0867.119.339

Icon Icon Icon
Hướng dẫn triển khai AD-DS - Active Directory Domain Services

Thủ thuật

Hướng dẫn triển khai AD-DS – Active Directory Domain Services

11430 12/01/2023

Active Directory (AD) là một dịch vụ thư mục chạy trên Microsoft Windows Server. Chức năng chính Active Directory là cho phép người quản trị quản lý quyền và kiểm soát quyền truy cập vào tài nguyên mạng. Bài viết hôm nay mình sẽ hướng dẫn triển khai AD-DS trong windows server.

Active Directory Domain Services là gì?

ACTIVE DIRECTORY DOMAIN SERVICES (AD-DS) là dịch vụ lưu trữ thông tin thư mục và xử lý tương tác của người dùng với domain. AD DS xác minh quyền truy cập khi người dùng đăng nhập vào thiết bị hoặc cố gắng kết nối với máy chủ qua mạng. AD DS kiểm soát người dùng nào có quyền truy cập vào từng tài nguyên, cũng như các chính sách nhóm.

Ví dụ: quản trị viên thường có cấp truy cập dữ liệu khác với người dùng cuối.

Hướng dẫn triển khai AD-DS - Active Directory Domain Services

Hướng dẫn triển khai AD-DS

Xây dựng hệ thống Domain

Một hệ thống quản trị tập trung Domain được xây dựng khởi đầu từ 1 máy Windows Server.

Với hệ thống mạng mới, việc thăng cấp máy Windows Server thành máy Domain Controller thành công, sẽ hình thành:

  • Một máy Domain Controller đầu tiên.
  • Một miền quản trị đầu tiên (Domain root, Tree rootForest root)
  • Máy tính thành viên của miền lúc này chỉ có duy nhất máy DC.
  • Có sẵn (Built-in) một số UsersGroups, trong đó có user Administrator (tài khoản toàn quyền quản trị mạng Domain).

Hướng dẫn triển khai AD-DS - Active Directory Domain Services

1. Chuẩn bị cho máy dự định làm DC (trước khi khởi tạo hệ thống quản trị Domain):

  • Đặt lại tên máy (Computer Name) riêng. Ví dụ: PDC-2012.
  • Đặt lại các thông số IP tĩnhGateway.
  • Khai báo thông số IP với “Preferred DNS Server”: 0.0.1 (nếu sử dụng máy Windows Server này như là máy DC kiêm nhiệm chức năng DNS Server).
  • Đặt sẵn đĩa cài đặt Windows Server trong CD/DVD của máy dự định làm DC.

2. Tiến hành thăng cấp máy Windows Server 2012 stand-alone thành máy DC.

  • Trong “Server Manager”, Add roles: “Active Directory Domain Services”.
  • Sau khi add role thành công, trong “Server Manager”, tại icon “Notifications” mở “Post-deployment configuration” để tiến hành Promote this server to the Domain Controller” (thăng cấp server này thành DC).
  • Các tùy chọn của việc thăng cấp lên Domain Controller:

Hướng dẫn triển khai AD-DS - Active Directory Domain Services

    • Add a domain controller to an existing domain: thăng cấp thành DC song hành cho một domain hiện hữu.
    • Add a new domain to existing forest: xây dựng miền quản trị này sẽ là miền nhánh / cây (Domain tree) của 1 rừng (forest) hiện hữu.
    • Add a new forest: xây dựng miền quản trị đầu tiên cho một forest mới.
  • Các thao tác cấu hình AD cho một hệ thống mới (new forest):
    • Lựa chọn Add a new forest (thêm một forest mới).
    • Đặt tên cho miền quản trị root domain name. Dùng tên miền tùy ý, dạng DNS đầy đủ (FQDN), tối thiểu là tên miền cấp 2. (ví dụ như: vn hoặc xyz.com…).
    • Domain Controller Options – các tùy chọn khác cho máy DC:

Hướng dẫn triển khai AD-DS - Active Directory Domain Services

      • Forest functional level: lựa chọn phiên bản Windows cho việc tương thích với các chức năng của AD ở tầm forest (ví dụ như Forest trusted relationship)
      • Domain functional level: lựa chọn phiên bản Windows cho việc tương thích với các chức năng của AD ở tầm domain (ví dụ như Child, Tree relationship)
      • Domain Name (DNS) server: cài đặt và cấu hình dịch vụ DNS (phục vụ cho Active Directory) trên chính máy tính này (máy DC).
      • Global Catalog: chức năng trích lọc dữ liệu của AD phục vụ cho việc xác thực được nhanh chóng hơn.
      • Read only domain controller (RoDC): Cấu hình cho server trở thành DC hoạt động ở dạng chỉ đọc (Read only).
      • Directory Service Restore Mode password (DSRM): đặt mật khẩu cho việc hạ cấp (demotion) máy DC trở về trạng thái stand-alone sau này.
    • NetBIOS domain name: tên của domain ở dạng NetBIOS (giữ nguyên mặc định)
    • Restart máy theo yêu cầu của Wizard để hoàn tất quá trình thăng cấp.

Sau khi hoàn thành thao tác này, ta được:

  • Một miền quản trị mạng (Domain) mới.
  • Tên miền quản trị (Domain Name) chính là tên FQDN đã đặt trong wizard.
  • Máy Windows Server 2012 sẽ trở máy Domain Controller (máy DC). Máy này là thành viên đầu tiên của miền.
  • Máy DC sẽ kiêm nhiệm vai trò DNS Server của miền.
  • Một sẽ thống quản trị theo danh mục (Active Directory – AD) cũng được hình thành. Dữ liệu của AD được lưu trữ trong máy DC.
  • Các công cụ quản trị miền cũng sẽ được tích hợp vào máy DC.

Join máy tính vào làm thành viên của Domain

  • Các máy tính khác trong mạng, sau khi gia nhập (joined) vào Domain sẽ chịu sự quản trị của Domain.
  • Chỉ có tài khoản thuộc Domain Admins (hoặc tài khoản được chỉ định Managed máy client) mới có quyền đưa một máy tính client nào đó gia nhập Domain.

Hướng dẫn triển khai AD-DS - Active Directory Domain Services

1. Chuẩn bị cho máy Client trước khi join vào Domain:

  • Đặt IP address (tĩnh hoặc động) sao cho giao tiếp được với máy DC.
  • Khai báo Preferred DNS ServerIP address của máy DC. (máy DC kiêm nhiệm DNS server)
  • Kiểm tra lại:
    • Lệnh: PING <IP address của máy DC> . (Kiểm tra giao tiếp Client – DC)
    • Lệnh: NSLOOKUP <tên miền của Domain>. (Kiểm tra phân giải tên miền của Client)
    • Hoặc: PING <tên miền của Domain>.

2. Tiến hành join máy Client vào Domain (dùng phương pháp truyền thống).

  • Properties cho “This Computer” à tab “Computer Name” à nút “Change…”.
  • Thay đổi Computer name (nếu cần).
  • Chọn “Domain” tại phần “Member of…”
  • Nhập tên Domain muốn join vào ô “Domain:…………..
  • Khai báo tài khoản Administrator của Domain (hoặc tài khoản có quyền đưa máy client gia nhập Domain)
  • Restart máy client để hoàn tất quá trình gia nhập domain.

3. Kiểm tra sự tồn tại của máy Client trong Domain:

  • Trên máy DC, chạy “Active Directory Users and Computers” (trong “Administrative Tools”)
  • Mở nhánh <TênMiền> à Computers (danh mục quản trị các máy thành viên miền)
  • Quan sát tên máy Client tồn tại trong Computers

Offline Domain Join (dùng Command line)

  • Offline domain join là hình thức join máy client vào domain mà người quản trị không cần thao tác trực tiếp tại máy client.
  • Offline domain join không xảy ra nguy cơ lộ password tài khoản admin như ờ phương pháp truyền thống.
  • Lệnh djoin phải được thực thi tại Command Prompt ở quyền admin

Tại máy Domain Controller:

Xác định máy tính sẽ join domain và nơi lưu trữ file chứa thông tin cấu hình của việc join domain, dùng lệnh:

-> djoin /provision /domain tênmiền /machine tênmáy /savefile C:\DS-Client\tên_file.txt

Ghi chú:

tênmáy: là Computer Name của máy Client muốn join.

Sau lệnh này, một tài khoản Computertênmáy” sẽ được đăng ký trên miền.

Tạo mới một file “bat” trong thư mục C:\DS-Client. Nội dung:

Tại máy muốn gia nhập (tối thiểu Windows 7)

Copy 2 tập tin tên_file.txtbat vào máy (giả sử lưu tại ổ C).

Chạy file bat với quyền Administrator.

Sau khi hoàn tất quá trình, khởi động lại máy tính để thấy máy đã được gia nhập vào miền.

Ghi chú:

Sau khi thự hiện Offline Join, tên máy (Computer Name) của máy Client sẽ tự động đổi thành “tênmáy” do Administrator của miền ấn định trong câu lệnh djoin….

Xem thêm bài hướng dẫn

Hướng dẫn cài đặt dịch vụ DNS cho máy Windows Server

Hướng dẫn cấu hình địa chỉ IP , NAT , DHCP trên Windows Server

Hướng dẫn cấu hình Network Load Balancing trên Windows Server

KhoServer – Kho Máy Chủ Thanh Lý

KHO SERVER phân phối các dòng máy chủ cũ, máy trạm workstation, linh kiện máy chủ, thiết bị lưu trữ từ các nhà sản xuất hàng đầu thế giới như: dell, Intel, HP, IBM(Lenovo), Supermicro,…Các thiết bị mạng của Cisco, Juniper, HPE, IBM,… Tất cả đều được nhập khẩu trực tiếp từ nước ngoài, đảm bảo chất lượng và nguồn gốc sản phẩm.

Để biết thêm thông tin chi tiết về các server dell khác vui lòng liên hệ:

Websitehttps://khoserver.com

Hotline0867.119.339

Facebookhttps://www.facebook.com/khomaychu.khoserver

CHIA SẺ BÀI VIẾT

Icon Icon Icon

Có thể bạn quan tâm

Đề nghị báo giá ngay
Chat qua zalo
Chat qua Facebook
Gọi ngay: 0867119339