Quản trị mạng doanh nghiệp

Vì vậy mà không cần phảinhớ tất cả đờng dẫn và địa chỉ nơi tài nguyên đang đợc định vị, mỗi thiết bị và tàinguyên trên mạng sẽ đợc ánh xạ đến một tên có khả năng nhận diện đầy đủ về nó.N

TR¦êNG §¹I HäC VINH KHOA C¤NG NGHÖ TH¤NG TIN

tài tốt nghiệp này.

Do nhiều yếu tố khách quan và do tầm hiểu biết cha sâu sắc, đề tài tốtnghiệp của em chắc chắn còn có những sai sót, hạn chế Em mong đợc sự góp ýchân thành của quý thầy cô, bạn bè để qua đồ án tốt nghiệp này em rút ra đợcnhững kinh nghiệm trong thực tế và đặc biệt cho con đờng lập nghiệp sau này

Em xin chân thành cảm ơn

SinhViên thực hiện

Phan Thị Hơng

Chơng i lời mở đầu

Công nghệ thông tin là ngành ứng dụng công nghệ quản lý và xử lý thông tin.

Tốc độ phát triển nh vũ bão của công nghệ làm cho việc luân chuyển thông tin trởnên cực kỳ nhanh chóng và vai trò của công nghệ thông tin ngày càng trở nên quantrọng Phạm vi ứng dụng của nó ngày càng đợc mở rộng trên nhiều lĩnh vực nh:truyền thông, đo lờng và tự động hóa, y tế giáo dục, quản lý các hoạt động xã hội

và con ngời Những khả năng mới mẻ và u việt này của công nghệ thông tin đãnhanh chóng làm thay đổi cách sống, cách làm việc, cách học tập

Trong thời đại ngày nay, mạng máy tính là một trong những công nghệ pháttriển hàng đầu Nhu cầu về thông tin, xử lý thông tin và trao đổi thông tin ngày

càng trở nên cấp thiết Sự kết hợp của máy tính với hệ thống truyền thông và đặcbiệt là viễn thông đã tạo ra chuyển biến trong vấn đề tổ chức, khai thác và sử dụngcác hệ thống máy tính Các cơ quan, văn phòng, trung tâm thơng mại dịch vụ côngnghệ cao cũng đã và đang xây dựng hệ thống máy tính để phục vụ, chỉ đạo, điềuhành công việc và đã bớc đầu mang lại những kết quả khả quan Với ngời kỹ scũng nh những nhà chuyên môn về mạng, yêu cầu không những chỉ có thể sử dụngthành thạo mà cần hiểu rõ cấu trúc, cách thức hoạt động để vận hành và sử dụngmạng có hiệu quả.

Cùng với sự phát triển không ngừng của công nghệ, có mức độ ứng dụng ngàycàng nhiều và quan trọng đối với các doanh nghiệp, với các tổ chức, cá nhân Việc

đảm bảo cho hệ thống mạng vận hành một cách ổn định và hiệu quả là tơng đốikhó khăn, cần đầu t nhiều thời gian và sử dụng con ngời một cách hợp lý

Xây dựng và quản lý dich vụ trong windows server 2003 là một trong nhữngyêu cầu quan trọng giúp cho các hệ thống vận hành nhanh, thông suốt, các nhàcung cấp dịch vụ dễ dàng quản lý hệ thống Thông tin của ngời sử dụng đợc lu trữtrên máy chủ, ngời quản trị áp dụng quyền hạn cho từng đối tợng giúp cho thôngtin bảo mật hơn

Các dịch vụ trên hệ điều hành Windows server 2003 đã giúp cho các chuyên gia

hệ thống xây dụng nên một hệ thống an toàn và bảo mật với nhiều ứng dụng

Chính vì những lý do quan trọng đó nên em đã chọn đề tài : Quản lý hệ thống

mạng Doanh Nghiệp để làm đồ án tốt nghiệp.

Những vấn đề em đã làm đợc trong đề tài của mình đó là:

• Tìm hiểu và cài đặt HĐH windows 2003 server

• Hiểu đợc chức năng, hoạt động của ACTIVE DIRECTORY và cài đặt dịch

vụ đó cho HĐH windows 2003 server

• Các giao thức của AD nh: Hệ thống tên miền (DOMAIN NAME SYSTEM

– DNS), quản lý và gán địa chỉ IP (Dynamic Host Configuration

Protocol – DHCP)

• Tạo ngời sử dụng (User) và nhóm ngời sử dụng (Group), phân quyền cho nhóm ngời sử dụng để dể dàng quản lý từ việc truy cập đến việc quản lý thông tin

• Các quyền truy cập của NTFS

Bên cạnh những điều em đã làm đợc trong đề tài của mình đợc nêu trên thì còn nhiều hạn chế mà em cha làm đợc do trình độ và thời gian không cho phép

CHƯƠNG II - acTIVE DIRECTORY và các giao thức dhcp dns

trong windown server 2003

I giới thiệu về hđh windows server 2003

1.1 Các phiên bản của họ Hệ Điều Hành (HĐH) Windows Server 2003

- Windows Server 2003 Web Edition: tối u dành cho các máy chủ web

- Windows Server 2003 Standard Edition: bản chuẩn dành cho các doanhnghiệp, các tổ chức nhỏ đến vừa

- Windows Server 2003 Enterprise Edition: bản nâng cao dành cho các tổchức, các doanh nghiệp vừa đến lớn

- Windows Server 2003 Datacenter Edittion: bản dành riêng cho các tổ chứclớn, các tập đoàn ví dụ nh IBM, DELL

1.2 Những điểm mới của HĐH Windows Server 2003

- Khả năng kết nối chùm và cài nóng RAM

- Hỗ trợ cho HĐH Windows XP tốt hơn

- Tích hợp sẵn Mail Server (POP3)

- Có hai chế độ sử dụng giấy phép (license) là cố định số máy kết nối vàomáy chủ là 5 máy và nếu muốn thêm số lợng máy kết nối thì phải đăng ký để muathêm

