Ứng dụng Active Directory Domain Services cho doanh nghiệp
Hệ điều hành cho máy chủ Windows Server 2003 đã chuyển vào giai đoạn cuối của quá trình hỗ trợ kĩ thuật (end of support) và đây là thời điểm thích hợp cho các doanh nghiệp chuyển đổi sang phiên bản Windows Server 2008 (WS2k8).
“Hỗ trợ kĩ thuật không phải là lý do duy nhất để chuyển đổi sang phiên bản mới, theo nhận định của các chuyên gia thì WS2k8 ổn định hơn hẳn và có rất nhiều cải tiến vượt bậc thông qua các tính năng Server Core, Clustering, Active Directory, Bitlocker.”, ông Nguyễn Xuân Hoàng, Tổng giám đốc MISA nhận xét.
Trong phiên bản 2008, Microsoft đã có một số thay đổi trong cách đặt tên cho các dịch vụ liên quan đến quản lý định danh và xác thực. Tiêu biểu là Active Directory trong Windows Server 2003 được chuyển sang tên gọi Active Directory Domain Services (ADDS) trongWS2k8. Thay đổi này là cần thiết để phân biệt dịch vụ quản trị định danh và xác thực với các dịch vụ khác như AD RMS (quản lý quyền truy cập nội dung số), AD CS (cung cấp nền tảng xác thực PKI)...
“Nhìn chung, ADDS sở hữu nhiều tính năng mơ ước mà doanh nghiệp đặc biệt là các doanh nghiệp quy mô lớn đang muốn áp dụng”, Ông Vũ Nguyễn Cao Sơn, Chuyên viên Kỹ thuật Microsoft Việt Nam chia sẻ.
Trong phạm vi bài viết này, xin được chia sẻ cùng bạn đọc một số thông tin và tính năng tiêu biểu về ADDS dành cho doanh nghiệp.
Nền tảng xác thực SSO đa nền cho ứng dụng
Đây là thay đổi lớn so với phiên bản 2003. Doanh nghiệp có thể xây dựng ứng dụng xác thực SSO thông qua AD Web Servicestrên WS2k8 nhờ ADDS. Với thay đổi này những ứng dụng được viết trên Java hoặc các nền tảng ngoài Dotnet có thể dễ dàng xác thực trên ADDS.
 |
Hình 1: ADDS trên Windows Server 2008 R2 hỗ trợ xác thực ứng dụng qua Web Services |
Cách mạng máy chủ Domain Controller cho chi nhánh
Khi ứng dụng AD trên nền tảng 2k3 thì dữ liệu người dùng được chia sẻ và lưu trữ trên tất cả máy chủ DC trong domain bất kể nó được nằm ở văn phòng chính hay một chi nhánh heo hút. Do đó việc đặt máy chủ DC ở chi nhánh nhằm đảm bảo hiệu năng hoạt động lại vẫn an toàn luôn làm AD admin đau đầu. Trong WS2k8, Microsoft đưa ra công nghệ máy chủ DC chỉ đọc (Read Only Domain Controller RODC) vốn chỉ lưu trữ những tài khoản người dùng và máy tính ở chi nhánh nó được thiết lập.
“Hơn thế nữa RODC còn có thể được kết hợp với Bitlocker để mã hóa toàn bộ ổ cứng của máy chủ cũng như được thiết lập ở chế độ dòng lệnh Server Core. Sự kết này đem lại khả năng giảm thiểu thông tin người dùng xuống mức thấp nhất có thể với độ ổn định rất cao mà lại chiếm rất ít tài nguyên do được triển khai dạng dòng lệnh”, Ông Vũ Nguyễn Cao Sơn nhấn mạnh.
 |
Hình 2: RODC được triển khai dưới dạng dòng lệnh trên Server Core. |
Triển khai và mở rộng ADDS không sử dụng đường truyền
Trong AD2k3, khi DN triển khai AD trên diện rộng thì máy chủ DC ở những nơi mới được triển khai sẽ phải đồng bộ toàn bộ dữ liệu từ các máy chủ AD ở xa qua đường WAN. Điều này gây tốn băng thông tại thời điểm đồng bộ và ảnh hưởng đến các ứng dụng quan trọng khác như Core Banking trong ngân hàng chẳng hạn. Để hạn chế thời gian và chi phí đồng bộ qua đường WAN, Microsoft đưa ra cơ chế đồng bộ dữ liệu cho máy chủ DC mới Install from media (IFM). Với IFM, AD IT có thể xuất toàn bộ CSDL của ADDS ra đĩa cứng hoặc DVD và chuyển nó đến chi nhánh theo kiểu vật lý. Khi đó máy chủ DC mới sẽ đồng bộ dữ liệu ADDS từ đĩa cứng chứ không phải qua mạng như trước đây.
Khôi phục dữ liệu đơn giản hơn với AD Recycle Bin
Ở phiên bản cũ việc khôi phục dữ liệu thường rất phức tạp và phải trải qua nhiều bước khôi phục dữ liệu từ backup và xác nhận với các máy chủ DC khác trong domain. AD 2k8 giúp cho cuộc sống của quản trị viên trở nên dễ dàng hơn hẳn vì các đối tượng user hay computer sẽ chỉ bị xóa về lý thuyết và thông tin cũ được lưu 180 ngày ở trạng thái recycle bin trước khi xóa hẳn. Chức năng này giúp IT khi cần có thể phục hồi nhanh chóng mà không cần tới dữ liệu backup.
Vận hành AD 100% bằng dòng lệnh
Powershell là một công cụ scripting cực mạnh đã được đưa vào Windows Vista/Exchange 2007. Trong Windows Server 2008 R2, Microsoft bổ sung thêm 90 bộ ứng dụng Cmdlet powershell cho AD DS. “AD Admin có thể dễ dàng thực thi mọi lệnh trước đây phải sử dụng GUI. Điều này cho phép thực hiện dễ dàng các tác vụ có tính lặp lại như truy cập vào AD DS Database, liệt kê đối tượng user hay group, enable/disable user hay group, kiểm tra thông tin về password policy, khởi tạo hay xóa OU”, Ông Trần Văn Huệ, giám đốc Nhất Nghệ nhận xét. Ngoài ra Powershell có thể được dùng trong lập trình ứng dụng tương tác với AD DS.
Nhiều cải tiến khác
Ngoài những tính năng quan trọng kể trên ADDS còn hỗ trợ nhiều phương thức mới giúp tăng tính hiệu quả trong quản trị như Group Policy Preference, thông tin đăng nhập của user hay Fine Grained password. Thêm vào đó khả năng hỗ trợ gia nhập domain không cần truy cập mạng (Offline Domain Join) giúp cho các tình huống triển khai máy trạm ảo hàng loạt hay ở các chi nhánh chưa có kết nối mạng trở thành hiện thực.
ADDS là không đơn thuần là công cụ giúp DN quản trị tập trung mà nó đóng vai trò là nền tảng hạ tầng cho các ứng dụng trong DN cũng như các thành phần hạ tầng cốt lõi khác như email, DNS, DHCP. Ở các doanh nghiệp Việt Nam có quy mô lớn hệ thống AD trên nền tảng 2k hay 2k3 thường thực hiện vào khoảng những năm 2000-2006. Thời gian này hạ tầng mạng Việt Nam chưa thực sự tốt nên thiết kế AD thường có xu hướng theo mô hình phân tán. Khi đó các máy chủ DC được đặt ở các chi nhánh cấp hai để hiệu suất đăng nhập máy tính của người dùng được đảm bảo.Nhưng với chi phí đường truyền hiện tại hợp lý hơn rất nhiều, kèm theo công nghệ WAN tốc độ cao giá rẻ (như Megawan) thì doanh nghiệp lại có xu hướng đặt máy chủ DC về cấp trung tâm thay vì đặt tại chi nhánh. Khi triển khai hay nâng cấp hệ thống lên nền tảng ADDS bài toán cho doanh nghiệp còn là: chuyển mô hình công ty thành mô hình tập đoàn, xây dựng hệ thống quản trị định danh đa miền cho toàn tập đoàn với mỗi cty con là một cây trong rừng ADDS, sự gia tăng về số lượng ứng dụng lẫn người dùng cuối. Do đó DN cần có sự chuẩn bị kĩ lưỡng cho việc triển khai hay nâng cấp.
Về mặt kiến trúc ADDS vẫn tuân theo phương thức các máy chủ DC đồng cấp (tức là khả năng đọc/ghi dữ liệu AD như nhau) và các vai trò máy chủ FSMO như phiên bản AD trên 2k3. Tuy nhiên trong ADDS có bổ sung thêm vai trò máy chủ DC RODC, do đó thiết kế cũng như quản lý sẽ khác hơn trước đây. Như trong hình 3 chúng ta có thể thấy các chi nhánh như Hải Phòng, Đà Nẵng sẽ không cần IT chuyên trách mà có thể sẽ là máy chủ RODC và việc quản lý vận hành sẽ được tập trung văn phòng chính (VPC) ở HCM. Khi đó RODC ở Hải Phòng sẽ chỉ lưu các user ở Hải Phòng và khi có rủi ro an ninh xảy ra cho máy chủ này thì quản trị IT ở VPC chỉ cần xóa bỏ máy chủ RODC và reset toàn bộ mật khẩu người dùng ở Hải Phòng trên cùng một giao diện quản trị. Tuy nhiên việc lựa chọn thiết lập RODC hay DC bình thường ở chi nhánh còn phụ thuộc vào nhiều yếu tố chẳng hạn nếu chi nhánh có quá nhiều người dùng thì việc xác lập từng tài khoản trên RODC sẽ tốn rất nhiều công, chi nhánh có máy chủ đủ mạnh để cài HĐH 64bit cho DC đầy đủ không hoặc công ty đi theo mô hình quản trị phân tán và ở chi nhánh có phòng máy chủ chuyên dụng.
 |
Hình 3: Thiết kế ADDS cho mô hình phân tán với RODC. |
Việc thiết kế domain và không gian tên DNS thường chưa được quan tâm đúng mực nên thường không đảm bảo khả năng mở rộng và tính ổn định của hệ thống ADDS. Chúng tôi khuyến nghị các DN có quy mô từ trung bình trở lên nên dựng riêng một domain gốc (root domain) chẳng hạn như hình 3 là corp.vn.Domain này sẽ chứa các FSMO chính của rừng (forest) và không chứa bất cứ tài khoản người dùng hay máy tính nào. Từ domain gốc đó chúng ta sẽ thiết lập domain tài nguyên (resource domain) cho DN chẳng hạn abc.corp.vn chứa tất cả các tài khoản và tài nguyên của hệ thống. Tùy theo mô hình quản trị tập trung hay phân tán mà domain abc.corp.vn có được chẻ nhỏ ra thành hcm.abc.corp.vn, cantho.abc.corp.vn hay không.
 |
Hình 4: Thiết kế ADDS cho mô hình phân tán với RODC. |
Trong hình 4 nhiều người sẽ tự hỏi tại sao DNS cho công ty ABC sẽ không đi theo dạng corp.abc.vn mà lại là abc.corp.vn. Đây chính là lời giải về không gian tên cho vấn đề mà nhiều công ty có quy mô tập đoàn đang vướng phải khi ban đầu họ chỉ thiết lập dạng DNS theo công ty của mình như abc.vn chẳng hạn, nhưng khi mở rộng ra mô hình tập đoàn và cty có yêu cầu xây dựng hệ thống Forest chung cho tất cả cty thành viên, thì việc đặt tên congtya.local.abc.vn sẽ làm giảm tính độc lập của các cty con trong cách đặt tên. Do đó nếu chúng ta thiết lập root domain là corp.vn ngay từ đầu thì khi rẽ nhánh DNS cho các cty con sẽ vẫn đảm báo tính độc lập.
Ngoài yếu tố DNS và lựa chọn RODC ra còn rất nhiều yếu tố ảnh hưởng đến việc thiết lập kiến trúc ADDS cho DN như mô hình quản trị, yêu cầu an ninh, quy mô hệ thống, dung lượng đường truyền, kiến trúc mạng, mô hình tổ chức, yêu cầu chính sách, các ứng dụng chạy trên nền ADDS... Do đó chúng tôi khuyến cáo các DN nên yêu cầu các công ty dịch vụ CNTT tiến hành khảo sát để có thiết kế phù hợp nhất cho hệ thống của DN mình. Ngoài ra DN có thể tự khảo sát nhanh hiện trạng của công ty mình theo tài liệu hướng dẫn thiết kế IPD (Infrastructure Plan and Deploy) ADDS trên nền tảng Windows Server 2008 R2.
 |
Hình 5: Quy trình thiết kế ADDS trên nền tảng Windows Server 2008. |
Ngoài các đặc tính thiết kế của ADDS, DN cũng cần suy xét đến sự sẵn sàng của hạ tầng máy chủ cho ADDS vốn chỉ chạy trên nền tảng 64bit. DN đang dùng AD 2k3 thì cần suy xét phương thức phù hợp để nâng cấp lên phiên bản mới. Ngoài ra yếu tố quan trọng nhất là việc tương thích với ADDS của các ứng dụng cũ xác thực trên nền tảng 2K3. Đôi khi việc kiểm tra khả năng tương thích của ứng dụng với ADDS chiếm đến 75% thời gian hoạch định và thử nghiệm ADDS.
Tổng kết lại chúng ta thấy rõ ADDS là một nền tảng thực sự tốt và sẵn sàng cho sự phát triển của DN trong 5 năm tới với nhiều tính năng ưu việc như RODC, quản trị bằng dòng lệnh, offline domain join, hỗ trợ điện toán đám mây. Tuy nhiên để nâng cấp hoạch triển khai ADDS cần có sự chuẩn bị và thử nghiệm kĩ lưỡng.
* Download bộ tài liệu IPD (Infrastructure Plan and Deploy) cho ADDS Windows Server 2008 tại: http://go.microsoft.com/fwlink/?LinkId=100915
* Download bộ tài liệu cài đặt và nâng cấp ADDS trên nền tảng Windows Server 2008 bằng tiếng Việt tại: http://mspartner.vn/download/Huong_dan_trien_khai_Windows_Server_2008.pdf
* Download và triển khai thử nghiệm ADDS trên nền tảng Windows Server 2008 R2 tại: http://www.microsoft.com/windowsserver2008/en/us/trial-software.aspx
pv
Theo Bưu Điện Việt nam
