Đang tải... (xem toàn văn)
Để đảm bảo tính gắn bó của hệ, yêu cầu đặt ra trước hết là đồng bộ hóa các tiến trình
Lời nói đầu Trong thời đại Cơng Nghệ Thơng Tin ngày phát triển đóng vai trị quan trọng khơng thể thiếu với chúng ta.Cần thiết công ty,mọt nhà máy xí nghiệp, doanh nghiệp ,trường học….vv Việc làm cơng ty ngày phát thiển, tài nguyên công ty bảo mât cách an tồn mối lo ngại với khơng doanh nghiệp.Nhận thấy đièu quan trọng Microsoft nhanh chóng cho áp dụng CNTT vào doanh nghiệp giải pháp quản trị máy chủ diều nhanh chóng doanh nghiệp ngồi nứoc ứng dụng thành cơng nhiệt tình hưởng ứng Việc sử dụng hệ thống máy chủ để quản trị doanh nghiệp ngày đựoc doanh nghiệp nứoc áp dụng nhằm có hệ thống hoạt động tốt,an tồn ,có độ bảo mật cao,chi phí hợp lý thuận tiẹn việc trao đổi thông tin chi nhánh… Từ yêu cầu thực tế em xin xây dựng dịch vụ mạng doanh nghiệp vừa nhỏ sử dung Window Server 2003 phần mềm máy ảo VMWare từ áp dụng vào triển khai thực tế Chương I Giới Thiệu Hệ Điều Hành Window Server 2003 I Giới thiệu Hệ Điều Hành Window Server 2003 Windows Server 2003 sản phẩm hệ điều hành Windows Server cải tiến nhiều so với phiên trước đó: bảo mật tốt hơn, độ tin cậy cao dễ dàng quản trị Phần sau trình bày tổng quan họ sản phẩm Windows Server 2003, tập trung vào điểm giống khác phiên bản: Web Edition, Standard Edition, Enterprise Edition Datacenter Edition Các phiên họ Windows Server 2003 Các phiên khác Windows Server 2003 thiết kế để hỗ trợ tảng thiết bị phần cứng vai trò máy chủ khác Bên cạnh phiên Windows Server 2003 - Web, Standard (Tiêu chuẩn), Enterprise (Doanh nghiệp) Datacenter (Trung tâm liệu) – hệ điều hành cịn có thêm phiên hỗ trợ phần cứng 64 bit hệ thống nhúng Phần trình bày chi tiết phiên 1.1 Phiên Web (Web Edition) Để tăng tính cạnh tranh Windows Server 2003 so với máy chủ Web khác, Microsoft cho phiên đặc biệt Windows Server 2003, thiết kế chuyên dụng cho chức máy chủ Web Phiên Web phần hệ điều hành chuẩn cho phép người quản trị triển khai Web site, ứng dụng Web dịch vụ Web mà khơng tốn nhiều chi phí cơng sức quản trị Hệ điều hành hỗ trợ tối đa 2GB nhớ RAM vi xử lí – nửa so với khả hỗ trợ Standard Edition Phiên Web khơng có nhiều tính phiên Windows Server 2003 khác, nhiên tích hợp số thành phần khơng cần thiết cho Web Server điển hình, là: Một máy chủ chạy phiên Web thành viên miền sử dụng Active Directory khơng thể trở thành máy chủ quản trị miền - Mơ hình Client Access License - CAL (giấy phép truy nhập từ máy trạm) chuẩn không áp dụng cho máy chủ chạy hệ điều hành Web Edition Hệ điều hành hỗ trợ số lượng không giới hạn kết nối Web, lại giới hạn tối đa 10 kết nối Server Message Block (SMB) đồng thời Điều có nghĩa khơng thể có nhiểu 10 người dùng mạng nội truy nhập tài nguyên file máy in thời điểm - Các tính Tường lửa Bảo vệ Kết nối Internet (Internet Connection Firewall -ICF) Chia sẻ Kết nối Internet (Internet Connection Sharing - ICS) khơng có phiên Web, điều không cho phép máy chủ thực chức cổng kết nối Internet - Một máy chủ chạy hệ điều hành Web Edition thực chức máy chủ DHCP, máy chủ fax, máy chủ Microsoft SQL hay Máy chủ Dịch vụ Dầu cuối chức Remote Desktop (Truy nhập tồn hình từ xa) dành cho quản trị hỗ trợ - Phiên Web không cho phép chạy ứng dụng dịch vụ Web Tuy nhiên, phiên Web lại bao gồm đầy đủ thành phần chuẩn mà máy chủ Web cần, bao gồm Microsoft Internet Information Services (IIS) 6, Network Load Balancing (NLB), Microsoft ASP.NET Do vậy, hiển nhiên phiên Web tảng thích hợp cho máy chủ mạng thơng thường Nó cho phép quan hay tổ chức triển khai máy chủ Web chuyên dụng, không hỗ trợ thành phần khác mà máy chủ web không cần thiết sử dụng vai trị 1.2 Phiên Tiêu chuẩn (Standard Edition) Phiên Standard sử dụng cho tảng máy chủ đa chức cung cấp dịch vụ thư mục (Directory), file, in ấn, ứng dụng, multimedia dịch vụ Internet cho doanh nghiệp cỡ vừa nhỏ Sau vài nhiều tính có phiên hệ điều hành : Directory services (Dịch vụ Thư mục): Phiên Standard có khả hỗ trợ đầy đủ Active Directory cho phép máy chủ đóng vai trị máy chủ thành viên máy chủ quản trị miền Người quản trị mạng sử dụng công cụ kèm theo hệ điều hành để triển khai quản trị đối tượng Active Directory, sách nhóm (GP – Group Policy) dịch vụ khác dựa Active Directory Dịch vụ Internet: Phiên Standard bao gồm IIS 6.0 cung cấp dịch vụ Web FTP thành phần khác sử dụng trình triển khai máy chủ Web dịch vụ Cân Tải (NLB – Network Load Balancing) Chức NLB cho phép nhiều máy chủ Web trì (host) Web site đơn, chia sẻ yêu cầu kết nối client tối đa 32 máy chủ đồng thời cung cấp khả chống lỗi cho hệ thống Các dịch vụ sở hạ tầng: Phiên Standard bao gồm dịch vụ Microsoft DHCP Server, Domain Name System (DNS) Server, Windows Internet Name Service (WINS) Server, cung cấp dịch vụ cho mạng nội máy khách Internet Định tuyến TCP/IP (TCP/IP Routing): Một máy chủ chạy phiên Standard thực thi router với nhiều cấu hình bao gồm định tuyến LAN WAN, định tuyến truy nhập Internet định tuyến truy nhập từ xa Để thực chức này, dịch vụ Định tuyến Truy nhập Từ xa (Routing and Remote Access Service - RRAS) có hỗ trợ cho tính Chuyển đổi Địa Mạng (Network Address Translation – NAT), Dịch vụ Xác thực Internet (Internet Authentication Service – IAS), giao thức định tuyến Giao thức Thông tin Định tuyến (Routing Information Protocol – RIP) Uư tiên Đường Ngắn (Open Shortest Path First – OSPF) Dịch vụ File In ấn: Người dùng mạng truy nhập ổ đĩa, thư mục máy in chia sẻ máy chủ chạy phiên Standard hệ điều hành Mỗi máy khách (client) muốn truy nhập đến tài nguyên chia sẻ máy chủ phải có Giấy phép Truy nhập (Client Access License - CAL) Phiên Standard thơng thường bán thành gói gồm 5, 10 Giấy phép Truy nhập (CAL) nhiều hơn, muốn thêm nhiều người dùng truy nhập, bạn phải mua bổ sung Giấy phép Truy nhập (CAL) Máy chủ Terminal (đầu cuối): Một máy chủ chạy Phiên Standard thực chức Máy chủ Dịch vụ Dầu cuối, cho phép máy tính thiết bị khác truy nhập hình Windows ứng dụng chạy máy chủ Máy chủ Dịch vụ Dầu cuối chất kĩ thuật điều khiển từ xa cho phép máy khách (client) truy nhập đến phiên làm việc Windows máy chủ Mọi ứng dụng thực thi máy chủ bàn phím, hình thơng tin hiển thị truyền qua mạng Các máy khách Máy chủ Dịch vụ Dầu cuối yêu cầu Giấy phép Truy nhập khác so với Giấy phép Truy nhập chuẩn CAL Phiên Standard cung cấp sẵn Giấy phép Truy nhập cho người dùng sử dụng dịch vụ Remote Desktop for Administration (Dịch vụ truy nhập toàn hình từ xa dành cho tác vụ quản trị), công cụ quản trị từ xa dựa dịch vụ Terminal Các dịch vụ bảo mật: Phiên Standard cịn có nhiều tính bảo mật mà người quản trị triển khai cần, bao gồm khả Mã hóa Hệ thống File (EFS) – bảo vệ file ổ cứng máy chủ cách lưu trữ chúng định dạng mã hóa, tính bảo mật IP (IP Security - IPsec) mở rộng, - sử dụng chữ kí số để mã hóa liệu trước truyền mạng, tính tường lửa ICF – qui định luật luồng liệu từ Internet vào mạng tính sử dụng Public Key Infrastructure (PKI) – cung cấp khả bảo mật dựa mã hóa khóa cơng khai chứng nhận số hóa 1.3 Phiên Doanh nghiệp (Enterprise Edition) Phiên Enterprise thiết kế họat động máy chủ cấu hình mạnh tổ chức doanh nghiệp cỡ vừa lớn Phiên khác phiên Standard chủ yếu mức độ hỗ trợ phần cứng ví dụ: Bản Enterprise hỗ trợ tối đa vi xử lí so với Standard tối đa 32GB nhớ RAM so với khả Standard 4GB Phiên Enterprise cịn bổ sung thêm số tính quan trọng mà khơng có Standard, bao gồm thành phần sau: Microsoft Metadirectory Services - MMS (Dịch vụ Siêu Thư mục Microsoft): Metadirectory chất thư mục thư mục – phương tiện tích hợp nhiều nguồn thông tin vào thư mục đơn, thống MMS cho phép kết hợp thông tin Active Directory với dịch vụ thư mục khác, để tạo cách nhìn tổng thể tất thông tin tài nguyên Phiên Enterprise cung cấp hỗ trợ cho MMS mà phần mềm MMS thực sự, phần mềm bạn phải lấy từ Microsoft Consulting Service (Dịch vụ tư vấn Microsoft - MCS) thông qua thỏa thuận với đối tác MMS Server Clustering (Chuỗi Máy chủ): Chuỗi máy chủ nhóm máy chủ lại đóng vai trị máy chủ đơn cung cấp khả sẵn sàng cao cho nhóm ứng dụng Tính sẵn sàng trường hợp có nghĩa chu trình hoạt động ứng dụng phân bố máy chủ chuỗi, giảm tải máy chủ cung cấp khả chịu lỗi máy chủ bị cố Các máy chủ chuỗi, gọi nút, có khả truy nhập đến nguồn liệu chung, thông thường mạng lưu trữ lớn (Storage Area Network - SAN), cho phép nút trì nguồn thơng tin liệu sở Phiên Enterprise hỗ trợ máy chủ cluster có tối đa nút Bộ nhớ RAM Cắm nóng (Hot Add Memory): Phiên Enterprise bao gồm phần mềm hỗ trợ đặc tính phần cứng gọi Bộ nhớ Cắm nóng, cho phép người quản trị mạng thêm thay nhớ RAM máy chủ mà không cần tắt máy khởi động lại Để sử dụng tính này, máy tính phải có phần cứng hỗ trợ tương ứng Quản trị Tài nguyên Hệ thống Windows (Windows System Resource Manager - WSRM): Tính cho phép người quản trị mạng phân bố tài nguyên hệ thống cho ứng dụng chu trình dựa nhu cầu người dùng, đồng thời trì báo cáo tài nguyên ứng dụng hay chu trình hệ thống sử dụng Điều cho phép tổ chức doanh nghiệp thiết lập giới hạn sử dụng tài nguyên cho ứng dụng xác định tính chi phí cho khách hàng dựa tài nguyên họ sử dụng 1.4 Phiên Trung tâm Dữ liệu (Datacenter Edition) Phiên Datacenterđược thiết kế cho máy chủ ứng dụng cao cấp, lưu lượng truy nhập lớn, yêu cầu sử dụng nhiều tài nguyên hệ thống Phiên gần giống Phiên Enterprise so sánh tính năng, nhiên hỗ trợ tốt cho việc mở rộng phần cứng, hỗ trợ tối đa 64GB nhớ 32 vi xử lí Phiên khơng tích hợp số tính có Enterprise Chương II – Các dịch vụ mạng Window Server 2003 I Dịch vụ Active Directory Active Directory gì? Trước hết tìm hiểu xem Active Directory Active Directory dịch vụ thư mục (directory service) đăng ký quyền Microsoft, phần khơng thể thiếu kiến trúc Windows Giống dịch vụ thư mục khác, chẳng hạn Novell Directory Services (NDS), Active Directory hệ thống chuẩn tập trung, dùng để tự động hóa việc quản lý mạng liệu người dùng, bảo mật nguồn tài nguyên phân phối, cho phép tương tác với thư mục khác Thêm vào đó, Active Directory thiết kế đặc biệt cho môi trường kết nối mạng phân bổ theo kiểu Active Directory coi điểm phát triển so với Windows 2000 Server nâng cao hoàn thiện tốt Windows Server 2003, trở thành phần quan trọng hệ điều hành Windows Server 2003 Active Directory cung cấp tham chiếu, gọi directory service, đến tất đối tượng mạng, gồm có user, groups, computer, printer, policy permission Với người dùng quản trị viên, Active Directory cung cấp khung nhìn mang tính cấu trúc để từ dễ dàng truy cập quản lý tất tài nguyên mạng 1.1.Tại cần thực thi Active Directory? Có số lý để lý giải cho câu hỏi Microsoft Active Directory xem bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay chí mạng máy chủ standalone Active Directory có chế quản trị tập trung tồn