CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
BÁO CÁO TRIỂN KHAI DỰ ÁN
XÂY DỰNG HỆ THỐNG QUẢN LÝ
MẠNG LAN CHO DOANH NGHIỆP
1 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
Giảng viên hướng dẫn :
Ngô Xuân Hoàn
Nhóm thực hiện:
Đặng Tuấn Minh
Lê Ngọc Tuấn
Trịnh Hoàng Trung
2 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
MỤC LỤC
I. Khảo sát thực tế :
1. Hiện trạng hiện có :
2. Yêu cầu :
II. Khái quát các chức năng của từng các máy Server trong hệ thống mạng
LAN của trụ sở :
1. Máy Server quản lý :
A. Active Diretory (AD):
B. Dynamic Host Configuration Protocol (DHCP) :
2.
III. Các giải pháp triển khai :
IV. Các quy trình triển khai :
V. Sơ đồ triển khai :
VI. Thực hiện dự án :
VII. Danh sách thiết bị phần cứng,phần mềm cần đầu tư :
3 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM

Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi
là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups,
computer, printer, policy và permission.
Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung
nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong
mạng.
- Vai trò của Active Diretory trong mạng LAN
Microsoft Active Directory được xem như là một bước tiến triển đáng kể so
với Windows NT Server 4.0 domain hay thậm chí các mạng máy chủ standalone.
5 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng. Nó
cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều
domain controller được triển khai trong một domain.
Active Directory sẽ tự động quản lý sự truyền thông giữa các domain
controller để bảo đảm mạng được duy trì. Người dùng có thể truy cập vào tất cả tài
nguyên trên mạng thông qua cơ chế đăng nhập một lần.
Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế bảo mật khá
mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi
truy cập đối với tài nguyên.
Active Directory cho phép tăng cấp, hạ cấp các domain controller và các
máy chủ thành viên một cách dễ dàng. Các hệ thống có thể được quản lý và được bảo
vệ thông qua các chính sách nhóm Group Policies.
Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng
và ủy nhiệm trách nhiệm quản trị.
Mặc dù vậy quan trọng nhất vẫn là Active Directory có khả năng quản lý
hàng triệu đối tượng bên trong một miền.
- Thành phần cơ bản trong Active directory :
Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị
hay cấu trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational unit

nhiều máy domain controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách và cung
cấp sự thẩm định cho các đăng nhập vào miền.
Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng hơn so
với các miền. OU cho phép bạn có được khả năng linh hoạt gần như vô hạn, bạn có thể
7 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
chuyển, xóa và tạo các OU mới nếu cần. Mặc dù các miền cũng có tính chất mềm dẻo.
Chúng có thể bị xòa tạo mới, tuy nhiên quá trình này dễ dẫn đến phá vỡ môi trường so
với các OU và cũng nên tránh nếu có thể.
Theo định nghĩa, sites là chứa các IP subnet có các liên kết truyền thông tin
cậy và nhanh giữa các host. Bằng cách sử dụng site, bạn có thể kiểm soát và giảm số
lượng lưu lượng truyền tải trên các liên kết WAN chậm.
- Infrastructure Master và Global Catalog
Một thành phần chính khác bên trong Active Directory là Infrastructure
Master. Infrastructure Master (IM) là một domain-wide FSMO (Flexible Single Master
of Operations) có vai trò đáp trả trong quá trình tự động để sửa lỗi (phantom) bên trong
cơ sở dữ liệu Active Directory.
Phantom được tạo ra trên các DC, nó yêu cầu một sự tham chiếu chéo cơ sở
dữ liệu giữa một đối tượng bên trong cơ sở dữ liệu riêng và một đối tượng từ miền bên
trong forest. Ví dụ có thể bắt gặp khi bạn bổ sung thêm một người dùng nào đó từ một
miền vào một nhóm bên trong miền khác có cùng forest. Phantom sẽ bị mất hiệu lực
khi chúng không chứa dữ liệu mới cập nhật, điều này xuất hiện vì những thay đổi được
thực hiện cho đối tượng bên ngoài mà Phantom thể hiện, ví dụ như khi đối tượng mục
tiêu được đặt lại tên, chuyển đi đâu đó giữa các miền, hay vị xóa. Infrastructure Master
có khả năng định vị và khắc phục một số phantom. Bất cứ thay đổi nào xảy ra do quá
trình sửa lỗi đều được tạo bản sao đến tất cả các DC còn lại bên trong miền.
Infrastructure Master đôi khi bị lẫn lộn với Global Catalog (GC), đây là
thành phần duy trì một copy chỉ cho phép đọc đối với các domain nằm trong một
forest, được sử dụng cho lưu trữ nhóm phổ dụng và quá trình đăng nhập,… Do GC lưu
bản copy không hoàn chỉnh của tất cả các đối tượng bên trong forest nên chúng có thể

nghĩa các thiết lập người dùng và máy tính trong toàn mạng. Thiết lập này được cấu
hình và được lưu trong Group Policy Objects (GPOs), các thành phần này sau đó sẽ
được kết hợp với các đối tượng Active Directory, gồm có các domain và site. Đây
chính là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính và người dùng
trong môi trường Windows.
9 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục
các thiết lập desktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập đối
với các file hoặc thư mục nào đó bên trong mạng.
Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử dụng như thế nào.
Group Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sử
dụng trước, sau đó là các chính sách site, chính sách miền, chính sách được sử dụng
cho các OU riêng. Ở một thời điểm nào đó, một đối tượng người dùng hoặc máy tính
chỉ có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên kết
với site hoặc miền đó.
Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template
(GPT) và Group Policy Container (GPC). Group Policy Template có trách nhiệm lưu
các thiết lập được tạo bên trong GPO. Nó lưu các thiết lập trong một cấu trúc thư mục
và các file lớn. Để áp dụng các thiết lập này thành công đối với tất cả các đối tượng
người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các DC bên trong miền.
Group Policy Container là một phần của GPO và được lưu trong Active
Directory trên các DC trong miền. GPC có trách nhiệm giữ tham chiếu cho Client Side
Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các gói cài đặt và những khía
cạnh tham chiếu khác của GPO. GPC không chứa nhiều thông tin có liên quan đến
GPO tương ứng với nó, tuy nhiên nó là một thành phần cần thiết của Group Policy. Khi
các chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết bên trong
GPO. Bên cạnh đó nó cũng giữ các liên kết quan hệ khác và các đường dẫn được lưu
trong các thuộc tính đối tượng. Biết được cấu trúc của GPC và cách truy cập các thông
tin ẩn được lưu trong các thuộc tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề nào

mới thấy rõ ràng nhất.
Thứ hai, trước đây với kiểu cấu hình bằng tay thì người dùng họ có thể thay đổi IP.
Anh thì táy máy thích vọc chơi, có anh thay đổi lung tung DNS server sau đó quên không
nhớ IP của DNS server là gì để đặt lại cho đúng lại ới quản trị mạng, có anh đặt IP làm
trùng với IP của người khác, anh khác đặt IP trùng với Defaul Gateway làm cho quản trị
mạng khốn khổ vì phải chạy. Nhưng kiểu này không có ở IP động đâu nhé. Anh nào thích
thay đổi cũng chịu chết. Chỉ có người quản trị DHCP server họ mới có quyền thích làm gì
thì làm thôi.
c. Giúp hệ thống mạng luôn được duy trì ổn định:
Điều đó hiển nhiên rồi. Địa chỉ IP cấp phát động cho các máy trạm lấy từ dải IP cấu
hình sẵn trên DHCP server. Các tham số (DG, DNS server ) cũng cấp cho tất cả các máy
trạm là chính xác. Sự trùng lặp IP không bao giờ xảy ra. Các máy trạm luôn luôn có một
cấu hình TCP/IP chuẩn. Làm cho hệ thống hoạt động liên tục, vừa giảm gánh nặng cho
người quản trị vừa tăng hiệu quả làm việc cho user nói riêng và doanh nghiệp nói chung.
d. Linh hoạt và khả năng mở rộng:
Người quản trị có thể thay đổi cấu hình IP một cách dễ dàng khi cơ sở hạ tầng mạng
thay đổi. Do đó làm tăng sự linh hoạt cho người quản trị mạng. Ngoài ra DHCP phù hợp từ
mạng nhỏ đến mạng lớn. Nó có thể phục vụ 10 máy khách cho đến hàng ngàn máy khách.
C: Domain Name System (DNS):
- Là một hệ cơ sở dữ liệu phân tán dùng để ánh xạ giữa các tên miền và các địa chỉ
IP. DNS đưa ra một phương pháp đặc biệt để duy trì và liên kết các ánh xạ này
trong một thể thống nhất.
- Trong phạm vi lớn hơn, các máy tính kết nối với internet sử dụng DNS để tạo địa
chỉ liên kết dạng URL (Universal Resource Locators). Theo phương pháp này, mỗi
máy tính sẽ không cần sử dụng địa chỉ IP cho kết nối.
- Các tên DNS tạo ra theo định dạng sau : ví dụ infosec.vasc.com.vn. Trong khi danh
sách các kiểu tên DNS được thiết kết lại bởi ICANN (Công ty quản lý dịch vụ tên
miền), một số các kiểu thông thường bao gồm: .edu (dạng các website giáo
dục) , .mil (các website cho quân đội), .org (thuộc dạng các tổ chức phi thương mại)
12 | P a g e

thông qua, làm tăng số lượng các trang web có một máy chủ IIS có thể lưu trữ và số lượng
người làm việc đồng thời của các quá trình hoạt động mà máy chủ IIS có thể lưu trữ.
13 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
+ Sau khi cài đặt của Windows Server 2003 Service Pack 1, IIS 6.0 cũng cung cấp
cho hạt nhân, chế độ SSL (Secure Sockets Layer). Bằng cách chạy SSL trong chế độ hạt
nhân, mã hóa và giải mã thực hiện các hoạt động hiệu quả hơn bằng cách giảm số lượng
các giao dịch giữa các chế độ hạt nhân và chế độ người dùng.
- Các dich vụ của IIS :
+ Dịch vụ World Wide Web World Wide Web (WWW) phục vụ public. được sử
dụng để public các dịch vụ web và kết nối HTTP yêu cầu từ khách hàng đến các trang
websites IIS.
Hypertext Transfer Protocol Hypertext Transfer Protocol (HTTP) được sử dụng để
tạo ra nội dung cho các trang web cũng như để điều hướng các trang web.
File Transfer Protocol File Transfer Protocol (FTP) được sử dụng để sao chép tập tin
từ hệ thống máy tính từ xa bằng cách sử dụng Transmission Control Protocol (TCP). Các
giao thức TCP được thiết kế để hỗ trợ chính xác và đáng tin cậy dữ liệu. FTP yêu cầu một
máy chủ FTP và khách hàng một FTP. IIS cho phép bạn tạo và quản lý một máy chủ FTP.
Simple Mail Transfer Protocol Simple Mail Transfer Protocol (SMTP) được sử
dụng trên Internet để tuyến đường thư điện tử giữa các đại lý chuyển nhượng. SMTP
không cung cấp khả năng máy chủ e-mail. Đối với đầy đủ các dịch vụ e-mail, bạn cần một
ứng dụng e-mail như Microsoft Exchange Server.
Network News Transfer Protocol Network News Transfer Protocol (NNTP) được sử
dụng để phân phối mạng tin nhắn đến các máy chủ NNTP và NNTP khách hàng (người
đọc tin tức) trên Internet. Tin tức bài viết được lưu trữ trên một máy chủ NNTP trong cơ sở
dữ liệu tập trung, nơi chúng có thể được lập chỉ mục, lấy ra, và được đăng.
IIS Admin Service Các IIS Admin Service quản lý IIS metabase. Các IIS metabase
là một cơ sở dữ liệu đặc biệt có chứa tất cả các thiết lập và dữ liệu cấu hình cho IIS. IIS
Admin Service quản lý IIS metabase bằng cách cập nhật của Windows Server 2003
Registry với các cài đặt cho các dịch vụ WWW, FTP, SMTP, và NNTP.

- Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng
biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được. tích hợp hoàn
toàn Quanratine
- Stateful filtering and inspection :kiểm tra đầy đủ các điều kiện trên VPN
Connection,site to site,secureNAT for VPN client
- Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ
PPTP, L2TP/IPSec, IPSec tunnel site-to-site (với các sản phẩm VPN khác)
D. Khả năng quản lý của ISA
- Dễ dàng quản lý
- Rất nhiều Wizart
- Backup va Restore đơn giản
- Cho phép ủy quyền quản trị cho các user/group
- Log và report chi tiết cụ thể
- Cấu hình ở 1 nơi chạy ở mọi nơi (ISA Enterprise)
- Khai báo thêm Server vào araay dễ dàng
- Tich hợp với giải pháp quản lý của Microsoft MOM
- SDK
E. Các tính năng khác của ISA
- Hỗ trợ nhiều CPU và Ram
- Max 32 node Network loadbalancing
15 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
- Hỗ trợ nhiều Network
- Route/NAT theo từng Network
- firewall rule đa dạng
- IDS
- Flood Resiliency
- HTTP compression
- Diffserv
III. Các Giải Pháp Triển Khai :

