Đồ án QTM Danh Nghiệp vói AD

Tất cả các tài nguyên trong hệ thống mạng được bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truy cập đối với tài n

LỜI NÓI ĐẦU

Mặc dù ngành Công Nghệ Thông Tin là ngành còn non trẻ so với các ngành cộng nghệ khác nhưng đã tạo nên bước tiến ngoạn mục trong thời gian ngắn và ngày cần thiết với con người trong nhiều lĩnh vực khác nhau

Do xuất phát từ thực tế nhóm chúng em đã chọn đề tài “XÂY DỰNG VÀ QUẢN TRỊ HỆ THỐNG MẠNG DOANH NGHIỆP VỚI MICROSOFT ACTIVE DIRECTORY” dựa trên nền tảng Windows Server 2003 và Windows XP

Trước tiên chúng em xin gởi lời cảm ơn đến các thầy cô trong khoa công nghệ thông tin nói riêng và Cao Đẳng Nghề Công Nghệ Thông Tin iSPACE nói chung đã giúp đỡ, dìu dắt chúng em trong những năm học tại trường

Nhóm sinh viên thực hiện

NHẬN XÉT CỦA GIẢNG VIÊN HƯỚNG DẪN TRƯỜNG CAO ĐẲNG NGHỀ CÔNG NGHỆ THÔNG TIN ISPACE

Nhận xét và đánh giá của Giảng viên hướng dẫn trực tiếp đồ án tốt nghiệp:

GVHD

PHẦN I: GIỚI THIỆU TỔNG QUAN GIỚI THIỆU TRUNG TÂM CÔNG NGHỆ PHẦN MỀM CẦN THƠ

CSP là đơn vị Nhà nước tiên phong trong lĩnh vực ứng dụng CNTT- TT trong quản lý của các

Sở ban ngành, Doanh nghiệp tại khu vực ĐBSCL Các sản phẩm phần mềm, website, giải pháp CNTT mang thương hiệu CSP luôn mang đến cho khách hàng nhiều tiện ích, hiệu quả, giao diện đơn giản, dể sử dụng, tính bảo mật, an toàn cao Qua nhiều năm hoạt động uy tín và sản phẩm của CSP ngày càng được khẳng định và được nhiều khách hàng lựa chọn

MÔ HÌNH TRUNG TÂM CÔNG NGHỆ PHẦN MỀM

Mô hình vật lý hiện tại

2 THỰC TRẠNG HỆ THỐNG TRUNG TÂM CÔNG NGHỆ PHẦN MỀM CẦN THƠ

Công ty không ngừng đầu tư nâng cấp, nguồn lực con người luôn được xem trọng Hiện tại, công ty được trang bị khá hiện đại, đội ngũ cán bộ nhân viên, kỹ thuật lành nghề, vững chính trị giỏi chuyên môn, tạo ra những sản phẩm ngày càng đa dạng và phong phú đảm bảo tiến độ, chất lượng, kỹ thuật và mỹ thuật công nghiệp, tạo được uy tính với khách hàng gần xa Công ty đang tiến hành mở rộng chi nhánh tư vấn giải pháp

3 NHU CẦU CẦN TRIỂN KHAI

3.2 Chi nhánh Hậu Giang

Do nhu cầu mở rộng thị trường công ty Trung Tâm Công Nghệ Phần Mềm quyết định xây dựng một chi nhánh tại Hậu Giang nhưng vẫn thuộc quyền quản lý tại trụ sở chính Cần Thơ để đáp ứng nhu cầu đó công ty đã thuê một đường truyền leased line 6,144Kbps để tiện việc quản lý cũng bảo mật thông tin nội bộ

Các dịch vụ cần triển khai và xây dựng tại chi nhánh:

 Child Domain thuộc trụ sở chính

 Antivirus và các phần mềm cho máy trạm,…

TỔNG QUAN VỀ ACTIVE DIRECTORY TRÊN WINDOWS SERVER 2003

1 WINDOWS SERVER 2003:

Windows server 2003 là tiếp nối Windows 2000 Server, kết hợp khả năng tương thích và các tính năng khác từ Windows XP Không giống như Windows 2000 Server, cài đặt mặc định của Windows Server 2003 chưa có các thành phần máy chủ kích hoạt, để giảm bề mặt tấn công của máy mới Windows Server 2003 bao gồm chế độ tưng thích để cho phép các ứng dụng cũ chạy với

sự ổn định lớn hơn Nó đã được thực hiện tương thích với Windows NT 4.0 dựa trên mạng miền kết hợp và nâng cấp một Windows NT 4.0 tên miền Windows 2000 được coi là khó khăn và tốn thời gian và thường được coi là bản nâng cấp tất cả hoặc không có gì, đặc biệt là khi làm việc với Active Directory Windows Server 2003 đưa vào tăng cường Active Directory khả năng tương thích

và hỗ trợ triển khai tốt, dễ dàng chuyển tiếp từ Windows NT 4.0 cho Windows Server 2003 và Windows XP Professional

Thay đổi các dịch vụ khác nhau bao gồm những người đến IIS máy chủ Web, được gần như hoàn toàn viết lại để cải thiện hiệu xuất và an ninh, hệ thống phân phối tập tin, mà bây giờ hỗ trợ lưu trữ nhiều rễ DFS trên một máy chủ duy nhất,Terminal Server, Active Directory, Print Server và một số lĩnh vực khác Windows Server 2003 cũng là hệ điều hành đầu tiên phát triển bởi Microsoft sau khi công bố của trustworthy Computing sáng kiến và kết quả là có một số thay đổi để mặc định an ninh và thực tiễn

