Huong dan su dung Window Sever 2008

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (9.99 MB, 200 trang )

(1)QUẢN TRỊ MẠNG. Hà nội , 2012.

(2) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. MỤC LỤC MỤC LỤC ........................................................................................................................... 0 I. Kiến thức cơ bản .............................................................................................................. 6 I.1. Các mô hình tham chiếu OSI và TCP/IP ................................................................... 6 I.1.1. Khái niệm giao thức (protocol) ........................................................................... 6 I.1.2. Mô hình tham chiếu OSI ..................................................................................... 6 I.1.3. Mô hình tham chiếu TCP/IP ................................................................................ 7 I.1.4. So sánh mô hình OSI và TCP/IP ........................................................................ 8 I.2 Địa chỉ IP .................................................................................................................... 9 I.2.1 Giới thiệu địa chỉ IP ............................................................................................. 9 I.2.2 Một số khái niệm và thuật ngữ liên quan ........................................................... 9 I.2.3. Giới thiệu các lớp địa chỉ .................................................................................. 10 I.2.4 Ví dụ cách triển khai đặt địa chỉ IP cho một hệ thống mạng. ............................ 13 I.2.5 Chia mạng con (subnetting) ............................................................................... 14 I.3 Các thiết bị mạng ...................................................................................................... 16 I.3.1 Card mạng (NIC hay Adapter) ........................................................................... 16 I.3.2 Card mạng dùng cáp điện thoại .......................................................................... 17 I.3.3 Modem................................................................................................................ 17 I.3.4 Repeater .............................................................................................................. 17 I.3.5 Hub ..................................................................................................................... 18 I.3.6 Bridge (cầu nối) ................................................................................................. 18 I.3.7. Switch ................................................................................................................ 19 I.3.8. Wireless Access Point ....................................................................................... 20 I.3.9 Router ................................................................................................................. 20 II. Mạng cục bộ - LAN ...................................................................................................... 22 II.1. Kiến thức cơ bản về LAN....................................................................................... 22 II.2. Cấu trúc topo của mạng .......................................................................................... 22 II.2.1. Mạng hình sao .................................................................................................. 22 II.2.2. Mạng vòng ....................................................................................................... 23 II.3. Hệ thống cáp mạng dùng cho LAN ........................................................................ 23 II.3.1 Cáp xoắn ........................................................................................................... 23 II.3.2. Cáp đồng trục ................................................................................................... 23 II.3.3. Cáp quang (Fiber - Optic Cable) ...................................................................... 24 II.3.4. Các thiết bị dùng để nối LAN .......................................................................... 24 II.3.5. Bộ chuyển mạch SWITCH .............................................................................. 25 II.3.6. Bộ định tuyến ROUTER .................................................................................. 25 II.3.7. Luật 5-4-3 trong thiết kế mạng ........................................................................ 25 III. Thiết kế, lắp đặt và cấu hình mạng trường học ........................................................... 26 III.1 Mô hình mạng trường học với những đặc điểm cơ bản ......................................... 26 III.1.1. Quản lý người dùng truy cập .......................................................................... 26 III.1.2 Lưu trữ và chia sẻ thông tin ............................................................................. 26 1.

(3) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. III.1.3 Kết nối thông suốt ............................................................................................ 26 III.1.4 Các dịch vụ ...................................................................................................... 26 III.1.5 Kết nối Internet ................................................................................................ 27 III.1.6 Các tài nguyên trong mạng .............................................................................. 27 III.1.7 Truy cập đa dạng ............................................................................................. 27 III.1.8. Nhóm làm việc ................................................................................................ 27 III.1.9. Giá thành cao .................................................................................................. 27 III.1.10 Sự cố máy chủ................................................................................................ 27 III.1.11 An toàn hệ thống mạng .................................................................................. 28 III.2 Các bước thiết kế một mạng trường học ................................................................ 28 III.2.1 Những quy tắc chung khi thiết kế .................................................................... 28 III.2.2 Các bước thiết kế ............................................................................................. 28 III.3 Công cụ EDRAW MAX ........................................................................................ 28 III.3.1 Giới thiệu phần mềm EDRAW MAX ............................................................. 29 III.4. Lắp đặt mạng trường học ...................................................................................... 30 III.5. Cấu hình thiết bị mạng trường học ....................................................................... 30 III.5.1 Cấu hình sử dụng giao diện đồ hoạ ................................................................. 30 III.5.2 Cấu hình Router sử dụng câu lệnh ................................................................... 40 IV. Tường lửa .................................................................................................................... 43 IV.1 Khái niệm tường lửa .............................................................................................. 43 IV.2 Phân loại tường lửa ................................................................................................ 43 IV.2.1 Tường lửa phần cứng....................................................................................... 43 IV.2.2. Tường lửa phần mềm...................................................................................... 45 IV.3. Cài đặt và cấu hình dịch vụ tường lửa .................................................................. 45 IV.3.1 Tường lửa mặc định trong Windows ............................................................... 45 IV.3.2. Các công cụ tường lửa khác ........................................................................... 50 IV.3.2.4 Biểu tượng Trạng thái của COMODO Firewall ........................................... 55 V. Bảo mật mạng ............................................................................................................... 56 V.1. Bảo mật mạng là gì................................................................................................. 56 V.2 Các mối nguy hiểm thường gặp với hệ thống mạng ............................................... 56 V.2.1. Điểm yếu của hệ thống mạng .......................................................................... 56 V.2.2. Nguy hiểm đối với hạ tầng phần cứng ............................................................. 57 V.2.3. Nguy hiểm đối với hệ thống mạng .................................................................. 57 V.2.4. Các hình thức tấn công vào mạng của hacker ................................................. 57 V.2.5. Các bước phát triển chính sách bảo mật cho hệ thống mạng .......................... 58 QUẢN TRỊ MẠNG ........................................................................................................... 59 VI. Giới thiệu và cài đặt Windows Server 2008 ............................................................... 59 VI.1 Tổng quan về họ hệ điều hành Windows Server 2008 .......................................... 59 VI.1.1 Lịch sử về hệ điều hành Windows của Microsoft ........................................... 59 VI.1.2 Những ưu điểm nổi bật của Windows Server 2008 .......................................... 60 VI.2 Cài đặt Windows server 2008 ................................................................................ 62 VII. Active Directory......................................................................................................... 67 2.

(4) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. VII.1 Mô hình mạng trong môi trường Microsoft ......................................................... 67 VII.1.1 Mô hình Workgroup ....................................................................................... 67 VII.1.2 Mô hình Domain ............................................................................................ 68 VII.2 Chức năng của Active Directory .......................................................................... 69 VII.3 Active Directory Federation Service .................................................................... 69 VII.3.1 Tổng quan ....................................................................................................... 69 VII.3.2 Các Role trong AD FS ................................................................................... 71 VII.4 Active Directory Domain Service ....................................................................... 72 VII.4.1 Tổng quan ...................................................................................................... 72 VII.4.2 Tính năng của Active Directory Domain Services ....................................... 72 VII.5 Active Directory Service ..................................................................................... 73 VII.5.1 Khái niệm ....................................................................................................... 73 VII.5.2 Các thành phần trong Active Directory Service ............................................ 73 VII.5.3 Kiến trúc của Active Directory Service ......................................................... 75 VII.6 Cài đặt và cấu hình Active Directory Service ...................................................... 78 VII.6.1 Nâng cấp Server lên Domain Controller ........................................................ 78 VII.6.2 Gia nhập một máy trạm vào Domain ............................................................. 84 VII.6.3 Xây dựng Domain Controller đồng hành ....................................................... 88 VII.6.4 Xây dựng Subdomain ..................................................................................... 95 VII.6.5 Xây dựng Organizational Unit ..................................................................... 100 VII.6.6 Công cụ quản trị Active Directory Sevice ................................................... 104 VIII. Quản lý tài khoản người dùng và nhóm ................................................................. 105 VIII.1. Tạo mới User trong Domain ............................................................................ 105 VIII.2. Quản lý user ..................................................................................................... 108 VIII.2.1. Thiết lập thời gian user được phép đăng nhập vào domain ....................... 108 VIII.2.2. Thiết lập user đăng nhập máy tính ............................................................. 109 VIII.2.3. Bảng chi tiết các tùy chọn liên quan tới user ............................................. 110 VIII.3. Group ................................................................................................................ 112 IX. Local Security Policy (chính sách bảo mật cục bộ) .................................................. 115 IX.1 Account Policy..................................................................................................... 116 IX.1.1 Password policy ............................................................................................. 116 IX.1.2 Account lockout policy ................................................................................. 117 IX.2 Local policy ......................................................................................................... 117 IX.2.1 Audit Policies ................................................................................................ 118 IX.2.2 User rights assignment: .................................................................................. 119 IX.2.3 Security options: ............................................................................................ 119 X. Group Policy ............................................................................................................... 120 X.1 Chức năng của Group Policy ................................................................................ 120 X.2 Group Policy Management Console ...................................................................... 120 X.2.1 Cài đặt GPMC ................................................................................................. 121 X.2.2 Tương tác với GPO ......................................................................................... 121 X.2.3 Liên kết GPO vào các đối tượng..................................................................... 122 3.

(5) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. X.2.4 Tạo một GPO liên kết ..................................................................................... 124 X.2.5 Tương tác mở rộng với GPO .......................................................................... 126 X.2.6 Starter GPOs ................................................................................................... 133 X.2.7 Tạo GPO từ Starter GPO ................................................................................ 135 XI. Dịch vụ DHCP .......................................................................................................... 136 XI.1 Giới thiệu dịch vụ DHCP ..................................................................................... 136 XI.2 Cài đặt DHCP Server ........................................................................................... 136 XI.3 Quản lý DHCP Server .......................................................................................... 138 XI.4 Kiểm tra DHCP Server ........................................................................................ 140 XII. Dịch vụ DNS ............................................................................................................ 141 XII.1 Giới thiệu DNS ................................................................................................... 141 XII.2 Đặc điểm của DNS ............................................................................................. 143 XII.3 Một số khái niệm cơ bản .................................................................................... 144 XII.3.1 Domain name và Zone ................................................................................. 144 XII.3.2 Fully qualified domain name ....................................................................... 144 XII.3.3 Sự ủy quyền .................................................................................................. 145 XII.3.4 Forwarders .................................................................................................... 145 XII.3.5 Stub zone ...................................................................................................... 145 XII.3.6 Dynamic DNS .............................................................................................. 146 XII.4 Cơ chế phân giải tên ........................................................................................... 148 XII.4.1 Cơ chế phân giải tên máy tính thành IP ....................................................... 148 XII.4.2 Cơ chế phân giải IP thành tên máy tính ....................................................... 150 XII.5 Phân loại Domain name Server .......................................................................... 150 XII.5.1 Primary Name Server ................................................................................... 150 XII.5.2 Secondary Name Server ............................................................................... 150 XII.5.3 Caching Name Server .................................................................................. 151 XII.6 Resource Record ................................................................................................. 152 XII.6.1 SOA Record ................................................................................................. 152 XII.6.2 NS Record .................................................................................................... 153 XII.6.3 A Record và CNAME Record ..................................................................... 153 XII.6.4 AAA Record................................................................................................. 154 XII.6.5 ARV Record ................................................................................................. 154 XII.6.6 MX Record ................................................................................................... 154 XII.6.7 PTR Record .................................................................................................. 155 XII.7 Cài đặt dịch vụ DNS ........................................................................................... 155 XII.8 Cấu hình dịch vụ DNS ........................................................................................ 156 XII.8.1 Tạo Forward lookup zone ............................................................................ 156 XII.8.2 Tạo Reverse lookup zone ............................................................................ 159 XII.8.3 Tạo Record CNAME.................................................................................... 160 XII.8.4 Tạo MX Record............................................................................................ 162 XII.8.5 Tạo miền con ................................................................................................ 165 XII.9 Quản lý dịch vụ DNS ......................................................................................... 166 4.

(6) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XII.9.1 Theo dõi sự kiện DNS .................................................................................. 166 XII.9.2 Kiểm tra hoạt động của dịch vụ DNS .......................................................... 167 XIII. Dịch vụ File Server ................................................................................................. 167 XIII.1 Giới thiệu công cụ File Server Resource Manager ........................................... 167 XIII.2 Cấu hình Home Directory ................................................................................. 168 XIII.3 Cài đặt File server Resource manager ............................................................... 171 XIII.4 Disk Quota......................................................................................................... 173 XIII.4.1 Chức năng ................................................................................................... 173 XIII.4.2 Tạo 1 quota ................................................................................................. 173 XIII.4.3 Kiểm tra Quota............................................................................................ 174 XIV. Quản lý máy ấn ....................................................................................................... 175 XIV.1 Print Services Tools .......................................................................................... 175 XIV.2 Quản lý các máy in trong mạng ........................................................................ 177 XIV.3 Chuyển Network Printer ................................................................................... 177 XV. WEB SERVER ........................................................................................................ 183 XV.1 Giới thiệu về IIS 7.0 ........................................................................................... 183 XV.2 Cài đặt Web Server............................................................................................. 184 XV.3 Xuất bản website ................................................................................................ 187 XV.3.1 Xuất bản một website................................................................................... 187 XV.3.2 Xuất bản nhiều website ................................................................................ 189 XVI. Hyper-V .................................................................................................................. 189 XVI.1 Giới thiệu .......................................................................................................... 189 XVI.2 Cài đặt Hyper-V ................................................................................................ 190 XVI.3 Tạo và cài đặt máy ảo ....................................................................................... 192. 5.

(7) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. I. Kiến thức cơ bản I.1. Các mô hình tham chiếu OSI và TCP/IP I.1.1. Khái niệm giao thức (protocol) Là quy tắc giao tiếp (tiêu chuẩn giao tiếp) giữa hai hệ thống giúp chúng hiểu và trao đổi dữ liệu được với nhau.. I.1.2. Mô hình tham chiếu OSI Mô hình OSI (Open System Interconnection): là mô hình được tổ chức ISO đề xuất từ 1977 và công bố lần đầu vào 1984. Để các máy tính và các thiết bị mạng có thể truyền thông với nhau phải có những qui tắc giao tiếp được các bên chấp nhận. Mô hình OSI là một khuôn mẫu giúp chúng ta hiểu dữ liệu đi xuyên qua mạng như thế nào đồng thời cũng giúp chúng ta hiểu được các chức năng mạng diễn ra tại mỗi lớp. Trong mô hình OSI có bảy lớp, mỗi lớp mô tả một phần chức năng độc lập. Sự tách lớp của mô hình này mang lại những lợi ích sau:  Chia hoạt động thông tin mạng thành những phần nhỏ hơn, đơn giản hơn giúp chúng ta dễ khảo sát và tìm hiểu hơn.  Chuẩn hóa các thành phần mạng để cho phép phát triển mạng từ nhiều nhà cung cấp sản phẩm.  Ngăn chặn được tình trạng sự thay đổi của một lớp làm ảnh hưởng đến các lớp khác, như vậy giúp mỗi lớp có thể phát triển độc lập và nhanh chóng hơn.  Mô hình tham chiếu OSI định nghĩa các qui tắc cho các nội dung sau:  Cách thức các thiết bị giao tiếp và truyền thông được với nhau.  Các phương pháp để các thiết bị trên mạng khi nào thì được truyền dữ liệu, khi nào thì không được.  Các phương pháp để đảm bảo truyền đúng dữ liệu và đúng bên nhận.  Cách thức vận tải, truyền, sắp xếp và kết nối với nhau.  Cách thức đảm bảo các thiết bị mạng duy trì tốc độ truyền dữ liệu thích hợp  Cách biểu diễn một bit thiết bị truyền dẫn.  Mô hình tham chiếu OSI được chia thành bảy lớp với các chức năng sau:  Application Layer (lớp ứng dụng): giao diện giữa ứng dụng và mạng.  Presentation Layer (lớp trình bày): thoả thuận khuôn dạng trao đổi dữ liệu.  Session Layer (lớp phiên): cho phép người dùng thiết lập các kết nối.  Transport Layer (lớp vận chuyển): đảm bảo truyền thông giữa hai hệ thống.  Network Layer (lớp mạng): định hướng dữ liệu truyền trong môi trường liên mạng.  Data link Layer (lớp liên kết dữ liệu): xác định việc truy xuất đến các thiết bị. 6.

(8) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Physical Layer (lớp vật lý): chuyển đổi dữ liệu thành các bit và truyền đi.. Mô hình tham chiếu OSI. I.1.3. Mô hình tham chiếu TCP/IP Các bộ phận, văn phòng của Chính phủ Hoa Kỳ đã nhận thức được sự quan trọng và tiềm năng của kĩ thuật Internet từ nhiều năm trước, cũng như đã cung cấp tài chính cho việc nghiên cứu, để thực sự có được một mạng Internet toàn cầu. Sự hình thành kĩ thuật Internet là kết quả nghiên cứu dưới sự tài trợ của Defense/Advanced Research Projects Agency (ARPA/DARPA). Kĩ thuật ARPA bao gồm một tập hợp của các chuẩn mạng, đặc tả chi tiết cách thức mà các máy tính thông tin liên lạc với nhau, cũng như các quy ước cho các mạng interconnecting và định tuyến giao thông. Tên chính thức là TCP/IP Internet Protocol Suite và thường được gọi là TCP/IP, có thể dùng để thông tin liên lạc qua tập hợp bất kỳ các mạng interconnected. Nó có thể dùng để liên kết mạng trong một công ty, không nhất thiết phải nối kết với các mạng khác bên ngoài. Các lớp của mô hình tham chiếu TCP/IP  Lớp Application: quản lý các giao thức, hỗ trợ việc trình bày, mã hóa, và quản lý cuộc gọi. Lớp Application cũng hỗ trợ nhiều ứng dụng, như: FTP (File Transfer Protocol), HTTP (Hypertext Transfer Protocol), SMTP (Simple Mail Transfer Protocol), DNS (Domain Name System), TFTP (Trivial File Transfer Protocol).  Lớp Transport: đảm nhiệm việc vận chuyển từ nguồn đến đích. Tầng Transport đảm nhiệm việc truyền dữ liệu thông qua hai giao thức: TCP (Transmission Control Protocol) và UDP (User Datagram Protocol).  Lớp Internet: đảm nhiệm việc chọn lựa đường đi tốt nhất cho các gói tin. Nghi thức được sử dụng chính ở tầng này là nghi thức IP (Internet Protocol).  Lớp Network Access (hoặc Network Interface): có tính chất tương tự như hai lớp Data Link và Physical của kiến trúc OSI. 7.

(9) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Mô hình tham chiếu TCP/IP. I.1.4. So sánh mô hình OSI và TCP/IP. So sánh 2 mô hình OSI và TCP/IP Các điểm giống nhau:  Cả hai đều có kiến trúc phân lớp.  Đều có lớp Application, mặc dù các dịch vụ ở mỗi lớp khác nhau.  Đều có các lớp Transport và Network.  Sử dụng kĩ thuật chuyển packet (packet-switched).  Các điểm khác nhau:  Mô hình TCP/IP kết hợp lớp Presentation và lớp Session vào trong lớp Application 8.

(10) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Mô hình TCP/IP kết hợp lớp Data Link và lớp Physical vào trong một lớp.  Mô hình TCP/IP đơn giản hơn bởi vì có ít lớp hơn.  Nghi thức TCP/IP được chuẩn hóa và được sử dụng phổ biến trên toàn thế giới.. I.2 Địa chỉ IP I.2.1 Giới thiệu địa chỉ IP Là địa chỉ có cấu trúc, được chia làm hai hoặc ba phần là: network_id và host_id hoặc network_id, subnet_id, host_id. Là một con số có kích thước 32 bit. Khi trình bày, người ta chia con số 32 bit này thành bốn phần, mỗi phần có kích thước 8 bit, gọi là octet hoặc byte. Ví dụ: 172.16.30.56 Không gian địa chỉ IP (gồm 232 địa chỉ) được chia thành nhiều lớp (class) để dễ quản lý. Đó là các lớp: A, B, C, D và E; trong đó các lớp A, B và C được triển khai để đặt cho các host trên mạng Internet; lớp D dùng cho các nhóm multicast; còn lớp E phục vụ cho mục đích nghiên cứu. Địa chỉ IP còn được gọi là địa chỉ logical, trong khi địa chỉ MAC còn gọi là địa chỉ vật lý (hay địa chỉ physical).. I.2.2 Một số khái niệm và thuật ngữ liên quan  Network_id: là giá trị để xác định đường mạng. Trong số 32 bit dùng địa chỉ IP, sẽ có một số bit đầu tiên dùng để xác định network_id. Giá trị của các bit này được dùng để xác định đường mạng.  Host_id: là giá trị để xác định host trong đường mạng. Trong số 32 bit dùng làm địa chỉ IP, sẽ có một số bit cuối cùng dùng để xác định host_id. Host_id chính là giá trị của các bit này.  Địa chỉ host: là địa chỉ IP, có thể dùng để đặt cho các interface của các host. Hai host nằm thuộc cùng một mạng sẽ có network_id giống nhau và host_id khác nhau.  Mạng (network): một nhóm nhiều host kết nối trực tiếp với nhau. Giữa hai host bất kỳ không bị phân cách bởi một thiết bị layer 3. Giữa mạng này với mạng khác phải kết nối với nhau bằng thiết bị layer 3.  Địa chỉ mạng (network address): là địa chỉ IP dùng để đặt cho các mạng. Địa chỉ này không thể dùng để đặt cho một interface. Phần host_id của địa chỉ chỉ chứa các bit 0. Ví dụ 172.29.0.0 là một địa chỉ mạng.  Mạng con (subnet network): là mạng có được khi một địa chỉ mạng (thuộc lớp A, B, C) được phân chia nhỏ hơn (để tận dụng số địa chỉ mạng được cấp phát). Địa chỉ mạng con được xác định dựa vào địa chỉ IP và mặt nạ mạng con (subnet mask) đi kèm (sẽ đề cập rõ hơn ở phần sau). 9.

(11) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Địa chỉ broadcast: là địa chỉ IP được dùng để đại diện cho tất cả các host trong mạng. Phần host_id chỉ chứa các bit 1. Địa chỉ này cũng không thể dùng để đặt cho một host được. Ví dụ 172.29.255.255 là một địa chỉ broadcast.  Các phép toán làm việc trên bit:. Ví dụ sau minh hoạ phép AND giữa địa chỉ 172.29.14.10 và mask 255.255.0.0 172.29.14.10 = 10101100000111010000111000001010 AND 255.255.0.0 = 11111111111111110000000000000000 172.29.0.0. = 10101100000111010000000000000000.  Mặt nạ mạng (network mask): là một con số dài 32 bit, là phương tiện giúp máy xác định được địa chỉ mạng của một địa chỉ IP (bằng cách AND giữa địa chỉ IP với mặt nạ mạng) để phục vụ cho công việc routing. Mặt nạ mạng cũng cho biết số bit nằm trong phần host_id. Được xây dựng theo cách: bật các bit tương ứng với phần network_id (chuyển thành bit 1) và tắt các bit tương ứng với phần host_id (chuyển thành bit 0). o Mặt nạ mặc định của lớp A: sử dụng cho các địa chỉ lớp A khi không chia mạng con, mặt nạ có giá trị 255.0.0.0. o Mặt nạ mặc định của lớp B: sử dụng cho các địa chỉ lớp B khi không chia mạng con, mặt nạ có giá trị 255.255.0.0. o Mặt nạ mặc định của lớp C: sử dụng cho các địa chỉ lớp C khi không chia mạng con, mặt nạ có giá trị 255.255.255.0.. I.2.3. Giới thiệu các lớp địa chỉ I.2.3.1 Lớp A Dành một byte cho phần network_id và ba byte cho phần host_id.. Để nhận diện ra lớp A, bit đầu tiên của byte đầu tiên phải là bit 0. Dưới dạng nhị phân, byte này có dạng 0xxxxxxx. Vì vậy, những địa chỉ IP có byte đầu tiên nằm trong 10.

(12) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. khoảng từ 0 (00000000) đến 127 (01111111) sẽ thuộc lớp A. Ví dụ địa chỉ 50.14.32.8 là một địa chỉ lớp A (50 < 127). Byte đầu tiên này cũng chính là network_id, trừ đi bit đầu tiên làm ID nhận dạng lớp A, còn lại bảy bit để đánh thứ tự các mạng, ta được 128 (27) mạng lớp A khác nhau. Bỏ đi hai trường hợp đặc biệt là 0 và 127. Kết quả là lớp A chỉ còn 126 (27-2) địa chỉ mạng, 1.0.0.0 đến 126.0.0.0. Phần host_id chiếm 24 bit, tức có thể đặt địa chỉ cho 16.777.216 (224) host khác nhau trong mỗi mạng. Bỏ đi một địa chỉ mạng (phần host_id chứa toàn các bit 0) và một địa chỉ broadcast (phần host_id chứa toàn các bit 1) như vậy có tất cả 16.777.214 (224-2) host khác nhau trong mỗi mạng lớp A. Ví dụ, đối với mạng 10.0.0.0 thì những giá trị host hợp lệ là 10.0.0.1 đến 10.255.255.254.. I.2.3.2 Lớp B Dành hai byte cho mỗi phần network_id và host_id. Dấu hiệu để nhận dạng địa chỉ lớp B là byte đầu tiên luôn bắt đầu bằng hai bit 10. Dưới dạng nhị phân, octet có dạng 10xxxxxx. Vì vậy những địa chỉ nằm trong khoảng từ 128 (10000000) đến 191 (10111111) sẽ thuộc về lớp B. Ví dụ 172.29.10.1 là một địa chỉ lớp B (128 < 172 < 191). Phần network_id chiếm 16 bit bỏ đi 2 bit làm ID cho lớp, còn lại 14 bit cho phép ta đánh thứ tự 16.384 (214) mạng khác nhau (128.0.0.0 đến 191.255.0.0) Phần host_id dài 16 bit hay có 65536 (216) giá trị khác nhau. Trừ 2 trường hợp đặc biệt còn lại 65534 host trong một mạng lớp B. Ví dụ, đối với mạng 172.29.0.0 thì các địa chỉ host hợp lệ là từ 172.29.0.1 đến 172.29.255.254.. 11.

