Hệ Điều Hành Window Server 2003

Hệ Điều Hành Window Server 2003

Lời nói đầu

Trong thời đại hiện nay Công Nghệ Thông Tin ngày càng phát triển và đóng một vai tròquan trọng không thể thiếu với mỗi chúng ta.Cần thiết hơn cả là đối với một công ty,mọt nhà máy xí nghiẹp,một doanh nghiệp ,trường hoc….vv

Việc làm thế nào để cho công ty mình ngày càng phát thiển, các tài nguyên trong công

ty đựoc bảo mât một cách an toàn là mối lo ngại với không ít các doanh nghiệp.Nhận thấy đièu đó là quan trọng chính vì thế Microsoft đã nhanh chóng cho áp dụng CNTT vào các doanh nghiệp bằng giải pháp quản trị máy chủ và diều này đã nhanh chóng đựoc các doanh nghiệp trong và ngoài nứoc ứng dụng thành công và nhiệt tình hưởng ứng

Việc sử dụng hệ thống máy chủ để quản trị trong doanh nghiệp ngày càng đựoc các doanh nghiệp trong nứoc áp dụng nhằm có một hệ thống hoạt động tốt,an toàn ,có độ bảo mật cao,chi phí hợp lý và thuận tiẹn trong việc trao đổi thong tin giữa các chi nhánh…

Từ những yêu cầu thực tế như vậy em xin xây dựng các dịch vụ mạng trong một doanh nghiệp vừa và nhỏ sử dung Window Server 2003 trên phần mềm máy ảo VMWare và từ

đó có thể áp dụng vào triển khai trên thực tế

Chương I Giới Thiệu Hệ Điều Hành Window Server 2003

I. Giới thiệu về Hệ Điều Hành Window Server 2003

Windows Server 2003 là sản phẩm của hệ điều hành Windows Server và được cải tiến rất nhiều so với các phiên bản trước đó: bảo mật tốt hơn, độ tin cậy cao hơn và dễ dàng quản trị Phần sau đây sẽ trình bày tổng quan về họ sản phẩm Windows Server 2003, tập trung vào các điểm giống và khác nhau giữa 4 phiên bản: Web Edition, Standard Edition, Enterprise Edition và Datacenter Edition

1.Các phiên bản của họ Windows Server 2003

Các phiên bản khác nhau của Windows Server 2003 được thiết kế để hỗ trợ các nền tảng thiết bị phần cứng và vai trò máy chủ khác nhau Bên cạnh 4 phiên bản cơ bản của Windows Server 2003 - Web, Standard (Tiêu chuẩn), Enterprise (Doanh nghiệp) và Datacenter (Trung tâm dữ liệu) – hệ điều hành này còn có thêm các phiên bản hỗ trợ phần cứng 64 bit và các hệ thống nhúng Phần tiếp theo sẽ trình bày chi tiết hơn về các phiên bản này

1.1 Phiên bản Web (Web Edition)

Để tăng tính cạnh tranh của Windows Server 2003 so với các máy chủ Web khác, Microsoft đã cho ra một phiên bản đặc biệt của Windows Server 2003, được thiết kếchuyên dụng cho chức năng của một máy chủ Web Phiên bản Web là một phần của hệđiều hành chuẩn cho phép người quản trị có thể triển khai các Web site, các ứng dụngWeb và các dịch vụ Web mà không tốn nhiều chi phí và công sức quản trị Hệ điềuhành này hỗ trợ tối đa 2GB bộ nhớ RAM và 2 bộ vi xử lí – chỉ bằng một nửa so với khảnăng hỗ trợ của bản Standard Edition

Phiên bản Web không có nhiều tính năng như các phiên bản Windows Server 2003 khác, tuy nhiên nó vẫn tích hợp một số thành phần có thể không cần thiết cho một Web Server điển hình, đó là:

Một máy chủ chạy phiên bản Web có thể là thành viên của một miền sử dụng ActiveDirectory nhưng nó không thể trở thành một máy chủ quản trị miền

• Mô hình Client Access License - CAL (giấy phép truy nhập từ máy trạm) chuẩnkhông được áp dụng cho các máy chủ chạy hệ điều hành Web Edition Hệ điềuhành này hỗ trợ một số lượng không giới hạn các kết nối Web, nhưng nó lạigiới hạn tối đa 10 kết nối Server Message Block (SMB) đồng thời Điều này cónghĩa là không thể có nhiểu hơn 10 người dùng mạng nội bộ có thể truy nhậpcác tài nguyên file và máy in tại một thời điểm bất kì

• Các tính năng Tường lửa Bảo vệ Kết nối Internet (Internet Connection Firewall-ICF) và Chia sẻ Kết nối Internet (Internet Connection Sharing - ICS) sẽ không

có trong phiên bản Web, điều này sẽ không cho phép máy chủ thực hiện chứcnăng của một cổng kết nối Internet

• Một máy chủ chạy hệ điều hành Web Edition không thể thực hiện chức năng củamột máy chủ DHCP, máy chủ fax, máy chủ Microsoft SQL hay một Máy chủDịch vụ Dầu cuối mặc dù chức năng Remote Desktop (Truy nhập toàn mànhình từ xa) dành cho quản trị vẫn được hỗ trợ

• Phiên bản Web sẽ không cho phép chạy các ứng dụng không phải dịch vụ Web Tuy nhiên, phiên bản Web lại bao gồm đầy đủ các thành phần chuẩn mà một máy chủWeb cần, bao gồm Microsoft Internet Information Services (IIS) 6, Network LoadBalancing (NLB), và Microsoft ASP.NET

Do vậy, hiển nhiên là phiên bản Web không phải là một nền tảng thích hợp cho các máychủ mạng thông thường Nó cho phép các cơ quan hay tổ chức triển khai các máy chủ Web chuyên dụng, không hỗ trợ các thành phần khác mà máy chủ web này không cần thiết sử dụng trong vai trò của nó

1.2 Phiên bản Tiêu chuẩn (Standard Edition)

Phiên bản Standard sử dụng cho nền tảng máy chủ đa chức năng trong đó có thể cungcấp các dịch vụ thư mục (Directory), file, in ấn, ứng dụng, multimedia và dịch vụInternet cho các doanh nghiệp cỡ vừa và nhỏ Sau đây là một vài trong rất nhiều tínhnăng có trong phiên bản này của hệ điều hành :

• Directory services (Dịch vụ Thư mục): Phiên bản Standard có khả năng hỗ trợ

đầy đủ đối với Active Directory cho phép các máy chủ có thể đóng vai trò làmáy chủ thành viên hoặc các máy chủ quản trị miền Người quản trị mạng có thể

sử dụng các công cụ kèm theo hệ điều hành để triển khai và quản trị các đốitượng Active Directory, các chính sách nhóm (GP – Group Policy) và các dịch

vụ khác dựa trên nền Active Directory

• Dịch vụ Internet: Phiên bản Standard bao gồm IIS 6.0 cung cấp các dịch vụ Web

và FTP cũng như các thành phần khác sử dụng trong quá trình triển khai máychủ Web như dịch vụ Cân bằng Tải (NLB – Network Load Balancing) Chứcnăng NLB cho phép nhiều máy chủ Web có thể cùng duy trì (host) một Web siteđơn, chia sẻ các yêu cầu kết nối của client trong tối đa 32 máy chủ đồng thờicung cấp khả năng chống lỗi cho hệ thống

• Các dịch vụ cơ sở hạ tầng: Phiên bản Standard bao gồm các dịch vụ Microsoft

DHCP Server, Domain Name System (DNS) Server, và Windows Internet NameService (WINS) Server, cung cấp các dịch vụ cơ bản cho mạng nội bộ và cácmáy khách trên Internet

• Định tuyến TCP/IP (TCP/IP Routing): Một máy chủ chạy phiên bản Standard có

thể thực thi như một router với rất nhiều cấu hình bao gồm định tuyến LAN vàWAN, định tuyến truy nhập Internet và định tuyến truy nhập từ xa Để thực hiệncác chức năng này, dịch vụ Định tuyến và Truy nhập Từ xa (Routing andRemote Access Service - RRAS) có hỗ trợ cho các tính năng Chuyển đổi Địa chỉ

(Internet Authentication Service – IAS), các giao thức định tuyến như Giao thứcThông tin Định tuyến (Routing Information Protocol – RIP) và Uư tiên ĐườngNgắn nhất (Open Shortest Path First – OSPF)

• Dịch vụ File và In ấn: Người dùng trong mạng có thể truy nhập các ổ đĩa, thư

mục và máy in chia sẻ trên một máy chủ chạy phiên bản Standard của hệ điềuhành Mỗi máy khách (client) khi muốn truy nhập đến các tài nguyên đã chia sẻtrên máy chủ sẽ phải có một Giấy phép Truy nhập (Client Access License -CAL) Phiên bản Standard thông thường được bán thành một gói gồm 5, 10 Giấyphép Truy nhập (CAL) hoặc nhiều hơn, và khi muốn thêm nhiều người dùngtruy nhập, bạn sẽ phải mua bổ sung các Giấy phép Truy nhập (CAL) này

• Máy chủ Terminal (đầu cuối): Một máy chủ chạy Phiên bản Standard có thể

thực hiện chức năng một Máy chủ Dịch vụ Dầu cuối, cho phép các máy tính vàcác thiết bị khác có thể truy nhập màn hình Windows và các ứng dụng đang chạytrên máy chủ này Máy chủ Dịch vụ Dầu cuối bản chất là một kĩ thuật điều khiển

từ xa cho phép các máy khách (client) truy nhập đến một phiên làm việcWindows trên máy chủ Mọi ứng dụng được thực thi trên máy chủ và chỉ bànphím, màn hình và các thông tin hiển thị được truyền qua mạng Các máy kháchcủa Máy chủ Dịch vụ Dầu cuối được yêu cầu Giấy phép Truy nhập khác so với Giấy phép Truy nhập chuẩn CAL mặc dù Phiên bản Standard đã cung cấp sẵnmột Giấy phép Truy nhập cho 2 người dùng sử dụng dịch vụ Remote Desktopfor Administration (Dịch vụ truy nhập toàn màn hình từ xa dành cho các tác vụquản trị), một công cụ quản trị từ xa dựa trên dịch vụ Terminal

• Các dịch vụ bảo mật: Phiên bản Standard còn có rất nhiều các tính năng bảo mật

mà một người quản trị có thể triển khai nếu cần, bao gồm khả năng Mã hóa Hệthống File (EFS) – bảo vệ các file trên các ổ cứng máy chủ bằng cách lưu trữchúng trong một định dạng đã được mã hóa, tính năng bảo mật IP (IP Security -IPsec) mở rộng, - sử dụng chữ kí số để mã hóa dữ liệu trước khi truyền đi trênmạng, tính năng tường lửa ICF – qui định các luật đối với các luồng dữ liệu đi từInternet vào trong mạng và tính năng sử dụng Public Key Infrastructure (PKI) –cung cấp khả năng bảo mật dựa trên mã hóa bằng khóa công khai và các chứngnhận số hóa

1.3 Phiên bản Doanh nghiệp (Enterprise Edition)

Phiên bản Enterprise được thiết kế họat động trên các máy chủ cấu hình mạnh của các

tổ chức doanh nghiệp cỡ vừa và lớn Phiên bản này khác phiên bản Standard chủ yếu ởmức độ hỗ trợ phần cứng ví dụ: Bản Enterprise hỗ trợ tối đa 8 bộ vi xử lí so với 4 bộcủa bản Standard và tối đa 32GB bộ nhớ RAM so với khả năng của bản Standard chỉ là4GB

Phiên bản Enterprise còn bổ sung thêm một số tính năng quan trọng mà không có trongbản Standard, bao gồm các thành phần sau:

• Microsoft Metadirectory Services - MMS (Dịch vụ Siêu Thư mục

Microsoft): Metadirectory bản chất là thư mục của các thư mục – một phương

tiện tích hợp nhiều nguồn thông tin vào một thư mục đơn, thống nhất MMS chophép chúng ta có thể kết hợp các thông tin trong Active Directory với các dịch

vụ thư mục khác, để tạo ra một cách nhìn tổng thể tất cả các thông tin về một tàinguyên nào đó Phiên bản Enterprise chỉ cung cấp hỗ trợ cho MMS mà khôngphải là phần mềm MMS thực sự, phần mềm này bạn phải lấy từ MicrosoftConsulting Service (Dịch vụ tư vấn Microsoft - MCS) hoặc thông qua một thỏathuận với đối tác MMS

• Server Clustering (Chuỗi Máy chủ): Chuỗi máy chủ là một nhóm các máy chủ

nhưng lại đóng vai trò như một máy chủ đơn cung cấp khả năng sẵn sàng caocho một nhóm các ứng dụng Tính sẵn sàng trong trường hợp này có nghĩa là cácchu trình hoạt động của ứng dụng đó được phân bố đều trong các máy chủ trongchuỗi, giảm tải trên mỗi máy chủ và cung cấp khả năng chịu lỗi nếu bất kì máychủ nào bị sự cố Các máy chủ trong chuỗi, được gọi là các nút, đều có khả năngtruy nhập đến một nguồn dữ liệu chung, thông thường là một mạng lưu trữ lớn(Storage Area Network - SAN), cho phép các nút luôn được duy trì cùng mộtnguồn thông tin dữ liệu cơ sở Phiên bản Enterprise hỗ trợ máy chủ cluster có tối

đa 8 nút

• Bộ nhớ RAM Cắm nóng (Hot Add Memory): Phiên bản Enterprise bao gồm

phần mềm hỗ trợ một đặc tính của phần cứng gọi là Bộ nhớ Cắm nóng, cho phépngười quản trị mạng có thể thêm hoặc thay thế bộ nhớ RAM trong máy chủ màkhông cần tắt máy hoặc khởi động lại Để sử dụng tính năng này, máy tính phải

có phần cứng hỗ trợ tương ứng

• Quản trị Tài nguyên Hệ thống của Windows (Windows System Resource

Manager - WSRM): Tính năng này cho phép người quản trị mạng có thể phân

bố tài nguyên hệ thống cho các ứng dụng hoặc chu trình dựa trên nhu cầu củacác người dùng, đồng thời duy trì các bản báo cáo về tài nguyên do các ứngdụng hay chu trình trong hệ thống sử dụng Điều này cho phép các tổ chứcdoanh nghiệp có thể thiết lập giới hạn sử dụng tài nguyên cho một ứng dụng xácđịnh hoặc tính chi phí cho khách hàng dựa trên các tài nguyên họ sử dụng

1.4 Phiên bản Trung tâm Dữ liệu (Datacenter Edition)

Phiên bản Datacenterđược thiết kế cho các máy chủ ứng dụng cao cấp, lưu lượng truy nhập lớn, yêu cầu sử dụng rất nhiều tài nguyên hệ thống Phiên bản này cũng gần giống Phiên bản Enterprise khi so sánh các tính năng, tuy nhiên nó hỗ trợ tốt hơn cho việc mở rộng phần cứng, có thể hỗ trợ tối đa 64GB bộ nhớ và 32 bộ vi xử lí Phiên bản này không tích hợp một số tính năng có trong bản Enterprise

Chương II – Các dịch vụ mạng Window Server 2003

I Dịch vụ Active Directory

1 Active Directory là gì?

Trước hết chúng ta hãy đi tìm hiểu xem Active Directory là gì Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó

Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ điều hành Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission

Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng

1.1.Tại sao cần thực thi Active Directory?

Có một số lý do để lý giải cho câu hỏi trên Microsoft Active Directory được xem như

là một bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay thậm chí các mạng máy chủ standalone Active Directory có một cơ chế quản trị tập trung trên toàn

bộ mạng Nó cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều domain controller được triển khai trong một domain

Active Directory sẽ tự động quản lý sự truyền thông giữa các domain controller để bảo đảm mạng được duy trì Người dùng có thể truy cập vào tất cả tài nguyên trên mạng thông qua cơ chế đăng nhập một lần Tất cả các tài nguyên trong mạng được bảo vệ bởimột cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truy cập đối với tài nguyên

Active Directory cho phép tăng cấp, hạ cấp các domain controller và các máy chủ thànhviên một cách dễ dàng Các hệ thống có thể được quản lý và được bảo vệ thông qua cácchính sách nhóm Group Policies Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị Mặc dù vậy quan trọng nhất vẫn là Active Directory có khả năng quản lý hàng triệu đối tượng bên trong một miền

1.2.Những đơn vị cơ bản của Active Directory

Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục Bốn đơn vị này được chia thành forest, domain, organizational unit và site

Hình 1

• Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory

• Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở

dữ liệu của các thành viên của chúng

• Organizational unit (OU): Nhóm các mục trong miền nào đó Chúng tạo nên mộtkiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức và địa lý

• Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nốitốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet

Các Forest không bị hạn chế theo địa lý hoặc topo mạng Một forest có thể gồm nhiều miền, mỗi miền lại chia sẻ một lược đồ chung Các thành viên miền của cùng một forestthậm chí không cần có kết nối LAN hoặc WAN giữa chúng Mỗi một mạng riêng cũng

có thể là một gia đình của nhiều forest độc lập Nói chung, một forest nên được sử dụngcho mỗi một thực thể Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài forest tham gia sản xuất

Các miền Domain phục vụ như các mục trong chính sách bảo mật và các nhiệm vụ

quản trị Tất cả các đối tượng bên trong một miền đều là chủ đề cho Group Policies miền rộng Tương tự như vậy, bất cứ quản trị viên miền nào cũng có thể quản lý tất cả các đối tượng bên trong một miền Thêm vào đó, mỗi miền cũng đều có cơ sở dữ liệu

bản của miền Khi một tài khoản người dùng hoàn toàn xác thực đối với một miền nào

đó thì tài khoản người dùng này có thể truy cập vào các tài nguyên bên trong miền

Active Directory yêu cầu một hoặc nhiều domain để hoạt động Như đề cập từ trước, một miền Active Directory là một bộ các máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu các thành viên của chúng Một miền phải có một hoặc nhiều máy domain controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách và cung cấp sự thẩm định cho các đăng nhập vào miền

Trước kia trong Windows NT, bộ điều khiển miền chính - primary domain controller (PDC) và bộ điều khiển miền backup - backup domain controller (BDC) là các role có thể được gán cho một máy chủ trong một mạng các máy tính sử dụng hệ điều hành Windows Windows đã sử dụng ý tưởng miền để quản lý sự truy cập đối với các tài nguyên mạng (ứng dụng, máy in và,…) cho một nhóm người dùng Người dùng chỉ cầnđăng nhập vào miền là có thể truy cập vào các tài nguyên, những tài nguyên này có thể nằm trên một số các máy chủ khác nhau trong mạng

Máy chủ được biết đến như PDC, quản lý cơ sở dữ liệu người dùng Master cho miền Một hoặc một số máy chủ khác được thiết kế như BDC PDC gửi một cách định kỳ các bản copy cơ sở dữ liệu đến các BDC Một BDC có thể có thể đóng vai trò như một PDC nếu máy chủ PDC bị lỗi và cũng có thể trợ giúp cân bằng luồng công việc nếu quábận

Với Windows 2000 Server, khi domain controller vẫn được duy trì, các role máy chủ PDC và BDC cơ bản được thay thế bởi Active Directory Người dùng cũng không tạo các miền phân biệt để phân chia các đặc quyền quản trị Bên trong Active Directory, người dùng hoàn toàn có thể ủy nhiệm các đặc quyền quản trị dựa trên các OU Các miền không bị hạn chế bởi một số lượng 40.000 người dùng Các miền Active

Directory có thể quản lý hàng triệu các đối tượng Vì không còn tồn tại PDC và BDC nên Active Directory sử dụng bản sao multi-master replication và tất cả các domain controller đều ngang hàng nhau

Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng hơn so với các miền OU cho phép bạn có được khả năng linh hoạt gần như vô hạn, bạn có thể chuyển,xóa và tạo các OU mới nếu cần Mặc dù các miền cũng có tính chất mềm dẻo Chúng cóthể bị xòa tạo mới, tuy nhiên quá trình này dễ dẫn đến phá vỡ môi trường so với các OU

và cũng nên tránh nếu có thể

Theo định nghĩa, sites là chứa các IP subnet có các liên kết truyền thông tin cậy và

nhanh giữa các host Bằng cách sử dụng site, bạn có thể kiểm soát và giảm số lượng lưulượng truyền tải trên các liên kết WAN chậm

1.3.Infrastructure Master và Global Catalog

Một thành phần chính khác bên trong Active Directory là Infrastructure Master

Infrastructure Master (IM) là một domain-wide FSMO (Flexible Single Master of

Operations) có vai trò đáp trả trong quá trình tự động để sửa lỗi (phantom) bên trong cơ

Phantom được tạo ra trên các DC, nó yêu cầu một sự tham chiếu chéo cơ sở dữ liệu giữa một đối tượng bên trong cơ sở dữ liệu riêng và một đối tượng từ miền bên trong forest Ví dụ có thể bắt gặp khi bạn bổ sung thêm một người dùng nào đó từ một miền vào một nhóm bên trong miền khác có cùng forest Phantom sẽ bị mất hiệu lực khi chúng không chứa dữ liệu mới cập nhật, điều này xuất hiện vì những thay đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện, ví dụ như khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu đó giữa các miền, hay vị xóa Infrastructure Master

có khả năng định vị và khắc phục một số phantom Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi đều được tạo bản sao đến tất cả các DC còn lại bên trong miền

Infrastructure Master đôi khi bị lẫn lộn với Global Catalog (GC), đây là thành phần duy trì một copy chỉ cho phép đọc đối với các domain nằm trong một forest, được sử dụng cho lưu trữ nhóm phổ dụng và quá trình đăng nhập,… Do GC lưu bản copy không hoànchỉnh của tất cả các đối tượng bên trong forest nên chúng có thể tạo các tham chiếu chéo giữa miền không có nhu cầu phantom

1.4.Active Directory và LDAP

LDAP (Lightweight Directory Access Protocol) là một phần của Active Directory, nó làmột giao thức phần mềm cho phép định vị các tổ chức, cá nhân hoặc các tài nguyên khác như file và thiết bị trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội bộ trong công ty

Trong một mạng, một thư mục sẽ cho bạn biết được nơi cất trữ dữ liệu gì đó Trong cácmạng TCP/IP (gồm có cả Internet), domain name system (DNS) là một hệ thống thư mục được sử dụng gắn liền tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng) Mặc dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm những cụ thể mà không cần biết chúng được định vị ở đâu

Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới đây:

• Thư mục gốc có các nhánh con

• Country, mỗi Country lại có các nhánh con

• Organizations, mỗi Organization lại có các nhánh con

• Organizational units (các đơn vị, phòng ban,…), OU có các nhánh

• Individuals (cá thể, gồm có người, file và tài nguyên chia sẻ, chẳng hạn như printer)

Một thư mục LDAP có thể được phân phối giữa nhiều máy chủ Mỗi máy chủ có thể cómột phiên bản sao của thư mục tổng thể và được đồng bộ theo chu kỳ

Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các thông tin trong Active

Directory, cần tạo các truy vấn LDAP hữu dụng khi tìm kiếm các thông tin được lưu trong cơ sở dữ liệu Active Directory

1.5.Sự quản lý Group Policy và Active Directory

Khi nói đến Active Directory chắc chắn chúng ta phải đề cập đến Group Policy Các quản trị viên có thể sử dụng Group Policy trong Active Directory để định nghĩa các thiết lập người dùng và máy tính trong toàn mạng Thiết lập này được cấu hình và đượclưu trong Group Policy Objects (GPOs), các thành phần này sau đó sẽ được kết hợp với các đối tượng Active Directory, gồm có các domain và site Đây chính là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính và người dùng trong môi trường

Windows

Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết lậpdesktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập đối với các file hoặc thư mục nào đó bên trong mạng

Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử dụng như thế nào Group Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sử dụng trước, sau đó là các chính sách site, chính sách miền, chính sách được sử dụng cho các

OU riêng Ở một thời điểm nào đó, một đối tượng người dùng hoặc máy tính chỉ có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên kết với site hoặc miền đó

Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template (GPT) và Group Policy Container (GPC) Group Policy Template có trách nhiệm lưu các thiết lập được tạo bên trong GPO Nó lưu các thiết lập trong một cấu trúc thư mục và các file lớn Để áp dụng các thiết lập này thành công đối với tất cả các đối tượng người dùng vàmáy tính, GPT phải được tạo bản sao cho tất cả các DC bên trong miền

Group Policy Container là một phần của GPO và được lưu trong Active Directory trên các DC trong miền GPC có trách nhiệm giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của GPO GPC không chứa nhiều thông tin có liên quan đến GPO tương ứng với nó, tuy nhiên nó là một thành phần cần thiết của Group Policy Khi các chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết bên trong GPO Bên cạnh đó nó cũng giữ các liên kết quan hệ khác và các đường dẫn được lưu trong các thuộc tính đối tượng Biết được cấu trúc của GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề nào đó cóliên quan đến GP

Với Windows Server 2003, Microsoft đã phát hành một giải pháp quản lý Group Policy

đó là Group Policy Management Console (GPMC) GPMC cung cấp cho các quản trị viên một giao diện quản lý giúp đơn giản các nhiệm vụ có liên quan đến GPO

2 Chức năng của AD :

- Lưu giữ một danh sách tập trung tên tài khoản người dùng, mật khẩu tương ứng và cáctài khoản máy tính

- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản

lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng)

- Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể do rà nhanh một tài nguyên nào đó trên các máy tính khác trong vùng

- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như : toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa

- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit) Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ

3 Diectory Services

3.1 Giới thiệu Directory Services

Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT và cácchương trình quản lý, khai thác tập tin này Dịch vụ danh bạ là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống AD Một hệ thống với những tính năng vượt trội của Microsoft

3.2 Các thành phần trong Directory Services :

Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ ? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó

3.2.1 Object (đối tượng) :

server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, … Đối tượng chính là thành tố căn bản nhất của dịch vụ danh bạ.

3.2.2 Attribute (thuộc tính) :

Một thuộc tính mô tả đối tượng Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau, lấy ví dụ như một máy in và một máy trạm, cả hai đều có một thuộc tính là địa chỉ IP

3.2.3 Schema (cấu trúc tổ chức) :

Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào

đó Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in” Schema có đặc tính là tùy biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ AD

3.2.4 Container (vật chứa) :

Vật chứa tương tự với khái niệm thư mục trong Windows Một thư mục có thể chứa cáctập tin và các thư mục khác Trong AD, một vật chứa có thể chứa các đối tượng và các vật chứa khác Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng Có 3 loại vật chứa :

- Domain : khái niệm này được trình bày chi tiết ở phần sau

- Site : một site là một vị trí Site được dùng để phân biệt giữa các vị trí cục bộ và các vịtrí xa xôi Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi nhánh đặt tại Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành dinh bằngDialup Networking Như vậy hệ thống mạng này có 3 site

- OU (Organizational Unit) : là một loại vật chứa mà bạn có thể đưa vào đó người dùng,nhóm, máy tính và những OU khác Một OU không thể chứa các đối tượng nằm trong domain khác Nhờ việc một OU có thể chứa các OU khác, bạn có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hóa cấu trúc của một tổ chức bên trong một domain Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống

in Nhưng nếu bạn ở Portland và máy in ở Settle thì sao? Global Catalog sẽ cung cấo thông tin này và bạn có thể gửi email cho chủ nhân của máy in, nhờ họ in dùm.

Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên Betty Doe ở bộ phận kế toán Đoạn thư thoại của cô ta bị cắt xén và bạn không thể biết được số điện thoại của cô ta Bạn có thể dùng Global Catalog để tìm thông tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta

Khi một đối tượng được tạo mới trong Global Catalog, đối tượng được gán một con số phân biệt gọi là GUID (Global Unique Identifier) GUID được cung cấp cố định cho dù bạn có di chuyển đối tượng đến khu vực khác

4 Kiến trúc của Active Diectory

- Attributes là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể

Như vậy, Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán

4.2 Organizational Units :

Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau” Việc sử dụng OU có hai công dụng chính như sau :

- Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ

đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống

- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group Policy)

4.3 Domain :

Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory Nó là

phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ cónhững qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn

Domain đáp ứng ba chức năng chính sau :

- Đóng vai trò như một khu vực quản trị (administrator boundary) các đối tượng, là một tập hợp các đĩnh nghĩa quản trị cho các đối tượng chia sẻ như : có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ uỷ quyền với các domain khác

- Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ

- Cung cấp các server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các server này đựơc đồng bộ nhau

4.4 Domain Tree :

Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây Domain tạo ra đầu tiên đựơc gọi là domain root và nằm ở gốc của cây thư mục Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain) Tên của các con phải khác biệt nhau

Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.

4.5 Forest :

Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thếit lập quan hệ và ủy quyền cho nhau Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng

II Dịch vụ DHCP (Dynamic Host Configuration Protocol )

1 GIỚI THIỆU DỊCH VỤ DHCP

Mỗi thiết bị trên mạng có dùng bộ giao thức TCP/IP đều phải có một địa chỉ IP hợp lệ, phân biệt Để hỗ trợ cho vấn đề theo dõi và cấp phát các địa chỉ IP được chính xác, tổ chức IETF (Internet Engineering Task Force) đã phát triển ra giao thức DHCP

(Dynamic Host Configuration Protocol)

Giao thức này được mô tả trong các RFC 1533, 1534, 1541 và 1542 Bạn có thể tìm thấy các RFC này tại địa chỉ http://www.ietf.org/rfc.html Để có thể làm một DHCP Server, máy tính Windows Server 2003 phải đáp ứng các điều kiện sau:

- Đã cài dịch vụ DHCP

- Mỗi interface phải được cấu hình bằng một địa chỉ IP tĩnh

Dịch vụ DHCP này cho phép chúng ta cấp động các thông số cấu hình mạng cho các máy trạm (client) Các hệ điều hành của Microsoft và các hệ điều hành khác như Unix hoặc Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên các hệ điều hành này phải có một DHCP Client.

Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như:

- Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ thống mạng

- Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật (Public IP)

- Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng

- Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như: nhà

ga, sân bay, trường học…

2 HOẠT ĐỘNG CỦA GIAO THỨC DHCP

Giao thức DHCP làm việc theo mô hình client/server Theo đó, quá trình tương tác giữaDHCP client và server diễn ra theo các bước sau:

- Khi máy client khởi động, máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu cầu một server phục vụ mình Gói tin này cũng chứa địa chỉ MAC của máy client

- Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉ của Server Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những Client khác trong suốt quá trình thương thuyết

- Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát cho Client khác

- Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCPACK như là một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng đó

sẽ chính thức được áp dụng Ngoài ra Server còn gửi kèm theo những thông tin cấu hình bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server, …

3 Quá trình Cài đặt:

3.1 Cài đặt DHCP Server

Control Panel > Add/Remove Programs > Add/Remove Windows

Hình 2

Hình 3

+ Trong khung Components > Networking Services > Details > chọnDynamic Host Configuration Protocol (DHCP)

Hình 4

Nhấp Ok và nhấp > Next

Quá trình cài đặt bắt và yêu cầu đưa đĩa nguồn vào để tiếp tục cài đặt

Nhấp Finish để kết thúc quá trình cài đặt DHCP Server

3.2 Cài đặt DHCP client:

+ Để Client chạy hệ điều hành Win2k trở lên lấy được IP address tự động ta :

Mở Properties của Network connection

Hình 5+ Chọn Properties của Internet Protocol (TCP/IP) > trong hộp thoại củaInternet Protocol (TCP/IP), trên General tab, click chọn Obtain an IP addressautomatically

+ Nếu muốn cấp một địa chỉ DNS server bằng DHCP thì click chọn ObtainDNS server address automatically

Hình 6

Nhấp OK để kết thúc quá trình cài đặt DHCP server

4 Nguyên lý làm việc của DHCP

4 bước để cấp thông tin của gói IP address cho DHCP client

+ IP lease request

+ IP lease offer+ IP lease selection

4.1 IP Lease Request

Đầu tiên, Client sẽ broadcast một message tên là DHCPDISCOVER, vì client lúcnày chưa có địa chỉ IP cho nên nó sẽ dùng một địa chỉ source(nguồn) là 0.0.0.0 vàcũng vì client không biết địa chỉ của DHCP server nên nó sẽ gửi đến một địa chỉbroadcast là 255.255.255.255 Lúc này gói tin DHCPDISCOVER này sẽ broadcastlên toàn mạng

Gói tin này cũng chứa một địa chỉ MAC (Media Access Control) (là địa chỉ mà mỗimột network adapter (card mạng) sẽ được nhà sản xuất cấp cho và là mã số để phânbiệt các card mạng với nhau để biết card mạng của mình có MAC address là gì, vàorun > đánh command > ipconfig /all > sẽ hiện ra một đoạn text gồm các thôngtin khác nhau về IP, DNS, default gateway

Trên hình minh họa có Physical Address (MAC address là: 00-02-A5-C2-B5-2F)đồng thời nó cũng chứa computer name của máy client để DHCP server có thể biếtđược client nào đã gởi yêu cầu đến

Hình 7

4.2 IP Lease Offer

Nếu có một DHCP Server hợp lệ (nghĩa là nó có thể cấp địa chỉ IP cho một client)nhận được gói tin DHCPDISCOVER của client nó sẽ trả lời lại bằng một gói tinDHCPOFFER, gói tin này có những thông tin kèm theo như sau:

+ MAC address của client

+ Một IP address cấp cho (offer IP address)

+ Một subnet mask

+ Thời gian thuê (mặc định là 8 ngày)

+ Địa chỉ IP của DHCP cấp IP cho client này

Lúc này DHCP server sẽ giữ lại địa chỉ IP đã offer (cấp) cho client để nó không cấp

DHCP client chờ một vài giây cho một offer, nếu nó không nhận một offer nó sẽrebroadcast (broadcast gói DHCPDISCOVER) trong khoảng thời gian là 2-, 4-, 8-

và 16- giây, bao gồm một khoảng thời gian ngẫu nhiên từ 0 - 1000 mili giây

Nếu DHCP client không nhận một offer sau 4 lần yêu cầu, nó sử dụng một địa chỉ

IP trong khoảng 169.254.0.1 đến 169.254.255.254 với subnet mask là 255.255.0.0

Nó sẽ sử dụng trong một số trong khoảng IP đó và việc đó sẽ giúp các DHCP clienttrong một mạng không có DHCP server thấy nhau DHCP client tiếp tục cố gắng tìmkiếm một DHCP server sau mỗi 5 phút

4.4 IP Lease Acknowledgement

DHCP server nhận được DHCPREQUEST sẽ gởi trả lại DHCP client mộtDHCPACK để cho biết là đã chấp nhận cho DHCP client đó thuê IP address đó Gói tin này bao gồm địa chỉ IP và các thông tin cấu hình khác như: DNS server,WINS server

Khi DHCP client nhận được DHCPACK thì cũng có nghĩa là kết thúc quá trình cấpnhận địa chỉ IP

Việc trao đổi thông tin giữa một DHCP server và DHCP client sẽ sử dụng UDP port

là 67 và 68 (User Datagram Protocol) Một vài switch sẽ không cho phép các gói tintrao đổi theo kiểu broadcast đi qua, cho nên cần phải config những switch này đểđược broadcast qua những port này

5 Cơ chế tự động refresh lại lease time

Khi DHCP client đã lease được một IP address rồi Theo mặc định của DHCP serverthì mỗi IP lease chỉ được có 8 ngày Nếu theo như mặc định (8 ngày) thì một DHCPclient sau một khoảng thời gian là 50% (tức là 4 ngày) nó sẽ tự động xin lại IPaddress với DHCP mà nó đã xin ban đầu

DHCP client lúc này sẽ gởi một sẽ gởi một DHCPREQUEST trực tiếp (unicast) đếnDHCP server mà nó đã xin ban đầu

Nếu mà DHCP server đó "còn sống", nó sẽ trả lời bằng một gói DHCPACK đểrenew (cho thuê mới lại) tới DHCP client, gói này bao gồm thông các thông số cấuhình mới cập nhật nhất trên DHCP server Nếu DHCP server "đã chết", thì DHCPclient này sẽ tiếp tục sử dụng cấu hình hiện thời của nó Và nếu sau 87.5%(7 ngày)của thời gian thuê hiện thời của nó, nó sẽ broadcast một DHCPDISCOVER đểupdate địa chỉ IP của nó Vào lúc này, nó không kiếm tới DHCP server ban đầu cho

nó thuê nữa mà nó là sẽ chấp nhận bất cứ một DHCP server nào khác

Nếu thời gian lease đã hết, thì client sẽ ngay lập tức dừng lại việc sử dụng IPaddress lease đó Và DHCP client sau đó sẽ bắt đầu tiến trình thuê một địa chỉ nhưban đầu

Chú ý:

khi khởi động (restart) lại DHCP client thì nó sẽ tự động renew lại IP address

Vậy nếu khi ta có một sự thay đổi về cấu hình trên DHCP server mà ta muốn nó cótác dụng đến các client ngay lập tức ta có thể renew một IP lease "bằng tay" đối vớiDHCP client như sau:

Vào run, đánh command > đánh lệnh là ipconfig /renew Khi đó nó sẽ gởi mộtDHCPREQUEST đến DHCP server để update thông tin về cấu hình, và thời gianlease mới Và ngược lại, nếu ta không muốn lease cái IP address này nữa ta có thểđánh lệnh ipconfig /release Lúc này, nó sẽ gởi đến DHCP server mộtDHCPRELEASE Sau lệnh này, client sẽ không còn liên lạc với network bằngTCP/IP nữa

6.Ủy quyền authorize một DHCP service

Phải ủy quyền một DHCP server trước khi nó có thể thực hiện được việc cho DHCPclient thuê

Việc yêu cầu ủy quyền cho các DHCP server sẽ ngăn chặn việc các DHCP server cókhả năng cung cấp các địa chỉ IP không hợp lệ cho các client

Để thực hiện được việc này ta phải logon bằng tài khoản nằm trong groupEnterprise Admins

(Chú ý: chỉ có DHCP server chạy trên Windows 2000 Server là kiểm tra việc ủyquyền Các DHCP server khác (không chạy trên nền Windows 2000 server) vẫn cóthể thực hiện được mặc dù chúng là không được ủy quyền)

6 1 Việc kiểm tra của các DHCP server không được xác thực:

Để việc authorize DHCP hoạt động chính xác, phải cấu hình network để khi dịch

vụ DHCP bắt đầu (start), nó gửi ra ngoài một gói DHCP information(DHCPINFORM) đến địa chỉ Local broadcast (hay nói cách khác là nó sẽ gởi đi hếtcác máy trong cùng một network) Sau đó, các DHCP server khác sẽ phản hồi lạimột gói DHCP acknowledgement (DHCPACK) cái chứa thông tin về một ActiveDirectory directory service root domain được nhận biết bởi mỗi DHCP server.DHCP server này tiếp tục khởi tạo DHCP service sau đó liên hệ với domaincontroller trong mỗi domain mà nó nhận ra Nó truy vấn Active Directory cho mộtdanh sách các DHCP server mà hiện tại đã được authorize Nếu DHCP server đãđược authorize, DHCP service trên máy đó mới bắt đầu hoạt động Nếu DHCPserver là không được authorize thì DHCP service sẽ log (ghi lại) một error trong

system log (các bạn có thể tìm thấy trong Administrative Tools/Event log) và nó

sẽ bỏ qua cả các yêu cầu của client

6 2 Cách tiến hành authorize một DHCP server

Mở DHCP từ Administrative Tools, trong console tree, right click vào DHCP, sau

đó click Manage authorized servers

Hình 8

+ Trong Manage authorized servers chọn Authorize

7 1 Tạo và cấu hình một Scope

+ Scope là một khoảng IP hợp lệ mà ta đã xác định trên DHCP server vàkhoảng này dùng để cung cấp cho các client có yêu cầu thuê địa chỉ (có thểdùng lệnh netsh để Config cho DHCP)

+ Để bắt đầu cấu hình một New Scope wizard, mở DHCP từ Administrative Tools,

Hình 11+ Right click vào tên của DHCP server muốn tạo ra New Scope và click NewScope.

Hình 12Trong màn hình Scope Name nhập vào các thông tin:

+ Name: Tên của scope

+ Description: sự mô tả hay là nói rõ về cái scope bạn định tạo

Sau đó nhấp Next để tiếp tục – màn hình IP Address Range xuất hiện như sau:

Hình 13Trong đó:

+ Start IP address và End IP address: xác định phạm vi địa chỉ IP mà DHCP server

có thể cấp cho Client từ scope này

+ Length hoặc Subnet mask: cho biết số bits được dùng làm NetID và subnet mask

để cấp cho DHCP client Thông số trong hình là mặc định Chỉ thay đổi cácthông số này khi có chia mạng con

Nhấp Next để tiếp tục, màn hình Add Exclusions xuất hiện như sau:

Hình 14+ Màn hình Excluded address range (Optional) cho phép xác định một hoặc nhiềuhơn các địa chỉ IP không được cấp cho các DHCP client

+ Nhấp Next các địa chỉ không được sử dụng sẽ xuất hiện trong khung ExcludedAddress Range như trong hình:

Hình 15+ Nhấp Next để tiếp tục

+ Lease duration: hiển thị thời gian mặc định mà DHCP client được thuê là 8 ngày

Có thể sửa lại được khoảng thời gian cho thuê là unlimited (vô thời hạn), khi đóphải cấu hình scope properties sau khi đã tạo ra new scope, bởi vì wizard khôngcung cấp option để cấu hình một unlimited scope

Lưu ý: Sau khi tạo scope, không thể thay đổi subnet mask mà bạn đã định Để thay

đổi thông tin scope, bạn phải delete scope và tạo lại scope mới

+ Chấp nhận giá trị mặc định và nhấp Next xuất hiện màn hình ConfigurationDHCP Option

Trên màn hình Configure DHCP Options có 2 lựa chọn :

 Yes, I want to cònigure these options now

 No, I will configure these options later

Chọn No, I will configure these options later và nhấp Next màn hình thông báo việctạo một New Scope hoàn thành

+ Nhấp finish để kết thúc quá trình cấu hình 1 scope mới

7 2 Thuận lợi và trở ngại của việc thay đổi thời gian thuê mặc định (8 ngày)

 Giảm bớt thời gian thuê (< 8 ngày chẳng hạn): việc làm giảm thời gian thuê nàycũng có cái hay sẽ cập nhật được thông tin cấu hình một khi có sự thay đổi mộtcách thường xuyên Nhưng bên cạnh đó, nó cũng phát sinh ra vấn đề là sẽ dễ dẫntới sự thay đổi về lưu lượn mạng, và nếu DHCP server này "chết tạm thời" thì sẽkhông được cấp IP khác cho nó nữa

 Tăng thời gian thuê (>8 ngày chẳng hạn): sẽ làm giảm lưu lượng, và địa chỉ IP sẽtiếp tục có hiệu lực nếu DHCP server "chết" trong khoảng thời gian dài Nhưngviệc này sẽ làm cho việc cập nhật sự thay đổi các thông tin sẽ không thườngxuyên

 Không giới hạn thời gian thuê (unlimited): việc unlimited sẽ giúp cho mạng của

ta chỉ bị giảm lưu lượng ngay khi máy khởi động và cũng có nghĩa là nó chỉ cậpnhật thông tin cấu hình lại mỗi khi nó được khởi động lại mà thôi

8 Cấu hình một scope với các option

Có thể cấu hình một scope để cung cấp các dạng thông tin cho DHCP lease Ví dụnhư là cấu hình một DHCP server và cung cấp cho nó địa chỉ của router để chophép các client của các Subnet liên lạc được với nhau

Khi tạo một New Scope sẽ có các option để chọn như là router (Default Gateway),Domain name, DNS và WINS server

8 1 Các option được hỗ trợ bởi DHCP

+ Địa chỉ IP của router: để cung cấp thông tin này, ta chỉnh 003 Router với IPaddress của một router mặc định Router này thông thường được coi là mộtdefault gateway

+ Địa chỉ IP của một hoặc nhiều tên DNS của các server có hiệu lực tới các client

Để cung cấp thông tin này, ta cấu hình 006 DNS Servers với IP address của mộthoặc nhiều DNS server

+ Tên miền của DNS: một tên miền DNS định nghĩa miền mà máy đó thuộc về.Các máy client có thể sử dụng thông tin này để update một DNS server Đểcung cấp thông tin này, cấu hình 015 DNS Domain Name với tên miền DNSđó.

+ Địa chỉ IP của một hay nhiều WINS server có hiệu lực tới các client: các client

sử dụng một WINS server cho việc phân giải tên NETBIOS (Network BáicInput/Ouput System) Để cung cấp thông số này, cấu hình 044 WINS/NBNSServers với một địa chỉ IP của một hay nhiều WINS server

+ Sự giải tên từ NetBIOS qua TCP/IP: để đưa ra thông tin này, cấu hình 046WINS/NBT node type với kiểu NetBIOS thích hợp Kiểu giải tên xác định yêucầu của các client sử dụng các server tên NetBIOS và sẽ broadcast đẻ giải tên

từ tên NetBIOS sang IP address

9 Client Reservations

Ta cũng có thể cấu hình một scope để DHCP server thường xuyên cung cấp mộtđịa chỉ IP đến một máy cụ thể nào đó Ví dụ như các Server cần phải có IP cố địnhnhư là DNS server hoặc là print server chẳng hạn, bởi vì các máy khác sẽ là cấuhình để connect tới DNS server bằng địa chỉ IP của DNS server này Sự cung cấpđịa chỉ IP lâu dài này được gọi là client reservations

9.1 Các bước cấu hình địa chỉ cố định cho một client

+ Mở DHCP từ Administrative Tools menu Trong nhánh console, mở rộngserver mà bạn muốn config, mở rộng scope muốn thêm vào đó một địa chỉ cốđịnh sau đó

Hình 17

+

Hình 18Trong màn hình New Reservation nhập vào các thông tin cần thiết như trong hình

Hình 19

+ MAC address là địa chỉ vật lý của Card mạng - MAC (Media Access Control)

để biết địa chỉ MAC của card mạng ta làm như sau:

+

Mở màn hình nhắc lệnh, gõ ipconfig /all kết quả được liệt kê như sau:

Hình 20Trong màn hình địa chỉ Physical Address chính là địa chỉ MAC Gõ vào địa chỉ vàlưu ý gõ liên tục không có dấu gạch ngang.

+ Trong hộp Supported types, click chọn phương pháp mà client sử dụng, và sau

đó click vào Add

BOOTP: Được dùng khi các máy client không thuộc về dòng hệ điều hành của

Microsoft, ví dụ như khi bạn muốn Remote Installation Services(RIS) (cài đặt các dịch vụ từ xa) thì bạn sẽ phải sử dụng BOOTPthay vì DHCP.)

III Dịch vụ DNS ( Domain Name System )

1 GIỚI THIỆU VỀ DNS

DNS là một dịch vụ quan trọng nhất trên Internet và trong mạng nội bộ của các doanhnghiệp, DNS cho phép toàn bộ máy tính và các tài nguyên trên mạng được lưu dướidạng tên và khi truy cập vào hệ thống DNS sẽ chuyển từ tên sang địa chỉ IP và ngượclại

1.1 DNS Domain Name Space

+ Mỗi DNS domain sẽ có một tên duy nhất

+

o Root Domain bao gồm 13 máy chủ gốc của Internet thế giới người dùng

có thể vào root hint của DNS để xem địa chỉ của các máy chủ này

o Tiếp đến là Top-Layer, bao gồm các tên miền com, vn, net Tầng nàymỗi tên miền bao gồm từ 2 đến 5 ký tự, riêng tên miền 2 ký tự dành riêngcho mỗi quốc gia

o Tiếp đến là tầng Second-Level, có thể là tầng subdomains như com.vnhay có thể là host name như micrsosoft.com

Hình 21Công thức tổng quát của tên miền : Hostname + Domain Name + Root

Trong đó Domain Name = Subdomain Second Level Domain Top Level Domain Root

Ví dụ với tên miền: Webserver.training.microsoft.com

Trong đó:

+ Webserver là tên Host

+ Training là Subdomain+ Microsoft là Second Level Domain + Com là Top Leve Domain

+ Dấu chấm là Root

Hình 22

1 2 Zone trong DNS

Khi một hệ thống tên miền được chia ra các phần nhỏ hơn để dễ quản lý đó là các Zone.Các Zone sẽ đảm bảo việc quản lý DNS một cách dễ dàng

Trên thực tế dữ liệu DNS được chứa trên các máy chủ Zone và thực tế dữ liệu của DNS

là dữ liệu của các Zone

2.3.1 Phân biệt giữa Stub Zone và Forward Lookup

2.3.1.1 Trong Forward Lookup

+ Có thể sử dụng để chuyển các yêu cầu đến một máy chủ có thẩm quyền.+ Forward Lookup là nhờ một máy chủ resolve tên hộ, và không thể tự độngcập nhật dữ liệu, nhưng đó cũng là một lợi thế và có thể sử dụng trên Internet2.3.1.2 trong Stub Zone

+ Có khả năng chứa dữ liệu NS của Primary Zone nên có khả năng thông minhtrong quá trình cập nhật dữ liệu, địa chỉ của máy chủ NS của Zone đó nênviệc chuyển yêu cầu sẽ dễ dàng hơn

+ Stub Zone chỉ sử dụng khi trong một domain có nhiều Zone con (delegationzone) và chỉ dành cho một tổ chức khi truy cập vào các dữ liệu của tổ chứcđó

 Đầu tiên PC A gửi một request hỏi server quản lý tên miền vnn hỏi thông tin vềwww.yahoo.com Server quản lý tên miền vnn gửi một truy vấn đến server toplevel domain.

 Top level domain lưu trữ thông tin về mọi tên miền trên mạng Do đó nó sẽ gửilại cho server quản lý tên miền vnn địa chỉ IP của server quản lý miền com (gọitắt server com)

 Khi có được địa chỉ IP của server quản lý tên miền com lập tức server vnn hỏiserver com thông tin về yahoo.com Server com quản lý toàn bộ những trangweb có domain là com, chúng gửi thông tin về địa chỉ IP của server yahoo.comcho server vnn

 Lúc này server vnn đã có địa chỉ IP của yahoo.com rồi Nhưng PC A yêu cầudịch vụ www chứ không phải là dịch vụ ftp hay một dịch vụ nào khác Do đóserver vnn tiếp tục truy vấn tới server yahoo.com để yêu cầu thông tin về serverquản lý dịch vụ www của yahoo.com

 Khi nhận được truy vấn thì server yahoo.com gửi lại cho server vnn địa chỉ IPcủa server quản lý www.yahoo.com

 Cuối cùng là server vnn gửi lại địa chỉ IP của server quản lý www.yahoo.com.cho PC A và PC A kết nối trực tiếp đến nó Và bây giờ thì server vnn đã cóthông tin về www.yahoo.com cho những lần truy vấn đến sau của các clientkhác

Quá trình làm việc của DNS có thể chia làm hai mảng:

- Forward Lookup Query: Một Forward Lookup Query là một yêu cầu chuyển đổi

từ một tên sang một địa chỉ IP

- Reverse Lookup Query: một Reverse Lookup Query là một yêu cầu chuyển đổi

từ một IP sang một tên

4 CÀI ĐẶT VÀ CẤU HÌNH DNS SERVER

4.1 Cài đặt DNS Server

Truy cập Server với quyền Administrator

Vào Start – Settings – Control Panel

Trong Control Panel nhấp chọn Add or Remove Programs – Add/Remove WindowsComponents tiếp theo chọn Network Service

Hình 24Nhấp nút Detail Tiếp theo chọn Network Service rồi chọn Domain Name System –DNS nhấp OK để xác nhận

Hình 25Nhấp Next tiến trình cài đặt bắt đầu

4.2 Cấu hình DNS Server

4.2.1 Cấu hình Forward Lookup Zone

Khởi động màn hình DNS

Hình 26Nhấp phải chuột vào Forward Lookup Zone chọn New Zone

Hình 27Nhấp Next màn hình New Zone Wizard xuất hiện như sau:

Hình 28

Hình 29

Trên màn hình Zone Name trong khung Zone Name nhập vào tên miềntonducthang.edu.vn và nhấp Next

Hình 32

Nhấp Finish để hoàn tất quá trình cấu hình tên miền Sau khi được tạo tên miền sẽ xuấthiện trong DNS như sau:

Hình 33

Để DNS chạy chính xác ta chỉnh sửa Record SOA như sau:

Nhấp phải chuột vào Record SOA chọn Properties

Hình 34