Cách triển khai Domain Controller an toàn

Giới Thiệu

Domain Controller (DC) là trái tim của mọi môi trường Active Directory (AD), chịu trách nhiệm xác thực người dùng, quản lý tài nguyên và áp dụng chính sách bảo mật. Việc triển khai một DC không đúng cách có thể tạo ra lỗ hổng nghiêm trọng, khiến toàn bộ hệ thống mạng của bạn dễ bị tấn công. Hướng dẫn này sẽ tập trung vào các bước thiết lập một Domain Controller với các biện pháp bảo mật mạnh mẽ ngay từ đầu, đảm bảo nền tảng vững chắc cho hạ tầng IT của bạn.

📋 Thời gian: 75 phút | Độ khó: Trung bình

Yêu Cầu

Để thực hiện hướng dẫn này, bạn cần:

• Một máy chủ vật lý hoặc máy ảo đã cài đặt Windows Server (phiên bản 2016 trở lên được khuyến nghị).
• Quyền quản trị viên (Administrator) trên máy chủ.
• Địa chỉ IP tĩnh đã được cấu hình cho máy chủ.
• Kế hoạch đặt tên miền (ví dụ: contoso.local) và cấu trúc Organizational Unit (OU) cơ bản.
• Hiểu biết cơ bản về Windows Server và Active Directory.

Các Bước Thực Hiện

Bước 1: Chuẩn bị Môi trường Server Bảo mật

Chuẩn bị kỹ lưỡng môi trường server là bước đầu tiên và quan trọng nhất để đảm bảo an toàn cho Domain Controller.

1. Cài đặt và Cập nhật Windows Server:

   • Cài đặt phiên bản Windows Server mới nhất.
   • Áp dụng tất cả các bản cập nhật bảo mật có sẵn. Điều này giúp vá các lỗ hổng đã biết trước khi triển khai dịch vụ quan trọng.
   • ⚠️ Luôn luôn cập nhật hệ điều hành trước khi triển khai các dịch vụ quan trọng.

2. Cấu hình Mạng Cơ bản và Đổi tên Máy chủ:

   • Đặt địa chỉ IP tĩnh cho server.
   • Cấu hình địa chỉ DNS server trỏ về chính nó (127.0.0.1) hoặc về một DC khác nếu đã có trong miền.
   • Đổi tên máy chủ thành một tên rõ ràng, dễ nhận diện (ví dụ: DC01).

# Ví dụ: Đặt địa chỉ IP tĩnh, Subnet Mask, Gateway và DNS
# Thay thế "Ethernet" bằng tên card mạng của bạn và thông tin mạng của bạn
$interface = Get-NetAdapter -Name "Ethernet"
New-NetIPAddress -InterfaceIndex $interface.IfIndex -IPAddress "192.168.1.10" -PrefixLength 24 -DefaultGateway "192.168.1.1"
Set-DnsClientServerAddress -InterfaceIndex $interface.IfIndex -ServerAddresses ("127.0.0.1", "192.168.1.11") # Trỏ về chính nó và DC phụ (nếu có)

# Đổi tên máy chủ (sẽ yêu cầu khởi động lại)
Rename-Computer -NewName "DC01" -Restart

Bước 2: Cài đặt và Nâng cấp lên Domain Controller

Sau khi server đã được chuẩn bị, bạn có thể tiến hành cài đặt vai trò Active Directory Domain Services (AD DS).

1. Thêm vai trò Active Directory Domain Services (AD DS):

   • Mở Server Manager, chọn "Add Roles and Features" hoặc sử dụng PowerShell để cài đặt vai trò AD DS.

2. Nâng cấp Server lên Domain Controller:

   • Sau khi cài đặt vai trò, một thông báo sẽ xuất hiện trong Server Manager yêu cầu "Promote this server to a domain controller". Nhấp vào đó.
   • Tạo rừng mới (Add a new forest): Chọn tùy chọn này nếu đây là DC đầu tiên của bạn. Nhập tên miền gốc cho rừng (ví dụ: contoso.local).
   • Cấu hình quan trọng: Đảm bảo "Domain Name System (DNS) server" và "Global Catalog (GC)" được chọn.
   • Mật khẩu DSRM: Đặt một mật khẩu mạnh và phức tạp cho DSRM (Directory Services Restore Mode). Mật khẩu này là cực kỳ quan trọng để khôi phục Active Directory khi gặp sự cố. Lưu trữ nó an toàn và riêng biệt.
   • ⚠️ Mật khẩu DSRM là chìa khóa khôi phục Active Directory, hãy lưu trữ nó an toàn.

# Cài đặt vai trò AD DS
Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

# Nâng cấp server lên Domain Controller (Tạo rừng mới)
# Thay thế "contoso.local" và mật khẩu mạnh của bạn
Install-ADDSForest `
    -DomainName "contoso.local" `
    -DomainNetbiosName "CONTOSO" `
    -InstallDns:$true `
    -ForestMode "Win2016" ` # Hoặc phiên bản mới nhất bạn dùng
    -DomainMode "Win2016" ` # Hoặc phiên bản mới nhất bạn dùng
    -SafeModeAdministratorPassword (ConvertTo-SecureString "YourStrongDSRMPassword!" -AsPlainText -Force) `
    -NoRebootOnCompletion:$false # Server sẽ tự động khởi động lại

Bước 3: Cấu hình Bảo mật Sau Triển khai

Các bước cấu hình này giúp bảo vệ Active Directory của bạn ngay sau khi DC đã hoạt động.

1. Chính sách Group Policy Mạnh mẽ:

   • Mở Group Policy Management (GPM).
   • Chỉnh sửa Default Domain Policy và Default Domain Controllers Policy.
   • Cấu hình chính sách mật khẩu mạnh (độ dài tối thiểu, độ phức tạp, thời gian hết hạn) và chính sách khóa tài khoản (Account Lockout Policy).
   • 💡 Group Policy là công cụ mạnh mẽ để áp dụng bảo mật đồng bộ trên toàn miền.

2. Nguyên tắc Least Privilege (Quyền Tối thiểu):

   • Tạo các Organizational Unit (OU) để tổ chức người dùng, máy tính và các tài nguyên khác một cách hợp lý.
   • Hạn chế tối đa quyền quản trị. Tránh sử dụng tài khoản Administrator mặc định cho các tác vụ hàng ngày

Xem thêm:

• cPanel vs DirectAdmin: Lựa chọn nào tối ưu?
• Gỡ Lỗi Dịch Vụ Linux Không Khởi Động
• Tài nguyên hệ thống là gì và tại sao chúng quan trọng?