Bài 1. Tổng quan về Active Directory Domain Services (AD DS)
Mục đích của bài:
-
Nắm được khái niệm, chức năng, ưu điểm của AD DS
trong Windows Server 2008.
-
Hiểu được các khái niệm forest, site, domain,
domain tree và OU trong môi trường AD (Active Directory).
-
Thiết kế mạng logic và vật lý dựa trên AD.
-
Nắm được quy ước và tầm quan trọng của việc đặt
tên trong AD.
-
Hiểu và đánh giá được các mô hình domain và
forest (functional levels) khác nhau.
-
Hiểu về trust và các mô hình trust.
Giới thiệu về AD DS
Dịch vụ AD DS cung cấp cơ chế xác thực tập trung trong môi trường mạng của Microsoft.
Một số đặc điểm của AD DS:
-
Các đối tượng trong AD DS được tổ chức theo cấu
trúc phân cấp.
-
Hệ thống chịu đựng lỗi và dự phòng kiểu dư thừa
(redundancy) có sự hỗ trợ của cơ chế xác thực đa chủ (multimaster
authentication).
-
Có thể truy cập tới tất cả tài nguyên mạng từ một
vị trí.
-
Có thể thực hiện Trust Relationship với các mạng
AD phiên bản cũ hơn, thậm chí với UNIX.
-
Windows Server 2008 có một số cải tiến liên quan
đến AD bao gồm, Read-Only Domain Controller(RODC), chính sách mật khẩu riêng biệt
(fine-grained password policies), GUI, giám sát AD, bảo trì AD, Server Core.
Active Directory
Directory (thư mục) là một khái niệm luận lý. Directory chứa tên các đối tượng và thông tin liên quan đến đối tượng. Các đối tượng có thể là tập tin, thư mục, người dùng, máy in, máy tính…v.v.
Directory Services (dịch vụ thư mục) là một ứng dụng, được sử dụng để lưu trữ, tổ chức, kiểm soát quyền và các chức năng khác trên Directory.
AD là một hiện thực của Directory Services, hay nói cách khác AD là một loại Directory Services. AD là một sản phẩm của Microsoft. Bên cạch AD còn có nhiều loại Directory Services khác, như: eDirectory, Open Directory...v.v.
Microsoft giới thiệu phiên bản AD đầu tiên trong Windows Server 2000.
AD là kho lưu trữ các thông tin về người dùng, máy tính, dịch vụ và các tài nguyên khác trong một mạng.
Các phiên bản AD trong Windows Server 2003 và Windows Server
2008 đã có nhiều cải tiến. Tuy nhiên, chức năng ban đầu của AD là cung cấp cơ
chế phân quyền và xác thực tập trung cho hệ thống mạng vẫn được duy trì.
Windows Server 2008 cung cấp hai công cụ (role) liên quan đến AD là AD DS và AD LDS.
-
AD DS (Active
Directory Domain Services): cung cấp đầy đủ các chức năng của Active
Directory trong Windows Server 2003 và Windows Server 2000.
-
AD LDS (Active Directory Lightweight Directory
Services): cung cấp một số chức năng liên quan đến AD, có thể tích hợp với AD
mà không phụ thuộc vào AD DS.
Máy Windows Server 2008 được gọi là Domain Controller khi nó đã được cài đặt AD DS.
Domain controller (DC) gọi là máy kiểm soát miền. DC lưu trữ
toàn bộ dữ liệu của AD. DC cung cấp cơ chế để chứng thực khi người dùng đăng nhập
vào hệ thống. DC kiểm soát người dùng trong suốt quá trình người dùng đã đăng
nhập. Tại mỗi DC, thông tin về AD được lưu trong tập tin Ntds.dit.
AD là một cơ sở dữ liệu đa chủ (multimaster database), vì vậy, nó cho phép các người quản trị mạng (administrator) có thể cập nhật thông tin của AD từ các DC khác nhau.
Các DC luôn được đồng bộ với nhau, để cập nhật các thay đổi trong hệ thống mạng, quá trình này gọi là replication. Quá trình một DC chuyển các thông tin đồng bộ tới các DC khác gọi là outbound replication (gửi đồng bộ). Ngược lại, quá trình một DC nhận thông tin đồng bộ từ DC khác gọi là inbound replication (nhận đồng bộ).
Ví dụ, một hệ thống mạng gồm ba DC là: DC1, DC2 và DC3. Một người dùng có thay đổi mật khẩu tại DC1, thông tin này sẽ được cập nhật trong ntds.dit tại DC1. Sau đó, DC1 sẽ phải gửi thông tin thay đổi này tới DC2 và DC3 (thực hiện việc đồng bộ). Các DC sẽ phải tự động thực hiện đồng bộ để đảm bảo tính nhất quán của dữ liệu AD trong hệ thống mạng.
AD đã được thiết kế để có thể làm việc với các doanh nghiệp có quy mô đa dạng. Số đối tượng (object) mà AD có thể quản lý được là khoảng bốn tỉ. Như vậy, khả năng quản lý mạng chỉ có thể bị hạn chế bởi phần cứng của DC, chứ không bị hạn chế ở bởi AD.
Ưu điểm của AD DS:
-
Quản
lý tập trung.
-
Chỉ cần
truy cập một lần để sử dụng các tài nguyên.
-
Có khả
năng chịu đựng lỗi và có hệ thống dự phòng kiểu dư thừa.
-
Định
vị tài nguyên dễ dàng.
Quản lý tập trung
AD cung cấp một đầu mối duy nhất, từ đó người quản trị có thể quản lý toàn bộ tài nguyên mạng, cũng như quản lý các chính sách bảo mật đi kèm với mỗi tài nguyên.
Người quản trị mạng có thể tổ chức AD dựa trên tổ chức hành chính, không gian địa lý các khu làm việc hoặc tùy thuộc vào cách thức tổ chức của mỗi cơ quan/công ty.
Nhờ có AD, việc quản lý toàn bộ các tài nguyên mạng được thực hiện đơn giản, an toàn hơn. Khả năng tương tác giữa các ứng dụng và thiết bị cũng được mở rộng. Quản lý đơn giản, an toàn nhờ vào khả năng truy cập tập trung tới các công cụ quản trị cũng như các tài nguyên mạng. Khả năng tương tác giữa một máy server Windows Server 2008 với các máy server phiên bản cũ hơn được thực hiện nhờ vào các mô hình quản trị (functional levels).
Sau khi cài đặt và cấu hình AD, máy tính sẽ có các công cụ quản trị dựa trên giao diện đồ họa (GUI) và giao diện dòng lệnh (command-line). Các công cụ quản trị hỗ trợ việc quản lý dịch vụ mạng, tài nguyên mạng và bảo mật hệ thống. Có thể truy cập để sử dụng các công cụ này từ mọi máy DC trong mạng, hoặc từ một máy trạm đã được cài đặt như một máy có chức năng quản trị. Các công cụ quản trị trong AD của Windows Server 2008 gồm:
-
Active Directory Users and Computers
-
Active Directory Domains and Trusts
-
Active Directory Sites and Services
-
ADSI Edit
Chỉ cần truy cập một lần để sử dụng các tài nguyên
Trước khi dịch vụ thư mục được đưa vào sử dụng trong các mạng doanh nghiệp, người dùng muốn truy cập dữ liệu trên server nào, đều phải đăng nhập vào server đó. Điều này dẫn tới người dùng phải chứng thực rất nhiều lần, và người quản trị mạng cũng phải duy trì nhiều tài khoản của cùng một người dùng trên mỗi server khác nhau. Ví dụ: một hệ thống mạng có 10 server, mỗi server có 500 người dùng, như vậy sẽ phải tạo ra 5 000 tài khoản, cấu hình các chính sách và quyền truy cập cho 5 000 tài khoản, điều này sẽ dẫn tới những khó khăn và phức tạp trong quản trị.
AD sẽ khắc phục khó khăn trên bằng giải pháp cho phép quản lý tập trung tất cả các tài nguyên mạng. AD cho phép chỉ cần đăng nhập một lần, tại một máy server là có quyền truy xuất tất cả các tài nguyên trên các máy server khác nhau trong cùng một hệ thống domain. Tất nhiên, quyền thao tác và quyền truy cập tài nguyên sẽ phụ thuộc vào vai trò của mỗi người dùng.
Có khả năng chịu đựng lỗi và có hệ thống dự phòng kiểu dư thừa
Một hệ thống được gọi là có khả năng chịu đựng lỗi nếu nó vẫn có khả năng hoạt động và đáp ứng nhu cầu sử dụng của người dùng ngay cả trong tình huống gặp một số sự cố về phần cứng cũng như phần mềm. Ví dụ, một máy server gọi là có khả năng chịu lỗi nếu nó vẫn có thể hoạt động bình thường khi bị cúp điện hoặc đĩa cứng bị hư hỏng phần cơ.
Hệ thống AD được gọi là có khả năng chịu đựng lỗi nếu nó vẫn có khả năng chứng thực và giám sát người dùng khi một hoặc một số server chứng thực (ví dụ: máy DC có cài đặt AD DS) bị hư phần cứng hoặc bị mất kết nối. Khi có sự cố, AD có thể sử dụng hệ thống dự phòng kiểu dư thừa để tiếp tục công việc chứng thực và giám sát người dùng và không làm ảnh hưởng đến hoạt động của người dùng, các máy trạm, và các dịch vụ khác.
Hệ thống có khả năng chịu đựng lỗi của AD được xây dựng dựa trên mô hình DC đa chủ (multimaster domain controller). Ý tưởng là tất cả các DC trong một AD sẽ chia sẻ với nhau một cơ sở dữ liệu giống nhau là ntds.dit; nếu một DC nào đó có thay đổi nội dung trên ntds.dit thì thay đổi đó sẽ được thông báo và cập nhật đến tất cả các DC còn lại. Điều này đảm bảo sự nhất quản của thông tin trên toàn bộ domain.
Windows Server 2008 cung cấp một loại DC mới là Read-Only Domain Controller (RODC). RODC chứa một bản sao của ntds.dit, tuy nhiên, RODC không được sửa nội dung trong ntds.dit. Các thay đổi liên quan đến ntds.dit trên các DC khác sẽ không được cập nhật vào ntds.dit trên RODC. Microsoft đưa ra giải pháp này để tăng cường độ an toàn cho hệ thống mạng tại các chi nhánh ở xa trung tâm.
Như đã đề cập ở trên, cơ sở dữ liệu của AD được đồng bộ trên tất cả các DC. Vì vậy, nếu có một DC bị hư, việc chứng thực vẫn thực hiện được bình thường nhờ vào các DC còn lại. Vì vậy, hệ thống chỉ có một DC sẽ không có khả năng chịu đựng lỗi, Microsoft đề nghị cần cấu hình ít nhất 2 DC cho mỗi hệ thống mạng.
Định vị tài nguyên dễ dàng
Giả sử bạn đang làm việc trong một môi trường có 10 server, cả 10 server này chứa các loại dữ liệu khác nhau. Công việc của bạn đòi hỏi phải thường xuyên truy cập tới dữ liệu trên các server này. Điều này sẽ gây khó khăn cho bạn trong việc định vị tài nguyên mình muốn truy cập đang nằm trên server nào. Với các nhân viên mới, việc định vị càng khó khăn hơn.
AD giúp đơn giản hóa việc định vị tài nguyên trên mạng, nó sẽ xuất bản các thông tin liên quan đến tài nguyên lên hệ thống AD. Nhờ việc xuất bản thông tin, người sử dụng có thể truy xuất được tài nguyên mong muốn bằng cách tìm kiếm trên cơ sở dữ liệu của AD. Để tìm kiếm người sử dụng cần biết tên của tài nguyên, thông tin mô tả, hoặc vị trí. Bạn có thể thực hiện tìm kiếm bằng chức năng Search của Windows XP, 7 hoặc 8, có thể lựa chọn loại tài nguyên và phạm vi để tăng tốc độ tìm kiếm.
Các thành phần của hệ thống AD
AD cung cấp một số thành phần để thiết kế, mở rộng, quản trị và bảo mật hệ thống mạng dựa trên AD. Trong đó, có một số thành phần có thể điều chỉnh được sau khi đã tạo ra cho phù hợp với nhu cầu thực tế, một số thì không. Vì vậy, cần phải lên kế hoạch, lập bản thiết kế phù hợp trước khi tiến hành cài đặt, cấu hình.
AD chia các thành phần thành hai loại: container object và leaf object. Trong cấu trúc AD, một đối tượng gọi là container object nếu nó có thể chứa các đối tượng khác, đối tượng đó có thể là một container object khác hoặc một leaf object. Ngược lại, leaf object là các đối tượng không thể chứa các đối tượng khác. Leaf object thường là các tài nguyên mạng, ví dụ: máy in, thư mục, người dùng, nhóm.
Một số container object:
-
Forest
-
Domain tree
-
Domain
-
OU (Organization Unit)
Forest
Forest là container object lớn nhất trong AD. Forest cũng được sử dụng để xác định phạm vi, trong đó người dùng có thể chứng thực một lần để sử dụng các tài nguyên, nghĩa là người dùng sẽ phải chứng thực lại khi truy cập tài nguyên trên forest khác.
Để nâng cao hiệu quả hoạt động, AD được chia thành nhiều partition directory hay naming context.
Như đã biết, directory là một khái niệm luận lý. Directory
chứa tên các đối tượng và thông tin liên quan đến đối tượng. Các đối tượng có
thể là tập tin, thư mục, người dùng, máy in, máy tính…v.v.
Partition directory là một khái niệm luận lý, là một phân vùng được sử dụng để chứa các đối tượng của AD.
Có ba loại partition:
-
Schema partition: chứa các đối tượng
classSchema, attributeSchema. Nó có chức năng định nghĩa các loại đối tượng có
thể có của một forest.
-
Configuration partition: chứa thông tin về topo
mạng, các thông tin về cấu hình của hệ thống mạng.
-
Domain partition: chứa thông tin về người dùng,
máy tính của một domain (local domain).
Tập tin ntds.dit trên mỗi DC sẽ chứa thông tin của ba loại partition này. Trong đó, thông tin về schema partition và configuration partition sẽ được đồng bộ trong phạm vi một forest, thông tin về domain partition chỉ được đồng bộ giữa các DC trong phạm vi một domain.
---------------------------
Tài liệu đã tham khảo:
Windows Server 2008 Active Directory Configuration, Exam
70-640, Microsoft.
--------------------------------
Cập nhập: 2014/4/28