Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
1
LỜI CẢM ƠN
Sau một thời gian thực hiện, đề tài nghên cứu” Triển khai, quản trị, duy trì
& nâng cấp hệ thống mạng doanh nghiệp” đã phần nào hoàn thành. Ngoài
sự cố gắng của bản thân em còn nhận được sự giúp đỡ nhiệt tình từ thầy cô,
bạn bè, các anh, chị nơi em thực tập.
Trước hết em xin cảm ơn các thầy cô giáo bộ môn công nghệ thông tin
trường đại học Kinh tế Quốc dân đã giúp đỡ em trong quá trình học tập. Đặc
biệt là Giảng viên, PGS – TS Đặng Minh Ất đã tận tình giúp đỡ em trong
suốt quá trình thực hiện đề tài.
Xin cảm ơn ban giám đốc cùng các anh chị em làm việc tại công ty Vinapay
đã tạo điều kiện cho em được thực tập và học hỏi các kinh nghiệm để hoàn
thành đề tài này.
Em xin chân thành cảm ơn!
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
2
Mục lục
Giới thiệu
Chương I : Triển khai hệ thống mạng
1. Các khái niệm cơ bản
1.1 Định nghĩa một mạng máy tính cơ bản
1. Các khái niệm cơ bản
Các khái niệm cơ bản về ISA 2004
2. Cơ sở lí thuyết
2.1 Các Network Templates
2.2 Các cấu hình Network template
2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy
Clients
2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server
2004 Access Policy
3. Hiện trạng hệ thống
4. Công việc triển khai và kết quả
4.1 Lựa chọn hệ thống Firewall(Proxy)
4.2 Cài đặt ISA Server 2004 trên Windows Server 2003
4.3 Mô hình cấu hình ISA vào mạng công ty
Kết Luận
Phụ lục 1: Tài liệu tham khảo
Phụ lục 2: Một số từ chuyên ngành
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
4
GIỚI THIỆU
Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ chức,
các nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu
trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng.
Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi
mạng máy tính không được quản lí sẽ dễ dàng bị tấn công, gây hậu quả
nghiêm trọng.
Công ty Cổ phần Công nghệ Thanh toán Việt Nam (Vinapay) - được
Đề tài được thực hiện với mục đích tìm hiểu hệ thống và các công cụ được
cung cấp để qua đó có thể vận hành thành thạo các công cụ này, biết cách cấu
hình và thực hiện, qua đó tránh những lỗ hổng không đáng có. Đồng thời còn
đưa ra một số cấu hình đã được áp dụng hoặc một số đề xuất về cấu hình. Hi
vọng nó sẽ giúp ích cho những người quản trị mạng có thể áp dụng vào mạng
mình quản lí.
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
6
CHƯƠNG I TRIỂN KHAI HỆ THỐNG MẠNG
1 Các khái niệm cơ bản
1.1 Định nghĩa một mạng máy tính cơ bản
Mạng máy tính (computer network) là tập hợp của 2 hay nhiều máy tính kết
nối với nhau thông qua các phương tiện kết nối (thiết bị kết nối – Switch,
hub, dây cáp, sóng vô tuyến,…) để chia sẻ các tài nguyên. Việc kết nối giữa
các máy tính tuân theo các chuẩn về mạng máy tính (network standard), các
công nghệ mạng và các giao thức (Protocol). Các máy tính trong mạng có
thể gọi là nút mạng.
Việc sử dụng mạng máy tính giúp các tổ chức, doanh nghiệp dễ dàng trong
việc chia sẻ các tài nguyên cho người dùng. Các tài nguyên chia sẻ bao gồm
các file, thư mục, máy in, kết nối Internet, ứng dụng dùng chung.
1.2 Các thành phần mạng (Network Component)
Mỗi mạng máy tính bao gồm các máy tính, thiết bị mạng, máy in,…
chúng được gọi là các thành phần mạng (network component) bao gồm các
thành phần chính sau
1.3 Các loại mạng máy tính
Mạng máy tính có thể được phân loại theo một số cách khác nhau: phân loại
theo phạm vi (scope), theo kiến trúc (architecture), theo hệ điều hành dùng
trong mạng,…
Phân loại theo phạm vi
Mạng nội bộ (LAN – local area network): Là mạng máy tính trong đó
các máy tính kết nối trực tiếp với nhau, trong một phạm vi địa lý nhỏ
(phòng, toà nhà,…). Việc giới hạn này phụ thuộc vào phương tiện truyền
dẫn mà mạng nội bộ sử dụng.
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
8
Mạng diện rộng (WAN – wide area network): Là mạng có thể trải trên
các phạm vi địa lý rộng lớn, nối các khu vực trong một quốc gia hoặc các vị
trí ở các quốc gia khác nhau với nhau. Các phương tiện kết nối có thể sử
dụng nhứ cáp quang (fiber optic cable), qua vệ tinh (sateline), giây điện
thoại (telephone line), các kết nối dành riêng (lease line). Tuy nhiên giá
thànhh của các kết nối này tương đối cao.
Mạng Internet: Là một loại hình mạng đặc thù của mạng diện rộng,
ngày này mạng Internet đã trở thành một loại hình mạng phổ biến nhất. Mục
đích của mạng Internet là đáp ứng lại các kết nối của người dùng ở bất kỳ
đâu trên thế giới, giúp các tổ chức, doanh nghiệp có thể dễ dàng quảng bá
các thông tin, cung cấp các dịch vụ chia sẻ dễ dàng với giá thành hợp lý.
Một số loại mạng khác: Mạng nội đô (MAN – metropolitan area
network), Mạng lưu trữ dữ liệu (SAN – storage area network), mạng riêng
ảo (VPN – virtual private network), mạng không giây (wireless network),…
Trong phạm vi của đề tài, với một công ty cỡ vừa và nhỏ bao gồm các
máy chủ quản trị sử dụng Windows Server 2003 và một số máy client(50-
100 máy) ta chỉ xét phạm vi máy tính dạng Local Area Network (LAN).
Windows Internet Name Service(WINS):cung cấp khả năng phân giải
tên máy tính bằng cách phân giải tên NetBIOS sang địa chỉ IP
Ngoài ra Windows Server 2003 còn cung cấp rất nhiều tính năng dạng
máy chủ hỗ trợ khác như: máy chủ in ấn(print server), máy chủ File, máy
chủ ứng dụng(ISS, ASP.NET), máy chủ thư điện tử(POP3, MSTP), máy chủ
đầu cuối(Termilal ), máy chủ VPN, máy chủ WINS
2. Cơ sở lí thuyết
.
Để xây đựng một mạng máy tính sử dụng Microsoft Windows Server
2003 ta cần nắm rõ về các dịch vụ của nó cung cấp, điều này sẽ giúp cho
việc cấu hình mạng trở nên dễ dàng và khoa học hơn. Khi đó các công việc
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
10
sử dụng cũng như nâng cấp sẽ nhanh và hiệu quả hơn. Một số công cụ quản
trị hệ thống mạng.
2.1 Dịch vụ DNS –Không gian tên nội bộ (sử dụng trong hệ thống
Intranet Local) và không gian tên Internet được thiết kế như sau:
Không gian tên DNS nội bộ: Local.Vinapay.com.vn
Không gian tên DNS Internet: Vinapay.com.vn
Dịch vụ DNS trên Windows Server 2003 là một dịch vụ DNS động
(Dynamic DNS). Nó cho phép các máy trạm xác thực tự động đăng ký bản
ghi với dịch vụ DNS. Tất cả các tài khoản máy tính sẽ có các bản ghi tương
ứng đăng ký trong phạm vi miền DNS tích hợp dịch vụ Active Directory mà
nó trực thuộc. Điều này cho phép các yêu cầu nội bộ đối với các đối tượng
này được các máy chủ DNS nội bộ phục vụ.
Với hệ thống Intranet Vinapay, dữ liệu DNS cho mỗi domain con chỉ được
nhân bản đến các DC trong domain đó chứ không phải toàn bộ forest. Máy
triển khai WINS trên Windows Server 2003 để phân giải tên NetBIOS tự
động. Thậm chí khi hệ thống Intranet của VINAPAY đã năng cấp tất cả các
máy tính lên các hệ điều hành Windows XP1 , Windows XP2 thì hệ thống
vẫn yêu cầu phân giải tên NetBIOS cho các ứng dụng đang chạy trên hệ
thống.
2.3 Dịch vụ DHCP: Việc quản lý và cấp địa chỉ IP cho các máy trạm yêu
cầu khối lượng thời gian và mất rất nhiều công sức nếu không có dịch vụ
DHCP. Với mạng Microsoft Windows 2003, bạn có thể đánh địa chỉ IP động
sử dụng Giao thức cấu hình máy chủ động Dynamic Host Configuration
Protocol (DHCP) để tự động cấp và quản lý các địa chỉ IP mạng. Ngoài ra
thì dịch vụ DHCP còn cung cấp cho các máy trạm các thông tin về hệ thống
như subnet mask, Gateway. Nhờ đó các máy trạm có thể tránh được việc
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
12
xung đột địa chỉ IP; tránh được các lỗi có thể xảy ra khi thiết lập thủ công
các thông số liên quan TCP/IP như đánh địa chỉ Subnet mask sai.
Lợi ích lớn nhất đối với hệ thống Intranet VINAPAY khi triển khai dịch vụ
DHCP chính là việc giảm chi phí cho việc quản trị IP và đảm bảo các máy
trạm luôn nhận được địa chỉ IP đúng.
Để quản trị dịch vụ DHCP trên hệ thống mạng Intranet VINAPAY cần áp
dụng các chính sách quản lý trên cả máy chủ DHCP và máy trạm DHCP.
Các chính sách này được thực hiện thông qua việc phân quyền quản trị và
giám sát các tài khoản thuộc nhóm quản trị DHCP.
Theo chính sách quản trị chung cho các dịch vụ hệ thống, cần hạn chế số
lượng các thành viên của nhóm DHCP Administrator. Bởi vì các thành viên
của nhóm này được phân quyền để cấu hình một DHCP Server, xác định các
lựa chọn cấu hình DHCP, và tạo ra các DHCP reservation. Bất kỳ sự thay
đổi nào của dịch vụ DHCP có thể khiến các máy trạm không thể nhận được
Domain này sẽ nắm giữ hai vai trò FSMO mức forest đó là: Schema Master
và Domain Naming Master. Đây là hai vai trò rất quan trọng trong hoạt động
chung tổng thể của dịch vụ Active Directory trên toàn hệ thống. Các tài
khoản quản trị domain này sẽ rất hạn chế nhằm đảm bảo tính bảo mật cũng
như tính ổn định của hệ thống. Vì vậy, domain này sẽ nắm giữ các tài khoản
mức toàn hệ thống như Enterprise Admins và Schema Admins chẳng hạn.
Các nhóm người quản trị các hoạt động trên Active Directory được gán cho
một hoặc nhiều các domain con. Điều đó cho phép các nhóm quản trị IT này
có thể quản lý các dịch vụ trên domain của họ một cách độc lập nhưng
không thể điều khiển được các thành viên của các nhóm Enterprise Admins
và Schema Admins trong domain gốc của forest.
Như vậy domain gốc sẽ nắm giữ tất cả các tài khoản có quyền trên toàn
forest với quyền hạn có thể thực hiện thay đổi dữ liệu mức forest như: thay
đổi schema, cấu hình site, xác thực dịch vụ hệ thống,… nhóm quản trị hệ
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
14
thống VINAPAY hoàn toàn có thể kiểm soát được vấn đề này. Ví dụ: để có
thể cài đặt được phần mềm Exchange Server 2003 cần phải có sự chấp thuận
của nhóm quản trị cấp cao nhất do phần mềm này phải mở rộng schema của
forest trước khi cài đặt.
Trong các domain con, nhóm quản trị domain admin sẽ chịu trách nhiệm
quản trị toàn bộ các máy chủ Active Directory trong phạm vi domain đó.
Đồng thời những người quản trị cấp trung ương ( những người thuộc nhóm
Enterprise Admins) cũng có quyền quản trị và giám sát các hoạt động và
chính sách trên các máy chủ này.
3. Hiện trạng hệ thống mạng
Cấu trúc
Router/modem:192.168.2.1 có vai trò là gateway của hệ thống
4.2 Công việc cần triển khai
Triển khai các công việc theo cấu trúc mạng mới. Được bắt đầu từ
việc cài đặt server và nâng cấp các thành phần của server theo yêu cầu được
đề ra:
4.2.1 Cài đặt Windows Server 2003
Cách thức cài đặt một server tương tự với cách cài đặt các phiên bản
Windows thường dùng(XP1, XP2, Windows 2000). Nhưng có một số
điểm cần lưu ý sau:
Khi cài đặt cần lưu ý các CD key dành cho các phiên bản. Bởi
vì một số phần cứng máy cao cấp thuộc dòng Intel Itanium hỗ
trợ việc đánh địa chỉ 64 bit, trong khi hầu hết các dòng còn lại
chỉ hỗ trợ việc đánh địa chỉ 32 bit. (Đối với một doanh nghiệp
vừa thì thường gặp các máy chủ hỗ trợ 32 bit)
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
16
Cần chú ý đến các thông số, ở mục listensing modes trong quá
trình cài đặt, số lương kết nối được khai báo chính là số lượng
giấy phép bản quyền mà ta có khi sử dụng server.
Hình I.4.1 Bước thêm thông số khi cài đặt Windows Server 2003
Đối với môi trường kinh doanh, ví dụ mạng doanh nghiệp vừa và
lớn(có thể áp dụng vào Vinapay), người quản trị mạng ngoài việc cài đặt hệ
điều hành cho server đồng thời còn thực hiện cài đặt rất nhiều máy client
khác. Để giải quyết vấn đề này có thể thực hiện theo nhiều phương án,
Windows Server 2003 cung cấp cho ta một số giải pháp sau:
File trả lời: Một file trả lời là một kịch bản (script), nó chứa tất
cả thông tin các tùy chọn trong khi cài đặt Windows.
Nhân ảnh đĩa: khi triển khai một số lượng lớn các máy giống
vụ(DNS).
Hình I.4.1.3 Cài đặt Active Directory
Các tiến trình cài đặt được tiếp tục cho đến khi nhận được thông báo
máy chủ đã trở thành Domain Controller.
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
19
Hình I.4.4 Thăng cấp Active Directory thành công
Chú ý: các trường trong địa chỉ IP của máy càn phải được điền đầy đủ
Tạo máy chủ DNS
Khi cài Active Directory sẽ nhận được thông báo cài cùng dịch vụ
DNS, nếu ta chưa tiến hành cài khi nâng cấp Active Directory hay muốn
thêm chức năng này có thể tiến hành
Từ cửa sổ Configure Your Server Winzard chọn DNS Server và tiếp
tục điền các thông số của máy chủ DNS như các Zone, các dải IP của máy
chủ DNS…
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
20
Hình I.4.5 Cấu hình DNS khi cài domain
Máy chủ DNS được cấu hình :
Để bảo đảm an toàn dữ liệu của máy chủ DNS, ta cần phải đưa ra một
chính sách sao lưu phục hồi thích hợp và xuyên suốt. Việc sao lưu dữ liệu
quan trọng trên các máy chủ DNS có thể được thực hiện bằng cách sử dụng
tính năng sao lưu của Windows Server 2003. Có nhiều phương án sao lưu
22
các thông tin sẽ mô tả bởi bản ghi tài nguyên VD: dữ liệu của
bản ghi A là 1 chuỗi 32 bit địa chỉ IP của máy chủ ở trong
owner
Để chi tiết hơn về các loại bản ghi tài nguyên của DNS được thể hiện
ta sẽ xét các loại bản ghi tài nguyên cơ bản được tích hợp trong Windows
Server 2003. Đây cũng là các loại bản ghi cụ thể liên quan đến triển khai
DNS trong Windows Server 2000 và Windows Server 2003:
Bảng I.4.2 Các kiểu bản ghi trong Windows Server 2003
Mô tả
Phân
loại
TTL
Kiểu
bản ghi
Dữ liệu
Khởi đầu
ủy quyền
IN
(internet)
60 phút
vùng
NS
Tên chủ sở hữu và tên
DNS của máy chủ
Trao đổi
thư
IN
Bằng TTL
SOA trong
vùng
MX
Tên chủ sở hữu và tên
máy chủ trao đổi thư, số
thứ tự ưu tiên
Tên quy IN
Bằng TTL CNAME
Tên bí danh của chủ sở
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
25 Hình I.4.9 Máy chủ DHCP với phân giải 192.168.2.0(100-150)
Để chính sách quản trị cho dịch vụ DHCP hoàn thiện, người quản trị
cần đưa ra một chính sách sao lưu dữ liệu DHCP phù hợp. Window server
2003 đưa ra giải pháp để thực hiện sao lưu và phục hồi dữ liệu ( Ntbackup).
Generated by Foxit PDF Creator © Foxit Software
For evaluation only.
Copyright: Tài liệu đại học ©