Tìm hiểu và cấu hình domain trust

Để duy trì số lượng account cho mỗi user ở domain B như ban đầu không cần tạo thêm bên domain A mà các user bêndomain B vẫn có thể truy cập trực tiếp file server bên domain A thì ta phải

LỜI MỞ ĐẦU 3

CHƯƠNG I: GIỚI THIỆU VỀ DOMAIN TRUST 4

I.Giới thiệu : 4

II Phân loại 5

1.Tree/root trust 5

2 Parent/child trust 5

3 Shortcut trust 5

4 Realm trust 6

5 External trust 6

6 Forest trust 6

CHƯƠNG II: GIỚI THIỆU WINDOWS SERVER 2003 VÀ CÀI ĐẶTCÁC DỊCH VỤ 8

I.WINDOWS SERVER 2003 8

1 Giới thiệu: 8

2 Cài đặt 9

ll CÀI ĐẶT CÁC DỊCH VỤ 12

1 Cài đặt và cấu hình dịch vụ Active Directory 12

2 Cài đặt dịch vụ DNS: 17

3 Tạo User Profile và Home Foder cho các User trên server 21

I Công tác chuẩn bị 29

II Tạo Trust 29

1 Tại server1(server01.msviet.com) 29

LỜI MỞ ĐẦU

Domain bây giờ không còn lạ lẫm gì với chúng ta Microsoft đưa ra kháiniệm domain đầu tiên trong Windows NT Server Vào thời kỳ đó, mỗi domain làmột vùng riêng biệt, thường sở hữu tất cả tài khoản người dùng của toàn bộ công

ty Một quản trị viên phải hoàn toàn điều khiển domain và dữ liệu bên trong nó Nhưng đôi khi domain đơn riêng rẽ không mang tính thiết thực Chẳng hạn,nếu một công ty có chi nhánh ở một vài thành phố khác nhau Khi đó mỗi chinhánh cần sẽ cần phải có một domain riêng, gây lãng phí và rất tốn kém Trườnghợp phổ biến khác là khi một công ty mua lại công ty khác Tất nhiên hai công tythường có hai domain khác nhau Khi sát nhập lại thành một, chẳng nhẽ lại phảitiếp tục duy trì hai domain riêng như vậy

Nhiều khi người dùng ở miền này cần truy cập tài nguyên trên miền khác.Trường hợp này không phải hiếm gặp Đưa ra giải pháp cho vấn đề này,

Microsoft đã tạo các trusts hỗ trợ cho việc truy cập dễ dàng hơn

Domain trust giúp chúng ta liên thông thông tin, tài nguyên giữa hai miền,giúp các nhân viên có thể khai thác thông tin , truy cập dữ liệu dễ dàng, kèm theo

là quản lý dễ dàng hơn cho các nhà quản trị để cho hay không cho nhân viên cầnhay không cần, cấm hay không cấm nhân viên truy cập hay khai thác những tàinguyên nào

Em xin chân thành cảm ơn thầy giáo TS NGUYỄN TRUNG HÒA đã tậntình giúp đỡ em hoàn thành đồ án tốt nghiệp này !

Vinh tháng 5 năm 2010

SVTH NGUYỄN HOÀNG ANH - 2 - GVHD:TS NGUYỄN TRUNG HÒA

CHƯƠNG I: GIỚI THIỆU VỀ DOMAIN TRUST.

I.Giới thiệu :

Khi quản trị một hệ thống lớn gồm nhiều domain, chúng ta có nhu cầu cho cácuser có thể logon làm việc tại nhiều domain khác nhau hay truy cập dịch vụ trênmột domain bất kì mà không cần phải trực tiếp logon làm việc trên domain đó Một doanh nghiệp có 2 domain là A và domain B nằm trong 2 miền riêng biệt.Domain A có user là kt1 và file server chứa dữ liệu trong toàn công ty Domain

B có user nv1 Khi ti logon trên domain A, kt1 có thể truy cập tài nguyên trênfile server trực tiếp Còn nv1 do thuộc domain B nên không thể truy cập fileserver bên domain A Để giải quyết vấn đề ta có thể lên domain A tạo cho nv1một account nữa để nv1 cung cấp cho domain A chứng thực mỗi khi truy cậpvào file server Vậy là mỗi user bên domain B sẽ có 2 account, dẫn đến số lượngaccount phải quản lí tăng lên đáng kể Để duy trì số lượng account cho mỗi user

ở domain B như ban đầu (không cần tạo thêm bên domain A) mà các user bêndomain B vẫn có thể truy cập trực tiếp file server bên domain A thì ta phải tạo ramối liên kết giữa 2 domain, chính là trust relationship Tạo ra trust relationshipgiữa 2 domain A và domain B sẽ giúp các domain có thể thừa hưởng quá trìnhchứng thực của nhau, user nv1 có thể logon trên cả 2 domain, truy cập trực tiếpfile server trên domain A cho dù đang logon làm việc trên domain B

Trust relationship là một liên kết luận lý được thiết lập giữa các hệ thốngdomain, giúp cho cơ chế chứng thực giữa các hệ thống domain có thể được thừahưởng lẫn nhau Trust relationship giải quyết bài toán “single sign-on” - logon

trust relationship giúp đảm bảo các đối tượng (user, ứng dụng hay chương trình)được tạo ra trên một trusted domain có thể được chứng thực đăng nhập hay truycập tài nguyên, dịch vụ trên trusting domain Tuy nhiên, trên hệ thống Windows

hỗ trợ đến 6 loại trust relationship với các đặc tính và ứng dụng khác nhau Bàinày sẽ giúp các bạn hiểu hơn về đặc tính cũng như ứng dụng từng loại để triểnkhai trên hệ thống cho hợp lí

II Phân loại

Một trust relationship trên Windows Server 2003 bao gồm 3 đặc tính sau:

1.Tree/root trust

hệ thống tự thiết lập khi ta đưa thêm một tree root domain vào trong một forest

có sẵn Như hình 1, khi ta đưa tree của domain D vào forest 1 Ba đặc tính:implicitly, transitive và two-way

có thể được chứng thực trên E nhưng quá trình chứng thực phải đi qua cácdomain E – domain D – forest (root) – domain A Để rút ngắn quá trình chứngthực, ta thiết lập shortcut trust giữa domain A và domain E để quá trình có thểdiễn ra trực tiếp Ba đặc tính: explicitly, transitive và có thể là one-way hay two-way

SVTH NGUYỄN HOÀNG ANH - 4 - GVHD:TS NGUYỄN TRUNG HÒA

Tính chất transitive của shortcut trust chỉ ảnh hưởng lên những domain con của

2 domain tham gia vào liên kết Nghĩa là với shortcut trust giữa domain E vàdomain A, các đối tượng thuộc domain F và domain C cũng được rút ngắn giaiđoạn chứng thực thông qua liên kết đó Tuy nhiên, các đối tượng thuộc domain

D và forest (root) là các domain cha của domain tham gia vào liên kết sẽ khôngđược chứng thực thông qua liên kết.Shortcut trust còn được gọi là cross-linktrust

4 Realm trust

được người quản trị thiết lập giữa một hệ thống không sử dụng hệ điều hànhWindows và hệ thống domain Windows 2003 Điều kiện là hệ thống không sửdụng hệ điều hành Windows phải có giao thức chứng thực được hỗ trợ tươngthích với giao thức Kerberos v5 của Windows 2003 Loại liên kết này giúp mởrộng khả năng liên kết của Windows tới các hệ thống khác Ba đặc tính:explicitly, có thể là transitive hay non-transitive, one-way hay two-hay

5 External trust

được người quản trị thiết lập để liên kết hai domain thuộc hai forest khác nhau

để giảm bớt các bước chứng thực Như trên hình 1, nếu ta lập forest trust giữa 2forest thì domain B và domain Q vẫn có thể chứng thực các đối tượng cho nhaunhưng phải đi vòng lên forest root rồi mới qua bên đối phương Còn nếu như đãthiết lập external trust giữa domain B và domain Q thì quá trình chứng thực sẽdiễn ra trực tiếp giữa 2 domain

Ngoài công dụng trên, external trust còn hỗ trợ chức năng tương thích ngược

6 Forest trust

được người quản trị thiết lập giữa 2 forest Bắt đầu hỗ trợ từ Windows 2003 Đây

là phương pháp hữu hiệu và ngắn gọn để chứng thực cho các đối tượng thuộcdomain của cả 2 forest Trên hình 1 khi forest trust được thiết lập ở 2 forest thìcác đối tượng thuộc bất kì domain ở 1 trong 2 forest đều có khả năng đượcchứng thực trên domain của forest đối phương Ba đặc tính: explicitly, transitive

và có thể là one-way hay two-way

SVTH NGUYỄN HOÀNG ANH - 6 - GVHD:TS NGUYỄN TRUNG HÒA

CHƯƠNG II: GIỚI THIỆU WINDOWS SERVER 2003 VÀ CÀI ĐẶTCÁC

DỊCH VỤ I.WINDOWS SERVER 2003

1 Giới thiệu:

Hệ Điều Hành Windows 2000 Server có 3 phiên bản chính là: Windows

2000 Server, Windows 2000 Advanced Server, Windows 2000 DatacenterServer Với mỗi phiên bản Microsoft bổ sung các tính năng mở rộng cho từngloại dịch vụ Đến khi họ Server 2003 ra đời thì Mircosoft cũng dựa trên tínhnăng của từng phiên bản để phân loại do đó có rất nhiều phiên bản của họServer 2003 được tung ra thị trường Nhưng 4 phiên bản được sử dụng rộng rãinhất là: Windows Server 2003 Standard Edition, Enterprise Edition, DatacenterEdition, Web Edition

So với các phiên bản 2000 thì họ hệ điều hành Server phiên bản 2003 cónhững đặc tính mới sau:

- Khả năng kết chùm các Server để san sẻ tải (Network Load BalancingClusters) và cài đặt nóng RAM (hot swap)

- Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt hơn như: hiểuđược chính sách nhóm (group policy) được thiết lập trong WinXP, có bộcông cụ quản trị mạng đầy đủ các tính năng chạy trên WinXP

- Tính năng cơ bản của Mail Server được tính hợp sẵn

- Phiên bản Active Directory 1.1 ra đời cho phép chúng ta ủy quyền giữa cácgốc rừng với nhau, đồng thời việc backup dữ liệu của Active Directory cũng

Web Admin cũng ra đời giúp người dùng quản trị Server từ xa thông quamột dịch vụ Web một cách trực quan và dễ dàng

- Hỗ trợ môi trường quản trị Server thông qua dòng lệnh phong phú hơn

- WINNT32.EXE nếu là Windows 9x hoặc Windows NT

- WINNT.EXE nếu là hệ điều hành khác

2.2 Cài đặt trực tiếp từ đĩa CD Windows 2003.

Bạn chỉ cần đặt đĩa CD vào ổ đĩa và khởi động lại máy tính Lưu ý là bạnphải cấu hình CMOS Setup, chỉ định thiết bị khởi động đầu tiên là ổ đĩaCDROM Khi máy tính khởi động lên thì quá trình cài đặt tự động thi hành, sau

đó làm theo những hướng dẫn trên màn hình để cài đặt Windows 2003

2.3 Cài đặt Windows 2003 Server từ mạng.

Để có thể cài đặt theo kiểu này, bạn phải có một Server phân phối tập tin,chứa bộ nguồn cài đặt Windows 2003 Server và đã chia sẻ thư mục này Sau đótiến hành theo các bước sau:

- Khởi động máy tính định cài đặt

- Kết nối vào máy Server và truy cập vào thư mục chia sẻ chứa bộ nguồn cài đặt

- Thi hành lệnh WINNT.EXE hoặc WINNT32.EXE tuỳ theo hệ điều hành đang

sử dụng trên máy

- Thực hiện theo hướng dẫn của chương trình cài đặt

Sau đây là một số hình ảnh về quá trình cài đặt

SVTH NGUYỄN HOÀNG ANH - 8 - GVHD:TS NGUYỄN TRUNG HÒA

SVTH NGUYỄN HOÀNG ANH - 10 - GVHD:TS NGUYỄN TRUNG HÒA

ll CÀI ĐẶT CÁC DỊCH VỤ

Ở đây em sẽ cài đặt máy chủ server1(với miền:msviet.com)

1 Cài đặt và cấu hình dịch vụ Active Directory

Các bước như sau:

 Chọn menu start/run Nhập DCPROMO và ấn OK (Hoặc chọn menu start/administrative Tools/Configure Your Server Wizard, sau đó next chọn Customconfiguration Chọn Domain Controller (Active Directory) ấn Next

 Ấn Next, sẽ xuất hiện hộp thoại cảnh báo các hệ điều hành DOS, WIN95,WINNT SP3 trở về trước sẽ bị loại ra khỏi miền Active Directory

 Ấn Next, xuất hiện hộp thoại Domain Controller Type, chọn mục DomainController for a New Domain (vì ta lần đầu tiên tạo mới Domain)

 Ấn Next, hộp thoại Create New Domain xuất hiện với 3 sự lựa chọn

+ Domain in a new forest – Tạo domain đầu tiên trong một rừng mới

+ Child domain in an existing domain tree – Tạo ra domain con dựa trên mộtcây domain có sẵn

+ Domain tree in an existing forest – tạo cây domain mới trong một rừng đã cósẵn

 Ta chọn Domain in a new forest

SVTH NGUYỄN HOÀNG ANH - 12 - GVHD:TS NGUYỄN TRUNG HÒA

 Của Domain Ấn Next, hộp thoại New Domain Name xuất hiện: Nhập tênDNS đầy đủ.Ở đây ta nhập tên: MSVET.COM

 Next, hộp thoại NetBIOS Domain Name xuất hiện, giá trị mặc định là tênphần đầu của FULL DNS, có thể thay đổi bằng tên khác, ở đây ta giữ nguyên làMSVIET

 Next, hộp thoại Database and Log Locations là nơi chỉ định lưu trữdatabase Active Directory và các tập tin log

 Next, hộp thoại Shared System Volume cho phép chỉ định vị trí của thưmục SYSVOL, tất cả các dữ liệu đặt trong thư mục này sẽ được tự động sao lưusang các Domain Controller khác trong miền

 Next, hộp thoại DNS registration Diagnostics xuất hiện với các tùy chọn+ I have connected the problem Pertorm the DNS diagnistic test again – lựachọn khi đã có DNS SERVER

+ Install and configure the DNS server on this computer, and set this computer

to use this DNS server as its preferred DNS server – lựa chọn khi chưa cấu hìnhDNS server, trong khi cài đặt AD sẽ tự động cài đặt DNS server

+ I will connect the problem later by configuing DNS manually (Advance) – lựachọn khi bạn muốn cấu hình DNS bằng tay trước khi cấu hình AD

 Ta chọn lựa chọn thứ 2 vì ta chưa cấu hình DNS server

SVTH NGUYỄN HOÀNG ANH - 14 - GVHD:TS NGUYỄN TRUNG HÒA

 Next, xuất hiện hộp thoại Permissions, có các lựa chọn

+ Permission Compatible with pre-Windows 2000 servers – lựa chọn khi hệ thống

có các Server phiên bản trước windows 2000

+ Permissions compatible only with windows 2000 server or Windows Server

2003 – lựa chọn khi hệ thống chỉ có các Windows Server 2000 và WindowsServer 2003

