Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008 (2)

Trang 1

VIỆN ĐẠI HỌC MỞ HÀ NỘI

KHOA CƠNG NGHỆ TIN HỌC

BÀI TẬP LỚN Mơn: Quản trị mạng

Đề tài (06):

Giới thiệu và các thao tác quản trị với Active Directory trong Windows Server 2008

Sinh viên thực hiện:

Giáo viên hướng dẫn: Đinh Tuấn Long

Hà Nội - 2010

Trang 2

Active Directory – Windows Server 2008

MỤC LỤC

I Giới thiệu về Active Directory (DC) 3

1.1 Active Directory là gì ? 3

1.2 Tại sao cần thực thi Active Directory? 3

1.3 Những đơn vị cơ bản của Active Directory 4

1.3.1 Directory 4

1.3.2 Domain 4

1.3.3 Domain Controller 5

1.3.4 Forest 5

1.3.5 Organizational unit 5

1.3.6 Object (đối tượng) 5

1.3.7 Schema 6

1.3.8 Site 6

1.3.9 Tree (cây) 6

1.3.10 Trust 6

1.3.11 Infrastructure Master và Global Catalog 6

1.3.12 LDAP 7

1.3.13 Sự quản lý Group Policiy 8

1.4 Các dịch vụ của Active Directory 9

1.4.1 Active Directory Domain Services (AD DS) 9

1.4.2 Active Directory Federation Services (AD FS) 10

1.4.3 Active Directory Lightweight Directory Services (AD LDS) 11

1.4.4 Active Directory Rights Management Services (AD RMS) 12

1.4.5 Active Directory Certificate Services (AD CS) 12

II Các thao tác quản trị với Active Directory 13

1.5 Cài đặt và các thao tác quản trị với Active Directory Domain Services 13

1.5.1 Các bước chuẩn bị cài đặt 13

1.5.2 Cài đặt dịch vụ Active Directory Domain Services 19

1.5.3 Cài đặt domain đầu tiên (Domain chính) 24

1.5.4 Thêm một DC khác vào Domain 35

1.5.5 Thêm một domain dựa trên domain chính đã tồn tại 37

1.5.6 Hạ DC xuống client 38

1.5.7 Quản lý User, Group và Organizational Unit (OU) 39

1.5.8 Kết nối máy Client vào Domain 55

1.6 Cài đặt và các thao tác quản trị với Active Directory Federation Services (AD FS) 61

1.6.1 Các tác vụ cần thực hiện trước khi cài đặt ADFS 61

1.6.2 Cài đặt role ADFS và cấu hình certificate 61

1.6.3 Cấu hình web server 61

1.6.4 Cấu hình federation server 61

1.6.5 Truy cập ứng dụng từ máy client 61

Trang 3

Trang 4

1 Giới thiệu về Active Directory (DC)

1.1 Active Directory là gì ?

Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory

là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó

Nói cách khác Active Directory là một cơ sở dữ liệu với các chức năng như:

 Lưu trữ thông tin về tài khoản người dùng và các tài nguyên mạng máy tính

 Xác định tính hợp lệ của người truy cập tài nguyên mạng

 Lưu trữ thông tin mạng máy tính như là các đối tượng trong một cấu trúc phâncấp

Ngoài ra nó còn cung cấp:

 Sự quản lý tập trung

 Các khả năng tìm kiếm nâng cao

 Ủy quyền đại diện

Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng

1.2 Tại sao cần thực thi Active Directory?

Có một số lý do để lý giải cho câu hỏi trên Microsoft Active Directory được xem như

là một bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay thậm chí các mạngmáy chủ standalone Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng Nó

Trang 5

Active Directory – Windows Server 2008qua cơ chế đăng nhập một lần Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truy cập đối với tài nguyên.

Active Directory cho phép tăng cấp, hạ cấp các domain controller và các máy chủ thành viên một cách dễ dàng Các hệ thống có thể được quản lý và được bảo vệ thông qua cácchính sách nhóm Group Policies Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị Quan trọng nhất vẫn là Active Directory

có khả năng quản lý hàng triệu đối tượng bên trong một miền

1.3 Những đơn vị cơ bản của Active Directory

1.3.1 Directory

Là một kho lưu trữ duy nhất để biết thông tin về người dùng và các tài nguyên trong một tổ chức Active Directory là một loại thư mục chứa các thuộc tính và thông tin liên lạc cho một loạt các nguồn tài nguyên trong mạng để người dùng và các quản trị viên cũng có thểtìm thấy chúng dễ dàng

1.3.2 Domain

Là đơn vị chức năng nòng cốt của cấu trúc logic Avtive Directory Nó là phương tiện

để quy định tập hợp những người dùng, máy tính, tài nguyên, chia sẻ có những quy tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các server dễ dàng hơn Domain đáp ứng 3 chức năng chính như sau:

- Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung 1 cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền, chính sách bảo mật, các quan hệ ủy quyền với cácdomain khác

- Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ

- Cung cấp các server dự phòng làm chức năng điều khiển vùng (domain Controller), đồng thời đảm bảo các thông tin trên các server này được đồng bộ với nhau

Trang 5

Trang 6

1.3.4 Forest

Forest là một bộ phận chứa đựng logic lớn nhất trong Active Directory Domain

Services và bao gồm tất cả các domain thộc phạm vi hoạt động của nó, tất cả đều liên kết với nhau thông qua ủy thác bắc cầu được xây dựng tự động Bằng cách này, tất cả các domain trong một forest tự động ủy thác các domain khác trong forest

Các Forest không bị hạn chế theo địa lý hoặc topo mạng Một forest có thể gồm nhiều

miền, mỗi miền lại chia sẻ một lược đồ chung Các thành viên miền của cùng một forest thậmchí không cần có kết nối LAN hoặc WAN giữa chúng Mỗi một mạng riêng cũng có thể là một gia đình của nhiều forest độc lập Nói chung, một forest nên được sử dụng cho mỗi một thực thể Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài forest tham gia sản xuất

1.3.5 Organizational unit

Nhóm các mục trong domain nào đó Chúng tạo nên một kiến trúc phân cấp cho

domain và tạo cấu trúc tổ chức của Active Directory theo các điều kiện tổ chức và địa lý

1.3.6 Object (đối tượng)

Trong Active Directory Domain Services, một object có thể là một phần của direcrory,

có thể là một user, một group, một thư mục chia sẻ, một máy in, một liên hệ, và thậm chí là

cả một organizational units Object là thực thể duy nhất trong directory của bạn mà có thể quản lý trực tiếp

Trang 7

Active Directory – Windows Server 2008Services được gọi là thuộc tính Schema của Active Directory Domain Services cũng hỗ trợ chuẩn theo lớp, hoặc kiểu của object Lớp mô tả một object và các tài sản liên quan được yêu cầu để tạo ra một phiên bản của đối tượng Ví dụ các đối tượng user là minh họa của lớp user.

1.3.8 Site

Là tập hợp các máy tính ở các vị trí địa lý khác nhau, được kết nối tối thiểu qua một liên kết Site thường được dùng để xác định cách điều khiển domain được cập nhật liên tục Active Directory Domain Services sẽ lựa chọn phương pháp của nó để phân phối các bản cậpnhật (một quá trình gọi là tái tạo lại) dựa vào cách bạn cấu hình một site để giữ cho sự lưu thông qua một liên kết WAN là đỡ tốn kém nhất

1.3.9 Tree (cây)

Cây là một tập hợp các domain mà bắt đầu từ một gốc duy nhất và rẽ nhánh ra ngoại

vi, domain con Cây có thể được liên kết với nhau trong forest Và cây cũng chia sẻ một DNStên miền không gian liên tục

