Vị trí của việc xác thực và máy chủ Domain Controller tại
một văn phòng chi nhánh
Thế nào là máy chủ Read-Only Domain Controllers?
Các yêu cầu tiên quyết cho việc triển khai RODC
Cài đặt RODC
Phân tách vai trò quản trị
Vị trí của việc xác thực và máy chủ Domain Controller tại
một văn phòng chi nhánh
Thế nào là máy chủ Read-Only Domain Controllers?
Các yêu cầu tiên quyết cho việc triển khai RODC
Cài đặt RODC
Phân tách vai trò quản trị
2. Nội dung bài học trước
Tìm hiểu màn hình quản trị Server Manager
Các tính năng của các thành phần quản trị qua Server
Manager:
Quản trị Vai trò (Roles)
Quản trị Tính năng (Features)
Quản trị Chẩn đoán (Diagnostic)
Quản trị Cấu hình (Configuration)
Quản trị Lưu trữ (storage)
Tìm hiểu màn hình quản trị Server Manager
Các tính năng của các thành phần quản trị qua Server
Manager:
Quản trị Vai trò (Roles)
Quản trị Tính năng (Features)
Quản trị Chẩn đoán (Diagnostic)
Quản trị Cấu hình (Configuration)
Quản trị Lưu trữ (storage)
Bài 12 - Giới thiệu về RODC 2
3. Mục tiêu bài học
Vị trí của việc xác thực và máy chủ Domain Controller tại
một văn phòng chi nhánh
Thế nào là máy chủ Read-Only Domain Controllers?
Các yêu cầu tiên quyết cho việc triển khai RODC
Cài đặt RODC
Phân tách vai trò quản trị
Vị trí của việc xác thực và máy chủ Domain Controller tại
một văn phòng chi nhánh
Thế nào là máy chủ Read-Only Domain Controllers?
Các yêu cầu tiên quyết cho việc triển khai RODC
Cài đặt RODC
Phân tách vai trò quản trị
Bài 12 - Giới thiệu về RODC 3
4. Vị trí của việc xác thực và máy chủ
Domain Controller tại một văn phòng
chi nhánh
Data Center
• Nhân sự
• Cơ sở vật chất bảo mật
• Xác thực cho các user từ chi nhánh phụ
thuộc vào mức độ sẵn sàng và hiệu suất của
mạng WAN
Branch Office
• Một số, nếu có, nhân sự
• Cơ sở vật chất ít bảo mật
• Cải thiện xác thực
• Bảo mật: Phơi bày cơ sở dữ liệu AD
• Tích hợp dịch vụ thư mục: Lỗi tại chi nhánh
nhân bản sang các DC khác
• Quản trị: Việc quản trị yêu cầu các thành
viên của nhóm Administrators trên domain
• Nhân sự
• Cơ sở vật chất bảo mật
• Xác thực cho các user từ chi nhánh phụ
thuộc vào mức độ sẵn sàng và hiệu suất của
mạng WAN
• Một số, nếu có, nhân sự
• Cơ sở vật chất ít bảo mật
• Cải thiện xác thực
• Bảo mật: Phơi bày cơ sở dữ liệu AD
• Tích hợp dịch vụ thư mục: Lỗi tại chi nhánh
nhân bản sang các DC khác
• Quản trị: Việc quản trị yêu cầu các thành
viên của nhóm Administrators trên domain?
Bài 12 - Giới thiệu về RODC 4
5. Thế nào là máy chủ Read-Only
Domain Controllers?
Data Center
• Máy chủ Windows Server 2008
domain controller có khả năng ghi
• Chính sách sao chép Password
• Chỉ rõ password của User (và
computer) nào có thể được lưu vào
bộ nhớ đệm bởi máy chủ RODC
Branch Office
• RODC
• Tất cả các đối tượng
• Tập hợp các thuộc tính
• Không “bí mật"
• Không có khả năng ghi
• Các user đăng nhập
• RODC chuyển tiếp xác thực
• Password được lưu trong bộ nhớ
đệm
• Nếu chính sách sao lưu password
cho phép
• Có một nhóm Administrators cục
bộ
• Máy chủ Windows Server 2008
domain controller có khả năng ghi
• Chính sách sao chép Password
• Chỉ rõ password của User (và
computer) nào có thể được lưu vào
bộ nhớ đệm bởi máy chủ RODC
• RODC
• Tất cả các đối tượng
• Tập hợp các thuộc tính
• Không “bí mật"
• Không có khả năng ghi
• Các user đăng nhập
• RODC chuyển tiếp xác thực
• Password được lưu trong bộ nhớ
đệm
• Nếu chính sách sao lưu password
cho phép
• Có một nhóm Administrators cục
bộ
Bài 12 - Giới thiệu về RODC 5
6. Các yêu cầu tiên quyết đối với việc triển
khai RODC
1. Đảm bảo forest functional level là Windows Server 2003
hoặc cao hơn
Tất cả các máy chủ domain controllers chạy Windows Server 2003 hoặc
mới hơn
Tất cả domains functional level là Windows Server 2003 hoặc cao hơn
Forest functional level là Windows Server 2003 hoặc cao hơn
2. Nếu forest có bất kỳ domain controller nào đang chạy
Windows Server 2003, thì chạy adprep /rodcprep
Đĩa CD Windows Server 2008 thư mục :sourcesadprep
3. Đảm bảo rằng có ít nhất một máy chủ domain controller
có khả năng ghi đang chạy Windows Server 2008
1. Đảm bảo forest functional level là Windows Server 2003
hoặc cao hơn
Tất cả các máy chủ domain controllers chạy Windows Server 2003 hoặc
mới hơn
Tất cả domains functional level là Windows Server 2003 hoặc cao hơn
Forest functional level là Windows Server 2003 hoặc cao hơn
2. Nếu forest có bất kỳ domain controller nào đang chạy
Windows Server 2003, thì chạy adprep /rodcprep
Đĩa CD Windows Server 2008 thư mục :sourcesadprep
3. Đảm bảo rằng có ít nhất một máy chủ domain controller
có khả năng ghi đang chạy Windows Server 2008
Bài 12 - Giới thiệu về RODC 6
7. Cài đặt một máy chủ RODC
Cài đặt máy chủ RODC
Active Directory Domain Services Installation Wizard (dcpromo)
Tiến hành cài đặt máy chủ RODC đã được ủy quyền: Domain Controllers OU
Bài 12 - Giới thiệu về RODC 7
8. Chia tách vai trò quản trị
Cho phép thực hiện các tác vụ quản trị trên máy chủ
RODC
Mỗi máy chủ RODC duy trì một cơ sở dữ liệu quản lý tài
khoản bảo mật (SAM) của các nhóm đối với các mục
đích quản trị cụ thể
Lệnh DSMgmt cho phép quản lý các vai trò cục bộ
dsmgmt [enter]
local roles [enter]
? [enter] cho một danh sách các dòng lệnh
List roles [enter] cho một danh sách các vai trò
add username administrators [enter]
Cho phép thực hiện các tác vụ quản trị trên máy chủ
RODC
Mỗi máy chủ RODC duy trì một cơ sở dữ liệu quản lý tài
khoản bảo mật (SAM) của các nhóm đối với các mục
đích quản trị cụ thể
Lệnh DSMgmt cho phép quản lý các vai trò cục bộ
dsmgmt [enter]
local roles [enter]
? [enter] cho một danh sách các dòng lệnh
List roles [enter] cho một danh sách các vai trò
add username administrators [enter]
Bài 12 - Giới thiệu về RODC 8
9. Tổng kết bài học
Tính chất của DC tại trụ sở chính và tại chi nhánh
Đặc điểm của RODC
Các yêu cầu cần có trước khi triển khai RODC
Bài 12 - Giới thiệu về RODC 9