MCSA 2012 Domain Network

Tiếp theo seri “Tự học MCSA”, chúng ta sẽ cùng tự học bài “Domain Network”.

Chuẩn bị:

Server: 2012may1, 2012may2 (hoặc 1 client chạy window 8). Đặt IP cho 2 máy.

Khi xây dựng 1 hệ thống mạng, quản lý các đối tượng, ta có thể chọn hệ thống mạng Workgroup hoặc Domain (Để nhận biết máy tính đang tham gia mạng Workgroup hay Domain ta vào: run -> sysdm.cpl: nếu có Workgroup thì đang tham gia mạng workgroup).

Mạng workgroup:   sử dụng khi số máy tính trong hệ thống máy nhỏ, các PC độc lập với nhau (local computer), tài nguyên trên PC nào thì PC đó tự quản lý. Mạng workgroup chỉ tồn tại 1 loại user là local user, local user chỉ có thể log-on, truy cập tài nguyên trên local computer đó.

Ưu điểm của loại này là chi phí thấp. Chỉ cần máy tính, cable, switch là có thể xây dựng mạng workgroup.

Mạng Domain (domain network) sử dụng khi số máy nhiều.

Ưu điểm quản lý tập trung các dịch vụ, đối tượng. Nhưng  tốn chi phí  vì cần ít nhất 1 máy làm Domain Controller (DC). Các máy tính client  tham gia vào domain thì gọi là workstation (domain member).

Một máy tính khi cài đặt dịch vụ Active Directory (AD) thì sẽ trở thành DC, DC lưu trữ AD Database đảm nhiệm chức năng:

– Quản lý tập trung hệ thống (user được tạo trong AD databse có thể log on bất cứ máy nào trong mạng domain, truy cập tài nguyên mà không cần tạo user trên workstation như mạng workgroup).

– Chứng thực user log on, truy cập tài nguyên trong hệ thống (mạng workgroup thì user chứng thực ngay trên local).

– Triển khai Policy tác động lên user, computer trong hệ thống domain (mạng workgroup thì phải thiết lập policy trên từng máy).

– Triển khai ứng dụng tự động cho user (thay vì đến từng máy cài). 

Xây dựng mạng Domain:

Đầu tiên ta phải nâng cấp DC ( xây dựng Domain Controller)

Điều kiện:

– Phải là phiên bản HDH Server. (trừ phiên bản Web)

– Tồn tại 1 card mạng online (có kết nối, nếu không có card online thì ta dùng card Loopback của Mirosoft).

– Tồn tại DNS server (điều kiện này thì có trước hay sau cũng được, Windows có thể tự xây dựng trong quá trình nâng cấp DC)

Bước 1: Chỉnh prefer DNS về chính máy DC (hoặc về DNS server), để truy cập tài nguyên, quản lý các đối tượng bằng tên.

Bước 2: Cài đặt dịch vụ Active Directory Domain Services (ADDS) và cấu hình AD.

Thực hiện:

Trên Server: 2012may1 vào run -> ncpa.cpl để prefer DNS, do hệ thống không có DNS nên sẽ prefer về chính máy 2012may1.

Prefer DNS

Trên các HDH cũ như 2003, 2008 thì ta cần đánh lệnh dcpromo để nâng cấp, thì khi đánh lệnh này thì Windows sẽ tự động cài dịch vụ ADDS, chúng ta chỉ cần nâng cấp máy thành DC.

Từ 2012 thì ta phải tự cài ADDS và sau đó mới nâng cấp.

Mở Server Manager

Server manager

Menu Manage (bên phải) chọn Add Roles and Features.

Ở giao diện Add Roles and Features ta  Next 3 lần.

Server Roles: check vào Active Directory Domain Services

Xuất hiện bảng yêu cầu add thêm các feature cần thiết -> Add feature ->Next

Add Roles and Features

Ta Next mặc định và Install

Add Role ADDS

Add Role ADDS

Sau khi cài đặt ADDS xong, ta tiếp tục nâng cấp DC

Nâng cấp DC

Ta có thể nâng cấp  bằng cách click vào dòng ” Promote this server to a domain controller ” hoặc nhấn vào “tam giác màu vàng” ở Server Manager rồi chọn ” Promote ….”

Xuất hiện giao diện nâng cấp DC

Deployment Configuration

Deployment Configuration: Có các tùy chọn sau

– Add a domain controller to existing domain: thêm 1 DC vào domain có sẵn (nâng cấp Additional DC)

– Add a new domain to an existing forest: thêm domain vào forest có sẵn

– Add a new forest: xây dựng 1 forest ngay từ đầu (các khái niệm về forest v.v sẽ được đề cập sau).

Do ta đang làm hành động xây dựng DC trên forest đầu tiên nên chọn Add a new forest: ” tuhocmang.local “.

Nguyên tắc đặt tên domain là

+ Không nên đặt trùng với tên website, nên đặt .local như mình.

+ Chỉ chứa các kí tự a->z, A->Z, -,0->9.

-> Next

Domain Controller Option:

Domain Controller Options

Mỗi domain đều có functional level (FL), phiên bản server là 2012 nhưng windows vẫn cho ta chọn các FL là các HDH đời cũ như 2003, 2008, 2008R2.

Nếu chọn FL đời mới thì ta có thể sử dụng các tính năng mới mà các HDH cũ không có (tính năng DFS trên 2008 mà 2003 không có). Nhưng nếu trong hệ thống có các server sử dụng HDH cũ như 2008 làm DC thì có thể các server HDH mới làm DC  không thể giao tiếp với các server sử dụng HDH cũ.

Nếu để FL thấp thì ta có thể dùng tính năng ” raise functional level” để nâng lên FL cao nhưng các FL  cao thì không thể xuống FL thấp được.

Hạ tầng có sẵn DNS server rồi thì không cần check vào Domain Name System (DNS). Không có thì check vào dịch vụ DNS sẽ được cài trên máy DC.

Global Catalog (GC), RODC sẽ đề cập ở bài sau.

DSRM passwors: password này được dùng cho quá trình restore lại AD Database.

-> Next mặc định đến phần:

Paths: nơi lưu trữ AD Database ( ta nên để Database ở các ổ đĩa cấu hình RAID1,5 hoặc SAN để an toàn)

Paths

-> Next (phần NETBIOS name: hệ thống sẽ lấy 15 kí tự trước dấu “.” để làm NetBios name. Ta để mặc định hoặc chỉnh sửa tùy nhu cầu) và Install.

Sau khi nâng cấp xong Windows sẽ yêu cầu Restart

Đây là màn hình đăng nhập sau khi nâng cấp Domain

Log-on

Vào sysdm.cpl

sysdm.cpl

Lưu ý: máy DC không còn tồn tại local user, chỉ còn domain user (vào compmgmt.msc sẽ không còn local user and group). Các local uer ta đã tạo thì tự động chuyển sang domain user.

Để quản lý các đối tượng trong Domain ta sử dụng công cụ: Active Directory Users and Computers (ADUC)

Có 2 cách để mở ADUC

1/ Start -> run -> dsa.msc

2/ Mở Server ->  Tools -> Active Directory Users and Computers

ADUC

Các Container như Built-in, Computers, USers v.v làm nhiệm vụ chứa các đối tượng trong domain.Container Computer chứa các máy gia nhập domain, Container Users chứa các đối tượng là user.

Còn Domain Controllers là OU ( Organization Unit). Ta có thể tạo thêm các OU, OU cũng như Container  dùng để chứa các đối tượng nhưng có thêm khả năng quản lý các đối tượng bên trong (vi dụ: áp đặt policy vào các đối tượng trong OU v.v).

Ta tạo thử 1 đối tượng: chọn Users -> New User

Create User

Create User KT1

Tạo user KT1

User log on name ( dùng để đăng nhập) có 2 kiểu log on:

+ UPN (user principal name) có dạng <user name>@<domain name>. VD: KT1@tuhocmang.local

+ Pre-Windows 2000: <NetBios name>\<user name>.

VD: tuhocmang\KT1. Đây là kiểu log on cũ, dành để tương thích với những máy tính trước windows 2000 (98, v.v). HDH mới thì dùng kiểu nào cũng hiểu hết.

Password: Domain yêu cầu phải password phức tạp.

Để chỉnh lại password ta chỉnh lại policy. Trong môi trường domain tồn tại công cụ Group Policy Management (phần này chỉ nói cách chỉnh policy về password, sẽ có phần chuyên sâu về Group Policy Management).

Start -> run -> gpmc.msc hoặc vào Server Manager -> Tools -> Group Policy Management.

GPM

Ta bung Domains -> tuhocmang.local -> Group Policy Objects: xuất hiện 2 policy tồn tại mặc định trên domain là

– Default Domain Controller và Default Domain Policy.

Những tùy chỉnh trong Default Domain Policy sẽ tác động lên toàn domain => chỉnh password policy thì dùng cái này.

Phải chuột Default Domain Policy -> Edit

Policies -> Windows setting -> Security Setting -> Account Policies -> Password Policies 

Password Policy

Sau khi nâng cấp DC thì mặc định Policy cấm các user thường log on vào máy DC. Ta muốn user log on vào máy DC thì phải chỉnh lại Policy.

Chọn Default Domain Controller Policy (policy này chỉ tác động lên DC) -> Edit

Policies -> Windows setting -> Security Setting -> Local Policies -> User Right Assignment

-> Allow log on locally

Allow log on locally

Add Group: Users vào.

Sau đó: gpupdate /force để cập nhật. 

Sau khi có DC, thì ta phải join các client computer vào Domain

Điều kiện Join:

– Có 1 NIC online

– Hệ DH tối thiểu Win 98 (HDH server và client đều có thể join domain)

Bước 1: Khai báo Prefer DNS về máy chủ DNS Server (ở bài  này DNS được tích hợp vào trong DC nên chỉnh về IP của DC) để nó có thể phân giải theo tên

Prefer DNS

Mở run -> cmd: đánh lệnh nslookup -> tuhocmang.local phải phân giải được ra IP của DC

nslookup

Bước 2: 

run -> sysdm.cpl -> Tab Computer name chọn Change

Domain: đánh vào tuhocmang.com hoặc có thể đánh tên NetBios Name là tuhocmang -> OK

Xuất hiện thông báo:

Nó hỏi: mình dùng tài khoản nào để gia nhập domain: ta có thể khai báo tài khoản admin hoặc user domain.

join domain

Restart để hoàn tất việc join domain

Các user domain có thể đăng nhập trên bất cứ máy nào tham gia domain (domain member). 

Các vấn đề lưu ý:

+ User Local vẫn tồn tại trên các máy domain member.

+ Domain Admin có toàn quyền trên domain member (vì sau khi join domain thì group Administrators (local) chứa  group domain Administrators).

+ Local admin chỉ có toàn quyền trên local computer, Domain admin có toàn quyền trên domain.

+ Nếu admin ngồi trên domain member  muốn quản lí chức năng Server từ xa (AD, Web server, v.v) thì cần cài bộ công cụ Remote Server Admin Tools (RSAT).

+ Nếu đang ngồi trên domain member là server thì mở

Server Manager -> Add Roles and Features -> click Next mặc định đến Features -> Remote Server Administration Tools (không check, chỉ bung ra thôi) -> check vào AD DS tools ( tool này dùng để quản lý ADUC) -> Next và Install. (cài bằng quyền Domain Admin)

RSAT 

+ Nếu đang ngồi trên domain member là windows client thì download RSAT cho HDH tương ứng

“search RSAT win 8″ sẽ ra link download

http://www.microsoft.com/en-us/download/details.aspx?id=28972

Download về và cài đặt

RSAT client

Sau khi cài đặt xong, ta vào appwiz.cpl -> turn Windows features on or off -> Remote Server Administration Tools : mặc định sau khi cài thì các tools quản lý đã được check, muốn gỡ cái nào thì bỏ check.

+ Dùng tài khoản user mặc định chỉ join được 10 lần, muốn join >10 lần các bạn vào link này tham khảo:

http://tuhocmang.com/chuyen-de-tu-hoc/cau-hinh-khong-gioi-han-so-lan-join-domain-cho-user.html

+ Sau khi join domain thì computer account có SID của nó và SID đại diện cho nó trong domain.

+ Firewall trên 2008 trở lên tự động mở port các dịch vụ mà ta thiết lập trên server => nâng cấp DC xong thì  port của các dịch vụ liên quan đến Active Directory sẽ được mở.

Một số port cần thiết của AD:

http://technet.microsoft.com/en-us/library/dd772723(v=ws.10).aspx.

Mình xin kết thúc phần 1 của bài Domain Network, các vân đề liên quan đến AD Database như Sysvol, Global Catalog v.v mình sẽ viết riêng. Cảm ơn các bạn đã theo dõi.

http://www.slideshare.net/laonap166/mcsa-2012-domain-network

nguồn: tuhocmang.com