QUẢN TRỊ MẠNG VỚI WINDOWS SERVER 2003 TẠI CHI NHÁNH NGÂN HÀNG CỒNG THƯƠNG KHU VỰC BA ĐÌNH 1. Khảo sát hạ tầng mạng Khảo sát hạ tầng mạng tại Ngân hàng Công thương Việt Nam Từ tháng 11 năm 2007, Ngân hàng Công thương Việt Nam đã nâng cấp hệ thống mạng của mình từ sử dụng Windows Server 2000 lên Windows Server 2003 Hạ tầng mạng tại Chi nhánh Ngân hàng Công thương khu vực Ba Đình Toàn bộ hệ thống mạng của Chi nhánh gồm có 3 Server và 160 máy tính phân bố ở các phòng ban. Hệ thống sử dụng 1 switch layer 3 450T 24 cổng và 6 switch layer 2-450T 24 cổng. 3 Server gồm có 1 server chính, 1 dự phòng và 1 để dùng cho các ứng dụng. Hệ thống được cài đặt Active Directory kiểu member trên toàn hệ thống mạng của Ngân hàng Công thương Việt Nam. Các Server ở các chi nhánh đóng vai trò duy trì hoạt động của tất cả máy tính trong mạng của chi nhánh và trung chuyển những số liệu giao dịch về cho Trung tâm Công nghệ thông tin của Ngân hàng Công thương Việt Nam tại 108 Trần Hưng Đạo. Do hệ thống quản trị được cài theo kiểu AD áp dụng trên toàn hệ thống mạng của Ngân hàng Công thương xuống đến các chi nhánh và các điểm giao dịch nên có thể xem như mỗi mạng của chi nhánh được bảo mật và ngăn chặn truy cập không cho phép bởi 2 lớp Firewall như sơ đồ sau: Sơ đồ mạng máy tính của Chi nhánh Ngân hàng Công thương khu vực Ba Đình: Về hệ thống truyền thông: Hệ thống sử dụng bộ kích và router đời mới, cáp đồng 2MBps từ hệ thống đến các điểm giao dịch là đường truyền Leasedline 128Kbps. Ngoài ra hệ thống mạng của Ngân hàng Công thương còn sử dụng 1 đường truyền dự phòng. Đường truyền chính hiện nay đang thuê của VNPT còn đường truyền phụ của FPT là đường dây cáp quang. Ngoài ra chi nhánh Ba Đình trực tiếp quản lý 13 máy ATM. 13 máy này được nối với hệ thống mạng của chi nhánh với 13 đường truyền 64kbps. 2. Quản trị hệ thống Active Directory Kế hoạch triển khai AD tại Ngân hàng Công thương Việt Nam Sau một thời gian dài tiến hành nghiên cứu và thử nghiệm, Trung tâm CNTT đã chứng minh được tính khả thi của hệ thống AD và các công cụ quản lý hệ thống của hãng Microsoft đối với NHCTVN. Dự án đã được Ban lãnh đạo NHCTVN đánh giá cao và đồng ý triển khai diện rộng trong toàn hệ thống NHCTVN. Với quy mô lớn, hệ thống thông tin của Ngân hàng được đầu tư phức tạp với các đặc điểm sau: - Hệ thống chạy nhiều ứng dụng: Do yêu cầu phong phú về các sản phẩm dịch vụ, Ngân hàng đầu tư khá nhiều vào các ứng dụng của nhiều hãng lớn, khiến việc sử dụng cũng như quản trị gặp nhiều khó khăn do mỗi ứng dụng hay mỗi máy chủ lại yêu cầu một tài khoản người dùng khác nhau. - Hệ thống máy chủ nhiều và phân tán: Do yêu cầu về dịch vụ Ngân hàng, tại mỗi chi nhánh đều có ít nhất 2 máy chủ, với hệ thống các chi nhánh phân bổ đến khắp các tỉnh thành trên cả nước, việc quản trị tại trung ương gặp nhiều khó khăn do khó có thể xử lý kịp các sự cố xảy ra trên toàn hệ thống, khiến việc giao dịch bị ngưng trệ, gây nhiều tổn thất cho Ngân hàng. Với hệ thống phân tán, việc quản lý máy trạm gần như không được thực hiện, tính ổn định cho các