Bài giảng Quản trị mạng - Chương 2: Active Directory - Bùi Minh Quân

Thư mục động (Active Directory )

 Active Directory là thành phần quan trọng của hệ điều hành

máy chủ:

 Active Directory (AD): là nơi lưu trữ thông tin tài nguyên

mạng: User data, printers, servers, databases, groups,

computers, and security policies được tổ chức theo miền,

cây, rừng.

 Thông tin được sử dụng để truy xuất và quản lý tài nguyên

trên mạng

 Cung cấp một cách đặt tên nhất quán giúp mô tả, định vị,

truy xuất và bảo mật tài nguyên mạng

pdf 38 trang yennguyen 10600
Bạn đang xem 20 trang mẫu của tài liệu "Bài giảng Quản trị mạng - Chương 2: Active Directory - Bùi Minh Quân", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Bài giảng Quản trị mạng - Chương 2: Active Directory - Bùi Minh Quân

Bài giảng Quản trị mạng - Chương 2: Active Directory - Bùi Minh Quân
CHƯƠNG 2:
ACTIVE DIRECTORY 
1
Trình bày: Bùi Minh Quân
Email: bmquan@cit.ctu.edu.vn
Nội dung
 Active Directory (AD) là gì
 Kiến trúc Active Directory
 Cài đặt Active Directory Domain Services (AD-DS)
2
Thư mục động (Active Directory )
 Active Directory là thành phần quan trọng của hệ điều hành
máy chủ:
 Active Directory (AD): là nơi lưu trữ thông tin tài nguyên
mạng: User data, printers, servers, databases, groups,
computers, and security policies được tổ chức theo miền,
cây, rừng.
 Thông tin được sử dụng để truy xuất và quản lý tài nguyên
trên mạng
 Cung cấp một cách đặt tên nhất quán giúp mô tả, định vị,
truy xuất và bảo mật tài nguyên mạng
3
Active Directory
4
2012
Thuận lợi của Active Directory 
 Ưu điểm Active Directory:
 Đơn giản hóa quản lý bảo mật (Domain, OU)
 Lưu trữ dự phòng thông tin bảo mật
 Chính sách nhóm
 Khả năng mở rộng
 Ủy quyền quản trị
5
Active Directory Server Roles là gì?
Server Role Mô tả
Active Directory Domain 
Services (AD DS)
Một thư mục tập trung quản lý và chứng thực cho người sử dụng và 
máy tính trong mạng Windows Server
Active Directory 
Lightweight Directory 
Services (AD LDS)
Một dịch vụ thư mục LDAP (Lightweight Directory Access Protocol) 
cung cấp một cơ chế nhằm hỗ trợ các ứng dụng directory-enabled (sử 
dụng thư mục để lưu trữ dữ liệu), mà không có yêu cầu triển khai 
miền, bộ điều khiển miền.
Active Directory Certificate 
Services (AD CS)
Một giải pháp được sử dụng để bảo vệ thông tin được lưu trữ trong 
các văn bản, tin nhắn, e-mail và các trang Web không được phép xem, 
sửa đổi, hoặc sử dụng
Active Directory Rights 
Management Services (AD 
RMS)
Là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS 
(AD RMS – enable application), nhằm bảo vệ dữ liệu quan trọng trước 
những đối tượng người dùng không được phép (unauthorized users).
Active Directory Federation
Services (AD FS)
Là một dịch vụ cung cấp cơ chế đăng nhập - single sign- on (SSO), 
cho phép bạn đăng nhập chỉ một lần nhưng có thể dùng nhiều ứng 
dụng Web có quan hệ với nhau.
6
Active Directory
 Active Directory Domain Services (AD DS) là một dịch vụ
trên WServer, sử dụng thông tin lưu trữ trong Active
Directory để quản lý các đối tượng users, group, computer.
 Cung cấp thông tin về tài nguyên dựa vào thuộc tính của tài
nguyên.
 Tự phân tán đến các máy tính trên mạng.
 Tự nhân bản: giúp ADDS tự bảo vệ, dễ truy xuất.
 Có khả năng phân tán -> tăng khả năng lưu trữ
 Gồm nhiều phần: miền, cấu hình, lược đồ
7
AD DS Integration with Other Active Directory 
Server Roles
 AD DS là nền tảng cho một mạng chức năng
 Hầu hết các vai trò máy chủ phụ thuộc vào
AD DS để cung cấp cho người sử dụng và
nguồn tài nguyên thông tin cho các vai trò
máy chủ khác
 AD DS cũng cung cấp dịch vụ xác thực và
ủy quyền
8
Kiến trúc Active Directory 
 Kiến trúc
 Đối tượng AD (Active Directory Objects)
 Lược đồ AD (Active Directory Schema)
 Các thành phần AD (Active Directory Components – cấu
trúc luận lý và cấu trúc vật lý)
9
Kiến trúc Active Directory
 Active Directory như một Datastore có 2 thành phần
 NTDS.DIT có 5 thành phần
Domain NC: chứa các đối tượng như user, computer, OU.
Schema: là nơi lưu trữ các định nghĩa về từng thuộc tính trên
mỗi đối tượng
Configuration: chứa toàn bộ các cấu hình của Active Directory
DNS: lưu thông tin cấu hình DNS
Global Catalog (PAS): đảm nhiểm chức năng chứng thực
(authentication) cho hệ thống Active Directory. Máy chủ quản
trị miền nào (Domain controller) lưu trữ Global Catalog thì
được gọi là Global Catalog Server.
10
Kiến trúc Active Directory
 Active Directory như một Datastore có 2 thành phần
 SYSVOL: là một thư mục chứa các chính sách dành cho các
đối tượng người dùng hoặc máy tính và các đoạn script quan
trọng khác.
11
Đối tượng AD
 Thông tin users, máy in, server, database, groups,
computers và security policies
 Mỗi object có những thuộc tính riêng đặc trưng cho object
đó (ví dụ như object user có các thuộc tính liên quan như
First Name, Last Name, Logon Name,  )
 Một số object đặc biệt bao gồm nhiều object khác bên trong
được gọi là các “container”, (ví dụ như domain là một
container bao gồm nhiều user và computer account).
12
Đối tượng AD
13
Các quy ước đặt tên trong AD
 Mỗi đối tượng trong Active Directory được nhận biết thông
qua một tên
 Active Directory hỗ trợ các quy ước đặt tên bao gồm:
 Distinguished Name (DN)
 Globally Unique Identifier (GUID)
 Relative Distinguished Name (RDN)
 User Principal Name (UPN)
14
Các quy ước đặt tên trong AD-DN
 Distinguished Name (DN)
 Mỗi đối tượng trong Active Directory sẽ có một tên duy nhất dựa
trên giao thức LDAP (Lightweight Directory Access Protocol)
 DN chứa đầy đủ thông tin về đối tượng bao gồm:
Tên của miền nơi lưu trữ đối tượng
Đường dẫn đầy đủ tới đối tượng
 Thí dụ sau đây chỉ ra DN của người dùng David Beckham trong
Cty abc (abc.com) và thuộc phòng Development (OU=Dev):
/DC=com/DC=abc/OU=dev/CN=Users/CN=David Beckham
DC: Domain Component Name 
OU: Organizational Unit Name 
CN: Common Name
15
Các quy ước đặt tên trong AD-GUID
 Globally Unique Indentifier (GUID)
 Các GUID là các số 128 bit duy nhất được gán cho đối tượng
tại thời điểm nó được tạo.
 GUID không bao giờ thay đổi ngay cả khi đối tượng được
đổi tên (DN) hay di chuyển.
 Tương tự như một SID (Security Identifiers) trong Windows
NT nhưng:
SID được tạo bên trong một miền là duy nhất trong miền đó
GUID là duy nhất trên tất cả các miền trong một rừng
 GUID giống như số CMNN của một người nào đó
16
Các quy ước đặt tên trong AD-RDN
 ADDS hỗ trợ truy vấn 
thông qua thuộc tính của 
một đối tượng, do đó có 
thể xác định được đối 
tượng ngay cả khi không 
biết DN.
 RDN của một đối tượng 
là thuộc tính của đối 
tượng đó
17
Các quy ước đặt tên trong AD-UPN
 User Principal Name (UPN)
 Là tên thân thiện của đối tượng người dùng.
 Nó là sự kết hợp giữa một tên ngắn của đối tượng và tên
 DNS của Domain nơi lưu giữ đối tượng.
 Tên ngắn thường là tên đăng nhập (logon) của người dùng.
 Ví dụ: đối với người dùng Lam Chi Nguyen có tên đăng
nhập là lcnguyen, thì UPN sẽ là: lcnguyen@abc.com
18
Lược đồ AD
 Chứa những định nghĩa về các đối tượng khác nhau được
lưu trữ trong AD.
 Các định nghĩa được lưu trữ như đối tượng trong AD.
 Lược đồ là duy nhất trong một rừng và được tạo ra trong
quá trình cài đặt Domain Controller đầu tiên của rừng.
 Schema được định nghĩa gồm 2 loại object là Schema Class
Objects và Schema Attribute Objects.
 Schema Class có chức năng như một template cho việc tạo
mới các đối tượng trong AD.
 Schema Attribute định nghĩa các Schema Class tương ứng
với nó.
19
Lược đồ AD
20
Cấu trúc luận lý (Logical Structure)
 Được ánh xạ thông qua mô hình domains, OUs, trees và
forest
21
Miền (Domain)
 Trong một miền thì phải có ít nhất là một
máy chủ quản lý miền (Domain Controller)
 Nó là sự tập hợp các máy tính được định
nghĩa bởi người quản trị.
 Tất cả các máy tính trong miền dùng chung
một cơ sở dữ liệu Active Directory chia sẻ
 Mục đích chính của miền là phục vụ như một
ranh giới bảo mật trong mạng Windows
Server.
 Các máy chủ trong cùng một miền sẽ đồng
bộ với nhau về các đối tượng trong miền đó
(Domain Name Context)
22
Đơn vị tổ chức OU (Organization Unit – OUs)
 Trong miền, các đối tượng
được sắp xếp và tổ chức bằng
cách sử dụng các OU.
 Nó chứa các đối tượng như
người dùng, máy tính, máy
in, nhóm và OUs khác.
 OU giúp cho việc phân loại
và tổ chức các đối tượng một
cách hợp lý như ý của bạn
Computer 
Account
User
Account
23
Cây (Tree)
 Các đặc tính của cây:
 Theo chuẩn DNS
 Các Domain trong cây 
chia sẻ chung: Common 
schema và Global 
catalog
Là một nhóm của một hay nhiều domain, mà các domain này chia sẻ 
một không gian tên liền kề và cấu trúc đặt tên có thứ bậc.
24
Những miền có sử dụng chung tên gốc hay tên miền không bị gián đoạn
Rừng (forest)
 Forest: Là tập hợp của nhiều tree có quan hệ với nhau
 Các domain trees trong forest là độc lập với nhau về tổ
chức
25
Rừng (forest)
 Một forest phải đảm bảo thoả các đặc tính sau
 Toàn bộ domain trong forest phải có 1 schema chia sẻ chung
 Các domain trong forest phải có 1 global catalog chia sẻ chung
 Các domain trong forest phải có mối quan hệ trust 2 chiều với
nhau
 Các tree trong 1 forest phải có cấu trúc tên(domain name) khác
nhau
 Các domain trong forest hoạt động độc lập với nhau, tuy nhiên
hoạt động của forest là hoạt động của toàn bộ hệ thống tổ chức
doanh nghiệp.
26
Danh mục toàn cục (Global Catalog)
 Global catalog là trung tâm lưu giữ các thông tin của các
đối tượng trong Active directory
 Nhưng thông tin (thuộc tính của đối tượng) được lưu trữ
trong Global catalog thường xuyên được sử dụng cho hoạt
động tìm kiếm và định vị các đối tượng trong AD
 Global catalog được tạo ra trong Domain Controller đầu
tiên của Forest -> Global Catalog Server
27
Danh mục toàn cục (Global Catalog)
28
Cấu trúc vật lý của AD (Physical Structure)
 Cấu trúc vật lý và cấu trúc logic là hoàn toàn tách biệt
 Cấu trúc vật lý được sử dụng để tổ chức việc trao đổi trên
mạng, trong khi cấu trúc logic dùng để tổ chức tài nguyên
trên mạng.
 Cấu trúc vật lý của AD gồm:
Sites
Domain Controllers
29
Sites
 Là một thuật ngữ được dùng đến khi nói về
vị trí địa lý của các domain trong hệ thống.
 Một site là một sự kết hợp của một hoặc
nhiều subnets IP được kết nối với tốc độ
cao
 Các Sites được định nghĩa để tối ưu hoá
việc truy xuất và nhân bản Active
Directory.
 Mục đích chính của việc định nghĩa các
sites là:
 Để đảm bảo chắc chắn kết nối tốc độ cao
giữa các domain controllers
 Để tối ưu hoá băng thông giữa các site
30
Sites
31
Khái niệm này thường được chia theo vùng, ví dụ công ty của bạn có 2 chi 
nhánh, một tại Hà Nội và một tại Hồ Chí Minh. Khái niệm Site ở đây được hiểu 
là khi các máy trong đó thuộc về cùng một subnet địa chỉ IP. Các máy chủ trong 
cùng một subnet thì được gọi là Intrasite, còn các máy chủ nằm khác subnet thì 
được gọi là Intersite.
Bộ điều khiển miền (Domain Controllers)
 Một domain controller (DC) là một máy chạy Windows
Server và nó chứa một bản sao của Active directory.
 Các chức năng của Domain Controller:
 Duy trì một bản sao CSDL của active directory
 Các DC trong một domain tự động nhân bản tất cả các đối
tượng trong domain tới mỗi DC.
 Duy trì thông tin của các đối tượng trong Active Directory
 Cung cấp khả năng chịu lỗi trong môi trường đa DC.
 Quản lý và hỗ trợ người sử dụng trong việc tìm kiếm thông
tin trên AD
32
Nhân bản (Replication) trong AD
 Nhằm bảo đảm rằng những thay đổi trên bất kỳ Domain
Controller nào cũng được phản ánh tới các DC khác trong
miền.
 Những thông tin trong Active Directory gồm:
 Thông tin lược đồ.
 Thông tin cấu hình.
 Thông tin miền.
 Thông tin phần mềm ứng dụng.
Ví dụ: trên DC thứ nhất, bạn được phép truy cập vào tài nguyên A, trong khi
theo máy chủ DC thứ 2, bạn lại không có được quyền này???
33
Nhân bản (Replication)
34
 Một hệ thống thì phải có sự nhất 
quán rõ ràng, từ các đối tượng, cho 
tới các chính sách thực thi,
 Cần phải có một sự đồng bộ giữa 
các các máy chủ quản lý về đối 
tượng, chính sách .v.v,
Nhân bản (Replication)
 Nhân bản bên trong Site là nhanh và tin cậy.
 Nhân bản giữa các Sites
 Sử dụng thông tin kết nối mạng tạo ra kết nối đối tượng, điều này
cung cấp tính chịu lỗi và khả năng phục hồi.
 Việc nhân bản sẽ có hiệu quả cao nếu các lịch biểu nhân bản được
tối ưu, ví dụ lên lịch nhân bản khi lưu lượng mạng ít.
 Quá trình nhân bản kết thúc khi tất cả các bộ điều khiển miền
đã được cập nhật.
35
Trust Relationships
 Trust Relationships:
 Domain A, khi tin cậy một domain B, quản trị viên domain A có
thể cho phép người dùng bên domain B, truy cập vào tài nguyên
của mình.
 Tuy nhiên, người dùng ở domain A, thậm chí ngay cả quản trị
viên domain A cũng không thể truy cập vào tài nguyên của B, do
không được domain B tin tưởng.
 Điều này chỉ có thể xảy ra, khi quản trị viên từ domain B cũng có
một động thái tương tự.
36
Cài đặt Active Directory trên Windows Server 2012
 Cấu hình IP tĩnh cho máy
 Đặt tên máy: serverxx (server41)
 Tên miền của đơn vị: domainXX.com (domain41.com)
 Vào Server Manager, chọn Add roles and features: 
37
Cài đặt Active Directory trên Windows Server 2012
 Ấn Next để giữ nguyên các cài đặt mặc định. Đến Select server
roles -> Chọn Active Directory Domain Services (AD DS) và DNS
Server:
 Xem thêm tài liệu
38

File đính kèm:

  • pdfbai_giang_quan_tri_mang_chuong_2_active_directory_bui_minh_q.pdf