5. Nhiệm vụ nghiên cứu
2.3.1.2. Các đối tượng trong Active Directory và quy ước đặt tên
Các tài nguyên trên mạng được ghi trong AD được gọi là Object - đối tượng. Một object được định nghĩa như là một tập riêng biệt của các thuộc tính để mô tả về một tài nguyên trên mạng. Các object có các Attribute - thuộc tính. Các thuộc tính là các đặc tính của các tài nguyên được ghi trong AD.
Classes là một nhóm logic của các đối tượng trong AD. Ví dụ, một classes bao gồm: các Computer, các User, các Group và các Domain. Mỗi đối tượng trong AD được định nghĩa bởi một cái tên. Các quy ước đặt tên khác nhau được sử dụng bởi AD là:
Globally unique Indentifier (GUID). Relative Distingished Name (RDN). User Principal Name (UPN).
2.3.1.3. Các kỹ thuật được hỗ trợ bởi Active Directory (AD)
Mục đích của AD là cung cấp một điểm dịch vụ trên mạng. AD sử dụng dịch vụ DNS cho giải pháp chuyển đổi tên của nó để có thể giao tiếp với bất kỳ một thư mục nào hỗ trợ LDAP (Light Weight Directory Access Protocol) hoặc HTTP. AD cung cấp API để giao tiếp với các thư mục khác.
Các giao thức khác nhau được hỗ trợ bởi AD là:
Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách nhiệm cho
việc gán địa chỉ IP động đến các Host trong mạng. Điều này có nghĩa là một máy trên mạng luôn được gán địa chỉ IP nhưng địa chỉ này có thể khác nhau ở các lần logon khác. AD hỗ trợ DHCP cho việc quản lý địa chỉ trên mạng. Để nhận được nhiều thông tin hơn thì sử dụng RFC (Request For Comment) 2131.
Domain Naming Service (DNS): DNS được sử dụng cho giải pháp đổi tên
trong mạng. AD sử dụng dịch vụ DNS như là tên domain và dịch vụ định vị của nó.
Kerberos: là giao thức xác thực nó chịu trách nhiệm về vấn đề an toàn trong
windows 2003. AD sử dụng nó để xác thực người sử dụng của mạng khi họ yêu cầu được truy cập đến các tài nguyên.
LDAP: Schema Active Directory cấu hình từ các thuộc tính và lớp. LDAP có nhiều tiện ích khác nhau nó được đưa ra để hỗ trợ cho AD.
Simple Netword Time Protocol (SNTP): SNTP được sử dụng trong việc đồng
bộ về giờ của các máy trên mạng. AD sử dụng các gói dữ liệu trên mạng. AD hỗ trợ TCP/IP trong việc truyền dữ liệu trên mạng.
X.509 v3 Certificates: Tương tự Kerberos, X.509 Certificate cũng được sử
dụng trong các mục đích xác thực. Active Directory hỗ trợ X.509 Certificates.
2.3.1.4 Active Directory (AD) và DNS
Dịch vụ DNS tích hợp với AD. Có 3 dịch vụ đưa ra bởi DNS cho AD là:
Name Resolution: Đây là một chức năng cơ sở của DNS server. Nó thực hiện
việc chuyển đổi tên host thành địa chỉ IP tương ứng.
Name Space Definition: Windows 2003 sử dụng dịch vụ DNS để quy ước tên
cho thành viên trong domain của nó. AD cũng hỗ trợ sự quy ước tên này.
Physical Compoments of Active Directory: Các thành viên của domain Windows 2003 phải hiểu về domain controller và Server Global Catalog trong domain. Chỉ khi đó chúng mới có thể logon đến mạng và truy vấn AD. Cơ sở dữ liệu DNS chứa trong DNS Server hoặc Global Catalog Server. Nhận thông tin này các thành viên có thể trực tiếp truy vấn đến từng Server riêng.
2.3.1.5. Cấu Trúc Logic của ADS
Nhóm tài nguyên logic giúp tìm kiếm các tài nguyên dễ dàng hơn việc tìm kiếm trong vị trí vật lý của nó. Vì thế Active Directory cũng có cấu trúc logic để mô tả cấu trúc thư mục của các tổ chức. Một điểm tiến bộ quan trọng khác của nhóm các đối tượng logic Active Directory là sự cài đặt vật lý của mạng có thể được ẩn đối với người sử dụng.
Các thành phần Logic của cấu trúc Active Directory là : Các Domain.
Các đơn vị tổ chức (OU). Các cây (Tree).
Các Rừng (Forest).
Domain
Đơn vị logic đầu tiên của mạng Windows 2003 là domain. Nó là một tập các máy tính được định nghĩa bởi người quản trị mạng. Tất cả các máy tính trong domain chia sẻ chung một cơ sở dữ liệu Active Directory.
Mục đích chính của việc tạo domain là tạo một ranh giới an toàn trong một mạng windows 2003. Chỉ trừ khi được gắn quyền, nếu không thì người quản trị mạng trong
domain này không thể điều khiển các domain khác. Mỗi một domain thì có các quyền và các chính sách an toàn riêng, nó được thiêt lập bởi người quản trị.
Tất cả domain cotroller trong một domain đều duy trì một bản sao cơ sở dữ liệu của domain, do đó các domain là các đơn vị nhân bản và cơ sở dữ liệu Active Directory là được nhân bản đến tất cả các domain controller trong domain. Windows 2003 Active Directory sử dụng mô hình nhân bản Multi - master. Trong mô hình này bất kỳ một domain controller nào trong domain đều có khả năng nhận sự thay đổi được tạo ra từ cơ sở dữ liệu Active Directory.
Domain Active Directory có thể tồn tại một trong hai mô hình là: Native hoặc Mixed, hệ điều hành ở trên các domain controller sẽ quyết định domain hoạt động theo mô hình nào. Mô hình Native là mô hình được sử dụng trong tất cả các domain controller chạy trong windows 2003. Trong mô hình Mixed, các domain controller có thể sử dụng một trong hai hệ điều hành là windows 2003 và windows NT 4.0.
Các Organizational Unit (OU)
OU là đối tượng chứa. Nó chứa các đối tượng như là User, computer, print, group và các OU khác.
Về cơ bản OU giúp nhóm các đối tượng tổ chức logic phù hợp với kiểu nào đó. Các đối tượng có thể được nhóm từ một OU.
Hoặc dựa trên cấu trúc của tổ chức
Hoặc phù hợp với mô hình quản trị mạng. Mỗi domain có thể được tổ chức dựa vào người quản trị mạng và giới hạn người điều khiển nó.
Hệ thống phân cấp OU có thể được biến đổi từ domain này sang domain khác. Đó là mỗi domain có thể được cài đặt một hệ thống phân cấp riêng của nó. Sự điều khiển của một OU có thể được cấp trong phạm vi của OU.
Lợi ích chính của OU là tránh sự phức tạp của hệ thống mạng với kiến trúc đa domain . Các công ty có thể tạo ra một domain đơn và một trạng thái khác của các OU phù hợp với yêu cầu bằng cách tạo ra một cấu trúc domain. Các OU có thể được bổ sung mới như là khi chúng cần xuất hiện trong một domain. Các OU cũng có thể được lồng
vào theo nhiều cách. Tuy nhiên một cấu trúc domain đơn với nhiều OU đưa ra tất cả các thuận lợi được đưa ra bởi mô hình đa domain.
Cây (Tree)
Một vài nguyên nhân tại sao mô hình đa domain là được ưa thích: Phân quyền quản trị mạng.
Các tên miền Internet khác nhau. Yêu cầu về password khác nhau. Dễ điều khiển việc nhân bản. Một số lượng lớn các đối tượng.
Nhiều cấp độ điều khiển với nhiều nhánh.
Mô hình đa domain bao gồm một hoặc nhiều hơn một cấu trúc logic trong Active Directory - Tree. Một cây là một sự sắp xếp phân cấp của các domain windows 2003 mà nó chia sẻ một không gian tên liền kề.
Rừng (Forest)
Trong mô hình đa domain, Rừng (Forset) là một cấu trúc logic khác mà trong đó các cây không chia sẻ các không gian tên liền kề.
2.3.1.6 Cấu trúc vật lý của ADS
Cấu trúc logic của một AD là được tách ra từ cấu trúc vật lý của nó, và hoàn toàn tách biệt với cấu trúc vật lý. Cấu trúc vật lý được sử dụng để tổ chức việc trao đổi trên mạng trong khi đó cấu trúc logic được sử dụng để tổ chức các tài nguyên có sẵn trên mạng. Cấu trúc vật lý của một AD bao gồm:
Site.
Domain Controllers. Global Catalog Server.
Cấu trúc vật lý của một AD mô tả nơi nào và khi nào thì sự logon và nhân bản sẽ xuất hiện. Do đó để giải quyết các vấn đề về logon và nhân bản thì trước hết phải hiểu về các thành phần của cấu trúc vật lý của AD.
Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó được kết nối bởi các đường truyền tốc độ cao. Các site được định nghĩa để tạo ra sự thuận lợi đặc biệt cho chiến lược truy cập và nhân bản một AD. Các mục đích chính của việc định nghĩa có thể kể ra dưới đây:
Cho phép các kết nối tin cậy và tốc độ cao giữa các domain controller. Tối ưu việc truyền tải trên mạng.
Sự khác nhau cơ bản giữa site và domain đó là domain mô tả cấu trúc logic của sự tổ chức mạng trong khi đó site mô tả cấu trúc vật lý mạng. Theo trên thì cấu trúc logic và cấu trúc vật lý của AD là tách rời nhau
Không cần có sự tương quan giữa cấu trúc vật lý của mạng và cấu trúc domain của nó.
Không gian tên của site và domain không cần tương quan.
AD cho phép nhiều site trong một domain cũng giống như nhiều domain trong một site.
Không gian giữa tên logic chứa các Computer, các domain và các OU, không có các site. Một site chứa thông tin về các đối tượng computer và các đối tượng connection.
Domain Controller
Thành phần vật lý thứ 2 trong AD là domain controller, một domain controller là một máy tính chạy windows 2003 server và nó chứa 1 bản sao của AD.
Có thể có nhiều hơn một domain controller trong một domain. Tất cả các domain controller trong domain đều duy trì một bản sao Active Directory. Các tổ chức nhỏ với một client chỉ cần một domain đơn với chỉ hai domain controller. Tuy nhiên trong các tổ chức lớn, mỗi vị trí địa lý cần phải có các domain controller tách biệt để cung cấp đầy đủ khả năng sẵn sàng và khả năng chịu lỗi.
Các chức năng khác nhau domain controller bao gồm: Duy trì một bản sao của cơ sở dữ liêu directory. Duy trì các thông tin của Active Directory.
Nhân bản các thông tin được cập nhật đến các domain controller trong domain. Khi tạo ra một sự thay đổi trong domain thì phải cập nhật thực tế này đến AD của một domain controller. Domain controller sẽ nhân bản sự thay đổi này đến các domain controller khác trong domain. Thông lượng của việc nhân bản này có thể được điều khiển một cách đặc biệt sao cho đảm bảo tốc độ truyền và không xảy ra lỗi.
Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đối tượng trong Active Directory. Nó kiểm tra tích hợp lệ của việc logon của người sử dụng truy cập tài nguyên được yêu cầu.
Cung cấp khả năng chịu lỗi trong môi trường đa domain controller.
Global Catalog Servers
Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất cả các đối tượng trong Active Directory. Phần lớn, global catalog là lưu trữ thông tin đó là các truy vấn thường được sử dụng.
Một global catolog cần được tạo trong domain controller đầu tiên của rừng. Domain controller này được gọi là Global Catalog Server. Một global catalog server duy trì một bản copy đầy đủ cơ sở dữ liệu của Active Directory của domain điều khiển của nó.
2.3.1.7 Vai trò của Domain
Các vai trò được gán cho domain controller là: Global Catalog Servers.
Operation Masters.
Các vai trò này là rất quan trọng bởi vì nếu các domain controller với các vai trò đặc biệt là không sẵn sàng thì chức năng cụ thể của các vai trò này sẽ không sẵn sàng cho domain.
Global Catalog Servers
Nó giúp người sử dụng định vị trí đến các đối tượng trong Active Directory được dễ dàng.
Nó cho phép người sử dụng logon vào mạng.
Operation Masters : là domain controller được gán với một hoặc nhiều vai trò
chủ yếu trong Active Directory của domain. Các vai trò khác nhau của Operation Masters là:
Domain Naming Master: Domain Naming Master chịu trách nhiệm điều khiển
thêm hoặc xoá các domain ra khỏi rừng. Từ đó Domain Naming Master chăm sóc các doman trong rừng, có thể một domain controller trong rừng với vai trò này.
Infrastructure Master: Domain controller với vai trò này chịu trách nhiệm cập
nhật để tham chiếu đến các thành viên trong nhóm của Active Directory. Khi nào sự thay đổi xảy ra đối với các thành viên trong một nhóm, domain controller này cập nhật vào cơ sở dữ liệu của domain. Mỗi domain phải có một Infastructure Master, sự thay đổi trong thành viên của domain là sự nhân bản multi-master.
Primary Domain Controller emulator (PDC): Vai trò này rất hữu ích trong
mô hình mixed. Khi một client không chạy Windows XP hoặc một Server đang chạy Windows NT tồn tại trong một domain thì sau đó bất kì một sự thay đổi nào tác động đến domain thì đòi hỏi đó cũng tác động đến PDC. Domain controller với vai trò này chịu trách nhiệm trong việc cập nhật này. Trong mạng ở chế độ native, vai trò này hữu ích trong việc xác nhận đăng nhập trong trường hợp thay đổi mật khẩu được tạo ra ở trong domain. Nếu một password mới được thay đổi thì nó sẽ mất thời gian để tạo bản sao khác ở trong domain controller. Trong khi chờ đợi, nếu domain controller gặp một mật khẩu không đúng thì nó sẽ đưa ra một câu truy vấn đến PDC trước khi thông báo quá trình đăng nhập thất bại.
Relative Indentifier Master – RID: Khi một đối tượng được tạo ra trong domain thì một SID cũng được tạo ra và gán cho đối tượng đó. SID, định danh bảo mật (sercurity indentifier) là duy nhất cho mỗi đối tượng. Một SID bao gồm hai phần: domain SID và RID. Phần thứ nhất là domain SID, là chung cho tất cả các đối tượng trong domain. Phần thứ hai là RID, là số ID duy nhất khác nhau cho mỗi đối tượng trong domain. Vì thế SID là một định danh duy nhất trong mạng. Vai trò này phải có trong một domain controller của một mạng. RID master gán một dãy các RID cho các domain controller trong mạng. Domain controller sau đó sẽ phân phối RID cho các đối tượng này.
Schema Master: Domain controller với vai trò này sẽ chịu trách nhiệm hoàn
thành việc cập nhật cho lược đồ. Để cập nhập một lược đồ của một rừng, chúng ta phải truy xuất đến một lược đồ master của domain controller. Chỉ nên có một domain controller có vai trò này trên mạng. Nghĩa là chức năng thao tác chính có thể chuyển đổi từ domain controller này đến domain controller khác. Hai domain controller không thể chạy cùng một chức năng thao tác chính tại bất kì thời điểm nào của mạng.
2.3.2. Hệ thống tên miền DNS 2.3.2.1. Giới thiệu về DNS
DNS là một cơ sở dữ liệu (CSDL) phân tán được dùng để dịch tên máy tính (host name) thành địa chỉ IP trong các mạng TCP/IP. Để cung cấp một cấu trúc phân cấp cho cơ sở dữ liệu DNS người ta cung cấp một lược đồ đánh tên được gọi là không gian tên miền. Miền gốc (root domain) là mức định của cấu trúc tên miền được ký hiệu một dấu chấm (.). Miền mức định được đặt dưới miền gốc và chúng được đại diện cho kiểu của tổ chức, chẳng hạn com hay edu hay org hoặc nó có thể là một định danh địa lý như vn (Việt nam). Các miền mức thứ 2 được đăng ký cho tên các tổ chức khác hay các người sử dụng đơn lẻ. Chúng có thể chứa cả hai: các máy tính/tài nguyên (host) và các miền con (subdomains).
Tên miền đã kiểm chứng đầy đủ (Full Qualified Domain Name – FQDN) mô tả mối quan hệ chính xác của máy tính và miền của nó. DNS sẽ sử dụng FQDN để dịch tên máy thành một địa chỉ IP. Dữ liệu tên-địa chỉ IP được đặt trong vùng. Thông tin này được lưu trữ trong một tập tin vùng trên máy chủ DNS. Để dịch tên thành một địa chỉ IP thì nó sẽ sử dụng truy vấn tìm kiếm chuyển tiếp. Khi truy vấn chuyển tiếp được gửi đến máy khách, nếu máy chủ DNS cục bộ không được cấp quyền để được truy vấn thì máy chủ DNS cục bộ sẽ chuyển nó đến máy chủ DNS giữ vùng chủ.