Triển khai hệ thống domain trên windows server 2003 Active Directory

Converted to pdf by tech24.vn Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active Directory Mơ Hình Hệ Thống Trên Windows Server 2000/2003 I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các ðối Tượng Bằng Dịng Lệnh Windows Server 2003 là hệ điều hành mạng hịan thiện nhất hiện nay, chúng ta cĩ thể dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và người dùng cho một cơng ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng… Nếu như Windows Server 2003 cĩ thể xem như nhà quản trị tài ba của hệ thống mạng thì Active Directory chính là trái tim của nĩ, hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user, computer, group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm sốt truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và cĩ thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vĩi những quyền hạn hợp lệ. Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ cơng việc quản lý và nâng cao hiệu quả hoạt động, những cơng việc mà hầu như khơng thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán Converted to pdf by tech24.vn thì giờ đây chúng ta cĩ thể tiến hành một cách dễ dàng thơng qua mơ hình quản lý tập trung như đưa ra các chính sách chung cho tồn bộ hệ thống nhưng đồng thời cĩ thể ủy quyền quản trị để phân chia khả năng quản lý trong một mơi trường rộng lớn. Những Thành Phần Chính Của Hệ Thống Active Directory User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ cĩ một số tài khoản built-in được tạo ra như Administrator là ngừơi cĩ tồn quyền quản trị hệ thống, backup operator là nhĩm và người dùng cĩ khả năng backup và restore dữ liệu của hệ thống mà khơng cần những quyền hạn hợp lệ đơi với những dữ liệu này. Tuy nhiên để các nhân viên trong một tổ chức cĩ thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi administrator để log-in và domain. Và truy cập dữ liệu trên file server hay các dịch vụ khác.. Group: là một tập hợp của những ngừơi dùng cĩ những đặc tính chung, ví dụ các nhân viên của một phịng ban sale cĩ quyền truy cập lên folder sales trên file server hoặc chúng ta muốn các nhân viên của cơng ty đều cĩ quyền in đối với laser printer, chúng ta nên tạo group printing và gán quyền in trên laser printer sau đĩ add tất cả các nhân viên của cơng ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ khơng hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao tác chung, mặc định tất cả các user được tạo ra đều thuộc group này). OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì chúng ta khảo sát hệ thống cĩ bao nhiêu đon vị tổ chức như cĩ bao nhiêu phịng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí như phịng ban Sales sẽ cĩ một OU Sales và trong OU này chứa group sales, group sales sẽ bao gồm tất cả những thành viên của phịng ban sale, và những user này cũng được đặt trong OU Sales cùng với group sales. Như vậy chúng ta cần phải phân biệt rõ group sales và OU Sales, giữa chúng cĩ những khác biệt cơ bản là OU được dùng để quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phịng ban sales trong mơi trường thật được cài đât tự động MS OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU. Nhưng rõ ràng chúng ta khơng thể quản lý về quyền hạn truy cập Converted to pdf by tech24.vn của các user này bằng OU, chính vì vậy chúng ta cần phải tạo ra các group và gán quyền thơng qua những group này. ðĩ là những khác biệt cơ bản nhất mà chúng ta cần phân biệt. Trên đây là 3 đối tượng cơ bản của hệ thống active directory, ngồi ra cịn cĩ những thành phần khác như group plicy, site, trusting, global catalog, fsmo..sẽ được trình bày ở những phần tiếp theo. Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một số lưu ý chúng ta cần quan tâm là: - Cần cĩ ít nhất 2 domain controler là Primary (PDC) và cái cịn lại dùng là Backup (BDC) để đáp ứng chức năng load balancing và faultolerant, nếu hệ thống chỉ cĩ một domain controler duy nhất thì phải backup các system state data của Active Directory cẩn thận theo các mức chuẩn (baseline) để cĩ thể phục hồi khi cĩ sữ cố xảy ra hay dùng cho migration (di trú) qua một máy khác khi PDC bị hư hỏng đột xuất. - Hệ thống Active Directory sử dụng DNS cho quá trình phần giải tên các dịch vụ và những thành viên của chúng, vì vậy bắt buộc phải cĩ DNS hợp lệ để Active Directory họat động chính xác, tên của Domain là gì?Thơng thường khi cài đặt active directory cĩ thể chọn cài tích hợp dịch vụ DNS, trong trường hợp đã cĩ sẳn máy chủ DNS thì phải khai báo địa chỉ của dịch vụ này trong phần Prefered DNS và tên của domain là tên của tổ chức như tcdescon.com, security365.org.. - Cần phải khảo sát tổ chức cĩ bao nhiêu thành viên (người dùng) tương ứng với số lượng account được tạo trong Acitve Directory, cĩ bao nhiêu bộ phận, phịng ban để tạo ra các OU và Group tương ứng, ngịai ra chúng ta cần xem xét các quyền hạn sử dụng của các đối tượng, khả năng đáp ứng.. để từ đĩ đưa ra một bản phác thảo đầy đủ cho hệ thống Domain Controller của mình. ðể thực hiện bài Lab này, cần cĩ các máy tính với cấu hình TCP/IP như hình dưới đây, trong đĩ DC1 là Primay Domain Controller với hệ thống Backup (Secondary Domain Controller) là DC2 tất cả đều sử dụng Windows Server 2003. Client1 cĩ thể dùng Windows XP hoặc Windows 2000. Converted to pdf by tech24.vn Hệ Thống Domain Controler Và ðịa Chỉ IP (Click vào ảnh để phĩng to) 1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương pháp Unattend ðể thăng cấp một Windows Server 2003 Standalone lên thành Domain Controller chúng ta sử dụng lệnh dcpromo và sau đĩ cung cấp đầy đủ tên domain, vai trị và vị trí cài đặt..Trong phần này các bạn hãy log-in vào DC1 bằng tài khỏan Administrator và tạo tập tin như đưới đây, hãy thay tên domain security365 bằng tên domain của bạn cũng như các thơng tin về Password hay SafeModeAdminPassword tương ứng , các bạn cĩ thể chọn cài cùng lúc DNS bằng cách xác định AutoConfigDNS = Yes, nếu muốn hệ thống reboot lại sau khi cài đặt hãy đặt giá trị RebootOnSuccess = Yes [DCInstall] RebootOnSuccess = No DatabasePath = %SYSTEMROOT%\NTDS LogPath = %SYSTEMROOT%\NTDS SysVolPath = %SYSTEMROOT%\Sysvol UserName = administrator Password = Password ReplicaorNewDomain = Domain TreeOrChild = Tree CreateOrJoin = Create NewDomainDNSName = security365.org DNSOnNetwork = No DomainNetBiosName = SECURITY365 AllowAnonymousAccess = No AutoConfigDNS = Yes SiteName = Default-First-Site-Name Converted to pdf by tech24.vn SafeModeAdminPassword = netmanager Lưu tập tin trong ở C:\ với tên là dcinfo.txt Sau đĩ chạy lệnh dcpromo /answer:C:\dcinfo.txt Restart lại hệ thống khi tiến trình cài đặt hịan tất, tiêp theo chúng ta cần tạo ra những tài khỏan người dùng cùng với những Group, OU tương ứng theo các phịng ban như hình sau đây dựa trên mơ hình thực tế của cơng ty cĩ 2 chi nhánh CA và NC, mỗi chi nhánh cĩ các bộ phận Marketing, Accountign và Sales. 2- Tạo cấu trúc OU với dsadd ou: Cĩ nhiều cách để tạo ra các đối tượng trên Active Directory như OU, Group, User..Các bạn cĩ thể dùng giao diện đồ họa Active Directory Users and Computers console sau đĩ click chuột phải vào Domain Name (ví dụ security365.com) và chọn những thao tác tương ứng. Ở đây chúng ta sử Converted to pdf by tech24.vn dụng một phương pháp ít thơng dụng hơn dựa trên dịng lệnh, điều này sẽ rất thuận tiện khi muốn xây dựng hệ thống một cách tự động. ðể tạo một OU mới hãy sử dụng dịng lệnh dsadd ou: Dsadd ou “OU=NC,DC=security365,DC=com” Dsadd ou “OU=CA,DC=security365,DC=com” Dsadd ou “OU=Marketing,OU=NC,DC=security365,DC=com” Dsadd ou “OU=Accounting,OU=NC,DC=security365,DC=com” Dsadd ou “OU=Sales,OU=NC,DC=security365,DC=com” Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com” Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com” Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com” Cĩ thể dùng tập tin bat để tiến hành tự dộng quá trình trên, với OU là tên của OU được tạo, DC là tên của domain lưu ý nên tạo tuần tự các bước. 3. Tạo User Với dsadd user: Chúng ta cĩ thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ tạo ra tài khỏan cho Nguyen Tran Duy Vinh thuộc phịng ban Sales : - tên đăng nhập vinhndt, mật mã đăng nhập 123qwe!@# - thuộc bộ OU Sales - first name là nguyen tran duy - last name là vinh - tên upn là ntdvinh@security365.com - để tài khỏan cĩ thể sử dụng được ngay hãy đặt –disable no dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com” –upn vinhndt@security365.com –fn nguyen tran duy –ln vinh –pwd 123qwe!@# –disabled no 3.Tạo Group với dsadd group: Các user trong mỗi phịng ban thường cĩ những đặc tínhchung như quyền hạn truy cập vào tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy in…Vì vậy hãy tạo ra các nhĩm người dùng (Group) sau đĩ add những user vào. Chúng ta cĩ thể thực hiện điều này với dịng lệnh dsadd group. Ví dụ sau đây sẽ tạo một gourp cĩ tênlà Consultants (CN) trong OU Marketing của domain Security365.Com, group type là security và group scope là global. Converted to pdf by tech24.vn Dsadd group “CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com” –secgrp yes –scope g Ghi Chú: Cĩ hai lọai group trong active directory là security và distribution. Hầu hết các group chúng ta tạo ra và sử dụng đề thuộc lọai security goup. Distribution group chỉ được dùng cho quá trình họat động của các ứng dụng như Exchange Server, và các bạn khơng thê gán quyền truy cập đối với lọai group này. Ngịai ra các group đươc chia làm 3 lọai group scope là Global, Universal và Local. Với Local Group các thành viên chỉ cĩ thể truy cập những tài nguyên trên domain nội bộ. Khi hệ thống cĩ nhiều domain, để user cĩ thể truy cập tà nguyên ở các domain khác thì chúng phải là thành viên của Global hay Universal Group. 4.Add User vào Group Với Dsmod: ðể Add User Nguyen Tran Cat Vinh là thành viên của group Consultant trong OU Marketing (là OU con của CA) cho domain Security365.Com ta sử dụng lệnh sau : Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com” – addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC=com” Trong những trường hợp quản trị từ xa hay cần tạo ra nhiều đối tượng cùng lúc cho hệ thống cách tốt nhất là sử dụng các tiện ích dịng lệnh. Cách thức quản trị Active Directory thơng qua giao diện đồ họa như Active Directory Users and Computer các bạn cĩ thể tham khảo ở trang web www.microsoft.com, mọi thắc mắc gởi đến mục HelpDesk trang web www.security365.org, Cơng ty Giải Pháp An Tịan. II – Join Máy Tính Client1 Vơ Domain Sau khi cài đặt và cấu hình xong hệ thống Active Directory chúng ta cần join các clien vào domain để cĩ thể quản lý, cấp quyền truy cập, sử dụng tài nguyên cho người sử dụng. Hãy log-in vào Client1 với quyền Administrator và click chuột phải vào My Computer chọn Properties: Trên tab Computer (Network Identification) hãy nhấn Change hoặc Properties tùy thuộc vào hệ điều hành Client1 sử dụng là Windows XP hay Windows 2000Tiếp theo và nhập vào thơng tin sau: Converted to pdf by tech24.vn Nhấn OK, một hộp thọai yêu cầu thơng tin Username & Password sẽ hiển thị, hãy nhập vào tài khỏan hợp lệ ví dụ Administrator và nhấn OK để hịan tất quá trình join domain. III – Cài ðặt Secondary Domain Controler: ðối với các hệ thống mạng lớn cĩ nhiều user, chúng ta nên triển khai thêm các secondary domain controler (hay cịn gọi là Backup Domain Controler- BDC) để tăng cường khả năng đáp ứng yêu cầu truy cập của user và khi primary domain controler gặp phải những sự cố thì hệ thống vẫn cĩ thể họat động bình thường nhờ vào secondary domain controler này, ngịai ra chúng ta cịn cĩ thể phục hồi cơ sở dữ liệu của Active Directory trên PDC. Cả hai hệ thống Domain Controler này đề chứa cùng một cơ sở dữ liệu của domain như user, group policy, ou…và khi dữ liệu trên một domain controller này thay đổi sẽ được tự động replicate (sao chép) sang những domain controler cịn lại, tiến trình này diễn ra hịan tịan tự động do dịch vụ KCC (knowledge consistent checker) của hệ thống đảm nhiệm. Tuy nhiên trong những trường hợp đặc biệt các bạn cĩ thể tiến hành replicate ngay lập tức. Sau đây là các bước xây dựng secondary domain controller: Converted to pdf by tech24.vn Join máy tính DC2 vào domain và log-in bằng tài khỏan Administrator. Mở Start - > Run và chạy lệnh dcpromo Trên màn hình cài đặt tiếp theo chúng ta chọn mục Additional domain controller for an existing domain và nhấn Next. Ở cữa sổ Network Credential hãy nhập vào tài khỏan Administrator, Password của domain và chọn Next: Tiếp theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary domain controller (trong ơ additional domain controller). Tên này sẽ tự hiển thị nếu như DC2 là thành viên của Domain. Nếu các bạn tiến hành thăng cấp khơng qua bước join DC2 vơ domain thì phải nhập tên Domain đầy đủ như security365.com. Một điều cần lưu ý là phải cấu hình địa chỉ DNS cho domain trong phần Prefered DNS, vì đa số các sự cố và lỗi khi thăng cấp một secondary domain controller cũng như trong qua trình họat động của Active Directory đều liên quan đến việc cấu hình địa chỉ DNS server khơng chính xác làm cho quá trình phân giải tên các máy chủ và các dịch vụ khơng tiến hành được. Sau đĩ hãy chấp nhận giá trị mặc định về vị trí cài đặt, lưu trữ database của active directory cũng như sysvol folder. Nếu muốn thay đổi các thơng số này sau khi cài đặt hãy dùng cơng cụ NTDSUTIL. Converted to pdf by tech24.vn Cuối cùng một bảng tĩm tắt các thơng tin của secondary domain controller hiển thị, hãy kiểm tar lại và nhấn Next để tiến trình cài đặt diễn ra, sau khi hịan tất hãy restart lại hệ thống DC2. Như vậy chúng ta đã xây dựng xong hệ thống active directory cho domain security365.com với một primary và một secondary domain controler, lúc này các máy tính client trên hệ thống cĩ thể join domain với những tài khỏan hợp lệ để thực hiện cơng việc của mình.