Active Directory Domain Services in computer network - Active Directory Domain Services trong mạng máy tính (phần 1)
I. Khái niệm cơ bản về Active Directory Domain Services (AD DS)
1. Định nghĩa và vai trò của Active Directory Domain Services trong mạng máy tính
Thư mục (Directory) là cấu trúc phân cấp được sử dụng để lưu trữ và tổ chức thông tin trong một hệ thống máy tính hoặc mạng. Cấu trúc này cho phép người dùng và các ứng dụng tìm kiếm, truy cập và quản lý dữ liệu một cách hiệu quả. Đối với người dùng Window, chúng ta quen thuộc với các thư mục Downloads, Documents, ... Với người dùng Linux, có thể kể đến thư mục home/ hoặc etc/ ...
Active Directory (AD) là một dịch vụ thư mục được Microsoft phát triển cho các mạng sử dụng Windows domain, cung cấp các cơ chế cho việc lưu trữ, quản lý và truy cập thông tin về tài nguyên và người dùng trong một môi trường mạng. Domain services là một dịch vụ cốt lõi cung cấp khả năng quản lý danh tính và quyền truy cập tập trung trong một môi trường mạng Windows.
Như vậy, có thể hiểu Active Directory Domain Services (AD DS) là một dịch vụ thư mục được thiết kế để lưu trữ thông tin về các tài nguyên trong một mạng máy tính và cung cấp cách thức tìm kiếm và truy cập thông tin đó. AD DS là một phần không thể thiếu của hệ thống quản lý danh tính và quyền truy cập trong môi trường Microsoft Windows.
AD DS giúp quản lý mạng rộng lớn một cách hiệu quả thông qua dịch vụ đăng nhập đơn, cung cấp quyền truy cập và quản lý quyền dựa trên các quy tắc chặt chẽ. AD DS cũng giúp tổ chức và bảo vệ thông tin, tài nguyên mạng, đồng thời cho phép quản trị viên đặt ra các chính sách và thực thi các chính sách đó trong môi trường mạng.
2. Lịch sử phát triển và phiên bản của Active Directory Domain Services
AD DS được giới thiệu lần đầu tiên với Windows 2000 Server và đã trải qua nhiều cải tiến trong các phiên bản Windows Server tiếp theo. Mỗi phiên bản mới đều mang lại tính năng mới, cải tiến hiệu suất, bảo mật và khả năng quản lý.
3. Sự khác biệt và liên kết với các dịch vụ mạng khác
Khác với các hệ thống quản lý cơ sở dữ liệu thông thường, AD DS không chỉ lưu trữ thông tin mà còn cung cấp một cơ chế phức tạp và an toàn để quản lý thông tin đó. Nó tích hợp sâu vào hệ thống quản lý quyền truy cập và chính sách bảo mật của Windows.
AD DS có thể tích hợp và làm việc cùng với các dịch vụ mạng khác như DNS, DHCP, và Group Policy, tạo ra một hệ thống quản trị mạng mạnh mẽ và linh hoạt.
II. Kiến trúc và thành phần của Active Directory
Active Directory (AD) được thiết kế với một kiến trúc phân cấp và linh hoạt, cho phép quản lý và tổ chức thông tin người dùng, thiết bị, ứng dụng và các dịch vụ khác trong một tổ chức lớn.
1. Cấu trúc Logical: Domains, Trees, và Forests
Organisational unit
Organisational unit (OU) là các container, trong đó người quản trị có thể nhóm các đối tượng (như người dùng, nhóm, và thiết bị) dựa trên yêu cầu quản lý và cấu trúc tổ chức.
Chúng cung cấp một cách phân chia linh hoạt cấu trúc thư mục thành các phân khúc dễ quản lý, giúp tổ chức và đơn giản hóa việc quản lý và áp dụng các chính sách.
OUs cho phép phân quyền quản trị, trong đó quản trị viên cấp cao có thể ủy quyền quyền quản trị một phần của thư mục cho người khác.
Domains
Domain được tập hợp từ các Organisational unit, được coi là đơn vị cơ bản trong kiến trúc của AD, chứa các tài nguyên mạng như người dùng, nhóm và thiết bị.
Mỗi domain trong AD là một phạm vi xác thực và chính sách, có cơ sở dữ liệu và chính sách bảo mật riêng.
Trees
Một tree là tập hợp các domains được tổ chức trong một cấu trúc phân cấp.
Các domains trong một tree chia sẻ một không gian tên liên tục và có thể truy cập lẫn nhau thông qua một mối quan hệ tin cậy.
Forests
Một forest là tập hợp các trees. Nó là ranh giới an ninh cao nhất trong AD.
Các forests có thể chia sẻ dữ liệu và có quan hệ tin cậy giữa các trees.
2. Cấu trúc Physical: Global catalogs, Domain controllers, và Sites
Global catalogs
Global Catalog là một bản sao phân tán chứa thông tin về mọi đối tượng trong forest.
Global catalogs cho phép tìm kiếm và truy cập nhanh chóng các đối tượng trong forest.
Domain controllers
Domain controllers là máy chủ quan trọng trong AD, chúng lưu trữ bản sao của cơ sở dữ liệu AD và xử lý các yêu cầu đăng nhập và các dịch vụ thư mục.
Các domain controllers trong cùng một domain đồng bộ hóa dữ liệu với nhau.
Sites
Sites biểu diễn cấu trúc vật lý của mạng và thường được sử dụng để kiểm soát lưu lượng mạng và tối ưu hóa đồng bộ hóa.
Mỗi site chứa một hoặc nhiều domain controllers và có thể được sắp xếp dựa trên kết nối mạng và tốc độ.
3. Thành phần dữ liệu: Objects, Attributes, và Schemas
Trong cấu trúc của Active Directory, thông tin về người dùng, nhóm, thiết bị, và tài nguyên khác được tổ chức thành các đối tượng cụ thể. Mỗi đối tượng chứa một tập hợp các thuộc tính cung cấp thông tin chi tiết về đối tượng đó.
Objects
Mọi thực thể trong AD, từ người dùng, máy chủ, máy in, đến nhóm và dịch vụ, được biểu diễn dưới dạng đối tượng (Objects).
Mỗi đối tượng có một tập hợp duy nhất các thuộc tính như tên, địa chỉ, số điện thoại, và nhiều thông tin khác.
Ví dụ, đối tượng người dùng "John Doe" có thể chứa thông tin như tên đăng nhập, mật khẩu, số điện thoại, và địa chỉ email.
Attributes
Các thuộc tính là thông tin cụ thể được lưu trữ trong mỗi đối tượng. Chúng định nghĩa thông tin của đối tượng và có thể bao gồm tên, địa chỉ email, loại tài khoản, và các chi tiết khác.
Ví dụ các thuộc tính của đối tượng "John Doe" trên:
givenName = John
sn = Doe
mail = johndoe@viblo.com
telephoneNumber = +123456789
Các thuộc tính của đối tượng có thể được truy cập và quản lý thông qua các công cụ AD như Active Directory Users and Computers (ADUC) hoặc thông qua các script và tự động hóa.
Schemas
Schema của AD là một định nghĩa toàn cục về các loại đối tượng và thuộc tính có thể được tạo trong AD.
Schema đảm bảo rằng cơ sở dữ liệu thư mục duy trì một cấu trúc nhất quán và có thể mở rộng, bằng cách xác định cách đối tượng được tạo và lưu trữ, và loại thuộc tính mà chúng có thể chứa.
Ví dụ: Schema quy định rằng đối tượng người dùng phải có thuộc tính như givenName
, sn
, mail
, và telephoneNumber
. Nếu một ứng dụng yêu cầu một thuộc tính mới, như department
, schema phải được mở rộng để bao gồm thuộc tính mới này trước khi nó có thể được thêm vào các đối tượng người dùng.
Mặc dù schema có thể được mở rộng hoặc sửa đổi, nhưng cần phải thực hiện cẩn thận để tránh ảnh hưởng đến tính ổn định và khả năng tương thích của môi trường AD.
III. Cài Đặt và Cấu Hình Active Directory
Cài đặt và cấu hình Active Directory Domain Services (AD DS) là một quá trình quan trọng và nền tảng để tạo ra một môi trường mạng an toàn và quản lý hiệu quả.
1. Yêu cầu hệ thống và chuẩn bị cài đặt
Kiểm tra yêu cầu hệ thống
AD DS sẽ được cài đặt trên hệ điều hành Window Server. Lưu ý rằng hệ điều hành chúng ta sử dụng thường là Window Home/Window Desktop - hệ điều hành thông thường cung cấp môi trường làm việc cho người dùng sử dụng các ứng dụng, phần mềm một cách dễ dàng. Trong khi Window Server là hệ điều hành máy chủ, giúp quản trị viện quản lý cơ sở hạ tầng, hệ thống kỹ thuật, người dùng.
Đảm bảo rằng máy chủ đáp ứng các yêu cầu về phần cứng và phần mềm cho Windows Server. Trong bài viết này tôi sẽ demo cài đặt Window Server 2019 trên nền tảng máy ảo VMWare.
Cấu hình cơ bản máy chủ
Bạn đọc có thể đặt tên máy chủ tại Server Manager > Local Server > Computer name, như hình vẽ server đang có tên Viblo-WinServer:
Tại đây cũng có thể xem được cái thông tin khác như RAM, Disk space, ...
Tại Control Panel > Network and Internet > Network Connections > Ethernet0 > Details chúng ta xem được các thông số IPv4 (192.168.81.132) và IPv4 Default Gateway (192.168.81.2), IPv4 DNS Server (192.168.81.2), ...
Bạn đọc cũng có thể tự thiết lập tại Control Panel > Network and Internet > Network Connections > Ethernet0 > Properties > Internet Protocol Version 4 (TCP/IPv4) > Properties
Cuối cùng, đảm bảo rằng máy chủ có kết nối mạng ổn định.
Cập nhật hệ thống
Cài đặt các bản cập nhật mới nhất cho Windows Server.
2. Quy trình cài đặt AD DS
Cài đặt role AD DS
Chúng ta sử dụng Server Manager > Add roles and features và làm theo hướng dẫn để thêm role Active Directory Domain Services:
Mục Service role chọn Active Directory Domain Services:
Cấu Hình AD DS
Sau khi cài đặt role, mở Server Manager, menu xuất hiện thêm role AD DS:
Chọn mục AD DS, click vào biểu tượng Notifications, sau đó chọn Promote this server to a domain controller.
Kết quả xuất hiện:
Tạo Mới Forest và Domain:
Chọn Add a new forest và nhập tên domain mong muốn (ví dụ: viblo.com).
Đặt mức độ chức năng của forest và domain (mục Forest functional level và Domain functional level)
Đặt mật khẩu cho tài khoản Directory Services Restore Mode (lưu ý chọn một mật khẩu thỏa mãn policy mật khẩu mạnh).
Cài Đặt và Cấu Hình DNS:
Nếu chưa có DNS, hệ thống sẽ đề nghị cài đặt dịch vụ DNS. DNS là cần thiết cho AD DS để hoạt động đúng cách. Đặt cấu hình DNS và đảm bảo nó tích hợp với AD DS.
Xác Nhận và Cài Đặt:
Xác nhận các lựa chọn và click Install. Trong trường hợp tài khoản Administrator của các bạn chưa được đặt mật khẩu sẽ không đủ yêu cầu, các bạn có thể đặt mật khẩu tại Computer management > Computer management (local) > System Tools > Local Users and Groups > Users > click chuột phải vào Administrator > Set password
Thực hiện Prerequisites Check thành công, chọn Install:
Sau khi cài đặt, máy chủ sẽ khởi động lại.
3. Cấu hình ban đầu và quản lý Domain Controllers
Sau khi khởi động lại, đăng nhập và mở Server Manager để kiểm tra trạng thái của AD DS.
Sử dụng Tools > Active Directory Users and Computers để xem cấu trúc domain mới và bắt đầu quản lý người dùng, nhóm, và các đối tượng khác.
Tài liệu tham khảo
- https://www.geeksforgeeks.org/introduction-of-active-directory-domain-services/
- https://csc-knu.github.io/sys-prog/books/Andrew%20S.%20Tanenbaum%20-%20Computer%20Networks.pdf
- https://www.ucg.ac.me/skladiste/blog_44233/objava_64433/fajlovi/Computer%20Networking%20_%20A%20Top%20Down%20Approach,%207th,%20converted.pdf
All rights reserved