Tìm hiểu về cơ sở hạ tầng Active Directory

-
Active Directory Domain Server( AD DS) cung cấp các chức năng của giải pháp xác nhận và truy cập( Identity and Access-IDA) cho mạng doanh nghiệp. IDA có nhiệm vụ duy trì an ninh cho nguồn tài nguyên của doanh nghiệp như file, e-mail, ứng dụng và cơ sở dữ liệu.
Cơ sở hạ tầng của IDA gồm:



MicrosoftServer-2012

-Lưu trữ thông tin về người dùng, nhóm, máy tính và các đối tượng định danh khác. Đối tượng định danh hiểu theo nghĩa rộng là biểu thị thực thể mà thực hiện các hành động ở trong doanh nghiệp.
-Xác thực đối tượng định danh. Máy chủ sẽ không cấp quyền truy cập tài liệu cho người dùng trừ khi hệ thống xác thực được đối tượng đó là hợp lệ và có thông tin trong hệ thống.
-Điều khiển truy cập: IDA chịu trách nhiệm bảo vệ sự bí mật thông tin.
-Lưu vết: IDA cung cấp cơ chế kiểm soát các thay đổi và hoạt động diễn ra trong hệ thống.
Active Directory gồm 5 công nghệ mà mỗi loại có thể được định danh bởi một từ khóa.
– Active Directory Domain Server(Identity) AD DS: cung cấp kho trung tâm cho quản lí đối tượng định danh. Cung cấp dịch vụ xác thực và ủy quyền, hỗ trợ quản lí đối tượng thông qua chính sách nhóm( Group Policy). AD DS cũng cấp dịch vụ quản lí và chia sẽ thông tin, cho phép người dùng tìm kiếm các đối tượng như file server, printer, group và các người dùng khác.
-Active Directory Lightweight Directory Services( Applications) AD LDS là phiên bản tách biệt của Active Directory. vai trò của nó thường được biết đến như Active Directory Application Mode( ADAM) lưu trữ các thông tin liên quan tới ứng dụng. Chúng cho phép chuyển các đồ hình hỗ trợ ứng dụng nhưng không làm thay đổi các đồ hình đó. AD LDS hỗ trợ đa dữ liệu lưu trữ trên hệ thống đơn được phân bố theo giao thức Lightweight Directory Access Protocol( LDAP) và cổng SSL
-Active Directory Certificate Services( Trust) AD CS cài đặt chứng nhận thẩm quyền dành cho chứng chi số như một phần của cơ sở hạ tầng khóa công khai( PKI) gắn liền đối tượng định danh là cá nhân,thiết bị hay dịch vụ với khóa bí mật tương ứng. Chứng chỉ dùng xác thực người dùng,máy tính, xác thực Web,thẻ thông minh, hỗ trợ các ứng dụng như bảo mật mạng không dây, mạng riêng ảo( VPNs), bảo mật giao thức mạng( IPSec), mã hóa file hệ thống( EFS), chữ kí số.
-Active Directory Rights Management Services( Integrity) AD RMS. Server chạy HĐH Windows có thể ngăn chặn hay cho phép truy cập tài liệu dựa trên danh sách kiểm soát truy cập (ACL), có nhiều cách kiểm soát tài liệu cũng như nội dung khi người dùng mở nó. AD RMS là công nghệ bảo vệ thông tin cho phép thực hiện ổn định việc sử dụng các chính sách mẫu cho phép và không cho phép sử dụng bất kể đang online hay offline, bên trong hay bên ngoài tường lửa. AD RMS yêu cầu DC chạy Windows Server 2000 SP3 trở lên, IIS,máy chủ cơ sở dữ liệu như Microsoft SQL Server 2008.
-Active Directory Federation Services( Partnership) AD FS cho phép mở rộng IDA qua nhiều lớp nền, gồm cả môi trường Windows và  không phải Windows, tới các dự án định danh và truy cập quyền qua ranh giới an ninh tới các đối tác tin cậy. Trong liên môi trường, mỗi tổ chức duy trì và quản lí các đối tượng định danh của mình, tuy nhiên cũng có thể bảo mật dự án và chấp nhận các đối tượng định danh từ các tổ chức khác.Người dùng được xác thực trên một mạng có thể truy cập tài nguyên trên mạng khác( SSO). AD FS mở rộng nội bộ cơ sở hạ tầng AD DS từ đó mở rộng thế giới mạng thông qua cổng TCP/IP như 80( HTTP) và 443(Secure HTTP hay HTTPs)
Các role của Active Directory cung cấp một giải pháp tích hợp IDA. AD DS hay AD LDS cung cấp các dịch vụ directory cơ bản gồm cả domain và standalone. AD CS cung cấp chứng chỉ tin cậy trong dạng của chứng chỉ số PKI. AD RMS bảo vệ sự toàn vẹn thông tin chứa trong tài liệu. Còn AD FS hỗ trợ công ty bằng cách loại bỏ sự cần thiết  liên môi trường trong việc tạo đa đối tượng định danh riêng biệt cho hệ thống an ninh chính.
+Active Directory data store: AD DS lưu trữ các đối tượng định danh của nó trong directory-kho dữ liệu được xây dựng trên Domain Controller( DC). Directory là một file đơn có tên Ntds.dit được tạo mặc định nằm trong thư mục %SystemRoot%\Ntds trên DC. Cơ sở dữ liệu được chia thành nhiều phân vùng gồm đồ hình(schema), cấu hình( configuration), thống kê toàn cục( global catalog) và domain naming context  chứa dữ liệu về đối tượng trong Domain như user, group, computer.
+Domain Controller( DC): là các máy chủ thực hiện vai trò AD DS. DC cũng chạy dịch vụ phân phối khóa trung tâm(Kerberos Key Distribution Center- KDC) thực hiện việc xác thực cũng như các dịch vụ khác của Active Directory.
+Domain: là đơn vị hành chính với khả năng và đặc tính nhất định được chia sẻ. Các DC tạo lại các phân vùng của kho dữ liệu để lưu trữ dữ liệu đối tượng định danh như user, group,computer. Mọi DC duy trì cùng kho đối tượng định danh nên DC có quyền xác thực mọi đối tượng định danh trong Domain. Domain còn là phạm vi chính sách hành chính như mật khẩu phức tạp, chính sách bảo mật tài khoản. Ví dụ như chính sách cấu hình trên domain này chỉ áp dụng cho tất cả tài khoản domain này mà không cho các tài khoản domain khác. Các thay đổi có thể làm với các đối tượng trong cơ sở dữ liệu Active Directory bởi bất cứ DC nào và sẽ tạo tương tự trên DC khác.
+Forest: là tập hợp một hay nhiều Domain Active Directory. Những domain đầu tiên được cài đặt trong Forest gọi là Forest root domain. Forest chứa định nghĩa đơn của cấu hình mạng và ví dụ đơn của đồ hình directory. Forest là ví dụ đơn của directory không có dữ liệu được tạo lại bởi Active Directory bên ngoài phạm vi Forest.
+Tree: Không gian tên DNS của Domain trong rừng tạo nên Tree. Nếu domain là domain con của domain khác thì hai domain được xem là một Tree. Ví dụ anninhmang.net chứa 2 domain anninhmang.net và newepoche.anninhmang.net thì 2 domain này tạo thành phần tiếp giáp của không gian tên DNS, do đó chúng là cây đơn. Nhưng nếu 2 domain anninhmang.net và newepoche.net thì không phải là tiếp giáp trong không gian tên DNS, nên chúng được xem là 2 cây. Tree là kết quả trực tiếp của tên DNS được chọn cho Domain trong Forest.
+Functional level:chức năng có sẵn trong domain Active Directory hay Forest phụ thuộc mức chức năng của nó.Mức chức năng là một cài đặt AD DS cho phép nâng cao các đặc điểm về độ sâu domain và Forest. Có 3 mức là Windows 2000 Native,Windows Server 2003, Windows Server 2008. Khi nâng mức chức năng,các đặc điểm cung cấp bởi phiên bản Windows đó sẽ trở nên sẵn sàng trên Active Directory. Ví dụ khi nâng mức chức năng lên Windows Server 2008, thuộc tính mới sẽ có sẵn thông tin lần gần nhất người dùng đăng nhập thành công, máy tính người dùng đăng nhập lần gần nhất.
+ Organizational units( OUs): Active Directory là cơ sở dữ liệu phân cấp. Đối tượng trong kho dữ liệu có thể được tập trung trong các kho chứa. Một loại của kho chứa là lớp đối tượng được gọi với tên Container. Các Container mặc định là User,computer, builtin nằm trong Active Directory Users and Computer snap-in. Một loại khác của kho chứa là OU. OU không chỉ cung cấp kho chứa đối tượng mà còn phạm vi để quản lí đối tượng đó. Vì vậy OUs có các đối tượng gọi là đối tượng chính sách nhóm( GPOs) liên kết với chúng. GPOs có thể chứa cấu hình cài đặt sẽ được áp dụng tự động bởi người dùng,máy tính trong OU.
+Sites: khi xem xét sơ đồ mạng phân tán của doanh nghiệp, sẽ đề cập đến Sites. Trong Active Directory, Sites có ý nghĩa rất đặc biệt,có một lớp đối tượng gọi là Site. Active Directory site là đối tượng biểu thị một phần doanh nghiệp trong hệ thống kết nối mạng tốt. Site  ranh giới cho sự tái tạo và sử dụng dịch vụ. DCs trong site thay đổi trong vài giây để liên lạc giữa các Site trên cơ sở được kiểm soát với giả định kết nối liên mạng chậm,đắt hay không đang tin cậy,từ đó so sánh với kết nối bên trong Site. Hơn nữa, máy khách thích sử dụng dịch vụ phân tán cung cấp bởi máy chủ hơn là trên site của nó hay site riêng. Ví dụ khi người dùng đăng nhập domain, hệ điều hành máy khách lần đầu sẽ cố gắng xác thực với DC tại Site hiện tại. Nếu không có DC trên Site đó nó sẽ xác thực trên DC thuộc Site khác.
Qua 2 bài viết về tổng quan cơ sở hạ tầng Active Directory, hi vọng người đọc có thể hiểu một cách khái quát về hệ thống với 8 thành phần: kho lưu trữ, DC, Domain, Forest, Tree, Mức chức năng, OU, Site. 

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Sử dụng server để định tuyến mạng - Routing server

-
Hình ảnh
Thì như các bạn đã biết, các máy tính chỉ thấy nhau khi chung 1 mạng (NetID). Vì vậy hệ thống cần có 1 hay nhiều router làm chức năng định tuyến để giúp các máy tính có thể liên lạc với nhau. Router gồm 2 loại :  router cứng  (cisco, juniper, hp .v.v.) và  router mềm  (các máy tính cài phần mềm để làm chức năng định tuyến) Các thành phần cơ bản của 1 router: +  Routing interface  (có thể hiểu đơn giản là card mạng):Là nơi giao tiếp giữa router với các phân đoạn mạng. +  Routing table : bảng định tuyến, là nơi lưu trữ các đường đi đến các lớp mạng mà router dùng để định tuyến các gói tin. +  Routing protocol : Các giao thức để định tuyến, gồm 2 loại 1/ static route : cấu hình bảng định tuyến bằng tay cho router 2/ dynamic route : router tự động tìm đường rồi bổ sung vào bảng định tuyến. Các giao thức thường dùng: EIGRP (cisco), OSPF,  RIP Windows Server hỗ trợ 2 giao thức: OSPF và Ripv2. Lưu ý: Không phải router mới có routing table mà máy PC cũng có routing table.
Đọc thêm

Virtual Networking - Ảo hóa mạng

-
Hình ảnh
1. Overview - Qua các chapter và bài lab trước chúng ta đã biết cấu hình vCenter và ESXi nhưng chúng ta vẫn chưa biết tại sao vCenter và ESXi lại có thể kết nối được với nhau.  - vSphere không chỉ nổi bật nhờ công nghệ ảo hóa máy chủ, mà nó còn được đánh giá cao nhờ công nghệ ảo hóa hạ tâng Virtual Networking trong vSphere. Virtual Networking sẽ cung cấp các tính năng quan trọng như Load-balanced, HA traffic giữa các VM - vSphere cung cấp 2 loại kiến trúc Virtual Networking chính. Tùy theo mô hình triển khai mà lựa chọn loại vSwitch nào. Thường thì kết hợp cả 2 để tận dụng các tính năng của chúng Standard virtual switches : quản lý network các VM ở mức độ host. Nó được cài đặt sẵn trên vSphere Distributed virtual switch : quản lý network các VM ở mức độ Datacenter, sử dụng để quản lý tập trung hệ thống network. Nó không có sẵn trong các version của vSphere. 2. Standard virtual switches 2.1. vNIC - Virtual Ethernet adapter - Kiến trúc Virtual network của vSphere cũng giống nh
Đọc thêm

Cách bật card mạng eth0 khi cài đặt Centos 7 Minimal trên VMWARE WORKSTATION

-
Hình ảnh
Khi cài đặt Centos 7 trên VMWARE thì đôi khi máy ảo nó k nhận ra được card mạng, tìm hoài cũng éo thấy file cấu hình nào, khá ngu Muốn có lại nó ta tắt cmn máy ảo đi, vào thư mục chứa cái máy ảo vmware đó, tìm file VMX của nó Mở file VMX đó bằng notepad, hay notepad++ thêm vào cuối file dòng: ethernet0.virtualDev = "e1000" Sau đó lưu lại, bật máy ảo lại và hưởng thụ :D
Đọc thêm

Cài đặt, cấu hình cơ bản CentOS 7 Minimal

-
Hình ảnh
I. Mục đích: +Cài CentOS 7 (quá dể...),  Cài Minimal chạy cho nó khẻo, sau này cần gì thì cài thêm... +Giải quyết các sự cố sau khi cài khi cài xong:  ko xem được thông tin card mạng, ko ra được internet, ko thể cài được các gói cần thiết ko thể ssh vào để cấu hình .... II. Chuẩn bị: - Máy ảo VMware có 2 card mạng: - Card 1: sử dụng để ra internet, bạn có thể dùng Bridged/NAT - Card 2: sử dụng để kết nối local Thông tin cấu hình + File iso CentOS7 (có thể down bản minimal hoặc bản full DVD) III. Cài đặt: Thiết lập các cấu hình cơ bản: +Date & Time +Chọn ổ đĩa/phân vùng để cài +Chọn gói cần cài +Các cấu hình Network & Hostname Lưu ý : +Trong bài này mình sẽ cài minimal, +và cũng sẽ không chọn up card mạng ngay...sau khi cài xong mình sẽ up nó lên Trong quá trình cài mình sẽ để mặc định, sẽ ko ON các card mạng lên... Xong các cấu hình cơ bản và bắt đầu quá trình cài Quá trình cài đặt đang diễn ra... Trong quá trình cài bạn có thể setup pas
Đọc thêm

Trình quản lý user và Group trên máy cục bộ (Local user and group)

-
Hình ảnh
  Trình quản lý user và Group trên máy cục bộ (Local user and group) User và Group là những thành phần cơ bản để quản lý máy tính và tài nguyên trên máy tính. Tùy vào mức độ được cấp quyền mà người dùng có quyền truy xuất vào những tài nguyên nào trên máy tính, hoặc trong hệ thống mang. Ở bài này chúng ta tìm hiểu vế cách tạo và quản lý user trên máy cục bộ (local host). Đây là hệ thống quản lý người dùng (User) và nhóm người dùng (Group) của Windows. Bạn có thể tìm thấy trình quản lý này trên các phiên bản Workstation:  Windows XP pro, Windows Vista & Windows 7 professional , Ultimate,  Windows server (chưa dựng Domain). Trong trường hợp Windows server chưa lên Domain thì chúng hoạt quản lý user và Group như Windows workstation. Khi  đã nâng cấp lên Domain thì Local user and group không hoat động nữa, thay vào đó lá Active Directory User and Computer . Khởi động trình quản lý Local user and Group, có 2 cách: Cách 1:  Bạn click chuột phải lên Computer (trên Windows 7,W
Đọc thêm

[vmware workstation] Ngăn máy ảo tự động pause

-
Sau một khoảng thời gian hoạt động, máy ảo thường tự động pause, ảnh hưởng khá nhiều khi làm các công việc cần đợi loading trong thời gian dài trên máy ảo. Cách xử lý: - Trên máy ảo: Control Panel\Hardware and Sound\Power Options --> chuyển sang High perfomanent - Trên máy vật lý: truy cập setting trên màn hình vmware của máy ảo, chọn Options --> power --> Bỏ chọn Report battery infomation to guest (nếu nó đang mờ sẵn rồi thì thôi) Enjoy!
Đọc thêm

Căn bản về Storage

-
Hình ảnh
1. Overview - Datastore :  là một khái niệm trừu tượng. Nó gộp tất cả các thiết bị lưu trữ bên dưới hạ tầng của bạn thành một datastore đại diện duy nhất. Đối với máy ảo, chúng không cần biết hệ thống lưu trữ của bạn là loại gì mà chỉ cần kết nối tới datastore. Datastore giống như một lớp trung gian giữa máy ảo và các thiết bị lưu trữ, giúp làm giảm độ phức tạp về vấn đề giao tiếp. - Cluster  Là một nhóm các máy chủ riêng biệt được kết nối với nhau nhằm cung cấp khả năng quản lý và chia sẻ các tài nguyên như một hệ thống duy nhất nhằm mục đích tăng khả năng hoạt động của toàn hệ thống. Các máy chủ trong cluster được gọi là các node. ​-  Datastore cluster: Nhiều datastore gộp lại thành một datastore cluster. Ưu điểm của datastore cluster là giúp cân bằng tải (load-balance) giữa các datastore thông qua các tính năng như Storage I/O, Storage vMotion…. Điểm quan trọng là các client không cần phải quan tâm tới các hệ thống phần cứng vật lý của cluster. Điều này có nghĩa
Đọc thêm

Xây dựng hệ thống monitoring tập trung với PRTG (Phần 1 - Cài đặt)

-
Hình ảnh
Với một ông systemadmin, việc kiểm tra tình trạng máy chủ, service trên máy chủ đó là công việc thường ngày. Khi phát sinh sự cố, người quản trị phải phát hiện kịp thời. Mỗi đơn vị, mỗi người quản trị giải quyết việc này bằng cách này hay cách khác: thủ công hoặc tự động. Dưới đây chúng ta sẽ xem hướng dẫn xây dựng hệ thống monitor bằng công cụ PRTG, theo dõi một số thông tin thông thường. PRTG là công cụ do Paessler phát triển, được triển khai trên nền windows, có giao diện quản trị web và console (console ít khi cần dùng đến). Công cụ này là công cụ thương mại nên được xây dựng với giao diện đồ họa, dễ sử dụng, triển khai nhanh, nhược điểm là rất đắt, và khá nặng. Có thể download trên trang chủ của hãng: https://www.paessler.com/download/prtg-download Khi download nhớ ghi lại licsense lúc đó. Phiên bản free được sử dụng 100 sensor, đủ dùng để monitor cho khoảng 30 máy chủ, nếu cần nhiều hơn thì phải bỏ tiền ra mua licsense, giá rổ em nó đây: https://www.paessler.com/prtg/pr
Đọc thêm

Mô hình OSI 7 lớp

-
Hình ảnh
Mô hình căn bản của căn bản đối với bất cứ ai muốn theo ngành networking. Tuy kiến thức cực kỳ tổng quát, mang đậm tính lý thuyết suông nhưng lại đi theo suốt sự nghiệp :3 Mô hình OSI (Open system interconnection – Mô hình kết nối các hệ thống mở) là một thiết kế dựa vào nguyên lý tầng cấp, lý giải một cách trừu tượng kỹ thuật kết nối truyền thông giữa các máy vi tính và thiết kế giao thức mạng giữa chúng. Mô hình này được phát triển thành một phần trong kế hoạch OSI (Open Systems Interconnection) do ISO và IUT-T khởi xướng. Nó còn được gọi là Mô hình bảy tầng của OSI. I. overview 1. Có 2 loại mô hình  Older model : ​ độc quyền Các ứng dụng, các phần chỉ được cung cấp bởi 1 nhà cung cấp Standards-base model ​ multivendor software layer approach( mô hình phân lớp) 2. Tại sao phải sử dụng mô hình phân lớp Giảm phức tạp -> cty nào mạnh ở lớp nào thì làm ở lớp đó Mỗi lớp có mỗi tính năng, chuẩn mà các cty sản xuất phải tuân theo -> chuẩn hóa giao diện của các dòn
Đọc thêm

Các cấu hình trong khi cấu hình Elastix SIP Trunk (Elastix SIP Trunk Configuration Guide)

-
Hình ảnh
Elastix là ứng dụng truyền thông hợp nhất, được tạo ra trên nền ứng dụng tổng đài voiceIP  Asterisk, với giao diện dễ dàng sử dụng và cấu hình. Giao diện cấu hình đường trunk của Elastix: Trunk name: đặt tên cho cái cấu hình trunks này, cứ tên nào dễ nhớ, dễ hiểu mà phang vào thôi Outbound CallerID: CID Options: Maximum Channels Asterisk Trunk Dial Options Continue if Busy Disable Trunk Dialed Number Manipulation Rules Dial Rules Wizards Outbound Dial Prefix Phần quan trọng nhất  Outgoing Settings Trunk Name (tên dễ nhớ là ok) PEER Details cấu hình như ví dụ: Type=peer Qualify=yes Insecure=very Host=192.168.1.105 Disallow=all Canreinvite=no Allow=ulaw&alaw context=from-pstn Ý nghĩa các cấu hình của nó như sau: username=5551231234 (account SIP được nhà mạng cấp cho, thực ra đây chính là extension name được tạo ra trên tổng đài của nhà cung cấp dịch vụ, tổng đài của mình sẽ kết nối với nhà cung cấp như một softphone) type=peer (kiểu kết nối:
Đọc thêm