Báo cáo tốt nghiệp triển khai, quản trị, duy trì và nâng cấp hệ thống mạng doanh nghiệp

Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ chức, các nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng. Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi mạng máy tính không được quản lí sẽ dễ dàng bị tấn công, gây hậu quả nghiêm trọng.

Mục lục

Giới thiệu

Chương I : Triển khai hệ thống mạng

1 Các khái niệm cơ bản

1.1 Định nghĩa một mạng máy tính cơ bản

1.2 Các thành phần của mạng(Network Component)1.3 Các loại mạng máy tính

1.4 Hệ thống domain quản lí mạng LAN- Local Area

4 Các công việc triển khai & kết quả

4.1 Các yêu cầu cấu trúc mạng mới

4.2 Công việc triển khai vào mạng công ty

Chương II: Quản lí và duy trì hệ thống mạng

1 Các khái niệm cơ bản

1.1 Một số khái niệm về kiến trúc Administrators

1.2 Khái niệm về backup và restore

4 Công việc triển khai và kết quả

4.1 Cấu hình backup cho domain

4.2 Quản trị hệ thống Active Directory

Chương III: Nâng cấp hệ thống với ISA Firewall 2004

1 Các khái niệm cơ bản

Các khái niệm cơ bản về ISA 2004

2 Cơ sở lí thuyết

2.1 Các Network Templates

2.2 Các cấu hình Network template

2.3 Cấu hình ISA Server 2004 SecureNat, FireWall vàWeb Proxy Clients

2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server 2004 Access Policy

3 Hiện trạng hệ thống

4 Công việc triển khai và kết quả

Công ty Cổ phần Công nghệ Thanh toán Việt Nam

(Vinapay) - được chính thức thành lập vào tháng 2 năm 2007 bởi những nhà đầu tư nước ngoài hàng đầu trên thế giới là Tập đoàn Công nghệ Net 1; Quỹ đầu tư IDG Venture và Tập đoàn MK Việt Nam Mục tiêu của Vinapay là góp phần xây dựng tại Việt Nam một hạ tầng thanh toán an toàn cho

thương mại di động

Sản xuất và phát triển các loại thẻ dữ liệu công nghệ cao (bao gồm thẻ thông minh có gắn chip, thẻ cào có mệnh giá trả trước, thẻ quản lý tài khoản, thẻ SIM phục vụ dịch vụ thương mại điện tử, …)

- Nghiên cứu, phát triển và thực hiện các dịch vụ công nghệ cao liên quan đến thanh toán thương mại điện tử (e-commerce), thương mại di động (m-commerce), thẻ trả trước,thẻ thông minh;

- Sản xuất và phát triển phần mềm ứng dụng công nghệ cao;

- Vận hành cổng điện tử, chuyển mạch để thực hiện kết nối các hệ thống thanh toán thẻ ngân hàng, thẻ thanh toán, thẻ trả trước của các đơn vị phát hành thẻ, cho phép người

sử dụng điện thoại di động nạp tiền, trả cước thông qua di động hoặc internet;

- Lắp đặt, bảo trì, cho thuê các hệ thống thiết bị phát hành thẻ, các loại máy chấp nhận thanh toán như ATM, máy đọc và chấp nhận thanh toán đầu cuối (POS)

Với công việc là thanh toán qua cổng điện tử và các giao dịchtrực tuyến, yêu cầu an toàn dữ liệu của Vinapay lại càng đòi hỏi cao Nhưng do là một doanh nghiệp trẻ (2-2007)Vinapay vẫn chưa có được một hệ thống mạng công ty hoàn thiện, tính bảo mật không được đảm bảo Cũng vì lí do đó trong thời gian thực tập ở công ty VINAPAY em đã chọn đề tài

“Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng

doanh nghiệp” Trên cơ sở thực tế mạng của Vinapay, em đãnghiên cứu các vấn đề về mạng Lan và bảo mật mạng Lan của doanh nghiệp

Đề tài được thực hiện với mục đích tìm hiểu hệ thống và các công cụ được cung cấp để qua đó có thể vận hành thành thạo các công cụ này, biết cách cấu hình và thực hiện, qua

đó tránh những lỗ hổng không đáng có Đồng thời còn đưa ra

một số cấu hình đã được áp dụng hoặc một số đề xuất về cấu hình Hi vọng nó sẽ giúp ích cho những người quản trị mạng có thể áp dụng vào mạng mình quản lí

CHƯƠNG I TRIỂN KHAI HỆ THỐNG MẠNG

1 Các khái niệm cơ bản

1.1 Định nghĩa một mạng máy tính cơ bản

Mạng máy tính (computer network) là tập hợp của 2 hay nhiều máy tính kết nối với nhau thông qua các phương tiện kết nối (thiết bị kết nối – Switch, hub, dây cáp, sóng vô

tuyến,…) để chia sẻ các tài nguyên Việc kết nối giữa các máy tính tuân theo các chuẩn về mạng máy tính (network standard), các công nghệ mạng và các giao thức (Protocol) Các máy tính trong mạng có thể gọi là nút mạng

Việc sử dụng mạng máy tính giúp các tổ chức, doanh

nghiệp dễ dàng trong việc chia sẻ các tài nguyên cho người dùng Các tài nguyên chia sẻ bao gồm các file, thư mục, máy in, kết nối Internet, ứng dụng dùng chung

1.2 Các thành phần mạng (Network Component)

Mỗi mạng máy tính bao gồm các máy tính, thiết bị

mạng, máy in,… chúng được gọi là các thành phần mạng (network component) bao gồm các thành phần chính sau

Máy chủ (server): Là máy tính có các tài nguyên, dịch

vụ, ứng dụng chia sẻ để cho các máy tính khác truy nhập tới

và sử dụng Máy chủ chạy hệ điều hành máy chủ (Windows Server, Linux, Unix) và cài các phần mềm chuyên dụng

dành cho máy chủ Tuỳ thuộc vào chức năng và nhiệm vụ

mà máy chủ có các tên gọi khác nhau như máy chủ dữ liệu (data server), máy chủ thư điện tử (mail server), máy chủ ứng dụng (application server),…

Máy trạm (client): Là các máy tính trong mạng có thể kết nối đến các máy chủ để sử dụng các tài nguyên mà máy chủ chia sẻ Máy trạm chạy hệ điều hành máy trạm và các phần mềm máy trạm

Phương tiện truyền dẫn (media): Là các thành phần chuyền dẫn vật lý giữa các máy tính như dây cáp (cable), sóng

radio,…

Tài nguyên (resources): Là các ứng dụng, dữ liệu, các phần cứng chuyên dụng,… được cung cấp bới các máy chủ trên mạng cho người dùng thông qua các máy trạm (files, máy in,…)

Card mạng (network adapter): Là một thiết bị chuyên dụng giúp các máy tính có thể gửi dữ liệu tới các máy tính thông qua phương tiện truyền dẫn

Các thiết bị kết nối như HUB, SWITCH, ROUTER

Giao thức mạng (network protocol): Là tập hợp các quyluật, quy định giúp các máy tính có thể giao tiếp với nhau (hiểu được nhau – giống như ngôn ngữ mà con người sử dụng)

Topo mạng (network topology): Là cấu trúc vật lý của mạng (bus, star, ring,…) nó được phân loại dựa vào loại phương tiện truyền dẫn (media type), giao thức mạng (protocol), cardmạng,…(Trong khuôn khổ đề tài này sẽ chỉ nghiên cứu về các thành phần quản lí và bảo mật mạng, các thiết bị ngoại

vi hay các phần cứng về máy sẽ không được đề cập đến)

1.3 Các loại mạng máy tính

Mạng máy tính có thể được phân loại theo một số cách khácnhau: phân loại theo phạm vi (scope), theo kiến trúc

(architecture), theo hệ điều hành dùng trong mạng,…

Phân loại theo phạm vi

Mạng nội bộ (LAN – local area network): Là mạng máy tính trong đó các máy tính kết nối trực tiếp với nhau, trong một phạm vi địa lý nhỏ (phòng, toà nhà,…) Việc giới hạn này phụ thuộc vào phương tiện truyền dẫn mà mạng nội bộ

sử dụng

Mạng diện rộng (WAN – wide area network): Là mạng

có thể trải trên các phạm vi địa lý rộng lớn, nối các khu vực trong một quốc gia hoặc các vị trí ở các quốc gia khác nhau với nhau Các phương tiện kết nối có thể sử dụng nhứ cáp quang (fiber optic cable), qua vệ tinh (sateline), giây điện thoại (telephone line), các kết nối dành riêng (lease line) Tuy nhiên giá thànhh của các kết nối này tương đối cao

Mạng Internet: Là một loại hình mạng đặc thù của

mạng diện rộng, ngày này mạng Internet đã trở thành một loại hình mạng phổ biến nhất Mục đích của mạng Internet làđáp ứng lại các kết nối của người dùng ở bất kỳ đâu trên thếgiới, giúp các tổ chức, doanh nghiệp có thể dễ dàng quảng

bá các thông tin, cung cấp các dịch vụ chia sẻ dễ dàng với giá thành hợp lý

Một số loại mạng khác: Mạng nội đô (MAN –

metropolitan area network), Mạng lưu trữ dữ liệu (SAN – storage area network), mạng riêng ảo (VPN – virtual private network), mạng không giây (wireless network),…

Trong phạm vi của đề tài, với một công ty cỡ vừa và nhỏ bao gồm các máy chủ quản trị sử dụng Windows Server

2003 và một số máy client(50-100 máy) ta chỉ xét phạm vi máy tính dạng Local Area Network (LAN)

1.4 Hệ thống domain quản lí mạng LAN

Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là domain Một domain đại diện cho một đườngbiên quản trị Các máy tính, người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ liệu bảo mật chung

Sử dụng domain cho phép các nhà quản trị phân chia mạng thành các ranh giới bảo mật khác nhau Thêm vào đó,

các nhà quản trị từ các domain khác nhau có thể thiết lập các mô hình bảo mật riêng của họ; bảo mật trong một

domain là riêng biệt để không ảnh hưởng đến các mô hình bảo mật của các domain khác Chủ yếu domain cung cấp một phương pháp để phân chia mạng một cách logic theo tổchức Các tổ chức đủ lớn có hơn một domain luôn luôn

được phân chia để chịu trách nhiệm duy trì và bảo mật các nguồn riêng của họ

Một domain Windows Server 2003 cũng đại diện cho một không gian tên tương ứng với một cấu trúc tên Một domain khi tạo, nó sẽ cung cấp một số dịch vụ cơ bản cho

hệ thống mạng như:

DNS(Domain Name System): đây là Dịch vụ phân giải

tên miền được sử dụng để phân giải các tên host tuân theo chuẩn đặt tên FQDN thành các địa chỉ IP tương ứng

DHCP(Dynamic Host Configuration Protoco –Giao thức cấu hình địa chỉ động ): đây là dịch vụ quản lý và cấp địa chỉ

IP cho các máy trạm Nhờ dịch vụ này địa chỉ IP của các máy trong công ty trở lên dễ quản lí hơn

Windows: Cấu hình hệ điều hành và quản lý server có cài đặt các dịch vụ hệ thống

Active Directory: Quản lý và điều hành hoạt động của domain controller cung cấp dịch vụ Active Directory

Windows Internet Name Service(WINS):cung cấp khả năng phân giải tên máy tính bằng cách phân giải tên

NetBIOS sang địa chỉ IP

Ngoài ra Windows Server 2003 còn cung cấp rất nhiều tính năng dạng máy chủ hỗ trợ khác như: máy chủ in

ấn(print server), máy chủ File, máy chủ ứng dụng(ISS,

ASP.NET), máy chủ thư điện tử(POP3, MSTP), máy chủ đầu cuối(Termilal ), máy chủ VPN, máy chủ WINS

2 Cơ sở lí thuyết.

Để xây đựng một mạng máy tính sử dụng Microsoft Windows Server 2003 ta cần nắm rõ về các dịch vụ của nó cung cấp, điều này sẽ giúp cho việc cấu hình mạng trở nên

dễ dàng và khoa học hơn Khi đó các công việc sử dụng cũng như nâng cấp sẽ nhanh và hiệu quả hơn Một số công

cụ quản trị hệ thống mạng

2.1 Dịch vụ DNS –Không gian tên nội bộ (sử dụng trong

hệ thống Intranet Local) và không gian tên Internet được thiết kế như sau:

Không gian tên DNS nội bộ: Local.Vinapay.com.vn

Không gian tên DNS Internet: Vinapay.com.vn

Dịch vụ DNS trên Windows Server 2003 là một dịch vụ DNS động (Dynamic DNS) Nó cho phép các máy trạm xác

thực tự động đăng ký bản ghi với dịch vụ DNS Tất cả các tài khoản máy tính sẽ có các bản ghi tương ứng đăng ký trong phạm vi miền DNS tích hợp dịch vụ Active Directory

mà nó trực thuộc Điều này cho phép các yêu cầu nội bộ đối với các đối tượng này được các máy chủ DNS nội bộ phục vụ

Với hệ thống Intranet Vinapay, dữ liệu DNS cho mỗi domain con chỉ được nhân bản đến các DC trong domain đó chứ không phải toàn bộ forest Máy chủ DC tại các tỉnh miền Bắc(Hanoi.Vinapay.com.vn) hoặc miền Nam

(HCM.Vinapay.com.vn) sẽ nắm giữ domain Active Directory của từng miền đồng thời cũng nắm giữ miền DNS của chínhdomain đó Do các hoạt động mạng 2 miền là độc lập do đó không cần thiết sử dụng thêm một máy chủ DNS trung tâm

để kết nối 2 mạng

Hệ thống máy chủ DNS như ở trên đã nói có vai trò quan trọng trong hoạt động của hệ thống mạng Chính bởi vai trò quan trọng này mà ta cần phải có chính sách quản trị một cách thích hợp để đảm bảo cho dịch vụ DNS luôn có tính sẵn sàng cao, sao lưu phục hồi tốt

Cũng do tính chất quan trọng của hệ thống máy chủ DNS

mà trong chính sách quản trị đối với máy chủ này, chúng ta nên hạn chế đến mức tối thiểu số người được phép đăng

nhập và vận hành thao tác trên các máy chủ này, bởi chỉ cần một thao tác chỉnh sửa sai hoặc tắt đột ngột máy chủ sẽdẫn tới việc hệ thống Intranet không thể hoạt động được.

2.2 Windows Internet Name Service (WINS) Bằng việc

triển khai WINS, người quản trị cung cấp việc phân giải tên NetBIOS cho các client trên hệ thống mạng Intranet WINS thực hiện một cơ sở dữ liệu phân tán cho các tên NetBIOS

và các địa chỉ tương ứng của chúng Các WINS client đăng

ký tên của chúng tại một local WINS server và WINS server

đó sẽ trao đổi các mục đó với các WINS server khác Nó đảm bảo tính duy nhất của tên NetBIOS

Microsoft đã sử dụng giao tiếp NetBIOS để thiết kế các

thành phần mạng của mình vì thế có nhiều dịch vụ mạng và ứng dụng phụ thuộc vào NetBIOS

Hệ thống mạng cũ của VINAPAY vẫn còn đang sử dụng các

hệ điều hành như Windows 98, Win NT, Microsoft®

Windows® 2000 do đó cần thiết triển khai WINS trên

Windows Server 2003 để phân giải tên NetBIOS tự động Thậm chí khi hệ thống Intranet của VINAPAY đã năng cấp tất cả các máy tính lên các hệ điều hành Windows XP1 , Windows XP2 thì hệ thống vẫn yêu cầu phân giải tên

NetBIOS cho các ứng dụng đang chạy trên hệ thống

2.3 Dịch vụ DHCP: Việc quản lý và cấp địa chỉ IP cho các

máy trạm yêu cầu khối lượng thời gian và mất rất nhiều công sức nếu không có dịch vụ DHCP Với mạng Microsoft Windows 2003, bạn có thể đánh địa chỉ IP động sử dụng Giao thức cấu hình máy chủ động Dynamic Host

Configuration Protocol (DHCP) để tự động cấp và quản lý các địa chỉ IP mạng Ngoài ra thì dịch vụ DHCP còn cung cấp cho các máy trạm các thông tin về hệ thống như subnet mask, Gateway Nhờ đó các máy trạm có thể tránh được việc xung đột địa chỉ IP; tránh được các lỗi có thể xảy ra khi thiết lập thủ công các thông số liên quan TCP/IP như đánh địa chỉ Subnet mask sai

Lợi ích lớn nhất đối với hệ thống Intranet VINAPAY khi triển khai dịch vụ DHCP chính là việc giảm chi phí cho việc quản trị IP và đảm bảo các máy trạm luôn nhận được địa chỉ IP đúng

Để quản trị dịch vụ DHCP trên hệ thống mạng Intranet

VINAPAY cần áp dụng các chính sách quản lý trên cả máy chủ DHCP và máy trạm DHCP Các chính sách này được thực hiện thông qua việc phân quyền quản trị và giám sát các tài khoản thuộc nhóm quản trị DHCP

Theo chính sách quản trị chung cho các dịch vụ hệ thống, cần hạn chế số lượng các thành viên của nhóm DHCP

Administrator Bởi vì các thành viên của nhóm này được phân quyền để cấu hình một DHCP Server, xác định các lựachọn cấu hình DHCP, và tạo ra các DHCP reservation Bất

kỳ sự thay đổi nào của dịch vụ DHCP có thể khiến các máy trạm không thể nhận được địa chỉ IP từ các máy chủ DHCP.Đồng thời nó có thể tạo ra lỗ hổng bảo mật với hệ thống Intranet

Việc giám sát các thành viên trong nhóm DHCP

Administrator như là thành viên trong nhóm local

administrator, các nhóm Domain Admin và các nhóm

Enterprise Admin – để xác định những người cần có quyền quản lý các dịch vụ DHCP Các thành viên trong các nhóm này cho phép quản lý tất cả các DHCP Server trong domain.Chú ý: Thành viên của nhóm DHCP Administrator không thểcấp phép cho một DHCP Server trong một Active Directory Chỉ các thành viên của nhóm Enterprice Admin có thể thực hiện nhiệm vụ này

Tuy nhiên đối với các máy chủ trong hệ thống Intranet, cần được gán địa chỉ IP tĩnh để đảm bảo chúng không nhận các thông tin cấu hình TCP/IP không chính xác từ một DHCP server trái phép Ngoài ra, một số máy trạm có vai trò quan trọng cùng nên được sử dụng địa chỉ IP tĩnh Việc đánh địa chỉ tĩnh cho các máy chủ và một số máy trạm sẽ giúp cho hệ

thống Intranet VINAPAY vẫn hoạt động khi dịch vụ DHCP cólỗi.

2.4 Dịch vụ Domain controller(Active Directory )

Môi trường forest cho VINAPAY sẽ chứa một forest đơn Tên domain gốc của forest là VINAPAY.COM.VN

Một forest đơn có thể chứa tới hàng triệu các đối tượng khác nhau (tài khoản người sử dụng, các nhóm, tài khoản máy tính,… ) và được thiết kế đảm bảo việc quản trị dễ dàng nhất

Trên hệ thống Intranet VINAPAY, nhóm người quản trị mức forest sẽ khác nhóm người quản trị tất cả các hoạt động khác thông thường trên dịch vụ thư mục Active Directory Chính vì thế, phương pháp tốt nhất là tạo ra một domain gốccủa forest và các chính sách quản trị phải tuân theo yêu cầu này Domain này sẽ nắm giữ hai vai trò FSMO mức forest

đó là: Schema Master và Domain Naming Master Đây là haivai trò rất quan trọng trong hoạt động chung tổng thể của dịch vụ Active Directory trên toàn hệ thống Các tài khoản quản trị domain này sẽ rất hạn chế nhằm đảm bảo tính bảo mật cũng như tính ổn định của hệ thống Vì vậy, domain này

sẽ nắm giữ các tài khoản mức toàn hệ thống như EnterpriseAdmins và Schema Admins chẳng hạn

Các nhóm người quản trị các hoạt động trên Active Directoryđược gán cho một hoặc nhiều các domain con Điều đó cho phép các nhóm quản trị IT này có thể quản lý các dịch vụ trên domain của họ một cách độc lập nhưng không thể điều khiển được các thành viên của các nhóm Enterprise Admins

và Schema Admins trong domain gốc của forest

Như vậy domain gốc sẽ nắm giữ tất cả các tài khoản có quyền trên toàn forest với quyền hạn có thể thực hiện thay đổi dữ liệu mức forest như: thay đổi schema, cấu hình site, xác thực dịch vụ hệ thống,… nhóm quản trị hệ thống

VINAPAY hoàn toàn có thể kiểm soát được vấn đề này Ví dụ: để có thể cài đặt được phần mềm Exchange Server

2003 cần phải có sự chấp thuận của nhóm quản trị cấp cao nhất do phần mềm này phải mở rộng schema của forest trước khi cài đặt

Trong các domain con, nhóm quản trị domain admin sẽ chịu trách nhiệm quản trị toàn bộ các máy chủ Active Directory trong phạm vi domain đó Đồng thời những người quản trị cấp trung ương ( những người thuộc nhóm Enterprise

Admins) cũng có quyền quản trị và giám sát các hoạt động

và chính sách trên các máy chủ này

3 Hiện trạng hệ thống mạng

Cấu trúc

Router/modem:192.168.2.1 có vai trò là gateway của

hệ thống

Máy chủ DCserverIP:192.168.2.2 có vai trò:

 DHCP server:

Cấp dải địa chỉ từ :192.168.2.5192.168.2.100 cho client trong công ty

Chưa có máy chủ in ấn, máy DHCP, DNS riêng biệt

4 Các công việc triển khai & kết quả

4.1 Các yêu cầu cấu trúc mạng mới

 Router/modem:192.168.2.1 có vai trò là gateway của hệ thống

 Máy chủ DCserverIP: 192.168.2.2

 DHCP server :

Cấp dải :192.168.2.100-192.168.2.150 cấp động cho client trong công ty

Dành dải 192.168.2.5-192.168.2.49 để cấp tính cho một số máy cố định

 Modem cấp tĩnh địa chỉ 10.0.0.3 cho mạng Lan có dây trong công ty Cấp động dải 10.0.0.5-

10.0.0.25 cho các máy Laptop truy cập vào nhờ access point của công ty

 FPT Server có địa chỉ: 222.252.28.10

 Thiết lập tĩnh địa chỉ của máy chủ DHCP, DNS, Printting server, máy chủ backup Tiến hành cài đặt các máy chủ này

 Thiết lập hệ thống Active Directory, đưa các máy client vào domain

4.2 Công việc cần triển khai

Triển khai các công việc theo cấu trúc mạng mới Đượcbắt đầu từ việc cài đặt server và nâng cấp các thành phần của server theo yêu cầu được đề ra:

4.2.1Cài đặt Windows Server 2003

Cách thức cài đặt một server tương tự với cách cài đặt các phiên bản Windows thường dùng(XP1, XP2,

Windows 2000) Nhưng có một số điểm cần lưu ý sau:

 Khi cài đặt cần lưu ý các CD key dành cho các phiên bản Bởi vì một số phần cứng máy cao cấp thuộc dòng Intel Itanium hỗ trợ việc đánh địa chỉ

64 bit, trong khi hầu hết các dòng còn lại chỉ hỗ trợ việc đánh địa chỉ 32 bit (Đối với một doanh

nghiệp vừa thì thường gặp các máy chủ hỗ trợ 32bit)

 Cần chú ý đến các thông số, ở mục listensing modes trong quá trình cài đặt, số lương kết nối

được khai báo chính là số lượng giấy phép bản quyền mà ta có khi sử dụng server

Hình I.4.1 Bước thêm thông số khi cài đặt Windows Server

2003Đối với môi trường kinh doanh, ví dụ mạng doanh

nghiệp vừa và lớn(có thể áp dụng vào Vinapay), người quảntrị mạng ngoài việc cài đặt hệ điều hành cho server đồng

thời còn thực hiện cài đặt rất nhiều máy client khác Để giải quyết vấn đề này có thể thực hiện theo nhiều phương án, Windows Server 2003 cung cấp cho ta một số giải pháp sau:

 File trả lời: Một file trả lời là một kịch bản (script),

nó chứa tất cả thông tin các tùy chọn trong khi cài đặt Windows

 Nhân ảnh đĩa: khi triển khai một số lượng lớn các máy giống nhau ta có thể sử dụng phương pháp này Một ảnh đĩa là một bản sao của một đĩa cứng

đã được cài đặt hệ điều hành Việc chuyển ảnh đĩa từ một máy tính này sang một máy tính khác

có cấu hình phần cứng tương đương cho phép cóthể sử dụng ngay hệ điều hành đã được chuyển

mà không cần cài lại

Khi áp dụng cần chú ý các thông số không thể trùng nhau là tên máy và địa chỉ IP của các máy trong cùng một mạng LAN

4.2.2Cấu hình Windows Server 2003

Để khởi tạo các cấu hình máy chủ mà Windows Server

2003 cung cấp ta có thể thực hiện theo các thao tác:

 Vào Start > Manage Your Server >Add and Remove a role > Configure Your Server Winzard

 Hoặc có thể dùng câu lệnh Run > dcpromo

để trực tiếp vào cửa sổ Configure Your Server Winzard

Hình I.4.2 Cửa sổ Manage Your Server

 Tạo máy chủ quản trị miền Active Directory

Từ cửa sổ Configure Your Server Winzard chọn

Domain controller và tiếp tục điền các thông số tên domain.

Nếu là máy chủ gốc của domain ta chọn Domain

Controller for a New Domain, sau đó theo tiến trình càu đặt

tên domain (Vinapay.com.vn)

Tiếp theo là các yêu cầu đường dẫn và các yêu cầu càithêm dịch vụ(DNS)

Hình I.4.1.3 Cài đặt Active DirectoryCác tiến trình cài đặt được tiếp tục cho đến khi nhận được thông báo máy chủ đã trở thành Domain Controller.

Hình I.4.4 Thăng cấp Active Directory thành côngChú ý: các trường trong địa chỉ IP của máy càn phải được điền đầy đủ

 Tạo máy chủ DNS

Khi cài Active Directory sẽ nhận được thông báo cài cùng dịch vụ

DNS, nếu ta chưa tiến hành cài khi nâng cấp Active

Directory hay muốn thêm chức năng này có thể tiến hành

Từ cửa sổ Configure Your Server Winzard chọn DNS Server và tiếp tục điền các thông số của máy chủ DNS như

các Zone, các dải IP của máy chủ DNS…

Hình I.4.5 Cấu hình DNS khi cài domainMáy chủ DNS được cấu hình :

Để bảo đảm an toàn dữ liệu của máy chủ DNS, ta cần phải đưa ra một chính sách sao lưu phục hồi thích hợp và xuyên suốt Việc sao lưu dữ liệu quan trọng trên các máy chủ DNS có thể được thực hiện bằng cách sử dụng tính năng sao lưu của Windows Server 2003 Có nhiều phương

án sao lưu phục hồi mà ta có thể chọn lựa như full backup, incremental backup, differential backup hay copy backup

Không cho phép các máy trạm sử dụng máy chủ DNS ngoài phạm vi site của chúng Phương pháp này sẽ làm giảm thiểu một lượng lớn lưu lượng truy vấn DNS có thể xảy

ra trên đường truyền kết nối WAN Cấu hình này sẽ được duy trì thông qua các tùy chọn trong các scope của dịch vụ DHCP

Hình I.4.6 Cấu hình máy chủ DNS với các bản ghi HostA

Bảng I.4.1: Các trường trong bản ghi tài nguyên tiêu chuẩn

Tên

trường

Mô tả tác dụng

Owner Nhận diện các máy DNS mà các bản ghi tài

nguyên này là sở hữu của nóTTL(thời

gian sống)

Là thời gian tồn tại tối đa của một máy chủđệm hay máy trạm có thể lưu bản ghi này Ta

có thể tùy chọn cho nó bằng một số nguyên độ

dài tối đa 32 bit (thời gian theo giây)Class Định nghĩa các giao thức quen thuộc được sử

dụng VD: IN là internet

Type Nhận diện các loại bản ghi tài nguyên VD bản

ghi SOA, bản ghi A…

Rdata Chứa Rdata Là một trường có độ dài biến đổi,

nó thể hiện các thông tin sẽ mô tả bởi bản ghitài nguyên VD: dữ liệu của bản ghi A là 1 chuỗi

32 bit địa chỉ IP của máy chủ ở trong owner

Để chi tiết hơn về các loại bản ghi tài nguyên của DNS được thể hiện ta sẽ xét các loại bản ghi tài nguyên cơ bản được tích hợp trong Windows Server 2003 Đây cũng là các loại bản ghi cụ thể liên quan đến triển khai DNS trong

Windows Server 2000 và Windows Server 2003:

Bảng I.4.2 Các kiểu bản ghi trong Windows Server 2003

60 phút SOA Tên chủ sở hữu,

FQDNcủa máychủ tên, số TT,khoảng thời gianlàm việc(đổitên,làm tươi, hếthạn, TTL min… )

SOAtrong

hữu(DNS chính)

và Ipv4 của

vùng máy(32 bit )Máy

chủ tên

IN Bằng TTL

SOAtrongvùng

NS Tên chủ sở hữu

và tên DNS củamáy chủ

Trao

đổi thư

IN Bằng TTL

SOAtrongvùng

MX Tên chủ sở hữu

và tên máy chủtrao đổi thư, sốthứ tự ưu tiênTên

quy

chuẩn

IN Bằng TTL

SOAtrongvùng

CNAME Tên bí danh của

chủ sở hữu, tênDNS máy

Hình sau mô tả chi tiết một bản ghi của DNS với các thông

số cơ bản

:Hình I.4.7Bản ghi Name Server của DNS

 Tạo máy chủ DHCP

Từ cửa sổ Configure Your Server Winzard chọn DHCP

Server

Hình I.4.8 Chọn cài DHCPMáy chủ DHCP được cấu hình :

Địa chỉ 192.168.2.1 được dành cho router, địa chỉ 192.168.2.2 được dành riêng cho máy chủ DNS như hình dưới

Hình I.4.9 Máy chủ DHCP với phân giải

192.168.2.0(100-150)

Để chính sách quản trị cho dịch vụ DHCP hoàn thiện, người quản trị cần đưa ra một chính sách sao lưu dữ liệu DHCP phù hợp Window server 2003 đưa ra giải pháp để thực hiện sao lưu và phục hồi dữ liệu ( Ntbackup)

PHẦN II QUẢN TRỊ VÀ DUY TRÌ HỆ THỐNG

Khi một tổ chức triển khai các Windows 2000 domain controller của họ phù hợp với những thiết lập bảo mật được nói đến trong phần một của tài liệu này , điều cần thiết là mức bảo mật domain controller được duy trì hoặc thậm chí được nâng cấp Việc môi trường có duy trì được sự an toàn hay không được quyết định phần lớn bởi các thủ tục thao tác IT của tổ chức

Phần I của đề án này giới thiệu về việc triển khai

Administratorsan toàn cũng như xây dựng và cấu hình các domain controller Phần II cung cấp những đề xuất để duy trìAdministratorsan toàn với các thao tác như thực hiện kiểm định một cách định kỳ các cấu hình domain controller để đảm bảo rằng việc thay đổi trái phép không xuất hiện

1 Khái niệm cơ bản

1.1 Một số khái niệm về kiến trúc Administrators

Các thành phần logic trong kiến trúc Administrators gồm có:

1.1.1 Các đối tượng

Đối tượng thực ra là các tài nguyên được lưu trữ trên Active Directory Đây được coi là thành phần cơ bản nhất trong dịch vụ thư mục Active Directory Các đối tượng được lưu trữ trên Administratorstheo một kiến trúc phân cấp bao gồm các khoang chứa cha và các khoang chứa con với mụcđích dễ dàng hơn trong việc tìm kiếm, truy cập và quản lý chúng Kiến trúc này tương tự như việc tổ chức file và thư mục

Các lớp đối tượng Một đối tượng là tập hợp của các đặc tính Các đặc tính tạo nên một đối tượng được định nghĩa là một lớp đối tượng Khi tạo một đối tượng mới, nó

sẽ tự động thừa hưởng các đặc tính từ lớp mà nó trực

thuộc Và tất nhiên chúng ta có thể thay đổi các lớp đối

tượng cũng như các đặc tính của chúng sao cho phù hợp với các yêu cầu của tổ chức

AdministratorsSchema Các lớp và các đặc tính sẽ tạo nên một khái niệm AdministratorsSchema Về mặt cơ sở dữ liệu,schema là một cấu trúc bao gồm các bảng, các trường và mối liên quan giữa chúng với nhau Vì vậy Administrators Schema rất quan trọng đối với hoạt động của dịch vụ thư mục Nó được bảo vệ bởi danh sách điều khiển truy cập ACL chỉ cho phép các user và các ứng dụng với quyền thích

hợp được thực hiện các thao tác nhất định trên đó Việc thayđổi schema cần rất cẩn trọng.

1.1.2 Các domain

Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là domain Một domain đại diện cho một đườngbiên quản trị Các máy tính, người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ liệu bảo mật chung

1.1.3 Các tree

Các domain khác nhau được tổ chức theo cấu trúc có phân cấp gọi là cây Thậm chí nếu bạn chỉ có một domain trong tổ chức của bạn, bạn vẫn có một cây Domain đầu tiên tạo ra trong một cây được gọi là root domain Domain được tạo tiếp theo sẽ là domain con của root domain đó Domain có khả năng mở rộng thành nhiều domain trong mộtcây Tất cả các domain trong một cây chia sẻ một schema chung và một không gian tên kề nhau

1.1.4 Các OU

OU cung cấp một phương pháp để tạo ra một biên quản trị trong một domain Chủ yếu, nó cho phép bạn ủy nhiệm các nhiệm vụ quản trị trong một domain

OU hoạt động giống như một container chứa các tài nguyên trong domain Bạn có thể áp đặt các quyền quản trị

trong một OU Một đặc thù chính là cấu trúc OU theo một cấu trúc chức năng hoặc công việc trong một tổ chức Ví dụ,trong một tổ chức nhỏ với một domain có thể tạo ra các OU riêng biệt tương ứng với các phòng ban trong tổ chức đó.

Có thể lồng các OU (tạo các OU bên trong một OU) Tuy nhiên, cấu trúc OU phức tạp trong một domain có thể là một trở ngại Khi cấu trúc của bạn càng đơn giản, thì thực thi

và quản lý nó càng dễ dàng Khi thực hiện lồng OU lên quá

12 mức OU, bạn sẽ gặp vấn đề đáng kể về hiệu năng

1.2 Khái niệm về backup và restore

Backup và Retore hệ thông là môt chức năng không thể thiếu trong bất kì hệ thống nào Tài liệu này nhằm mô tả sơ

bộ công việc backup hệ thống cài đặt trên hệ điều hành

Windows 2003 Server Nó cho phép các System Engineer đưa ra giải pháp và chính sách backup hệ thống một cách

có hiệu quả lớn nhât

Có 5 kiểu backup mà có thể sử dụng, nó phụ thuộc vào

sự quan trọng của dữ liệu cần backup và chính sách mà bạnmuốn khôi phục dữ liệu đó như thế nào

 Daily:Backup những file thay đổi từ daily backup cuối cùng Nếu một file sửa đổi trên cùng ngày với backup , thì nó sẽ được backup Thuộc tính lưu trữ của file là không đổi

 Incremental: Backup những file thay đổi từ normal hoặcincremental backup Nếu thuộc tính lưu trữ được hiển thị thì nó có nghĩa là file vừa sửa đổi – chỉ những files với thuộc tính này được backup Một file vừa được backup, thì thuộc tính lưu trữ được xoá và chỉ thiết đặt lại khi dữ liệu được thay đổi lần nữa.

 Full(Normal): backup những file được lựa chọn, không quan tâm đến thiết định của thuộc tính lưu trữ như thế nào Một file vừa được backup, thì thuộc tính lưu trữ được xoá cho đến khi file đó được thay đổi Khi thuộc tính lưu trữ được thiết định lại, thì nó biểu thị rằng file

đó cần được backup

 Differential: Backup những file mà thay đổi từ Full

backup cuối cùng Nếu thuộc tính lưu trữ được hiển thị,

nó có nghĩa là dữ liệu vừa được thay đổi và file có

thuộc tính tính này được thiết đặt sẽ được back up Tuynhiên, với trường hợp backup này thuộc tính lưu trữ không bị xoá vì vậy cho phép các loai backup khác sử dụng cùng dữ liệu đó ở giai đoạn sau

 Copy: Backup tất cả những file mà được chọn, không quan tâm thuộc tính lưu trữ Thuộc tính lưu trữ không thay đổi, vì vậy những loại backup khác có thể thực hiện trên dữ liệu tương tự

tổ chức của bạn là một high-security server khi nó:

 Chạy một dịch vụ trong ngữ cảnh của một tài

khoản service Active Directoryministrator-level

 Được tin tưởng để uỷ quyền (trusted for

delegation)

 Khi một máy chủ được coi là tin tưởng để ủy ủy quyền, thì khi phục vụ một yêu cầu của client máy chủ sẽ có khả năng đưa ra yêu cầu tới các dịch vụchạy trên máy chủ khác dưới ngữ cảnh bảo mật của client Vì client đưa ra yêu cầu có các đặc quyền bảo mật cao , nên máy chủ cũng có thể chiếm lấy được các đặc quyền bảo mật cao Vì thế, tất cả các máy chủ là “trusted for delegation” bên trong rừng có thể được thiết kế là các máy chủ bảo mật cao (high-security)

Trên cơ sở những tiêu chuẩn này, thêm các domain

controller có thể là các server có mức bảo mật cao trong mạng của bạn mà nó sẽ cần hoạt động đặc biệt ngày này qua ngày khác để duy trì bảo vệ Bảo vệ tất cả các máy chủ

có mức bảo mật cao bằng các nguyên tắc chung cho việc vận hành máy chủ an toàn

2.1 Thực hiện duy trì bảo mật Domain Controller

và Active Directoryministrative Workstation

Khi tổ chức của bạn thực hiện cấu hình domain controller

và Active Directoryministrative workstation an toàn theo những đề xuất trong phần I của tài liệu này thì bạn bắt đầu các hoạt động Trong một môi trường thực tế, những người quản trị thực hiện ngày này qua ngày khác và thỉnh thoảng bảo dưỡng các domain controller và Active

Directoryministrative workstation Cách các nhiệm vụ này được thực hiện ảnh hưởng trực tiếp tới mức bảo mật của domain controller và Active Directoryministrative workstation

mà tổ chức của bạn có thể duy trì

Các chính sách được viết ra và các thủ tục sẽ tồn tại cho tất cả các hoạt động duy trì domain controller, bao gồm:

 Sao lưu và khôi phục cho domain controller

 Thay thế phần cứng cho domain controller và Active Directoryministrative workstation

 Quét virut trên Domain controller và Active

Domain controller bị lỗi có thể do một lỗi nghiêm trong trong dịch vụ Như một phần của việc quản lý an toàn và các hoạt động khôi phục, domain controller backups phải được thực hiện an toàn và tin cậy Sao lưu trạng thái hệ thống ( Systemstate) trên domain controller không giống các dạng sao lưu

và khôi phục trên các máy chủ ở một số điểm:

 Không thể thực hiện Incremental backup

 Không phải tất cả domain controller sẽ được sao lưu

 Sao lưu từ một domain controller không thể được sử dụng để khôi phục trên một domain controller khác

 Khôi phục ở cả hai dạng authoritative hoặc