QUẢN TRỊ MẠNG VỚI WINDOWS SERVER 2003 TẠI CHI NHÁNH
NGÂN HÀNG CỒNG THƯƠNG KHU VỰC BA ĐÌNH
1. Khảo sát hạ tầng mạng
Khảo sát hạ tầng mạng tại Ngân hàng Công thương Việt Nam
Từ tháng 11 năm 2007, Ngân hàng Công thương Việt Nam đã nâng cấp
hệ thống mạng của mình từ sử dụng Windows Server 2000 lên Windows Server
2003
Hạ tầng mạng tại Chi nhánh Ngân hàng Công thương khu vực Ba Đình
Toàn bộ hệ thống mạng của Chi nhánh gồm có 3 Server và 160 máy tính
phân bố ở các phòng ban. Hệ thống sử dụng 1 switch layer 3 450T 24 cổng và 6
switch layer 2-450T 24 cổng. 3 Server gồm có 1 server chính, 1 dự phòng và 1
để dùng cho các ứng dụng. Hệ thống được cài đặt Active Directory kiểu
member trên toàn hệ thống mạng của Ngân hàng Công thương Việt Nam. Các
Server ở các chi nhánh đóng vai trò duy trì hoạt động của tất cả máy tính trong
mạng của chi nhánh và trung chuyển những số liệu giao dịch về cho Trung tâm
Công nghệ thông tin của Ngân hàng Công thương Việt Nam tại 108 Trần
Hưng Đạo.
Do hệ thống quản trị được cài theo kiểu AD áp dụng trên toàn hệ
thống mạng của Ngân hàng Công thương xuống đến các chi nhánh và các
điểm giao dịch nên có thể xem như mỗi mạng của chi nhánh được bảo mật
và ngăn chặn truy cập không cho phép bởi 2 lớp Firewall như sơ đồ sau:
Sơ đồ mạng máy tính của Chi nhánh Ngân hàng Công thương khu vực Ba
Đình:
Về hệ thống truyền thông:
Hệ thống sử dụng bộ kích và router đời mới, cáp đồng 2MBps từ hệ
thống đến các điểm giao dịch là đường truyền Leasedline 128Kbps. Ngoài ra hệ
thống mạng của Ngân hàng Công thương còn sử dụng 1 đường truyền dự
phòng. Đường truyền chính hiện nay đang thuê của VNPT còn đường truyền
phụ của FPT là đường dây cáp quang. Ngoài ra chi nhánh Ba Đình trực tiếp
quản lý 13 máy ATM. 13 máy này được nối với hệ thống mạng của chi nhánh
với 13 đường truyền 64kbps.

2. Quản trị hệ thống Active Directory
Kế hoạch triển khai AD tại Ngân hàng Công thương Việt Nam
Sau một thời gian dài tiến hành nghiên cứu và thử nghiệm, Trung tâm
CNTT đã chứng minh được tính khả thi của hệ thống AD và các công cụ quản
lý hệ thống của hãng Microsoft đối với NHCTVN. Dự án đã được Ban lãnh đạo
NHCTVN đánh giá cao và đồng ý triển khai diện rộng trong toàn hệ thống
NHCTVN.
Với quy mô lớn, hệ thống thông tin của Ngân hàng được đầu tư phức tạp
với các đặc điểm sau:
- Hệ thống chạy nhiều ứng dụng:
Do yêu cầu phong phú về các sản phẩm dịch vụ, Ngân hàng đầu tư khá nhiều
vào các ứng dụng của nhiều hãng lớn, khiến việc sử dụng cũng như quản trị gặp
nhiều khó khăn do mỗi ứng dụng hay mỗi máy chủ lại yêu cầu một tài khoản
người dùng khác nhau.
- Hệ thống máy chủ nhiều và phân tán:
Do yêu cầu về dịch vụ Ngân hàng, tại mỗi chi nhánh đều có ít nhất 2 máy chủ,
với hệ thống các chi nhánh phân bổ đến khắp các tỉnh thành trên cả nước, việc
quản trị tại trung ương gặp nhiều khó khăn do khó có thể xử lý kịp các sự cố
xảy ra trên toàn hệ thống, khiến việc giao dịch bị ngưng trệ, gây nhiều tổn thất
cho Ngân hàng.
Với hệ thống phân tán, việc quản lý máy trạm gần như không được thực
hiện, tính ổn định cho các máy trạm không được đảm bảo cho người sử dụng,
làm giảm hiệu suất làm việc của nhân viên. Nhận thức của người sử dụng chưa
tốt trong việc khai thác hệ thống, một số chính sách về bảo mật không tuân thủ,
việc sử dụng hệ thống tuỳ tiện của người dùng cũng tạo ra nhiều rủi ro về bảo
mật thông tin và gây khó khăn cho người quản trị hệ thống. Việc xem xét, lựa
chọn cấu trúc AD đã dựa trên phân cấp quản lý và cấu hình hệ thống mạng
WAN của NHCTVN. Về cấp quản lý hệ thống, NHCTVN có 1 Hội sở chính và
137 chi nhánh, các chi nhánh dưới sự quản lý trực tiếp của Hội sở chính. Về cấu
hình hệ thống mạng WAN, các chi nhánh đều có đường kết nối về trung tâm

miền tại Hà Nội, Đà Nẵng và TP. Hồ Chí Minh trước khi nối về Hội sở. Do vậy,
để có thể quản lý toàn bộ hệ thống một cách hiệu quả, dễ dàng, TTCNTT chia
các chi nhánh theo từng vùng, mỗi vùng là một tên miền, riêng Hội sở có một
tên miền riêng. Như vậy, cấu trúc AD của NHCTVN được chia làm 5 domain:
- 1 domain gốc : icbv.com
- 4 domain con: hq.icbv.com, north.icbv.com, middle.icbv.com và
south.icbv.com.
Những lợi ích của triển khai hệ thống AD:
Việc triển khai hệ thống AD và các công cụ quản lý của hãng Microsoft
sẽ mang lại rất nhiều lợi ích cho NHCTVN. Cụ thể là:
Việc triển khai Active Directory giúp:
- Sử dụng một tài khoản duy nhất trong khai thác hệ thống: Giúp người
dùng cũng như nhà quản trị dễ dàng hơn trong việc sử dụng hệ thống, nâng cao
hiệu quả làm việc của từng người.
- Phân quyền: Với chỉ một hệ thống users, người quản trị có thể dễ dàng
phân quyền, cấp phép cho người dùng truy cập vào bất kỳ tài nguyên nào thuộc
AD, khi triển khai các phần mềm hoặc ứng dụng mới người quản trị có thể tận
dụng luôn account có trong AD mà không cần phải lo tạo account mới như
trước kia.
- Đảm bảo về bảo mật: Hệ thống Microsoft luôn là mục tiêu tấn công
của virus, hacker... do vậy, khi chuyển toàn bộ hệ thống sang Microsoft, yêu cầu
phải có một chính sách về bảo mật được áp dụng chặt chẽ tới từng máy chủ,
máy trạm và người dùng, bảo đảm sự ổn định của hệ thống, nhằm khai thác tối
đa năng suất làm việc của nhân viên.
- Theo dõi và khắc phục kịp thời sự cố máy chủ: Với hạ thống máy
chủ phân tán, chạy nhiều ứng dụng và dịch vụ, phải có một cách quản lý tự
động, giúp nhanh chóng phát hiện và xử lý kịp thời các sự cố xảy ra trong hệ
thống, nhằm giảm thiểu tối đa thời gian ngừng máy, đồng thời phải có một báo
cáo hàng tuần về hệ thống máy chủ làm cơ sở cho việc thay thế, nâng cấp hàng
năm.

- Quản lý chặt chẽ hệ thống máy trạm: Để đảm bảo cho hệ thống ổn
định, ngoài việc quản lý máy chủ, đòi hỏi cũng phải có một chính sách chặt chẽ
trong việc sử dụng các máy trạm của người dùng cuối, nhằm ngăn chặn những
sơ hở về bảo mật từ người dùng. Ngoài ra, vệc triển khai các ứng dụng đến
người dùng cuối cũng phải có cơ chế để triển khai tự động từ trung ương, đảm
bảo tính nhất quán, hiệu quả, tiết kiệm thời gian và nhân lực cho việc đi đến
từng chi nhánh để triển khai.
Các dịch vụ tương lai trên nền tảng hệ thống AD:
Việc triển khai AD thành công sẽ là một bước tiến quan trọng trong việc
quản lý cơ sở hạ tầng hệ thống Công nghệ thông tin. AD là một hệ thống lớn rất
phổ biến và được sử dụng rộng rãi trên toàn thế giới. Điều quan trọng là hầu hết
các ứng dụng CNTT hiện nay trên thế giới đều có thành phần chấp nhận việc
bắt tay với hệ thống AD để quản lý người dùng.
Tại Ngân hàng Công thương Việt Nam, hệ thống thư điện tử đã bắt tay với
hệ thống AD việc tạo tài khoản người dùng, xác thực và cấp quyền truy cập thư
điện tử được thực hiện trên hệ thống AD. Hiện nay, Trung tâm CNTT đang áp
dụng một hệ thống quản lý công văn. Hệ thống này cũng đã bắt tay với AD
trong việc quản lý tài nguyên hệ thống và người truy cập.
TTCNTT đang tiến hành triển khai thử nghiệm hệ thống NAC (Network
Admission Control) - một giải pháp mới của hãng Cisco giúp kiểm soát mọi
máy tính truy cập vào hệ thống mạng. NAC có thể coi như một chiếc máy soi an
ninh sân bay để kiểm tra hành khách có mang theo vật dụng nguy hiểm hay
không. NAC có cơ chế làm việc cùng hệ thống AD, MOM và SMS trong việc
kiểm tra các máy tính mới kết nối vào mạng của NHCT VN. Tất cả các máy
móc thiết bị kết nối mạng chưa đảm bảo các tiêu chuẩn về mặt an ninh (do
NHCTVN quy định) đều bị chặn lại hoặc cô lập và thông báo với người quản
trị. Máy bị cô lập sẽ phải cập nhật đầy đủ và sau đó xác thực trước khi được truy
xuất vào các tài nguyên của NHCTVN.
Thực tế là chất lượng dịch vụ bắt nguồn từ bên trong chính doanh nghiệp,
đặc biệt là đối với kinh doanh tài chính. Sự tiện lợi, an toàn và bảo mật của các

dịch vụ phải nhìn từ việc áp dụng công nghệ thông tin và việc quản lý cơ sở hạ
tầng công nghệ thông tin như thế nào. Chỉ có sự tối ưu trong việc quản lý cơ sở
hạ tầng công nghệ thông tin mới mang lại được những dịch vụ tài chính có chất
lượng. AD là bước quan trọng tiếp theo trong chiến lược phát triển về CNTT
của NHCTVN. Hoàn thành việc triển khai AD sẽ tạo ra bước tiến quan trọng
trong việc tạo ra sự tối ưu đó.
Triển khai Active Directory tại Chi nhánh Ngân hàng Công thương Việt
Nam khu vực Ba Đình
Nhằm mục đích nâng cao khả năng quản trị hệ thống,đảm bảo an toàn, sử
dụng và quản lý tài nguyên của hệ thống, Ngân hàng Công thương Việt Nam đã
bước đầu triển khai hệ thống Active Directory từ năm 2005 tại Trụ sở chính,
Trung tâm CNTT và kế hoạch triển khai đến toàn bộ các chi nhánh Ngân hàng
Công thương trong năm 2007 và đầu năm 2008. Tiến tới mô hình quản lý tập
trung và cụ thể tới tận từng người sử dụng, từng máy tính trong mạng.
Trong nền kinh tế ngày nay, lòng trung thành của khách hàng phụ thuộc
vào thời gian đáp ứng, tính an toàn và chất lượng dịch vụ. Đối với các dịch vụ
tài chính, các yêu cầu này đang ngày càng phụ thuộc vào hệ thống công nghệ
thông tin (CNTT). Một trong những tiêu chuẩn là doanh nghiệp phải có một hệ
thống hạ tầng CNTT được xây dựng thống nhất, đáp ứng được nhu cầu mở rộng
và cấu trúc sao cho có thể triển khai các ứng dụng khác nhau một cách nhanh
chóng.
Chuyển đổi Hệ điều hành máy chủ lên Windows Server 2003:
Kế tiếp việc chuyển đổi nâng cấp Hệ điều hành của các máy chủ ứng
dụng tại các chi nhánh lên hệ thống Windows Server 2003 là một yếu tố tất yếu,
kèm theo đó là các ứng dụng cũng nâng cấp lên theo các phiên bản mới hơn.
Ưu điểm của hệ điều hành mới là sẽ hoạt động ổn định hơn, bảo mật tốt
hơn so với Windows 2000 Advance. Các phần mềm ứng dụng cũng nâng cấp
gồm:
- Oracle 901.1 + patch 901.5
- MSSQL Server 2005 + SP2

- My SQL 4.1.22
- Script Backup (cho phần Database)
- WSUS 3.0
- Officescan 8.0
Phần backup Database giữa máy chủ SRV1 và SRV2 cũng đã hoàn thiện
việc Replicate Online giữa 2 server giúp cho việc khắc phục sự cố nhanh chóng
hơn. Việc phân chia quyền hạn được thiết lập chặt chẽ hơn, các dịch vụ cũng
được tối ưu hóa nhằm nâng cao sự hoạt động ổn định của máy chủ. Hiện nay,
mỗi chủng loại Server sẽ có 1 bản Image riêng (DELL 6800, NCR4490, NCR
4475, S29, S28). Sau năm 2007, tất cả các máy chủ tại chi nhánh (máy chủ ứng
dụng và các máy chủ Domain, virus…) sẽ chuyển đổi lên phiên bản Windows
2003R2 và gia nhập Domain của Ngân hàng Công thương Việt Nam.
Mô hình AD tại các chi nhánh:
Mỗi chi nhánh sẽ phải cài đặt thêm 2 máy chủ riêng biệt cho hệ thống AD
để phục vụ cho việc xác thực các users tại các chi nhánh và dự phòng cho nhau.
Các Server sẽ được Replicate với nhau và replicate với các domain vùng tương
ứng. Tại các chi nhánh, PC của các chi nhánh sẽ phải trỏ đến địa chỉ DNS các
máy chủ AD tại các chi nhánh để xác thực, hệ thống sẽ tự động xác thực trên 1
trong 2 server, địa chỉ IP của các server này thuộc lớp máy chủ và có địa chỉ từ
172.xxx.yy.51 đến 172.xxx.yy.54 và tùy thuộc vào máy đó là máy ảo hay PC.
Việc xác thực của các Users trong qúa trình login vào máy PC và kiểm tra email
cũng trên 2 máy chủ AD này. Các PC trong chi nhánh và Server ứng dụng tại
các chi nhánh sẽ là member của Domain. Máy chủ Domain có lưu các bản ghi
về Computer name và Users của từng người sử dụng trên hệ thống, đồng thời
các máy chủ AD tại chi nhánh cũng được cài đặt các dịch vụ mạng như DNS,
WINS, DHCP servers cho chi nhánh. Do vậy, các DC tại mỗi chi nhánh có tầm
quan trọng rất lớn, nếu 1 trong 2 server bị lỗi thì sẽ gây ảnh hưởng trực tiếp đến
chi nhánh đó và nếu cả 2 server cùng bị lỗi thì ảnh hưởng trực tiếp đến việc
đăng nhập, xác thực của toàn bộ chi nhánh.
Cây thư mục AD tại Chi nhánh Ngân hàng Công thương khu vực Ba

Đình
2.2.1 Các công việc thực hiện khi triển khai AD
Tạo các tài khoản cho người sử dụng tại chi nhánh
Trước đây, việc sử dụng tài nguyên trên các PC và server là sử dụng tài
khoản Users trên chính các máy đó (Local). Với cơ chế đó, mỗi người sử dụng
sẽ phải nhớ rất nhiều User và Password khác nhau. Một số ứng dụng đều sử
dụng chung User để sử dụng tài nguyên, chạy chương trình nên đôi khi rất khó
khăn cho người sử dụng. Đối với người quản trị hệ thống, trên mỗi máy chủ có
ít nhất 5 – 7 tài khoản khác nhau và với số lượng các chi nhánh và máy chủ như
hiện nay thì người quản trị sẽ phải nhớ đến hàng ngàn tài khoản khác nhau. Do
vậy hệ thống AD giúp chúng ta chỉ cần sử dụng 1 tài khoản duy nhất và 1 lần
Login duy nhất để sử dụng tài nguyên mạng và thực hiện tất cả các công việc
của mình (theo quyền hạn được cấp) như: truy cập vào máy tính, sử dụng tài
nguyên trên server, truy cập hệ thống Email,… Khi đó mỗi người sử dụng sẽ
phải có 1 tài khoản riêng và được cấp phát và quản lý tại TTCNTT của Ngân
hàng Công thương Việt Nam.
Kiểm tra sự ổn định của các máy PC
Khi tiến hàng triển khai AD đến chi nhánh thì các yếu tố rất quan trọng cần
để ý trong quá trình thực hiện là: