Bài giảng quản trị mạng chương 2 phan thị thu hồng

Trang 1 Phan Thị Thu Hồng Bộ môn Khoa học máy tính – Khoa CNTT hongptvn@gmail.com Trang 2 Tìm hiểu Active Directory Domain Services  Giới thiệu về quản trị AD  Chức năng của AD Tran

Phan Thị Thu Hồng

Bộ môn Khoa học máy tính – Khoa CNTT

hongptvn@gmail.com

1

Tìm hiểu Active Directory Domain Services

 Giới thiệu về quản trị AD

 Chức năng của AD

 Kiến trúc AD

Giới thiệu Active Directory Domain Services

 Thành phần vật lý

 Domain controllers: Chứa bản sao cơ sở dữ liệu AD DS

 Data store: Tập tin trên mỗi máy điều khiển miền chứa các thông tin DS AD

 Global catalog servers: chứa các bản sao chỉ đọc (read-only) của tất cả các đối tượng trong rừng Global catalog tăng tốc độ tìm kiếm các đối tượng có thể được lưu trữ trên những máy điều khiển miền khác nhau trong một miền khác của rừng

 Read-only domain controllers (RODC)

3

Giới thiệu Active Directory Domain Services

 Thành phần logic

 Partition: Một phần của cơ sở dữ liệu AD DS

 Schema: Định nghĩa danh sách các loại đối tượng và thuộc tính mà tất cả các đối tượng trong AD DS có thể có

 Site: là tập hợp các người dùng, các nhóm, và các máy tính được xác định bởi vị trí vật lý Site thường được dùng trong việc lên kế hoạch thực hiện sao lưu những thay đổi vào cơ sở dữ liệu AD DS

 Domain

 Domain Tree Forest

 OU (Organizational Unit)

Giới thiệu Active Directory Domain Services

 Active Directory

 Là một tổ chức có thứ bậc lưu trữ và quản lý thông tin tài nguyên (objects) như users, groups, computers ,… trong hệ thống mạng cũng như các thông tin liên quan đến các đối tượng đó

Chức năng Active Directory Domain Services

 Lưu giữ tập trung các tên tài khoản người dùng, mật khẩu tương ứng

và các tài khoản máy tính

 Cung cấp một Server đóng vai trò chứng thực (authentication

server) hoặc Server quản lý đăng nhập (logon Server), Server này

còn gọi là domain controller (máy điều khiển vùng)

 Duy trì bảng chỉ mục (index) giúp tìm kiếm nhanh tài nguyên mạng

 Cho phép tạo nhiều tài khoản người dùng với mức độ quyền (rights)

khác nhau

 Cho phép chia nhỏ miền ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit) rồi ủy quyền cho các quản

trị viên bộ phận quản lý

 Tổ chức phân cấp

Kiến trúc Active Directory Domain Services

7

 AD forest: được tạo ra từ một nhóm gồm 2 hay nhiều Domain Tree có quan hệ tin cậy với nhau - trust relationship (có thiết

lập quan hệ và ủy quyền cho nhau)

 Ví dụ: Microsoft thu mua một công ty khác Mỗi công ty này có một hệ thống Domain Tree riêng

Các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng

 Tree: là cấu trúc bao gồm nhiều Domain được sắp xếp có cấp

bậc theo cấu trúc hình cây: Domain root và Child domain

 Chú ý:

Kiến trúc Active Directory Domain Services

 DS AD forest là một khu vực bảo mật:

 Không có người dùng từ bên ngoài rừng có thể truy cập bất

kỳ tài nguyên trong rừng

 Quản trị từ bên ngoài rừng không có quyền truy cập quản trị bên trong rừng

9

Kiến trúc Active Directory Domain Services

Domain:

 Là một tập hợp những người dùng,

máy tính, tài nguyên chia sẻ dùng cho

các mục đích quản lý và bảo mật

 Đóng vai trò như một khu vực quản trị

(Administrative boundary) các đối

tượng có chung một CSDL, thư mục

dùng chung, các chính sách bảo mật, các

quan hệ ủy quyền với domain khác

 Quản lý bảo mật các các tài nguyên chia

sẻ

Kiến trúc Active Directory Domain Services

Kiến trúc Active Directory Domain Services

 Organizational Units

 Là đơn vị nhỏ nhất của AD

 Chứa các Objects phục vụ mục đích quản trị:

 Trao quyền kiếm soát tài nguyên cho một nhóm người hay một phụ tá quản trị

 Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính

sách nhóm (GPO)

11

Kiến trúc Active Directory Domain Services

 Organizational Units

Kiến trúc Active Directory Domain Services

Domain Controllers

 Domain Controller: là một máy chủ điều khiển miền được cấu hình

để lưu trữ một bản sao của cơ sở dữ liệu AD DS (NTDS.DIT) và một bản sao của thư mục SYSVOL

 Tất cả các DC trừ RODC lưu trữ một bản sao đọc / ghi của cả

NTDS.DIT và thư mục SYSVOL

 NTDS.DIT là cơ sở dữ liệu chính nó, và

 Các thư mục SYSVOL chứa tất cả các thiết lập mẫu cho các

GPO

Các bước thiết lập mô hình quản trị

 Xác định không gian tên

 Tên domain, tên máy

 Tổ chức thứ bậc các đơn vị tổ chức

 Theo mô hình hoạt động

 Theo mô hình quản trị

 Thiết lập tổ chức vật lý

 Thiết kế subnet, …

15

Nâng cấp Server thành Domain Controller

 Active Directory Installation Wizard:

 Chú ý:

 Stand-alone Server -> Domain Controller (promoting)

 Domain Controller -> Stand-alone Server (demoting)

17

Nâng cấp Server thành Domain Controller

 Chuẩn bị cài đặt

 Đổi tên máy

 Tên miền cntt.edu.vn

 Đặt địa chỉ IP tĩnh, DNS trỏ về địa chỉ IP của máy DC

 192.168.152.128

Đổi tên máy

19

Click

Đổi tên máy

Click

Cấu hình IP máy chủ

21

Các bước cài đặt

Server Manager/ Add Roles and Features

ChọnAdd roles and features

Before You Begin

 Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các

gói security

23

Click

Select installation type

 Chọn kiểu cài đặt

Chọn Role-based

or feature-bassed installation

Select destination server

Select server roles

 Chọn AD DS/ Chọn Next

Chọn AD

DS

Installation progress

27

Chọn Close khi cài đặt thành công AD DS

Click

Cài đặt và cấu hình Domain Controller

• Chọn Promote this server to a domain contronller

Click

Deployment Configuration

 Đặt tên DNS đầy đủ cho domain xây dựng

29

Click Đặt tên miền Click

Domain Controller Options

Đặt mật khẩu dùng trong trường hợp đăng nhập vào miền

Đặt mật khẩu

Location for Database, Log Files and SYSVOL

• Chọn giá trị mặc đinh (vị trí lưu trữ dữ liệu của DC)

• Chọn Next để tiếp tục

Kết thúc quá trình nâng cấp

33

Kết nối máy trạm vào Domain

 Đăng nhập máy trạm với

Kết nối máy trạm vào Domain

phải điền username và

password của tài khoản

miền

35

Kết nối máy trạm vào Domain

 Thông báo gia nhập thành công

 Khởi động lại máy để đăng nhập vào mạng

Kết nối máy trạm vào Domain

 Log on to cho phép chọn một trong hai phần là: CNTT,

This Computer

 CNTT: đăng nhập vào miền, dùng tài khoản người dùng cấp miền

 This Computer khi muốn log on cục bộ vào máy trạm

37

Các bước thực hiện

 Gia nhập member server (Server1) vào domain cntt.edu.vn

 Đăng nhập vào máy Server1 với vai trò Admin

 Server manager/ Add role and features

39

Server Manager/ Add Roles and Features

Chọn Add roles and features

Before You Begin

 Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các

gói security

41

Click

Select installation type

 Chọn kiểu cài đặt

Chọn Role-based

or feature-bassed installation

Select destination server

Select server roles

 Chọn AD DS/ Chọn Next

Chọn AD

DS

Installation progress

45

Chọn Close khi cài đặt thành công AD DS

Click

 Deployment Configuration,

 Chọn Add a domain controller to an existing domain

Click

Click Click

 Trong hộp thoại Domain Controller Options, chọn DNS

server và Global Catalog (cài đặt DNS Server thứ 2 và cấu

hình Server2 làm Global Catalog Server)

47

Click

DNS Options

Additional Options

49

Click Sao chép dữ liệu từ Server chính

 Hộp thoại Location for Database, Log Files, and SYSVOL, giữ nguyên đường dẫn mặc định, chọn Next

Installation

Kiểm tra DC đồng hành

53

Chuyển DC thành Stand-alone

 Server manager/ Local Server

Click

55

Chọn Add roles and features

Click

57

Click

Click

Chọn server để gỡ bỏ cài đặt

59

Click

Click Thực hiện hạ cấp DC trước khi gỡ bỏ AD DS

61

63

Click Click

Đặt password sau khi hạ cấp DC

Nhập password cho tài khoản Administrator sau khi hạ cấp

65

Xem lại thông tin đã lựa chọn trong

quá trình hạ cấp DC

Click

Tiến trình hạ cấp

67

Kết quả: Hạ cấp thành công

Click

Read-only Domain Controller

 Cho phép triển khai DC tại các vị trí mà sự bảo mật (về vật lý,

cơ sở hạ tầng) không được đảm bảo

 Đặc điểm:

 Tăng tốc độ đáp ứng yêu cầu từ máy trạm

 Không tham gia vào tiến trình xử lý những thay đổi trên AD

 Không tham gia đồng bộ các DC trong hệ thống mạng

 Không lưu trữ mật khẩu

 Cách xác thực:

User RODC DC Yêu cầu xác thực Gửi pass

69

RODC

 Cách xác thực như trên có hiệu quả?

 Không: vì lưu lượng truyền thông giữa các DC tăng lên

 Giải pháp: Kích hoạt Credential Caching

 Hoạt động của Credential Caching: Lưu lại mật khẩu của

user đã chứng thực thành công

 RODC có Read-only DNS dùng để phân giải tên:

 Không cập nhật DNS record vào CSDL

 Hoạt động:

 User RODC DNS server RODC Cập nhật bản ghi Gửi bản Đồng bộ

Triển khai RODC

a. Trên máy tính DC

 Tạo Site tương ứng với 1 chi nhánh Branch1

 Đăng nhập vào DC với quyền quản trị domain

 Tools/ AD Site and Services/ Right click Sites/ New/Site

73

 New Object – Site:

 Name: Branch1,

 DEFAULTIPSITELINK

 Chọn OK

Click

 Active Directory Domain Services

 Đọc kĩ thông tin để thực hiện các bước tiếp theo

75

Click

 AD Sites and Services, Right click Subnets/ New/Subnet

 Tạo Subnet cho Branch1

Tạo subnet cho defaut-fist-site-name Tạo subnet cho Brand 1

Kết quả tạo 2 subnet

77

Trên máy DC, tạo OU IT của chi nhánh triển khai RODC

Tạo OU IT

79

Đặt tên cho OU

Click

Trên máy DC, tạo Group RODC làm việc tại chi nhánh triển khai RODC

 Tạo một user dùng để ủy quyền quản trị RODC

Đăng nhập vào DC với quyền quản trị domain Tạo user tại AD Users and

Computers User này sẽ được ủy quyền quản trị RODC trong quá trình cài

đặt server này

81

Click

 Tạo một nhóm người dùng tương ứng với Branch1

 Đăng nhập vào DC với quyền quản trị domain Tạo ra nhóm RODC từ cửa

sổ Active Directory Users and Computers và Đây là nhóm bao gồm các

thành viên làm việc tại chi nhánh Branch1

83

Cách thêm user vào group

Cách thêm user vào group

RODC

 Kết nối máy tính sẽ triển khai RODC (Server1) vào

domain

 Đăng nhập vào server-rodc quyền quản trị

 Tiến hành cài đặt, cấu hình RODC

Server Manager/ Add Roles and Features

Chọn Add roles and features

Before You Begin

 Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các

gói security

Select installation type

 Chọn kiểu cài đặt

89

Chọn Role-based

or feature-bassed installation

Click

Select destination server

Chọn server

đề cài AD DS

Select server roles

Lựa chọn thêm các feature để cài đặt

93

Click Một số chú ý khi cài đặt AD DS

Một số chú ý khi cài đặt DNS server

95

Tiến trình cài đặt

 Kết thúc quá trình cài đặt AD DS, DNS server

 Nâng cấp từ Stand-alone thành RODC

Cài đặt và cấu hình RODC

• Chọn Promote this server to a domain contronller

97

Click

Click

Click

Click

Click

Click Click

101

Xem lại các tài khoản đã ủy quyền

Click

Chọn nguồn sao chép dữ liệu

103

Giữ nguyên đường dẫn

Click

Xem lại các thông tin đã lựa chọn cài đặt ở các bước trước

Kiểm tra Read-Only Domain Controller

 Đăng nhập hệ thống với tài khoản cntt\ Administrator

 AD DS\ AD Users and Computers\ DCs => SERVER 2 có DC kiểu

là Read-only

105

 Kiểm tra Server 2 nằm trong mục Servers của Branch1

 Kiểm tra Read-only DNS

 Mở DNS manager, kích chuột phải lên domain => Các chức năng tương ứng đã bị mờ

107

Cấu hình Password Replication Policy

 Để server RODC có thể đồng bộ mật khẩu với DC cần cấu hình Password Replication Policy (Nhóm người dùng ở chi nhánh Branch1 được phép đồng bộ mật khẩu)

 Đăng nhập RODC với quyền Administrator của DC

 Mở cửa sổ AD Users and Computers

 Trong OU Domain Controllers, kích chuột phải lên Server2,

chọn Propeties/ Password Replication Policy

Password Replication Policy

109

 Chọn Add

Add Groups, Users and Computers

 Chọn Allow passwords for the account to replication this RODC

Select Users, Computers, Service Accounts,

 RODC đã xuất hiện trong hộp thoại SERVER2 Propeties