[Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016

1. Read – Only Domain Controller là gì ? 

  • Read- Only Domain Controller là 1 dạng mới của Domain Controller có từ Windows Server 2008 . Với RODC doanh nghiệp có thể dễ dàng triển khai 1 domain controller tại những vị trí bảo mật không đảm bảo . 
  • Chức năng của RODC là để củng cố an ninh tại các phòng ban chi nhánh đặt tại trụ sở chính .

windows 2008 active directory branch office managementmvp sampath perera 12 728 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016

Một số khó khăn trong việc quản lý phòng ban chi nhánh : 

  • Máy chủ được đặt trong trụ sở chính, cung cấp cho người dùng kết nối  đến máy chủ thông qua liên kết WAN (Internet) Bất lợi của việc này là nếu liên kết WAN gặp trục trặc thì các phòng ban, chi nhánh không kết nối được đến máy chủ và bị cách ly đối với hệ thống tài nguyên mạng.
  • Nếu liên kết WAN vẫn hoạt động nhưng hiệu suất không cao do chậm hoặc tắc nghẽn bang thông đường truyền ,  công việc sẽ rất khó khăn để kết nối.
  • Đặt tối thiểu 1 DC tại chi nhánh .  Với biện pháp này khi liên kết WAN có vấn đề thì người dùng vẫn có thể truy cập vào Server bình thường nhưng giải pháp này vẫn bất lợi về kinh phí do phải mua thêm Server, bản quyền HĐH, thuê them người quản trị của Server này.
  • Các máy chủ đặt xa trung tâm dữ liệu thường không có tính giám sát cao, tính bảo mật không cao.

Vậy nên Read-Only Domain Controller sẽ giải quyết những vấn đề này 

RODC giống các DC khác ngoại trừ CSDL của AD không thể ghi trực tiếp.

– Việc đặt RODC tại các chi nhánh làm giảm được phần trọng tải của máy chủ chính ở trung tâm vì chỉ có lưu lượng bản sao gửi đến được cho phép.

– RODC cải thiện vấn đề bảo mật vì người dùng tại chi nhánh không thể thay đổi bất kỳ thứ gì trong CSDL của AD.

– Không có bất kỳ thông tin nào được tạo ra trên RODC (các thông tin tài khoản người dùng được lưu trên miền chỉ đọc).

– Nếu có ai đó đánh cắp RODC thì họ cũng không sử dụng được Server này.

– Chức năng của người quản trị RODCs:

          + Có thể chỉ định bất kỳ ai là người quản trị RODC để kiểm soát việc quản trị nội bộ trên máy chủ này và không có sự can thiệp vào AD.

          + Người này chỉ được phép cài đặt, vá lỗi những phần mềm, thực hiện nhiệm vụ bảo dưỡng định kỳ.

          + Việc chỉ định ai đó làm quản trị RODC giống như bổ nhiệm ai đó quản trị nội bộ 1 số lượng người nhất định.

2. Cấu hình Read-Only Domain Controller trên Windows Server 2016

Giả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)

 Hiện nay hệ thống mạng tại trụ sở chính đang được quản lý theo mô hình Active Directory với domain ITFORVN.COM, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain ITFORVN.COM nên bạn đã join các máy ở Hà Nội vào domain.
 Trong trường hợp này để việc chứng thực cho hệ thống ở Hà Nội ổn định, ta cần cấu hình thêm một máy Domain Controller (Global Catalog Server) ở Hà Nội, nhưng vì chi nhánh Hà Nội không có bộ phận IT và không đảm bảo bảo mật cho Domain Controller nên ta chỉ muốn Domain Controller ở Hà Nội lưu trữ password và chỉ chứng thực cho các user account của hệ thống Hà Nội. Để giải quyết được nhu cầu này ta sẽ triển khai một Read-Only Domain Controller ở Hà Nội (Read-Only Domain Controller là một chức năng trên Windows Server NT và đã bị loại bỏ sau đó, cho đến Windows Server 2008 nó xuất hiện trở lại).
document1 page 001 2 e1495278119291 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
 Trong bài viết này tôi giả sử máy PDC và RODC đã thông với nhau, trong thực tế thì bạn phải cấu hình để Site Hồ Chí Minh và Site Hà Nội có thể liên lạc với nhau thông qua VPN hoặc Lease line. Ở các bài viết tiếp theo tôi sẽ hướng dẫn các bạn cấu hình VPN giữa các Site với nhau.
Cấu hình server IT4VN-W2K16-DC làm Primary Domain Controller quản lý tên miền ITFORVN.COM , IT4VN-W2K16-SRV01 làm Read-Only Domain Controller . Trên con Primary DC tạo các OU , Group , User tương ứng với các phòng ban ( Vì trên máy DC mình đã tạo sẵn OU Hà Nội chứ không phải là HCM trên con PDC , các bạn có thể sửa lại tùy ý ) .
Nâng cấp IT4VN-W2K16-SRV01 thành RODC thuộc miền ITFORVN.COM ( join vào domain ) 
Sau khi cấu hình xong RODC ngắt kết nối với PDC và sử dụng máy IT4VNWIN10CLIENT-01 để kiểm tra .
Trên máy IT4VN-W2K16-DC , tạo OU, Group , User như hình trên.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0317 e1495279010467 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Trên máy IT4VN-W2K16-SRV01 , thực hiện Join vào Domain , đăng nhập bằng tài khoản itforvn\administrator.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0447 e1495279172645 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0491 e1495279354433 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Trên máy IT4VN-W2K16-SRV01 cài đặt dịch vụ Active Directory Domain Services 
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0644 e1495279487662 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Click vào Promote this server to a domain controller
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0670 e1495279571235 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ Deployment Configuration, click chọn vào Add a domain controller to an existing domain.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0704 e1495279658402 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ Domain Controller Options , click chọn vào Read only domain controller (RODC) và đặt mật khẩu DSRM.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0740 e1495279913374 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ RODC Options , tại mục Delegated administrator account , click chọn vào Select…
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0754 e1495280003586 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Add vào tài khoản anhtt trong miền , ta sẽ ủy quyền quản trị cho user này 
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0795 e1495280119573 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Click vào Add tại mục Accounts that are allowed to replicate passwords to the RODC , add tài khoản anhtt
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0820 e1495280207308 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ Additional Options , click vào Next.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0860 e1495280289470 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Click vào Install để cài đặt 
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 0887 e1495280372246 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Máy chủ tự động reset, đăng nhập lại bằng tài khoản itforvn\administrator.
Vào lại dịch vụ Active Directory User and Computer.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1324 e1495280540999 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại mục Domain Controllers , click chuột phải tại đây chọn Precreate RODC account…
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1332 e1495280623538 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ Welcome to the Active Directory…. , click chọn vào Use advanced mode installation.

ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1348 e1495284078526 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016

Tại cửa sổ Network Credentials , click vào Next.

ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1351 e1495284162722 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016

  Tại cửa sổ Specify the Computer Name , nhập vào tại mục Computer name :RODC.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1374 e1495302669839 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Hiện ra cửa sổ Select a Site , click vào Next.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1380 e1495302806329 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ Additional Domain Controller Options , click vào Next.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1481 e1495302914188 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ Specify the Password Replication Policy , click vào Add
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1491 e1495303235890 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Chọn vào Allow passwords for the account to replicate to this RODC.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1512 e1495303462203 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Add vào tài khoản anhtt
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1525 e1495303675341 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ Delegation of RODC Installation and Administration , click vào Next.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1541 e1495303763386 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ Summary , click vào Next.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1542 e1495303847584 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Click vào Finish.
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1548 e1495304120620 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Tại cửa sổ Active Directory Users and Computers , trong mục Domain Controllers , click chuột phải tại IT4VN-W2K16-SRV01 , chọn Properties
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1577 e1495304256332 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Trong cửa sổ IT4VN-W2K16-SRV01 Properties , chuyển sang tab Password Replication Policy , click vào Add…
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1589 e1495304480812 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Thực hiện add thêm máy IT4VN-WIN10CLIENT-01 vào .
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1822 e1495304913396 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Chuyển sang máy IT4VN-WIN10CLIENT-01 join vào domain itforvn.vcode.ovh
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1729 e1495304824990 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Sau khi máy WIN10 CLIENT khởi động lại log in vào tài khoản ITFORVN\anhtt đã được ủy quyền 
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1852 e1495305025522 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Chuyển sang máy IT4VN-W2K16-DC ngắt kết nối card mạng với RODC 
ITFORVN Bài 15 Cấu hình Read Only Domain Controller trên Windows Server 2016 1952 e1495305184159 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016
Và ta thấy server RODC vẫn hoạt động độc lập mà không phụ thuộc vào PDC nữa .

 Video hướng dẫn chi tiết bài Lab : 

Thanks and best regards,
Tác giả : Trần Tuấn Anh ( Diễn đàn ITFORVN.COM )
+ Skype: tuananhtran396@outlook.com
+ Telegram: @tuananhtran396
+ Facebook : https://www.facebook.com/welano96
+ Microsoft Team: Anh.Tran@itforvn.com
 Subcribe ITFORVN Youtube Channel at there

Screen Shot 2019 09 13 at 5.50.44 AM 1 [Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016

 

 
Đánh giá post

Author

0 0 votes
Article Rating
Subscribe
Notify of
guest
0 Comments
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x