Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active Directory Mô Hình Hệ Thống Trên Windows Server 2000/2003 I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các ðối Tư
Trang 1Triển Khai Hệ Thống Domain Trên Windows Server 2003
Active Directory
Mô Hình Hệ Thống Trên Windows Server 2000/2003
I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các ðối Tượng Bằng Dòng Lệnh
Windows Server 2003 là hệ ñiều hành mạng hòan thiện nhất hiện nay, chúng
ta có thể dùng Windows Server 2003 ñể triển khai các hệ thống Domain Controller quản trị tài nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng…
Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt ñộng diễn ra trên hệ thống ñều chịu sự chi phối và ñiều khiển của Active Directory Từ phiên bản Windows NT4.0 trở về sau, Microsoft ñã phát triển hệ thống Active Directory dùng ñể lưu trữ dữ liệu của domain như các ñối tượng user, computer, group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm soát truy cập, ủy quyền, và ñặc biệt là dịch vụ chứng thực ñược xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi ñăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia
sẽ của hệ thống vói những quyền hạn hợp lệ
Với những dịch vụ và tiện ích của mình, Active Directory ñã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt ñộng, những công việc mà hầu như không thể thực hiện ñược trên một hệ thống mạng ngang hàng, phân tán
Trang 2thì giờ ñây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như ñưa ra các chính sách chung cho toàn bộ hệ thống nhưng ñồng thời có thể ủy quyền quản trị ñể phân chia khả năng quản lý trong một môi trường rộng lớn
Những Thành Phần Chính Của Hệ Thống Active Directory
User : là các tài khoản người dùng, khi cài ñặt Active Directory sẽ có một số
tài khoản built-in ñược tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống, backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp
lệ ñôi với những dữ liệu này Tuy nhiên ñể các nhân viên trong một tổ chức
có thể sử dụng tài nguyên và ñăng nhập (log-in) vào domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng Các user sẽ dùng những tài khoản ñược cấp bởi administrator ñể log-in và domain Và truy cập dữ liệu trên file server hay các dịch vụ khác
Group: là một tập hợp của những ngừơi dùng có những ñặc tính chung, ví
dụ các nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên file server hoặc chúng ta muốn các nhân viên của công ty ñều có quyền
in ñối với laser printer, chúng ta nên tạo group printing và gán quyền in trên laser printer sau ñó add tất cả các nhân viên của công ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao tác chung, mặc ñịnh tất cả các user ñược tạo ra ñều thuộc group này)
OU (organization unit): là những ñơn vị tổ chức, khi thiết kế một domain thì
chúng ta khảo sát hệ thống có bao nhiêu ñon vị tổ chức như có bao nhiêu phòng ban, bộ phận Dựa trên kết quả khảo sát này sẽ tạo những OU tương
ứng với chức năng, vị trí như phòng ban Sales sẽ có một OU Sales và trong
OU này chứa group sales, group sales sẽ bao gồm tất cả những thành viên của phòng ban sale, và những user này cũng ñược ñặt trong OU Sales cùng với group sales Như vậy chúng ta cần phải phân biệt rõ group sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU ñược dùng ñể quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban sales trong môi trường thật ñược cài ñât tự ñộng MS OfficeXP hay update những bản vá nào khi ñăng nhập hệ thống thì chúng ta phải tương tác qua OU Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn truy cập
Trang 3của các user này bằng OU, chắnh vì vậy chúng ta cần phải tạo ra các group
và gán quyền thông qua những group này đó là những khác biệt cơ bản nhất mà chúng ta cần phân biệt
Trên ựây là 3 ựối tượng cơ bản của hệ thống active directory, ngoài ra còn có những thành phần khác như group plicy, site, trusting, global catalog, fsmo sẽ ựược trình bày ở những phần tiếp theo
Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một
số lưu ý chúng ta cần quan tâm là:
- Cần có ắt nhất 2 domain controler là Primary (PDC) và cái còn lại
dùng là Backup (BDC) ựể ựáp ứng chức năng load balancing và
faultolerant, nếu hệ thống chỉ có một domain controler duy nhất thì phải
backup các system state data của Active Directory cẩn thận theo các mức
chuẩn (baseline) ựể có thể phục hồi khi có sữ cố xảy ra hay dùng cho migration (di trú) qua một máy khác khi PDC bị hư hỏng ựột xuất
- Hệ thống Active Directory sử dụng DNS cho quá trình phần giải tên các dịch vụ và những thành viên của chúng, vì vậy bắt buộc phải có DNS hợp lệ ựể Active Directory họat ựộng chắnh xác, tên của Domain là gì?Thông thường khi cài ựặt active directory có thể chọn cài tắch hợp dịch
vụ DNS, trong trường hợp ựã có sẳn máy chủ DNS thì phải khai báo ựịa chỉ của dịch vụ này trong phần Prefered DNS và tên của domain là tên của tổ chức như tcdescon.com, security365.org
- Cần phải khảo sát tổ chức có bao nhiêu thành viên (người dùng) tương
ứng với số lượng account ựược tạo trong Acitve Directory, có bao nhiêu bộ
phận, phòng ban ựể tạo ra các OU và Group tương ứng, ngòai ra chúng ta cần xem xét các quyền hạn sử dụng của các ựối tượng, khả năng ựáp ứng
ựể từ ựó ựưa ra một bản phác thảo ựầy ựủ cho hệ thống Domain Controller
của mình
để thực hiện bài Lab này, cần có các máy tắnh với cấu hình TCP/IP như hình
dưới ựây, trong ựó DC1 là Primay Domain Controller với hệ thống Backup (Secondary Domain Controller) là DC2 tất cả ựều sử dụng Windows Server
2003 Client1 có thể dùng Windows XP hoặc Windows 2000
Trang 4
Hệ Thống Domain Controler Và ðịa Chỉ IP (Click vào ảnh ñể phóng to)
1- Tiến hành cài ñặt tự ñộng Active Directory trên DC1 theo phương pháp Unattend
ðể thăng cấp một Windows Server 2003 Standalone lên thành Domain
Controller chúng ta sử dụng lệnh dcpromo và sau ñó cung cấp ñầy ñủ tên
domain, vai trò và vị trí cài ñặt Trong phần này các bạn hãy log-in vào DC1 bằng tài khỏan Administrator và tạo tập tin như ñưới ñây, hãy thay tên domain security365 bằng tên domain của bạn cũng như các thông tin về Password hay SafeModeAdminPassword tương ứng , các bạn có thể chọn cài cùng lúc DNS bằng cách xác ñịnh AutoConfigDNS = Yes, nếu muốn hệ thống reboot lại sau khi cài ñặt hãy ñặt giá trị RebootOnSuccess = Yes
[DCInstall]
RebootOnSuccess = No
DatabasePath = %SYSTEMROOT%\NTDS
LogPath = %SYSTEMROOT%\NTDS
SysVolPath = %SYSTEMROOT%\Sysvol
UserName = administrator
Password = Password
ReplicaorNewDomain = Domain
TreeOrChild = Tree
CreateOrJoin = Create
NewDomainDNSName = security365.org
DNSOnNetwork = No
DomainNetBiosName = SECURITY365
AllowAnonymousAccess = No
AutoConfigDNS = Yes
SiteName = Default-First-Site-Name
Trang 5SafeModeAdminPassword = netmanager
Lưu tập tin trong ở C:\ với tên là dcinfo.txt
Sau ñó chạy lệnh dcpromo /answer:C:\dcinfo.txt
Restart lại hệ thống khi tiến trình cài ñặt hòan tất, tiêp theo chúng ta cần tạo
ra những tài khỏan người dùng cùng với những Group, OU tương ứng theo các phòng ban như hình sau ñây dựa trên mô hình thực tế của công ty có 2 chi nhánh CA và NC, mỗi chi nhánh có các bộ phận Marketing, Accountign
và Sales
2- Tạo cấu trúc OU với dsadd ou:
Có nhiều cách ñể tạo ra các ñối tượng trên Active Directory như OU, Group, User Các bạn có thể dùng giao diện ñồ họa Active Directory Users and Computers console sau ñó click chuột phải vào Domain Name (ví dụ security365.com) và chọn những thao tác tương ứng Ở ñây chúng ta sử
Trang 6dụng một phương pháp ít thông dụng hơn dựa trên dòng lệnh, ñiều này sẽ rất thuận tiện khi muốn xây dựng hệ thống một cách tự ñộng
ðể tạo một OU mới hãy sử dụng dòng lệnh dsadd ou:
Dsadd ou “OU=NC,DC=security365,DC=com”
Dsadd ou “OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Marketing,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com”
Có thể dùng tập tin bat ñể tiến hành tự dộng quá trình trên, với OU là tên của
OU ñược tạo, DC là tên của domain lưu ý nên tạo tuần tự các bước
3 Tạo User Với dsadd user:
Chúng ta có thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ tạo ra
tài khỏan cho Nguyen Tran Duy Vinh thuộc phòng ban Sales :
- tên ñăng nhập vinhndt, mật mã ñăng nhập 123qwe!@#
- thuộc bộ OU Sales
- first name là nguyen tran duy
- last name là vinh
- tên upn là ntdvinh@security365.com
- ñể tài khỏan có thể sử dụng ñược ngay hãy ñặt –disable no
dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com” –upn
vinhndt@security365.com –fn nguyen tran duy –ln vinh –pwd 123qwe!@# –disabled no
3.Tạo Group với dsadd group:
Các user trong mỗi phòng ban thường có những ñặc tínhchung như quyền hạn truy cập vào tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy in…Vì vậy hãy tạo ra các nhóm người dùng (Group) sau ñó add những user vào Chúng ta có thể thực hiện ñiều này với dòng lệnh dsadd group Ví dụ sau ñây sẽ tạo một gourp có tênlà Consultants (CN) trong OU Marketing của domain Security365.Com, group type là security và group scope là global
Trang 7Dsadd group
“CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com” –secgrp yes –scope g
Ghi Chú: Có hai lọai group trong active directory là security và distribution Hầu hết các group chúng ta tạo ra và sử dụng ñề thuộc lọai security goup Distribution group chỉ ñược dùng cho quá trình họat ñộng của các ứng dụng như Exchange Server, và các bạn không thê gán quyền truy cập ñối với lọai group này Ngòai ra các group ñươc chia làm 3 lọai group scope là Global, Universal và Local Với Local Group các thành viên chỉ có thể truy cập những tài nguyên trên domain nội bộ Khi hệ thống có nhiều domain, ñể user
có thể truy cập tà nguyên ở các domain khác thì chúng phải là thành viên của Global hay Universal Group
4.Add User vào Group Với Dsmod:
ðể Add User Nguyen Tran Cat Vinh là thành viên của group Consultant
trong OU Marketing (là OU con của CA) cho domain Security365.Com ta
sử dụng lệnh sau :
“CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com” – addmbr
“CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC=com”
Trong những trường hợp quản trị từ xa hay cần tạo ra nhiều ñối tượng cùng lúc cho hệ thống cách tốt nhất là sử dụng các tiện ích dòng lệnh Cách thức quản trị Active Directory thông qua giao diện ñồ họa như Active Directory Users and Computer các bạn có thể tham khảo ở trang web www.microsoft.com, mọi thắc mắc gởi ñến mục HelpDesk trang web www.security365.org, Công ty Giải Pháp An Tòan
II – Join Máy Tính Client1 Vô Domain
Sau khi cài ñặt và cấu hình xong hệ thống Active Directory chúng ta cần join các clien vào domain ñể có thể quản lý, cấp quyền truy cập, sử dụng tài nguyên cho người sử dụng Hãy log-in vào Client1 với quyền Administrator
và click chuột phải vào My Computer chọn Properties:
Trên tab Computer (Network Identification) hãy nhấn Change hoặc Properties tùy thuộc vào hệ ñiều hành Client1 sử dụng là Windows XP hay Windows 2000Tiếp theo và nhập vào thông tin sau:
Trang 8
Nhấn OK, một hộp thọai yêu cầu thông tin Username & Password sẽ hiển thị, hãy nhập vào tài khỏan hợp lệ ví dụ Administrator và nhấn OK ñể hòan tất quá trình join domain
III – Cài ðặt Secondary Domain Controler:
ðối với các hệ thống mạng lớn có nhiều user, chúng ta nên triển khai thêm
các secondary domain controler (hay còn gọi là Backup Domain Controler-BDC) ñể tăng cường khả năng ñáp ứng yêu cầu truy cập của user và khi primary domain controler gặp phải những sự cố thì hệ thống vẫn có thể họat
ñộng bình thường nhờ vào secondary domain controler này, ngòai ra chúng
ta còn có thể phục hồi cơ sở dữ liệu của Active Directory trên PDC Cả hai
hệ thống Domain Controler này ñề chứa cùng một cơ sở dữ liệu của domain như user, group policy, ou…và khi dữ liệu trên một domain controller này thay ñổi sẽ ñược tự ñộng replicate (sao chép) sang những domain controler còn lại, tiến trình này diễn ra hòan tòan tự ñộng do dịch vụ KCC (knowledge consistent checker) của hệ thống ñảm nhiệm Tuy nhiên trong những trường hợp ñặc biệt các bạn có thể tiến hành replicate ngay lập tức Sau ñây là các bước xây dựng secondary domain controller:
Trang 9
Join máy tính DC2 vào domain và log-in bằng tài khỏan Administrator Mở Start - > Run và chạy lệnh dcpromo
Trên màn hình cài ñặt tiếp theo chúng ta chọn mục Additional domain controller for an existing domain và nhấn Next Ở cữa sổ Network
Credential hãy nhập vào tài khỏan Administrator, Password của domain và chọn Next:
Tiếp theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary domain controller (trong ô additional domain controller) Tên này sẽ tự hiển thị nếu như DC2 là thành viên của Domain Nếu các bạn tiến hành thăng cấp không qua bước join DC2 vô domain thì phải nhập tên Domain ñầy ñủ như security365.com Một ñiều cần lưu ý là phải cấu hình ñịa chỉ DNS cho domain trong phần Prefered DNS, vì ña số các sự cố và lỗi khi thăng cấp một secondary domain controller cũng như trong qua trình họat ñộng của Active Directory ñều liên quan ñến việc cấu hình ñịa chỉ DNS server không chính xác làm cho quá trình phân giải tên các máy chủ và các dịch vụ không tiến hành ñược
Sau ñó hãy chấp nhận giá trị mặc ñịnh về vị trí cài ñặt, lưu trữ database của active directory cũng như sysvol folder Nếu muốn thay ñổi các thông số này sau khi cài ñặt hãy dùng công cụ NTDSUTIL
Trang 10
Cuối cùng một bảng tóm tắt các thông tin của secondary domain controller hiển thị, hãy kiểm tar lại và nhấn Next ñể tiến trình cài ñặt diễn ra, sau khi hòan tất hãy restart lại hệ thống DC2
Như vậy chúng ta ñã xây dựng xong hệ thống active directory cho domain security365.com với một primary và một secondary domain controler, lúc này các máy tính client trên hệ thống có thể join domain với những tài khỏan hợp lệ ñể thực hiện công việc của mình