Quản trị mạng với windws server 2003 luận văn tốt nghiệp đại học

Các đối tượng trong Active Directory và quy ước đặt tên Các tài nguyên trên mạng được ghi trong Active Directory được gọi làObject - đối tượng.. Kết quả củađiều này là nó có khả năng qu

TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

gian nghiên cứu vừa qua.

Bên cạnh đó, em cũng rất cảm ơn các Thầy Cô trong Khoa đã tận tìnhgiảng dạy và trang bị cho chúng em thật nhiều kiến thức bổ ích trong các nămhọc vừa qua, góp phần rất lớn vào việc nghiên cứu thành công đồ án này

Cuối cùng, em xin gửi lòng biết ơn sâu sắc đến gia đình em, các bậcsinh thành đã có công nuôi dưỡng và dạy dỗ chúng em đến ngày hôm nay,những người đã luôn hết lòng tận tụy chăm sóc, ủng hộ và động viên em tronglúc khó khăn cũng như trong suốt thời gian học tập và nghiên cứu

Dù đã cố gắng hoàn thành tốt đồ án trong phạm vi yêu cầu, nhưng embiết có những thiếu sót chắc chắc không tránh khỏi Em mong sẽ nhận được

sự thông cảm và tận tình chỉ bảo của quý thầy cô và các bạn

Vinh, tháng5 năm 2011

Sinh viên thực hiện

Nguyên Thiên Thai

MỤC LỤC

Lời nói đầu

Chương I – Cài đặt Windows Server 2003 2

I) Giới thiệu về hệ điều hành Windows Server 2003 2

1 Các phiên bản của họ HĐH Windows Server 2003 2

2 Yêu cầu phần cứng cài đặt các phiên bản của Windows 2003 2

II) Cài đặt HĐH Windows Server 2003 3

Chương II – ACTIVE DIRECTORY ( Thư mục hiện hành )…… 10

I) Giới Thiệu Về Active Directory 10

II) Các đối tượng trong Activer Directory và quy ước đặt tên 11

III) Các kĩ thuật được hỗ trợ bởi Active Directory 11

1 Activer Dicrectory và DNS 13

2.Cấu trúc logic của ADS 13

2.1 Domain 14

2.2 Các Organizational Unit (OU) 15

2.3 Cây 15

2.4 Rừng 16

3 Cấu trúc vật lý của ADS 16

3.1 Sites 16

3.2 Domain Controller 17

4.Vai trò của Domain 18

5.Cài đặt Activer Dirctory 19

Chương III- Triển khai một số dịc vụ trong Windows Server 2003 29

I Dịch vụ DNS 29

1.1 Giới thiệu về DNS 29

1.2 Hướng dẫn việc đánh tên miền 30

2 Vùng 30

3 Máy chủ tên 31

4.Giải pháp đổi tên (Name Resolution ) 32

5.DNS động (Dynamic DNS ) 33

6.Cài đặt và cấu hình DNS 34

II) Dịch vụ DHCP 39

1 Giới thiệu về dịch vụ DHCP 39

2 Phạm vi cấp phát 39

3.Cài đặt và cấu hình dịch vụ DHCP 40

3.1 Yêu cầu cài đặt 40

3.2 Cài đặt dịch vụ DHCP 40

3.3 Cấu hình dịch vụ DHCP 41

Chương IV – Quản lý người dùng trong Windows Server 203 46

1 Local User Account ( User account cục bộ ) 46

2 Domain User Account 46

3 Built-in User Account 47

4 Các tùy chọn khi khởi tạo Domain User account 47

4.1 Thay đổi thược tính User account 48

5 Qyền quản lý trên các Folder NTFS 49

5.2 Sự an toàn trên các hệ thống file chia sẽ 51

5.3 Quyền cho phép đối với Shere folder 52

Chương V – ROUTING AND REMOTE ACCESS SERVICE (Định tuyến và các dịch vụ truy cập từ xa )……… 54

1 Giới thiệu về Routing and remotr access service 54

2 Remote Access 55

3 Dial – up Remote connection 56

4 Vitual Priveate Network Connection 59

4.1 Kỹ thuật đường hầm 60

4.2 Các giao thúc VPN 61

5 Cài đặt và cấu hình RRAS 62

5.1 Cài đặt và cấu hình trên Server 62

5.2 Truy cập trên Client 66

Kết luận

Tài liệu tham khảo 70

LỜI NểI ĐẦU

Trong thời đại công nghệ thông tin nh hiện nay, sự trao đổi thôngtin trở thành nhu cầu thiết yếu không thể thiếu đối với mỗi quốc gia nói riêng,toàn thế giới nói chung Sự phát triển công nghệ thông tin luôn gắn chặt với sựphát triển kinh tế cũng nh sự phát triển các ứng dụng khoa học kỹ thuật

Ngày nay, phát triển công nghệ thông tin là xây dựng cơ sở hạ tầng làmnền tảng vững chắc để xây dựng và phát triển một nền kinh tế vững mạnh.Trong xu thế ấy việc quản lý dựa vào máy tính là một nhu cầu thiết yếu củahầu hết mọi ngành, mọi doanh nghiệp, việc tin học hoá từng bớc trong côngtác quản lý, khai thác và điều hành sản xuất kinh doanh là một đòi hỏi ngàycàng cấp thiết

Trớc xu thế đó, để tiếp cận và góp phần đẩy mạnh sự phổ biến của côngnghệ thông tin , trong thời gian thực tập tốt nghiệp em đã tìm hiểu hệ điềuhành – mạng Windows Server 2003 ở ôtô Vinh Ford để làm đồ án tốt nghiệpcủa mình

Tuy đã cố gắng tìm hiểu, cài đặt hệ thống, và quản lý một số úng dụngtrong hệ thống Windows Server 2003 nhng chắc chắn không tránh khỏi nhữngthiếu sót Em rất mong nhận đợc sự thông cảm và góp ý của các thầy cô vàcác bạn để chơng trình đợc hoàn thiện hơn

Qua đây cho phép em đợc gửi lời cảm ơn chân thành đến các thầy cô

trong khoa Công nghệ thông tin, đặc biệt là thầy giáo Ths Phan Anh Phong,

ngời đã trực tiếp hớng dẫn và giúp đỡ em hoàn thành đồ án tốt nghiệp này

Em xin chân thành cảm ơn!

CHƯƠNG I

CÀI ĐẶT HĐH WINDOWS SERVER 2003

I - GIỚI THIỆU VỀ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003

1 Cỏc phiờn bản của họ Hệ Điều Hành (HĐH) Windows Server 2003

- Windows Server 2003 Web Edition: tối ưu dành cho các máy chủ web

- Windows Server 2003 Standard Edition: bản chuẩn dành cho cácdoanh nghiệp, các tổ chức nhỏ đến vừa

- Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các

tổ chức, các doanh nghiệp vừa đến lớn

- Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổchức lớn, các tập đoàn ví dụ như IBM, DELL…

2 Yêu cầu phần cứng cài đặt các phiên bản Windows Server 2003

Đặc tính Web

Edition

Standard Edition

Enterprise Edition

Datacenter Edition

Dung lượng RAM

64GB cho máy dòng

x86

và 512GB cho máy dòng Itanium Tốc độ tối thiểu cho

133Mhz cho máy dòng x86, 733Mhz cho máy dòng Itanium

400Mhz cho máy dòng x86, 733 cho máy dòng

Itanium Tốc độ CPU khuyến

8 đến 32 CPU cho máy dòng x86, 64 CPU cho máy dòng Itanium Dung lượng đĩa

trống 1,5GB 1,5GB

1,5GB cho máy dòng x86, 2GB cho máy dòng

Itanium

1,5GB cho máy dòng x86, 2GB cho máy dòng Itanium

Số máy kết nối trong

II – CÀI ĐẶT HĐH WINDOWS SERVER 2003

Có nhiều cách cài đặt Windows Server 2003 như:

- Cài đặt từ đĩa CD/DVD

- Cài đặt qua một thư mục chia sẻ: cách cài đặt này không thể formatđược ổ đĩa cài đặt (thường là ổ C).

- Cài đặt tự động thông qua Setup Manager Wizard: để cài đặt tự độngchúng ta phải tạo ra file trả lời tự động từ trước Dùng chương trình SetupManager Wizard tạo ra hai file trả lời tự động là Unattend.bat và Unattend.txt,hai file này chứa thông tin mà trong khi cài đặt HĐH sẽ hỏi, thay vì chúng taphải gõ vào thì chúng ta tạo ra trước và HĐH sẽ lấy những thông tin đượcnhập vào từ hai file này

Thông thường nhất chúng ta vẫn dùng cách cài đặt từ đĩa CD/DVD.Sau đây là một số hình ảnh về việc cài đặt HĐH Windows Server 2003

Cho đĩa Windows Server 2003 vào ổ CD, cho máy boot từ ổ CD đầutiên, sau khi ấn một phím bất kì để boot từ CD, hệ thống sẽ load tất cả nhữngphần cứng có trên máy

Ấn Enter để tiếp tục cài đặt.

Ấn F8 để đồng ý đăng kí license trong quá trình cài đặt

Chọn ổ cứng và phân vùng trên ổ cứng đó để chứa bộ cài đặt, sau

đó ấn Enter để tiếp tục

Chọn chế độ format cho phân vùng được cài đặt, nên dùng phân vùngđịnh dạng NTFS cho Windows Server 2003 Sau đó ấn Enter để hệ thốngformat phân vùng theo định dạng đã chọn

Sau đó hệ thống sẽ copy dữ liệu từ đĩa CD vào phân vùng cài đặt

Sau khi copy dữ liệu xong và khởi động lại máy, tiếp theo sẽ là quátrình bung dữ liêu ra từ phân vùng cài đặt.

Tiếp theo hệ thống yêu cầu thiết đặt tên, tổ chức và các tuỳ chọn khác như ngôn ngữ, giờ, múi giờ, định dạng ngày…

Đặt tên và tổ chức cho quá trình cài đặt

Nhập Product Key khi hệ thống yêu cầu

Chọn chế độ cấp giấy phép (license), có hai chế độ cấp giấy phép trongkhi cài đặt Windows Server 2003 là:

+ Per Server: Đăng kí giấy phép cho máy Server được phép quản lý

bao nhiêu máy trạm (cho bao nhiêu máy trạm kết nối tới) Cách này là đăng kígiấy phép cho chính máy Server Mặc định Windows server 2003 cho phép 5máy trạm kết nối miễn phí tới nó, nếu muốn nhiều hơn 5 máy chúng ta phảimua thêm

+ Per Device or User: Đăng kí giấy phép cho các máy trạm hoặc người dùng

kết nối tới Với cách này thì những máy muốn kết nối tới máy Server phải có đăng kí giấy phép Còn Server có thể không cần có giấy phép

Tiếp theo là đặt tên cho máy Server và password cho tài khoảnAdministrator

Tiếp theo là đặt ngày, giờ và chọn múi giờ cho hệ thống, chọn múi giờ GMT+7

Tiếp theo là thiết đặt cho kết nối mạng và tên nhóm làm việcWorkgroup, chọn Typical settings và đặt tên nhóm mạng

Sau đó ấn Next để hệ thống tiếp tục việc cài đặt Khi hệ thống cài đặtxong và khởi động lại máy một lần nữa là chúng ta hoàn thành việc cài đặtWindows Server 2003.

CHƯƠNG II

ACTIVE DIRECTORY

I Giới Thiệu Về Active Directory

Active Directory (AD) là nơi lưu trữ các thông tin về tài nguyên khácnhau trên mạng Các tài nguyên được Active Directory lưu trữ và theo dõi baogồm File Server, Printer, Fax Service, Application, Data, User, Group và WebServer Thông tin nó lưu trữ được sử dụng và truy cập các tài nguyên trênmạng Sự khác nhau giữa Active Directory và Active Directory Service đó làcác hình thức lưu trữ và quản lý thông tin tài nguyên

Thông qua Active Directory người dùng có thể tìm chi tiết của bất kỳmột tài nguyên nào dựa trên một hay nhiều thuộc tính của nó Vì vậy màkhông cần phải nhớ tất cả đường dẫn và địa chỉ nơi tài nguyên đang đượcđịnh vị, mỗi thiết bị và tài nguyên trên mạng sẽ được ánh xạ đến một tên cókhả năng nhận diện đầy đủ về nó Tên này sẽ được lưu trữ lại trong ActiveDirectory cùng với vị trí nguyên thuỷ của tài nguyên Người sử dụng có thểtruy cập đến tài nguyên này nếu họ được phép thông qua Active Directory

Active Directory có khả năng:

 Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó

 Duy trì dữ liệu của nó trong một môi trường an toàn, vì chắc chắnrằng dữ liệu sẽ không được cung cấp cho các người không được quyền truycập đến nó

 Tự nó phân tán đến các máy tính trên mạng

 Tự nhân bản Đây là cơ chế bảo vệ Active Directory trong trườnghợp bị lỗi

Nó giúp người sử dụng ở xa tham chiếu đến một bản sao được nhân

bản, được định vị ở một nơi không xa, thay vì phải tham chiếu đến bảnsao nguyên thuỷ

 Tự phân vùng thành nhiều phần lưu trữ Active Directory có thểđược phân tán trên các máy khác nhau vì thế nó tăng thêm khả năng lưu trữmột số lượng lớn các đối tượng có trên các mạng lớn

II Các đối tượng trong Active Directory và quy ước đặt tên

Các tài nguyên trên mạng được ghi trong Active Directory được gọi làObject - đối tượng Một object được định nghĩa như là một tập riêng biệt củacác thuộc tính để mô tả về một tài nguyên trên mạng Các object có cácAttribute - thuộc tính Các thuộc tính là các đặc tính của các tài nguyên đượcghi trong Active Directory

Classes là một nhóm logic của các đối tượng trong Active Directory Ví

dụ, một classes bao gồm: các Computer, các User, các Group và các Domain Thuộc tính và

classes cũng được tham chiếu như là các Schema Object hoặcMetadata Các thuộc tính có thể được định nghĩa một là nhưng được sử dụngtrong nhiều lớp Mỗi đối tượng trong Active Directory được định nghĩa bởimột cái tên, Active Directory hỗ trợ các quy ước đặt tên Các quy ước đặt tênkhác nhau được sủ dụng bởi Active Directory là :

 Distinguished Name (DN)

 Globally unique Indentifier (GUID)

 Relative Distingished Name (RDN)

 User Principal Name (UPN)

III Các kỹ thuật được hỗ trợ bởi Active Directory

Mục đích của Active Directory là cung cấp một điểm dịch vụ trênmạng Do đó nó được thiết kế đặc biệt để làm việc chặt chẽ với các thư mụckhác Nó cũng hỗ trợ một phạm vi lớn các kỹ thuật Active Directory tích hợpkhái niệm không gian tên miền trong Internet với Windows 2003 Kết quả củađiều này là nó có khả năng quản lý thống nhất các không gian tên miền khácnhau đang tồn tại trong các môi trường hỗn tạp của hệ thống mạng khác nhau

Active Directory sử dụng dịch vụ DNS cho giải pháp chuyển đổi tên của nó

có thể giao tiếp với bất kỳ một thư mục nào hỗ trợ LDAP (Light WeightDirectory Access Protocol) hoặc HTTP Active Directory cung cấp API đểgiao tiếp với các thư mục khác

Các giao thức khác nhau được hỗ trợ bởi Active Directory là:

 Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách

nhiệm cho việc gán địa chỉ IP động đến các Host trong mạng Điều này cónghĩa là một máy trên mạng luôn được gán địa chỉ IP nhưng địa chỉ này cóthể khác nhau ở các lần logon khác Active Directory hỗ trợ DHCP cho việcquản lý địa chỉ trên mạng Để nhận được nhiều thông tin hơn thì sử dụng RFC(Request For Comment) 2131

 Domain Naming Service (DNS): DNS được sử dụng cho giải pháp

đổi tên trong mạng Active Directory sử dụng dich vụ DNS như là tên domain

và dịch vụ định vị của nó

 Kerberos: là giao thức xác thực nó chịu trách nhiệm về vấn đề an

toàn trong windows 2003 Active Directory sử dụng nó để xác định thựcngười sử dụng của mạng khi họ yêu cầu được truy cập đến các tài nguyên

 LDAP: Schema Active Directory cấu hình từ các thuộc tính và lớp.

LDAP có nhiều tiện ích khác nhau nó được đưa ra để hỗ trợ cho ActiveDirectory trong các cách khác nhau như :

• LDAP v3 Directory Access (RFC 2551)

• LDAP Directory Schema (RFC 2247,2252,2256)

• LDAP ‘C’ Directory Synchronization (IEIF Internet EngineeringTaskForce Draft) LDIF là chữ viết tắt của LDAP Data InterchangeFormat

 Simple Netword Time Protocol (SNTP): SNTP được sử dụng

trong việc đồng bộ về giờ của các máy trên mạng Active Directory sử dụngcác gói dữ liệu trên mạng

Active Directory hỗ trợ TCP/IP trong việc truyền dữ liệu trên mạng

 X.509 v3 Certificates: Tương tự Kerberos, X.509 Certificate cũng

được sử dụng trong các mục đích xác thực Active Directory hỗ trợ X.509Certificates

1 Active Directory và DNS

Dịch vụ DNS tích hợp với Active Directory Có 3 dịch vụ chính thựcđưa ra bởi DNS cho Active Directory là :

 Name Resolution : Đây là một chức năng cơ sở của DNS server Nó

thực hiện việc chuyển đổi tên host thành địa chỉ IP tương ứng

 Name Space Definition: Windows 2003 sử dụng dịch vụ DNS để

quy ước tên cho thành viên trong domain của nó Active Directory cũng hỗtrợ sự quy ước tên này

 Physical Compoments of Active Directory: Các thành viên của

domain Windows 2003 phải hiểu về domain controller và Server GlobalCatalog trong domain Chỉ khi đó chúng mới có thể logon đến mạng và truyvấn Active Directory Cơ sở dữ liệu DNS chứa trong DNS Server hoặc GlobalCatalog Server Nhận thông tin này các thành viên có thể trực tiếp truy vấnđến từng Server riêng

2 Cấu Trúc Logic của ADS

Nhóm tài nguyên logic giúp tìm kiếm các tài nguyên dễ dàng hơn việctìm kiếm trong vị trí vật lý của nó Vì thế Active Directory cũng có cấu trúclogic để mô tả cấu trúc thư mục của các tổ chức Một điểm tiến bộ quan trọngkhác của nhóm các đối tượng logic Active Directory là sự cài đặt vật lý củamạng có thể được ẩn đối với người sử dụng

Các thành phần Logic của cấu trúc Active Directory là:

 Các Domain

 Các đơn vị tổ chức (OU)

 Các cây (Tree)

 Các Rừng (Rorest)

2.1 Domain

Đơn vị logic đầu tiên của mạng Windows 2003 là domain Nó là mộttập các máy tính được định nghĩa bởi người quản trị mạng Tất cả các máytính trong domain chia sẻ chung một cơ sở dữ liệu Active Directory

Mục đích chính của việc tạo domain là tạo một ranh giới an toàn trongmột mạng windows 2003 người quản trị domain điều khiển các máy tínhtrong domain Chỉ trừ khi được gắn quyền, nếu không thì người quản trịmạng trong domain này không thể điều khiển các domain khác Mỗi mộtdomain thì có các quền và các chính sách an toàn riêng, nó được thiêt lập bởingười quản trị

Tất cả domain cotroller trong một domain đều duy trì một bản sao cơ

sở dữ liệu của domain, do đó các domain là các đơn vị nhân bản và cơ sở dữliệu Active Directory là được nhân bản đến tất cả các domain controller trongdomain Windows 2003 Active Directory sử dụng mô hình nhân bản Multi -master Trong mô hình này bất kỳ một domain controller nào trong domainđều có khả năng nhận sự thay đổi được tạo ra từ cơ sở dữ liệu ActiveDirectory Thay đổi được tạo sẽ được nhân bản đến các domaincontrollerkhác trong domain Từ đó, tất cả domain controller có thể trở thành tại bất kỳthời điểm nào, mô hình này được gọi là mô hình multi – master

Domain Active Directory có thể tồn tại một trong hai mô hình là:Native hoặc Mixed, hệ điều hành ở trên các domain controller sẽ quyết địnhdomain hoạt động theo mô hình nào Mô hình Native là mô hình được sửdụng trong tất cả các domain controller chạy trong windows 2003 Trong môhình Mixed, các domain controller có thể sử dụng một trong hai hệ điều hành

là windows 2003 và windows NT 4.0 Tại thời điểm cài đặt và ngay sau khicài đặt Active Directory hoạt động ở mô hình Mixed Đây là sự cung cấp hỗtrợ cho domain controller hiện tại trong domain mà không được cập nhật trở

thành windows 2003.

2.2 Các Organizational Unit (OU)

Trong phạm vi domain các đối tượng được tổ chức sử dụng các đơn vị

tổ chức OU là đối tượng chứa Nó chứa các đối tượng như là User, computer,print, group và các OU khác

Về cơ bản OU giúp nhóm các đối tượng tổ chức logic phù hợp với kiểunào đó Các đối tượng có thể được nhóm từ một OU

 Hoặc dự trên cấu trúc của tổ chức

 Hoặc phù hợp với mô hình quản trị mạng Mỗi domain có thể được

tổ chức dựa vào người quản trị mạng và giới hạn người điều khiển nó Máycủa người quản trị sẽ điều khiển domain và các máy tính của tất cả nhữngngười dưới sự điều khiển của người quản trị mạng sẽ nằm trong domain

Hệ thống phân cấp OU có thể được biến đổi từ domain này sangdomain khác Đó là mỗi domain có thể được cài đặt một hệ thống phân cấpriêng của nó Sự điều khiển của một OU có thể được cấp trong phạm vi của

OU Lợi ích chính của OU là tránh sự phức tạp của hệ thống mạng với kiếntrúc đa domain Các công ty có thể tạo ra một domain đơn và một trạng tháikhác của các OU phù hợp với yêu cầu bằng cách tạo ra một cấu trúc domain.Các OU có thể được bổ sung mới như là khi chúng cần xuất hiện trong mộtdomain Các OU cũng có thể được lồng vào theo nhiều cách Tuy nhiên mộtcấu trúc domain đơn với nhiều OU đưa ra tất cả các thuận lợi được đưa ra bởi

mô hình đa domain

2.3 Cây (Tree)

Một vài nguyên nhân tại sao mô hình đa domain là được ưa thích:

 Phân quyền quản trị mạng

 Các tên miền Internet khác nhau

 Yêu cầu về password khác nhau

 Dễ điều khiển việc nhân bản

 Một số lượng lớn các đối tượng

 Nhiều cấp độ điều khiển với nhiều nhánh

Mô hình đa domain bao gồm một hoặc nhiều hơn một cấu trúc logictrong Active Directory - Tree Một cây là một sự sắp xếp phân cấp của cácdomain windows 2003 mà nó chia sẻ một không gian tên liền kề

2.4 Rừng (Forest)

Trong mô hình đa domain, Rừng (Forset) là một cấu trúc logic khác màtrong đó các cây không chia sẻ các không gian tên liền kề

3 Cấu trúc vật lý của ADS

Cấu trúc logic của một Active Directory là được tách ra từ cấu trúc vật

lý của nó, và hoàn toàn tách biệt với cấu trúc vật lý Cấu trúc vật lý được sửdụng để tổ chức việc trao đổi trên mạng trong khi đó cấu trúc logic được sửdụng để tổ chức các tài nguyên có sẵn trên mạng Cấu trúc vật lý của mộtActive Directory bao gồm :

 Site

 Domain Controllers

 Global Catalog Server

Cấu trúc vật lý của một Active Directory mô tả nơi nào và khi nào thì

sự logon và nhân bản sẽ xuất hiện Do đó để giải quyết các vấn đề về logon vànhân bản thì trước hết phải hiểu về các thành phần của cấu trúc vật lý củaActive Directory

 Tối ưu việc truyền tải trên mạng

Sự khác nhau cơ bản giữa site và domain đó là domain mô tả cấu trúclogic của sự tổ chức mạng trong khi đó site mô tả cấu trúc vật lý mạng Theotrên thì cấu trúc logic và cấu trúc vật lý của Active Directory là tách rời nhau

Vì thế,

 Không cần có sự tương quan giữa cấu trúc vật lý của mạng và cấutrúc domain của nó

 Không gian tên của site và domain không cần tương quan

 Active Directory cho phép nhiều site trong một domain cũng giốngnhư nhiều domain trong một site

Không gian giữa tên logic chứa các Computer, các domain và các OU,không có các site

Một site chứa thông tin về các đối tượng computer và các đối tượngconnection

bị lỗi Do đó cả hai domain controller đều chứa cùng một bản sao khác nhaucủa Active Directory Nhưng đôi khi các domain controller có thể chứa cácbản sao khác nhau của Active Directory Điều này xảy ra khi có sự bất đồng

bộ giữa các cơ sở dữ liệu directory trong các domain controller Tuy nhiêntrong các tổ chức lớn, mỗi vị trí địa lý cần phải có các domain controller táchbiệt để cung cấp đầy đủ khả năng sẵn sàng và khả năng chịu lỗi

Các chức năng khác nhau domain controller bao gồm:

 Duy trì một bản sao của cơ sở dữ liêu directory

 Duy trì các thông tin của Active Directory

 Nhân bản các thông tin được cập nhật đến các domain controllertrong domain:

Khi tạo ra một sự thay đổi trong domain thì phải cập nhật thực tế nàyđến Active Directory của một domain controller Domain controller sẽ nhânbản sự thay đổi này đến các domain controller khác trong domain Thônglượng của việc nhân bản này có thể được điều khiển một cách đặc biệt saocho đảm bảo tốc độ truyền và không xảy ra lỗi Sự nhân bản này chắc chắn sẽthay đổi ngay lập tức Ví dụ, nếu một user account bị khoá nó được thay thếlập tức đến các domain controller khác, nó sử dụng thay thế multi – master.Điều này có nghĩa là không cố định domain controller với vai trò master.Domain controller được cập nhật sự thay đổi đầu tiên sẽ trở thành domaincontroller master và nó sẽ thực hiện việc nhân bản sự thay đổi này đến tất cảcác domain controller khác trong domain, do đó mô hình này được gọi làmulti – master

 Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đốitượng trong Active Directory Nó kiểm tra tích hợp lệ của việc logon củangười sử dụng truy cập tài nguyên được yêu cầu

 Cung cấp khả năng chịu lỗi trong môi trường đa domain controller

4 Vai trò của domain

Các vai trò được gán cho domain controller là:

 Global Catalog Servers

5 Cài đặt Active Directory

Việc cài đặt Active Directory được tạo đơn giản bằng cách cung cấpmột wizard Khi Active Directory được cài đặt, một trong những cái sau đâyđược tạo mới:

- Domain đầu tiên trong một rừng và domain controller đầu tiên

- Một domain con trong một cây và domain controller của nó

- Domain khác trong domain đã tồn tại

- Một cây mới trong một rừng đã tồn tại và domain controller của nó

 Yêu cầu cài đặt Active Directory

Trước khi thực sự cài đặt dịch vụ Active Directory, chúng ta cần phảixem các yêu cầu trong quá trình cài đặt Dưới đây là danh sách các yêu cầucài đặt AD:

- Một máy tính được cài đặt Windows Server 2003 Standard Editionhoặc Windows Server 2003 Enterprise Edition hoặc Windows Server 2003Datacenter Edition

- Một partition hoặc một volume với định dạng NTFS

- Đĩa cứng trống 1GB trở lên

- Cài đặt TCP/IP và được thiết lập để sử dụng DNS Địa chỉ IP có thể

là ở lớp A, lớp B hay lớp C nhưng chú ý đặt phần Primary DNS là trùng vớiđịa chỉ IP

- DNS Server phải hỗ trợ việc cập nhật giao thức và các record tàinguyên

- Một user account gồm username và password đủ quyền được cài đặt AD.Sau đây là một số hình ảnh về các bước cài đặt Active Directory Đểcài đặt AD, ở cửa sổ run chúng ta đánh lệnh dcpromo Xuất hiện cửa sổ càiđặt wizard

Ấn next để tiếp tục cài đặt

Thông báo máy chủ Domain controller đang là phiên bản WindowsServer 2003 và những hệ điều hành nào không thể gia nhập miền của hệ điềuhành windows 2003 Ở đây có hai hệ điều hành không thể gia nhập miền củaWindows server 2003 là Windows 95 và Windows NT 4.0 Sp 3 trở về trước

Ấn next để tiếp tục

Chọn kiểu domain controller, ở đây chúng ta có hai lựa chọn:

- Lựa chọn thứ nhất là máy chủ miền domain controller của chúng ta làmáy chủ đầu tiên và domain chúng ta lên là domain đầu tiên.

- Lựa chọn thứ hai là chúng ta add vào máy chủ miền một domain đã có sẵn.

Tiếp theo đến cửa sổ tạo mới domain, ở đây chúng ta có 3 lựa chọn:

- Thứ nhất là tạo domain trong một rừng mới

- Thứ hai là tạo một domain con trong domain tree hiện có

- Thứ ba là tạo một cây domain trong rừng hiện tại đã có

Chúng ta chọn mục đầu tiên vì ở đây máy chủ của chúng ta là máy chủđầu tiên và domain cũng là domain đầu tiên Ấn next để tiếp tục

Tiếp theo là bước đặt tên cho NetBIOS name, tên domain theo chuẩnNetBIOS để tương thích với các hệ điều hành Windows NT Mặc định

windows server 2003 lấy tên của domain chính là tên của NetBIOS name,NetBIOS name có nhiệm vụ phân giải tên miền trên Domain controller.Chúng ta có thể thay đổi tên này nhưng chú ý khi máy trạm join vào máy chủthì phải join theo tên của NetBIOS name chứ không join theo tên miền nữa Ởđây em để theo mặc định Ấn next để tiếp tục.

Tiếp theo là đến bước lưu trữ database và logfile của Active Directorytrên đĩa cứng Đây sẽ là nơi lưu trữ toàn bộ cơ sở dữ liệu của hệ thống gồmtoàn bộ thông tin về tài nguyên hệ thống, user acconut… Ở chế độ workgroupkhi chưa lên domain thì mọi thông tin người dùng được lưu trong file SAM(Sercurity Account Management) nhưng khi đã lên domain thì mọi thông tin

đó được lưu trong thư mục NTDS và user account được lưu trong fileNTDS.dit Chúng ta có thể chọn nơi khác để lưu trữ thư mục NTDS nhưngtheo khuyến cáo thì nên để mặc định của windows 2003

Tiếp theo đến bước chỉ định lưu thư mục SYSVOL, thư mục SYSVOLphải được lưu trên phân vùng NTFS v 5.0 trở lên

Bước tiếp theo là kiểm tra hoặc cài đặt DNS DNS là dịch vụ phân giảitên kết hợp với AD để phân giải các tên máy tính trong miền hoặc phân giảicác miền khác từ bên ngoài Ở đây chúng ta có 3 lựa chọn:

- Thứ nhất là DNS đã có sẵn và có vấn đề hoặc bị lỗi, và lựa chọn mụcnày để hệ thống kiểm tra lại DNS

- Thứ hai là cài đặt và thiết lập DNS server trên máy tính, và đặt máytính này sử dụng DNS như là một DNS server

- Thứ ba là kết nối DNS có vấn đề và muốn thiết đặt DNS bằng tay(nâng cao) Theo khuyến cáo của Microsoft chúng ta nên tích hợp việc cài đặtDNS trong khi cài đặt AD vì như thế thì mới tích hợp được hết các chức năng

của DNS và DNS không bị lỗi Ấn next để tiếp tục.

Bước tiếp theo là mục lựa chọn quyền đăng nhập vào hệ thống Lựachọn thứ nhất là cho phép cả những hệ điều hành trước windows 2000 đăngnhập, lựa chọn thứ hai là chỉ cho phép những hệ điều hành sau windows 2000đăng nhập vào hệ thống Ở đây em dùng hệ điều hành cho máy trạm làWindows XP nên em chọn phần thứ hai Ấn next để tiếp tục

Tiếp theo là mục đặt password cho tài khoản Administrator để

phục vụ cho việc backup AD hoặc dùng để khởi động Active Directory ở chế

độ Directory Services Sestore Mode Chúng ta đặt password cho tài khoản và

ấn next để tiếp tục.

Tiếp theo là quá trình tổng hợp các thông tin mà chúng ta đã cung cấp

về AD Ấn next để hệ thống bắt đầu quá trình lên domain

Quá trình hệ thống bắt đâu lên domain

Hệ thống yêu cầu cho đĩa CD Windows 2003 vào và chọn đến thưmục\I386

Chúng ta cho đĩa vào và chọn đến thư mục I386 trên đĩa.