1.3.10 Trust

Trust trong Active Directory Domain Services là một phương pháp giao tiếp an toàn giữa các domain, tree, forest Cũng giống như chúng từng làm việc trong Windows NT, trust cho phép người dùng trong một Active Directory Domain Services domain phải xác thực để điều khiển miền khác trong vùng khác, domain khác trong directory Trust chỉ có thể đi theo một chiều (từ A đến B, không thể từ B đến A), bắc cầu ( A trust B và B trust C, do đó A trust C), hoặc liên kết ngang (A đến C và B đến D)

1.3.11 Infrastructure Master và Global Catalog

Một thành phần chính khác bên trong Active Directory là Infrastructure Master

Infrastructure Master (IM) là một domain-wide FSMO (Flexible Single Master of

Operations) có vai trò đáp trả trong quá trình tự động để sửa lỗi (phantom) bên trong cơ sở dữ

liệu Active Directory

Phantom được tạo ra trên các DC, nó yêu cầu một sự tham chiếu chéo cơ sở dữ liệu giữa một đối tượng bên trong cơ sở dữ liệu riêng và một đối tượng từ miền bên trong forest

Ví dụ có thể bắt gặp khi bạn bổ sung thêm một người dùng nào đó từ một miền vào một

Trang 7

Trang 8

Active Directory – Windows Server 2008nhóm bên trong miền khác có cùng forest Phantom sẽ bị mất hiệu lực khi chúng không chứa

dữ liệu mới cập nhật, điều này xuất hiện vì những thay đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện, ví dụ như khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu

đó giữa các miền, hay vị xóa Infrastructure Master có khả năng định vị và khắc phục một số phantom Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi đều được tạo bản sao đến tất cả các

DC còn lại bên trong miền

Infrastructure Master đôi khi bị lẫn lộn với Global Catalog (GC), đây là thành phần duy trì một copy chỉ cho phép đọc đối với các domain nằm trong một forest, được sử dụng cho lưu trữ nhóm phổ dụng và quá trình đăng nhập,… Do GC lưu bản copy không hoàn chỉnhcủa tất cả các đối tượng bên trong forest nên chúng có thể tạo các tham chiếu chéo giữa miền không có nhu cầu phantom

1.3.12 LDAP

LDAP (Lightweight Directory Access Protocol) là một phần của Active Directory, nó

là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân hoặc các tài nguyên khác như file và thiết bị trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội

bộ trong công ty

Trong một mạng, một thư mục sẽ cho bạn biết được nơi cất trữ dữ liệu gì đó Trong các mạng TCP/IP (gồm có cả Internet), domain name system (DNS) là một hệ thống thư mục được sử dụng gắn liền tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng) Mặc dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm những cụ thể mà không cần biết chúng được định vị ở đâu

Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới đây:

Thư mục gốc có các nhánh con

Trang 9

 Individuals (cá thể, gồm có người, file và tài nguyên chia sẻ, chẳng hạn như

printer)

Một thư mục LDAP có thể được phân phối giữa nhiều máy chủ Mỗi máy chủ có thể

có một phiên bản sao của thư mục tổng thể và được đồng bộ theo chu kỳ

Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các thông tin trong Active

Directory, cần tạo các truy vấn LDAP hữu dụng khi tìm kiếm các thông tin được lưu trong cơ

sở dữ liệu Active Directory

1.3.13 Sự quản lý Group Policiy

Khi nói đến Active Directory chắc chắn chúng ta phải đề cập đến Group Policy Các quản trị viên có thể sử dụng Group Policy trong Active Directory để định nghĩa các thiết lập người dùng và máy tính trong toàn mạng Thiết lập này được cấu hình và được lưu trong Group Policy Objects (GPOs), các thành phần này sau đó sẽ được kết hợp với các đối tượng Active Directory, gồm có các domain và site Đây chính là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính và người dùng trong môi trường Windows

Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết lập desktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập đối với các file hoặc thư mục nào đó bên trong mạng

Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử dụng như thế nào Group Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sử dụng trước, sau đó là các chính sách site, chính sách miền, chính sách được sử dụng cho các OU riêng Ở một thời điểm nào đó, một đối tượng người dùng hoặc máy tính chỉ có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên kết với site hoặc miền đó

Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template (GPT) và Group Policy Container (GPC) Group Policy Template có trách nhiệm lưu các thiết lập đượctạo bên trong GPO Nó lưu các thiết lập trong một cấu trúc thư mục và các file lớn Để áp dụng các thiết lập này thành công đối với tất cả các đối tượng người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các DC bên trong miền

Trang 9

Trang 10

Active Directory – Windows Server 2008Group Policy Container là một phần của GPO và được lưu trong Active Directory trên các DC trong miền GPC có trách nhiệm giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của GPO GPC không chứa nhiều thông tin có liên quan đến GPO tương ứng với nó, tuy nhiên nó

là một thành phần cần thiết của Group Policy Khi các chính sách cài đặt phần mềm được cấuhình, GPC sẽ giúp giữ các liên kết bên trong GPO Bên cạnh đó nó cũng giữ các liên kết quan

hệ khác và các đường dẫn được lưu trong các thuộc tính đối tượng Biết được cấu trúc của GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề nào đó có liên quan đến GP

1.4 Các dịch vụ của Active Directory

1.4.1 Active Directory Domain Services (AD DS)

Active Directory Domain Services (AD DS), trước đây được biết tới với tên gọi ActiveDirectory Directory Services, là một khu vực để tập trung thông tin cấu hình, các yêu cầu xácthực và thông tin về tất cả những đối tượng được lưu trữ trong phạm vi hệ thống của bạn Dùng Active Directory, bạn có thể quản lý một cách hiệu quả các người dùng, máy tính, nhóm làm việc, máy in, ứng dụng và các đối tượng khác theo thư mục từ một khu vực tập trung và bảo mật Những tính năng nâng cao đối với AD DS trong Windows Server 2008 baogồm:

 Auditing: Những thay đổi được thực hiện đối với các đối tượng trong Active

Directory có thể được lưu lại để bạn biết được những thay đổi diễn ra đối với đối tượng đó, cũng như các giá trị mới và giá trị cũ của những thuộc tính đã thay đổi

 Fine-Grained Passwords: Có thể cấu hình các chính sách về mật khẩu cho các

nhóm phân biệt nằm trong domain Mỗi tài khoản trong phạm vi domain sẽ không còn phải sử dụng cùng một chính sách về mật khẩu nữa

 Read-Only Domain Controller: Là một Domain Controller với cơ sở dữ liệu

Trang 11

Active Directory – Windows Server 2008Controllers (RODCs) không cho những thay đổi diễn ra tại khu vực chi nhánh có thể gây hại hoặc đánh sập AD forest của bạn thông qua quá trình sao chép Nhờ có RODC, cũng không cần thiết phải sử dụng một site trung gian cho các domain controller tại văn phòng chi nhánh, hoặc không cần gửi đĩa cài đặt và người quản trịdomain tới khu vực văn phòng chi nhánh

 Restartable Active Directory Domain Services: đặc điểm này giúp bạn khởi động

lại AD DS trong khi vẫn giữ nguyên trạng thái hoạt động của Domain Controller, giúp bạn hoàn thành những thao tác offline môt cách nhanh chóng

 Database Mounting Tool: Một snapshot trong cơ sở dữ liệu Active Directory có

thể được đưa vào bằng công cụ này Điều này cho phép người quản trị domain quansát các đối tượng nằm trong snapshot để xác định những yêu cầu liên quan tới việc khôi phục khi cần thiết

1.4.2 Active Directory Federation Services (AD FS)

Active Directory Federation Services (AD FS) là một giải pháp cho phép người dùng truy cập các ứng dụng web chỉ cần một lần đăng nhập cho dù người dùng và ứng dụng nằm trong các mạng hoặc tổ chức hoàn toàn khác nhau

Thông thường khi một ứng dụng thuộc một mạng và người dùng thuộc một mạng khác, người dùng được yêu cầu nhập một tài khoản thứ hai để truy cập ứng dụng (đăng nhập thứ cấp)

Với ADFS người dùng không còn được yêu cầu đăng nhập thứ cấp bằng tài khoản thứ hai này nữa bởi mối quan hệ tin cậy đã được thiết lập giữa các mạng Trong môi trường liên đoàn(federated), mỗi tổ chức tiếp tục quản lý các tài khoản riêng của mình nhưng mỗi tổ chức vẫn

có thể bảo vệ ứng dụng và thừa nhận tài khoản truy cập từ các tổ chức khác

Quá trình xác thực một mạng trong khi truy cập tài nguyên của một mạng khác mà không bắt người dùng phải đăng nhập thứ cấp gọi là single sign-on (SSO) ADFS hỗ trợ giải pháp SSO trên nền web trong một phiên làm việc của người dùng

Trang 11

Trang 12

Active Directory – Windows Server 2008Đối với ADFS có hai loại tổ chức:

- Tổ chức tài nguyên (resource organization): là tổ chức đang sở hữu và quản lý tài nguyên cóthể được truy cập từ các đối tác tin cậy

- Tổ chức tài khoản (account organization): là tổ chức đang sở hữu và quản lý tài khoản có thể truy cập tài nguyên từ các tổ chức tài nguyên ở trên

1.4.3 Active Directory Lightweight Directory Services (AD LDS)

Active Directory Lightweight Directory Service (AD LDS), trước đây được biết đến với tên gọi Active Directory Application Mode, có thể được sử dụng để đem tới các dịch vụ thư mục hoặc các ứng dụng theo thư mục Thay vì sử dụng cơ sở dữ liệu AD DA của tổ chức,bạn có thể sử dụng AD LDS để lưu trữ dữ liệu AD LDS có thể sử dụng kết hợp với AD DS

để mang tới cho bạn một khu vực tập trung dành cho các tài khoản bảo mật (AD DS) và một khu vực khác để hỗ trợ cấu hình ứng dụng và dữ liệu thư mục (AD LDS) Sử dụng AD LDS,bạn có thể: giảm bớt các chi phí liên quan tới việc sao chép Active Directory; không cần mở rộng lược đồ Active Directory để hỗ trợ ứng dụng; và có thể phân vùng cấu trúc thư mục sao cho dịch vụ AD LDS chỉ được triển khai tới những máy chủ cần hỗ trợ các ứng dụng theo thưmục Những đặc tính nâng cao đối với AD LDS trong Windows Server 2008 bao gồm:

 Cài đặt từ Media Generation: Khả năng tạo các phương tiện cài đặt cho AD

LDS bằng Ntdsutil.exe hoặc Dsdbutil.exe

 Kiểm toán: Kiểm tra những giá trị đã thay đổi trong phạm vị dịch vụ thư mục.

 Database Mounting Tool: Cho phép bạn xem dữ liệu trong phạm vi các

snapshot của file cơ sở dữ liệu

 Active Directory Sites and Services Support: Cho phép bạn sử dụng các

Active Directory Sites and Services để quản lý việc sao lại những thay đổi dữ liệu của

Trang 13

 Dynamic List of LDIF files: Với đặc tính này, bạn có thể liên kết các file LDIF

tùy biến với các file LDIF mặc định hiện có được dùng để thiết lập AD LDS trên một máy chủ

 Recursive Linked-Attribute Queries: Các truy vấn LDAP có thể theo những

đường dẫn có cấu trúc mạng lưới của thuộc tính để xác định các tính chất bổ xung của thuộc tính, như là thành viên nhóm

1.4.4 Active Directory Rights Management Services (AD RMS)

Là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS –

enable application), nhằm bảo vệ dữ liệu quan trọng ( báo cáo tài chính,thông tin khách hàng,đơn hàng,sổ sách kê khai kế toán v v.) trước những đối tượng người dùng không được phép (unauthorized users).Với AD RMS, bạn có thể xác định những ai có thể thực hiện các thao tác như xem, chỉnh sửa, in ấn…, trên dữ liệu của mình

1.4.5 Active Directory Certificate Services (AD CS)

Là một dịch vụ được dùng để sinh ra và quản lý các certificate trên những hệ thống sử dụng công nghệ public key Bạn có thể sử dụng AD CS để tạo ra các máy chủ chúng thực CA( Certification Authorities) Các CA có tác dụng nhận yêu cầu về chứng thực, sau đó xử lý và gửi các chứng thực đó về lại cho đối tượng đã gửi yêu cầu Những tính năng nâng cao đối với

AD CS trong Windows Server 2008 bao gồm:

 Enrollment Agent Templates: Có thể gán các delegated enrollment

agent theo mỗi template

 Integrated Simple Certificate Enrollment Protocol (SCEP): Các chứng

nhận có thể được cấp tới thiết bị mạng, chẳng hạn các bộ định tuyến

 Online Responder: Có thể gửi lại các mục Certificate Revocation List

(CRL) tới người yêu cầu như một đáp ứng chứng nhận đơn nhất thay vì toàn bộ CLR Điều này giúp giảm bớt tổng lưu lượng mạng được sử dụng khi các máy trạm thẩm định các chứng chỉ

 Enterprise PKI (PKI View): Một công cụ quản lý mới cho AD CS, công

cụ này cho phép người quản trị Certificate Services quản lý các phân cấp

Trang 13

Trang 14

Active Directory – Windows Server 2008Certification Authority (CA) để xác định tình trạng tổng thể của các CA

và dễ dàng khắc phục lỗi

2 Các thao tác quản trị với Active Directory

2.1 Cài đặt và các thao tác quản trị với Active Directory Domain Services

2.1.1 Các bước chuẩn bị cài đặt

 Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình

 Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lậpcủa mình vào trong DNS

2.1.1.1 Đặt địa chỉ IP cho máy chủ

Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là 192.168.1.1, DNS cũng là 192.168.1.1

Trang 15

Hình 1.1

2.1.1.2 Cài đặt và cấu hình DNS

Chọn Start  Server Manager  Roles  DNS Server

Chuột phải tại mục Forward Lookup Zone  chọn New zone

Chọn Next tại cửa sổ kế tiếp và Chọn Primary Zone tại cửa sổ kế

Trang 15

Trang 16

Trong cửa sổ kế bạn có thể chọn một trong 3 tùy chọn sau:

1 To all DNS server in this forest: Áp dụng với tất cả DNS server trong foresr này

2 To all DNS server in this domain: Áp dụng với tất cả DNS server trong domain

3. To all domain controllers in this domain: Áp dụng tới tất cả các domain

controller trong domain này

Sau đó chọn Next để tiếp tục

Trang 17

Active Directory – Windows Server 2008Trình cài đặt yêu cầu bạn nhập tên cho zone mới Nhập tên và chọn Next

Trong cửa sổ kế bạn chọn Allow both nonsecure and secure dynamic update đây là bắt buộc để khi cài đặt Active Directory sẽ tự động ghi các Record vào DNS

Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS Công việc của bạn chưa kết thúc, bạn vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS

Trang 17

Trang 18

Active Directory – Windows Server 2008Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory, nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên Zone vừa tạo ra

Chỉnh lại NS Record bằng cách tương tự

Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa Ở đây tôi tạo ra một Host A record là Server01.fithou.net địa chỉ IP là 192.168.1.11

Chuột phải vào vnexperts.net Zone chọn Host A record

Trang 19

Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn:

Ping server01.fithou.net nếu có reply là thành công

2.1.1.3 chú ý

 Nếu muốn bổ sung server này vào một forest đã tồn tại trên Windows Server

2000,Windows Server 2003 bạn phải cập nhật thông tin về forest bằng lệnh

adprep /forestprep

Trang 19

Trang 20

 Nếu muốn bổ sung server này vào một domain đã tồn tại trên Windows Server

2000,Windows Server 2003, bạn phải cập nhập thông tin về domain và group policy

bằng lệnh adprep /domainprep /gpprep

 Nếu muốn cài đặt một Read-Only Domain Controller, bạn phải chuẩn bị forest bằng

lệnh adprep /rodcprep

2.1.2 Cài đặt dịch vụ Active Directory Domain Services

Ở Windows Server 2003, để cài đặt thêm các dịch vụ như DHCP,DNS …vào

Add/Remove Windows Components Ở Windows Server 2008 được thay thế bằng công cụ

quản trị Server Manager với các Roles và Features.Vì mặc định Windows Server 2008 chưa

cài đặt các dịch vụ nên bạn phải cài đặt dịch vụ AD DS trước khi lên Domain Controller Cácbước cài đặt cụ thể được trình bày dưới đây:

 Vào Server Manager  Roles  Add Roles

Nhấn Next để tiếp tục

Trang 21

Nhấn Next.Tại bảng Active Directory Domain Services giới thiệu cho bạn về dịch vụ này và một số lưu ý khi cài đặt trong phần Things to Note

Trang 21

Trang 22

Chọn Next để tiếp tục.Tại bảng Confirm Installation Selections sẽ yêu cầu bạn xác nhận lần cuối trước khi cài đặt.Chọn Install

Trang 23

Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services

Trang 23

Trang 24

Chọn Close để hoàn tất

Trang 25

2.1.3 Cài đặt domain đầu tiên (Domain chính)

Các domain đầu tiên trong việc cài đặt Active Directory Domain Services là đặc biệt vìmột vài lý do: Nó sẽ trở thành domain controller đầu tiên cho domain mới và domain này sẽ trở thành gốc của toàn bộ forest

Các bước cài đặt cụ thể được thể hiện chi tiết dưới đây:

 Vào Run gõ dcpromo và chọn OK

Trang 25

Trang 26

Đợi trong vài giây để hệ thống kiểm tra đã cài đặt dịch vụ AD DS chưa Tại bảng

Welcome to the Active Directory Domain Services Installation Wizard chọn Next

Tại bảng Operating System Compability sẽ cho bạn biết về tính tương thích của Windows

Server 2008 Nhấn Next để tiếp tục

Trang 27

Tại bảng Choose a Deployment Configuration chọn Create a new domain in a new

forest để tạo một domain mới trên một forest mới và nhấn Next để tiếp tục

Trang 27

Trang 28

Tại bảng Name the Forest Root Domain.Tại ô FQDN of the forest root domain gõ tên domain vào.Sau đó chọn Next và chờ vài giây để hệ thống kiểm tra tên domain đã sử

dụng chưa (ví dụ: fithou.net)

Trang 29

Tại bảng Set Forest Functional Level, nên chọn phiên bản Windows Server 2008 để tận

dụng hết tính năng Sau đó chọn Next để tiếp tục.

Trang 29

Trang 30

Tại bảng Additional Domain Controller Options, hệ thống đã kiểm tra xem thử dịch vụDNS Server đã có chưa, và tự động đánh dấu cài đặt DNS Server Lưu ý là bạn không thể cài

đặt Read-only domain controller trên DC đầu tiên này Sau đó nhấn Next để tiếp tục.

Lưu ý: Bạn có thể nhận được một cảnh báo bạn nếu máy của bạn hiện tại đang cấu

hình để sử dụng địa chỉ IP động Đối với kết quả tốt nhất, các máy chủ DNS nên sử dụng địa chỉ IP tĩnh, do đó, nó sẽ cho bạn một cơ hội để sử dụng địa chỉ IP tĩnh Tiếp theo, bạn có thể nhận được một cảnh báo về DNS không thể tìm thấy một khu cấp cao có thẩm quyền Điều này chỉ thích hợp cho bạn nếu bạn đang cài đặt một bộ điều khiển domain trong một môi trường hoàn toàn đã được thiết lập Vì chúng ta đang cài đặt DNS từ đầu trong tiến trình này, chúng ta có thể bỏ qua nó

Trang 31

Chọn Next Tại bảng Location for Database, Log File, and SYSVOL cho phép bạn thiết lập đường dẫn của database, log file và sysvol Hãy để mặc định trong C:\Windows

Trang 31

Trang 32

Chọn Next để tiếp tục Tại bảng Directory Services Restore Mode Administrator

Password, thiết lập password Lưu ý, password này không phải là password của tài khoản Administrator trong domain và password phải theo kiểu complexity (gồm các kí tự

a,A,@,1….) Ví dụ chọn password là pass@word1

Trang 33

Chọn Next Tại bảng Summary cho bạn biết thông tin mà bạn đã thiết lập ở trên Nếu

đã đúng và đầy đủ, chọn Next để thực hiện việc cài đặt

Trang 33

Trang 34

Đợi hệ thống cài đặt xong chọn Finish để kết thúc quá trình cài đặt

Trang 35

Bạn phải khởi động lại server để việc cài đặt có hiệu lực

Kiểm tra hệ thống

Trang 35

Trang 36

2.1.4 Thêm một DC khác vào Domain

Để máy chủ Domain Controller mới hoạt động với chức năng tương đương với máy chủ Domain Controller đầu tiên phải đáp ứng:

 Cung cấp giải pháp tên miền DNS cho các máy Client

 Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory

Máy chủ đầu tiên chứa toàn bộ dữ liệu DNS và các thiết lập khác trên DNS Để máy chủ thứ hai này cũng có khả năng đáp ứng các yêu cầu DNS của Client chúng ta cần phải tạomột bản sao bao gồm dữ liệu DNS giống hệt máy chủ đầu tiên Các bước thực hiện như sau:

Bước 1: Cấu hình trên máy chủ dc1.fithou.net cho phép máy khác tạo Secondary Zone

Trang 37

Active Directory – Windows Server 2008Chuột phải tại mục Forward Lookup Zone Trong cửa sổ DNS chọn forward lookup zone trong đó có Zone fithou.net đã tạo ra trong phần 2.1.1.2 Chuột phải vào tab Zone

Tranfers

Chọn Allow Zone Transfers có 3 options cho bạn lựa chọn:

1 to any server: cho tất cả các máy tính đều lấy được dữ liệu DNS

2 Chỉ cho phép máy chủ nào trong NS record (mặc định khi nâng cấp lên Domain

Controller)

3 Chỉ cho phép các máy chủ dưới đây

Sau khi lựa chọn  OK để hoàn tất

 Bước 2: tạo Secondary Zone từ máy chủ khác chuẩn bị cài đặt làm Domain ControllerCài đặt dịch vụ DNS như với DC đầu tiên (2.1.1.2) Nhưng chỉ khác là chọn

Secondary Zone

Trang 37

Trang 38

 Bước 3: Đặt địa chỉ IP

Đặt địa chỉ DNS là địa chỉ DNS của máy chủ dc1.fithou.net – 192.168.1.11 và địa chỉ IP của chính nó là 192.168.1.12

Trang 39

Active Directory – Windows Server 2008Quá trình cài đặt DC thực hiện theo các bước như với domain đầu tiên chỉ khác trong phần Domain Controller Type, bạn chọn: Additional domain controller for an existing domain

2.1.5 Thêm một domain dựa trên domain chính đã tồn tại

Chuẩn bị một máy tính cài Windows Server mới với tên dc3 có địa chỉ

192.168.100.13 và máy chủ dc3 sẽ là domain controller của domain: java.fithou.net

tạo ra một Secondary Zone của DNS trên máy chủ dc3 mới và đặt địa chỉ IP và DNS trước khi cài đặt Active Directory

 Đặt địa chỉ IP sao cho máy tính dc3 nhận biết được domain fithou.net

Quá trình cài đặt tiếp theo tương tự như đối với Domain đầu tiên (2.1.3), chỉ khác ở cửa sổ

Create a new domain bạn bắt buộc phải chọn Child domain in an existing domain tree

Và ở bước nhập tên Domain bạn nhập tên Parent domain là: fithou.net, và Child domain là: java

Trang 39

Trang 40

các bước tiếp theo thực hiện tương tự

Kiểm tra: Chúng ta có domain java.fithou.net