Các giải pháp ảo hóa Domain Controller – Phần 2
Quản trị mạng – Trong phần hai của loạt bài này, chúng tôi s
ẽ tiếp tục giới
thiệu cho các bạn một số tùy chọn cho việc ảo hóa domain controller.
Ở phần cuối của phần một chúng tôi đã đề cập đến khả năng tạo m
ột Active
Directory forest hoàn toàn độc lập để quản lý các host ảo của bạn. Ưu đi
ểm của
phương pháp này là cho phép b
ạn ảo hóa tất cả các domain controller sản xuất
của mình trong khi đó v
ẫn có thể sử dụng các công cụ quản lý phụ thuộc
Active Directory.
Mặc dù có một số nhược điểm trong việc đặt các host ảo của bạn vào m
ột
forest chuyên dùng. Như chúng tôi đã ám chỉ trong phần trư
ớc, một trong
những bất thuận lợi lớn là yêu cầu của cơ s
ở hạ tầng. Nói theo cách khác, một
forest chuyên dụng sẽ yêu cầu các do
main controller riêng, DNS server riêng
và nó cũng thể yêu cầu các kiểu máy chủ cơ sở hạ tầng khác chẳng hạn nh
ư các
máy chủ quản lý bản vá, quản lý antivirus hoặc backup.
Một bất thuận lợi nữa trong việc tạo một forest chuyên dụng cho các host ảo l
à
sự mất kết nối giữa forest ảo và forest sản xuất. Phụ thuộc vào cấu hình m
ạng
của bạn, sự mất kết nối này có th
ể ngăn chặn việc chia sẻ các thông tin Active
Directory giữa hai forest. Điều này có th

ể khó giải quyết nếu bạn đang sử dụng
giải pháp backup phụ thuộc vào Active Directory và mu
ốn backup các máy
chủ từ cả hai forest.
Th
ậm chí ngay cả khi bạn không quan tâm đến sự cách ly Active Directory gây
ra bởi việc sử dụng nhiều forest thì yêu cầu về cơ sở hạ tầng li
ên quan trong
việc tạo một forest hoàn toàn độc lập cho các host ảo hóa có thể sẽ làm b
ạn
phân vân rằng liệu sử dụng phương pháp này có đáng với nỗ lực của m
ình.
Quả thực không có chiến lược nào cho việc ảo hóa và t
ổ chức các domain
controller là hoàn hảo. Tuy nhiên vẫn có một số thứ để bạn có thể làm c
ho
phương pháp này trở nên lôi cuốn hơn đôi chút.
Một phương pháp mà bạn có thể sử dụng ở đây là cấu hình hai máy ch
ủ vật lý
làm việc như các domain controller cho miền sản xuất. Sau đó có thể cấu h
ình
một trong hai domain controller vật lý làm việc như một DNS server tích h
ợp
Active Directory.
Khi hoàn tất cấu hình này, bạn có thể join các máy chủ host của mình vào mi
ền
sản xuất mà không cần phải lo lắng về nghịch biện “trứng có trước hay g
à có
trước”. Bạn có thể thực hiện ảo hóa một cách an toàn tất cả cá
c domain

controller của mình, ngoại trừ hai domain controller mà vừa thiết lập. R
õ ràng
trong cách thực hiện này, chúng ta đã thừa nhận rằng forest đang đư
ợc đề cập
đến chỉ gồm có một miền. Trong các phần sau của loạt bài này, chúng tôi s
ẽ đề
cập đến các chế độ ảo hóa đa miền, còn lúc này đây chúng tôi chỉ muốn đ
ơn
giản hóa mọi thứ bằng cách sử dụng một domain forest.
Nhân t
ố cơ bản nằm bên dưới việc sử dụng phương pháp này là nó b
ảo vệ bạn
tránh được các lỗi máy chủ host (tối thiểu cũng được vài mức). Chúng ta gi
ả sử
rằng hai domain controller vật lý không tồn tại và rằng bạn đã
ảo hóa tất cả các
domain controller khác của mình. Phụ thuộc vào cách cấu h
ình các domain
controller này, bạn có thể gặp tình huống mà ở đó lỗi của máy chủ host sẽ l
àm
cho các domain controller ảo hóa của bạn trở thành không th
ể truy cập, do đó
nó sẽ ngăn chặn việc đăng nhập vào m
ạng. Có hai domain controller vật lý
riêng sẽ bảo đảm việc người dùng có thể đăng nhập vào m
ạng thậm chí khi
toàn bộ cơ sở hạ tầng ảo hóa thất bại.
Rõ ràng việc đơn giản hóa ở con số hai domain controller vật lý là không đ
ủ.
Như nh

ững gì bạn có thể xem lại, chúng tôi đã đ
ề cập rằng, một trong số hai
máy chủ này cần được cấu hình làm DNS server. Cho đ
ến đây chúng ta vẫn
chưa cấu hình bất cứ máy nào trên mạng của mình để sử dụng nó như v
ậy. Lời
khuyên ở đây là thiết lập máy chủ này làm DNS server th
ứ hai. Theo cách đó,
các host trên mạng của b
ạn sẽ vẫn có thể sử dụng DNS server chính. Trong
trường hợp DNS server chính của bạn hoặc các host mà nó cư trú trên bị lỗi th
ì
DNS server v
ật lý vẫn có thể xử lý các truy vấn DNS trong mạng cho tới khi
tình huống được khắc phục.
Một vấn đề khác mà bạn cần phải xét xem liệu có n
ên đi theo phương pháp này
hay không n
ằm ở các role Flexible Single Master Operation. Windows 2000
Server và các phiên b
ản gần đây sử dụng chế độ tạo bản sao multi master,
trong đó các nâng cấp cho cơ sở dữ liệu Active Directory có thể được ghi đ
è
vào bất cứ domain controller có sẵn nào. Mặc dù v
ậy, một số domain controller
được xem như quan trọng hơn m
ột số domain controller khác. Các domain
controller đư
ợc gán cho các role Flexible Single Master Operation sẽ chịu trách
nhiệm duy trì tính niêm tr

ực của Active Directory. Cho ví dụ, domain
controller đang nắm giữ Schema Master sẽ có trách nhiệm duy trì gi
ản đồ
Active Directory. Tất cả những sự thay đổi của giản đồ sẽ được ghi đ
è vào
domain controller này.
Chúng tôi sẽ không biến bài viết này thành một thảo luận chuyên sâu v
ề các
Flexible Single Master Operations role và các chức năng của chúng mà ch
ỉ đề
cập đến sự thay thế role Flexible Single Master Operation b
ên trong môi
trường ảo hóa.
Như nh
ững gì bạn biết, có hai kiểu role Flexible
Single Master Operation;
domain level role và forest level role. Khi b
ạn tạo một Active Directory forest,
domain controller đầu tiên mà bạn thiết lập sẽ tự động đư
ợc gán tất cả các role
ở mức forest (forest level role) và tất cả các role mức miền (domain
level role)
cho miền mà bạn đã tạo. Nếu bạn tạo các miền bổ sung b
ên trong forest thì
domain controller đầu tiên trong mỗi miền sẽ đư
ợc gán các role mức miền cho
miền đó.
Với lưu ý đó chúng ta hãy quay lại chế độ ảo hóa của mình v
ới hai domain
controller vật lý và tất cả các domain controller đã được ảo hóa. Chúng ta h

ãy
tiếp tục giả định rằng chế độ này đư
ợc áp dụng cho một forest chỉ gồm có một
miền đơn.
Vì tất cả các domain controller đang tồn tại đều đã đư
ợc ảo hóa, điều đó cũng
có nghĩa rằng tất cả các flexible single master operation role đều đang đư
ợc
cấu hình trên domain controller
ảo. Do Active Directory không thể thực hiện
lâu mà không cần truy cập vào domain controller, nơi các role được gán n
ên
chúng ta cần phải quan tâm đến có nên hay không ảo h
óa domain controller
này.
Theo quan điểm của chúng tôi, sẽ không có gì b
ất lợi trong việc ảo hóa domain
controller đang gi
ữ các flexible single master operations role. Tuy các máy chủ
host có thể lỗi, làm cho domain controller lỗi theo với nó, nhưng các máy ch
ủ
vật lý cũng có thể bị lỗi như vậy.
Lý do t
ại sao chúng ta tin ảo hóa domain controller gồm các Flexible Single
Master Operations role an toàn là vì lỗi xảy ra với domain controller này s
ẽ
không thê thảm (giả định rằng có một số domain controller khác trên m
ạng).
Miễn là một số domain controller và một DNS server còn trên m
ạng của bạn

thì Active Directory sẽ tiếp tục hoạt động bình thường trong một thời gian.
N
ếu lỗi xuất hiện cho thấy rằng dường như việc khôi phục là không thể thì b
ạn
có thể bỏ các role flexible single master operations ra kh
ỏi domain controller bị
lỗi và bổ nhiệm các role vào domain controller đang làm việc. Khả năng này s
ẽ
an toàn hơn n
ếu ảo hóa các domain controller thậm chí nếu chúng có các
flexible single master operations role.
Kết luận
Trong phần này, chúng tôi đã giới thiệu được cho các bạn một số ưu đi
ểm
trong việc sử dụng máy chủ vật lý để thực hiện nhiệm vụ nh
ư các domain
controller, trong bài cũng đề cập đến sự an toàn trong vi
ệc sử dụng các domain
controller đã được gán flexible single master operations role. Trong ph
ần ba
của loạt bài này, chúng tôi sẽ tiếp tục giới thiệu thêm v
ề chế độ thay thế
domain controller và sự thay thế máy chủ global catalog.

Văn Linh (Theo Virtualizationadmin)