Ứng dụng Active Directory Domain Services cho doanh nghiệp

Trong phiên bản 2008, Microsoft đã có một số thay đổi trong cách đặt tên cho các dịch vụ liên quan đến quản lý định danh và xác thực. Tiêu biểu là Active Directory trong Windows Server 2003 được chuyển sang tên gọi Active Directory Domain Services (ADDS) trong WS2k8. Thay đổi này là cần thiết để phân biệt dịch vụ quản trị định danh và xác thực với các dịch vụ khác như AD RMS (quản lý quyền truy cập nội dung số), AD CS (cung cấp nền tảng xác thực PKI)...

Nền tảng xác thực SSO đa nền cho ứng dụng: Đây là thay đổi lớn so với phiên bản 2003. Doanh nghiệp có thể xây dựng ứng dụng xác thực SSO thông qua AD Web Services trên Ws2k8 nhờ ADDS. Với thay đổi này những ứng dụng được viết trên Java hoặc các nền tảng ngoài Dotnet có thể dễ dàng xác thực trên ADDS.

- Triển khai và mở rộng ADDS không sử dụng đường truyền: Trong AD 2k3, khi DN triển khai AD trên diện rộng thì máy chủ DC ở những nơi mới được triển khai sẽ phải đồng bộ toàn bộ dữ liệu từ các máy chủ AD ở xa qua đường WAN. Điều này gây tốn băng thông tại thời điểm đồng bộ và ảnh hưởng đến các ứng dụng quan trọng khác như Core Banking trong ngân hàng chẳng hạn. Để hạn chế thời gian và chi phí đồng bộ qua đường WAN, Microsoft đưa ra cơ chế đồng bộ dữ liệu cho máy chủ DC mới Install from media (IFM). Với IFM, AD IT có thể xuất toàn bộ CSDL của ADDS ra đĩa cứng hoặc DVD và chuyển nó đến chi nhánh theo kiểu vật lý. Khi đó máy chủ DC mới sẽ đồng bộ dữ liệu ADDS từ đĩa cứng chứ không phải qua mạng như trước đây.

- Khôi phục dữ liệu đơn giản hơn với AD Recycle Bin: Ở phiên bản cũ việc khôi phục dữ liệu thường rất phức tạp và phải trải qua nhiều bước khôi phục dữ liệu từ backup và xác nhận với các máy chủ DC khác trong domain. AD 2k8 giúp cho cuộc sống của quản trị viên trở nên dễ dàng hơn hẳn vì các đối tượng user hay computer sẽ chỉ bị xóa về lý thuyết và thông tin cũ được lưu 180 ngày ở trạng thái recycle bin trước khi xóa hẳn. Chức năng này giúp IT khi cần có thể phục hồi nhanh chóng mà không cần tới dữ liệu backup.

- Vận hành AD 100% bằng dòng lệnh: Powershell là một công cụ scripting cực mạnh đã được đưa vào Windows Vista/Exchange 2007. Trong Windows Server 2008 R2, Microsoft bổ sung thêm 90 bộ ứng dụng Cmdlet powershell cho AD DS. “AD Admin có thể dễ dàng thực thi mọi lệnh trước đây phải sử dụng GUI. Điều này cho phép thực hiện dễ dàng các tác vụ có tính lặp lại như truy cập vào AD DS Database, liệt kê đối tượng user hay group, enable/disable user hay group, kiểm tra thông tin về password policy, khởi tạo hay xóa OU”, Ông Trần Văn Huệ, giám đốc Nhất Nghệ nhận xét. Ngoài ra Powershell có thể được dùng trong lập trình ứng dụng tương tác với AD DS.

- Nhiều cải tiến khác: Ngoài những tính năng quan trọng kể trên ADDS còn hỗ trợ nhiều phương thức mới giúp tăng tính hiệu quả trong quản trị như Group Policy Preference, thông tin đăng nhập của user hay Fine Grained password. Thêm vào đó khả năng hỗ trợ gia nhập domain không cần truy cập mạng (Offline Domain Join) giúp cho các tình huống triển khai máy trạm ảo hàng loạt hay ở các chi nhánh chưa có kết nối mạng trở thành hiện thực.

ADDS là không đơn thuần là công cụ giúp DN quản trị tập trung mà nó đóng vai trò là nền tảng hạ tầng cho các ứng dụng trong DN cũng như các thành phần hạ tầng cốt lõi khác như email, DNS, DHCP. Ở các doanh nghiệp Việt Nam có quy mô lớn hệ thống AD trên nền tảng 2k hay 2k3 thường thực hiện vào khoảng những năm 2000-2006. Thời gian này hạ tầng mạng Việt nam chưa thực sự tốt nên thiết kế AD thường có xu hướng theo mô hình phân tán. Khi đó các máy chủ DC được đặt ở các chi nhánh cấp hai để hiệu suất đăng nhập máy tính của người dùng được đảm bảo. Nhưng với chi phí đường truyền hiện tại hợp lý hơn rất nhiều, kèm theo công nghệ WAN tốc độ cao giá rẻ (như Megawan) thì doanh nghiệp lại có xu hướng đặt máy chủ DC về cấp trung tâm thay vì đặt tại chi nhánh. Khi triển khai hay nâng cấp hệ thống lên nền tảng ADDS bài toán cho doanh nghiệp còn là: chuyển mô hình công ty thành mô hình tập đoàn, xây dựng hệ thống quản trị định danh đa miền cho toàn tập đoàn với mỗi cty con là một cây trong rừng ADDS, sự gia tăng về số lượng ứng dụng lẫn người dùng cuối. Do đó DN cần có sự chuẩn bị kĩ lưỡng cho việc triển khai hay nâng cấp.

Về mặt kiến trúc ADDS vẫn tuân theo phương thức các máy chủ DC đồng cấp (tức là khả năng đọc/ghi dữ liệu AD như nhau) và các vai trò máy chủ FSMO như phiên bản AD trên 2k3. Tuy nhiên trong ADDS có bổ sung thêm vai trò máy chủ DC RODC, do đó thiết kế cũng như quản lý sẽ khác hơn trước đây. Như trong hình 3 chúng ta có thể thấy các chi nhánh như Hải Phòng, Đà Nẵng sẽ không cần IT chuyên trách mà có thể sẽ là máy chủ RODC và việc quản lý vận hành sẽ được tập trung văn phòng chính (VPC) ở HCM. Khi đó RODC ở Hải Phòng sẽ chỉ lưu các user ở Hải Phòng và khi có rủi ro an ninh xảy ra cho máy chủ này thì quản trị IT ở VPC chỉ cần xóa bỏ máy chủ RODC và reset toàn bộ mật khẩu người dùng ở Hải Phòng trên cùng một giao diện quản trị. Tuy nhiên việc lựa chọn thiết lập RODC hay DC bình thường ở chi nhánh còn phụ thuộc vào nhiều yếu tố chẳng hạn nếu chi nhánh có quá nhiều người dùng thì việc xác lập từng tài khoản trên RODC sẽ tốn rất nhiều công, chi nhánh có máy chủ đủ mạnh để cài HĐH 64bit cho DC đầy đủ không hoặc công ty đi theo mô hình quản trị phân tán và ở chi nhánh có phòng máy chủ chuyên dụng.

Việc thiết kế domain và không gian tên DNS thường chưa được quan tâm đúng mực nên thường không đảm bảo khả năng mở rộng và tính ổn định của hệ thống ADDS. Chúng tôi khuyến nghị các DN có quy mô từ trung bình trở lên nên dựng riêng một domain gốc (root domain) chẳng hạn như hình 3 là corp.vn. Domain này sẽ chứa các FSMO chính của rừng (forest) và không chứa bất cứ tài khoản người dùng hay máy tính nào. Từ domain gốc đó chúng ta sẽ thiết lập domain tài nguyên (resource domain) cho DN chẳng hạn abc.corp.vn chứa tất cả các tài khoản và tài nguyên của hệ thống. Tùy theo mô hình quản trị tập trung hay phân tán mà domain abc.corp.vn có được chẻ nhỏ ra thành hcm.abc.corp.vn, cantho.abc.corp.vn hay không.

Ngoài yếu tố DNS và lựa chon RODC ra còn rất nhiều yếu tố ảnh hưởng đến việc thiết lập kiến trúc ADDS cho DN như mô hình quản trị, yêu cầu an ninh, quy mô hệ thống, dung lượng đường truyền, kiến trúc mạng, mô hình tổ chức, yêu cầu chính sách, các ứng dụng chạy trên nền ADDS... Do đó chúng tôi khuyến cáo các DN nên yêu cầu các công ty dịch vụ CNTT tiến hành khảo sát để có thiết kế phù hợp nhất cho hệ thống của DN mình. Ngoài ra DN có thể tự khảo sát nhanh hiện trạng của công ty mình theo tài liệu hướng dẫn thiết kế IPD (Infrastructure Plan and Deploy) ADDS trên nền tảng Windows Server 2008 R2.

Ngoài các đặc tính thiết kế của ADDS, DN cũng cần suy xét đến sự sẵn sàng của hạ tầng máy chủ cho ADDS vốn chỉ chạy trên nền tảng 64bit. DN đang dùng AD 2k3 thì cần suy xét phương thức phù hợp để nâng cấp lên phiên bản mới. Ngoài ra yếu tố quan trọng nhất là việc tương thích với ADDS của các ứng dụng cũ xác thực trên nền tảng 2K3. Đôi khi việc kiểm tra khả năng tương thích của ứng dụng với ADDS chiếm đến 75% thời gian hoạch định và thử nghiệm ADDS.Tổng kết lại chúng ta thấy rõ ADDS là một nền tảng thực sự tốt và sẵn sàng cho sự phát triển của DN trong 5 năm tới với nhiều tính năng ưu việc như RODC, quản trị bằng dòng lệnh, offline domain join, hỗ trợ điện toán đám mây. Tuy nhiên để nâng cấp hoạch triển khai ADDS cần có sự chuẩn bị và thử nghiệm kĩ lưỡng.