Đề tài: "Triển khai, quản trị,
duy trì và nâng cấp hệ
thống mạng doanh nghiệp"
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp

1.2 Các thành phần của mạng(Network Component)
1.3 Các loại mạng máy tính
1.4 Hệ thống domain quản lí mạng LAN- Local Area Network
2. Cơ sở lí thuyết
2.1 Dịch vụ DNS
2.2 Windows Internet Name Service
2.3 Dịch vụ DHCP
2.4 Active Directory
3. Hiện trạng hệ thống
4. Các công việc triển khai & kết quả
4.1 Các yêu cầu cấu trúc mạng mới
4.2 Công việc triển khai vào mạng công ty
Chương II: Quản lí và duy trì hệ thống mạng
1. Các khái niệm cơ bản
1.1 Một số khái niệm về kiến trúc Administrators
1.2 Khái niệm về backup và restore
2. Cơ sở lí thuyết
2.1 Thực hiện duy trì bảo mật Domain Controller và Active
Directoryministrative Workstation
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
3
2.2 Thiết lập chiến lược sao lưu và khôi phục domain controller
2.3 Quản lý tài khoản Backup Operators
3. Hiện trạng hệ thống
4. Công việc triển khai và kết quả
4.1 Cấu hình backup cho domain
4.2 Quản trị hệ thống Active Directory
Chương III: Nâng cấp hệ thống với ISA Firewall 2004

chính thức thành lập vào tháng 2 năm 2007 bởi những nhà đầu tư nước ngoài
hàng đầu trên thế giới là Tập đoàn Công nghệ Net 1; Quỹ đầu tư IDG
Venture và Tập đoàn MK Việt Nam. Mục tiêu của Vinapay là góp phần xây
dựng tại Việt Nam một hạ tầng thanh toán an toàn cho thương mại di động.
Sản xuất và phát triển các loại thẻ dữ liệu công nghệ cao (bao gồm thẻ
thông minh có gắn chip, thẻ cào có mệnh giá trả trước, thẻ quản lý tài khoản,
thẻ SIM phục vụ dịch vụ thương mại điện tử, …)
- Nghiên cứu, phát triển và thực hiện các dịch vụ công nghệ cao liên
quan đến thanh toán thương mại điện tử (e-commerce), thương mại di động
(m-commerce), thẻ trả trước, thẻ thông minh;
- Sản xuất và phát triển phần mềm ứng dụng công nghệ cao;
- Vận hành cổng điện tử, chuyển mạch để thực hiện kết nối các hệ
thống thanh toán thẻ ngân hàng, thẻ thanh toán, thẻ trả trước của các đơn vị
phát hành thẻ, cho phép người sử dụng điện thoại di động nạp tiền, trả cước
thông qua di động hoặc internet;
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
5
- Lắp đặt, bảo trì, cho thuê các hệ thống thiết bị phát hành thẻ, các loại
máy chấp nhận thanh toán như ATM, máy đọc và chấp nhận thanh toán đầu
cuối (POS).
Với công việc là thanh toán qua cổng điện tử và các giao dịch trực tuyến, yêu
cầu an toàn dữ liệu của Vinapay lại càng đòi hỏi cao. Nhưng do là một doanh
nghiệp trẻ (2-2007)Vinapay vẫn chưa có được một hệ thống mạng công ty
hoàn thiện, tính bảo mật không được đảm bảo. Cũng vì lí do đó trong thời
gian thực tập ở công ty VINAPAY em đã chọn đề tài “Triển khai, quản trị,
duy trì & nâng cấp hệ thống mạng doanh nghiệp” . Trên cơ sở thực tế mạng
của Vinapay, em đã nghiên cứu các vấn đề về mạng Lan và bảo mật mạng
Lan của doanh nghiệp.

