Triển khai AD DS, Tạo forest, Thêm một domain controller vào domain, Tạo domain con trong một forest, trên Server Core, Sử dụng phương pháp cài đặt IFM (Install from Media), Nâng cấp AD DS, Triển khai Active Directory IaaS trên Windows Azure, Gỡ bỏ một domain controller, , Khắc phục lỗi không đăng kí được bản ghi DNS SRV
Trang 1Cài đặt và quản trị
Active Directory Server 2012 R2
Lê Gia Công
Trang 2Nội dung
Chương 5 Cài đặt và quản trị Active Directory 4
Cài đặt domain controller 4
5.1 Triển khai AD DS 4
Tạo forest 5
Thêm một domain controller vào domain 7
Tạo domain con trong một forest 9
Cài đặt AD DS trên Server Core 10
Sử dụng phương pháp cài đặt IFM (Install from Media) 12
Nâng cấp AD DS 13
Triển khai Active Directory IaaS trên Windows Azure 14
Gỡ bỏ một domain controller 14
Cấu hình global catalog 15
Khắc phục lỗi không đăng kí được bản ghi DNS SRV 16
Tóm tắt nội dung 17
Câu hỏi ôn tập 17
Tạo và quản lý người dùng, máy tính trong AD DS 18
5.2 Tạo tài khoản người dùng 19
Các công cụ để tạo tài khoản người dùng 20
Tạo tài khoản người dùng bằng Windows PowerShell 22
Tạo tài khoản mẫu (template) 23
Tạo nhiều tài khoản người dùng 24
Tạo tài khoản máy tính 26
Tạo tài khoản máy tính bằng Active Directory Users And Computers 28
Tạo tài khoản máy tính bằng Active Directory Administrative Center 28
Tạo tài khoản máy tính bằng Dsadd.exe 28
Tạo tài khoản máy tính bằng Windows PowerShell 29
Quản lý các tài khoản trong AD 29
Trang 3Quản lý nhiều người dùng 29
Kết nối máy tính vào domain 30
Kết nối máy tính vào domain bằng NETDOM.EXE 31
Kết nối gián tiếp (offline) máy tính vào domain 32
Quản lý tài khoản người dùng/máy tính không sử dụng 32
Tóm tắt nội dung 32
Câu hỏi ôn tập 33
5.3 Tạo và quản lý OU, Group 34
Tạo OU 34
Áp dụng GPO trên OU 35
Ủy quyền quản trị trên OU 35
Group 37
Phân loại group theo chức năng (type) 37
Phân loại group theo phạm vi (scope) 38
Lồng group (nesting group) 39
Tạo group 39
Thêm thành viên cho group 41
Quản lý thành viên của group bằng Group Policy 41
Quản lý group bằng DSMOD 43
Đổi kiểu của group 43
Xóa Group 44
Tóm tắt nội dung 44
Câu hỏi ôn tập 44
Trang 4Chương 5 Cài đặt và quản trị Active Directory
Dịch vụ danh bạ (directory service) là một kho chứa các thông tin về phần cứng, phần mềm, và người dùng có trong một hệ thống mạng Thông qua dịch vụ danh bạ, người dùng, máy tính và các ứng dụng
có thể truy cập tới các tài nguyên mạng để thực hiện các chức năng khác nhau Các chức năng có thể là: chứng thực người dùng, cấu hình lưu trữ dữ liệu, tìm kiếm thông tin
AD DS (Active Directory Domain Services) là dịch vụ danh bạ do Microsoft phát triển Phiên bản AD
DS đầu tiên được Microsoft giới thiệu trong Windows 2000 Server AD DS liên tục được nâng cấp Hiện tại, AD DS cũng đang được tích hợp trong Windows Server 2012 R2
Chương này đề cập tới các công việc cơ bản của người quản trị, liên quan đến cài đặt và quản lý AD
DS Nội dung chính gồm:
Cài đặt domain controller
Tạo và quản lý tài khoản người dùng, tải khoản máy
Tạo và quản lý nhóm, đơn vị tổ chức (OU)
Cài đặt domain controller
5.1
AD DS cho phép người quản trị tạo ra một thực thể gọi là domain (miền) Domain là một thực thể hay một vật chứa, dùng để chứa các thành phần của hệ thống mạng Máy tính chứa domain được gọi là domain controller (máy quản lý miền) Trong một hệ thống mạng thường có nhiều máy domain
controller Các máy domain controller thường được đồng bộ dữ liệu với nhau để tăng khả năng chịu lỗi
và chia tải (load balancing)
Các nội dung sẽ được đề cập trong phần này gồm:
Tạo và hủy một domain controller
Nâng cấp domain controller
Cài đặt AD DS trên Server core
Triển khai Active Directory IaaS trên Windows Azure
Cài đặt domain controller bằng IFM
Cài đặt role AD DS
1 Mở Server Manager, vào trình đơn Manage, chọn Add Roles And Features để chạy Add Roles
Trang 52 Bấm Next để mở trang Select Installation Type
3 Để nguyên lựa chọn trong mục Role-Based Or Feature-Based Installation, bấm Next để mở trang Select Destination Server
4 Lựa chọn server mà bạn muốn nâng cấp lên thành domain controller, bấm Next để mở trang Select Server Roles
5 Chọn Active Directory Domain Services, xuất hiện cửa sổ Add Features That Are Required For Active Directory Domain Services
6 Bấm Add Features để đồng ý cài đặt, bấm Next để mở trang Select Features
7 Bấm Next để mở trang Active Directory Domain Services
8 Bấm Next để mở trang Confirm Installation Selections Bạn có thể đánh dấu chọn vào mục Restart The Destination Server Automatically If Required: tự động khởi động lại máy sau khi hoàn thành cài đặt
9 Bấm Install để hiển thị trang Installation Progress Khi cài đặt xong xuất hiện liên kết Promote This Server To A Domain Controller
10 Tới đây bạn đã hoàn thành việc cài đặt role AD DS Sau khi role AD DS được cài đặt, bạn có thể chạy AD DS Installation Wizard để thực hiện các cấu hình khác nhau cho hệ thống
Tạo forest
Để triển khai AD DS, bước đầu tiên bạn phải tạo forest, sau đó tạo domain trong forest
Các bước để tạo forest:
1 Sau bước cuối cùng của quá trình cài đặt role AD DS, hệ thống sẽ xuất hiện thông báo có nội dung là nâng cấp server này lên thành domain controller (Promote This Server To A Domain Controller) Nếu không thấy thông báo này, bấm vào hình tam giác màu vàng trong cửa sổ Server Manager Bấm vào dòng thông báo để chạy AD DS Configuration Wizard Xuất hiện trang Deployment Configuration
2 Chọn mục Add A New Forest trong phần Select The Deployment Operation Nhập tên miền bạn muốn tạo vào mục Root Domain Name (ví dụ: dalat.com) Xem hình minh họa
Trang 63 Bấm Next để mở trang Domain Controller Options Xem hình minh họa
4 Nếu bạn có dự định thêm các domain controller đang chạy các hệ điều hành cũ hơn vào forest này, bạn xổ danh sách Forest Functional Level và chọn hệ điều hành thích hợp
5 Nếu bạn có dự định thêm các domain controller chạy các hệ điều hành cũ hơn vào domain này, bạn xổ danh sách Domain Functional Level và chọn hệ điều hành thích hợp
6 Nếu trong hệ thống mạng chưa có DNS server, bạn đánh dấu chọn vào mục Domain Name System (DNS) Server Nếu trong hệ thống mạng đã có DNS server, bạn cấu hình cho domain controller sử dụng DNS server cục bộ và bỏ dấu chọn ở mục Domain Name System (DNS) Server
7 Nhập mật khẩu để sử dụng trong trường hợp phải khôi phục hệ thống (Directory Services Restore Mode (DSRM)) vào mục Password và Confirm Password Bấm Next để mở trang DNS Options Trong trang có một cảnh báo liên quan đến DNS
8 Bấm Next để mở trang Additional Options với tên của NetBIOS tương ứng với tên miền
9 Bạn có thể đổi tên NetBIOS nếu muốn, hoặc bấm Next để mở trang Paths
10 Bạn có thể thay đổi vị trí lưu các tập tin của AD DS nếu muốn, hoặc bấm Next để mở trang Review Options
11 Bấm Next để mở trang Prerequisites Check Xem hình minh họa
Trang 712 Hệ thống sẽ thực hiện một số kiểm tra để đảm bảo máy tính có đủ điều kiện để trở thành một domain controller Kết quả có thể xuất hiện một số cảnh báo, bạn cần đọc các cảnh báo để thực hiện thêm một số yêu cầu (nếu có) Bấm nút Install để tạo forest và domain controller
13 Khởi động lại máy tính
Sau khi tạo forest (domain gốc), bạn có thể thêm các domain controller vào domain hoặc tạo các domain mới trong forest
Thêm một domain controller vào domain
Mỗi domain trong AD DS nên có tối thiểu hai domain controller
Trong Windows Server 2012 R2, để thêm một domain controller vào domain, thực hiện các bước sau:
1 Tại trang Installation Progress, xuất hiện ở bước cuối của quá trình cài role Active Directory Domain Services, bấm vào liên kết Promote This Server To A Domain Controller để chạy Active Directory Domain Services Configuration Wizard, xuất hiện trang Deployment
Configuration
2 Chọn mục Add A Domain Controller To An Existing Domain, bấm Select
3 Nếu bạn chưa đăng nhập vào forest, sẽ xuất hiện cửa sổ Credentials For Deployment
Operation Tại đây, bạn phải chứng thực bằng tải khoản có quyền quản trị hệ thống Sau khi chứng thực thành công, xuất hiện cửa sổ Select A Domain From The Forest
Trang 84 Lựa chọn tên domain mà bạn muốn thêm domain controller, bấm OK Tên domain được chọn
sẽ xuất hiện trong mục Domain
5 Bấm Next để mở trang Domain Controller Options Xem hình minh họa
6 Để nguyên lựa chọn trong mục Domain Name System (DNS) Server nếu bạn muốn cài đặt dịch vụ DNS server trên máy này Ngược lại, bạn phải cấu hình để máy domain controller sử dụng DNS server có sẵn trong hệ thống mạng
7 Để nguyên lựa chọn trong mục Global Catalog (GC) nếu bạn muốn máy domain controller đóng vai trò là một máy global catalog server Nếu trong site chưa có máy nào đóng vai trò là
GC server thì bạn nên chọn mục này
8 Nếu bạn muốn tạo một domain controller mà người quản trị không thể thay đổi nội dung của các đối tượng trong AD DS thì bạn đánh dấu chọn vào mục Read Only Domain Controller (RODC)
9 Trong mục Site Name, chọn site để chứa domain controller
10 Nhập mật khẩu để sử dụng trong trường hợp phải khôi phục hệ thống (Directory Services Restore Mode (DSRM)) vào mục Password và Confirm Password Bấm Next để mở trang Additional Options Xem hình minh họa
Trang 911 Đánh dấu chọn vào mục Install From Media nếu bạn muốn sử dụng cách cài đặt này
12 Trong mục Replication From, chọn một domain controller có sẵn trong miền, máy này chứa
dữ liệu để chạy chức năng đồng bộ hóa dữ liệu của AD DS Bấm Next để mở trang Paths
13 Bạn có thể thay đổi đường dẫn để lưu các tập tin của AD DS nếu muốn, bấm Next để mở trang Review Options
14 Bấm Next để mở trang Prerequisites Check
15 Sau khi hệ thống kiểm tra xong, bấm Install để cấu hình server trở thành một domain
controller
16 Khởi động lại máy tính
Sau khi được tạo ra, domain controller sẽ hoạt động như một domain controller thứ hai trong miền, việc đồng bộ dữ liệu giữa hai domain controller sẽ được chạy tự động
Tạo domain con trong một forest
Khi bạn đã tạo một forest với một domain trong nó (domain gốc), bạn có thể thêm domain con (child domain) cho domain gốc Quá trình tạo một domain con cũng giống với quá trình tạo forest, chỉ khác ở trang Deployment Configuration bạn cần phải xác định domain cha (parent domain) của domain sẽ tạo
Trang 10Cài đặt AD DS trên Server Core
Với Windows Server 2012 R2 đang chạy ở chế độ server core, bạn có thể sử dụng Windows
PowerShell để cài đặt AD DS và nâng cấp server lên thành domain controller
Trong chế độ server core của Windows Server 2008 và Windows Server 2008 R2, bạn có thể sử dụng chương trình Dcpromo.exe với tham số /unattend để tự động cài đặt AD DS Các tham số cần thiết cho quá trình cài đặt được lưu sẵn trong một tập tin (answer file)
Windows Server 2012 R2 không cho phép chạy dcpromo.exe nếu không có tham số /unattend đi kèm
Do vậy, nếu người quản trị muốn nâng cấp một máy tính lên domain controller tự động bằng lệnh dcpromo.exe /unattend thì vẫn có thể thực hiện được, mặc dù hệ thống có xuất hiện cảnh báo “The dcpromo unattended operation is replaced by the ADDSDeployment module for Windows
PowerShell”
Phương pháp được nhiều người sử dụng để cài đặt AD DS trên Server Core là dùng Windows
PowerShell Quá trình cài đặt cũng gồm hai bước như khi thực hiện cài đặt bằng wizard, gồm: cài đặt role AD DS, sau đó là nâng cấp server lên domain controller
Để cài đặt role AD DS, bạn chạy chương trình PowerShell, nhập lệnh sau:
Install-WindowsFeature –name AD-Domain-Services –IncludeManagementTools
Lưu ý, như thường lệ, lệnh Install-WindowsFeature không cài đặt công cụ để quản lý role tương ứng,
để có công cụ quản lý, bạn phải thêm tham số -IncludeManagementTools
Trang 11Khi đã cài đặt xong role AD DS, bạn sẽ thực hiện nâng cấp server thành domain controller, việc này phức tạp hơn một chút ADDSDeployment của Windows PowerShell cung cấp ba lệnh khác nhau liên quan đến tạo forest (Install-ADDSForest), nâng cấp lên domain controller (Install-
ADDSDomainController) và thêm domain vào forest (Install-ADDSDomain)
Mỗi lệnh có kèm theo rất nhiều tham số, giống như lúc bạn thực hiện bằng Active Directory Domain Services Configuration Wizard Dưới đây là một ví dụ đơn giản nhất, để nâng cấp một máy tính thành domain controller cùng với việc tạo forest có tên là dalat.com
Install-ADDSForest –DomainName “dalat.com”
PowerShell sẽ yêu cần bạn lần lượt nhập các tham số tương tự như khi thực hiện bằng Active
Directory Domain Services Configuration Wizard Bạn cũng có thể sử dụng lệnh Get-Help để xem cú pháp đầy đủ của lệnh Install-ADDSForest Xem hình minh họa
Ngoài cách thao tác trực tiếp với giao diện của Windows PowerShell, bạn có cách khác để thực hiện các cài đặt phức tạp như sau: lấy một máy Windows Server 2012 R2 đang chạy giao diện đồ họa (GUI), thực hiện cài đặt bằng wizard (ví dụ: Active Directory Domain Services Configuration
Wizard), khi tới bước (trang) Review Option, bấm vào View Script để hiển thị nội dung kịch bản chạy trên Windows PowerShell Lưu kịch bản này lại để thực hiện trên server khác Xem hình minh họa
Trang 12Windows Server 2012 R2 có khả năng tạo kịch bản này là do thực tế Server Manager đang chạy trên nền Windows PowerShell Do vậy, kịch bản sẽ chứa các lệnh và các tham số tương ứng khi bạn chạy bằng wizard Bạn cũng có thể sử dụng kịch bản này với lệnh Install-ADDSDomainController để triển khai thêm các domain controller cho cùng domain
Sử dụng phương pháp cài đặt IFM (Install from Media)
Trong phần cài đặt một domain controller dự phòng (đọc lại mục Thêm một domain controller vào domain), tại trang Additional Options của Active Directory Domain Services Configuration Wizard, có xuất hiện tùy chọn Install From Media Tùy chọn này cho phép người quản trị thực hiện cài đặt một domain controller trên một site ở xa, sử dụng phương pháp IFM
Thông thường, khi tạo một domain controller cho một domain có sẵn, hệ thống sẽ tạo ra cấu trúc cơ sở
dữ liệu của AD DS, nhưng chưa có dữ liệu Dữ liệu sẽ được cập nhật khi domain controller thực hiện đồng bộ với một domain controller có sẵn khác Trong hệ thống LAN, quá trình đồng bộ sẽ được thực hiện tự động ngay khi hoàn thành việc nâng cấp server lên domain controller
Tuy nhiên, khi domain controller (mới được tạo ra) chỉ có kết nối WAN với các domain controller có sẵn, việc đồng bộ dữ liệu có thể mất nhiều thời gian và chiếm băng thông của các ứng dụng thông thường Trong trường hợp này, quá trình đồng bộ dữ liệu chỉ được thực hiện khi người quản trị đã chuẩn bị đường truyền phù hợp
Lưu ý: ngay khi domain controller được tạo ra, nó sẽ nhận dữ liệu đồng bộ từ các domain controller khác, dữ liệu đồng bộ là toàn bộ cơ sở dữ liệu của AD DS, quá trình này gọi là đồng bộ lần đầu Tuy nhiên, ở các lần đồng bộ sau, chỉ có các đối tượng có thay đổi so với lần đồng bộ trước mới được đồng
bộ
Để tránh các vấn đề có thể xảy ra liên quan đến việc đồng bộ lần đầu, người quản trị có thể sử dụng thiết bị lưu trữ ngoài để chứa bản sao cơ sở dữ liệu của AD DS Công cụ dòng lệnh Ntdsutil.exe giúp lưu cơ sở dữ liệu của AD DS vào thiết bị lưu trữ ngoài Khi đó, việc tạo domain controller ở xa sẽ bao gồm luôn quá trình đồng bộ dữ liệu lần đầu bằng thiết bị lưu trữ ngoài
Trang 13Để tạo đĩa IFM, bạn phải chạy chương trình Ntdsutil.exe trên domain controller đang chạy hệ điều hành giống với hệ điều hành trên server sẽ được nâng cấp Quá trình thực hiện sẽ yêu cầu chạy các lệnh sau:
Ntdsutil: để chạy chương trình Ntdsutil.exe
Activate instance ntds: kết nối tới AD DS của domain controller
Ifm: làm việc ở chế độ IFM
Create Full|RODC <path name>: lưu cơ sở dữ liệu của AD DS hoặc AD DS chỉ đọc (RODC) tới một thư mục cụ thể trên đĩa
Khi chạy xong các lệnh trên, chương trình Ntdsutil.exe sẽ tạo bản sao cơ sở dữ liệu của AD DS và Windows Registry, tất cả được lưu trong một thư mục Xem hình minh họa
Sau khi đã tạo đĩa IFM, bạn có thể chép nó sang các phương tiện lưu trữ bất kì để sử dụng khi thực hiện cài đặt một domain controller ở xa Để sử dụng đĩa IFM, bạn chạy Active Directory Domain Services Configuration Wizard, khi tới bước có mục Install From Media thì đánh dấu chọn vào mục này và chỉ đường dẫn tới nơi chứa đĩa IFM
Nâng cấp AD DS
Việc chuyển một hạ tầng AD DS đang chạy trên các hệ điều hành phiên bản cũ lên Windows Server
2012 R2 có thể thực hiện dễ hơn so với các phiên bản trước đây
Có hai cách để chuyển hạ tầng AD DS lên Windows Server 2012 R2 Cách một là nâng cấp chức năng của domain controller lên mức Windows Server 2012 R2 Cách hai là thêm domain controller chạy Windows Server 2012 R2 vào domain đó
Việc chuyển hạ tầng AD DS lên Windows Server 2012 R2 chỉ thực hiện được khi AD DS đang chạy trên Windows Server 2008 hoặc Windows Server 2008 R2 Các phiên bản cũ hơn không thể thực hiện nâng cấp được
Trang 14Trước đây, nếu bạn muốn thêm domain controller chạy hệ điều hành mới hơn vào một domain chạy hệ điều hành cũ, bạn phải chạy chương trình Adprep.exe để nâng cấp domain và forest Tùy thuộc vào công việc bạn đang thực hiện cài đặt, chương trình sẽ yêu cầu bạn phải chứng thực trên các domain controller khác nhau, bằng các loại tài khoản quản trị khác nhau Ngoài ra, bạn cũng phải chạy
Adprep.exe một vài lần với tham số /domainprep cho mỗi domain và tham số /forestprep cho mỗi forest
Đối với Windows Server 2012 R2, chương trình Adprep.exe đã được tích hợp sẵn trong Active
Directory Domain Services Configuration Wizard của Server Manager Do vậy, khi bạn cài đặt domain controller mới trên Windows Server 2012 R2, bạn chỉ việc cung cấp tài khoản quản trị hợp lệ, sau đó, mọi công việc còn lại sẽ được thực hiện bởi wizard
Triển khai Active Directory IaaS trên Windows Azure
Bạn đã quen thuộc với việc chạy Windows Server 2012 R2 trên máy tính thật và trên hạ tầng ảo hóa (máy ảo) Tuy nhiên, bằng việc sử dụng dịch vụ Windows Azure của Microsoft, bạn có thể tạo các máy ảo trên hạ tầng đám mây (cloud) Giải pháp này có tên gọi là Infrastructure as a Service (IaaS), tạm dịch là hạ tầng dạng dịch vụ
Windows Azure cho phép bạn tạo các máy ảo, mạng ảo trên hạ tầng đám mây Trên các máy ảo này, bạn có thể tạo AD DS forest Bạn có thể kết nối hệ thống mạng ảo trên đám mây với hệ thống mạng cục bộ Việc cài đặt AD DS, nâng cấp lên domain controller trên Windows Azure cũng được thực hiện tương tự như trong hệ thống mạng cục bộ Tuy nhiên, vấn đề khó khăn cần phải thực hiện chính là việc cấu hình thông mạng giữa mạng cục bộ và mạng trên hạ tầng đám mây
Gỡ bỏ một domain controller
Bạn không thể sử dụng lệnh Dcpromo.exe để gỡ bỏ một domain controller (hay hạ cấp một máy
domain controller) như trước đây Với Windows Server 2012 R2, bạn sẽ sử dụng Remove Roles And Features Wizard Các bước cụ thể như sau:
Mở Server Manager, vào trình đơn Manage, chọn mục Remove Roles And Features để chạy Remove Roles And Features Wizard
1 Bấm Next để mở trang Select Destination Server Chọn server mà bạn dự định gỡ bỏ domain controller Bấm Next để mở trang Remove Server Roles
2 Bỏ dấu chọn trong mục Active Directory Domain Services Bấm Next để mở trang Remove Features That Require Active Directory Domain Services? Bấm nút Remove Features để mở trang Validation Results Xem hình minh họa
Trang 153 Bấm vào dòng chữ Demote This Domain Controller để chạy Active Directory Domain Services Configuration Wizard, xuất hiện trang Credentials
4 Đánh dấu chọn vào mục Force The Removal Of This Domain Controller, bấm Next để mở trang New Administrator Password
5 Nhập mật khẩu cho tài khoản Administrator cục bộ, đây là mật khẩu để đăng nhập vào server, sau khi nó không còn là domain controller Bấm Next để mở trang Review Options
6 Bấm nút Demote Hệ thống sẽ thực hiện gỡ bỏ domain controller và khởi động lại hệ thống
7 Đăng nhập lại vào server với tài khoản Administrator cục bộ và mật khẩu đã đặt ở bước trước
8 Chạy lại Remove Roles And Features Wizard, lặp lại việc gỡ bỏ role Active Directory Domain Services Thực hiện theo các chỉ dẫn cho tới khi hoàn thành
9 Đóng Wizard và khởi động lại server
Để gỡ bỏ domain controller bằng Windows PowerShell, sử dụng lệnh sau:
Uninstall-ADDSDomainController –ForceRemoval
Cấu hình global catalog
Global catalog là danh sách (index) của tất cả các đối tượng trong một forest Nhờ danh sách này, việc tìm kiếm các đối tượng trong forest sẽ hiệu quả hơn, hệ thống sẽ không phải tìm kiếm các đối tượng trong các domain controller khác nhau
Tầm quan trọng của global catalog phụ thuộc vào kích thước của hệ thống mạng và cách cấu hình của mỗi site Ví dụ, nếu hệ thống mạng chỉ có một domain, các domain controller đều nằm trong cùng một site, băng thông mạng ổn định, thì global catalog chỉ được sử dụng trong việc tìm kiếm các group kiểu universal Trong trường hợp này, bạn có thể cấu hình tất cả các domain controller làm global catalog server Khi đó, việc tìm kiếm sẽ được chia tải giữa các server và việc đồng bộ cũng không gây ảnh hưởng nhiều tới hệ thống mạng
Trang 16Tuy nhiên, nếu hệ thống mạng gồm nhiều domain, các domain controller được đặt ở nhiều site khác nhau, các site được kết nối với nhau bằng đường WAN, thì việc cấu hình global catalog cần phải xem xét cẩn thận Việc người sử dụng phải thực hiện tìm kiếm các đối tượng của AD DS giữa các site với đường WAN chậm chạp là điều không thể chấp nhận được Để giải quyết vấn đề này, bạn sẽ cấu hình mỗi site có một global catalog server Tuy bạn phải trả giá cho việc đồng bộ dữ liệu giữa các global catalog server, nhưng đổi lại quá trình sử dụng của người dùng sẽ rất hiệu quả
Bạn có thể thiết lập một domain controller làm global catalog server ngay khi thực hiện nâng cấp lên domain controller Tuy nhiên, nếu không, bạn vẫn có thể thiết lập một domain controller làm global catalog server theo các bước sau:
1 Mở Server Manager, mở trình đơn Tools, chọn Active Directory Sites And Services để mở cửa
sổ Active Directory Sites And Services
2 Ở khung bên trái, xổ nút Sites, chọn site có chứa domain controller mà bạn muốn thiết lập nó trở thành global catalog server, chọn nút Server, chọn domain controller
3 Bấm chuột phải vào nút NTDS Settings, chọn Properties để mở cửa sổ NTDS Settings
Properties
4 Đánh dấu chọn vào mục Global Catalog, bấm OK
5 Đóng cửa sổ Active Directory Sites And Services
Khắc phục lỗi không đăng kí được bản ghi DNS SRV
DNS là thành phần không thể thiếu trong hoạt động của Active Directory Domain Services Để giúp
AD DS hoạt động, DNS sẽ tạo ra một bản ghi SRV cho domain controller vừa tạo, bản ghi này giúp các client kết nối được tới domain controller và các dịch vụ AD DS khác
Khi bạn tạo domain controller mới, một trong những việc quan trọng là đăng kí domain controller này với hệ thống DNS Vì quá trình này diễn ra tự động, nên AD DS forest phải truy cập được vào DNS server, và DNS server phải cho phép cập nhật động (Dynamic Updates)
Nếu việc tạo ra bản ghi SRV bị thất bại, các máy tính trong mạng sẽ không thể tìm thấy domain controller, điều này sẽ dẫn tới hàng loạt các trục trặc khác trong hệ thống mạng Ví dụ: các máy client
sẽ không thể tìm thấy máy domain controller để gia nhập vào domain, các server thành viên trong mạng không thể truy cập tới domain controller, và các domain controller còn lại không thể thực hiện đồng bộ với nó
Nguyên nhân của tình trạng không tạo được bản ghi SRV là do mạng không thông hoặc do cấu hình phía DNS client bị lỗi
Cách khắc phục là thực hiện ping tới DNS server để kiểm tra thông mạng, sau đó kiểm tra xem phần cấu hình địa chỉ DNS server trong cạc mạng đã đúng chưa
Để kiểm tra xem domain controller đã đăng kí thành công trên hệ thống DNS chưa, mở cửa sổ dòng lệnh với quyền quản trị, nhập lệnh sau:
dcdiag /test:registerindns /dnsdomain:<domain name> /v
Xem hình minh họa
Trang 17Tóm tắt nội dung
Dịch vụ danh bạ (directory service) là một kho chứa các thông tin về phần cứng, phần mềm, và người dùng có trong một hệ thống mạng AD DS (Active Directory Domain Services) là dịch vụ danh bạ do Microsoft phát triển Phiên bản AD DS đầu tiên được Microsoft giới thiệu trong Windows 2000 Server AD DS liên tục được nâng cấp Hiện tại, AD DS cũng đang được tích hợp trong Windows Server 2012 R2
Để triển khai AD DS, bước đầu tiên phải làm là tạo forest, trong forest tạo domain đầu tiên, domain này được gọi là forest root domain
Khi bạn tạo domain đầu tiên cho một AD DS, cũng chính là bạn đang tạo gốc (root) cho một domain tree Sau đó, bạn có thể mở rộng domain tree của mình bằng cách thêm vào các domain mới, miễn là tên của domain mới có quan hệ cha-con với domain đã tồn tại
Với Windows Server 2012 R2 đang chạy ở chế độ server core, bạn có thể sử dụng Windows
PowerShell để cài đặt AD DS và nâng cấp server lên thành domain controller
IFM là một giải pháp cho phép người quản trị thực hiện đồng bộ dữ liệu cho các domain controller ở
xa một cách hiệu quả
Có hai cách để chuyển hạ tầng AD DS lên Windows Server 2012 R2 Cách một là nâng cấp chức năng của domain controller lên mức Windows Server 2012 R2 Cách hai là thêm domain controller chạy Windows Server 2012 R2 vào domain đó
Global catalog là danh sách (index) của tất cả các đối tượng trong một forest Nhờ danh sách này, việc tìm kiếm các đối tượng trong forest sẽ hiệu quả hơn, hệ thống sẽ không phải tìm kiếm các đối tượng trong các domain controller khác nhau
DNS là thành phần không thể thiếu trong hoạt động của Active Directory Domain Services Để giúp
AD DS hoạt động, DNS sẽ tạo ra một bản ghi SRV cho domain controller vừa tạo, bản ghi này giúp các client kết nối được tới domain controller và các dịch vụ AD DS khác
Câu hỏi ôn tập
1 Trong môi trường AD DS, đối tượng nào sau đây không thể chứa các domain?
A OU
B Site
C Tree
D Forest
Trang 182 Hai loại (lớp) đối tượng quan trọng trong AD DS là?
A Tài nguyên (resource)
B Đối tượng nút lá, không thể chứa các đối tượng khác (Leaf)
C Domain
D Thùng chứa (Container), dùng để chứa các đối tượng khác
3 Trong các phát biểu liên quan đến thuộc tính (attribute) của một đối tượng (object), phát biểu nào sau đây không đúng?
A Người quản trị phải cung cấp thông tin bằng tay cho một số thuộc tính
B Mỗi đối tượng thuộc kiểu thùng chứa (container) có một thuộc tính là danh sách các đối tượng mà nó chứa
C Các đối tượng thuộc kiểu leaf không chứa thuộc tính
D AD DS sẽ tự động tạo GUID (globally unique identifier) cho mỗi đối tượng
4 Khi thiết kế hạ tầng AD DS, để hạn chế việc tạo thêm domain, lý do nào sau đây không hợp lý?
A Việc tạo thêm domain sẽ làm tăng thêm các công việc cài đặt
B Mỗi domain được thêm vào sẽ làm tăng chi phí phần cứng
C Một vài ứng dụng sẽ gặp trục trặc khi làm việc trong forest có nhiều domain
D Bạn phải trả tiền bản quyền cho Microsoft với mỗi domain được tạo ra
5 Trong môi trường AD DS, dịch vụ nào sau đây được client sử dụng để tìm kiếm các đối tượng trên domain khác?
Trang 19 Tạo tài khoản người dùng
Tạo tài khoản mẫu
Tạo nhiều tài khoản người dùng
Tạo tài khoản máy tính
Quản lý các tài khoản trong AD DS
Quản lý nhiều người dùng
Kết nối máy tính vào domain
Quản lý các tài khoản (người dùng/máy tính) không sử dụng
Tạo tài khoản người dùng
Tài khoản người dùng là phương tiện quan trọng, được sử dụng để truy cập tới các tài nguyên trên hệ thống mạng Mỗi cá nhân sẽ sử dụng tài khoản của riêng mình để truy cập tài nguyên Trước khi có thể truy cập tới các tài nguyên, người dùng phải vượt qua được quá trình chứng thực (authenticate) của hệ thống
Chứng thực là quá trình xác minh tính chính danh của người dùng Người dùng có thể chứng thực bằng mật khẩu, thẻ thông minh, vân tay
Để chứng thực, người dùng sẽ nhập tên cùng với mật khẩu, hệ thống sẽ so sánh với tên và mật khẩu tương ứng đã được lưu trong cở sở dữ liệu của AD DS, nếu hai cái khớp nhau, quá trình chứng thực thành công
Đừng nhầm lẫn giữa quá trình chứng thực (authentication) và quá trình cấp quyền sử dụng
(authorization) Cấp quyền sử dụng là quá trình cho phép người dùng sử dụng tài nguyên mạng ở các mức độ khác nhau
Ngoài tên đăng nhập và mật khẩu, mỗi tài khoản người dùng còn có các thông tin khác đi kèm, như: địa chỉ, số điện thoại, định danh, tên đầy đủ…v.v Tất cả được chứa trong một đối tượng có tên là đối tượng người dùng (user object) Vì vậy, trong một số trường hợp việc dùng hai tên gọi này có thể xem như là một
Windows Server 2012 R2 có hai loại tài khoản người dùng:
Tài khoản người dùng cục bộ (local user): các tài khoản này chỉ được phép truy cập tài nguyên trên máy cục bộ, thông tin về tài khoản được lưu trong cơ sở dữ liệu cục bộ, cụ thể là trong Security Account Manager (SAM) Thông tin về tài khoản cục bộ không được đồng bộ tới các máy tính khác, do vậy, nó không được nhận ra ở các máy tính khác trong domain
Tài khoản người dùng mức miền (domain user): các tài khoản này được phép truy cập tài nguyên trong hệ thống AD DS Thông tin về tài khoản được lưu trong cơ sở dữ liệu của AD DS
và được đồng bộ tới tất cả các domain controller trong cùng domain Ngoài ra, một số thông tin
Trang 20của tài khoản cũng được lưu trữ tại global catalog và được đồng bộ với các global catalog server trong forest
Các công cụ để tạo tài khoản người dùng
Tạo tài khoản người dùng trong AD DS là một trong những công việc quen thuộc của người quản trị Windows Server 2012 R2 cung cấp một số công cụ để tạo tài khoản người dùng Tùy từng tình huống
cụ thể, người quản trị sẽ lựa chọn công cụ cho phù hợp
Khi chỉ tạo một tài khoản người dùng, người quản trị có thể sử dụng Active Directory Administrative Center hoặc Active Directory Users And Computers Tuy nhiên, trong trường hợp cần tạo nhiều tài khoản, phải tạo gấp hoặc đã có sẵn các thông tin về tài khoản trong một cơ sở dữ liệu, thì có thể sử dụng các công cụ khác hiệu quả hơn Sau đây là một số công cụ:
Dsadd.exe: công cụ dòng lệnh, cho phép tạo nhiều tài khoản và các đối tượng kiểu nút lá khác
Windows PowerShell: tạo các đối tượng dựa trên kịch bản
CSVDE.exe: (Comma-Separated Value Directory Exchange), cho phép tạo các đối tượng từ các thông tin chứa trong tập tin dạng csv (comma-separated value)
LDIFDE.exe: (LDAP Data Interchange Format Directory Exchange), hoạt động giống CSVDE nhưng có nhiều chức năng hơn, có thể sử dụng LDIFDE để thêm, xóa hoặc thay đổi các đối tượng, có thể thay đổi thông tin của schema
Phần tiếp theo sẽ trình bày một số tình huống cụ thể trong việc tạo tài khoản người dùng
Tạo một tài khoản người dùng bằng giao diện cửa sổ
Active Directory Administrative Center (ADAC) được giới thiệu lần đầu trong Windows Server 2008 R2, nó tiếp tục được cải tiến trong Windows Server 2012 R2 Để tạo một tài khoản người dùng bằng ADAC, bạn thực hiện theo các bước sau:
1 Mở Server Manager, chọn trình đơn Tools, chọn mục Active Directory Administrative Center
Trang 214 Nhập tên đầy đủ của người dùng vào mục Full Name, nhập tên đăng nhập vào mục
SamAccountName Logon
5 Đặt mật khẩu cho tài khoản người dùng trong mục Password và Confirm password
6 Nhập các thông tin khác cho tài khoản người dùng nếu bạn muốn
7 Bấm OK, tài khoản người dùng sẽ được tạo trong thùng chứa (container)
8 Đóng cửa sổ Active Directory Administrative Center
Ngoài ra, bạn có thể tạo tài khoản người dùng bằng Active Directory Users And Computers Mở Server Manager, chọn trình đơn Tools, chọn mục Active Directory Users And Computers, bấm chuột phải vào nơi cần tạo tài khoản ở khung bên trái, chọn New\User, điền các thông tin tương tự như cách trên Xem hình minh họa
Tạo tài khoản người dùng bằng DSADD.EXE
Dsadd.exe là công cụ dòng lệnh, được sử dụng để tạo tài khoản người dùng Cú pháp của dsadd được
Trang 22
Để tạo tài khoản người dùng bằng dsadd.exe bạn phải cung cấp các thông tin sau:
DN (distinguished name): thông tin nhận diện người dùng, DN là duy nhất cho mỗi người dùng DN gồm: tên đầy đủ (cn: common name); ou (Organization Unit) và dc (Domain
Controller) chứa tài khoản sẽ tạo Ví dụ, để tạo tài khoản cho Nguyen Van A trong OU
ChiNhanh1, thuộc domain dalat.com, DN sẽ có dạng: cn=Nguyen Van A, ou=ChiNhanh1, dc=dalat, dc=com
Login ID hay SAMid: tên đăng nhập của tài khoản, tên này là duy nhất trong toàn domain Ví dụ: anv@dalat.com, thì tên đăng nhập chính là avn, thuộc domain dalat.com
Lệnh để tạo một tài khoản người dùng ở dạng đơn giản nhất là:
Dsadd user <DN> -samid <SAMid>
Ví dụ:
Dsadd user cn=“Nguyen Van A, ou=ChiNhanh1, dc=dalat, dc=com” –samid anv
Nếu muốn, bạn cũng có thể thêm các tham số khác trong quá trình tạo tài khoản
Tạo tài khoản người dùng bằng Windows PowerShell
Trong Windows PowerShell, sử dụng lệnh New-ADUser để tạo và thực hiện các cấu hình khác liên quan đến tài khoản người dùng Lệnh New-ADUser có rất nhiều tham số, như hình minh họa sau