Quản trị mạng Windows Server 2003 - Phần 1 - TỔNG QUAN VỀ WINDOWS SERVER 2003

Định cấu hình TCP/IP với một địa chỉ IP tĩnh Để thiết lập địa chỉ IP cho các máy sử dụng Windows Server 2003, bạn làm theo hướng dẫn sau: Start/Control Panel/Network Connections, nhắp ph

Chương 1 TỔNG QUAN VỀ WINDOWS SERVER 2003

1 Các phiên bản của Windows Server 2003

Trong Windows Server 2003 Microsoft đã cung cấp một số tính năng mới nhưng các tính năng này không được cung cấp đầy đủ trong mọi ấn bản của hệ điều hành Windows Server 2003 Thay

vì thế họ đã chia ra thành 4 phiên bản chủ lực sau:

• Windows Server 2003, Standard Edition

• Windows Server 2003, Web Edition

• Windows Server 2003, Enterprise Edition

• Windows Server 2003, Datacenter Edition

1.1 Windows Server 2003, Standard Edition

Đây là phiên bản chuẩn của Windows Server 2003, nó có tất cả các tính năng đã có trong các hệ điều hành tiền nhiệm trước nó là Windows 2000 Server Ngoài ra nó còn được bổ sung thêm các tính năng mới như các bản Windows Server 2003 khác Mặt khác Windows Server 2003, Standard Edition còn kèm theo một tính năng khác mà trong Windows 2000 Server không có, đó

là tính năng Network Load Balancing (NLB) NLB không phải là tính năng mới, nó đã xuất hiện trong phiên bản Windows Server cao cấp hơn, đó là phiên bản Windows 2000 Advanced Server

1.2 Windows Server 2003, Web Edition

Đây là phiên bản mới xuất hiện trong dòng Windows Server của Microsoft Mục đích ra đời của phiên bản này là nhằm thúc đẩy sự phát triển của phần mềm Web Server (IIS) để cạnh tranh với các Web Server khác như Apache Phiên bản này chỉ có khả năng định địa chỉ tối đa là 2GB bộ nhớ RAM Ngoài ra phiên bản này còn bị loại bỏ nhiều tính năng khác như:

• Không thể đóng vai trò là Domain Controller mặc dù nó có thể gia nhập vào một miền có sẵn

• Không thể yểm trợ các máy khách Macintosh trừ khi với vai trò là một Web Server

• Không thể truy cập từ xa thông qua Terminal Services mặc dù nó có tính năng Remote Desktop như Windows XP

• Không thể cung cấp tính năng Internet Connection Sharing hoặc Net Bridging

• Không thể đóng vai trò là một DHCP Server hoặc Fax Server

1.3 Windows Server 2003, Enterprise Edition

Đây là bản nâng cấp của phiên bản Windows 2000 Advanced Server đã được Microsoft cung cấp trước đây Windows Server 2003, Enterprise Edition cung cấp khả năng kết chùm server tối đa lên đến 4 máy và nó cũng cho phép khởi động server từ Storage Area Network (SAN), lắp đặt nóng bộ nhớ RAM và chạy được 4 bộ vi xử lý

1.4 Windows Server 2003, Datacenter Edition

Đây là bản cao cấp nhất trong dòng sản phẩm Windows Server 2003 của Microsoft Phiên bản này có những công cụ rất mạnh mà trước đây chỉ có thể thực hiện được trên những máy mainframe như công cụ Windows System Resource Manager (WSRM) Công cụ này cho phép

dụng cụ thể Datacenter cũng yểm trợ việc kết chùm 8 máy Server và lắp đặt nóng RAM mà không cần phải tắt máy hoặc Reboot lại hệ thống.

2 Các Server miễn phí mới trong Windows Server 2003

Ngoài những Server miễn phí đã có sẵn trong các phiên bản Windows NT trước đây như các công

cụ truy cập từ xa, một Web Server, FTP Server và nhiều tính năng khác, Windows Server 2003 còn bổ sung một số Server miễn phí mới như một Mail Server bao gồm dịch vụ POP3 và giao thức SMTP Ngoài ra trong Windows 2003 còn cung cấp một công cụ nữa đó là một động cơ phần mềm (software engine) cơ sở dữ liệu miễn phí Động cơ phần mềm cơ sở dữ liệu này là một bản SQL Server 2000 nhưng bị giới hạn một số tính năng của bản SQL Server 2000 thương mại

3 Những tính năng mới về nối mạng

Windows Server 2003 cũng thừa hưởng những tính năng mới về nối mạng của các phiên bản trước đó, ngoài ra nó còn có một số đặc điểm khác nữa

3.1 NAT Traversal

Đây là một tính năng đã được trình bày trong Windows XP Chức năng của NAT Traversal là làm thế nào để một máy bên trong một mạng NAT có thể liên lạc với một máy bên trong một mạng NAT khác

3.2 IPSec NAT Traversal

Để truyền những thông tin quan trọng qua mạng ta không thể sử dụng các cuộc truyền tin IP bình thường thông qua NAT vì những lý do an ninh Thay vì thế ta phải thực hiện các cuộc truyền tin dựa trên IPSec (IP Security) Công việc của IPSec là chuyển đổi một cuộc trao đổi thông tin IP thông thường thành một cuộc truyền tin IP có mã hoá (encryped)

Trong các phiên bản Windows Server trước đây thì IPSec và NAT không được phối hợp với nhau Nhưng trong phiên bản Windows Server 2003 thì Microsoft đã kèm theo một loại IPSec mới, có khả năng nhận biết NAT Trasersal Với công cụ này các máy thuộc các mạng nonroutable

có thể truyền thông an toàn với nhau Nhưng để thực hiện được các cuộc truyền thông này bạn phải có những firewall và router có khả năng nhận biết NAT Trasersal

3.3 Tính năng NBT Proxy

Thành phần Routing and Remote Access Service (RRAS) của Windows Server 2003 có một tính

năng tên là NetBIOS over TCP/IP Proxy hay ngắn gọn hơn là NBT Proxy cho phép các máy kết

nối đến mạng WAN thông qua đường dial-in có thể nhìn thấy các máy trong mạng WAN trong cửa sổ Network Neighborhood

3.4 Tính năng Conditional DNS Forwarding yểm trợ loại DNS tích hợp AD đa miền

Tính năng này cho phép các quản trị viên mạng xây dựng các DNS Server dành cho các miền riêng biệt trong cùng một mạng có thể tìm thấy các DNS Server khác dành cho các miền khác trong cùng mạng đó

CHƯƠNG 2 TCP/IP TRONG WINDOWS 2003

1 Địa chỉ IP và dạng thức Dotted-Quad

Địa chỉ IP bao gồm 32 bit được biểu diễn dưới dạng w.x.y.z trong đó w,x,y,z là những giá trị thập phân từ 0 đến 255

Một số trong bộ dotted-quad tương ứng với tám bit của địa chỉ Internet

Các địa chỉ IP được cấp phát bởi các quản trị viên mạng hoặc được cung cấp bởi DHCP Server trên mạng

2 Các mạng lớp A, B, C và việc phân chia mạng

2.1 Các mạng lớp A

Có 8 bit đầu tiên được ấn định bởi InterNIC, những người quản trị nội bộ của mạng ấn định 24 bit còn lại

Tám bít bên trái nhất có thể có những giá trị từ 0 (0000.0000) đến 126 (0111.1110), cho phép đến

127 mạng lớp A, mỗi mạng có thể chứa đến 224 host (hơn 16,7 triệu host)

Các địa chỉ mạng lớp C bắt đầu bằng một giá trị từ 192 (1100.0000) đến 223 (1101.1111) trong quad thứ nhất, các quad thứ hai và thứ ba có giá trị từ 0 đến 255

Có 2.097.152 mạng lớp C, mỗi mạng có tối đa 254 host

3 Các địa chỉ không định tuyến (nonroutable)

RFC 1918 quy định ba phạm vi địa chỉ không định tuyến (nonrountable) là:

Địa chỉ 0.0.0.0 là địa chỉ chỉ tới toàn bộ Internet, là địa chỉ để phần mềm IP trên mối máy gửi gói

dữ liệu đến khi nó không biết gửi đi đâu 0.x.y.x là một địa chỉ lớp A, do đó có 16.7 triệu địa chỉ như vậy không được sử dụng

4.2 Địa chỉ quay vòng

Địa chỉ 127.0.0.1 được dành riêng làm địa chỉ quay vòng (loopback) Các thông điệp được gửi tới địa chỉ loopback sẽ không đi ra khỏi mạng Do đó không có mạng nào có địa chỉ IP là 127.x.y.z Như vậy sẽ có 16,7 triệu địa chỉ bắt đầu bằng 127.x.y.z không được sử dụng

4.3 Địa chỉ đại diện cho mạng

Các địa chỉ kết thúc bằng tất cả các số nhị phân 0 là địa chỉ đại diện cho mạng Những địa chỉ này

sẽ không được sử dụng để gán cho các máy trong mạng Ví dụ địa chỉ đại diện cho một mạng con lớp C có địa chỉ IP từ 195.134.25.0 đến 195.134.25.255 sẽ là 195.134.25.0

5 Mặt nạ mạng con (subnet mask)

Là một dãy chữ số nhị phân 32 bít bao gồm hai phần: phần đầu là toàn bộ các bít 1, phần sau là toàn bộ các bít 0

Mặt nạ mạng con nhằm mục đích chia nhỏ các mạng lớn thành các mạng con để dễ quản lý hơn.Địa chỉ đại diện cho mạng con là địa chỉ đầu tiên trong phạm vi địa chỉ vừa thu được từ việc phân chia mạng con.

Địa chỉ Broadcast của mạng con sau khi phân chia lại mạng là địa chỉ cuối cùng trong phạm vi địa chỉ đó

6 Cách phân chia mạng con theo kỹ thuật CIDR (Classless Inter-Domain

7 Các socket, các cổng và tập hàm giao tiếp Winsock

Các chương trình làm việc trên Internet hoặc Intranet đều hoạt động theo mô hình client-server dựa trên các socket Một socket được tạo bởi ba thành phần chính là: địa chỉ IP của máy nhận, số hiệu cổng (port number) của chương trình nhận và loại cổng (TCP hoặc UDP)

TCP/IP và UDP đều sử dụng con số 16 bit để chỉ số hiệu cổng mà chương trình sử dụng để truyền nhận thông tin Có 216 = 65.536 cổng khác nhau được sử dụng

Một số chương trình phổ biến sử dụng một số cổng nổi tiếng như trong bảng dưới đây:

8.1 Tổng quan về Internet Connection Sharing (ICS)

ICS được sử dụng để chia sẻ kết nối Internet cho các máy khác nhau trong một mạng LAN Một máy chạy ICS có thể phục vụ cho nhiều kết nối cùng một lúc tới các địa chỉ khác nhau bằng cách

sử dụng các cổng khác nhau cho mỗi yêu cầu kết nối Việc thông tin giữa máy chạy ICS với các máy trong mạng nội bộ (máy nonroutable) của bạn thông qua các cổng được gọi là PAT (Port Address Translation)

ICS là một mẩu phần mềm PAT routing được tích hợp trong Windows 2003 ISC được bổ sung thêm một phần mềm NAT routing mạnh hơn giúp người sử dụng có thể kết nối một địa chỉ IP routable cụ thể với một địa chỉ IP nonroutable cụ thể

8.2 Cách thức hoạt động của ICS

Để có thể chia sẻ các kết nối Internet cho các máy có địa chỉ nonroutable, máy tính đang chạy ICS sẽ phân phối các địa chỉ IP riêng biệt cho các máy trong mạng Dải địa chỉ IP mà nó sẽ phân phối tuân thủ RFC1918, là các địa chỉ nonroutable, thông thường trong dải 192.168.0.2 đến 192.168.0.254 và cấp cho chính nó một địa chỉ IP khác nữa là 192.168.0.1 ngoài địa chỉ IP routable sẵn có mà nhà cung cấp dịch vụ đã cấp cho nó

Khi một máy trong mạng có địa chỉ nonroutable có một yêu cầu truy nhập một Web site trên Internet, nó phải gửi một yêu cầu kết nối đến máy làm chức năng routing bởi vì địa chỉ của nó là địa chỉ nonroutable sẽ không được gửi đi trên Internet Máy làm chức năng routing sẽ dùng địa chỉ routable của nó để chuyển yêu cầu đó ra Internet Khi máy trên Internet hồi đáp lại yêu cầu

lạc với máy có địa chỉ nonroutable Các hồi đáp đó sẽ được các máy routing chuyển đến máy trong mạng đã khởi xướng yêu cầu liên lạc.

Máy chạy ICS còn có khả năng phục vụ cùng một lúc nhiều máy trong mạng có yêu cầu trao đổi thông tin ra ngoài Internet thông qua các cổng khác nhau cho mỗi yêu cầu Sau đó máy routing lại sử dụng số hiệu cổng đến được hồi đáp từ các máy trên Internet để chuyển đổi các số hiệu cổng đó ra một địa chỉ nonroutable trong mạng Quy trình này được gọi là Port Address Translation (PAT) ICS là một mẩu phần mềm PAT được tích hợp sẵn trong Windows Server

2003

9.Thiết lập TCP/IP trên Win 2003 với các địa chỉ IP tĩnh

9.1 Định cấu hình TCP/IP với một địa chỉ IP tĩnh

Để thiết lập địa chỉ IP cho các máy sử dụng Windows Server 2003, bạn làm theo hướng dẫn sau:

Start/Control Panel/Network Connections, nhắp phải chọn Open, sẽ xuất hiện cửa sổ như hình

2.1

Hình 2.1: Các mối nối kết mạngCửa sổ này trình bày từng NIC trong máy bạn Nhắp phải vào NIC tương ứng trên máy và chọn

Properties, khung thoại như hình 2.2 xuất hiện

Hình 2.2: Khung thoại đặc tính của một mối nối kết LAN

Nhắp Internet Protocol (TCP/IP) rồi nhắp nút Properties, xuất hiên khung thoại như hình 2.3

Hình 2.3: Trang đặc tính IP của card mạng

Bạn chọn “Use the following IP Address” sau đó điền địa chỉ IP của máy, mặt nạ mạng con, địa chỉ của default gateway và các địa chỉ của một hoặc nhiều DNS server.

Sau khi nhập xong các địa chỉ bạn nhấn OK hai lần để đóng các khung đặc tính IP và LAN 9.2 Kiểm nghiệm cấu hình IP

Mở cửa sổ dòng lệnh gõ lệnh ipconfig /all, kết quả sẽ xuất hiện như hình 2.4.

Hình 2.4: Dữ liệu xuất hiện sau lệnh ipconfig /all

Lệnh ping ipaddress cho phép xác định xem phần mềm TCP/IP trên máy bạn có mở lên và chạy

tốt không và bạn có một mối nối kết với các điểm khác không

9.3 Gia nhập vào miền Active Directory có cùng tên

Nhắp Start/Control Panel/System, chọn tab Computer Name như hình 2.5

Hình 2.5: Trang Computer Name Nhấn vào nút Change sẽ xuất hiện khung thoại như hình 2.6, chọn radio button Domain rồi nhập

tên của domain mà bạn muốn gia nhập Sau một khoảng thời gian ngắn sẽ xuất hiện khung thoại

yêu cầu bạn nhập User name và Password để xác nhận quyền gia nhập vào Domain của bạn

Sau đó máy yêu cầu reboot để các thay đổi có hiệu lực

Để một máy là thành viên của hai miền khác nhau bạn nhấn vào nút More trên hình 2.6, khung thoại DNS Suffix and NetBIOS Computer Name sẽ xuất hiện như trong hình 2.7

Để một máy vừa là thành viên của miền DNS Internet vừa là thành viên của một miền Active

Directory bạn bỏ ô duyệt đó đi và trong khung Primary DNS suffix of this computer bạn điền

tên của miền DNS bạn muốn gia nhập vào

Hình 2.6: Khung thoại Computer Name Changes

Hình 2.7: Khung thoại DNS Suffix and NetBIOS Computer Name

Để thay đổi thứ tự tìm kiếm tên miền (domain search order) bạn nhấn vào nút Advanced trong hình 2.3 để làm xuất hiện khung thoại đặc tính Advanced TCP/IP Settings có bốn trang với

chức năng như sau:

IP Setting: Cho phép bạn đưa thêm vào nhiều địa chỉ IP hoặc sửa đổi một số đặc tính

routing nào đó đối với mối nối kết LAN dùng TCP/IP đang xét

DNS: Kiểm soát cách cách sử dụng DNS của mỗi nối kết TCP/IP đang xét

WINS: Kiểm soát cách thức mà mối nối kết TCP/IP đang xét nhận diện và liên lạc với

những máy mà không có khả năng dùng Active Directory

Options: Cho phép bạn giới hạn những cổng nào mà mối nối kết TCP/IP có thể dùng để

liên lạc

Hình 2.8: Trang đặc tính DNS nâng cao

10 Thiết lập chế độ định tuyến trên các máy Windows 2003, NT và

Windowws 9x

10.1 Lệnh route add

Lệnh route add dùng để đưa các đề mục vào các bảng thông tin tiếp vận

Cú pháp: route add destination mask netmask gatewayaddress

Trong đó:

destination địa chỉ hoặc nhóm địa chỉ mà bạn muốn máy trạm gửi đến (địa chỉ đại diện cho mạng đích)

netmask là giá trị mặt nạ mạng con (subnet mask) của mạng bạn cần gửi tới

gatewayaddress là địa chỉ IP của card mạng tiếp nhận dữ liệu của máy router

Để máy tính của bạn vẫn có thể nhớ được lệnh này khi restart lại, thêm tham số -p sau từ route

và trước từ add.

10.2 Xem bảng thông tin định tuyến (routing table)

Để xem các thông tin tiếp vận của máy sử dụng một trong hai lệnh sau:

netstat –rn hoặc route print

Hình 2.9: Ví dụ về xuất hiện dữ liệu của lệnh netstat -rn

Mỗi dòng là một đường tiếp vận bao gồm các thông số sau:

Network Destination: địa chỉ mạng đích.

Netmask: mặt nạ mạng con, giúp xác định có bao nhiêu địa chỉ tại mạng đích đó.

Gateway: địa chỉ máy router, là địa chỉ IP mà máy này cần đưa các gói dữ liệu của nó tới để có

thể chuyển tiếp đến đích

Interface: là card giao tiếp mạng được sử dụng để đến được gateway trong trường hợp có nhiều

card mạng trên máy

Metric: giúp IP xác định đường tiếp vận tối ưu khi nó có nhiều phương án lựa chọn Metric bằng

số router đi qua cộng 1 Nếu metric bằng một thì đích đến của gói tin nằm trên cùng một mạng con Nếu có hai con đường để chuyển gói tin tới cùng một địa chỉ thì gói tin sẽ được chuyển tới đích theo con đường nào có metric nhỏ hơn Nếu các đường tiếp vận lại có metric bằng nhau thì

nó sẽ gửi đến đến máy nào có subnet mask cụ thể nhất

Trong Windows XP và Windows 2003 giá trị của metric được ấn định thông qua tốc độ kết nối mạng

Tốc độ kết nối metric

>200 Mbps 10

20 – 200 Mbps 20

Hình 1.10: Hộp thoại Advanced TCP/IP Setting.

Để ấn định metric cho mỗi card mạng hãy nhập giá trị vào trong ô Interface matric như trong

hình 2.10

Ngoài ra bạn có thể bổ sung thông số metric cho mỗi đường tiếp vận riêng biệt bằng cách thêm

tham số metric vào lệnh router add.

Ví dụ: route add 200.15.16.0 mask 255.255.255.0 210.50.200.22 metric 2

11 Giao thức thông tin tiếp vận (RIP – Routing Information Protocol)

Để đơn giản hoá việc thiết lập các routing table, trong Win2K và WinS2K3 đã tích hợp sẵn phần mềm RIP ver2 Các router chạy RIP cứ hai lần mỗi phút lại loan báo các routing table của chúng khắp mạng Các máy trạm chạy RIP đều nghe thấy và tích hợp chúng vào routing table của chính nó

12 Sử dụng máy WINS2K3 làm router giữa các LAN

Yêu cầu máy dùng làm router phải có hai card mạng, mỗi kết nối được đặt thành các tên khác nhau cho dễ gợi nhớ

Trong Win2K hoặc WinXP Pro, có thể thiết lập tính năng nay bằng cách tìm đến khoá

HKEY_LOCAL_MACHINE\System\CurentControlSet\Services\Tcpip\Parameters có đề mục tên là IPEnableRouter có giá trị mặc định là 0, thay đổi giá trị đó thành 1 rồi restart lại

máy Các máy sau khi restart lại có khả năng định tuyến tĩnh giữa các mạng con mà nó kết nối trực tiếp

Trong WINS2K3, sử dụng chế độ routing bằng cách nhấn Start/Control Panel/ Administrative Tools/ Routing and Remote Access để làm xuất hiện cửa sổ MMC như hình 2.11.

Hình 2.11: Màn hình mở màn của dịch vụ Routing and Remote Access

Nhắp phải chuột vào biểu tuợng tên máy trong ngăn bên trái rồi chọn Configure and Enable Routing and Remote Access, khi đó xuất hiện một Wizard tên là Routing and Remote Access Server Setup Wizard Nhấn Next và bạn sẽ thấy xuất hiện một khung thoại như hình 2.12.

Hình 2.12: Màn hình của RRAS Setup Wizad

Chọn Custom Configuration rồi nhấn Next, màn hình Custom Configuration xuất hiện như hình 2.13 Chọn mục LAN Routing rồi nhắp Next và Finish để hoàn thành.

Hình 2.13: Chọn loại router cần thực hiện

WINS2K3 sẽ hỏi bạn có muốn khởi động dịch vụ Routing and Remote Access hay không, chọn Yes, xuất hiện màn hình như trong hình 2.14.

Hình 2.14: Console quản lý của RRAS với tính năng routing đã được bật

Sau khi xây dụng thành công router của mình, phải ấn định defautl gateway cho các máy trong

các mạng bằng cách sử dụng lệnh route add Hoặc có thể bổ sung đường tiếp vận tĩnh trên bằng giao diện đồ hoạ trong RRAS Trong ngăn trái của cửa sổ Routing And Remote Access chọn Folder Ip Routing, mở nó ra và chọn đối tượng Static Routers rồi chọn New Statics Route,

khung thoại như hình 2.15 xuất hiện

Hình 2.15: Khung thoại bổ sung một đường tiếp vận tĩnh

Bạn nhập các giá trị thích hợp vào các ô trong khung thoại và nhấn OK để kết thúc.

13 Sử dụng máy WINS2K3 làm gateway/router để nối với Intenet

13.1 Định tuyến giữa LAN và WAN bằng ICS (Internet Connection Sharing)

Yêu cầu:

• Máy duy nhấp trên LAN có một địa chỉ IP routable (do IANA hoặc ISP cung cấp) là máy được sử dụng làm gateway

• Các máy khác chỉ có những địa chỉ nonroutable

Chức năng này nói chung được gọi là NAT (Network Address Translation) Kể từ Windows 98

SE các hệ điều hành của Microsoft đều có khả năng đóng vai trò NAT router Mang tên là

Internet Connection Sharing (ISC) tính năng này sẽ áp dụng trên mọi loại mối nối kết Internet

Trước khi tiến hành bạn phải bảo đảm dịch vụ Routing and Remote Access (RRAS) không được

chạy trên máy kết nối Internet ISC sẽ không chạy trên máy có dịch vụ RRAS đang được bật

Ba bước thực hiện việc kết nối ICS:

1 Nối tất cả các máy nội bộ của bạn thành một mạng Các máy được đặt ở chế độ nhận địa chỉ IP động (do ICS có kèm trong nó một DHCP server cơ bản không cần cấu hình)

2 Nối kết một trong các máy đó (máy đang chạy ICS) vào Internet thông qua một modem hoặc một card mạng khác

Trên mối nối kết với Internet, bạn mở dịch vụ ICS lên bằng cách nhắp phải vào mối nối kết với

Internet rồi chọn Properties, trong khung thoại đặc tính bạn chọn tab Advanced Tuỳ thuộc vào mối nối kết của bạn với Internet như thế nào bạn sẽ thu được các trang Advanced khác nhau Hình 2.16 là trang Advanced của một kết nối Internet thông qua một card mạng Trong các trang

đó hãy duyệt vào các ô có nhãn là Allow other network users to connect throught this computer’s Internet connection rồi nhấp OK để đóng trang đặc tính đó lại Khi quay trở lại của

sổ Network Connection kết nối với Internet đã có thêm biểu tượng “Share” như hình 2.17.

Hình 2.16: Trang Advanced dành cho một kết nối thông qua NIC

Hình 2.17: Cửa sổ Network Connection khi ICS được mở

3 Ra lệnh cho tất cả các máy trong mạng nội bộ tự động nhận các địa chỉ IP của chúng do máy ICS cấp phát rồi reboot chúng

Những hạn chế của ICS:

1 Không thể can thiệp được vào hoạt động của DHCP server được tích hợp trong ICS

2 Mọi máy trên mạng nội bộ đều có khả năng truy cập Internet nhưng các máy trên Internet không thể truy cập vào các máy trên mạng riêng

13.2 Thiết lập RRAS/NAT hoạt động giống như ICS

Để khắc phục những nhược điểm của ICS, chúng ta sử dụng NAT (Network Address Translation) NAT có khả năng yểm trợ cho các mối kết nối inbount (từ ngoài vào trong mạng nội bộ) Việc thiết lập NAT phức tạp hơn ICS một chút, do đó ta sẽ bắt đầu bằng cách lặp lại các

chức năng giống như ICS rồi sau đó mới bổ sung những mối kết nối inbount

Trước hết vô hiệu hoá chức năng ICS trên máy kết nối Internet

Khởi động dịch vụ RRAS bằng cách vào Start/ Control Panel/Administrative Tools/ Routing and Remote Access để làm xuất hiện cửa sổ MMC như hình 2.11.

Nhắp phải chuột vào biểu tuợng tên máy trong ngăn bên trái rồi chọn Configure and Enable Routing and Remote Access, khi đó xuất hiện một Wizard tên là Routing and Remote Access Server Setup Wizard Nhấn Next và bạn sẽ thấy xuất hiện một khung thoại như hình 2.12 Chọn Network Address Translation (NAT) rồi chọn Next để đến với màn hình cấu hình NAT

nhìn thấy màn hình như trong hình 2.19

Hình 2.19: Giải quyết vấn đề DNS và DHCP trên mạng

Bạn nhắp chọn Enable Basic name and address services rồi nhắp Next báo cho NAT phải dùng

những địa chỉ nào như bạn thấy trong hình 2.20

Hình 2.20: NAT ấn định một phạm vi địa chỉ DHCP của nó

Sau khi có những địa chỉ bạn nhấn Next và Finish để kết thúc NAT router đã hoạt động cửa sổ

RRAS sẽ xuất hiện như trong hình 2.21

Hình 2.21: RRAS sau khi cài đặt NAT

13.3 Tăng cường tính năng cho NAT

Ở mục trước ta đã thiết lập một NAT router với các chức năng giống như ICS Mục này sẽ hướng dẫn cách bổ sung thêm các tính năng khác cho NAT

Để báo cho NAT biết bạn chuẩn bị chuyển hướng một cổng cụ thể đến một địa chỉ nội bộ cụ thể,

bạn mở cửa sổ RRAS rồi mở đối tượng NAT/Basic Firewall trong ngăn bên trái, ngăn bên phải

sẽ xuất hiện ba đối tượng Intranet NIC : NIC nối với Internet, và NIC nối với mạng nội bộ Bạn

nhắp phải chuột vào NIC nối với Internet chọn Properties chọn Services and Ports, khi đó sẽ

xuất hiện màn hình như hình 2.22

Hình 2.22: Chọn dịch vụ và cổng tương ứng cần ánh xạ

Bạn chọn dịch vụ tương ứng mà bạn muốn đặt trên máy nội bộ, giả sử tôi chọn Web Server Khi

đó sẽ xuất hiện khung thoại Edit Server như hình 2.23.

.Hình 2.23: Ánh xạ một cổng cụ thể lên một máy cụ thể trong NAT

Nhập địa chỉ IP của server đó vào trường Private Address rồi nhắp OK Ý nghĩa của việc ánh xạ

cổng này là làm cho firewall cơ bản mở cổng đó ra (nếu bạn sử dụng firewall)

Điều chỉnh phạm vi địa chỉ và các tuỳ chọn về firewall

Để thay đổi phạm vi địa chỉ mà NAT router cung cấp cho các máy trong mạng nội bộ, trong cửa

sổ RRAS bạn nhắp phải vào đối tượng NAT/Basic Firewall chọn Properties rồi nhắp chọn trang Address Assignment, khung thoại như hình 2.24.

Hình 2.24: Thay đổi phạm vi địa chỉ nội bộ

Từ trang này bạn có thể thay đổi phạm vi địa chỉ nội bộ bất kỳ mà bạn muốn cấp phát cho mạng con với điều kiện địa chỉ tĩnh mà bạn cấp cho NIC nối với mạng riêng phải nằm trên cùng một phạm vi địa chỉ.

Để ngăn DHCP server cung cấp một hoặc một số địa chỉ IP nào đó trong phạm vi địa chỉ của

mạng con, nhắp ô Exclude rồi chỉ định chúng

Để bật tắt chế độ firewall, mở đối tượng NAT/Basic Firewall trong ngăn bên trái của của sổ RRAS, chọn hình tượng đại diện cho NIC kết nối vào Internet, nhắp phải hình tượng đó và chọn

Properties, nhắp trang NAT/Basic Firewall như hình 2.25.

Hình 2.25: Việc bật tắt Firewall

Nhắp duyệt ô Enable a basic firewall on the Interface, thế là mạng nội bộ của bạn có một mức

độ bảo vệ cơ bản chống lại sự xâm nhập từ bên ngoài

2 Mã hoá những gói dữ liệu truyền (encrypt transmissions): Ở mức độ bảo mật này IPSec

sử dụng giao thức Encapsulating Security Payload (ESP) để mã hoá dữ liệu cần truyền trước khi gửi nó lên mạng Những kẻ xem trộm chỉ thấy nó là một dòng byte ngẫu nhiên không đọc được

3 Ký tên vào những gói dữ liệu truyền (sign transmissions): IPSec sử dụng giao thức Authentication Header (AH) để ký tên số hoá vào gói dữ liệu truyền, đảm bảo để bên nhận biết được gói dữ liệu mà họ nhận được là còn nguyên vẹn chưa bị sửa đổi Việc ký tên số hoá chỉ ngăn ngừa được sự giả mạo thông tin và sai lạc thông tin mà không ngăn cản được sự nghe trộm thông tin

4 Cho phép truyền thoải mái (permit transmissions): những dữ liệu được truyền đi mà không thay đổi gì cả, không cần ký tên cũng như mã hoá chúng và không kiểm tra sự toàn vẹn dữ liệu

14.1 Các bộ lọc IP

Các bộ lọc (filter) IP dùng để giới hạn IPSec khống chế các dữ liệu truyền:

• Theo địa chỉ IP, subnet hoặc tên DNS của máy nguồn

• Theo địa chỉ IP, subnet hoặc tên DNS của máy đích

• Theo số hiệu cổng và lạo cổng (TCP, UDP, ICMP )

Tát cả những điều này được tạo ra nhằm cung cấp một mức độ linh hoạt mềm dẻo rất tinh vi trong việc thực hiện IPSec

14.2 Quy tắc IPSec (IPSec rule)

Ngăn chặn, mã hoá, ký tên hoặc cho phép các gói dữ liệu truyền được gọi là một tác động (action) IPSec Khi kết hợp một action với một bộ lọc IPSec ta có được một quy tắc IPSec Như vậy:

Quy tắc IPSec = Các tác động IP + Các bộ lọc IP

14.3.Xác minh (Authentication)

Để làm cho các chữ ký số hoá hoặc việc mã hoá có tác dụng, bạn cần phải có một bộ chìa khoá dựa trên sự thoả thuận, đó là các mật khẩu Vì thế khi bạn tạo ra một quy tắc IPSec thì bạn phải chỉ cho IPSec cách xác minh (anthentication)

Cách thực hiện IPSec của Microsoft yểm trợ ba phương pháp xác minh: Kerberos, Certificate và Agreed-upond key

Phương án Kerberos chỉ áp dụng được giữa các máy trong cùng một miền AD hoặc trong những miền AD có uỷ quyền cho nhau

Phương án Certificate cho phép sử dụng các chưnứg chỉ PKI (Public Key Infrastructure – Cơ sở

hạ tầng khoá công khai) để nhận diện một máy

Phương án Agreed-upond key cho phép bạn dùng một chuỗi ký tự văn bản bình thường làm chìa khoá

14.4 Cách hoạt động của IPSEC trong Windows

Trong hệ điều hành WIN2K và các hệ điều hành sau đó không có công cụ IPSec được xây dựng sẵn Thay vào đó, Microsoft thiết lập mọi thứ để bạn thực hiện IPSec hoàn toàn thông qua các chính sách, bất kể là chính sách trên máy tại chỗ hay chính sách dành cho miền

Để thực hiện IPSEC trước hết chúng ta mở công cụ snap-in Local Security Policy lên: Bạn nhắp Start/ Program/ Administrator Tools/ Local Security Policy, hoặc Start/ Run rồi gõ: Secpol.msc vào rồi nhấn <Enter> Khi đó xuất hiện snap-in Local Security Policy, và trong ngăn bên trái, bạn sẽ thấy hình tượng IP Security Policies on Local Machine Hãy nhắp lên đó, và

bạn sẽ thấy một màn hình giống như trong Hình 2.26

Các chính sách IPSEC được xây dựng sẵn

Trong ngăn bên phải, bạn sẽ thấy ba chính sách: Client (Respond Only), Secure Server (Require Security), và Server (Request Security)

Client (Respond Only): không dùng IPSec trừ khi được yêu cầu.

Server (Require Security): máy Server sẽ sử dụng IPSec nếu có thể Trong trường hợp các máy

Client không thể dùng IPSec thì Server này vẫn phải liên lạc với nó

Secure Server (Require Security): được thiết kế để không cho phép các cuộc trao đỏi dữ liệu

không sử dụng IPSec

Đó là ba chính sách được xây dựng sẵn mà Microsoft kèm theo trong WINS2K3 và theo mặc định, chữ No kết bên mỗi chính sách điều đó có nghĩa là chưa có chính sách nào trong số chúng được hoạt hóa (tức được bổ nhiệm - assigned) Để hoạt hóa một chính sách bất kỳ, nhấp phải nó rồi chọn lệnh Assign Chỉ có thể để cho một chính sách được hoạt hóa tại một thời điểm Nếu muốn bổ sung một chức năng nào đó vào một chính sách IPSEC hiện có, thì bạn không thể chỉ việc tạo ra một chính sách mới rồi assign nó, bởi vì điều đó sẽ làm unassign (khử hoạt) chính sách nào đó hiện đang có hiệu lực Cách đúng đắn để xứ lý nhiều chính sách cùng được hoạt hoá

là tạo ra một chính sách bao gồm nhiều qui tắc

Hãy ôn lại những gì đã biết cho tới nay về IPSEC:

1 Bạn kiểm soát và đưa vào áp dụng (enable) IPSEC trên các hệ điều hành của Microsoft thông qua các chính sách Trên một máy cho trước nào đó, vào mỗi thời điểm, bạn chỉ có thể có một chính sách IPSEC được hoạt hóa mà thôi

2 Mỗi chính sách IPSEC bao gồm một hoặc vài qui tắc, vốn cho IPSec biết phải làm những

gì, và một phương pháp xác minh nào đó, vốn cho IPSEC biết cách thức mà (các) máy nhận (receiver) và (các) máy gửi (transmitter) sẽ trao đổi mật khẩu Sau đó, chúng sẽ dùng mật khẩu đó để ký tên hoặc mã hóa cho các gói dữ liệu truyền trên mạng Cho dù các qui tắc permit và block không dùng đến xác minh, Windows vẫn đòi bạn chỉ định phương pháp xác minh

3 IP sec cho phép bạn xác minh thông qua Active Directory, các chứng chỉ PKI hoặc một khoá được chia sẻ cho trước

4 Mỗi quy tắc có một hoặc nhiều bộ lọc, cho biết quy tắc đó khi nào đựoc sử dụng và mỗi quy tắc có nhiều tác động (action) vốn cho quy tắc đó biết phải làm gì

5 Có bốn tác động mà một quy tắc có thể dùng được: block, encrypt, sign, permit

Tạo ra một chính sách IPSec theo ý riêng

15 Clustering Server để san tải

Tính năng NLBC (Network Load Balancing Clusters) trong Windows Server 2003 cho phép

kết nối tối đa 32 máy tính chạy Windows 2003 lại với nhau để tạo ra một Server mạnh hơn nhờ việc san sẻ tải giữa các Server được clustering Đây không phải là sự “kết chùm server” theo

nghĩa tạo công suất lớn mà ấn bản Enterprise/Advanced cung cấp Thực chất trong nhiều máy

tính này thì mỗi máy đều có một địa chỉ IP tĩnh của riêng chúng và tất cả các thành viên của chùm server ấy đều nhận thêm cùng một địa chỉ IP tĩnh nữa và đây là địa chỉ IP dùng để kết nối với thế giới bên ngoài Khi các máy khách có yêu cầu kết nối với địa chỉ IP được chia sẻ đó, NLB

sẽ phân công từng máy khách lần lượt truy cập đến mỗi thành viên của chùm server

Các file Server không thích hợp để sử dụng NLB nhưng một số Server khác như Web Server, Terminal Server đều có thể sử dụng tính năng kết chùm này.

15.1 Chuẩn bị cài đặt chùm Server NLB

Để xây dựng một chùm server NLB bạn phải chuẩn bị:

1 Mỗi máy tính trong chùm Server phải có một địa chỉ IP tĩnh, các địa chỉ IP này phải thuộc cùng một mạng con

2 Có một địa chỉ IP tĩnh khác dùng làm địa chỉ IP chung của chùm và địa chỉ IP này cũng cùng phải thuộc cùng một mạng con với các server trong chùm

3 Có một tên DNS dành cho chùm, ví dụ như cluster.evn.com và đề mục tên đó trong cơ sở

dữ liệu DNS phải tương ứng với địa chỉ IP tĩnh dành riêng cho chùm

4 Phải có một phần mềm server nào mà bạn muốn cài đặt theo kiểu kết chùm trên các server

15.2 Các bước cài đặt

Bước 1: Cài đặt các địa chỉ IP tĩnh cho các Server trong chùm:

Các Server trong chùm phải được thiết lập các địa chỉ IP tĩnh và các địa chỉ IP này phải thuộc cùng một mạng con Sau đó cài phần mềm Server mà bạn muốn cung cấp lên các máy trong chùm

Bước 2: Tạo một đề mục DNS cho chùm server:

Cấp cho chùm Server vừa tạo một cái tên à một địa chỉ IP tĩnh, sau đó đến DNS Server dành cho miền đó, tạo ra một bản ghi A tương ứng với tên và địa chỉ IP của chùm Server

Bước 3: Cài đặt NLB cho các máy trong chùm:

Chúng ta lần lượt cài đặt NLB cho các máy trong chùm theo các bước sau: Vào Start/Control Panel/ Network Connections/ Local Area Connection Trong khung thoại Local Area Network Status hiện ra sau đó, nhắp nút Properties, khi đó một khung thoại sẽ xuất hiện như

hình

Khung thoại đặc tính của một NIC

Như quan sát trên hình, dịch vụ Network Load Banlancing đã bị bỏ duyệt, bạn duyệt vào ô đó rồi nhấn Properties, khi đó một khung thoại sẽ xuất hiện như hình sau:

Nhận diện đặc điểm chùm serverNhập địa chỉ IP chung cho toàn bộ chùm Server và subnet mask của chùm vào các ô tương ứng

trong phần Cluster IP configuration Nếu muốn sử dụng tính năng điều khiển từ xa, bạn đánh dấu vào ô Allow remote control và nhập Password vào các ô tương ứng.Trang này bạn phải cấu

hình giống nhau cho tất cả các Server trong chùm

Chuyển sang trang Host Parameters như hình dưới, bạn nhập địa chỉ IP và Subnet mask của riêng từng máy vào các ô tương ứng trong phần Dedicated IP Configuration, nhập một độ ưu tiên vào ô Priority, sau đó nhấn OK để đóng hộp thoại.

Thông tin dành riêng cho máy thành viên trong chùm

Bước 4: Bổ sung địa chỉ IP của chùm Server vào từng máy:

Trong hộp thoại Internet Protocol (TCP\IP) Properties, bạn nhấn nút Advanced để xuất hiện hộp thoại Advanced (TCP\IP) Setting Trong tab IP Setting, bạn nhấn nút Add để nhập vào địa

chỉ IP và Subnet mask của chùm Server như trong hình dưới, sau đó nhấn OK để đóng các khung thoại này lại

Lưu ý các thành viên trong chùm server có thể dễ dàng liên lạc được với các máy khách khác nhau nhưng bản thân chúng lại không liên lạc được với nhau, do đó lệnh ping giữa các máy trong chùm server sẽ không có kết quả

Bổ sung địa chỉ IP của chùm Server cho các máy trong chùm

CHƯƠNG 3 DHCP SERVER

1 Đơn giản hoá việc cấp phát địa chỉ IP: Host và Bootp

Trước khi xuất hiện DHCP Server, các quản trị viên mạng thường lưu địa chỉ IP của các máy

trong một file Hosts trên server của họ File này nhằm hai mục đích: cho biết địa chỉ IP nào đã

được dùng rồi và cung cấp file hosts để sao chép đến đĩa cứng cho các máy mới

Giao thức tiếp theo được sử dụng để quản lý các địa chỉ IP cho các máy trên mạng là giao thức

Bootstrap viết tắt là Bootp được mô tả trong RFC 951 Giao thức này hoạt động dựa trên nguyên

tắc là quản trị viên sẽ thu thập tất cả danh sách các địa chỉ MAC của các card mạng, sau đó sẽ phân bố mội địa chỉ IP cho một địa chỉ MAC, sau đó giao cho một Server trên Intranet quản lý các cặp địa chỉ IP và MAC này Khi một máy tính khởi động nó sẽ phát quảng bá yêu cầu của nó

về một địa chỉ IP Bootp Server nhận ra địa chỉ IP của máy loan tin ấy và cung cấp địa chỉ IP tương ứng cho máy trạm ấy cùng với một bản Hệ điều hành nhỏ để khởi động máy (bootstrap loader) từ mạng mà không cần một đĩa cứng hoặc đĩa mềm nào cả

2 DHCP: Định cấu hình TCP/IP tự động

DHCP (Dynamic Host Configuration Protocol) là giao thức cấp phát địa chỉ IP động cho các máy trên mạng nội bộ Mỗi máy khi đăng nhập vào mạng sẽ được cấp phát các địa chỉ IP khác nhau một cách tự động mà không cần phải cấu hình thủ công cho từng máy DHCP không cung cấp mã khởi động cho các máy trong mạng mà nó chỉ quan tâm đến việc cấp phát địa chỉ IP cho các máy trong mạng

Với DHCP bạn chỉ cần cấp phép cho nó một phạm vi địa chỉ, sau đó nó sẽ tự động cấp phát chúng cho các máy trong mạng theo nguyên tắc đến trước được giải quyết trước, đến sau được giải quyết sau cho những máy có yêu cầu cấp phát địa chỉ IP DHCP vẫn có khả năng cấp phát

các địa chỉ IP cho các địa chỉ MAC cụ thể nhờ tính năng DHCP reservation - sự giữ chỗ trước

3 Cài đặt và cấu hình các DHCP server

3.1 Cài đặt DHCP server

Để sẵn sằng cho việc thiết lập dịch vụ DHCP bạn cần:

1 Có một địa chỉ IP (tĩnh) sẵn sàng cho DHCP server của bạn

2 Biết được những địa chỉ IP nào chưa được dùng đến và có thể cấp phát tự do

Cài đặt phần mềm để biến máy server của mình thành DHCP server theo các bước sau:

1 Vào Control Panel/ Add Remove Programs/ Add Remove Windows Components.

2 Nhắp chọn Networking Services rồi nhắp nút Details.

3 Duyệt vào ô Dynamic Host Configuration Protocol (DHCP).

4 Nhấn OK để quay về Windowws Components Wizard.

5 Nhấn Next để cài đặt dịch vụ đó, nhấn Finish để kết thúc Nhấn Close để đóng Add Remove Windows Components Không cần phải khởi động lại máy sau khi kết thúc cài

đặt

3.2 Cấu hình cho DHCP server

Cấu hình cho DHCP server sử dụng công cụ snap-in MMC Vào Control Panel/ Administrative Tools/DHCP Màn hình cấu hình DHCP xuất hiện như trong hình 3.1

Hình 3.1: Màn hình mở màn của trình quản lý DHCPCông cụ snap-in này liệt kê Server trong ngăn bên trái và cho phép kiểm soát đựoc nhiều DHCP

Server cùng một lúc Để thêm một DHCP Server vào, chọn Action/ Add Server.

Nếu mạng đang vận hành Active Directory, bạn phải trao quyền cho một Server bằng cách gọi

chạy công cụ snap-in DHCP trong khi đăng nhập với tư cách Enterprise Admin Từ cửa sổ của snap-in DHCP, nhắp phải vào Server đấy và chọn lệnh Manage Authorized Servers, một khung

thoại như hình 3.2 xuất hiện

Hình 2.2: Danh sách các DHCP server được trao quyềnTrong trường hợp này chưa có server nào được trao quyền, ta trao quyền cho server này bằng

cách nhắp nút Authorize khung thoại như hình 3.3 xuất hiện

Hình 3.3: Chính thức trao quyền cho một DHCP server mớiĐiền địa chỉ IP của server này vào khung thoại, nhắp OK để xác nhận yêu cầu bổ sung server này

vào danh sách Nhắp Yes đưa bạn về với danh sách các server đã được trao quyền Bạn phải tắt

DHCP Server và bật lại, khi đó mũi tên từ màu đỏ chuyển sang màu xanh và trỏ xuống

Nếu chưa cài đặt Active Directory thì không cần authorize cho DHCP, các bước trên không cần quan tâm.

2.3 Tạo phạm vi địa chỉ (Scope) cho DHCP server

DHCP server phải biết được phạm vi địa chỉ mà nó được phép cấp phát, vì vậy cần phải tạo ra một phạm vi địa chỉ cho DHCP server Để tạo ra một phạm vi địa chỉ nhấn chuột phải vào hình tượng của DHCP server đấy, chọn New Scope để khởi động New Scope Wizard Nhấn Next từ màn hình mở màn đó, khi đó xuất hiện màn hình như hình 3.4

Hình 3.4: Việc đặt tên cho Scope

Xác định đặc điểm nhận dạng của Scope và đặt cho nó một cái tên và lời chú thích Nhấn Next để

tiếp tục, màn hình như hình 3.5 xuất hiện

Hình 3.5: Nhập phạm vi địa chỉ IP

Bạn nhập phạm vi địa chỉ IP mà bạn muốn cấp phát cho mạng vào trong các ô Start IP Address

và End IP Address Bạn điền mặt nạ mạng con vào trong ô Subnet mask và nhấn Next để tiếp

tục

Để DHCP server không cấp phát một số địa chỉ nào đó mà bạn muốn sử dụng để đặt cho một số

máy cần sử dụng địa chỉ IP tĩnh, bạn nhập phạm vi địa chỉ cần chỉ định vào ô Start IP Address

và End IP Address trong cửa sổ Add Exclusion như trong Hình 3.6

Hình 3.6: Việc chỉ định các phạm vi địa chỉ cần để riêng ra

Để chỉ định nhiều phạm vi địa chỉ trên cùng một đoạn mạng vật lý, bạn hãy tạo ra một

Supperscope Supperscope cho phép tạo ra nhiều phạm vi địa chỉ IP trên một đoạn mạng duy nhất Để tạo một Supperscope, nhắp phải DHCP Server chọn New Supperscope sau đó thêm các Scope vào đó.

2.4 Ấn định thời gian thuê bao (lease duration)

Để ấn định khoảng thời gian thuê bao cho các DHCP client bạn nhấn Next và trong màn hình tiếp

theo như Hình 3.7, bạn nhập vào khoảng thời gian thuê bao cần thiết cho các máy.

Hình 3.7: Ấn định khoảng thời gian thuê bao (lease duration)

2.5 Ấn định các thông số tuỳ chọn cho máy khách

Sau khi ấn định khoảng thời gian thuê bao, bạn nhấn Next để ấn định các thông số tuỳ chọn cho

máy khách Màn hình như Hình 3.8 xuất hiện.

Hình 2.8: Màn hình Configuration DHCP server

DHCP server cho phép bạn ấn định các thông số cho toàn bộ các host trên mạng, bao gồm các

thông số cơ bản như: Default gateway, Domain name, DNS server, WINS server.

Nếu bạn không muốn ấn định các thông số này trên toàn bộ các máy khách thì các thông số được

ấn định cụ thể trên máy khách sẽ phủ quyết các giá trị mà DHCP server cung cấp

Nhấn Next để khẳng định bạn muốn ấn định các thông số này và thông số đầu tiên cho máy khác

sẽ xuất hiện như minh hoạ trong hình 3.9

Hình 3.9: Ấn định default gateway

Bạn nhập địa chỉ của default gateway vào ô IP address sau đó bạn nhấn Next để tiếp tục ấn

định các thông số kế tiếp như trong hình 3.10

Hình 3.10: Ấn định tên domainTrong màn hình này bạn cho DHCP server biết rằng mỗi khi nó cho một máy khách thuê một địa chỉ IP từ khoảng này, nó cũng phải ấn định một giá trị nào đó cho tên miền DNS của máy khách

và chỉ cho máy khách ấy biết rằng nó có thể tìm các DNS server tại địa chỉ nào, sau đó nhấn Next

để ấn định WINS server cho mạng như hình 3.11

Hình 3.11: Ấn định các WINS server

2.6 Đưa phạm vi địa chỉ đã ấn định vào làm việc

Nhấn Next để quyết định khởi động scope đã ấn định như trong hình 3.12

Hình 3.12: Kích hoạt scope làm việcSau khi kích hoạt, của sổ snap_in DHCP xuất hiện như hình 3.13

Hình 3.13: Cửa sổ DHCP sau khi được kích hoạt

2.7 Ấn định các thông số tuỳ chọn cho tất cả các scope

Trong folder Server Options trong cửa sổ bên phải như hình 2.13, giúp bạn thực hiện việc đưa nhiều scope lên một server Nhắp phải Server Option và chọn lệnh Configure Options để xuất

hiện khung thoại như hình 2.14

Hình 3.14: Khung thoại Server OptionsGiả sử bạn cần ấn định hai DNS server trong mạng của bạn mà mạng lại có 3 subnet khác nhau, bạn chỉ cần chọn mục DNS Servers và nó sẽ cho phép bạn nhập vào các địa chỉ DNS server

giống như trong New Scope Wizard.

2.8 Đặt một địa chỉ IP cụ thể lên một máy khách: DHCP Reservations

Tính năng Reservations giúp bạn ấn định một số địa chỉ IP cụ thể cho một số máy trên mạng Để

ấn định địa chỉ IP cho một máy cụ thể ,nhắp phải vào folder Reservations rồi chọn lệnh New

Reservations, một khung thoại sẽ xuất hiện như trong hình 2.15

Hình 3.15: Dành riêng một địa chỉ IP cho một máy cụ thểTrong khung thoại này bạn nhập địa chỉ IP cụ thể cho một địa chỉ MAC cụ thể Sau khi giữ chỗ cho một địa chỉ IP cụ thể, bạn có thể thiết lập các thông số khác như DNS Server, domain name, WINS Server… cho địa chỉ IP này bằng cách mở folder Reservation nhắp phải chọn lệnh Configure Option

3 Giám sát hoạt động của DHCP

Việc giám sát hoạt động của DHCP server giúp bạn xác định xem có bao nhiêu địa chỉ thuê bao còn hiệu lực, ai có được những địa chỉ đó Để xem những thông tin này bạn mở folder Address Leases, khi đó màn hình như hình 3.15 xuất hiện

Hình 3.16: Các địa chỉ thuê bao đã được cấp phát

Để xem còn lại bao nhiêu địa chỉ IP chưa được cấp phát, nhắp phải vào một scope bất kỳ rồi chọn

Display Statistics và một thông báo sẽ xuất hiện như hình 3.16.

Hình 3.16: Số liệu thống kê về các thuê bao

4 Xây dựng lại DHCP bị hỏng

Để đề phòng trường hợp DHCP bị hỏng, bạn nên sao lưu lại các thiết lập DHCP của mình bằng

lệnh: netsh dhcp server dump

Hoặc lệnh sau nếu bạn không ngồi tại server đó:

netsh dhcp server ipaddress dump

Lệnh trên sẽ làm xuất hiện trên màn hình những dòng cấu hình của DHCP server Để chuyển hướng dữ liệu xuất đó ra một file ASCII như sau:

netsh dhcp server dum >dhcpbackup.txt

File ASCII được tạo ra sẽ nằm trong thư mục C:\ Document and Settings\Administrator

Để khôi phục các thông tin cho DHCP server bạn chép file đó lên máy cần khôi phục và sử dụng

lệnh sau: netsh exec dhcpbackup.txt

5 DHCP phía máy khách

Để xem địa chỉ IP của một máy khách, tại máy khách đó bạn gõ lệnh ipconfig /all, đối với máy trạm Windows 95, nhấn Start/Run, gõ winipcfg, Windows 98 yểm trợ cả hai lệnh trên còn Windows NT chỉ yểm trợ ipconfig

Để một DHCP client bỏ địa chỉ IP được DHCP cung cấp rồi tìm kiếm địa chỉ khác bằng cách gõ

lệnh ipconfig /release trước rồi sau đó gõ lệnh ipconfig /renew.

Windows XP, Windows 2003 và các bản Windows sau này yểm trợ một lệnh để xây dựng lại các

mối kết nối IP: netsh int IP reset filename Filename là file ghi nhận lại những diễn tiến của

lệnh đó

6 Cách làm việc của DHCP Server

6.1 Tìm thông tin về thuê bao IP của máy khách

Trên Windows 3.x, thông tin về thuê bao DHCP được lưu trong file DHCP.BIN

Trên Windows 95, thông tin đó nằm trong HKEY_LOCAL_MACHINE\System\

CurrentControlSet\Service\VxD\DHCP\Dhcp-infoxx, trong đó xx là hai chữ số.

Trong Windows NT các thông tin đó nằm trong HKEY_LOCAL_MACHINE\System\ CurrentControlSet rồi truy tìm theo từ khoá DHCPIPAddress Các khoá mở ra chính là vị trí

của thông tin thuê bao DHCP

Trên các máy Windows 2000, vị trí đó có thể là hkey_local_machine\system\ current controlset\ service\ TCPIP\ parameters\ Interface; trong đó bạn có thể tìm thấy các GUID

(Global Unique ID - mã nhận diện độc nhất trên toàn cầu) dành cho mỗi card giao tiếp mạng và

các nối kết RAS tiềm năng Có một DHCPIPAddress trong mỗi card có nhận địa chỉ IP từ DHCP Server

Trong Windows XP, vị trí đó là hkey_local_machine\system\currentcontrolset\service, bạn sẽ thấy các khoá tên GUID nằm ngay trên cùng, mỗi khoá có một khoá con Parameters\TCPIP bên

trong Cứ xoá một khoá GUID,thì sẽ loại bỏ được mọi thiết định về IP dành cho card tương ứng

6.2 Các bước nhận địa chỉ IP từ DHCP Server.

Một DHCP client nhận địa chỉ từ một DHCP Server theo bốn bước

1 Bước DHCPDISCOVER:

DHCP client loan truyền một thông điệp DHCPdiscover thông qua giao thức UDP để hỏi thuê một địa chỉ IP ra khắp subnet tại chỗ và nhờ máy DHCP Relay Agent gửi chuyển tiếp dưới dạng loan tin (broadcast) thông báo đến tất cả các DHCP Server ở các subnet khác trong tầm truyền của nó

2 Bước DHCPOFFER:

Các DHCP Server hồi đáp lại bằng cách chào hàng (offer) các địa chỉ IP và thời gian thuê bao

mà mỗi DHCP Server có thể cung cấp cho DHCP Client Các DHCP Server ở subnet khác

làm điều đó bằng cách gửi thông điệp DHCP offer đến DHCP Relay Agent rồi DHCP Relay

Agent chuyển đến DHCP Client

Để một máy khách A liên lạc được với DHCP Server B trên mạng con khác biệt thì router nằm giữa A và B phải “be RFC 1542-compliant” hoặc “support BOOTP forwarding” Nhờ có tính năng này mà các router mới có thể tiếp vận các gói tin quảng bá đến các subnet khác, các tính năng này phải được xây dựng trong phần mềm của các router và nó thường được gọi là

BOOTP fowarding Các máy Windows NT4 hoặc Windows 2K có thể được sử dụng để làm

router vì nó tuân theo chuẩn 1542

Một máy Win NT4, Win2K hoặc Win2003 cũng có thể đóng vai trò là một DHCP Relay Agent dùng để giúp các máy khách có thể liên lạc được với các DHCP server ở trên các mạng con khác với chúng

DHCP Relay Agent lắng nghe những thông điệp loan báo của các DHCP client rồi chuyển

thông tin đó đến các DHCP server và gửi chuyển tiếp các lời hồi đáp đó từ DHCP server đến

các DHCP Client Các thông điệp chuyển tiếp của DHCP Relay Agent có thể chuyển qua

được các router từ subnet này đến subnet khác

Để thiết lập một DHCP Relay Agent trên máy NT bạn thực hiện theo các bước sau: Vào

Control Panel mở Network Trong khung thoại hiện ra sau đó bạn nhắp chọn trang Protocol rồi nhắp kép vào giao thức TCP/IP Trong khung thoại hiện ra sau đó bạn thấy một trang có nhãn là DHCP Relay Nhắp vào trang đó bạn sẽ thấy một khung thoại như hình 2.17(7.25) Để cho máy này làm việc bạn nhấn nút Add rồi điền địa chỉ IP của một hoặc nhiều DHCP server DHCP Relay Agent có thể chạy trên máy NT bất kỳ, máy đó không cần phải là router

Không nên cấu hình một DHCP server thành một DHCP Relay Agent, nếu không DHCP server có thể quên nhiệm vụ cấp phát địa chỉ IP của mình cho các máy khác trong mạng

Để thiết lập một máy Win2K hoặc Win2K3 thành một DHCP Relay Agent, bạn phải sử dụng

Routing and Remote Access Service (RRAS): Start/Administrator/Tools/ Routing and Remote Access Service,nhắp phải tên server chọn mục Configure and Enable Routing and Remote Access để khởi sự Wizard đó, sau đó chọn Custom Configuration, Next và duyệt vào ô LAN Routing để hoàn tất Wizard đó Khi đó một màn hình như hình 2.18 (7.26) xuất hiện

Mở đối tượng IP routing, nhắp phải vào folder General rồi chọn New Routing Protocol để xuất hiện một khung thoại khác, chọn mục DHCP Relay Agent rồi nhấn OK Quay trở lại công cụ snap-in RRAS bạn thấy xuất hiện đối tượng DHCP Relay Agent như trong hình 2.19(7.27)

Nhắp phải vào đối tượng này rồi chọn Properties, xuất hiện khung thoại như trong hình 2.20 (7.28) Nhập các địa chỉ của DHCP server rồi nhấn Add để đưa nó vào danh sách Sau đó để kích hoạt DHCP Relay Agent để nó lắng nghe các yêu cầu trên mạng và chuyển tiếp nó đi bằng cách ở cửa sổ RRAS nhắp phải vào DHCP Relay Agent rồi chọn New Interface, trên khung thoại kế tiếp bạn chọn Local Network Connection

3 Bước DHCPREQUEST

DHCP Client chọn một đia chỉ tốt nhất trong các địa chỉ IP nó nhận được rồi loan truyền ngược lại một thông điệp DHCPRequest nhằm hai mục đích: Thông báo cho DHCP Server nào mà nó muốn sử dụng địa chỉ IP của nó và đồng thời thông báo cho các DHCP Server khác biết rằng nó đã nhận một địa chỉ IP Nếu cần đến một DHCP Server ở trên một subnet khác thì thông điệp ấy cũng được truyền qua DHCP Relay Agent

4 Bước DHCPACK

DHCP Server có lời chào hàng được chấp nhận sẽ hồi đáp bằng địa chỉ IP mới và nó cũng báo cho DHCP Client biết subnet mask mới của nó, khoảng thời gian thuê bao và các thông tin khác mà bạn đã chỉ định (gateway, DNS Server WINS Server…) Kiểm tra lại cấu hình

TCP/IP của máy bằng lệnh ipconfig /all.

Khi thời hạn thuê bao trôi qua hơn một nửa, DHCP Client bắt đầu gửi gói tin yêu cầu gia hạn thời gian thuê bao đến DHCP Server đã cung cấp địa chỉ IP cho nó Khi đó DHCP Server sẽ hồi đáp bằng một gói tin DHCPAck, gói tin này chứa tất cả những thông tin mà gói tin Ack ban đầu đã có: tên domain, DNS… Diều này giúp người quản trị có thể thay đổi DNS Server, WINS Server, subnet mask và những thông tin khác, những thông tin này sẽ được cập nhật ỏ các Client một cách định kỳ nhưng không quá 50% thời gian thuê bao Nếu thông điệp DHCP Ack không xuất hiện thì DHCP Client cứ sau hai phút lại gửi yêu cầu DHCP của nó đi cho tới khi thời gian thuê bao đã quá 87,5% thời gian Đến lúc này DHCP Client quay trở lại vạch xuất phát và gửi thông báo DHCP Discover đi khắp mạng cho tới khi có một DHCP Server hồi đáp lại Nếu thuê bao cũ hết thời hạn mà không có thuê bao nào mới thì client sẽ chấm dứt việc dùng địa chỉ IP đó

7 Thiết kế mạng có nhiều DHCP Server

Mục đích của việc thiết kế mạng có nhiều DHCP Server nhằm tăng khả năng chịu lỗi của mạng

(fault tolerance) Chạy dịch vụ DHCP trên nhiều máy rồi tạo ra nhiều Scope tham chiếu đến

cùng một subnet và phạm vi các địa chỉ trong các scope không được chồng lấn lên nhau

CHƯƠNG 4 NETBIOS VÀ WINS

1 NetBIOS trên TCP/IP (NBT)

Tập hàm giao tiếp lập trình ứng dụng NetBIOS (Network Basic Input Output System) được thực

hiện trên các giao thức NetBEUI, IPX/SPX và TCP/IP.

NetBIOS over TCP/IP được viết tắt là NBT hoặc NetBT.

1.1 Các nút B, nút P và nút M

Các máy dùng các cuộc loan tin để phân giải tên NetBIOS thành các địa chỉ IP gọi là nút B (Broadcast) Các máy nút B không tìm ra được các máy trên các subnet khác do các cuộc loan

tin không thể truyền qua các Router

Các máy dùng một name server để phân giải các tên NetBIOS ra thành các địa chỉ IP được gọi là

một nút P (Point to Point) Các thông điệp điểm nối điểm này có thể truyền qua các Router Các Name server dành cho việc giải đáp tên của NetBIOS được gọi là NetBIOS name server (NBNS)

Các máy nút M (mixed): kết hợp giữa các cuộc loan tin và các cuộc truyền tin điểm nối điểm đến một NBNS.

WINS là một NBNS của Microsoft Phần mềm khách NetBIOS-over-TCP của Microsoft không chỉ thực hiện các nút B, P và M mà nó còn thực hiện một loại nút thứ tư là nút H (Hybrid) Sự khác nhau giữa nút M và nút H ở chỗ trong nút M, phần mềm thực hiện một cuộc phân giải tên bằng cách trước hết loan tin rồi sau đó nếu các đó thất bại thì nó mới liên lạc với NBNS (nút P) Trong nút H phần mềm thử liên lạc trực tiếp với NBNS trước rồi sau đó nếu cách đó không có

kết quả nó mới loan tin

Các DHCP Client được ấn định sử dụng các nút thông qua công cụ snap-in DHCP là

WINS/NBNS Node Type, giá trị bằng 1 tạo ra nút B, bằng 2 tạo ra nút P, bằng 4 tạo ra nút M và bằng 8 tạo ra nút H

1.2 Tìm hiểu các tên NBT trên máy

Kiến trúc NetBIOS sử dụng rất nhiều những tên, mỗi máy trạm có 16 tên Những tên trong NetBIOS có thể là tên nhóm (group name) hoặc tên bình thường (normal name) Để xem các tên trên máy của bạn, mở cửa sổ dòng lệnh từ máy Windows95/98 NT, Windows2K hoặc WindowsXP rồi gõ lệnh: nbtstat –n Kết quả của lệnh đó như sau:

Node IpAddress: [10.1.4.22] Scope Id: []

NetBios Name Table

Trong ví dụ này nhóm tên EVNIT là tên của Workgroup và Domain, SERVER01 là tên của máy, THITD là tên người dùng

Việc có nhiều tên máy SERVER01 là do mỗi phần mềm mạng khác nhau của Microsoft đều cần một cái tên cho riêng nó, cho nên chúng lấy tên máy rồi thêm một cặp số Hex vào, đó là ý nghĩa của những chữ số kèm theo như <00>, <03>

2 Phân giải tên trước khi có WINS: LMHOSTS

Trước khi xuất hiện WINS hoặc khi phần mềm khách không được chỉ định rõ một WINS server, việc phân giải các tên thành các địa chỉ IP tương ứng sử dụng một số phương pháp sau:

100.100.25.67 amore.com.uk

LMHOSTS làm việc theo cách tương tự file HOSTS, nó có chức năng lưu giữ những cái tên NetBIOS File LMHOSTS này bao gồm những cặp địa chỉ IP và tên giống như HOSTS nhưng là các tên NetBIOS 15 ký tự , không phải là các tên kiểu Internet, ví dụ như:

100.100.25.67 amore

2.2 Hậu tố Hex trong LMHOSTS

Cách biểu diễn các hậu tố Hex trong LMHOSTS tuân theo quy tắc sau:

Bao bọc tên cần biểu diễn trong dấu nháy kép

Bổ sung các khoảng trắng vào tên cho đủ 15 ký tự

Sau các khaỏng trắng, thêm vào \0x, sau đó là mã Hex

Ví dụ: Giả sử có một miền tên là EVN và một domain controller tên là \\EVNSRV01 tại địa chỉ 210.10.20.3 Để các máy trong mạng có thể nhận biết được \\EVNSRV01 là primary domain controller của miền EVN thì file LMHOSTS phải như sau:

210.10.20.3 EVNSRV01

210.10.20.3 “EVN \0x1B”

2.3 Hậu tố đặc biệt dành cho Domain Controller: #DOM

Hậu tố thông thường dùng cho các domain controller là \0x1C, ngoài ra bạn còn có thể dùng một siêu lệnh (metacommand) để bổ sung cho các file LMHOSTS: #DOM

Để xác định một đề mục nào đấy là một domain controller, nhập vào file LMHOSTS một đề mục bình thường nhưng thêm vào cuối dòng hậu tố #DOM rồi đến tên cua Domain ấy

Ví dụ: cũng ví dụ trên, nếu dùng hậu tố #DOM thì file LMHOSTS như sau:

210.10.20.3 EVNSRV01 #DOM:EVN

2.4 Lệnh #PRE

Một máy khách kiểu nút H bình thường sẽ gửi yêu cầu giải đáp đến WINS server trước khi tham khảo file LMHOSTS tại chỗ Chỉ khi WINS server trả lời không tìm thấy tên thì nó mới sử dụng file LMHOSTS của nó Để cho máy khách tìm kiếm một đề mục trong file LMHOSTS trước, chúng ta thêm lệnh #PRE Trong ví dụ trên thì đề mục có dạng như sau:

EVNSRV01 #DOM:EVN #PRE

Lệnh #PRE sẽ làm cho một đề mục trong LMHOSTS được ưu tiên hơn kết quả nhận được từ WINS server

2.5 Tập trung hoá LMHOSTS

Để có thể dùng được file LMHOSTS thì các file này phải được đặt trên máy của người dùng Khi

có một sự thay đổi file LMHOSTS, người quản trị mạng phải đến từng máy và cập nhật lại file này Công việc như thế rất mất thời gian Để thuận tiện hơn trong việc cập nhật file LMHOSTS, bạn chỉ việc đặt một file LMHOSTS nhỏ trên mỗi máy của từng người dùng, trong file đó chỉ có lệnh hướng dẫn các máy này đến server để đọc các file LMHOTS trên server đó Số server dự phòng cho server chứa file LMHOSTS này là tuỳ ý

Sử dụng các lệnh #INCLUDE và #ALTERNATE để thực hiện các yêu cầu trên Dưới đây là nội dung một file LMHOSTS như thế:

Trong ví dụ trên, \\SHADOWS, \\VORLONS, \\CENTAURI là các server chứa file LMHOSTS

và các server này phải nằm trên cùng một mạng con với các máy khách đó

3 WINS: dịch vụ tên NetBIOS dành cho Windows.

Để WINS làm việc được bạn cần có máy chạy NT 4 server hoặc mới hơn để đóng vai trò WINS server, rồi thì WINS server đóng vai trò là NBNS server theo dõi những máy nào có mặt trên mạng và trao cho chúng những thông tin phân giải tên khi được yêu cầu

WINS server chỉ đăng ký tên của các máy trạm trong một khoảng thời gian cố định gọi là renewal interval (thời gian gia hạn) Theo mặc định là 6 ngày, thời gian ngắn nhất là 40 phút Các máy khách WINS server sẽ cố gắng thực hiện một yêu cầu làm tươi sau một phần tám thời gian gia hạn Sau khi máy khách đã làm mới tên của nó rồi thì lần sau nó chỉ làm mới tên của nó sau một nửa TTL (time to live)

4 Cài đặt WINS

Không nên cài đặt WINS server lên máy Domain Controler hoặc lên các máy có nhiều NIC Không phải cài đặt WINS server trên mỗi mạng con Trên mỗi mạng nên có một WINS server phụ để tăng tính chịu lỗi của WINS server

Để thiết lập một WINS server bạn tiến hành theo các bước sau đây:

Mở Start\Control Panel\Add Remove Program, chọn Add remove Windows Componets, nhắp Networking Service nhắp duyệt vào ô Windows Internet Name Service Nhấn Next để cài đặt dịch vụ, nhấn Finish để kết thúc quá trình cài đặt.

Quay trở lại công cụ Administrative/Tools bạn thấy xuất hiện snap-in WINS, chọn nó và nhắp

vào dấu cộng kế bên hình tượng server sẽ xuất hiên như trong hình 4.1

Hình 4.1: Màn hình ban đầu của công cụ quản lý WINS

5 Cấu hình một WINS server

Nhắp phải vào hình tượng của WINS server bên ngăn trái cửa sổ công cụ WINS rồi chọn

Properties.

Hình 4.2: Khung thoại đặc tính cấu hình WINS

Trong khung Database backup lưu đường dẫn đến thư mục chứa cơ sở dữ liệu sao lưu dự phòng

của WINS server, cơ sở này dùng để khôi phục lại WINS server sau khi gặp sự cố Ô duyệt bên dưới cho phép cũng thực hiện một cuộc sao lưu dự phòng khi tắt server

Để WINS server định kỳ kiểm tra các bản ghi cơ sở dữ liệu của nó dựa vào các bản ghi của một

server nào khác trong mạng, bạn chọn tab Database Verification,khi đó sẽ xuất hiện hộp thoại

như hình 4.3

Hình 4.3: Ấn định cách thức kiểm tra cơ sở dữ liệu của WINS server