Mạng căn bản Domain Controller

Nội dung text: Mạng căn bản Domain Controller

1. TRƯNG ðI HC SƯ PHM K THUT TPHCM KHOA: CƠNG NGH THƠNG TIN GVHD: HUỲNH NGUYÊN CHÍNH SVTH: Lưu Th Th o 05110138 Nguy n Cơng H i 05110041 Nguy n Minh V ươ ng .05110166 Tr n Thanh Tú 04110131 TP HCM, tháng 10 n ăm 2008
2. DOMAIN CONTROLLER Mc L c I. CÁC MƠ HÌNH M NG TRONG MƠI TR ƯNG MICROSOFT 3 I.1. Mơ hình Workgroup 3 I.2. Mơ hình Domain 3 II. ACTIVE DIRECTORY 4 II.1. Gi i thi u Active Directory 4 II.2. Ch c n ăng c a Active Directory 5 II.3. Directory Services 5 II.3.1 Gi i thi u Directory Services 5 II.3.2 Các thành ph n trong Directory Services 5 II.4. Ki n trúc c a Active Directory 7 II.4.1 Objects 7 II.4.2 Organizational Units 8 II.4.3 Domain 9 II.4.4 Domain Tree 10 II.4.5 Forest 11 III. CÀI ðT VÀ C U HÌNH ACTIVE DIRECTORY 12 III.1. Nâng c p Server thành Domain Controller 12 III.1.1 Gi i thi u 12 III.1.2 Các b ưc cài đt 13 III.2. Gia nh p máy trm vào Domain 21 III.2.1 Gi i thi u 21 III.2.2 Các b ưc cài đt 22 III.3. Xây d ng các Domain Controller đng hành 23 III.3.1 Gi i thi u 23 III.3.2 Các b ưc cài đt 24 III.4. Xây d ng Subdomain 28 III.5. Xây d ng Organizational Unit 31 III.6. Cơng c qu n tr các đi t ưng trong Active Directory 35 IV. TÀI LI U THAM KH O 36 Nhĩm 11 trang 2
3. DOMAIN CONTROLLER ACTIVE DIRECTORY I. CÁC MƠ HÌNH M NG TRONG MƠI TR ƯNG MICROSOFT . I.1. Mơ hình Workgroup. Mơ hình m ng Workgroup cịn g i là mơ hình m ng peer-to-peer , là mơ hình mà trong đĩ các máy tính cĩ vai trị nh ư nhau đưc n i k t v i nhau. Các d li u và tài nguyên đưc l ưu tr phân tán t i các máy c c b , các máy t qu n lý tài nguyên cc b ca mình. Trong h th ng m ng khơng cĩ máy tính chuyên cung c p d ch v và qu n lý h th ng m ng. Mơ hình này ch phù h p v i các m ng nh , d ưi m ưi máy tính và yêu c u b o mt khơng cao. ðng th i trong mơ hình m ng này các máy tính s dng h điu hành h tr đa ng ưi dùng l ưu tr thơng tin ng ưi dùng trong m t t p tin SAM (Security Accounts Manager) ngay chính trên máy tính c c b . Thơng tin này bao g m: username (tên đă ng nh p), fullname, password, description T t nhiên t p tin SAM này đưc mã hĩa nh m tránh ng ưi dùng khác ăn c p m t kh u đ tn cơng vào máy tính. Do thơng tin ng ưi dùng đưc l ưu tr cc b trên các máy tr m nên vi c ch ng th c ng ưi dùng đă ng nh p máy tính c ũng do các máy tính này t ch ng th c. I.2. Mơ hình Domain. Khác v i mơ hình Workgroup , mơ hình Domain ho t đng theo c ơ ch client- server , trong h th ng m ng ph i cĩ ít nh t m t máy tính làm ch c n ăng điu khi n vùng ( Domain Controller ), máy tính này s điu khi n tồn b ho t đng c a h th ng m ng. Vi c ch ng th c ng ưi dùng và qu n lý tài nguyên m ng đưc t p trung li t i các Server trong mi n. Mơ hình này đưc áp d ng cho các cơng ty v a và l n. Trong mơ hình Domain ca Windows Server 2003 thì các thơng tin ng ưi dùng đưc t p trung l i do d ch v Active Directory qu n lý và đưc l ưu tr trên máy tính điu khi n vùng (domain controller) v i tên t p tin là NTDS.DIT . T p tin c ơ s d li u này đưc xây d ng theo cơng ngh tươ ng t nh ư ph n m m Access ca Microsoft nên nĩ cĩ th lưu tr hàng tri u ng ưi dùng, c i ti n h ơn so v i cơng ngh cũ ch lưu tr đưc kho ng 5 nghìn tài kho n ng ưi dùng. Do các thơng tin ng ưi dùng đưc l ưu tr tp trung nên vi c ch ng th c ng ưi dùng đă ng nh p vào m ng cũng t p trung và do máy điu khi n vùng ch ng th c. Nhĩm 11 trang 3
4. DOMAIN CONTROLLER Hình 2.1: Các b ưc ch ng th c khi ng ưi dùng đă ng nh p. II. ACTIVE DIRECTORY. II.1. Gi i thi u Active Directory. Cĩ th so sánh Active Directory vi LANManager trên Windows NT 4.0 . V căn b n, Active Directory là m t c ơ s d li u c a các tài nguyên trên m ng (cịn gi là đi t ưng) c ũng nh ư các thơng tin liên quan đn các đi t ưng đĩ. Tuy v y, Active Directory khơng ph i là m t khái ni m m i b i Novell đã s dng d ch v th ư mc ( directory service ) trong nhi u n ăm r i. Mc dù Windows NT 4.0 là m t h điu hành m ng khá t t, nh ưng h điu hành này l i khơng thích h p trong các h th ng m ng t m c xí nghi p. ði v i các h th ng m ng nh , cơng c Network Neighborhood khá ti n d ng, nh ưng khi dùng trong h th ng m ng l n, vi c duy t và tìm ki m trên m ng s là m t ác m ng (và càng t hơn n u b n khơng bi t chính xác tên c a máy in ho c Server đĩ là gì). H ơn na, đ cĩ th qu n lý đưc h th ng m ng l n nh ư v y, b n th ưng ph i phân chia thành nhi u domain và thi t l p các m i quan h u quy n thích h p. Active Directory gi i quy t đưc các v n đ nh ư v y và cung c p m t m c đ ng d ng m i Nhĩm 11 trang 4
5. DOMAIN CONTROLLER cho mơi tr ưng xí nghi p. Lúc này, d ch v th ư m c trong m i domain cĩ th lưu tr hơn m ưi tri u đi t ưng, đ đ ph c v mưi tri u ng ưi dùng trong m i domain . II.2. Ch c n ăng c a Active Directory.
   Lưu gi mt danh sách t p trung các tên tài kho n ng ưi dùng, m t kh u t ươ ng ng và các tài kho n máy tính.
   Cung c p m t Server đĩng vai trị ch ng th c ( authentication server ) ho c Server qu n lý đă ng nh p ( logon Server ), Server này cịn g i là domain controller (máy điu khi n vùng).
   Duy trì m t b ng h ưng d n ho c m t b ng ch mc ( index ) giúp các máy tính trong m ng cĩ th dị tìm nhanh m t tài nguyên nào đĩ trên các máy tính khác trong vùng.
   Cho phép chúng ta t o ra nh ng tài kho n ng ưi dùng v i nh ng m c đ quy n (rights ) khác nhau nh ư: tồn quy n trên h th ng m ng, ch cĩ quy n backup d li u hay shutdown Server t xa
   Cho phép chúng ta chia nh mi n c a mình ra thành các mi n con ( subdomain ) hay các đơ n v t ch c OU (Organizational Unit ). Sau đĩ chúng ta cĩ th y quy n cho các qu n tr viên b ph n qu n lý t ng b ph n nh . II.3. Directory Services. II.3.1 Gi i thi u Directory Services. Directory Services (d ch v danh b ) là h th ng thơng tin ch a trong NTDS.DIT và các ch ươ ng trình qu n lý, khai thác t p tin này. D ch v danh b là m t dch v cơ s làm n n t ng đ hình thành m t h th ng Active Directory . M t h th ng v i nh ng tính n ăng v ưt tr i c a Microsoft . II.3.2 Các thành ph n trong Directory Services. ðu tiên, b n ph i bi t đưc nh ng thành ph n c u t o nên d ch v danh b là gì? B n cĩ th so sánh d ch v danh b vi m t quy n s lưu s đin tho i. C hai đu ch a danh sách c a nhiu đi t ưng khác nhau c ũng nh ư các thơng tin và thu c tính liên quan đn các đi t ưng đĩ. Nhĩm 11 trang 5
6. DOMAIN CONTROLLER a. Object ( đi t ưng). Trong h th ng c ơ s d li u, đi t ưng bao g m các máy in, ng ưi dùng m ng, các server , các máy tr m, các th ư m c dùng chung, d ch v mng, ði t ưng chính là thành t căn b n nh t c a d ch v danh b . b. Attribute (thu c tính). Mt thu c tính mơ t mt đi t ưng. Ví d , m t kh u và tên là thu c tính c a đi t ưng ng ưi dùng m ng. Các đi t ưng khác nhau cĩ danh sách thu c tính khác nhau, tuy nhiên, các đi t ưng khác nhau c ũng cĩ th cĩ m t s thu c tính gi ng nhau. L y ví d nh ư m t máy in và m t máy tr m c hai đu cĩ m t thu c tính là đa ch IP. c. Schema (c u trúc t ch c). Mt Schema đnh ngh ĩa danh sách các thu c tính dùng đ mơ t mt lo i đi tưng nào đĩ. Ví d , cho r ng t t c các đi t ưng máy in đu đưc đnh ngh ĩa b ng các thu c tính tên, lo i PDL và t c đ. Danh sách các đi t ưng này hình thành nên Schema cho l p đi t ưng “máy in”. Schema cĩ đc tính là tu ỳ bi n đưc, ngh ĩa là các thu c tính dùng đ đnh ngh ĩa m t l p đi t ưng cĩ th sa đi đưc. Nĩi tĩm l i Schema cĩ th xem là m t danh b ca cái danh b Active Directory . d. Container (v t ch a). Vt ch a t ươ ng t vi khái ni m th ư m c trong Windows. M t th ư m c cĩ th ch a các t p tin và các th ư m c khác. Trong Active Directory , m t v t ch a cĩ th ch a các đi t ưng và các v t ch a khác. V t ch a c ũng cĩ các thu c tính nh ư đi tưng m c dù v t ch a khơng th hi n m t th c th th t s nào đĩ nh ư đi t ưng. Cĩ ba lo i v t ch a là:
   Domain : khái ni m này đưc trình bày chi ti t ph n sau.
   Site : m t Site là m t v trí. Site đưc dùng đ phân bi t gi a các v trí c c b và các v trí xa xơi. Ví d , cơng ty XYZ cĩ t ng hành dinh đt San Fransisco, m t chi nhánh đt Denver và m t v ăn phịng đi di n đt Portland k t n i v tng hành dinh b ng Dialup Networking. Nh ư v y h th ng m ng này cĩ ba Site .
   OU (Organizational Unit): là m t lo i v t ch a mà b n cĩ th đư a vào đĩ ng ưi dùng, nhĩm, máy tính và nh ng OU khác. M t OU khơng th ch a các đi tưng n m trong domain khác. Nh vi c m t OU cĩ th ch a các OU khác, b n cĩ th xây d ng m t mơ hình th bc c a các v t ch a đ mơ hình hố c u trúc c a m t t ch c bên trong m t domain . B n nên s dng OU đ gi m thiu s lưng domain cn ph i thi t l p trên h th ng. Nhĩm 11 trang 6
7. DOMAIN CONTROLLER e. Global Catalog. Dch v Global Catalog dùng đ xác đnh v trí c a m t đi t ưng mà ng ưi dùng đưc c p quy n truy c p. Vi c tìm ki m đưc th c hi n xa h ơn nh ng gì đã cĩ trong Windows NT và khơng ch cĩ th đnh v đưc đi t ưng b ng tên mà cĩ th bng c nh ng thu c tính c a đi t ưng. Gi s bn ph i in m t tài li u dày 50 trang thành 1000 b n, ch c ch n b n s khơng dùng m t máy in HP Laserjet 4L. B n s ph i tìm m t máy in chuyên d ng, in vi t c đ 100ppm và cĩ kh năng đĩng tài li u thành quy n. Nh Global Catalog , bn tìm ki m trên m ng m t máy in v i các thu c tính nh ư v y và tìm th y đưc m t máy Xerox Docutech 6135. B n cĩ th cài đt driver cho máy in đĩ và g i print job đn máy in. Nhưng n u b n Portland và máy in thì Seattle thì sao? Global Catalog s cung c p thơng tin này và b n cĩ th gi email cho ch nhân c a máy in, nh h in giùm. Mt ví d khác, gi s bn nh n đưc m t th ư tho i t mt ng ưi tên Betty Doe b ph n k tốn. ðon th ư tho i c a cơ ta b ct xén và b n khơng th bi t đưc s đin tho i c a cơ ta. B n cĩ th dùng Global Catalog đ tìm thơng tin v cơ ta nh tên, và nh đĩ b n cĩ đưc s đin tho i c a cơ ta. Khi m t đi t ưng đưc t o m i trong Active Directory , đi t ưng đưc gán mt con s phân bi t g i là GUID (Global Unique Identifier ). GUID ca m t đi tưng luơn luơn c đnh cho dù b n cĩ di chuy n đi t ưng đi đn khu v c khác. II.4. Ki n trúc c a Active Directory. Hình 2.2: Kin trúc c a Active Directory. Nhĩm 11 trang 7
8. DOMAIN CONTROLLER II.4.1 Objects. Tr ưc khi tìm hi u khái ni m Object , chúng ta ph i tìm hi u tr ưc hai khái ni m Object classes và Attributes . Object classes là m t b n thi t k mu hay m t khuơn m u cho các lo i đi t ưng mà b n cĩ th to ra trong Active Directory . Cĩ ba lo i Object classes thơng d ng là: User, Computer, Printer . Khái ni m th hai là Attributes , nĩ đưc đnh ngh ĩa là t p các giá tr phù h p và đưc k t h p v i m t đi tưng c th . Nh ư v y Object là m t đi t ưng duy nh t đưc đnh ngh ĩa bi các giá tr đưc gán cho các thu c tính c a Object classes . Ví d hình sau minh h a hai đi tưng là: máy in ColorPrinter1 và ng ưi dùng KimYoshida. II.4.2 Organizational Units. Organizational Unit hay OU là đơ n v nh nh t trong h th ng AD , nĩ đưc xem là m t v t ch a các đi t ưng ( Object ) đưc dùng đ sp x p các đi t ưng khác nhau ph c v cho m c đích qu n tr ca b n. OU cũng đưc thi t l p d a trên subnet IP và đưc đnh ngh ĩa là “m t ho c nhi u subnet k t n i t t v i nhau”. Vi c s dng OU cĩ hai cơng d ng chính sau:
   Trao quy n ki m sốt m t t p h p các tài kho n ng ưi dùng, máy tính hay các thi t b mng cho m t nhĩm ng ưi hay m t ph tá qu n tr viên nào đĩ ( sub- administrator ), t đĩ gi m b t cơng tác qu n tr cho ng ưi qu n tr tồn b h th ng. Nhĩm 11 trang 8
9. DOMAIN CONTROLLER
   Ki m sốt và khĩa b t m t s ch c n ăng trên các máy tr m c a ng ưi dùng trong OU thơng qua vi c s dng các đi t ưng chính sách nhĩm ( GPO ), các chính sách nhĩm này chúng ta s tìm hi u các ch ươ ng sau. II.4.3 Domain. Domain là đơ n v ch c n ăng nịng c t c a c u trúc logic Active Directory . Nĩ là ph ươ ng ti n đ qui đnh m t t p h p nh ng ng ưi dùng, máy tính, tài nguyên chia s cĩ nh ng qui t c b o m t gi ng nhau t đĩ giúp cho vi c qu n lý các truy c p vào các Server d dàng h ơn. Domain đáp ng ba ch c n ăng chính sau:
   ðĩng vai trị nh ư m t khu v c qu n tr (administrative boundary ) các đi tưng, là m t t p h p các đnh ngh ĩa qu n tr cho các đi t ưng chia s nh ư: cĩ chung mt c ơ s d li u th ư m c, các chính sách b o m t, các quan h y quy n v i các domain khác. Nhĩm 11 trang 9
10. DOMAIN CONTROLLER
    Giúp chúng ta qu n lý b o m t các các tài nguyên chia s .
    Cung c p các Server d phịng làm ch c n ăng điu khi n vùng ( domain controller ), đng th i đm b o các thơng tin trên các Server này đưc đưc đng b vi nhau. Nhĩm 11 trang 10
11. DOMAIN CONTROLLER II.4.4 Domain Tree. Domain Tree là c u trúc bao g m nhi u domain đưc s p x p cĩ c p b c theo cu trúc hình cây. Domain to ra đu tiên đưc g i là domain root và n m gc c a cây th ư m c. T t c các domain to ra sau s nm bên d ưi domain root và đưc g i là domain con (child domain ). Tên c a các domain con ph i khác bi t nhau. Khi m t domain root và ít nh t m t domain con đưc t o ra thì hình thành m t cây domain . Khái ni m này b n s th ưng nghe th y khi làm vi c v i m t d ch v th ư m c. B n cĩ th th y c u trúc s cĩ hình dáng c a m t cây khi cĩ nhi u nhánh xu t hi n. II.4.5 Forest. Forest (r ng) đưc xây d ng trên m t ho c nhi u Domain Tree , nĩi cách khác Forest là t p h p các Domain Tree cĩ thi t l p quan h và y quy n cho nhau. Ví d gi s mt cơng ty nào đĩ, ch ng h n nh ư Microsoft, thu mua m t cơng ty khác. Thơng th ưng, m i cơng ty đu cĩ m t h th ng Domain Tree riêng và đ ti n qu n lý, các cây này s đưc h p nh t v i nhau b ng m t khái ni m là r ng. Nhĩm 11 trang 11
12. DOMAIN CONTROLLER Trong ví d trên, cơng ty mcmcse.com thu mua đưc techtutorials.com và xyzabc.com và hình thành r ng t gc mcmcse.com . III. CÀI ðT VÀ C U HÌNH ACTIVE DIRECTORY. III.1. Nâng c p Server thành Domain Controller. III.1.1 Gi i thi u. Mt khái ni m khơng thay đi t Windows NT 4.0 là domain . M t domain vn cịn là trung tâm c a m ng Windows 2000 và Windows 2003 , tuy nhiên l i đưc thi t l p khác đi. Các máy điu khi n vùng ( domain controller – DC ) khơng cịn phân bi t là PDC (Primary Domain Controller ) ho c là BDC (Backup Domain Controller ). Bây gi , đơ n gi n ch cịn là DC . Theo m c đnh, t t c các máy Windows Server 2003 khi m i cài đt đu là Server đc l p ( standalone server ). Ch ươ ng trình DCPROMO chính là Active Directory Installation Wizard và đưc dùng đ nâng c p m t máy khơng ph i là DC (Server Stand-alone ) thành m t máy Nhĩm 11 trang 12
13. DOMAIN CONTROLLER DC và ng ưc l i giáng c p m t máy DC thành m t Server bình th ưng. Chú ý đi vi Windows Server 2003 thì b n cĩ th đi tên máy tính khi đã nâng c p thành DC . Tr ưc khi nâng c p Server thành Domain Controller , b n c n khai báo đy đ các thơng s TCP/IP , đc bi t là ph i khai báo DNS Server cĩ đa ch chính là đa ch IP ca Server cn nâng c p. N u b n cĩ kh năng c u hình d ch v DNS thì b n nên cài đt d ch v này tr ưc khi nâng c p Server , cịn ng ưc l i thì b n ch n cài đt DNS t đng trong quá trình nâng c p. Cĩ hai cách đ bn ch y ch ươ ng trình Active Directory Installation Wizard : b n dùng ti n ích Manage Your Server trong Administrative Tools ho c nh p chu t vào Start Run , gõ l nh DCPROMO . III.1.2 Các b ưc cài đt. Ch n menu Start  Run , nh p DCPROMO trong h p tho i Run , và nh n nút OK . Khi đĩ h p tho i Active Directory Installation Wizard xu t hi n. B n nh n Next đ ti p t c. Nhĩm 11 trang 13
14. DOMAIN CONTROLLER Ch ươ ng trình xu t hi n h p tho i c nh báo: DOS, Windows 95 và WinNT SP3 tr v tr ưc s b lo i ra kh i mi n Active Directory da trên Windows Server 2003 . Bn ch n Next đ ti p t c. Nhĩm 11 trang 14
15. DOMAIN CONTROLLER Trong h p tho i Domain Controller Type , ch n m c Domain Controller for a New Domain và nh n ch n Nex t. (N u b n mu n b sung máy điu khi n vùng vào m t domain cĩ s n, b n s ch n Additional domain cotroller for an existing domain .) ðn đây ch ươ ng trình cho phép b n ch n m t trong ba l a ch n sau: ch n Domain in new forest nu b n mu n t o domain đu tiên trong m t r ng m i, ch n Child domain in an existing domain tree nu b n mu n t o ra m t domain con da trên m t cây domain cĩ s n, ch n Domain tree in an existing forest nu b n mu n to ra m t cây domain mi trong m t r ng đã cĩ s n. Nhĩm 11 trang 15
16. DOMAIN CONTROLLER Hp tho i New Domain Name yêu c u b n đt tên DNS đy đ ca domain mà b n c n xây d ng. Hp tho i NetBIOS Domain Name , yêu c u b n cho bi t tên domain theo chu n NetBIOS đ tươ ng thích v i các máy Windows NT . Theo m c đnh, tên Domain NetBIOS gi ng ph n đu c a tên Full DNS , b n cĩ th đi sang tên khác ho c ch p nh n giá tr mc đnh. Ch n Next đ ti p t c. Nhĩm 11 trang 16
17. DOMAIN CONTROLLER Hp tho i Database and Log Locations cho phép b n ch đnh v trí l ưu tr database Active Directory và các t p tin log . B n cĩ th ch đnh v trí khác ho c ch p nh n giá tr mc đnh. Tuy nhiên theo khuy n cáo c a các nhà qu n tr mng thì chúng ta nên đt t p tin ch a thơng tin giao d ch ( transaction log ) mt đĩa c ng v t lý khác v i đĩa c ng ch a c ơ s d li u c a Active Directory nh m t ăng hi u n ăng ca h th ng. B n ch n Next đ ti p t c. Hp tho i Shared System Volume cho phép b n ch đnh ví trí c a th ư m c SYSVOL . Th ư m c này ph i n m trên m t NTFS5 Volume . T t c d li u đt trong th ư m c Sysvol này s đưc t đng sao chép sang các Domain Controller khác trong mi n. B n cĩ th ch p nh n giá tr mc đnh ho c ch đnh ví trí khác, sau đĩ ch n Next ti p t c. (N u partition khơng s dng đnh d ng NTFS5 , b n s th y m t thơng báo l i yêu c u ph i đi h th ng t p tin). Nhĩm 11 trang 17
18. DOMAIN CONTROLLER DNS là d ch v phân gi i tên k t h p v i Active Directory đ phân gi i tên các máy tính trong mi n. Do đĩ đ h th ng Active Directory ho t đng đưc thì trong mi n ph i cĩ ít nh t m t DNS Server phân gi i mi n mà chúng ta c n thi t l p. Theo đúng lý thuy t thì chúng ta ph i cài đt và c u hình d ch v DNS hồn ch nh tr ưc khi nâng c p Server , nh ưng do hi n t i các b n ch ưa h c v dch v này nên chúng ta ch p nh n cho h th ng t đng cài đt d ch v này. Chúng ta s tìm hi u chi ti t d ch v DNS giáo trình “ Dch V Mng ”. Trong h p tho i xu t hi n b n ch n l a ch n th hai đ h th ng t đng cài đt và c u hình d ch v DNS . Trong h p tho i Permissions , b n ch n giá tr Permission Compatible with pre-Windows 2000 servers khi h th ng cĩ các Server phiên b n tr ưc Windows 2000 , ho c ch n Permissions compatible only with Windows 2000 servers or Windows Server 2003 khi h th ng c a b n ch tồn các Server Windows 2000 và Windows Server 2003 . Nhĩm 11 trang 18
19. DOMAIN CONTROLLER Trong h p tho i Directory Services Restore Mode Administrator Password , bn s ch đnh m t kh u dùng trong tr ưng h p Server ph i kh i đng vào ch đ Directory Services Restore Mode . Nh n ch n Next đ ti p t c. Nhĩm 11 trang 19
20. DOMAIN CONTROLLER Hp tho i Summary xu t hi n, trình bày t t c các thơng tin b n đã ch n. N u tt c đu chính xác, b n nh n Next đ bt đu th c hi n quá trình cài đt, n u cĩ thơng tin khơng chính xác thì b n ch n Back đ quay l i các b ưc tr ưc đĩ. Hp tho i Configuring Active Directory cho b n bi t quá trình cài đt đang th c hi n nh ng gì. Quá trình này s chi m nhi u thi gian. Ch ươ ng trình cài đt c ũng yêu c u b n cung c p ngu n cài đt Windows Server 2003 đ ti n hành sao chép các tp tin n u tìm khơng th y. Nhĩm 11 trang 20