máy trạm không được đảm bảo cho người sử dụng, làm giảm hiệu suất làm việc của nhân viên. Nhận thức của người sử dụng chưa tốt trong việc khai thác hệ thống, một số chính sách về bảo mật không tuân thủ, việc sử dụng hệ thống tuỳ tiện của người dùng cũng tạo ra nhiều rủi ro về bảo mật thông tin và gây khó khăn cho người quản trị hệ thống. Việc xem xét, lựa chọn cấu trúc AD đã dựa trên phân cấp quản lý và cấu hình hệ thống mạng WAN của NHCTVN. Về cấp quản lý hệ thống, NHCTVN có 1 Hội sở chính và 137 chi nhánh, các chi nhánh dưới sự quản lý trực tiếp của Hội sở chính. Về cấu hình hệ thống mạng WAN, các chi nhánh đều có đường kết nối về trung tâm miền tại Hà Nội, Đà Nẵng và TP. Hồ Chí Minh trước khi nối về Hội sở. Do vậy, để có thể quản lý toàn bộ hệ thống một cách hiệu quả, dễ dàng, TTCNTT chia các chi nhánh theo từng vùng, mỗi vùng là một tên miền, riêng Hội sở có một tên miền riêng. Như vậy, cấu trúc AD của NHCTVN được chia làm 5 domain: - 1 domain gốc : icbv.com - 4 domain con: hq.icbv.com, north.icbv.com, middle.icbv.com và south.icbv.com. Những lợi ích của triển khai hệ thống AD: Việc triển khai hệ thống AD và các công cụ quản lý của hãng Microsoft sẽ mang lại rất nhiều lợi ích cho NHCTVN. Cụ thể là: Việc triển khai Active Directory giúp: - Sử dụng một tài khoản duy nhất trong khai thác hệ thống: Giúp người dùng cũng như nhà quản trị dễ dàng hơn trong việc sử dụng hệ thống, nâng cao hiệu quả làm việc của từng người. - Phân quyền: Với chỉ một hệ thống users, người quản trị có thể dễ dàng phân quyền, cấp phép cho người dùng truy cập vào bất kỳ tài nguyên nào thuộc AD, khi triển khai các phần mềm hoặc ứng dụng mới người quản trị có thể tận dụng luôn account có trong AD mà không cần phải lo tạo account mới như trước kia. - Đảm bảo về bảo mật: Hệ thống Microsoft luôn là mục tiêu tấn công của virus, hacker . do vậy, khi chuyển toàn bộ hệ thống sang Microsoft, yêu cầu phải có một chính sách về bảo mật được áp dụng chặt chẽ tới từng máy chủ, máy trạm và người dùng, bảo đảm sự ổn định của hệ thống, nhằm khai thác tối đa năng suất làm việc của nhân viên. - Theo dõi và khắc phục kịp thời sự cố máy chủ: Với hạ thống máy chủ phân tán, chạy nhiều ứng dụng và dịch vụ, phải có một cách quản lý tự động, giúp nhanh chóng phát hiện và xử lý kịp thời các sự cố xảy ra trong hệ thống, nhằm giảm thiểu tối đa thời gian ngừng máy, đồng thời phải có một báo cáo hàng tuần về hệ thống máy chủ làm cơ sở cho việc thay thế, nâng cấp hàng năm. - Quản lý chặt chẽ hệ thống máy trạm: Để đảm bảo cho hệ thống ổn định, ngoài việc quản lý máy chủ, đòi hỏi cũng phải có một chính sách chặt chẽ trong việc sử dụng các máy trạm của người dùng cuối, nhằm ngăn chặn những sơ hở về bảo mật từ người dùng. Ngoài ra, vệc triển khai các ứng dụng đến người dùng cuối cũng phải có cơ chế để triển khai tự động từ trung ương, đảm bảo tính nhất quán, hiệu quả, tiết kiệm thời gian và nhân lực cho việc đi đến từng chi nhánh để triển khai. Các dịch vụ tương lai trên nền tảng hệ thống AD: Việc triển khai AD thành công sẽ là một bước