Đăng bởi: daoquanghuynh | 13/01/2010

(AD) PHẦN I: GIẢI PHÁP QUẢN LÝ MẠNG TẬP TRUNG

Các bạn cách triển khai và quản lý dịch vụ Active Directoy cho mô hình mạng doanh nghiệp nhỏ đến mô hình mạng doanh nghiệp lớn trên nền Windows Server 2008, bài viết bao gốm các phần:

Phần I: Tổng quan và cài đặt Active Directory Domain Service (AD DS)
Phần II: Triển khai nhiều Server chạy song song (DC, DNS, File server)
Phần III: Triển khai Read-Only Domain Controller, Read-Only DNS Zones và Active Directory Site
Phần IV: Triển khai Group Policy Object (GPO)
PhầnV: Backup & Restore Active Directory Database
Phần VI: Triển khai nhiều Domain (Multi Domain)

PHẦN I: TỔNG QUAN VÀ CÀI ĐẶT ACTIVE DIRECTORY DOMAIN SERVICES (AD DS)

I. Giới thiệu
Để quản lý một hệ thống mạng ta có 2 mô hình: Workgroup Domain.

Đặc điểm của hệ thống Workgroup:
– Quản lý không tập trung, ví dụ khi cần triển khai policy cho hệ thống ta phải cấu hình trên từng máy.
– Mỗi người sử dụng phải sử dụng nhiều user account cho nhiều nhu cầu, ví dụ người sử dụng phải có hai user: một để logon và một để truy cập tài nguyên trên file server.
– Với 2 đặc điểm trên, ta sẽ rất khó khăn khi quản lý một hệ thống mạng lớn.

Đặc điểm của hệ thống Domain:
– Quản lý theo cấu trúc danh bạ: tất cả các đối tượng (group, user, computer account…) và tài nguyên đều được quản lý tập trong bằng dịch vụ Active Directory (AD)
– Là một mô hình quản lý tập trung, ví dụ 1 policy khi triển khai cùng lúc có thể ảnh hưởng trên nhiều máy hoặc nhiều user account.
– Hỗ trợ Single Sign On, mỗi người sử dụng trong hệ thống chỉ cần một user account cho tất cả các nhu cầu: logon, truy cập tài nguyên, sử dụng e-mail…
Với sự khác nhau giữa 2 hệ thống Workgroup và Domain như trên, để quản lý một hệ thống mạng tập trung chúng ta nên chọn mô hình Domain.

II. Tổng quan về Active Directory Domain Service (AD DS) trên Windows Server 2008
Active Directory Domain Service (AD DS) là trung tâm quản lý và chứng thực cho các đối tượng như: group, user,computer account… AD DS cung cấp tất cả thông tin của một đối tượng cho các dịch vụ cần thiết, ví dụ cung cấp đầy đủ thông tin cho việc chứng thực khi user truy cập tài nguyên.

Khi sử dụng AD DS trên Windows Server 2008, bạn có thể tạo ra một hạ tầng mạng bảo mật, dể dàng quản lý user, computer account và các tài nguyên. Bạn có thể sử dụng AD DS để hỗ trợ cho những ứng liên quan đến Active Directory, chẵng hạn như Microsoft Exchange Server, Active Directory Right Management Services (RMS)…

Cấu trúc Active Directory bao gồm các thành phần: Forest, Tree, Domains và Organizational Units (OUs). Một forest có thể có một hoặc nhiều domain tree và domain, một tree có thể có 1 hoặc nhiều domain. Trong một domain, một server được cài đặt AD DS gọi là Domain Controller, mặc định Domain Controller đầu tiên trên Forest Root Domain (domain đầu tiên trong một forest) lưu trữ Global Catalog. Global Catalog là dịch vụ đảm nhiệm chức năng chứng thực cho các đối tượng trong hệ thống AD. Máy Domain Controller nào lưu trữ Global Catalog thì được gọi là Global Catalog Server. Trong một forest cũng như trong một domain, ta có thể cấu hình nhiều Global Catalog Server để cân bằng tải cho việc chứng thực.

Yêu cầu cài đặt Active Directory Domain Services (AD DS):
– Windows Server 2008.
– Dung lượng ỗ đĩa trống 250 MB, Partition cài Windows phải format NTFS.
– Cấu hình TCP/IP đầy đủ: IP Address, Subnet Mask, Preferred DNS Server.
– Local Administrator có quyền cài đặt Domain Controller đầu tiên trong một Forest.
– Domain Administrator có quyền cài đặt các Domain Controller tiếp theo của một Domain.
– Enterprise Administrator có quyền cài đặt các Domain tiếp theo trong một Forest.

Lưu ý: Active Directory Domain Services (AD DS)có thể cài đặt trên Windows Server 2008 Server Core

Phần I bao gồm các bước:
1. Nâng cấp Domain Controller
2. Cấu hình DNS Server
3. Join Domain
4. Chỉnh Password Policy
5. Tạo OU, Group và Users Account

III. Mô hình

IV. Chuẩn bị
Trong phần I sử dụng các máy Server1, Server2 và WS1, cấu hình TCP/IP cho các máy như trong bảng sau:

Server1:
IP Address:192.168.10.100
Subnet Mask: 255.255.255.0
Gateway: 192.168.10.200
DNS: 192.168.10.100

Server2:
IP Address:192.168.10.101
Subnet Mask: 255.255.255.0
Gateway: 192.168.10.200
DNS: 192.168.10.100

WS1:
IP Address:192.168.10.113
Subnet Mask: 255.255.255.0
Gateway: 192.168.10.200
DNS: 192.168.10.100

V. Thực hiện
1. Nâng cấp Domain Controller
– Tại máy Server1, log on Administrator pasrword P@ssword
– Vào Start\Run, gõ lệnh dcpromo, chọn OK

– Trong hộp thoại Welcome to the Active Directory Domain Services Installation Wizard, đánh dấu chọn ô Use advanced mode installation, chọn Next.

– Hộp thoại Operating System Compatibility, chọn Next

– Trong hộp thoại Choose a Deployment Configuration, chọn Create a new domain in a new forest, chọn Next

– Trong hộp thoại Name the Forest Root Domain, nhập tên MSOpenLab.com, chọn Next

– Hộp thoại Domain NetBIOS Name, giữ mặc định tên MSOPENLAB, chọn Next

– Trong hộp thoại Set Forest Functional Level, chọn chế độ Windows Server 2008 (để sử dụng tất cả tính năng mới của Windows Server 2008 hỗ trợ cho hệ thống Active Directory), chọn Next

– Trong hộp thoại Additional Domain Controller Options, đảm bảo có đánh dấu ô DNS Server, chọn Next.

– Hộp thoại cảnh báo Do you want to continue?, chọn Yes

– Hộp thoại Location for Database, Log Files, and SYSVOL, chọn Next

– Hộp thoại Directory Services Restore Mode Administrator Password, nhập P@ssword vào ô Password và Confirm password, chọn Next

– Trong hộp thoại Summary, chọn Next

– Trong hộp thoại Active Directory Domain Services Installation Wizard, đánh dấu chọn Reboot on completion. Sau khi quá trình nâng cấp hoàn tất, máy Server1 sẽ tự động restart.

2. Cấu hình DNS Server
– Tại máy Server1, logon MSOpenLab\Administrator password P@ssword
– Mở DNS Manager từ Administrative Tools, bung PC13\Forward Lookup Zones\MSOpenLab.com, kiểm tra đã có đầy đủ các sub domain, va đầy đủ DNS record

– Trong cửa sổ DNS Manager, chuột phải Reverse Lookup Zomes chọn New Zone…

– Trong hộp thoại Welcome to the New Zone Wizard, chọn Next

– Hộp thoại Zone Type, chọn Primary zone, đảm bảo có đánh dấu chọn ô Store the zone in Active Directory, chọn Next.

– Trong hộp thoại Active Directory Zone Replication Scope, chọn To all DNS server in this forest: MSOpenLab.com, chọn Next.

– Hộp thoại Reverse Lookup Zone Name, chọn IPv4 Reverse Lookup Zone, chọn Next

– Trong hộp thoại Reverse Lookup Zone Name, nhập 192.168.10 vào ô Network ID, chọn Next

– Hộp thoại Dynamic Update, chọn Allow only secure dynamic updates, chọn Next.

– Trong hộp thoại Completing the New Zone Wizard, chọn Finish

– Mở Command Line, gõ lệnh ipconfig /registerdns để cập nhật Pointer record

– Trong cửa sổ DNS Manager, kiểm tra trong zone 10.168.192.in-addr.arpa đã có đầy đủ Pointer record

3. Join Domain
– Tại máy Server2, log on Administrator password P@ssword, mở System từ Control Panel

– Trong cửa sổ System, chọn Change settings

– Hộp thoại System Properties, chọn Change

– Hộp thoại Copmputer Name/Domain Changes, chọn Domain, nhập MSOpenLab.com vào ô Domain, chọn OK

– Hộp thoại Windows Security, nhập user name Admistrator password P@ssword, chọn OK

– Hộp thoại Computer Name/Domain Changes, chọn OK

– Hộp thoại Computer Name/Domain Changes, yêu cầu restart máy, chọn OK

– Hộp thoại System Properties, chọn Close

– Hộp thoại Microsoft Windows, chọn Restart Now

Tương tự, join máy WS1 vào domain.

4. Chỉnh Password Policy
Lưu ý: Để làm quen với cách chỉnh Policy trên hệ thống domain trong bài viết sẽ hướng dẩn các bạn cách chỉnh Password Policy để đặt được password đơn giản cho user. Các bạn có thể không cần thực hiện bước này nếu không có nhu cầu.

– Tại máy Server1, mở Group Policy Management từ Administrative Tools, bung Forest\Domain\MSOpenLab.com\Group Policy Object, chuột phải Default Domain Policy chọn Edit

– Trong cửa sổ Group Policy Management Editor, bung Computer Configuration\Policies\Windows Settings\Security Settings\Account Policies\Password Policy, chỉnh các policy về giá trị 0 và Disable như trong hình.

– Tắt tất cả cửa sổ, mở Command line, gõ lệnh gpupdate /force

5. Tạo OU, Group, Users Account
– Tại máy Server1, mở Active Directory Users and Computers từ Administrative Tools, chuột phải MSOpenLab.com chọn New, chọn Organizational Unit

– Trong hộp thoại New Object – Organizational Unit, nhập tên HCM, bỏ dấu chọn Protect container from accidental deletion, chọn OK

– Trong cửa sổ Active Directory Users and Computers, chuột phải OU HCM chọn New, chọn Group

– Trong hộp thoại New Object – Group, nhập tên NhanVien, chọn OK

http://msopenlab.com/lab/AD1/image042.jpg

– Trong cửa sổ Active Directory Users and Computers, chuột phải OU HCM chọn New, chọn User

– Để tạo user U1, nhập thông tin như trong hình, chọn Next

– Nhập 123 vào ô Password và Confirm password, bỏ dấu chọn ô User must change password at next logon, chọn Next, Finish

– Kiểm tra tạo trong Active Directory Users and Computers đã có OU HCM, trong OU HCM có group NhanVien và user U1

– Kiểm tra user U1 logon thành công trên Server2 và WS1


Danh mục

%d bloggers like this: