Cài đặt một máy chủ Domain Controller cho một Domain

Nhấn Next hệ thống yêu cầu tên Zone cần tạo tôi chọn là vnexperts.netSau khi gõ tên đầy đủ của Zone cần tạo ra bạn nhấn Next để thực hiện bước tiếp tục, chọn Allow Dynamic Update đây là

Cài đặt một máy chủ Domain Controller cho một Domain

Active Directory là dịch vụ hệ thống quan trọng bậc nhất với vai trò quản lý dữ liệu người dùng, máy tính, groups, và các chính sách cũng như rất nhiều thông tin khác

Để triển khai hệ thống Active Directory chuẩn, tránh các sự cố liên quan là điều cần thiết Sau đây tôi sẽ trình bày từ cài đặt 1 máy chủ Domain Controller cho một Domain tới cài thêm một máy chủ DC khác cho Domain đó, bao gồm:

1 Cài đặt Active Directory trên Windows Server 2003

2 Backup Active Directory

3 Cài đặt thêm một máy chủ Active Directory vào một Domain đã có

4 Cài đặt Multiple Domain cho một hệ thống.

a Cài đặt Active Directory trên một Forest mới.

b Cài đặt Active Directory trên một domain con

5 Đổi tên Domain

6 Chuyển Master của Domain.

Để có thể cài đặt và cấu hình lên một hệ thống như dưới đây

1 Cài đặt Active Directory trên Windows Server 2003

1.1 Cài đặt và cấu hình DNS

Khi cài đặt Active Directory trên Windows Server 2003 thì nên cài đặt DNS trước với các thiết lập chuẩn

- Địa chỉ IP đặt là địa chỉ tĩnh và địa DNS là địa của chính máy mình

- Tạo Zone trong DNS và thiết lập Dynamic Update cho Zone đó đây là một yêu cầu bắt buộc trong để Active Directory có khả năng tự động Update các thiết lập của mình vào trong DNS

a Đặt địa chỉ IP cho máy chủ - Static IP và DNS vào DNS của chính máy mình.

Vào card mạng thiết lập địa chỉ IP cho máy chủ với địa chỉ Static là

192.168.100.11, DNS cũng là 192.168.100.11

b Cài đặt và cấu hình DNS

- Vào Start à chọn Administrative Tools à Manage Your Server

- Trong cửa sổ Manage Your Server chọn phần đầu tiên Add or Remove a Role rồi chọn cài đặt DNS nhấn Next và hệ thống sẽ yêu cầu bạn bộ cài Windows Server

2003 bạn cho đĩa CD hoặc trỏ đường dẫn tới thư mục i386 của bộ cài là OK Kết thúc cài đặt

- Tạo Zone trong DNS: Vào Start à Administrative Tools à DNS sẽ xuất hiện cửa

sổ DNS Trong phần tạo Zone này các bạn sẽ phải tạo dạng Forward Lookup Zone Dạng Primary Zone

- Chuột phải vào Forward Lookup zone chọn New Zone

Nhấn Next hệ thống yêu cầu tên Zone cần tạo tôi chọn là vnexperts.net

Sau khi gõ tên đầy đủ của Zone cần tạo ra bạn nhấn Next để thực hiện bước tiếp tục, chọn Allow Dynamic Update đây là bắt buộc để khi cài đặt Active Directory sẽ tự

Nhấn Next và kết thúc quá trình tạo Zone mới trong DNS Công việc chưa kết thúc, ta vào DNS chọn Zone vừa tạo ra sẽ thấy hai Record là SOA và NS.

- Cần phải chỉnh sửa hai Record này để quá trình cài đặt chuẩn Active Directory, nhấp đúp vào SOA Record chỉnh lại bằng cách thêm vào phần đuôi các Record tên Zone vừa tạo ra

Chỉnh lại NS Record bằng cách tương tự.

Tạo ra một Record để kiểm tra xem hệ thống DNS hoạt động đã chuẩn hay chưa

Ở đây ta tạo ra một Host A record là Server01.vnexperts.net địa chỉ IP là

192.168.100.11

- Chuột phải vào vnexperts.net Zone chọn Host A record

Kiểm tra hoạt động của DNS bằng cách vào run gõ CMD trong cửa sổ này chọn:Ping server01.vnexperts.net nếu có reply là ok.

OK hoàn tất quá trình cài đặt và thiết lập DNS chuẩn bị cho việc cài đặt Active Directory

Chúng ta có thể vào cửa sổ Manage Your Server chọn Add or Remove a Role để cài đặt Active Directory nhưng cách mọi người hay sử dụng là vào Run gõ dcpromo.

- Vào Run gõ dcpromo sẽ xuất hiện cửa sổ sau

Các bạn nhấn Next để tiếp tục quá trình cài đặt Active Directory Vào cửa sổ giớithiệu tương thích với các Windows của Active Directory

Nhấn Next để tiếp tục, trong cửa sổ này bạn phải lựa chọn giữa hai Options:

- Domain Controller for a New domain: Là thiết lập tạo ra Domain Controller đầutiên trong Domain

- Additional domain Controller …: là lựa chọn để cài đặt them một máy chủ DC vào cho một Domain, với thiết lập Hai hay nhiều DC cho một Domain đáp ứng được khi một máy chủ bị sự cố xảy ra thì hệ thống vẫn hoạt động bình thường Ở đây ta chọn Option: Domain Controller for a New Domain để cài đặt Máy chủ Domain Controller đầu tiên trên Domain

Sau khi lựa chọn Options trên bạn nhấn Next để tiếp tục quá trình cài đặt.

- Trong cửa sổ tiếp theo này có ba Options vô cùng quan trọng để khi bạn cài đặt Domain Controller

- Domain in a new forest: Cài đặt máy chủ Domain Controller đầu tiên trên

Forest sẽ phải lựa chọn thiết lập này ví dụ ở đây ta cài cho domain đầu tiên là:

vnexperts.net phải lựa chọn Options này

- Child domain in an existing domain tree: Nếu khi ta đã có domain vnexperts.net

mà ta lại muốn cài đặt các domain con bên trong của nó như: mcsa.vnexperts.net, hay ccna.vnexperts.net thì ta phải lựa chọn Options này

- Domain tree in an existing forest: Nếu ta muốn tạo một domain khác với tên vne.vn cùng trong forest vnexperts.net ta sẽ phải lựa chọn Options này

- Cả hai options dưới là việc cài đặt Multiple, cài đặt máy chủ Domain Controllerđầu tiên trong Domain

Lựa chọn Options đầu tiên rồi nhấn Next tiếp tục quá trình cài đặt, Trong bước này hệ thống yêu cầu bạn là: Máy chủ Domain Controller này quản lý Domain tên là gì

ta gõ vnexperts.net

Nhấn Next để tiếp tục, lựa chọn NetBIOS name cho Domain NetBIOS name chính là tên của Domain xuất hiện khi client đăng nhập vào hệ thống Bạn để mặc định

Nhấn Next bạn cần phải lựa chọn nơi chứa thư mục NTDS cho quá trình

Replications của hệ thống Domain Controller:

Nhấn Next để tiếp tục, bạn cần phải thiết lập nơi lưu trữ thư mục SYSVOL đây làthư mục bắt buộc phải để trong Partition định dạng NTFS, với tác dụng chứa các dữ liệu để Replication cho toàn bộ Domain Controller trong Domain Nếu mặc định hệ thống sẽ để tại thư mục %systemroot%\SYSVOL

Nhấn Next để tiếp tục, bước này hệ thống sẽ hiển thị các thông tin về DNS đã được cấu hình chuẩn chưa và các thông tin về Domain… thể hiện ở hình dưới đây Nếu trong bước này mà hệ thống báo lỗi bạn cần phải thực hiện lại các bước trong cài đặt và thiết lập DNS.

- Ở đây toàn bộ đã thiết lập chuẩn

Giờ là bước bạn nhấn Next, và lựa chọn Mode cho Domain.

