Quản trị mạng doanh nghiệp vừa và nhỏ bằng WINDDOWS SERVER 2003

Kết quả củađiều này là nó có khả năng quản lý thống nhất các không gian tên miền khácnhau đang tồn tại trong các môi trường hỗn tạp của hệ thống mạng khác nhau.Active Directory sử dụng d

LỜI MỞ ĐẦU

Đồ án tốt nghiệp là nhiệm vụ quan trọng nhất của một sinh viên trướckhi ra trường Đây là một bài tập tổng hợp kiến thức tất cả các môn họcchuyên ngành sinh viên được học tập trong suốt những năm còn ngồi trên ghếnhà trường Đây là giai đoạn tập duyệt, học hỏi cũng như là cơ hội thể hiệnnhững gì mà một sinh viên đã được học tập, thu nhận được trong thời gianvừa qua

Có thể nói, ngày nay với sự phát triển của khoa học kỹ thuật cùng với

sự bùng nổ mạnh mẽ của công nghệ thông tin Các tổ chức, doanh nghiệp,công ty, tập đoàn được hình thành ngày càng nhiều Với sự hình thành đó thì

hệ thống trao đổi thông tin, lưu trữ thông tin trong các tổ chức cũng cần đượcphát triển và ngày càng phục vụ được nhu cầu và tiện ích cho con người.Trong khoa học máy tính thì lĩnh vực quan trọng nhất vẫn là lĩnh vực nốimạng Mạng máy tính là hai hay nhiều máy tính được kết nối với nhau theomột cách nào đó sao cho chúng có thể trao đổi thông tin qua lại với nhau,dung chung hoặc chia sẽ dữ liệu thông qua việc in ấn hay sao chép qua đĩamềm, CDroom…

Vì vậy hạ tầng mạng máy tính là phần không thể thiếu trong các tổchức hay các công ty Trong điều kiện kinh tế hiện nay hầu hết đa số các tổchức hay công ty có phạm vi sử dụng bị giới hạn bởi diện tích và mặt bằngđều triển khai xây dựng mạng LAN để phục vụ cho việc quản lý dữ liệu nội

bộ cơ quan mình được thuận lợi, đảm bảo tính an toàn dữ liệu cũng như tínhbảo mật dữ liệu mặt khác mạng LAN còn giúp các nhân viên trong tổ chứchay công ty truy nhập dữ liệu một cách thuận tiện với tốc độ cao Một điểmthuận lợi nữa là mạng LAN còn giúp cho người quản trị mạng phân quyền sửdụng tài nguyên cho từng đối tượng là người dùng một cách rõ ràng và thuận

tiện giúp cho những người có trách nhiệm lãnh đạo công ty dễ dàng quản lýnhân viên và điều hành công ty.

Với các kiến thức chúng em đã được học cùng với việc nhận thấy tầmquan trọng của mạng máy tính trong thời đai hôm nay Được sự đồng ý và sựhướng dẫn nhiệt tình của Thầy giáo ThS Vũ Chí Cường Chúng em đã chọn

đề tài là “ quản trị mạng doanh nghiệp nhỏ với Windows Server 2003”

CHƯƠNG ICÀI ĐẶT HĐH WINDOWS SERVER 2003

I GIỚI THIỆU VỀ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003

1.1 Các phiên bản của họ Hệ Điều Hành (HĐH) Windows Server 2003

- Windows Server 2003 Web Edition: tối ưu dành cho các máy chủ web

- Windows Server 2003 Standard Edition: bản chuẩn dành cho cácdoanh nghiệp, các tổ chức nhỏ đến vừa

- Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các

tổ chức, các doanh nghiệp vừa đến lớn

- Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổchức lớn, các tập đoàn ví dụ như IBM, DELL…

1.2 Những điểm mới của họ HĐH Windows Server 2003

- Khả năng kết nối chùm và cài nóng RAM

- Hỗ trợ cho HĐH Windows XP tốt hơn

- Tích hợp sẵn Mail Server (POP3)

- Có hai chế độ sử dụng giấy phép (license) là Per server licensing vàPer device or Per User licensing

- Hỗ trợ tốt hơn cấu hình đĩa đặc biệt: Với cấu trúc đĩa động(Dynamic) có các Volume như Volume Simple, Spanned, Striped(RAID- 0),Mirrored(RAID- 1) và RAID- 5

Các Volume này có tốc độ truy xuất và lưu dữ liệu nhanh, có khả năngchống lỗi cao Thay cho việc quản lý đĩa bằng Partiton ở đĩa cứng dạng Basic

1.3 Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise Edition

- Windows NT Server 4.0 với Services Pack 5 hoặc lớn hơn

- Windows NT Server 4.0, Terminal Server Edition, với Services Pack

II CÀI ĐẶT HĐH WINDOWS SERVER 2003

Có nhiều cách cài đặt Windows Server 2003 như:

CHƯƠNG ICÁC DỊCH VỤ MẠNG CỦA HỆ ĐIỀU HÀNH

WINDOWS SERVER 2003

I ACTIVE DIRECTORY

1.1 Giới Thiệu Về Active Directory

Active Directory (AD) là nơi lưu trữ các thông tin về tài nguyên khácnhau trên mạng Các tài nguyên được Active Directory lưu trữ và theo dõi baogồm File Server, Printer, Fax Service, Application, Data, User, Group và WebServer Thông tin nó lưu trữ được sử dụng và truy cập các tài nguyên trênmạng Sự khác nhau giữa Active Directory và Active Directory Service đó làcác hình thức lưu trữ và quản lý thông tin tài nguyên

Active Directory có khả năng:

- Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó

- Duy trì dữ liệu của nó trong một môi trường an toàn, vì chắc chắnrằng dữ liệu sẽ không được cung cấp cho các người không được quyền truycập đến nó

- Tự nó phân tán đến các máy tính trên mạng

- Tự nhân bản Đây là cơ chế bảo vệ Active Directory trong trường hợp

bị lỗi - Nó giúp người sử dụng ở xa tham chiếu đến một bản sao được nhânbản, được định vị ở một nơi không xa, thay vì phải tham chiếu đến bản saonguyên thuỷ

- Tự phân vùng thành nhiều phần lưu trữ Active Directory có thể đượcphân tán trên các máy khác nhau vì thế nó tăng thêm khả năng lưu trữ một sốlượng lớn các đối tượng có trên các mạng lớn

1.2 Các đối tượng trong Active Directory

Các tài nguyên trên mạng được ghi trong Active Directory được gọi làObject - đối tượng Một object được định nghĩa như là một tập riêng biệt củacác thuộc tính để mô tả về một tài nguyên trên mạng Các object có cácAttribute - thuộc tính Các thuộc tính là các đặc tính của các tài nguyên đượcghi trong Active Directory

dụ, một classes bao gồm : các Computer, các User, các Group và các Domain Thuộc tính và classes cũng được tham chiếu như là các Schema

Object hoặc Metadata Các thuộc tính có thể được định nghĩa một là nhưngđược sử dụng trong nhiều lớp Mỗi đối tượng trong Active Directory đượcđịnh nghĩa bởi một cái tên, Active Directory hỗ trợ các quy ước đặt tên Cácquy ước đặt tên khác nhau được sủ dụng bởi Active Directory là :

- Distinguished Name (DN)

- Globally unique Indentifier (GUID)

- Relative Distingished Name (RDN)

- User Principal Name (UPN)

1.3 Các kỹ thuật được hỗ trợ bởi Active Directory

Mục đích của Active Directory là cung cấp một điểm dịch vụ trênmạng Do đó nó được thiết kế đặc biệt để làm việc chặt chẽ với các thư mụckhác Nó cũng hỗ trợ một phạm vi lớn các kỹ thuật Active Directory tích hợpkhái niệm không gian tên miền trong Internet với Windows 2003 Kết quả củađiều này là nó có khả năng quản lý thống nhất các không gian tên miền khácnhau đang tồn tại trong các môi trường hỗn tạp của hệ thống mạng khác nhau.Active Directory sử dụng dịch vụ DNS cho giải pháp chuyển đổi tên của nó

có thể giao tiếp với bất kỳ một thư mục nào hỗ trợ LDAP (Light WeightDirectory Access Protocol) hoặc HTTP Active Directory cung cấp API đểgiao tiếp với các thư mục khác

Các giao thức khác nhau được hỗ trợ bởi Active Directory là:

- Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách

nhiệm cho việc gán địa chỉ IP động đến các Host trong mạng Điều này cónghĩa là một máy trên mạng luôn được gán địa chỉ IP nhưng địa chỉ này cóthể khác nhau ở các lần logon khác Active Directory hỗ trợ DHCP cho việcquản lý địa chỉ trên mạng Để nhận được nhiều thông tin hơn thì sử dụng RFC(Request For Comment) 2131

- Domain Naming Service (DNS): DNS được sử dụng cho giải pháp

đổi tên trong mạng Active Directory sử dụng dich vụ DNS như là tên domain

và dịch vụ định vị của nó

- Kerberos: là giao thức xác thực nó chịu trách nhiệm về vấn đề an

toàn trong windows 2003 Active Directory sử dụng nó để sác định thựcngười sử dụng của mạng khi họ yêu cầu được truy cập đến các tài nguyên

- LDAP: Schema Active Directory cấu hình từ các thuộc tính và lớp

- Simple Netword Time Protocol (SNTP): SNTP được sử dụng trong

việc đồng bộ về giờ của các máy trên mạng Active Directory sử dụng các gói

dữ liệu trên mạng Active Directory hỗ trợ TCP/IP trong việc truyền dữ liệutrên mạng

- X.509 v3 Certificates: Tương tự Kerberos, X.509 Certificate cũng

được sử dụng trong các mục đích xác thực Active Directory hỗ trợ X.509Certificates

1.4 Cấu Trúc Logic của ADS

Nhóm tài nguyên logic giúp tìm kiếm các tài nguyên dễ dàng hơn việctìm kiếm trong vị trí vật lý của nó Vì thế Active Directory cũng có cấu trúclogic để mô tả cấu trúc thư mục của các tổ chức Một điểm tiến bộ quan trọngkhác của nhóm các đối tượng logic Active Directory là sự cài đặt vật lý củamạng có thể được ẩn đối với người sử dụng

Các thành phần Logic của cấu trúc Active Directory là :

- Các Domain

- Các đơn vị tổ chức (OU)

- Các cây (Tree)

- Các Rừng (Rorest)

1.5 Cấu trúc vật lý của ADS

Cấu trúc logic của một Active Directory là được tách ra từ cấu trúc vật

lý của nó, và hoàn toàn tách biệt với cấu trúc vật lý Cấu trúc vật lý được sửdụng để tổ chức việc trao đổi trên mạng trong khi đó cấu trúc logic được sửdụng để tổ chức các tài nguyên có sẵn trên mạng Cấu trúc vật lý của mộtActive Directory bao gồm :

- Site

- Domain Controllers

- Global Catalog Server

Cấu trúc vật lý của một Active Directory mô tả nơi nào và khi nào thì

nhân bản thì trước hết phải hiểu về các thành phần của cấu trúc vật lý củaActive Directory.

1.6 Vai trò của domain

Các vai trò được gán cho domain controller là :

- Global Catalog Servers

- Operation Masters

Các vai trò này là rất quan trọng bởi vì nếu các domain controller vớicác vai trò đặc biệt là không sẵn sàng thì chức năng cụ thể của các vai trò này

sẽ không sẵn sàng cho domain

1.7 Cài đặt Active Directory

Việc cài đặt Active Directory được tạo đơn giản bằng cách cung cấpmột wizard

Khi Active Directory được cài đặt, một trong những cái sau đây đượctạo mới:

- Domain đầu tiên trong một rừng và domain controller đầu tiên

- Một domain con trong một cây và domain controller của nó

- Domain khác trong domain đã tồn tại

- Một cây mới trong một rừng đã tồn tại và domain controller của nó

Yêu cầu cài đặt Active Directory

Trước khi thực sự cài đặt dịch vụ Active Directory, chúng ta cần phảixem các yêu cầu trong quá trình cài đặt Dưới đây là danh sách các yêu cầucài đặt AD:

- Một máy tính được cài đặt Windows Server 2003 Standard Editionhoặc Windows Server 2003 Enterprise Edition hoặc Windows Server 2003Datacenter Edition

- Một partition hoặc một volume với định dạng NTFS

- Đĩa cứng trống 1GB trở lên

- Cài đặt TCP/IP và được thiết lập để sử dụng DNS Địa chỉ IP có thể là

ở lớp A, lớp B hay lớp C nhưng chú ý đặt phần Primary DNS là trùng với địachỉ IP

- DNS Server phải hỗ trợ việc cập nhật giao thức và các record tàinguyên

- Một user account gồm username và password đủ quyền được cài đặt ADSau đây là một số hình ảnh về các bước cài đặt Active Directory Để càiđặt AD, ở cửa sổ run chúng ta đánh lệnh dcpromo Xuất hiện cửa sổ cài đặtwizard.

Hình 1.3: next cài đặt AD

Chọn kiểu domain controller, ở đây chúng ta có hai lựa chọn:

- Lựa chọn thứ nhất là máy chủ miền domain controller của chúng

ta là máy chủ

đầu tiên và domain chúng ta lên là domain đầu tiên

- Lựa chọn thứ hai là chúng ta add vào máy chủ miền một domain

đã có sẵn

Hình 1.4: Chọn lựa lên máy chủ đầu tiên

Tiếp theo đến cửa sổ tạo mới domain, ở đây chúng ta có 3 lựa chọn:

- Thứ nhất là tạo domain trong một rừng mới

- Thứ hai là tạo một domain con trong domain tree hiện có

- Thứ ba là tạo một cây domain trong rừng hiện tại đã có Chúng ta chọn

mục đầu tiên vì ở đây máy chủ của chúng ta là máy chủ đầu tiên và domaincũng là domain đầu tiên Ấn next để tiếp tục.

Hình 1.4: Tạo domain trong một rừng mớiTiếp theo đến bước đánh tên DNS đầy đủ cho domain muốn tạo, têndomain có thể là tên của tổ chức, tên công ty hoặc cá nhân và phải tuân theoquy tắc đánh tên domain tức là không dài quá 255 kí tự và phải có ít nhất mộtdấu chấm (.) Ở đây em đặt tên là công ty TNHH Bình Minh Next đến bướctiếp theo

Hình 1.6: Gõ tên domain

Tiếp theo là bước đặt tên cho NetBIOS name, tên domain theo chuẩnNetBIOS để tương thích với các hệ điều hành Windows NT Mặc địnhwindows server 2003 lấy tên của domain chính là tên của NetBIOS name,

Chúng ta có thể thay đổi tên này nhưng chú ý khi máy trạm join vào máy chủthì phải join theo tên của NetBIOS name chứ không join theo tên miền nữa Ởđây em để theo mặc định Ấn next để tiếp tục.

Hình 1.6: Đặt tên cho NetBIOS name

Tiếp theo là đến bước lưu trữ database và logfile của Active Directorytrên đĩa cứng Đây sẽ là nơi lưu trữ toàn bộ cơ sở dữ liệu của hệ thống gồmtoàn bộ thông tin về tài nguyên hệ thống, user acconut… Ở chế độworkgroup khi chưa lên domain thì mọi thông tin người dùng được lưu trongfile SAM( Sercurity Account Management) nhưng khi đã lên domain thì mọithông tin đó được lưu trong thư mục NTDS và user account được lưu trongfile NTDS.dit Chúng ta có thể chọn nơi khác để lưu trữ thư mục NTDSnhưng theo khuyến cáo thì nên để mặc định của windows 2003

Tiếp theo đến bước chỉ định lưu thư mục SYSVOL, thư mục SYSVOLphải được \lưu trên phân vùng NTFS v 5.0 trở lên.

Hình 1.8: chỉ định lưu thư mục SYSVOL

Bước tiếp theo là kiểm tra hoặc cài đặt DNS DNS là dịch vụ phân giảitên kết hợp với AD để phân giải các tên máy tính trong miền hoặc phân giảicác miền khác từ bên ngoài Ở đây chúng ta có 3 lựa chọn:

- Thứ nhất là DNS đã có sẵn và có vấn đề hoặc bị lỗi, và lựa chọn mụcnày để hệ thống kiểm tra lại DNS

- Thứ hai là cài đặt và thiết lập DNS server trên máy tính, và đặt máytính này sử dụng DNS như là một DNS server

- Thứ ba là kết nối DNS có vấn đề và muốn thiết đặt DNS bằng tay(nâng cao)

Theo khuyến cáo của Microsoft chúng ta nên tích hợp việc cài đặt DNStrong khi cài đặt AD vì như thế thì mới tích hợp được hết các chức năng củaDNS và DNS không bị lỗi Ấn next để tiếp tục

Hình 1.9: thiết lập DNS server

Bước tiếp theo là mục lựa chọn quyền đăng nhập vào hệ thống Lựachọn thứ nhất là cho phép cả những hệ điều hành trước windows 2000 đăngnhập, lựa chọn thứ hai là chỉ cho phép những hệ điều hành sau windows 2000đăng nhập vào hệ thống Ở đây em dùng hệ điều hành cho máy trạm làWindows XP nên em chọn phần thứ hai Ấn next để tiếp tục

Hình 1.10: lựa chọn quyền đăng nhập

Tiếp theo là mục đặt password cho tài khoản Administrator để phục vụcho việc backup AD hoặc dùng để khởi động Active Directory ở chế độDirectory Services Sestore Mode Chúng ta đặt password cho tài khoản và ấnnext để tiếp tục

Hình 1.11: đặt password cho tài khoản Administrator

Tiếp theo là quá trình tổng hợp các thông tin mà chúng ta đã cung cấp

về AD Ấn next để hệ thống bắt đầu quá trình lên domain

Hình 1.12: tổng hợp các thông tinQuá trình hệ thống bắt đâu lên domain

Ấn finish để kết thúc quá trình lên domain Sau khi ấn finish hệ thốngyêu cầu khởi động lại Chúng ta ấn restart now khởi động lại hệ thống để hoànthành việc lên AD.