mạng Nó cung cấp khả dự phòng tự động chuyển đổi dự phòng hai nhiều domain controller triển khai domain Active Directory tự động quản lý truyền thông domain controller để bảo đảm mạng trì Người dùng truy cập vào tất tài nguyên mạng thông qua chế đăng nhập lần Tất tài nguyên mạng bảo vệ chế bảo mật mạnh, chế bảo mật kiểm tra nhận dạng người dùng quyền hạn truy cập tài nguyên Active Directory cho phép tăng cấp, hạ cấp domain controller máy chủ thành viên cách dễ dàng Các hệ thống quản lý bảo vệ thông qua sách nhóm Group Policies Đây mơ hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng ủy nhiệm trách nhiệm quản trị Mặc dù quan trọng Active Directory có khả quản lý hàng triệu đối tượng bên miền 1.2.Những đơn vị Active Directory Các mạng Active Directory tổ chức cách sử dụng kiểu đơn vị hay cấu trúc mục Bốn đơn vị chia thành forest, domain, organizational unit site Hình - Forests: Nhóm đối tượng, thuộc tính cú pháp thuộc tính Active Directory - Domain: Nhóm máy tính chia sẻ tập sách chung, tên sở liệu thành viên chúng - Organizational unit (OU): Nhóm mục miền Chúng tạo nên kiến trúc thứ bậc cho miền tạo cấu trúc công ty Active Directory theo điều kiện tổ chức địa lý - Sites: Nhóm vật lý thành phần độc lập miền cấu trúc OU Các Site phân biệt location kết nối kết nối tốc độ cao kết nối tốc độ thấp, định nghĩa nhiều IP subnet Các Forest không bị hạn chế theo địa lý topo mạng Một forest gồm nhiều miền, miền lại chia sẻ lược đồ chung Các thành viên miền forest chí khơng cần có kết nối LAN WAN chúng Mỗi mạng riêng gia đình nhiều forest độc lập Nói chung, forest nên sử dụng cho thực thể Mặc dù vậy, cần đến forest bổ sung cho việc thực test nghiên cứu mục đích bên ngồi forest tham gia sản xuất Các miền Domain phục vụ mục sách bảo mật nhiệm vụ quản trị Tất đối tượng bên miền chủ đề cho Group Policies miền rộng Tương tự vậy, quản trị viên miền quản lý tất đối tượng bên miền Thêm vào đó, miền có sở liệu tài khoản Chính tính xác thực vấn đề miền Khi tài khoản người dùng hoàn toàn xác thực miền tài khoản người dùng truy cập vào tài nguyên bên miền Active Directory yêu cầu nhiều domain để hoạt động Như đề cập từ trước, miền Active Directory máy tính chia sẻ chung tập sách, tên sở liệu thành viên chúng Một miền phải có nhiều máy domain controller (DC) lưu sở liệu, trì sách cung cấp thẩm định cho đăng nhập vào miền Trước Windows NT, điều khiển miền - primary domain controller (PDC) điều khiển miền backup - backup domain controller (BDC) role gán cho máy chủ mạng máy tính sử dụng hệ điều hành Windows Windows sử dụng ý tưởng miền để quản lý truy cập tài nguyên mạng (ứng dụng, máy in và,…) cho nhóm người dùng Người dùng cần đăng nhập vào miền truy cập vào tài nguyên, tài nguyên nằm số máy chủ khác mạng Máy chủ biết đến PDC, quản lý sở liệu người dùng Master cho miền Một số máy chủ khác thiết kế BDC PDC gửi cách định kỳ copy sở liệu đến BDC Một BDC có thể đóng vai trị PDC máy chủ PDC bị lỗi trợ giúp cân luồng cơng việc bận Với Windows 2000 Server, domain controller trì, role máy chủ PDC BDC thay Active Directory Người dùng không tạo miền phân biệt để phân chia đặc quyền quản trị Bên Active Directory, người dùng hồn tồn ủy nhiệm đặc quyền quản trị dựa OU Các miền không bị hạn chế số lượng 40.000 người dùng Các miền Active Directory quản lý hàng triệu đối tượng Vì khơng cịn tồn PDC BDC nên Active Directory sử dụng multi-master replication tất domain controller ngang hàng Organizational units tỏ linh hoạt cho phép quản lý dễ dàng so với miền OU cho phép bạn có khả linh hoạt gần vơ hạn, bạn chuyển, xóa tạo OU cần Mặc dù miền có tính chất mềm dẻo Chúng bị xịa tạo mới, nhiên q trình dễ dẫn đến phá vỡ môi trường so với OU nên tránh Theo định nghĩa, sites chứa IP subnet có liên kết truyền thông tin cậy nhanh host Bằng cách sử dụng site, bạn kiểm sốt giảm số lượng lưu lượng truyền tải liên kết WAN chậm 1.3.Infrastructure Master Global Catalog Một thành phần khác bên Active Directory Infrastructure Master Infrastructure Master (IM) domain-wide FSMO (Flexible Single Master of Operations) có vai trị đáp trả q trình tự động để sửa lỗi (phantom) bên sở liệu Active Directory Phantom tạo DC, yêu cầu tham chiếu chéo sở liệu đối tượng bên sở liệu riêng đối tượng từ miền bên forest Ví dụ bắt gặp bạn bổ sung thêm người dùng từ miền vào nhóm bên miền khác có forest Phantom bị hiệu lực chúng không chứa liệu cập nhật, điều xuất thay đổi thực cho đối tượng bên ngồi mà Phantom thể hiện, ví dụ đối tượng mục tiêu đặt lại tên, chuyển miền, hay vị xóa Infrastructure Master có 10 Hình 70 Nhấn Next tiếp để bắt đầu trình cài đặt Hình 71 85 Hình 72 Chọn domain name ->Next Hình 73 86 Setup account với pass từ 6->12 ký tự Next Hình 74 Đặt DNS click Next 87 Hình 75 Chọn chế độ cho mail MDaemon Easy hay Advanced Next Hình 76 Tiếp tục click Next 88 Hình 77 Check vào ô Start Mdaemon ->Finish Hình 78 89 Nếu hình cửa sổ hình 13 bạn cài đặt thành cơng mail Mdaemon Hình 79 VII Dịch vụ Proxy 1.Giới thiệu dịch vụ Proxy Mô ̣t proxy server, giố ng firewall (bức tường lửa), đươ ̣c thiế t kế để bảo vê ̣ tài nguyên các ma ̣ng cu ̣c bô ̣ nố i kế t các mang khác ma ̣ng Internet Chúng ta ̣ cũng khó phân biê ̣t sự khác giữa proxy server và firewall Ba ̣n có thể nghi ̃ rằ ng proxy là dich vu ̣ cha ̣y firewall, nơi mà firewall là mô ̣t server vâ ̣t lí nằ m giữa Internet ̣ và ma ̣ng cu ̣c bô ̣ Tổ ng quát, firewall cung cấ p điề u khiể n mở rô ̣ng để lo ̣c và giám sát thông tin vào ma ̣ng Ví du ̣, firewall có thể thực thi dich vu ̣ lo ̣c gói dữ liêu ở tầ ng ̣ ̣ 90 ma ̣ng (network layer) để đóng gói dữ liêu mà có điạ chỉ nguồ n riêng biêṭ hay dành cho ̣ mô ̣t dich vu ̣ nào đó Dich vu ̣ proxy cha ̣y firewall ở mức ứng du ̣ng cung cấ p mô ̣t ̣ ̣ ̣ thố ng điề u khiể n truyề n tải tinh vi Mô ̣t firewall cha ̣y dich vu ̣ proxy cho nhiề u loa ̣i ứng du ̣ng của Internet cầ n đươ ̣c kiể m ̣ soát Ví du ̣ HTTP proxy điề u khiể n những dich vu ̣ Web, FTP proxy kiể m soát ̣ dich vu ̣ truyề n tải tâ ̣p tin Chú ý rằ ng mô ̣t server vâ ̣t lý cha ̣y dich vu ̣ proxy có hai card ̣ ̣ ma ̣ng, mô ̣t nố i kế t với ma ̣ng cu ̣c bô ̣ và mô ̣t nố i kế t với Internet Nó cũng đươ ̣c go ̣i là ̣ thố ng dual-homed hoă ̣c là multihomed Mô ̣t dual-homed proxy srever không thi hành chức đinh tuyế n giữa các card ma ̣ng ̣ Các gói dữ liê ̣u chỉ đươ ̣c truyề n giữa các ma ̣ng sau truyề n qua các chồ ng giao thức và qua những dich vu ̣ proxy nế u đươ ̣c cho phép Nế u dich vu ̣ proxy không dành cho mô ̣t ̣ ̣ ứng du ̣ng nào đó, không mô ̣t dữ liêu nào liên quan đế n ứng du ̣ng đó đươ ̣c qua proxy ̣ server Với sự thiế t lâ ̣p thế , đươ ̣c thi hành đúng đắ n, ngăn chă ̣n kẻ phá hoa ̣i bên ngoài phá vỡ ̣ thố ng bên Dich vu ̣ proxy là dich vu ̣ mô ̣t chiề u ngăn cản người dùng Internet cố tinh truy câ ̣p ma ̣ng ̣ ̣ ̀ cu ̣c bô ̣ Các dich vu ̣ nầ y đươ ̣c thiế t kế cho người dùng dich vu ̣ ma ̣ng cu ̣c bô ̣ Chỉ có ̣ ̣ những gói dữ liê ̣u đươ ̣c yêu cầ u của người dùng ma ̣ng cu ̣c bô ̣ mới đươ ̣c truyề n qua qua firewall Ví du ̣, giả sử mô ̣t tra ̣m làm viê ̣c của ma ̣ng cu ̣c bô ̣ muố n truy câ ̣p vào mô ̣t Web server Internet Dich vu ̣ HTTP proxy cha ̣y firewall chă ̣n đứng gói dữ liêu HTTP của ̣ ̣ người dùng, đóng gói la ̣i dữ liêu và truyề n yêu cầ u đã đóng gói la ̣i tới Web server ̣ Internet Gói dữ liê ̣u chứa điạ chỉ nguồ n IP của proxy server, không phải điạ chỉ IP của tra ̣m làm viê ̣c của người dùng Nhin bề ngoài, chúng giố ng là tấ t cả các gói dữ liêu ̣ ̀ đươ ̣c truyề n từ proxy server, nơi cung cấ p mô ̣t mức an toàn bảo mâ ̣t tấ t cả các điạ chỉ bên Khi mô ̣t Web server trả lời các yêu cầ u, proxy server nhân và chuyể n các trả ̣ lời nầ y đế n các tra ̣m làm viê ̣c cu ̣c bô ̣ Thuân lơ ̣i của phương pháp nầ y là các ma ̣ng cu ̣c ̣ bô ̣ không phải thich ứng với các chuẩ n đánh điạ chỉ của Internet, mô ̣t yế u tố quan tro ̣ng ́ mà Internet cha ̣y không dựa điạ chỉ IP Vì lý an toàn, các gói dữ liêu vào sẽ đươ ̣c kiể m virút hay khả thay đổ i dữ liê ̣u ̣ bởi những kẻ phá hoa ̣i bên ngoài Proxy server có thể ta ̣o mô ̣t bô ̣ mã hóa Web server ngăn sự phá hoa ̣i các tài nguyên hữu du ̣ng 91 Proxy server cũng có chức bô ̣ đêm quan tro ̣ng Vì nó là vi ̣ trí trung tâm để người ̣ dùng ma ̣ng cu ̣c bô ̣ có thể truy câ ̣p ma ̣ng Internet, mô ̣t proxy server có thể lưu trữ các tài liêu đươ ̣c truy câ ̣p thường xuyên Internet và cho phép người dùng ma ̣ng cu ̣c bô ̣ truy ̣ câ ̣p chúng cầ n thiế t Ví du ̣ như, hàng ngàn người dùng có thể truy câ ̣p mu ̣c hài Dilbert mỗi ngày Nế u mô ̣t công ty có mô ̣t máy proxy server lưu trữ, mu ̣c hài nầ y sẽ đươ ̣c lưu trữ đầ u tiên ngày Người dùng sau se ̃ truy câ ̣p mu ̣c nầ y từ máy lưu trữ nô ̣i bô ̣ mà không phải từ Web site của Dilbert Vì proxy server kiể m soát các gói dữ liê ̣u cho người dùng ma ̣ng cu ̣c bô ̣ nên nó cũng dễ dàng kiể m tra virút, lo ̣c dữ liêu và điề u khiể n truy câ ̣p Các gói chứa dữ liêu không ̣ ̣ mong muố n có thể đươ ̣c loa ̣i bỏ Những proxy server cung cấ p dich vu ̣ proxy cho các ứng du ̣ng HTTP, FTP, Telnet, ̣ và các giao thức Internet khác Có những proxy tương thich cho nhiề u ứng du ̣ng khác ́ Trường hơ ̣p đă ̣c biêt, các tra ̣m làm viê ̣c phải cha ̣y phầ n mề m đă ̣c biêṭ để truy câ ̣p ̣ firewall Ví du ̣, proxy server của Microsoft cho phép máy cha ̣y giao thức IPX (Internetowrk Packet Exchange) truy câ ̣p proxy server với phầ n mề m đă ̣c biêt Ngoài ra, ̣ các proxy server có thể sử du ̣ng SOCKS, mô ̣t giao thức xác nhâ ̣n, đòi hỏi tra ̣m làm viêc ̣ phải có phầ n mề m để truy câ ̣p SOCKS SOCKS là mô ̣t ̣ thố ng proxy tổ ng quát cung cấ p các đă ̣c tinh an toàn mở rô ̣ng ́ kiể m toán, quản tri,̣ sửa lỗi và báo đô ̣ng Nó đươ ̣c đinh nghia IETF (Internet ̣ ̃ Engineering Task Force) RFC 1928, mà ba ̣n có thể đo ̣c ở các điạ chỉ bên dưới Nhiề u proxy server thương ma ̣i dựa SOCKS ISA Server gì? Microsoft Internet Security and Acceleration Sever (ISA Server) phần mềm share internet phần mềm xây dựng tường lửa (Firewall) tiếng sử dụng phổ biến hãng phần mềm Microsoft Có thể nói phần mềm share internet hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính cho phép bạn cấu hình cho tương thích với mạng LAN bạn Tốc độ nhanh nhờ chế độ cache thơng minh, với tính lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, tính Schedule Cache (Lập lịch cho tự động download thông tin WebServer lưu vào Cache máy cần lấy thông tin Webserver mạng LAN) Ngồi cịn nhiều tính khác 92 2.1 Đặc điểm bật 2006 so với 2004 tính Publishing VPN (đây lại tính mà doanh nghiệp VN ta dùng ) 2.1.1 Về khả Publishing Service - ISA 2006 tự tạo form người dùng truy cập vào trang OWA, qua hỗ trợ chứng thực kiểu form-based chống lại người dùng bất hợp pháp vào trang web OWA tính phát triển dạng Add-ins - Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo liệu phiên kết nối mã hóa Internet (kể password) - Block kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook người dùng kết nối an toàn đến Exchange Server - Rất nhiều Wizard cho phép người quản trị public Server nội internet cách an toàn hỗ trợ sản phẩm Exchange 2007 2.1.2 Khả kết nối VPN - Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN văn phòng riêng biệt tất nhiên thích cấu hình tay điểm tích hợp hồn tồn Quanratine - Stateful filtering and inspection (cái quen thuộc rồi), kiểm tra đầy đủ điều kiện VPN Connection, Site to site, secureNAT for VPN Clients, - Cho phép Public VPN Server khác Intranet Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với sản phẩm VPN khác) Về khả quản lý - Dễ dàng quản lý - Rất nhiều Wizard - Backup Restore đơn giản - Cho phép ủy quyền quản trị cho User/Group - Log Report chi tiết cụ thể 93 - Cấu hình nơi, chạy nơi (bản ISA Enterprise) - Khai báo thêm server vào array dễ dàng (khơng khó khăn hồi ISA 2000, 2004 ) - Tích hợp với giải pháp quản lý Microsoft: MOM, SDK Các tính khác - Hỗ trợ nhiều CPU RAM ( standard hỗ trợ đến 4CPU, 2GB RAM) - Max 32 node Network Loadbalancing - Hỗ trợ nhiều network, - Route/NAT theo network, - Firewall rule đa dạng - IDS - Flood Resiliency: - HTTP compression - Diffserv 3.Các Vấn đề Cần Lưu ý Khi Triễn Khai Cài đặt Isa Server 2006 3.1 Cấu hình máy chủ cần thiết CPU Intel AMD tối thiểu 773 MHz RAM tối thiểu 512MB Tối thiểu 01 card mạng (nếu dùng ISA làm proxy server) Đĩa cứng trống tối thiểu 150MB, định dạng NTFS Hệ điều hành Windows server 2003 SP1 32 bit Windows Server 2003 R2 32 bit Băng thông internet cấu hình đề nghị tương ứng:Băng thơng: đến 25 Mbps CPU: đến GHz RAM: 512 MB Card mạng: 10/100 Mbps Số kết nối VPN đồng thời tối đa: 700 Băng thông: đến 90 Mbp 94 CPU: Dual core đến GHz RAM: GB Card mạng: 100/1000 Mbps Số kết nối VPN đồng thời tối đa: 2000 3.2 Hoàn chỉnh bảng định tuyến (routing table) Bảng định tuyến máy ISA router nội nên cấu hình hồn chỉnh trước cài ISA Bảng định tuyến phải có định tuyến mặc định (default route) hướng đến cổng (gateway) phù hợp phải có đủ định tuyến (route) đến mạng (network - subnet) nội Trong hầu hết mô hình mạng thơng dụng, định tuyến mặc định tạo cách khai báo giá trị default gateway card mạng mà ISA dùng để kết nối internet Theo nguyên tắc định tuyến, có 01 default gateway khả dụng (nghĩa có 01 định tuyến mặc định khả dụng); thế, phải tạo thêm định tuyến đến mạng nội để ISA giao tiếp (và phục vụ) thành phần mạng nội 3.3 Chú ý thông số DNS Để phục vụ cho Proxy client Firewall client, ISA phải có khả phân giải tên miền (DNS name) nội internet Để thoả yêu cầu này, khai báo thông số preferred DNS server card mạng (card nối với mạng nội bô - internal interface) Cho dù ISA triển khai máy đơn (stand-alone server) hay thành viên domain (domain member server) khai báo máy chủ DNS vừa nêu Không dùng máy chủ DNS nhà cung cấp dịch vụ internet (ISP) Đây lỗi thường gặp cấu hình thơng số IP máy ISA Lỗi cấu hình dẫn đến trình phân giải DNS ISA bị chậm chí bị thất bại Dĩ nhiên phải loại trừ trường hợp mạng nội khơng có máy chủ DNS - nghĩa khơng có domain - thơng số DNS cấu hình card mạng nối internet (external interface) địa IP máy chủ DNS ISP 3.4 Tinh chỉnh cấu hình external interface 95 Để tăng cường bảo vệ máy ISA, cần thiết lập hạn chế external interface: - External interface properties: bỏ dấu kiểm "Client for Microsoft Networks" "File and Printer Sharing for Microsoft Networks" - External interface properties > Internet Protocol (TCP/IP) properties > nút Advanced > tab WINS: bỏ dấu kiểm "Enable LMHOSTS lookup" chọn "Disable NetBIOS over TCP/IP" 3.5 Cài ISA máy chủ "sạch" Tất nhiên không phép tiết kiệm đến mức cài ISA Domain Controller Khi khơng ISA khơng hồn thành nhiệm vụ mà Domain Cotroller "tê liệt " nốt Nếu nhân viên bảo vệ đồng thời giám đốc doanh nghiệp xin miễn ý kiến!!! 3.6 Nên cài ISA stand-alone server hay domain member server? Khi cài ISA stand-alone server, đương nhiên ISA khơng có quan hệ luận lý với domain Ưu điểm cấu trúc kẻ công thông qua ISA để "với tới" Active Directory service hay domain controller Thế giá phải trả ISA khơng thể kiểm sốt chứng thực domain user không thông qua RADIUS server Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS xem phương pháp tăng cường bảo vệ hệ thống cách phức tạp hóa "lộ trình" đến AD kẻ công Và tất yếu công tác quản trị viên phức tạp Cài ISA member server: Có thể dùng quyền local administrator để cài ISA domain member server Khi cấu hình rule với quyền domain administrator, triển khai kiểm soát chứng thực domain user Lựa chọn stand-alone hay member server xem lựa chọn độ bảo mật với độ phức tạp cấu hình túi tiền Xét khả chặn lọc hữu hiệu ISA, đa số tổ chức thiên phương án giảm độ phức tạp bảo toàn ngân quỹ tức cài ISA domain member server Tuy nhiên, bước cài đặt hai môi trường 3.7 Những lưu ý quan trọng cài đặt - Kích hoạt tập tin ISA Autorun.exe từ đĩa cài đặt ISA 2006 96 - Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA truy cập internet, nên chọn Review Release Notes đọc release notes Văn có số thông tin quan trọng mô tả thay đổi chức mà ta khơng thể tìm phần giúp đỡ (Help) chương trình ISA Sau tham khảo release notes, chọn Install ISA Server 2006 - Hộp thoại Setup Type: Khác với ISA 2004, ISA 2006 khơng có phương thức cài Firewall Client Installation Share ISA server Do vậy, chọn Custom (trên hộp thoại kế tiếp, chọn Change) không muốn cài ISA đĩa hệ thống hành Nếu không, chọn Next - Hộp thoại Internal Network: Khai báo tất khoảng IP thuộc hệ mạng nội Nếu khai báo thiếu phân đoạn mạng LAN thơng tin từ phân đoạn mạng (khi đến với ISA) bị ISA xem "người ngoài" (External) ISA xem Internal Network "vùng tin cậy" (trusted zone) dùng Internal Network System Policy rule để phục vụ hoạt động cũa hệ điều hành Khai báo Internal Network sai thiếu ảnh hưởng không hoạt động máy LAN mà ảnh hưởng đến ISA - Hộp thoại Firewall Client Connections: Chỉ cần check "Allow non-encrypted Firewall client connections" LAN có máy cài phiên trước WinSock Proxy (MS Proxy Server 2.0) Firewall Client ISA 2000 Nếu chọn phương thức user name password từ máy LAN gửi đến ISA khơng mã hóa Cách tối ưu nên cài Firewall Client ISA 2006 máy trạm 97 Tài liệu tham khảo: Trong trình làm đồ án em tham khảo tài liệu như: Những lab trung tâm giảng dạy QTM nhatnghe, netpro,… Những tài liệu lý thuyết QTM Microsoft Moc, Training kits… Ngoài em tham khảo thêm số tài liệu trang web khác QTM 98 ... Zone DNS Khi hệ thống tên miền chia phần nhỏ để dễ quản lý Zone Các Zone đảm bảo việc quản lý DNS cách dễ dàng Trên thực tế liệu DNS chứa máy chủ Zone thực tế liệu DNS liệu Zone Các dạng Zone... chia đặc quyền quản trị Bên Active Directory, người dùng hồn tồn ủy nhiệm đặc quyền quản trị dựa OU Các miền không bị hạn chế số lượng 40.000 người dùng Các miền Active Directory quản lý hàng triệu... Microsoft phát hành giải pháp quản lý Group Policy Group Policy Management Console (GPMC) GPMC cung cấp cho quản trị viên giao diện quản lý giúp đơn giản nhiệm vụ có liên quan đến GPO Chức AD :
