Bài 9 ACTIVE DIRECTORY

Chia sẻ: Nguyen Van TUan | Ngày: | Loại File: DOC | Số trang:30

2
353
lượt xem
274
download

Bài 9 ACTIVE DIRECTORY

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Kết thúc bài học này cung cấp cho học viên kiến thức về hệ thống Active Directory trên Windows Server 2003, cách tổ chức, nâng cấp để tạo thành Domain Controller...

Chủ đề:
Lưu

Nội dung Text: Bài 9 ACTIVE DIRECTORY

  1. Bài 9 ACTIVE DIRECTORY  Tóm tắt Lý thuyết 4 tiết -Thực hành 8 tiết Mục tiêu Các mục chính Bài tập bắt Bài tập làm buộc thêm Kết thúc bài học này cung I. Các mô hình mạng trong môi Dựa vào bài Dựa vào bài tập cấp học viên kiến thức trường Microsoft. II. Active Directory. tập môn Quản môn Quản vềhệthống Active Directory III. Cài đặt và cấu hình Active trịWindows trịWindows trên Windows Server 2003, Directory. Server 2003. Server 2003. cách tổchức, nâng cấp đểtạo thành Domain Controller … I. CÁC MÔ HÌNH MẠNG TRONG MÔI TRƯỜNG MICROSOFT. I.1. Mô hình Workgroup. Mô hình mạng workgroup còn gọi là mô hình mạng peer-to- peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu và tài nguyên đượclưu trữphân tán tại các máy cục bộ, các máy tựquản lý tài nguyên cụcbộcủa mình. Trong hệthống mạng không có máy tính chuyên cung cấpdịch vụvà quản lý hệthống mạng. Mô hình này chỉphù hợpvới các mạng nhỏ,dưới mười máy tính và yêu cầubảomật không cao. Đồng thời trong mô hình mạng này các máy tính sửdụng hệđiều hành hỗtrợđa người dùng lưu trữthông tin người dùng trong mộttập tin SAM (Security Accounts Manager) ngay chính trên máy tính cụcbộ. Thông tin này bao gồm: username (tên đăng nhập), fullname, password, description…Tất nhiên tập tin SAM này được mã hóa nhằm tránh người dùng khác ăncấpmật khẩu đểtấn công vào máy tính. Do thông tin người dùng đượclưu trữcụcbộtrên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tựchứng thực. I.2. Mô hình Domain. Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơchếclient-server, trong hệthống mạng phải có ít nhấtmột máy tính làm chứcnăng điều khiển vùng (Domain Controller), máy tính này sẽđiều khiển toàn bộhoạt động củahệthống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng đượctập trung lạitại các Server trong miền. Mô hình này được áp dụng cho các công ty vừa và lớn. Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng đượctập trung lại do dịch vụActive Directory quản lý và đượclưu trữtrên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT.Tập tin cơsởdữliệu này được xây dựng theo công nghệtương tựnhưphầnmềm Access của Microsoft nên nó có thểlưu trữhàng triệu người dùng, cải tiếnhơn so với công nghệcũchỉlưu trữđược khoảng 5 nghìn tài khoản người dùng. Do các thông tin người dùng đượclưu trữtập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực.
  2. Hình 2.1: các bước chứng thực khi người dùng đăng nhập. II. ACTIVE DIRECTORY. II.1. Giới thiệu Active Directory. Có thểso sánh Active Directory với LANManager trên Windows NT 4.0.Vềcănbản, Active Directory là mộtcơsởdữliệucủa các tài nguyên trên mạng (còn gọi là đốitượng) cũng nhưcác thông tin liên quan đến các đốitượng đó. Tuy vậy, Active Directory không phải là một khái niệmmới bởi Novell đãsửdụng dịch vụthưmục(directory service) trong nhiềunămrồi. Mặc dù Windows NT 4.0 là mộthệđiều hành mạng khá tốt, nhưng hệđiều hành này lại không thích hợp trong các hệthống mạng tầmcỡxí nghiệp. Đốivới các hệthống mạng nhỏ, công cụNetwork Neighborhood khá tiệndụng, nhưng khi dùng trong hệthống mạng lớn, việc duyệt và tìm kiếm trên mạng sẽlà một ác mộng (và càng tệhơnnếubạn không biết chính xác tên của máy in hoặc Server đó là gì). Hơnnữa, đểcó thểquản lý đượchệthống mạng lớn nhưvậy, bạn thường phải phân chia thành nhiều domain và thiếtlập các mối quan hệuỷquyền thích hợp. Active Directory giải quyết được các vấn đềnhưvậy và cung cấpmộtmức độứng dụng mới cho môi trường xí nghiệp. Lúc này, dịch vụthưmục trong mỗi domain có thểlưu trữhơnmười triệu đốitượng, đủđểphụcvụmười triệu người dùng trong mỗi domain. II.2. Chứcnăng của Active Directory. -Lưu giữmột danh sách tập trung các tên tài khoản người dùng, mật khẩutương ứng và các tài khoản máy tính. -Cung cấpmột Server đóng vai trò chứng thực(authentication server) hoặc Server quản lý đăng nhập(logon Server), Server này còn gọi là domain controller (máy điều khiển
  3. vùng). -Duy trì mộtbảng hướng dẫn hoặcmộtbảng chỉmục(index) giúp các máy tính trong mạng có thểdò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. -Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độquyền(rights) khácnhau như: toàn quyền trên hệthống mạng, chỉcó quyền backup dữliệu hay shutdown Server từxa… -Cho phép chúng ta chia nhỏmiềncủa mình ra thành các miền con (subdomain) hay các đơnvịtổchức OU (Organizational Unit). Sau đó chúng ta có thểủy quyền cho các quản trịviên bộphận quản lýtừng bộphận nhỏ. II.3. Directory Services. II.3.1 Giới thiệu Directory Services.Directory Services (dịch vụdanh bạ) là hệthống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụdanh bạlà mộtdịch vụcơsởlàm nềntảng đểhình thành mộthệthống Active Directory.Mộthệthống với những tính năng vượt trộicủa Microsoft. II.3.2 Các thành phần trong Directory Services. Đầu tiên, bạn phải biết được những thành phầncấutạo nên dịch vụdanh bạlà gì? Bạn có thểso sánh dịch vụdanh bạvớimột quyểnsổlưusốđiện thoại. Cảhai đều chứa danh sách của nhiều đốitượng khác nhau cũng nhưcác thông tin và thuộc tính liên quan đến các đốitượng đó. a. Object (đốitượng). Trong hệthống cơsởdữliệu, đốitượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thưmục dùng chung, dịch vụmạng, … Đốitượng chính là thành tốcănbản nhấtcủadịch vụdanh bạ. b. Attribute (thuộc tính). Một thuộc tính mô tảmột đốitượng. Ví dụ,mật khẩu và tên là thuộc tính của đốitượng người dùng mạng. Các đốitượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đốitượng khác nhau cũngcó thểcó mộtsốthuộc tính giống nhau. Lấy ví dụnhưmộtmáyinvà một máy trạmcảhai đều có một thuộc tính là địa chỉIP. c. Schema (cấu trúc tổchức). Một schema định nghĩa danh sách các thuộc tính dùng đểmô tảmột loại đốitượng nào đó. Ví dụ, cho rằng tấtcảcác đốitượng máy in đều được định nghĩabằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đốitượng này hình thành nên schema cho lớp đốitượng “máy in”. Schema có đặc tính là tuỳbiến được, nghĩa là các thuộc tính dùng đểđịnh nghĩamộtlớp đốitượng có thểsửa đổi được. Nói tóm lại Schema có thểxem là một danh bạcủa cái danh bạActive Directory. d. Container (vật chứa). Vật chứatương tựvới khái niệm thưmục trong Windows.Một thưmục có thểchứa các tập tin và
  4. cácthưmục khác. Trong Active Directory,mộtvật chứa có thểchứa các đốitượng và các vật chứa khác. Vật chứacũng có các thuộc tính nhưđốitượng mặc dù vật chứa không thểhiệnmột thực thểthậtsựnào đó nhưđốitượng. Có ba loạivật chứa là: 233 -Domain: khái niệm này được trình bày chi tiết ởphần sau.-Site:một site là mộtvịtrí. Site được dùng đểphân biệt giữa các vịtrí cụcbộvà các vịtrí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ởSan Fransisco,một chi nhánh đặt ởDenver và mộtvăn phòng đại diện đặt ởPortland kếtnốivềtổng hành dinh bằng Dialup Networking. Nhưvậyhệ thống mạngnàycó ba site. -OU (Organizational Unit): là một loạivật chứa mà bạn có thểđưa vào đó người dùng, nhóm, máy tính và những OU khác. Một OU không thểchứa các đốitượng nằm trong domain khác. Nhờviệcmột OU có thểchứa các OU khác, bạn có thểxây dựng một mô hình thứbậccủa các vật chứa đểmô hình hoá cấu trúc củamộttổchức bên trong một domain. Bạn nên sửdụng OU đểgiảm thiểusốlượng domain cần phải thiếtlập trên hệthống. e. Global Catalog. -Dịch vụGlobal Catalog dùng đểxác định vịtrí củamột đốitượng mà người dùng đượccấp quyền truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT và không chỉcó thểđịnh vịđược đốitượng bằng tên mà cóthểbằng cảnhững thuộc tính của đốitượng. -Giảsửbạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắnbạnsẽkhông dùng một máy in HP Laserjet 4L.Bạnsẽphải tìm một máy in chuyên dụng, in vớitốc độ100ppm và có khảnăng đóng tài liệu thành quyển. NhờGlobal Catalog,bạn tìm kiếm trên mạng một máy in với các thuộc tính nhưvậy và tìm thấy đượcmột máy Xerox Docutech 6135.Bạn có thểcài đặt driver cho máy in đó và gửi print job đến máy in. Nhưng nếubạn ởPortland và máy in thì ởSeattle thì sao? Global Catalog sẽcung cấp thông tin này và bạn có thểgửi email cho chủnhân của máy in, nhờhọin giùm. -Một ví dụkhác, giảsửbạn nhận đượcmột thưthoạitừmột người tên Betty Doe ởbộphậnkếtoán. Đoạn thưthoạicủa cô ta bịcắt xén và bạn không thểbiết đượcsốđiện thoạicủa cô ta. Bạn có thểdùng Global Catalog đểtìm thông tin vềcô ta nhờtên, và nhờđóbạn có đượcsốđiện thoạicủa cô ta. -Khi một đốitượng đượctạomới trong Active Directory, đốitượng được gán một con sốphân biệtgọi là GUID (Global Unique Identifier). GUID củamột đốitượng luôn luôn cốđịnh cho dù bạn có di chuyển đốitượng đi đến khu vực khác. II.4. Kiến trúc của Active Directory.
  5. II.4.1 Objects. Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes. Object classes là mộtbản thiếtkếmẫu hay một khuôn mẫu cho các loại đốitượng mà bạn có thểtạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer, Printer. Khái niệm thứhai là Attributes, nó được định nghĩa là tập các giá trịphù hợp và đượckết hợpvớimột đốitượng cụthể. Nhưvậy Object là một đốitượng duy nhất được định nghĩabởi các giá trịđược gán cho các thuộc tính của object classes. Ví dụhình sau minh họa hai đốitượng là: máy in ColorPrinter1 và người dùng KimYoshida. II.4.2 Organizational Units. Organizational Unit hay OU là đơnvịnhỏnhất trong hệthống AD, nó được xem là mộtvật chứa các đốitượng (Object) được dùng đểsắpxếp các đốitượng khác nhau phụcvụcho mục đích quản trịcủa bạn. OU cũng được thiếtlậpdựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kếtnối tốtvới nhau”. Việcsửdụng OU có hai công dụng chính sau: -Trao quyền kiếm soát mộttậphợp các tài khoản người dùng, máy tính hay các thiếtbịmạng cho một nhóm người hay một phụtá quản trịviên nào đó (sub-administrator), từđó giảmbớt công tác quản trịcho người quản trịtoàn bộhệthống. -Kiểm soát và khóa bớtmộtsốchứcnăng trên các máy trạmcủa người dùng trong OU thông qua việcsửdụng các đốitượng chính sách nhóm (GPO), các chính sách nhóm này chúng ta sẽtìm
  6. hiểu ởcác chương sau. II.4.3 Domain. Domain là đơnvịchứcnăng nòng cốtcủacấu trúc logic Active Directory. Nó là phương tiện đểqui định mộttậphợp những người dùng, máy tính, tài nguyên chia sẻcó những qui tắcbảomật giống nhau từđó giúp cho việc quản lý các truy cập vào các Server dễdàng hơn. Domain đáp ứng ba chức năng chính sau: -Đóng vai trò nhưmột khu vực quản trị(administrative boundary) các đốitượng, là mộttậphợp các định nghĩa quản trịcho các đốitượng chia sẻnhư: có chung mộtcơsởdữliệu thưmục, các chính sách bảomật, các quan hệủy quyềnvới các domain khác. -Giúp chúng ta quản lý bảomật các các tài nguyên chia sẻ.
  7. -Cung cấp các Server dựphòng làm chứcnăng điều khiển vùng (domain controller), đồng thời đảmbảo các thông tin trên các Server này được được đồng bộvới nhau. II.4.4 Domain Tree. Domain Tree là cấu trúc bao gồm nhiều domain đượcsắpxếpcó cấpbậc theo cấu trúc hình cây. Domain tạo ra đầu tiên đượcgọi là domain root và nằm ởgốccủa cây thưmục. Tấtcảcác domain tạo ra sau sẽnằm bên dưới domain root và đượcgọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhấtmột domain con đượctạo ra thì hình thành một cây domain. Khái niệm này bạnsẽthường nghe thấy khi làm việcvớimộtdịch vụthưmục. Bạn có thểthấycấu trúc sẽcó hình dáng củamột cây khi có nhiều nhánh xuất hiện. II.4.5 Forest. Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tậphợp các Domain Tree có thiếtlập quan hệvà ủy quyền cho nhau. Ví dụgiảsửmột công ty nào đó, chẳng hạn nhưMicrosoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có mộthệthống Domain Tree riêng và đểtiện quản lý, các cây này sẽđượchợp nhấtvới nhau bằng một khái niệmlà rừng.
  8. III. CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY. III.1. Nâng cấp Server thành Domain Controller. III.1.1 Giới thiệu. Một khái niệm không thay đổitừWindows NT 4.0 là domain.Một domain vẫn còn là trung tâm của mạng Windows 2000 và Windows 2003, tuy nhiên lại được thiếtlập khác đi. Các máy điều khiển vùng (domain controller – DC) không còn phân biệt là PDC (Primary Domain Controller) hoặc là BDC (Backup Domain Controller). Bây giờ, đơn giản chỉcòn là DC. Theo mặc định, tấtcảcác máy Windows Server 2003 khi mới cài đặt đều là Server độclập(standalone server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng đểnâng cấpmột máy không phải là DC (Server Stand-alone) thành một máy DC và ngượclại giáng cấpmột máy DC thành một Server bình thường. Chú ý đốivới Windows Server 2003 thì bạn có thểđổi tên máy tính khi đã nâng cấp thành DC. Trước khi nâng cấp Server thành Domain Controller,bạncần khai báo đầy đủcác thông sốTCP/IP, đặc biệt là phải khai báo DNS Server có địa chỉchính là địa chỉIP của Server cần nâng cấp. Nếubạn có khảnăng cấu hình dịch vụDNS thì bạn nên cài đặtdịch vụnày trước khi nâng cấp Server, còn ngượclại thì bạn chọn cài đặt DNS tựđộng trong quá trình nâng cấp. Có hai cách đểbạn chạy chương trình Active Directory Installation Wizard:bạn dùng tiện ích Manage Your Server trong Administrative Tools hoặc nhấp chuột vào Start Run, gõ lệnh DCPROMO.
  9. III.1.2 Các bước cài đặt. Chọn menu Start Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK.Khi đóhộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next đểtiếptục. Chương trình xuất hiệnhộp thoạicảnh báo: DOS, Windows 95 và WinNT SP3 trởvềtrướcsẽbịloại ra khỏi miền Active Directory dựa trên Windows Server 2003.Bạn chọn Next đểtiếptục.
  10. Trong hộp thoại Domain Controller Type, chọnmục Domain Controller for a New Domain và nhấn chọn Next. (Nếubạn muốnbổsung máy điều khiển vùng vào một domain có sẵn, bạnsẽchọn Additional domain cotroller for an existing domain.) Đến đây chương trình cho phép bạn chọnmột trong ba lựa chọn sau: chọn Domain in new forest nếu bạn muốntạo domain đầu tiên trong mộtrừng mới, chọn Child domain in an existing domain tree nếubạn muốntạo ramột domain con dựa trên một cây domain có sẵn, chọn Domain tree in an existing forest nếubạn muốntạo ra một cây domain mới trong mộtrừng đãcó sẵn.
  11. Hộp thoại New Domain Name yêu cầubạn tên DNS đầy đủcủa domain mà bạncần xây dựng. Hộp thoại NetBIOS Domain Name, yêu cầubạn cho biết tên domain theo chuẩn NetBIOS đểtương thích với các máy Windows NT. Theo mặc định, tên Domain NetBIOS giống phần đầucủa tên Full DNS,bạn có thểđổi sang tên khác hoặc chấp nhận giá trịmặc định. Chọn Next đểtiếptục.
  12. Hộp thoại Database and Log Locations cho phép bạn chỉđịnh vịtrí lưu trữdatabase Active Directory và các tập tin log.Bạn có thểchỉđịnh vịtrí khác hoặc chấp nhận giá trịmặc định. Tuy nhiên theo khuyến cáo của các nhà quản trịmạng thì chúng ta nên đặttập tin chứa thông tin giao dịch (transaction log) ởmột đĩacứng vật lý khác với đĩacứng chứacơsởdữliệucủa Active Directory nhằmtăng hiệunăng củahệthống. Bạn chọn Next đểtiếptục. Hộp thoại Shared System Volume cho phép bạn chỉđịnh ví trí của thưmục SYSVOL. Thưmục này phảinằm trên một NTFS5 Volume.Tấtcảdữliệu đặt trong thưmục Sysvol này sẽđượctựđộng
  13. sao chép sang các Domain Controller khác trong miền. Bạn có thểchấp nhận giá trịmặc định hoặc chỉđịnh ví trí khác, sau đó chọn Next tiếptục. (Nếu partition không sửdụng định dạng NTFS5,bạnsẽthấymột thông báo lỗi yêu cầu phải đổihệthống tập tin). DNS là dịch vụphân giải tên kếthợpvới Active Directory đểphân giải tên các máy tính trong miền. Do đó đểhệthống Active Directory hoạt động được thì trong miền phải có ít nhấtmột DNS Server phân giải miền mà chúng ta cần thiếtlập. Theo đúng lý thuyết thì chúng ta phải cài đặt và cấu hình dịch vụDNS hoàn chỉnh trước khi nâng cấp Server, nhưng do hiệntại các bạn chưahọcvềdịch vụnày 242 nên chúng ta chấp nhận cho hệthống tựđộng cài đặtdịch vụnày. Chúng ta sẽtìm hiểu chi tiếtdịch vụDNS ởgiáo trình “Dịch VụMạng”. Trong hộp thoại xuất hiệnbạn chọnlựa chọn thứhai đểhệthống tự động cài đặt và cấu hình dịch vụDNS. Trong hộp thoại Permissions,bạn chọn giá trịPermission Compatible with pre-Windows 2000 servers khi hệthống có các Server phiên bản trước Windows 2000, hoặc chọn Permissions
  14. compatible only with Windows 2000 servers or Windows Server 2003 khi hệthống củabạn chỉtoàn các Server Windows 2000 và Windows Server 2003. Trong hộp thoại Directory Services Restore Mode Administrator Password,bạnsẽchỉđịnh mật khẩu dùng trong trường hợp Server phải khởi động vào chếđộDirectory Services Restore Mode. Nhấn chọn Next đểtiếptục. Hộp thoại Summary xuất hiện, trình bày tấtcảcác thông tin bạn đã chọn. Nếutấtcảđều chính xác, bạn nhấn Next đểbắt đầu thực hiện quá trình cài đặt, nếu có thông tin không chính xác thì bạn chọn Back đểquay lại các bước trước đó.
  15. Hộp thoại Configuring Active Directory cho bạn biết quá trình cài đặt đang thực hiện những gì. Quá trình này sẽchiếm nhiều thời gian. Chương trình cài đặtcũng yêu cầubạn cung cấp nguồn cài đặt Windows Server 2003 đểtiến hành sao chép các tập tin nếu tìm không thấy. Sau khi quá trình cài đặtkết thúc, hộp thoại Completing the Active Directory Installation Wizard xuất hiện. Bạn nhấn chọn Finish đểkết thúc.
  16. Cuối cùng, bạn được yêu cầu phải khởi động lại máy thì các thông tin cài đặtmớibắt đầu có hiệulực. Bạn nhấn chọn nút Restart Now đểkhởi động lại. Quá trình thăng cấpkết thúc. III.2. Gia nhập máy trạm vào Domain. III.2.1 Giới thiệu. Một máy trạm gia nhập vào một domain thựcsựlà việctạo ra mộtmối quan hệtin cậy(trust relationship) giữa máy trạm đóvới các máy Domain Controller trong vùng. Sau khi đã thiếtlập quan hệtin cậy thì việc chứng thực người dùng logon vào mạng trên máy trạm này sẽdo các máy điều khiển vùng đảm nhiệm. Nhưng chú ýviệc gia nhậpmột máy trạm vào miền phảicó sựđồng ýcủa người quản trịmạng cấp miền và quản trịviên cụcbộtrên máy trạm đó. Nói cách khác khi bạn muốn gia nhậpmột máy trạm vào miền, bạn phải đăng nhậpcụcbộvào máy trạmvới vai trò là 245  administrator, sau đó gia nhập vào miền, hệthống sẽyêu cầubạn xác thựcbằng một tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn có thểdùng trực tiếp tài khoản administrator cấp miền). III.2.2 Các bước cài đặt. Đăng nhậpcụcbộvào máy trạmvới vai trò người quản trị(có thểdùng trực tiếp tài khoản administrator). Nhấp phải chuột trên biểutượng My Computer, chọn Properties,hộp thoại System Properties xuất hiện, trong Tab Computer Name,bạn nhấp chuột vào nút Change.Hộp thoại nhập liệu xuất hiệnbạn nhập tên miềncủamạng cần gia nhập vào mục Member of Domain.
  17. Máy trạmdựa trên tên miền mà bạn đã khai báo đểtìm đến Domain Controller gần nhất và xin gia nhập vào mạng, Server sẽyêu cầubạn xác thựcvớimột tài khoản người dùng cấp miền có quyền quản trị. Sau khi xác thực chính xác và hệthống chấp nhận máy trạm này gia nhập vào miền thì hệthống xuất hiện thông báo thành công và yêu cầubạn reboot máy lại đểđăng nhập vào mạng. Đến đây, bạn thấyhộp thoại Log on to Windows mà bạn dùng mỗi ngày có vài điều khác, đó là xuất hiện thêm mục Log on to, và cho phép bạn chọnmột trong hai phần là: NETCLASS, This Computer. Bạn chọnmục NETCLASS khi bạn muốn đăng nhập vào miền, nhớrằng lúc nàybạn phải dùng tài khoản người dùng cấp miền. Bạn chọnmục This Computer khi bạn muốn logon cụcbộvào máy trạm nào và nhớdùng tài khoảncụcbộcủa máy.
  18. III.3. Xây dựng các Domain Controller đồng hành. III.3.1 Giới thiệu. Domain Controller là máy tính điều khiểnmọi hoạt động củamạng nếu máy này có sựcốthì toàn bộhệthống mạng bịtê liệt.Do tính năng quan trọng này nên trong mộthệthống mạng thông thường chúng ta phải xây dựng ít nhất hai máy tính Domain Controller. Nhưđã trình bày ởtrên thì Windows Server 2003 không còn phân biệt máy Primary Domain Controller và Backup Domain Controller nữa, mà nó xem hai máy này có vai trò ngang nhau, cùng nhau tham gia chứng thực người dùng. Nhưchúng ta đã biết, công việc chứng thực đăng nhập thường được thực hiện vào đầu giờmỗi buổi làm việc, nếumạng củabạn chỉcó một máy điều khiển dùng và 10.000 nhân viên thì chuyện gì sẽxẩy ra vào mỗi buổi sáng? Đểgiải quyết trường hợp trên, Microsoft cho phép các máy điều khiển vùng trong mạng cùng nhau hoạt động đông thời, chia sẻcông việccủa nhau, khi có một máy bịsựcốthì các máy còn lại đảm nhiệm luôn công việc máy này. Do đó trong tài liệu này chúng tôi gọi các máy này là các máy điều khiển vùng đồng hành. Nhưng khi khảo sát sâu vềActive Directory thì máy điều khiển vùng đượctạo đầu tiên vẫn có vai trò đặc biệthơn đó là FSMO (flexible single master of operations). Chú ý đểđảmbảo các máy điều khiển vùng này hoạt động chính xác thì chúng phải liên lạc và trao đổi thông tin với nhau khi có các thay đổivềthông tin người dùng như:tạomới tài khoản, đổimật khẩu, xóa tài khoản. Việc trao đổi thông tin này gọi là Active Directory Replication. Đặc biệt các server Active Directory cho phép nén dữliệu trước khi gởi đến các server khác, tỉlệnén đến 10:1, đo đó chúng có thểtruyền trên các đường truyền WAN chậm chạp. Trong hệthống mạng máy tính của chúng ta nếutấtcảcác máy điều khiển vùng đều là Windows Server 2003 thì chúng ta nên chuyển miền trong mạng này sang cấp độhoạt động Windows Server 2003 (Windows Server 2003 functional level) đểkhai thác hết các tính năng mớicủa Active 247 Directory. III.3.2 Các bước cài đặt. Khi đóhộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next đểtiếptục.
  19. Chương trình xuất hiệnhộp thoạicảnh báo: DOS, Windows 95 và WinNT SP3 trởvềtrướcsẽbịloại ra khỏi miền Active Directory dựa trên Windows Server 2003.Bạn chọn Next đểtiếptục. Trong hộp thoại Domain Controller Type, chọnmục Additional domain cotroller for an existing domain và nhấn chọn Next, vì chúng ta muốnbổsung thêm máy điều khiển vùng vào một domain có sẵn.
  20. Tiếp theo hệthống yêu cầubạn xác thựcbạn phải người quản trịcấp miền thì mới có quyềntạo các Domain Controller.Bạn nhập tài khoản người dùng có quyền quản trịvào hộp thoại này. Chương trình yêu cầubạn nhập Full DNS Name của miền mà bạncầntạo thêm Domain Controller.
Đồng bộ tài khoản