Diễn đàn MaIT > CÂU LẠC BỘ TIN HỌC > HỆ ĐIỀU HÀNH, ỨNG DỤNG > Microsoft Windows > Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active Directory PDA View Full Version : Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active Directory Guest 14-05-2008, 02:33 PM Mơ Hình Hệ Thống Trên Windows Server 2000/2003 http://www.quantrimang.com/photos/Image/022006/04/domain_01.JPG I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các Đối Tượng Bằng Dòng Lệnh Windows Server 2003 hệ điều hành mạng hòan thiện nay, dùng Windows Server 2003 để triển khai hệ thống Domain Controller quản trị tài nguyên người dùng cho công ty hay xây dựng Web Server mạnh mẽ, tổ chức File Server lưu trữ liệu, cung cấp dịch vụ cho người dùng… Nếu Windows Server 2003 xem nhà quản trị tài ba hệ thống mạng Active Directory trái tim nó, tất hoạt động diễn hệ thống chịu chi phối điều khiển Active Directory Từ phiên Windows NT4.0 trở sau, Microsoft phát triển hệ thống Active Directory dùng để lưu trữ liệu domain đối tượng user, computer, group … cung cấp dịch vụ (directory services) tìm kiếm, kiểm sốt truy cập, ủy quyền, đặc biệt dịch vụ chứng thực xây dựng dựa giao thức Keberos hổ trợ chế single sign-on, cho phép user cần chứng thực lần đăng nhập vào domain truy cập tất tài nguyên dịch vụ chia hệ thống vói quyền hạn hợp lệ Với dịch vụ tiện ích mình, Active Directory làm giảm nhẹ công việc quản lý nâng cao hiệu hoạt động, công việc mà thực hệ thống mạng ngang hàng, phân tán tiến hành cách dễ dàng thơng qua mơ hình quản lý tập trung đưa sách chung cho tồn hệ thống đồng thời ủy quyền quản trị để phân chia khả quản lý môi trường rộng lớn Những Thành Phần Chính Của Hệ Thống Active Directory User : tài khoản người dùng, cài đặt Active Directory có số tài khoản built-in tạo Administrator ngừơi có tồn quyền quản trị hệ thống, backup operator nhóm người dùng có khả backup restore liệu hệ thống mà không cần quyền hạn hợp lệ đôi với liệu Tuy nhiên để nhân viên tổ chức sử dụng tài nguyên đăng nhập (log-in) vào domain người quản trị cần phải tạo tài khoản hợp lệ, cấp phát cho người sử dụng Các user dùng tài khoản cấp administrator để log-in domain Và truy cập liệu file server hay dịch vụ khác Group: tập hợp ngừơi dùng có đặc tính chung, ví dụ nhân viên phòng ban sale có quyền truy cập lên folder sales file server muốn nhân viên công ty có quyền in laser printer, nên tạo group printing gán quyền in laser printer sau add tất nhân viên cơng ty vào group printing thay gán quyền in cho user riêng lẽ không hiệu (các bạn cần ý sử dụng group Domain User cho thao tác chung, mặc định tất user tạo thuộc group này) OU (organization unit): đơn vị tổ chức, thiết kế domain khảo sát hệ thống có đon vị tổ chức có phòng ban, phận Dựa kết khảo sát tạo OU tương ứng với chức năng, vị trí phòng ban Sales có OU Sales OU chứa group sales, group sales bao gồm tất thành viên phòng ban sale, user đặt OU Sales với group sales Như cần phải phân biệt rõ group sales OU Sales, chúng có khác biệt OU dùng để quản trị mặt sách muốn tất nhân viên thuộc phòng ban sales môi trường thật cài đât tự động MS OfficeXP hay update vá đăng nhập hệ thống phải tương tác qua OU Nhưng rõ ràng quản lý quyền hạn truy cập user OU, cần phải tạo group gán quyền thông qua group Đó khác biệt mà cần phân biệt Trên đối tượng hệ thống active directory, có thành phần khác group plicy, site, trusting, global catalog, fsmo trình bày phần Trước bắt tay vào xây dựng hệ thống domain cho tổ chức mình, số lưu ý cần quan tâm là: - Cần có domain controler Primary (PDC) lại dùng Backup (BDC) để đáp ứng chức load balancing faultolerant, hệ thống có domain controler phải backup system state data Active Directory cẩn thận theo mức chuẩn (baseline) để phục hồi có sữ cố xảy hay dùng cho migration (di trú) qua máy khác PDC bị hư hỏng đột xuất - Hệ thống Active Directory sử dụng DNS cho trình phần giải tên dịch vụ thành viên chúng, bắt buộc phải có DNS hợp lệ để Active Directory họat động xác, tên Domain gì?Thơng thường cài đặt active directory chọn cài tích hợp dịch vụ DNS, trường hợp có sẳn máy chủ DNS phải khai báo địa dịch vụ phần Prefered DNS tên domain tên tổ chức tcdescon.com, security365.org - Cần phải khảo sát tổ chức có thành viên (người dùng) tương ứng với số lượng account tạo Acitve Directory, có phận, phòng ban để tạo OU Group tương ứng, ngòai cần xem xét quyền hạn sử dụng đối tượng, khả đáp ứng để từ đưa phác thảo đầy đủ cho hệ thống Domain Controller Để thực Lab này, cần có máy tính với cấu hình TCP/IP hình đây, DC1 Primay Domain Controller với hệ thống Backup (Secondary Domain Controller) DC2 tất sử dụng Windows Server 2003 Client1 dùng Windows XP Windows 2000 http://www.quantrimang.com/photos/Image/022006/04/domain_02.JPG (javascript:void(window.open('/photos/Image/022006/04/domain_02.JPG','','resiza ble=yes,location=no,menub ar=no,scrollbars=no,status=no,toolbar=no,fullscree n=no,dependent=no'))) Hệ Thống Domain Controler Và Địa Chỉ IP (Click vào ảnh để phóng to) 1- Tiến hành cài đặt tự động Active Directory DC1 theo phương pháp Unattend Để thăng cấp Windows Server 2003 Standalone lên thành Domain Controller sử dụng lệnh dcpromo sau cung cấp đầy đủ tên domain, vai trò vị trí cài đặt Trong phần bạn log-in vào DC1 tài khỏan Administrator tạo tập tin đưới đây, thay tên domain security365 tên domain bạn thông tin Password hay SafeModeAdminPassword tương ứng , bạn chọn cài lúc DNS cách xác định AutoConfigDNS = Yes, muốn hệ thống reboot lại sau cài đặt đặt giá trị RebootOnSuccess = Yes [DCInstall] RebootOnSuccess = No DatabasePath = %SYSTEMROOT%\NTDS LogPath = %SYSTEMROOT%\NTDS SysVolPath = %SYSTEMROOT%\Sysvol UserName = administrator Password = Password ReplicaorNewDomain = Domain TreeOrChild = Tree CreateOrJoin = Create NewDomainDNSName = security365.org DNSOnNetwork = No DomainNetBiosName = SECURITY365 AllowAnonymousAccess = No AutoConfigDNS = Yes SiteName = Default-First-Site-Name SafeModeAdminPassword = netmanager Lưu tập tin C:\ với tên dcinfo.txt Sau chạy lệnh dcpromo /answer:C:\dcinfo.txt http://www.quantrimang.com/photos/Image/022006/04/domain_03.JPG Restart lại hệ thống tiến trình cài đặt hòan tất, tiêp theo cần tạo tài khỏan người dùng với Group, OU tương ứng theo phòng ban hình sau dựa mơ hình thực tế cơng ty có chi nhánh CA NC, chi nhánh có phận Marketing, Accountign Sales http://www.quantrimang.com/photos/Image/022006/04/domain_04.JPG 2- Tạo cấu trúc OU với dsadd ou: Có nhiều cách để tạo đối tượng Active Directory OU, Group, User Các bạn dùng giao diện đồ họa Active Directory Users and Computers console sau click chuột phải vào Domain Name (ví dụ security365.com) chọn thao tác tương ứng Ở sử dụng phương pháp thơng dụng dựa dòng lệnh, điều thuận tiện muốn xây dựng hệ thống cách tự động Để tạo OU sử dụng dòng lệnh dsadd ou: Dsadd Dsadd Dsadd Dsadd Dsadd ou ou ou ou ou “OU=NC,DC=security365,DC=com” “OU=CA,DC=security365,DC=com” “OU=Marketing,OU=NC,DC=security365,DC=com” “OU=Accounting,OU=NC,DC=security365,DC=com” “OU=Sales,OU=NC,DC=security365,DC=com” Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com” Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com” Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com” Có thể dùng tập tin bat để tiến hành tự dộng trình trên, với OU tên OU tạo, DC tên domain lưu ý nên tạo bước Tạo User Với dsadd user: Chúng ta tạo tài khỏan người dùng với dsadd user, ví dụ sau tạo tài khỏan cho Nguyen Tran Duy Vinh thuộc phòng ban Sales : - tên đăng nhập vinhndt, mật mã đăng nhập 123qwe!@# - thuộc OU Sales - first name nguyen tran - last name vinh - tên upn ntdvinh@security365.com (ntdvinh@dongduong.com) - để tài khỏan sử dụng đặt –disable no dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com ” –upn vinhndt@security365.com –fn nguyen tran –ln vinh –pwd 123qwe!@# – disabled no 3.Tạo Group với dsadd group: Các user phòng ban thường có đặc tínhchung quyền hạn truy cập vào tài nguyên chia phận, khả sử dụng máy in…Vì tạo nhóm người dùng (Group) sau add user vào Chúng ta thực điều với dòng lệnh dsadd group Ví dụ sau tạo gourp có tênlà Consultants (CN) OU Marketing domain Security365.Com, group type security group scope global Dsadd group “CN=Consultants,OU=Marketing,OU=CA,DC=security36 5,DC=com” –secgrp yes –scope g Ghi Chú: Có hai lọai group active directory security distribution Hầu hết group tạo sử dụng đề thuộc lọai security goup Distribution group dùng cho trình họat động ứng dụng Exchange Server, bạn không thê gán quyền truy cập lọai group Ngòai group đươc chia làm lọai group scope Global, Universal Local Với Local Group thành viên truy cập tài nguyên domain nội Khi hệ thống có nhiều domain, để user truy cập tà nguyên domain khác chúng phải thành viên Global hay Universal Group 4.Add User vào Group Với Dsmod: Để Add User Nguyen Tran Cat Vinh thành viên group Consultant OU Marketing (là OU CA) cho domain Security365.Com ta sử dụng lệnh sau : Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=security36 5,DC=com” – addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC =com” Trong trường hợp quản trị từ xa hay cần tạo nhiều đối tượng lúc cho hệ thống cách tốt sử dụng tiện ích dòng lệnh Cách thức quản trị Active Directory thông qua giao diện đồ họa Active Directory Users and Computer bạn tham khảo trang web www.microsoft.com, thắc mắc gởi đến mục HelpDesk trang web www.security365.org, Công ty Giải Pháp An Tòan II – Join Máy Tính Client1 Vơ Domain Sau cài đặt cấu hình xong hệ thống Active Directory cần join clien vào domain để quản lý, cấp quyền truy cập, sử dụng tài nguyên cho người sử dụng Hãy log-in vào Client1 với quyền Administrator click chuột phải vào My Computer chọn Properties: Trên tab Computer (Network Identification) nhấn Change Properties tùy thuộc vào hệ điều hành Client1 sử dụng Windows XP hay Windows 2000Tiếp theo nhập vào thông tin sau: http://www.quantrimang.com/photos/Image/022006/04/domain_05.JPG Nhấn OK, hộp thọai yêu cầu thông tin Username & Password hiển thị, nhập vào tài khỏan hợp lệ ví dụ Administrator nhấn OK để hòan tất q trình join domain III – Cài Đặt Secondary Domain Controler: Đối với hệ thống mạng lớn có nhiều user, nên triển khai thêm secondary domain controler (hay gọi Backup Domain Controler-BDC) để tăng cường khả đáp ứng yêu cầu truy cập user primary domain controler gặp phải cố hệ thống họat động bình thường nhờ vào secondary domain controler này, ngòai phục hồi sở liệu Active Directory PDC Cả hai hệ thống Domain Controler đề chứa sở liệu domain user, group policy, ou…và liệu domain controller thay đổi tự động replicate (sao chép) sang domain controler lại, tiến trình diễn hòan tòan tự động dịch vụ KCC (knowledge consistent checker) hệ thống đảm nhiệm Tuy nhiên trường hợp đặc biệt bạn tiến hành replicate Sau bước xây dựng secondary domain controller: Join máy tính DC2 vào domain log-in tài khỏan Administrator Mở Start - > Run chạy lệnh dcpromo Trên hình cài đặt chọn mục Additional domain controller for an existing domain nhấn Next Ở cữa sổ Network Credential nhập vào tài khỏan Administrator, Password domain chọn Next: http://www.quantrimang.com/photos/Image/022006/04/domain_06.JPG Tiếp theo chương trình hỏi tên domain mà DC2 làm secondary domain controller (trong ô additional domain controller) Tên tự hiển thị DC2 thành viên Domain Nếu bạn tiến hành thăng cấp không qua bước join DC2 vơ domain phải nhập tên Domain đầy đủ security365.com Một điều cần lưu ý phải cấu hình địa DNS cho domain phần Prefered DNS, đa số cố lỗi thăng cấp secondary domain controller qua trình họat động Active Directory liên quan đến việc cấu hình địa DNS server khơng xác làm cho trình phân giải tên máy chủ dịch vụ không tiến hành Sau chấp nhận giá trị mặc định vị trí cài đặt, lưu trữ database active directory sysvol folder Nếu muốn thay đổi thông số sau cài đặt dùng công cụ NTDSUTIL http://www.quantrimang.com/photos/Image/022006/04/domain_07.JPG Cuối bảng tóm tắt thơng tin secondary domain controller hiển thị, kiểm tar lại nhấn Next để tiến trình cài đặt diễn ra, sau hòan tất restart lại hệ thống DC2 Như xây dựng xong hệ thống active directory cho domain security365.com với primary secondary domain controler, lúc máy tính client hệ thống join domain với tài khỏan hợp lệ để thực cơng việc Tác giả: Rồng Đông Dương Email: Indochina@Security365.Org Công Ty Giải Pháp An Tũan - Web: http://www.security365.org vBulletinđ v3.7.3, Copyright â2000-2009, Jelsoft Enterprises Ltd  ... Password domain chọn Next: http://www.quantrimang.com/photos/Image/022006/04 /domain_ 06.JPG Tiếp theo chương trình hỏi tên domain mà DC2 làm secondary domain controller (trong ô additional domain. .. hòan tất trình join domain III – Cài Đặt Secondary Domain Controler: Đối với hệ thống mạng lớn có nhiều user, nên triển khai thêm secondary domain controler (hay gọi Backup Domain Controler-BDC)... domain user, group policy, ou…và liệu domain controller thay đổi tự động replicate (sao chép) sang domain controler lại, tiến trình diễn hòan tòan tự động dịch vụ KCC (knowledge consistent checker)