READ-ONLY DOMAIN CONTROLLER & SITES
Khi bạn cài đặt AD DS, một site mặc định có tên Default-First-Site-Name sẽ được tạo. Tất cả các máy tính, bao gồm cả domain controller, sẽ được thêm tự động vào site mặc định cho đến khi bạn tạo các site mới.
Khi hệ thống có một site duy nhất, việc sao chép AD DS diễn ra tự động mà không cần quan tâm đến băng thông. Tuy nhiên, một số tổ chức có nhiều địa điểm được kết nối bằng đường truyền WAN. Bạn phải đảm bảo rằng AD DS replicate không ảnh hưởng tiêu cực đến việc sử dụng băng thông giữa các địa điểm. Bạn cũng có thể cần bản địa hóa các dịch vụ mạng đến một vị trí cụ thể.
Bạn có thể cho người dùng tại văn phòng chi nhánh xác thực với domain controller tại văn phòng địa phương của họ thay vì qua kết nối WAN tới domain controller tại văn phòng chính. Bạn có thể triển khai các AD DS site để quản lý băng thông qua các kết nối mạng chậm hoặc không đáng tin cậy và hỗ trợ bản địa hóa dịch vụ cho xác thực và nhiều dịch vụ nhận biết site khác trên mạng.
Một địa điểm (location) có thể có nhiều AD DS site hoặc AD DS site có thể trải rộng trên nhiều địa điểm.
Nếu bạn không triển khai domain controller trong văn phòng chi nhánh, bạn phải sử dụng liên kết WAN để chuyển hướng các hoạt động xác thực về site trung tâm. Khi người dùng lần đầu tiên cố gắng truy cập một dịch vụ cụ thể, người dùng yêu cầu xác thực dịch vụ từ domain controller. Người dùng thường kết nối với nhiều dịch vụ trong ngày làm việc nên hoạt động xác thực diễn ra thường xuyên. Việc xác thực dịch vụ hoạt động qua liên kết WAN giữa văn phòng chi nhánh và site trung tâm có thể dẫn đến kết quả chậm hoặc không đáng tin cậy và
hiệu suất thấp.
AD DS trong Windows Server 2008 và các phiên bản mới hơn hỗ trợ một loại domain controller mới, Read Only Domain Controller hay còn gọi là RODC, triển khai trong loại môi trường này.
Nếu có thể sử dụng RODC . Bạn có thể sử dụng RODC làm domain controller ở những địa điểm không có nhân viên quản trị hệ thống hay có độ bảo mật kém, vì theo mặc định, RODC không lưu trữ các thông tin bí mật như mật khẩu tài khoản.
Hoàn tất bào lab bạn có thể triển khai RODC và quản lý việc replicate giữa các site
CÁC BƯỚC TRIỂN KHAI:
1. Cài đặt RODC
2. Cấu hình Password Replication Policy
3. Chia Site
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ PC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL). Cài đặt Routing and Remote Access, cấu hình LAN routing
+ PC02: Windows Server 2019/2022 Data Center
– Cấu hình IP cho các máy như sau:
– Kiểm tra PC02 ping ip PC01 (192.168.1.10) thành công
– Trên máy PC01, tạo user ITRODC.
B- THỰC HIỆN READ-ONLY DOMAIN CONTROLLER & SITES
1. Cài đặt RODC
* Thực hiện trên PC02
B1 – Mở Server Manager, vào menu Manage, chọn Add Roles and Features
B2 – Cửa sổ Before You Begin, chọn Next 3 lần.
B3 – Trong cửa sổ Select server roles, đánh dấu chọn Active Directory Domain Services . Hộp thoại Add Roles and Features Wizard, chọn Add Features, chọn Next.
B4 – Cửa sổ Select features, chọn Next 2 lần.
B5 – Cửa sổ Confirm installation selections, nhấn Install để cài đặt.
B6 – Sau khi cài đặt thành công, trong cửa sổ Installation progress, chọn dòng Promote this server to a domain controller.
B7 – Cửa sổ Deployment Configuration, mục Select the deployment operation, chọn Add a domain controller to an existing domain. Ở mục Domain, chọn Select. Khai báo thông tin Domain Admin: DOM01\Administrator, Password: P@ssword, sau đó chọn Next
.
B8 – Cửa sổ Domain Controller Options, check ô Read only domain controller (RODC), nhập vào mật khẩu P@ssword ở mục Type the Directory Services Restore Mode (DSRM) password, chọn Next
B9 – Cửa sổ RODC Options, mục Delegated administrator account, chọn Select
B10 – Khai báo user ITRODC, chọn Check Names, chọn OK, sau đó chọn Next 4 lần
B11 – Cửa sổ Prerequisites Check, chọn Install
B10 – Sau khi cài đặt xong, chọn Close 2 lần. Máy PC02 sẽ tự động khởi động lại.
B11 – Quá trình khởi động hoàn tất, đăng nhập DOM01\Administrator
B12 – Chỉnh Policy Allow log on locally cho Users, sau đó Sign Out Administrator
2. Cấu hình Password Replication Policy
* Thực hiện trên máy PC01
B1 – Mở Active Directory Users and Computers, tạo 3 user hn1, hn2 và hn3. Tạo group hanoi, add 3 user vừa tạo vào group này. Add thêm computer PC02 vào group này, chọn OK
B2 – Ở khung bên trái chọn Domain Controllers. Chuột phải vào PC02, chọn Properties
B3 – Qua tab Password Replication Policy, chọn Add
B4 – Chọn ô Allow passwords for the account to replicate to this RODC, chọn OK
B5 – Nhập vào group hanoi, chọn Check Names, chọn OK
B6 – Chọn Advanced
B7 – Qua tab Resultant Policy, chọn Add
B8 –Nhập vào user hn1, chọn Check Names, chọn OK, chọn Close, sau đó chọn OK
B9 – Qua máy PC02, Sign In user hn1, sau đó Sign Out
B10 – Qua máy PC01, trong cửa sổ Active Directory Users and Computers. Ở khung bên trái chọn Domain Controllers. Chuột phải vào PC02, chọn Properties.
B11 – Qua tab Password Replication Policy, chọn Advanced
B12 – Trong phần Display users and computers that meet the following criteria, chọn Accounts that have been authenticated to this Read-only Domain Controllers. Quan sát thấy password hn1 đã được lưu. Chọn Prepopulate Passwords
B13 – Nhập vào user hn2, chọn Check Names, chọn OK
B14 – Chọn Yes, sau đó chọn OK, chọn Close
B15 – Kiểm tra: Trên máy PC01, Disable card External. Trên máy PC02, Sign In user hn1 và hn2 thành công. Sign in user hn3, thất bại
3. Chia Site
B1 – Trên máy PC01, Enable lại card External. Mở Active Directory Sites and Services, chuột phải Default-First-Site-Name, chọn Rename, đổi tên thành SAIGON
B2 – Chuột phải vào Sites, chọn New Site…
B3 – Ở mục Name, đặt tên HANOI, chọn OK 2 lần
B4 – Quan sát 2 site SAIGON và HANOI vừa tạo
B5 – Chuột phải Subnets, chọn New Subnet…
B6 – Ở mục Prefix, nhập 192.168.1.0/24, bên dưới chọn Site SAIGON, sau đó nhấn OK. Tương tự tạo thêm subnet cho site HANOI
 |
 |
B7 – Bung Site SAIGON, chọn Servers, chuột phải vào PC02 chọn Move…
B8 – Chọn Site HANOI, sau đó chọn OK
B9 – Mở Group Policy Management, chuột phải Sites, chọn Show Sites…
B10 – Check 2 site SAIGON và HANOI, sau đó chọn OK
B11 – Chuột phải Group Policy Object, chọn New
B12 – Đặt tên Policy: Deny CMD, sau đó chọn OK
B13 – Chuột phải GPO Deny CMD, chọn Edit
B14 – Mở theo đường dẫn: User Configuration > Administrative Templates > System, double click policy Prevent access to the command prompt, chọn Enabled, sau đó chọn OK
B15 – Chuột phải Sites HANOI, chọn Link an existing GPO…
B16 – Chọn GPO Deny CMD, sau đó chọn OK
B17 – Quan sát thấy GPO đã được liên kết vào site HANOI
B18 – Trên máy PC02, Sign In DOM01\HN1, mở CMD, bị báo lỗi
Hoàn Tất Bài Lab