(13) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. I.2.3.3 Lớp C Dành ba byte cho phần network_id và một byte cho phần host_id.. Byte đầu tiên luôn bắt đầu bằng ba bit 110 và dạng nhị phân của octet này là 110xxxxx. Như vậy những địa chỉ nằm trong khoảng từ 192 (11000000) đến 223 (11011111) sẽ thuộc về lớp C. Ví dụ một địa chỉ lớp C là 203.162.41.235 (192 < 203 < 223). Phần network_id dùng ba byte hay 24 bit, trừ đi 3 bit làm ID của lớp, còn lại 21 bit hay 2.097.152 địa chỉ mạng (từ 192.0.0.0 đến 223.255.255.0). Phần host_id dài một byte cho 256 (28) giá trị khác nhau. Trừ đi hai trường hợp đặc biệt ta còn 254 host khác nhau trong một mạng lớp C. Ví dụ, đối với mạng 203.162.41.0, các địa chỉ host hợp lệ là từ 203.162.41.1 đến 203.162.41.254.. I.2.3.4 Lớp D và E Các địa chỉ có byte đầu tiên nằm trong khoảng 224 đến 255 là các địa chỉ thuộc lớp D hoặc E. Do các lớp này không phục vụ cho việc đánh địa chỉ các host nên không trình bày ở đây. I.2.3.5 Bảng tổng kết Ghi chú: XX là số bất kỳ trong miền cho phép.. 12.

(14) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. I.2.4 Ví dụ cách triển khai đặt địa chỉ IP cho một hệ thống mạng.. 13.

(15) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. I.2.5 Chia mạng con (subnetting) Giả sử ta phải tiến hành đặt địa chỉ IP cho hệ thống có cấu trúc như sau. Hệ thống mạng có 6 đường mạng Theo hình trên, ta bắt buộc phải dùng đến tất cả là sáu đường mạng riêng biệt để đặt cho hệ thống mạng của mình, mặc dù trong mỗi mạng chỉ dùng đến vài địa chỉ trong tổng số 65534 địa chỉ hợp lệ, đó là một sự phí phạm to lớn. Thay vì vậy, khi sử dụng kỹ thuật chia mạng con, ta chỉ cần sử dụng một đường mạng 150.150.0.0 và chia đường mạng này thành sáu mạng con theo hình bên dưới:. 14.

(16) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Hệ thống mạng có 6 đường mạng (sau khi chia Subnet) Rõ ràng khi tiến hành cấp phát địa chỉ cho các hệ thống mạng lớn, người ta phải sử dụng kỹ thuật chia mạng con trong tình hình địa chỉ IP ngày càng khan hiếm. Ví dụ trong hình trên hoàn toàn chưa phải là chiến lược chia mạng con tối ưu. Thật sự người ta còn có thể chia mạng con nhỏ hơn nữa, đến một mức độ không bỏ phí một địa chỉ IP nào khác. Xét về khía cạnh kỹ thuật, chia mạng con chính là việc mượn một số bit trong phần host_id ban đầu để đặt cho các mạng con. Lúc này, cấu trúc của địa chỉ IP gồm có ba phần: network_id, subnet_id và host_id. Số bit dùng cho phần subnet_id bao nhiêu là tuỳ thuộc vào chiến lược chia mạng con của người quản trị, có thể là một con số tròn byte (8 bit) hoặc một số bit lẻ vẫn được. Tuy nhiên subnet_id không thể chiếm trọn số bit có trong host_id ban đầu, cụ thể là (số bit làm subnet_id) ≤ (số bit làm host_id)-2. Số lượng host trong mỗi mạng con được xác định bằng số bit trong phần host_id; 2 x - 2 là số địa chỉ hợp lệ có thể đặt cho các host trong mạng con. Tương tự, số bit trong phần subnet_id xác định số lượng mạng con. Giả sử số bit là y 2y - 2 là số lượng mạng con có được (trường hợp đặc biệt thì có thể sử dụng được 2y mạng con). Một số khái niệm mới:  Địa chỉ mạng con (địa chỉ đường mạng): bao gồm cả phần network_id và subnet_id, phần host_id chỉ chứa các bit 0. Theo hình bên trên thì ta có các địa chỉ mạng con sau: 150.150.1.0, 150.150.2.0, … 15.

(17) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Địa chỉ broadcast trong một mạng con: Giữ nguyên các bit dùng làm địa chỉ mạng con, đồng thời bật tất cả các bit trong phần host_id lên 1. Ví dụ địa chỉ broadcast của mạng con 150.150.1.0 là 150.150.1.255.  Mặt nạ mạng con (subnet mask): giúp máy tính xác định được địa chỉ mạng con của một địa chỉ host. Để xây dựng mặt nạ mạng con cho một hệ thống địa chỉ, ta bật các bit trong phần network_id và subnet_id lên 1, tắt các bit trong phần host_id thành 0. Ví dụ mặt nạ mạng con dùng cho hệ thống mạng trong hình trên là 255.255.255.0. Vấn đề đặt ra là khi xác định được một địa chỉ IP (ví dụ 172.29.8.230) ta không thể biết được host này nằm trong mạng nào (không thể biết mạng này có chia mạng con hay không, và nếu có chia thì dùng bao nhiêu bit để chia). Chính vì vậy khi ghi nhận địa chỉ IP của một host, ta cũng phải cho biết subnet mask là bao nhiêu (subnet mask có thể là giá trị thập phân, cũng có thể là số bit dùng làm subnet mask).  Ví dụ địa chỉ IP ghi theo giá trị thập phân của subnet mask là 172.29.8.230/255.255.255.0  Hoặc địa chỉ IP ghi theo số bit dùng làm subnet mask là 172.29.8.230/24. I.3 Các thiết bị mạng I.3.1 Card mạng (NIC hay Adapter) Card mạng là thiết bị nối kết giữa máy tính và cáp mạng. Chúng thường giao tiếp với máy tính qua các khe cắm như: ISA, PCI hay USP… Phần giao tiếp với cáp mạng thông thường theo các chuẩn như: AUI, BNC, UTP… Các chức năng chính của card mạng:  Chuẩn bị dữ liệu đưa lên mạng: trước khi đưa lên mạng, dữ liệu phải được chuyển từ dạng byte, bit sang tín hiệu điện để có thể truyền trên cáp.  Gởi dữ liệu đến máy tính khác.  Kiểm soát luồng dữ liệu giữa máy tính và hệ thống cáp.. Card RE100TX và Card FL1000T 10/100/1000Mbps Gigabit. 16.

(18) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. I.3.2 Card mạng dùng cáp điện thoại Card HP10 10Mbps Phoneline Network Adapter là một card mạng đặc biệt vì nó không dùng cáp đồng trục cũng không dùng cáp UTP mà dùng cáp điện thoại. Một đặc tính quan trọng của card này là truyền số liệu song song với truyền âm thanh trên dây điện thoại. Card này dùng đầu kết nối RJ11 và băng thông 10Mbps, chiều dài cáp có thể dài đến gần 300m.. Card HP10 10Mbps Phoneline. I.3.3 Modem Là thiết bị dùng để nối hai máy tính hay hai thiết bị ở xa thông qua mạng điện thoại. Modem thường có hai loại: internal (là loại được gắn bên trong máy tính giao tiếp qua khe cắm ISA hoặc PCI), external (là loại thiết bị đặt bên ngoài CPU và giao tiếp với CPU thông qua cổng COM theo chuẩn RS-232). Cả hai loại trên đều có cổng giao tiếp RJ11 để nối với dây điện thoại. Chức năng của Modem là chuyển đổi tín hiệu số (digital) thành tín hiệu tương tự (analog) để truyền dữ liệu trên dây điện thoại. Tại đầu nhận, Modem chuyển dữ liệu ngược lại từ dạng tín hiệu tương tự sang tín hiệu số để truyền vào máy tính. Thiết bị này giá tương đối thấp nhưng mang lại hiệu quả rất lớn. Nó giúp nối các mạng LAN ở xa với nhau thành các mạng WAN, giúp người dùng có thể hòa vào mạng nội bộ của công ty một cách dễ dàng dù người đó ở nơi nào.. I.3.4 Repeater Là thiết bị dùng để khuếch đại tín hiệu trên các đoạn cáp dài. Khi truyền dữ liệu trên các đoạn cáp dài tín hiệu điện sẽ yếu đi, nếu chúng ta muốn mở rộng kích thước mạng thì chúng ta dùng thiết bị này để khuếch đại tín hiệu và truyền đi tiếp. Nhưng chúng ta chú ý rằng thiết bị này hoạt động ở lớp vật lý trong mô hình OSI, nó chỉ hiểu tín hiệu điện nên không lọc được dữ liệu ở bất kỳ dạng nào, và mỗi lần khuếch đại các tín hiệu điện yếu sẽ bị sai do đó nếu cứ tiếp tục dùng nhiều Repeater để khuếch đại và mở rộng kích thước mạng thì dữ liệu sẽ ngày càng sai lệch.. 17.

(19) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Thiết bị Repeater. I.3.5 Hub Là thiết bị giống như Repeater nhưng nhiều port hơn cho phép nhiều máy tính nối tập trung về thiết bị này. Các chức năng giống như Repeater dùng để khuếch đại tín hiệu điện và truyền đến tất cả các port còn lại đồng thời không lọc được dữ liệu. Thông thường Hub hoạt động ở lớp 1 (lớp vật lý). Toàn bộ Hub (hoặc Repeater) được xem là một Collision Domain. Hub gồm có ba loại:  Passive Hub: là thiết bị đấu nối cáp dùng để chuyển tiếp tín hiệu từ đoạn cáp này đến các đoạn cáp khác, không có linh kiện điện tử và nguồn riêng nên không không khuếch đại và xử lý tín hiệu;  Active Hub: là thiết bị đấu nối cáp dùng để chuyển tiếp tín hiệu từ đoạn cáp này đến các đoạn cáp khác với chất lượng cao hơn. Thiết bị này có linh kiện điện tử và nguồn điện riêng nên hoạt động như một repeater có nhiều cổng (port);  Intelligent Hub: là một active hub có thêm các chức năng vượt trội như cho phép quản lý từ các máy tính, chuyển mạch (switching), cho phép tín hiệu điện chuyển đến đúng port cần nhận không chuyển đến các port không liên quan.. Mô hình mạng sử dụng Hub. I.3.6 Bridge (cầu nối) Là thiết bị cho phép nối kết hai nhánh mạng, có chức năng chuyển có chọn lọc các gói tin đến nhánh mạng chứa máy nhận gói tin. Trong Bridge có bảng địa chỉ MAC, bảng địa chỉ này sẽ được dùng để quyết định đường đi của gói tin (cách thức truyền đi của 18.

(20) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. một gói tin sẽ được nói rõ hơn ở trong phần trình bày về thiết bị Switch). Bảng địa chỉ này có thể được khởi tạo tự động hoặc phải cấu hình bằng tay. Bridge hoạt động ở lớp hai (lớp Data link) trong mô hình OSI.. Mô hình mạng sử dụng Bridge  Ưu điểm của Bridge là: cho phép mở rộng cùng một mạng logic với nhiều kiểu cáp khác nhau. Chia mạng thành nhiều phân đoạn khác nhau nhằm giảm lưu lượng trên mạng.  Khuyết điểm: chậm hơn Repeater vì phải xử lý các gói tin, chưa tìm được đường đi tối ưu trong trường hợp có nhiều đường đi. Việc xử lý gói tin dựa trên phần mềm.. I.3.7. Switch Là thiết bị giống như bridge nhưng nhiều port hơn cho phép ghép nối nhiều đoạn mạng với nhau. Switch cũng dựa vào bảng địa chỉ MAC để quyết định gói tin nào đi ra port nào nhằm tránh tình trạng giảm băng thông khi số máy trạm trong mạng tăng lên. Switch cũng hoạt động tại lớp hai trong mô hình OSI. Việc xử lý gói tin dựa trên phần cứng (chip).. Mô hình mạng sử dụng Switch. 19.

(21) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. I.3.8. Wireless Access Point. Thiết bị wireless Wireless Access Point là thiết bị kết nối mạng không dây được thiết kế theo chuẩn IEEE802.11b, cho phép nối LAN to LAN, dùng cơ chế CSMA/CA để giải quyết tranh chấp, dùng cả hai kiến trúc kết nối mạng là Infrastructure và AdHoc, mã hóa theo 64/128 Bit. Nó còn hỗ trợ tốc độ truyền không dây lên 11Mbps trên băng tần 2,4GHz ISM dùng công nghệ radio DSSS (Direct Sequence Spread Spectrum). Mạng sử dụng Wireless. I.3.9 Router Là thiết bị dùng nối kết các mạng logic với nhau, kiểm soát và lọc các gói tin nên hạn chế được lưu lượng trên các mạng logic (thông qua cơ chế Access-list). Các Router dùng bảng định tuyến (Routing table) để lưu trữ thông tin về mạng dùng trong trường hợp tìm đường đi tối ưu cho các gói tin. Bảng định tuyến chứa các thông tin về đường đi, thông tin về ước lượng thời gian, khoảng cách… Bảng này có thể cấu hình tĩnh hay tự động. Router hiểu được địa chỉ logic IP nên thông thường Router hoạt động ở lớp mạng (network) hoặc cao hơn.. 20.

(22) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Mô hình mạng sử dụng Router.. 21.

(23) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. II. Mạng cục bộ - LAN II.1. Kiến thức cơ bản về LAN Mạng cục bộ LAN là hệ thống truyền thông tốc độ cao được thiết kế để kết nối các máy tính và các thiết bị xử lí dữ liệu khác cùng hoạt động chung với nhau trong một khu vực địa lí nhỏ như một tầng của tòa nhà hoặc trong một tòa nhà….. Một số mạng LAN có thể kết nói lại với nhau trong một khu làm việc. Mạng LAN trở nên thông dụng vì nó cho phéo những người sử dụng dùng chung những tài nguyên quan trong như máy in màu, ổ CD - ROM, các phần mềm ứng dụng và những thông tin cần thiết khác. Trước khi phát triển công nghệ LAN các máy tính là độc lập với nhau, bị hạn chế bởi số lượng các chương trình tiện ích. Sau khi kết nối mạng, rõ ràng hiệu quả của chúng tăng lên gấp bội.. II.2. Cấu trúc topo của mạng Cấu trúc mạng (network topology) của LAN là kiến trúc hình học thể hiện cách bố trí các đường cáp, sắp xếp các máy tính để kết nối thành mạng hoàn chỉnh. Hầu hết các mạng LAN ngày này đều được thiết kế để hoạt động dựa trên một cấu trúc mạng định trước. Điển hình và sử dụng nhiều nhất là các cấu trúc dạng hình sao, hình tuyến thẳng, dạng vòng cùng với những cấu trúc kết hợp giữa chúng.. II.2.1. Mạng hình sao Mạng dạng hình sao bao gồm một bộ kết nối trung tâm và các nút. Các nút là các trạm đầu cuối, các máy tính và các thiết bị khác của mạng. Bộ kết nối trung tâm của mạng điều phối mọi hoạt động trong mạng. Mạng dạng hình sao cho phép nối các máy tính vào một bộ tập trung HUB bằng cáp. Giải pháp này cho phép nói trực tiếp máy tính với HUB không cần thông qua trục bus, tránh được các yếu tố gây ngưng trệ mạng. Mô hình này ngày nay đã trở nên hết sức phổ biến. Với việc sử dụng các bộ HUB hoặc SWitch, cấu trúc hình sao có thể được mở rộng bằng cách tổ chức nhiều mức phân cấp, do vậy sẽ dễ dàng trong việc quản lí và vận hành. Các ưu điểm:  Hoạt động theo nguyên lí nối song song nên nếu có một thiết bị nào đó ở một nút thông tin bị hong thì mạng vẫn hoạt động bình thường  Cấu trúc mạng đơn giản và các thuật toán điều khiển ổn định.  Mạng có thể dễ dàng mở rộng và thu hẹp. Các nhược điểm: 22.

(24) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Khả năng mở rộng phụ thuộc vào khả năng trung tâm  Khi trung tâm có sự cố thì toàn mạng ngừng hoạt động  Mạng yêu cầu nối độc lập từng thiết bị ở các nút thông tin đến trung tâm  Khoảng cách từ máy tới trung tâm rất hạn chế (100m). II.2.2. Mạng vòng Mạng dạng này bố trí các nút mạng theo dạng xoay vòng. Đường dây cáp được thiết kế làm thành một đường khép kín. Tín hiệu sẽ chạy quanh theo một chiều. Các nút truyền tín hiệu cho nhau, mỗi thời điểm chỉ được một nút. Dữ liệu truyền đi phải kèm theo địa chỉ cụ thể của mỗi trạm tiếp nhận. Ưu điểm:  Mạng dạng vòng có thuận lợi là có thể nới rộng ra xa. Tổng đường dây cần thiết ít hơn hẳn so với những kiểu khác.  Mỗi trạm có thể đạt được tốc độ tối đa khi truy nhập. Nhược điểm:Đường dây phải khép kín, nếu bị ngắt ở một nơi nào đó thì toàn bộ hệ thống cũng bị ngừng.. II.3. Hệ thống cáp mạng dùng cho LAN II.3.1 Cáp xoắn Đây là loại cáp gồm 2 dây dẫn xoắn lại với nhau. Hiện tại có 2 loại là STP (shield twisted pair) - cáp có bọc kim loại và UTP (Unshield twisted pair) - cáp không có vỏ bọc kim loại.. Một số loại cáp UTP thường dùng. II.3.2. Cáp đồng trục Cáp đồng trục cũng có 2 đường dây dẫn vì chúng có 1 trục chung nên gọi là cáp đồng trục gồm một dây dẫn trung tâm và đường dây còn lại tạo thành đường ống bao quanh 23.

(25) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. có chức năng chống nhiễu. Giữa 2 dây dẫn có lớp nhựa cách li và một lớp nhựa bao bên ngoài cùng để bảo vệ. Tín hiệu truyền trong cáp đồng trục ít bị suy yếu hơn so với trong cáp xoắn. Hiện nay có 2 loại là Cáp mỏng và cáp dầy. Hai loại đều có cùng tốc độ nhưng cáp mỏng có độ suy yếu tín hiệu lớn hơn. Cáp này thường dùng trong mạng BUS hoặc truyền hình cáp.. II.3.3. Cáp quang (Fiber - Optic Cable) Cáp quang là một sợi hoặc nhiều sợi thủy tinh có thể truyền dẫn tín hiệu quang được bọc một lớp vỏ bọc có tác dụng phản xạ tín hiệu trở lại để giảm sự mất mát tín hiệu. Bên ngoài cùng là vỏ plastic bảo vệ. Sợi thủy tinh rất nhỏ cỡ 8.3 -100 micron và dễ gãy nên chi phí cho lắp đặt hoặc nối rất tốn kém đòi hỏi những thiết bị chuyên dụng. Bù lại dải thông của cáp quang có thể lên tới Gbps, truyền xa, ít bị suy yếu, bảo mật tốt.. II.3.4. Các thiết bị dùng để nối LAN II.3.4.1 Bộ lặp tín hiệu REPEATER Repeater là loại thiết bị phần cứng đơn giản trong các thiết bị liên kết mạng. Khi nó nhận được tín hiệu từ một phía của mạng thì nó sẽ phát tiếp vào phía kia của mạng.. Mô hình liên kết mạng dùng Repeater Repeater không có xử lí tín hiệu mà chỉ loại bỏ tín hiệu méo, nhiễu, khuếch đại tín hiệu đã suy yếu và khôi phục lại tín hiệu ban đầu. Nhờ repeater mà mạng có thể được mở rộng.. II.3.4.2. Bộ tập trung HUB Hub là một bộ phận quan trọng nhất của LAN. Đây là điểm kết nối dây trung tâm của mạng. Tất cả máy trạm trên LAN đều được kết nối thông qua Hub. Hub thường được dùng để nối mạng, thông qua những đầu cắm của nó người ta liên kết với các máy tính dưới dạng hình sao Một hub thông thường có nhiều cổng nối để người sử dụng gắn máy tính và các thiết bị ngoại vi. Mỗi cổng hỗ trợ một bộ kết nối dùng cặp dây xoắn 10BASET từ mỗi trạm của mạng. Khi tín hiệu truyền tới Hub nó sẽ được lặp lại trên khắp các cổng khác của Hub. 24.

(26) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Nếu phân loại theo phần cứng thì có 3 loại hub  Hub đơn  Hub moodun (modular hub) rất phổ biến cho các hệ thống mạng vì nó có thể dễ dàng mở rộng và luôn có chức năng quản lí.  Hub phân tầng (stackable hub) Nếu phân loại theo khả năng thì có 2 loại:  Hub bị động ( passive hub): Hub bị động không chứa linh kiện điện tử và không xử lí các tín hiệu dữ liệu, nó có chức năng duy nhất là tổ hợp các tín hiệu từ một số đoạn cáp.  Hub chủ động (active hub): Hub chủ động có các linh kiện điện tử có thể khuếch đại và xử lí tín hiệu giống như repeater.. II.3.5. Bộ chuyển mạch SWITCH Switch là một thiết bị dạng cầu nối cho phép kết nối giữa các máy tính giống như hub nhưng đồng thời còn được dùng để nối các mạng với nhau. Nó có tích hợp mạch để giảm độ trễ việc truyền dữ liệu. Do đó, switch ngày nay được sử dụng rất nhiều vì giá thành rẻ và tốt hơn hub trong việc lắp đặt và mở rộng mạng LAN.. II.3.6. Bộ định tuyến ROUTER Router là một thiết bị hoạt động trên tầng mạng. Nó có thể tìm được đường đi tốt nhất cho các gói tin qua nhiều kết nối để đi từ trạm gửi tới trạm nhận ở mạng cuối. Router cũng dùng để nối nhiều mạng với nhau. Router có thể xác định được đường đi an toàn và tốt nhất trong mạng nên độ an toàn của thông tin được đảm bảo hơn. Router cũng có thể được cài đặt các phương thức nhằm tránh tắc nghẽn. II.3.7. Luật 5-4-3 trong thiết kế mạng Khi thiết kế mạng LAN có bán kính rộng với số lượng máy tính lớn vượt quá hạn chế trên cáp mạng, lúc đó chúng ta phải áp dụng luật 5-4-3. Để áp dụng được luật này thì cần hiểu về một vài khái niệm sau:  Miền xung đột (miền băng thông): Đây là vùng mạng mà trong đó các trạm phát ra tín hiệu cùng lúc gây xung đột và làm giảm tốc độ truyền. Các trạm trong miền này phải chia sẻ băng thông (bandwidth domain)  Miền quảng bá: Là tập hợp thiết bị mà trong đó khi một thiết bị phát ra một tin quảng bá (broadcast) thì tất cả các thiết bị còn lại đều nhận được.. 25.

(27) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Phân đoạn (segment) : là sử dụng các thiết bị Brigde, router hoặc switch để phân mạng thành các vùng xung đột và vùng quảng bá nhằm phân chia băng thông một cách hợp lí với nhu cầu. Vậy khi thiết kế một mạng LAN với hệ thống các switch phân cấp dùng với mục đích mở rộng mạng thì nên áp dụng luật 5-4-3 để thi công. Luật 5-4-3 áp dụng cho chuẩn 10BASE - 5 dùng repeater như sau:  Không được quá 5 segment  Không quá 4 repeater giữa 2 trạm bất kì trong mạng  Không quá 3 đoạn mạng có trạm làm việc. Mặc dù ngày nay các mạng LAN đều dùng switch nhưng luật này nên tham khảo khi thiết kế mạng.. III. Thiết kế, lắp đặt và cấu hình mạng trường học III.1 Mô hình mạng trường học với những đặc điểm cơ bản III.1.1. Quản lý người dùng truy cập Các hệ thống mạng ngày nay đều có một hoặc nhiều máy chủ cho phép quản lý các tài nguyên mạng và người dùng cùng với những quyền hạn đi kèm nhất định. Thông tin của người dùng trong mạng trường học có thể đơn giản chỉ là ―Username‖ và ―Passwords‖ hay phức tạp hơn như điểm số, tài liệu, giáo trình giảng dạy, v.v..nhưng với những yêu cầu về bảo mật thông tin ngày càng tăng, việc đảm bảo tính riêng tư của thông tin được đặt lên hàng đầu.. III.1.2 Lưu trữ và chia sẻ thông tin Các máy tính cho phép chúng ta tạo ra vô số những thông tin và dữ liệu. Một mạng máy tính sẽ cung cấp các cơ chế lưu trữ và chia sẽ thông tin thích hợp đến toàn bộ người dùng trong mạng.. III.1.3 Kết nối thông suốt Người quản lý, giảng viên, toàn bộ sinh viên và những người khách khác có thể kết nối vào mạng của trường và chia sẽ những thông tin một cách kịp thời và hiệu quả nhất.. III.1.4 Các dịch vụ Trường học có thể cung cấp các dịch vụ như: đăng ký học và thi; lưu trữ hồ sơ sổ sách; lịch trình năm học; thư điện tử nội bộ…Lưu ý: để tiến hành cung cấp dịch vụ thì trường học cần phải có các máy chủ - server chuyên dụng 26.

(28) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. III.1.5 Kết nối Internet Mạng trường học cho phép người quản lý có thể đưa kết nối Internet đến từng người dùng trong mạng thông qua một cổng giao tiếp Internet – Interner Gateway. III.1.6 Các tài nguyên trong mạng Mạng trường học có thể cung cấp các kết nối tới những thiết bị khác nhau trong mạng mà từng cá nhân không trực tiếp sở hữu. Ví dụ: Một trường học có thể cung cấp kết nối tốc độ cao đến một máy in chung dành cho giảng viên và sinh viên để phục vụ mục đích giảng dạy và học tập. III.1.7 Truy cập đa dạng Các sinh viên có thể truy cập vào mạng trường hợp ở khắp mọi nơi trong khuôn viên trường học và điều đó rất có ích trong việc học tập. Sinh viên có thể làm một phần bài tập trong lớp học. Trong khoảng thời gian ăn, nghỉ họ có thể truy cập và làm tiếp phần bài của mình qua mạng nội bộ và cuối giờ, họ có thể hoàn thành bài tập tại khu giáo dục thể chất của trường. Ngoài ra sự hợp tác làm việc nhóm của sinh viên sẽ được cải thiện nhiều qua những cuộc hội thảo nhóm diễn ra qua mạng.. III.1.8. Nhóm làm việc Những phần mềm được viết dưới dạng cộng tác - Collaborative software sẽ cho phép nhiều người dùng làm việc cùng lúc trên một tài liệu, dự án lớn. Ví dụ các Sở giáo dục sẽ đặt tại các trường khác nhau trên địa bàn thành phố phần mềm phản ánh chất lượng giáo dục, đồng thời tạo điều kiện cho các giáo viên có thể đóng góp sáng kiến giảng dạy mới một cách nhanh chóng và thuận tiện nhất.. III.1.9. Giá thành cao Để triển khai một hệ thống mạng hoàn chỉnh cho một trường học yêu cầu khá tốn kém về mặt chi phí. Các thiết bị như dây cáp; router; switch; card mạng; tường lửa; access point wifi và những phần mềm khác yêu cầu chi phí cao cho việc mua sắm, cài đặt và bảo trì. III.1.10. Yêu cầu quản trị Việc quản trị một mạng trường học cũng đòi hỏi về mặt chuyên môn và thời gian. Một mạng trường học được đầu tư công phu những không chú trọng vấn đề quản trị sẽ là một sự lãng phí rất lớn.. III.1.10 Sự cố máy chủ Việc máy chủ gặp sự cố khi đang vận hành là điều hoàn toàn có thể xảy ra. Khi đó toàn bộ dịch vụ mà máy chủ cung cấp cho hệ thống mạng sẽ bị ngắt và kéo theo sự. 27.

(29) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. gián đoạn về công việc. Vì vậy người quản trị phải luôn có những phương án sao lưu, dự phòng để đảm bảo hệ thống mạng luôn hoạt động thông suốt. III.1.11 An toàn hệ thống mạng Bảo đảm an toàn cho một hệ thống mạng là vô cùng quan trọng. Mạng trường học, trong một vài khía cạnh còn có những yêu cầu về bảo mật cao hơn so với một công ty cỡ nhỏ bởi trong mạng đang lưu trữ thông tin cá nhân của hàng nghìn con người. Tuy nhiên phần lớn công tác bảo mật mạng nói chung và mạng trường học nói riêng đều chưa được quan tâm đúng mức, dẫn đến những hậu quả đáng tiếc về thất thoát dữ liệu.. III.2 Các bước thiết kế một mạng trường học III.2.1 Những quy tắc chung khi thiết kế  Đảm bảo hệ thống sau khi triển khai phải chạy được 100%  Tính ổn định của hệ thống  Tính dự phòng của hệ thống  Khả năng mở rộng của hệ thống. III.2.2 Các bước thiết kế Bước 1: Khảo sát để xác định những tham số cơ bản Bước 2: Thiết kế sơ đồ mạng dựa trên những thông tin thu được qua việc khảo sát kết hợp với quy tắc chung khi thiết kế và yêu cầu của cơ quan, tổ chức  Sơ đồ logic  Sơ đồ vật lý chi tiết Bước 3: Thống kê và lên danh sách thiết bị cần mua Bước 4: Lắp đặt hệ thống mạng theo sơ đồ đã thiết kế. III.3 Công cụ EDRAW MAX Edraw Max là phần mềm của hãng Edrawsoft cho phép mọi đối tượng (sinh viên, giáo viên, nhà kinh doanh, kỹ sư IT chuyên thiết kế hệ thống mạng, nhà thiết kế thời trang,...) đều có thể sử dụng phần mềm này để thiết kế sơ đồ theo ý muốn của mình, mà vẫn đạt được độ thẩm mỹ cao. Với Edraw Max, chúng ta có thể tạo ra những biểu đồ tiến trình, sơ đồ tổ chức, sơ đồ mạng, slide thuyết trình kinh doanh, kế hoạch kinh doanh, sơ đồ tư duy, thiết kế thời trang, sơ đồ UML, cấu trúc chương trình, sơ đồ thiết kế web, sơ đồ kỹ thuật điện, sơ đồ CSDL,.... 28.

(30) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. III.3.1 Giới thiệu phần mềm EDRAW MAX. Giao diện phần mềm Edraw Max Phần mềm cung cấp nhiều tuỳ chọn thiết kế. Để tiến hành thiết kế mạng, ta chọn Network. Chọn mô hình mạng mà chúng ta muốn thiết kế rồi chọn Create. Giao diện làm việc của Edraw Max. 29.

(31) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Để tiến hành thiết kế, chọn các biểu tượng có sẵn ở Libraries, kéo và thả chúng vào nơi bạn muốn. Chú ý:.  Để đặt tên cho các biểu tượng, click đúp vào biểu tượng đó.  Tuỳ theo chủng loại sơ đồ thiết kế mà chúng ta thêm những thư viện khác nhau III.4. Lắp đặt mạng trường học Chú ý:  Lựa chọn thiết bị: Các thiết bị nên cùng một hãng SX để đảm bảo tương tích và vận hành tốt nhất  Yêu cầu chỉ số Switching Capacity gấp 2 hoặc 3 lần lưu lượng băng thông lúc cao nhất của toàn hệ thống tại 1 thời điểm  Phòng kỹ thuật – nơi đặt các thiết bị mạng: phải gần trục kỹ thuật, thuận lợi cho việc đi dây khắp toà nhà  Phòng đặt server: phải đảm bảo an toàn (cứng, mềm), tuân thủ yêu cầu về nhiệt độ, độ ẩm, khói bụi…  Một vài thiết bị trung tâm có thể x2 số lượng: Router, SW L3, FTTH  Kéo thêm 50- 100% các node mạng để dành cho việc dự phòng.  Các dây mạng Downlink: Sử dụng loại dây 100Mbps  Các dây mạng Uplink: Sử dụng loại dây 1 Gbps. III.5. Cấu hình thiết bị mạng trường học III.5.1 Cấu hình sử dụng giao diện đồ hoạ III.5.1.1 Cấu hình modem/access point Mục tiêu đề ra 30.

(32) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tạo lập một mạng LAN không dây chia sẻ tài nguyên Internet.  Quản lí những người truy cập Internet qua wifi Có hai lựa chọn cài đặt hệ thống mạng không dây:. a. Lựa chọn 1 Sử dụng 1 modem và 1 router không dây. Khi đó modem sẽ để ở chế độ Brigde (cầu) và router sẽ là chế độ PPPoE Access Point. Theo mô hình sau:. b. Lựa chọn 2 Sử dụng luôn router làm modem kết nối với internet. Khi đó ta không cần modem như ở lựa chọn 1.  B1: Cấu hình cho router kết nối với internet  B2: Cầu hình cho router làm Access Point  B3: Cấu hình bảo mật. Tùy theo nhu cầu sử dụng và điều kiện về thiết bị thì có thể dùng lựa chọn 1 hoặc 2. (Lưu ý là phải tùy theo thiết bị vì có thiết bị wifi chỉ có chức năng làm Access Point mà không thể quay số kết nối trực tiếp với Internet) Sau đây tài liệu này sẽ đề cập tới chi tiết cho lựa chọn 2. Vì đa số các thiết bị wifi đang bày bán trên thị trường đều có thể đáp ứng được. Cụ thể tài liệu sẽ dùng router của Linksys để minh họa. Ban đầu, các thông số mặc định của router sẽ có in ở mặt đáy của thiết bị. Nếu không đúng với thông số IP và Username/Password thì học viên có thể dùng chức năng reset để đưa các thông số của router về đúng với thông số mặc định. Chức năng reset dùng như sau: Quan sát mặt sau của router có 1 lỗ nhỏ hình tròn nằm bên cạnh các cổng power hay cổng RJ45. Dùng que tăm ấn vào lỗ nhỏ này. 31.

(33) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Khi cảm thấy nút bên trong lỗ bị ấn xuống theo lực tay thì giữ cho tới khi các đèn của router bị tắt đồng thời và bật lại. Lúc này các thông số của router đã về đúng với mặc định được ghi dưới đáy thiết bị. Công việc tiếp theo là cấu hình cho router. Thông thường các thông số mặc định như sau: o Địa chỉ IP: 192.168.1.1 o Subnet mask: 255.255.255.0 o Username/ Password: admin / admin  Bước 1: Cấu hình router cho kết nối internet. Đổi địa chỉ máy tính đang cấu hình về cùng lớp mạng với địa chỉ mặc định của ROUTER. (ví dụ như 192.168.1.7 ). Mở trình duyệt Internet gõ địa chỉ http://192.168.1.1 điền Username/ password mặc định sau đó nhấn Ok. Màn hình giao diện sẽ hiện ra như sau. Trong mục Chọn Internet connection type bạn chọn PPPoE. Màn hình giao diện sẽ thay đổi để người dùng có thể đặt thông số kết nối Internet gồm o o. Username/Password : Được cung cấp bởi nhà dịch vụ mạng. Virtual path VPI/VCI: Tùy theo nhà dịch vụ mà có thể từ 0-35 (VNPT) hoặc từ 8-35 (Viettel)….. Thông số trong phần network setup để mặc định với số IP và Subnet Mask Lựa chọn vào mục DHCP Server là Enable để router có thể cấp phát IP cho các máy trạm. o Starting IP Address (Số IP bắt đầu): 192.168.1.2 o Maximum Number of DHCP User (số máy trạm tối đa): có thể tối đa tới 253. 32.

(34) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Bấm vào Save Setting. Rồi sang bước 2  Bước 2: Cấu hình hoạt động chế độ Access Point Bạn chuyển sang Tab Wireless trong giao diện cấu hình. Màn hình giao diện như sau:. Bạn đặt tên cho mạng không dây của bạn trong mục Wireless Network Name (SSID). 33.

(35) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Các phần còn lại để mặc định. Ấn Save Settings để lưu lại cấu hình bạn vừa chỉnh sửa.  Bước 3: Cấu hình tính năng bảo mật WPA2-AES Trong phần cấu hình Wireless bạn chọn tab Wireless security, màn hình giao diện như hình dưới:. Bạn có thể chọn kiểu mã hóa để đảm bảo tính bảo mật cho hệ thống mạng không dây của bạn. (Ví dụ hình dưới chúng tôi chọn mã hóa WPA2-AES, sử dụng key thứ 1 với password là 1234567890). Ấn Save Settings để lưu lại cấu hình bạn vừa chỉnh sửa Trường hợp bạn muốn loại bỏ những máy tính lạ truy cập vào mạng không dây do bạn thiết lập thì có thể sử dụng chức năng Filter. Trong ví dụ minh họa router của Linksys thì có chức năng Wireless Mac Filter. Chức năng này cho phép từ chối truy cập và cấp phát IP cho những máy tính lạ thông qua nhận diện địa chỉ vật lí MAC 34.

(36) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Mỗi thiết bị đều chỉ có 1 địa chỉ vật lí. Nó được hiển thị trong danh sách những người sử dụng đang kết nối với router. Do đó việc loại bỏ này là tương đối hiệu quả. Tránh để các máy tính bên ngoài kết nối với router của bạn để truy cập internet và làm chậm toàn hệ thống.. Để loại trừ thì bước đầu tiên phải vào mục Sercurity để bật chức năng Firewall (chọn vào Enable tương ứng). Sau đó vào mục Wireless Mac Filter để add những địa chỉ vật lí mà bạn quan sát được qua danh sách các máy tính đang kết nối. Trong router của các hãng khác đều có chức năng tương tự. II.5.1.2 Cấu hình IP cho PC Dành cho Windows XP : Bước 1 : Click Start-->Control Panel Bước 2 : Nhấp đúp vào biểu tượng Local Area Connection. 35.

(37) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Bước 3 : Click Internet Protocol (TCP/IP)-->Properties Bước 4 : Tới đây chúng ta có 2 cách để cấu hình TCP/IP 1. Để IP động Chọn Obtain an IP address automatically và Obtain DNS Server address automatically như hình dưới, sau đó bấm OK để lưu lại. 2. Đặt IP tĩnh a) Chọn Use the following IP IP address như hình dưới, nếu địa chỉ IP LAN của router là 192.168.1.1, nhập địa chỉ IP 192.168.1.x(x là số từ 2 đến 254), subnet mask là 255.255.255.0 và defaul gateway là 192.168.1.1 b) Chọn Use the following DNS server addresses như hình dưới và nhập địa chỉ IP của DNS Server sau đó click OK để lưu lại. 36.

(38) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Dành cho Windows Vista/Windows 7 Bước 1 : Nhấn phím cửa sổ. và phím R trên bàn phím. Bước 2 : Nhập ncpa.cpl-->OK. 37.

(39) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Bước 3 : Chọn kết nối, nhấp phải và nhọn Properties.. Bước 4 : Chọn Internet Protocol Version 4(IPv4)-->Properties.. Bước 5 : Tới đây chúng ta cũng có 2 cách để cấu hình TCP/IP là để địa chỉ IP động hoặc đặt địa chỉ IP tĩnh 1. Để IP động Chọn Obtain an IP address automatically và Obtain DNS Server address automatically như hình dưới, sau đó bấm OK để lưu lại 38.

(40) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. 2. Đặt địa chỉ IP tĩnh Chọn Use the following IP address sau đó nhập địa chỉ IP, subnet mask, và default gateway Chọn Use the following DNS server addresses và nhập địa chỉ IP của DNS Server. 39.

(41) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Bước 5 : Click OK để lưu lại các thiết lập. III.5.2 Cấu hình Router sử dụng câu lệnh Cấu hình thiết bị sử dụng dòng lệnh thường gặp khi cấu hình các Router sử dụng hệ điều hành riêng của các hãng nổi tiếng như Cisco, Juniper…. III.5.2.1. Các chế độ cấu hình Router Router>. Chế độ User.. Router#. Chế độ Privileged (cũng được gọi là chế độ EXEC). Router(config)#. Chế độ Global Configuration. Router(config-if)#. Chế độ Interface Configuration. Router(config-subif)#. Chế độ Subinterface Configuration. Router(config-line)#. Chế độ cấu hình Line.. Router(config-router)#. Chế độ Router Configuration. III.5.2.2. Chế độ Global Configuration Router> Router#. Giới hạn các câu lệnh mà người dùng có thể thực thi được. Đối với chế độ cấu hình này người dùng chỉ có khả năng hiển thị các thông số cấu hình trên router. Không thể cấu hình để thay đổi các thông số cấu hình và hoạt động của router. Bạn có thể nhìn thấy file cấu hình và thay đổi các tham số 40.

(42) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Router# configure terminal Router(config)#. cấu hình trên file cấu hình đó. Chuyển người dùng vào chế độ Global Configuration. Với chế độ này bạn sẽ có thể bắt đầu cấu hình những thay đổi cho router.. III.5.2.3. Cấu hình các tham số cơ bản cho router III.5.2.3.1. Cấu hình Router Name - Câu lệnh này thực thi được trên cả các thiết bị router và switch của cisco.. Router(config)# hostname Cisco Cisco(config)#. Cấu hình tên cho router mà bạn muốn chọn. III.5.2.3.2. Cấu hình Passwords - Những câu lệnh sau được phép thực thi trên các thiết bị Router và Switch của Cisco.. Router(config)# enable passwork cisco Cấu hình enable password Cấu hình password mã hóa của chế độ Router(config)# enable secret class. enable.. Router(config)# line console 0. Vào chế độ line console. Router(config-line)# password console. Cấu hình password cho line console Cho phép kiểm tra password khi login vào. Router(config-line)# login. router bằng port console.. Router(config)# line vty 0 4. Vào chế độ line vty để cho phép telnet. Router(config-line)# password telnet. Cấu hình password để cho phép telnet Cho phép kiểm tra password khi người. Router(config-line)# login. dùng telnet vào router. III.5.2.2. Phần mềm Packet Tracer Chương trình Packet Tracer được Cisco xây dựng, hỗ trợ cho việc học tập cấu hình các thiết bị mạng của hãng. Chương trình hỗ trợ việc giả lập các thiết bị: Router để kết nối các đường mạng với nhau, Switch là thiết bị tập trung kết nối các máy tính, các loại cáp , thiết bị PC và các servers. Nội dung nghiên cứu: - Cách thiết lập mô hình, thiết bị - Các mode hoạt động của Router - Đặt tên cho thiết bị - Cách đặt địa chỉ IP - Câu lệnh ping - Xem cấu hình - Đặt password cho router. 41.

(43) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. III.5.2.2.1. Giao diện phần mềm. Giao diện phần mềm Packet Tracer. Tại giao diện của phần mềm, người dùng sẽ thực hiện thao tác kéo và thả các thiết bị mình muốn sử dụng vào vùng màu trắng để tạo thành các topo mạng.. Sau khi hoàn tất xây dựng topo mạng, chúng ta có thể cấu hình cho các thiết bị ảo này gần giống như trên thiết bị thật (bị hạn chế một số câu lệnh). 42.

(44) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. IV. Tường lửa IV.1 Khái niệm tường lửa Thuật ngữ tường lửa – Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn.Trong ngành mạng máy tính, tường lửa là rào chắn mà một số cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước lập ra nhằm ngăn chặn người dùng mạng Internet truy cập các thông tin không mong muốn hoặc/và ngăn chặn người dùng từ bên ngoài truy nhập các thông tin bảo mật nằm trong mạng nội bộ. Thông thường Firewall đợc đặt giữa mạng bên trong (Intranet) của một công ty, tổ chức, doanh nghiệp, cơ quan nhà nước và Internet. IV.2 Phân loại tường lửa IV.2.1 Tường lửa phần cứng IV.2.1.1 Tổng quan về tường lửa phần cứng Tường lửa phần cứng chủ yếu là nhìn thấy trong các mạng kết nối băng thông rộng, sử dụng Packet Filtering. Trước khi một gói tin Internet đến máy tính của bạn, Firewall Phần cứng sẽ giám sát các gói tin và kiểm tra xem nó đến từ đâu. Nó cũng kiểm tra nếu địa chỉ IP hoặc tiêu đề có thể được tin cậy. Sau khi kiểm tra này, gói tin đến máy tính của bạn. Nó ngăn chặn bất kỳ liên kết nào có hành vi nguy hiểm dựa trên các thiết lập Firewall hiện tại trong thiết bị. Firewall về phần cứng thường không cần phải có rất 43.

(45) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. nhiều cấu hình. Hầu hết các quy tắc được xây dựng và được xác định trước và dựa trên những quy tắc về lọc gói tin. Ngày nay công nghệ đã được cải thiện rất nhiều khi nó không hoạt động theo cơ chế đơn thuần là lọc gói dữ liệu truyền thốn. Firewall phần cứng đã tích hợp thêm cơ chế IPS / IDS ( Phòng chống xâm nhập hệ thống) và cung cấp những cơ chế bảo mật tốt hơn. Phần cứng Firewall rất phù hợp với các cơ quan, doanh nghiệp có nhiều máy tính bởi chi phí bỏ ra vừa phải nhưng hiệu quả và sự an toàn cho hệ thống mạng được nâng cao rất lớn. Những người dùng không có kiến thức về mạng có thể vô tình mang tới những nguy hiểm cho hệ thống và tường lửa sẽ là một giải pháp hữu ích trong những trường hợp như vậy. IV.2.1.2. Lựa chọn tường lửa phần cứng Khi bạn chọn một tường lửa phần cứng, hãy xem xét đến 10 yếu tố sau để bảo đảm rằng cơ quan của bạn có được sự đầu tư tối đa dành cho bảo mật và năng suất. 1. Tính năng bảo mật Tuỳ vào nhu cầu của cơ quan mà lựa chọn thiết bị có nhiều hay ít tính năng. Để bảo đảm chọn được một nền tảng tin cậy và tốt. Barracuda, Cisco, SonicWALL và WatchGuard là những nhãn hiệu bảo mật đáng tin cậy, đã được cấp chứng chỉ ICSA. 2. Hỗ trợ VPN Mục đích của tường lửa không chỉ là ngăn chặn hacker và lưu lượng không được thẩm định. Một tường lửa hữu hiệu cũng có thể thiết lập và kiểm tra các kênh bảo mật, cho phép kết nối từ xa. Chính vì vậy bạn nên chọn tường lửa có hỗ trợ VPN. 3. Cấu hình và dung lượng Hãy bảo đảm rằng tường lửa có thể quản lý được lượng băng thông của cơ quan bạn. Nó cần phải có số cổng Ethernet thích hợp và tốc độ thích hợp (10Mbps/100Mbps hay 1000Mbps). CPU và RAM của tường lửa cũng cần đủ mạnh để đủ xử lý một lượng lớn các thông tin về bảo mật Cần phải chú ý đến các khuyến cáo của nhà sản xuất về hỗ trợ số node mạng tối đa. Nếu vượt quá số lượng cho phép, tường lửa sẽ báo lỗi. 44.

(46) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. 5. Dịch vụ hỗ trợ kỹ thuật Sử dụng những tường lửa có chính sách hỗ trợ kỹ thuật tốt, bởi thiết bị có thể hỏng hóc bất cứ lúc nào. Với dịch vụ hỗ trợ 24/7, việc chuẩn đoán và xử lý lỗi sẽ diễn ra rất nhanh chóng và hệ thống mạng của chúng ta sẽ luôn được an toàn.. IV.2.2. Tường lửa phần mềm Hoạt động trên nguyên tắc gần giống như tường lửa phần cứng, các phần mềm tường lửa cùng cung cấp những cơ chế bảo mật cho hệ thống mạng dựa trên việc cản lọc các gói tin độc hại từ Internet. Các quy tắc cản lọc này được nhà sản xuất cài đặt sẵn trong phần mềm và liên tục cập nhật để luôn mang đến cho người dùng sự an toàn cao nhất. IV.3. Cài đặt và cấu hình dịch vụ tường lửa IV.3.1 Tường lửa mặc định trong Windows Trước tiên, bạn phải đăng nhập máy tính với quyền administrative. Start > Control Panel > System and Security.. Tiếp theo, bạn sẽ thấy đường link ―Windows Firewall‖, kích vào đường link này để cấu hình firewall.. 45.

(47) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Có rất nhiều lựa chọn ở bên trái bảng:  Change notification settings  Turn Windows Firewall on or off  Restore defaults  Advanced settings. Bên phải bảng, bạn có thể thấy 2 đường link cài đặt firewall:  Home or Work (Private) networks  Public networks. 46.

(48) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Bên trái bảng, chọn Change notification settings để điều chỉnh cài đặt firewall. Windows firewall được để mặc định cho cả private và public network. Bạn có thể tắt chế độ mặc định của firewall tại đây.. Để cài đặt default hoặc recommended, bạn có thể kích vào Use recommended settings hoặc Restore default.. 47.

(49) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Chọn Restore default và kích Yes khi có thông báo xác nhận. Tuy nhiên, nếu là một chuyên gia, bạn có thể sử dụng Advance Setting để cấu hình firewall đối với luồng thông tin inbound và outbound tùy thuộc vào nhu cầu của mình.. Kích vào Inbound Rules ở bên trái bảng. Bạn sẽ thấy một danh sách Inbound Rules được hiển thị. Tiếp tục kích vào enabled rule, một loạt các tác dụng được hiển thị ở Action Pane. Nếu kích vào Disable Rule, để loại bỏ các quyền vừa được chọn. Bạn cũng có thể cắt, sao chép hoặc xóa các quyền này.. 48.

(50) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Làm tương tự đối với Outbound Rule đối với các luồng thuông tin đi ra.. 49.

(51) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. IV.3.2. Các công cụ tường lửa khác Trong khuôn khổ giáo trình, chúng tôi xin được giới thiệu một phần mềm tường lửa chuyên biệt được các chuyên gia trong và ngoài nước đánh giá cao về sự ổn định và khả năng hoạt động hiệu quả. Đó là COMODO Firewall. IV.3.2.1 Hướng dẫn Cho phép và Khoá các Truy cập Sử dụng COMODO Firewall Tường lửa được thiết kế để bảo vệ máy tính chống lại tin tặc và các phần mềm độc hại. Cả hai đối tượng này đều tìm cách truy cập trực tiếp máy tính của bạn hoặc gửi thông tin từ máy tính của bạn cho kẻ nào đó. Comodo Firewall cần phải được thiết đặt để ‗nhận biết‘ những chương trình nào 'đáng tin cậy' và cho phép truy cập, và khóa tất cả những phần mềm và tiến trình bất hợp lệ trên máy tính của bạn. Có thể sẽ cần chút kinh nghiệm sau một thời gian sử dụng để phân biệt các yêu cầu hợp lệ với những yêu cầu kết nối nguy hiểm. Mỗi khi có yêu cầu kết nối, màn hình Cảnh bảo An ninh sẽ xuất hiện cho phép bạn chọn Cho phép (Allow) hoặc Khóa (Block) truy cập vào hoặc ra từ máy tính của bạn tới Internet. Ví dụ dưới đây với một chương trình an toàn như Firefox sẽ giúp bạn làm quen với các cảnh báo của tường lửa và cách sử dụng chúng. Mặc dù đôi khi có các ngoại lệ đối với các yêu cầu truy cập xuất phát từ các trình duyệt và trình quản lý thư điện tử được sử dụng rộng rãi, mỗi lần có một yêu cầu kết nối sẽ kích hoạt một Cảnh báo An ninhnhư dưới đây:. 50.

(52) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Một ví dụ Cảnh báo An ninh của COMODO Firewall Một tường lửa đơn giản chỉ là tập hợp các quy tắc giám sát luồng thông tin vào và ra khỏi máy tính. Mỗi khi bạn nhấn chọn Cho phép (Allow) hay Ngăn cấm (Block) một tiến trình, COMODO Firewall tạo ra một quy tắc cho tiến trình hay chương trình yêu cầu kết nối. COMODO Firewall thực hiện tác vụ này đối với những tiến trình, chương trình mới, không nhận diện được cũng như những chương trình đã được liệt vào danh sách Các Hãng Phần mềm Đáng tin cậy (Trusted Software Vendors) nằm trong cửa sổ Defense+ - Tasks > Computer Security Policy. Remember my answer (Ghi nhớ Lệnh thực hiện): Lựa chọn này được sử dụng để ghi lại lựa chọn của bạn là cho phép hay ngăn cấm một chương trình nào đó truy cập COMODO Firewall. Chương trình sẽ tự động cho phép hoặc ngăn cấm các kết nối của ứng dụng này trong các lần yêu cầu sau đó dựa trên lựa chọn hiện tại của bạn. Quan trọng: khuyến nghị việc tắt chọn lựa Remember my answer option khi mới sử dụng COMODO Firewall. Bật chọn lựa Remember my answer khi và chỉ khi bạn hoàn toàn chắc chắn và hiểu rõ quyết định của mình. Gợi ý: Việc giới hạn truy cập hệ thống của bạn là phương pháp tốt nhất đảm bảo an toàn cho máy tính. Đừng ngần ngại ngăn cấm bất kỳ các yêu cầu kết nối đáng ngờ hay không xác định được. Nếu việc này khiến một chương trình bình thường hoạt động không ổn định, bạn có thể cho phép kết nối được thực hiện vào lần sau. Bước 1. Nhấn. để mở cửa sổ Properties để tìm hiểu thêm về tiến. trình gốc hoặc chương trình yêu cầu truy cập, trong ví dụ này là Firefox:. 51.

(53) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Thông tin tiến trình firefox.exe Properties Bước 2: Nhấn. để đóng cửa sổ thông tin chương trình.. Bước 3: Nếu bạn xác định rằng một yêu cầu nào đó là không an toàn hoặc đơn giản là không chắc chắn về yêu cầu đó, dựa vào thông tin hiển thị trong cửa sổ thông tin (Properties), nhấn. để yêu cầu COMODO Firewall để từ chối truy cập vào. hệ thống của bạn. HOẶC: Nếu bạn xác định một chương trình hợp lệ yêu cầu tạo kết nối không có hại dựa trên thông tin tại bảng thông tin chương trình (Properties), hãy nhấn. để cho. phép chương trình đó truy cập hệ thống. Bước 4. Nhấn. để cho phép Firefox truy cập hệ thống qua COMODO. Firewall. Bước 5. Vì Firefox là một ứng dụng an toàn, hãy chọn the để COMODO Firewall tự động cho phép Firefox truy cập hệ thống của bạn trong các lần tiếp theo. Lưu ý: Nút Allow (Cho phép) cho phép bạn cấp quyền truy cập cho các tiến trình hay ứng dụng trong từng trường hợp cụ thể.. 52.

(54) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Gợi ý: Nhấn. để truy cập thông tin trợ giúp mở rộng trực tuyến. của COMODO Firewall. Khả năng đưa ra quyết định cho phép hay ngăn cấm kết nối của bạn sẽ được nâng cao khi bạn tự tin và có nhiều kinh nghiệm hơn trong quá trình sử dụng COMODO Firewall.. IV.3.2.2. Hướng dẫn Mở Giao diện Chính Chương trình COMODO Firewall COMODO Firewall sẽ tự động khởi động sau khi quá trình cài đặt hoàn tất và khởi động lại hệ thống. Chương trình gồm một khung điều khiển với một loại tính năng và thiết đặt tùy chọn. Người dùng Mới Bắt đầu có thể tìm hiểu nhanh về các cảnh báo an ninh của COMODO Firewall security alerts, trong khi người dùng Có kinh nghiệm và Nâng cao có thể tìm hiểu sâu hơn về các cấu hình phức tạp và quản lý tường lửa. Lưu ý: Tất cả các ví dụ trình bày ở đây dựa trên chế độ Phòng vệ Tối ưu của COMODO Firewall. Có nghĩa là tính năng Defense+ phòng chống giả mạo địa chỉ kết nối được kích hoạt. Nếu trong quá trình cài đặt COMODO Firewall bạn chọn lựa Firewall only (Chỉ riêng Firewall), tính năng Defense+ sẽ không được kích hoạt. Để mở cửa sổ giao diện chính COMODO Firewall, hãy theo các bước sau: Bước 1. Chọn Start > Programs > Comodo > Firewall > Comodo Firewall. Lưu ý: Một cách khác, bạn có thể nhấn đúp chuột vào biểu tượng chương trình trên màn hình hoặc nhấn đúp chuột vào biểu tượng COMODO Firewall trên Khay Hệ thống để mở cửa sổ giao diện chính chương trình. Ngoài ra, bạn có thể nhấn chuột phảivào biểu tượng COMODO Firewall để mở trình đơn cảm ngữ cảnh sau đó chọn Open như sau:. 53.

(55) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Trình đơn ngữ cảnh của biểu tượng kết nối COMODO Firewall. Cửa sổ giao diện chính Comodo Firewall ở chế độ Tổng hợp. IV.3.2.3. Tổng quan về Giao diện Chính Chương trình COMODO Firewall Cửa sổ Firewall hiển thị rõ ràng, chính xác thông tin chung về các yêu cầu kết nối vào và ra của các tiến trình và ứng dụng qua COMODO Firewall. Nhìn chung, sẽ có nhiều yêu cầu kết nối ra hơn số lượng yêu cầu kết nối tới hệ thống. Chế độ hoạt động mặc định là Safe Mode (An toàn), các chế độ hoạt động khác nhau sẽ được đề cập tiếp theo trong phần này. Khung Traffic hiển thị các tiến trình và ứng dụng đang hoạt động cũng như số lượng yêu cầu kết nối chúng tạo ra tính theo phần trăm. Nhấn để xem thông tin tổng kết tương ứng của các yêu cầu kết nối ra tại thời điểm yêu cầu như sau:. Cửa sổ Active Connections hiển thị chi tiết thông tin lưu lượng Internet 54.

(56) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Nhấn xem cửa sổ Active Connections của các yêu cầu kết nối tới hệ thống tại thời điểm xem. Gợi ý: Nhấn để chặn tất cả các kết nối đến và ra khỏi máy tính nếu kết nối Internet của bạn tự nhiên chậm hay bị nghẽn đồng thời bạn có lý do để nghi ngờ một tiến trình hay một ứng dụng đang tự thực hiện việc tải về tự kích hoạt. Thao tác này sẽ tự động thiết đặt chế độ hoạt động của Tường lửa * về . Kiểm tra thông tin tổng hợp chi tiết trong cửa sổ *Active Connections để xác định tiến trình gây ra vấn đề kết nối. Sau khi đã giải quyết vấn đề thành công, hãy nhấn yêu cầu kết nối vào và ra qua COMODO Firewall và trở về thường.. để thực hiện các như bình. IV.3.2.4 Biểu tượng Trạng thái của COMODO Firewall COMODO Firewall và Defense+ hoạt động đồng thời; nếu cả hai chương trình cùng hoạt động, chỉ thị phía trái màn hình giao diện chính sẽ xuất hiện như sau:. Biểu tượng trạng thái COMODO Firewall màu xanh Nếu một trong hai chương trình bị tắt, biểu tượng trạng thái sẽ chỉ rõ rằng tường lửa hoặc thành phần phòng vệ chủ động bị tắt như sau:. Biểu tượng trạng thái màu vàng COMODO Firewall bị tắt Tuy nhiên nếu cả hai chương trình bị tắt, biểu tượng trạng thái sẽ xuất hiện như sau:. 55.

(57) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Biểu tượng trạng thái COMODO Firewall khi các thành phần bảo vệ đều bị tắt Trong cả hai trường hợp, hãy nhấn tương ứng.. để kích hoạt các thành phần bảo vệ. V. Bảo mật mạng V.1. Bảo mật mạng là gì Một hệ thống mạng sau khi đi vào hoạt động luôn đứng trước những nguy cơ về mất an toàn mạng, gây nên những thiệt hại về nhiều mặt. Để đảm bảo hệ thống mạng luôn vận hành thông suốt, ngành bảo mật mạng ra đời với nhiệm vụ cung cấp các công cụ, giải pháp để duy trì sự an toàn, ổn định cho hệ thống, qua đó giảm thiểu tối đa những hệ quả xấu có thể xảy đến. Ngày nay, có ba xu hướng chính khiến cho việc bảo mật mạng ngày càng trở nên cấp thiết  Sự gia tăng nhanh chóng giữa các hệ thống và các mạng khiến cho một hệ thống mạng bất kỳ đều có thể truy cập tới bởi một cộng đồng người dùng rất lớn mà người quản trị khó có thể nắm bắt được hết  Việc sử dụng ngày cành nhiều mạng máy tính để truyền đi các thông tin nhạy cảm, quan trọng như chuyển tiền điện tử, các giao dịch thương mại, các thông tin liên quan đến tài sản các công ty, tập đoàn…  Kỹ thuật tấn công mạng ngày càng trở nên dễ dàng nhờ những công cụ viết sẵn và giá thành của chúng ngày càng rẻ nên những người tò mà và có hiểu biết chút ít về máy tính đều có thể sử dụng và trở thành người tấn công mạng. V.2 Các mối nguy hiểm thường gặp với hệ thống mạng V.2.1. Điểm yếu của hệ thống mạng Hệ thống mạng nào cũng luôn có những điểm yếu nhất định. Điểm yếu có thể xuất phát từ những thiết bị mạng như: Router, switch, máy chủ, máy trạm…hoặc có thể từ các yếu tố con người như người quản trị, người dùng… Có 3 điểm yếu chính trong một hệ thống mạng mà chúng ta thường gặp: 56.

(58) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Điểm yếu về công nghệ dùng trong mạng - Technological weaknesses  Điểm yếu về thiết lập – cấu hình mạng - Configuration weaknesses  Điểm yếu về chính sách bảo mật - Security policy weaknesses. V.2.2. Nguy hiểm đối với hạ tầng phần cứng Nguy hiểm thường xảy đến với cơ sở hạ tầng và phần cứng hệ thống theo bốn trường hợp sau:  Hỏng hóc vật lý với các thiết bị mạng như router, switch, máy chủ, máy trạm…  Nhiệt độ và độ ẩm trong môi trường đặt các thiết bị mạng vượt quá ngưỡng cho phép  Điện thế cung cấp cho các thiết bị mạng hoạt động không ổn định, có hiện tượng trồi sụt điện áp, không có thiết bị lưu điện, độ ồn trong môi trường quá cao  Công tác quản trị hệ thống không được quan tâm, các dây cáp chất lượng thấp, bị nhiễu tín hiệu. Các ổ điện bố trí không hợp lý. Các thiết bị không được ghi nhãn dẫn đến khó nhận biết. V.2.3. Nguy hiểm đối với hệ thống mạng Một hệ thống mạng thường xuyên phải đối mặt với nhiều mối nguy hiểm khác nhau. Trong khuôn khổ giáo trình, chúng tôi chia ra 4 mối nguy hiểm:  Nguy hiểm mức độ thấp: Thường xuất hiện khi những cá nhân đơn lẻ sử dụng những công cụ đơn giản có sẵn nhằm mục đích quấy rối hệ thống, ăn cắp mật khẩu…  Nguy hiểm mức độ cao: Xuất hiện khi các hacker chuyên nghiệp với trình độ cao, sử dụng những công cụ mạnh để tấn công hệ thống. Họ biết cách tìm ra các lỗi trong hệ thống và tự viết những chương trình để khai thác những lỗ hổng đó nhằm phục vụ mục đích tấn công và thu lợi bất chính.  Nguy hiểm từ bên ngoài: Đến từ các cá nhân, tổ chức nằm ngoài hệ thống mạng. Những thành phần này không có quyền truy nhập hợp pháp đến các tài nguyên trong hệ thống  Nguy hiểm từ bên trong: Xuất hiện khi một ai đó có toàn quyền truy cập hợp pháp đến các tài nguyên trong hệ thống mạng thông qua các tài khoản được cấp hoặc kết nối trực tiếp vào hệ thống. V.2.4. Các hình thức tấn công vào mạng của hacker  Reconnaissance Attack: Thu thập thông tin, khám phá và định hình trái phép hệ thống cần tấn công: Quét cổng, bắt gói tin, ping  Access Attack: Tấn công truy cập với các hình thức: o Khai thác lỗ hổng 57.

(59) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. o Chuyển hướng port o Tấn công tại giữa đường truyền o Tấn công lừa đảo  Denial of Service (DoS) and Distributed Denial of Service (DDoS) Attacks: Tấn công từ chối dịch vụ  Malicious Code Attack: Tấn công bằng mã độc dưới dạng các virus, trojan, worm..lây nhiễm vào máy tính của người dùng trong mạng. V.2.5. Các bước phát triển chính sách bảo mật cho hệ thống mạng V.2.5.1. Chính sách bảo mật là gì? Mạng máy tính nói chung và mạng trường học nói riêng đều yêu cầu có những chính sách bảo mật từ người quản trị mạng để đảm bảo cho hệ thống vận hành một cách ổn định. Vậy chính sách bảo mật là gì? “Chính sách bảo mật là một văn bản quy định những điều luật mà tất cả những người có quyền truy cập đến tài sản, công nghệ của một tổ chức, cơ quan đều phải tuân thủ một cách tuyệt đối” – Trích Sổ tay bảo mật, tr 2196. V.2.5.2. Nội dung của một chính sách bảo mật Một chính sách bảo mật hoàn chỉnh phải bám sát những nội dung sau  Thông báo tên đơn vị soạn thảo, thời gian và phạm vi áp dụng của chính sách bảo mật  Chỉ ra những điều cơ quan, tổ chức cho phép/không cho phép thực hiện căn cứ theo điều kiện và công việc cụ thể.  Thông báo những trang thiết bị nào sẽ được sử dụng để giám sát truy cập của toàn bộ người dùng hợp pháp trong hệ thống.  Quy định cách thức truy cập Internet trong mạng  Quy định cách thức sử dụng tài nguyên trong mạng  Quy định tổ chức, cá nhân sẽ chịu trách nhiệm ứng phó khi xảy ra bất kỳ sự cố nào đối với hệ thống. 58.

(60) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. QUẢN TRỊ MẠNG VI. Giới thiệu và cài đặt Windows Server 2008 VI.1 Tổng quan về họ hệ điều hành Windows Server 2008 VI.1.1 Lịch sử về hệ điều hành Windows của Microsoft Được phát hành vào năm 1992, Windows cho các nhóm làm việc (viết tắt là WFW), là phiên bản dùng để kết nối đầu tiên của Windows. Ban đầu được phát triển như một addon của Windows 3.0, tuy nhiên WFW đă bổ sung thêm các driver và các giao thức cần thiết (TCP/IP) cho việc kết nối mạng ngang hàng. Đây chính là phiên bản WFW của Windows thích hợp với môi trường công ty. Với WFW, các phát hành của Windows được chia thành hai hướng: hướng dành cho khách hàng, được thiết kế dành cho sử dụng trên các máy tính PC riêng lẻ, và một hướng là dành cho khối doanh nghiệp, được thiết kế để sử dụng trên các máy tính có kết nối mạng Windows NT 3.1 Phát hành kế tiếp cho khối doanh nghiệp của Windows là Windows NT (từ NT là viết tắt của cụm từ new technology), phiên bản chính thức được phát hành vào năm 1993. Mặc dù vậy NT không phải là một nâng cấp đơn giản cho WFW mà nó là một hệ điều hành 32-bit đúng nghĩa được thiết kế cho các tổ chức có kết nối mạng. (Các phiên bản khách hàng vẫn được duy trì ở các hệ điều hành 16-bit). Phục vụ cho khách hàng doanh nghiệp, Windows NT đă có hai phiên bản: Workstation và Server. NT Workstation được dành cho các PC riêng rẽ trên mạng công ty, còn NT Server có nhiệm vụ máy chủ cho tất cả các PC được kết nối với nhau. Với những khả năng cải thiện về công nghệ kết nối mạng, NT đă trở thành một hệ điều hành chủ đạo cho các máy chủ và máy trạm doanh nghiệp trên toàn thế giới. Nó cũng là cơ sở cho hệ điều hành Windows XP, hệ điều hành sát nhập hai luồng Windows thành một hệ điều hành chung vào năm 2001. Windows for Workgroups 3.11 Phát triển dựa trên Windows 3.1, hệ điều hành này đã thêm tính năng làm việc theo nhóm ngang hàng (peer-to-peer) và hỗ trợ làm việc theo vùng. Máy tính cá nhân dựa trên nền tảng của Windows đã lần đầu tiên được hoạt động trên mạng và dựa trên quan hệ chủ/khách (Client/Server). Hệ điều hành này cũng được phát triển lên thành Windows NT Workstation 3.5, hệ điều hành được phát triển cho việc hỗ trợ những ứng dụng cao cấp và mạng chia sẻ dữ liệu và máy in Netware. 59.

(61) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Windows NT 4.0 Được giới thiệu vào tháng Bảy năm 1996, hệ điều hành này có 4 phiên bản Workstation, Terminal Server và hai phiên bản dành cho máy chủ. Đây là lần đầu tiên Internet Explorer xuất hiện và sử dụng giao diện cải tiến của Windows 95. Những tính năng khác bao gồm hỗ trợ các ứng dụng cho fax, Webserver, và chương trình e-mail. Windows 2000 Được phát hành vào ngày 17 tháng 2 năm 2000, hệ điều hành này làm việc trên cả máy chủ lấn máy để bàn, nhưng với những tinh năng quan trọng như Active Directory, Microsoft lần đầu tiên đã lật đổ sự thống thị của Novell trong quản lý môi trường mạng. Windows 2000 cũng là hệ điều hành đầu tiên hỗ trợ Kerberos và tích hợp sẵn Terminal Services. Windows Server 2003 Được giới thiệu vào ngày 24 tháng 4 năm 2003, hệ điều hành này đã được cải tiến nhiều tính năng bảo mật và khả năng cấu hình, bao gồm cả khả năng thiết lập các nguyên tắc trong mạng. Windows Server 2003 R2 được ra mắt vào tháng Mười Hai năm 2005 thêm nhiều tính năng quản lý như văn phòng chính, máy chủ dữ liệu, máy chủ in ấn và tích hợp nhận dạng. Windows Server 2008 Được giới thiệu vào ngày 27 tháng 2 năm 2008 và được xây dựng trên nền tảng tương tự như Vista, hệ điều hành này đã có tính năng mới như Server Core, nguyên tắc cho Active Directory, công nghệ ảo hóa Hyper-V, PowerShell, và Server Manager. Phiên bản R2 của hệ điều hành này đã được thử nghiệm vào tháng 1 năm 2009 với add-on Live Migration của công nghệ Hyper-V.. VI.1.2 Những ưu điểm nổi bật của Windows Server 2008 Windows Server 2008 R2 là HĐH máy chủ mới nhất của Microsoft, được thiết kế với mục đích tăng hiệu năng sử dụng, giảm chi phí vận hành với những tính năng nổi bật như cải tiến quản lý năng lượng, truy cập, quản lý máy chủ từ xa, ảo hóa …. VI.1.2.1 Hỗ trợ mạnh các hệ thống phần cứng mới Windows Server 2008 R2 là phiên bản hệ điều hành máy chủ đầu tiên loại bỏ hoàn toàn cấu trúc 32 bit, hỗ trợ lên tới 256 bộ vi xử lý logic và có khả năng quản lý bộ nhớ tốt hơn các phiên bản trước.. VI.1.2.2 Cải tiến quản lý năng lượng Nhằm tiết kiệm chi phí qua việc giảm thiểu chi phí điện năng tiêu thụ, Windows Server 2008 R2 cung cấp một số cài đặt Group Policy mới cho phép quản lý điện năng đối với các thiết bị trong máy tính sử dụng Windows 7 hay Windows Server 2008 R2. 60.

(62) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Đặc biệt, Windows Server 2008 R2 có thể quản lý khả năng tiêu thụ điện của máy tính tại lơi của CPU. Khi các lơi chip không được sử dụng có thể được chuyển sang trạng thái ngủ đông cho đến khi chúng được sử dụng, do đó giảm sức tiêu thụ điện năng của toàn bộ máy chủ.. VI.1.2.3 Ảo hóa máy chủ và máy trạm Ảo hóa là một phần chính của trung tâm dữ liệu ngày nay. Hiệu quả điều hành được cung cấp bởi ảo hóa cho phép các tổ chức giảm đáng kể nỗ lực hoạt động và điện năng tiêu thụ. Windows Server 2008 R2 cung cấp các loại ảo hóa sau: Hyper-V Windows Server 2008 R2 giới thiệu một phiên bản mới của Hyper-V có thể sử dụng tối đa 32 chip logic, với một số cải tiến lơi để tạo ra trung tâm dữ liệu ảo động bao gồm các khả năng tăng hiệu suất, cải thiện quản lý và cho phép người dùng di chuyển các máy ảo mà không phải tạm dừng hoạt động. Phiên bản đầu tiên của HyperV chỉ có thể sử dụng tối đa 16 chip logic. Remote Desktop Services (trước đây gọi là Terminal Services) Remote Desktop Services, trước đây được gọi là Terminal Services, là một trong những thành phần của Microsoft Windows (cả máy chủ và máy trạm) cho phép người dùng truy cập vào các ứng dụng và dữ liệu trên một máy tính từ xa qua mạng. Remote Desktop là dịch vụ cung cấp cho người sử dụng và quản trị viên với cả các tính năng và tính linh hoạt cần xây dựng những kinh nghiệm truy cập mạnh mẽ nhất trong bất kỳ kịch bản triển khai. Để mở rộng việc thiết lập điều khiển máy tính từ xa, Microsoft đă đầu tư vào cơ sở hạ tầng Desktop ảo, cũng gọi là VDI (Virtual Desktop Infrastructure). Tính năng này cho phép những ứng dụng được cài đặt trên máy chủ giờ đây đă xuất hiện trên menu Start cùng với các ứng dụng được cài đặt cục bộ. Người dùng có thể sử dụng ứng dụng được cài đặt trên máy chủ như ứng dụng được cài đặt cục bộ, và khó có thể nhận ra sự khác biệt giữa chúng. Bên cạnh đó là chức năng đồ họa (và một số chức năng I/O khác, như bàn phím và chuột) giờ đây được xử lý bởi desktop của của người dùng. Điều này có nghĩa là mỗi phiên làm việc sẽ sử dụng ít tài nguyên trên máy chủ hơn, do đó nguồn tài nguyên này sẽ được sử dụng hiệu quả hơn. VDI là một kiến trúc phân phối desktop tập trung, cho phép Windows và máy tính để bàn khác môi trường có thể chạy và được quản lý trong các máy chủ ảo tập trung.. VI.1.2.4 Khả năng mở rộng và đáng tin cậy Windows Server 2008 R2 có khả năng thực thi một khối lượng công việc rất lớn, dể mở rộng với độ tin cậy cao. Một loạt các tính năng mới và cập nhật sẽ có sẵn, bao gồm. 61.

(63) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. thúc kiến trúc CPU đn bẩy tinh vi, tăng gia tăng các khung điều hành hệ thống, và cải thiện hiệu suất và khả năng mở rộng cho ứng dụng và dịch vụ.. VI.1.2.5 Làm việc tốt hơn cùng với Windows 7 Windows Server 2008 R2 có nhiều tính năng được thiết kế đặc biệt để làm việc với máy tính khách đang chạy Windows 7.. VI.2 Cài đặt Windows server 2008 Windows Server 2008 hỗ trợ hai hình thức cài đặt : Full Installation và Server Core Installation. Ở đây, chúng ta chọn hình thức cài đặt thứ nhất. Các bước cài đặt Windows Server 2008 Enterprise như sau :  Khởi động máy tính từ đĩa DVD Windows Server 2008 Enterprise. Lựa chọn ngôn ngữ dùng để cài đặt cùng những thông tin liên quan và bấm nút Next.. Lựa chọn ngôn ngữ cài đặt và thông tin liên quan  Bấm nút Install now để bắt đầu cài đặt. Nếu muốn phục hồi hệ thống, bạn kích vào tùy chọn Repair your computer.. 62.

(64) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Cài đặt hoặc phục hồi hệ thống  Nhập product key của phiên bản Windows Server 2008 Enterprise này. Nếu chưa muốn kích hoạt (active) Windows vì mục đích kiểm tra hoặc dùng thử, bạn bỏ dấu chọn ở mục Automatically activate Windows then I’m online và bấm nút Next.. Nhập product key  Chọn kiểu cài đặt Windows Server 2008 Enterprise (Full Installation), đồng thời đánh dấu chọn mục I have selected the edition of Windows that I purchased và bấm nút Next.. 63.

(65) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Chọn kiểu cài đặt Enterprise  Trong màn hình License, bạn đọc kỹ các điều khoản của Microsoft. Nếu đồng ý, bạn đánh dấu vào tùy chọn I accept the license terms và bấm nút Next.. Đồng ý với các điều khoản của Microsoft  Trong màn hình Type of installation, bạn lựa chọn kiểu cài đặt thích hợp. Nếu muốn cài đặt một phiên bản mới, bạn lựa chọn Custom (advanced). Để nâng cấp, bạn cần chạy chương trình cài đặt ngay trên hệ điều hành Windows hiện thời và chọn Upgrade.. 64.

(66) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Lựa chọn kiểu cài đặt thích hợp  Trong màn hình Where install Windows, nếu đĩa cứng của bạn được trình cài đặt tự động nhận ra, bạn tạo các phân vùng của mình bằng cách sử dụng các chức năng New, Format. Ngược lại, nếu đĩa cứng của bạn không xuất hiện, rất có thể driver dành cho thiết bị của bạn chưa được tích hợp sẵn trên Windows. Trong trường hợp này, bạn cần sử dụng chứng năng Load Driver để cài đặt driver cần thiết.  Bấm nút Next ngay khi tạo xong các phân vùng của mình.. Tạo các phân vùng  Đến bước này, Windows Server 2008 đã có đầy đủ các thông tin chuẩn bị. Do đó, quá trình cài đặt sẽ diễn ra.. 65.

(67) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Tiến trình cài đặt đang diễn ra  Trong quá trình cài đặt, hệ thống sẽ khởi động lại khá nhiều lần để thực hiện các thao tác cấu hình cần thiết.  Khi tiến hành cài đặt hoàn thành, hệ thống tự động đăng nhập với tài khoản Administrator. Vì mật khẩu mặc định của Administrator khi cài đặt là rỗng, nên trong lần đăng nhập đầu tiên, hệ thống yêu cầu bạn thay đổi mật khẩu ngay lập tức.. Hệ thống yêu cầu thay đổi mật khẩu Administrator  Bạn bấm OK, nhập mật khẩu mới và bấm phím Enter.. 66.

(68) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Nhập mật khẩu mới cho Administrator  Khi thông báo "Your password has been changed" xuất hiện, bạn bấm nút OK để đăng nhập vào Windows Server 2008.. VII. Active Directory Active Directory đem tới các phương tiện quản lý thông tin nhận dạng và các mối quan hệ cấu thành nên hệ thống mạng trong tổ chức của bạn. Được tích hợp với Windows Server 2008, Active Directory thuộc thế hệ kế tiếp cung cấp cho bạn tính năng sẵn có cần thiết để cấu hình và quản trị hệ thống, người dùng và các thiết lập ứng dụng một cách tập trung. Với Active Directory, bạn có thể đơn giản hóa việc quản lý người dùng và máy tính, cho phép truy cập SSO (Single sign-on) tới các tài nguyên mạng, và giúp cải thiện tính riêng tư cũng như mức độ bảo mật của thông tin đã lưu cũng như của các quá trình truyền thông. Active Directory đã tự chứng minh là một dịch vụ thư mục mạnh mẽ, ổn định trong Windows Server 2003 R2. Windows Server 2008 tiếp nối những thành công trước đây của Active Directory với những tính năng mới.. VII.1 Mô hình mạng trong môi trường Microsoft VII.1.1 Mô hình Workgroup Mô hình mạng workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau. Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên cục bộ của 67.

(69) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. mình. Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng. Mô hình này chỉ phù hợp với các mạng nhỏ, dưới mười máy tính và yêu cầu bảo mật không cao. Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng lưu trữ thông tin người dùng trong một tập tin SAM (Security Accounts Manager) ngay chính trên máy tính cục bộ. Thông tin này bao gồm: username (tên đăng nhập), fullname, password, description… Tất nhiên tập tin SAM này được mă hóa nhằm tránh người dùng khác ăn cấp mật khẩu để tấn công vào máy tính. Do thông tin người dùng được lưu trữ cục bộ trên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính cũng do các máy tính này tự chứng thực.. Sơ đồ mô hình Workgroup. VII.1.2 Mô hình Domain Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế client-server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng. Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền. Mô hình này được áp dụng cho các công ty vừa và lớn. Trong mô hình Domain của Windows Server 2008 thì các thông tin người dùng được tập trung lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT. Tập tin cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5 nghn tài khoản người dùng. Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do máy điều khiển vùng chứng thực.. 68.

(70) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Sơ đồ mô hình Domain. VII.2 Chức năng của Active Directory  Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính.  Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng).  Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.  Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa…  Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ.. VII.3 Active Directory Federation Service VII.3.1 Tổng quan Active Directory Federation Services (AD FS) là tính năng đă được giới thiệu đến trong Windows Server 2003 R2, tính năng này cung cấp giải pháp nhận dạng truy cập. Nó cho phép các trình duyệt trên client, bên trong hoặc bên ngoài mạng của bạn có khả năng truy cập một lần (Single-Sign-On (SSO)) vào các ứng dụng dựa trên Web. Tuy nhiên cũng cần lưu ý rằng AD FS chỉ làm việc cho các ứng dụng nền tảng Web. AD FS có thể được sử dụng trong việc cấu hình Web hoặc các môi trường SharePoint. Nó cũng rất hữu dụng khi một công ty nào đó có các máy chủ web nằm trong một DNZ hoặc trên một hăng hosting từ xa hoặc đối tác kinh doanh và muốn kiểm soát các thông tin quan trọng đối với các ứng dụng web của họ từ Active Directory bên trong. 69.

(71) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Những điểm mới trong AD FS của Windows Server 2008 khi so sánh với Windows Server 2003 R3:  AD FS vẫn là một công nghệ tương đối mới của Microsoft và đây là thế hệ thứ hai của sản phẩm này. Windows Server 2008 có một số tính năng mới cho AD FS, các tính năng này không có sẵn trong Windows Server 2003 R2. Các tính năng mới này sẽ tạo điều kiện dể dàng trong quản trị và mở rộng sự hỗ trợ cho các ứng dụng chính của Microsoft.  Cải thiện về vấn đề cài đặt: Wizard cài đặt của AD FS gồm một role máy chủ trong Windows Server 2008 và các kiểm tra hợp lệ hóa máy chủ. Server Manager trong Windows Server 2008 sẽ tự động liệt kê và cài đặt tất cả các dịch vụ mà AD FS yêu cầu trong quá trình cài đặt AD FS role (ASP.NET, IIS,..).  Cải thiện về sự hỗ trợ: Phiên bản mới của AD FS đă được tích hợp chặt chẽ hơn với Active Directory Rights Management Services (AD RMS) và Microsoft Office  SharePoint Server 2007 (MOSS). MOSS 2007 hiện hỗ trợ khả năng đăng nhập một lần đă được tích hợp trong AD FS. AD FS hỗ trợ thành viên MOSS 2007 và các nhà cung cấp role, điều đó có nghĩa rằng bạn có thể cấu hình MOSS 2007 với tư cách là một ứng dụng thân thuộc bên trong AD FS và sau đó quản trị bất kỳ site này của SharePoint bằng điều khiển truy cập dựa trên role và thành viên.  Quản trị tốt hơn: AD FS đă được cải thiện bằng một chức năng import và export chính sách mới, giúp giảm tối thiểu những vấn đề cấu hình trên đối tác. Active Directory Federation Services (AD FS) cung cấp các dịch vụ quản lý nhận dạng rộng răi, cho phép các công ty lớn mở rộng được cơ sở hạ tầng của họ cho các đối tác tin cậy và khách hàng. AD FS có 3 khả năng chính dưới đây:  Thẩm định mạng nội bộ mở rộng (Extranet).  Cơ chế đăng nhập một lần dựa trên Web.  Các dịch vụ nhận dạng rộng cho các ứng dụng web dựa trên IIS. AD FS được thiết kế để có thể được triển khai trong các tổ chức lớn và trung bình có những điều kiện sau:  Ít nhất một dịch vụ thư mục (directory): Active Directory Domain Services (AD DS) hoặc Active Directory Lightweight Directory Services (AD LDS).  Các máy tính nằm trong miền.  Các máy tính đang chạy trên nhiều nền tảng hệ điều hành khác nhau. + Các máy tính được kết nối Internet.  Một vài ứng dụng dựa trên Web. Tất cả việc truyền thông từ Active Directory đến AD FS đều được mă hóa và tất cả các truyền thông từ các client đến AD FS cũng đều được mă hóa SSL. Những lợi ích đem lại trong môi trường rộng đó là mỗi công ty liên tục có thể quản lý được sự phân biệt 70.

(72) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. với chính nó, nhưng mỗi công ty cũng có thể đặt dự án một cách bảo đảm và chấp nhận sự phân biệt với các tổ chức khác.. VII.3.2 Các Role trong AD FS AD FS trong Windows Server 2008 có một số role khác, phụ thuộc vào các yêu cầu của tổ chức mà bạn có thể triển khai máy chủ đang chạy một hoặc nhiều role AD FS.  Dịch vụ Federation: Dịch vụ Federation có thể được sử dụng bởi một hoặc nhiều máy chủ federation để chia sẻ một chính sách nhất quán nào đó. Các máy chủ này được sử dụng để định tuyến các yêu cầu thẩm định từ các tài khoản người dùng trong những tổ chức khác hoặc trừ các client được đặt trên Internet.  Federation Service Proxy: Federation Service Proxy là một proxy cho dịch vụ Federation trong mạng vành đai (DMZ). Federation Service Proxy sử dụng các giao thức WS-Federation Passive Requestor Profile (WS-F PRP) để chọn thông tin của người dùng từ các trình duyệt máy khách và gửi thông tin này đến dịch vụ Federation.  Claims-aware agent: Claims-aware agent được cài đặt trên máy chủ Web để cấu hình ứng dụng claims-aware. Nó cũng cần thiết để cho phép truy vấn các ưu sách thẻ bảo mật AD FS. Ứng dụng claims-aware là một ứng dụng ASP.NET của Microsoft hoặc một ứng dụng chuẩn giống như MOSS 2007.  Tác nhân dựa trên thẻ: Tác nhân thẻ có thể đựợc cài đặt trên một máy chủ Web cấu hình ứng dụng thẻ của Windows NT. Nó cần thiết để hỗ trợ cho việc chuyển đổi từ thể bảo mật AD FS sang mức nhân cách hóa. Ứng dụng thẻ của Windows NT là ứng dụng sử dụng các cơ chế thẩm định dựa trên Windows.  AD FS và Server Core: Active Directory Federation Services roles không nằm trong Server Core. Nó phần nào phụ thuộc vào ASP.NET, một nền tảng không có trong Server Core. AD FS và sự phát triển: AD FS là một tính năng có thể giúp các chuyên gia phát triển tạo các ứng dụng web. AD FS cũng có thể là cha khóa trong việc cung cấp truy cập bên ngoài an toàn đối với các ứng dụng Web của bạn. Nó cũng có thể được sử dụng với Active Directory Lightweight Directory Services (AD LDS) với tư cách là một bộ cung cấp nhận dạng cho việc chứng thực và Windows Authorization Manager cho việc kiểm soát chính sách truy cập, cung cấp giải pháp hoàn tất để mở rộng các ứng dụng Web cho các tổ chức tin cậy. Active Directory Lightweight Directory Services (AD LDS) trước đây được biết đến với tên Active Directory Application Mode (ADAM), là một chế độ đặt biệt của AD trong đó, các dịch vụ thư mục được cấu hình chỉ lưu giữ và sao chép các thông tin liên quan đến ứng dụng. Chế độ này cung cấp khả năng lưu trữ và truy cập cho các ứng dụng, sử dụng các giao diện mà quản trị viên và các chuyên gia phát triển đă thân thuộc.. 71.

(73) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. AD LDS là một tính năng lưu trữ và truy vấn dữ liệu dịch vụ thư mục của LDAP cho các ứng dụng đă thư mục, không phụ thuộc vào những yêu cầu cho AD DS. Nó cũng không lưu trữ các nguyên lý bảo mật vẫn có trong AD DS. Các chuyên gia phát triển có thể sử dụng AD LDS để làm việc với các thông tin của Active Directory trong các ứng dụng của họ. AD FS là một trong những ứng dụng sử dụng AD LDS để lưu các thông tin quan trọng này. Kết luận: Active Directory Federation Services (AD FS) là một tính năng mạnh của Windows Server 2008, nó cho phép các tổ chức có được khả năng linh hoạt trong việc kết nối các ứng dụng Web và quản lý các thông tin về tài khoản.. VII.4 Active Directory Domain Service VII.4.1 Tổng quan Active Directory Domain Services (AD DS), trước đây được biết tới với tên gọi Active Directory Directory Services, là một dịch vụ server trên Windows Server 2008, sử dụng thông tin lưu trữ trong Active Directory để quản lý các đối tượng users, groups, computers, … Dùng Active Directory, bạn có thể quản lý một cách hiệu quả các người dùng, máy tính, nhóm làm việc, máy in, ứng dụng và các đối tượng khác theo thư mục từ một khu vực tập trung và bảo mật.. VII.4.2 Tính năng của Active Directory Domain Services Những tính năng nâng cao đối với AD DS trong Windows Server 2008 bao gồm:  Auditing: lưu trữ các sự kiện liên quan đến những đối tượng trong Active Directory.Từ đó có thể biết được đối tượng đã thay đổi những gì.Và giá trị hiện tai và giá trị trước khi thay đổi cũng được hệ thống ghi nhận lại.  Password Policies có thể được cấu hình cho những đối tượng riêng biệt trong một domain.Vì thế bạn sẽ không phải sử dụng chung một chính sách mật khẩu cho tất cả các người dùng trong cùng một domain  Read-Only Domain Controller là một Domain Controller với cơ sở dữ liệu Active Directory ở dạng read-only. Dịch vụ này giúp bạn tạm bảo mật được đối với những nơi mà bảo mật chưa được đảm bảo cao độ,chẳng hạn như các văn phòng .ReadOnly Domain Controller không cho phép các domain controller ở cấp thấp hơn thực hiện những thay đổi lên Active Directory  Restartable AD DS : đặc điểm này giúp bạn khởi động lại AD DS trong khi vẫn giữ nguyên trạng thái hoạt động của Domain Controller,giúp bạn hoàn thành những thao tác offline môt cách nhanh chóng  Active Directory Certificate Services (AD CS) là một dịch vụ được dùng để sinh ra và quản lý các certificate trên những hệ thống sử dụng công nghệ public key .Bạn có thể sử dụng ADCS để tạo ra các máy chủ chúng thực CA ( Certification 72.

(74) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Authorities) .Các CA có tác dụng nhận yêu cầu về chứng thực,sau đó xử lý và gửi các chứng thực đó về lại cho đối tượng đã gửi yêu cầu.  Active Directory Federation Services (AD FS) là một dịch vụ cung cấp cơ chế đăng nhập - single sign-on(SSO) ,cho phép bạn đăng nhập chỉ một lần những có thể dùng nhiều ứng dụng Web có quan hệ với nhau  Active Directory Rights Management Services (ADRMS) là dịch vụ được dùng để kết hợp với các ứng dụng hỗ trợ AD RMS (AD RMS – enable application),nhằm bảo vệ dữ liệu quan trọng ( báo cáo tài chính,thông tin khách hàng,đơn hàng,sổ sách kê khai kế toán .v..v.) trước những đối tượng người dùng không được phép (unauthorized users).Với AD RMS,bạn có thể xác định những ai có thể thực hiện các thao tác như xem, chỉnh sửa, in ấn….trên dữ liệu của mình  Active Directory Lightweght Directory Services (AD LDS) là một dịch vụ thư mục LDAP (Lightweght Directory Access Protocol) trên Windows Server 2008. AD LDS cung cấp một cơ chế nhằm hỗ trợ các ứng dụng directory-enabled ( sử dụng thư mục để lưu trữ dữ liệu) .Dịch vụ này có chức năng tương tự như AD DS,nhưng không đòi hỏi phải triển khai các domain hoặc Domain Controller. VII.5 Active Directory Service VII.5.1 Khái niệm Active Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụ danh bạ là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống Active Directory. Một hệ thống với những tính năng vượt trội của Microsoft.. VII.5.2 Các thành phần trong Active Directory Service Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại. Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó.  Object (đối tượng): Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, … Đối tượng chính là thành tố căn bản nhất của dịch vụ danh bạ.  Attribute (thuộc tính): Một thuộc tính mô tả một đối tượng. Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên, các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau. Lấy ví dụ như một máy in và một máy trạm cả hai đều có một thuộc tính là địa chỉ IP.  Schema (cấu trúc tổ chức): Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó. Ví dụ, cho rằng tất cả các đối tượng máy in đều 73.

(75) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. được định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng ―máy in‖. Schema có đặc tính là tuỳ biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active Directory.  Container (vật chứa): Vật chứa tương tự với khái niệm thư mục trong Windows. Một thư mục có thể chứa các tập tin và các thư mục khác. Trong Active Directory, một vật chứa có thể chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng. Có ba loại vật chứa là: o Domain: khái niệm này được trình bày chi tiết ở phần trên. o Site: một site là một vị trí. Site được dùng để phân biệt giữa các vị trí cục bộ và các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi nhánh đặt ở Denver và một văn p ng đại diện đặt ở Portland kết nối về tổng hành dinh bằng Dialup Networking. Như vậy hệ thống mạng này có ba site. o OU (Organizational Unit): là một loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm, máy tính và những OU khác. Một OU không thể chứa các đối tượng nằm trong domain khác. Nhờ việc một OU có thể chứa các OU khác, bạn có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hoá cấu trúc của một tổ chức bên trong một domain. Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống.  Global Catalog: Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đă có trong Windows NT và không chỉ có thể định vị được đối tượng bằng tên mà có thể bằng cả những thuộc tính của đối tượng. o Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn bạn sẽ không dùng một máy in HP Laserjet 4L. Bạn sẽ phải tìm một máy in chuyên dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành quyển. Nhờ Global Catalog, bạn tìm kiếm trên mạng một máy in với các thuộc tính như vậy và tìm thấy được một máy Xerox Docutech 6135. Bạn có thể cài đặt driver cho máy in đó và gửi print job đến máy in. Nhưng nếu bạn ở Portland và máy in thì ở Seattle thì sao? Global Catalog sẽ cung cấp thông tin này và bạn có thể gửi email cho chủ nhân của máy in, nhờ họ in giùm. o Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên Betty Doe ở bộ phận kế toán. Đoạn thư thoại của cô ta bị cắt xén và bạn không thể biết được số điện thoại của cô ta. Bạn có thể dùng Global Catalog để tìm thông tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta. o Khi một đối tượng được tạo mới trong Active Directory, đối tượng được gán một con số phân biệt gọi là GUID (Global Unique Identifier). GUID của một đối 74.

(76) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. tượng luôn luôn cố định cho dù bạn có di chuyển đối tượng đi đến khu vực khác.. VII.5.3 Kiến trúc của Active Directory Service. VII.5.3.1 Object Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes. Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho các loại đối tượng mà bạn có thể tạo ra trong Active Directory. Có ba loại object classes thông dụng là: User, Computer, Printer. Khái niệm thứ hai là Attributes, nó được định nghĩa là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể. Như vậy Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của object classes.. VII.5.3.2 Organizational Units Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là ―một hoặc nhiều subnet kết nối tốt với nhau‖. Việc sử dụng OU có hai công dụng chính sau:  Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (subadministrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống.  Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO).. 75.

(77) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. VII.5.3.3 Khái niệm về Domain Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dể dàng hơn. Domain đáp ứng ba chức năng chính sau:  Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác..  Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ..  Cung cấp các Server dự p ng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau.. VII.5.3.4 Domain Tree Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. 76.

(78) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.. Sơ đồ biểu diễn một cây Domain. VII.5.3.4 Khái niệm về Forest Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng và để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng.. Sơ đồ Forest 77.

(79) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. VII.6 Cài đặt và cấu hình Active Directory Service VII.6.1 Nâng cấp Server lên Domain Controller Các bước nâng cấp lên Domain Controller như sau: Khai báo các thông số về địa chỉ IP cho máy cần nâng cấp trong trường hợp này chúng ta sẽ tiến hành nâng cấp máy Server1 chạy Windows Server 2008:. VII.6.1.1 Đặt IP tĩnh Tùy chỉnh lại thông số IP theo mô hình mạng:  Click chuột phải vào Icon Network trên Desktop chọn Properties và Click Manager network connections:.  Click chọn Internet Protocol version 4 (TCP/IP v4) sau đó Click chọn Properties điều chỉnh thông số như hình dưới đây: Chú ý là địa chỉ của máy Server muốn nâng cấp có Perferred DNS phải giống với địa chỉ IP của máy cần nâng cấp.. 78.

(80) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. VII.6.1.2 Cài đặt dịch vụ Active Directory Domain Services Ở Windows Server 2003, để cài đặt thêm các dịch vụ như DHCP, DNS …vào Add/Remove Windows Components. Ở Windows Server 2008 được thay thế bằng công cụ quản trị Server Manager với các Roles và Features. Vì mặc định Windows Server 2008 chưa cài đặt các dịch vụ nên bạn phải cài đặt dịch vụ AD DS trước khi lên Domain Controller.  Vào Server Manager -> Add Roles -> Chọn dịch vụ Active Directory Domain Services -> Chọn Next  Chọn Next để tiếp tục. Tại bảng Confirm Installation Selections sẽ yêu cầu bạn xác nhận lần cuối trước khi cài đặt -> Chọn Install  Đợi cho đến khi hoàn tất quá trình cài đặt dịch vụ Active Directory Domain Services  Chọn Close để hoàn tất.. VII.6.1.3 Cài đặt Active Directory  Từ Menu Start -> Run -> gõ lệnh ―dcpromo‖ để tiến hành nâng cấp lên Domain Controller -> Hộp thoại Wellcome to Active Directory Domain Service Installation Wizard xuất hiện Bạn đánh dấu check vào ô Use advanced mode installation sau đó Click Next để tiếp tục..  Hộp thoại Operting System Compatibility xuất hiện, click Next.. 79.

(81) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Đánh dấu check vào ô “Create a new domain in a new forest” để tạo mới một domain trong một rừng mới sau đó Click Next để tiếp tục..  Trong hộp thoại Name the Root Domain bạn nhập vào ô ―FQDN of the forest root domain” nhập vào tên Domain cần tạo sau đó click Next..  Hộp thoại Domain NetBIOS Name giữ nguyên mặc định click Next.  Hộp thoại Set Forest Function Level chọn Windows Server 2008 để sử dụng hết những chức năng mới trong Windows Server 2008, sau đó Click Next.. 80.

(82) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Additioal Domain Controller Options, đánh dấu check vào ô DNS server nếu muốn chương trình DNS tự động được cài đặt trong quá trình nâng cấp..  Hộp thoại Location for Database, Log Files, and SYSVOL chỉ định nơi lưu trữ cho Database, nơi lưu trữ cho tập tin Log files và SYSVOL. Nếu bạn là một IT và đây là việc bạn đang cấu hình thì hăy chọn nơi lưu trữ vào vị trí khác để dữ liệu của bạn được an toàn.. 81.

(83) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Trong hộp thoại Directory Serviecs Restore Administrator Password, bạn nhập Password vào ô bên dưới và lưu ý là phải nhớ thật kĩ Password này -> click Next..  Hộp thoại Summary tổng hợp lại quá trình bạn vừa thiết lập nếu muốn thay đổi thì bạn click Back, chấp nhận thì Click Next để tiếp tục cài đặt.. 82.

(84) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Quá trình nâng cấp lên Domain Controller đang được tiến hành sau khi kết thúc quá trình nâng cấp lên Domain Controller thì hệ thống tự Restart nếu bạn click chọn vào ô Reboot on completion.. 83.

(85) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. VII.6.2 Gia nhập một máy trạm vào Domain VII.6.2.1 Giới thiệu Một máy trạm gia nhập vào một domain thực sự là việc tạo ra một mối quan hệ tin cậy (trust relationship) giữa máy trạm đó với các máy Domain Controller trong vùng. Sau khi đă thiết lập quan hệ tin cậy thì việc chứng thực người dùng logon vào mạng trên máy trạm này sẽ do các máy điều khiển vùng đảm nhiệm. Nhưng chú ý việc gia nhập một máy trạm vào miền phải có sự đồng ý của người quản trị mạng cấp miền và quản trị viên cục bộ trên máy trạm đó. Nói cách khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống sẽ yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp miền).. VII.6.2.2 Các bước gia nhập Sau khi nâng cấp Server1 lên Domain Controller. Tiếp theo sau là gia nhập một máy trạm vào Domain trong phần này thực hiện trên Server2. Login vào Server2 với Username là Administrator thực đội gian nhập một máy trạm vào Domain như sau:  Click chuột phải vào Icon Network trên Desktop chọn Properties sau đó Click chọn tiếp vào Manager network connections..  Click chọn Internet Protocol Version 4 (TCP/Ipv4).. 84.

(86) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Điều chỉnh lại thông số địa chỉ IP như hình dưới đây..  Trở lại màn hình Desktop, Click chuột phải vào Icon Computer chọn Properties tiếp tực Click chọn Change settings.. 85.

(87) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Trong hộp thoại System Properties tiếp tục Click chọn Change….  Hộp thoại Computer name/Domain Changes, đánh dấu chọn vào ô Domain và nhập tên Domain của máy Domain Controller sau đó Click chọn OK.. 86.

(88) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Windows Security yêu cầu Bạn cần có một Username vào Password của người quản trị viên cấp miền. Bạn nhập vào Administrator là tài khoảng quản trị cho Domain GroupsvIT.Net..  Hộp thoại Computer Name/Domain Changes xuất hiện lời chào mừng bạn đã gia nhập Domain thành công..  Sau khi Máy Server2 đă gia nhập thành công hệ thống yêu cầu Restart lại Server2 > Sau khi Restart lại Server2, tiến hành đăng nhập vào miền.. 87.

(89) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. VII.6.3 Xây dựng Domain Controller đồng hành VII.6.3.1 Vì sao phải xây dựng DC đồng hành? Domain Controller là máy tính điều khiển mọi hoạt động của mạng nếu máy này có sự cố thì toàn bộ hệ thống mạng bị tê liệt. Do tính năng quan trọng này nên trong một hệ thống mạng thông thường chúng ta phải xây dựng ít nhất hai máy tính Domain Controller. Như đă trình bày ở trên thì Windows Server 2003 và Windows Server 2008 không còn phân biệt máy Primary Domain Controller và Backup Domain Controller nữa, mà nó xem hai máy này có vai trò ngang nhau, cùng nhau tham gia chứng thực người dùng. Như chúng ta đă biết, công việc chứng thực đăng nhập thường được thực hiện vào đầu giờ mỗi buổi làm việc, nếu mạng của bạn chỉ có một máy điều khiển dùng và 10.000 nhân viên thì chuyện gì sẽ xẩy ra vào mỗi buổi sáng? Để giải quyết trường hợp trên, Microsoft cho phép các máy điều khiển vùng trong mạng cùng nhau hoạt động đông thời, chia sẻ công việc của nhau, khi có một máy bị sự cố thì các máy còn lại đảm nhiệm luôn công việc máy này. Do đó trong tài liệu này chúng tôi gọi các máy này là các máy điều khiển vùng đồng hành. Nhưng khi khảo sát sâu về Active Directory thì máy điều khiển vùng được tạo đầu tiên vẫn có vai trò đặc biệt hơn đó là FSMO (flexible single master of operations). Trong hệ thống mạng máy tính của chúng ta nếu tất cả các máy điều khiển vùng đều là Windows Server 2008 thì chúng ta nên chuyển miền trong mạng này sang cấp độ hoạt động Windows Server 2008 để khai thác hết các tính năng mới của Active Directory.. VII.6.3.2 Các bước xây dựng Tiến hành xây dựng Một Domain Controller đồng hành trên Server2 như sau:  Vào Start -> Run -> gõ lệnh ―dcpromo” 88.

(90) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Trong hộp thoại Wellcome to the Active Directory Domain Services Installation Wizard đánh dấu chọn vào ô Use advanced mode installation sau click chọn Next..  Hộp thoại Operating system Compatilitity Click chọn Next.  Đánh dấu check vào ô Existing forest và ô Add a domain controller to an existing Domain sau đó click Next để tiếp tục..  Hộp thoại Network Credentials Bạn nhập tên Domain chính vào ô dưới. Cũng trong hộp thoại này Click chọn vào mục set và nhập Username và Password người quản trị Domain chính vào sau đó click chọn OK -> Next để tiếp tục.. 89.

(91) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Mục Altemate credentials xuất hiện tên người quản trị domain mà bạn vừa nhập > click Next.. 90.

(92) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Select a Domain Click chọn vào GroupsvIT.Net (forest root domain).  Hộp thoại Select a Site click chọn Default-First-Site-Name sau đó click Next.. 91.

(93) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Additional Domain Controller Options đánh dấu chọn vào các dịch vụ mà Bạn muốn cài đặt trong quá trình xây dựng Domain Controller đồng hành. Bạn cần lưu ý là: Có thể cài dịch vụ DNS và Read only domain controller hoặc không cài còn ô Global catalog bắt buột bạn phải cài đặt tính năng này sau khi chọn xong Click next..  Trong hộp thoại Install from Media đánh dấu check vào ô như hình dưới. 92.

(94) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Source Domain Controller chỉ định rõ Source domain root, click chọn vào DC01.GroupsvIT.Net sau đó click chọn Next để tiếp tục..  Hộp thoại Location for Database, Log Files,and SYSVOL chỉ định nơi lưu trữ. Nếu đồng ý Bạn Click Next hoặc không Chọn Browse .. đến nơi khác để lưu dữ liệu.  Hộp thoại Directory Services Restore Mode Administrator Password Bạn nhập vào Password. 93.

(95) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Summary tổng hợp lại các thiết lập mà bạn vừa thiết lập. Click Back nếu muốn thay đổi hoặc nếu đồng ý click Next để tiếp tục cài đặt..  Quá trình cài đặt một Domain Controller đồng hành đang được tiến hành. Click chọn vào ô Reboot on completion thì hệ thống sẽ tự động restart khi hoàn tất việc cài đặt.. 94.

(96) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. VII.6.4 Xây dựng Subdomain VII.6.4.1 Vì sao phải xây dựng Subdomain? Đối với các công ty lớn, có nhiều chi nhánh tại các địa điểm khác nhau hoặc chia các lĩnh vực riêng, cần chia nhỏ tên miền thành các tên miền nhỏ hoặc thứ cấp để tiện quản lý. Khi đó, cần thiết phải xây dựng các subdomain. Sau khi bạn đă xây dựng Domain Controller đầu tiên quản lý miền, lúc ấy Domain Controller này là một gốc của rừng hoặc Domain Tree đầu tiên, từ đây bạn có thể tạo thêm các subdomain cho hệ thống.. VII.6.4.2 Các bước xây dựng Các bước xây dựng Subdomain cũng thực hiện tương tự như xây dựng một Domain có điều khác là không tạo mới mà sử dựng Domain đă được tạo sẵn. Login vào Domain cần xây dựng với tài khoản là Administrator là một tài khoản có quyền cao nhất của hệ thống. Tiến hành xây dựng Subdomain từng bước như sau:  Từ Menu Start -> Run -> gõ lệnh ―dcpromo‖ sau đó Click chọn OK..  Hộp thoại Active Directory Services Installation Wizard xuất hiện bạn đánh dấu chọn ô Use advanced mode installation sau đó click chọn Next.. 95.

(97) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Operating System Compatibility click chọn Next -> xuất hiện hộp thoại Choose a Deployment Configuration, click chọn Existing forest, rồi chọn ―Creat a new domain in an existing forest‖ -> Next.  Hộp thoại ―Network Credentials‖, click chọn vào Set vào sử dụng tài khoản của ngưới quản trị Domain sau đó click chọn OK -> Next.. 96.

(98) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Name the new Domain Bạn nhập tên Domain chính vào ô ―FQDN of the parent domain‖. Ô Single-label DNS name of the child domain, nhập vào tên Subdomain cần tạo sau đó click chọn Next..  Hộp thoại Domain NetBIOS Name để nguyên mặc định Click Next.  Hộp thoại Select a Site Click chọn vào Default-First-Site-Name sau đó click Next.. 97.

(99) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Additional Domain Controller Options click chọn vào ô Gobal catalog.  Hộp thoại Source Domain Controller đánh dấu chọn vào ô Use this specific domain controller tiếp tục click chọn DC01.GroupsvIT.Net sau đó click chọn Next.. 98.

(100) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Location for Database, log Files, and SYSVOl để mặc định Click Next.  Hộp thoại Directory Serviecs Rettore Mode Administrator Password bạn nhập vào password sau đó click chọn Next..  Hộp thoại Summary hiển thị tất cả các thông tin bạn vừa thiết lập.. 99.

(101) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Quá trình xây dựng một Subdomain đang được cài đặt bạn Click chọn vào ô Reboot on completion để sau khi xong quá trình cài đặt hệ thống tự Restart.. VII.6.5 Xây dựng Organizational Unit OU là một nhóm tài khoản người dùng, máy tính và tài nguyên mạng được tạo ra nhằm mục đích dể dàng quản lý hơn và ủy quyền cho các quản trị viên địa phương giải quyết các công việc đơn giản. Đặc biệt hơn là thông qua OU chúng ta có thể áp đặt các giới hạn phần mềm và giới hạn phần cứng thông qua các Group Policy. 100.

(102) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Muốn xây dựng một OU bạn làm theo các bước sau:  Login vào máy Domain Controller với quyền hạn là Administrator  Từ menu Start -> Administrative Tool -> Active Directory Users and Computers. Click chọn vào Domain cần thiết lập để tạo mới OU..  Hộp thoại New Object Organizational Unit gõ tên OU cần tạo vào mục Name. trong ví dụ này OU cần tạo có tên là HCM..  OU mới được tạo với tên HCM Bạn có thể tạo thêm một vài OU khác cho tiện quản lý. Tiếp theo là việc phân nhóm để giảm bớtt công tác quản trị. Click chuột phải vào OU vừa tại chọn New -> Group. 101.

(103) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Sau đó đặt tên cho Group vừa tạo Click chọn OK để tạo mới Group..  Tạo mới User, Click chuột vào OU HCM chọn New -> User. 102.

(104) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại New Object User nhập thông tin về User cần tạo click chọn Next. Nhập Password vào và click chọn OK..  Add User vào Group: Click chuột phải vào OU chọn Properties Sau đó chọn Tab Members -> Click chọn Add gõ tên User muốn thêm vào nhóm sau đó click OK. 103.

(105) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. VII.6.6 Công cụ quản trị Active Directory Sevice Một trong bốn công cụ quản trị hệ thống Active Directory thì công cụ Active Directory User and Computer là công cụ quan trọng nhất. Công cụ này có chức năng tạo và quản lý các đối tượng cơ bản của hệ thống Active Directory. Theo hình trên chúng ta thấy trong miền có các mục sau:  Builtin: chứa các nhóm người dùng đã được tạo và định nghĩa quyền sẵn.  Computers: chứa các máy trạm mặc định đang là thành viên của miền. Bạn cũng có thể dùng tính năng này để kiểm tra một máy trạm gia nhập vào miền có thành công không. 104.

(106) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Domain Controllers: chứa các điều khiển vùng (Domain Controller) hiện đang hoạt động trong miền. Bạn cũng có thể dùng tính năng này để kiểm tra việc tạo thêm Domain Controller đồng hành có thành công không.  ForeignSecurityPrincipals: là một vật chứa mặc định dành cho các đối tượng bên ngoài miền đang xem xét, từ các miền đã thiết lập quan hệ tin cậy (trusted domain).  Users: chứa các tài khoản người dùng mặc định trên miền.. VIII. Quản lý tài khoản người dùng và nhóm VIII.1. Tạo mới User trong Domain Sau khi đã tạo một Domain Controller.Tiếp theo là tạo user trên domain.  Mở Server Manager.Click Roles  Active Directory Domain Services  Active Directory Users and Computers.Sau đó click vào domain.  Nhấp chuột phải vào User và chọn New  User.  Tại bảng New Object – User bạn điền đầy đủ các thông tin vào mục First name,Last name, Full name. Lưu ý : tại mục User logon name.Đây chính là tên tài khoản của bạn dùng để đăng nhập vào hệ domain.Vì thế phải nhớ chính xác,và phải đảm bảo tính duy nhất.. 105.

(107) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Chọn Next để tiếp tục.Xuất hiện bảng thiết lập password.Đây là mật khẩu của bạn ứng với tên tài khoản đã tạo ở trên,dùng để đăng nhập vào domain. Lưu ý là password phải thỏa mãn các chính sách mặc định của Windows Server 2008.Password ít nhất là 7 kí tự và phải có các thành phần sau : Các kí tự thường : a,b,c,d,e….. Các kí tự in hoa : A,B,C,D,E…. Các chữ số : 1,2,3,4,5…. Các kí tự đặc biệt : @,!,$,&,#.... Ở đây tôi sẽ thiết lập password là pass@word1 Lưu ý 4 dòng dưới : User must change password at next logon : bắt buộc user phải thay đổi password ở lần đăng nhập kế tiếp User cannot change password : user không có quyền thay đổi password Password never expires : password không có thời hạn qui định Account is disabled : vô hiệu hóa tài khoản. Ở đây tôi sẽ chọn User must change password at next logon để đảm bảo tính riêng tư cho user.. 106.

(108) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Chọn Next để tiếp tục.Ở bảng tiếp theo là thông tin về user chuẩn bị được tạo..  Chọn Finish để kết thúc. Tiếp theo,kiểm tra thử user đã được tạo .Click đúp vào User và kiểm tra. 107.

(109) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. VIII.2. Quản lý user VIII.2.1. Thiết lập thời gian user được phép đăng nhập vào domain  Nhấp chuột phải vào user vừa tạo và chọn Properties.  Theo mặc định,user được phép đăng nhập 24/24.Để thiết lập lại,chuyển qua tab Account và chọn Logon Hours..Tại đây bạn có thể thiết lập thời gian đăng nhập cho user.  Chọn khoảng thời gian và click vào ô Logon Denied để chặn thời gian truy cập của user.. 108.

(110) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Hình trên,tôi đã thiết lập để user này chỉ truy cập được vào 8h sáng đến 19h vào các ngày thứ 2 cho đến thứ 7.Sau đó chọn OK để hoàn tất. VIII.2.2. Thiết lập user đăng nhập máy tính Vì lí do bảo mật, không phải user nào cũng được đăng nhập vào các máy tính một cách tùy ý.Để thiết lập tính riêng tư và chỉ định máy tính nào user được phép sử dụng.Vào tab Account.Chọn Log On To.Chọn The following computers ,sau đó gõ tên máy tính mà user được phép đăng nhập.Sau đó chọn Add.Nếu bạn muốn bỏ thì click vào tên máy tính và chọn Remove.Hoặc muốn sửa tên thì click vào tên máy tính và chọn Edit..  Chọn OK để xác nhận. 109.

(111) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tại tab Account còn có các mục : o Unlock Account : khi bạn muốn mở khóa tài khoản thì chọn ô này o Account Options : thiết lập các chính sách về tài khoản. o Account Expire : thời gian để một account tồn tại.Nếu bạn chọn End of và chọn thời gian ở bên cạnh thì đến thời gian đó account sẽ hết hạn và sẽ mất.. VIII.2.3. Bảng chi tiết các tùy chọn liên quan tới user Tùy chọn. Ý nghĩa. You must change password at next logon. Người dùng sẽ phải thay đổi mật khẩu cho lần đăng nhập kế tiếp. User cannot change password. Người dùng không thể thay đổi mật khẩu. Password never expires. Mật khẩu không bao giờ hết hạn. Store password reversible encryption. using. Chỉ áp dụng với các tùy chọn này đối với các máy tính Apple. Account is disable. Tài khoản này sẽ tạm thời bị khóa. Smartcard is required interactive login. for. Tùy chọn này được dùng khi người dùng đăng nhập thông qua thẻ thông minh. Khi đó chỉ cần số PIN mà không cần phải khai báo username và password. Account is delegation. trusted. for. Account is sensitive cannot be delegation. and. Use DES encryption type for this account. Chỉ áp dụng cho tài khoản nào cần giành quyền truy cập vào tài nguyên với vai trò tài khoản khác Dùng với tài khoản tạm khách vãng lai để đảm bảo là tài khoản đó sẽ không được đại diện bởi một tài khoản khác Nếu được chọn thì hệ thống sẽ hỗ trợ DES (Data encryption Standard) với nhiều mức độ khác nhau. Tại tab General cho phép bạn điền đầy đủ và chi tiết về thông tin của user đó.. 110.

(112) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tại tab Address cho phép bạn điền thông tin về địa chỉ của user. 111.

(113) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Khóa tài khoản Sau khi đã thiết lập thông tin về user .Tại bảng Properties .Chọn OK để xác nhận thay đổi . Khi một tài khoản không sử dụng trong thời gian dài bạn nên khóa lại vì lý do bảo mật và an toàn hệ thống. Nếu bạn xóa tài khoản này đi thì không thể phục hồi lại được do đó ta chỉ tạm khóa. Trong công cụ Local Users and Groups, nhấp đôi chuột vào người dùng cần khóa, hộp thoại Properties của tài khoản xuất hiện. Trong Tab General, đánh dấu vào mục Account is disabled. Tab member Tab Member Of cho phép bạn xem và cấu hình tài khoản người dùng hiện tại là thành viên của những nhóm nào. Một tài khoản người dùng có thể là thành viên của nhiều nhóm khác nhau và nó được thừa hưởng quyền của tất cả các nhóm này. Muốn gia nhập vào nhóm nào bạn nhấp chuột vào nút Add, hộp thoại chọn nhóm sẽ hiện ra.. VIII.3. Group Bạn tạo và quản lý tài khoản nhóm trên Active Directory thông qua công cụ Active Directory Users and Computers. Trước khi tạo nhóm bạn phải xác định loại nhóm cần tạo, phạm vi hoạt động của nhóm như thế nào. Để tạo một group mới.  Nhấp chuột phải vào User và chọn New  Group..  Tại ô Group name gõ tên group.Sau đó chọn OK 112.

(114) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Kiểm tra lại group đã được tạo bằng cách click vào User. Để đưa user vào group  Nhấp chuột phải vào group và chọn Properties.Tại tab Member.Chọn Add..  Tại ô Enter the object name to select bạn gõ tên user muốn đưa vào group.Lưu ý tên user phải là tên bạn đã điền tại mục User logon name ở phần tạo user.  Sau khi gõ tên user bạn chọn Check Names để kiểm tra Và kết quả là tồn tại user này trên domain. 113.

(115) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Thử gõ tên một user khác.Chẳng hạn Nguyen Van A sau đó chọn Check Names để kiểm tra.Hệ thống sẽ thông báo An object name ―Nguyen Van A‖ cannnot be found…… Tên Nguyen Van A đã không tồn tại trên domain. Hoặc bạn cũng có thể tìm kiếm nâng cao bằng cách chọn Advance.. Sau khi thêm user vào group.Chọn OK để xác nhận. 114.

(116) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Ở tab Managed By ,bạn có thể điền tên user quản lý group bằng cách chọn Change và gõ tên vào ô Name .. Chọn OK để xác nhận.. IX. Local Security Policy (chính sách bảo mật cục bộ). Trong công tác quản trị mạng việc ứng dụng Group Policy vào công việc là điều không thể thiếu đối với bất cứ nhà quả trị mạng nào. Với Group Policy ta có thể tùy 115.

(117) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. biến Windows theo chủ ý mà với người sử dụng thông thường không thể làm được Local Security Policy (chính sách bảo mật cục bộ). Có 2 cách vào Local Security Policy:  Cách 1: Vào start -> run -> gõ lệnh ―Secpol.msc‖  Cách 2: Start Menu -> Programs -> Administrative Tools -> Local Security Policy. IX.1 Account Policy IX.1.1 Password policy Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu của người dùng để tránh các trường hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép bạn quy định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu, …. Trong này bao gồm các mục: # Password must meet complexity … : khi đặt password cho wins phải có đủ độ phức tạp.(hoa, thường, số, ký tự đặc biệt) Mặc định tính năng này sẽ bị disable, để gia tăng chế độ bảo mật bạn nên Enable nó lên # Minimum password age: mặc định giá trị này là 0 nếu ta thay nó bằng con số khác 0 VD là 3 chẳng hạn thì user chỉ có quyền thay đổi password 3 ngày một lần mà thôi. # Minimum password length: Để gia tăng chế độ bảo mật bạn nên Enable tính năng này lên với giá trị >8 để cho độ dài của password user luôn ở mức an toàn cao. 116.

(118) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. # Enforce password history: nhớ bao nhiêu password không cho đặt trùng. # Store password using reversible … : mã hoá password.. IX.1.2 Account lockout policy Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp hạn chế tấn công thông qua hình thức logon từ xa.. # Account lockout threshold: để khoá account khi đăng nhập sai. Bạn nên cho giá trị này là 3 để tránh tình trạng hacker cố gắng dò tìm password của bạn, vì nếu hacker dò pass sai quá 3 lần account này sẽ bị lock trong vòng 30 phút. Nếu user đăng nhập sai quá 3 lần dẫn đến account user này bị lock bạn có thể unlock cho account này ngay tức thì bằng cách đăng nhập vào với quyền Administrator sau đó chọn Computer Management -> Local user and group -> User Sau đó double click vào account bị lock bỏ chọn mục Account is locked out. # Account lockout duration: khoá account trong 30 phút khi đang nhập sai. # Reset account lockout counter after: xoá bộ nhớ đánh pass.. IX.2 Local policy Chính sách cục bộ (Local Policies) cho phép bạn thiết lập các chính sách giám sát các đối tượng trên mạng như người dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này bạn có thể cấp quyền hệ thống cho các người dùng và thiết lập các lựa chọn bảo mật. 117.

(119) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. IX.2.1 Audit Policies Chính sách kiểm toán (Audit Policies) giúp bạn có thể giám sát và ghi nhận các sự kiện xảy ra trong hệ thống, trên các đối tượng cũng như đối với các người dùng. Bạn có thể xem các ghi nhận này thông qua công cụ Event Viewer, trong mục Security.. #Audit Account Logon Events: Kiểm toán những sự kiện khi tài khoản đăng nhập, hệ thống sẽ ghi nhận khi người dùng logon, logoff hoặc tạo một kết nối mạng #Audit Account Management : Hệ thống sẽ ghi nhận khi tài khoản người dùng hoặc nhóm có sự thay đổi thông tin hay các thao tác quản trị liên quan đến tài khoản người dùng. 118.

(120) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. IX.2.2 User rights assignment:. # Deny logon locally: chọn user không cho đăng nhập vào máy tính. # Change the system time: những người được thay đổi giờ hệ thống. # Shutdown the system: những người có quyền tắt máy. … và còn nhiều tính năng khác.. IX.2.3 Security options:. 119.

(121) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. # Interactive logon: Do not display last user name: Khi user logout máy cửa sổ đăng nhập sẽ không ghi lại account user vừa logon. # Interactive logon: Message text for users attempting to log on: Bạn có thể nhắn gởi một nội dung nào đó tới các user trước khi họ logon vào máy với nội dung nhắn gởi ở đây. # Interactive logon: Message title for users attempting to log on: Bạn nhập tiêu đề của hộp nội dung nhắn gởi vào đây.. X. Group Policy X.1 Chức năng của Group Policy Group Policy (GP) trên Windows Server 2008 cho phép bạn định nghĩa cấu hình trên các nhóm user và computer của hệ thống mạng.Chúng ta có thể sử dụng GP để tạo ra các chính sách và áp dụng cho các đối tượng trong Active Directory như site,domain và OU Những thiết lập trên GP được tổ chức lưu trữ trong các Group Policy Object (GPO) .Để tương tác với một GPO, bạn sử dụng công cụ Group Policy Management Console (GPMC) .GPMC còn giúp bạn liên kết một GPO đến một trong các đối tượng site,domain hoặc OU ,để từ đó áp dụng các chính sách lên các nhóm user và computer thuộc về đối tượng đó. Lưu ý rằng một OU là đối tượng ở mức thấp nhất để bạn có thể gán GPO.. X.2 Group Policy Management Console GMPC là công cụ quản lý GP đa năng, cho phép bạn tương tác với tất cả các GPO, Windows Management Instrumentation (WMI) filters và những đối tượng liên quan đến GP trên hệ thống. GMPC đem đến cho bạn những khả năng :  Backup và Restore GPO  Import và Copy GPO  Tìm kiếm các GPO Group Policy Modeling cho phép bạn tạo môi trường giả lập trong quá trình xây dựng kế hoạch triển khai GP trước khi bước vào giai đoạn triển khai thực tế Group Policy Results cho phép bạn thu thập thông tin về GP đã áp dụng cho các đối tượng cụ thể ,trên cơ sở đó ,giúp bạn giám sát và xử lí các sự cố xảy ra khi triển khai Starter GPOs là thành phần dùng để quản lý các Administratives Templates. 120.

(122) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Preferences bao gồm hơn 20 chức năng mở rộng của GP ,cho phép bạn thực hiện các thiết lập liên quan đến registry, tài khoản cục bộ, dịch vụ, file và thư mục.. X.2.1 Cài đặt GPMC  Để cài đặt GPMC vào Server Manager  Features  Add Features.  Sau đó chọn Group Policy Management và cài đặt bình thường .  Nếu bạn đã cài đặt dịch vụ ADDS, thành phần GMPC sẽ tự động cài đặt vào hệ thống. X.2.2 Tương tác với GPO  Để tạo một GPO độc lập vào Start  Administrative Tools  Group Policy Management  Tại cửa sổ GMPC, nhấp chuột phải lên mục Group Policy Objects và chọn New.  Tại bảng Name GPO nhập tên GPO và chọn OK..  Nhấp chuột phải vào GPO vừa tạo và chọn Edit. 121.

(123) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Tại bảng Group Policy Management Editor, chọn Polices cần cấu hình của Computer hoặc user Ở đây tôi sẽ ví dụ mẫu về Password Policy ở mục Computer Configuration.Tôi sẽ thiết lập một số chính sách về password. Click chuột đến mục Password Policy trong Computer Configuration  Polices  Windows Settings  Security Settings  Account Policy  Password Policy Ở đây có 6 mục:  Enforce password history : số lượng password bắt buộc phải lưu trữ  Maximum password age : thời hạn tối đã để password này tồn tại.  Minimum password age : thời hạn tối thiểu để password này tồn tại  Minimum password length : số kí tự tối thiểu của password  Password must meet complexity requirements : password phải thỏa mãn việc có các kí tự (a,A,@,1…)  Store passwords using reversible encryption: lưu trữ password,sử dụng phương thức mã hóa.. X.2.3 Liên kết GPO vào các đối tượng Sau khi tạo các GPO độc lập, bạn cần thực hiện thao tác liên kết GPO này vào các loại đối tượng trên Active Directory là site, domain hay OU. Đây là phương pháp thuận lợi và hiệu quả nhất để áp dụng các chính sách đã thiết lập lên các nhóm user và computer. Cần lưu ý rằng mỗi GPO có thể liên kết đến nhiều đối tượng trên Active Directory. 122.

(124) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Trước khi liên kết GPO vào các đối tượng trên Active Directory, bạn cần tạo ra các đối tượng này. Ở đây chúng ta sẽ tạo các OU.  Vào Server Manager  Roles  Active Directory Domain Services  Active Directory Users and Computers.Nhấp chuột phải vào tên domain và chọn New  Organization Unit  Gõ tên đối tượng vào.  Chọn OK. Tiếp theo là tạo user và computer trong OU này. Nhấp chuột phải vào OU và chọn New  User hoặc chọn Computer. Sau khi đã tạo xong, bạn sử dụng GMPC để liên kết GPO vào OU.  Vào Start  Adminitrative Tools  Group Policy Management.  Nhấp chuột phải vào OU và chọn Link an Existing GPO. 123.

(125) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Trong bảng Select GPO chọn tên domain ở mục Look in this domain.Đồng thời chọn GPO tương ứng ở mục Group Policy objects..  Chọn OK để hoàn tất.. X.2.4 Tạo một GPO liên kết Thay vì tạo các GPO độc lập,sau đó tiến hành liên kết ,bạn có thể kết hợp hai công việc này vào một để tạo ra một GPO liên kết (linked GPO).Tuy nhiên ,bạn chỉ nên tạo trực tiếp GPO liên kết khi đã có kinh nghiệm triển khai GPO và am hiểu về hệ thống của mình.  Vào Start  Administrative Tools  Group Policy Management 124.

(126) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tại GPM, nhấp chuột phải vào GPO và chọn Create a GPO in this domain, and Link it here.  Tại bảng New GPO nhập tên GPO và chọn OK.  Lúc này, GPO mới đã được tạo,đồng thời liên kết đến OU mà bạn đã tương tác..  Nếu bạn muốn hủy GPO khỏi OU này, click vào GPO đó. Tại khung bên phải, tab Scope, nhấp chuột phải vào OU đó và chọn Delete Link (s). 125.

(127) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Thao tác trên chỉ là hủy liên kết GPO đến OU, nếu bạn muốn xóa GPO thì nhấp chuột phải vào GPO đó và chọn Delete. Lưu ý: trước khi xóa bỏ GPO bạn phải hủy các liên kết của GPO đó với OU trên domain .. X.2.5 Tương tác mở rộng với GPO Công cụ GPMC cho phép bạn dễ dàng thực hiện các thao tác như :backup, restore, copy và import các GPO đang được triển khai. Khả năng này là một ưu điểm rất quan trọng trong quá trình quản lý các GPO trên hệ thống mạng,giúp bạn tiết kiệm thời gian, đồng thời tăng tính chính xác và ổn định của hệ thống. X.2.5.1 Tạo bản sao lưu (Backup) Để backup cho tất cả các GPO: nhấp chuột phải vào Group Policy Objects và chọn Back Up All. 126.

(128) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tại bảng Backup Group Policy Objects, chọn đường dẫn lưu GPO ở mục Location và nhập chú thích ở mục Description ..  Sau đó chọn Back Up và đợi hệ thống tiến hành backup.. 127.

(129) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Sau khi hoàn tất chọn OK. Để backup một GPO cụ thể: nhấp chuột phải lên GPO đó và chọn Back up và cũng tiến hành tương tự việc backup cho tất cả các GPO. Sau khi đã backup xong, bạn có thể quản lý GPO bằng chức năng Manage Backup  Nhấp chuột phải vào Group Policy Objects và chọn Manage Backup.  Tại bảng Manage Backups, ở mục Backup location, chọn Browse và tới đường dẫn thư mục đã backup. Sau đó, danh sách các GPO sẽ xuất hiện ở muc Backed up GPOs 128.

(130) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Nếu bạn muốn chỉ hiển thị các GPO được backup gần với thời điểm hiện tại nhất, bạn đánh dấu chọn Show only the lastest version of each GPO Nếu bạn muốn xem chi tiết các thiết lập trong GPO thì chọn GPO đó và chọn View Settings..  Để xóa GPO đã backup, bạn chọn GPO và chọn Delete. 129.

(131) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. X.2.5.2 Phục hồi (Restore) Nếu đã có backup thì chắc chắn sẽ có restore. Để restore một GPO  Nhấp chuột phải vào GPO đó và chọn Restore from Backup...  Tại bảng Welcome to the Restore Group Policy Object Wizard chọn Next..  Tại bảng Backup location chọn Browse chỉ đường dẫn thư mục đã backup. 130.

(132) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Chọn Next để tiếp tục. Tại bảng Backed up GPOs, chọn GPO muốn restore..  Chọn Next. Tại bảng Completing chọn Finish để hoàn tất. 131.

(133) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Đợi hệ thống restore GPO, sau khi hoàn tất chọn OK.  Để kiểm tra, click vào GPO đó, tại khung bên phải, ở tab Settings. Xem lại thời gian cũng như các thiết lập.. 132.

(134) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. X.2.6 Starter GPOs X.2.6.1 Giới thiệu Starter GPOs là một thành phần trên GMPC, cho phép bạn quản lý các template dùng để tạo ra các GPO. Starter GPOs chỉ hỗ trợ các thiết lập trên Administrative Templates, giúp bạn thực hiện các thao tác với Administrative Templates như tạo lập, tùy chỉnh, import, export….một cách dễ dàng và nhanh chóng. Trong phần này, chúng ta sẽ thực hành tạo lập các Starter GPOs, sau đó tạo ra GPO mới với template là các Starter GPO này.. X.2.6.2 Tạo Starter GPO  Vào Start  Administrative Tools  Group Policy Management.  Click vào Starter GPOs và chọn Create Starter GPOs Folder. 133.

(135) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Nhấp chuột phải vào Starter GPOs và chọn New. Trong bảng New Starter GPO nhập tên của Starter GPO.  Chọn OK.  Tiếp theo, nhấp chuột phải lên Starter GPO vừa tạo và chọn Edit. 134.

(136) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tại bảng Group Policy Starter GPO Editor cho phép bạn thiết lập cấu hình  Sau khi đã thiết lập xong, đóng GPM Editor. X.2.7 Tạo GPO từ Starter GPO Để tạo GPO mới từ Starter GPO:  Nhấp chuột phải vào Starter GPO đó và chọn New GPO from Starter GPO.  Tại bảng New GPO gõ tên GPO vào -> sau đó chọn OK. 135.

(137) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XI. Dịch vụ DHCP XI.1 Giới thiệu dịch vụ DHCP Dynamic Host Configuration Protocol (DHCP) là một dịch vụ cơ sở hạ tầng có trên bất kì một hệ thống mạng nào nhằm cung cấp địa chỉ IP và thông tin DNS server tới các "PC client" hay một số thiết bị khác. DHCP được sử dụng để giúp bạn không phải ấn định địa chỉ IP tĩnh cho tất cả các thiết bị có trong hệ thống mạng của mình và giúp bạn quản lí mọi vấn đề mà địa chỉ IP tĩnh có thể tạo ra. Qua từng thời kì, DHCP ngày càng phát triển để có thể thích hợp trong từng dịch vụ mạng mới giống như "Windows Health Service" hay "Network Access Protection (NAP)".. XI.2 Cài đặt DHCP Server Việc cài đặt Windows Server 2008 DCHP Server hoàn toàn dễ dàng. DHCP Server hiện là một ―role‖ của Windows Server 2008  Trên máy DHCP Server, đặt địa chỉ IP tĩnh, có dải IP muốn sử dụng cho các máy khách, các địa chỉ IP của máy chủ DNS và cổng mặc định  Từ cửa sổ Initial Configuration Tasks hoặc từ Server Manager > Roles > Add Roles, click Add Roles  Khi Add Roles Wizard xuất hiện, click Next  Tiếp đến, chọn thành phần muốn bổ sung, DHCP Server Role, sau đó kích Next > Next.  Nhập Parent Domain, Primary DNS Server, và Alternate DNS Server và click Next 136.

(138) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Click Add để bổ sung thêm một phạm vi mới, đặt tên Scope WBC-Local, đã cấu hình địa chỉ IP bắt đầu và kết thúc là 192.168.1.50-192.168.1.100, subnet mask là 255.255.255.0, default gateway là 192.168.1.1, kiểu subnet (chạy dây), và activated the scope..  Chọn Disable DHCPv6 stateless mode cho máy chủ và click Next -> xác nhận DHCP Installation Selections -> Install  Sau đó, DHCP Server sẽ được cài đặt và chúng ta sẽ thấy một cửa sổ xuất hiện.. 137.

(139) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Cài đặt Windows Server 2008 DHCP Server thành công -> click Close. XI.3 Quản lý DHCP Server Trong Server Manager, trong Roles, kích chọn entry DHCP Server. Do không thể quản lý các phạm vi DHCP Server và các máy khách tại đây nên những gì chúng ta có thể thực hiện là quản lý những sự kiện, dịch vụ và tài nguyên gì có liên 138.

(140) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. quan đến cài đặt DHCP Server. Chính vì vậy, đây là nơi tốt để kiểm tra trạng thái của DHCP Server và những sự kiện gì đã xảy ra xung quanh nó. Để cấu hình DHCP Server và xem những máy khách nào đã thu được các địa chỉ IP, chúng ta cần vào DHCP Server MMC. Thực hiện điều đó, bạn cần vào Start > Administrative Tools > DHCP Server. Khi khởi chạy, MMC sẽ cung cấp rất nhiều tính năng.. DHCP Server MMC cung cấp các thông tin IPv4 và IPv6 DHCP Server gồm tất cả scope, pool, lease, reservation, scope options và server option. Nếu vào address pool và scope options, chúng ta có thể thấy cấu hình mình đã tạo khi cài đặt DHCP Server. Dải địa chỉ IP nằm ở đây và DNS Server và gateway mặc định cũng vậy.. Address Pool của DHCP Server 139.

(141) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Scope Options của DHCP Server. XI.4 Kiểm tra DHCP Server Kiểm tra sự cấp phát động IP từ máy server tới các máy trạm  Sử dụng máy trạm Windows Vista trên cùng đoạn mạng với Windows Server 2008 DHCP server.  Start -> run -> gõ lệnh cmd  Trong môi trường DOS, gõ 2 dòng lệnh IPCONFIG /RELEASE sau đó là IPCONFIG /RENEW. Ta thấy, Vista client đã nhận địa chỉ IP từ DHCP Server mới.  Vào Windows 2008 Server, thẩm định Vista client mới đã được liệt kê với tư cách máy khách trong máy chủ DHCP.. 140.

(142) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Nhận thấy, máy khách đã được nhận dải IP tự động cùng dải với máy chủ DHCP server, và trên máy chủ xuất hiện địa chỉ IP kèm tên máy khách.. XII. Dịch vụ DNS XII.1 Giới thiệu DNS Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhau cần phải biết rõ địa chỉ IP của nhau. Nếu số lượng máy tính nhiều thì việc nhớ những địa chỉ IP này rất là khó khăn. Mỗi máy tính ngoài địa chỉ IP ra còn có một tên (hostname). Đối với con người việc nhớ tên máy dù sao cũng dể dàng hơn vì chúng có tính trực quan và gợi nhớ hơn địa chỉ IP. Vì thế, người ta nghĩ ra cách làm sao ánh xạ địa chỉ IP thành tên máy tính. Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy chủ phục vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên - Resolver. Name Server chứa các thông tin CSDL của DNS, còn Resolver đơn giản chỉ là các hàm thư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name Server. DNS được thi hành như một giao thức tầng Application trong mạng TCP/IP. DNS là 1 CSDL phân tán. Điều này cho phép người quản trị cục bộ quản lý phần dữ liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dể dàng truy cập được trên toàn bộ hệ thống mạng theo mô hình Client-Server. Hiệu suất sử dụng dịch vụ được tăng cường thông qua cơ chế nhân bản (replication) và lưu tạm (caching). Một hostname trong domain là sự kết hợp giữa những từ phân cách nhau bởi dấu chấm(.).. 141.

(143) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Sơ đồ tổ chức DNS Cơ sở dữ liệu(CSDL) của DNS là một cây đảo ngược. Mỗi nút trên cây cũng lại là gốc của 1 cây con. Mỗi cây con là 1 phân vùng con trong toàn bộ CSDL DNS gọi là 1 miền (domain). Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là các miền con (subdomain). Mỗi domain có 1 tên (domain name). Tên domain chỉ ra vị trí của nó trong CSDL DNS. Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút đó đi ngược lên nút gốc của cây và phân cách nhau bởi dấu chấm. Tên nhãn bên phải trong mỗi domain name được gọi là top-level domain.. Vì sự quá tải của những domain name đă tồn tại, do đó đă làm phát sinh những toplevel domain mới. Bảng sau đây liệt kê những top-level domain mới.. Bên cạnh đó, mỗi nước cũng có một top-level domain. Ví dụ top-leveldomain của Việt Nam là .vn, Mỹ là us. Dưới đây là tên miền của các quốc gia.. 142.

(144) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XII.2 Đặc điểm của DNS Đặc điểm của DNS:  Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theo tên domain trong yêu cầu truy vấn.  Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn.  Đồng bộ các DNS zone trong Active Directory (DNS zone replication in Active Directory).  Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trước đây.  Luân chuyển (Round robin) tất cả các loại RR.  Cung cấp nhiều cơ chế ghi nhận và theo dơi sự cố lỗi trên DNS.  Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone.  Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép DNS Requestor quảng bá những zone transfer packet có kích thước lớn hơn 512 byte. Windows Server 2008 cung cấp một cải tiến mới với dịch vụ DNS Server nhầm cải thiện một số tính năng được thực hiện trong DNS và diển hình là tính năng nổi bật đă có trong DNS Server 2008 là DNS Server Role. Chức năng của DNS Server Role:  Background zone loading: Máy chủ DNS mà máy chủ lưu trữ lớn về DNS được lưu trong Active Directory Domain Services (AD DS) có thể đáp ứng cho người dùng một cách nhanh hơn khi họ khởi động lại, Vì dữ liệu khu vực hiện đang được nạp trong nền. IP phiên bản 6 (IPv6): Các dịch vụ DNS Server bây giờ hỗ trợ đầy đủ các địa chỉ dài hơn của các đặc điểm kỹ thuật IPv6.  Read Only Domain Controller: DNS Server role trong Windows Server 2008 cung cấp các khu tiểu học chỉ đọc trên RODCs.  Global single names: GlobalNames Khu cung cấp phân giải tên đơn nhãn cho các mạng doanh nghiệp lớn mà không triển khai Windows Internet Name Service (WINS). Khu GlobalNames rất hữu ích khi sử dụng tên DNS hậu tố để cung cấp phân giải tên đơn nhãn là không thực tế. 143.

(145) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Global query block list: Người dùng của các giao thức như các giao thức Web Proxy Auto-Discovery Protocol (wpad) và Intra-site Automatic Tunnel Addressing Protocol (ISATAP) phụ thuộc vào độ phân giải tên DNS để giải quyết tên máy chủ nổi tiếng là dể bị nguy hiểm người dùng sử dụng cập nhật đến để đăng kư máy chủ mà đặt ra như là máy chủ hợp pháp. DNS Server role trong Windows Server 2008 cung cấp một danh sách truy vấn chặn toàn cầu có thể giúp làm giảm tổn thương.. XII.3 Một số khái niệm cơ bản XII.3.1 Domain name và Zone Một miền gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain). Ví dụ, miền ca bao gồm nhiều miền con như ab.ca, on.ca, qc.ca,... Bạn có thể ủy quyền một số miền con cho những DNS Server khác quản lý. Những miền và miền con mà DNS Server được quyền quản lý gọi là zone. Như vậy, một Zone có thể gồm một miền, một hay nhiều miền con. hình sau mô tả sự khác nhau giữa zone và domain.. Sơ đồ Zone và Domain.  Primary zone : Cho phép đọc và ghi cơ sở dữ liệu.  Secondary zone : Cho phép đọc bản sao cơ sở dữ liệu.  Stub zone : chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa một vài RR.. XII.3.2 Fully qualified domain name Mỗi nút trên cây có một tên gọi(không chứa dấu chấm) dài tối đa 63 kư tự. Tên rỗng dành riêng cho gốc (root) cao nhất và biểu diển bởi dấu chấm. Một tên miền đầy đủ của một nút chính là chuỗi tuần tự các tên gọi của nút hiện tại đi ngược lên nút gốc, mỗi tên gọi cách nhau bởi dấu chấm. Tên miền có xuất hiện dấu chấm sau cùng được gọi là tên tuyệt đối (absolute) khác với tên tương đối là tên không kết thúc bằng dấu 144.

(146) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. chấm. Tên tuyệt đối cũng được xem là tên miền đầy đủ đă được chứng nhận (Fully Qualified Domain Name - FQDN).. XII.3.3 Sự ủy quyền Một trong các mục tiêu khi thiết kế hệ thống DNS là khả năng quản lý phân tán thông qua cơ chế uỷ quyền (delegation). Trong một miền có thể tổ chức thành nhiều miền con, mỗi miền con có thể được uỷ quyền cho một tổ chức khác và tổ chức đó chịu trách nhiệm duy trì thông tin trong miền con này. Khi đó, miền cha chỉ cần một con trỏ trỏ đến miền con này để tham chiếu khi có các truy vấn. Không phải một miền luôn luôn tổ chức miền con và uỷ quyền toàn bộ cho các miền con này, có thể chỉ có vài miền con được ủy quyền.. XII.3.4 Forwarders Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các Name Server khác để phân giải các miền bên ngoài.. Sơ đồ Forward DNS queries. XII.3.5 Stub zone Là zone chứa bảng sao cơ sở dữ liệu DNS từ master name server, Stub zone chỉ chứa các resource record cần thiết như : A, SOA, NS, một hoặc vài địa chỉ của master name server hỗ trợ cơ chế cập nhật Stub zone, chế chứng thực name server trong zone và cung cấp cơ chế phân giải tên miền được hiệu quả hơn, đơn giản hóa công tác quản trị.. 145.

(147) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Sơ đồ Stub zone. XII.3.6 Dynamic DNS Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần xuất thay đổi cao. Dịch vụ DNS động (Dynamic DNS) cung cấp một chương trình đặc biệt chạy trên máy tính của người sử dụng dịch vụ dynamic DNS gọi là Dynamic Dns Client. Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS khi địa chỉ IP của host thay đổi và sau đó update thông tin vào cơ sở dữ liệu DNS về sự thay đổi địa chỉ đó. DNS Client đăng ký và cập nhật resource record của nó bằng cách gởi dynamic update.. Sơ đồ Dynamic update. Các bước DHCP Server đăng ký và cập nhật resource record cho Client.. 146.

(148) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Active Directory - Integrated zone. Sử dụng Active Directory-integrated zone có một số thuận lợi sau:  DNS zone lưu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu được bảo mật hơn.  Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ sở dữ liệu DNS.  Sử dụng secure dynamic update.  Sử dụng nhiều master name server để quản lý tên miền thay Vì sử dụng một master name server.. Sơ đồ sercure dynamisc update.. 147.

(149) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XII.4 Cơ chế phân giải tên XII.4.1 Cơ chế phân giải tên máy tính thành IP Root name server: Là máy chủ quản lý các name server ở mức top-level domain. Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp tên và địa chỉ IP của name server quản lý top-level domain (Thực tế là hầu hết các root server cũng chính là máy chủ quản lý top-level domain) và đến lượt các name server của top-level domain cung cấp danh sách các name server có quyền trên các second-level domain mà tên miền này thuộc vào. Cứ như thế đến khi nào tìm được máy quản lý tên miền cần truy vấn. Qua trên cho thấy vai trò rất quan trọng của root name server trong quá trình phân giải tên miền. Nếu mọi root name server trên mạng Internet không liên lạc được thì mọi yêu cầu phân giải đều không thực hiện được.. Sơ đồ phân giải Hostname thành IP. Client gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên girigiri.gbrmpa.gov.au đến name server cục bộ. Khi nhận yêu cầu từ Resolver, Name Server cục bộ sẽ phân tích tên này và xét xem tên miền này có do mình quản lý hay không. Nếu tên miền do Server cục bộ quản lý, nó sẽ trả lời địa chỉ IP của tên máy đó ngay cho Resolver. Ngược lại, server cục bộ sẽ truy vấn đến một Root Name Server gần nhất mà nó biết. Root Name Server sẽ trả lời địa chỉ IP của Name Server quản lý miền au. Máy chủ name server cục bộ lại hỏi tiếp name server quản lý miền au và được tham chiếu đến máy chủ quản lý miền gov.au. Máy chủ quản lý gov.au chỉ dẫn máy name server cục bộ tham chiếu đến máy chủ quản lý miền 148.

(150) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. gbrmpa.gov.au. Cuối cùng máy name server cục bộ truy vấn máy chủ quản lý miền gbrmpa.gov.au và nhận được câu trả lời. Truy vấn có thể ở 2 dạng:  Truy vấn đệ quy (recursive query): khi name server nhận được truy vấn dạng này, nó bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không phân giải được. Name server không thể tham chiếu truy vấn đến một name server khác. Name server có thể gửi truy vấn dạng đệ quy hoặc tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả mới thôi..  Truy vấn tương tác (Iteractive query): khi name server nhận được truy vấn dạng này, nó trả lời cho Resolver với thông tin tốt nhất mà nó có được vào thời điểm lúc đó. Bản thân name server không thực hiện bất cứ một truy vấn nào thêm. Thông tin tốt nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong trường hợp name server không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của name server gần nhất mà nó biết.. 149.

(151) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XII.4.2 Cơ chế phân giải IP thành tên máy tính Ánh xạ địa chỉ IP thành tên máy tính được dùng để diển dịch các tập tin log cho dể đọc hơn. Nó còn dùng trong một số trường hợp chứng thực trên hệ thống UNIX (kiểm tra các tập tin .rhost hay host.equiv). Trong không gian tên miền đă nói ở trên dữ liệu -bao gồm cả địa chỉ IP- được lập chỉ mục theo tên miền. Do đó với một tên miền đă cho việc tìm ra địa chỉ IP khá dể dàng. Để có thể phân giải tên máy tính của một địa chỉ IP, trong không gian tên miền người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục theo địa chỉ IP. Phần không gian này có tên miền là in-addr.arpa. Mỗi nút trong miền in-addr.arpa có một tên nhăn là chỉ số thập phân của địa chỉ IP. Ví dụ miền in-addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0 đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256 subdomain con nữa ứng với byte thứ hai. Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng. Lưu ý: khi người dùng gõ vào trình duyệt web một địa chỉ domain name bất kỳ thì quá trình này sẽ dọc tên miền có địa chỉ IP theo thứ tự ngược.. XII.5 Phân loại Domain name Server Có nhiều loại Domain Name Server được tổ chức trên Internet. Sự phân loại này tùy thuộc vào nhiệm vụ mà chúng sẽ đảm nhận. Tiếp theo sau đây mô tả những loại Domain Name Server.. XII.5.1 Primary Name Server Mỗi miền phải có một Primary Name Server. Server này được đăng kí trên Internet để quản lý miền. Mọi người trên Internet đều biết tên máy tnh và địa chỉ IP của Server này. Người quản trị DNS sẽ tổ chức những tập tin CSDL trên Primary Name Server. Server này có nhiệm vụ phân giải tất cả các máy trong miền hay zone.. XII.5.2 Secondary Name Server Mỗi miền có một Primary Name Server để quản lý CSDL của miền. Nếu như Server này tạm ngưng hoạt động Vì một lý do nào đó thì việc phân giải tên máy tính thành địa chỉ IP và ngược lại xem như bị gián đoạn. Việc gián đoạn này làm ảnh hưởng rất lớn đến những tổ chức có nhu cầu trao đổi thông tin ra ngoài Internet cao. Nhằm khắc phục nhược điểm này, những nhà thiết kế đă đưa ra một Server dự p ng gọi là Secondary(hay Slave) Name Server. Server này có nhiệm vụ sao lưu tất cả những dữ liệu trên Primary Name Server và khi Primary Name Server bị gián đoạn thì nó sẽ đảm nhận việc phân giải tên máy tính thành địa chỉ IP và ngược lại. Trong một miền có thể có một hay nhiều Secondary Name Server. Theo một chu 150.

(152) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. kỳ, Secondary sẽ sao chép và cập nhật CSDL từ Primary Name Server. Tên và địa chỉ IP của Secondary Name Server cũng được mọi người trên Internet biết đến.. XII.5.3 Caching Name Server Caching Name Server không có bất kỳ tập tin CSDL nào. Nó có chức năng phân giải tên máy trên những mạng ở xa thông qua những Name Server khác. Nó lưu giữ lại những tên máy đă được phân giải trước đó và được sử dụng lại những thông tin này nhằm mục đích:  Làm tăng tốc độ phân giải bằng cách sử dụng cache.  Giảm bớt gánh nặng phân giải tên máy cho các Name Server. + Giảm việc lưu thông trên những mạng lớn.. Sơ đồ Bảng cache. 151.

(153) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XII.6 Resource Record Resource Record (RR) là mẫu thông tin dùng để mô tả các thông tin về cơ sở dữ liệu DNS, các mẫu tin này được lưu trong các file cơ sở dữ liệu DNS (\systemroot\system32\dns).. Sơ đồ Cơ Sở Dữ Liệu. XII.6.1 SOA Record Trong mỗi tập tin CSDL phải có một và chỉ một record SOA (start of authority). Record SOA chỉ ra rằng máy chủ Name Server là nơi cung cấp thông tin tin cậy từ dữ liệu có trong zone. Cú pháp của record SOA..  Serial: Áp dụng cho mọi dữ liệu trong zone và là 1 số nguyên. Trong ví dụ, giá trị này bắt đầu từ 1 nhưng thông thường người ta sử dụng theo định dạng thời gian như 1997102301. Định dạng này theo kiều YYYYMMDDNN, trong đó YYYY là năm, MM là tháng, DD là ngày và NN số lần sửa đổi dữ liệu zone trong ngày. Bất kể là theo định dạng nào, luôn luôn phải tăng số này lên mỗi lần sửa đổi dữ liệu zone. Khi máy máy chủ Secondary liên lạc với máy chủ Primary, trước tiên nó sẽ hỏi số serial. Nếu số serial của máy Secondary nhỏ hơn số serial của máy Primary tức là dữ liệu zone trên Secondary đă cũ và sau đó máy Secondary sẽ sao chép dữ liệu mới từ máy Primary thay cho dữ liệu đang có hiện hành.. 152.

(154) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Refresh: Chỉ ra khoảng thời gian máy chủ Secondary kiểm tra dữ liệu zone trên máy Primary để cập nhật nếu cần. Trong ví dụ trên thì cứ mỗi 3 giờ máy chủ Secondary sẽ liên lạc với máy chủ Primary để cập nhật dữ liệu nếu có. Giá trị này thay đổi tuỳ theo tần suất thay đổi dữ liệu trong zone.  Retry: nếu máy chủ Secondary không kết nối được với máy chủ Primary theo thời hạn mô tả trong refresh (ví dụ máy chủ Primary bị shutdown vào lúc đó thì máy chủ Secondary phải tìm cách kết nối lại với máy chủ Primary theo một chu kỳ thời gian mô tả trong retry. Thông thường giá trị này nhỏ hơn giá trị refresh.  Expire: Nếu sau khoảng thời gian này mà máy chủ Secondary không kết nối được với máy chủ Primary thì dữ liệu zone trên máy Secondary sẽ bị quá hạn. Một khi dữ liệu trên Secondary bị quá hạn thì máy chủ này sẽ không trả lời mọi truy vấn về zone này nữa. Giá trị expire này phải lớn hơn giá trị refresh và giá trị retry.  TTL: Viết tắt của time to live. Giá trị này áp dụng cho mọi record trong zone và được đính kèm trong thông tin trả lời một truy vấn. Mục đích của nó là chỉ ra thời gian mà các máy chủ Name Server khác cache lại thông tin trả lời. Việc cache thông tin trả lời giúp giảm lưu lượng truy vấn DNS trên mạng.. XII.6.2 NS Record Record tiếp theo cần có trong zone là NS (name server) record. Mỗi Name Server cho zone sẽ có một NS record. Cú pháp:. XII.6.3 A Record và CNAME Record Record A (Address) ánh xạ tên máy (hostname) vào địa chỉ IP. Record CNAME (canonical name) tạo tên bí danh alias trỏ vào một tên canonical. Tên canonical là tên host trong record A hoặc lại trỏ vào 1 tên canonical khác.. 153.

(155) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XII.6.4 AAA Record Ánh xạ tên máy (hostname) vào địa chỉ IP version 6. Riêng đối với IP V6 chỉ có thể có trong các hệ điều hành sau: Windows Vista, Windows Server 2008, Windows7.. XII.6.5 ARV Record Cung cấp cơ chế định vị dịch vụ, Active Directory sử dụng Resource Record này để xác định Domain controllers, global catalog servers, Lightweight Directory Access Protocol (LDAP) servers. Các field trong SVR:  Tên dịch vụ service.  Giao thức sử dụng.  Tên miền (domain name). + TTL và class.  Priority.  Weight (hỗ trợ load balancing). + Port của dịch vụ.  Target chỉ định FQDN cho host hỗ trợ dịch vụ.. XII.6.6 MX Record DNS dùng record MX trong việc chuyển mail trên mạng Internet. Ban đầu chức năng chuyển mail dựa trên 2 record: record MD (mail destination) và record MF (mail forwarder) records. MD chỉ ra đích cuối cùng của một thông điệp mail có tên miền cụ thể. MF chỉ ra máy chủ trung gian sẽ chuyển tiếp mail đến được máy chủ đích cuối cùng. Tuy nhiên, việc tổ chức này hoạt động không tốt. Do đó, chúng được tích hợp lại thành một record là MX. Khi nhận được mail, trình chuyển mail (mailer) sẽ dựa vào record MX để quyết định đường đi của mail. Record MX chỉ ra một mail exchanger cho một miền - mail exchanger là một máy chủ xử lý (chuyển mail đến mailbox cục bộ hay làm gateway chuyền sang một giao thức chuyển mail khác như UUCP) hoặc chuyển tiếp mail đến một mail exchanger khác (trung gian) gần với 154.

(156) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. mình nhất để đến tới máy chủ đích cuối cùng hơn dùng giao thức SMTP (Simple Mail Transfer Protocol). Để tránh việc gửi mail bị lặp lại, record MX có thêm 1 giá trị bổ sung ngoài tên miền của mail exchanger là 1 số thứ tự tham chiếu. Đây là giá trị nguyên không dấu 16-bit (0-65535) chỉ ra thứ tự ưu tiên của các mail exchanger.. Chỉ ra máy chủ mail.groupsvit.net là một mail exchanger cho miền groupsvit.net với số thứ tự tham chiếu 10. Trình chuyển thư mailer sẽ thử phân phát thư đến mail exchanger có số thứ tự tham chiếu nhỏ nhất trước. Nếu không chuyển thư được thì mail exchanger với giá trị kế sau sẽ được chọn. Trong trường hợp có nhiều mail exchanger có cùng số tham chiếu thì mailer sẽ chọn ngẫu nhiên giữa chúng.. XII.6.7 PTR Record Record PTR (pointer) dùng để ánh xạ địa chỉ IP thành Hostname.. XII.7 Cài đặt dịch vụ DNS Bạn có thể cài đặt dịch vụ DNS một cách tự động trong quá trình nâng cấp máy tính lên Domain Controller. Nếu Bạn không muốn cài đặt dịch vụ DNS trong quá trình nâng cấp. Bạn cũng có thể cài đặt và cấu hình dịch vụ DNS sau. Các bước tiến hành cài đặt và cấu hình dịch vụ DNS.  Hộp thoại Select Server Roles đánh dấu chọn vào DNS Server sau đó Click chọn Next để cài đặt dịch vụ này vào máy tính.. 155.

(157) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại DNS Server giữ nguyên mặc định Click chọn Next -> Chọn Install. XII.8 Cấu hình dịch vụ DNS XII.8.1 Tạo Forward lookup zone Sau khi cài đặt thành công dịch vụ DNS Server ta tiến hành tạo các Resource và Records như sau:  Tại cửa sổ DNS Manager -> Click chuột phải vào Forword Lookup Zone chọn New Zone…. 156.

(158) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Welcome to the New Zone Wizard xuất hiện Bạn Click chọn Next.  Trong Hộp thoại Zone Type (Kiểu Zone bạn cần tạo) Chọn Primary zone sau đó Click chọn Next ..  Hộp thoại Active Directory Zone Replocation Scope đánh dấu chọn vào ô To all DNS Servers in this domain: GroupsvIT.Net -> click chọn Next.  Hộp thoại Zone Name Bạn nhập vào tên Domain vào ô Zone name tiếp tục Click Next.. 157.

(159) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Dynmic Update Click chọn vào Allow both nonseure and secure dynmic updates lựa chọn ỡ ô này thì viêc thiết lập DNS sẽ được cả 2 là vừa chế đệ bảo mật vào chế độ dynmisc updates đến Server, tiếp tục Click chọn Next để cấu hnh..  Hộp thoại Completing the New Zone Wizard Click chọn Finish.. 158.

(160) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XII.8.2 Tạo Reverse lookup zone  Tại cửa sổ DNS Manager Click chuột phải vào Reverse Lookup Zone chọn new Zone  Hộp thoại Welcome to the New Zone Wizard -> Click Next.  Hộp thoại Zone Type đánh dấu check vào ô Primary Zone sau đó Click chọn Next  Hộp thoại Active Directory Replication Scope Chọn To all DNS Servers in this domain Groupsvit.Net -> Click chọn Next.  Click chọn Ipv4 Reverse Lookup Zone -> Next  Hộp thoại Reverse Lookup Zone Name Nhập vào Network ID Click chọn Next. 159.

(161) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại Dynamic Update chọn Allow both nonsecure and secure dynamic updates.  Click chọn Finish để kết thúc quá trình tạo Revers Lookup Zone.. XII.8.3 Tạo Record CNAME Các bước tạo CNAME Records:  Click chuột phải vào Domain cần tạo chọn New Alias (CNAME)….  Hộp thoại Alias name gõ tên Alias cần tạo sau đó Click chọn vào Browse… để trỏ đến A Records. 160.

(162) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Chọn Borwse.. trỏ đến Host A Click chọn OK.  Tạo Alisa Name cho Mail thực hiện tương tự như Alias www. 161.

(163) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XII.8.4 Tạo MX Record Records MX: Giữ nhiệm vụ gửi và nhận Mail Các bước tạo Records MX:.  Hộp thoại New Resource Record click chọn Browse… trỏ tới host A, thiết lập Priority là 10 -> Click OK. 162.

(164) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tạo Record PTR Click chuột phải vào Reverse Lookup Zone vừa mới được tạo chọn new Poniter (PTR)..  Hộp thoại New Resource Record nhập vài địa chỉ IP của máy chủ tại ô Host IP Address, đánh dấu check vào ô Allow any authenticated …. 163.

(165) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Sau đó Click chọn Browse.. để trỏ tới Host A (Record A).  Kết quả sau Click chọn Browse … Click chọn OK. 164.

(166) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Kết quả sau khi tạo các Records. XII.8.5 Tạo miền con Trong miền có thể có nhiều miền con, việc tạo miền con giúp cho người quản trị cung cấp tên miền cho các tổ chức, các bộ phận con trong miền của mình thông qua đó nó cho phép người quản trị có thể phân loại và tổ chức hệ thống dể dàng hơn. Để tạo miền con:  Tại hộp thoại DNS Manager, chuột phải vào Domain chọn New Domain…. 165.

(167) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Hộp thoại New DNS Domain -> gõ tên Domain cần tạo vào ô Type the new DNS Domain name sau đó click chọn OK. XII.9 Quản lý dịch vụ DNS XII.9.1 Theo dõi sự kiện DNS Khi quản trị dịch vụ DNS, việc ghi nhận và theo dơi sự kiện xảy ra cho dịch vụ DNS là rất quan trọng, thông qua đó ta có thể đưa ra một số giả pháp khắc phục một khi có sự cố xảy ra,… Trong DNS management console cung cấp mục Event Viewer để cho ta có thể thực hiện điều này, trong phần này ta cần lưu ý một số biểu tượng như: : Chỉ thị lỗi nghiêm trọng, đối với lỗi này ta cần theo xử lý nhanh chóng. : Thông tin ghi nhận các sự kiện bình thường như shutdown, start, stop DNS,…. 166.

(168) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XII.9.2 Kiểm tra hoạt động của dịch vụ DNS Trên máy chủ,  Từ menu Start ->Run -> gõ lệnh ―cmd‖  Tại cửa sổ DOS, gõ lệnh ―nslookup‖ -> Enter -> nhập đầy đủ tên domain -> Enter. XIII. Dịch vụ File Server XIII.1 Giới thiệu công cụ File Server Resource Manager File Server Resource Manager là một tập hợp các công cụ cho phép người quản trị có thể điều khiển và quản lý dữ liệu trên các server chạy hệ điều hành Windows Server 2008 một cách hiệu quả. Với công cụ này, bạn có thể cấu hình quota trên cả ổ đĩa và thư mục,ngăn cấm sao chép những định dạng mà bạn chỉ định,đồng thời xuất ra các báo cáo giám sát hoạt động của người dùng trên không gian lưu trữ. Với File Server Resource Manager, bạn có thể thực hiện được các công việc sau:  Tạo quota trên ổ đĩa hoặc thư mục để giới hạn dung lượng cấp cho người sử dụng, đồng thời gửi email hoặc thông tin cảnh bảo khi người dùng đạt đến hoặc vượt quá giới hạn quota cho phép. 167.

(169) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tự động sinh ra và cấp phát quota cho tất cả các thư mục con đã tồn tại hoặc những thư mục con mới tạo ra trên một ổ đĩa hoặc một thư mục.  Tạo các file screen để chỉ định thể loại file mà người sử dụng có thể lưu trữ,đồng thời gửi thông tin cảnh báo khi người sử dụng cố gắng lưu trữ các thể loại file không được cho phép.  Định nghĩa các template cho quota và file screen để dể dàng và nhanh chóng áp dụng với những ổ đĩa và thư mục mới.  Xuất ra các báo cáo,giám sát tình trạng sử dụng dung lượng đĩa định kỳ hoặc theo nhu cầu.. XIII.2 Cấu hình Home Directory Để cấu hình Home Diretory ta tiến hành làm như sau:  Vào ô đĩa C: tạo thư mục có tên là DULIEU -> Click chuột phải vào thư mục vừa tạo chọn Propertiese sau đó chọn tiếp Tab Sharing như hình dưới đây:.  Sau khi Click chọn vào Tab Sharing tiếp tục Click chọn vào Advanced Sharing … -> đánh dấu chọn vào Share this folder. 168.

(170) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Đánh dấu chọn vào Permisssions và cấp quyền cho nhóm Everyone là Full Control -> Click chọn Apply -> OK.  Hộp thoại DULIEU Properties đă được Sharing -> Click chọn Close. 169.

(171) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Mở công cụ Active Driectory Users and Computers, tạo User với tên Là U1 -> Click chọn Properties của User U1 Profile: tạo mục Home folder đánh dấu chọn vào Connect: mục To: nhập đường dẫn nơi chứa các Profile được tạo ra cho U1 khi Login vào Domain Click chọn Apply -> OK. 170.

(172) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XIII.3 Cài đặt File server Resource manager Các bước cài đặt chương trình File Server Resource manager:  Từ Menu Start -> Administrative Tools -> Server Manger. Hộp thoại Server manger xuất hiện -> Click chọn vào Roles -> Add Roles  Hôp thoại Before You Begin để nguyên mặc định click chọn Next .  Hộp thoại Select Server Roles đánh dấu chọn vào dịch vụ File Server Resource Manager mà bạn muốn cài đặt sau đó chọn Next..  Hộp thoại Configure Storage Monitoring Bạn đánh dấu chọn vào Local Disk (C:) sau đó click chọn Next để tiếp tục.  Hộp thoại Set Report Options để mặc định cấu hình -> Click chọn Next -> Hộp thoại Confirm Installation Selections chọn Install để cài đặt công cụ này. 171.

(173) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Kết quả sau khi cài đạt hoàn tất công cụ File Server Resource Manager. 172.

(174) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XIII.4 Disk Quota XIII.4.1 Chức năng Khi sử dụng File Server Resource Manager, bạn có thể thiết lập hạn ngạch đĩa (Disk quota) trên ổ đĩa và thư mục ở 2 hình thức là hard quota và soft quota.  Hard quota: cấm user thực hiện thao tác lưu file khi vượt quá giới hạn quota cho phép  Soft quota: không yêu cầu user phải tuân thủ giới hạn quota nhưng ghi lại tất cả các cảnh báo. Khi tạo quota trên ổ đĩa hoặc thư mục, bạn nên dựa vào quota template. Một quota template giúp bạn có thể dể dàng tái sử dụng, đồng thời đem đến sự đơn giản và hiệu quả trong việc quản lý và bảo trì quota trên hệ thống. File Server Resource Manager còn có thể sinh ra quota một cách tự động. Khi cấu hình Auto Apply Quota, bạn sẽ áp dụng quota template đến một ổ đĩa hoặc thư mục cụ thể (parent volume, folder).Ngay sau đó, quota sẽ được tạo tương ứng với mỗi thư mục con (đã tồn tại hoặc được tạo mới) trên ổ đĩa hoặc thư mục đó. Chú ý : để thực hiện chức năng quota trên Windows Server 2008, bạn có thể lựa chọn File Server Resource Manager hoặc NTFS Disk Quota Nên sử dụng File Server Resource Manager vì những ưu điểm sau :  Tạo và quản lý quota trên cả ổ đĩa và thư mục.  Cơ chế cảnh báo được đa dạng hóa với email, báo cáo, script và các file log.  Sử dụng quota template.. XIII.4.2 Tạo 1 quota  Vào Start -> Administrative Tools -> File Server Resource Manager.  Click vào Quota Management -> Quota Templates.  Ở khung giữa, nhấp chuột phải vào một template và chọn ―Create Quota from Template”. 173.

(175) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tại bảng Create Quota, ở mục ―Quota path‖ chọn đường dẫn đến ổ đĩa hoặc thư mục cần thiết bằng cách click vào Browse.  Đánh dấu chọn vào ―Create quota on path”  Ở mục Derive properties from this quota template, chọn một template phù hợp  Ở mục Summary of quota properties, xem lại những thuộc tính của template mà bạn vừa chọn.. XIII.4.3 Kiểm tra Quota Để kiểm tra việc cấu hình có đúng không ta làm như sau: User U1 login vào máy và copy một thư mục hay một tập tin nào đó bất kỳ có dung lượng lớn hơn 100.000MB Sẽ được thông báo kết qủa như hình dưới đây. 174.

(176) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XIV. Quản lý máy ấn Vào thời điểm Windows NT Server 3.5, hệ điều hành máy chủ của Microsoft lúc này đã có khả năng quản lý các máy in. Tuy nhiên vào thời điểm này, các máy in muốn được quản lý cần phải được kết nối vật lý với máy chủ. Thêm vào đó, chuỗi in mà một máy chủ có thể host bị hạn chế bởi số lượng cổng song song có sẵn trên máy chủ đó. Ngày nay, hầu hết các máy in đều được kết nối trực tiếp vào mạng, các cổng song song đã không còn tồn tại như trước kia. Khi phần cứng máy in thay đổi thì các tính năng quản lý máy in có trong máy chủ Windows cũng thay đổi theo. Mặc dù vậy không phải tất cả các thay đổi trong Windows đều do vấn đề phần cứng của máy in thay đổi mà sự thực Microsoft đã thực hiện một số thay đổi rất có giá trị để tạo sự dễ dàng hơn trong việc quản lý máy in. Khi Microsoft tạo Windows Server 2008, họ đã thiết kế lại giao diện quản lý máy in nhằm giúp việc quản lý trở nên dễ hơn. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn giao diện mới đó và cách sử dụng nó như thế nào trong quản lý máy in.. XIV.1 Print Services Tools Khi thiết kế Windows Server 2008, Microsoft đã chọn phương pháp chỉ cài đặt một số thành phần tối thiểu ban đầu. Những gì cần thiết đối với nhiệm vụ của bạn cần phải được cài đặt bổ sung sau này. Tính năng quản lý máy in là một trong những thành phần như vậy. Print Services Tools không được cài đặt mặc định, vì vậy để sử dụng nó bạn cần phải cài đặt thành phần này trước. 175.

(177) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Tại cửa sổ Server Manager, chọn Print Services Tools -> click liên kết Add Features có trong panel kết quả. Khi đó Windows sẽ khởi chạy Add Features Wizard  Màn hình ban đầu của wizard sẽ yêu cầu chọn tính năng muốn cài đặt. Tìm tùy chọn Remote Server Administration Tools -> Print Services Tools -> Next -> Install -> Close.. Truy cập Print Services Tools Lúc này bạn đã cài đặt xong Print Services Tools và có thể truy cập vào giao diện điều khiển Print Management bằng cách chọn lệnh Print Management từ menu Administrative Tools của máy chủ.. Giao diện quản lý máy in mới trong hình. 176.

(178) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XIV.2 Quản lý các máy in trong mạng Đến đây các bạn đã giới thiệu được diện mạo của giao diện quản lý máy in Print Management, tiếp đến hãy quan sát vào hình dưới. Bạn sẽ thấy trong hình này số lượng máy in đã được định nghĩa và số lượng máy in có sẵn trong giao diện. Bạn cũng sẽ thấy mục All Drives cũng có các driver tương ứng với các thiết bị máy in khác nhau.. Mục All Drives có các thiết bị máy in mạng khác nhau Đầu tiên, Windows đã đặt các mục All Printers và All Drivers một cách tự động. Nếu máy chủ cài đặt giao diện Print Management không phải là thành viên của miền Active Directory, chính vì vậy danh sách các máy in không được trích rút từ Active Directory. Lý do tại sao các thiết bị máy in xuất hiện như vậy là vì Windows Server 2008 đã tự động phát hiện các máy in mạng tồn tại trên cùng subnet có máy chủ, sau đó cài đặt chúng và các driver cần thiết. Một điểm nữa mà chúng tôi muốn chỉ ra cho các bạn trong hình C là tên máy chủ tương ứng với mỗi máy in. Mặc dù các máy in mạng nằm ở một điểm nào đó trong mạng nhưng Windows sẽ tự động tạo một hàng đợi cho mỗi máy in trên máy chủ. Một trong các chức năng chính của giao diện quản lý Print Management là cho phép bạn quản lý in ấn mạng tập trung. Trong loạt bài này chúng tôi sẽ giới thiệu cho các bạn về cách sử dụng các thiết lập chính sách nhóm để kết nối tự động các máy trạm làm việc với chuỗi in nằm trên máy chủ quản lý in ấn.. XIV.3 Chuyển Network Printer Khi đã có một máy chủ quản lý việc in ấn cho doanh nghiệp, chắc chắn bạn sẽ muốn hợp nhất một số print server khác. Việc hợp nhất sẽ cho phép bạn điều hành tất cả các các máy in trong mạng thông qua một network print server, do đó sẽ giảm được số nhiệm vụ dành cho việc duy trì print server mà nhân viên quản trị cần phải thực hiện. Để hợp nhất các network print server, bạn hãy mở Print Management console bằng cách chọn lệnh Print Management từ Administrative Tools của máy chủ. Khi 177.

(179) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. giao diện xuất hiện, kích vào mục Print Servers và chọn print server mà bạn muốn chuyển. Kích phải vào print server này, sau đó chọn lệnh Export Printers to a File từ menu xuất hiện.. Tại đây, Windows sẽ khởi chạy Printer Migration Wizard. Màn hình ban đầu của wizard sẽ hiển thị cho bạn các driver và bộ xử lý của máy in sẽ được export.. Kích Next, khi đó bạn sẽ nhận được một nhắc nhở chỉ định đường dẫn và tên file mà bạn muốn export thông tin máy in.. 178.

(180) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Nhập các thông tin này vào địa điểm được cung cấp, sau đó kích Next lần nữa.. Wizard lúc này sẽ export các thông tin máy in vào một file đã được thiết kế sẵn. Khi quá trình hoàn tất, wizard sẽ thông báo cho bạn có lỗi nào xuất hiện hay không, nó cũng sẽ cho bạn quan sát các entry đã được ghi vào bản ghi sự kiện của hệ thống.. 179.

(181) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Kích nút Finish để hoàn tất quá trình. Phần còn lại của quá trình di trú là hoàn toàn đơn giản. Bạn chỉ cần mở phần Print Servers, sau đó chọn print server mà bạn muốn import các máy in khác vào. Kích phải vào print server và chọn tùy chọn Import Printers From A File từ menu xuất hiện. Sau khi thực hiện thao tác này, Windows sẽ khởi chạy Printer Migration wizard.. 180.

(182) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Nhập vào đường dẫn và tên file của file export mà bạn đã tạo, sau đó kích nút Next.. Sau đó bạn sẽ thấy một danh sách các driver và bộ xử lý của máy in sẽ được import.. 181.

(183) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Kích Next , hư những gì bạn thấy trong hình, bạn phải chỉ dẫn cho Windows những gì cần thực hiện nếu một trong các máy in đang được import giống với máy in đã tồn tại. Bạn cũng cần phải chỉ dẫn cho Windows rằng liệu mình có muốn các máy in mới được liệt kê trong Active Directory hay không.. Kích Next, khi đó Windows sẽ import các máy in. Khi wizard hoàn tất, bạn sẽ thấy các máy in mà mình đã import được liệt kê bên dưới print server hiện được chọn.. 182.

(184) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XV. WEB SERVER Internet Information Services 7.0 (IIS 7.0) là một trong mười sáu dịch vụ máy chủ trên Windows Server 2008. Phiên bản này được hãng Microsoft thiết kế lại dưới dạng module, vừa kế thừa ưu điểm của những phiên bản trước, vừa tăng cường tính bảo mật và ổn định.. XV.1 Giới thiệu về IIS 7.0 Những điểm mới đáng chú ý trong IIS 7.0 bao gồm :  Những công cụ quản trị mới: IIS 7.0 cung cấp hai công cụ quản trị, một dưới dạng đồ họa và một dưới dạng dòng lệnh. Những công cụ quản trị này cho phép: o Quản lý tập trung IIS và ASP.NET. o Xem thông tin chẩn đoán, trong đó bao gồm các thông tin real-time. o Thay đổi quyền trên các đối tượng site và ứng dụng. o Ủy quyền cấu hình các đối tượng site và ứng dụng cho các thành viên không có quyền quản trị (non-administrator).  Thay đổi cách thức lưu trữ thông tin cấu hình: IIS 7.0 lưu trữ thông tin cấu hình IIS và ASP.NET vào một vị trí, từ đó cho phép: o Cấu hình IIS và ASP.NET với một định dạng thống nhất. o Dễ dàng sao chép các file cấu hình và nội dung của site hoặc ứng dụng đến một máy tính khác.  Dễ dàng chẩn đóan và khắc phục sự cố nhờ vào thông tin real-time và hệ thống dile log ở mức độ chi tiết. 183.

(185) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  IIS 7.0 được thiết kế dưới dạng module, cho phép bạn bổ sung cũng như loại bỏ các thành phần từ Web Server khi cần.  Khả năng tương thích cao: IIS 7.0 có khả năng tương thích rất cao đối với các ứng dụng đã triển khai trên các phiên bản IIS trước đó. Khi triển khai IIS 7.0, bạn có thể chạy các ứng dụng ASP, hoặc các ứng dụng trên ASP.NET 1.1 và ASP.NET 2.0 đã được xây dựng từ trước mà không cần phải thay đổi mã nguồn.. XV.2 Cài đặt Web Server Để cài đặt IIS 7.0 Web Server, bạn thực hiện các bước sau :.  Mở cửa sổ Server Manager. Trong khung Roles Summary ở bên phải, bạn bấm Add Roles..  Trong màn hình Select Server Roles, chọn Web Server (IIS).  Trong hộp thoại Add features required for Web Server (IIS), bạn bấm nút Add Required Featuresđể bổ sung các thành phần liên quan đến Web Server..  Trong màn hình Select Server Roles, Chọn dịch vụ Web Server (IIS) -> Next.. 184.

(186) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Trong màn hình Select Role Services, lựa chọn các thành phần cần thiết cho Web Server và bấm nút Next..  Trong màn hình Confirm Installation Selections, bạn xem lại các thiết lập vừa thực hiện và bấm nútInstall để bắt đầu cài đặt..  Khi tiến trình cài đặt kết thúc, trong màn hình Installtion Results, bạn sẽ nhận được thông báo"Installation succeeded". Bấm nút Close để hoàn thành thao tác cài đặt. Để bắt đầu quản lý Web Server,.  Start -> Programs -> Administrative Tools -> Internet Information Service (IIS) Manager.  Khi IIS Manager xuất hiện, bạn sẽ bắt gặp ngay trang web đầu tiên (IIS Start Page). Tại đây, bạn sẽ tìm thấy thông tin về các kết nối đến các Web Server mình đã quản lý trong thời gian gần với hiện tại (Recent connections). Đồng thời, bạn cũng nhanh 185.

(187) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. chóng truy cập và khai thác tài nguyên liên quan đến Web Server bằng cách sử dụng các liên kết (quick link) trong Connection task, Online resources và IIS News.  Khung bên trái liệt kê các Web Server mà bạn đang quản lý. Mặc định, Web Server trên máy tính của mình sẽ xuất hiện. Nếu muốn quản lý các Web Server khác, bạn vào menu File/Connect to a Server..  Trong màn hình Specify Server Connection Details, bạn nhập địa chỉ IP của Web Server cần quản lý vào mục Server name và bấm nút Next.  Trong màn hình Specify a Connection Name, bạn nhập tên kết nối và bấm nút Finish..  Để thay đổi các thông số cấu hình trên Web Server, bạn kích chọn tên kết nối tương ứng với Web Server ở khung bên trái, sau đó chọn mục cần cầu hình ở khung chính giữa.  Để kiểm tra Web Server sau khi đã cài đặt, bạn mở trình duyệt và gõ địa chỉ http://localhost. Nếu màn hình IIS 7 xuất hiện như hình bên dưới, thao tác cài đặt và cấu hình Web Server của bạn đã thành công. 186.

(188) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Màn hình chào mừng IIS 7. XV.3 Xuất bản website XV.3.1 Xuất bản một website Để xuất bản một website, bạn thực hiện các bước như sau :.  Mở cửa sổ Internet Information Service (IIS) Manager.  Kích chuột phải lên mục Sites ở khung bên trái, chọn Add Web Site..  Trong hộp thoại Add Web Site, bạn điền thông tin : o Tên của website vào mục Site name, chẳng hạn thuvien-it.net. o Nhập đường dẫn đến thư mục chứa mã nguồn của website vào mục Physical path hoặc bấm vào nút ba chấm (…) để định đường dẫn. o Nếu xuất bản website với mã nguồn chứa ở một máy tính khác, bạn cần bấm vào nút Connect as và chỉ định tài khoản dùng để truy cập thư mục ở xa này. 187.

(189) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. o Nếu xuất bản nhiều website, bạn cần nhập tên truy cập chính xác của các website vào mục Host name..  Sau khi điền đầy đủ thông tin, bạn bấm nút OK để đóng hộp thoại Add Web Site.  Ngay sau đó, một thông báo xuất hiện, cho biết cổng 80 đã được một website khác sử dụng (thông thường là Default Web Site)..  Trong trường hợp này, bạn cần kích chọn Default Web Site và bấm nút Stop ở khung bên phải để ngưng trạng thái hoạt động của website này. Đồng thời, bạn chọn website của mình và bấm nút Start ở khung bên phải để kích hoạt trạng thái hoạt động cho website.  Đến nay, bạn đã hoàn thành thao tác xuất bản một website. Nếu muốn kiểm tra, bạn mở trình duyệt và gõ địa chỉ http://localhost. Ngay sau đó, nội dung website của bạn sẽ xuất hiện.. 188.

(190) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. XV.3.2 Xuất bản nhiều website Để xuất bản hai hay nhiều website trên IIS 7.0, bạn thực hiện các bước gần tương tự như xuất bản một website. Chỉ có duy nhất một điểm khác biệt là ở mục Host name, bạn cần điền chính xác tên truy cập tương ứng với mỗi website.. XVI. Hyper-V XVI.1 Giới thiệu Hyper-V trước đây còn được gọi là Windows Server Virtualization là công nghệ ảo hóa server của Microsoft, Hyper-V là một trong những thành phần quan trọng của Windows Server 2008. Hyper-V chỉ chạy trên nền Windows 64 bit và CPU 64 bit có hỗ trợ công nghệ ảo hóa. 189.

(191) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C. Hyper-V là một giải pháp tốt cho việc hợp nhất các Server vật lý hiện không sử dụng hết phần cứng được trang bị bằng cách triển khai thêm các Server ảo trên nền Server thật, cho phép 1 Server đảm nhận các công việc của nhiều Server nhằm giảm thiểu chi phí trang bị thêm Server mới và các chi phí để duy trì hoạt động của Server như điện, không gian đặt Server và chi phí bảo trì bảo dưỡng…, Hyper-V hỗ trợ các Server ảo chạy các Hệ Điều Hành Windows 2000 Server, Windows Server 2003 32 bit và 64 bit, Windows Server 2008 32 bit và 64 bit, ngoài ra Hyper-V còn hỗ trợ Vista, XP và cả Linux.. XVI.2 Cài đặt Hyper-V Lưu ý trước khi cài đặt bạn cần kiểm tra trong BIOS Setup đã Enable chức năng Virtualization (tham khảo tài liệu hướng dẫn đi kèm Mainboard)  Mở Server Manager — Roles — Add Role  Chọn Hyper-V -> Next -> Next.  Chọn Card mạng dùng cho máy ảo –> Next. 190.

(192) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Nhấn nút Install để tiến hành cài đặt.  Quá trình cài đặt hoàn tất, hệ thống yêu cầu Restart máy —> Close. 191.

(193) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Nhấn Yes để Restart máy. XVI.3 Tạo và cài đặt máy ảo  Mở Hyper-V – Đánh dấu check mục chọn I have read and agreed thí EULA, Nhấn Accept để chấp nhận các thông tin bản quyền. 192.

(194) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Click phải Microsoft Hyper-V Server — Connect to Server.  Chọn Local Computer — OK.  Click phải lên tên Server -> New –> Virtual Machine -> Next 193.

(195) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Đặt tên cho máy ảo, bạn có thể chỉ định thư mục lưu máy ảo bằng cách đánh dấu Store the virtual machine in a different location, ở đây tôi chấp nhận giá trị mặc định.  Qui định dung lượng RAM dành cho máy ảo (Tính bằng đơn vị MB). 194.

(196) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Chọn nhãn hiệu Card mạng dùng cho máy ảo. 195.

(197) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Qui định các thông tin về tên File, vị trí lưu và dung lượng ổ cứng ảo. . Nhấn Finish để hoàn tất. 196.

(198) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Click phải vào tên máy ảo đã tạo, nhấn Start để bật máy ảo.  Do chưa cài đặt hệ điều hành nên bạn gặp báo lỗi không thể khởi động, ta bắt đầu quá trình cài đặt Hệ điều hành cho máy ảo. Bạn đưa DVD Source Windows vào ổ DVD, ở đây tôi dùng Windows Vista. 197.

(199) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Chọn Media – DVD Drive – Capture I: (Ở đây ổ I: là ổ đĩa DVD).  Chọn Action – Reset để reset máy ảo. 198.

(200) Quản trị mạng máy tính – Tài liệu bồi dưỡng Tin học C.  Bắt đầu quá trình cài đặt Vista Tới đây chúng ta có thể thao tác với máy ảo và hoàn tất việc cài đặt Hệ Điều hành. 199.

(201)

Huong dan su dung Window Sever 2008

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về