Hệ thống mạng đang được phục vụ tốt với những dịch vụ như:
AD: các user, group, OU chứa thông tin về username và password của nhân viên công ty được quản lý tập trung.
DHCP: các máy client được cung cấp địa chỉ IP để đăng nhập vào hệ thống mạng một cách tự động.
Mail server: các nhân viên có thể gửi, nhận mail trong và ngoài công ty thông qua hệ thống mail.
File server: hệ thống file trong công ty được quản lý theo mô hình tập trung, mọi file làm việc của nhân viên đều được để trên server và được quản lý bởi người quản trị mạng.
109 trang |
Chia sẻ: tlsuongmuoi | Lượt xem: 14270 | Lượt tải: 4
Bạn đang xem trước 20 trang tài liệu Đề tài Xây dựng hệ thống mạng cho công ty TNHH Hyundai Merchant Marine Việt Nam, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
theo mô hình ISA array.
Khuyết điểm
Quá nhiều server nên chi phí rất cao.
Khó khăn trong việc quản lý các server.
Mô hình ISA array phức tạp và gặp không ít lỗi.
Phần mềm
Ưu điểm
Dịch vụ VPN server cho phép các nhân viên ở xa có thể truy cập được vào hệ thống mạng của công ty.
File server và AD chạy ở trên các máy khác nhau nên tiện cho việc truy xuất dữ liệu nhanh chóng.
Khuyết điểm
Tốn thêm chi phí để mua hệ điều hành
Giải pháp thứ hai
Hình 3.2. Sơ đồ mạng giải pháp 2
Giải pháp này sẽ có 7 máy Server được chia làm 3 vùng mạng khác nhau và quản lý các dịch vụ khác nhau như sau:
Vùng Server
2 máy Server làm DC chạy song song, 1 DC Master và 1 DC Slave, cả 2 Server này đều có các dịch vụ AD, DNS, DHCP, và quản lý các tài khoản user trên hệ thống. Và chung với 2 máy DC này cũng làm file server sử dụng DFS.
Vùng DMZ
Máy Mail Server cài Mdaemon v10
Máy Web Server cài đặt IIS 6
Vùng LAN
Vùng này bao gồm các máy client của các phòng ban.
Tất cả các máy này đều được cài đặt hệ điều hành windows xp2 và join vào domain.
Ngoài ra còn sử dụng thêm 1 máy Server DHCP Relay làm nhiệm vụ tự động chia IP cho các vùng trong mạng nói trên.
2 máy Server Firewall cài đặt ISA 2006 và được cài đặt theo mô hình Back to back.
Phần cứng
Ưu điểm
Với những server được cung cấp nhằm đáp ứng các yêu cầu của công ty đưa ra, chúng tôi đã xây dựng nên hệ thống với tính bảo mật và dữ liệu luôn được an toàn tránh sự xâm nhập trái phép từ bên ngoài.
Các máy server được đặt trên các vùng mạng khác nhau.
Domain controler đồng cấp được cấu hình thuận tiện cho việc xác thực user đang nhập vào hệ thống luôn được ổn định.
File server cũng được cấu hình chạy song song phù hợp cho user truy cập vào hệ thống và sử dụng dữ liệu được ổn định mặc dù 1 server gặp sự cố.
Chi phí ít hơn so với giải pháp thứ nhất vì AD và File server được đặt trên cùng một server. Ta chỉ cần tăng thêm RAM cho server thay vì mua một server khác vì thế tiết kiệm chi phí hơn nhiều.
Khuyết điểm
Server phải gánh nhiều công việc hơn nên truy xuất sẻ châm hơn.
Phần mềm
Ưu điểm
Dịch vụ VPN server cho phép các nhân viên ở xa có thể truy cập được vào hệ thống mạng của công ty.
File server và AD chạy trên cùng server nên tiện cho việc quản lý và bảo trì.
ISA Back to back có nhiều ưu điểm về mặt bảo mật hơn mô hình ISA array bởi vì nó cũng sử dụng hai firewall ISA nhưng ở đây là để chia mạng của công ty ra làm các vùng khác nhau, và khi một kết nối từ bên ngoài truy cập vào vùng mạng công ty thì chỉ truy cập được vào vùng public, còn vùng mạng cần được bảo mật không cho phép truy cập thì nó không thể truy cập được.
Khuyết điểm
Việc truy xuất dữ liệu chậm hơn do máy DC phải gánh thêm công việc cua File Server.
PHẦN IV:
TRIỂN KHAI
Với các lý do về ưu điểm của giải pháp thứ hai cũng như theo yêu cầu của Công ty và chi phí lắp đặt, triển khai có giới hạn nên chúng tôi quyết định chọn giải pháp thứ hai như sau:
Hình 4.1. Sơ đồ mạng giải pháp 2
Hình 4.2. Sơ đồ đặt IP
Quyết toán chi phí cho giải pháp thứ 2
Máy Server
Giá: 21.850.000 VNĐ
Thông tin chung
Hãng sản xuất
IBM
Kiểu máy chủ
Tower
Rack Height
5U
Bộ vi xử lý
Tốc độ CPU
3.0GHz
CPU FSB
1333MHz
Loại CPU sử dụng
Intel Xeon Dual-Core E3110
Số lượng CPU
1 CPU
Bộ nhớ đệm
6MB
Số lượng CPU hỗ trợ
1 CPU
Bộ nhớ chính
Dung lượng bộ nhớ chính (RAM)
512MB
Loại bộ nhớ
DDR2
Tốc độ BUS của RAM
667MHz
Hỗ trợ ECC
Khả năng nâng cấp RAM
expand to 8GB
Lưu trữ
Dung lượng ổ cứng (HDD Capacity)
73GB
Số vòng quay ổ cứng (RPM)
15000RPM
Kiểu giao tiếp HDD
• SAS• Ultra-320 SCSI
Dung lượng HDD tối đa hỗ trợ
Up to 1.17 TB SAS or up to4.0
SATA HDDs
RAID, Storage Controller
Hot-swap hardware
RAID-0, -1, upgrade to RAID-5
Hot SWAP
Ổ quang (Optical drive)
CD-ROM
Networking, power, expansions
Loại card mạng
Gigabit 10/100/1000
Nguồn kèm theo (PSU)
400 W NHS 1/1
Phần mềm, bảo mật
Hệ điều hành cài sẵn
Microsoft WindowsServer 2003
Hệ điều hành Windows Server 2003Enterprise
Giá: 52.966.210 VNĐ
Thông tin chung
Hãng phát hành
Microsoft
Loại phần mềm
Operating SystemsMicrosoft Windows
Loại phiên bản
Enterprise
Cấu hình hệ thống
Hệ điều hành hỗ trợ
• Windows Server 2003Enterprise
Certified for Windows Vista
Miễn phí (Freeware)
Thông tin khác
Kiểu gói sản phẩm
1 CD
MDaemon v10
Giá: 2.482.809 VNĐ
Thông tin chung
Hãng phát hành
MDaemon
Loại phần mềm
Chat & EmailEmail
Loại phiên bản
Full version
Cấu hình hệ thống
Hệ điều hành hỗ trợ
• Không xác định
Certified for Windows Vista
Miễn phí (Freeware)
Thông tin khác
Tính năng
SMTP, POP, DomainPOP,
MultiPOP Web Mail Easy Backup and Restore Unlimited Mailing Lists with
Subscription and Moderator
Options Mail Scheduling Integrated WebAdmin
Kiểu gói sản phẩm
Download package
ISA 2006
Giá: 102.185.000 VNĐ
Thông tin chung
Hãng phát hành
Microsoft
Loại phần mềm
System Utilities & DriversTiện ích, công cụ hệ thống
Loại phiên bản
Enterprise
Cấu hình hệ thống
Hệ điều hành hỗ trợ
• Windows Server 2003• Windows Server 2003 Web Edition• Windows Server 2003 Standard Edition• Windows Server 2003 Enterprise Edition• Windows Server 2003 Datacenter Edition• Windows Server 2003 Storage Server• Windows Server 2003 External Connector• Windows Svr Std 2003
Certified for Windows Vista
Miễn phí (Freeware)
Thông tin khác
Kiểu gói sản phẩm
1 DVD
STT
Tên sản phẩm
Số lượng
Đơn giá
Thành tiền
1
IBM Server
6
21.850.000 VNĐ
131.100.000 VNĐ
2
HĐH Windows Server 2003 Enterprise
6
52.966.210 VNĐ
317.797.260 VNĐ
3
MDaemon v.10
1
2.482.809 VNĐ
2.482.809 VNĐ
4
ISA 2006 Enterprise
2
102.185.000 VNĐ
204.370.000 VNĐ
Tổng cộng:
655.750.069 VNĐ
Triển khai phần cứng
Hệ thống Server
Để thuận tiện cho việc quản trị và bảo trì hệ thống nên đặt các máy server như: DC, File Server, Mail server, ISA server và những Server dự phòng ở trong phòng IT.
Các máy đều là IBM Server có cấu hình như trên.
DC, File Server có thể nâng thêm dung lượng RAM để việc truy xuất dữ liệu được nhanh hơn.
Server đồng cấp được cài đặt cho chạy song song với server chính phòng trường hợp một trong hai server bị hỏng hóc có server khác thay thế.
Access Point cũng nên đặt tại phòng IT vì tại đây nó cũng được quản lý bởi người quản trị và cũng tại đây nó sẻ phủ sóng đều cho toàn bộ công ty.
Các Switch được đặt trong tủ Rack của công ty và các máy client trong hệ thống mạng đều được tập trung về tại đây.
2 Firewall được đặt cạnh nhau để thuận tiện cho việc cấu hình và quản lý
Hệ thống Client
Các máy Client đang có trong công ty hiện đang hoạt động ổn định với hệ thống dây mạng đã được thiết kế hợp lý cho nên ta giữ lại hệ thống này, vừa tiết kiệm được ngân sách cho công ty vừa tiết kiệm được thời gian để thiết kế lại.
Triển khai phần mềm
Để triển khai tốt phần mềm thì ta cần phải nắm rõ những dịch vụ cần triển khai sắp tới.
ACTIVE DIRECTORY – AD
Giới thiệu về active directory
Active Directory (AD) là nơi lưu trữ các thông tin về tài nguyên khác nhau trên mạng. Các tài nguyên được Active Directory lưu trữ và theo dõi bao gồm File Server, Printer, Fax Service, Application, Data, User, Group và Web Server. Thông tin nó lưu trữ
được sử dụng và truy cập các tài nguyên trên mạng. Sự khác nhau giữa Active Directory và Active Directory Service đó là các hình thức lưu trữ và quản lý thông tin tài nguyên.
Thông qua Active Directory người dùng có thể tìm chi tiết của bất kỳ một tài nguyên nào dựa trên một hay nhiều thuộc tính của nó. Vì vậy mà không cần phải nhớ tất cả đường dẫn và địa chỉ nơi tài nguyên đang được định vị, mỗi thiết bị và tài nguyên trên mạng sẽ được ánh xạ đến một tên có khả năng nhận diện đầy đủ về nó. Tên này sẽ được lưu trữ lại trong Active Directory cùng với vị trí nguyên thuỷ của tài nguyên. Người sử dụng có thể truy cập đến tài nguyên này nếu họ được phép thông qua Active Directory.
Active Directory có khả năng:
Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó.
Duy trì dữ liệu của nó trong một môi trường an toàn, vì chắc chắn rằng dữ liệu sẽ không được cung cấp cho các người không được quyền truy cập đến nó.
Tự nó phân tán đến các máy tính trên mạng
Tự nhân bản. Đây là cơ chế bảo vệ Active Directory trong trường hợp bị lỗi.
Nó giúp người sử dụng ở xa tham chiếu đến một bản sao được nhân bản, được định vị ở một nơi không xa, thay vì phải tham chiếu đến bản sao nguyên thuỷ.
Tự phân vùng thành nhiều phần lưu trữ. Active Directory có thể được phân tán trên các máy khác nhau vì thế nó tăng thêm khả năng lưu trữ một số lượng lớn các đối tượng có trên các mạng lớn.
Các kỹ thuật được hỗ trợ bởi Active Directory
Mục đích của Active Directory là cung cấp một điểm dịch vụ trên mạng. Do đó nó được thiết kế đặc biệt để làm việc chặt chẽ với các thư mục khác. Nó cũng hỗ trợ một phạm vi lớn các kỹ thuật. Active Directory tích hợp khái niệm không gian tên miền trong Internet với Windows 2003. Kết quả của điều này là nó có khả năng quản lý thống nhất các không gian tên miền khác nhau đang tồn tại trong các môi trường hỗn tạp của hệ thống mạng khác nhau. Active Directory sử dụng dịch vụ DNS cho giải pháp chuyển đổi tên của nó có thể giao tiếp với bất kỳ một thư mục nào hỗ trợ LDAP (Light Weight Directory Access Protocol) hoặc HTTP. Active Directory cung cấp API để giao tiếp với các thư mục khác.
Một số giao thức khác nhau được hỗ trợ bởi Active Directory là:
Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách nhiệm cho việc gán địa chỉ IP động đến các Host trong mạng. Điều này có nghĩa là một máy trên mạng luôn được gán địa chỉ IP nhưng địa chỉ này có thể khác nhau ở các lần logon khác. Active Directory hỗ trợ DHCP cho việc quản lý địa chỉ trên mạng. Để nhận được nhiều thông tin hơn thì sử dụng RFC (Request For Comment) 2131.
Domain Naming Service (DNS): DNS được sử dụng cho giải pháp đổi tên trong mạng. Active Directory sử dụng dich vụ DNS như là tên domain và dịch vụ định vị của nó.
Simple Netword Time Protocol (SNTP): SNTP được sử dụng trong việc đồng bộ về giờ của các máy trên mạng. Active Directory sử dụng các gói dữ liệu trên mạng. Active Directory hỗ trợ TCP/IP trong việc truyền dữ liệu trên mạng.
Active Directory và DNS
Dịch vụ DNS tích hợp vớiActive Directory. Có 3 dịch vụ chính thực đưa ra bởi DNS cho Active Directory là :
Name Resolution : Đây là một chức năng cơ sở của DNS server. Nó thực hiện việc chuyển đổi tên host thành địa chỉ IP tương ứng.
Name Space Definition: Windows 2003 sử dụng dịch vụ DNS để quy ước tên cho thành viên trong domain của nó. Active Directory cũng hỗ trợ sự quy ước tên này.
Physical Compoments of Active Directory : Các thành viên của domain Windows 2003 phải hiểu về domain controller và Server Global Catalog trong Tradomain. Chỉ khi đó chúng mới có thể logon đến mạng và truy vấn Active Directory. Cơ sở dữ liệu DNS chứa trong DNS Server hoặc Global Catalog Server. Nhận thông tin này các thành viên có thể trực tiếp truy vấn đến từng Server riêng.
Cấu trúc logic của Active Directory
Nhóm tài nguyên logic giúp tìm kiếm các tài nguyên dễ dàng hơn việc tìm kiếm trong vị trí vật lý của nó. Vì thế Active Directory cũng có cấu trúc logic để mô tả cấu trúc thư mục của các tổ chức. Một điểm tiến bộ quan trọng khác của nhóm các đối tượng logic Active Directory là sự cài đặt vật lý của mạng có thể được ẩn đối với người sử dụng.
Các thành phần Logic của cấu trúc Active Directory là :
Các Domain
Đơn vị logic đầu tiên của mạng Windows 2003 là domain. Nó là một tập các máy tính được định nghĩa bởi người quản trị mạng. Tất cả các máy tính trong domain chia sẻ chung một cơ sở dữ liệu Active Directory.
Mục đích chính của việc tạo domain là tạo một ranh giới an toàn trong một mạng windows 2003. người quản trị domain điều khiển các máy tính trong domain. Chỉ trừ khi được gắn quyền, nếu không thì người quản trị mạng trong domain này không thể điều khiển các domain khác. Mỗi một domain thì có các quền và các chính sách an toàn riêng, nó được thiêt lập bởi người quản trị.
Các đơn vị tổ chức (OU)
Trong phạm vi domain các đối tượng được tổ chức sử dụng các đơn vị tổ chức. OU là đối tượng chứa. Nó chứa các đối tượng như là User, computer, print, group và các OU khác.
Lợi ích chính của OU là tránh sự phúc tạp của hệ thống mạng với kiến trúc đa domain . Các công ty có thể tạo ra một domain đơn và một trạng thái khác của các OU phù hợp với yêu cầu bằng cách tạo ra một cấu trúc domain. Các OU có thể được bổ sung mới như là khi chúng cần xuất hiện trong một domain. Các OU cũng có thể được lồng theo nhiều cách. Tuy nhiên một cấu trúc domain đơn với nhiều OU đưa ra tất cả các thuận lợi được đưa ra bởi mô hình đa domain.
Các cây (Tree)
Một vài nguyên nhân tại sao mô hình đa domain là được ưa thích :
Phân quyền quản trị mạng
Các tên miền Internet khác nhau.
Yêu cầu về password khác nhau
Dễ điều khiển việc nhân bản
Một số lượng lớn các đối tượng
Nhiều cấp độ điều khiển với nhiều nhánh
Mô hình đa domain bao gồm một hoặc nhiều hơn một cấu trúc logic trong Active Directory - Tree . Một cây là một sự sắp xếp phân cấp của các domain windows 2003 mà nó chia sẻ một không gian tên liền kề.
Các Rừng (Rorest)
Trong mô hình đa domain, Rừng (Forset) là một cấu trúc logic khác mà trong đó các cây không chia sẻ các không gian tên liền kề.
Cấu trúc vật lý của Active Directory
Cấu trúc vật lý của một Active Directory bao gồm :
Site
Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó được kết nối bởi các đường truyền tốc độ cao. Các site được định nghĩa để tạo ra sự thuận lợi đặc biệt cho chiến lược truy cập và nhân bản một Active Directory.
Domain Controllers
Thành phần vật lý thứ 2 trong Active Directory là domain controller. một domain controller là một máy tính chay windows 2003 server và nó chứa 1 bản sao của Active Directory. Cơ sở dữ liệu chứa các thông tin về domain cục bộ.
Có thể có nhiều hơn một domain controller trong một domain. Tất cả các domain controller trong domain đều duy trì một bản sao active directory. Các tổ chức nhỏ với một client chỉ cần một domain đơn với chỉ hai domain controller. Controller thứ hai sẽ là server trong trường hợp controller thứ nhất bị lỗi. Do đó cả hai domain controller đều chứa cùng một bản sao khác nhau của Active Directory. Nhưng đôi khi các domain controller có thể chứa các bản sao khác nhau của Active Directory. Điều này xảy ra khi có sự bất đồng bộ giữa các cơ sở dữ liệu directory trong các domain controller. Tuy nhiên trong các tổ chức lớn, mỗi vị trí địa lý cần phải có các domain controller tách biệt để cung cấp đầy đủ khả năng sẵn sàng và khả năng chịu lỗi.
Các chức năng khác nhau domain controller bao gồm :
Duy trì một bản sao của cơ sở dữ liêu directory.
Duy trì các thông tin của Active Directory.
Nhân bản các thông tin được cập nhật đến các domain controller trong domain:
Khi tạo ra một sự thay đổi trong domain thì phải cập nhật thực tế này đến Active Directory của một domain controller. Domain controller sẽ nhân bản sự thay đổi này đến các domain controller khác trong domain. Thông lượng của việc nhân bản này có thể được điều khiển một cách đặc biệt sao cho đảm bảo tốc độ truyền và không xảy ra lỗi. Sự nhân bản này chắc chắn sẽ thay đổi ngay lập tức. Ví dụ, nếu một user account bị khoá nó được thay thế lập tức đến các domain controller khác, nó sử dụng thay thế slave – master. Điều này có nghĩa là không cố định domain controller với vai trò master. Domain controller được cập nhật sự thay đổi đầu tiên sẽ trở thành domain controller master và nó sẽ thực hiện việc nhân bản sự thay đổi này đến tất cả các domain controller khác trong domain, do đó mô hình này được gọi là slave – master.
Quản lý và giúp đỡ người sử dụng trong việc tìm kiếm các đối tượng trong
Active Directory. Nó kiểm tra tích hợp lệ của việc logon của người sử dụng truy cập tài nguyên được yêu cầu.
Cung cấp khả năng chịu lỗi trong môi trường đa domain controller
Vai trò của Domain
Các vai trò này là rất quan trọng bởi vì nếu các domain controller với các vai trò đặc biệt là không sẵn sàng thì chức năng cụ thể của các vai trò này sẽ không sẵn sàng cho domain.
Các vai trò được gán cho domain controller là:
Global Catalog Servers
Một global catalog là bộ lưu trữ mà nó lưu trữ một tập con thông tin về tất cả các đối tượng trong Active Directory. Phần lớn,global catalog là lưu trữ thông tin đó là các truy vấn thường được sử dụng. Nói cách khác, nó chứa các thông tin cần thiêt để tìm các đối tượng.
Một global catolog cần được tạo trong domain controller đầu tiên của rừng. Domain controller này được gọi là Global Catalog Server. Một global catalog server duy trì một bản copy đầy đủ cơ sở dữ liệu của Active Directory của domain điều khiển của nó. Nó duy trì một phần copy của cơ sở dữ liệu Active Directory của domain khác trong rừng. Một Global Catalog Server cũng xử lý các truy vấn được xây dựng trở lại và cho ra kết quả.
Hai vai trò quan trọng của một global catolog server là :
Nó giúp người sử dụng định vị trí đến các đối tượng trong Active Directory được dễ dàng.
Nó cho phép người sử dụng logon vào mạng. Thực hiện điều này bằng cách cung cấp thông tin về thành viên nhóm đến các domain controller khi quá trình này được khởi tạo. Trong trường hợp server global catalog là không sẵn sàng, người sử dụng có thể logon đến mạng nếu họ là thành viên của nhóm domain Administrator. Mặc khác người sử dụng chỉ có thể logon đến máy tính cục bộ. Domain controller đầu tiên trong rừng là server global catalog. Nó có thể cấu hình để thêm domain controller vào server global catalog. Điều này cân bằng thông lượng tài nguyên trên mạng và nạp vào server global catalog.
Operation Masters
Operation Masters là domain controller được gán với một hoặc nhiều vai trò chủ yếu trong Active Directory của domain. Các vai trò khác nhau của Operation Masters là:
Domain Naming Master: Domain Naming Master chịu trách nhiệm điều khiển để thêm hoặc xoá các domain ra khỏi rừng. Kể từ đó Domain Naming Master chăm sóc các doman trong rừng, có thể một domain controller trong rừng với vai trò này.
Infrastructure Master: Domain controller với vai trò này chịu trách nhiệm cập nhật để tham chiếu đến các thành viên trong nhóm của Active Directory. Bất cứ khi nào sự thay đổi xảy ra đối với các thành viên trong một nhóm, domain controller này cập nhật vào cơ sở dữ liệu của domain. Mỗi domain phải có một Infastructure Master, sự thay đổi trong thành viên của domain là sự nhân bản multi-master
Primary Domain Controller emulator(PDC): Vai trò này rất hữu ích trong mô hình mixed. Khi một client không chạy Windows XP hoặc một Server đang chạy Windows NT tồn tại trong một domain thì sau đó bất kì một sự thay đổi nào tác động đến domain thì đòi hỏi đó cũng tác động đến PDC. Domain controller với vai trò này chịu trách nhiệm trong việc cập nhật này. Trong mạng ở chế độ native, vai trò này hữu ích trong việc xác nhập đăng nhập trong trường hợp thay đổi mật khẩu được tạo ra ở trong domain. Nếu một password mới được thay đổi thì nó sẽ mất thời gian để tạo bản sao khác ở trong domain controller. Trong khi chờ đợi, nếu domain controller gặp một mật khẩu không đúng thì nó sẽ đưa ra một câu truy vấn đến PDC trước khi thông báo quá trình đăng nhập thất bại.
Relative Indentifier Master – RID: Khi một đối tượng được tạo ra trong domain thì một SID cũng được tạo ra và gán cho đối tượng đó. SID, định danh bảo mật(sercurity indentifier) là duy nhất cho mỗi đối tượng. Một SID bao gồm hai phần: domain SID và RID. Phần thứ nhất là domain SID, là chung cho tất cả các đối tượng trong domain. Phần thứ hai là RID, là số ID duy nhất khác nhau cho mỗi đối tượng trong domain. Vì thế SID là một định danh duy nhất trong mạng. Vai trò này phải có trong một domain controller của một mạng. RID master gán một dãy các RID cho các domain controller trong mạng. Domain controller sau đó sẽ phân phối RID cho các đối tượng này.
Schema Master: Domain controller với vai trò này sẽ chịu trách nhiệm hoàn thành việc cập nhật cho lược đồ. Để cập nhập một lược đồ của một rừng, chúng ta phải truy xuất đến một lược đồ master của domain controller. Chỉ nên có một domain controller có vai trò này trên mạng. Domain controller sở hữu những vài trò này tren mạng là duy nhất tại bất cứ thời điểm nào. Nghĩa là chức năng thao tác chính có thể chuyển đổi từ domain controller này đến domain controller khác. Nhưng chỉ có một domain controller có vai trò riêng trong mạng. Hai domain controller không thể chạy cùng một chức năng tao tác chính tại bất kì thời điểm nào của mạng.
DOMAIN NAME SYSTEM – DNS
Giới thiệu về DNS
DNS là một cơ sở dữ liệu (CSDL) phân tán được dùng để dịch tên máy tính (host name) thành địa chỉ IP trong các mạng TCP/IP. Để cung cấp một cấu trúc phân cấp cho cơ sở dữ liệu DNS người ta cung cấp một lược đồ đánh tên được gọi là không gian tên miền. Miền gốc (root domain) là mức định của cấu trúc tên miền được ký hiệu một dấu chấm (.). Miền mức định được đặt dưới miền gốc và chúng được đại diện cho kiểu của tổ chức, chẳng hạn com hay edu hay org hoặc nó có thể là một định danh địa lý như vn (Việt nam). Các miền mức thứ 2 được đăng ký cho tên các tổ chức khác hay các người sử dụng đơn lẻ. Chúng có thể chứa cả hai: các máy tính/tài nguyên (host) và các miền con (subdomains).
Tên miền đã kiểm chứng đầy đủ (Full Qualified Domain Name – FQDN) mô tả mối quan hệ chính xác của máy tính và miền của nó. DNS sẽ sử dụng FQDN để dịch tên máy thành một địa chỉ IP. Dữ liệu tên-địa chỉ IP được đặt trong vùng. Thông tin này được lưu trữ trong một tập tin vùng trên máy chủ DNS. Để dịch tên thành một địa chỉ IP thì nó sẽ sử dụng truy vấn tìm kiếm chuyển tiếp. Khi truy vấn chuyển tiếp được gửi đến máy khách, nếu máy chủ DNS cục bộ không được cấp quyền để được truy vấn thì máy chủ DNS cục bộ sẽ chuyển nó đến máy chủ DNS giữ vùng chủ.
Hướng dẫn việc đánh tên miền
Trong khi tạo không gian tên miền nên thực hiện các hướng dẫn và thoả thuận đánh tên chuẩn sau đây:
Số lượng các mức của miền nên được giới hạn, bởi vì nếu tăng các mức thì sẽ tăng các tác vụ quản trị.
Nên sử dụng tên đơn giản và duy nhất. Tên miền con nên là duy nhất trong miền cha do đó tên đó sẽ là duy nhất trong toàn bộ không gian DNS.
Các tên miền không nên dài. Chúng có thể sử dụng 63 kí tự . Độ dài của FQDN không vượt quá 255 ký tự. Các tên miền không phân biệt hoa - thường.
Nên sử dụng các ký tự Unicode và DNS chuẩn. Sử dụng các ký tự unicode chỉ khi tất cả các máy chủ chạy DNS hỗ trợ unicode.
Vùng
Không gian tên miền có thể được chia thành nhiều phân đoạn nhỏ. Điều này giúp chúng phân tán các tác vụ quản trị không gian tên miền cho các nhóm khác nhau. Những phân đoạn này được gọi là các Vùng (zone). Các nhóm khác nhau có thể quản trị mỗi vùng riêng biệt. Vùng phải chứa không gian tên miền kề nhau.
Có ba kiểu vùng sau:
Vùng chính tiêu chuẩn: Kiểu vùng này giữ một bản sao chủ của tập tin cơ sở dữ liệu vùng. Cơ sở dữ liệu vùng được lưu trong tập tin văn bản. Tập tin này được lưu trên máy tính tạo vùng đó.
Vùng phụ tiêu chuẩn: Kiểu vùng này giữ một phần nhân bản của tập tin cơ sở dữ liệu vùng chủ. Cơ sở dữ liệu vùng được lưu vào một tập tin văn bản đặt ở chế độ chỉ đọc. Vùng phụ cung cấp tính chịu lỗi (fault tolerance) và cân bằng tải (load balacing).
Vùng thư mục hoạt động Tích hợp: Kiểu vùng này lưu bản sao của tập tin cơ sở dữ liệu vùng trong Thư mục hoạt động (Active Directory). Những chuyển giao vùng được thực hiện suốt quá trình nhân bản thư mục hoạt động.
DNS động (Dynamic DNS)
Trước đây, việc bổ xung, xoá và thay đổi cơ sở dữ liệu vùng được thực hiện thủ công. Nhưng với sự ra đời của giao thức cập nhật DNS động nhưng việc này đều được thực hiện tự động. Giao thức này được dùng với DHCP. Dịch vụ DHCP là dịch vụ cấp địa chỉ IP cho máy khách tự động vì vậy giảm tác vụ quản trị cấp địa chỉ IP đến các máy cá nhân đơn lẻ. Ngay khi máy khách nhận được một địa chỉ IP nó sẽ cập nhật bản ghi tài nguyên (host)A. Tại thời điểm đó dịch vụ DHCP cập nhật bản ghi PTR.
DYNAMIC HOST CONFIGURATION PROTOCOL – DHCP
Giới thiệu về DHCP
Quy mô mạng, việc quản lý và gán địa chỉ IP cho máy khách sẽ tiêu tốn nhiều công sức và thời gian. DHCP tự động gán địa chỉ IP và sẽ đảm bảo việc quản lý các địa chỉ IP này. DHCP sử dụng một tiến trình tạo địa chỉ cho mướn để gán địa chỉ IP cho các máy tính khách chỉ trong một khoảng thời gian xác định. Do DHCP là một tiến trình cung cấp IP động nên các máy khách sẽ cập nhật hoặc làm mới các địa xin cấp của chúng tại các khoảng thời gian đều đặn. TCP/IP có thể được cấu hình tự động hoặc thủ công. Việc cấu hình tự động TCP/IP được thực hiện bằng cách sử dụng DHCP.
Quá trình cấp phát động của dịch vụ DHCP
Khi máy khách DHCP thực hiện, nó sẽ gửi yêu cầu xin cấp địa chỉ IP đến máy chủ DHCP. Máy chủ nhận yêu cầu này sẽ chọn một địa chỉ IP từ khoảng địa chỉ đã được định nghĩa trước trong cơ sở dữ liệu địa chỉ IP để cấp phát. Nếu máy khách chấp nhận địa chỉ mà máy chủ cung cấp thì máy chủ sẽ cung cấp cho máy khách địa chỉ IP đó chỉ trong một khoảng thời gian giới hạn (tối đa là 8 ngày). Thông tin này có thể bao gồm một địa chỉ, một mặt nạ mạng con (subnet mask), địa chỉ IP của các máy chủ DNS, được cổng nối (gateway) mặc định và một địa IP của máy chủ WINS. Tiến trình cấp địa chỉ IP của DHCP được thực hiện theo tiến trình 4 bước: yêu cầu xin cấp IP, chấp nhận cấp IP, chọn lựa cung cấp IP, và xác nhận việc cấp IP.
Yêu cầu cấp IP
Mỗi khi một máy khách khởi động hoặc kích hoạt TCP/IP hoặc khi DNS thay mới địa chỉ IP đã được cấp của họ thì tiến trình xin cấp TCP/IP sẽ được khởi động. Máy khách truyền đi khắp mạng (broadcast) một thông điệp DHCPDISCOVER với mục đích để thu được địa chỉ IP. Máy khách sử dụng địa chỉ IP 0.0.0.0 như là địa chỉ nguồn vì không có địa chỉ IP nào được gắn lên thông điệp. Tương tự, máy khách cũng sử dụng địa chỉ IP 255.255.255.255 làm địa chỉ đích vì chính nó cũng không biết địa chỉ của máy chủ DHCP. Điều này để đảm bảo rằng thông điệp được phát đi rộng khắp trên toàn mạng. Thông điệp này chứa địa chỉ MAC (Media Access control - điều khiển truy xuất đường truyền), địa chỉ MAC chứa địa chỉ phần cứng của card mạng của máy khách.
Chấp nhận cấp IP
Máy chủ DHCP trả về máy khách một thông điệp DHCPOFFER trong cùng một phân đoạn mạng. Thông điệp này chứa địa chỉ phần cứng của máy khách, địa chỉ IP cung cấp, mặt nạ mạng con, thời gian hiệu lực của IP cho cấp phát, và định danh của máy chủ. Máy chủ DHCP dành ra địa chỉ IP này và không cấp cho các yêu cầu khác với cùng địa chỉ này. Máy khách sẽ chờ cấp IP trong 1 giây, nếu không có thông tin gì trả lời trong thời gian đó thì nó lại phát đi yêu cầu trong các khoảng thời gian 2, 4, 8 và 16 giây. Nếu máy khách vẫn không nhận được thông tin chấp nhận cung cấp, nó sẽ sử dụng các địa chỉ IP được lưu giữ trong một khoảng đã được đăng ký, từ 162.254.0.1 đến 162.254.255.254. Sau đó máy khách DHCP tiếp tục tìm kiếm máy chủ DHCP trong mỗi 5 phút. Khi tìm được máy chủ DHCP sẵn sàng thì máy khách sẽ nhận được các địa chỉ IP hợp lệ.
Chọn lựa cung cấp IP
Máy DHCP khách sẽ báo nhận lời thông điệp cấp IP bằng cách phát đi một một thông điệp DHCPREQUEST. Thông điệp này chứa thông tin xác định máy chủ đã cấp IP động. Khi tất cả các máy chủ biết các thông tin máy chủ cấp thì các máy chủ còn lại sẽ lấy lại các thông báo cấp địa chỉ IP và sẽ sử dụng chúng cho các yêu cầu xin cấp phép IP khác.
Xác nhận cấp IP
Máy chủ DHCP đã nhận thông điệp DHCPREQUEST từ các máy khách sẽ trả lời một thông điệp DHCPACK. Thông điệp này chứa thông tin cấu hình và sự cấp phát hiệu lực cho địa chỉ IP đó. TCP/IP sẽ khởi động cấu hình đã được cung cấp từ máy chủ DHCP đó. Sau đó, máy khách sẽ buộc giao thức TCP/IP với các dịch vụ mạng và với card mạng do đó nó cho phép máy khách có thể liên lạc trên toàn mạng.
Phạm vi cấp phát
Khoảng địa chỉ IP có thể được cấp phát hoặc được gán cho các máy tính khách trên một mạng con được gọi là phạm vi(scope). Để xác định được nhóm địa chỉ IP được dùng để gán cho các DHCP khách, chúng ta có thể cấu hình pham vi đó trên máy chủ DHCP. Phạm vi cũng có thể được cấu hình bằng cách sử dụng các tham số bổ xung để cung cấp một số tuỳ chọn thêm vào cùng với việc cấp địa chỉ IP. Kiểu thông tin thay đổi này được gọi tên là tuỳ chọn phạm vi(scope option). Những tuỳ chọn này được áp dụng theo một trật tự nhất định, do đó chúng ta có thể dùng nó để gán nhiều mức quyền khác nhau. DHCP chủ cũng cung cấp một tuỳ chọn để giữ một địa chỉ IP đặc biệt cho một máy tính nào đó mà máy này luôn mạng địa chỉ IP nói trên mọi lúc. Điều này rất hữu dụng khi gán các địa chỉ IP cho các máy chủ DNS mà ở đó một sự thay đổi địa chỉ IP có thể gây ra sự hỗn loạn trong mạng.
INTERNET INFOMATION SERVICES – IIS
Web server IIS được cài và cấu hình trên server 3 cho mọi người ở trong mạng nội bộ và ngoài mạng internet có thể truy cập vào web của công ty.
Đặc điểm của IIS 6
IIS là một ứng dụng trên Windows, nó cho phép chạy các ứng dụng như Websites, FPT sites, và Application Pools trên nó. IIS 6.0 có sẵn trên tất cả các phiên của Windows Server 2003, IIS 6.0 trên Windows 2003 được nâng cấp từ IIS 5.0 của Windows 2000. IIS 6.0 cung cấp một số đặc điểm mới giúp tăng tính năng tin cậy, tính năng quản lý, tính năng bảo mật, tính năng mở rộng và tương thích với hệ thống mới.
Nâng cao tính bảo mật
IIS 6.0 không được cài đặt mặc định trên Windows 2003, người quản trị phải cài đặt IIS và các dịch vụ liên quan tới IIS.
IIS 6.0 được cài trong secure mode do đó mặc định ban đầu khi cài đặt xong IIS chỉ cung cấp một số tính năng cơ bản nhất, các tính năng khác như Active Server Pages (ASP), ASP.NET, WebDAV publishing, FrontPage Server Extensions người quản trị phải kích hoạt khi cần thiết.
Hỗ trợ nhiều tính năng chứng thực
Anonymous authentication: cho phép mọi người có thể truy xuất mà không cần yêu cầu username và password.
Basic authentication: Yêu cầu người dùng khi truy xuất tài nguyên phải cung cấp username và mật khẩu thông tin này được Client cung cấp và gởi đến Server khi Client truy xuất tài nguyên. Username và password không được mã hóa khi qua mạng.
Digest authentication: Hoạt động giống như phương thức Basic authentication, nhưng username và mật khẩu trước khi gởi đến Server thì nó phải được mã hóa và sau đó Client gởi thông tin này dưới một giá trị của băm (hash value). Digest authentication chỉ sử dụng trên Windows domain controller.
Advanced Digest authentication: Phương thức này giống như Digest authentication nhưng tính năng bảo mật cao hơn. Advanced Digest dùng MD5 hash thông tin nhận diện cho mỗi Client và lưu trữ trong Windows Server 2003 domain controller.
Integrated Windows authentication: Phương thức này sử dụng kỹ thuật băm để xác nhận thông tin của users mà không cần phải yêu cầu gởi mật khẩu qua mạng.
Certificates: Sử dụng thẻ chứng thực điện tử để thiết lập kết nối Secure Sockets Layer (SSL). NET Passport Authentication: là một dịch vụ chứng thực người dùng cho phép người dùng tạo sign-in name và password để người dùng có thể truy xuất vào các dịch vụ và ứng dụng Web trên nền .NET.
IIS sử dụng Account (network service) có quyền ưu tiên thấp để tăng tính năng bảo mật cho hệ thống. Nhận dạng các phần mở rộng của file qua đó IIS chỉ chấp nhận một số định dạng mở rộng của một số tập tin, người quản trị phải chỉ định cho IIS các định dạng mới khi cần thiết.
Hỗ trợ ứng dụng và các công cụ quản lý
IIS 6.0 có hỗ trợ nhiều ứng dụng mới như Application Pool, ASP.NET.
Application Pool: là một nhóm các ứng dụng cùng chia sẻ một worker process (W3wp.exe).
Worker process (W3wp.exe) cho mỗi pool được phân cách với worker process trong pool khác.
Một ứng dụng nào đó trong một pool bị lỗi (fail) thì nó không ảnh hưởng tới ứng dụng đang chạy trong pool khác.
Thông qua Application Pool giúp ta có thể hiệu chỉnh cơ chế tái sử dụng vùng nhớ ảo, tái sử dụng worker process, hiệu chỉnh performance (về request queue, CPU), health, Identity cho application pool.
ASP.NET: là một Web Application platform cung cấp các dịch vụ cần thiết để xây dựng và phân phối ứng dụng Web và dịch vụ XML Web.
Một số công cụ cần thiết để hỗ trợ và quản lý web
IIS Manager: Hỗ trợ quản lý và cấu hình IIS 6.0
Remote Administration (HTML) Tool: Cho phép người quản trị sử dụng Web Browser để quản trị Web từ xa.
Command–line administration scipts: Cung cấp các Scipts hỗ trợ cho công tác quản trị Web, các tập tin này lưu trữ trong thư mục %systemroot%\System32.
DISTRIBUTED FILE SYSTEM – DFS
Giới thiệu về DFS
Distributed File System (DFS) cho phép bạn hợp nhất các chia sẻ file giúp người dùng có thể truy cập tới chúng từ một điểm trên mạng. Windows Server 2003 đã cải tiến công nghệ mô hình WAN cho phép các điểm DFS tồn tại qua các liên kết WAN.
Trong môi trường DFS bạn có thể tập trung các thư mục và tập tin chia sẻ cùng tồn tại trên các máy chủ khác nhau để hiển thị như từ cùng một vị trí.
Vì sao nên dùng DFS
Trong mạng LAN khi hệ thống mạng đòi hỏi phải thực hiện việc chia sẻ tài nguyên giữa các người dùng trong mạng với nhau ngày càng nhiều thì đòi hỏi hệ thống phải có một File Server để đảm đương công việc này.Tuy nhiên trên thực tế với một hệ thống mạng lớn đến rất lớn thì việc một máy File Server gồng gánh cho tất cả các yêu cầu là không thể. Mà yêu cầu đặt ra là làm sao có nhiều File Server hơn và cùng chia sẻ một lượng tài nguyên nào đó.
Với DFS lượng dữ liệu dùng để chia sẻ cho người dùng giờ đây không còn nằm trên duy nhất một File Server nữa mà tùy theo nhu cầu thực tế người quản trị mạng sẽ thiết kế 2 hay nhiều File Server cùng thực hiện việc chia sẻ này, tổng hợp tất cả các File Server này.
Như vậy với mô hình DFS khi có các yêu cầu truy cập tài nguyên từ bên ngoài vào DFS thì hệ thống sẽ tự phân chia đều các yêu cầu này cho các File Server bên trong DFS nhằm tránh tình trạng một File Server nào đó quá tải trong khi một File Server khác thì quá nhàn rỗi. Mặt khác giúp cho User không quan tâm là lấy dữ liệu từ đâu và chỉ truy cập đến đường link từ DFS mà thôi.
MAIL SERVER
Mail Server là một chương trình phần mềm dùng để quản lý các Mail client. Có hai dạng Mail Server đó là Mail Online và Mail Offline.
Mail Online: do nhà cung cấp tự quản lý và người sử dụng chỉ cần cấu hình Mail client.
Mail Offline: người quản trị phải quản lý và tạo ra các account cho người dùng, loại mail này sử dụng phổ biến có hai loại là Mdeamon và Exchange
Windows Server 2003 mặc định được tích hợp sẵn một ứng dụng quản lý Mail Server đó là dịch vụ POP3. Loại dịch vụ này sử dụng giao thức POP3 và SMTP để gửi và nhận Mail. POP3 có cổng mặc định là 110 và SMTP có cổng mặc định là 25. Người dùng mail client sẽ quản lý và sử dụng Mail client bằng chương trình Outlook Express, cái này cũng được tích hợp sẵn trong các phiên bản Windows của Microsoft. Nhưng hiện nay do nhu cầu công việc và các ứng dụng khác trong việc truyền và nhận mail nên việc dùng các dịch vụ tích hợp sẵn trong Windows của Microsoft không còn được dùng nhiều nữa. Các doanh nghiệp có xu hướng dùng các chương trình quản lý Mail của hãng phần mềm thứ 3 hoặc một phần mềm khác cũng của Microsoft nhưng không phải là tích hợp sẵn trong các phiên bản Windows. Hai chương trình quản lý Mail được dùng phổ biến hiện nay nhất là Mdeamon và Exchange. Các doanh nghiệp vừa và nhỏ, có quy mô mạng nhỏ và số lượng account không quá lớn thì thường dùng chương trình Mdeamon để quản lý Mail. Còn các doanh nghiệp lớn, qua mô mạng rộng khắp và có số lượng account khổng lồ thì dùng chương trình Exchange để quản lý Mail. Mdeamon là một phần mềm quản lý Mail của hãng Mdeamon (trang chủ www.mdeamon.com). Còn Exchange là một phần mềm của Microsoft dùng cho việc quản lý mail ở các công ty lớn, các tập đoàn. Với đề tài quản trị các mạng doanh nghiệp nhỏ nên em sẽ sử dụng Mdeamon làm chương trình quản lý mail. Mdeamon đã ra nhiều phiên bản từ khi ra đời tới nay, từ 1.x đến 10.x, ở đây em sẽ dùng chương trình Mdeamon phiên bản 10.1, phiên bản gần như mới nhất hiện nay.
FIREWALL ISA 2006
Giới thiệu ISA 2006
Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet và cũng là phần mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác.
Về khả năng Publishing Service
ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng bất hợp pháp vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins.
Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password).
Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server
Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007.
VPN
Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây lại là những tính năng mà các doanh nghiệp ở VN ta ít dùng).
Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được. tích hợp hoàn toàn Quanratine.
Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients,...
Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác).
PHẦN V:
CÀI ĐẶT
Cài đặt Domain Controller
Cài đặt 2 DC chạy song song
Trên DC Master
Đặt IP
Gõ lệnh dcpromo để tiến hành cài đặt AD
Chọn tạo một Domain mới
Gõ tên cho Domain
Chọn quyền mặc định cho user và group
Gõ password để restore lại AD
Đang thực hiện việc ghi dữ liệu vào và cầu hình AD
Trên DC Slave
Đặt IP
Cũng dùng lệnh dcpromo để cài đặt AD như trên máy DC Master nhưng trong quá trình cài đặt có 1 vài lựa chọn khác như sau:
Chúng ta thêm vào một domain đã có sắn
Sử dụng tài khoản admistrator để cài đặt, và tên của domain chính
Tên domain
Server đang tiến hành cài đặt
Cài đặt DNS
Trên máy DC Slave
Khi đã cài đặt xong AD thì tiến hành cài đặt DNS trên DC Slave
Cấu hình địa chỉ IP lại. ta sử dụng Preferred DNS server chính là IP của chính máy này vì ta dùng máy này làm máy DC
Cài đặt DNS lên máy
Trên máy DC Master
Vào Active Directory sites and service
Chọn properties của NTDS trong DC Master
Bỏ chọn Chọn global catalog
Tương tự như DC Master ta cũng làm tương tự cho DC Slave
Cuối cùng ta đặt lại IP cho 2 máy DC Master và DC Slave như sau:
Cài đặt DHCP
Cài đặt DHCP
R-Click chọn “New Scope”
Điền tên Công ty
Điền khoảng IP sẽ cấp
Tương tự như máy Server Master, trên máy Server Slave
Add khoảng mạng còn lại
Tạo DHCP phòng ban để cung cấp địa chỉ IP cho các phòng ban trong Cty
Điền khoảng IP sẽ cấp cho các phòng ban này
Điền Default Gateway
Cài đặt DFS và xây dựng File Server
Cài đặt và cấu hình DFS trên 2 máy DC
Chuẩn bị
Trên máy DC Master
Tạo 2 thư mục là “root” và “data”.
Thư mục “root” chứa các thành phần tạo nên root cho DFS, còn thư mục “data” để cho user map về sử dụng.
Sau đó share 2 folder này:
Trên máy DC Slave
Tạo 2 thư mục là “backup root” và “backup data”
Sau đó share 2 folder
Cấu hình
Trên máy DC Master
Vào administrative tools/ Distributed File System
Trong Distributed File System click chuột phải chọn new root
Trong màn hình root type của new root chọn Domain root
Trong cửa sổ host name để mặc định
Tìm đến server root DC Master
Đặt tên cho root là “share folder”
Trong cửa sổ root share chỉ tới đường dẫn tới thư mục root name
Tiếp theo sẻ tạo root target
Màn hình “new root winzard” hiện ra ta click browse chọn DC Slave
Chọn thư mục backup data ở server DC Slave
Sau khi đã tạo được root thì tạo link để link từ root
Trong cửa sổ new link, viêt tên link và trỏ đến thư mục data tren máy DC Master
Tiếp tục tạo new link target để trỏ về máy DC Slave để backup dữ liệu
Tìm đến thư mục “backup data” là nơi chứa dữ liệu được backup giống như thư mục data trên DC Master
Sau khi đã cấu hình xong link thì yêu cầu cấu hình replication
Hoàn thành cấu hình
Khởi động lại 2 máy Server để việc cài đặt được hoàn tất
Xây dựng File Server
Trong thư mục data có chứa các thư mục con, mỗi thư mục là thuộc về một phòng ban riêng, sau đó gán quyền trên mỗi folder cho các user và group.
Gán quyền trên thư mục data
Chọn properties của “data”, chọn tab security chọn advanced
Trong bảng advance security settings bỏ dấu chọn “Allow inheritable”
Nhấn copy
Gán quyền trên thư mục ACC cho phòng ban ACC truy cập vào
Chọn tab sercurity và add nhóm ACC DEPARMENT vào
Gán cho các nhân viên trong phòng ACC các quyền như đọc, ghi file. Mỗi nhân viên không thể xóa thư mục hoặc tập tin của nhân viên khác tạo ra.
Sau khi đã cấu hình cho phòng ban được quyền truy cập vào folder của phòng mình thì gán quyền cho trưởng phòng có full quyền trên thư mục đó.
Tương tự cho các thư mục của các phòng ban khác
Đối với thư mục public dung để chứa các file, thư mục dùng chung trong công ty.
Add tất cả các phòng ban trong công ty vào tương tự như trên.
Sau đó vào phần advance security, click vào mỗi phòng ban chọn edit, bỏ phần delete và delete subfolders and files để mỗi phòng ban, mỗi nhân viên không thể xóa thư mục hay file của người khác đã tạo ra
Cài đặt IIS, tạo Web và public ra Internet
Cài đặt IIS 6.0
IIS 6.0 không được cài đặt mặc định trong Windows 2003 server, để cài đặt IIS 6.0 ta thực hiện các bước như sau:
Chọn Start | Programs | Administrative Tools | Manage Your Server.
Chọn Application server (IIS, ASP.NET) trong hộp thoại server role, sau đó chọn Next.
Chọn hai mục cài đặt FrontPage Server Extentions và Enable ASP.NET, sau đó chọn Next. Chọn next trong hộp thoại tiếp theo
Sau đó hệ thống yêu cầu cho đĩa Windows 2003 vào và chọn đến thư mục I386 trong đĩa và click OK
Tạo website mới
Vào Internet Infomation Sevices (ISS), R-click vào Web Site chọn New | Web Site
Điền tên website
Điền địa chỉ IP của máy Web Server
Tìm đến địa thư mục chứa trang web
Public trang web ra Internet
Tạo 1 Rule cho phép publich web trên ISA
Điền tên và địa chỉ IP của máy Web Server
New port
Cài đặt Mdaemon trên Mail Server
Chạy setup Mdaemon
Chọn đường dẫn cài Mdaemon
Điền tên đăng ký key
Quá trình cài đặt đang được tiến hành
Điền tên domain
Tạo Account đầu tiên
Điền địa chỉ IP của máy làm nhiệm vụ phân giải IP
Hoàn tất quá trình cài đặt
Giao diện chính của Mdaemon
Cài đặt DHCP Relay
Vào Routing and Remote Access
Trong Router/IP routing/General, chọn DHCP relay agent
Vào DHCP relay agent mới vừa tạo chọn card LAN là card nối với hệ thống mạng mà DHCP relay cấp IP.
Vào Properties của DHCP relay đó chọn IP của hai máy DHCP server
Cài đặt ISA theo mô hình Back to back
Cài đặt ISA 2006
Giao diện cài đặt chương trình
User Name và serial Number
Add card int vào
Hoàn thành việc cài đặt ISA server
Cấu hình Back Firewall trên máy ISA Back
Vào Network / task / back firewal
Chọn card của vùng mạng nội bộ
Chính sách khóa tất cả ban đầu
Cấu hình ISA end trên máy ISA front end
Vào Network / task / front firewall
Chọn card của vùng mạng DMZ
Khóa tất cả ban đầu
Hoàn thành việc tạo mô hình front end
Cài đặt và cấu hình VPN
Trên máy ISA front end
Cho tất cả các kết nối từ ISA Back ra internet
Tạo Rule mới
Cho phép tất cả các kết nối
Add Computer
Cho phép tất cả User
Public Server ISA back end
Publishing rule PPTP
Điền IP của ISA Back
Chọn giao thức
Trên máy ISA Back
Vào propeties của vitual private networks (VPN)
Trên tab address assignment chọn dãy địa chỉ IP sẽ cấp cho các VPN client
Click vào phần configure VPN client access
Sau đó enable VPN client access lên với số client được đăng nhập tối đa 1 lần
Trong phần group ta add group gồm cac user đã được cho phép truy cập VPN server vào
Phần giao thức chung ta sẽ sử dụng giao thức PPTP
Cuối cùng chúng ta enable VPN client access lên
PHẦN VI:
HƯỚNG PHÁT TRIỂN CHO ĐỀ TÀI
Trong tương lai công ty có ý định mở thêm chi nhánh tại Quy Nhơn để thuận tiện cho công việc kinh doanh của mình, và để dữ liệu tại chi nhánh và trụ sở chính luôn được cập nhật qua lại với nhau một cách thông suốt vậy hệ thống mạng của công ty cũng có một số yêu cầu sau:
Hệ thống mạng ở chi nhánh phải luôn được đồng bộ với hệ thống mạng ở trụ sở chính.
Các nhân viên trong chi nhánh được làm việc trên một hệ thống mạng ổn định.
Các nhân viên trong chi nhánh được sử dụng tất cả các dịch vụ giống như các nhân viên trong trụ sở chính.
Nhân viên ở chi nhánh có tài khoản để đăng nhập vào hệ thống được cấp giống như các nhân viên ở trụ sở chính.
Vì thế với những yêu cầu đó chúng ta sẻ xây dựng hệ thống văn phòng ở chi nhánh kết nối với trụ sở chính theo mô hình VPN site to site.
Mô hình VPN site to site giúp cho văn phòng chi nhánh kết nối với văn phòng chính qua một kênh riêng thông qua môi trường internet và được bảo mật với các cơ chế bảo mật trong VPN. Khi mô hình VPN được thiết lập thì chi nhánh có thể kết nối được với văn phòng chính và các nhân viên ở chi nhánh có thể làm việc với hệ thống quản lý của văn phòng chính.
Mô hình VPN cho hệ thống chi nhánh ở Quy Nhơn và trụ sở chính tại TP.Hồ Chí Minh.
Với mô hình này các server ở chi nhánh cũng được sử xây dựng với mô hình ISA back to back nhằm nâng cao tính bảo mật cho hệ thống.
Với VPN site to site các máy ở chi nhánh văn phòng sẻ đều thuộc cùng domain là hmmvn.com.
DC ở chi nhánh được đồng bộ so với DC ở trụ sở chính, vì thế mọi sự truy cập vào hệ thống chi nhánh cũng giống như truy cập vào hệ thống ở trụ sở chính.
PHẦN VII:
KÊT LUẬN
Qua quá trình làm đồ án tốt nghiệp về xây dựng và quản trị hệ thống mạng cho công ty Hyundai Merchant Marine Việt Nam chúng tôi đã học được rất nhiều điều bổ ích và đã xây dựng được một hệ thống mạng phù hợp cho công ty, nhưng vì một số lý do như: không có đủ thiết bị, kiến thức còn hạn hẹp, không có đủ thời gian trong vệc nghiên cứu và tìm hiểu các công nghệ mới và cần phải học hỏi thêm nữa nên còn một số thiếu sót trong bài, vì thế nên có những phần chúng tôi đã đạt được và hoàn thành tốt đẹp nhưng cũng có một số phần chúng tôi chưa đạt được và cần phải nghiên cứu thêm nhằm hoàn thiện hơn.
Những phần đã đạt được
Mô hình mạng back to back
Xây dựng nên mô hình với “ISA back end” và “ISA front end” ảm bảo sự an toàn cho hệ thống bên trong khi có người bên ngoài truy cập vào vùng DMZ.
Web server
Đã xây dựng được web server và đã public được ra bên ngoài Internet giúp cho các nhân viên trong công ty và bên ngoài Internet có thể truy cập vào trang web của công ty, và được bào mật tránh việc mất mật khẩu.
Mail server
Xây dựng được hệ thống mail nội bộ trong công ty để cho các nhân viên trong công ty có thể gửi và nhân mail với nhau và được bảo mật bằng cơ chế SSL.
DC và DC đồng cấp
Hai DC này chạy song song nên rất cần thiết và hầu như mọi công ty đều phải có để dự phòng, khi một DC làm Master thì DC còn lại cũng được sử dụng để làm backup cho DC kia và ngược lại.
DHCP & DHCP relay agent
Đã cài đặt được DHCP relay agent giúp cấp địa chỉ IP động cho các VLAN trong hệ thống, nhằm đảm bảo sự riêng tư của các phòng ban với nhau.
File server & DFS
Xây dựng được hệ thống file server với DFS nằm kết hợp trên 2 DC vừa tiết kiệm được tài nguyên, vừa đảm bảo hệ thống luôn thống suốt.
VPN server
Các nhân viên ở bên ngoài Internet có thể truy cập vào hệ thống mạng của công ty thông qua dịch vụ VPN.
Những phần chưa làm được:
Mô hình ISA array – loadbalancing
Với mô hình này chúng ta có thể có được nhiều nhà dịch vụ cung cấp Internet để đảm bảo các nhân viên trong công ty luôn truy cập được Internet
Nhưng hiện nay có rất nhiều các thiết bị phần cứng đảm nhận việc này giúp chúng ta dễ dàng thực hiện load balancing với nhiều đường line Internet như: vigor 3300, AscenVision AscenLink SE, Planet MH-4000, DI-LB604…
Dịch vụ FTP
Đây là dịch vụ giúp các nhân viên trong công ty có thể tải dữ liệu từ công ty về thông qua mạng Internet
Nhận xét về hệ thống mạng của công ty
Trước khi chưa triển khai hệ thống mới với mô hình này thì hệ thống mạn của công ty có những bất cập sau:
Việc truy xuất dữ liệu của các nhân viên lên server bị chậm vì tất cả mọi nhân viên và server đều nằm chung trong một mạng.
Khi Domain Controler gặp lỗi hoặc hỏng hóc thì tất cả mọi nhân viên sẻ không thể đăng nhập vào hệ thống để làm việc.
Dữ liệu được lưu trữ kém an toàn và nhân viên không thể làm việc được với dữ liệu được quản lý tập trung khi file server gặp sự cố.
Hệ thống mạng của công ty được bảo mật kém vì web và mail server nằm chung trong cùng hệ thống mạng nội bộ của công ty.
Sau khi triển khai hệ thống mới:
Tất cả mọi nhân viên trong công ty đều có thể truy xuất dữ liệu một cách nhanh chóng.
Có hệ thống dự phòng cho cả AD và file server nên đảm bảo an toàn cho dữ liệu hơn.
Với mô hình ISA back to back được triển khai nên việc bảo mật cho hệ thống mạng nội bộ của công ty được tốt hơn vì web server và mail server đều được đặt trong vùng DMZ.
Nói tóm lại tuy hệ thống còn một số thiếu sót nhưng với hệ thống mạng mới này có thể được triển khai tại Công ty TNHH Hyundai Merchant Marine Việt Nam để đáp ứng các nhu cầu về bảo mật cũng như làm việc của các nhân viên trong công ty.
MỤC LỤC
Các file đính kèm theo tài liệu này:
- DAin.doc
- Xy d7921ng h7879 th7889ng m7841ng cho Cty TNHH Hyundai Merchant Marine Viamp787.doc