Ấn finish để kết thúc quá trình lên domain Sau khi ấn finish hệ thốngyêu cầu khởi động lại Chúng ta ấn restart now khởi động lại hệ thống để hoànthành việc lên AD

Sau khi hệ thống khởi động lại xong nghĩa là Active Directory đã được

cài đặt, Active Directory có 3 thành phần chính đó là: Active Directory Domain and Trust, Active Directory Sites and Services và Active Directory Users and Computers

 Active Directory Domain and Trust: Dùng để tin cậy các domain

hay Domain controller trong một rừng có nhiều domain khác

Có hai quan hệ tin cậy được hỗ trợ bởi Active Directory là: Quan hệ tincậy một chiều One – Way và quan hệ tin cậy hai chiều Two – Way

 Quan hệ tin cậy một chiều (không bắc cầu) là: Nếu domain 1 tin cậydomain 2 và domain 2 tin cậy domain 3 thì domain 1 không tự tin cậy domain

3 Windows NT hỗ trợ kiểu quan hệ tin cậy không bắc cầy này Điều nàymang lại sự thuận lợi lớn cho người đứng đầu nhóm quản trị trong các hệthống mạng lớn với đa domain

 Quan hệ tin cậy hai chiều (bắc cầu): Nếu domain 1 tin cậy domain 2 vàdomain 2 tin cậy domain 3 thì domain 1 tự động tin cậy domain 3 và ngượclại domain 3 tự động tin cậy domain 1 Đây là quan hệ tin cậy mặc định giữa

các domain trong Windows 2003 Nếu quan hệ tồn tại giữa hai domain thìchúng ta có thể gán quyền đến tài nguyên trong một domain cho các user vàgroup trong domain khác, điều ngược lại cũng đúng Vì thế quan hệ tin cậybắc cầu two – way làm giảm công tác quản trị của người quản trị khi phải tạo

và duy trì quá nhiều quan hệ tin cậy trong một mạng lớn có rất nhiều domain

 Active Directory Sites and Services: Cho phép kết nối tin cậy tốc

độ cao giữa các Domain Controller để tối ưu việc nhân bản các dịch vụ đượctruyền tải trên mạng

Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó được kết nối bởi các đường truyền tốc độ cao Các site này được định nghĩa để tạo sự thuận lợi đặc biệt cho kế hoạch truy cập và nhân bản một Active Directory

Sự khác nhau cơ bản giữa site và domain là domain mô tả cấu trúc logic của một tổ chức mạng trong khi đó site mô tả cấu trúc vật lý mạng đó

Theo đó cấu trúc vật lý và cấu trúc logic của Active Directory là táchrời nhau Vì thế Active Directory cho phép nhiều site trong một domain cũnggiống như nhiều domain trong một site, không gian tên của site và domainkhông cần sự tương quan Không gian tên logic chứa các Computer, cácdomain và các OU, không có các site Một site chứa một thông tin về các đốitượng trong computer và các đối tượng kết nối

 Active Directory Users and Computers: Chứa các thông tin và

thành phần về Users, Groups, OU (Orgazinational Unit), các Computer và

Domain Controller.

Builtin: đây là nơi lưu các account được tạo sẵn trong hệ thống gồm

các account có quyền quản trị hệ thống, thay đổi toàn cấu trúc hệ thốngdomain, gia nhập hoặc tin cậy một domain khác trong một rừng Nhữngaccount này người dùng không thể tạo hoặc xoá được kể cả tài khoảnAdministrator

 Computer: đây là nơi lưu trữ tất cả các computer trong mạng đã join

vào domain

Domain controllers: đây là nơi lưu trữ tên những máy chủ miền, nếu

hệ thống có hơn một máy chủ miền thì sẽ có các tên máy chủ đó ở mục này

Foreign Sercurity Principals: Những nhánh bảo mật bên ngoài

Users: là nơi chứa toàn bộ user gồm những user của hệ thống tạo ra và

những user do những người dùng tạo ra Các user hệ thống ở đây có tác dụngthay đổi những thiết đặt của máy chủ Domain controller và domain nằm trênmáy chủ miền đó

dưới miền gốc và chúng được đại diện cho kiểu của tổ chức, chẳng hạn com hay edu hay org hoặc nó có thể là một định danh địa lý như vn (Việt Nam).

Các miền mức thứ 2 được đăng ký cho tên các tổ chức khác hay các người sửdụng đơn lẻ Chúng có thể chứa cả hai: các máy tính/tài nguyên (host) và cácmiền con (subdomains)

1.2 Hướng dẩn việc đánh tên miền.

Trong khi tạo không gian tên miền nên thực hiện các hướng dẫn vàthoả thuận đánh tên chuẩn sau đây:

 Số lượng các mức của miền nên được giới hạn, bởi vì nếu tăng cácmức thì sẽ tăng các tác vụ quản trị

 Nên sử dụng tên đơn giản và duy nhất Tên miền con nên là duynhất trong miền cha do đó tên đó sẽ là duy nhất trong toàn bộ không gianDNS

 Các tên miền không nên dài Chúng có thể sử dụng 63 kí tự Độ dàicủa FQDN không vượt quá 255 ký tự Các tên miền không phân biệt hoa -thường

 Nên sử dụng các ký tự Unicode và DNS chuẩn Sử dụng các ký tựunicode chỉ khi tất cả các máy chủ chạy DNS hỗ trợ unicode

2 Vùng

Không gian tên miền có thể được chia thành nhiều phân đoạn nhỏ Điềunày giúp chúng phân tán các tác vụ quản trị không gian tên miền cho cácnhóm khác nhau Những phân đoạn này được gọi là các Vùng (zone) Cácnhóm khác nhau có thể quản trị mỗi vùng riêng biệt Vùng phải chứa khônggian tên miền kề nhau

Có ba kiểu vùng sau:

 Vùng chính tiêu chuẩn: Kiểu vùng này giữ một bản sao chủ của tập

tin cơ sở dữ liệu vùng Cơ sở dữ liệu vùng được lưu trong tập tin văn bản Tậptin này được lưu trên máy tính tạo vùng đó

 Vùng phụ tiêu chuẩn: Kiểu vùng này giữ một phần nhân bản của

tập tin cơ sở dữ liệu vùng chủ Cơ sở dữ liệu vùng được lưu vào một tập tinvăn bản đặt ở chế độ chỉ đọc Vùng phụ cung cấp tính chịu lỗi (faulttolerance) và cân bằng tải (load balacing)

 Vùng thư mục hoạt động Tích hợp: Kiểu vùng này lưu bản sao

của tập tin cơ sở dữ liệu vùng trong Thư mục hoạt động (Active Directory).Những chuyển giao vùng được thực hiện suốt quá trình nhân bản thư mụchoạt động

3 Máy chủ Tên

Mọi vùng miền đều giữ một tập tin cơ sở dữ liệu của chính nó Máychủ tên DNS là các máy chủ lưu những tập tin cơ sở dữ liệu này Một máychủ tên có thể lưu một tập tin cơ sở dữ liệu của vùng một vùng đơn hoặc vùngphức

Một vùng cũng có thể có nhiều máy chủ Trong trường hợp này, mộtmáy chủ lưu tập tin cơ sở dữ liệu vùng chủ Tập tin cơ sở dữ liệu này đượcgọi là tập tin cơ sở dữ liệu chính

Các máy chủ tên khác lưu một bản lưu của tập tin cơ sở dữ liệu vùngchính Tập tin cơ sở dữ liệu lưu được gọi là tập tin cơ sở dữ liệu phụ Bất kỳ

có sự thay đổi nào trong vùng đều được phân ánh lên tập tin cơ sở dữ liệuvùng chính.

Một thuận lợi của việc có nhiều máy chủ tên là trong trường hợp máychủ tên chứa tập tin cơ sở dữ liệu chính bị lỗi thì các máy chủ tên khác có thểtiếp tục cung cấp truy xuất đến cơ sở dữ liệu Nhiều máy chủ tên cũng giảmđược tải trên máy chủ tên chứa tập tin cơ sở dữ liệu chính bằng cách phân tányêu cầu dịch vụ tên đến tất cả các máy chủ đó

4 Giải pháp đổi tên (Name Resolution)

Tiến trình dịch tên máy thành địa chỉ IP tương ứng được gọi là DịchTên Ví dụ khi chúng ta truy cập vào website www.microsoft.com Địa chỉwebsite này sẽ được DNS dịch và cung cấp địa chỉ IP tương ứng để định vịmáy tính trên mạng Máy chủ tên trong vùng có trách nhiệm dịch tên này bởi

vì nó lưu trữ ánh xa tên - địa chỉ IP Một máy chủ tên chỉ có thể xử lý truy vấndịch tên cho vùng mà nó được cấp quyền trên đó Máy chủ tên lưu lại kết quảcủa việc dịch tên để giảm tải trên máy chủ DNS Các máy chủ tên có thể thựchiện truy vấn tìm kiếm chuyển tiếp hoặc truy vấn tìm kiếm đảo.

Root Name Server Com Name Server

The web

Local Name Server

Clien

www.microsoft.com

Truy vấn Tìm Kiếm Chuyển Tiếp (Forward Lookup Query): Một

truy vấn tìm kiếm chuyển tiếp dịch một tên để có được địa chỉ IP liên quan Hình trên minh hoạ cho tiến trình này

 Máy khách gửi một yêu cầu đến địa chỉ www.vinhford.com đến máychủ tên địa phương

 Máy chủ tên địa phương đầu tiên sẽ kiểm tra trong tập tin cơ sở dữliệu vùng mà nó đang giữ

 Nếu không tìm thấy ánh xạ tên - địa chỉ IP theo yêu cầu nó sẽ chuyểntruy vấn đó đến một máy chủ tên gốc

 Máy chủ tên gốc kiểm tra ánh xạ đó trong tập tin cơ sở dữ liệu vùng và

gửi một tham chiếu máy chủ tên Com.

 Sau đó máy trình tên truy vấn máy chủ tên Com để dịch tên

 Máy chủ tên Com trả về một tham chiếu máy chủ tên Microsoft.

Sau đó Máy chủ tên cục bộ sẽ chuyển truy vấn đến máy chủ tên

Microsoft và nó trả về địa chỉ IP của www.vinhford.com

Máy chủ tên cục bộ sau đó sẽ chuyển địa chỉ IP này cho máy khách đểdùng nó truy cập đến www.vinhford.com

 Truy vấn Tìm Kiếm Đảo (Reverse Lookup Query): Tiến trình này

dịch một địa chỉ IP thành tên tương ứng Điều này được thực hiện thông quamiền in-addr.arpa Cơ sở dữ liệu phân tán của DNS được lập chỉ mục theo cộttên do đó việc tìm kiếm dựa trên tên sẽ dễ dàng hơn Tuy nhiên việc tìm dựatrên địa chỉ IP cũng có thể được nhưng rất tốn thời gian Lý do là tất cả cácbản ghi đều được tìm kiếm hết để cho kết quả Để cung cấp một phương thức

dễ dàng, n-addr.arpa đã được ra đời In-addr.arpa là một miền cấp hai Miềnnày có cùng hệ thống phân cấp như các không gian tên miền khác Lược đồđánh tên cũng tương tự Điều khác biệt duy nhất đó là cơ sở dữ liệu được lậpchỉ mục theo địa chỉ IP chứ không phải tên Một số chú ý với miền in-addr.arpa: