bài giảng môn quản trị mạng

 Truy vấn là quá trình gởi yêu cầu phân giải tên miền tới DNS Server, có hai loại truy vấn : truy vấn đệ quy recursive query và truy vấn tương tác Iteractive query.. Computer1 Recursive

BÀI GIẢNG MÔN QUẢN TRỊ MẠNG

Ngô Văn Công

GIỚI THIỆU DNS

Giới thiệu dịch vụ DNS

Information Sciences Institute thiết kế,

 Cơ sở dữ liệu DNS được phân tán trên nhiều Name

Server.

bản(replication) và lưu tạm(caching).

 Domain được phân bổ theo cơ chế phân cấp

Sơ đồ tổ chức DNS

Giới thiệu dịch vụ DNS(t.t.)

Các Top-Level Domain:

Giới thiệu dịch vụ DNS(t.t.)

Resource Record

Resource Record

Resource Record

Các thành phần trong dịch vụ DNS:

Giới thiệu dịch vụ DNS(t.t.)

 Truy vấn là quá trình gởi yêu cầu phân giải tên miền tới

DNS Server, có hai loại truy vấn : truy vấn đệ quy

(recursive query) và truy vấn tương tác (Iteractive query).

 DNS Client và DNS Server Khởi tạo Truy Vấn cho việc phân giải tên miền.

 Authoritative DNS server sẽ thực hiện:

 Kiểm tra cache, kiểm tra zone, gởi IP address cho truy

vấn.

 Non-authoritative DNS server sẽ thực hiện:

 Chuyển yêu cầu truy vấn không thể phân giải

đến Forwarder server.

 Sử dụng root hints server để trả lời cho truy vấn.

Truy vấn thông tin

Computer1

Recursive query for mail1.yahoo.com 66.8.133.10

recursive query được gởi tới DNS server, trong đó DNS client

yêu cầu DNS server cung cấp đầy đủ thông tin cho truy vấn.

recursive query được gởi tới DNS server, trong đó DNS client

yêu cầu DNS server cung cấp đầy đủ thông tin cho truy vấn.

DNS server kiểm tra forward lookup zone và

cache để trả lời truy vấn

DNS server kiểm tra forward lookup zone và

cache để trả lời truy vấn

Database

Local DNS Server

Recursive query

interative query là truy vấn được gởi tới DNS server trong đó

DNS client yêu cầu DNS server cung cấp thông tin tốt nhất mà

nó có chứ không tìm sự trợ giúp từ Name server khác ACK của iterative query thường tham chiếu đến DNS server con trong DNS tree.

interative query là truy vấn được gởi tới DNS server trong đó

DNS client yêu cầu DNS server cung cấp thông tin tốt nhất mà

nó có chứ không tìm sự trợ giúp từ Name server khác ACK của iterative query thường tham chiếu đến DNS server con trong DNS tree.

ahoo.com

1

Interactive query

forwarder cung cấp cơ chế chuyển yêu cầu truy vấn cho

internal DNS servers ra ngoài external DNS server

forwarder cung cấp cơ chế chuyển yêu cầu truy vấn cho

internal DNS servers ra ngoài external DNS server

Computer1

yahoo.com

Root Hint (.) com

Caching là tiến trình lưu trữ tạm một số thông tin phân giải trước để cung

cấp cho các lần phân giải sau này nhằm làm tăng tốc quá trình phân giải tên miền

Caching là tiến trình lưu trữ tạm một số thông tin phân giải trước để cung

cấp cho các lần phân giải sau này nhằm làm tăng tốc quá trình phân giải tên miền

ClientA is at 192.168.8.44

ClientA is at 192.168.8.44

Caching Table Host Name IP Address TTL

clientA.vnn.vn 192.168.8.44 28 seconds

Caching DNS Server

Phân giải địa chỉ

DNS ClientB DNS ClientC Namespace: csc.vnn.vn

resource record (RR) là chuẩn cấu trúc của DNS database chứa thông tin cần thiết

cung cấp cho các yêu cầu truy vấn DNS

resource record (RR) là chuẩn cấu trúc của DNS database chứa thông tin cần thiết

cung cấp cho các yêu cầu truy vấn DNS

zone file là thành phần của DNS database chứa các resource records

Cơ chế lưu trữ và duy trì CSDL

Resource record và record type

Loại Record Mục đích

A Phân giải tên thành địa chỉ IP

PTR Phân giải địa chỉ IP thành tên host name

SOA Chứng thực cơ sở dữ liệu cho zone

SRV Phân giải tên của cung cấp dịch vụ AD

NS Chỉ định DNS server cho zone

MX Chỉ định mail server cho zone

CNAME Phân giải hostname thành hostname

vn

vnn com

hcmut

edu DNS Zone

Phân loại DNS Zone

Reverse zone

addr.arpa

2.168.192.in-192.168.2.45 DNS Client1 192.168.2.46 DNS Client2 192.168.2.47 DNS Client3

DNS Client2 = ?

192.168.2.46 = ?

Forward Lookup Zone và Reverse Lookup Zone

IXFR or AXFR query answered

DNS Zone transfer

Master Server

DNS notify Zone transfer

DNS notify là một cơ chế thông báo sự thay đổi cơ sở dữ liệu DNS cho secondary name server khi có sự thay đổi cơ sở dữ liệu trong zone

DNS notify là một cơ chế thông báo sự thay đổi cơ sở dữ liệu DNS cho secondary name server khi có sự thay đổi cơ sở dữ liệu trong zone

Source Server

2

3 4

updated Resource record SOA serial number được update

DNS Notify

1 Dynamic update là tiến trình mà DNS

client tự động tạo, đăng ký hoặc cập nhật

RR trong zone.

2 Manual update là tiến trình mà người quản trị

phải tạo, đăng ký hoặc cập nhật resource

record

1 Dynamic update là tiến trình mà DNS

client tự động tạo, đăng ký hoặc cập nhật

RR trong zone.

2 Manual update là tiến trình mà người quản trị

phải tạo, đăng ký hoặc cập nhật resource

record

Giới thiệu Dynamic DNS

DNS server trả lời trạng thái chưa đăng ký

Client gởi dynamic update tới DNS server

Client gởi dynamic update tới DNS server

5 Windows

DHCP server tự động tạo FQDN cho Client

DHCP server cập nhật DNS forward và reverse records cho client

DHCP server cập nhật DNS forward và reverse records cho client

1 2 3 4

IP Address Lease

1 2

DHCP đăng ký và cập nhật RR cho DNS Client

sử dụng cấu trúc multi-master thay vì single master

Active Directory-integrated DNS zone là DNS zone l ưu trong Active Directory

Active Directory-integrated DNS zone là DNS zone l ưu trong Active Directory

Active Directory - Integrated Zone

Windows XP DNS Server DNS Server Local Local

Domain Controller with Active Directory- Integrated DNS Zone

Domain Controller with Active Directory- Integrated DNS Zone

Find authoritative server

Result

Find authoritative server

Result Attempt non-secure update

Refused

Secure update negotiation

Accepted

secure dynamic update là tiến trình trong đó DNS Client

cập nhật RR chỉ khi nào Client thực sự đăng nhập vào DNS Server

secure dynamic update là tiến trình trong đó DNS Client

cập nhật RR chỉ khi nào Client thực sự đăng nhập vào DNS Server

Secure Dynamic Update với Active Directory - Integrated Zone

2 Nếu preferred server lỗi

thì client truy vấn tới

alternate DNS server

2 Nếu preferred server lỗi

thì client truy vấn tới

alternate DNS server

3 Chỉ định các alternate DNS servers

3 Chỉ định các alternate DNS servers

4 Preferred và alternate DNS servers tự động xuất hiện trong list này

4 Preferred và alternate DNS servers tự động xuất hiện trong list này Cấu hình Preferred và Alternate DNS Server cho Client

Tuỳ chọn Suffix Danh sách

Domain suffix Danh sách

Cấu hình domain suffix

DNS server

DNS server Namespace: csc.vnn.vn

GiỚI THIỆU VỀ AD (Active Directory)

Nội dung

 Giới thiệu Active directory

 Tìm hiểu về các đối tượng và schema trong active directory

 Tìm hiểu các thành phần của Active Directory

Active Directory

Mô hình quản lý theo domain

Giơi thiệu Windows Server 2003 Active Directory

 Lưu trữ thông tin về

tài nguyên mạng và

các dịch vụ thư

mục(directory service)

giản quá trình truy

cập vào tài nguyên

Giơi thiệu Windows Server 2003 Active Directory

 Chức năng của Active Directory

 Lưu giữ các thông tin người dùng và máy tính

 Đóng vai trò chứng thực (Authentication server) và quản lý đăng nhập (Logon server)

 Duy trì bản chỉ mục (Index) giúp cho quá trình tìm

kiếm tài nguyên mạng nhanh hơn

 Cho phép tạo ra nhiều tài khoản người dùng với mức

độ quyền (user right) khác nhau.

 Chia nhỏ domain thành nhiều subdomain hay OU

(Organizational Unit)

Giơi thiệu Windows Server 2003 Active Derectory

 Lưu giữ trên máy

 Sao lưu nhiều bản chính.

 Chịu đựng các lỗi trên DC.

 Sử dụng các Domain Name

Service (DNS) cho các tài

nguyên mạng.

Các đối tượng AD

Các đối tượng cơ bản của AD

Trỏ đến máy in trên một máy tính Printer

Chỉ đến thư mục chia sẻ trên máy tính Shared Folder

Tập hợp user accounts và groups, computers, làm đơn giản quá trình quản ly

(tt)

Chứa các đối tượng khác, bao gồm cả các OU khác Dùng để tổ chức các đối tượng AD khác.

OU

Các thông tin về máy điều khiển vùng

và các đặc tả tùy chọn như tên window2003, phiên bản của hệ điều hành….

Các thành phần trong AD

Domains

Thành phần chính trong kiến trúc logic của

AD

Lưu trữ hàng triệu đối tượng

Mỗi domain chỉ lưu trữ thông tin về đối tượng

nó quản lý

AD được tạo thành từ 1 hay nhiều domain

Domain có thể nằm trên nhiều vị trí vật lý

khác nhau

Trusts

 Kết nỗi logic giữa các domain, cho phép user trong 1 domain truy xuất vào tài nguyên trong domain khác

 Có thể 1 chiều hay 2 chiều

 Có thể là transitive, intransitive hay explicit

 Thuật ngữ: Trusting trusts Trusted Domain

Trusted Domain

(Users)

Trusting Domain (Resources)

Intransitive Trusts

Domain B tin tưởng(trust) Domain A, và

Domain C tin tưởng Domain B nhưng Domain

A không tin tưởng Domain C

OU(Organisational Unit)

Dùng để tổ chức các đối tượng trong một

domain thành các nhóm

Phản ánh cấu trúc và chức năng của tổ chức

Có thể chứa các đối tượng

Tree

 Một cây (tree) là một tập hợp phân cấp các domain

chia sẻ 1 cấu trúc tên miền liên tục.

DNS(Domain Name System)

chung(Global Catalog)

Tree

Forests

Một rừng (forest) là 1 tập hợp các cây không

chia sẻ cấu trúc tên miền liên tục

Tất cả cây chia sẻ chung một schema

Tất cả cây chia sẻ chung một danh mục

chung(Global catalog)

Các miền hoạt động độc lập, nhưng forest

cho phép liên hệ trong phạm vi toàn bộ tổ

chức

Forests

Cấu trúc vật lý

Sites

Domain Controllers

Sites

Là sự kết hợp của 1 hay nhiều mạng con

Chức năng của site

 Làm cho quá trình chứng thực user nhanh bằngcách xác định DC gần nhất khi người dùng logon vào mạng

 Giúp cho quá trình replication giữa các site hiệuquả

Sites

Domain Controllers

Là máy tính chạy Window Server 2003

Lưu giữ bản sao chép thư mục của

miền(domain directory)

Multimaster replication

Tất cả DC trong một miền có cùng một bảnsao chép của thư mục miền

mạng(fault tolerance)

Quản lý quá trình tương tác với người dùng

Active Directory Schema

 Định nghĩa các đối tuợng có thể lưu trữ trong Active Directory

 Định nghĩa các thuộc tính có thể lưu trữ trong các

đối tượng

 Có 2 định nghĩa trong schema

 Classe: Các đối tượng mà AD có thể tạo

 Attributes:Định nghĩa tách riêng với lớp và có thể sử dụng trong nhiều lớp

 Các thuộc tính và các lớp đối tượng có quan hệ

nhiều-nhiều.

 Mở rộng AD: định nghĩa thêm các classe và attribute trong schema

Global Catalog

 Là CSDL quản lý thông tin về các đối tượng trên

1 tree hoặc forest

 GC thực hiện 2 chức năng chính trên AD:

 Cho phép user thực hiện các thao tác đăng

nhập bằng cách cung cấp thông tin về user cho AD

 Cho phép tìm kiếm thông tin trên AD bất kể

domain nào trong forest chứa dữ liệu thực sự

 Máy Domain Controller nào lưu trữ Global Catalog thì được gọi là Global Catalog Server

có thể cấu hình nhiều Global Catalog Server để

cân bằng tải cho việc chứng thực

Quá trình truy vấn

Không gian tên

Không gian tên là nơi mà 1 cái tên có thể

được phân giải

Phân giải tên: là quy trình chuyển đổi từ mộttên thành các đối tượng hay các thông tin màtên đó thể hiện

Không gian tên của AD dựa trên không giantên của DNS

RDN(Relative Distinguished Name)

 AD hỗ trợ truy vấn theo thuộc tính

 RDN là một phần của tên, có thể là một thuộc tính của đối tượng

CN=Firstname Lastname

CN=Users/CN=Firstname Lastname

RDN

Tóm tắt

 Directory service lưu trữ các thông tin quản lý hệ thống một cách tập trung

 Dư liệu trong AD được tổ chức thành các đối tượng

 Logical structure: domains, Ous, Trees, Forests.

 Physical Structure: Sites, domain controllers

 Global catalog: trung tâm lưu trữ thông tin

CÀI ĐẶT ACTIVE

DIRECTORY

Nội dung

Cài đặt Active Directory

Gỡ bỏ Active Directory

Kiểu domain controller

Kiểu domain

Dùng dcpromo

 Click Start-> Run-> Type dcpromo

 Trong hộp domain controller type

(tt)

Đặt tên domain

NetBios Name

Tên Domain theo chuẩn NetBIOS để tương thích với

hệ điều hành Windows NT

Chỉ định vị trí lưu database và log của Active Directory

Nên lưu Database và log trên 2 đĩa vật lý

(tt)

Cài DNS

Thiết lập quyền

Cho phép hoặc không cho phép các máydùng HDH windows trước 2000 đăng nhập

Password

Password sử dụng khi khởi động ở chế độDirectory Services Restore Mode

Ghỡ bỏ AD

Controller giúp gỡ bỏ AD trên máy đó

Gia nhập vào Domain

Giới thiệu

Các bước gia nhập máy trạm vào Domain

 Đăng nhập vào máy trạm với vai trò của người quản trị (Có thể sử dụng Administrator)

 Right click My Computer  Properties  System Properties  chọn tab Computer Name  chọn nút Change  Điền tên của Domain muốn gia nhập vào

ô Domain(Hình A)

 DC yêu cầu chứng thực, phải điền uasername và password của tài khoản có quyền đưa máy trạm vào Domain (Hình B).

Gia nhập vào Domain

Các bước gia nhập máy trạm vào Domain

Hình A

Hình B

Xây dựng DC đồng hành

Lựa chọn chức năng của DC

 Thêm DC vào Domain đã có sẵn

Xây dựng DC đồng hành

Chứng thực

 Cung cấp username, password của

Administrator và Domain muốn tạo DC đồnghành

Xây dựng DC đồng hành

 Tên DNS đầy đủ (Full DNS) của Domain muốn xây dựng DC đồng hành

Xây dựng DC đồng hành

Kết thúc quá trình tạo DC đồng hành

Xây dựng Subdomain

Lựa chọn chức năng của DC

 DC để quản lý Domain mới

Xây dựng Subdomain

 Domain con của một Domain Tree, …

Xây dựng Subdomain

Tên của Sub Domain (Child Domain)

 Tên của Domain cha (Parent domain) vàdomain con (Sub Domain)

Xây dựng Subdomain

Kết quả có được khi tạo Sub Domain

QUẢN LÝ USER VÀ GROUP

Mục đích

Quản trị Users và Groups trong Workgroup

Quản trị Users và Groups trong Domain

Quản trị Users, Groups trong Workgroup

Khái niệm Users và Groups

Quản trị Users

Quản trị Groups

Khái niệm Users

User Accounts:Tài khoản người dùng

 Cho phép user logon trên mạng hay máy tính cục bộ

 Cho phép truy suất tài nguyên mạng hay cục bộ

 User name và password

 Quy ước đặt tên:20 ký tự hoa hoặc thường, kt số

 Password:8-128 ký tự

Group Account

phân quyền truy xuất tài nguyên cho nhiều users cùng lúc

(tt)

 User có thể là thành viên của nhiều groups

Tạo Account

(tt)

Hiệu chỉnh User

Xóa tài khoản

Khóa tài khoản

Groups trong workgroup

 Không là thành viên của group khác

 Thành viên chỉ là users cục bộ

 Chỉ được truy xuất tài nguyên trên máy tạo ra

Local group

 Tập hợp tài khoản trên 1 máy tính

trên máy tính cục bộ

 Nên sử dụng local group trên máy mà mình tạo

 Sử dụng local group trên các máy chạy window XP hay

là máy chủ thanh viên chạy window server 2003 Local group không thể tạo trên máy quản lý miền.

 Sử dụng local group cho máy không thuộc domain

 Thành viên local group chỉ có thể là user của máy tính

mà bạn tạo local group.

Quản trị groups

Quản trị groups

Đăng nhập máy cục bộ

Hộp thoại logon vào local computer

Quản lý Users và Groups Trong Domain

truy xuất tài nguyên trong Domain.

Tài khoản users trong domain

 Tài khoản chính là tên logon vào domain(logon name) và truy xuất tài nguyên

 User Principal Name(UPN)

 Security Principal Name(SPN), Suffix DNS

 Ví dụ: tannv@hcmut.edu.vn

Các đặc tính tài khoản User

Công cụ chính để tạo và quản trị tài khoản

là Active Directory Users and Computers

Active Directory dễ mở rộng nên có thể cócác tab được thêm vào các trang đặc tính(property page)

 Tên, mật khẩu, tài nguyên y/c

Trong môi trường Active Directory

 Domain controller chứng thực

Trong 1 workgroup

 SAM cục bộ chứng thực

Tạo tài khoản người dùng cho domain user

Thiết lập password

Thiết lập Home Directory cho Domain User

 Để quản trị dữ liệu của

User một cách tập trung

 Thực hiện

 Tạo home directory trên

máy server cho từng user

 Chia sẻ và thiết lập quyền

trên home directory ứng

với mỗi user riêng

 Thiết lập đường dẫn chỉ

đến home directory cho

mỗi user trên server