21. DOMAIN CONTROLLER Sau khi quá trình cài đt k t thúc, h p tho i Completing the Active Directory Installation Wizard xu t hi n. B n nh n ch n Finish đ kt thúc. Cu i cùng, b n đưc yêu c u ph i kh i đng l i máy thì các thơng tin cài đt mi b t đu cĩ hi u l c. B n nh n ch n nút Restart Now đ kh i đng l i. Quá trình th ăng c p k t thúc. III.2. Gia nh p máy tr m vào Domain. III.2.1 Gi i thi u. Mt máy tr m gia nh p vào m t domain th c s là vi c t o ra m t m i quan h tin c y ( trust relationship ) gi a máy tr m đĩ v i các máy Domain Controller trong vùng. Sau khi đã thi t l p quan h tin c y thì vi c ch ng th c ng ưi dùng logon vào mng trên máy tr m này s do các máy điu khi n vùng đm nhi m. Nh ưng chú ý vi c gia nh p m t máy tr m vào mi n ph i cĩ s đng ý c a ng ưi qu n tr mng c p mi n và qu n tr viên c c b trên máy tr m đĩ. Nĩi cách khác khi b n mu n gia nh p m t máy tr m vào mi n, b n ph i đă ng nh p c c b vào máy tr m v i vai trị là administrator , sau đĩ gia nh p vào mi n, h th ng s yêu c u b n xác th c b ng m t tài kho n ng ưi dùng c p mi n cĩ quy n Add Workstation to Domain (b n cĩ th dùng tr c ti p tài kho n administrator cp mi n). Nhĩm 11 trang 21
22. DOMAIN CONTROLLER III.2.2 Các b ưc cài đt. ðă ng nh p c c b vào máy tr m v i vai trị ng ưi qu n tr (cĩ th dùng tr c ti p tài kho n administrator ). Nh p ph i chu t trên bi u t ưng My Computer , ch n Properties , h p tho i System Properties xu t hi n, trong Tab Computer Name , b n nh p chu t vào nút Change . H p tho i nh p li u xu t hi n b n nh p tên mi n c a m ng c n gia nh p vào mc Member of Domain . Máy tr m d a trên tên mi n mà b n đã khai báo đ tìm đn Domain Controller gn nh t và xin gia nh p vào m ng, Server s yêu c u b n xác th c v i m t tài kho n ng ưi dùng c p mi n cĩ quy n qu n tr . Nhĩm 11 trang 22
23. DOMAIN CONTROLLER Sau khi xác th c chính xác và h th ng ch p nh n máy tr m này gia nh p vào mi n thì h th ng xu t hi n thơng báo thành cơng và yêu c u b n reboot máy l i đ đă ng nh p vào m ng. ðn đây, b n th y h p tho i Log on to Windows mà b n dùng m i ngày cĩ vài điu khác, đĩ là xu t hi n thêm m c Log on to , và cho phép b n ch n m t trong hai ph n là: NETCLASS , This Computer . B n ch n m c NETCLASS khi b n mu n đă ng nh p vào mi n, nh rng lúc này b n ph i dùng tài kho n ng ưi dùng c p mi n. Bn ch n m c This Computer khi b n mu n logon cc b vào máy tr m nào đĩ và nh dùng tài kho n c c b ca máy. III.3. Xây d ng các Domain Controller đng hành. III.3.1 Gi i thi u. Domain Controller là máy tính điu khi n m i ho t đng c a m ng n u máy này cĩ s c thì tồn b h th ng m ng b tê li t. Do tính n ăng quan tr ng này nên trong m t h th ng m ng thơng th ưng chúng ta ph i xây d ng ít nh t hai máy tính Domain Controller . Nh ư đã trình bày trên thì Windows Server 2003 khơng cịn phân bi t máy Primary Domain Controller và Backup Domain Controller na, mà nĩ xem hai máy này cĩ vai trị ngang nhau, cùng nhau tham gia ch ng th c ng ưi dùng. Nh ư chúng ta đã bi t, cơng vi c ch ng th c đă ng nh p th ưng đưc th c hi n vào đu gi mi bu i làm vi c, n u m ng c a b n ch cĩ m t máy điu khi n dùng và 10.000 nhân viên thì chuy n gì s xy ra vào m i bu i sáng? ð gi i quy t tr ưng h p trên, Microsoft cho phép các máy điu khi n vùng trong m ng cùng nhau ho t đng Nhĩm 11 trang 23