- Domain Function Level có 4 Mode là

- Mix Mode là Active Directory được tạo ra bởi cả Windows NT Server,

Windows 2000 Server, và Windows 2003 Server Trong Mode này Active Directory không có một số tính năng cao cấp của Windows Server 2000, và Windows Server

2003, nhưng bạn sẽ phải buộc cài Mode này khi bạn Joint hệ thống windows 2003 mới vào hệ thống Windows NT cũ đang hoạt động

- Native Mode: Active Directory được tạo trên nền tảng Windows Server 2000 vàWindows Server 2003 nên có gần như đầy đủ hết các tính năng cao cấp của Active Directory

- Interim Mode: được tạo ra bởi Windows NT và Windows Server 2003 tương tự như Mix Mode

- 2003 Mode: Là mode cao nhất hỗ trợ đầy đủ nhất toàn bộ các tính năng của Windows Server 2003

- Ở đây trong bước này ta chọn là mode Native

Nhấn Next để tiếp tục quá trình cài đặt, Hệ thống yêu cầu thiết lập Password trong Restore Mode.

- Khi bạn backup Active Directory là hoàn toàn dễ dàng trong Windows Server

2003 bởi hệ thống sử dụng cơ chế Shadow Backup, cho phép backup cả những dữ liệu, file, service đang hoạt động

- Nhưng khi bạn Restore lại sẽ là cả vấn đề, Windows không cho can thiệp vào File, hay dữ liệu đang được sử dụng, và khi đó bạn phải khởi động hệ thống vào Mode

mà Active Directory không hoạt động thì mới Restore được Password đặt trong phần này chính là Password để đăng nhập vào hệ thống khi Restore lại Active Directory

Sau đặt Password bạn nhấn Next hệ thống sẽ cho bạn hiển thị toàn bộ thông tin như:

- NetBIOS name ở đây là VNEXPERTS

- Folder chứa dữ liệu của Active Directory là NTDS ở đâu

- Tương tự vậy các folder SYSVOL

- Hệ thống sẽ thông báo là Password đăng nhập vào Domain của User

Administrator sẽ tương tự như Password đăng nhập của User Administrator trước khi cài Active Directory

Nhấn Next bắt đầu tiến hành cài đặt Active Directory

Đợi vài phút cho đến khi hệ thống thông báo hoàn thành và yêu cầu khởi động lại

là bạn đã hoàn tất quá trình cài đặt Active Directory trên máy chủ Windows Server 2003

2 Backup & Restore

2.1 Công nghệ NTBACKUP trong Windows Server 2003.

Backup và Restore là một trong những kiến thức vô cùng quan trọng trong việc đảm bảo hệ thống hoạt động một cách hiệu quả, và tránh được những sự cố đáng tiếc xảy ra Trong Windows Server 2003 có sử dụng một công cụ backup dữ liệu đó là: ntbackup

- NTBACKUP trong Windows Server 2003 sử dụng công nghệ backup là

Shadow Copy để backup cả những dữ liệu đang hoạt động như SQL, hay dịch vụ

Active Directory, các file đang chạy hay các folder bị cấm truy cập…

- Nhưng trong Windows có một quy định là không cho can thiệp vào các file hay

dữ liệu đang có một chương trình khác đang hoạt động hay đang sử dụng

- Và hai điều này có nghĩa là bạn hoàn toàn có thể backup được Active Directory

từ lúc hệ thống bắt đầu khởi động Microsoft đã tính toán đến tình huống này - cách Backup và Restore dữ liệu của Active Directory.

- Khi backup System State sẽ chứa toàn bộ thông tin của Active Directory

2.2 Backup và Restore Active Directory trong máy chủ Domain Controllers.

a Lý thuyết

- Phần trên ta đã có một Domain với tên miền là: vnexperts.net có máy chủ

Domain Controller cài dịch vụ Active Directory là dc1.vnexperts.net

- Step 1: Tạo một OU trong Active Directory với tên MCSA trong OU này tôi tạo tiếp một User Name là Hoang Tuan Dat

- Step 2: Backup Active Directory

- Step 3: Xoá OU và User vừa tạo ra

- Step 4: Khôi phục lại dữ liệu Active Directory vừa bị xoá

b Triển khai.

Step 1

- Log on vào máy chủ Domain Controller bằng user administrator

- Vào Start à All Programs à Administrative tools à Active Directory Users and Computers

Chuột phải vào Active Directory domain vnexperts.net chọn New và

Organizational Unit (OU) với tên MCSA

- Vào trong OU MCSA kick chuột phải chọn New User Account - để tạo một tài khoản User mới

- Ở đây ta tạo User tên Hoang Tuan Dat, logon name là tocbatdat

Nhấn Next hệ thống yêu cầu gõ Password của user mới tạo ra là gì ta chọn

Password là: Password12!

- Chú ý sau khi cài đặt Active Directory sẽ có một Default Domain Security Policy yêu cầu bất kỳ một user mới tạo ra đều phải có password nhỏ nhất là 7 ký tự và phải phức tạp Nếu bạn muốn chỉnh lại để tạo ra User một cách đơn giản hơn phải chỉnhlại Default Domain Security Policy này và Local Policy của Máy chủ Domain

Controllers

- Cách chỉnh Default Domain Security Policy: Vào Startà All Programs à

Administrative tools à Domain Security Policy Trong Cửa sổ chỉnh Policy bạn chọn chọn Account Policies à Password Policies Tiếp đến bạn phải chỉnh hai thông số là Minimum Password Lengh, và Password must meet complexity Requirements (độ dài tối thiểu và phải phức tạp) nhấp đúp chuột trái sẽ xuất hiện như hình dưới đây bạn bỏ dấu Check Box – Define this policy setting – thực hiện với cả hai thiết lập

- Vào Run gõ Gpupdate /force để apply sự thay đổi policy trong domain sau đó bạn phải chỉnh cả trong Local Policy của máy chủ Domain Controller nữa thì mới tạo được User ở dạng Password là chống (blank)

- Vào Run gõ gpedit.msc để chỉnh Local Policy cho máy chủ Domain

Controllers Tương tự chỉnh các thông số trong Password Policy Lưu ý một điều nếu

bạn chưa bỏ dấu check box trong Domain Policy thì vào Local Policy sẽ không chỉnh được các thông số này.

- Chỉnh Minimum Password Lengh về 0, và Disable Password must meet

complexity requirements

Vào Run gõ Gpupdate /force là OK giờ bạn có thể tạo user với password trắng

Step 2 – Backup Active Directory

- Vào Run gõ ntbackup hệ thống sẽ hiện cửa sổ sau đây

Bạn chọn Advanced Mode (dòng chữ màu xanh) sẽ xuất hiện cửa sổ Backup Utility à Chọn Tab Backup sẽ được cửa sổ như hình dưới đây.

- Bạn muốn backup Active Directory bạn cần phải Backup System State Để ý thấy khi backup System State sẽ bao gồm rất nhiều thông tin: Active Directory, Boot Files, Registry, SYSVOL…

- Sau khi chọn System State, cần phải thiết lập nơi chứa file Backup, ở đây ta chọn là lưu tại ổ C: và tên file là Backup.bkf

- Nhấn Start Backup để bắt đầu Backup dữ liệu

Khi nhấn Start Backup hệ thống sẽ bật ra cửa sổ như hình dưới đây bạn chọn Start Backup để bắt đầu thực hiện backup.

Cửa sổ hiển thị quá trình Backup đang được thực hiện, bạn đợi một lát để hệ thống hoàn thành công việc

Step 3 – Xoá dữ liệu trong Active Directory.

Sau khi hệ thống kết thúc việc Backup System State bạn vào Active Directory (như cách vào bên trên) chuột phải vào OU MCSA chọn Delete, để xoá dữ liệu trong Active Directory

Step 4 – Restore Acitve Directory.

Bạn không thể thực hiện Restore để thao tác lên các dữ liệu đang hoạt động, giờ

ta phải khởi động lại máy chủ Domain Controller

- Trong lúc máy tính đang khởi động nhấn F8 để chọn các Mode của hệ thống như cách vào Safe Mode

- Trong Menu các Mode ta phải chọn "Directory Service Restore Mode" - Bạn bắt buộc phải chọn mode này bởi khi bạn lựa chọn Mode này mặc định Service Active Directory sẽ bị tắt và bạn có thể thao tác bằng các tác vụ khác vào dữ liệu của Active Directory được

Khi chọn khởi động từ "Directory Service Restore Mode" hệ thống sẽ yêu cầu gõ User name và Password

- Ở trên, "cài đặt Active Directory" ta có nói tới một Password lúc cài đặt, đó chính là password để bạn đăng nhập trong khi Restore lại Active Directory

Vào được trong môi trường Windows

- Run à ntbackup trong cửa sổ ntbackup chọn tab Restore

- Chọn System State để restore

Nhấn Start Restore để hệ thống bắt đầu lấy lại dữ liệu như lúc Backup

- Dưới đây là cửa sổ hệ thống đang Restore lại System State

Sau khi hệ thống Restore hoàn tất sẽ yêu cầu khởi động lại máy tính

- Lần này bạn để máy tính khởi động vào bình thường và công việc cuối cùng củachúng ta là xem lại xem OU MCSA và User Hoang Tuan Dat xem có còn hay không

- Thật may mắn là mọi thứ lại như cũ

3 Addtional New DC

Trong một tình huống hệ thống có rất nhiều máy tính join vào domain

vnexperts.net, khi máy chủ Domain Controller bị gián đoạn điều đó có nghĩa toàn bộ các dịch vụ về tên miền, về xác thực người dùng, và nhiều dịch vụ khác sẽ bị gián đoạn.Sau đây là cách phòng tránh sự cố xảy ra và đảm bảo hệ thống luôn luôn hoạt động

3.1 Replication dữ liệu trong Active Directory.

- Active Directory trên máy chủ Windows Server 2003 có cơ chế Replications giữa các máy chủ Domain Controller với nhau Cho phép nhiều máy chủ Domain

Controller cùng quản lý chung một dữ liệu Active Directory, với dữ liệu và thiết lập giống nhau Đồng thời cho phép nhiều máy chủ Domain Controllers hoạt động với quyền ngang hàng nhau trong Active Directory

- Các máy chủ hoàn toàn có khả năng thêm dữ liệu vào trong Active Directory (như việc tạo User mới, hay thay đổi thông tin trong Active Directory) Khi bạn thay đổi dữ liệu Active Directory trên một máy chủ Domain Controller thì chúng sẽ tự động đồng bộ hoá với toàn bộ máy chủ Domain Controller trong hệ thống mạng

- Như vậy nếu một hệ thống Domain nếu bạn có một máy chủ Domain Controllerchẳng may máy chủ này bị gián đoạn trong một thời gian nhất định thì cả hệ thống sẽ bị

tê liệt Khắc phục vấn đề này bạn cài đặt thêm một hay nhiều máy chủ Domain

Controller nữa cùng quản lý dữ liệu Active Directory và DNS của hệ thống Khi một trong các máy chủ Domain Controller trong hệ thống phải bảo trì hay gián đoạn một thời gian thì hệ thống vẫn hoạt động bình thường

Sau đây là cách tạo cài đặt thêm một máy chủ Domain Controller vào Domain có sẵn là vnexperts.net với dữ liệu DNS và Active Directory giống Domain Controller đầu tiên và hoạt động với chức năng tương đương nhau trong hệ thống

3.2 Triển khai Additions Domain Controller mới vào hệ thống có sẵn.

- Để máy chủ Domain Controller mới hoạt động với chức năng tương đương với máy chủ Domain Controller đầu tiên phải đáp ứng:

+ Cung cấp giải pháp tên miền DNS cho các máy Client

+ Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory

a DNS trên máy chủ Domain Controller mới.

- Máy chủ đầu tiên chứa toàn bộ dữ liệu DNS và các thiết lập khác trên DNS Để máy chủ thứ hai này cũng có khả năng đáp ứng các yêu cầu DNS của Client chúng ta cần phải tạo một bản sao bao gồm dữ liệu DNS giống hệt máy chủ đầu tiên

- Trên Windows Server 2003 dịch vụ DNS cho phép tạo Secondary Zone như một bản sao dữ liệu DNS từ một Primary Zone đã được tạo sẵn

- Domain của ta đã được cài đặt với một máy chủ DNS và Domain Controller là: dc1.vnexperts.net

- Trên dữ liệu DNS của dc1.vnexperts.net có một Primary Zone tên vnexperts.net chứa toàn bộ các record về tên của domain vnexperts.net

- Yêu cầu lúc này là tạo ra một máy chủ với dữ liệu DNS giống hệt

dc1.vnexperts.net

Step 1: Trên máy chủ dc1.vnexperts.net cho phép các máy chủ lấy được dữ liệu Zone vnexperts.net

Step 2: Trên máy chủ mới tạo Secondary Zone tên Vnexperts.net từ máy chủ

Start à All Programs à Administrative tools à DNS

Trong cửa sổ DNS chọn forward lookup zone trong đó có Zone vnexperts.net đã tạo ra trong phần 1+2 của bài viết Chuột phải vào tab Zone Tranfers

- Chọn Allow Zone Transfers có 3 options cho bạn lựa chọn:

+ to any server: cho tất cả các máy tính đều lấy được dữ liệu DNS

+ Chỉ cho phép máy chủ nào trong NS record (mặc định khi nâng cấp lên Domain Controller)

+ Chỉ cho phép các máy chủ dưới đây

- Ta chọn to any server cho dễ

Step 2: tạo Secondary Zone từ máy chủ khác chuẩn bị cài đặt làm Domain

Controller

- Cài đặt dịch vụ DNS như trên

- Vào giao diện quản trị DNS chuột phải vào Forward Lookup Zone chọn New Zone nhấn Next hệ thống sẽ bắt bạn lựa chọn Type Zone bạn chọn Secondary Zone

Nhấn Next tiếp tục quá trình thiết lập

- Hệ thống sẽ yêu cầu bạn tên Primary Zone mà bạn cần tạo Secondary Zone tôi chọn vnexperts.net vì tôi đã có Zone này trên máy dc1.vnexperts.net – 192.168.100.11 rồi

Hệ thống sẽ yêu cầu bạn gõ địa chỉ của máy chủ chứa Primary Zone của

Vnexperts.net

- Ta gõ địa chỉ IP là 192.168.100.11 - điạ chỉ của máy chủ dc1.vnexperts.net

Nhấn Next để hoàn thành quá trình tạo Secondary Zone vnexperts.net trên máy chủ dc2.

- Để lấy toàn bộ dữ liệu DNS từ máy chủ dc1 về máy chủ dc2 bạn chuột phải vàoZone vnexperts.net mới được tạo ra trên máy chủ dc2 chọn "Transfers from master"

- Vào kiểm tra và kết quả tôi đã được một bản copy của dữ liệu DNS trên máy chủ mới, điều này có nghĩa máy chủ Secondary này hoàn toàn có khả năng giải quyết vấn đề về tên miền trong hệ thống

b Cài đặt Additions Domain Controller vào một domain đã có sẵn

- Việc cài đặt Addtions một Domain Controller mới vào một domain đã có sẵn vôcùng đơn giản

- Step 1 đặt địa chỉ IP tĩnh

- Step 2 đặt địa chỉ DNS là địa chỉ DNS của máy chủ dc1.vnexperts.net –

192.168.100.11 và địa chỉ IP của chính nó là 192.168.100.12

Khi bạn đã hoàn tất quá trình cài đặt DNS và tạo Secondary Zone trên máy chủ mới, bạn cần thiết phải đặt địa chỉ của DNS như trên bởi khi DC1 bị hỏng thì hệ thống vẫn hoạt động bình thường.

- Tiếp tục quá trình cài đặt vào Run gõ dcpromo

Nhấn Next để tiếp tục quá trình cài đặt Addtions Domain Controller

Nhấn Next để tiếp tục quá trình cài đặt

- Đến bước chọn hai Options: Bạn bắt buộc phải chọn Additional domain

controller for an existing domain Đây chính là sự khác nhau cơ bản giữa cài mới và add vào một domain có sẵn

Nhấn Next để tiếp tục quá trình, hệ thống sẽ yêu cầu bạn gõ Username, Password

và domain mà bạn cần add vào:

Sau khi điền đủ các dữ kiện từ domain, username password.

- Nhấn Next hệ thống tự động tìm kiếm Domain đã chọn, nếu bạn đặt địa chỉ DNS cho card mạng sai đến bước này sẽ không tìm thấy domain mà bạn cần add vào, khi đó bạn chỉ cần kiểm tra lại DNS khi đặt địa chỉ IP là ok

- Nhấn Next để tiếp tục