Mục lục I Tìm hiểu chung về Domain Controller 4 1 Domain Controller là gì ? 4 2 Vai trò của Domain Controller 4 3 Nhiệm vụ của Domain Controller 5 4 Ưu điểm và hạn chế khi sử dụng Domain Controller 6.
Trang 1Mục lục
I Tìm hiểu chung về Domain Controller
1.Domain Controller là gì ?
Một trong những khái niệm quan trọng nhất của mạng Windows là domain (tức miền hay vùng) Một domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung Và công việc quản
Trang 2lý là dành cho domain controller (bộ điều khiển miền) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn
2 Vai trò của Domain Controller
Vậy tại sao domain controller lại rất quan trọng? Trong mạng, bất kỳ máy trạm nào đang chạy hệ điều hành Windows XP cũng có một nhóm tài khoản người dùng tạo sẵn nào đó Windows XP thậm chí còn cho phép bạn tạo một số tài khoản
bổ sung nếu thấy cần thiết Nếu máy trạm có chức năng như một hệ thống độc lập hoặc là một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm (được gọi là tài khoản người dùng cục bộ) không thể điều khiển truy cập tài nguyên mạng Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộ và hoạt động như với chức năng đảm bảo cho quản trị viên có thể thực hiện công việc bảo dưỡng, duy trì máy trạm, không cho phép người dùng cuối khả năng can thiệp vào các thiết lập trên máy trạm
Lý do vì sao tài khoản người dùng cục bộ trên một máy trạm nhất định không được phép điều khiển truy cập tài nguyên nằm ngoài máy trạm đó là nó tăng thêm gánh nặng quản lý rất lớn Tài khoản người dùng cục bộ chỉ nằm trên các máy trạm riêng rẽ Nếu một tài khoản là có chức năng bảo mật chính trong mạng, quản trị viên sẽ phải di chuyển vật lý tới máy tính có tài khoản đó bất kỳ khi nào phải thực hiện thay đổi quyền hạn cho tài khoản Vấn đề này không gây ra tác động
gì lớn trong mạng nhỏ, nhưng sẽ trở nên cực kỳ nặng nề với ở mạng lớn hay khi cần áp dụng thay đổi rộng cho tất cả mọi tài khoản
Một lý do khác nữa là không ai muốn phải chuyển tài khoản người dùng từ máy này sang máy khác Chẳng hạn, nếu máy tính của một người dùng bị phá hoại, người đó không thể đăng nhập vào máy tính khác để làm việc vì tài khoản họ tạo
Trang 3chỉ có tác dụng trên máy cũ Nếu muốn làm được việc anh ta sẽ phải tạo tài khoản mới trên máy khác
Chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng cục bộ cho việc truy cập an toàn tài nguyên mạng là không thực tế Thậm chí nếu bạn muốn triển khai kiểu bảo mật này, Windows cũng không cho phép Tài khoản người dùng cục bộ chỉ có thể dùng tài nguyên cục bộ trên một máy trạm nhất định
3 Nhiệm vụ của Domain Controller
Domain có nhiệm vụ giải quyết các vấn đề vừa nêu và một số vấn đề khác nữa Chúng sẽ tập trung hoá tài khoản người dùng (hay cấu hình khác, các đối tượng liên quan đến bảo mật; chúng ta sẽ đề cập đến trong bài sau) Điều này giúp việc quản trị dễ dàng hơn và cho phép người dùng đăng nhập từ bất kỳ máy tính nào có trên mạng (trừ khi bạn giới hạn quyền truy cập người dùng)
Với những thông tin đã được cung cấp chắc hẳn bạn sẽ nghĩ, về mặt nguyên
lý, khi một người dùng nào đó muốn truy cập tài nguyên nằm trên một máy chủ (server), tài khoản người dùng mức server sẽ được dùng để điều khiển truy cập Xét trên một số khía cạnh, ý tưởng này là đúng, nhưng còn có nhiều điều phải lưu
ý hơn thế
4.Ưu điểm và hạn chế khi sử dụng Domain Controller
4.1 Ưu điểm
Ưu điểm quản lý tập trung các dịch vụ, đối tượng Nhưng tốn chi phí vì cần
ít nhất 1 máy làm Domain Controller (DC) Các máy tính client tham gia vào domain thì gọi là workstation (domain member)
3
Trang 4Một máy tính khi cài đặt dịch vụ Active Directory (AD) thì sẽ trở thành DC, DC lưu trữ AD Database đảm nhiệm chức năng:
- Quản lý tập trung hệ thống (user được tạo trong AD databse có thể log on bất cứ máy nào trong mạng domain, truy cập tài nguyên mà không cần tạo user trên workstation như mạng workgroup)
- Chứng thực user log on, truy cập tài nguyên trong hệ thống (mạng workgroup thì user chứng thực ngay trên local)
- Triển khai Policy tác động lên user, computer trong hệ thống domain (mạng workgroup thì phải thiết lập policy trên từng máy)
- Triển khai ứng dụng tự động cho user (thay vì đến từng máy cài)
4.2.Hạn chế
-Chỉ sử dụng khi số máy nhiều
-Cần nâng cấp
Trang 5II Cách sử dụng Domain Controller
Khi máy chủ Windows sử dụng Windows Server 2000, Windows Server
2003 hay Windows Server 2008, công việc của domain controller (bộ điều khiển miền) là chạy dịch vụ Active Directory Active Directory hoạt động như một nơi lưu trữ các đối tượng thư mục, trong đó có tài khoản người dùng (user account) Và một trong các công việc chính của bộ điều khiển tên miền là cung cấp dịch vụ thẩm định
Domain controller cung cấp dịch vụ thẩm định (authentication) chứ không phải
là dịch vụ cấp phép (authorization) Tức là, khi một người dùng nào đó đăng nhập
vào mạng, một bộ điều khiển miền sẽ kiểm tra tính hợp lệ của username và password họ nhập vào có chính xác và khớp với dữ liệu lưu trong máy chủ hay không Nhưng domain controller không nói với người dùng họ có quyền truy cập tài nguyên nào
• Làm việc với Read Only Domain Controller
Read Only Domain Controller (RODC) xuất hiện trong Windows Server 2008
5
Trang 6Cũng giống như các hệ điều hành máy chủ Windows Server hiện đại, Windows NT cũng hỗ trợ sử dụng miền Tuy nhiên có những khác biệt đó là domain controller bên trong mỗi miền mới có khả năng ghi Domain controller này được biết đến với tên Primary Domain Controller hay PDC, là một domain controller mà quản trị viên có thể ghi thông tin lên đó Sau đó Primary domain controller sẽ cập nhật cho các domain controller khác bên trong miền Các domain controller khác này được coi như một backup domain controller và ở trạng thái chỉ đọc những gì mà chúng được nâng cấp bởi primary domain controller
Mặc dù mô hình miền này làm việc khá tốt nhưng nó cũng có nhược điểm của nó Đáng kể nhất trong số các nhược điểm đó là vấn đề với primary domain controller có thể là tê liệt toàn bộ miền Như những gì bạn
có thể biết, Microsoft đã giới thiệu một số thay đổi lớn đối với mô hình miền khi họ phát hành Windows 2000 Server Windows 2000 Server có giới thiệu hai công nghệ mới cho các domain controller, cả hai đều vẫn được sử dụng cho tới ngày nay đó là Active Directory và multi master domain (mô hình đa miền chủ)
Mô hình multi master domain được giữ lại trong Windows Server
2003 và vẫn được sử dụng trong Windows Server 2008 Mặc dù vậy, Windows Server 2008 cũng cho phép có thể tạo Read Only Domain Controller RODC là các bộ điều khiển miền (domain controller) mà các quản trị viên không thể cập nhật trực tiếp cơ sở dữ liệu Active Directory Chỉ
có một cách để nâng cấp các domain controller là sử dụng một sự thay đổi đối với domain controllers cho phép ghi, sau đó cho phép thay đổi đó nhân rộng đến RODC
Trang 7RODC cũng giống như các domain controller khác, ngoại trừ cơ sở dữ liệu Active Directory không thể ghi trực tiếp Việc đặt RODC tại văn phòng chi nhánh không khắc phục triệt để được vấn đề lưu lượng bản sao của Active Directory nhưng nó làm giảm được một phần tải trọng của các máy chủ đầu cầu vì chỉ có lưu lượng bản sao gửi đến là được cho phép
RODC cũng có thể cải thiện được vấn đề bảo mật vì người tại văn phòng chi nhánh không thể thay đổi bất cứ thứ gì trong cơ sở dữ liệu Active Directory Thêm vào đó, không có thông tin về tài khoản nào được tạo bản sao đến RODC Điều này có nghĩa rằng nếu ai đó đánh cắp một RODC thì người này cũng không thể sử dụng các thông tin mà họ lấy được từ nó Việc các thông tin tài khoản người dùng không được ghi đến RODC cũng làm giảm được số lượng lưu lượng bản sao đối với các liên kết WAN, tuy nhiên nó không có nghĩa rằng với một số ngoại lệ, thẩm định người dùng sẽ phụ thuộc vào liên kết WAN đang hiện hữu
7
Trang 8III Cách nâng cấp máy tính từ Window Server 2008 lên thành Domain Controller
Cài đặt IP và DNS cho server
Sau khi chỉnh IP và DNS bấm OK
Vào menu Start -> run ( nút start + r ), trong ô cửa sổ run bạn gõ “dcpromo” hoặc
2008 thì ta cần đánh lệnh dcpromo để nâng cấp, thì khi đánh lệnh này thì Windows
sẽ tự động cài dịch vụ ADDS, chúng ta chỉ cần nâng cấp máy thành DC
Trang 9
Sau khi chạy dcpromo bạn sẽ nhìn thấy cửa sổ cài đặt DC, nhấn Next để tiếp tục
9
Trang 10Sau đó, hệ thống thông báo sự tương thích giứa Windows server 2008 với hẹ thống trước
Tiếp theo
Trang 11bạn lựa chọn “Create a new domain in a new forest” để tạo một tên miền mới
sau đó click Next .
Nhấn next để tiếp tục
Lúc này Windows sẽ kiểm tra tên NetBIOS, sự tồn tại của domain Trong trường hợp domain đã có rồi thì bạn sẽ nhận được thông báo lỗi
Tiếp theo ở phần “Set Forest Function level” bạn cần lựa chọn chức năng
cho Forest
11
Trang 12Bạn cần phải lựa chọn cho phù hợp với yêu cầu của tổ chức sau đó click Next để tiếp tục
Ở trang “Set domain Function level”, cũng tương tự như phần thiết lập chức năng
cho Forest Sau khi lựa chọn, nhấn Next để tiếp tục
Trang 13Tiếp đến là phần lựa chọn cài đặt DNS server, bạn chọn vào “DNS Server” sau đó
click Next
Tiếp theo bạn để mặc định sau đó click Next .
Tiếp theo là nhập mật khẩu dành cho restore hệ thống ADDS , lưu ý mật khẩu này không phải mật khẩu của Adminstrantor , và password theo kiểu phức tạp
13
Trang 14Chọn Next và đợi tiến trình xử lý thôi
Trang 15Sau đó sẽ hiện của sổ hiển thị đã nâng cấp xong Domain Controller , nhấn finish để kết thúc
15
Trang 16Kết quả