Sản phẩm đã trải qua một số thay đổi tên trong quá trình phát triển Khi lần đầu tiên công bố vào năm 2000, nó được biến đến với tên mã là “Whistler Server”, nó được đặt tên là “Windows

2002 Server” trong một thời gian ngắn vào giữa năm 2001 và sau đó đổi tên thành “Windows NET Server” và “Windows NET Server 2003” Theo Joe Wilcox của CNET News, các tên này đã được lựa chọn phù hợp với Microsoft Chiến lược đặt tên dịch vụ Web Net Tuy nhiên, Microsoft thất bại trong việc truyền đạt những gì chính xác “.NET” đại diện, nó giảm xây dựng thương hiệu và giải quyết cho “Windows Server 2003”

2 ACTIVE DIRECTORY

2.1 Giới thiệu về Active Directory

Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows Giống như các dịch vụ thư mục khác, Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hoá việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác Thêm vào đó Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó.

Nói cách khác Active Directory là một cơ sở dữ liêu với các chức năng như:

 Lưu trữ thông tin về tài khoản người dùng và các tài nguyên mạng máy tính

 Xác định tính hợp lệ của người truy cập tài nguyên mạng

 Lưu trữ thông tin mạng máy tính như là các đối tượng trong một cấu trúc phân cấp.Ngoài ra nó còn cung cấp:

 Sự quản lý tập trung

 Các khả năng tìm kiếm nâng cao

 Uỷ quyền đại diện

2.2 Lý do cần thực thi Active Directory

Microsoft Active Directoy được xem như là một bước tiến đáng kể so với Windows NT Server 4.0 domain hay thậm chí các mạng máy chủ standalone Active Directory có một cơ chế quản trị tập trung trên toàn bộ hệ thống mạng Nó cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều domain controller được triển khai trong một domain

Active Directory sẽ tự động quản lý sự truyền thông giữa các domain controller để đảm bảo mạng được duy trì Người dùng có thể truy cập vào tất cả tài nguyên trên hệ thống mạng thông qua cơ chế đăng nhập một lần Tất cả các tài nguyên trong hệ thống mạng được bảo vệ bởi một

cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truy cập đối với tài nguyên

Active Directory còn cho phép tăng cấp, hạ cấp các domain controller và các máy chủ thành viên một cách dễ dàng Các hệ thống có thể được quản lý và được bảo vệ thông qua các chính sách nhóm Group Policies Đây là một mô hình tổ chức thứ bậc linh hoạt, cho phép quản lý dễ

dàng và uỷ nhiệm trách nhiệm quản trị Quan trọng nhất vẫn là Active Directory có khả năng quản

lý hàng triệu đối tượng bên trong một miền

2.3 Mô hình mạng

Mô hình mạng Workgroup còn gọi là mô hình mạng peer-to-peer, là mô hình mà trong đó các máy tính có vai trò như nhau được nối kết với nhau Các dữ liệu và tài nguyên được lưu trữ phân tán tại các máy cục bộ, các máy tự quản lý tài nguyên của mình Trong hệ thống mạng không có máy tính chuyên cung cấp dịch vụ và quản lý hệ thống mạng Mô hình này chỉ phù hợp với các mạng nhỏ và yêu cầu bảo mật không cao Đồng thời trong mô hình mạng này các máy tính sử dụng hệ điều hành hỗ trợ đa người dùng lưu trữ thông tin người đùng trong một tập tin SAM (Security Accounts Manager) ngay chính trên máy tính cục bộ thông tin này bao gồm: username (tên đăng nhập), fullname, password, description,… Tất nhiên tập tin SAM này đã được mã hoá nhằm tránh người dùng khác ăn cắp mật khẩu để tấn công vào máy tính Do thông tin người dùng được lưu trữ cục bộ trên các máy trạm nên việc chứng thực người dùng đăng nhập máy tính cũng

do các máy này tự chứng thực

Mô hình Workgroup

Khác với mô hình Workgroup, mô hình Domain hoạt động theo cơ chế client-server, trong hệ thống mạng phải có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền Mô hình này được áp dụng cho các công ty vừa và lớn Trong mô hình Domain của Windows Server 2003 thì các thông tin người dùng được tập trong lại do dịch vụ Active Directory quản lý và được lưu trữ trên máy tính điều khiển vùng (domain controller) với tên tập tin là NTDS.DIT Tập tin cơ sở dữ liệu này được xây dựng theo công nghệ tương tự như phần mềm Access của Microsoft nên nó có thể lưu trữ hàng triệu người dùng, cải tiến hơn so với công nghệ cũ chỉ lưu trữ được khoảng 5.000 tài khoản người dùng Do các thông tin người dùng được lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng cũng tập trung và do các máy điều khiển vùng chứng thực.

Một số lợi ích ở domain như sau:

 Triển khải cài đặt một lúc nhiều phần mềm trương tự trên 1 máy

 Chia sẻ tài nguyên dễ dàng hơn giữa các máy tính với nhau

 Công ty có nhiều phòng ban, có nhiều chi nhánh,… hệ thống domain sẽ là một cấu trúc phân cấp giúp bạn quản lý từ cao đến thấp, quản lý và thiết lập quyền hạn cho từng phòng ban khác nhau dễ dàng bởi nhu cầu và quyền hạn của mỗi phòng ban là khác nhau

 Trên domain còn được tích hợp nhiều dịch vụ đi kèm giúp nâng cao hiệu quả quản lý

và bảo trì mạng của bạn

Là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory Nó là phương tiện để quy định tập hợp những người dùng, máy tính, tài nguyên, chia sẽ có những quy tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các server dễ dàng hơn Domain đáp ứng 3 chức năng chính như sau:

 Đóng vai trò như một khu vực quản trị (Administrative boundary) các đối tượng, là tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở

dữ liệu thư mục, các chính sách bảo mật, các quan hệ uỷ quyền, chính sách bảo mật, các quan hệ uỷ quyền với các domain khác

 Giúp chúng ta quản ly bảo mật tài nguyên chia sẻ.

 Cung cấp các server dự phòng làm chức năng điều khiển vùng (Domain Controller), đồng thời đảm bảo thông tin trên các server này được đồng bộ với nhau

2.4.3 Domain controller

Một domain controller giữ các thông tin bảo mật và cơ sở dữ liệu đối tượng directory cho một domain cụ thể là có trách nhiệm xác thực các đối tượng trong phạm vi kiểm soát Nhiều domain controller có thể được liên kết với một domain nhất định và mỗi domain controller giữ vai trò quyết định trong domain, tất cả các domain controller trong một tên miền là bình đẳng về quyền lực

Điều đó cho thấy sự cải tiến so với các nhãn chính và dự phòng được phân công cho domain controller trong Windows NT.

2.4.4 Organization Unit

Nhóm các thư mục trong domain nào đó Chúng tạo nên một kiến trúc phân cấp cho domain

và tạo cấu trúc tổ chức Active Directory theo các điều kiển tổ chức và địa lý

2.4.5 Object

Trong Active Directory Service, một object có thể là một phần của directory, có thể là một user, một group, một thư mục chia sẻ, một máy in, một liên hệ và thậm chí là cả một organzation units Object là một thực thể duy nhất trong directory của bạn mà nó có thể quản lý trực tiếp

2.4.6 Sự quản lý Group Policy

Khi nói đến Active Directory chắc chắn chúng ta phải đề cập đến Group Policy Các quản trị viên có thể sử dung Group Policy trong Active Directory để định nghĩa các thiết lập người dùng và các máy tính trong toàn hệ thống mạng Thiết lập này được cấu hình và được lưu trong Group Policy Object (GPOs), các thành phần này sau đó sẽ được kết hợp với đối tượng Active Directory, gồm các domain và site Đây là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính và người dùng trong môi trường Windows

Thông tin quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết lập desktop trên các máy tính người dùng, hạn chế truy cập hoặc cho phép đối với các file hoặc thư mục nào đó bên trong hệ thống mạng

Thêm vào đó chúng ta cũng cần hiểu rõ các GPO được sử dụng như thế nào Group Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sử dụng trước, sau đó các chính sách site, chính sách miền, chính sách được sử dụng trong các OU riêng Ở một thời điểm nào đó, một đối tượng người dùng hoặc máy tính có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhân các GPO liên kết với site hoặc miền đó

Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template (GPT) và Group Policy Container (GPC) Group Policy Template có trách nhiệm lưu các thiết lập được tạo bên trong GPO Nó lưu thiết lập trong một cấu trúc thư mục và file lớn Để áp dụng các thiết lập này thành công đối với các đối tượng người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các Domain Controller bên trong miền.

Group Policy Container là một phần của GPO và được lưu trong Active Directory trên các DC trong miền GPC có trách nhiệm giữ tham chiếu cho các Client Site Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của GPO GPC không chứa nhiều thông tin có liên quan đến GPO tương ứng với nó, tuy nhiên nó là một thành phần cần thiết của Group Policy Khi các chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết bên trong GPO Bên cạnh đó nó cũng giữ các liên kết quan hệ khác và các đường dẫn được lưu trong các thuộc tính đối tượng Biết được cấu trúc của GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề nào đó có liên quan đến Group Policy

2.4.7 Global Catalog

- Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng mà người dùng được cấp quyền truy cập Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT và không chỉ có thể định vị được đối tượng bằng tên mà có thể bằng cả những thuộc tính của đối tượng

- Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn bạn sẽ không dùng một máy in HP Laserjet 4L Bạn sẽ phải tìm một máy in chuyên dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành quyển Nhờ Global Catalog, bạn tìm kiếm trên mạng một máy in với các thuộc tính như vậy và tìm thấy được một máy Xerox Docutech 6135 Bạn có thể cài đặt driver cho máy in đó và gửi print job đến máy in Nhưng nếu bạn ở Cần Thơ và máy in thì ở Hậu Giang thì sao? Global Catalog sẽ cung cấp thông tin này và bạn có thể gửi email cho chủ nhân của máy

in, nhờ họ in giùm

- Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên Anh Sáng ở bộ phận

kế toán Đoạn thư thoại của anh ta bị cắt xén và bạn không thể biết được số điện thoại của anh ta

ta Bạn có thể dùng Global Catalog để tìm thông tin về anh ta qua tên của anh ta, và nhờ đó bạn

có được số điện thoại của anh ta

- Khi một đối tượng được tạo mới trong Active Directory, đối tượng được gán một con số phân biệt gọi là GUID (Global Unique Identifier) GUID của một đối tượng luôn luôn cố định cho dù bạn có di chuyển đối tượng đi đến khu vực khác

đã hình thành hệ thống tên miền

Ban đầu với mạng máy tính còn nhỏ cả Bộ quốc phòng Mỹ thì chỉ cần một tệp HOSTS.txt chứa các thông tin về chuyển đổi địa chỉ và tên mạng Nhưng khi mạng máy tính ngày càng phát triển thi với một tệp HOSTS.TXT là không khả thi Do vậy đến năm 1984 Paul Mockpetris thuộc viện USC’server Information Sciences Institute phát triển một hệ thống quản lý tên miền mới lấy tên là Hệ thống tên miền – Domain Name System và ngày càng phát triển

3.1.2 Mục đích của hệ thống tên miền (DNS)

Hệ thống tên miền bao gồm một loạt các cơ sở dữ liệu chứa địa chỉ IP và các tên miền tương ứng của nó Mỗi tên miền tương ứng với một địa chỉ IP cụ thể Hệ thống tên miền trên mạng Internet có nhiệm vụ chuyển đổi tên miền sang địa chỉ IP và ngược lại từ địa chỉ IP sang tên miền

Hệ thống DNS ra đời nhằm mục đích giúp người dùng sử dụng một tên dễ nhớ, mang tính gợi mở

và đồng thời nó giúp cho hệ thống Internet dễ dàng sử dụng

Hệ thống DNS là hệ thống sử dụng cơ sở dữ liệu phân tán và phân cấp hình cây do đó việc quản lý sẽ dễ dàng hơn và cũng rất thuận tiện cho việc chuyển đổi từ tên miền sang địa chỉ IP và ngược lại.

Tên miền là những tên gợi nhớ như ispace.cantho.vn hoặc ghedaydi.com tương ứng với

địa chỉ IP giúp cho người sử dụng dễ dàng nhớ hơn

3.2 Cấu trúc cơ sở dữ liệu

Cơ sở dữ liệu của hệ thống DNS là hệ thống cơ sở dữ liệu phân tán và phân cấp hình cây Với root server là đỉnh của cây và sau đó các tên miền (domain) được phân nhánh dần xuống dưới và phân quyền quản lý Khi một máy khách (client) truy vấn một tên miền nó sẽ đi lần lượt từ root phân cấp xuống dưới để đến DNS quản lý domain cần truy vấn Tổ chức hệ thống quản lý tên miền trên thế giới là The Internet Coroperation for Assigned Names and Numbers (ICANN) Tổ chức này quản lý mức cao nhất của hệ thống tên miền (mức root) do đó nó có quyền cấp phát tên miền ở mức cao nhất gọi là Top-Level-Domain

Cấu trúc của dữ liệu được phân cấp hình cây root quản lý toàn bộ sơ đồ và phân quyền quản

lý xuống dưới và tiếp đó các tên miền lại được chuyển xuống cấp thấp hơn (delegate) xuống dưới

Hệ thống tên miền (DNS) cho phép phân chia tên miền để quản lý và nó chia hệ thống tên miền thành zone và trong zone quản lý tên miền được phân chia đó Các zone chứa thông tin về miền cấp thấp hơn, có khả năng chia thành các zone cấp thấp hơn và phân quyền cho các DNS server khác quản lý

Ví dụ: Zone “.vn” thì do DNS server quản lý zone “.vn” chứa thông tin về các bản ghi có đuôi

là “.vn” và có khả năng chuyển về quản lý (delegate) các zone cấp thấp hơn cho các DNS khác quản lý như: “.fpt.vn” là vùng (zone) do ftp quản lý

Hệ thống cơ sở dữ liệu của DNS là hệ thống dữ liệu phân tán hình cây như cấu trúc đó là cấu trúc logic trên mạng Internet

3.3 Cấu trúc của tên miền

3.3.1 Cách đặt tên miền

 Độ dài tối đa của một tên miền là 255 ký tự.

 Mỗi Label tối đa là 63 ký tự bao gồm cả dấu “.”

 Label phải được bắt đầu bằng chữ số và chỉ được chứa chữ, số, dấu trừ (-).3.3.2 Phân loại tên miền

 Com : Dùng cho các tổ chức thương mại

 Edu : Dùng cho các cơ quan giáo dục, trường học

 Net : Dùng cho các tổ chức mạng lớn

 Gov : Dùng cho tổ chức chính phủ

 Org : Dùng cho các tổ chức khác

 Int : Dùng cho tổ chức quốc tế

 Info : Dùng cho việc phục vụ thông tin

 Arpa : Tên miền ngược

 Mil : Dành cho các tổ chức quân sự, quốc phòng

Mã các nước trên thế giới tham gia vào mạng Internet, các quốc gia này được quy định bằng hai chữ cái theo tiêu chuẩn ISO-3166 (Ví dụ: Việt Nam là vn, Singapore là sg, Korea là kr, …)

Tổ chức ICANN cũng đã thông qua hai tên miền mới là:

 Travel : Tên miền dành cho tổ chức du lịch

 Post : Tên miền dành cho tổ chức bưu chính

Các tên miền dưới mức root này được gọi là Top-Level-Domain

3.3.3 Cấu trúc tên miền

Tên miền được phân chia thành nhiều cấp như:

Gốc (Domain Root): Nó là đỉnh cây của tên miền Nó xác định kết thúc của domain Biểu diễn đơn giản là dấu “.”

Tên miền cấp một (Top-Level-Domain): Gồm vài kí tự xác định một quốc gia, khu vực hoặc

tổ chức Được thể hiện là “.com”

Tên miền câp hai (Second-Level-Domain): Có thể là tên một công ty, một tổ chức hay cá nhân “ghedaydi.com”

Tên miền cấp nhỏ hơn (Subdomain): Chia thêm của tên miền cấp hai trở xuống thường được sử dụng như chinh nhánh, phòng ban của một công ty hay chủ đề nào đó Vd: forum.ghedaydi.com

Một số chú ý khi đặt tên miền:

Tên miền nên đặt giới hạn từ cấp 3 đến cấp 4 vì nhiều hơn nữa việc nhớ và quản trị là khó khăn

Tên miền là phải duy nhất trong mạng Internet, nên đặt đơn giản gợi nhớ

3.4 Máy chủ quản lý tên miền (DNS Server)

Việc phân giải giữa tên miền và địa chỉ IP được thực hiện bởi hệ thống DNS Server DNS Server quản lý tên miền (DNS) theo từng khu vực, theo từng cấp độ như: tổ chức, công ty hay một vùng lãnh thổ DNS Server này chứa thông tin dữ liệu về địa chỉ và tên miền trong khu vực, trong cấp mà nó quản lý dùng để phân giải giữa tên miền và địa chỉ IP Đồng thời DNS Server này cũng

có khả năng truy vấn các DNS Server quản lý tên miền khác hoặc cấp cao hơn nó để có thể trả lời được các truy vấn về những tên miền không thuộc quyền quản lý của mình và cũng luôn sẵn sàng trả lời truy vấn từ các DNS Server khác về tên miền mà nó đang quản lý

Máy chủ cấp cao nhất Root Server do tổ chức ICANN quản lý:

 Là server quản lý toàn bộ cấu trúc của hệ thống tên miền

 Root Server không chứa các dữ liệu thông tin về cấu trúc hệ thống DNS mà nó chỉ chuyển quyền (delegate) quản lý xuống cho các Server cấp thấp hơn và do đó Root Server có khả năng định hướng đến một domain tại bất kỳ đâu trên internet

 Hiện nay trên thế giới có khoảng 13 Root Server quản lý toàn bộ hệ thống Internet

 Một DNS Server có thể nằm ở bất cứ vị trí nào trên Internet nhưng được cấu hình logic để phan cấp chuyển tên miền cấp thấp hơn xuống cho các DNS Server khác nằm bất cứ vị trí nào trên Internet Nhưng tốt nhất là đặt các DNS tại vị trí nào gần với các client để dễ dàng truy vấn đến đồng thời cũng gần với vị trí của DNS Server cấp cao hơn trực tiếp quản lý nó

3.5 Các bản ghi trong cơ sở dữ liệu cỉa DNS Server

Bản ghi SOA (Start of Authority)

Bản ghi này xác định máy chủ DNS có thẩm quyền cung cấp thông tin về tên miền xác định trên DNS.

3.5.2 Bản ghi kiểu A

Bản ghi kiểu A dùng để khai báo ánh xạ giữa tên của một máy tính trên mạng và địa chỉ IP của một máy tính trên mạng

Bản ghi kiểu A có cú pháp như sau:

Domain IN A <địa chỉ IP của máy>

Vd: ghedaydi.com.com IN A 113.52.37.72

Như ví dụ trên, tên iền ghedaydi.com được khai với bản ghi kiểu A trỏ đến địa chỉ 113.52.37.72 sẽ là tên của máy tính này Một tên miền có thể được khai nhiều bản ghi kiểu A khác nhau trỏ đến các địa chỉ IP khác nhau Như vậy có thể có nhiều máy tính cùng tên trên mạng ngược lại một máy tính có một địa chỉ IP có thể có nhiều tên miền trỏ đến, tuy nhiên chỉ có duy nhất một tên miền được xác định là tên của máy, đó chính là tên miền được khai với bản ghi kiểu

A trỏ đến địa chỉ của máy

Bản ghi CNAME cho phép một máy tính có thể có nhiều tên Nói cách khác bản ghi CNAME cho phép nhiều tên miền trỏ về một địa chỉ IP cho trước Để có thể khai báo bản ghi CNAME, bắt buộc phải có bản ghi kiểu A để khai báo tên của máy Tên miền được khai báo trong bản ghi kiểu A trỏ đến địa chỉ IP của máy được gọi là tên miền chính (canonical domain) Các tên miền khác muốn trỏ đến máy tính này phải được khai báo là bí danh của tên máy (alias domain)

Bản ghi CNAME có cú pháp như sau:

Alias-domain IN CNAME caninical domain

Vd: www.ghedaydi.blogspot.com IN CNAME www.ghedaydi.com

Tên miền www.ghedaydi.blogspot.com sẽ là tên bí danh của tên miền ghedaydi.com,

hai tên miền sẽ cùng trỏ về địa chỉ IP 113.52.37.72

Bản ghi MX dùng để khai báo các Mail Server

Ví dụ: Để các thư điện tử có cấu trúc user@vnn.vn được gửi đến trạm chuyển tiếp thư điện

tử có tên mail.vnn.vn, trên cơ sở dữ liệu ta cần khai báo bản ghi MX như sau:

Vnn.vn IN MX 10 mail.vnn.vn

Các thông số được khai báo trong bản ghi MX nêu trên gồm có:

 Vnn.vn: là tên miền được khai báo để sử dụng như địa chỉ thư điện tử

 Mail.vnn.vn: là tên trạm chuyển tiếp thư điện tử, nó thực tế là tên của máy tính dùng làm máy trạm chuyển tiếp thư điện tử

 10: là giá trị ưu tiên, giá trị ưu tiên có thể là một số nguyên bất kỳ từ 1 đến

255, nếu giá trị ưu tiên này càng nhỏ thì trạm chuyển tiếp thư điện tử được khai báo sau đó sẽ là trạm chuyển tiếp thư điện tử được chuyển đến đầu tiên

Ví dụ nếu khai báo: vnn.vn IN MX 10 mail.vnn.vn

Vnn.vn IN MX 20 backupmail.vnn.vnThì tất cả các thư điện tử có cấu trúc địa chỉ user@vnn.vn trước hết sẽ được gửi đến trạm chuyển tiếp thư điện tử mail.vnn.vn Chỉ trong trường hợp máy chủ mail.vnn.vn không thể nhận thư thì các thư này mới chuyển đến trạm chuyển tiếp thư điện tử backupmail.vnn.vn

3.5.5 Bản ghi NS

Bản ghi NS dùng để khai báo máy chủ tên miền cho một tên miền Nó cho biết các thông tin

về tên miền quản lý, do đó yêu cầu có tối thiểu 2 bản ghi NS cho mỗi tên miền

Cú pháp của bản ghi NS

<tên miền> IN NS <tên máy chủ tên miền>

Ví dụ: vnnic.vn IN NS dns1.vnnic.vn

vnnic.vn IN NS dns2.vnnic.vn

Với khai báo trên, tên miền vnnic.net.vn sẽ do máy chủ tên miền có tên dns.vnnic.net.vn quản lý Điều này có nghĩ, các bản ghi như A, CNAME, MX,… của tên miền cấp dưới của nó sẽ được khai báo trên máy chủ dns1.vnnic.vn và dns2.vnnic.vn

3.6 TỔNG QUAN VỀ COMPUTER ACCOUNT, OU, USER VÀ GROUP

Mỗi máy tính chạy Microsoft Windows NT, Windows 2000, Windows XP, Windows Server 2003 tham gia vào domain đều có một computer account Tương tự như user account Các computer account cung cấp ý nghĩa thẩm định quyền và chỉnh quyền truy xuất vào mạng và các tài nguyên trên domain

Mỗi máy tính chạy Windows 2000 gia nhập một miền được chỉ định một tài khoản máy tính trong miền Tương tự như tài khoản người dùng, tài khoản máy tính cung cấp một phương tiện để xác thực, kiểm toán truy cập của máy tính vào mạng và các nguồn tài nguyên tên miền Mỗi máy tính kết nối vào mạng phải có tài khoản máy tính độc đáo riêng của mình Tài khoản máy tính cũng

có thẻ tạo ra bằng cách sử dụng Active Directory User and Computers

3.7 ORGANIZATIONAL UNIT

3.7.1 Tìm hiểu về OU

Organizational unit (đơn vị tổ chức): đại điện cho một tổ chức đơn lẻ mà trong đó chứa nhiều đơn vị (phòng ban) trong tổ chức đó, hoặc được sử dụng để phân biệt giữa thành phần nào đó cùng tên nhưng khác đơn vị tổ chức (OU).

Một OU có thể chứa 01 hay nhiều OU khác, có thể chứa các domain group và domain user,Mục đích tạo một hay nhiều OU để sau này giúp cho người quản trị dễ dàng hơn trong việc quản lý, dễ triển khai công việc đến các domain user

Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải lập trên hệ thống

Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem

là môt vật chứa các đối tượng (object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn Việc sử OU có hai công dụng chính như sau:

 Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một quản trị viên phụ nào đo (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống

 Kiểm soát và khoá bớt một số chức năng trên các máy trạm của người dùng trong OU thông quan việc sử dụng các đối tượng chính sách nhóm (Group Policy)

Các OU thường được dùng để thực hiện công việc trao quyền kiểm soát một tập hợp các tài khoản người dùng/hoặc tài khoản máy cho một tập hợp người dùng nào đó Ví dụ như: OU cho phep qui định một nhóm nào đó có khả năng định lại các mật khẩu trong một bộ phận nào đó, mà không cần cho nhóm này thành nhóm quản trị viên có những quyền lướn hơn mức mong muốn, ngoài ra còn hạn chế được phạm vi người dùng mà nhóm này có thể thay đổi mật khẩu

Quá trình trao cho một người dùng hoặc một nhóm người dùng quyền kiểm soát một OU được gọi là sự uỷ quyền kiểm soát (delegating control) OU đó Trình Delegation Wizard dùng để thực hiện việc uỷ quyền kiểm soát

3.8 Tài khoản USER

User account là một đối tượng trên hệ điều hành Windows đại diện cho một người, nhân viên trong tổ chức

User account tạo trên máy tính nào thì chỉ được phép đăng nhập (logon) và sử dụng tài nguyên trên máy tính đó

YÊU CẦU TÀI KHOẢN NGƯỜI DÙNG:

Mỗi username phải từ 1 đến 104 ký tự

Mỗi username là một chuỗi duy nhất của mỗi người dùng, có nghĩa là tất cả tên của người dùng và nhóm người dùng không được trùng nhau

Username không chứa các ký tự sau: “ /\ [] : ; | = , + * ? <>

Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoản trắng, dấu gạch ngang, gạch dưới

3.9 Group

Group là một đôi tượng trên hệ điều hành Windows đại diện cho một phòng ban, nhóm người dùng trong tổ chức

Group chứa các local user account trên máy tính.

Có 2 ưu điểm để triển khai Group là:

 Thuận tiên trong công việc quản lý

 Thuận tiện trong công việc phân quyền

3.9.1 Các nhóm tạo sẵn đặc biệt

• Interactive: đại diện cho tất cả người dùng đang sử dụng máy tại chỗ

• Network: đại diện cho tất cả người dùng đang kết nối đến một máy tính thông qua máy tính khác

• Everyone: đại diện cho tất cả người dùng

• System: đại diện cho hệ điều hành

• Creator owner: đại diện cho người tạo ra nó, những người sở hữu một tài nguyên nào đó

• Authenticated user: đại diện cho người dùng được hệ thống chứng thực

• Anonymous logon: đại diện cho người dùng đã đăng nhập vào hệ thống một cách nặc danh

3.9.2 Tạo và quản lý account

Có nhiều cách tạo và quản lý người dùng:

 Sử dụng Active Directory User and Computer

 Sử dụng Directory Service Tools

4 GROUP POLICY OBJECT TRÊN SERVER 2003

4.1 Tổng quan về Group Policy

Chính sách nhóm là một tính năng cực kỳ quan trọng trong tất cả các hệ điều hành Windows

NT dựa trên máy chủ bao gồm 2000, 2003, và 2008 Group Policy cung cấp cho quản lý tập trung cùng với cấu hình cho người dùng từ xa và các máy tính bên trong một môi trường máy chủ Active Directory, cũng như những gì mà máy tính của họ có thể làm điều đó Lý do chính cho việc thực hiện chính sách an ninh liên quan và hạn chế quyền truy cập vào các tập tin cá nhân, hệ thống máy tính, ổ đĩa máy chủ,… Nó thường được sử dụng trong môi trường mạng nhỏ hơn, chẳng hạn như trường học, để đảm bảo chức năng chặn các chức năng có thể gây hại Ví dụ về các điều Group Policy có thể giới hạn rộng như toàn bộ trình điều khiển ảo, hoặc một cái gì đó đơn giản nhưu ngăn chăn Windows Task Manager chạy, cấm sử dụng Regedit, hạn chế quyền truy cập vào các thư mục, không cho phép sử dụng thực thi,…

Các Group Policy chỉ có thể hiện hữu trên miền Active Directory, ta không thể đặt chúng lên miền NT 4.

Các Group Policy làm được nhiều chuyện hơn các system policy Ví dụ: có thể dùng các Group Policy để triển khai (deploy) phần mềm cho một hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn một số ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử đụng đĩa trên các máy trạm; để thiết lập kịch bản (Script) đăng nhập (logon), đăng xuất (logoff), khởi động (Start up) và tắt máy (shut down);

để đơn giản hoá và hạn chế các chương trình chạy trên máy khách; để định hướng lại (redirector) một số folder trên máy khách (như My Document, My Computer chẳng hạn),…

Không giống như các system policy, các Group Policy tự động mất tác dụng đối với các máy trạm khi chúng được xoá bỏ khỏi miền AD

Các Group Policy được ấp dụng thường xuyên hơn các System Policy Các System Policy chỉ được áp dụng vào lúc máy khách khởi động (đối với chính sách dành cho máy) hoặc đăng nhập (đối với chính sách dành cho người dùng) Các Group Policy thì được áp dụng lúc máy khách được khởi động, lúc máy khách đăng nhập và vào những thời điểm ngẫu nhiên khác nữa trong suốt quá trình làm việc (một cách tự động)

Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được_hoặc không được_nhận một Group Policy nào đó

4.2 Chức năng của Group Policy

Group Policy có thể coi là System Policy phiên bản thứ 2, chính sách này được Microsoft phát minh ra kể từ Windows 2000 và chỉ có ý nghĩ với các máy Windows 2000/2003/XP

Triển khai phần mềm ứng dụng: ta có thể gom tất cả các tập tin cần thiết để cài đặt một phần mềm nào đó trong gói (package) đặt nó lên server rồi dùng chính dách nhóm hướng một hoặc nhiều máy trạm đến gói phần mềm đó Hệ thống sẽ tự động cài đặt phần mềm cho các máy trạm mà không cần bất cứ sự can thiệp nào của người dùng

Gán quyền cho hệ thống người dùng: chức năng này tương tự như các chức năng của hệ thống Nó có thể cấp cho một hoặc nhiều nhóm người dùng nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu.

Giới hạn những ứng dụng mà người dùng được phép thi hành: chúng có thể kiểm soát máy trạm người dùng nào đó và cho phép người người này chỉ chạy một vài ứng dụng như: outlook express, word hay excel,…

Kiểm soát các thiết lập hệ thống: ta có thể dùng chính sách nhóm để quy định hạn ngạch đĩa cho một người dùng nào đó, người dùng này chỉ được phép lưu trữ tối đa bao nhiu MB trên đĩa cứng theo quy định

5 DHCP

5.1 Tổng quan về DHCP

Dynamic Host Configuration Protocol(DHCP – giao thức cấu hình động máy chủ) là một giao thức cấu hình tự động địa chỉ IP Máy tính được cấu hình một cách tự động vì thế sẽ giảm việc can thiệp vào hệ thống mạng Nó cung cấp một database trung tâm để theo dõi tất cả các máy tính trong hệ thống mạng Mục đích quan trọng nhất là tránh trường hợp hai máy tính khác nhau lại có cùng địa chỉ IP

Nếu không có DHCP các máy tính có thể cấu hình IP thủ công, ngoài việc cung cấp địa chỉ IP, DHCP còn cung cấp thông tin cấu hình khác Cụ thể như DNS Hiện nay DHCP có 2 version: IPv4

và IPv6

5.2 Cách hoạt động của DHCP

DHCP tự động quản lý các địa chỉ IP và loại bỏ được các lỗi có thể làm mất liên lạc Nó tự động gán lại các địa chỉ chưa được sử dụng DHCP cho thuê địa chỉ trong một khoảng thời gian, có nghĩa là những địa chỉ này sẽ còn được dùng cho hệ thống khác Bạn hiếm khi bị hết địa chỉ IP DHCP tự động gán địa chỉ IP thích hợp với mạng con chứa máy trạm Cũng vậy, DHCP tự động gán địa chỉ IP cho người dùng di động tại mạng con họ kết nối

DHCP là một giao thức Internet có nguồn gốc ở BOOTP (bootstrap protocol) Được dùng để cấu hình cách Client không đĩa DHCP khai thác ưu điểm của giao thức truyền tin và các kỹ thuật khai báo cấu hình được định nghĩa tron BOOTP, trong đó có khả năng gán địa chỉ Sự tương tự này cũng cho phép các bộ định tuyến hiện nay chuyển tiếp các thông điệp BOOTP giữa các mạng con cũng có thể chuyển tiếp các thông điệp DHCP Vì thế, máy chủ DHCP có thể gán địa chỉ IP cho nhiều mạng con.

Quá trình đạt được địa chỉ IP được mô tả dưới đây:

 Bước 1: máy trạm khởi động “với địa chỉ IP rỗng” cho phép liên lạc với DHCP Servers bằng giao thức TPC/IP Nó broadcast một thông điệp DHCP Discover chứa địa chỉ MAC

và tên máy tính tìm DHCP Server

 Bước 2: nhiều DHCP Server có thể nhận thông điệp và chuẩn bị địa chỉ IP cho máy trạm Nếu máy chủ có cấu hình hợp lệ cho máy trạm, nó gửi thông điệp “DHCP Offer” chứa địa chỉ MAC của khách, địa chỉ IP “ Offer”, mặt nạ mạng con (subnet mask), địa chỉ IP của máy chủ và thời gian cho thuê đến Client Địa chỉ “Offer” được đánh dấu là

“reserve” (để giành)

 Bước 3: khi Client nhận thông điệp DHCP Offer và chấp nhận một trong các địa chỉ IP, Client sẽ gửi thông điệp DHCP Request để yêu cầu IP phù hợp cho DHCP Server thích hợp

 Bước 4: cuối cùng, DHCP Server khẳng định lại với Client bằng thông điệp DHCP Acknowledge

PHẦN II: THIẾT KẾ - TRIỂN KHAI

là “tennhanvien123456”

TỔ CHỨC OU

3.3 Chính sách tài khoản

Mật khẩu phải phức tạp và có ít nhất 8 ký tự

Thay đổi password trong lần đăng nhập đầu tiên

Định kỳ 30 ngày phải thay đổi mật khẩu 1 lần

Nếu nhập sai mật khẩu 5 lần thì tài khoản sẽ bị khoá đến khi người quản trị mở khoá

Thiết lập Deploy các phần mềm Firefox, Office 2007, Winrar và Unikey theo dạng publish

3.7 Triển khai hệ thống Antivirus và WSUS

Hệ thống Antivius sử dụng phần mềm kaspersky triển khai trên server

Cài đặt WSUS 3.0 cho hệ thống, nhằm tăng cường tính an toàn, ổn định cho các server bằng việc cập nhật lên tục các bản vá lỗi của hệ điều hành và các phần mềm của Microsoft, nhưng vẫn đảm bảo không làm nghẽn lữu lượng ra Internet

3.8 Chiến lược sao lưu, phục hồi

Triển khai backup trên phần mềm Microsoft ntbackup Lập lịch backup tự động theo từng ngày khi 12h đêm.

 Full backup hàng tháng

 Differential backup hàng tuần

 Incemental backup hàng ngày

Lưu trữ file backup tại nhiều nơi an toàn khác tránh tình trạng không mong muốn xảy ra

DHCP Server Client

Defaut Gateway 192.168.1.254 192.168.1.254 192.168.1.254 192.168.1.254Preferrred DNS Server 192.168.1.1 192.168.1.2 192.168.1.1 192.168.1.1Alternate DNS serrver 192.168.1.2 192.168.1.1 192.168.1.2 192.168.1.2

CHI NHÁNH HẬU GIANG

Mô Tả Child Domain (HG) Server DHCP Client

Trong cửa sổ vừa mở, chọn mục Add/Remove Windows Components.

Cửa sổ Windows Components Wizard xuất hiện.

Trong hộp thoại chọn mục Networking Services nhấn nút Details để làm xuất hiện cửa sổ Networking Services.

Trong cửa sổ này đánh dấu check vào mục Dynamic Host Configuration Protocol (DHCP) và nhấn OK.

Nhấn Next để tiếp tục quá trình cài đặt.

Quá trình cài đặt sẽ diễn ra tự động và bạn sẽ bấm Finish để hoàn tất.

1.1.2 Cấu hình DHCP

Để dịch vụ DHCP có thể cấp phát được địa chỉ IP chúng ta cần cấu hình và kích hoạt dịch vụ này Bên dưới là giao diện DHCP chúng ta vừa cài đặt xong

Đầu tiên cần tạo ra một dãy địa chỉ cần cấp phát (scope) sau khi đã được Authorized, ta bắt đầu cấu hình Scope Chọn nhấp chuột phải vào biểu tượng dhcp[192.168.1.3] chọn New Scope hộp thoại Welcom to the New Scope Wizard.