- Hỗ trợ tốt hơn cấu hình đĩa đặc biệt

1.3 Yêu cầu phần cứng cài đặt các phiên bản Windows Server 2003

64GB chomáy dòng x86

và 512GB chomáy dòng

Itanium

Tốc độ tối thiểu cho

CPU 133Mhz 133Mhz 133Mhz chomáy dòng

x86,733Mhz chomáy dòngItanium

400Mhz chomáy dòngx86, 733cho máydòng

Itanium Tốc độ CPU khuyến

CPU chomáy dòngx86, 64 CPUcho máydòng

Itanium Dung lợng đĩa trống 1,5GB 1,5GB 1,5GB cho

máy dòngx86, 2GB

1,5GB chomáy dòngx86, 2GB

cho máydòng

Itanium

cho máydòng

Itanium

Số máy kết nối trong

dịch vụ cluster Không hỗtrợ Không hỗtrợ 8 máy 8 máy

ii dịch vụ acTIVE DIRECTORY (ad)

2.1 Giới thiệu về Active Directory

Active Directory (AD) là nơi lu trữ các thông tin về tài nguyên khác nhau trên

mạng Các tài nguyên đợc Active Directory lu trữ và theo dõi bao gồm File Server,Printer, Fax Service, Data, User, Group và Web Server Thông tin nó lu trữ đợc sửdụng và truy cập các tài nguyên trên mạng

Thông qua Active Directory ngời dùng có thể tìm chi tiết của bất kỳ một tàinguyên nào dựa trên một hay nhiều thuộc tính của nó Vì vậy mà không cần phảinhớ tất cả đờng dẫn và địa chỉ nơi tài nguyên đang đợc định vị, mỗi thiết bị và tàinguyên trên mạng sẽ đợc ánh xạ đến một tên có khả năng nhận diện đầy đủ về nó.Ngời sử dụng có thể truy cập đến tài nguyên này nếu họ đợc phép thông quaActive Directory

Active Directory có khả năng:

- Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó

- Duy trì dữ liệu của nó trong một môi trờng an toàn, vì chắc chắn rằng dữliệu sẽ không đợc cung cấp cho các ngời không đợc quyền truy cập đến nó

- Tự nó phân tán đến các máy tính trên mạng

- Nó giúp ngời sử dụng ở xa tham chiếu đến một bản sao đợc nhân bản, đợc

định vị ở một nơi không xa, thay vì phải tham chiếu đến bản sao nguyên thuỷ

-Tự phân vùng thành nhiều phần lu trữ Active Directory có thể đợc phân tántrên các máy khác nhau vì thế nó tăng thêm khả năng lu trữ một số lợng lớn các

đối tợng có trên các mạng lớn

2.2 Các đối tợng trong Active Directory

Các tài nguyên trên mạng đợc ghi trong Active Directory đợc gọi là

đối tợng (Object) Một đối tợng đợc định nghĩa nh là một tập riêng biệt của cácthuộc tính để mô tả về một tài nguyên trên mạng Các đối tợng có các thuộc tính(Attribute) Các thuộc tính là các đặc tính của các tài nguyên đợc ghi trong ActiveDirectory

Lớp (Classes) là một nhóm logic của các đối tợng trong Active Directory Ví

dụ, một classes bao gồm : các máy tính, các ngời sử dụng (User), các nhóm(Group) và các miền (Domain) Các thuộc tính có thể đợc định nghĩa một là nhng

đợc sử dụng trong nhiều lớp

2.3 Các kỹ thuật đợc hỗ trợ bởi Active Directory

Mục đích của Active Directory là cung cấp một điểm dịch vụ trên mạng Do

đó nó đợc thiết kế đặc biệt để làm việc chặt chẽ với các th mục khác Nó cũng hỗtrợ một phạm vi lớn các kỹ thuật Active Directory tích hợp khái niệm không giantên miền trong Internet với Windows 2003 Kết quả của điều này là nó có khả năngquản lý thống nhất các không gian tên miền khác nhau đang tồn tại trong các môitrờng hỗn tạp của hệ thống mạng khác nhau Các giao thức khác nhau đợc hỗ trợbởi Active Directory là:

- Dynamic Host Configuration Protocol (DHCP): DHCP chịu trách

nhiệm cho việc gán địa chỉ IP động đến các Host trong mạng Điều này có nghĩa làmột máy trên mạng luôn đợc gán địa chỉ IP nhng địa chỉ này có thể khác nhau ởcác lần truy nhập (logon) khác Active Directory hỗ trợ DHCP cho việc quản lý địachỉ trên mạng

- Domain Naming Service (DNS): DNS đợc sử dụng cho giải pháp đổi tên

trong mạng Active Directory sử dụng dich vụ DNS nh là tên miền (domain) vàdịch vụ định vị của nó

- Kerberos: là giao thức xác thực nó chịu trách nhiệm về vấn đề an toàn

trong windows 2003 Active Directory sử dụng nó để xác thực ngời sử dụng củamạng khi họ yêu cầu đợc truy cập đến các tài nguyên

- Simple Netword Time Protocol (SNTP): SNTP đợc sử dụng trong việc

đồng bộ về giờ của các máy trên mạng

2.4 Cấu Trúc Logic của AD (Active Directory)

Nhóm tài nguyên logic giúp tìm kiếm các tài nguyên dễ dàng hơn việctìm kiếm trong vị trí vật lý của nó Vì thế Active Directory cũng có cấu trúc logic

để mô tả cấu trúc th mục của các tổ chức Một điểm tiến bộ quan trọng khác củanhóm các đối tợng logic Active Directory là sự cài đặt vật lý của mạng có thể đợc

ẩn đối với ngời sử dụng

Các thành phần Logic của cấu trúc Active Directory là :

Mục đích chính của việc tạo miền (domain) là tạo một ranh giới an toàntrong một mạng windows 2003 Ngời quản trị miền điều khiển các máy tính trongmiền Chỉ trừ khi đợc gắn quyền, nếu không thì ngời quản trị mạng trong miền nàykhông thể điều khiển các miền (domain) khác Mỗi một miền (domain) thì có cácquyền và các chính sách an toàn riêng, nó đợc thiêt lập bởi ngời quản trị

Tất cả domain cotroller trong một domain đều duy trì một bản sao cơ sở dữliệu của domain, do đó các domain là các đơn vị nhân bản và cơ sở dữ liệu ActiveDirectory là đợc nhân bản đến tất cả các domain controller trong domain

• Các đơn vị tổ chức (Organizational Unit - OU)

Trong phạm vi miền các đối tợng đợc tổ chức sử dụng các đơn vị tổ chức

Nó chứa các đối tợng nh là ngời sử dụng (User), máy tính (computer), máy in(print), nhóm (group) và các OU khác

Về cơ bản OU giúp nhóm các đối tợng tổ chức logic phù hợp với kiểu nào

đó Các đối tợng có thể đợc nhóm từ một OU

- Hoặc dựa trên cấu trúc của tổ chức

- Hoặc phù hợp với mô hình quản trị mạng Mỗi miền có thể đợc

tổ chức dựa vào ngời quản trị mạng và giới hạn ngời điều khiển nó Máy của ngờiquản trị sẽ điều khiển miền và các máy tính của tất cả những ngời dới sự điềukhiển của ngời quản trị mạng sẽ nằm trong miền

Hệ thống phân cấp OU có thể đợc biến đổi từ miền này sang

miền khác Đó là mỗi miền có thể đợc cài đặt một hệ thống phân cấp riêng của nó

Sự điều khiển của một OU có thể đợc cấp trong phạm vi của OU

Lợi ích chính của OU là tránh sự phúc tạp của hệ thống mạng với kiến trúc đa miền (đa domain) Các công ty có thể tạo ra một miền (domain) đơn vàmột trạng thái khác của các OU phù hợp với yêu cầu bằng cách tạo ra một cấu trúcdomain Các OU có thể đợc bổ sung mới nh là khi chúng cần xuất hiện trong mộtdomain Các OU cũng có thể đợc lồng vào theo nhiều cách Tuy nhiên một cấutrúc domain đơn với nhiều OU đa ra tất cả các thuận lợi đợc đa ra bởi mô hình đamiền (đa domain)

• Cây (Tree)

Một vài nguyên nhân tại sao mô hình đa miền (đa domain) là đợc a thích:

- Phân quyền quản trị mạng

- Các tên miền Internet khác nhau

- Yêu cầu về password khác nhau

- Dễ điều khiển việc nhân bản

2.5 Cấu trúc vật lý của AD (Active Directory)

Cấu trúc logic của một Active Directory là đợc tách ra từ cấu trúc vật lý của

nó, và hoàn toàn tách biệt với cấu trúc vật lý Cấu trúc vật lý đợc sử dụng để tổchức việc trao đổi trên mạng trong khi đó cấu trúc logic đợc sử dụng để tổ chức cáctài nguyên có sẵn trên mạng Cấu trúc vật lý của một Active Directory bao gồm :

- Quyền hạn (Site)

- Miền điều khiển (Domain Controllers)

Cấu trúc vật lý của một Active Directory mô tả nơi nào và khi nào thì

sự logon và nhân bản sẽ xuất hiện Do đó để giải quyết các vấn đề về logon vànhân bản thì trớc hết phải hiểu về các thành phần của cấu trúc vật lý của ActiveDirectory

- Cho phép các kết nối tin cậy và tốc độ cao giữa các miền điều khiển

- Tối u việc truyền tải trên mạng

Sự khác nhau cơ bản giữa vị trớ và miền đó là miền mô tả cấu trúc

logic của sự tổ chức mạng trong khi đó vị trớ mô tả cấu trúc vật lý mạng Theo trênthì cấu trúc logic và cấu trúc vật lý của Active Directory là tách rời nhau Vì thế,

- Không cần có sự tơng quan giữa cấu trúc vật lý của mạng và cấu trúc miềncủa nó

- Không gian tên của vị trớ và miền không cần tơng quan

- Active Directory cho phép nhiều quyền trong một miền Không gian giữatên logic chứa các Computer, các domain và các OU, không có các site Một quyềnchứa thông tin về các đối tợng máy tính và các đối tợng liên quan

• Miền điều khiển (Domain Controller)

Thành phần vật lý thứ 2 trong Active Directory là miền điều khiển

Một miền điều khiển là một máy tính chạy windows 2003 server và nó chứa 1 bảnsao của Active Directory Cơ sở dữ liệu chứa các thông tin về miền cục bộ

Có thể có nhiều hơn một miền điều khiển trong một miền Tất cả các miền

điều khiển trong miền đều duy trì một bản sao active directory Các tổ chức nhỏvới một máy khách (client) chỉ cần một miền đơn với chỉ hai miền điều khiển Cần

điều khiển thứ hai sẽ là máy chủ (server) trong trờng hợp cần điều khiển thứ nhất

bị lỗi Do đó cả hai miền điều khiển đều chứa cùng một bản sao khác nhau củaActive Directory Nhng đôi khi các miền điều khiển có thể chứa các bản sao khácnhau của Active Directory Điều này xảy ra khi có sự bất đồng bộ giữa các cơ sởdữ liệu th mục trong các miền điều khiển Tuy nhiên trong các tổ chức lớn, mỗi vịtrí địa lý cần phải có các miền điều khiển tách biệt để cung cấp đầy đủ khả năngsẵn sàng và khả năng chịu lỗi

Các chức năng khác nhau miền điều khiển bao gồm :

- Duy trì một bản sao của cơ sở dữ liệu Active Directory

- Duy trì các thông tin của Active Directory

- Nhân bản các thông tin đợc cập nhật đến các miền điều khiển trong miền:Khi tạo ra một sự thay đổi trong miền thì phải cập nhật thực tế này đến Active

Directory của một miền điều khiển miền điều khiển sẽ nhân bản sự thay đổi này

đến các miền điều khiển khác trong miền

- Quản lý và giúp đỡ ngời sử dụng trong việc tìm kiếm các đối tợng trongActive Directory Nó kiểm tra tích hợp lệ của việc logon của ngời sử dụng truy cậptài nguyên đợc yêu cầu

- Cung cấp khả năng chịu lỗi trong môi trờng nhiều miền điều khiển

2.6 Cài đặt Active Directory

Việc cài đặt Active Directory đợc tạo đơn giản bằng cách cung cấp mộtwizard Khi Active Directory đợc cài đặt, một trong những cái sau đây đợc tạomới:

- Miền đầu tiên trong một rừng và miền điều khiển đầu tiên

- Một miền con trong một cây và domain controller của nó

- Domain khác trong domain đã tồn tại

- Một cây mới trong một rừng đã tồn tại và domain controller của nó

* Yêu cầu cài đặt Active Directory

Trớc khi thực sự cài đặt dịch vụ Active Directory, chúng ta cần phải xem cácyêu cầu trong quá trình cài đặt Dới đây là danh sách các yêu cầu cài đặt AD:

- Một máy tính đợc cài đặt Windows Server 2003 Standard Edition hoặcWindows Server 2003 Enterprise Edition hoặc Windows Server 2003 DatacenterEdition

- Một phần (partition) hoặc một khối (volume) với định dạng NTFS

- Đĩa cứng trống 1GB trở lên

- Cài đặt TCP/IP và đợc thiết lập để sử dụng DNS Địa chỉ IP có thể là ở lớp

A, lớp B hay lớp C nhng chú ý đặt phần Primary DNS là trùng với địa chỉ IP

- DNS Server phải hỗ trợ việc cập nhật giao thức và các bộ tài nguyên

- Một user account gồm username và password đủ quyền đợc cài đặt AD Sau đây là một số hình ảnh về các bớc cài đặt Active Directory Để cài đặt

AD, ở cửa sổ run chúng ta đánh lệnh dcpromo Xuất hiện cửa sổ cài đặt wizard:

ấn next để tiếp tục cài đặt :

Thông báo máy chủ miền điều khiển đang là phiên bản Windows Server

2003 và những hệ điều hành nào không thể gia nhập miền của hệ điều hànhwindows 2003 ở đây có hai hệ điều hành không thể gia nhập miền của Windowsserver 2003 là Windows 95 và Windows NT 4.0 Sp 3 trở về trớc

ấn next để tiếp tục:

Chọn kiểu domain controller, ở đây chúng ta có hai lựa chọn:

- Lựa chọn thứ nhất là máy chủ miền điều khiển của chúng ta là máy chủ

đầu tiên và miền chúng ta lên là miền đầu tiên

- Lựa chọn thứ hai là chúng ta add vào máy chủ miền một miền đã có sẵn

Tiếp theo đến cửa sổ tạo mới miền, ở đây chúng ta có 3 lựa chọn:

- Thứ nhất là tạo miền trong một rừng mới

- Thứ hai là tạo một miền con trong miền cây hiện có

- Thứ ba là tạo một cây miền trong rừng hiện tại đã có Chúng ta chọn mục đầu tiên vì ở đây máy chủ của chúng ta là máychủ đầu tiên và miền cũng là miền đầu tiên

ấn next để tiếp tục:

Tiếp theo đến bớc đánh tên DNS đầy đủ cho miền muốn tạo, tên miền có thể

là tên của tổ chức, tên công ty hoặc cá nhân và phải tuân theo quy tắc đánh tênmiền tức là không dài quá 255 kí tự và phải có ít nhất một dấu chấm (.) ở đây em

đặt tên là PH-DHV.COM

Next đến bớc tiếp theo:

Tiếp theo là bớc đặt tên cho NetBIOS name, tên miền theo chuẩn NetBIOS

để tơng thích với các hệ điều hành Windows NT Mặc định windows server 2003lấy tên của miền chính là tên của NetBIOS name, NetBIOS name có nhiệm vụ phângiải tên miền trên miền điều khiển Chúng ta có thể thay đổi tên này nhng chú ýkhi máy trạm join vào máy chủ thì phải kết nối (join) theo tên của NetBIOS namechứ không kết nối theo tên miền nữa ở đây em để theo mặc định

Tiếp theo là đến bớc lu trữ cơ sở dữ liệu (database) và nơi lu trữ bộ cài củaActive Directory trên đĩa cứng Đây sẽ là nơi lu trữ toàn bộ cơ sở dữ liệu của hệthống gồm toàn bộ thông tin về tài nguyên hệ thống, tài khoản sử dụng (useraccount) ở chế độ làm việc nhóm (workgroup) khi cha lên miền thì mọi thông tinngời dùng đợc lu trong file SAM( Sercurity Account Management) nhng khi đã lênmiền thì mọi thông tin đó đợc lu trong th mục NTDS và tài khoản sử dụng đợc lutrong file NTDS.dit Chúng ta có thể chọn nơi khác để lu trữ th mục NTDS nhngtheo khuyến cáo thì nên để mặc định của windows 2003:

ấn next để tiếp tục:

Tiếp theo đến bớc chỉ định lu th mục SYSVOL, th mục SYSVOL phải đợc lutrên phân vùng NTFS v 5.0 trở lên:

Bớc tiếp theo là kiểm tra hoặc cài đặt DNS DNS là dịch vụ phân giải tên kếthợp với AD để phân giải các tên máy tính trong miền hoặc phân giải các miềnkhác từ bên ngoài ở đây chúng ta có 3 lựa chọn:

- Thứ nhất là DNS đã có sẵn và có vấn đề hoặc bị lỗi, và lựa chọn mục này

để hệ thống kiểm tra lại DNS

- Thứ hai là cài đặt và thiết lập DNS server trên máy tính, và đặt máy tínhnày sử dụng DNS nh là một DNS server

- Thứ ba là kết nối DNS có vấn đề và muốn thiết đặt DNS bằng tay (nângcao) Theo khuyến cáo của Microsoft chúng ta nên tích hợp việc cài đặt DNS trongkhi cài đặt AD vì nh thế thì mới tích hợp đợc hết các chức năng của DNS và DNSkhông bị lỗi

ấn next để tiếp tục:

Bíc tiÕp theo lµ môc lùa chän quyÒn ®¨ng nhËp vµo hÖ thèng.

+ Lùa chän thø nhÊt lµ cho phÐp c¶ nh÷ng hÖ ®iÒu hµnh tríc windows

Tiếp theo là mục đặt password cho tài khoản Administrator để phục vụ choviệc sao chép AD hoặc dùng để khởi động AD ở chế độ Directory Services SestoreMode Chúng ta đặt password cho tài khoản

ấn next để tiếp tục:

Tiếp theo là quá trình tổng hợp các thông tin mà chúng ta đã cung cấp về

AD

ấn next để hệ thống bắt đầu quá trình lên miền:

Quá trình hệ thống bắt đâu lên miền:

Hệ thống yêu cầu cho đĩa CD Windows 2003 vào và chọn đến th mục

\I386 Chúng ta cho đĩa vào và chọn đến th mục I386 trên đĩa:

ấn finish để kết thúc quá trình lên miền Sau khi ấn finish hệ thống yêu cầu khởi động lại Chúng ta ấn restart now khởi động lại hệ thống để hoàn thành việc lên AD:

Sau khi hệ thống khởi động lại xong nghĩa là Active Directory đã đợc cài

đặt, Active Directory có 3 thành phần chính đó là:

Active Directory Domain and Trust.

Active Directory Sites and Services

Active Directory Users and Computers

Trong đó:

- Active Directory Domain and Trust: Dùng để tin cậy các miền hay miền

điều khiển trong một rừng có nhiều miền khác

- Active Directory Sites and Services: Cho phép kết nối tin cậy tốc độ cao

giữa các miền điều khiển để tối u việc nhân bản các dịch vụ đợc truyền tải trênmạng

- Active Directory Users and Computers: Chứa các thông tin và thành

phần về ngời dùng, nhóm, các máy tính và miền điều khiển:

+ Builtin: đây là nơi lu các tài khoản đợc tạo sẵn trong hệ thống gồm các

tài khoản có quyền quản trị hệ thống, thay đổi toàn cấu trúc hệ thống miền, gianhập hoặc tin cậy một miền khác trong một rừng Những tài khoản này ngời dùngkhông thể tạo hoặc xoá đợc kể cả tài khoản Administrator

+ Computer: đây là nơi lu trữ tất cả các máy tính trong mạng đã kết nối

vào miền

+ Domain controllers: đây là nơi lu trữ tên những máy chủ miền, nếu hệ

thống có hơn một máy chủ miền thì sẽ có các tên máy chủ đó ở mục này

+ Foreign Sercurity Principals: Những nhánh bảo mật bên ngoài

+ Users: là nơi chứa toàn bộ ngời sử dụng gồm những ngời sử dụng của hệ

thống tạo ra và những ngời sử dụng do những ngời dùng tạo ra Những ngời sử

dụng hệ thống ở đây có tác dụng thay đổi những thiết đặt của máy chủ miền điềukhiển và miền nằm trên máy chủ miền đó.

IIi - Hệ THốNG TÊN MIềN (DOMAIN NAME SYSTEM - DNS)

3.1 Giới thiệu về DNS

DNS là một cơ sở dữ liệu (CSDL) phân tán đợc dùng để dịch tên máy tính(host name) thành địa chỉ IP trong các mạng Để cung cấp một cấu trúc phân cấpcho cơ sở dữ liệu DNS ngời ta cung cấp một lợc đồ đánh tên đợc gọi là không giantên miền Miền gốc (root domain) là mức định của cấu trúc tên miền đợc ký hiệumột dấu chấm (.) Miền mức định đợc đặt dới miền gốc và chúng đợc đại diện chokiểu của tổ chức, chẳng hạn com hay edu hay org hoặc nó có thể là một định danh

địa lý nh vn (Việt nam) Các miền mức thứ 2 đợc đăng ký cho tên các tổ chức kháchay các ngời sử dụng đơn lẻ Chúng có thể chứa cả hai: các máy tính/tài nguyên(host) và các miền con (subdomains)

Tên miền đã kiểm chứng đầy đủ (Full Qualified Domain Name – FQDN)mô tả mối quan hệ chính xác của máy tính và miền của nó DNS sẽ sử dụng FQDN

để dịch tên máy thành một địa chỉ IP Dữ liệu tên-địa chỉ IP đợc đặt trong vùng.Thông tin này đợc lu trữ trong một tập tin vùng trên máy chủ DNS Để dịch tênthành một địa chỉ IP thì nó sẽ sử dụng truy vấn tìm kiếm chuyển tiếp Khi truy vấnchuyển tiếp đợc gửi đến máy khách, nếu máy chủ DNS cục bộ không đợc cấpquyền để đợc truy vấn thì máy chủ DNS cục bộ sẽ chuyển nó đến máy chủ DNSgiữ vùng chủ

Có ba kiểu vùng sau:

- Vùng chính tiêu chuẩn: Kiểu vùng này giữ một bản sao chủ của tập tin cơ

sở dữ liệu vùng Cơ sở dữ liệu vùng đợc lu trong tập tin văn bản Tập tin này đợc lutrên máy tính tạo vùng đó

- Vùng phụ tiêu chuẩn: Kiểu vùng này giữ một phần nhân bản của tập tin

cơ sở dữ liệu vùng chủ Cơ sở dữ liệu vùng đợc lu vào một tập tin văn bản đặt ở chế

độ chỉ đọc Vùng phụ cung cấp tính chịu lỗi và cân bằng tải

- Vùng th mục hoạt động Tích hợp: Kiểu vùng này lu bản sao của tập tin

cơ sở dữ liệu vùng trong Th mục hoạt động (Active Directory) Những chuyển giaovùng đợc thực hiện suốt quá trình nhân bản th mục hoạt động

 Máy chủ Tên

Mọi vùng miền đều giữ một tập tin cơ sở dữ liệu của chính nó Máy chủ tênDNS là các máy chủ lu những tập tin cơ sở dữ liệu này Một máy chủ tên có thể lumột tập tin cơ sở dữ liệu của vùng một vùng đơn hoặc vùng phức

Một vùng cũng có thể có nhiều máy chủ Trong trờng hợp này, một máy chủ

lu tập tin cơ sở dữ liệu vùng chủ Tập tin cơ sở dữ liệu này đợc gọi là tập tin cơ sởdữ liệu chính Các máy chủ tên khác lu một bản lu của tập tin cơ sở dữ liệu vùngchính Tập tin cơ sở dữ liệu lu đợc gọi là tập tin cơ sở dữ liệu phụ Bất kỳ có sựthay đổi nào trong vùng đều đợc phân ánh lên tập tin cơ sở dữ liệu vùng chính Một thuận lợi của việc có nhiều máy chủ tên là trong trờng hợp máy chủ tênchứa tập tin cơ sở dữ liệu chính bị lỗi thì các máy chủ tên khác có thể tiếp tục cungcấp truy xuất đến cơ sở dữ liệu Nhiều máy chủ tên cũng giảm đợc tải trên máy chủtên chứa tập tin cơ sở dữ liệu chính bằng cách phân tán yêu cầu dịch vụ tên đến tấtcả các máy chủ đó

3.2 Giải pháp đổi tên (Name Resolution)

Tiến trình dịch tên máy thành địa chỉ IP tơng ứng đợc gọi là Dịch Tên.Ví dụkhi chúng ta truy cập vào website www.microsoft.com Địa chỉ website này sẽ đợcDNS dịch và cung cấp địa chỉ IP tơng ứng để định vị máy tính trên mạng Máy chủtên trong vùng có trách nhiệm dịch tên này bởi vì nó lu trữ ánh xạ tên - địa chỉ IP.Một máy chủ tên chỉ có thể xử lý truy vấn dịch tên cho vùng mà nó đợc cấp quyềntrên đó Máy chủ tên lu lại kết quả của việc dịch tên để giảm tải trên máy chủDNS Các máy chủ tên có thể thực hiện truy vấn tìm kiếm chuyển tiếp hoặc truyvấn tìm kiếm đảo

- Truy vấn Tìm Kiếm Chuyển Tiếp (Forward Lookup Query): Một truy vấntìm kiếm chuyển tiếp dịch một tên để có đợc địa chỉ IP liên quan Hình trên minhhoạ cho tiến trình này

+ Máy khách gửi một yêu cầu đến địa chỉ www.microsoft.com đến máy chủtên địa phơng

+ Máy chủ tên địa phơng đầu tiên sẽ kiểm tra trong tập tin cơ sở dữ liệuvùng mà nó đang giữ

+ Nếu không tìm thấy ánh xạ tên - địa chỉ IP theo yêu cầu nó sẽ chuyển truyvấn đó đến một máy chủ tên gốc

+ Máy chủ tên gốc kiểm tra ánh xạ đó trong tập tin cơ sở dữ liệu vùng và gửimột tham chiếu máy chủ tên Com

+ Sau đó máy trình tên truy vấn máy chủ tên Com để dịch tên

+ Máy chủ tên Con trả về một tham chiếu máy chủ tên Microsoft

+ Sau đó Máy chủ tên cục bộ sẽ chuyển truy vấn đến máy chủ tên Microsoft

và nó trả về địa chỉ IP của www.microsoft.com

- Truy vấn Tìm Kiếm Đảo (Reverse Lookup Query): Tiến trình này dịch một

địa chỉ IP thành tên tơng ứng Điều này đợc thực hiện thông qua miền in-addr.arpa.Cơ sở dữ liệu phân tán của DNS đợc lập chỉ mục theo cột tên do đó việc tìm kiếmdựa trên tên sẽ dễ dàng hơn Tuy nhiên việc tìm dựa trên địa chỉ IP cũng có thể đợcnhng rất tốn thời gian Lý do là tất cả các bản ghi đều đợc tìm kiếm hết để cho kếtquả Để cung cấp một phơng thức dễ dàng, in-addr.arpa đã đợc ra đời In-addr.arpa

là một miền cấp hai Miền này có cùng hệ thống phân cấp nh các không gian tênmiền khác Lợc đồ đánh tên cũng tơng tự Điều khác biệt duy nhất đó là cơ sở dữliệu đợc lập chỉ mục theo địa chỉ IP chứ không phải tên Một số chú ý với miền in-addr.arpa:

+ Tên của các miền con dựa cơ sở trên địa chỉ IP

+ Các octet địa chỉ IP đợc lu theo thứ tự ngợc lại

+ Việc quản trị của các miền con đợc thực hiện dựa trên cơ sở của các địachỉ IP và địa chỉ mạng con

3.3 DNS Động (Dynamic DNS)

Trớc đây, việc bổ xung, xoá và thay đổi cơ sở dữ liệu vùng đợc thực hiện thủcông Nhng với sự ra đời của giao thức cập nhật DNS động nhng việc này đều đợcthực hiện tự động Giao thức này đợc dùng với DHCP Dịch vụ DHCP là dịch vụcấp địa chỉ IP cho máy khách tự động vì vậy giảm tác vụ quản trị cấp địa chỉ IP

đến các máy cá nhân đơn lẻ Ngay khi máy khách nhận đợc một địa chỉ IP nó sẽcập nhật bản ghi tài nguyên Tại thời điểm đó dịch vụ DHCP cập nhật bản ghi

3.4 Cài đặt và cấu hình DNS

Có hai cách cài đặt DNS:

Thứ nhất là chúng ta cài đặt DNS tự động cùng với quá trình lên miền Thứ hai là cài đặt bằng tay theo các bớc nh sau: Start\Setting\Control Panel\Add and Remove Program\Add and Remove Windows Components\Networking Services\ chọn Detail,

Sau đó đánh dấu chọn vào mục Domain name system(DNS)

ở đây em đã cài đặt tự động DNS trong quá trình lên miền do đó DNS đã đợccài sẵn Để mở và cấu hình DNS chúng ta mở theo đờng dẫn:

Start\Program\Administrative tool\DNS

Hoặc ở cửa sổ run đánh lệnh dnsmgmt.msc Khi đó cửa sổ chính DNS hiện

ra, ở cửa sổ này có 3 mục chính nh sau:

Forword lookup zones.

Reserve lookup zones.

Event Viewer.

- Forward lookup zones: Vùng tìm kiếm thuận, trong vùng này chứa miền

chính của miền, trong vùng chính này chứa các bản ghi host(A) gồm tên máy và

địa chỉ IP của máy chủ DC và các máy trạm đã kết nối vào miền Vùng này cácthiệt lập mặc định đã có sẵn khi chúng ta tích hợp DNS trong quá trình lên miền:

- Reverse lookup zones: Vùng tìm kiếm đảo, vùng này chứa các bản ghi

con trỏ (pointer) của các NetworkID do ngời quản trị thiết đặt Để DNS phân giải

đợc từ địa chỉ IP ra tên máy ta phải cấu hình Reserve lookup zones:

Chuột phải vào Reserver lookup zones chọn New zones, hiện ra của sổ

wizard ấn next:

Next đến cửa sổ zones type có 3 lựa chọn:

+ Primarty zone: Tạo một vùng chính

+ Secondary zone: Tạo vùng thứ hai, tức là tạo một vùng thứ hai dự phòngcho một vùng chính đã có sẵn trong DNS

+ Sub zone: Tạo một vùng con trong một vùng đã sẵn

+ Đánh dấu tích vào mục Store the zone in Active Directory để lu trữ

những vùng vào cơ sở dữ liệu của Active Directory

ở đây em chọn primary zone vì đây là máy chủ DNS đầu tiên và cũng là vùngtruy vấn đảo đầu tiên:

Next đến bớc tiếp theo, ở bớc này cũng có 3 mục chọn, em chọn mục thứ 3

để lu toàn bộ dữ liệu về vùng này trên Active Directory của miền điều khiển:

Next để đến bớc tiếp theo

Bớc này là đặt Network ID cho truy vấn đảo, chỉ lớp NetID nào đợc đặt ở

đây thì mới có thể truy vấn đảo và thông thờng thì NetID này trùng với NetID của

truy vấn thuận và trùng với NetID Interface của máy chủ miền ở đây máy chủ có

địa chỉ IP ở lớp A nên NetID của vùng em cũng đặt là lớp A:

Next để đến bớc tiếp theo

Đây là bớc tuỳ chọn cập nhật tự động của DNS với các vùng, em lựa chọnmục thứ nhất để chỉ cập nhật tự động an toàn Next rồi ấn finish để kết thúc quátrình cấu hình Reserve lookup zones

- Event Viewer: Chứa các nhật kí về DNS, gồm các thông tin về DNS, các

cảnh báo của hệ thống với ngời dùng về DNS và các lỗi của DNS

Toàn bộ nhật kí về DNS sẽ đợc ghi lại ở đây Chúng ta có thể tuỳ chọn là chỉghi lại những sự kiện nào Nhng theo khuyến cáo thì chúng ta nên để ghi lại toàn

bộ các sự kiện về DNS để sau này DNS bị lỗi còn có thể xem lại Sự kiện (Event)

này có thể xoá đi bởi ngời quản trị hệ thống trên máy chủ (DC) và đợc lu lại dớidạng file *.evt Sau này có thể nhập vào (import) những file đã lu này và vào EventViewer xem lại Nhng những ngời quản trị hệ thống từ xa thông qua các snap-in thìchỉ có thể lu lại dới dạng *.txt mà thôi và không thể nhập vào event viewer đợc

Để kiểm tra DNS hoạt động cha chúng ta làm nh sau: ở cửa sổ run đánh

lệnh nslookup, hiện ra cửa sổ nslookup Chúng ta đánh địa chỉ muốn truy vấn vào

hoặc tên máy vào, nếu trả lại tên (name) và địa chỉ (address) của máy muốn truyvấn thì DNS đã hoạt động, còn nếu một trong hai cái đó không trả lại đợc tên và

địa chỉ thì DNS cha hoạt động đúng Nh hình dới đây là DNS đã hoạt động đúng:

IV - DịCH Vụ DHCP (Dynamic Host Configuration Protocol)

4.1 Giới thiệu về dịch vụ DHCP

Quy mô mạng, việc quản lý và gán địa chỉ IP cho máy khách sẽ tiêu tốnnhiều công sức và thời gian DHCP tự động gán địa chỉ IP và sẽ đảm bảo việc quản

lý các địa chỉ IP này DHCP sử dụng một tiến trình tạo địa chỉ cho mớn để gán địachỉ IP cho các máy tính khách chỉ trong một khoảng thời gian xác định Do DHCP

là một tiến trình cung cấp IP động nên các máy khách sẽ cập nhật hoặc làm mớicác địa chỉ xin cấp của chúng tại các khoảng thời gian đều đặn TCP/IP có thể đợccấu hình tự động hoặc thủ công Việc

cấu hình tự động TCP/IP đợc thực hiện bằng cách sử dụng DHCP

4.2 Quá trình cấp phát động của dịch vụ DHCP

Khi máy khách DHCP thực hiện, nó sẽ gửi yêu cầu xin cấp địa chỉ IP đếnmáy chủ DHCP Máy chủ nhận yêu cầu này sẽ chọn một địa chỉ IP từ khoảng địachỉ đã đợc định nghĩa trớc trong cơ sở dữ liệu địa chỉ IP để cấp phát Nếu máykhách chấp nhận địa chỉ mà máy chủ cung cấp thì máy chủ sẽ cung cấp cho máykhách địa chỉ IP đó chỉ trong một khoảng thời gian giới hạn (tối đa là 8 ngày).Thông tin này có thể bao gồm một địa chỉ, một mặt nạ mạng con (subnet mask),

địa chỉ IP của các máy chủ DNS, đợc cổng nối (gateway) mặc định và một địa IPcủa máy chủ WINS Tiến trình cấp địa chỉ IP của DHCP đợc thực hiện theo tiếntrình 4 bớc:

- Yêu cầu xin cấp IP

- Chấp nhận cấp IP

- Chọn lựa cung cấp IP

- Xác nhận việc cấp IP

 Yêu cầu cấp IP (IP Lease Request):

Mỗi khi một máy khách khởi động hoặc kích hoạt mô hình tham chiếuTCP/IP hoặc khi DNS thay mới địa chỉ IP đã đợc cấp của họ thì tiến trình xin cấpTCP/IP sẽ đợc khởi động Máy khách truyền đi khắp mạng (broadcast) một thông

điệp DHCPDISCOVER với mục đích để thu đợc địa chỉ IP Máy khách sử dụng địachỉ IP 0.0.0.0 nh là địa chỉ nguồn vì không có địa chỉ IP nào đợc gắn lên thông

điệp Tơng tự, máy khách cũng sử dụng địa chỉ IP 255.255.255.255 làm địa chỉ

đích vì chính nó cũng không biết địa chỉ của máy chủ DHCP Điều này để đảm bảorằng thông điệp đợc phát đi rộng khắp trên toàn mạng Thông điệp này chứa địachỉ MAC (Media Access control - điều khiển truy xuất đờng truyền), địa chỉ MACchứa địa chỉ phần cứng của card mạng của máy khách

 Chấp nhận cấp IP (IP Lease Offer):

Máy chủ DHCP trả về máy khách một thông điệp DHCPOFFER trong cùngmột phân đoạn mạng Thông điệp này chứa địa chỉ phần cứng của máy khách, địachỉ IP cung cấp, mặt nạ mạng con, thời gian hiệu lực của IP cho cấp phát, và địnhdanh của máy chủ Máy chủ DHCP dành ra địa chỉ IP này và không cấp cho cácyêu cầu khác với cùng địa chỉ này Máy khách sẽ chờ cấp IP trong 1 giây, nếukhông có thông tin gì trả lời trong thời gian đó thì nó lại phát đi yêu cầu trong cáckhoảng thời gian 2, 4, 8 và 16 giây Nếu máy

khách vẫn không nhận đợc thông tin chấp nhận cung cấp, nó sẽ sử dụng các địa chỉ

IP đợc lu giữ trong một khoảng đã đợc đăng ký Sau đó máy khách DHCP tiếp tụctìm kiếm máy chủ DHCP trong mỗi 5 phút Khi tìm đợc máy chủ DHCP sẵn sàngthì máy khách sẽ nhận đợc các địa chỉ IP hợp lệ

