IV Phương án triển khai (continue) Ø Cấu hình Superscope Ø Backup & Restore DHCP database Mục đích: - Đảm bảo an toàn cho database DHCP Server - Khắc phục nhanh cố xảy database DHCP Server Cách thực hiện: - Tạo folder chứa file backup DHCP ổ đĩa C:\ - Backup liệu DHCP Server đến folder tạo sẵn ổ đĩa C:\ - Khi Restore đường dẫn đến folder chứa file backup tạo ổ đĩa C:\ Ø Nén DHCP database Mục đích: - Tiết kiệm dung lượng lưu trữ Cách thực hiện: - Sử dụng câu lệnh: Jetpack để nén file database DHCP - CD %SYSTEMROOT%\SYSTEM32\DHCP - NET STOP DHCPSERVER - JETPACK DHCP.MDB TMP.MDB - NET START DHCPSERVER Ø Cấu hình DHCP Relay Agent Mục đích: - Trung chuyển gói tin qua lại lớp mạng thông qua Router Cách thực hiện: - Enable Routing and Remote Access - Add DHCP Relay Agent - Trên DHCP Relay Agent - Properties: add địa IP DHCP Server - New interface: add interface mà DHCP Server cần cấp 3.5 Tổng kết dịch vụ DHCP Dịch vụ DHCP Server cấu hình sẵn sàng cho việc phục vụ cấp phát IP động cho máy trạm hệ thống mạng công ty VNTransport Với chức cấu hình mà trình bày nhóm đảm bảo tính an toàn hoàn toàn ổn định suốt trình hoạt động công ty Thiết kế xây dựng cấu trúc File Server File Server hệ thống mạng đóng vai trò quan trọng tấc liệu nhân viên lưu trữ chia Để file server hoạt động cách an toàn hiệu ta cần thực nhiều chiến lược mặt cấu quản lý 4.1 Chức File server ưu nhược điểm - Lưu trữ chia liệu - Quản lý liệu tập trung 4.2 Các yêu cầu cần làm File server - Dữ liệu chia vùng khác phân quyền sử dụng cho nhân viên - Giới hạn không gian sử dụng nhân viên - Giám sát việc sử dụng tài nguyên nhân viên - Phục hồi liệu lỡ bị xóa, thay đổi - Backup liệu định kỳ để phục hồi cần thiết - Hoạt động nhanh, ổn định, bảo mật 4.3 Định hướng thực - Sử dụng NTFS Permission để phân quyền thư mục chia cho Group chứa user AD - Sử dụng Quota để giới hạn dung lượng sử dụng ổ đĩa File server - Sử dụng Audit để giám sát việc sử dụng tài nguyên - Sử dụng Shadow Copies để lưu phục hồi liệu bị xóa, thay đổi tạm thời - Sử dụng Backup & Restore để lưu liệu định kỳ phục hồi cần thiết - Sử dụng Raid để lưu đồng thời tăng tốc hoạt động cho đĩa cứng File server 4.4 Xây dựng Cấu hình File server File server đặt ỗ đĩa cứng riêng định dạng theo chuẩn NTFS Trên đĩa cứng tạo phân vùng D chứa liệu Phân vùng sử dụng cho file server mục đích khác 4.4.1 Xây dựng thư mục chứa liệu phân vùng D - Ta tạo thư mục chức đảm nhận công việc riêng ü Public: thư mục dùng chung, nhân viên lưu chia liệu Trên Public chứa thư mục dùng chung: + Report: thư mục lưu báo cáo nhân viên cho ban điều hành + Application: thư mục lưu trữ ứng dụng phù hợp để deploy xuống cho phòng ban ü Private: thư mục dùng riêng, lưu trữ liệu làm việc nhân viên riêng biệt Mỗi nhân viên logon vào hệ thống có thư mục tương ứng, thư mục làm My Document cho nhân viên 4.4.2 Định hướng phân quyền NTFS cách thức thực hiện: a Yêu cầu chung: - Nhân viên xóa thay đổi cấu trúc thư mục có sẵn - Nhân viên có toàn quyền thư mục liệu tạo - Nhân viên không chỉnh sữa xóa liệu người khác b Yêu cầu riêng: - Trên Public: Nhân viên quyền đọc tấc liệu Được quyền tạo - chỉnh sữa - xóa liệu mình, không chỉnh sửa - xóa liệu người khác + Trên Report: Nhân viên có quyền đọc ghi liệu + Trên Application: dành cho admin deploy phần mềm - Trên Private: Chứa thư mục tương ứng cho nhân viên, nhân viên đăng nhập vào h ệ thống lần tự động tạo thư mục trùng user nhân viên, thư mục sử dụng làm My Documents cho nhân viên làm việc hệ thống Dữ liệu nhân viên lưu trữ trực tiếp server nhân viên thấy li ệu mình, không thấy thư mục nhân viên khác c Cách phân quyền NTFS Ø Công việc chung: - Share thư mục với tên tương ứng - Thiết lập Full Control cho Everyone Share Permission cho tấc thư mục share - Cấu hình NTFS Permission: + Gỡ bỏ đặc tính thừa hưởng ổ đĩa D + Remove group Nhân viêns khỏi ổ đĩa D + Add group tương ứng phòng ban vào + Thiết lập Full control cho tài khoản CREATE OWNER D Ø Công việc riêng thư mục