Cài đặt Active Directory trên Windows Server 2008

Cài đặt Active Directory trên Windows Server 2008

Đăng vào ngày 11 Tháng Chín 2010 lúc 11:42 bởi Duy Khánh Mục: IT, Active Directory, Windows Server  ||  Tags: ,    Bình luận (14)

Microsoft Active Directory cung cấp cấu trúc quản lý mạng tập trung và cất giữ thông tin về tài nguyên mạng qua toàn bộ Domain. AD sử dụng Domain Controller để tập trung lưu trữ mạng có sẵn cho người dùng trong mạng.


Để cấu hình một máy tính Windows Server 2008 hoạt động như một Domain Controller (DC) có một vài cân nhắc và những tiền để để yêu cầu được đưa vào tài khoản và một số bước cần được thực hiện. Trong bài viết này tôi sẽ hướng dẫn các bạn qua những tiền đề này và tạo ra một bước mới của Windows Server 2008 Domain Controller cho một tên miền mới trong một Forest mới.


Xem xét khi cài đặt Windows Server 2008 Forest mới

Khi bạn cài đặt AD để tạo DC đầu tiên trong Windows Server 2008 Forest mới, bạn phải xem xét các điều kiện sau:

- Bạn phải quyết định chức năng của Forest và Domain đó là xác định xem Forest và Domain có thể chứa DC chạy Windows server 2000, Windows Server 2003 hoặc cả hai.
- DC chạy hệ điều hành Microsoft Windows NT Server 4.0 sẽ không được hỗ trợ với Windows Server 2008.


- Server chạy Windows NT Server 4.0 không được hỗ trợ bởi DC chạy Windows Server 2008, có nghĩa là bạn phải có thêm DC chạy Windows 2000/2003 để hỗ trợ máy chủ Windows NT Server 4.0 .

- Windows Server 2008 DC đầu tiên trong Forest phải là Global catalog Server và nó không được chứa RODC.

Xem xét khi cài đặt mới domain Windows Server 2008 trong Windows 2000/2003 Forest hiện tại.

Khi bạn cài đặt AD để tạo kiểm soát đầu tiên trong một tên miền mới Windows Server 2008 bạn cần phải ghi nhớ các điểm xem xet sau:

- Trước khi bạn tạo một tên miền Windows Server 2008 trong một Forest Windows 2000/2003, bạn cần phải chuẩn bị Forest cho Windows Server 2008 bằng cách mở rộng các schema (có nghĩa là bằng cách bạn chạy ADPREP / forestprep).

- Bạn phải xác định xem nên quyết định mức độ chức năng của tên miền, tên miền của bạn có thể chứa tên miền điều khiển chạy Windows 2000 Server, Windows Server 2003 hoặc cả hai.

- Tôi khuyên bạn nên lưu trữ các PDC emulator hoạt động trong vai trò chính của tên miền Forest gốc trên một tên miền điều khiển chạy Windows Server 2008.

Cài đặt Active Directory Domain Services (AD-DS)

Trong Windows Server 2008, không giống như các điều hành server khác, trong windows server 2008 cần có thêm một bước cần phải làm trước khi chạy DCPROMO để thăng máy chủ tới DC và cài đặt Active Directory trên nó. Bước này là bạn cần phải cài đặt tên miền của Active Directory Services (AD-DS) đóng vai trò máy chủ. Trong thực tế, vai trò của AD-DS là những gì để server cho phép hoạt động như một Domain Controller, nhưng bạn sẽ vẫn cần phải chạy DCPROMO theo cách thông thường.

AD - DS có thể được cài đặt một trong 3 phương pháp.

Phương pháp 1: Server Manager/Initial configuration Tasks

Vai trò có thể và cần được cập nhật từ Server Manager (nhưng chúng cũng có thể được bắt đầu từ những bước Configuration Tasks wizard chung mà nó mở ra tự động khi lần đầu tiên bạn đăng nhập vào máy chủ).

1. Mở Server Manager bằng cách click vào biểu tượng trên thanh công cụ Quick Launch hoặc từ thư mục Administrative tools.

2. Bạn đợi cho đến khi nó load hết các thành phần và sau đó click vào liên kết Roles > Add Roles.

 

 

3. Trước cửa sổ bắt đầu bạn click Next.

 

 

4. Trong cửa Select Server Roles, bạn click vào Active Directory Domain Services và sau đó click Next.

 

 

5. Tiếp theo trong cửa sổ Active Directory Domain Services bạn đọc lại các thông tin nếu bạn muốn và sau đó click Next.

 

 

6. Trong cửa sổ Confirm Installation Selections bạn click Next.

 

 

7. Bạn đợi cho đến khi quá trình hoàn thành.

 

 

9. Quay trở lại Server Manager, bạn click vào liên kết Active Directory Domain Services và chú ý ở đây không có thông tin về liên kết tới nó, bởi vì lệnh DCPROMO vẫn chưa được chạy.

 

 

Bây giờ Active Driectory Server của bạn vẫn chưa hoàn thoàn cài đặt thành công, Servies vẫn chưa thể được Start

 

10. Bây giờ ta tiếp tục click lên liên kết DCPROMO.

 

Active Directory Domain Services Installation Wizard sẽ xuất hiện ngay lập tức hoặc sau một thời gian ngắn. Click vào Next.

 

 

Trong cửa sổ Operation system compatibility bạn đọc các thông tin cung cấp và click Next.

 

 

Tiếp theo là cửa sổ Choosing Deployment Configuration click vào "Create a new domain in a new forest" và sau đó click Next.

 

 

Nhập tên domain thích hợp, bạn phải đảm bảo rằng bạn chọn đúng tên miền. Việc thay đổi tên miền sẽ là việc bạn sẽ không muốn thực hiện hàng ngày. Click vào Next.

Chú ý: Bạn cần gõ domain đúng cấu trúc. Ví dụ khanh.com.vn là một tên đúng.Không gõ là khanh hay một tên nào đó không có phần "."

Hệ thống sẽ thực hiện việc kiểm tra xem nếu không phải là tên miền đã được sử dụng trên mạng local.

Tiếp theo là cửa sổ Set Forest Functional Level, Windows 2000 mode là chế độ mặc định và nó cho phép thêm Windows 2000, Windows Server 2003 và Windows Server 2008 DC tới Forest mà bạn đang tạo.

 

 

Trong cửa sổ Set Domain Functional Level thì chế độ Windows 2000 Native Mode sẽ là mặc định và nó cho phép thêm Windows 2000, Windows Server 2003 và Windows Server 2008 DC tới domain bạn đang tạo.

 

Chú ý: nếu bạn chọn Windows Server 2008 của chức năng level forest, bạn sẽ không được nhắc để lựa chọn chức năng của Domain level.

Hệ thống sẽ thực hiện kiểm tra xem nếu DNS được cấu hình đúng trên mạng Local. Trong trường hợp này, không có DNS server đã được cấu hình, do đó các thuật sĩ sẽ cung cấp để tự động cài đặt DNS trên máy chủ này.

 

Chú ý: DC đầu tiên ngoài ra còn phải là Global Catalog và DC đầu tiên trong Forest không thể là Read Only Domain controller.

Có nhiều khả năng bạn sẽ nhận được một cảnh báo cho rằng máy chủ có một hoặc nhiều địa chỉ IP động. Chạy IPCONFIG / sẽ hiển thị tất cả, bởi vì như bạn có thể nhìn thấy rõ ràng, tôi có một máy phục vụ cho các địa chỉ IP tĩnh. Vì vậy, câu hỏi là tại sao lại có cảnh báo như vậy? Câu trả lời là IPv6. Tôi không tự cấu hình địa chỉ IPv6, vì vậy sẽ cảnh báo này. Trong một mạng, nơi IPv6 không được sử dụng, bạn có thể yên tâm bỏ qua cảnh báo này.

 

 

 

Rất có thể bạn sẽ nhận được một cảnh báo về DNS. Vì không biết đã có DNS được cấu hình chưa, bạn có thể bỏ qua cảnh báo này và click Yes.

 

Tiếp theo, thay đổi đường dẫn cho cơ sở dữ liệu của AD file log và thư mục SYSVOL. Để triển khai số lượng lớn, bạn cần phải cẩn thận với kế hoạch cấu hình DC của bạn để có được hiệu suất tối đa. Nếu đã hài lòng bấm vào Next.

 

 

Nhập mật khẩu cho Active Directory Recovery Mode. Mật khẩu này phải được giữ bí mật và bởi vì nó thường xuyên trợ giúp trong khi mật khẩu người dùng hết hạn (dựa trên các chính sách mật khẩu cấu hình cho tên miền, mặc định là 42 ngày). Điều này được áp dụng mật khẩu phức tạp và ít nhất 7 ký tự. Tôi khuyến cáo bạn không nên sử dụng thường xuyên của mật khẩu quản trị. Click Next.

 

Trong cửa sổ Summary bạn kiểm tra lại các lựa chọn của bạn và nếu yêu cầu bạn có thể lưu chúng ra thành file Unattend,sau đó click Next.

 

Hệ thống sẽ bắt đầu tạo Active Directory, và khi hoàn tất bạn sẽ cần phải Click vào Finish và khởi động lại máy tính của bạn.

 

Lưu ý: Bạn có thể tự động hoá trong quá trình khởi động lại bằng cách chọn vào ô Reboot on Completion.

Ngoài ra bạn có thể cài đặt Active Directory bằng cách sử dụng file trả lời tự động.

Bây giờ server của bạn đã hoạt động như là một Domain Controller. Bạn có thể thử nghiệm bằng cách sử dụng chức năng công cụ quản lý của AD như là: Active Directory Users and Computers, kiểm tra Event Logs, dịch vụ, thư mục và shares đã được tạo ra.

Duy Khánh (Theo petri.co.il)

 

Bình luận (14) -

phuongvb
phuongvb
09/05/2011 3:44:54 SA #

Chào bạn! Bạn cài theo chỉ dẫn như vậy có gặp trục trặc gì không? Mình thực hiện theo các bước của chỉ dẫn này kết quả là có vài cảnh báo ID 1844,1463 ...Máy trong cùng mạng LAN không join được vào domain mình tạo ra. Mình có tham khảo có lẽ lỗi này liên quan đến cảnh báo 1844: technet.microsoft.com/.../dd941854(WS.10).aspx. Mình mong nhận được góp ý của bạn về việc này. Mình không hiểu lắm về mạng.
Cảm ơn bạn!

Duy Khanh
Duy Khanh
09/05/2011 8:32:19 SA #

Chạn bạn! Bạn đã cấu hình IP cho Server làm DC như thế nào?
Như bài hướng dẫn ở trên thì IP Address và Preferred DNS trùng nhau nhé!
Và, ở máy Client muốn join và DC phải trỏ Preferred DNS về đúng IP của Server làm DC!
---
Bạn thử check lại các thông tin trên xem đúng chưa đã.

phuongvb
phuongvb
20/05/2011 10:32:58 CH #

Mình có cấu hình IP tĩnh cho server (máy ảo,netwwork chế độ bridge), máy thật join được vào domain. Nhưng trong role DNS và Active Directory vẫn có cảnh báo. Mình cài mail Mdaemon trên một server nữa, cũng join vào domain, nhưng mail chỉ truy cập được trên mail server. Khi máy khác truy cập vào webmail thì trên Mdaemon thông báo lỗi 1355 Active Directory, lỗi này cũng nằm trong cảnh báo của event 1844 trên máy domain controller.

Mình đã cài lại rất nhiều lần, vẫn cùng một hiện tượng xảy ra, cho mình hỏi trước khi tiến hành cài như trên ngoài việc đặt địa chỉ cho server còn phải làm gì nữa không.

Server đặt địa chỉ như sau đúng không?
IP: 192.168.1.x
gateway: 192.168.1.1
preferred DNS: 192.168.1.x (hoặc 127.0.0.1)

Thanks!

Duy Khanh
Duy Khanh
20/05/2011 10:48:18 CH #

Bạn đặt IP như vậy là đúng rồi nhưng không rõ bạn còn gặp vấn đề gì nữa?
Bạn thử nâng cấp lên DC bằng cách vào RUN và gõ dcpromo để cài đặt trực tiếp luôn xem thử có khác j ko?

phuongvb
phuongvb
21/05/2011 12:22:38 SA #

Giờ bạn rảnh không, cài giúp mình được không?

datminh
datminh
08/07/2011 10:16:41 SA #

cam on !

Phan Minh Nhựt
Phan Minh Nhựt
11/11/2011 1:41:35 SA #

chào bạn. mình cũng đang tìm hiểu về win 2k8. bạn có thể cho mình hỏi tý ko? mình đã cài đặt giống như bạn nói ip cũng giống nhưng AC DC vẫn ko hoạt động báo lỗi. cài DNS cũng báo lỗi. vậy win 2k8 này có chức năng ko dùng DHCP vẫn có thể join DC ko bạn. vả lại nếu bạn biết về DFS trên win 2k8 có thể chỉ mình 1 ích vs. mình đang rất cần các tài liệu liên quan tới mấy thằng này vì mình đang phải hoàn thành khóa luận về thằng DFS trên win 2k8. cám ơn nhiều.
PS: comment cuối cùng là tháng 7 h đăng k bít có đc reply ko:H

Duy Khanh
Duy Khanh
11/11/2011 12:05:19 CH #

Chào bạn,
Các máy Client khi join vào DC thì nó để IP ở chế độ static hay obtain từ DHCP đều được. DHCP ko ảnh hưởng gì tới vấn đề AD ở đây hết.
Bạn nói bạn cài đặt xong thì AD ko hoạt động và báo lỗi. Cụ thể là gì?.

Về DFS trên win 2k8 thì bạn có thể đọc tài liệu trên trang của Microsoft. Mình cũng có 1 bài lab về DFS tại link sau: khanh.com.vn/.../...r-su-dung-DFS-Replication.aspx

Thân,

tam
tam
11/11/2011 8:30:16 SA #

minh vao toi Active Directory Domain Services Installation Wizard thi no bao loi nhu the nay:
The local Administrator account becomes the domain Administrator account when you create a new domain. The new domain cannot be created because the local Administrator account password does not meet requirements.

Currently, a password is not required for the local Administrator account. We recommend that you use the net user command-line tool with the /passwordreq:yes op
tion to require a password for this account before you create the new domain; otherwise, a password will not be required for the domain Administrator account.
AI GIUP MINH voi

Duy Khanh
Duy Khanh
11/11/2011 12:10:52 CH #

Bạn vào RUN -> CMD -> nhập net user Administrator /passwordreq:yes -> Enter. Sau đó khởi động lại hệ thống và thực hiện lại các bước trên xem.

đà ra
đà ra
09/12/2011 1:35:19 CH #

hay lắm bạn thanks bạn nhiêu nha

Ran
Ran
18/11/2011 8:27:45 CH #

Mình cài thử windows server 2008 trên máy PC bình thường thì lần đầu trước khi login vào màn hình: bắt đặt password => cài mọi cái đều OK
- Nhưng trên IBM X3200 M3 thì: ko có cho đặt password mà login vào luôn, và khi mình chạy dcpromo thì có lỗi:
1079 The account specified for this service is different from the account specified for other services running in the same process.

Giúp mình với. Cám ơn

kingdaytours
kingdaytours
20/09/2012 4:46:03 CH #

MÌnh cũng gặp trường hợp thế này.\
trong events báo loi 1844
khi các máy cung mạng lan join vào được
bạn giải quyết giúp mình nhé.

Quang Nguyen
Quang Nguyen
05/11/2013 9:30:08 SA #

Cảm ơn Khanh nhiều, bài dịch của bạn hướng dẫn cài đặt Active Directory trên Windows Server 2008 rất hay. Tôi nhờ bạn chỉ giúp tôi thiết lập AD win server 2003 stand với 2008 chạy song song với nhau. Hiện tại domain đang hoạt động trên win server 2003. Cảm ơn Khanh trước.    

Nghe nhạc cho vui

Ghi Chú

+ command "netstat -ano": IPs access

+ Restore dữ liệu trên SQLServer bằng dòng lệnh

RESTORE DATABASE db_name
FROM DISK = 'E:\db.BAK'
WITH REPLACE

+ Cover từ VB.NET sang C#

http://developerfusion.com/tools/convert/vb-to-csharp/

Certifications