6.
B.DHCP Relay Agent
DHCP Relay Agent là bộ trung chuyển DHCP Discover (hoặc DHCP Request) đến DHCP Server.
DHCP Relay Agent cho phép forward các truy vấn của DHCP Client đến DHCP server và trả lại IP cho
Clients (làm nhiệm vụ như Proxy).
Trong trường hợp DHCP Client và DHCP Server không nằm cùng subnet và được kết nối qua bộ
định tuyến (router) thì cần phải có giải pháp cho phép truy vấn từ DHCP Client vượt qua router để đến
DHCP Server. DHCP Relay Agent (tác nhân chuyển tiếp DHCP) được dùng cho mục đích này. DHCP
17 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
Relay Agent là một thực thể trung gian cho phép chuyển tiếp (relay) các DHCP Discover (hoặc DHCP
Request), mà thường bị chặn ở ngay router, từ DHCP Client đến DHCP Server.
C. Giải pháp triển khai File Server :
1.Giới thiệu về file server :
File server là tính năng cho phép các user lưu trữ file trên máy chủ, để được sao lưu định kỳ,
sẵn sàng truy cập từ xa, giảm gánh nặng lưu trữ cho máy clients, dễ dàng nâng cấp dung lượng bộ
nhớ cho cả cơ quan khi cần thiết
2.Yêu cầu khi thiết lập 1 File Server :
* Thiết lập disk Quotas :
- Quotas là một tool dùng để chống lại việc user có quyền ghi lên server rồi ghi tùm lum,
sao lưu phim ảnh làm đầy dung lương ổ HDD của máy Server làm nhiệm vụ chứa file
của toàn bộ hệ thống.
- Hộp thoại này cho phép thiết lập mặc định hạn ngạch đĩa cho user mới. Phần Limit
disk space to là dung lượng đĩa tối đa mà user có thể lưu. Phần Set warning level to
là dung lượng mà server sẽ cảnh báo khi user đã chứa đến mức đó. Giả sử hạn ngạch là
50MB nhưng warning là 45MB thì khi user ghi đến 45MB sẽ bị cảnh báo là sắp hết
dung lượng cho phép, xóa bớt các thứ không cần thiết đi hoặc phản ánh với quản trị
mạng của hệ thống.
*Thiết lập share file và phân quyền cho các user
- Share HDD của Server làm nhiệm vụ file server

A. QUY TRÌNH TRIỂN KHAI DC(DOMAIN CONTROLLER), DNS SERVER, DHCP
SERVER, JOIN DOMAIN VÀ CÁC POLICY THÔNG DỤNG
I- GIẢI PHÁP TRIỂN KHAI
1. Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưng
không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy hệ thống Domain Network với các ưu
điểm:
- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống
- Khả năng bảo mật cao.
- Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng
- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)
- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chế
Replication của AD.
19 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
2. Triển khai máy chủ DNS để phân giải tên miền và máy chủ DHCP để cấp địa chỉ IP động cho tất
cả các máy client bên trong các phòng ban thuộc Domain.
Để cấp địa chỉ IP cho các phòng ban với các dải IP khác nhau, ở mỗi phòng ban ta triển khai 1 máy là
DHCP Relay Again làm nhiệm vụ đại diện xin địa chỉ IP cho các máy client.
3. Backup DHCP, Backup domain. Copy các thông tin backup sang PC khác. Lập lịch thực hiện
backup.
4. Giải pháp đảm bảo tính sẵn sàng (High availability) của hệ thống và đảm bảo cho hệ thống không
bị ngắt quãng (fail-over)
Trong một hệ thống Active Directory lớn, nếu chỉ có một Domain Controller thì Server này có thể bị
quá tải khi nhiều user cùng yêu cầu chứng thực và user sẽ không được chứng thực khi Server này bị lỗi.
Bên cạnh đó nếu hệ thống chỉ có một DNS Server sẽ xảy ra tình trạng quá tải trong việc phân giải tên, và
nếu DNS Server bị lỗi hệ thống sẽ không thể phân giải tên.
Để tránh được các trường hợp nêu trên, ta cần triển khai nhiều Domain Controller Server, nhiều DNS
Server, chạy song song để hỗ trợ chức năng cân bằng tải (Load Balancing) và khả năng chịu lỗi (Fault
Tolerance).
Sử dụng công nghệ Clustering để triển khai DHCP cluster.

23 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
B5 : Màn hình “Create New Domain” > Chọn “Domain in new Forest” > Next
24 | P a g e
CÔNG TY CỔ PHẦN CÔNG NGHỆ ITN VIỆT NAM
B6 : Điền tên Domain “mcsa.com” > chọn Next
25 | P a g e