Nâng cấp Active Directory Domain Services lên nền tảng Windows Server 2008 R2

Một khi Active Directory Domain Services (ADDS) đóng vai trò như nền tảng cốt lõi cho việc quản trị hệ thống, áp đặt chính sách, xác thực ứng dụng tập trung SSO thì việc nâng cấp từ phiên bản trên nền Windows Server 2000/2003 lên 2008 R2 (2k8R2) cần hoạch định và thử nghiệm hết sức kĩ càng. Theo kinh nghiệm của tác giả thì nhiều doanh nghiệp tầm trung và lớn ở VN thường có ý tưởng nâng cấp lên 2k8R2 vì nó mong muốn có một hệ thống AD ổn định hơn. Điều là vừa đúng vừa chưa đúng . Đúng ở chỗ 2k8R2 thực sự là một HĐH mạnh mẽ đi kèm nhiều tiện ích giúp giảm chi phí vận hành hệ thống và tăng tính ổn định nói chung (1) và AD nói riêng như Server Core, RODC, Branch Cache hay AD Recyle Bin. Còn chưa đúng là ở chỗ nếu doanh nghiệp chỉ tập trung nâng cao tính sẵn sàng của AD với chi phí thấp nhất chứ không phải để mở rộng dịch vụ thì điều cần làm là sửa lỗi và tối ưu hệ thống hiện có chứ không nhất thiết phải nâng lên phiên bản mới. Vì việc nâng lên phiên bản mới cũng sẽ kế thừa những cấu hình lỗi và rác từ hệ thống cũ đi kèm với rủi ro về nâng cấp, tương thích ứng dụng và chi phí.

Để nâng cấp ADDS thành công thì phải quan tâm đến những thành phần liên quan như DNS (thành phần cốt lõi cho hoạt động của AD), ứng dụng xác thực trên AD, PKI, File Server, Print Server hay thậm chí là các ứng dụng không liên quan gì đến AD. Và dĩ nhiên quá trình nâng cấp AD cũng cần quan tâm đến sự tác động đến môi trường của người dùng cuối. Do đó để đảm bảo mọi thứ nằm trong tầm kiểm soát và có thể quay lùi (roll back) khi có sự cố, tôi đề xuất nên dựng một lab nhỏ mô phỏng hệ thống hiện tại gồm AD, DNS, một số ứng dụng chính và thử nghiệm kĩ lưỡng các phương án nâng cấp. Thông thường nếu doanh nghiệp muốn đảm ổn thời gian downtime thấp nhất trong quá trình chuyển đổi cũng như giảm rủi ro nên chọn phương án nâng cấp song song (co-exist) trong đó hệ thống 2003 và 2008 cùng chạy.Trong phạm vi của bài viết, tôi xin phép tập trung vào quá trình chuyển đổi ở hệ thống AD có tích hợp DNS chuẩn (AD Integrated) vì đây là mô hình chuẩn của hệ thống AD được Microsoft khuyến nghị. Tuy nhiên vì một số lý do nào đó mà có một số doanh nghiệp triển khai hệ thống DNS tách khỏi AD thì có thể tham khảo cách thức chuyển đổi ở phụ lục (2).

Bước đầu tiên và cũng là vô cùng quan trọng mà không ít IT Admin hay bỏ qua là kiểm tra mức độ sẵn sàng của phần cứng sẵn sàng cho việc nâng cấp lên 2k8R2 cũng như vấn đề phân quyền cho nhóm thực hiện chuyển đổi. Một điểm mà chúng ta cần chú ý là 2k8R2 hiện nay chỉ tồn tại ở phiên bản 64bit nghĩa là ta không thể nâng cấp theo dạng cài trực tiếp lên máy chủ DC sẵn có, mà ta cần cài trên một máy chủ mới và chuyển dữ liệu và FSMO role sang. Về phân quyền thì sẽ cần tài khoản thuộc nhóm Schema Admin lẫn Enterprise Admin. Nên hay nhất là tạo một tài khoản tạm có quyền cần thiết trong quá trình nâng cấp và chỉ cấp cho người chịu trách nhiệm.

image

Hình 1: Quy trình nâng cấp song hành AD lên 2k8R2

Bước hai IT Admin cần đảm bảo sức khỏe tốt nhất cho hệ thống AD/DNS hiện tại bằng các công cụ như DcDiag, Repadmin cho AD hay dnslist cho DNS hoặc dùng System Center Operation Manager (nếu có). Lệnh kiểm tra sức khỏe thường hay được dùng trước và sau khi cấu hình DC là dcdiag /e /v (kiểm tra sức khỏe DC) dcdiag /test:netlogons (kiểm tra SYSVOL) và dcdiag /test:replications (kiểm tra đồng bộ) hay dcdiag /test:dns /s:dns_server_name (kiểm tra DNS). Ta cần thống kê các thông số kĩ thuật hạ tầng AD/DNS trước khi chuyển đổi như IP, Group Policies, Server Role (3)… Sau khi đã có một hạ tầng ổn định về mặt sức khỏe, IT Admin thực hiện tạo bản sao lưu đầy đủ của hệ thống hiện tại phòng khi hữu sự.

Bước thứ ba cần là mở rộng schema để chuẩn bị cho việc cài đặt DC 2k8R2 đầu tiền trong hệ thống. Để mở rộng schema ta chạy lệnh adprep /forestprep ( tool có trong đĩa cài đặt 2k8R2) trên máy chủ nắm role Schema Master (chú ý tài khoản sử dụng ở đây phải nằm trong group Schema Admin và Enterprise Admin). Máy chủ DC nắm vai trò Schema Master thường là máy chủ được cài đầu tiên trong forest. Nếu doanh nghiệp chia sử dụng mô Forest Root Domain/Resource Domain thì tiếp theo ta cần chạy tiếp lệnh adprep /domainprep /gpprepadprep /rodcprep (cần có để sử dụng RODC) trên máy chủ DC được cài đầu tiên ở các domain con. Còn nếu doanh nghiệp đang sử dụng mô hình 1 domain duy nhất và không dùng Root domain thì ta sẽ chạy hai lệnh trên ở máy chủ giữ vai trò Schema Master (thường là DC đầu tiên trong forest).

image

Hình 2: Mở rộng schema ở DC đóng vai trò Schema Master

image

Hình 3: Mở rộng schema đề ứng dụng RODC

Bước bốn ta cài đặt máy chủ mới với HĐH 2k8R2. Chú ý nếu đây là máy DC đầu tiên ta cần cài đặt ở chế độ giao diện (writable DC). Máy chủ mới tốt nhất nên đặt cùng subnet với DC cũ. Sau khi cài đặt HĐH xong ta dcpromo máy chủ mới này và đảm bảo rằng ta chọn option “Add a domain controller to an existing domain”. Sau khi cài đặt xong ta kiểm tra thông tin Database AD cũng như DNS được sync từ DC cũ. Để đảm bảo mọi thứ diễn ra thông suốt ta chạy lại các lệnh test đã nêu ở bước hai.

image

Hình 4: Cài đặt máy chủ DC 2k8R2 đầu tiên trong hệ AD hiện tại

Bước kế tiếp triển khai các DC 2k8R2 ở các chi nhánh hoặc theo dạng giao diện đầy đủ hoặc theo dạng RODC. Để tự động hóa quá trình cài đặt DC ở giao diện dòng lệnh RODC khi cài dcpromo DC giao diện ta có thể xuất file cấu hình thành một file text và dùng nó trong quá trình dcpromo. Chú ý là các máy chủ DC 2k3 sẵn có vẫn tiếp tục hoạt động nên để tiết kiệm máy chủ vật lý ta có thể nghĩ đến phương án ảo hóa DC chi nhánh bằng Hyper-V chẳng hạn. Sau khi đã triển khai toàn bộ DC 2k8R2 mới ta cần một thời gian nhất định để bảo đảm rằng hệ thống mới ổn định trước khi tiến hành bỏ dần các DC 2k3 cũ.

Cuối cùng khi hệ thống DC 2k8R2 đã hoạt động ổn định ta tiến hành chuyển các FSMO Role sang các DC 2k8R2 tương ứng cả ở cấp Forest lẫn cấp domain. Ta phải đảm bảo rằng FSMO đã được transfer sang máy chủ DC mới bằng lệnh dcdiag hoặc trên các MMC như Active Directory User and Computer hay Active Directory Site and Services.Sau đó ta tiến hành demote các DC 2k3 và đảm bảo không chọn option “This server is the last domain controller in the domain”. Để không làm thay đổi cấu hình DNS Server trên máy chủ dịch vụ và máy trạm sau khi demote các DC 2k3, ta áp IP của các DC2k3 cho các DC 2k8R2 mới theo vai trò tương ứng và dùng lệnh ipconfig /registerdns để cập nhật tức thời IP mới vào DNS. Nếu trong hệ thống của doanh nghiệp có các máy chủ dịch vụ hoặc máy trạm sử dụng HĐH ngoài Windows không có khả năng tự queries DC thông qua SRV record trong DNS thì ta cần tạo CNAME để trỏ về A host của DC 2k8R2 mới. Vì quá trình này sẽ làm gián đoạn dịch DNS nên khuyến cáo nên thực hiện vào cuối tuần. Ngoài ra để sử dụng các tính năng như AD Recycle Bin ta phải nâng Forest Level lên 2k8 R2. Chú ý rằng ta sẽ không thể chuyển về level thấp hơn nên hãy chắc về nhu cầu và tương thích ứng dụng trước khi nâng. Để nâng forest level lên 2008 R2 ta cũng cần đảm bảo rằng không còn DC 2k3 nào trong hệ thống nữa.

image

Hình 5: Chuyển FSMO role sang các DC 2k8R2 tương ứng

image

Hình 6: Nâng Forest Level lên 2008 R2

Ở VN thường để tiết kiệm chi phí nên ở máy chủ DC vùng hay chi nhánh thường kiêm nhiệm luôn vai trò File Server. Tuy nhiên trong phạm vi bài viết xin mạn phép không đề cập chi tiết đến vấn đề chuyển đổi File Server (4).

Như vậy ta thấy rõ ràng quá trình nâng cấp AD lên phiên bản mới là một quá trình gồm nhiều bước và cần giám sát cũng như thực hiện hết sức cẩn thận. Do đó khuyến nghị các doanh nghiệp không có sẵn nhân sự chuyên trách nên thuê các đối tác dịch vụ chuyên nghiệp hoặc đội dịnh vụ kĩ thuật chuyên nghiệp MCS của Microsoft tại Vietnam.

Advertisements

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s