Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
1

LỜI CẢM ƠN

Sau một thời gian thực hiện, đề tài nghên cứu” Triển khai, quản trị, duy trì
& nâng cấp hệ thống mạng doanh nghiệp” đã phần nào hoàn thành. Ngoài
sự cố gắng của bản thân em còn nhận được sự giúp đỡ nhiệt tình từ thầy cô,
bạn bè, các anh, chị nơi em thực tập.

Trước hết em xin cảm ơn các thầy cô giáo bộ môn công nghệ thông tin
trường đại học Kinh tế Quốc dân đã giúp đỡ em trong quá trình học tập. Đặc
biệt là Giảng viên, PGS – TS Đặng Minh Ất đã tận tình giúp đỡ em trong
suốt quá trình thực hiện đề tài.

Xin cảm ơn ban giám đốc cùng các anh chị em làm việc tại công ty Vinapay
đã tạo điều kiện cho em được thực tập và học hỏi các kinh nghiệm để hoàn
thành đề tài này.

Em xin chân thành cảm ơn!
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
2
Mục lục

Giới thiệu
Chương I : Triển khai hệ thống mạng

1. Các khái niệm cơ bản
1.1 Định nghĩa một mạng máy tính cơ bản
1.2 Các thành phần của mạng(Network Component)
1.3 Các loại mạng máy tính

2.2 Các cấu hình Network template
2.3 Cấu hình ISA Server 2004 SecureNat, FireWall và Web Proxy
Clients
2.4 Cấu hình các chính sách truy cập trên ISA Server –ISA Server
2004 Access Policy
3. Hiện trạng hệ thống
4. Công việc triển khai và kết quả
4.1 Lựa chọn hệ thống Firewall(Proxy)
4.2 Cài đặt ISA Server 2004 trên Windows Server 2003
4.3 Mô hình cấu hình ISA vào mạng công ty
Kết Luận
Phụ lục 1: Tài liệu tham khảo
Phụ lục 2: Một số từ chuyên ngành
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
4

GIỚI THIỆU
Ngày nay, máy tính và internet đã được phổ biến rộng rãi, các tổ chức,
các nhân đều có nhu cầu sử dụng máy tính và mạng máy tính để tính toán, lưu
trữ, quảng bá thông tin hay sử dụng các giao dịch trực tuyến trên mạng.
Nhưng đồng thời với những cơ hội được mở ra lại có những nguy cơ khi
mạng máy tính không được quản lí sẽ dễ dàng bị tấn công, gây hậu quả
nghiêm trọng.
Công ty Cổ phần Công nghệ Thanh toán Việt Nam (Vinapay) - được
chính thức thành lập vào tháng 2 năm 2007 bởi những nhà đầu tư nước ngoài
hàng đầu trên thế giới là Tập đoàn Công nghệ Net 1; Quỹ đầu tư IDG
Venture và Tập đoàn MK Việt Nam. Mục tiêu của Vinapay là góp phần xây
dựng tại Việt Nam một hạ tầng thanh toán an toàn cho thương mại di động.
Sản xuất và phát triển các loại thẻ dữ liệu công nghệ cao (bao gồm thẻ
thông minh có gắn chip, thẻ cào có mệnh giá trả trước, thẻ quản lý tài khoản,


Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
6

CHƯƠNG I TRIỂN KHAI HỆ THỐNG MẠNG
1 Các khái niệm cơ bản
1.1 Định nghĩa một mạng máy tính cơ bản
Mạng máy tính (computer network) là tập hợp của 2 hay nhiều máy tính kết
nối với nhau thông qua các phương tiện kết nối (thiết bị kết nối – Switch,
hub, dây cáp, sóng vô tuyến,…) để chia sẻ các tài nguyên. Việc kết nối giữa
các máy tính tuân theo các chuẩn về mạng máy tính (network standard), các
công nghệ mạng và các giao thức (Protocol). Các máy tính trong mạng có
thể gọi là nút mạng.
Việc sử dụng mạng máy tính giúp các tổ chức, doanh nghiệp dễ dàng trong
việc chia sẻ các tài nguyên cho người dùng. Các tài nguyên chia sẻ bao gồm
các file, thư mục, máy in, kết nối Internet, ứng dụng dùng chung.
1.2 Các thành phần mạng (Network Component)
Mỗi mạng máy tính bao gồm các máy tính, thiết bị mạng, máy in,…
chúng được gọi là các thành phần mạng (network component) bao gồm các
thành phần chính sau
Máy chủ (server): Là máy tính có các tài nguyên, dịch vụ, ứng dụng
chia sẻ để cho các máy tính khác truy nhập tới và sử dụng. Máy chủ chạy hệ
điều hành máy chủ (Windows Server, Linux, Unix) và cài các phần mềm
chuyên dụng dành cho máy chủ. Tuỳ thuộc vào chức năng và nhiệm vụ mà
máy chủ có các tên gọi khác nhau như máy chủ dữ liệu (data server), máy
chủ thư điện tử (mail server), máy chủ ứng dụng (application server),…
Máy trạm (client): Là các máy tính trong mạng có thể kết nối đến các
máy chủ để sử dụng các tài nguyên mà máy chủ chia sẻ. Máy trạm chạy hệ
điều hành máy trạm và các phần mềm máy trạm.
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp

các phạm vi địa lý rộng lớn, nối các khu vực trong một quốc gia hoặc các vị
trí ở các quốc gia khác nhau với nhau. Các phương tiện kết nối có thể sử
dụng nhứ cáp quang (fiber optic cable), qua vệ tinh (sateline), giây điện
thoại (telephone line), các kết nối dành riêng (lease line). Tuy nhiên giá
thànhh của các kết nối này tương đối cao.
Mạng Internet: Là một loại hình mạng đặc thù của mạng diện rộng,
ngày này mạng Internet đã trở thành một loại hình mạng phổ biến nhất. Mục
đích của mạng Internet là đáp ứng lại các kết nối của người dùng ở bất kỳ
đâu trên thế giới, giúp các tổ chức, doanh nghiệp có thể dễ dàng quảng bá
các thông tin, cung cấp các dịch vụ chia sẻ dễ dàng với giá thành hợp lý.
Một số loại mạng khác: Mạng nội đô (MAN – metropolitan area
network), Mạng lưu trữ dữ liệu (SAN – storage area network), mạng riêng
ảo (VPN – virtual private network), mạng không giây (wireless network),…
Trong phạm vi của đề tài, với một công ty cỡ vừa và nhỏ bao gồm các
máy chủ quản trị sử dụng Windows Server 2003 và một số máy client(50-
100 máy) ta chỉ xét phạm vi máy tính dạng Local Area Network (LAN).
1.4 Hệ thống domain quản lí mạng LAN
Cấu trúc tổ chức cơ bản của mô hình mạng Windows Server 2003 là
domain. Một domain đại diện cho một đường biên quản trị. Các máy tính,
người dùng, và các đối tượng khác trong một domain chia sẻ một cơ sở dữ
liệu bảo mật chung.
Sử dụng domain cho phép các nhà quản trị phân chia mạng thành các
ranh giới bảo mật khác nhau. Thêm vào đó, các nhà quản trị từ các domain
khác nhau có thể thiết lập các mô hình bảo mật riêng của họ; bảo mật trong
một domain là riêng biệt để không ảnh hưởng đến các mô hình bảo mật của
các domain khác. Chủ yếu domain cung cấp một phương pháp để phân chia
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
9
mạng một cách logic theo tổ chức. Các tổ chức đủ lớn có hơn một domain
luôn luôn được phân chia để chịu trách nhiệm duy trì và bảo mật các nguồn

Intranet Local) và không gian tên Internet được thiết kế như sau:
Không gian tên DNS nội bộ: Local.Vinapay.com.vn
Không gian tên DNS Internet: Vinapay.com.vn
Dịch vụ DNS trên Windows Server 2003 là một dịch vụ DNS động
(Dynamic DNS). Nó cho phép các máy trạm xác thực tự động đăng ký bản
ghi với dịch vụ DNS. Tất cả các tài khoản máy tính sẽ có các bản ghi tương
ứng đăng ký trong phạm vi miền DNS tích hợp dịch vụ Active Directory mà
nó trực thuộc. Điều này cho phép các yêu cầu nội bộ đối với các đối tượng
này được các máy chủ DNS nội bộ phục vụ.
Với hệ thống Intranet Vinapay, dữ liệu DNS cho mỗi domain con chỉ được
nhân bản đến các DC trong domain đó chứ không phải toàn bộ forest. Máy
chủ DC tại các tỉnh miền Bắc (Hanoi.Vinapay.com.vn) hoặc miền Nam
(HCM.Vinapay.com.vn) sẽ nắm giữ domain Active Directory của từng
miền đồng thời cũng nắm giữ miền DNS của chính domain đó. Do các hoạt
động mạng 2 miền là độc lập do đó không cần thiết sử dụng thêm một máy
chủ DNS trung tâm để kết nối 2 mạng.
Hệ thống máy chủ DNS như ở trên đã nói có vai trò quan trọng trong hoạt
động của hệ thống mạng. Chính bởi vai trò quan trọng này mà ta cần phải có
chính sách quản trị một cách thích hợp để đảm bảo cho dịch vụ DNS luôn có
tính sẵn sàng cao, sao lưu phục hồi tốt.
Cũng do tính chất quan trọng của hệ thống máy chủ DNS mà trong chính
sách quản trị đối với máy chủ này, chúng ta nên hạn chế đến mức tối thiểu
số người được phép đăng nhập và vận hành thao tác trên các máy chủ này,
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
11
bởi chỉ cần một thao tác chỉnh sửa sai hoặc tắt đột ngột máy chủ sẽ dẫn tới
việc hệ thống Intranet không thể hoạt động được.
2.2 Windows Internet Name Service (WINS) Bằng việc triển khai
WINS, người quản trị cung cấp việc phân giải tên NetBIOS cho các client
trên hệ thống mạng Intranet. WINS thực hiện một cơ sở dữ liệu phân tán cho

Các chính sách này được thực hiện thông qua việc phân quyền quản trị và
giám sát các tài khoản thuộc nhóm quản trị DHCP.
Theo chính sách quản trị chung cho các dịch vụ hệ thống, cần hạn chế số
lượng các thành viên của nhóm DHCP Administrator. Bởi vì các thành viên
của nhóm này được phân quyền để cấu hình một DHCP Server, xác định các
lựa chọn cấu hình DHCP, và tạo ra các DHCP reservation. Bất kỳ sự thay
đổi nào của dịch vụ DHCP có thể khiến các máy trạm không thể nhận được
địa chỉ IP từ các máy chủ DHCP. Đồng thời nó có thể tạo ra lỗ hổng bảo mật
với hệ thống Intranet.
Việc giám sát các thành viên trong nhóm DHCP Administrator như là thành
viên trong nhóm local administrator, các nhóm Domain Admin và các nhóm
Enterprise Admin – để xác định những người cần có quyền quản lý các dịch
vụ DHCP. Các thành viên trong các nhóm này cho phép quản lý tất cả các
DHCP Server trong domain.
Chú ý: Thành viên của nhóm DHCP Administrator không thể cấp phép cho
một DHCP Server trong một Active Directory. Chỉ các thành viên của nhóm
Enterprice Admin có thể thực hiện nhiệm vụ này.
Tuy nhiên đối với các máy chủ trong hệ thống Intranet, cần được gán địa chỉ
IP tĩnh để đảm bảo chúng không nhận các thông tin cấu hình TCP/IP không
chính xác từ một DHCP server trái phép. Ngoài ra, một số máy trạm có vai
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
13
trò quan trọng cùng nên được sử dụng địa chỉ IP tĩnh. Việc đánh địa chỉ tĩnh
cho các máy chủ và một số máy trạm sẽ giúp cho hệ thống Intranet
VINAPAY vẫn hoạt động khi dịch vụ DHCP có lỗi.
2.4 Dịch vụ Domain controller(Active Directory )
Môi trường forest cho VINAPAY sẽ chứa một forest đơn. Tên domain gốc
của forest là VINAPAY.COM.VN.
Một forest đơn có thể chứa tới hàng triệu các đối tượng khác nhau (tài khoản
người sử dụng, các nhóm, tài khoản máy tính,… ) và được thiết kế đảm bảo

3. Hiện trạng hệ thống mạng
Cấu trúc
Router/modem:192.168.2.1 có vai trò là gateway của hệ thống
Máy chủ DCserverIP:192.168.2.2 có vai trò:
 DHCP server:
Cấp dải địa chỉ từ :192.168.2.5192.168.2.100 cho client
trong công ty
 Đóng vai trò là DNS server : LangHa.Vinapay.com.vn
 FTP server: IP 222.252.28.10
Các máy client chưa cùng một domain, địa chỉ IP do modem cung cấp
Chưa có máy chủ in ấn, máy DHCP, DNS riêng biệt.

4. Các công việc triển khai & kết quả
4.1 Các yêu cầu cấu trúc mạng mới
 Router/modem:192.168.2.1 có vai trò là gateway của hệ thống
 Máy chủ DCserverIP: 192.168.2.2
 DHCP server :
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
15
Cấp dải :192.168.2.100-192.168.2.150 cấp động cho client
trong công ty.
Dành dải 192.168.2.5-192.168.2.49 để cấp tính cho một số
máy cố định.
 Modem cấp tĩnh địa chỉ 10.0.0.3 cho mạng Lan có dây trong
công ty. Cấp động dải 10.0.0.5-10.0.0.25 cho các máy Laptop
truy cập vào nhờ access point của công ty.
 FPT Server có địa chỉ: 222.252.28.10
 Thiết lập tĩnh địa chỉ của máy chủ DHCP, DNS, Printting
server, máy chủ backup. Tiến hành cài đặt các máy chủ này.
 Thiết lập hệ thống Active Directory, đưa các máy client vào

Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
17
bản sao của một đĩa cứng đã được cài đặt hệ điều hành. Việc
chuyển ảnh đĩa từ một máy tính này sang một máy tính khác có
cấu hình phần cứng tương đương cho phép có thể sử dụng ngay
hệ điều hành đã được chuyển mà không cần cài lại.
Khi áp dụng cần chú ý các thông số không thể trùng nhau là tên
máy và địa chỉ IP của các máy trong cùng một mạng LAN.
4.2.2 Cấu hình Windows Server 2003
Để khởi tạo các cấu hình máy chủ mà Windows Server 2003 cung
cấp ta có thể thực hiện theo các thao tác:
 Vào Start > Manage Your Server >Add and Remove a
role > Configure Your Server Winzard
 Hoặc có thể dùng câu lệnh Run > dcpromo để trực tiếp
vào cửa sổ Configure Your Server Winzard

Hình I.4.2 Cửa sổ Manage Your Server
Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
18
 Tạo máy chủ quản trị miền Active Directory
Từ cửa sổ Configure Your Server Winzard chọn Domain controller và
tiếp tục điền các thông số tên domain.
Nếu là máy chủ gốc của domain ta chọn Domain Controller for a New
Domain, sau đó theo tiến trình càu đặt tên domain (Vinapay.com.vn).
Tiếp theo là các yêu cầu đường dẫn và các yêu cầu cài thêm dịch
vụ(DNS).

Hình I.4.1.3 Cài đặt Active Directory
Các tiến trình cài đặt được tiếp tục cho đến khi nhận được thông báo
máy chủ đã trở thành Domain Controller.


Hình I.4.6 Cấu hình máy chủ DNS với các bản ghi Host A
Bảng I.4.1: Các trường trong bản ghi tài nguyên tiêu chuẩn
Tên trư
ờng

Mô t
ả tác dụng

Owner

Nh
ận diện các máy DNS m
à các b
ản ghi

tài nguyên này là s
ở
hữu của nó
TTL(th
ời
gian sống)
Là th
ời gian tồn tại tối đa của một máy chủ đệm hay máy
trạm có thể lưu bản ghi này. Ta có thể tùy chọn cho nó bằng
một số nguyên độ dài tối đa 32 bit (thời gian theo giây)
Class

Đ
ịnh nghĩa các giao t


Để chi tiết hơn về các loại bản ghi tài nguyên của DNS được thể hiện
ta sẽ xét các loại bản ghi tài nguyên cơ bản được tích hợp trong Windows
Server 2003. Đây cũng là các loại bản ghi cụ thể liên quan đến triển khai
DNS trong Windows Server 2000 và Windows Server 2003:
Bảng I.4.2 Các kiểu bản ghi trong Windows Server 2003
Mô t
ả

Phân
loại
TTL

Ki
ểu
bản ghi
D
ữ liệu

Kh
ởi đầu
ủy quyền
IN

(internet)

60 phút

SOA


NS

Tên ch
ủ sở hữu v
à tên
DNS của máy chủ
Trao đ
ổi
thư
IN

B
ằng
TTL
SOA trong
vùng
MX

Tên ch
ủ sở hữu v
à tên
máy chủ trao đổi thư, số
thứ tự ưu tiên
Tên quy
IN

B
ằng TTL
CNAME



Triển khai, quản trị, duy trì & nâng cấp hệ thống mạng doanh nghiệp
25 Hình I.4.9 Máy chủ DHCP với phân giải 192.168.2.0(100-150)
Để chính sách quản trị cho dịch vụ DHCP hoàn thiện, người quản trị
cần đưa ra một chính sách sao lưu dữ liệu DHCP phù hợp. Window server
2003 đưa ra giải pháp để thực hiện sao lưu và phục hồi dữ liệu ( Ntbackup).