Báo cáo triển khai dự án xây dựng hệ thống quản lý mạng lan cho doanh nghiệp

Infrastructure Master đôi khi bị lẫn lộn với Global Catalog GC, đây là thành phần duy trì một copy chỉ cho phép đọc đối với các domain nằm trong một forest, được sử dụng cho lưu trữ nhóm

Trang 1

CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM

BÁO CÁO TRIỂN KHAI DỰ ÁN

XÂY DỰNG HỆ THỐNG QUẢN LÝ

MẠNG LAN CHO DOANH NGHIỆP

1 | P a g e

Trang 2

Giảng viên hướng dẫn :

Ngô Xuân Hoàn

Nhóm thực hiện:

Đặng Tuấn Minh

Lê Ngọc Tuấn Trịnh Hoàng Trung

2 | P a g e

Trang 3

MỤC LỤC

I. Khảo sát thực tế :

1 Hiện trạng hiện có :

2 Yêu cầu :

II Khái quát các chức năng của từng các máy Server trong hệ thống mạng LAN của trụ sở :

1 Máy Server quản lý :

A Active Diretory (AD):

B. Dynamic Host Configuration Protocol (DHCP) : 2. III Các giải pháp triển khai :

IV Các quy trình triển khai :

V Sơ đồ triển khai :

VI Thực hiện dự án :

VII Danh sách thiết bị phần cứng,phần mềm cần đầu tư :

3 | P a g e

Trang 4

- Vùng Server public : File server

- Vùng Wan : thông qua router zywall đấu đến swich 3560

- Vùng Internet :

+ modem+ public mail qua router 2800 đấu đến swich 3560

2.Yêu cầu :

- Triển khai hệ thống mạng LAN

- Xây dựng hệ thống máy chủ để quản lý hệ thống người dùng cũng như đảm bảo về yêu cầu truy cập thông tin,chia sẻ dữ liệu

- Bảo mật, an toàn cho hệ thống mạng

4 | P a g e

Trang 5

trong hệ thống mạng LAN của trụ sở

1 Máy Server Quản lý

A Active Diretory (AD):

- Khái niệm Active Diretory :

Active Directory là một dịch vụ thư mục (directory service) đã được đăng

ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows

Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác

Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó

Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi

là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission

Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trongmạng.

- Vai trò của Active Diretory trong mạng LAN

Microsoft Active Directory được xem như là một bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay thậm chí các mạng máy chủ standalone

5 | P a g e

Trang 6

Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng Nó cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều domain controller được triển khai trong một domain

Active Directory sẽ tự động quản lý sự truyền thông giữa các domain

controller để bảo đảm mạng được duy trì Người dùng có thể truy cập vào tất cả tài nguyên trên mạng thông qua cơ chế đăng nhập một lần

Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗitruy cập đối với tài nguyên

Active Directory cho phép tăng cấp, hạ cấp các domain controller và các máy chủ thành viên một cách dễ dàng Các hệ thống có thể được quản lý và được bảo

vệ thông qua các chính sách nhóm Group Policies

Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng

và ủy nhiệm trách nhiệm quản trị

Mặc dù vậy quan trọng nhất vẫn là Active Directory có khả năng quản lý hàng triệu đối tượng bên trong một miền

- Thành phần cơ bản trong Active directory :

Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục Bốn đơn vị này được chia thành forest, domain, organizational unit

và site

6 | P a g e

Trang 7

 Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory

 Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở

dữ liệu của các thành viên của chúng

 Organizational unit (OU): Nhóm các mục trong miền nào đó Chúng tạo nên mộtkiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo cácđiều kiện tổ chức và địa lý

 Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU Các Sitephân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nốitốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet

Các Forest không bị hạn chế theo địa lý hoặc topo mạng Một forest có thể

gồm nhiều miền, mỗi miền lại chia sẻ một lược đồ chung Các thành viên miền của cùng một forest thậm chí không cần có kết nối LAN hoặc WAN giữa chúng Mỗi một mạng riêng cũng có thể là một gia đình của nhiều forest độc lập Nói chung, một forest nên được sử dụng cho mỗi một thực thể Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài forest tham gia sản xuất

Các miền Domain phục vụ như các mục trong chính sách bảo mật và các

nhiệm vụ quản trị Tất cả các đối tượng bên trong một miền đều là chủ đề cho Group Policies miền rộng Tương tự như vậy, bất cứ quản trị viên miền nào cũng có thể quản

lý tất cả các đối tượng bên trong một miền Thêm vào đó, mỗi miền cũng đều có cơ sở

dữ liệu các tài khoản duy nhất của nó Chính vì vậy tính xác thực là một trong những vấn đề cơ bản của miền Khi một tài khoản người dùng hoàn toàn xác thực đối với một miền nào đó thì tài khoản người dùng này có thể truy cập vào các tài nguyên bên trong miền

Active Directory yêu cầu một hoặc nhiều domain để hoạt động Như đề cập

từ trước, một miền Active Directory là một bộ các máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu các thành viên của chúng Một miền phải có một hoặc nhiều máy domain controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách và cung cấp sự thẩm định cho các đăng nhập vào miền

Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng hơn so với các miền OU cho phép bạn có được khả năng linh hoạt gần như vô hạn, bạn có thể

7 | P a g e

Trang 8

chuyển, xóa và tạo các OU mới nếu cần Mặc dù các miền cũng có tính chất mềm dẻo Chúng có thể bị xòa tạo mới, tuy nhiên quá trình này dễ dẫn đến phá vỡ môi trường so với các OU và cũng nên tránh nếu có thể

Theo định nghĩa, sites là chứa các IP subnet có các liên kết truyền thông tin cậy và nhanh giữa các host Bằng cách sử dụng site, bạn có thể kiểm soát và giảm số lượng lưu lượng truyền tải trên các liên kết WAN chậm

- Infrastructure Master và Global Catalog

Một thành phần chính khác bên trong Active Directory là Infrastructure Master Infrastructure Master (IM) là một domain-wide FSMO (Flexible Single Master

of Operations) có vai trò đáp trả trong quá trình tự động để sửa lỗi (phantom) bên trong

cơ sở dữ liệu Active Directory

Phantom được tạo ra trên các DC, nó yêu cầu một sự tham chiếu chéo cơ sở

dữ liệu giữa một đối tượng bên trong cơ sở dữ liệu riêng và một đối tượng từ miền bên trong forest Ví dụ có thể bắt gặp khi bạn bổ sung thêm một người dùng nào đó từ một miền vào một nhóm bên trong miền khác có cùng forest Phantom sẽ bị mất hiệu lực khi chúng không chứa dữ liệu mới cập nhật, điều này xuất hiện vì những thay đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện, ví dụ như khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu đó giữa các miền, hay vị xóa Infrastructure Master

có khả năng định vị và khắc phục một số phantom Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi đều được tạo bản sao đến tất cả các DC còn lại bên trong miền

Infrastructure Master đôi khi bị lẫn lộn với Global Catalog (GC), đây là thành phần duy trì một copy chỉ cho phép đọc đối với các domain nằm trong một forest, được sử dụng cho lưu trữ nhóm phổ dụng và quá trình đăng nhập,… Do GC lưu bản copy không hoàn chỉnh của tất cả các đối tượng bên trong forest nên chúng có thể tạo các tham chiếu chéo giữa miền không có nhu cầu phantom

- Active Directory và LDAP

LDAP (Lightweight Directory Access Protocol) là một phần của Active Directory, nó là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân hoặc

8 | P a g e

Trang 9

các tài nguyên khác như file và thiết bị trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội bộ trong công ty

Trong một mạng, một thư mục sẽ cho bạn biết được nơi cất trữ dữ liệu gì đó Trong các mạng TCP/IP (gồm có cả Internet), domain name system (DNS) là một hệ thống thư mục được sử dụng gắn liền tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng) Mặc dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm những cụ thể mà không cần biết chúng được định vị ở đâu

Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới đây:

 Thư mục gốc có các nhánh con

 Country, mỗi Country lại có các nhánh con

 Organizations, mỗi Organization lại có các nhánh con

 Organizational units (các đơn vị, phòng ban,…), OU có

- Sự quản lý Group Policiy và Active Directory

+ Khi nói đến Active Directory chắc chắn chúng ta phải đề cập đến Group Policy Các quản trị viên có thể sử dụng Group Policy trong Active Directory để định nghĩa các thiết lập người dùng và máy tính trong toàn mạng Thiết lập này được cấu hình và được lưu trong Group Policy Objects (GPOs), các thành phần này sau đó sẽ được kết hợp với các đối tượng Active Directory, gồm có các domain và site Đây chính là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính và người dùng trong môi trường Windows

9 | P a g e

Trang 10

Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết lập desktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập đối với các file hoặc thư mục nào đó bên trong mạng

Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử dụng như thế nào Group Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sửdụng trước, sau đó là các chính sách site, chính sách miền, chính sách được sử dụng cho các OU riêng Ở một thời điểm nào đó, một đối tượng người dùng hoặc máy tính chỉ có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên kết với site hoặc miền đó

Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template (GPT) và Group Policy Container (GPC) Group Policy Template có trách nhiệm lưu các thiết lập được tạo bên trong GPO Nó lưu các thiết lập trong một cấu trúc thư mục

và các file lớn Để áp dụng các thiết lập này thành công đối với tất cả các đối tượng người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các DC bên trong miền

Group Policy Container là một phần của GPO và được lưu trong Active Directory trên các DC trong miền GPC có trách nhiệm giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của GPO GPC không chứa nhiều thông tin có liên quan đến GPO tương ứng với nó, tuy nhiên nó là một thành phần cần thiết của Group Policy Khicác chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết bên trongGPO Bên cạnh đó nó cũng giữ các liên kết quan hệ khác và các đường dẫn được lưu trong các thuộc tính đối tượng Biết được cấu trúc của GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề nào

đó có liên quan đến GP

Với Windows Server 2003, Microsoft đã phát hành một giải pháp quản lý Group Policy đó là Group Policy Management Console (GPMC) GPMC cung cấp cho các quản trị viên một giao diện quản lý giúp đơn giản các nhiệm vụ có liên quan đến GPO

B Dynamic Host Configuration Protocol (DHCP) :

10 | P a g e

Trang 11

- Dynamic Host Configuration Protocol - Giao thức cấu hình Host động Giao thức cung cấp phương pháp thiết lập các thông số cần thiết cho hoạt động của mạng TCP/IP giúp giảm khối lượng công việc cho quản trị hệ thống mạng

- DHCP server là một máy chủ có cài đặt dịch vụ DHCP server Nó có chức năng quản lý sự cấp phát địa chỉ IP động và các dữ liệu cấu hình TCP/IP Ngoài ra còn có nhiệm

vụ trả lời khi DHCP Client có yêu cầu về hợp đồng thuê bao

- DHCP client là dịch vụ có sẵn trên các máy trạm Nó dùng để đăng ký, cập nhật thông tin về địa chỉ IP và các bản ghi DNS cho chính máy trạm đó DHCP client sẽ gửi yêu cầu đến DHCP server khi nó cần đến 1 địa chỉ IP và các tham số TCP/IP cần thiết để làm việc trong mạng nội bộ và trên Internet

* Ưu điểm của DHCP được gói gọn bằng 4 điểm sau:

a Quản lý TCP/IP tập trung:

Thay vì phải quản lý địa chỉ IP và các tham số TCP/IP khác vào một cuốn sổ nào đó(đây là việc mà quản trị mạng phải làm khi cấu hình TCP/IP bằng tay) thì DHCP server sẽ quản lý tập trung trên giao diện của nó Giúp các nhà quản trị vừa dễ quản lý, cấu hình, khắc phục khi có lỗi xảy ra trên các máy trạm

b Giảm gánh nặng cho các nhà quản trị hệ thống

11 | P a g e

Trang 12

Thứ nhất, trước đây các nhà quản trị mạng thường phải đánh cấu hình IP bằng tay (gọi là IP tĩnh) nhưng nay nhờ có DHCP server nó sẽ cấp IP một cách tự động cho các máytrạm Nhất là trong môi trường mạng lớn thì sự cần thiết và hữu ích của dịch vụ mạng này mới thấy rõ ràng nhất

Thứ hai, trước đây với kiểu cấu hình bằng tay thì người dùng họ có thể thay đổi IP Anh thì táy máy thích vọc chơi, có anh thay đổi lung tung DNS server sau đó quên không nhớ IP của DNS server là gì để đặt lại cho đúng lại ới quản trị mạng, có anh đặt IP làm trùng với IP của người khác, anh khác đặt IP trùng với Defaul Gateway làm cho quản trịmạng khốn khổ vì phải chạy Nhưng kiểu này không có ở IP động đâu nhé Anh nào thích thay đổi cũng chịu chết Chỉ có người quản trị DHCP server họ mới có quyền thích làm gì thì làm thôi

c Giúp hệ thống mạng luôn được duy trì ổn định:

Điều đó hiển nhiên rồi Địa chỉ IP cấp phát động cho các máy trạm lấy từ dải IP cấu hình sẵn trên DHCP server Các tham số (DG, DNS server ) cũng cấp cho tất cả các máy trạm là chính xác Sự trùng lặp IP không bao giờ xảy ra Các máy trạm luôn luôn có một cấu hình TCP/IP chuẩn Làm cho hệ thống hoạt động liên tục, vừa giảm gánh nặng cho người quản trị vừa tăng hiệu quả làm việc cho user nói riêng và doanh nghiệp nói chung

d Linh hoạt và khả năng mở rộng:

Người quản trị có thể thay đổi cấu hình IP một cách dễ dàng khi cơ sở hạ tầng mạngthay đổi Do đó làm tăng sự linh hoạt cho người quản trị mạng Ngoài ra DHCP phù hợp từmạng nhỏ đến mạng lớn Nó có thể phục vụ 10 máy khách cho đến hàng ngàn máy khách

C: Domain Name System (DNS):

- Là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ

IP DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này trong một thể thống nhất

- Trong phạm vi lớn hơn, các máy tính kết nối với internet sử dụng DNS để tạo địa chỉ liên kết dạng URL (Universal Resource Locators) Theo phương pháp này, mỗi máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối

- Các tên DNS tạo ra theo định dạng sau : ví dụ infosec.vasc.com.vn Trong khi danh sách các kiểu tên DNS được thiết kết lại bởi ICANN (Công ty quản lý dịch vụ tên miền), một số các kiểu thông thường bao gồm: edu (dạng các website giáo

dục) , mil (các website cho quân đội), org (thuộc dạng các tổ chức phi thương mại)

12 | P a g e

Trang 13

.com (các tổ chức kinh tế), Và cũng có các kiểu tên miền chỉ định theo tên nước,

ví dụ ie (Ireland), jp (Japan), de (Germany)

2 Máy DHCP Relay Agent :

- Trường hợp trong mạng LAN có nhiều phòng ban,mỗi phòng ban có một dải địa chỉ

IP khác nhau.DHCP Server cũng có thể sử dụng nhưng sẽ rất tốn kém và trên thực

tế cũng không được ưa chuộng.Nhưng khi này DHCP Relay Agent với thế mạnh của mình đã được ưa chuộng sử dụng

- Cài đặt dich vụ DHCP Relay Agent trên một máy bất kỳ (không nhất thiết là máy Server ) trong mạng của phòng ban

- Máy cài dịch vụ DHCP Relay Agent sẽ làm nhiệm vụ ?????

3 Máy Server Public :

A Web Server (IIS):

- IIS với vesion IIS 6.0 được tích hợp trong windows server 2003 là một phần mềm máy chủ web được cung cấp tích hợp với HĐH đáng tin cây và an toàn.Các phần mềm có thể mở rộng để tạo và quản lý các trang web nội bộ doanh nghiệp và các trang web bên ngoài internet

- Lợi ích và tính năng của của IIS :

+ IIS được tích hợp đầy đủ và thiết kế để làm việc trên windows server 2003

+ Mỗi trang web được cô lập và các chức năng như một quá trình làm việc độc lập.điều này nâng cao độ tin cậy của IIS

+ Với an ninh của IIS trên windows server 2003 không được cài đặt mặc định.IIS cung cấp nhiều tính năng bảo mật để bảo vệ các mối đe dọa đến các trang web IIS từ bên ngoài

+ IIS được quản lý bởi các phương tiện : including IIS Manager, administration scripts, or editing of IIS configuration files

+ IIS hỗ trợ các nhà phát triển web bằng cách hỗ trợ các tiêu chuẩn web mới nhất, bao gồm XML, Giao thức truy cập đối tượng đơn giản (SOAP), và IPv6

+ IIS 6.0 sử dụng một trình điều khiển hạt nhân-mode cho HTTP phân tích và bộ nhớ đệm Các trình điều khiển hạt nhân-chế độ được điều chỉnh cho khả năng mở rộng và thông qua, làm tăng số lượng các trang web có một máy chủ IIS có thể lưu trữ và số lượng người làm việc đồng thời của các quá trình hoạt động mà máy chủ IIS có thể lưu trữ

13 | P a g e

Trang 14

+ Sau khi cài đặt của Windows Server 2003 Service Pack 1, IIS 6.0 cũng cung cấp cho hạt nhân, chế độ SSL (Secure Sockets Layer) Bằng cách chạy SSL trong chế độ hạt nhân, mã hóa và giải mã thực hiện các hoạt động hiệu quả hơn bằng cách giảm số lượng các giao dịch giữa các chế độ hạt nhân và chế độ người dùng

- Các dich vụ của IIS :

+ Dịch vụ World Wide Web World Wide Web (WWW) phục vụ public được sử dụng để public các dịch vụ web và kết nối HTTP yêu cầu từ khách hàng đến các trang websites IIS

Hypertext Transfer Protocol Hypertext Transfer Protocol (HTTP) được sử dụng để tạo ra nội dung cho các trang web cũng như để điều hướng các trang web

File Transfer Protocol File Transfer Protocol (FTP) được sử dụng để sao chép tập tin

từ hệ thống máy tính từ xa bằng cách sử dụng Transmission Control Protocol (TCP) Các giao thức TCP được thiết kế để hỗ trợ chính xác và đáng tin cậy dữ liệu FTP yêu cầu một máy chủ FTP và khách hàng một FTP IIS cho phép bạn tạo và quản lý một máy chủ FTP

Simple Mail Transfer Protocol Simple Mail Transfer Protocol (SMTP) được sử dụng trên Internet để tuyến đường thư điện tử giữa các đại lý chuyển nhượng SMTP không cung cấp khả năng máy chủ e-mail Đối với đầy đủ các dịch vụ e-mail, bạn cần một ứng dụng e-mail như Microsoft Exchange Server

Network News Transfer Protocol Network News Transfer Protocol (NNTP) được sửdụng để phân phối mạng tin nhắn đến các máy chủ NNTP và NNTP khách hàng (người đọc tin tức) trên Internet Tin tức bài viết được lưu trữ trên một máy chủ NNTP trong cơ sở

dữ liệu tập trung, nơi chúng có thể được lập chỉ mục, lấy ra, và được đăng

IIS Admin Service Các IIS Admin Service quản lý IIS metabase Các IIS metabase

là một cơ sở dữ liệu đặc biệt có chứa tất cả các thiết lập và dữ liệu cấu hình cho IIS IIS Admin Service quản lý IIS metabase bằng cách cập nhật của Windows Server 2003

Registry với các cài đặt cho các dịch vụ WWW, FTP, SMTP, và NNTP

B File Server :

- File Server là 1 cách thức lưu trữ data trên 1 máy server mang chức năng lưu trữ

dữ liệu tổng hợp cho toàn bộ trụ sở

- File Server được lưu trữ trên 1 HDD riêng biệt và được điều khiển bởi HĐH windows server 2003

- Việc phân chia lưu trữ và quyền hạn cho các phòng ban sử dụng file của phòng ban mình lưu trữ trên server sẽ được quản trị hệ thống thiết lập

- Dung lượng của ổ HDD lưu trữ data của máy flie server được thiết kế tùy thuộc

và nhu cầu của trụ sở

1 Microsoft Internet Security and Acceleration Sever (ISA Server)

14 | P a g e

Trang 15

A Tổng quan về ISA server :Là một phần mềm share internet khá hiệu quả, ổn định, dễcấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn,

và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các

WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN) Ngoài ra còn rất nhiều các tính năng khác nữa

B Về khả năng Publishing Service

- ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based chống lại các người dùng bất hợp pháp vàotrang web OWA tính năng này được phát triển dưới dạng Add-ins

- Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên internet (kể cả password)

- Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange server

- Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn

C Khả năng kết nối VPN cuar ISA

- Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được tích hợp hoàn toàn Quanratine

- Stateful filtering and inspection :kiểm tra đầy đủ các điều kiện trên VPN

Connection,site to site,secureNAT for VPN client

- Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec tunnel site-to-site (với các sản phẩm VPN khác)

D Khả năng quản lý của ISA

- Dễ dàng quản lý

- Rất nhiều Wizart

- Backup va Restore đơn giản

- Cho phép ủy quyền quản trị cho các user/group

- Log và report chi tiết cụ thể

- Cấu hình ở 1 nơi chạy ở mọi nơi (ISA Enterprise)

- Khai báo thêm Server vào araay dễ dàng

- Tich hợp với giải pháp quản lý của Microsoft MOM

- SDK

E Các tính năng khác của ISA

- Hỗ trợ nhiều CPU và Ram

- Max 32 node Network loadbalancing

15 | P a g e

Trang 16

- Hỗ trợ nhiều Network

- Route/NAT theo từng Network

- firewall rule đa dạng

- IDS

- Flood Resiliency

- HTTP compression

- Diffserv

A Giải pháp triển khai DC (domain controller),DNS Server , DHCP Server, Join Domain và các Policy thông dụng

1 Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưngkhông thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy hệ thống Domain Network với các ưuđiểm:

- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống

- Khả năng bảo mật cao

- Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng

16 | P a g e

Trang 17

- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)

- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chếReplication của AD

2 Triển khai máy chủ DNS để phân giải tên miền và máy chủ DHCP để cấp địa chỉ IP động cho tất

cả các máy client bên trong các phòng ban thuộc Domain

Để cấp địa chỉ IP cho các phòng ban với các dải IP khác nhau, ở mỗi phòng ban ta triển khai 1 máy làDHCP Relay Again làm nhiệm vụ đại diện xin địa chỉ IP cho các máy client

3 Backup DHCP, Backup domain Copy các thông tin backup sang PC khác Lập lịch thực hiệnbackup

4 Giải pháp đảm bảo tính sẵn sàng (High availability) của hệ thống và đảm bảo cho hệ thống không

bị ngắt quãng (fail-over)

5 Trong một hệ thống Active Directory lớn, nếu chỉ có một Domain Controller thì Server này có thể

bị quá tải khi nhiều user cùng yêu cầu chứng thực và user sẽ không được chứng thực khi Server này bị lỗi.Bên cạnh đó nếu hệ thống chỉ có một DNS Server sẽ xảy ra tình trạng quá tải trong việc phân giải tên, vànếu DNS Server bị lỗi hệ thống sẽ không thể phân giải tên

Để tránh được các trường hợp nêu trên, ta cần triển khai nhiều Domain Controller Server, nhiều DNSServer, chạy song song để hỗ trợ chức năng cân bằng tải (Load Balancing) và khả năng chịu lỗi (FaultTolerance)

Sử dụng công nghệ Clustering để triển khai DHCP cluster Các máy chủ chạy song song để hỗ trợchức năng cân bằng tải (Load Balancing) và khả năng chịu lỗi (Fault Tolerance)

6

B.DHCP Relay Agent

DHCP Relay Agent là bộ trung chuyển DHCP Discover (hoặc DHCP Request) đến DHCP Server.DHCP Relay Agent cho phép forward các truy vấn của DHCP Client đến DHCP server và trả lại IP choClients (làm nhiệm vụ như Proxy)

Trong trường hợp DHCP Client và DHCP Server không nằm cùng subnet và được kết nối qua bộ định tuyến (router) thì cần phải có giải pháp cho phép truy vấn từ DHCP Client vượt qua router để đến DHCP Server DHCP Relay Agent (tác nhân chuyển tiếp DHCP) được dùng cho mục đích này DHCP

17 | P a g e

Trang 18

Relay Agent là một thực thể trung gian cho phép chuyển tiếp (relay) các DHCP Discover (hoặc DHCP Request), mà thường bị chặn ở ngay router, từ DHCP Client đến DHCP Server

C Giải pháp triển khai File Server :

1.Giới thiệu về file server :

File server là tính năng cho phép các user lưu trữ file trên máy chủ, để được sao lưu định kỳ, sẵn sàng truy cập từ xa, giảm gánh nặng lưu trữ cho máy clients, dễ dàng nâng cấp dung lượng bộnhớ cho cả cơ quan khi cần thiết

2.Yêu cầu khi thiết lập 1 File Server :

* Thiết lập disk Quotas :

- Quotas là một tool dùng để chống lại việc user có quyền ghi lên server rồi ghi tùm lum,sao lưu phim ảnh làm đầy dung lương ổ HDD của máy Server làm nhiệm vụ chứa filecủa toàn bộ hệ thống

- Hộp thoại này cho phép thiết lập mặc định hạn ngạch đĩa cho user mới Phần Limit

disk space to là dung lượng đĩa tối đa mà user có thể lưu Phần Set warning level to

là dung lượng mà server sẽ cảnh báo khi user đã chứa đến mức đó Giả sử hạn ngạch là

50MB nhưng warning là 45MB thì khi user ghi đến 45MB sẽ bị cảnh báo là sắp hết

dung lượng cho phép, xóa bớt các thứ không cần thiết đi hoặc phản ánh với quản trị mạng của hệ thống

*Thiết lập share file và phân quyền cho các user

- Share HDD của Server làm nhiệm vụ file server

- Phân quyền cho các user được chia ra làm 4 nhóm lựa chọn :

 Mọi user có quyền chỉ đọc (Read Only)

 Các user toàn quyền, các user khác chỉ đọc

 Các user toàn quyền, các user khác được đọc và ghi

- Để cho các phòng ban không nhìn thấy folder của các phòng ban khác ta sử dụng tool

EBEUI để add chính sách cho từng phòng ban.

D Giải pháp về ISA server 2006.

18 | P a g e

Trang 19

- Cài đặt Firewall Client trên máy ISA 2006 và trên tất cả các máy tính nội bộ trong công ty ITN

- Cho phép phân giải tên miền DNS

- Cấu hình cho tất cả người dùng được phép chỉ truy cập trang web của công ty itn.com.vn.Cho tất cả người dùng được phép gửi và nhận Mail

- Cho tất cả người dùng được phép truy cập Internet vào giờ nghỉ giải lao(11h-13h)

- Không cho người dùng truy cập các trang web có nội dung không lành mạnh vào giở nghỉ giải lao(11h-13h)., khi người dùng cố tình vào các trang web đó thì sẽ redirect về trang Web của công ty Itn.com.vn trong giờ làm việc

- Cho phép người dùng sử dụng Yahoo, vol,webcam trong giờ nghỉ giải lao (11h-13h)

- Cấm download file exe (đề phòng nhiễm virut)

- Nhận biết và ngăn chặn các tấn công từ bên ngoài Internet (Cấu hình Intrusion Detection)

- Thực hiện thống kê báo cáo về các giao dịch thông qua ISA 2006 (Report).

- Thực hiên Publish FTP

- Cấu hình tạo BackUP ISA Server

A QUY TRÌNH TRIỂN KHAI DC(DOMAIN CONTROLLER), DNS SERVER, DHCP SERVER, JOIN DOMAIN VÀ CÁC POLICY THÔNG DỤNG

I- GIẢI PHÁP TRIỂN KHAI

1 Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưngkhông thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy hệ thống Domain Network với các ưuđiểm:

- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống

- Khả năng bảo mật cao

- Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng

- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)

19 | P a g e

Trang 20

- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chếReplication của AD

2 Triển khai máy chủ DNS để phân giải tên miền và máy chủ DHCP để cấp địa chỉ IP động cho tất

cả các máy client bên trong các phòng ban thuộc Domain

Để cấp địa chỉ IP cho các phòng ban với các dải IP khác nhau, ở mỗi phòng ban ta triển khai 1 máy làDHCP Relay Again làm nhiệm vụ đại diện xin địa chỉ IP cho các máy client

3 Backup DHCP, Backup domain Copy các thông tin backup sang PC khác Lập lịch thực hiệnbackup

4 Giải pháp đảm bảo tính sẵn sàng (High availability) của hệ thống và đảm bảo cho hệ thống không

bị ngắt quãng (fail-over)

Trong một hệ thống Active Directory lớn, nếu chỉ có một Domain Controller thì Server này có thể bịquá tải khi nhiều user cùng yêu cầu chứng thực và user sẽ không được chứng thực khi Server này bị lỗi.Bên cạnh đó nếu hệ thống chỉ có một DNS Server sẽ xảy ra tình trạng quá tải trong việc phân giải tên, vànếu DNS Server bị lỗi hệ thống sẽ không thể phân giải tên

Để tránh được các trường hợp nêu trên, ta cần triển khai nhiều Domain Controller Server, nhiều DNSServer, chạy song song để hỗ trợ chức năng cân bằng tải (Load Balancing) và khả năng chịu lỗi (FaultTolerance)

Sử dụng công nghệ Clustering để triển khai DHCP cluster

II- CÁC BƯƠC TRIỂN KHAI

Phần 1 : Xây dựng Domain Controller Server và các Policy thông dụng.

A Nâng cấp máy server lên làm Domain Controller

B Bổ sung dữ liệu trên DNS

C Các Policy thường dùng trong doanh nghiệp

Phần 2 : Xây dựng DHCP Server - Join Domain.

A Thực hiện cài đặt DHCP server

B Tạo các Scope cho các phòng ban

20 | P a g e

Trang 21

C Join các máy client vào Domain Phần 3 : Backup DHCP server, Backup Domain Lập lịch thực hiện Backup.

A Thực hiện backup DHCP server

B Thực hiện backup Domain

C Thực hiện lập lịch backup

Phần 4: Xây dựng Additional Domain Controller và Secondary DNS Server.

Phần 5: Triển khai DHCP clustering.

III- QUY TRÌNH TRIỂN KHAI

Phần 1 : Xây dựng Domain Controller Server và các Policy thông dụng

Server :

21 | P a g e

Trang 22

1.Tiến hành nâng cấp server lên làm domain controller

A nâng cấp máy server lên làm Domain Controller

B1 : Menu start > run > đánh lệnh “DC promo”

B2 : Màn hình Welcome > chọn Next

B3 : Màn hình “Operating System Compatibility” > Chọn Next

22 | P a g e

Trang 23

B4 : Màn hình Domain Controller Type > chọn Domain controller for a new domain > next

23 | P a g e

Trang 24

B5 : Màn hình “Create New Domain” > Chọn “Domain in new Forest” > Next

24 | P a g e

Trang 25

B6 : Điền tên Domain “mcsa.com” > chọn Next

25 | P a g e

Trang 26

B7 : Màn hình "Net Bios Domain Name" > chọn Next

26 | P a g e

Trang 27

B8 : Màn hình Database and log Folders > Chọn Next

27 | P a g e

Trang 28

B9 : Màn hình "Shared System Volume" > Chọn next

28 | P a g e

Trang 29

B10 : Màn hình DNS Registration Diagnostics > chọn “ Install and configure the DNS… ” > next

29 | P a g e

Trang 30

B11 : Hộp thoại Permissions > Để mặc định > chọn Next

30 | P a g e

Trang 31

B12 : Màn hình Directory Services Restore Mode Administrator Password “ > chọn Next > Next > sau khi install xong > restart lại máy theo yêu cầu của chương trình

31 | P a g e

Trang 32

32 | P a g e

Trang 33

33 | P a g e

Trang 34

B Bổ sung dữ liệu trên DNS

B1 : Mở DNS : Start > Program > administrative tool > DNS

34 | P a g e

Trang 35

B2 : Chuột phải lên “Reverse lookup zone” > Chọn New Zone

35 | P a g e

Trang 36

B3 : Màn hình Welcome chọn Next

36 | P a g e

Trang 37

B4 :Màn hình Zone Type > chọn “Primary zone” > Next

37 | P a g e

Trang 38

B5 : Màn hình “Active Directory Zone Replication Scope” > Để mặc định chọn Next

38 | P a g e

Trang 39

B6 : Trong dòng Network ID : điền 10.0.0 > next

39 | P a g e

Trang 40

B7 : Màn hình Dynamic Update > để mặc định > chọn Next

40 | P a g e

Tiêu đề	Báo cáo triển khai dự án xây dựng hệ thống quản lý mạng lan cho doanh nghiệp
Tác giả	Đặng Tuấn Minh, Lê Ngọc Tuấn, Trịnh Hoàng Trung
Người hướng dẫn	Ngô Xuân Hoàn
Trường học	Công Ty Cổ Phần Công Nghệ ITN Việt Nam
Thể loại	báo cáo

Định dạng
Số trang	212
Dung lượng	11,29 MB