Hinh 1.14: kết thúc quá trình lên domain

Sau khi hệ thống khởi động lại xong nghĩa là Active Directory đã được

cài đặt, Active Directory có 3 thành phần chính đó là: Active Directory Domain and Trust, Active Directory Sites and Services và Active Directory Users and Computers

- Active Directory Domain and Trust: Dùng để tin cậy các domain

hay Domain controller trong một rừng có nhiều domain khác

- Active Directory Sites and Services: Cho phép kết nối tin cậy tốc độ

cao giữa các

Domain Controller để tối ưu việc nhân bản các dịch vụ được truyền tảitrên mạng

Hình 1.16: Active Directory Sites and Services

- Active Directory Users and Computers: Chứa các thông tin và

thành phần về Users, Groups, OU (Orgazinational Unit), các Computer vàDomain Controlle

Hình 1.17: Active Directory Users and Computers

các account có quyền quản trị hệ thống, thay đổi toàn cấu trúc hệ thốngdomain, gia nhập hoặc tin cậy một domain khác trong một rừng Nhữngaccount này người dùng không thể tạo hoặc xoá được kể cả tài khoảnAdministrator.

- Computer: đây là nơi lưu trữ tất cả các computer trong mạng đã join

vào domain

- Domain controllers: đây là nơi lưu trữ tên những máy chủ miền, nếu

hệ thống có hơn một máy chủ miền thì sẽ có các tên máy chủ đó ở mục này

- Foreign Sercurity Principals: Những nhánh bảo mật bên ngoài

- Users: là nơi chứa toàn bộ user gồm những user của hệ thống tạo ra và

những user do những người dùng tạo ra Các user hệ thống ở đây có tác dụngthay đổi những thiết đặt của máy chủ Domain controller và domain nằm trênmáy chủ miền đó

II HỆ THỐNG TÊN MIỀN (DOMAIN NAME SYSTEM - DNS)

2.1 Giới thiệu về DNS

DNS là một cơ sở dữ liệu (CSDL) phân tán được dùng để dịch tên máytính (host name) thành địa chỉ IP trong các mạng TCP/IP Để cung cấp mộtcấu trúc phân cấp cho cơ sở dữ liệu DNS người ta cung cấp một lược đồ đánhtên được gọi là không gian tên miền

Miền gốc (root domain) là mức định của cấu trúc tên miền được kýhiệu một dấu chấm (.) Miền mức định được đặt dưới miền gốc và chúng

được đại diện cho kiểu của tổ chức, chẳng hạn com hay edu hay org hoặc nó

có thể là một định danh địa lý như vn (Việt nam) Các miền mức thứ 2 được

đăng ký cho tên các tổ chức khác hay các người sử dụng đơn lẻ Chúng có thểchứa cả hai: các máy tính/tài nguyên (host) và các miền con (subdomains)

2.2 Vùng

Không gian tên miền có thể được chia thành nhiều phân đoạn nhỏ Điềunày giúp chúng phân tán các tác vụ quản trị không gian tên miền cho cácnhóm khác nhau Những phân đoạn này được gọi là các Vùng (zone) Cácnhóm khác nhau có thể quản trị mỗi vùng riêng biệt Vùng phải chứa khônggian miền kề nhau

2.3 Máy chủ Tên

Mọi vùng miền đều giữ một tập tin cơ sở dữ liệu của chính nó Máy chủtên DNS là các máy chủ lưu những tập tin cơ sở dữ liệu này Một máy chủ tên

có thể lưu một tập tin cơ sở dữ liệu của vùng một vùng đơn hoặc vùng phức

2.4 Giải pháp đổi tên (Name Resolution)

Tiến trình dịch tên máy thành địa chỉ IP tương ứng được gọi là DịchTên.Ví dụ khi chúng ta truy cập vào website www.microsoft.com Địa chỉwebsite này sẽ được DNS dịch và cung cấp địa chỉ IP tương ứng để định vịmáy tính trên mạng Máy chủ tên trong vùng có trách nhiệm dịch tên này bởi

vì nó lưu trữ ánh xa tên - địa chỉ IP Một máy chủ tên chỉ có thể xử lý truy vấndịch tên cho vùng mà nó được cấp quyền trên đó Máy chủ tên lưu lại kết quảcủa việc dịch tên để giảm tải trên máy chủ DNS Các máy chủ tên có thể thựchiện truy vấn tìm kiếm chuyển tiếp hoặc truy vấn tìm kiếm đảo

- Truy vấn Tìm Kiếm Chuyển Tiếp (Forward Lookup Query): Một

truy vấn tìm kiếm chuyển tiếp dịch một tên để có được địa chỉ IP liên quan

 Máy khách gửi một yêu cầu đến địa chỉ www.microsoft.com đếnmáy chủ tên địa phương

 Máy chủ tên địa phương đầu tiên sẽ kiểm tra trong tập tin cơ sở dữliệu vùng mà nó đang giữ

 Nếu không tìm thấy ánh xạ tên - địa chỉ IP theo yêu cầu nó sẽ chuyểntruy vấn đó đến một máy chủ tên gốc

 Máy chủ tên gốc kiểm tra ánh xạ đó trong tập tin cơ sở dữ liệu vùng

và gửi một tham chiếu máy chủ tên Com.

 Sau đó máy trình tên truy vấn máy chủ tên Com để dịch tên

 Máy chủ tên Com trả về một tham chiếu máy chủ tên Microsoft.

 Sau đó Máy chủ tên cục bộ sẽ chuyển truy vấn đến máy chủ tênMicrosoft và nó trả về địa chỉ IP của www.microsoft.com

 Máy chủ tên cục bộ sau đó sẽ chuyển địa chỉ IP này cho máy khách

để dùng nó truy cập đến www.microsoft.com

- Truy vấn Tìm Kiếm Đảo (Reverse Lookup Query): Tiến trình này

dịch một địa chỉ IP thành tên tương ứng

2.5 DNS Động (Dynamic DNS)

Trước đây, việc bổ sung, xoá và thay đổi cơ sở dữ liệu vùng được thựchiện thủ công Nhưng với sự ra đời của giao thức cập nhật DNS động nhưngviệc này đều được thực hiện tự động Giao thức này được dùng với DHCP.Dịch vụ DHCP là dịch vụ cấp địa chỉ IP cho máy khách tự động vì vậy giảmtác vụ quản trị cấp địa chỉ IP đến các máy cá nhân đơn lẻ Ngay khi máykhách nhận được một địa chỉ IP nó sẽ cập nhật bản ghi tài nguyên (host)A.Tại thời điểm đó dịch vụ DHCP cập nhật bản ghi PTR

tool\DNS hoặc ở cửa sổ run đánh lệnh dnsmgmt.msc Khi đó cửa sổ chính DNS hiện ra, ở cửa sổ này có 3 mục chính như sau: Forword lookup zones, Reserve lookup zones và Event Viewer.

Hình 2.1: DNS

- Forward lookup zones: Vùng tìm kiếm thuận, trong vùng này chứa

miền chính của domain, trong vùng chính này chứa các bản ghi host(A) gồmtên máy và địa chỉ IP của máy chủ DC và các máy trạm đã join vào domain

Vùng này các thiệt lập mặc định đã có sẵn khi chúng ta tích hợp DNS trongquá trình lên domain.

Hình 2.2: Forward lookup zones

- Reverse lookup zones: Vùng tìm kiếm đảo, vùng này chứa các bản

ghi Pointer(PRT) của các NetworkID do người quản trị thiết đặt Để DNSphân giải được từ địa chỉ IP ra tên máy ta phải cấu hình Reserve lookupzones

Hình 2.3: Reverse lookup zones

Chuột phải vào Reserver lookup zones chọn New zones, hiện ra của

sổ wizard ấn Next, đến cửa sổ tiếp theo có 3 lựa chọn:

 Primarty zone: Tạo một zones chính

cho một zone primary đã có sẵn trong DNS

 Sub zone: Tạo một zone con trong một zone đã sẵn

 Đánh dấu tích vào mục Store the zone in Active Directory để lưu trữnhững zone vào cơ sở dữ liệu của Active Directory

Ở đây em chọn primary zone vì đây là máy chủ DNS đầu tiên và cũng

là vùng truy vấn đảo đầu tiên Next đến bước tiếp theo

Hình 2.4: primary zone

Ở bước này cũng có 3 mục chọn, em chọn mục thứ 3 để lưu toàn bộ dữliệu về zone này trên Active Directory của Domain controller Next để đếnbước tiếp theo

Hình 2.5: lưu toàn bộ dữ liệu về zone

Bước này là đặt Network ID cho truy vấn đảo, chỉ lớp NetID nào đượcđặt ở đây thì mới có thể truy vấn đảo và thông thường thì NetID này trùng vớiNetID của truy vấn thuận và trùng với NetID Interface của máy chủ miền Ở

đây máy chủ có địa chỉ IP ở lớp A nên NetID của zone em cũng đặt là lớp A.Next để đến bước tiếp theo.

Hình 2.6: đặt Network ID

Đây là bước tuỳ chọn cập nhật tự động của DNS với các vùng, em lựachọn mục thứ nhất để chỉ cập nhật tự động an toàn Next rồi ấn finish để kếtthúc quá trình cấu hình Reserve lookup zones

Hình 2.7: cập nhật tự động an toàn DNS

các cảnh báo của hệ thống với người dùng về DNS và các lỗi của DNS.

Hình 2.10: kiểm tra DNS

III DỊCH VỤ DHCP (Dynamic Host Configuration Protocol)

3.1 Giới thiệu về dịch vụ DHCP

Quy mô mạng, việc quản lý và gán địa chỉ IP cho máy khách sẽ tiêu tốnnhiều công sức và thời gian DHCP tự động gán địa chỉ IP và sẽ đảm bảo việcquản lý các địa chỉ IP này DHCP sử dụng một tiến trình tạo địa chỉ cho mướn

để gán địa chỉ IP cho các máy tính khách chỉ trong một khoảng thời gian xácđịnh Do DHCP là một tiến trình cungcấp IP động nên các máy khách sẽ cậpnhật hoặc làm mới các địa xin cấp của chúng tại các khoảng thời gian đềuđặn TCP/IP có thể được cấu hình tự động hoặc thủ công Việc cấu hình tựđộng TCP/IP được thực hiện bằng cách sử dụng DHCP

3.2 Quá trình cấp phát động của dịch vụ DHCP

Khi máy khách DHCP thực hiện, nó sẽ gửi yêu cầu xin cấp địa chỉ IPđến máy chủ DHCP Máy chủ nhận yêu cầu này sẽ chọn một địa chỉ IP từkhoảng địa chỉ đã được định nghĩa trước trong cơ sở dữ liệu địa chỉ IP để cấpphát Nếu máy khách chấp nhận địa chỉ mà máy chủ cung cấp thì máy chủ sẽcung cấp cho máy khách địa chỉ IP đó chỉ trong một khoảng thời gian giới hạn(tối đa là 8 ngày) Thông tin này có thể bao gồm một địa chỉ, một mặt nạmạng con (subnet mask), địa chỉ IP của các máy chủ DNS, được cổng nối(gateway) mặc định và một địa IP của máy chủ WINS Tiến trình cấp địa chỉ

IP của DHCP được thực hiện theo tiến trình 4 bước: yêu cầu xin cấp IP, chấp

nhận cấp IP, chọnlựa cung cấp IP và việc cung cấp IP3 Tiến trình thay mới (Lease Renewal Process) Máy khách DHCP sẽ cố để thay mới IP đã được

tiếp tục do đó nó có thể được thông tin cấu hình được cập nhật Có hai kiểutiến trình thay mới, chúng là: Thay mới tự động và Thay mới thủ công

3.3 Phạm vi cấp phát

Khoảng địa chỉ IP có thể được cấp phát hoặc được gán cho các máy tínhkhách trên một mạng con được gọi là phạm vi(scope) Để xác định đượcnhóm địa chỉ IP được dùng để gán cho các DHCP khách, chúng ta có thể cấuhình pham vi đó trên máy chủ DHCP

3.4 Cài đặt và cấu hình dịch vụ DHCP

3.4.1 Yêu cầu cài đặt

- Yêu cầu cài đặt cho DHCP server

Theo mặc định, hệ điều hành Windows 2003 server có chứa các dịch vụDHCP, do đó bất kỳ máy tính nào chạy trên hệ điều hành windows 2003server có thể hoạt động như một DHCP chủ Các máy tính hoạt động nhưDHCP chủ yêu cầu có:

 Dịch vụ DHCP phải được cài đặt

 Một mặt nạ mạng con, một địa chỉ IP tĩnh, một cổng kết nối mặcđịnh và các tham số TCP/IP khác

 Các địa chỉ IP có thể được cấp hoặc gán cho các máy khách

- Yêu cầu cho DHCP máy khách

Các máy khách nên sử dụng các địa chỉ IP được cấp tự động từ cácDHCP chủ

Các máy tính cài các hệ điều hành sau mới có thể hoạt động như DHCPkhách:

 Windows XP Professional

 Windows 2000 server hoặc Professional

 Windows NT Server 3.5 hoặc lớn hơn

 Windows 95 hoặc windows 98

 Windows for Workgroup phiên bản 3.11 có TCP/IP- 32

 Microsoft MS- DOS có Microsoft Network Client 3.0

 LAN Manager phiên bản 2.2c

 Một số hệ điều hành khác không phải của Microsoft

3.4.2 Cài đặt dịch vụ DHCP

Để cài đặt dịch vụ DHCP trên máy chủ ta làm theo các bước sau:

Start\Setting\Control pannel\Add and remove program\Add and remove windows components\Networking services\ click vào nút detail và đánh dấu chọn vào mục chọn Dynamic Host Configuration Protocol

(DHCP) rồi ấn OK

Hình 3.1: tích dấu cài đặt DHCP

Sau khi DHCP đã cài đặt xong, từ cửa sổ run chúng ta đánh lệnhdhcpmgmt.msc hoặc tìm đến đường dẫn: Start\Program\Administratortool\DHCP để mở chương trình DHCP lên

3.4.3 Cấu hình dịch vụ DHCP

Chúng ta sẽ tạo một phạm vi(scope) dùng để cấp phát cho các máykhách trong mạng Chuột phải vào tên máy chủ DHCP chọn New scope, next

sẽ hiện ra cửa sổ cấu hình wizard, chúng ta có các lựa chọn như sau:

Hình 3.2: gõ tên tạo phạm vi mới

Name: Tên của phạm vi(scope)

Description: Mô tả tuỳ ý về phạm vi đang tạo Next

Hình 3.3: đánh giải địa chỉ cho phép

Start IP address: Địa chỉ IP bắt đầu của khoảng địa chỉ IP mà DHCP

có thể gán

End IP address: Địa chỉ IP kết thúc của khoảng địa chỉ IP mà DHCP

có thể gán

Length or Subnetmask: Mặt nạ mạng con dùng để gán cho các DHCP

khách Mặt nạ mạng con có thể được cho dưới dạng độ dài bit hoặc mặt nạmạng con thực sự Next

Exclusion address range: Chỉ định khoảng địa chỉ mà chúng ta muốn

loại bỏ khỏi phạm vi đã tạo Những địa chỉ IP này sẽ không được gán cho cácDHCP khách

Hình 3.4: đánh giải địa chỉ không cho phép

Lease Duration: Chỉ định thời gian dành cho mỗi địa chỉ IP sẽ được

cấp cho máy khách Next

Nhập vào địa chỉ của router hiện tại, đây chính là địa chỉ defaullgateway của router

Lựa chọn tiếp theo là đánh tên đầy đủ của domain, tên DNS server, địachỉ DNS server và các địa chỉ DNS khác mà máy tính có thể gửi truy vấn(thường là DNS của ISP)

Hình 3.8: đánh các thông số của domain

Ấn next và ấn finish để kết thúc quá trình tạo scope và cấu hình DHCP.Sau khi tạo Scope và cấu hình scope đó ta được các thông tin trong scope đónhư hình dưới đây

Hình 3.9: các thông tin trong scopeSau khi tạo phạm vi DHCP, chúng ta có thể cấu hình tuỳ chọn DHCP

để có thể áp dụng cho các máy khách hoặc nhóm các máy khách Các tuỳchọn phạm vi có thể được cấu hình tại bốn mức sau: Máy chủ, Phạm vi, Lớp

và các máy khách dành riêng

- Mức máy con dành riêng: Chỉ có một số máy khách xác định mới

được cấu hình sử dụng tuỳ chọn này Các tuỳ chọn được thiết lập ở mức này

có độ ưu tiên hơn bất cứ các tuỳ chon ở mức nào Ví vụ chúng ta muốn máycủa Phòng Giám Đốc mỗi khi khởi động lên chỉ nhận được một địa chỉ IP duynhất và địa chỉ IP không thay đổi ở các lần khởi động lần sau Để thay đổi cáctuỳ chọn này thì phạm vi chứa địa chỉ máy con này nên được mở rộng Chuộtphải vào mục Reservation chọn New Reservation

 Mục Name đánh tên máy muốn cấp riêng IP

 Ip address: đánh địa chỉ IP chỉ cấp cho máy đó

 MAC address: địa chỉ MAC của máy đó, để cấp chính xác cho máy

đó một địa chỉ xác định thì DHCP phải dựa vào địa chỉ MAC để cấp Khinhận được một địa chỉ MAC đã khai báo trong đây thì dịch vụ DHCP sẽ cấpcho địa chỉ MAC đó một địa chỉ IP đã được đặt trước Do đó chúng ta phảicung cấp đúng địa chỉ MAC của máy muốn cấp IP riêng

3.4.4 Chứng thực DHCP

Sau khi hoàn tất việc cài đạt và cấu hình dịch vụ DHCP trên máy chủthì việc quan trọng tiếp theo là chúng ta phải cấp quyền cho máy chủ haychứng thực cho máy chủ DHCP đó Việc chứng thực là một tiến trình cungcấp sự an toàn chống lại các máy chủ DHCP chưa được chứng thực trongmạng Để chứng thực DHCP chúng ta chọn miền từ DHCP snap- in và chọnmục Authorize từ trình đơn Action

Hình 3.11: chứng thực cho máy chủ DHCP

IV CÁC LOẠI USER ACCOUNT TRONG WINDOWS 2003

41 Giới thiệu các loại user account

Người sử dụng cần truy cập các tài nguyên khác nhau trên máy tính bất

kì trong mạng User acconut được tạo ra để xác nhận người sử dụng và cấpcho họ các thao tác với các tài nguyên trên mạng mà họ có quyền Một useraccount chứa các user name và password cho phép user có thể đăng nhập vàomột domain hay hay một máy tính từ xa bất kì nào Bất cứ người sử dụngmạng thông thường nào nên có một user account Windows 2003 server hỗ

trợ ba loại user account: Local User Account, Domain User Account và Built- in User Account.

4.1.1 Local User Account (User Account cục bộ)

Với một user account cục bộ, người dùng chỉ có thể đăng nhập vào máyxác định, nơi mà user account đó được tạo ra User chỉ có thể truy cập đượcnhững tài nguyên có trên máy tính đó Một local user account được tạo ratrong từng cơ sở dữ liệu bảo mật của từng máy cục bộ

4.1.2 Domain User Account (User account trong domain)

Với Domain user account, người sử dụng có thể đăng nhập vào mộtdomain và có thể truy cập nhiều tài nguyên có mặt tại bất kì nơi nào trênmạng Một thẻ truy cậo được tạo ra mà xác nhận người dùng sử dụng và cácthiết lập bảo mật của user này khi người sử dụng cung cấp thông tin đăngnhập(username và password) Thẻ truy cập được cung cấp bởi windows 2003server sẽ tồn tại lần cuối cùng cho đến khi người sử dụng đăng nhập(logon)

và mất đi khi người sử dụng huỷ đăng nhập(log- off) User account trongtrường hợp này sẽ được lưu trong cơ sở dữ liệu của Active Directory Useraccount này sẽ được nhân bản đến các Domain controller khác trong domainbởi user account được tạo ra trên domain controller Sự nhân bản này sẽ mấtmột chút thời gian, vì thế sẽ không thể xử lý ngay lập tức các tài nguyên trênmạng thông qua các user account mới tạo và thời gian nhân bản thông thườngcủa một Active Directory trong một site thường là 5 phút

4.1.3 Built- in User Account(User Account tạo sẵn)

Built- in Account được tạo tự động bởi windows server 2003 và được

những thao tác mạng trên một cơ sở dữ liệu tạm thời(temporary basic) Có

hai loại Built- in User account là: Administrator account và Guest account.

Hai loại account này không thể xoá

4.2 Các quy tắc và yêu cầu khi tạo User Account mới

Trong khi tạo các user account chúng ta nên cẩn thận lập kế hoạch và tổchức tất cả các thông in về user trước khi bắt tay vào thực hiện Để đạt đượcnhững điều này chúng ta nên tự làm quen với các quy ước và chỉ dẫn Theonhững quy ước và chỉ dẫn này giúp chúng ta dễ dàng hơn trong việc quản lýcác user account sau khi tạo chúng Kế hoạch được thực hiện với sự trợ giúp

của ba nguyên tắc cơ bản quan trọng sau: Naming Conventions (Quy tắc đặt tên), Password Guidelines (Chỉ dẫn mât khẩu) và Account Option (tuỳ

chọn account)

4.3 Tạo các Local user Account

Một user account cục bộ là một account mà user có thể đăng nhập vào

và xử lý các tài nguyên được hỗ trợ bởi máy tính đơn đó Chúng ta có thể tạo

ra một user accountcục bộ bằng cách dùng console Computer Management.Một User account cục bộ chỉ được dùng trong trường hợp môi trường mạngnhỏ, ví dụ nó có thể là một workgroup đơn giản hay một máy tính stand-alone không được cấu hình trong mạng Tránh tạo ra các user cục bộ trên cácmáy tính trong domain vì domain nên được thừa nhận user cục bộ

Điều này giới hạn các user nhận bất cứ tài nguyên nào trên domain,nhưng tài nguyên trên máy tính cục bộ thì truy cập được Các user accountcục bộ có ít số lượng các thuộc tính hơn các domain user account

4.4 Tạo các Domain User Account

Domain User Account có thể được sử dụng để đăng nhập vào domain

và vì thế nhận được các xử lý đến các tài nguyên được lưu trữ ở bất kì nơi đâutrong mạng Một domain user account được tạo với sự trợ giúp của DomainController Administration Tools lưu trữ trong domain controller, được cungcấp trong windows server 2003 giúp chúng ta tạo ra và quản trị domain useraccount Quản lý từ xa của domain và user account cũng được cung cấp bằngcài đặt Windows XP Professional Administration Tools trên máy tính chạyWindows XP Professional Chúng ta nên dùng Active Directory Users and

Computers để tạo các domain user account Chúng ta có thể dùng các thiết đặtcho password để tạo ra một home folder và vị trí trung tâm lưu trữ dữ liệu.

Hình

4.1: tạo new user

4.4.1 Các tuỳ chọn khi khởi tạo Domain User Account

Một domain user account được tạo ra trong một domain controller mà

từ đó nó được tự động copy tất cả đến các domain controller khác trong mạng.Chúng ta nên tạo account trong mục user mặc định hoặc trong một số folderkhác nơi mà các domain user account khác tồn tại:

Hình 4.2: tạo user account

- First Name: Tên của User

- Initials: Phần tử tuỳ chọn sẽ cho chữ đầu tiên của user

- Last name: Họ của User

- User logon name(pre- windows 2000): Logon name duy nhất của user

để đăng nhập từ phiên bản trước windows 2000 của Microsoft Cái này làduy nhất trong domain và là phần tử bắt buộc

4.4.2 Các thiết lập cho password

Chúng ta có thể thêm một password khi đang thêm một user accountmới trong domain Dưới đây là các tuỳ chọn cho password được gánpassword khi đang tạo một user mới

Hình 4.3: gán

password

- Password: Đây là password được dùng trong khi xác nhận user và

được hiển thị dưới dạng cac dấu hoa thị

- Confirm password: Xác định lại mật khẩu đã nhập ở trên

- User Must Change password at next logon: Để cho phép user thay

đổi password trong lần đăng nhập lần đầu tiên

- User cannot change password: User không thể thay đổi password.

Tuỳ chọn này được chọn đối với nơi có nhiều hơn một user sử dụng cùng useraccount hoặc khi administrator muốn điều khiển password

- Password never expires: Chọn tuỳ chọn này nếu password không

bao giờ thay đổi Tuỳ chọn này sẽ ghi đè thiết lập User must change password

at next logon

Vì thế nếu cả hai tuỳ chọn này được chọn thì windows 2003 sẽ tựđộng chỉ chọn tuỳ chọn password never expires

- Account Dissable: Với tuỳ chọn này chúng ta có thể dừng sử dụng

của user account này

4.4.3 Thay đổi thuộc tính của User account

Tất cả các account đều có một tập các thuộc tính Các domain useraccountđương nhiên là có nhiều thuộc tính hơn các local user account Cácthuộc tính của local user account là tập con của các thuộc tính trong domainuser account Các thuộc tính được sử dụng để tìm kiếm bất kì user nào trongActive Directory Mỗi domain nên được cấu hình với những thuộc tính bắtbuộc sau đây:

- Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại(telephones), tổ chức (organizational)

- Thuộc tính giờ Logon (Logon hours)

- Thuộc tính Logon to

- Các thuộc tính Account

Để chỉnh sửa các thuộc tính của một domain user account, mở ActiveDirectory Users and Computer Nhấp đúp chuột lên đối tượng mà user màchúng ta muốn thay đổi thuộc tính của nó Các thuộc tính đó bao gồm: Dial-in,General,Member Of và Profile

V USER PROFILE, HOME FOLDER VÀ DISK QUOTA

5.1 User Profile

Việc quản trị mạng user account bao hàm cả việc chỉnh sửa account, càiđặt user profile các home directory Một user profile cho một user được tạo rangay khi người đó đăng nhập vào một máy tính lần đầu Trong thư mụcDocumemts and Settings tất cả các thông tin có liên quan về thiết lập củangười sử dụng đã xác định được lưu một cách tự động User profile được tựđộng cập nhật mỗi khi user log off Administrator có thể chỉ thay đổi các

mandatory user profiles (các hồ sơ user có tính bắt buộc) User profile thực hiện theo những cách sau đây:

được các thiết đặt cá nhân của chúng ta mà một số user nào cũng được chia sẻmáy client đó không thích.

- Profile cục bộ Default User sẽ copy đến thư mục %Systemdriver

%\Documents andsettings mỗi khi chúng ta đăng nhập vào lần đầu.

- Nhiều file và thư mục được lưu trong thư mục user profile vàwindows 2003 tạo ra một thư mục My Documents trên desktop để dễ định vịcác tài liệu cá nhân

- Có thể thay đổi user profile bằng cách thay đổi các thiết lập desktop

5.1.1 User Profile mặc định

Một Default User Profile là một profile cơ bản, được sử dụng để xâydựng các profile cho user xác định Một bản copy của Default user profileđược sử dụng bởi bất cứ user nào khác khi đăng nhập vào từng máy chạyWindows server 2003 hay Windows XP

5.1.2 User profile cục bộ

Profile này được tạo ra lần đầu khi user đăng nhập vào máy tính và luônđược lưutrong một máy tính cục bộ Bất cứ thay đổi nào được tạo ra vớiprofile này đều xác định máy tính đơn đó và nó có thể có nhiều user profilecục bộ trên cùng một máy tính

51.3 Roaming User Profile (User Profile không cố định)

Các Roaming User Profile (RUP) có thể được tạo ra cho các user thaotác trên nhiều máy tính RUP được thiết lập ở máy chủ của mạng nên user cóthể kết nối từ bất cứnơi nào trong domain Vì vậy khi user đăng nhập vàomạng, windows 2003 sẽ copy tất cả các thông tin có liên quan về user profile

từ mạng và copy các thiết lập cá nhân về desktop hay kết nối cho dù người đókết nối từ bất cứ nơi đâu Khi copy những file windows 2003 sẽ chỉ copynhững file có thay đổi từ lần thay đổi cuối cùng, vì thế làm cho quá trình đăngnhập ngắn lại Khi log off những thay đổi trong user profile được copy trở lạiRUP của server

5.1.4 Tạo Roaming Profile

Một RUP được lưu trên server nên để việc truy cập có thể xảy ra khiuser đăng nhập bất kỳ nơi nào trong mạng Để thiết lập RUP được thực hiệnnhưng bước sau đây:

- Cung cấp quyền điều khiển toàn phần (Full Control Permission) chomột thư mục được tạo trên server.

- Thư mục được chia sẻ nên được cung cấp đường dẫn Trong vùng chitiết của Active Directory Users and Computers nhấn phải chuột lên useraccount nơi mà chúng ta muốn tạo roaming profile Nhấn Properties

- Trong snap- in User Profile, nhấn tab Profile và gõ thông tin về đườngdẫn, nơi sẽ xác định như thư mục được chia sẻ trong hộp Profile Path Thôngtin đường dẫn có thể như sau: \\server_name\share_folder_name\user_name

Hình 5.1: thiết lập trên user profile

Chỉ Administrator mới có thể thay đổi RUP Phần thông tin của registryứng dụng đến user account, được lưu trữ trong file Ntuser.dat

Khi đăng nhập bằng tài khoản profile Ta kiểm tra bằng cách nhấpchuột phải vào my computer/properties Chọn thẻ Advanced, vào settings.Thấy xuất hiện Roaming

Hình 5.2: trên user profile

5.1.5 Mandatory User Profile

Chúng ta có thể tuỳ biến RUP và đưa nó cho nhiều user để tất cả cácuser sẽ có cùng các thiết lập và kết nối Nên tạo ra một mẫu User Profile chứatất cả các thiết lập về Desktop Sau khi tạo ra mẫu này chúng ta nên đăngnhập với tư cách Administrator và copy mẫu vào thư mục RUP ở trên server.Thư mục này phải có thể được xử lý đối với tất cả user và nên được gán chonhóm user tạo sẵn trên domain Sử dụng snap- in Active Directory Users andComputer chúng ta hoàn toàn có thể xử lý Vì các thay đổi có tác dụng đối vớitất cả user được gán đến thư mục đó nên Profile Manadatory này nên là read-

only (chỉ đọc) bằng cách thay đổi phần mở rộng của file Ntuser từ dat chuyển sang man Loại profile này được gọi là Mandatory User Profile.

Hình

đổi DAT sang MANAdministrator tạo ra các Mandatory User Profile và chỉ định các thayđổi cho User Các thuộc tính có thể là local (cục bộ) hay Roaming (không cố