Brien M. Posey
Quản trị mạng – Trong bài này chúng tôi sẽ giới thiệu cho các bạn lý do tại sao Microsoft lại đưa trở lại tính năng Read Only Domain Controllers và tầm quan trọng của chúng như thế nào.
Giới thiệu
Trong Windows Server 2008, Microsoft đã đưa trở lại một tính năng mà chúng ta không thấy từ Windows NT; đó chính là tính năng Read Only Domain Controllers. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn lý do tại sao Microsoft lại làm như vậy và ưu điểm trong việc sử dụng Read Only Domain Controllers nằm ở chỗ nào.
Read Only Domain Controller (hay được viết tắt là RODC) đã bị bỏ rơi các đây hàng thập kỷ. Tuy nhiên nó lại xuất hiện trở lại trong Windows Server 2008, điều này hẳn là có lý do của nó.
Chúng ta đều biết Windows NT là hệ điều hành máy chủ Windows Server đầu tiên của Microsoft. Cũng giống như các hệ điều hành máy chủ Windows Server hiện đại, Windows NT cũng hỗ trợ sử dụng miền. Tuy nhiên có những khác biệt đó là domain controller bên trong mỗi miền mới có khả năng ghi. Domain controller này được biết đến với tên Primary Domain Controller hay PDC, là một domain controller mà quản trị viên có thể ghi thông tin lên đó. Sau đó Primary domain controller sẽ cập nhật cho các domain controller khác bên trong miền. Các domain controller khác này được coi như một backup domain controller và ở trạng thái chỉ đọc những gì mà chúng được nâng cấp bởi primary domain controller.
Mặc dù mô hình miền này làm việc khá tốt nhưng nó cũng có nhược điểm của nó. Đáng kể nhất trong số các nhược điểm đó là vấn đề với primary domain controller có thể là tê liệt toàn bộ miền. Như những gì bạn có thể biết, Microsoft đã giới thiệu một số thay đổi lớn đối với mô hình miền khi họ phát hành Windows 2000 Server. Windows 2000 Server có giới thiệu hai công nghệ mới cho các domain controller, cả hai đều vẫn được sử dụng cho tới ngày nay đó là Active Directory và multi master domain (mô hình đa miền chủ).
Dù vẫn có những vai trò của PDC và một số vai trò đặc biệt khác, nhưng hầu hết các domain controller trong mô hình multi master domain đều có thể ghi. Điều đó có nghĩa rằng một quản trị viên có thể sử dụng một nâng cấp cho bất cứ domain controller nào và nâng cấp đó sẽ được nhân rộng cho tất cả các domain controller khác trong miền.
Mô hình multi master domain được giữ lại trong Windows Server 2003 và vẫn được sử dụng trong Windows Server 2008. Mặc dù vậy, Windows Server 2008 cũng cho phép bạn có thể tạo Read Only Domain Controller. RODC là các bộ điều khiển miền (domain controller) mà các quản trị viên không thể cập nhật trực tiếp cơ sở dữ liệu Active Directory. Chỉ có một cách để nâng cấp các domain controller là sử dụng một sự thay đổi đối với domain controllers cho phép ghi, sau đó cho phép thay đổi đó nhân rộng đến RODC.
Như những gì bạn có thể thấy, RODC không phải là sự thiếu sót của một di hài từ thời Windows NT. Trong trường hợp này công nghệ thực sự mang tính chất chu kỳ! Rõ ràng Microsoft sẽ không đưa trở lại RODC nếu họ không thấy có những ưu điểm trong việc thực hiện đó.
Trước khi bắt đầu giải thích tại sao Microsoft lại đưa trở lại RODC, hãy cho phép chúng tôi làm sáng tỏ rằng việc sử dụng RODC hoàn toàn không mang tính bắt buộc. Nếu bạn muốn mọi domain controller trong toàn bộ forest đều có thể ghi thì bạn hoàn toàn có thể thực hiện điều đó.
Một thứ khác mà chúng tôi muốn đề cập nhanh là mặc dù RODC rất giống với Backup Domain Controllers (BDC) được sử dụng trong Windows NT nhưng chúng có một chút tiến hóa. Tuy nhiên bên cạnh đó cũng có một số thứ mang tính duy nhất đối với RODC và chúng tôi sẽ chỉ ra cho các bạn về những vấn đề này.
Lại quay trở về với câu hỏi tại sao Microsoft lại đưa trở lại RODC? Quả thực có rất nhiều khó khăn trong việc hỗ trợ các văn phòng chi nhánh. Điều đó là vì sự cách ly của các văn phòng này và vì bản chất của kết nối giữa cơ quan đầu não của công ty và văn phòng nhánh.
Thông thường, có một số tùy chọn khác nhau cho việc quản lý các văn phòng chi nhánh, tuy nhiên trong các phương pháp đó lại có một số các ưu nhược điểm của riêng chúng. Một trong những cách chung nhất cho việc xử lý với các văn phòng nhánh là để tất cả các máy chủ trong một văn phòng chính, sau đó cung cấp cho người dùng văn phòng chi nhánh kết nối với các máy chủ này thông qua một liên kết WAN.
Rõ ràng, bất thuận lợi rõ nhất trong việc sử dụng phương pháp này là nếu liên kết WAN gặp trục trặc thì người dùng tại văn phòng chi nhánh sẽ không thể thực hiện bất cứ công việc gì, vì họ hoàn toàn bị cách ly khỏi tài nguyên máy chủ. Thậm chí nếu liên kết WAN hoạt động nhưng hiệu suất có thể bị giảm vì các liên kết WAN thường có tốc độ chậm và dễ bị tắc nghẽn.
Một tùy chọn khác cho việc xử lý với các văn phòng chi nhánh là đặt tối thiểu một domain controller trong văn phòng này. Domain controller này sẽ hoạt động như một DNS server và như một máy chủ global catalog. Theo cách này, nếu liên kết WAN gặp vấn đề thì người dùng trong văn phòng chi nhánh vẫn có thể đăng nhập vào mạng. Phụ thuộc vào bản chất của công việc của người dùng tại văn phòng mà có thể đặt thêm số lượng máy chủ tại văn phòng nhánh.
Giải pháp này thường cho kết quả làm việc khá tốt tuy nhiên vẫn có một số nhược điểm trong quá trình sử dụng nó. Bất thuận lợi chính là về giá thành. Việc để nhiều máy chủ tại các văn phòng nhánh yêu cầu tổ chức cần phải bỏ ra nhiều tiền để mua phần cứng máy chủ và kèm theo đó là các đăng ký về phần mềm. Tuy cũng có thể được hỗ trợ về giá thành. Một tổ chức cần phải xác định rõ xem liệu họ cần thuê nhân viên CNTT “full time” để hỗ trợ cho văn phòng nhánh không, hay họ có thể bằng lòng với thời gian mà nhân viên CNTT đi lại từ văn phòng chính đến văn phòng nhánh khi cần đến sự hỗ trợ onsite.
Một vấn đề khác trong việc để các máy chủ tại văn phòng nhánh là việc bảo mật. Các máy chủ được đặt bên ngoài trung tâm dữ liệu thường thiếu tính giám sát cao. Chúng thường chỉ được khóa lại trong một buồng nhỏ tại văn phòng nhánh và được giao cho nhân viên uy tín giữ chìa khóa.
Như đã được đề cập ở trên, các kết nối WAN có thể chậm và không ổn định. Điều này đã làm nảy sinh một vấn đề khác với việc đặt máy chủ tại các văn phòng chi nhánh. Lưu lượng mô hình thứ bản Domain controller có thể làm tắc nghẽn liên kết WAN.
Đây chính là chỗ RODC thể hiện được vai trò của nó. RODC cũng giống như các domain controller khác, ngoại trừ cơ sở dữ liệu Active Directory không thể ghi trực tiếp. Việc đặt RODC tại văn phòng chi nhánh không khắc phục triệt để được vấn đề lưu lượng bản sao của Active Directory nhưng nó làm giảm được một phần tải trọng của các máy chủ đầu cầu vì chỉ có lưu lượng bản sao gửi đến là được cho phép.
RODC cũng có thể cải thiện được vấn đề bảo mật vì người tại văn phòng chi nhánh không thể thay đổi bất cứ thứ gì trong cơ sở dữ liệu Active Directory. Thêm vào đó, không có thông tin về tài khoản nào được tạo bản sao đến RODC. Điều này có nghĩa rằng nếu ai đó đánh cắp một RODC thì người này cũng không thể sử dụng các thông tin mà họ lấy được từ nó. Việc các thông tin tài khoản người dùng không được ghi đến RODC cũng làm giảm được số lượng lưu lượng bản sao đối với các liên kết WAN, tuy nhiên nó không có nghĩa rằng với một số ngoại lệ, thẩm định người dùng sẽ phụ thuộc vào liên kết WAN đang hiện hữu.
Kết luận
Như những gì bạn thấy, Read Only Domain Controller có vai trò rất quan trọng của nó. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các bạn việc lập kế hoạch và triển khai cho Read Only Domain Controller.