 Chọn lựa cung cấp IP (IP Lease Selection):

Máy DHCP khách sẽ báo nhận lời thông điệp cấp IP bằng cách phát đi mộtmột thông điệp DHCPREQUEST Thông điệp này chứa thông tin xác định máychủ đã cấp IP động Khi tất cả các máy chủ biết các thông tin máy chủ cấp thì cácmáy chủ còn lại sẽ lấy lại các thông báo cấp địa chỉ IP và sẽ sử dụng chúng chocác yêu cầu xin cấp phép IP khác

 Xác nhận cấp IP (IP Lease Acknowledgement):

Máy chủ DHCP đã nhận thông điệp DHCPREQUEST từ các máy khách sẽtrả lời một thông điệp DHCPACK Thông điệp này chứa thông tin cấu hình và sựcấp phát hiệu lực cho địa chỉ IP đó TCP/IP sẽ khởi động cấu hình đã đợc cung cấp

từ máy chủ DHCP đó Sau đó, máy khách sẽ buộc giao thức TCP/IP với các dịch vụmạng và với card mạng do đó nó cho phép máy khách có thể liên lạc trên toànmạng

4.3 Tiến trình thay mới (Lease Renewal Process)

Máy khách DHCP sẽ cố để thay mới IP đã đợc tiếp tục do đó nó có thể đợcthông tin cấu hình đợc cập nhật Có hai kiểu tiến trình thay mới là: Thay mới tự

động và Thay mới thủ công

 Thay mới Tự động

Khi nửa thời gian sử dụng địa chỉ IP xin cấp hết thì máy DHCP khách sẽ tự

động tìm cách thay mới bằng cách gửi một thông điệp DHCPREQUEST trực tiếp

đến DHCP chủ đã cấp địa chỉ IP Nếu DHCP chủ hiện đang sẵn sàng thì thời gian

sử dụng IP sẽ đợc thay mới lại và một thông điệp DHCPACK sẽ đợc gửi theo vùngvới thông tin đợc cập nhật đến DHCP khách Nếu DHCP chủ không hiện hữu thìmáy khách sẽ sử dụng các tham số cấu hình hiện thời cho đến khi thời gian xin cấphết Máy DHCP khách sẽ gửi lại thông điệp DHCPDISCOVER khi thời gian sửdụng lên đến 87.5% Nếu trong khoảng thời gian này mà DHCP chủ trả lời mộtthông điệp DHCPOFFER thì máy khách sẽ thay mới thời gian sử dụng IP của nó

và sẽ tiếp tục các hoạt động bình thờng của nó Khi thời gian sử dụng hết thì máykhách sẽ không tiếp tục sử dụng IP hiện thời DHCP khách sẽ bắt đầu lại tiến trìnhxin cấp một địa chỉ IP mới

4.4 Phạm vi cấp phát

Khoảng địa chỉ IP có thể đợc cấp phát hoặc đợc gán cho các máy tính kháchtrên một mạng con đợc gọi là phạm vi(scope) Để xác định đợc nhóm địa chỉ IP đ-

ợc dùng để gán cho các DHCP khách, chúng ta có thể cấu hình phạm vi đó trênmáy chủ DHCP Phạm vi cũng có thể đợc cấu hình bằng cách sử dụng các tham số

bổ xung để cung cấp một số tuỳ chọn thêm vào cùng với việc cấp địa chỉ IP Kiểuthông tin thay đổi này đợc gọi tên là tuỳ chọn phạm vi(scope option) Những tuỳchọn này đợc áp dụng theo một trật tự nhất định, do đó chúng ta có thể dùng nó đểgán nhiều mức quyền khác nhau DHCP chủ cũng cung cấp một tuỳ chọn để giữmột địa chỉ IP đặc biệt cho một máy tính nào đó mà máy này luôn mạng địa chỉ IPnói trên mọi lúc Điều này rất hữu dụng khi gán các địa chỉ IP cho các máy chủDNS mà ở đó một sự thay đổi địa chỉ IP có thể gây ra sự hỗn loạn trong mạng

4.5 Cài đặt và cấu hình dịch vụ DHCP

 Yêu cầu cài đặt cho DHCP server

Theo mặc định, hệ điều hành Windows 2003 server có chứa các dịch vụDHCP, do đó bất kỳ máy tính nào chạy trên hệ điều hành windows 2003 server cóthể hoạt động nh một DHCP chủ Các máy tính hoạt động nh DHCP chủ yêu cầucó:

- Dịch vụ DHCP phải đợc cài đặt

- Một mặt nạ mạng con, một địa chỉ IP tĩnh, một cổng kết nối mặc định vàcác tham số TCP/IP khác

- Các địa chỉ IP có thể đợc cấp hoặc gán cho các máy khách

Yêu cầu cho DHCP máy khách Các máy khách nên sử dụng các địa chỉ IP

đ-ợc cấp tự động từ các DHCP chủ Các máy tính cài các hệ điều hành sau mới có thểhoạt động nh DHCP khách:

+ Windows XP Professional

+ Windows 2000 server hoặc Professional

+ Windows NT Server 3.5 hoặc lớn hơn

+ Windows 95 hoặc windows 98

+Windows for Workgroup phiên bản 3.11 có TCP/IP-32

+Microsoft MS-DOS có Microsoft Network Client 3.0

+LAN Manager phiên bản 2.2c

+ Một số hệ điều hành khác không phải của Microsoft

 Cài đặt dịch vụ DHCP

Để cài đặt dịch vụ DHCP trên máy chủ ta làm theo các bớc sau: Start\ Setting\Control pannel\Add and remove program\Add and remove windows components\Networking services\ click vào nút detail và đánh dấu chọn vào mục

chọn Dynamic Host Configuration Protocol (DHCP) rồi ấn OK.:

Sau khi DHCP đã cài đặt xong, từ cửa sổ run chúng ta đánh lệnh

dhcpmgmt.msc hoặc tìm đến đờng dẫn: Start\Program\Administrator tool\DHCP để mở chơng trình DHCP lên

 Cấu hình dịch vụ DHCP