 Vậy ta chọn mục 2

 Next, hộp thoại Directory Services Restore Mode AdministratorPassword: nơi chỉ định mật khẩu dùng trong trường hợp Server phải khởi độngvào chế độ Directory Services Restore Mode

 Next, hộp thoại Summary xuất hiện, tất cả thông tin được tập hợp lại, ấnnext để bắt đầu cài đặt

 Kết thúc cài đặt và khởi động lại server

2 Cài đặt dịch vụ DNS:

Trong quá trình cài đặt Active Directory ta đã tự động cài đặt DNS

 Cấp địa chỉ tĩnh cho Server

SVTH NGUYỄN HOÀNG ANH - 16 - GVHD:TS NGUYỄN TRUNG HÒA

 Khởi chạy DNS menu start/ Administrative Tools/ DNS

 Hộp thoại dnsmgmt xuất hiện, có 3 mục

+ Forward Look Zones: Chứa tất cả các zone thuận (Phân giải tên máy thành địachỉ IP) của dịch vụ DNS, zone này được lưu lại tại máy DNS Server

+ Reverse Lookup Zones: Chứa tất cả các zone nghịch (phân giải địa chỉ IPthành tên máy) của dịch vụ DNS, zone này được lưu tại máy DNS Server

+ Event Viewer: Theo dõi các sự kiện nhật ký của dịch vụ DNS

 Quá trình tạo Active Directory ta đã tạo zone thuận, bây giờ ta tạo

 Next, trong hộp thoại Active Directory Zone Replication Scope chọn Toall domain controllers in the Active Directory domain msviet.com

 Next, hộp thoại Reverse Lookup Zone Name chọn Network ID đánh dãyđịa chỉ: 172.16.0

SVTH NGUYỄN HOÀNG ANH - 18 - GVHD:TS NGUYỄN TRUNG HÒA

 Next, trong hộp thoại Dynamic Update ta chọn Allow only securedynamic updates

 Đánh vào màn hình dos dòng lệnh thực thi DNS: ipconfig /registerDNS đểcập nhật động DNS

Kiểm tra hoạt động của DNS ta gõ : Nslookup

Sau khi đã cấu hình xong AD và DNS cho máy server thì ta tạo một máyclient với :

IP Address:172.16.0.3

Subnet mask:255.255.255.0

Defaut gateway:172.16.0.254

Preferred DNS Server:172.16.0.1

để join vào domain ta vừa thiết lập

3 Tạo User Profile và Home Foder cho các User trên server

 Tạo một thư mục trên một phân vùng trên máy chủ và chia sẻ thư mục đó,đặt quyền NTFS và Share Permission cho thư mục đó Full Control với

SVTH NGUYỄN HOÀNG ANH - 20 - GVHD:TS NGUYỄN TRUNG HÒA

 Mở snap-in Active Directory User and Computer và chọn một OU

 Ở cửa sổ bên phải chọn tất cả các User có trong đó chuột phải chọnproperties

 Tại cửa sổ properties chọn tab Profile, tích vào mục chọn Profile path,tại ô này đánh địa chỉ tương đối đến thư mục chúng ta vừa chia sẻ, đằng sauđường dẫn đó chúng ta đánh vào câu lệnh %usersname% Câu lệnh này chophép hệ thống tự động nhận tên logon của các User Profile đó

 Tích chọn vào mục Home Folder, chọn dòng Connect, bên cạnh là mụcchọn tên ổ đĩa mạng hiển thị trên các máy client của User mỗi khi user đăngnhập Ở dòng To là địa chỉ đường dẫn tới thư mục Home folder mà chúng tạocho

 User trên Server, chúng ta đánh đường dẫn vào ô này và ấn Ok Để tiệncho việc quản lý các User Profile và Home Folder thì chúng ta cần đặt Userprofile và Home folder vào cùng một thư mục chia sẻ trên server để dễ dànghơn trong việc chỉnh sửa User Profile và thiết đặt hạn nghạch đĩa (disk quota)cho các user trong mạng