Microsoft Active Directory cung cấp giải pháp tập trung, quản lý và lưu trữ thông tin về tài nguyên hệ thống mạng trên toàn bộ domain.

Bên cạnh đó, Active Directory sử dụng Domain Controllers có nhiệm vụ lưu trữ và phân phối dung lượng lưu trữ cho tất cả người dùng trong hệ thống và thiết lập Windows Server 2019 kiêm luôn vai trò của Domain Controller.

Nội dung:

Active Directory (AD) Windows Server 2019

Dịch vụ Active Directory (AD) là một sản phẩm của Microsoft gồm một số dịch vụ chạy trên Windows Server nhằm mục đích quản lý quyền và truy cập vào các tài nguyên mạng nội bộ trong tổ chức doanh nghiệp.

Active Directory lưu trữ data dưới dạng các đối tượng hay còn gọi là các Object. Mỗi Object sẽ là một thành phần đơn lẻ, như user, group, ứng dụng hoặc thiết bị (như PC, Laptop, Printer).

Active Directory phân loại object theo tên và thuộc tính. Ví dụ; tên của một user có thể bao gồm 1 dải tên cùng với các thông tin liên quan đến user đó như password và secure shell (SSH) key.

Service chính trong Active Directory là Domain Service (AD DS), lưu trữ các thông tin thư mục và xử lý tương tác giữa user và domain.

AD DS xác thực truy cập khi một user đăng nhập thiệt bị hoặc tìm cách kết nối với server thông qua 1 network. AD DS sẽ kiểm soát user nào được truy cập vào tài nguyên nào. Ví dụ, một quản trị viên thường sẽ có phân cấp truy cập data khác với 1 end user.

Các product khác của Microsoft, ví dụ như Exchange Server và SharePoint Server, dựa vào AD DS để cấp quyền truy cập tài nguyên. Server lưu trữ AD DS chính là domain controller.

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn.

Thành phần cơ bản của Active Directory

Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational unit và site.

Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory.

Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở dữ liệu của các thành viên của chúng.

Organizational unit (OU): Nhóm các mục trong miền nào đó. Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức và địa lý.

Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU. Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet.

Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest có thể gồm nhiều miền, mỗi miền lại chia sẻ một lược đồ chung.

Các thành viên miền của cùng một forest thậm chí không cần có kết nối LAN hoặc WAN giữa chúng. Mỗi một mạng riêng cũng có thể là một gia đình của nhiều forest độc lập.

Domain phục vụ như các mục trong chính sách bảo mật và các nhiệm vụ quản trị. Bất cứ quản trị viên Domain nào cũng có thể quản lý tất cả các đối tượng bên trong một Domain đó. Mội Domain cũng đều có cơ sở dữ liệu các tài khoản duy nhất của nó.

Chính vì vậy tính xác thực là một trong những vấn đề cơ bản của Domain. Khi một tài khoản người dùng hoàn toàn xác thực đối với một Domain nào đó thì tài khoản người dùng này có thể truy cập vào các tài nguyên bên trong Domain.

Active Directory yêu cầu một hoặc nhiều domain để hoạt động. Như đề cập từ trước, một miền Active Directory là một bộ các máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu các thành viên của chúng. Một miền phải có một hoặc nhiều máy domain controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách và cung cấp sự thẩm định cho các đăng nhập vào miền.

Máy chủ được biết đến như PDC, quản lý cơ sở dữ liệu người dùng Master cho miền. Một hoặc một số máy chủ khác được thiết kế như BDC.

PDC gửi một cách định kỳ các bản copy cơ sở dữ liệu đến các BDC. Một BDC có thể có thể đóng vai trò như một PDC nếu máy chủ PDC bị lỗi và cũng có thể trợ giúp cân bằng luồng công việc nếu quá tải.

Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng hơn so với các miền. OU cho phép bạn có được khả năng linh hoạt gần như vô hạn, bạn có thể chuyển, xóa và tạo các OU mới nếu cần. Mặc dù các Domain cũng có tính chất linh hoạt.

Chúng có thể bị xóa tạo mới, tuy nhiên quá trình này dễ dẫn đến phá vỡ môi trường so với các OU và cũng nên tránh nếu có thể.

Sites là chứa các IP subnet có các liên kết truyền thông tin cậy và nhanh giữa các host. Bằng cách sử dụng site, bạn có thể kiểm soát và giảm số lượng lưu lượng truyền tải trên các liên kết WAN chậm.

Attribute (thuộc tính): Một thuộc tính mô tả một đối tượng . Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau, lấy ví dụ như một máy in và một máy trạm, cả hai đều có một thuộc tính là địa chỉ IP.

Schema (cấu trúc tổ chức): Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó. Schema có đặc tính là tùy biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được.

Container (vật chứa): Chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng, có 3 loại container:

Domain
Site
OU (Organizational Unit).

Global catalog (GC) : GC lưu trữ tất cả các object của miền chứa GC và một phần các object thường được người dùng tìm kiếm của các domain khác trong forest.

Global catalog lưu trữ:

Những thuộc tính thường dùng trong việc truy vấn như user’s first name, last name, logon name ,
Các thông tin cần thiết để xác định vị trí của bất kỳ object nào trong active directory,
Tập hợp các thuộc tính mặc định cho mỗi loại object,
Quyền truy cập đến mỗi object .

Global catalog server: là một Domain Controller lưu trữ tất các AD object trong một forest. Global catalog nằm trên DC đầu tiên khi triển khai Domain

Cài đặt Active Directory Windows Server 2019

1- Trên SRV1, vào giao diện Network Connection cấu hình thông số địa chỉ IP như hình bên dưới

2- Vào giao diện Server Manager chọn Add roles and features

3- Giao diện Before You Begin chọn Next (3 lần)

4- Giao diện Select server roles tick vào chọn cài đặt dịch vụ Active Directory Domain Services, sau đó chọn Next (3 lần)

5- Giao diện Confirm installation selections chọn Install để thực hiện quá trình cài đặt.

6- Tại giao diện Installation progress quan sát thấy quá trình cài đặt Role Active Directory đang diễn ra.

7- Sau khi quá trình cài đặt diễn ra hoàn tất. Tiếp tục nhấp vào:
Promote this server to a domain controller

8- Tại giao diện Deployment Configuration cấu hình khởi tạo một Forest mới trong hệ thống. (Trong bài Lab này Root domain name: adatum.com)

Tại giao diện Deployment Configuration, có 03 tùy chọn:

Add a domain controller to an existing domain: Thêm một ADC vào domain có sẵn.
Add a new domain to an existing forest: Xây dựng Domain mới trong forest có sẵn.
Add new forest: Xây dựng máy DC đầu tiên của forest.

Chọn Add a new forest và khai báo thông tin Root domain name như hình bên dưới, sau đó chọn Next

9- Tại giao diện Domain Controller Options khai báo thông tin mật khẩu Directory Services Restore Mode (DSRM) sau đó chọn Next (5 lần)

Mật khẩu DSRM này sẽ được dùng để khôi phục Active Directory ở chế độ Restore Mode

10- Tại giao diện Prerequisites Check kiểm tra thấy xuất hiện thông báo All prerequisite checks passed successfully… chọn Install để quá trình cài đặt.