Dịch vụ thư mục (ACTIVE DIRECTORY) Cấu hình và cài đặt

Trước hết chúng ta hãy đi tìm hiểu xem Active Directory là gì. Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows. Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó.Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ điều hành. Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission.

Mục lục

Chương 1 Tổng quan về Window Server 2008 2

1.1 Giới thiệu tổng quan về window server 2008 2

1.2 Các tính năng trên Window Server 2008 3

1.2.1 Dịch vụ thư mục (ACTIVE DIRECTORY) 3

1.2.2 Chính sách hệ thống và chính sách nhóm 3

1.2.3 Quản lý thư mục và ổ đĩa 4

1.2.4 Quản lý các dịch vụ mạng 4

Chương 2 Dịch vụ thư mục (Active Directory) 10

2.1 Active Directory Domain Control 10

2.1.1 Giới thiệu Active Directory 10

2.1.2 Khái niệm 10

2.1.3 Chức năng 10

2.2 Child Domain 11

2.3 Server đồng hành 11

2.4 Read Only Domain Control (RODC) 11

Chương 3 CẤU HÌNH VÀ CÀI ĐẶT 13

3.1 Active Directory Domain Control 13

3.2 Child Domain 26

3.3 Server đồng hành 37

3.4 Read Only Domain Control (RODC) 39

LỜI MỞ ĐẦU

Window Server 2008 là hệ điều hành Windows Server thiết kế nhằm tăng sứcmạnh cho các mạng, ứng dụng và dịch vụ Web thế hệ mới Với Windows Server 2008,người quản trị có thể phát triển, cung cấp và quản lý các trải nghiệm người dùng và ứngdụng phong phú, đem tới một hạ tầng mạng có tính bảo mật cao, và tăng cường hiệu quả

về mặt công nghệ và giá trị trong phạm vi tổ chức của mình Windows Server 2008 kếthừa những thành công và thế mạnh của các hệ điều hành Windows Server thế hệ trước,đồng thời đem tới tính năng mới có giá trị và những cải tiến mạnh mẽ cho hệ điều hành

cơ sở này Với tính năng Active Directory, Window server 2008 có thể tạo ra các vùng(Domain) để có thể dễ dàng quản lý, áp dụng các chính sách đối với toàn bộ các máytrong miền, giúp nâng cao khả năng bảo mật, tính an toàn, tăng cường hiệu năng quản

lý, nâng cấp các máy trong domain

Theo sự phân công của thầy giáo giảng dạy môn Quản trị mạng máy tính, nhómchúng em thực hiện đề tài “Tìm hiểu và xâu dựng Domain Controller, Child Domain,Server đồng hành, RODC” Đề tài được chia thành 3 phần:

Phần 1: Tổng quan về Window Server 2008

Phần 2: Dịch vụ thư mục Active Directory

Phần 3: Cấu hình và cài đặt

Sự hiểu biết của nhóm chúng em về lĩnh vực này còn nhiều thiếu sót nên chúng emrất mong được sự thông cảm và góp ý chân thành của thầy giáo Chúng em chân thànhcảm ơn!

1

Chương 1 Tổng quan về Window Server 2008 1.1 Giới thiệu tổng quan về window server 2008

- Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành WindowsServer, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạtầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơnhẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắchơn các phiên bản trước đây

- Windows Server 2008 đem tới tính năng mới, có giá trị cùng những cải tiến mạnh

mẽ cho hệ điều hành lõi Windows Server để giúp các tổ chức ở mọi quy mô tăng cườngkhả năng kiểm soát, tính sẵn có, và linh hoạt nhằm đối phó với nhu cầu kinh doanh luônbiến đổi của họ

- Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc bảođảm tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từmạng Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điềuhành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ chocác doanh nghiệp

- Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nềntảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đếnnhững trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiệnmạnh mẽ cho hệ điều hành cơ bản

- Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính năng mới,Windows Server 2008 cung cấp nhiều cải thiệm tốt hơn cho hệ điều hành cơ bản so với

hệ điều hành Windows Server 2003

- Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảomật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công cụkiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thốngfile

- MS Windows Server 2008 chứa nhiều tính năng cải thiện, hỗ trợ tối đa cho hệthống mạng doanh nghiệp Trong đó nổi bật nhất là công nghệ ảo hóa giúp tối ưu hóa hạtầng mạng của doanh nghiệp khai thác tối đa hiệu suất của phần cứng server x64, cùngvới sự ra đời của MS Windows Server core giúp cho doanh nghiệp có thể triển khai hệthống server chỉ hỗ trợ dòng lệnh sẽ giúp bảo mật hơn và giảm bề mặt tấn công, nhữngtính năng mới trong kết nối mạng của MS Windows Server 2008 giúp cải thiện cho hệ

thích với các chuẩn mạng mới Một điểm nỗi bật nữa đó là Web server với IIS 7.0 (mớinhất IIS 7.5) bảo mật hơn, sẵn sàng hơn, hỗ trợ hosting mạnh mẽ hơn MS WindowsServer 2008 hỗ trợ quản trị tối đa trong việc quản trị bằng giao diện đồ họa, bằngWindows Remote Management và Windows Powershell.

1.2 Các tính năng trên Window Server 2008

1.2.1 Dịch vụ thư mục (ACTIVE DIRECTORY)

Active Directory là một kiến trúc độc quyền của Microsoft Đây là một kiến trúckhông thể thiếu được trên Window Server Active Directory được hiểu nôm na là mộtdịch vụ thư mục Tương tự như dịch vụ trên các hệ thống khác, như Novell, ActiveDirectory là một hệ thống được chuẩn hóa với khả năng quản trị tập trung về ngườidùng cũng như các nguồn tài nguyên trong một hệ thống mạng Active Directory được

sử dụng trong mô hình mạng Client/Server

Active Directory là dịch vụ thư mục có vai trò lưu giữ toàn bộ thông tin và cơ sởcủa các đối tượng (object) trong hệ thống mạng như tài khoản người dùng (user), tàikhoản nhóm (user group) máy tính (computer) máy in, ứng dụng (application)… ActiveDirectory cung cấp tất cả thông tin của một đối tượng cho các dịch vụ cần thiết, ví dụcung cấp thông tin cho việc chứng thực khi user truy cập vào tài nguyên Khi sử dụngActive Directory trong Window Server 2008 ta có thể tạo ra một hạ tầng mạng bảo mật,

dễ dàng quản lý user, computer, account và các tài nguyên Ngoài ra ta có thể sử dụngActive Directory để hỗ trọe cho những ứng dụng khác như Exchange Server

1.2.2 Chính sách hệ thống và chính sách nhóm

Trong công tác quản trị mạng Window Server việc ứng dụng các chính sách tácđộng lên hệ thống đảm bảm hệ thống luôn được quản lý giám sát Chính sách hệ thốngxuất hiện cả trên môi trường nhóm làm việc (Work group) và miền (Domain)

Trên môi trường Workgroup chính sách hệ thống xuất hiện trong tác vụ LocalPolicy

Trên môi trường Domain đối với hệ thống Window Server 2008 chính sách hệthống xuất hiện trên 2 công cụ:

+ Domain Security Policy giúp người quản trị thiết lập chính sách bảo mật hệthống có phạm vi tác động lên toàn miền

+ Domain Controller Security policy giúp người quản trị thiết lập chính sách bảomật hệ thống có phạm vi tác động lên máy DC

Đặc điểm Policy:một Policy có 3 trạng thái:

+ Trạng thái mặc định do hệ thống tự thiết lập (Not Defined)

3

+ Đồng ý với chính sách policy đưa ra (Enable: bật)

+ Không đồng ý với chính sách đưa ra (Disable: tắt)

1.2.3 Quản lý thư mục và ổ đĩa

Quản lý tập tin quản lý việc lưu trữ và định vị các tập tin trên đĩa cứng WindowsServer 2008 hỗ trợ hệ thống quản lý tệp tin NTFS Hệ thống NTFS được giới thiệu cùngvới phiên bản Window NT đầu tiên Với không gian địa chỉ 64 bit, khả năng thay đổikích thước của Cluster độc lập với dung lượng của đĩa cứng, NTFS hầu như đã loại trừđược những hạn chế về số Cluster, kích thước tối đa của tập tin trên một phân vùng đĩacứng NTFS sử dụng bảng quản lý tập tin (MFT – Master File Table) thay cho bảng cấpphát tập tin (FAT – File Allocation Table) quen thuộc nhằm tăng cường khả năng lưutrữ, tính bảo mật cho tập tin, thư mục, khả năng mã hóa dữ liệu đến từng tập tin Ngoài

ra, NTFS có khả năng chịu lỗi cao, cho phép người dùng đóng một ứng dụng “chết”(not responding) mà không làm ảnh hưởng đến các ứng dụng khác

1.2.4 Quản lý các dịch vụ mạng

Dịch vụ mạng trên Window Server 2008 gồm có những dịch vụ chính như: dịch

vụ tên miền DNS, dịch vụ cấp phát IP DHCP, dịch vụ WEB, dịch vụ truyền file FTP,dịch vụ MAIL

1.2.4.1 Dịch vụ tên miền DNS

Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhaucần phải biết rõ địa chỉ IP của nhau Nếu số lượng máy tính nhiều thì việc nhớ nhữngđịa chỉ IP này là rất khó khăn Mỗi máy tính ngoài địa chỉ IP còn có tên (hostname) Đốivới con người, việc nhớ tên này dù sao cũng dễ dàng hơn vì chúng có tính trực quan và

có tính gợi nhớ hơn địa chỉ IP Vì thế, người ta nghĩ ra cách làm sao ánh xạ địa chỉ IPthành tên máy tính Ban đầu do quy mô mạng ARPANET (tiền thân của mạng internet)còn nhỏ chỉ vài trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lưu thông tin về ánh

xạ tên máy thành địa chỉ IP Tuy nhiên phương pháp này có một số nhược điểm: Lưulượng mạng và máy chủ duy trì bị quá tải, xung đột tên, không đảm bảo sự toàn vẹn, dovậy dịch vụ tên miền DNS ra đời để thay thế cho phương pháp này

Dịch vụ DNS hoạt động theo mô hình Client/Server: Phần Server gọi là máy chủphục vụ tên hay còn gọi là name server, còn phần client là trình phân giải tên – resolver

Cơ sở dữ liệu của DNS là một cây đảo ngược Mỗi nút trên cây cũng lại là nútcủa một cây con Mỗi cây con là một phân vùng con trong toàn bộ cơ sở dữ liệu DNSgọi là một miền (Domain) Mỗi Domain có một tên (domain name) Tên domain chỉ ra

vị trí của nó trong cơ sở dữ liệu DNS Trong DNS tên miền là chuỗi tuần tự các tênnhãn tại nút đó đi ngược lại lên gốc của cây và phân cách nhau bởi dấu chấm

1.2.4.2 Dịch vụ DHCP

- Khi các máy tính trong mạng được định danh bằng địa chỉ IP duy nhất thôngqua giao thức TCP/IP, trước đây để cấp phát địa chỉ IP này các nhà phát triển mạng đãphát minh ra giao thức Bootstrap (viết tắt BootP) được mô tả trong RFC 951 Ngườiquản trị cập nhật danh sách địa chỉ vật lý (MAC – Media Access Control) của thiết bịcard mạng của các máy tính trong mạng, sau đó người quản trị sẽ phân bổ một địa chỉ

IP theo mỗi địa chỉ MAC để đảm bảo tính duy nhất trong một mạng Khi một máy trạm

sử dụng BOOTP khi khởi động sẽ loan báo (broadcast) yêu cầu địa chỉ IP, hệ thốngBOOTP server sẽ nhận ra địa chỉ MAC của máy loan tin và cấp địa chỉ IP tương ứngvới địa chỉ MAC

-Tuy nhiên việc phân bổ địa chỉ IP thông qua địa chỉ MAC của card mạng dẫnđến sẹu kém linh động và yêu cầu người quản trị phải thường xuyên cập nhật đại chỉMAC cho các card mạng mới được bổ sung Để hỗ trợ cho vấn đề theo dõi và cấp phátcác địa chỉ IP được thuận tiện và chính xác, tổ chức IETF đã phát triển giao thức DHCPcải tiến hơn giao thức BOOTP ở chỗ ta chỉ việc cấp phát một phạm vi địa chỉ IP và máychủ DHCP server sẽ phân bổ cho các máy trong mạng theo nguyên tắc đến trước giảiquyết trước cho các máy có yêu cầu lưu ý cả DHCP và BOOTP đều sử dụng cổng UDP