share: Bảng phân quyền: Folder Share NTFS (advanced) Public Full control Travel Folder / BanGiamDoc Execute file ThuKy List Folder / KToan Read Data HC-NS Read KT-KD Attributes Read Extend Attributes Users/Group Apply onto This folders, subfolders and files KThuat Create Folders / Append Data Report Full control Travel Folder / BanGiamDoc Execute file ThuKy List Folder / KToan Read Data HC-NS Create Folders / Append Data KT-KD KThuat Read Attributes This folders, subfolders and files Write Attributes Application Ø 4.4.3 Full control Full control Administrat or This folders, subfolders and files Sử dụng Group Policy để cấu hình thư mục Private chứa My Documents nhân viên Sử dụng Quota để giới hạn không gian lưu trữ a Ưu điểm nhược điểm - Ưu điểm: Giới hạn không gian sử dụng ỗ đĩa mạng cho nhân viên, tránh tình trạng sử dụng nhiều làm ảnh hưởng cho file server, lãng phí tài nguyên tốc độ truy xuất d ữ li ệu nhân viên khác - Nhược điểm: Đối với phòng khác phải thiết lập mức hạn ngạch khác tùy vào nhu cầu, liệu làm việc đầy phải điều chỉnh lại mức hạn ngạch Không thể thiết lập lần để sử dụng mãi b Cách thực Mỗi nhân viên sử dụng 500mb ỗ đĩa cứng file server Thông báo cho nhân viên dùng đến 450mb, đến 500mb không lưu liệu Thiết lập quota cho tấc nhân viên sau: Limit disk space: 500mb Warning level: 450mb 4.4.4 Giám sát hoạt động nhân viên file server với Audit Giám sát hoạt động nhân viên file server như: tạo, chỉnh sữa, xóa… a Ưu điểm nhược điểm - Ưu điểm: giám sát giúp quản lý công việc user ghi báo cáo cần thiết - Nhược điểm: làm công việc xử lý file server diễn chậm lần có kiện xảy phải ghi lại kiện b Cách thực Thêm danh sách nhân viên muốn giám sát vào tùy chọn s ự ki ện Successful Failed phù hợp với quyền nhân viên ỗ đĩa 4.4.5 Sử dụng Shadow Copies Shadow Copies cho phép lưu liệu tạm thời nhân viên tạo phục hồi l ỡ b ị nhân viên vô tình xóa ghi đè ngày hôm a Ưu điểm nhược điểm - Ưu điểm: restore lại cách nhanh chóng, ghi lại nhiều version khác file cho phép thực trình restore theo ngày cụ thể - Nhược điểm: khắc phục cố nhỏ bị xoá file hay thư mục Không thể thay hình thức lưu truyền thống b Cách thực - Enable chức Shadow Copies đĩa cứng file server - Lập lịch để tự động lưu Cho máy tính nhân viên cài đặt chương trình Previous Versions Client thư m ục C:\WINDOWS\system32\clients\twclient\x86 Để thực phục hồi: từ máy nhân viên vào thư mục mà user thực hi ện thay đ ổi ch ọn Properties -> chọn Previous Versions -> Chọn thời điểm lưu -> Chọn Restore 4.4.6 Chiến lược Backup & Restore cho File Server Backup & Restore hình thức lưu truyền thống thiếu file server Nó linh hồn file server, đóng vai trò quan trọng công việc bảm đảm an toàn liệu Dữ liệu tạo lưu, phục hồi thời điểm thích hợp giúp ta đối phó v ới tình xảy cố file server a Ưu điểm nhược điểm - Ưu điểm: kết hợp nhiều phương pháp lưu, giúp lấy lại giữ liệu thời điểm cần thiết - Nhược điểm: liệu ngày tăng lên tốn nhiều thiết bị để lưu trữ, thời gian lưu chậm a Yêu cầu định hướng Ø - Các yêu cầu: Sử dụng băng từ để lưu trữ (Tape Drive), giúp bảo quản tốt DVD - Backup vào thời điểm nhân viên làm việc tấc nghỉ để tránh tr ường hợp nhân viên cập nhật liệu sau thời điểm backup server - Backup để liệu tạo nhất, thời gian ngắn đảm bảo đầy đủ, ổn định, lấy lại liệu ngày tuần Ø - Định hướng: Sử dụng Tape Driver: Hewlett Packard StorageWorks DAT 24 (DW069A) DAT Tape Drive DAT, 12 GB, USB 2.0 Interface, Internal Enclosure, 1.5 MBps, For: PC Platforms Giá: 220$ - Backup vào ban đêm khoảng 10h tốt - Sử dụng backup Normal kết hợp với Incremental Differential Giới thiệu ưu điểm nhược điểm loại backup để tiện việc lựa chọn sử dụng: Backup Normal: Backup full, có nghĩa backup hết tất mà chọn - Thời điểm dùng: backup full thường làm vào ngày cuối tuần đầu tuần - Ưu điểm: sẻ backup toàn cần - Khuyết điểm: thời gian backup restore sẻ lâu backup hết restore hết, cần có thi ết bị dung lượng lớn để chứa file backup Backup Incremental: Kiểu backup