Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 24 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
24
Dung lượng
730,64 KB
Nội dung
TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 2: MƠ HÌNH QUẢN TRỊ MẠNG TẬP TRUNG (Microsoft Active Directory) Số tín chỉ: Số tiết: 60 tiết (30 LT + 30 TH) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn NỘI DUNG • Khó khăn quản trị mạng ngang hàng • Mơ hình quản trị mạng tập trung • Microsoft Active Directory • Máy Domain Controller • Triển khai Active Directory • Gia nhập máy Computer vào Domain Khó khăn quản trị mạng ngang hàng • Mơ hình mạng Peer-To-Peer (mạng Workgroup): • Các máy tính nối kết với có vai trị • Tài ngun mạng lưu trữ phân tán máy cục • Mỗi máy tự quản lý, tự bảo mật, tự chứng thực truy cập tài ngun • Mạng Workgroup thường triển khai hệ thống mạng gia đình, mạng phịng Net, mạng công ty nhỏ đơn giản… Khó khăn quản trị mạng ngang hàng • Nhược điểm mạng ngang hàng: • Phức tạp có nhiều người dùng: • Nhiều máy tính, muốn truy cập liệu lẫn nhau: Trên máy tính: phải tạo n tài khoản cho n người dùng khác Người dùng phải nhớ thông tin x tài khoản truy cập vào x máy tính • Khi triển khai phần mềm, sách… người quản trị phải thao tác máy tính • Khó kiểm sốt: • Nhân viên IT khơng kiểm sốt hành động người dùng máy họ • Khó khống chế lây lan ứng dụng nguy hại máy tính mạng • Để hỗ trợ người dùng, nhân viên IT buộc phải đến tận nơi (gọi IT helpdesk) Mơ hình quản trị mạng tập trung • Mơ hình mạng Client-Server (mạng Domain): • Tập trung tất tài nguyên mạng (máy tính, tài khoản…) vào “miền quản trị” (gọi Domain) • Mỗi miền quản trị có tài khoản (account) có tồn quyền quản lý tất tài nguyên mạng (tên thường dùng: Administrator, Root, Supervisor…) • Mỗi người dùng sử dụng tài khoản truy cập => Quyền người dùng lệ thuộc quyền tài khoản • Các sách triển khai miền tất cá đối tương mạng miền tn thủ Mơ hình quản trị mạng tập trung • Ưu điểm mạng quản trị tập trung: • Khắc phục tất nhược điểm mạng ngang hàng • Số lượng người dùng nhiều hay khơng ảnh hưởng lớn đến cơng việc kiểm sốt quản trị • Dễ dàng triển khai phần mềm, thiết lập sách bảo mật cho tất máy tính miền quản trị • Mạng quản trị tập trung thích hợp triển khai cho doanh nghiệp có nhiều người dùng mạng, nhiều tài nguyên mạng có nhu cầu bảo mật cao • Nhược điểm mạng quản trị tập trung • Mỗi miền quản trị phải có máy Server chạy dịch vụ lưu giữ liệu quản trị mạng • Tốn cơng sức triển khai ban đầu Mơ hình quản trị mạng tập trung • Một số thuật ngữ dùng mạng quản trị tập trung: • Mơ hình quản trị mạng tập trung tương đồng với mơ hình quản trị Doanh nghiệp • Các thuật ngữ liên quan đến cách tổ chức quản lý: Quản trị mạng tập trung Quản trị Doanh nghiệp • Domain / Sub-Domain Cơng ty / Cơng ty • Domain Name Tên Cơng ty (tên Doanh nghiệp) • Relationship Mối quan hệ, liên kết Công ty • Site Trụ sở / Văn phịng Cơng ty • Organization Unit (OU) Các Phịng, Ban, Đơn vị thuộc Cơng ty • User / Group Nhân / Nhóm nhân • OU Delegation Trưởng đơn vị Mơ hình quản trị mạng tập trung • Một số thuật ngữ dùng mạng quản trị tập trung: • Các thuật ngữ liên quan đến tài nguyên, liệu, sách: Quản trị mạng tập trung Quản trị Doanh nghiệp • Computer, Printer, File, Software, Data Tài sản cơng ty • Group Policy Các sách, quy định… • DirectoryHồ sơ quản lý nhân sự, tài sản… • Schema Các sơ đồ tổ chức, tiêu chuẩn, quy cách, thành phần sơ đồ • Database Domain Dữ liệu lưu trữ hồ sơ quản lý, sơ đồ tổ chức, danh sách nhân sự, tài sản… • Authority services Dịch vụ chứng thực, chữ ký, dấu… • Domain controllerMáy chủ lưu giữ tất hồ sơ, giấy tờ… Microsoft Active Directory • Tổng quan Microsoft Active Directory – Domain Service: • Active Directory Domain Service (AD-DS) tên dịch vụ quản trị mạng tập trung hãng Microsoft (tiền thân Windows NT) • Một miền quản trị khởi đầu tối thiểu 01 máy tính có nhiệm vụ lưu giữ Domain database thực thi thao tác quản trị Máy gọi Domain Controller • Tên miền quản trị (Domain Name) sử dụng tên dịch vụ DNS (Domain Name Service) • Các tài nguyên mạng / đối tượng mạng quản lý theo danh mục (gọi Directory) Domain Controller Administrator Abc.vn Microsoft Active Directory • Domain / Tree / Forest: • Mỗi miền quản trị gọi Domain • Các Domains có quan hệ cha-con (parent-child) với gọi Domain Tree (cây) • Nhiều Domain tree có quan hệ cây-gốc (tree-root) với gộp lại gọi Forest (rừng) • Miền quản trị hệ thống gọi Forest root domain Tree-root domain Forest root domain ntt.edu.vn Texgamex.vn Child domain apd.ntt.edu.vn 10 Microsoft Active Directory • Phân cấp quản trị Forest: • Mỗi domain có tài khoản Administrator riêng có tồn quyền quản trị miền • Administrator domain “cha” có tồn quyền quản trị domain “con” • Tất domains Forest đặt Tree-root quản trị chung domain Administrator Forest root domain texgamex.vn Forest root domain ntt.edu.vn Child domain apd.ntt.edu.vn 11 Máy Domain Controller • Domain Controller: • Domain Controller (DC) máy Windows Server miền quản trị (Domain) hình thành • Mỗi Domain phải có tối thiểu máy DC • Vai trị máy DC: • Chứa liệu hệ thống Active Directory – Domain Service (AD-DS database) miền • Chứa liệu phục vụ thực thi sách nhóm (Group Policy) • Cung cấp dịch vụ chứng thục Kerberos (chứng thực bên thứ 3) • Có thể triển khai “Global Catalog Server” • Là Trung tâm phân phối khóa mã hóa liệu (Key Distribution Center – KDC) cho thành viên miền mã hóa thơng tin 12 Máy Domain Controller • Global Catalog Server: • Global Catalog (GC) liệu rút gọn từ AD-Database cho DC tra cứu cần chứng thực tài khoản • Máy DC có chứa GC gọi Global Catalog Server • GC trích từ Database domain domain khác • Minh họa: • Nếu muốn máy DC-A xác thực tài khoản thuộc Domain B máy DC-B chuyển cho DC-A liệu GC Global catalog server Schema Configuration Schema Configuration Domain A DC-A GC of B Domain A AD DS Domain B DC-B Domain B 13 Máy Domain Controller • Q trình đăng nhập chứng thực AD-DS: • Khi người dùng logon vào Windows: • Tài khoản (user / password) khai báo máy Client gởi đến DC • DC xác thực gởi trả TGT (ticket-granting ticket) Client • Client xét quyền truy cập TGT để cho/không logon vào Windows • Khi người dùng truy cập vào Server khác: • Client dùng TGT gởi cho Server • Server xét quyền truy cập TGT để cho/không cho logon vào • Chống giả mạo TGT: • TGT mã hóa • Khóa mã DC phân phối cho máy tính miền Domain controller (1) User password (2) TGT (4) TGT (5) Y/N (3) logon ? Client Server 14 Vai trị DNS AD-DS • Dịch vụ DNS: • DNS (Domain Name Service) dịch vụ cho phép đặt tên miền (domain name) thay cho IP address tên dịch vụ khác • DNS Client: máy gởi truy vấn tên miền đến DNS Server để giải đáp IP address • DNS Server: máy cung cấp dịch vụ giải đáp truy vấn DNS từ Client • Vai trị DNS AD-DS: • Mỗi Domain (miền quản trị) cần có Domain name (tên miền) định danh • Microsoft Active Directory sử dụng dịch vụ DNS cho tên miền quản trị tập trung • Tất đối tượng / tài nguyên mạng có sử dụng IP address sử dụng tên miền DNS để định danh 15 Triển khai Active Directory • Thành lập miền quản trị (Domain): • Một miền quản trị Domain hình thành: • Từ máy Domain Controller kiêm nhiệm Global Catalog Server • Sự hỗ trợ dịch vụ phân giải tên miền máy DNS Server • Thông thường, chức năng: Domain Controller, Global Catalog Server DNS Server cài đặt máy chủ • Máy Domain Controller thăng cấp từ máy Windows Server 16 Triển khai Active Directory • Thành lập miền quản trị (Domain): • Nếu thăng cấp Domain Controller thành cơng, hình thành: • • • • Một máy Domain Controller Một miền quản trị (Domain root, Tree root Forest root) Máy tính thành viên miền lúc có máy DC Có sẵn (Built-in) số Users Groups, bao gồm user tồn quyền quản trị mạng Domain Administrator • Chuẩn bị trước thành lập Domain: • Máy tính chạy Hệ điều hành Windows Server 2003/2008/2012/2016… (Máy triển khai thành Domain Controller) • Sở hữu máy chủ cung cấp dịch vụ tên miền (DNS Server) Thơng thường, sử dụng máy DC làm DNS Server • Một tên miền (Domain name) đặt cho miền quản trị (Domain) 17 Triển khai Active Directory • Điều kiện thăng cấp máy Windows Server lên thành DC: • Tên máy tính (Computer Name): đặt tên máy riêng • Địa IP: sử dụng Static IP address (IP tĩnh) • Khai báo Preferred DNS Server: • Khai báo: 127.0.0.1 muốn dùng máy DC kiêm nhiệm DNS Server • Hoặc: khai báo IP address máy DNS Server cung cấp dịch vụ DNS hữu hệ thống • Q trình triển khai Domain Controller • Trên máy Windows Server: cài đặt dịch vụ “Active Directory Domain Services (AD-DS)” • Tiến hành thăng cấp Windows Server thành Domain Controller công cụ “Promote this server to the Domain Controller” 18 Gia nhập Computer vào Domain • Ý nghĩa việc gia nhập Computer vào Domain: • Một domain thành lập, máy tính thành viên có máy Domain Controller (DC) • Các máy tính khác mạng, sau gia nhập (joined) vào Domain chịu quản trị Domain • Chỉ có tài khoản thuộc miền quản trị (Domain Users) có quyền đưa máy tính gia nhập Domain 19 Gia nhập Computer vào Domain • Chuẩn bị cho máy Client trước join vào Domain: • Đặt IP address (tĩnh động) giao tiếp với máy DC • Khai báo Preferred DNS Server IP address máy DC (nếu máy DC kiêm nhiệm DNS server) • Kiểm tra lại: • Kiểm tra giao tiếp Client – DC: lệnh: PING • Kiểm tra phân giải tên miền Domain Client: lệnh: NSLOOKUP • Hoặc: PING 20 Gia nhập Computer vào Domain • Tiến hành join máy Client vào Domain: • Phương pháp truyền thống: • Properties cho “This PC” 🡪 tab “Computer Name” 🡪 nút “Change…” • Thay đổi Computer name (nếu cần) • Chọn “Domain” phần “Member of…” • Nhập tên Domain muốn join vào • Khai báo tài khoản thuộc Domain • Restart máy client để hồn tất q trình gia nhập domain 21 Gia nhập Computer vào Domain • Offline Domain Join: • Ý nghĩa: • Offline domain join hình thức join vào domain máy client chưa kết nối mạng với DC • Quy trình: • Trên máy DC: tạo file chứa thơng tin cấu hình việc join vào domain, dùng lệnh: djoin /provision /domain tênmiền /machine tênmáy /savefile D:\tên_file • Trên máy Client: thực thi Offline domain join máy Client quyền Administrator: djoin /requestODJ /loadfile tên_file /windowspath %SystemRoot% /localOS 22 Gia nhập Computer vào Domain • Kiểm tra tồn máy Client Domain: • Trên máy DC, chạy “Active Directory Users and Computers” • Mở nhánh 🡪 Computers (danh mục quản trị máy thành viên miền) => tên máy Client tồn danh sách 23 Cám ơn ! 24