Triển khai nhiều domain controller chạy song song trên windows server 2012

1. Triển khai nhiều Domain Controller chạy song song trên Windows
Server 2012
I- GIỚI THIỆU:
Trong một hệ thống Active Directory lớn, nếu chỉ có một DC thì Server này có thể
bị quá tải khi nhiều user cùng yêu cầu chứng thực. Bên cạnh đó user sẽ không
được chứng thực khi DC này bị lỗi. Trong phần này sẽ hướng dẫn bạn triển khai
nhiều domain controller chạy song song.
II- CÁC BƯỚC TRIỂN KHAI:
Mô hình bài lab bao gồm 3 máy ảo: DC2012 (domain MCTHUB.LOCAL),
SERVER1 và SERVER3.
* Quy trình thực hiện:
1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3.
2/ Khảo sát Active Directory
a. Khái niệm Additional Domain Controller (ADC)
b. Những trường hợp cần xây dựng ADC

2. c. Cài đặt Additional Domain Controller (ADC) cho SERVER1
d. Enforce Replication
e. Chia site hệ thống
III- TRIỂN KHAI CHI TIẾT:
1/ Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3
Mô hình của bạn cần nhiều Server sử dụng Windows 2012. Để tiết kiệm thời gian
và đỡ phải cài nhiều lần 1 hệ điều hành thì bạn dùng dạng đĩa ảo Differencing
Disk (xem bài "Tổng Quan Hyper-V trên Windows Server 2012"). Tuy nhiên bạn
sẽ gặp phải vấn đề khi nâng cấp ADC hay domain mới do các máy ảo sẽ bị trùng
SID (Security Identifier). Do đó, trong trường hợp này bạn cần phải thay đổi SID
cho các máy ảo
- Trên máy SERVER 1, bạn nhấn tổ hợp phím ÿ + R, sau đó nhập vào sysprep.
- Bạn nhấn double click vào file sysprep.exe để thực thi file này.

3. - Trong cửa sổ System Preparation Tool 3.14, bạn đánh dấu chọn vào
ô Generalize.
- Chương trình sysprep sẽ tiến hành xóa thông tin cài đặt và tạo ra SID mới.
- Tương tự bạn thực hiện cho máy SERVER3.
- Sau khi gỡ bỏ SID xong, bạn lần lượt đặt lại tên máy, địa chỉ IP của máy dựa
theo IP bảng sau:

4. - Join 2 máy SERVER1 và SERVER3 vào domain MCTHUB.LOCAL.
2/ Khảo sát Active Directory
a. Khái niệm Additional Domain Controller (ADC)
Active Directory Domain Service (AD DS) là trung tâm quản lý và chứng thực cho
các đối tượng như: group, user, computer account… AD DS cung cấp tất cả thông
tin của một đối tượng cho các dịch vụ cần thiết, ví dụ cung cấp đầy đủ thông tin
cho việc chứng thực khi user truy cập tài nguyên…
* Primary Domain Controller (PDC): Trong một domain có thể có nhiều
Domain Controller. Domain Controller đầu tiên gọi là Primary Domain Controller
(PDC)
* Additional Domain Controller (ADC): Các Domain Controller thêm vào được
gọi là Additional Domain Controller (ADC)
Trong hệ thống doanh nghiệp thì bắt buộc phải có PDC và chỉ duy nhất một
máy. ADC là tùy chọn dùng trong các trường hợp sau đây.
b. Những trường hợp cần xây dựng ADC
+ Trường Hợp 1: Hệ thống có nhiều site (Site: chỉ khu vực địa lý, vd: Site Sài
Gòn – Site Hà Nội).
Giải pháp: dựng thêm ADC ở Site Hà Nội nhằm mục đích chứng thực cho các

5. user ở Hà Nội, mục đích để khi log on không phụ thuộc đường truyền WAN và
tăng tốc độ.
+ Trường Hợp 2: Hệ thống chỉ có 1 site Sài Gòn nhưng có số lượng user lớn.
Khi log on, DC sẽ bị quá tải và gây ra tình trạng nghẽn mạng.
Giải pháp: Nên dựng thêm ADC để chia tải bớt cho hệ thống (Load Balancing),
cân bằng tải giúp hệ thống nhanh hơn.
+ Trường Hợp 3: Hệ thống chỉ có 1 Site Sài Gòn và chỉ có 1 DC, hệ thống
nhỏ. Toàn bộ hệ thống hiện đang chạy ổn định. Nhưng một ngày nào đó DC
gặp sự cố, thì hệ thống công ty sẽ bị tê liệt. Thời gian khôi phục sẽ mất khá
nhiều thời gian.
Giải pháp: Xây dựng ADC để tăng tính sẵn sàng và tính chịu lỗi của hệ thống để
hệ thống có tính sẳn sàng cao (High Availability) và tăng tốc độ chứng thực
Mỗi DC sẽ lưu trữ Database riêng. Nếu xây dựng thêm ADC sẽ có thêm database
nữa. Tuy nhiên 2 database này luôn luôn đồng bộ với nhau.
c. Cài đặt Additional Domain Controller (ADC) cho SERVER1
- Log on máy SERVER1 bằng quyền Domain Admin: MCTHUB. Mở Server
Manager, ở bên trái chọn Local Server. Bạn kiểm tra lại tên Computer
Name và Domain.

6. - Sau khi đã kiểm tra xong, chúng ta sẽ bắt đầu xây dựng ADC. Trước hết bạn cần
phải tìm hiểu về quy trình nâng cấp DC.
Nâng cấp DC Windows Server 2008
Nâng cấp DC Windows Server 2012
- Khi xây dựng domain, thì:
+ Tự động cài ADDS (Active Directory Domain Services)
+ Sau đó nâng cấp lên DC
- Khi xây dựng domain, thì
+ Đầu tiên, bạn phải cài dịch vụ ADDS (Active Directory Domain Services) trước
+ Sau đó nâng cấp lên DC
- Mở Server Manager, vào menu Manage, chọn Add Roles and Features.

7. - Bạn cứ nhấn Next theo mặc định. Ở màn hình Select Server Roles, bạn đánh dấu
chọn vào ô Active Directory Domain Services.
- Chương trình sẽ yêu cầu cài thêm các Features, bạn nhấn Add Features.

8. - Các bước còn lại bạn nhấn Next theo mặc định. Màn hình Confirm installation
selections, bạn đánh dấu chọn vào ô Restart the destination server automatically if
required, sau đó nhấnInstall.
- Bạn kiểm tra Notification và nhấn vào mục Promote this server to a domain
controller.

9. - Màn hình Deployment Configuration, chương trình cung cấp cho bạn ba tùy
chọn:
Ø Add a domain controller to an existing domain: Thêm một ADC vào domain
có sẵn.
Ø Add a new domain to an existing forest: Xây dựng domain mới trong forest
có sẵn.
Ø Add new forest: xây dựng máy DC đầu tiên của forest.
Bạn chọn vào tùy chọn đầu tiên là Add a domain controller to an existing domain.
+ Mục Specify the domain information for this operation, chọn lựa domain mà bạn
muốn làm ADC
+ Mục Supply the credentials to perform this operation, bạn phải dùng user
Domain Admin thì mới có thể thực hiện việc cài ADC.

10. - Màn hình Domain Controller Options, bạn có thể đánh dấu chọn vào ô Domain
Name System (DNS) server để cài đặt thêm DNS cho ADC. Mục này không bắt
buộc. Tuy nhiên bạn nên cài để tăng tính chịu lỗi cho DNS.
Tiếp theo bên dưới là ô Global Catalog (GC). Vậy GC là gì? Trên DC, có AD
Database bao gồm: thông tin user, thông tin group, thuộc tính của các user...
Global Catalog là một bản lưu rút gọn của AD Database được sử dụng để
chứng thực khi user log on.
+ Bên dưới là mục Type the Directory Services Restore Mode (DSRM) password,
bạn nhập vào mật khẩu. Mật khẩu này sẽ được dùng để khôi phục AD ở chế độ
Restore Mode.

11. - Màn hình DNS Options, bạn nhấn Next. Tiếp theo ở màn hình Additional
Options, mục Replicate from, bạn lựa chọn Domain mà bạn muốn đồng bộ. Trong
bài lab này, bạn chọn Any domain controller, sau đó nhấn Next.

12. - Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của AD, log
files và SYSVOL.
- Các bước còn lại, bạn nhấn Next theo mặc định. Màn hình Prerequisites Check,
khi bạn nhận được thông báo All prerequisites check passed successfully nghĩa là
quá trình kiểm tra điều kiện để cài đặt ADC đã thành công. Bạn nhấn nút Install để
bắt đầu cài đặt.

13. - Sau khi nâng cấp ADC xong, bạn vào DC2012 tạo user u1. Trên ADC (máy
SERVER1), bạn tạo thêm user u2. Kiểm tra giữa 2 máy đồng bộ.

14. - Tiếp theo, bạn mở Active Directory Users and Computers. Ở bên trái bạn bung
domain, chọn Domain Controller. Sau đó bạn nhìn sang cột bên phải, bạn sẽ thấy
máy DC2012 và máy SERVER1 đều là Global Catalog Server.
d. Enforce Replication:
Việc đồng bộ giữa 2 DC có thể sẽ không nhanh như mình mong muốn. Để cho 2
DC có thể đồng bộ với nhau ngay lập tức thì bạn phải dùng tính năng Enforce
Replication (trên thực tế thì bạn không cần sử dụng tính năng này).
- Trên máy Server1, bạn mở Server Manager, vào menu Tools, chọn Active
Directory Sites and Services.
- Ở bên trái bạn bung mục Sites Ü Default-First-Site-Name Ü Servers, bạn tiếp tục
bung lần lượt các máy DC2012 và SERVER1.

15. - Muốn thực thi ngay việc đồng bộ hóa, bạn nhấn vào NTDS Settings của DC2012,
sau đó nhấn chuột phải vào automatically generate, chọn Replicate now.
- Tương tự bạn làm cho NTDS Settings của máy SERVER1. Kiểm tra AD Users
and Computers sẽ thấy đồng bộ.

16. e. Chia site hệ thống
Công ty có 2 văn phòng: Văn phòng chính ở Sài Gòn và văn phòng chi nhánh ở
Hà Nội. Bạn xây dựng hệ thống domain cho công ty. Tuy nhiên khi user ở Hà Nội
log on thì có thể phải sang DC ở Sài Gòn chứng thực và ngược lại do cơ chế phân
giải Round Robin của DNS. Do đó việc log on nhanh hay chậm phụ thuộc vào kết
quả phân giải của DNS Server và chất lượng đường truyền.
Giải pháp: Xây dựng SERVER 3 ở Hà Nội làm ADC và chia Site theo từng khu
vực, Client ở Site nào thì logon ở Site đó.
- Trên DC2012, mở Server Manager. Sau đó bạn vào menu Tools, chọn Active
Directory Sites and Services.
- Chuột phải vào Default First Site Name, chọn Rename.

17. - Bạn đổi tên thành SaiGon.
- Chuột phải lên Sites, chọn New Site.

18. - Trong cửa sổ New Object – Site, ở mục Name, bạn đặt tên Site là HANOI. Chọn
Site link có sẵn là DEFAULTIPSITELINK.
- Hộp thoại Active Directory Domain Services, bạn nhấn OK.

19. - Quan sát thấy Site HaNoi đã được tạo.
- Chuột phải vào Subnets, chọn New Subnet.

20. - Ở mục Select a site object for this prefix, bạn chọn Site SaiGon. Ở mục Prefix đặt
tên lớp mạng ở Site SaiGon.

21. - Tương tự bạn làm cho Site HaNoi.

22. - Tiếp theo bạn cài đặt AD DS và nâng cấp SERVER3 thành ADC (lưu ý trong
quá trình nâng cấp chọn Site HANOI). Khi đó user log on trên 1 Client nào đó, hệ
thống sẽ xác định IP của Client để xác định Subnet, từ đó xác định Site. Client sẽ
chứng thực tại Global Catalog Server cùng Site