I- GIỚI THIỆU:
| Tham gia kênh Telegram của AnonyViet 👉 Link 👈 |
Trong một hệ thống Active Directory lớn, nếu chỉ có một DC thì Server này có thể bị quá tải khi nhiều user cùng yêu cầu chứng thực. Bên cạnh đó user sẽ không được chứng thực khi DC này bị lỗi. Trong phần này sẽ hướng dẫn bạn triển khai nhiều domain controller chạy song song.
II- CÁC BƯỚC TRIỂN KHAI:
Mô hình bài lab bao gồm 3 máy ảo: DC2012 (domain MCTHUB.LOCAL), SERVER1 và SERVER3.
* Quy trình thực hiện:
1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3.
2/ Khảo sát Active Directory
a. Khái niệm Additional Domain Controller (ADC)
b. Những trường hợp cần xây dựng ADC
c. Cài đặt Additional Domain Controller (ADC) cho SERVER1
d. Enforce Replication
e. Chia site hệ thống
III- TRIỂN KHAI CHI TIẾT:
1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3
– Trên máy SERVER 1, bạn nhấn tổ hợp phím ÿ + R, sau đó nhập vào sysprep.
– Bạn nhấn double click vào file sysprep.exe để thực thi file này.
– Trong cửa sổ System Preparation Tool 3.14, bạn đánh dấu chọn vào ô Generalize.
– Chương trình sysprep sẽ tiến hành xóa thông tin cài đặt và tạo ra SID mới.
– Tương tự bạn thực hiện cho máy SERVER3.
– Sau khi gỡ bỏ SID xong, bạn lần lượt đặt lại tên máy, địa chỉ IP của máy dựa theo IP bảng sau:
| DC2012 | SERVER1 | SERVER3 | RTM | ||
| Interface | Private | Private | Private 2 | Private | Private 2 |
| IP address | 172.16.1.10 | 172.16.1.11 | 10.10.0.12 | 172.16.0.1 | 10.10.0.1 |
| Subnet mask | 255.255.0.0 | 255.255.0.0 | 255.0.0.0 | 255.255.0.0 | 255.0.0.0 |
| Default gateway | 172.16.1.1 | 172.16.1.1 | 10.10.0.1 | ||
| Preferred DNS | 172.16.1.10 | 172.16.1.10 | 172.16.0.10 | ||
– Join 2 máy SERVER1 và SERVER3 vào domain MCTHUB.LOCAL.
2/ Khảo sát Active Directory
a. Khái niệm Additional Domain Controller (ADC)
Active Directory Domain Service (AD DS) là trung tâm quản lý và chứng thực cho các đối tượng như: group, user, computer account… AD DS cung cấp tất cả thông tin của một đối tượng cho các dịch vụ cần thiết, ví dụ cung cấp đầy đủ thông tin cho việc chứng thực khi user truy cập tài nguyên…
* Primary Domain Controller (PDC): Trong một domain có thể có nhiều Domain Controller. Domain Controller đầu tiên gọi là Primary Domain Controller (PDC)
* Additional Domain Controller (ADC): Các Domain Controller thêm vào được gọi là Additional Domain Controller (ADC)
Trong hệ thống doanh nghiệp thì bắt buộc phải có PDC và chỉ duy nhất một máy. ADC là tùy chọn dùng trong các trường hợp sau đây.
b. Những trường hợp cần xây dựng ADC
+ Trường Hợp 1: Hệ thống có nhiều site (Site: chỉ khu vực địa lý, vd: Site Sài Gòn – Site Hà Nội).
Giải pháp: dựng thêm ADC ở Site Hà Nội nhằm mục đích chứng thực cho các user ở Hà Nội, mục đích để khi log on không phụ thuộc đường truyền WAN và tăng tốc độ.
+ Trường Hợp 2: Hệ thống chỉ có 1 site Sài Gòn nhưng có số lượng user lớn. Khi log on, DC sẽ bị quá tải và gây ra tình trạng nghẽn mạng.
Giải pháp: Nên dựng thêm ADC để chia tải bớt cho hệ thống (Load Balancing), cân bằng tải giúp hệ thống nhanh hơn.
+ Trường Hợp 3: Hệ thống chỉ có 1 Site Sài Gòn và chỉ có 1 DC, hệ thống nhỏ. Toàn bộ hệ thống hiện đang chạy ổn định. Nhưng một ngày nào đó DC gặp sự cố, thì hệ thống công ty sẽ bị tê liệt. Thời gian khôi phục sẽ mất khá nhiều thời gian.
Giải pháp: Xây dựng ADC để tăng tính sẵn sàng và tính chịu lỗi của hệ thống để hệ thống có tính sẳn sàng cao (High Availability) và tăng tốc độ chứng thực
Mỗi DC sẽ lưu trữ Database riêng. Nếu xây dựng thêm ADC sẽ có thêm database nữa. Tuy nhiên 2 database này luôn luôn đồng bộ với nhau.
c. Cài đặt Additional Domain Controller (ADC) cho SERVER1
– Log on máy SERVER1 bằng quyền Domain Admin: MCTHUB. Mở Server Manager, ở bên trái chọn Local Server. Bạn kiểm tra lại tên Computer Name và Domain.
– Sau khi đã kiểm tra xong, chúng ta sẽ bắt đầu xây dựng ADC. Trước hết bạn cần phải tìm hiểu về quy trình nâng cấp DC.
| Nâng cấp DC Windows Server 2008 | Nâng cấp DC Windows Server 2012 |
| – Khi xây dựng domain, thì:
+ Tự động cài ADDS (Active Directory Domain Services) + Sau đó nâng cấp lên DC |
– Khi xây dựng domain, thì
+ Đầu tiên, bạn phải cài dịch vụ ADDS (Active Directory Domain Services) trước + Sau đó nâng cấp lên DC |
– Mở Server Manager, vào menu Manage, chọn Add Roles and Features.
– Bạn cứ nhấn Next theo mặc định. Ở màn hình Select Server Roles, bạn đánh dấu chọn vào ô Active Directory Domain Services.
– Chương trình sẽ yêu cầu cài thêm các Features, bạn nhấn Add Features.
– Các bước còn lại bạn nhấn Next theo mặc định. Màn hình Confirm installation selections, bạn đánh dấu chọn vào ô Restart the destination server automatically if required, sau đó nhấn Install.
– Bạn kiểm tra Notification và nhấn vào mục Promote this server to a domain controller.
– Màn hình Deployment Configuration, chương trình cung cấp cho bạn ba tùy chọn:
Ø Add a domain controller to an existing domain: Thêm một ADC vào domain có sẵn.
Ø Add a new domain to an existing forest: Xây dựng domain mới trong forest có sẵn.
Ø Add new forest: xây dựng máy DC đầu tiên của forest.
Bạn chọn vào tùy chọn đầu tiên là Add a domain controller to an existing domain.
+ Mục Specify the domain information for this operation, chọn lựa domain mà bạn muốn làm ADC
+ Mục Supply the credentials to perform this operation, bạn phải dùng user Domain Admin thì mới có thể thực hiện việc cài ADC.
– Màn hình Domain Controller Options, bạn có thể đánh dấu chọn vào ô Domain Name System (DNS) server để cài đặt thêm DNS cho ADC. Mục này không bắt buộc. Tuy nhiên bạn nên cài để tăng tính chịu lỗi cho DNS.
Tiếp theo bên dưới là ô Global Catalog (GC). Vậy GC là gì? Trên DC, có AD Database bao gồm: thông tin user, thông tin group, thuộc tính của các user…
Global Catalog là một bản lưu rút gọn của AD Database được sử dụng để chứng thực khi user log on.
+ Bên dưới là mục Type the Directory Services Restore Mode (DSRM) password, bạn nhập vào mật khẩu. Mật khẩu này sẽ được dùng để khôi phục AD ở chế độ Restore Mode.
– Màn hình DNS Options, bạn nhấn Next. Tiếp theo ở màn hình Additional Options, mục Replicate from, bạn lựa chọn Domain mà bạn muốn đồng bộ. Trong bài lab này, bạn chọn Any domain controller, sau đó nhấn Next.
– Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của AD, log files và SYSVOL.
– Các bước còn lại, bạn nhấn Next theo mặc định. Màn hình Prerequisites Check, khi bạn nhận được thông báo All prerequisites check passed successfully nghĩa là quá trình kiểm tra điều kiện để cài đặt ADC đã thành công. Bạn nhấn nút Install để bắt đầu cài đặt.
– Sau khi nâng cấp ADC xong, bạn vào DC2012 tạo user u1. Trên ADC (máy SERVER1), bạn tạo thêm user u2. Kiểm tra giữa 2 máy đồng bộ.
– Tiếp theo, bạn mở Active Directory Users and Computers. Ở bên trái bạn bung domain, chọn Domain Controller. Sau đó bạn nhìn sang cột bên phải, bạn sẽ thấy máy DC2012 và máy SERVER1 đều là Global Catalog Server.
d. Enforce Replication:
Việc đồng bộ giữa 2 DC có thể sẽ không nhanh như mình mong muốn. Để cho 2 DC có thể đồng bộ với nhau ngay lập tức thì bạn phải dùng tính năng Enforce Replication (trên thực tế thì bạn không cần sử dụng tính năng này).
– Trên máy Server1, bạn mở Server Manager, vào menu Tools, chọn Active Directory Sites and Services.
– Ở bên trái bạn bung mục Sites Ü Default-First-Site-Name Ü Servers, bạn tiếp tục bung lần lượt các máy DC2012 và SERVER1.
– Muốn thực thi ngay việc đồng bộ hóa, bạn nhấn vào NTDS Settings của DC2012, sau đó nhấn chuột phải vào automatically generate, chọn Replicate now.
– Tương tự bạn làm cho NTDS Settings của máy SERVER1. Kiểm tra AD Users and Computers sẽ thấy đồng bộ.
e. Chia site hệ thống
Công ty có 2 văn phòng: Văn phòng chính ở Sài Gòn và văn phòng chi nhánh ở Hà Nội. Bạn xây dựng hệ thống domain cho công ty. Tuy nhiên khi user ở Hà Nội log on thì có thể phải sang DC ở Sài Gòn chứng thực và ngược lại do cơ chế phân giải Round Robin của DNS. Do đó việc log on nhanh hay chậm phụ thuộc vào kết quả phân giải của DNS Server và chất lượng đường truyền.
Giải pháp: Xây dựng SERVER 3 ở Hà Nội làm ADC và chia Site theo từng khu vực, Client ở Site nào thì logon ở Site đó.
– Trên DC2012, mở Server Manager. Sau đó bạn vào menu Tools, chọn Active Directory Sites and Services.
– Chuột phải vào Default First Site Name, chọn Rename.
– Bạn đổi tên thành SaiGon.
– Chuột phải lên Sites, chọn New Site.
– Trong cửa sổ New Object – Site, ở mục Name, bạn đặt tên Site là HANOI. Chọn Site link có sẵn là DEFAULTIPSITELINK.
– Hộp thoại Active Directory Domain Services, bạn nhấn OK.
– Quan sát thấy Site HaNoi đã được tạo.
– Chuột phải vào Subnets, chọn New Subnet.
– Ở mục Select a site object for this prefix, bạn chọn Site SaiGon. Ở mục Prefix đặt tên lớp mạng ở Site SaiGon.
– Tương tự bạn làm cho Site HaNoi.
– Tiếp theo bạn cài đặt AD DS và nâng cấp SERVER3 thành ADC (lưu ý trong quá trình nâng cấp chọn Site HANOI). Khi đó user log on trên 1 Client nào đó, hệ thống sẽ xác định IP của Client để xác định Subnet, từ đó xác định Site. Client sẽ chứng thực tại Global Catalog Server cùng Site
Cám ơn dã xem bài viết
I- GIỚI THIỆU:
Trong một hệ thống Active Directory lớn, nếu chỉ có một DC thì Server này có thể bị quá tải khi nhiều user cùng yêu cầu chứng thực. Bên cạnh đó user sẽ không được chứng thực khi DC này bị lỗi. Trong phần này sẽ hướng dẫn bạn triển khai nhiều domain controller chạy song song.
II- CÁC BƯỚC TRIỂN KHAI
Mô hình bài lab bao gồm 3 máy ảo: DC2012 (domain MCTHUB.LOCAL), SERVER1 và SERVER3.
* Quy trình thực hiện:
1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3.
2/ Khảo sát Active Directory
a. Khái niệm Additional Domain Controller (ADC)
b. Những trường hợp cần xây dựng ADC
c. Cài đặt Additional Domain Controller (ADC) cho SERVER1
d. Enforce Replication
e. Chia site hệ thống
III- TRIỂN KHAI CHI TIẾT
1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3
Mô hình của bạn cần nhiều Server sử dụng Windows 2012. Để tiết kiệm thời gian và đỡ phải cài nhiều lần 1 hệ điều hành thì bạn dùng dạng đĩa ảo Differencing Disk (xem bài “Tổng Quan Hyper-V trên Windows Server 2012“). Tuy nhiên bạn sẽ gặp phải vấn đề khi nâng cấp ADC hay domain mới do các máy ảo sẽ bị trùng SID (Security Identifier). Do đó, trong trường hợp này bạn cần phải thay đổi SID cho các máy ảo
– Trên máy SERVER 1, bạn nhấn tổ hợp phím ÿ + R, sau đó nhập vào sysprep.
– Bạn nhấn double click vào file sysprep.exe để thực thi file này.
– Trong cửa sổ System Preparation Tool 3.14, bạn đánh dấu chọn vào ô Generalize.
– Chương trình sysprep sẽ tiến hành xóa thông tin cài đặt và tạo ra SID mới.
– Tương tự bạn thực hiện cho máy SERVER3.
– Sau khi gỡ bỏ SID xong, bạn lần lượt đặt lại tên máy, địa chỉ IP của máy dựa theo IP bảng sau:
| DC2012 | SERVER1 | SERVER3 | RTM | ||
| Interface | Private | Private | Private 2 | Private | Private 2 |
| IP address | 172.16.1.10 | 172.16.1.11 | 10.10.0.12 | 172.16.0.1 | 10.10.0.1 |
| Subnet mask | 255.255.0.0 | 255.255.0.0 | 255.0.0.0 | 255.255.0.0 | 255.0.0.0 |
| Default gateway | 172.16.1.1 | 172.16.1.1 | 10.10.0.1 | ||
| Preferred DNS | 172.16.1.10 | 172.16.1.10 | 172.16.0.10 | ||
– Join 2 máy SERVER1 và SERVER3 vào domain MCTHUB.LOCAL.
2/ Khảo sát Active Directory
a. Khái niệm Additional Domain Controller (ADC)
Active Directory Domain Service (AD DS) là trung tâm quản lý và chứng thực cho các đối tượng như: group, user, computer account… AD DS cung cấp tất cả thông tin của một đối tượng cho các dịch vụ cần thiết, ví dụ cung cấp đầy đủ thông tin cho việc chứng thực khi user truy cập tài nguyên…
* Primary Domain Controller (PDC): Trong một domain có thể có nhiều Domain Controller. Domain Controller đầu tiên gọi là Primary Domain Controller (PDC)
* Additional Domain Controller (ADC): Các Domain Controller thêm vào được gọi là Additional Domain Controller (ADC)
Trong hệ thống doanh nghiệp thì bắt buộc phải có PDC và chỉ duy nhất một máy. ADC là tùy chọn dùng trong các trường hợp sau đây.
b. Những trường hợp cần xây dựng ADC
+ Trường Hợp 1: Hệ thống có nhiều site (Site: chỉ khu vực địa lý, vd: Site Sài Gòn – Site Hà Nội).
Giải pháp: dựng thêm ADC ở Site Hà Nội nhằm mục đích chứng thực cho các user ở Hà Nội, mục đích để khi log on không phụ thuộc đường truyền WAN và tăng tốc độ.
+ Trường Hợp 2: Hệ thống chỉ có 1 site Sài Gòn nhưng có số lượng user lớn. Khi log on, DC sẽ bị quá tải và gây ra tình trạng nghẽn mạng.
Giải pháp: Nên dựng thêm ADC để chia tải bớt cho hệ thống (Load Balancing), cân bằng tải giúp hệ thống nhanh hơn.
+ Trường Hợp 3: Hệ thống chỉ có 1 Site Sài Gòn và chỉ có 1 DC, hệ thống nhỏ. Toàn bộ hệ thống hiện đang chạy ổn định. Nhưng một ngày nào đó DC gặp sự cố, thì hệ thống công ty sẽ bị tê liệt. Thời gian khôi phục sẽ mất khá nhiều thời gian.
Giải pháp: Xây dựng ADC để tăng tính sẵn sàng và tính chịu lỗi của hệ thống để hệ thống có tính sẳn sàng cao (High Availability) và tăng tốc độ chứng thực
Mỗi DC sẽ lưu trữ Database riêng. Nếu xây dựng thêm ADC sẽ có thêm database nữa. Tuy nhiên 2 database này luôn luôn đồng bộ với nhau.
c. Cài đặt Additional Domain Controller (ADC) cho SERVER1
– Log on máy SERVER1 bằng quyền Domain Admin: MCTHUB. Mở Server Manager, ở bên trái chọn Local Server. Bạn kiểm tra lại tên Computer Name và Domain.
– Sau khi đã kiểm tra xong, chúng ta sẽ bắt đầu xây dựng ADC. Trước hết bạn cần phải tìm hiểu về quy trình nâng cấp DC.
| Nâng cấp DC Windows Server 2008 | Nâng cấp DC Windows Server 2012 |
| – Khi xây dựng domain, thì:
+ Tự động cài ADDS (Active Directory Domain Services) + Sau đó nâng cấp lên DC |
– Khi xây dựng domain, thì
+ Đầu tiên, bạn phải cài dịch vụ ADDS (Active Directory Domain Services) trước + Sau đó nâng cấp lên DC |
– Mở Server Manager, vào menu Manage, chọn Add Roles and Features.
– Bạn cứ nhấn Next theo mặc định. Ở màn hình Select Server Roles, bạn đánh dấu chọn vào ô Active Directory Domain Services.
– Chương trình sẽ yêu cầu cài thêm các Features, bạn nhấn Add Features.
– Các bước còn lại bạn nhấn Next theo mặc định. Màn hình Confirm installation selections, bạn đánh dấu chọn vào ô Restart the destination server automatically if required, sau đó nhấn Install.
– Bạn kiểm tra Notification và nhấn vào mục Promote this server to a domain controller.
– Màn hình Deployment Configuration, chương trình cung cấp cho bạn ba tùy chọn:
Ø Add a domain controller to an existing domain: Thêm một ADC vào domain có sẵn.
Ø Add a new domain to an existing forest: Xây dựng domain mới trong forest có sẵn.
Ø Add new forest: xây dựng máy DC đầu tiên của forest.
Bạn chọn vào tùy chọn đầu tiên là Add a domain controller to an existing domain.
+ Mục Specify the domain information for this operation, chọn lựa domain mà bạn muốn làm ADC
+ Mục Supply the credentials to perform this operation, bạn phải dùng user Domain Admin thì mới có thể thực hiện việc cài ADC.
– Màn hình Domain Controller Options, bạn có thể đánh dấu chọn vào ô Domain Name System (DNS) server để cài đặt thêm DNS cho ADC. Mục này không bắt buộc. Tuy nhiên bạn nên cài để tăng tính chịu lỗi cho DNS.
Tiếp theo bên dưới là ô Global Catalog (GC). Vậy GC là gì? Trên DC, có AD Database bao gồm: thông tin user, thông tin group, thuộc tính của các user…
Global Catalog là một bản lưu rút gọn của AD Database được sử dụng để chứng thực khi user log on.
+ Bên dưới là mục Type the Directory Services Restore Mode (DSRM) password, bạn nhập vào mật khẩu. Mật khẩu này sẽ được dùng để khôi phục AD ở chế độ Restore Mode.
– Màn hình DNS Options, bạn nhấn Next. Tiếp theo ở màn hình Additional Options, mục Replicate from, bạn lựa chọn Domain mà bạn muốn đồng bộ. Trong bài lab này, bạn chọn Any domain controller, sau đó nhấn Next.
– Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của AD, log files và SYSVOL.
– Các bước còn lại, bạn nhấn Next theo mặc định. Màn hình Prerequisites Check, khi bạn nhận được thông báo All prerequisites check passed successfully nghĩa là quá trình kiểm tra điều kiện để cài đặt ADC đã thành công. Bạn nhấn nút Install để bắt đầu cài đặt.
– Sau khi nâng cấp ADC xong, bạn vào DC2012 tạo user u1. Trên ADC (máy SERVER1), bạn tạo thêm user u2. Kiểm tra giữa 2 máy đồng bộ.
– Tiếp theo, bạn mở Active Directory Users and Computers. Ở bên trái bạn bung domain, chọn Domain Controller. Sau đó bạn nhìn sang cột bên phải, bạn sẽ thấy máy DC2012 và máy SERVER1 đều là Global Catalog Server.
d. Enforce Replication:
Việc đồng bộ giữa 2 DC có thể sẽ không nhanh như mình mong muốn. Để cho 2 DC có thể đồng bộ với nhau ngay lập tức thì bạn phải dùng tính năng Enforce Replication (trên thực tế thì bạn không cần sử dụng tính năng này).
– Trên máy Server1, bạn mở Server Manager, vào menu Tools, chọn Active Directory Sites and Services.
– Ở bên trái bạn bung mục Sites Ü Default-First-Site-Name Ü Servers, bạn tiếp tục bung lần lượt các máy DC2012 và SERVER1.
– Muốn thực thi ngay việc đồng bộ hóa, bạn nhấn vào NTDS Settings của DC2012, sau đó nhấn chuột phải vào automatically generate, chọn Replicate now.
– Tương tự bạn làm cho NTDS Settings của máy SERVER1. Kiểm tra AD Users and Computers sẽ thấy đồng bộ.
e. Chia site hệ thống
Công ty có 2 văn phòng: Văn phòng chính ở Sài Gòn và văn phòng chi nhánh ở Hà Nội. Bạn xây dựng hệ thống domain cho công ty. Tuy nhiên khi user ở Hà Nội log on thì có thể phải sang DC ở Sài Gòn chứng thực và ngược lại do cơ chế phân giải Round Robin của DNS. Do đó việc log on nhanh hay chậm phụ thuộc vào kết quả phân giải của DNS Server và chất lượng đường truyền.
Giải pháp: Xây dựng SERVER 3 ở Hà Nội làm ADC và chia Site theo từng khu vực, Client ở Site nào thì logon ở Site đó.
– Trên DC2012, mở Server Manager. Sau đó bạn vào menu Tools, chọn Active Directory Sites and Services.
– Chuột phải vào Default First Site Name, chọn Rename.
– Bạn đổi tên thành SaiGon.
– Chuột phải lên Sites, chọn New Site.
– Trong cửa sổ New Object – Site, ở mục Name, bạn đặt tên Site là HANOI. Chọn Site link có sẵn là DEFAULTIPSITELINK.
– Hộp thoại Active Directory Domain Services, bạn nhấn OK.
– Quan sát thấy Site HaNoi đã được tạo.
– Chuột phải vào Subnets, chọn New Subnet.
– Ở mục Select a site object for this prefix, bạn chọn Site SaiGon. Ở mục Prefix đặt tên lớp mạng ở Site SaiGon.
– Tương tự bạn làm cho Site HaNoi.
– Tiếp theo bạn cài đặt AD DS và nâng cấp SERVER3 thành ADC (lưu ý trong quá trình nâng cấp chọn Site HANOI).
Khi đó user log on trên 1 Client nào đó, hệ thống sẽ xác định IP của Client để xác định Subnet, từ đó xác định Site. Client sẽ chứng thực tại Global Catalog Server cùng Site
