Làm vGiới th Trong mà chú Only D cho cá việc sử Read O các đây Server Chúng Server chủ Wi Tuy nh miền m Primar trị viên sẽ cập domain và ở tr domain Mặc dù điểm c primar bạn có hình m Se
Trang 1Làm v
Giới th
Trong
mà chú
Only D
cho cá
việc sử
Read O
các đây
Server
Chúng
Server
chủ Wi
Tuy nh
miền m
Primar
trị viên
sẽ cập
domain
và ở tr
domain
Mặc dù
điểm c
primar
bạn có
hình m
Server
hai đều
việc với R
hiệu
Windows
úng ta kh
Domain Co
c bạn lý d
ử dụng Re
Only Dom
y hàng th
r 2008, đi
ta đều b
r đầu tiên
indows S
hiên có nh
mới có kh
ry Domain
n có thể g
nhật cho
n controll
rạng thái
n controll
ù mô hình
của nó Đ
ry domain
ó thể biết,
miền khi h
r có giới t
u vẫn đượ
Read On
T b n q
s Server 2 hông thấy ontrollers
do tại sao ead Only
main Cont hập kỷ T iều này h
biết Windo
n của Micr erver hiệ hững khá
ả năng g
n Control ghi thông
o các dom ler khác n chỉ đọc n ler
h miền nà áng kể n
n controll , Microso
họ phát h hiệu hai
ợc sử dụn
ly Doma
Trong bài bạn lý do năng Rea quan trọn
2008, Mic
y từ Wind
s Trong b
o Microso Domain
roller (ha Tuy nhiên hẳn là có
ows NT là rosoft Cũ
ện đại, Wi
ác biệt đó ghi Doma ler hay P tin lên đ main cont này được những gì
ày làm vi hất trong
er có thể
ft đã giới ành Wind công ngh
ng cho tớ
ain Contr
i này chú
o tại sao M
ad Only D
ng của ch
crosoft đã dows NT;
bài viết n oft lại làm Controlle
ay được v
nó lại xu
lý do của
à hệ điều ũng giống indows N
là doma ain contro PDC, là m
đó Sau đ troller khá coi như
mà chúng
ệc khá tố
g số các n
ể là tê liệt thiệu mộ dows 200
hệ mới ch
ới ngày na
roller
úng tôi sẽ Microsoft Domain Co húng như
ã đưa trở
đó chính này, chún
m như vậy ers nằm ở
viết tắt là uất hiện t
a nó
hành má
g như các
T cũng h
in contro oller này
ột domai
ó Primary
ác bên tro một back
g được nâ
ốt nhưng nhược điể
t toàn bộ
ột số thay
00 Server
ho các dom
ay đó là A
ẽ giới thiệ lại đưa t ontrollers thế nào
lại một t
h là tính n
g tôi sẽ g
y và ưu đ
ở chỗ nào
RODC) đ trở lại tro
áy chủ W
c hệ điều
ỗ trợ sử d oller bên t được biết
in control
y domain ong miền kup doma âng cấp b
nó cũng
ểm đó là v miền Nh
y đổi lớn
r Window main con Active Dir
u cho các
rở lại tính
s và tầm
tính năng năng Read giới thiệu iểm trong
o
đã bị bỏ r
ng Windo
indows hành má dụng miề trong mỗ
t đến với ller mà q controlle
n Các ain contro bởi prima
có nhược vấn đề vớ
hư những đối với m
ws 2000 troller, cả rectory và
c
h
d
g
rơi ows
áy
ền
i tên uản
er
oller ary
c
ới
g gì
mô
ả
à
Trang 2multi master domain (mô hình đa miền chủ)
Dù vẫn có những vai trò của PDC và một số vai trò đặc biệt khác,
nhưng hầu hết các domain controller trong mô hình multi master
domain đều có thể ghi Điều đó có nghĩa rằng một quản trị viên có thể
sử dụng một nâng cấp cho bất cứ domain controller nào và nâng cấp
đó sẽ được nhân rộng cho tất cả các domain controller khác trong
miền
Mô hình multi master domain được giữ lại trong Windows Server 2003
và vẫn được sử dụng trong Windows Server 2008 Mặc dù vậy,
Windows Server 2008 cũng cho phép bạn có thể tạo Read Only
Domain Controller RODC là các bộ điều khiển miền (domain
controller) mà các quản trị viên không thể cập nhật trực tiếp cơ sở dữ liệu Active Directory Chỉ có một cách để nâng cấp các domain
controller là sử dụng một sự thay đổi đối với domain controllers cho phép ghi, sau đó cho phép thay đổi đó nhân rộng đến RODC
Như những gì bạn có thể thấy, RODC không phải là sự thiếu sót của một di hài từ thời Windows NT Trong trường hợp này công nghệ thực
sự mang tính chất chu kỳ! Rõ ràng Microsoft sẽ không đưa trở lại
RODC nếu họ không thấy có những ưu điểm trong việc thực hiện đó Trước khi bắt đầu giải thích tại sao Microsoft lại đưa trở lại RODC, hãy cho phép chúng tôi làm sáng tỏ rằng việc sử dụng RODC hoàn toàn không mang tính bắt buộc Nếu bạn muốn mọi domain controller trong toàn bộ forest đều có thể ghi thì bạn hoàn toàn có thể thực hiện điều
đó
Một thứ khác mà chúng tôi muốn đề cập nhanh là mặc dù RODC rất giống với Backup Domain Controllers (BDC) được sử dụng trong
Windows NT nhưng chúng có một chút tiến hóa Tuy nhiên bên cạnh
đó cũng có một số thứ mang tính duy nhất đối với RODC và chúng tôi
sẽ chỉ ra cho các bạn về những vấn đề này
Lại quay trở về với câu hỏi tại sao Microsoft lại đưa trở lại RODC? Quả thực có rất nhiều khó khăn trong việc hỗ trợ các văn phòng chi nhánh Điều đó là vì sự cách ly của các văn phòng này và vì bản chất của kết nối giữa cơ quan đầu não của công ty và văn phòng nhánh
Thông thường, có một số tùy chọn khác nhau cho việc quản lý các văn
Trang 3phòng chi nhánh, tuy nhiên trong các phương pháp đó lại có một số các ưu nhược điểm của riêng chúng Một trong những cách chung nhất cho việc xử lý với các văn phòng nhánh là để tất cả các máy chủ trong một văn phòng chính, sau đó cung cấp cho người dùng văn phòng chi nhánh kết nối với các máy chủ này thông qua một liên kết WAN
Rõ ràng, bất thuận lợi rõ nhất trong việc sử dụng phương pháp này là nếu liên kết WAN gặp trục trặc thì người dùng tại văn phòng chi nhánh
sẽ không thể thực hiện bất cứ công việc gì, vì họ hoàn toàn bị cách ly khỏi tài nguyên máy chủ Thậm chí nếu liên kết WAN hoạt động nhưng hiệu suất có thể bị giảm vì các liên kết WAN thường có tốc độ chậm và
dễ bị tắc nghẽn
Một tùy chọn khác cho việc xử lý với các văn phòng chi nhánh là đặt tối thiểu một domain controller trong văn phòng này Domain
controller này sẽ hoạt động như một DNS server và như một máy chủ global catalog Theo cách này, nếu liên kết WAN gặp vấn đề thì người dùng trong văn phòng chi nhánh vẫn có thể đăng nhập vào mạng Phụ thuộc vào bản chất của công việc của người dùng tại văn phòng mà có thể đặt thêm số lượng máy chủ tại văn phòng nhánh
Giải pháp này thường cho kết quả làm việc khá tốt tuy nhiên vẫn có một số nhược điểm trong quá trình sử dụng nó Bất thuận lợi chính là
về giá thành Việc để nhiều máy chủ tại các văn phòng nhánh yêu cầu
tổ chức cần phải bỏ ra nhiều tiền để mua phần cứng máy chủ và kèm theo đó là các đăng ký về phần mềm Tuy cũng có thể được hỗ trợ về giá thành Một tổ chức cần phải xác định rõ xem liệu họ cần thuê nhân viên CNTT “full time” để hỗ trợ cho văn phòng nhánh không, hay họ có thể bằng lòng với thời gian mà nhân viên CNTT đi lại từ văn phòng chính đến văn phòng nhánh khi cần đến sự hỗ trợ onsite
Một vấn đề khác trong việc để các máy chủ tại văn phòng nhánh là việc bảo mật Các máy chủ được đặt bên ngoài trung tâm dữ liệu
thường thiếu tính giám sát cao Chúng thường chỉ được khóa lại trong một buồng nhỏ tại văn phòng nhánh và được giao cho nhân viên uy tín giữ chìa khóa
Như đã được đề cập ở trên, các kết nối WAN có thể chậm và không ổn định Điều này đã làm nảy sinh một vấn đề khác với việc đặt máy chủ tại các văn phòng chi nhánh Lưu lượng mô hình thứ bản Domain
Trang 4controller có thể làm tắc nghẽn liên kết WAN
Đây chính là chỗ RODC thể hiện được vai trò của nó RODC cũng giống như các domain controller khác, ngoại trừ cơ sở dữ liệu Active
Directory không thể ghi trực tiếp Việc đặt RODC tại văn phòng chi nhánh không khắc phục triệt để được vấn đề lưu lượng bản sao của Active Directory nhưng nó làm giảm được một phần tải trọng của các máy chủ đầu cầu vì chỉ có lưu lượng bản sao gửi đến là được cho phép
RODC cũng có thể cải thiện được vấn đề bảo mật vì người tại văn
phòng chi nhánh không thể thay đổi bất cứ thứ gì trong cơ sở dữ liệu Active Directory Thêm vào đó, không có thông tin về tài khoản nào được tạo bản sao đến RODC Điều này có nghĩa rằng nếu ai đó đánh cắp một RODC thì người này cũng không thể sử dụng các thông tin mà
họ lấy được từ nó Việc các thông tin tài khoản người dùng không được ghi đến RODC cũng làm giảm được số lượng lưu lượng bản sao đối với các liên kết WAN, tuy nhiên nó không có nghĩa rằng với một số ngoại
lệ, thẩm định người dùng sẽ phụ thuộc vào liên kết WAN đang hiện hữu
Kết luận
Như những gì bạn thấy, Read Only Domain Controller có vai trò rất quan trọng của nó Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn việc lập kế hoạch và triển khai cho Read Only Domain Controller
Trong phần hai này chúng tôi sẽ giới thiệu cho các bạn về một
số khía cạnh trong triển khai Read Only Domain Controllers
Giới thiệu
Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn một số lý do cơ bản về việc Microsoft cung cấp Read Only Domain Controllers trong Windows Server 2008 Trong phần hai này, chúng tôi sẽ giới thiệu cho các bạn một số khía cạnh thực hành trong quá trình làm việc với Read Only Domain Controllers
Trang 5Tiêu chuẩn tài khoản người dùng
Chúng tôi sẽ bắt đầu bằng cách làm rõ một số thứ đã đưa ra trong phần cuối của phần một Ở phần cuối của phần một đó, chúng tôi đã cho rằng không có các thông tin tài khoản nào
được lưu trên read only domain controller
Tuy nhiên trong thực tế không hẳn như vậy, các thông tin tài khoản người dùng lại được lưu trên các bộ điều khiển miền chỉ đọc Những gì mà các bộ điều khiển miền domain controllers đang thiếu là các mật khẩu của người dùng Những mật khẩu này không được sao chép vào Read Only Domain Controllers Nếu ai đó đánh cắp một domain controller từ một văn phòng chi nhánh thì họ cũng không thể sử dụng các thông tin được lưu trong cơ sở dữ liệu Active Directory để bẻ khóa mật khẩu của người dùng
Thuộc tính của người dùng
Mặc định, mật khẩu chỉ là thuộc tính của người dùng và không được tạo bản sao đến Read Only Domain Controllers Mặc dù vậy bạn vẫn thể cấu hình Windows nhằm ngăn chặn việc bị tạo bản sao các thuộc tính của những người dùng khác
Vậy tại sao bạn lại sử dụng tính năng như vậy? Cần phải nói rằng nếu chỉ sử dụng với tư cách là một cơ chế thẩm định thì bạn có thể sẽ không cần đến tính năng này Tuy nhiên bạn cần lưu ý có nhiều tổ chức phụ thuộc nhiều vào Active Directory hơn dùng cơ chế thẩm định quyền
Trong ví dụ mà chúng tôi sẽ đề cập đến, đó là một môi trường doanh nghiệp lớn, ở đây họ đã có những nhân viên phát triển
“on site” Các chuyên gia phát triển của công ty đã tạo các ứng dụng sử dụng cho các công việc của riêng công ty Hầu hết tất
cả các ứng dụng này đều sử dụng cơ sở dữ liệu nhưng các cơ sở
dữ liệu này không được liên kết với nhau
Điều đó có nghĩa rằng mỗi một cơ sở dữ liệu đều có một số
thông tin nhân bản Cho ví dụ, tên của mỗi một nhân viên, số điện thoại nội bộ và số ID cá nhân (cùng với nhất nhiều thứ khác) đều có trong mỗi cơ sở dữ liệu Nếu có lỗi nào đó xuất
Trang 6hiện trong quá trình nhập dữ liệu thì dữ liệu đó sẽ không nhất quán trong các cơ sở dữ liệu với nhau Ví dụ, tên của một nhân viên có thể bị đánh sai chính tả trong một cơ sở dữ liệu nhưng lại đúng trong các cơ sở dữ liệu khác, hoặc hai số trong số ID của nhân viên có thể bị hoán vị trong một cơ sở dữ liệu
Một vài năm cách đây, một số công ty đã nhận ra rằng việc sử dụng phương pháp này không thu lại được nhiều hiệu quả như mong đợi Phương pháp này không những sinh ra các lỗi mà còn làm cho các công ty phải tốn thêm chi phí cho việc trả lương cho các nhân viên nhập dữ liệu có trong cơ sở dữ liệu khác Có nhiều giải pháp khác để khắc phục tình trạng này, tuy nhiên phương pháp thường được sử dụng nhất là sử dụng các thông tin trong Active Directory
Cho ví dụ, một tổ chức đã tạo một ứng dụng nhân sự để họ có thể sử dụng nội bộ Tuy nhiên dữ liệu được lưu trong một cơ sở
dữ liệu SQL Server, còn những dữ liệu như tên nhân viên, tiêu
đề, số điện thoại,… lại được lưu trong Active Directory với tư cách là các thuộc tính của tài khoản Phương pháp này cho phép các thông tin được dùng chung sẽ được sử dụng lại ở nhiều địa điểm và nó cho phép hủy kết nối giữa tên của người dùng và các dữ liệu quan trọng khác Cơ sở dữ liệu SQL Server có chứa những dữ liệu như số bảo mật xã hội và thông tin về tiền lương, tuy nhiên nó không chứa tên của bất cứ nhân viên nào Chỉ có một thứ gắn hai cơ sở dữ liệu với nhau là số nhân viên trong cả hai cơ sở dữ liệu
Lý do tại sao chúng tôi giới thiệu cho các bạn điều này là muốn chỉ ra sự thật rằng một số tổ chức sử dụng các thuộc tính tài khoản người dùng và các thuộc tính này có thể chứa các thông tin nhạy cảm Trừ khi có một nhu cầu trực tiếp về kiểu thông tin cần lưu nội bộ trên một domain controller trong một văn phòng chi nhánh, bằng không bạn nên xem xét đến việc khóa quá
trình tạo bản sao một số tính năng nhạy cảm
Một thứ mà bạn cần phải lưu ý là trong khi một số tổ chức sử dụng các thuộc tính người dùng trong các ứng dụng thì các
công ty này vẫn tận dụng các partition thư mục ứng dụng Các partition thư mục ứng dụng ở đây chính là các partition Active Directory đặc biệt được tạo riêng để sử dụng cho ứng dụng
Trang 7Read Only Domain Controllers hỗ trợ đầy đủ việc tạo bản sao dữ liệu được lưu trong các partition thư mục ứng dụng
Một lưu ý nữa đó là Read Only Domain Controllers cũng có thể được cấu hình để thực hiện như một máy chủ DNS chỉ đọc Về
cơ bản thì điều đó có nghĩa rằng nếu bạn cấu hình một máy chủ DNS trên một Read Only Domain Controller thì người muốn xâm nhập sẽ không thể can thiệp vào bản ghi DNS
Các vấn đề về quản trị
Một câu hỏi mà có lẽ các bạn sẽ đặt ra đó là người dùng thẩm định như thế nào nếu không có dữ liệu mật khẩu?
Đây thực sự là một mẹo Như các bạn đã biết, cả tài khoản
người dùng và tài khoản máy tính đều có mật khẩu đi kèm với chúng Mặc định, chỉ có mật khẩu mà Read Only Domain
Controller sẽ lưu là mật khẩu tài khoản của chính máy tính đó
Vì không có mật khẩu lưu nội bộ nên các yêu cầu thẩm định sẽ được chuyển đến một writable domain controller Nếu mục tiêu của bạn là cho phép người dùng có thể đăng nhập thậm chí nếu writable domain controller không thể liên lạc, khi đó bạn cần kích hoạt cache mật khẩu Nếu cache mật khẩu được kích hoạt, khi đó chỉ các tài khoản thẩm định thông qua domain controller mới có các mật khẩu được cache Nếu domain controller bị thỏa hiệp, bạn có thể sử dụng các domain controller khác để tìm ra mật khẩu tài khoản nào được cache để thiết lập lại các mật
khẩu đó
Quản trị viên làm việc như thế nào?
Trong các văn phòng chi nhánh một domain controller cũng được cấu hình để thực hiện như một máy chủ ứng dụng Nếu không có các nhân viên CNTT chuyên trách trong một văn
phòng chi nhánh thì bạn có thể chỉ định ai đó là quản trị viên của read only domain controller Bằng cách đó, họ có thể kiểm soát việc quản trị nội bộ trên máy chủ mà không thể can thiệp vào Active Directory Quản trị viên này chỉ được phép cài đặt bản vá phần mềm và thực hiện các nhiệm vụ bảo dưỡng hàng ngày cần thiết Việc chỉ định ai đó là quản trị viên trên Read
Trang 8Only Domain Controller giống như việc bổ nhiệm ai đó là quản trị viên nội bộ cho một số lượng máy nhất định
Kết luận
Qua phần hai này chúng tôi hy vọng các bạn có được kiến thức
cơ bản về Read Only Domain Controllers được sử dụng như thế nào trong thế giới thực Trong phần ba của loạt bài, chúng tôi
sẽ giới thiệu cho các bạn về quá trình triển khiai một Read Only Domain Controller
Cho đến hết phần phần hai của loạt bài này, chúng tôi đã giải thích cho các bạn về Read Only Domain Controller là gì và một
số ưu điểm có liên quan đến việc triển khai của nó Trong phần này, chúng tôi sẽ giới thiệu cho các bạn về cách thực hiện triển khai một Read Only Domain Controller
Trước khi bắt đầu
Trước khi bắt đầu thực hiện thủ tục cài đặt, bạn cần cài đặt
Windows Server 2008 vào Read Only domain Controller và gia nhập (join) máy chủ vào miền Tuy hoàn toàn có thể tạo một Read Only Domain Controller khi không cần join vào miền
trước, nhưng những bước mà chúng tôi sẽ giới thiệu cho các bạn sẽ thừa nhận rằng máy chủ của bạn là một thành viên
miền
Mức chức năng Forest
Trước khi bắt đầu, bạn phải bảo đảm rằng mức chức năng
Forest đã được thiết lập cho Windows Server 2003 hoặc phiên bản cao hơn Để thực hiện điều đó, bạn chỉ cần mở giao diện điều khiển Active Directory Domains and Trusts Khi cửa sổ này được mở, hãy kích chuột phải vào Active Directory forest của bạn, sau đó chọn lệnh Properties Như những gì bạn có thể thấy
Trang 9qua hình A, mức chức năng forest được liệt kê trên tab General của trang thuộc tính
Hình A: Bạn phải thẩm định mức chức năng forest đã được thiết lập cho Windows Server 2003 hoặc cao hơn
Nếu mức chức năng forest không có đủ thẩm quyền, khi đó bạn phải nâng mức trước khi tiếp tục Cần lưu ý rằng điều này có nghĩa bạn sẽ không thể sử dụng các bộ điều khiển miền của Windows 2000 trong forest của bạn Để nâng mức chức năng forest, kích OK để đóng trang thuộc tính Lúc này, hãy kích phải vào danh sách forest của bạn một lần nữa và chọn mức Raise Forest Functional level, trên cửa sổ xuất hiện sau đó, hãy chọn tùy chọn Windows Server 2003, sau đó kích nút Raise
Nâng cấp partition của thư mục ứng dụng
Bước tiếp theo trong quá trình là nâng cấp các điều khoản cho các partition của thư mục ứng dụng trong forest Với thao tác này, các partition có thể được tạo bản sao bằng bất cứ Read
Trang 10Only Domain Controller nào đang làm việc như một máy chủ DNS
Để thực hiện điều đó, hãy chèn DVD cài đặt Windows Server
2008 của bạn vào domain controller được chỉ định là giản đồ chủ (schema master) của miền Tiếp đến, copy thư mục
\Sources\Adprep từ DVD vào một thư mục trống trên ổ cứng của máy chủ Sau đó mở cửa sổ nhắc lệnh và điều hướng đến thư mục ADPREP đã tạo, thực thi lệnh dưới đây:
ADPREP /RODCPREP
Hình B thể hiện những gì xảy ra khi lệnh được chạy
Hình B: Chạy lệnh ADPREP /RODCPREP
Tăng cấp cho máy chủ lên trạng thái Domain Controller
Bây giờ chính là lúc cấu hình máy chủ của bạn làm nhiệm vụ của một Read Only Domain Controller Quá trình thực hiện khá
