Đề cương môn Quản trị mang Mục lục MỤC LỤC CHƯƠNG 1: GIỚI THIỆU VÀ CÀI ĐẶT WINDOWS SERVER 2003 1.1 Tổng quan họ hệ điều hành windows server 2003 1.2 Chuẩn bị cài đặt windows server 2003 1.2.1 Yêu cầu phần cứng 1.2.3 Phân chia ổ đĩa 10 1.2.5 Chọn hệ thống tập tin 11 1.2.6 Chọn chế độ sử dụng giấy phép 11 1.2.7 Chọn phương án kết nối mạng 12 1.2.7.1 Các giao thức kết nối mạng 12 1.2.7.2 Thành viên Workgroup Domain 12 1.3 Cài đặt windows server 2003 12 1.3.1 Giai đoạn Preinstallation 12 1.3.1.1 Cài đặt từ hệ điều hành khác 12 1.3.1.2 Cài đặt trực tiếp từ đĩa CD Windows 2003 12 1.3.1.3 Cài đặt Windows 2003 Server từ mạng 13 1.3.2 Giai đoạn Text-Based Setup 13 CHƯƠNG 2: ACTIVE DIRECTORY 19 2.1 Các mơ hình mạng môi trƣờng microsoft 19 2.1.1 Mơ hình Workgroup 19 2.1.2 Mơ hình Domain: 19 2.2 Active Directory 20 2.2.1 Giới thiệu Active Directory 20 2.2.2 Chức Active Directory 20 2.2.3 Directory Services 21 2.2.3.1 Giới thiệu Directory Services 21 2.2.3.2 Các thành phần Directory Services 21 2.2.3.4 Kiến trúc Active Directory 23 2.2.3.4 Domain 24 2.3 Cài đặt cấu hình active directory 26 2.3.1 Nâng cấp Server thành Domain Controller 26 2.3.1.1 Giới thiệu 26 2.3.1.2 Các bước cài đặt 27 2.3.2 Gia nhập máy trạm vào Domain 33 2.3.2.1 Giới thiệu 33 2.3.2.2 Các bước cài đặt 33 2.3.3 Xây dựng Domain Controller đồng hành 34 2.3.3.1 Giới thiệu 34 2.3.3.2 Các bước cài đặt 35 2.3.3 Xây dựng Subdomain 38 2.3.4 Xây dựng Organizational Unit 40 2.3.5 Công cụ quản trị đối tượng Active Directory 42 CHƯƠNG 3: QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM 44 3.1 Định nghĩa tài khoản ngƣời dùng tài khoản nhóm 44 3.1.1 Tài khoản người dùng 44 3.1.1.1 Tài khoản người dùng cục 44 3.1.1.2 Tài khoản người dùng miền 44 3.1.1.3 Yêu cầu tài khoản người dùng 45 Đề cương môn Quản trị mang 3.1.2 Tài khoản nhóm 45 3.1.2.1 Nhóm bảo mật 45 3.1.2.2 Nhóm phân phối 46 3.1.2.3 Qui tắc gia nhập nhóm 46 3.2 Chứng thực kiểm soát truy cập 47 3.2.1 Các giao thức chứng thực 47 3.2.2 Số nhận diện bảo mật SID 47 3.2.3 Kiểm soát hoạt động truy cập đối tượng 48 3.3 Các tài khoản tạo sẵn 48 3.3.1 Tài khoản người dùng tạo sẵn 48 3.3.2 Tài khoản nhóm Domain Local tạo sẵn 49 3.3.3 Tài khoản nhóm Global tạo sẵn 51 3.3.3 Các nhóm tạo sẵn đặc biệt 52 3.3 Quản lý tài khoản ngƣời dùng nhóm cục 52 3.3.1 Công cụ quản lý tài khoản người dùng cục 52 3.3.2 Các thao tác tài khoản người dùng cục 54 3.3.2.1 Tạo tài khoản 54 3.3.2.2 Xóa tài khoản 54 3.3.2.3 Khóa tài khoản 55 3.3.2.3 Đổi tên tài khoản 55 3.3.2.5 Thay đổi mật 56 3.5 Quản lý tài khoản ngƣời dùng nhóm active directory 56 3.5.1 Tạo tài khoản người dùng 56 3.5.2 Các thuộc tính tài khoản người dùng 57 3.5.2.1 Các thông tin mở rộng người dùng 58 3.5.2.2 Tab Account 59 3.5.2.3 Tab Profile 62 3.5.2.3 Tab Member Of 64 3.5.2.5 Tab Dial-in 65 3.5.3 Tạo tài khoản nhóm 66 3.5.3 Các tiện ích dòng lệnh quản lý tài khoản người dùng 66 3.5.5 Tài khoản nhóm 67 3.5.5.1 Lệnh net user: 67 3.5.5.2 Lệnh net group 68 3.5.5.3 Lệnh net localgroup 69 3.5.5.3 Các lệnh hỗ trợ dịch vụ AD môi trường Windows Server 2003 69 CHƯƠNG CHÍNH SÁCH NHĨM 71 Giới thiệu 71 1.1 So sánh System Policy Group Policy 71 1.2 Chức Group Policy 71 Triển khai sách nhóm miền 72 2.1 Xem sách cục máy tính xa 73 2.2 Tạo sách miền 73 5.3 Một số minh họa GPO ngƣời dùng cấu hình máy 75 4.3.1 Khai báo logon script dùng sách nhóm 75 4.3.2 Hạn chế chức Internet Explorer 77 4.3.3 Chỉ cho phép số ứng dụng thi hành 78 CHƯƠNG 5.QUẢN LÝ ĐĨA 79 5.1 Cấu hình hệ thống tập tin 79 5.2 Cấu hình đĩa lƣu trữ 79 5.2.1 Basic storage 79 5.2.2 Dynamic storage 80 Đề cương môn Quản trị mang 5.2.2.1 Volume simple 80 5.2.2.2 Volume spanned 80 5.2.2.3 Volume striped 81 5.2.2.3 Volume mirrored 81 5.2.2.5 Volume RAID-5 82 5.3 Sử dụng chƣơng trình disk Manager 82 5.3.1 Xem thuộc tính đĩa 82 5.3.2 Xem thuộc tính volume đĩa cục 83 5.3.2.1 Tab Sharing 83 5.3.2.2 Tab Security 84 5.3.2.3 Tab Quota 84 5.3.2.3 Shadow Copies 85 5.3.3 Bổ sung thêm ổ đĩa 85 5.3.3.1 Máy tính khơng hỗ trợ tính “Hot Swap” 85 5.3.3.2 Máy tính hỗ trợ “hot swap” 85 5.3.3 Tạo Partition/Volume 85 5.3.5 Thay đổi ký tự ổ đĩa đường dẫn 88 5.3.6 Xoá Partition/Volume 88 5.3.7 Cấu hình Dynamic Storage 89 5.3.7.1 Chuyển chế độ lưu trữ 89 5.3.7.2 Tạo Volume Spanned 90 5.3.7.3 Tạo Volume Striped 91 5.3.7.3 Tạo Volume Mirrored 92 5.3.7.5 Tạo Volume Raid-5 92 5.3 Quản lý việc nén liệu 93 5.5 Thiết lập hạn ngạch đĩa (Disk Quota) 94 5.5.1 Cấu hình hạn ngạch đĩa 94 5.5.2 Thiết lập hạn ngạch mặc định 95 5.5.3 Chỉ định hạn ngạch cho cá nhân 96 5.6 Mã hoá liệu EFS 96 CHƯƠNG 6: TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG 98 6.1 tạo thƣ mục dùng chung 98 6.1.1 Chia sẻ thư mục dùng chung 98 6.1.2 Cấu hình Share Permissions 99 6.1.3 Chia sẻ thư mục dùng lệnh netshare 100 6.2 Quản lý thƣ mục dùng chung 100 6.2.1 Xem thư mục dùng chung 100 6.2.2 Xem phiên làm việc thư mục dùng chung 101 6.3 Quyền truy cập NTFS 101 6.3.1 Các quyền truy cập NTFS 102 6.3.2 Gán quyền truy cập NTFS thư mục dùng chung 102 6.3.3 Kế thừa thay quyền đối tượng 104 6.3.5 Thay đổi quyền di chuyển thư mục tập tin 105 6.3.6 Giám sát người dùng truy cập thư mục 105 6.3.7 Thay đổi người sở hữu thư mục 106 6.3 DFS 106 6.3.1 So sánh hai loại DFS 106 6.3.2 Cài đặt Fault-tolerant DFS 107 CHƯƠNG 7: DỊCH VỤ DHCP 110 7.1 giới thiệu dịch vụ DHCP 110 7.2 Hoạt động giao thức DHCP 110 7.3 Cài đặt dịch vụ DHCP 111 Đề cương môn Quản trị mang 7.3 Chứng thực dịch vụ dhcp Active Directory 112 7.5 Cấu hình dịch vụ DHCP 112 7.6 Cấu hình tuỳ chọn DHCP 117 7.7 Cấu hình dành riêng địa 117 CHƯƠNG DỊCH VỤ ROUTING AND REMOTE ACCESS - RAS 119 8.1 Xây dựng remote Access Server 119 8.1.1 Cấu hình RAS server 119 8.1.2 Cấu hình RAS client 125 8.2 Xây dựng internet Connection Server 126 8.2.1 Cấu hình server 126 8.2.2 Cấu hình máy trạm 130 CHƯƠNG DỊCH VỤ DNS 131 9.1 Tổng quan DNS 131 9.1.1 Giới thiệu DNS 131 9.1.2 Đặc điểm DNS Windows 2003 133 9.2 Cách phân bổ liệu quản lý Domain Name 133 9.3 Cơ chế phân giải tên 133 9.3.1 Phân giải tên thành IP 133 9.3.2 Phân giải IP thành tên máy tính 135 9.3 Một số Khái niệm 136 9.3.1 Domain name zone 136 9.3.2 Fully Qualified Domain Name (FQDN) 137 9.3.3 Sự ủy quyền(Delegation) 137 9.3.3 Forwarders 137 9.3.5 Stub zone 138 9.3.6 Dynamic DNS 138 9.3.7 Active Directory-integrated zone 139 9.5 Phân loại Domain Name Server 140 9.5.1 Primary Name Server 140 9.5.2 Secondary Name Server 140 9.5.3 Caching Name Server 141 9.6 Resource Record (RR) 141 9.6.1 SOA(Start of Authority) 142 9.6.2 NS (Name Server) 143 9.6.3 A (Address) CNAME (Canonical Name) 143 9.6.4 AAAA 143 9.6.5 SRV 143 9.6.6 MX (Mail Exchange) 144 9.6.7 PTR (Pointer) 145 9.7 Cài đặt cấu hình dịch vụ DNS 145 9.7.1.Các bước cài đặt dịch vụ DNS 145 9.7.2 Cấu hình dịch vụ DNS 146 9.7.2.1 Tạo Forward Lookup Zones 147 9.7.2.2 Tạo Reverse Lookup Zone 148 9.7.2.3 Tạo Resource Record(RR) 149 9.7.2.3 Kiểm tra hoạt động dịch vụ DNS 153 9.7.2.5 Tạo miền con(Subdomain) 156 9.7.2.6 Ủy quyền cho miền 156 Đề cương môn Quản trị mang 9.7.2.7 Tạo Secondary Zone 157 9.7.2.8 Tạo zone tích hợp với Active Directory 160 9.7.2.9 Thay đổi số tùy chọn Name Server 162 9.7.2.9 Theo dõi kiện log DNS 166 CHƯƠNG 10 DỊCH VỤ WEB 167 10.1 Giao thức HTTP 167 10.2 Nguyên tắc hoạt động Web Server 167 10.2.1 Cơ chế nhận kết nối 168 10.2.2 Web Client 168 10.2.3 Web động 169 10.3 Đặc điểm IIS 60 169 10.3.1 Các thành phần IIS 169 10.3.2 IIS Isolation mode 170 10.3.3 Chế độ Worker process isolation 170 10.3.3.1 IIS 50 Isolation Mode 171 10.3.3.2 So sánh chức IIS 60 mode 172 10.3.3 Nâng cao tính bảo mật 173 10.3.5 Hỗ trợ ứng dụng công cụ quản trị 174 10.3 Cài đặt cấu hình IIS 60 174 10.3.1 Cài đặt IIS 60 Web Service 174 10.3.2 Cấu hình IIS 60 Web service 177 10.3.2.1 Một số thuộc tính 178 10.3.2.2 Tạo Web site 180 10.3.2.3 Tạo Virtual Directory 182 10.3.2.3 Cấu hình bảo mật cho Web Site 183 10.3.2.5 Cấu hình Web Service Extensions 185 10.3.2.6 Cấu hình Web Hosting 186 10.3.2.7 Cấu hình IIS qua mạng (Web Interface for Remote Administration) 188 10.3.2.8 Quản lý Web site dòng lệnh 190 10.3.2.9 Sao lưu phục hồi cấu hình Web Site 190 10.3.2.10 Cấu hình Forum cho Web Site 192 CHƯƠNG 11: TƯỜNG LỬA - FIREWALL 194 11.1 Firewall 194 11.1.1 Giới thiệu Firewall 194 11.1.2 Kiến Trúc Của Firewall 195 11.1.2.1 Kiến trúc Dual-homed host 195 11.1.2.2 Kiến trúc Screened Host 195 11.1.2.3 Sreened Subnet 196 11.1.3 Các loại firewall cách hoạt động 197 11.1.3.1 Packet filtering (Bộ lọc gói tin) 197 11.1.3.2 Application gateway 198 11.2 Giới Thiệu ISA 2006 200 11.3 Đặc Điểm Của ISA 2006 200 11.3 Cài Đặt ISA 2006 201 11.3.1 Yêu cầu cài đặt 201 11.3.2 Quá trình cài đặt ISA 2006 201 11.3.2.1 Cài đặt ISA máy chủ card mạng 201 11.3.2.2 Cài đặt ISA máy chủ có nhiều card mạng 203 11.5 Cấu hình ISA Server 208 11.5.1 Một số thông tin cấu hình mặc định 208 11.5.2 Một số sách mặc định hệ thống 209 11.5.3 Cấu hình Web proxy cho ISA 210 Đề cương môn Quản trị mang 11.5.3 Tạo Và Sử Dụng Firewall Access Policy 212 11.5.3.1 Tạo Access Rule 213 11.5.3.2 Thay đổi thuộc tính Access Rule 215 11.5.5 Publishing Network Services 216 11.5.5.1 Web Publishing and Server Publishing 216 11.5.5.2 Publish Web server 217 11.5.5.3 Publish Mail Server 220 11.5.5.3 Tạo luật để publish Server 222 11.5.6 Kiểm tra trạng thái lọc ứng dụng 223 11.5.6.1 Lập lọc ứng dụng 223 11.5.6.2 Thiết lập lọc Web 226 11.5.6.3 Phát Hiện Và Ngăn Ngừa Tấn Công 228 11.5.7 Một số công cụ bảo mật 230 11.5.7.1 Download Security 230 11.5.7.2 Surfcontrol Web Filter 232 11.5.8 Thiết lập Network Rule 232 11.5.8.1 Thay đổi thuộc tính Network Rule 233 11.5.8.2 Tạo Network Rule 233 11.5.9 Thiết lập Cache, quản lý theo dõi traffic 234 11.5.9.1 Thiết lập Cache 234 11.5.9.2 Thay đổi tùy chọn vùng Cache 235 11.5.9.3 Tạo Cache Rule 236 11.5.9.3 Quản lý theo dõi traffic 238 Đề cương môn Quản trị mang CHƢƠNG 1: GIỚI THIỆU VÀ CÀI ĐẶT WINDOWS SERVER 2003 1.1 Tổng quan họ hệ điều hành windows server 2003 Như biết họ hệ điều hành Windows 2000 Server có phiên là: Windows 2000 Server, Windows 2000 Advanced Server, Windows 2000 Datacenter Server Với phiên Microsoft bổ sung tính mở rộng cho loại dịch vụ Đến họ Server 2003 đời Mircosoft dựa tính phiên để phân loại có nhiều phiên họ Server 2003 tung thị trường Nhưng phiên sử dụng rộng rãi là: Windows Server 2003 Standard Edition, Enterprise Edition, Datacenter Edition, Web Edition So với phiên 2000 họ hệ điều hành Server phiên 2003 có đặc tính sau: - Khả kết chùm Server để san sẻ tải (Network Load Balancing Clusters) cài đặt nóng RAM (hot swap) - Windows Server 2003 hỗ trợ hệ điều hành WinXP tốt như: hiểu sách nhóm (group policy) thiết lập WinXP, có cơng cụ quản trị mạng đầy đủ tính chạy WinXP - Tính Mail Server tính hợp sẵn: công ty nhỏ không đủ chi phí để mua Exchange để xây dựng Mail Server sử dụng dịch vụ POP3 SMTP tích hợp sẵn vào Windows Server 2003 để làm hệ thống mail đơn giản phục vụ cho công ty - Cung cấp miễn phí hệ sở liệu thu gọn MSDE (Mircosoft Database Engine) cắt xén từ SQL Server 2000.Tuy MSDE khơng có cơng cụ quản trị giúp ích cho cơng ty nhỏ triển khai ứng dụng liên quan đến sở liệu mà khơng phải tốn chi phí nhiều để mua SQL Server - NAT Traversal hỗ trợ IPSec cải tiến mơi trường 2003 này, cho phép máy bên mạng nội thực kết nối peer-to-peer đến máy bên ngồi Internet, đặt biệt thơng tin truyền máy mã hóa hồn tồn - Bổ sung thêm tính NetBIOS over TCP/IP cho dịch vụ RRAS (Routing and Remote Access) Tính cho phép bạn duyệt máy tính mạng xa thơng qua cơng cụ Network Neighborhood - Phiên Active Directory 1.1 đời cho phép ủy quyền gốc rừng với đồng thời việc backup liệu Active Directory dễ dàng - Hỗ trợ tốt công tác quản trị từ xa Windows 2003 cải tiến RDP (Remote Desktop Protocol) truyền đường truyền 40Kbps Web Admin đời giúp người dùng quản trị Server từ xa thông qua dịch vụ Web cách trực quan dễ dàng Đề cương môn Quản trị mang Hỗ trợ môi trường quản trị Server thơng qua dịng lệnh phong phú Các Cluster NTFS có kích thước khác với Windows 2000 Server hỗ trợ - 4KB - Cho phép tạo nhiều gốc DFS (Distributed File System) Server Đặc tính Web Edition Edition Standard Edition Enterprise Edition Datacenter YES NO NO YES NETFrameWork Internet Information Service (IIS) 6.0 YES YES NO NO Hỗ trợ kết nối NO YES YES YES YES YES NO NO YES NO YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES NO YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES YES Act as a Domain Controller in the Active Directory Microsoft Meta Directory Service (MMS) Support Network Load Balancing ASP.Net EnterPrise UDDI Service Server Cluster Virtual Private Network (VPN) Support Internet Authentication Service ( IAS) IPV6 Distributed File System (DFS) EnCrypting File System (EFS) Shadow Copy Restore Removable Remote Storage Fax Service Service for Macintosh Print Services for Unix Terminal Services IntelliMirror Remote OS Installation (RIS) 1.2 Chuẩn bị cài đặt windows server 2003 Hoạch định chuẩn bị đầy đủ yếu tố quan trọng định q trình cài đặt có trơn tru hay khơng Trước cài đặt, bạn phải biết cần có để cài đặt thành cơng bạn có tất thơng tin cần thiết để cung cấp cho q trình Đề cương mơn Quản trị mang cài đặt Để lên kế hoạch cho việc nâng cấp cài Server bạn nên tham khảo hướng dẫn từ Microsoft Windows Server 2003 Deployment Kit Các thông tin cần biết trước nâng cấp cài hệ điều hành: - Phần cứng đáp ứng yêu cầu Windows Server 2003 - Làm để biết phần cứng hệ thống có Windows Server 2003 hỗ trợ hay khơng - Điểm khác biệt cách cài đặt cách nâng cấp (upgrade) Những lựa chọn cài đặt thích hợp với hệ thống bạn, chẳng hạn chiến lược chia partition đĩa, bạn sử dụng hệ thống tập tin nào… 1.2.1 Yêu cầu phần cứng Dung Lượng RAM tối thiểu 256MB 128MB Edition Web 256MB 128MB Edition Stanđar 256MB 128MB Eerdition EnterPrise 1GB 512MB Edition Datacent Đặc tính Dung lượng RAM gợi ý 550MHz 733MHz 2GB 64 GB cho máy dòng x86, 512 GB cho máy dòng Itanium 400MHz cho máy dòng x86, 733MHz cho máy dòng Itanium 733MHz đến 32 CPU cho máy dòng x86 32 bit 64 CPU cho máy dòng Itanium 1.5GB cho máy dòng x86, 2GB cho máy dòng Itanium Dung lượng RAM hỗ trợ tối đa 550MH 133MH Tốc độ CPU gợi Ý 1.5GB Tốc độ tối thiểu CPU Hỗ trợ nhiều CPU 1.5GB 1.5GB cho máy dòng x86, 2GB cho máy dòng Itanium 32GB cho máy dòng 4GB x86, 64GB cho máy dòng Itanium 133MHz cho máy dòng 133MHz x86, 733MHz cho máy dòng Itanium Dung lượng đĩa chống phục vụ cho trình cài đặt Tương thích phần cứng: Một bước quan trọng trước nâng cấp cài đặt Server bạn kiểm tra xem phần cứng máy tính có tương thích với sản phẩm hệ điều hành họ Windows Server 2003 Bạn làm việc cách chạy chương trình kiểm tra tương thích có sẵn đĩa CD từ trang Web Catalog Nếu chạy chương trình kiểm tra từ đĩa CD, dấu nhắc lệnh nhập: \i386\winnt32 Đề cương môn Quản trị mang /checkupgradeonly Cài đặt nâng cấp: Trong số trường hợp hệ thống Server hoạt động tốt, ứng dụng liệu quan trọng lưu trữ Server này, theo yêu cầu phải nâng cấp hệ điều hành Server thành Windows Server 2003 Chúng ta cần xem xét nên nâng cấp hệ điều hành đồng thời giữ lại ứng dùng liệu hay cài đặt hệ điều hành sau cấu hình cài đặt ứng dụng lại Đây vấn đề cần xem xét lựa chọn cho hợp lý * Các điểm cần xem xét nâng cấp: - Với nâng cấp (upgrade) việc cấu hình Server đơn giản, thông tin bạn giữ lại như: người dùng (users), cấu hình (settings), nhóm (groups), quyền hệ thống (rights), quyền truy cập (permissions)… - Với nâng cấp bạn khơng cần cài lại ứng dụng, có thay đổi lớn đĩa cứng bạn cần backup liệu trước nâng cấp - Trước nâng cấp bạn cần xem hệ điều hành có nằm danh sách hệ điều hành hỗ trợ nâng cấp thành Windows Server 2003 không ? Trong số trường hợp đặc biệt bạn cần nâng cấp máy tính làm chức Domain Controller nâng cấp máy tính có phần mềm quan trọng bạn nên tham khảo thêm thơng tin hướng dẫn Microsoft chứa thư mục \Docs đĩa CD Windows Server 2003 Enterprise Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise Edition: - Windows NT Server 3.0 với Service Pack lớn - Windows NT Server 3.0, Terminal Server Edition, với Service Pack Windows NT Server 3.0, Enterprise Edition, với Service Pack lớn Windows 2000 Server Windows 2000 Advanced Server Windows Server 2003, Standard Edition - 1.2.3 Phân chia ổ đĩa Đây việc phân chia ổ đĩa vật lý thành partition logic Khi chia partition, bạn phải quan tâm yếu tố sau: - Lƣợng không gian cần cấp phát: bạn phải biết không gian chiếm dụng hệ điều hành, chương trình ứng dụng, liệu có phát sinh - Partition system boot: cài đặt Windows 2003 Server lưu hai vị trí partition system partition boot Partition system nơi chứa tập tin giúp cho việc khởi động Windows 2003 Server Các tập tin không chiếm nhiều không gian đĩa Theo mặc định, partition active máy tính chọn làm partition system, vốn thường ổ đĩa C: Partition boot nơi chứa tập tin 10 Đề cương môn Quản trị mang kết nối user bên truy xuất vào Web publishing nội bộ, Link Translation dictionary tạo ta kích hoạt (enable) link translation cho Web Publishing Rule Một số Link Translator dictionary mặc định: - Bất kỳ kiện xảy Web Site định Tab To Web Publishing Rule thay tên Web Site (hoặc địa IP) Ví dụ, ta đặt luật cho Web Publishing chuyển tất incoming request theo địa http://www.microsoft.com Client truy xuất vào ISA Server chuyển tới Web Server nội có tên SERVER1 (có địa chỉ192.168.1.1), ISA Server thay tất response http://SERVER1 thành địa http://www.microsoft.com gởi trả lại cho Client bên ngồi - Nếu khơng định port mặc định Web listener, port gởi trả lại cho Client Ví dụ, có định port mặc định Web listener thơng số port loại bỏ thay địa URL trang trả (response page) Nếu Web listener lắng nghe (listening) port 88 giao thức TCP thơng tin trả cho Web Client có chứa giá trị port 88 giao thức TCP - Nếu Client sử dụng HTTPS gởi yêu cầu đến ISA firewall firewall thay HTTP thành HTTPS gởi trả Client - Ví dụ: Giả sử ISA firewall publish site máy có tên SERVER1 ISA firewall publish site sử dụng tên (public name) www.msfirewall.org/docs External Web client gởi request với thông tin “GET /docs HTTP/1.1Host: www.msfirewall.org” Khi Internet Information Services (IIS) Server nhận request tự động trả mã số 302 response với header mô tả http://SERVER1/docs/, tên nội (Internal Name) Web server Link Translator ISA firewall thay đổi (translates) header trả lời (response header) với giá trị http://www.msfirewall.org/docs/ Trong ví dụ số thơng tin (entries) tự động thêm vào Link Translation dictionary: http://SERVER1 > http://www.msfirewall.org http://SERVER1:80 > http://www.msfirewall.org https://SERVER1 > https://www.msfirewall.org https://SERVER1:443 > https://www.msfirewall.org - Nếu ISA firewall publish site sử dụng Web listener port mặc định (nondefault ports) (ví dụ: 85 cho HTTP 885 cho SSL),thì địa URL thay đổi sau theo mục ánh xạ địa URL sau: http://SERVER1 > http://www.msfirewall.org:85 http://SERVER1:80 > http://www.msfirewall.org:85 https://SERVER1 > https://www.msfirewall.org:885 https://SERVER1:443 > https://www.msfirewall.org:885 227 Đề cương môn Quản trị mang 11.5.6.3 Phát Hiện Và Ngăn Ngừa Tấn Công Một số phƣơng thức công thông dụng: Denial-of-Service Attacks: Là kiểu công lợi hại, với kiểu cơng ,bạn cần máy tính kết nối đến internet thực việc công đối phương thực chất DoS attacker chiếm dụng lượng lớn tài nguyên Server làm cho Server đáp ứng yêu cầu người dùng khác Server nhanh chóng bị ngừng hoạt động hay bị treo Attacker làm tràn ngập hệ thống tin nhắn, tiến trình, hay gửi yêu cầu đến hệ thống mạng từ buộc hệ thống mạng sử dụng tất thời gian để tin nhắn yêu cầu nhiều lúc dẫn đến việc bị tràn nhớ Khi làm tràn ngập liệu cách đơn giản thơng thường để phủ nhận dịch vụ attacker khơng ngoan tắt dịch vụ, định hướng lại thay theo chiều hướng có lợi cho attacker SYN Attack/LAND Attack: cách lợi dụng chế bắt tay số dịch vụ dựa chuẩn giao thức TCP, Client công theo kiểu SYN attack cách gởi loạt SYN packets mà có địa nguồn giả, điều Client làm tràn ngập (flooded) hàng đợi ACK gói SYN/ACK gởi cho Client từ Server, đến lúc Server bị q tải Ngồi cịn có số phương thức cơng khác như: Ping of Death, Teardrop, Ping Flood (ICMP Flood), SMURF Attack, UDP Bomb, UDP Snork Attack, WinNuke (Windows Out-of-Band Attack), Mail Bomb Attack, Scanning and Spoofing, Port Scan Để cho phép ISA Firewall dectect ngăn số phương thức công ta truy xuất vào hộp thoại Intrusion Detection cách mở giao diện “Microsoft Internet Security and Acceleration Server 2004 management console”, chọn nút Configuration Chọn nút General, sau ta nhấp chuột vào liên kết “Enable Intrusion Detection and DNS Attack Detection” (tham khảo hình 11.33) 228 Đề cương mơn Quản trị mang Hình 11.33: Phát số chế công Chọn DNS Attacks Tab để hiệu chỉnh số phương thức ngăn, ngừa cơng theo dịch vụ DNS (tham khảo hình 11.34 ) Hình 11.34: Phát ngăn cơng DNS IP option filtering Ta thiết lập số lọc cho giao thức IP để chống lại số chế công dựa vào số tùy chọn giao thức Để cấu hình ta chọn liên kết Define IP preferences nút Configuration (tham khảo hình 11.35) 229 Đề cương mơn Quản trị mang Hình 5.35: IP option filtering 11.5.7 Một số công cụ bảo mật 11.5.7.1 Download Security DownloadSecurity cơng cụ tích hợp với ISA tổ chức GFI Software LtdGFI phát triển DownloadSecurity thiết kế để tăng cường khả kiểm sốt quản lý thơng tin download từ Internet Một số chức DownloadSecurity: - Scan viruses cho tất tập tin download từ internet - Tự động cập nhật Anti-virus signature - Tự động kiểm tra số loại file nguy hiểm *.exe, *.doc,… Cung cấp chế cảnh báo an ninh cho người quản trị - Được tích hợp với ISA Firewall, dễ quản lý cấu hình Tính hiệu cao việc thực số chức lọc nội dung, chống virus, kiểm soát truy xuất internet - Cung cấp chế cảnh báo user trình duyệt chặn số ActiveX Control Java applet nguy hiểm - Phân tích đoạn code thực thi nguy hiểm để chống Trojans - Cấu hình ISA Web Filtering Mặc định sau ta cài phần mềm DownloadSecurity, DownloadSecurity tự động kích hoạt để hỗ trợ thiết lập lọc Web Filters Để hiệu chỉnh lọc ta chọn Configuration | Add-ins | Web Filters | GFI DownloadSecurity Filter | Configuration Tab (tham khảo Hình 11.36) - Do not scan these URLs: Chỉ định danh sách địa URL không cần kiểm tra nội dung virus - Scan these Content types: Chỉ định loại nội dung cần kiểm tra bao gồm đoạn code thực thi, Java applets, ActiveX Control 230 Đề cương môn Quản trị mang Hình 11.36: Download security Web Filter Thiết lập sách kiểm tra download để giới hạn cô lập loại file, dung lượng file download,… để thay đổi luật download mặc định hệ thống cách chọn Start | Programs | GFI DownloadSecurity | DownloadSecurity Configuration | Download Checking, Nhấp đơi chuột vào rule có tên “Default Attachment Download Checking Rule” (tham khảo hình 11.37) General Tab: Cho phép lựa chọn số chế độ cấm download, cấm download tập tin có dung lượng lớn dung lượng định nghĩa Actions Tab: Hiệu chỉnh Action cấm thông báo Mail, quản lý thông báo qua mail, ghi nhận nhật ký,… Users/Folders Tab: Chọn User thư mục cần thiết để thiết lập luật Hình 5.37: Thay đổi thuộc tính Download checking rule Cấu hình kiểm tra Virus, chống Trojans: DownloadSecurity tích hợp sẵn chương trình kiểm tra quét virus cho file download, chương trình cập nhận thường xuyên để ngăn chặn cơng loại Virus Ngồi DownloadSecurity cịn tích hợp số scanners để scan kiểm tra Trojans, đoạn mã thực thi nguy hiểm (Executable) Để thay đổi hiệu chỉnh số kiểm tra Virus (Virus Engine) ta chọn Start | Programs | GFI DownloadSecurity | DownloadSecurity Configuration | Virus Scanning Engines, Nhấp đôi chuột vào engine cụ thể (Hình 11.38) 231 Đề cương mơn Quản trị mang hình 5.38: Hiệu chỉnh thuộc tính Virus Control Engine 11.5.7.2 Surfcontrol Web Filter SurfControl Web Filter giúp nâng cao tính bảo mật, tối ưu hóa băng thơng hệ thống SurfControl Web Filter thiết sẵn group đối tượng phép ta quản lý thiết lập luật để giới hạn truy xuất Internet dễ dàng Một số công cụ hỗ trợ SurfControl Web Filter: - Monitor: Cung cấp số cách theo dõi giám sát traffic user mạng, thông tin giám sát hoạt động user lưu SurfControl database, chúng hiển thị cửa sổ the Monitor window Real Time Monitor: Giám sát hiển thị traffic mạng theo thời gian thực Rules Administrator: Cho phép ta tạo luật để điều khiển truy xuất internet Scheduler: Cho phép thiết lập lịch biểu để theo dõi kiện hệ thống Virtual Control Agent (VCA): Phân loại Web site theo nội dung truy xuất Report Central: công cụ mạng hỗ trợ tạo report để thống kê traffic Remote Administration: Cho phép điều khiển từ xa SurfControl Web Filter Database chương trình SurfControl Web Filter lưu hệ quản trị sở liệu, MS SQL Server, msde2000, trước cài đặt SurfControl Web Filter ta cần phải cài đặt hai hệ quản trị sở liệu 11.5.8 Thiết lập Network Rule Mặc định hệ thống tạo Network rule phép thiết lập số chế định tuyến (Route) hai mạng (tham khảo hình 11.39), thay đổi đĩa (NAT) Mặc định hệ thống tạo số Network rule sau: Local Host Access: Định tuyến traffic localhost đến mạng nội VPN Client to Internal Network: Định tuyến từ VPN Client đến Internal network 232 Đề cương môn Quản trị mang - Internet Access: NAT Internal network ngồi mạng internet 11.5.8.1 Thay đổi thuộc tính Network Rule Để thay đổi thuộc tính Network Rule ta nhấp đôi chuột vào tên luật Network Rules tab (tham khảo hình 11.39) Hình 11.39: Thay đổi thuộc tính cho Network Rule 11.5.8.2 Tạo Network Rule Để tạo Network Rule ta thực bước sau: Chọn nút Configuration, chọn Network, chọn Network Rules tab, Create a New Network Rule Task Panel, định tên Network Rule, chọn Next Chỉ định địa nguồn hộp thoại Network Traffic Source Hình 11.40: Chỉ định địa nguồn Chỉ định địa đích hộp thoại Network Traffic Destination 233 Đề cương môn Quản trị mang Hình 11.41: Chỉ định địa đích cho Network Rule Chọn phương thức đặt Network Rule theo NAT (khi ta muốn NAT cho mạng nội mạng Internet) hay Route (khi ta muốn định tuyến mạng nội ngồi mạng khác) Hình 11.42: Chỉ định Network Relationship Chọn Finish để hoàn tất trình 11.5.9 Thiết lập Cache, quản lý theo dõi traffic 11.5.9.1 Thiết lập Cache Để cấu hình Cache ta chọn nút Configuration -> Cache trình quản lý ISA management: Nhấp chuột phải vào nút Cache chọn Define Cache Drives, ta nhấp 234 Đề cương mơn Quản trị mang chuột vào Cache Rules sau chọn Define Cache Drives (enable caching) từ Tasks panel - Trong hộp thoại “Define Cache Drives” chọn ổ địa định dạng NTFS định kích thước cache Maximum cache size , chọn nút Set (Hình 11.39) Hình 11.43: Chỉ định dung lượng Cache 11.5.9.2 Thay đổi tùy chọn vùng Cache - Để cấu hình Cache ta chọn nút Configuration -> Cache trình quản lý ISA management, nhấp chuột phải vào nút Cache chọn liên kết Configure Cache Settings từ Tasks panel, chọn Active Caching tab, chọn Enable active caching (tham khảo hình 11.44) Hình 11.44: Enable cache 235 Đề cương môn Quản trị mang 11.5.9.3 Tạo Cache Rule Tạo Cache Rule phép ta đặt số luật quy định đối tượng (Object) cần cache, thời gian lưu trữ cache, kích thước đối tượng cache, … Các bước tạo cache rule sau: Nhấp chuột phải vào nút Cache, chọn New, chọn Cache Rule… Chỉ định tên cache rule hộp thoại “Welcome to the New Cache Rule Wirzard”, chọn Next Chọn nút Add để Distination cho Cache Rule (tham khảo hình), chọn Next Hình 11.45: Destination cache Chỉ định loại Object nhận cho request cụ thể hộp thoại Cache retrieval Một số tùy chọn cần lưu ý: + “Only if a valid version of the object exists in the cache if no valid object exists, the request will be routed to the Web server”: Cho phép nhận Object hợp lệ (Valid Object) cache ngược lại tồn khơng tồn Object hợp lệ request chuyển đến Web Server để nhận Object cần thiết + “If any version of the object exists in the cache it will be returned from cache If no version exists route request server” : Cho phép request nhận Valid Object Invalid Object cache, khơng có Object cache Server chuyển request tới server + “If any version of the object exists in cache if no exists the request will be dropped” Nếu request u cầu Object khơng tồn cache bị ngăn chặn (Drop) Trong hộp thoại Cache Content, định nội dung cần lưu cache(tham khảo hình 11.41), chọn Next 236 Đề cương mơn Quản trị mang Hình 11.46: cache content Trong hộp thoại Cache Advanced Configuration, định giới hạn kích thước object cần cache textbox “Do not cache objects larger than” (tham khảo hình 11.42), chọn Next Hình 11.47: Giới hạn kích thước cho đối tượng cache Chỉ định thời gian lưu trữ HTTP Object cache, chọn Next Hình 5.48: Chỉ định TTL cho HTTP Object Chỉ định thời gian lưu trữ FTP Object cache, chọn Next 237 Đề cương mơn Quản trị mang Hình 5.49: TTL HTTP Object Chọn Finish để hồn tất q trình 11.5.9.3 Quản lý theo dõi traffic Một chức qua Firewall khả giám sát (monitoring) thống kê (reporting) kiện xảy hệ thống, giúp cho Người quản trị mạng (Network administrator) theo dõi xâm nhập (attempted intrusions) cơng từ bên ngồi ISA Server 2006 bao gồm số công cụ như: giám sát hoạt động hệ thống (monitor ISA Server activities), tạo cấu hình chế cảnh báo, thống kê thông tin hệ thống, giám sát thông suất (performance) ISA Server Tất công cụ đề đặt Monitoring node trình quản lý “ISA Server 2006 management console” (tham khảo hình 11.44) 238 Đề cương mơn Quản trị mang Hình 11.50: Dashboard theo dõi log Thiết lập số cảnh báo (alert) cho hệ thống: Chọn Tab Alerts, chọn liên kết Configure Alert Definitions Task panel, chọn nút Add từ hộp thoại Alert properties, định tên Alerts, chọn Next (Hình 11.45) Hình 11.51: Lập cảnh báo cho hệ thống + Chọn loại kiện để lập cảnh báo cho hệ thống, chọn Next 239 Đề cương môn Quản trị mang Hình 11.52: Chọn loại cảnh báo cho hệ thống + Chỉ định loại cảnh báo (Alert) mức độ kiểm sốt (lỗi, cảnh báo, thơng báo) hộp thoại Category and Severity, chọn Next + Chỉ định action để thực chế cảnh báo cho hệ thống, cảnh báo qua Mail, chương trình, …(tham khảo hình 11.46) Hình 5.53: Chọn chế cảnh báo + Chỉ định địa Email nhận cảnh báo hệ thống, chọn Next Hình 5.54: Chọn chế cảnh báo 240 Đề cương môn Quản trị mang + Chọn dịch vụ bị stop Alert gặp cố, chọn Next + Chọn Finish để hoàn tất q trình Theo dõi thơng tin truy xuất Web mạng nội bộ: Để theo dõi máy tình host mạng nội truy xuất internet ta chọn Logging Tab từ hình Monitoring node (tham khảo hình 11.47) Hình 11.55: Theo dõi log truy xuất Web 241 ... tên Domain vào bên 17 Đề cương môn Quản trị mang (10) Sau chép đầy đủ tập tin, trình cài đặt kết thúc 18 Đề cương môn Quản trị mang CHƢƠNG 2: ACTIVE DIRECTORY 2.1 Các mơ hình mạng mơi trƣờng microsoft... 40Kbps Web Admin đời giúp người dùng quản trị Server từ xa thông qua dịch vụ Web cách trực quan dễ dàng Đề cương môn Quản trị mang Hỗ trợ môi trường quản trị Server thơng qua dịng lệnh phong... cho tất người dùng OU 2.3.5 Công cụ quản trị đối tượng Active Directory Một bốn công cụ quản trị hệ thống Active Directory cơng cụ Active 42 Đề cương môn Quản trị mang Directory User and Computer