Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ
Trang Chủ Giới Thiệu Chương Trình Học Tài Liệu Lịch Khai Giảng Học Phí Việc Làm Lộ trình học

Go Back   Trung Tâm Đào Tạo Mạng Máy Tính Nhất Nghệ > MICROSOFT AREA > Active Directory
Đăng Ký Thành Viên Thành Viên Lịch Ðánh Dấu Ðã Ðọc


Active Directory Lên kế hoạch, triển khai, quản lý, bảo trì Active Directory.
Người Quản Trị : Sử Trí Thức

Vui lòng gõ từ khóa liên quan đến vấn đề bạn quan tâm vào khung dưới , trước khi đặt câu hỏi mới.


Trả lời
 
Ðiều Chỉnh
  #1  
Old 31-03-2011, 17:30
sacom sacom vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Mar 2011
Bài gởi: 4
Thanks: 3
Thanked 0 Times in 0 Posts
Tích hợp AD trong quản lý chia sẻ Internet

Kính chào các Pro. Tôi đang đi làm và vừa vào học để nâng cao kiến thức về Microsoft. Tuy nhiên do chưa học được bao lâu mà sếp đã yêu cầu tôi nghiên cứu về việc tích hợp AD vào máy chủ Internet proxy cụ thể như sau:
Cơ quan tôi dùng phần mềm chia sẻ Internet trên máy chủ proxy là Kerio Winroute Firewall. Hiện nay đang chia sẻ Internet cho các máy Client bằng địa chỉ IP thông qua các Rules.
Tuy nhiên hiện nay sếp yêu cầu là Cơ quan đã có Domain riêng và mọi người đã được cấp user trên Domain. Do đó dùng AD tích hợp với Proxy, làm thế nào để user được phân quyền vào Internet, khi logon vào máy thì user đó vào được luôn Internet mà không cần chỉnh IP Proxy trong Internet Options như trước. Điều này làm giảm rủi ro vì cấp Internet bằng user an toàn hơn bằng địa chỉ IP.
Tôi có tham khảo vài cơ quan, có nơi họ làm được nhưng họ không nói (thế mới đau). VD tôi dùng một user nhân viên logon vào máy thì không thể vào được Internet, nhưng nếu dùng user của ông Chánh văn phòng thì vào được ngay....
Vì vậy, tôi rất mong các Pro giúp đỡ vụ này. Nếu tôi không làm được theo yêu cầu của sếp thì chắc không biết có được ký tiếp Hợp đồng nữa không (
Trả Lời Với Trích Dẫn
  #2  
Old 02-04-2011, 10:28
sacom sacom vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Mar 2011
Bài gởi: 4
Thanks: 3
Thanked 0 Times in 0 Posts
Không có pro nào giúp tôi à (
Trả Lời Với Trích Dẫn
  #3  
Old 03-04-2011, 01:08
bluesky2222 bluesky2222 vẫn chưa có mặt trong diễn đàn
Thành Viên Mới
 
Tham gia ngày: Nov 2009
Tuổi: 36
Bài gởi: 33
Thanks: 0
Thanked 3 Times in 3 Posts
tôi nghĩ bạn nên sử dụng ISA kết hợp vs domain. có thể quản lý đươc các users đơn giản hơn
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn bluesky2222 vì bài viết hữu ích này:
  #4  
Old 03-04-2011, 09:23
My_money My_money vẫn chưa có mặt trong diễn đàn
Super Moderator
 
Tham gia ngày: Jan 2007
Nơi Cư Ngụ: Hồ Chí Minh
Bài gởi: 4,645
Thanks: 48
Thanked 2,929 Times in 470 Posts
hi , hiên tại tui chưa có thời gian support bạn bằng bài viết chi tiết về vấn đề này , tuy nhiên bạn có thể chủ động làm bằng cách làm theo hướng dẫn :

Trích:
In WinRoute, it is possible to directly use user accounts from one or more Active Directory domain(s). This feature is called either transparent support for Active Directory or Active Directory domain(s) mapping. The main benefit of this feature is that the entire administration of all user accounts and groups is maintained in Active Directory only (using standard system tools). In WinRoute, a template can be defined for each domain that will be used to set specific WinRoute parameters for user accounts (access rights, data transfer quotas, content rules — see chapter 15.1 Viewing and definitions of user accounts). If needed, these parameters can also be set individually for any accounts. Note: The Windows NT domain cannot be mapped as described. In case of the Windows NT domain, it is recommended to import user accounts to the local user database (refer to 15.3 Local user database: external authentication and import of accounts)
Domain mapping requirements




The following conditions must be met to enable smooth functionality of user authentication through Active Directory domains:
  • For mapping of one domain:
    1. The WinRoute host must be a member of the corresponding Active Directory domain.
    2. Hosts in the local network (user workstations) should use the WinRoute's DNS forwarder as the primary DNS server, because it can process queries for Active Directory and forward them to the corresponding domain server. If another DNS server is used, user authentication in the Active Directory may not work correctly.

  • For mapping of multiple domains:
    1. The WinRoute host must be a member of one of the mapped domains. This domain will be set as primary.
    2. It is necessary that the primary domain trusts any other domains mapped in WinRoute (for details, see the documentation regarding the operating system on the corresponding domain server).
    3. For DNS configuration, the same rules as in mapping of a single domain are applied (the WinRoute's DNS forwarder is the best option ).




Domain mapping settings




To set Active Directory domain mapping, go to:
  • the Administration Console, section Users and groups → Users, the Active Directory tab,
  • in the Web Administration interface, section Users and Groups → Domains and authentication, the Active Directory.


Connecting the firewall to a domain (Software Appliance / VMware Virtual Appliance)




The upper section of the Active Directory tab provides information about domain membership of the firewall's host.
In the Software Appliance / VMware Virtual Appliance edition, it is possible to add the firewall to a domain, change domain membership or disconnect the firewall from the domain.
This can be done in the easy-to-use wizard.


Figure 15.11. Adding firewall to a domain


The first page of the wizard requires the full name of the Active Directory domain (e.g. company.com) and name and password of a user with rights to add hosts to domains.
If WinRoute cannot find the domain server of the specified domain automatically, it requires specification of its IP address in the next step. Then the user gets informed about the result of the attempt to add the firewall to the domain.

Primary domain mapping




To set mapping of the primary domain (the domain of which the firewall host is a member), use option Use domain user database. For connection to the domain server, it is required to enter username and password of an account with read rights for the user database (any user account of the domain can be used, unless it is blocked).


Figure 15.12. Primary domain mapping



Advanced Options




Method of cooperation between WinRoute and the Active Directory can be customized by some advanced options.


Figure 15.13. Advanced options for cooperation with the Active Directory.


Domain mapping vs domain user authenticationThe recommended method of cooperation with the Active Directory is domain mapping (user accounts are saved and managed only in the Active Directory). However, this can be undesirable under certain circumstances. For example if the Active Directory is implemented in a network where the Windows NT domain or no domain has been used, user accounts are already created in the WinRoute's local database. In such case, the best solution is to keep the local accounts and set only authentication in the Active Directory (so that users can use the same password both for the domain and the firewall).
If WinRoute is installed on Windows, it is possible to allow authentication compatible with older systems (i.e. authentication via the Windows NT domain). This option is required if the domain server uses Windows NT or if any of the clients in the local network uses Windows of older edition than Windows 2000. In Software Appliance / VMware Virtual Appliance, this option is not available (authentication in Windows NT domain is not supported).
Then, the settings include an option of automatic import of user accounts from the Active Directory to the local database (upon the first logon of user to the firewall by their domain name and password, an account with the same name will be created in the local database automatically). This option is available above all to keep the environment compatible with older WinRoute versions. In new installations it is strongly recommended to use domain mapping — administration of users is much more simple and much less time consuming. For details, see the Administrator's Guide for older versions of WinRoute (versions 6.7.0 or lower).
Selection of a domain serverIn the default configuration, WinRoute automatically detects domain servers for the specified domain and uses the first detected server for connection to the Active Directory. Automatic detection simplifies configuration significantly (it is not necessary to specify IP addresses of individual domain servers).
If necessary, you can specify name of IP address of a specific domain server. In such case, WinRoute will not perform automatic detection and will always connect to the specified server only.
Secured connection to the domain serverFor higher security (to prevent from tapping of traffic and exploiting user passwords), connection to the Active Directory can be encrypted. Enabling of encrypted connection requires corresponding settings on the particular domain server (or on all servers of the particular domain if automatic detection is used).


Mapping of other domains




To map user accounts from multiple Active Directory domains, add domains in advanced settings available on the Other Mapping tab.
Users of other domains must login by username including the domain (e.g. drdolittle@usoffice.company.com). User accounts with no domain specified (e.g. wsmith), will be searched in the primary domain or in the local database.


Figure 15.14. Adding another Active Directory domain


Use buttons Add or Edit to open a dialog for a new domain definition and enter parameters of the mapped domain. For details, see above (Primary domain mapping and Advanced options).

Collision of Active Directory with the local database and conversion of accounts




During Active Directory domain mapping, collision with the local user database may occur if a user account with an identical name exists both in the domain and in the local database. If multiple domains are mapped, a collision may occur only between the local database and the primary domain (accounts from other domains must include domain names which make the name unique).
If a collision occurs, a warning is displayed at the bottom of the User Accounts tab. Click on the link in the warning to convert selected user accounts (to replace local accounts by corresponding Active Directory accounts).


Figure 15.15. Conversion of user accounts


The following operations will be performed automatically within each conversion:
  • substitution of any appearance of the local account in the WinRoute configuration (in traffic rules, URL rules, FTP rules, etc.) by a corresponding account from the Active Directory domain,
  • removal of the account from the local user database.


Accounts not selected for the conversion are kept in the local database (the collision is still reported). Colliding accounts can be used — the accounts are considered as two independent accounts. However, under these circumstances, Active Directory accounts must be always specified including the domain (even though it belongs to the primary domain); username without the domain specified represents an account belonging to the local database. However, as long as possible, it is recommended to remove all collisions by the conversion.
Note: In case of user groups, collisions do not occur as local groups are always independent from the Active Directory (even if the name of the local group is identical with the name of the group in the particular domain).


Trả Lời Với Trích Dẫn
Đã có 3 người gửi lời cảm ơn My_money vì bài viết hữu ích này:
  #5  
Old 04-04-2011, 09:44
sacom sacom vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Mar 2011
Bài gởi: 4
Thanks: 3
Thanked 0 Times in 0 Posts
Cám ơn các Pro, rất mong các pro quan tâm chia sẻ thêm kinh nghiệm và tài liệu về mang này. Tôi xin chân thành cảm ơn !!!
Trả Lời Với Trích Dẫn
  #6  
Old 04-04-2011, 09:55
nc1402 nc1402 vẫn chưa có mặt trong diễn đàn
Đam Mê
 
Tham gia ngày: Nov 2007
Bài gởi: 907
Thanks: 10
Thanked 242 Times in 200 Posts
Ngoài phần mềm thì phần Cứng cũng làm tốt việc này. Tôi đã triển khai "User-Base" trên firewall DrayTek kết hợp với AD của windows thông qua Radius.

Các dòng DrayTek có hỗ trợ:
- Vigor 2920 (cái này VNPT HCM đang khuyến mãi cho khách hàng FTTH)
- Vigor 3200
- Vigor 5510
Tham khảo bảng so sánh: http://draytek.com.vn/documentdetails.aspx?id=152

Tôi mới xài 3 loại đó nên biết. Bạn có thể add nick yahoo: anphat09 và hỏi thăm
Trả Lời Với Trích Dẫn
Những người sau đây đã gửi lời cảm ơn nc1402 vì bài viết hữu ích này:
  #7  
Old 04-04-2011, 10:38
sacom sacom vẫn chưa có mặt trong diễn đàn
Mới Đăng Ký
 
Tham gia ngày: Mar 2011
Bài gởi: 4
Thanks: 3
Thanked 0 Times in 0 Posts
Trích:
Nguyên văn bởi nc1402 View Post
Ngoài phần mềm thì phần Cứng cũng làm tốt việc này. Tôi đã triển khai "User-Base" trên firewall DrayTek kết hợp với AD của windows thông qua Radius.

Các dòng DrayTek có hỗ trợ:
- Vigor 2920 (cái này VNPT HCM đang khuyến mãi cho khách hàng FTTH)
- Vigor 3200
- Vigor 5510
Tham khảo bảng so sánh: http://draytek.com.vn/documentdetails.aspx?id=152

Tôi mới xài 3 loại đó nên biết. Bạn có thể add nick yahoo: anphat09 và hỏi thăm
Cám ơn bác, nhưng năm nay cơ quan tôi tiết giảm chi phí nên trình mua chắc khó khả thi bác ạ
Trả Lời Với Trích Dẫn
  #8  
Old 04-04-2011, 15:09
nc1402 nc1402 vẫn chưa có mặt trong diễn đàn
Đam Mê
 
Tham gia ngày: Nov 2007
Bài gởi: 907
Thanks: 10
Thanked 242 Times in 200 Posts
Trích:
Nguyên văn bởi sacom View Post
Cám ơn bác, nhưng năm nay cơ quan tôi tiết giảm chi phí nên trình mua chắc khó khả thi bác ạ
Đâu cần mua. VNPT HCM đang tặng kìa:
http://forum.draytek.com.vn/showthre...=6987#post6987

Hổm này mình toàn kêu khách hàng của mình đổi sang VNPT để lấy con DrayTek Vigor 2920 này đó
Trả Lời Với Trích Dẫn
Trả lời

Bookmarks

Ðiều Chỉnh

Quyền Sử Dụng Ở Diễn Ðàn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Smilies đang Mở
[IMG] đang Mở
HTML đang Tắt

Chuyển đến

Similar Threads
Ðề tài Người Gởi Chuyên mục Trả lời Bài mới gởi
Dùng LDAP chứng thực Internet User trong ISA Server 2006 Stand Alone baohp KHO LAB NHẤT NGHỆ 7 16-03-2011 21:47
[Tutorial] Phần mềm quản lý bán hàng miễn phí hoabpro Softwares - Tools 0 21-02-2011 07:28
Từ BOOTP đến DHCP vuivemai KHO LAB NHẤT NGHỆ 0 21-08-2009 00:28



Múi giờ GMT +7. Hiện tại là 12:03
Powered by: vBulletin Version 3.8.7
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd.
Ad Management by RedTyger