2.2.Quá trình phân giải tên : Truy vấn đệ quy và Truy vấn tương tác
4. Quản trị máy điều khiển miền Domain Controller
Máy điều khiển miền (Domain controllers) – windows 2000 Server. Mỗi Domain controller cất trữ và bảo trì bản sao thư mục. Trong domain, tài khoản người dùng được tạo một lần, Windows 2000 ghi nó trong thư mục này. Khi người dùng đăng nhập tới máy tính trong domain, domain controller kiểm tra thư mục nhờ tên người sử dụng, mật khẩu và giới hạn đăng nhập. Khi có nhiều domain controller, chúng ta kí tái tạo thơng tin thư mục của chúng.
4.1. Giới thiệu các lớp chứa trong ADUC
Ta sử dụng Active Directory Users and Computers để quản lý người nhận. Active Directory Users and Computers là một MMC snap-in đó là một phần tiêu chuẩn của Microsoft Windows Server ™ hệ điều hành. Tuy nhiên, khi ta cài đặt Exchange 2003, hướng dẫn cài đặt tự động mở rộng các chức năng của Active Directory Users and Computers để bao gồm các nhiệm vụ cụ thể Exchange.
Lưu ý:
Nếu Active Directory Users và Computers snap-in được cài đặt trên một máy tính mà khơng có Exchange hoặc các cơng cụ quản lý Exchange cài đặt, ta sẽ khơng thể thực hiện nhiệm vụ Exchange từ máy tính đó.
Ta bắt đầu Active Directory Users and Computers từ một máy chủ Exchange hoặc từ một máy trạm có các cơng cụ Exchange Hệ thống quản lý được cài đặt. Để được hướng dẫn chi tiết, xem Làm thế nào để mở Active Directory Users and Computers. Hình dưới đây cho thấy làm thế nào mới Directory Users and Computers xuất hiện trên màn hình.
90
Panel bên trái của Active Directory Users and Computers là cây giao diện điều khiển cho thấy tên miền đầy đủ của ta ở cấp độ gốc. Nhấp vào dấu + (cộng) để mở mục gốc. Dưới phần gốc là một số thùng chứa mặc định:
Builtin container cho các tài khoản người dùng trong xây dựng. Máy tính Mặc định container cho các đối tượng máy tính.
Default Domain Controllers container cho các bộ điều khiển miền.
ForeignSecurityPrincipals container cho các nguyên tắc bảo mật từ các lĩnh vực bên ngoài đáng tin cậy. Quản trị viên nên không tự thay đổi nội dung của các container này.
Người sử dụng mặc định container cho các đối tượng người dùng. Ngoài ra các thùng chứa mặc định, ta có thể tổ chức các đối tượng thư mục trong các đơn vị hợp lý bằng cách tạo ra các container được đặt tên đơn vị tổ chức. Ví dụ, ta có thể tạo ra một đơn vị tổ chức cho nhóm tiếp thị của ta chứa tất cả các đối tượng thư mục liên quan đến bộ phận tiếp thị của công ty ta. Đơn vị tổ chức hữu ích cho việc áp dụng các thiết lập Group Policy và tổ chức các đối tượng một cách có ý nghĩa. Để biết thêm thông tin về đơn vị tổ chức, xem tài liệu Windows.
Sau khi ta đã tổ chức các thùng chứa trong Active Directory Users and Computers, sau đó ta có thể sử dụng các container:
Tạo người nhận.
Thực hiện các nhiệm vụ cụ thể Exchange-. Quản lý nhiều lĩnh vực trao đổi.
4.2. Xử lý một số sự cố thường gặp
Trên các Domain Controller sử dụng hệ điều hành Windows Server SP1 khi mở chức năng Windows Firewall thường gặp các lỗi trong hoạt động như sau: - Các chức năng Domain Controller không thể thực hiện
- Một số Active Directory (AD) Object không thể Replication Hiện tượng thường gặp
Chúng ta có thể nhận thấy các lỗi như sau :
1- Client Computer không thể thiết lập các Secure connection (giao dich bảo mật) với Domain controller
2- Không thể thực hiện logon với Domain User Account
3- User không thể truy cập các tài nguyên trên Domain cung cấp bởi các Member Servers
91
5- Xuất hiện các thông báo lỗi trong File Replication Service Event Log như Event ID 13508 "The File Replication Service is having trouble enabling replication from …" nhưng không đi kèm với các thông báo lỗi như: Event ID 13509 "The File Replication Service has enabled replication from …" - hoặc -Event ID 13516 "The File Replication Service is no longer preventing the computer … from becoming a domain controller."
6- Trên các Additional Domain controller sau khi xây dựng, không thấy các share folders SYSVOL và NETLOGON
7- Trên các Additional Domain controller sau khi xây dựng, folders chứa các GPOs%systemroot%\SYSVOL\domain\Policies
Không nhận được thông tin replication tù các Domain Controller khác Nguyên nhân Việc mở chức năng Firewall trên các Domain Controller đã ngăn cản máy Client Computer truy cập Active Directory hoặc ngăn chận thực hiện công tác AD-Replication
Giải pháp xử lý
Để xử lý lỗi nói trên, chúng ta thực hiện các công việc bao gồm : Cấu hình Active Directory File Repication Service (AD-FRS) sử dụng TCP/IP Port xác định không bị tranh chấp và cấu hình Firewall cho phép các Incomming Connections đối với các chương trình và ports yêu cầu
1) Cấu hình AD-FRS sử dụng TCP/IP Port xác định
a- Chọn 2 Ports cụ thể không bị sử dụng trên bất kỳ Domain controller nào. Chúng ta có thể chọn các Ports có gía trị trong khoảng từ 49152 dến 65535 (Ví dụ : 53211 và 53212 )
b- Tạo thêm các biến Registry trên các Domain controller như sau:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ NTDS \ Parameters \ TCP/IP Port tạo biến DWORD chứa giá trị Port VD: 53211- cfdb(hex)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtFrs\Parame ters\RPC TCP/IP Port Assignment tạo biến DWORD chứa fía trị Port VD: 53212 - cfdc (hex)
2) Cấu hình Firewall Service
Thiết lập GPO để cấu hình Firewall Service và áp dụng lên các Domain Controllers (có thể áp dụng GPO trên OU=Domain Controllers có sẵn trong các Domain) như sau :
92
a. Windows Firewall: Protect all network connections – Enabled b. Windows Firewall: Allow remote administration exception - Enabled (enables port 135 và 445)
c. Windows Firewall: Allow file and printer sharing exception: - Enabled d. Windows Firewall: Define port exceptions:
-Enabled (trong bảng Exception, giá trị * có ý nghĩa cho phép incoming requests từ bất kỳ địa chỉ nào) 123:udp:*:enabled:NTP
3268:tcp:*:enabled:Global Catalog LDAP 389:tcp:*:enabled:LDAP
389:udp:*:enabled:LDAP 53:tcp:*:enabledNS 53:udp:*:enabledNS
53211:tcp:*:enabled:AD Replication (Lưu ý: sử dụng Port đã chọn ở phần 1) 53212:tcp:*:enabled:File Replication Service (Lưu ý: sử dụng Port đã chọn ở phần1)
88:tcp:*:enabled:Kerberos 88:udp:*:enabled:Kerberos
CÂU HỎI ƠN TẬP
1. Trình bày các bước xây dựng AD ? 2. Cài đặt dịch vụ AD? cấu hình?
93