Triển Khai Một Số Ứng Dụng Trên Windows Server 2008
Trang 2NỘI DUNG BÁO CÁO
Nâng cấp Windows Server 2008 lên Domain Controller.
Join Domain cho Windows 7
Tạo User Account và cho phép User có quyền thay đổi ngày
giờ hệ thống.
Dựng hệ thống Multi Master cho Domain Controller.
Dịch vụ DHCP trên Server 2008
Dịch vụ VPN trên Server 2008
Trang 3I.Giới Thiệu Windows Server 2008 :
A.Tổng quan về Windows Server 2008 :
-Window Server 2008 là hệ điều hành Windows Server tân tiến, được thiết kế
nhằm tăng sức mạnh cho các mạng, ứng dụng và dịch vụ Web thế hệ mới Với
Windows Server 2008, bạn có thể phát triển, cung cấp và quản lý các trải nghiệm
người dùng và ứng dụng phong phú, đem tới một hạ tầng mạng có tính bảo mật cao, và tăng cường hiệu quả về mặt công nghệ và giá trị trong phạm vi tổ chức của mình
-Windows Server 2008 kế thừa những thành công và thế mạnh của các hệ điều
hành Windows Server thế hệ trước, đồng thời đem tới tính năng mới có giá trị và
những cải tiến mạnh mẽ cho hệ điều hành cơ sở này Công cụ Web mới, công nghệ ảo hóa, tính bảo mật tăng cường và các tiện ích quản lý giúp tiết kiệm thời gian, giảm bớt các chi phí, và đem tới một nền tảng vững chắc cho hạ tầng Công nghệ Thông tin
(CNTT) của bạn
Trang 4B Nền tảng chắc chắn dành cho doanh nghiệp :
-Windows Server 2008 đem tới một nền tảng chắc chắn đáp ứng tất cả các yêu cầu
về ứng dụng và chế độ làm việc cho máy chủ, đồng thời dễ triển khai và quản lý Thành phần mới Server Manager cung cấp một console quản lý hợp nhất, đơn giản hóa và sắp xếp một cách hợp lý việc cài đặt, cấu hình và quản lý liên tục cho máy chủ
-Tùy chọn cài đặt mới Server Core của Windows Server 2008 cho phép cài đặt các vai trò máy chủ chỉ với những thành phần và hệ thống phụ cần thiết mà không cần giao diện người dùng Việc có ít hơn các vai trò và đặc tính đồng nghĩa với việc giảm thiểu công việc cho ổ đĩa và dịch vụ, đồng thời giảm bớt các bề mặt tấn công Sản phẩm cũng cho phép nhân viên CNTT xây dựng đặc tả tùy theo các vai trò máy chủ cần hỗ trợ
Trang 5C.Cấu hình cài server 2008:
-Cấu hình cài đặt windows server 2008 :
+ Processor: tối thiểu 1Ghz, khuyến nghị 2Ghz, tốt nhất từ 3Ghz trở lên Chú ý với máy tính sử dụng bộ xử lý Intel Itanium 2, có phiên bản Windows Server 2008 riêng
+ Bộ nhớ: tối thiểu 512MB, khuyến nghị 1GB; tốt nhất 2GB (cài đặt đầy đủ) hoặc 1GB dành cho 1 nhân CPU RAM tối đa với bản 32 bit: 4GB (bản
Standard) hoặc 64GB (bản Enterprise và Datacenter);
+Ổ đĩa trống: tối thiểu 8GB, khuyến nghị 40GB (cài đặt đầy đủ), 10GB (cài đặt Server Core); Tốt nhất 80GB (cài đặt đầy đủ), 40GB (cài đặt Server Core);
+Ổ đĩa DVD
Trang 6BẢNG GIÁ WINDOWS SERVER 2008
Trang 15II.Domain Controller (DC) :
Một trong những khái niệm quan trọng nhất của mạng Windows là domain (tức
miền hay vùng) Một domain là tập hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với nhau để quản lý một cách tập trung Và công việc quản lý là dành
cho domain controller (bộ điều khiển miền) nhằm giúp việc khai thác tài nguyên trở nên
dễ dàng hơn
Domain Controller là máy chủ có vai trò quản lý nhằm giúp việc khai thác tài
nguyên trở nên dễ dàng hơn
Domain Controller là máy tính điều khiển mọi hoạt động của mạng, nếu máy này có
sự cố thì toàn bộ hệ thống mạng bị tê liệt
Trang 16 Một vài thông tin sau bạn cần phải xác định trước khi cài đặt:
-Tên domain và tên máy chủ DNS Domain phải là một tên DNS duy nhất trên
mạng
-Domain của bạn có hỗ trợ cho các phiên bản chạy Windows trước đây hay không
Bạn cần phải xác định để khi bạn tạo Active Directory forest và bạn cấu hình chức
năng level của nó
-Cấu hình địa chỉ IP cho Domain Controller Domain controller yêu cầu phải được
cấu hình địa chỉ IP tĩnh
-Tài khoản và mật khẩu có quyền quản trị cao nhất (mặc định là tài
khoản Administrator).
-Sau khi bạn đã xem xét các yêu cầu cho việc cài đặt Active Directory Domain
Services thì bạn có thể thực hiện cài đặt.
Trang 17-khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ vào
máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống sẽ yêu
cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add Workstation to
Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp
miền)
Trang 18IV.Multi master cho Domain Controller :
-Domain Controller là máy tính điều khiển mọi hoạt động của mạng nếu máy này
có sự cố thì toàn bộ hệ thống mạng bị tê liệt Do tính năng quan trọng này nên trong một
hệ thống mạng thông thường chúng ta phải xây dựng ít nhất hai máy tính Domain
Controller
-Như chúng ta đã biết, công việc chứng thực đăng nhập thường được thực hiện vào đầu giờ mỗi buổi làm việc, nếu mạng của bạn chỉ có một máy điều khiển dùng và 10.000 nhân viên thì chuyện gì sẽ xảy ra vào mỗi buổi sáng? Để giải quyết trường hợp trên,
Microsoft cho phép các máy điều khiển vùng trong mạng cùng nhau hoạt động đông thời, chia sẻ công việc của nhau, khi có một máy bị sự cố thì các máy còn lại đảm nhiệm luôn công việc máy này
Trang 20VI.Dịch vụ DHCP :
1.Giới thiệu dịch vụ DHCP:
-Mỗi thiết bị trên mạng có dùng bộ giao thức TCP/IP đều phải có một địa chỉ IP hợp lệ, phân biệt Để hỗ trợ cho vấn đề theo dõi và cấp phát các địa chỉ IP được chính xác, tổ chức IETF (Internet Engineering Task Force) đã phát triển ra giao thức DHCP (Dynamic Host Configuration Protocol)
- Giao thức này được mô tả trong các RFC 1533, 1534, 1541 và 1542 Bạn có thể tìm thấy các RFC này tại địa chỉ http://www.ietf.org/rfc.html Để có thể làm một DHCP Server, máy tính Windows Server 2008 phải đáp ứng các điều kiện sau:
Đã cài dịch vụ DHCP
Mỗi interface phải được cấu hình bằng một địa chỉ IP tĩnh
Đã chuẩn bị sẵn danh sách các địa chỉ IP định cấp phát cho các máy client
Trang 21-Dịch vụ DHCP này cho phép chúng ta cấp động các thông số cấu hình mạng cho các máy trạm (client) Các hệ điều hành của Microsoft và các hệ điều hành khác như Unix hoặc Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên các hệ điều hành này phải có một DHCP Client
- Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như:
Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ thống mạng
Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật (Public IP)
Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng
Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như: nhà ga, sân bay, trường học…
Trang 222.Hoạt động của giao thức DHCP :
-Giao thức DHCP làm việc theo mô hình client/server Theo đó, quá trình tương tác giữa DHCP client và server diễn ra theo các bước sau:
Trang 23-Khi máy client khởi động, máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu cầu một server phục vụ mình Gói tin này cũng chứa địa chỉ MAC của máy client
- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng
cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet
mask và địa chỉ của Server Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho
những Client khác trong suốt quá trình thương thuyết
Trang 24- Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi
broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó Điều này cho phép
các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát
cho Client khác
- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCPACK như là
một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng
đó sẽ chính thức được áp dụng Ngoài ra Server còn gửi kèm theo những thông tin cấu hình bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server, …
Trang 25 3.Triển khai dịch vụ DHCP :
Chuẩn bị :
1 máy Server win 2k8
1 Client
Trang 27 Một số đặc điểm của VPN:
Bảo mật (security)
Tin cậy (reliability)
Khả năng mở rộng (scalability)
Khả năng quản trị hệ thống mạng (network management)
Khả năng quản trị chính sách (policy management)
Trang 282.Các mô hình của VPN :
A Remote-Access:
-Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider) ESP cài đặt một một công nghệ Network
Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ
Trang 29 Các nhân viên từ xa này sau đó có thể quay một số từ 1-800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của họ Các công ty khi sử dụng loại kết nối này là những hãng lớnvới hàng trăm nhân viên thương mại Remote-access VPNs đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ
ba (third-party)
Trang 30B Site-to-Site:
Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo mật diện rộng, mỗi công
ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet Các mạng Site-to-site VPN có thể thuộc một trong hai dạng sau:
Intranet-based: Áp dụng trong truờng hợp công ty có một hoặc nhiều địa điểm
ở xa, mỗi địa điểm đều đã có 1 mạng cục bộ LAN Khi đó họ có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong 1 mạng riêng thống nhất
Extranet-based: Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như, một đồng nghiệp, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan và cho phép các
công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên
Trang 313 Các phương pháp bảo mật :
Một VPN được thiết kế tốt thường sử dụng vài phương pháp để duy trì kết nối và giữ
an toàn khi truyền dữ liệu:
Bức tường lửa - Một tường lửa (firewall) cung cấp biện pháp ngăn chặn hiệu quả giữa mạng riêng của người dùng với Internet Người dùng có thể sử dụng tường lửa ngăn chặn các cổng được mở, loại gói tin được phép truyền qua và giao thức sử dụng Một vài sản phẩm VPN, chẳng hạn như Cisco's 1700 router, có thể nâng cấp để bao gồm cả tường lửa bằng cách chạy Cisco IOS tương ứng ở trên router Người
dùng cũng nên có tường lửa trước khi sử dụng VPN, nhưng tường lửa cũng có thể ngăn chặn các phiên làm việc của VPN
Trang 32- Mã hoá : Đây là quá trình mật mã dữ liệu khi truyền đi khỏi máy tính theo một quy tắc nhất định và máy tính đầu xa có thể giải mã được Hầu hết các hệ thống mã hoá máy tính thuộc về 1 trong 2 loại sau:
+Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
+Mã hoá sử dụng khoá công khai (Public-key encryption)
-Trong hệ symmetric-key encryption, mỗi máy tính có một mã bí mật sử dụng để mã hoá các gói tin trước khi truyền đi Khoá riêng này cần được cài trên mỗi máy tính có trao đổi thông tin sử dụng mã hoá riêng và máy tính phải biết được trình tự giải mã đã được quy ước trrước Mã bí mật thì sử dụng để giải mã gói tin
Trang 334.Các kỹ thuật và các giao thức sử dụng trong VPN :
A Các kỹ thuật sử dụng trong VPN :
-Kỹ thuật VPN dựa vào ý tưởng đường hầm (tunneling) Kỹ thuật VPN tunneling đề cập đến việc thiết lập, duy trì kết nối mạng logic (có thể có các chặng trung gian) Với kết nối này các gói được xây dựng dựa vào định dạng của các giao thức VPN và được đóng gói vào các giao thức khác (chẳng hạn như gói TCP/IP) sau đó đuợc truyền đi đến client hay server và được khôi phục từ đầu thu Có rất nhiều giao thức VPN để đóng gói vào gói IP Các giao thức của VPN cũng hỗ trợ việc nhận dạng và mă hóa để bảo mật đường hầm
Trang 34 Các dạng đường hầm của VPN: VPN hổ trợ hai dạng đường hầm là “tự nguyện” và
“bắt buộc”:
Đối với đường hầm tự nguyện: VPN client quản lý việc thiết lập kết nối Trước tiên client thực hiện việc kết nối đến ISP, sau đó VPN ứng dụng tạo ra đường hầm đến VPN server qua đường hầm kết nối trực tiếp này
Đối với đường hầm bắt buộc nhà cung cấp mạng (ISP) quản lý việc thiết lập kết nối VPN Trước tiên VPN client kết nối đến ISP và ISP thực hiện kết nối giữa client và VPN server Nếu đứng ở VPN client thì việc kết nối chỉ thực hiện 1 bước (so với 2 bước nếu sử dụng tunneling tự nguyện) VPN tunneling bắt buộc sẽ nhận dạng client và kết hợp chúng với VPN server chỉ định bằng các kết nối logic được xây dựng sẵn trong các thiết bị kết nối gọi là VPN FEP (Front End Processor), hay NAS, POS
Trang 355 Các giải pháp triển khai VPN :
A Giải pháp triển khai VPN bằng phần cứng :
Giải pháp triển khai VPN dựa trên hệ thống CISCO là chủ yếu, vì nó luôn là lựa chọn tốt nhất Tùy vào loại VPN được triển khai (truy cập từ xa hay điểm-nối-điểm), sẽ cần phải cài đặt những bộ phận hợp thành nào đó để thiết lập mạng riêng ảo Đó có thể là:
Phần mềm cho desktop của máy khách dành cho người sử dụng từ xa
Phần cứng cao cấp như bộ xử lý trung tâm VPN hoặc firewall bảo mật PIX
Hệ thống các Router, Switch có khả năng lập trình định hướng
Server VPN cao cấp dành cho dịch vụ Dial-up
NAS (máy chủ truy cập mạng) do nhà cung cấp sử dụng để phục vụ người sử
dụng từ xa
Mạng VPN và trung tâm quản lý
Trang 36B Giải pháp triển khai VPN bằng phần mềm :
-Các hệ điều hành Windows 2000 Server trở đi cho phép thiết lập VPN server bằng cách sử dụng lợi thế có sẵn trong dịch vụ cho phép truy cập từ xa Sau khi thiết lập máy chủ thành VPN Server thì các máy trạm (Clients) có thể truy cập những tài nguyên
trong mạng nội bộ (mạng LAN) như là đang kết nối trực tiếp với mạng đó
-Dịch vụ kết nối từ xa thông qua dịch vụ VPN Client tới máy chủ sẽ đảm bảo truy cập tới thông tin trong mạng nội bộ một cách an toàn bởi giao thức mã hóa và đào
đường hầm trên nền tảng mạng Internet, nhằm mục đích tạo một mạng riêng ảo trên nền mạng Internet để có thể trao đổi dữ liệu, khai thác các dịch vụ CSDL trên mạng
Trang 376 Lợi ích của VPN :
Một số lợi ích của VPN mạng lại như :
Mở rộng kết nối ra ngoài
Cung cấp dịch vụ một cách nhanh chóng (Dịch vụ nội bộ)
Tăng cường an ninh mạng
Hỗ trợ truy cập, làm việc từ xa và tăng khả năng tương tác
Đơn giản hoá mô hình kiến trúc mạng
Quản trị hệ thống mạng từ xa hiệu quả
Quản lý dễ dàng: có thể quản lý số lượng người sử dụng (khả năng t hêm, xoá kênh kết nối liên tục, nhanh chóng)
Trang 38 Tiến hành thực hiện :
A.chuẩn bị :
Bài sử dụng 3 máy ảo Mỗi máy có card mạng CROSS và LAN
+1 máy Window 2008 làm Stand Alone Root CA(full name: ca.athena.com)+1 máy Window 2008 làm VPN Server (full name: vpn.athena.com)
+1 máy Window Client XP ,Vista,Win7…