Chuyển tới nội dung chính

Hướng Dẫn Cấu Hình Active Directory Từ A-Z

Giới Thiệu

Active Directory Domain Services (AD DS) là một dịch vụ thư mục thiết yếu được phát triển bởi Microsoft cho các mạng Windows. Nó cung cấp một kho lưu trữ trung tâm cho tất cả các đối tượng mạng như người dùng, máy tính, máy in, ứng dụng và các dịch vụ mạng khác, cho phép quản lý tập trung và xác thực bảo mật. Vi Active Directory, quản trị viên có thể dễ dàng quản lý quyền truy cập, áp dụng các chính sách bảo mật và tự động hóa các tác vụ quản lý trên toàn bộ hệ thống mạng. Việc cấu hình đúng cách là nền tảng cho một hạ tầng CNTT vững chắc và an toàn.

📋 Thời gian: 60-90 phút | Độ khó: Trung bình

Yêu Cầu

Để bắt đầu cấu hình Active Directory, bạn cần chuẩn bị các điều kiện tiên quyết sau:

  • Máy chủ Windows Server: Một máy chủ vật lý hoặc máy ảo đã cài đặt Windows Server (phiên bản 2016, 2019 hoặc 2022 được khuyến nghị). Đảm bảo máy chủ đã được cập nhật đầy đủ.
  • Địa chỉ IP tĩnh: Máy chủ phải được cấu hình với một địa chỉ IP tĩnh. Đây là yêu cầu bắt buộc để Domain Controller hoạt động ổn định và có thể định vị được trên mạng.
  • Tên máy chủ (Hostname): Đặt một tên máy chủ dễ nhớ và có ý nghĩa cho máy chủ của bạn.
  • Tài khoản Administrator: Bạn cần có quyền truy cập với tài khoản quản trị viên cục bộ để cài đặt các vai trò và tính năng.
  • Tài nguyên phần cứng: Đảm bảo máy chủ có đủ CPU, RAM (tối thiểu 4GB RAM được khuyến nghị cho DC) và dung lượng ổ đĩa trống để cài đặt và chạy AD DS.

Các Bước Thực Hiện

Bước 1: Chuẩn Bị Máy Chủ Windows Server

Trước khi cài đặt AD DS, hãy đảm bảo máy chủ của bạn đã được cấu hình cơ bản.

  1. Đặt Địa Chỉ IP Tĩnh: Mở Server Manager, chọn Local Server, sau đó click vào Ethernet adapter settings để cấu hình IP. 💡 Mẹo: Sử dụng địa chỉ IP trong dải riêng tư (ví dụ: 192.168.1.x hoặc 10.0.0.x). DNS Server Preferred nên trỏ về chính địa chỉ IP của máy chủ này (sẽ được cấu hình tự động khi nâng cấp lên DC).

  2. Đặt Tên Máy Chủ: Trong Server Manager, chọn Local Server, sau đó click vào tên máy tính hiện tại. Trong cửa sổ System Properties, click Change... để đặt tên mới.

    # Đặt tên máy chủ mới (ví dụ: DC01)
    Rename-Computer -NewName "DC01" -Restart

    # Kiểm tra tên máy chủ sau khi khởi động lại
    # Hostname

    ⚠️ Lưu ý: Máy chủ sẽ cần khởi động lại sau khi đổi tên.

Bước 2: Cài Đặt Vai Trò Active Directory Domain Services (AD DS)

Sau khi máy chủ đã được chun bị, chúng ta sẽ tiến hành cài đặt vai trò AD DS.

  1. Mở Server Manager: Mở Server Manager, click Manage -> Add Roles and Features.

  2. Chọn Loại Cài Đặt: Chọn Role-based or feature-based installation.

  3. Chọn Máy Chủ Đích: Chọn máy chủ hiện tại của bạn.

  4. Chọn Vai Trò AD DS: Trong danh sách Server Roles, chọn Active Directory Domain Services. Một cửa sổ pop-up sẽ xuất hiện hỏi bạn có muốn thêm các tính năng quản lý cần thiết không. Click Add Features.

  5. Tiếp Tục và Xác Nhận: Click Next qua các màn hình FeaturesAD DS. Cuối cùng, click Install để bắt đầu quá trình cài đặt.

    # Cài đặt vai trò Active Directory Domain Services bằng PowerShell
    Install-WindowsFeature -Name AD-Domain-Services -IncludeManagementTools

    Thành công: Quá trình cài đặt sẽ mất vài phút. Sau khi hoàn tất, bạn sẽ thấy thông báo Installation succeeded.

Bước 3: Nâng Cấp Máy Chủ Lên Domain Controller

Sau khi vai trò AD DS đã được cài đặt, bước tiếp theo là nâng cấp máy chủ này thành Domain Controller và tạo một Domain mới (hoặc tham gia vào Domain hiện có). Trong hướng dẫn này, chúng ta sẽ tạo một Forest và Domain mới.

  1. Bắt Đầu Cấu Hình: Trong Server Manager, sau khi vai trò AD DS đã cài đặt, bạn sẽ thấy một biểu tượng cảnh báo màu vàng ở góc trên bên phải. Click vào đó và chọn Promote this server to a domain controller.

  2. Chọn Tùy Chọn Triển Khai:

    • Chọn Add a new forest.
    • Nhập tên Root domain name cho Forest của bạn (ví dụ: yourdomain.local hoặc contoso.com). ⚠️ Lưu ý: Nên sử dụng tên miền có đuôi .local hoặc tên miền không công khai để tránh xung đột với các tên miền Internet.

  3. Tùy Chọn Domain Controller:

    • Forest functional levelDomain functional level: Chọn phiên bản Windows Server mới nhất mà tất cả các Domain Controller trong Forest sẽ chạy.
    • Đảm bảo Domain Name System (DNS) serverGlobal Catalog (GC) được chọn.
    • Nhập và xác nhận Directory Services Restore Mode (DSRM) password. Đây là mật khẩu quan trọng để khôi phục Active Directory trong trường hợp khẩn cấp.

  4. Tùy Chọn DNS (Nếu có): Nếu có cảnh báo DNS, bỏ qua và tiếp tục. AD sẽ tự cấu hình DNS.

  5. Đường Dn: Để các đường dẫn mặc định cho cơ sở dữ liệu AD (NTDS), tệp nhật ký và SYSVOL.

  6. Xem Lại Tùy Chọn và Cài Đặt: Kiểm tra lại tất cả các tùy chọn và click Next. Hệ thống sẽ chạy kiểm tra điều kiện tiên quyết. Nếu không có lỗi nghiêm trọng, click Install.

    # Nâng cấp máy chủ lên Domain Controller và tạo Forest mới bằng PowerShell
    Install-ADDSForest -DomainName "yourdomain.local" -InstallDns:$true -NoRebootOnCompletion:$false -SafeModeAdministratorPassword (Read-Host -AsSecureString "Nhập mật khẩu DSRM")

    Máy chủ sẽ tự động khởi động lại sau khi quá trình hoàn tất. Sau khi khởi động lại, máy chủ của bạn đã trở thành một Domain Controller.

Bước 4: Kiểm Tra Cấu Hình DNS và Active Directory

Sau khi máy chủ khởi động lại, hãy xác minh rằng Active Directory và DNS đã được cấu hình chính xác.

  1. Đăng Nhập vào Domain Controller: Đăng nhập bằng tài khoản quản trị viên của Domain (ví dụ: yourdomain\Administrator).

  2. Kiểm Tra DNS: Mở Network and Sharing Center, kiểm tra Ethernet adapter settings. DNS Server Preferred phải trỏ về chính địa chỉ IP của máy chủ này (127.0.0.1 hoặc IP tĩnh của DC).

    # Kiểm tra cấu hình DNS của Adapter
    Get-DnsClientServerAddress -InterfaceAlias "Ethernet"

  3. Kiểm Tra Active Directory Users and Computers: Mở Server Manager -> Tools -> Active Directory Users and Computers. Bạn sẽ thấy tên Domain của mình và các đối tượng mặc định.

  4. Kiểm Tra Active Directory Administrative Center: Mở Server Manager -> Tools -> Active Directory Administrative Center. Đây là giao diện quản lý hiện đại hơn.

Bước 5: Tạo Người Dùng và Nhóm Đầu Tiên

Bây giờ Domain Controller đã hoạt động, bạn có thể bắt đầu tạo người dùng và nhóm.

  1. Mở Active Directory Users and Computers: Server Manager -> Tools -> Active Directory Users and Computers.

  2. Tạo Đơn Vị Tổ Chức (Organizational Unit - OU): Phải chuột vào tên Domain của bạn -> New -> Organizational Unit. Đặt tên cho OU (ví dụ: Users, Computers, Departments). OU giúp tổ chức các đối tượng và áp dụng Group Policy.

  3. Tạo Người Dùng Mới: Phải chuột vào OU bạn vừa tạo (hoặc Users mặc định) -> New -> User. Điền các thông tin cần thiết: First name, Last name, User logon name. Đặt mật khẩu và chọn các tùy chọn mật khẩu (ví dụ: User must change password at next logon).

    # Tạo một OU mới
    New-ADOrganizationalUnit -Name "Sales" -Path "DC=yourdomain,DC=local"

    # Tạo một người dùng mới trong OU Sales
    New-ADUser -Name "John Doe" -GivenName "John" -Surname "Doe" -SamAccountName "jdoe" -UserPrincipalName "[email protected]" -Path "OU=Sales,DC=yourdomain,DC=local" -AccountPassword (Read-Host -AsSecureString "Nhập mật khẩu cho jdoe") -Enabled $true -ChangePasswordAtLogon $true

  4. Tạo Nhóm Mới: Phải chuột vào OU -> New -> Group. Điền Group name (ví dụ: Sales_Users), chọn Group scope (Global, Domain Local, Universal) và Group type (Security, Distribution).

    # Tạo một nhóm bảo mật mới
    New-ADGroup -Name "Sales_Team" -GroupCategory Security -GroupScope Global -Path "OU=Sales,DC=yourdomain,DC=local"

    # Thêm người dùng vào nhóm
    Add-ADGroupMember -Identity "Sales_Team" -Members "jdoe"

    💡 Mẹo: Sử dụng các nhóm để quản lý quyền truy cập tài nguyên thay vì gán quyn trực tiếp cho từng người dùng.

Troubleshooting

  • Không thể đăng nhập vào Domain sau khi nâng cấp:

    • ⚠️ Lỗi: "The security database on the server does not have a computer account for this workstation trust relationship."
    • Cách xử lý: Đảm bảo máy client đã được cấu hình DNS để trỏ về địa chỉ IP của Domain Controller. Sau đó thử rời Domain và tham gia lại. Kiểm tra tài khoản người dùng và mật khẩu.

  • Lỗi DNS hoặc không thể tìm thấy Domain Controller:

    • ⚠️ Lỗi: Máy client không thể tham gia Domain hoặc không thể phân giải tên miền.
    • Cách xử lý:
      • Trên máy client, cấu hình DNS Server Preferred thành địa chỉ IP của Domain Controller.
      • Trên DC, kiểm tra dịch vụ DNS có đang chạy không. Mở DNS Manager và đảm bảo có Forward Lookup Zone cho Domain của bạn và các bản ghi SRV cần thiết.
      • Sử dụng nslookup yourdomain.local trên client để kiểm tra khả năng phân giải.

  • Cảnh báo "The operation failed because..." khi tạo đối tượng:

    • ⚠️ Lỗi: Thường liên quan đến quyền truy cập hoặc đường dẫn không hợp lệ.
    • Cách xử lý: Đảm bảo bạn đang sử dụng tài khoản có quyền tạo đối tượng trong OU hoặc container đã chọn. Kiểm tra cú pháp Path trong PowerShell.

  • Tường lửa (Firewall) chặn giao tiếp:

    • ⚠️ Lỗi: Các dịch vụ AD DS không thể giao tiếp với nhau hoặc với máy client.
    • Cách xử lý: Windows Server Firewall tự động cấu hình các quy tắc cần thiết cho AD DS. Tuy nhiên, nếu bạn có tường lửa của bên thứ ba, hãy đảm bảo các cổng cần thiết (ví dụ: TCP/UDP 389 cho LDAP, TCP/UDP 88 cho Kerberos, TCP 445 cho SMB) được mở.

Kết Luận

Việc cấu hình Active Directory là một bước quan trọng để xây dựng một hạ tầng mạng Windows hiệu quả và bảo mật. Từ việc chuẩn bị máy chủ, cài đặt vai trò AD DS, nâng cấp lên Domain Controller, cho đến việc quản lý người dùng và nhóm, mỗi bước đều cần sự cẩn thận và chính xác.

Best Practices:

  • Kế hoạch trước: Luôn lập kế hoạch về cấu trúc OU, đặt tên người dùng/nhóm, và chính sách Group Policy trước khi triển khai.
  • Bảo mật mật khẩu DSRM: Lưu trữ mật khẩu DSRM ở nơi an toàn.
  • Sao lưu thường xuyên: Thực hin sao lưu Active Directory thường xuyên để có thể khôi phục trong trường hợp có sự cố.
  • Triển khai nhiều Domain Controller: Đối với môi trường sản xuất, luôn có ít nhất hai Domain Controller để đảm bảo tính sẵn sàng cao và khả năng chịu lỗi.
  • Giám sát: Giám sát hiệu suất và các sự kiện bảo mật trên Domain Controller của bạn.
  • Phân quyền tối thiểu: Áp dụng nguyên tắc quyền tối thiểu khi cấp phát quyền quản trị.

Với hướng dẫn này, bạn đã có thể tự tin cấu hình Active Directory cơ bản, tạo nền tảng vững chắc cho việc quản lý tài nguyên và người dùng trong môi trường mạng của mình.

Xem thêm: