Lesson02

12/15/2009

1

TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: http://www.ispace.edu.vn

Bài 1: TỔNG QUAN VỀ ACTIVE DIRECTORY

Bài 2: TRIỂN KHAI ACTIVE DIRECTORY FOREST VÀ DOMAIN

Bài 3: TRIỂN KHAI CẤU TRÚC ORGANIZATIONAL UNIT

Bài 4: TRIỂN KHAI TÀI KHOẢN USER, GROUP VÀ COMPUTER

Bài 5: TRIỂN KHAI CHÍNH SÁCH NHÓM

Bài 6: TRIỂN KHAI SITE & QUẢN LÝ ĐỒNG BỘ ACTIVE DIRECTORY

Bài 7: BỐ TRÍ DOMAIN CONTROLER

Bài 8: QUẢN LÝ OPERATION MASTER

Bài 9: DUY TRÌ HOẠT ĐỘNG CỦA ACTIVE DIRECTORY

ÔN TẬP

BÁO CÁO ĐỒ ÁN CUỐI MÔN

THI CUỐI MÔN

MH/MĐ: H0ẠCH ĐỊNH VÀ PHÁT TRIỂN MÔI TRƯỜNG MẠNG


BÀI 2: TRIỂN KHAI ACTIVE DIRECTORY FOREST VÀ DOMAIN

Xây dựng Forest và Domain

Sự tích hợp DNS trong AD

Forest và Domain Functional Level

Tạo Trust Relationships

Câu hỏi bài tập

Triển khai Active Directory cho Forest và domain. Thiết lập các mối quan hệ tin cậy giữa các hệ thống domain khác nhau.

http://ispace.edu.vn/modules.php?mod=info&cat=39&top=53&iid=1208&lang=vn


12/15/2009

2


MỤC TIÊU BÀI HỌC

Năm được cac yêu câu và cac bươc chuân bi đê triên khai hê thống Domain Controller.

Giải thích và năm được y nghia của viêc tích hợp DNS vào Active Directory.

Hiêu được y nghia và môi trương Forest, Domain Function Level của Domain.

Triên khai được hê thống mạng Domain tree và tạo hê thống Domain Forest.

Thực hiên Trust Relationship giưa cac Domain và domain tree.



Cac yêu câu đê cài đặt AD

Tiến trình cài đặt AD

Qua trình xây dựng Forest và domain

Qua trình xây dựng replica domain controller (DC đồng hành)

Đổi tên Domain Controller

Kiêm tra qua trình cài đặt AD

Khăc phục lỗi trong qua trình cài đặt

Triển khai hệ thống Domain & Forest. Kiểm tra và khắc phục lỗi trong quá trình xây dựng hệ thống Forest & Domain.



12/15/2009

3



Cac yêu câu đê cài đặt AD

Server sử dụng Windows Server 2003

Windows Server 2003 Standard Edition.

Windows Server 2003 Enterprise Edition.

Windows Server 2003 Datacenter Edition.

Không gian lưu trữ

Tối thiểu 250MB:

Database AD (NTDS.DIT): 200MB

Log files: 50MB.

Cân thêm phân vung trống nếu là máy chu Global Catalog.

Phân vung trống định dạng NTFS lưu trữ thư mục SYSVOL

Logon vơi tài khoan co quyên quan trị hệ thống.

Câu hình TCP/IP và câu hình Preferred DNS.



Yêu câu cài đặt Active Directory

Đối vơi Authoritative DNS Server:

SRV Resource Record: Xác định máy tính đang chạy dịch vụ cụ thể trên môi trường mạng Windows Server 2003

Dynamic update (tuy chọn): cập nhật động các Resource Record thay vì tự câu hình.

Incremental zone transfer (tuy chọn): giúp tiết kiệm băng thông trong quá trình đồng bộ database cua dịch vụ DNS giữa các Server.



12/15/2009

4



Tiến trình cài đặt Active Directory.

Khởi động giao thức bao mật & thiết lập chính sách bao mật

Kerberos v.5 Authentication Protocol.

Local Security Authority (LSA) Policy (xác định server này là DC).

Tạo các Active Directory Partition (domain controller đâu tiên trong forest):

Schema directory partition

Configuration directory partition

Domain directory partition

Forest DNS zone

Domain DNS zone partition

Tạo database và log file cua AD, măc định lưu trữ trong thư mục%systemroot%\NTDS.



Tiến trình cài đặt Active Directory (tt).

Tạo forest root domain. DC đâu tiên giữ các master roles:

Primary domain controller (PDC) emulator

Relative identifier (RID) operations master

Domain-naming master

Schema master

Infrastructure master

Tạo và chia sẽ thư mục system volume trên tât ca Domain Controller và lưu trữ:

Thư mục SYSVOL, lưu trữ thông tin Group Policy.

Thư mục Net Logon, lưu trữ các file script cho các hệ thống không phai là Windows 2003.



12/15/2009

5



Tiến trình cài đặt Active Directory (tt).

Câu hình vị trí Domain Controller phu hơp vơi site.

Nếu IP cua DC trong quá trình nâng câp thuộc subnet đươc định nghĩa trong AD thì DC sẽ là thành viên trong site đo.

Nếu không co subnet object nào đươc định nghĩa hoăc địa chỉ IP cua DC không thuộc subnet nào trong AD thì DC sẽ đươc đưa vào site “Default-First-Site-Name”.

Server object (DC) đươc tạo ra trong vị trí site thích hơp và lưu trữ thông tin cân cho quá trình đồng bộ.

Câu hình bao mật các đối tương trên Directory và đồng bộ file.

Câu hình mật khâu cho administrator account ở chế độ Restore dịch vụ Directory.



Qua trình xây dựng Forest và Domain.

Hương dẫn triển khai Forest root domain



12/15/2009

6



Qua trình xây dựng replica domain controller (DC đồng hành)

Hương dẫn triển khai Additional Domain Controller



Đổi tên Domain Controller

Hương dẫn đổi lại tên Domain Controller.



12/15/2009

7



Remove Domain Controller không hoạt động

Hương dẫn xoa bỏ Domain controller không hoạt động khỏi AD.



Sau tiến trình cài đăt Active Directory thành công cân phai kiểm tra những vân đê sau:


Hương dẫn kiểm tra:

Kiểm tra kết qua:

Tạo và chia sẽ thư mục SYSVOL

Tạo các directory database và log file

Câu trúc măc định cua Active Directory

Kiểm tra quá trình cài đăt bằng cách giám sát event log.



12/15/2009

8




Kiểm tra folder SYSVOL : thư mục SYSVOL đã đươc tạo trong %systemroot%\sysvol và đã đươc share.

Kiểm tra file Database cua Active Directory và log file đã đươc tạo trong thư mục %systemroot%\ntds: NTDS.dit, Edb.*, Res*.log

Kiểm tra các đối tương măc định đươc tao ra: Builtin, Domain Controller, Computers, Users,…

Kiểm tra sự kiện Event logs: các lỗi xay ra trong quá trình triển khai DC sẽ đươc ghi nhận trong Event viewer.


Khăc phục lỗi trong khi cài đặt AD.


Triêu chứng Cac nguyên nhân có thê có

Từ chối tạo hoăc thêm mơi Domain controller

Bạn đang logon vơi tài khoan không thuộc nhom Adminstrators.

Việc chứng thực cua bạn không phai bằng một user thuộc các groups Domain Admins hoăc Enterprise Admins

Tên miên DNS hoăc NetBIOS không duy nhât

Một domain khác giống tên DNS hoăc NetBIOS

Không thể kết nối đến Domain

Mạng bị lỗi

Dịch vụ DNS lỗi

Thiếu dung lương đĩa cứng

Dung lương đĩa cứng dung cài đăt AD không đu



12/15/2009

9



Khăc phục lỗi trong khi cài đặt AD

Từ chối cài đăt hoăc thêm domain controller:

Logon vào server vơi tài khoan thuộc nhom Local Administrators cua server.

Cung câp một User để chứng thực thuộc nhom Domain Admins hoăc Enterprise Admins.

Tên domain DNS hoăc NetBIOS không duy nhât: đổi lại tên DNS hoăc NetBIOS name.

Không kết nối đươc vơi Domain:

Kiểm tra kết nối đến một Domain Controller bât kỳ, bằng lệnh ping.

Kiểm tra dịch vụ DNS đã đăng ký máy chu Domain controller.

Thiếu dung lương ổ cứng: tăng dung lương ổ cứng để cài đăt AD.


Không gian tên DNS và AD.


training

microsoft

= DNS node (domain or computer) = Active Directory domain

sales

computer1

DNS Root Domain“.”

com.Active Directory Namespace

microsoft.msft

sales. microsoft.msft training. microsoft.msft



12/15/2009

10


Active Directory Integrated Zone.


Active Directory Integrated Zones

Là Primary DNS zone và stub DNS zone đươc lưu trữ như là các đối tương trong database cua Active Directory.

Co thể lưu trữ trong Application Partition hoăc Domain Partition.

Những lơi ích cua AD Intergrated Zones

Đồng bộ vơi nhiêu domain chính.

Hỗ trơ secure dynamic updates.

Co thể transfer DNS zone vơi các DNS Server khác.



SVR Resource Record

SRV resource record là DNS record dung để ánh xạ một dịch vụ tơi máy tính đang cung câp dịch vụ đo.

Câu trúc cua SRV record:

_Service_.Protocol.Name Ttl Class SRV Priority Weight Port Target

Ví dụ:

_ldap._tcp.ispace.vn 600 IN SRV 0 100 389 srv-dc01.ispace.vn



12/15/2009

11


SVR Record đăng ky bơi Domain controller

Domain controllers chạy Windows Server 2003 đăng ký SRV records trong _msdcs subdomain vơi câu trúc như sau:

_Service._Protocol.DcType._msdcs.DnsDomainName

Ví dụ:

_ldap._tcp.DnsDomainName

_ldap._tcp.SiteName._sites.dc

_msdcs.DnsDomainName

_gc._tcp.DnsForestName

_gc._tcp.SiteName._sites.DnsForestName

_kerberos._tcp.DnsDomainName

_kerberos._tcp.SiteName

_sites.DnsDomainName




Cach Client sử dụng DNS đê xac đinh Domain Controller và Service

DNS Server

Client

Domain Controller



12/15/2009

12



Forest và Domain Functional Level cung câp cách để mỡ rộng các tính năng AD trên phạm vi domain hoăc forest. Các câp độ này phụ thuộc vào

môi trường mạng cua bạn.

Network environmentDomain functional

levelsForest

functional levels

Windows 2000mixed-mode domain

Windows 2000

native-mode domain

Windows Server 2003

Domain

Windows Server 2003

Interim

Forest và Domain Function Level


Yêu câu sử dụng nhưng tính năng mơi trên Windows 2003


Yêu câu Domain Forest

Tất cả DC sử dụng HĐH

Windows Server 2003 Windows Server 2003

Domain functional level

Phai nâng câp lênWindows Server 2003

Co thể đươc nâng câp lênWindows Server 2003

Administrator:Domain administrator để nâng câp domain functional level

Enterprise administrator để nâng câp forest functional level



12/15/2009

13



Cac loại Trust

Trusted Domain Object

Cach Trust làm viêc trong một Forest

Cach Trust làm viêc giưa cac Forest

Cach tạo Trust

Kiêm tra và gỡ bỏ một Trust

Trust Relationship cho phép người dung trong domain này truy cập tài nguyên ở domain khác. Trust Relationship co thể “bắc câu” (transitive)

hoăc “không bắc câu”(non-transitive)



Tree/RootTrust

Forest Trust

Shortcut TrustExternal Trust

Realm Trust

Parent/ChildTrust



12/15/2009

14



Cac loại Trust

Shortcut: giám các bươc sử dụng trong quá trình chứng thực bằng giao thức Kerberos v5

Forest: cho phép chứng thực giữa các forest

External: câu hình thiết lập đồng bộ tin cậy giữa một domain cua một forest vơi một domain cua forest khác

Realm: thiết lập tin cậy vơi hệ thống không phai Windows sử dụngKerberos.




Trusted domain objects

Đại diện cho mỗi mối quan hệ tin tưởng trong một domain cụ thể

Chứa thông tin như là tin tưởng bên ngoài và loại tin tưởng



12/15/2009

15




Đối tương domain đươc tin cậy.

Đại diện một vài mối quan hệ tin cậy trong phân vung domain.

Lưu trữ thông tin cua loại trust:

Domain tree names

Services principal name (SPN) suffixes

Security ID(SID) namespace



Tree One

Tree Two

Domain 1

Tree Root Domain

Forest Root Domain

Domain 2

Domain C

Domain A

Domain B

Cach Trust làm viêc trong một Forest



12/15/2009

16


Cach Trust làm viêc giưa cac Forest


nwtraders.msft contoso.msft

Forest trust

Global catalog

Global catalog

Seattle

vancouver.nwtraders.msft seattle.contoso.msft

Vancouver

24

6

1

3

57

8

9


Cach tạo Trust

Thiết lập mối quan hệ tin cậy giữa các forest hoăc giữa các domain.

Trươc tiên phai tạo ra một Secondary lookup zone trên DNS Server trỏ vê forest mơi.


Hương dẫn sử dụng công cụ Active Directory Domain and Trust để tạo trust giữa các domain.



12/15/2009

17


Kiêm tra và gỡ bỏ một Trust

Nếu một số thiết lập tin cậy không còn giá trị thì cân phai thu hồi, huy bỏ.

Hoăc cân phai xác minh các thiết lập tin cậy đã tạo ra.


Hương dẫn sử dụng công cụ Active Directory Domain and Trust để kiểm tra quá trình tạo trust

hoăc huy trust.


Câu hỏi bài tập

Ý nghia của cac loại trust trong forest.

Cac trương hợp cân tạo ra cac loại trust cho domain

Cac lỗi khi cài đặt dich vụ Active Directory.

Cac yêu câu khi nâng cấp Domain Level Function



12/15/2009

18


TÓM LƯỢC BÀI HỌC

Triên khai hê thống Forest và domain.

Đổi tên Domain Controller.

Remove Domain Controller không hoạt động.

Nâng cấp Domain và Forest functional level

Tạo cac trust forest


HỎI - ĐÁP



Documents

Lesson02