4.3.1.1. Giới thiệu về active directory
Active Directory (AD) là nơi lưu trữ các thông tin về tài nguyên khác nhau trên mạng. Các tài nguyên được Active Directory lưu trữ và theo dõi bao gồm File Server, Printer, Fax Service, Application, Data, User, Group và Web Server. Thông tin nó lưu trữ
được sử dụng và truy cập các tài nguyên trên mạng. Sự khác nhau giữa Active Directory và Active Directory Service đó là các hình thức lưu trữ và quản lý thông tin tài nguyên.
Thông qua Active Directory người dùng có thể tìm chi tiết của bất kỳ một tài nguyên nào dựa trên một hay nhiều thuộc tính của nó. Vì vậy mà không cần phải nhớ tất cả đường dẫn và địa chỉ nơi tài nguyên đang được định vị, mỗi thiết bị và tài nguyên trên mạng sẽ được ánh xạ đến một tên có khả năng nhận diện đầy đủ về nó. Tên này sẽ được lưu trữ lại trong Active Directory cùng với vị trí nguyên thuỷ của tài nguyên. Người sử dụng có thể truy cập đến tài nguyên này nếu họ được phép thông qua Active Directory.
Active Directory có khả năng:
Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó.
Duy trì dữ liệu của nó trong một môi trường an toàn, vì chắc chắn rằng dữ liệu sẽ không được cung cấp cho các người không được quyền truy cập đến nó.
Tự nó phân tán đến các máy tính trên mạng
Tự nhân bản. Đây là cơ chế bảo vệ Active Directory trong trường hợp bị lỗi.
Nó giúp người sử dụng ở xa tham chiếu đến một bản sao được nhân bản, được định vị ở một nơi không xa, thay vì phải tham chiếu đến bản sao nguyên thuỷ.
Tự phân vùng thành nhiều phần lưu trữ. Active Directory có thể được phân tán trên các máy khác nhau vì thế nó tăng thêm khả năng lưu trữ một số lượng lớn các đối tượng có trên các mạng lớn.
Mục đích của Active Directory là cung cấp một điểm dịch vụ trên mạng. Do đó nó được thiết kế đặc biệt để làm việc chặt chẽ với các thư mục khác. Nó cũng hỗ trợ một phạm vi lớn các kỹ thuật. Active Directory tích hợp khái niệm không gian tên miền trong Internet với Windows 2003. Kết quả của điều này là nó có khả năng quản lý thống nhất các không gian tên miền khác nhau đang tồn tại trong các môi trường hỗn tạp của hệ thống mạng khác nhau. Active Directory sử dụng dịch vụ DNS cho giải pháp chuyển đổi tên của nó có thể giao tiếp với bất kỳ một thư mục nào hỗ trợ LDAP (Light Weight Directory Access Protocol) hoặc HTTP. Active Directory cung cấp API để giao tiếp với các thư mục khác.
Một số giao thức khác nhau được hỗ trợ bởi Active Directory là:
o Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách nhiệm cho việc gán địa chỉ IP động đến các Host trong mạng. Điều này có nghĩa là một máy trên mạng luôn được gán địa chỉ IP nhưng địa chỉ này có thể khác nhau ở các lần logon khác. Active Directory hỗ trợ DHCP cho việc quản lý địa chỉ trên mạng. Để nhận được nhiều thông tin hơn thì sử dụng RFC (Request For Comment) 2131.
o Domain Naming Service (DNS): DNS được sử dụng cho giải pháp đổi tên trong mạng. Active Directory sử dụng dich vụ DNS như là tên domain và dịch vụ định vị của nó.
o Simple Netword Time Protocol (SNTP): SNTP được sử dụng trong việc đồng bộ về giờ của các máy trên mạng. Active Directory sử dụng các gói dữ liệu trên mạng. Active Directory hỗ trợ TCP/IP trong việc truyền dữ liệu trên mạng.
4.3.1.3. Active Directory và DNS
Dịch vụ DNS tích hợp vớiActive Directory. Có 3 dịch vụ chính thực đưa ra bởi DNS cho Active Directory là :
Name Resolution : Đây là một chức năng cơ sở của DNS server. Nó thực hiện việc chuyển đổi tên host thành địa chỉ IP tương ứng.
Name Space Definition: Windows 2003 sử dụng dịch vụ DNS để quy ước tên cho thành viên trong domain của nó. Active Directory cũng hỗ trợ sự quy ước tên này.
Physical Compoments of Active Directory : Các thành viên của domain Windows 2003 phải hiểu về domain controller và Server Global Catalog trong Tradomain. Chỉ khi đó chúng mới có thể logon đến mạng và truy vấn Active Directory. Cơ sở dữ liệu DNS chứa trong DNS Server hoặc Global Catalog Server. Nhận thông tin này các thành viên có thể trực tiếp truy vấn đến từng Server riêng.
4.3.1.4. Cấu trúc logic của Active Directory
Nhóm tài nguyên logic giúp tìm kiếm các tài nguyên dễ dàng hơn việc tìm kiếm trong vị trí vật lý của nó. Vì thế Active Directory cũng có cấu trúc logic để mô tả cấu trúc thư mục của các tổ chức. Một điểm tiến bộ quan trọng khác của nhóm các đối tượng logic Active Directory là sự cài đặt vật lý của mạng có thể được ẩn đối với người sử dụng.
Các thành phần Logic của cấu trúc Active Directory là : Các Domain
Đơn vị logic đầu tiên của mạng Windows 2003 là domain. Nó là một tập các máy tính được định nghĩa bởi người quản trị mạng. Tất cả các máy tính trong domain chia sẻ chung một cơ sở dữ liệu Active Directory.
Mục đích chính của việc tạo domain là tạo một ranh giới an toàn trong một mạng windows 2003. người quản trị domain điều khiển các máy tính trong domain. Chỉ trừ khi được gắn quyền, nếu không thì người quản trị mạng trong domain này không thể điều khiển các domain khác. Mỗi một domain thì có các quền và các chính sách an toàn riêng, nó được thiêt lập bởi người quản trị.
Các đơn vị tổ chức (OU)
Trong phạm vi domain các đối tượng được tổ chức sử dụng các đơn vị tổ chức. OU là đối tượng chứa. Nó chứa các đối tượng như là User, computer, print, group và các OU khác.
Lợi ích chính của OU là tránh sự phúc tạp của hệ thống mạng với kiến trúc đa domain . Các công ty có thể tạo ra một domain đơn và một trạng thái khác của các OU phù hợp với yêu cầu bằng cách tạo ra một cấu trúc domain. Các OU có thể được bổ sung mới như là khi chúng cần xuất hiện trong một domain. Các OU cũng có thể được lồng theo nhiều cách. Tuy nhiên một cấu trúc domain đơn với nhiều OU đưa ra tất cả các thuận lợi được đưa ra bởi mô hình đa domain.
Các cây (Tree)
Một vài nguyên nhân tại sao mô hình đa domain là được ưa thích :
Phân quyền quản trị mạng
Các tên miền Internet khác nhau. Yêu cầu về password khác nhau Dễ điều khiển việc nhân bản Một số lượng lớn các đối tượng
Nhiều cấp độ điều khiển với nhiều nhánh
Mô hình đa domain bao gồm một hoặc nhiều hơn một cấu trúc logic trong Active Directory - Tree . Một cây là một sự sắp xếp phân cấp của các domain windows 2003 mà nó chia sẻ một không gian tên liền kề. Các Rừng (Rorest)
Trong mô hình đa domain, Rừng (Forset) là một cấu trúc logic khác mà trong đó các cây không chia sẻ các không gian tên liền kề.
4.3.1.5. Cấu trúc vật lý của Active Directory
Cấu trúc vật lý của một Active Directory bao gồm : Site
Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó được kết nối bởi các đường truyền tốc độ cao. Các site được định nghĩa để tạo ra sự thuận lợi đặc biệt cho chiến lược truy cập và nhân bản một Active Directory. Domain Controllers
Thành phần vật lý thứ 2 trong Active Directory là domain controller. một domain controller là một máy tính chay windows 2003 server và nó chứa 1 bản sao của Active Directory. Cơ sở dữ liệu chứa các thông tin về domain cục bộ.
Có thể có nhiều hơn một domain controller trong một domain. Tất cả các domain controller trong domain đều duy trì một bản sao active directory. Các tổ chức nhỏ với một client chỉ cần một domain đơn với chỉ hai domain controller. Controller thứ hai sẽ là server trong trường hợp controller thứ nhất bị lỗi. Do đó cả hai domain controller đều chứa cùng một bản sao khác nhau của Active Directory. Nhưng đôi khi các domain controller có thể chứa các bản sao khác nhau của Active Directory. Điều này xảy ra khi có sự bất đồng bộ giữa các cơ sở dữ liệu directory trong các domain controller. Tuy nhiên trong các tổ chức lớn, mỗi vị trí địa lý cần phải có các domain controller tách biệt để cung cấp đầy đủ khả năng sẵn sàng và khả năng chịu lỗi.
Các chức năng khác nhau domain controller bao gồm : Duy trì một bản sao của cơ sở dữ liêu directory. Duy trì các thông tin của Active Directory.
Nhân bản các thông tin được cập nhật đến các domain controller trong domain:
Khi tạo ra một sự thay đổi trong domain thì phải cập nhật thực tế này đến Active Directory của một domain controller. Domain controller sẽ nhân bản sự thay đổi này đến các domain controller khác trong domain. Thông lượng của việc nhân bản này có thể được điều khiển một cách đặc biệt sao cho đảm bảo tốc độ truyền và không xảy ra lỗi. Sự nhân bản này chắc chắn sẽ thay đổi ngay lập tức. Ví dụ, nếu một user account bị khoá nó được thay thế lập tức đến các domain controller khác, nó sử dụng thay thế slave – master. Điều này có nghĩa là không cố định domain controller với vai trò master. Domain controller được cập nhật sự thay đổi đầu tiên sẽ trở thành domain controller
master và nó sẽ thực hiện việc nhân bản sự thay đổi này đến tất cả các domain controller khác trong domain, do đó mô hình này được gọi là slave – master.
Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đối tượng trong
Active Directory. Nó kiểm tra tích hợp lệ của việc logon của người sử dụng truy cập tài nguyên được yêu cầu.
Cung cấp khả năng chịu lỗi trong môi trường đa domain controller 4.3.1.6. Vai trò của Domain
Các vai trò này là rất quan trọng bởi vì nếu các domain controller với các vai trò đặc biệt là không sẵn sàng thì chức năng cụ thể của các vai trò này sẽ không sẵn sàng cho domain.
Các vai trò được gán cho domain controller là: Global Catalog Servers
Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất cả các đối tượng trong Active Directory. Phần lớn,global catalog là lưu trữ thông tin đó là các truy vấn thường được sử dụng. Nói cách khác, nó chứa các thông tin cần thiêt để tìm các đối tượng.
Một global catolog cần được tạo trong domain controller đầu tiên của rừng. Domain controller này được gọi là Global Catalog Server. Một global catalog server duy trì một bản copy đầy đủ cơ sở dữ liệu của Active Directory của domain điều khiển của nó. Nó duy trì một phần copy của cơ sở dữ liệu Active Directory của domain khác trong rừng. Một Global Catalog Server cũng xử lý các truy vấn được xây dựng trở lại và cho ra kết quả.
Hai vai trò quan trọng của một global catolog server là :
Nó giúp người sử dụng định vị trí đến các đối tượng trong Active Directory được dễ dàng.
Nó cho phép người sử dụng logon vào mạng. Thực hiện điều này bằng cách cung cấp thông tin về thành viên nhóm đến các domain controller khi quá trình này được khởi tạo. Trong trường hợp server
global catalog là không sẵn sàng, người sử dụng có thể logon đến mạng nếu họ là thành viên của nhóm domain Administrator. Mặc khác người sử dụng chỉ có thể logon đến máy tính cục bộ. Domain controller đầu tiên trong rừng là server global catalog. Nó có thể cấu hình để thêm domain controller vào server global catalog. Điều này cân bằng thông lượng tài nguyên trên mạng và nạp vào server global catalog.
Operation Masters
Operation Masters là domain controller được gán với một hoặc nhiều vai trò chủ yếu trong Active Directory của domain. Các vai trò khác nhau của Operation Masters là:
Domain Naming Master: Domain Naming Master chịu trách nhiệm điều khiển để thêm hoặc xoá các domain ra khỏi rừng. Kể từ đó Domain Naming Master chăm sóc các doman trong rừng, có thể một domain controller trong rừng với vai trò này.
Infrastructure Master: Domain controller với vai trò này chịu trách nhiệm cập nhật để tham chiếu đến các thành viên trong nhóm của Active Directory. Bất cứ khi nào sự thay đổi xảy ra đối với các thành viên trong một nhóm, domain controller này cập nhật vào cơ sở dữ liệu của domain. Mỗi domain phải có một Infastructure Master, sự thay đổi trong thành viên của domain là sự nhân bản multi-master
Primary Domain Controller emulator(PDC): Vai trò này rất hữu ích trong mô hình mixed. Khi một client không chạy Windows XP hoặc một Server đang chạy Windows NT tồn tại trong một domain thì sau đó bất kì một sự thay đổi nào tác động đến domain thì đòi hỏi đó cũng tác động đến PDC. Domain controller với vai trò này chịu trách nhiệm trong việc cập nhật này. Trong mạng ở chế độ native, vai trò này hữu ích trong việc xác nhập đăng nhập trong trường hợp thay đổi mật khẩu được tạo ra ở trong domain. Nếu một password mới được thay đổi thì nó sẽ mất thời gian để tạo bản sao khác ở trong domain controller. Trong khi chờ đợi, nếu domain controller gặp một mật khẩu không đúng thì nó sẽ đưa ra một câu truy vấn đến PDC trước khi thông báo quá trình đăng nhập thất bại.
Relative Indentifier Master – RID: Khi một đối tượng được tạo ra
trong domain thì một SID cũng được tạo ra và gán cho đối tượng đó.
SID, định danh bảo mật(sercurity indentifier) là duy nhất cho mỗi đối
tượng. Một SID bao gồm hai phần: domain SID và RID. Phần thứ nhất
là domain SID, là chung cho tất cả các đối tượng trong domain. Phần
thứ hai là RID, là số ID duy nhất khác nhau cho mỗi đối tượng trong
domain. Vì thế SID là một định danh duy nhất trong mạng. Vai trò này
phải có trong một domain controller của một mạng. RID master gán một
dãy các RID cho các domain controller trong mạng. Domain controller
sau đó sẽ phân phối RID cho các đối tượng này.
Schema Master: Domain controller với vai trò này sẽ chịu trách nhiệm hoàn thành việc cập nhật cho lược đồ. Để cập nhập một lược đồ của một rừng, chúng ta phải truy xuất đến một lược đồ master của domain controller. Chỉ nên có một domain controller có vai trò này trên mạng. Domain controller sở hữu những vài trò này tren mạng là duy nhất tại bất cứ thời điểm nào. Nghĩa là chức năng thao tác chính có thể chuyển đổi từ domain controller này đến domain controller khác. Nhưng chỉ có một domain controller có vai trò riêng trong mạng. Hai domain controller không thể chạy cùng một chức năng tao tác chính tại bất kì thời điểm nào của mạng.
