(+84) 463.28.7979

Sử dụng các subnet Catch-All trong Active Directory


Trong một thế giới lý tưởng, tất cả người dùng đều được hướng trực tiếp đến domain controller thích hợp để chứng nhận Active Directory.

Tuy nhiên, trng phần lớn các tổ chức thì điều này là không cần thiết vì thông tin subnet IP không được xác định một cách chính xác trong Active Directory. Kết quả là một số người dùng chứng nhận với một domain controller tuỳ ý, không phải là tối ưu cho chứng nhận Active Directory.

Trong bài này, tôi cung cấp một giải pháp tiềm năng để đảm bảo người dùng định vị được DC phù hợp cho việc chứng nhận khi thông tin subnet IP không được xác định đầy đủ trong Active Directory.

Client định vị Domain controller.

Khi một máy tính cố gắng định vị một domain controller, một quá trình gọi là domain controller locator (Locator) được bắt đầu để xác định domain controller Active Directory phù hợp. Locator sử dùng thông tin được lưu trữ trên Active Directory và DNS để cố gắng tìm ra một domain controller với những role cần thiết và nằm trên một site gần với client nhất.

Locator sử dụng thông tin được xác định trong container Configuration trong domain root forest, được sao chép đến mỗi domain controller trong rừng. Các đối tượng site, các đối tượng subnet, và các đối tượng domain controller server đều là bắt buộc để Locator tìm được domain controller gần nhất cho máy tính client. Các đối tượng site dùng để đại diện cho các site Active Directory. Các đối tượng subnet dùng để đại diện các đoạn địa chỉ IP và tương ứng với đối tượng site phù hợp. Các đối tượng domain controller server dùng để đại diện cho các domain controller và tương ứng với một đối tượng site.

Domain controller Active Directory đăng kí các record DNS xác định các site mà DC nằm bên cạnh. Số các record DNS mà mỗi domain controller đăng kí tuỳ vào số role mà DC có. Ví dụ, một DC là một server Global Catalog sẽ đăng kí thêm một record DNS mà tự nhận nó là như vậy. Tương tự, một domain controller chứa một role Operations Master cũng sẽ đăng kí một record DNS mà tự nó giới thiệu là nó.
Quá trình một máy tính client định vị một domain controller như sau:

Locator được khởi tạo trên máy tính client như là một quá trình call từ xa (RPC) đến dịch vụ Net Logon.

Client thu thập các thông tin cần để chọn một domain controller và chuyển thông tin đến dịch vụ Net Logon.

Dịch vụ Net Logon trên máy client dùng các thông tin đã thu thập được để xây dựng một truy vấn để gởi đến DNS để xác định domain controller phù hợp.

Dịch vụ Net Logon trên máy client gởi một gói thông tin đến domain controller vừa tìm được.

Dịch vụ thư mục cắt truy vấn ra và gởi nó đến dịch vụ Net Logon trên các domain controller.

Dịch vụ Net Logon trên domain controller tìm địa chỉ IP client trong map table subnet-to-site của nó bằng cách tìm đối tượng mạng con giống nhất với địa chỉ IP client và sau đó đưa các thông tin sau về lại client: tên của site mà domain controller hiện đang nằm tại đó, và một bit biểu thị liệu DC tìm thấy có nằm trên site gần với client nhất không.

Client kiểm tra thông tin để xác định liệu có nên cố gắng tìm một domain controller nào tốt hơn không. Quyết định được thực hiện như sau: Nếu domain controller trả về nằm ở site gần nhất, client dùng domain controller này; nếu client tìm được một DC trên một site mà DC yêu cầu client nằm trên đó, client dùng domain controller này; nếu DC không nằm ở site gần nhất, client update các thông tin của site và gởi một truy vấn DNS mới để tìm một DC mới trên site. Nếu truy vấn thứ hai thành công, DC mới sẽ được sử dụng. Nếu thất bại, DC ban đầu sẽ được sử dụng.

Nếu domain đang được truy vấn bởi client cũng chính mà domain mà máy tính được join đến, site trên máy tính cư trú được lưu trữ trong registry trên máy tín client. Sau khi client định vị một DC, cổng vào domain controller được nhớ sẵn. Nếu domain controller không nằm trong site tối ưu, client sẽ flust cache sau 15 phút và bỏ cổng vào cache. Sau đó nó cố gắng tìm một domain controller tối ưu trên cùng site như client.

Trong trường hợp nơi một máy tính client dùng một địa chỉ IP không được biểu diễn trong map table subnet-to-site, DC trả lại một site name NULL và client dùng domain controller được trả lại, nằm trên bất kì site Active Directory nào.

Vấn đề

Nếu một domain controller không thể xác định site gần nhất, do thông tin IP mạng con không được xác định trong Active Directory, chứng nhận sau đó phải dùng một DC không tối ưu để thay thế.

Hình 1 mô tả một site Active Directory mẫu thiết kế để dùng cấu trúc một hub và một spoke.

Người dùng đăng nhập từ một máy tính là một trong những mạng con đã được xác định trong Active Directory được đưa trực tiếp đến một domain controller trên site Active Directory gần nhất của chúng để chứng nhận. Tuy nhiên, người dùng đăng nhập từ một máy tính trên một mạng con khác, ví dụ như 10.1.4.0/24, được hướng đến một DC tuỳ ý.

Active Directory

Hình 1 Cấu trúc liên kết hub và spoke.

Cách để khắc phục vấn đề này, là xác định các subnet thêm vào trong Active Directory và liên kết chúng với site thích hợp. Tuy nhiên, các tổ chức (đặc biệt là các tổ chức nhỏ và vừa) thường gặp phải vấn đề lấy thông tin yêu cầu để add những subnet thêm vào Active Directory. Đặc biệt hơn, các quản trị viên Active Directory dần nhận thức được sự có mặt của các subnet bổ sung thông qua các file log và các lỗi, nhưng không biết những chức vụ thực của những subnet này, ngăn chúng khỏi nhận diện những site nào các subnet tương ứng với.

Pages: 1 2

Leave a Reply

Your email address will not be published. Required fields are marked *