tiến quan trọng trong việc quản lý cơ sở hạ tầng hệ thống Công nghệ thông tin. AD là một hệ thống lớn rất phổ biến và được sử dụng rộng rãi trên toàn thế giới. Điều quan trọng là hầu hết các ứng dụng CNTT hiện nay trên thế giới đều có thành phần chấp nhận việc bắt tay với hệ thống AD để quản lý người dùng. Tại Ngân hàng Công thương Việt Nam, hệ thống thư điện tử đã bắt tay với hệ thống AD việc tạo tài khoản người dùng, xác thực và cấp quyền truy cập thư điện tử được thực hiện trên hệ thống AD. Hiện nay, Trung tâm CNTT đang áp dụng một hệ thống quản lý công văn. Hệ thống này cũng đã bắt tay với AD trong việc quản lý tài nguyên hệ thống và người truy cập. TTCNTT đang tiến hành triển khai thử nghiệm hệ thống NAC (Network Admission Control) - một giải pháp mới của hãng Cisco giúp kiểm soát mọi máy tính truy cập vào hệ thống mạng. NAC có thể coi như một chiếc máy soi an ninh sân bay để kiểm tra hành khách có mang theo vật dụng nguy hiểm hay không. NAC có cơ chế làm việc cùng hệ thống AD, MOM và SMS trong việc kiểm tra các máy tính mới kết nối vào mạng của NHCT VN. Tất cả các máy móc thiết bị kết nối mạng chưa đảm bảo các tiêu chuẩn về mặt an ninh (do NHCTVN quy định) đều bị chặn lại hoặc cô lập và thông báo với người quản trị. Máy bị cô lập sẽ phải cập nhật đầy đủ và sau đó xác thực trước khi được truy xuất vào các tài nguyên của NHCTVN. Thực tế là chất lượng dịch vụ bắt nguồn từ bên trong chính doanh nghiệp, đặc biệt là đối với kinh doanh tài chính. Sự tiện lợi, an toàn và bảo mật của các dịch vụ phải nhìn từ việc áp dụng công nghệ thông tin và việc quản lý cơ sở hạ tầng công nghệ thông tin như thế nào. Chỉ có sự tối ưu trong việc quản lý cơ sở hạ tầng công nghệ thông tin mới mang lại được những dịch vụ tài chính có chất lượng. AD là bước quan trọng tiếp theo trong chiến lược phát triển về CNTT của NHCTVN. Hoàn thành việc triển khai AD sẽ tạo ra bước tiến quan trọng trong việc tạo ra sự tối ưu đó. Triển khai Active Directory tại Chi nhánh Ngân hàng Công thương Việt Nam khu vực Ba Đình Nhằm mục đích nâng cao khả năng quản trị hệ thống,đảm bảo an toàn, sử dụng và quản lý tài nguyên của hệ thống, Ngân hàng Công thương Việt Nam đã bước đầu triển khai hệ thống Active Directory từ năm 2005 tại Trụ sở chính, Trung tâm CNTT và kế hoạch triển khai đến toàn bộ các chi nhánh Ngân hàng Công thương trong năm 2007 và đầu năm 2008. Tiến tới mô hình quản lý tập trung và cụ thể tới tận từng người sử dụng, từng máy tính trong mạng. Trong nền kinh tế ngày nay, lòng trung thành của khách hàng phụ thuộc vào thời gian đáp ứng, tính an toàn và chất lượng dịch vụ. Đối với các dịch vụ tài chính, các yêu cầu này đang ngày càng phụ thuộc vào hệ thống công nghệ thông tin (CNTT). Một trong những tiêu chuẩn là doanh nghiệp phải có một hệ thống hạ tầng CNTT được xây dựng thống nhất, đáp ứng được nhu cầu mở rộng và cấu trúc sao cho có thể triển khai các ứng dụng khác nhau một cách nhanh chóng. Chuyển đổi Hệ điều hành máy chủ lên Windows Server 2003: Kế tiếp việc chuyển đổi nâng cấp Hệ điều hành của các