67 và 68 không thể cài đặt đồng thời cả hai giao thức này trên cùng một máy chủ Trong

hệ thống máy chủ Server 2008 không còn hổ trợ giao thức BOOTP

- Để có thể làm một DHCP server, máy chủ phải đáp ứng các điều kiện sau: Đãcài dịch vụ DHCP; Mỗi giao tiếp mạng phải được cấu hình bằng một địa chỉ IP tĩnh; Đãchuẩn bị sẵn danh sách các đại chỉ IP định cấp phát cho các máy client

- Dịch vụ DHCP này cho phép chúng ta cấp động các thông số cấu hình mạngcho các máy trạm (client) Các hệ điều hành của Microsoft và các hệ điều hành khácnhư Unix hoặc Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trêncác hệ điều hành này phải có một DHCP Client Cơ chế sử dụng các thông số được cấpphát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như:

+ Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệthống mạng

1.2.4.3 Dịch vụ WEB

Web Server (hay máy chủ web) là máy chủ mà trên đó cài đặt phần mềmWebsite Tất cả các Web Server đều chạy được các file.html và.htm, tuy nhiên mỗi WebServer lại phục vụ một kiểu file chuyên biệt chẳng hạn như IIS của Microsoft dànhcho.asp,.asps; Apache dành cho PHP Máy chủ Web Server là máy chủ có dung lượnglớn, tốc độ cao, được dùng để lưu trữ thông tin như một ngân hang dữ liệu, chứa nhữngwebsite đã được thiết kế cùng với những thông tin liên quan khác

5

Khái niệm Web Server đơn giản chỉ là một chương trình mà chúng chờ đợinhững yêu cầu từ phía client và đáp ứng những yêu cầu đó khi nhận được Web Serverkết nối với các trình duyệt hoặc các client sử dụng giao thức HTTP, là một giao thức đãđược chuẩn hóa các phương thức của các yêu cầu gửi đi và xử lý các yêu cầu đó Nócho phép rất nhiều các client khác nhau kết nối với server cung cấp mà không gặp bất

kỳ trở ngại nào trong vấn đề tương thích

Web Server có khả năng gửi đến máy khách những trang Web thông qua môitrường Internet qua giao thức HTTP HTTP xác định cách thức trình duyệt yêu cầutrang web từ Web Server cũng như cách thức Web Server gửi trang Web được yêu cầutới trình duyệt

- Web tĩnh: Ban đầu Web Server chỉ phục vụ các tài liệu HTML và hình ảnh đơngiản Tuy nhiên, đến thời điểm hiện tại Web Server có thể làm nhiều hơn thế

Hình 3.1 Sơ đồ hoạt động của Web tĩnh

- Web động: Một trong các nội dung động cơ bản là các trang web được chế tạo

ra để đáp ứng các dữ liệu nhập vào của người dùng trực tiếp hay gián tiếp

Web Browser

4 Web Server trả tài liệu về cho Brower

1 User yêu cầu tài

liệu Web, như

index.html

File System

3 Web Server lấy tìm tài liệu trên hệ thống file

2 Web Server gọi

chương trình

webstore.cgi và gửi

Hình 3.2 Sơ đồ hoạt động của Web động

7

b Giới thiệu dịch vụ IIS

IIS là dịch vụ thông tin Internet do Microsoft phát triển chạy trên các hệ điềuhành Windown Server Nó cung cấp nhiều dịch vụ khác nhau như Web Server, FTPServer,… Nó có thể sử dụng để xuất bản nội dung của các trang Web lênInternet/Intranet bằng việc sử dụng HTTP

Nhiệm vụ của IIS là tiếp nhận yêu cầu của máy trạm và đáp lại yêu cầu đó bằngcách gửi về máy trạm những thông tin máy trạm yêu cầu

1.2.4.4 Dịch vụ truyền file FTP

- Là giao thức truyền file Giao thức này được xây dựng dựa trên chuẩn TCP.FTP cung cấp cơ chế truyền tin dưới dạng cập nhật tin (file) thông qua mạng TCP/IP.FTP là một dịch vụ đặc biệt sử dụng 2 cổng: Cổng 20 dùng để truyền dữ liệu (dât port)

và cổng 21 dùng để truyền lệnh (command port) Để truyền tải dữ liệu giữa các máygiao thức FTP sử dụng hai cơ chế truyền: Truyền chủ động (Active) và cơ chế truyền bịđộng (Passive)

- Chương trình FTP Client: Là chương trình giao tiếp với FTP Server, hầu hết các

hệ điều hành đều hỗ trợ FTP Client, để mở kết nối tới FTP Server ta dùng lệnh

#ftp<ftp_address> Để thiets lập một phiên giao dịch, ta cần phải có địa chỉ IP, một tàikhoản Username mà FTP hỗ trợ sẵn cho người dùng để mở một giao dịch FTP có tên làanonymous với password rỗng

1.2.4.5 Dịch vụ Mail

Thư điện tử là một hệ thống chuyển nhận thư từ qua các mạng máy tính Thư điện

tử là một phương tiện thông tin nhanh nhất Một mẫu thông tin có thể được gửi đi ởdạng mã hóa hay dạng thông thường và được chuyển qua các mạng máy tính đặc biệt làmạng Internet Email có thể chuyển mẫu thông tin từ một máy nguồn tới một hay nhiềumáy nhận cùng một lúc

Đây là một dịch vụ phổ biến nhất trên Internet trước khi World Wide Web ra đời,thông qua dịch vụ này, người sử dụng trên mạng có thể trao đổi các thông báo cho nhautrên phạm vi thế giới Đây là một dịch vụ mà hầu hết các mạng diện rộng đều cài đặt vàcũng là dịch vụ cơ bản nhất của một mạng khi gia nhập Internet Nhiều người sử dụngmáy tính tham gia mạng chỉ đùng duy nhất dịch vụ này

Một hệ thống Email thường gồm 3 thành phần chính:

Giao tiếp người dung (user agent): chương trình giao tiếp người dung cho phépđọc, hồi âm, gửi, lưu trữ và soạn thảo thư

Máy chủ thư (mail server): máy chủ phục vụ thư là thành phần cốt lõi trong hệthống Email Mỗi người có một hộp thư đặt trên mail server Hộp thư Bob quản lý, lưugiữ các thư gửi tới Bob.

Giao thức gửi nhận thư: POP3, SMTP, IMAP

9

Chương 2 Dịch vụ thư mục (Active Directory) 2.1 Active Directory Domain Control

2.1.1 Giới thiệu Active Directory

Trước hết chúng ta hãy đi tìm hiểu xem Active Directory là gì Active Directory

là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft,

nó là một phần không thể thiếu trong kiến trúc Windows Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó

Active Directory có thể được coi là một điểm phát triển mới so với Windows

2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ điều hành Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission

2.1.2 Khái niệm

Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng như các thông tin liên quan đến các đối tượng đó Active Directory cung cấp một mức độ ứng dụng mới cho môi trường xí nghiệp Dịch vụ xí thư mục trong mỗi domain có thể lưu trữ hơn 10 triệu đối tượng, đủ để phục vụ 10 triệu người dùng trong mỗi domain

- Cho phép chúng ta chia nhỏ miền của mình ra các miền con (subdomain) haycác đơn vị tổ chức (OU – Organizational Unit) Sau đó chúng ta có thể ủy quyền chocác quản trị viên bộ phận quản lý từng bộ phận nhỏ

2.2 Child Domain

Child domain là kỹ thuật ủy thác quyền quản trị cho các chi nhánh Tùy theo mức

độ mà người ta lựa chọn phương thức khác nhau Đối với Child Domain thì chúng ta cóthể ủy thác hoàn toàn quyền quản trị một site đến một chi nhánh một các độc lập

2.3 Server đồng hành

DC là máy tính điều khiển mọi hoạt động của mạng nếu máy này có sự cố thìtoàn bộ hệ thống mạng bị tê liệt do tính năng quang trọng này nên trong một hệ thốngmạng ta thường xây dựng ít nhất hai máy DC, hai máy này có vai trò ngang nhau, cùngnhau tham gia chứng thực người dung

Như chúng ta đã biết, công việc chứng thực đăng nhập thường được thực hiệnvào đầu giờ mỗi buổi làm việc, nếu mạng chỉ có một máy điểu khiển dung và 10,000máy trạm thì chuyện gì xảy ra vào buổi sang Để giải quyết trường hợp trên, Microsoftcho phép các máy này điểu khiển các vùng trong mạng cùng nhau hoạt động đồng thời,chia sẻ công việc của nhau, khi có một máy bị sự cố thì các máy còn lại đảm nhiệm luôncông việc của máy này Do đó trong tài liệu này ta gọi các máy này là các máy điểukhiển vùng đồng hành Nhưng khi khảo sát sâu về Active Directory thì máy điểu khiểnvùng được tạo đầu tiên vẫn có vai trò đặc biệt hơn đó là FSMO (flexible single master

of operations)

Chú ý để đảm bảo các máy điểu khiển vùng này hoạt động chính xác thì chúngphải liên lạc và trao đổi thông tin với nhau khi có các thay đổi về thông tin người dungnhư: Tạo mới tài khoản, đổi mật khẩu, xóa tài khoản việc trao đổi thông tin này gọi làActive Directory Replication Đặc biệt các server Active Directory cho phép nén dữ liệutrước khi gửi đến các server khác, tỉ lệ nén đến 10:1, do đó chúng có thể truyền trên cácđường truyền WAN

2.4 Read Only Domain Control (RODC)

Read-Only Domain Controllers (RODCs) là một dạng mới của domain controllertrong Windows Server 2008 Cùng với RODCs, các tổ chức có thể dễ dàng triển khaimột domain controller tại vị trí mà bảo mật thông thường không thể đảm bảo

Mục đích chính của RODC là để củng cố an ninh trong các văn phòng chi nhánh

Ở các văn phòng chi nhánh thường khó để có được sự giúp đỡ cho những vấn đề cơ sở

hạ tầng IT, đặc biệt là Domain Controllers chứa những dữ liệu nhạy cảm Thông thườngmột DC có thể tìm thấy trong một văn phòng Nếu người nào đó có thể truy cập vật lývào DC, không khó để tác động và hệ thống à có thể truy cập dữ liệu RODC có thể giảiquyết những vấn đề này

Những yếu tố cần thiết cho RODC là:

* Read-Only Domain Controller

* Administrative Role Separation

* Credential Caching

* Read-Only DNS

RODC chứa những bản copy không cho phép ghi và không cho phép đọc của cơ s

ở dữ liệu của cơ sở dữ liệu của Active Directory với tất cả những thuộc tính và đốitượng RODC chỉ hỗ trợ những bản sao đơn hướng, những thay đổi của ActiveDirectory, có nghĩa là RODC luôn sao chép trực tiếp với Domain Controllers tại vị tríHUB

RODC sẽ thực hiện việc sao chép thông thường hướng đến từ vị trí HUB chonhững thay đổi của Active Directory và DFS RODC sẽ nhận bất kì thứ gì đến từ ActiveDirectory nhưng những thông tin nhạy cảm, bằng những tài khoản mặc định nhưDomain Admins, Enterprise Admins và Schema Admins đều được loại ra khỏi việc saochép RODC

Nếu một bản sao chép cần viết truy cập đến Active Directory, RODC gơi mộtphản hồi chuyển đến LDAP tự động đưa ứng dụng đến một Domain Controller chophép ghi, tại vị trí HUB chính RODC này cũng có thể chạy Global Catalog Role đểđăng nhập nhanh hơn nếu ai cần

Như vậy, nếu có người có thể crack mật mã trên tài khoản người dùng ở AD,nhưng không phải tất cả các tài khoản nhạy cảm bởi vì chúng không tồn tại trên RODC

13

Chương 3 CẤU HÌNH VÀ CÀI ĐẶT 3.1 Active Directory Domain Control

- Kích hoạt Roles: Vào Server Manager  Roles  Add Roles  Next

- Tích chọn vào Active Directory Domain Service để kích hoạt dịch vụ ChọnNext

- Thông tin về Server Role, chọn Next để tiếp tục.

- Kích hoạt Install để cài đặt dịch vụ

- Quá trình cài đặt

15

- Sau khi cài đặt thành công,chọn Close để kết thúc quá trình cài đặt dịch vụActive Directory.

- Tiếp theo quá trình xây dựng dịch vụ vùng ADDS: Vào Cmd  gõ lệnhdcpromo Xuất hiện bảng cài đặt, chọn Next Trong cửa sổ Operating SystemCompatibility, ta sẽ được cảnh báo các máy trạm là Windows NT, non – MicrosoftSMB gặp một số vấn đề với thuật toán mã hóa, chọn Next

- Trong cửa sổ tiếp theo, chọn Create a new domain in a new forest (vì đang xâydựng một miền mới trong một rừng mới) Chọn Next.

- Tiếp theo, nhập tên miền mới vào trong hộp FQDN of the forest root domain Vídụ: thao.com

- Hộp thoại NetBIOS Domain Name, yêu cầu cho biết tên Domain theo chuẩnBIOS để tương thích với các máy Windows Theo mặc định, tên Domain BIOS giốngphần đầu của tên Full DNS (ví dụ: thao), ta có thể đổi sang tên khác hoặc chấp nhận tênmặc định Chọn Next để tiếp tục.

- Trong trang Set Forest Functional Level, chọn Windows Server 2008, chọnNext để tiếp tục

19

- Trong Additional Domain Controller Options chọn DNS server, tùy chọnGlobal catalog được chọn mặc định vì ở đây là một DC trong miền thao.com, tùy chọnRODC mặc định không được chọn vì ta chưa xây dựng Domain chính trong miền.

- Một hộp thoại xuất hiện nói rằng không thể tạo đại biểu cho DNS này vì khôngthể tìm thấy vùng xác thực hoặc nó không chạy Windows DNS server Lý do vì đây là

DC đầu tiên trong mạng, chọn Yes Nhấn Next để tiếp tục

- Hộp thoại Locations of Database, Log file and SYSVOL cho phép ta chỉ định vịtrí lưu trữ database Active Directory và các tập tin log Ta có thể chỉ định vị trí kháchoặc chấp nhận giá trị mặc định Tuy nhiên theo khuyến cáo của các nhà quản trị mạngthì chúng ta nên đặt tập tin chứa thông tin giao dịch ở đĩa cứng vật lý khác với đĩa cứngchứa cơ sở dữ liệu của Active Directory nhằm tăng hiệu năng của hệ thống Đối với vịtrị của thư mục SYSVOL phải nằm trên một phân vùng NTFS Tất cả dữ liệu đặt trongthư mục SYSVOL này sẽ được tự động sao chép sang tất cả các DC khác trong miền

Ta có thể chấp nhận giá trị mặc định hoặc chỉ định vị trí khác, sau đó chọn Next để tiếptục

- Trong hộp thoại Directory Services Restore Mode Addministrator Password, chỉđịnh mật khẩu dung trong trường hợp Server phải khởi động vào chế độ phục hồi dữliệu cho Active Directory Chọn Next để tiếp tục.

- Sau đó hộp thoại Summary xuất hiện, trình bày tất cả các thông tin đã chọn Nếutất cả đều chính xác, chọn Next để bắt đầu thực hiện quá trình cài đặt, nếu có thông tinkhông chính xác thì chọn Back để quay lại các bước trước đó

21

- Active Directory sẽ tiến hành quá trình cài đặt.

Gia nhập máy trạm vào vùng:

- Thiết lập Network Adapter, lựa chọn Switch ảo (VMnet 2) cho máy chủ và máytrạm

- Đặt địa chỉ IP tĩnh cho máy chủ

- Đặt đại chỉ IP tĩnh cho máy trạm.

- Trên máy trạm:

+ Nhấn chuột phải Computer  Properties  Computer Name

23

+ Chọn Change  nhập tên miền của Domain  OK.

+ Nhập tài khoản để gia nhập vào Domain

b Quá trình join client vào domain

25

- Kiểm tra tính liên thông về mạng từ Client đến Sever bằng cách ping máy Sever

- Thực hiện join máy trạm vào Domain: tại System Properties chọn Computername, chọn Change… tích vào ô Domain rồi khai báo tên của Domain nhấn OK