Làm việ
ệc với Read Only Domain
D
Co
ontroller – Phần 1
Nguồn : quantrimang.com 
Brrien M. Po
osey
Quản trrị mạng – Trong bài này chúng tôi sẽ giớ
ới thiệu ch
ho các bạn
n lý do tại sao
s
Microso
oft lại đưa trở lại tính
h năng Rea
ad Only Do
omain Con
ntrollers và
à tầm quan
n
trọng củ
ủa chúng như
n thế nà
ào.
Giới thiệu
W
Server
S
200
08, Microso

oft đã đưa trở lại mộtt tính năng
g mà chúng ta
Trong Windows
không thấy
t
từ Win
ndows NT; đó chính là tính năng Read Only
O
Doma
ain
Controllers. Trong
g bài viết này,
n
chúng
g tôi sẽ giớ
ới thiệu cho
o các bạn lý do tại sa
ao
oft lại làm như
n vậy và
à ưu điểm trong việcc sử dụng Read Onlyy Domain
Microso
Controllers nằm ở chỗ nào.
O
Domain Controlller (hay đư
ược viết tắt là RODC
C) đã bị bỏ rơi các đâ
ây
Read Only
hàng th

hập kỷ. Tuy
y nhiên nó lại xuất hiiện trở lại trong
t
Wind
dows Servver 2008, điều
đ
này hẳn
n là có lý do
d của nó.
Chúng ta đều biết Windows
W
NT là hệ điề
ều
dows Serve
er đầu tiên
n
hành máyy chủ Wind
của Microsoft. Cũng
g giống như
ư các hệ điều
đ
dows Serve
er hiện đạii,
hành máyy chủ Wind
Windows NT cũng hỗ
h trợ sử dụng
d
miền..
g khác biệtt đó là dom
main

Tuy nhiên có những
controller bên trong mỗi miền mới có khả
ontroller nà
ày được biết
b
năng ghi. Domain co
ên Primary Domain Controller
C
h
hay
đến với tê
PDC, là một
m domain
n controllerr mà quản trị
viên có thể
ể ghi thông
g tin lên đó
ó. Sau đó
Primaryy domain controller
c
s cập nhậ
sẽ
ật cho các domain co
ontroller kh
hác bên tro
ong
miền. Các
C domain
n controlle
er khác nàyy được coii như một backup do

omain
controller và ở trạ
ạng thái ch
hỉ đọc nhữn
ng gì mà chúng
c
đượ
ợc nâng cấ
ấp bởi prim
mary
domain controllerr.
m
này là
àm việc kh
há tốt nhưng nó cũng
g có nhượ
ợc điểm của
Mặc dù mô hình miền
ng kể nhất trong số các
c nhượcc điểm đó là vấn đề với
v primaryy domain
nó. Đán
controller có thể là
à tê liệt toà
àn bộ miền
n. Như những gì bạn
n có thể biết, Microsoft
ổi lớn đối với
v mô hình miền khi họ phát hành
h

Windows
đã giới thiệu một số thay đổ
erver. Win
ndows 2000
0 Server có
c giới thiệ
ệu hai công
g nghệ mớ
ới cho các
2000 Se


domain controller, cả hai đều vẫn được sử dụng cho tới ngày nay đó là Active
Directory và multi master domain (mô hình đa miền chủ).
Dù vẫn có những vai trò của PDC và một số vai trò đặc biệt khác, nhưng hầu hết
các domain controller trong mô hình multi master domain đều có thể ghi. Điều đó
có nghĩa rằng một quản trị viên có thể sử dụng một nâng cấp cho bất cứ domain
controller nào và nâng cấp đó sẽ được nhân rộng cho tất cả các domain
controller khác trong miền.
Mô hình multi master domain được giữ lại trong Windows Server 2003 và vẫn
được sử dụng trong Windows Server 2008. Mặc dù vậy, Windows Server 2008
cũng cho phép bạn có thể tạo Read Only Domain Controller. RODC là các bộ
điều khiển miền (domain controller) mà các quản trị viên không thể cập nhật trực
tiếp cơ sở dữ liệu Active Directory. Chỉ có một cách để nâng cấp các domain
controller là sử dụng một sự thay đổi đối với domain controllers cho phép ghi,
sau đó cho phép thay đổi đó nhân rộng đến RODC.
Như những gì bạn có thể thấy, RODC không phải là sự thiếu sót của một di hài
từ thời Windows NT. Trong trường hợp này công nghệ thực sự mang tính chất
chu kỳ! Rõ ràng Microsoft sẽ không đưa trở lại RODC nếu họ không thấy có
những ưu điểm trong việc thực hiện đó.

Trước khi bắt đầu giải thích tại sao Microsoft lại đưa trở lại RODC, hãy cho phép
chúng tôi làm sáng tỏ rằng việc sử dụng RODC hoàn toàn không mang tính bắt
buộc. Nếu bạn muốn mọi domain controller trong toàn bộ forest đều có thể ghi
thì bạn hoàn toàn có thể thực hiện điều đó.
Một thứ khác mà chúng tôi muốn đề cập nhanh là mặc dù RODC rất giống với
Backup Domain Controllers (BDC) được sử dụng trong Windows NT nhưng
chúng có một chút tiến hóa. Tuy nhiên bên cạnh đó cũng có một số thứ mang
tính duy nhất đối với RODC và chúng tôi sẽ chỉ ra cho các bạn về những vấn đề
này.
Lại quay trở về với câu hỏi tại sao Microsoft lại đưa trở lại RODC? Quả thực có
rất nhiều khó khăn trong việc hỗ trợ các văn phòng chi nhánh. Điều đó là vì sự
cách ly của các văn phòng này và vì bản chất của kết nối giữa cơ quan đầu não
của công ty và văn phòng nhánh.
Thông thường, có một số tùy chọn khác nhau cho việc quản lý các văn phòng
chi nhánh, tuy nhiên trong các phương pháp đó lại có một số các ưu nhược điểm
của riêng chúng. Một trong những cách chung nhất cho việc xử lý với các văn
phòng nhánh là để tất cả các máy chủ trong một văn phòng chính, sau đó cung
cấp cho người dùng văn phòng chi nhánh kết nối với các máy chủ này thông qua


một liên kết WAN.
Rõ ràng, bất thuận lợi rõ nhất trong việc sử dụng phương pháp này là nếu liên
kết WAN gặp trục trặc thì người dùng tại văn phòng chi nhánh sẽ không thể thực
hiện bất cứ công việc gì, vì họ hoàn toàn bị cách ly khỏi tài nguyên máy chủ.
Thậm chí nếu liên kết WAN hoạt động nhưng hiệu suất có thể bị giảm vì các liên
kết WAN thường có tốc độ chậm và dễ bị tắc nghẽn.
Một tùy chọn khác cho việc xử lý với các văn phòng chi nhánh là đặt tối thiểu
một domain controller trong văn phòng này. Domain controller này sẽ hoạt động
như một DNS server và như một máy chủ global catalog. Theo cách này, nếu
liên kết WAN gặp vấn đề thì người dùng trong văn phòng chi nhánh vẫn có thể

đăng nhập vào mạng. Phụ thuộc vào bản chất của công việc của người dùng tại
văn phòng mà có thể đặt thêm số lượng máy chủ tại văn phòng nhánh.
Giải pháp này thường cho kết quả làm việc khá tốt tuy nhiên vẫn có một số
nhược điểm trong quá trình sử dụng nó. Bất thuận lợi chính là về giá thành. Việc
để nhiều máy chủ tại các văn phòng nhánh yêu cầu tổ chức cần phải bỏ ra nhiều
tiền để mua phần cứng máy chủ và kèm theo đó là các đăng ký về phần mềm.
Tuy cũng có thể được hỗ trợ về giá thành. Một tổ chức cần phải xác định rõ xem
liệu họ cần thuê nhân viên CNTT “full time” để hỗ trợ cho văn phòng nhánh
không, hay họ có thể bằng lòng với thời gian mà nhân viên CNTT đi lại từ văn
phòng chính đến văn phòng nhánh khi cần đến sự hỗ trợ onsite.
Một vấn đề khác trong việc để các máy chủ tại văn phòng nhánh là việc bảo mật.
Các máy chủ được đặt bên ngoài trung tâm dữ liệu thường thiếu tính giám sát
cao. Chúng thường chỉ được khóa lại trong một buồng nhỏ tại văn phòng nhánh
và được giao cho nhân viên uy tín giữ chìa khóa.
Như đã được đề cập ở trên, các kết nối WAN có thể chậm và không ổn định.
Điều này đã làm nảy sinh một vấn đề khác với việc đặt máy chủ tại các văn
phòng chi nhánh. Lưu lượng mô hình thứ bản Domain controller có thể làm tắc
nghẽn liên kết WAN.
Đây chính là chỗ RODC thể hiện được vai trò của nó. RODC cũng giống như
các domain controller khác, ngoại trừ cơ sở dữ liệu Active Directory không thể
ghi trực tiếp. Việc đặt RODC tại văn phòng chi nhánh không khắc phục triệt để
được vấn đề lưu lượng bản sao của Active Directory nhưng nó làm giảm được
một phần tải trọng của các máy chủ đầu cầu vì chỉ có lưu lượng bản sao gửi đến
là được cho phép.
RODC cũng có thể cải thiện được vấn đề bảo mật vì người tại văn phòng chi
nhánh không thể thay đổi bất cứ thứ gì trong cơ sở dữ liệu Active Directory.


Thêm vào đó, không có thông tin về tài khoản nào được tạo bản sao đến RODC.
Điều này có nghĩa rằng nếu ai đó đánh cắp một RODC thì người này cũng không

thể sử dụng các thông tin mà họ lấy được từ nó. Việc các thông tin tài khoản
người dùng không được ghi đến RODC cũng làm giảm được số lượng lưu lượng
bản sao đối với các liên kết WAN, tuy nhiên nó không có nghĩa rằng với một số
ngoại lệ, thẩm định người dùng sẽ phụ thuộc vào liên kết WAN đang hiện hữu.
Kết luận
Như những gì bạn thấy, Read Only Domain Controller có vai trò rất quan trọng
của nó. Trong phần tiếp theo của loạt bài này, chúng tôi sẽ giới thiệu cho các
bạn việc lập kế hoạch và triển khai cho Read Only Domain Controller.