(KHÔNG QUAN TÂM, ĐỪNG ĐỌC! COI CHỪNG BỊ ĐIÊN)
Mình xin bổ xung cho thread "có bác nào cài..." như sau:
Trong môi trường Win2Kx không áp dụng khái niệm Primary DC/ Backup DC. Chỉ có DC mà thôi. Thế nhưng không có nghĩa các DC là như nhau, mà chúng có thể được trao những vai trò khác nhau trong mạng như:
Global Catalog Server
Schema Master
Domain naming Master
PDC (Primary Domain Controler) Emulator
RID (Relative Identifier) Master
Infastructure Master
Một DC có thể đãm nhận 1 lúc nhiều vai trò.
Có lọai vai trò tại 1 thời điểm chỉ có 1 DC trong domain / forest được fép đãm nhận mà thôi. (nhằm tránh xung đột và đãm bảo tính đồng nhất dữ liệu). Chúng ta có thể chuyển giao (tranfering)/ hoặc cưỡng bức chuyển giao (seizing - khi không transfer được, DC down chẳng hạn) vai trò này khi cần thiết.
Cũng có lọai vai trò cho fép nhiều DC trong domain / forest đãm nhận nhằm cân bằng tải và nâng cao tính sẳn sàng. Trường hợp này các DC này họat động song song. Nếu 1 em down thì em kia tiếp tục chạy cover mà không cần phài làm thao tác de/promote gì cả. Khác với khái niệm PDC/ BDC.
Sẳn tiện mình xin liệt kê luôn 1 số khái niệm đặc thù trong môi trường WIN2K như sau: (mình tạm dịch và diễn giải theo ý mình. Có gì các bạn bổ sung nha.)
- Active Directory: là Directory Service (dịch vụ chỉ mục) trong Win2K được quảng cáo (mà thiệt) là rất Active. Directory Service = Directory + Service. Directory: chứa những object đại diện cho các tài nguyên mạng như user/ group/computer/ domain/site... Service ở đây là dịch vụ mạng dựa trên Directory này, hỗ trợ admin quản trị tập trung, user truy cập tài nguyên nhanh chóng dể dàng mà không cần quan tâm vị trí vật lý của tài nguyên đó trong mạng.
- Active Directory Schema: không chứa bản thân object mà chứa yếu tố phân loại (Object Classes) cùng thuộc tính (Attributes) của object. Khi đối tượng thuộc 1 class nào đó nó sẽ được gán cho 1 tập thuộc tính được định nghĩa cho class đó. Ví dụ ta có 1 user account giangcòi (trong gặp nhau cuối tuần chứ không phải Giangvh nha). giangcòi là 1 object. thuộc lọai (Object Class) là User (user account mà). Bạn mở properties của object này thấy có các field First name, Midle Name, Description... Mí cái đó là thuộc tính của object đó. Bạn mở properties của 1 user account khác cũng thấy 1 tập các thuộc tính tượng tự, chỉ khác giá trị mà thôi. Các user account là cùng lọai (Object Class) nên có cùng tập thuộc tính vậy mà.
- AD Schema được chứa trong AD database.
- AD Database được chứa trong các DC.
- Domain Controller được định nghĩa: là 1 PC WIN2K (or more) SRV có chứa 1 bản Active Directory Database có thể hiệu chình được (a writeable copy of AD database). DC trong cùng Domain/ Forest sẽ quản lý những thay đổi trong bản AD Database trên nó và tự động đồng bộ hóa những thay đổi đó với các DC khác. Việc đồng bộ hóa (replication) nhằm đảm bào các thông tin trong AD là đồng nhất và sẳn sàng cho tất cả các DC cụng như client trong mạng.
-Global Catalog: đúng nghĩa 1 cuốn catalog chứa các thông tin cần thiết (1 số thuộc tính thường dùng như first/ last/ logon name) để định vị 1 đối tượng bất kỳ trong Directory.
-Global Catalog Server: là DC chịu trách nhiệm thu nhận các truy vấn tài nguyên và xử lý chúng căn cứ vào global catalog. Ví dụ bạn search tìm tất cả các máy in trong tòan forest, Global Catalog Server tìm trong Global Catalog và trả về kết quả. Nếu không có Global Catalog Server, truy vấn này sẽ tìm kiếm trên từng domain trong forest làm tăng trafic mạng. (giống như muốn đặt mua 1 cái tủ, tui tới showroom (Global Catalog Server) chỉ mẫu đó trong catalog, showroom căn cứ vào các thông tin trong catalog như mã hàng, màu sắc... liên hệ với các kho (DC) lấy cho tui. Nếu không có catalog, thằng chả fải chạy tới từng kho tìm mẫu đó, vừa tốn thời gian vừa tăng trafic.)
DC đầu tiên được tạo trong AD sẽ là Global Catalog Server. Ta có thể active thêm vai trò này trên DC khác trong Forest để cân bằng tải cho tiến trình truy vấn tài nguyên và cả cho việc đăng nhập nữa.
Operations Master: vì sao có khái niệm này? Đối với 1 họat động (Operation) nào đó, không thể có nhiều người cùng ra quyết định. mà không gây xào xáo mâu thuẩn. Phải có 1 tay trùm (Master) thống nhất ra quyết định. Ví dụ như cùng 1 thời điểm DC này xóa 1 Domain Object rồi replicate. DC khác lại move chính Domain Object đó vào location khác và replicate. Ai nghe ai. Dụ này hả, để ông trùm Domain naming Master giải quyết.
Vậy Operations Master là vai trò tối thượng (MASTER) của 1 DC trong Win2K Active Directory đối với 1 họat động (Operation) nào đó. Chỉ có DC giữ vai trò Operations Master mới được fép trực tiếp thực hiện những thay đổi liên quan đến AD.
Có 5 Operations Master Role:
1- Schema Master=DC duy nhất có quyền quản lý việc cập nhật vào AD Schema
2- Domain naming Master: quản lý việc thêm bớt domain trong forest. Domain controler nào đóng vai trò này cũng fải đóng vai trò Global Catalog Server luôn.
3- PDC (Primary Domain Controler) Emulator: họat động như 1 PCD trong môi trường lai WinNT và 2K để tương thích ngược/ hỗ trợ các BDC WinNT / các Client trước Win2K.
4- RID (Relative Identifier) Master: cấp fát các dải RID cho các DC trong Domain.
** 1 DC khi tạo ra 1 đối tượng quản trị như user/ group/ computer object, nó sẽ gán cho mỗi object này 1 SID (Security Identifier) duy nhất (giống số xe). SID này gồm 1 Domain SID (giống nhau cho tất cả các object được tạo trong cùng 1 Domain ~ phần số xe phân biệt Tỉnh/ Thành) và 1 RID (duy nhất cho mỗi đối tượng trong Domain đó). Vậy RID là yếu tố phân biệt giữa object này với object khác trong cùng domain. Trong khi Domain SID + RID là yếu tố phân biệt giữa object này với object khác trong tòan Forest.
Để đảm bảo việc mỗi object có 1 RID duy nhất, các DC trong cùng 1 domain không thể cấp phát RID búa xua được mà fải chịu sự quản lý tập trung của RID Master. Thế nhưng RID Master không cấp phát trực tiếp RID (DC câp). Mà nó cấp hẳn 1 dải RID cho 1 DC, DC dùng RID trong dải này cấp cho các object mới. Hết dải này, xin thêm dải khác. (giống như anh Trung Ương bảo anh Quận 5 được cấp số xe từ HCM-10...50. anh Quận I cấp từ HCM-51...100. Khi anh Quận 5 cấp hết số cho nhân dân lên xin sẽ được TW cấp thêm dãi HCM-101...150 chẳng hạn, nếu dãi này chưa cấp cho ai khác.)
5- Infastructure Master: Khi Forest của chúng ta có hơn 1 domain, để từ Domain A truy cập các đối tượng ớ domain B, chúng ta phải có tham chiếu của đối tượng đó (object reference). Infastructure Master sẽ định kỳ dùng cơ chế replicate truy vấn Global Catalog Server để cập nhật các tham chiếu rồi đồng bộ thông tin đó cho các DC trong domain. Lưu ý a/ Nếu Forest bạn chỉ có 1 domain --> không cần active Infastructure Master. b/ Không đặt Infastructure Master vào DC đã đóng vai trò Global Catalog Server vì Infastructure Master sẽ không họat động được do không replicate được với Global Catalog Server (chung 1 DC thì còn replicate gì nữa).
Lưu ý:
-Trong mỗi Forest chỉ có 1 Schema Master và 1 Domain naming Master
-Mỗi domain có riêng và chỉ 1PDC Emulator, 1 RID Master, 1 Infastructure Master.
-Mặc định, Domain Controler đầu tiên của 1 Forest mới đãm nhận cả 5 vai trò và cũng là 1 global catalog server
-Mặc định, Domain Controler đầu tiên của 1 Domain đãm nhận cả đồng thời 3 vai trò PDC Emulator, 1 RID Master, 1 Infastructure Master.
Mình xin bổ xung cho thread "có bác nào cài..." như sau:
Trong môi trường Win2Kx không áp dụng khái niệm Primary DC/ Backup DC. Chỉ có DC mà thôi. Thế nhưng không có nghĩa các DC là như nhau, mà chúng có thể được trao những vai trò khác nhau trong mạng như:
Global Catalog Server
Schema Master
Domain naming Master
PDC (Primary Domain Controler) Emulator
RID (Relative Identifier) Master
Infastructure Master
Một DC có thể đãm nhận 1 lúc nhiều vai trò.
Có lọai vai trò tại 1 thời điểm chỉ có 1 DC trong domain / forest được fép đãm nhận mà thôi. (nhằm tránh xung đột và đãm bảo tính đồng nhất dữ liệu). Chúng ta có thể chuyển giao (tranfering)/ hoặc cưỡng bức chuyển giao (seizing - khi không transfer được, DC down chẳng hạn) vai trò này khi cần thiết.
Cũng có lọai vai trò cho fép nhiều DC trong domain / forest đãm nhận nhằm cân bằng tải và nâng cao tính sẳn sàng. Trường hợp này các DC này họat động song song. Nếu 1 em down thì em kia tiếp tục chạy cover mà không cần phài làm thao tác de/promote gì cả. Khác với khái niệm PDC/ BDC.
Sẳn tiện mình xin liệt kê luôn 1 số khái niệm đặc thù trong môi trường WIN2K như sau: (mình tạm dịch và diễn giải theo ý mình. Có gì các bạn bổ sung nha.)
- Active Directory: là Directory Service (dịch vụ chỉ mục) trong Win2K được quảng cáo (mà thiệt) là rất Active. Directory Service = Directory + Service. Directory: chứa những object đại diện cho các tài nguyên mạng như user/ group/computer/ domain/site... Service ở đây là dịch vụ mạng dựa trên Directory này, hỗ trợ admin quản trị tập trung, user truy cập tài nguyên nhanh chóng dể dàng mà không cần quan tâm vị trí vật lý của tài nguyên đó trong mạng.
- Active Directory Schema: không chứa bản thân object mà chứa yếu tố phân loại (Object Classes) cùng thuộc tính (Attributes) của object. Khi đối tượng thuộc 1 class nào đó nó sẽ được gán cho 1 tập thuộc tính được định nghĩa cho class đó. Ví dụ ta có 1 user account giangcòi (trong gặp nhau cuối tuần chứ không phải Giangvh nha). giangcòi là 1 object. thuộc lọai (Object Class) là User (user account mà). Bạn mở properties của object này thấy có các field First name, Midle Name, Description... Mí cái đó là thuộc tính của object đó. Bạn mở properties của 1 user account khác cũng thấy 1 tập các thuộc tính tượng tự, chỉ khác giá trị mà thôi. Các user account là cùng lọai (Object Class) nên có cùng tập thuộc tính vậy mà.
- AD Schema được chứa trong AD database.
- AD Database được chứa trong các DC.
- Domain Controller được định nghĩa: là 1 PC WIN2K (or more) SRV có chứa 1 bản Active Directory Database có thể hiệu chình được (a writeable copy of AD database). DC trong cùng Domain/ Forest sẽ quản lý những thay đổi trong bản AD Database trên nó và tự động đồng bộ hóa những thay đổi đó với các DC khác. Việc đồng bộ hóa (replication) nhằm đảm bào các thông tin trong AD là đồng nhất và sẳn sàng cho tất cả các DC cụng như client trong mạng.
-Global Catalog: đúng nghĩa 1 cuốn catalog chứa các thông tin cần thiết (1 số thuộc tính thường dùng như first/ last/ logon name) để định vị 1 đối tượng bất kỳ trong Directory.
-Global Catalog Server: là DC chịu trách nhiệm thu nhận các truy vấn tài nguyên và xử lý chúng căn cứ vào global catalog. Ví dụ bạn search tìm tất cả các máy in trong tòan forest, Global Catalog Server tìm trong Global Catalog và trả về kết quả. Nếu không có Global Catalog Server, truy vấn này sẽ tìm kiếm trên từng domain trong forest làm tăng trafic mạng. (giống như muốn đặt mua 1 cái tủ, tui tới showroom (Global Catalog Server) chỉ mẫu đó trong catalog, showroom căn cứ vào các thông tin trong catalog như mã hàng, màu sắc... liên hệ với các kho (DC) lấy cho tui. Nếu không có catalog, thằng chả fải chạy tới từng kho tìm mẫu đó, vừa tốn thời gian vừa tăng trafic.)
DC đầu tiên được tạo trong AD sẽ là Global Catalog Server. Ta có thể active thêm vai trò này trên DC khác trong Forest để cân bằng tải cho tiến trình truy vấn tài nguyên và cả cho việc đăng nhập nữa.
Operations Master: vì sao có khái niệm này? Đối với 1 họat động (Operation) nào đó, không thể có nhiều người cùng ra quyết định. mà không gây xào xáo mâu thuẩn. Phải có 1 tay trùm (Master) thống nhất ra quyết định. Ví dụ như cùng 1 thời điểm DC này xóa 1 Domain Object rồi replicate. DC khác lại move chính Domain Object đó vào location khác và replicate. Ai nghe ai. Dụ này hả, để ông trùm Domain naming Master giải quyết.
Vậy Operations Master là vai trò tối thượng (MASTER) của 1 DC trong Win2K Active Directory đối với 1 họat động (Operation) nào đó. Chỉ có DC giữ vai trò Operations Master mới được fép trực tiếp thực hiện những thay đổi liên quan đến AD.
Có 5 Operations Master Role:
1- Schema Master=DC duy nhất có quyền quản lý việc cập nhật vào AD Schema
2- Domain naming Master: quản lý việc thêm bớt domain trong forest. Domain controler nào đóng vai trò này cũng fải đóng vai trò Global Catalog Server luôn.
3- PDC (Primary Domain Controler) Emulator: họat động như 1 PCD trong môi trường lai WinNT và 2K để tương thích ngược/ hỗ trợ các BDC WinNT / các Client trước Win2K.
4- RID (Relative Identifier) Master: cấp fát các dải RID cho các DC trong Domain.
** 1 DC khi tạo ra 1 đối tượng quản trị như user/ group/ computer object, nó sẽ gán cho mỗi object này 1 SID (Security Identifier) duy nhất (giống số xe). SID này gồm 1 Domain SID (giống nhau cho tất cả các object được tạo trong cùng 1 Domain ~ phần số xe phân biệt Tỉnh/ Thành) và 1 RID (duy nhất cho mỗi đối tượng trong Domain đó). Vậy RID là yếu tố phân biệt giữa object này với object khác trong cùng domain. Trong khi Domain SID + RID là yếu tố phân biệt giữa object này với object khác trong tòan Forest.
Để đảm bảo việc mỗi object có 1 RID duy nhất, các DC trong cùng 1 domain không thể cấp phát RID búa xua được mà fải chịu sự quản lý tập trung của RID Master. Thế nhưng RID Master không cấp phát trực tiếp RID (DC câp). Mà nó cấp hẳn 1 dải RID cho 1 DC, DC dùng RID trong dải này cấp cho các object mới. Hết dải này, xin thêm dải khác. (giống như anh Trung Ương bảo anh Quận 5 được cấp số xe từ HCM-10...50. anh Quận I cấp từ HCM-51...100. Khi anh Quận 5 cấp hết số cho nhân dân lên xin sẽ được TW cấp thêm dãi HCM-101...150 chẳng hạn, nếu dãi này chưa cấp cho ai khác.)
5- Infastructure Master: Khi Forest của chúng ta có hơn 1 domain, để từ Domain A truy cập các đối tượng ớ domain B, chúng ta phải có tham chiếu của đối tượng đó (object reference). Infastructure Master sẽ định kỳ dùng cơ chế replicate truy vấn Global Catalog Server để cập nhật các tham chiếu rồi đồng bộ thông tin đó cho các DC trong domain. Lưu ý a/ Nếu Forest bạn chỉ có 1 domain --> không cần active Infastructure Master. b/ Không đặt Infastructure Master vào DC đã đóng vai trò Global Catalog Server vì Infastructure Master sẽ không họat động được do không replicate được với Global Catalog Server (chung 1 DC thì còn replicate gì nữa).
Lưu ý:
-Trong mỗi Forest chỉ có 1 Schema Master và 1 Domain naming Master
-Mỗi domain có riêng và chỉ 1PDC Emulator, 1 RID Master, 1 Infastructure Master.
-Mặc định, Domain Controler đầu tiên của 1 Forest mới đãm nhận cả 5 vai trò và cũng là 1 global catalog server
-Mặc định, Domain Controler đầu tiên của 1 Domain đãm nhận cả đồng thời 3 vai trò PDC Emulator, 1 RID Master, 1 Infastructure Master.
Comment