BÀI 2: CẤU HÌNH ACTIVE DIRECTORY VÀ DOMAIN CONTROLER I. GIỚI THIỆU DỊCH VỤ ACTIVE DIRECTORY 1. Dịch vụ Active Directory là gì ? Active Directory là tính năng quý giá nhất của Win2K Server. Nhiều tính năng hấp dẫn của Win2K sẽ không hoạt động được nếu không có Active Directory. Các chính sách nhóm (group policy), các cây (tree) và rừng (forest) của các miền (domain), sự triển khai tập trung các ứng dụng và những tính năng hay ho nhất của hệ thống tập tin phân tán trên một mạng Win2K Server sẽ không làm việc được nếu mạng đó chưa có máy nào đóng vai trò như một Active Directory server. 2. Nhóm cộng tác trong Windows 2000 Một Workgroup là một nhóm các máy tính, được nhóm lại theo một mụcđích chung nào đó. Trong bất kỳ tổ chức nào, cũng có các nhu cầu như vậy như các phòng kỹ thuật. Bằng cách cho phép nhân viên sử dụng chung các tập tin và tài nguyên, công việc sẽ được cải thiện hơn và hiệu suất được nâng cao hơn đáng kể. Trong một mạng ngang hàng, mỗi máy tính được xem như là một máy dịch vụ (Server), và có cơ sở dữ liệu riêng của nó. Từng máy tính có thể chia sẻ các tài nguyên mà nó có, như là các tập tin, ổ CD-ROM, máy in và máy Fax... Những ưu điểm của mạng ngang hàng là: - Tất cả các máy trạm đều có thể cho các máy khác sử dụng chung tài nguyên của nó. - Không cần một Server trung tâm. - Vấn đề bảo mật là tuỳ thuộc vào từng máy trạm. - Mỗi máy tính có cơ sở dữ liệu riêng của nó. - Việc thực hiện cấu hình dễ dàng và rẻ đối với các nhóm nhỏ. - Khi số lượng máy trong mạng tăng lên, sẽ có vấn đề phát sinh do chi phí quản trị tăng cao (quản lý rất nhiều máy với mỗi máy lại có cơ sở dữ liệu về tài khoản khác nhau) và vấn đề bảo mật khi phải quản lý với số lượng lớn. 3. Vùng trong Windows 2000Trong Win2K, không có Primary Domain Controller và Secondary Domain Controler. Có các loại máy dịch vụ là Domain Controller, Member Server và Standalone Controller. Khi lần đầu cài đặt một Win2K, bạn có thể chọn cho nó thuộc về một vùng có sẵn. Cũng sử dụng cách này khi muốn nâng cấp vùng hiện tại sang Win2K. Khi đang tạo ra một cấu trúc mới cho tổ chức trên Win2K, bạn có thể dễ dàng thay đổi vai trò của Server, nên cũng có thể cấu hình lại cho máy dịch vụ sau khi đã cài đặt, cho nó làm Domain Controller và tạo ra một vùng mới. Khi Win2K Server được cài đặt, chế độ mặc định của nó là mixed, có nghĩa là nó có thể hỗ trợ cả hai loại vùng của Windows NT.4.0 và Win2K. Tuy nhiên, việc hỗ trợ chỉ đầy đủ và các chức năng có hơn chỉ được sử dụng cho đến khi bạn chọn chế độ cho Server là Native Mode. Win2K Server đầu tiên được cấu hình là Domain Controller cũng sẽ trở thành Global Catalog Server và giữ một phần danh sách các tên Active Directory, nhằm giúp truy cập nhanh. Tất cả các Domain Controller đều có một bản sao của danh sách Active Directory và tạo thành một Namespace, cùng các giới hạn của quyền quản trị. Trong Win2K, thay vì phải tạo ra một vùng sẽ thực hiện việc này. Active Directory, Domain và Domain Name Service (dịch vụ tên vùng) được tích hợp chặt chẽ với nhau. Do vậy, một vùng trong Win2K không hoàn toàn giống như trong Windows NT 4.0.Bạn vẫn có thể có nhiều vùng trong Win2K, nhưng những vùng này không tạo thành các mô hình như trong Windows NT4.0. Trong Win2K chúng ta tạo thành một phần của Active Directory Namespace, được hiện thực bằng DNS và do đó trở thành các vùng con (Sub-Domain) hoặc là những phần con của Namespace. Ví dụ: nếu vùng được hiện thực thành địa chỉ xyz.Com và một vùng con được thêm vào, tên là tech, vậy thì Namespace của nó sẽ là tech.XYZ.Com. Khi một vùng con được thêm vào trong Windows 2000, các quan hệ tin cậy sẽ được tự động tạo ra giữa các vùng có sẵn và vùng mới tạo. Theo mặc định thì các quan hệ tin cậy là hai chiều và có tính bắc cầu, khác với Windows NT 4.0. II. CẤU HÌNH ACTIVE DIRECTORY 1. Active Directory & Hệ thống tên vùng (DNS) Trong Windows NT Server 4.0, Primary Domain Controller lưu trữ cơ sở dữ liệu tài khoản chính. Nếu PDC bị hỏng, mạng vẫn còn các BDC (BackUp Domain Controller), nhưng ta sẽ không thể thay đổi cơ sở dữ liệu này. Những thay đổi đối với PDC sẽ được chép sang các BDC khác trong mạng. Trong Win2K, không còn khái niệm Primary hoặc Backup Controller mà chỉ cóController. Mỗi Controller có Active Directory và mọi thay đổi sẽ được chép ngay sang các Controllers khác. Trong Win2K, vùng là một phần của Namespace (Active Directory) và tất cả các Contrloller trong cùng một vùng sẽ chứa toàn bộ Namespace của vùng này (chúng có thể tìm địa chỉ của bất kỳ tên nào trong vùng). Vùng là một phần của Active Directory Namespace. Các chính sách an toàn có tác dụng đối với toàn bộ vùng, vì vậy vùng được xem như là các vùng giới hạn để áp dụng các chính sách và để quản trị. Nếu có nhiều vùng, Active Directory Namespace sẽ có dạng cây gồm nhiều vùng có quan hệ tin cậy với nhau. Mỗi Domain Controller có một cơ sở dữ liệu như nhau và định nghĩa Namespace cho vùng này, thực hiện sao chép cho những Domain Controller khác trong cùng vùng. Một vùng có thể được thực hiện như cây các đơn vị tổ chức (chứa những đối tượng như máy tính, người dùng máy in và tập tin). Có thể gán quyền cho OU (Organizational Unit) để một số người dùng hoặc nhóm có thể tạo ra hoặc thay đổi các đối tượng trong những OU này. Việc quản trị trở nên dễ dàng hơn so với trong vùng Windows NT 4.0. Tên vùng được cấp phát bởi một nơi duy nhất có nhiệm vụ quản lý Domain Name System (hệ thống tên vùng) trong từng nước. Tổ chức sẽ thực hiện đăng ký với nơi này, để được cấp phát một tên miền và địa chỉ tương ứng. Ví dụ về tên vùng là Microsoft.com, do Microsoft sử dụng. Trong tên vùng này có phần là tên của tổ chức (Microsoft), một phần là từ nhận dạng cấp cao nhất (Top-level Identifier) là phần .com dùng để xác định loại tổ chức (com làviết tắt của Commercial là tổ chức thương mại). Các nhóm từ thông dụng thuộc loại này: .com Commercial: Thưng mại .edu Education: Giáo dục .gov Goverment: Các tổ chức phi quân sự của các chính phủ .org Organization: Các tổ chức phi lợi nhuận .net Network: Mạng Những quốc gia, ngoại trừ nước Mỹ sẽ có một mã riêng làm từ nhận dạng cấp cao nhất. Bất kỳ một máy nào trong mạng được gọi là máy host (máy chủ), sử dụng giao thức TCP/IP, đều được gán cho một Host name, ví dụ như www.microsoft.com là Host name của máy Web Server của công ty Microsoft. Tất cả những máy tính sử dụng giao thức TCP/IP đều phải có một Host name duy nhất và một địa chỉ TCP/IP duy nhất. Thông thường, việc quản lý vùng được giao cho tổ chức đã đăng ký tên vùng cho nên Microsoft sẽ tự mình quản lý những thông tin của vùng microsoft.com, ví dụ như các Host name và địa chỉ TCP/IP của máy. 2. Cấu trúc logic của Active DirectoryCấu trúc logic của Active Directory bao gồm có cấu trúc: - Các miền (Domains) - Các đơn vị tổ chức (Organizational Units) - Cây và rừng (Trees and forests) - Danh mục toàn cục (Global Catalog) • Miền (Domain) Trong Win2K Server danh sách thông tin về người dùng: tên, mật khẩu và các thông tin khác về những người được phép sử dụng mạng được lưu trữ trong một tập tin dùng chung là NTDS.DIT hoặc được nhiều người biết hơn là Active Directory. Bất kỳ máy nào có giữ một bản sao của NTDS.DIT đều được gọi là Active Directory server. Nhóm các máy tính mà phải tham khảo các máy Active Directory server để biết thông tin xác minh thì được gọi chung là một miền (domain). Mỗi máy trong nhóm đó đều có một tài khoản máy trong miền đó. (Hình 2.1)Hình 2.1: Cấu trúc Domain • Các đơn vị tổ chức (Organizational Unit) Đôi khi, miền có vẻ là một khu vực quá lớn nên khó lòng trao lại quyền điều khiển cho ai đó. Ví dụ, giả sử bạn đã một số người làm nhiệm vụ điều khiển thiết bị lưu dự phòng (backup operator) và giả sử rằng miền của bạn trải rộng về mặt địa lý. Có lẽ bạn sẽ chẳng hề muốn người operator ở Hà Nội lại phải vào Sài Gòn để điều hành các máy ở đó. Bạn muốn những người như vậy có được quyền điều hành backup operator nhưng không phải trên toàn mạng mà chỉ trên một tiểu bộ phận nào đó của mạng mà thôi.Hoặc, có thể bạn cần một đội ngũ điều hành viên có khả năng ấn định lại các mật khẩu, quản lý các máy in hoặc điều chỉnh cấp phép trên một nhóm server. Nhưng bạn không muốn những người đó có những năng lực như vậy trên toàn miền. Cũng có thể vì những lý do về địa lý (như Hà Nội và Sài Gòn) hoặc những lý do về tổ chức (ví dụ, một bộ phận nào đó muốn người thay đổi mật khẩu là người của riêng họ). Giải pháp cho mỗi trường hợp đó là chia nhỏ miền ra thành các đơn vị tổ chức (Organizational Unit tức OU) (Hình 2.2) Hình 2.2: Cấu trúc Organizational Units• Cây và rừng (Trees and Forests) Đối với những hệ thống đa miền đều cần xây dựng những hệ thống cấp bậc cho các miền gọi là cấu trúc cây. Microsoft đã thiết kế Win2K sao cho nó dùng DNS (Domain Name System) làm hệ thống giải đáp tên và DNS bẩm sinh đã có bản chất cấp bậc rồi, cho nên Win2K khai thác sự trùng hợp ngẫu nhiên đầy may mắn này và khuyến khích bạn thành lập các mạng đa miền có cấp bậc. Miền đầu tiên bạn tạo ra trong Win2K Server của một mạng đa miền được gọi là gốc (root) của cây ví dụ: knowledge.net. Các miền bên dưới gọi là miền con ví dụ: content.knowledge.net, authoring.knowledge.net. Win2K server giúp đỡ bạn trong việc này bằng cách tự động tạo các quan hệ ủy quyền giữa mỗi miền và miền con của nó. Ví dụ bạn chỉ tạo content.knowledge.net thì tự động sẽ có một mối quan hệ ủy quyền hai chiều giữa content.knowledge.net và knowledge.net. Dưới Win2K Server các mối quan hệ ủy quyền có tính chất bắc cầu (transitive) (Hình 2.3). Giả sử một tổ chức có hai miền là knowledge.net và congtrithuc.net, hai miền này không khớp trong cùng một cây. Bạn có thể chọn kết hợp hai miền Win2K server này vào trong một cấu trúc nhưng cấu trúc đó không thể là cây được bởi vì tên của các miền này không tương hợp với nhau. Thay vì vậy, bạn có thể chọn tạo ra một rừng. Rừng chỉ đơn giản là một nhóm các cây. Win2K đòi hỏi phải có một miền làm gốc của rừng: miền đầu tiên được tạo ralà gốc (Hình 2.3). Hình 2.3: Cấu trúc Tree and Forests • Danh mục toàn cục (Global Catalog) Win2K server giúp bạn xây dựng những mạng đa miền lớn bằng cách cho phép bạn tạo ra một cấu trúc đa miền gọi là cây (tree) hoặc một cấu trúc lớn hơn gọi là rừng (forests). Bất kỳ ai từ bất kỳ miền nào trong một cây hoặcrừng cũng đều có thể đăng nhập lên bất kỳ máy trạm nào trong một miền khác thuộc cùng một cây hoặc rừng đó. Từ đó nảy sinh vấn đề: mỗi lần bạn đăng nhập lên một máy trạm, máy trạm đó phải chẳng biết phải tra vấn đích xác trong miền nào vì vậy nó phải rà soát tuần tự từng miền một và hậu quả là cuộc đăng nhập sẽ rất chậm. Global Catalog (GC) được tạo ra nhằm giải quyết vấn đề đó. Nó là một phiên bản rút gọn của thông tin về mọi miền trong rừng (nó chỉ chứa một lượng thông tin nhỏ lấy từ cơ sở dữ liệu của Active Directory chẳng hạn như: rừng bao gồm những miền nào, và mỗi miền có những người dùng nào)3. Cấu trúc vật lý của Active Directory Cấu trúc vật lý của Active Directory gồm có: - Domain Controllers (Điều khiển vùng) - Sites (địa bàn) • Domain controllers (Điều khiển vùng)Bất kỳ máy nào có giữ một bản sao của cơ sở dữ liệu Active Directory (tập tin NTDS.DIT) đều được gọi là domain controller. Khi bạn cố gắng đăng nhập cào mạng từ máy trạm của bạn, máy trạm đó sẽ hỏi bạn là ai để nó có thể xác định là có cho phép bạn đăng nhập hay không; bạn trả lời bằng cách thông báo tên, mật khẩu và cho biết rằng bạn ở miền nào. Sau đó máy trạm đó sẽ tìm kiếm một Domain controller để hỏi xem có miền đó hay không và xác minh đặc điểm nhận diện của bạn (Hình 2.5) Hình 2.5: Mô hình Domain Controller• Sites (Địa bàn) Trong Windows NT 4 các domain controller sao chép dữ liệu qua lại giữa chúng với nhau do đó cần rất nhiều băng thông. Điều này rất khó khăn đối với mạng WAN. Win2K server cải thiện tình trạng đó bằng khái niệm về các site trong Active Directory. Mỗi khu vực mà nối kết bằng LAN thì được gọi là một site. Win2K server dùng những thông tin chi tiết về cách bố trí vật lý của mạng (mà bạn cung cấp cho nó) để tính ra nơi nào có những đường liên kết WAN. Sau đó nó làm hai việc: thứ nhất nó nén dữ liệu cần sao chép (với tỉ lệ 10:1) trước khi gửi đi và thứ hai: nó dùng những thông tin về chi phí tiếp vận (route costing information) mà bạn cung cấp để tính ra cách gửi chuyển tiếp tốt nhất những dữ liệu cần sao chép đó với chi phí rẻ nhất (Hình 2.6) Hình 2.6: Mô hình SiteIII. THIẾT LẬP MỘT MÁY WINDOWS 2000 ĐIỀU KHIỂN VÙNG 1. Giới thiệu về Windows 2000 Điều khiển vùng Như trên đã giới thiệu bất kỳ máy nào có giữ một bản sao của cơ sở dữ liệu Active Directory (tập tin NTDS.DIT) đều được gọi là domain controller hay Active Directory server. Một đơn vị nhỏ có một mạng LAN (Local Area Network) có thể chỉ cần duy nhất một domain với hai domain controller. Với một tập đoàn lớn với nhiều mạng cục bộ sẽ cần một hoặc nhiểu hơn hai domain controller ở mỗi một địa điểm để làm tăng tính sẵn sàng của hệ thống. Về cơ bản Active Diretory là một cơ sở dữ liệu lưu trữ rất nhiều thông tin quản trị như những thông tin: Zero Administration, yểm trợ việc nối mạng có tổ chức danh bạ, thay thế Browser tuy nhiên Domain controller chỉ lưu những thông tin rút gọn của cơ sở dữ liệu Active Directory chính vì vậy nó giảm rất nhiều băng thông mạng. 2. Các yêu cầu của Điều khiển vùng Để thiết lập điều khiển vùng bạn cần:- Xác định DNS namespace hệ thống của bạn - Máy tính của bạn đã có một phân vùng NTFS - Giao thức mạng TCP/IP đã được thiết lập trên hệ thống của bạn Ngoài ra bạn cần có những kiến thức căn bản về: Active Directory, Domain controller, thiết lập domain controller đối với những hệ thống đa miền, cách thức đồng bộ thư mục dữ liệu giữa các domain controller, Domain Name System (DNS), cách Active Directory tích hợp với DNS. 3. Thiết lập Điều khiển vùng (cài đặt Active Directory) Để thiết lập điều khiển vùng bạn hãy sử dụng trình thiết lập Active Directory được cung cấp sẵn (Active Directory installation wizard) bằng cách: 1. Bấm nút Start, chuyển đến Programs, chuyển đến Administrative Tools và sau cùng bấm Configure your Server 2. Bấm Active Directory và sau đó bấm Start để bắt đầu trình Active Directory installation wizard