dokylan
Đại Tướng
Posts : 1456
Điểm Số : 4289
Join date : 24/08/2010
Age : 32
Đến từ : Cà Mau
 |  Tiêu đề: kiến thức mạng ( bao gồm 14 phần)  19/09/10, 06:12 pm | |
|  Down file PDF:
[You must be registered and logged in to see this link.]
Phần 1 - Các thiết bị phần cứng mạng
Trongloạt bài này chúng ta sẽ bắt đầu hoàn toàn với nội dung cơ bản về mạngmáy tính và hướng tới xây dựng một mạng thiết thực. Mở đầu là một sốthảo luận về một số thành phần mạng khác nhau và chức năng của chúng.
Bạnđã từng thấy nhiều bài viết hướng đến mục đích dành cho các quản trịviên, những người ít nhất có một số kinh nghiệm nào đó. Còn ở đây sẽchỉ là những phần cơ sở nhất hướng đến đối tượng là những người mới bắtđầu làm quen với mạng. Trong bài đầu tiên này chúng ta sẽ thảo luận mộtsố thiết bị mạng khác nhau và khả năng làm được những gì của chúng.
Network Adapter (Bộ điều hợp mạng)
Thànhphần đầu tiên nên đề cập tới trong số các thiết bị phần cứng mạng là bộđiều hợp mạng (network adapter). Thiết bị này còn được biết đến vớinhiều tên khác nhau như network card (card mạng), Network InterfaceCard (card giao diện mạng), NIC. Tất cả đều là thuật ngữ chung của cùngmột thiết bị phần cứng. Công việc của card mạng là gắn một cách vật lýmáy tính để nó có thể tham gia hoạt động truyền thông trong mạng đó.
Điềuđầu tiên bạn cần biết đến khi nói về card mạng là nó phải được ghép nốiphù hợp với phương tiện truyền đạt mạng (network medium). Networkmedium chính là kiểu cáp dùng trên mạng. Các mạng không dây là một mảngkhác và sẽ được thảo luận chi tiết trong một bài riêng sau.
Đểcard mạng ghép nối phù hợp với phương tiện truyền đạt mạng là một vấnđề thực sự vì chúng đòi hỏi phải đáp ứng được lượng lớn tiêu chuẩn cạnhtranh bắt buộc. Chẳng hạn, trước khi xây dựng một mạng và bắt đầu muacard mạng, dây cáp, bạn phải quyết định xem liệu nên dùng Ethernet,Ethernet đồng trục, Token Ring, Arcnet hay một tiêu chuẩn mạng nàokhác. Mỗi tiêu chuẩn mạng có độ dài và nhược điểm riêng. Phác hoạ racái nào phù hợp nhất với tổ chức mình là điều hết sức quan trọng.
Ngàynay, hầu hết công nghệ mạng được đề cập đến ở trên đều nhanh ***ng trởnên mai một. Bâu giờ chỉ có một kiểu mạng sử dụng dây nối còn được dùngtrong các doanh nghiệp vừa và nhỏ là Ethernet. Bạn có thể xem phần minhhoạ card mạng Ethernet trong ví dụ hình A dưới đây.
Hình 1: Card Ethernet
Cácmạng Ethernet hiện đại đều sử dụng cáp đôi xoắn vòng 8 dây. Các dây nàyđược sắp xếp theo thứ tự đặc biệt và đầu nối RJ-45 được gắn vào phầncuối cáp. Cáp RJ-45 trông giống như bộ kết nối ở phần cuối dây điệnthoại, nhưng lớn hơn. Các dây điện thoại dùng bộ kết nối RJ-11, tươngphản với bộ kết nối RJ-45 dùng trong cáp Ethernet. Bạn có thể thấy vídụ một cáp Ethernet với đầu nối RJ-45 trong hình B.
Hình 2: Cáp Ethernet với một đầu kết nối RJ-45
Hub và Switch
Nhưbạn đã thấy ở trên, máy tính dùng card mạng để gửi và nhận dữ liệu. Dữliệu được truyền qua cáp Ethernet. Tuy nhiên, thông thường bạn khôngthể chỉ chạy một cáp Ethernet giữa hai PC để gọi đó là một mạng.
Vớithời đại của khả năng truy cập Internet tốc độ cao ngày nay, chắc chắnbạn thường nghe nói đến thuật ngữ "broadband" (băng thông rộng). Băngthông rộng là kiểu mạng trong đó dữ liệu được gửi và nhận qua cùng mộtdây, còn ở Ethernet thì dùng hình thức truyền thông Baseband. Basebandsử dụng các dây riêng trong việc gửi và nhận dữ liệu. Điều này có nghĩalà nếu một máy tính đang gửi dữ liệu qua một dây cụ thể bên trong cápEthernet thì máy tính đang nhận dữ liệu cần một dây khác được địnhhướng lại tới cổng nhận của nó.
Bạn có thể xây dựng mạng cho haimáy tính theo cách này mà người ta thường gọi là hình thức cáp chéo.Cáp chéo đơn giản là một cáp mạng có các dây gửi và nhận ngược nhau tạimột điểm cuối để các máy tính có thể được liên kết trực tiếp với nhau.
Vấnđề hạn chế khi dùng cáp mạng chéo là bạn không thể thêm hay bớt một máytính khác nào ngoài hai máy đã được kết nối. Do đó tốt hơn so với cápchéo, hầu hết mọi mạng đều sử dụng cáp Ethernet thông thường không cócác dây gửi và nhận ngược nhau ở cuối đầu nối.
Tất nhiên các dâygửi và nhận phải ngược nhau ở một số điểm nào đó để quá trình truyềnthông được thực hiện thành công. Đây là công việc của một hub hoặcswitch. Hub cũng đang trở nên lỗi thời nhưng chúng ta vẫn nên nói đếnchúng. Vì hiểu về hub sẽ giúp bạn bạn dễ dàng hơn nhiều khi nói tớiswitch.
Có một số kiểu hub khác nhau nhưng thông thường nói đếnhub tức là nói đến một cái hộp với một bó cổng RJ-45. Mỗi máy tínhtrong mạng sẽ được kết nối tới một hub thông qua cáp Ethernet. Bạn cóthể thấy một hub có hình dáng như trong hình C.
Hình 3: Hub là thiết bị hoạt động như một điểm kết nối trung tâm cho các máy tính trong một mạng.
Hubcó hai nhiệm vụ khác nhau. Nhiệm vụ thứ nhất là cung cấp một điểm kếtnối trung tâm cho tất cả máy tính trong mạng. Mọi máy tính đều được cắmvào hub. Các hub đa cổng có thể được đặt xích lại nhau nếu cần thiết đểcung cấp thêm cho nhiều máy tính.
Nhiệm vụ khác của hub là sắp xếpcác cổng theo cách để nếu một máy tính thực hiện truyền tải dữ liệu, dữliệu đó phải được gửi qua dây nhận của máy tính khác.
Ngay bây giờcó thể bạn sẽ tự hỏi, làm sao dữ liệu có thể đến được đúng đích cần đếnnếu nhiều hơn hai máy tính được kết nối vào một hub? Bí mật nằm trongcard mạng. Mỗi card Ethernet đều được cung cấp một địa chỉ vật lý MAC(Media Access Control) duy nhất. Khi một máy tính trong mạng Ethernettruyền tải dữ liệu qua mạng có các máy PC kết nối với một hub, thực tếdữ liệu được gửi tới mọi máy có trong mạng. Tất cả máy tính đều nhận dữliệu, sau đó so sánh địa chỉ đích với địa chỉ vật lý MAC của nó. Nếukhớp, máy tính sẽ biết rằng nó chính là người nhận dữ liệu, nếu khôngnó sẽ lờ dữ liệu đi.
Như bạn có thể thấy, khi một máy tính đượckết nối qua một hub, mọi gói tin đều được gửi tới tất cả máy tính trongmạng. Vấn đề là máy tính nào cũng có thể gửi thông tin đi tại bất cứthời gian nào. Bạn đã từng thấy một cuộc họp mà trong đó tất cả thànhviên tham dự đều bắt đầu nói cùng một lúc? Vấn đề của kiểu mạng nàychính là như thế.
Khi một máy tính cần truyền dữ liệu, nó kiểm traxem liệu có máy nào khác đang gửi thông tin tại cùng thời điểm đókhông. Nếu đường truyền rỗi, nó truyền các dữ liệu cần thiết. Nếu đã cómột một máy khác đang sử dụng đường truyền, các gói tin của dữ liệuđang được chuyển qua dây sẽ xung đột và bị phá huỷ (đây chính là lý dovì sao kiểu mạng này đôi khi được gọi là tên miền xung đột). Cả hai máytính sau đó sẽ phải chờ trong một khoảng thời gian ngẫu nhiên và cốgắng truyền lại các gói tin đã bị phá huỷ của mình.
Số lượng máytính trên tên miền xung đột ngày càng tăng khiến số lượng xung đột cũngtăng. Do số lượng xung đột ngày càng tăng nên hiệu quả của mạng ngàycàng giảm. Đó là lý do vì sao bây giờ gần như switch đã thay thế toànbộ hub.
Một switch (bạn có thể xem trên hình D), thực hiện tất cảmọi nhiệm vụ giống như của một hub. Điểm khác nhau chỉ là ở chỗ, khimột PC trên mạng cần liên lạc với máy tính khác, switch sẽ dùng một tậphợp các kênh logic nội bộ để thiết lập đường dẫn logic riêng biệt giữahai máy tính. Có nghĩa là hai máy tính hoàn toàn tự do để liên lạc vớinhau mà không cần phải lo lắng về xung đột
Hình 4: Switch trông giống hệt như hub nhưng hoạt động khác hơn nhiều
Switchthực sự nâng cao được đáng kể hiệu quả của mạng. Bởi chúng loại trừxung đột và còn nhiều hơn thế, chúng có thể thiết lập các đường dẫntruyền thông song song. Chẳng hạn khi máy tính A đang liên lạc với máytính B thì không có lý do gì để máy tính C không đồng thời liên lạc vớimáy tính D. Trong một tên miền xung đột (collision domain), các kiểutruyền thông song song này là không thể bởi vì chúng sẽ dẫn đến xungđột.
Kết luận
Trongbài này chúng ta đã thảo luận về một số thành phần cơ bản để tạo mộtmạng đơn giản. Trong phần hai chúng ta vẫn sẽ tiếp tục quan tâm đến cácthiết bị phần cứng mạng cơ bản. Xin mời các bạn tiếp tục đón xem ở phầnsau
Phần 2 - Router
Đâylà phần tiếp theo sau bài mở đầu về các thiết bị phần cứng mạng. Trongphần này chúng ta sẽ thảo luận nội dung chi tiết của thiết bị mạng quantrọng nhất: router.
Cho dù là người mới bắt đầu làm quen với mạng nhưng chắc hẳn bạn đãtừng nghe nói đến router. Các kết nối Internet băng thông rộng, sử dụngmodem cáp hay modem DSL luôn đòi hỏi cần phải có router. Nhưng côngviệc của router không phải là cung cấp sự nối kết Internet mà là chuyểncác gói dữ liệu từ mạng này tới mạng khác. Có nhiều kiểu router, từ đơngiản đến phức tạp. Các router bình dân thường được dùng cho kết nốiInternet gia đình, còn nhiều router có mức giá “kinh khủng” thường đượccác đại gia là những gã khổng lồ ưa chuộng. Song, cho dù đắt hay rẻ,đơn giản hay phức tạp thì mọi router đều hoạt động với các nguyên tắccơ bản như nhau.
Ở đây, chúng ta sẽ tập trung vào các routerđơn giản với giá thành thấp, chủ yếu được dùng để nối kết một máy tínhvào mạng Internet băng thông rộng. Bởi vì đối tượng của bài này lànhững người mới bắt đầu làm quen mới mạng. Và tất nhiên sẽ dễ dàng hơnnhiều khi bắt đầu với những gì đã từng quen thuộc cho hầu hết mọi ngườithay vì động đến sự phức tạp của router dùng trong các tập đoàn lớn.Nếu bạn đã có hiểu biết cơ bản về router và muốn có kiến thức chuyênsâu hơn, bạn sẽ tìm được cái mình cần trong một bài khác mà có dịpchúng tôi sẽ giới thiệu với các bạn sau.
Như đã nói ở trên,công việc của một router là chuyển các gói dữ liệu từ mạng này tới mạngkhác. Định nghĩa này có vẻ lạ trong ngữ cảnh các máy tính đã được kếtnối với đường truyền Internet băng thông rộng. Nhưng thực tế bạn nênbiết mạng là một tập hợp lớn với các mạng con khác ở bên trong.
Vậy,nếu công việc của một router là chuyển lưu lượng giữa hai mạng, trongđó một mạng là Internet thì mạng kia ở đâu? Trong trường hợp cụ thể nàychính là máy tính được kết nối tới router. Nó được cấu hình thực sự nhưmột mạng đơn giản.
Để hình dung rõ hơn, bạn có thể xem ảnhminh hoạ trong Hình A và B. Hình A là mặt trước của một router băngthông rộng 3COM, còn hình B là mặt sau của nó.
Hình A: Mặt trước của router băng thông rộng (broadband) 3COM
Hình B: Router Internet băng thông rộng gồm một tập hợp các cổng RJ-45 giống như một hub hay switch
Nhưbạn có thể thấy trên hình, thực sự không có điểm nổi bật đặc biệt nàotrong mặt trước của router. Sở dĩ chúng tôi vẫn đưa ra hình ảnh cụ thểcủa nó nhằm giúp các bạn, những người chưa quen thuộc với thiết bị nàycó thể biết được một router trông như thế nào. Hình B xem chừng có vẻthú vị hơn.
Nhìn vào hình B bạn sẽ thấy có ba tập hợp cổng ởmặt sau router. Cổng bên trái nhất là nơi điện nguồn được nối vớirouter. Ở giữa là một cổng RJ-45 dùng cho việc kết nối mạng từ xa.Trong trường hợp cụ thể này, router được dùng để cung cấp kết nốiInternet. Cổng giữa chủ yếu được dùng để kết nối router với một modemcáp hay modem DSL. Các modem này sẽ cung cấp kết nối thực tới Internet.
Còn tập hợp ở bên phải gồm bốn cổng RJ-45. Nếu bạn xem lại phầnđầu của loạt bài này bạn sẽ thấy các hub và switch cũng gồm số lượnglớn các nhóm cổng RJ-45. Trong trường hợp của hub hay switch, các cổngRJ-45 được dùng để cung cấp kết nối tới các máy tính trên mạng.
Ởrouter, các cổng đều hoạt động y như nhau. Router trong ví dụ ở đây cómột switch bốn cổng dựng sẵn. Công việc của một router là chuyển cácgói tin từ mạng này tới mạng khác. Ở trên chúng ta đã giải thích trongtrường hợp của router băng thông rộng, Internet là một mạng còn máytính đóng vai trò là một mạng thứ hai. Lý do vì sao một máy tính đơn lẻlại có thay thế như một mạng tổng thể là do router không coi PC là mộtthiết bị độc lập. Router xem PC như một nút mạng. Như bạn có thể thấytrên hình B, router cụ thể này có thể cung cấp thực sự một mạng bốn máytính. Hầu hết người dùng gia đình đều sử dụng kiểu cấu hình chỉ cần cắmmột PC vào router. Cụ thể hơn, kiểu mạng này định tuyến các gói dữ liệugiữa một mạng nhỏ (ngay cả khi mạng đó chỉ có một máy tính đơn) vàInternet (được xem như là mạng thứ hai).
Quá trình định tuyến
Đểhiểu hoạt động định tuyến được thực hiện như thế nào, đầu tiên bạn phảibiết một chút về cách thức hoạt động của giao thức TCP/IP.
Mọithiết bị kết nối tới mạng TCP/IP đều có một địa chỉ IP duy nhất giớihạn trong giao diện mạng của nó. Địa chỉ IP là một dãy bốn số riêngphân tách nhau bởi các dấu chấm. Ví dụ một địa chỉ IP điển hình códạng: 192.168.0.1.
Ví dụ dễ hiểu nhất khi nói về IP là địa chỉnhà. Địa chỉ nhà thông thường luôn có số nhà và tên phố. Số nhà xácđịnh cụ thể vị trí ngôi nhà trên phố đó. Địa chỉ IP cũng hoạt độngtương tự như vậy. Nó gồm mã số địa chỉ mạng và mã số thiết bị. So sánhvới địa chỉ nhà bạn sẽ thấy địa chỉ mạng giống như tên phố còn mã sốthiết bị giống như số nhà vậy. Địa chỉ mạng chỉ mạng cụ thể thiết bịđang tham gia trong nó còn mã số thiết bị thì cung cấp cho thiết bị mộtnhận dạng trên mạng.
Vậy kết thúc của địa chỉ mạng và khởi đầucủa mã số thiết bị ở đâu? Đây là công việc của một subnet mask. Subnetmask sẽ “nói” với máy tính vị trí cuối cùng của địa chỉ mạng và vị tríđầu tiên của số thiết bị trong địa chỉ IP. Hoạt động mạng con có khirất phức tạp. Bạn có thể tham khảo chi tiết hơn trong một bài khác màcó dịp chúng tôi sẽ giới thiệu sau. Còn bây giờ hãy quan tâm đến nhữngthứ đơn giản nhất, xem xét một subnet mask rất cơ bản.
Subnetmask thoạt nhìn rất giống với địa chỉ IP vì nó cũng có 4 con số địnhdạng theo kiểu phân tách nhau bởi các dấu chấm. Một subnet mask điểnhình có dạng: 255.255.255.0.
Trong ví dụ cụ thể này, ba số dầutiên (gọi là octet) đều là 255, con số cuối cùng là 0. Số 255 chỉ rarằng tất cả các bit trong vị trí tương ứng của địa chỉ IP là một phầncủa mã số mạng. Số 0 cuối cùng ám chỉ không có bit nào trong vị trítương ứng của địa chỉ IP là một phần của địa chỉ mạng. Do đó chúngthuộc về mã số thiết bị.
Nghe có vẻ khá lộn xộn, bạn sẽ hiểuhơn với ví dụ sau. Tưởng tượng bạn có một máy tính với địa chỉ IP là192.168.1.1 và mặt nạ mạng con là: 255.255.255.0. Trong trường hợp nàyba octet đầu tiên của subnet mask đều là 255. Điều này có nghĩa là baoctet đầu tiên của địa chỉ IP đều thuộc vào mã số mạng. Do đó vị trí mãsố mạng của địa chỉ IP này là 192.168.1.x.
Điều này là rấtquan trọng vì công việc của router là chuyển các gói dữ liệu từ mộtmạng sang mạng khác. Tất cả các thiết bị trong mạng (hoặc cụ thể làtrên phân đoạn mạng) đều chia sẻ một mã số mạng chung. Chẳng hạn, nếu192.168.1.x là số mạng gắn với các máy tính kết nối với router tronghình B thì địa chỉ IP cho bốn máy tính viên có thể là:
- 192.168.1.1
- 192.168.1.2
- 192.168.1.3
- 192.168.1.4
Nhưbạn thấy, mỗi máy tính trên mạng cục bộ đều chia sẻ cùng một địa chỉmạng, còn mã số thiết bị thì khác nhau. Khi một máy tính cần liên lạcvới máy tính khác, nó thực hiện bằng cách tham chiếu tới địa chỉ IP củamáy tính đó. Chẳng hạn, trong trường hợp cụ thể này, máy tính có địachỉ 192.168.1.1 có thể gửi dễ dàng các gói dữ liệu tới máy tính có địachỉ 192.168.1.3 vì cả hai máy này đều là một phần trong cùng một mạngvật lý.
Nếu một máy cần truy cập vào máy nằm trên mạng khácthì mọi thứ sẽ khác hơn một chút. Giả sử rằng một trong số người dùngtrên mạng cục bộ muốn ghé thăm website [You must be registered and logged in to see this link.] một websitenằm trên một server. Giống như bất kỳ máy tính nào khác, mỗi Web servercó một địa chỉ IP duy nhất. Địa chỉ IP cho website này là 24.235.10.4.
Bạncó thể thấy dễ dàng địa chỉ IP của website không nằm trên mạng192.168.1.x. Trong trường hợp này máy tính đang cố gắng tiếp cận vớiwebsite không thể gửi gói dữ liệu ra ngoài theo mạng cục bộ, vì Webserver không phải là một phần của mạng cục bộ. Thay vào đó máy tính cầngửi gói dữ liệu sẽ xem xét đến địa chỉ cổng vào mặc định.
Cổngvào mặc định (default gateway) là một phần của cấu hình TCP/IP trongmột máy tính. Đó là cách cơ bản để nói với máy tính rằng nếu không biếtchỗ gửi gói dữ liệu ở đâu thì hãy gửi nó tới địa chỉ cổng vào mặc địnhđã được chỉ định. Địa chỉ của cổng vào mặc định là địa chỉ IP của mộtrouter. Trong trường hợp này địa chỉ IP của router được chọn là192.168.1.0
Chú ý rằng địa chỉ IP của router chia sẻ cùng mộtđịa chỉ mạng như các máy khác trong mạng cục bộ. Sở dĩ phải như vậy đểnó có thể truy cập tới các máy trong cùng mạng. Mỗi router có ít nhấthai địa chỉ IP. Một dùng cùng địa chỉ mạng của mạng cục bộ, còn một doISP của bạn quy định. Địa chỉ IP này dùng cùng một địa chỉ mạng củamạng ISP. Công việc của router khi đó là chuyển các gói dữ liệu từ mạngcục bộ sang mạng ISP. ISP của bạn có các router riêng hoạt động cũnggiống như mọi router khác, nhưng định tuyến đường đi cho gói dữ liệutới các phần khác của Internet.
Kết luận
Nhưbạn có thể thấy, router là thành phần mạng cực kỳ quan trọng. Không córouter, sự nối kết giữa các mạng (chẳng hạn như Internet) là không thể.Trong phần ba của loạt bài này chúng ta sẽ thảo luận chi tiết hơn vềnội dung của giao thức TCP/IP.
Phần 3 - DNS Server
Đâylà phần tiếp theo của loạt bài Kiến thức cơ bản dành cho những ngườimới bắt đầu làm quen và tìm hiểu về mạng máy tính. Sau hai bài giớithiệu Hub và Switch, Router, nội dung của bài này đề cập đến hoạt độngcủa các server DNS (hệ thống tên miền).
Đây cũng là phần cuối cùng chúng tôi nói đến cách các máy tính trongmột phân đoạn mạng chia sẻ vùng địa chỉ IP chung như thế nào.
Nhưchúng ta đã biết, khi một máy tính cần truy cập thông tin trên một máynằm ở mạng khác hay phân đoạn mạng khác, nó cần đến sự trợ giúp củarouter. Router sẽ chuyển các gói dữ liệu cần thiết từ mạng này sangmạng khác (chẳng hạn như Internet). Nếu bạn đã từng đọc phần hai, chắchẳn bạn nhớ, chúng tôi có đưa ra một ví dụ tạo một tham chiếu đến địachỉ IP kết hợp với một website. Để có thể truy cập vào website này,trình duyệt Web của bạn phải biết địa chỉ IP của website. Sau đó trìnhduyệt cung cấp địa chỉ cho router, router sẽ xác định đường đi tới mạngkhác và yêu cầu các gói dữ liệu tới máy đích phù hợp. Mỗi website đềucó một địa chỉ IP nhưng bạn có thể ghé thăm các website này hằng ngàymà không cần quan tâm đến dãy con số đó của nó. Trong bài này chúng tôisẽ chỉ cho bạn thấy lý do vì sao có thể thực hiện được.
Địachỉ IP cũng giống như địa chỉ nhà vậy. Nó gồm có vị trí mạng (là dãy sốhiệu chỉ phân đoạn mạng máy tính đang hoạt động trong đó), tương tự nhưtên phố; và vị trí thiết bị (xác định một máy tính cụ thể trong mạng),tương tự như số nhà. Biết về địa chỉ IP là yêu cầu cần thiết cho hoạtđộng truyền thông cơ sở TCP/IP giữa hai máy tính.
Khi bạn mở mộttrình duyệt Web và nhập tên website (được biết đến như là tên miền hayđường dẫn URL(Universal Resource Locator - bộ định vị vị trí tài nguyênchung)), trình duyệt sẽ đến thẳng website mà không cần phải thông quaviệc nhập địa chỉ IP. Bạn có thể hình dung quá trình mở website cũnggiống như quá trình chuyển thư đến địa chỉ nhận ghi trên phong bì ở bưuđiện vậy. Địa chỉ IP trong truyền thông mạng đóng vai trò như địa chỉtrên phong bì. Thư không thể đến đúng nơi nếu bạn chỉ ghi tên ngườinhận mà "quên mất" địa chỉ của họ. Việc đến và mở được một website cũngnhư vậy. Máy tính của bạn không thể liên lạc được với website trừ khinó biết địa chỉ IP của website đó.
Nhưng bạn không cần gõ địa chỉIP mà trình duyệt vẫn mở được đúng website bạn muốn khi nhập tên miềnvào. Vậy địa chỉ IP ở đâu? Quá trình "dịch" tên miền thành địa chỉ IPlà công việc của một server DNS (trình chủ hệ thống tên miền).
Tronghai bài trước chúng ta đã từng nói tới một số khái niệm về cấu hìnhTCP/IP của máy tính, như địa chỉ IP, mặt nạ mạng con (subnet mask) vàcổng vào mặc định (default gateway). Nhìn hình A bên dưới bạn sẽ thấycó thêm một tuỳ chọn cấu hình khác là "Preferred DNS server" (trình chủhệ thống tên miền tham chiếu).
Hình A: Tuỳ chọn Preferred DNS Server được định nghĩa như là một phần của cấu hình TCP/IP trong máy tính.
Nhưbạn có thể thấy trong hình minh hoạ, tuỳ chọn "Preferred DNS server"được định nghĩa như là một phần của cấu hình TCP/IP. Có nghĩa là máytính sẽ luôn biết địa chỉ IP của DNS server. Điều này là hết sức quantrọng vì máy tính không thể liên lạc được với máy tính khác sử dụnggiao thức TCP/IP nếu nó không biết địa chỉ IP của máy kia.
Bâygiờ chúng ta sẽ xem xét điều gì xảy ra khi bạn cố gắng tới thăm mộtwebsite. Quá trình bắt đầu với việc bạn mở trình duyệt Web và nhậpđường dẫn URL. Khi đó, trình duyệt biết rằng nó không thể xác định đượcvị trí của website nếu chỉ dựa vào một mình địa chỉ URL. Do đó nó truyvấn thông tin địa chỉ IP của DNS sever từ cấu hình TCP/IP của máy tínhvà đưa đường dẫn URL lên trình chủ DNS server. DNS server sau đó sẽ tratìm đường dẫn URL trên bảng có danh sách địa chỉ IP của website. Sau đónó trả ra địa chỉ IP cho trình duyệt Web và trình duyệt có thể liên lạcvới website được yêu cầu.
Thực sự quá trình giải thích này cóthể được mô tả đơn giản hơn một chút. Giải pháp tên miền trong DNS chỉcó thể hoạt động nếu DNS server có chứa một bản ghi tương ứng vớiwebsite được yêu cầu. Nếu bạn vào một website ngẫu nhiên, DNS sever sẽkhông có bản ghi về website này. Lý do là bởi Internet quá lớn. Có hàngtriệu website và website mới được tạo ra mỗi ngày. Không có cách nàocho một server DNS đơn có thể bắt kịp tất cả các website và đáp ứngđược tất cả yêu cầu từ bất kỳ ai có kết nối tới Internet.
Bâygiờ giả sử một trình chủ DNS server đơn có thể lưu trữ các bản ghi chomọi website tồn tại. Nếu dung lượng của trình chủ không phải là vấn đềthì server cũng sẽ bị tràn bởi các yêu cầu xử lý tên nhận được từ ngườidùng Internet ở khắp mọi nơi. Một DNS server trung tâm hoá thường làđích nhắm rất phổ biến của các cuộc tấn công.
Do đó, các trìnhchủ DNS server thường được phân phối sang nhiều điểm, tránh cho mộtserver DNS đơn phải cung cấp xử lý tên cho toàn bộ Internet. Trên thếgiới hiện nay có một tổ chức chuyên phụ trách việc cấp phát, đăng kýtên miền Internet là Internet Corporation for Assigned Names andNumbers (hay ICANN). Do quản lý tên miền cho toàn bộ mạng là một côngviệc khổng lồ nên ICANN phân bổ nhiều phần đáp ứng tên miền cho cáchãng khác nhau. Chẳng hạn, Network Solutions phụ trách tên miền ".com".Nhưng không có nghĩa là Network Solutions duy trì danh sách các địa chỉIP kết hợp với toàn bộ tên miền .com. Trong hầu hết mọi trường hợp, DNSserver của Network Solution đều chứa bản ghi trỏ tới DNS server đượcxem là chính thức cho từng miền.
Để thấy được tất cả hoạt độngnhư thế nào, tưởng tượng rằng bạn muốn vào website [You must be registered and logged in to see this link.] nhập yêu cầu vào trình duyệt, trình duyệt gửi địa chỉ URL vào trìnhchủ DNS server được chỉ định bởi cấu hình TCP/IP của máy tính bạn.Trình chủ DNS server không biết địa chỉ của website này. Do đó, nó gửiyêu cầu tới DNS server của ICANN. DNS server của ICANN cũng không biếtđịa chỉ IP của website bạn đang muốn vào mà chỉ biết địa chỉ IP của DNSserver chịu trách nhiệm với tên miền có đuôi .COM. Nó sẽ trả lại địachỉ này cho trình duyệt và trong quá trình trả về nó cũng thực hiệnviệc đưa yêu cầu tới DNS server cụ thể đó.
Mức DNS server caonhất dành cho tên miền đuôi .COM sẽ không biết đến địa chỉ IP nào củawebsite được yêu cầu, nhưng nó biết địa chỉ IP của DNS server chínhthức cho tên miền brienposey.com. Nó sẽ gửi địa chỉ này trở lại máy đưara yêu cầu. Sau đó trình duyệt Web gửi truy vấn DNS tới DNS server cóđủ thẩm quyền cho miền được yêu cầu. Và DNS server này sẽ trả ra địachỉ IP của website, cho phép máy liên lạc với website nó yêu cầu.
Nhưbạn có thể thấy, có nhiều bước phải hoàn thành để một máy tính tìm rađịa chỉ IP của một website. Nhằm giảm bớt số truy vấn DNS phải thựchiện, kết quả của các truy vấn này thường được lưu trữ liệu trong vàigiờ hoặc vài ngày, tuỳ thuộc vào máy được cấu hình như thế nào. Việclưu trữ các địa chỉ IP nâng cao một cách tuyệt vời khả năng thực thi vàtối thiểu hoá tổng lượng băng thông tiêu thụ cho các truy vấn DNS. Bạncó thể hình dung ra quá trình duyệt Web sẽ tệ hại đến mức nào nếu máytính của bạn phải thực hiện tập hợp đầy đủ các truy vấn DNS bất kỳ thờigian nào bạn muốn xem trang Web mới.
Kết luận
Trongbài này chúng tôi đã giải thích cách trình chủ DNS server được dùng đểxử lý tên miền cho địa chỉ IP. Mặc dù quá trình được mô tả có vẻ khácđơn giản, nhưng bạn cần nhớ rằng ICANN và các nhà đăn ký DNS mức caonhư Network Solutions sử dụng công nghệ load balacing (tải cân bằng) đểphân phối yêu cầu qua nhiều server DNS khác. Điều này giúp các serverkhỏi bị tràn và loại trừ khả năng có điểm lỗi đơn
Phần 4 - Workstation và Server
Đâylà phần tiếp theo trong loạt bài hướng dẫn cơ bản dành cho những ngườimới bắt quen hay tìm hiểu về mạng. Nội dung bài hôm nay là về sự khácnhau giữa Workstation (máy trạm) và Server (máy chủ).
Trướcbài này, chúng ta đã có dịp thảo luận về các thiết bị phần cứng mạng vàgiao thức TCP/IP. Phần cứng mạng được dùng để thiết lập kết nối vật lýgiữa các thiết bị, trong khi giao thức TCP/IP là ngôn ngữ trọng yếudùng để liên lạc trong mạng. Ở bài này chúng ta cũng sẽ nói một chút vềcác máy tính được kết nối trong một mạng.
Cho dù bạn là ngườimới hoàn toàn, nhưng chắc hẳn bạn đã từng nghe nói đến các thuật ngữserver và workstation. Các thuật ngữ này thông thường được dùng để nóitới vai trò của máy tính trong mạng hơn là phần cứng máy tính. Chẳnghạn, một máy tính đang hoạt động như một server thì nó không cần thiếtphải chạy cả phần cứng của server. Bạn có thể cài đặt một hệ điều hànhserver lên máy tính của mình. Khi đó máy tính sẽ hoạt động thực sự nhưmột server mạng. Trong thực tế, hầu hết tất cả các máy chủ đếu sử dụngthiết bị phần cứng đặc biệt, giúp chúng có thể kiểm soát được khốilượng công việc nặng nề vốn có của mình.
Khái niệm máy chủmạng (network server) thường hay bị nhầm về mặt kỹ thuật theo kiểu địnhnghĩa: máy chủ là bất kỳ máy tính nào sở hữu hay lưu trữ tài nguyênchia sẻ trên mạng. Nói như thế thì ngay cả một máy tính đang chạywindows XP cũng có thể xem là máy chủ nếu nó được cấu hình chia sẻ mộtsố tài nguyên như file và máy in.
Các máy tính trước đâythường được tìm thấy trên mạng là peer (kiểu máy ngang hàng). Máy tínhngang hàng hoạt động trên cả máy trạm và máy chủ. Các máy này thường sửdụng hệ điều hành ở máy trạm (như windows XP), nhưng có thể truy vập vàsở hữu các tài nguyên mạng.
Trước đây, mạng ngang hàng thườngđược tìm thấy chủ yếu trên các mạng rất nhỏ. Ý tưởng ở đây là nếu mộtcông ty nhỏ thiếu tài nguyên để có được các máy chủ thực sự thì các máytrạm có thể được cấu hình để thực hiện nhiệm vụ "kép". Ví dụ, mỗi ngườidùng có thể tạo cho các file của mình khả năng truy cập chung với nhiềungười khác trên mạng. Nếu một máy nào đó có gắn máy in, họ có thể chiasẻ nó cho công việc in ấn của toàn bộ máy trong mạng, tiết kiệm đượctài nguyên.
Các mạng ngang hàng thường không sử dụng đượctrong các công ty lớn vì thiếu khả năng bảo mật cao và không thể quảnlý trung tâm hoá. Đó là lý do vì sao các mạng ngang hàng thường chỉđược tìm thấy trong các công ty cực kỳ nhỏ hoặc người dùng gia đình sửdụng nhiều máy PC. windows Vista (thế hệ kế tiếp của windows XP) đangcố gắng thay đổi điều này. windows Vista cho phép người dùng mạngclient/server tạo nhóm ngang hàng. Trong đó các thành viên của nhóm sẽđược chia sẻ tài nguyên với nhau trong chế độ bảo mật an toàn mà khôngcần ngắt kết nối với server mạng. Thành phần mới này sẽ được tung rathị trường với vai trò như một công cụ hợp tác.
Các mạng nganghàng không phổ biến bằng mạng client/server vì chúng thiếu an toàn vàkhả năng quản lý tập trung. Tuy nhiên, vì mạng máy tính được hình thànhtừ các máy chủ và máy trạm nên bản thân mạng không cần phải đảm bảo độbảo mật cao và khả năng quản lý tập trung. Nên nhớ rằng server chỉ làmột máy chuyên dùng để lưu trữ tài nguyên trên mạng. Nói như thế tức làcó vô số kiểu máy chủ khác nhau và một trong số đó được thiết kế chuyêndùng để cung cấp khả năng bảo mật và quản lý.
Chẳng hạn,windows server có hai kiểu loại chính: member server (máy chủ thànhviên) và domain controller (bộ điều khiển miền). Thực sự không có gìđặc biệt với member server. Member server đơn giản chỉ là máy tính đượckết nối mạng và chạy hệ điều hành windows Server. Máy chủ kiểu memberserver có thể được dùng như một nơi lưu trữ file (còn gọi là fileserver) hoặc nơi sở hữu một hay nhiều máy in mạng (còn gọi là máy inserver). Các member server cũng thường xuyên được dùng để lưu trữchương trình ứng dụng mạng. Chẳng hạn, Microsoft cung cấp một sản phẩmgọi là Exchange Server 2003. Khi cài đặt lên member server, nó cho phépmember server thực hiện chức năng như một mail server.
Domaincontroller (bộ điều khiển miền) thì đặc biệt hơn nhiều. Công việc củamột domain controller là cung cấp tính năng bảo mật và khả năng quản lýcho mạng. Bạn đã quen thuộc với việc đăng nhập bằng cách nhập usernamevà password? Trên mạng windows, đó chính là domain controller. Nó cótrách nhiệm theo dõi và kiểm tra username, password.
Ngườichịu trách nhiệm quản lý mạng được gọi là quản trị viên(administrator). Khi người dùng muốn truy cập tài nguyên trên mạngWindows, quản trị viên sẽ dùng một tiện ích do domain controller cungcấp để tạo tài khoản và mật khẩu cho người dùng mới. Khi người dùng mới(hoặc người nào đó muốn có tài khoản thứ hai) cố gắng đăng nhập vàomạng, "giấy thông hành" của họ (username và password) được gửi tớidomain controller. Domain cotroller sẽ kiểm tra tính hợp lệ bằng cáchso sánh thông tin được cung cấp với bản sao chép lưu trữ trong cơ sở dữliệu của nó. Nếu mật khẩu người dùng cung cấp và mật khẩu lưu trữ trongdomain controller khớp với nhau, họ sẽ được cấp quyền truy cập mạng.Quá trình này được gọi là thẩm định (authentication).
Trên mộtmạng Windows, chỉ có domain controller thực hiện các dịch vụ thẩm định.Tất nhiên người dùng sẽ cần truy cập tài nguyên lưu trữ trên memberserver. Đây không phải là vấn đề gì lớn vì tài nguyên ở member serverđược bảo vệ bởi một tập hợp các đặc quyền liên quan đến thông tin bảomật trên domain controller.
Để dễ hiểu hơn chúng ta sẽ lấy mộtví dụ cụ thể. Giả sử username của tôi là QuanTri. Tôi nhập username vàpassword vào, chúng sẽ được gửi tới domain controller để thẩm định. Khibộ điều khiển miền thẩm định thông tin, nó không cung cấp cho tôi quyềntruy cập bất kỳ tài nguyên nào. Nó chỉ kiểm tra tính hợp lệ từ thôngtin tôi cung cấp. Khi truy cập tài nguyên của một member server, máytính của tôi đưa mã thông báo truy cập đặc biệt, về cơ bản đã được thẩmđịnh bởi một domain controller. Có thể member server không tin tôi,nhưng nó tin domain controller. Do đó, nếu domain controller xác nhậnhợp lệ cho nhân dạng của tôi, member server sẽ chấp nhận và cung cấpkhả năng truy cập bất cứ tài nguyên nào mà tôi có quyền.
Kết luận
Nhưbạn có thể thấy, quá trình thẩm định trên domain controller và cung cấpquyền truy cập tài nguyên mạng hơi phức tạp một chút. Chúng ta sẽ tiếptục thảo luận về thẩm định (authentication) và truy cập tài nguyên(resource access) chi tiết hơn trong loạt bài sau. Còn bây giờ, tất cảchỉ là những gì đơn giản nhất nhằm giúp các bạn dễ hiểu. Trong phầntiếp của loạt bài này chúng ta sẽ thảo luận về domain controller chitiết hơn với vai trò của domain controller trong Active Directory.
Phần 5 - Domain Controller
Domain controller là gì và lựa chọn thế nào cho hợp với cơ sở hạ tầng mạng của bạn?
Trongnhững bài trước chúng ta đã nói tới vai trò của các máy tính khác nhautrên mạng. Chắc hẳn các bạn còn nhớ, ngay trong phần 4 chúng ta đã nóimột chút về domain controller. Còn bây giờ, trong bài này bạn sẽ đượcbiết sâu hơn domain controller là gì và lựa chọn chúng ra sao cho hợpvới cơ sở hạ tầng mạng của bạn.
Một trong những khái niệm quantrọng nhất của mạng Windows là domain (tức miền hay vùng). Một domainlà tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lạivới nhau để quản lý một cách tập trung. Và công việc quản lý là dànhcho domain controller (bộ điều khiển miền) nhằm giúp việc khai thác tàinguyên trở nên dễ dàng hơn.
Vậy tại sao domain controller lạirất quan trọng? Trong mạng, bất kỳ máy trạm nào đang chạy hệ điều hànhWindows XP cũng có một nhóm tài khoản người dùng tạo sẵn nào đó.Windows XP thậm chí còn cho phép bạn tạo một số tài khoản bổ sung nếuthấy cần thiết. Nếu máy trạm có chức năng như một hệ thống độc lập hoặclà một phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm(được gọi là tài khoản người dùng cục bộ) không thể điều khiển truy cậptài nguyên mạng. Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộvà hoạt động như với chức năng đảm bảo cho quản trị viên có thể thựchiện công việc bảo dưỡng, duy trì máy trạm, không cho phép người dùngcuối khả năng can thiệp vào các thiết lập trên máy trạm.
Lý dovì sao tài khoản người dùng cục bộ trên một máy trạm nhất định khôngđược phép điều khiển truy cập tài nguyên nằm ngoài máy trạm đó là nótăng thêm gánh nặng quản lý rất lớn. Tài khoản người dùng cục bộ chỉnằm trên các máy trạm riêng rẽ. Nếu một tài khoản là có chức năng bảomật chính trong mạng, quản trị viên sẽ phải di chuyển vật lý tới máytính có tài khoản đó bất kỳ khi nào phải thực hiện thay đổi quyền hạncho tài khoản. Vấn đề này không gây ra tác động gì lớn trong mạng nhỏ,nhưng sẽ trở nên cực kỳ nặng nề với ở mạng lớn hay khi cần áp dụng thayđổi rộng cho tất cả mọi tài khoản.
Một lý do khác nữa là khôngai muốn phải chuyển tài khoản người dùng từ máy này sang máy khác.Chẳng hạn, nếu máy tính của một người dùng bị phá hoại, người đó khôngthể đăng nhập vào máy tính khác để làm việc vì tài khoản họ tạo chỉ cótác dụng trên máy cũ. Nếu muốn làm được việc anh ta sẽ phải tạo tàikhoản mới trên máy khác.
Chỉ là một trong số rất nhiều lý dokhiến việc sử dụng tài khoản người dùng cục bộ cho việc truy cập antoàn tài nguyên mạng là không thực tế. Thậm chí nếu bạn muốn triển khaikiểu bảo mật này, Windows cũng không cho phép. Tài khoản người dùng cụcbộ chỉ có thể dùng tài nguyên cục bộ trên một máy trạm nhất định.
Domaincó nhiệm vụ giải quyết các vấn đề vừa nêu và một số vấn đề khác nữa.Chúng sẽ tập trung hoá tài khoản người dùng (hay cấu hình khác, các đốitượng liên quan đến bảo mật; chúng ta sẽ đề cập đến trong bài sau).Điều này giúp việc quản trị dễ dàng hơn và cho phép người dùng đăngnhập từ bất kỳ máy tính nào có trên mạng (trừ khi bạn giới hạn quyềntruy cập người dùng).
Với những thông tin đã được cung cấpchắc hẳn bạn sẽ nghĩ, về mặt nguyên lý, khi một người dùng nào đó muốntruy cập tài nguyên nằm trên một máy chủ (server), tài khoản người dùngmức server sẽ được dùng để điều khiển truy cập. Xét trên một số khíacạnh, ý tưởng này là đúng, nhưng còn có nhiều điều phải lưu ý hơn thế.
Trởlại đầu những năm 1990, khi tác giả bài báo này còn làm việc cho mộtcông ty bảo hiểm lớn, sử dụng mạng với các máy chủ chạy hệ điều hànhNovell NetWare. Windows networking hồi đó vẫn chưa được tạo ra vàNovell NetWare là hệ điều hành server duy nhất có thể lựa chọn. Công tychỉ có một network server, chứa tất cả mọi tài khoản người dùng và tàinguyên mạng cần truy cập. Một vài tháng sau, ai đó quyết định rằngngười dùng ở công ty cần chạy một nhánh ứng dụng mới. Do kích thước củaứng dụng và số lượng dữ liệu lớn nên ứng dụng phải được đặt trên mộtserver chuyên dụng.
Phiên bản Novell NetWare công ty đang dùnglúc đó chạy theo kiểu: tài nguyên nằm trên một server được bảo vệ bởitài khoản người dùng cũng nằm trên server đó. Nhưng nảy sinh vấn đề:mỗi máy chủ có tập hợp tài khoản người dùng độc lập, hoàn chỉnh vàriêng rẽ. Khi thêm một máy chủ khác vào mạng, người dùng vẫn có thểđăng nhập theo cách bình thường nhưng phải tạo username và passwordmới.
Thời gian đầu, mọi thứ trôi chảy. Nhưng khoảng một thángsau, khi cài đặt thêm một số chương trình khác lên máy chủ mới, mọiviệc trở nên tệ hại. Các máy chủ buộc người dùng phải thay đổi lại mậtkhẩu trong khi họ không nhận ra rằng phải đổi ở hai chỗ khác nhau. Cónghĩa là mật khẩu đã mất đi tính đồng bộ và bộ phận trợ giúp quá tảivới các cuộc gọi liên quan đến lập lại mật khẩu. Khi công ty lớn mạnhhơn và bổ sung thêm nhiều máy chủ mới vào mạng, vấn đề ngày càng tồitệ.
Cuối cùng sự việc được giải quyết khi Novell cho ra đờiphiên bản 4.0 của NetWare. NetWare 4 giới thiệu công nghệ gọi làDirectory Service (dịch vụ thư mục). Ý tưởng của nó là người dùng sẽkhông phải tạo các tài khoản riêng rẽ trên từng server nữa. Thay vào đómột tài khoản đơn duy nhất được dùng để thẩm định tư cách người dùngtrên toàn bộ mạng mà không cần biết có bao nhiêu máy chủ trên mạng đó.
Mộtđiều thú vị khi tìm hiểu về domain là mặc dù mỗi domain có một giá trịduy nhất, không bao giờ lặp nhau trong mạng Microsoft (Novell khôngdùng domain) nhưng chúng làm việc theo nguyên tắc cơ bản giống nhau.Khi Windows 2000 được phát hành, Microsoft tích hợp một thành phần vẫncòn được dùng tới nay là Active Directory. Active Directory rất giốngvới Directory Service được mạng Novell sử dụng trước kia.
Toànbộ công việc chúng ta phải làm với domain là gì? Khi máy chủ Windows sửdụng Windows 2000 Server, Windows Server 2003 hay Longhorn Server sắpra mắt, công việc của domain controller (bộ điều khiển miền) là chạydịch vụ Active Directory. Active Directory hoạt động như một nơi lưutrữ các đối tượng thư mục, trong đó có tài khoản người dùng (useraccount). Và một trong các công việc chính của bộ điều khiển tên miềnlà cung cấp dịch vụ thẩm định.
Nên hết sức lưu ý là domaincontroller cung cấp dịch vụ thẩm định (authentication) chứ không phảilà dịch vụ cấp phép (authorization). Tức là, khi một người dùng nào đóđăng nhập vào mạng, một bộ điều khiển miền sẽ kiểm tra tính hợp lệ củausername và password họ nhập vào có chính xác và khớp với dữ liệu lưutrong máy chủ hay không. Nhưng domain controller không nói với ngườidùng họ có quyền truy cập tài nguyên nào.
Tài nguyên trên mạngWindows được bảo vệ bởi các Danh sách điều khiển truy cập (ACL). MộtACL là danh sách chỉ rõ ai có quyền làm gì. Khi người dùng cố gắng truycập tài nguyên, họ đưa ra nhân dạng của mình cho máy chủ chứa tàinguyên đó. Máy chủ sẽ kiểm tra để chắc chắn rằng nhân dạng người dùngnày đã được thẩm định, sau đó tham chiếu chéo đến ACL để xem người dùngcó quyền làm gì.
Kết luận
Nhưbạn có thể thấy, domain controller (bộ điều khiển miền) đóng vai tròrất quan trọng trong mạng Windows. Trong phần tiếp theo của loạt bàinày chúng ta sẽ tiếp tục thêm một chút với domain controller và ActiveDirectory.
Phần 6 - Windows Domain
Thảo luận chi tiết và phân tích kỹ lưỡng về Windows domain.
Trongmột số bài trước của loạt bài này các bạn đã được giới thiệu một sốkhái niệm về domain (miền, tức là một vùng mạng được quan tâm nhấtđịnh) và domain controller (bộ quản lý miền). Tiếp tục với những kiếnthức cơ sở nhất, hôm nay chúng tôi giới thiệu với bạn đọc một khái niệmkhác: Windows domain. Có một số điều đã quen và cũng có một số điểm mớikhác. Chúng ta hãy cùng xem chúng là cái gì.
Như đã giải thíchtrong phần 5, domain bây giờ không còn lạ lẫm gì với các bạn. Microsoftđưa ra khái niệm domain đầu tiên trong Windows NT Server. Vào thời kỳđó, mỗi domain là một vùng riêng biệt, thường sở hữu tất cả tài khoảnngười dùng của toàn bộ công ty. Một quản trị viên phải hoàn toàn điềukhiển domain và dữ liệu bên trong nó.
Nhưng đôi khi domain đơnriêng rẽ không mang tính thiết thực. Chẳng hạn, nếu một công ty có chinhánh ở một vài thành phố khác nhau. Khi đó mỗi chi nhánh cần sẽ cầnphải có một domain riêng, gây lãng phí và rất tốn kém. Trường hợp phổbiến khác là khi một công ty mua lại công ty khác. Tất nhiên hai côngty thường có hai domain khác nhau. Khi sát nhập lại thành một, chẳngnhẽ lại phải tiếp tục duy trì hai domain riêng như vậy.
Nhiềukhi người dùng ở miền này cần truy cập tài nguyên trên miền khác.Trường hợp này không phải hiếm gặp. Đưa ra giải pháp cho vấn đề này,Microsoft đã tạo các trusts hỗ trợ cho việc truy cập dễ dàng hơn. Bạncó thể hình dung hoạt động của trust cũng giống như công việc bảo vệ anninh ở sân bay vậy.
Tại Mỹ, hành khách thường phải xuất trìnhbằng lái xe cho nhân viên an ninh sân bay trước khi lên các chuyến baynội địa. Giả sử bạn dự định bay tới một nơi nào đó trong địa phận nướcMỹ. Nhân viên an ninh tại sân bay không biết bạn là ai và chắc chắn làkhông tin bạn. Nhưng họ tin chính quyền bang Nam Carolina, nơi bạn sinhsống, xác nhận nhân thân và cấp bằng lái xe cho bạn. Do đó bạn có thểtrình bằng lái xe Nam Carolina và nhân viên an ninh sân bay sẽ cho phépbạn lên máy bay mặc dù họ không cần tin cá nhân bạn là ai.
Domaintrust cũng hoạt động theo cách như vậy. Giả sử bạn là người quản trịmột domain có chứa tài nguyên mà người dùng ở domain khác cần truy cập.Nếu bạn không phải là quản trị viên trong foreign domain thì bạn khôngcó quyền điều khiển ai là người được cấp tài khoản người dùng trongdomain đó. Nếu tin tưởng quản trị viên của domain bạn muốn có mối liênhệ, bạn có thể thiết lập một trust (có thể hiểu là một uỷ thác) đểdomain của bạn "uỷ thác" các thành viên của mình trở thành thành viêncủa domain kia. Foreign domain đư
| |
|