24. DOMAIN CONTROLLER đơng th i, chia s cơng vi c c a nhau, khi cĩ m t máy b s c thì các máy cịn l i đm nhi m luơn cơng vi c máy này. Do đĩ trong tài li u này chúng tơi g i các máy này là các máy điu khi n vùng đng hành. Nh ưng khi kh o sát sâu v Active Directory thì máy điu khi n vùng đưc t o đu tiên v n cĩ vai trị đc bi t h ơn đĩ là FSMO (flexible single master of operations ). Chú ý đ đm b o các máy điu khi n vùng này ho t đng chính xác thì chúng ph i liên l c và trao đi thơng tin v i nhau khi cĩ các thay đi v thơng tin ng ưi dùng nh ư: t o m i tài kho n, đi m t kh u, xĩa tài kho n. Vi c trao đi thơng tin này g i là Active Directory Replication . ðc bi t các server Active Directory cho phép nén d li u tr ưc khi g i đn các server khác, t l nén đn 10:1, đo đĩ chúng cĩ th truy n trên các đưng truy n WAN ch m ch p. Trong h th ng m ng máy tính c a chúng ta n u t t c các máy điu khi n vùng đu là Windows Server 2003 thì chúng ta nên chuy n mi n trong m ng này sang c p đ ho t đng Windows Server 2003 (Windows Server 2003 functional level ) đ khai thác h t các tính n ăng m i c a Active Directory. III.3.2 Các b ưc cài đt. Ch n menu Start  Run , nh p DCPROMO trong h p tho i Run , và nh n nút OK . Khi đĩ h p tho i Active Directory Installation Wizard xu t hi n. B n nh n Next đ ti p t c. Nhĩm 11 trang 24
25. DOMAIN CONTROLLER Ch ươ ng trình xu t hi n h p tho i c nh báo: DOS, Windows 95 và WinNT SP3 tr v tr ưc s b lo i ra kh i mi n Active Directory da trên Windows Server 2003 . Bn ch n Next đ ti p t c. Trong h p tho i Domain Controller Type , ch n m c Additional domain cotroller for an existing domain và nh n ch n Next , vì chúng ta mu n b sung thêm máy điu khi n vùng vào m t domain cĩ s n. Nhĩm 11 trang 25
26. DOMAIN CONTROLLER Ti p theo h th ng yêu c u b n xác th c b n ph i ng ưi qu n tr cp mi n thì mi cĩ quy n t o các Domain Controller . B n nh p tài kho n ng ưi dùng cĩ quy n qu n tr vào h p tho i này. Ch ươ ng trình yêu c u b n nh p Full DNS Name ca mi n mà b n c n t o thêm Domain Controller . Nhĩm 11 trang 26
27. DOMAIN CONTROLLER Tươ ng t nh ư quá trình nâng c p Server thành Domain Controller đã trình bày trên, các b ưc ti p theo chúng ta ch đnh th ư m c ch a c ơ s d li u c a Active Directory, Transaction Log và th ư m c Sysvol . Hp tho i Summary xu t hi n, trình bày t t c các thơng tin b n đã ch n. N u tt c đu chính xác, b n nh n Next đ bt đu th c hi n quá trình cài đt, n u cĩ thơng tin khơng chính xác thì b n ch n Back đ quay l i các b ưc tr ưc đĩ. ðn đây h th ng s xây d ng m t Domain Controller mi và đng b d li u Active Directory gi a hai Domain Controller này. Nhĩm 11 trang 27
28. DOMAIN CONTROLLER Sau khi quá trình cài đt k t thúc, h p tho i Completing the Active Directory Installation Wizard xu t hi n. B n nh n ch n Finish đ kt thúc. Cu i cùng, b n đưc yêu c u ph i kh i đng l i máy thì các thơng tin cài đt mi b t đu cĩ hi u l c. B n nh n ch n nút Restart Now đ kh i đng l i. Quá trình xây d ng thêm m t Domain Controller đng hành đã hồn t t. III.4. Xây d ng Subdomain . Sau khi b n đã xây d ng Domain Controller đu tiên qu n lý mi n, lúc y Domain Controller này là m t g c c a r ng ho c Domain Tree đu tiên, t đây b n cĩ th to thêm các subdomain cho h th ng. ð to thêm m t Domain Controlle r cho m t subdomain bn làm các b ưc sau: Ti member server , b n c ũng ch y ch ươ ng trình Active Directory Installation Wizard , các b ưc đu b n c ũng ch n t ươ ng t nh ư ph n nâng c p phía trên. Trong h p tho i Domain Controller Type , ch n m c Domain Controller for a New Domain và nh n ch n Next . (N u b n mu n b sung máy điu khi n vùng vào m t domain cĩ s n, b n s ch n Additional domain cotroller for an existing domain .) Nhĩm 11 trang 28
29. DOMAIN CONTROLLER ðn đây ch ươ ng trình cho phép b n ch n m t trong ba l a ch n sau: ch n Domain in new forest nu b n mu n t o domain đu tiên trong m t r ng m i, ch n Child domain in an existing domain tree nu b n mu n t o ra m t domain con d a trên m t cây domain cĩ s n, ch n Domain tree in an existing forest nu b n mu n to ra m t cây domain mi trong m t r ng đã cĩ s n. Trong tr ưng h p này b n c n to m t Domain Controller cho m t Child domain , nên b n đánh d u vào m c l a ch n th hai. Nhĩm 11 trang 29
30. DOMAIN CONTROLLER ð to m t child domain trong m t domain tree cĩ s n, h th ng yêu c u b n ph i xác nh n b n là ng ưi qu n tr cp domain tree . Trong h p tho i này b n nh p tài kho n và m t kh u c a ng ưi qu n tr cp r ng và tên c a domain tree hi n t i. Ti p theo b n nh p tên c a domain tree hi n đang cĩ và tên c a child domain cn t o. Nhĩm 11 trang 30
31. DOMAIN CONTROLLER Các quá trình ti p theo t ươ ng t nh ư quá trình t o Domain Controller ca ph n trên. Cu i cùng b n cĩ th ki m tra cây DNS ca h th ng trên Server qu n lý g c rng cĩ t o thêm m t child domain khơng, đng th i b n cĩ th cu hình thêm chi dch v DNS nh m ph c v tt h ơn cho h th ng. III.5. Xây d ng Organizational Unit. Nh ư đã trình bày ph n lý thuy t thì OU là m t nhĩm tài kho n ng ưi dùng, máy tính và tài nguyên m ng đưc t o ra nh m m c đích d dàng qu n lý h ơn và y quy n cho các qu n tr viên đa ph ươ ng gi i quy t các cơng vi c đơ n gi n. ðc bi t hơn là thơng qua OU chúng ta cĩ th áp đt các gi i h n ph n m m và gi i h n ph n cng thơng qua các Group Policy . Mu n xây d ng m t OU bn làm theo các b ưc sau: Ch n menu Start Programs Administrative Tools  Active Directory User and Computer , đ m ch ươ ng trình Active Directory User and Computer . Ch ươ ng trình m ra, b n nh p ph i chu t trên tên mi n và ch n New-Organizational Unit . Nhĩm 11 trang 31
32. DOMAIN CONTROLLER Hp tho i xu t hi n, yêu c u chúng ta nh p tên OU cn t o, trong ví d này OU cn t o cĩ tên là HocVien . Nhĩm 11 trang 32
33. DOMAIN CONTROLLER ðư a các máy tr m đã gia nh p nh p m ng c n qu n lý vào OU va t o. Tip theo b n đư a các tài kho n ng ưi dùng c n qu n lý vào OU va t o. Nhĩm 11 trang 33
34. DOMAIN CONTROLLER Sau khi đã đư a các máy tính và tài kho n ng ưi dùng vào OU , b ưc ti p theo là bn ch ra ng ưi nào ho c nhĩm nào s qu n lý OU này. B n nh p ph i chu t vào OU va t o, ch n Properties, h p tho i xu t hi n, trong Tab Managed By , b n nh p chu t vào nút Change đ ch n ng ưi dùng qu n lý OU này, trong ví d này chúng ta ch n tài kho n Thanh qu n lý OU . Bưc cu i cùng này r t quan tr ng, chúng ta s tìm hi u chi ti t ch ươ ng Group Policy , đĩ là thi t l p các Group Policy áp d ng cho OU này. B n vào Tab Group Policy , nh p chu t vào nút New đ to m i m t GPO , sau đĩ nh p chu t vào nút Edit đ hi u ch nh chính sách. Trong ví d này chúng ta t o m t chính sách c m khơng cho phép dùng đĩa CD-ROM áp d ng cho t t c các ng ưi dùng trong OU . Nhĩm 11 trang 34
35. DOMAIN CONTROLLER III.6. Cơng c qu n tr các đi t ưng trong Active Directory. Mt trong b n cơng c qu n tr h th ng Active Directory thì cơng c Active Directory User and Computer là cơng c quan tr ng nh t và chúng ta s gp l i nhi u sau này, t ng b ưc ta s kh o sát h t các tính n ăng trong cơng c này. Cơng c này cĩ ch c n ăng t o là qu n lý các đi t ưng c ơ b n c a h th ng Active Directory . Nhĩm 11 trang 35
36. DOMAIN CONTROLLER Theo hình trên chúng ta th y trong mi n netclass.edu.vn cĩ các m c sau:
    Builtin : ch a các nhĩm ng ưi dùng đã đưc t o và đnh ngh ĩa quy n s n.
    Computers : ch a các máy tr m m c đnh đang là thành viên c a mi n. B n cũng cĩ th dùng tính n ăng này đ ki m tra m t máy tr m gia nh p vào mi n cĩ thành cơng khơng.
    Domain Controllers : ch a các điu khi n vùng ( Domain Controller ) hi n đang ho t đng trong mi n. B n c ũng cĩ th dùng tính n ăng này đ ki m tra vi c t o thêm Domain Controller đng hành cĩ thành cơng khơng.
    ForeignSecurityPrincipals : là m t v t ch a m c đnh dành cho các đi t ưng bên ngồi mi n đang xem xét, t các mi n đã thi t l p quan h tin c y ( trusted domain ).
    Users : ch a các tài kho n ng ưi dùng m c đnh trên mi n. IV. TÀI LI U THAM KH O. IV.1. Tài li u windows server 2003. IV.2. Internet. Nhĩm 11 trang 36