Quản trị mạng (Trung cấp LRMT) - Nguồn: BCTECH

File Server Resource Manager là một tập hợp các công cụ cho phép người quản trị có thể điều khiển và quản lý dữ liệu trên các server chạy hệ điều hành Windows Server 2008 một cách hiệu [r]

BM/QT10/P.ĐTSV/04/04 Ban hành lần:

UBND TỈNH BÀ RỊA – VŨNG TÀU

TRƯỜNG CAO ĐẲNG KỸ THUẬT CƠNG NGHỆ

GIÁO TRÌNH

MƠ ĐUN QUẢN TRỊ MẠNG

NGHỀ: LẮP RÁP SỬA CHỮA MÁY TÍNH TRÌNH ĐỘ: TRUNG CẤP

(Ban hành kèm theo Quyết định số: ……/QĐ-CĐKTCN, ngày … tháng … năm 20…… Hiệu trưởng Trường Cao đẳng Kỹ thuật Công nghệ BR-VT)

TUYÊN BỐ BẢN QUYỀN

Nhằm đáp ứng nhu cầu học tập nghiên cứu cho giảng viên sinh viên nghề Công nghệ Thông tin trường Cao đẳng Kỹ thuật Công nghệ Bà Rịa – Vũng Tàu, thực biên soạn tài liệu Quản trị mạng

Tài liệu biên soạn thuộc loại giáo trình phục vụ giảng dạy học tập, lưu hành nội Nhà trường nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo

LỜI GIỚI THIỆU

Giáo trình “Quản trị mạng” biên soạn dựa khung chương trình đào tạo Cao đẳng nghề Công nghệ Thông tin năm 2019 Trường Cao đẳng Kỹ thuật Công nghê Bà Rịa – Vũng Tàu phê duyệt

Tác giả nghiên cứu số tài liệu, công nghệ đại kết hợp với kinh nghiệm làm việc thực tế để viết nên giáo trình Nội dung tác giả trình giáo trình trang bị cho học viên kiến thức kỹ năng:

 Phân biệt khác việc quản trị máy chủ (Server) máy trạm (workstation);

 Cài đặt hệ điều hành server

 Tạo tài khoản người dùng, tài khoản nhóm;

 Quản lý tài khoản người dùng, nhóm xếp hệ thống hố tác vụ quản trị tài khoản người dùng tài khoản nhóm

 Chia sẻ cấp quyền truy cập tài nguyên dùng chung;  Cài đặt cấp hạn ngạch sử dụng đĩa

 Lập cấu hình quản trị in ấn máy phục vụ in mạng;

 Cài đặt cấu hình dịch vụ mạng: Active Directory, DNS, DHCP, WINS, Proxy Server

 Bố trí làm việc khoa học đảm bảo an tồn cho người phương tiện học tập Nội dung giáo trình chia thành 14 bài, đó:

Bài 1: Giới thiệu chung mạng Bài 2: Mơ hình OSI

Bài 3: Kỹ thuật mạng cục Bài 4: Bộ giao thức TCP/IP

Bài 5: Tổng quan WINDOWS SERVER Bài 6: Dịch vụ tên miền DNS

Bài 7: Dịch vụ thư mục (ACTIVE DIRECTORY) Bài 8: Dịch vụ DHCP

Bài 9: Quản lý tài khoản người dùng nhóm Bài 10: Quản lý đĩa

Bài 11: Tạo quản lý thư mục dùng chung Bài 12: Quản lý in ấn

Bài 13: Chính sách hệ thống sách nhóm Bài 14: Backup & Restore

Mặc dù thân tham khảo tài liệu ý kiến tham gia đồng nghiệp, song giáo trình khơng tránh khỏi thiếu sót Mong bạn đóng góp ý kiến

Tôi xin cảm ơn thầy cô khoa CNTT–Trường Cao đẳng Kỹ thuật Công nghệ cho tơi ý kiến đóng góp q báu để tơi hồn thiện giáo trình

Bà Rịa – Vũng Tàu, ngày …… tháng …… năm ……… Tham gia biên soạn

MỤC LỤC

Nội dung Trang

BÀI GIỚI THIỆU VỀ MẠNG 20

1 Các kiến thức sở 20

2 Các loại mạng máy tính 21

2.1. Mạng cục lan (local area network) 21

2.2. Mạng đô thị man (metropolitan area network) 21

2.3. Mạng diện rộng wan (wide area network) 21

2.4. Mạng internet 22

3 Các mơ hình xử lý mạng 22

3.1. Mô hình xử lý mạng tập trung 22

3.2. Mơ hình xử lý mạng phân phối 23

3.3. Mơ hình xử lý mạng cộng tác 23

4 Các mơ hình quản lý mạng 24

4.1. Workgroup 24

4.2. Domain 24

5 Các mơ hình ứng dụng mạng 24

5.1. Mạng ngang hàng (peer to peer) 24

5.2. Mạng khách chủ (client- server) 25

6 Các d ị ch vụ mạng 25

6.1. Dịch vụ tập tin (files services) 26

6.2. Dịch vụ in ấn (print services) 26

6.3. Dịch vụ thông điệp (message services) 26

6.4. Dịch vụ thư mục (directory services) 27

6.5. Dịch vụ ứng dụng (application services) 27

6.6. Dịch vụ sở liệu (database services) 27

6.7. Dịch vụ web 27

7 Các lợi ích thực tế mạng 27

7.1 Tiết kiệm tài nguyên phần cứng 27

7.2 Trao đổi liệu trở nên dễ dàng 28

7.3 Chia sẻ ứng dụng 28

7.4 Tập trung liệu, bảo mật backup tốt 28

7.5 Sử dụng phần mềm ứng dụng mạng 28

7.6 Sử dụng dịch vụ internet 28

BÀI MƠ HÌNH THAM CHIẾU OSI 29

1 Mơ hình osi 30

1.1 Khái niệm giao thức (protocol) 30

1.2 Các tổ chức định chuẩn 30

1.3 Mơ hình osi 30

1.4 Chức lớp mơ hình tham chiếu osi 31

2 Quá trình xử lý vận chuyển gói liệu 33

2.1 Q trình đóng gói liệu (tại máy gửi) 33

2.2 Quá trình truyền liệu từ máy gửi đến máy nhận 34

2.3 Chi tiết trình xử lý máy nhận 34

3.1 Vai trò mơ hình tham chiếu tcp/ip 35

3.2 Các lớp mơ hình tham chiếu tcp/ip 35

3.3 Các bước đóng gói liệu mơ hình tcp/ip 36

3.4 SO sánh mơ hình osi tcp/ip 36

Bài : KỸ THUẬT MẠNG CỤC BỘ 37

1 Giới thiệu môi trường truyền dẫn 41

1.1 Khái niệm 42

1.2 Tần số truyền thơng 42

1.3 Các đặc tính phương tiện truyền dẫn 42

1.4 Các kiểu truyền dẫn 45

2 Các loại cáp 45

2.1 Cáp đồng trục (coaxial) 45

2.2 Cáp xoắn đôi 46

2.3 Cáp quang (fiber-optic cable) 46

3 Đường truyền vơ tuyến 46

3.1 Sóng vơ tuyến (radio) 47

3.2 Sóng viba 48

3.3 Hồng ngoại 48

4.Các thiết bị mạng 49

4.1 Card mạng (nic hay adapter) 50

4.2 Card mạng dùng cáp điện thoại 51

4.3 Modem 52

4.4 Repeater 53

4.5 Hub 54

4.6 Bridge (cầu nối) 55

4.7 Switch 56

4.8 Wireless access point 57

4.9 Router 58

4.10 Thiết bị mở rộng 59

4.10.1.Gateway – proxy: 59

4.10.2.Thiết bị truy cập internet 59

BÀI 4: GIAO THỨC TCP/IP 60

1 Tổng quan địa ip 61

2 Một số khái niệm thuật ngữ liên quan 61

3 Giới thiệu lớp địa 62

3.1 Lớp a 62

3.2 Lớp b 62

3.3 Lớp c 62

3.4 Lớp d e 63

3.5 Bảng tổng kết 64

3.6 Ví dụ cách triển khai đặt địa ip cho hệ thống mạng 66

3.7 Chia mạng (subnetting) 66

3.8 Địa riêng (private address) chế chuyển đổi địa mạng (network address translation - nat) 66

3.9 Cơ chế nat 67

4.1 Ví dụ 68

4.2 Ví dụ 68

BÀI :TỔNG QUAN VỀ WINDOWS SERVER 2008 73

1.Giới thiệu windows server 2008 73

2.Các tính windows server 2008 74

2.1.Công cụ quản trị Server Manager 74

2.2.Windows Server Core 74

2.3.PowerShell 74

2.4.Windows Deloyment Services 75

2.5 Terminal Services 75

2.6 Network Access Protection 75

2.7 Read-Only Domain Controllers 75

2.8 Công nghệ Failover Clustering 76

2.9 Windows Firewall with Advance Security 76

3.Một số tính windows server 2008 76

3.1 Cơng nghệ ảo hóa Hyper-V 76

3.2 Processor Compatibility Mode 77

3.3 File Classification Infrastructure 77

3.4 Quản lý ỗ đĩa file: 77

3.5 Cải tiến giao thức mã hóa 77

3.6 Một số tính khác 77

4 Các lợi ích windows server 2008 77

4.1 Web 77

4.2 Ảo hóa : 78

4.3 Bảo mật: 78

4.4 Network Access Protection (NAP): 78

4.5 Read-Only Domain Controller (RODC): 78

4.6 BitLocker: 79

4.7 Windows Firewall: 79

5 Các Phiên Windows Server 2008 79

6.2 Windows Server 2008 Standard Edition 79

6.3 Windows Server 2008 Enterprise Edition 79

6.4 Windows Server 2008 Datacenter Edition 80

6.5 Windows Web Server 2008 80

6 Yêu cầu phần cứng 80

7 Các cách cài đặt 81

8 Nâng cấp lên windows server 2008 81

BÀI 6: DỊCH VỤ TÊN MIỀN DNS 84

1.Tổng quan DNS 84

1.1.Giới thiệu DNS 84

1.2 Đặc điểm DNS windows server 84

1.3 Cách phân bổ liệu quản lý domain name 84

1.3 Cơ chế phân giải tên 85

1.3.2 Phân giải IP thành tên máy tính 87

2.1 Cấu hình DNS Client 88

2.2.Cài đặt DNS server – thực DC1 89

2.3.Cấu hình DNS Server : 90

2.4 Forward Lookup Zone 90

BÀI 7: DỊCH VỤ THƯ MỤC -ACTIVE DIRECTORY 98

1.Các mơ hình mạng mơi trường microsoft 99

1.1 Mơ hình Workgroup 99

1.2 Mơ hình Domain 99

2 Active directory 100

2.1 Giới thiệu Active Directory 100

2.2 Chức Active Directory 100

3 Directory Services 100

3.1 Giới thiệu Directory Services 100

3.2.Các thành phần Directory Services 101

4 Kiến trúc Active Directory 102

4.1 Objects 103

4.2 Organizational Units 103

4.3 Domain: 103

4.4 Domain Tree 104

4.5 Forest 105

5 Cài đặt cấu hình active directory 105

5.1 Nâng cấp Server thành Domain Controller 105

5.2 Các bước cài đặt 106

BÀI 8: DỊCH VỤ DHCP 119

1.Giới thiệu DHCP 119

1.1 Định nghĩa chức DHCP 119

1.2 Ưu điểm DHCP 120

2.Nguyên lý động DHCP 120

3 Cài đặt Windows Server 2008 121

3.1 Trên máy Server 121

3.2 Trên máy DHCP Client cấu hình để Client nhận IP tự động từ DHPC server 126

3.3 Cấu hình DHPC Resevations 128

4.Backup DHCP Server 129

5 Remove DHCP Server 130

BÀI 9: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM 132

1 Định nghĩa tài khoản người dùng tài khoản nhóm 132

1.1 Tài khoản người dùng 132

1.2 Tài khoản nhóm 134

2.Chứng thực kiểm soát truy cập 136

2.1 Các giao thức chứng thực 136

2.2 Số nhận diện bảo mật SID 136

2.3 Kiểm soát hoạt động truy cập đối tượng 137

3.Các tài khoản tạo sẵn 137

3.1 Tài khoản người dùng tạo sẵn 137

3.3 Tài khoản nhóm Global tạo sẵn 140

3.4 Các nhóm tạo sẵn đặc biệt 140

4.Quản lý tài khoản người dùng nhóm cục 141

4.1 Cơng cụ quản lý tài khoản người dùng cục 141

4.2 Quản lý tài khoản người dùng nhóm active directory 144

BÀI 10: QUẢN LÝ ĐĨA 148

1 Cấu hình hệ thống tập tin 148

2 Cấu hình đĩa lưu trữ 149

2.1 Basic storage 149

2.2 Dynamic storage 149

3 Sử dụng chương trình disk manager 152

Thực hành disk management 153

4 Quản lý việc nén liệu 164

5 Thiết lập hạn ngạch đĩa (disk quota) 165

6 Mã hoá liệu efs 165

BÀI 11: TẠO VÀ QUẢN LÝ THƯ MỤC DUNG CHUNG 166

1 Kiểm soát quyền truy cập hệ thống tệp ntfs 166

1.1 Phân quyền đơn giản 166

1.2 Phân quyền 167

2 Nguyên tắc áp dụng quyền truy cập 171

2.1 Nguyên tắc hoạch định thư mục chương trình 171

3.Tạo thư mục cá nhân (Home Folder) Volume NTFS 171

4 Share permission 171

5 Dịch vụ tập tin (file services) 179

5.1.Triển khai File Sevices 179

5.2 Quản lý File Screen 182

5.3 Quản lý Quota 188

5.4 Quản lý báo cáo 191

BÀI 12: DỊCH VỤ IN ẤN (PRINT SERVICES) 197

1 Cài đặt 197

2 Truy cập Print Sevices Tools 199

3 Quản lý máy in mạng 200

BÀI THỰC HÀNH PRINTER 200

Giới thiệu : lab bao gồm nội dung sau : 200

BÀI 13: CHÍNH SÁCH BẢO MẬT (GROUP POLICY) 216

1.Chính sách tài khoản (account Policy) 216

1.1 Password policy 216

1.2 Account lockout policy 217

2 Chính sách cục (Local Policy) 217

2.1.Chính sách kiểm tốn 217

2.1 Quyền hệ thống người dùng 218

2.2 Các lựa chọn bảo mật 221

3 Chính Sách Nhóm 223

3.1 So sánh System Policy Group Policy 223

3.2 Chức Group Policy 223

3.4 Xem sách cục máy tính xa 225

3.5 Thực thi quản lý GPOs miền 225

4.Một số minh họa gpo người dùng cấu hình máy 228

BÀI 14: QUẢN LÝ BACKUP VÀ RESTORE 243

1.Các loại backup 243

2.Sự kết hợp kiểu back up 244

3.Thực hành backup – recovery 245

BÀI THỰC HÀNH TỔNG QUÁT 258

GIÁO TRÌNH MƠ ĐUN Tên mô đun: Quản trị mạng

Mã môn học/mơ đun:MĐ22

VỊ TRÍ, TÍNH CHẤT MƠN HỌC:

- Vị trí: Mơn học bố trí sau sinh viên học xong môn học chung, môn học sở chuyên ngành đào tạo chuyên mơn nghề

- Tính chất:Là mơn học sở chuyên ngành bắt buộc MỤC TIÊU MÔN HỌC:

- Trình bày thành phần mơ hình OSI - Trình bày topo mạng LAN

- Liệt kê thành phần mạng LAN

- Trình bày nguyên tắc hoạt động hệ thống mạng LAN - Nhận dạng xác thành phần mạng

- Thiết lập hệ thống mạng LAN cho công ty

- Xử lý cố liên quan đến hệ thống mạng LAN

- Bình tĩnh, xác thao tác kết nối hệ thống mạng máy tính - Nhanh nhạy vệc nhận biết lỗi hệ thống mạng

- Phân biệt khác việc quản trị máy chủ (Server) máy trạm (workstation);

- Cài đặt hệ điều hành server

- Tạo tài khoản người dùng, tài khoản nhóm;

- Quản lý tài khoản người dùng, nhóm xếp hệ thống hố tác vụ quản trị tài khoản người dùng tài khoản nhóm;Chia sẻ cấp quyền truy cập tài nguyên dùng chung;Cài đặt cấp hạn ngạch sử dụng đĩa;

- Lập cấu hình quản trị in ấn máy phục vụ in mạng;

- Cài đặt cấu hình dịch vụ mạng: Active Directory, DNS, DHCP, WINS, Proxy Server

BÀI 1:GIỚI TH IỆU CHUNG VỀ MẠNG Mã bài: 22.1

Mục tiêu :

- Trình bày hình thành phát triển mạng máy tính

- Phân loại xác định đuợc kiểu thiết kế mạng máy tính thơng dụng Nội dung :

1 Mạng thơng tin ứng dụng

Mạng máy tính nhóm máy tính, thiết bị ngoại vi nối kết với thông qua phương tiện truyền dẫn cáp, sóng điện từ, tia hồng ngoại Giúp cho thiết bị trao đổi liệu với cách dễ dàng

Các thành phần cấu thành nên mạng máy tính: - Các loại máy tính: palm, laptop, pc, mainframe

- Các thiết bị giao tiếp: card mạng (nic hay adapter), hub, switch, router - Môi trường truyền dẫn: cáp, sóng điện từ, sóng vi ba, tia hồng ngoại - Các protocol: tcp/ip, netbeui, apple talk, ipx/spx

- Các hệ điều hành mạng: winnt, win2000, win2008 , novell netware, unix

- Các tài nguyên: file, thư mục

- Các thiết bị ngoại vi: máy in, máy fax, modem, scanner

- Các ứng dụng mạng: phần mềm quản lý kho bãi, phần mềm bán vé tàu - Server (máy phục vụ): máy tính cài đặt phần mềm chuyên

dụng làm chức cung cấp dịch vụ cho máy tính khác Tùy theo dịch vụ mà máy cung cấp, người ta chia thành loại server như sau: file server (cung cấp dịch vụ file thư mục), print server (cung cấp dịch vụ in ấn) Do làm chức phục vụ cho máy tính khác nên cấu hình máy server phải mạnh, thơng thường máy chun dụng hãng như: compaq, intel, ibm

- Client (máy trạm): máy tính sử dụng dịch vụ mà máy server cung cấp Do xử lý số công việc không lớn nên thông thường máy khơng u cầu có cấu hình mạnh

- Peer: máy tính vừa đóng vai trị máy sử dụng vừa máy cung cấp dịch vụ Máy peer thường sử dụng hệ điều hành như: dos, winnt workstation, win9x, win me, win2k professional, winxp

- Media (phương tiện truyền dẫn): cách thức vật liệu nối kết máy lại với

- Shared data (dữ liệu dùng chung): tập hợp tập tin, thư mục mà các máy tính chia sẻ để máy tính khác truy cập sử dụng chúng thông qua mạng

- Resource (tài nguyên): tập tin, thư mục, máy in, máy fax, modem, ổ cdrom thành phần khác mà người dùng mạng sử dụng

- Administrator: nhà quản trị hệ thống mạng. 2 Mô hình điện tốn mạng

2.1 Mạng cục lan (local area network)

Mạng lan nhóm máy tính thiết bị truyền thơng mạng nối kết với khu vực nhỏ tồ nhà cao ốc, khn viên trường đại học, khu giải trí

Các mạng lan thường có đặc điểm sau:

- Băng thơng lớn, có khả chạy ứng dụng trực tuyến xem phim, hội thảo qua mạng

- Kích thước mạng bị giới hạn thiết bị - Chi phí thiết bị mạng lan tương đối rẻ - Quản trị đơn giản

Hình 1.1 – Mơ hình mạng cục (lan) 2.2 Mạng đô thị man (metropolitan area network)

Mạng man gần giống mạng lan giới hạn thành phố hay quốc gia Mạng man nối kết mạng lan lại với thông qua phương tiện truyền dẫn khác (cáp quang, cáp đồng, sóng ) Và phương thức truyền thông khác

Đặc điểm mạng man:

- Băng thơng mức trung bình, đủ để phục vụ ứng dụng cấp thành phố hay quốc gia phủ điện tử, thương mại điện tử, ứng dụng ngân hàng

- Do man nối kết nhiều lan với nên độ phức tạp tăng đồng thời cơng tác quản trị khó khăn

- Chi phí thiết bị mạng man tương đối đắt tiền 2.3 Mạng diện rộng wan (wide area network)

Mạng wan bao phủ vùng địa lý rộng lớn quốc gia, lục địa hay toàn cầu Mạng wan thường mạng cơng ty đa quốc gia hay tồn cầu, điển hình mạng internet Do phạm vi rộng lớn mạng wan nên thông thường mạng wan tập hợp mạng lan, man nối lại với phương tiện như: vệ tinh (satellites), sóng viba (microwave), cáp quang, cáp điện thoại

Đặc điểm mạng wan:

- Phạm vi hoạt động rộng lớn không giới hạn

- Do kết nối nhiều lan, man lại với nên mạng phức tạp có tính tồn cầu nên thường có tổ chức quốc tế đứng quản trị

- Chi phí cho thiết bị cơng nghệ mạng wan đắt tiền

Hình 1.2 – mơ hình mạng diện rộng (wan) 2.4 Mạng internet

Mạng internet trường hợp đặc biệt mạng wan, cung cấp dịch vụ tồn cầu mail, web, chat, ftp phục vụ miễn phí cho người

3 Các kiến trúc mạng (topology).

Network topology là sơ đồ dùng biểu diễn kiểu xếp, bố trí vật lý máy tính, dây cáp thành phần khác mạng theo phương diện vật lý Có hai kiểu kiến trúc mạng là: kiến trúc vật lý (mơ tả cách bố trí đường truyền thực mạng), kiến trúc logic (mô tả đường mà liệu thật di chuyển qua node mạng)

3.1 Mạng bus (tuyến)

- Kiến trúc bus là kiến trúc cho phép nối mạng máy tính đơn giản phổ biến Nó dùng đoạn cáp nối tất máy tính thiết bị mạng thành hàng Khi máy tính mạng gởi liệu dạng tín hiệu điện tín hiệu lan truyền đoạn cáp đến máy tính cịn lại, nhiên liệu máy tính có địa so khớp với địa mã hóa liệu chấp nhận Mỗi lần có máy gởi liệu lên mạng số lượng máy tính bus tăng hiệu suất thi hành mạng chậm

- Hiện tượng dội tín hiệu: tượng liệu gởi lên mạng, liệu từ đầu cáp đến đầu cáp Nếu tín hiệu tiếp tục khơng ngừng dội tới lui dây cáp ngăn khơng cho máy tính khác gởi liệu Để giải tình trạng người ta dùng thiết bị terminator (điện trở cuối) đặt đầu cáp để hấp thu tín hiệu điện tự

repeater để khuếch đại tín hiệu

- Khuyết điểm: đoạn cáp đứt đôi đầu nối bị hở có hai đầu cáp khơng nối với terminator nên tín hiệu dội ngược làm cho toàn hệ thống mạng ngưng hoạt động Những lỗi khó phát hỏng chỗ nên công tác quản trị khó mạng lớn (nhiều máy kích thước lớn)

Hình 1.3: kiến trúc mạng bus 3.2 Mạng star (sao)

- Trong kiến trúc này, máy tính nối vào thiết bị đấu nối trung tâm (hub switch) Tín hiệu truyền từ máy tính gởi liệu qua hub tín hiệu khuếch đại truyền đến tất máy tính khác mạng

- Ưu điểm: kiến trúc star cung cấp tài nguyên chế độ quản lý tập trung. Khi đoạn cáp bị hỏng ảnh hưởng đến máy dùng đoạn cáp đó, mạng hoạt động bình thường Kiến trúc cho phép mở rộng thu hẹp mạng cách dễ dàng

- Khuyết điểm: máy tính phải nối vào trung tâm điểm nên kiến trúc địi hỏi nhiều cáp phải tính tốn vị trí đặt thiết bị trung tâm Khi thiết bị trung tâm điểm bị hỏng tồn hệ thống mạng ngừng hoạt động

Hình 1.4 – kiến trúc mạng star. 3.3 Mạng ring (vòng)

Trong mạng ring máy tính thiết bị nối với thành vịng khép kín, khơng có đầu bị hở Tín hiệu truyền theo chiều qua nhiều máy tính Kiến trúc dùng phương pháp chuyển thẻ (token passing) để truyền liệu quanh mạng

tính đầu gởi tạo thẻ thả lên mạng Vận tốc thẻ xấp xỉ với vận tốc ánh sáng

Hình 1.5 – kiến trúc mạng ring. 3.4 Mạng mesh (lưới).

Từng cặp máy tính thiết lập tuyến kết nối liên điểm số lượng tuyến kết nối nhanh chóng gia tăng số lượng máy tính mạng tăng lên nên người ta dùng cho mạng lưới lớn

Hình 1.6 – kiến trúc mạng mesh. 3.5 Mạng cellular (tế bào).

Các mạng tế bào chia vùng địa lý phục vụ thành tế bào, tế bào trạm trung tâm phục vụ Các thiết bị sử dụng tín hiệu radio để truyền thơng với trạm trung tâm, trạm trung tâm định tuyến thơng điệp đến thiết bị Ví dụ điển hình mạng tế bào mạng điện thoại di động

4 Các mơ hình xử lý mạng

Cơ có ba loại mơ hình xử lý mạng bao gồm: - Mơ hình xử lý mạng tập trung

- Mơ hình xử lý mạng phân phối - Mơ hình xử lý mạng cộng tác 4.1 Mơ hình xử lý mạng tập trung

Tồn tiến trình xử lý diễn máy tính trung tâm Các máy trạm cuối (terminals) nối mạng với máy tính trung tâm hoạt động thiết bị nhập xuất liệu cho phép người dùng xem hình nhập liệu bàn phím Các máy trạm đầu cuối không lưu trữ xử lý liệu Mơ hình xử lý mạng triển khai hệ thống phần cứng phần mềm cài đặt server

Hình 1.6 – mơ hình xử lý mạng tập trung 4.2 Mơ hình xử lý mạng phân phối

Các máy tính có khả hoạt động độc lập, công việc tách nhỏ giao cho nhiều máy tính khác thay tập trung xử lý máy trung tâm Tuy liệu xử lý lưu trữ máy cục máy tính nối mạng với nên chúng trao đổi liệu dịch vụ

Ưu điểm: truy xuất nhanh, phần lớn không giới hạn ứng dụng

Khuyết điểm: liệu lưu trữ rời rạc khó đồng bộ, backup dễ nhiễm virus

Hình 1.7 – mơ hình xử lý mạng phân phối 4.3 Mơ hình xử lý mạng cộng tác.

Mơ hình xử lý cộng tác bao gồm nhiều máy tính hợp tác để thực cơng việc Một máy tính mượn lực xử lý cách chạy chương trình máy nằm mạng

Ưu điểm: nhanh mạnh, dùng để chạy ứng dụng có phép tốn lớn

Khuyết điểm: liệu lưu trữ vị trí khác nên khó đồng backup, khả nhiễm virus cao

5 Các mơ hình quản lý mạng

5.1 Workgroup

Trong mơ hình máy tính có quyền hạn ngang khơng có máy tính chun dụng làm nhiệm vụ cung cấp dịch vụ hay quản lý Các máy tính tự bảo mật quản lý tài ngun riêng Đồng thời máy tính cục tự chứng thực cho người dùng cục 5.2. Domain

quản lý chứng thực người dùng mạng tập trung máy tính primary domain controller Các tài nguyên mạng quản lý tập trung và cấp quyền hạn cho người dùng Lúc hệ thống có máy tính chuyên dụng làm nhiệm vụ cung cấp dịch vụ quản lý máy trạm

6 Các mô hình ứng dụng mạng

6.1. Mạng ngang hàng (peer to peer)

Mạng ngang hàng cung cấp việc kết nối máy tính khơng có máy tính đóng vai trị phục vụ Một máy tính mạng vừa client, vừa server Trong môi trường này, người dùng máy tính chịu trách nhiệm điều hành chia sẻ tài ngun máy tính Mơ hình phù hợp với tổ chức nhỏ, số người giới hạn (thông thuờng nhỏ 10 người), không quan tâm đến vấn đề bảo mật Mạng ngang hàng thường dùng hệ điều hành sau: win95, windows for workgroup, winnt workstation, win2000 proffessional, os/2

Ưu điểm: mơ hình mạng ngang hàng đơn giản nên dễ cài đặt, tổ chức quản trị, chi phí thiết bị cho mơ hình thấp

Khuyết điểm: không cho phép quản lý tập trung nên liệu phân tán, khả bảo mật thấp, dễ bị xâm nhập Các tài nguyên không xếp nên khó định vị tìm kiếm

Hình 1.8 – mơ hình ứng dụng mạng ngang hàng (peer-to-peer) 6.2. Mạng khách chủ (client- server)

Trong mơ hình mạng khách chủ có hệ thống máy tính cung cấp tài nguyên dịch vụ cho hệ thống mạng sử dụng gọi máy chủ (server) Một hệ thống máy tính sử dụng tài nguyên dịch vụ gọi máy khách (client) Các server thường có cấu hình mạnh (tốc độ xử lý nhanh, kích thước lưu trữ lớn) máy chuyên dụng Dựa vào chức chia thành loại server sau:

- File server: phục vụ yêu cầu hệ thống tập tin mạng. - Print server: phục vụ yêu cầu in ấn mạng.

- Application server: cho phép ứng dụng chạy server trả kết cho client

- Web server: cung cấp dịch vụ web.

- Database server: cung cấp dịch vụ lưu trữ, tìm kiếm thông tin.

- Communication server: quản lý kết nối từ xa.

Hệ điều hành mạng dùng mơ hình client - server winnt, novell netware, unix, win2k

Ưu điểm: liệu lưu trữ tập trung nên dễ bảo mật, backup đồng với Tài nguyên dịch vụ tập trung nên dễ chia sẻ quản lý phục vụ cho nhiều người dùng

Khuyết điểm: server chuyên dụng đắt tiền, phải có nhà quản trị cho hệ thống

Hình 1.9 – mơ hình ứng dụng mạng khách chủ (client-server)

7 Các dịch vụ mạng

Các dịch vụ mạng phổ biến là: 7.1. Dịch vụ tập tin (files services)

Dịch vụ tập tin cho phép máy tính chia sẻ tập tin, thao tác tập tin chia sẻ như: lưu trữ, tìm kiếm, di chuyển

Truyền tập tin: khơng có mạng, khả truyền tải tập tin máy tính bị hạn chế Ví dụ muốn chép tập tin từ máy tính cục việt nam sang máy tính server đặt pháp dùng dịch vụ ftp để chép Dịch vụ phổ biến đơn giản

Lưu trữ tập tin: phần lớn liệu quan trọng mạng lưu trữ tập trung theo nhiều cách khác nhau:

Lưu trữ trực tuyến (online storage): liệu lưu trữ đĩa cứng nên truy xuất dễ dàng, nhanh chóng, thời gian Nhưng phương pháp có khuyết điểm chúng tháo rời để trao đổi lưu trữ tách rời, đồng thời chi phí lưu trữ mb liệu tương đối cao

Lưu trữ ngoại tuyến (offline storage): thường áp dụng cho liệu cần truy xuất (lưu trữ, backup) Các thiết bị phổ biến dùng cho phương pháp băng từ, đĩa quang

Di trú liệu (data migration) công nghệ tự động dời liệu dùng từ kho lưu trữ trực tuyến sang kho lưu trữ cận tuyến hay ngoại tuyến Nói cách khác trình chuyển tập tin từ dạng lưu trữ sang dạng lưu trữ khác

Đồng hóa việc cập nhật tập tin: dịch vụ theo dõi thay đổi khác lên tập tin để đảm bảo tất người dùng có tập tin tập tin không bị hỏng

Sao lưu dự phịng (backup) q trình chép lưu trữ liệu từ thiết bị lưu trữ Khi thiết bị lưu trữ có cố dùng để phục hồi liệu

7.2. Dịch vụ in ấn (print services)

Dịch vụ in ấn ứng dụng mạng điều khiển quản lý việc truy cập máy in, máy fax mạng Các lợi ích dịch vụ in ấn:

Giảm chi phí cho nhiều người chia dùng chung thiết bị đắt tiền máy in màu, máy vẽ, máy in khổ giấy lớn

Tăng độ linh hoạt máy tính đặt nơi nào, khơng đặt cạnh pc người dùng

Dùng chế hàng đợi in để ấn định mức độ ưu tiên nội dung in trước, nội dung in sau

7.3. Dịch vụ thông điệp (message services)

Là dịch vụ cho phép gởi/nhận thư điện tử (e-mail) Công nghệ thư điện tử rẻ tiền, nhanh chóng, phong phú cho phép đính kèm nhiều loại file khác như: phim ảnh, âm Ngồi dịch vụ cịn cung cấp ứng dụng khác như: thư thoại (voice mail), ứng dụng nhóm làm việc (workgroup application)

7.4. Dịch vụ thư mục (directory services)

Dịch vụ cho phép tích hợp thông tin đối tượng mạng thành cấu trúc thư mục dùng chung nhờ mà trình quản lý chia sẻ tài nguyên trở nên hiệu

7.5. Dịch vụ ứng dụng (application services)

Dịch vụ cung cấp kết cho chương trình client bằng cách thực chương trình server Dịch vụ cho phép ứng dụng huy động lực máy tính chuyên dụng khác mạng 7.6. Dịch vụ sở liệu (database services)

Dịch vụ sở liệu thực chức sau: - Bảo mật sở liệu

- Tối ưu hóa tiến trình thực tác vụ sở liệu

- Phục vụ số lượng người dùng lớn, truy cập nhanh vào sở liệu - Phân phối liệu qua nhiều hệ phục vụ csdl

7.7. Dịch vụ web

BÀI 2: MƠ HÌNH OSI Mã bài: 22.2 Mục tiêu :

- Trình bày khái niệm cấu trúc lớp mơ hình OSI - Nắm nguyên tắc hoạt động chức lớp mơ hình Nội dung chính:

1.Các qui tắc tiến trình truyền thơng 1.1 Khái niệm giao thức (protocol).

Là quy tắc giao tiếp (tiêu chuẩn giao tiếp) hai hệ thống giúp chúng hiểu trao đổi liệu với

Ví dụ: internetwork packet exchange (ipx), transmission control protocol/ internetwork protocol (tcp/ip), netbios extended user interface (netbeui)…

1.2 Các tổ chức định chuẩn.

ITU (international telecommunication union): hiệp hội viễn thông quốc tế IEEE (institute of electrical and electronic engineers): viện kĩ sư điện điện tử

ISO (international standardization organization): tổ chức tiêu chuẩn quốc tế, trụ sở geneve, thụy sĩ Vào năm 1977, iso giao trách nhiệm thiết kế chuẩn truyền thông dựa lí thuyết kiến trúc hệ thống mở làm sở để thiết kế mạng máy tính Mơ hình có tên osi (open system interconnection - tương kết hệ thống mở)

2 Mơ hình osi.

Mơ hình osi (open system interconnection): mơ hình tổ chức iso đề xuất từ 1977 cơng bố lần đầu vào 1984 Để máy tính thiết bị mạng truyền thơng với phải có qui tắc giao tiếp bên chấp nhận Mơ hình osi khn mẫu giúp hiểu liệu xuyên qua mạng đồng thời giúp hiểu chức mạng diễn lớp

Trong mơ hình osi có bảy lớp, lớp mô tả phần chức độc lập Sự tách lớp mơ hình mang lại lợi ích sau:

- Chia hoạt động thông tin mạng thành phần nhỏ hơn, đơn giản giúp dễ khảo sát tìm hiểu

- Chuẩn hóa thành phần mạng phép phát triển mạng từ nhiều nhà cung cấp sản phẩm

- Ngăn chặn tình trạng thay đổi lớp làm ảnh hưởng đến lớp khác, giúp lớp phát triển độc lập nhanh chóng

Mơ hình tham chiếu osi định nghĩa qui tắc cho nội dung sau: - Cách thức thiết bị giao tiếp truyền thông với

- Các phương pháp để thiết bị mạng truyền liệu, khơng

Được

- Cách thức vận tải, truyền, xếp kết nối với

- Cách thức đảm bảo thiết bị mạng trì tốc độ truyền liệu thích hợp

- Cách biểu diễn bit thiết bị truyền dẫn

Mơ hình tham chiếu osi chia thành bảy lớp với chức sau: - Application layer (lớp ứng dụng): giao diện ứng dụng mạng.

- Presentation layer (lớp trình bày): thoả thuận khuôn dạng trao đổi liệu

- Session layer (lớp phiên): cho phép người dùng thiết lập kết nối. - Transport layer (lớp vận chuyển): đảm bảo truyền thông hai hệ

thống

- Network layer (lớp mạng): định hướng liệu truyền môi trường liên mạng

- Data link layer (lớp liên kết liệu): xác định việc truy xuất đến thiết bị

- Physical layer (lớp vật lý): chuyển đổi liệu thành bit truyền đi.

Hình 2.1 – mơ hình tham chiếu osi 2.1 Lớp ứng dụng (application layer):

Là giao diện chương trình ứng dụng người dùng mạng Lớp application xử lý truy nhập mạng chung, kiểm soát luồng phục hồi lỗi Lớp không cung cấp dịch vụ cho lớp mà cung cấp dịch vụ cho ứng dụng như: truyền file, gởi nhận e-mail, telnet, http, ftp, smtp…

2.2 Lớp trình bày (presentation layer):

Lớp chịu trách nhiệm thương lượng xác lập dạng thức liệu trao đổi Nó đảm bảo thơng tin mà lớp ứng dụng hệ thống đầu cuối gởi đi, lớp ứng dụng hệ thống khác đọc Lớp trình bày thơng dịch nhiều dạng liệu khác thơng qua dạng chung, đồng thời nén giải nén liệu Thứ tự byte, bit bên gởi bên nhận qui ước qui tắc gởi nhận chuỗi byte, bit từ trái qua phải hay từ phải qua trái Nếu hai bên không thống có chuyển đổi thứ tự byte bit vào trước sau truyền Lớp presentation quản lý cấp độ nén liệu nhằm giảm số bit cần truyền Ví dụ: jpeg, ascci, ebcdic

2.3 Lớp phiên (session layer):

trình bày Lớp session cung cấp đồng hóa tác vụ người dùng cách đặt điểm kiểm tra vào luồng liệu Bằng cách này, mạng khơng hoạt động có liệu truyền sau điểm kiểm tra cuối phải truyền lại Lớp thi hành kiểm soát hội thoại trình giao tiếp, điều chỉnh bên truyền, nào, Ví dụ như: rpc, nfs, Lớp kết nối theo ba cách: haft-duplex, simplex, full-duplex. 2.4 Lớp vận chuyển (transport layer):

Lớp vận chuyển phân đoạn liệu từ hệ thống máy truyền tái thiết lập liệu vào luồng liệu hệ thống máy nhận đảm bảo việc bàn giao thông điệp thiết bị đáng tin cậy Dữ liệu lớp gọi segment Lớp thiết lập, trì kết thúc mạch ảo đảm bảo cung cấp dịch vụ sau:

- Xếp thứ tự phân đoạn: thông điệp lớn tách thành nhiều phân đoạn nhỏ để bàn giao, lớp vận chuyển xếp thứ tự phân đoạn trước ráp nối phân đoạn thành thông điệp ban đầu

- Kiểm sốt lỗi: có phân đoạn bị thất bại, sai trùng lắp, lớp vận chuyển yêu cầu truyền lại

- Kiểm soát luồng: lớp vận chuyển dùng tín hiệu báo nhận để xác nhận Bên gửi không truyền phân đoạn liệu bên nhận chưa gởi tín hiệu xác nhận nhận phân đoạn liệu trước đầy đủ

2.5 Lớp mạng (network layer):

Lớp mạng chịu trách nhiệm lập địa thông điệp, diễn dịch địa tên logic thành địa vật lý đồng thời chịu trách nhiệm gởi packet từ mạng nguồn đến mạng đích Lớp định đường từ máy tính nguồn đến máy tính đích Nó định liệu truyền đường dựa vào tình trạng, ưu tiên dịch vụ yếu tố khác Nó quản lý lưu lượng mạng chẳng hạn chuyển đổi gói, định tuyến, kiểm sốt tắc nghẽn liệu Nếu thích ứng mạng định tuyến (router) truyền đủ đoạn liệu mà máy tính nguồn gởi đi, lớp network định tuyến chia liệu thành đơn vị nhỏ hơn, nói cách khác, máy tính nguồn gởi gói tin có kích thước 20kb, router cho phép gói tin có kích thước 10kb qua, lúc lớp network router chia gói tin làm 2, gói tin có kích thước 10kb Ở đầu nhận, lớp network ráp nối lại liệu Ví dụ: số giao thức lớp này: ip, ipx, Dữ liệu lớp gọi packet datagram 2.6 Lớp liên kết liệu (data link layer):

Cung cấp khả chuyển liệu tin cậy xuyên qua liên kết vật lý Lớp liên quan đến:

- Địa vật lý - Mô hình mạng

- Cơ chế truy cập đường truyền - Thông báo lỗi

- Thứ tự phân phối frame - Điều khiển dòng

dữ liệu cách dùng số nghi thức lớp Lớp data link được chia thành hai lớp con:

- Lớp llc (logical link control) - Lớp mac (media access control)

Lớp llc phần so với giao thức truy cập đường truyền khác, cung cấp mềm dẻo giao tiếp Bởi lớp llc hoạt động độc lập với giao thức truy cập đường truyền, giao thức lớp (ví dụ ip lớp mạng) hoạt động mà khơng phụ thuộc vào loại phương tiện lan Lớp llc lệ thuộc vào lớp thấp việc cung cấp truy cập đường truyền

Lớp mac cung cấp tính thứ tự truy cập vào mơi trường lan Khi nhiều trạm truy cập chia sẻ môi trường truyền, để định danh trạm, lớp cho mac định nghĩa trường địa phần cứng, gọi địa mac address Địa mac số đơn giao tiếp lan (card mạng)

2.7 Lớp vật lý (physical layer):

Định nghĩa qui cách điện, cơ, thủ tục đặc tả chức để kích hoạt, trì dừng liên kết vật lý hệ thống đầu cuối Một số đặc điểm lớp vật lý bao gồm:

- Mức điện

- Khoảng thời gian thay đổi điện - Tốc độ liệu vật lý

- Khoảng đường truyền tối đa - Các đầu nối vật lý

3 Quá trình xử lý vận chuyển gói liệu. 3.1 Q trình đóng gói liệu (tại máy gửi)

Hình 2.3 – tên gọi liệu tầng mơ hình osi Các liệu máy gửi xử lý theo trình tự sau:

- Người dùng thơng qua lớp application để đưa thông tin vào máy tính Các thơng tin có nhiều dạng khác như: hình ảnh, âm thanh, văn bản…

- Tiếp theo thơng tin chuyển xuống lớp presentation để chuyển thành dạng chung, mã hoá nén liệu

- Tiếp liệu chuyển xuống lớp session để bổ sung thông tin phiên giao dịch

- Dữ liệu tiếp tục chuyển xuống lớp transport, lớp liệu cắt thành nhiều segment và bổ sung thêm thông tin phương thức vận chuyển liệu để đảm bảo độ tin cậy truyền

- Dữ liệu tiếp tục chuyển xuống lớp network, lớp mỗi segment được cắt thành nhiều packet bổ sung thêm thông tin định tuyến

- Tiếp liệu chuyển xuống lớp data link, lớp mỗi packet sẽ cắt thành nhiều frame bổ sung thêm thông tin kiểm tra gói tin (để kiểm tra nơi nhận)

- Cuối cùng, frame sẽ tầng vật lý chuyển thành chuỗi bit, đẩy lên phương tiện truyền dẫn để truyền đến thiết bị khác

3.2 Quá trình truyền liệu từ máy gửi đến máy nhận.

Bước 1: trình ứng dụng (trên máy gửi) tạo liệu chương trình phần cứng, phần mềm cài

Đặt lớp bổ sung vào header trailer (q trình đóng gói liệu máy gửi)

Bước 2: lớp physical (trên máy gửi) phát sinh tín hiệu lên môi trường truyền tải để truyền liệu Bước 3: lớp physical (trên máy nhận) nhận liệu Bước 4: chương trình phần cứng, phần mềm (trên máy nhận) gỡ bỏ header và trailer và xử lý phần liệu (quá trình xử lý liệu máy nhận)

Giữa bước bước q trình tìm đường gói tin Thơng thường, máy gửi biết địa ip máy nhận Vì thế, sau xác định địa ip máy nhận lớp network máy gửi so sánh địa ip máy nhận địa ip nó:

Nếu địa mạng máy gửi tìm bảng mac table của để có địa mac máy nhận Trong trường hợp khơng có địa mac tương ứng, thực giao thức arp để truy tìm địa mac Sau tìm địa mac, lưu địa mac vào bảng mac table để lớp datalink sử dụng lần gửi sau Sau có địa mac máy gửi gởi gói tin (giao thức arp nói thêm chương 6)

Nếu khác địa mạng máy gửi kiểm tra xem máy có khai báo default gateway hay khơng

default gateway.

+ Nếu khai báo default gateway thì máy gởi loại bỏ gói tin thơng báo "destination host unreachable"

3.3 Chi tiết trình xử lý máy nhận

Bước 1: lớp physical kiểm tra trình đồng bit đặt chuỗi bit nhận vào vùng đệm Sau thơng báo cho lớp data link liệu được nhận

Bước 2: lớp data link kiểm lỗi frame cách kiểm tra fcs trailer Nếu có lỗi frame bị bỏ Sau kiểm tra địa lớp data link (địa mac) xem có trùng với địa máy nhận hay khơng Nếu phần liệu sau loại header trailer chuyển lên cho lớp network Bước 3: địa lớp network được kiểm tra xem có phải địa máy nhận hay không (địa ip) ? Nếu liệu chuyển lên cho lớp transport xử lý

Bước 4: giao thức lớp transport có hỗ trợ việc phục hồi lỗi số định danh phân đoạn xử lý Các thông tin ack, nak (gói tin ack, nak dùng để phản hồi việc gói tin gởi đến máy nhận chưa) xử lý lớp Sau trình phục hồi lỗi thứ tự phân đoạn, liệu đưa lên lớp session

Bước 5: lớp session đảm bảo chuỗi thông điệp trọn vẹn Sau luồng hoàn tất, lớp session chuyển liệu sau header lớp lên cho lớp presentation xử lý

Bước 6: liệu lớp presentation xử lý cách chuyển đổi dạng thức liệu Sau kết chuyển lên cho lớp application

Bước 7: lớp application xử lý header cuối Header này chứa tham số thoả thuận hai trình ứng dụng Do tham số thường trao đổi lúc khởi động q trình truyền thơng hai trình ứng dụng

BÀI 3: KỸ THUẬT MẠNG CỤC BỘ Mã bài: 22.3

Mục tiêu:

- Giải thích chế truyền dẫn hệ thống mạng LAN mơi trường truyền

- Trình bày loại cable thiết bị mạng hệ thống mạng LAN - Thực bấm cable mạng theo chuẩn TIA 568A 568B

- Trình bày chế truy cập đường truyền mạng LAN - Tính cẩn thận, xác q trình thi cơng hệ thống mạng Nội dung chính:

1 Giới thiệu môi trường truyền dẫn 1.1 Khái niệm

Trên mạng máy tính, liệu truyền mơi trường truyền dẫn (transmission media), phương tiện vật lý cho phép truyền tải tín hiệu thiết bị Có hai loại phương tiện truyền dẫn chủ yếu:

- Vô tuyến (boundless media)

Thông thường hệ thống mạng sử dụng hai loại tín hiệu là: digital analog

1.2 Tần số truyền thông

Phương tiện truyền dẫn giúp truyền tín hiệu điện tử từ máy tính sang máy tính khác Các tín hiệu điện tử biểu diễn giá trị liệu theo dạng xung nhị phân (bật/tắt) Các tín hiệu truyền thơng máy tính thiết bị dạng sóng điện từ trải dài từ tần số radio đến tần số hồng ngoại

Các sóng tần số radio thường dùng để phát tín hiệu lan Các tần số dùng với cáp xoắn đơi, cáp đồng trục thơng qua việc truyền phủ sóng radio

Sóng viba (microware) thường dùng truyền thơng tập trung hai điểm trạm mặt đất vệ tinh, ví dụ mạng điện thoại cellular

Tia hồng ngoại thường dùng cho kiểu truyền thông qua mạng khoảng cách tương đối ngắn phát sóng hai điểm từ điểm phủ sóng cho nhiều trạm thu Chúng ta truyền tia hồng ngoại tần số ánh sáng cao thông qua cáp quang

1.3 Các đặc tính phương tiện truyền dẫn

Mỗi phương tiện truyền dẫn có tính đặc biệt thích hợp với kiểu dịch vụ cụ thể, thông thường quan tâm đến yếu tố sau:

- Chi phí

- Yêu cầu cài đặt - Độ bảo mật

- Băng thông (bandwidth): xác định tổng lượng thông tin truyền dẫn đường truyền thời điểm Băng thông số xác định, bị giới hạn phương tiện truyền dẫn, kỹ thuật truyền dẫn thiết bị mạng sử dụng Băng thông thơng số dùng để phân tích độ hiệu đường mạng Đơn vị băng thông: + Bps(bits per second-số bit giây): đơn vị của băng thông

+ Kbps (kilobits per second): kbps=103 bps=1000 bps + Mbps (megabits per second): mbps = 103 kbps + Gbps (gigabits per second): gbps = 103 mbps + Tbps (terabits per second): tbps = 103 gbps.

- Thông lượng (throughput): lượng thông tin thực truyền dẫn thiết bị thời điểm

- Băng tầng sở (baseband): dành tồn băng thơng cho kênh truyền, băng tầng mở rộng (broadband):cho phép nhiều kênh truyền chia sẻ phương tiện truyền dẫn (chia sẻ băng thông)

định giới hạn chiều dài dây cáp cáp dài dẫn đến tình trạng tín hiệu yếu mà phục hồi

- Nhiễu điện từ (electromagnetic interference - emi): bao gồm nhiễu điện từ bên ngồi làm biến dạng tín hiệu phương tiện truyền dẫn

- Nhiễu xuyên kênh (crosstalk): hai dây dẫn đặt kề làm nhiễu lẫn

Hình 3.1 – mơ trường hợp nhiễu xun kênh (crosstalk) 1.4 Các kiểu truyền dẫn.

Có kiểu truyền dẫn sau:

+ Đơn công (simplex): kiểu truyền dẫn này, thiết bị phát tín hiệu thiết bị nhận tín hiệu phân biệt rõ ràng, thiết bị phát đảm nhiệm vai trò phát tín hiệu, cịn thiết bị thu đảm nhiệm vai trị nhận tín hiệu Truyền hình ví dụ kiểu truyền dẫn

+ Bán song công (half-duplex): kiểu truyền dẫn này, thiết bị thiết bị phát, vừa thiết bị thu Nhưng thời điểm trạng thái (phát thu) Bộ đàm thiết bị hoạt động kiểu truyền dẫn

+ Song công (full-duplex): kiểu truyền dẫn này, thời điểm, thiết bị vừa phát vừa thu Điện thoại minh họa cho kiểu truyền dẫn

2 Môi trường truyền

2.1 Môi trường truyền có dây 2.1.1 Cáp đồng trục (coaxial).

Là kiểu cáp dùng lan, cấu tạo cáp đồng trục gồm:

- Dây dẫn trung tâm: dây đồng dây đồng bện

- Một lớp cách điện dây dẫn phía ngồi dây dẫn phía

- Dây dẫn ngồi: bao quanh dây dẫn trung tâm dạng dây đồng bện Dây có tác dụng bảo vệ dây dẫn trung tâm khỏi nhiễu điện từ nối đất để nhiễu

Hình 3.2 – chi tiết cáp đồng trục

Ưu điểm cáp đồng trục: rẻ tiền, nhẹ, mềm dễ kéo dây

Cáp mỏng (thin cable/thinnet): có đường kính khoảng 6mm, thuộc họ rg-58, chiều dài đường chạy tối đa 185 m

- Cáp rc-58, trở kháng 50 ohm dùng với ethernet mỏng - Cáp rc-59, trở kháng 75 ohm dùng cho truyền hình cáp - Cáp rc-62, trở kháng 93 ohm dùng cho arcnet

Cáp dày (thick cable/thicknet): có đường kính khoảng 13mm thuộc họ rg-58, chiều dài đường chạy tối đa 500m

Hình 3.3 – so sánh cáp đồng trục: thicknet thinnet. So sánh cáp đồng trục mỏng đồng trục dày:

- Chi phí: cáp đồng trục thinnet rẻ nhất, cáp đồng trục thicknet đắt - Tốc độ: mạng ethernet sử dụng cáp thinnet có tốc độ tối đa 10mbps

mạng arcnet có tốc độ Tối đa 2.5mbps

- Emi: có lớp chống nhiễu nên hạn chế nhiễu. - Có thể bị nghe trộm tín hiệu đường truyền

Cách lắp đặt dây: muốn nối đoạn cáp đồng trục mỏng lại với ta dùng đầu nối chữ t đầu

Bnc hình vẽ.

Hình 3.5 – đầu chuyển đổi (gắn vào máy tính)

Muốn đấu nối cáp đồng trục dày ta phải dùng đầu chuyển đổi transceiver nối kết vào máy tính thơng qua cổng aui.

Hình 3.6 – kết nối cáp thicknet vào máy tính 2.1.2 Cáp xoắn đơi.

Hình 3.7 – mơ tả cáp xoắn đơi

Cáp xoắn đôi gồm nhiều cặp dây đồng xoắn lại với nhằm chống phát xạ nhiễu điện từ Do giá thành thấp nên cáp xoắn dùng rộng rãi Có hai loại cáp xoắn đơi sử dụng rộng rãi lan là: loại có vỏ bọc chống nhiễu loại khơng có vỏ bọc chống nhiễu

Cáp xoắn đơi có vỏ bọc chống nhiễu stp (shielded twisted- pair).

- Gồm nhiều cặp xoắn phủ bên lớp vỏ làm dây đồng bện Lớp vỏ có tác dụng chống emi từ ngồi chống phát xạ nhiễu bên Lớp vỏ bọc chống nhiễu nối đất để thoát nhiễu Cáp xoắn đơi có bọc bị tác động nhiễu điện truyền tín hiệu xa cáp xoắn đơi trần

- Chi phí: đắt tiền thinnet utp lại rẻ tiền thicknet cáp quang

chạy 100m; tốc độ phổ biến 16mbps (token ring)

- Độ suy dần: tín hiệu yếu dần cáp dài, thông thường chiều dài cáp nên ngắn 100m

- Đầu nối: stp sử dụng đầu nối din (db –9)

Hình 3.8 – mơ tả cáp stp.

Cáp xoắn đơi khơng có vỏ bọc chống nhiễu utp (unshielded twisted-pair).

Gồm nhiều cặp xoắn cáp stp khơng có lớp vỏ đồng chống nhiễu Cáp xoắn đôi trần sử dụng chuẩn 10baset 100baset Do giá thành rẻ nên nhanh chóng trở thành loại cáp mạng cục ưu chuộng Độ dài tối đa đoạn cáp 100 mét Do khơng có vỏ bọc chống nhiễu nên cáp utp dễ bị nhiễu đặt gần thiết bị cáp khác thơng thường dùng để dây nhà Đầu nối dùng đầu rj-45

Hình 3.9 – mơ tả cáp utp Cáp utp có năm loại:

- Loại 1: truyền âm thanh, tốc độ < 4mbps

- Loại 2: cáp gồm bốn dây xoắn đôi, tốc độ 4mbps

- Loại 3: truyền liệu với tốc độ lên đến 10 mbps Cáp gồm bốn dây xoắn đôi với ba mắt xoắn foot ( foot là đơn vị đo chiều dài, foot = 0.3048 mét)

- Loại 4: truyền liệu, bốn cặp xoắn đôi, tốc độ đạt 16 mbps - Loại 5: truyền liệu, bốn cặp xoắn đôi, tốc độ 100mbps

Cáp xoắn có vỏ bọc sctp-ftp (screened twisted-pair).

Ftp là loại cáp lai tạo cáp utp và stp, hỗ trợ chiều dài tối đa 100m

Hình 3.10 – mơ tả cáp quang.

Cáp quang có cấu tạo gồm dây dẫn trung tâm sợi thủy tinh plastic tinh chế nhằm cho phép truyền tối đa tín hiệu ánh sáng Sợi quang tráng lớp nhằm phản chiếu tín hiệu Cáp quang truyền sóng ánh sáng (khơng truyền tín hiệu điện) với băng thơng cao nên không gặp cố nhiễu hay bị nghe trộm Cáp dùng nguồn sáng laser, diode phát xạ ánh sáng Cáp bền độ suy giảm tín hiệu thấp nên đoạn cáp dài đến vài km Băng thông cho phép đến 2gbps Nhưng cáp quang có khuyết điểm giá thành cao khó lắp đặt Các loại cáp quang:

- Loại lõi 8.3 micron, lớp lót 125 micron, chế độ đơn - Loại lõi 62.5 micron, lớp lót 125 micron, đa chế độ - Loại lõi 50 micron, lớp lót 125 micron, đa chế độ - Loại lõi 100 micron, lớp lót 140 micron, đa chế độ

Hộp đấu nối cáp quang: cáp quang bẻ cong nên nối cáp quang vào thiết bị khác phải thơng qua hộp đấu nối

Hình 4.11 – mô tả hộp đấu nối cáp quang

Hình 3.12 – số loại đầu nối cáp quang. 2.2 Môi trường truyền dẫn không dây.

Khi dùng loại cáp ta gặp số khó khăn sở cài đặt cố định, khoảng cách khơng xa, để khắc phục khuyết điểm người ta dùng đường truyền vô tuyến Đường truyền vơ tuyến mang lại lợi ích sau:

- Cung cấp nối kết tạm thời với mạng cáp có sẵn

- Những người liên tục di chuyển nối kết vào mạng dùng cáp

- Lắp đặt đường truyền vơ tuyến nơi địa hình phức tạp dây

- Phù hợp cho nơi phục vụ nhiều kết nối lúc cho nhiều khách hàng Ví dụ như: dùng đường vô tuyến cho phép khách hàng sân bay kết vào mạng để duyệt internet

- Dùng cho mạng có giới hạn rộng lớn vượt khả cho phép cáp đồng cáp quang

- Dùng làm kết nối dự phòng cho kết nối hệ thống cáp Tuy nhiên, đường truyền vô tuyến có số hạn chế:

- Tín hiệu khơng an tồn - Dễ bị nghe

- Khi có vật cản tín hiệu suy yếu nhanh - Băng thông không cao

Hình 3.12 – truyền liệu qua sóng vơ tuyến

Sóng radio nằm phạm vi từ 10 khz đến ghz, miền ta có nhiều dải tần ví dụ như: sóng ngắn, vhf (dùng cho tivi radio fm), uhf (dùng cho tivi) Tại quốc gia, nhà nước quản lý cấp phép sử dụng băng tần để tránh tình trạng sóng bị nhiễu Nhưng có số băng tần định vùng tự có nghĩa dùng khơng cần đăng ký (vùng thường có dải tần 2,4 ghz) Tận dụng lợi điểm thiết bị wireless hãng cisco, compex đều dùng dải tần Tuy nhiên, sử dụng tần số khơng cấp phép có nguy nhiễu nhiều

2.2.2 Sóng viba

Truyền thơng viba thường có hai dạng: truyền thơng mặt đất nối kết với vệ tinh Miền tần số viba mặt đất khoảng 21-23 ghz, kết nối vệ tinh khoảng 11-14 mhz Băng thông từ 1-10 mbps Sự suy yếu tín hiệu tùy thuộc vào điều kiện thời tiết, công suất tần số phát Chúng dễ bị nghe trộm nên thường mã hóa

Hình 3.14 – truyền liệu trực tiếp hai thiết bị. 2.2.3 Hồng ngoại.

Tất mạng vô tuyến hồng ngoại hoạt động cách dùng tia hồng ngoại để truyền tải liệu thiết bị Phương pháp truyền tín hiệu tốc độ cao dải thông cao tia hồng ngoại Thơng thường mạng hồng ngoại truyền với tốc độ từ 1-10 mbps Miền tần số từ 100 ghz đến 1000 ghz Có bốn loại mạng hồng ngoại:

- Mạng đường ngắm: mạng truyền máy phát máy thu có đường ngắm rõ rệt chúng

- Mạng hồng ngoại tán xạ: kỹ thuật phát tia truyền dội tường sàn nhà đến máy thu Diện tích hiệu dụng bị giới hạn khoảng 100 feet (35m) có tín hiệu chậm tượng dội tín hiệu

- Mạng phản xạ: loại mạng hồng ngoại này, máy thu-phát quang đặt gần máy tính truyền tới vị trí chung, tia truyền đổi hướng đến máy tính thích hợp

-Broadband optical telepoint: loại mạng cục vô tuyến hồng ngoại cung cấp dịch vụ dải rộng Mạng vô tuyến có khả xử lý yêu cầu đa phương tiện chất lượng cao, vốn trùng khớp với yêu cầu đa phương tiện mạng cáp

Hình 3.15 – truyền liệu máy tính thơng qua hồng ngoại. 3 Các kỹ thuật bấm cáp mạng.

Hình 3.16 – đầu rj45

Hình 3.17 – cách đấu dây thẳng.

Cáp chéo (crossover cable): cáp dùng nối trực tiếp hai thiết bị giống pc – pc, hub – hub, switch – switch Cáp chéo trật tự dây giống cáp thẳng đầu dây lại phải chéo cặp dây xoắn sử dụng (vị trí thứ đổi với vị trí thứ 3, vị trí thứ hai đổi với vị trí thứ sáu)

Hình 3.18 – cách đấu dây chéo.

Cáp console: dùng để nối pc vào thiết bị mạng chủ yếu dùng để cấu hình thiết bị Thơng thường khoảng cách dây console ngắn nên không cần chọn cặp dây xoắn, mà chọn theo màu từ 1-8 cho dễ nhớ đầu bên ngược lại từ 8-1

Ansi (viện tiêu chuẩn quốc gia hoa kỳ), tia (hiệp hội công nghiệp viễn thông), eia (hiệp hội công nghiệp điện tử) đưa cách xếp đặt vị trí dây sau:

- Chuẩn t568-b (còn gọi chuẩn b):

4 Các thiết bị mạng.

4.1 Card mạng (nic hay adapter).

Card mạng thiết bị nối kết máy tính cáp mạng Chúng thường giao tiếp với máy tính qua khe cắm như: isa, pci hay usp… phần giao tiếp với cáp mạng thông thường theo chuẩn như: aui, bnc, utp… chức card mạng:

- Chuẩn bị liệu đưa lên mạng: trước đưa lên mạng, liệu phải chuyển từ dạng byte, bit sang tín hiệu điện để truyền cáp

- Gởi liệu đến máy tính khác

- Kiểm sốt luồng liệu máy tính hệ thống cáp

Địa mac (media access control): card mạng có địa riêng dùng để phân biệt card mạng với card mạng khác mạng Địa ieee – viện công nghệ điện điện tử – cấp cho nhà sản xuất card mạng Từ nhà sản xuất gán cố định địa vào chip card mạng Địa gồm byte (48 bit), có dạng xxxxxx.xxxxxx, byte đầu mã số nhà sản xuất, byte sau số serial card mạng hãng sản xuất Địa ghi cố định vào rom nên gọi địa vật lý Ví dụ địa vật lý card intel có dạng sau: 00a0c90c4b3f

Hình card mạng re100tx theo chuẩn ethernet ieee 802.3 ieee 802.3u

Hình 4.20 – card re100tx.

Hình card fl1000t 10/100/1000mbps gigabit adapter, card mạng theo chuẩn gigabit dùng đầu nối rj45 truyền môi trường cáp utp cat Card cung cấp đường truyền với băng thông lớn tương thích với card pci 64 32 bit đồng thời hỗ trợ hai chế truyền full/half duplex ba loại băng thông 10/100/1000 mbps.

Hình 3.19 – card fl1000t 10/100/1000mbps gigabit.

Hình card mạng khơng dây wl11a 11mbps wireless pcmcia lan card, card giao tiếp với máy theo chuẩn pcmcia nên sử dụng cho pc phải dùng thêm card chuyển đổi từ pci sang pcmcia Card thiết kế theo chuẩn ieee802.11b dải tần 2.4ghz ism, dùng chế csma/ca để xử lý đụng độ, băng thơng card 11mbps, mã hóa 64 128 bit Đặc biệt card hỗ trợ hai kiến trúc kết nối mạng infrastructure adhoc.

Hình 3.20 – card wl11a. Card mạng dùng cáp điện thoại.

Hình 3.21 - card hp10 10mbps phoneline. 4.1 Modem.

Là thiết bị dùng để nối hai máy tính hay hai thiết bị xa thông qua mạng điện thoại Modem thường có hai loại: internal (là loại gắn bên máy tính giao tiếp qua khe cắm isa pci), external (là loại thiết bị đặt bên cpu giao tiếp với cpu thông qua cổng com theo chuẩn rs-232) Cả hai loại có cổng giao tiếp rj11 để nối với dây điện thoại

Chức modem là chuyển đổi tín hiệu số (digital) thành tín hiệu tương tự (analog) để truyền liệu dây điện thoại Tại đầu nhận, modem chuyển liệu ngược lại từ dạng tín hiệu tương tự sang tín hiệu số để truyền vào máy tính Thiết bị giá tương đối thấp mang lại hiệu lớn Nó giúp nối mạng lan xa với thành mạng wan, giúp người dùng hịa vào mạng nội cơng ty cách dễ dàng dù người nơi

Hình 3.22 – mơ hình truyền liệu thơng qua modem

Remote access services (ras): dịch vụ mềm máy tính dịch vụ thiết bị phần cứng Nó cho phép dùng modem để nối kết hai mạng lan với máy tính vào mạng nội

4.2 Repeater.

Là thiết bị dùng để khuếch đại tín hiệu đoạn cáp dài Khi truyền liệu đoạn cáp dài tín hiệu điện yếu đi, muốn mở rộng kích thước mạng dùng thiết bị để khuếch đại tín hiệu truyền tiếp Nhưng ý thiết bị hoạt động lớp vật lý mơ hình osi, hiểu tín hiệu điện nên không lọc liệu dạng nào, lần khuếch đại tín hiệu điện yếu bị sai tiếp tục dùng nhiều repeater để khuếch đại mở rộng kích thước mạng liệu ngày sai lệch

Hình 3.24 – thiết bị repeater. 4.4 Hub.

Là thiết bị giống repeater nhiều port cho phép nhiều máy tính nối tập trung thiết bị Các chức giống repeater dùng để khuếch đại tín hiệu điện truyền đến tất port cịn lại đồng thời khơng lọc liệu Thông thường hub hoạt động lớp (lớp vật lý) Toàn hub (hoặc repeater) xem collision domain

Hub gồm có ba loại:

Passive hub: thiết bị đấu nối cáp dùng để chuyển tiếp tín hiệu từ đoạn cáp đến đoạn cáp khác, khơng có linh kiện điện tử nguồn riêng nên không không khuếch đại xử lý tín hiệu;

Active hub: thiết bị đấu nối cáp dùng để chuyển tiếp tín hiệu từ đoạn cáp đến đoạn cáp khác với chất lượng cao Thiết bị có linh kiện điện tử nguồn điện riêng nên hoạt động repeater có nhiều cổng (port);

Hình 3.25 – mơ hình mạng sử dụng hub. 4.5 Bridge (cầu nối).

Là thiết bị cho phép nối kết hai nhánh mạng, có chức chuyển có chọn lọc gói tin đến nhánh mạng chứa máy nhận gói tin Trong bridge có bảng địa mac, bảng địa dùng để định đường gói tin (cách thức truyền gói tin nói rõ phần trình bày thiết bị switch) Bảng địa khởi tạo tự động phải cấu hình tay Bridge hoạt động lớp hai (lớp data link) mơ hình osi.

Ưu điểm của bridge là: cho phép mở rộng mạng logic với nhiều kiểu cáp khác Chia mạng thành nhiều phân đoạn khác nhằm giảm lưu lượng mạng

Khuyết điểm: chậm repeater vì phải xử lý gói tin, chưa tìm đường tối ưu trường hợp có nhiều đường Việc xử lý gói tin dựa phần mềm

Hình 3.26 – mơ hình mạng sử dụng bridge. 4.6 Switch

Là thiết bị giống bridge nhiều port hơn cho phép ghép nối nhiều đoạn mạng với Switch dựa vào bảng địa mac để định gói tin port nhằm tránh tình trạng giảm băng thông số máy trạm mạng tăng lên Switch cũng hoạt động lớp hai mơ hình osi Việc xử lý gói tin dựa phần cứng (chip)

Khi gói tin đến switch (hoặc bridge), switch (hoặc bridge) sẽ thực sau:

- Kiểm tra địa nguồn gói tin có bảng mac chưa, chưa có thêm địa

Mac port nguồn (nơi gói tin vào switch (hoặc bridge)) vào trong bảng mac

-Kiểm tra địa đích gói tin có bảng mac chưa:

+ Nếu chưa có gởi gói tin tất port (ngoại trừ port gói tin đi vào)

+ Nếu địa đích có bảng mac:

+ Nếu port đích trùng với port nguồn switch (hoặc bridge) loại bỏ gói tin

+ Nếu port đích khác với port nguồn gói tin gởi port đích tương ứng

+ Địa nguồn địa đích nói địa mac + Port nguồn port mà gói tin vào.

+ Port đích port mà gói tin ra.

Do cách hoạt động switch (hoặc bridge) vậy, nên port switch là collision domain, toàn switch được xem broadcast domain (khái niệm collision domain và broadcast domain sẽ giới thiệu chương 5, phần “các công nghệ mạng lan”)

Hình 3.27 – mơ hình mạng sử dụng switch.

Ngồi tính sở, switch cịn tính mở rộng sau: - Phương pháp chuyển gói tin (switching mode): thiết bị cisco

có thể sử dụng ba loại sau:

+ store and forward: tính lưu liệu đệm trước khi truyền sang port khác để tránh đụng độ (collision), thông thường tốc độ truyền khoảng 148.800 pps Với kỹ thuật tồn gói tin phải nhận đủ trước switch truyền frame độ trễ (latency) lệ thuộc vào chiều dài frame

+ cut through: switch sẽ truyền gói tin biết địa đích gói tin Kỹ thuật có độ trễ thấp so với kỹ thuật store and forward độ trễ số xác định, bất chấp chiều dài gói tin

+ fragment free: switch đọc 64 byte sau bắt đầu truyền dữ liệu

+ Trunking (mac base): số thiết bị switch, tính trunking được hiểu tính giúp tăng tốc độ truyền hai switch, ý hai switch phải loại Riêng thiết bị switch cisco, trunking được hiểu đường truyền dùng để mang thơng tin cho vlan

Hình 3.28 – mơ tả cách dùng đường trunking.

broadcast nhằm cải tiến tốc độ hiệu hệ thống Nói cách khác, vlan là nhóm logic thiết bị người sử dụng Nhóm logic chia dựa vào chức năng, ứng dụng, … mà không phụ thuộc vào vị trí địa lý Chỉ có thiết bị vlan liên lạc với Nếu muốn vlan liên lạc với phải sử dụng router để liên kết vlan lại

Hình 3.29 – mơ tả cách sử dụng vlan.

+ Spanning tree: tạo đường dự phịng, bình thường liệu truyền cổng mang số thứ tự thấp Khi liên lạc thiết bị tự chuyển sang cổng khác, nhằm đảm bảo mạng hoạt động liên tục Spanning tree thực chất hạn chế đường dư thừa mạng

Hình switch compex srx2216 thiết kế theo chuẩn ieee 802.3, ieee802.3u, switch thường dùng giải pháp mạng vừa nhỏ Thiết bị hỗ trợ 16 port rj45 tốc độ 10/100mbps, 12k mac address, 2k đệm (buffer) Ngồi thiết bị cịn có tính năng như: store and forward, spanning tree, port trunking, virtual lan giúp mở rộng mạng mà không sợ xảy đụng độ (collision)

Hình 3.30 - switch compex srx2216.

Hình 3.31 – thiết bị wireless

Wireless access point thiết bị kết nối mạng không dây thiết kế theo chuẩn ieee802.11b, cho phép nối lan to lan, dùng chế csma/ca để giải tranh chấp, dùng hai kiến trúc kết nối mạng infrastructure adhoc, mã hóa theo 64/128 bit Nó cịn hỗ trợ tốc độ truyền không dây lên 11mbps băng tần 2,4ghz ism dùng cơng nghệ radio dsss (direct sequence spread spectrum)

Hình 3.32 – mạng sử dụng wireless. 4.8 Router.

Là thiết bị dùng nối kết mạng logic với nhau, kiểm sốt lọc gói tin nên hạn chế lưu lượng mạng logic (thông qua chế access-list) Các router dùng bảng định tuyến (routing table) để lưu trữ thông tin mạng dùng trường hợp tìm đường tối ưu cho gói tin Bảng định tuyến chứa thông tin đường đi, thông tin ước lượng thời gian, khoảng cách… bảng cấu hình tĩnh hay tự động Router hiểu địa logic ip nên thông thường router hoạt động lớp mạng (network) cao

Người ta thực firewall ở mức độ đơn giản router thơng qua tính access- list (tạo danh sách truy cập hợp lệ), thực việc ánh xạ địa thơng qua tính nat (chuyển đổi địa chỉ)

Khi gói tin đến router, router thực việc kiểm tra địa ip đích gói tin:

Nếu địa mạng ip đích có bảng định tuyến router, router gởi port tương ứng.

Nếu có khai báo default gateway thì gói tin router đưa đến default gateway.Nếu khơng có khai báo default gateway thì gói tin bị loại bỏ

4.9 Gateway – proxy:

Là thiết bị trung gian dùng để nối kết mạng nội bên mạng bên ngồi Nó có chức kiểm soát tất luồng liệu vào mạng nhằm ngăn chặn hacker tấn công Gateway hỗ trợ chuyển đổi giao thức khác nhau, chuẩn liệu khác (ví dụ ip/ipx)

Proxy giống firewall (bức tường lửa), nâng cao khả bảo mật mạng nội bên mạng bên Proxy cho phép thiết lập danh sách phép truy cập vào mạng nội bên trong, danh sách ứng dụng mà mạng nội bên truy cập mạng bên ngồi Ngồi proxy cịn máy đại điện cho máy trạm bên mạng nội truy cập internet, chức quan trọng proxy

Hình 3.33 – mơ hình mạng sử dụng gateway. 5 Kỹ thuật mạng Ethernet

Ethernet

Đầu tiên, ethernet được phát triển hãng xerox, digital, intel vào đầu năm 1970 Phiên ethernet được thiết kế hệ thống 2,94 mbps để nối 100 máy tính vào sợi cáp dài km Sau hãng lớn thảo luận đưa chuẩn dành cho ethernet 10 mbps.

Ethernet chuẩn thường có cấu hình bus, truyền với tốc độ 10mbps dựa vào csma/cd (carrier sense multiple access / collision detection) để điều chỉnh lưu thơng đường cáp Tóm lại đặc điểm ethernet sau:

- Cấu hình: bus star

- Phương pháp chia sẻ môi trường truyền: csma/cd - Quy cách kỹ thuật ieee 802.3

- Vận tốc truyền: 10 – 100 mbps

- Cáp: cáp đồng trục mảnh, cáp đồng trục lớn, cáp utp - Tên chuẩn ethernet thể đặc điểm sau:

- Từ thể tín hiệu dải tần sở sử dụng (base broad)

+ ethernet dựa vào tín hiệu baseband sẽ sử dụng tồn băng thơng phương tiện truyền dẫn Tín hiệu liệu truyền trực tiếp phương tiện truyền dẫn mà khơng cần thay đổi kiểu tín hiệu

+ trong tín hiệu broadband (ethernet khơng sử dụng), tín hiệu liệu khơng gởi trực tiếp lên phương tiện truyền dẫn mà phải thực điều chế

- Các ký tự lại thể loại cáp sử dụng Ví dụ: chuẩn 10base2, tốc độ truyền tối đa 10mbps, sử dụng tín hiệu baseband, sử dụng cáp thinnet.

Card mạng ethernet: hầu hết nic cũ cấu hình các jump (các chấu cắm chuyển) để ấn định địa ngắt Các nic hiện hành cấu hình tự động chương trình chạy máy chứa card mạng, cho phép thay đổi ngắt địa nhớ lưu trữ chip nhớ đặc biệt nic

Hình 3.33 – card mạng ethernet.

Dạng thức khung ethernet: ethernet chia liệu thành nhiều khung (frame) Khung gói thơng tin truyền đơn vị Khung ethernet dài từ 64 đến 1518 byte, thân khung ethernet sử dụng 18 byte, nên liệu khung ethernet dài từ 46 đến 1500 byte Mỗi khung có chứa thơng tin điều khiển tn theo cách tổ chức Ví dụ khung ethernet (dùng cho tcp/ip) truyền qua mạng với thành phần sau:

Hình 3.34 – cấu trúc khung ethernet Các trường frame ethernet:

- Preamble: byte mở đầu.

- Destination: byte thể địa mac đích. - Source: byte thể địa mac nguồn. - Type: byte thể kiểu giao thức tầng trên. - Data: liệu frame.

cơ sở:

- 10base2: tốc độ 10, chiều dài cáp nhỏ 200 m, dùng cáp thinnet (cáp đồng trục mảnh)

- 10base5: tốc độ 10, chiều dài cáp nhỏ 500 m, dùng cáp thicknet (cáp đồng trục dày)

- 10baset: tốc độ 10, dùng cáp xoắn đôi (twisted-pair) - 10basefl: tốc độ 10, dùng cáp quang (fiber optic)

- 100baset: tốc độ 100, dùng cáp xoắn đôi (twisted-pair) - 100basex: tốc độ 100, dùng cho multiple media type - 100vg-anylan: tốc độ 100, dùng voice grade

Chuẩn 10base2

Cấu hình xác định theo tiêu chuẩn ieee 802.3 bảo đảm tuân thủ quy tắc sau:

- Khoảng cách tối thiểu hai máy trạm phải cách 0.5m - Dùng cáp thinnet (rg-58)

- Tốc độ 10 mbps

- Dùng đầu nối chữ t (t-connector)

- Không thể vượt phân đoạn mạng tối đa 185m Toàn hệ thống cáp mạng vượt 925m

- Số nút tối đa phân đoạn mạng 30

- Terminator (thiết bị đầu cuối) phải có trở kháng 50 ohm nối đất. - Mỗi mạng khơng thể có năm phân đoạn Các phân đoạn nối

tối đa bốn khuếch đại có ba số năm phân đoạn có nút mạng (tuân thủ quy tắc 5-4-3)

Quy tắc 5-4-3: quy tắc cho phép kết hợp đến năm đoạn cáp được nối chuyển tiếp, có đoạn nối trạm Theo hình ta thấy đoạn 3, tồn nhằm mục đích làm tăng tổng chiều dài mạng cho phép máy tính đoạn 1, 2, nằm mạng

Hình 3.35 – qui tắc 5-4-3. Ưu điểm chuẩn 10base2: giá thành rẻ, đơn giản Chuẩn 10base5

- Băng tần sở 10mbps

- Chiều dài phân đoạn mạng tối đa 500m

- Toàn chiều dài mạng vượt 2500m - Thiết bị đầu cuối (terminator) phải nối đất

- Cáp thu phát (tranceiver cable), nối từ máy tính đến thu phát, có chiều dài tối đa 50m

- Số nút tối đa cho phân đoạn mạng 100 (bao gồm máy tính tất repeater)

- Tuân theo quy tắc 5-4-3

Ưu điểm: khắc phục khuyết điểm mạng 10base2, hỗ trợ kích thước mạng lớn

Chú ý: mạng lớn người ta thường kết hợp cáp dày cáp mảnh Cáp dày dùng làm cáp tốt, cịn cáp mảnh dùng làm đoạn nhánh

Hình 3.36 - ví dụ chuẩn 10base5. Chuẩn 10baset.

Chuẩn mạng tuân theo quy tắc sau:

- Dùng cáp utp loại 3, 4, stp, có mức trở kháng 85-115 ohm, ở 10mhz

- Dùng quy cách kỹ thuật 802.3

- Dùng thiết bị đấu nối trung tâm hub - Tốc độ tối đa 10mbps

- Dùng đầu nối rj-45

- Số nút tối đa 512 chúng nối vào phân đoạn với năm phân tuyến tối đa có sẵn

- Chiều dài tối đa phân đoạn cáp 100m - Dùng mô hình vật lý star

- Có thể nối phân đoạn mạng 10baset cáp đồng trục hay cáp quang

- Số lượng máy tính tối đa 1024

- Khoảng cách tối thiểu hai máy tính 2,5m

Ưu điểm: mạng 10baset dùng thiết bị đấu nối trung tâm nên liệu truyền tin cậy hơn, dễ quản lý Điều tạo thuận lợi cho việc định vị sửa chữa phân đoạn cáp bị hỏng Chuẩn cho phép bạn thiết kế xây dựng phân đoạn lan tăng dần mạng cần phát triển 10baset tương đối rẻ tiền so với phương án đấu cáp khác

Hình 3.36 – ví dụ chuẩn 10baset. Chuẩn 10basefl.

Các đặc điểm 10basefl: - Tốc độ tối đa 10 mbps - Truyền qua cáp quang Ưu điểm:

- Do dùng cáp quang nối repeater nên khoảng cách tối đa cho đoạn cáp 2000m

- Không sợ bị nhiễu điện từ

- Số nút tối đa đoạn cáp lớn nhiều so với 10base2, 10base5, 10baset

Hình 3.37 – ví dụ chuẩn 10base-fl. Chuẩn 100vg-anylan.

100vg (voice grade) anylan là công nghệ mạng kết hợp thành phần ethernet và token ring, dùng quy cách kỹ thuật 802.12 Các đặc điểm kỹ thuật:

- Tốc độ truyền liệu tối thiểu 100mbps

- Sử dụng cáp xoắn đôi gồm bốn cặp xoắn (utp loại 3, 4, stp) cáp quang

cường tính bảo mật

- Chấp nhận khung ethernet lẫn gói token ring - Định nghĩa ieee 802.12

- Mơ hình vật lý: cascaded star, máy tính nối với hub. Có thể mở rộng mạng cách thêm hub vào hub trung tâm, hub đóng vai trị máy tính hub mẹ

- Chiều dài tối đa đoạn chạy cáp nối hai hub 250m

Hình 3.27 – ví dụ chuẩn 100vg-anylan. Chuẩn 100basex.

Tiêu chuẩn 100basex ethernet gọi fast ethernet mở rộng tiêu chuẩn ethernet có sẵn Tiêu chuẩn dùng cáp utp cat5 và phương pháp truy cập csma/cd trong cấu hình star bus với đoạn cáp nối vào hub tương tự 10baset Tốc độ 100mbps Chuẩn 100basex có đặc tả ứng với loại đường truyền khác nhau:

- 100baset4: dùng cáp utp loại 3, 4, có bốn cặp xoắn đơi - 100basetx: dùng cáp utp loại có hai cặp xoắn đơi stp - 100basefx: dùng cáp quang có hai dây lõi

Hình 3.38 – ví dụ chuẩn 100base-x. Bảng tóm tắt lại thông số số loại cáp

Chuẩn Loại cáp Chiều dài tối

đa

Đầu nối

10base2 Thinnet 185m Bnc

10base5 Thicknet 500m Aui

10base-t Utp cat 3-4-5, cặp dây

100m Rj45

100base-tx Utp cat 5, cặp dây

100m Rj45

100base-fx Cáp quang multimode, lõi 62.5 125

1000base-cx Stp 25m Rj45 1000base-t Utp cat 5, cặp

dây

100m Rj45

1000base-sx Cáp quang multimode, lõi 62.5 50 micro

62.5 micro 275m 50 micro

Sc

1000base-lx Cáp quang multimode, lõi 62.5 50 micro

Cáp quang singlemode, lõi

62.5 micro 440m 50 micro

được 550m

Sc

Fddi.

Một bất lợi mạng vịng tín nhạy cảm chúng với bất trắc Vì máy gắn vịng phải chuyển khung cho máy kế nên hỏng hóc máy làm cho toàn mạng ngưng hoạt động Phần cứng vịng tín thường thiết kế để tránh hư hỏng Tuy nhiên hầu hết mạng vịng tín khơng thể vượt qua kết nối bị cắt đường cáp nối hai máy nhiên bị đứt

Một số công nghệ mạng vòng thiết kế để khắc phục hỏng hóc nghiêm trọng Ví dụ fddi (fiber distributed data interconnection) cơng nghệ mạng vịng tín truyền liệu tốc độ 100 triệu bit/giây, nhanh gấp lần mạng vịng tín ibm, nhanh 10 lần mạng ethernet Để cung ứng tốc độ liệu nhanh vậy, fddi dùng sợi quang để nối máy thay cho cáp đồng

Hình 3.39 - mạng fddi Mạng fddi sử dụng cáp quang có đặc điểm sau:

- Chiều dài cáp: chiều dài tối đa cáp (2 vòng) 100km, cáp (1 vịng) chiều dài tối đa 200km

- Số trạm mạng: có khả hỗ trợ 500 máy mạng

- Bảo mật: bị nghe vòng cáp bị đứt

- Nhiễu điện từ: không bị nhiễu điện từ

vòng thứ hai vòng hỏng Về mặt vật lý, hai đường nối với cặp máy tính khơng hồn tồn cách biệt Mỗi sợi quang bọc vỏ nhựa dẻo có vỏ bọc cặp sợi bao bên ngồi tương tự đường dây điện nhà Vì lắp đặt hai vịng lúc

Hình 3.40 – sơ đồ hoạt động mạng fddi.

Điều thú vị vòng mạng fddi được gọi xoay ngược (counter rotating) liệu chảy vòng thứ hai ngược lại với hướng liệu vòng thứ Để hiểu lại dùng vịng xoay ngược, xét trường hợp có cố nghiêm trọng xảy Thứ cặp sợi nối hai trạm thường đường nên đứt sợi thường đứt ln sợi Thứ hai, liệu luôn theo hướng hai sợi, việc ngắt trạm khỏi vịng (ví dụ di chuyển máy) ngắt truyền thông máy khác Tuy nhiên, liệu chuyển theo hướng ngược lại đường dự trữ, trạm cịn lại cấu hình mạng để sử dụng đường dự phịng

Hình vẽ 3.41 – cáp hai máy bị đứt. Phương pháp truy cập mà mạng fddi sử dụng phương pháp token-ring Thẻ token là frame đặc biệt, chạy xoay vòng đường mạng Khi máy trạm cần truyền liệu, bắt thẻ token, sau bắt thẻ bắt đầu truyền liệu, sau truyền liệu xong giải phóng thẻ token Chỉ có máy trạm giữ thẻ token mới phép truyền liệu lên đường mạng

Mục tiêu:

- Trình bày chức mơ hình TCP/IP mơ hình kiến trúc TCP/IP

- Trình bày chế hoạt động giao thức TCP UDP - Trình bày hệ thống địa IPv4 lớp địa IPv4 - Thực triển khai phân chia hệ thống mạng

- Cẩn thận, xác việc thiết lập địa IP Nội dung chính:

1 Giới thiệu mơ hình tham chiếu TCP/IP. 1.1 Vai trị mơ hình tham chiếu TCP/IP.

Các phận, văn phòng phủ hoa kỳ nhận thức quan trọng tiềm kĩ thuật internet từ nhiều năm trước, cung cấp tài chánh cho việc nghiên cứu, để thực có mạng internet tồn cầu Sự hình thành kĩ thuật internet kết nghiên cứu tài trợ defense/advanced research projects agency (arpa/darpa) Kĩ thuật arpa bao gồm tập hợp chuẩn mạng, đặc tả chi tiết cách thức mà máy tính thơng tin liên lạc với nhau, quy ước cho mạng interconnecting và định tuyến giao thơng Tên thức tcp/ip internet protocol suite thường gọi tcp/ip, có thể dùng để thơng tin liên lạc qua tập hợp mạng interconnected Nó dùng để liên kết mạng công ty, không thiết phải nối kết với mạng khác bên

1.2 Các lớp mơ hình tham chiếu tcp/ip.

Hình 4.1 – mơ hình tham chiếu tcp/ip

Mơ hình tham chiếu tcp/ip tương tự kiến trúc osi, sau số tính chất lớp mơ hình tham chiếu tcp/ip:

Lớp application: quản lý giao thức, hỗ trợ việc trình bày, mã hóa, quản lý gọi Lớp application hỗ trợ nhiều ứng dụng, như: ftp (file transfer protocol), http (hypertext transfer protocol), smtp (simple mail transfer protocol), dns (domain name system), tftp (trivial file transfer protocol).

Lớp transport: đảm nhiệm việc vận chuyển từ nguồn đến đích Tầng transport đảm nhiệm việc truyền liệu thơng qua hai nghi thức: tcp (transmission control protocol) udp (user datagram protocol)

Lớp network interface: có tính chất tương tự hai lớp data link physical kiến trúc osi.

1.3 So sánh mơ hình osi tcp/ip.

Hình 4.2 – so sánh mơ hình osi mơ hình tcp/ip Các điểm giống nhau:

- Cả hai có kiến trúc phân lớp

- Đều có lớp application, dịch vụ lớp khác - Đều có lớp transport network

- Sử dụng kĩ thuật chuyển packet (packet-switched)

- Các nhà quản trị mạng chuyên nghiệp cần phải biết rõ hai mô hình Các điểm khác nhau:

- Mơ hình tcp/ip kết hợp lớp presentation và lớp session vào lớp application.

- Mơ hình tcp/ip kết hợp lớp data link và lớp physical vào lớp

- Mơ hình tcp/ip đơn giản có lớp

- Nghi thức tcp/ip chuẩn hóa sử dụng phổ biến tồn giới

2 Giao thức TCP/IP

2.1 Giới thiệu giao thức thức tcp/ip Giao thức TCP (tcp protocol).

Tcp cung cấp kết nối tin cậy hai máy tính, kết nối thiết lập trước liệu bắt đầu truyền Tcp còn gọi nghi thức hướng kết nối, với nghi thức tcp trình hoạt động trải qua ba bước sau:

- Thiết lập kết nối (connection establishment) - Truyền liệu (data tranfer)

- Kết thúc kết nối (connection termination)

Tcp phân chia thơng điệp thành segment, sau ráp segment lại bên nhận, truyền lại gói liệu bị Với tcp liệu đến đích thứ tự, tcp cung cấp virtual circuit ứng dụng bên gởi bên nhận.

Giao thức tcp thiết lập kết nối phương pháp “bắt tay lần” (three-way handshake) Application Presentation Session Transport Network Data Link Physical Application TCP UDP

Hình 4.3 – cách thiết lập kết nối giao thức tcp

Hình vẽ ví dụ cách thức truyền, nhận gói tin giao thức tcp

Hình 4.4 – minh họa cách truyền, nhận gói tin giao thức tcp. Giao thức tcp là giao thức có độ tin cậy cao, nhờ vào phương pháp truyền gói tin, chế điều khiển luồng (flow control), gói tin ack, …

Hình 4.5 – cấu trúc gói tin tcp. Các thành phần gói tin:

-Source port: port nguồn -Destination port: port đích

-Sequence number: số (để xếp gói tin theo trật tự nó)

-Acknowledgment number (ack số): số thứ tự packet mà bên nhận

đang chờ đợi

-Header length: chiều dài gói tin.

-Reserved: trả

-Code bit: cờ điều khiển.

-Windows: kích thước tối đa mà bên nhận nhận

-Checksum: máy nhận dùng 16 bit để kiểm tra liệu gói tin có hay khơng

-Data: liệu gói tin (nếu có). Giao thức udp (udp protocol).

Udp không giống tcp, udp là nghi thức phi kết nối, nghĩa liệu gởi tới đích khơng tin cậy Bởi kết nối khơng tạo trước liệu truyền, udp nhanh tcp

Udp là nghi thức không tin cậy, khơng đảm bảo liệu đến đích khơng bị mất, thứ tự mà nhờ nghi thức lớp đảm nhận chức Udp có ưu tcp:

- Nhờ vào việc thiết lập kết nối trước thật truyền dẫn liệu nên truyền với tốc độ

Nhanh

- Bên nhận không cần phải trả gói tin xác nhận (ack) nên giảm thiểu lãng phí băng thơng

Hình 4.6 – cấu trúc gói tin udp Các thành phần gói tin udp:

- Source port: port nguồn. - Destination port: port đích.

- Udp length: chiều dài gói tin.

- Udp checksum: dùng để kiểm tra gói tin có bị sai lệch hay khơng - Data: liệu kèm gói tin (nếu có).

2.2 Khái niệm port.

chương trình sử dụng

Tcp udp dùng port socket, số mà thơng qua thơng tin truyền lên lớp cao Các số port được dùng việc lưu vết hội thoại khác mạng xảy thời điểm Port loại địa logic máy tính, con số byte Các port có giá trị nhỏ 1024 dùng làm port chuẩn. Các ứng dụng dùng port riêng có giá trị lớn 1024 Các giá trị port chứa phần địa nguồn đích segment tcp

Một ứng dụng sử dụng port riêng miền cho để giao dịch mạng ý không trùng với port chuẩn

Ví dụ số port chuẩn mà phần mềm sử dụng

- Http: port number 80

- Ftp: port number 21

- Dns: port number 53

- Telnet: port number 23

- Smtp: port number 25

- Tftp: port number 69

- Snmp: port number 161

- Rip: port number 520

3 Tổng quan địa IPV4 3.1 Địa IP

Là địa có cấu trúc, chia làm hai ba phần là: I P = network_id+ host_id hoặc IP = Network_id + subnet_id + host_id

Là số có kích thước 32 bit Khi trình bày, người ta chia số 32 bit thành bốn phần, phần có kích thước bit, gọi octet byte Có cách trình bày sau:

Ký pháp thập phân có dấu chấm (dotted-decimal notation) Ví dụ: 172.16.30.56

Khơng gian địa ip (gồm 232 địa chỉ) chia thành nhiều lớp (class) để dễ quản lý Đó lớp: a, b, c, d e; lớp a, b c triển khai để đặt cho host mạng internet; lớp d dùng cho nhóm multicast; cịn lớp e phục vụ cho mục đích nghiên cứu

Địa ip cịn gọi địa logical, địa mac còn gọi địa vật lý (hay địa chỉPhysical)

3.2 Địa vật lý - MAC.

Lớp mac đề cập đến giao thức chủ yếu phải theo để truy xuất vào môi trường vật lý Tóm lại, lớp có khái niệm mà cần phải biết:

- Lớp thông tin với lớp thông qua llc

- Lớp dùng chuẩn địa hóa ngang (đó gán định danh nhất-các địa chỉ)

- Lớp dùng kỹ thuật đóng frame để tổ chức hay nhóm liệu

- Lớp dùng mac để chọn máy tính truyền liệu nhị phân, từ nhóm tất máy tính muốn truyền lúc

Với mạng tcp/ip, gói tin phải chứa địa mac đích địa ip đích Nếu hai địa khơng gói tin xem như khơng gởi đến đích Arp giao thức dùng để tìm địa mac thiết bị mạng dựa địa ip biết

Một vài thiết bị có lưu trữ bảng chứa địa ip địa mac tương ứng với ip đó (của thiết bị mạng lan với nó) Bảng gọi bảng arp Bảng arp lưu giữ ram, thiết bị gởi gói tin lên mạng sử dụng thơng tin bảng arp

Có cách để thu thập thơng tin cho bảng địa mac

- Khi có gói tin gởi đường truyền, thiết bị kiểm tra địa đích gói tin (địa ip và địa mac) có phải hay khơng? Sau kiểm tra, địa ip và địa mac đều lưu vào bảng arp

- Cách thu thập thông tin thứ thu thập qua gói tin broadcast arp request Khi máy tính gởi gói tin broadcast dạng arp request tất máy khác mạng phân tích gói tin

+ Nếu địa ip đích thiết bị mạng cần tìm địa thuộc đường mạng với địa máy gửi

+ Nếu máy nhận gói tin máy trả lời gói tin arp reply (trong có địa mac địa ip máy).

+ Nếu địa đích khơng tồn thiết bị chưa hoạt động khơng có gói tin arp reply

+ Nếu địa ip đích thiết bị mạng cần tìm địa khác đường mạng việc tìm địa

Mac thường làm thơng qua router, có hai cách để thực hiện:

 Nếu router bật tính cho phép thực proxy arp Thì nhận gói tin broadcast arp request, router kiểm tra xem địa đích có khác đường mạng với địa nguồn khơng? Nếu khác địa nguồn router trả arp response để trả lời (trong gói tin chứa địa mac – địa mac interface nhận gói tin arp request)

 Nếu máy tính gửi có khai báo địa default gateway thì máy tính gởi gói tin đến

Default gateway để default gateway gởi tiếp.

Nếu máy tính nguồn khơng khai báo default gateway và tính thực proxy arp khơng bật hai máy tính có địa đường mạng khác liên lạc với

4 Một số khái niệm thuật ngữ liên quan.

Network_id: giá trị để xác định đường mạng Trong số 32 bit dùng địa ip, có số bit dùng để xác định network_id Giá trị bit dùng để xác định đường mạng

Host_id: giá trị để xác định host đường mạng Trong số 32 bit dùng làm địa ip, có số bit cuối dùng để xác định host_id Host_id giá trị bit

Mạng (network): nhóm nhiều host kết nối trực tiếp với Giữa hai host không bị phân cách thiết bị layer Giữa mạng với mạng khác phải kết nối với thiết bị layer

Địa mạng (network address): địa ip dùng để đặt cho mạng Địa dùng để đặt cho interface Phần host_id địa chỉ chứa bit Ví dụ 172.29.0.0 địa mạng

Mạng (subnet network): mạng có địa mạng (thuộc lớp a, b, c) phân chia nhỏ (để tận dụng số địa mạng cấp phát) Địa mạng xác định dựa vào địa ip mặt nạ mạng (subnet mask) kèm (sẽ đề cập rõ phần sau)

Địa broadcast: địa ip dùng để đại diện cho tất các host mạng Phần host_id chứa bit Địa dùng để đặt cho host Ví dụ 172.29.255.255 địa broadcast.Các phép toán làm việc bit:

Phép and Phép or

A B A and b

A B A or b

1 1 1

1 0 1

0 0 1

0 0 0

Ví dụ sau minh hoạ phép and địa 172.29.14.10 mask 255.255.0.0

172.29.14 10

= 101011000001110100001110000 01010and

255.255.0 = 111111111111111100000000000 172.29.0

0

= 101011000001110100000000000 00000

Mặt nạ mạng (network mask): số dài 32 bit, phương tiện giúp máy xác định địa mạng địa ip (bằng cách and địa ip với mặt nạ mạng) để phục vụ cho công việc routing Mặt nạ mạng cho biết số bit nằm phần host_id Được xây dựng theo cách: bật bit tương ứng với phần network_id (chuyển thành bit 1) tắt bit tương ứng với phần host_id (chuyển thành bit 0)

Mặt nạ mặc định lớp a: sử dụng cho địa lớp a khơng chia mạng con, mặt nạ có giá trị 255.0.0.0

Mặt nạ mặc định lớp b: sử dụng cho địa lớp b không chia mạng con, mặt nạ có giá trị 255.255.0.0

Địa riêng (private address) chế chuyển đổi địa mạng (network address translation - nat)

Tất ip host kết nối vào mạng internet phải có địa ip tổ chức iana (internet assigned numbers authority) cấp phát – gọi địa hợp lệ (hay đăng ký) Tuy nhiên số lượng host kết nối vào mạng ngày gia tăng dẫn đến tình trạng khan địa ip Một giải pháp đưa sử dụng chế nat kèm theo rfc 1918 qui định danh sách địa riêng Các địa khơng iana cấp phát - hay cịn gọi địa không hợp lệ Bảng sau liệt kê danh sách địa này:

Nhóm địa chỉ Lớp Số lượng

mạng 10.0.0.0 đến 10.255.255.255 A

172.16.0.0 đến B 16

192.168.0.0 đến

192.168.255.255 C 256 5 Giới thiệu lớp địa chỉ

5.1 Lớp A

Dành byte cho phần network_id ba byte cho phần host_id

Để nhận diện lớp a, bit byte phải bit Dưới dạng nhị phân, byte có dạng 0xxxxxxx Vì vậy, địa ip có byte nằm khoảng từ (00000000) đến 127 (01111111) thuộc lớp a Ví dụ địa 50.14.32.8 địa lớp a (50 < 127)

Byte network_id, trừ bit làm id nhận dạng lớp a, lại bảy bit để đánh thứ tự mạng, ta 128 (27) mạng lớp a khác Bỏ hai trường hợp đặc biệt 127 Kết lớp a 126 (27-2) địa mạng, 1.0.0.0 đến 126.0.0.0

Phần host_id chiếm 24 bit, tức đặt địa cho 16.777.216 (224) host khác mạng Bỏ địa mạng (phần host_id chứa toàn bit 0) địa broadcast (phần host_id chứa toàn bit 1) có tất 16.777.214 (224-2) host khác mạng lớp a Ví dụ, mạng 10.0.0.0 giá trị host hợp lệ 10.0.0.1 đến 10.255.255.254

Hình 4.7 – mơ tả mạng lớp a kết nối với 5.2 Lớp B

Dành hai byte cho phần network_id host_id network_id host_id

mỗi mạng chứa16777214 host

Dấu hiệu để nhận dạng địa lớp b byte bắt đầu hai bit 10 Dưới dạng nhị phân, octet có dạng 10xxxxxx Vì địa nằm khoảng từ 128 (10000000) đến 191 (10111111) thuộc lớp b Ví dụ 172.29.10.1 địa lớp b (128 < 172 < 191) Phần network_id chiếm 16 bit bỏ bit làm id cho lớp, lại 14 bit cho phép ta đánh thứ tự 16.384 (214) mạng khác (128.0.0.0 đến 191.255.0.0)

Phần host_id dài 16 bit hay có 65536 (216) giá trị khác Trừ trường hợp đặc biệt lại 65534 host mạng lớp b Ví dụ, mạng 172.29.0.0 địa host hợp lệ từ 172.29.0.1 đến 172.29.255.254

Hình 4.8 – mơ tả mạng lớp b kết nối với 5.3 Lớp c.

Dành ba byte cho phần network_id byte cho phần host_id

Byte bắt đầu ba bit 110 dạng nhị phân octet 110xxxxx Như địa nằm khoảng từ 192 (11000000) đến 223 (11011111) thuộc lớp c Ví dụ địa lớp c 203.162.41.235 (192 < 203 < 223)

Phần network_id dùng ba byte hay 24 bit, trừ bit làm id lớp, lại 21 bit hay 2.097.152 (221)

Địa mạng (từ 192.0.0.0 đến 223.255.255.0)

Phần host_id dài byte cho 256 (28) giá trị khác Trừ hai trường hợp đặc biệt ta 254 host khác mạng lớp c Ví dụ, mạng 203.162.41.0, địa host hợp lệ từ 203.162.41.1 đến 203.162.41.254

5.4 Lớp d e.

Các địa có byte nằm khoảng 224 đến 255 địa thuộc lớp d e Do lớp không phục vụ cho việc đánh địa host nên khơng trình bày

Bảng tóm tắt.

Lớp a Lớp b Lớp c

network_id host_id

mỗi mạng chứa 65534 host

network network network

Giá trị byte

Đầu tiên – 127 128 191 – 192 – 223

Số byte phần

network_id

Số byte phần host_id 3 2 1

Network mask 255.0.0.0 255.255 255.255.255. Broadcast Xx.255.255. Xx.xx.255 Xx.xx.xx.25 Network address Xx.0.0.0 Xx.xx.0. Xx.xx.xx.0

Số đường mạng 128 16.384 2.097.152

Số host

Đường mạng 16.777.214 65.534 254

* ghi chú: xx số miền cho phép 6 Chia mạng (subnetting).

Giả sử ta phải tiến hành đặt địa ip cho hệ thống có cấu trúc sau:

Hình 4.9 – hệ thống mạng có đường mạng

Hình 4.10 – hệ thống mạng có đường mạng (sau chia subnet) Rõ ràng tiến hành cấp phát địa cho hệ thống mạng lớn, người ta phải sử dụng kỹ thuật chia mạng tình hình địa ip ngày khan Ví dụ hình hồn tồn chưa phải chiến lược chia mạng tối ưu Thật người ta chia mạng nhỏ nữa, đến mức độ khơng bỏ phí địa ip khác

Xét khía cạnh kỹ thuật, chia mạng việc mượn số bit phần host_id ban đầu để đặt cho mạng Lúc này, cấu trúc địa ip gồm có ba phần: network_id, subnet_id và host_id Số bit dùng cho phần subnet_id tuỳ thuộc vào chiến lược chia mạng người quản trị, số tròn byte (8 bit) số bit lẻ Tuy nhiên subnet_id chiếm trọn số bit có host_id ban đầu, cụ thể (số bit làm subnet_id) (số bit làm host_id)-2

Hình 4.11 – số lượng subnet tối đa phép

Số lượng host mạng xác định số bit phần host_id; 2x – số địa hợp lệ đặt cho host mạng Tương tự, số bit phần subnet_id xác định số lượng mạng Giả sử số bit y 2y – số lượng mạng có (trường hợp đặc biệt sử dụng 2y mạng con)

Một số khái niệm mới:

network_id và subnet_id, phần host_id chỉ chứa bit Theo hình bên ta có địa mạng sau: 150.150.1.0, 150.150.2.0, … - Địa broadcast mạng con: giữ nguyên bit dùng làm địa

chỉ mạng con, đồng thời bật tất bit phần host_id lên Ví dụ địa broadcast mạng 150.150.1.0 150.150.1.255

- Mặt nạ mạng (subnet mask): giúp máy tính xác định địa mạng địa host Để xây dựng mặt nạ mạng cho hệ thống địa chỉ, ta bật bit phần network_id subnet_id lên 1, tắt bit phần host_id thành Ví dụ mặt nạ mạng dùng cho hệ thống mạng hình 255.255.255.0

Vấn đề đặt xác định địa ip (ví dụ 172.29.8.230) ta khơng thể biết host nằm mạng (không thể biết mạng có chia mạng hay khơng, có chia dùng bit để chia) Chính ghi nhận địa ip host, ta phải cho biết subnet mask là (subnet mask giá trị thập phân, số bit dùng làm subnet mask)

+ Ví dụ địa ip ghi theo giá trị thập phân subnet mask 172.29.8.230/255.255.255.0

+ Hoặc địa ip ghi theo số bit dùng làm subnet mask 172.29.8.230/24. Một số câu hỏi thường đặt làm việc với địa ip.

Ví dụ : Người ta ghi nhận địa ip host sau: 172.29.32.30/255.255.240.0, trả lời câu hỏi sau:

- Hãy cho biết mạng chứa host có chia mạng hay khơng? Nếu có cho biết có mạng tương tự vậy? Và có host mạng con?

- Hãy cho biết host nằm mạng có địa gì? - Hãy cho biết địa broadcast dùng cho mạng đó?

- Liệt kê danh sách địa host nằm chung mạng với host Hướng dẫn trả lời:

Hãy cho biết mạng chứa host có chia mạng hay khơng? Nếu có thì cho biết có mạng tương tự vậy? Và có bao nhiêu host mạng con?

1 Xác định lớp địa xác định mặt nạ mặc định lớp, so khớp với mặt nạ địa kết luận có chia mạng hay khơng?

2 Xác định số bit subnet_id = x số mạng = 2x-2

3 Xác định số bit host_id = y số host mạng = 2y-2

Như vậy, host có địa ip thuộc lớp b, subnet mask host lại 255.255.240.0 (khác với subnet mask mặc định lớp b) N ên host nằm mạng có chia mạng

11111111 11111111 11110000 00000000

So sánh số bit dùng làm subnet mask host với số bit dùng làm subnet mask mặc định lớp b, có số bit dùng làm subnet_id bit Nên số bit dùng làm host_id (16-4) = 12 bit

Số mạng tương tự 14

Hãy cho biết host nằm mạng có địa gì?

1 Duyệt mặt nạ mạng địa ip theo byte tương ứng, từ trái qua phải

+ byte subnet mask mang giá trị 255 ghi lại byte tương ứng địa ip

+ byte subnet mask ghi lại byte tương ứng địa ip

+ giá trị byte subnet mask khác 255 để trống byte tương ứng địa ip gọi byte số khó chịu

2 Tìm số sở = 256-số khó chịu

3 Tìm bội số lớn số sở bội số phải bé số tương ứng địa ip ghi lại số

172.29._ .0 Số khó chịu = 240 Số sở = 256 – 240 = 16

Bội số 16 lớn bé 32 32 Địa đường mạng cần tìm 172.29.32.0

Hãy cho biết địa broadcast dùng cho mạng đó?

1 Duyệt mặt nạ mạng địa ip theo byte tương ứng, từ trái qua phải

+ Byte subnet mask mang giá trị 255 ghi lại byte tương ứng địa ip,

+Byte subnet mask ghi vào byte tương ứng địa ip 255

+ Nếu byte subnet mask có giá trị khác 255 để trống byte tương ứng địa ip gọi byte số khó chịu

2 Tìm số sở = 256 - số khó chịu

3 Tìm bội số nhỏ số sở nhưng bội số phải lớn số tương ứng địa ip,

Đem số trừ kết 172.29._ .255 Số khó chịu = 240 Số sở = 256 – 240 = 16

Bội số nhỏ 16 lớn 32 48 48 – =47 Địa broadcast cần tìm 172.29.47.255

Liệt kê danh sách địa host nằm chung mạng với host trên? Các địa host hợp lệ đặt cho host nằm chung mạng với host là: địa sau

Địa mạng trước địa broadcast

BÀI 5

TỔNG QUAN VỀ WINDOWS SERVER 2008 Mã bài: 22.5

Giới thiệu:

Microsoft Windows Server 2008 hệ hệ điều hành Windows Server, giúp chun gia cơng nghệ thơng tin kiểm soát tối đa sở hạ tầng họ cung cấp khả quản lý hiệu lực chưa có, sản phẩm hẳn việc đảm bảo độ an toàn, khả tin cậy môi trường máy chủ vững phiên trước Sau tìm hiểu đặc tính Windows Server 2008

Mục tiêu:

- Phân biệt họ hệ điều hành Windows Server; - Cài đặt hệ điều hành Windows Server

- Thực thao tác an tồn với máy tính Nội dung chính:

1.Giới thiệu windows server 2008

Microsoft Windows Server 2008 hệ hệ điều hành Windows Server, giúp chun gia cơng nghệ thơng tin kiểm sốt tối đa sở hạ tầng họ cung cấp khả quản lý hiệu lực chưa có, sản phẩm hẳn việc đảm bảo độ an toàn, khả tin cậy môi trường máy chủ vững phiên trước

Windows Server 2008 cung cấp giá trị cho tổ chức việc bảo đảm tất người dùng có thành phần bổ sung từ dịch vụ từ mạng Windows Server 2008 cung cấp nhiều tính vượt trội bên hệ điều hành khả chuẩn đoán, cho phép quản trị viên tăng thời gian hỗ trợ cho doanh nghiệp

Windows Server 2008 thiết kế để cung cấp cho tổ chức có tảng sản xuất tốt cho ứng dụng, mạng dịch vụ web từ nhóm làm việc đến trung tâm liệu với tính động, tính có giá trị cải thiện mạnh mẽ cho hệ điều hành

Cải thiện hệ điều hành cho máy chủ Windows.Thêm vào tính mới, Windows Server 2008 cung cấp nhiều cải thiệm tốt cho hệ điều hành so với hệ điều hành Windows Server 2008

Những cải thiện thấy gồm có vấn đề mạng, tính bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, công cụ kiểm tra độ tin cậy hiệu suất, nhóm chuyển đổi dự phòng, triển khai hệ thống file

2 Các tính windows server 2008 2.1.Cơng cụ quản trị Server Manager

Server Manager giao diện điều khiển thiết kế để tổ chức quản lý server chạy hệ điều hành Windows Server 2008 Người quản trị sử dụng Server Manager với nhiều mục đích khác

- Quản lý đồng server - Hiển thị trạng thái server

- Quản lý role server, bao gồm việc thêm xóa role - Thêm xóa bỏ tính

- Chẩn đoán dấu hiệu bất thường

- Cấu hình server: có cơng cụ ( Task Scheduler, Windows Firewall, Services WMI Control)

- Cấu hình lưu lưu trữ: cơng cụ giúp bạn lưu quản lý ổ đĩa Windows Server Backup Disk Management nằm Server Manager

2.2.Windows Server Core

- Server Core tính Windows Server 2008 Nó cho phép cài đặt với mục đích hỗ trợ đặc biệt cụ thể số role

- Tất tương tác với Server Core thơng qua dịng lệnh Server Core mang lại lợi ích sau:

+Giảm thiểu phần mềm, việc sử dụng dung lượng ổ đĩa giảm Chỉ tốn khoảng 1GB cài đặt

+ Bởi giảm thiểu phần mềm nên việc cập nhật không nhiều

+ Giảm thiểu tối đa hành vi xâm nhập vào hệ thống thông qua port mở mặc định

+ Dễ dàng quản lý

- Server Core không bao gồm tất tính có sẵn phiên cài đặt Server khác Ví dụ NET Framework Internet Explorer

2.3.PowerShell

- PowerShell tập hợp lệnh Nó kết nối dịng lệnh shell với ngơn ngữ script thêm vào 130 cơng cụ dịng lệnh(được gọi cmdlets).Hiện tại, sử dụng PowerShell trong:

+ Exchange Server + SQL Server

+ Terminal Services

+ Active Directory Domain Services + Quản trị dịch vụ, xử lý registry

- Mặc định, Windows PowerShell chưa cài đặt Tuy nhiên bạn cài đặt cách dễ dàng cách sử dụng công cụ quản trị Server Manager chọn Features > Add Features

2.4.Windows Deloyment Services.

- Windows Deployment Services tích hợp Windows Server 2008 cho phép bạn cài đặt hệ điều hành từ xa cho máy client mà không cần phải cài đặt trực tiếp WDS cho phép bạn cài đặt từ xa thông qua Image lấy từ DVD cài đặt Ngồi ra, WDS cịn hỗ trợ tạo Image từ máy tính cài đặt sẵn Windows đầy đủ ứng dụng khác

- Windows Deployment Serviece sử dụng định dạng Windows Image (WIM) Một cải tiến đặc biệt với WIM so với RIS WIM làm việc tốt với nhiều tảng phần cứng khác

2.5 Terminal Services.

- Terminal Services thành phần Windows Server 2009 cho phép user truy cập vào server để sử dụng phần mềm

trong doanh nghiệp cách hiệu Người quản trị cài đặt chương trình phần mềm lên Terminal Server mà không cần cài đặt hệ thống máy client, việc cập nhật bảo trì phần mềm trở nên dễ dàng - Terminal Services cung cấp khác biệt cho người quản trị người dùng cuối :

- Dành cho người quản trị: cho phép quản trị kết nối từ xa hệ thống quản trị việc sử dụng Remote Desktop Connection Remote Desktop - Dành cho ngƣời dùng cuối: cho phép người dùng cuối chạy chương trình từ Terminal Services server

2.6 Network Access Protection

- Network Access Protection (NAP) hệ thống sách thi hành (Health Policy Enforcement) xây dựng hệ điều hành Windows Server 2008

- Cơ chế thực thi NAP:

+ Kiểm tra tình trạng an tồn client

+ Giới hạn truy cập máy client khơng an tồn

+ NAP cập nhật thành phần cần thiết cho máy client không an toàn, client đủ điều kiện an toàn.Cho phép client kết nối client thỏa điều kiện

+ NAP giúp bảo vệ hệ thống mạng từ client

+ NAP cung cấp thư viên API (Application Programming Interface), cho phép nhà quản trị lập trình nhằm tăng tính bảo mật cho

2.7 Read-Only Domain Controllers

- Read-Only Domain Controller (RODC) kiểu Domain Controller Windows Server 2008.Với RODC, doanh nghiệp dễ dàng triển khai Domain Controller nơi mà bảo mật không đảm bảo bảo mật RODC phần liệu Active Directory Domain Services - Vì RODC phần liệu ADDS nên lưu trữ đối tượng, thuộc

tính sách giống domain controller, nhiên mật bị ngoại trừ

2.8 Công nghệ Failover Clustering.

- Clustering công nghệ cho phép sử dụng hai hay nhiều server kết hợp với để tạo thành cụm server để tăng cường tính ổn định vận hành.Nếu server ngưng hoạt động server khác cụm đảm nhận nhiệm vụ mà server ngưng hoạt động thực nhằm mục đích hoạt động hệ thống bình thường Quá trình chuyên giao gọi fail-over Những phiên sau hỗ trợ:

Windows Server 2008 Enterprise Windows Server 2008 Datacenter Windows Server 2008 Itanium

2.9 Windows Firewall with Advance Security

- Windows Firewall with Advance Security cho phép người quản trị cấu hình đa dạng nâng cao để tăng cường tính bảo mật cho hệ thống

- Windows Firewall with Advance Security có điểm mới:

kiểm sốt quản lý sách, đồng thời giám sát firewall Kết hợp với Active Directory

+ Hỗ trợ đầy đủ IPv6

3 Một số tính windows server 2008

3.1 Công nghệ ảo hóa Hyper-V

+ Hyper-V cơng nghệ ảo hóa server hệ Microsoft, thay đổi lớn mà Microsoft mang lại so với phiên Windows Server 2008 Hyper-V hoạt động hệ điều hành 64-bit Với Hyper-V, người sử dụng sở hữu tảng ảo hóa linh hoạt, bảo mật, tối đa hiệu suất tiết kiệm chi phí:

+ Hyper-V thích nghi với doanh nghiệp lớn với hàng nghìn máy tính doanh nghiệp nhỏ hay văn phòng chi nhánh Hyper-V hỗ trợ nhớ ảo lên đến 64GB, đa vi xử lý

+ Khả bảo mật giống server vật lý Kết hợp cộng cụ bảo mật Windows Firewall, Network Access Protection…do tính bảo mật tốt môi trường thật

+ Hyper-V giúp khai thác tối đa hiệu suất sử dụng phần cứng server Bằng việc hợp server, cho phép server vật lý đóng nhiều vai trị nhiều server Từ đó, tiết kiệm chi phí từ khoảng mua server, điện, khơng gian bảo trì

Hyper-V hỗ trợ đến 32 vi xử lý

3.2 Processor Compatibility Mode

- Cho phép di trú máy ảo sang máy chủ vật lý khác với phiên CPU khác (nhưng CPU nhà sản xuất khác) Trước đây, để chuyển máy ảo Hyper-V sang phần cứng khác, CPU phải giống nhau, điều yêu cầu người dùng thường phải mua lại phần cứng

3.3 File Classification Infrastructure

- FCI tính built-in cho phép chuyên gia CNTT phân loại quản lý liệu máy chủ file Dữ liệu phân loại với tác động doanh nghiệp mức thấp, cao trung bình, sau người dùng backup liệu quan trọng dễ dàng hiệu

3.4 Quản lý ỗ đĩa file:

- Cung cấp khả thay đổi kich thước phân vùng - Shadow Copy hỗ trợ ổ đĩa quang, ổ đĩa mạng - Distributed File System cải tiến

- Cải tiến Failover Clustering

- Internet Storage Naming Server cho phép đăng ký, hủy đăng ký tập trung truy xuất tới ổ đĩa cứng iSCS

3.5 Cải tiến giao thức mã hóa

- Hỗ trợ mã hóa 128 256 bit cho giao thức chứng thực Keberos

- Hàm API mã hóa hỗ trợ mã hóa vịng elip cải tiến quản lý chứng - Giao thức VPN Secure Socket Tunneling Protocol

- AuthIP sử dụng mạng VPN Ipsec

- Giao thức Server Message Block 2.0 cung cấp cải tiến truyền thơng 3.6 Một số tính khác

Services Remote Installation Services

- IIS thay IIS 6, tăng cường khả bảo mật, cải tiến cơng cụ chuẩn đốn, hỗ trợ quản lý

- Có thành phần "Desktop Experience" cung cấp khả cải tiến giao diện 4 Các lợi ích windows server 2008

Windows Server 2008 mang đến lợi ích bốn lĩnh vực:Web, Ảo hóa, Bảo mật, Nền tảng vững cho hoạt động tổ chức

4.1 Web

-Windows Server 2008 cung cấp tảng đồng để triển khai dịch vụ Web nhờ tích hợp IIS7.0,ASP.NET,Windows Communication Foundation Microsoft Windows SharePoint Services

- Lợi ich IIS 7.0: + Tinh phân tích + Quản trị hiệu + Nâng cao tính bảo mật + Giảm chi phí hỗ trợ

+ Giao diện thân thiện tiện dụng + Hỗ trợ việc chép site

+ Copy dễ dàng thiết lập trang web máy chủ web khác mà khơng cần phải thiết lập thêm

+ Chính sách phân quyền quản trị ứng dụng site rõ ràng 4.2 Ảo hóa :

Phiên 64 bit Windows Server 2008 tích hợp sẵn cơng nghệ ảo hóa hypervisor :

+ Cho phép máy ảo tương tác trực tiếp với phần cứng máy chủ hiệu + Có khả ảo hóa nhiều hệ điều hành khác phần cứng máy chủ làm giảm chi phí, tăng hiệu suất sử dụng phần cứng, tối ưu hóa hạ tầng, nâng cao tính sẵn sàng máy chủ

+ Tiết kiệm chi phí mua sắm quyền phần mềm

+ Tich hợp tập trung ứng dụng phục vụ cho việc truy cập từ xa cách dễ dàng cách sử dụng Terminal Services

4.3 Bảo mật:

Các tính an ninh bao gồm: Network Access Protection, Read-Only Domain Controller, BitLocker, Windows Firewall… cung cấp mức bảo vệ chưa có cho hệ thống mạng, liệu công việc tổ chức

4.4 Network Access Protection (NAP):

-NAP dùng để thiết lập sách mạng máy trạm máy trạm muốn kết nối váo hệ thống mạng tổ chức Yêu cầu an ninh máy trạm kết nối với hệ thống mạng:

- Đã cài đặt phầm mềm diệt virus - Đã cập nhật phiên

- Đã cài đặt lỗi hệ thống cài đặt phần mềm firewall 4.5 Read-Only Domain Controller (RODC):

Là kiểu Domain Controller (DC)

- User không thẻ ghi trực tiếp vào RODC

- RODC không chứa thông tin mật AD, mà caching users phép sử dụng

-RODC thích hợp cho việc triển khai chi nhánh, nơi có điều kiện bảo mật

kém trình độ nhân viên IT cịn hạn chế 4.6 BitLocker:

Bảo vệ an tồn cho máy chủ, máy trạm, máy tính di động - Mã hóa nội dung ổ đĩa nhằm ngăn cản

- Nâng cao khả bảo vệ liệu: kết hợp chức mã hóa tập tin hệ thống kiểm tra tinh toàn vẹn thành phần boot

- Toàn tập tin hệ thống mã hóa, gồm file swap file hibernation 4.7 Windows Firewall:

- Ngăn chặn lưu lượng mạng theo cấu hình ứng dụng dạng chạy để bảo vệ mạng khỏi chương trình người dùng nguy hiểm

-Hỗ trợ ngăn chặn thông tin vào

- Sử dụng MMC snap-in ( Windows Firewall with Adbanced Security) để đơn giản hóa việc cấu hình, quản trị

5 Các Phiên Windows Server 2008

6.1 Windows Server 2008: ứng dụng cho trung tâm data lớn, ứng dụng nghiệp vụ riêng, khả mở rộng cao 64 xử lý

6.2 Windows Server 2008 Standard Edition

Windows Server 2008 Standard phiên tốn phiên khác có sẵn Windows Server 2008 Stardard hỗ trợ tới 4GB RAM vi xử lý

Chủ yếu nhắm mục tiêu doanh nghiệp vừa nhỏ Chỉ nâng cấp lên Windows Server 2008 Standard từ Windows 2000 Server Windows Server 2008 Standard Edition

6.3 Windows Server 2008 Enterprise Edition

- Windows Server 2008 Enterprise Edition cung cấp chức lớn có khả mở rộng so với tiêu chuẩn Cũng phiên Standard Edition phiên Enterprise có hai phiên 32-bit 64-bit Hỗ trợ xử lý lên tới 64GB nhớ RAM hệ thống 32-bit 2TB RAM hệ thống 64-bit

- Các tính khác ấn Doanh nghiệp bao gồm hỗ trợ Clustering đến nút Active Directory Federated Services (AD FS)

- Các phiên Windows Server 2000, Windows 2000 Advanced Server, Windows Server 2008 Standard Edition Windows Server 2008 Enterprise Edition nâng cấp lên Windows Server 2008 Enterprise Edition 6.4 Windows Server 2008 Datacenter Edition

- Phiên Datacenter đại diện cuối loạt sản phẩm máy chủ Windows 2008 mục tiêu nhiệm vụ quan trọng đòi hỏi doanh nghiệp ổn định mức độ thời gian hoạt động cao Windows Server 2008 phiên Datacenter liên hệ chặt chẽ với phần cứng thông qua việc thực tùy chỉnh Hardware Abstraction Layer (HAL)

bít Ngồi phiên hỗ trợ tối thiểu vi xử lý tối đa 64 - Để nâng cấp lên phiên phải phiên Datacenter 2000

2008

6.5 Windows Web Server 2008

-Windows Web Server 2008 phiên Windows Server 2008 thiết kế chủ yếu cho mục đích cung cấp dịch vụ web Nó bao gồm Internet Information Services (IIS) 7,0 với dịch vụ liên quan Simple Mail Transfer Protocol (SMTP) Telnet Nó có phiên 32-bit 64-bit, phiên hỗ trợ lên đến vi xử lý RAM giới hạn 4GB 32GB 32-bit 64-bit hệ thống tương ứng

- Windows Web Server 2008 thiếu nhiều tính diện phiên khác phân nhóm,mã hóa ổ đĩa BitLocker, Multi I/O,Windows Internet Naming Service (WINS),Removable Storage Management SAN Management

6 Yêu cầu phần cứng

Phần cứng Yêu cầu tối thiểu Đề nghị

Bộ vi xử lý Ghz (x86), 1,4 Ghz x64) 2Ghz lớn

RAM 512MB RAM 2GB

Dung lượng trống 15GB 40GB

Windows Server 2008 hỗ trợ cấu trúc vi xử lý 32-bit 64-bit Tuy nhiên, phiên Windows Server 2008 R2, Windows Midmarket Server Windows Small Business với tính đa dịch vụ, phiên hỗ trợ cấu trúc vi xử lý 64-bit

RAM hỗ trợ tối đa cho hệ thống 32-bit 4GB chạy phiên Standard Edition 64GB chạy phiên Enterprise Datacenter Nếu chạy hệ thống 64-bit, nhớ RAM hỗ trợ lên dến 32GB 2TB RAM cho phiên Enterprise Datacenter Thêm vào đó, Windows Server 2008 hỗ trợ hệ thống Itanium, nhiên chip xử lí Intel Itanium nhân cần thiết 7 Các cách cài đặt

Có cách cài đặt Windows Server 2008 Tự cài đặt nâng cấp Cài đặt từ kịch Sử dụng Sconfig

Visual Core Configurator 2008

Cài đặt cách sử dụng Core Configurator 2.0 Cài đặt trực tiếp từ đĩa CD Windows Server 2008

Nâng cấp lên windows server 2008

Những phiên trước Nâng cấp lên Windows

Server 2008 Microsoft Windows Server 2008 R2

Standard, Enterprise DatacenterEdition

Microsoft Windows Server 2008 Service Pack 1(SP1) Standard, Enterprise Datacenter Edition

Hỗ trợ đầy đủ

Microsoft Windows Server 2008 Service Pack (SP2) Standard, Enterprise Datacenter Edition

Hỗ trợ đầy đủ

Windows NT 4.0 Không hỗ trợ

Windows 2000 Server Không hỗ trợ

Windows XP Không hỗ trợ

Windows Vista Không hỗ trợ

Windows Không hỗ trợ

Để nâng cấp lên phiên Windows Server 2008, cần phải chạy hệ điều hành cấp độ server Không thể nâng cấp phiên Windows dành cho người dùng Windows XP Windows Vista lên Windows Server 2008 Để nâng cấp lên Windows Server 2008, hệ thống bạn phải chạy Windows Server 2008 Việc nâng cấp từ Windows NT 4.0 Windows 2000 Server không hỗ trợ Việc nâng cấp từ phiên Windows Server 2008 lên phiên Windows Server 2008 Server Core không hỗ trợ Việc nâng cấp thực phiên giống Khi nâng cấp lên phiên Windows Server 2008, cấu hình thiết lập, file chương trình giữ lại

Đặt đĩa CD vào ổ đĩa, khởi động lại máy tính bắt đầu tiến hành q trình cài đặt

Hình 1.1 : Lựa chọn ngơn ngữ Language to instalk : ngôn ngữ bạn muốn hiển thị.

Time and currency format : định dạng thời gian tiền tệ.

Keyboard or input method : định dạng bàn phím phương thức nhập chữ.Sau lựa chọn, click Next để tiếp tục cài đặt

Hình 1.2 :Lựa chọn phiên Windows Server

Lựa chọn phiên Windows Server thích hợp, chọn phiên Windows Server Standard without Hyper-V Click Next để tiếp tục

Tại bảng MICROSOFT PRE-RELEASE SOFTWARE LICENSE TERMS

những điều khoản sử dụng sản phẩm Microsoft Đánh dấu chọn vào I accept the license terms để chấp nhận điều khoản click Next để tiếp tục Chọn Custom (advaneced) để tiến hành cài đặt tùy chọn

Tiếp theo Tiếp tục click Next sau chọn ổ đĩa cài đặt

BÀI 6

DỊCH VỤ TÊN MIỀN DNS Mã bài: 22.6

Giới thiệu:

Trong hệ thống mạng máy tính muốn giao tiếp với phải biết địa IP Việc nhớ địa IP khó khăn hệ thống mạng cần có máy chủ chuyên dụng để phân giải địa IP tên máy tính ngược lại Mục tiêu:

- Trình bày cấu trúc sở liệu hệ thống tên miền; - Mô tả hoạt động phân cấp hệ thống tên miền; - Cài đặt cấu hình hệ thống tên miền DNS

- Thực thao tác an tồn với máy tính 1.Tổng quan DNS

1.1.Giới thiệu DNS

DNS (Domain Name System) Server máy chủ dùng để phân giải domain thành địa IP ngược lại Về cách thức hoạt động, DNS Server lưu trữ sở liệu bao gồm ghi DNS dịch vụ lắng nghe yêu cầu.Khi máy client gửi yêu cầu phân giải đến, DNS Server tiến hành tra cứu sở liệu gửi kết tương ứng máy client

1.2 Đặc điểm DNS windows server

- Conditional forwarder: Cho phép Name Server chuyển yêu cầu phân giải dựa theo tên domain yêu cầu truy vấn - Stub zone: hỗ trợ chế phân giải hiệu - Đồng DNS zone Active Directory (DNS zone replication in Active Directory) - Cung cấp số chế bảo mật tốt hệ thống Windows trước

- Luân chuyển (Round robin) tất loại RR

- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp tính bảo mật cho việc lưu trữ nhân (replicate) zone

- Cung cấp tính EDNS0 (Extension Mechanisms for DNS) phép DNS Requestor quản bá zone transfer packet có kích thước lớn 512 byte

1.3 Cách phân bổ liệu quản lý domain name.

Hình 6.1: Root name server

Thơng thường tổ chức đăng ký hay nhiều domain name Sau đó, tổ chức cài đặt hay nhiều name server trì sở liệu cho tất máy tính domain Những name server tổ chức đăng ký Internet Một name server biết Primary Name Server

Nhiều Secondary Name Server dùng để làm backup cho Primary Name Server Trong trường hợp Primary bị lỗi, Secondary sử dụng để phân giải tên Primary Name Server tạo subdomain ủy quyền subdomain cho Name Server khác

1.3 Cơ chế phân giải tên. 1.3.1.Phân giải tên thành IP.

Hình 6.2: Quá trình phân giải tên

Client gửi yêu cầu cần phân giải địa IP máy tính có tên girigiri.gbrmpa.gov.au đến name server cục Khi nhận yêu cầu từ Resolver, Name Server cục phân tích tên xét xem tên miền có quản lý hay không Nếu tên miền Server cục quản lý, trả lời địa IP tên máy cho Resolver Ngược lại, server cục truy vấn đến Root Name Server gần mà biết Root Name Server trả lời địa IP Name Server quản lý miền au Máy chủ name server cục lại hỏi tiếp name server quản lý miền au tham chiếu đến máy chủ quản lý miền gov.au Máy chủ quản lý gov.au dẫn máy name server cục tham chiếu đến máy chủ quản lý miền gbrmpa.gov.au Cuối máy name server cục truy vấn máy chủ quản lý miền gbrmpa.gov.au nhận câu trả lời Các loại truy vấn :

Truy vấn dạng :

Hình 6.2 : Recursive Query

- Truy vấn tương tác (Iteractive query): name server nhận truy vấn dạng này, trả lời cho Resolver với thơng tin tốt mà có vào thời điểm lúc Bản thân name server không thực truy vấn thêm Thông tin tốt trả lấy từ liệu cục (kể cache) Trong trường hợp name server khơng tìm thấy liệu cục trả tên miền địa IP name server gần mà biết

Hình 6.3 : Interactive Query 1.3.2 Phân giải IP thành tên máy tính.

Ánh xạ địa IP thành tên máy tính dùng để diễn dịch tập tin log cho dễ đọc Nó dùng số trường hợp chứng thực hệ thống UNIX (kiểm tra tập tin rhost hay host.equiv) Trong khơng gian tên miền nói liệu -bao gồm địa IP- lập mục theo tên miền Do với tên miền cho việc tìm địa IP dễ dàng Để phân giải tên máy tính địa IP, không gian tên miền người ta bổ sung thêm nhánh tên miền mà lập mục theo địa IP Phần không gian có tên miền inaddr.arpa

địa IP Ví dụ miền inaddr.arpa có 256 subdomain, tương ứng với 256 giá trị từ đến 255 byte địa IP Trong subdomain lại có 256 subdomain ứng với byte thứ hai Cứ đến byte thứ tư có ghi cho biết tên miền đầy đủ máy tính mạng có địa IP tương ứng

2 Cài đặt DNS

2.1 Cấu hình DNS Client Thực DC1

B1 : Chuột phải lên Computer ->chọn

Propertives ->trong Tab Computer Name ->chọn Change Settings

->Change

B2 : Chọn More

B3 : Trong phần Primary DNS Suffix of this

B4 : Quan sát phần Full Computer Name DC1 đổi thành :

DC1.khoaviet.edu.vn -> OK ->Close->Restart Now

B5 : Mở phần cấu hình TCP/IP ->đặt giá trị Preferred DNS Server IP DC1

(172.168.1.10)

2.2.Cài đặt DNS server – thực DC1

-DC1 mở File Hosts ->xóa dịng thêm vào File Hosts, Save File lại B1 : Mở Server

Manager chuột phải lên Roles chọn Add Roles.

B3 : Chọn DNS Server ->Next

B4 : Chọn Next B5 : Chọn Install B6 : Close

2.3.Cấu hình DNS Server : A Forward Lookup Zone

B1 : Mở DNS Administrative Tools



chuột phải lên Forward Lookup Zones

B2 : Chọn Next

B3 : Chọn Primary Zone ->Next

B4 : Zone name đặt tên : khoaviet.edu.vn -> Next

Reverse Lookup Zone B1 : Chuột phải lên Reverse Lookup Zones ->chọn New Zone

B2 : Chọn next B6 : Chọn Do Not Allow Dynamic Update



B3: Chọn Primary Zone ->Next

B4 : Chọn IPv4 ->next

B5 : Network

B6 : Chọn Next

B7 : Chọn Do Not Allow Dynamic Update ->Next

B8 : Finish

B1 : Chuột phải lên khoaviet.edu.vn ->chọn New Host ( A or

AAAA )

B2 : Name : PC1 IP address :

172.168.1.11 ->Add Host->OK

B3 : Chuột phải lên vùng

B4 : Host IP :

172.168.1.11 phần Host Name ->chọn browse

B5 : Double click vào DC1

B7 : Double click vào khoaviet.edu.vn

B8 : Chọn host PC1 tạo ->OK ->OK

Alias

B1 : Chuột phải lên khoaviet.edu.vn 

chọn New

B2 : Alias name WWW Fully qualified domain name ->chọn Browse ->chọn đến host DC1 ->OK

Làm tương tự để tạo thêm Alias MAIL trở host DC1

- Dùng lệnh tiếp NSLOOKUP để phân giải host Alias tạo : đánh lệnh Nslookup – đánh dấu

www.khoaviet.edu.v n – enter : phân giải IP DC1 Làm tương tự để phân giải host mail.khoaviet.edu.v n ,

www.khoaviet.edu.v n,

BÀI 7

DỊCH VỤ THƯ MỤC -ACTIVE DIRECTORY Mã bài: 22.7

Giới thiệu :

Active Directory kiến trúc độc quyền Microsoft Đây một kiến trúc thiếu Windows Server Active Directory gọi dịch vụ thư mục Tương tự dịch vụ thư mục hệ thống khác, Novell chẳng hạn, Active Directory hệ thống chuẩn hóa với khả quản trị tập trung hồn hảo người dùng nguồn tài nguyên hệ thống mạng Cũng cần phải ý, Active Directory sử dụng mơ hình mạng “Server – Client”

Mục tiêu:

- Trình bày cấu trúc Active Directory windows server; - Cài đặt cấu hình máy điều khiển vùng

- Thực thao tác an toàn với máy tính

Mơ hình mạng workgroup cịn gọi mơ hình mạng peer-to-peer, mơ hình mà máy tính có vai trị nối kết với Các liệu tài nguyên lưu trữ phân tán máy cục bộ, máy tự quản lý tài nguyên cục Trong hệ thống mạng khơng có máy tính chuyên cung cấp dịch vụ quản lý hệ thống mạng Mơ hình phù hợp với mạng nhỏ, mười máy tính yêu cầu bảo mật khơng cao

Đồng thời mơ hình mạng máy tính sử dụng hệ điều hành hỗ trợ đa người dùng lưu trữ thông tin người dùng tập tin SAM (Security Accounts Manager) máy tính cục Thơng tin bao gồm: username (tên đăng nhập), fullname, password, description… Tất nhiên tập tin SAM mã hóa nhằm tránh người dùng khác ăn cấp mật để cơng vào máy tính Do thông tin người dùng lưu trữ cục máy trạm nên việc chứng thực người dùng đăng nhập máy tính máy tính tự chứng thực

1.2 Mơ hình Domain

Khác với mơ hình Workgroup, mơ hình Domain hoạt động theo chế client-server, hệ thống mạng phải có máy tính làm chức điều khiển vùng (Domain Controller), máy tính điều khiển tồn hoạt động hệ thống mạng Việc chứng thực người dùng quản lý tài nguyên mạng tập trung lại Server miền Mơ hình áp dụng cho công ty vừa lớn

Trong mơ hình Domain Windows Server 2008 thông tin người dùng tập trung lại dịch vụ Active Directory quản lý lưu trữ máy tính điều khiển vùng (domain controller) với tên tập tin NTDS.DIT Tập tin sở liệu xây dựng theo công nghệ tương tự phần mềm Access Microsoft nên lưu trữ hàng triệu người dùng, cải tiến so với công nghệ cũ lưu trữ khoảng nghìn tài khoản người dùng Do thông tin người dùng lưu trữ tập trung nên việc chứng thực người dùng đăng nhập vào mạng tập trung máy điều khiển vùng chứng thực 2 Active directory.

2.1 Giới thiệu Active Directory.

Có thể so sánh Active Directory với LANManager trên Windows NT 4.0 Về bản, Active Directory là sở liệu tài nguyên mạng (còn gọi đối tượng) thông tin liên quan đến đối tượng Tuy vậy, Active Directory khơng phải khái niệm Novell sử dụng dịch vụ thư mục (directory service) nhiều năm

mơi trường xí nghiệp Lúc này, dịch vụ thư mục domain lưu trữ mười triệu đối tượng, đủ để phục vụ mười triệu người dùng domain

2.2 Chức Active Directory.

Lưu giữ danh sách tập trung tên tài khoản người dùng, mật tương ứng tài khoản máy tính

Cung cấp Server đóng vai trị chứng thực (authentication server) Server quản lý đăng nhập (logon Server), Server gọi domain controller (máy điều khiển vùng)

Duy trì bảng hướng dẫn bảng mục (index) giúp máy tính mạng dị tìm nhanh tài ngun máy tính khác vùng

Cho phép tạo tài khoản người dùng với mức độ quyền (rights) khác như: toàn quyền hệ thống mạng, có quyền backup liệu hay shutdown Server từ xa…

Cho phép chia nhỏ miền thành miền (subdomain) hay đơn vị tổ chức OU (Organizational Unit) Sau ủy quyền cho quản trị viên phận quản lý phận nhỏ

3 Directory Services.

3.1 Giới thiệu Directory Services.

Directory Services (dịch vụ danh bạ) hệ thống thông tin chứa trong NTDS.DIT chương trình quản lý, khai thác tập tin Dịch vụ danh bạ dịch vụ sở làm tảng để hình thành hệ thống Active Directory Một hệ thống với tính vượt trội Microsoft.

3.2.Các thành phần Directory Services.

Đầu tiên, bạn phải biết thành phần cấu tạo nên dịch vụ danh bạ gì? Bạn so sánh dịch vụ danh bạ với sổ lưu số điện thoại Cả hai chứa danh sách nhiều đối tượng khác thơng tin thuộc tính liên quan đến đối tượng

Object (đối tượng):Trong hệ thống sở liệu, đối tượng bao gồm máy in, người dùng mạng, server, máy trạm, thư mục dùng chung, dịch vụ mạng, … Đối tượng thành tố dịch vụ danh bạ

Attribute (thuộc tính): Một thuộc tính mơ tả đối tượng Ví dụ, mật tên thuộc tính đối tượng người dùng mạng Các đối tượng khác có danh sách thuộc tính khác nhau, nhiên, đối tượng khác có số thuộc tính giống Lấy ví dụ máy in máy trạm hai có thuộc tính địa IP

Container (vật chứa): Vật chứa tương tự với khái niệm thư mục Windows Một thư mục chứa tập tin thư mục khác Trong Active Directory, vật chứa chứa đối tượng vật chứa khác Vật chứa có thuộc tính đối tượng vật chứa thực thể thật đối tượng Có ba loại vật chứa là:

Domain: khái niệm trình bày chi tiết phần sau.

Site: site là vị trí Site dùng để phân biệt vị trí cục vị trí xa xơi Ví dụ, cơng ty XYZ có tổng hành dinh đặt San Fransisco, chi nhánh đặt Denver và văn phòng đại diện đặt Portland kết nối tổng hành dinh Dialup Networking Như hệ thống mạng có ba site

OU (Organizational Unit): là loại vật chứa mà bạn đưa vào người dùng, nhóm, máy tính OU khác Một OU chứa đối tượng nằm domain khác Nhờ việc OU có thể chứa OU khác, bạn xây dựng mơ hình thứ bậc vật chứa để mơ hình hố cấu trúc tổ chức bên domain Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập hệ thống

Global Catalog: Dịch vụ Global Catalog dùng để xác định vị trí đối tượng mà người dùng cấp quyền truy cập Việc tìm kiếm thực xa có Windows NT khơng định vị đối tượng tên mà thuộc tính đối tượng

Giả sử bạn phải in tài liệu dày 50 trang thành 1000 bản, chắn bạn không dùng máy in HP Laserjet 4L Bạn phải tìm máy in chuyên dụng, in với tốc độ 100ppm có khả đóng tài liệu thành Nhờ Global Catalog, bạn tìm kiếm mạng máy in với các thuộc tính tìm thấy máy Xerox Docutech 6135 Bạn cài đặt driver cho máy in gửi print job đến máy in Nhưng bạn Portland máy in Seattle sao? Global Catalog cung cấp thông tin bạn gửi email cho chủ nhân máy in, nhờ họ in giùm

Một ví dụ khác, giả sử bạn nhận thư thoại từ người tên Betty Doe ở phận kế toán Đoạn thư thoại cô ta bị cắt xén bạn biết số điện thoại cô ta Bạn dùng Global Catalog để tìm thơng tin ta nhờ tên, nhờ bạn có số điện thoại cô ta

Khi đối tượng tạo Active Directory, đối tượng gán số phân biệt gọi GUID (Global Unique Identifier) GUID của đối tượng luôn cố định cho dù bạn có di chuyển đối tượng đến khu vực khác

Hình 7.1: Hình kiến trúc Active Directory 4.1 Objects.

Trước tìm hiểu khái niệm Object, phải tìm hiểu trước hai khái niệm Object classes Attributes Object classes là thiết kế mẫu hay khn mẫu cho loại đối tượng mà bạn tạo Active Directory Có ba loại object classes thông dụng là: User, Computer, Printer Khái niệm thứ hai Attributes, định nghĩa tập giá trị phù hợp kết hợp với đối tượng cụ thể Như Object đối tượng định nghĩa giá trị gán cho thuộc tính object classes Ví dụ hình sau minh họa hai đối tượng là: máy in ColorPrinter1 người dùng KimYoshida.

4.2 Organizational Units

Organizational Unit hay OU đơn vị nhỏ hệ thống AD, xem vật chứa đối tượng (Object) dùng để xếp đối tượng khác phục vụ cho mục đích quản trị bạn OU cũng thiết lập dựa subnet IP và định nghĩa “một nhiều subnet kết nối tốt với nhau” Việc sử dụng OU có hai cơng dụng sau:

Trao quyền kiếm soát tập hợp tài khoản người dùng, máy tính hay thiết bị mạng cho nhóm người hay phụ tá quản trị viên (sub-administrator), từ giảm bớt cơng tác quản trị cho người quản trị toàn hệ thống

Domain là đơn vị chức nòng cốt cấu trúc logic Active Directory Nó phương tiện để qui định tập hợp người dùng, máy tính, tài nguyên chia sẻ có qui tắc bảo mật giống từ giúp cho việc quản lý truy cập vào Server dễ dàng Domain đáp ứng ba chức sau:

Đóng vai trị khu vực quản trị (administrative boundary) đối tượng, tập hợp định nghĩa quản trị cho đối tượng chia sẻ như: có chung sở liệu thư mục, sách bảo mật, quan hệ ủy quyền với domain khác

Giúp quản lý bảo mật các tài nguyên chia sẻ

Cung cấp Server dự phòng làm chức điều khiển vùng (domain controller), đồng thời đảm bảo thông tin Server này được đồng với

Hình 7.2: Hình kiến trúc Domain controller 4.4 Domain Tree.

Hình 7.3 : Cây Domain 4.5 Forest.

Forest (rừng) xây dựng nhiều Domain Tree, nói cách khác Forest là tập hợp Domain Tree có thiết lập quan hệ ủy quyền cho Ví dụ giả sử cơng ty đó, chẳng hạn Microsoft, thu mua cơng ty khác Thơng thường, cơng ty có hệ thống Domain Tree riêng để tiện quản lý, được hợp với khái niệm rừng

Hình 7.4 : Rừng Domain

Trong ví dụ trên, cơng ty mcmcse.com thu mua techtutorials.com xyzabc.com hình thành rừng từ gốc mcmcse.com 5 Cài đặt cấu hình active directory.

5.1 Nâng cấp Server thành Domain Controller. Giới thiệu

Một khái niệm không thay đổi từ Windows NT 4.0 domain Một domain trung tâm mạng Windows 2000 Windows 2008 , nhiên lại thiết lập khác Các máy điều khiển vùng (domain

controller – DC) khơng cịn phân biệt PDC (Primary Domain

2008 cài đặt Server độc lập (standalone server) Chương trình DCPROMO chính Active Directory Installation Wizard dùng để nâng cấp máy DC (Server Stand-alone) thành máy DC và ngược lại giáng cấp máy DC thành Server bình thường Chú ý Windows Server 2008 bạn đổi tên máy tính nâng cấp thành DC

Trước nâng cấp Server thành Domain Controller, bạn cần khai báo đầy đủ thông số TCP/IP, đặc biệt phải khai báo DNS Server có địa địa IP Server cần nâng cấp Nếu bạn có khả năng cấu hình dịch vụ DNS thì bạn nên cài đặt dịch vụ trước nâng cấp Server, cịn ngược lại bạn chọn cài đặt DNS tự động trình nâng cấp Có hai cách để bạn chạy chương trình Active Directory Installation Wizard: bạn dùng tiện ích Manage Your Server Administrative Tools nhấp chuột vào Start Run, gõ lệnh DCPROMO.

5.2 Các bước cài đặt.

Giống Windows Server 2008 cần chạy dcpromo từ nhắc lệnh Start -> Run, tuy nhiên cần phải cài đặt Active Directory Domain Controller role, bạn cài đặt role, sau chạy dcpromo.Vào Server Manager -> Roles -> add Roles

Bài lab bao gồm nội dung sau: - Nâng cấp Domain Controller

- Join máy workstation vào Domain

- Khảo sát Policy máy Domain Controller - Tạo Domain

- Tạo Domain User

- Cài Remote Server Administrator Tools cho máy Client Chuẩn bị :

ST T

IP OS

1 172.168.1.1

Windows Server 2008 R2

2 172.168.1.1

Windows

- Chỉnh Password account Administrator cho máy 123 - Disable card CROSS,gỡ bỏ Protocol TCT/IP Ipv6 card LAN - Kiểm tra máy liên lạc với lệnh PING

Thực :

Nâng cấp Domain Controller  Thực :

Vmnet 2 Vmnet 2

B1 : chỉnh IP

Menu Start  Control Panel  Network and Sharing Center  Change Adapter Settings  chuột phải lên Card Lan chọn Properties  chọn Internet Protocol

Version ( TCP/ Ipv4 )  nhấn Properties B2 : điều chỉnh

Preferred DNS server IP máy Domain  OK

B3 : menu start  Run  đánh lệnh dcpromo B4 : hình Welcome to the Active Directory Domani Services Insrallation Wizard chọn Use Advanced mode installation  Next  Next

B5 : hình Choose a Deployment

Configuration  chọn Creata a new domain in a new forest.

B6 : hình Name the Forest Root Domain  đánh tên domain :

B7 : hình Domain NetBIOS Name  chọn Next

B8 : hình Set Forest Functional Level  chọn Windows Server 2008 R2  Next

B10 : hình Location for Database, log files and SYSVOL  Next B11 : hình Directory Services Restore Mode Administrator Password  nhập password tùy chọn  Nexe

B12 : hình Summary  Next

B13 : hình Active Directory Domain Services Installation B14 : hình Completing Active Driectory Domain Services Installation Wizard  Finish  Restart

B1 : Start  Administrative  DNS

B2: click DNS  DOMAIN  Forward Lookup Zones 

khoaviet.edu.vn

B3: chuột phải  New Host  nhập thông tin sau:

B5: check Primary zone & Store the zone in Active Directory ….  Next

B6: chọn To all DNS Servers running on domain controllers in this domain: khoaviet.edu.vn  Next

B8: Nhập Network ID là: 172.168.1  Next

B9: chọn Allow only secure dynamic updates …  Next  Finish

B10: Browse  DOMAIN

B11: Chọn Forward

Lookup Zone 

khoaviet.edu.vn

B12: chọn Record máy Domain

Có thêm Record 172.168.1.10 trỏ domain.khoaviet.edu

Mở CMD  nslookup  Enter Thấy kết tự trả

domain.khoaviet.edu tương ứng với IP 172.168.1.10

Join máy Workstation vào Domain B1 : chỉnh IP

Menu Start Control Panel  Network and Internet  network and sharing centrer  change adapter setting

Chuột phải card Lan  properties

Chọn Internet Protocol Version ( TCP / IPV4)  chọn Properties

B2 : Menu start  chuột phải Computer 

Properties

- Trong phần Computer name , domain, and workgroup settings  Change setting.

- Trong phần Member of  chọn mục Domain  nhập khoaviet.edu.vn  OK - Điền Username password

administrator/123456  Restart lại máy

Khảo sát Policy máy Domain Controller Một số thay đổi nâng cấp máy DC :

- Quan sát Server Manager không local Users and Group - Mở Active Directory Users and computer

- Menu start  program  administrative toolsActive Directory users and computer  quan sát

Chỉnh Policy cho phép đặt Password đơn giảnB1: Menu Start  Program

 Edit

B2 : theo đường dẫn : computer configuration

windows

settings  security settings  account policy  double click vào Password must meet complexity requirements. B3 : chọn disable OK B5: Các tùy chọn lại chỉnh - Menu start  run  CMD  OK

- Đánh gppupdate/ force  enter

B1 : Mở active directory users and Computers Chuột phải khaoviet.edu.vn  New  user B2 : full name : u1 User logon name u1  Next

B3 : password : 123 Confirm password : 123

Bỏ dấu check user must change password at next logon  Next  Finish

Quan sát thấy user vừa tạo

B1 : Log on

KHOAVIET\Administrator - Chạy file

RSAT_for_Win7.MSU - Nhấn Yes để tiến hành Install

- Quá trình đặt thực sau cài xong, nhấn finish

Có thể download đây:

http://www.microsoft.com/e n-us/download/details.aspx? id=7887

B2 : mở Control Panel, chọn Programs  Programs and fertures.

B4 : đánh dấu chọn vào thư mục hình

B5: vào Start 

Administrative Tools  Chọn Active Directory Users And Computers. - Truy cập vào Active

Directory Users and computers thành công B6 : kiểm tra :

- Trên PC1, tạo user U 2, password 123456  tạo thành công

- Trên máy domain, mở AD kiểm tra thấy có User

BÀI 8

DỊCH VỤ DHCP Mã bài: 22.8 Giới thiệu:

Công ty với số lượng máy nhiều việc gán IP tĩnh, quản lý IP khó khăn , thời gian cho người quản trị mạng, cịn xảy tình trạng xung đột IP Chính giải pháp tối ưu dùng server chuyên dụng để gán Ip động cho hệ thống mạng dịch dụ DHCp Sau nghiên cứu DHCP SERVER

Mục tiêu:

- Mô tả hoạt động dịch vụ DHCP - Cài đặt cấu hình dịch vụ DHCP - Thực thao tác an tồn với máy tính Nội dung chính:

1 Giới thiệu DHCP

1.1 Định nghĩa chức DHCP

Chức DHCP

Mỗi thiết bị mạng dùng giao thức TCP/IP phải có địa IP hợp lệ, mạng đó.Thay người quản trị cấu hình IP cho máy client điều dễ gây trùng IP , nhiều thời gian lượng máy tính lớn việc dùng DHCP server để cấp tự động IP giải pháp tối ưu

Bằng việc phát triển DHCP mạng, tồn tiến trình quản lý tự động tập trung DHCP server bảo quản vùng địa IP giải phóng địa với DHCP client ghi lên mạng Bởi địa IP động tĩnh, địa khơng cịn trả lại cách tự động sử dụng vùng cấp phát lại

DHCP đựơc tạo nhóm làm việc cấu hình host động lực lượng kỹ sư Internet(IETF tổ chức tình nguyện định nghĩa giao thức sử dụng Internet) Như vậy, định nghĩa ghi lại Internet RFC bo mạch hoạt động Internet (the Internet Activities Board (IAB) ) xác nhận trạng thái tiêu chuẩn hố

Các tiêu chuẩn DHCP nòng cốt mà Microsoft hỗ trợ với dịch vụ DHCP RFC sau:

DHCP server máy chủ có cài đặt dịch vụ DHCP server Nó có chức quản lý cấp phát địa IP động liệu cấu hình TCP/IP Ngồi cịn có nhiệm vụ trả lời DHCP Client có yêu cầu hợp đồng thuê bao

DHCP client dịch vụ nằm cục máy tính (kể máy trạm và server) Nó dùng để đăng ký, cập nhật thông tin địa IP ghi DNS cho thân DHCP client gửi yêu cầu đến DHCP server cần đến địa IP tham số TCP/IP cần thiết để làm việc mạng nội Internet

1.2 Ưu điểm DHCP

Khắc phục tình trạng đụng IP , giảm chi phí quản trị hệ thống chẳng hạn Thứ nhất, trước nhà quản trị mạng thường phải đánh cấu hình IP tay (gọi IP tĩnh) nhờ có DHCP server cấp IP cách tự động cho máy trạm Nhất môi trường mạng lớn cần thiết hữu ích dịch vụ mạng thấy rõ ràng

Thứ hai, trước với kiểu cấu hình tay người dùng họ thay đổi IP Dẫn đến quên không nhớ IP DNS server để đặt lại cho lại, đặt IP trùng với IP đặt cho người khác, trùng với IP Defaul Gateway Nếu dùng DHCP server để cấp phát IP động cho máy trạm trùng lặp IP không xảy Các máy trạm ln ln có cấu hình TCP/IP chuẩn Làm cho hệ thống hoạt động liên tục, vừa giảm gánh nặng cho người quản trị vừa tăng hiệu làm việc cho user nói riêng doanh nghiệp nói chung

Thứ Người quản trị thay đổi cấu hình IP cách dễ dàng đồng sở hạ tầng mạng thay đổi Do làm tăng linh hoạt cho người quản trị mạng Ngoài DHCP phù hợp từ mạng nhỏ đến mạng lớn Nó phục vụ 10 máy khách hàng ngàn máy khách

- Phù hợp cho máy tính thường xuyên di chuyển qua lại mạng - Kết hợp hệ thống mạng không dây cung cấp điểm hostpot sân ga, sân

bay…

2 Nguyên lý động DHCP

Giao thức DHCP làm việc theo mơ hình client/server Theo đó, q trình tương tác DHCP client server diễn theo bước sau:

Bước 1: Khi máy client khởi động, máy gửi broadcast gói tin DHCPDISCOVER, u cầu server phục vụ Gói tin chứa địa MAC máy client

Bước 2: Các máy Server mạng nhận gói tin u cầu đó, cịn khả cung cấp địa IP, gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê địa IP khoản thời gian định, kèm theo subnet mask địa Server Server không cấp phát địa IP vừa đề nghị cho Client khác suốt trình thương thuyết

Bước 3: Máy Client lựa chọn lời đề nghị (DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị Điều cho phép lời đề nghị không chấp nhận Server rút lại dùng đề cấp phát cho Client khác

Bước 4: Máy Server Client chấp nhận gửi ngược lại gói tin Hình 8.1: Cơ chế cấp phát DHCP

DHCPACK lời xác nhận, cho biết địa IP đó, subnet mask đó thời hạn cho sử dụng thức áp dụng Ngồi Server cịn gửi kèm theo thơng tin cấu hình bổ sung địa gateway mặc định, địa DNS Server

3 Cài đặt Windows Server 2008 3.1 Trên máy Server

ST T

Tên Máy

IP OS

1 DC1 172.168.1.1

Windows Server 2008 R2

2 PC1 172.168.1.2

Windows

- máy turn off firewall

- máy kiểm tra đường truyền lệnh Ping - Máy PC1 tắt UAC

- Máy DC1 cài đặt Wins Thực :

1 Cài đặt Role DHPC DHPC server B1 : Mở Server

Manager 

chuột phải lên Roles  chọn Add roles B2 : Chọn Next

B4 : Chọn Next B5 : Chọn 172.16.1.10 ( IPv4 )  Next

B6 : Giữ nguyên mặc định  chọn next

B8 : Chọn Add  Điền thông số Range IP cấp phát cho DHCP Server  OK

B9 : Chọn Disable

DHCPv6…

Next

B10: Chọn Use current

credentials  Next  Next  Install

B1 : Chuột phải lên Scope Options chọn Configure Options

B2 : Chọn 003

Router  khai báo IP : 172.16.1.10  chọn

Add OK

B3 : Thực tương tự để tạo scope

B4: tạo scope 015 DNS Domain Name  nhập vào String value: khoaviet.edu.vn  OK

Quan sát Scope option tạo

3.2 Trên máy DHCP Client cấu hình để Client nhận IP tự động từ DHPC server

Thực PC1

P\IPv6) B2 : Chọn

- _ Obtain and IP address automatically

-_ Obtain DNS server address automatically  OK  đóng cửa sổ properties card mạng lại

B3 : Mở Command Line  đánh lệnh ipconfig/ release  Enter Đánh tiếp lệnh Ipconfig/renew

B4 : kiểm tra :

- Đánh lệnh ipconfig/all quan sát thấy PC1 nhận dược IP thông số khác cấp tự động từ Domain

B1 : PC1 : Mở Command Line  đánh lệnh ipconfig/ all

Ghi nhận lại thơng số dịng

physical Address: 00-0C-29-AE-98-F0

B2 : PC1 mở DHPC trong Administrate toolschuột phải lên Resevations  chọn New

Resevations

B3 : điền thông số hình Lưu ý : MAC address điền thông số ghi nhận PC1  Ok

B4 : quan sát Resevations tạo

 Kiểm tra:

- Tại PC1 đánh lệnh ipconfig/release ipconfig/ renew để xin cấp IP mới, IP PC1 cấp luôn 172.16.1.100

4 Backup DHCP Server

- Vào Administrative Tools DHCP Nhấn chuột phải tên máy Backup…

Hình 8.2: cửa sổ backup csdl dhcp

Hình 8.3: Cửa sổ chọn nơi lưu liệu backup

- Chúng ta để mặc định OK kết thúc trình backup vào thư mục bakup kiểm tra

5 Remove DHCP Server

- Vào Server Manager Roles  Chọn Remove roles

- Bỏ dấu stick dịch vụ DHCP Next, sau chọn Remove để xóa dịch vụ DHCP

Hình 8.5: Cửa sổ chọn dịch vụ DHCP để xóa - Sau Restart lại hệ thống.

BÀI

QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM Mã bài: 22.9

Tài khoản người dùng đối tượng quan trọng đại diện cho người dùng mạng, chúng phân biệt với thông qua chuỗi nhận dạng username

Mục tiêu:

Qua học học viên đạt kiến thức sau :

Mô tả tài khoản người dùng, tài khoản nhóm, thuộc tính người dùng

Tạo quản trị tài khoản người dùng, tài khoản nhóm Thực thao tác an tồn với máy tính

Nội dung chính:

1 Định nghĩa tài khoản người dùng tài khoản nhóm. 1.1 Tài khoản người dùng.

Tài khoản người dùng (user account) đối tượng quan trọng đại diện cho người dùng mạng, chúng phân biệt với thông qua chuỗi nhận dạng username Chuỗi nhận dạng giúp hệ thống mạng phân biệt người người khác mạng từ người dùng đăng nhập vào mạng truy cập tài nguyên mạng mà phép

1.1.1. Tài khoản người dùng cục

Tài khoản người dùng cục (local user account) tài khoản người dùng định nghĩa máy cục phép logon, truy cập tài nguyên máy tính cục Nếu muốn truy cập tài nguyên mạng người dùng phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ Bạn tạo tài khoản người dùng cục với công cụ Local Users and Group Computer Management (COMPMGMT.MSC) Các tài khoản cục bộ tạo máy stand-alone server, member server hoặc máy trạm lưu trữ tập tin sở liệu SAM (Security Accounts Manager) Tập tin SAM này đặt thư mục

\Windows\system32\config

Hình 9.1: lưu trữ thông tin tài khoản người dùng cục bộ

1.1.2. Tài khoản người dùng miền

nhập (logon) vào mạng máy trạm thuộc vùng Đồng thời với tài khoản người dùng truy cập đến tài nguyên mạng Bạn tạo tài khoản người dùng miền với công cụ Active Directory Users and Computer (DSA.MSC) Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa tập tin sở liệu SAM mà chứa tập tin NTDS.DIT, theo mặc định tập tin chứa thư mục \Windows\NTDS

Hình 9.2: lưu trữ thông tin tài khoản người dùng miền.

1.1.3. Yêu cầu tài khoản người dùng

+ Mỗi username phải từ đến 20 ký tự (trên Windows Server 2008 thì tên đăng nhập dài đến 104 ký tự, nhiên đăng nhập từ máy cài hệ điều hành Windows NT 4.0 trước mặc định hiểu 20 ký tự) + Mỗi username là chuỗi người dùng có nghĩa tất tên người dùng nhóm khơng trùng

+ Username khơng chứa ký tự sau: “ / \ [ ] : ; | = , + * ? < >

+ Trong username chứa ký tự đặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch Tuy nhiên, nên tránh khoảng trắng tên phải đặt dấu ngoặc dùng kịch hay dòng lệnh

1.2 Tài khoản nhóm.

Tài khoản nhóm (group account) đối tượng đại diện cho nhóm người đó, dùng cho việc quản lý chung đối tượng người dùng Việc phân bổ người dùng vào nhóm giúp dễ dàng cấp quyền tài nguyên mạng thư mục chia sẻ, máy in Chú ý tài khoản người dùng đăng nhập vào mạng tài khoản nhóm khơng phép đăng nhập mà dùng để quản lý Tài khoản nhóm chia làm hai loại: nhóm bảo mật (security group) nhóm phân phối (distribution group)

1.2.1. Nhóm bảo mật

Local group (nhóm cục bộ) loại nhóm có máy stand-alone Server, member server, Win2K Pro hay WinXP Các nhóm cục có ý nghĩa phạm vi hoạt động máy chứa thơi Domain local group (nhóm cục miền) loại nhóm cục đặc biệt chúng local group nhưng nằm máy Domain Controller. Các máy Domain Controller có sở liệu Active Directory chung chép đồng với local group trên Domain Controller có mặt Domain Controller anh em nó, local group này có mặt miền nên gọi với tên nhóm cục miền Các nhóm mục Built-in Active Directory domain local.

Global group (nhóm tồn cục hay nhóm tồn mạng) loại nhóm nằm Active Directory và tạo Domain Controller. Chúng dùng để cấp phát quyền hệ thống quyền truy cập vượt qua ranh giới miền Một nhóm global đặt vào nhóm local server thành viên miền Chú ý tạo nhiều nhóm global làm tăng tải trọng cơng việc Global Catalog

Universal group (nhóm phổ quát) loại nhóm có chức giống global group nhưng dùng để cấp quyền cho đối tượng khắp miền rừng miền có thiết lập quan hệ tin cậy với Loại nhóm tiện lợi hai nhóm global group local group vì chúng dễ dàng lồng nhóm vào Nhưng ý loại nhóm dùng hệ thống bạn phải hoạt động chế độ Windows 2000 native functional level hoặc Windows Server 2008 functional level có nghĩa tất máy Domain Controller mạng phải Windows Server 2008 Windows 2000 Server.

1.2.2. Nhóm phân phối

Nhóm phân phối loại nhóm phi bảo mật, khơng có SID và khơng xuất ACL (Access Control List) Loại nhóm này khơng dùng nhà quản trị mà dùng phần mềm dịch vụ Chúng dùng để phân phố thư (e-mail) tin nhắn (message) Bạn gặp lại loại nhóm làm việc với phần mềm MS Exchange.

1.2.3. Qui tắc gia nhập nhóm

- Tất nhóm Domain local, Global, Universal đều đặt vào nhóm Machine Local.

- Tất nhóm Domain local, Global, Universal đặt vào loại nhóm

Hình 9.3: khả gia nhập loại nhóm. 2. Chứng thực kiểm soát truy cập.

2.1 Các giao thức chứng thực.

Chứng thực Windows Server 2008 quy trình gồm hai giai đoạn: đăng nhập tương tác chứng thực mạng Khi người dùng đăng nhập vùng tên mật mã, quy trình đăng nhập tương tác phê chuẩn yêu cầu truy cập người dùng Với tài khoản cục bộ, thông tin đăng nhập chứng thực cục người dùng cấp quyền truy cập máy tính cục Với tài khoản miền, thông tin đăng nhập chứng thực Active Directory người dùng có quyền truy cập tài nguyên mạng Như với tài khoản người dùng miền ta chứng thực máy tính miền Windows 2008 hỗ trợ nhiều giao thức chứng thực mạng, bật là:

- Kerberos V5: giao thức chuẩn Internet dùng để chứng thực người dùng hệ thống

- NT LAN Manager (NTLM): giao thức chứng thực

Windows NT.

- Secure Socket Layer/Transport Layer Security (SSL/TLS): chế chứng thực dùng truy cập vào máy phục vụ Web an toàn

2.2 Số nhận diện bảo mật SID.

Tuy hệ thống Windows Server 2008 dựa vào tài khoản người dùng (user account) để mô tả quyền hệ thống (rights) quyền truy cập (permission) thực bên hệ thống tài khoản đặc trưng số nhận dạng bảo mật SID (Security Identifier) SID thành phần nhận dạng không trùng lặp, hệ thống tạo đồng thời với tài khoản dùng riêng cho hệ thống xử lý, người dùng không quan tâm đến giá trị SID bao gồm phần SID vùng cộng thêm với RID người dùng khơng trùng lặp SID có dạng chuẩn “S-1-5-21-D1-D2-D3-RID”, tất SID trong miền có giá trị D1, D2, D3, giá trị RID khác Hai mục đích việc hệ thống sử dụng SID là:

- Dễ dàng thay đổi tên tài khoản người dùng mà quyền hệ thống quyền truy cập không thay

- Khi xóa tài khoản SID của tài khoản khơng cịn giá trị nữa, có tạo tài khoản tên với tài khoản vừa xóa quyền cũ khơng sử dụng tạo tài khoản giá trị SID tài khoản giá trị

2.3 Kiểm soát hoạt động truy cập đối tượng.

Active Directory là dịch vụ hoạt động dựa đối tượng, có nghĩa người dùng, nhóm, máy tính, tài ngun mạng định nghĩa dạng đối tượng kiểm soát hoạt động truy cập dựa vào mô tả bảo mật ACE Chức mô tả bảo mật bao gồm:

- Liệt kê người dùng nhóm cấp quyền truy cập đối tượng - Định rõ quyền truy cập cho người dùng nhóm

- Theo dõi kiện xảy đối tượng - Định rõ quyền sở hữu đối tượng

Các thông tin đối tượng Active Directory mô tả bảo mật xem mục kiểm soát hoạt động truy cập ACE (Access Control Entry) Một ACL (Access Control List) chứa nhiều ACE, danh sách tất người dùng nhóm có quyền truy cập đến đối tượng ACL có đặc tính kế thừa, có nghĩa thành viên nhóm thừa hưởng quyền truy cập cấp cho nhóm

3. Các tài khoản tạo sẵn.

3.1 Tài khoản người dùng tạo sẵn.

Tài khoản người dùng tạo sẵn (Built-in) tài khoản người dùng mà ta cài đặt Windows Server 2008 mặc định tạo ra. Tài khoản hệ thống nên khơng có quyền xóa có quyền đổi tên (chú ý thao tác đổi tên tài khoản hệ thống phức tạp chút so với việc đổi tên tài khoản bình thường nhà quản trị tạo ra) Tất tài khoản người dùng tạo sẵn nằng Container Users công cụ Active Directory User and Computer Sau bảng mô tả tài khoản người dùng tạo sẵn:

Administrator Administrator tài khoản đặc biệt, có tồn quyền máy tính Bạn đặt mật cho tài khoản lúc cài đặt Windows Server 2008 Tài khoản có thể thi hành tất tác vụ tạo tài khoản người dùng, nhóm, quản lý tập tin hệ thống cấu hình máy in…

Guest

Tài khoản Guest cho phép người dùng truy cập vào máy tính họ khơng có tài khoản mật mã riêng Mặc định tài khoản không sử dụng, sử dụng thơng thường bị giới hạn quyền, ví dụ truy cập Internet in ấn

ILS_Anonymous_ User

Là tài khoản đặc biệt dùng cho dịch vụ ILS ILS hỗ trợ cho ứng dụng điện thoại có đặc tính như: caller ID, video conferencing, conference calling, faxing Muốn sử dụng ILS dịch vụ IIS phải cài đặt

IUSR_computer-name

Là tài khoản đặc biệt dùng truy cập giấu tên dịch vụ

IIS máy tính có cài IIS.

IWAM_computer-name

Là tài khoản đặc biệt dùng cho IIS khởi động tiến trình

ứng dụng máy có cài IIS Krbtgt

Là tài khoản đặc biệt dùng cho dịch vụ trung tâm phân phối khóa (Key Distribution Center)

TSInternetUser Là tài khoản đặc biệt dùng cho Terminal Services.

3.2 Tài khoản nhóm Domain Local tạo sẵn.

Nhưng thấy công cụ Active Directory User and Computers, container Users chứa nhóm universal, nhóm domain local nhóm global là hệ thống mặc định quy định trước Nhưng số nhóm domain local đặc biệt đặt container Built-in, các nhóm khơng di chuyển sang OU khác, đồng thời gán số quyền cố định trước nhằm phục vụ cho công tác quản trị Bạn ý khơng có quyền xóa nhóm đặc biệt

Administrat ors

Nhóm mặc định ấn định sẵn tất quyền hạn thành viên nhóm có tồn quyền hệ thống mạng Nhóm Domain Admins Enterprise

Admins thành viên mặc định nhóm

Administrators. Account

Operators

Thành viên nhóm thêm, xóa, sửa tài khoản người dùng, tài khoản máy tài khoản nhóm Tuy nhiên họ khơng có quyền xóa, sửa nhóm container Built-in OU.

Domain Controllers

Nhóm có Domain Controller mặc định khơng có thành viên nào, thành viên nhóm đăng nhập cục vào Domain Controller khơng có quyền quản trị sách bảo mật

Backup Operators

Thành viên nhóm có quyền lưu trữ dự phòng (Backup) phục hồi (Retore) hệ thống tập tin Trong trường hợp hệ thống tập tin NTFS và họ không gán quyền hệ thống tập tin thành viên nhóm truy cập hệ thống tập tin thông qua công cụ Backup Nếu muốn truy cập trực tiếp họ phải gán Guests Là nhóm bị hạn chế quyền truy cập tài nguyên mạng Các thành viên nhóm người dùng vãng lai thành viên mạng Mặc định tài khoản Guest bị khóa

Print Operator

Server Operators

Thành viên nhóm quản trị máy server miền như: cài đặt, quản lý máy in, tạo quản lý thư mục dùng chung, backup liệu, định dạng đĩa, thay đổi giờ…

Users

Mặc định người dùng tạo thuộc nhóm này, nhóm có quyền tối thiểu người dùng nên việc truy cập hạn chế

Replicator

Nhóm dùng để hỗ trợ việc chép danh bạ Directory Services, nhóm khơng có thành viên mặc định

Incoming Forest Trust Builders

Thành viên nhóm tạo quan hệ tin cậy hướng đến, chiều vào rừng Nhóm khơng có thành viên mặc định

Network Configurat ion

Operators

Thành viên nhóm có quyền sửa đổi thơng số TCP/IP máy

Domain Controller miền.

Pre-Windows 2000

Compati

Nhóm có quyền truy cập đến tất tài khoản người dùng tài khoản nhóm miền, nhằm hỗ trợ Remote

Desktop User

Thành viên nhóm đăng nhập từ xa vào Domain Controller

trong miền, nhóm khơng có thành viên mặc định Performace

Log Users

Thành viên nhóm có quyền truy cập từ xa để ghi nhận lại giá trị hiệu máy Domain Controller, nhóm khơng có thành viên mặc định

Performace Monitor Users

Thành viên nhóm có khả giám sát từ xa

máy Domain Controller.

Ngồi cịn số nhóm khác DHCP Users, DHCP Administrators, DNS Administrators… nhóm phục vụ chủ yếu cho dịch vụ, tìm hiểu cụ thể dịch vụ giáo trình “Dịch Vụ Mạng” Chú ý theo mặc định hai nhóm Domain Computers Domain Controllers dành riêng cho tài khoản máy tính, bạn đưa tài khoản người dùng vào hai nhóm

3.3 Tài khoản nhóm Global tạo sẵn.

Tên nhóm Mơ tả

Domain Admins

Thành viên nhóm tồn quyền quản trị máy tính miền mặc định gia nhập vào miền member server máy trạm (Win2K Pro, WinXP) đưa nhóm Domain Admins thành viên nhóm cục Administrators máy Domain

Users

Group Policy Creator Owners

Thành viên nhóm có quyền sửa đổi sách nhóm miền, theo mặc định tài khoản administrator miền thành viên nhóm

Enterprise Admins

Đây nhóm universal, thành viên nhóm này có tồn quyền tất miền rừng xét Nhóm xuất miền gốc rừng Mặc định nhóm thành viên nhóm administrators Domain Controller Schema

Admins

Nhóm universal xuất miền gốc rừng, thành viên nhóm chỉnh sửa cấu trúc tổ chức (schema) Active Directory.

3.4 Các nhóm tạo sẵn đặc biệt.

- Ngồi nhóm tạo sẵn trình bày trên, hệ thống Windows Server 2008 cịn có số nhóm tạo sẵn đặt biệt, chúng không xuất trên cửa sổ công cụ Active Directory User and Computer, mà chúng xuất ACL của tài nguyên đối tượng Ý nghĩa nhóm đặc biệt là:

- Interactive: đại diện cho người dùng sử dụng máy chỗ. - Network: đại diện cho tất người dùng nối kết mạng đến

một máy tính khác

- Everyone: đại diện cho tất người dùng. - System: đại diện cho hệ điều hành.

- Creator owner: đại diện cho người tạo ra, người sở hữa tài nguyên như: thư mục, tập tin, tác vụ in ấn (print job)… - Authenticated users: đại diện cho người dùng hệ thống

xác thực, nhóm dùng giải pháp thay an tồn cho nhóm everyone

- Anonymous logon: đại diện cho người dùng đăng nhập vào hệ

thống cách nặc danh, chẳng hạn người sử dụng dịch vụ FTP - Service: đại diện cho tài khoản mà đăng nhập với tư cách một

dịch vụ

- Dialup: đại diện cho người truy cập hệ thống thông qua Dial-up Networking.

4. Quản lý tài khoản người dùng nhóm cục bộ. 4.1 Cơng cụ quản lý tài khoản người dùng cục bộ.

Hình 9.3: cửa sổ quản lý Local Users and Groups Các thao tác tài khoản người dùng cục bộ.

4.1.1. Tạo tài khoản

Trong công cụ Local Users and Groups, ta nhấp phải chuột vào Users chọn New User, hộp thoại New User hiển thị bạn nhập thông tin cần thiết vào, quan trọng bắt buộc phải có mục Username.

Hình 9.4: cửa sổ tạo user

4.1.2. Xóa tài khoản

Hình 9.5: cửa sổ xóa User

Chú ý: chọn Delete thì hệ thống xuất hộp thoại hỏi bạn muốn xóa thật khơng tránh trường hợp bạn xóa nhầm Bởi xóa tài khoản người dùng phục hồi

4.1.3. Khóa tài khoản

Khi tài khoản khơng sử dụng thời gian dài bạn nên khóa lại lý bảo mật an tồn hệ thống Nếu bạn xóa tài khoản khơng thể phục hồi lại ta tạm khóa Trong công cụ Local Users and Groups, nhấp đôi chuột vào người dùng cần khóa, hộp thoại Properties tài khoản xuất

Hình 9.6: cửa sổ quản lý user

Hình 9.7: cửa sổ khóa user

4.1.4. Đổi tên tài khoản

Bạn đổi tên tài khoản người dùng nào, đồng thời bạn điều chỉnh thông tin tài khoản người dùng thông qua chức Chức có ưu điểm bạn thay đổi tên người dùng SID tài khoản không thay đổi Muốn thay đổi tên tài khoản người dùng bạn mở công cụ Local Users and Groups, chọn tài khoản người dùng cần thay đổi tên, nhấp phải chuột chọn Rename

4.1.5. Thay đổi mật

Muốn đổi mật mã người dùng bạn mở công cụ Local Users and Groups, chọn tài khoản người dùng cần thay đổi mật mã, nhấp phải chuột chọn Reset password

4.2 Quản lý tài khoản người dùng nhóm active directory. Tạo local user

- Để tạo User local phải có quyền ngang hàng với Administrator hệ thống

Hình 9.8: cửa sổ quản lý Domain Users and Groups

- Chuột phải User  New User  bảng New Object – User điền đầy đủ thông tin vào First Name, Last Name, Full Name

- Chọn Next để tiếp tục.Xuất bảng thiết lập password.Đây mật bạn ứng với tên tài khoản tạo trên,dùng để đăng nhập vào domain

- Pasword phải thỏa mãn sách mặc định Windows Server 2008.Password kí tự phải có thành phần sau :

Các kí tự thường : a,b,c,d,e… Các kí tự in hoa : A,B,C,D,E… Các chữ số : 1,2,3,4,5…

Các kí tự đặc biệt : @,!,$,&,#

- Ở khơng thiết lập password Group Policy Management Editor vơ hiệu hóa password

User must change password at next logon : bắt buộc user phải thay đổi password lần đăng nhập

User cannot change password : user quyền thay đổi password Password never expires : password khơng có thời hạn qui định

Account is disabled : vơ hiệu hóa tài khoản. - Ở không chọn mục hết Nhấn Next

- Chọn Next để tiếp tục.Ở bảng thông tin user chuẩn bị tạo - Chọn Finish để kết thúc

- Tiếp theo,kiểm tra thử user tạo Click đúp vào User kiểm tra

Để gán cho User đăng nhập vào domain Vào Group Policy Management Editor Chọn Allow log on through Terminal Services.

Add User or Group  Browse  đánh tên user Check Names  OK User tai , phat chọn để logon Và nhấn OK

Vào Logon as a Service Cũng gán quyền cho user User tai , phat gán quyền logon

Hình 9.10: cửa sổ gán quyền cho user

Xong sau vào Start  Run  gõ lệnh gpupdate /force để cập nhật user Sau Log off để đăng nhập user vào Administrator.Nhập tên user gán quyền nhấn OK.(không cần password) nảy ta khơng nhập password Vào Start để xem user đăng nhập vào

Tạo local group

Hình 9.11: cửa sổ tạo group Tại ô Group name gõ tên group.Sau chọn OK

Hình 9.13: cửa sổ xem group tạo

Để đưa user vào group phattai ,nhấp chuột phải vào group chọn Properties Tại tab Member.Chọn Add

Tại ô Enter the object name to select bạn gõ tên user muốn đưa vào group.Sau gõ tên user,chọn Check Names để kiểm tra

Và kết tồn user domain Sau thêm user vào group.Chọn OK để xác nhận

BÀI 10 QUẢN LÝ ĐĨA

Mã bài: 22.10 Giới thiệu:

Trên server vật lý chứa nhiều ổ đĩa vật lý Tuy nhiên người quản trị mạng phải biết cấu hình đĩa cho đạt mục tiêu khả chịu lỗi truy xuất nhanh liệu Windows Server 2008 hỗ trợ hai loại đĩa lưu trữ: basic dynamic

Mục tiêu:

- Phân biệt loại định dạng đĩa cứng; - Công nghệ lưu trữ Dynamic storage; - Mơ tả kỹ thuật nén mã hố liệu - Thực thao tác an toàn với máy tính Nội dung chính:

1 Cấu hình hệ thống tập tin.

Windows Server 2008 :

Khả FAT16 FAT32 NTFS

Hệ điều hành hỗ trợ

Hầu hết hệ điều hành

Windows 95 OSR2, Windows 98, Windows 2000, 2008 Windo ws 2008 2000 , Hỗ trợ tên tập

tin dài

256 ký tự Windows, 8.3

trên Dos 256 ký tự 256 ký tự

Sử dụng hiệu

quả đĩa Khơng Có Có

Hỗ trợ nén đĩa Khơng Khơng Có

Hỗ trợ hạn ngạch

Khơng Khơng Có

Hỗ trợ mã hố Khơng Khơng Có

Hỗ trợ bảo mật

cục Khơng Khơng Có

Hỗ trợ bảo

mật mạng Có Có Có

Kích thước Volume tối đa hỗ trợ

4GB 32GB 1024GB

Trên Windows Server 2008/Windows 2008 /2000/NT, bạn sử dụng lệnh CONVERT để chuyển đổi hệ thống tập tin từ FAT16, FAT32 thành NTFS Cú pháp lệnh sau:

CONVERT [ổ đĩa:] /fs:ntfs 2 Cấu hình đĩa lưu trữ.

Windows Server 2008 hỗ trợ hai loại đĩa lưu trữ: basic dynamic. 2.1 Basic storage.

Bao gồm partition primary và extended Partition tạo đĩa gọi partition primary toàn không gian cấp cho partition sử dụng trọn vẹn Mỗi ổ đĩa vật lý có tối đa bốn partition. Bạn tạo ba partition primary và partition extended Với partition extended, bạn tạo nhiều partition logical.

2.2 Dynamic storage

Đây tính Windows Server 2008 Đĩa lưu trữ dynamic chia thành volume dynamic Volume dynamic không chứa partition ổ đĩa logic, truy cập Windows Server 2008 Windows 2000 Windows Server 2008 / Windows 2000 hỗ trợ năm loại volume dynamic: simple, spanned, striped, mirrored và RAID-5 Ưu điểm công nghệ Dynamic storage so với công nghệ Basic storage:

lý để tạo ổ đĩa logic

- Có thể tạo ổ đĩa logic có khả dung lỗi cao tăng tốc độ truy xuất…

2.2.1. Volume simple

Chứa không gian lấy từ đĩa dynamic Khơng gian đĩa liên tục khơng liên tục Hình sau minh hoạ đĩa vật lý chia thành hai volume đơn giản

Hình 10.1: Volume simple

2.2.2. Volume spanned

Bao gồm nhiều đĩa dynamic (tối đa 32 đĩa) Sử dụng bạn muốn tăng kích cỡ volume Dữ liệu ghi lên volume theo thứ tự, hết đĩa đến đĩa khác Thông thường người quản trị sử dụng volume spanned khi ổ đĩa sử dụng volume bị đầy và muốn tăng kích thước volume bằng cách bổ sung thêm đĩa khác

Hình 10.2: Volume spanned

Do liệu ghi nên volume loại không tăng hiệu sử dụng Nhược điểm volume spanned đĩa bị hỏng tồn liệu volume truy xuất

2.2.3. Volume striped

Hình 10.3: Volume striped

Nhược điểm volume striped ổ đĩa bị hỏng liệu tồn volume giá trị

2.2.4. Volume mirrored

Là hai volume đơn giản Bạn dùng ổ đĩa ổ đĩa phụ Dữ liệu ghi lên đĩa đồng thời ghi lên đĩa phụ Volume dạng cung cấp khả dung lỗi tốt Nếu đĩa bị hỏng ổ đĩa làm việc không làm gián đoạn trình truy xuất liệu Nhược điểm phương pháp điều khiển đĩa phải ghi lên hai đĩa, làm giảm hiệu

Hình 10.4: Volume mirrored

Để tăng tốc độ ghi đồng thời tăng khả dung lỗi, bạn sử dụng biến thể volume mirrored duplexing Theo cách này bạn phải sử dụng điều khiển đĩa khác cho ổ đĩa thứ hai

Hình 10.5:Volume mirrored duplexing

Nhược điểm phương pháp chi phí cao Để có volume 4GB bạn phải tốn đến

8GB cho hai ổ đĩa.

2.2.5. Volume RAID-5

hỏng thông tin parity ghi đĩa khác giúp phục hồi lại liệu đĩa hỏng Volume RAID-5 sử dụng ba ổ đĩa (tối đa 32)

Hình 10.5:Volume Raid

Ưu điểm kỹ thuật khả dung lỗi cao tốc độ truy xuất cao sử dụng nhiều kênh I/O

3 Sử dụng chương trình disk manager.

Disk Manager là tiện ích giao diện đồ hoạ phục vụ việc quản lý đĩa volume trên môi trường Windows 2008 và Windows Server 2008 Để sử dụng hết chức chương trình, bạn phải đăng nhập vào máy tài khoản Administrator Vào menu Start ->Programs -> Administrative Tools -> Computer Management Sau mở rộng mục Storage chọn Disk Management Cửa sổ Disk Management xuất sau:

Phần sau hướng dẫn bạn thực thao tác Disk Manager

Thực hành disk management

Giới thiệu : lab bao gồm nội dung sau : Basic Disk

1 Primary Partition

1 Chuyển disk sang dynamic Mirror

3 Spanned Stripped Raid Chuẩn bị :

Thực

A Basic disk: gắn disk disk vào máy ảo : Primary partition

B1 : Start  Run  gõ

diskmgmt.msc  OK

B2 : Chuột phải lên disk1  chọn Online

B3 : Chuột phải lên Disk1 chọn

Initialze Disk B4 : OK

B5 : Chuột phải lên vùng Unalocated disk  chọn New Simple Volume

B6 : Màn hình

HDD (15 Gb): Partition Windows HDD (15 Gb) : trống

HDD (15 Gb) : trống

Welcome  chọn Next

B7 : Màn hình Sepcify Volume Wizard  chọn dung lượng Partition Simple Volume size in MB : 100  Next

B8 : Màn hình Assign Drive Letter or path  chọn lí tự đại diện cho partition  Next

B9 : Màn hình Format partition chọn tên nhãn đĩa phần volume label : Par1  chọn Perform a quick format  Next

B11 : Quan sát tạo partition thành công : loại Partition chọn tự động Primary

B12 : Mở My Computer quan sát thấy có thêm ổ đĩa Par1( E:)

B13 : Thực lại bước tạo thêm Partition dung lượng 100 MB với tên Par2, Par3 Lưu ý : Windows Server 2008 : ổ đĩa vật lý tạo tối đa partition Primary khác với Windows Server 2008 ( tạo ổ Primary )

Thực lại bước giống phần để tạo Partition dung lượng 100MB , tên Par4

- Quan sát thấy partition Par4 chọn tự động Logical - Logical Partition bao bọc Extended Partition B Dynamic Disk :

1 Chuyển disk sang dynamic: B1 : Mở Disk

Management chuột phải lên disk  chọn Convert To Dynamic Disk B2 : Chọn disk disk  OK

B4 : Màn hình cảnh báo  chọn Yes

2 Mirror B1 : Chuột phải lên Partition chứa hệ điều hành  chọn Add Mirror

B2 : Chọn Disk

 Add Mirror

Q trình đồng liệu thành cơng

- Gở disk khòi máy ảo- khởi động lại máy ảo

plex  khởi động vào windows thành công

3 Spanned : gắn Disk vào máy ảo Vào disk management  chuột phải lên disk chọn remove

B1 : chuột phải lên vùng Unallocated tên Disk  chọn new Spanned Volume

B2 : Màn hình Welcome  chọn next

B3 : hình Select Disks  khung bên trái chọn Disk  chọn Add

B4 : chọn Disk  Select the amount of Space in MB :100

B5 : Chọn disk  select the amount of space in MB : 200  Next

B7 : Đặt tên

partition Spanned Partition chọn perform a quick format  Next B8 : chọn Finish

Kiểm tra : mở Computer thấy xuất partition

Spanned Partition có dung lượng 300 MB

4 Stripped

B1 : chuột phải lên vùng Unallocated disk  chọn New Stripped Volume

B2 : hình Welcome  chọn next

B3 : hình Select Disk khung bên trái chọn disk 1 add

partition ổ đĩa vật lí : Select the amount of space in MB : 500  next B5 : chọn next B6 : chọn Quick Format  next B7 : chọn finish Quan sát thấy

partition thành công ( phân vùng màu xanh )

- Mở computer quan sát thấy có thêm partition - Dung lượng

partitiom 1000MB

5 Raid : xóa hết partition tạo ( trừ partition chứa hệ điều hành ) B1 : gắn đĩa số vào

máy ảo

B3 : hình Welcome Next B4 : hình Select disk  khung bên trái chọn disk disk  Add

B5 : Chọn dung lượng partition disk : 500  next

B6 : chọn Next

B7 : Chọn Quick Format next B8 : hình Complete  Finish B9 : quan sát tạo partition thành công

- Mở My Computer  mở Partition vừa tạo  tạo file Test.txt với nội dung tùy ý

- Tắt máy ảo , gỡ Disk khỏi máy ảo

- Khởi động lại máy ảo  vào truy xuất file

4 Quản lý việc nén liệu.

Nén liệu trình lưu trữ liệu dạng thức chiếm khơng gian liệu ban đầu Windows Server 2008 hỗ trợ tính nén tập tin thư mục cách tự động suốt Các chương trình ứng dụng truy xuất tập tin nén cách bình thường hệ điều hành tự động giải nén mở tập tin nén lại lưu tập tin lên đĩa Khả có partition NTFS Nếu bạn chép tập tin/thư mục partition có tính nén sang partition FAT bình thường hệ điều hành giải nén tập tin/thư mục trước chép

Để thi hành việc nén tập tin/thư mục, bạn sử dụng chương trình Windows Explorer thực theo bước sau:

- Trong cửa sổ Windows Explorer, duyệt đến tập tin/thư mục định nén chọn tập tin/thư mục

- Nhấp phải chuột lên đối tượng chọn Properties

- Trong hộp thoại Properties, nhấn nút Advanced tab General - Trong hộp thoại Advanced Properties, chọn mục “Compress

contents to save disk space” nhấn chọn OK.

Hình 10.6:cửa sổ thuộc tính

Nhấn chọn OK hộp thoại Properties để xác nhận thao tác Nếu bạn định nén thư mục, hộp thoại Confirm Attribute Changes xuất hiện, yêu cầu bạn lựa chọn nén thư mục (Apply changes to this folder only) nén thư mục tập tin có thư mục (Apply changes to this folder, subfolders and files) Thực lựa chọn bạn nhấn OK

Để thực việc giải nén thư mục/tập tin, bạn thực tương tự theo bước bỏ chọn mục Compress contents to save disk space hộp thoại Advanced Properties.

5 Thiết lập hạn ngạch đĩa (disk quota).

Hạn ngạch đĩa dùng để định lượng không gian đĩa tối đa mà người dùng sử dụng volume NTFS Bạn áp dụng hạn ngạch đĩa cho tất người dùng người dùng riêng biệt

- Lượng khơng gian chiếm dụng tính theo tập tin thư mục người dùng sở hữu

- Khi người dùng cài đặt chương trình, lượng khơng gian đĩa cịn trống mà chương trình thấy tính tốn dựa vào hạn ngạch đĩa người dùng, khơng phải lượng khơng gian cịn trống volume - Được tính tốn kích thước thật tập tin trường hợp tập

tin/thư mục nén Cấu hình hạn ngạch đĩa.

Bạn cấu hình hạn ngạch đĩa hộp thoại Volume Propertise đã giới thiệu phần Bạn mở hộp thoại cách nhấp phải chuột lên ký tự ổ đĩa Windows Explorer chọn Propertise Trong hộp thoại nhấp chọn tab Quota Theo mặc định tính hạn ngạch đĩa khơng kích hoạt

6 Mã hoá liệu efs.

EFS (Encrypting File System) kỹ thuật dùng Windows Server 2008 dùng để mã hoá tập tin lưu partition NTFS Việc mã hoá bổ sung thêm lớp bảo vệ an toàn cho hệ thống tập tin Chỉ người dùng có khố truy xuất tập tin người khác bị từ chối truy cập Ngồi ra, người quản trị mạng cịn dùng tác nhân phục hồi (recovery agent) để truy xuất đến tập tin bị mã hoá Để mã hoá tập tin, tiến hành theo bước sau:

Mở cửa sổ Windows Explorer

Trong cửa sổ Windows Explorer, chọn tập tin thưc mục cần mã hoá Nhấp phải chuột lên tập tin thư mục, chọn Properties

Trong hộp thoại Properties, nhấn nút Advanced

Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypt contents to secure data nhấn OK.

Hình 10.7:cửa sổ mã hóa

Trở lại hộp thoại Properties, nhấn OK, xuất hộp thoại Confirm Attribute Changes yêu cần bạn cho biết mã hoá riêng thư mục chọn (Apply changes to this folder only) mã hố tồn thư mục kể các thư mục (Apply changes to this folder, subfolders and files) Sau nhấn OK.

BÀI 11

TẠO VÀ QUẢN LÝ THƯ MỤC DUNG CHUNG Mã bài: 22.11

1 Kiểm soát quyền truy cập hệ thống tệp ntfs 1.1 Phân quyền đơn giản

- Windows có chế kiểm sốt truy nhập đơn giản share đồng thời phân quyền Muốn share, chọn lệnh Share , Add folder, click nút phụ chuột vào folder ấy, context menu nhóm người dùng (hay người dùng), nhóm chọn Permission Level để phân quyền cho nhóm Xong ấn nút Share

- Theo cách này, nhóm có ba quyền truy nhập  Reader (người xem) Xem toàn nội dung folder

 Contributor (người đóng góp) Xem tồn nội dung folder, tạo thêm file folder sửa file / folder mà thân thêm

 Co-owner (đồng chủ sở hữu) Xem sửa toàn nội dung folder, kể file/folder mà người khác tạo

Hình 11.1: hình gán quyền sharing

- Ba quyền không độc lập với Co-owner bao hàm Contributor, Contributor lại bao hàm Viewer

- Cơ chế dễ dùng tiện dùng, không dùng nhiều trường hợp Hơn nữa, chế khơng có Windows Server 2008 mà có Windows Server 2008

1.2 Phân quyền bản

4.3.1 Giới thiệu chế phân quyềnNTFS

- Cơ chế kiểm soát truy nhập Windows Server kết hợp hai chế phân quyền: phân quyền hệ thống tệp NTFS phân quyền giao thức chia xẻ tệp CIFS (hay gọi phân quyền share)

Phân quyền CIFS có ba quyền: Read (đọc)

Full Control (toàn quyền)

Hình 11.2: hình gán quyền NTFS

- Ba quyền không độc lập với Full Control bao hàm Change, Change bao hàm Read

- Phân quyền NTFS có quyền: Full Control (tồn quyền), Modify (sửa), Read & Execute (đọc tệp chạy chương trình),List folder contents (hiện nội dung thư mục), Read (đọc), Write (viết)

- Khi truy nhập server từ máy trạm, quyền truy nhập giao hai quyền CIFS NTFS Do đó, thực tiễn làm việc, để giảm bớt phức tạp, tạo nhiều share server, nên tạo share theo quyền (CIFS) thống cho share người dùng, cụ thể:

Trên share tự quản, Everyone có quyền Full Control Trên share quản chế, Everyone có quyền Change

- Sự phân biệt quyền truy nhập nhóm khác share khác thể phân quyền NTFS

4.3.2 Các công cụ phân quyền NTFS - Tất quyền truy nhập sở NTFS :

Traverse folder/execute file (đi xuyên qua folder / thi hành file). List folder/read data (hiện thư mục, đọc liệu).

Read attributes (đọc thuộc tính).

Read extended attributes (đọc thuộc tính mở rộng). Create files/write data (tạo file, viết liệu).

Create folders/append data (tạo folder, nối liệu).

Write attributes (viết thuộc tính) Cho phép thay đổi thuộc tính file folder

Delete (xóa).

Read permissions (đọc quyền). Change permissions (đổi quyền). Take ownership (đoạt chủ quyền).

Hình 11.3:màn hình gán quyền nâng cao NTFS

- Khi phân quyền cho folder, quyền phân sẽ áp dụng lên folder file bên trong, việc gọi thừa kế Việc thừa kế thực theo msột sáu kiểu sau

This folder only (chỉ folder thôi) Quyền áp dụng cho folder này, không thừa kế

This folder, subfolders and files (folder này, folder file). Quyền áp dụng cho folder này, folder file Thừa kế toàn phần

This folder and subfolders (folder folder con) Quyền áp dụng cho folder folder Các folder thừa kế

This folder and files (folder file) Quyền áp dụng cho folder và file Các file thừa kế

Subfolders and files only (các folder file thôi) Quyền áp dụng chỉ cho folder file Thừa kế toàn phần ngoại trừ thân

Subfolders only (chỉ folder thôi) Quyền áp dụng cho folder Các folder thừa kế ngoại trừ thân

1.2.3 Thực quyền liệu doanh nghiệp NTFS

Trong hệ thống tệp NTFS, năm quyền folder liệu doanh nghiệp thực theo công thức sau đây:

- Quyền sử dụng = Read & Execute, List Folder Contents Read this folder, subfolders and files

- Quyền biên tập = quyền sử dụng + Modify Write this folder, subfolders and files

- Quyền xem thư mục = List folder / Read data this folder and subfolders - Quyền xem quyền = Read Permissions this folder and subfolders

- Quyền xem quyền = Read Permissions this folder, subfolders and file

Hình 11.4:màn

hình chỉnh sửa quyền

nâng cao NTFS 2 Nguyên tắc áp dụng quyền truy cập

2.1 Nguyên tắc hoạch định thư mục chương trình

Dưới số nguyên tắc chung cần áp dụng định cấp độ truy cập NTFS cho thư mục:

- Bỏ quyền truy cập NTFS mặc định cấp độ Full Control từ nhóm Everyone đem cấp cho nhóm Administrators

- Chỉ định cấp độ truy cập Full Control Change thư mục thích hợp cho nhóm chịu trách nhiệm nâng cấp xử lí lỗi phần mềm

- Nếu chương trình mạng thường trú dung chung, cấp quyền truy cập cấp độ Read cho nhóm Users

I.1. Nguyên tắc hoạch đinh thư mục liệu

Bỏ quyền truy cập NTFS cấp độ mặc định Full Control từ nhóm Everyone đem cấp cho nhóm Administrators

Chỉ định cấp độ Add&Read cho nhóm Users cấp độ PC cho nhóm CreatorOwner Việc cung cấp cho người dùng đăng nhập cục khả hủy bỏ sữa chữa thư mục tập tin họ chép tạo máy tính mà họ đăng nhập

Tập trung thư mục cá nhân Volume NTFS riêng biệt với Volume chứa hệ điều hành chương trình, nhằm hợp lí hóa cơng tác quản trị lưu liệu

Dùng biến %UserName% để tự động gán tên tài khoản người dung cho thư mục tự động định quyền truy cập NTFS cấp độ PC cho người tương ứng

3. Tạo thư mục cá nhân (Home Folder) Volume NTFS

- Lưu trữ thư mục cá nhân Volume NTFS có thuận lợi lớn, tổ chức chúng thành hệ thống phân tầng giới hạn khả truy cập người dùng tương ứng mà không cần chia thư mục

4 Share permission

- Đầu tiên mở trình Windows Explorer chọn Organize  Folder and Search Options

Hình 11.5: mở cửa sổ quản lý thư mục

Hình 11.6: bỏ chọn sharing Winzard

Trong Windows server 2008 để chia sẻ thư mục nhấp chuột phải vào thư mục cần share chọn Share…

Hình 11.8: thao tác chia sẻ thư mục

- Ở ô Share Name máy tự lấy tên default tên thư mục hành bạn chỉnh sửa tên tùy ý

Hình 11.9: thao tác chia sẻ thư mục

Với tùy chọn Deny: User khơng có quyền truy cập tài nguyên với quyền hạn tương ứng

Hình 11.10 : gán quyền chia sẻ cho người dùng

Để thực phân quyền cho Group ta cần Deny tất quyền Group User

Sau Deny tất quyền Group User nhấp nút Add thể thêm Group User vào

Trong giả sử Add thêm User tai Set quyền cho User Deny tất quyền

Tương tự Add thêm User phat Set quyền cho User Allow tất quyền

Để tạo thư mục mà không muốn cho thấy (chỉ có gõ lệnh vào được) thỉ thêm dấu $ vào sau Share Name

Hình 11.11: thao tác truy suất tài nguyên chia sẻ

Bây từ máy Client khác, truy cập thư mục New Folder (2) với User tai

Máy báo khơng có lối vào lý Set cho User tai bị Deny tất

User tai bị từ chối truy cập New Folder (2) Tuy nhiên với User phat xem tài nguyên

Để xem thư mục Share ẩn Windows, vào Administrative

Hình 11.12: Quản lý thư mục chia sẻ Trong liệt kê toàn thư mục Share trước

Để tránh phải cơng nhập dịng lệnh \\[IP máy tới]\[thư mục share] ánh xạ ổ đĩa thư mục Share thường xuyên truy cập cách nhấp phải vào thư mục Share cần ánh xạ chọn Map Network Drive…

Hình 11.14: Truy suất tài nguyên chia sẻ Map Network Driver Trong cửa sổ Map Nerwork Drive bạn chọn tên ổ đĩa ánh xạ click Finish

Vào Computer thấy xuất thêm ổ đĩa (Ổ đĩa ánh xạ) Nhấp vào đến thư mục mà bạn vừa ánh xạ

5 Dịch vụ tập tin (file services) 5.1.Triển khai File Sevices

File Server Resource Manager tập hợp cơng cụ cho phép người quản trị điều khiển quản lý liệu server chạy hệ điều hành Windows Server 2008 cách hiệu quả.Với cơng cụ này, cấu hình quota ổ đĩa thư mục,ngăn cấm chép định dạng mà bạn định,đồng thời xuất báo cáo giám sát hoạt động người dùng không gian lưu trữ

- Để cài đặt dịch vụ File Services vào Server Manager Roles Add Roles - Tại bảng Select Server Roles,chọn File Services

Hình 11.16: cài đặt dịch vụ file Server

- Chọn Next Tại bảng File Services ,xem giới thiệu thông tin dịch vụ File Services

Hình 11.17: Lựa chọn dịch vụ

- Chọn Next Tại bảng Configure Storage Usage Monitoring ,chọn ổ đĩa cần theo dõi

Hình 11.18: Chọn ổ đĩa cần theo dõi

Hình 11.19: thiết lập xuất báo cáo

- Chọn Next Tại bảng Confirm Installation Selections, xem lại thiết lập, sau chọn Install

- Sau cài đặt hoàn tất.Chọn Close

- Để mở File Server Reource Manager vào Start  Administrative Tools  File Server Resource Manager.

Hình 11.20: hình quản lý File server

Tại tab Email Notification, nhập thông tin Mail Server địa email người nhận để hệ thống gửi thông tin cảnh bảo báo cáo

Ở tab Notification Limits, bạn giới hạn số lượng thông tin cảnh báo gửi

Tại tab Storage Reports thiết lập thơng số mặc định báo cáo xuất ra.Ở report chỉnh lại cách chọn Edit Parameters.

Tại tab Report Locations cho phép thiết lập vị trí lưu trữ báo cáo Tại tab File Screen Audit cho phép thiết lập ghi file screen audit Chọn OK để hoàn tất thiết lập

5.2 Quản lý File Screen

File Screen công cụ dùng để ngăn chặn người sử dụng lưu trữ số file không phép lên ổ đĩa thư mục cấp

Khi tạo file screen,có thể chọn hình thức:

- Active Screening : không cho phép người sử dụng lưu trữ loại file không phép lên server

- Passive Screening : cho phép người sử dụng lưu trữ loại file không phép lên server,đồng thời đưa cảnh báo cần thiết để phục vụ cho mục đích kiểm sốt

Chú ý : với file tồn ổ đĩa thư mục trước file screen tạo ra,người sử dụng hoàn toàn truy cập được,cho dù file thuộc vào danh sách loại file bị cấm

 Các bước cài đặt File Screen

- Để tạo file group,vào StartAdministrative ToolsFile Server Resource Manager Click vào File Screening Management Nhấp chuột phải vào File Groups chọn Create File Group

- Tại bảng Create File Group Properties,nhập tên file file group vào mục File group name

- Nhập định dạng file vào chọn Add,hoặc bỏ chọn Remove File to include : bao gồm loại file thuộc groupFile to exclude : bao gồm loại file không thuộc group

Hình 11.5:

Chọn OK để hồn tất.Lúc group xuất bảng

- Để tạo file screen,tại File Server Resource Manager.Nhấp chuột phải vào File Screens chọn Create File Screen

- Tại bảng Create File Screen,tại mục File screen path,chọn đường dẫn thư mục áp dụng file screen.Ở mục How you want to configure file screen properties,chọn Derive properties from this file screen template để sử dụng template sẵn có hệ thống

Hình 11.5:

- Nếu muốn thiết lập thuộc tính riêng biệt tự định nghĩa,chọn Define custom file screen properties,sau click chọn Custom Properties.

- Tại bảng File Screen Properties ,nếu muốn copy thuộc tính từ template hệ thống, chọn template từ danh sách Copy properties from template chọn Copy

Hình 11.5:

- Sau thiết lập xong chọn OK

- Sau chọn Create Tại bảng Save Custom Properties as a Template,đánh dấu chọn Save the custom properties as a template nhập tên template vào mục Template nameOK.

- Để tạo file screen exception ,nhấp chuột phải vào Files Screen chọn Create File Screen Exception.

- Tại bảng Create File Screen Exception,ở mục Exception path ,chọn đường dẫn đến thư mục áp dụng file screen exception Trong mục File groups chọn file group tương ứng để đưa vào file screen exception

Hình 11.5:

- Chọn OK để hồn tất 5.3 Quản lý Quota

- Để tạo Quota vào StartAdministrative ToolsFile Server Resource Manager.

- Click vào Quota ManagementQuota Templates

Hình 11.5:

- Tại bảng Create Quota,ở mục Quota path chọn đường dẫn đến ổ đĩa thư mục cần thiết cách click vào Browse

- Đánh dấu chọn vào Create quota on path

- Ở mục Derive properties from this quota template,chọn template phù hợp

- Ở mục Summary of quota properties,xem lại thuộc tính template vừa chọn

- Chọn Create để tạo quota mới.Để thay đổi template ,nhấp chuột phải vào template chọn Edit Template Properties Tại thay đổi tùy chọn cho phù hợp với yêu cầu dung lượng đĩa cấp quota,hình thức quota hard quota hay soft quota

 Tạo Quota Template

.- Để tạo quota template,nhấp chuột phải vào Quota Templates chọn Create Quota Template

Hình 11.5:

properties from quota template (optional) click chọn Copy.Nhập tên template vào mục Template Name.Nhập thông tin miêu tả vào mục Label(optional).Ở mục Space Limit,bạn nhập dung lượng cần cấp quota chọn kiểu hard quota soft quota.Có thể bổ sung ngưỡng cảnh báo cho template cách sử dụng chức Add mục Notification thresholds.Nếu muốn tùy chỉnh,chọn Edit.Sau chọn OK để hồn tất tạo template

Hình 11.5:

Để tùy chỉnh cho quota template vừa tạo, nhấp chuột phải vào quota template chọn Edit Template Properties Sau thực thay đổi cần thiết chọn OK

Tại bảng Update Quotas Derived from Template có lựa chọn :

Apply template only to derived quotas that match the original template : cập nhật cho quota chưa hiệu chỉnh kể từ tạo

Apply template to all derived quotas : cập nhật cho tất quota sử dụng template

Do not apply template to derived quotas : không muốn thực tao tác cập nhật quota Nhấn OK để hoàn tất

5.4 Quản lý báo cáo

- Để xem lại thiết lập vừa rồi,click vào Review Reports

Hình 11.5:

Hình 11.5:

- Tại tab Settings,ở mục Scope,click vào Add để chọn ổ đĩa hay thư mục cần xuất thông tin báo cáo.Ở mục Report data,chọn loại báo cáo tương ứng.Với loại ,bạn sử dụng chức Edit Parameters để tùy chỉnh tham số cần.Ở mục Report formats,chọn định dạng lưu trữ báo cáo,mặc định Dynamic HTML (DHTML)

Hình 11.5:

- Ở tab Schedule,click vào Create Schedule để lập lịch.Tại bảng Schedule ,click vào New.Sau chọn thời gian,nếu muốn thiết lập mở rộng click chọn Advance

Hình 11.5:

- Sau thiết lập báo cáo,giờ xuất báo cáo theo nhu cầu.Chuột phải vào Storage Reports Management chọn Generate Reports Now Ở tab Settings,tại mục Scope,click vào Add chọn ổ đĩa hay thư mục cần xuất thông tin báo cáo.Ở mục Report data,chọn loại báo cáo tương ứng.Với loại, sử dụng chức Edit Parameters để tùy chỉnh tham số cần.Ở mục Report formats,chọn định dạng lưu trữ báo cáo

Sau chọn OK.Tại bảng Generate Storage Reports,chọn Generate reports in the background để lưu báo cáo xem thư mục lưu trữ chúng

Chọn OK để hoàn tất

BÀI 12

DỊCH VỤ IN ẤN (PRINT SERVICES) Mã bài: 22.12

Giới thiệu:

Trong học cách quản lý máy in chia sẻ máy in

Mục tiêu:

- Mô tả mơ hình thuật ngữ sử dụng cho tác vụ in ấn Windows;

- Cài đặt máy in logic máy chủ in ấn; - Chuẩn bị máy chủ in ấn cho máy trạm;

- Kết nối máy trạm in ấn đến máy in logic máy chủ in ấn; - Quản trị hàng đợi in ấn đặc tính máy in;

- Xử lý cố lỗi máy in

- Thực thao tác an tồn với máy tính 1 Cài đặt

Print Services Tools không cài đặt mặc định, để sử dụng cần phải cài đặt thành phần trước

- Chọn Add Features

- Tiếp tục nhấn Install để cài đặt.Và sau có nhấn Close để hoàn tất việc cài đặt 2 Truy cập Print Sevices Tools

3 Quản lý máy in mạng

Đầu tiên Windows đặt mục All Printers All Drivers cách tự động trường hợp Bên cạnh máy chủ mà cài đặt giao diện Print Management thành viên miền Active Directory Một điểm tên máy chủ tương ứng với máy in Mặc dù máy in mạng nằm điểm mạng Windows tự động tạo hàng đợi cho máy in máy chủ Một chức giao diện quản lý Print Management cho phép quản lý in ấn mạng tập trung

BÀI THỰC HÀNH PRINTER

Giới thiệu : lab bao gồm nội dung sau : Local Device

2 Network Device Map Printer Phân quyền Printer pooling Available time Spool folder Priority

9 Additional Driver 10.Deploy Printer

Chuẩn bị : ST

T

Tên Máy

IP OS

1 Domai

n

172.168.1.1

Windows Server 2008 R2

2 DC1 172.168.1.2

Windows Server 2008 R2

- Máy Domain :

Tạo user: KT1 , NS1 , U1 Tạo group : Ketoan, Nhan Su

Add user KT1 vào Group Ke Toan, add user NS1 vào Group NhanSu - Chỉnh Policy log on locally : cho phép group users có quyền log on vào

PC01

. Thực :

1 Local Device : thực Domain B1 : Log on

Administrator : mở Start Devices And Printers  Add a printer B2 : chọn Add A Local Printer

B3 : để mặc định

B4 : Chọn Have Disk

B6 : để mặc định Next

B7 : Để mặc định Share this Printer  Next

B8 : Chọn Finish  quan sát thấy phần Printers and Faxes có máy in Canon LBP2900

B1 : Mở Devices And Primters  chọn add a Printers  Add a Local Printer B2 : Chọn Create a new Port  chọn Standard

TCP/IP Port 

Next B3 :

 Device type : TCP/IP Device  Hostname or

IP address : 172.168.1.100  Port name :

172.168.1.100 Bỏ dấu chọn trước dòng : Query the Printer and automaticcaly select the driver to use  Next B4 : Chọn Custom  chọn next

B6 : Chỉ đường dẫn đến thư mục chứa driver máy in Canon LBP 2900  OK B7 : Thấy xuất máy in Canon LBP2900  Next

B8 : Chọn Use the driver that the currently installed

(recommened)  Next

B9 : Trong mục Printer name  điền vào :

Network Printer  Next

B10 : Chọn Do not Share the Printer  Next  Finish

Kiểm tra : thấy Printers có thêm máy in tên Nework Printer

3 Map Printer

B1: Log on

administrator  truy cập vào Domain B2 : Chuột phải lên máy in Canon LBP2900  Connect

B3 : chọn Install Driver

B4 : quan sát thấy có máy in : Canon LBP2900 on domain

4 Phân quyền – thực Domain : - U1 khơng có quyền in

- Group KeToan có quyền in quản lý document

- Group NhanSU có quyền in xóa document tạo B1 : Chuột phải lên

printer Canon

LBP2900chọn See What’s Printing Hộp thoại Canon LBP2900 Menu Printer  chọn Pause Printing

B2 : Chuột phải lên Printer Canon LBP2900  chọn Printer Properties Tạo tab Security  remote group ngoại trừ group

Administrators creator owner, Add thêm group KeToan NhanSu vào :

- Phân quyền Group NhanSu : Print ( Allow )

- Phân quyền group KeToan : Print

Kiểm Tra:

B1 : log on KT1 : mở notepad soạn nội dung gửi lệnh in lần

B2 : Mở Start  Devices And Printers  double click vào máy in Canon LBP2900  double click See What’s Printing  chuột phải lên document có chọn Cancal để hủy lệnh  hộp thoại cảnh báo Yes  Cancel thành công Cancel hết chừa lại document

B3 : Log On NS1 : Mở Notepad soạn nội dung gửi lệnh in lần

Chọn Cancel document uer KT1  thực

5 Printer Pooling

Thực Domain : Mục đích : tạo printer sử dụng chung máy in vật lí

B1 : Thực thao tác giống phần để Add thêm printer HP Color LaserJet 2800 port LPT2

B2 : phần Printers  chuột phải lên printer Canon LBP2900  chọn Printer Properties B3 : Trong tab Ports  dánh dấu chọn vào mục Enabled Printer Pooling

Đánh dấu chọn vào mục : LPT1 LPT2  OK

B1 : Mở phần Devices and printers  chuột phải lên Canon LBP2900  chọn printer Properties Trong tab

Advanced 

chọn Available from

Chọn từ 8:00AM to 12 :00 AM  OK

DC1 : log on administrator điều chỉnh hệ thống 16:00PM Log on KT1 : mở notepad  in thử  in

7 Spool folder : thực Domain : thay đổi nơi lưu Print job B1 : Trong phần

Devices and Printers  chọn máy in  chọn Printer server properties

B2 : Tab Advanced  đổi đường dẫn “ Spool folder ”  “ C:\PRINTERS”  OK  YES

8 Priority : thực Domain B1 : thực

thao tác giống phần để tạo printer đặt tên KeToan B2 : mục Printers  chuột phải lên KeToan  chọn Printer Properties

B3 : Trong Tab Security phân quyền cho group KeToan co quyền in

B4 : Qua Tab

Advanced  phần Priority  điền số  OK

B1 : Mở mục Printers  chuột phải lên máy in Canon LBP2900 chọn printer Properties B2 : tab Sharing  chọn Additional Drivers

B3 : chọn thêm vào mục x86 để add thêm phần driver cho windows x86

10 Deploy Printer : thực Domain B1 : Mở

B3 : chọn Next B4 : chọn Print Server  Next  Install

B5 : Mở Administrativ e Tools  Print

Management  mở Print Servers  Domain (local)  Printers  khung bên phải chuột phải vào máy in Canon

LBP2900 chọn Deploy with Group Policy B6 : Trong phần GPO Name  chọn Browse

B7 : Chọn Default

B8 : đánh dấu chọn The computers that this GPO applies to (per

machine) 

chọn add  OK

B9 : hình cảnh báo OK DC1: Log on administrator  xóa máy in cài đặt  restart lại máy Vào lại phần printers  quan sát thấy có máy in Canon

BÀI 13

CHÍNH SÁCH BẢO MẬT (GROUP POLICY) Giới thiệu:

Group Policy tập thiết lập cấu hình cho computer user Xác định cách thức để chương trình, tài nguyên mạng hệ điều hành làm việc với người dùng máy tính tổ chức

Mục tiêu:

- Phân biệt sách người dùng sách hệ thống

- Thiết lập số sách hệ thống bảo mật tài khoản người dùng

- Triển khai số sách nhóm thơng thường mơi trường người dùng Nội dung chính:

1.Chính sách tài khoản (account Policy) 1.1 Password policy

Vào Aministrator  Local Sercurity Policy  Account policies(

Hình 13.1: cửa sổ sách Password policy Trong bao gồm mục:

- Password must meet complexity … : đặt password cho wins phải có đủ độ phức tạp.(hoa, thường, số, ký tự đặc biệt) Mặc định tính bị disable, để gia tăng chế độ bảo mật nên chọn Enable

- Minimum password age: mặc định giá trị ta thay số khác VD chẳng hạn user có quyền thay đổi password ngày lần mà

- Minimum password length: Độ dài tối thiểu password

- Enforce password history: nhớ password không cho đặt trùng. - Store password using reversible … : mã hoá password.

- Account lockout policy

- Account lockout duration: khoá account 30 phút nhập sai. - Reset account lockout counter after: xoá nhớ đánh pass.

Hình 13.2: cửa sổ sách Acount lockout policy 2 Chính sách cục (Local Policy)

2.1.Chính sách kiểm tốn.

Chính sách kiểm tốn (Audit Policies) giúp bạn giám sát ghi nhận kiện xảy hệ thống, đối tượng người dùng Bạn xem ghi nhận thông qua công cụ Event Viewer, mục Security

Hình 13.3: cửa sổ sách Audit policy Các lựa chọn sách kiểm tốn:

Chính sách Mơ tả

Audit Account Logon Events

Audit Account Management

Hệ thống ghi nhận tài khoản người dùng nhóm có thay đổi thơng tin hay thao tác quản trị liên quan đến tài khoản người dùng Audit Directory

Service Access Ghi nhân việc truy cập dịch vụ thư mục

Audit Logon Events Ghi nhân kiện liên quan đến trình logon thi hành

logon script truy cập đến roaming Audit Object Access Ghi nhận việc truy cập tập tin, thư mục, máy

tin

Audit Policy Change Ghi nhận thay đổi sách kiểm tốn Audit privilege use Hệ thống ghi nhận lại bạn bạn thao tác quản

trị quyền hệ thống cấp xóa quyền

Audit process tracking Kiểm tốn theo dõi hoạt động chương trình hay hệ điều hành

Audit system event Hệ thống ghi nhận bạn khởi động lại máy tắt máy

I.2. Quyền hệ thống người dùng.

Hình 13.4: cửa sổ sách quyền cho user

Để thêm, bớt quyền hạn cho người dùng nhóm, bạn nhấp đơi chuột vào quyền hạn chọn, xuất hộp thoại chứa danh sách người dùng nhóm có quyền Bạn nhấp chuột vào nút Add để thêm người dùng, nhóm vào danh sách nhấp chuột vào nút Remove để xóa người dùng khỏi danh sách Ví dụ minh họa sau bạn cấp quyền thay đổi hệ thống (change the system time) cho người dùng “Tuan”.

Danh sách quyền hệ thống cấp cho người dùng nhóm:

Quyền Mô tả

Access This Computer from the Network

Cho phép người dùng truy cập máy tính thơng qua mạng Mặc

định người có quyền Act as Part of the

Operating System

Cho phép dịch vụ chứng thực mức thấp chứng thực với người dùng

Add Workstations

to the Domain Cho phép người dùng thêm tài khoản máy tính vào vùng

Back Up Files and Directories

Cho phép người dùng lưu dự phòng (backup) tập tin thư mục bất chấp tập tin thư mục người có quyền khơng

Bypass Traverse Checking

Cho phép người dùng duyệt qua cấu trúc thư mục người dùng khơng có quyền xem (list) nội dung thư mục

Change the System Time

Cho phép người dùng thay đổi hệ thống máy tính

Create a Token Object

Cho phép tiến trình tạo thẻ tiến trình dùng

NTCreate Token API. Create Permanent

Shared Objects

Cho phép tiến trình tạo đối tượng thư mục thông qua

Windows 2000 Object Manager.

Debug Programs Cho phép người dùng gắn chương trình debug vào tiến trình

Deny Access to This Computer from the Network

Cho phép bạn khóa người dùng nhóm khơng truy cập

đến máy tính mạng Deny Logon as a

Batch File

Cho phép bạn ngăn cản người dùng nhóm phép logon batch file

Deny Logon as a Service

Cho phép bạn ngăn cản người dùng nhóm phép

logon services. Deny Logon Locally

Cho phép bạn ngăn cản người dùng nhóm truy cập đến máy tính cục

Enable Computer and User Accounts to Be

Trusted by

Delegation

Cho phép người dùng nhóm ủy quyền cho người dùng đối tượng máy tính

Force Shutdown from a Remote System

Cho phép người dùng shut down hệ thống từ xa thông qua mạng

Generate Security Audits

Cho phép người dùng, nhóm tiến trình tạo entry

vào Security log Increase Quotas

Cho phép người dùng điều khiển hạn ngạch tiến trình

Increase Scheduling Priority

Quy định tiến trình tăng giảm độ ưu tiên gán cho tiến trình khác

Load and Unload Device Drivers

Cho phép người dùng cài đặt gỡ bỏ driver thiết bị

Lock Pages in Memory

Khóa trang vùng nhớ

Log On as a Batch Job

Cho phép tiến trình logon vào hệ thống thi hành tập tin chứa lệnh hệ thống

Log On as a Service Cho phép dịch vụ logon và thi hành dịch vụ riêng

Log On Locally Cho phép người dùng logon máy tính Server Manage Auditing

and Security Log

Cho phép người dùng quản lý Security log Modify

Firmware

Profile Single Process

Cho phép người dùng giám sát tiến trình bình thường thơng qua cơng cụ Performance Logs and Alerts.

Profile System Performance

Cho phép người dùng giám sát tiến trình hệ thống thơng qua công cụ Performance Logs and Alerts.

Remove Computer from Docking Station

Cho phép người dùng gỡ bỏ Laptop thông qua giao diện người dùng Windows 2000 Replace a Process

Level Token

Cho phép tiến trình thay token mặc định mà tạo tiến trình

Restore Files and Directories

Cho phép người dùng phục hồi tập tin thư mục, bất chấp người dùng có quyền tập tin thư mục hay không

Shut Down the System Cho phép người dùng shut down cục máy Windows 2000.

Synchronize

Directory Service Cho phép người dùng đồng liệu với dịchvụ thư mục. Take Ownership of

Files or Other Objects Cho người dùng tước quyền sở hữu đối tượng hệ thống

I.3. Các lựa chọn bảo mật.

Các lựa chọn bảo mật (Security Options) cho phép người quản trị Server khai báo thêm thơng số nhằm tăng tính bảo mật cho hệ thống như: không cho phép hiển thị người dùng logon trước hay đổi tên tài khoản người dùng tạo sẵn (administrator, guest) Trong hệ thống Windows Server 2008 hỗ trợ cho nhiều lựa chọn bảo mật, giáo trình khảo sát lựa chọn thông dụng