Warning: is_dir(): open_basedir restriction in effect. File(/www/wwwroot/uat-elearning.itforvn.com/wp-content/plugins/wpdiscuz/themes/default) is not within the allowed path(s): (/www/wwwroot/itforvn.com/:/tmp/) in /www/wwwroot/itforvn.com/wp-content/plugins/wpdiscuz/forms/wpdFormAttr/Form.php on line 140
[Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016 - ITFORVN

[Tự học MCSA MCSE 2016]-Lab 15- Cấu hình Read-Only Domain Controller trên Windows Server 2016

1. Read – Only Domain Controller là gì ? 

  • Read- Only Domain Controller là 1 dạng mới của Domain Controller có từ Windows Server 2008 . Với RODC doanh nghiệp có thể dễ dàng triển khai 1 domain controller tại những vị trí bảo mật không đảm bảo . 
  • Chức năng của RODC là để củng cố an ninh tại các phòng ban chi nhánh đặt tại trụ sở chính .

Một số khó khăn trong việc quản lý phòng ban chi nhánh : 

  • Máy chủ được đặt trong trụ sở chính, cung cấp cho người dùng kết nối  đến máy chủ thông qua liên kết WAN (Internet) Bất lợi của việc này là nếu liên kết WAN gặp trục trặc thì các phòng ban, chi nhánh không kết nối được đến máy chủ và bị cách ly đối với hệ thống tài nguyên mạng.
  • Nếu liên kết WAN vẫn hoạt động nhưng hiệu suất không cao do chậm hoặc tắc nghẽn bang thông đường truyền ,  công việc sẽ rất khó khăn để kết nối.
  • Đặt tối thiểu 1 DC tại chi nhánh .  Với biện pháp này khi liên kết WAN có vấn đề thì người dùng vẫn có thể truy cập vào Server bình thường nhưng giải pháp này vẫn bất lợi về kinh phí do phải mua thêm Server, bản quyền HĐH, thuê them người quản trị của Server này.
  • Các máy chủ đặt xa trung tâm dữ liệu thường không có tính giám sát cao, tính bảo mật không cao.

Vậy nên Read-Only Domain Controller sẽ giải quyết những vấn đề này 

RODC giống các DC khác ngoại trừ CSDL của AD không thể ghi trực tiếp.

– Việc đặt RODC tại các chi nhánh làm giảm được phần trọng tải của máy chủ chính ở trung tâm vì chỉ có lưu lượng bản sao gửi đến được cho phép.

– RODC cải thiện vấn đề bảo mật vì người dùng tại chi nhánh không thể thay đổi bất kỳ thứ gì trong CSDL của AD.

– Không có bất kỳ thông tin nào được tạo ra trên RODC (các thông tin tài khoản người dùng được lưu trên miền chỉ đọc).

– Nếu có ai đó đánh cắp RODC thì họ cũng không sử dụng được Server này.

– Chức năng của người quản trị RODCs:

          + Có thể chỉ định bất kỳ ai là người quản trị RODC để kiểm soát việc quản trị nội bộ trên máy chủ này và không có sự can thiệp vào AD.

          + Người này chỉ được phép cài đặt, vá lỗi những phần mềm, thực hiện nhiệm vụ bảo dưỡng định kỳ.

          + Việc chỉ định ai đó làm quản trị RODC giống như bổ nhiệm ai đó quản trị nội bộ 1 số lượng người nhất định.

2. Cấu hình Read-Only Domain Controller trên Windows Server 2016

Giả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)

 Hiện nay hệ thống mạng tại trụ sở chính đang được quản lý theo mô hình Active Directory với domain ITFORVN.COM, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain ITFORVN.COM nên bạn đã join các máy ở Hà Nội vào domain.
 Trong trường hợp này để việc chứng thực cho hệ thống ở Hà Nội ổn định, ta cần cấu hình thêm một máy Domain Controller (Global Catalog Server) ở Hà Nội, nhưng vì chi nhánh Hà Nội không có bộ phận IT và không đảm bảo bảo mật cho Domain Controller nên ta chỉ muốn Domain Controller ở Hà Nội lưu trữ password và chỉ chứng thực cho các user account của hệ thống Hà Nội. Để giải quyết được nhu cầu này ta sẽ triển khai một Read-Only Domain Controller ở Hà Nội (Read-Only Domain Controller là một chức năng trên Windows Server NT và đã bị loại bỏ sau đó, cho đến Windows Server 2008 nó xuất hiện trở lại).
 Trong bài viết này tôi giả sử máy PDC và RODC đã thông với nhau, trong thực tế thì bạn phải cấu hình để Site Hồ Chí Minh và Site Hà Nội có thể liên lạc với nhau thông qua VPN hoặc Lease line. Ở các bài viết tiếp theo tôi sẽ hướng dẫn các bạn cấu hình VPN giữa các Site với nhau.
Cấu hình server IT4VN-W2K16-DC làm Primary Domain Controller quản lý tên miền ITFORVN.COM , IT4VN-W2K16-SRV01 làm Read-Only Domain Controller . Trên con Primary DC tạo các OU , Group , User tương ứng với các phòng ban ( Vì trên máy DC mình đã tạo sẵn OU Hà Nội chứ không phải là HCM trên con PDC , các bạn có thể sửa lại tùy ý ) .
Nâng cấp IT4VN-W2K16-SRV01 thành RODC thuộc miền ITFORVN.COM ( join vào domain ) 
Sau khi cấu hình xong RODC ngắt kết nối với PDC và sử dụng máy IT4VNWIN10CLIENT-01 để kiểm tra .
Trên máy IT4VN-W2K16-DC , tạo OU, Group , User như hình trên.
Trên máy IT4VN-W2K16-SRV01 , thực hiện Join vào Domain , đăng nhập bằng tài khoản itforvn\administrator.
Trên máy IT4VN-W2K16-SRV01 cài đặt dịch vụ Active Directory Domain Services 
Click vào Promote this server to a domain controller
Tại cửa sổ Deployment Configuration, click chọn vào Add a domain controller to an existing domain.
Tại cửa sổ Domain Controller Options , click chọn vào Read only domain controller (RODC) và đặt mật khẩu DSRM.
Tại cửa sổ RODC Options , tại mục Delegated administrator account , click chọn vào Select…
Add vào tài khoản anhtt trong miền , ta sẽ ủy quyền quản trị cho user này 
Click vào Add tại mục Accounts that are allowed to replicate passwords to the RODC , add tài khoản anhtt
Tại cửa sổ Additional Options , click vào Next.
Click vào Install để cài đặt 
Máy chủ tự động reset, đăng nhập lại bằng tài khoản itforvn\administrator.
Vào lại dịch vụ Active Directory User and Computer.
Tại mục Domain Controllers , click chuột phải tại đây chọn Precreate RODC account…
Tại cửa sổ Welcome to the Active Directory…. , click chọn vào Use advanced mode installation.

Tại cửa sổ Network Credentials , click vào Next.

  Tại cửa sổ Specify the Computer Name , nhập vào tại mục Computer name :RODC.
Hiện ra cửa sổ Select a Site , click vào Next.
Tại cửa sổ Additional Domain Controller Options , click vào Next.
Tại cửa sổ Specify the Password Replication Policy , click vào Add
Chọn vào Allow passwords for the account to replicate to this RODC.
Add vào tài khoản anhtt
Tại cửa sổ Delegation of RODC Installation and Administration , click vào Next.
Tại cửa sổ Summary , click vào Next.
Click vào Finish.
Tại cửa sổ Active Directory Users and Computers , trong mục Domain Controllers , click chuột phải tại IT4VN-W2K16-SRV01 , chọn Properties
Trong cửa sổ IT4VN-W2K16-SRV01 Properties , chuyển sang tab Password Replication Policy , click vào Add…
Thực hiện add thêm máy IT4VN-WIN10CLIENT-01 vào .
Chuyển sang máy IT4VN-WIN10CLIENT-01 join vào domain itforvn.vcode.ovh
Sau khi máy WIN10 CLIENT khởi động lại log in vào tài khoản ITFORVN\anhtt đã được ủy quyền 
Chuyển sang máy IT4VN-W2K16-DC ngắt kết nối card mạng với RODC 
Và ta thấy server RODC vẫn hoạt động độc lập mà không phụ thuộc vào PDC nữa .

 Video hướng dẫn chi tiết bài Lab : 

Thanks and best regards,
Tác giả : Trần Tuấn Anh ( Diễn đàn ITFORVN.COM )
+ Skype: tuananhtran396@outlook.com
+ Telegram: @tuananhtran396
+ Facebook : https://www.facebook.com/welano96
+ Microsoft Team: Anh.Tran@itforvn.com
 Subcribe ITFORVN Youtube Channel at there

 

 
Đánh giá post
Subscribe
Notify of
guest
0 Góp ý
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x