Đề tài Xây dựng các dịch vụ mạng trong một doanh nghiệp vừa và nhỏ sử dung Window Server 2003

Lời nói đầu Trong thời đại hiện nay Công Nghệ Thông Tin ngày càng phát triển và đóng một vai trò quan trọng không thể thiếu với mỗi chúng ta.Cần thiết hơn cả là đối với một công ty,mọt nhà máy xí nghiệp, một doanh nghiệp ,trường học….vv. Việc làm thế nào để cho công ty mình ngày càng phát thiển, các tài nguyên trong công ty được bảo mât một cách an toàn là mối lo ngại với không ít các doanh nghiệp.Nhận thấy đièu đó là quan trọng chính vì thế Microsoft đã nhanh chóng cho áp dụng CNTT vào các doanh nghiệp bằng giải pháp quản trị máy chủ và diều này đã nhanh chóng được các doanh nghiệp trong và ngoài nứoc ứng dụng thành công và nhiệt tình hưởng ứng. Việc sử dụng hệ thống máy chủ để quản trị trong doanh nghiệp ngày càng đựoc các doanh nghiệp trong nứoc áp dụng nhằm có một hệ thống hoạt động tốt,an toàn ,có độ bảo mật cao,chi phí hợp lý và thuận tiẹn trong việc trao đổi thông tin giữa các chi nhánh… Từ những yêu cầu thực tế như vậy em xin xây dựng các dịch vụ mạng trong một doanh nghiệp vừa và nhỏ sử dung Window Server 2003 trên phần mềm máy ảo VMWare và từ đó có thể áp dụng vào triển khai trên thực tế. Chương I. Giới Thiệu Hệ Điều Hành Window Server 2003 Giới thiệu về Hệ Điều Hành Window Server 2003 Windows Server 2003 là sản phẩm của hệ điều hành Windows Server và được cải tiến rất nhiều so với các phiên bản trước đó: bảo mật tốt hơn, độ tin cậy cao hơn và dễ dàng quản trị. Phần sau đây sẽ trình bày tổng quan về họ sản phẩm Windows Server 2003, tập trung vào các điểm giống và khác nhau giữa 4 phiên bản: Web Edition, Standard Edition, Enterprise Edition và Datacenter Edition Các phiên bản của họ Windows Server 2003 Các phiên bản khác nhau của Windows Server 2003 được thiết kế để hỗ trợ các nền tảng thiết bị phần cứng và vai trò máy chủ khác nhau. Bên cạnh 4 phiên bản cơ bản của Windows Server 2003 - Web, Standard (Tiêu chuẩn), Enterprise (Doanh nghiệp) và Datacenter (Trung tâm dữ liệu) – hệ điều hành này còn có thêm các phiên bản hỗ trợ phần cứng 64 bit và các hệ thống nhúng. Phần tiếp theo sẽ trình bày chi tiết hơn về các phiên bản này. 1.1 Phiên bản Web (Web Edition) Để tăng tính cạnh tranh của Windows Server 2003 so với các máy chủ Web khác, Microsoft đã cho ra một phiên bản đặc biệt của Windows Server 2003, được thiết kế chuyên dụng cho chức năng của một máy chủ Web. Phiên bản Web là một phần của hệ điều hành chuẩn cho phép người quản trị có thể triển khai các Web site, các ứng dụng Web và các dịch vụ Web mà không tốn nhiều chi phí và công sức quản trị. Hệ điều hành này hỗ trợ tối đa 2GB bộ nhớ RAM và 2 bộ vi xử lí – chỉ bằng một nửa so với khả năng hỗ trợ của bản Standard Edition. Phiên bản Web không có nhiều tính năng như các phiên bản Windows Server 2003 khác, tuy nhiên nó vẫn tích hợp một số thành phần có thể không cần thiết cho một Web Server điển hình, đó là: Một máy chủ chạy phiên bản Web có thể là thành viên của một miền sử dụng Active Directory nhưng nó không thể trở thành một máy chủ quản trị miền - Mô hình Client Access License - CAL (giấy phép truy nhập từ máy trạm) chuẩn không được áp dụng cho các máy chủ chạy hệ điều hành Web Edition. Hệ điều hành này hỗ trợ một số lượng không giới hạn các kết nối Web, nhưng nó lại giới hạn tối đa 10 kết nối Server Message Block (SMB) đồng thời. Điều này có nghĩa là không thể có nhiểu hơn 10 người dùng mạng nội bộ có thể truy nhập các tài nguyên file và máy in tại một thời điểm bất kì - Các tính năng Tường lửa Bảo vệ Kết nối Internet (Internet Connection Firewall -ICF) và Chia sẻ Kết nối Internet (Internet Connection Sharing - ICS) sẽ không có trong phiên bản Web, điều này sẽ không cho phép máy chủ thực hiện chức năng của một cổng kết nối Internet. - Một máy chủ chạy hệ điều hành Web Edition không thể thực hiện chức năng của một máy chủ DHCP, máy chủ fax, máy chủ Microsoft SQL hay một Máy chủ Dịch vụ Dầu cuối mặc dù chức năng Remote Desktop (Truy nhập toàn màn hình từ xa) dành cho quản trị vẫn được hỗ trợ. - Phiên bản Web sẽ không cho phép chạy các ứng dụng không phải dịch vụ Web Tuy nhiên, phiên bản Web lại bao gồm đầy đủ các thành phần chuẩn mà một máy chủ Web cần, bao gồm Microsoft Internet Information Services (IIS) 6, Network Load Balancing (NLB), và Microsoft ASP.NET. Do vậy, hiển nhiên là phiên bản Web không phải là một nền tảng thích hợp cho các máy chủ mạng thông thường. Nó cho phép các cơ quan hay tổ chức triển khai các máy chủ Web chuyên dụng, không hỗ trợ các thành phần khác mà máy chủ web này không cần thiết sử dụng trong vai trò của nó. 1.2 Phiên bản Tiêu chuẩn (Standard Edition) Phiên bản Standard sử dụng cho nền tảng máy chủ đa chức năng trong đó có thể cung cấp các dịch vụ thư mục (Directory), file, in ấn, ứng dụng, multimedia và dịch vụ Internet cho các doanh nghiệp cỡ vừa và nhỏ. Sau đây là một vài trong rất nhiều tính năng có trong phiên bản này của hệ điều hành : Directory services (Dịch vụ Thư mục): Phiên bản Standard có khả năng hỗ trợ đầy đủ đối với Active Directory cho phép các máy chủ có thể đóng vai trò là máy chủ thành viên hoặc các máy chủ quản trị miền. Người quản trị mạng có thể sử dụng các công cụ kèm theo hệ điều hành để triển khai và quản trị các đối tượng Active Directory, các chính sách nhóm (GP – Group Policy) và các dịch vụ khác dựa trên nền Active Directory. Dịch vụ Internet: Phiên bản Standard bao gồm IIS 6.0 cung cấp các dịch vụ Web và FTP cũng như các thành phần khác sử dụng trong quá trình triển khai máy chủ Web như dịch vụ Cân bằng Tải (NLB – Network Load Balancing). Chức năng NLB cho phép nhiều máy chủ Web có thể cùng duy trì (host) một Web site đơn, chia sẻ các yêu cầu kết nối của client trong tối đa 32 máy chủ đồng thời cung cấp khả năng chống lỗi cho hệ thống. Các dịch vụ cơ sở hạ tầng: Phiên bản Standard bao gồm các dịch vụ Microsoft DHCP Server, Domain Name System (DNS) Server, và Windows Internet Name Service (WINS) Server, cung cấp các dịch vụ cơ bản cho mạng nội bộ và các máy khách trên Internet. Định tuyến TCP/IP (TCP/IP Routing): Một máy chủ chạy phiên bản Standard có thể thực thi như một router với rất nhiều cấu hình bao gồm định tuyến LAN và WAN, định tuyến truy nhập Internet và định tuyến truy nhập từ xa. Để thực hiện các chức năng này, dịch vụ Định tuyến và Truy nhập Từ xa (Routing and Remote Access Service - RRAS) có hỗ trợ cho các tính năng Chuyển đổi Địa chỉ Mạng (Network Address Translation – NAT), Dịch vụ Xác thực Internet (Internet Authentication Service – IAS), các giao thức định tuyến như Giao thức Thông tin Định tuyến (Routing Information Protocol – RIP) và Uư tiên Đường Ngắn nhất (Open Shortest Path First – OSPF). Dịch vụ File và In ấn: Người dùng trong mạng có thể truy nhập các ổ đĩa, thư mục và máy in chia sẻ trên một máy chủ chạy phiên bản Standard của hệ điều hành . Mỗi máy khách (client) khi muốn truy nhập đến các tài nguyên đã chia sẻ trên máy chủ sẽ phải có một Giấy phép Truy nhập (Client Access License - CAL). Phiên bản Standard thông thường được bán thành một gói gồm 5, 10 Giấy phép Truy nhập (CAL) hoặc nhiều hơn, và khi muốn thêm nhiều người dùng truy nhập, bạn sẽ phải mua bổ sung các Giấy phép Truy nhập (CAL) này. Máy chủ Terminal (đầu cuối): Một máy chủ chạy Phiên bản Standard có thể thực hiện chức năng một Máy chủ Dịch vụ Dầu cuối, cho phép các máy tính và các thiết bị khác có thể truy nhập màn hình Windows và các ứng dụng đang chạy trên máy chủ này. Máy chủ Dịch vụ Dầu cuối bản chất là một kĩ thuật điều khiển từ xa cho phép các máy khách (client) truy nhập đến một phiên làm việc Windows trên máy chủ. Mọi ứng dụng được thực thi trên máy chủ và chỉ bàn phím, màn hình và các thông tin hiển thị được truyền qua mạng. Các máy khách của Máy chủ Dịch vụ Dầu cuối được yêu cầu Giấy phép Truy nhập khác so với Giấy phép Truy nhập chuẩn CAL mặc dù Phiên bản Standard đã cung cấp sẵn một Giấy phép Truy nhập cho 2 người dùng sử dụng dịch vụ Remote Desktop for Administration (Dịch vụ truy nhập toàn màn hình từ xa dành cho các tác vụ quản trị), một công cụ quản trị từ xa dựa trên dịch vụ Terminal Các dịch vụ bảo mật: Phiên bản Standard còn có rất nhiều các tính năng bảo mật mà một người quản trị có thể triển khai nếu cần, bao gồm khả năng Mã hóa Hệ thống File (EFS) – bảo vệ các file trên các ổ cứng máy chủ bằng cách lưu trữ chúng trong một định dạng đã được mã hóa, tính năng bảo mật IP (IP Security - IPsec) mở rộng, - sử dụng chữ kí số để mã hóa dữ liệu trước khi truyền đi trên mạng, tính năng tường lửa ICF – qui định các luật đối với các luồng dữ liệu đi từ Internet vào trong mạng và tính năng sử dụng Public Key Infrastructure (PKI) – cung cấp khả năng bảo mật dựa trên mã hóa bằng khóa công khai và các chứng nhận số hóa. 1.3 Phiên bản Doanh nghiệp (Enterprise Edition) Phiên bản Enterprise được thiết kế họat động trên các máy chủ cấu hình mạnh của các tổ chức doanh nghiệp cỡ vừa và lớn. Phiên bản này khác phiên bản Standard chủ yếu ở mức độ hỗ trợ phần cứng. ví dụ: Bản Enterprise hỗ trợ tối đa 8 bộ vi xử lí so với 4 bộ của bản Standard và tối đa 32GB bộ nhớ RAM so với khả năng của bản Standard chỉ là 4GB. Phiên bản Enterprise còn bổ sung thêm một số tính năng quan trọng mà không có trong bản Standard, bao gồm các thành phần sau: Microsoft Metadirectory Services - MMS (Dịch vụ Siêu Thư mục Microsoft): Metadirectory bản chất là thư mục của các thư mục – một phương tiện tích hợp nhiều nguồn thông tin vào một thư mục đơn, thống nhất. MMS cho phép chúng ta có thể kết hợp các thông tin trong Active Directory với các dịch vụ thư mục khác, để tạo ra một cách nhìn tổng thể tất cả các thông tin về một tài nguyên nào đó. Phiên bản Enterprise chỉ cung cấp hỗ trợ cho MMS mà không phải là phần mềm MMS thực sự, phần mềm này bạn phải lấy từ Microsoft Consulting Service (Dịch vụ tư vấn Microsoft - MCS) hoặc thông qua một thỏa thuận với đối tác MMS. Server Clustering (Chuỗi Máy chủ): Chuỗi máy chủ là một nhóm các máy chủ nhưng lại đóng vai trò như một máy chủ đơn cung cấp khả năng sẵn sàng cao cho một nhóm các ứng dụng. Tính sẵn sàng trong trường hợp này có nghĩa là các chu trình hoạt động của ứng dụng đó được phân bố đều trong các máy chủ trong chuỗi, giảm tải trên mỗi máy chủ và cung cấp khả năng chịu lỗi nếu bất kì máy chủ nào bị sự cố. Các máy chủ trong chuỗi, được gọi là các nút, đều có khả năng truy nhập đến một nguồn dữ liệu chung, thông thường là một mạng lưu trữ lớn (Storage Area Network - SAN), cho phép các nút luôn được duy trì cùng một nguồn thông tin dữ liệu cơ sở. Phiên bản Enterprise hỗ trợ máy chủ cluster có tối đa 8 nút Bộ nhớ RAM Cắm nóng (Hot Add Memory): Phiên bản Enterprise bao gồm phần mềm hỗ trợ một đặc tính của phần cứng gọi là Bộ nhớ Cắm nóng, cho phép người quản trị mạng có thể thêm hoặc thay thế bộ nhớ RAM trong máy chủ mà không cần tắt máy hoặc khởi động lại. Để sử dụng tính năng này, máy tính phải có phần cứng hỗ trợ tương ứng. Quản trị Tài nguyên Hệ thống của Windows (Windows System Resource Manager - WSRM): Tính năng này cho phép người quản trị mạng có thể phân bố tài nguyên hệ thống cho các ứng dụng hoặc chu trình dựa trên nhu cầu của các người dùng, đồng thời duy trì các bản báo cáo về tài nguyên do các ứng dụng hay chu trình trong hệ thống sử dụng. Điều này cho phép các tổ chức doanh nghiệp có thể thiết lập giới hạn sử dụng tài nguyên cho một ứng dụng xác định hoặc tính chi phí cho khách hàng dựa trên các tài nguyên họ sử dụng. 1.4 Phiên bản Trung tâm Dữ liệu (Datacenter Edition) Phiên bản Datacenterđược thiết kế cho các máy chủ ứng dụng cao cấp, lưu lượng truy nhập lớn, yêu cầu sử dụng rất nhiều tài nguyên hệ thống. Phiên bản này cũng gần giống Phiên bản Enterprise khi so sánh các tính năng, tuy nhiên nó hỗ trợ tốt hơn cho việc mở rộng phần cứng, có thể hỗ trợ tối đa 64GB bộ nhớ và 32 bộ vi xử lí. Phiên bản này không tích hợp một số tính năng có trong bản Enterprise Chương II – Các dịch vụ mạng Window Server 2003 I. Dịch vụ Active Directory 1 . Active Directory là gì? Trước hết chúng ta hãy đi tìm hiểu xem Active Directory là gì. Active Directory là một dịch vụ thư mục (directory service) đã được đăng ký bản quyền bởi Microsoft, nó là một phần không thể thiếu trong kiến trúc Windows. Giống như các dịch vụ thư mục khác, chẳng hạn như Novell Directory Services (NDS), Active Directory là một hệ thống chuẩn và tập trung, dùng để tự động hóa việc quản lý mạng dữ liệu người dùng, bảo mật và các nguồn tài nguyên được phân phối, cho phép tương tác với các thư mục khác. Thêm vào đó, Active Directory được thiết kế đặc biệt cho các môi trường kết nối mạng được phân bổ theo một kiểu nào đó. Active Directory có thể được coi là một điểm phát triển mới so với Windows 2000 Server và được nâng cao và hoàn thiện tốt hơn trong Windows Server 2003, trở thành một phần quan trọng của hệ điều hành. Windows Server 2003 Active Directory cung cấp một tham chiếu, được gọi là directory service, đến tất cả các đối tượng trong một mạng, gồm có user, groups, computer, printer, policy và permission. Với người dùng hoặc quản trị viên, Active Directory cung cấp một khung nhìn mang tính cấu trúc để từ đó dễ dàng truy cập và quản lý tất cả các tài nguyên trong mạng. 1.1.Tại sao cần thực thi Active Directory? Có một số lý do để lý giải cho câu hỏi trên. Microsoft Active Directory được xem như là một bước tiến triển đáng kể so với Windows NT Server 4.0 domain hay thậm chí các mạng máy chủ standalone. Active Directory có một cơ chế quản trị tập trung trên toàn bộ mạng. Nó cũng cung cấp khả năng dự phòng và tự động chuyển đổi dự phòng khi hai hoặc nhiều domain controller được triển khai trong một domain. Active Directory sẽ tự động quản lý sự truyền thông giữa các domain controller để bảo đảm mạng được duy trì. Người dùng có thể truy cập vào tất cả tài nguyên trên mạng thông qua cơ chế đăng nhập một lần. Tất cả các tài nguyên trong mạng được bảo vệ bởi một cơ chế bảo mật khá mạnh, cơ chế bảo mật này có thể kiểm tra nhận dạng người dùng và quyền hạn của mỗi truy cập đối với tài nguyên. Active Directory cho phép tăng cấp, hạ cấp các domain controller và các máy chủ thành viên một cách dễ dàng. Các hệ thống có thể được quản lý và được bảo vệ thông qua các chính sách nhóm Group Policies. Đây là một mô hình tổ chức có thứ bậc linh hoạt, cho phép quản lý dễ dàng và ủy nhiệm trách nhiệm quản trị. Mặc dù vậy quan trọng nhất vẫn là Active Directory có khả năng quản lý hàng triệu đối tượng bên trong một miền. 1.2.Những đơn vị cơ bản của Active Directory Các mạng Active Directory được tổ chức bằng cách sử dụng 4 kiểu đơn vị hay cấu trúc mục. Bốn đơn vị này được chia thành forest, domain, organizational unit và site. Hình 1 - Forests: Nhóm các đối tượng, các thuộc tính và cú pháp thuộc tính trong Active Directory. - Domain: Nhóm các máy tính chia sẻ một tập chính sách chung, tên và một cơ sở dữ liệu của các thành viên của chúng. - Organizational unit (OU): Nhóm các mục trong miền nào đó. Chúng tạo nên một kiến trúc thứ bậc cho miền và tạo cấu trúc công ty của Active Directory theo các điều kiện tổ chức và địa lý. - Sites: Nhóm vật lý những thành phần độc lập của miền và cấu trúc OU. Các Site phân biệt giữa các location được kết nối bởi các kết nối tốc độ cao và các kết nối tốc độ thấp, và được định nghĩa bởi một hoặc nhiều IP subnet. Các Forest không bị hạn chế theo địa lý hoặc topo mạng. Một forest có thể gồm nhiều miền, mỗi miền lại chia sẻ một lược đồ chung. Các thành viên miền của cùng một forest thậm chí không cần có kết nối LAN hoặc WAN giữa chúng. Mỗi một mạng riêng cũng có thể là một gia đình của nhiều forest độc lập. Nói chung, một forest nên được sử dụng cho mỗi một thực thể. Mặc dù vậy, vẫn cần đến các forest bổ sung cho việc thực hiện test và nghiên cứu các mục đích bên ngoài forest tham gia sản xuất. Các miền Domain phục vụ như các mục trong chính sách bảo mật và các nhiệm vụ quản trị. Tất cả các đối tượng bên trong một miền đều là chủ đề cho Group Policies miền rộng. Tương tự như vậy, bất cứ quản trị viên miền nào cũng có thể quản lý tất cả các đối tượng bên trong một miền. Thêm vào đó, mỗi miền cũng đều có cơ sở dữ liệu các tài khoản duy nhất của nó. Chính vì vậy tính xác thực là một trong những vấn đề cơ bản của miền. Khi một tài khoản người dùng hoàn toàn xác thực đối với một miền nào đó thì tài khoản người dùng này có thể truy cập vào các tài nguyên bên trong miền. Active Directory yêu cầu một hoặc nhiều domain để hoạt động. Như đề cập từ trước, một miền Active Directory là một bộ các máy tính chia sẻ chung một tập các chính sách, tên và cơ sở dữ liệu các thành viên của chúng. Một miền phải có một hoặc nhiều máy domain controller (DC) và lưu cơ sở dữ liệu, duy trì các chính sách và cung cấp sự thẩm định cho các đăng nhập vào miền. Trước kia trong Windows NT, bộ điều khiển miền chính - primary domain controller (PDC) và bộ điều khiển miền backup - backup domain controller (BDC) là các role có thể được gán cho một máy chủ trong một mạng các máy tính sử dụng hệ điều hành Windows. Windows đã sử dụng ý tưởng miền để quản lý sự truy cập đối với các tài nguyên mạng (ứng dụng, máy in và,…) cho một nhóm người dùng. Người dùng chỉ cần đăng nhập vào miền là có thể truy cập vào các tài nguyên, những tài nguyên này có thể nằm trên một số các máy chủ khác nhau trong mạng. Máy chủ được biết đến như PDC, quản lý cơ sở dữ liệu người dùng Master cho miền. Một hoặc một số máy chủ khác được thiết kế như BDC. PDC gửi một cách định kỳ các bản copy cơ sở dữ liệu đến các BDC. Một BDC có thể có thể đóng vai trò như một PDC nếu máy chủ PDC bị lỗi và cũng có thể trợ giúp cân bằng luồng công việc nếu quá bận. Với Windows 2000 Server, khi domain controller vẫn được duy trì, các role máy chủ PDC và BDC cơ bản được thay thế bởi Active Directory. Người dùng cũng không tạo các miền phân biệt để phân chia các đặc quyền quản trị. Bên trong Active Directory, người dùng hoàn toàn có thể ủy nhiệm các đặc quyền quản trị dựa trên các OU. Các miền không bị hạn chế bởi một số lượng 40.000 người dùng. Các miền Active Directory có thể quản lý hàng triệu các đối tượng. Vì không còn tồn tại PDC và BDC nên Active Directory sử dụng bản sao multi-master replication và tất cả các domain controller đều ngang hàng nhau. Organizational units tỏ ra linh hoạt hơn và cho phép quản lý dễ dàng hơn so với các miền. OU cho phép bạn có được khả năng linh hoạt gần như vô hạn, bạn có thể chuyển, xóa và tạo các OU mới nếu cần. Mặc dù các miền cũng có tính chất mềm dẻo. Chúng có thể bị xòa tạo mới, tuy nhiên quá trình này dễ dẫn đến phá vỡ môi trường so với các OU và cũng nên tránh nếu có thể. Theo định nghĩa, sites là chứa các IP subnet có các liên kết truyền thông tin cậy và nhanh giữa các host. Bằng cách sử dụng site, bạn có thể kiểm soát và giảm số lượng lưu lượng truyền tải trên các liên kết WAN chậm. 1.3.Infrastructure Master và Global Catalog Một thành phần chính khác bên trong Active Directory là Infrastructure Master. Infrastructure Master (IM) là một domain-wide FSMO (Flexible Single Master of Operations) có vai trò đáp trả trong quá trình tự động để sửa lỗi (phantom) bên trong cơ sở dữ liệu Active Directory. Phantom được tạo ra trên các DC, nó yêu cầu một sự tham chiếu chéo cơ sở dữ liệu giữa một đối tượng bên trong cơ sở dữ liệu riêng và một đối tượng từ miền bên trong forest. Ví dụ có thể bắt gặp khi bạn bổ sung thêm một người dùng nào đó từ một miền vào một nhóm bên trong miền khác có cùng forest. Phantom sẽ bị mất hiệu lực khi chúng không chứa dữ liệu mới cập nhật, điều này xuất hiện vì những thay đổi được thực hiện cho đối tượng bên ngoài mà Phantom thể hiện, ví dụ  như khi đối tượng mục tiêu được đặt lại tên, chuyển đi đâu đó giữa các miền, hay vị xóa. Infrastructure Master có khả năng định vị và khắc phục một số phantom. Bất cứ thay đổi nào xảy ra do quá trình sửa lỗi đều được tạo bản sao đến tất cả các DC còn lại bên trong miền. Infrastructure Master đôi khi bị lẫn lộn với Global Catalog (GC), đây là thành phần duy trì một copy chỉ cho phép đọc đối với các domain nằm trong một forest, được sử dụng cho lưu trữ nhóm phổ dụng và quá trình đăng nhập,… Do GC lưu bản copy không hoàn chỉnh của tất cả các đối tượng bên trong forest nên chúng có thể tạo các tham chiếu chéo giữa miền không có nhu cầu phantom. 1.4.Active Directory và LDAP LDAP (Lightweight Directory Access Protocol) là một phần của Active Directory, nó là một giao thức phần mềm cho phép định vị các tổ chức, cá nhân hoặc các tài nguyên khác như file và thiết bị trong mạng, dù mạng của bạn là mạng Internet công cộng hay mạng nội bộ trong công ty. Trong một mạng, một thư mục sẽ cho bạn biết được nơi cất trữ dữ liệu gì đó. Trong các mạng TCP/IP (gồm có cả Internet), domain name system (DNS) là một hệ thống thư mục được sử dụng gắn liền tên miền với một địa chỉ mạng cụ thể (vị trí duy nhất trong mạng). Mặc dù vậy, bạn có thể không biết tên miền nhưng LDAP cho phép bạn tìm kiếm những cụ thể mà không cần biết chúng được định vị ở đâu. Thư mục LDAP được tổ chức theo một kiến trúc cây đơn giản gồm có các mức dưới đây: Thư mục gốc có các nhánh con Country, mỗi Country lại có các nhánh con Organizations, mỗi Organization lại có các nhánh con Organizational units (các đơn vị, phòng ban,…), OU có các nhánh Individuals (cá thể, gồm có người, file và tài nguyên chia sẻ, chẳng hạn như printer) Một thư mục LDAP có thể được phân phối giữa nhiều máy chủ. Mỗi máy chủ có thể có một phiên bản sao của thư mục tổng thể và được đồng bộ theo chu kỳ. Các quản trị viên cần phải hiểu LDAP khi tìm kiếm các thông tin trong Active Directory, cần tạo các truy vấn LDAP hữu dụng khi tìm kiếm các thông tin được lưu trong cơ sở dữ liệu Active Directory. 1.5.Sự quản lý Group Policy và Active Directory Khi nói đến Active Directory chắc chắn chúng ta phải đề cập đến Group Policy. Các quản trị viên có thể sử dụng Group Policy trong Active Directory để định nghĩa các thiết lập người dùng và máy tính trong toàn  mạng. Thiết lập này được cấu hình và được lưu trong Group Policy Objects (GPOs), các thành phần này sau đó sẽ được kết hợp với các đối tượng Active Directory, gồm có các domain và site. Đây chính là cơ chế chủ yếu cho việc áp dụng các thay đổi cho máy tính và người dùng trong môi trường Windows. Thông qua quản lý Group Policy, các quản trị viên có thể cấu hình toàn cục các thiết lập desktop trên các máy tính người dùng, hạn chế hoặc cho phép truy cập đối với các file hoặc thư mục nào đó bên trong mạng. Thêm vào đó chúng ta cũng cầm phải hiểu GPO được sử dụng như thế nào. Group Policy Object được áp dụng theo thứ tự sau: Các chính sách máy nội bộ được sử dụng trước, sau đó là các chính sách site, chính sách miền, chính sách được sử dụng cho các OU riêng. Ở một thời điểm nào đó, một đối tượng người dùng hoặc máy tính chỉ có thể thuộc về một site hoặc một miền, vì vậy chúng sẽ chỉ nhận các GPO liên kết với site hoặc miền đó. Các GPO được phân chia thành hai phần riêng biệt: Group Policy Template (GPT) và Group Policy Container (GPC). Group Policy Template có trách nhiệm lưu các thiết lập được tạo bên trong GPO. Nó lưu các thiết lập trong một cấu trúc thư mục và các file lớn. Để áp dụng các thiết lập này thành công đối với tất cả các đối tượng người dùng và máy tính, GPT phải được tạo bản sao cho tất cả các DC bên trong miền. Group Policy Container là một phần của GPO và được lưu trong Active Directory trên các DC trong miền. GPC có trách nhiệm giữ tham chiếu cho Client Side Extensions (CSEs), đường dẫn đến GPT, đường dẫn đến các gói cài đặt và những khía cạnh tham chiếu khác của GPO. GPC không chứa nhiều thông tin có liên quan đến GPO tương ứng với nó, tuy nhiên nó là một thành phần cần thiết của Group Policy. Khi các chính sách cài đặt phần mềm được cấu hình, GPC sẽ giúp giữ các liên kết bên trong GPO. Bên cạnh đó nó cũng giữ các liên kết quan hệ khác và các đường dẫn được lưu trong các thuộc tính đối tượng. Biết được cấu trúc của GPC và cách truy cập các thông tin ẩn được lưu trong các thuộc tính sẽ rất cần thiết khi bạn cần kiểm tra một vấn đề nào đó có liên quan đến GP. Với Windows Server 2003, Microsoft đã phát hành một giải pháp quản lý Group Policy đó là Group Policy Management Console (GPMC). GPMC cung cấp cho các quản trị viên một giao diện quản lý giúp đơn giản các nhiệm vụ có liên quan đến GPO. 2. Chức năng của AD : - Lưu giữ một danh sách tập trung tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. - Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). - Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể do rà nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.- Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như : toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa ... - Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ. 3 . Diectory Services 3.1. Giới thiệu Directory Services Directory Services (dịch vụ danh bạ) là hệ thống thông tin chứa trong NTDS.DIT và các chương trình quản lý, khai thác tập tin này. Dịch vụ danh bạ là một dịch vụ cơ sở làm nền tảng để hình thành một hệ thống AD. Một hệ thống với những tính năng vượt trội của Microsoft. 3.2 Các thành phần trong Directory Services : Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ ? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại. Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc tính liên quan đến các đối tượng đó. 3.2.1 Object (đối tượng) : Trong hệ thống cơ sở dữ liệu, đối tượng bao gồm các máy in, người dùng mạng, các server, các máy trạm, các thư mục dùng chung, dịch vụ mạng, … Đối tượng chính là thành tố căn bản nhất của dịch vụ danh bạ. 3.2.2 Attribute (thuộc tính) : Một thuộc tính mô tả đối tượng. Ví dụ, mật khẩu và tên là thuộc tính của đối tượng người dùng mạng. Các đối tượng khác nhau có danh sách thuộc tính khác nhau, tuy nhiên các đối tượng khác nhau cũng có thể có một số thuộc tính giống nhau, lấy ví dụ như một máy in và một máy trạm, cả hai đều có một thuộc tính là địa chỉ IP.3.2.3 Schema (cấu trúc tổ chức) : Một schema định nghĩa danh sách các thuộc tính dùng để mô tả một loại đối tượng nào đó. Ví dụ, cho rằng tất cả các đối tượng máy in đều được định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đối tượng này hình thành nên schema cho lớp đối tượng “máy in”. Schema có đặc tính là tùy biến được, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tượng có thể sửa đổi được. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ AD. 3.2.4 Container (vật chứa) : Vật chứa tương tự với khái niệm thư mục trong Windows. Một thư mục có thể chứa các tập tin và các thư mục khác. Trong AD, một vật chứa có thể chứa các đối tượng và các vật chứa khác. Vật chứa cũng có các thuộc tính như đối tượng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó như đối tượng. Có 3 loại vật chứa :- Domain : khái niệm này được trình bày chi tiết ở phần sau. - Site : một site là một vị trí. Site được dùng để phân biệt giữa các vị trí cục bộ và các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi nhánh đặt tại Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành dinh bằng Dialup Networking. Như vậy hệ thống mạng này có 3 site. - OU (Organizational Unit) : là một loại vật chứa mà bạn có thể đưa vào đó người dùng, nhóm, máy tính và những OU khác. Một OU không thể chứa các đối tượng nằm trong domain khác. Nhờ việc một OU có thể chứa các OU khác, bạn có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hóa cấu trúc của một tổ chức bên trong một domain. Bạn nên sử dụng OU để giảm thiểu số lượng domain cần phải thiết lập trên hệ thống. 3.2.5 Global Catalog : Dịch vụ Global Catalog dùng để xác định vị trí của một đối tượng mà người dùng được cấp quyền truy cập. Việc tìm kiếm được thực hiện xa hơn những gì đã có trong Windows NT mà không chỉ có thể định vị được đối tượng mà có thể bằng cả những thuộc tính của đối tượng. Giả sử bạn phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn bạn sẽ không dùng một máy in HP Laserjet 4L. Bạn sẽ phải tìm một máy in chuyên dụng, in với tốc độ 100ppm và có khả năng đóng tài liệu thành quyển. Nhờ Global Catalog, bạn tìm kiếm trên mạng một máy in với các thuộc tính như vậy và tìm thấy được một máy Xerox Docutech 6135. Bạn có thể cài đăt driver cho máy in đó và gửi print job đến máy in. Nhưng nếu bạn ở Portland và máy in ở Settle thì sao? Global Catalog sẽ cung cấo thông tin này và bạn có thể gửi email cho chủ nhân của máy in, nhờ họ in dùm. Một ví dụ khác, giả sử bạn nhận được một thư thoại từ một người tên Betty Doe ở bộ phận kế toán. Đoạn thư thoại của cô ta bị cắt xén và bạn không thể biết được số điện thoại của cô ta. Bạn có thể dùng Global Catalog để tìm thông tin về cô ta nhờ tên, và nhờ đó bạn có được số điện thoại của cô ta. Khi một đối tượng được tạo mới trong Global Catalog, đối tượng được gán một con số phân biệt gọi là GUID (Global Unique Identifier). GUID được cung cấp cố định cho dù bạn có di chuyển đối tượng đến khu vực khác. 4 . Kiến trúc của Active Diectory 4.1 . Objects : Trước khi tìm hiểu khái niệm Object, chúng ta phải tìm hiểu trước hai khái niệm Object classes và Attributes. - Object classes là một bản thiết kế mẫu hay một khuôn mẫu cho đối tượng mà bạn có thể tạo ra trong Active Directory. Có 3 loại Object classes thông dụng là : User, Computer, Printer. - Attributes là tập các giá trị phù hợp và được kết hợp với một đối tượng cụ thể.Như vậy, Object là một đối tượng duy nhất được định nghĩa bởi các giá trị được gán cho các thuộc tính của Object classses. 4.2 Organizational Units : Organizational Units hay OU là đơn vị nhỏ nhất trong hệ thống Active Directory, nó được xem là một vật chứa các đối tượng (Object) được dùng để sắp xếp các đối tượng khác nhau phục vụ cho mục đích quản trị của bạn. OU cũng được thiết lập dựa trên subnet IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính như sau : - Trao quyền kiểm soát một tập hợp các tài khoản người dùng, máy tính hay các thiết bị mạng cho một nhóm người hay một phụ tá quản trị viên nào đó (sub-administrator), từ đó giảm bớt công tác quản trị cho người quản trị toàn bộ hệ thống. - Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm (Group Policy). 4.3 Domain : Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau : - Đóng vai trò như một khu vực quản trị (administrator boundary) các đối tượng, là một tập hợp các đĩnh nghĩa quản trị cho các đối tượng chia sẻ như : có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ uỷ quyền với các domain khác. - Giúp chúng ta quản lý bảo mật các tài nguyên chia sẻ. - Cung cấp các server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các server này đựơc đồng bộ nhau. 4.4 Domain Tree : Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên đựơc gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các con phải khác biệt nhau. Khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện. 4.5 Forest : Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thếit lập quan hệ và ủy quyền cho nhau. Ví dụ giả sử một công ty nào đó, chẳng hạn như Microsoft, thu mua một công ty khác. Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng. II. Dịch vụ DHCP (Dynamic Host Configuration Protocol ) 1 . GIỚI THIỆU DỊCH VỤ DHCP. Mỗi thiết bị trên mạng có dùng bộ giao thức TCP/IP đều phải có một địa chỉ IP hợp lệ, phân biệt. Để hỗ trợ cho vấn đề theo dõi và cấp phát các địa chỉ IP được chính xác, tổ chức IETF (Internet Engineering Task Force) đã phát triển ra giao thức DHCP (Dynamic Host Configuration Protocol). Giao thức này được mô tả trong các RFC 1533, 1534, 1541 và 1542. Bạn có thể tìm thấy các RFC này tại địa chỉ Để có thể làm một DHCP Server, máy tính Windows Server 2003 phải đáp ứng các điều kiện sau: - Đã cài dịch vụ DHCP. - Mỗi interface phải được cấu hình bằng một địa chỉ IP tĩnh. - Đã chuẩn bị sẵn danh sách các địa chỉ IP định cấp phát cho các máy client. Dịch vụ DHCP này cho phép chúng ta cấp động các thông số cấu hình mạng cho các máy trạm (client). Các hệ điều hành của Microsoft và các hệ điều hành khác như Unix hoặc Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên các hệ điều hành này phải có một DHCP Client. Cơ chế sử dụng các thông số mạng được cấp phát động có ưu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng như: - Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ thống mạng. - Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được số lượng địa chỉ IP thật (Public IP). - Phù hợp cho các máy tính thường xuyên di chuyển qua lại giữa các mạng. - Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot như: nhà ga, sân bay, trường học… 2 . HOẠT ĐỘNG CỦA GIAO THỨC DHCP. Giao thức DHCP làm việc theo mô hình client/server. Theo đó, quá trình tương tác giữa DHCP client và server diễn ra theo các bước sau: - Khi máy client khởi động, máy sẽ gửi broadcast gói tin DHCPDISCOVER, yêu cầu một server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của máy client. - Các máy Server trên mạng khi nhận được gói tin yêu cầu đó, nếu còn khả năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet mask và địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những Client khác trong suốt quá trình thương thuyết. - Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó. Điều này cho phép các lời đề nghị không được chấp nhận sẽ được các Server rút lại và dùng đề cấp phát cho Client khác. - Máy Server được Client chấp nhận sẽ gửi ngược lại một gói tin DHCPACK như là một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng đó sẽ chính thức được áp dụng. Ngoài ra Server còn gửi kèm theo những thông tin cấu hình bổ sung như địa chỉ của gateway mặc định, địa chỉ DNS Server, … 3. Quá trình Cài đặt: 3.1. Cài đặt DHCP Server Control Panel --> Add/Remove Programs --> Add/Remove Windows Hình 2 Hình 3 Trong khung Components --> Networking Services --> Details --> chọn Dynamic Host Configuration Protocol (DHCP) Hình 4 Nhấp Ok và nhấp --> Next... Quá trình cài đặt bắt và yêu cầu đưa đĩa nguồn vào để tiếp tục cài đặt Nhấp Finish để kết thúc quá trình cài đặt DHCP Server 3.2. Cài đặt DHCP client Để Client chạy hệ điều hành Win2k trở lên lấy được IP address tự động ta : Mở Properties của Network connection Hình 5 Chọn Properties của Internet Protocol (TCP/IP) --> trong hộp thoại của Internet Protocol (TCP/IP), trên General tab, click chọn Obtain an IP address automatically. Nếu muốn cấp một địa chỉ DNS server bằng DHCP thì click chọn Obtain DNS server address automatically. Hình 6 Nhấp OK để kết thúc quá trình cài đặt DHCP server 4. Nguyên lý làm việc của DHCP 4 bước để cấp thông tin của gói IP address cho DHCP client IP lease request IP lease offer IP lease selection IP lease acknowledgement 4.1. IP Lease Request Đầu tiên, Client sẽ broadcast một message tên là DHCPDISCOVER, vì client lúc này chưa có địa chỉ IP cho nên nó sẽ dùng một địa chỉ source(nguồn) là 0.0.0.0 và cũng vì client không biết địa chỉ của DHCP server nên nó sẽ gửi đến một địa chỉ broadcast là 255.255.255.255. Lúc này gói tin DHCPDISCOVER này sẽ broadcast lên toàn mạng. Gói tin này cũng chứa một địa chỉ MAC (Media Access Control) (là địa chỉ mà mỗi một network adapter (card mạng) sẽ được nhà sản xuất cấp cho và là mã số để phân biệt các card mạng với nhau để biết card mạng của mình có MAC address là gì, vào run --> đánh command --> ipconfig /all --> sẽ hiện ra một đoạn text gồm các thông tin khác nhau về IP, DNS, default gateway... Trên hình minh họa có Physical Address (MAC address là: 00-02-A5-C2-B5-2F) đồng thời nó cũng chứa computer name của máy client để DHCP server có thể biết được client nào đã gởi yêu cầu đến. Hình 7 4.2. IP Lease Offer Nếu có một DHCP Server hợp lệ (nghĩa là nó có thể cấp địa chỉ IP cho một client) nhận được gói tin DHCPDISCOVER của client nó sẽ trả lời lại bằng một gói tin DHCPOFFER, gói tin này có những thông tin kèm theo như sau: + MAC address của client + Một IP address cấp cho (offer IP address) + Một subnet mask + Thời gian thuê (mặc định là 8 ngày) + Địa chỉ IP của DHCP cấp IP cho client này Lúc này DHCP server sẽ giữ lại địa chỉ IP đã offer (cấp) cho client để nó không cấp cho DHCP client khác. DHCP client chờ một vài giây cho một offer, nếu nó không nhận một offer nó sẽ rebroadcast (broadcast gói DHCPDISCOVER) trong khoảng thời gian là 2-, 4-, 8- và 16- giây, bao gồm một khoảng thời gian ngẫu nhiên từ 0 - 1000 mili giây. Nếu DHCP client không nhận một offer sau 4 lần yêu cầu, nó sử dụng một địa chỉ IP trong khoảng 169.254.0.1 đến 169.254.255.254 với subnet mask là 255.255.0.0. Nó sẽ sử dụng trong một số trong khoảng IP đó và việc đó sẽ giúp các DHCP client trong một mạng không có DHCP server thấy nhau. DHCP client tiếp tục cố gắng tìm kiếm một DHCP server sau mỗi 5 phút. 4.3. IP Lease Selection. DHCP client đã nhận được gói tin DHCPOFFER thì nó sẽ phản hồi broadcast lại một gói DHCPREQUEST để chấp nhận cái offer đó. DHCPREQUEST bao gồm thông tin về DHCP server cấp địa chỉ cho nó. Sau đó các DHCP server khác sẽ rút lại các offer (trường hợp này là trong mạng có nhiều hơn 1 DHCP server) và sẽ giữ lại IP address cho các yêu cầu xin IP address khác. 4.4. IP Lease Acknowledgement DHCP server nhận được DHCPREQUEST sẽ gởi trả lại DHCP client một DHCPACK để cho biết là đã chấp nhận cho DHCP client đó thuê IP address đó. Gói tin này bao gồm địa chỉ IP và các thông tin cấu hình khác như: DNS server, WINS server... . Khi DHCP client nhận được DHCPACK thì cũng có nghĩa là kết thúc quá trình cấp nhận địa chỉ IP. Việc trao đổi thông tin giữa một DHCP server và DHCP client sẽ sử dụng UDP port là 67 và 68 (User Datagram Protocol). Một vài switch sẽ không cho phép các gói tin trao đổi theo kiểu broadcast đi qua, cho nên cần phải config những switch này để được broadcast qua những port này. 5. Cơ chế tự động refresh lại lease time Khi DHCP client đã lease được một IP address rồi. Theo mặc định của DHCP server thì mỗi IP lease chỉ được có 8 ngày. Nếu theo như mặc định (8 ngày) thì một DHCP client sau một khoảng thời gian là 50% (tức là 4 ngày) nó sẽ tự động xin lại IP address với DHCP mà nó đã xin ban đầu. DHCP client lúc này sẽ gởi một sẽ gởi một DHCPREQUEST trực tiếp (unicast) đến DHCP server mà nó đã xin ban đầu. Nếu mà DHCP server đó "còn sống", nó sẽ trả lời bằng một gói DHCPACK để renew (cho thuê mới lại) tới DHCP client, gói này bao gồm thông các thông số cấu hình mới cập nhật nhất trên DHCP server. Nếu DHCP server "đã chết", thì DHCP client này sẽ tiếp tục sử dụng cấu hình hiện thời của nó. Và nếu sau 87.5%(7 ngày) của thời gian thuê hiện thời của nó, nó sẽ broadcast một DHCPDISCOVER để update địa chỉ IP của nó. Vào lúc này, nó không kiếm tới DHCP server ban đầu cho nó thuê nữa mà nó là sẽ chấp nhận bất cứ một DHCP server nào khác. Nếu thời gian lease đã hết, thì client sẽ ngay lập tức dừng lại việc sử dụng IP address lease đó. Và DHCP client sau đó sẽ bắt đầu tiến trình thuê một địa chỉ như ban đầu. Chú ý: Khi khởi động (restart) lại DHCP client thì nó sẽ tự động renew lại IP address Vậy nếu khi ta có một sự thay đổi về cấu hình trên DHCP server mà ta muốn nó có tác dụng đến các client ngay lập tức ta có thể renew một IP lease "bằng tay" đối với DHCP client như sau: Vào run, đánh command --> đánh lệnh là ipconfig /renew. Khi đó nó sẽ gởi một DHCPREQUEST đến DHCP server để update thông tin về cấu hình, và thời gian lease mới. Và ngược lại, nếu ta không muốn lease cái IP address này nữa ta có thể đánh lệnh ipconfig /release. Lúc này, nó sẽ gởi đến DHCP server một DHCPRELEASE. Sau lệnh này, client sẽ không còn liên lạc với network bằng TCP/IP nữa. 6.Ủy quyền authorize một DHCP service Phải ủy quyền một DHCP server trước khi nó có thể thực hiện được việc cho DHCP client thuê. Việc yêu cầu ủy quyền cho các DHCP server sẽ ngăn chặn việc các DHCP server có khả năng cung cấp các địa chỉ IP không hợp lệ cho các client. Để thực hiện được việc này ta phải logon bằng tài khoản nằm trong group Enterprise Admins. (Chú ý: chỉ có DHCP server chạy trên Windows 2000 Server là kiểm tra việc ủy quyền. Các DHCP server khác (không chạy trên nền Windows 2000 server) vẫn có thể thực hiện được mặc dù chúng là không được ủy quyền). 6 .1. Việc kiểm tra của các DHCP server không được xác thực: Để việc authorize DHCP hoạt động chính xác, phải cấu hình network để khi dịch vụ DHCP bắt đầu (start), nó gửi ra ngoài một gói DHCP information (DHCPINFORM) đến địa chỉ Local broadcast (hay nói cách khác là nó sẽ gởi đi hết các máy trong cùng một network). Sau đó, các DHCP server khác sẽ phản hồi lại một gói DHCP acknowledgement (DHCPACK) cái chứa thông tin về một Active Directory directory service root domain được nhận biết bởi mỗi DHCP server. DHCP server này tiếp tục khởi tạo DHCP service sau đó liên hệ với domain controller trong mỗi domain mà nó nhận ra. Nó truy vấn Active Directory cho một danh sách các DHCP server mà hiện tại đã được authorize. Nếu DHCP server đã được authorize, DHCP service trên máy đó mới bắt đầu hoạt động. Nếu DHCP server là không được authorize thì DHCP service sẽ log (ghi lại) một error trong system log (các bạn có thể tìm thấy trong Administrative Tools/Event log) và nó sẽ bỏ qua cả các yêu cầu của client. 6 .2. Cách tiến hành authorize một DHCP server Mở DHCP từ Administrative Tools, trong console tree, right click vào DHCP, sau đó click Manage authorized servers. Hình 8 Trong Manage authorized servers chọn Authorize. Hình 9 Trong Authorize DHCP Server, nhập vào tên hoặc địa chỉ IP của DHCP muốn authorize cho nó Hình 10 Nhấp OK --> Click Yes để finish. 7.Cấu hình một DHCP server .1. Tạo và cấu hình một Scope Scope là một khoảng IP hợp lệ mà ta đã xác định trên DHCP server và khoảng này dùng để cung cấp cho các client có yêu cầu thuê địa chỉ. (có thể dùng lệnh netsh để Config cho DHCP). Để bắt đầu cấu hình một New Scope wizard, mở DHCP từ Administrative Tools, Hình 11 Right click vào tên của DHCP server muốn tạo ra New Scope và click New Scope. Hình 12 Trong màn hình Scope Name nhập vào các thông tin: + Name: Tên của scope. + Description: sự mô tả hay là nói rõ về cái scope bạn định tạo. Sau đó nhấp Next để tiếp tục – màn hình IP Address Range xuất hiện như sau: Hình 13 Trong đó: Start IP address và End IP address: xác định phạm vi địa chỉ IP mà DHCP server có thể cấp cho Client từ scope này. Length hoặc Subnet mask: cho biết số bits được dùng làm NetID và subnet mask để cấp cho DHCP client. Thông số trong hình là mặc định. Chỉ thay đổi các thông số này khi có chia mạng con. Nhấp Next để tiếp tục, màn hình Add Exclusions xuất hiện như sau: Hình 14 Màn hình Excluded address range (Optional) cho phép xác định một hoặc nhiều hơn các địa chỉ IP không được cấp cho các DHCP client. Nhấp Next các địa chỉ không được sử dụng sẽ xuất hiện trong khung Excluded Address Range như trong hình: Hình 15 Nhấp Next để tiếp tục Lease duration: hiển thị thời gian mặc định mà DHCP client được thuê là 8 ngày. Có thể sửa lại được khoảng thời gian cho thuê là unlimited (vô thời hạn), khi đó phải cấu hình scope properties sau khi đã tạo ra new scope, bởi vì wizard không cung cấp option để cấu hình một unlimited scope. Lưu ý: Sau khi tạo scope, không thể thay đổi subnet mask mà bạn đã định. Để thay đổi thông tin scope, bạn phải delete scope và tạo lại scope mới. Chấp nhận giá trị mặc định và nhấp Next xuất hiện màn hình Configuration DHCP Option. Hình 16 Trên màn hình Configure DHCP Options có 2 lựa chọn : Yes, I want to cònigure these options now No, I will configure these options later Chọn No, I will configure these options later và nhấp Next màn hình thông báo việc tạo một New Scope hoàn thành. Nhấp finish để kết thúc quá trình cấu hình 1 scope mới. .2. Thuận lợi và trở ngại của việc thay đổi thời gian thuê mặc định (8 ngày) Giảm bớt thời gian thuê (< 8 ngày chẳng hạn): việc làm giảm thời gian thuê này cũng có cái hay sẽ cập nhật được thông tin cấu hình một khi có sự thay đổi một cách thường xuyên. Nhưng bên cạnh đó, nó cũng phát sinh ra vấn đề là sẽ dễ dẫn tới sự thay đổi về lưu lượn mạng, và nếu DHCP server này "chết tạm thời" thì sẽ không được cấp IP khác cho nó nữa. Tăng thời gian thuê (>8 ngày chẳng hạn): sẽ làm giảm lưu lượng, và địa chỉ IP sẽ tiếp tục có hiệu lực nếu DHCP server "chết" trong khoảng thời gian dài. Nhưng việc này sẽ làm cho việc cập nhật sự thay đổi các thông tin sẽ không thường xuyên. Không giới hạn thời gian thuê (unlimited): việc unlimited sẽ giúp cho mạng của ta chỉ bị giảm lưu lượng ngay khi máy khởi động và cũng có nghĩa là nó chỉ cập nhật thông tin cấu hình lại mỗi khi nó được khởi động lại mà thôi. 8. Cấu hình một scope với các option Có thể cấu hình một scope để cung cấp các dạng thông tin cho DHCP lease. Ví dụ như là cấu hình một DHCP server và cung cấp cho nó địa chỉ của router để cho phép các client của các Subnet liên lạc được với nhau. Khi tạo một New Scope sẽ có các option để chọn như là router (Default Gateway), Domain name, DNS và WINS server. .1. Các option được hỗ trợ bởi DHCP Địa chỉ IP của router: để cung cấp thông tin này, ta chỉnh 003 Router với IP address của một router mặc định. Router này thông thường được coi là một default gateway. Địa chỉ IP của một hoặc nhiều tên DNS của các server có hiệu lực tới các client. Để cung cấp thông tin này, ta cấu hình 006 DNS Servers với IP address của một hoặc nhiều DNS server. Tên miền của DNS: một tên miền DNS định nghĩa miền mà máy đó thuộc về. Các máy client có thể sử dụng thông tin này để update một DNS server. Để cung cấp thông tin này, cấu hình 015 DNS Domain Name với tên miền DNS đó. Địa chỉ IP của một hay nhiều WINS server có hiệu lực tới các client: các client sử dụng một WINS server cho việc phân giải tên NETBIOS (Network Báic Input/Ouput System). Để cung cấp thông số này, cấu hình 044 WINS/NBNS Servers với một địa chỉ IP của một hay nhiều WINS server. Sự giải tên từ NetBIOS qua TCP/IP: để đưa ra thông tin này, cấu hình 046 WINS/NBT node type với kiểu NetBIOS thích hợp. Kiểu giải tên xác định yêu cầu của các client sử dụng các server tên NetBIOS và sẽ broadcast đẻ giải tên từ tên NetBIOS sang IP address. . Client Reservations Ta cũng có thể cấu hình một scope để DHCP server thường xuyên cung cấp một địa chỉ IP đến một máy cụ thể nào đó. Ví dụ như các Server cần phải có IP cố định như là DNS server hoặc là print server chẳng hạn, bởi vì các máy khác sẽ là cấu hình để connect tới DNS server bằng địa chỉ IP của DNS server này. Sự cung cấp địa chỉ IP lâu dài này được gọi là client reservations. Các bước cấu hình địa chỉ cố định cho một client Mở DHCP từ Administrative Tools menu. Trong nhánh console, mở rộng server mà bạn muốn config, mở rộng scope muốn thêm vào đó một địa chỉ cố định sau đó. Hình 17 Right click vào Reservation và click vào New Reservation Hình 18 Trong màn hình New Reservation nhập vào các thông tin cần thiết như trong hình Hình 19 MAC address là địa chỉ vật lý của Card mạng - MAC (Media Access Control) để biết địa chỉ MAC của card mạng ta làm như sau: Mở màn hình nhắc lệnh, gõ ipconfig /all kết quả được liệt kê như sau: Hình 20 Trong màn hình địa chỉ Physical Address chính là địa chỉ MAC. Gõ vào địa chỉ và lưu gõ liên tục không có dấu gạch ngang. Trong hộp Supported types, click chọn phương pháp mà client sử dụng, và sau đó click vào Add. BOOTP: Được dùng khi các máy client không thuộc về dòng hệ điều hành của Microsoft, ví dụ như khi bạn muốn Remote Installation Services (RIS) (cài đặt các dịch vụ từ xa) thì bạn sẽ phải sử dụng BOOTP thay vì DHCP.) III. Dịch vụ DNS ( Domain Name System ) 1 . GIỚI THIỆU VỀ DNS DNS là một dịch vụ quan trọng nhất trên Internet và trong mạng nội bộ của các doanh nghiệp, DNS cho phép toàn bộ máy tính và các tài nguyên trên mạng được lưu dưới dạng tên và khi truy cập vào hệ thống DNS sẽ chuyển từ tên sang địa chỉ IP và ngược lại. Định nghĩa DNS: DNS có vai trò cung cấp dữ liệu với cấu trúc người dùng truy cập vào các tài nguyên theo tên trên mạng sử dụng giao thức TCP/IP. Các thành phần của DNS gồm có: DNS Domain Name Space Zones Name Servers DNS của Internet. . DNS Domain Name Space Mỗi DNS domain sẽ có một tên duy nhất. Hệ thống DNS là hệ thống có cấu trúc phân tầng có cấp bậc cụ thể. Gốc của domain root domain nằm trên cùng được ký hiệu là dấu "." Root Domain bao gồm 13 máy chủ gốc của Internet thế giới người dùng có thể vào root hint của DNS để xem địa chỉ của các máy chủ này. Tiếp đến là Top-Layer, bao gồm các tên miền .com, .vn, .net... Tầng này mỗi tên miền bao gồm từ 2 đến 5 ký tự, riêng tên miền 2 ký tự dành riêng cho mỗi quốc gia. Tiếp đến là tầng Second-Level, có thể là tầng subdomains như .com.vn hay có thể là host name như micrsosoft.com. Hình 21 Công thức tổng quát của tên miền : Hostname + Domain Name + Root Trong đó Domain Name = Subdomain. Second Level Domain. Top Level Domain. Root Ví dụ với tên miền: Webserver.training.microsoft.com. Trong đó: Webserver là tên Host Training là Subdomain Microsoft là Second Level Domain Com là Top Leve Domain Dấu chấm là Root Hình 22 1. 2. Zone trong DNS Khi một hệ thống tên miền được chia ra các phần nhỏ hơn để dễ quản lý đó là các Zone. Các Zone sẽ đảm bảo việc quản lý DNS một cách dễ dàng. Trên thực tế dữ liệu DNS được chứa trên các máy chủ Zone và thực tế dữ liệu của DNS là dữ liệu của các Zone. 2. Các dạng của Zone 2.1. Primary Zone Một máy chủ chứa dữ liệu Primary Zone là máy chủ có thể toàn quyền trong việc update dữ liệu Zone. 2.2. Secondary Zone Là một bản copy của Primary Zone, do nó chứa dữ liệu Zone nên cung cấp khả năng resolution cho các máy có yêu cầu. Muốn cập nhật dữ liệu Zone phải đồng bộ với máy chủ Primary. 2.3. Stub Zone Dữ liệu của Stub Zone chỉ bao gồm dữ liệu NS Record trên máy chủ Primary Zone mà thôi, với việc chứa dữ liệu NS máy chủ Stub Zone có vai trò chuyển các yêu cầu dữ liệu của một Zone nào đó đến trực tiếp máy chủ có thẩm quyền của Zone đó. 2.3.1 Phân biệt giữa Stub Zone và Forward Lookup 2.3.1.1. Trong Forward Lookup Có thể sử dụng để chuyển các yêu cầu đến một máy chủ có thẩm quyền. Forward Lookup là nhờ một máy chủ resolve tên hộ, và không thể tự động cập nhật dữ liệu, nhưng đó cũng là một lợi thế và có thể sử dụng trên Internet 2.3.1.2. trong Stub Zone Có khả năng chứa dữ liệu NS của Primary Zone nên có khả năng thông minh trong quá trình cập nhật dữ liệu, địa chỉ của máy chủ NS của Zone đó nên việc chuyển yêu cầu sẽ dễ dàng hơn. Stub Zone chỉ sử dụng khi trong một domain có nhiều Zone con (delegation zone) và chỉ dành cho một tổ chức khi truy cập vào các dữ liệu của tổ chức đó 2.4. Name Server Là máy chủ chứa dữ liệu Primary Zone 3. Cách hoạt động của DNS Chúng ta tìm hiểu về cách thức hoạt động của DNS thông qua ví dụ sau: Ví dụ hoạt động của DNS: Hình 23 Giả sử PC A muốn truy cập đến trang web www.yahoo.com và server vnn chưa lưu thông tin về trang web này, các bước truy vấn sẽ diễn ra như sau: Đầu tiên PC A gửi một request hỏi server quản lý tên miền vnn hỏi thông tin về www.yahoo.com Server quản lý tên miền vnn gửi một truy vấn đến server top level domain. Top level domain lưu trữ thông tin về mọi tên miền trên mạng. Do đó nó sẽ gửi lại cho server quản lý tên miền vnn địa chỉ IP của server quản lý miền com (gọi tắt server com). Khi có được địa chỉ IP của server quản lý tên miền com lập tức server vnn hỏi server com thông tin về yahoo.com. Server com quản lý toàn bộ những trang web có domain là com, chúng gửi thông tin về địa chỉ IP của server yahoo.com cho server vnn. Lúc này server vnn đã có địa chỉ IP của yahoo.com rồi. Nhưng PC A yêu cầu dịch vụ www chứ không phải là dịch vụ ftp hay một dịch vụ nào khác. Do đó server vnn tiếp tục truy vấn tới server yahoo.com để yêu cầu thông tin về server quản lý dịch vụ www của yahoo.com. Khi nhận được truy vấn thì server yahoo.com gửi lại cho server vnn địa chỉ IP của server quản lý www.yahoo.com. Cuối cùng là server vnn gửi lại địa chỉ IP của server quản lý www.yahoo.com. cho PC A và PC A kết nối trực tiếp đến nó. Và bây giờ thì server vnn đã có thông tin về www.yahoo.com cho những lần truy vấn đến sau của các client khác. Quá trình làm việc của DNS có thể chia làm hai mảng: Forward Lookup Query: Một Forward Lookup Query là một yêu cầu chuyển đổi từ một tên sang một địa chỉ IP. Reverse Lookup Query: một Reverse Lookup Query là một yêu cầu chuyển đổi từ một IP sang một tên. 4. CÀI ĐẶT VÀ CẤU HÌNH DNS SERVER 4.1 Cài đặt DNS Server Truy cập Server với quyền Administrator Vào Start – Settings – Control Panel Trong Control Panel nhấp chọn Add or Remove Programs – Add/Remove Windows Components tiếp theo chọn Network Service Hình 24 Nhấp nút Detail Tiếp theo chọn Network Service rồi chọn Domain Name System – DNS nhấp OK để xác nhận Hình 25 Nhấp Next tiến trình cài đặt bắt đầu Cấu hình DNS Server 4.2.1 Cấu hình Forward Lookup Zone Khởi động màn hình DNS Hình 26 Nhấp phải chuột vào Forward Lookup Zone chọn New Zone Hình 27 Nhấp Next màn hình New Zone Wizard xuất hiện như sau: Hình 28 Hình 29 Trên màn hình Zone Name trong khung Zone Name nhập vào tên miền tonducthang.edu.vn. và nhấp Next. Hình 30 Trên màn hình Zone File chấp nhập giá trị mặc định và nhấp Next Hình 31 Trên màn hình Dynamic Update chấp nhận giá trị mặc định (Do not allow dynamic updates) và nhấp Next. Hình 32 Nhấp Finish để hoàn tất quá trình cấu hình tên miền. Sau khi được tạo tên miền sẽ xuất hiện trong DNS như sau: Hình 33 Để DNS chạy chính xác ta chỉnh sửa Record SOA như sau: Nhấp phải chuột vào Record SOA chọn Properties Hình 34 Xuất hiện màn hình Edit Record. Sửa đổi thông tin như trong hình. Hình 35 Sau khi nhập xong các thông tin phù hợp nhấp nút OK để trở về màn hình thuộc tính. Hình 36 Nhấp tiếp Tab Start Of Authority – (SOA) Hình 37 Điều chỉnh thông tin trong các khung Primary server và Responsible person như trong hình sau đó nhấp OK 4.2.2 Cấu hình New Host Khi phân giải tên Server DNS sẽ truy vấn tới Host sẽ xuất bản Website với tên miền vừa tạo do vậy phải chỉ ra địa chỉ IP của Host này, cách làm như sau: Trên màn hình DNS Manager trong mục Forward Lookup nhấp phải tên miền tonducthang.edu.vn rồi chọn New Host (A) Hình 38 Trên màn hình New Host Trong khung Name nhập vào tên Host: server1 Trong khung IP Address nhập vào địa chỉ IP của Host: 192.168.0.1 Nhấp nút Add Host xuất hiện màn hình thông báo việc tạo New Host thành công như sau: Nhấp OK để trở lại màn hình New Host Cấu hình New Alias: tên bí danh Trong Forward Lookup Zones nhấp phải chuột vào tên miền tonducthang.edu.vn chọn New Alias (CNAME) Trên màn hình New Resource Record trong khung Alias Name nhập vào tên Alias là www trong khung Full qualified domain name – (FQDN) for target host: dùng nút Browse để tìm đến nơi chứa Host có tên là server1 như trong hình . nhấp OK để trở lại màn hình DNS manage Hình 40 Quá trình Forward Lookup Zone là quá trình phân giải thuận tức là phân giải tên thành IP. Quá trình Reverse Lookup Zone: Trên màn hình DNS Manager nhấp phải vào Reverse Lookup Zone chọn New Zon Trên màn hình Zone Type nhấp chọn Primary Zone rồi nhấp Next IV. Dịch vụ FTP Server 1.Giao thức FTP FTP là từ viết tắt của File Transfer Protocol. Giao thức này được xây dựng dựa trên chuẩn TCP, FTP cung cấp cơ chế truyền tin dưới dạng tập tin (file) thông qua mạng TCP/IP, FTP là 1 dịch vụ đặc biệt vì nó dùng đến 2 cổng: cổng 20 dùng để truyền dữ liệu (data port) và cổng 21 dùng để truyền lệnh(command port). 1.1 Active FTP. Ở chế độ chủ động (active), máy khách FTP (FTP client) dùng 1 cổng ngẫu nhiên không dành riêng (cổng N > 1024) kết nối vào cổng 21 của FTP Server. Sau đó, máy khách lắng nghe trên cổng N+1 và gửi lệnh PORT N+1 đến FTP Server. Tiếp theo, từ cổng dữ liệu của mình, FTP Server sẽ kết nối ngược lại vào cổng dữ liệu của Client đã khai báo trước đó (tức là N+1) Ở khía cạnh firewall, để FTP Server hỗ trợ chế độ Active các kênh truyền sau phải mở: - Cổng 21 phải được mở cho bất cứ nguồn gửi nào (để Client khởi tạo kết nối) - FTP Server's port 21 to ports > 1024 (Server trả lời về cổng điều khiển của Client) - Cho kết nối từ cổng 20 của FTP Server đến các cổng > 1024 (Server khởi tạo kết nối vào cổng dữ liệu của Client) - Nhận kết nối hướng đến cổng 20 của FTP Server từ các cổng > 1024 (Client gửi xác nhận ACKs đến cổng data của Server) Sơ đồ kết nối: Mô hình hoạt động của Active FTP. - Bước 1: Client khởi tạo kết nối vào cổng 21 của Server và gửi lệnh PORT 1027. - Bước 2: Server gửi xác nhận ACK về cổng lệnh của Client. - Bước 3: Server khởi tạo kết nối từ cổng 20 của mình đến cổng dữ liệu mà Client đã khai báo trước đó. - Bước 4: Client gửi ACK phản hồi cho Server. Khi FTP Server hoạt động ở chế độ chủ động, Client không tạo kết nối thật sự vào cổng dữ liệu của FTP server, mà chỉ đơn giản là thông báo cho Server biết rằng nó đang lắng nghe trên cổng nào và Server phải kết nối ngược về Client vào cổng đó. Trên quan điểm firewall đối với máy Client điều này giống như 1 hệ thống bên ngoài khởi tạo kết nối vào hệ thống bên trong và điều này thường bị ngăn chặn trên hầu hết các hệ thống Firewall. Ví dụ phiên làm việc active FTP: Trong ví dụ này phiên làm việc FTP khởi tạo từ máy testbox1.slacksite.com (192.168.150.80), dung chương trình FTP Client dạng dòng lệnh, đến máy chủ FTP testbox2.slacksite.com (192.168.150.90). Các dòng có dấu --> chỉ ra các lệnh FTP gửi đến Server và thông tin phản hồi từ các lệnh này. Các thông tin người dùng nhập vào dưới dạng chữ đậm. Lưu ý là khi lệnh PORT được phát ra trên Client được thể hiện ở 6 byte. 4 byte đầu là địa chỉ IP của máy Client còn 2 byte sau là số cổng. Giá trị cổng đuợc tính bằng (byte_5*256) + byte_6, ví dụ (14*256) + 178) là 3762. Hình 41 Phiên làm việc active FTP. 1.2 Passive FTP. Để giải quyết vấn đề là Server phải tạo kết nối đến Client, một phương thức kết nối FTP khác đã được phát triển. Phương thức này gọi là FTP thụ động (passive) hoặc PASV (là lệnh mà Client gửi cho Server để báo cho biết là nó đang ở chế độpassive). Ở chế độ thụ động, FTP Client tạo kết nối đến Server, tránh vấn đề Firewall lọc kết nối đến cổng của máy bên trong từ Server. Khi kết nối FTP được mở, client sẽ mở 2 cổng không dành riêng N, N+1 (N > 1024). Cổng thứ nhất dùng để liên lạc với cổng 21 của Server, nhưng thay vì gửi lệnh PORT và sau đó là server kết nối ngược về Client, thì lệnh PASV được phát ra. Kết quả là Server sẽ mở 1 cổng không dành riêng bất kỳ P (P > 1024) và gửi lệnh PORT P ngược về cho Client.. Sau đó client sẽ khởi tạo kết nối từ cổng N+1 vào cổng P trên Server để truyền dữ liệu. Từ quan điểm Firewall trên Server FTP, để hỗ trợ FTP chế độ passive, các kênh truyền sau phải được mở: - Cổng FTP 21 của Server nhận kết nối từ bất nguồn nào (cho Client khởi tạo kết nối) - Cho phép trả lời từ cổng 21 FTP Server đến cổng bất kỳ trên 1024 (Server trả lời cho cổng control của Client) - Nhận kết nối trên cổng FTP server > 1024 từ bất cứ nguồn nào (Client tạo kết nối để truyền dữ liệu đến cổng ngẫu nhiên mà Server đã chỉ ra) Cho phép trả lời từ cổng FTP Server > 1024 đến các cổng > 1024 (Server gửi xác nhận ACKs đến cổng dữ liệu của Client) 1.3 Một số lưu ý khi truyền dữ liệu qua FTP. IIS hỗ trợ cả hai chế độ kết nối Active và Passive, do đó việc kết nối theo phương thức Active hay passive tùy thuộc vào từng Client. IIS không hỗ trợ cơ chế vô hiệu hóa (disable) chế độ kết nối Active hay Passive. Khi ta sử dụng dịch vụ FTP để truyền dữ liệu trên mạng Internet thông qua một hệ thống bảo mật như Proxy, Firewall, NAT, thông thường các hệ thống bảo mật này chỉ cho phép kết nối TCP theo cổng dịch vụ 21 do đó user gặp vấn đề trong việc sử dụng các lệnh DIR, LS, GET, or PUT để truyền dữ liệu vì các lệnh này đòi hỏi hệ thống bảo mật phải cho phép sử dụng cổng TCP 20. Cho nên khi sử dụng FTP để truyền tin trên mạng Internet thông qua mạng các hệ thống bảo mật (Proxy, Firewall, NAT) thì những hệ thống này phải mở TCP port 20 của FTP. 1.4 Giới thiệu FTP Server. Là máy chủ lưu trữ tập trung dữ liệu, cung cấp dịch vụ FTP để hỗ trợ cho người dùng có thể cung cấp, truy xuất tài nguyên qua mạng TCP/IP. FTP là một trong các dịch vụ truyền file rất thông dụng, người dùng có thể upload và download thông tin một cách dễ dàng hơn. 2. Cài đặt dịch vụ FTP. Chọn Start | Control Panel. Bấm đôi vào Add or Remove Programs. Từ ô vuông bên trái(pane) của cửa sổ “Add or Remove Programs” chọn Add/Remove Windows Components. Từ danh sách Components, chọn Application Server và chọn nút Details. Từ danh sách các Application Server chọn Internet Information Services và chọn nút Details. Chọn mục File Transfer Protocol (FTP) Service. . Hình 42 : Cài đặt FTP Service Bấm nút OK. Click vào nút Next để hệ thống cài đặt dịch vụ FTP (đôi khi hệ thống yêu cầu chỉ bộ nguồn I386 hoặc đường dẫn có chứa thư mục này để hệ thống chép một số file cần thiết khi cài đặt). Bấm vào nút Finish để hoàn tất quá trình cài đặt. 3. Cấu hình dịch vụ FTP. Sau khi ta cài đặt hoàn tất dịch vụ FTP, để quản lý dịch vụ này ta chọn Start | Programs | Administrative Tools | Internet Information Services(IIS) Manager | Computer name | FTP sites Hình 43 Mặc định khi cài xong dịch vụ FTP, hệ thống tự tạo một FTP site có tên Default FTP Site với một số thông tin sau: FTP name: Default FTP Site. TCP Port: 21 Connection Limited to: Giới hạn tối đa 100.000 kết nối. Enable logging: để cho phép ghi nhận log vào file \systemRoot \system32\LogFiles Cho phép Anonymous và người dùng cục bộ được đăng nhập vào FTP Server. Thư mục gốc của FTP server là \Inetpub\ftproot. Quyền hạn truy xuất (cho Anonymous và user cục bộ) là read và log visits. Cho phép tất cả các máy tính được phép truy xuất vào FTP Server. Do đó khi ta cài đặt xong ta có thể sử dụng dịch vụ FTP ngay mà không cần cấu hình, tuy nhiên chỉ sử dụng được một số chức năng cơ bản mà hệ thống cấu hình ban đầu. Điều tốt nhất là ta xóa đi rồi tạo FTP Site mới để cấu hình lại từ đầu. 4. Tạo mới FTP site. Để tạo mới một FTP site ta thực hiện các bước sau: Trong IIS Manager ta bấm chuột phải vào vào thư mục FTP Sites | New | FTP Site…| Next. Mô tả tên FTP site trong hộp thoại “FTP Site Desciption” | Next. Chỉ định IP Address và Port sử dụng cho FTP Site, trong phần này ta để mặc định, tiếp theo chọn Next. Trong hộp thoại “FTP User Isolation”, chọn tùy chọn Do not isolate users để cho phép mọi người dùng được sử dụng FTP server, chọn Next (tham khảo hình 2.8), ta cần tham khảo một số mục chọn sau Do not isolate users: Không giới hạn truy xuất tài nguyên cho từng người dùng. Isolate users: Giới hạn truy xuất tài nguyên FTP cho từng người dùng (tham khảo trong cấu hình FTP User Isolation). Isolate users using Active Directory: Dùng AD để giới hạn việc sử dụng tài nguyên cho từng người (tham khảo trong mục cấu hình FTP User Isolation). Hình 44:FTP User Isolation Chọn đường dẫn chỉ định Home Directory cho FTP Site, chọn Next. Chọn quyền hạn truy xuất cho FTP site, mặc định hệ thống chọn quyền Read, chọn Next. Chọn Finish để hoàn tất quá trình tạo FTP Site. Ta có thể kiểm tra bằng cách vào Internet Explorer đánh địa chỉ URL sau: ftp://172.29.14.149 (tham khảo Hình 45) Hình 45: Truy xuất FTP Server bằng IE. 5. Tạo Virtual Directory Thông thường các thư mục con của FTP root đều có thể truy xuất thông qua đường dẫn URL của dịch vụ FTP như: “ftp:///”, để cho phép người dùng có thể truy xuất một tài nguyên bên ngoài FTP root thì ta phải làm cách nào? FTP server cung cấp tính năng virtual directory để cho phép ta có thể giải quyết trường hợp này, thông virtual directory ta tạo một thư mục ảo bên trong FTP Site ánh xạ vào bất kỳ một thư mục nào đó trên ổ đĩa cục bộ hoặc ánh xạ vào một tài nguyên chia sẻ trên mạng. sao khi ánh xạ xong ta có thể truy xuất tài nguyên theo địa chỉ “ftp:///” Các bước tạo thư mục ảo (virtual directory): Bấm chuột phải vào FTP Site chọn New | Virtual Directory…| Next. Enter vào tên virtual directory trong ô Alias (tham khảo hình 46) Hình 46 Chỉ định tên thư mục trong ổ đĩa. Hình 47 Chỉ định quyền hạn truy xuất vào thư mục. Hình 48 Chọn Finish để hoàn tất quá trình 6. Tạo nhiều FTP Site. Ta có thể tạo nhiều FTP Site trên một FTP Server bằng cách sử dụng nhiều địa chỉ IP và nhiều FTP port. Các bước thực hiện: Bấm đôi vào tên máy tính cục bộ trong IIS manager, sau đó bấm chuột phải FTP Sites | New | FTP Site…| Next | Description | Next. Trong hộp thoại “IP Address and Port Settings” ta chọn địa chỉ IP cụ thể từ hộp thoại “Enter IP address to use for this FTP site” (tham khảo hình 49), chọn Next. Hình 49 Chọn “do not isolate user” trong hộp thoại “FTP User Isolation”, chọn Next. Chọn đường dẫn thư mục gốc của FTP, chọn Next. Chọn quyền truy xuất, sau đó chọn Next | Finish để hoàn tất. Truy xuất FTP site: Hình 50 V. Dịch vụ Web Server 1. Nguyên tắc hoạt động của Web Server. Ban đầu Web Server chỉ phục vụ các tài liệu HTML và hình ảnh đơn giản. Tuy nhiên, đến thời điểm hiện tại nó có thể làm nhiều hơn thế. Đầu tiên xét Web Server ở mức độ cơ bản, nó chỉ phục vụ các nội dung tĩnh. Nghĩa là khi Web Server nhận 1 yêu cầu từ Web Browser, nó sẽ ánh xạ đường dẫn này URL (ví dụ: thành một tập tin cục bộ trên máy Web Server. Máy chủ sau đó sẽ nạp tập tin này từ đĩa và gởi tập tin đó qua mạng đến Web Browser của người dùng. Web Browser và Web Server sử dụng giao thức HTTP trong quá trình trao đổi dữ liệu. Hình 51 Trên cơ sở phục vụ những trang Web tĩnh đơn giản này, ngày nay chúng đã phát triển với nhiều thong tin phức tạp hơn được chuyển giữa Web Server và Web Browser, trong đó quan trọng nhất có lẽ là nội dung động (dynamic content). 2. Cơ chế nhận kết nối. Với phiên bản đầu tiên, Web Server hoạt động theo mô hình sau: Tiếp nhận các yêu cầu từ Web Browser. Trích nội dung từ đĩa . Chạy các chương trình CGI. Truyền dữ liệu ngược lại cho Client. Tuy nhiên, cách hoạt động của mô hình trên không hoàn toàn tương thích lẫn nhau. Ví dụ, một Web Server đơn giản phải theo các luật logic sau: Chấp nhận kết nối. Sinh ra các nội dung tĩnh hoặc động cho Browser. Đóng kết nối. Chấp nhận kết nối. Lập lại quá trình trên ... Điều này sẽ chạy tốt đối với các Web Sites đơn giản, nhưng Server sẽ bắt đầu gặp phải vấn đề khi có nhiều người truy cập hoặc có quá nhiều trang Web động phải tốn thời gian để tính toán cho ra kết quả. Ví dụ: Nếu một chương trình CGI tốn 30 giây để sinh ra nội dung, trong thời gian này Web Server có thể sẽ không phục vụ các trang khác nữa . Do vậy, mặc dù mô hình này hoạt động được, nhưng nó vẫn cần phải thiết kế lại để phục vụ được nhiều người trong cùng 1 lúc. Web Server có xu hướng tận dụng ưu điểm của 2 phương pháp khác nhau để giải quyết vấn đề này là: đa tiểu trình (multi-threading) hoặc đa tiến trình (multi-processing) hoặc các hệ lai giữa multi-processing và multi-threading 3. Web Client Là những chương trình duyệt Web ở phía người dùng, như Internet Explorer, Netscape Communicator.., để hiển thị những thông tin trang Web cho người dùng. Web Client sẽ gửi yêu cầu đến Web Server. Sau đó, đợi Web Server xử lý trả kết quả về cho Web Client hiển thị cho người dùng. Tất cả mọi yêu cầu đều được xử lý bởi Web Server. 4. Cài đặt và cấu hình IIS 6.0 4.1. Cài đặt IIS 6.0 Web Service IIS 6.0 không được cài đặt mặc định trong Windows 2003 server, để cài đặt IIS 6.0 ta thực hiện các bước như sau: Mở cửa sổ Control Panel | Add or Remove Programs | Add/Remove Windows Components Chọn Application Server, sau đó chọn nút Details… Chọn Internet Information Services, sau đó chọn nút Details… Hình 52 Chọn mục World Wide Web service, sau đó chọn nút Details… Hình 53 4.2. Cấu hình IIS 6.0 Web service. Sau khi ta cài đặt hoàn tất, ta chọn Administrative Tools | Information Service (IIS) Manager, sau đó chọn tên Server (local computer) Trong hộp thoại IIS Manager có xuất hiện 3 thư mục: Application Pools: Chứa các ứng dụng sử dụng worker process xử lý các yêu cầu của HTTP request. Web Sites: Chứa danh sách các Web Site đã được tạo trên IIS. Web Service Extensions: Chứa danh sách các Web Services để cho phép hay không cho phép Web Server có thể thực thi được một số ứng dụng Web như: ASP, ASP.NET, CGI, WebDAV,… Hình 54 Trong thư mục Web Sites ta có ba Web Site thành viên bao gồm: Default Web Site: Web Site mặc định được hệ thống tạo sẳn. Microsoft SharePoint Administration: Đây là Web Site được tạo cho FrontPage Server Extensions 2002 Server Administration Administration: Web Site hỗ trợ một số thao tác quản trị hệ thống qua Web. Khi ta cấu hình Web Site thì ta không nên sử dụng Default Web Site để tổ chức mà chỉ dựa Web Site này để tham khảo một số thuộc tính cần thiết do hệ thống cung cấp để cấu hình Web Site mới của mình. Một số thuộc tính cơ bản Trước khi cấu hình Web Site mới trên Web Server ta cần tham khảo một số thông tin cấu hình do hệ thống gán sẳn cho Default Web Site. Để tham khảo thông tin cấu hình này ta nhấp chuột phải vào Default Web Site chọn Properties. Hình 55 Tab Web Site: mô tả một số thông tin chung về dịch vụ Web như: TCP port: chỉ định cổng hoạt động cho dịch vụ Web, mặc định giá trị này là 80. SSL Port: Chỉ định port cho https, mặc định https hoạt động trên port 443. https cung cấp một số tính năng bảo mật cho ứng dụng Web cao hơn http. Connection timeout : Chỉ định thời gian duy trì một http session. Cho phép sử dụng HTTP Keep-Alives. Cho phép ghi nhận nhật ký (Enable logging) Performance Tab: cho phép đặt giới hạn băng thông, giới hạn connection cho Web site. Home Directory Tab: Cho phép ta thay đổi Home Directory cho Web Site, giới hạn quyền truy xuất, đặt một số quyền hạn thực thi script cho ứng dụng Web ( như ta đặt các thông số: Application name, Execute permission, Application pool) 4.4 Tạo mới một Web site IIS cung cấp hai phương thức tạo mới Web Site: Tạo Web Site thông qua Creation Wizard của IIS manager. Tạo Web Site thông qua lệnh iisweb.vbs. Tạo Web Site thông qua “Web Site Creation Wizard” của IIS manager. Nhấp chuột phải vào thư mục Web Sites | New | Web Site | Next. Ta cung cấp tên Web Site trong hộp thoại Description | Next. Chỉ định các thông số về (Tham khảo Hình 3.18): “Enter the IP address to use for this Web site”: Chỉ định địa chỉ sử dụng cho Web Site, nếu ta chỉ định “All Unassigned” có nghĩa là HTTP được hoạt động trên tất cả các địa chỉ của Server. “TCP port this Web site should use”: Chỉ định cổng hoạt động cho dịch vụ. “Host Header for this Web site (Default:None)”: Thông số này để nhận diện tên Web Site khi ta muốn tạo nhiều Web Site cùng sử dụng chung một địa chỉ IP thì ta thường dùng thông số này để mô tả tên các Web Site đó, do đó khi ta chỉ tổ chức một Web Site tương ứng với 1 địa chỉ IP thì ta có thể không cần sử dụng thông số này. Hình 56 Trong hộp thoại “Web Site Home Directory” để chỉ định thư mục home của Web Site (thư mục lưu trữ nội dung của Web Site) và chỉ định Anonymous có được quyền truy xuất Web Site hay không (tham khảo Hình 57) Hình 57 Chỉ định quyền hạn truy xuất cho Web Site (tham khảo Hình 3.20): Read: Quyền được truy xuất nội dung thư mục. Run scripts (such as ASP): Quyền được thực thi các trang ASP. Execute (such as ISAPI Application for CGI): Quyền được thực thi các ứng dụng ISAPI. Write: Quyền ghi và cập nhật dữ liệu của Web Site. Browse: Quyền liệt kê nội dung thư mục (khi không tìm được trang chủ mặc định) Hình 58 - Chọn Finish để hoàn tất quá trình. 4.5 Tạo Virtual Directory. Thông thường để ta tạo thư mục ảo (Virtual Directory hay còn gọi là Alias) để ánh xạ một tài nguyên từ đường dẫn thư mục vật lý thành đường dẫn URL, thông qua đó ta có thể truy xuất tài nguyên này qua Web Browser. Các bước tạo Virtual Directory Nhấp chuột phải vào tên Web Site cần tạo chọn New, chọn Virtual Directory Chọn Next, sau đó chỉ định tên Alias cần tạo (tham khảo Hình 59) Hình 59 Chọn Next từ bước 2, sau đó chỉ định thư mục cục bộ hoặc đường dẫn mạng cần ánh xạ, Chỉ định quyền hạn truy xuất cho Alias, cuối cùng ta chọn Finish để hoàn tất quá trình 4.6 Cấu hình bảo mật cho Web Site IIS cung cấp một số tính năng bảo mật cho Web Site như (tham khảo Hình 3.23): - Authentication And Access Control: IIS cung cấp 6 phương thức chứng thực, kết hợp quyền truy cập NTFS để bảo vệ việc truy xuất tài nguyên trong hệ thống. - IP address and domain name restriction: Cung cấp một số tính năng giới hạn host và network truy xuất vào Web Site. - Secure communication: Cung cấp một số tính năng bảo mật trong giao tiếp giữa Client và Server bằng cách Server tạo ra các giấy chứng nhận cho Client (Client Certificate) và yêu cầu Client khi truy xuất tài nguyên vào Server thì phải gởi giấy chứng nhận để Server xác nhận yêu cầu có hợp lệ hay không. Hình 60 - Cấu hình Authentication And Access Control: từ Hình 3.23 ta chọn nút Edit…chọn các phương thức chứng thực cho phù hợp, mặc định hệ thống không yêu cầu chứng thực và cho mọi người sử dụng anonymous để truy xuất Web Site: Hình 61 Cấu hình IP address and domain name restriction: Từ hình ta chọn nút Edit… Hình 62 - Cấu hình Secure communication: Từ hình 3.23 nút Server Certificate…để tạo giấy chứng nhận Client, nút Edit hiệu chỉnh các yêu cầu chứng nhận cho Client (tham khảo Hình 3.26). Hình 63 VI. Dịch vụ Mail Server 1. Giới thiệu về hệ thống mail. Một hệ thống Mail yêu cầu phải có ít nhất hai thành phần, nó có thể định vị trên hai hệ thống khác nhau hoặc trên cùng một hệ thống, Mail Server và Mail Client. Ngoài ra, nó còn có những thành phần khác như Mail Host, Mail Gateway. Sơ đồ về một hệ thống Email đầy đủa các thành phần: Hình 64 1.1. Mail gateway. Một mail gateway là máy kết nối giữa các mạng dùng các giao thức truyền thông khác nhau hoặc kết nối các mạng khác nhau dùng chung giao thức. Ví dụ một mail gateway có thể kết nối một mạng TCP/IP với một mạng chạy bộ giao thức Systems Network Architecture (SNA). Một mail gateway đơn giản nhất dùng để kết nối 2 mạng dùng chung giao thức hoặc mailer. Khi đó mail gateway chuyển mail giữa domain nội bộ và các domain bên ngoài. 1.2. Mail Host. Một mail host là máy giữ vai trò máy chủ Mail chính trong hệ thống mạng. Nó dùng như thành phần trung gian để chuyển Mail giữa các vị trí không kết nối trực tiếp được với nhau. Mail host phân giải địa chỉ người nhận để chuyển giữa các Mail server hoặc chuyển đến Mail gateway. Một ví dụ về Mail host là máy trong mạng cục bộ LAN có modem được thiết lập liên kết PPP hoặc UUCP dùng đường dây thoại. Mail host cũng có thể là máy chủ đóng vai trò router giữa mạng nội bộ và mạng Internet. 1.3. Mail Server. Mail Server chứa mailbox của người dùng. Mail Server nhận mail từ mail Client gửi đến và đưa vào Mail Server nhận mail từ Mail Host gửi đến và đưa vào mailbox của người dùng. Người dùng sử dụng NFS (Network File System) để mount thư mục chứa mailbox trên Mail Server để đọc. Nếu NFS không được hỗ trợ thì người dùng phải login vào Mail Server để nhận thư. Trong trường hợp Mail Client hỗ trợ POP/IMAP và trên Mail Server cũng hỗ trợ POP/IMAP thì người dùng có thể đọc thư bằng POP/IMAP. 1.4. Mail Client. Là những chương trình hỗ trợ chức năng đọc và soạn thảo thư, Mail Client tích hợp hai giao thức SMTP và POP, SMTP hỗ trợ tính năng chuyển thư từ Client đến Mail Server, POP hỗ trợ nhận thư từ Mail Server về Mail Client. Ngoài giao thức việc tích hợp giao thức POP Mail Client còn tích hợp giao thức IMAP, HTTP để hỗ trợ chức năng nhận thư cho Mail Client. Các chương trình Mail Client thường sử dụng như: Microsoft Outlook Express, Microsoft Office Outlook, Eudora,… 2. Giới thiệu các chương trình Mail Server. Hiện tại có rất nhiều chương trình Mail Server, tương ứng với từng môi trường thì chỉ có một số chương trình được sử dụng thông dụng, ví dụ trên môi trường Windows: - Microsoft Exchange Server: Là chương trình Mail Server rất thông dụng được Microsoft phát triển để cung cấp cho các doanh nghiệp tổ chức hệ thống thư điện tử E-mail cho người dùng. - Mdaemon: Là chương trình Mail Server do công ty Alt-N Technologies, phát triển để hỗ trợ cho các doanh nghiệp tổ chức hệ thống thư tính điện tử (E-mail) cho người dùng. 3.Các tính năng cơ bản của MDaemon 3.1.Hướng dẫn cài đặt và cấu hình cho hệ thống MDaemon 3.1.1 Giới thiệu Hiện nay trên thị trường có rất nhiều phần mềm cho phép cài đặt và quản trị hệ thông thư điện tử và nói chung chúng đều có tính năng cơ bản là tương tự như nhau. Như quyển sách này chúng tôi xin giới thiệu về phần mềm quản trị thư điện tử MDaemon. Vì các lý do sau : MDaemon là một phần mềm có giao diện thân thiện với người dùng (sử dụng giao diện đồ hoạ) Chạy trên các hệ điều hành của Microsoft mà hiện nay hầu hết các máy tính tại Việt Nam đều sử dụng Microsoft. Có khả năng quản lý hàng trăm tên miền và hàng nghìn người dùng (phụ thuộc và nhiều yếu tố như dung lượng đường truyền, phần cứng của server). Tối thiểu là: Máy tính Pentium III 500MHz Internet Explorer 4.0 512 MB bộ nhớ Microsoft Windows 9x/ME/XP/NT/2000/2003 Kết nối TCP/IP với mạng internet hoặc intranet Có cung cấp nhiều công cụ hữu ích cho việc quản trị hệ thống cũng như đảm bảo an toàn cho hệ thống thư điện tử như : Contant filter : Cho phép chống Spam và không cho phép gửi và nhận thư đến hoặc từ một địa chỉ xác định MDaemon Virus Scan : Quét các thư đi qua để tìm và diệt virus email Ldap : MDaemon có hỗ trợ sử dụng thủ tục Ldap cho phép các máy chủ sử dụng chung cơ sở dữ liệu account Domain Gateway: Hỗ trợ cho phép quản lý thư như một gateway sau đó chuyển về cho các tên miền tương ứng Mailing list: Tạo các nhóm người dùng Public/Shared folder: Tạo thư mục cho phép mọi người được quyền sử dụng chung dữ liệu ở trong thư mục DomainPOP: Sử dụng POP để lấy thư WorldClient: Cho phép người dùng có thể quản lý hộp thư của mình sử dụng web brower MDconf và WebAdmin : Cho phép quản trị hệ thống thư điện tử từ xa và webadmin cho phép quản trị trên web brower . . . (Lấy MDaemon về từ nó yêu cầu cần phải có bản quyền) MDaemon Là phần mền quản lý thư điện tử chạy trên window và được thiết kế có thể sử dụng từ sáu account đến hàng nghìn account. MDaemon rất đơn giản và dễ cấu hình, đồng thời là một phần mền có giá thành rất hợp lý như lại có rất nhiều đặc tính cho phép dễ quản lý hơn các hệ thống thư điện tử khác trên thị trường. MDaemon được thiết kế trên ý tưởng sử dụng cả kết nối dial-up (khi địa chỉ ip tĩnh có không thể cung cấp) và các kết nối trực tiếp. 3.1.2.Các thông tin cần thiết khi cài đặt và cấu hình MDaemon Trước khi cài đặt MDaemon bạn cần phải có những thông tin sau (thường là thông tin này được cung cấp bởi các ISP – nhà cung cấp dịch vụ internet) • Domain Name : Nếu bạn không chắc thì nó chính là phần đằng sau dấu @ của hộp thư của bạn. Ví dụ nếu hộp thư của bạn tại công ty là abc@company.com thì domain name của bạn sẽ là company.com • Địa chỉ IP của DNS server mà mail server của bạn sẽ truy vấn: (bao gồm primary DNS và secondary DNS IP ): Nếu vì một lý do mà bạn không biết địa chỉ DNS, bạn có thể biết bằng cách bấm vào nút "Start" của Window chọn "Run". Gõ "command" hoặc "cmd" và đánh enter. Nó sẽ và chế độ DOS command và bạn đánh lệnh "ipconfig/all" và bạn sẽ thấy được địa chỉ IP của DNS. • Làm thế nào mà ISP có thể chuyển thư của bạn tới bạn ? Có hai giải pháp : Các thứ nhất là khi ISP thiết lập domain name của bạn thì thư sẽ được chuyển thẳng đến máy chủ của bạn sử dụng SMTP. Trong trường hợp này bạn không cần phải sử dụng MDaemon DomainPOP Giải pháp thứ hai là khi ISP chuyển tất cả thư của tên miền tới account "catch-all" Pop3 trên máy chủ thư điện tử trung chuyển để chờ bạn kết nối vào lấy thư. Trong trường hợp này bạn sẽ phải sử dụng MDaemon DomainPOP. Và sử dụng chức năng này thì bạn cần phải biết các chi tiết các thông tin để bạn lấy thư: ISP POP3 server name hoặc IP POP3 account username POP3 account password • MDaemon làm thế nào để kết nối vào Internet ? Cũng có hai phương cách. Cách thứ nhất là PC tự động kết nối trực tiếp thông qua router/gateway vào mạng internet. Trong trường hợp này bạn không cần thêm thông tin. Cách thứ hai là PC kết nối thông qua modem và bạn phải kết nối dial-up vào mạng. Trong trường hợp này bạn cần phải có thêm thông tin Tên của dial-up để kết nối PC vào mạng Username sử dụng để kết nối Password sử dụng để kết nối Địa chỉ IP của MDaemon PC trong mạng nội bộ Tất cả các thông tin trên thì cần được biết trước khi cài và sử dụng máy chủ thư điện tử và đó chính là các thông tin cơ bản cần thiết. 3.1.3.Cấu hình cho MDaemon Server Sau khi đã cài đặt xong MDaemon sẽ tự động chạy và thu nhỏ biểu tượng tại thanh menu ở dưới của Window (gần chỗ báo đồng hồ của PC) Truy nhập MDaemon server đơn giản chỉ bấm hai lần liên tiếp vào biểu tượng thư Hình 65 Tạo account cho MDaemon để cho phép bạn có thể gửi và nhận thư trên internet với account vừa được tạo. 4. Một số điều chú ý cơ bản khi có lỗi khi cài Tại MDaemon Server: Kiểm tra đã điền đúng "Primary Domain" tại menu "Setup" ?. Kiểm tra xem điền tại "Primary Domain và "HELO domain" đã điền chính xác giống như phần sau của ký tự "@" của địa chỉ thư điện tử mà bạn muốn thiết lập ?. Nếu sử dụng dial-up sử dụng modem và đặt MDaemon quay thoại tự động. Thì hãy kiểm tra kết nối, username, password có chính xác không. Có thể vào kiểm tra lại tại phần menu "Setup" chọn "RAS dialup/dialdown engine" Nếu sử dụng DomainPOP để lấy thư về thì kiểm tra đã điền đúng POP3 Server và account tại POP3 Server chính xác chưa. Có thể vào "DomainPOP mail collection from" tại menu "Setup" để kiểm tra. Cuối cùng nếu tại Client PC có vấn đề về truy nhập vào MDaemon server để lấy và gửi thư thì khiển tra địa chỉ IP hoặc tên của server POP3 và SMTP đã điền đúng chưa. Và cũng phải kiểm tra lại account và password sử dụng có đúng không (cẩn thận với chữ hoa và chữ thường) 3.2 Hướng dẫn cài đặt mail server Mdaemon Trong bài này mình hướng dẫn các thao tác cài đặt mail server MDaemon phiên bản v9.6.1Trước tiên bạn download phiên bản cài đặt của mail này về , sau đó giải nén ra và bắt đầu cài đặt . Màn hình cài đặt hiện lên , click Next Hính 67 Màn hình license -> click Agree Hình 68 Tiếp theo chọn nơi thư mục cài đặt , sau đó click Next Hình 69 Điền license vào và tên công ty ->Next Hình 70 Nhấn Next tiếp để bắt đầu quá trình cài đặt Hình 71 Hình 72Chọn domain name ->Next Hình 73 Setup một account với pass ít nhất từ 6->12 ký tự àNextHình 74Đặt DNS và click Next Hình 75Chọn chế độ cho mail MDaemon ở Easy hay Advanced àNextHình 76Tiếp tục click Next Hình 77Check vào ô Start Mdaemon ->Finish  Hình 78 Nếu màn hình hiện ra cửa sổ như hình 13 thì bạn đã cài đặt thành công mail Mdaemon  Hình 79 VII. Dịch vụ Proxy 1.Giới thiệu về dịch vụ Proxy Một proxy server, giống như firewall (bức tường lửa), được thiết kế để bảo vệ tài nguyên trong các mạng cục bộ khi nối kết các mạng khác như mạng Internet. Chúng ta cũng khó phân biệt sự khác nhau giữa proxy server và firewall. Bạn có thể nghĩ rằng proxy là dịch vụ chạy trên firewall, nơi mà firewall là một server vật lí nằm giữa Internet và mạng cục bộ. Tổng quát, firewall cung cấp điều khiển mở rộng để lọc và giám sát thông tin ra vào mạng. Ví dụ, firewall có thể thực thi dịch vụ lọc gói dữ liệu ở tầng mạng (network layer) để đóng gói dữ liệu mà có địa chỉ nguồn riêng biệt hay dành cho một dịch vụ nào đó. Dịch vụ proxy chạy trên firewall ở mức ứng dụng cung cấp một hệ thống điều khiển truyền tải tinh vi. Một firewall chạy dịch vụ proxy cho nhiều loại ứng dụng của Internet cần được kiểm soát. Ví dụ HTTP proxy điều khiển những dịch vụ Web, trong khi FTP proxy kiểm soát dịch vụ truyền tải tập tin. Chú ý rằng một server vật lý chạy dịch vụ proxy có hai card mạng, một nối kết với mạng cục bộ và một nối kết với Internet. Nó cũng được gọi là hệ thống dual-homed hoặc là multihomed. Một dual-homed proxy srever không thi hành chức năng định tuyến giữa các card mạng. Các gói dữ liệu chỉ được truyền giữa các mạng sau khi truyền qua các chồng giao thức và qua những dịch vụ proxy nếu được cho phép. Nếu dịch vụ proxy không dành cho một ứng dụng nào đó, không một dữ liệu nào liên quan đến ứng dụng đó được đi qua proxy server. Với sự thiết lập như thế, khi được