Đang tải... (xem toàn văn)
Kiến thức cơ bản về LAN Mạng cục bộ LAN là hệ thống truyền thông tốc độ cao được thiết kế để kết nối các máy tính và các thiết bị xử lí dữ liệu khác cùng hoạt động chung với nhau trong m[r]
(1)QUẢN TRỊ MẠNG Hà nội , 2012 (2) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C MỤC LỤC MỤC LỤC I Kiến thức I.1 Các mô hình tham chiếu OSI và TCP/IP I.1.1 Khái niệm giao thức (protocol) I.1.2 Mô hình tham chiếu OSI I.1.3 Mô hình tham chiếu TCP/IP I.1.4 So sánh mô hình OSI và TCP/IP I.2 Địa IP I.2.1 Giới thiệu địa IP I.2.2 Một số khái niệm và thuật ngữ liên quan I.2.3 Giới thiệu các lớp địa 10 I.2.4 Ví dụ cách triển khai đặt địa IP cho hệ thống mạng 13 I.2.5 Chia mạng (subnetting) 14 I.3 Các thiết bị mạng 16 I.3.1 Card mạng (NIC hay Adapter) 16 I.3.2 Card mạng dùng cáp điện thoại 17 I.3.3 Modem 17 I.3.4 Repeater 17 I.3.5 Hub 18 I.3.6 Bridge (cầu nối) 18 I.3.7 Switch 19 I.3.8 Wireless Access Point 20 I.3.9 Router 20 II Mạng cục - LAN 22 II.1 Kiến thức LAN 22 II.2 Cấu trúc topo mạng 22 II.2.1 Mạng hình 22 II.2.2 Mạng vòng 23 II.3 Hệ thống cáp mạng dùng cho LAN 23 II.3.1 Cáp xoắn 23 II.3.2 Cáp đồng trục 23 II.3.3 Cáp quang (Fiber - Optic Cable) 24 II.3.4 Các thiết bị dùng để nối LAN 24 II.3.5 Bộ chuyển mạch SWITCH 25 II.3.6 Bộ định tuyến ROUTER 25 II.3.7 Luật 5-4-3 thiết kế mạng 25 III Thiết kế, lắp đặt và cấu hình mạng trường học 26 III.1 Mô hình mạng trường học với đặc điểm 26 III.1.1 Quản lý người dùng truy cập 26 III.1.2 Lưu trữ và chia sẻ thông tin 26 (3) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C III.1.3 Kết nối thông suốt 26 III.1.4 Các dịch vụ 26 III.1.5 Kết nối Internet 27 III.1.6 Các tài nguyên mạng 27 III.1.7 Truy cập đa dạng 27 III.1.8 Nhóm làm việc 27 III.1.9 Giá thành cao 27 III.1.10 Sự cố máy chủ 27 III.1.11 An toàn hệ thống mạng 28 III.2 Các bước thiết kế mạng trường học 28 III.2.1 Những quy tắc chung thiết kế 28 III.2.2 Các bước thiết kế 28 III.3 Công cụ EDRAW MAX 28 III.3.1 Giới thiệu phần mềm EDRAW MAX 29 III.4 Lắp đặt mạng trường học 30 III.5 Cấu hình thiết bị mạng trường học 30 III.5.1 Cấu hình sử dụng giao diện đồ hoạ 30 III.5.2 Cấu hình Router sử dụng câu lệnh 40 IV Tường lửa 43 IV.1 Khái niệm tường lửa 43 IV.2 Phân loại tường lửa 43 IV.2.1 Tường lửa phần cứng 43 IV.2.2 Tường lửa phần mềm 45 IV.3 Cài đặt và cấu hình dịch vụ tường lửa 45 IV.3.1 Tường lửa mặc định Windows 45 IV.3.2 Các công cụ tường lửa khác 50 IV.3.2.4 Biểu tượng Trạng thái COMODO Firewall 55 V Bảo mật mạng 56 V.1 Bảo mật mạng là gì 56 V.2 Các mối nguy hiểm thường gặp với hệ thống mạng 56 V.2.1 Điểm yếu hệ thống mạng 56 V.2.2 Nguy hiểm hạ tầng phần cứng 57 V.2.3 Nguy hiểm hệ thống mạng 57 V.2.4 Các hình thức công vào mạng hacker 57 V.2.5 Các bước phát triển chính sách bảo mật cho hệ thống mạng 58 QUẢN TRỊ MẠNG 59 VI Giới thiệu và cài đặt Windows Server 2008 59 VI.1 Tổng quan họ hệ điều hành Windows Server 2008 59 VI.1.1 Lịch sử hệ điều hành Windows Microsoft 59 VI.1.2 Những ưu điểm bật Windows Server 2008 60 VI.2 Cài đặt Windows server 2008 62 VII Active Directory 67 (4) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C VII.1 Mô hình mạng môi trường Microsoft 67 VII.1.1 Mô hình Workgroup 67 VII.1.2 Mô hình Domain 68 VII.2 Chức Active Directory 69 VII.3 Active Directory Federation Service 69 VII.3.1 Tổng quan 69 VII.3.2 Các Role AD FS 71 VII.4 Active Directory Domain Service 72 VII.4.1 Tổng quan 72 VII.4.2 Tính Active Directory Domain Services 72 VII.5 Active Directory Service 73 VII.5.1 Khái niệm 73 VII.5.2 Các thành phần Active Directory Service 73 VII.5.3 Kiến trúc Active Directory Service 75 VII.6 Cài đặt và cấu hình Active Directory Service 78 VII.6.1 Nâng cấp Server lên Domain Controller 78 VII.6.2 Gia nhập máy trạm vào Domain 84 VII.6.3 Xây dựng Domain Controller đồng hành 88 VII.6.4 Xây dựng Subdomain 95 VII.6.5 Xây dựng Organizational Unit 100 VII.6.6 Công cụ quản trị Active Directory Sevice 104 VIII Quản lý tài khoản người dùng và nhóm 105 VIII.1 Tạo User Domain 105 VIII.2 Quản lý user 108 VIII.2.1 Thiết lập thời gian user phép đăng nhập vào domain 108 VIII.2.2 Thiết lập user đăng nhập máy tính 109 VIII.2.3 Bảng chi tiết các tùy chọn liên quan tới user 110 VIII.3 Group 112 IX Local Security Policy (chính sách bảo mật cục bộ) 115 IX.1 Account Policy 116 IX.1.1 Password policy 116 IX.1.2 Account lockout policy 117 IX.2 Local policy 117 IX.2.1 Audit Policies 118 IX.2.2 User rights assignment: 119 IX.2.3 Security options: 119 X Group Policy 120 X.1 Chức Group Policy 120 X.2 Group Policy Management Console 120 X.2.1 Cài đặt GPMC 121 X.2.2 Tương tác với GPO 121 X.2.3 Liên kết GPO vào các đối tượng 122 (5) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C X.2.4 Tạo GPO liên kết 124 X.2.5 Tương tác mở rộng với GPO 126 X.2.6 Starter GPOs 133 X.2.7 Tạo GPO từ Starter GPO 135 XI Dịch vụ DHCP 136 XI.1 Giới thiệu dịch vụ DHCP 136 XI.2 Cài đặt DHCP Server 136 XI.3 Quản lý DHCP Server 138 XI.4 Kiểm tra DHCP Server 140 XII Dịch vụ DNS 141 XII.1 Giới thiệu DNS 141 XII.2 Đặc điểm DNS 143 XII.3 Một số khái niệm 144 XII.3.1 Domain name và Zone 144 XII.3.2 Fully qualified domain name 144 XII.3.3 Sự ủy quyền 145 XII.3.4 Forwarders 145 XII.3.5 Stub zone 145 XII.3.6 Dynamic DNS 146 XII.4 Cơ chế phân giải tên 148 XII.4.1 Cơ chế phân giải tên máy tính thành IP 148 XII.4.2 Cơ chế phân giải IP thành tên máy tính 150 XII.5 Phân loại Domain name Server 150 XII.5.1 Primary Name Server 150 XII.5.2 Secondary Name Server 150 XII.5.3 Caching Name Server 151 XII.6 Resource Record 152 XII.6.1 SOA Record 152 XII.6.2 NS Record 153 XII.6.3 A Record và CNAME Record 153 XII.6.4 AAA Record 154 XII.6.5 ARV Record 154 XII.6.6 MX Record 154 XII.6.7 PTR Record 155 XII.7 Cài đặt dịch vụ DNS 155 XII.8 Cấu hình dịch vụ DNS 156 XII.8.1 Tạo Forward lookup zone 156 XII.8.2 Tạo Reverse lookup zone 159 XII.8.3 Tạo Record CNAME 160 XII.8.4 Tạo MX Record 162 XII.8.5 Tạo miền 165 XII.9 Quản lý dịch vụ DNS 166 (6) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XII.9.1 Theo dõi kiện DNS 166 XII.9.2 Kiểm tra hoạt động dịch vụ DNS 167 XIII Dịch vụ File Server 167 XIII.1 Giới thiệu công cụ File Server Resource Manager 167 XIII.2 Cấu hình Home Directory 168 XIII.3 Cài đặt File server Resource manager 171 XIII.4 Disk Quota 173 XIII.4.1 Chức 173 XIII.4.2 Tạo quota 173 XIII.4.3 Kiểm tra Quota 174 XIV Quản lý máy ấn 175 XIV.1 Print Services Tools 175 XIV.2 Quản lý các máy in mạng 177 XIV.3 Chuyển Network Printer 177 XV WEB SERVER 183 XV.1 Giới thiệu IIS 7.0 183 XV.2 Cài đặt Web Server 184 XV.3 Xuất website 187 XV.3.1 Xuất website 187 XV.3.2 Xuất nhiều website 189 XVI Hyper-V 189 XVI.1 Giới thiệu 189 XVI.2 Cài đặt Hyper-V 190 XVI.3 Tạo và cài đặt máy ảo 192 (7) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C I Kiến thức I.1 Các mô hình tham chiếu OSI và TCP/IP I.1.1 Khái niệm giao thức (protocol) Là quy tắc giao tiếp (tiêu chuẩn giao tiếp) hai hệ thống giúp chúng hiểu và trao đổi liệu với I.1.2 Mô hình tham chiếu OSI Mô hình OSI (Open System Interconnection): là mô hình tổ chức ISO đề xuất từ 1977 và công bố lần đầu vào 1984 Để các máy tính và các thiết bị mạng có thể truyền thông với phải có qui tắc giao tiếp các bên chấp nhận Mô hình OSI là khuôn mẫu giúp chúng ta hiểu liệu xuyên qua mạng nào đồng thời giúp chúng ta hiểu các chức mạng diễn lớp Trong mô hình OSI có bảy lớp, lớp mô tả phần chức độc lập Sự tách lớp mô hình này mang lại lợi ích sau: Chia hoạt động thông tin mạng thành phần nhỏ hơn, đơn giản giúp chúng ta dễ khảo sát và tìm hiểu Chuẩn hóa các thành phần mạng phép phát triển mạng từ nhiều nhà cung cấp sản phẩm Ngăn chặn tình trạng thay đổi lớp làm ảnh hưởng đến các lớp khác, giúp lớp có thể phát triển độc lập và nhanh chóng Mô hình tham chiếu OSI định nghĩa các qui tắc cho các nội dung sau: Cách thức các thiết bị giao tiếp và truyền thông với Các phương pháp để các thiết bị trên mạng nào thì truyền liệu, nào thì không Các phương pháp để đảm bảo truyền đúng liệu và đúng bên nhận Cách thức vận tải, truyền, xếp và kết nối với Cách thức đảm bảo các thiết bị mạng trì tốc độ truyền liệu thích hợp Cách biểu diễn bit thiết bị truyền dẫn Mô hình tham chiếu OSI chia thành bảy lớp với các chức sau: Application Layer (lớp ứng dụng): giao diện ứng dụng và mạng Presentation Layer (lớp trình bày): thoả thuận khuôn dạng trao đổi liệu Session Layer (lớp phiên): cho phép người dùng thiết lập các kết nối Transport Layer (lớp vận chuyển): đảm bảo truyền thông hai hệ thống Network Layer (lớp mạng): định hướng liệu truyền môi trường liên mạng Data link Layer (lớp liên kết liệu): xác định việc truy xuất đến các thiết bị (8) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Physical Layer (lớp vật lý): chuyển đổi liệu thành các bit và truyền Mô hình tham chiếu OSI I.1.3 Mô hình tham chiếu TCP/IP Các phận, văn phòng Chính phủ Hoa Kỳ đã nhận thức quan trọng và tiềm kĩ thuật Internet từ nhiều năm trước, đã cung cấp tài chính cho việc nghiên cứu, để thực có mạng Internet toàn cầu Sự hình thành kĩ thuật Internet là kết nghiên cứu tài trợ Defense/Advanced Research Projects Agency (ARPA/DARPA) Kĩ thuật ARPA bao gồm tập hợp các chuẩn mạng, đặc tả chi tiết cách thức mà các máy tính thông tin liên lạc với nhau, các quy ước cho các mạng interconnecting và định tuyến giao thông Tên chính thức là TCP/IP Internet Protocol Suite và thường gọi là TCP/IP, có thể dùng để thông tin liên lạc qua tập hợp các mạng interconnected Nó có thể dùng để liên kết mạng công ty, không thiết phải nối kết với các mạng khác bên ngoài Các lớp mô hình tham chiếu TCP/IP Lớp Application: quản lý các giao thức, hỗ trợ việc trình bày, mã hóa, và quản lý gọi Lớp Application hỗ trợ nhiều ứng dụng, như: FTP (File Transfer Protocol), HTTP (Hypertext Transfer Protocol), SMTP (Simple Mail Transfer Protocol), DNS (Domain Name System), TFTP (Trivial File Transfer Protocol) Lớp Transport: đảm nhiệm việc vận chuyển từ nguồn đến đích Tầng Transport đảm nhiệm việc truyền liệu thông qua hai giao thức: TCP (Transmission Control Protocol) và UDP (User Datagram Protocol) Lớp Internet: đảm nhiệm việc chọn lựa đường tốt cho các gói tin Nghi thức sử dụng chính tầng này là nghi thức IP (Internet Protocol) Lớp Network Access (hoặc Network Interface): có tính chất tương tự hai lớp Data Link và Physical kiến trúc OSI (9) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Mô hình tham chiếu TCP/IP I.1.4 So sánh mô hình OSI và TCP/IP So sánh mô hình OSI và TCP/IP Các điểm giống nhau: Cả hai có kiến trúc phân lớp Đều có lớp Application, mặc dù các dịch vụ lớp khác Đều có các lớp Transport và Network Sử dụng kĩ thuật chuyển packet (packet-switched) Các điểm khác nhau: Mô hình TCP/IP kết hợp lớp Presentation và lớp Session vào lớp Application (10) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Mô hình TCP/IP kết hợp lớp Data Link và lớp Physical vào lớp Mô hình TCP/IP đơn giản vì có ít lớp Nghi thức TCP/IP chuẩn hóa và sử dụng phổ biến trên toàn giới I.2 Địa IP I.2.1 Giới thiệu địa IP Là địa có cấu trúc, chia làm hai ba phần là: network_id và host_id network_id, subnet_id, host_id Là số có kích thước 32 bit Khi trình bày, người ta chia số 32 bit này thành bốn phần, phần có kích thước bit, gọi là octet byte Ví dụ: 172.16.30.56 Không gian địa IP (gồm 232 địa chỉ) chia thành nhiều lớp (class) để dễ quản lý Đó là các lớp: A, B, C, D và E; đó các lớp A, B và C triển khai để đặt cho các host trên mạng Internet; lớp D dùng cho các nhóm multicast; còn lớp E phục vụ cho mục đích nghiên cứu Địa IP còn gọi là địa logical, địa MAC còn gọi là địa vật lý (hay địa physical) I.2.2 Một số khái niệm và thuật ngữ liên quan Network_id: là giá trị để xác định đường mạng Trong số 32 bit dùng địa IP, có số bit đầu tiên dùng để xác định network_id Giá trị các bit này dùng để xác định đường mạng Host_id: là giá trị để xác định host đường mạng Trong số 32 bit dùng làm địa IP, có số bit cuối cùng dùng để xác định host_id Host_id chính là giá trị các bit này Địa host: là địa IP, có thể dùng để đặt cho các interface các host Hai host nằm thuộc cùng mạng có network_id giống và host_id khác Mạng (network): nhóm nhiều host kết nối trực tiếp với Giữa hai host không bị phân cách thiết bị layer Giữa mạng này với mạng khác phải kết nối với thiết bị layer Địa mạng (network address): là địa IP dùng để đặt cho các mạng Địa này không thể dùng để đặt cho interface Phần host_id địa chỉ chứa các bit Ví dụ 172.29.0.0 là địa mạng Mạng (subnet network): là mạng có địa mạng (thuộc lớp A, B, C) phân chia nhỏ (để tận dụng số địa mạng cấp phát) Địa mạng xác định dựa vào địa IP và mặt nạ mạng (subnet mask) kèm (sẽ đề cập rõ phần sau) (11) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Địa broadcast: là địa IP dùng để đại diện cho tất các host mạng Phần host_id chứa các bit Địa này không thể dùng để đặt cho host Ví dụ 172.29.255.255 là địa broadcast Các phép toán làm việc trên bit: Ví dụ sau minh hoạ phép AND địa 172.29.14.10 và mask 255.255.0.0 172.29.14.10 = 10101100000111010000111000001010 AND 255.255.0.0 = 11111111111111110000000000000000 172.29.0.0 = 10101100000111010000000000000000 Mặt nạ mạng (network mask): là số dài 32 bit, là phương tiện giúp máy xác định địa mạng địa IP (bằng cách AND địa IP với mặt nạ mạng) để phục vụ cho công việc routing Mặt nạ mạng cho biết số bit nằm phần host_id Được xây dựng theo cách: bật các bit tương ứng với phần network_id (chuyển thành bit 1) và tắt các bit tương ứng với phần host_id (chuyển thành bit 0) o Mặt nạ mặc định lớp A: sử dụng cho các địa lớp A không chia mạng con, mặt nạ có giá trị 255.0.0.0 o Mặt nạ mặc định lớp B: sử dụng cho các địa lớp B không chia mạng con, mặt nạ có giá trị 255.255.0.0 o Mặt nạ mặc định lớp C: sử dụng cho các địa lớp C không chia mạng con, mặt nạ có giá trị 255.255.255.0 I.2.3 Giới thiệu các lớp địa I.2.3.1 Lớp A Dành byte cho phần network_id và ba byte cho phần host_id Để nhận diện lớp A, bit đầu tiên byte đầu tiên phải là bit Dưới dạng nhị phân, byte này có dạng 0xxxxxxx Vì vậy, địa IP có byte đầu tiên nằm 10 (12) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C khoảng từ (00000000) đến 127 (01111111) thuộc lớp A Ví dụ địa 50.14.32.8 là địa lớp A (50 < 127) Byte đầu tiên này chính là network_id, trừ bit đầu tiên làm ID nhận dạng lớp A, còn lại bảy bit để đánh thứ tự các mạng, ta 128 (27) mạng lớp A khác Bỏ hai trường hợp đặc biệt là và 127 Kết là lớp A còn 126 (27-2) địa mạng, 1.0.0.0 đến 126.0.0.0 Phần host_id chiếm 24 bit, tức có thể đặt địa cho 16.777.216 (224) host khác mạng Bỏ địa mạng (phần host_id chứa toàn các bit 0) và địa broadcast (phần host_id chứa toàn các bit 1) có tất 16.777.214 (224-2) host khác mạng lớp A Ví dụ, mạng 10.0.0.0 thì giá trị host hợp lệ là 10.0.0.1 đến 10.255.255.254 I.2.3.2 Lớp B Dành hai byte cho phần network_id và host_id Dấu hiệu để nhận dạng địa lớp B là byte đầu tiên luôn bắt đầu hai bit 10 Dưới dạng nhị phân, octet có dạng 10xxxxxx Vì địa nằm khoảng từ 128 (10000000) đến 191 (10111111) thuộc lớp B Ví dụ 172.29.10.1 là địa lớp B (128 < 172 < 191) Phần network_id chiếm 16 bit bỏ bit làm ID cho lớp, còn lại 14 bit cho phép ta đánh thứ tự 16.384 (214) mạng khác (128.0.0.0 đến 191.255.0.0) Phần host_id dài 16 bit hay có 65536 (216) giá trị khác Trừ trường hợp đặc biệt còn lại 65534 host mạng lớp B Ví dụ, mạng 172.29.0.0 thì các địa host hợp lệ là từ 172.29.0.1 đến 172.29.255.254 11 (13) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C I.2.3.3 Lớp C Dành ba byte cho phần network_id và byte cho phần host_id Byte đầu tiên luôn bắt đầu ba bit 110 và dạng nhị phân octet này là 110xxxxx Như địa nằm khoảng từ 192 (11000000) đến 223 (11011111) thuộc lớp C Ví dụ địa lớp C là 203.162.41.235 (192 < 203 < 223) Phần network_id dùng ba byte hay 24 bit, trừ bit làm ID lớp, còn lại 21 bit hay 2.097.152 địa mạng (từ 192.0.0.0 đến 223.255.255.0) Phần host_id dài byte cho 256 (28) giá trị khác Trừ hai trường hợp đặc biệt ta còn 254 host khác mạng lớp C Ví dụ, mạng 203.162.41.0, các địa host hợp lệ là từ 203.162.41.1 đến 203.162.41.254 I.2.3.4 Lớp D và E Các địa có byte đầu tiên nằm khoảng 224 đến 255 là các địa thuộc lớp D E Do các lớp này không phục vụ cho việc đánh địa các host nên không trình bày đây I.2.3.5 Bảng tổng kết Ghi chú: XX là số miền cho phép 12 (14) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C I.2.4 Ví dụ cách triển khai đặt địa IP cho hệ thống mạng 13 (15) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C I.2.5 Chia mạng (subnetting) Giả sử ta phải tiến hành đặt địa IP cho hệ thống có cấu trúc sau Hệ thống mạng có đường mạng Theo hình trên, ta bắt buộc phải dùng đến tất là sáu đường mạng riêng biệt để đặt cho hệ thống mạng mình, mặc dù mạng dùng đến vài địa tổng số 65534 địa hợp lệ, đó là phí phạm to lớn Thay vì vậy, sử dụng kỹ thuật chia mạng con, ta cần sử dụng đường mạng 150.150.0.0 và chia đường mạng này thành sáu mạng theo hình bên dưới: 14 (16) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hệ thống mạng có đường mạng (sau chia Subnet) Rõ ràng tiến hành cấp phát địa cho các hệ thống mạng lớn, người ta phải sử dụng kỹ thuật chia mạng tình hình địa IP ngày càng khan Ví dụ hình trên hoàn toàn chưa phải là chiến lược chia mạng tối ưu Thật người ta còn có thể chia mạng nhỏ nữa, đến mức độ không bỏ phí địa IP nào khác Xét khía cạnh kỹ thuật, chia mạng chính là việc mượn số bit phần host_id ban đầu để đặt cho các mạng Lúc này, cấu trúc địa IP gồm có ba phần: network_id, subnet_id và host_id Số bit dùng cho phần subnet_id bao nhiêu là tuỳ thuộc vào chiến lược chia mạng người quản trị, có thể là số tròn byte (8 bit) số bit lẻ Tuy nhiên subnet_id không thể chiếm trọn số bit có host_id ban đầu, cụ thể là (số bit làm subnet_id) ≤ (số bit làm host_id)-2 Số lượng host mạng xác định số bit phần host_id; x - là số địa hợp lệ có thể đặt cho các host mạng Tương tự, số bit phần subnet_id xác định số lượng mạng Giả sử số bit là y 2y - là số lượng mạng có (trường hợp đặc biệt thì có thể sử dụng 2y mạng con) Một số khái niệm mới: Địa mạng (địa đường mạng): bao gồm phần network_id và subnet_id, phần host_id chứa các bit Theo hình bên trên thì ta có các địa mạng sau: 150.150.1.0, 150.150.2.0, … 15 (17) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Địa broadcast mạng con: Giữ nguyên các bit dùng làm địa mạng con, đồng thời bật tất các bit phần host_id lên Ví dụ địa broadcast mạng 150.150.1.0 là 150.150.1.255 Mặt nạ mạng (subnet mask): giúp máy tính xác định địa mạng địa host Để xây dựng mặt nạ mạng cho hệ thống địa chỉ, ta bật các bit phần network_id và subnet_id lên 1, tắt các bit phần host_id thành Ví dụ mặt nạ mạng dùng cho hệ thống mạng hình trên là 255.255.255.0 Vấn đề đặt là xác định địa IP (ví dụ 172.29.8.230) ta không thể biết host này nằm mạng nào (không thể biết mạng này có chia mạng hay không, và có chia thì dùng bao nhiêu bit để chia) Chính vì ghi nhận địa IP host, ta phải cho biết subnet mask là bao nhiêu (subnet mask có thể là giá trị thập phân, có thể là số bit dùng làm subnet mask) Ví dụ địa IP ghi theo giá trị thập phân subnet mask là 172.29.8.230/255.255.255.0 Hoặc địa IP ghi theo số bit dùng làm subnet mask là 172.29.8.230/24 I.3 Các thiết bị mạng I.3.1 Card mạng (NIC hay Adapter) Card mạng là thiết bị nối kết máy tính và cáp mạng Chúng thường giao tiếp với máy tính qua các khe cắm như: ISA, PCI hay USP… Phần giao tiếp với cáp mạng thông thường theo các chuẩn như: AUI, BNC, UTP… Các chức chính card mạng: Chuẩn bị liệu đưa lên mạng: trước đưa lên mạng, liệu phải chuyển từ dạng byte, bit sang tín hiệu điện để có thể truyền trên cáp Gởi liệu đến máy tính khác Kiểm soát luồng liệu máy tính và hệ thống cáp Card RE100TX và Card FL1000T 10/100/1000Mbps Gigabit 16 (18) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C I.3.2 Card mạng dùng cáp điện thoại Card HP10 10Mbps Phoneline Network Adapter là card mạng đặc biệt vì nó không dùng cáp đồng trục không dùng cáp UTP mà dùng cáp điện thoại Một đặc tính quan trọng card này là truyền số liệu song song với truyền âm trên dây điện thoại Card này dùng đầu kết nối RJ11 và băng thông 10Mbps, chiều dài cáp có thể dài đến gần 300m Card HP10 10Mbps Phoneline I.3.3 Modem Là thiết bị dùng để nối hai máy tính hay hai thiết bị xa thông qua mạng điện thoại Modem thường có hai loại: internal (là loại gắn bên máy tính giao tiếp qua khe cắm ISA PCI), external (là loại thiết bị đặt bên ngoài CPU và giao tiếp với CPU thông qua cổng COM theo chuẩn RS-232) Cả hai loại trên có cổng giao tiếp RJ11 để nối với dây điện thoại Chức Modem là chuyển đổi tín hiệu số (digital) thành tín hiệu tương tự (analog) để truyền liệu trên dây điện thoại Tại đầu nhận, Modem chuyển liệu ngược lại từ dạng tín hiệu