Vì vậy mà không cần phảinhớ tất cả đường dẫn và địa chỉ nơi tài nguyên đang được định vị, mỗi thiết bị và tàinguyên trên mạng sẽ được ánh xạ đến một tên có khả năng nhận diện đầy đủ về n
Trang 1BÀI 2 – CẤU HÌNH VÀ TỐI ƯU HỆ THỐNG
I – Cấu hình quản lý
1 Giới Thiệu Về Active Directory
Active Directory (AD) là nơi lưu trữ các thông tin về tài nguyên khác nhautrên mạng Các tài nguyên được Active Directory lưu trữ và theo dõi bao gồm FileServer, Printer, Fax Service, Application, Data, User, Group và Web Server Thôngtin nó lưu trữ được sử dụng và truy cập các tài nguyên trên mạng Sự khác nhaugiữa Active Directory và Active Directory Service đó là các hình thức lưu trữ vàquản lý thông tin tài nguyên
Thông qua Active Directory người dùng có thể tìm chi tiết của bất kỳ một tàinguyên nào dựa trên một hay nhiều thuộc tính của nó Vì vậy mà không cần phảinhớ tất cả đường dẫn và địa chỉ nơi tài nguyên đang được định vị, mỗi thiết bị và tàinguyên trên mạng sẽ được ánh xạ đến một tên có khả năng nhận diện đầy đủ về nó.Tên này sẽ được lưu trữ lại trong Active Directory cùng với vị trí nguyên thuỷ củatài nguyên Người sử dụng có thể truy cập đến tài nguyên này nếu họ được phépthông qua Active Directory
Active Directory có khả năng:
Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó
Duy trì dữ liệu của nó trong một môi trường an toàn, vì chắc chắn rằng
dữ liệu sẽ không được cung cấp cho các người không được quyền truycập đến nó
Tự nó phân tán đến các máy tính trên mạng
Tự nhân bản Đây là cơ chế bảo vệ Active Directory trong trường hợp bịlỗi
Nó giúp người sử dụng ở xa tham chiếu đến một bản sao được nhân bản,được định vị ở một nơi không xa, thay vì phải tham chiếu đến bản saonguyên thuỷ
Tự phân vùng thành nhiều phần lưu trữ Active Directory có thể đượcphân tán trên các máy khác nhau vì thế nó tăng thêm khả năng lưu trữmột số lượng lớn các đối tượng có trên các mạng lớn
Trang 22 Các đối tượng trong Active Directory và quy ước đặt tên
Các tài nguyên trên mạng được ghi trong Active Directory được gọi làObject - đối tượng Một object được định nghĩa như là một tập riêng biệt của cácthuộc tính để mô tả về một tài nguyên trên mạng Các object có các Attribute -thuộc tính Các thuộc tính là các đặc tính của các tài nguyên được ghi trong ActiveDirectory
Classes là một nhóm logic của các đối tượng trong Active Directory Ví dụ,
một classes bao gồm : các Computer, các User, các Group và các Domain Thuộc
tính và classes cũng được tham chiếu như là các Schema Object hoặc Metadata Cácthuộc tính có thể được định nghĩa một là nhưng được sử dụng trong nhiều lớp Mỗiđối tượng trong Active Directory được định nghĩa bởi một cái tên, Active Directory
hỗ trợ các quy ước đặt tên Các quy ước đặt tên khác nhau được sủ dụng bởi ActiveDirectory là :
Distinguished Name (DN)
Globally unique Indentifier (GUID)
Relative Distingished Name (RDN)
User Principal Name (UPN)
2.1 Distinguished Name (DN)
Mỗi object trong Active Directory sẽ có một tên duy nhất Đây là tên được xemnhư là DN Nó chứa đầy đủ các thông tin về đối tượng bao gồm tên của domain nơilưu trữ đối tượng và đường dẫn đầy đủ mà thông qua đó đối tượng có thể được chỉ
ra Xét DN dưới đây: /DC=com/DC=haui/OU=Dev/CN=Users/CN=Pham VanHiep
Đây là tên duy nhất định danh cho đối tượng user là Pham Van Hiep, trongdomain haui.com
2.2 Globally Unique Indentifier (GUID)
Các GUID là các số 128 bít và là duy nhất Đây là định dạng được gắn cho đốitượng tạo thời điểm được tạo ra nó Chỉ được tạo 1 lần GUID không bao giờ thayđổi ngay cả khi đối tượng được đổi tên hay di chuyển Cũng vậy, GUID không thayđổi ngay cả khi DN của đối tượng thay đổi Vì thế User và các ứng dụng có thể truy
Trang 3xuất đến một đối tượng với 1 GUID của nó ngay cả khi đối tượng thay đổi thànhđịnh danh khác.
Khái niệm GUID của windows 2003 là tương tự như một SID (securityIndentifiers) trong windows NT Một SID được tạo bên trong một domain Điều này
có nghĩa rằng SID có thể trở nên duy nhất chỉ dưới một domain GUID là một tổngthể duy nhất Điều này có nghĩa rằng nếu di chuyển một đối tượng xuyên qua cácdomain thì GUID của đối tượng không thay đổi Nó là duy nhất trên tất cả cácdomain
Relative Distinguished name (RDN) của một đối tượng là một thuộc tính củachính đối tượng đó Active Directory hỗ trợ truy vấn bằng thuộc tính Vì thế mỗiđối tượng có thể được xác định ngay cả khi không biết về DN của nó Một thuộctính quan trọng được sử dụng để truy vấn trong Active Directory là RDN
2.4 User Principal Name (UPN)
UPN là tên thân thiện của đối tượng User Nó là kết nối của một tên ngắn vàDNS của domain nơi lưu trữ đối tượng Tên ngắn thường được sử dụng là tên logoncủa tên user
3 Các kỹ thuật được hỗ trợ bởi Active Directory
Mục đích của Active Directory là cung cấp một điểm dịch vụ trên mạng Do
đó nó được thiết kế đặc biệt để làm việc chặt chẽ với các thư mục khác Nó cũng hỗtrợ một phạm vi lớn các kỹ thuật Active Directory tích hợp khái niệm không giantên miền trong Internet với Windows 2003 Kết quả của điều này là nó có khả năngquản lý thống nhất các không gian tên miền khác nhau đang tồn tại trong các môitrường hỗn tạp của hệ thống mạng khác nhau Active Directory sử dụng dịch vụDNS cho giải pháp chuyển đổi tên của nó có thể giao tiếp với bất kỳ một thư mụcnào hỗ trợ LDAP (Light Weight Directory Access Protocol) hoặc HTTP ActiveDirectory cung cấp API để giao tiếp với các thư mục khác
Các giao thức khác nhau được hỗ trợ bởi Active Directory là:
Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách nhiệm
cho việc gán địa chỉ IP động đến các Host trong mạng Điều này có nghĩa làmột máy trên mạng luôn được gán địa chỉ IP nhưng địa chỉ này có thể khác
Trang 4nhau ở các lần logon khác Active Directory hỗ trợ DHCP cho việc quản lýđịa chỉ trên mạng Để nhận được nhiều thông tin hơn thì sử dụng RFC(Request For Comment) 2131
Domain Naming Service (DNS): DNS được sử dụng cho giải pháp đổi tên
trong mạng Active Directory sử dụng dich vụ DNS như là tên domain vàdịch vụ định vị của nó
Kerberos: là giao thức xác thực nó chịu trách nhiệm về vấn đề an toàn trong
windows 2003 Active Directory sử dụng nó để sác định thực người sử dụngcủa mạng khi họ yêu cầu được truy cập đến các tài nguyên
LDAP: Schema Active Directory cấu hình từ các thuộc tính và lớp LDAP
có nhiều tiện ích khác nhau nó được đưa ra để hỗ trợ cho Active Directorytrong các cách khác nhau như :
LDAP v3 Directory Access (RFC 2551)
LDAP Directory Schema (RFC 2247,2252,2256)
LDAP ‘C’ Directory Synchronization (IEIF Internet Engineering TaskForce Draft)
LDIF là chữ viết tắt của LDAP Data Interchange Format
Simple Netword Time Protocol (SNTP): SNTP được sử dụng trong việc
đồng bộ về giờ của các máy trên mạng Active Directory sử dụng các gói dữliệu trên mạng Active Directory hỗ trợ TCP/IP trong việc truyền dữ liệu trênmạng
X.509 v3 Certificates: Tương tự Kerberos, X.509 Certificate cũng được sử
dụng trong các mục đích xác thực Active Directory hỗ trợ X.509Certificates
4 Active Directory và DNS
Dịch vụ DNS tích hợp vớiActive Directory Có 3 dịch vụ chính thực đưa rabởi DNS cho Active Directory là :
Name Resolution : Đây là một chức năng cơ sở của DNS server Nó thực
hiện việc chuyển đổi tên host thành địa chỉ IP tương ứng
Trang 5 Name Space Definition: Windows 2003 sử dụng dịch vụ DNS để quy
ước tên cho thành viên trong domain của nó Active Directory cũng hỗtrợ sự quy ước tên này
Physical Compoments of Active Directory : Các thành viên của domain
Windows 2003 phải hiểu về domain controller và Server Global Catalogtrong domain Chỉ khi đó chúng mới có thể logon đến mạng và truy vấnActive Directory Cơ sở dữ liệu DNS chứa trong DNS Server hoặcGlobal Catalog Server Nhận thông tin này các thành viên có thể trực tiếptruy vấn đến từng Server riêng
5 Cấu Trúc Logic của ADS
Nhóm tài nguyên logic giúp tìm kiếm các tài nguyên dễ dàng hơn việc tìmkiếm trong vị trí vật lý của nó Vì thế Active Directory cũng có cấu trúc logic để mô
tả cấu trúc thư mục của các tổ chức Một điểm tiến bộ quan trọng khác của nhómcác đối tượng logic Active Directory là sự cài đặt vật lý của mạng có thể được ẩnđối với người sử dụng
Các thành phần Logic của cấu trúc Active Directory là :
Mục đích chính của việc tạo domain là tạo một ranh giới an toàn trong mộtmạng windows 2003 người quản trị domain điều khiển các máy tính trong domain.Chỉ trừ khi được gắn quyền, nếu không thì người quản trị mạng trong domain nàykhông thể điều khiển các domain khác Mỗi một domain thì có các quền và cácchính sách an toàn riêng, nó được thiêt lập bởi người quản trị
Tất cả domain cotroller trong một domain đều duy trì một bản sao cơ sở dữ liệucủa domain, do đó các domain là các đơn vị nhân bản và cơ sở dữ liệu Active
Trang 6Directory là được nhân bản đến tất cả các domain controller trong domain.Windows 2003 Active Directory sử dụng mô hình nhân bản Multi - master Trong
mô hình này bất kỳ một domain controller nào trong domain đều có khả năng nhận
sự thay đổi được tạo ra từ cơ sở dữ liệu Active Directory Thay đổi được tạo sẽđược nhân bản đến các domain controller khác trong domain Từ đó, tất cả domaincontroller có thể trở thành tại bất kỳ thời điểm nào, mô hình này được gọi là môhình multi – master
Domain Active Directory có thể tồn tại một trong hai mô hình là : Nativehoặc Mixed, hệ điều hành ở trên các domain controller sẽ quyết định domain hoạtđộng theo mô hình nào Mô hình Native là mô hình được sử dụng trong tất cả cácdomain controller chạy trong windows 2003 Trong mô hình Mixed, các domaincontroller có thể sử dụng một trong hai hệ điều hành là windows 2003 và windows
NT 4.0 Tại thời điểm cài đặt và ngay sau khi cài đặt Active Directory hoạt động ở
mô hình Mixed Đây là sự cung cấp hỗ trợ cho domain controller hiện tại trongdomain mà không được cập nhật trở thành windows 2003
5.2 Các Organizational Unit (OU)
Trong phạm vi domain các đối tượng được tổ chức sử dụng các đơn vị tổ chức
OU là đối tượng chứa Nó chứa các đối tượng như là User, computer, print, group
và các OU khác
Về cơ bản OU giúp nhóm các đối tượng tổ chức logic phù hợp với kiểu nào đó.Các đối tượng có thể được nhóm từ một OU
Hoặc dự trên cấu trúc của tổ chức
Hoặc phù hợp với mô hình quản trị mạng Mỗi domain có thể được tổ chứcdựa vào người quản trị mạng và giới hạn người điều khiển nó Máy củangười quản trị sẽ điều khiển domain và các máy tính của tất cả những ngườidưới sự điều khiển của người quản trị mạng sẽ nằm trong domain
Hệ thống phân cấp OU có thể được biến đổi từ domain này sang domainkhác Đó là mỗi domain có thể được cài đặt một hệ thống phân cấp riêng của nó Sựđiều khiển của một OU có thể được cấp trong phạm vi của OU
Lợi ích chính của OU là tránh sự phúc tạp của hệ thống mạng với kiến trúc đadomain Các công ty có thể tạo ra một domain đơn và một trạng thái khác của các
Trang 7OU phù hợp với yêu cầu bằng cách tạo ra một cấu trúc domain Các OU có thểđược bổ sung mới như là khi chúng cần xuất hiện trong một domain Các OU cũng
có thể được lồng vào theo nhiều cách Tuy nhiên một cấu trúc domain đơn vớinhiều OU đưa ra tất cả các thuận lợi được đưa ra bởi mô hình đa domain
5.3 Cây (Tree)
một vài nguyên nhân tại sao mô hình đa domain là được ưa thích :
Phân quyền quản trị mạng
Các tên miền Internet khác nhau
Yêu cầu về password khác nhau
Dễ điều khiển việc nhân bản
Một số lượng lớn các đối tượng
Nhiều cấp độ điều khiển với nhiều nhánh
Mô hình đa domain bao gồm một hoặc nhiều hơn một cấu trúc logic trongActive Directory - Tree Một cây là một sự sắp xếp phân cấp của các domainwindows 2003 mà nó chia sẻ một không gian tên liền kề
5.4 Rừng (Forest)
Trong mô hình đa domain, Rừng (Forset) là một cấu trúc logic khác mà trong
đó các cây không chia sẻ các không gian tên liền kề
6 Cấu trúc vật lý của ADS
Cấu trúc logic của một Active Directory là được tách ra từ cấu trúc vật lý của
nó, và hoàn toàn tách biệt với cấu trúc vật lý Cấu trúc vật lý được sử dụng để tổchức việc trao đổi trên mạng trong khi đó cấu trúc logic được sử dụng để tổ chứccác tài nguyên có sẵn trên mạng Cấu trúc vật lý của một Active Directory baogồm :
Site
Domain Controllers
Global Catalog Server
Cấu trúc vật lý của một Active Directory mô tả nơi nào và khi nào thì sựlogon và nhân bản sẽ xuất hiện Do đó để giải quyết các vấn đề về logon và nhânbản thì trước hết phải hiểu về các thành phần của cấu trúc vật lý của ActiveDirectory
Trang 86.1 Sites
Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó được kếtnối bởi các đường truyền tốc độ cao Các site được định nghĩa để tạo ra sự thuận lợiđặc biệt cho chiến lược truy cập và nhân bản một Active Directory Các mục đíchchính của việc định nghĩa có thể kể ra dưới đây:
Cho phép các kết nối tin cậy và tốc độ cao giữa các domain controller
Tối ưu việc truyền tải trên mạng
Sự khác nhau cơ bản giữa site và domain đó là domain mô tả cấu trúclogic của sự tổ chức mạng trong khi đó site mô tả cấu trúc vật lý mạng Theo trênthì cấu trúc logic và cấu trúc vật lý của Active Directory là tách rời nhau Vì thế,
Không cần có sự tương quan giữa cấu trúc vật lý của mạng và cấu trúcdomain của nó
Không gian tên của site và domain không cần tương quan
Active Directory cho phép nhiều site trong một domain cũng giống nhưnhiều domain trong một site
Không gian giữa tên logic chứa các Computer, các domain và các OU, không có cácsite Một site chứa thông tin về các đối tượng computer và các đối tượngconnection
6.2 Domain Controller
Thành phần vật lý thứ 2 trong Active Directory là domain controller mộtdomain controller là một máy tính chay windows 2003 server và nó chứa 1 bản saocủa Active Directory Cơ sở dữ liệu chứa các thông tin về domain cục bộ
Có thể có nhiều hơn một domain controller trong một domain Tất cả cácdomain controller trong domain đều duy trì một bản sao active directory Các tổchức nhỏ với một client chỉ cần một domain đơn với chỉ hai domain controller.Controller thứ hai sẽ là server trong trường hợp controller thứ nhất bị lỗi Do đó cảhai domain controller đều chứa cùng một bản sao khác nhau của Active Directory.Nhưng đôi khi các domain controller có thể chứa các bản sao khác nhau của ActiveDirectory Điều này xảy ra khi có sự bất đồng bộ giữa các cơ sở dữ liệu directorytrong các domain controller Tuy nhiên trong các tổ chức lớn, mỗi vị trí địa lý cần
Trang 9phải có các domain controller tách biệt để cung cấp đầy đủ khả năng sẵn sàng vàkhả năng chịu lỗi.
Các chức năng khác nhau domain controller bao gồm :
Duy trì một bản sao của cơ sở dữ liêu directory
Duy trì các thông tin của Active Directory
Nhân bản các thông tin được cập nhật đến các domain controller trongdomain: Khi tạo ra một sự thay đổi trong domain thì phải cập nhật thực tếnày đến Active Directory của một domain controller Domain controller
sẽ nhân bản sự thay đổi này đến các domain controller khác trongdomain Thông lượng của việc nhân bản này có thể được điều khiển mộtcách đặc biệt sao cho đảm bảo tốc độ truyền và không xảy ra lỗi Sự nhânbản này chắc chắn sẽ thay đổi ngay lập tức Ví dụ, nếu một user account
bị khoá nó được thay thế lập tức đến các domain controller khác, nó sửdụng thay thế multi – master Điều này có nghĩa là không cố định domaincontroller với vai trò master Domain controller được cập nhật sự thay đổiđầu tiên sẽ trở thành domain controller master và nó sẽ thực hiện việcnhân bản sự thay đổi này đến tất cả các domain controller khác trongdomain, do đó mô hình này được gọi là multi – master
Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đối tượngtrong Active Directory Nó kiểm tra tích hợp lệ của việc logon của người
sử dụng truy cập tài nguyên được yêu cầu
Cung cấp khả năng chịu lỗi trong môi trường đa domain controller
7 Vai trò của domain
Các vai trò được gán cho domain controller là :
Global Catalog Servers
Operation Masters
Các vai trò này là rất quan trọng bởi vì nếu các domain controller với các vaitrò đặc biệt là không sẵn sàng thì chức năng cụ thể của các vai trò này sẽ không sẵnsàng cho domain
7.1 Global Catalog Servers
Trang 10Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất
cả các đối tượng trong Active Directory Phần lớn,global catalog là lưu trữ thông tin
đó là các truy vấn thường được sử dụng Nói cách khác, nó chứa các thông tin cầnthiêt để tìm các đối tượng
Một global catolog cần được tạo trong domain controller đầu tiên của rừng.Domain controller này được gọi là Global Catalog Server Một global catalog serverduy trì một bản copy đầy đủ cơ sở dữ liệu của Active Directory của domain điềukhiển của nó Nó duy trì một phần copy của cơ sở dữ liệu Active Directory củadomain khác trong rừng Một Global Catalog Server cũng xử lý các truy vấn đượcxây dựng trở lại và cho ra kết quả
Hai vai trò quan trọng của một global catolog server là :
Nó giúp người sử dụng định vị trí đến các đối tượng trong ActiveDirectory được dễ dàng
Nó cho phép người sử dụng logon vào mạng Thực hiện điều này bằngcách cung cấp thông tin về thành viên nhóm đến các domain controllerkhi quá trình này được khởi tạo Trong trường hợp server global catalog
là không sẵn sàng, người sử dụng có thể logon đến mạng nếu họ là thànhviên của nhóm domain Administrator Mặc khác người sử dụng chỉ có thểlogon đến máy tính cục bộ Domain controller đầu tiên trong rừng làserver global catalog Nó có thể cấu hình để thêm domain controller vàoserver global catalog Điều này cân bằng thông lượng tài nguyên trênmạng và nạp vào server global catalog
7.2 Operation Masters
Operation Masters là domain controller được gán với một hoặc nhiều vai tròchủ yếu trong Active Directory của domain Các vai trò khác nhau của OperationMasters là:
Domain Naming Master: Domain Naming Master chịu trách nhiệm điều
khiển để thêm hoặc xoá các domain ra khỏi rừng Kể từ đó Domain NamingMaster chăm sóc các doman trong rừng, có thể một domain controller trongrừng với vai trò này