Các giải pháp ảo hóa Domain Controller – Part 5

Quản trị mạng – Trong phần 5 này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách bảo vệ các domain controller trong môi trường ảo hóa. Cho đến đây, những gì chúng tôi đã giới thiệu với các bạn về việc sắp đặt domain controller bên trong trung tâm dữ liệu ảo chỉ mới đề cập đến vấn đề làm sao tránh xuất hiện lỗi single point bên trong cơ sở hạ tầng domain. Mặc dù vậy vẫn còn có một số vấn đề khác mà chúng tôi chưa giới thiệu. Chính vì vậy trong phần 5...
Nội dung trích xuất từ tài liệu:
Các giải pháp ảo hóa Domain Controller – Part 5 Các giải pháp ảo hóa Domain Controller – Phần 5Quản trị mạng – Trong phần 5 này chúng tôi sẽ tiếp tục giới thiệu cho các bạncách bảo vệ các domain controller trong môi tr ường ảo hóa.Cho đến đây, những gì chúng tôi đã giới thiệu với các bạn về việc sắp đặtdomain controller bên trong trung tâm d ữ liệu ảo chỉ mới đề cập đến vấn đềlàm sao tránh xuất hiện lỗi single point bên trong cơ sở hạ tầng domain. Mặcdù vậy vẫn còn có một số vấn đề khác mà chúng tôi chưa giới thiệu. Chính vìvậy trong phần 5 này, chúng tôi sẽ giới thiệu cho các bạn một số b ước cần thiếtđể bảo vệ tính toàn vẹn cho Active Directory trong môi tr ường ảo.Lúc này bạn có thể đang phân vân về cách thức thực hiện đ ơn giản trong quátrình ảo hóa một domain controller có thể đe dọa đến tính to àn vẹn của ActiveDirectory. Quả thât có một vài điểm khác biệt có nguy cơ dẫn đến việc lỗiActive Directory nếu các domain controller ảo của bạn không đ ược thực hiệnđúng cách.Lưu trữ trên đĩaMột trong những mối lo ngại lớn nhất về tính toàn vẹn của Active Directory làviệc lưu trữ trên đĩa. Chắc các bạn đã biết, Active Directory thực sự không cógì khác biệt so với một c ơ sở dữ liệu c ư trú trên các domain controller. Nếu cơsở dữ liệu này bị lỗi thì Active Directory cũng bị lỗi theo. Điều này phụ thuộcvào bản chất của lỗi và vào việc sắp xếp cũng như vai trò của domaincontroller bị lỗi.Do lỗi cơ sở dữ liệu có ảnh hưởng một cách tiềm tàng đến toàn bộ ActiveDirectory, do đó Microsoft đ ã đưa ra một số cảnh báo trước để tránh lỗi này.Một trong số đó là vô hiệu hóa việc l ưu trữ trong phân vùng có chứa cơ sở dữliệu Active Directory. Điều này được thực hiện hoàn toàn tự động khi bạn tiếncử máy chủ lên trạng thái domain controller.Lý do tại sao Microsoft lại vô hiệu hóa việc l ưu trữ trên đĩa có chứa cơ sở dữliệu Active Directory là để tránh nguy cơ mất dữ liệu do lỗi nguồn hoặc lỗitrong quá trình ghi. Cách th ức này sẽ tránh được hiện tượng mất các phi ên giaodịch đối với cơ sở dữ liệu Active Directory trong tr ường hợp có vấn đề bấtthường xảy ra.Khi ảo hóa một domain controller, Windows sẽ tự động vô hiệu hóa h ành độngghi vào phân vùng ổ cứng có chứa cơ sở dữ liệu Active Directory. Tuy nhiênvấn đề ở đây là Windows không hề có ý tưởng gì về việc nó đang chạy bêntrong một máy ảo. Dù việc ghi lên đĩa có thể được vô hiệu hóa cho các file ổcứng ảo, nhưng phân vùng vật lý mà file cư trú trên lại nằm bên dưới sự điềukhiển của hệ điều hành cha và như vậy quá trình ghi đĩa có thể vẫn bị đượckích hoạt.Tuy việc ghi có thể vô hiệu hóa một cách tự động đối vớ i phân vùng vật lýtheo phần mềm ảo hóa mà bạn đang chạy hay theo cấu hình phần cứng củamáy chủ. Nhưng vẫn một số vấn đề cần xem xét nếu một domain controller ảođược cấu hình sử dụng chế độ SCSI. Nếu máy chủ host có đ ược sự hỗ trợ SCSIForced Unit Access (FUA) một cách đầy đủ thì chúng ta không cần phải lolắng về các hoạt động ghi đ ược đệm ở mức host. Lúc đó có các dữ liệu khôngđược đệm mới được gửi đến đĩa vật lý. Mặc d ù vậy nếu FUA không được hỗtrợ đầy đủ thì bạn cần phải tự vô hiệu hóa hành động ghi ở mức host.Cảnh báo trướcCho dù máy chủ host được cấu hình theo một cách nào đó nhằm tránh sử dụngviệc ghi đĩa thì vẫn tồn tại trường hợp mất một số phiên liên lạc cơ sở dữ liệuActive Directory do l ỗi nguồn. Tuy sự mất mát này chắc chắn không đáng kểgì so với việc kích hoạt chế độ ghi đĩa nh ưng đó vẫn là thứ mà tránh được thìchúng ta nên làm. Một cách để tránh vấn đề đó là luôn dự phòng cho mỗi mộtmáy chủ host của mình một bộ lưu điện (UPS).Các dịch vụ khácTrước khi tiếp tục, chúng tôi muốn nói rằng các lỗi ghi và lỗi nguồn khôngnhững có nguy cơ phá hỏng cơ sở dữ liệu Active Directory mà chúng còn cónguy cơ gây ra các vấn đề đối với các kiểu c ơ sở dữ liệu khác. Do đó trong khiđã sử dụng một số biện pháp bảo vệ các ứng dụng qu ản lý cơ sở dữ liệu chẳnghạn như Exchange Server, chúng ta rất hay quên mất một điều rằng có một sốdịch vụ Windows bên trong sử dụng cơ sở dữ liệu Extensible Storage Enginevà chúng chống cũng cần được bảo vệ trước các lỗi này. Ngoài cơ sở dữ liệuActive Directory, còn có m ột số dịch vụ khác như File Replication Service(FRS) và DHCP.Sự lạm dụng phần mềm ảo hóaChắc chắn mối đe dọa lớn nhất đối với một domain controller ảo đến từ conngười. Hầu hết các hãng ảo hóa lớn đều đưa thêm tính năng snapshot vào bêntrong các phần mềm của họ. Cách tạo một snapshot gần giống nh ư việc tạo mộtđiểm khôi phục. Một snapshot cho phép bạn khôi phục lại máy ảo của m ình ởđiểm khôi phục nào đó.Bạn có thể hình dung là các snapshot rất hữu dụng. Một cách tốt nhất mà nhiềuquản trị viên hay làm là tạo một snapshot trước khi thực hiện thay đổi cấu hìnhđối với một máy chủ ảo nào đó. Bằng cách này, nếu có vấn đề gì xảy ra, họ sẽkhông khó khăn trong việc quay trở lại thời điể ...