TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 7: TRIỂN KHAI ACTIVE DIRECTORY TRÊN NHIỀU SITES Số tín chỉ: Số tiết: 60 tiết (30 LT + 30 TH) GV: ThS Nguyễn Thị Phong Dung Email : ntpdung@ntt.edu.vn NỘI DUNG • Mạng AD-DS có nhiều Sites • Additional Domain Controller (ADC) • Quản trị FSMO roles • Global Catalog server (GC server) • Sites Subnets AD-DS • Active Directory Replication • Triển khai phần mềm GPO Mạng AD-DS có nhiều Sites • Tình huống: • Doanh nghiệp ABC có trụ sở Chi nhánh (2 sites) • Kết nối sites: • Dùng đường truyền thuê bao riêng (Lease Line) • Hoặc dùng mạng riêng ảo (VPN) • Đã triển khai hệ thống mạng Active Directory Trụ sở Mạng AD-DS có nhiều Sites • Nhu cầu quản trị mạng: • Admins Trụ sở có quyền quản trị chung tồn mạng • Tất sites chung mạng Domain (abc.vn) • Đảm bảo chức xác thực cho Client site không lệ thuộc DC Trụ sở • Đảm bảo dự phịng cố cho máy DC mạng • Đảm bảo khả hoạt động liên tục cho hệ thống AD-DS • Các nhu cầu quản trị mạng phát sinh khác Mạng AD-DS có nhiều Sites • Các nhược điểm mạng có máy DC: • Mỗi cần xác thực, Client Cần Thơ gởi yêu cầu Sài Gịn: • Thời gian xác thực lệ thuộc tốc độ đường truyền WAN kết nối sites • Nếu đường WAN bị lỗi => xác thực thất bại • Client Cần Thơ phải khai báo DNS Server máy DC: • Các truy vấn DNS ln gởi DC Sài Gịn • Nếu Sài Gịn kết nối WAN => clients Cần Thơ không truy cập • Nếu máy DC lỗi => hệ thống bị lỗi Additional Domain Controller (ADC) • Máy Additional Domain Controller (ADC): • Khái niệm: • Additional domain controller (ADC) máy Domain Controller • Cùng hoạt động song hành với Primary Domain Controller (PDC) • Ngun tắc hoạt động Additional DC: • Các tính ADC tương tự PDC • Duy trì liên lạc đồng AD-database với PDC • ADC chứng thực cho miền Relay agent (chuyển tiếp yêu cầu chứng thực PDC) • Nếu kích hoạt Global Catalog Server máy ADC chứng thực trực tiếp Additional Domain Controller (ADC) • Triển khai Additional DC từ máy Windows Server: • Chuẩn bị cho máy Windows Server (dự định thăng cấp lên ADC): • IP address Default Gateway giao tiếp với máy PDC hữu • DNS Server: trỏ PDC hữu • Khơng cần thiết phải join vào domain • Quy trình thăng cấp: • Cài đặt AD-DS role máy Windows Server • Tiến hành thăng cấp với tùy chọn chính: Thăng cấp thành Additional Domain Controller Kích hoạt trở thành DNS Server Global Catalog server (nếu cần) • Sau thăng cấp hoàn thành, trỏ DNS Server IP (127.0.0.1) Quản trị FSMO roles • Khái niệm FSMO roles: • FSMO (Flexible Single Master Operations) chức quản trị miền máy DC chia nhỏ • Có loại FSMO: FSMO Scope Roles Schema master Forest định hình thuộc tính, cấu trúc tất đối tượng forest Domain naming Forest quản lý cấu trúc miền forest, external trust với forest khác RID master Domain cấp phát Relative ID cho domain objects như: user, group, computer… Infrastructure Domain quản lý quan hệ với domains forest như: child-child, child-parent… PDC emulator Domain đồng thời gian, triển khai GPO, replicate với DC khác… Quản trị FSMO roles • FSMO loại máy DC: • Máy DC Forest root: giữ FSMO roles: • Schema master • Domain naming • Máy DC Domain: giữ FSMO: • Infrastructure • RID master • PDC emulator Quản trị FSMO roles • Transfer FSMO roles: • Định nghĩa: Transfer FSMO thao tác di chuyển quyền thực thi FSMO roles từ DC sang DC khác • Tình sử dụng: • Khi cần bảo trì máy DC mà đảm bảo hệ thống khơng gián đoạn • Khi cần nâng cấp, thay máy DC • Cơng cụ thực (dạng đồ họa): • “Active Directory User and Computer”: chuyển FSMO thuộc Domain • “Active Directory Domain and Trust”: chuyển Domain naming FSMO • “Active Directory Schema”: chuyển Schema FSMO 10 Quản trị FSMO roles • Seize FSMO roles: • Định nghĩa: Seize FSMO dành lấy (cướp) quyền thực thi FSMO roles DC • Tình sử dụng: • Khi máy DC giữ FSMO roles bị hỏng đột ngột • Cơng cụ thực hiện: • Dùng lệnh cơng cụ ntdsutil.exe (sử dụng công cụ thực hành) 11 Global Catalog server (GC server) • Global Catalog server: • Global Catalog (GC): database rút gọn từ AD-DS database • Global Catalog Server: máy DC quyền sử dụng GC, để có quyền xác thực tài khoản miền quản trị 12 Global Catalog server (GC server) • Vai trò GC Server với mạng AD-DS nhiều Sites: • Nếu ADC Cần Thơ khơng phải GC Server: • ADC tiếp nhận yêu cầu xác thực từ Clients • ADC u cầu DC Sài Gịn • DC Sài Gịn xác thực trả kết cho ADC • ADC trả kết cho Clients 13 Global Catalog server (GC server) • Vai trị GC Server với mạng AD-DS nhiều Sites: • Nếu ADC Cần Thơ GC Server: • ADC tiếp nhận yêu cầu xác thực từ Clients • ADC xác thực trả kết cho Clients • Ưu điểm: • Nhanh chóng • Khơng lệ thuộc tình trạng đường kết WAN DC Sài Gòn 14 Sites Subnets AD-DS • Dẫn nhập: • Các máy Client nhận kết phân giải tên miền quản trị (Domain name) từ DNS Server • Client gởi yêu cầu chứng thực đến DC (P.DC A.DC) AD-DS mà Client nhận phân giải IP từ DNS Server • Nhận xét trường hợp: 15 Sites Subnets AD-DS • Sites Subnets AD-DS: • Sites (địa điểm): • Site đối tượng thể cho địa điểm triển khai AD-DS • Site dùng định vị nơi đặt máy DC miền quản trị • Chỉ định nghĩa Site cho địa điểm có đặt máy DC • Subnets (địa mạng): • Subnet đối tượng đặc trưng cho Network IP address Site • => AD-DS so sánh IP address Client với Subnet để xác định Site máy Client • Chức Site Subnet: • Client thuộc Site ưu tiên gởi yêu cầu xác thực đến máy DC thuộc Site 16 Sites Subnets AD-DS • Minh họa Sites Subnets: • Công cụ “Active Directory Sites and Services” 17 Active Directory Replication • Active Directory Replication: • AD Replication trình đồng liệu AD-DS máy DC với • Dữ liệu đồng gồm: cấu trúc (schema), đối tượng (user, group, GPO…), thuộc tính đối tượng (password, policy…) • Định thời đồng bộ: • Các DC Site: 15 giây • Các DC khác Site: 180 phút 18 Active Directory Replication • AD Replication hệ thống nhiều Sites: • Giả định: • Hệ thống AD-DS có WAN-Link kết nối theo mơ hình Hub-and-Spoke • Mỗi site đặt máy DC • Vấn đề đặt ra: • Nếu DC Sài Gòn phát sinh liệu AD => đồng cho DC site • Nếu DC Hà Nội phát sinh liệu AD => đồng trực tiếp cho DC site Cần Thơ 19 Active Directory Replication • Site link Replication : • Site link: • Là đối tượng thể cho kết nối mạng vật lý có thật Sites • Dữ liệu AD đồng DC đường Site-link • Site link cost: số độ ưu tiên băng thông q trình Replication diễn • Replication interval: định thời gian lặp cho q trình đồng • Replication now: • Là thao tác ép buộc DC đồng liệu AD tức thời • Chỉ thực NTDS setting DC có thiết lập kết nối (Connection) với DC khác 20 Active Directory Replication • Minh họa Site link • Minh họa Replication now: 21 Triển khai AD-DS thực tế • Doanh nghiệp có sites: • Các yêu cầu: • Cả sites thuộc miền quản trị (domain) • Người dùng đăng nhập nhanh chóng, khơng chờ đợi • Khi có nhu cầu bảo trì máy DC, hệ thống hoạt động • Hệ thống an toàn trường hợp DC fail đột ngột • Khi cần, người quản trị Sài Gòn tạo tài khoản cho người dùng Hà Nội đăng nhập 22 Cám ơn ! 23