PDA

View Full Version : Thiết lập hai Server Domain Controller chạy song song


tony
08-09-2006, 14:34
- Trong Cty có 1 server làm chức năng Domain Controller , trên Server này triển khai luôn các Service như : DHCP , WINS , DNS , CA Server .
- Bây giờ Cty có nhu cầu tăng cường thêm 1 server nữa chạy song song với server DC cũ và phải đáp ứng được yêu cầu như sau :
Khi DC chính ( DC cũ ) chết thì các máy WS trong mạng vẫn hoạt động bình thường ( vẫn log on , phân giải tên miền và chứng thực mã hoá bằng Certificate )

Ai có kinh nghiệm thực tế và đã triển khai thành công rồi thì hãy đưa ra giải pháp tốt nhất và hướng dẫn cách làm . Giúp mình với , help me ! :confused:

Mr.M
09-09-2006, 08:11
Xem bài lab chia site của môn 284

tony
09-09-2006, 09:51
Xem bài lab chia site của môn 284


Xem bài lab chia site của môn 284

Theo như mình biết thì bài lab chia site của môn 284 chỉ có chức năng load balancing , thay vì cài tất cả các dịch vụ như DNS , WINS , DHCP , Mail server trên 1 server ( muốn vậy thì phải có 1 server chuyên dụng thật mạnh mới đáp ứng dc các yêu cầu đó ) , để giảm tải thì người ta thiết kế trên nhiều server riêng biệt . Đối với Mail Exchange thì bắt buột phải cài trên máy DC nên ta mới sử dụng chức năng chia site để lấy database của AD và DNS qua ( khỏi phải ngồi cài thủ công lại từ đầu ) .
Khi DC chính ( First DC ) chết thì DC phụ không thể thay thế vai trò của DC chính dc và kết quả là sau 1 thời gian DC chính chưa dc phục hồi để chạy lại thì hệ thống hoàn toàn tê liệt , không hoạt đông dc nữa . Chính vì vậy mình mới nói DC phụ ( Addition DC ) không thể thay thế vai trò của DC chính dc , nó chạy phụ thuộc vào DC chính . Nên giải pháp chia site chưa giải quyết dc vấn đề đặt ra là hai Server Domain Controller chạy song song ( DC chính chết thì DC phụ chạy độc lập 1 mình , DC phụ tự động thay thế vai trò của DC chính luôn ) .

Mr.M
09-09-2006, 12:20
Theo như mình biết thì bài lab chia site của môn 284 chỉ có chức năng load balancing , thay vì cài tất cả các dịch vụ như DNS , WINS , DHCP , Mail server trên 1 server ( muốn vậy thì phải có 1 server chuyên dụng thật mạnh mới đáp ứng dc các yêu cầu đó ) , để giảm tải thì người ta thiết kế trên nhiều server riêng biệt . Đối với Mail Exchange thì bắt buột phải cài trên máy DC nên ta mới sử dụng chức năng chia site để lấy database của AD và DNS qua ( khỏi phải ngồi cài thủ công lại từ đầu ) .
Khi DC chính ( First DC ) chết thì DC phụ không thể thay thế vai trò của DC chính dc và kết quả là sau 1 thời gian DC chính chưa dc phục hồi để chạy lại thì hệ thống hoàn toàn tê liệt , không hoạt đông dc nữa . Chính vì vậy mình mới nói DC phụ ( Addition DC ) không thể thay thế vai trò của DC chính dc , nó chạy phụ thuộc vào DC chính . Nên giải pháp chia site chưa giải quyết dc vấn đề đặt ra là hai Server Domain Controller chạy song song ( DC chính chết thì DC phụ chạy độc lập 1 mình , DC phụ tự động thay thế vai trò của DC chính luôn ) .

1 - Bạn đã hiểu sai ý nghĩa của bài lab chia site trong môn 284 ( thật ra bài này nằm trong môn 294 ( active directory ) của MCSE, nhưng để tăng cường kiến thức cho HV nên NN đã đưa vào môn 284. Ý nghĩa chính của bài Lab đó là: Cô lập quá trình authenticate user tại local DC, ví dụ cty có 2 location HCM và HN, tại mỗi location người ta cài 1 DC và mong muốn DC đó sẽ authenticate cho các user tại location đó, ngòai ra nếu có 1 DC nào đó bị chết (ví dụ DC tại HCM bị chết) thì DC còn lại sẽ authenticate cho user và hệ thống vẫn họat động bình thường trong 1 chừng mực nào đó (giải quyết vấn đề dự phòng)

2 - Trong bài lab chia site có hướng dẩn cách cài 2 máy DC cho 1 domain. nếu bạn cài đúng thì 2 DC này sẽ họat động tương đương nhau (multi master). Còn chuyện để 2 máy DC trong 1 site hay 2 site là chuyện khác.

3 - Exchange không bắt buộc phải cài lên DC

tony
09-09-2006, 13:17
1 - Bạn đã hiểu sai ý nghĩa của bài lab chia site trong môn 284 ( thật ra bài này nằm trong môn 294 ( active directory ) của MCSE, nhưng để tăng cường kiến thức cho HV nên NN đã đưa vào môn 284. Ý nghĩa chính của bài Lab đó là: Cô lập quá trình authenticate user tại local DC, ví dụ cty có 2 location HCM và HN, tại mỗi location người ta cài 1 DC và mong muốn DC đó sẽ authenticate cho các user tại location đó, ngòai ra nếu có 1 DC nào đó bị chết (ví dụ DC tại HCM bị chết) thì DC còn lại sẽ authenticate cho user và hệ thống vẫn họat động bình thường trong 1 chừng mực nào đó (giải quyết vấn đề dự phòng)

2 - Trong bài lab chia site có hướng dẩn cách cài 2 máy DC cho 1 domain. nếu bạn cài đúng thì 2 DC này sẽ họat động tương đương nhau (multi master). Còn chuyện để 2 máy DC trong 1 site hay 2 site là chuyện khác.

3 - Exchange không bắt buộc phải cài lên DC

Cám ơn Mr.M nhiều , mình đã hiểu rõ được vấn đề rồi .

tony
14-09-2006, 12:49
Cho minh hỏi thêm cái này tí nhe !
Nếu mình dựng 2 DC như trong bài LAB chia Site thi phần tạo Subnet cho mỗi site mình có cần phải làm không ? nếu tạo thì mình tạo 1 dãy Address trên mỗi site đều giống nhau hay sao ? ( vì 2 DC này dựng trên 1 subnet ) .
Sau khi chia Site thành công mình chỉnh lại các thông số như sau , các cao thủ coi có hợp lý không nha ? nếu không hợp lý thì hướng dẫn chỉnh như thế nào cho hợp lý nha .
Ở máy DC1:
- Preferred DNS : trỏ về DC1
- Alternate DNS : trỏ về DC2
Ở máy DC2 : ( Addition )
- Preferred DNS : trỏ về DC2
- Alternate DNS : trỏ về DC1
Ở các máy WorkStation :
- Preferred DNS : trỏ về DC1
- Alternate DNS : trỏ về DC2

tony
14-09-2006, 16:53
Mình đã ứng dụng bài chia site làm trên mô hình mạng của mình rồi , mình làm như vầy nè :
Mô hình :
DC1 :
IP : 192.168.1.1/24
DG : chưa dùng tới
Preferred DNS : 192.168.1.1
DC2 :
IP : 192.168.1.2/24
DG : chưa dùng tới
Preferred DNS : 192.168.1.1

Tiến hành :
Trên DC1 :
- Cài và cấu hình DNS hoàn chỉnh , cấu hình DNS Zone Transfer để DC2 được phép transfer DNS từ DC1 .
- Nâng cấp DC1 lên Domain Controller .
Trên DC2 :
- Cài DNS
- Nâng cấp lên Domain Controller thứ 2 ( Additional DC )
- Tiến hành Zone transfer cho DNS
- Chỉnh Preferred DNS về chính mình ( 192.168.1.2 ) , Alternate DNS về DC1 ( 192.168.1.1 )

Cấu hình Site trên DC1 :
- Ở đây mình không thực hiện chia ra thành 2 site như bài chia site trong LAB 284 nên mình cũng không tạo subnet cho mỗi site .
- Mình chỉ chọn Global Catalog trong NTDS Settings của máy DC2 .

Như vậy là mình đã cấu hình xong , DC1 và DC2 đã chạy song song nhau , chết DC này còn DC kia chạy .
Sau đó mình chỉnh các thông số hệ thống mạng của mình lại như sau :
Ở máy DC1 :
- Preferred DNS : trỏ về DC1 ( 192.168.1.1 )
- Alternate DNS : trỏ về DC2 ( 192.168.1.2 )
Ở máy DC2 : ( Addition )
- Preferred DNS : trỏ về DC2 ( 192.168.1.2 )
- Alternate DNS : trỏ về DC1 ( 192.168.1.1 )
Ở các máy WorkStation :
- Preferred DNS : trỏ về DC1 ( 192.168.1.1 )
- Alternate DNS : trỏ về DC2 ( 192.168.1.2 )

PS : Bài viết có gì còn chưa đúng mong các cao thủ bỏ qua và góp ý thêm .

suthuc
14-09-2006, 18:05
Hệ thống domain của bạn tồn tại trên nhiều net, thì bạn mới cần phải chia site, mỗi net bạn cần tạo ít nhất 1 DC và ít nhất có 1 máy có vai trò Global Catalog. Trường hợp bài lab của bạn 2 DC nằm cùng 1 net thì kô cần phải chia site làm gì

5Toxic
17-09-2006, 02:12
Xin góp ý với bạn tony và xahoiden về vấn đề chia site

Mục đích chính của việc chia Site (cụm máy) là để các máy trong mỗi Site có thể xử lý 2 chức năng chính trong tòan bộ Active Directory (AD) là : Authentication (chứng thực) và Replication (tạm dịch là đồng bộ) (các naming context hay còn gọi là directory partition) diễn ra độc lập trong phạm vi Site đó

Khi các máy trong tòan AD không được liên kết bằng đường truyền đáng tin cậy (theo định nghĩa là 512 KB/s) thì người ta chia các máy trong AD thành các Site khác nhau (có đường truyền đáng tin cậy trong mỗi Site) và đồng bộ giữa các Site bằng Site Link

Do vậy, không chia Site vì các lý do như : (1) Có nhiều máy Domain Controller (DC) - như bạn tony hiểu lầm hoặc (2) Có nhiều Network hay Subnet - như bạn xahoiden nghĩ

tony
17-09-2006, 13:04
Ở đây mình muốn đề cập 1 vấn đề chính là dựng 1 Secondary DC để chia tải cho DC chính và chống rủi ro khi DC chính chết thì Secondary DC vẫn có thể Authenticate và phân giải tên miền cho các user .
Quá trình thực hiện cũng không có gì khó lắm nếu bạn đã có kiến thức . Các bạn cứ tiến hành như sau :
Cài Secondary DC :
- Thăng cấp lên DC chọn Additional ( bây giờ đã có dc Database của AD )
- Cấu hình DNS zone transfer trên PDC để cho phép Secondary DC transfer DNS , tiến hành transfer DNS trên Secondary DC ( bây giờ đã có dc Database của DNS )
Khi ta làm đến đây thì Secondary DC vẫn chưa thể Authenticate cho user mà ta phải cấu hình thêm Global Catalog trong NTDS Settings của Secondary DC thì lúc này Secondary DC mới có thể đứng ra chứng thực cho các user dc . Bây giờ thì các user khi cần chứng thưc thì có thể lên PDC hay Secondary DC gì cũng ok hết . Để giải quuyết vấn đề DNS thì ở các WS bạn cấu hình Preferred DNS : trỏ về PDC , Alternate DNS : trỏ về Secondary DC .


PS : Có ai hiểu rõ cái Global Catalog trong NTDS Settings dùng để làm gì không vậy ? khi nào cần phải thiết lập nó .

tiengiang
17-09-2006, 13:11
Mong nói rõ hơn vì thực tế thường hay dùng . Nhưng chưa làm được

01 Server là DC co User và chứa DATA trong đó
02 Server để backup mọi thứ từ server 01 vậy làm cách nào để Automic đây ?

mong nói rõ hơn
theo mình biết thì những Cty dùng cái này phải có tiền để setup dạng lustering hai server phải cùng có cấu hình như nhau mới setup được.

Có ai setup rồi mong chỉ giáo

email: thiennguyencmt@gmail.com

5Toxic
17-09-2006, 15:42
Hi , Hi
Tui bó tay với bạn tony. Sau một hồi giải thích lý thuyết thì bạn hỏi
ngay cái bạn vừa mới giải thích (Global Catalog)

PS :TTML

tony
17-09-2006, 16:44
Hi , Hi
Tui bó tay với bạn tony. Sau một hồi giải thích lý thuyết thì bạn hỏi
ngay cái bạn vừa mới giải thích (Global Catalog)

PS :TTML

Sao lại nói vậy chứ , Global Catalog ngoài chức năng là được phép chứng thực cho user còn có những tác dụng gì khác không ? hay chỉ đơn giản là vậy thôi ....... câu hỏi của mình là vậy đó , hiểu rõ chưa ?

5Toxic
17-09-2006, 20:55
Dạ em hiểu rùi ạ.

Dạ thưa bác tony, Global Catalog không được phép chứng thực cho ai hết ạ.
Và em chỉ xin bác đừng giải thích lý thuyết về cái mà bác không hiểu ạ. Vì bác làm cho các em học viên rối mà thôi

Chân thành cảm tạ bác.

tony
18-09-2006, 09:12
Mình không biết nên mới hỏi để cho biết rõ , còn sếp biết mà không chịu giải thích rõ cho anh em hiểu thì thôi , để mình đi kiếm người khác hỏi vậy . Dù sao cũng cảm ơn nhiều vì đã góp ý .

HOANGNGUYEN
18-09-2006, 10:21
tôi đã đọc qua bài lap chia site trong bài lap284.
nhưng tôi thực hiện cho 1 site.
tôi có thắc mắc là hai domain chạy song song như vậy tại sao khi 1 domain chết thì cái còn lại không vào được domain security policy,trong khi đó mọi việc khác đều chạy tốt như chứng thực user,dns,.v.v
phải làm sao để vào được khi domain master đã chết.
nếu ai biết xin giúp tôi.

chanhtuong
19-09-2006, 11:58
tôi đã đọc qua bài lap chia site trong bài lap284.
nhưng tôi thực hiện cho 1 site.
tôi có thắc mắc là hai domain chạy song song như vậy tại sao khi 1 domain chết thì cái còn lại không vào được domain security policy,trong khi đó mọi việc khác đều chạy tốt như chứng thực user,dns,.v.v
phải làm sao để vào được khi domain master đã chết.
nếu ai biết xin giúp tôi.

Bạn vào help & support search chữ "seize"

Để thực hiện Seize (chiếm đoạt) để đoạt lài quyền hạn vai trò master
(DomainNaming, PDC, RDC, Schemas...)
hoặc đọc chi tiết trong sách MOC 70-294 (MCSE: Implementing & Managing ActiveDirectory).

HOANGNGUYEN
21-09-2006, 14:07
tôi đã vào phần help để đọc và đã làm được theo hướng dẫn.
tôi thành thật cám ơn bạn.
HOÀNG NGUYÊN.

tiengiang
22-09-2006, 21:41
tôi đã vào phần help để đọc và đã làm được theo hướng dẫn.
tôi thành thật cám ơn bạn.
HOÀNG NGUYÊN.

có thể chia sẽ cho bà con không . Là DATA lúc nào cũng song song hai DC nha . nếu cái này chết thì cái kia tự động chạy nha .:confused:

chanhtuong
23-09-2006, 08:23
có thể chia sẽ cho bà con không . Là DATA lúc nào cũng song song hai DC nha . nếu cái này chết thì cái kia tự động chạy nha .:confused:

Các DC(s) trong cùng hệ thống domain , bất chấp cùng site hay khác site đều đồng bộ dữ liệu ActiveDirectory , không đồng bộ mọi dữ liệu khác (folders / files).

Hy vọng, sẽ có 1 bài viết chi tiết về Site và Master Role của DC.

** Đề tài này có vẻ sôi động rồi :p ;)

tony
25-09-2006, 11:54
Mình cũng hy vọng có được 1 bài viết chi tiết về Secondary DC và Master Role .

tiengiang
07-10-2006, 20:01
Các DC(s) trong cùng hệ thống domain , bất chấp cùng site hay khác site đều đồng bộ dữ liệu ActiveDirectory , không đồng bộ mọi dữ liệu khác (folders / files).

Hy vọng, sẽ có 1 bài viết chi tiết về Site và Master Role của DC.

** Đề tài này có vẻ sôi động rồi :p ;)
là sao cái gì đồng bộ . Cái nào không đồng bộ vậy chanhtuong.
Cái này là thực tế đó đành potay.com.vn thui . Mình dự định làm cái DFS không biết được không ?

ozonedark
19-10-2006, 22:23
Oh mong các Pro chỉ cách thức thiết lập một cách chi tiếc giúp :)
Rất cảm ơn các Pro đã chia sẻ kinh nghiệm . Thank

spiderman
20-10-2006, 08:21
Thế cái BDC thứ 2 có phải cùng HĐH với cái PDC không vậy mọi người? Chẳng hạn cái PDC là W2K, sau này nếu cài thêm thì chỉ là W2K3 thôi. Và còn Edition nữa (Server, Advanced Server, Standard, Enteprise,...), có cần thiết phải giống nhau ?

Mr.M
20-10-2006, 12:31
Thế cái BDC thứ 2 có phải cùng HĐH với cái PDC không vậy mọi người? Chẳng hạn cái PDC là W2K, sau này nếu cài thêm thì chỉ là W2K3 thôi. Và còn Edition nữa (Server, Advanced Server, Standard, Enteprise,...), có cần thiết phải giống nhau ?

HDH phải giống nhau, edition không quan trọng.

hagiangsontn
20-10-2006, 13:37
Các Pro hay nói chi tiết một chút cho anh em it kinh nghiệm hoc hỏi với:confused:

tiengiang
04-11-2006, 19:46
Các Pro hay nói chi tiết một chút cho anh em it kinh nghiệm hoc hỏi với:confused:
Tôi thấy cái vụ này chắc đành pó tay hết rồi . Mình chưa có kinh nghiệm về cái vụ này
http://www.danasoft.com/sig/thiennguyen.jpg

tuantt
04-11-2006, 22:43
Tôi thấy cái vụ này chắc đành pó tay hết rồi . Mình chưa có kinh nghiệm về cái vụ này
http://www.danasoft.com/sig/thiennguyen.jpg
Chủ đề này coi bộ hot qúa, Mong các thầy có bài viết chi tiết cụ thể !

Mr.Hieu
05-11-2006, 01:35
Hy vọng sẽ có 1 bài lab về chủ đề này (có hình ảnh minh họa càng tốt :D)

tiengiang
09-11-2006, 19:21
Hy vọng sẽ có 1 bài lab về chủ đề này (có hình ảnh minh họa càng tốt :D)
không biết khi nào đây ?

http://www.danasoft.com/sig/thiennguyen.jpg

spiderman
15-11-2006, 08:16
Thế cái BDC thứ 2 có phải cùng HĐH với cái PDC không vậy mọi người? Chẳng hạn cái PDC là W2K, sau này nếu cài thêm thì chỉ là W2K3 thôi. Và còn Edition nữa (Server, Advanced Server, Standard, Enteprise,...), có cần thiết phải giống nhau ?

Quên nữa, còn phần cứng thì sao ? Có cần phải giống nhau ? Mình đọc đâu đó trên mạng nói rằng Windows 2003 sử dụng khái niệm Cluster rồi cấu hình phải giống nhau và phải cùng chạy bản Enterprise mới được:confused: .

ptanhsmart
27-11-2007, 14:14
Hello các bác!
Em vừa làm vài con cluster cả của IBM và HP rồi. Yêu cầu phần cứng giống nhau, và windows phải là bản enterprise
Bác nào cần thông tin chi tiết mail: theanh_qn@yahoo.com
Best Regards
ptanh

myson
06-06-2008, 13:35
thầy cho em hoi thêm ý nữa
làm thế nào đ63 chứng minh được hai dc đồng cấp chạy song song với nhau
em không bit nhiều mong thầy chỉ giáo thêm:05::yahoo!:

lpsvn
06-06-2008, 15:24
Cái này thì trong diễn đàn có nói rồi mà.Trong phần bài viết có giá trị có bài về thiết lập 2 sever chạy song song :D rùi. Bạn muốn thử thì dễ thôi .DC bạn đang chạy bạn tắt nó đi ỏ rút dây mạng ra để lại con Additional DC mà user vẫn log in dzô domain được là xong rồi :laugh: .Bạn nên dùng 1 user mới tinh chưa log lần nào thử để thấy rõ hơn vì nó còn cache lại :laugh:

Dạo này forum ngày càng xuất hiện nhiều nhà khảo cổ học :shok:

phonghp
07-06-2008, 18:27
Người ta mới tham ra mà bạn hì

nqtuan
13-06-2008, 09:18
Chào !!
Trong phần này tôi tháy hay nhắc đến cụm từ "Lab chia site 284" nhưng tìm mải trong 4rum này không có.
Vậy ai có bộ lab 284 full thì share cho mình với !!
Thanks !!

mcxx2007
03-09-2008, 23:32
1 - Bạn đã hiểu sai ý nghĩa của bài lab chia site trong môn 284 ( thật ra bài này nằm trong môn 294 ( active directory ) của MCSE, nhưng để tăng cường kiến thức cho HV nên NN đã đưa vào môn 284. Ý nghĩa chính của bài Lab đó là: Cô lập quá trình authenticate user tại local DC, ví dụ cty có 2 location HCM và HN, tại mỗi location người ta cài 1 DC và mong muốn DC đó sẽ authenticate cho các user tại location đó, ngòai ra nếu có 1 DC nào đó bị chết (ví dụ DC tại HCM bị chết) thì DC còn lại sẽ authenticate cho user và hệ thống vẫn họat động bình thường trong 1 chừng mực nào đó (giải quyết vấn đề dự phòng)

2 - Trong bài lab chia site có hướng dẩn cách cài 2 máy DC cho 1 domain. nếu bạn cài đúng thì 2 DC này sẽ họat động tương đương nhau (multi master). Còn chuyện để 2 máy DC trong 1 site hay 2 site là chuyện khác.

3 - Exchange không bắt buộc phải cài lên DC



Thầy cho em hỏi, mình có thể làm cluster active\active cho Domain Contrller duoc kg???:realmad: