Bài giảng Quản trị mạng: Chương 7 - ThS. Nguyễn Thị Phong Dung

Bài giảng Quản trị mạng: Chương 7 Triển khai active directory trên nhiều sites, được biên soạn gồm các nội dung chính sau: Mạng AD-DS có nhiều Sites; Additional Domain Controller (ADC); Quản trị các FSMO roles; Global Catalog server (GC server); Sites và Subnets trong AD-DS; Active Directory Replication; Triển khai phần mềm bằng GPO. Mời các bạn cùng tham khảo!
Nội dung trích xuất từ tài liệu:
Bài giảng Quản trị mạng: Chương 7 - ThS. Nguyễn Thị Phong Dung TRƯỜNG ĐẠI HỌC NGUYỄN TẤT THÀNH KHOA CÔNG NGHỆ THÔNG TIN Bài giảng môn học: QUẢN TRỊ MẠNG Chương 7: TRIỂN KHAI ACTIVE DIRECTORY TRÊN NHIỀU SITES Số tín chỉ: 3 Số tiết: 60 tiết GV: ThS. Nguyễn Thị Phong Dung (30 LT + 30 TH) Email : ntpdung@ntt.edu.vn 1 NỘI DUNG • Mạng AD-DS có nhiều Sites. • Additional Domain Controller (ADC). • Quản trị các FSMO roles. • Global Catalog server (GC server). • Sites và Subnets trong AD-DS. • Active Directory Replication. • Triển khai phần mềm bằng GPO. 2 Mạng AD-DS có nhiều Sites • Tình huống: • Doanh nghiệp ABC có một trụ sở chính và 1 Chi nhánh (2 sites) • Kết nối giữa các sites: • Dùng đường truyền thuê bao riêng (Lease Line) • Hoặc dùng mạng riêng ảo (VPN) • Đã triển khai hệ thống mạng Active Directory tại Trụ sở. 3 Mạng AD-DS có nhiều Sites • Nhu cầu quản trị mạng: • Admins tại Trụ sở có quyền quản trị chung toàn mạng. • Tất cả 2 sites cùng chung một mạng Domain (abc.vn). • Đảm bảo chức năng xác thực cho các Client tại mỗi site không lệ thuộc DC tại Trụ sở. • Đảm bảo dự phòng sự cố cho máy DC của mạng. • Đảm bảo khả năng hoạt động liên tục cho hệ thống AD-DS. • Các nhu cầu quản trị mạng phát sinh khác. 4 Mạng AD-DS có nhiều Sites • Các nhược điểm nếu mạng chỉ có 1 máy DC: • Mỗi khi cần xác thực, Client tại Cần Thơ gởi yêu cầu về Sài Gòn: • Thời gian xác thực lệ thuộc tốc độ đường truyền WAN kết nối 2 sites . • Nếu đường WAN bị lỗi => xác thực thất bại. • Client tại Cần Thơ phải khai báo DNS Server là máy DC: • Các truy vấn DNS luôn gởi về DC tại Sài Gòn. • Nếu Sài Gòn mất kết nối WAN => clients Cần Thơ không truy cập được • Nếu máy DC lỗi => cả hệ thống sẽ bị lỗi.. 5 Additional Domain Controller (ADC) • Máy Additional Domain Controller (ADC): • Khái niệm: • Additional domain controller (ADC) là một máy Domain Controller. • Cùng hoạt động song hành với Primary Domain Controller (PDC). • Nguyên tắc hoạt động của Additional DC: • Các tính năng của ADC tương tự như PDC • Duy trì liên lạc và đồng bộ AD-database với PDC chính. • ADC chứng thực cho miền như một Relay agent (chuyển tiếp yêu cầu chứng thực về PDC) • Nếu được kích hoạt Global Catalog Server máy ADC sẽ chứng thực trực tiếp. 6 Additional Domain Controller (ADC) • Triển khai Additional DC từ máy Windows Server: • Chuẩn bị cho máy Windows Server (dự định thăng cấp lên ADC): • IP address và Default Gateway giao tiếp được với máy PDC hiện hữu. • DNS Server: trỏ về PDC hiện hữu. • Không cần thiết phải join vào domain. • Quy trình thăng cấp: • Cài đặt AD-DS role máy Windows Server • Tiến hành thăng cấp với tùy chọn chính: Thăng cấp thành Additional Domain Controller. Kích hoạt trở thành DNS Server và Global Catalog server (nếu cần). • Sau khi thăng cấp hoàn thành, trỏ DNS Server về IP của chính nó (127.0.0.1). 7 Quản trị các FSMO roles • Khái niệm về FSMO roles: • FSMO (Flexible Single Master Operations) là những chức năng quản trị miền của máy DC được chia nhỏ. • Có 5 loại FSMO: FSMO Scope Roles Schema master Forest định hình các thuộc tính, cấu trúc của tất cả đối tượng trong forest. Domain naming Forest quản lý cấu trúc của các miền con trong forest, các external trust với các forest khác RID master Domain cấp phát Relative ID cho các domain objects như: user, group, computer… Infrastructure Domain quản lý quan hệ với các domains trong cùng forest như: child-child, child-parent… PDC emulator Domain đồng bộ thời gian, triển khai GPO, replicate với DC khác… 8 Quản trị các FSMO roles • FSMO trên các loại máy DC: • Máy DC tại Forest root: giữ 2 FSMO roles: • 1. Schema master. • 2. Domain naming. • Máy DC tại mỗi Domain: giữ 3 FSMO: • 1. Infrastructure. • 2. RID master. • 3. PDC emulator. 9 Quản trị các FSMO roles • Transfer FSMO roles: • Định nghĩa: Transfer FSMO là thao tác di chuyển quyền thực thi các FSMO roles từ DC này sang DC khác. • Tình huống sử dụng: • Khi cần bảo trì máy DC mà vẫn đảm bảo hệ thống không gián đoạn. • Khi cần nâng cấp, thay thế máy DC. • Công cụ thực hiện (dạng đồ họa): • “Active Directory User and Computer”: chuyển FSMO thuộc Domain. • “Active Directory Domain and Trust”: chuyển Domain naming FSMO. • “Active Directory Schema”: chuyển Schema FSMO 10 Quản trị các FSMO roles • Seize FSMO roles: • Định nghĩa: Seize FSMO là dành lấy (cướp) quyền thực thi các FSMO roles của DC. • Tình huống sử dụng: • Khi máy DC đang giữ FSMO roles bị hỏng đột ngột. • Công cụ thực hiện: • Dùng lệnh công cụ ntdsutil.exe (sử dụng công cụ này trong bài thực hành) ...