Kiến thức cơ bản về mạng: Phần 6 - Windows Domain
Thảo luận chi tiết và phân tích kỹ lưỡng về Windows domain.
Trong một số bài trước của loạt bài này các bạn đã được giới thiệu một số khái niệm về domain (miền, tức là một vùng mạng được quan tâm nhất định) và domain controller (bộ quản lý miền). Tiếp tục với những kiến thức cơ sở nhất, hôm nay chúng tôi giới thiệu với bạn đọc một khái niệm khác: Windows domain. Có một số điều đã quen và cũng có một số điểm mới khác. Chúng ta hãy cùng xem chúng là cái gì.
Như đã giải thích trong phần 5, domain bây giờ không còn lạ lẫm gì với các bạn. Microsoft đưa ra khái niệm domain đầu tiên trong Windows NT Server. Vào thời kỳ đó, mỗi domain là một vùng riêng biệt, thường sở hữu tất cả tài khoản người dùng của toàn bộ công ty. Một quản trị viên phải hoàn toàn điều khiển domain và dữ liệu bên trong nó.
Nhưng đôi khi domain đơn riêng rẽ không mang tính thiết thực. Chẳng hạn, nếu một công ty có chi nhánh ở một vài thành phố khác nhau. Khi đó mỗi chi nhánh cần sẽ cần phải có một domain riêng, gây lãng phí và rất tốn kém. Trường hợp phổ biến khác là khi một công ty mua lại công ty khác. Tất nhiên hai công ty thường có hai domain khác nhau. Khi sát nhập lại thành một, chẳng nhẽ lại phải tiếp tục duy trì hai domain riêng như vậy.
Nhiều khi người dùng ở miền này cần truy cập tài nguyên trên miền khác. Trường hợp này không phải hiếm gặp. Đưa ra giải pháp cho vấn đề này, Microsoft đã tạo cáctrusts hỗ trợ cho việc truy cập dễ dàng hơn. Bạn có thể hình dung hoạt động củatrust cũng giống như công việc bảo vệ an ninh ở sân bay vậy.
Tại Mỹ, hành khách thường phải xuất trình bằng lái xe cho nhân viên an ninh sân bay trước khi lên các chuyến bay nội địa. Giả sử bạn dự định bay tới một nơi nào đó trong địa phận nước Mỹ. Nhân viên an ninh tại sân bay không biết bạn là ai và chắc chắn là không tin bạn. Nhưng họ tin chính quyền bang Nam Carolina, nơi bạn sinh sống, xác nhận nhân thân và cấp bằng lái xe cho bạn. Do đó bạn có thể trình bằng lái xe Nam Carolina và nhân viên an ninh sân bay sẽ cho phép bạn lên máy bay mặc dù họ không cần tin cá nhân bạn là ai.
Domain trust cũng hoạt động theo cách như vậy. Giả sử bạn là người quản trị một domain có chứa tài nguyên mà người dùng ở domain khác cần truy cập. Nếu bạn không phải là quản trị viên trong foreign domain thì bạn không có quyền điều khiển ai là người được cấp tài khoản người dùng trong domain đó. Nếu tin tưởng quản trị viên của domain bạn muốn có mối liên hệ, bạn có thể thiết lập một trust (có thể hiểu là mộtuỷ thác) để domain của bạn "uỷ thác" các thành viên của mình trở thành thành viên của domain kia. Foreign domain được gọi là domain "được uỷ thác".
Trong bài trước tôi đã nhấn mạnh rằng domain controller cung cấp dịch vụ thẩm định chứ không phải là dịch vụ cấp phép. Điều này hoàn toàn đúng ngay cả khi các quan hệ uỷ thác được thiết lập. Thiết lập quan hệ uỷ thác tới foreign domain không cung cấp cho người dùng trong domain đó quyền truy cập vào bất cứ tài nguyên nào trong miền của bạn. Bạn vẫn phải gán quyền cho người dùng như đối với người dùng trong domain riêng của mình.
Ở phần đầu của bài này chúng ta có nói rằng trong Windows NT, mỗi domain là một môi trường riêng rẽ, tự chứa các nội dung bên trong và các uỷ thác được tạo ra theo kiểu cho phép người dùng ở domain này truy cập tài nguyên trong domain khác. Các khái niệm đó cho đến nay vẫn đúng một phần, nhưng mô hình domain thì thay đổi một cách đáng kinh ngạc khi Microsoft tạo ra Active Directory. Chắc bạn vẫn còn nhớ Active Domain được giới thiệu đầu tiên trong Windows 2000 và hiện nay vẫn còn được dùng trong Windows Server 2003. Chắc chắn Active Directory sẽ quay trở lại sớm trong Longhorn Server, phiên bản hệ điều hành server mới nhất sắp ra mắt của Microsoft.
Một trong những điểm khác nhau chính giữa domain kiểu Windows NT và domain Active Directory là chúng không còn duy trì tình trạng hoàn toàn riêng rẽ nữa. Trong Windows NT, không có cấu trúc mang tính tổ chức cho các domain. Từng domain hoàn toàn độc lập với nhau. Còn trong môi trường Active Directory, cấu trúc có tổ chức chính được biết đến là forest (kiểu cấu trúc rừng). Một forest có thể chứa nhiều nhánh (tree) domain.
Bạn có thể hình dung domain tree cũng giống như cây gia đình (hay còn gọi là sơ đồ phả hệ). Một cây gia đình gồm có: cụ, kỵ, ông bà, cha mẹ rồi đến con cái... Mỗi thành viên trong cây gia đình có một số mối quan hệ với thành viên ở trên và bên dưới. Domain tree cũng tương tự như vậy. Bạn có thể nói vị trí của một domain bên trong cây bằng cách nhìn vào tên nó.
Các miền Active Directory dùng tên theo kiểu DNS, tương tự như tên dùng cho website. Bạn hãy nhớ lại, trong phần 3 của loạt bài này tôi đã giải thích các server DNS xử lý đường dẫn URL cho trình duyệt Web như thế nào. Kỹ thuật giống như vậy cũng được dùng nội bộ trong môi trường Active Directory. DNS là tên viết tắt của Domain Name Server (Máy chủ tên miền). Một DNS server là thành phần bắt buộc cho bất kỳ triển khai Active Directory nào.
Để biết hoạt động đặt tên miền diễn ra như thế nào, chúng ta hãy cùng xem quá trình thiết lập một mạng riêng ra sao. Domain chính trong mạng tôi lấy ví dụ có tênproduction.com. Tôi không thực sự sở hữu tên miền Internet production.com, nhưng điều đó không thành vấn đề vì miền này hoàn toàn riêng tư và chỉ có thể truy cập được từ bên trong mạng riêng của tôi.
Miền production.com được coi là domain mức đầu. Nếu đây là miền Internet, nó sẽ không giữ vị trí này nữa mà chỉ được xem là domain con của .com. Khi đó .com mới thực sự là domain mức đầu bảng. Mặc dù có một số điểm khác nhau không quan trọng lắm, nhưng nguyên tắc cơ bản giống như vậy vẫn được giữ nguyên. Tôi có thể dễ dàng tạo một domain con của production.com bằng cách tạo tên miền khác trongproduction.com, ví dụ sales.production.com chẳng hạn. Thậm chí còn có thể tạo một domain "cháu" như widgets.sales.production.com. Bạn có thể dễ dàng nói vị trí của một domain bên trong domain tree, chỉ cần nhìn vào số khoảng cách trong tên của miền.
Như trước đã đề cập, một forest Active Directory có thể chứa một số domain tree. Bạn không bị giới hạn tạo các single domain tree trong forest này. Mạng riêng của tôi dùng hai domain tree: production.com và test.com. Domain test.com bao gồm tất cả server trong quá trình thử nghiệm với một số kỹ thuật khác nhau. Còn production.com domain chứa các server thực sự dùng trong hoạt động kinh doanh. Domain này là mail server và một số file server.
Điểm đáng chú ý là khả năng tạo nhiều cây domain, cho phép bạn phân tách được mạng của mình, làm cho nó có ý nghĩa nhất với khả năng quản lý trong tương lai. Ví dụ, giả sử một công ty có năm văn phòng ở năm thành phố khác nhau. Công ty có thể dễ dàng tạo một rừng Active Directory gồm năm cây domain, mỗi cây cho một thành phố. Lúc đó mỗi chi nhánh trên một thành phố sẽ cần một quản trị viên. Và quản trị viên đó hoàn toàn tự do tạo các domain con cho domain tree của họ nếu thấy cần thiết.
Ưu điểm của kiểu cấu trúc này là tất cả domain đều nằm trong một forest chung. Điều này có nghĩa là hoạt động quản trị điều khiển từng domain riêng hay các domain tree được phân phối cho từng quản trị viên ở mỗi thành phố khác nhau. Còn quản trị viên forest cuối cùng sẽ duy trì hoạt động điều khiển toàn bộ domain trong forest. Hơn nữa, các mối quan hệ uỷ thác được đơn giản hoá rất hiệu quả. Mọi domain trong forest thiết lập các uỷ thác tự động tới domain khác. Và nó hoàn toàn có thể thiết lập các trust này với forest hoặc domain mở rộng.
Kết luận
Trong bài này chúng ta đã nói về cấu trúc có tổ chức được dùng trong việc tạo các miền Active Directory. Trong phần tiếp theo của loạt bài này chúng tôi sẽ giới thiệu với bạn các thức hoạt động truyền thông mạng làm việc trong mội trường Active Directory như thế nào.