1.Mục đích bài viết
Trong bài viết này Thegioifirewall sẽ hướng dẫn các bạn cách cấu hình Additional Domain Controller.
2.Additional Domain Controller là gì và tại sao chúng ta cần có nó ?
Đầu tiên để biết bị được ADC là gì và công dụng của nó thì chúng ta cần phải biết các thông tin sau.
Active Directory Domain Service (AD DS): Là trung tâm quản lý và chứng thực cho các đối tượng như: group, user, computer account… AD DS cung cấp tất cả các thông tin của một đối tượng cho các dịch vụ cần thiết, ví dụ cung cấp đầy đủ thông tin cho việc chứng thực khi user đăng nhập vào máy tính hay user truy cập tài nguyên…
Primary Domain Controller (PDC): Trong một domain có thể có nhiều Domain Controller. Domain Controller đầu tiên gọi là Primary Domain Controller (PDC) hay Root domain.
Additional Domain Controller (ADC): Các Domain Controller thêm vào được gọi là Additional Domain Controller (ADC).
Trong hệ thống mạng doanh nghiệp thì bắt buộc phải có PDC và chỉ duy nhất một máy. Tuy nhiên do chỉ có một nên sẽ có rất nhiều nguy cơ có thể xảy ra. ADC là tùy chọn dùng trong các trường hợp sau đây:
Trường Hợp 1: Hệ thống có nhiều Site
Vd: Công ty của bạn có trụ sở chính ở Sài gòn và các chi nhánh ở Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)
Hiện nay hệ thống mạng tại trụ sở chính đang được quản lý theo mô hình Active Directory với domain thegioifirewall.com, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain thegioifirewall.com nên bạn đã join các máy ở Đà Nẵng vào domain.
Trong trường hợp này để việc chứng thực cho hệ thống ở Hà Nội ổn định, ta cần cấu hình thêm một máy Domain Controller (Global Catalog Server) ở Hà Nội.
Giải pháp: dựng thêm ADC ở Site Hà Nội nhằm mục đích chứng thực cho các user ở Hà Nội, mục đích để khi log on không phụ thuộc đường truyền WAN và tăng tốc độ.
Trường Hợp 2: Hệ thống chỉ có 1 site Sài Gòn nhưng có số lượng user lớn. Khi log on, DC sẽ bị quá tải và gây ra tình trạng nghẽn mạng.
Giải pháp: Nên dựng thêm ADC để chia tải bớt cho hệ thống (Load Balancing), cân bằng tải giúp hệ thống nhanh hơn.
Trường Hợp 3: Hệ thống chỉ có 1 Site Sài Gòn và chỉ có 1 DC, hệ thống nhỏ. Toàn bộ hệ thống hiện đang chạy ổn định. Nhưng một ngày nào đó DC gặp sự cố, thì hệ thống công ty sẽ bị tê liệt. Thời gian khôi phục sẽ mất khá nhiều thời gian.
Giải pháp: Xây dựng ADC để tăng tính sẵn sàng và tính chịu lỗi của hệ thống để hệ thống có tính sẳn sàng cao (High Availability) và tăng tốc độ chứng thực.
3.Mô hình mạng
Thegioifirewall sẽ hướng dẫn các bạn cách cấu hình Additional Domain Controller theo mô hình mạng sau.
Chi tiết sơ đồ mạng:
Head Office:
- Kết nối internet được thiết lập tại Port 2 với IP tĩnh là 10.150.30.100
- Mạng LAN được cấu hình tại Port 1 với IP 10.145.41.1/24 và đã cấu hình DHCP để cấp phát IP.
- Trong mạng LAN có một máy chủ là Primary Domain Controller (PDC) với tên domain là Learningit.xyz có IP tĩnh 10.145.41.11/24 dùng để xác thực người dùng.
Branch Office:
- Kết nối internet được thiết lập tại Port 2 với IP tĩnh là 10.150.30.102
- Mạng LAN được cấu hình tại Port 1 với IP 10.146.41.1/24 và đã cấu hình DHCP để cấp phát IP.
- Trong mạng LAN có một máy chủ Server 1 có IP tĩnh 10.146.41.11/24.
Cả hai thiết bị Sophos Firewall 1 và Sophos tại Head và Branch Office đều đã được cấu hình IPSec VPN Site to site.
4.Tình huống cấu hình.
Thegioifirewall sẽ thực hiện cấu hình Server thành một Additional Domain Controller cũng với tên miền Learningit.xyz để nó có thể thực hiện chứng thực ngay tại Branch Office mà không cần phải chứng thực thông qua Primary Domain Controller tại Head Office.
5.Các bước thực hiện
- Kiểm tra kết nối.
- Cấu hình Additional Domain Controller trên Server 1.
6.Hướng dẫn cấu hình
6.1.Kiểm tra kết nối.
Chúng ta cần đặt IP cho hai máy chủ PDC và Server 1 như sau.
IP của PDC:
- IP address: 10.145.41.11.
- Subnet mask: 255.255.255.0.
- Default gateway: 10.145.41.1.
- Preferred DNS server: 10.145.41.11.
IP của Server 1:
- IP address: 10.146.41.11.
- Subnet mask: 255.255.255.0.
- Default gateway: 10.146.41.1.
- Preferred DNS server: 10.145.41.11.
Tiếp theo chúng ta cần kiểm tra xem PDC và Server 1 ping thấy nhau chưa.
Thegioifirwall sẽ thực hiện ping lẫn nhau giữa hai server và kết quả là ping thành công.
6.2.Cấu hình Additional Domain Controller trên Server 1.
Để cấu hình ADC trên Server 1 chúng ta cần phải cài đặt dịch vụ Active Directory Domain Services.
Để cài chúng ta làm theo các bước sau.
Đầu tiên chúng ta cần mở Server Manager và nhấn Add roles and features.
Bảng Add roles and features Wizard hiện lên tại Before you begin nhấn Next.
Tại Installation Type,chọn Role-based or feature-based installation và nhấn Next.
Tại Server Selection, chọn Select a server from the server pool và chọn máy chủ Server 1 với Name là adc và IP address là 10.146.41.11 sau đó nhấn Next.
Tại Server Role, tích chọn Active Directory Domain Services > nhấn Add Features > nhấn Next.
Tại Features, nhấn Next.
Tại AD DS, nhấn Next.
Tại Confirmation, nhấn Install để tiến hành cài đặt.
Quá trình cài đặt sẽ diễn ra trong vòng vài phút.
Quá trình cài đặt hoàn thành, nhấn Close để đóng cửa sổ cài đặt.
Sau khi cài đặt thành công chúng ta quay trở lại Server Manager, chúng ta sẽ thấy rằng có biểu tượng tam giác chứa dấu chấm thang xuất hiện tại biểu tượng hình cờ.
Chúng ta nhấn vào biểu tượng hình cờ và nhấn Promote this server to a domain controller để bắt đầu cấu hình Additional Domain Controller.
Bảng Deployment Configuration hiện lên chúng ta chọn Add a domain controller to an existing domain > điền tên domain learningit.xyz tại mục Domain và nhấn Select.
Lúc này bảng xác thực yêu cầu bạn nhập tài khoản và mật khẩu administrator của Primary Domain Controller để xác thực.
Sau khi nhập nhấn OK.
Sau khi xác thực tài khoản administrator thì tên domain learningit.xyz sẽ được hiển thị tại bảng Select a domain from the forest.
Các bạn chọn tên domain learningit.xyz và nhấn OK.
Quay trở lại bảng Deployment Configuration nhấn Next.
Tại Domain Controller Options, chúng ta sẽ cấu hình như sau:
- Domain Name System (DNS) server: tích chọn.
- Global Catalog (GC): tích chọn.
- Read only domain controller (RODC): bỏ chọn.
- Site name: chọn Default-First-Site-Name.
- Password: nhập vào mật khẩu của tài khoản administrator.
- Confirm Password: nhập lại mật khẩu của ô Password.
- Nhấn Next.
Tại DNS Options, nhấn Next.
Tại Additional Options, chọn pdc.learningit.xyz tại Replicate from và nhấn Next.
Tại Paths và Review Options, nhấn Next.
Tại Prequisites Check, đợi máy chủ kiểm tra lại các điều kiện đã đúng chưa và nhấn Install.
Quá trình cài đặt Additional Domain Controller diễn ra khoảng vài phút.
Quá trình cài đặt hoàn thành, máy chủ sẽ tự động khởi động lại.
Sau khi khởi động chúng ta sẽ đăng nhập vào máy chủ bằng tài khoản administrator giống như trên PDC.
Như các bạn thấy là thegioifirewall đã hoàn thành việc cấu hình Additional Domain Controller cho máy chủ Server 1.
Bài viết giải thích sự liên quan về DC, ADC và Sites rất dễ hiểu, cám ơn page.
[…] Hướng dẫn cấu hình Additional Domain Controller (ADC) […]