http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 113 Chơng III: Cấu hình mạng active directory v domain controller 3.1 Cấu hình về Active Directory 3.1.1 Active Directory & Domain Name System (DNS) Việc cài đặt Active Directory (AD) yêu cầu phải có một DNS server ở trên mạng. Sở dĩ nh vậy vì DNS nh giải pháp đặt tên domain cũng nh các dịch vụ địa phơng của nó. Mỗi domain và object trong domain phải có tên duy nhất không trùng với bất cứ domain hay object nào khác. DNS tổ chức theo một cấu trúc phân tầng đợc gọi là domain namespace. Ví dụ một domain có thể đặt tên theo kiểu nh sau: Microsoft.com. Hình 3.1 sau biểu diễn cấu trúc namespace trong một miền của Windows 2000. Hình 3.1: Sơ đồ Namespace trong cùng một miền (domain) Từng máy tính riêng biệt đợc đặt tên bằng cách nối thêm tên của máy tính đó vào bên trái của miền. Ví dụ: Sql1.Microsoft.com Sql2.Microsoft.com 3.1.2 Cấu trúc logic của Active Directory Microsoft.com Div2.Microsoft.com Dic1.Microsoft.com Dept1.Microsoft.com Dept2.Microsoft.com Dept1.Microsoft.com Dept2.Microsoft.com http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 114 Active Directory đợc cấu trúc theo kiểu phân tầng, từ trên xuống dới bao gồm các thành phần sau: Forests Trees Domain Organization Unit (OU) Object Sau đây chúng ta sẽ xem qua các thành phần này theo thứ tự từ dới lên trên. Objects Object (đối tợng) là một tài nguyên có thể nhận biết của mạng, ví dụ nh máy tính, máy in, ngời sử dụng, OU, Group, Shared Folder v.v. Object đợc nhận biết thông qua các thuộc tính (attribute) và đặc điểm của chúng. Object Class (lớp đối tợng): là nhóm logic các object. Ví dụ về các lớp đối tợng: Ngời sử dụng (users) Nhóm ngời sử dụng (Groups) Máy tính Miền (Domains) Organizational units Container objects: Một số object có thể bao gồm nhiều object khác nhau và đợc gọi là Container objects (đối tợng chứa). Ví dụ về Container objects là OU hay Domain. Organization units (OU) OU (đơn vị tổ chức) là những container objects dùng để tổ chức các object trong một domain thành những nhóm quản trị logic nhỏ hơn. http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 115 Một OU có thể chứa các objects khác nhau nh các tài khoản ngời dùng, các nhóm, các máy tính, máy in, các trình ứng dụng, các tệp sử dụng chung (file shares), và các dơn vị tổ chức con khác. Cấu trúc phân tầng này hoàn toàn là độc lập trong mỗi domain trong mạng. Mỗi domain có thể có một sơ đồ tổ chức các OU riêng của mình. Organization Units Điều quan trọng khi thiết lập các OU là phải xác định đợc phạm vi quản lý cho mỗi OU. Chẳng hạn nh trong OU của toàn công ty mỗi phòng đợc chia làm một OU nhỏ, mỗi OU này có một ngời quản trị và anh ta cũng có quyền thêm hay loại bỏ ngời dùng trong domain. Nh vậy phải thiết lập sao cho anh ta chỉ có thể thêm bớt ngời dùng trong OU của phòng đó mà thôi. Domains Domains (miền) là một đơn vị chủ chốt trong cấu trúc logic của Active Directory services. Tất cả các object trên mạng trong Active Directory đều tồn tại trong một domain nhất định. Mỗi một domain có thể bao gồm đến khoảng 1 triệu objects. ou ou ou ou compute r printe r user Shared folder http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 116 Domain hoạt động nh một đờng biên an tòan cho mạng. Ngời quản trị Domain chỉ đợc quyền quản lý các objects trong domain mà thôi. Mọi chính sách bảo mật (Security polices) và thiết lập bảo mật (settings) nh quyền quản trị, các chính sách bảo mật, các danh sách kiểm soát truy nhập (Acess control List - ACLs) đợc lập riêng cho mỗi domain và không thể có tác dụng đối với các domain khác. Mỗi cơ quan hay cơ sở kinh doanh vừa và nhỏ đợc thiết lập thành một domain. Một domain gồm thờng bao gồm các loại máy tính sau: Các máy domain controller chạy Windows 2000 server: Mỗi domain controller lu giữ và duy trì một bản copy cơ sở dữ liệu th mục (Directory) của domain. Các máy chủ thành viên (Member server) chạy Windows 2000: Mỗi domain controller lu giữ và duy trì một bản copy cơ sở dữ liệu th mục (directory) của domain. Máy chủ thành viên không chứa thông tin th mục và không thể xác nhận ngời dùng, chúng có chức năng cung cấp tài nguyên sử dụng chung nh các share folders hoặc các máy tin. Các máy trạm (Client computer) chạy Windows 2000 Professional : cho phép ngời dùng truy cập tới các tài nguyên trong domain. Trong giáo trình này chủ yếu tập trung vào việc thiết lập một domain, tuy nhiên chúng ta cũng xem lớt qua khái niệm về trees và forests. Trees Tree (cây) là một tổ chức phân tầng bao gồm một nhóm của một hay nhiều domain. Tất cả các domain trong một tree có thể chia sẻ sử dụng chung với nhau các thông tin và tài nguyên của tree đó. Mỗi tree có một th mục duy nhất. Trong directory có một catalog chung trong đó tập hợp thông tin của các domain trong tree đó và một catalog chung trong đó chứa tất cả các định nghĩa của tất cả các domain objects. Mỗi domain duy trì một phần của directory bao gồm các thông tin ngời dùng trong domain đó. Trong một tree, một ngời dùng khi đăng nhập vào 1 domain có thể sử dụng các tài nguyên trong các domain khác, nếu anh ta đợc uỷ quyền cho các quyền truy nhập tơng ứng. http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 117 iMac iMac iMac iMac iMac iMac Tất cả các domain trong một tree đều sử dụng chung một không gian đặt tên (namespace) và một cấu trúc đặt tên phân cấp (hierarchical naming structure). Namespace là tập hợp các quy tắc đặt tên tạo ra cấu trúc phân cấp hoặc đờng dẫn của một tree. Theo chuẩn DNS, tên domain của domain còn phải là tên tơng đối của domain con đó gộp với tên domain mẹ. Forests Forests (rừng) là tập hợp của một hay nhiều trees. Forests cho phép một tổ chức/doanh nghiệp nhóm trạng thái của các chi nhánh (divisions) của mình hoặc cho phép kết hợp mạng của hai cơ quan khi những mạng đó không sử dụng một sơ đồ đặt tên (naming scheme), hoạt http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 118 động độc lập với nhau, nhng vẫn liên lạc với toàn bộ tổ chức, doanh nghiệp. 3.1.3 Cấu trúc vật lý của Active Directory. Khi thiết kế một Active Directory một điều quan trọng là phải chú ý tới cấu trúc vật lý của nó. Mỗi domain controller sẽ có một bản copy của Active Directory của domain đó. Mỗi domain có thể có nhiều domain controller, ngời quản trị domain có thể thực hiện những thay đổi trên bất cứ domain controller nào. Những thay đổi trên một domain controller sẽ tự động lặp lại trên tất cả các domain controller khác. Một điểm mạnh của Active Directory Service là ngời dùng không cần phải biết về các đờng biên địa lý của mạng. Tuy nhiên ngời quản trị mạng thì phải hiểu rõ về các đờng biên này và sự kết nối giữa chúng. Điều này rất có ý nghĩa đối với mạng WAN. Bởi vì khi có một thay đổi ở tất cả những domain khác, trong đó có những cái ở những vùng xa. Điều này làm ảnh hởng đến khả năng tải của đờng lối mạng WAN. Để tránh điều này ngời ta có thể thiết lập các Active Directory site nhỏ và quản trị viên có thể điều phối sự truyền tải giữa các site bằng cách cho phép sự lặp lại trên tất cả các domain controller chỉ xảy ra vào giờ cao điểm. 3.2 Thiết lập một máy Windows 2000 Domain Controller. 3.2.1 Giới thiệu về Windows 2000 Domain Controller Windows 2000 Domain Controller là một máy tính chạy Windows 2000 Server trong đó có chứa một copy của Active directory database. Nó đợc dùng để xác thực ngời dùng, thực thi các chính sách và định vị các objects trong active directory. Windows 2000 Server không đợc gán chức năng làm domain controller. Chức năng làm domain controller đợc gán sau khi cài đặt xong, hoặc bất cứ thời điểm nào trong tơng lai. 3.2.2 Các yêu cầu của domain controller. Để nâng cấp một máy chủ Windows 2000 Server thành domain controller, nó phải có đủ chỗ để chứa các active directory database và file nhật ký (log file). Nó cũng phải có ít nhất một partition đợc format dới dạng NTFS bởi Windows 2000. Chỗ trống trên ổ cứng dành cho những dữ liệu này tối thiểu là 230MB. http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 119 Ngoài ra domain controller còn đòi hỏi phải có một domain name system (DNS) server. Tuy nhiên nếu trong môi trờng cha thiết lập sẵn DNS server, bạn có thể chọn để cài đặt và thiết lập DNS trên domain controller này. 3.2.3 Thiết lập domain controller (Cài đặt trên Active Directory) Để bắt đầu thiết lập máy chủ Windows 2000 Server thành một domain controller chúng ta cần phải chạy chơng trình Configure Your Server Wizard. Chơng trình này đợc chạy qua menu: Start\Programs\Administrative Tools\Configure Your Server. Trên khung bên trái của wizard này nhấn chuột vào th mục Active Directory và các chức năng mà máy tính có thể làm xuất hiện. Chúng ta có thể cho chạy chơng trình này bằng cách nhấn chuột vào Start, chọn RUN và đánh dấu vào lệnh DCPROMO. Nhấn chuột vào mục Start để chạy Active Directory Installation Wizard. Nhấn chuột vào mục NEXT để tiếp tục. Màn hình hiển thị tiếp theo sẽ yêu cầu chọn để cài đặt máy domain controller này vào một domain mới, hay thêm một domain controller này vào một domain có sẵn. Chọn domain controller for a new domain, sau đó nhấn chuột vào mục next để tiếp tục. Màn hình hiển thị tiếp theo hỏi bạn rằng domain mới này là một domain gốc hay nó là một domain trong một tree, chọn Create a new domain tree và nhấn chuột và Next. Màn hình hiển thị tiếp theo hỏi bạn rằng tree mới tạo thuộc về một forest có sẵn hay nó là domain đầu tiên ở trong một forest mới. Chọn Create a new forest of domain tree và nhấn chuột vào Next để tiếp tục. Trên màn hình hiển thị tiếp theo yêu cầu bạn phải cung cấp tên của domain. Tên cung cấp ở đây phải là một tên theo khuôn dạng DNS name, ví dụ Microsoft.com. Nhấn chuột vào Next để tiếp tục. Trên màn hình hiển thị tiếp theo bạn sẽ cung cấp NetBIOS name để cho Windows NT, Windows 95, 98 và Windows3.x sử dụng khi nối vào trong mạng. Trong trờng hợp này chọn MICROSOFT (không có .com) để làm NetBIOS name. Nhấn chuột vào Next để tiếp tục. http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 120 Màn hình hiển thị tiếp theo hỏi bạn về vùng để chứa active directory database và log file. Log file dùng để đảm bảo khả năng phục hồi của cơ sở dữ liệu. Cố gắng để chọn vùng chứa log file trong một ổ cứng khác với ổ cứng chứa cơ sở dữ liệu của active directory. Tiếp theo bạn sẽ đợc yêu cầu để chọn vùng chứa SYSVOL directory. SYSVOL directory chứa các file mà sẽ đợc lặp lại các domain controller khác. Th mục này bắt buộc chứa trong partition đã đợc format theo dạng NTFS 5.0. Nếu trong máy bạn cha thiết lập một DNS thì màn hình hiển thị tiếp theo sẽ yêu cầu bạn cài đặt 1 DNS Server. Nhấn chuột vào Next để tiếp tục. Màn hình hiển thị tiếp theo yêu cầu bạn quyết định các ngời dùng trong domanin của bạn chỉ dùng toàn Windows 2000 hay có cả phiên bản khác nh Windows NT. Màn hiển thị tiếp theo yêu cầu bạn gõ vào mật khẩu của ngời quản trị mạng. Màn hiển thị cuối cùng thông báo cho bạn một lần cuối cùng những thay đổi mà bạn sẽ thực hiện. Hãy đọc thật kỹ những thay đổi để đảm bảo bạn biết chính xác những gì mà bạn muốn thay đổi. Sau khi bạn nhấn chuột vào Next, máy sẽ copy toàn bộ file cần thiết vào máy của bạn và thực hiện nâng cấp máy này thành domain controller. . folder http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 116 Domain hoạt động nh một đờng biên an tòan cho mạng. Ngời quản trị Domain chỉ đợc quyền quản lý các objects. http://www.ebook.edu.vn Cấu hình mạng active directory & domain controller TATA Jsc. - CIC Trang 1 13 Chơng III: Cấu hình mạng active directory v domain controller 3. 1 Cấu hình về Active Directory 3. 1.1 Active. biết về các đờng biên địa lý của mạng. Tuy nhiên ngời quản trị mạng thì phải hiểu rõ về các đờng biên này và sự kết nối giữa chúng. Điều này rất có ý nghĩa đối với mạng WAN. Bởi vì khi có một