thi hành đúng đắn, ngăn chặn kẻ phá hoại bên ngoài phá vỡ hệ thống bên trong. Dịch vụ proxy là dịch vụ một chiều ngăn cản người dùng Internet cố tình truy cập mạng cục bộ. Các dịch vụ nầy được thiết kế cho người dùng dịch vụ mạng cục bộ. Chỉ có những gói dữ liệu được yêu cầu của người dùng mạng cục bộ mới được truyền qua qua firewall. Ví dụ, giả sử một trạm làm việc của mạng cục bộ muốn truy cập vào một Web server trên Internet. Dịch vụ HTTP proxy chạy trên firewall chặn đứng gói dữ liệu HTTP của người dùng, đóng gói lại dữ liệu và truyền yêu cầu đã đóng gói lại tới Web server trên Internet. Gói dữ liệu chứa địa chỉ nguồn IP của proxy server, không phải địa chỉ IP của trạm làm việc của người dùng. Nhìn bề ngoài, chúng giống như là tất cả các gói dữ liệu được truyền từ proxy server, nơi cung cấp một mức an toàn bảo mật tất cả các địa chỉ bên trong. Khi một Web server trả lời các yêu cầu, proxy server nhận và chuyển các trả lời nầy đến các trạm làm việc cục bộ. Thuận lợi của phương pháp nầy là các mạng cục bộ không phải thích ứng với các chuẩn đánh địa chỉ của Internet, một yếu tố quan trọng khi mà Internet chạy không dựa trên địa chỉ IP. Vì lý do an toàn, các gói dữ liệu đi vào sẽ được kiểm virút hay khả năng thay đổi dữ liệu bởi những kẻ phá hoại bên ngoài. Proxy server có thể tạo một bộ mã hóa trên Web server ngăn sự phá hoại các tài nguyên hữu dụng. Proxy server cũng có chức năng bộ đệm quan trọng. Vì nó là vị trí trung tâm để người dùng mạng cục bộ có thể truy cập mạng Internet, một proxy server có thể lưu trữ các tài liệu được truy cập thường xuyên trên Internet và cho phép người dùng mạng cục bộ truy cập chúng khi cần thiết. Ví dụ như, hàng ngàn người dùng có thể truy cập mục hài Dilbert mỗi ngày. Nếu một công ty có một máy proxy server lưu trữ, mục hài nầy sẽ được lưu trữ đầu tiên trong ngày. Người dùng sau sẽ truy cập mục nầy từ máy lưu trữ nội bộ mà không phải từ Web site của Dilbert. Vì proxy server kiểm soát các gói dữ liệu cho người dùng mạng cục bộ nên nó cũng dễ dàng kiểm tra virút, lọc dữ liệu và điều khiển truy cập. Các gói chứa dữ liệu không mong muốn có thể được loại bỏ. Những proxy server cung cấp dịch vụ proxy cho các ứng dụng như HTTP, FTP, Telnet, và các giao thức Internet khác. Có những proxy tương thích cho nhiều ứng dụng khác nhau. Trường hợp đặc biệt, các trạm làm việc phải chạy phần mềm đặc biệt để truy cập firewall. Ví dụ, proxy server của Microsoft cho phép máy chạy giao thức IPX (Internetowrk Packet Exchange) truy cập proxy server với phần mềm đặc biệt. Ngoài ra, các proxy server có thể sử dụng SOCKS, một giao thức xác nhận, đòi hỏi trạm làm việc phải có phần mềm để truy cập SOCKS. SOCKS là một hệ thống proxy tổng quát cung cấp các đặc tính an toàn mở rộng như kiểm toán, quản trị, sửa lỗi và báo động. Nó được định nghĩa trong IETF (Internet Engineering Task Force) RFC 1928, mà bạn có thể đọc ở các địa chỉ bên dưới. Nhiều proxy server thương mại dựa trên SOCKS. ISA Server là gì? Microsoft Internet Security and Acceleration Sever (ISA Server) là phần mềm share internet và cũng là phần mềm xây dựng bức tường lửa (Firewall) khá nổi tiếng và được sử dụng khá phổ biến của hãng phần mềm Microsoft. Có thể nói đây là một phần mềm share internet khá hiệu quả, ổn định, dễ cấu hình, firewall tốt, nhiều tính năng cho phép bạn cấu hình sao cho tương thích với mạng LAN của bạn. Tốc độ nhanh nhờ chế độ cache thông minh, với tính năng lưu Cache vào RAM (Random Access Memory), giúp bạn truy xuất thông tin nhanh hơn, và tính năng Schedule Cache (Lập lịch cho tự động download thông tin trên các WebServer lưu vào Cache và máy con chỉ cần lấy thông tin trên các Webserver đó bằng mạng LAN). Ngoài ra còn rất nhiều các tính năng khác nữa. 2.1 Đặc điểm nổi bật của bản 2006 so với 2004 là tính năng Publishing và VPN (đây lại là những tính năng mà các doanh nghiệp ở VN ta ít dùng. ) 2.1.1 Về khả năng Publishing Service - ISA 2006 có thế tự tạo ra các form trong khi người dùng truy cập vào trang OWA, qua đấy hỗ trợ chứng thực kiểu form-based. chống lại các người dùng bất hợp pháp vào trang web OWA. tính năng này được phát triển dưới dạng Add-ins. - Cho phép public Terminal Server theo chuẩn RDP over SSL, đảm bảo dữ liệu trong phiên kết nối được mã hóa trên Internet (kể cả password). - Block các kết nối non-encrypted MAPI đến Exchange Server, cho phép Outlook của người dùng kết nối an toàn đến Exchange Server - Rất nhiều các Wizard cho phép người quản trị public các Server nội bộ ra internet 1 cách an toàn. hỗ trợ cả các sản phẩm mới như Exchange 2007. 2.1.2 Khả năng kết nối VPN - Cung cấp Wizard cho phép cấu hình tự động site-to-site VPN ở 2 văn phòng riêng biệt. tất nhiên ai thích cấu hình bằng tay tại từng điểm một cũng được tích hợp hoàn toàn Quanratine. - Stateful filtering and inspection (cái này thì quen thuộc rồi), kiểm tra đầy đủ các điều kiện trên VPN Connection, Site to site, secureNAT for VPN Clients, ... - Cho phép Public luôn 1 VPN Server khác trong Intranet ra ngoài Internet, hỗ trợ PPTP, L2TP/IPSec, IPSec Tunnel site-to-site (với các sản phẩm VPN khác). Về khả năng quản lý - Dễ dàng quản lý - Rất nhiều Wizard - Backup và Restore đơn giản. - Cho phép ủy quyền quản trị cho các User/Group - Log và Report chi tiết cụ thể. - Cấu hình 1 nơi, chạy ở mọi nơi (bản ISA Enterprise) - Khai báo thêm server vào array dễ dàng (không khó khăn như hồi ISA 2000, 2004 ) - Tích hợp với giải pháp quản lý của Microsoft: MOM, SDK Các tính năng khác - Hỗ trợ nhiều CPU và RAM ( bản standard hỗ trợ đến 4CPU, 2GB RAM) - Max 32 node Network Loadbalancing - Hỗ trợ nhiều network, - Route/NAT theo từng network, - Firewall rule đa dạng - IDS - Flood Resiliency: - HTTP compression - Diffserv 3.Các Vấn đề Cần Lưu ý Khi Triễn Khai Cài đặt Isa Server 2006 3.1. Cấu hình máy chủ cần thiết CPU Intel hoặc AMD tối thiểu 773 MHz. RAM tối thiểu 512MB. Tối thiểu 01 card mạng (nếu chỉ dùng ISA làm proxy server). Đĩa cứng trống tối thiểu 150MB, định dạng NTFS. Hệ điều hành Windows server 2003 SP1 32 bit hoặc Windows Server 2003 R2 32 bitBăng thông internet và cấu hình đề nghị tương ứng:Băng thông: đến 25 Mbps CPU: 3 đến 4 GHz RAM: 512 MB Card mạng: 10/100 Mbps Số kết nối VPN đồng thời tối đa: 700 Băng thông: đến 90 Mbp CPU: Dual core 2 đến 3 GHz RAM: 2 GB Card mạng: 100/1000 Mbps Số kết nối VPN đồng thời tối đa: 2000 3.2. Hoàn chỉnh bảng định tuyến (routing table) Bảng định tuyến trên máy ISA và các router nội bộ nên được cấu hình hoàn chỉnh trước khi cài ISA. Bảng định tuyến phải có định tuyến mặc định (default route) hướng đến cổng (gateway) phù hợp và phải có đủ các định tuyến (route) đến mọi mạng con (network - subnet) trong nội bộ. Trong hầu hết các mô hình mạng thông dụng, định tuyến mặc định sẽ được tạo ra bằng cách khai báo giá trị default gateway trên card mạng mà ISA dùng để kết nối internet. Theo nguyên tắc định tuyến, chỉ có thể có 01 default gateway khả dụng (nghĩa là chỉ có 01 định tuyến mặc định khả dụng); vì thế, phải tạo thêm các định tuyến đến các mạng con trong nội bộ để ISA có thể giao tiếp (và phục vụ) mọi thành phần mạng trong nội bộ 3.3. Chú ý thông số DNS Để có thể phục vụ cho Proxy client và Firewall client, ISA phải có khả năng phân giải được các tên miền (DNS name) của nội bộ và của internet. Để thoả yêu cầu này, chỉ khai báo thông số preferred DNS server trên card mạng trong (card nối với mạng nội bô - internal interface) Cho dù ISA được triển khai trên máy đơn (stand-alone server) hay trên thành viên của domain (domain member server) thì vẫn khai báo máy chủ DNS như vừa nêu trên. Không bao giờ dùng máy chủ DNS của nhà cung cấp dịch vụ internet (ISP). Đây là một lỗi thường gặp khi cấu hình thông số IP trên máy ISA. Lỗi cấu hình này sẽ dẫn đến quá trình phân giải DNS của ISA bị chậm hoặc thậm chí bị thất bại. Dĩ nhiên vẫn phải loại trừ trường hợp mạng nội bộ không có máy chủ DNS - nghĩa là không có domain - thì thông số DNS được cấu hình trên card mạng nối internet (external interface) là địa chỉ IP máy chủ DNS của ISP. 3.4. Tinh chỉnh cấu hình external interface Để tăng cường bảo vệ chính máy ISA, cần thiết lập các hạn chế trên external interface:- External interface properties: bỏ các dấu kiểm "Client for Microsoft Networks" và "File and Printer Sharing for Microsoft Networks" - External interface properties > Internet Protocol (TCP/IP) properties > nút Advanced > tab WINS: bỏ dấu kiểm "Enable LMHOSTS lookup" và chọn "Disable NetBIOS over TCP/IP" 3.5. Cài ISA trên một máy chủ "sạch" Tất nhiên không được phép tiết kiệm đến mức cài ISA ngay trên Domain Controller. Khi đó không chỉ ISA không hoàn thành nhiệm vụ mà Domain Cotroller cũng "tê liệt " nốt. Nếu nhân viên bảo vệ đồng thời là ... giám đốc doanh nghiệp thì ... xin miễn ý kiến!!!3.6. Nên cài ISA trên stand-alone server hay domain member server?Khi cài ISA trên stand-alone server, đương nhiên ISA sẽ không có bất cứ quan hệ luận lý nào với domain. Ưu điểm của cấu trúc này là kẻ tấn công không thể thông qua ISA để "với tới" Active Directory service hay domain controller. Thế nhưng giá phải trả là ISA không thể kiểm soát và chứng thực được domain user nếu không thông qua RADIUS server Chọn phương án cho ISA giao tiếp AD qua trung gian RADIUS được xem là một phương pháp tăng cường bảo vệ hệ thống bằng cách phức tạp hóa "lộ trình" đến AD của kẻ tấn công. Và tất yếu là công tác của quản trị viên cũng sẽ ... phức tạp hơn. Cài ISA trên member server: Có thể dùng quyền local administrator để cài ISA trên domain member server. Khi cấu hình các rule với quyền của domain administrator, có thể triển khai kiểm soát và chứng thực được domain user. Lựa chọn stand-alone hay member server có thể xem là lựa chọn giữa độ bảo mật với độ phức tạp cấu hình và ... túi tiền. Xét trên khả năng chặn lọc hữu hiệu của ISA, đa số tổ chức thiên về phương án giảm độ phức tạp và bảo toàn ... ngân quỹ tức cài ISA trên domain member server. Tuy nhiên, các bước cài đặt là như nhau trên cả hai môi trường 3.7. Những lưu ý rất quan trọng khi cài đặt - Kích hoạt tập tin ISA Autorun.exe từ đĩa cài đặt ISA 2006. - Hộp thoại Microsoft Internet Security and Acceleration Server 2006: Nếu ISA có thể truy cập internet, nên chọn Review Release Notes và đọc release notes. Văn bản này có một số thông tin quan trọng mô tả những thay đổi chức năng cơ bản mà ta không thể tìm được trong phần giúp đỡ (Help) của chương trình ISA. Sau khi tham khảo release notes, chọn Install ISA Server 2006. - Hộp thoại Setup Type: Khác với ISA 2004, ISA 2006 không có phương thức cài Firewall Client Installation Share trên ISA server. Do vậy, chỉ chọn Custom (trên hộp thoại kế tiếp, chọn Change) nếu không muốn cài ISA trên đĩa hệ thống hiện hành. Nếu không, chọn Next. - Hộp thoại Internal Network: Khai báo tất cả các khoảng IP thuộc hệ mạng nội bộ. Nếu khai báo thiếu một phân đoạn mạng nào trong LAN thì thông tin từ phân đoạn mạng đó (khi đến với ISA) sẽ bị ISA xem như "người ngoài" (External). ISA xem Internal Network là một "vùng tin cậy" (trusted zone) và dùng Internal Network trong các System Policy rule để phục vụ hoạt động cũa hệ điều hành. Khai báo Internal Network sai hoặc thiếu sẽ ảnh hưởng không chỉ hoạt động của các máy trong LAN mà còn ảnh hưởng đến chính ISA. - Hộp thoại Firewall Client Connections: Chỉ cần check "Allow non-encrypted Firewall client connections" nếu trong LAN có các máy được cài các phiên bản trước của WinSock Proxy (MS Proxy Server 2.0) hoặc Firewall Client ISA 2000. Nếu chọn phương thức này thì user name và password từ các máy trong LAN gửi đến ISA sẽ không được mã hóa. Cách tối ưu là nên cài Firewall Client ISA 2006 trên các máy trạm. Tài liệu tham khảo: Trong quá trình làm đồ án em đã tham khảo những tài liệu như: 1. Những bài lab của các trung tâm giảng dạy QTM như nhatnghe, netpro,… 2. Những tài liệu lý thuyết về QTM của Microsoft như Moc, Training kits… 3. Ngoài ra em còn tham khảo thêm một số tài liệu trên các trang web khác về QTM