Máy chủ (server): Là máy tính có các tài nguyên, dịch vụ, ứng dụng
chia sẻ để cho các máy tính khác truy nhập tới và sử dụng. Máy chủ chạy hệ
điều hành máy chủ (Windows Server, Linux, Unix) và cài các phần mềm
chuyên dụng dành cho máy chủ. Tuỳ thuộc vào chức năng và nhiệm vụ mà
máy chủ có các tên gọi khác nhau như máy chủ dữ liệu (data server), máy
chủ thư điện tử (mail server), máy chủ ứng dụng (application server),…
Máy trạm (client): Là các máy tính trong mạng có thể kết nối đến các
máy chủ để sử dụng các tài nguyên mà máy chủ chia sẻ. Máy trạm chạy hệ
điều hành máy trạm và các phần mềm máy trạm.
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
7
Phương tiện truyền dẫn (media): Là các thành phần chuyền dẫn vật lý giữa
các máy tính như dây cáp (cable), sóng radio,…
Tài nguyên (resources): Là các ứng dụng, dữ liệu, các phần cứng
chuyên dụng,… được cung cấp bới các máy chủ trên mạng cho người dùng
thông qua các máy trạm (files, máy in,…)
Card mạng (network adapter): Là một thiết bị chuyên dụng giúp các
máy tính có thể gửi dữ liệu tới các máy tính thông qua phương tiện truyền
dẫn.
Các thiết bị kết nối như HUB, SWITCH, ROUTER
Giao thức mạng (network protocol): Là tập hợp các quy luật, quy định
giúp các máy tính có thể giao tiếp với nhau (hiểu được nhau – giống như
ngôn ngữ mà con người sử dụng).
Topo mạng (network topology): Là cấu trúc vật lý của mạng (bus, star,
ring,…) nó được phân loại dựa vào loại phương tiện truyền dẫn (media
type), giao thức mạng (protocol), card mạng,…(Trong khuôn khổ đề tài này
sẽ chỉ nghiên cứu về các thành phần quản lí và bảo mật mạng, các thiết bị
ngoại vi hay các phần cứng về máy sẽ không được đề cập đến).

1.4 Hệ thống domain quản lí mạng LAN
Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là
domain. Một domain đại diện cho một đường biên quản trị. Các máy tính,
người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ
liệu bảo mật chung.
Sử dụng domain cho phép các nhà quản trị phân chia mạng thành các
ranh giới bảo mật khác nhau. Thêm vào đó, các nhà quản trị từ các domain
khác nhau có thể thiết lập các mô hình bảo mật riêng của họ; bảo mật trong
một domain là riêng biệt để không ảnh hưởng đến các mô hình bảo mật của
các domain khác. Chủ yếu domain cung cấp một phương pháp để phân chia
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
9
mạng một cách logic theo tổ chức. Các tổ chức đủ lớn có hơn một domain
luôn luôn được phân chia để chịu trách nhiệm duy trì và bảo mật các nguồn
riêng của họ.
Một domain Windows Server 2003 cũng đại diện cho một không gian
tên tương ứng với một cấu trúc tên. Một domain khi tạo, nó sẽ cung cấp một
số dịch vụ cơ bản cho hệ thống mạng như:
DNS(Domain Name System): đây là Dịch vụ phân giải tên miền được
sử dụng để phân giải các tên host tuân theo chuẩn đặt tên FQDN thành các
địa chỉ IP tương ứng.
DHCP(Dynamic Host Configuration Protoco –Giao thức cấu hình địa
chỉ động ): đây là dịch vụ quản lý và cấp địa chỉ IP cho các máy trạm. Nhờ
dịch vụ này địa chỉ IP của các máy trong công ty trở lên dễ quản lí hơn.
Windows: Cấu hình hệ điều hành và quản lý server có cài đặt các dịch
vụ hệ thống
Active Directory: Quản lý và điều hành hoạt động của domain
controller cung cấp dịch vụ Active Directory

chủ DC tại các tỉnh miền Bắc (Hanoi.Vinapay.com.vn) hoặc miền Nam
(HCM.Vinapay.com.vn) sẽ nắm giữ domain Active Directory của từng
miền đồng thời cũng nắm giữ miền DNS của chính domain đó. Do các hoạt
động mạng 2 miền là độc lập do đó không cần thiết sử dụng thêm một máy
chủ DNS trung tâm để kết nối 2 mạng.
Hệ thống máy chủ DNS như ở trên đã nói có vai trò quan trọng trong hoạt
động của hệ thống mạng. Chính bởi vai trò quan trọng này mà ta cần phải có
chính sách quản trị một cách thích hợp để đảm bảo cho dịch vụ DNS luôn có
tính sẵn sàng cao, sao lưu phục hồi tốt.
Cũng do tính chất quan trọng của hệ thống máy chủ DNS mà trong chính
sách quản trị đối với máy chủ này, chúng ta nên hạn chế đến mức tối thiểu
số người được phép đăng nhập và vận hành thao tác trên các máy chủ này,
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
11
bởi chỉ cần một thao tác chỉnh sửa sai hoặc tắt đột ngột máy chủ sẽ dẫn tới
việc hệ thống Intranet không thể hoạt động được.
2.2 Windows Internet Name Service (WINS) Bằng việc triển khai
WINS, người quản trị cung cấp việc phân giải tên NetBIOS cho các client
trên hệ thống mạng Intranet. WINS thực hiện một cơ sở dữ liệu phân tán cho
các tên NetBIOS và các địa chỉ tương ứng của chúng. Các WINS client đăng
ký tên của chúng tại một local WINS server và WINS server đó sẽ trao đổi
các mục đó với các WINS server khác. Nó đảm bảo tính duy nhất của tên
NetBIOS.
Microsoft đã sử dụng giao tiếp NetBIOS để thiết kế các thành phần mạng
của mình vì thế có nhiều dịch vụ mạng và ứng dụng phụ thuộc vào
NetBIOS.
Hệ thống mạng cũ của VINAPAY vẫn còn đang sử dụng các hệ điều hành
như Windows 98, Win NT, Microsoft® Windows® 2000 do đó cần thiết

địa chỉ IP từ các máy chủ DHCP. Đồng thời nó có thể tạo ra lỗ hổng bảo mật
với hệ thống Intranet.
Việc giám sát các thành viên trong nhóm DHCP Administrator như là thành
viên trong nhóm local administrator, các nhóm Domain Admin và các nhóm
Enterprise Admin – để xác định những người cần có quyền quản lý các dịch
vụ DHCP. Các thành viên trong các nhóm này cho phép quản lý tất cả các
DHCP Server trong domain.
Chú ý: Thành viên của nhóm DHCP Administrator không thể cấp phép cho
một DHCP Server trong một Active Directory. Chỉ các thành viên của nhóm
Enterprice Admin có thể thực hiện nhiệm vụ này.
Tuy nhiên đối với các máy chủ trong hệ thống Intranet, cần được gán địa chỉ
IP tĩnh để đảm bảo chúng không nhận các thông tin cấu hình TCP/IP không
chính xác từ một DHCP server trái phép. Ngoài ra, một số máy trạm có vai
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
13
trò quan trọng cùng nên được sử dụng địa chỉ IP tĩnh. Việc đánh địa chỉ tĩnh
cho các máy chủ và một số máy trạm sẽ giúp cho hệ thống Intranet
VINAPAY vẫn hoạt động khi dịch vụ DHCP có lỗi.
2.4 Dịch vụ Domain controller(Active Directory )
Môi trường forest cho VINAPAY sẽ chứa một forest đơn. Tên domain gốc
của forest là VINAPAY.COM.VN.
Một forest đơn có thể chứa tới hàng triệu các đối tượng khác nhau (tài khoản
người sử dụng, các nhóm, tài khoản máy tính,… ) và được thiết kế đảm bảo
việc quản trị dễ dàng nhất.
Trên hệ thống Intranet VINAPAY, nhóm người quản trị mức forest sẽ khác
nhóm người quản trị tất cả các hoạt động khác thông thường trên dịch vụ thư
mục Active Directory. Chính vì thế, phương pháp tốt nhất là tạo ra một
domain gốc của forest và các chính sách quản trị phải tuân theo yêu cầu này.

Máy chủ DCserverIP:192.168.2.2 có vai trò:
 DHCP server:
Cấp dải địa chỉ từ :192.168.2.5192.168.2.100 cho client
trong công ty
 Đóng vai trò là DNS server : LangHa.Vinapay.com.vn
 FTP server: IP 222.252.28.10
Các máy client chưa cùng một domain, địa chỉ IP do modem cung cấp
Chưa có máy chủ in ấn, máy DHCP, DNS riêng biệt.

4. Các công việc triển khai & kết quả
4.1 Các yêu cầu cấu trúc mạng mới
 Router/modem:192.168.2.1 có vai trò là gateway của hệ thống
 Máy chủ DCserverIP: 192.168.2.2
 DHCP server :
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
15
Cấp dải :192.168.2.100-192.168.2.150 cấp động cho client
trong công ty.
Dành dải 192.168.2.5-192.168.2.49 để cấp tính cho một số
máy cố định.
 Modem cấp tĩnh địa chỉ 10.0.0.3 cho mạng Lan có dây trong
công ty. Cấp động dải 10.0.0.5-10.0.0.25 cho các máy Laptop
truy cập vào nhờ access point của công ty.
 FPT Server có địa chỉ: 222.252.28.10
 Thiết lập tĩnh địa chỉ của máy chủ DHCP, DNS, Printting
server, máy chủ backup. Tiến hành cài đặt các máy chủ này.
 Thiết lập hệ thống Active Directory, đưa các máy client vào
domain.

nhau ta có thể sử dụng phương pháp này. Một ảnh đĩa là một
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
17
bản sao của một đĩa cứng đã được cài đặt hệ điều hành. Việc
chuyển ảnh đĩa từ một máy tính này sang một máy tính khác có
cấu hình phần cứng tương đương cho phép có thể sử dụng ngay
hệ điều hành đã được chuyển mà không cần cài lại.
Khi áp dụng cần chú ý các thông số không thể trùng nhau là tên
máy và địa chỉ IP của các máy trong cùng một mạng LAN.
4.2.2 Cấu hình Windows Server 2003
Để khởi tạo các cấu hình máy chủ mà Windows Server 2003 cung
cấp ta có thể thực hiện theo các thao tác:
 Vào Start > Manage Your Server >Add and Remove a
role > Configure Your Server Winzard
 Hoặc có thể dùng câu lệnh Run > dcpromo để trực tiếp
vào cửa sổ Configure Your Server Winzard

Hình I.4.2 Cửa sổ Manage Your Server
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
18
 Tạo máy chủ quản trị miền Active Directory
Từ cửa sổ Configure Your Server Winzard chọn Domain controller và
tiếp tục điền các thông số tên domain.
Nếu là máy chủ gốc của domain ta chọn Domain Controller for a New
Domain, sau đó theo tiến trình càu đặt tên domain (Vinapay.com.vn).
Tiếp theo là các yêu cầu đường dẫn và các yêu cầu cài thêm dịch

phục hồi mà ta có thể chọn lựa như full backup, incremental backup,
differential backup hay copy backup.
Không cho phép các máy trạm sử dụng máy chủ DNS ngoài phạm vi
site của chúng. Phương pháp này sẽ làm giảm thiểu một lượng lớn lưu lượng
truy vấn DNS có thể xảy ra trên đường truyền kết nối WAN. Cấu hình này
sẽ được duy trì thông qua các tùy chọn trong các scope của dịch vụ DHCP.

Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
21

Hình I.4.6 Cấu hình máy chủ DNS với các bản ghi Host A
Bảng I.4.1: Các trường trong bản ghi tài nguyên tiêu chuẩn
Tên trường Mô tả tác dụng
Owner Nhận diện các máy DNS mà các bản ghi tài nguyên này là sở
hữu của nó
TTL(thời
gian sống)
Là thời gian tồn tại tối đa của một máy chủ đệm hay máy
trạm có thể lưu bản ghi này. Ta có thể tùy chọn cho nó bằng
một số nguyên độ dài tối đa 32 bit (thời gian theo giây)
Class Định nghĩa các giao thức quen thuộc được sử dụng. VD: IN
là internet
Type Nhận diện các loại bản ghi tài nguyên VD bản ghi SOA, bản
ghi A…
Rdata Chứa Rdata. Là một trường có độ dài biến đổi, nó thể hiện
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp


SOA

Tên chủ sở hữu,
FQDNcủa máy chủ tên, số
TT, khoảng thời gian làm
việc(đổi tên,làm tươi, hết
hạn, TTL min… )

Trạm

IN

Bằng TTL
SOA trong
vùng

A

Tên chủ sở hữu(DNS
chính) và Ipv4 của
máy(32 bit )

Máy chủ
tên

IN

Bằng TTL
SOA trong

23
chuẩn

SOA trong
vùng

hữu, tên DNS máyHình sau mô tả chi tiết một bản ghi của DNS với các thông số cơ bản.

:
Hình I.4.7Bản ghi Name Server của DNS
 Tạo máy chủ DHCP
Từ cửa sổ Configure Your Server Winzard chọn DHCP Server
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
24

Hình I.4.8 Chọn cài DHCP
Máy chủ DHCP được cấu hình :
Địa chỉ 192.168.2.1 được dành cho router, địa chỉ 192.168.2.2 được
dành riêng cho máy chủ DNS như hình dưới.

Generated by Foxit PDF Creator © Foxit Software
For evaluation only.