Ứng dụng Active Directory Domain Services cho doanh nghiệp

Khi mà hệ điều hành Windows Server 2003 đã đi đến đoạn cuối của quá trình hỗ trợ kĩ thuật (end of support) thì DN (DN) bắt đầu nghĩ đến việc chuyển đổi HĐH lên phiên bản Windows Server 2008 (WS2k8). Tuy nhiên vấn đề hỗ trợ kĩ thuật không phải là lý do duy nhất khiến DN bỏ tiền ra nâng cấp mà còn do WS2k8 ổn định hơn hẳn cũng như có rất nhiều cải tiến đáng kể như Server Core, Clustering, Active Directory, Bitlocker. Trong phiên bản 2008, Microsoft đã có một số thay đổi trong cách đặt tên cho các dịch vụ liên quan đến quản lý định danh và xác thực. Chẳng hạn như trong Windows Server 2003 người ta vẫn quen gọi chung là Active Directory nhưng ở WS2k8 thì nó được biết đến là Active Directory Domain Services (ADDS). Thay đổi này là cần thiết để phân biệt dịch vụ quản trị định danh và xác thực với các dịch vụ khác như AD RMS (quản lý quyền truy cập nội dung số), AD CS (cung cấp nền tảng xác thực PKI)…

ADDS sở hữu nhiều tính năng mơ ước mà DN đang muốn áp dụng đặc biệt là các DN có quy mô lớn như:

Nền tảng xác thực SSO đa nền cho ứng dụng: Đây là thay đổi lớn so với phiên bản 2003. Với ADDS trên Ws2k8 thì DN có thể xây dựng dụng ứng xác thực SSO thông qua AD Web Services. Với thay đổi này những ứng dụng được viết trên Java hoặc các nền tảng ngoài Dotnet có thể dễ dàng xác thực trên ADDS.

image

Hình 1: ADDS trên Windows Server 2008 R2 hỗ trợ xác thực ứng dụng qua Web Services

Cách mạng máy chủ Domain Controller cho chi nhánh: Khi ứng dụng AD trên nền tảng 2k3 thì dữ liệu người dùng được chia sẻ và lưu trữ trên tất cả máy chủ DC trong domain bất kể nó được nằm ở văn phòng chính hay một chi nhánh heo hút nào đó. Do đó vấn đề đặt máy chủ DC ở chi nhánh như thế nào vừa đảm bảo hiệu năng hoạt động lại vừa an toàn luôn làm AD admin đau đầu. May mắn thay ở WS2k8, Microsoft đã đưa ra công nghệ máy chủ DC chỉ đọc (Read Only Domain Controller RODC) vốn chỉ lưu trữ những tài khoản người dùng và máy tính ở chi nhánh nó được thiết lập. Hơn thế nữa RODC còn có thể được kết hợp với Bitlocker để mã hóa toàn bộ ổ cứng của máy chủ cũng như được thiết lập ở chế độ dòng lệnh Server Core. Sự kết này đem lại khả năng giảm thiểu thông tin người dùng xuống mức thấp nhất có thể với độ ổn định rất cao mà lại chiếm rất ít tài nguyên do được triển khai dạng dòng lệnh.

image

Hình 2: RODC được triển khai dưới dạng dòng lệnh trên Server Core.

Triển khai và mở rộng ADDS không sử dụng đường truyền: Trong AD 2k3, khi DN triển khai AD trên diện rộng thì máy chủ DC ở những nơi mới được triển khai sẽ phải đồng bộ toàn bộ dữ liệu từ các máy chủ AD ở xa qua đường WAN. Điều này sẽ làm tốn rất nhiều băng thông tại thời điểm đó làm ảnh hưởng đến các ứng dụng quan trọng khác như Core Banking trong ngân hàng chẳng hạn. Để hạn chế thời gian và chi phí đồng bộ qua đường WAN, Microsoft đưa ra cơ chế đồng bộ dữ liệu cho máy chủ DC mới Install from media (IFM). Với IFM, AD IT có thể xuất toàn bộ CSDL của ADDS ra đĩa cứng hoặc DVD và chuyển nó đến chi nhánh. Khi đó máy chủ DC mới sẽ đồng bộ dữ liệu ADDS từ đĩa cứng chứ không phải qua mạng như trước đây.

Khôi phục dữ liệu đơn giản hơn với AD Recycle Bin: Ở phiên bản cũ việc khôi phục dữ liệu thường rất phực tạp và phải trải qua nhiều bước khôi phục dữ liệu từ backup và xác nhận với các máy chủ DC khác trong domain. Thì với AD 2k8 AD Admin sẽ cảm thấy cuộc sống của mình nhẹ nhàng hơn nhìu vì các đối tượng user hay computer sẽ chỉ bị xóa đi về mặt luận lý và chúng được lưu trong 180 ngày ở trạng thái recycle bin trước khi bị xóa cứng. Điều này giúp cho IT khi cần có thể phục hồi nhanh chóng mà không cần phải sử dụng dữ liệu từ backup.

Vận hành AD 100% bằng dòng lệnh: Powershell là một công cụ scripting cực mạnh đã được đưa vào Windows Vista/Exchange 2007. Và từ phiên bản Windows Server 2008 R2, Microsoft bổ sung thêm 90 bộ ứng dụng Cmdlet powershell cho AD DS. Với Powershell AD Cmdlets, AD admin có thể dễ dàng thực hiện mọi lệnh làm được với GUI cho phép thực hiện dễ dàng các tác vụ có tính lập lại như truy cập vào AD DS Database, liệt kê đối tượng user hay group, enable/disable user hay group, kiẻm tra thông tin về password policy, khởi tạo hay xóa OU. Ngoài ra Powershell có thể được dùng trong lập trình ứng dụng tương tác với AD DS.

Nhiều cải tiến khác: Ngoài những tính năng quan trọng kể trên ADDS còn hỗ trợ nhiều phương thức mới giúp tăng tính hiệu quả trong quản trị như Group Policy Preference, thông tin đăng nhập của user hay Fine Grained password. Thêm vào đó khả năng hỗ trợ gia nhập domain không cần truy cập mạng (Offline Domain Join) giúp cho các tình huống triển khai máy trạm ảo hàng loạt hay ở các chi nhánh chưa có kết nối mạng trở thành hiện thực.

ADDS là không đơn thuần là công cụ giúp DN quản trị tập trung mà nó đóng vai trò là nền tảng hạ tầng cho các ứng dụng trong DN cũng như các thành phần hạ tầng cốt lõi khác như email, DNS, DHCP. Ở các DN có quy mô lớn ở Vietnam khi tiến hành xây dựng hệ thống AD trên nền tảng 2k hay 2k3 thường thực hiện vào khoảng những năm 2000-2006. Khoảng thời gian đó hạ tầng mạng ở VN còn chưa thực sự tốt nên thiết kế AD thường có xu hướng theo mô hình phân tán. Khi đó các máy chủ DC được đặt ở các chi nhánh cấp hai để đảm bảo hiệu xuất đăng nhập máy tính của người dùng được đảm bảo. Tuy nhiên hiện nay với chi phí đường truyền hợp lý hơn rất nhiều cũng như sự ra đời của các công nghệ WAN tốc độ cao giá rẻ tiền như Megawan chẳng hạn thì DN lại có xu hướng kéo máy chủ DC về chi nhánh cấp vùng chứ không để ở từng chi nhanh như trước. Các vấn đề khác cũng được đặt ra khi DN triển khai hay nâng cấp hệ thống lên nền tảng ADDS như: chuyển mô hình công ty thành mô hình tập đoàn, xây dựng hệ thống quản trị định danh đa miền cho toàn tập đoàn với mỗi cty con là một cây trong rừng ADDS, sự gia tăng về số lượng ứng dụng lẫn người dùng cuối. Do đó DN cần có sự chuẩn bị kĩ lưỡng cho việc triển khai hay nâng cấp.

Về mặt kiến trúc ADDS vẫn tuân theo phương thức các máy chủ DC đồng cấp (tức là khả năng đọc/ghi dữ liệu AD như nhau) và các vai trò máy chủ FSMO như phiên bản AD trên 2k3. Tuy nhiên trong ADDS có bổ sung thêm vai trò máy chủ DC RODC, do đó thiết kế cũng như quản lý sẽ khác hơn trước đây. Như trong hình 3 chúng ta có thể thấy các chi nhánh như Hải Phòng, Đà Nẵng sẽ không cần IT chuyên trách mà có thể sẽ là máy chủ RODC và việc quản lý vận hành sẽ được tập trung văn phòng chính (VPC) ở HCM. Khi đó RODC ở Hải Phòng sẽ chỉ lưu các user ở Hải Phòng và khi có rủi ro an ninh xảy ra cho máy chủ này thì quản trị IT ở VPC chỉ cần xóa bỏ máy chủ RODC và reset toàn bộ mật khẩu người dùng ở Hải Phòng trên cùng một giao diện quản trị. Tuy nhiên việc lựa chọn thiết lập RODC hay DC bình thường ở chi nhánh còn phụ thuộc vào nhiều yếu tố chẳng hạn nếu chi nhánh có quá nhiều người dùng thì việc xác lập từng tài khoản trên RODC sẽ tốn rất nhiều công, chi nhánh có máy chủ đủ mạnh để cài HĐH 64bit cho DC đầy đủ không hoặc công ty đi theo mô hình quản trị phân tán và ở chi nhánh có phòng máy chủ chuyên dụng.

image

Hình 3: Thiết kế ADDS cho mô hình phân tán với RODC.

Việc thiết kế domain và không gian tên DNS thường chưa được quan tâm đúng mực nên thường không đảm bảo khả năng mở rộng và tính ổn định của hệ thống ADDS. Chúng tôi khuyến nghị các DN có quy mô từ trung bình trở lên nên dựng riêng một domain gốc (root domain) chẳng hạn như hình 3 là corp.vn. Domain này sẽ chứa các FSMO chính của rừng (forest) và không chứa bất cứ tài khoản người dùng hay máy tính nào. Từ domain gốc đó chúng ta sẽ thiết lập domain tài nguyên (resource domain) cho DN chẳng hạn abc.corp.vn chứa tất cả các tài khoản và tài nguyên của hệ thống. Tùy theo mô hình quản trị tập trung hay phân tán mà domain abc.corp.vn có được chẻ nhỏ ra thành hcm.abc.corp.vn, cantho.abc.corp.vn hay không.

image

Hình 4: Thiết kế ADDS cho mô hình phân tán với RODC.

Trong hình 4 nhiều người sẽ tự hỏi tại sao DNS cho công ty ABC sẽ không đi theo dạng corp.abc.vn mà lại là abc.corp.vn. Đây chính là lời giải về không gian tên cho vấn đề mà nhiều công ty có quy mô tập đoàn đang vướng phải khi ban đầu họ chỉ thiết lập dạng DNS theo công ty của mình như abc.vn chẳng hạn, nhưng khi mở rộng ra mô hình tập đoàn và cty có yêu cầu xây dựng hệ thống Forest chung cho tất cả cty thành viên, thì việc đặt tên congtya.local.abc.vn sẽ làm giảm tính độc lập của các cty con trong cách đặt tên. Do đó nếu chúng ta thiết lập root domain là corp.vn ngay từ đầu thì khi rẽ nhánh DNS cho các cty con sẽ vẫn đảm báo tính độc lập.

Ngoài yếu tố DNS và lựa chon RODC ra còn rất nhiều yếu tố ảnh hưởng đến việc thiết lập kiến trúc ADDS cho DN như mô hình quản trị, yêu cầu an ninh, quy mô hệ thống, dung lượng đường truyền, kiến trúc mạng, mô hình tổ chức, yêu cầu chính sách, các ứng dụng chạy trên nền ADDS… Do đó chúng tôi khuyến cáo các DN nên yêu cầu các công ty dịch vụ CNTT tiến hành khảo sát để có thiết kế phù hợp nhất cho hệ thống của DN mình. Ngoài ra DN có thể tự khảo sát nhanh hiện trạng của công ty mình theo tài liệu hướng dẫn thiết kế IPD (Infrastructure Plan and Deploy) ADDS trên nền tảng Windows Server 2008 R2.

image

Hình 5: Quy trình thiết kế ADDS trên nền tảng Windows Server 2008.

Ngoài các đặc tính thiết kế của ADDS, DN cũng cần suy xét đến hạ tầng máy chủ hiện có sẵn sàng cho việc cài đặt ADDS hay không vốn dĩ chỉ chạy được trên nền tảng 64bit. Hoặc nếu DN đang dùng AD 2k3 thì việc nâng cấp lên sẽ được tiến hành như thế nào. Ngoài ra còn một yếu tố vô cùng quan trọng là các ứng dụng cũ xác thực trên nền tảng 2k3 có sẵn sàng với ADDS không. Đôi khi việc kiểm tra khả năng tương thích của ứng dụng với ADDS chiếm đến 75% thời gian hoạch định và thử nghiệm ADDS.

Tổng kết lại chúng ta thấy rõ ADDS là một nền tảng thực sự tốt và sẵn sàng cho sự phát triển của DN trong 5 năm tới với nhiều tính năng ưu việc như RODC, quản trị bằng dòng lệnh, offline domain join, hỗ trợ điện toán đám mây. Tuy nhiên để nâng cấp hoạch triển khai ADDS cần có sự chuẩn bị và thử nghiệm kĩ lưỡng.

Advertisements

Trả lời

Please log in using one of these methods to post your comment:

WordPress.com Logo

Bạn đang bình luận bằng tài khoản WordPress.com Đăng xuất / Thay đổi )

Twitter picture

Bạn đang bình luận bằng tài khoản Twitter Đăng xuất / Thay đổi )

Facebook photo

Bạn đang bình luận bằng tài khoản Facebook Đăng xuất / Thay đổi )

Google+ photo

Bạn đang bình luận bằng tài khoản Google+ Đăng xuất / Thay đổi )

Connecting to %s