PHẦN III: TRIỂN KHAI READ-ONLY DOMAIN CONTROLLER, READ-ONLY DNS SERVER VÀ ACTIVE DIRECTORY SITE
I. Giới thiệu
Giả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)
Hiện nay hệ thống mạng tại trụ sở chính đang được quản lý theo mô hình Active Directory với domain MSOpenLab.com, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain MSOpenLab.com nên bạn đã join các máy ở Hà Nội vào domain.
Trong trường hợp này để việc chứng thực cho hệ thống ở Hà Nội ổn định, ta cần cấu hình thêm một máy Domain Controller (Global Catalog Server) ở Hà Nội, nhưng vì chi nhánh Hà Nội không có bộ phận IT và không đảm bảo bảo mật cho Domain Controller nên ta chỉ muốn Domain Controller ở Hà Nội lưu trữ password và chỉ chứng thực cho các user account của hệ thống Hà Nội. Để giải quyết được nhu cầu này ta sẽ triển khai một Read-Only Domain Controller ở Hà Nội (Read-Only Domain Controller là một chức năng mới trên Windows Server 2008)
Và để thuận tiện cho việc chứng thực giữa 2 hệ thống này (user sẽ đuợc chứng thực bằng Global Catalog Server gần nhất) nên ta sẽ chia hệ thống thành 2 site HCM và HANOI.
Bộ bài viết bao gồm các phần
Phần I: Tổng quan vàcài đặt Active Directory Domain Service (AD DS)
Phần II: Triển khai nhiều Server chạy song song (DC, DNS, File server)
Phần III: Triển khai Read-Only Domain Controller, Read-Only DNS Zones và Active Directory Site
Phần IV: Triển khai Group Policy Object (GPO)
PhầnV: Backup & Restore Active Directory
Phần VI: Triển khai nhiều Domain (Multiple Domain)
Phần III bao gồm các bước:
1. Thực hiện chia Site
2. Nâng cấp Read-Only Domain Controller và cài đặt Read-Only DNS Server
3. Kiểm tra Read-Only Domain Controller, Read-Only DNS Server, Site
4. Cấu hình Password Replication Policy
5. Kiểm tra Password Replication Policy
6. Kiểm tra kết quả
II. Chuẩn bị
- Mô hình bài lab như phần I, trong phần này sử dụng các máy Server1, Server2, và WS2
- Cấu hình TCP/IP cho các máy như trong bảng sau:
Server1
Server3
WS3
IP Address:192.168.10.100
Subnet Mask: 255.255.255.0
Gateway: 192.168.10.200
DNS: 192.168.10.100
IP Address:172.16.1.1
Subnet Mask: 255.255.255.0
Gateway: 172.16.1.200
DNS: 192.168.10.100
IP Address:172.16.1.2
Subnet Mask: 255.255.255.0
Gateway: 172.16.1.200
DNS: 192.168.10.100
DNS: 172.16.1.1
- Để các máy của 2 hệ thống HCM và HANOI liên lạc được với nhau, trên thực tế ta có thể sử dụng đường Lease Line, Frame Relay…., hoặc cấu hình VPN Site-to-Site.
- Để thực hiện phần III yêu cầu các bạn phải thực hiện hoàn tất phần I
- Tại máy Server1, tạo thêm 1 Reverse Lookup Zones 172.16.1
- Lần lượt Join Server3 và WS2 vào domain MSOpenLab.com
- Tạo các Object như trong bảng:
OU
Group
User
HCM
HCMGroup
U1/P@ssword và U2/P@ssword
HN
HNGroup
T1/P@ssword và T2/P@ssword
- User U1 và U2 làm thành viên của HCMGroup
- User T1 và T2 làm thành viên của HNGroup
III. Thực hiện
1. Thực hiện chia Site
- Trên
Server1, log on
MSOpenLab\Administrator
- Mở
Active Directory Sites and Services từ Administrative Tools, bung
Site, chuột phải
Default-First-Site-Name chọn
Rename
- Đổi tên Default-First-Site-Name thành
HCM
- Trong cửa sổ
Active Directory Sites and Services, chuột phải
Site, chọn
New, chọn
Site
- Trong hộp thoại
New Object-Site, nhập
HANOI vào ô
Name, chọn
DEFAULTIPSITELINK, chọn
OK
- Hộp thoại thông báo
Active Directory Sites and Services, chọn
OK
- Trong cửa sổ
Active Directory Sites and Services, bung
Site, chuột phải
Subnets, chọn
New, chọn
Subnet
- Trong hộp thoại
New Object-Subnet nhập
192.168.10.0/24 vào ô
Prefix, chọn
HCM, chọn
OK
- Trong cửa sổ
Active Directory Sites and Services, chuột phải
Subnets, chọn
New, chọn
Subnet
- Trong hộp thoại
New Object-Subnet nhập
172.16.1.0/24 vào ô
Prefix, chọn
HANOI, chọn
OK
- Trong cửa sổ
Active Directory Sites and Services, kiểm tra đã có 2 site
HCM,
HN và 2 subnet tương ứng.
2. Nâng cấp Read-Only Domain Controller và cài đặt Read-Only DNS Server
- Tại
Server3, log on
MSOpnenLab\Administrator
- Vào
Start\Run, gõ lệnh
dcpromo
- Trong hộp thoại
Welcome to the Active Directory Domain Services Installation Wizard, đánh dấu chọn ô
Use advanced mode installation, chọn
Next.
- Hộp thoại
Operating System Compatibility, chọn
Next
- Trong hộp thoại
Choose a Deployment Configuration, chọn
Existing forest, chọn
Add a domain controller to an existing domain, chọn
Next
- Hộp thoại
Network Credentials, giữ cấu hình mặc định, chọn
Next
- Hộp thoại
Select a Domain, chọn
Next
- Trong hộp thoại
Select a Site, chọn site
HANOI, chọn
Next
- Trong hộp thoại
Additional Domain Controller Option, đánh dấu chọn cả 3 ô
DNS server, Global Catalog, Read-only domain controller (
cài đặt Read-only DNS Server, cấu hình Server3 làm Global Catalog Serve và nâng cấp Read-only domain controller), chọn
Next
- Hộp thoại
Specify the Password Replication Policy, chọn
Next
- Trong hộp thoại
Delegation of RODC Installation and Administration, chọn
Set, add user
T1 vào ô
Group or user (
ủy quyền cho T1 quản lý RODC), chọn
Next
- Hộp thoại
Install from Media, giữ cấu hình mặc định, chọn
Next
- Trong hộp thoại
Source Domain Controller, chọn
Use this specific domain controller, chọn
Server1 (PCxx.MSOpenLab.com), chọn
Next
- Hộp thoại
Location for Database,
Log Files, and SYSVOL, giữ nguyên đường dẫn mặc định, chọn
Next
- Hộp thoại
Directory Services Restore Mode Administrator Password, nhập
P@ssword vào ô
Password và
Confirm password, chọn
Next
- Trong hộp thoại
Summary, chọn
Next
- Trong hộp thoại
Active Directory Domain Services Installation Wizard, đánh dấu chọn
Reboot on completion. Sau khi quá trình nâng cấp hoàn tất, máy
Server3 sẽ tự động restart
3. Kiểm tra Read-Only Domain Controller, Read-Only DNS Server, Site
- Tại máy
Server3, sau khi khởi động, log on
MSOpenLab\Administrator, mở
Active Directory Users and Computers, vào OU
Domain Controllers, kiểm tra
Server3 là
Read-Only Domain Controller
- Mở
DNS Manager từ Administrative Tools, bung
Server3\Forward Lookup Zones\MSOpenLab.com\sites\HANOI\tcp, kiểm tra Server3 là Global Catalog Server của site HANOI.
- Kiểm tra trên Server3 không tạo được DNS record mới vì Server3 là Read-Only DNS Server
- Mở
Active Directory Sites and Services, bung
Sites\HANOI\Servers, kiểm tra có
Server3
4. Cấu hình Password Replication Policy
- Tại
Server3, mở
Active Directory Users and Computers, vào OU
Domain Controllers, chuột phải
Server3, chọn
Properties
- Trong hộp thoại
Server3 Properties, qua tab
Password Replication Policy, chọn
Add
- Hộp thoại
Add Groups, Users and Computers, chọn
Allow passwords for the account to replicate to this RODC, chọn
OK
- Hộp thoại
Select Users, Computers, or Groups, add group
HNGroup vào ô
Enter the object name to select, chọn
OK
- Hộp thoại
Server3 Properties, kiểm tra có
HNGroup, chọn
OK
5. Kiểm tra Password Replication Policy
- Trên máy
WS2, log on lần lượt các user
MSOpenLab\T1 và
MSOpenLab\T2 (
mục đích là để lưu password của user T1 và T2 vào Read-Only Domain Controller)
- Trên máy
Server3, mở
Active Directory Users and Computers, bung
MSOpenLab.com\Domain Controllers, chuột phải
Server3 chọn
Properties
- Hộp thoại
Server3 Properties, chọn
Advanced
- Trong hộp thoại
Advanced Password Replication Policy for
SERVER3, kiểm tra đã có user
t1 và
t2
6. Kiểm tra kết quả
- Tắt router kết nối site
HCM và
HANOI
- Đảm bảo máy
Server3 và
WS2 không liên lạc được với
Server1
- Trên máy
WS2, log on lần lượt
MSOpenLab\t1 và
MSOpenlab\t2, kiểm tra log on thành công
- Trên máy
WS2, log on lần lượt
MSOpenlab\u1 và
MSOpenlab\u2, kiểm tra log on không thành công (
password của u1 và u2 không lưu trên Read-Only Domain Controller)
Theo: Trần Thủy Hoàng (Msopenlab)