1. Read – Only Domain Controller là gì ?

• Read – Only Domain Controller là 1 dạng mới của Domain Controller có từ Windows Server 2008. Với RODC doanh nghiệp hoàn toàn có thể thuận tiện tiến hành 1 domain controller tại những vị trí bảo mật thông tin không bảo vệ .
• Chức năng của RODC là để củng cố bảo mật an ninh tại những phòng ban Trụ sở đặt tại trụ sở chính .

Một số khó khăn trong việc quản lý phòng ban chi nhánh : 

• Máy chủ được đặt trong trụ sở chính, phân phối cho người dùng liên kết đến sever trải qua link WAN ( Internet ) Bất lợi của việc này là nếu link WAN gặp trục trặc thì những phòng ban, Trụ sở không liên kết được đến sever và bị cách ly so với mạng lưới hệ thống tài nguyên mạng .
• Nếu link WAN vẫn hoạt động giải trí nhưng hiệu suất không cao do chậm hoặc ùn tắc bang thông đường truyền, việc làm sẽ rất khó khăn vất vả để liên kết .
• Đặt tối thiểu 1 DC tại Trụ sở. Với giải pháp này khi link WAN có yếu tố thì người dùng vẫn hoàn toàn có thể truy vấn vào Server thông thường nhưng giải pháp này vẫn bất lợi về kinh phí đầu tư do phải mua thêm Server, bản quyền HĐH, thuê them người quản trị của Server này .
• Các sever đặt xa TT tài liệu thường không có tính giám sát cao, tính bảo mật thông tin không cao .

Vậy nên Read-Only Domain Controller sẽ xử lý những yếu tố này
RODC giống những DC khác ngoại trừ CSDL của AD không hề ghi trực tiếp .
– Việc đặt RODC tại những Trụ sở làm giảm được phần trọng tải của sever chính ở TT vì chỉ có lưu lượng bản sao gửi đến được được cho phép .
– RODC cải tổ yếu tố bảo mật thông tin vì người dùng tại Trụ sở không hề đổi khác bất kể thứ gì trong CSDL của AD .
– Không có bất kể thông tin nào được tạo ra trên RODC ( những thông tin thông tin tài khoản người dùng được lưu trên miền chỉ đọc ) .
– Nếu có ai đó đánh cắp RODC thì họ cũng không sử dụng được Server này .
– Chức năng của người quản trị RODCs :
+ Có thể chỉ định bất kể ai là người quản trị RODC để trấn áp việc quản trị nội bộ trên sever này và không có sự can thiệp vào AD .
+ Người này chỉ được phép setup, vá lỗi những ứng dụng, thực thi trách nhiệm bảo trì định kỳ .
+ Việc chỉ định ai đó làm quản trị RODC giống như chỉ định ai đó quản trị nội bộ 1 số lượng người nhất định .

2. Cấu hình Read-Only Domain Controller trên Windows Server năm nay

Giả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một Trụ sở tại TP. Hà Nội, để hai mạng lưới hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã tiến hành đường truyền liên kết hạ tầng ( Lease Line, VPN … )

Hiện nay mạng lưới hệ thống mạng tại trụ sở chính đang được quản trị theo quy mô Active Directory với domain ITFORVN.COM, bạn muốn mạng lưới hệ thống mạng tại Thành Phố Hà Nội cũng được quản trị theo quy mô Active Directory thuộc domain ITFORVN.COM nên bạn đã join những máy ở TP.HN vào domain .

Trong trường hợp này để việc xác nhận cho mạng lưới hệ thống ở TP. Hà Nội không thay đổi, ta cần thông số kỹ thuật thêm một máy Domain Controller ( Global Catalog Server ) ở TP.HN, nhưng vì Trụ sở TP.HN không có bộ phận IT và không bảo vệ bảo mật thông tin cho Domain Controller nên ta chỉ muốn Domain Controller ở Thành Phố Hà Nội tàng trữ password và chỉ xác nhận cho những user account của mạng lưới hệ thống TP. Hà Nội. Để xử lý được nhu yếu này ta sẽ tiến hành một Read-Only Domain Controller ở TP. Hà Nội ( Read-Only Domain Controller là một công dụng trên Windows Server NT và đã bị vô hiệu sau đó, cho đến Windows Server 2008 nó Open trở lại ) .

Trong bài viết này tôi giả sử máy PDC và RODC đã thông với nhau, trong thực tiễn thì bạn phải thông số kỹ thuật để Site Hồ Chí Minh và Site Thành Phố Hà Nội hoàn toàn có thể liên lạc với nhau trải qua VPN hoặc Lease line. Ở những bài viết tiếp theo tôi sẽ hướng dẫn những bạn thông số kỹ thuật VPN giữa những Site với nhau .

Cấu hình server IT4VN-W2K16-DC làm Primary Domain Controller quản trị tên miền ITFORVN.COM, IT4VN-W2K16-SRV01 làm Read-Only Domain Controller. Trên con Primary DC tạo những OU, Group, User tương ứng với những phòng ban ( Vì trên máy DC mình đã tạo sẵn OU TP. Hà Nội chứ không phải là TP HCM trên con PDC, những bạn hoàn toàn có thể sửa lại tùy ý ) .

Nâng cấp IT4VN-W2K16-SRV01 thành RODC thuộc miền ITFORVN.COM ( join vào domain )

Sau khi thông số kỹ thuật xong RODC ngắt liên kết với PDC và sử dụng máy IT4VNWIN10CLIENT-01 để kiểm tra .

Trên máy IT4VN-W2K16-DC , tạo OU, Group, User như hình trên.

Trên máy IT4VN-W2K16-SRV01 , thực hiện Join vào Domain, đăng nhập bằng tài khoản itforvn\administrator.

Trên máy IT4VN-W2K16-SRV01 thiết lập dịch vụ Active Directory Domain Services

Click vào Promote this server to a domain controller

Tại cửa sổ Deployment Configuration, click chọn vào Add a domain controller to an existing domain.

Tại cửa sổ Domain Controller Options , click chọn vào Read only domain controller (RODC) và đặt mật khẩu DSRM.

Tại cửa sổ RODC Options , tại mục Delegated administrator account , click chọn vào Select…

Add vào thông tin tài khoản anhtt trong miền, ta sẽ ủy quyền quản trị cho user này

Click vào Add tại mục Accounts that are allowed to replicate passwords to the RODC , add tài khoản anhtt

Tại cửa sổ Additional Options , click vào Next.

Click vào Install để setup

Máy chủ tự động reset, đăng nhập lại bằng tài khoản itforvn\administrator.

Vào lại dịch vụ Active Directory User and Computer.

Tại mục Domain Controllers , click chuột phải tại đây chọn Precreate RODC account…

Tại cửa sổ Welcome to the Active Directory…. , click chọn vào Use advanced mode installation.

Tại cửa sổ Network Credentials , click vào Next.

  Tại cửa sổ Specify the Computer Name, nhập vào tại mục Computer name :RODC.

Hiện ra cửa sổ Select a Site , click vào Next.

Tại cửa sổ Additional Domain Controller Options , click vào Next.

Tại cửa sổ Specify the Password Replication Policy , click vào Add…

Chọn vào Allow passwords for the account to replicate to this RODC.

Add vào tài khoản anhtt

Tại cửa sổ Delegation of RODC Installation and Administration , click vào Next.

Summary , click vào Next.
Tại hành lang cửa số, click vàoFinish.
Click vào

Tại cửa sổ Active Directory Users and Computers , trong mục Domain Controllers , click chuột phải tại IT4VN-W2K16-SRV01 , chọn Properties

Trong cửa sổ IT4VN-W2K16-SRV01 Properties , chuyển sang tab Password Replication Policy , click vào Add…

Thực hiện add thêm máy IT4VN-WIN10CLIENT-01 vào .

Chuyển sang máy IT4VN-WIN10CLIENT-01 join vào domain itforvn.vcode.ovh

Sau khi máy WIN10 CLIENT khởi động lại log in vào tài khoản ITFORVN\anhtt đã được ủy quyền 

Chuyển sang máy IT4VN-W2K16-DC ngắt liên kết card mạng với RODC

Và ta thấy server RODC vẫn hoạt động giải trí độc lập mà không nhờ vào vào PDC nữa .

 Video hướng dẫn chi tiết cụ thể bài Lab :

Thanks and best regards,

Tác giả : Trần Tuấn Anh ( Diễn đàn ITFORVN.COM )

+ Telegram: @tuananhtran396

+ Facebook : https://www.facebook.com/welano96

Xem thêm: Đầu số 0128 là mạng gì? Đầu số 0128 chuyển thành đầu số nào? – http://139.180.218.5

 Subcribe ITFORVN Youtube Channel at Subcribe ITFORVN Youtube Channel at there

Source: http://139.180.218.5
Category: Thuật ngữ đời thường