Làm việc với Active Directory - Kiến trúc Active Directory

Các đặc trưng của Active Directory có thể được nhóm theo các phần sau:

-Dữ liệu trong Active Directory được nhóm theo bậc (hierarchically).

các đối tượng có thể được lưu trữ trong các đốitượng chứa khác.thay vì có 1

danh sách người sử dụng lớn độc lập, những người sử dụng có thể được

nhóm vào trong một thể thống nhất.1 thể thống nhất có thể chứa thể thồng

nhất khác, vì vậy ta có thể xây dựng 1 cây.

- Active Directory sử dụng 1 multi-master replication .trong các

domain window NT4 domain controler chính,PDC, là chủ.Trong window

2000 với Active Directory mỗi domain controller,DC,là chủ.nếu PDC

trong winnt 4 domain bị rớt, không người sử dụng nào có thể thay đổi

password;người quản trị chỉ có thể cập nhật người sử dụng khi PDC được

khôi phục và chạy.với Active Directory , việc cập nhật có thể ứng dụng trên

bất kì DC nào.mô hình này linh hoạt hơn, vì việc cập nhật có thể xảy ra trên

những server khác nhau.khuyết điểm của mô hình này làviệc sao chép phức

tạp hơn.

pdf13 trang | Chuyên mục: Visual C# | Chia sẻ: dkS00TYs | Lượt xem: 1861 | Lượt tải: 2download
Tóm tắt nội dung Làm việc với Active Directory - Kiến trúc Active Directory, để xem tài liệu hoàn chỉnh bạn click vào nút "TẢI VỀ" ở trên
 chọn mà mô tả chúng. ví dụ thuộc tính 
của ngưòi sử dụng có thể là tên, địa chỉ email,số điện thọai... 
Hình sau 1 đối tượng chứa gọi là Wrox Press mà chứa vài đối tượng khác 
nhau : 2 đối tượng sử dụng, 1 đối tượng hợp đồng , 1 đối tượng máy in,và 1 
đố tượng nhóm người sử dụng: 
Schema 
Mỗi đối tượng là 1 thể hiện của 1 lớp mà được định nghĩa trong Schema. 
schema định nghĩa các kiểu và tự nó lưu trữ trong các đối tượng trong 
Active attributeSchema. các kiểu của đối tượng được định nghĩa trong 
classSchema,chi tiết thuộc tính nào là bắt buộc hoặc tuỳ chọn mà đối tượng 
có,attributeSchema định nghĩa 1 thuộc tính trông như thế nào,và cú pháp 
được cho phép trong 1 thuộc tính chỉ định là gì. 
Ta có thể định nghĩa các thuộc tính và các kiểu tuỳ chọn, và thêm chúng đến 
schema. tuy nhiên cần biết rằng 1 kiểu schema mới có thể không bao giờ 
được bỏ từ Active Directory.có thể đánh dấu nó không hoạt động để các đối 
tượng tồn tại của kiểu đó không thể bỏ các lớp hay thuộc tính mà được định 
nghĩa trong schema.người quản trị Win 2000 không có đủ quyền để tạo ra 1 
mục schema mới ,mà cần phải có 1 người quản trị domain Win 2000 làm 
việc này. 
Cấu hình 
Bên cạnh việc định nghĩa các đối tượng và các lớp mà được lưu như là đối 
tượng, cấu hình của Active Directory được lưu trong chính Active 
Directory.cấu hình của Active Directory lưu thông tin về tất cả các site, như 
là khoảng thời gian giữa các lần sao chép, đưọc thiết lập bởi người quản trị 
hệ thống. cấu hình được lưu trong Active Directory , vì thế ta có thể truy 
nhập thông tin cấu hình giống như là truy nhập tất cả các đối tượng khác 
trong Active Directory. 
Active Directory domain 
1 domain là 1 ranh giới bảo mật của 1 mạng windows.trong Active Directory 
domain , các đối tượng được lưu trữ theo 1 cấu trúc có thứ tự.Active 
Directory đưọc tạo thành từ 1 hay nhiều domain.cấu trúc thứ tự của các đối 
tượng trong domain trình bày trong hình bên dưới,mà 1 domain được trình 
bày bởi 1 hình tam giác.các đối tưọng chứa như là users, computers,books 
có thể lưu các đối tượng khác.mỗi hình oval trong hình chỉ 1 đối tượng.với 
các dòng kẻ giữa các đối tượng trình bày mối quan hệ cha con. ví dụ ,books 
là cha của .NET và Java, Pro C# ,Beg C# và ASP.NET là con của đối tưọng 
.NET 
Domain controller 
1 domain đơn lẻ có thể có nhiều domain controller, mỗi các lưu tất cả các 
đối tượng trong domain .không có cái nào làm chủ, và tất cả DC đểu bình 
đẳng như nhau, ta có mô hình multi-master. các đối tượng được sao chép 
giữa các server bên trong domain 
Site 
1 site là 1 vị trí trong mạng mà giữ ít nhất 1 DC. nếu ta có nhiều vị trí trong 
xí nghiệp, mà được kết nối trên đường truyền chậm, ta có thể dùng nhiều site 
trong 1 domain đơn.vì lí do sao lưu hay khả năng co giãn mà mỗi site có thể 
có 1 hay nhiều DC đang chạy. Việc sao chép giữa các server trong 1 site có 
thể xảy ra trong các khoảng thời gian ngắn hơn nếu kết nối nhanh hơn.Việc 
sao chép được chỉnh để xuất hiện vào khoảng thời gian lớn hơn giữa các 
server ở bên kia site , tuỳ thuộc vào tốc độ mạng, tất nhiên người quản trị có 
thể chỉnh điều này. 
Domain tree 
Nhiều domain có thể đưọc kết nối bởi mối quan hệ đáng tin cậy. những 
domain này chia sẻ 1 schema chung , 1 cấu hình chung và 1 global catalog . 
1 schema chung và 1 cấu hình chung nghĩa là 1 dữ liệu được sao chép khắp 
các domain. 
Cây domain chia sẻ cùng lớp và thuộc tính schema.các đối tượng không 
được sao chép trên toàn domain 
Các domain được kết nối theo dạng cây domain. các domain trong cây 
domain có không gian tên theo câu trúc và liên hệ với nhau. nghĩa là tên 
domain của domain con là tên của domain con kết thêm với tên domain cha. 
giữa các domain ,thì giao thức Kerberos được thiết lập. 
Ví dụ , ta có domain gốc wrox.com, mà là cha của india.wrox.com và 
uk.wrox.com 
Forest 
Nhiều cây domain nối với nhau dùng chung schema, chung cấu hình,và 1 
global catalog không có không gian tên gắn kết nhau, đưọc gọi là rừng.1 
rừng là 1 tập cây domain, 1 rừng được dùng nếu công ty có 1 công ty con 
nằm ở 1 tên domain khác nên được sử dụng. ta nói asptoday.com độc lập với 
domain wrox.com, nhưng nó có thể có sự quản lý chung,và có thể cho người 
sử dụng từ asptoday.com truy nhập vào các tài nguyên từ domain wrox.com. 
Global catalog ( GC ) 
Việc tìm kiếm 1 đối tượng có thể phải dàn trải ra ở nhiều domain.nếu ta tìm 
1 đối tượng người dùng với 1 vài thuộc tính ta phải tìm trên mỗi domain. bắt 
đầu với wrox.com , sau đó đến uk.wrox.com và india.wrox.com; nếu đường 
truyền chậm ta phải tìm kiếm trong 1 khoảng thời gian khá lâu. 
Để tìm kiếm nhanh hơn, tất cả các đối tượng được sao chép vào global 
catalog.GC.GC được sao chép vào mỗi domain trong 1 rừng.có ít nhất là 1 
server trong mỗi domain giữ 1 GC. vì lí do hiệu suất ,ta có thể có nhiều hơn 
1 GC server trong 1 domain.dùng GC,việc tìm kiếm 1 đối tượng có thể tìm 
tất cả các đối tượng chỉ trên 1 server đơn. 
GC là 1 vùng cache chỉ đọc của tất cả các đối tượng ,mà chỉ có thể sử dụng 
trong tìm kiếm; các domain controller phải được cập nhật. 
Không phải tất cả các thuộc tính đều được lưu trong GC. ta có thể định nghĩa 
có hay không 1 thuộc tính được lưu với 1 đối tượng. quyết định này tuỳ 
thuộc vào việc nó có hay được dùng thường xuyên trong tìm kiếm hay 
không. 1 hình ảnh của người sử dụng không hữu ích trong 1 GC.bởi vì ta sẽ 
không bao giờ tìm 1 bức ảnh. số điện thọai thì hữu ích hơn.ta cũng có thể 
định nghĩa 1 thuộc tính được lập chỉ mục để truy vấn nhanh hơn. 
Replecation ( sự sao chép) 
Active Directory dùng kiến trúc multi-master server. việc cập nhật có thể 
và sẽ xảy ra đối với mọi domain controller trong domain.Replication 
latency định nghĩa khoảng thời gian 1 lần cập nhật được thi hành. 
 - Thông báo thay đổi khả năng cấu hình xảy ra, mặc định là mỗi 5 phút 
bên trong 1 site nếu vài thuộc tính thay đổi.DC nơi 1 thay đổi xuất hiện 
thông báo đến 1 server sau các server khác trong mỗi 30 giây,vì thế DC thứ 
tư có thể nhận thông báo thay đổi sau 7 phút.thời gian thông báo thay đổi, 
mặc định, xuyên suốt các site đưọc thiết lập là 180 phút. 
 - Nếu không có thay đổi, sao chép xuất hiện mỗi 60 phút bên trong 1 
site.điều này đảm bảo không 1 thông báo thay đổi nào bị bỏ sót. 
Trong 1 sao chép chỉ có những thay đổi được sao chép đến DC.với mỗi thay 
đổi của 1 thuộc tính , 1 bản số ( USN,cập nhật số liên tếp) và tem thời gian 
được ghi lại.điều này được sử dụng để giúp cho việc giải quyết xung đột nếu 
cập nhật xảy ra đối với cùng 1 thuộc tính trên những server khác nhau. 
Ví dụ : số điện thọai của John Doe có số USN 47. giá trị này được sao chép 
đến tất cả các DC.1 người quản trị hệ thống thay đổi số điện thoại. việc thay 
đổi xuất hiện trên server DC1. số USN mới của thuộc tính này trên server 
DC1 là 48,trong khi các DC khác vẫn giữ số 47. nếu ai đó vẫn đang đọc 
thuộc tính này, giá trị cũ có thể được đọc cho đến khi việc sao chép đến tất 
cả các domain controller xảy ra. 
Bây giờ nếu 1 người quản trị khác thay đổi thuộc tính số điện thọai và ở đây 
1 DC khác đưọc chọn bởi vì người quản trị nhận 1 đáp ứng nhanh hơn từ 
server DC2. USN của thuộc tính này trên server DC2 cũng thay đổi thành 
48. 
Vào khoảng thơì gian thông báo,thông báo xảy ra bởi vì USN của thuộc tính 
thay đổi.và lần cuối cùng việc sao chép xuất hiện là với 1 USN có giá trị 47. 
cơ chế sao chép thăm dò thấy server DC1 và DC2 đều có USN của thuộc 
tính này là 48. server nào thắng không quan trọng,nhưng sẽ có 1 server 
thắng.để giải quyết xung đột này tem thời gian được dùng.bởi vì thay đổi 
xảy ra sau trên DC2 nên giá trị được lưu trong domain controller DC2 sẽ 
được sao chép. 
Đặc tính của dữ liệu trong Active Directory 
Active Directory không thay thế 1cơ sở dữ liệu quan hệ hay Registry - 
nhưng loại dữ liệu nào ta sẽ lưu trong đó ? 
 - Ta có dữ liệu có cấu trúc (hierarchical data ) trong Active Directory. 
ta có thể có các đối tượng chứa mà lưu những đối tượng chứa khác và cũng 
là các đối tượng. 
 - Dữ liệu nên được sử dụng dạng read-mostly. bởi việc sao chép xuất 
hiện vào các khảng thời gian cố định,ta không thể chắc rằng ta sẽ đọc dữ liệu 
được cập nhật chưa. trong ứng dụng ta phải nhận ra rằng thông tin ta đọc có 
thể không phải là thông tin mới nhất. 
 - Dữ liệu nên là global đối với enterprise, điều này bởi vì việc thêm 1 
kiểu dữ liệu mới đến schema sẽ sao chép đến tất cả các server trong 
enterprise. đối với các kiểu dữ liệu mà chỉ được quan tâm bởi 1 số nhỏ người 
dùng , người quản trị domain enterprise sẽ không thường xuyên cài đặt các 
kiểu schema mới. 
 - Dữ liệu đưọc lưu trữ phải có kích thước hợp lí bởi vấn đề sao chép. 
nếu dữ liệu là 100k,sẽ tốt nếu nó được lưu trong Active Directory và chỉ 
thay đổi 1 lần 1 tuần . tuy nhiên nếu dữ liệu thay đổi hàng giờ, thì kích thước 
này là quá lớn. phải luôn nghĩ đến việc sao chép trên nhiều server khác 
nhau.nếu có dữ liệu lớn thì có thể chỉ lưu liên kết của nó vào Active 
Directory, và chứa dữ liệu đó trong nơi khác. 
Schema 
Schema định nghĩa các kiểu của các đối tượng, thuộc tính bắt buộc hay tuỳ 
chọn, và cú pháp và ràng buộc trên các thuộc tính.trong schema phân biệt 
giữa đối tượng lớp schema và thuộc tính Schema.1 lớp là tập hợp các thuộc 
tính .với các lớp , kế thừa đơn được hổ trợ.như ta thấy trong biểu đồ lớp sau , 
lớp user dẫn xuất từ lớp organizationalPerson,organizationalPerson là lớp 
con của person ,và lớp cơ sở là top. lớp schema mà định nghĩa 1 lớp mô tả 
các thuộc tính với thuộc tính systemMayContain. 
Trong lớp gốc top ta có thể thấy mỗi đối tượng có thể có chung thuộc tính 
tên ( cn ),displayname, objectGUID, whenChanged, và whenCreated. lớp 
person dẫn xuất từ top.1 đối tượng person cũng có 1 userPassword và 1 
telephonenumber. OrganizationalPerson dẫn xuất từ person. thêm vào đó 
thuộc tính của person có manager,department và company; 1 user có các 
thuộc tính thêm cần để đăng nhập vào hệ thống. 

File đính kèm:

  • pdfActive_Directory.pdf