tương tự sang tín hiệu số để truyền vào máy tính Thiết bị này giá tương đối thấp mang lại hiệu lớn Nó giúp nối các mạng LAN xa với thành các mạng WAN, giúp người dùng có thể hòa vào mạng nội công ty cách dễ dàng dù người đó nơi nào I.3.4 Repeater Là thiết bị dùng để khuếch đại tín hiệu trên các đoạn cáp dài Khi truyền liệu trên các đoạn cáp dài tín hiệu điện yếu đi, chúng ta muốn mở rộng kích thước mạng thì chúng ta dùng thiết bị này để khuếch đại tín hiệu và truyền tiếp Nhưng chúng ta chú ý thiết bị này hoạt động lớp vật lý mô hình OSI, nó hiểu tín hiệu điện nên không lọc liệu dạng nào, và lần khuếch đại các tín hiệu điện yếu bị sai đó tiếp tục dùng nhiều Repeater để khuếch đại và mở rộng kích thước mạng thì liệu ngày càng sai lệch 17 (19) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Thiết bị Repeater I.3.5 Hub Là thiết bị giống Repeater nhiều port cho phép nhiều máy tính nối tập trung thiết bị này Các chức giống Repeater dùng để khuếch đại tín hiệu điện và truyền đến tất các port còn lại đồng thời không lọc liệu Thông thường Hub hoạt động lớp (lớp vật lý) Toàn Hub (hoặc Repeater) xem là Collision Domain Hub gồm có ba loại: Passive Hub: là thiết bị đấu nối cáp dùng để chuyển tiếp tín hiệu từ đoạn cáp này đến các đoạn cáp khác, không có linh kiện điện tử và nguồn riêng nên không không khuếch đại và xử lý tín hiệu; Active Hub: là thiết bị đấu nối cáp dùng để chuyển tiếp tín hiệu từ đoạn cáp này đến các đoạn cáp khác với chất lượng cao Thiết bị này có linh kiện điện tử và nguồn điện riêng nên hoạt động repeater có nhiều cổng (port); Intelligent Hub: là active hub có thêm các chức vượt trội cho phép quản lý từ các máy tính, chuyển mạch (switching), cho phép tín hiệu điện chuyển đến đúng port cần nhận không chuyển đến các port không liên quan Mô hình mạng sử dụng Hub I.3.6 Bridge (cầu nối) Là thiết bị cho phép nối kết hai nhánh mạng, có chức chuyển có chọn lọc các gói tin đến nhánh mạng chứa máy nhận gói tin Trong Bridge có bảng địa MAC, bảng địa này dùng để định đường gói tin (cách thức truyền 18 (20) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C gói tin nói rõ phần trình bày thiết bị Switch) Bảng địa này có thể khởi tạo tự động phải cấu hình tay Bridge hoạt động lớp hai (lớp Data link) mô hình OSI Mô hình mạng sử dụng Bridge Ưu điểm Bridge là: cho phép mở rộng cùng mạng logic với nhiều kiểu cáp khác Chia mạng thành nhiều phân đoạn khác nhằm giảm lưu lượng trên mạng Khuyết điểm: chậm Repeater vì phải xử lý các gói tin, chưa tìm đường tối ưu trường hợp có nhiều đường Việc xử lý gói tin dựa trên phần mềm I.3.7 Switch Là thiết bị giống bridge nhiều port cho phép ghép nối nhiều đoạn mạng với Switch dựa vào bảng địa MAC để định gói tin nào port nào nhằm tránh tình trạng giảm băng thông số máy trạm mạng tăng lên Switch hoạt động lớp hai mô hình OSI Việc xử lý gói tin dựa trên phần cứng (chip) Mô hình mạng sử dụng Switch 19 (21) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C I.3.8 Wireless Access Point Thiết bị wireless Wireless Access Point là thiết bị kết nối mạng không dây thiết kế theo chuẩn IEEE802.11b, cho phép nối LAN to LAN, dùng chế CSMA/CA để giải tranh chấp, dùng hai kiến trúc kết nối mạng là Infrastructure và AdHoc, mã hóa theo 64/128 Bit Nó còn hỗ trợ tốc độ truyền không dây lên 11Mbps trên băng tần 2,4GHz ISM dùng công nghệ radio DSSS (Direct Sequence Spread Spectrum) Mạng sử dụng Wireless I.3.9 Router Là thiết bị dùng nối kết các mạng logic với nhau, kiểm soát và lọc các gói tin nên hạn chế lưu lượng trên các mạng logic (thông qua chế Access-list) Các Router dùng bảng định tuyến (Routing table) để lưu trữ thông tin mạng dùng trường hợp tìm đường tối ưu cho các gói tin Bảng định tuyến chứa các thông tin đường đi, thông tin ước lượng thời gian, khoảng cách… Bảng này có thể cấu hình tĩnh hay tự động Router hiểu địa logic IP nên thông thường Router hoạt động lớp mạng (network) cao 20 (22) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Mô hình mạng sử dụng Router 21 (23) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C II Mạng cục - LAN II.1 Kiến thức LAN Mạng cục LAN là hệ thống truyền thông tốc độ cao thiết kế để kết nối các máy tính và các thiết bị xử lí liệu khác cùng hoạt động chung với khu vực địa lí nhỏ tầng tòa nhà tòa nhà… Một số mạng LAN có thể kết nói lại với khu làm việc Mạng LAN trở nên thông dụng vì nó cho phéo người sử dụng dùng chung tài nguyên quan máy in màu, ổ CD - ROM, các phần mềm ứng dụng và thông tin cần thiết khác Trước phát triển công nghệ LAN các máy tính là độc lập với nhau, bị hạn chế số lượng các chương trình tiện ích Sau kết nối mạng, rõ ràng hiệu chúng tăng lên gấp bội II.2 Cấu trúc topo mạng Cấu trúc mạng (network topology) LAN là kiến trúc hình học thể cách bố trí các đường cáp, xếp các máy tính để kết nối thành mạng hoàn chỉnh Hầu hết các mạng LAN ngày này thiết kế để hoạt động dựa trên cấu trúc mạng định trước Điển hình và sử dụng nhiều là các cấu trúc dạng hình sao, hình tuyến thẳng, dạng vòng cùng với cấu trúc kết hợp chúng II.2.1 Mạng hình Mạng dạng hình bao gồm kết nối trung tâm và các nút Các nút là các trạm đầu cuối, các máy tính và các thiết bị khác mạng Bộ kết nối trung tâm mạng điều phối hoạt động mạng Mạng dạng hình cho phép nối các máy tính vào tập trung HUB cáp Giải pháp này cho phép nói trực tiếp máy tính với HUB không cần thông qua trục bus, tránh các yếu tố gây ngưng trệ mạng Mô hình này ngày đã trở nên phổ biến Với việc sử dụng các HUB SWitch, cấu trúc hình có thể mở rộng cách tổ chức nhiều mức phân cấp, dễ dàng việc quản lí và vận hành Các ưu điểm: Hoạt động theo nguyên lí nối song song nên có thiết bị nào đó nút thông tin bị hong thì mạng hoạt động bình thường Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định Mạng có thể dễ dàng mở rộng và thu hẹp Các nhược điểm: 22 (24) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Khả mở rộng phụ thuộc vào khả trung tâm Khi trung tâm có cố thì toàn mạng ngừng hoạt động Mạng yêu cầu nối độc lập thiết bị các nút thông tin đến trung tâm Khoảng cách từ máy tới trung tâm hạn chế (100m) II.2.2 Mạng vòng Mạng dạng này bố trí các nút mạng theo dạng xoay vòng Đường dây cáp thiết kế làm thành đường khép kín Tín hiệu chạy quanh theo chiều Các nút truyền tín hiệu cho nhau, thời điểm nút Dữ liệu truyền phải kèm theo địa cụ thể trạm tiếp nhận Ưu điểm: Mạng dạng vòng có thuận lợi là có thể nới rộng xa Tổng đường dây cần thiết ít hẳn so với kiểu khác Mỗi trạm có thể đạt tốc độ tối đa truy nhập Nhược điểm:Đường dây phải khép kín, bị ngắt nơi nào đó thì toàn hệ thống bị ngừng II.3 Hệ thống cáp mạng dùng cho LAN II.3.1 Cáp xoắn Đây là loại cáp gồm dây dẫn xoắn lại với Hiện có loại là STP (shield twisted pair) - cáp có bọc kim loại và UTP (Unshield twisted pair) - cáp không có vỏ bọc kim loại Một số loại cáp UTP thường dùng II.3.2 Cáp đồng trục Cáp đồng trục có đường dây dẫn vì chúng có trục chung nên gọi là cáp đồng trục gồm dây dẫn trung tâm và đường dây còn lại tạo thành đường ống bao quanh 23 (25) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C có chức chống nhiễu Giữa dây dẫn có lớp nhựa cách li và lớp nhựa bao bên ngoài cùng để bảo vệ Tín hiệu truyền cáp đồng trục ít bị suy yếu so với cáp xoắn Hiện có loại là Cáp mỏng và cáp dầy Hai loại có cùng tốc độ cáp mỏng có độ suy yếu tín hiệu lớn Cáp này thường dùng mạng BUS truyền hình cáp II.3.3 Cáp quang (Fiber - Optic Cable) Cáp quang là sợi nhiều sợi thủy tinh có thể truyền dẫn tín hiệu quang bọc lớp vỏ bọc có tác dụng phản xạ tín hiệu trở lại để giảm mát tín hiệu Bên ngoài cùng là vỏ plastic bảo vệ Sợi thủy tinh nhỏ cỡ 8.3 -100 micron và dễ gãy nên chi phí cho lắp đặt nối tốn kém đòi hỏi thiết bị chuyên dụng Bù lại dải thông cáp quang có thể lên tới Gbps, truyền xa, ít bị suy yếu, bảo mật tốt II.3.4 Các thiết bị dùng để nối LAN II.3.4.1 Bộ lặp tín hiệu REPEATER Repeater là loại thiết bị phần cứng đơn giản các thiết bị liên kết mạng Khi nó nhận tín hiệu từ phía mạng thì nó phát tiếp vào phía mạng Mô hình liên kết mạng dùng Repeater Repeater không có xử lí tín hiệu mà loại bỏ tín hiệu méo, nhiễu, khuếch đại tín hiệu đã suy yếu và khôi phục lại tín hiệu ban đầu Nhờ repeater mà mạng có thể mở rộng II.3.4.2 Bộ tập trung HUB Hub là phận quan trọng LAN Đây là điểm kết nối dây trung tâm mạng Tất máy trạm trên LAN kết nối thông qua Hub Hub thường dùng để nối mạng, thông qua đầu cắm nó người ta liên kết với các máy tính dạng hình Một hub thông thường có nhiều cổng nối để người sử dụng gắn máy tính và các thiết bị ngoại vi Mỗi cổng hỗ trợ kết nối dùng cặp dây xoắn 10BASET từ trạm mạng Khi tín hiệu truyền tới Hub nó lặp lại trên khắp các cổng khác Hub 24 (26) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nếu phân loại theo phần cứng thì có loại hub Hub đơn Hub moodun (modular hub) phổ biến cho các hệ thống mạng vì nó có thể dễ dàng mở rộng và luôn có chức quản lí Hub phân tầng (stackable hub) Nếu phân loại theo khả thì có loại: Hub bị động ( passive hub): Hub bị động không chứa linh kiện điện tử và không xử lí các tín hiệu liệu, nó có chức là tổ hợp các tín hiệu từ số đoạn cáp Hub chủ động (active hub): Hub chủ động có các linh kiện điện tử có thể khuếch đại và xử lí tín hiệu giống repeater II.3.5 Bộ chuyển mạch SWITCH Switch là thiết bị dạng cầu nối cho phép kết nối các máy tính giống hub đồng thời còn dùng để nối các mạng với Nó có tích hợp mạch để giảm độ trễ việc truyền liệu Do đó, switch ngày sử dụng nhiều vì giá thành rẻ và tốt hub việc lắp đặt và mở rộng mạng LAN II.3.6 Bộ định tuyến ROUTER Router là thiết bị hoạt động trên tầng mạng Nó có thể tìm đường tốt cho các gói tin qua nhiều kết nối để từ trạm gửi tới trạm nhận mạng cuối Router dùng để nối nhiều mạng với Router có thể xác định đường an toàn và tốt mạng nên độ an toàn thông tin đảm bảo Router có thể cài đặt các phương thức nhằm tránh tắc nghẽn II.3.7 Luật 5-4-3 thiết kế mạng Khi thiết kế mạng LAN có bán kính rộng với số lượng máy tính lớn vượt quá hạn chế trên cáp mạng, lúc đó chúng ta phải áp dụng luật 5-4-3 Để áp dụng luật này thì cần hiểu vài khái niệm sau: Miền xung đột (miền băng thông): Đây là vùng mạng mà đó các trạm phát tín hiệu cùng lúc gây xung đột và làm giảm tốc độ truyền Các trạm miền này phải chia sẻ băng thông (bandwidth domain) Miền quảng bá: Là tập hợp thiết bị mà đó thiết bị phát tin quảng bá (broadcast) thì tất các thiết bị còn lại nhận 25 (27) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Phân đoạn (segment) : là sử dụng các thiết bị Brigde, router switch để phân mạng thành các vùng xung đột và vùng quảng bá nhằm phân chia băng thông cách hợp lí với nhu cầu Vậy thiết kế mạng LAN với hệ thống các switch phân cấp dùng với mục đích mở rộng mạng thì nên áp dụng luật 5-4-3 để thi công Luật 5-4-3 áp dụng cho chuẩn 10BASE - dùng repeater sau: Không quá segment Không quá repeater trạm bất kì mạng Không quá đoạn mạng có trạm làm việc Mặc dù ngày các mạng LAN dùng switch luật này nên tham khảo thiết kế mạng III Thiết kế, lắp đặt và cấu hình mạng trường học III.1 Mô hình mạng trường học với đặc điểm III.1.1 Quản lý người dùng truy cập Các hệ thống mạng ngày có nhiều máy chủ cho phép quản lý các tài nguyên mạng và người dùng cùng với quyền hạn kèm định Thông tin người dùng mạng trường học có thể đơn giản là ―Username‖ và ―Passwords‖ hay phức tạp điểm số, tài liệu, giáo trình giảng dạy, v.v với yêu cầu bảo mật thông tin ngày càng tăng, việc đảm bảo tính riêng tư thông tin đặt lên hàng đầu III.1.2 Lưu trữ và chia sẻ thông tin Các máy tính cho phép chúng ta tạo vô số thông tin và liệu Một mạng máy tính cung cấp các chế lưu trữ và chia thông tin thích hợp đến toàn người dùng mạng III.1.3 Kết nối thông suốt Người quản lý, giảng viên, toàn sinh viên và người khách khác có thể kết nối vào mạng trường và chia thông tin cách kịp thời và hiệu III.1.4 Các dịch vụ Trường học có thể cung cấp các dịch vụ như: đăng ký học và thi; lưu trữ hồ sơ sổ sách; lịch trình năm học; thư điện tử nội bộ…Lưu ý: để tiến hành cung cấp dịch vụ thì trường học cần phải có các máy chủ - server chuyên dụng 26 (28) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C III.1.5 Kết nối Internet Mạng trường học cho phép người quản lý có thể đưa kết nối Internet đến người dùng mạng thông qua cổng giao tiếp Internet – Interner Gateway III.1.6 Các tài nguyên mạng Mạng trường học có thể cung cấp các kết nối tới thiết bị khác mạng mà cá nhân không trực tiếp sở hữu Ví dụ: Một trường học có thể cung cấp kết nối tốc độ cao đến máy in chung dành cho giảng viên và sinh viên để phục vụ mục đích giảng dạy và học tập III.1.7 Truy cập đa dạng Các sinh viên có thể truy cập vào mạng trường hợp khắp nơi khuôn viên trường học và điều đó có ích việc học tập Sinh viên có thể làm phần bài tập lớp học Trong khoảng thời gian ăn, nghỉ họ có thể truy cập và làm tiếp phần bài mình qua mạng nội và cuối giờ, họ có thể hoàn thành bài tập khu giáo dục thể chất trường Ngoài hợp tác làm việc nhóm sinh viên cải thiện nhiều qua hội thảo nhóm diễn qua mạng III.1.8 Nhóm làm việc Những phần mềm viết dạng cộng tác - Collaborative software cho phép nhiều người dùng làm việc cùng lúc trên tài liệu, dự án lớn Ví dụ các Sở giáo dục đặt các trường khác trên địa bàn thành phố phần mềm phản ánh chất lượng giáo dục, đồng thời tạo điều kiện cho các giáo viên có thể đóng góp sáng kiến giảng dạy cách nhanh chóng và thuận tiện III.1.9 Giá thành cao Để triển khai hệ thống mạng hoàn chỉnh cho trường học yêu cầu khá tốn kém mặt chi phí Các thiết bị dây cáp; router; switch; card mạng; tường lửa; access point wifi và phần mềm khác yêu cầu chi phí cao cho việc mua sắm, cài đặt và bảo trì III.1.10 Yêu cầu quản trị Việc quản trị mạng trường học đòi hỏi mặt chuyên môn và thời gian Một mạng trường học đầu tư công phu không chú trọng vấn đề quản trị là lãng phí lớn III.1.10 Sự cố máy chủ Việc máy chủ gặp cố vận hành là điều hoàn toàn có thể xảy Khi đó toàn dịch vụ mà máy chủ cung cấp cho hệ thống mạng bị ngắt và kéo theo 27 (29) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C gián đoạn công việc Vì người quản trị phải luôn có phương án lưu, dự phòng để đảm bảo hệ thống mạng luôn hoạt động thông suốt III.1.11 An toàn hệ thống mạng Bảo đảm an toàn cho hệ thống mạng là vô cùng quan trọng Mạng trường học, vài khía cạnh còn có yêu cầu bảo mật cao so với công ty cỡ nhỏ mạng lưu trữ thông tin cá nhân hàng nghìn người Tuy nhiên phần lớn công tác bảo mật mạng nói chung và mạng trường học nói riêng chưa quan tâm đúng mức, dẫn đến hậu đáng tiếc thất thoát liệu III.2 Các bước thiết kế mạng trường học III.2.1 Những quy tắc chung thiết kế Đảm bảo hệ thống sau triển khai phải chạy 100% Tính ổn định hệ thống Tính dự phòng hệ thống Khả mở rộng hệ thống III.2.2 Các bước thiết kế Bước 1: Khảo sát để xác định tham số Bước 2: Thiết kế sơ đồ mạng dựa trên thông tin thu qua việc khảo sát kết hợp với quy tắc chung thiết kế và yêu cầu quan, tổ chức Sơ đồ logic Sơ đồ vật lý chi tiết Bước 3: Thống kê và lên danh sách thiết bị cần mua Bước 4: Lắp đặt hệ thống mạng theo sơ đồ đã thiết kế III.3 Công cụ EDRAW MAX Edraw Max là phần mềm hãng Edrawsoft cho phép đối tượng (sinh viên, giáo viên, nhà kinh doanh, kỹ sư IT chuyên thiết kế hệ thống mạng, nhà thiết kế thời trang, ) có thể sử dụng phần mềm này để thiết kế sơ đồ theo ý muốn mình, mà đạt độ thẩm mỹ cao Với Edraw Max, chúng ta có thể tạo biểu đồ tiến trình, sơ đồ tổ chức, sơ đồ mạng, slide thuyết trình kinh doanh, kế hoạch kinh doanh, sơ đồ tư duy, thiết kế thời trang, sơ đồ UML, cấu trúc chương trình, sơ đồ thiết kế web, sơ đồ kỹ thuật điện, sơ đồ CSDL, 28 (30) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C III.3.1 Giới thiệu phần mềm EDRAW MAX Giao diện phần mềm Edraw Max Phần mềm cung cấp nhiều tuỳ chọn thiết kế Để tiến hành thiết kế mạng, ta chọn Network Chọn mô hình mạng mà chúng ta muốn thiết kế chọn Create Giao diện làm việc Edraw Max 29 (31) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Để tiến hành thiết kế, chọn các biểu tượng có sẵn Libraries, kéo và thả chúng vào nơi bạn muốn Chú ý: Để đặt tên cho các biểu tượng, click đúp vào biểu tượng đó Tuỳ theo chủng loại sơ đồ thiết kế mà chúng ta thêm thư viện khác III.4 Lắp đặt mạng trường học Chú ý: Lựa chọn thiết bị: Các thiết bị nên cùng hãng SX để đảm bảo tương tích và vận hành tốt Yêu cầu số Switching Capacity gấp lần lưu lượng băng thông lúc cao toàn hệ thống thời điểm Phòng kỹ thuật – nơi đặt các thiết bị mạng: phải gần trục kỹ thuật, thuận lợi cho việc dây khắp toà nhà Phòng đặt server: phải đảm bảo an toàn (cứng, mềm), tuân thủ yêu cầu nhiệt độ, độ ẩm, khói bụi… Một vài thiết bị trung tâm có thể x2 số lượng: Router, SW L3, FTTH Kéo thêm 50- 100% các node mạng để dành cho việc dự phòng Các dây mạng Downlink: Sử dụng loại dây 100Mbps Các dây mạng Uplink: Sử dụng loại dây Gbps III.5 Cấu hình thiết bị mạng trường học III.5.1 Cấu hình sử dụng giao diện đồ hoạ III.5.1.1 Cấu hình modem/access point Mục tiêu đề 30 (32) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tạo lập mạng LAN không dây chia sẻ tài nguyên Internet Quản lí người truy cập Internet qua wifi Có hai lựa chọn cài đặt hệ thống mạng không dây: a Lựa chọn Sử dụng modem và router không dây Khi đó modem để chế độ Brigde (cầu) và router là chế độ PPPoE Access Point Theo mô hình sau: b Lựa chọn Sử dụng luôn router làm modem kết nối với internet Khi đó ta không cần modem lựa chọn B1: Cấu hình cho router kết nối với internet B2: Cầu hình cho router làm Access Point B3: Cấu hình bảo mật Tùy theo nhu cầu sử dụng và điều kiện thiết bị thì có thể dùng lựa chọn (Lưu ý là phải tùy theo thiết bị vì có thiết bị wifi có chức làm Access Point mà không thể quay số kết nối trực tiếp với Internet) Sau đây tài liệu này đề cập tới chi tiết cho lựa chọn Vì đa số các thiết bị wifi bày bán trên thị trường có thể đáp ứng Cụ thể tài liệu dùng router Linksys để minh họa Ban đầu, các thông số mặc định router có in mặt đáy thiết bị Nếu không đúng với thông số IP và Username/Password thì học viên có thể dùng chức reset để đưa các thông số router đúng với thông số mặc định Chức reset dùng sau: Quan sát mặt sau router có lỗ nhỏ hình tròn nằm bên cạnh các cổng power hay cổng RJ45 Dùng que tăm ấn vào lỗ nhỏ này 31 (33) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Khi cảm thấy nút bên lỗ bị ấn xuống theo lực tay thì giữ các đèn router bị tắt đồng thời và bật lại Lúc này các thông số router đã đúng với mặc định ghi đáy thiết bị Công việc là cấu hình cho router Thông thường các thông số mặc định sau: o Địa IP: 192.168.1.1 o Subnet mask: 255.255.255.0 o Username/ Password: admin / admin Bước 1: Cấu hình router cho kết nối internet Đổi địa máy tính cấu hình cùng lớp mạng với địa mặc định ROUTER (ví dụ 192.168.1.7 ) Mở trình duyệt Internet gõ địa http://192.168.1.1 điền Username/ password mặc định sau đó nhấn Ok Màn hình giao diện sau Trong mục Chọn Internet connection type bạn chọn PPPoE Màn hình giao diện thay đổi để người dùng có thể đặt thông số kết nối Internet gồm o o Username/Password : Được cung cấp nhà dịch vụ mạng Virtual path VPI/VCI: Tùy theo nhà dịch vụ mà có thể từ 0-35 (VNPT) từ 8-35 (Viettel)… Thông số phần network setup để mặc định với số IP và Subnet Mask Lựa chọn vào mục DHCP Server là Enable để router có thể cấp phát IP cho các máy trạm o Starting IP Address (Số IP bắt đầu): 192.168.1.2 o Maximum Number of DHCP User (số máy trạm tối đa): có thể tối đa tới 253 32 (34) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Bấm vào Save Setting Rồi sang bước Bước 2: Cấu hình hoạt động chế độ Access Point Bạn chuyển sang Tab Wireless giao diện cấu hình Màn hình giao diện sau: Bạn đặt tên cho mạng không dây bạn mục Wireless Network Name (SSID) 33 (35) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Các phần còn lại để mặc định Ấn Save Settings để lưu lại cấu hình bạn vừa chỉnh sửa Bước 3: Cấu hình tính bảo mật WPA2-AES Trong phần cấu hình Wireless bạn chọn tab Wireless security, màn hình giao diện hình dưới: Bạn có thể chọn kiểu mã hóa để đảm bảo tính bảo mật cho hệ thống mạng không dây bạn (Ví dụ hình chúng tôi chọn mã hóa WPA2-AES, sử dụng key thứ với password là 1234567890) Ấn Save Settings để lưu lại cấu hình bạn vừa chỉnh sửa Trường hợp bạn muốn loại bỏ máy tính lạ truy cập vào mạng không dây bạn thiết lập thì có thể sử dụng chức Filter Trong ví dụ minh họa router Linksys thì có chức Wireless Mac Filter Chức này cho phép từ chối truy cập và cấp phát IP cho máy tính lạ thông qua nhận diện địa vật lí MAC 34 (36) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Mỗi thiết bị có địa vật lí Nó hiển thị danh sách người sử dụng kết nối với router Do đó việc loại bỏ này là tương đối hiệu Tránh để các máy tính bên ngoài kết nối với router bạn để truy cập internet và làm chậm toàn hệ thống Để loại trừ thì bước đầu tiên phải vào mục Sercurity để bật chức Firewall (chọn vào Enable tương ứng) Sau đó vào mục Wireless Mac Filter để add địa vật lí mà bạn quan sát qua danh sách các máy tính kết nối Trong router các hãng khác có chức tương tự II.5.1.2 Cấu hình IP cho PC Dành cho Windows XP : Bước : Click Start >Control Panel Bước : Nhấp đúp vào biểu tượng Local Area Connection 35 (37) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Bước : Click Internet Protocol (TCP/IP) >Properties Bước : Tới đây chúng ta có cách để cấu hình TCP/IP Để IP động Chọn Obtain an IP address automatically và Obtain DNS Server address automatically hình dưới, sau đó bấm OK để lưu lại Đặt IP tĩnh a) Chọn Use the following IP IP address hình dưới, địa IP LAN router là 192.168.1.1, nhập địa IP 192.168.1.x(x là số từ đến 254), subnet mask là 255.255.255.0 và defaul gateway là 192.168.1.1 b) Chọn Use the following DNS server addresses hình và nhập địa IP DNS Server sau đó click OK để lưu lại 36 (38) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Dành cho Windows Vista/Windows Bước : Nhấn phím cửa sổ và phím R trên bàn phím Bước : Nhập ncpa.cpl >OK 37 (39) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Bước : Chọn kết nối, nhấp phải và nhọn Properties Bước : Chọn Internet Protocol Version 4(IPv4) >Properties Bước : Tới đây chúng ta có cách để cấu hình TCP/IP là để địa IP động đặt địa IP tĩnh Để IP động Chọn Obtain an IP address automatically và Obtain DNS Server address automatically hình dưới, sau đó bấm OK để lưu lại 38 (40) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Đặt địa IP tĩnh Chọn Use the following IP address sau đó nhập địa IP, subnet mask, và default gateway Chọn Use the following DNS server addresses và nhập địa IP DNS Server 39 (41) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Bước : Click OK để lưu lại các thiết lập III.5.2 Cấu hình Router sử dụng câu lệnh Cấu hình thiết bị sử dụng dòng lệnh thường gặp cấu hình các Router sử dụng hệ điều hành riêng các hãng tiếng Cisco, Juniper… III.5.2.1 Các chế độ cấu hình Router Router> Chế độ User Router# Chế độ Privileged (cũng gọi là chế độ EXEC) Router(config)# Chế độ Global Configuration Router(config-if)# Chế độ Interface Configuration Router(config-subif)# Chế độ Subinterface Configuration Router(config-line)# Chế độ cấu hình Line Router(config-router)# Chế độ Router Configuration III.5.2.2 Chế độ Global Configuration Router> Router# Giới hạn các câu lệnh mà người dùng có thể thực thi Đối với chế độ cấu hình này người dùng có khả hiển thị các thông số cấu hình trên router Không thể cấu hình để thay đổi các thông số cấu hình và hoạt động router Bạn có thể nhìn thấy file cấu hình và thay đổi các tham số 40 (42) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Router# configure terminal Router(config)# cấu hình trên file cấu hình đó Chuyển người dùng vào chế độ Global Configuration Với chế độ này bạn có thể bắt đầu cấu hình thay đổi cho router III.5.2.3 Cấu hình các tham số cho router III.5.2.3.1 Cấu hình Router Name - Câu lệnh này thực thi trên các thiết bị router và switch cisco Router(config)# hostname Cisco Cisco(config)# Cấu hình tên cho router mà bạn muốn chọn III.5.2.3.2 Cấu hình Passwords - Những câu lệnh sau phép thực thi trên các thiết bị Router và Switch Cisco Router(config)# enable passwork cisco Cấu hình enable password Cấu hình password mã hóa chế độ Router(config)# enable secret class enable Router(config)# line console Vào chế độ line console Router(config-line)# password console Cấu hình password cho line console Cho phép kiểm tra password login vào Router(config-line)# login router port console Router(config)# line vty Vào chế độ line vty phép telnet Router(config-line)# password telnet Cấu hình password phép telnet Cho phép kiểm tra password người Router(config-line)# login dùng telnet vào router III.5.2.2 Phần mềm Packet Tracer Chương trình Packet Tracer Cisco xây dựng, hỗ trợ cho việc học tập cấu hình các thiết bị mạng hãng Chương trình hỗ trợ việc giả lập các thiết bị: Router để kết nối các đường mạng với nhau, Switch là thiết bị tập trung kết nối các máy tính, các loại cáp , thiết bị PC và các servers Nội dung nghiên cứu: - Cách thiết lập mô hình, thiết bị - Các mode hoạt động Router - Đặt tên cho thiết bị - Cách đặt địa IP - Câu lệnh ping - Xem cấu hình - Đặt password cho router 41 (43) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C III.5.2.2.1 Giao diện phần mềm Giao diện phần mềm Packet Tracer Tại giao diện phần mềm, người dùng thực thao tác kéo và thả các thiết bị mình muốn sử dụng vào vùng màu trắng để tạo thành các topo mạng Sau hoàn tất xây dựng topo mạng, chúng ta có thể cấu hình cho các thiết bị ảo này gần giống trên thiết bị thật (bị hạn chế số câu lệnh) 42 (44) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C IV Tường lửa IV.1 Khái niệm tường lửa Thuật ngữ tường lửa – Firewall có nguồn gốc từ kỹ thuật thiết kế xây dựng để ngăn chặn, hạn chế hoả hoạn.Trong ngành mạng máy tính, tường lửa là rào chắn mà số cá nhân, tổ chức, doanh nghiệp, quan nhà nước lập nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm mạng nội Thông thường Firewall đợc đặt mạng bên (Intranet) công ty, tổ chức, doanh nghiệp, quan nhà nước và Internet IV.2 Phân loại tường lửa IV.2.1 Tường lửa phần cứng IV.2.1.1 Tổng quan tường lửa phần cứng Tường lửa phần cứng chủ yếu là nhìn thấy các mạng kết nối băng thông rộng, sử dụng Packet Filtering Trước gói tin Internet đến máy tính bạn, Firewall Phần cứng giám sát các gói tin và kiểm tra xem nó đến từ đâu Nó kiểm tra địa IP tiêu đề có thể tin cậy Sau kiểm tra này, gói tin đến máy tính bạn Nó ngăn chặn liên kết nào có hành vi nguy hiểm dựa trên các thiết lập Firewall thiết bị Firewall phần cứng thường không cần phải có 43 (45) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C nhiều cấu hình Hầu hết các quy tắc xây dựng và xác định trước và dựa trên quy tắc lọc gói tin Ngày công nghệ đã cải thiện nhiều nó không hoạt động theo chế đơn là lọc gói liệu truyền thốn Firewall phần cứng đã tích hợp thêm chế IPS / IDS ( Phòng chống xâm nhập hệ thống) và cung cấp chế bảo mật tốt Phần cứng Firewall phù hợp với các quan, doanh nghiệp có nhiều máy tính chi phí bỏ vừa phải hiệu và an toàn cho hệ thống mạng nâng cao lớn Những người dùng không có kiến thức mạng có thể vô tình mang tới nguy hiểm cho hệ thống và tường lửa là giải pháp hữu ích trường hợp IV.2.1.2 Lựa chọn tường lửa phần cứng Khi bạn chọn tường lửa phần cứng, hãy xem xét đến 10 yếu tố sau để bảo đảm quan bạn có đầu tư tối đa dành cho bảo mật và suất Tính bảo mật Tuỳ vào nhu cầu quan mà lựa chọn thiết bị có nhiều hay ít tính Để bảo đảm chọn tảng tin cậy và tốt Barracuda, Cisco, SonicWALL và WatchGuard là nhãn hiệu bảo mật đáng tin cậy, đã cấp chứng ICSA Hỗ trợ VPN Mục đích tường lửa không là ngăn chặn hacker và lưu lượng không thẩm định Một tường lửa hữu hiệu có thể thiết lập và kiểm tra các kênh bảo mật, cho phép kết nối từ xa Chính vì bạn nên chọn tường lửa có hỗ trợ VPN Cấu hình và dung lượng Hãy bảo đảm tường lửa có thể quản lý lượng băng thông quan bạn Nó cần phải có số cổng Ethernet thích hợp và tốc độ thích hợp (10Mbps/100Mbps hay 1000Mbps) CPU và RAM tường lửa cần đủ mạnh để đủ xử lý lượng lớn các thông tin bảo mật Cần phải chú ý đến các khuyến cáo nhà sản xuất hỗ trợ số node mạng tối đa Nếu vượt quá số lượng cho phép, tường lửa báo lỗi 44 (46) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Dịch vụ hỗ trợ kỹ thuật Sử dụng tường lửa có chính sách hỗ trợ kỹ thuật tốt, thiết bị có thể hỏng hóc lúc nào Với dịch vụ hỗ trợ 24/7, việc chuẩn đoán và xử lý lỗi diễn nhanh chóng và hệ thống mạng chúng ta luôn an toàn IV.2.2 Tường lửa phần mềm Hoạt động trên nguyên tắc gần giống tường lửa phần cứng, các phần mềm tường lửa cùng cung cấp chế bảo mật cho hệ thống mạng dựa trên việc cản lọc các gói tin độc hại từ Internet Các quy tắc cản lọc này nhà sản xuất cài đặt sẵn phần mềm và liên tục cập nhật để luôn mang đến cho người dùng an toàn cao IV.3 Cài đặt và cấu hình dịch vụ tường lửa IV.3.1 Tường lửa mặc định Windows Trước tiên, bạn phải đăng nhập máy tính với quyền administrative Start > Control Panel > System and Security Tiếp theo, bạn thấy đường link ―Windows Firewall‖, kích vào đường link này để cấu hình firewall 45 (47) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Có nhiều lựa chọn bên trái bảng: Change notification settings Turn Windows Firewall on or off Restore defaults Advanced settings Bên phải bảng, bạn có thể thấy đường link cài đặt firewall: Home or Work (Private) networks Public networks 46 (48) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Bên trái bảng, chọn Change notification settings để điều chỉnh cài đặt firewall Windows firewall để mặc định cho private và public network Bạn có thể tắt chế độ mặc định firewall đây Để cài đặt default recommended, bạn có thể kích vào Use recommended settings Restore default 47 (49) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Chọn Restore default và kích Yes có thông báo xác nhận Tuy nhiên, là chuyên gia, bạn có thể sử dụng Advance Setting để cấu hình firewall luồng thông tin inbound và outbound tùy thuộc vào nhu cầu mình Kích vào Inbound Rules bên trái bảng Bạn thấy danh sách Inbound Rules hiển thị Tiếp tục kích vào enabled rule, loạt các tác dụng hiển thị Action Pane Nếu kích vào Disable Rule, để loại bỏ các quyền vừa chọn Bạn có thể cắt, chép xóa các quyền này 48 (50) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Làm tương tự Outbound Rule các luồng thuông tin 49 (51) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C IV.3.2 Các công cụ tường lửa khác Trong khuôn khổ giáo trình, chúng tôi xin giới thiệu phần mềm tường lửa chuyên biệt các chuyên gia và ngoài nước đánh giá cao ổn định và khả hoạt động hiệu Đó là COMODO Firewall IV.3.2.1 Hướng dẫn Cho phép và Khoá các Truy cập Sử dụng COMODO Firewall Tường lửa thiết kế để bảo vệ máy tính chống lại tin tặc và các phần mềm độc hại Cả hai đối tượng này tìm cách truy cập trực tiếp máy tính bạn gửi thông tin từ máy tính bạn cho kẻ nào đó Comodo Firewall cần phải thiết đặt để ‗nhận biết‘ chương trình nào 'đáng tin cậy' và cho phép truy cập, và khóa tất phần mềm và tiến trình bất hợp lệ trên máy tính bạn Có thể cần chút kinh nghiệm sau thời gian sử dụng để phân biệt các yêu cầu hợp lệ với yêu cầu kết nối nguy hiểm Mỗi có yêu cầu kết nối, màn hình Cảnh bảo An ninh xuất cho phép bạn chọn Cho phép (Allow) Khóa (Block) truy cập vào từ máy tính bạn tới Internet Ví dụ đây với chương trình an toàn Firefox giúp bạn làm quen với các cảnh báo tường lửa và cách sử dụng chúng Mặc dù đôi có các ngoại lệ các yêu cầu truy cập xuất phát từ các trình duyệt và trình quản lý thư điện tử sử dụng rộng rãi, lần có yêu cầu kết nối kích hoạt Cảnh báo An ninhnhư đây: 50 (52) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Một ví dụ Cảnh báo An ninh COMODO Firewall Một tường lửa đơn giản là tập hợp các quy tắc giám sát luồng thông tin vào và khỏi máy tính Mỗi bạn nhấn chọn Cho phép (Allow) hay Ngăn cấm (Block) tiến trình, COMODO Firewall tạo quy tắc cho tiến trình hay chương trình yêu cầu kết nối COMODO Firewall thực tác vụ này tiến trình, chương trình mới, không nhận diện chương trình đã liệt vào danh sách Các Hãng Phần mềm Đáng tin cậy (Trusted Software Vendors) nằm cửa sổ Defense+ - Tasks > Computer Security Policy Remember my answer (Ghi nhớ Lệnh thực hiện): Lựa chọn này sử dụng để ghi lại lựa chọn bạn là cho phép hay ngăn cấm chương trình nào đó truy cập COMODO Firewall Chương trình tự động cho phép ngăn cấm các kết nối ứng dụng này các lần yêu cầu sau đó dựa trên lựa chọn bạn Quan trọng: khuyến nghị việc tắt chọn lựa Remember my answer option sử dụng COMODO Firewall Bật chọn lựa Remember my answer và bạn hoàn toàn chắn và hiểu rõ định mình Gợi ý: Việc giới hạn truy cập hệ thống bạn là phương pháp tốt đảm bảo an toàn cho máy tính Đừng ngần ngại ngăn cấm các yêu cầu kết nối đáng ngờ hay không xác định Nếu việc này khiến chương trình bình thường hoạt động không ổn định, bạn có thể cho phép kết nối thực vào lần sau Bước Nhấn để mở cửa sổ Properties để tìm hiểu thêm tiến trình gốc chương trình yêu cầu truy cập, ví dụ này là Firefox: 51 (53) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Thông tin tiến trình firefox.exe Properties Bước 2: Nhấn để đóng cửa sổ thông tin chương trình Bước 3: Nếu bạn xác định yêu cầu nào đó là không an toàn đơn giản là không chắn yêu cầu đó, dựa vào thông tin hiển thị cửa sổ thông tin (Properties), nhấn để yêu cầu COMODO Firewall để từ chối truy cập vào hệ thống bạn HOẶC: Nếu bạn xác định chương trình hợp lệ yêu cầu tạo kết nối không có hại dựa trên thông tin bảng thông tin chương trình (Properties), hãy nhấn phép chương trình đó truy cập hệ thống Bước Nhấn phép Firefox truy cập hệ thống qua COMODO Firewall Bước Vì Firefox là ứng dụng an toàn, hãy chọn the để COMODO Firewall tự động cho phép Firefox truy cập hệ thống bạn các lần Lưu ý: Nút Allow (Cho phép) cho phép bạn cấp quyền truy cập cho các tiến trình hay ứng dụng trường hợp cụ thể 52 (54) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Gợi ý: Nhấn để truy cập thông tin trợ giúp mở rộng trực tuyến COMODO Firewall Khả đưa định cho phép hay ngăn cấm kết nối bạn nâng cao bạn tự tin và có nhiều kinh nghiệm quá trình sử dụng COMODO Firewall IV.3.2.2 Hướng dẫn Mở Giao diện Chính Chương trình COMODO Firewall COMODO Firewall tự động khởi động sau quá trình cài đặt hoàn tất và khởi động lại hệ thống Chương trình gồm khung điều khiển với loại tính và thiết đặt tùy chọn Người dùng Mới Bắt đầu có thể tìm hiểu nhanh các cảnh báo an ninh COMODO Firewall security alerts, người dùng Có kinh nghiệm và Nâng cao có thể tìm hiểu sâu các cấu hình phức tạp và quản lý tường lửa Lưu ý: Tất các ví dụ trình bày đây dựa trên chế độ Phòng vệ Tối ưu COMODO Firewall Có nghĩa là tính Defense+ phòng chống giả mạo địa kết nối kích hoạt Nếu quá trình cài đặt COMODO Firewall bạn chọn lựa Firewall only (Chỉ riêng Firewall), tính Defense+ không kích hoạt Để mở cửa sổ giao diện chính COMODO Firewall, hãy theo các bước sau: Bước Chọn Start > Programs > Comodo > Firewall > Comodo Firewall Lưu ý: Một cách khác, bạn có thể nhấn đúp chuột vào biểu tượng chương trình trên màn hình nhấn đúp chuột vào biểu tượng COMODO Firewall trên Khay Hệ thống để mở cửa sổ giao diện chính chương trình Ngoài ra, bạn có thể nhấn chuột phảivào biểu tượng COMODO Firewall để mở trình đơn cảm ngữ cảnh sau đó chọn Open sau: 53 (55) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Trình đơn ngữ cảnh biểu tượng kết nối COMODO Firewall Cửa sổ giao diện chính Comodo Firewall chế độ Tổng hợp IV.3.2.3 Tổng quan Giao diện Chính Chương trình COMODO Firewall Cửa sổ Firewall hiển thị rõ ràng, chính xác thông tin chung các yêu cầu kết nối vào và các tiến trình và ứng dụng qua COMODO Firewall Nhìn chung, có nhiều yêu cầu kết nối số lượng yêu cầu kết nối tới hệ thống Chế độ hoạt động mặc định là Safe Mode (An toàn), các chế độ hoạt động khác đề cập phần này Khung Traffic hiển thị các tiến trình và ứng dụng hoạt động số lượng yêu cầu kết nối chúng tạo tính theo phần trăm Nhấn để xem thông tin tổng kết tương ứng các yêu cầu kết nối thời điểm yêu cầu sau: Cửa sổ Active Connections hiển thị chi tiết thông tin lưu lượng Internet 54 (56) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nhấn xem cửa sổ Active Connections các yêu cầu kết nối tới hệ thống thời điểm xem Gợi ý: Nhấn để chặn tất các kết nối đến và khỏi máy tính kết nối Internet bạn tự nhiên chậm hay bị nghẽn đồng thời bạn có lý để nghi ngờ tiến trình hay ứng dụng tự thực việc tải tự kích hoạt Thao tác này tự động thiết đặt chế độ hoạt động Tường lửa * Kiểm tra thông tin tổng hợp chi tiết cửa sổ *Active Connections để xác định tiến trình gây vấn đề kết nối Sau đã giải vấn đề thành công, hãy nhấn yêu cầu kết nối vào và qua COMODO Firewall và trở thường để thực các bình IV.3.2.4 Biểu tượng Trạng thái COMODO Firewall COMODO Firewall và Defense+ hoạt động đồng thời; hai chương trình cùng hoạt động, thị phía trái màn hình giao diện chính xuất sau: Biểu tượng trạng thái COMODO Firewall màu xanh Nếu hai chương trình bị tắt, biểu tượng trạng thái rõ tường lửa thành phần phòng vệ chủ động bị tắt sau: Biểu tượng trạng thái màu vàng COMODO Firewall bị tắt Tuy nhiên hai chương trình bị tắt, biểu tượng trạng thái xuất sau: 55 (57) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Biểu tượng trạng thái COMODO Firewall các thành phần bảo vệ bị tắt Trong hai trường hợp, hãy nhấn tương ứng để kích hoạt các thành phần bảo vệ V Bảo mật mạng V.1 Bảo mật mạng là gì Một hệ thống mạng sau vào hoạt động luôn đứng trước nguy an toàn mạng, gây nên thiệt hại nhiều mặt Để đảm bảo hệ thống mạng luôn vận hành thông suốt, ngành bảo mật mạng đời với nhiệm vụ cung cấp các công cụ, giải pháp để trì an toàn, ổn định cho hệ thống, qua đó giảm thiểu tối đa hệ xấu có thể xảy đến Ngày nay, có ba xu hướng chính khiến cho việc bảo mật mạng ngày càng trở nên cấp thiết Sự gia tăng nhanh chóng các hệ thống và các mạng khiến cho hệ thống mạng có thể truy cập tới cộng đồng người dùng lớn mà người quản trị khó có thể nắm bắt hết Việc sử dụng ngày cành nhiều mạng máy tính để truyền các thông tin nhạy cảm, quan trọng chuyển tiền điện tử, các giao dịch thương mại, các thông tin liên quan đến tài sản các công ty, tập đoàn… Kỹ thuật công mạng ngày càng trở nên dễ dàng nhờ công cụ viết sẵn và giá thành chúng ngày càng rẻ nên người tò mà và có hiểu biết chút ít máy tính có thể sử dụng và trở thành người công mạng V.2 Các mối nguy hiểm thường gặp với hệ thống mạng V.2.1 Điểm yếu hệ thống mạng Hệ thống mạng nào luôn có điểm yếu định Điểm yếu có thể xuất phát từ thiết bị mạng như: Router, switch, máy chủ, máy trạm…hoặc có thể từ các yếu tố người người quản trị, người dùng… Có điểm yếu chính hệ thống mạng mà chúng ta thường gặp: 56 (58) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Điểm yếu công nghệ dùng mạng - Technological weaknesses Điểm yếu thiết lập – cấu hình mạng - Configuration weaknesses Điểm yếu chính sách bảo mật - Security policy weaknesses V.2.2 Nguy hiểm hạ tầng phần cứng Nguy hiểm thường xảy đến với sở hạ tầng và phần cứng hệ thống theo bốn trường hợp sau: Hỏng hóc vật lý với các thiết bị mạng router, switch, máy chủ, máy trạm… Nhiệt độ và độ ẩm môi trường đặt các thiết bị mạng vượt quá ngưỡng cho phép Điện cung cấp cho các thiết bị mạng hoạt động không ổn định, có tượng trồi sụt điện áp, không có thiết bị lưu điện, độ ồn môi trường quá cao Công tác quản trị hệ thống không quan tâm, các dây cáp chất lượng thấp, bị nhiễu tín hiệu Các ổ điện bố trí không hợp lý Các thiết bị không ghi nhãn dẫn đến khó nhận biết V.2.3 Nguy hiểm hệ thống mạng Một hệ thống mạng thường xuyên phải đối mặt với nhiều mối nguy hiểm khác Trong khuôn khổ giáo trình, chúng tôi chia mối nguy hiểm: Nguy hiểm mức độ thấp: Thường xuất cá nhân đơn lẻ sử dụng công cụ đơn giản có sẵn nhằm mục đích quấy rối hệ thống, ăn cắp mật khẩu… Nguy hiểm mức độ cao: Xuất các hacker chuyên nghiệp với trình độ cao, sử dụng công cụ mạnh để công hệ thống Họ biết cách tìm các lỗi hệ thống và tự viết chương trình để khai thác lỗ hổng đó nhằm phục vụ mục đích công và thu lợi bất chính Nguy hiểm từ bên ngoài: Đến từ các cá nhân, tổ chức nằm ngoài hệ thống mạng Những thành phần này không có quyền truy nhập hợp pháp đến các tài nguyên hệ thống Nguy hiểm từ bên trong: Xuất đó có toàn quyền truy cập hợp pháp đến các tài nguyên hệ thống mạng thông qua các tài khoản cấp kết nối trực tiếp vào hệ thống V.2.4 Các hình thức công vào mạng hacker Reconnaissance Attack: Thu thập thông tin, khám phá và định hình trái phép hệ thống cần công: Quét cổng, bắt gói tin, ping Access Attack: Tấn công truy cập với các hình thức: o Khai thác lỗ hổng 57 (59) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C o Chuyển hướng port o Tấn công đường truyền o Tấn công lừa đảo Denial of Service (DoS) and Distributed Denial of Service (DDoS) Attacks: Tấn công từ chối dịch vụ Malicious Code Attack: Tấn công mã độc dạng các virus, trojan, worm lây nhiễm vào máy tính người dùng mạng V.2.5 Các bước phát triển chính sách bảo mật cho hệ thống mạng V.2.5.1 Chính sách bảo mật là gì? Mạng máy tính nói chung và mạng trường học nói riêng yêu cầu có chính sách bảo mật từ người quản trị mạng để đảm bảo cho hệ thống vận hành cách ổn định Vậy chính sách bảo mật là gì? “Chính sách bảo mật là văn quy định điều luật mà tất người có quyền truy cập đến tài sản, công nghệ tổ chức, quan phải tuân thủ cách tuyệt đối” – Trích Sổ tay bảo mật, tr 2196 V.2.5.2 Nội dung chính sách bảo mật Một chính sách bảo mật hoàn chỉnh phải bám sát nội dung sau Thông báo tên đơn vị soạn thảo, thời gian và phạm vi áp dụng chính sách bảo mật Chỉ điều quan, tổ chức cho phép/không cho phép thực theo điều kiện và công việc cụ thể Thông báo trang thiết bị nào sử dụng để giám sát truy cập toàn người dùng hợp pháp hệ thống Quy định cách thức truy cập Internet mạng Quy định cách thức sử dụng tài nguyên mạng Quy định tổ chức, cá nhân chịu trách nhiệm ứng phó xảy cố nào hệ thống 58 (60) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C QUẢN TRỊ MẠNG VI Giới thiệu và cài đặt Windows Server 2008 VI.1 Tổng quan họ hệ điều hành Windows Server 2008 VI.1.1 Lịch sử hệ điều hành Windows Microsoft Được phát hành vào năm 1992, Windows cho các nhóm làm việc (viết tắt là WFW), là phiên dùng để kết nối đầu tiên Windows Ban đầu phát triển addon Windows 3.0, nhiên WFW đă bổ sung thêm các driver và các giao thức cần thiết (TCP/IP) cho việc kết nối mạng ngang hàng Đây chính là phiên WFW Windows thích hợp với môi trường công ty Với WFW, các phát hành Windows chia thành hai hướng: hướng dành cho khách hàng, thiết kế dành cho sử dụng trên các máy tính PC riêng lẻ, và hướng là dành cho khối doanh nghiệp, thiết kế để sử dụng trên các máy tính có kết nối mạng Windows NT 3.1 Phát hành cho khối doanh nghiệp Windows là Windows NT (từ NT là viết tắt cụm từ new technology), phiên chính thức phát hành vào năm 1993 Mặc dù NT không phải là nâng cấp đơn giản cho WFW mà nó là hệ điều hành 32-bit đúng nghĩa thiết kế cho các tổ chức có kết nối mạng (Các phiên khách hàng trì các hệ điều hành 16-bit) Phục vụ cho khách hàng doanh nghiệp, Windows NT đă có hai phiên bản: Workstation và Server NT Workstation dành cho các PC riêng rẽ trên mạng công ty, còn NT Server có nhiệm vụ máy chủ cho tất các PC kết nối với Với khả cải thiện công nghệ kết nối mạng, NT đă trở thành hệ điều hành chủ đạo cho các máy chủ và máy trạm doanh nghiệp trên toàn giới Nó là sở cho hệ điều hành Windows XP, hệ điều hành sát nhập hai luồng Windows thành hệ điều hành chung vào năm 2001 Windows for Workgroups 3.11 Phát triển dựa trên Windows 3.1, hệ điều hành này đã thêm tính làm việc theo nhóm ngang hàng (peer-to-peer) và hỗ trợ làm việc theo vùng Máy tính cá nhân dựa trên tảng Windows đã lần đầu tiên hoạt động trên mạng và dựa trên quan hệ chủ/khách (Client/Server) Hệ điều hành này phát triển lên thành Windows NT Workstation 3.5, hệ điều hành phát triển cho việc hỗ trợ ứng dụng cao cấp và mạng chia sẻ liệu và máy in Netware 59 (61) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Windows NT 4.0 Được giới thiệu vào tháng Bảy năm 1996, hệ điều hành này có phiên Workstation, Terminal Server và hai phiên dành cho máy chủ Đây là lần đầu tiên Internet Explorer xuất và sử dụng giao diện cải tiến Windows 95 Những tính khác bao gồm hỗ trợ các ứng dụng cho fax, Webserver, và chương trình e-mail Windows 2000 Được phát hành vào ngày 17 tháng năm 2000, hệ điều hành này làm việc trên máy chủ lấn máy để bàn, với tinh quan trọng Active Directory, Microsoft lần đầu tiên đã lật đổ thống thị Novell quản lý môi trường mạng Windows 2000 là hệ điều hành đầu tiên hỗ trợ Kerberos và tích hợp sẵn Terminal Services Windows Server 2003 Được giới thiệu vào ngày 24 tháng năm 2003, hệ điều hành này đã cải tiến nhiều tính bảo mật và khả cấu hình, bao gồm khả thiết lập các nguyên tắc mạng Windows Server 2003 R2 mắt vào tháng Mười Hai năm 2005 thêm nhiều tính quản lý văn phòng chính, máy chủ liệu, máy chủ in ấn và tích hợp nhận dạng Windows Server 2008 Được giới thiệu vào ngày 27 tháng năm 2008 và xây dựng trên tảng tương tự Vista, hệ điều hành này đã có tính Server Core, nguyên tắc cho Active Directory, công nghệ ảo hóa Hyper-V, PowerShell, và Server Manager Phiên R2 hệ điều hành này đã thử nghiệm vào tháng năm 2009 với add-on Live Migration công nghệ Hyper-V VI.1.2 Những ưu điểm bật Windows Server 2008 Windows Server 2008 R2 là HĐH máy chủ Microsoft, thiết kế với mục đích tăng hiệu sử dụng, giảm chi phí vận hành với tính bật cải tiến quản lý lượng, truy cập, quản lý máy chủ từ xa, ảo hóa … VI.1.2.1 Hỗ trợ mạnh các hệ thống phần cứng Windows Server 2008 R2 là phiên hệ điều hành máy chủ đầu tiên loại bỏ hoàn toàn cấu trúc 32 bit, hỗ trợ lên tới 256 vi xử lý logic và có khả quản lý nhớ tốt các phiên trước VI.1.2.2 Cải tiến quản lý lượng Nhằm tiết kiệm chi phí qua việc giảm thiểu chi phí điện tiêu thụ, Windows Server 2008 R2 cung cấp số cài đặt Group Policy cho phép quản lý điện các thiết bị máy tính sử dụng Windows hay Windows Server 2008 R2 60 (62) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Đặc biệt, Windows Server 2008 R2 có thể quản lý khả tiêu thụ điện máy tính lơi CPU Khi các lơi chip không sử dụng có thể chuyển sang trạng thái ngủ đông chúng sử dụng, đó giảm sức tiêu thụ điện toàn máy chủ VI.1.2.3 Ảo hóa máy chủ và máy trạm Ảo hóa là phần chính trung tâm liệu ngày Hiệu điều hành cung cấp ảo hóa cho phép các tổ chức giảm đáng kể nỗ lực hoạt động và điện tiêu thụ Windows Server 2008 R2 cung cấp các loại ảo hóa sau: Hyper-V Windows Server 2008 R2 giới thiệu phiên Hyper-V có thể sử dụng tối đa 32 chip logic, với số cải tiến lơi để tạo trung tâm liệu ảo động bao gồm các khả tăng hiệu suất, cải thiện quản lý và cho phép người dùng di chuyển các máy ảo mà không phải tạm dừng hoạt động Phiên đầu tiên HyperV có thể sử dụng tối đa 16 chip logic Remote Desktop Services (trước đây gọi là Terminal Services) Remote Desktop Services, trước đây gọi là Terminal Services, là thành phần Microsoft Windows (cả máy chủ và máy trạm) cho phép người dùng truy cập vào các ứng dụng và liệu trên máy tính từ xa qua mạng Remote Desktop là dịch vụ cung cấp cho người sử dụng và quản trị viên với các tính và tính linh hoạt cần xây dựng kinh nghiệm truy cập mạnh mẽ kịch triển khai Để mở rộng việc thiết lập điều khiển máy tính từ xa, Microsoft đă đầu tư vào sở hạ tầng Desktop ảo, gọi là VDI (Virtual Desktop Infrastructure) Tính này cho phép ứng dụng cài đặt trên máy chủ đây đă xuất trên menu Start cùng với các ứng dụng cài đặt cục Người dùng có thể sử dụng ứng dụng cài đặt trên máy chủ ứng dụng cài đặt cục bộ, và khó có thể nhận khác biệt chúng Bên cạnh đó là chức đồ họa (và số chức I/O khác, bàn phím và chuột) đây xử lý desktop của người dùng Điều này có nghĩa là phiên làm việc sử dụng ít tài nguyên trên máy chủ hơn, đó nguồn tài nguyên này sử dụng hiệu VDI là kiến trúc phân phối desktop tập trung, cho phép Windows và máy tính để bàn khác môi trường có thể chạy và quản lý các máy chủ ảo tập trung VI.1.2.4 Khả mở rộng và đáng tin cậy Windows Server 2008 R2 có khả thực thi khối lượng công việc lớn, dể mở rộng với độ tin cậy cao Một loạt các tính và cập nhật có sẵn, bao gồm 61 (63) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C thúc kiến trúc CPU đn bẩy tinh vi, tăng gia tăng các khung điều hành hệ thống, và cải thiện hiệu suất và khả mở rộng cho ứng dụng và dịch vụ VI.1.2.5 Làm việc tốt cùng với Windows Windows Server 2008 R2 có nhiều tính thiết kế đặc biệt để làm việc với máy tính khách chạy Windows VI.2 Cài đặt Windows server 2008 Windows Server 2008 hỗ trợ hai hình thức cài đặt : Full Installation và Server Core Installation Ở đây, chúng ta chọn hình thức cài đặt thứ Các bước cài đặt Windows Server 2008 Enterprise sau : Khởi động máy tính từ đĩa DVD Windows Server 2008 Enterprise Lựa chọn ngôn ngữ dùng để cài đặt cùng thông tin liên quan và bấm nút Next Lựa chọn ngôn ngữ cài đặt và thông tin liên quan Bấm nút Install now để bắt đầu cài đặt Nếu muốn phục hồi hệ thống, bạn kích vào tùy chọn Repair your computer 62 (64) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Cài đặt phục hồi hệ thống Nhập product key phiên Windows Server 2008 Enterprise này Nếu chưa muốn kích hoạt (active) Windows vì mục đích kiểm tra dùng thử, bạn bỏ dấu chọn mục Automatically activate Windows then I’m online và bấm nút Next Nhập product key Chọn kiểu cài đặt Windows Server 2008 Enterprise (Full Installation), đồng thời đánh dấu chọn mục I have selected the edition of Windows that I purchased và bấm nút Next 63 (65) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Chọn kiểu cài đặt Enterprise Trong màn hình License, bạn đọc kỹ các điều khoản Microsoft Nếu đồng ý, bạn đánh dấu vào tùy chọn I accept the license terms và bấm nút Next Đồng ý với các điều khoản Microsoft Trong màn hình Type of installation, bạn lựa chọn kiểu cài đặt thích hợp Nếu muốn cài đặt phiên mới, bạn lựa chọn Custom (advanced) Để nâng cấp, bạn cần chạy chương trình cài đặt trên hệ điều hành Windows thời và chọn Upgrade 64 (66) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Lựa chọn kiểu cài đặt thích hợp Trong màn hình Where install Windows, đĩa cứng bạn trình cài đặt tự động nhận ra, bạn tạo các phân vùng mình cách sử dụng các chức New, Format Ngược lại, đĩa cứng bạn không xuất hiện, có thể driver dành cho thiết bị bạn chưa tích hợp sẵn trên Windows Trong trường hợp này, bạn cần sử dụng chứng Load Driver để cài đặt driver cần thiết Bấm nút Next tạo xong các phân vùng mình Tạo các phân vùng Đến bước này, Windows Server 2008 đã có đầy đủ các thông tin chuẩn bị Do đó, quá trình cài đặt diễn 65 (67) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tiến trình cài đặt diễn Trong quá trình cài đặt, hệ thống khởi động lại khá nhiều lần để thực các thao tác cấu hình cần thiết Khi tiến hành cài đặt hoàn thành, hệ thống tự động đăng nhập với tài khoản Administrator Vì mật mặc định Administrator cài đặt là rỗng, nên lần đăng nhập đầu tiên, hệ thống yêu cầu bạn thay đổi mật Hệ thống yêu cầu thay đổi mật Administrator Bạn bấm OK, nhập mật và bấm phím Enter 66 (68) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nhập mật cho Administrator Khi thông báo "Your password has been changed" xuất hiện, bạn bấm nút OK để đăng nhập vào Windows Server 2008 VII Active Directory Active Directory đem tới các phương tiện quản lý thông tin nhận dạng và các mối quan hệ cấu thành nên hệ thống mạng tổ chức bạn Được tích hợp với Windows Server 2008, Active Directory thuộc hệ cung cấp cho bạn tính sẵn có cần thiết để cấu hình và quản trị hệ thống, người dùng và các thiết lập ứng dụng cách tập trung Với Active Directory, bạn có thể đơn giản hóa việc quản lý người dùng và máy tính, cho phép truy cập SSO (Single sign-on) tới các tài nguyên mạng, và giúp cải thiện tính riêng tư mức độ bảo mật thông tin đã lưu các quá trình truyền thông Active Directory đã tự chứng minh là dịch vụ thư mục mạnh mẽ, ổn định Windows Server 2003 R2 Windows Server 2008 tiếp nối thành công trước đây Active Directory với tính VII.1 Mô hình mạng môi trường Microsoft VII.1.1 Mô hình Workgroup Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà đó các máy tính có vai trò nối kết với Các liệu và tài nguyên lưu trữ phân tán các máy cục bộ, các máy tự quản lý tài nguyên cục 67 (69) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C mình Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng Mô hình này phù hợp với các mạng nhỏ, mười máy tính và yêu cầu bảo mật không cao Đồng thời mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng lưu trữ thông tin người dùng tập tin SAM (Security Accounts Manager) chính trên máy tính cục Thông tin này bao gồm: username (tên đăng nhập), fullname, password, description… Tất nhiên tập tin SAM này mă hóa nhằm tránh người dùng khác ăn cấp mật để công vào máy tính Do thông tin người dùng lưu trữ cục trên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính các máy tính này tự chứng thực Sơ đồ mô hình Workgroup VII.1.2 Mô hình Domain Khác với mô hình Workgroup, mô hình Domain hoạt động theo chế client-server, hệ thống mạng phải có ít máy tính làm chức điều khiển vùng (Domain Controller), máy tính này điều khiển toàn hoạt động hệ thống mạng Việc chứng thực người dùng và quản lý tài nguyên mạng tập trung lại các Server miền Mô hình này áp dụng cho các công ty vừa và lớn Trong mô hình Domain Windows Server 2008 thì các thông tin người dùng tập trung lại dịch vụ Active Directory quản lý và lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT Tập tin sở liệu này xây dựng theo công nghệ tương tự phần mềm Access Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến so với công nghệ cũ lưu trữ khoảng nghn tài khoản người dùng Do các thông tin người dùng lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng tập trung và máy điều khiển vùng chứng thực 68 (70) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Sơ đồ mô hình Domain VII.2 Chức Active Directory Lưu giữ danh sách tập trung các tên tài khoản người dùng, mật tương ứng và các tài khoản máy tính Cung cấp Server đóng vai trò chứng thực (authentication server) Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng) Duy trì bảng hướng dẫn bảng mục (index) giúp các máy tính mạng có thể tìm nhanh tài nguyên nào đó trên các máy tính khác vùng Cho phép chúng ta tạo tài khoản người dùng với mức độ quyền (rights) khác như: toàn quyền trên hệ thống mạng, có quyền backup liệu hay shutdown Server từ xa… Cho phép chúng ta chia nhỏ miền mình thành các miền (subdomain) hay các đơn vị tổ chức OU (Organizational Unit) Sau đó chúng ta có thể ủy quyền cho các quản trị viên phận quản lý phận nhỏ VII.3 Active Directory Federation Service VII.3.1 Tổng quan Active Directory Federation Services (AD FS) là tính đă giới thiệu đến Windows Server 2003 R2, tính này cung cấp giải pháp nhận dạng truy cập Nó cho phép các trình duyệt trên client, bên bên ngoài mạng bạn có khả truy cập lần (Single-Sign-On (SSO)) vào các ứng dụng dựa trên Web Tuy nhiên cần lưu ý AD FS làm việc cho các ứng dụng tảng Web AD FS có thể sử dụng việc cấu hình Web các môi trường SharePoint Nó hữu dụng công ty nào đó có các máy chủ web nằm DNZ trên hăng hosting từ xa đối tác kinh doanh và muốn kiểm soát các thông tin quan trọng các ứng dụng web họ từ Active Directory bên 69 (71) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Những điểm AD FS Windows Server 2008 so sánh với Windows Server 2003 R3: AD FS là công nghệ tương đối Microsoft và đây là hệ thứ hai sản phẩm này Windows Server 2008 có số tính cho AD FS, các tính này không có sẵn Windows Server 2003 R2 Các tính này tạo điều kiện dể dàng quản trị và mở rộng hỗ trợ cho các ứng dụng chính Microsoft Cải thiện vấn đề cài đặt: Wizard cài đặt AD FS gồm role máy chủ Windows Server 2008 và các kiểm tra hợp lệ hóa máy chủ Server Manager Windows Server 2008 tự động liệt kê và cài đặt tất các dịch vụ mà AD FS yêu cầu quá trình cài đặt AD FS role (ASP.NET, IIS, ) Cải thiện hỗ trợ: Phiên AD FS đă tích hợp chặt chẽ với Active Directory Rights Management Services (AD RMS) và Microsoft Office SharePoint Server 2007 (MOSS) MOSS 2007 hỗ trợ khả đăng nhập lần đă tích hợp AD FS AD FS hỗ trợ thành viên MOSS 2007 và các nhà cung cấp role, điều đó có nghĩa bạn có thể cấu hình MOSS 2007 với tư cách là ứng dụng thân thuộc bên AD FS và sau đó quản trị site này SharePoint điều khiển truy cập dựa trên role và thành viên Quản trị tốt hơn: AD FS đă cải thiện chức import và export chính sách mới, giúp giảm tối thiểu vấn đề cấu hình trên đối tác Active Directory Federation Services (AD FS) cung cấp các dịch vụ quản lý nhận dạng rộng răi, cho phép các công ty lớn mở rộng sở hạ tầng họ cho các đối tác tin cậy và khách hàng AD FS có khả chính đây: Thẩm định mạng nội mở rộng (Extranet) Cơ chế đăng nhập lần dựa trên Web Các dịch vụ nhận dạng rộng cho các ứng dụng web dựa trên IIS AD FS thiết kế để có thể triển khai các tổ chức lớn và trung bình có điều kiện sau: Ít dịch vụ thư mục (directory): Active Directory Domain Services (AD DS) Active Directory Lightweight Directory Services (AD LDS) Các máy tính nằm miền Các máy tính chạy trên nhiều tảng hệ điều hành khác + Các máy tính kết nối Internet Một vài ứng dụng dựa trên Web Tất việc truyền thông từ Active Directory đến AD FS mă hóa và tất các truyền thông từ các client đến AD FS mă hóa SSL Những lợi ích đem lại môi trường rộng đó là công ty liên tục có thể quản lý phân biệt 70 (72) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C với chính nó, công ty có thể đặt dự án cách bảo đảm và chấp nhận phân biệt với các tổ chức khác VII.3.2 Các Role AD FS AD FS Windows Server 2008 có số role khác, phụ thuộc vào các yêu cầu tổ chức mà bạn có thể triển khai máy chủ chạy nhiều role AD FS Dịch vụ Federation: Dịch vụ Federation có thể sử dụng nhiều máy chủ federation để chia sẻ chính sách quán nào đó Các máy chủ này sử dụng để định tuyến các yêu cầu thẩm định từ các tài khoản người dùng tổ chức khác trừ các client đặt trên Internet Federation Service Proxy: Federation Service Proxy là proxy cho dịch vụ Federation mạng vành đai (DMZ) Federation Service Proxy sử dụng các giao thức WS-Federation Passive Requestor Profile (WS-F PRP) để chọn thông tin người dùng từ các trình duyệt máy khách và gửi thông tin này đến dịch vụ Federation Claims-aware agent: Claims-aware agent cài đặt trên máy chủ Web để cấu hình ứng dụng claims-aware Nó cần thiết phép truy vấn các ưu sách thẻ bảo mật AD FS Ứng dụng claims-aware là ứng dụng ASP.NET Microsoft ứng dụng chuẩn giống MOSS 2007 Tác nhân dựa trên thẻ: Tác nhân thẻ có thể đựợc cài đặt trên máy chủ Web cấu hình ứng dụng thẻ Windows NT Nó cần thiết để hỗ trợ cho việc chuyển đổi từ thể bảo mật AD FS sang mức nhân cách hóa Ứng dụng thẻ Windows NT là ứng dụng sử dụng các chế thẩm định dựa trên Windows AD FS và Server Core: Active Directory Federation Services roles không nằm Server Core Nó phần nào phụ thuộc vào ASP.NET, tảng không có Server Core AD FS và phát triển: AD FS là tính có thể giúp các chuyên gia phát triển tạo các ứng dụng web AD FS có thể là cha khóa việc cung cấp truy cập bên ngoài an toàn các ứng dụng Web bạn Nó có thể sử dụng với Active Directory Lightweight Directory Services (AD LDS) với tư cách là cung cấp nhận dạng cho việc chứng thực và Windows Authorization Manager cho việc kiểm soát chính sách truy cập, cung cấp giải pháp hoàn tất để mở rộng các ứng dụng Web cho các tổ chức tin cậy Active Directory Lightweight Directory Services (AD LDS) trước đây biết đến với tên Active Directory Application Mode (ADAM), là chế độ đặt biệt AD đó, các dịch vụ thư mục cấu hình lưu giữ và chép các thông tin liên quan đến ứng dụng Chế độ này cung cấp khả lưu trữ và truy cập cho các ứng dụng, sử dụng các giao diện mà quản trị viên và các chuyên gia phát triển đă thân thuộc 71 (73) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C AD LDS là tính lưu trữ và truy vấn liệu dịch vụ thư mục LDAP cho các ứng dụng đă thư mục, không phụ thuộc vào yêu cầu cho AD DS Nó không lưu trữ các nguyên lý bảo mật có AD DS Các chuyên gia phát triển có thể sử dụng AD LDS để làm việc với các thông tin Active Directory các ứng dụng họ AD FS là ứng dụng sử dụng AD LDS để lưu các thông tin quan trọng này Kết luận: Active Directory Federation Services (AD FS) là tính mạnh Windows Server 2008, nó cho phép các tổ chức có khả linh hoạt việc kết nối các ứng dụng Web và quản lý các thông tin tài khoản VII.4 Active Directory Domain Service VII.4.1 Tổng quan Active Directory Domain Services (AD DS), trước đây biết tới với tên gọi Active Directory Directory Services, là dịch vụ server trên Windows Server 2008, sử dụng thông tin lưu trữ Active Directory để quản lý các đối tượng users, groups, computers, … Dùng Active Directory, bạn có thể quản lý cách hiệu các người dùng, máy tính, nhóm làm việc, máy in, ứng dụng và các đối tượng khác theo thư mục từ khu vực tập trung và bảo mật VII.4.2 Tính Active Directory Domain Services Những tính nâng cao AD DS Windows Server 2008 bao gồm: Auditing: lưu trữ các kiện liên quan đến đối tượng Active Directory.Từ đó có thể biết đối tượng đã thay đổi gì.Và giá trị tai và giá trị trước thay đổi hệ thống ghi nhận lại Password Policies có thể cấu hình cho đối tượng riêng biệt domain.Vì bạn không phải sử dụng chung chính sách mật cho tất các người dùng cùng domain Read-Only Domain Controller là Domain Controller với sở liệu Active Directory dạng read-only Dịch vụ này giúp bạn tạm bảo mật nơi mà bảo mật chưa đảm bảo cao độ,chẳng hạn các văn phòng ReadOnly Domain Controller không cho phép các domain controller cấp thấp thực thay đổi lên Active Directory Restartable AD DS : đặc điểm này giúp bạn khởi động lại AD DS giữ nguyên trạng thái hoạt động Domain Controller,giúp bạn hoàn thành thao tác offline môt cách nhanh chóng Active Directory Certificate Services (AD CS) là dịch vụ dùng để sinh và quản lý các certificate trên hệ thống sử dụng công nghệ public key Bạn có thể sử dụng ADCS để tạo các máy chủ chúng thực CA ( Certification 72 (74) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Authorities) Các CA có tác dụng nhận yêu cầu chứng thực,sau đó xử lý và gửi các chứng thực đó lại cho đối tượng đã gửi yêu cầu Active Directory Federation Services (AD FS) là dịch vụ cung cấp chế đăng nhập - single sign-on(SSO) ,cho phép bạn đăng nhập lần có thể dùng nhiều ứng dụng Web có quan hệ với Active Directory Rights Management Services (ADRMS) là dịch vụ dùng để kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS – enable application),nhằm bảo vệ liệu quan trọng ( báo cáo tài chính,thông tin khách hàng,đơn hàng,sổ sách kê khai kế toán v v.) trước đối tượng người dùng không phép (unauthorized users).Với AD RMS,bạn có thể xác định có thể thực các thao tác xem, chỉnh sửa, in ấn….trên liệu mình Active Directory Lightweght Directory Services (AD LDS) là dịch vụ thư mục LDAP (Lightweght Directory Access Protocol) trên Windows Server 2008 AD LDS cung cấp chế nhằm hỗ trợ các ứng dụng directory-enabled ( sử dụng thư mục để lưu trữ liệu) Dịch vụ này có chức tương tự AD DS,nhưng không đòi hỏi phải triển khai các domain Domain Controller VII.5 Active Directory Service VII.5.1 Khái niệm Active Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa NTDS.DIT và các chương trình quản lý, khai thác tập tin này Dịch vụ danh bạ là dịch vụ sở làm tảng để hình thành hệ thống Active Directory Một hệ thống với tính vượt trội Microsoft VII.5.2 Các thành phần Active Directory Service Đầu tiên, bạn phải biết thành phần cấu tạo nên dịch vụ danh bạ? Bạn có thể so sánh dịch vụ danh bạ với sổ lưu số điện thoại Cả hai chứa danh sách nhiều đối tượng khác các thông tin và thuộc tính liên quan đến các đối tượng đó Object (đối tượng): Trong hệ thống sở liệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, … Đối tượng chính là thành tố dịch vụ danh bạ Attribute (thuộc tính): Một thuộc tính mô tả đối tượng Ví dụ, mật và tên là thuộc tính đối tượng người dùng mạng Các đối tượng khác có danh sách thuộc tính khác nhau, nhiên, các đối tượng khác có thể có số thuộc tính giống Lấy ví dụ máy in và máy trạm hai có thuộc tính là địa IP Schema (cấu trúc tổ chức): Một schema định nghĩa danh sách các thuộc tính dùng để mô tả loại đối tượng nào đó Ví dụ, cho tất các đối tượng máy in 73 (75) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C định nghĩa các thuộc tính tên, loại PDL và tốc độ Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng ―máy in‖ Schema có đặc tính là tuỳ biến được, nghĩa là các thuộc tính dùng để định nghĩa lớp đối tượng có thể sửa đổi Nói tóm lại Schema có thể xem là danh bạ cái danh bạ Active Directory Container (vật chứa): Vật chứa tương tự với khái niệm thư mục Windows Một thư mục có thể chứa các tập tin và các thư mục khác Trong Active Directory, vật chứa có thể chứa các đối tượng và các vật chứa khác Vật chứa có các thuộc tính đối tượng mặc dù vật chứa không thể thực thể thật nào đó đối tượng Có ba loại vật chứa là: o Domain: khái niệm này trình bày chi tiết phần trên o Site: site là vị trí Site dùng để phân biệt các vị trí cục và các vị trí xa xôi Ví dụ, công ty XYZ có tổng hành dinh đặt San Fransisco, chi nhánh đặt Denver và văn p ng đại diện đặt Portland kết nối tổng hành dinh Dialup Networking Như hệ thống mạng này có ba site o OU (Organizational Unit): là loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm, máy tính và OU khác Một OU không thể chứa các đối tượng nằm domain khác Nhờ việc OU có thể chứa các OU khác, bạn có thể xây dựng mô hình thứ bậc các vật chứa để mô hình hoá cấu trúc tổ chức bên domain Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống Global Catalog: Dịch vụ Global Catalog dùng để xác định vị trí đối tượng mà người dùng cấp quyền truy cập Việc tìm kiếm thực xa gì đă có Windows NT và không có thể định vị đối tượng tên mà có thể thuộc tính đối tượng o Giả sử bạn phải in tài liệu dày 50 trang thành 1000 bản, chắn bạn không dùng máy in HP Laserjet 4L Bạn phải tìm máy in chuyên dụng, in với tốc độ 100ppm và có khả đóng tài liệu thành Nhờ Global Catalog, bạn tìm kiếm trên mạng máy in với các thuộc tính và tìm thấy máy Xerox Docutech 6135 Bạn có thể cài đặt driver cho máy in đó và gửi print job đến máy in Nhưng bạn Portland và máy in thì Seattle thì sao? Global Catalog cung cấp thông tin này và bạn có thể gửi email cho chủ nhân máy in, nhờ họ in giùm o Một ví dụ khác, giả sử bạn nhận thư thoại từ người tên Betty Doe phận kế toán Đoạn thư thoại cô ta bị cắt xén và bạn không thể biết số điện thoại cô ta Bạn có thể dùng Global Catalog để tìm thông tin cô ta nhờ tên, và nhờ đó bạn có số điện thoại cô ta o Khi đối tượng tạo Active Directory, đối tượng gán số phân biệt gọi là GUID (Global Unique Identifier) GUID đối 74 (76) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C tượng luôn luôn cố định cho dù bạn có di chuyển đối tượng đến khu vực khác VII.5.3 Kiến trúc Active Directory Service VII.5.3.1 Object Trước tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes Object classes là thiết kế mẫu hay khuôn mẫu cho các loại đối tượng mà bạn có thể tạo Active Directory Có ba loại object classes thông dụng là: User, Computer, Printer Khái niệm thứ hai là Attributes, nó định nghĩa là tập các giá trị phù hợp và kết hợp với đối tượng cụ thể Như Object là đối tượng định nghĩa các giá trị gán cho các thuộc tính object classes VII.5.3.2 Organizational Units Organizational Unit hay OU là đơn vị nhỏ hệ thống AD, nó xem là vật chứa các đối tượng (Object) dùng để xếp các đối tượng khác phục vụ cho mục đích quản trị bạn OU thiết lập dựa trên subnet IP và định nghĩa là ―một nhiều subnet kết nối tốt với nhau‖ Việc sử dụng OU có hai công dụng chính sau: Trao quyền kiếm soát tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho nhóm người hay phụ tá quản trị viên nào đó (subadministrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn hệ thống Kiểm soát và khóa bớt số chức trên các máy trạm người dùng OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO) 75 (77) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C VII.5.3.3 Khái niệm Domain Domain là đơn vị chức nòng cốt cấu trúc logic Active Directory Nó là phương tiện để qui định tập hợp người dùng, máy tính, tài nguyên chia sẻ có qui tắc bảo mật giống từ đó giúp cho việc quản lý các truy cập vào các Server dể dàng Domain đáp ứng ba chức chính sau: Đóng vai trò khu vực quản trị (administrative boundary) các đối tượng, là tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung sở liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ Cung cấp các Server dự p ng làm chức điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được đồng với VII.5.3.4 Domain Tree Domain Tree là cấu trúc bao gồm nhiều domain xếp có cấp bậc theo cấu trúc hình cây Domain tạo đầu tiên gọi là domain root và nằm gốc cây thư mục Tất các domain tạo sau nằm bên domain root và gọi là domain (child domain) Tên các domain phải khác biệt Khi domain root và ít domain tạo thì hình thành cây domain 76 (78) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Khái niệm này bạn thường nghe thấy làm việc với dịch vụ thư mục Bạn có thể thấy cấu trúc có hình dáng cây có nhiều nhánh xuất Sơ đồ biểu diễn cây Domain VII.5.3.4 Khái niệm Forest Forest (rừng) xây dựng trên nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho Ví dụ giả sử công ty nào đó, chẳng hạn Microsoft, thu mua công ty khác Thông thường, công ty có hệ thống Domain Tree riêng và để tiện quản lý, các cây này hợp với khái niệm là rừng Sơ đồ Forest 77 (79) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C VII.6 Cài đặt và cấu hình Active Directory Service VII.6.1 Nâng cấp Server lên Domain Controller Các bước nâng cấp lên Domain Controller sau: Khai báo các thông số địa IP cho máy cần nâng cấp trường hợp này chúng ta tiến hành nâng cấp máy Server1 chạy Windows Server 2008: VII.6.1.1 Đặt IP tĩnh Tùy chỉnh lại thông số IP theo mô hình mạng: Click chuột phải vào Icon Network trên Desktop chọn Properties và Click Manager network connections: Click chọn Internet Protocol version (TCP/IP v4) sau đó Click chọn Properties điều chỉnh thông số hình đây: Chú ý là địa máy Server muốn nâng cấp có Perferred DNS phải giống với địa IP máy cần nâng cấp 78 (80) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C VII.6.1.2 Cài đặt dịch vụ Active Directory Domain Services Ở Windows Server 2003, để cài đặt thêm các dịch vụ DHCP, DNS …vào Add/Remove Windows Components Ở Windows Server 2008 thay công cụ quản trị Server Manager với các Roles và Features Vì mặc định Windows Server 2008 chưa cài đặt các dịch vụ nên bạn phải cài đặt dịch vụ AD DS trước lên Domain Controller Vào Server Manager -> Add Roles -> Chọn dịch vụ Active Directory Domain Services -> Chọn Next Chọn Next để tiếp tục Tại bảng Confirm Installation Selections yêu cầu bạn xác nhận lần cuối trước cài đặt -> Chọn Install Đợi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services Chọn Close để hoàn tất VII.6.1.3 Cài đặt Active Directory Từ Menu Start -> Run -> gõ lệnh ―dcpromo‖ để tiến hành nâng cấp lên Domain Controller -> Hộp thoại Wellcome to Active Directory Domain Service Installation Wizard xuất Bạn đánh dấu check vào ô Use advanced mode installation sau đó Click Next để tiếp tục Hộp thoại Operting System Compatibility xuất hiện, click Next 79 (81) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Đánh dấu check vào ô “Create a new domain in a new forest” để tạo domain rừng sau đó Click Next để tiếp tục Trong hộp thoại Name the Root Domain bạn nhập vào ô ―FQDN of the forest root domain” nhập vào tên Domain cần tạo sau đó click Next Hộp thoại Domain NetBIOS Name giữ nguyên mặc định click Next Hộp thoại Set Forest Function Level chọn Windows Server 2008 để sử dụng hết chức Windows Server 2008, sau đó Click Next 80 (82) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Additioal Domain Controller Options, đánh dấu check vào ô DNS server muốn chương trình DNS tự động cài đặt quá trình nâng cấp Hộp thoại Location for Database, Log Files, and SYSVOL định nơi lưu trữ cho Database, nơi lưu trữ cho tập tin Log files và SYSVOL Nếu bạn là IT và đây là việc bạn cấu hình thì hăy chọn nơi lưu trữ vào vị trí khác để liệu bạn an toàn 81 (83) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Trong hộp thoại Directory Serviecs Restore Administrator Password, bạn nhập Password vào ô bên và lưu ý là phải nhớ thật kĩ Password này -> click Next Hộp thoại Summary tổng hợp lại quá trình bạn vừa thiết lập muốn thay đổi thì bạn click Back, chấp nhận thì Click Next để tiếp tục cài đặt 82 (84) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Quá trình nâng cấp lên Domain Controller tiến hành sau kết thúc quá trình nâng cấp lên Domain Controller thì hệ thống tự Restart bạn click chọn vào ô Reboot on completion 83 (85) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C VII.6.2 Gia nhập máy trạm vào Domain VII.6.2.1 Giới thiệu Một máy trạm gia nhập vào domain thực là việc tạo mối quan hệ tin cậy (trust relationship) máy trạm đó với các máy Domain Controller vùng Sau đă thiết lập quan hệ tin cậy thì việc chứng thực người dùng logon vào mạng trên máy trạm này các máy điều khiển vùng đảm nhiệm Nhưng chú ý việc gia nhập máy trạm vào miền phải có đồng ý người quản trị mạng cấp miền và quản trị viên cục trên máy trạm đó Nói cách khác bạn muốn gia nhập máy trạm vào miền, bạn phải đăng nhập cục vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống yêu cầu bạn xác thực tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp miền) VII.6.2.2 Các bước gia nhập Sau nâng cấp Server1 lên Domain Controller Tiếp theo sau là gia nhập máy trạm vào Domain phần này thực trên Server2 Login vào Server2 với Username là Administrator thực đội gian nhập máy trạm vào Domain sau: Click chuột phải vào Icon Network trên Desktop chọn Properties sau đó Click chọn tiếp vào Manager network connections Click chọn Internet Protocol Version (TCP/Ipv4) 84 (86) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Điều chỉnh lại thông số địa IP hình đây Trở lại màn hình Desktop, Click chuột phải vào Icon Computer chọn Properties tiếp tực Click chọn Change settings 85 (87) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Trong hộp thoại System Properties tiếp tục Click chọn Change… Hộp thoại Computer name/Domain Changes, đánh dấu chọn vào ô Domain và nhập tên Domain máy Domain Controller sau đó Click chọn OK 86 (88) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Windows Security yêu cầu Bạn cần có Username vào Password người quản trị viên cấp miền Bạn nhập vào Administrator là tài khoảng quản trị cho Domain GroupsvIT.Net Hộp thoại Computer Name/Domain Changes xuất lời chào mừng bạn đã gia nhập Domain thành công Sau Máy Server2 đă gia nhập thành công hệ thống yêu cầu Restart lại Server2 > Sau Restart lại Server2, tiến hành đăng nhập vào miền 87 (89) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C VII.6.3 Xây dựng Domain Controller đồng hành VII.6.3.1 Vì phải xây dựng DC đồng hành? Domain Controller là máy tính điều khiển hoạt động mạng máy này có cố thì toàn hệ thống mạng bị tê liệt Do tính quan trọng này nên hệ thống mạng thông thường chúng ta phải xây dựng ít hai máy tính Domain Controller Như đă trình bày trên thì Windows Server 2003 và Windows Server 2008 không còn phân biệt máy Primary Domain Controller và Backup Domain Controller nữa, mà nó xem hai máy này có vai trò ngang nhau, cùng tham gia chứng thực người dùng Như chúng ta đă biết, công việc chứng thực đăng nhập thường thực vào đầu buổi làm việc, mạng bạn có máy điều khiển dùng và 10.000 nhân viên thì chuyện gì xẩy vào buổi sáng? Để giải trường hợp trên, Microsoft cho phép các máy điều khiển vùng mạng cùng hoạt động đông thời, chia sẻ công việc nhau, có máy bị cố thì các máy còn lại đảm nhiệm luôn công việc máy này Do đó tài liệu này chúng tôi gọi các máy này là các máy điều khiển vùng đồng hành Nhưng khảo sát sâu Active Directory thì máy điều khiển vùng tạo đầu tiên có vai trò đặc biệt đó là FSMO (flexible single master of operations) Trong hệ thống mạng máy tính chúng ta tất các máy điều khiển vùng là Windows Server 2008 thì chúng ta nên chuyển miền mạng này sang cấp độ hoạt động Windows Server 2008 để khai thác hết các tính Active Directory VII.6.3.2 Các bước xây dựng Tiến hành xây dựng Một Domain Controller đồng hành trên Server2 sau: Vào Start -> Run -> gõ lệnh ―dcpromo” 88 (90) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Trong hộp thoại Wellcome to the Active Directory Domain Services Installation Wizard đánh dấu chọn vào ô Use advanced mode installation sau click chọn Next Hộp thoại Operating system Compatilitity Click chọn Next Đánh dấu check vào ô Existing forest và ô Add a domain controller to an existing Domain sau đó click Next để tiếp tục Hộp thoại Network Credentials Bạn nhập tên Domain chính vào ô Cũng hộp thoại này Click chọn vào mục set và nhập Username và Password người quản trị Domain chính vào sau đó click chọn OK -> Next để tiếp tục 89 (91) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Mục Altemate credentials xuất tên người quản trị domain mà bạn vừa nhập > click Next 90 (92) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Select a Domain Click chọn vào GroupsvIT.Net (forest root domain) Hộp thoại Select a Site click chọn Default-First-Site-Name sau đó click Next 91 (93) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Additional Domain Controller Options đánh dấu chọn vào các dịch vụ mà Bạn muốn cài đặt quá trình xây dựng Domain Controller đồng hành Bạn cần lưu ý là: Có thể cài dịch vụ DNS và Read only domain controller không cài còn ô Global catalog bắt buột bạn phải cài đặt tính này sau chọn xong Click next Trong hộp thoại Install from Media đánh dấu check vào ô hình 92 (94) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Source Domain Controller định rõ Source domain root, click chọn vào DC01.GroupsvIT.Net sau đó click chọn Next để tiếp tục Hộp thoại Location for Database, Log Files,and SYSVOL định nơi lưu trữ Nếu đồng ý Bạn Click Next không Chọn Browse đến nơi khác để lưu liệu Hộp thoại Directory Services Restore Mode Administrator Password Bạn nhập vào Password 93 (95) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Summary tổng hợp lại các thiết lập mà bạn vừa thiết lập Click Back muốn thay đổi đồng ý click Next để tiếp tục cài đặt Quá trình cài đặt Domain Controller đồng hành tiến hành Click chọn vào ô Reboot on completion thì hệ thống tự động restart hoàn tất việc cài đặt 94 (96) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C VII.6.4 Xây dựng Subdomain VII.6.4.1 Vì phải xây dựng Subdomain? Đối với các công ty lớn, có nhiều chi nhánh các địa điểm khác chia các lĩnh vực riêng, cần chia nhỏ tên miền thành các tên miền nhỏ thứ cấp để tiện quản lý Khi đó, cần thiết phải xây dựng các subdomain Sau bạn đă xây dựng Domain Controller đầu tiên quản lý miền, lúc Domain Controller này là gốc rừng Domain Tree đầu tiên, từ đây bạn có thể tạo thêm các subdomain cho hệ thống VII.6.4.2 Các bước xây dựng Các bước xây dựng Subdomain thực tương tự xây dựng Domain có điều khác là không tạo mà sử dựng Domain đă tạo sẵn Login vào Domain cần xây dựng với tài khoản là Administrator là tài khoản có quyền cao hệ thống Tiến hành xây dựng Subdomain bước sau: Từ Menu Start -> Run -> gõ lệnh ―dcpromo‖ sau đó Click chọn OK Hộp thoại Active Directory Services Installation Wizard xuất bạn đánh dấu chọn ô Use advanced mode installation sau đó click chọn Next 95 (97) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Operating System Compatibility click chọn Next -> xuất hộp thoại Choose a Deployment Configuration, click chọn Existing forest, chọn ―Creat a new domain in an existing forest‖ -> Next Hộp thoại ―Network Credentials‖, click chọn vào Set vào sử dụng tài khoản ngưới quản trị Domain sau đó click chọn OK -> Next 96 (98) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Name the new Domain Bạn nhập tên Domain chính vào ô ―FQDN of the parent domain‖ Ô Single-label DNS name of the child domain, nhập vào tên Subdomain cần tạo sau đó click chọn Next Hộp thoại Domain NetBIOS Name để nguyên mặc định Click Next Hộp thoại Select a Site Click chọn vào Default-First-Site-Name sau đó click Next 97 (99) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Additional Domain Controller Options click chọn vào ô Gobal catalog Hộp thoại Source Domain Controller đánh dấu chọn vào ô Use this specific domain controller tiếp tục click chọn DC01.GroupsvIT.Net sau đó click chọn Next 98 (100) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Location for Database, log Files, and SYSVOl để mặc định Click Next Hộp thoại Directory Serviecs Rettore Mode Administrator Password bạn nhập vào password sau đó click chọn Next Hộp thoại Summary hiển thị tất các thông tin bạn vừa thiết lập 99 (101) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Quá trình xây dựng Subdomain cài đặt bạn Click chọn vào ô Reboot on completion để sau xong quá trình cài đặt hệ thống tự Restart VII.6.5 Xây dựng Organizational Unit OU là nhóm tài khoản người dùng, máy tính và tài nguyên mạng tạo nhằm mục đích dể dàng quản lý và ủy quyền cho các quản trị viên địa phương giải các công việc đơn giản Đặc biệt là thông qua OU chúng ta có thể áp đặt các giới hạn phần mềm và giới hạn phần cứng thông qua các Group Policy 100 (102) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Muốn xây dựng OU bạn làm theo các bước sau: Login vào máy Domain Controller với quyền hạn là Administrator Từ menu Start -> Administrative Tool -> Active Directory Users and Computers Click chọn vào Domain cần thiết lập để tạo OU Hộp thoại New Object Organizational Unit gõ tên OU cần tạo vào mục Name ví dụ này OU cần tạo có tên là HCM OU tạo với tên HCM Bạn có thể tạo thêm vài OU khác cho tiện quản lý Tiếp theo là việc phân nhóm để giảm bớtt công tác quản trị Click chuột phải vào OU vừa chọn New -> Group 101 (103) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Sau đó đặt tên cho Group vừa tạo Click chọn OK để tạo Group Tạo User, Click chuột vào OU HCM chọn New -> User 102 (104) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại New Object User nhập thông tin User cần tạo click chọn Next Nhập Password vào và click chọn OK Add User vào Group: Click chuột phải vào OU chọn Properties Sau đó chọn Tab Members -> Click chọn Add gõ tên User muốn thêm vào nhóm sau đó click OK 103 (105) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C VII.6.6 Công cụ quản trị Active Directory Sevice Một bốn công cụ quản trị hệ thống Active Directory thì công cụ Active Directory User and Computer là công cụ quan trọng Công cụ này có chức tạo và quản lý các đối tượng hệ thống Active Directory Theo hình trên chúng ta thấy miền có các mục sau: Builtin: chứa các nhóm người dùng đã tạo và định nghĩa quyền sẵn Computers: chứa các máy trạm mặc định là thành viên miền Bạn có thể dùng tính này để kiểm tra máy trạm gia nhập vào miền có thành công không 104 (106) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Domain Controllers: chứa các điều khiển vùng (Domain Controller) hoạt động miền Bạn có thể dùng tính này để kiểm tra việc tạo thêm Domain Controller đồng hành có thành công không ForeignSecurityPrincipals: là vật chứa mặc định dành cho các đối tượng bên ngoài miền xem xét, từ các miền đã thiết lập quan hệ tin cậy (trusted domain) Users: chứa các tài khoản người dùng mặc định trên miền VIII Quản lý tài khoản người dùng và nhóm VIII.1 Tạo User Domain Sau đã tạo Domain Controller.Tiếp theo là tạo user trên domain Mở Server Manager.Click Roles Active Directory Domain Services Active Directory Users and Computers.Sau đó click vào domain Nhấp chuột phải vào User và chọn New User Tại bảng New Object – User bạn điền đầy đủ các thông tin vào mục First name,Last name, Full name Lưu ý : mục User logon name.Đây chính là tên tài khoản bạn dùng để đăng nhập vào hệ domain.Vì phải nhớ chính xác,và phải đảm bảo tính 105 (107) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Chọn Next để tiếp tục.Xuất bảng thiết lập password.Đây là mật bạn ứng với tên tài khoản đã tạo trên,dùng để đăng nhập vào domain Lưu ý là password phải thỏa mãn các chính sách mặc định Windows Server 2008.Password ít là kí tự và phải có các thành phần sau : Các kí tự thường : a,b,c,d,e… Các kí tự in hoa : A,B,C,D,E… Các chữ số : 1,2,3,4,5… Các kí tự đặc biệt : @,!,$,&,# Ở đây tôi thiết lập password là pass@word1 Lưu ý dòng : User must change password at next logon : bắt buộc user phải thay đổi password lần đăng nhập User cannot change password : user không có quyền thay đổi password Password never expires : password không có thời hạn qui định Account is disabled : vô hiệu hóa tài khoản Ở đây tôi chọn User must change password at next logon để đảm bảo tính riêng tư cho user 106 (108) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Chọn Next để tiếp tục.Ở bảng là thông tin user chuẩn bị tạo Chọn Finish để kết thúc Tiếp theo,kiểm tra thử user đã tạo Click đúp vào User và kiểm tra 107 (109) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C VIII.2 Quản lý user VIII.2.1 Thiết lập thời gian user phép đăng nhập vào domain Nhấp chuột phải vào user vừa tạo và chọn Properties Theo mặc định,user phép đăng nhập 24/24.Để thiết lập lại,chuyển qua tab Account và chọn Logon Hours Tại đây bạn có thể thiết lập thời gian đăng nhập cho user Chọn khoảng thời gian và click vào ô Logon Denied để chặn thời gian truy cập user 108 (110) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hình trên,tôi đã thiết lập để user này truy cập vào 8h sáng đến 19h vào các ngày thứ thứ 7.Sau đó chọn OK để hoàn tất VIII.2.2 Thiết lập user đăng nhập máy tính Vì lí bảo mật, không phải user nào đăng nhập vào các máy tính cách tùy ý.Để thiết lập tính riêng tư và định máy tính nào user phép sử dụng.Vào tab Account.Chọn Log On To.Chọn The following computers ,sau đó gõ tên máy tính mà user phép đăng nhập.Sau đó chọn Add.Nếu bạn muốn bỏ thì click vào tên máy tính và chọn Remove.Hoặc muốn sửa tên thì click vào tên máy tính và chọn Edit Chọn OK để xác nhận 109 (111) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tại tab Account còn có các mục : o Unlock Account : bạn muốn mở khóa tài khoản thì chọn ô này o Account Options : thiết lập các chính sách tài khoản o Account Expire : thời gian để account tồn tại.Nếu bạn chọn End of và chọn thời gian bên cạnh thì đến thời gian đó account hết hạn và VIII.2.3 Bảng chi tiết các tùy chọn liên quan tới user Tùy chọn Ý nghĩa You must change password at next logon Người dùng phải thay đổi mật cho lần đăng nhập User cannot change password Người dùng không thể thay đổi mật Password never expires Mật không hết hạn Store password reversible encryption using Chỉ áp dụng với các tùy chọn này các máy tính Apple Account is disable Tài khoản này tạm thời bị khóa Smartcard is required interactive login for Tùy chọn này dùng người dùng đăng nhập thông qua thẻ thông minh Khi đó cần số PIN mà không cần phải khai báo username và password Account is delegation trusted for Account is sensitive cannot be delegation and Use DES encryption type for this account Chỉ áp dụng cho tài khoản nào cần giành quyền truy cập vào tài nguyên với vai trò tài khoản khác Dùng với tài khoản tạm khách vãng lai để đảm bảo là tài khoản đó không đại diện tài khoản khác Nếu chọn thì hệ thống hỗ trợ DES (Data encryption Standard) với nhiều mức độ khác Tại tab General cho phép bạn điền đầy đủ và chi tiết thông tin user đó 110 (112) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tại tab Address cho phép bạn điền thông tin địa user 111 (113) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Khóa tài khoản Sau đã thiết lập thông tin user Tại bảng Properties Chọn OK để xác nhận thay đổi Khi tài khoản không sử dụng thời gian dài bạn nên khóa lại vì lý bảo mật và an toàn hệ thống Nếu bạn xóa tài khoản này thì không thể phục hồi lại đó ta tạm khóa Trong công cụ Local Users and Groups, nhấp đôi chuột vào người dùng cần khóa, hộp thoại Properties tài khoản xuất Trong Tab General, đánh dấu vào mục Account is disabled Tab member Tab Member Of cho phép bạn xem và cấu hình tài khoản người dùng là thành viên nhóm nào Một tài khoản người dùng có thể là thành viên nhiều nhóm khác và nó thừa hưởng quyền tất các nhóm này Muốn gia nhập vào nhóm nào bạn nhấp chuột vào nút Add, hộp thoại chọn nhóm VIII.3 Group Bạn tạo và quản lý tài khoản nhóm trên Active Directory thông qua công cụ Active Directory Users and Computers Trước tạo nhóm bạn phải xác định loại nhóm cần tạo, phạm vi hoạt động nhóm nào Để tạo group Nhấp chuột phải vào User và chọn New Group Tại ô Group name gõ tên group.Sau đó chọn OK 112 (114) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Kiểm tra lại group đã tạo cách click vào User Để đưa user vào group Nhấp chuột phải vào group và chọn Properties.Tại tab Member.Chọn Add Tại ô Enter the object name to select bạn gõ tên user muốn đưa vào group.Lưu ý tên user phải là tên bạn đã điền mục User logon name phần tạo user Sau gõ tên user bạn chọn Check Names để kiểm tra Và kết là tồn user này trên domain 113 (115) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Thử gõ tên user khác.Chẳng hạn Nguyen Van A sau đó chọn Check Names để kiểm tra.Hệ thống thông báo An object name ―Nguyen Van A‖ cannnot be found…… Tên Nguyen Van A đã không tồn trên domain Hoặc bạn có thể tìm kiếm nâng cao cách chọn Advance Sau thêm user vào group.Chọn OK để xác nhận 114 (116) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Ở tab Managed By ,bạn có thể điền tên user quản lý group cách chọn Change và gõ tên vào ô Name Chọn OK để xác nhận IX Local Security Policy (chính sách bảo mật cục bộ) Trong công tác quản trị mạng việc ứng dụng Group Policy vào công việc là điều không thể thiếu nhà trị mạng nào Với Group Policy ta có thể tùy 115 (117) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C biến Windows theo chủ ý mà với người sử dụng thông thường không thể làm Local Security Policy (chính sách bảo mật cục bộ) Có cách vào Local Security Policy: Cách 1: Vào start -> run -> gõ lệnh ―Secpol.msc‖ Cách 2: Start Menu -> Programs -> Administrative Tools -> Local Security Policy IX.1 Account Policy IX.1.1 Password policy Chính sách mật (Password Policies) nhằm đảm bảo an toàn cho mật người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống Chính sách này cho phép bạn quy định chiều dài ngắn mật khẩu, độ phức tạp mật khẩu, … Trong này bao gồm các mục: # Password must meet complexity … : đặt password cho wins phải có đủ độ phức tạp.(hoa, thường, số, ký tự đặc biệt) Mặc định tính này bị disable, để gia tăng chế độ bảo mật bạn nên Enable nó lên # Minimum password age: mặc định giá trị này là ta thay nó số khác VD là chẳng hạn thì user có quyền thay đổi password ngày lần mà thôi # Minimum password length: Để gia tăng chế độ bảo mật bạn nên Enable tính này lên với giá trị >8 độ dài password user luôn mức an toàn cao 116 (118) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C # Enforce password history: nhớ bao nhiêu password không cho đặt trùng # Store password using reversible … : mã hoá password IX.1.2 Account lockout policy Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản vùng hay hệ thống cục Chính sách này giúp hạn chế công thông qua hình thức logon từ xa # Account lockout threshold: để khoá account đăng nhập sai Bạn nên cho giá trị này là để tránh tình trạng hacker cố gắng dò tìm password bạn, vì hacker dò pass sai quá lần account này bị lock vòng 30 phút Nếu user đăng nhập sai quá lần dẫn đến account user này bị lock bạn có thể unlock cho account này tức thì cách đăng nhập vào với quyền Administrator sau đó chọn Computer Management -> Local user and group -> User Sau đó double click vào account bị lock bỏ chọn mục Account is locked out # Account lockout duration: khoá account 30 phút nhập sai # Reset account lockout counter after: xoá nhớ đánh pass IX.2 Local policy Chính sách cục (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng người dùng và tài nguyên dùng chung Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật 117 (119) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C IX.2.1 Audit Policies Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các kiện xảy hệ thống, trên các đối tượng các người dùng Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer, mục Security #Audit Account Logon Events: Kiểm toán kiện tài khoản đăng nhập, hệ thống ghi nhận người dùng logon, logoff tạo kết nối mạng #Audit Account Management : Hệ thống ghi nhận tài khoản người dùng nhóm có thay đổi thông tin hay các thao tác quản trị liên quan đến tài khoản người dùng 118 (120) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C IX.2.2 User rights assignment: # Deny logon locally: chọn user không cho đăng nhập vào máy tính # Change the system time: người thay đổi hệ thống # Shutdown the system: người có quyền tắt máy … và còn nhiều tính khác IX.2.3 Security options: 119 (121) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C # Interactive logon: Do not display last user name: Khi user logout máy cửa sổ đăng nhập không ghi lại account user vừa logon # Interactive logon: Message text for users attempting to log on: Bạn có thể nhắn gởi nội dung nào đó tới các user trước họ logon vào máy với nội dung nhắn gởi đây # Interactive logon: Message title for users attempting to log on: Bạn nhập tiêu đề hộp nội dung nhắn gởi vào đây X Group Policy X.1 Chức Group Policy Group Policy (GP) trên Windows Server 2008 cho phép bạn định nghĩa cấu hình trên các nhóm user và computer hệ thống mạng.Chúng ta có thể sử dụng GP để tạo các chính sách và áp dụng cho các đối tượng Active Directory site,domain và OU Những thiết lập trên GP tổ chức lưu trữ các Group Policy Object (GPO) Để tương tác với GPO, bạn sử dụng công cụ Group Policy Management Console (GPMC) GPMC còn giúp bạn liên kết GPO đến các đối tượng site,domain OU ,để từ đó áp dụng các chính sách lên các nhóm user và computer thuộc đối tượng đó Lưu ý OU là đối tượng mức thấp để bạn có thể gán GPO X.2 Group Policy Management Console GMPC là công cụ quản lý GP đa năng, cho phép bạn tương tác với tất các GPO, Windows Management Instrumentation (WMI) filters và đối tượng liên quan đến GP trên hệ thống GMPC đem đến cho bạn khả : Backup và Restore GPO Import và Copy GPO Tìm kiếm các GPO Group Policy Modeling cho phép bạn tạo môi trường giả lập quá trình xây dựng kế hoạch triển khai GP trước bước vào giai đoạn triển khai thực tế Group Policy Results cho phép bạn thu thập thông tin GP đã áp dụng cho các đối tượng cụ thể ,trên sở đó ,giúp bạn giám sát và xử lí các cố xảy triển khai Starter GPOs là thành phần dùng để quản lý các Administratives Templates 120 (122) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Preferences bao gồm 20 chức mở rộng GP ,cho phép bạn thực các thiết lập liên quan đến registry, tài khoản cục bộ, dịch vụ, file và thư mục X.2.1 Cài đặt GPMC Để cài đặt GPMC vào Server Manager Features Add Features Sau đó chọn Group Policy Management và cài đặt bình thường Nếu bạn đã cài đặt dịch vụ ADDS, thành phần GMPC tự động cài đặt vào hệ thống X.2.2 Tương tác với GPO Để tạo GPO độc lập vào Start Administrative Tools Group Policy Management Tại cửa sổ GMPC, nhấp chuột phải lên mục Group Policy Objects và chọn New Tại bảng Name GPO nhập tên GPO và chọn OK Nhấp chuột phải vào GPO vừa tạo và chọn Edit 121 (123) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tại bảng Group Policy Management Editor, chọn Polices cần cấu hình Computer user Ở đây tôi ví dụ mẫu Password Policy mục Computer Configuration.Tôi thiết lập số chính sách password Click chuột đến mục Password Policy Computer Configuration Polices Windows Settings Security Settings Account Policy Password Policy Ở đây có mục: Enforce password history : số lượng password bắt buộc phải lưu trữ Maximum password age : thời hạn tối đã để password này tồn Minimum password age : thời hạn tối thiểu để password này tồn Minimum password length : số kí tự tối thiểu password Password must meet complexity requirements : password phải thỏa mãn việc có các kí tự (a,A,@,1…) Store passwords using reversible encryption: lưu trữ password,sử dụng phương thức mã hóa X.2.3 Liên kết GPO vào các đối tượng Sau tạo các GPO độc lập, bạn cần thực thao tác liên kết GPO này vào các loại đối tượng trên Active Directory là site, domain hay OU Đây là phương pháp thuận lợi và hiệu để áp dụng các chính sách đã thiết lập lên các nhóm user và computer Cần lưu ý GPO có thể liên kết đến nhiều đối tượng trên Active Directory 122 (124) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Trước liên kết GPO vào các đối tượng trên Active Directory, bạn cần tạo các đối tượng này Ở đây chúng ta tạo các OU Vào Server Manager Roles Active Directory Domain Services Active Directory Users and Computers.Nhấp chuột phải vào tên domain và chọn New Organization Unit Gõ tên đối tượng vào Chọn OK Tiếp theo là tạo user và computer OU này Nhấp chuột phải vào OU và chọn New User chọn Computer Sau đã tạo xong, bạn sử dụng GMPC để liên kết GPO vào OU Vào Start Adminitrative Tools Group Policy Management Nhấp chuột phải vào OU và chọn Link an Existing GPO 123 (125) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Trong bảng Select GPO chọn tên domain mục Look in this domain.Đồng thời chọn GPO tương ứng mục Group Policy objects Chọn OK để hoàn tất X.2.4 Tạo GPO liên kết Thay vì tạo các GPO độc lập,sau đó tiến hành liên kết ,bạn có thể kết hợp hai công việc này vào để tạo GPO liên kết (linked GPO).Tuy nhiên ,bạn nên tạo trực tiếp GPO liên kết đã có kinh nghiệm triển khai GPO và am hiểu hệ thống mình Vào Start Administrative Tools Group Policy Management 124 (126) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tại GPM, nhấp chuột phải vào GPO và chọn Create a GPO in this domain, and Link it here Tại bảng New GPO nhập tên GPO và chọn OK Lúc này, GPO đã tạo,đồng thời liên kết đến OU mà bạn đã tương tác Nếu bạn muốn hủy GPO khỏi OU này, click vào GPO đó Tại khung bên phải, tab Scope, nhấp chuột phải vào OU đó và chọn Delete Link (s) 125 (127) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Thao tác trên là hủy liên kết GPO đến OU, bạn muốn xóa GPO thì nhấp chuột phải vào GPO đó và chọn Delete Lưu ý: trước xóa bỏ GPO bạn phải hủy các liên kết GPO đó với OU trên domain X.2.5 Tương tác mở rộng với GPO Công cụ GPMC cho phép bạn dễ dàng thực các thao tác :backup, restore, copy và import các GPO triển khai Khả này là ưu điểm quan trọng quá trình quản lý các GPO trên hệ thống mạng,giúp bạn tiết kiệm thời gian, đồng thời tăng tính chính xác và ổn định hệ thống X.2.5.1 Tạo lưu (Backup) Để backup cho tất các GPO: nhấp chuột phải vào Group Policy Objects và chọn Back Up All 126 (128) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tại bảng Backup Group Policy Objects, chọn đường dẫn lưu GPO mục Location và nhập chú thích mục Description Sau đó chọn Back Up và đợi hệ thống tiến hành backup 127 (129) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Sau hoàn tất chọn OK Để backup GPO cụ thể: nhấp chuột phải lên GPO đó và chọn Back up và tiến hành tương tự việc backup cho tất các GPO Sau đã backup xong, bạn có thể quản lý GPO chức Manage Backup Nhấp chuột phải vào Group Policy Objects và chọn Manage Backup Tại bảng Manage Backups, mục Backup location, chọn Browse và tới đường dẫn thư mục đã backup Sau đó, danh sách các GPO xuất muc Backed up GPOs 128 (130) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nếu bạn muốn hiển thị các GPO backup gần với thời điểm nhất, bạn đánh dấu chọn Show only the lastest version of each GPO Nếu bạn muốn xem chi tiết các thiết lập GPO thì chọn GPO đó và chọn View Settings Để xóa GPO đã backup, bạn chọn GPO và chọn Delete 129 (131) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C X.2.5.2 Phục hồi (Restore) Nếu đã có backup thì chắn có restore Để restore GPO Nhấp chuột phải vào GPO đó và chọn Restore from Backup Tại bảng Welcome to the Restore Group Policy Object Wizard chọn Next Tại bảng Backup location chọn Browse đường dẫn thư mục đã backup 130 (132) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Chọn Next để tiếp tục Tại bảng Backed up GPOs, chọn GPO muốn restore Chọn Next Tại bảng Completing chọn Finish để hoàn tất 131 (133) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Đợi hệ thống restore GPO, sau hoàn tất chọn OK Để kiểm tra, click vào GPO đó, khung bên phải, tab Settings Xem lại thời gian các thiết lập 132 (134) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C X.2.6 Starter GPOs X.2.6.1 Giới thiệu Starter GPOs là thành phần trên GMPC, cho phép bạn quản lý các template dùng để tạo các GPO Starter GPOs hỗ trợ các thiết lập trên Administrative Templates, giúp bạn thực các thao tác với Administrative Templates tạo lập, tùy chỉnh, import, export….một cách dễ dàng và nhanh chóng Trong phần này, chúng ta thực hành tạo lập các Starter GPOs, sau đó tạo GPO với template là các Starter GPO này X.2.6.2 Tạo Starter GPO Vào Start Administrative Tools Group Policy Management Click vào Starter GPOs và chọn Create Starter GPOs Folder 133 (135) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nhấp chuột phải vào Starter GPOs và chọn New Trong bảng New Starter GPO nhập tên Starter GPO Chọn OK Tiếp theo, nhấp chuột phải lên Starter GPO vừa tạo và chọn Edit 134 (136) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tại bảng Group Policy Starter GPO Editor cho phép bạn thiết lập cấu hình Sau đã thiết lập xong, đóng GPM Editor X.2.7 Tạo GPO từ Starter GPO Để tạo GPO từ Starter GPO: Nhấp chuột phải vào Starter GPO đó và chọn New GPO from Starter GPO Tại bảng New GPO gõ tên GPO vào -> sau đó chọn OK 135 (137) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XI Dịch vụ DHCP XI.1 Giới thiệu dịch vụ DHCP Dynamic Host Configuration Protocol (DHCP) là dịch vụ sở hạ tầng có trên bất kì hệ thống mạng nào nhằm cung cấp địa IP và thông tin DNS server tới các "PC client" hay số thiết bị khác DHCP sử dụng để giúp bạn không phải ấn định địa IP tĩnh cho tất các thiết bị có hệ thống mạng mình và giúp bạn quản lí vấn đề mà địa IP tĩnh có thể tạo Qua thời kì, DHCP ngày càng phát triển để có thể thích hợp dịch vụ mạng giống "Windows Health Service" hay "Network Access Protection (NAP)" XI.2 Cài đặt DHCP Server Việc cài đặt Windows Server 2008 DCHP Server hoàn toàn dễ dàng DHCP Server là ―role‖ Windows Server 2008 Trên máy DHCP Server, đặt địa IP tĩnh, có dải IP muốn sử dụng cho các máy khách, các địa IP máy chủ DNS và cổng mặc định Từ cửa sổ Initial Configuration Tasks từ Server Manager > Roles > Add Roles, click Add Roles Khi Add Roles Wizard xuất hiện, click Next Tiếp đến, chọn thành phần muốn bổ sung, DHCP Server Role, sau đó kích Next > Next Nhập Parent Domain, Primary DNS Server, và Alternate DNS Server và click Next 136 (138) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Click Add để bổ sung thêm phạm vi mới, đặt tên Scope WBC-Local, đã cấu hình địa IP bắt đầu và kết thúc là 192.168.1.50-192.168.1.100, subnet mask là 255.255.255.0, default gateway là 192.168.1.1, kiểu subnet (chạy dây), và activated the scope Chọn Disable DHCPv6 stateless mode cho máy chủ và click Next -> xác nhận DHCP Installation Selections -> Install Sau đó, DHCP Server cài đặt và chúng ta thấy cửa sổ xuất 137 (139) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Cài đặt Windows Server 2008 DHCP Server thành công -> click Close XI.3 Quản lý DHCP Server Trong Server Manager, Roles, kích chọn entry DHCP Server Do không thể quản lý các phạm vi DHCP Server và các máy khách đây nên gì chúng ta có thể thực là quản lý kiện, dịch vụ và tài nguyên gì có liên 138 (140) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C quan đến cài đặt DHCP Server Chính vì vậy, đây là nơi tốt để kiểm tra trạng thái DHCP Server và kiện gì đã xảy xung quanh nó Để cấu hình DHCP Server và xem máy khách nào đã thu các địa IP, chúng ta cần vào DHCP Server MMC Thực điều đó, bạn cần vào Start > Administrative Tools > DHCP Server Khi khởi chạy, MMC cung cấp nhiều tính DHCP Server MMC cung cấp các thông tin IPv4 và IPv6 DHCP Server gồm tất scope, pool, lease, reservation, scope options và server option Nếu vào address pool và scope options, chúng ta có thể thấy cấu hình mình đã tạo cài đặt DHCP Server Dải địa IP nằm đây và DNS Server và gateway mặc định Address Pool DHCP Server 139 (141) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Scope Options DHCP Server XI.4 Kiểm tra DHCP Server Kiểm tra cấp phát động IP từ máy server tới các máy trạm Sử dụng máy trạm Windows Vista trên cùng đoạn mạng với Windows Server 2008 DHCP server Start -> run -> gõ lệnh cmd Trong môi trường DOS, gõ dòng lệnh IPCONFIG /RELEASE sau đó là IPCONFIG /RENEW Ta thấy, Vista client đã nhận địa IP từ DHCP Server Vào Windows 2008 Server, thẩm định Vista client đã liệt kê với tư cách máy khách máy chủ DHCP 140 (142) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nhận thấy, máy khách đã nhận dải IP tự động cùng dải với máy chủ DHCP server, và trên máy chủ xuất địa IP kèm tên máy khách XII Dịch vụ DNS XII.1 Giới thiệu DNS Mỗi máy tính mạng muốn liên lạc hay trao đổi thông tin, liệu cho cần phải biết rõ địa IP Nếu số lượng máy tính nhiều thì việc nhớ địa IP này là khó khăn Mỗi máy tính ngoài địa IP còn có tên (hostname) Đối với người việc nhớ tên máy dù dể dàng vì chúng có tính trực quan và gợi nhớ địa IP Vì thế, người ta nghĩ cách làm ánh xạ địa IP thành tên máy tính Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy chủ phục vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên - Resolver Name Server chứa các thông tin CSDL DNS, còn Resolver đơn giản là các hàm thư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name Server DNS thi hành giao thức tầng Application mạng TCP/IP DNS là CSDL phân tán Điều này cho phép người quản trị cục quản lý phần liệu nội thuộc phạm vi họ, đồng thời liệu này dể dàng truy cập trên toàn hệ thống mạng theo mô hình Client-Server Hiệu suất sử dụng dịch vụ tăng cường thông qua chế nhân (replication) và lưu tạm (caching) Một hostname domain là kết hợp từ phân cách dấu chấm(.) 141 (143) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Sơ đồ tổ chức DNS Cơ sở liệu(CSDL) DNS là cây đảo ngược Mỗi nút trên cây lại là gốc cây Mỗi cây là phân vùng toàn CSDL DNS gọi là miền (domain) Mỗi domain có thể phân chia thành các phân vùng nhỏ gọi là các miền (subdomain) Mỗi domain có tên (domain name) Tên domain vị trí nó CSDL DNS Trong DNS tên miền là chuỗi các tên nhãn nút đó ngược lên nút gốc cây và phân cách dấu chấm Tên nhãn bên phải domain name gọi là top-level domain Vì quá tải domain name đă tồn tại, đó đă làm phát sinh toplevel domain Bảng sau đây liệt kê top-level domain Bên cạnh đó, nước có top-level domain Ví dụ top-leveldomain Việt Nam là vn, Mỹ là us Dưới đây là tên miền các quốc gia 142 (144) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XII.2 Đặc điểm DNS Đặc điểm DNS: Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theo tên domain yêu cầu truy vấn Stub zone: hỗ trợ chế phân giải hiệu Đồng các DNS zone Active Directory (DNS zone replication in Active Directory) Cung cấp số chế bảo mật tốt các hệ thống Windows trước đây Luân chuyển (Round robin) tất các loại RR Cung cấp nhiều chế ghi nhận và theo dơi cố lỗi trên DNS Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính bảo mật cho việc lưu trữ và nhân (replicate) zone Cung cấp tính EDNS0 (Extension Mechanisms for DNS) phép DNS Requestor quảng bá zone transfer packet có kích thước lớn 512 byte Windows Server 2008 cung cấp cải tiến với dịch vụ DNS Server nhầm cải thiện số tính thực DNS và diển hình là tính bật đă có DNS Server 2008 là DNS Server Role Chức DNS Server Role: Background zone loading: Máy chủ DNS mà máy chủ lưu trữ lớn DNS lưu Active Directory Domain Services (AD DS) có thể đáp ứng cho người dùng cách nhanh họ khởi động lại, Vì liệu khu vực nạp IP phiên (IPv6): Các dịch vụ DNS Server bây hỗ trợ đầy đủ các địa dài các đặc điểm kỹ thuật IPv6 Read Only Domain Controller: DNS Server role Windows Server 2008 cung cấp các khu tiểu học đọc trên RODCs Global single names: GlobalNames Khu cung cấp phân giải tên đơn nhãn cho các mạng doanh nghiệp lớn mà không triển khai Windows Internet Name Service (WINS) Khu GlobalNames hữu ích sử dụng tên DNS hậu tố để cung cấp phân giải tên đơn nhãn là không thực tế 143 (145) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Global query block list: Người dùng các giao thức các giao thức Web Proxy Auto-Discovery Protocol (wpad) và Intra-site Automatic Tunnel Addressing Protocol (ISATAP) phụ thuộc vào độ phân giải tên DNS để giải tên máy chủ tiếng là dể bị nguy hiểm người dùng sử dụng cập nhật đến để đăng kư máy chủ mà đặt là máy chủ hợp pháp DNS Server role Windows Server 2008 cung cấp danh sách truy vấn chặn toàn cầu có thể giúp làm giảm tổn thương XII.3 Một số khái niệm XII.3.1 Domain name và Zone Một miền gồm nhiều thực thể nhỏ gọi là miền (subdomain) Ví dụ, miền ca bao gồm nhiều miền ab.ca, on.ca, qc.ca, Bạn có thể ủy quyền số miền cho DNS Server khác quản lý Những miền và miền mà DNS Server quyền quản lý gọi là zone Như vậy, Zone có thể gồm miền, hay nhiều miền hình sau mô tả khác zone và domain Sơ đồ Zone và Domain Primary zone : Cho phép đọc và ghi sở liệu Secondary zone : Cho phép đọc sở liệu Stub zone : chứa sở liệu zone nào đó, nó chứa vài RR XII.3.2 Fully qualified domain name Mỗi nút trên cây có tên gọi(không chứa dấu chấm) dài tối đa 63 kư tự Tên rỗng dành riêng cho gốc (root) cao và biểu diển dấu chấm Một tên miền đầy đủ nút chính là chuỗi các tên gọi nút ngược lên nút gốc, tên gọi cách dấu chấm Tên miền có xuất dấu chấm sau cùng gọi là tên tuyệt đối (absolute) khác với tên tương đối là tên không kết thúc dấu 144 (146) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C chấm Tên tuyệt đối xem là tên miền đầy đủ đă chứng nhận (Fully Qualified Domain Name - FQDN) XII.3.3 Sự ủy quyền Một các mục tiêu thiết kế hệ thống DNS là khả quản lý phân tán thông qua chế uỷ quyền (delegation) Trong miền có thể tổ chức thành nhiều miền con, miền có thể uỷ quyền cho tổ chức khác và tổ chức đó chịu trách nhiệm trì thông tin miền này Khi đó, miền cha cần trỏ trỏ đến miền này để tham chiếu có các truy vấn Không phải miền luôn luôn tổ chức miền và uỷ quyền toàn cho các miền này, có thể có vài miền ủy quyền XII.3.4 Forwarders Là kỹ thuật cho phép Name Server nội chuyển yêu cầu truy vấn cho các Name Server khác để phân giải các miền bên ngoài Sơ đồ Forward DNS queries XII.3.5 Stub zone Là zone chứa bảng sở liệu DNS từ master name server, Stub zone chứa các resource record cần thiết : A, SOA, NS, vài địa master name server hỗ trợ chế cập nhật Stub zone, chế chứng thực name server zone và cung cấp chế phân giải tên miền hiệu hơn, đơn giản hóa công tác quản trị 145 (147) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Sơ đồ Stub zone XII.3.6 Dynamic DNS Dynamic DNS là phương thức ánh xạ tên miền tới địa IP có tần xuất thay đổi cao Dịch vụ DNS động (Dynamic DNS) cung cấp chương trình đặc biệt chạy trên máy tính người sử dụng dịch vụ dynamic DNS gọi là Dynamic Dns Client Chương trình này giám sát thay đổi địa IP host và liên hệ với hệ thống DNS địa IP host thay đổi và sau đó update thông tin vào sở liệu DNS thay đổi địa đó DNS Client đăng ký và cập nhật resource record nó cách gởi dynamic update Sơ đồ Dynamic update Các bước DHCP Server đăng ký và cập nhật resource record cho Client 146 (148) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Active Directory - Integrated zone Sử dụng Active Directory-integrated zone có số thuận lợi sau: DNS zone lưu trữ trong Active Directory, nhờ chế này mà liệu bảo mật Sử dụng chế nhân Active Directory để cập nhận và chép sở liệu DNS Sử dụng secure dynamic update Sử dụng nhiều master name server để quản lý tên miền thay Vì sử dụng master name server Sơ đồ sercure dynamisc update 147 (149) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XII.4 Cơ chế phân giải tên XII.4.1 Cơ chế phân giải tên máy tính thành IP Root name server: Là máy chủ quản lý các name server mức top-level domain Khi có truy vấn tên miền nào đó thì Root Name Server phải cung cấp tên và địa IP name server quản lý top-level domain (Thực tế là hầu hết các root server chính là máy chủ quản lý top-level domain) và đến lượt các name server top-level domain cung cấp danh sách các name server có quyền trên các second-level domain mà tên miền này thuộc vào Cứ đến nào tìm máy quản lý tên miền cần truy vấn Qua trên cho thấy vai trò quan trọng root name server quá trình phân giải tên miền Nếu root name server trên mạng Internet không liên lạc thì yêu cầu phân giải không thực Sơ đồ phân giải Hostname thành IP Client gửi yêu cầu cần phân giải địa IP máy tính có tên girigiri.gbrmpa.gov.au đến name server cục Khi nhận yêu cầu từ Resolver, Name Server cục phân tích tên này và xét xem tên miền này có mình quản lý hay không Nếu tên miền Server cục quản lý, nó trả lời địa IP tên máy đó cho Resolver Ngược lại, server cục truy vấn đến Root Name Server gần mà nó biết Root Name Server trả lời địa IP Name Server quản lý miền au Máy chủ name server cục lại hỏi tiếp name server quản lý miền au và tham chiếu đến máy chủ quản lý miền gov.au Máy chủ quản lý gov.au dẫn máy name server cục tham chiếu đến máy chủ quản lý miền 148 (150) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C gbrmpa.gov.au Cuối cùng máy name server cục truy vấn máy chủ quản lý miền gbrmpa.gov.au và nhận câu trả lời Truy vấn có thể dạng: Truy vấn đệ quy (recursive query): name server nhận truy vấn dạng này, nó bắt buộc phải trả kết tìm thông báo lỗi truy vấn này không phân giải Name server không thể tham chiếu truy vấn đến name server khác Name server có thể gửi truy vấn dạng đệ quy tương tác đến name server khác phải thực nào có kết thôi Truy vấn tương tác (Iteractive query): name server nhận truy vấn dạng này, nó trả lời cho Resolver với thông tin tốt mà nó có vào thời điểm lúc đó Bản thân name server không thực truy vấn nào thêm Thông tin tốt trả có thể lấy từ liệu cục (kể cache) Trong trường hợp name server không tìm thấy liệu cục nó trả tên miền và địa IP name server gần mà nó biết 149 (151) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XII.4.2 Cơ chế phân giải IP thành tên máy tính Ánh xạ địa IP thành tên máy tính dùng để diển dịch các tập tin log cho dể đọc Nó còn dùng số trường hợp chứng thực trên hệ thống UNIX (kiểm tra các tập tin rhost hay host.equiv) Trong không gian tên miền đă nói trên liệu -bao gồm địa IP- lập mục theo tên miền Do đó với tên miền đă cho việc tìm địa IP khá dể dàng Để có thể phân giải tên máy tính địa IP, không gian tên miền người ta bổ sung thêm nhánh tên miền mà lập mục theo địa IP Phần không gian này có tên miền là in-addr.arpa Mỗi nút miền in-addr.arpa có tên nhăn là số thập phân địa IP Ví dụ miền in-addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ đến 255 byte đầu tiên địa IP Trong subdomain lại có 256 subdomain ứng với byte thứ hai Cứ và đến byte thứ tư có các ghi cho biết tên miền đầy đủ các máy tính các mạng có địa IP tương ứng Lưu ý: người dùng gõ vào trình duyệt web địa domain name thì quá trình này dọc tên miền có địa IP theo thứ tự ngược XII.5 Phân loại Domain name Server Có nhiều loại Domain Name Server tổ chức trên Internet Sự phân loại này tùy thuộc vào nhiệm vụ mà chúng đảm nhận Tiếp theo sau đây mô tả loại Domain Name Server XII.5.1 Primary Name Server Mỗi miền phải có Primary Name Server Server này đăng kí trên Internet để quản lý miền Mọi người trên Internet biết tên máy tnh và địa IP Server này Người quản trị DNS tổ chức tập tin CSDL trên Primary Name Server Server này có nhiệm vụ phân giải tất các máy miền hay zone XII.5.2 Secondary Name Server Mỗi miền có Primary Name Server để quản lý CSDL miền Nếu Server này tạm ngưng hoạt động Vì lý nào đó thì việc phân giải tên máy tính thành địa IP và ngược lại xem bị gián đoạn Việc gián đoạn này làm ảnh hưởng lớn đến tổ chức có nhu cầu trao đổi thông tin ngoài Internet cao Nhằm khắc phục nhược điểm này, nhà thiết kế đă đưa Server dự p ng gọi là Secondary(hay Slave) Name Server Server này có nhiệm vụ lưu tất liệu trên Primary Name Server và Primary Name Server bị gián đoạn thì nó đảm nhận việc phân giải tên máy tính thành địa IP và ngược lại Trong miền có thể có hay nhiều Secondary Name Server Theo chu 150 (152) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C kỳ, Secondary chép và cập nhật CSDL từ Primary Name Server Tên và địa IP Secondary Name Server người trên Internet biết đến XII.5.3 Caching Name Server Caching Name Server không có tập tin CSDL nào Nó có chức phân giải tên máy trên mạng xa thông qua Name Server khác Nó lưu giữ lại tên máy đă phân giải trước đó và sử dụng lại thông tin này nhằm mục đích: Làm tăng tốc độ phân giải cách sử dụng cache Giảm bớt gánh nặng phân giải tên máy cho các Name Server + Giảm việc lưu thông trên mạng lớn Sơ đồ Bảng cache 151 (153) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XII.6 Resource Record Resource Record (RR) là mẫu thông tin dùng để mô tả các thông tin sở liệu DNS, các mẫu tin này lưu các file sở liệu DNS (\systemroot\system32\dns) Sơ đồ Cơ Sở Dữ Liệu XII.6.1 SOA Record Trong tập tin CSDL phải có và record SOA (start of authority) Record SOA máy chủ Name Server là nơi cung cấp thông tin tin cậy từ liệu có zone Cú pháp record SOA Serial: Áp dụng cho liệu zone và là số nguyên Trong ví dụ, giá trị này thông thường người ta sử dụng theo định dạng thời gian 1997102301 Định dạng này theo kiều YYYYMMDDNN, đó YYYY là năm, MM là tháng, DD là ngày và NN số lần sửa đổi liệu zone ngày Bất kể là theo định dạng nào, luôn luôn phải tăng số này lên lần sửa đổi liệu zone Khi máy máy chủ Secondary liên lạc với máy chủ Primary, trước tiên nó hỏi số serial Nếu số serial máy Secondary nhỏ số serial máy Primary tức là liệu zone trên Secondary đă cũ và sau đó máy Secondary chép liệu từ máy Primary thay cho liệu có hành 152 (154) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Refresh: Chỉ khoảng thời gian máy chủ Secondary kiểm tra liệu zone trên máy Primary để cập nhật cần Trong ví dụ trên thì máy chủ Secondary liên lạc với máy chủ Primary để cập nhật liệu có Giá trị này thay đổi tuỳ theo tần suất thay đổi liệu zone Retry: máy chủ Secondary không kết nối với máy chủ Primary theo thời hạn mô tả refresh (ví dụ máy chủ Primary bị shutdown vào lúc đó thì máy chủ Secondary phải tìm cách kết nối lại với máy chủ Primary theo chu kỳ thời gian mô tả retry Thông thường giá trị này nhỏ giá trị refresh Expire: Nếu sau khoảng thời gian này mà máy chủ Secondary không kết nối với máy chủ Primary thì liệu zone trên máy Secondary bị quá hạn Một liệu trên Secondary bị quá hạn thì máy chủ này không trả lời truy vấn zone này Giá trị expire này phải lớn giá trị refresh và giá trị retry TTL: Viết tắt time to live Giá trị này áp dụng cho record zone và đính kèm thông tin trả lời truy vấn Mục đích nó là thời gian mà các máy chủ Name Server khác cache lại thông tin trả lời Việc cache thông tin trả lời giúp giảm lưu lượng truy vấn DNS trên mạng XII.6.2 NS Record Record cần có zone là NS (name server) record Mỗi Name Server cho zone có NS record Cú pháp: XII.6.3 A Record và CNAME Record Record A (Address) ánh xạ tên máy (hostname) vào địa IP Record CNAME (canonical name) tạo tên bí danh alias trỏ vào tên canonical Tên canonical là tên host record A lại trỏ vào tên canonical khác 153 (155) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XII.6.4 AAA Record Ánh xạ tên máy (hostname) vào địa IP version Riêng IP V6 có thể có các hệ điều hành sau: Windows Vista, Windows Server 2008, Windows7 XII.6.5 ARV Record Cung cấp chế định vị dịch vụ, Active Directory sử dụng Resource Record này để xác định Domain controllers, global catalog servers, Lightweight Directory Access Protocol (LDAP) servers Các field SVR: Tên dịch vụ service Giao thức sử dụng Tên miền (domain name) + TTL và class Priority Weight (hỗ trợ load balancing) + Port dịch vụ Target định FQDN cho host hỗ trợ dịch vụ XII.6.6 MX Record DNS dùng record MX việc chuyển mail trên mạng Internet Ban đầu chức chuyển mail dựa trên record: record MD (mail destination) và record MF (mail forwarder) records MD đích cuối cùng thông điệp mail có tên miền cụ thể MF máy chủ trung gian chuyển tiếp mail đến máy chủ đích cuối cùng Tuy nhiên, việc tổ chức này hoạt động không tốt Do đó, chúng tích hợp lại thành record là MX Khi nhận mail, trình chuyển mail (mailer) dựa vào record MX để định đường mail Record MX mail exchanger cho miền - mail exchanger là máy chủ xử lý (chuyển mail đến mailbox cục hay làm gateway chuyền sang giao thức chuyển mail khác UUCP) chuyển tiếp mail đến mail exchanger khác (trung gian) gần với 154 (156) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C mình để đến tới máy chủ đích cuối cùng dùng giao thức SMTP (Simple Mail Transfer Protocol) Để tránh việc gửi mail bị lặp lại, record MX có thêm giá trị bổ sung ngoài tên miền mail exchanger là số thứ tự tham chiếu Đây là giá trị nguyên không dấu 16-bit (0-65535) thứ tự ưu tiên các mail exchanger Chỉ máy chủ mail.groupsvit.net là mail exchanger cho miền groupsvit.net với số thứ tự tham chiếu 10 Trình chuyển thư mailer thử phân phát thư đến mail exchanger có số thứ tự tham chiếu nhỏ trước Nếu không chuyển thư thì mail exchanger với giá trị kế sau chọn Trong trường hợp có nhiều mail exchanger có cùng số tham chiếu thì mailer chọn ngẫu nhiên chúng XII.6.7 PTR Record Record PTR (pointer) dùng để ánh xạ địa IP thành Hostname XII.7 Cài đặt dịch vụ DNS Bạn có thể cài đặt dịch vụ DNS cách tự động quá trình nâng cấp máy tính lên Domain Controller Nếu Bạn không muốn cài đặt dịch vụ DNS quá trình nâng cấp Bạn có thể cài đặt và cấu hình dịch vụ DNS sau Các bước tiến hành cài đặt và cấu hình dịch vụ DNS Hộp thoại Select Server Roles đánh dấu chọn vào DNS Server sau đó Click chọn Next để cài đặt dịch vụ này vào máy tính 155 (157) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại DNS Server giữ nguyên mặc định Click chọn Next -> Chọn Install XII.8 Cấu hình dịch vụ DNS XII.8.1 Tạo Forward lookup zone Sau cài đặt thành công dịch vụ DNS Server ta tiến hành tạo các Resource và Records sau: Tại cửa sổ DNS Manager -> Click chuột phải vào Forword Lookup Zone chọn New Zone… 156 (158) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Welcome to the New Zone Wizard xuất Bạn Click chọn Next Trong Hộp thoại Zone Type (Kiểu Zone bạn cần tạo) Chọn Primary zone sau đó Click chọn Next Hộp thoại Active Directory Zone Replocation Scope đánh dấu chọn vào ô To all DNS Servers in this domain: GroupsvIT.Net -> click chọn Next Hộp thoại Zone Name Bạn nhập vào tên Domain vào ô Zone name tiếp tục Click Next 157 (159) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Dynmic Update Click chọn vào Allow both nonseure and secure dynmic updates lựa chọn ỡ ô này thì viêc thiết lập DNS là vừa chế đệ bảo mật vào chế độ dynmisc updates đến Server, tiếp tục Click chọn Next để cấu hnh Hộp thoại Completing the New Zone Wizard Click chọn Finish 158 (160) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XII.8.2 Tạo Reverse lookup zone Tại cửa sổ DNS Manager Click chuột phải vào Reverse Lookup Zone chọn new Zone Hộp thoại Welcome to the New Zone Wizard -> Click Next Hộp thoại Zone Type đánh dấu check vào ô Primary Zone sau đó Click chọn Next Hộp thoại Active Directory Replication Scope Chọn To all DNS Servers in this domain Groupsvit.Net -> Click chọn Next Click chọn Ipv4 Reverse Lookup Zone -> Next Hộp thoại Reverse Lookup Zone Name Nhập vào Network ID Click chọn Next 159 (161) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại Dynamic Update chọn Allow both nonsecure and secure dynamic updates Click chọn Finish để kết thúc quá trình tạo Revers Lookup Zone XII.8.3 Tạo Record CNAME Các bước tạo CNAME Records: Click chuột phải vào Domain cần tạo chọn New Alias (CNAME)… Hộp thoại Alias name gõ tên Alias cần tạo sau đó Click chọn vào Browse… để trỏ đến A Records 160 (162) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Chọn Borwse trỏ đến Host A Click chọn OK Tạo Alisa Name cho Mail thực tương tự Alias www 161 (163) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XII.8.4 Tạo MX Record Records MX: Giữ nhiệm vụ gửi và nhận Mail Các bước tạo Records MX: Hộp thoại New Resource Record click chọn Browse… trỏ tới host A, thiết lập Priority là 10 -> Click OK 162 (164) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tạo Record PTR Click chuột phải vào Reverse Lookup Zone vừa tạo chọn new Poniter (PTR) Hộp thoại New Resource Record nhập vài địa IP máy chủ ô Host IP Address, đánh dấu check vào ô Allow any authenticated … 163 (165) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Sau đó Click chọn Browse để trỏ tới Host A (Record A) Kết sau Click chọn Browse … Click chọn OK 164 (166) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Kết sau tạo các Records XII.8.5 Tạo miền Trong miền có thể có nhiều miền con, việc tạo miền giúp cho người quản trị cung cấp tên miền cho các tổ chức, các phận miền mình thông qua đó nó cho phép người quản trị có thể phân loại và tổ chức hệ thống dể dàng Để tạo miền con: Tại hộp thoại DNS Manager, chuột phải vào Domain chọn New Domain… 165 (167) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hộp thoại New DNS Domain -> gõ tên Domain cần tạo vào ô Type the new DNS Domain name sau đó click chọn OK XII.9 Quản lý dịch vụ DNS XII.9.1 Theo dõi kiện DNS Khi quản trị dịch vụ DNS, việc ghi nhận và theo dơi kiện xảy cho dịch vụ DNS là quan trọng, thông qua đó ta có thể đưa số giả pháp khắc phục có cố xảy ra,… Trong DNS management console cung cấp mục Event Viewer ta có thể thực điều này, phần này ta cần lưu ý số biểu tượng như: : Chỉ thị lỗi nghiêm trọng, lỗi này ta cần theo xử lý nhanh chóng : Thông tin ghi nhận các kiện bình thường shutdown, start, stop DNS,… 166 (168) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XII.9.2 Kiểm tra hoạt động dịch vụ DNS Trên máy chủ, Từ menu Start ->Run -> gõ lệnh ―cmd‖ Tại cửa sổ DOS, gõ lệnh ―nslookup‖ -> Enter -> nhập đầy đủ tên domain -> Enter XIII Dịch vụ File Server XIII.1 Giới thiệu công cụ File Server Resource Manager File Server Resource Manager là tập hợp các công cụ cho phép người quản trị có thể điều khiển và quản lý liệu trên các server chạy hệ điều hành Windows Server 2008 cách hiệu Với công cụ này, bạn có thể cấu hình quota trên ổ đĩa và thư mục,ngăn cấm chép định dạng mà bạn định,đồng thời xuất các báo cáo giám sát hoạt động người dùng trên không gian lưu trữ Với File Server Resource Manager, bạn có thể thực các công việc sau: Tạo quota trên ổ đĩa thư mục để giới hạn dung lượng cấp cho người sử dụng, đồng thời gửi email thông tin cảnh bảo người dùng đạt đến vượt quá giới hạn quota cho phép 167 (169) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tự động sinh và cấp phát quota cho tất các thư mục đã tồn thư mục tạo trên ổ đĩa thư mục Tạo các file screen để định thể loại file mà người sử dụng có thể lưu trữ,đồng thời gửi thông tin cảnh báo người sử dụng cố gắng lưu trữ các thể loại file không cho phép Định nghĩa các template cho quota và file screen để dể dàng và nhanh chóng áp dụng với ổ đĩa và thư mục Xuất các báo cáo,giám sát tình trạng sử dụng dung lượng đĩa định kỳ theo nhu cầu XIII.2 Cấu hình Home Directory Để cấu hình Home Diretory ta tiến hành làm sau: Vào ô đĩa C: tạo thư mục có tên là DULIEU -> Click chuột phải vào thư mục vừa tạo chọn Propertiese sau đó chọn tiếp Tab Sharing hình đây: Sau Click chọn vào Tab Sharing tiếp tục Click chọn vào Advanced Sharing … -> đánh dấu chọn vào Share this folder 168 (170) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Đánh dấu chọn vào Permisssions và cấp quyền cho nhóm Everyone là Full Control -> Click chọn Apply -> OK Hộp thoại DULIEU Properties đă Sharing -> Click chọn Close 169 (171) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Mở công cụ Active Driectory Users and Computers, tạo User với tên Là U1 -> Click chọn Properties User U1 Profile: tạo mục Home folder đánh dấu chọn vào Connect: mục To: nhập đường dẫn nơi chứa các Profile tạo cho U1 Login vào Domain Click chọn Apply -> OK 170 (172) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XIII.3 Cài đặt File server Resource manager Các bước cài đặt chương trình File Server Resource manager: Từ Menu Start -> Administrative Tools -> Server Manger Hộp thoại Server manger xuất -> Click chọn vào Roles -> Add Roles Hôp thoại Before You Begin để nguyên mặc định click chọn Next Hộp thoại Select Server Roles đánh dấu chọn vào dịch vụ File Server Resource Manager mà bạn muốn cài đặt sau đó chọn Next Hộp thoại Configure Storage Monitoring Bạn đánh dấu chọn vào Local Disk (C:) sau đó click chọn Next để tiếp tục Hộp thoại Set Report Options để mặc định cấu hình -> Click chọn Next -> Hộp thoại Confirm Installation Selections chọn Install để cài đặt công cụ này 171 (173) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Kết sau cài đạt hoàn tất công cụ File Server Resource Manager 172 (174) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XIII.4 Disk Quota XIII.4.1 Chức Khi sử dụng File Server Resource Manager, bạn có thể thiết lập hạn ngạch đĩa (Disk quota) trên ổ đĩa và thư mục hình thức là hard quota và soft quota Hard quota: cấm user thực thao tác lưu file vượt quá giới hạn quota cho phép Soft quota: không yêu cầu user phải tuân thủ giới hạn quota ghi lại tất các cảnh báo Khi tạo quota trên ổ đĩa thư mục, bạn nên dựa vào quota template Một quota template giúp bạn có thể dể dàng tái sử dụng, đồng thời đem đến đơn giản và hiệu việc quản lý và bảo trì quota trên hệ thống File Server Resource Manager còn có thể sinh quota cách tự động Khi cấu hình Auto Apply Quota, bạn áp dụng quota template đến ổ đĩa thư mục cụ thể (parent volume, folder).Ngay sau đó, quota tạo tương ứng với thư mục (đã tồn tạo mới) trên ổ đĩa thư mục đó Chú ý : để thực chức quota trên Windows Server 2008, bạn có thể lựa chọn File Server Resource Manager NTFS Disk Quota Nên sử dụng File Server Resource Manager vì ưu điểm sau : Tạo và quản lý quota trên ổ đĩa và thư mục Cơ chế cảnh báo đa dạng hóa với email, báo cáo, script và các file log Sử dụng quota template XIII.4.2 Tạo quota Vào Start -> Administrative Tools -> File Server Resource Manager Click vào Quota Management -> Quota Templates Ở khung giữa, nhấp chuột phải vào template và chọn ―Create Quota from Template” 173 (175) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tại bảng Create Quota, mục ―Quota path‖ chọn đường dẫn đến ổ đĩa thư mục cần thiết cách click vào Browse Đánh dấu chọn vào ―Create quota on path” Ở mục Derive properties from this quota template, chọn template phù hợp Ở mục Summary of quota properties, xem lại thuộc tính template mà bạn vừa chọn XIII.4.3 Kiểm tra Quota Để kiểm tra việc cấu hình có đúng không ta làm sau: User U1 login vào máy và copy thư mục hay tập tin nào đó có dung lượng lớn 100.000MB Sẽ thông báo kết qủa hình đây 174 (176) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XIV Quản lý máy ấn Vào thời điểm Windows NT Server 3.5, hệ điều hành máy chủ Microsoft lúc này đã có khả quản lý các máy in Tuy nhiên vào thời điểm này, các máy in muốn quản lý cần phải kết nối vật lý với máy chủ Thêm vào đó, chuỗi in mà máy chủ có thể host bị hạn chế số lượng cổng song song có sẵn trên máy chủ đó Ngày nay, hầu hết các máy in kết nối trực tiếp vào mạng, các cổng song song đã không còn tồn trước Khi phần cứng máy in thay đổi thì các tính quản lý máy in có máy chủ Windows thay đổi theo Mặc dù không phải tất các thay đổi Windows vấn đề phần cứng máy in thay đổi mà thực Microsoft đã thực số thay đổi có giá trị để tạo dễ dàng việc quản lý máy in Khi Microsoft tạo Windows Server 2008, họ đã thiết kế lại giao diện quản lý máy in nhằm giúp việc quản lý trở nên dễ Trong bài viết này, chúng tôi giới thiệu cho các bạn giao diện đó và cách sử dụng nó nào quản lý máy in XIV.1 Print Services Tools Khi thiết kế Windows Server 2008, Microsoft đã chọn phương pháp cài đặt số thành phần tối thiểu ban đầu Những gì cần thiết nhiệm vụ bạn cần phải cài đặt bổ sung sau này Tính quản lý máy in là thành phần Print Services Tools không cài đặt mặc định, vì để sử dụng nó bạn cần phải cài đặt thành phần này trước 175 (177) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Tại cửa sổ Server Manager, chọn Print Services Tools -> click liên kết Add Features có panel kết Khi đó Windows khởi chạy Add Features Wizard Màn hình ban đầu wizard yêu cầu chọn tính muốn cài đặt Tìm tùy chọn Remote Server Administration Tools -> Print Services Tools -> Next -> Install -> Close Truy cập Print Services Tools Lúc này bạn đã cài đặt xong Print Services Tools và có thể truy cập vào giao diện điều khiển Print Management cách chọn lệnh Print Management từ menu Administrative Tools máy chủ Giao diện quản lý máy in hình 176 (178) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XIV.2 Quản lý các máy in mạng Đến đây các bạn đã giới thiệu diện mạo giao diện quản lý máy in Print Management, tiếp đến hãy quan sát vào hình Bạn thấy hình này số lượng máy in đã định nghĩa và số lượng máy in có sẵn giao diện Bạn thấy mục All Drives có các driver tương ứng với các thiết bị máy in khác Mục All Drives có các thiết bị máy in mạng khác Đầu tiên, Windows đã đặt các mục All Printers và All Drivers cách tự động Nếu máy chủ cài đặt giao diện Print Management không phải là thành viên miền Active Directory, chính vì danh sách các máy in không trích rút từ Active Directory Lý các thiết bị máy in xuất là vì Windows Server 2008 đã tự động phát các máy in mạng tồn trên cùng subnet có máy chủ, sau đó cài đặt chúng và các driver cần thiết Một điểm mà chúng tôi muốn cho các bạn hình C là tên máy chủ tương ứng với máy in Mặc dù các máy in mạng nằm điểm nào đó mạng Windows tự động tạo hàng đợi cho máy in trên máy chủ Một các chức chính giao diện quản lý Print Management là cho phép bạn quản lý in ấn mạng tập trung Trong loạt bài này chúng tôi giới thiệu cho các bạn cách sử dụng các thiết lập chính sách nhóm để kết nối tự động các máy trạm làm việc với chuỗi in nằm trên máy chủ quản lý in ấn XIV.3 Chuyển Network Printer Khi đã có máy chủ quản lý việc in ấn cho doanh nghiệp, chắn bạn muốn hợp số print server khác Việc hợp cho phép bạn điều hành tất các các máy in mạng thông qua network print server, đó giảm số nhiệm vụ dành cho việc trì print server mà nhân viên quản trị cần phải thực Để hợp các network print server, bạn hãy mở Print Management console cách chọn lệnh Print Management từ Administrative Tools máy chủ Khi 177 (179) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C giao diện xuất hiện, kích vào mục Print Servers và chọn print server mà bạn muốn chuyển Kích phải vào print server này, sau đó chọn lệnh Export Printers to a File từ menu xuất Tại đây, Windows khởi chạy Printer Migration Wizard Màn hình ban đầu wizard hiển thị cho bạn các driver và xử lý máy in export Kích Next, đó bạn nhận nhắc nhở định đường dẫn và tên file mà bạn muốn export thông tin máy in 178 (180) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nhập các thông tin này vào địa điểm cung cấp, sau đó kích Next lần Wizard lúc này export các thông tin máy in vào file đã thiết kế sẵn Khi quá trình hoàn tất, wizard thông báo cho bạn có lỗi nào xuất hay không, nó cho bạn quan sát các entry đã ghi vào ghi kiện hệ thống 179 (181) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Kích nút Finish để hoàn tất quá trình Phần còn lại quá trình di trú là hoàn toàn đơn giản Bạn cần mở phần Print Servers, sau đó chọn print server mà bạn muốn import các máy in khác vào Kích phải vào print server và chọn tùy chọn Import Printers From A File từ menu xuất Sau thực thao tác này, Windows khởi chạy Printer Migration wizard 180 (182) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nhập vào đường dẫn và tên file file export mà bạn đã tạo, sau đó kích nút Next Sau đó bạn thấy danh sách các driver và xử lý máy in import 181 (183) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Kích Next , hư gì bạn thấy hình, bạn phải dẫn cho Windows gì cần thực các máy in import giống với máy in đã tồn Bạn cần phải dẫn cho Windows liệu mình có muốn các máy in liệt kê Active Directory hay không Kích Next, đó Windows import các máy in Khi wizard hoàn tất, bạn thấy các máy in mà mình đã import liệt kê bên print server chọn 182 (184) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XV WEB SERVER Internet Information Services 7.0 (IIS 7.0) là mười sáu dịch vụ máy chủ trên Windows Server 2008 Phiên này hãng Microsoft thiết kế lại dạng module, vừa kế thừa ưu điểm phiên trước, vừa tăng cường tính bảo mật và ổn định XV.1 Giới thiệu IIS 7.0 Những điểm đáng chú ý IIS 7.0 bao gồm : Những công cụ quản trị mới: IIS 7.0 cung cấp hai công cụ quản trị, dạng đồ họa và dạng dòng lệnh Những công cụ quản trị này cho phép: o Quản lý tập trung IIS và ASP.NET o Xem thông tin chẩn đoán, đó bao gồm các thông tin real-time o Thay đổi quyền trên các đối tượng site và ứng dụng o Ủy quyền cấu hình các đối tượng site và ứng dụng cho các thành viên không có quyền quản trị (non-administrator) Thay đổi cách thức lưu trữ thông tin cấu hình: IIS 7.0 lưu trữ thông tin cấu hình IIS và ASP.NET vào vị trí, từ đó cho phép: o Cấu hình IIS và ASP.NET với định dạng thống o Dễ dàng chép các file cấu hình và nội dung site ứng dụng đến máy tính khác Dễ dàng chẩn đóan và khắc phục cố nhờ vào thông tin real-time và hệ thống dile log mức độ chi tiết 183 (185) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C IIS 7.0 thiết kế dạng module, cho phép bạn bổ sung loại bỏ các thành phần từ Web Server cần Khả tương thích cao: IIS 7.0 có khả tương thích cao các ứng dụng đã triển khai trên các phiên IIS trước đó Khi triển khai IIS 7.0, bạn có thể chạy các ứng dụng ASP, các ứng dụng trên ASP.NET 1.1 và ASP.NET 2.0 đã xây dựng từ trước mà không cần phải thay đổi mã nguồn XV.2 Cài đặt Web Server Để cài đặt IIS 7.0 Web Server, bạn thực các bước sau : Mở cửa sổ Server Manager Trong khung Roles Summary bên phải, bạn bấm Add Roles Trong màn hình Select Server Roles, chọn Web Server (IIS) Trong hộp thoại Add features required for Web Server (IIS), bạn bấm nút Add Required Featuresđể bổ sung các thành phần liên quan đến Web Server Trong màn hình Select Server Roles, Chọn dịch vụ Web Server (IIS) -> Next 184 (186) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Trong màn hình Select Role Services, lựa chọn các thành phần cần thiết cho Web Server và bấm nút Next Trong màn hình Confirm Installation Selections, bạn xem lại các thiết lập vừa thực và bấm nútInstall để bắt đầu cài đặt Khi tiến trình cài đặt kết thúc, màn hình Installtion Results, bạn nhận thông báo"Installation succeeded" Bấm nút Close để hoàn thành thao tác cài đặt Để bắt đầu quản lý Web Server, Start -> Programs -> Administrative Tools -> Internet Information Service (IIS) Manager Khi IIS Manager xuất hiện, bạn bắt gặp trang web đầu tiên (IIS Start Page) Tại đây, bạn tìm thấy thông tin các kết nối đến các Web Server mình đã quản lý thời gian gần với (Recent connections) Đồng thời, bạn nhanh 185 (187) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C chóng truy cập và khai thác tài nguyên liên quan đến Web Server cách sử dụng các liên kết (quick link) Connection task, Online resources và IIS News Khung bên trái liệt kê các Web Server mà bạn quản lý Mặc định, Web Server trên máy tính mình xuất Nếu muốn quản lý các Web Server khác, bạn vào menu File/Connect to a Server Trong màn hình Specify Server Connection Details, bạn nhập địa IP Web Server cần quản lý vào mục Server name và bấm nút Next Trong màn hình Specify a Connection Name, bạn nhập tên kết nối và bấm nút Finish Để thay đổi các thông số cấu hình trên Web Server, bạn kích chọn tên kết nối tương ứng với Web Server khung bên trái, sau đó chọn mục cần cầu hình khung chính Để kiểm tra Web Server sau đã cài đặt, bạn mở trình duyệt và gõ địa http://localhost Nếu màn hình IIS xuất hình bên dưới, thao tác cài đặt và cấu hình Web Server bạn đã thành công 186 (188) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Màn hình chào mừng IIS XV.3 Xuất website XV.3.1 Xuất website Để xuất website, bạn thực các bước sau : Mở cửa sổ Internet Information Service (IIS) Manager Kích chuột phải lên mục Sites khung bên trái, chọn Add Web Site Trong hộp thoại Add Web Site, bạn điền thông tin : o Tên website vào mục Site name, chẳng hạn thuvien-it.net o Nhập đường dẫn đến thư mục chứa mã nguồn website vào mục Physical path bấm vào nút ba chấm (…) để định đường dẫn o Nếu xuất website với mã nguồn chứa máy tính khác, bạn cần bấm vào nút Connect as và định tài khoản dùng để truy cập thư mục xa này 187 (189) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C o Nếu xuất nhiều website, bạn cần nhập tên truy cập chính xác các website vào mục Host name Sau điền đầy đủ thông tin, bạn bấm nút OK để đóng hộp thoại Add Web Site Ngay sau đó, thông báo xuất hiện, cho biết cổng 80 đã website khác sử dụng (thông thường là Default Web Site) Trong trường hợp này, bạn cần kích chọn Default Web Site và bấm nút Stop khung bên phải để ngưng trạng thái hoạt động website này Đồng thời, bạn chọn website mình và bấm nút Start khung bên phải để kích hoạt trạng thái hoạt động cho website Đến nay, bạn đã hoàn thành thao tác xuất website Nếu muốn kiểm tra, bạn mở trình duyệt và gõ địa http://localhost Ngay sau đó, nội dung website bạn xuất 188 (190) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C XV.3.2 Xuất nhiều website Để xuất hai hay nhiều website trên IIS 7.0, bạn thực các bước gần tương tự xuất website Chỉ có điểm khác biệt là mục Host name, bạn cần điền chính xác tên truy cập tương ứng với website XVI Hyper-V XVI.1 Giới thiệu Hyper-V trước đây còn gọi là Windows Server Virtualization là công nghệ ảo hóa server Microsoft, Hyper-V là thành phần quan trọng Windows Server 2008 Hyper-V chạy trên Windows 64 bit và CPU 64 bit có hỗ trợ công nghệ ảo hóa 189 (191) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Hyper-V là giải pháp tốt cho việc hợp các Server vật lý không sử dụng hết phần cứng trang bị cách triển khai thêm các Server ảo trên Server thật, cho phép Server đảm nhận các công việc nhiều Server nhằm giảm thiểu chi phí trang bị thêm Server và các chi phí để trì hoạt động Server điện, không gian đặt Server và chi phí bảo trì bảo dưỡng…, Hyper-V hỗ trợ các Server ảo chạy các Hệ Điều Hành Windows 2000 Server, Windows Server 2003 32 bit và 64 bit, Windows Server 2008 32 bit và 64 bit, ngoài Hyper-V còn hỗ trợ Vista, XP và Linux XVI.2 Cài đặt Hyper-V Lưu ý trước cài đặt bạn cần kiểm tra BIOS Setup đã Enable chức Virtualization (tham khảo tài liệu hướng dẫn kèm Mainboard) Mở Server Manager — Roles — Add Role Chọn Hyper-V -> Next -> Next Chọn Card mạng dùng cho máy ảo –> Next 190 (192) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nhấn nút Install để tiến hành cài đặt Quá trình cài đặt hoàn tất, hệ thống yêu cầu Restart máy —> Close 191 (193) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Nhấn Yes để Restart máy XVI.3 Tạo và cài đặt máy ảo Mở Hyper-V – Đánh dấu check mục chọn I have read and agreed thí EULA, Nhấn Accept để chấp nhận các thông tin quyền 192 (194) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Click phải Microsoft Hyper-V Server — Connect to Server Chọn Local Computer — OK Click phải lên tên Server -> New –> Virtual Machine -> Next 193 (195) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Đặt tên cho máy ảo, bạn có thể định thư mục lưu máy ảo cách đánh dấu Store the virtual machine in a different location, đây tôi chấp nhận giá trị mặc định Qui định dung lượng RAM dành cho máy ảo (Tính đơn vị MB) 194 (196) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Chọn nhãn hiệu Card mạng dùng cho máy ảo 195 (197) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Qui định các thông tin tên File, vị trí lưu và dung lượng ổ cứng ảo Nhấn Finish để hoàn tất 196 (198) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Click phải vào tên máy ảo đã tạo, nhấn Start để bật máy ảo Do chưa cài đặt hệ điều hành nên bạn gặp báo lỗi không thể khởi động, ta bắt đầu quá trình cài đặt Hệ điều hành cho máy ảo Bạn đưa DVD Source Windows vào ổ DVD, đây tôi dùng Windows Vista 197 (199) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Chọn Media – DVD Drive – Capture I: (Ở đây ổ I: là ổ đĩa DVD) Chọn Action – Reset để reset máy ảo 198 (200) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C Bắt đầu quá trình cài đặt Vista Tới đây chúng ta có thể thao tác với máy ảo và hoàn tất việc cài đặt Hệ Điều hành 199 (201)