Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 212 trang
THÔNG TIN TÀI LIỆU
Nội dung
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM BÁO CÁO TRIỂN KHAI DỰ ÁN XÂY DỰNG HỆ THỐNG QUẢN LÝ MẠNG LAN CHO DOANH NGHIỆP 1 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM Giảng viên hướng dẫn : Ngô Xuân Hoàn Nhóm thực hiện: Đặng Tuấn Minh Lê Ngọc Tuấn Trịnh Hoàng Trung 2 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM MỤC LỤC I. Khảo sát thực tế : 1. Hiện trạng hiện có : 2. Yêu cầu : II. Khái quát các chức năng của từng các máy Server trong hệ thống mạng LAN của trụ sở : 1. Máy Server quản lý : A. Active Diretory (AD): B. Dynamic Host Configuration Protocol (DHCP) : 2. III. Các giải pháp triển khai : IV. Các quy trình triển khai : V. Sơ đồ triển khai : VI. Thực hiện dự án : VII. Danh sách thiết bị phần cứng,phần mềm cần đầu tư : 3 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM I. Khảo sát tình trạng thực tế 1.Hiện trạng gồm có : - Vùng mạng nội bộ (Internal) : gồm các phòng ban của tổ chức được đấu từ swich 3560 đến các swich của từng phòng ban - Vùng Server quản lý: gồm các server quản lý các vấn đề của vùng mạng nội bộ.thông qua swich của vùng đấu với swith 3560 - Vùng Server public : File server - Vùng Wan : thông qua router zywall đấu đến swich 3560 - Vùng Internet : + modem + public mail qua router 2800 đấu đến swich 3560 2.Yêu cầu : - Triển khai hệ thống mạng LAN - Xây dựng hệ thống máy chủ để quản lý hệ thống người dùng cũng như đảm bảo về yêu cầu truy cập thông tin,chia sẻ dữ liệu - Bảo mật, an toàn cho hệ thống mạng. 4 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM II. Khái quát các chức năng của từng các máy Server trong hệ thống mạng LAN của trụ sở 1. Máy Server Quản lý A. Active Diretory (AD): - Khái niệm Active Diretory : Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows. Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó. Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission. Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng. - Vai trò của Active Diretory trong mạng LAN Microsoft Active Directory được xem như là một bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay thậm chí các mạng máy chủ standalone. 5 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng. Nó cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều domain controller được triển khai trong một domain. Active Directory sẽ tự động quản lý sự truyền thông giữa các domain controller để bảo đảm mạng được duy trì. Người dùng có thể truy cập vào tất cả tài nguyên trên mạng thông qua cơ chế đăng nhập một lần. Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truy cập đối với tài nguyên. Active Directory cho phép tăng cấp, hạ cấp các domain controller và các máy chủ thành viên một cách dễ dàng. Các hệ thống có thể được quản lý và được bảo vệ thông qua các chính sách nhóm Group Policies. Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị. Mặc dù vậy quan trọng nhất vẫn là Active Directory có khả năng quản lý hàng triệu đối tượng bên trong một miền. - Thành phần cơ bản trong Active directory : Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational unit và site. 6 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM • Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory. • Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở dữ liệu của các thành viên của chúng. • Organizational unit (OU): Nhóm các mục trong miền nào đó. Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức và địa lý. • Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU. Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet. Các Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest có thể gồm nhiều miền, mỗi miền lại chia sẻ một lược đồ chung. Các thành viên miền của cùng một forest thậm chí không cần có kết nối LAN hoặc WAN giữa chúng. Mỗi một mạng riêng cũng có thể là một gia đình của nhiều forest độc lập. Nói chung, một forest nên được sử dụng cho mỗi một thực thể. Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài forest tham gia sản xuất. Các miền Domain phục vụ như các mục trong chính sách bảo mật và các nhiệm vụ quản trị. Tất cả các đối tượng bên trong một miền đều là chủ đề cho Group Policies miền rộng. Tương tự như vậy, bất cứ quản trị viên miền nào cũng có thể quản lý tất cả các đối tượng bên trong một miền. Thêm vào đó, mỗi miền cũng đều có cơ sở dữ liệu các tài khoản duy nhất của nó. Chính vì vậy tính xác thực là một trong những vấn đề cơ bản của miền. Khi một tài khoản người dùng hoàn toàn xác thực đối với một miền nào đó thì tài khoản người dùng này có thể truy cập vào các tài nguyên bên trong miền. Active Directory yêu cầu một hoặc nhiều domain để hoạt động. Như đề cập từ trước, một miền Active Directory là một bộ các máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu các thành viên của chúng. Một miền phải có một hoặc nhiều máy domain controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách và cung cấp sự thẩm định cho các đăng nhập vào miền. Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng hơn so với các miền. OU cho phép bạn có được khả năng linh hoạt gần như vô hạn, bạn có thể 7 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM chuyển, xóa và tạo các OU mới nếu cần. Mặc dù các miền cũng có tính chất mềm dẻo. Chúng có thể bị xòa tạo mới, tuy nhiên quá trình này dễ dẫn đến phá vỡ môi trường so với các OU và cũng nên tránh nếu có thể. Theo định nghĩa, sites là chứa các IP subnet có các liên kết truyền thông tin cậy và nhanh giữa các host. Bằng cách sử dụng site, bạn có thể kiểm soát và giảm số lượng lưu lượng truyền tải trên các liên kết WAN chậm. - Infrastructure Master và Global Catalog Một thành phần chính khác bên trong Active Directory là Infrastructure Master. Infrastructure Master (IM) là một domain-wide FSMO (Flexible Single Master of Operations) có vai trò đáp trả trong quá trình tự động để sửa lỗi (phantom) bên trong cơ sở dữ liệu Active Directory. Phantom được tạo ra trên các DC, nó yêu cầu một sự tham chiếu chéo cơ sở dữ liệu giữa một đối tượng bên trong cơ sở dữ liệu riêng và một đối tượng từ miền bên trong forest. Ví dụ có thể bắt gặp khi bạn bổ sung thêm một người dùng nào đó từ một miền vào một nhóm bên trong miền khác có cùng forest. Phantom sẽ bị mất hiệu lực khi chúng không chứa dữ liệu mới cập nhật, điều này xuất hiện vì những thay đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện, ví dụ như khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu đó giữa các miền, hay vị xóa. Infrastructure Master có khả năng định vị và khắc phục một số phantom. Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi đều được tạo bản sao đến tất cả các DC còn lại bên trong miền. Infrastructure Master đôi khi bị lẫn lộn với Global Catalog (GC), đây là thành phần duy trì một copy chỉ cho phép đọc đối với các domain nằm trong một forest, được sử dụng cho lưu trữ nhóm phổ dụng và quá trình đăng nhập,… Do GC lưu bản copy không hoàn chỉnh của tất cả các đối tượng bên trong forest nên chúng có thể tạo các tham chiếu chéo giữa miền không có nhu cầu phantom. - Active Directory và LDAP LDAP (Lightweight Directory Access Protocol) là một phần của Active Directory, nó là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân hoặc 8 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM các tài nguyên khác như file và thiết bị trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội bộ trong công ty. Trong một mạng, một thư mục sẽ cho bạn biết được nơi cất trữ dữ liệu gì đó. Trong các mạng TCP/IP (gồm có cả Internet), domain name system (DNS) là một hệ thống thư mục được sử dụng gắn liền tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng). Mặc dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm những cụ thể mà không cần biết chúng được định vị ở đâu. Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới đây: • Thư mục gốc có các nhánh con • Country, mỗi Country lại có các nhánh con • Organizations, mỗi Organization lại có các nhánh con • Organizational units (các đơn vị, phòng ban,…), OU có các nhánh • Individuals (cá thể, gồm có người, file và tài nguyên chia sẻ, chẳng hạn như printer) Một thư mục LDAP có thể được phân phối giữa nhiều máy chủ. Mỗi máy chủ có thể có một phiên bản sao của thư mục tổng thể và được đồng bộ theo chu kỳ. Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các thông tin trong Active Directory, cần tạo các truy vấn LDAP hữu dụng khi tìm kiếm các thông tin được lưu trong cơ sở dữ liệu Active Directory. - Sự quản lý Group Policiy và Active Directory + Khi nói đến Active Directory chắc chắn chúng ta phải đề cập đến Group Policy. Các quản trị viên có thể sử dụng Group Policy trong Active Directory để định nghĩa các thiết lập người dùng và máy tính trong toàn mạng. Thiết lập này được cấu hình và được lưu trong Group Policy Objects (GPOs), các thành phần này sau đó sẽ được kết hợp với các đối tượng Active Directory, gồm có các domain và site. Đây chính là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính và người dùng trong môi trường Windows. 9 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết lập desktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập đối với các file hoặc thư mục nào đó bên trong mạng. Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử dụng như thế nào. Group Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sử dụng trước, sau đó là các chính sách site, chính sách miền, chính sách được sử dụng cho các OU riêng. Ở một thời điểm nào đó, một đối tượng người dùng hoặc máy tính chỉ có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên kết với site hoặc miền đó. Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template (GPT) và Group Policy Container (GPC). Group Policy Template có trách nhiệm lưu các thiết lập được tạo bên trong GPO. Nó lưu các thiết lập trong một cấu trúc thư mục và các file lớn. Để áp dụng các thiết lập này thành công đối với tất cả các đối tượng người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các DC bên trong miền. Group Policy Container là một phần của GPO và được lưu trong Active Directory trên các DC trong miền. GPC có trách nhiệm giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của GPO. GPC không chứa nhiều thông tin có liên quan đến GPO tương ứng với nó, tuy nhiên nó là một thành phần cần thiết của Group Policy. Khi các chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết bên trong GPO. Bên cạnh đó nó cũng giữ các liên kết quan hệ khác và các đường dẫn được lưu trong các thuộc tính đối tượng. Biết được cấu trúc của GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề nào đó có liên quan đến GP. Với Windows Server 2003, Microsoft đã phát hành một giải pháp quản lý Group Policy đó là Group Policy Management Console (GPMC). GPMC cung cấp cho các quản trị viên một giao diện quản lý giúp đơn giản các nhiệm vụ có liên quan đến GPO. B. Dynamic Host Configuration Protocol (DHCP) : 10 | P a g e [...]... Làm cho hệ thống hoạt động liên tục, vừa giảm gánh nặng cho người quản trị vừa tăng hiệu quả làm việc cho user nói riêng và doanh nghiệp nói chung d Linh hoạt và khả năng mở rộng: Người quản trị có thể thay đổi cấu hình IP một cách dễ dàng khi cơ sở hạ tầng mạng thay đổi Do đó làm tăng sự linh hoạt cho người quản trị mạng Ngoài ra DHCP phù hợp từ mạng nhỏ đến mạng lớn Nó có thể phục vụ 10 máy khách cho. .. GIẢI PHÁP TRIỂN KHAI 1 Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy hệ thống Domain Network với các ưu điểm: - Quản lý tập trung toàn bộ mọi thành phần trong hệ thống - Khả năng bảo mật cao - Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng - Áp dụng cơ chế quản lý dựa trên... thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy hệ thống Domain Network với các ưu điểm: - Quản lý tập trung toàn bộ mọi thành phần trong hệ thống - Khả năng bảo mật cao - Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng 16 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM - Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration) Cho phép triển khai các Application tích... server sẽ quản lý tập trung trên giao diện của nó Giúp các nhà quản trị vừa dễ quản lý, cấu hình, khắc phục khi có lỗi xảy ra trên các máy trạm b Giảm gánh nặng cho các nhà quản trị hệ thống 11 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM Thứ nhất, trước đây các nhà quản trị mạng thường phải đánh cấu hình IP bằng tay (gọi là IP tĩnh) nhưng nay nhờ có DHCP server nó sẽ cấp IP một cách tự động cho các... năng quản lý của ISA - Dễ dàng quản lý - Rất nhiều Wizart - Backup va Restore đơn giản - Cho phép ủy quyền quản trị cho các user/group - Log và report chi tiết cụ thể - Cấu hình ở 1 nơi chạy ở mọi nơi (ISA Enterprise) - Khai báo thêm Server vào araay dễ dàng - Tich hợp với giải pháp quản lý của Microsoft MOM - SDK E Các tính năng khác của ISA - Hỗ trợ nhiều CPU và Ram - Max 32 node Network loadbalancing... của hệ thống và đảm bảo cho hệ thống không bị ngắt quãng (fail-over) 5 Trong một hệ thống Active Directory lớn, nếu chỉ có một Domain Controller thì Server này có thể bị quá tải khi nhiều user cùng yêu cầu chứng thực và user sẽ không được chứng thực khi Server này bị lỗi Bên cạnh đó nếu hệ thống chỉ có một DNS Server sẽ xảy ra tình trạng quá tải trong việc phân giải tên, và nếu DNS Server bị lỗi hệ thống. .. nếu hệ thống chỉ có một DNS Server sẽ xảy ra tình trạng quá tải trong việc phân giải tên, và nếu DNS Server bị lỗi hệ thống sẽ không thể phân giải tên Để tránh được các trường hợp nêu trên, ta cần triển khai nhiều Domain Controller Server, nhiều DNS Server, chạy song song để hỗ trợ chức năng cân bằng tải (Load Balancing) và khả năng chịu lỗi (Fault Tolerance) Sử dụng công nghệ Clustering để triển khai. .. nghệ Clustering để triển khai DHCP cluster II- CÁC BƯƠC TRIỂN KHAI Phần 1 : Xây dựng Domain Controller Server và các Policy thông dụng A Nâng cấp máy server lên làm Domain Controller B Bổ sung dữ liệu trên DNS C Các Policy thường dùng trong doanh nghiệp Phần 2 : Xây dựng DHCP Server - Join Domain A Thực hiện cài đặt DHCP server B Tạo các Scope cho các phòng ban C Join các máy client vào Domain Phần... server, Backup Domain Lập lịch thực hiện Backup 20 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM A Thực hiện backup DHCP server B Thực hiện backup Domain C Thực hiện lập lịch backup Phần 4: Xây dựng Additional Domain Controller và Secondary DNS Server Phần 5: Triển khai DHCP clustering III- QUY TRÌNH TRIỂN KHAI Phần 1 : Xây dựng Domain Controller Server và các Policy thông dụng Server : 1.Tiến hành nâng... dung lượng mà server sẽ cảnh báo khi user đã chứa đến mức đó Giả sử hạn ngạch là 50MB nhưng warning là 45MB thì khi user ghi đến 45MB sẽ bị cảnh báo là sắp hết dung lượng cho phép, xóa bớt các thứ không cần thiết đi hoặc phản ánh với quản trị mạng của hệ thống *Thiết lập share file và phân quyền cho các user - Share HDD của Server làm nhiệm vụ file server - Phân quyền cho các user được chia ra làm . CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM BÁO CÁO TRIỂN KHAI DỰ ÁN XÂY DỰNG HỆ THỐNG QUẢN LÝ MẠNG LAN CHO DOANH NGHIỆP 1 | P a g e CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM Giảng viên hướng. : - Triển khai hệ thống mạng LAN - Xây dựng hệ thống máy chủ để quản lý hệ thống người dùng cũng như đảm bảo về yêu cầu truy cập thông tin,chia sẻ dữ liệu - Bảo mật, an toàn cho hệ thống mạng. 4. server sẽ quản lý tập trung trên giao diện của nó. Giúp các nhà quản trị vừa dễ quản lý, cấu hình, khắc phục khi có lỗi xảy ra trên các máy trạm. b. Giảm gánh nặng cho các nhà quản trị hệ thống