intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE
 » 
 » 

Bài giảng Quản trị mạng: Chương 7 - ThS. Nguyễn Thị Phong Dung

Chia sẻ: _ _ | Ngày: | Loại File: PDF | Số trang:23

Thêm vào BST
Báo xấu
12
lượt xem 7
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài giảng Quản trị mạng: Chương 7 Triển khai active directory trên nhiều sites, được biên soạn gồm các nội dung chính sau: Mạng AD-DS có nhiều Sites; Additional Domain Controller (ADC); Quản trị các FSMO roles; Global Catalog server (GC server); Sites và Subnets trong AD-DS; Active Directory Replication; Triển khai phần mềm bằng GPO. Mời các bạn cùng tham khảo!

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Bài giảng Quản trị mạng: Chương 7 - ThS. Nguyễn Thị Phong Dung

  1. TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 7: TRIỂN KHAI ACTIVE DIRECTORY TRÊN NHIỀU SITES Số tín chỉ: 3 Số tiết: 60 tiết GV: ThS. Nguyễn Thị Phong Dung (30 LT + 30 TH) Email : ntpdung@ntt.edu.vn 1
  2. NỘI DUNG • Mạng AD-DS có nhiều Sites. • Additional Domain Controller (ADC). • Quản trị các FSMO roles. • Global Catalog server (GC server). • Sites và Subnets trong AD-DS. • Active Directory Replication. • Triển khai phần mềm bằng GPO. 2
  3. Mạng AD-DS có nhiều Sites • Tình huống: • Doanh nghiệp ABC có một trụ sở chính và 1 Chi nhánh (2 sites) • Kết nối giữa các sites: • Dùng đường truyền thuê bao riêng (Lease Line) • Hoặc dùng mạng riêng ảo (VPN) • Đã triển khai hệ thống mạng Active Directory tại Trụ sở. 3
  4. Mạng AD-DS có nhiều Sites • Nhu cầu quản trị mạng: • Admins tại Trụ sở có quyền quản trị chung toàn mạng. • Tất cả 2 sites cùng chung một mạng Domain (abc.vn). • Đảm bảo chức năng xác thực cho các Client tại mỗi site không lệ thuộc DC tại Trụ sở. • Đảm bảo dự phòng sự cố cho máy DC của mạng. • Đảm bảo khả năng hoạt động liên tục cho hệ thống AD-DS. • Các nhu cầu quản trị mạng phát sinh khác. 4
  5. Mạng AD-DS có nhiều Sites • Các nhược điểm nếu mạng chỉ có 1 máy DC: • Mỗi khi cần xác thực, Client tại Cần Thơ gởi yêu cầu về Sài Gòn: • Thời gian xác thực lệ thuộc tốc độ đường truyền WAN kết nối 2 sites . • Nếu đường WAN bị lỗi => xác thực thất bại. • Client tại Cần Thơ phải khai báo DNS Server là máy DC: • Các truy vấn DNS luôn gởi về DC tại Sài Gòn. • Nếu Sài Gòn mất kết nối WAN => clients Cần Thơ không truy cập được • Nếu máy DC lỗi => cả hệ thống sẽ bị lỗi.. 5
  6. Additional Domain Controller (ADC) • Máy Additional Domain Controller (ADC): • Khái niệm: • Additional domain controller (ADC) là một máy Domain Controller. • Cùng hoạt động song hành với Primary Domain Controller (PDC). • Nguyên tắc hoạt động của Additional DC: • Các tính năng của ADC tương tự như PDC • Duy trì liên lạc và đồng bộ AD-database với PDC chính. • ADC chứng thực cho miền như một Relay agent (chuyển tiếp yêu cầu chứng thực về PDC) • Nếu được kích hoạt Global Catalog Server máy ADC sẽ chứng thực trực tiếp. 6
  7. Additional Domain Controller (ADC) • Triển khai Additional DC từ máy Windows Server: • Chuẩn bị cho máy Windows Server (dự định thăng cấp lên ADC): • IP address và Default Gateway giao tiếp được với máy PDC hiện hữu. • DNS Server: trỏ về PDC hiện hữu. • Không cần thiết phải join vào domain. • Quy trình thăng cấp: • Cài đặt AD-DS role máy Windows Server • Tiến hành thăng cấp với tùy chọn chính: Thăng cấp thành Additional Domain Controller. Kích hoạt trở thành DNS Server và Global Catalog server (nếu cần). • Sau khi thăng cấp hoàn thành, trỏ DNS Server về IP của chính nó (127.0.0.1). 7
  8. Quản trị các FSMO roles • Khái niệm về FSMO roles: • FSMO (Flexible Single Master Operations) là những chức năng quản trị miền của máy DC được chia nhỏ. • Có 5 loại FSMO: FSMO Scope Roles Schema master Forest định hình các thuộc tính, cấu trúc của tất cả đối tượng trong forest. Domain naming Forest quản lý cấu trúc của các miền con trong forest, các external trust với các forest khác RID master Domain cấp phát Relative ID cho các domain objects như: user, group, computer… Infrastructure Domain quản lý quan hệ với các domains trong cùng forest như: child-child, child-parent… PDC emulator Domain đồng bộ thời gian, triển khai GPO, replicate với DC khác… 8
  9. Quản trị các FSMO roles • FSMO trên các loại máy DC: • Máy DC tại Forest root: giữ 2 FSMO roles: • 1. Schema master. • 2. Domain naming. • Máy DC tại mỗi Domain: giữ 3 FSMO: • 1. Infrastructure. • 2. RID master. • 3. PDC emulator. 9
  10. Quản trị các FSMO roles • Transfer FSMO roles: • Định nghĩa: Transfer FSMO là thao tác di chuyển quyền thực thi các FSMO roles từ DC này sang DC khác. • Tình huống sử dụng: • Khi cần bảo trì máy DC mà vẫn đảm bảo hệ thống không gián đoạn. • Khi cần nâng cấp, thay thế máy DC. • Công cụ thực hiện (dạng đồ họa): • “Active Directory User and Computer”: chuyển FSMO thuộc Domain. • “Active Directory Domain and Trust”: chuyển Domain naming FSMO. • “Active Directory Schema”: chuyển Schema FSMO 10
  11. Quản trị các FSMO roles • Seize FSMO roles: • Định nghĩa: Seize FSMO là dành lấy (cướp) quyền thực thi các FSMO roles của DC. • Tình huống sử dụng: • Khi máy DC đang giữ FSMO roles bị hỏng đột ngột. • Công cụ thực hiện: • Dùng lệnh công cụ ntdsutil.exe (sử dụng công cụ này trong bài thực hành) 11
  12. Global Catalog server (GC server) • Global Catalog server: • Global Catalog (GC): là bộ database rút gọn từ AD-DS database. • Global Catalog Server: là một máy DC được quyền sử dụng bộ GC, để có quyền xác thực tài khoản trong miền quản trị. 12
  13. Global Catalog server (GC server) • Vai trò của GC Server với mạng AD-DS nhiều Sites: • Nếu ADC tại Cần Thơ không phải là GC Server: • ADC tiếp nhận yêu cầu xác thực từ Clients. • ADC yêu cầu đó về DC tại Sài Gòn. • DC Sài Gòn xác thực và trả kết quả cho ADC • ADC trả kết quả cho Clients. 13
  14. Global Catalog server (GC server) • Vai trò của GC Server với mạng AD-DS nhiều Sites: • Nếu ADC tại Cần Thơ là GC Server: • ADC tiếp nhận yêu cầu xác thực từ Clients • ADC xác thực và trả kết quả cho Clients. • Ưu điểm: • Nhanh chóng. • Không lệ thuộc tình trạng đường kết WAN và DC Sài Gòn. 14
  15. Sites và Subnets trong AD-DS • Dẫn nhập: • Các máy Client nhận kết quả phân giải tên của miền quản trị (Domain name) từ DNS Server. • Client gởi yêu cầu chứng thực đến DC nào đó (P.DC hoặc A.DC) của AD-DS mà Client nhận được phân giải IP từ DNS Server. • Nhận xét 2 trường hợp: 15
  16. Sites và Subnets trong AD-DS • Sites và Subnets trong AD-DS: • Sites (địa điểm): • Site là đối tượng thể hiện cho một địa điểm đã triển khai AD-DS • Site dùng định vị nơi đặt máy DC của miền quản trị. • Chỉ định nghĩa Site cho những địa điểm có đặt máy DC. • Subnets (địa chỉ mạng): • Subnet là đối tượng đặc trưng cho Network IP address của mỗi Site • => AD-DS so sánh IP address của Client với Subnet để xác định Site của máy Client đó • Chức năng của Site và Subnet: • Client thuộc Site nào thì sẽ ưu tiên gởi yêu cầu xác thực đến máy DC thuộc Site đó. 16
  17. Sites và Subnets trong AD-DS • Minh họa Sites và Subnets: • Công cụ “Active Directory Sites and Services” 17
  18. Active Directory Replication • Active Directory Replication: • AD Replication là quá trình đồng bộ dữ liệu AD-DS giữa các máy DC với nhau. • Dữ liệu đồng bộ gồm: cấu trúc (schema), các đối tượng (user, group, GPO…), thuộc tính các đối tượng (password, policy…) • Định thời đồng bộ: • Các DC trong cùng 1 Site: 15 giây • Các DC khác Site: 180 phút 18
  19. Active Directory Replication • AD Replication trong hệ thống nhiều Sites: • Giả định: • Hệ thống AD-DS có WAN-Link kết nối theo mô hình Hub-and-Spoke. • Mỗi site đã đặt 1 máy DC. • Vấn đề đặt ra: • Nếu DC tại Sài Gòn phát sinh dữ liệu AD mới => đồng bộ được cho các DC ở 2 site kia. • Nếu DC tại Hà Nội phát sinh dữ liệu AD mới => không thể đồng bộ trực tiếp cho DC ở site Cần Thơ. 19
  20. Active Directory Replication • Site link và Replication : • Site link: • Là đối tượng thể hiện cho kết nối mạng vật lý có thật giữa 2 Sites. • Dữ liệu AD sẽ được đồng bộ giữa các DC trên đường Site-link. • Site link cost: chỉ số độ ưu tiên băng thông khi quá trình Replication diễn ra. • Replication interval: định thời gian lặp cho quá trình đồng bộ. • Replication now: • Là thao tác ép buộc DC đồng bộ dữ liệu AD tức thời. • Chỉ thực hiện được nếu NTDS setting của DC có được thiết lập kết nối (Connection) với DC khác. 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

THÔNG TIN
TRỢ GIÚP
HỖ TRỢ KHÁCH HÀNG
Theo dõi chúng tôi

Chịu trách nhiệm nội dung:

Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA

LIÊN HỆ

Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM

Hotline: 093 303 0098

Email: support@tailieu.vn

Giấy phép Mạng Xã Hội số: 670/GP-BTTTT cấp ngày 30/11/2015 Copyright © 2022-2032 TaiLieu.VN. All rights reserved.

 

Đồng bộ tài khoản
4=>1