Bài giảng Quản trị mạng: Chương 7 - ThS. Nguyễn Thị Phong Dung
lượt xem 7
download
Bài giảng Quản trị mạng: Chương 7 Triển khai active directory trên nhiều sites, được biên soạn gồm các nội dung chính sau: Mạng AD-DS có nhiều Sites; Additional Domain Controller (ADC); Quản trị các FSMO roles; Global Catalog server (GC server); Sites và Subnets trong AD-DS; Active Directory Replication; Triển khai phần mềm bằng GPO. Mời các bạn cùng tham khảo!
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Bài giảng Quản trị mạng: Chương 7 - ThS. Nguyễn Thị Phong Dung
- TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 7: TRIỂN KHAI ACTIVE DIRECTORY TRÊN NHIỀU SITES Số tín chỉ: 3 Số tiết: 60 tiết GV: ThS. Nguyễn Thị Phong Dung (30 LT + 30 TH) Email : ntpdung@ntt.edu.vn 1
- NỘI DUNG • Mạng AD-DS có nhiều Sites. • Additional Domain Controller (ADC). • Quản trị các FSMO roles. • Global Catalog server (GC server). • Sites và Subnets trong AD-DS. • Active Directory Replication. • Triển khai phần mềm bằng GPO. 2
- Mạng AD-DS có nhiều Sites • Tình huống: • Doanh nghiệp ABC có một trụ sở chính và 1 Chi nhánh (2 sites) • Kết nối giữa các sites: • Dùng đường truyền thuê bao riêng (Lease Line) • Hoặc dùng mạng riêng ảo (VPN) • Đã triển khai hệ thống mạng Active Directory tại Trụ sở. 3
- Mạng AD-DS có nhiều Sites • Nhu cầu quản trị mạng: • Admins tại Trụ sở có quyền quản trị chung toàn mạng. • Tất cả 2 sites cùng chung một mạng Domain (abc.vn). • Đảm bảo chức năng xác thực cho các Client tại mỗi site không lệ thuộc DC tại Trụ sở. • Đảm bảo dự phòng sự cố cho máy DC của mạng. • Đảm bảo khả năng hoạt động liên tục cho hệ thống AD-DS. • Các nhu cầu quản trị mạng phát sinh khác. 4
- Mạng AD-DS có nhiều Sites • Các nhược điểm nếu mạng chỉ có 1 máy DC: • Mỗi khi cần xác thực, Client tại Cần Thơ gởi yêu cầu về Sài Gòn: • Thời gian xác thực lệ thuộc tốc độ đường truyền WAN kết nối 2 sites . • Nếu đường WAN bị lỗi => xác thực thất bại. • Client tại Cần Thơ phải khai báo DNS Server là máy DC: • Các truy vấn DNS luôn gởi về DC tại Sài Gòn. • Nếu Sài Gòn mất kết nối WAN => clients Cần Thơ không truy cập được • Nếu máy DC lỗi => cả hệ thống sẽ bị lỗi.. 5
- Additional Domain Controller (ADC) • Máy Additional Domain Controller (ADC): • Khái niệm: • Additional domain controller (ADC) là một máy Domain Controller. • Cùng hoạt động song hành với Primary Domain Controller (PDC). • Nguyên tắc hoạt động của Additional DC: • Các tính năng của ADC tương tự như PDC • Duy trì liên lạc và đồng bộ AD-database với PDC chính. • ADC chứng thực cho miền như một Relay agent (chuyển tiếp yêu cầu chứng thực về PDC) • Nếu được kích hoạt Global Catalog Server máy ADC sẽ chứng thực trực tiếp. 6
- Additional Domain Controller (ADC) • Triển khai Additional DC từ máy Windows Server: • Chuẩn bị cho máy Windows Server (dự định thăng cấp lên ADC): • IP address và Default Gateway giao tiếp được với máy PDC hiện hữu. • DNS Server: trỏ về PDC hiện hữu. • Không cần thiết phải join vào domain. • Quy trình thăng cấp: • Cài đặt AD-DS role máy Windows Server • Tiến hành thăng cấp với tùy chọn chính: Thăng cấp thành Additional Domain Controller. Kích hoạt trở thành DNS Server và Global Catalog server (nếu cần). • Sau khi thăng cấp hoàn thành, trỏ DNS Server về IP của chính nó (127.0.0.1). 7
- Quản trị các FSMO roles • Khái niệm về FSMO roles: • FSMO (Flexible Single Master Operations) là những chức năng quản trị miền của máy DC được chia nhỏ. • Có 5 loại FSMO: FSMO Scope Roles Schema master Forest định hình các thuộc tính, cấu trúc của tất cả đối tượng trong forest. Domain naming Forest quản lý cấu trúc của các miền con trong forest, các external trust với các forest khác RID master Domain cấp phát Relative ID cho các domain objects như: user, group, computer… Infrastructure Domain quản lý quan hệ với các domains trong cùng forest như: child-child, child-parent… PDC emulator Domain đồng bộ thời gian, triển khai GPO, replicate với DC khác… 8
- Quản trị các FSMO roles • FSMO trên các loại máy DC: • Máy DC tại Forest root: giữ 2 FSMO roles: • 1. Schema master. • 2. Domain naming. • Máy DC tại mỗi Domain: giữ 3 FSMO: • 1. Infrastructure. • 2. RID master. • 3. PDC emulator. 9
- Quản trị các FSMO roles • Transfer FSMO roles: • Định nghĩa: Transfer FSMO là thao tác di chuyển quyền thực thi các FSMO roles từ DC này sang DC khác. • Tình huống sử dụng: • Khi cần bảo trì máy DC mà vẫn đảm bảo hệ thống không gián đoạn. • Khi cần nâng cấp, thay thế máy DC. • Công cụ thực hiện (dạng đồ họa): • “Active Directory User and Computer”: chuyển FSMO thuộc Domain. • “Active Directory Domain and Trust”: chuyển Domain naming FSMO. • “Active Directory Schema”: chuyển Schema FSMO 10
- Quản trị các FSMO roles • Seize FSMO roles: • Định nghĩa: Seize FSMO là dành lấy (cướp) quyền thực thi các FSMO roles của DC. • Tình huống sử dụng: • Khi máy DC đang giữ FSMO roles bị hỏng đột ngột. • Công cụ thực hiện: • Dùng lệnh công cụ ntdsutil.exe (sử dụng công cụ này trong bài thực hành) 11
- Global Catalog server (GC server) • Global Catalog server: • Global Catalog (GC): là bộ database rút gọn từ AD-DS database. • Global Catalog Server: là một máy DC được quyền sử dụng bộ GC, để có quyền xác thực tài khoản trong miền quản trị. 12
- Global Catalog server (GC server) • Vai trò của GC Server với mạng AD-DS nhiều Sites: • Nếu ADC tại Cần Thơ không phải là GC Server: • ADC tiếp nhận yêu cầu xác thực từ Clients. • ADC yêu cầu đó về DC tại Sài Gòn. • DC Sài Gòn xác thực và trả kết quả cho ADC • ADC trả kết quả cho Clients. 13
- Global Catalog server (GC server) • Vai trò của GC Server với mạng AD-DS nhiều Sites: • Nếu ADC tại Cần Thơ là GC Server: • ADC tiếp nhận yêu cầu xác thực từ Clients • ADC xác thực và trả kết quả cho Clients. • Ưu điểm: • Nhanh chóng. • Không lệ thuộc tình trạng đường kết WAN và DC Sài Gòn. 14
- Sites và Subnets trong AD-DS • Dẫn nhập: • Các máy Client nhận kết quả phân giải tên của miền quản trị (Domain name) từ DNS Server. • Client gởi yêu cầu chứng thực đến DC nào đó (P.DC hoặc A.DC) của AD-DS mà Client nhận được phân giải IP từ DNS Server. • Nhận xét 2 trường hợp: 15
- Sites và Subnets trong AD-DS • Sites và Subnets trong AD-DS: • Sites (địa điểm): • Site là đối tượng thể hiện cho một địa điểm đã triển khai AD-DS • Site dùng định vị nơi đặt máy DC của miền quản trị. • Chỉ định nghĩa Site cho những địa điểm có đặt máy DC. • Subnets (địa chỉ mạng): • Subnet là đối tượng đặc trưng cho Network IP address của mỗi Site • => AD-DS so sánh IP address của Client với Subnet để xác định Site của máy Client đó • Chức năng của Site và Subnet: • Client thuộc Site nào thì sẽ ưu tiên gởi yêu cầu xác thực đến máy DC thuộc Site đó. 16
- Sites và Subnets trong AD-DS • Minh họa Sites và Subnets: • Công cụ “Active Directory Sites and Services” 17
- Active Directory Replication • Active Directory Replication: • AD Replication là quá trình đồng bộ dữ liệu AD-DS giữa các máy DC với nhau. • Dữ liệu đồng bộ gồm: cấu trúc (schema), các đối tượng (user, group, GPO…), thuộc tính các đối tượng (password, policy…) • Định thời đồng bộ: • Các DC trong cùng 1 Site: 15 giây • Các DC khác Site: 180 phút 18
- Active Directory Replication • AD Replication trong hệ thống nhiều Sites: • Giả định: • Hệ thống AD-DS có WAN-Link kết nối theo mô hình Hub-and-Spoke. • Mỗi site đã đặt 1 máy DC. • Vấn đề đặt ra: • Nếu DC tại Sài Gòn phát sinh dữ liệu AD mới => đồng bộ được cho các DC ở 2 site kia. • Nếu DC tại Hà Nội phát sinh dữ liệu AD mới => không thể đồng bộ trực tiếp cho DC ở site Cần Thơ. 19
- Active Directory Replication • Site link và Replication : • Site link: • Là đối tượng thể hiện cho kết nối mạng vật lý có thật giữa 2 Sites. • Dữ liệu AD sẽ được đồng bộ giữa các DC trên đường Site-link. • Site link cost: chỉ số độ ưu tiên băng thông khi quá trình Replication diễn ra. • Replication interval: định thời gian lặp cho quá trình đồng bộ. • Replication now: • Là thao tác ép buộc DC đồng bộ dữ liệu AD tức thời. • Chỉ thực hiện được nếu NTDS setting của DC có được thiết lập kết nối (Connection) với DC khác. 20
CÓ THỂ BẠN MUỐN DOWNLOAD
-
Bài giảng Quản trị mạng: Chương 4 - Phan Thị Thu Hồng
130 p | 85 | 11
-
Bài giảng Quản trị mạng: Chương 6 - Bùi Minh Quân
40 p | 66 | 11
-
Bài giảng Quản trị mạng - Chương 3: Cài đặt Windows server 2008
18 p | 75 | 9
-
Bài giảng Quản trị mạng - Chương 2: Tổng quan về Windows server 2008
16 p | 79 | 9
-
Bài giảng Quản trị mạng: Chương 5 - ThS. Nguyễn Thị Phong Dung
22 p | 19 | 9
-
Bài giảng Quản trị mạng: Chương 1 - ThS. Nguyễn Thị Phong Dung
32 p | 14 | 9
-
Bài giảng Quản trị mạng: Chương 3.1 - Bùi Minh Quân
37 p | 63 | 8
-
Bài giảng Quản trị mạng: Chương 3 - ThS. Nguyễn Thị Phong Dung
22 p | 16 | 8
-
Bài giảng Quản trị mạng - Chương 1: Giới thiệu Windows server
25 p | 76 | 7
-
Bài giảng Quản trị mạng: Chương 2.2 - Bùi Minh Quân
50 p | 52 | 7
-
Bài giảng Quản trị mạng: Chương 4 - ThS. Nguyễn Thị Phong Dung
20 p | 21 | 7
-
Bài giảng Quản trị mạng: Chương 2 - ThS. Nguyễn Thị Phong Dung
24 p | 17 | 6
-
Bài giảng Quản trị mạng - Chương 7: Chính sách bảo mật
5 p | 85 | 6
-
Bài giảng Quản trị mạng: Chương 8 - ThS. Nguyễn Thị Phong Dung
27 p | 19 | 6
-
Bài giảng Quản trị mạng: Chương 2.3 - Bùi Minh Quân
9 p | 55 | 6
-
Bài giảng Quản trị mạng - Chương 5: Xây dựng các dịch vụ
41 p | 52 | 5
-
Bài giảng Quản trị mạng - Chương 6: Users and Groups
12 p | 52 | 4
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn