Xây dựng hệ thống mạng cho công ty TNHH Huyndai Merchant Marine Việt Nam

Tất cả các nhân viên và các phòng ban của công ty đều phải có thông tinriêng dựa trên chính sách username pasword để việc được quản lý một cáchdễ dàng, thuận lợi cho người quản trị Hư

PHẦN I:

KHẢO SÁT TÌNH HÌNH

THỰC TẾ

1.1 Tổng quan về công ty TNHH Hyundai Merchant Marine Việt Nam

1.1.1 Tóm tắt lược sử của công ty

Địa chỉ: Tầng 12, 81-85 Hàm Nghi, Quận 1, tp Hồ Chí Minh

Công ty TNHH Hyundai Merchant Marine Việt Nam hiện là liên doanh với Hyundai Merchant Marine và Công ty cổ phần Đại lý liên hiệp vận

chuyển (Gemadept) được thành lập chính thức vài ngày 27/07/2009.

Là công ty hoạt động trong lĩnh vực vận tải biển, với hình thức hoạt độngchính là: Thực hiện các hoạt động liên quan đến hàng hoá do Công ty

Hyundai Merchant Marine vận chuyển như: bán và tiếp thị dịch vụ vận tải

biển qua giao dịch trực tiếp với khách hàng; đại diện cho chủ hàng; cung cấpthông tin kinh doanh theo yêu cầu; chuẩn bị tài liệu liên quan đến chứng từvận tải; cung cấp các dịch vụ vận tải đường biển bao gồm cả dịch vụ vận tải

nội địa bằng tàu mang quốc tịch Việt Nam để cung cấp dịch vụ vận tải tích

hợp

1.1.2 Tổ chức phòng ban và hoạt động của công ty

Sơ đồ 1.1: Tổ chức phòng ban của công ty.

về các dự án, hợp đồng và đề ra hướng đi cho Công ty

I/A

General Director

ANT

INBOUN D

ON

 General Manager: Nguyễn Bảo Quốc: Quản lý các bộ phận: Accountan,

Information, Inbound, HR, IT

1.2.1 Sơ đồ tổ chức máy tính và các phòng ban

Sơ đồ 1.2: Tổ chức máy tính các phòng ban của công ty.

1.2.2 Hiện trạng về cơ sở vật chất mạng

Server 2: dùng cài đặt mail server

Các thiết bị mạng

2 Switch hiệu Dlink dung nối các máy tính trong công ty

1 AP Wireless Linksys dùng cho việc phát sóng wifi để mọi người cóthể truy cập hệ thống mạng thông qua laptop.

1 router ADSL VNPT dùng cho các máy trong hệ thống mạng kết nối rađược internet

1 firewall Cisco ASA 5510

Các máy in Canon 3640, HP 2015, HP 1020, HP 1520, LQ 300+ Docs,

LQ 2180 được chia sẻ trên mạng phục vụ việc in ấn cho các phòng bantrong công ty

 Hệ thống client:

Công ty có một hệ thống các máy tính được phân bố như sau:

Phòng ban Số lượng máy

Server 2: được sử dụng làm mail server, chạy hệ điều hành windows server

2003 Enterprise, và cài mail exchange server

 Hệ thống client:

Tất cả các máy máy client đều được chạy trên hệ điều hành Windows xpprofessional, trên đó cài đặt các ứng dụng văn phòng và những ứng dụngphục vụ cho nhu cầu của mỗi phòng ban.

1.2.2.3 Các dịch vụ mà hệ thống đang phục vụ

Hệ thống mạng đang được phục vụ tốt với những dịch vụ như:

AD: các user, group, OU chứa thông tin về username và password của nhânviên công ty được quản lý tập trung

DHCP: các máy client được cung cấp địa chỉ IP để đăng nhập vào hệ thốngmạng một cách tự động

Mail server: các nhân viên có thể gửi, nhận mail trong và ngoài công tythông qua hệ thống mail

File server: hệ thống file trong công ty được quản lý theo mô hình tậptrung, mọi file làm việc của nhân viên đều được để trên server và đượcquản lý bởi người quản trị mạng

1.2.3 Sơ đồ mạng

Sơ đồ 1.3: Sơ đồ mạng hiện tại.

1.3 Nhận xét

1.3.1 Hệ thống hiện tại

Các nhân viên được sử dụng mail và các dịch vụ trong hệ thống mạng mộtcách có hiệu quả

Việc quản trị dễ dàng

Dữ liệu được quản lý tập trung trên file server nên được bảo mật an toàn

Khi mở rộng mạng tương đối đơn giản, nếu ở khoảng cách quá xa thì có thểdùng repeater khuyết đại tín hiệu

Sử dụng cáp xoắn hợp lý trong hệ thống

1.3.2 Những bất cập trong hệ thống hiện tại

Hệ thống sẽ bị tê liết khi gặp sự cố bất thường vì không có server dự phòng.Tốc độ truy xuất không nhanh do server phải chạy nhiều ứng dụng

Hệ thống truy xuất internet không nhanh vì không có cache.

PHẦN II:

PHÂN TÍCH YÊU CẦU

2.1 Yêu cầu của công ty

2.1.1 Yêu cầu đối với hệ thống Server

Các user được quản lý khoa học và tập trung

Các nhân viên có thể truy cập được vào mạng của công ty khi họ ở cảng

Hệ thống được bảo mật an toàn

Dữ liệu được chạy thông suốt

Xây dựng hệ thống dự phòng tránh việc hệ thống bị tê liệt khi xảy ra sự cố.Xây dựng hệ thống mail server cho công ty

Xây dựng Web Server chứa trang web của Công ty và có thể truy cập đượcbằng Internet

Backup dữ liệu tự động phòng mất dữ liệu khi xảy ra sự cố bất thường

2.1.2 Yêu cầu đối với hệ thống client

Các nhân viên đều có tài khoản riêng để có thể truy cập và làm việc trong hệthống

Các máy client có thể truy cập được internet nhưng phải có những chính sáchbảo mật ngăn ngừa hiểm họa từ internet

Nhân viên có thể gửi và nhân mail trong hệ thống lẫn bên ngoài internetMỗi phòng ban đều có những nơi lưu trữ dữ liệu riêng trên server để thuậntiện cho việc sử dụng và bảo mật

Nhân viên có thể được in ấn tài liệu tại các máy in trong hệ thống

2.2 Phân tích yêu cầu

2.2.1 Đối với hệ thống Server

 Các user được quản lý khoa học và tập trung.

Tất cả các nhân viên và các phòng ban của công ty đều phải có thông tinriêng dựa trên chính sách username pasword để việc được quản lý một cách

dễ dàng, thuận lợi cho người quản trị

Hướng giải quyết: Xây dựng một hệ thống Domain Trên đó cài đặt hệ

điều hành Windows Server 2003 và các dịch vụ:

 Active Directory (AD): để tạo và ra các user, các group, các OU và

thiết lập các chính sách cho nhón các user, dịch vụ này sẽ giúp ngườiquản trị dễ dàng quản lý được các user một cách khoa học

 Domain Naming Service (DNS): Dịch vị này làm nhiệm vụ phân giải

địa chỉ IP thành tên miền và ngược lại giúp cho các máy Server cũngnhư các máy client join vào domain của công ty một các dễ dàng

 Dynamic Host Configuration Protocol (DHCP): Dịch vụ này sẽ tự

động cấp địa chỉ IP cho các máy tính tham gia vào mạng của công ty

 Các nhân viên có thể truy cập được vào mạng của công ty khi họ ở cảng.

Khi có nhân viên không trực tiếp làm việc ở công ty nhưng họ cần truyxuất dữ liệu có ở công ty để phục vụ cho công việc của mình

Hướng giải quyết: Xây dựng và cấu hình dịch vụ VPN để cho nhân viên ở

xa có thể truy cập theo mô hình client - server để truy cập và làm việc trong

hệ thống mạng của công ty giống như đang ngồi tại công ty

 Hệ thống được bảo mật an toàn.

Dữ liệu nội bộ của công ty cần được quản lý và bảo mật an toàn, vì khi dữliệu bị lộ ra ngoài sẽ gây ra rất nhiều khó khăn và ảnh hưởng đến doanh thucủa công ty

Hướng giải quyết: Ta sẽ xây dựng firewall ISA server 2006 nhằm kiểm

soát các luồn dữ liệu ra và vào khi làm việc của các user trong hệ thống mạng

 Dữ liệu được chạy thông suốt và việc truy cập nhanh chóng.

Khi đang làm việc, bỗng nhiên không thể truy cập được dữ liệu do sự cốbất thường sẽ ảnh hưởng đến tiến độ làm việc của cả công ty

Hướng giải quyết: Xây dựng hệ thống File server riêng biệt với những cơ

chế bảo mật dựa vào quyền hạn của các user và phòng ban

Ta xây dựng dịch vụ DHCP để cung cấp IP động cho một máy khi đượckết nối vào hệ thống mạng, và ta không cần phải cung cấp địa chỉ IP tĩnh chomáy đó và tiết kiệm được địa chỉ IP khi có nhiều máy truy cập vào hệ thốngnày

Dịch vụ DHCP relay agent cũng tương tự như thế, nó sẻ cung cấp địa chỉ

IP cho các máy ở mạng khác mạng với máy cài DHCP

 Xây dựng hệ thống dự phòng tránh việc hệ thống bị tê liệt khi xảy ra sự cố.

Yêu cầu đặt ra hệ thống server phải có dự phòng tránh tình trạng mất mát

dữ liệu cũng như không quản lý được bất kỳ lúc nào

Hướng giải quyết: Xây dựng hệ thống Domain và File dự phòng để tránh

trường hợp hệ thống bị tê liệt khi xảy ra sự cố, khi có hệ thống dự phòngchạy song song thì khi một server bị sự cố thì sẻ có server khác thay thế đảmnhận nhiệm vụ của server kia trong thời gian khắc phục sự cố Việc này đảmbảo cho hệ thống luôn ở trong tình trạng thông suốt

 Xây dựng hệ thống mail server cho công ty.

Mail Server sẽ giúp cho việc các nhân viên trong công ty sẽ có được mộtđịa chỉ mail riêng của công ty, giúp cho người quản trị mạng có thể dễ dàngquản lý được việc gửi và nhận mail của nhân viên

Hướng giải quyết: Hiện tại Mail Server của công ty đang sử dụng Mail

Exchange 2003, chúng tôi quyết định xây dựng thử nghiệm một hệ thống mail server sử dụng Mdaemon v10.

Để mỗi nhân viên đều có tài khoản mail riêng và có thể dùng để gửi mailcho các nhân viên khác trong hệ thống hoặc gửi mail ra ngoài Internet thìchúng ta cần có một mail server và để bảo đảm độ an toàn cho hệ thống mạngthì mail server này phải được đặt trong vùng DMZ

 Xây dựng Web Server chứa trang web của Công ty và có thể truy cập được bằng Internet.

Trang web của công ty dùng để giới thiệu cũng như làm việc với kháchhàng khi họ cần thông tin về cong ty.

Hướng giải quyết: Trên máy Web Server cài đặt dịch vụ IIS 6 để quản lý

trang web của công ty

Web server được cài và cấu hình cho mọi người ở trong mạng nội bộ vàngoài mạng internet có thể truy cập vào web của công ty, với cơ chế bảo mậtSSL nhằm đảm bảo việc lộ thông tin tài khoản của người truy cập và để bảođảm độ an toàn cho hệ thống mạng thì mail server này phải được đặt trongvùng DMZ

 Backup dữ liệu tự động phòng mất dữ liệu khi xảy ra sự cố bất thường.

Việc lưu trữ dữu liệu là rất quan trọng, chúng ta cần phải lưu trữ dữ liệulại để khi sự cố mất dữ liệu xảy ra thì có thể khôi phục một cách nhanh chóng

Hướng giải quyết: Xây dựng một hệ thống với 2 server chạy song song,

việc này sẽ tự động lưu chép dữ liệu qua lại giữa 2 server đảm bào dữ liệuluôn luôn sẵn sàng

2.2.2 Đối với hệ thống Client

 Các nhân viên đều có tài khoản riêng để có thể truy cập và làm việc trong hệ thống.

Nhân viên chính thức của công ty cần phải có thông tin trên hệ thốngServer để làm việc được thuận lợi

Hướng giải quyết: Trên DC Tạo và cung cấp các username password cho

Hướng giải quyết: Xây dựng các chính sách bảo mật, và quản lý luồng dữ

liệu dựa trên ISA Server

 Nhân viên có thể gửi và nhân mail trong hệ thống lẫn bên ngoài internet.

Ngay trên máy của họ phải có một dịch vụ nào đó để truy cập vào hộpmail riêng của mình

Hướng giải quyết:Mail server MDaemon sẽ cung cấp một trang web để

truy cập vào tài khoản riêng của nhân viên

 Mỗi phòng ban đều có những nơi lưu trữ dữ liệu riêng trên server để thuận tiện cho việc sử dụng và bảo mật.

Trên máy tính của mỗi nhân viên các phòng ban sẽ phải có thư mục riêngchứa dữ liệu của công ty và được lưu trữ tập trên File Server

Hướng giải quyết: Trên máy tính của nhân viên sẽ được MAP sẵn ổ đĩa

chứa dữ liệu thuộc File Server mỗi khi đăng nhập vào hệ thống

 Nhân viên có thể được in ấn tài liệu tại các máy in trong hệ thống.

Vì nhóm chúng em không có đủ thiết bị để triển khai yêu cầu này, nên yêucầu này sẽ không được làm trong hệ thống mạng

PHẦN III:

GIẢI PHÁP

Từ những yêu cầu về hệ thống mạng của Công ty TNHH Hyundai MerchantMarine Việt Nam, nhóm chúng tôi đã quyết định đưa ra các giải pháp cho hệ thốngnhư sau:

3.1 Giải pháp thứ nhất

Hình 3.1 Sơ đồ mạng giải pháp 1

Giải pháp này sẽ có 9 máy Server được chia làm 2 vùng mạng khác nhau quản

lý các dịch vụ khác nhau như sau:

 Vùng Server

2 máy Server làm DC chạy song song, 1 DC Master và 1 DC Slave, cả 2Server này đều có các dịch vụ AD, DNS, DHCP, và quản lý các tài khoảnuser trên hệ thống

2 máy File Server sử dụng dịch vụ DFS dể tạo nên 1 hệ thống file tự độngbackup cho nhau Trên 2 máy này có các thư mục chứa dữ liệu của cácphòng ban

Máy Mail Server cài Mdaemon v10

Máy Web Server cài đặt IIS 6

Vùng này bao gồm các máy client của các phòng ban

Tất cả các máy này đều được cài đặt hệ điều hành windows xp2 và join vàodomain

Ngoài ra còn sử dụng thêm 1 máy Server DHCP Relay làm nhiệm vụ tựđộng chia IP cho các vùng trong mạng nói trên

2 máy Server Firewall cài đặt ISA 2006 và được cài đặt theo mô hìnhArray

3.1.1 Phần cứng

3.1.1.1 Ưu điểm

Với những server được cung cấp nhằm đáp ứng các yêu cầu của công ty đưa

ra, chúng tôi đã xây dựng nên hệ thống với tính bảo mật và dữ liệu luôn được

an toàn tránh sự xâm nhập trái phép từ bên ngoài

Domain controler đồng cấp được cấu hình thuận tiện cho việc xác thực userđang nhập vào hệ thống luôn được ổn định

File server cũng được cấu hình chạy song song phù hợp cho user truy cậpvào hệ thống và sử dụng dữ liệu được ổn định mặc dù 1 server gặp sự cố.Các máy server chạy riêng lẻ nên truy xuất dữ liệu nhanh, dữ liệu chạy ổnđịnh

Hệ thống firewall ISA khá an toàn vì được xây dựng theo mô hình ISA array.3.1.1.2 Khuyết điểm

Quá nhiều server nên chi phí rất cao

Khó khăn trong việc quản lý các server

Mô hình ISA array phức tạp và gặp không ít lỗi

3.1.2 Phần mềm

3.1.2.1 Ưu điểm

Dịch vụ VPN server cho phép các nhân viên ở xa có thể truy cập được vào hệthống mạng của công ty

File server và AD chạy ở trên các máy khác nhau nên tiện cho việc truy xuất

dữ liệu nhanh chóng

3.1.2.2 Khuyết điểm

Tốn thêm chi phí để mua hệ điều hành

3.2 Giải pháp thứ hai

Hình 3.2 Sơ đồ mạng giải pháp 2

Giải pháp này sẽ có 7 máy Server được chia làm 3 vùng mạng khác nhau vàquản lý các dịch vụ khác nhau như sau:

 Vùng Server

2 máy Server làm DC chạy song song, 1 DC Master và 1 DC Slave, cả 2Server này đều có các dịch vụ AD, DNS, DHCP, và quản lý các tài khoản

user trên hệ thống Và chung với 2 máy DC này cũng làm file server sửdụng DFS.

Máy Mail Server cài Mdaemon v10

Máy Web Server cài đặt IIS 6

Vùng này bao gồm các máy client của các phòng ban

Tất cả các máy này đều được cài đặt hệ điều hành windows xp2 và join vàodomain

Ngoài ra còn sử dụng thêm 1 máy Server DHCP Relay làm nhiệm vụ tự độngchia IP cho các vùng trong mạng nói trên

2 máy Server Firewall cài đặt ISA 2006 và được cài đặt theo mô hình Back

to back

3.2.1 Phần cứng

3.2.1.1 Ưu điểm

Với những server được cung cấp nhằm đáp ứng các yêu cầu của công ty đưa

ra, chúng tôi đã xây dựng nên hệ thống với tính bảo mật và dữ liệu luônđược an toàn tránh sự xâm nhập trái phép từ bên ngoài

Các máy server được đặt trên các vùng mạng khác nhau

Domain controler đồng cấp được cấu hình thuận tiện cho việc xác thực userđang nhập vào hệ thống luôn được ổn định

File server cũng được cấu hình chạy song song phù hợp cho user truy cậpvào hệ thống và sử dụng dữ liệu được ổn định mặc dù 1 server gặp sự cố.Chi phí ít hơn so với giải pháp thứ nhất vì AD và File server được đặt trêncùng một server Ta chỉ cần tăng thêm RAM cho server thay vì mua mộtserver khác vì thế tiết kiệm chi phí hơn nhiều

3.2.1.2 Khuyết điểm

Server phải gánh nhiều công việc hơn nên truy xuất sẻ châm hơn.

3.2.2 Phần mềm

3.2.2.1 Ưu điểm

Dịch vụ VPN server cho phép các nhân viên ở xa có thể truy cập được vào

hệ thống mạng của công ty

File server và AD chạy trên cùng server nên tiện cho việc quản lý và bảo trì.ISA Back to back có nhiều ưu điểm về mặt bảo mật hơn mô hình ISA arraybởi vì nó cũng sử dụng hai firewall ISA nhưng ở đây là để chia mạng củacông ty ra làm các vùng khác nhau, và khi một kết nối từ bên ngoài truy cậpvào vùng mạng công ty thì chỉ truy cập được vào vùng public, còn vùngmạng cần được bảo mật không cho phép truy cập thì nó không thể truy cậpđược

3.2.2.2 Khuyết điểm

Việc truy xuất dữ liệu chậm hơn do máy DC phải gánh thêm công việc cuaFile Server

PHẦN IV:

TRIỂN KHAI

Với các lý do về ưu điểm của giải pháp thứ hai cũng như theo yêu cầu của Công

ty và chi phí lắp đặt, triển khai có giới hạn nên chúng tôi quyết định chọn giải phápthứ hai như sau:

Hình 4.1 Sơ đồ mạng giải pháp 2

Loại CPU sử dụng Intel Xeon Dual-Core E3110

Số lượng CPU 1 CPU

Số lượng CPU hỗ trợ 1 CPU

Bộ nhớ chính Dung lượng bộ nhớ chính (RAM) 512MB

Tốc độ BUS của RAM 667MHz

Hỗ trợ ECC Khả năng nâng cấp RAM expand to 8GB

Lưu trữ Dung lượng ổ cứng (HDD Capacity) 73GB

RAID, Storage Controller Hot-swap hardware

RAID-0, -1, upgrade to RAID-5

Hot SWAP

Ổ quang (Optical drive) CD-ROM

Networking, power, expansions Loại card mạng Gigabit 10/100/1000

Nguồn kèm theo (PSU) 400 W NHS 1/1

Phần mềm, bảo mật

Hệ điều hành cài sẵn Microsoft WindowsServer 2003

 Hệ điều hànhWindows Server 2003Enterprise

Hệ điều hành hỗ trợ • Windows Server 2003Enterprise

Certified for Windows Vista Miễn phí (Freeware)

Thông tin khác Kiểu gói sản phẩm 1 CD

MultiPOP Web Mail Easy Backup and Restore Unlimited Mailing Lists with Subscription and Moderator Options Mail Scheduling Integrated WebAdmin

Kiểu gói sản phẩm Download package

Hệ điều hành hỗ trợ • Windows Server 2003

• Windows Server 2003 Web Edition

• Windows Server 2003 Standard Edition

• Windows Server 2003 Enterprise Edition

• Windows Server 2003 Datacenter Edition

• Windows Server 2003 Storage Server

• Windows Server 2003 External Connector

• Windows Svr Std 2003

Certified for Windows Vista Miễn phí (Freeware)

Thông tin khác Kiểu gói sản phẩm 1 DVD

Các máy đều là IBM Server có cấu hình như trên

DC, File Server có thể nâng thêm dung lượng RAM để việc truy xuất dữ liệuđược nhanh hơn.

Server đồng cấp được cài đặt cho chạy song song với server chính phòngtrường hợp một trong hai server bị hỏng hóc có server khác thay thế

Access Point cũng nên đặt tại phòng IT vì tại đây nó cũng được quản lý bởingười quản trị và cũng tại đây nó sẻ phủ sóng đều cho toàn bộ công ty

Các Switch được đặt trong tủ Rack của công ty và các máy client trong hệthống mạng đều được tập trung về tại đây

2 Firewall được đặt cạnh nhau để thuận tiện cho việc cấu hình và quản lý4.2.2 Hệ thống Client

Các máy Client đang có trong công ty hiện đang hoạt động ổn định với hệthống dây mạng đã được thiết kế hợp lý cho nên ta giữ lại hệ thống này, vừatiết kiệm được ngân sách cho công ty vừa tiết kiệm được thời gian để thiết kếlại

4.3 Triển khai phần mềm

Để triển khai tốt phần mềm thì ta cần phải nắm rõ những dịch vụ cần triểnkhai sắp tới

4.3.1 ACTIVE DIRECTORY – AD

4.3.1.1 Giới thiệu về active directory

Active Directory (AD) là nơi lưu trữ các thông tin về tài nguyên khácnhau trên mạng Các tài nguyên được Active Directory lưu trữ và theo dõi baogồm File Server, Printer, Fax Service, Application, Data, User, Group và WebServer Thông tin nó lưu trữ

được sử dụng và truy cập các tài nguyên trên mạng Sự khác nhau giữa ActiveDirectory và Active Directory Service đó là các hình thức lưu trữ và quản lýthông tin tài nguyên

Thông qua Active Directory người dùng có thể tìm chi tiết của bất kỳ mộttài nguyên nào dựa trên một hay nhiều thuộc tính của nó Vì vậy mà không cầnphải nhớ tất cả đường dẫn và địa chỉ nơi tài nguyên đang được định vị, mỗithiết bị và tài nguyên trên mạng sẽ được ánh xạ đến một tên có khả năng nhậndiện đầy đủ về nó Tên này sẽ được lưu trữ lại trong Active Directory cùng vớivị trí nguyên thuỷ của tài nguyên Người sử dụng có thể truy cập đến tàinguyên này nếu họ được phép thông qua Active Directory.

Active Directory có khả năng:

Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó

Duy trì dữ liệu của nó trong một môi trường an toàn, vì chắc chắn rằng dữliệu sẽ không được cung cấp cho các người không được quyền truy cập đếnnó

Tự nó phân tán đến các máy tính trên mạng

Tự nhân bản Đây là cơ chế bảo vệ Active Directory trong trường hợp bịlỗi

Nó giúp người sử dụng ở xa tham chiếu đến một bản sao được nhân bản,được định vị ở một nơi không xa, thay vì phải tham chiếu đến bản saonguyên thuỷ

Tự phân vùng thành nhiều phần lưu trữ Active Directory có thể đượcphân tán trên các máy khác nhau vì thế nó tăng thêm khả năng lưu trữmột số lượng lớn các đối tượng có trên các mạng lớn

4.3.1.2 Các kỹ thuật được hỗ trợ bởi Active Directory

Mục đích của Active Directory là cung cấp một điểm dịch vụ trên mạng Dođó nó được thiết kế đặc biệt để làm việc chặt chẽ với các thư mục khác Nócũng hỗ trợ một phạm vi lớn các kỹ thuật Active Directory tích hợp khái niệmkhông gian tên miền trong Internet với Windows 2003 Kết quả của điều này lànó có khả năng quản lý thống nhất các không gian tên miền khác nhau đang tồntại trong các môi trường hỗn tạp của hệ thống mạng khác nhau ActiveDirectory sử dụng dịch vụ DNS cho giải pháp chuyển đổi tên của nó có thể giaotiếp với bất kỳ một thư mục nào hỗ trợ LDAP (Light Weight Directory Access

Protocol) hoặc HTTP Active Directory cung cấp API để giao tiếp với các thưmục khác.

Một số giao thức khác nhau được hỗ trợ bởi Active Directory là:

o Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách

nhiệm cho việc gán địa chỉ IP động đến các Host trong mạng Điều nàycó nghĩa là một máy trên mạng luôn được gán địa chỉ IP nhưng địa chỉnày có thể khác nhau ở các lần logon khác Active Directory hỗ trợDHCP cho việc quản lý địa chỉ trên mạng Để nhận được nhiều thôngtin hơn thì sử dụng RFC (Request For Comment) 2131

o Domain Naming Service (DNS): DNS được sử dụng cho giải pháp đổi

tên trong mạng Active Directory sử dụng dich vụ DNS như là têndomain và dịch vụ định vị của nó

o Simple Netword Time Protocol (SNTP): SNTP được sử dụng trong việc

đồng bộ về giờ của các máy trên mạng Active Directory sử dụng cácgói dữ liệu trên mạng Active Directory hỗ trợ TCP/IP trong việc truyền

Physical Compoments of Active Directory : Các thành viên của domainWindows 2003 phải hiểu về domain controller và Server Global Catalogtrong Tradomain Chỉ khi đó chúng mới có thể logon đến mạng và truy vấnActive Directory Cơ sở dữ liệu DNS chứa trong DNS Server hoặc GlobalCatalog Server Nhận thông tin này các thành viên có thể trực tiếp truy vấnđến từng Server riêng

4.3.1.4 Cấu trúc logic của Active Directory

Nhóm tài nguyên logic giúp tìm kiếm các tài nguyên dễ dàng hơn việc tìmkiếm trong vị trí vật lý của nó Vì thế Active Directory cũng có cấu trúc logic để

mô tả cấu trúc thư mục của các tổ chức Một điểm tiến bộ quan trọng khác củanhóm các đối tượng logic Active Directory là sự cài đặt vật lý của mạng có thểđược ẩn đối với người sử dụng

Các thành phần Logic của cấu trúc Active Directory là :

 Các Domain

Đơn vị logic đầu tiên của mạng Windows 2003 là domain Nó làmột tập các máy tính được định nghĩa bởi người quản trị mạng Tất cảcác máy tính trong domain chia sẻ chung một cơ sở dữ liệu ActiveDirectory

Mục đích chính của việc tạo domain là tạo một ranh giới an toàntrong một mạng windows 2003 người quản trị domain điều khiển cácmáy tính trong domain Chỉ trừ khi được gắn quyền, nếu không thìngười quản trị mạng trong domain này không thể điều khiển các domainkhác Mỗi một domain thì có các quền và các chính sách an toàn riêng,nó được thiêt lập bởi người quản trị

 Các đơn vị tổ chức (OU)

Trong phạm vi domain các đối tượng được tổ chức sử dụng các đơnvị tổ chức OU là đối tượng chứa Nó chứa các đối tượng như là User,computer, print, group và các OU khác

Lợi ích chính của OU là tránh sự phúc tạp của hệ thống mạng vớikiến trúc đa domain Các công ty có thể tạo ra một domain đơn và mộttrạng thái khác của các OU phù hợp với yêu cầu bằng cách tạo ra mộtcấu trúc domain Các OU có thể được bổ sung mới như là khi chúng cầnxuất hiện trong một domain Các OU cũng có thể được lồng theo nhiềucách Tuy nhiên một cấu trúc domain đơn với nhiều OU đưa ra tất cả cácthuận lợi được đưa ra bởi mô hình đa domain

 Các cây (Tree)

Một vài nguyên nhân tại sao mô hình đa domain là được ưa thích :

 Phân quyền quản trị mạng

 Các tên miền Internet khác nhau

 Yêu cầu về password khác nhau

 Dễ điều khiển việc nhân bản

 Một số lượng lớn các đối tượng

 Nhiều cấp độ điều khiển với nhiều nhánh

Mô hình đa domain bao gồm một hoặc nhiều hơn một cấu trúc logictrong Active Directory - Tree Một cây là một sự sắp xếp phân cấp củacác domain windows 2003 mà nó chia sẻ một không gian tên liền kề

 Các Rừng (Rorest)

Trong mô hình đa domain, Rừng (Forset) là một cấu trúc logic khác

mà trong đó các cây không chia sẻ các không gian tên liền kề

4.3.1.5 Cấu trúc vật lý của Active Directory

Cấu trúc vật lý của một Active Directory bao gồm :

Site

Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó đượckết nối bởi các đường truyền tốc độ cao Các site được định nghĩa để tạo ra sựthuận lợi đặc biệt cho chiến lược truy cập và nhân bản một Active Directory

Domain Controllers

Thành phần vật lý thứ 2 trong Active Directory là domain controller mộtdomain controller là một máy tính chay windows 2003 server và nó chứa 1

bản sao của Active Directory Cơ sở dữ liệu chứa các thông tin về domain cục

bộ

Có thể có nhiều hơn một domain controller trong một domain Tất cả cácdomain controller trong domain đều duy trì một bản sao active directory Cáctổ chức nhỏ với một client chỉ cần một domain đơn với chỉ hai domaincontroller Controller thứ hai sẽ là server trong trường hợp controller thứ nhấtbị lỗi Do đó cả hai domain controller đều chứa cùng một bản sao khác nhaucủa Active Directory Nhưng đôi khi các domain controller có thể chứa cácbản sao khác nhau của Active Directory Điều này xảy ra khi có sự bất đồng

bộ giữa các cơ sở dữ liệu directory trong các domain controller Tuy nhiêntrong các tổ chức lớn, mỗi vị trí địa lý cần phải có các domain controller táchbiệt để cung cấp đầy đủ khả năng sẵn sàng và khả năng chịu lỗi

Các chức năng khác nhau domain controller bao gồm :

 Duy trì một bản sao của cơ sở dữ liêu directory

 Duy trì các thông tin của Active Directory

 Nhân bản các thông tin được cập nhật đến các domain controller trongdomain:

Khi tạo ra một sự thay đổi trong domain thì phải cập nhật thực tế nàyđến Active Directory của một domain controller Domain controller sẽ nhânbản sự thay đổi này đến các domain controller khác trong domain Thônglượng của việc nhân bản này có thể được điều khiển một cách đặc biệt sao chođảm bảo tốc độ truyền và không xảy ra lỗi Sự nhân bản này chắc chắn sẽ thayđổi ngay lập tức Ví dụ, nếu một user account bị khoá nó được thay thế lập tứcđến các domain controller khác, nó sử dụng thay thế slave – master Điều nàycó nghĩa là không cố định domain controller với vai trò master Domaincontroller được cập nhật sự thay đổi đầu tiên sẽ trở thành domain controllermaster và nó sẽ thực hiện việc nhân bản sự thay đổi này đến tất cả các domaincontroller khác trong domain, do đó mô hình này được gọi là slave – master

 Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đối tượngtrong

Active Directory Nó kiểm tra tích hợp lệ của việc logon của người sửdụng truy cập tài nguyên được yêu cầu

Cung cấp khả năng chịu lỗi trong môi trường đa domain controller

4.3.1.6 Vai trò của Domain

Các vai trò này là rất quan trọng bởi vì nếu các domain controller với cácvai trò đặc biệt là không sẵn sàng thì chức năng cụ thể của các vai trò này sẽkhông sẵn sàng cho domain

Các vai trò được gán cho domain controller là:

 Global Catalog Servers

Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin vềtất cả các đối tượng trong Active Directory Phần lớn,global catalog là lưutrữ thông tin đó là các truy vấn thường được sử dụng Nói cách khác, nó chứacác thông tin cần thiêt để tìm các đối tượng

Một global catolog cần được tạo trong domain controller đầu tiên củarừng Domain controller này được gọi là Global Catalog Server Một globalcatalog server duy trì một bản copy đầy đủ cơ sở dữ liệu của ActiveDirectory của domain điều khiển của nó Nó duy trì một phần copy của cơ sở

dữ liệu Active Directory của domain khác trong rừng Một Global CatalogServer cũng xử lý các truy vấn được xây dựng trở lại và cho ra kết quả Hai vai trò quan trọng của một global catolog server là :

 Nó giúp người sử dụng định vị trí đến các đối tượng trong ActiveDirectory được dễ dàng

 Nó cho phép người sử dụng logon vào mạng Thực hiện điều nàybằng cách cung cấp thông tin về thành viên nhóm đến các domaincontroller khi quá trình này được khởi tạo Trong trường hợp serverglobal catalog là không sẵn sàng, người sử dụng có thể logon đếnmạng nếu họ là thành viên của nhóm domain Administrator Mặckhác người sử dụng chỉ có thể logon đến máy tính cục bộ Domaincontroller đầu tiên trong rừng là server global catalog Nó có thể cấuhình để thêm domain controller vào server global catalog Điều nàycân bằng thông lượng tài nguyên trên mạng và nạp vào server globalcatalog

 Operation Masters

Operation Masters là domain controller được gán với một hoặc nhiều vai tròchủ yếu trong Active Directory của domain Các vai trò khác nhau củaOperation Masters là:

điều khiển để thêm hoặc xoá các domain ra khỏi rừng Kể từ đóDomain Naming Master chăm sóc các doman trong rừng, có thể mộtdomain controller trong rừng với vai trò này

 Infrastructure Master: Domain controller với vai trò này chịu trách

nhiệm cập nhật để tham chiếu đến các thành viên trong nhóm của ActiveDirectory Bất cứ khi nào sự thay đổi xảy ra đối với các thành viêntrong một nhóm, domain controller này cập nhật vào cơ sở dữ liệu củadomain Mỗi domain phải có một Infastructure Master, sự thay đổitrong thành viên của domain là sự nhân bản multi-master

trong mô hình mixed Khi một client không chạy Windows XP hoặc mộtServer đang chạy Windows NT tồn tại trong một domain thì sau đó bất

kì một sự thay đổi nào tác động đến domain thì đòi hỏi đó cũng tác độngđến PDC Domain controller với vai trò này chịu trách nhiệm trong việccập nhật này Trong mạng ở chế độ native, vai trò này hữu ích trongviệc xác nhập đăng nhập trong trường hợp thay đổi mật khẩu được tạo

ra ở trong domain Nếu một password mới được thay đổi thì nó sẽ mấtthời gian để tạo bản sao khác ở trong domain controller Trong khi chờđợi, nếu domain controller gặp một mật khẩu không đúng thì nó sẽ đưa

ra một câu truy vấn đến PDC trước khi thông báo quá trình đăng nhậpthất bại

trong domain thì một SID cũng được tạo ra và gán cho đối tượng đó.SID, định danh bảo mật(sercurity indentifier) là duy nhất cho mỗi đốitượng Một SID bao gồm hai phần: domain SID và RID Phần thứ nhất

là domain SID, là chung cho tất cả các đối tượng trong domain Phầnthứ hai là RID, là số ID duy nhất khác nhau cho mỗi đối tượng trongdomain Vì thế SID là một định danh duy nhất trong mạng Vai trò nàyphải có trong một domain controller của một mạng RID master gán một

dãy các RID cho các domain controller trong mạng Domain controllersau đó sẽ phân phối RID cho các đối tượng này

 Schema Master: Domain controller với vai trò này sẽ chịu trách nhiệm

hoàn thành việc cập nhật cho lược đồ Để cập nhập một lược đồ của mộtrừng, chúng ta phải truy xuất đến một lược đồ master của domaincontroller Chỉ nên có một domain controller có vai trò này trên mạng.Domain controller sở hữu những vài trò này tren mạng là duy nhất tạibất cứ thời điểm nào Nghĩa là chức năng thao tác chính có thể chuyểnđổi từ domain controller này đến domain controller khác Nhưng chỉ cómột domain controller có vai trò riêng trong mạng Hai domaincontroller không thể chạy cùng một chức năng tao tác chính tại bất kìthời điểm nào của mạng

4.3.2 DOMAIN NAME SYSTEM – DNS

4.3.2.1 Giới thiệu về DNS

DNS là một cơ sở dữ liệu (CSDL) phân tán được dùng để dịch tên máytính (host name) thành địa chỉ IP trong các mạng TCP/IP Để cung cấp một cấutrúc phân cấp cho cơ sở dữ liệu DNS người ta cung cấp một lược đồ đánh tênđược gọi là không gian tên miền Miền gốc (root domain) là mức định của cấutrúc tên miền được ký hiệu một dấu chấm (.) Miền mức định được đặt dướimiền gốc và chúng được đại diện cho kiểu của tổ chức, chẳng hạn com hay eduhay org hoặc nó có thể là một định danh địa lý như vn (Việt nam) Các miềnmức thứ 2 được đăng ký cho tên các tổ chức khác hay các người sử dụng đơn

lẻ Chúng có thể chứa cả hai: các máy tính/tài nguyên (host) và các miền con(subdomains)

Tên miền đã kiểm chứng đầy đủ (Full Qualified Domain Name – FQDN)

mô tả mối quan hệ chính xác của máy tính và miền của nó DNS sẽ sử dụngFQDN để dịch tên máy thành một địa chỉ IP Dữ liệu tên-địa chỉ IP được đặttrong vùng Thông tin này được lưu trữ trong một tập tin vùng trên máy chủDNS Để dịch tên thành một địa chỉ IP thì nó sẽ sử dụng truy vấn tìm kiếmchuyển tiếp Khi truy vấn chuyển tiếp được gửi đến máy khách, nếu máy chủDNS cục bộ không được cấp quyền để được truy vấn thì máy chủ DNS cục bộ

sẽ chuyển nó đến máy chủ DNS giữ vùng chủ

Hướng dẫn việc đánh tên miền

Trong khi tạo không gian tên miền nên thực hiện các hướng dẫn và thoảthuận đánh tên chuẩn sau đây:

