Các giải pháp ảo hóa Domain Controller – Part 2

Quản trị mạng – Trong phần hai của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn một số tùy chọn cho việc ảo hóa domain controller. Ở phần cuối của phần một chúng tôi đã đề cập đến khả năng tạo một Active Directory forest hoàn toàn độc lập để quản lý các host ảo của bạn. Ưu điểm của phương pháp này là cho phép bạn ảo hóa tất cả các domain controller sản xuất của mình trong khi đó vẫn có thể sử dụng các công cụ quản lý phụ thuộc Active...
Nội dung trích xuất từ tài liệu:
Các giải pháp ảo hóa Domain Controller – Part 2 Các giải pháp ảo hóa Domain Controller – Phần 2 Quản trị mạng – Trong phần hai của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn một số t ùy chọn cho việc ảo hóa domain controller. Ở phần cuối của phần một chúng tôi đã đề cập đến khả năng tạo một Active Directory forest hoàn toàn độc lập để quản lý các host ảo của bạn. Ưu điểm của phương pháp này là cho phép bạn ảo hóa tất cả các domain controller sản xuất của mình trong khi đó vẫn có thể sử dụng các công cụ quản lý phụ thuộc Active Directory. Mặc dù có một số nhược điểm trong việc đặt các host ảo của bạn vào một forest chuyên dùng. Như chúng tôi đ ã ám chỉ trong phần trước, một trong những bất thuận lợi lớn l à yêu cầu của cơ sở hạ tầng. Nói theo cách khác, một forest chuyên dụng sẽ yêu cầu các domain controller riêng, DNS server riêng và nó cũng thể yêu cầu các kiểu máy chủ cơ sở hạ tầng khác chẳng hạn nh ư các máy chủ quản lý bản vá, quản lý antivirus hoặc backup. Một bất thuận lợi nữa trong việc tạo một forest chuy ên dụng cho các host ảo là sự mất kết nối giữa forest ảo và forest sản xuất. Phụ thuộc vào cấu hình mạng của bạn, sự mất kết nối này có thể ngăn chặn việc chia sẻ các thông tin Active Directory giữa hai forest. Điều này có thể khó giải quyết nếu bạn đang sử dụng giải pháp backup phụ thuộc vào Active Directory và mu ốn backup các máy chủ từ cả hai forest. Thậm chí ngay cả khi bạn không quan tâm đến sự cách ly Active Directory gây ra bởi việc sử dụng nhiều forest thì yêu cầu về cơ sở hạ tầng liên quan trong việc tạo một forest hoàn toàn độc lập cho các host ảo hóa có thể sẽ làm bạn phân vân rằng liệu sử dụng phương pháp này có đáng với nỗ lực của mình. Quả thực không có chiến l ược nào cho việc ảo hóa và tổ chức các domain controller là hoàn hảo. Tuy nhiên vẫn có một số thứ để bạn có thể làm cho phương pháp này trở nên lôi cuốn hơn đôi chút. Một phương pháp mà bạn có thể sử dụng ở đây là cấu hình hai máy chủ vật lý làm việc như các domain controller cho miền sản xuất. Sau đó có thể cấu hình một trong hai domain controller vật lý làm việc như một DNS server tích h ợp Active Directory. Khi hoàn tất cấu hình này, bạn có thể join các máy chủ host của mình vào miền sản xuất mà không cần phải lo lắng về nghịch biện “trứng có tr ước hay gà có trước”. Bạn có thể thực hiện ảo hóa một cách an toàn tất cả cá c domain controller c ủa mình, ngoại trừ hai domain controller mà vừa thiết lập. Rõ ràng trong cách thực hiện này, chúng ta đã thừa nhận rằng forest đang được đề cập đến chỉ gồm có một miền. Trong các phần sau của loạt bài này, chúng tôi sẽ đề cập đến các chế độ ảo hóa đa miền, c òn lúc này đây chúng tôi chỉ muốn đơn giản hóa mọi thứ bằng cách sử dụng một domain forest. Nhân tố cơ bản nằm bên dưới việc sử dụng phương pháp này là nó bảo vệ bạn tránh được các lỗi máy chủ host (tối thiểu cũng đ ược vài mức). Chúng ta giả sử rằng hai domain controller vật lý không tồn tại và rằng bạn đã ảo hóa tất cả các domain controller khác c ủa mình. Phụ thuộc vào cách cấu hình các domain controller này, bạn có thể gặp tình huống mà ở đó lỗi của máy chủ host sẽ làm cho các domain controller ảo hóa của bạn trở thành không thể truy cập, do đó nó sẽ ngăn chặn việc đăng nhập vào mạng. Có hai domain controller vật lý riêng sẽ bảo đảm việc người dùng có thể đăng nhập vào mạng thậm chí khi toàn bộ cơ sở hạ tầng ảo hóa thất bại. Rõ ràng việc đơn giản hóa ở con số hai domain controller vật lý là không đủ. Như những gì bạn có thể xem lại, chúng tôi đã đề cập rằng, một trong số hai máy chủ này cần được cấu hình làm DNS server. Cho đến đây chúng ta vẫn chưa cấu hình bất cứ máy nào trên mạng của mình để sử dụng nó như vậy. Lời khuyên ở đây là thiết lập máy chủ này làm DNS server thứ hai. Theo cách đó, các host trên mạng của bạn sẽ vẫn có thể sử dụng DNS server chính. Trong trường hợp DNS server chính của bạn hoặc các host m à nó cư trú trên bị lỗi thì DNS server vật lý vẫn có thể xử lý các truy vấn DNS trong mạng cho tới khi tình huống được khắc phục. Một vấn đề khác mà bạn cần phải xét xem liệu có nên đi theo phương pháp này hay không nằm ở các role Flexible Single Master Operation. Windows 2000 Server và các phiên bản gần đây sử dụng chế độ tạo bản sao multi master, trong đó các nâng cấp cho cơ sở dữ liệu Active Directory có thể được ghi đè vào bất cứ domain controller có sẵn n ào. Mặc dù vậy, một số domain controller được xem như quan trọng hơn một số domain controller khác. Các domain controller được gán cho các role Flexible Single Master Operation sẽ chịu trách nhiệm duy trì tính niêm trực của Active Directory. Cho ví dụ, domain controller đang nắm giữ Schema Master sẽ có trách nhiệm duy trì giản đồ Active Directory. Tất cả những sự thay đổi của giản đồ sẽ đ ược ghi đè vào domain controller này. Chúng tôi sẽ không biến bài viết này thành m ột thảo luận chuyên sâu về các Flexible Single Master Operations role và các ch ức năng của chúng mà chỉ đề cập đến sự thay thế role Flexible Single Master Operation bên trong môi trường ảo hóa. Như những gì bạn biết, có hai kiểu role Flexible Single Master Operation; domain level role và forest level role. Khi b ạn tạo một Active Directory forest, domain controller đầu tiên mà bạn thiết lập sẽ tự động đ ược gán tất cả các role ở mức forest (forest level role) v à tất cả các role mức miền (domain level role) cho miền mà bạn đã tạo. Nếu bạn tạo các miền bổ sung bên trong forest thì domain controller đầu tiên trong mỗi miền sẽ được gán các role mức miền cho miền đó. Với lưu ý đó chúng ta hãy quay lại chế độ ảo hóa của mình với hai domain controller vật lý và tất cả các domain controller đã được ảo hóa. Chúng ta hãy tiếp tục giả định rằng chế độ n ày được áp dụng cho một forest chỉ gồm có một miền đơn. Vì tất cả các domain controller đang tồn tại đều đ ã được ảo hóa, điều đó cũng có nghĩa rằng tất cả các flexible singl ...