SỞ LAO ĐỘNG – THƯƠNG BINH VÀ XÃ HỘI ĐỒNG THÁP TRƯỜNG TRUNG CẤP THÁP MƯỜI GIÁO TRÌNH CÀI ĐẶT, THIẾT LẬP, QUẢN LÝ VÀ VẬN HÀNH MẠNG LAN Đồng Tháp BÀI 1: TỔNG QUAN VỀ MẠNG MÁY TÍNH Giới thiệu mạng máy tính Vào năm 50, hệ thống máy tính đời sử dụng bóng đèn điện tử nên kích thước cồng kềnh tiêu tốn nhiều lượng Việc nhập liệu vào máy tính thực thơng qua bìa đục lỗ kết đưa máy in, điều làm nhiều thời gian bất tiện cho người sử dụng Đến năm 60, với phát triển ứng dụng máy tính nhu cầu trao đổi thông tin với nhau, số nhà sản xuất máy tính nghiên cứa chế tạo thành cơng thiết bị truy cập từ xa tới máy tính họ, dạng sơ khai hệ thống mạng máy tính Đến đầu năm 70, hệ thống thiết bị đầu cuối 3270 IBM đời cho phép mở rộng khả tính tốn trung tâm máy tính đến vùng xa Đến hững năm 70, IBM giới thiệu loạt thiết bị đầu cuối thiết kế chế tạo cho lĩnh vực ngân hàng, thương mại Thông qua dây cáp mạng thiết bị đầu cuối truy cập lúc đến máy tính dùng chung Đến năm 1977, công ty Datapoint Corporation tung thị trường hệ điều hành mạng “Attache Resource Computer Network” (Arcnet) cho phép liên kết máy tính thiết bị đầu cuối lại dây cáp mạng, đánh dấu đời mạng máy tính Nói cách bản, mạng máy tính hai hay nhiều máy tính kết nối với theo cách cho chúng trao đổi thơng tin qua lại với Hình 1.1: Mơ hình mạng Mạng máy tính đời xuất phát từ nhu cầu muốn chia sẻ dùng chung liệu Khơng có hệ thống mạng liệu máy tính độc lập muốn chia sẻ với phải thông qua việc in ấn hay chép qua đĩa mềm, CD ROM, … điều gây nhiều bất tiện cho người dùng Các máy tính kết nối thành mạng cho phép khả năng: • Sử dụng chung cơng cụ tiện ích • Chia sẻ kho liệu dùng chung • Tăng độ tin cậy hệ thống • Trao đổi thơng điệp, hình ảnh, • Dùng chung thiết bị ngoại vi (máy in, máy vẽ, Fax, modem …) • Giảm thiểu chi phí thời gian lại Mục đích nối mạng Ngày với lượng lớn thông tin, nhu cầu xử lý thơng tin ngày cao Mạng máy tính trở nên quen thuộc chúng ta, lĩnh vực khoa học, quân sự, quốc phòng, thương mại, dịch vụ, giáo dục Hiện nhiều nơi mạng trở thành nhu cầu thiếu Người ta thấy việc kết nối máy tính thành mạng cho khả to lớn như: Hình 1.2: Chia sẻ máy in qua mạng + Sử dụng chung tài nguyên: Những tài nguyên mạng (như thiết bị, chương trình, liệu) trở thành tài nguyên chung thành viên mạng tiếp cận mà không quan tâm tới tài nguyên đâu Người ta dễ dàng bảo trì máy móc lưu trữ (backup) liệu chung có trục trặc hệ thống chúng khơi phục nhanh chóng Trong trường hợp có trục trặc trạm làm việc người ta sử dụng trạm khác thay + Nâng cao chất lượng hiệu khai thác thơng tin: Khi thơng tin sữ dụng chung mang lại cho người sử dụng khả tổ chức lại công việc với thay đổi chất như: - Đáp ứng nhu cầu hệ thống ứng dụng kinh doanh đại - Cung cấp thống liệu - Tăng cường khả xử lý thông tin nhờ kết hợp phận phân tán - Tăng cường truy nhập tới dịch vụ mạng khác cung cấp giới Với nhu cầu đòi hỏi ngày cao xã hội nên vấn đề kỹ thuật mạng mối quan tâm hàng đầu nhà tin học Ví dụ làm để truy xuất thông tin cách nhanh chóng tối ưu nhất, việc xử lý thơng tin mạng q nhiều đơi làm tắc nghẽn mạng gây thông tin cách đáng tiếc Hiện việc có hệ thống mạng chạy thật tốt, thật an tồn với lợi ích kinh tế cao quan tâm Một vấn đề đặt có nhiều giải pháp cơng nghệ, giải pháp có nhiều yếu tố cấu thành, yếu tố có nhiều cách lựa chọn Như để đưa giải pháp hồn chỉnh, phù hợp phải trải qua trình chọn lọc dựa ưu điểm yếu tố, chi tiết nhỏ Để giải vấn đề phải dựa yêu cầu đặt dựa công nghệ để giải Nhưng công nghệ cao chưa công nghệ tốt nhất, mà công nghệ tốt công nghệ phù hợp Phân loại mạng 3.1 Mạng cục LAN Mạng máy tính cục gọi tắt LAN Các LAN bao gồm thành phần sau : + Máy tính + Các card giao tiếp mạng + Đường truyền thiết lập mạng + Các thiết bị mạng Mạng cục LAN tạo điều kiện cho cơng việc kinh doanh, dùng kỹ thuật máy tính để chia sẻ tập tin máy in cục cách hiệu mở khả truyền thơng nội Ví dụ điển hình e-mail Chúng kết dính số liệu, truyền thơng cục phương tiện tính tốn lại với Vài cơng nghệ LAN phổ dụng : + Ethernet + Token Ring + FDDI Hình 1.2 : Mơ hình mạng cục LAN 3.2 Mạng diện rộng WAN Mạng máy tính diện rộng gọi tắt WAN Các WAN liên nối LAN, từ LAN cung cấp truy xuất đến máy tính hay file server vị trí khác Bởi WAN kết nối mạng user qua phạm vi địa lý rộng lớn, nên chúng mở khả cung ứng hoạt động thông tin cự ly xa cho doanh nghiệp sử dụng WAN cho phép máy tính, máy in thiết bị khác LAN chia sẻ chia sẻ với vị trí xa WAN cung cấp truyền thông tức thời qua miền địa lý rộng lớn Khả truyền instant message đến nơi đâu giới tạo khả truyền thông tương tự dạng truyền thơng hai người vị trí địa lý Phần mềm chức cung cấp truy xuất thông tin tài nguyên thời gian thực cho phép hội họp tổ chức từ xa Thiết lập mạng diện rộng tạo lớp nhân công gọi telecommuter, người làm việc mà dời khỏi nhà Các WAN thiết kế để làm công việc sau: + Hoạt động qua vùng tách biệt mặt địa lý rộng lớn + Cho phép user có khả thông tin thời gian thực với user khác + Cung cấp kết nối liên tục tài nguyên xa vào dịch vụ cục + Cung cấp e-mail, www, FTP dịch vụ thương mại điện tử - Vài công nghệ WAN phổ biến là: + Modem + ISDN + DSL + Frame Relay + Các đường truyền dẫn số theo chuẩn Bắc Mỹ châu Âu T1, E1, T3, E3 + Mạng quang đồng SONET Hình 1.3: Mơ hình mạng diện rộng WAN 3.3 Mạng tồn cầu INTERNET Cùng với phát triển NFSNET ARPANET giao thức TCP/IP trở thành giao thức thức mạng số lượng mạng, nút muốn tham gia kết nối vào hai mạng tăng lên nhanh Rất nhiều mạng vùng kết nối với liên kết với mạng Canada, châu Âu Vào khoảng năm 1980 người ta bắt đầu thấy hình thành hệ thống liên mạng lớn mà sau gọi Internet Sự phát triển Internet tính theo cấp số nhân, năm 1990 có khoảng 200.000 máy tính với 3.000 mạng năm 1992 có khoảng 1.000.000 máy tính kết nối, đến năm 1995 có hàng trăm mạng cấp vùng, chục ngàn mạng nhiều triệu máy tính Rất nhiều mạng lớn hoạt động kết nối vào Internet mạng SPAN, NASA network, HEPNET, BITNET, IBM network, EARN Việc liên kết mạng thực thông qua nhiều đường nối có tốc độ cao Hiện máy tính gọi thành viên Internet máy tính có giao thức truyền liệu TCP/IP, có địa IP mạng gửi gói tin IP đến tất máy tính khác mạng Internet Tuy nhiên nhiều trường hợp thông qua nhà cung cấp dịch vụ Internet người sử dụng kết nối máy với máy chủ nhà phục vụ cung cấp địa tạm thời trước khai thác tài nguyên Internet Máy tính người gửi gói tin cho máy khác địa tạm thời địa trả lại cho nhà cung cấp kết thúc liên lạc Vì máy tính người sử dụng thời gian liên kết với Internet có địa IP nên người ta coi máy tính thành viên Internet Vào năm 1992 cộng đồng Internet đời nhằm thúc đẩy phát triển Internet điều hành Hiện Internet có dịch vụ chính: + Thư điện tử (Email): dịch vụ có từ mạng ARPANET thiết lập, cho phép gửi nhận thư điện tử cho thành viên khác mạng + Thông tin (News): Các vấn đề thời chuyển thành diễn đàn cho phép người quan tâm trao đổi thơng tin cho nhau, có hàng nghìn diễn đàn mặt Internet + Đăng nhập từ xa (Remote Login): Bằng chương trình Telnet, Rlogin người sử dụng từ trạm Internet đăng nhập (logon) vào trạm khác người đăng ký máy tính + Chuyển file (File transfer): Bằng chương trình FTP người sử dụng chép file từ máy tính mạng Internet tới máy tính khác Người ta chép nhiều phần mềm, sở liệu, báo cách + Dịch vụ WWW (World Wide Web): WWW dịch vụ đặc biệt cung cấp thông tin từ xa mạng Internet Các tập tin siêu văn lưu trữ máy chủ cung cấp thông tin dẫn đường mạng cho phép người sử dụng dễ dàng truy cập tập tin văn bản, đồ họa, âm Hình 1.4: Ví dụ trang Web cho phép dễ dàng khai thác trang Web khác Người sử dụng nhận thông tin dạng trang văn bản, trang đơn thể nằm máy chủ Đây dịch vụ mang lại sức thu hút to lớn cho mạng Internet, xây dựng trang Web ngôn ngữ HTML (Hypertext Markup Language) với nhiều dạng phong phú văn bản, hình vẽ, video, tiếng nói có kết nối với trang Web khác Khi trang đặt máy chủ Web thơng qua Internet người ta xem thể trang Web xem trang web khác mà đến Các phần mềm thơng dụng sử dụng để xây dựng duyệt trang Web Mosaic, Navigator Netscape, Internet Explorer Microsoft, Web Access Novell Các mơ hình mạng 4.1 Sự cần thiết phải có mơ hình truyền thơng Để mạng máy tính trở mơi trường truyền liệu cần phải có yếu tố sau: + Mỗi máy tính cần phải có địa phân biệt mạng + Việc chuyển liệu từ máy tính đến máy tính khác mạng thực thông qua quy định thống gọi giao thức mạng Khi máy tính trao đổi liệu với trình truyền giao liệu thực hoàn chỉnh Ví dụ để thực việc truyền file máy tính với máy tính khác gắn mạng công việc sau phải thực hiện: + Máy tính cần truyền cần biết địa máy nhận + Máy tính cần truyền phải xác định máy tính nhận sẵn sàng nhận thơng tin + Chương trình gửi file máy truyền cần xác định chương trình nhận file máy nhận sẵn sàng tiếp nhận file + Nếu cấu trúc file hai máy không giống máy phải làm nhiệm vụ chuyển đổi file từ dạng sang dạng + Khi truyền file máy tính truyền cần thơng báo cho mạng biết địa máy nhận để thông tin mạng đưa tới đích Điều cho thấy hai máy tính có phối hợp hoạt động mức độ cao Bây thay xét trình trình chung chia trình thành số công đoạn công đoạn hoạt động cách độc lập với Ở chương trình truyền nhận file máy tính chia thành ba module là: Module truyền nhận File, Module truyền thông Module tiếp cận mạng Hai module tương ứng thực việc trao đổi với đó: + Module truyền nhận file: cần thực tất nhiệm vụ ứng dụng truyền nhận file Ví dụ: truyền nhận thơng số file, truyền nhận mẫu tin file, thực chuyển đổi file sang dạng khác cần Module truyền nhận file không cần thiết phải trực tiếp quan tâm tới việc truyền liệu mạng mà nhiệm vụ giao cho Module truyền thông + Module truyền thông: quan tâm tới việc máy tính hoạt động sẵn sàng trao đổi thơng tin với Nó cịn kiểm soát liệu cho liệu trao đổi cách xác an tồn hai máy tính Điều có nghĩa phải truyền file nguyên tắc đảm bảo an tồn cho liệu, nhiên có vài mức độ an tồn khác dành cho ứng dụng Ở việc trao đổi liệu hai máy tính khơng phụ thuộc vào chất mạng liên kết chúng Những yêu cầu liên quan đến mạng thực module thứ ba module tiếp cận mạng mạng thay đổi có module tiếp cận mạng bị ảnh hưởng + Module tiếp cận mạng: xây dựng liên quan đến quy cách giao tiếp với mạng phụ thuộc vào chất mạng Nó đảm bảo việc truyền liệu từ máy tính đến máy tính khác mạng Như thay xét trình truyền file với nhiều yêu cầu khác tiến trình phức tạp xét q trình với nhiều tiến trình phân biệt dựa việc trao đổi Module tương ứng chương trình truyền file Cách cho phép phân tích kỹ q trình file dễ dàng việc viết chương trình Việc xét module cách độc lập với cho phép giảm độ phức tạp cho việc thiết kế cài đặt Phương pháp sử dụng rộng rãi việc xây dựng mạng chương trình truyền thơng gọi phương pháp phân tầng (layer)  Nguyên tắc phương pháp phân tầng là: + Mỗi hệ thống thành phần mạng xây dựng cấu trúc nhiều tầng có cấu trúc giống như: số lượng tầng chức tầng + Các tầng nằm chồng lên nhau, liệu trao đổi trực tiếp hai tầng kề từ tầng xuống tầng ngược lại + Cùng với việc xác định chức tầng phải xác định mối quan hệ hai tầng kề Dữ liệu truyền từ tầng cao hệ thống truyền đến tầng thấp sau truyền qua đường nối vật lý dạng bit tới tầng thấp hệ thống nhận, sau liệu truyền ngược lên đến tầng cao hệ thống nhận + Chỉ có hai tầng thấp có liên kết vật lý với cịn tầng thứ tư có liên kết logic với Liên kết logic tầng thực thông qua tầng phải tuân theo quy định chặt chẽ, quy định gọi giao thức tầng Hình 1.5: Mơ hình phân tầng gồm N tầng 4.2 Mơ hình truyền thơng đơn giản tầng Nói chung truyền thơng có tham gia thành phần: chương trình ứng dụng, chương trình truyền thơng, máy tính mạng Các chương trình ứng dụng chương trình người sử dụng thực máy tính tham gia vào q trình trao đổi thơng tin hai máy tính Trên máy tính với hệ điều hành đa nhiệm (như Windows, UNIX) thường thực đồng thời nhiều ứng dụng có ứng dụng liên quan đến mạng ứng dụng khác Các máy tính nối với trình cài đặt yêu cầu cung cấp nguồn cài đặt Windows Server 2003 để tiến hành chép tập tin tìm khơng thấy Sau trình cài đặt kết thúc, hộp thoại Completing the Active Directory Installation Wizard xuất Chúng ta nhấn chọn Finish để kết thúc Cuối cùng, yêu cầu phải khởi động lại máy thơng tin cài đặt bắt đầu có hiệu lực Chúng ta nhấn chọn nút Restart Now để khởi động lại Quá trình thăng cấp kết thúc 3.3.4.2 Gia nhập máy trạm vào Domain Giới thiệu Một máy trạm gia nhập vào domain thực việc tạo mối quan hệ tin cậy(trust relationship) máy trạm với máy Domain Controller vùng Sau thiết lập quan hệ tin cậy việc chứng thực người dùng logon vào mạng máy trạm máy điều khiển vùng đảm nhiệm Nhưng ýviệc gia nhập máy trạm vào miền phảicó đồng ýcủa người quản trị mạng cấp miền quản trịviên cục máy trạm Nói cách khác muốn gia nhập máy trạm vào miền, phải đăng nhập cục bộvào máy trạm với vai trị administrator, sau gia nhập vào miền, hệ thống yêu cầu xác thực tài khoản người dùng cấp miền có quyền Add Workstation to Domain (chúng ta dùng trực tiếp tài khoản administrator cấp miền) Các bước cài đặt Đăng nhập cục vào máy trạm với vai trị người quản trị(có thể dùng trực tiếp tài khoản administrator) Nhấp phải chuột biểu tượng My Computer, chọn Properties, hộp thoại System Properties xuất hiện, Tab Computer Name, nhấp chuột vào nút Change Hộp thoại nhập liệu xuất nhập tên miền mạng cần gia nhập vào mục Member of Domain Máy trạm dựa tên miền mà khai báo để tìm đến Domain Controller gần xin gia nhập vào mạng, Server yêu cầu xác thực với tài khoản người dùng cấp miền có quyền quản trị Sau xác thực xác hệ thống chấp nhận máy trạm gia nhập vào miền hệ thống xuất thơng báo thành công yêu cầu reboot máy lại để đăng nhập vào mạng Đến đây, thấy hộp thoại Log on to Windows mà dùng ngày có vài điều khác, xuất thêm mục Log on to, cho phép chọn hai phần là: NETCLASS, this Computer Chúng ta chọn mục NETCLASS muốn đăng nhập vào miền, nhớ lúc phải dùng tài khoản người dùng cấp miền Chúng ta chọn mục This Computer muốn logon cục bộvào máy trạm nhớ dùng tài khoản cục máy Cấu hình bảo mật Mục tiêu: - Cấu hình bảo mật - Phân tích vấn đề bảo mật - Sử dụng Snap-In Security Configuration And Analysis Windows Server 2003 cung cấp tập hợp cơng cụ cấu hình bảo mật nhằm làm đơn giản trình bảo mật mạng cơng việc phân tích kiểm sốt bảo mật mạng Các công cụ snap-in MMC tiện ích dịng lệnh Các cơng cụ giúp cho thực mức độ bảo mật thích hợp cho tổ chức giúp ln trì mức bảo mật Các thiết lập bảo mật bao gồm sách bảo mật (chính sách tài khoản sách cục bộ), điều khiển truy cập (dịch vụ, file registry), nhật ký kiện, quan hệ thành viên nhóm (restricted group), sách IPSec sách khóa cơng khai Các cơng cụ cấu hình bảo mật gồm ba snap-in tiện ích dịng lệnh: snap-in Security Configuration And Analysis, snap-in Security Templates, snap-in Group Policy tiện ích dịng lệnh Secedit + Snap-In Security Configuration And Analysis Security Configuration And Analysis snap-in MMC cho phép người quản trị kiểm tra cấu hình thiết lập máy tính thời với nhiều mẫu bảo mật lưu trữ sở liệu Các mẫu bao gồm thiết lập cho thuộc tính bảo mật hệ thống Khi chúng nhập vào sở liệu Security Configuration And Analysis, thiết lập thời phân tích cấu hình cho phù hợp với tồn mẫu nhập vào chúng cấu hình phần Khi tất thiết lập xác định, chúng xuất áp dụng cho máy tính khác, từđó làm đơn giản q trình áp dụng sách bảo mật cho tổ chức Security Configuration And Analysis hiển thị khuyến nghị bên cạnh thiết lập thời hệ thống sử dụng biểu tượng (xem Bảng 5-8) đánh dấu vùng thiết lập thời không phù hợp với mức bảo mật đề xuất Security Configuration And Analysis giúp cho cách giải không thống mà q trình phân tích phát Hình 4.49: Bảng biểu tượng Security Configuration And Analysis Hình 4.50: Kết sau sử dụng Security Configuration And Analysis + Cấu hình bảo mật Snap-in Security Configuration And Analysis sử dụng để cấu hình bảo mật hệ thống cục cách thay đổi trực tiếp thiết lập nhập vào áp dụng mẫu bảo mật (tạo từ Security Templates) cho GPO máy tính cục Trong số trường hợp khác, thiết lập bảo mật hệ thống cấu hình với mức định snap-in sử dụng mẫu + Phân tích bảo mật Theo định nghĩa tăng mức bảo mật nghĩa tăng độ phức tạp tăng vấn đề truy nhập tài nguyên hệ thống Khi người sử dụng truy nhập vào tài nguyên hệ thống vấn đề bảo mật, giải pháp thường sử dụng nới lỏng bảo mật Mặc dù nới lỏng bảo mật giải nhanh vấn đề làm cho tổ chức gặp rủi ro bảo mật Việc ngược lại sách bảo mật thường xuyên làm cho quên không quan sát bị công Để tránh điều số trường hợp khác gây lỗ hổng bảo mật, sử dụng công cụ Security Configuration And Analysis để phân tích thiết lập bảo mật máy tính dựa vào mẫu bảo mật thiết kế cho thiết lập bảo mật phù hợp + Sử dụng Snap-In Security Configuration And Analysis Người quản trị sử dụng snap-in để thay đổi sách bảo mật phát thiếu sót bảo mật tồn hệ thống Snap-In Security Configuration And Analysis cho phép thực tác vụ sau: - Phân tích bảo mật hệ thống cách so sánh thiết lập bảo mật thời với thiết lập đưa nhiều mẫu bảo mật - Xem lại kết phân tích bảo mật - Cấu hình bảo mật hệ thống cách áp dụng nhiều mẫu bảo mật - Sửa đổi cấu hình bảo mật sở - Nhập xuất mẫu bảo mật + Tiện ích Secedit Secedit phiên dòng lệnh Snap-In Security Configuration And Analysis; tương tự Snap-In, Secedit cấu hình phân tích bảo mật hệ thống cách so sánh cấu hình thời với mẫu bảo mật Secedit tiện dụng cần phân tích cấu hình bảo mật nhiều máy tính cần tiến hành tác vụ Secedit thời gian nghỉ Dưới cú pháp Secedit (6 phần) Bảng 5-9 thiết lập tương ứng secedit /configure /db FileName [/cfg FileName ] [/overwrite][/areas Area1 Area2 ] [/log FileName] [/quiet] secedit /analyze /db FileName.sdb [/cf FileName] [/overwrite] [/log FileName] [/quiet] secedit /import /db FileName.sdb /cfg FileName.inf [/overwrite] [/areas Area1 Area2 ] [/log FileName] [/quiet] Hình 4.51: Bảng Cú pháp Secedit Dưới số ví dụ lệnh Secedit: - Cấu hình máy tính sử dụng mẫu foo: secedit /configure /db foo.sdb /cfg foo.inf /log foo.log - Cấu hình mẫu rollback cho mẫu foo: secedit /generaterollback /cfg foo.inf /rbk foorollback.inf /log foorollback.log Lưu ý: Sử dụng Gpupdate thay cho secedit /refreshpolicy Lệnh Secedit /refreshpolicy thay thể lệnh Gpupdate + Snap-In Security Templates Snap-In Security Templates (Hình 5-7) cơng cụ để tạo gán mẫu bảo mật cho nhiều máy tính Như nói từ trước mẫu bảo mật file vật lý biểu diễn cấu hình bảo mật Khi nhập mẫu bảo mật vào GPO, Group Policy áp dụng mẫu bảo mật cho thành viên bên trong, bao gồm người sử dụng máy tính Hình 4.52: Snap-In Security Templates Snap-In Securrity Templates cho phép thực số tác vụ sau:  Thay đổi mẫu bảo mật có từ trước  Tạo mẫu bảo mật  Xóa mẫu bảo mật  Làm lại danh sách mẫu bảo mật  Đặt mô tả mẫu bảo mật + Snap-In Group Policy Sử dụng Group Policy để định nghĩa điều khiển chương trình, tài nguyên mạng hệ điều hành tương ứng với người sử dụng máy tính tổ chức Snap In Group Policy Object Editor (Hình 5-8) sử dụng Active Directory để cấu hình bảo mật tập trung Người quản trị sử dụng phần Security Settings Computer Configuration User Configuration để đặt sách giới hạn người sử dụng truy cập vào file thư mục, số lần người sử dụng nhập sai mật trước bị khóa, cấp quyền cho người sử dụng chẳng hạn người sử dụng đăng nhập vào máy quản trị miền Hình 4.53: Snap-In Group Policy Object Editor + Gpupdate Gpupdate làm sách thiết lập máy cục thiết lập sách lưu trữ Active Directory, bao gồm thiết lập bảo mật Sau thay đổi sách, muốn chúng áp dụng thay đợi đến thời gian cập nhật theo mặc định (90 phút máy thành viên Miền, phút máy quản trị miền) khởi động lại máy tính Để thực điều chạy tiện ích Gpupdate dấu nhắc lệnh Câu lệnh thay lựa chọn /refreshpolicy lệnh Secedit Cú pháp Bảng 5.46 mô tả tham biến lệnh Gpupdate gpupdate [/target: {computer | user }] [/force] [/wait: Value] [/logoff] [/boot] Hình 4.54: Bảng tham biến Gpupdate + Sử dụng Microsoft Baseline Securrity Analyzer (MBSA) MBSA công cụ mạnh để kiểm tra thiết lập bảo mật nhiếu máy tính Thơng thường cơng cụ nên sử dụng để kiểm tra lại tình trạng bảo mật máy tính + Sử dụng MBSA - Để sử dụng MBSA, tiến hành theo bước sau - Tải cài đặt chương trình từ web site bảo mật Microsoft theo liên kết http://www.microsoft.com/technet/security/tools/mbsahome.mspx - Khởi động chương trình từ thực đơn Start từ hình Nhấn vào liên kết Scan a Computer để quét máy tính, nhấn vảo liên kết Scan More Than One Computer để quét nhiều máy tính Chỉ định địa IP dải địa nhiều máy tính mà muốn quét sau nhấn Start Scan Kiểm tra lại kết quả, xem hình 59 sau nhấn vào liên kết để xem kết cụ thể Hình 4.55: Kết MBSA B CÂU HỎI VÀ BÀI TẬP Câu 1: Trình bày cách cài đặt hệ điều hành mạng cho Server? Câu 2: Trình bày cách cài đặt hệ điều hành mạng cho Client? Câu 3: Mạng khách/chủ (Client/server Network) gì? Trình bày ưu điểm, đặc điểm mạng Client/server ? Câu 4: Giao thức DHCP gì? Trình bày bước hoạt động giao thức này? Hướng dẫn trả lời: + Giao thức DHCP: Mỗi thiết bị mạng có dùng giao thức TCP/IP phải có địa IP hợp lệ, phân biệt Để hỗ trợ cho vấn đề theo dõi cấp phát địa IP xác, tổ chức IETF phát triển giao thức DHCP (Dynamic Host Configuration Protocol) Dịch vụ DHCP cho phép cấp động thông số cấu hình mạng cho máy trạm (client) Giao thức DHCP làm việc theo mơ hình client/server + Trình bày bước hoạt động Khi máy client khởi động, máy gửi broadcast gói tin DHCPDISCOVER, yêu cầu server phục vụ Gói tin chứa địa MAC máy client; Các máy Server mạng nhận gói tin u cầu đó, cịn khả cung cấp địa IP, gửi lại cho máy Client gói tin DHCPOFFER, đề nghị cho thuê địa IP khoảng thời gian định, kèm theo subnet mask địa Server Server không cấp phát địa IP vừa đề nghị cho Client khác suốt trình thương thuyết; Máy Client sẽlựa chọn lời đề nghị (DHCPOFFER) gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị Điều cho phép lời đề nghị không chấp nhận Server rút lại dùng đề cấp phát cho Client khác; Máy Server Client chấp nhận gửi ngược lại gói tin DHCPACK lời xác nhận, cho biết địa IP đó, subnet mask thời hạn cho sử dụng thức áp dụng Ngồi Server cịn gửi kèm theo thơng tin cấu hình bổ sung địa gateway mặc định, địa DNS Server,… Câu 5: Địa IP gì? Trình bày địa IP lớp A, lớp B, lớp C Cho ví dụ minh hoạ? + Địa IP là: Sơ đồ địa hoá để định danh trạm (host) liên mạng gọi địa IP Mỗi địa IP có độ dài 32 bits (đối với IP4) tách thành vùng (mỗi vùng byte), biểu thị dạng thập phân, bát phân, thập lục phân nhị phân Cách viết phổ biến dùng ký pháp thập phân có dấu chấm để tách vùng Mục đích địa IP để định danh cho host liên mạng + Các lớp địa IP + Địa lớp A: địa lớp A sử dụng cho mạng có số lượng máy trạm lớn, địa lớp A có đặc điểm sau: - Bít cao có giá trị - Byte cao sử dụng làm địa mạng, byte lại sử dụng làm địa máy Như vậy, mạng lớp A có khả quản lý 224-2 máy Ví dụ: 110.1.11.23 + Địa lớp B: địa lớp B sử dụng cho mạng có số lượng máy trạm trung bình, địa lớp B có đặc điểm sau: - Bít cao có giá trị 10 - Byte cao sử dụng làm địa mạng, byte lại sử dụng làm địa máy Như vậy, mạng lớp B có khả quản lý 216-2 máy Ví dụ: 131.3.110.71 + Địa lớp C : sử dụng cho mạng có số lượng máy trạm ít, địa lớp C có đặc điểm sau: - Bít cao có giá trị 110 - Byte cao sử dụng làm địa mạng, byte lại sử dụng làm địa máy Như vậy, mạng lớp C có khả quản lý 28-2 máy Ví dụ: 198.1.110.76 Câu 6: AD (Active Directory) gì? Nêu chức thành phần Active Directory? + AD (Active Directory) Là dịch vụ thư mục chứa thông tin tài nguyên mạng, mở rộng có khả tự điều chỉnh cho phép bạn quản lý tài nguyên mạng hiệu Các đối tượng AD bao gồm liệu người dùng (user data), máy in(printers), máy chủ (servers), sở liệu (databases), nhóm người dùng (groups), máy tính (computers), sách bảo mật (security policies) + Chức Active Directory - Lưu giữ danh sách tập trung tên tài khoản người dùng, mật tương ứng tài khoản máy tính - Cung cấp Server đóng vai trị chứng thực (authentication server) Server quản lý đăng nhập (logon Server), Server gọi domain controller (máy điều khiển vùng) - Duy trì bảng hướng dẫn bảng mục (index) giúp máy tính mạng dị tìm nhanh tài ngun máy tính khác vùng - Cho phép tạo tài khoản người dùng với mức độ quyền (rights) khác như: toàn quyền hệ thống mạng, có quyền backup liệu hay shutdown Server từ xa… - Cho phép chia nhỏ miền thành miền (subdomain) hay đơn vị tổ chức OU (Organizational Unit) Sau ủy quyền cho quản trị viên phận quản lý phận nhỏ + Các thành phần AD + Cấu trúc AD logic Gồm thành phần: domains (vùng), organization units (đơn vị tổ chức), trees (hệ vùng phân cấp ) forests (tập hợp hệ vùng phân cấp) - Organizational Unit hay OU đơn vị nhỏ hệ thống AD, xem vật chứa đối tượng (Object) dùng để xếp đối tượng khác phục vụ cho mục đích quản trị bạn - Domain đơn vị chức nòng cốt cấu trúc logic Active Directory Nó phương tiện để qui định tập hợp người dùng, máy tính, tài nguyên chia sẻ có qui tắc bảo mật giống từ giúp cho việc quản lý truy cập vào Server dễ dàng - Forest (rừng) xây dựng nhiều Domain Tree, nói cách khác Forest tập hợp Domain Tree có thiết lập quan hệ ủy quyền cho + Cấu trúc AD vật lý Gồm: sites domain controllers * Địa bàn (site): tập hợp hay nhiều mạng kết nối với nhau, tạo điều kiện truyền thông qua mạng dễ dàng, ấn định ranh giới vật lý xung quanh tài nguyên mạng * Điều khiển vùng (domain controllers): máy tính chạy Windows Server chứa liệu vùng Một vùng có hay nhiều điều khiển vùng Mỗi thay đổi liệu điều khiển vùng tự động cập nhật lên điều khiển khác vùng Câu 7: Vẽ sơ đồ giải thích q trình phân giải tên miền cntt.thanhnien.com.vn mạng internet? Hướng dẫn làm tập: + Vẽ sơ đồ: Sơ đồ mơ tả q trình phân giải cntt.danang.com.vn mạng Internet Gởi truy vấn địa c n tt.th a n h n ie n c o m v n Hỏi server quản lý tên miền Gởi truy vấn địa c n tt th a n h n ie n c o m v n Name Server Hỏi server quản lý tên miền e d u v n Gởi truy vấn địa c n tt th a n h n ie n c o m v n Hỏi server quản lý tên miền “.“ Name Server Name Server com.vn Name Server Kết Reslover Query th a n h n ie n c o m v n Gởi truy vấn địa c n tt th a n h n ie n c o m v n Trả lời địa IP c n tt th a n h n ie n c o m v n t h a n h n i e n c o m Name Server Resolver (Client) + Giải thích Client gửi yêu cầu cần phân giải địa IP máy tính có tên cntt thanhnien.com.vn đến name server cục Khi nhận yêu cầu từ Resolver, Name Server cục phân tích tên xét xem tên miền có quản lý hay khơng Nếu tên miền Server cục quản lý, trả lời địa IP tên máy cho Resolver Ngược lại, server cục truy vấn đến Root Name Server gần mà biết Root Name Server trả lời địa IP Name Server quản lý miền Máy chủ name server cục lại hỏi tiếp name server quản lý miền tham chiếu đến máy chủ quản lý miền com.vn Máy chủ quản lý com.vn dẫn máy name server cục tham chiếu đến máy chủ quản lý miền thanhnien.com.vn Cuối máy name server cục truy vấn máy chủ quản lý miền thanhnien.com.vn nhận câu trả lời Câu 8: Từ máy tính PC A gõ truy vấn tên miền www.abc.com, trình bày cách thức DNS SERVER liên lạc với để xác định câu trả lời trường hợp ROOT SERVER kết nối trực tiếp với server tên miền cần truy vấn (xem sơ đồ bên dưới) Vẽ sơ đồ trình tự trình bày bước truy vấn Hướng dẫn làm tập: + Cách thức DNS SERVER liên lạc với để xác định câu trả lời trường hợp Root server kết nối trực tiếp với server tên miền cần truy vấn bước truy vấn sau: Bước 1: PC A truy vấn DNS server tên miền cntt.com.vn (là local name server) tên miền www.abc.com Bước 2: DNS server tên miền cntt.com.vn không quản lý tên miền www.abc.com chuyển truy vấn lên root server Bước 3: Root server xác định dns server quản lý tên miền www.abc.com server dns.abc.com chuyển truy vấn đến dns server dns.abc.com để trả lời Bước 4: DNS server dns.abc.com xác định ghi www.abc.com trả lời lại root server Bước 5: Root server chuyển câu trả lời lại cho server cntt.com.vn Bước 6: DNS server cntt.com.vn chuyển câu trả lời cho PC A từ PC A kết nối đến PC B (quản lý www.abc.com) + Vẽ lại sơ đồ trình tự bước truy vấn sau: Root Server cntt.com.vn abc.com PC A www.abc.com TÀI LIỆU THAM KHẢO Hoàn Vũ (Biên soạn), Ks Nguyễn Công Sơn (Chỉ biên) Hướng dẫn Quản trị mạng Microsoft Server 2003 NXB Tổng hợp TP Hồ Chí Minh 08/2005 Th.s Ngơ Bá Hùng Giáo trình thiết kế cài đặt mạng Khoa CNTT Đại học Cần Thơ 2005 Nguyễn Hồng Sơn Giáo trình hệ thống mạng máy tính CCNA semester NXB Lao động - Xã hội Hải Anh, Thanh Hải Tự học thiết kế xây dựng mạng máy tính NXB Văn hóa - Thơng tin Đức Minh, Hùng Minh Tự học quản trị mạng tìm hiểu thiết bị mạng NXB Văn hóa - Thơng tin Lê Tự Thanh Giáo trình hệ điều hành windows server 2003 NXB Thông tin truyền thông