Giả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)

Giả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)
 
Hiện nay hệ thống mạng tại trụ sở chính đang được quản lý theo mô hình Active Directory với domain MSOpenLab.com, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain MSOpenLab.com nên bạn đã join các máy ở Hà Nội vào domain.

I. Giới thiệu
Giả sử công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ở 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng (Lease Line, VPN…)
 
Hiện nay hệ thống mạng tại trụ sở chính đang được quản lý theo mô hình Active Directory với domain MSOpenLab.com, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain MSOpenLab.com nên bạn đã join các máy ở Hà Nội vào domain.
 
Trong trường hợp này để việc chứng thực cho hệ thống ở Hà Nội ổn định, ta cần cấu hình thêm một máy Domain Controller (Global Catalog Server) ở Hà Nội, nhưng vì chi nhánh Hà Nội không có bộ phận IT và không đảm bảo bảo mật cho Domain Controller nên ta chỉ muốn Domain Controller ở Hà Nội lưu trữ password và chỉ chứng thực cho các user account của hệ thống Hà Nội. Để giải quyết được nhu cầu này ta sẽ triển khai một Read-Only Domain Controller ở Hà Nội (Read-Only Domain Controller là một chức năng mới trên Windows Server 2008)
 
Và để thuận tiện cho việc chứng thực giữa 2 hệ thống này (user sẽ đuợc chứng thực bằng Global Catalog Server gần nhất) nên ta sẽ chia hệ thống thành 2 site HCM và HANOI.

Bộ bài viết bao gồm các phần
Phần I: Tổng quan và cài đặt Active Directory Domain Service (AD DS)
Phần II: Triển khai nhiều Server chạy song song (DC, DNS, File server)
Phần III: Triển khai Read-Only Domain Controller, Read-Only DNS Zones và Active Directory Site
Phần IV: Triển khai Group Policy Object (GPO)
PhầnV: Backup & Restore Active Directory
Phần VI: Triển khai nhiều Domain (Multiple Domain)


Phần III bao gồm các bước:
1.    Thực hiện chia Site
2.    Nâng cấp Read-Only Domain Controller và cài đặt Read-Only DNS Server
3.    Kiểm tra Read-Only Domain Controller, Read-Only DNS Server, Site
4.    Cấu hình Password Replication Policy
5.    Kiểm tra Password Replication Policy
6.    Kiểm tra kết quả

II.    Chuẩn bị
-       Mô hình bài lab như phần I, trong phần này sử dụng các máy Server1, Server2, và WS2
-       Cấu hình TCP/IP cho các máy như trong bảng sau:
 

III.   Thực hiện
1.    Thực hiện chia Site
-       Trên Server1, log on MSOpenLab\Administrator

-       Đổi tên Default-First-Site-Name thành HCM

-       Trong cửa sổ Active Directory Sites and Services, chuột phải Site, chọn New, chọn Site

-       Trong hộp thoại New Object-Site, nhập HANOI vào ô Name, chọn DEFAULTIPSITELINK, chọn OK

-       Hộp thoại thông báo Active Directory Sites and Services, chọn OK

-       Trong cửa sổ Active Directory Sites and Services, bung Site, chuột phải Subnets, chọn New, chọn Subnet

-       Trong hộp thoại New Object-Subnet nhập 192.168.10.0/24 vào ô Prefix, chọn HCM, chọn OK

-       Trong cửa sổ Active Directory Sites and Services, chuột phải Subnets, chọn New, chọn Subnet

-       Trong hộp thoại New Object-Subnet nhập 172.16.1.0/24 vào ô Prefix, chọn HANOI, chọn OK

-       Trong cửa sổ Active Directory Sites and Services, kiểm tra đã có 2 site HCM, HN và 2 subnet tương ứng.

2.    Nâng cấp Read-Only Domain Controller và cài đặt Read-Only DNS Server
-       Tại Server3, log on MSOpnenLab\Administrator
-       Vào Start\Run, gõ lệnh dcpromo
-       Trong hộp thoại Welcome to the Active Directory Domain Services Installation Wizard, đánh dấu chọn ô Use advanced mode installation, chọn Next. 

-       Hộp thoại Operating System Compatibility, chọn Next

-       Trong hộp thoại Choose a Deployment Configuration, chọn Existing forest, chọn Add a domain controller to an existing domain, chọn Next

-          Hộp thoại Network Credentials, giữ cấu hình mặc định, chọn Next

-       Hộp thoại Select a Domain, chọn Next

-       Trong hộp thoại Select a Site, chọn site HANOI, chọn Next

-       Trong hộp thoại Additional Domain Controller Option, đánh dấu chọn cả 3 ô DNS server, Global Catalog, Read-only domain controller (cài đặt Read-only DNS Server, cấu hình Server3 làm Global Catalog Serve và nâng cấp Read-only domain controller), chọn Next

-       Hộp thoại Specify the Password Replication Policy, chọn Next

-       Trong hộp thoại Delegation of RODC Installation and Administration, chọn Set, add user T1 vào ô Group or user (ủy quyền cho T1 quản lý RODC), chọn Next

-       Hộp thoại Install from Media, giữ cấu hình mặc định, chọn Next 

-       Trong hộp thoại Source Domain Controller, chọn Use this specific domain controller, chọn Server1 (PCxx.MSOpenLab.com), chọn Next

-       Hộp thoại Location for Database, Log Files, and SYSVOL, giữ nguyên đường dẫn mặc định, chọn Next

-       Hộp thoại Directory Services Restore Mode Administrator Password, nhập P@ssword vào ô Password và Confirm password, chọn Next

-       Trong hộp thoại Summary, chọn Next

-       Trong hộp thoại Active Directory Domain Services Installation Wizard, đánh dấu chọn Reboot on completion. Sau khi quá trình nâng cấp hoàn tất, máy Server3 sẽ tự động restart

3.    Kiểm tra Read-Only Domain Controller, Read-Only DNS Server, Site
-       Tại máy Server3, sau khi khởi động, log on MSOpenLab\Administrator, mở Active Directory Users and Computers, vào OU Domain Controllers, kiểm tra Server3 là Read-Only Domain Controller

-       Mở DNS Manager từ Administrative Tools, bung Server3\Forward Lookup Zones\MSOpenLab.com\sites\HANOI\tcp, kiểm tra Server3 là Global Catalog Server của site HANOI.
-       Kiểm tra trên Server3 không tạo được DNS record mới vì Server3 là Read-Only DNS Server

-       Mở Active Directory Sites and Services, bung Sites\HANOI\Servers, kiểm tra có Server3

4.    Cấu hình Password Replication Policy
 
-       Tại Server3, mở Active Directory Users and Computers, vào OU Domain Controllers, chuột phải Server3, chọn Properties

-       Trong hộp thoại Server3 Properties, qua tab Password Replication Policy, chọn Add

-       Hộp thoại Add Groups, Users and Computers, chọn Allow passwords for the account to replicate to this RODC, chọn OK

-       Hộp thoại Select Users, Computers, or Groups, add group HNGroup vào ô Enter the object name to select, chọn OK

-       Hộp thoại Server3 Properties, kiểm tra có HNGroup, chọn OK

5.    Kiểm tra Password Replication Policy

-       Trên máy WS2, log on lần lượt các user MSOpenLab\T1 và MSOpenLab\T2 (mục đích là để lưu password của user T1 và T2 vào Read-Only Domain Controller)

-       Trên máy Server3, mở Active Directory Users and Computers, bung MSOpenLab.com\Domain Controllers, chuột phải Server3 chọn Properties

-       Hộp thoại Server3 Properties, chọn Advanced

-       Trong hộp thoại Advanced Password Replication Policy for SERVER3, kiểm tra đã có user t1 và t2

6.    Kiểm tra kết quả
-       Tắt router kết nối site HCM và HANOI
-       Đảm bảo máy Server3 và WS2 không liên lạc được với Server1
-       Trên máy WS2, log on lần lượt MSOpenLab\t1 và MSOpenlab\t2, kiểm tra log on thành công
-       Trên máy WS2, log on lần lượt MSOpenlab\u1 và MSOpenlab\u2, kiểm tra log on không thành công (password của u1 và u2 không lưu trên Read-Only Domain Controller)