TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 2: MƠ HÌNH QUẢN TRỊ MẠNG TẬP TRUNG (Microsoft Active Directory) Số tín chỉ: Số tiết: 60 tiết (30 LT + 30 TH) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn NỘI DUNG • Khó khăn quản trị mạng ngang hàng • Mơ hình quản trị mạng tập trung • Microsoft Active Directory • Máy Domain Controller • Triển khai Active Directory • Gia nhập máy Computer vào Domain Khó khăn quản trị mạng ngang hàng • Mơ hình mạng Peer-To-Peer (mạng Workgroup): • Các máy tính nối kết với có vai trị • Tài ngun mạng lưu trữ phân tán máy cục • Mỗi máy tự quản lý, tự bảo mật, tự chứng thực truy cập tài ngun • Mạng Workgroup thường triển khai hệ thống mạng gia đình, mạng phịng Net, mạng công ty nhỏ đơn giản… Khó khăn quản trị mạng ngang hàng • Nhược điểm mạng ngang hàng: • Phức tạp có nhiều người dùng: • Nhiều máy tính, muốn truy cập liệu lẫn nhau: Trên máy tính: phải tạo n tài khoản cho n người dùng khác Người dùng phải nhớ thông tin x tài khoản truy cập vào x máy tính • Khi triển khai phần mềm, sách… người quản trị phải thao tác máy tính • Khó kiểm sốt: • Nhân viên IT khơng kiểm sốt hành động người dùng máy họ • Khó khống chế lây lan ứng dụng nguy hại máy tính mạng • Để hỗ trợ người dùng, nhân viên IT buộc phải đến tận nơi (gọi IT helpdesk) Mơ hình quản trị mạng tập trung • Mơ hình mạng Client-Server (mạng Domain): • Tập trung tất tài nguyên mạng (máy tính, tài khoản…) vào “miền quản trị” (gọi Domain) • Mỗi miền quản trị có tài khoản (account) có tồn quyền quản lý tất tài nguyên mạng (tên thường dùng: Administrator, Root, Supervisor…) • Mỗi người dùng sử dụng tài khoản truy cập => Quyền người dùng lệ thuộc quyền tài khoản • Các sách triển khai miền tất cá đối tương mạng miền tn thủ Mơ hình quản trị mạng tập trung • Ưu điểm mạng quản trị tập trung: • Khắc phục tất nhược điểm mạng ngang hàng • Số lượng người dùng nhiều hay khơng ảnh hưởng lớn đến cơng việc kiểm sốt quản trị • Dễ dàng triển khai phần mềm, thiết lập sách bảo mật cho tất máy tính miền quản trị • Mạng quản trị tập trung thích hợp triển khai cho doanh nghiệp có nhiều người dùng mạng, nhiều tài nguyên mạng có nhu cầu bảo mật cao • Nhược điểm mạng quản trị tập trung • Mỗi miền quản trị phải có máy Server chạy dịch vụ lưu giữ liệu quản trị mạng • Tốn cơng sức triển khai ban đầu Mơ hình quản trị mạng tập trung • Một số thuật ngữ dùng mạng quản trị tập trung: • Mơ hình quản trị mạng tập trung tương đồng với mơ hình quản trị Doanh nghiệp • Các thuật ngữ liên quan đến cách tổ chức quản lý: Quản trị mạng tập trung Quản trị Doanh nghiệp • Domain / Sub-Domain Cơng ty / Cơng ty • Domain Name Tên Cơng ty (tên Doanh nghiệp) • Relationship Mối quan hệ, liên kết Công ty • Site Trụ sở / Văn phịng Cơng ty • Organization Unit (OU) Các Phịng, Ban, Đơn vị thuộc Cơng ty • User / Group Nhân / Nhóm nhân • OU Delegation Trưởng đơn vị Mơ hình quản trị mạng tập trung • Một số thuật ngữ dùng mạng quản trị tập trung: • Các thuật ngữ liên quan đến tài nguyên, liệu, sách: Quản trị mạng tập trung Quản trị Doanh nghiệp • Computer, Printer, File, Software, Data Tài sản cơng ty • Group Policy Các sách, quy định… • DirectoryHồ sơ quản lý nhân sự, tài sản… • Schema Các sơ đồ tổ chức, tiêu chuẩn, quy cách, thành phần sơ đồ • Database Domain Dữ liệu lưu trữ hồ sơ quản lý, sơ đồ tổ chức, danh sách nhân sự, tài sản… • Authority services Dịch vụ chứng thực, chữ ký, dấu… • Domain controllerMáy chủ lưu giữ tất hồ sơ, giấy tờ… Microsoft Active Directory • Tổng quan Microsoft Active Directory – Domain Service: • Active Directory Domain Service (AD-DS) tên dịch vụ quản trị mạng tập trung hãng Microsoft (tiền thân Windows NT) • Một miền quản trị khởi đầu tối thiểu 01 máy tính có nhiệm vụ lưu giữ Domain database thực thi thao tác quản trị Máy gọi Domain Controller • Tên miền quản trị (Domain Name) sử dụng tên dịch vụ DNS (Domain Name Service) • Các tài nguyên mạng / đối tượng mạng quản lý theo danh mục (gọi Directory) Domain Controller Administrator Abc.vn Microsoft Active Directory • Domain / Tree / Forest: • Mỗi miền quản trị gọi Domain • Các Domains có quan hệ cha-con (parent-child) với gọi Domain Tree (cây) • Nhiều Domain tree có quan hệ cây-gốc (tree-root) với gộp lại gọi Forest (rừng) • Miền quản trị hệ thống gọi Forest root domain Tree-root domain Forest root domain ntt.edu.vn Texgamex.vn Child domain apd.ntt.edu.vn 10 Microsoft Active Directory • Phân cấp quản trị Forest: • Mỗi domain có tài khoản Administrator riêng có tồn quyền quản trị miền • Administrator domain “cha” có tồn quyền quản trị domain “con” • Tất domains Forest đặt Tree-root quản trị chung domain Administrator Forest root domain texgamex.vn Forest root domain ntt.edu.vn Child domain apd.ntt.edu.vn 11 Máy Domain Controller • Domain Controller: • Domain Controller (DC) máy Windows Server miền quản trị (Domain) hình thành • Mỗi Domain phải có tối thiểu máy DC • Vai trị máy DC: • Chứa liệu hệ thống Active Directory – Domain Service (AD-DS database) miền • Chứa liệu phục vụ thực thi sách nhóm (Group Policy) • Cung cấp dịch vụ chứng thục Kerberos (chứng thực bên thứ 3) • Có thể triển khai “Global Catalog Server” • Là Trung tâm phân phối khóa mã hóa liệu (Key Distribution Center – KDC) cho thành viên miền mã hóa thơng tin 12 Máy Domain Controller • Global Catalog Server: • Global Catalog (GC) liệu rút gọn từ AD-Database cho DC tra cứu cần chứng thực tài khoản • Máy DC có chứa GC gọi Global Catalog Server • GC trích từ Database domain domain khác • Minh họa: • Nếu muốn máy DC-A xác thực tài khoản thuộc Domain B máy DC-B chuyển cho DC-A liệu GC Global catalog server Schema Configuration Schema Configuration Domain A DC-A GC of B Domain A AD DS Domain B DC-B Domain B 13 Máy Domain Controller • Q trình đăng nhập chứng thực AD-DS: • Khi người dùng logon vào Windows: • Tài khoản (user / password) khai báo máy Client gởi đến DC • DC xác thực gởi trả TGT (ticket-granting ticket) Client • Client xét quyền truy cập TGT để cho/không logon vào Windows • Khi người dùng truy cập vào Server khác: • Client dùng TGT gởi cho Server • Server xét quyền truy cập TGT để cho/không cho logon vào • Chống giả mạo TGT: • TGT mã hóa • Khóa mã DC phân phối cho máy tính miền Domain controller (1) User password (2) TGT (4) TGT (5) Y/N (3) logon ? Client Server 14 Vai trị DNS AD-DS • Dịch vụ DNS: • DNS (Domain Name Service) dịch vụ cho phép đặt tên miền (domain name) thay cho IP address tên dịch vụ khác • DNS Client: máy gởi truy vấn tên miền đến DNS Server để giải đáp IP address • DNS Server: máy cung cấp dịch vụ giải đáp truy vấn DNS từ Client • Vai trị DNS AD-DS: • Mỗi Domain (miền quản trị) cần có Domain name (tên miền) định danh • Microsoft Active Directory sử dụng dịch vụ DNS cho tên miền quản trị tập trung • Tất đối tượng / tài nguyên mạng có sử dụng IP address sử dụng tên miền DNS để định danh 15 Triển khai Active Directory • Thành lập miền quản trị (Domain): • Một miền quản trị Domain hình thành: • Từ máy Domain Controller kiêm nhiệm Global Catalog Server • Sự hỗ trợ dịch vụ phân giải tên miền máy DNS Server • Thông thường, chức năng: Domain Controller, Global Catalog Server DNS Server cài đặt máy chủ • Máy Domain Controller thăng cấp từ máy Windows Server 16 Triển khai Active Directory • Thành lập miền quản trị (Domain): • Nếu thăng cấp Domain Controller thành cơng, hình thành: • • • • Một máy Domain Controller Một miền quản trị (Domain root, Tree root Forest root) Máy tính thành viên miền lúc có máy DC Có sẵn (Built-in) số Users Groups, bao gồm user tồn quyền quản trị mạng Domain Administrator • Chuẩn bị trước thành lập Domain: • Máy tính chạy Hệ điều hành Windows Server 2003/2008/2012/2016… (Máy triển khai thành Domain Controller) • Sở hữu máy chủ cung cấp dịch vụ tên miền (DNS Server) Thơng thường, sử dụng máy DC làm DNS Server • Một tên miền (Domain name) đặt cho miền quản trị (Domain) 17 Triển khai Active Directory • Điều kiện thăng cấp máy Windows Server lên thành DC: • Tên máy tính (Computer Name): đặt tên máy riêng • Địa IP: sử dụng Static IP address (IP tĩnh) • Khai báo Preferred DNS Server: • Khai báo: 127.0.0.1 muốn dùng máy DC kiêm nhiệm DNS Server • Hoặc: khai báo IP address máy DNS Server cung cấp dịch vụ DNS hữu hệ thống • Q trình triển khai Domain Controller • Trên máy Windows Server: cài đặt dịch vụ “Active Directory Domain Services (AD-DS)” • Tiến hành thăng cấp Windows Server thành Domain Controller công cụ “Promote this server to the Domain Controller” 18 Gia nhập Computer vào Domain • Ý nghĩa việc gia nhập Computer vào Domain: • Một domain thành lập, máy tính thành viên có máy Domain Controller (DC) • Các máy tính khác mạng, sau gia nhập (joined) vào Domain chịu quản trị Domain • Chỉ có tài khoản thuộc miền quản trị (Domain Users) có quyền đưa máy tính gia nhập Domain 19 Gia nhập Computer vào Domain • Chuẩn bị cho máy Client trước join vào Domain: • Đặt IP address (tĩnh động) giao tiếp với máy DC • Khai báo Preferred DNS Server IP address máy DC (nếu máy DC kiêm nhiệm DNS server) • Kiểm tra lại: • Kiểm tra giao tiếp Client – DC: lệnh: PING • Kiểm tra phân giải tên miền Domain Client: lệnh: NSLOOKUP • Hoặc: PING 20 Gia nhập Computer vào Domain • Tiến hành join máy Client vào Domain: • Phương pháp truyền thống: • Properties cho “This PC” 🡪 tab “Computer Name” 🡪 nút “Change…” • Thay đổi Computer name (nếu cần) • Chọn “Domain” phần “Member of…” • Nhập tên Domain muốn join vào • Khai báo tài khoản thuộc Domain • Restart máy client để hồn tất q trình gia nhập domain 21 Gia nhập Computer vào Domain • Offline Domain Join: • Ý nghĩa: • Offline domain join hình thức join vào domain máy client chưa kết nối mạng với DC • Quy trình: • Trên máy DC: tạo file chứa thơng tin cấu hình việc join vào domain, dùng lệnh: djoin /provision /domain tênmiền /machine tênmáy /savefile D:\tên_file • Trên máy Client: thực thi Offline domain join máy Client quyền Administrator: djoin /requestODJ /loadfile tên_file /windowspath %SystemRoot% /localOS 22 Gia nhập Computer vào Domain • Kiểm tra tồn máy Client Domain: • Trên máy DC, chạy “Active Directory Users and Computers” • Mở nhánh 🡪 Computers (danh mục quản trị máy thành viên miền) => tên máy Client tồn danh sách 23 Cám ơn ! 24