Mục tiêu của môn học là giúp các bạn có thể phân biệt sự khác nhau trong việc quản trị máy trạm (workstation); Cài đặt được hệ điều hành server; Tạo được tài khoản người dùng, tài khoản nhóm; Quản lý tài khoản người dùng, nhóm và sắp xếp hệ các tác thống hoá vụ quản trị tài khoản người dùng và tài khoản nhóm;
UBND TỈNH HẢI PHỊNG TRƯỜNG CAO ĐẲNG CƠNG NGHIỆP HẢI PHỊNG GIÁO TRÌNH QUẢN TRỊ MẠNG Chuyên ngành: Kỹ thuật lắp ráp, sửa chữa máy tính (Lưu hành nội bộ) HẢI PHỊNG M ỤC L ỤC MÔ ĐUN ĐÀO T Ạ O QU Ả N TR Ị MẠ NG Bài 1: T Ổ NG QUAN V Ề WINDOWS SERVER 10 1.Tổ ng quan v ề hệ điề u hành windows server 10 Chuẩ n bị cài đặ t windows server 12 2.1 Yêu cầu phần c ứng 12 2.2 T ươ ng thích phần ng 13 2.3 Cài đặ t mớ i nâng cấp 13 2.4 Phân chia ổ đĩa 14 2.5 Chọ n hệ thố ng tập tin 14 2.6 Chọ n ch ế độ sử dụ ng giấy phép 14 2.7 Chọ n phươ ng án kế t nố i mạ ng 15 Các giao th ức kế t nố i mạ ng 15 2.7.2 Thành viên Workgroup Domain 15 CÀI Đ Ặ T WINDOWS SERVER 2008 15 3.1 Giai đoạ n Preinstallation 15 3.1.1 Cài đặ t từ hệ điều hành khác 16 3.1.2 Cài đặ t trự c tiế p từ đĩa DVD Windows Server 2008 16 3.2 Giai đoạ n Text Based Setup 16 3.3 Giai đoạ n Graphical Based Setup 22 T Ự ĐỘ NG HĨA Q TRÌNH CÀI Đ ẶT 22 4.1 Giớ i thiệ u kịch cài đặ t 23 4.2 T ự độ ng hóa dùng tham biếnA dịng lệ nh 23 4.3 S dụ ng Setup Manager đ ể tạ o tậ p tin trả lờ i 24 4.4 S dụ ng tậ p tin trả l ời 26 4.4.1 S dụ ng đĩa DVD Windows 2003 Server có th ể khở i độ ng 26 4.4.2 S dụ ng mộ t b ộ nguồ n cài đặ t Windows 2003 Server 26 Bài tậ p th ực hành học viên 27 Bài 2: D Ị CH V Ụ TÊN MI ỀN (DNS) 28 Tổ ng quan DNS 28 1.1 Giớ i thiệu DNS 28 1.2 Đặ c điể m củ a DNS Windows Server 31 Cách phân b ố liệ u n lý tên miền 32 C chế phân giả i tên 33 3.1 Phân giả i tên thành IP 33 3.2 Phân giả i IP thành tên máy tính 35 Mộ t số khái niệ m 36 4.1 Domain name zone 36 4.2 Fully Qualified Domain Name (FQDN) 36 4.3 S ự ủy quyề n(Delegation) 37 4.4 Forwarders 37 4.5 Stub zone 37 4.6 Dynamic DNS 37 4.7 Active Directory integrated zone 37 Phân loạ i Domain Name Server 38 5.1 Primary Name Server 38 5.2 Secondary Name Server 38 5.3 Caching Name Server 38 Resource Record (RR) 38 6.1 SOA(Start of Authority) 39 6.2 NS (Name Server) 39 6.3 A (Address) CNAME (Canonical Name) 40 6.4 AAAA 40 6.5 SRV 40 6.6 MX (Mail Exchange) 41 6.7 PTR (Pointer) 42 Cài đặ t cấu hình DNS 42 7.1 Các b ướ c cài đặ t dị ch vụ DNS 42 7.2 Cấu hình dịch vụ DNS 43 7.2.1 Tạ o Forward Lookup Zones 43 7.2.2 Tạ o Reverse Lookup Zone 45 Bài tậ p th ực hành học viên 46 2.4 Thêm mộ t host m ới 50 Bài 3: D Ị CH V Ụ TH Ư MỤC (ACTIVE DIRECTORY) 56 Mã bài: MĐ2403 56 Active Directory 56 1.1 Giớ i thiệu 56 1.2 Ch ứ c Active Directory 56 1.3 Directory Services 57 1.3.1 Giớ i thiệu Directory Services 57 1.3.2 Các thành phầ n Directory Services 57 Các thành phần AD 59 2.1 Cấ u trúc AD logic 59 2.1.1 Organizational Units 60 2.1.2 Domain 60 2.1.3 Domain Tree 61 2.1.4 Forest 62 2.2 Cấ u trúc AD vậ t lý 62 3.CÀI ĐẶT VÀ CẤU HÌNH ACTIVE DIRECTORY 62 3.1 Nâng cấ p Server thành Domain Controller(DC) 62 3.1.1 Giớ i thiệu 62 3.1.2 Các b ước cài đặ t 63 3.2 Gia nhậ p máy trạ m vào Domain 65 3.2.1 Giớ i thiệu 65 3.2.2 Các b ước cài đặ t 65 Bài tậ p th ực hành học viên 66 Cài đặ t cấu hình AD 66 Gia nhậ p máy trạ m vào Domain 71 Bài 4: QU ẢN LÝ TÀI KHO ẢN NG ƯỜI DÙNG VÀ NHÓM 73 ĐỊNH NGHĨA TÀI KHOẢN NGƯỜI DÙNG VÀ TÀI KHOẢN NHÓM 73 1.1 Tài khoản ngườ i dùng 1.1.1 Tài khoả n ngườ i dùng cục 1.1.2 Tài khoả n ngườ i dùng miền 1.1.3 Yêu cầ u tài khoả n ngườ i dùng 1.2 Tài khoản nhóm 1.2.1 Nhóm bảo mậ t 1.2.2 Nhóm phân phố i 1.2.3 Qui tắ c gia nhập nhóm CÁC TÀI KHO Ả N TẠ O S Ẵ N 2.1 Tài khoả n ngườ i dùng tạ o sẵn 2.2 Tài khoả n nhóm Domain Local tạo sẵn 2.3 Tài khoả n nhóm Global tạo sẵn 2.4 Các nhóm tạ o sẵn đặc biệ t Quả n lý tài khoả n ngườ i dùng nhóm cục 3.1 Công c ụ n lý tài khoả n ngườ i dùng cục 3.2 Các thao tác bả n tài khoả n ngườ i dùng cục 3.2.1 Tạ o tài khoả n mớ i 3.2.2 Xóa tài khoản 3.2.3 Khóa tài khoản 3.2.4 Đổ i tên tài khoản 3.2.5 Thay đổ i mậ t 4.1 Tạ o mớ i tài khoản ngườ i dùng 4.2 Các thuộ c tính củ a tài khoản ngườ i dùng 4.2.1 Các thông tin m rộ ng ngườ i dùng 4.2.2 Tab Account 4.2.4 Tab Member Of 4.2.5 Tab Dialin 4.3 Tạ o mớ i tài khoả n nhóm 4.4 Các tiệ n ích dòng lệ nh n lý tài khoả n ngườ i dùng tài khoả n nhóm 4.4.1 Lệ nh net user 4.4.2 Lệ nh net group 4.4.3 Các lệ nh hỗ trợ dị ch vụ Active Driectory môi tr ườ ng Windows Server 200 Bài tậ p th ực hành học viên Tạ o OU có tên HCM Trong OU HCM tạ o nhóm có tên Ke Toan Nhan Su Trong mỗ i nhóm tạo user b) Thiế t lậ p Users thuộc Group 73 73 74 74 75 75 76 76 77 77 78 79 80 81 81 82 82 82 82 82 82 83 84 84 85 88 89 89 90 90 91 92 93 93 94 94 95 Bài 5: QU ẢN LÝ ĐĨA 98 Nộ i dung chính: 98 1Cấ u hình h ệ thố ng tâp tin 98 2Cấ u hình đĩa l ưu tr ữ 99 2.1 Basic storage 99 2.2 Dynamic storage 99 3S dụ ng chươ ng trình Disk Manager 102 3.1 Xem thuộ c tính đĩa 102 3.2 Xem thuộ c tính củ a volume hoặ c đĩa cục 103 3.3 B ổ sung thêm ổ đĩa mớ i 106 3.4 Tạ o partition volume m ới 106 3.5 Thay đổ i ký tự ổ đĩa đườ ng dẫ n 108 3.6 Xoá partition/volume 109 3.7 Cấ u hình Dynamic Storage 109 Quả n lý việ c nén liệu 113 THI Ế T LẬ P HẠ N NG Ạ CH ĐĨA (DISK QUOTA) 114 5.1 Cấ u hình hạn ngạ ch đĩa 114 5.2 Thiết lập hạn ngạch mặc định 115 5.3 Chỉ đị nh hạ n ngạ ch cho t ừng cá nhân 116 MÃ HOÁ DỮ LI Ệ U B Ằ NG EFS 117 Bài 6: T ẠO VÀ QU ẢN LÝ TH Ư MỤC DÙNG CHUNG 118 Nộ i dung chính: 118 T Ạ O TH Ư M ỤC DÙNG CHUNG 118 1.1 Chia s ẻ thư mục dùng chung 118 1.2 Cấ u hình Share Permissions 119 1.3 Chia s ẻ thư mụ c dùng lệ nh netshare 120 QU Ả N LÝ CÁC TH Ư M ỤC DÙNG CHUNG 121 2.1 Xem th mục dùng chung 121 2.2 Xem phiên làm việ c th mụ c dùng chung 122 2.3 Xem tậ p tin mở th mục dùng chung 122 QUY Ề N TRUY C ẬP NTFS 123 3.1 Các quyề n truy cập NTFS 123 3.2 Các mứ c quyề n truy cậ p đượ c dùng NTFS 124 3.3 Gán quyề n truy cậ p NTFS th mục dùng chung 125 3.4 K ế thừ a thay quyề n củ a đố i t ượ ng 126 3.5 Thay đổ i quyề n di chuyể n th mụ c tập tin 128 3.6 Giám sát ng ườ i dùng truy cập th mục 128 3.7 Thay đổ i ngườ i sở hữu thư mục 129 DFS 129 4.1 So sánh hai loạ i DFS 130 4.2 Cài đặ t Fault tolerant DFS 130 Bài tậ p th ực hành học viên 133 Bài 7: CÀI Đ ẶT VÀ QU ẢN TRỊ DỊ CH V Ụ DHCP VÀ WINS .141 Nộ i dung chính: 141 Dịch vụ cấp phát địa IP động 141 1.1 DHCP (Dynamic Host Configutation Protocol)là gì, tạ i phả i dùng DHCP? 141 1.2 Các b ướ c cài đặ t DHCP 141 1.3 Cấ u hình dị ch vụ DHCP 142 1.4 Kiể m tra dị ch vụ DHCP Server 144 1.5 Cấ u hình IP độ ng cho máy Client 145 1.5.1 Cách cấ u hình địa độ ng cử a s ổ Local Area Connection Properties 145 1.5.2 Cách kiể m tra đị a IP đ ượ c cấ p phát cho máy tính 145 Dịch vụ WINS 145 2.1 Giớ i thiệ u dịch vụ WINS 146 2.2 Cài đặ t WINS 146 2.3 Cấ u hình máy ch ủ máy khách với WINS 146 2.3.1 Cấ u hình máy phục vụ WINS 148 2.3.2 Cấ u hình máy khách WINS 148 2.4 B ổ sung máy chủ WINS 148 2.5 Kh ởi độ ng ngừ ng WINS 149 2.6 Xem thố ng kê máy chủ 149 2.7 Cậ p nhậ t thông tin thố ng kê WINS 151 2.8 Quả n lý hoạ t độ ng đăng ký, gia hạ n giả i phóng tên 151 2.9 Ghi nhậ n s ự kiệ n vào nhậ t ký kiện Windows 152 2.10 Chọ n s ố hiệ u phiên bả n cho s liệ u WINS 152 2.11 L ưu phụ c hồ i cấu hình WINS 153 2.12 Quả n lý s liệu WINS 153 2.12.1 Khả o sát kế t qu ả ánh xạ sở liệ u WINS 153 2.12.2 Kiể m tra tính nhấ t quán củ a s liệ u WINS 154 2.13 Sao l ưu phụ c hồ i sở liệ u WINS 155 2.13.1 Lậ p cấ u hình cho WINS t ự độ ng l ưu 155 2.13.2 Phụ c hồ i s liệu 156 2.13.3 Xoá trắ ng WINS bắ t đầ u vớ i s liệ u m ới 156 Bài tậ p th ực hành học viên 157 Bài 8: QU ẢN TR Ị MÁY IN 167 Nộ i dung chính: 167 CÀI Đ ẶT MÁY IN 167 QU Ả N LÝ THU Ộ C TÍNH MÁY IN 169 2.1 Cấ u hình Layout 169 2.2 Giấ y chấ t l ượ ng in 169 2.3 Các thông số m rộ ng 169 C Ấ U HÌNH CHIA S Ẻ MÁY IN 169 C Ấ U HÌNH THƠNG S Ố PORT 170 4.1 Cấ u hình thơng số Tab Port 170 4.2 Printer Pooling 171 4.3 Điề u hướ ng tác v ụ in đế n mộ t máy in khác 172 C Ấ U HÌNH TAB ADVANCED 173 5.1 Các thông s ố củ a Tab Advanced 173 5.2 Khả sẵn sàng phục vụ máy in 173 5.3 Đ ộ ưu tiên (Printer Priority) 174 5.4 Print Driver 174 5.5 Spooling 175 5.6 Print Options 175 5.7 Printing Defaults 176 5.8 Print Processor 176 5.9 Separator Pages 176 C Ấ U HÌNH TAB SECURITY 177 6.1 Giớ i thiệu Tab Security 177 6.2 Cấ p quyề n in cho ng ườ i dùng/nhóm ngườ i dùng 178 QU Ả N LÝ PRINT SERVER 179 7.1 Hộ p thoạ i n lý Print Server 179 7.2 Cấ u hình thuộ c tính Port Print Server 180 7.3 Cấ u hình Tab Driver 180 GIÁM SÁT TR Ạ NG THÁI HÀNG Đ Ợ I MÁY IN 180 Bài tậ p th ực hành học viên 183 H ướ ng dẫn th ực 183 Bài 9: D Ị CH VỤ PROXY 194 Nộ i dung chính: 194 Các khái niệ m 194 1.1 Mơ hình client server mộ t s ố khả ứ ng dụ ng 194 1.2 Socket 195 1.3 Ph ươ ng th ức hoạ t độ ng đặ c điể m củ a dị ch vụ Proxy 196 1.3.1 Ph ươ ng th ức hoạ t độ ng 196 1.3.2 Đặc điể m 197 1.4 Cache ph ươ ng th ức cache 198 Triể n khai dị ch vụ proxy 200 2.1 Các mơ hình kế t nố i mạ ng 201 2.2 Thiế t lậ p sách truy cậ p qui tắc 203 2.2.1 Các qui tắc 203 2.2.2 X lý yêu cầ u 205 2.2.3 X lý yêu cầ u đến 206 2.3 Proxy client ph ươ ng thức nhận th ực 206 2.3.1 Ph ươ ng pháp nhậ n thực c 207 2.3.2 Ph ươ ng pháp nhận thực Digest 207 2.3.3 Ph ươ ng pháp nhậ n thực tích hợp 207 2.3.4 Ch ứ ng thự c client ng thực server 207 2.3.5 Nhận thực pass though 208 Bài tậ p th ực hành học viên 210 TÀI LI Ệ U THAM KH ẢO 211 MÔ ĐUN ĐÀO TẠO QUẢN TRỊ MẠNG Mã mô đun: MĐ24 * VỊ TRÍ, TÍNH CHẤT, Ý NGHĨA VÀ VAI TRỊ CỦA MƠ ĐUN Đây mơ đun đào tạo chun mơn ngh ề bố trí họ c sau mơ đun, môn học Tin học đạ i cương, Mạng máy tính Mơ đun cung cấp cho sinh viên kỹ nghề Quản trị mạng máy tính * MỤC TIÊU MƠ ĐUN: - Phân biệt khác việc quản trị máy trạm máy chủ (Server) (workstation); Cài đặt hệ điều hành server; Tạo tài khoản người dùng, tài khoản nhóm; - Qu ản lý tài khoản người dùng, nhóm xếp hệ tác thống hoá vụ quản trị tài khoản người dùng tài khoản nhóm; Chia sẻ cấp quyền truy cập tài nguyên dùng chung; Cài đặt cấp hạn ngạch sử dụng đĩa; Lập cấu hình quản trị in ấn máy phục vụ in mạng; - Cài đặt cấu hình dịch vụ DHCP, mạng: Active Directory, DNS, WINS, Proxy Server - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập * NỘI DUNG CỦA MÔ ĐUN: Số TT Tên mô đun Tổng quan WINDOWS SERVER Dịch vụ tên miền DNS Dịch vụ thư mục (ACTIVE DIRECTORY) Quản lý tài khoản người dùng nhóm Quản lý đĩa Tạo quản lý thư mục dùng chung Dịch vụ DHCP WINS Quản lý in ấn Tổng số Thời gian Lý Thự thuyế c t hành Kiểm tra* 10 12 15 10 18 10 10 12 16 15 5 11 1 Dịch vụ Proxy Cộng 12 120 45 70 trường hợp proxy server thực Forward caching, client ngồi truy cập tói mạng (tới server quảng bá)trong trường hợp proxy server thực reverse caching Cả hai trường hợ p có đượ c từ khả proxy server l ưu trữ thông tin (t ạm thời) làm cho việc truyền thông thông tin nhanh hơn, sau tính chất cache proxy server: - Phân cache: cài đặt mảng máy proxy server ta thiết lập thống việc phân phối n ội dung cache Proxy server cho phép ghép nhiều hệ thành cache logic - Cache phân cấp: Khả phân phối cache cịn chun sâu cách cài đặt chế độ cache phân cấp liên kết loạt máy proxy server với để client truy cập tới gần chúng - Cache định kỳ: sử dụng cache định kỳ nội dung download yêu cầu thường xuyên client - Reverse cache: proxy server cache nội dung server quảng bá tăng hiệu suất khả truy cập, đặc tính cache proxy server áp dụng cho nội dung server quảng bá Proxy server triển khai Forward cache nhằm cung cấp tính cache cho client mạng truy cập Internet Proxy server trì cache tập trung đối tượng Internet thường yêu cầu truy cập từ trình duyệt từ mày client Các đối tượng phục vụ cho yêu cầu từ đĩa cache yêu cầu tác xử lý nhỏ đáng kế so với đối tượng từ vụ Internet, việc tăng cường hiệu suất trình duyệt client, giả m thời gian h ồi đáp giảm việ c chiếm băng thông cho kết nố i Internet Hình vẽ sau mơ tả proxy server xử lý u cầu người dùng sao: Hình mơ tả trình client mạng dùng riêng truy cập ngồi Internet tiến trình tương tự cache reverse (khi người dùng Internet truy cập vào Server quảng bá) bước bao gồm; Client yêu cầu đối tượng mạng Internet 200 Proxy server kiểm tra xem đối tượng có cache hay khơng Nếu đối tượng khơng có cache proxy server proxy server gửi yêu cầu đối tượng tới server Internet Server Internet gửi đối tượng yêu cầu cho proxy server proxy server giữ copy đối tượng cache trả đối tượng cho client1 Client gửi yêu cầu đối tượng tương tự Proxy server gửicho client đối tượng từ cache khơng phải từ Internet Ta triển khai dịch vụ proxy để quảng bá server mạng dùng riêng Internet Với yêu cầu đến, proxy server địng vai trị server bên ngoài, đáp ứng yêu cầu client từ nội dung web cache Proxy server chuyển tiếp yêu cầu cho server cache khơng thể phục vụ u cầu (Reverse cache) Lựa chọn phương thức cache dựa y ếu t ố: không gian ổ cứng sử dụng, đố i tượng đượ c cache đối tượng cập nhật Về bả n ta có hai phương th ức cache thụ độ ng chủ động Phương thức Cache thụ động (passive cache): Cache thụ động lưu trữ đố i tượng máy tính trạm yêu c ầu tới đối t ượng Khi đối tượng đượ c chuyển tới máy tính trạm, máy chủ Proxy xác định xem đối tượng cache hay khơng có đối tượng cache Các đối tượng thể cập nhật có nhu cầu Đối tượng bị xoá khỏi cache dựa thời điểm gần mà máy tính trạm truy cập tới đối tượng Phương thức có lợi ích sử dụng xử lý tốn nhiều không gian ổ đĩa Phương thức Cache chủ động (active cache): Cũng giống phương thức cache thụ động, Cache chủ động lưu trữ đối tượng máy tính trạ m yêu cầu tới đối tượng máy chủ Proxy đáp ứng yêu cầ u lưu đối tượng vào Cache Phương thức tự động cập nhật đối tượng từ Internet dựa vào: số lượ ng yêu cầu đối t ượng, đối tượng thườ ng xuyên thay đố i Phương thức tự động cập nhật đối tượ ng mà máy chủ Proxy phục vụ mức đ ộ thấp khơng ảnh hưở ng đến hiệu suất phục vụ máy tính trạm Đối tượng cache bị xoá dựa thông tin header HTTP, URL Triển khai dịch vụ proxy Mục tiêu: - Lựa chọn mơ hình mạng để triển khai dịch vụ Proxy Cài đặt dịch vụ Proxy 201 2.1 Các mơ hình kết nối mạng Đối t ượng phục vụ proxy server rộng, từ mạng văn phòng nhỏ, mạng văn phòng vừa tới mạ ng tập đoàn lớn Với mỗ i quy mơ tổ chức có cấu trúc mạ ng sử dụng proxy server cho phù hợp Sau xem xét số mô hình mạ ng c ỡ nhỏ, mạng cỡ trung bình mạng t ập đồn lớ n Trong sâu vào mơ hình th ứ dành cho mạng văn phịng nhỏ phù hợp quy mơ tổ chức cơng ty vừa nhỏ Việt nam Mơ hình mạng văn phòng nhỏ : - Bao gồm mạng LAN độc lập - Sử dụng giao thức IP - Kết nối Internet đường thoại (qua mạng điện thoại cơng cộng hình thức quay dialup hay sử dụng công nghệ ADSL) đường trực tiếp (Leased Line) - 250 máy tính trạm Mơ hình kết nối mạng hình vẽ: Theo mơ hình này, với phương thức kết nối Internet Proxy server sử dụng 02 giao tiếp sau: - Kết nối Internet đường thoại qua mạng PSTN: •01 giao tiếp với mạng nội thơng qua card mạng • 01 giao tiếp với Internet thông qua Modem - Kết nối Internet đường trực tiếp (Leased Line) • 01 giao tiếp với mạng nội thơng qua card mạng • 01 giao tiếp với Internet thông qua card mạng khác Lúc bảng địa nội (LATLocal Address Table) xây dựng dựa danh sách địa IP mạng nội Mơ hình kết nối mạng cỡ trung bình Đặc trưng mạng văn phịng cỡ trung bình sau: - Văn phòng trung tâm với vài mạng LAN - Mội văn phịng chi nhánh có mạng LAN - Sử dụng giao thức IP - Kết nối đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm - Kết nối Internet từ văn phòng trung tâm tới ISP đường thoại đường trực tiếp (Leased Line) 2000 máy tính tr ạm Mơ hình mạng hình 6.8 Theo mơ hình này, văn phòng chi nhánh s dụng m ột máy chủ Proxy cung c ấp khả lưu trữ thông tin nội (local caching), quản trị kế t nối kiểm sốt truy c ập tới văn phịng trung tâm Tạ i văn phòng trung tâm, mộ t số máy chủ Proxy hoạ t động theo kiến trúc mảng (array) cung cấp khả bảo mật chung cho toàn mạng, cung cấp tính lưu trữ thơng tin phân tán (distributed caching) cung cấp kết nối Internet Mô hình kết nối mạng tập đồn lớn Mạng tập đồn lớn có đặc trưng sau: -Văn phịng trung tâm có nhiều mạng LAN có mạng trục LAN - Có vài văn phịng chi nhánh, văn phịng chi nhánh có mạng LAN - Sử dụng giao thức mạng IP - Kết nối đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm - Kết nối Internet từ văn phòng trung tâm tới ISP đường đường trực tiếp (Leased Line) - Có nhiều 2000 máy tính trạm Mơ hình mạng hình đây: Theo mơ hình mạng văn phịng chi nhánh cấu hình tương tự đối vớ i mơ hình văn phịng cỡ trung bình Các u cầu kết nối Internet khơng đáp ứng cache nội máy Proxy văn chủ phòng chi nhánh chuyển tới loạt máy chủ Proxy hoạt động theo kiến trúc mảng tạ i văn phòng trung tâm Tại văn phòng trung tâm máy chủ Proxy sử dụng 02 giao ti ếp mạ ng (card mạng) 01 card mạng giao tiếp với mạng trục LAN 01 card mạng giao tiếp với mạng LAN thành viên 2.2 Thiết lập sách truy cập qui tắc 2.2.1 Các qui tắc Ta thiết lập proxy server để đáp ứng yêu cầ u bảo mật vận hành cách thiết l ập qui tắ c để xác định xem li ệu người dùng, máy tính ứng dụng có quy ền truy cập truy cập tới máy tính mạng hay Internet hay không Thông thường proxy server định nghĩa loại qui tắc sau: Qui tắc sách truy nhậ p, qui tắc băng thơng, qui tắc v ề sách qu ảng bá, đặc tính lọc gói qui tắc định tuyến chuỗ i (chaining) Khi mộ t client mạ ng yêu cầu đối tượ ng proxy server xử lý qui tắc để xác định xem yêu cầu có xác định chấ p nhận hay khơng Tươ ng tự client bên ngồi (Internet) yêu cầ u m ột đối tượng từ server mạng, proxy server cững xử lý qui tắc xem u cầu có cho phép khơng Các qui t ắc củ a sách truy nhập:Ta sử dụng proxy server để thiế t lập sách bao gồm qui tắ c giao thức, qui t ắc nội dung Các qui tắc giao thức định nghĩa giao thức sử dụng cho thông tin mạng Internet Qui tắc giao th ức s ẽ xử lý mức ứng dụng Ví dụ mộ t qui tắ c giao thức cho phép Client sử dụ ng giao thức HTTP Các qui tắc nội dung qui định nội dung site mà client truy nhậ p Các qui tắc nội dung xử lý mức ứng dụ ng Ví dụ qui tắc nội dung cho phép client truy nhập tới địa Internet Qui tắc băng thông: Qui tắc băng thông xác định kết nối nhận quyền ưu tiên.Trong vi ệc ều khiển băng thông thườ ng proxy server khơng giới hạn độ rộ ng băng thơng Hơn cho biế t ch ất lượng dịch vụ (QoS) đượ c cấ p phát ưu tiên cho kế t nối mạng Thườ ng kế t nối khơng có qui tắ c băng thơng kèm theo s ẽ nhận quyền u tiên ng ầm định kết nối có qui tắc băng thông kèm xếp với quyền ưu tiên quyền ưu tiên ngầm định Các qui tắc sách ng bá : Ta s dụng proxy server để thiết lập sách quảng bá, bao gồm qui t ắc quảng bá server qui tắc quảng bá web Các qui tắ c ng bá server web lọc tất yêu cầu đến từ yêu cầu củ a client mạng (internet) tới server mạng Các qui tắc quảng bá server web đưa yêu cầu đến cho server thích hợp phía sau proxy server Đặc tính lọc gói: Đặc tính lọc gói proxy server cho phép điề u khiển luồng gói IP đ ến từ proxy server Khi lọc gói ho ạt độ ng gói giao diệ n bên bị rớt lại, trừ chúng đ ược hoàn toàn cho phép hoặ c cách cố định lọc gói IP, cách độ ng sách truy cập hay quảng bá Thậm chí bạn khơng để lọc gói hoạt động truy ền thông mạng Internet mạng cục cho phép bạn thi ết lậ p rõ ràng qui tắc cho phép truy c ập Trong hầu hết trườ ng hợp, việc mở cổng động thường sử dụng Do đó, ngườ i ta thường khuyế n nghị bạ n nên thiết lập qui tắc truy c ập cho phép client mạng truy nhập vào Internet hoặ c qui tắc quảng bá cho phép client bên truy nhập vào server bên Đó lọc gói IP mở cách cố định sách truy nhập qui tắc quảng bá lại mở cổng kiểu động Giả sử bạn muốn cấp quyền cho người dùng mạng truy cập tới site HTTP Bạn khơng nên thiết lập lọc gói IP để mở cổng 80 Nên thiết lập qui tắc site, nội dung giao thức cần thiết phép việc truy nhập Trong vài trường hợp ta phải sử dụng lọc gói IP, ví dụ nên thiết lập lọc gói IP ta muốn quảng bá Server bên Qui tắc định tuyến cấu hình chu ỗi proxy (chaining): thường qui t ắc áp dụng sau để định tuyến yêu cầu client tới server định để phục vụ yêu cầu 2.2.2 Xử lý yêu cầu Một chức proxy server khả kết nối mạng dùng riêng Internet bảo vệ mạng khỏi nội dung có ác ý Để thuận tiện cho việc kiểm soát kết nối này, ta dùng proxy server để tạo sách truy cập cho phép client truy cập tới server Internet cụ thể, sách truy cập với qui tắc định tuyến định client truy cập Internet Khi proxy server xử lý m ột yêu cầu đi, proxy server kiể m tra qui tắc định tuyến qui tắc nội dung qui tắc giao thức đ ể xem xét việc truy cập có phép hay khơng Yêu cầu đượ c cho phép quy t ắc giao thức, qui tắc nội dung site cho phép không qui t ắc từ chối yêu cầu Một vài qui t ắc thiết l ập để áp dụng cho client cụ thể Trong trường hợp này, client định địa IP user name Proxy server xử lý yêu cầu theo cách khác phụ thuộc vào kiểu yêu cầu c client việc thi ết lậ p proxy server.Với mộ t yêu cầu, qui tắc xử lý theo thứ tự sau: qui tắc giao thức, qui tắc nội dung, lọc gói IP, qui tắc định tuyến cấu hình chuỗi proxy Trước tiên, proxy server kiểm tra qui tắc giao thức, proxy server chấp nhậ n yêu cầu qui tắc giao th ức chấp nhận m ột cách cụ thể yêu cầu không m ột qui tắc giao thức từ chối yêu cầu Sau đó, proxy server ki ểm tra qui tắc nội dung Proxy server chấp nhận yêu cầu qui tắc nội dung chấp nhận yêu cầu khơng có qui tắc nội dung t chối Tiếp đế n proxy server ki ểm tra xem liệu có m ột lọc gói IP đượ c thiết l ập để loại bỏ yêu cầu khơng để định xem liệu u cầu có bị từ chối Cuố i cùng, proxy server ki ểm tra qui tắc định tuyến để định xem yêu cầu phục vụ Giả sử cài đặt proxy server máy tính với hai giao ti ếp kết nối, mộ t kết nố i vớ i Internet k ết nối vào mạng dùng riêng Ta cho dẫn phép tất client truy c ập vào tất c ả site Trong trường hợp này, sách truy nhập qui tắc sau: qui tắc giao thức cho phép tất client sử dụng giao thức tất thời điểm Một qui tắc nội dung cho phép tấ t người truy cập t ới nội dung tất site tất thời điểm Lưu ý rằ ng qui tắc cho phép client truy cập Internet không cho client bên truy cập vào mạng bạn 2.2.3 Xử lý yêu cầu đến Proxy server có thiết lập Server bên truy thể để cập an toàn đến từ client Ta sử dụng proxy server để thiết lập sách quảng bá an tồn cho Server mạng Chính sách quảng bá (bao gồm lọc gói IP, qui tắc quảng bá Web, qui tắc quảng bá Server, với qui tắc định tuyến) định Server quảng bá Khi proxy server xử lý yêu cầu xuất phát từ client bên ngồi, kiểm tra lọc gói IP, qui tắc quảng bá qui tắc định tuyến để định xem liệu yêu cầu có thực hay không Server thực yêu cầu Giả sử cài đặt proxy server với hai giao tiế p kết nối, mộ t kết nối tới Internet mộ t k ết nối vào mạng dùng riêng Nếu lọc gói hoạt động sau đó, lọ c gói IP từ chối yêu c ầu yêu c ầu bị từ chối Nếu qui tắc quảng bá web từ chối yêu cầu yêu cầu b ị loại bỏ Nếu qui tắc định tuyến thiế t lập yêu cầu định tuyến tới m ột Server upstream mộ t site chủ kế phiên Server đ ược xác định xử lý yêu cầu Nếu qui tắc định tuyến yêu cầu định tuyến tới Server cụ thể web Server trả đối tượng 2.3 Proxy client phương thức nhận thực Chính sách truy nhập qui tắc quảng bá Proxy server thiết lập phép t chối mộ t nhóm máy tính hay m ột nhóm ngườ i dùng truy nhập tới server Nếu qui tắ c áp dụng riêng với người dùng, Proxy server ki ểm tra đặc tính yêu cầu để định ngườ i dùng nhận thực th ế Ta thiết lập thông số cho yêu cầu thông tin đến để người dùng phả i proxy server nhận thực tr ước xử lý qui t ắc Việc đảm bả o rằ ng yêu cầu phép nế u người dùng đưa yêu cầu xác thực Bạn thiết lập phương pháp nhận thực dụng sử thiết lập phương pháp nhận thực cho yêu cầu yêu cầu đến khác Về Proxy server thường hỗ trợ phương pháp nhận thực sau đây: phương thức nhận thực bản., nhận thực Digest, nhận thực tích hợp Microsoft windows, chứng thực client chứng thực server Đảm bảo chương trình proxy client phải hỗ trợ phương pháp nhận thực mà proxy server đưa Trình duyệt IE trở lên hỗ trợ hầu hết phương pháp nhận thực, vài trình duyệt khác hỗ trợ phương pháp nhận thực Đảm bảo trình duyệt client hỗ trợ số phương pháp nhận thực mà Proxy server hỗ trợ 2.3.1 Phương pháp nhận thực Phương pháp nhận th ực gửi nhận thông tin v ề người dùng ký tự text d ễ dàng đọc Thơng thường thơng tin user name password đượ c mã hố phương pháp khơng có mã hố sử dụng Tiến trình nhận thực mô tả sau, proxy client nhắc người dùng đưa vào username password sau thơng tin client gửi cho proxy server Cu ối username password kiểm tra tài khoản proxy server 2.3.2 Phương pháp nhận thực Digest Phương pháp có tính chất tương tự phương pháp nhận thực khác việc chuyển thông tin nhận thực Các thông tin nhận thực qua tiến trình xử lý chiều thường biết với tên "hashing" Kết tiến trình gọ i hash hay message digest giải mã chúng Thông tin gốc phục hồi từ hash Các thông tin bổ sung vào password trước hash nên khơng bắt password dụng chúng để giả danh người dùng thực Các giá trị sử thêm vào để giúp nhận dạng người dùng Một tem thời gian thêm vào để ngăn cản người dùng sử dụng password sau bị huỷ Đây u điểm rõ ràng so với phương pháp nhận thực người dùng bất hợp pháp khơng thể chặn bắt password 2.3.3 Phương pháp nhận thực tích hợp Phương pháp sử dụng tích h ợp sả n phẩm c Microsoft Đây phương pháp chuẩn củ a việc nhận thực b ởi username password khơng gửi qua mạng Phương pháp sử dụng giao thức nhậ n thực V5 Kerberos giao thức nhận thực challenge/response 2.3.4 Chứng thực client chứng thực server Ta sử dụng đặc tính c SSL để nhận thực Chứ ng thực sử dụng theo hai cách client yêu cầu đối tượng từ server: server nhậ n thực cách g ửi chứng thực server cho client Server u cầu client nhận thực (Trong trường hợp client ph ải đư a mộ t chứng th ực client phù hợ p tới server) SSL nhận thực cách kiểm tra nội dung ch ứng thực s ố mã hoá proxy client đệ trình lên trình đăng nhậ p (Các người dùng có chứng thực số từ tổ chức ngồi có độ tin tưởng cao) Các ng thực v ề server bao gồm thông tin nhận biết server Các chứng thự c client thường gồm thông tin nhận biết người dùng tổ chức đưa chứng thực Chứng thực client: Nếu chứng thực client lựa chọn phương thức xác thực proxy server yêu cầu client gửi chứng thực đến trướ yêu cầu c đối tượng Proxy server nhận yêu cầu gửi m ột chứng th ực cho client Client nhận chứng thực kiểm tra xem có th ực thuộc v ề proxy server Client gửi yêu c ầu cho proxy server, nhiên proxy server yêu c ầu chứng thực từ client mà đưa trước Proxy server kiểm tra xem chứng thực có thực thuộcc client phép truy cập không Chứng thực server: Khi m ột client yêu cầu mộ t đối tượng SSL từ m ột server, client yêu cầu server phải nh ận thự c Nếu proxy server kết thúc kết nối SSL sau proxy server phải nhận thực cho client Ta phải thiết l ập định chứng thực phía server để sử dụng nhận thực server cho client 2.3.5 Nhận thực passthough Nhận thự c passthough đế n khả proxy server chuyển thông tin nhậ n thực củ a client cho server đích Proxy server hỗ trợ nhậ n thực cho yêu cầu đến Hình vẽ sau mơ tả trường hợp nhận thực passthough Client gửi yêu cầu lấy m ột đ ối tượng web server cho proxy server Proxy server chuyể n yêu cầu cho web server, việc nhận thực qua bước sau: Webserver nhận yêu cầu lấy đối tượng đáp lại client cần phải nhận thực Web server kiểu nhận thực hỗ trợ Proxy server chuyển yêu cầu nhận thực cho client Client tiếp nhận yêu cầu trả thông tin nhận thực cho proxy server Proxy server chuyển lại thơng tin cho web server Từ lúc client liên lạc trực tiếp với web server SSL Tunneling Với đường hầm SSL, client thiết lập đường hầm qua proxy server trực tiếp tới server yeu cầu với đối tượng yêu cầu HTTPS Bất client yêu cầu đối tượng HTTPS qua proxy server sử dụng đường hầm SSL Đường hầm SSL làm việc ngầm định yêu cầu tới cổng 443 563 Tiến trình tạo đường hầm SSL mơ tả sau: Khi client yêu cầu đối tượng HTTPS từ web server Internet, proxy server gửi yêu cầu kết nối https:// URL_name Yêu cầu gửi tới cổng 8080 máy proxy server CONNECT URL_name:443 HTTP/1.1 Proxy server kết nối tới Web server cổng 443 Khi kết nối TCP thiết lập, proxy server trả lại kết nối thiết lập HTTP/1.0 200 Từ đây, client thơng tin trực tiếp với Web server bên ngồi SSL bridging SSL bridging đề cập đế n khả proxy server việc mã hóa giả i mã yêu cầu client chuyển yêu cầu tới server đích Ví dụ, trường hợp quảng bá (hoặc reverse proxy), proxy server phục vụ yêu cầu SSL client b ằng cách ch ấm dứt kết nố i SSL vớ i client mở lạ i kế t nối v ới web server SSL bridging sử dụng proxy server kết thúc khởi tạo kết nối SSL Khi mộ t client yêu c ầu đối tượng HTTP Proxy server mã hóa yêu cầ u chuyể n tiếp cho web server Web server trả đối tượ ng mã hóa cho proxy server Sau proxy server giải mã đối tượng gửi lại cho client Nói cách khác yêu cầu HTTP chuyển tiếp nh yêu cầ u SSL Khi client yêu c ầu đối tượng SSL Proxy server giải mã yêu cầu, sau mã hóa lại lầ n chuyển tiếp tới Web server Web server trả đối tượng mã hóa cho proxy server Proxy server giải mã đối tượng sau gửi cho client Nói cách khác yêu cầu SSL chuyển tiế p yêu cầu SSL Khi client yêu cầu đối tượng SSL Proxy server gi ải mã yêu cầu chuyển tiếp cho web server Web server trả đối tượng HTTP cho proxy server Proxy server mã hóa đối tượng chuyển cho client Nói cách khác yêu cầu SSL đượ c chuyể n tiế p yêu c ầu HTTP SSL bridging thi ết lập cho yêu cầ u đến Tuy nhiên với yêu cầu client phải hỗ trợ truyền thông bảo mật với proxy server Bài tập thực hành học viên Trình bày khái niệm dịch vụ Proxy Trình bày qui tắc trinh cập Proxy Server Trình bày phương thức nhận thực Proxy Server TÀI LIỆU THAM KHẢO (1) Quản trị mạng Windows Server 2008, Nhà xuất Phương Đông, Năm 2009, Phương Lan Tô Thanh Hải (Tập 1, 2) (2) Làm chủ Microsoft Windows 2003 Server, Nhà xuất thống kê, Năm 2005 Phạm Hoàng Dũng (Tập 1, 2, 3) (3) Microsoft Windows 2000s Cài Đặt & Quản Trị , Nhà xuất Mũi Cà mau, Phạm Thế Bảo (4) MCSE Training Kit, Published by Microsoft Press, 2003 (5) http://technet.microsoft.com/en us/library/dd349801%28v=ws.10%29.aspx ... DIRECTORY) Quản lý tài khoản người dùng nhóm Quản lý đĩa Tạo quản lý thư mục dùng chung Dịch vụ DHCP WINS Quản lý in ấn Tổng số Thời gian Lý Thự thuyế c t hành Kiểm tra* 10 12 15 10 18 10 10 12 16 15 ... H.ROOTSERVERS.NET 12 8.63.2.53 B.ROOTSERVERS.NET 12 8.9.0 .10 7 C.ROOTSERVERS.NET 19 2.33.4 .12 D.ROOTSERVERS.NET 12 8.8 .10 .90 E.ROOTSERVERS.NET 19 2.203.230 .10 I.ROOTSERVERS.NET 19 2.36 .14 8 .17 F.ROOTSERVERS.NET 19 2.5.5.2 41. .. môn học Tin học đạ i cương, Mạng máy tính Mơ đun cung cấp cho sinh viên kỹ nghề Quản trị mạng máy tính * MỤC TIÊU MƠ ĐUN: - Phân biệt khác việc quản trị máy trạm máy chủ (Server) (workstation);