Cài đặt AD DS trên Server Core
Với Windows Server 2012 R2 đang chạy ở chế độ server core, bạn có thể sử dụng Windows PowerShell để cài đặt AD DS và nâng cấp server lên thành domain controller.
Trong chế độ server core của Windows Server 2008 và Windows Server 2008 R2, bạn có thể sử dụng chương trình Dcpromo.exe với tham số /unattend để tự động cài đặt AD DS. Các tham số cần thiết cho quá trình cài đặt được lưu sẵn trong một tập tin (answer file).
Windows Server 2012 R2 không cho phép chạy dcpromo.exe nếu không có tham số /unattend đi kèm. Do vậy, nếu người quản trị muốn nâng cấp một máy tính lên domain controller tự động bằng lệnh dcpromo.exe /unattend thì vẫn có thể thực hiện được, mặc dù hệ thống có xuất hiện cảnh báo “The dcpromo unattended operation is replaced by the ADDSDeployment module for Windows PowerShell”.
Phương pháp được nhiều người sử dụng để cài đặt AD DS trên Server Core là dùng Windows PowerShell. Quá trình cài đặt cũng gồm hai bước như khi thực hiện cài đặt bằng wizard, gồm: cài đặt role AD DS, sau đó là nâng cấp server lên domain controller.
Để cài đặt role AD DS, bạn chạy chương trình PowerShell, nhập lệnh sau:
Install-WindowsFeature –name AD-Domain-Services –IncludeManagementTools
Lưu ý, như thường lệ, lệnh Install-WindowsFeature không cài đặt công cụ để quản lý role tương ứng, để có công cụ quản lý, bạn phải thêm tham số -IncludeManagementTools.
Khi đã cài đặt xong role AD DS, bạn sẽ thực hiện nâng cấp server thành domain controller, việc này phức tạp hơn một chút. ADDSDeployment của Windows PowerShell cung cấp ba lệnh khác nhau liên quan đến tạo forest (Install-ADDSForest), nâng cấp lên domain controller (Install-ADDSDomainController) và thêm domain vào forest (Install-ADDSDomain).
Mỗi lệnh có kèm theo rất nhiều tham số, giống như lúc bạn thực hiện bằng Active Directory Domain Services Configuration Wizard. Dưới đây là một ví dụ đơn giản nhất, để nâng cấp một máy tính thành domain controller cùng với việc tạo forest có tên là dalat.com.
Install-ADDSForest –DomainName “dalat.com”
PowerShell sẽ yêu cần bạn lần lượt nhập các tham số tương tự như khi thực hiện bằng Active Directory Domain Services Configuration Wizard. Bạn cũng có thể sử dụng lệnh Get-Help để xem cú pháp đầy đủ của lệnh Install-ADDSForest. Xem hình minh họa.
Ngoài cách thao tác trực tiếp với giao diện của Windows PowerShell, bạn có cách khác để thực hiện các cài đặt phức tạp như sau: lấy một máy Windows Server 2012 R2 đang chạy giao diện đồ họa (GUI), thực hiện cài đặt bằng wizard (ví dụ: Active Directory Domain Services Configuration Wizard), khi tới bước (trang) Review Option, bấm vào View Script để hiển thị nội dung kịch bản chạy trên Windows PowerShell. Lưu kịch bản này lại để thực hiện trên server khác. Xem hình minh họa.
Windows Server 2012 R2 có khả năng tạo kịch bản này là do, thực tế Server Manager đang chạy trên nền Windows PowerShell. Do vậy, kịch bản sẽ chứa các lệnh và các tham số tương ứng khi bạn chạy bằng wizard. Bạn cũng có thể sử dụng kịch bản này với lệnh Install-ADDSDomainController để triển khai thêm các domain controller cho cùng domain.
Sử dụng phương pháp cài đặt IFM (Install from Media)
Trong phần cài đặt một domain controller dự phòng (đọc lại mục Thêm một domain controller vào domain), tại trang Additional Options của Active Directory Domain Services Configuration Wizard, có xuất hiện tùy chọn Install From Media. Tùy chọn này cho phép người quản trị thực hiện cài đặt một domain controller trên một site ở xa, sử dụng phương pháp IFM.
Thông thường, khi cài đặt một domain controller cho một domain có sẵn, hệ thống sẽ tạo ra cấu trúc cơ sở dữ liệu của AD DS, nhưng chưa có dữ liệu. Dữ liệu sẽ được cập nhật khi domain controller thực hiện đồng bộ với một domain controller có sẵn khác. Trong hệ thống LAN, quá trình đồng bộ sẽ được thực hiện tự động ngay khi hoàn thành việc nâng cấp server lên domain controller.
Tuy nhiên, khi domain controller (mới được tạo ra) chỉ có kết nối WAN với các domain controller có sẵn, việc đồng bộ dữ liệu có thể mất nhiều thời gian và chiếm băng thông của các ứng dụng thông thường. Trong trường hợp này, quá trình đồng bộ dữ liệu chỉ được thực hiện khi người quản trị đã chuẩn bị đường truyền phù hợp.
Lưu ý: ngay khi domain controller được tạo ra, nó sẽ nhận dữ liệu đồng bộ từ các domain controller khác, dữ liệu đồng bộ là toàn bộ cơ sở dữ liệu của AD DS, quá trình này gọi là đồng bộ lần đầu. Tuy nhiên, ở các lần đồng bộ sau, chỉ có các đối tượng có sự thay đổi so với lần đồng bộ trước mới được đồng bộ.
Để tránh các vấn đề có thể xảy ra, liên quan đến việc đồng bộ lần đầu, người quản trị có thể sử dụng thiết bị lưu trữ ngoài để chứa bản sao cơ sở dữ liệu của AD DS. Công cụ dòng lệnh Ntdsutil.exe giúp lưu cơ sở dữ liệu của AD DS vào thiết bị lưu trữ ngoài. Khi đó, việc tạo domain controller ở xa sẽ bao gồm luôn quá trình đồng bộ dữ liệu lần đầu bằng thiết bị lưu trữ ngoài.
Để tạo đĩa IFM, bạn phải chạy chương trình Ntdsutil.exe trên domain controller đang chạy hệ điều hành tương ứng trên server sẽ được nâng cấp. Quá trình thực hiện sẽ yêu cầu nhập các lệnh sau:
- Ntdsutil: để chạy chương trình Ntdsutil.exe
- Activate instance ntds: kết nối tới AD DS của domain controller.
- Ifm: làm việc ở chế độ IFM.
- Create Full|RODC <path name>: lưu cơ sở dữ liệu của AD DS thông thường hoặc AD DS chỉ đọc (RODC) tới một thư mục cụ thể trên đĩa.
Khi nhập xong các lệnh trên, chương trình Ntdsutil.exe sẽ tạo bản sao cơ sở dữ liệu của AD DS và Windows Registry, tất cả được lưu trong một thư mục. Xem hình minh họa.
Sau khi đã tạo đĩa IFM, bạn có thể chép nó sang các phương tiện lưu trữ bất kì để sử dụng khi thực hiện cài đặt một domain controller ở xa. Để sử dụng đĩa IFM, bạn chạy Active Directory Domain Services Configuration Wizard, khi tới trang có mục Install From Media thì đánh dấu chọn vào mục này và chỉ đường dẫn tới nơi chứa đĩa IFM.
Nâng cấp AD DS
Việc chuyển một hạ tầng AD DS đang chạy trên các hệ điều hành phiên bản cũ lên Windows Server 2012 R2 có thể thực hiện dễ hơn so với các phiên bản trước đây.
Có hai cách để chuyển hạ tầng AD DS lên Windows Server 2012 R2. Cách một là nâng cấp chức năng của domain controller lên mức Windows Server 2012 R2. Cách hai là thêm domain controller chạy Windows Server 2012 R2 vào domain đó.
Việc chuyển hạ tầng AD DS lên Windows Server 2012 R2 chỉ thực hiện được khi AD DS đang chạy trên Windows Server 2008 hoặc Windows Server 2008 R2. Các phiên bản cũ hơn không thể thực hiện nâng cấp được.
Trước đây, nếu bạn muốn thêm domain controller chạy hệ điều hành mới hơn vào một domain chạy hệ điều hành cũ, bạn phải chạy chương trình Adprep.exe để nâng cấp domain và forest. Tùy thuộc vào công việc bạn đang thực hiện cài đặt, chương trình sẽ yêu cầu bạn phải chứng thực trên các domain controller khác nhau, bằng các loại tài khoản quản trị khác nhau. Ngoài ra, bạn cũng phải chạy Adprep.exe một vài lần với tham số /domainprep cho mỗi domain và tham số /forestprep cho mỗi forest.
Đối với Windows Server 2012 R2, chương trình Adprep.exe đã được tích hợp sẵn trong Active Directory Domain Services Configuration Wizard của Server Manager. Do vậy, khi bạn cài đặt domain controller mới trên Windows Server 2012 R2, bạn chỉ việc cung cấp tài khoản quản trị hợp lệ, sau đó, mọi công việc còn lại sẽ được thực hiện bởi wizard.
Triển khai Active Directory IaaS trên Windows Azure
Bạn đã quen thuộc với việc chạy Windows Server 2012 R2 trên máy tính thật và trên hạ tầng ảo hóa (máy ảo). Tuy nhiên, bằng việc sử dụng dịch vụ Windows Azure của Microsoft, bạn có thể tạo các máy ảo trên hạ tầng đám mây (cloud). Giải pháp này có tên gọi là Infrastructure as a Service (IaaS), tạm dịch là hạ tầng dạng dịch vụ.
Windows Azure cho phép bạn tạo các máy ảo, mạng ảo trên hạ tầng đám mây. Trên các máy ảo này, bạn có thể tạo AD DS forest. Bạn có thể kết nối hệ thống mạng ảo trên đám mây với hệ thống mạng cục bộ. Việc cài đặt AD DS, nâng cấp lên domain controller trên Windows Azure cũng được thực hiện tương tự như trong hệ thống mạng cục bộ. Tuy nhiên, vấn đề khó khăn cần phải thực hiện chính là việc cấu hình thông mạng giữa mạng cục bộ và mạng trên hạ tầng đám mây.
Gỡ bỏ một domain controller
Bạn không thể sử dụng lệnh Dcpromo.exe để gỡ bỏ một domain controller (hay hạ cấp một máy domain controller) như trước đây. Với Windows Server 2012 R2, bạn sẽ sử dụng Remove Roles And Features Wizard. Các bước cụ thể như sau:
1. Mở Server Manager, vào trình đơn Manage, chọn mục Remove Roles And Features để chạy Remove Roles And Features Wizard.
2. Bấm Next để mở trang Select Destination Server. Chọn server mà bạn dự định gỡ bỏ domain controller. Bấm Next để mở trang Remove Server Roles.
3. Bỏ dấu chọn trong mục Active Directory Domain Services. Bấm Next để mở trang Remove Features That Require Active Directory Domain Services? Bấm nút Remove Features để mở trang Validation Results. Xem hình minh họa.
4. Bấm vào dòng chữ Demote This Domain Controller để chạy Active Directory Domain Services Configuration Wizard, xuất hiện trang Credentials.
5. Đánh dấu chọn vào mục Force The Removal Of This Domain Controller, bấm Next để mở trang New Administrator Password.
6. Nhập mật khẩu cho tài khoản Administrator cục bộ, đây là mật khẩu để đăng nhập vào server, sau khi nó không còn là domain controller. Bấm Next để mở trang Review Options.
7. Bấm nút Demote. Hệ thống sẽ thực hiện gỡ bỏ domain controller và khởi động lại hệ thống.
8. Đăng nhập lại vào server với tài khoản Administrator cục bộ và mật khẩu đã đặt ở bước trước.
9. Chạy lại Remove Roles And Features Wizard, lặp lại việc gỡ bỏ role Active Directory Domain Services. Thực hiện theo các chỉ dẫn cho tới khi hoàn thành.
10. Đóng Wizard và khởi động lại server.
Để gỡ bỏ domain controller bằng Windows PowerShell, sử dụng lệnh sau:
Uninstall-ADDSDomainController –ForceRemoval
---------------------------
Cập nhật 2015/4/5
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (43)
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- Cập nhật 2015/4/5
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (43)