CHILD DOMAIN & TRUST RELATIONSHIP
Khi bạn tạo một domain mới trong AD DS, domain mới đó gọi là forest root, sẽ tự động hình thành nền tảng cơ sở hạ tầng AD DS. Domain controllers trong forest root domain giữ schema master và domain-naming master Flexible Single Master Operations (FSMO).
Nếu tổ chức của bạn chỉ yêu cầu một miền duy nhất, forest root domain sẽ chứa tất cả các đối tượng người dùng, group và computer mà tổ chức của bạn sử dụng.
Nếu bạn muốn triển khai multiple domains vì yêu cầu về cách ly, sử dụng forest riêng biệt để cô lập các tài khoản đặc quyền nhằm bảo vệ khỏi các kỹ thuật đánh cắp thông tin xác thực. Tree domain hay Child domain được hình thành theo cấu trúc parent-child domain structure.
Hoàn thành bài lab bạn có thể triển khai child domain và thiết lập trust relationship giữa 2 forest hay giữa 2 domain
CÁC BƯỚC TRIỂN KHAI:
1. Cài đặt Child Domain
2. Trust Relationship
- a. Forest Trusts
- b. External Trust
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 4 máy:
- PC01: Windows Server 2019/2022 Data Center DC (Domain: DOM01.LOCAL)
- PC02: Windows Server 2019/2022 Data Center
- PC03: Windows Server 2019/2022 Data Center DC (Domain: DOM02.LOCAL)
- PC04: Windows Server 2019/2022 Data Center
– Cấu hình IP cho các máy như sau:
| PC02 | PC01 | ||
| Internal | Internal | External | |
| IP Address | 192.168.1.11 | 192.168.1.10 | 172.16.1.11 |
| Subnet Mask | 255.255.255.0 | 255.255.255.0 | 255.255.0.0 |
| Default Gateway | Trống | Trống | Trống |
| Preferred DNS Server | 192.168.1.10 | 192.168.1.10 | Trống |
| PC04 | PC03 | ||
| Internal | Internal | External | |
| IP Address | 10.0.0.14 | 10.0.0.13 | 172.16.1.13 |
| Subnet Mask | 255.0.0.0 | 255.0.0.0 | 255.255.0.0 |
| Default Gateway | Trống | Trống | Trống |
| Preferred DNS Server | 10.0.0.13 | 10.0.0.13 | Trống |
– Trên máy PC01 và máy PC03, cài đặt Routing and Remote Access, cấu hình để PC02 ping thấy PC04.
B- THỰC HIỆN CHILD DOMAIN & TRUST RELATIONSHIP
1. Cài đặt Child Domain
* Thực hiện trên PC01
B1 – Mở DNS Server, chuột phải PC01, chọn New Zone
B2 – Màn hình Welcome, chọn Next
B3 – Màn hình Zone Type, chọn Primary Zone, check vào ô Store the zone in Active Directory, chọn Next
B3 – Màn hình Active Directory Zone Replication Sope, chọn To all DNS servers running on domain controllers in this forest, chọn Next 2 lần
B4 – Màn hình Zone Name, đặt tên: hcm01.dom01.local, chọn Next 2 lần, chọn Finish
B5 – Quan sát Forward Lookup Zones vừa tạo
B6 – Cửa sổ DNS Manger, chuột phải vvào DOM01.LOCAL, chọn Properties
B7 – Ở mục Replication, chọn Change…
B8 – Chọn To all DNS servers running on domain controllers in this forest, chọn OK 2 lần
* Thực hiện trên PC02
B1 Mở Server Manager, vào menu Manage, chọn Add Roles and Features
B2 – Cửa sổ Before You Begin, chọn Next 3 lần.
B3 – Trong cửa sổ Select server roles, đánh dấu chọn Active Directory Domain Services . Hộp thoại Add Roles and Features Wizard, chọn Add Features, chọn Next.
B4 – Cửa sổ Select features, chọn Next 2 lần.
B5 – Cửa sổ Confirm installation selections, nhấn Install để cài đặt.
B6 – Sau khi cài đặt thành công, trong cửa sổ Installation progress, chọn dòng Promote this server to a domain controller.
B7 – Cửa sổ Deployment Configuration, mục Select the deployment operation, chọn Add a domain to an existing forest. Ở mục Parent Domain name, chọn Select. Khai báo thông tin Domain Admin: DOM01\Administrator, Password: P@ssword, chọn OK 2 lần. Mục New domain name, nhập HCM01, sau đó chọn Next
B8 – Cửa sổ Domain Controller Options, bỏ check ô Domain Name System (DNS) server. Nhập vào mật khẩu P@ssword ở mục Type the Directory Services Restore Mode (DSRM) password, chọn Next 4 lần
B9 – Cửa sổ Prerequisites Check, chọn Install
B10 – Sau khi cài đặt xong, chọn Close 2 lần. Máy PC02 sẽ tự động khởi động lại.
B11 – Quá trình khởi động hoàn tất, đăng nhập HCM01\Administrator
B12 – Mở Server Manager, vào menu Manage, chọn Add Roles and Features
B13 – Cửa sổ Before You Begin, chọn Next 3 lần.
B14 – Trong cửa sổ Select server roles, đánh dấu chọn DNS Server, chọn Add Features, sau đó chọn Next 3 lần
B15 – Cửa sổ Confirmation, chọn Install. Quá trình cài đặt hoàn tất, chọn Close
B16 – Mở Run, gõ lệnh services.msc. Chuột phải service DNS Server, chọn Restart. (Thực hiện tương tự trên máy PC01)
B17 – Mở Active Directory Sites and Services, vào Default First Site Name, chọn Servers thấy có 2 PC: PC01 và PC02, trong từng PC có NTDS Settings.
B18 – Mở DNS Server, quan sát thấy 2 zone dom01.local và hcm01.dom01.local đã được đồng bộ từ PC01
B19 – Trên máy PC01, tạo user u1 và trên máy PC02, tạo user u2. Chỉnh Policy Log on locally trên cả 2 máy. Tại máy PC01, Sign In bằng user u2. Tại máy PC02, Sign In bằng user u1=> Sign In thành công
2. Trust Relationship
a. Forest Trusts (Thực hiện trên PC01)
B1 – Mở DNS, chuột phải Conditional Forwarders, chọn New Conditional Forwarder
B2 – Mục DNS Domain, nhập DOM02.LOCAL, sau đó nhập IP của PC03: 172.16.1.13, chọn OK
B3 –Thực hiện tương tự trên máy PC03, tạo Conditional Forwarder về máy PC01
B4 – Lần lượt trên máy PC01 và PC03, mở CMD, gõ lệnh nslookup, đảm bảo phân giải thành công dom01.local và dom02.local
 |
 |
B5 – Trên PC01, mở Active Directory Domains and Trusts, chuột phải DOM01.LOCAL, chọn Propeprties
B6 – Qua tab Trust, chọn New Trust
B7 – Màn hình Welcome, chọn Next
B8 – Màn hình Trust Name, nhập DOM02.LOCAL, chọn Next
B9 – Màn hình Trust Type, chọn Forest Trust, chọn Next
B10 – Màn hình Direction of Trust, chọn Two-way, Next
B11 – Màn hình Sides of Trust, chọn Both this domain and the specified domain, chọn Next
B12 – Khai báo User Name and Password của domain DOM02.LOCAL, chọn Next
B13 – Các bước còn lại chọn Yes và chọn Next theo mặc định. Màn hình Completing, chọn Finish
B14 – Bên dưới mục Domains trusted by this domain (outgoing trusts), chọn DOM02.LOCAL, chọn Properties
B15 – Nhấn vào nút Validate, khai báo User Name và Passwords (nếu yêu cầu). Khi nhận được thông báo như bên dưới nghĩa là quá trình Trust đã thành công, chọn OK 2 lần
B16 – Qua máy PC03, mở Active Directory Domains and Trusts, chuột phải DOM02.LOCAL, chọn Propeprties.
B17 – Quan sát thấy đã được tự động cấu hình trust với DOM01.LOCAL
B18 – Kiểm tra: lấy user của dom01 sign in vào dom02.local và ngược lại
b. External Trust
B1 – Trên máy PC02, mở DNS tạo Conditional Forwarder về máy PC04 (hcm02.domain02.local) và trên máy PC04 tạo Conditional Forwarder về máy PC02 (hcm01.dom01.local)
* Máy PC02:
* Máy PC04:
B2 – Lần lượt trên máy PC02 và PC04, mở CMD, gõ lệnh nslookup, đảm bảo phân giải thành công hcm02.domain02.local và hcm01.dom01.local
B3 – Trên PC02, mở Active Directory Domains and Trusts, chuột phải HCM01.DOM01.LOCAL, chọn Propeprties
B4 – Qua tab Trust, chọn New Trust
B5 – Màn hình Welcome, chọn Next
B6 – Màn hình Trust Name, nhập HCM02.DOM02.LOCAL, chọn Next
B7 – Màn hình Direction of Trust, chọn Two-way, Next
B8 – Màn hình Sides of Trust, chọn Both this domain and the specified domain, chọn Next
B12 – Khai báo User Name and Password của domain HCM02. DOM02.LOCAL, chọn Next
B13 – Các bước còn lại, chọn Next theo mặc định. Màn hình Completing, chọn Finish
B14 – Qua máy PC04, mở Active Directory Domains and Trusts, chuột phải HCM02.DOM02.LOCAL, chọn Propeprties.
B15 – Quan sát thấy đã được tự động cấu hình trust với HCM01.DOM01.LOCAL
B16 – Kiếm tra: lấy user của hcm01.dom01.local sign in vào hcm02.dom02.local và ngược lại
Hoàn Tất Bài Lab