 Số lượng các mức của miền nên được giới hạn, bởi vì nếu tăng các mứcthì sẽ tăng các tác vụ quản trị

 Nên sử dụng tên đơn giản và duy nhất Tên miền con nên là duy nhấttrong miền cha do đó tên đó sẽ là duy nhất trong toàn bộ không gian DNS

 Các tên miền không nên dài Chúng có thể sử dụng 63 kí tự Độ dài củaFQDN không vượt quá 255 ký tự Các tên miền không phân biệt hoa -thường

 Nên sử dụng các ký tự Unicode và DNS chuẩn Sử dụng các ký tự unicodechỉ khi tất cả các máy chủ chạy DNS hỗ trợ unicode

4.3.2.2 Vùng

Không gian tên miền có thể được chia thành nhiều phân đoạn nhỏ Điềunày giúp chúng phân tán các tác vụ quản trị không gian tên miền cho các nhómkhác nhau Những phân đoạn này được gọi là các Vùng (zone) Các nhóm khácnhau có thể quản trị mỗi vùng riêng biệt Vùng phải chứa không gian tên miền

kề nhau

Có ba kiểu vùng sau:

 Vùng chính tiêu chuẩn: Kiểu vùng này giữ một bản sao chủ của tập tin cơsở dữ liệu vùng Cơ sở dữ liệu vùng được lưu trong tập tin văn bản Tập tinnày được lưu trên máy tính tạo vùng đó

 Vùng phụ tiêu chuẩn: Kiểu vùng này giữ một phần nhân bản của tập tin cơsở dữ liệu vùng chủ Cơ sở dữ liệu vùng được lưu vào một tập tin văn bảnđặt ở chế độ chỉ đọc Vùng phụ cung cấp tính chịu lỗi (fault tolerance) vàcân bằng tải (load balacing)

 Vùng thư mục hoạt động Tích hợp: Kiểu vùng này lưu bản sao của tập tin

cơ sở dữ liệu vùng trong Thư mục hoạt động (Active Directory) Nhữngchuyển giao vùng được thực hiện suốt quá trình nhân bản thư mục hoạtđộng

4.3.2.3 DNS động (Dynamic DNS)

Trước đây, việc bổ xung, xoá và thay đổi cơ sở dữ liệu vùng được thực hiệnthủ công Nhưng với sự ra đời của giao thức cập nhật DNS động nhưng việcnày đều được thực hiện tự động Giao thức này được dùng với DHCP Dịch vụDHCP là dịch vụ cấp địa chỉ IP cho máy khách tự động vì vậy giảm tác vụ quảntrị cấp địa chỉ IP đến các máy cá nhân đơn lẻ Ngay khi máy khách nhận đượcmột địa chỉ IP nó sẽ cập nhật bản ghi tài nguyên (host)A Tại thời điểm đó dịch

để gán địa chỉ IP cho các máy tính khách chỉ trong một khoảng thời gian xácđịnh Do DHCP là một tiến trình cung cấp IP động nên các máy khách sẽ cậpnhật hoặc làm mới các địa xin cấp của chúng tại các khoảng thời gian đều đặn.TCP/IP có thể được cấu hình tự động hoặc thủ công Việc cấu hình tự độngTCP/IP được thực hiện bằng cách sử dụng DHCP

4.3.3.2 Quá trình cấp phát động của dịch vụ DHCP

Khi máy khách DHCP thực hiện, nó sẽ gửi yêu cầu xin cấp địa chỉ IP đếnmáy chủ DHCP Máy chủ nhận yêu cầu này sẽ chọn một địa chỉ IP từ khoảngđịa chỉ đã được định nghĩa trước trong cơ sở dữ liệu địa chỉ IP để cấp phát Nếumáy khách chấp nhận địa chỉ mà máy chủ cung cấp thì máy chủ sẽ cung cấpcho máy khách địa chỉ IP đó chỉ trong một khoảng thời gian giới hạn (tối đa là 8ngày) Thông tin này có thể bao gồm một địa chỉ, một mặt nạ mạng con (subnetmask), địa chỉ IP của các máy chủ DNS, được cổng nối (gateway) mặc định vàmột địa IP của máy chủ WINS Tiến trình cấp địa chỉ IP của DHCP được thựchiện theo tiến trình 4 bước: yêu cầu xin cấp IP, chấp nhận cấp IP, chọn lựa cungcấp IP, và xác nhận việc cấp IP

a Yêu cầu cấp IP

Mỗi khi một máy khách khởi động hoặc kích hoạt TCP/IP hoặc khiDNS thay mới địa chỉ IP đã được cấp của họ thì tiến trình xin cấp TCP/IP

sẽ được khởi động Máy khách truyền đi khắp mạng (broadcast) một thôngđiệp DHCPDISCOVER với mục đích để thu được địa chỉ IP Máy khách sửdụng địa chỉ IP 0.0.0.0 như là địa chỉ nguồn vì không có địa chỉ IP nàođược gắn lên thông điệp Tương tự, máy khách cũng sử dụng địa chỉ IP255.255.255.255 làm địa chỉ đích vì chính nó cũng không biết địa chỉ củamáy chủ DHCP Điều này để đảm bảo rằng thông điệp được phát đi rộngkhắp trên toàn mạng Thông điệp này chứa địa chỉ MAC (Media Accesscontrol - điều khiển truy xuất đường truyền), địa chỉ MAC chứa địa chỉphần cứng của card mạng của máy khách

b Chấp nhận cấp IP

Máy chủ DHCP trả về máy khách một thông điệp DHCPOFFER trongcùng một phân đoạn mạng Thông điệp này chứa địa chỉ phần cứng củamáy khách, địa chỉ IP cung cấp, mặt nạ mạng con, thời gian hiệu lực của IPcho cấp phát, và định danh của máy chủ Máy chủ DHCP dành ra địa chỉ IPnày và không cấp cho các yêu cầu khác với cùng địa chỉ này Máy khách sẽchờ cấp IP trong 1 giây, nếu không có thông tin gì trả lời trong thời gian đóthì nó lại phát đi yêu cầu trong các khoảng thời gian 2, 4, 8 và 16 giây Nếumáy khách vẫn không nhận được thông tin chấp nhận cung cấp, nó sẽ sửdụng các địa chỉ IP được lưu giữ trong một khoảng đã được đăng ký, từ162.254.0.1 đến 162.254.255.254 Sau đó máy khách DHCP tiếp tục tìmkiếm máy chủ DHCP trong mỗi 5 phút Khi tìm được máy chủ DHCP sẵnsàng thì máy khách sẽ nhận được các địa chỉ IP hợp lệ

c Chọn lựa cung cấp IP

Máy DHCP khách sẽ báo nhận lời thông điệp cấp IP bằng cách phát đimột một thông điệp DHCPREQUEST Thông điệp này chứa thông tin xácđịnh máy chủ đã cấp IP động Khi tất cả các máy chủ biết các thông tin máychủ cấp thì các máy chủ còn lại sẽ lấy lại các thông báo cấp địa chỉ IP và sẽ

sử dụng chúng cho các yêu cầu xin cấp phép IP khác

d Xác nhận cấp IP

Máy chủ DHCP đã nhận thông điệp DHCPREQUEST từ các máykhách sẽ trả lời một thông điệp DHCPACK Thông điệp này chứa thông tincấu hình và sự cấp phát hiệu lực cho địa chỉ IP đó TCP/IP sẽ khởi động cấuhình đã được cung cấp từ máy chủ DHCP đó Sau đó, máy khách sẽ buộcgiao thức TCP/IP với các dịch vụ mạng và với card mạng do đó nó chophép máy khách có thể liên lạc trên toàn mạng.

4.3.3.3 Phạm vi cấp phát

Khoảng địa chỉ IP có thể được cấp phát hoặc được gán cho các máy tínhkhách trên một mạng con được gọi là phạm vi(scope) Để xác định được nhómđịa chỉ IP được dùng để gán cho các DHCP khách, chúng ta có thể cấu hìnhpham vi đó trên máy chủ DHCP Phạm vi cũng có thể được cấu hình bằng cách

sử dụng các tham số bổ xung để cung cấp một số tuỳ chọn thêm vào cùng vớiviệc cấp địa chỉ IP Kiểu thông tin thay đổi này được gọi tên là tuỳ chọn phạmvi(scope option) Những tuỳ chọn này được áp dụng theo một trật tự nhất định,

do đó chúng ta có thể dùng nó để gán nhiều mức quyền khác nhau DHCP chủcũng cung cấp một tuỳ chọn để giữ một địa chỉ IP đặc biệt cho một máy tínhnào đó mà máy này luôn mạng địa chỉ IP nói trên mọi lúc Điều này rất hữudụng khi gán các địa chỉ IP cho các máy chủ DNS mà ở đó một sự thay đổi địachỉ IP có thể gây ra sự hỗn loạn trong mạng

4.3.4 INTERNET INFOMATION SERVICES – IIS

Web server IIS được cài và cấu hình trên server 3 cho mọi người ở trongmạng nội bộ và ngoài mạng internet có thể truy cập vào web của công ty

4.3.4.1 Đặc điểm của IIS 6

IIS là một ứng dụng trên Windows, nó cho phép chạy các ứng dụng nhưWebsites, FPT sites, và Application Pools trên nó IIS 6.0 có sẵn trên tất cả cácphiên của Windows Server 2003, IIS 6.0 trên Windows 2003 được nâng cấp từIIS 5.0 của Windows 2000 IIS 6.0 cung cấp một số đặc điểm mới giúp tăngtính năng tin cậy, tính năng quản lý, tính năng bảo mật, tính năng mở rộng vàtương thích với hệ thống mới

a Nâng cao tính bảo mật

 IIS 6.0 không được cài đặt mặc định trên Windows 2003, người quản trịphải cài đặt IIS và các dịch vụ liên quan tới IIS

 IIS 6.0 được cài trong secure mode do đó mặc định ban đầu khi cài đặtxong IIS chỉ cung cấp một số tính năng cơ bản nhất, các tính năng khácnhư Active Server Pages (ASP), ASP.NET, WebDAV publishing,FrontPage Server Extensions người quản trị phải kích hoạt khi cần thiết

b Hỗ trợ nhiều tính năng chứng thực

 Anonymous authentication: cho phép mọi người có thể truy xuất

mà không cần yêu cầu username và password

 Basic authentication: Yêu cầu người dùng khi truy xuất tài nguyên phải

cung cấp username và mật khẩu thông tin này được Client cung cấp và gởiđến Server khi Client truy xuất tài nguyên Username và password khôngđược mã hóa khi qua mạng

 Digest authentication: Hoạt động giống như phương thức Basic

authentication, nhưng username và mật khẩu trước khi gởi đến Server thìnó phải được mã hóa và sau đó Client gởi thông tin này dưới một giá trịcủa băm (hash value) Digest authentication chỉ sử dụng trên Windowsdomain controller

authentication nhưng tính năng bảo mật cao hơn Advanced Digest dùngMD5 hash thông tin nhận diện cho mỗi Client và lưu trữ trong WindowsServer 2003 domain controller

băm để xác nhận thông tin của users mà không cần phải yêu cầu gởi mậtkhẩu qua mạng

 Certificates: Sử dụng thẻ chứng thực điện tử để thiết lập kết nối SecureSockets Layer (SSL) NET Passport Authentication: là một dịch vụ chứngthực người dùng cho phép người dùng tạo sign-in name và password đểngười dùng có thể truy xuất vào các dịch vụ và ứng dụng Web trênnền NET

IIS sử dụng Account (network service) có quyền ưu tiên thấp đểtăng tính năng bảo mật cho hệ thống Nhận dạng các phần mở rộng củafile qua đó IIS chỉ chấp nhận một số định dạng mở rộng của một số tậptin, người quản trị phải chỉ định cho IIS các định dạng mới khi cần thiết.

c Hỗ trợ ứng dụng và các công cụ quản lý

IIS 6.0 có hỗ trợ nhiều ứng dụng mới như Application Pool, ASP.NET

process (W3wp.exe)

 Worker process (W3wp.exe) cho mỗi pool được phân cách với

worker process trong pool khác

 Một ứng dụng nào đó trong một pool bị lỗi (fail) thì nó không ảnh hưởngtới ứng dụng đang chạy trong pool khác

 Thông qua Application Pool giúp ta có thể hiệu chỉnh cơ chế tái sử dụngvùng nhớ ảo, tái sử dụng worker process, hiệu chỉnh performance (vềrequest queue, CPU), health, Identity cho application pool

thiết để xây dựng và phân phối ứng dụng Web và dịch vụ XML Web.4.3.4.2 Một số công cụ cần thiết để hỗ trợ và quản lý web

 IIS Manager: Hỗ trợ quản lý và cấu hình IIS 6.0

 Remote Administration (HTML) Tool: Cho phép người quản trị sử dụngWeb Browser để quản trị Web từ xa

 Command–line administration scipts: Cung cấp các Scipts hỗ trợ cho côngtác quản trị Web, các tập tin này lưu trữ trong thư mục %systemroot%\System32

4.3.5 DISTRIBUTED FILE SYSTEM – DFS

4.3.5.1 Giới thiệu về DFS