Các giải pháp ảo hóa Domain Controller – Phần 5

Các giải pháp ảo hóa Domain Controller – Phần 5Trong phần 5 này chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách bảo vệ các domain controller trong môi trường ảo hóa. Cho đến đây, những gì chúng tôi đã giới thiệu với các bạn về việc sắp đặt domain controller bên trong trung tâm dữ liệu ảo chỉ mới đề cập đến vấn đề làm sao tránh xuất hiện lỗi single point bên trong cơ sở hạ tầng domain. Mặc dù vậy vẫn còn có một số vấn đề khác mà chúng tôi chưa giới thiệu. Chính...
Nội dung trích xuất từ tài liệu:
Các giải pháp ảo hóa Domain Controller – Phần 5 Các giải pháp ảo hóa Domain Controller – Phần 5Trong phần 5 này chúng tôi sẽ tiếp tục giới thiệu cho các bạncách bảo vệ các domain controller trong môi trường ảo hóa.Cho đến đây, những gì chúng tôi đã giới thiệu với các bạn vềviệc sắp đặt domain controller bên trong trung tâm dữ liệu ảo chỉmới đề cập đến vấn đề làm sao tránh xuất hiện lỗi single pointbên trong cơ sở hạ tầng domain. Mặc dù vậy vẫn còn có một sốvấn đề khác mà chúng tôi chưa giới thiệu. Chính vì vậy trongphần 5 này, chúng tôi sẽ giới thiệu cho các bạn một số bước cầnthiết để bảo vệ tính toàn vẹn cho Active Directory trong môitrường ảo.Lúc này bạn có thể đang phân vân về cách thức thực hiện đơngiản trong quá trình ảo hóa một domain controller có thể đe dọađến tính toàn vẹn của Active Directory. Quả thât có một vàiđiểm khác biệt có nguy cơ dẫn đến việc lỗi Active Directory nếucác domain controller ảo của bạn không được thực hiện đúngcách.Lưu trữ trên đĩaMột trong những mối lo ngại lớn nhất về tính toàn vẹn củaActive Directory là việc lưu trữ trên đĩa. Chắc các bạn đã biết,Active Directory thực sự không có gì khác biệt so với một cơ sởdữ liệu cư trú trên các domain controller. Nếu cơ sở dữ liệu nàybị lỗi thì Active Directory cũng bị lỗi theo. Điều này phụ thuộcvào bản chất của lỗi và vào việc sắp xếp cũng như vai trò củadomain controller bị lỗi.Do lỗi cơ sở dữ liệu có ảnh hưởng một cách tiềm tàng đến toànbộ Active Directory, do đó Microsoft đã đưa ra một số cảnh báotrước để tránh lỗi này. Một trong số đó là vô hiệu hóa việc lưutrữ trong phân vùng có chứa cơ sở dữ liệu Active Directory.Điều này được thực hiện hoàn toàn tự động khi bạn tiến cử máychủ lên trạng thái domain controller.Lý do tại sao Microsoft lại vô hiệu hóa việc lưu trữ trên đĩa cóchứa cơ sở dữ liệu Active Directory là để tránh nguy cơ mất dữliệu do lỗi nguồn hoặc lỗi trong quá trình ghi. Cách thức này sẽtránh được hiện tượng mất các phiên giao dịch đối với cơ sở dữliệu Active Directory trong trường hợp có vấn đề bất thường xảyra.Khi ảo hóa một domain controller, Windows sẽ tự động vô hiệuhóa hành động ghi vào phân vùng ổ cứng có chứa cơ sở dữ liệuActive Directory. Tuy nhiên vấn đề ở đây là Windows không hềcó ý tưởng gì về việc nó đang chạy bên trong một máy ảo. Dùviệc ghi lên đĩa có thể được vô hiệu hóa cho các file ổ cứng ảo,nhưng phân vùng vật lý mà file cư trú trên lại nằm bên dưới sựđiều khiển của hệ điều hành cha và như vậy quá trình ghi đĩa cóthể vẫn bị được kích hoạt.Tuy việc ghi có thể vô hiệu hóa một cách tự động đối với phânvùng vật lý theo phần mềm ảo hóa mà bạn đang chạy hay theocấu hình phần cứng của máy chủ. Nhưng vẫn một số vấn đề cầnxem xét nếu một domain controller ảo được cấu hình sử dụngchế độ SCSI. Nếu máy chủ host có được sự hỗ trợ SCSI ForcedUnit Access (FUA) một cách đầy đủ thì chúng ta không cần phảilo lắng về các hoạt động ghi được đệm ở mức host. Lúc đó cócác dữ liệu không được đệm mới được gửi đến đĩa vật lý. Mặcdù vậy nếu FUA không được hỗ trợ đầy đủ thì bạn cần phải tựvô hiệu hóa hành động ghi ở mức host.Cảnh báo trướcCho dù máy chủ host được cấu hình theo một cách nào đó nhằmtránh sử dụng việc ghi đĩa thì vẫn tồn tại trường hợp mất một sốphiên liên lạc cơ sở dữ liệu Active Directory do lỗi nguồn. Tuysự mất mát này chắc chắn không đáng kể gì so với việc kíchhoạt chế độ ghi đĩa nhưng đó vẫn là thứ mà tránh được thì chúngta nên làm. Một cách để tránh vấn đề đó là luôn dự phòng chomỗi một máy chủ host của mình một bộ lưu điện (UPS).Các dịch vụ khácTrước khi tiếp tục, chúng tôi muốn nói rằng các lỗi ghi và lỗinguồn không những có nguy cơ phá hỏng cơ sở dữ liệu ActiveDirectory mà chúng còn có nguy cơ gây ra các vấn đề đối vớicác kiểu cơ sở dữ liệu khác. Do đó trong khi đã sử dụng một sốbiện pháp bảo vệ các ứng dụng quản lý cơ sở dữ liệu chẳng hạnnhư Exchange Server, chúng ta rất hay quên mất một điều rằngcó một số dịch vụ Windows bên trong sử dụng cơ sở dữ liệuExtensible Storage Engine và chúng chống cũng cần được bảovệ trước các lỗi này. Ngoài cơ sở dữ liệu Active Directory, còncó một số dịch vụ khác như File Replication Service (FRS) vàDHCP.Sự lạm dụng phần mềm ảo hóaChắc chắn mối đe dọa lớn nhất đối với một domain controller ảođến từ con người. Hầu hết các hãng ảo hóa lớn đều đưa thêmtính năng snapshot vào bên trong các phần mềm của họ. Cáchtạo một snapshot gần giống như việc tạo một điểm khôi phục.Một snapshot cho phép bạn khôi phục lại máy ảo của mình ởđiểm khôi phục nào đó.Bạn có thể hình dung là các snapshot rất hữu dụng. Một cách tốtnhất mà nhiều quản trị viên hay làm là tạo một snapshot trướckhi thực hiện thay đổi cấu hình đối với một máy chủ ảo nào đó.Bằng cách này, nếu có vấn đề gì xảy ra, họ sẽ không khó khăntrong việc quay trở lại thời điểm trước đó. Tuy nhiên vấn đề ởđây là bạn không thể sử dụng snapshot trên các domaincontroller.Lý do ở đây là bản tính ...