Domain Controller là gì? Tìm hiểu Domain Controller
- Bùi Tấn Lực
- 1996
- 09/03/2021
Domain Controller là gì? Tìm hiểu Domain Controller, Vai Trò Quan Trọng của Domain Controller Như Thế Nào? Có những loại Domain controller nào đang được sử dụng, chi tiết như nào hãy cùng chúng tôi phân tích:
Domain Controller là gì? Tìm hiểu Domain Controller
Mục Lục [Ẩn]
Tên miền là gì? Domain là gì ?
Tên miền là một địa chỉ Internet. Những người không thể trả lời câu hỏi chính xác ” Tên miền là gì?” thì chắc vẫn có thể hình dung được địa chỉ trang web hay địa chỉ mail là gì. Trên thực tế, ý nghĩa tên miền cũng được bao hàm trong những địa chỉ website hay địa chỉ email đó. Tên miền là một chuỗi các ký tự được thiết lập theo quy tắc nhất định, và được sử dụng để xác định máy tính trên mạng Internet. Địa chỉ IP là để xác định máy tính trên mạng Internet, nhờ vào việc kết hợp với địa chỉ IP của tên miền mà người sử dụng có thể truy cập vào một máy tính xác định mà không cần nhớ rõ địa chỉ IP. Tên miền thường được ví như là” Địa chỉ Internet” nhưng chính xác hơn thì nó chính là “Cái giúp chúng ta thấy rõ địa chỉ Internet hơn”. Bạn có thể chọn một chuỗi các ký tự làm tên miền nhưng về cơ bản nó dựa trên nguyên tắc ai nhanh hơn thì sẽ chiến thắng. Ngày nay, rất nhiều các công ty sử dụng các tên miền đặc biệt khi họ muốn giới thiệu một sản phẩm mới.
Xem thêm bài viết SEO là gì?
Domain controller là gì?
Trước tiên bạn cần phải hiểu khái niệm về domain - Là một hệ thống, tập hợp người dùng, ứng dụng, máy chủ dữ liệu hay bất kỳ loại tài nguyên nào khác được quan tâm và sử dụng bởi doanh nghiệp. Và Domain Controller chính là hệ thống máy chủ có chức năng quản lý một Domain nào đó. Một domain có bản chất giống như Server mà chúng ta vẫn thường gặp.
Domain Controller chính là hệ thống máy chủ Domain Controller chịu trách nhiệm quản lý an ninh mạng và những vấn đề khác liên quan tới dữ liệu. Nói một cách đơn giản thì nó giống như một người gác cổng chịu trách nhiệm xác thực và ủy quyền User. Một Domain nào đó có thể sở hữu và được quản lý bởi nhiều Domain Controller. Một máy chủ khi muốn trở thành một Domain Controller, bắt buộc phải được cài đặt và khởi tạo Active Directory.
Lựa chọn thế nào cho hợp với cơ sở hạ tầng mạng của bạn
Một trong những khái niệm quan trọng nhất của mạng Windows là domain (tức miền hay vùng). Một domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung. Và công việc quản lý là dành cho domain controller (bộ điều khiển miền) nhằm giúp việc khai thác tài nguyên trở nên dễ dàng hơn. Vậy tại sao domain controller lại rất quan trọng?
Trong mạng, bất kỳ máy trạm nào đang chạy hệ điều hành Windows XP cũng có một nhóm tài khoản người dùng tạo sẵn nào đó. Windows XP thậm chí còn cho phép bạn tạo một số tài khoản bổ sung nếu thấy cần thiết. Nếu máy trạm có chức năng như một hệ thống độc lập hoặc là một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm (được gọi là tài khoản người dùng cục bộ) không thể điều khiển truy cập tài nguyên mạng.
Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộ và hoạt động như với chức năng đảm bảo cho quản trị viên có thể thực hiện công việc bảo dưỡng, duy trì máy trạm, không cho phép người dùng cuối khả năng can thiệp vào các thiết lập trên máy trạm.
Lý do vì sao tài khoản người dùng cục bộ trên một máy trạm nhất định không được phép điều khiển truy cập tài nguyên nằm ngoài máy trạm đó là nó tăng thêm gánh nặng quản lý rất lớn.
Tài khoản người dùng cục bộ chỉ nằm trên các máy trạm riêng rẽ. Nếu một tài khoản là có chức năng bảo mật chính trong mạng, quản trị viên sẽ phải di chuyển vật lý tới máy tính có tài khoản đó bất kỳ khi nào phải thực hiện thay đổi quyền hạn cho tài khoản.
Vấn đề này không gây ra tác động gì lớn trong mạng nhỏ, nhưng sẽ trở nên cực kỳ nặng nề với ở mạng lớn hay khi cần áp dụng thay đổi rộng cho tất cả mọi tài khoản. Một lý do khác nữa là không ai muốn phải chuyển tài khoản người dùng từ máy này sang máy khác.
Chẳng hạn, nếu máy tính của một người dùng bị phá hoại, người đó không thể đăng nhập vào máy tính khác để làm việc vì tài khoản họ tạo chỉ có tác dụng trên máy cũ. Nếu muốn làm được việc anh ta sẽ phải tạo tài khoản mới trên máy khác.
Chỉ là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng cục bộ cho việc truy cập an toàn tài nguyên mạng là không thực tế. Thậm chí nếu bạn muốn triển khai kiểu bảo mật này, Windows cũng không cho phép. Tài khoản người dùng cục bộ chỉ có thể dùng tài nguyên cục bộ trên một máy trạm nhất định.
Domain có nhiệm vụ giải quyết các vấn đề vừa nêu và một số vấn đề khác nữa. Chúng sẽ tập trung hoá tài khoản người dùng (hay cấu hình khác, các đối tượng liên quan đến bảo mật; chúng ta sẽ đề cập đến trong bài sau). Điều này giúp việc quản trị dễ dàng hơn và cho phép người dùng đăng nhập từ bất kỳ máy tính nào có trên mạng (trừ khi bạn giới hạn quyền truy cập người dùng).
Với những thông tin đã được cung cấp chắc hẳn bạn sẽ nghĩ, về mặt nguyên lý, khi một người dùng nào đó muốn truy cập tài nguyên nằm trên một máy chủ (server), tài khoản người dùng mức server sẽ được dùng để điều khiển truy cập. Xét trên một số khía cạnh, ý tưởng này là đúng, nhưng còn có nhiều điều phải lưu ý hơn thế.
Trở lại đầu những năm 1990, khi tác giả bài báo này còn làm việc cho một công ty bảo hiểm lớn, sử dụng mạng với các máy chủ chạy hệ điều hành Novell NetWare. Windows networking hồi đó vẫn chưa được tạo ra và Novell NetWare là hệ điều hành server duy nhất có thể lựa chọn. Công ty chỉ có một network server, chứa tất cả mọi tài khoản người dùng và tài nguyên mạng cần truy cập.
Một vài tháng sau, ai đó quyết định rằng người dùng ở công ty cần chạy một nhánh ứng dụng mới. Do kích thước của ứng dụng và số lượng dữ liệu lớn nên ứng dụng phải được đặt trên một server chuyên dụng. Phiên bản Novell NetWare công ty đang dùng lúc đó chạy theo kiểu: tài nguyên nằm trên một server được bảo vệ bởi tài khoản người dùng cũng nằm trên server đó. Nhưng nảy sinh vấn đề: mỗi máy chủ có tập hợp tài khoản người dùng độc lập, hoàn chỉnh và riêng rẽ. Khi thêm một máy chủ khác vào mạng, người dùng vẫn có thể đăng nhập theo cách bình thường nhưng phải tạo username và password mới.
Thời gian đầu, mọi thứ trôi chảy. Nhưng khoảng một tháng sau, khi cài đặt thêm một số chương trình khác lên máy chủ mới, mọi việc trở nên tệ hại. Các máy chủ buộc người dùng phải thay đổi lại mật khẩu trong khi họ không nhận ra rằng phải đổi ở hai chỗ khác nhau. Có nghĩa là mật khẩu đã mất đi tính đồng bộ và bộ phận trợ giúp quá tải với các cuộc gọi liên quan đến lập lại mật khẩu. Khi công ty lớn mạnh hơn và bổ sung thêm nhiều máy chủ mới vào mạng, vấn đề ngày càng tồi tệ. Cuối cùng sự việc được giải quyết khi Novell cho ra đời phiên bản 4.0 của NetWare. NetWare 4 giới thiệu công nghệ gọi là Directory Service (dịch vụ thư mục). Ý tưởng của nó là người dùng sẽ không phải tạo các tài khoản riêng rẽ trên từng server nữa.
Thay vào đó một tài khoản đơn duy nhất được dùng để thẩm định tư cách người dùng trên toàn bộ mạng mà không cần biết có bao nhiêu máy chủ trên mạng đó. Một điều thú vị khi tìm hiểu về domain là mặc dù mỗi domain có một giá trị duy nhất, không bao giờ lặp nhau trong mạng Microsoft (Novell không dùng domain) nhưng chúng làm việc theo nguyên tắc cơ bản giống nhau. Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phần vẫn còn được dùng tới nay là Active Directory. Active Directory rất giống với Directory Service được mạng Novell sử dụng trước kia. Toàn bộ công việc chúng ta phải làm với domain là gì? Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server 2003 hay Longhorn Server sắp ra mắt, công việc của domain controller (bộ điều khiển miền) là chạy dịch vụ Active Directory. Active Directory hoạt động như một nơi lưu trữ các đối tượng thư mục, trong đó có tài khoản người dùng (user account). Và một trong các công việc chính của bộ điều khiển tên miền là cung cấp dịch vụ thẩm định.
Nên hết sức lưu ý là domain controller cung cấp dịch vụ thẩm định (authentication) chứ không phải là dịch vụ cấp phép (authorization). Tức là, khi một người dùng nào đó đăng nhập vào mạng, một bộ điều khiển miền sẽ kiểm tra tính hợp lệ của username và password họ nhập vào có chính xác và khớp với dữ liệu lưu trong máy chủ hay không. Nhưng domain controller không nói với người dùng họ có quyền truy cập tài nguyên nào. Tài nguyên trên mạng Windows được bảo vệ bởi các Danh sách điều khiển truy cập (ACL).
Một ACL là danh sách chỉ rõ ai có quyền làm gì. Khi người dùng cố gắng truy cập tài nguyên, họ đưa ra nhân dạng của mình cho máy chủ chứa tài nguyên đó. Máy chủ sẽ kiểm tra để chắc chắn rằng nhân dạng người dùng này đã được thẩm định, sau đó tham chiếu chéo đến ACL để xem người dùng có quyền làm gì.
2 dạng Domain Controller
Domain Controller được chia thành 2 kiểu cơ bản. Mỗi kiểu có một chức năng riêng biệt. Cụ thể:
Primary Domain Controller (PDC): Với dạng này, Windows server duy nhất sẽ được chỉ định để lưu trữ cơ sở dữ liệu, thông tin trong các thư mục chính, gồm: thông tin và tài nguyên bảo mật của domain.
Backup Domain Controllers (BDC): Theo đó, BDC có thể được đẩy lên PDC trong trường hợp PDC gặp lỗi. Đồng thời, BDC có thể giúp cân bằng khối lượng công việc trong những tình huống tắt nghẽn đường mạng. Đặc biệt, theo mỗi chu kỳ BDC, PDC sẽ tự động sao chép cơ sở dữ liệu trong những thư mục quan trọng.
Khám phá vai trò của domain controller
Global Catalog Servers
Một domain controller sẽ lưu trữ cơ sở dữ liệu của các đối tượng cho domain đã được cài đặt. Thế nhưng, bạn cần biết 1 domain controller sẽ chỉ định để làm một máy chủ danh mục chung (hay còn được gọi là global catalog server). Điều này giúp bạn lưu trữ các đối tượng từ tất cả các domain trong một forest chung. Đối với những trường hợp đối tượng không nằm trong domain mà máy chủ không có thẩm quyền truy cập như domain controller thì một nhóm thuộc tính sẽ được lưu trữ trong bản sao một phần của domain. Nhờ vào đó, một máy chủ danh mục có thể lưu trữ một bản sao miền hoàn chỉnh của chính nó và bản sao một phần của tất cả domain khác.
Operations Masters
Một vai trò quan trọng của Domain controller nữa là Operations Masters. Có nghĩa là domain controller sẽ chỉ định để thực hiện các thao tác cụ thể nhằm bảo đảm tính nhất quán đồng thời loại đi những khả năng xung đột của các entry trong cơ sở dữ liệu Active Directory. Nhờ vào đó, Active Directory sẽ xác định 5 vai trò chính của Operations Masters, gồm: sơ đồ tổng thể, trình nhận dạng tương đối (RID), tên miền master, trình mô phỏng primary domain controller (PDC), cơ sở hạ tầng tổng. Như vậy, bài viết đã cung cấp định nghĩa domain controller là gì và một số thông tin hữu ích để bạn có thể hiểu sâu hơn về nó. Dựa vào đó, bạn cũng có thể ứng dụng hiệu quả hơn trong công việc thực tiễn.
- 0 Bình luận
Email, Điện thoại của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *