Phần 5: Kiến trúc logic và physical trong Active Directory

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
Trong môi trường quản trị mạng chúng ta rất hay gặp thuật ngữ như Domain, Forest … Để hiểu rõ các thuật ngữ này hôm nay chúng ta sẽ cùng tìm hiểu về kiến trúc logic và physical của AD và định nghĩa các thuật ngữ trong hai kiến trúc này

I. Kiến trúc Logic của AD

  • Active Directory lưu trữ thông tin đối tượng trong mạng và thực hiện các dịch vụ, cung cấp các thông tin hữu dụng cho người dùng.
  • Active Directory tổ chức thông tin này theo một cơ cấu hợp lý và chuẩn hóa, đó là kiến trúc logic (logic tructure), kiến trúc logic giúp hiểu về tổ chức và tài nguyên trong mạng một cách rõ ràng.
  • Sở dĩ nó được gọi là kiến trúc logic là vì nó hoàn toàn tách biệt với các thiết bị vật lý cơ sở hạ tầng của AD.Kiến trúc logic mang lại lợi ích trong việc triển khai, quản lý, bảo mật mạng và các tài nguyên.
  • Kiến trúc logic bao gồm các thành phần sau :
1. Organizational Units :

  • Đơn vị tổ chức (Organizational Units) gọi tắt là OU. Điểm mạnh của AD là có thể quản lý hàng triệu đối tượng, với nhiều đối tượng như thế thì ta không thể nào nhớ hết nổi.
  • Để tìm kiếm thông tin về một đối tượng bạn không nên lần mò theo kiểu “dò kim đáy bể”, thay vì đó bạn tổ chức dữ liệu một cách khoa học, bạn nên sử dụng OU để nhóm các đối tượng có một số điểm chung.
  • Ví dụ cùng ban ngành, cùng nơi làm việc, cùng chức vụ … Lúc đó bạn tìm đối tượng dựa vào các “key word” có tính gợi mở, bạn sẽ khoanh vùng được nơi tìm kiếm xuống mức có thể tìm kiếm thủ công .
  • OU có thể chứa các đối tượng người dùng, máy tính, nhóm, và cũng có thể chứa các OU con.

Organization Unit Tree


2. Domains : miền (domain).

  • Với những hệ thống sửu dụng AD thì tất cả các máy tính đều thuộc về một miền nào đó, bắt buộc các các đối tượng phải sử dụng với một hậu tố là một tên miền giống nhau.
  • Trong domain có ít nhất một Domain Controller làm nhiệm vụ quản lý, nếu có nhiều các máy chủ quản lý (DC) thi chúng được đồng bộ hóa với nhau một phần hay toàn bộ(phụ thuộc và chế độ AddDC hay RODC), chúng làm nhiệm vụ quản lý chung miền đó.Domain

3. Domain tree : cây miền(domain tree)

  • là một tập hợp các miền thành một nhóm có kiến trúc phân cấp. Khi bạn thêm một domain mới vào domain tree, nó trở thành miền con của miền được gán thêm, miền được gán thêm là miền cha.
  • Domain đầu tiên trong domain tree được gọi là root domain.

3. Forest : Rừng

  • tập hợp ít nhất 2 domain tree trở lên, các domain tree này có quan hệ tin tưởng hai chiều với nhau(Two way transitive trusts).
  • Để hiểu trust relationship các bạn có thể tham khảo bài viết:Trust Relationship trong Active Directory Các bạn có thể nhìn sơ đồ sau
Logic Structure Active Directory

II. Kiến trúc physical


  • Ngoài việc tổ chức theo kiến trúc logic, AD còn được tổ chức theo kiến trúc physical dựa trên nền tảng cơ sở hạ tầng.
  • Cấu trúc vật lý của AD được đại diện bởi một tập hợp các thành phần vật lý, khi cấu hình chính xác sẽ tối ưu hóa việc truyền tải của việc đồng bộ (replication) và xác thực(authentication) để phù hợp với mạng vật lý từng trường hợp cụ thể.
  • Physical structure của AD gồm 2 thành phần : site và Domain Controller
​1. Site :

  • Site là một thuật ngữ được dùng để nói về vị trí địa lý của các domain.
  • Khi các domain được đặt ở những nơi cách xa nhau về mặt địa lý nhưng có quan hệ với nhau thì từng nơi sẽ tập hợp những Domain Controller lại thành một site để thuận tiện cho việc đồng bộ cũng như xác thực.
site-physical struture-Acitve Directory

  • Trong ví dụ trong hình vẽ trên ta thấy site Hà Nội đại diện cho DC1, DC2, và DC3, còn site HCM đại diện cho DC4, DC5.
  • Ở đây tôi giả định rằng HN là trụ sở chính còn HCM là chi nhánh, tại chi nhánh nhân viên phải đăng nhập vào domain để làm việc.Vấn đề sảy ra là đường truyền có hạn không thể đáp ứng được nhu cầu.
  • Giải pháp đề ra để giải quyết vấn đề là tạo ra các domain con, tương ứng sẽ sinh ra một site. Và các site này đồng bộ với nhau theo một lịch trình đặt sẵn phù hợp.Lúc này vấn đề đã được giải quyết.
2. Domain Controller :

  • Domain Controller là một server chạy Windows Server và dịch vụ Active Directory Domain Service, nó có nhiệm vụ quản lý tất cả các đối tượng trong domain.
  • Một domain có thể có 1 hay nhiều domain controller, mỗi domain controller đều lưu dữ liệu của Domain Directory. Domain Controller làm nhiệm vụ xác thực users và đảm bảo các chính sách bảo mật được thực thi.
Domain Controller

 
Last edited by a moderator:

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu