Image One

Giải pháp quản lý tập trung cho mô hình mạng doanh nghiệp – Phần 3: Triển khai Read-Only Domain Controller, Read Only DNS Server và Active Directory Site

Image OneGiả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)
 
Hiện nay hệ thống mạng tại trụ sở chính đang được quản lý theo mô hình Active Directory với domain MSOpenLab.com, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain MSOpenLab.com nên bạn đã join các máy ở Hà Nội vào domain.


I. Giới thiệu
Giả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)
 
Hiện nay hệ thống mạng tại trụ sở chính đang được quản lý theo mô hình Active Directory với domain MSOpenLab.com, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain MSOpenLab.com nên bạn đã join các máy ở Hà Nội vào domain.
 
Trong trường hợp này để việc chứng thực cho hệ thống ở Hà Nội ổn định, ta cần cấu hình thêm một máy Domain Controller (Global Catalog Server) ở Hà Nội, nhưng vì chi nhánh Hà Nội không có bộ phận IT và không đảm bảo bảo mật cho Domain Controller nên ta chỉ muốn Domain Controller ở Hà Nội lưu trữ password và chỉ chứng thực cho các user account của hệ thống Hà Nội. Để giải quyết được nhu cầu này ta sẽ triển khai một Read-Only Domain Controller ở Hà Nội (Read-Only Domain Controller là một chức năng mới trên Windows Server 2008)
 
Và để thuận tiện cho việc chứng thực giữa 2 hệ thống này (user sẽ đuợc chứng thực bằng Global Catalog Server gần nhất) nên ta sẽ chia hệ thống thành 2 site HCM và HANOI.
Bộ bài viết bao gồm các phần
Phần III: Triển khai Read-Only Domain Controller, Read-Only DNS Zones và Active Directory Site
Phần IV: Triển khai Group Policy Object (GPO)
PhầnV: Backup & Restore Active Directory
Phần VI: Triển khai nhiều Domain (Multiple Domain)

Phần III bao gồm các bước:

1.    Thực hiện chia Site
2.    Nâng cấp Read-Only Domain Controller và cài đặt Read-Only DNS Server
3.    Kiểm tra Read-Only Domain Controller, Read-Only DNS Server, Site
4.    Cấu hình Password Replication Policy
5.    Kiểm tra Password Replication Policy
6.    Kiểm tra kết quả
 
II.    Chuẩn bị
-       Mô hình bài lab như phần I, trong phần này sử dụng các máy Server1, Server2, và WS2
-       Cấu hình TCP/IP cho các máy như trong bảng sau:
 
Server1
Server3
WS3
IP Address:192.168.10.100
Subnet Mask: 255.255.255.0
Gateway: 192.168.10.200
DNS: 192.168.10.100
IP Address:172.16.1.1
Subnet Mask: 255.255.255.0
Gateway: 172.16.1.200
DNS: 192.168.10.100
IP Address:172.16.1.2
Subnet Mask: 255.255.255.0
Gateway: 172.16.1.200
DNS: 192.168.10.100
DNS: 172.16.1.1
 
-       Để các máy của 2 hệ thống HCM và HANOI liên lạc được với nhau, trên thực tế ta có thể sử dụng đường Lease Line, Frame Relay…., hoặc cấu hình VPN Site-to-Site.
 
image001.jpg
 
 
-       Để thực hiện phần III yêu cầu các bạn phải thực hiện hoàn tất phần I
-       Tại máy Server1, tạo thêm 1 Reverse Lookup Zones 172.16.1
 
picture001.jpg
 
-       Lần lượt Join Server3 và WS2 vào domain MSOpenLab.com
-       Tạo các Object như trong bảng:
OU
Group
User
HCM
HCMGroup
U1/P@ssword và U2/P@ssword
HN
HNGroup
T1/P@ssword và T2/P@ssword
 
-       User U1 và U2 làm thành viên của HCMGroup
-       User T1 và T2 làm thành viên của HNGroup
 
III.   Thực hiện
1.    Thực hiện chia Site
-       Trên Server1, log on MSOpenLabAdministrator
-       Mở Active Directory Sites and Services từ Administrative Tools, bung Site, chuột phải Default-First-Site-Name chọn Rename
picture001.jpg
 
-       Đổi tên Default-First-Site-Name thành HCM
 
picture002.jpg
 
-       Trong cửa sổ Active Directory Sites and Services, chuột phải Site, chọn New, chọn Site
picture003.jpg
 
-       Trong hộp thoại New Object-Site, nhập HANOI vào ô Name, chọn DEFAULTIPSITELINK, chọn OK
 
picture004.jpg
 
-       Hộp thoại thông báo Active Directory Sites and Services, chọn OK
 
picture005.jpg
 
-       Trong cửa sổ Active Directory Sites and Services, bung Site, chuột phải Subnets, chọn New, chọn Subnet
 
 
 
picture007.jpg
 
-       Trong hộp thoại New Object-Subnet nhập 192.168.10.0/24 vào ô Prefix, chọn HCM, chọn OK
picture008.jpg
 
-       Trong cửa sổ Active Directory Sites and Services, chuột phải Subnets, chọn New, chọn Subnet
picture009.jpg
 
-       Trong hộp thoại New Object-Subnet nhập 172.16.1.0/24 vào ô Prefix, chọn HANOI, chọn OK
 
picture010.jpg
 
-       Trong cửa sổ Active Directory Sites and Services, kiểm tra đã có 2 site HCM, HN và 2 subnet tương ứng.
picture011.jpg
 
2.    Nâng cấp Read-Only Domain Controller và cài đặt Read-Only DNS Server
-       Tại Server3, log on MSOpnenLabAdministrator
-       Vào StartRun, gõ lệnh dcpromo
-       Trong hộp thoại Welcome to the Active Directory Domain Services Installation Wizard, đánh dấu chọn ô Use advanced mode installation, chọn Next.
picture001.jpg
 
-       Hộp thoại Operating System Compatibility, chọn Next
picture002.jpg
 
-       Trong hộp thoại Choose a Deployment Configuration, chọn Existing forest, chọn Add a domain controller to an existing domain, chọn Next
picture003.jpg
 
-          Hộp thoại Network Credentials, giữ cấu hình mặc định, chọn Next
picture004.jpg
 
-       Hộp thoại Select a Domain, chọn Next
picture005.jpg
 
-       Trong hộp thoại Select a Site, chọn site HANOI, chọn Next
picture006.jpg
 
-       Trong hộp thoại Additional Domain Controller Option, đánh dấu chọn cả 3 ô DNS server, Global Catalog, Read-only domain controller (cài đặt Read-only DNS Server, cấu hình Server3 làm Global Catalog Serve và nâng cấp Read-only domain controller), chọn Next
picture008.jpg
 
-       Hộp thoại Specify the Password Replication Policy, chọn Next
picture009.jpg
 
-       Trong hộp thoại Delegation of RODC Installation and Administration, chọn Set, add user T1 vào ô Group or user (ủy quyền cho T1 quản lý RODC), chọn Next
 
 
picture011.jpg
 
-       Hộp thoại Install from Media, giữ cấu hình mặc định, chọn Next 
picture012.jpg
-       Trong hộp thoại Source Domain Controller, chọn Use this specific domain controller, chọn Server1 (PCxx.MSOpenLab.com), chọn Next
picture013.jpg
 
-       Hộp thoại Location for Database, Log Files, and SYSVOL, giữ nguyên đường dẫn mặc định, chọn Next
picture014.jpg
 
-       Hộp thoại Directory Services Restore Mode Administrator Password, nhập P@ssword vào ô PasswordConfirm password, chọn Next
picture015.jpg
 
-       Trong hộp thoại Summary, chọn Next
picture016.jpg
 
-       Trong hộp thoại Active Directory Domain Services Installation Wizard, đánh dấu chọn Reboot on completion. Sau khi quá trình nâng cấp hoàn tất, máy Server3 sẽ tự động restart
 
picture017.jpg
 
3.    Kiểm tra Read-Only Domain Controller, Read-Only DNS Server, Site
-       Tại máy Server3, sau khi khởi động, log on MSOpenLabAdministrator, mở Active Directory Users and Computers, vào OU Domain Controllers, kiểm tra Server3Read-Only Domain Controller
 
picture001.jpg
 
-       Mở DNS Manager từ Administrative Tools, bung Server3Forward Lookup ZonesMSOpenLab.comsitesHANOItcp, kiểm tra Server3 là Global Catalog Server của site HANOI.
-       Kiểm tra trên Server3 không tạo được DNS record mới vì Server3 là Read-Only DNS Server
 
 
picture003.jpg
 
-       Mở Active Directory Sites and Services, bung SitesHANOIServers, kiểm tra có Server3
 
picture005.jpg
 
4.    Cấu hình Password Replication Policy
 
-       Tại Server3, mở Active Directory Users and Computers, vào OU Domain Controllers, chuột phải Server3, chọn Properties
 
picture001.jpg
 
-       Trong hộp thoại Server3 Properties, qua tab Password Replication Policy, chọn Add
 
picture002.jpg
 
-       Hộp thoại Add Groups, Users and Computers, chọn Allow passwords for the account to replicate to this RODC, chọn OK
 
picture003.jpg
 
-       Hộp thoại Select Users, Computers, or Groups, add group HNGroup vào ô Enter the object name to select, chọn OK
picture004.jpg
 
-       Hộp thoại Server3 Properties, kiểm tra có HNGroup, chọn OK
 
picture005.jpg
 
5.    Kiểm tra Password Replication Policy
-       Trên máy WS2, log on lần lượt các user MSOpenLabT1MSOpenLabT2 (mục đích là để lưu password của user T1 và T2 vào Read-Only Domain Controller)
-       Trên máy Server3, mở Active Directory Users and Computers, bung MSOpenLab.comDomain Controllers, chuột phải Server3 chọn Properties
 
picture001.jpg
 
-       Hộp thoại Server3 Properties, chọn Advanced
picture002.jpg
 
-       Trong hộp thoại Advanced Password Replication Policy for SERVER3, kiểm tra đã có user t1t2
picture003.jpg
 
6.    Kiểm tra kết quả
-       Tắt router kết nối site HCMHANOI
-       Đảm bảo máy Server3WS2 không liên lạc được với Server1
-       Trên máy WS2, log on lần lượt MSOpenLabt1MSOpenlabt2, kiểm tra log on thành công
-       Trên máy WS2, log on lần lượt MSOpenlabu1MSOpenlabu2, kiểm tra log on không thành công (password của u1 và u2 không lưu trên Read-Only Domain Controller)

 

Comments

comments

Leave a Reply

Your email address will not be published. Required fields are marked *

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>