Cai dat va cau hinh Windows Server 2012 R2 (43)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (42)")



Cấu hình global catalog


Global catalog là danh sách (index) của tất cả các đối tượng trong một forest. Nhờ danh sách này, việc tìm kiếm các đối tượng trong forest sẽ hiệu quả hơn, hệ thống sẽ không phải tìm kiếm các đối tượng trong các domain controller khác nhau.

Tầm quan trọng của global catalog phụ thuộc vào kích thước của hệ thống mạng và cách cấu hình của mỗi site. Ví dụ, nếu hệ thống mạng chỉ có một domain, các domain controller đều nằm trong cùng một site, băng thông mạng ổn định, thì global catalog chỉ được sử dụng trong việc tìm kiếm các group kiểu universal. Trong trường hợp này, bạn có thể cấu hình tất cả các domain controller làm global catalog server. Khi đó, việc tìm kiếm sẽ được chia tải giữa các server và việc đồng bộ cũng không gây ảnh hưởng nhiều tới hệ thống mạng.

Tuy nhiên, nếu hệ thống mạng gồm nhiều domain, các domain controller được đặt ở nhiều site khác nhau, các site được kết nối với nhau bằng đường WAN, thì việc cấu hình global catalog cần phải xem xét cẩn thận. Việc người sử dụng phải thực hiện tìm kiếm các đối tượng của AD DS giữa các site với đường WAN chậm chạp là điều không thể chấp nhận được. Để giải quyết vấn đề này, bạn sẽ cấu hình mỗi site có một global catalog server. Tuy bạn phải trả giá cho việc đồng bộ dữ liệu giữa các global catalog server, nhưng đổi lại quá trình sử dụng của người dùng sẽ rất hiệu quả.

Bạn có thể thiết lập một domain controller làm global catalog server ngay khi thực hiện nâng cấp lên domain controller. Tuy nhiên, nếu không, bạn vẫn có thể thiết lập một domain controller làm global catalog server theo các bước sau:

1. Mở Server Manager, mở trình đơn Tools, chọn Active Directory Sites And Services để mở cửa sổ Active Directory Sites And Services.

2. Ở khung bên trái, xổ nút Sites, chọn site có chứa domain controller mà bạn muốn thiết lập nó trở thành global catalog server, chọn nút Server, chọn domain controller.

3. Bấm chuột phải vào nút NTDS Settings, chọn Properties để mở cửa sổ NTDS Settings Properties.

4. Đánh dấu chọn vào mục Global Catalog, bấm OK.

5. Đóng cửa sổ Active Directory Sites And Services.

 

Khắc phục lỗi không đăng kí được bản ghi DNS SRV


DNS là thành phần không thể thiếu trong hoạt động của Active Directory Domain Services. Để giúp AD DS hoạt động, DNS sẽ tạo ra một bản ghi SRV cho domain controller vừa tạo, bản ghi này giúp các client kết nối được tới domain controller và các dịch vụ AD DS khác.

Khi bạn tạo domain controller mới, một trong những việc quan trọng là đăng kí domain controller này với hệ thống DNS. Vì quá trình này diễn ra tự động, nên AD DS forest phải truy cập được vào DNS server, và DNS server phải cho phép cập nhật động (Dynamic Updates).

Nếu việc tạo ra bản ghi SRV bị thất bại, các máy tính trong mạng sẽ không thể tìm thấy domain controller, điều này sẽ dẫn tới hàng loạt các trục trặc khác trong hệ thống mạng. Ví dụ: các máy client sẽ không thể tìm thấy máy domain controller để gia nhập vào domain, các server thành viên trong mạng không thể truy cập tới domain controller, và các domain controller còn lại không thể thực hiện đồng bộ với nó.

Nguyên nhân của tình trạng không tạo được bản ghi SRV là do mạng không thông hoặc do cấu hình phía DNS client bị lỗi.

Cách khắc phục là thực hiện ping tới DNS server để kiểm tra thông mạng, sau đó kiểm tra xem địa chỉ IP của DNS server trong cạc mạng đã được cấu hình đúng chưa.

Để kiểm tra xem domain controller đã đăng kí thành công trên hệ thống DNS chưa, mở cửa sổ dòng lệnh với quyền quản trị, nhập lệnh sau:

dcdiag /test:registerindns /dnsdomain:<domain name> /v

Xem hình minh họa.


Tóm tắt nội dung


Dịch vụ danh bạ (directory service) là một kho chứa các thông tin về phần cứng, phần mềm, và người dùng có trong một hệ thống mạng. AD (Active Directory) hay AD DS (Active Directory Domain Services) là dịch vụ danh bạ do Microsoft phát triển. Phiên bản AD DS đầu tiên được Microsoft giới thiệu trong Windows 2000 Server. AD DS liên tục được nâng cấp. Hiện tại, AD DS cũng đang được tích hợp trong Windows Server 2012 R2.

Để triển khai AD DS, bước đầu tiên phải làm là tạo forest, trong forest tạo domain đầu tiên, domain này được gọi là forest root domain.

Khi bạn tạo domain đầu tiên cho một AD DS, cũng chính là bạn đang tạo gốc (root) cho một domain tree. Sau đó, bạn có thể mở rộng domain tree của mình bằng cách thêm vào các domain mới, miễn là tên của domain mới có quan hệ cha-con với domain đã tồn tại.

Với Windows Server 2012 R2 đang chạy ở chế độ server core, bạn có thể sử dụng Windows PowerShell để cài đặt AD DS và nâng cấp server lên thành domain controller.

IFM là một giải pháp cho phép người quản trị thực hiện đồng bộ dữ liệu cho các domain controller ở xa một cách hiệu quả.

Có hai cách để chuyển hạ tầng AD DS lên Windows Server 2012 R2. Cách một là nâng cấp chức năng của domain controller lên mức Windows Server 2012 R2. Cách hai là thêm domain controller chạy Windows Server 2012 R2 vào domain đó.

Global catalog là danh sách (index) của tất cả các đối tượng trong một forest. Nhờ danh sách này, việc tìm kiếm các đối tượng trong forest sẽ hiệu quả hơn, hệ thống sẽ không phải tìm kiếm các đối tượng trong các domain controller khác nhau.

DNS là thành phần không thể thiếu trong hoạt động của Active Directory Domain Services. Để giúp AD DS hoạt động, DNS sẽ tạo ra một bản ghi SRV cho domain controller vừa tạo, bản ghi này giúp các client kết nối được tới domain controller và các dịch vụ AD DS khác.

 

Câu hỏi ôn tập


1.      Trong môi trường AD, đối tượng nào sau đây không thể chứa các domain?
A.    OU
B.     Site
C.     Tree
D.    Forest
2.      Hai loại (lớp) đối tượng quan trọng trong AD là?
A.    Tài nguyên (resource)
B.     Đối tượng nút lá, không thể chứa các đối tượng khác (Leaf)
C.     Domain
D.    Thùng chứa (Container)
3.      Trong các phát biểu liên quan đến thuộc tính (attribute) của một đối tượng (object), phát biểu nào sau đây không đúng?
A.    Người quản trị phải cung cấp thông tin bằng tay cho một số thuộc tính.
B.     Mỗi đối tượng thuộc kiểu thùng chứa (container) có một thuộc tính là danh sách các đối tượng mà nó chứa.
C.     Các đối tượng thuộc kiểu leaf không chứa thuộc tính.
D.    Active Directory sẽ tự động tạo GUID cho mỗi đối tượng (globally unique identifier).
4.      Khi thiết kế hạ tầng Active Directory, để hạn chế tới mức tối đa việc tạo domain, lý do nào sau đây không hợp lý?
A.    Việc tạo thêm domain sẽ làm tăng thêm các công việc cài đặt.
B.     Mỗi domain được thêm vào sẽ làm tăng chi phí phần cứng.
C.     Một vài ứng dụng sẽ gặp trục trặc khi làm việc trong forest có nhiều domain.
D.    Bạn phải trả tiền bản quyền cho Microsoft với mỗi domain được tạo ra.
5.      Trong môi trường Active Directory, dịch vụ nào sau đây được client sử dụng để tìm kiếm các đối tượng trên domain khác?
A.    DNS
B.     Global Catalog
C.     DHCP
D.    Site Link

 

5.1             Tạo và quản lý người dùng, máy tính trong AD


Người dùng và máy tính là hai đối tượng thuộc kiểu nút lá (leaf) quan trọng trong AD DS. Việc tạo và quản lý các đối tượng này là công việc thường ngày của người quản trị AD DS.

Các nội dung sẽ được đề cập trong phần này:

- Tạo đối tượng người dùng (user object).

