗ trợ các văn phòng chi nhánh. Điều đó là vì sự cách ly của các văn phòng này
và vì bản chất của kết nối giữa cơ quan đầu não của công ty và văn phòng nhánh.
Thông thường, có một số tùy chọn khác nhau cho việc quản lý các văn phòng chi nhánh, tuy
nhiên trong các phương pháp đó lại có một số các ưu nhược điểm của riêng chúng. Một trong
những cách chung nhất cho việc xử lý với các văn phòng nhánh là để tất cả các máy chủ trong
một văn phòng chính, sau đó cung cấp cho người dùng văn phòng chi nhánh kết nối với các máy
chủ này thông qua một liên kết WAN.
Rõ ràng, bất thuận lợi rõ nhất trong việc sử dụng phương pháp này là nếu liên kết WAN gặp trục
trặc thì người dùng tại văn phòng chi nhánh sẽ không thể thực hiện bất cứ công việc gì, vì họ

hoàn toàn bị cách ly khỏi tài nguyên máy chủ. Thậm chí nếu liên kết WAN hoạt động nhưng
hiệu suất có thể bị giảm vì các liên kết WAN thường có tốc độ chậm và dễ bị tắc nghẽn.
Một tùy chọn khác cho việc xử lý với các văn phòng chi nhánh là đặt tối thiểu một domain
controller trong văn phòng này. Domain controller này sẽ hoạt động như một DNS server và như
một máy chủ global catalog. Theo cách này, nếu liên kết WAN gặp vấn
đề thì người dùng trong
văn phòng chi nhánh vẫn có thể đăng nhập vào mạng. Phụ thuộc vào bản chất của công việc của
người dùng tại văn phòng mà có thể đặt thêm số lượng máy chủ tại văn phòng nhánh.
Giải pháp này thường cho kết quả làm việc khá tốt tuy nhiên vẫn có một số nhược điểm trong
quá trình sử dụng nó. Bất thuận lợi chính là về giá thành. Việc để nhiều máy chủ tại các vă
n
phòng nhánh yêu cầu tổ chức cần phải bỏ ra nhiều tiền để mua phần cứng máy chủ và kèm theo
đó là các đăng ký về phần mềm. Tuy cũng có thể được hỗ trợ về giá thành. Một tổ chức cần phải
xác định rõ xem liệu họ cần thuê nhân viên CNTT “full time” để hỗ trợ cho văn phòng nhánh
không, hay họ có thể bằng lòng với thời gian mà nhân viên CNTT đi lại từ văn phòng chính đến
văn phòng nhánh khi cần
đến sự hỗ trợ onsite.
Một vấn đề khác trong việc để các máy chủ tại văn phòng nhánh là việc bảo mật. Các máy chủ
được đặt bên ngoài trung tâm dữ liệu thường thiếu tính giám sát cao. Chúng thường chỉ được
khóa lại trong một buồng nhỏ tại văn phòng nhánh và được giao cho nhân viên uy tín giữ chìa
khóa.
Như đã được đề cập ở trên, các kết nối WAN có thể chậm và không ổn định. Điều này đã làm
nảy sinh một vấn đề khác với việc đặt máy chủ tại các văn phòng chi nhánh. Lưu lượng mô hình
thứ bản Domain controller có thể làm tắc nghẽn liên kết WAN.
Đây chính là chỗ RODC thể hiện được vai trò của nó. RODC cũng giống như các domain
controller khác, ngoại trừ cơ sở dữ liệu Active Directory không thể ghi trực tiếp. Việc đặt RODC
tại văn phòng chi nhánh không khắc phục triệt để được vấn đề lưu lượng bản sao của Active
Directory nhưng nó làm giảm được một phần tải trọng của các máy chủ đầu cầu vì chỉ có lưu
lượng bản sao gửi đến là được cho phép.
RODC cũng có thể cải thiện được vấn đề bảo mật vì người tại văn phòng chi nhánh không thể

thay đổi bất cứ thứ gì trong cơ sở dữ liệu Active Directory. Thêm vào đó, không có thông tin về
tài khoản nào được tạo bản sao đến RODC. Điều này có nghĩa rằng nếu ai đó đánh cắp một
RODC thì người này cũng không thể sử dụng các thông tin mà họ lấy được từ nó. Việc các thông
tin tài khoản người dùng không được ghi đến RODC cũng làm giảm được số lượng lưu lượng
bản sao đối với các liên kết WAN, tuy nhiên nó không có nghĩa rằng với một số ngoại lệ, thẩm
định người dùng sẽ phụ thuộc vào liên kết WAN đang hiện hữu.
Kết luận
Như những gì bạn thấy, Read Only Domain Controller có vai trò rất quan trọng của nó. Trong
phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn việc lập kế hoạch và triển
khai cho Read Only Domain Controller.
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn một số lý do cơ bản về
việc Microsoft cung cấp Read Only Domain Controllers trong Windows Server 2008. Trong
phần hai này, chúng tôi sẽ giới thiệu cho các bạn một số khía cạnh thực hành trong quá trình làm
việc với Read Only Domain Controllers.
Tiêu chuẩn tài khoản người dùng
Chúng tôi sẽ bắt đầu bằng cách làm rõ một số thứ đã đưa ra trong phần cuối của phần một. Ở
phần cuối của phần một đó, chúng tôi đ
ã cho rằng không có các thông tin tài khoản nào được lưu
trên read only domain controller.
Tuy nhiên trong thực tế không hẳn như vậy, các thông tin tài khoản người dùng lại được lưu trên
các bộ điều khiển miền chỉ đọc. Những gì mà các bộ điều khiển miền domain controllers đang
thiếu là các mật khẩu của người dùng. Những mật khẩu này không được sao chép vào Read Only
Domain Controllers. Nếu ai đó đánh cắp một domain controller từ một văn phòng chi nhánh thì
họ cũng không th
ể sử dụng các thông tin được lưu trong cơ sở dữ liệu Active Directory để bẻ
khóa mật khẩu của người dùng.
Thuộc tính của người dùng
Mặc định, mật khẩu chỉ là thuộc tính của người dùng và không được tạo bản sao đến Read Only
Domain Controllers. Mặc dù vậy bạn vẫn thể cấu hình Windows nhằm ngăn chặn việc bị tạo bản

sao các thuộc tính của những người dùng khác.
Vậy tại sao bạn lại sử dụng tính năng như vậy? Cần phải nói rằng nếu chỉ sử dụng với tư cách là
một cơ chế thẩm định thì bạn có thể sẽ không cần đến tính năng này. Tuy nhiên bạn cần lưu ý có
nhiều tổ chức phụ thuộc nhiều vào Active Directory hơn dùng cơ chế thẩm định quyền.
Trong ví dụ mà chúng tôi sẽ đề cập đến, đó là một môi trường doanh nghiệp lớn, ở đây họ đã có
những nhân viên phát triển “on site”. Các chuyên gia phát triển của công ty đã tạo các ứng dụng
sử dụng cho các công việc của riêng công ty. Hầu hết tất cả các ứng dụng này đều sử dụng cơ sở
dữ liệu nhưng các cơ sở dữ liệu này không được liên kết với nhau.
Điều đó có nghĩa rằng mỗi một cơ sở dữ liệu đều có một số thông tin nhân bản. Cho ví dụ, tên
của mỗi một nhân viên, số điện thoại nội bộ và số ID cá nhân (cùng với nhất nhiều thứ khác) đều
có trong mỗi cơ sở dữ liệu. Nếu có lỗi nào đó xuất hiện trong quá trình nhập dữ liệu thì dữ liệu
đó sẽ không nhất quán trong các cơ sở dữ liệu với nhau. Ví dụ, tên của một nhân viên có thể bị
đánh sai chính tả trong một cơ sở dữ liệu nhưng lại đúng trong các cơ sở dữ liệu khác, hoặc hai
số trong số ID của nhân viên có thể bị hoán vị trong một cơ sở dữ liệu.
Một vài năm cách đây, một số công ty đã nhận ra rằng việc sử dụng phương pháp này không thu
lại được nhiều hiệu quả như mong đợi. Phương pháp này không những sinh ra các lỗi mà còn
làm cho các công ty phải tốn thêm chi phí cho việc trả lương cho các nhân viên nhập dữ liệu có
trong cơ sở dữ liệu khác. Có nhiều giải pháp khác để khắc phục tình trạng này, tuy nhiên phương
pháp thường được sử dụng nhất là sử dụng các thông tin trong Active Directory.
Cho ví dụ, một tổ chức đã tạo một ứng dụng nhân sự để họ có thể sử dụng nội bộ. Tuy nhiên dữ
liệu được lưu trong một cơ sở dữ liệu SQL Server, còn những dữ liệu như tên nhân viên, tiêu đề,
số điện thoại,… lại được lưu trong Active Directory với tư cách là các thuộc tính của tài khoản.
Phương pháp này cho phép các thông tin được dùng chung sẽ được sử dụng lại ở nhiều địa điểm
và nó cho phép hủy kết nối giữa tên của người dùng và các dữ liệu quan trọng khác. Cơ sở dữ
liệu SQL Server có chứa những dữ liệu như số bảo mật xã hội và thông tin về tiền lương, tuy
nhiên nó không chứa tên của bất cứ nhân viên nào. Chỉ có một thứ gắn hai c
ơ sở dữ liệu với nhau
là số nhân viên trong cả hai cơ sở dữ liệu.
Lý do tại sao chúng tôi giới thiệu cho các bạn điều này là muốn chỉ ra sự thật rằng một số tổ
chức sử dụng các thuộc tính tài khoản người dùng và các thuộc tính này có thể chứa các thông

tin nhạy cảm. Trừ khi có một nhu cầu trực tiếp về kiểu thông tin cần lưu nội bộ trên một domain
controller trong m
ột văn phòng chi nhánh, bằng không bạn nên xem xét đến việc khóa quá trình
tạo bản sao một số tính năng nhạy cảm.
Một thứ mà bạn cần phải lưu ý là trong khi một số tổ chức sử dụng các thuộc tính người dùng
trong các ứng dụng thì các công ty này vẫn tận dụng các partition thư mục ứng dụng. Các
partition thư mục ứng dụng ở đây chính là các partition Active Directory đặc biệt được tạo riêng
để sử dụng cho ứng dụng. Read Only Domain Controllers hỗ trợ đầy đủ việc tạo bản sao dữ liệu
được lưu trong các partition thư mục ứng dụng.
Một lưu ý nữa đó là Read Only Domain Controllers cũng có thể được cấu hình để thực hiện như
một máy chủ DNS chỉ đọc. Về cơ bản thì điều đó có nghĩa rằng nếu bạn cấu hình một máy chủ
DNS trên một Read Only Domain Controller thì người muốn xâm nhập sẽ không thể can thiệp
vào bản ghi DNS.
Các vấn đề về quản trị
Một câu hỏi mà có lẽ các bạn sẽ đặt ra đó là người dùng thẩm định như thế nào nếu không có dữ
liệu mật khẩu?
Đây thực sự là một mẹo. Như các bạn đã biết, cả tài khoản người dùng và tài khoản máy tính đều
có mật khẩu đi kèm với chúng. Mặc định, chỉ có mật khẩu mà Read Only Domain Controller sẽ
lưu là mật khẩu tài khoản của chính máy tính đó.
Vì không có mật khẩu lưu nội bộ nên các yêu cầu thẩm định sẽ được chuyển đến một writable
domain controller. Nếu mục tiêu của bạn là cho phép người dùng có thể đăng nhập thậm chí nếu
writable domain controller không thể liên lạc, khi đó bạn cần kích hoạt cache mật khẩu. Nếu
cache mật khẩu được kích hoạt, khi đó chỉ các tài khoản thẩm định thông qua domain controller
mới có các mật khẩu được cache. Nếu domain controller bị thỏa hiệp, bạn có thể sử dụng các
domain controller khác để tìm ra mật khẩu tài khoản nào được cache để thiết lập lại các mật khẩu
đó.
Quản trị viên làm việc như thế nào?
Trong các văn phòng chi nhánh một domain controller cũng được cấu hình để thực hiện như một
máy chủ ứng dụng. Nếu không có các nhân viên CNTT chuyên trách trong một văn phòng chi
nhánh thì bạn có thể chỉ định ai đó là quản trị viên của read only domain controller. Bằng cách

đó, họ có thể kiểm soát việc quản trị nội bộ trên máy chủ mà không thể can thiệp vào Active
Directory. Quản trị viên này chỉ được phép cài đặt bản vá phần mềm và thực hiện các nhiệm vụ
bảo dưỡng hàng ngày cần thiết. Việc chỉ định ai đó là quản trị viên trên Read Only Domain
Controller giống như việc bổ nhiệm ai đó là quản trị viên nội bộ cho một số lượng máy nhất
định.
Kết luận
Qua phần hai này chúng tôi hy vọng các bạn có được ki
ến thức cơ bản về Read Only Domain
Controllers được sử dụng như thế nào trong thế giới thực. Trong phần ba của loạt bài, chúng tôi
sẽ giới thiệu cho các bạn về quá trình triển khiai một Read Only
Domain Controller.
Cho đến hết phần phần hai của loạt bài này, chúng tôi đã giải
thích cho các bạn về Read Only Domain Controller là gì và một
số ưu điểm có liên quan đến việc triển khai của nó. Trong phần
này, chúng tôi sẽ giới thiệu cho các bạn v
ề cách thực hiện triển
khai một Read Only Domain Controller.


Trước khi bắt đầu
Trước khi bắt đầu thực hiện thủ tục cài đặt, bạn cần cài đặt Windows Server 2008 vào Read Only
domain Controller và gia nhập (join) máy chủ vào miền. Tuy hoàn toàn có thể tạo một Read
Only Domain Controller khi không cần join vào miền trước, nhưng những bước mà chúng tôi sẽ
giới thiệu cho các bạn sẽ thừa nhận rằng máy chủ của bạn là một thành viên miền.
Mức chức năng Forest
Trước khi bắt đầu, b
ạn phải bảo đảm rằng mức chức năng Forest đã được thiết lập cho Windows
Server 2003 hoặc phiên bản cao hơn. Để thực hiện điều đó, bạn chỉ cần mở giao diện điều khiển
Active Directory Domains and Trusts. Khi cửa sổ này được mở, hãy kích chuột phải vào
Active Directory forest của bạn, sau đó chọn lệnh Properties. Như những gì bạn có thể thấy

qua hình A, mức chứ
c năng forest được liệt kê trên tab General của trang thuộc tính.

Hình A: Bạn phải thẩm định mức chức năng forest đã được thiết lập cho Windows Server 2003
hoặc cao hơn
Nếu mức chức năng forest không có đủ thẩm quyền, khi đó bạn phải nâng mức trước khi tiếp tục.
Cần lưu ý rằng điều này có nghĩa bạn sẽ không thể sử dụng các bộ điều khiển miền của Windows
2000 trong forest của bạn. Để nâng mức chức năng forest, kích OK để đóng trang thuộc tính.
Lúc này, hãy kích phải vào danh sách forest của bạn một lần nữa và chọn mức Raise Forest
Functional level, trên cửa sổ xuất hiện sau đó, hãy chọn tùy chọn Windows Server 2003, sau đó
kích nút Raise.
Nâng cấp partition của thư mục ứng dụng
Bước tiếp theo trong quá trình là nâng cấp các điều khoản cho các partition của thư mục ứng
dụng trong forest. Với thao tác này, các partition có thể được tạo bản sao bằng bất cứ Read Only
Domain Controller nào đang làm việc như một máy chủ DNS.
Để thực hiện điều đó, hãy chèn DVD cài đặt Windows Server 2008 của bạn vào domain
controller được chỉ định là giản đồ chủ (schema master) của miền. Tiếp đến, copy thư mục
\Sources\Adprep từ DVD vào một thư mục trống trên ổ cứng của máy chủ. Sau đó mở cửa sổ
nhắc lệnh và điều hướng đến thư mục ADPREP đã tạo, thực thi lệnh dưới đây:
ADPREP /RODCPREP
Hình B thể hiện những gì xảy ra khi lệnh được chạy.

Hình B: Chạy lệnh ADPREP /RODCPREP
Tăng cấp cho máy chủ lên trạng thái Domain Controller
Bây giờ chính là lúc cấu hình máy chủ của bạn làm nhiệm vụ của một Read Only Domain
Controller. Quá trình thực hiện khá giống với quá trình cấu hình máy chủ là một domain
controller.
Bắt đầu quá trình bằng cách đăng nhập vào máy chủ qua tài khoản thành viên của nhóm quản trị
viên miền. Tại đây, hãy nhập lệnh DCPROMO vào nhắc lệnh Run của máy chủ. Khi đó bạn sẽ
thấy Windows khởi chạy Active Directory Domain Services Installation Wizard. Wizard sẽ thực

hiện một thủ tục kiểm tra nhanh chóng để bảo đảm rằng các nhị nguyên phân Active Directory
đã được cài đặt. Các nhị nguyên phân này bình thường không được cài đặt (mặc định), vì vậy
wizard sẽ cài đặt chúng cho bạn.
Khi Windows kết thúc việc cài đặt các nhị nguyên phân, nó sẽ hiển thị màn hình chào của
wizard, xem thể hiện trong hình C. Mặc dù bạn có thể kích Next và băng qua màn hình chào của
wizard nhưng trong trường hợp này bạn cần tích vào hộp kiểm Use Advanced Mode
Installation.

Hình C: Chọn hộp kiểm Use Advanced Mode Installation
Kích Next, khi đó wizard sẽ hỏi bạn về forest và miền nào mà domain controller mới sẽ phục vụ.
Chọn tùy chọn để bổ sung domain controller vào một miền bên trong một forest đang tồn tại,
xem thể hiện trong hình D bên dưới.

Hình D: Chọn tùy chọn để bổ sung thêm domain controller vào miền tồn tại
Kích Next, wizard sẽ nhắc nhở chỉ định tên của miền mà bạn đã lên kế hoạch cho việc bổ sung
domain controller đến. Bạn cũng phải xác nhận rằng mình muốn sử dụng các tiêu chuẩn đã được
đăng nhập khi được nhắc nhở tăng cấp máy chủ lên trạng thái domain controller, xem thể hiện
trong hình E. Khi thực hiện xong, hãy kích Next.

Hình E: Nhập vào tên của miền mà bạn muốn bổ sung domain controller đến đó.
Màn hình dưới đây sẽ yêu cầu bạn xác nhận sự lựa chọn miền của mình, như thể hiện trong hình
F. Sau khi thực hiện xong, kích Next.

Hình F: Xác nhận miền mà bạn muốn bổ sung domain controller
Bạn sẽ thấy một màn hình yêu cầu chỉ định tên của site mà bạn muốn đặt domain controller trong
đó, xem thể hiện trong hình G. Đây là một bước quan trọng đối với Read Only Domain
Controllers, vì chúng thường được đặt tại các văn phòng chi nhánh, do vậy luôn nằm trong
những site Active Directory độc lập.

Hình G: Chỉ định site Active Directory mà bạn muốn đặt domain controller mới vào

Kích Next, bạn sẽ được yêu cầu chọn các tùy chọn bổ sung cho domain controller, xem thể hiện
trong hình H. Rõ ràng bạn sẽ muốn chọn tùy chọn Read Only Domain Controller nhưng bên
cạnh đó bạn cũng nên tạo chọn cho domain controller các tùy chọn DNS server và máy chủ
catalog toàn cục (global catalog).

Hình H: Phải chọn tùy chọn Read Only Domain Controller
Kích Next, bạn sẽ được yêu cầu chỉ định Password Replication Policy, xem thể hiện trong hình
I. Đây chính là nơi bạn có thể điều khiển mật khẩu nào được phép tạo bản sao trong Read Only
Domain Controller. Bạn có thể tạo bất cứ thay đổi nào cần thiết, tuy nhiên những tùy chọn mặc
định làm việc cũng khá tốt.

Hình I: Nên sử dụng các tùy chọn mặc định ở đây
Kích Next, bạn sẽ có thể ủy nhiệm người dùng hoặc nhóm để hoàn tất quá trình cài đặt RODC.
Không nên quá quan tâm đến các tùy chọn mà chúng tôi đã thực hiện ở đây (chỉ mang tính ví
dụ).
Màn hình tiếp theo mà bạn thấy sẽ cung cấp cho bạn tùy chọn tái tạo dữ liệu trên mạng từ một
domain controller hay tạo một cơ sở dữ liệu Active Directory từ một file. Việc tạo một cơ sở dữ
liệu Active Directory từ một file sẽ rất tiện lợi nếu bạn có một cơ sở dữ liệu lớn và kết nối chậm.
Ngược lại, bạn nên chọn tái tạo dữ liệu qua mạng, xem thể hiện trong hình J.

Hình J: Chọn nguồn dữ liệu Active Directory để tạo bản sao
Màn hình tiếp theo yêu cầu bạn chọn đối tác tạo bản sao cho domain controller. Cách tốt nhất
vẫn thường được sử dụng là cho phép Windows chọn đối tác tạo bản sao cho bạn trừ khi bạn có
một lý do nào đó cho việc sử dụng một domain controller cụ thể nào đó.
Khi kích Next, bạn sẽ được đưa đến một cửa sổ trong wizard mà bạn có thể sử
đã quen sử dụng.
Màn hình này yêu cầu bạn chỉ định vị trí cơ sở dữ liệu Active Directory sẽ được lưu. Cần đưa ra
sự lựa chọn của bạn và kích Next.
Sau đó bạn sẽ được nhắc nhở phải cung cấp mật khẩu Directory Services Restore Mode. Nhập
vào mật khẩu và kích Next.

Lúc này bạn sẽ thấy một bảng tóm tắt về những tùy chọn cài đặt mà bạn đ
ã chọn. Giả dụ rằng
mọi thứ xuất hiện đều đúng theo nguyện vọng của bạn, hãy kích Next để bắt đầu quá trình tăng
cấp cho domain controller. Khi quá trình hoàn tất, kích Finish và sau đó khởi động lại máy chủ.
Kết luận
Giờ đây bạn đã thiết lập được RODC xong, có thể bạn sẽ muốn thiết lập các RODC bổ sung.
Nếu rơi vào trường hợp này, bạn phải đợi chu trình tạo bản sao kế tiếp được hoàn tất. Bằng
không bạn sẽ kết thúc với việc nhận được các lỗi từ Active Directory.
