Giáo trình Thực hành tích hợp và an toàn hệ thống: Phần 2 - ĐH Sư phạm kỹ thuật Nam Định

Tiếp nội dung phần 1, Giáo trình Thực hành tích hợp và an toàn hệ thống: Phần 2 cung cấp cho người học những kiến thức như: Cài đặt và cấu hình AD (Active Directory); Cài đặt và cấu hình DHCP, WINS, DNS; Quản lý tài khoản; Quản lý phương tiện lưu trữ; Tạo và quản lý hệ thống thư mục dùng chung;...

145

Bài thực hành số 10: Cài đặt và cấu hình AD (Active Directory)

10.1 Mục tiêu

Sinh viên có khả năng

- Hiểu biết về AD, các mô hình vùng và hoạt động của mô hình vùng

- Biết hoạch định và tổ chức miền trong mô hình client/server

- Biết nâng cấp một máy standard alone server thành máy điều khiển vùng và tạo các vùng con, biết tạo máy dự phòng, máy đồng bộ vùng và sao lưu phục hồi cơ sở dữ liệu AD

10.2 Chuẩn bị

- Hệ thống máy tính nối mạng LAN

- Hệ thống máy tính cài đặt hệ điều hành windows server, windows xp

10.3 Nội dung thực hành

10.3.1 Hoạch định AD

1 Mô hình miền

Mô hình Domain hoạt động theo cơ chế client-server, trong hệ thống mạng phải

có ít nhất một máy tính làm chức năng điều khiển vùng (Domain Controller), máy tính này sẽ điều khiển toàn bộ hoạt động của hệ thống mạng Việc chứng thực người dùng và quản lý tài nguyên mạng được tập trung lại tại các Server trong miền

Hình 10.1 Chứng thực khi người dùng đăng nhập

2 Miền (Domain)

Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có

- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ

Hình 10.3 Mô hình bảo mật trong miền

- Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau

Hình 10.4 Đồng bộ miền

147

3 Đơn vị tổ chức (Organizational Unit)

Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó được xem

là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau” Việc sử dụng OU có hai công dụng chính sau:

- Trao quyền kiếm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống

- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong

OU thông qua việc sử dụng các đối tượng chính sách nhóm (GPO)

Hình 10.5 Mô hình OU

4 Các mạng (sites)

Site: một site là một vị trí Site được dùng để phân biệt giữa các vị trí cục bộ và các vị trí xa xôi Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành dinh bằng Dialup Networking Như vậy hệ thống mạng này có ba site

5 Cây của các miền (trees)

Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain) Tên của các domain con phải khác biệt nhau Khi một domain root

và ít nhất một domain con được tạo ra thì hình thành một cây domain Khái niệm này sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục

148

Hình 10.6 Mô hình Domain tree

6 Rừng của các miền (forests)

Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau

149

Hình 10.8 Hộp thoại Active Directory Installation Wizard

- Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3 trở

về trước sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server 2003, chọn Next để tiếp tục

Hình 10.9 Hộp thoại Operating System Compatibility

- Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next

Hình 10 10 Chọn kiểu Domain Controller

150

- Đến đây chương trình cho phép chọn một trong ba lựa chọn sau: chọn Domain in new forest nếu muốn tạo domain đầu tiên trong một rừng mới, chọn Child domain in an existing domain tree nếu muốn tạo ra một domain con dựa trên một cây domain có sẵn, chọn Domain tree in an existing forest nếu muốn tạo ra một cây domain mới trong một rừng đã có sẵn

Hình 10.11 Lựa chọn cách tạo miền

- Hộp thoại New Domain Name yêu cầu tên DNS đầy đủ của domain cần xây dựng

Hình 10.12 Nhập tên đầy đủ cho miền

- Hộp thoại NetBIOS Domain Name, yêu cầu cho biết tên domain theo chuẩn NetBIOS để tương thích với các máy Windows NT Chọn Next để tiếp tục

Hình 10.13 Nhập tên NETBIOS

151

- Hộp thoại Database and Log Locations cho phép chỉ định vị trí lưu trữ database Active Directory và các tập tin log Chọn Next để tiếp tục

Hình 10.14 Chỉ định vị trí lưu trữ database Active Directory và tập tin log

- Hộp thoại Shared System Volume cho phép chỉ định ví trí của thư mục SYSVOL Thư mục này phải nằm trên một NTFS5 Volume Tất cả dữ liệu đặt trong thư mục Sysvol này sẽ được tự động sao chép sang các Domain Controller khác trong miền sau đó chọn Next tiếp tục

Hình 10.15 Chỉ định ví trí của thư mục SYSVOL

- DNS là dịch vụ phân giải tên kết hợp với Active Directory để phân giải tên các máy tính trong miền Do đó để hệ thống Active Directory hoạt động được thì trong miền phải có ít nhất một DNS Server phân giải miền cần thiết lập, cài đặt và cấu hình dịch vụ DNS tự động

152

Hình 10 16 Lựa chọn cài đặt và cấu hình DNS tự động

- Trong hộp thoại Permissions chọn giá trị Permission Compatible with Windows 2000 servers khi hệ thống có các Server phiên bản trước Windows 2000, hoặc chọn Permissions compatible only with Windows 2000 servers or Windows Server 2003 khi hệ thống chỉ toàn các Server Windows 2000 và Windows Server 2003

pre-Hình 10.17 Lựa chọn các máy tính cài hệ điều hành tham gia mạng

- Trong hộp thoại Directory Services Restore Mode Administrator Password chỉ định mật khẩu dùng trong trường hợp Server phải khởi động vào chế độ Directory Services Restore Mode Nhấn chọn Next để tiếp tục

Hình 10.18 Nhập mật khẩu Restore Mode Administrator

153

- Hộp thoại Summary xuất hiện, trình bày tất cả các thông tin đã chọn Nếu tất cả đều chính xác, nhấn Next để bắt đầu thực hiện quá trình cài đặt, nếu có thông tin không chính xác thì chọn Back để quay lại các bước trước đó

Hình 10.18 Thông tin đã lựa chọn

- Hộp thoại Configuring Active Directory cho biết quá trình cài đặt đang thực hiện những gì Chương trình cài đặt cũng yêu cầu cung cấp nguồn cài đặt Windows Server

2003 để tiến hành sao chép các tập tin nếu tìm không thấy

1 Replication dữ liệu trong Active Directory

Active Directory trên máy chủ Windows Server 2003 có cơ chế Replications giữa các máy chủ Domain Controller với nhau Cho phép nhiều máy chủ Domain Controller cùng quản lý chung một dữ liệu Active Directory, với dữ liệu và thiết lập giống nhau Đồng thời cho phép nhiều máy chủ Domain Controllers hoạt động với quyền ngang hàng nhau trong Active Directory

Các máy chủ hoàn toàn có khả năng thêm dữ liệu vào trong Active Directory (như việc tạo User mới, hay thay đổi thông tin trong Active Directory) Khi thay đổi dữ liệu Active Directory trên một máy chủ Domain Controller thì chúng sẽ tự động đồng bộ hoá với toàn bộ máy chủ Domain Controller trong hệ thống mạng

Như vậy nếu một hệ thống Domain nếu có một máy chủ Domain Controller chẳng may máy chủ này bị gián đoạn trong một thời gian nhất định thì cả hệ thống sẽ bị tê liệt Khắc phục vấn đề này cài đặt thêm một hay nhiều máy chủ Domain Controller nữa cùng quản lý dữ liệu Active Directory và DNS của hệ thống Khi một trong các máy chủ Domain Controller trong hệ thống phải bảo trì hay gián đoạn một thời gian thì hệ thống vẫn hoạt động bình thường

Trong phần này sẽ giới thiệu cách tạo và cài đặt thêm một máy chủ Domain Controller vào Domain có sẵn là vnexperts.net với dữ liệu DNS và Active Directory giống Domain Controller đầu tiên và hoạt động với chức năng tương đương nhau trong

hệ thống

2 Triển khai Additions Domain Controller mới vào hệ thống có sẵn

Để máy chủ Domain Controller mới hoạt động với chức năng tương đương với máy chủ Domain Controller đầu tiên phải đáp ứng:

Cung cấp giải pháp tên miền DNS cho các máy Client

Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory

155

- DNS trên máy chủ Domain Controller mới: Máy chủ đầu tiên chứa toàn bộ

dữ liệu DNS và các thiết lập khác trên DNS Để máy chủ thứ hai này cũng có khả năng đáp ứng các yêu cầu DNS của Client chúng ta cần phải tạo một bản sao bao gồm dữ liệu DNS giống hệt máy chủ đầu tiên

+ Trên Windows Server 2003 dịch vụ DNS cho phép tạo Secondary Zone như một bản sao dữ liệu DNS từ một Primary Zone đã được tạo sẵn

+ Domain đã được cài đặt với một máy chủ DNS và Domain Controller là: dc1.vnexperts.net

+ Trên dữ liệu DNS của dc1.vnexperts.net có một Primary Zone tên vnexperts.net chứa toàn bộ các record về tên của domain vnexperts.net

+ Yêu cầu lúc này là tạo ra một máy chủ với dữ liệu DNS giống hệt dc1.vnexperts.net

+ Ở đây: dc1.vnexperts.net – IP: 192.168.100.11

- Cài đặt dc2.vnexperts.net – IP: 192.168.100.12: Cấu hình trên máy chủ dc1.vnexperts.net cho phép máy khác tạo Secondary Zone vnexperts từ máy chủ này

+ Start/ All Programs/ Administrative tools/ DNS

+ Trong cửa sổ DNS chọn forward lookup zone trong đó có Zone vnexperts.net Chuột phải vào tab Zone Tranfers

Hình 10 21 Cho phép máy khác tạo Secondary Zone từ máy chủ

+ Chọn Allow Zone Transfers có 3 options cho lựa chọn:

To any server: cho tất cả các máy tính đều lấy được dữ liệu DNS

Only to servers listed on the Name Servers tab: chỉ cho phép máy chủ nào trong

NS record (mặc định khi nâng cấp lên Domain Controller)

Only to the flowing servers: chỉ cho phép các máy chủ dưới đây

+ Ta chọn To any server

Hình 10 22 Tạo Forward Lookup Zone

+ Nhấn Next tiếp tục quá trình thiết lập

+ Hệ thống sẽ yêu cầu tên Primary Zone mà ta cần tạo Secondary Zone Ở đây chọn vnexperts.net vì đã có Zone này trên máy dc1.vnexperts.net – 192.168.100.11

Hình 10.23 Nhập tên Primary Zone

+ Hệ thống sẽ yêu cầu gõ địa chỉ của máy chủ chứa Primary Zone của Vnexperts.net Ta gõ địa chỉ IP là 192.168.100.11 điạ chỉ của máy chủ dc1.vnexperts.net

157

Hình 10.24 Nhập địa chỉ IP của máy chứa Primary Zone

+ Nhấn Next để hoàn thành quá trình tạo Secondary Zone vnexperts.net trên máy chủ dc2

+ Để lấy toàn bộ dữ liệu DNS từ máy chủ dc1 về máy chủ dc2 ta chuột phải vào Zone vnexperts.net mới được tạo ra trên máy chủ dc2 chọn "Transfers from master" + Vào kiểm tra và kết quả là ta đã được một bản copy của dữ liệu DNS trên máy chủ mới, điều này có nghĩa máy chủ Secondary này hoàn toàn có khả năng giải quyết vấn đề

về tên miền trong hệ thống

Hình 10.25 Dữ liệu DSN trên máy Secondary zone

3 Cài đặt Additions Domain Controller vào một domain đã có sẵn

Việc cài đặt Addtions một Domain Controller mới vào một domain đã có sẵn

- Đặt địa chỉ IP tĩnh

158

- Đặt địa chỉ DNS là địa chỉ DNS của máy chủ dc1.vnexperts.net 192.168.100.11 và địa chỉ IP của chính nó là 192.168.100.12

Hình 10 26 Nhập địa chỉ IP và DNS cho máy Additions Domain Controller

- Khi đã hoàn tất quá trình cài đặt DNS và tạo Secondary Zone trên máy chủ mới, cần thiết phải đặt địa chỉ của DNS như trên bởi khi DC1 bị hỏng thì hệ thống vẫn hoạt động bình thường Tiếp tục quá trình cài đặt vào Run gõ dcpromo

Hình 10.27 Hộp thoại Acive Directory Installation Wizard

- Nhấn Next để tiếp tục quá trình cài đặt Addtions Domain Controller

159

Hình 10.28 Hộp thoại Operating System Compatibility

- Nhấn Next để tiếp tục quá trình cài đặt: đến bước chọn hai Options: chọn Additional domain controller for an existing domain

Hình 10.29 Chọn kiểu Domain Controller

- Nhấn Next để tiếp tục quá trình, hệ thống sẽ yêu cầu gõ Username, Password và domain mà ta cần add vào

Hình 10.30 Nhập tài khoản người dùng và miền

- Điền đủ các dữ kiện từ domain, username password

- Nhấn Next hệ thống tự động tìm kiếm Domain đã chọn, nếu ta đặt địa chỉ DNS cho card mạng sai đến bước này sẽ không tìm thấy domain mà cần add vào, khi đó chỉ cần kiểm tra lại DNS khi đặt địa chỉ IP Nhấn Next để tiếp tục

160

Hình 10.31 Nhập tên miền muốn Add

- Gõ lại tên miền mà ta muốn add vào: ở đây gõ vnexperts.net

- Nhấn Next tiếp tục quá trình cài đặt Hệ thống yêu cầu nơi chứa folder NTDS để cho quá trình Replications trong Domain

Hình 10.32 Chỉ định vị trí lưu trữ database Active Directory và tập tin log

- Ta để mặc định nhấn Next Hệ thống yêu cầu vị trí folder SYSVOL

Hình 10.33 Chỉ định ví trí của thư mục SYSVOL

- Để mặc định và nhấn Next Hệ thống yêu cầu gõ password dành cho quá trình Restore Mode

161

Hình 10.34 Nhập mật khẩu Restore Mode Administrator

- Nhấn Next để tiếp tục quá trình cài đặt: hệ thống hiển thị toàn bộ thong tin về quá trình thiết lập

Hình 10.35 Thông tin đã lựa chọn

- Nhấn Next hệ thống sẽ bắt đầu cài đặt cho dc2 này

Hình 10.36 Qua trình cài đặt Additions Domain Controller

- Đợi vài phút và khởi động lại máy sau đó vào Active Directory Users and Computers để xem và ta thấy đã có hai máy chủ Domain Controller

162

Hình 10.37 Hộp thoại Active Directory Users and Computers

10.3.4 Bảo trì AD

Backup và Restore là một trong những công việc quan trọng trong việc đảm bảo

hệ thống hoạt động một cách hiệu quả, và tránh được những sự cố đáng tiếc xảy ra Trong Windows Server 2003 có sử dụng một công cụ backup dữ liệu đó là: ntbackup

NTBACKUP trong Windows Server 2003 sử dụng công nghệ backup là Shadow Copy để backup cả những dữ liệu đang hoạt động như SQL, hay dịch vụ Active Directory, các file đang chạy hay các folder bị cấm truy cập…

Nhưng trong Windows có một quy định là không cho can thiệp vào các file hay

dữ liệu đang đang có một chương trình khác đang hoạt động hay đang sử dụng Và hai điều này có nghĩa là có thể backup được Active Directory theo một cách nào đó, nhưng không thể Restore lại được bởi Service này hoạt động từ lúc hệ thống bắt đầu khởi động

Khi backup System State sẽ chứa toàn bộ thông tin của Active Directory

Backup và Restore Active Directory trong máy chủ Domain Controllers

Giả sử đã có một Domain với tên miền là: vnexperts.net có máy chủ Domain

Controller cài dịch vụ Active Directory là dc1.vnexperts.net

Log on vào máy chủ Domain Controller bằng user administrator Vào Start \ All

Programs / Administrative tools / Active Directory Users and Computers

163

Hình 10.38 Tạo OU

- Chuột phải vào Active Directory domain vnexperts.net chọn New / Organizational Unit (OU) với tên MCSA Vào trong OU MCSA kick chuột phải chọn New User Account - để tạo một tài khoản User mới Ở đây tạo User tên Hoang Tuan Dat, logon name là tocbatdat

Hình 10 39 Tạo tài khoản người dùng

- Nhấn Next hệ thống yêu cầu gõ Password của user mới tạo ra Chú ý sau khi cài đặt Active Directory sẽ có một Default Domain Security Policy yêu cầu bất kỳ một user mới tạo ra đều phải có password nhỏ nhất là 7 ký tự và phải phức tạp Nếu muốn chỉnh lại để tạo ra User một cách đơn giản hơn phải chỉnh lại Default Domain Security Policy này và Local Policy của máy chủ Domain Controllers

Chỉnh Default Domain Security Policy: Vào Start\ All Programs \Administrative tools\ Domain Security Policy Trong cửa sổ chỉnh Policy chọn Account Policies \ Password Policies, chỉnh hai thông số là Minimum Password Lengh, và Password must

164

meet complexity Requirements nhấp đúp chuột trái sẽ xuất hiện như hình dưới bỏ dấu Check Box – Define this policy setting – thực hiện với cả hai thiết lập

Hình 10.40 Hộp thoại Default Domain Security Policy

- Vào Run gõ Gpupdate /force để apply sự thay đổi policy trong domain sau đó phải chỉnh cả trong Local Policy của máy chủ Domain Controller nữa thì mới tạo được User ở dạng Password là chống

- Vào Run gõ gpedit.msc để chỉnh Local Policy cho máy chủ Domain Controllers Tương tự chỉnh các thông số trong Password Policy Lưu ý nếu chưa bỏ dấu check box trong Domain Policy thì vào Local Policy sẽ không chỉnh được các thông số này

- Chỉnh Minimum Password Lengh về 0, và Disable Password must meet complexity requirements

Hình 10.41 Hộp thoại Group Policy Object Edit

- Vào Run gõ Gpupdate /force là OK giờ có thể tạo user với password trắng

- Vào Run gõ ntbackup hệ thống sẽ hiện cửa sổ sau đây

165

Hình 10.42 Hộp thoại Backup or Restore Wizard

- Chọn Advanced Mode sẽ xuất hiện cửa sổ Backup Utility và chọn Tab Backup sẽ được cửa sổ như hình dưới đây

Muốn backup Active Directory cần phải Backup System State, khi backup System State sẽ bao gồm rất nhiều thông tin: Active Directory, Boot Files, Registry, SYSVOL… Sau khi chọn System State, cần phải thiết lập nơi chứa file Backup, ở đây chọn là lưu tại

ổ C: và tên file là Backup.bkf nhấn Start Backup để bắt đầu Backup dữ liệu

Hình 10.43 Hộp thoại chọn backup AD

- Khi nhấn Start Backup hệ thống sẽ bật ra cửa sổ như hình dưới đây chọn Start Backup để bắt đầu thực hiện backup

166

Hình 10.44 Thông tin về file backup

- Cửa sổ hiển thị quá trình Backup đang được thực hiện đợi để hệ thống hoàn thành công việc

167

- Để thể thực hiện Restore phải khởi động lại máy chủ Domain Controller

- Trong lúc máy tính đang khởi động nhấn F8 để vào Safe Mode Trong Menu các Mode chọn "Directory Service Restore Mode"

Hình 10.47 Hộp thoại chọn chế độ Directory Service Restore Mode

- Khi chọn khởi động từ "Directory Service Restore Mode" hệ thống sẽ yêu cầu gõ User name và Password để đăng nhập trong khi Restore lại Active Directory

168

- Nhấn Start Restore để hệ thống bắt đầu lấy lại dữ liệu như lúc Backup

Hình 10.50 Quá trình restore System State

- Sau khi hệ thống Restore hoàn tất sẽ yêu cầu khởi động lại máy tính xem kết quả

Hình 10.51 Kết quả sau khi restore System State

10.3.5 Bài tập thực hành

Bài 1: Với sơ đồ hệ thống mạng đang có, Tùng muốn xây dựng một Domain để quản lý

hệ thống mạng này Hãy cấu hình hệ thống nhằm đáp ứng yêu cầu trên

169

Hướng dẫn:

- Nâng cấp máy Server-viendong trở thành máy chủ quản lý miền – Domain Controller

- Gia nhập máy trạm vào miền vừa mới tạo

Bài 2: Với hệ thống mạng như trong bài tập 1, Hãy cấu hình trên máy Server-Duphong

để làm máy dự phòng cho máy quản lý miền trong hệ thống

Hướng dẫn:

- Nâng cấp máy Server-Duphong thành máy dự phòng cho máy quản lý miền – Domain Controller đồng hành

Bài 3: Với hệ thống mạng như trong bài tập 2, công ty có nhu cầu tạo thêm một miền con

cho phòng KinhDoanh Hãy cấu hình hệ thống theo yêu cầu trên

Hình 10.54 Sơ đồ hệ thống mạng

Bài 4: Một công ty muốn xây dựng hệ thống mạng client/server để quản lý dữ liệu tập

chung Hãy cài đặt và cấu hình hệ thống như sau

170

Yêu cầu:

- Cài đặt Active Directory trên Windows Server 2003 (DC1)

- Backup Active Directory

- Cài đặt thêm một máy chủ Active Directory vào một Domain đã có (DC2)

- Cài đặt Multiple Domain cho một hệ thống

- Cài đặt Active Directory trên một Forest mới

- Cài đặt Active Directory trên một domain con

- Đổi tên Domain

- Chuyển Master của Domain

171

Bài thực hành số 11: Cài đặt và cấu hình DHCP, WINS, DNS

11.1 Mục tiêu

Sinh viên có khả năng

- Hiểu được lợi ích của việc sử dụng các dịch vụ mạng DHCP, WINS, DNS

- Chọn menu Start \ Settings \ Control Panel

- Trong cửa sổ Control Panel, nhấp đôi chuột vào mục Add/Remove Programs

- Trong hộp thoại Add/Remove Programs, chọn Add/Remove Windows Components

- Trong hộp thoại Windows Components Wizard, chọn Networking Services và nhấn nút Details

Hình 11.1 Hộp thoai windows components wizard

- Trong hộp thoại Networking Services, nhấn chọn mục Dynamic Host Configuration Protocol (DHCP) và nhấn nút OK

172

Hình 11.2 Chọn dịch vụ DHCP để cài đặt

- Trở lại hộp thoại Windows Components Wizard, nhấn chọn Next

- Windows server sẽ cấu hình các thành phần và cài đặt dịch vụ DHCP

- Chọn menu Start \Programs \ Administrative Tools \ DHCP

- Trong cửa sổ DHCP, nhấp phải chuột lên biểu tượng Server của và chọn mục New Scope trong popup menu

173

Hình 11 2 Tạo phạm vi địa chỉ cho DHCP cấp phát

- Hộp thoại New Scope Wizard xuất hiện Nhấn chọn Next

- Trong hộp thoại Scope Name, nhập vào tên và chú thích, giúp cho việc nhận diện

ra scope này Sau đó nhấn chọn Next

Hình 11.3 Nhập tên Scope và mô tả

- Hộp thoại IP Address Range xuất hiện nhập vào địa chỉ bắt đầu và kết thúc của danh sách địa chỉ cấp phát Sau đó chỉ định subnet mask bằng cách cho biết số bit 1 hoặc hoặc nhập vào chuỗi số Nhấn chọn Next

174

Hình 11.4 Nhập các thông tin cho dải địa chỉ IP

- Trong hộp thoại Add Exclusions, cho biết những địa chỉ nào sẽ được loại ra khỏi nhóm địa chỉ đã chỉ định ở trên Các địa chỉ loại ra này được dùng để đặt cho các máy tính dùng địa chỉ tĩnh hoặc dùng để dành cho mục đích khác Để loại một địa chỉ duy nhất, chỉ cần cho biết địa chỉ trong ô Start IP Address và nhấn Add Để loại một nhóm các địa chỉ, cho biết địa chỉ bắt đầu và kết thúc của nhóm đó trong Start IP Address và Stop IP Address, sau đó nhấn Add Nút Remove dùng để huỷ một hoặc một nhóm các địa chỉ ra khỏi danh sách trên Sau khi đã cấu hình xong, nhấn nút Next để tiếp tục

Hình 11.5 Loại bỏ địa chỉ không cấp phát

- Trong hộp thoại Lease Duration tiếp theo cho biết thời gian các máy trạm có thể

sử dụng địa chỉ này Theo mặc định, một máy Client sẽ cố làm mới lại địa chỉ khi đã sử dụng được nửa thời gian cho phép Lượng thời gian cho phép mặc định là 8 ngày có thể

175

chỉ định lượng thời gian khác tuỳ theo nhu cầu Sau khi đã cấu hình xong, nhấn Next để tiếp tục

Hình 11.6 Đặt thời gian máy trạm có thể sử dụng địa chỉ IP

- Hộp thoại Configure DHCP Options xuất hiện có thể đồng ý để cấu hình các tuỳ chọn phổ biến (chọn Yes, I want to configure these options now) hoặc không đồng ý, để việc thiết lập này thực hiện sau (chọn No, I will configure these options later) Để mục chọn đồng ý và nhấn chọn Next

Hình 11.7 Hộp thoại Configure DHCP Options

- Trong hộp thoại Router (Default Gateway), cho biết địa chỉ IP của default gateway mà các máy DHCP Client sẽ sử dụng và nhấn Add Sau đó nhấn Next

Hình 11.8 Hộp thoại nhập IP của Router

176

- Trong hộp thoại Domain Name and DNS Server, sẽ cho biết tên Domain mà các máy DHCP client sẽ sử dụng, đồng thời cũng cho biết địa chỉ IP của DNS Server dùng phân giải tên Sau khi đã cấu hình xong, nhấn Next để tiếp tục

Hình 11.9 Hộp thoại Domain Name and DNS Server

- Trong hộp thoại WINS SERVER tiếp theo, có thể cho biết địa chỉ của của WINS Server chính và phụ dùng phân giải các tên NetBIOS thành địa chỉ IP Sau đó nhấn chọn Next

Tiếp theo, hộp thoại Activate Scope xuất hiện, hỏi có muốn kích hoạt scope này hay không Scope chỉ có thể cấp địa chỉ cho các máy Client khi được kích hoạt Nếu định cấu hình thêm các thông tin tuỳ chọn cho scope thì chưa nên kích hoạt bây giờ Sau khi

đã lựa chọn xong, chọn Next

Hình 11.10 Hộp thoại Activate Scope

- Trong hộp thoại Complete the New Scope Wizard, nhấn chọn Finish để kết thúc

3 Cấu hình các tùy chọn DHCP

Các tuỳ chọn DHCP là các thông tin phụ gửi kèm theo địa chỉ IP khi cấp phát cho các máy Client, có thể chỉ định các tuỳ chọn ở hai mức độ: scope và Server Các tuỳ chọn mức scope chỉ áp dụng cho riêng scope đó, còn các tuỳ chọn mức Server sẽ áp đặt cho tất

cả các scope trên toàn Server

Các bước thực hiện:

177

- Chọn menu Start \Programs \ Administrative Tools \ DHCP

- Trong cửa sổ DHCP, ở ô bên trái, mở rộng mục Server để tìm Server Options hoặc mở rộng một scope nào đó để tìm Scope Options

- Nhấn phải chuột lên mục tuỳ chọn tương ứng và chọn Configure Options

- Hộp thoại cấu hình các tuỳ chọn xuất hiện Trong mục Available Options, chọn loại tuỳ chọn định cấp phát và nhập các thông cấu hình kèm theo Sau khi đã chọn xong hoặc chỉnh sửa các tuỳ chọn xong, nhấn OK để kết thúc

Hình 11.11 Hộp thoại cấu hình các tuỳ chọn

- Trong cửa sổ DHCP, mục tuỳ chọn tương ứng sẽ xuất hiện các thông tin cấp phát

4 Cấu hình dành riêng địa chỉ IP

Giả sử hệ thống mạng sử dụng việc cấp phát địa chỉ động, tuy nhiên trong đó có một số máy tính bắt buộc phải sử dụng một địa chỉ IP cố định trong một thời gian dài, có thể thực hiện được điều này bằng cách dành một địa chỉ IP cho riêng máy đó Việc cấu hình này được thực hiện trên từng scope riêng biệt

Các bước thực hiện:

- Chọn menu Start \ Programs \ Administrative Tools \ DHCP

- Trong ô bên trái của cửa sổ DHCP, mở rộng đến scope định cấu hình, chọn mục Reservation, chọn menu Action \ New Reservation

Xuất hiện hộp thoại New Reservation Đặt tên cho mục này dành riêng này trong

ô Reservation Name, có thể là tên của máy tính được cấp địa chỉ đó Trong mục IP Address, nhập vào địa chỉ IP định cấp cho máy đó Tiếp theo, trong mục MAC Address, nhập vào địa chỉ MAC của máy tính đó (là một chuỗi liên tục 12 ký số thập lục phân) Có thể ghi một dòng mô tả về địa chỉ vào mục Description Supported Types có ý nghĩa:

DHCP only: chỉ cho phép máy client DHCP yêu cầu địa chỉ này bằng cách sử dụng giao thức DHCP

BOOTP only: chỉ cho phép máy client DHCP yêu cầu địa chỉ này bằng cách sử dụng giao thức BOOTP (là tiền thân của giao thức DHCP)

178

Both: máy client DHCP có thể dùng giao thức DHCP hoặc BOOTP để yêu cầu địa chỉ này

Hình 11.12 Cấu hình đại chỉ dành riêng

- Lặp lại thao tác trên cho các địa chỉ dành riêng khác Cuối cùng nhấn chọn Close

5 Giám sát hoạt động DHCP

Cài đặt cấu hình dịch vụ DHCP là một phần của giải pháp mạng Vì môi trường làm việc của dịch vụ DHCP là động, thay đổi liên tục Vậy nên việc theo dõi hoạt động này là cần thiết tránh những sự cố có thể xảy ra trong hệ thống mạng Cấu hình mặc định của Windows Server 2003 cơ sở dữ liệu của DHCP được lưu theo đường dẫn:

%SystemRoot% \ System32 \ DHCP

- Sao lưu phục hồi dữ liệu đối với dịch vụ DHCP cũng quan trọng không kém, tăng khả năng chịu lỗi của DHCP Server khi gặp sự cố về phần cứng hoặc phục hồi trong trường hợp đặc biệt Mặc định dịch vụ DHCP tự động sao lưu trong mỗi 60 phút theo đường dẫn %SystemRoot% \ System32 \ DHCP \ Backup Trong các trường hợp dịch vụ DHCP không thể nạp dữ liệu thì nó tự động khôi phục lại theo đường dẫn mặc định trên

Lưu ý: Khi thay đổi đường dẫn sao lưu thì quá trình sao lưu và phục hồi phải thao tác bằng tay (Manual)

- Đồng bộ dữ liệu: thông thường khi có một số thay đổi về thông tin trong hệ thống mạng hoặc sau khi phục hồi dữ liệu của DHCP thì sự đồng bộ diễn ra chưa kịp thời nên gây ra những sai sót Để khắc phục ta tiến hành đồng bộ trên hệ thống Khi đi tiến hành đồng bộ dữ liệu dịch vụ DHCP sẽ tổng hợp hai thông tin từ Registry và trong cơ sở dữ liệu để tổng hợp chính xác các thông số cấu hình hiện tại

- Đưa ra các định mức hoạt động cho DHCP Server thông qua tất cả những gì liên quan đến Server bao gồm: các services, memory, processor… Theo dõi thông qua các gói tin Discovers, Offer, Requests, Acks nhấn chuột phải lên DHCP Server chọn Display Statistics ….Dùng các file log theo dõi sự hoạt động hàng ngày

179

Các File Log ghi nhận mỗi 24 giờ

- Khi DHCP Server vừa khởi động hoặc qua ngày mới (sau 12h đêm) DHCP Server

sẽ ghi nhận sự kiện mới lên File Log Có 2 trường hợp có thể xảy ra:

 Nếu File Log đang có cũ hơn 24h thì DHCP Server sẽ ghi đè lên dữ liệu này

 Nếu File Log ghi nhận sự kiện chưa quá 24h thì DHCP Server sẽ ghi nối tiếp

- Sau khi các dữ liệu bắt đầu ghi nhận thì ta nên kiểm tra xem sự hoạt động các File Log có kích hoạt chưa, dung lượng các file log có tăng đột biến hay không, kiểm tra chính xác ngày giờ hệ thống, dung lượng đĩa cứng có đủ để lưu File Log hay không

 Ở trạng thái mặc định thì các File Log chỉ lưu 50 sự kiện

 Nếu dung lượng ổ cứng không đủ nhu cầu tối thiểu là 20 megabytes thì các File Log dừng lại không ghi tiếp

 Trong Registry cũng quy định không cho các File Log ghi quá 1/7 dung lượng trống trên Server (không quá 10MB nếu dung lượng trống trên Server là 70MB) Trong trường hợp này DHCP Server sẽ đóng các File Log đang có và từ chối ghi nhận sự kiện tiếp theo

11.3.2 WINS

1 NetBIOS Name

NetBIOS name là cơ chế đặt tên cho các tài nguyện trong một hệ thống theo

“không gian phẳng” (không có khái niệm phân cấp), mỗi tài nguyên được mô tả bằng một chuỗi dài 16 ký tự, 15 ký tự đầu mô tả tên tài nguyên, ký tự thứ 16 mô tả loại tài nguyên

2 Cơ chế phân giải tên

NetBIOS name có 2 cơ chế phân giải tên

- Phân giải bằng Broadcast

- Phân giải qua một Name Server: trong hệ thống phải có một máy làm chức Name Server Các máy còn lại gọi là client Khi client khởi động lên nó sẽ đăng ký những tài nguyên nó có (những NetBIOS Name) với Name Server Khi cần truy vấn thay vì dùng Broadcast các client sẽ truy vấn Name Server

3 WINS

WINS Để cho các máy truy cập với nhau được thông qua NeTBIOS Name, WINS quản lý các NeTBIOS Name này và IP tương ứng để khi máy A muốn truy cập máy B thông qua NeTBIOS Name thì nó sẽ hỏi WINS server xem IP của máy B là bao nhiêu để gởi yêu câu truy cập tới IP đó

Cần phân biệt WINS với DNS Server WINS thông thường chỉ được dùng để giải quyết tên NeTBIOS Name trong nội bộ Network còn DNS Server có khả năng giải quyết tên dạng FQDN để phân giải tên miền internet cũng như trong mội trường mạng Domain

180

4 Cài đặt WINS

- Click Start, Control Panel Click Add or Remove Programs

- Trong Add or Remove ProgramsClick Add/Remove Windows Components

- Trên Windows Components page, kéo xuống danh sách Components và chọn Networking Services entry Click Details

- Trong Network Services dialog box, check vào Windows Internet Name Service (WINS) check box

- Click OK

Hình 11.13 Lựa chọn cài đặt dịch vụ Wins

- Click Next trên Windows Components page

- Click OK trên Insert Disk dialog box Trong Files Needed dialog box, đưa đường dẫn đến I386Copy files from text box và click OK

- Click Finish trên Completing the Windows Components Wizard page

- Đóng Add or Remove Programs

5 Cấu hình WINS

Tại máy client trong hộp thoại Internet Protocol Properties chon Advanced

Hình 11.14 Hộp thoại Internet Protocol Properties

181

- Chọn Tab WINS và Add IP của máy làm dịch vụ WINS Server vào

Hình 11.15 Tab Wins thêm địa chỉ của Wins server

- Start/ All Programs /Administrative Tool/ WINS

Hình 11.16 Hộp thoại cấu hình dịch vụ Wins

- Trong màn hình WINS nhấp phải vào Active Registrations và chọn Display Records

Hình 11.17 Các lựa chọn Active Registrations

182

- Chọn tiếp Find Now

Hình 18 Tab Record Mapping

- Lúc này tại máy WINS Server sẽ hiển thị các máy tính, nghĩa là WINS Server đã

có thể phân giải tên & số các máy trong mạng

Hình 11.19 Máy tính sau khi phân giải tên và IP

lý các vùng khác nhau, cần phải chia ra các Zone để đảm bảo việc quản lý DNS một cách

dễ dàng hơn, nói cách khác khi một hệ thống tên miền được chia ra các phần nhỏ hơn để

dễ quản lý đó là các Zone

Thực tế dữ liệu DNS được chứa trên các máy chủ Zone và dữ liệu của DNS là dữ liệu của các Zone

Trong DNS khi tạo ra một Zone mới sẽ có ba sự lựa chọn đó là:

- Primary Zone: Một máy chủ chứa dữ liệu Primary Zone là máy chủ có thể toàn

quyền trong việc update dữ liệu Zone

- Secondary Zone: Là một bản copy của Primary Zone, do nó chứa dữ liệu Zone

nên cung cấp khả năng resolution cho các máy có yêu cầu Muốn cập nhật dữ liệu Zone phải đồng bộ với máy chủ Primary

184

- Stub Zone: Dữ liệu của Stub Zone chỉ bao gồm dữ liệu NS Record trên máy chủ

Primary Zone, với việc chứa dữ liệu NS máy chủ Stub Zone có vai trò chuyển các yêu cầu dữ liệu của một Zone nào đó đến trực tiếp máy chủ có thẩm quyền của Zone đó Cần phải phân biệt giữa sử dụng Stub Zone và Forward Lookup:

Trong Forward Lookup có thể sử dụng để chuyển các yêu cầu đến một máy chủ

có quyền Một điều quan trọng của sự khác nhau đó là Stub Zone có khả năng chứa dữ liệu NS của Primary Zone nên có khả năng thông minh trong quá trình cập nhật dữ liệu, địa chỉ của máy chủ NS của Zone đó nên việc chuyển yêu cầu sẽ dễ dàng hơn

Forward Lookup là nhờ một máy chủ resolve hộ tên và không thể tự động cập nhật dữ liệu, nhưng đó cũng là một lợi thế và có thể sử dụng trên Internet Còn Stub Zone chỉ sử dụng khi trong một domain có nhiều Zone con (delegation zone) và chỉ dành cho một tổ chức khi truy cập vào các dữ liệu của tổ chức đó

Name Server chính là máy chủ chứa dữ liệu Primary Zone

3 Cách hoạt động của DNS

Ví dụ: Máy chủ DNS chứa dữ liệu vne.com bao gồm có máy chủ web là web1.vne.com với địa chỉ 192.168.1.5 Khi một máy client.vne.com truy cập vào web1.vne.com

Máy client1.vne.com gửi một gói tin yêu cầu máy chủ DNS của vne xem máy web1.vne.com có địa chỉ là thế nào

Máy chủ DNS trả lại cho client1.vne.com gói tin bao gồm địa chỉ IP là: 192.168.1.5 của web1.vne.com

Máy client1.vne.com giao tiếp với máy web1.vne.com

Từ ví dụ này có thể hiểu quá trình truy vấn từ máy client tới máy DNS

Quá trình làm việc của DNS có thể chia làm hai mảng:

Forward Lookup Query: Một Forward Lookup Query là một yêu cầu chuyển đổi

từ một tên sang một địa chỉ IP

Reverse Lookup Query: một Reverse Lookup Query là một yêu cầu chuyển đổi từ một IP sang một tên

4 Cài đặt DNS

Khi cài đặt dịch vụ DNS trên Windows 2003 Server đòi hỏi máy này phải được cung cấp địa chỉ IP tĩnh, sau đây là một số bước cơ bản nhất để cài đặt dịch vụ DNS trên Windows 2003 stand-alone Server

- Chọn Start | Control Panel | Add/Remove Programs

- Chọn Add or Remove Windows Components trong hộp thoại Windows components

- Từ hộp thoại ở bước 2 ta chọn Network Services sau đó chọn nút Details