backup lại thay đổi ngày backup so với l ần backup tr ước - Thời điểm dùng: ngày lại tuần trừ thứ thứ - Ưu điểm: thời gian backup nhanh backup lại thay đổi so với lần tr ước, không cần storage lớn để chứa file backup - Khuyết điểm: phải restore file theo thứ tự Full bakup ngày thứ rối đến ngày thứ sau đến ngày cần restore Backup Differential: Kiểu backup file backup tạo gồm backup Full ngày hôm trước thay đổi ngày cần backup - Thời điểm dùng :Thường dùng vào ngày lại tuần trừ thứ thứ - Ưu điểm: bakup lại Full ngày hơm trước thay đổi ngày backup nên restore sẻ nhanh incremental - Khuyết điểm: thời gian backup sẻ lâu kiểu normal thời gian restore nhanh h ơn ki ểu incremental, cần storage lớn để chứa file backup b Cách thực hiện: Tuần Tuần Tuần Thứ 2: Normal Thứ 2: Differental Thứ 2: Differental Thứ 3: Incremental Thứ 3: Incremental Thứ 3: Incremental Thứ 4: Incremental Thứ 4: Incremental Thứ 4: Incremental Thứ 5: Incremental Thứ 5: Incremental Thứ 5: Incremental Thứ 6: Incremental Thứ 6: Incremental Thứ 6: Incremental Thứ 7: Normal Thứ 7: Normal Thứ 7: Normal CN: không dùng CN: không dùng CN: không dùng Bên lịch backup định kỳ hàng tuần, phù hợp với khả yêu cầu công ty vừa nhỏ Từ để lập lịch backup định kỳ 4.4.7 Xây dựng ổ đĩa dự phòng Raid Sao lưu liệu nhiệm vụ cần thiết cấp bách doanh nghi ệp, t ổ chức hay cá nhân Bất ổ cứng bị hỏng hay bad mà không báo tr ước kèm theo liệu “ra đi” Vậy thay việc “ngồi chờ” ổ cứng mà không tự thi ết lập cho hệ thống lưu dự phòng đơn giản mà không cần nhiều công sức vào việc backup hàng ngày, hàng (kể có chương trình hỗ trợ) Ổ đĩa cứng hi ện không đắt sa xỉ, ta cần tạo cho công ty hệ thống lưu dự phòng (RAID) Sử dụng Raid giúp tăng tốc độ truy xuất liệu bảo đảm việc lưu phục hồi cho ỗ đĩa cứng hệ thống cách an toàn Tùy vào nhu cầu công ty ta sử dụng Raid DC, File Server Yêu cầu định hướng Yêu cầu: Sử dụng Raid để tăng tốc truy xuất, lưu an toàn rẻ tiền Định hướng: Sử dụng Raid để thực Thiết kế xây dựng hệ thống Web server, FTP server Web công cụ truyền tải thông tin hữu dụng sống đại Web fpt mang lại cho công cụ chia liệu nhanh chóng tiết kiệm nhiều chi phí Trong hệ thống mạng nội công ty, dịch vụ giúp nhân viên cập nhật nhanh chóng thông tin t ban điều hành gửi thông tin ngược trở lại Xây dựng đồng thời hệ thống public private web-ftp giúp quảng bá thông tin nội mà cho cộng đồng sử dụng mạng internet Nó công cụ quảng cáo sản phẩm dịch vụ hiệu ti ết ki ệm 5.1 Các chức ưu nhược điểm - Web giúp ta chia thông tin cập nhật thông tin từ địa ểm có k ết n ối mạng - Chức FTP làm nơi lưu trữ liệu di động mạng, cần có user password (nếu yêu cầu) truy cập vào FTP server để lấy chia d ữ liệu cho người Ưu điểm: chia cập nhật thông tin lúc nơi - Nhược điểm: bảo mật kém, dễ dàng bị hacker lợi dụng mục đích xấu 5.2 Các yêu cầu chung triển khai dịch vụ Web FTP .2.1 Yêu cầu với dịch vụ - Yêu cầu thiết kế cấu trúc chạy Web: hoạt động nhanh, cập nhật kịp thời thông tin cho nhân viên khách hàng - Với FTP: giúp user truy cập phạm vi mạng nội từ internet vào - Với Web: có web nội web public cho user khách hàng truy cập 5.3 Triển khai dịch vụ Web FTP Cài đặt IIS Component Tạo host alias cho FTP Web DNS server Triển khai FTP: - Tạo FTP site - Cấu hình địa IP, Port, đường dẫn đến thư mục share FTP - Cấp quyền cho user sử dụng thư mục share FTP, cấp quyền Read, Wrire, Brower cho user FTP site Triển khai Web: - Tạo Web site - Cấu hình địa IP, Port, đường dẫn đến thư mục share web - Cấu hình trang mặc định đường dẫn dùng để truy cập web - Cấp quyền Read cho user Nat port cấu hình dyndns để public FTP Web: Vào modem Nat port 80 - ứng với IP: 192.168.1.99 c web server, Nat port t 20 đ ến 21 - ứng v ới IP: 192.168.1.99 FTP server Download cấu hình DynDNS software máy Web-FTP để cập nhật địa IP lên server mi ến phí DynDNS.org (nếu có mua IP public domain không cần phải sử dụng d ịch v ụ mi ễn phí DynDNS.org) 5.4 Tổng kết dịch vụ Web FTP Sau Web-FTP thiết lập, thông tin công ty phổ biến rộng rải cho nhân viên khách hàng Đây dich vụ hỗ trợ hữu ích cho công ty đảm bảo ti ện d ụng tiết kiệm chi phí Thiết kế xây dựng dịch vụ Printing Printer server máy tính thiết bị chuyên dụng khác sử dụng để kết nối với máy in cung cấp dịch vụ in ấn mạng Trong thực tế nay, đại đa số mạng máy tính (Việt Nam) sử dụng máy tính mạng để kết nối máy in chia sẻ máy in dùng chung cho người sử dụng khác mạng 6.1 Giới thiệu dịch vụ ưu nhược điểm - Có cách sử dụng printer để in ấn mạng in mạng (internet printing) in cục (local printing) Ø In mạng: sử dụng printer server Ưu điểm: - User sử dụng để in từ đâu có internet - Công việc in ấn mạng quản lý tập trung server cấu hình internet printing - Rất nhiều user dụng chung máy in giảm thiểu chi phí mua nhiều máy in - Hoạt động không phục thuộc vào PC giúp công ty tiết kiệm tài nguyên pc - Có phân quyền nên dễ dàng in ấn - Tốc độ in ấn nhanh Nhược điểm: - Printer server giá thành cao - Không hỗ trợ quản lý trực tiếp máy printer server Ø In cục bộ: sử dụng máy in local Ưu điểm: - Giá thành rẻ - Có thể sử dụng tấc loại máy in in - Kết nối đơn giản không phụ thuộc vào cấu hình kết nối - Đơn giản dễ triển khai Nhược điểm: - Bắt buộc máy in nối với PC phải mở liên tục tắt ảnh hưởng đến người dụng chung máy in phòng ban - Tốc độ in ấn không cao - Tính bảo mật 6.2 Triển khai dịch vụ Printer server a Triển khai Internet Printing với Printer server - Cài đặt dịch vụ Internet Printing Control Panel - Tạo máy in mạng, trỏ địa printer server cài đặt driver cho printer server - Tạo máy in logic để phân quyền cho Group user khác - Tạo Printing Pool để giúp hệ thống khắc phục chậm trễ có nhi ều yêu cầu in - Map máy in máy client thông qua trình duyệt internet b Triển khai Local printing Cài đặt cấu hình cho máy in cục máy tính có gắn máy in Share máy in cho máy khác đường dẫn UNC sử d ụng câu lệnh map máy in cho client Phần thực Group Policy 6.3 Tổng kết dịch vụ Printer server Với quản lý printer server, hoạt động ổn định - nhanh chóng giúp công vi ệc in ấn t ấc nhân viên thuận lợi Trong mô hình mạng công ty VNTRANSPORT có máy printer server máy lại làm chức in local, vừa đảm bảo lại tiết ki ệm Thiết kế xây dựng hệ thống Antivirus mô hình Client – Server Thảm họa virus hệ thống mạng ám ảnh làm việc công ty Khi virus lây lan hệ thống làm hệ thống đóng băng hoạt động không ổn định, gây ảnh hưởng đến hoạt động công ty đặc biệc công ty có xương sống mạng máy tính hoạt động dựa mạng máy tính Để đề phòng lây nhiễm virus lấy lan phát tán virus hệ thống, cài đặt m ột hệ thống phòng chống virus thực cần thiết Nhóm định sử dụng phần mềm Symantec Antivirus 10.0 để thực công vi ệc 7.1 Các chức hệ thống Antivirus: - Chức Antivirus server (cài đặt server): cập nhật, quản lý tập trung phiên chống virus từ internet triển khai cho máy nhân viên, diệt virus máy cài đ ặt - Chức Antivirus client (cài đặt máy nhân viên): cập nhật phiên di ệt virus t Antivirus server, tìm diệt virus máy cài đặt 7.2 Các đặc điểm chung ưu điểm triển khai hệ thống Symantec Antivirus - Khi máy server kết nối internet update, máy client t ự động update t server, máy client không internet để update Các máy client quyền gỡ bỏ cài đặt password - Khi máy hệ thống, thông tin gửi trực tiếp lên server, người qu ản tr ị biết thực hành động trực tiếp tới máy bị nhiễm từ server Ưu điểm Symantec Antivirus: - Hoạt động nhanh phù hợp với công ty vừa nhỏ Tạo hệ thống Antivirus cho hệ thống máy tính, giúp người quản trị đơn gi ản việc quản trị hệ thống - Tiết kiệm băng thông trình Update - Nâng cao bảo mật 7.3 Triển khai hệ thống Symantec Antivirus 7.3.1 Cài đặt phần mềm Symantec server - Chuẩn bị đĩa CD cài đặt chứa: Symantec AntiVirus Corporate Edition v10.1 SymantecSystem Center v10.1 - Cài đặt phần mềm vào máy server, trình cài đặt ý phần password cho hệ thống check vào AutorunLiveUpdate để tự động cập nhật từ server internet sau cài đ ặt xong 7.3.2 Cấu hình triển khai Symantec client cho máy nhân viên hệ thống máy member server - Sau cài đặt khởi động lại hệ thống, ta tiến hành Unlock cho server tùy chọn cho server Primary server - Sau tiến hành triển khai phần mềm xuống máy client (client range khác nhau, range server, range tầng range tầng 2) - Chúng ta có cách để cài đặt cho máy trạm: đứng từ Client truy cập đ ến server đường dẫn UNC, hai dùng tiện ích Client Remote Install Tool Đ ể cài đặt t xa ta vào Tools\Client Remote Install - Trong trình bước ta chọn vị source cài đặt, ta tùy ch ọn Default Location Sau ta chọn user cần triển khai để thực thi - Quá trình triển khai xuống client thành công, sau khởi động lại phấn mềm Antivirus t ự đ ộng chạy nhìn thấy máy client 7.4 Tổng kết Antivirus Symantec Antivirus đảm bảo khả vận hành nhẹ nhàng mô hình Client-Server t ối ưu cho công việc quản trị Sử dụng phần mềm hệ thống VNTRANSPORT khả thi đạt phần mục tiêu bảo mật cho hệ thống nhóm 06PBL152 Xây dựng hệ thống vá lỗi WSUS Quản lý tình trạng hệ thống công việc quan trọng người quản trị mạng, quản lý việc cập nhật vá lỗi phải tiến hành liên tục cung cấp cho hệ thống phiên vá lỗi nhà sản xuất mang lại hiệu bảo mật, mà giúp hệ thống hoạt động ổn định nhiều Nhưng điều cần phải ý vá lỗi nhà cung cấp phần mềm đưa thường chậm so với vá lỗi hãng bảo mật, ví dụ symantec đưa 40 b ản vá lỗi có 20 cho hệ thống máy Dell chạy Windows XP 20 vá lỗi cho Windows 2000 Service Pack trước Microsoft đưa vá lỗi thức vào mùa hè năm 2003 Và việc cập nhật toàn hệ thống qua Internet giải pháp khó thực có nhiều máy tính hệ thống mạng cần cập nhật vá lỗi Việc triển khai hệ thống tự cung cấp vá lỗi hệ thống mạng điều cần thiết Chính điều nên cần dịch vụ phục vụ cho nhu cầu WSUS giải pháp WSUS viết tắt Windows Server Update Service Cho phép tạo m ột máy ch ủ l ưu tr ữ phần mềm cập nhật cho toàn hệ thống phần mềm hãng Microsoft từ Windows phần mềm Office Mô hình hoạt động WSUS: 8.1 - Các chức ưu nhược điểm: Quản lý tập trung vấn đề cài đặt phần mềm update máy trạm Giảm thiểu lưu lượng băng thông Internet Nếu wsus công ty có hàng trăm máy tính yêu cầu update trực tiếp thông qua Website Microsoft gây tượng tác nghẽn tải - Ưu điểm: Tiết kiệm nhiều thời gian quản trị tăng cường thêm tính bảo mật cho hệ thống máy trạm - Nhược điểm: có ích hệ thống lớn nhiều máy client Hệ thống nhỏ cài đặt gây lãng phí server 8.2 Các yêu cầu chung triển khai WSUS 82.1 Yêu cầu dung lượng đĩa cứng: - Cả partition cài đặt windows partition cài đặt WSUS phải NTFS - Tối thiểu phải có Gb trống cho partition hệ thống - Tối thiểu phải có Gb trống cho partition cài update cho WSUS recommend 30 Gb 8.2.2 Các yêu cầu Automatic Updates: Automatic Updates thành phần client WSUS Automatic Updates không đòi h ỏi v ề ph ần cứng đặc biệt việc phải kết nối với network Ta sử dụng Automatic Updates với WSUS máy tính chạy hệ điều hành sau đây: - Microsoft Windows 2000 Professional with Service Pack (SP3) or Service Pack (SP4), Windows 2000 Server with SP3 or SP4, or Windows 2000 Advanced Server with SP3 or SP4 Microsoft Windows XP Professional, with or without Service Pack or Service Pack Microsoft Windows Server 2003, Standard Edition; Windows Server 2003, Enterprise Edition;Windows Server 2003, Datacenter Edition; or Windows Server 2003, Web Edition * Note: Để cài đặt WSUS ta cần thực cài đặt số chương trình yêu cầu cho WSUS: 8.3 Cài đặt IIS Cài đặt Services Pack Cài đặt dotNetFX35setup.exe Cài đặt ReportViewer.exe Cuối cài đặt WSUS (ở hệ thống cài đặt ver3.0) Định hướng triển khai thực WSUS Máy chủ SUS phân tích hệ điều hành yêu cầu cập nhật, kiểm tra service pack cung cấp cho máy client gói tin cần phải download cài đặt phiên cập nhật 8.3.1 Đồng liệu cung cấp cho hệ thống Khi bắt đầu việc đồng liệu máy chủ SUS truy vấn đến máy chủ Windows Update Microsoft hay máy chủ SUS khác hệ thống mạng download toàn tài nguyên b ản vá lỗi hay service pack cho sản phẩm ngôn ngữ mà ta cấu hình Quá trình đ ồng b ộ d ữ liệu truyền khoảng 150 MB cho phiên English 600MB cho ngôn ng ữ khác 8.3.2 Thiết lập Automated Updates máy client Cài đặt cập nhật từ Automatic Updates máy client việc cài đặt gói MSI Để cung cấp gói cập nhật dạng MSI bạn dễ dàng sử dụng Group Policy để cung cấp Tạo GPO mới, gán chúng cho máy tính hệ thống mạng bạn, cài đặt cách tự động Có thể cung cấp gói MSI cho client dạng logon script gán cho gói tin MSI hệ th ống đ ược thực trước người dùng đăng nhập vào hệ thống 8.3.3 Sử dụng Group Policy để áp đặt máy Clients Update từ WSUS Lên lịch cho trình cập nhật cần khác tránh thời điểm toàn b ộ h ệ th ống yêu cầu đến máy chủ SUS làm toàn hệ thống mạng bạn bị tắc nghẽn (Tuỳ chọn phần “Reschedule Automatic Updates Scheduled Installations”) Tạo nhiều GPO với nhiều lịch trình khác cho OU để đảm bảo hệ thống đáp ứng tốt 8.4 Tổng kết WSUS Với tính ưu việc cập nhật vá lỗi cho hệ thống WSUS (đã phân tích phía trên) dịch vụ tốt để góp phần bảo mật cho hệ thống cty Do nhóm 06PBL152 chúng em triển khai hoàn chỉnh dịch vụ cho đề tài lần Triển khai Policy quản lý Policy cấu giúp ta xác lập cấu hình desktop, permission…m ột cách tự động tập trung nh Group Policy Object (GPO) Group Policy Object đối tượng thu ộc nhóm Policy qu ản lý, có áp đặt cho cấp user Computer chứa Site, Domain, Organization Unit (OU) 9.1 Các yêu cầu cần làm Group Policy Triển khai ứng dụng sau cho tấc phòng ban: - Microsoft Word - Microsoft Exel - Microsoft PowerPoint - Acrobat Reader Các phần mềm khác cho phòng ban: - Phong kế toán: phần mềm kế toán - Phòng Hành – Nhân sự: phần mềm quản lý nhân - Phòng Kế hoạch kinh doanh: phần mềm thiết kế mô hình Microsoft Visio Cấu hình GPO áp đặt sách khác như: - Tự động khởi động Internet Explore với trang chủ công ty user đăng nh ập vào m ạng - Không nhìn thấy Properties My Documents - Không nhìn thấy không truy cập ô đĩa C máy Local - Map máy in local, map ỗ đĩa mạng 9.2 Triển khai sách từ yêu cầu đặt Sử dụng công cụ Group Policy Management để quản lý tập trung policy có hệ thống Các ứng dụng Word, Exel, PowerPoint quản lý policy chung tri ển khai (liên kết) xuống tấc OU phòng ban Các ứng dụng phần mềm chuyên ngành, phần mềm cấu hình deploy Policy Thực áp đặt sách khác: Mỗi sách cấu hình policy riêng 10 Các dịch vụ hỗ trợ 10.1 Dịch vụ RIS Trong mô hình hệ thống có nhiều máy trạm, để cài đặt hệ điều hành cho tất máy trạm đòi hỏi người quản trị phải nhiều thời gian để cài đặt cho máy Với chức cài đặt hệ điều hành cách tự động qua mạng, dịch vụ RIS đời để người quản trị giải vấn đề cách nhanh chóng có hiệu 10.1.1 Chức Cài đặt hệ điều hành qua mạng cho Client 10.1.2 Ưu nhược điểm dịch vụ Ø Ưu điểm - Cài đặt hệ điều hành cách tự động - Máy trạm cần có card mạng hổ trợ PXE, không cần có ổ CD-ROM - Người quản trị khỏi công cài đặt máy - Có thể cài đặt cho tất máy trạm với cấu hình - Máy trạm sau cài đặt xong tự động join domain Ø Nhược điểm - Cấu hình phức tạp - Thời gian cài đặt lâu số lượng máy trạm lớn 10.1.3 - Yêu cầu chung triễn khai dịch vụ Máy tính chứa dịch vụ RIS Server phải thành viên Domain dịch vụ RIS Server nằm Domain - Server cài đặt RIS phải có phân vùng khác - Phân vùng chứa file cài đặt RIS phải định dạng NTFS - Có DHCP Server Active mạng - Có DNS phân giải tốt mạng - Có Windows CD có folder share chứa file cài đặt - Máy Client phải hỗ trợ PXE boot ROM card mạng có hổ trợ boot floppy 10.1.4 Định hướng triễn khai dịch vụ Ø Định hướng thực - Các máy trạm hệ thống có cấu hình - Cài đặt hệ điều hành Windows XP Professional cho tất máy trạm - Sau cài đặt xong hệ điều hành máy trạm join vào domain có đầy đ ủ thông tin cấu hình có liên quan Ø Triển khai dịch vụ - Cài phần mềm Remote Installation Services - Tạo Image lưu Server - Tạo đĩa mềm boot mạng (nếu máy không hỗ trợ boot mạng PXE) - Tạo Answer file để tự động trả lời thông tin cài đặt hệ điều hành cho Client - Phân quyền cho User cài đặt hệ điều hành từ RIS Server 10.1.5 Tổng kết dịch vụ RIS Server Dịch vụ RIS đem lại nhiều thuận lợi cho người quản trị việc cài đặt Hệ điều hành cho nhiều máy trạm lúc thông qua mạng Vì thế, dịch vụ áp dụng để triễn khai cho mô hình nhiều máy trạm để tiết kiệm th ời gian tài 10.2 Dịch vụ VPN Client to Site Một nhân viên cố gắng phát triển công ty làm việc Họ có nhu cầu làm việc lúc nơi Để đáp ứng nhu cầu nhân viên, hệ thống VPN client to site đời giúp nhân viên sử dụng mạng nội công ty lúc cần thi ết 10.2.1 Các chức ưu nhược điểm - Giúp nhân viên kết nối vào site công ty thông qua môi trường Internet, tr thành m ột node mạng LAN công ty Giúp nhân viên sử dụng tài nguyên chia m ạng - Ưu điểm: tiện lợi cho nhân viên làm việc xa công ty – làm việc nhà Tạo mô hình hình ống (pipe) riêng ảo giúp việc trao đổi liệu không gói gọn môi tr ường mà tr nên rộng linh hoạt Không phải thuê thêm kênh riêng Lease Line, tốn h ơn r ất nhi ều - Nhược điểm: hệ thống mạng hệ thống tường lửa nguy hiểm cho liệu vào hệ thống 10.2.2 - Các yêu cầu chung triển khai dịch vụ VPN client to site Máy đóng vai trò VPN server phải có NIC, máy trực tiếp Internet thông qua Modem ADSL, hai NIC server có IP là: + External: 192.168.1.113 + LAN_Floor : 192.168.1.1 - Khi tạo address pool (dãy IP) dành trước cho client có nhu cầu quay VPN cho NetID với mạng LAN bên site Theo mô hình công ty VNTRANSPORT có subnet khác site, ta tiến hành làm cho subnet Ph ần đ ưa ví d ụ cho subnet Internal_Floor 10.2.3 Định hướng thực VPN client to site Có cách để thực - Một là: Biến Modem ADSL thành Bridge, ta có IP Public, dùng IP IP cho VPN Server, nhiên cách bất tiện ta phải thực Share Net máy client m ới net (áp dụng cho modem không hỗ trợ VPN) - Hai là: Trên Modem ADSL ta kết hợp với Dynamic DNS VPN Server, n ếu có client quay vào ta việc Nat Port cho Forward qua VPN Server Ta s d ụng cách cho vpn client to site hệ thống 10.2.4 Thiết kế xây dựng VPN client to site a NAT port 1723 Router ADSL máy VPN server b Cấu hình VPN Server: - Tạo user để Client bên kết nối vào VPN Server (tùy vào nh ững user có nhu c ầu s d ụng VPN tạo tài khoản cho user đó) - Cho phép user có quyền Allow access Dial-in - Enable Routing and Remote Access cấu hình chức Remote Access (dial-up or VPN) Cấu hình Range IP cho để cấp cho client connect vào mạng hoàn tất trình cấu hình server c Cấu hình VPN Client máy Client vào: - Tạo connection My Network Place, cho “Connect to the network at my workplace” Chọn chế độ “Virtual Private Network Connection” bước - Tại phần VPN Server Selection, gõ Hostname đăng ký NO-IP Dyndns n ếu có vào ô “Host name or IP address” - Tại VPN server phải cài chương trình cập nhật IP cho hostname - Sau kết nối đến VPN server username password h ệ th ống 10.2.5 Tổng kết dịch vụ VPN Client to Site VPN client to site giải pháp thực hiệu cho việc sử dụng tài nguyên bên m ạng nhân viên làm việc bên Để nâng cao độ bảo mật cho dich vụ này, tương lai h ệ th ống phải cài đặt Firewall ISA dịch vụ bên thứ ba 10.3 Dịch vụ Remote Assistance Dịch vụ cho phép nhân viên kỹ thuật admin vào máy tính c nhân viên giúp h ọ giải cố máy Rất có ích cho việc hỗ trợ nhân viên từ xa Các bước triển khai: - Tạo file Remote Assistance máy client với username password - Chia file cho người giúp đỡ nhân viên - Nat Port 3389 modem router - Sau người truy cập vào máy nhân viên thông qua IP Port 3389 đ ược cấu hình file Sử dụng username password tạo trước để chứng thực C Đào tạo người sử dụng Sau công việc xây dựng hệ thống mạng cho công ty công việc đào tạo người sử dụng quan trọng không Để người sử dụng hiểu cách sử dụng dịch vụ có hệ thống nhiều công việc khác Những công việc cần làm: Tuyển chọn đội ngũ đào tạo - Bố trí thời gian đào tạo - Thiết kế tài liệu đào tạo: bao gồm phần cần hướng dẫn cho nhân viên cần thực ü Cách đăng nhập vào hệ thống sử dụng username password nhân viên ü Cách sử dụng file server để lưu trữ liệu làm việc, cách báo cáo, cách chia liệu file server ü Cách truy cập vào web, ftp nội public ü Cách sử dụng VPN Client to Site để connect vào mạng công ty cần thiết ü Cách sử dụng Remote Assistance cho phép admin vào máy để hỗ trợ kỹ thuật D Kiểm tra bàn giao vận hành Kiểm tra Sau cài đặt triển khai xong hệ thống mạng cho công ty, ta tiến hành ki ểm tra t toàn di ện h ệ thống Kiểm tra từ máy nhân viên vấn đề sau: - Đăng nhập vào user domain máy client Đặt ip động, tiến hành release renew ip, kểm tra ip dhcp cấp, kiểm tra dns nslookup, sau kiểm tra liên thông mạng lệnh ping, ping internet kiểm tra kết nối internet từ máy client - Đăng nhập vào máy client kiểm tra phân quyền file server - Kiểm tra My Documents nhân viên sau đăng nhập vào hệ thống - Truy cập vào để kiểm tra dịch vụ web, ftp, tạo file đưa qua máy khác để kiểm tra remote assistance - Kiểm tra máy in in thử client - Kiểm tra thi hành Group Policy áp đặt xuống máy client Bàn giao vận hành Sau trình kiểm tra toàn diện hệ thống, ta tiến hành bàn giao công vi ệc vận hành hệ thống lại cho ban quản lý phòng kỹ thuật công ty - E Những thứ cần bàn giao: Các mô hình hệ thống nguyên tắc hoạt động thành phần hệ thống: DNS, DHCP, DC đồng cấp, File server, Web - FTP server, Printer server, WSUS, Antivirus, RRAS, Backup & Restore AD File server Từ ta tiếp tục thành phần quan trọng hệ thống, cách kiểm tra cố khắc phục cố xảy Phối hợp với phận chuyên gia phần cứng để lên lịch bảo trì thiết bị hệ thống Chuyển giao tài liệu khách hàng nghiệm thu Chuyển giao tài liệu Các tài liệu cần chuyển giao lại cho công ty sau: - Tài liệu nguyên cứu thiết kế hệ thống - Tài liệu đào tạo người sử dụng Nghiệm thu với khách hàng - Hỏi thắc mắc khách hàng trả lời thắc mắc - Hỏi khách hàng cho đánh giá hệ thống - Đề xuất phương án mở rộng hệ thống công ty phát triển mạnh F Tiến hành nhận tiền cho việc thiết kế, lắp đặt tiền thiết bị từ khách hàng Ký biên xác nhận liên quan Đánh giá hiệu Sau thiết kế xây dựng hệ thống này, nhóm 06PBL152 nhận thấy hệ thống hửu ích mang lại hiệu cao cho hoạt động công ty Sau đánh nhóm đ ưa sau lên xây dựng hệ thống: - Nhờ quản lý tập trung file server hệ thống khác, hoạt động công ty nhanh tiết kiệm chi phí - Tiện lợi cho việc sử dụng nhân viên đội ngũ quản lý công ty - Thông tin bảo mật quản lý dễ dàng - Giúp cho người quản lý truy cập thông tin nhanh chóng đâu, ch ỉ cần có mạng internet - Vấn đề kinh phí phù hợp với công ty vừa nhỏ - Có thể phát triển hệ thống tương lai V.Phương án mở rộng Đối với hệ thống bảo đảm bốn yêu cầu bản: - Yêu cầu bảo mật thông tin - Yêu cầu khả hoạt động nhanh nhạy - Yêu cầu khả chống chịu với môi trường hệ thống - Yêu cầu khả mở rộng Sau hoàn tấc trình xây dựng đưa vào hoạt động, tương lai không xa khả công ty phát triển cần thiết hệ thống lớn mạnh khả bảo mật thông tin cao Từ đặt phương pháp mở rộng cho hệ thống vấn đề cần đề cập tới bắt tay vào xây dựng hệ thống Ta chọn lựa thành phần cấu trúc có khả mở rộng tương lai Sau phương án mở rộng hệ thống mà nhóm 06PBL152 vạch cho hệ thống trên: - Triển khai CA, IP SEC cho hệ thống để bảo mật nâng cao Triển khai vpn (cài radious server cần chứng thực quản lý giao tiếp VPN) k ết h ợp vpn ipsec SSL - Triển khai RAID máy DC để Backup đồng thời tăng tốc hoạt động server - Kết hợp Load Balancing vào hệ thống để cân tải, tăng khả chống chịu - Cài đặt ISA khoanh vùng DMZ cho vùng server public internet - Cài đặt hệ thống Mail exchange để tiện việc liên lạc cần thiết nhân viên công ty tăng lên đáng kể ... hình VPN Client máy Client vào: - Tạo connection My Network Place, cho “Connect to the network at my workplace” Chọn chế độ “Virtual Private Network Connection” bước - Tại phần VPN Server Selection,... Symantec server - Chuẩn bị đĩa CD cài đặt chứa: Symantec AntiVirus Corporate Edition v10.1 SymantecSystem Center v10.1 - Cài đặt phần mềm vào máy server, trình cài đặt ý phần password cho hệ thống... phần client WSUS Automatic Updates không đòi h ỏi v ề ph ần cứng đặc biệt việc phải kết nối với network Ta sử dụng Automatic Updates với WSUS máy tính chạy hệ điều hành sau đây: - Microsoft Windows