máy chủ ứng dụng tại các chi nhánh lên hệ thống Windows Server 2003 là một yếu tố tất yếu, kèm theo đó là các ứng dụng cũng nâng cấp lên theo các phiên bản mới hơn. Ưu điểm của hệ điều hành mới là sẽ hoạt động ổn định hơn, bảo mật tốt hơn so với Windows 2000 Advance. Các phần mềm ứng dụng cũng nâng cấp gồm: - Oracle 901.1 + patch 901.5 - MSSQL Server 2005 + SP2 - My SQL 4.1.22 - Script Backup (cho phần Database) - WSUS 3.0 - Officescan 8.0 Phần backup Database giữa máy chủ SRV1 và SRV2 cũng đã hoàn thiện việc Replicate Online giữa 2 server giúp cho việc khắc phục sự cố nhanh chóng hơn. Việc phân chia quyền hạn được thiết lập chặt chẽ hơn, các dịch vụ cũng được tối ưu hóa nhằm nâng cao sự hoạt động ổn định của máy chủ. Hiện nay, mỗi chủng loại Server sẽ có 1 bản Image riêng (DELL 6800, NCR4490, NCR 4475, S29, S28). Sau năm 2007, tất cả các máy chủ tại chi nhánh (máy chủ ứng dụng và các máy chủ Domain, virus…) sẽ chuyển đổi lên phiên bản Windows 2003R2 và gia nhập Domain của Ngân hàng Công thương Việt Nam. Mô hình AD tại các chi nhánh: Mỗi chi nhánh sẽ phải cài đặt thêm 2 máy chủ riêng biệt cho hệ thống AD để phục vụ cho việc xác thực các users tại các chi nhánh và dự phòng cho nhau. Các Server sẽ được Replicate với nhau và replicate với các domain vùng tương ứng. Tại các chi nhánh, PC của các chi nhánh sẽ phải trỏ đến địa chỉ DNS các máy chủ AD tại các chi nhánh để xác thực, hệ thống sẽ tự động xác thực trên 1 trong 2 server, địa chỉ IP của các server này thuộc lớp máy chủ và có địa chỉ từ 172.xxx.yy.51 đến 172.xxx.yy.54 và tùy thuộc vào máy đó là máy ảo hay PC. Việc xác thực của các Users trong qúa trình login vào máy PC và kiểm tra email [...]... về Windows Server 2003, về mạng máy tính cùng với quá trình tìm hiểu trong thời gian thực tập, được cùng tham gia vào các công việc thực tế của một hệ thống mạng tiên tiến đã giúp cho em có được những kiến thức rất bổ ích Chuyên đề này chính là kết quả của quá trình nghiên cứu về hệ thống mạng của Chi nhánh Ngân hàng Công thương khu vực Ba Đình, về những nghiệp vụ quản trị mạng với Windows Server 2003. .. đến chi nhánh đó và nếu cả 2 server cùng bị lỗi thì ảnh hưởng trực tiếp đến việc đăng nhập, xác thực của toàn bộ chi nhánh Cây thư mục AD tại Chi nhánh Ngân hàng Công thương khu vực Ba Đình 2.2.1 Các công việc thực hiện khi triển khai AD Tạo các tài khoản cho người sử dụng tại chi nhánh Trước đây, việc sử dụng tài nguyên trên các PC và server là sử dụng tài khoản Users trên chính các máy đó (Local) Với. .. thêm bớt và quản lý các tài khoản trong các Group được các Admin của các chi nhánh Ngân hàng Công thương quản lý và phải được sự thông qua của ban lãnh đạo Ở Chi nhánh Ngân hàng Công thương khu vực Ba Đình, các Group được phân chia theo nghiệp vụ: ví dụ như Group BDS dành cho các tài khoản người dùng làm ở phòng giao dịch khách hàng, Group KT dành cho người dùng làm ở phòng kế toán 3 Cấu hình dịch vụ... chủ AD này Các PC trong chi nhánh và Server ứng dụng tại các chi nhánh sẽ là member của Domain Máy chủ Domain có lưu các bản ghi về Computer name và Users của từng người sử dụng trên hệ thống, đồng thời các máy chủ AD tại chi nhánh cũng được cài đặt các dịch vụ mạng như DNS, WINS, DHCP servers cho chi nhánh Do vậy, các DC tại mỗi chi nhánh có tầm quan trọng rất lớn, nếu 1 trong 2 server bị lỗi thì sẽ... được TCP/IP Tại mỗi chi nhánh sẽ có 2 máy chủ cài đặt dịch vụ DHCP server để cung cấp địa chỉ IP động cho các PC của chi nhánh Khi máy PC nhận địa chỉ cấp phát từ DHCP Server thì các tham số cấu hình sẽ được tự động hoàn toàn như: địa chỉ IP, Subnet, gateway, DNS Server, WINS Server nên rất thuận tiện cho việc quản trị tại mỗi chi nhánh Để kiểm tra tại máy PC xem thiết lập các tham số mạng như thế... các máy tính trong mạng Trong 3 server tại chi nhánh Ngân hàng Công thương Ba Đình thì có 1 Server chính là máy chủ SUS đảm nhận Update các bản vá lỗi bảo mật cho hệ thống máy tính của chi nhánh Các máy tính con trong mạng được cấu hình trỏ đến địa chỉ của máy chủ đảm nhận SUS này để nhận các bản cập nhật mới khi có một cách tự động SUS thực chất là phiên bản Intranet của Website Windows Update, cho... lịch cho qúa trình đồng bộ, người quản trị mạng chọn vào phím Synchronization Schedule để hiện thị hộp thoại Schedule Synchronization Trong quá trình đồng bộ, máy chủ kết nối đến Website Windows Update và tải danh mục các bản Update về máy chủ SUS Việc thực hiện lập lịch cho hệ thống mạng các chi nhánh Ngân hàng Công thương Việt Nam được các cán bộ quản trị mạng ở mỗi chi nhánh thực hiện Phê chuẩn các... Ngân hàng Công thương khu vực Ba Đình, về những nghiệp vụ quản trị mạng với Windows Server 2003 được ứng dụng tại chi nhánh Trong phạm vi chuyên đề em cũng xin được đưa ra một vài những kiến nghị đề xuất và giải pháp đối với hệ thống mạng hiện tại của Chi nhánh Ngân hàng Công thương khu vực Ba Đình Tất nhiên trong chuyên đề không khỏi tránh được nhiều thiếu sót do hạn chế về mặt kiến thức bản thân cũng... thông minh Tại các máy chủ Domain ở mỗi chi nhánh, dịch vụ DNS cũng được cài đặt và sử dụng để ghi và phân giải các bản ghi Dynamic name của máy chủ, PC giúp cho việc phân giải tên DNS name Ví dụ như trong chi nhánh muốn vào trang web của Ngân hàng công thương Việt Nam (www.icb.com.vn) thông qua mạng nội bộ thì máy tính đó phải cấu hình card mạng trỏ đến địa chỉ của DNS server (tại chi nhánh là máy... hành việc thương lượng, thương lượng phương thức mã hóa, thương lượng phương thức giải mã Nhằm mục đích bảo đảm an toàn cho dữ liệu tại các chi nhánh, việc áp dụng IPSEC đến các máy chủ chi nhánh là điều bắt buộc, IPSEC thực hiện kiểm tra xác thực và mã hóa dữ liệu của các máy tính từ lớp PC đến lớp Server ứng dụng Nếu một PC nào đó tự động cắm vào mạng của chi nhánh và thực hiện kết nối đến lớp server . QUẢN TRỊ MẠNG VỚI WINDOWS SERVER 2003 TẠI CHI NHÁNH NGÂN HÀNG CỒNG THƯƠNG KHU VỰC BA ĐÌNH 1. Khảo sát hạ tầng mạng Khảo sát hạ tầng mạng tại Ngân hàng. lên Windows Server 2003 Hạ tầng mạng tại Chi nhánh Ngân hàng Công thương khu vực Ba Đình Toàn bộ hệ thống mạng của Chi nhánh gồm có 3 Server và 160 máy