- Tạo đối tượng người dùng (user object)

- Tạo tài khoản người dùng mẫu (template)

- Tạo nhiều tài khoản người dùng

- Tạo tài khoản máy tính

- Quản lý các tài khoản trong AD

- Quản lý nhiều người dùng

- Kết nối máy tính vào domain

- Quản lý các tài khoản (người dùng/máy tính) không sử dụng

 

Tạo đối tượng người dùng (user object)


Tài khoản người dùng là một phương tiện quan trọng, được sử dụng để truy cập tới các tài nguyên trên hệ thống mạng. Mỗi cá nhân sẽ sử dụng tài khoản của riêng mình để truy cập tài nguyên. Trước khi có thể truy cập tới các tài nguyên, người dùng phải vượt qua được quá trình chứng thực (authenticate) của hệ thống.

Chứng thực là quá trình xác minh tính chính danh của người dùng. Người dùng có thể chứng thực bằng mật khẩu, thẻ thông minh, vân tay.

Để chứng thực, người dùng sẽ nhập tên cùng với mật khẩu, hệ thống sẽ so sánh với tên và mật khẩu tương ứng đã được lưu trong cở sở dữ liệu của AD DS, nếu hai cái khớp nhau, quá trình chứng thực thành công.

Đừng nhầm lẫn giữa quá trình chứng thực (authentication) và quá trình cấp quyền sử dụng (authorization). Cấp quyền sử dụng là quá trình cho phép người dùng sử dụng tài nguyên mạng ở các mức độ khác nhau.

Ngoài tên đăng nhập và mật khẩu, mỗi tài khoản người dùng còn có các thông tin khác đi kèm, như: địa chỉ, số điện thoại, định danh, tên đầy đủ…v.v. Tất cả được chứa trong một đối tượng có tên là đối tượng người dùng (user object). Vì vậy, trong một số trường hợp việc dùng hai tên gọi này có thể xem như là một.

Windows Server 2012 R2 có hai loại tài khoản người dùng:
­

- Tài khoản người dùng cục bộ (local user): các tài khoản này chỉ được phép truy cập tài nguyên trên máy cục bộ, thông tin về tài khoản được lưu trong cơ sở dữ liệu cục bộ, cụ thể là trong Security Account Manager (SAM). Thông tin về tài khoản cục bộ không được đồng bộ tới các máy tính khác, do vậy, nó không được nhận ra ở các máy tính khác trong domain.

- Tài khoản người dùng mức miền (domain user): các tài khoản này được phép truy cập tài nguyên trong hệ thống AD DS. Thông tin về tài khoản được lưu trong cơ sở dữ liệu của AD DS và được đồng bộ tới tất cả các domain controller trong cùng domain. Ngoài ra, một số thông tin của tài khoản cũng được lưu trữ tại global catalog và được đồng bộ với các global catalog server trong forest.

 

Các công cụ để tạo tài khoản người dùng


Tạo tài khoản người dùng trong AD là một trong những công việc quen thuộc của người quản trị. Windows Server 2012 R2 cung cấp một số công cụ để tạo tài khoản người dùng. Tùy theo từng tình huống cụ thể, người quản trị sẽ lựa chọn công cụ cho phù hợp.

Khi chỉ tạo một tài khoản người dùng, người quản trị có thể sử dụng Active Directory Administrative Center hoặc Active Directory Users And Computers. Tuy nhiên, trong trường hợp cần tạo nhiều tài khoản, phải tạo gấp hoặc đã có sẵn các thông tin về tài khoản trong một cơ sở dữ liệu, thì có thể sử dụng các công cụ khác hiệu quả hơn. Sau đây là một số công cụ:

- Dsadd.exe: công cụ dòng lệnh, cho phép tạo nhiều tài khoản và các đối tượng kiểu nút lá khác.

- Windows PowerShell: tạo các đối tượng dựa trên kịch bản.

- CSVDE.exe: (Comma-Separated Value Directory Exchange), cho phép tạo các đối tượng từ các thông tin chứa trong tập tin dạng csv (comma-separated value).

- LDIFDE.exe: (LDAP Data Interchange Format Directory Exchange), hoạt động giống CSVDE nhưng có nhiều chức năng hơn, có thể sử dụng LDIFDE để thêm, xóa hoặc thay đổi các đối tượng, có thể thay đổi thông tin của schema.

Phần tiếp theo sẽ trình bày một số tình huống cụ thể trong việc tạo tài khoản người dùng.
 ---------------------------
Tham khảo (Lược dịch): Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2015/4/8
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (44)