Hướng dẫn cài đặt ad server 2008 Windows mới nhất

AD Server 2008 là gì?

Khi nói đến “AD Server 2008”, đa số đang nhắc đến việc cài Active Directory Domain Services (AD DS) trên Windows Server 2008 hoặc Windows Server 2008 R2 để biến máy chủ thành Domain Controller. AD DS là dịch vụ thư mục dùng để quản lý tập trung người dùng, máy tính, chính sách và tài nguyên trong mạng nội bộ doanh nghiệp. Microsoft hiện vẫn mô tả AD DS là vai trò dùng để triển khai domain controller, còn công cụ dcpromo là lệnh dùng để cài, nâng cấp, hạ cấp và gỡ AD DS.

Tuy nhiên, cần lưu ý một điểm rất quan trọng: Windows Server 2008 và 2008 R2 đã hết hỗ trợ từ ngày 14/01/2020. Microsoft nêu rõ sau mốc này sẽ không còn các bản cập nhật bảo mật miễn phí on-premises, cập nhật không bảo mật, hỗ trợ miễn phí và cập nhật tài liệu kỹ thuật trực tuyến như trước.

Có nên cài AD Server trên Windows Server 2008 ở thời điểm hiện tại không?

Nếu bạn đang duy trì hệ thống cũ, vẫn có thể cần cài đặt hoặc khôi phục AD trên Windows Server 2008/2008 R2 để tương thích ứng dụng nội bộ. Nhưng về mặt vận hành thực tế, Microsoft khuyến nghị nâng cấp lên phiên bản Windows Server mới hơn thay vì tiếp tục mở rộng hạ tầng 2008, vì sản phẩm này đã kết thúc vòng đời hỗ trợ.

Nói cách khác, bài viết này phù hợp nhất cho các trường hợp:

• bạn đang quản trị hệ thống cũ dùng Windows Server 2008/2008 R2

• bạn cần dựng lab, test hoặc phục hồi môi trường legacy

• bạn cần tài liệu đúng cách triển khai của dòng 2008

Điểm khác biệt giữa Windows Server 2008 và các bản mới hơn

Trên Windows Server 2008/2008 R2, quy trình phổ biến là:

1. cài role Active Directory Domain Services

2. sau đó chạy Dcpromo.exe để promote server thành domain controller

Từ Windows Server 2012 trở đi, Microsoft đã thay cách triển khai bằng Server Manager và AD DS Configuration Wizard, đồng thời coi mô hình Dcpromo kiểu cũ là đã được thay thế trong trải nghiệm triển khai hiện đại hơn. Vì vậy, nếu bạn tìm “cách mới nhất”, thì với riêng Windows Server 2008/2008 R2, cách đúng vẫn là AD DS + Dcpromo.

Điều kiện trước khi cài đặt AD Server 2008

Trước khi cài, bạn nên chuẩn bị:

• đặt IP tĩnh cho máy chủ

• đổi tên server theo chuẩn dễ quản trị

• xác định rõ sẽ tạo forest mới, domain mới hay thêm domain controller vào domain sẵn có

• chuẩn bị mật khẩu Directory Services Restore Mode (DSRM)

• kiểm tra DNS và kết nối mạng nếu cài thêm DC vào môi trường đang tồn tại

Microsoft cũng lưu ý rằng khi cài mới forest, bạn phải đăng nhập bằng tài khoản local Administrator của máy; khi thêm child domain/new tree cần quyền Enterprise Admins; còn khi thêm một domain controller vào domain hiện có thì cần quyền Domain Admins.

Hướng dẫn cài đặt AD Server 2008 Windows mới nhất

Bước 1: Mở Server Manager

Trên Windows Server 2008 hoặc 2008 R2, mở Server Manager từ menu Start hoặc Administrative Tools.

Đây là nơi bạn thêm role hệ thống trước khi chạy wizard triển khai Active Directory.

Bước 2: Thêm role Active Directory Domain Services

Trong Server Manager, chọn Add Roles rồi tích Active Directory Domain Services. Tiếp tục bấm Next cho đến khi hoàn tất phần cài role. Về nguyên tắc triển khai AD DS, Microsoft vẫn mô tả việc cài role AD DS trước rồi mới cấu hình nâng cấp thành domain controller.

Sau khi cài xong role, server mới chỉ có binary AD DS, chưa phải domain controller hoàn chỉnh.

Bước 3: Chạy Dcpromo để promote server thành Domain Controller

Sau khi cài xong AD DS, mở Run và nhập:

dcpromo

Lệnh dcpromo là công cụ dùng để cài đặt, promote, demote và remove Active Directory Domain Services trên Windows Server. Microsoft cũng vẫn còn tài liệu riêng cho cú pháp answer file của dcpromo.

Wizard Active Directory Domain Services Installation Wizard sẽ xuất hiện.

Bước 4: Chọn kiểu triển khai

Ở bước này, bạn sẽ quyết định server sẽ được triển khai theo mô hình nào, thường gặp nhất là:

• Create a new domain in a new forest: tạo domain đầu tiên trong forest mới

• Add a domain controller to an existing domain: thêm DC vào domain đang có

• Create a new domain in an existing forest: tạo child domain hoặc domain tree mới

Nếu bạn đang dựng hệ thống từ đầu, lựa chọn thông dụng nhất là tạo domain mới trong forest mới.

Bước 5: Nhập tên domain

Nhập tên domain đầy đủ theo chuẩn FQDN, ví dụ:

company.local

hoặc

ad.company.com

Tên này sẽ trở thành domain Active Directory chính của hệ thống.

Bước 6: Chọn Forest Functional Level và Domain Functional Level

Ở bước này, wizard sẽ yêu cầu bạn chọn mức functional level cho forest/domain. Functional level quyết định các tính năng AD DS có thể dùng và phiên bản Windows Server nào được phép chạy làm domain controller trong forest hoặc domain đó. Microsoft xác nhận functional level chính là cơ chế kiểm soát khả năng tương thích và tính năng giữa các phiên bản domain controller.

Nếu môi trường của bạn chỉ dùng Windows Server 2008 hoặc 2008 R2, có thể chọn mức phù hợp tương ứng. Nếu còn domain controller cũ hơn, cần cân nhắc để tránh mất tương thích.

Bước 7: Cấu hình DNS

Trong nhiều trường hợp, wizard sẽ hỏi bạn có muốn cài thêm DNS Server hay không. Với domain controller đầu tiên trong forest mới, thông thường nên cài DNS đi kèm để AD hoạt động ổn định.

Một số lỗi cài AD DS trên Windows Server 2008/2008 R2 cũng liên quan trực tiếp đến giao tiếp DNS và LDAP bị chặn giữa site chi nhánh và forest root domain. Microsoft có tài liệu sự cố riêng cho trường hợp này.

Bước 8: Chọn vị trí Database, Log và SYSVOL

Wizard sẽ yêu cầu bạn chọn nơi lưu:

• Database folder

• Log files folder

• SYSVOL

Nếu không có yêu cầu đặc biệt, bạn có thể giữ mặc định. Với môi trường production, nên cân nhắc tách ổ đĩa để dễ tối ưu hiệu năng và sao lưu.

Bước 9: Đặt mật khẩu DSRM

Bạn cần nhập mật khẩu cho Directory Services Restore Mode. Đây là tài khoản khôi phục dùng khi boot vào chế độ sửa chữa AD.

Hãy lưu mật khẩu này an toàn vì nó rất quan trọng cho việc khôi phục và xử lý sự cố sau này.

Bước 10: Xem lại cấu hình và hoàn tất cài đặt

Kiểm tra lại toàn bộ cấu hình trong màn hình summary, sau đó bấm Next để bắt đầu quá trình promote server thành domain controller.

Trong quá trình này, hệ thống sẽ:

• cấu hình Active Directory

• tạo forest/domain nếu là cài mới

• cài các thành phần liên quan

• cấu hình dịch vụ thư mục để server trở thành domain controller

Microsoft cũng lưu ý rằng khi wizard tạo domain đầu tiên trong forest mới, nó đồng thời tạo luôn 5 vai trò FSMO đầu tiên cho forest đó.

Bước 11: Khởi động lại máy chủ

Sau khi hoàn tất, server thường sẽ yêu cầu restart. Sau khi khởi động lại, máy chủ đã trở thành domain controller và có thể quản trị domain bằng các công cụ của Active Directory.

Trên Windows Server 2008 R2 trở lên, Active Directory Web Services (ADWS) cũng được cài và cấu hình chạy khi bạn biến server thành domain controller bằng Dcpromo.

Cách kiểm tra sau khi cài AD Server 2008 thành công

Sau khi máy chủ khởi động lại, bạn nên kiểm tra nhanh các mục sau:

• mở Active Directory Users and Computers

• mở DNS Manager

• chạy dcdiag

• kiểm tra event log

• thử join một máy client vào domain

• kiểm tra phân giải DNS nội bộ

Nếu server đã lên domain controller đúng cách, bạn sẽ thấy các công cụ quản trị AD và DNS hoạt động bình thường.

Một số lỗi thường gặp khi cài AD Server 2008

Lỗi không promote được do RPC

Microsoft có ghi nhận các trường hợp cài domain controller trên Windows Server 2008 R2 thất bại do lỗi RPC trong quá trình sao chép dữ liệu từ partner domain controller. Lỗi này thường liên quan đến kết nối TCP/IP hoặc quá trình đóng gói thông điệp replicate.

Lỗi liên quan DNS hoặc LDAP

Nếu DNS hoặc LDAP giữa site hiện tại và forest root domain bị chặn, wizard có thể không liên hệ được domain controller phù hợp để tiếp tục cài đặt.

Dcpromo không chạy đúng

Nếu dcpromo không mở wizard hoặc server đang ở trạng thái lỗi sau demote/promote, Microsoft có các tài liệu riêng về tình huống hỏng Dcpromo và cleanup metadata, nhưng đây thường là ca xử lý sự cố nâng cao.

Lưu ý bảo mật khi dùng Windows Server 2008 làm AD Server

Dù bạn vẫn có thể cài AD theo đúng quy trình trên, cần nhớ rằng Windows Server 2008/2008 R2 đã hết hỗ trợ. Microsoft nêu rõ sau ngày 14/01/2020, nền tảng này không còn nhận cập nhật bảo mật miễn phí on-premises. Điều đó đồng nghĩa việc tiếp tục dùng 2008 làm domain controller trong production sẽ làm tăng rủi ro bảo mật và tuân thủ.

Với môi trường doanh nghiệp, hướng đi an toàn hơn là:

• dựng DC mới trên Windows Server mới hơn

• chuyển dần FSMO role

• demote các DC cũ

• nâng functional level khi phù hợp

Microsoft hiện khuyến nghị mô hình nâng cấp bằng cách promote server mới hơn thành domain controller rồi demote server cũ, thay vì duy trì lâu dài hệ thống DC lỗi thời.

Kết luận

Nếu bạn đang tìm hướng dẫn cài đặt AD Server 2008 Windows mới nhất, thì cách làm đúng hiện nay cho riêng dòng Windows Server 2008/2008 R2 vẫn là:

1. cài role Active Directory Domain Services trong Server Manager

2. chạy Dcpromo để cấu hình và promote server thành Domain Controller

Tuy vậy, vì Windows Server 2008 đã hết hỗ trợ từ lâu, bạn chỉ nên áp dụng hướng dẫn này cho hệ thống cũ, môi trường lab hoặc mục đích phục hồi tương thích. Với hệ thống mới, nên triển khai trên phiên bản Windows Server hiện đại hơn để đảm bảo bảo mật và khả năng hỗ trợ lâu dài.

Câu hỏi thường gặp

AD Server 2008 có còn dùng được không?

Có thể vẫn dùng trong hệ thống cũ hoặc lab, nhưng Microsoft xác nhận Windows Server 2008/2008 R2 đã hết hỗ trợ từ 14/01/2020.

Cài AD trên Windows Server 2008 dùng công cụ gì?

Cách đúng là cài role AD DS rồi chạy Dcpromo để promote server thành domain controller.

Windows Server 2012 trở đi có còn dùng Dcpromo như 2008 không?

Không theo cách cũ. Microsoft cho biết từ Windows Server 2012, việc triển khai AD DS chuyển sang Server Manager và AD DS Configuration Wizard.

Cài domain controller đầu tiên sẽ tạo gì?

Khi tạo domain đầu tiên trong forest mới, wizard sẽ tạo luôn 5 FSMO roles đầu tiên