MCSA 2012 DOMAIN CONTROLLER

RIỂN KHAI NHIỀU DOMAIN CONTROLLER CHẠY SONG SONG TRÊN WINDOWS SERVER 2012Trong một hệ thống Active Directory lớn, nếu chỉ có một DC thì Server này có thể bị quá tải khi nhiều user cùng y

RIỂN KHAI NHIỀU DOMAIN CONTROLLER CHẠY SONG SONG TRÊN WINDOWS SERVER 2012

Trong một hệ thống Active Directory lớn, nếu chỉ có một DC thì Server này

có thể bị quá tải khi nhiều user cùng yêu cầu chứng thực Bên cạnh đó user

sẽ không được chứng thực khi DC này bị lỗi Trong phần này sẽ hướng dẫn bạn triển khai nhiều domain controller chạy song song

II- CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 3 máy ảo: DC2012 (domain MCTHUB.LOCAL), SERVER1 và SERVER3

* Quy trình thực hiện:

1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3

2/ Khảo sát Active Directory

a Khái niệm Additional Domain Controller (ADC)

b Những trường hợp cần xây dựng ADC

c Cài đặt Additional Domain Controller (ADC) cho SERVER1

d Enforce Replication

e Chia site hệ thống

III- TRIỂN KHAI CHI TIẾT:

1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3

Mô hình của bạn cần nhiều Server sử dụng Windows 2012 Để tiết kiệm thời gian và đỡ phải cài nhiều lần 1 hệ điều hành thì bạn dùng dạng đĩa ảo

Differencing Disk (xem bài "Tổng Quan Hyper-V trên Windows Server 2012").

Tuy nhiên bạn sẽ gặp phải vấn đề khi nâng cấp ADC hay domain mới do các

máy ảo sẽ bị trùng SID (Security Identifier) Do đó, trong trường hợp này bạn cần phải thay đổi SID cho các máy ảo

- Trên máy SERVER 1, bạn nhấn tổ hợp phím ÿ + R, sau đó nhập

vào sysprep.

- Bạn nhấn double click vào file sysprep.exe để thực thi file này.

- Trong cửa sổ System Preparation Tool 3.14, bạn đánh dấu chọn vào

ô Generalize.

- Chương trình sysprep sẽ tiến hành xóa thông tin cài đặt và tạo ra SID mới.

- Tương tự bạn thực hiện cho máy SERVER3

- Sau khi gỡ bỏ SID xong, bạn lần lượt đặt lại tên máy, địa chỉ IP của máy dựa theo IP bảng sau:

- Join 2 máy SERVER1 và SERVER3 vào domain MCTHUB.LOCAL.

2/ Khảo sát Active Directory

a Khái niệm Additional Domain Controller (ADC)

Active Directory Domain Service (AD DS) là trung tâm quản lý và chứng thực

cho các đối tượng như: group, user, computer account… AD DS cung cấp tất

cả thông tin của một đối tượng cho các dịch vụ cần thiết, ví dụ cung cấp đầy

đủ thông tin cho việc chứng thực khi user truy cập tài nguyên…

* Primary Domain Controller (PDC): Trong một domain có thể có nhiều

Domain Controller Domain Controller đầu tiên gọi là Primary Domain

Controller (PDC)

* Additional Domain Controller (ADC): Các Domain Controller thêm vào

được gọi là Additional Domain Controller (ADC)

Trong hệ thống doanh nghiệp thì bắt buộc phải có PDC và chỉ duy nhất

một máy ADC là tùy chọn dùng trong các trường hợp sau đây.

b Những trường hợp cần xây dựng ADC

+ Trường Hợp 1: Hệ thống có nhiều site (Site: chỉ khu vực địa lý, vd: Site Sài Gòn – Site Hà Nội).

Giải pháp: dựng thêm ADC ở Site Hà Nội nhằm mục đích chứng thực cho các user ở Hà Nội, mục đích để khi log on không phụ thuộc đường truyền WAN

và tăng tốc độ

+ Trường Hợp 2: Hệ thống chỉ có 1 site Sài Gòn nhưng có số lượng user lớn Khi log on, DC sẽ bị quá tải và gây ra tình trạng nghẽn

mạng.

Giải pháp: Nên dựng thêm ADC để chia tải bớt cho hệ thống (Load

Balancing), cân bằng tải giúp hệ thống nhanh hơn.

+ Trường Hợp 3: Hệ thống chỉ có 1 Site Sài Gòn và chỉ có 1 DC, hệ

thống nhỏ Toàn bộ hệ thống hiện đang chạy ổn định Nhưng một ngày nào đó DC gặp sự cố, thì hệ thống công ty sẽ bị tê liệt Thời gian khôi phục sẽ mất khá nhiều thời gian.

Giải pháp: Xây dựng ADC để tăng tính sẵn sàng và tính chịu lỗi của hệ thống

để hệ thống có tính sẳn sàng cao (High Availability) và tăng tốc độ chứng thực

Mỗi DC sẽ lưu trữ Database riêng Nếu xây dựng thêm ADC sẽ có thêm database nữa Tuy nhiên 2 database này luôn luôn đồng bộ với nhau

c Cài đặt Additional Domain Controller (ADC) cho SERVER1

- Log on máy SERVER1 bằng quyền Domain Admin: MCTHUB Mở Server

Manager, ở bên trái chọn Local Server Bạn kiểm tra lại tên Computer

Name và Domain.

- Sau khi đã kiểm tra xong, chúng ta sẽ bắt đầu xây dựng ADC Trước hết bạn cần phải tìm hiểu về quy trình nâng cấp DC.

Nâng cấp DC Windows Server 2008

- Khi xây dựng domain, thì:

+ Tự động cài ADDS (Active Directory Domain Services)

+ Sau đó nâng cấp lên DC

- Mở Server Manager, vào menu Manage, chọn Add Roles and Features.

- Bạn cứ nhấn Next theo mặc định Ở màn hình Select Server Roles, bạn đánh dấu chọn vào ô Active Directory Domain Services.

- Chương trình sẽ yêu cầu cài thêm các Features, bạn nhấn Add Features.

- Các bước còn lại bạn nhấn Next theo mặc định Màn hình Confirm

installation selections, bạn đánh dấu chọn vào ô Restart the destination server automatically if required, sau đó nhấn Install.

- Bạn kiểm tra Notification và nhấn vào mục Promote this server to a

Bạn chọn vào tùy chọn đầu tiên là Add a domain controller to an existing

domain.

+ Mục Specify the domain information for this operation, chọn lựa domain

mà bạn muốn làm ADC

+ Mục Supply the credentials to perform this operation, bạn phải dùng user

Domain Admin thì mới có thể thực hiện việc cài ADC

- Màn hình Domain Controller Options, bạn có thể đánh dấu chọn vào

ô Domain Name System (DNS) server để cài đặt thêm DNS cho ADC Mục

này không bắt buộc Tuy nhiên bạn nên cài để tăng tính chịu lỗi cho DNS.Tiếp theo bên dưới là ô Global Catalog (GC) Vậy GC là gì? Trên DC, có AD Database bao gồm: thông tin user, thông tin group, thuộc tính của các user

Global Catalog là một bản lưu rút gọn của AD Database được sử dụng

để chứng thực khi user log on.

+ Bên dưới là mục Type the Directory Services Restore Mode (DSRM)

password, bạn nhập vào mật khẩu Mật khẩu này sẽ được dùng để khôi phục

AD ở chế độ Restore Mode

- Màn hình DNS Options, bạn nhấn Next Tiếp theo ở màn hình Additional

Options, mục Replicate from, bạn lựa chọn Domain mà bạn muốn đồng bộ

Trong bài lab này, bạn chọn Any domain controller, sau đó nhấn Next.

- Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu

của AD, log files và SYSVOL.

- Các bước còn lại, bạn nhấn Next theo mặc định Màn hình Prerequisites

Check, khi bạn nhận được thông báo All prerequisites check passed

successfully nghĩa là quá trình kiểm tra điều kiện để cài đặt ADC đã thành

công Bạn nhấn nút Install để bắt đầu cài đặt.

- Sau khi nâng cấp ADC xong, bạn vào DC2012 tạo user u1 Trên ADC (máy SERVER1), bạn tạo thêm user u2 Kiểm tra giữa 2 máy đồng bộ.

- Tiếp theo, bạn mở Active Directory Users and Computers Ở bên trái bạn bung domain, chọn Domain Controller Sau đó bạn nhìn sang cột bên phải, bạn sẽ thấy máy DC2012 và máy SERVER1 đều là Global Catalog Server.

d Enforce Replication:

Việc đồng bộ giữa 2 DC có thể sẽ không nhanh như mình mong muốn Để cho 2 DC có thể đồng bộ với nhau ngay lập tức thì bạn phải dùng tính năng Enforce Replication (trên thực tế thì bạn không cần sử dụng tính năng này)

- Trên máy Server1, bạn mở Server Manager, vào menu Tools, chọn Active

Directory Sites and Services.

- Ở bên trái bạn bung mục Sites Ü Default-First-Site-Name Ü Servers, bạn

tiếp tục bung lần lượt các máy DC2012 và SERVER1

- Muốn thực thi ngay việc đồng bộ hóa, bạn nhấn vào NTDS Settings của DC2012, sau đó nhấn chuột phải vào automatically generate, chọn Replicate

now.

- Tương tự bạn làm cho NTDS Settings của máy SERVER1 Kiểm tra AD

Users and Computers sẽ thấy đồng bộ.

e Chia site hệ thống

Công ty có 2 văn phòng: Văn phòng chính ở Sài Gòn và văn phòng chi nhánh

ở Hà Nội Bạn xây dựng hệ thống domain cho công ty Tuy nhiên khi user ở

Hà Nội log on thì có thể phải sang DC ở Sài Gòn chứng thực và ngược lại do

cơ chế phân giải Round Robin của DNS Do đó việc log on nhanh hay chậm phụ thuộc vào kết quả phân giải của DNS Server và chất lượng đường

truyền

Giải pháp: Xây dựng SERVER 3 ở Hà Nội làm ADC và chia Site theo từng khu vực, Client ở Site nào thì logon ở Site đó.

- Trên DC2012, mở Server Manager Sau đó bạn vào menu Tools,

chọn Active Directory Sites and Services.

- Chuột phải vào Default First Site Name, chọn Rename.

- Bạn đổi tên thành SaiGon

- Chuột phải lên Sites, chọn New Site.

- Trong cửa sổ New Object – Site, ở mục Name, bạn đặt tên Site là HANOI

Chọn Site link có sẵn là DEFAULTIPSITELINK

- Hộp thoại Active Directory Domain Services, bạn nhấn OK.

- Quan sát thấy Site HaNoi đã được tạo.

- Chuột phải vào Subnets, chọn New Subnet.

- Ở mục Select a site object for this prefix, bạn chọn Site SaiGon Ở mục

Prefix đặt tên lớp mạng ở Site SaiGon

- Tương tự bạn làm cho Site HaNoi.

- Tiếp theo bạn cài đặt AD DS và nâng cấp SERVER3 thành ADC (lưu ý trong quá trình nâng cấp chọn Site HANOI) Khi đó user log on trên 1 Client nào

đó, hệ thống sẽ xác định IP của Client để xác định Subnet, từ đó xác định Site Client sẽ chứng thực tại Global Catalog Server cùng Site

Cám ơn dã xem bài viết

I- GIỚI THIỆU:

Trong một hệ thống Active Directory lớn, nếu chỉ có một DC thì Server này

có thể bị quá tải khi nhiều user cùng yêu cầu chứng thực Bên cạnh đó user

sẽ không được chứng thực khi DC này bị lỗi Trong phần này sẽ hướng dẫn bạn triển khai nhiều domain controller chạy song song

II- CÁC BƯỚC TRIỂN KHAI

Mô hình bài lab bao gồm 3 máy ảo: DC2012 (domain MCTHUB.LOCAL), SERVER1 và SERVER3

* Quy trình thực hiện:

1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3

2/ Khảo sát Active Directory

a Khái niệm Additional Domain Controller (ADC)

b Những trường hợp cần xây dựng ADC

c Cài đặt Additional Domain Controller (ADC) cho SERVER1

d Enforce Replication

e Chia site hệ thống

III- TRIỂN KHAI CHI TIẾT

1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3

Mô hình của bạn cần nhiều Server sử dụng Windows 2012 Để tiết kiệm thời gian và đỡ phải cài nhiều lần 1 hệ điều hành thì bạn dùng dạng đĩa ảo

Differencing Disk (xem bài "Tổng Quan Hyper-V trên Windows Server 2012").

Tuy nhiên bạn sẽ gặp phải vấn đề khi nâng cấp ADC hay domain mới do các máy ảo sẽ bị trùng SID (Security Identifier) Do đó, trong trường hợp này bạn cần phải thay đổi SID cho các máy ảo

- Trên máy SERVER 1, bạn nhấn tổ hợp phím ÿ + R, sau đó nhập

vào sysprep.

- Bạn nhấn double click vào file sysprep.exe để thực thi file này.

- Trong cửa sổ System Preparation Tool 3.14, bạn đánh dấu chọn vào

ô Generalize.

- Chương trình sysprep sẽ tiến hành xóa thông tin cài đặt và tạo ra SID mới

- Tương tự bạn thực hiện cho máy SERVER3

- Sau khi gỡ bỏ SID xong, bạn lần lượt đặt lại tên máy, địa chỉ IP của máy dựa theo IP bảng sau:

2/ Khảo sát Active Directory

a Khái niệm Additional Domain Controller (ADC)

Active Directory Domain Service (AD DS) là trung tâm quản lý và chứng thực

cho các đối tượng như: group, user, computer account… AD DS cung cấp tất

cả thông tin của một đối tượng cho các dịch vụ cần thiết, ví dụ cung cấp đầy

đủ thông tin cho việc chứng thực khi user truy cập tài nguyên…

* Primary Domain Controller (PDC): Trong một domain có thể có nhiều

Domain Controller Domain Controller đầu tiên gọi là Primary Domain

Controller (PDC)

* Additional Domain Controller (ADC): Các Domain Controller thêm vào

được gọi là Additional Domain Controller (ADC)

Trong hệ thống doanh nghiệp thì bắt buộc phải có PDC và chỉ duy nhất

một máy ADC là tùy chọn dùng trong các trường hợp sau đây.

b Những trường hợp cần xây dựng ADC

+ Trường Hợp 1: Hệ thống có nhiều site (Site: chỉ khu vực địa lý, vd: Site Sài Gòn – Site Hà Nội).

Giải pháp: dựng thêm ADC ở Site Hà Nội nhằm mục đích chứng thực cho các user ở Hà Nội, mục đích để khi log on không phụ thuộc đường truyền WAN

và tăng tốc độ

+ Trường Hợp 2: Hệ thống chỉ có 1 site Sài Gòn nhưng có số lượng user lớn Khi log on, DC sẽ bị quá tải và gây ra tình trạng nghẽn

mạng.

Giải pháp: Nên dựng thêm ADC để chia tải bớt cho hệ thống (Load

Balancing), cân bằng tải giúp hệ thống nhanh hơn.

+ Trường Hợp 3: Hệ thống chỉ có 1 Site Sài Gòn và chỉ có 1 DC, hệ

thống nhỏ Toàn bộ hệ thống hiện đang chạy ổn định Nhưng một ngày nào đó DC gặp sự cố, thì hệ thống công ty sẽ bị tê liệt Thời gian khôi phục sẽ mất khá nhiều thời gian.

Giải pháp: Xây dựng ADC để tăng tính sẵn sàng và tính chịu lỗi của hệ thống

để hệ thống có tính sẳn sàng cao (High Availability) và tăng tốc độ chứng thực

Mỗi DC sẽ lưu trữ Database riêng Nếu xây dựng thêm ADC sẽ có thêm

database nữa Tuy nhiên 2 database này luôn luôn đồng bộ với nhau

c Cài đặt Additional Domain Controller (ADC) cho SERVER1

- Log on máy SERVER1 bằng quyền Domain Admin: MCTHUB Mở Server

Manager, ở bên trái chọn Local Server Bạn kiểm tra lại tên Computer Name và Domain.

- Sau khi đã kiểm tra xong, chúng ta sẽ bắt đầu xây dựng ADC Trước hết bạn cần phải tìm hiểu về quy trình nâng cấp DC

Nâng cấp DC Windows Server 2008

- Khi xây dựng domain, thì:

+ Tự động cài ADDS (Active Directory Domain Services)

+ Sau đó nâng cấp lên DC

- Mở Server Manager, vào menu Manage, chọn Add Roles and Features.

- Bạn cứ nhấn Next theo mặc định Ở màn hình Select Server Roles, bạn đánh dấu chọn vào ô Active Directory Domain Services.

- Chương trình sẽ yêu cầu cài thêm các Features, bạn nhấn Add Features.

- Các bước còn lại bạn nhấn Next theo mặc định Màn hình Confirm

installation selections, bạn đánh dấu chọn vào ô Restart the destination server automatically if required, sau đó nhấn Install.

- Bạn kiểm tra Notification và nhấn vào mục Promote this server to a

domain controller.

- Màn hình Deployment Configuration, chương trình cung cấp cho bạn ba tùy

Ø Add new forest: xây dựng máy DC đầu tiên của forest.

Bạn chọn vào tùy chọn đầu tiên là Add a domain controller to an existing

domain.

+ Mục Specify the domain information for this operation, chọn lựa domain

mà bạn muốn làm ADC

+ Mục Supply the credentials to perform this operation, bạn phải dùng user

Domain Admin thì mới có thể thực hiện việc cài ADC

- Màn hình Domain Controller Options, bạn có thể đánh dấu chọn vào

ô Domain Name System (DNS) server để cài đặt thêm DNS cho ADC Mục

này không bắt buộc Tuy nhiên bạn nên cài để tăng tính chịu lỗi cho DNS.Tiếp theo bên dưới là ô Global Catalog (GC) Vậy GC là gì? Trên DC, có AD Database bao gồm: thông tin user, thông tin group, thuộc tính của các user

Global Catalog là một bản lưu rút gọn của AD Database được sử dụng

để chứng thực khi user log on.

+ Bên dưới là mục Type the Directory Services Restore Mode (DSRM)

password, bạn nhập vào mật khẩu Mật khẩu này sẽ được dùng để khôi phục

AD ở chế độ Restore Mode

- Màn hình DNS Options, bạn nhấn Next Tiếp theo ở màn hình Additional

Options, mục Replicate from, bạn lựa chọn Domain mà bạn muốn đồng bộ

Trong bài lab này, bạn chọn Any domain controller, sau đó nhấn Next.

- Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu

của AD, log files và SYSVOL.

- Các bước còn lại, bạn nhấn Next theo mặc định Màn hình Prerequisites

Check, khi bạn nhận được thông báo All prerequisites check passed

successfully nghĩa là quá trình kiểm tra điều kiện để cài đặt ADC đã thành

công Bạn nhấn nút Install để bắt đầu cài đặt.

- Sau khi nâng cấp ADC xong, bạn vào DC2012 tạo user u1 Trên ADC (máy SERVER1), bạn tạo thêm user u2 Kiểm tra giữa 2 máy đồng bộ.

- Tiếp theo, bạn mở Active Directory Users and Computers Ở bên trái bạn bung domain, chọn Domain Controller Sau đó bạn nhìn sang cột bên phải, bạn sẽ thấy máy DC2012 và máy SERVER1 đều là Global Catalog Server.