Triển khai, quản trị và duy trì cơ sở hạ tầng mạng với microsoft windows server 2003

TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI MICROSOFT WINDOWS SERVER 2003 HANỘI APTECH – 2006 MỤC LỤC CHƯƠNG 1: TRIỂN KHAI DHCP ......................................................... 2 LỊCH SỬ SƠ LƯỢC CỦA DHCP .......................................................... 3 DHCP LÀ GÌ ?......................................................................................... 4 DHCP HOẠT ĐỘNG NHƯ THẾ NÀO ? ............................................... 6 ỦY QUYỀN MÁY CHỦ DHCP ........................................................... 19 CẤU HÌNH MỘT DHCP SCOPE (PHẠM VI DHCP)......................... 23 CẤU HÌNH ĐỊA CHỈ DHCP DÀNH SẴN........................................... 27 CẤU HÌNH CÁC TÙY CHỌN CHO DHCP ........................................ 29 CẤU HÌNH DHCP RELAY AGENT ................................................... 31 TỔNG KẾT............................................................................................ 40 BÀI TẬP ................................................................................................ 40 CÁC CÂU HỎI TỔNG KẾT................................................................. 43 CÁC KỊCH BẢN TÌNH HUỐNG......................................................... 43 CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP ................................ 45 QUẢN TRỊ DHCP................................................................................. 45 HIỂU BIẾT CÁC CẬP NHẬT DNS ĐỘNG ........................................ 46 QUẢN TRỊ CƠ SỞ DỮ LIỆU DHCP................................................... 55 GIÁM SÁT CSDL DHCP ..................................................................... 63 SỬ DỤNG VIỆC CẤP ĐỊA CHỈ IP RIÊNG MỘT CÁCH TỰ ĐỘNG (APIPA) ................................................................................................. 75 TỔNG KẾT............................................................................................ 79 BÀI TẬP ................................................................................................ 79 CÁC CÂU HỎI TỔNG KẾT................................................................. 82 CÁC KỊCH BẢN TÌNH HUỐNG......................................................... 84 CHƯƠNG 3: THỰC HIỆN VIỆC PHÂN GIẢI TÊN BẰNG DNS...... 85 TỔNG QUAN VỀ QUÁ TRÌNH PHÂN GIẢI TÊN ............................ 86 TỔNG QUAN VỀ DNS......................................................................... 86 CÀI ĐẶT DNS ...................................................................................... 90 CÁC VÙNG DNS.................................................................................. 91 CÁC ROOT HINT (THÔNG TIN MỨC GỐC).................................... 98 CÁC KIỂU MÁY CHỦ DNS.............................................................. 101 CÁC BẢN GHI TÀI NGUYÊN DNS ................................................. 103 HIỂU BIẾT VỀ QUÁ TRÌNH TRUY VẤN DNS .............................. 115 ỦY QUYỀN CHO CÁC VÙNG ......................................................... 122 HIỂU BIẾT VỀ SỰ CHUYỂN GIAO VÙNG .................................... 126 HIỂU BIẾT VỀ SỰ CHUYỂN TIẾP (FORWARDING) ................... 132 KẾT NỐI CÁC MẠNG NỘI BỘ RA INTERNET. ............................ 136 TỔNG KẾT.......................................................................................... 142 BÀI TẬP .............................................................................................. 144 CÁC CÂU HỎI TỔNG KẾT............................................................... 148 CÁC KỊCH BẢN TÌNH HUỐNG....................................................... 149 CHƯƠNG 4: QUẢN TRỊ VÀ GIÁM SÁT DNS.................................. 150 SỬ DỤNG CÁC CÔNG CỤ QUẢN TRỊ DNS .................................. 150 TÍCH HỢP CÁC VÙNG DNS VỚI WINS......................................... 165 QUẢN TRỊ DNS BẰNG CÁC THUỘC TÍNH NÂNG CAO CỦA MÁY CHỦ DNS.................................................................................. 166 LÃO HÓA VÀ LOẠI BỎ CÁC BẢN GHI TÀI NGUYÊN (AGING AND SCAVENGING)......................................................................... 174 QUẢN LÝ BỘ ĐỆM PHÂN GIẢI TÊN DNS (DNS RESOLVER CACHE ).............................................................................................. 176 BẢO MẬT DNS .................................................................................. 177 GIÁM SÁT VÀ GIẢI QUYẾT SỰ CỐ DNS ..................................... 187 TỔNG KẾT.......................................................................................... 198 BÀI TẬP .............................................................................................. 199 CÁC CÂU HỎI TỔNG KẾT............................................................... 201 CÁC KỊCH BẢN TÌNH HUỐNG....................................................... 203 CHƯƠNG 5: BẢO MẬT TRONG MẠNG.......................................... 205 THỰC HIỆN CÁC GIAO THỨC BẢO MẬT TRONG MẠNG........ 206 QUẢN LÝ CÁC QUYỀN CỦA NGƯỜI SỬ DỤNG (USER RIGHT) .............................................................................................................. 206 THỰC HÀNH QUẢN TRỊ BẢO MẬT .............................................. 213 SỬ DỤNG CÁC MẪU BẢO MẬT (SECURITY TEMPLATE) ....... 219 QUẢN LÝ HỆ THỐNG FILE MÃ HÓA (EFS) ................................. 224 SỬ DỤNG CÁC CÔNG CỤ CẤU HÌNH BẢO MẬT ....................... 229 TỔNG KẾT.......................................................................................... 240 BÀI TẬP .............................................................................................. 240 CÁC CÂU HỎI KIỂM TRA ............................................................... 246 CÁC BÀI TẬP TÌNH HUỐNG........................................................... 247 CHƯƠNG 6: BẢO MẬT LƯU THÔNG MẠNG VỚI IPSEC........... 248 MỤC ĐÍCH CỦA IPSEC .................................................................... 249 TÌM HIỂU IPSEC................................................................................ 251 TÌM HIỂU CÁC CHÍNH SÁCH BẢO MẬT IPSEC.......................... 268 TRIỂN KHAI CHÍNH SÁCH IPSEC ................................................. 273 THỰC THI IPSEC SỬ DỤNG GIẤY CHỨNG NHẬN..................... 276 SỬ DỤNG NAT VỚI IPSEC .............................................................. 278 QUẢN TRỊ VÀ THEO DÕI IPSEC.................................................... 278 TỎNG KẾT.......................................................................................... 291 BÀI TẬP .............................................................................................. 292 CÂU HỎI ÔN TẬP.............................................................................. 295 KỊCH BẢN TÌNH HUỐNG ................................................................ 298 CHƯƠNG 7: SỬ DỤNG RRAS ĐỂ CẤU HÌNH ĐỊNH TUYẾN ...... 301 TỔNG QUAN VỀ DỊCH VỤ RRAS TRÊN WINDOWS SERVER 2003 .............................................................................................................. 303 CÁC LỰA CHỌN TRONG VIỆC CẤU HÌNH CHO CÁC MÁY CHỦ TRUY CẬP TỪ XA............................................................................. 306 LỰA CHỌN GIAO THỨC ĐỊNH TUYẾN........................................ 316 QUẢN TRỊ CÁC BẢNG ĐỊNH TUYẾN ........................................... 319 LỌC GÓI TIN...................................................................................... 324 CẤU HÌNH ĐỊNH TUYẾN QUAY SỐ THEO YÊU CẦU ............... 327 ỦY QUYỀN CHO CÁC KẾT NỐI TRUY CẬP TỪ XA................... 331 ÁP DỤNG CÁC CHÍNH SÁCH TRUY CẬP TỪ XA ....................... 334 CẤU HÌNH MỘT CHÍNH SÁCH TRUY CẬP TỪ XA..................... 335 QUẢN TRỊ XÁC THỰC TRUY CẬP MẠNG VÀ CÁC CHÍNH SÁCH .............................................................................................................. 345 TỔNG KẾT.......................................................................................... 351 BÀI TẬP THỰ C HÀNH .................................................................... 352 CÂU HỎI ÔN TẬP.............................................................................. 352 CÁC KỊCH BẢN TÌNH HUỐNG....................................................... 354 CHƯƠNG 8: DUY TRÌ KIẾN TRÚC HẠ TẦNG MẠNG ................. 355 SỬ DỤNG THẺ NETWORKING TRONG CÔNG CỤ TASK MANAGER ......................................................................................... 356 SỬ DỤNG MÀN HÌNH QUẢN TRỊ PERFORMANCE ................... 360 GIÁM SÁT LƯU LƯỢNG MẠNG BẰNG CÔNG CỤ NETSTAT .. 368 SỬ DỤNG CÔNG CỤ GIÁM SÁT MẠNG NETWORK MONITOR .............................................................................................................. 370 XỬ LÝ SỰ CỐ KẾT NỐI INTERNET............................................... 373 XỬ LÝ SỰ CỐ CÁC DỊCH VỤ TRÊN MÁY CHỦ .......................... 386 TỔNG KẾT.......................................................................................... 394 BÀI TẬP THỰC HÀNH ..................................................................... 396 CÂU HỎI ÔN TẬP.............................................................................. 398 CÁC KỊCH BẢN TÌNH HUỐNG....................................................... 401 CHƯƠNG 1: TRIỂN KHAI DHCP CHƯƠNG 1: TRIỂN KHAI DHCP Sau khi hoàn thành chương này, bạn có thể: ■ Mô tả mục đích của Dynamic Host Configuration Protocol (Giao thức Cấu hình Động cho Máy trạm - DHCP) và cách thức dịch vụ này tổ chức quản lý mạng thuận tiện hơn như thế nào. ■ Giải thích quá trình dịch vụ DHCP cho thuê địa chỉ IP ■ Ủy quyền cho một máy chủ DHCP và giải thích làm thế nào để ngăn không cho phép một máy chủ DHCP không được ủy quyền cấp địa chỉ IP không đúng cho các máy trạm DHCP ■ Giải thích mục đích của multicasting (Quảng bá có địa chỉ) ■ Cấu hình máy chủ DHCP bằng cách định nghĩa một scope (phạm vi) và một superscope (siêu phạm vi), tạo ra các địa chỉ dành sẵn cho máy khách DHCP và cấu hình các tùy chọn DHCP ■ Giải thích mục đích và cấu hình của một DHCP relay agent (phần tử chuyển tiếp DHCP) Các máy tính sử dụng Giao thức Kiểm soát Truyền thông/Giao thức Internet (TCP/IP) phải được cấu hình phù hợp để giao tiếp với các máy tính TCP/IP khác trong một hệ thống mạng. Mỗi máy tính phải có một địa chỉ IP và một subnet mask (mặt nạ mạng con) và nếu như các máy tính này truyền thông ra ngoài mạng con nội bộ, mỗi máy còn phải được cấu một default gateway (cổng ra mặc định). Mỗi địa chỉ IP phải hợp lệ và duy nhất trong toàn hệ thống mạng tương tác của máy tính đó. Yêu cầu này sẽ đem đến cho người quản trị mạng những thách thức lớn. Để đảm bảo rằng mỗi máy tính có một địa chỉ duy nhất, quá trình cấp phát, thay thế và cấp phát lại địa chỉ phải được giám sát một cách cẩn thận. Nếu điều này được thực hiện một cách thủ công, các bản ghi chép chính xác và kịp thời phải được giữ lại trong mỗi máy tính ghi lại nơi mà máy tính đó được đặt và địa chỉ IP nào, mặt nạ mạng con nào đã cấp phát cho máy đó. Nhiệm vụ này có thể trở nên rất đơn điệu và nhàm chán. Sẽ rất khó khăn khi quản lý các địa chỉ IP một cách thủ công đối với các doanh nghiệp có số lượng lớn các máy trạm yêu cầu địa chỉ IP. DHCP sẽ làm cho nhiệm vụ này trở nên đơn giản hơn bằng cách tự động cấp phát, theo dõi và tái cấp phát địa chỉ IP cho các máy trạm TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 2 CHƯƠNG 1: TRIỂN KHAI DHCP LỊCH SỬ SƠ LƯỢC CỦA DHCP Từ khi phát minh ra TCP/IP, một số giải pháp đã được nghiên cứu và phát triển để giải quyết vấn đề khó khăn của việc cấu hình các thiết lập TCP/IP cho một doanh nghiệp có một lượng lớn các máy trạm. Giao thức Phân giải Địa chỉ Ngược (Reverse Address Resolution Protocol - RARP) được thiết kế cho các máy trạm không có đĩa cứng nghĩa là không có phương tiện lưu trữ thường trực các thiết lập TCP/IP của chúng. RARP, theo như tên gợi ý, về cơ bản là ngược lại với Giao thức Phân giải Địa chỉ (Address Resolution Protocol - ARP). Các máy trạm ARP sẽ quảng bá một địa chỉ IP để phát hiện ra địa chỉ MAC (Media Access Control – Điều khiển truy cập thiết bị) tương ứng (địa chỉ duy nhất của mỗi thành phần phần cứng). Các máy khách RARP sẽ quảng bá địa chỉ MAC (Thể hiện trên Hình 1-1). (Quảng bá là một phương pháp truyền thông để gửi thông tin tới tất cả mọi phần tử trên một mạng máy tính một cách đồng thời). Một máy chủ RARP sau đó sẽ trả lời bằng cách truyền gửi địa chỉ IP cấp cho máy khách đó. Hình 1-1. Máy trạm sử dụng RARP để nhận địa chỉ IP từ Máy chủ ho mỗi máy trạm RARP khi phản hồi lại thông điệp quảng bá có chứa địa chỉ phần cứng của máy khách. Bởi vì RARP không thể cung cấp các thiết lập bắt buộc phải có khác cho các máy khách, ví dụ như mặt nạ mạng con và cổng ra mặc định, nó sử dụng một giải pháp khác, đó là Giao thức Bootstrap (BOOTP) BOOTP, hiện vẫn còn được sử dụng, cho phép một máy trạm TCP/IP nhận được các thiết lập cho các tất cả các tham số cấu hình mà nó cần để chạy, bao gồm địa chỉ IP, mặt nạ mạng con, cổng ra mặc định và địa chỉ máy chủ DNS (Máy chủ Phân giải Tên miền). Sử dụng Giao thức Truyền File Tối thiểu (Trivial File Transfer Protocol – TFTP), máy trạm có thể tải về file thực thi mà có khả năng khởi động từ máy chủ BOOTP. Nhược điểm chính của BOOTP là người quản trị vẫn phải chỉ ra các thiết lập c trên máy chủ BOOTP. Một phương pháp tốt hơn để quản trị TCP/IP là tự động gán địa chỉ IP duy nhất trong khi ngăn không cho việc cấp phát trùng lặp xảy ra đồng thời cung cấp các thiết lập quan trọng khác như cổng ra mặc TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 3 CHƯƠNG 1: TRIỂN KHAI DHCP định, mặt nạ mạng con, máy chủ DNS, máy chủ WINS, và các thông tin khác. Lý tưởng nhất là điều này được thực hiện mà không phải liệt kê mọi thiết bị trong mạng một cách thủ công. Đó chính là DHCP DHCP dựa chủ yếu vào BOOTP, nhưng thay vì việc đẩy các tham số cấu hình sẵn đến đúng các máy khách, DHCP có thể tự động xác định địa chỉ IP từ một dải địa chỉ và sau đó đòi lại khi nó không còn cần thiết nữa. Bởi vì không có việc trùng lặp khi cấp địa chỉ bằng máy đúng và người quản trị có thể di chuyển các máy DHC DHCP l phức tạ nghĩa b i thích - RFCs) trên mạng. Hơn nữa, hầu hết các máy đều yêu cầu các thông tin thêm ột CSDL DHCP trung tâm. Bởi quá trình này là động nên chủ DHCP có cấu hình trạm giữa các mạng con với nhau mà không cần phải cấu hình lại. Hơn nữa, một số lượng lớn các tham số cấu hình chuẩn và tham số riêng biệt cho các phần cứng đặc biệt có thể được chỉ định và phân phối động đến các máy khách. P LÀ GÌ ? à một giao thức mở, theo chuẩn công nghiệp sử dụng để làm giảm sự p của việc quản trị các mạng dựa trên nền TCP/IP. Nó được định ởi các Requests for Comments (Các Yêu cầu Giả 2131 và 2132 của Tổ chức Ứng dụng Khoa học vào Internet (Internet Engineering Task Force - IETF). THÔNG TIN THÊM. RFCs 2131 và 2132. RFCs 2131 và 2132 DHCP là một chuẩn IETF dựa trên giao thức BOOTP và được định nghĩa trong RFC 2131 và 2132, các tài liệu này có thể được tìm thấy tại địa chỉ Việc đánh địa chỉ IP là rất phức tạp bởi vì mỗi máy (máy tính, máy in hoặc các thiết bị khác có giao tiếp mạng) kết nối đến một mạng TCP/IP phải được cấp ít nhất một địa chỉ IP duy nhất và mặt nạ mạng con để có thể truyền thông như là địa chỉ IP hoặc cổng ra mặc định và máy chủ DNS. DHCP giải phóng người quản trị khỏi nhiệm vụ cấu hình trên mỗi máy trong mạng một cách thủ công. Hệ thống mạng càng lớn thì lợi ích của DHCP càng nhiều. Nếu không cấp phát địa chỉ động, mỗi máy phải cấu hình một cách thủ công và địa chỉ IP phải được quản lý cẩn thận để tránh việc trùng lặp hoặc cấu hình sai. Quản lý địa chỉ IP và các tùy chọn cho máy sẽ dễ dàng hơn rất nhiều khi thông tin cấu hình có thể quản lý từ một địa điểm đơn hơn là kết hợp thông tin từ nhiều địa điểm. DHCP có thể cấu hình tự động một máy khi nó khởi động trên một mạng TCP/IP cũng như có thể thay đổi các thiết lập trong khi các máy đang kết nối đến mạng. Tất cả các việc này được thực hiện bằng cách sử dụng các thiết lập và thông tin từ m TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 4 CHƯƠNG 1: TRIỂN KHAI DHCP vì các thiết lập và thông tin này được lưu một cách tập trung, bạn có thể nhanh chóng và dễ dàng thêm vào hoặc thay đổi các thiết lập máy trạm (ví dụ như địa chỉ IP của một máy chủ DNS thay thế) cho tất cả các máy trạm trong hệ thống mạng của bạn từ một địa điểm đơn. Nếu không có CSDL tập trung của các thông tin cấu hình này, rất khó khăn để duy trì hiện trạng của các thiết lập trên máy hoặc thay đổi chúng. Tất cả các sản phẩm Microsoft Windows Server 2003 (Các phiên bản Standard Edition, Enterprise Edition, Web Edition, and Datacenter Edition) đều tự động cài đặt dịch vụ DHCP Client như là một thành phần của TCP/IP, bao gồm Windows Server 2003, Microsoft Windo Microsof Windows Nói ngắn duy trì m ■ P sẽ theo dõi tất cả các địa chỉ IP đã cấp và địa chỉ ■ P đảm bảo rằng các máy trạm DHCP có thể nhận được các ệc cấu hình đều bao gồm dịch vụ DHCP Server, đó là một tùy chọn cài đặt. Mọi máy khách Microsoft Windows ws XP, Microsoft Windows Server 2003, Microsoft Windows NT 4, t Windows Millennium Edition (Windows Me) và Microsoft 98. gọn, DHCP cung cấp bốn lợi điểm quan trọng cho việc quản trị và ột mạng TCP/IP: Tập trung quản trị thông tin về cầu hình IP. Thông tin cấu hình IP của DHCP có thể lưu trong một vị trí và cho phép người quản trị có thể tập trung quản lý tất cả các thông tin cấu hình IP. Một máy chủ DHC IP dành riêng và liệt kê chúng trong bảng điều khiển DHCP. Bạn có thể sử dụng bảng điều khiển DHCP để xác định các địa chỉ IP của tất cả các thiết bị đã kích hoạt DHCP trong hệ thống mạng. Nếu không có DHCP, bạn không chỉ phải gán các địa chỉ một cách thủ công mà bạn còn phải nghĩ ra phương pháp để theo dõi và cập nhật chúng. ■ Cấu hình động các máy. DHCP tự động thực hiện quá trình cấu hình động các tham số cấu hình quan trọng trong các máy. Điều này giảm thiểu nhu cầu cấu hình thủ công các máy riêng biệt khi TCP/IP lần đầu tiên được triển khai hoặc khi yêu cầu thay đổi cơ sở hạ tầng IP. Cấu hình IP cho các máy một cách liền mạch. Cách sử dụng DHC tham số cấu hình IP một cách chính xác và kịp thời, ví dụ như địa chỉ IP, mặt nạ mạng con, cổng ra mặc định, địa chỉ IP của máy chủ DNS và các tham số khác, mà không cần tác động của người dùng. Bởi vì cấu hình là tự động, việc giải quyết sự cố của vi TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 5 CHƯƠNG 1: TRIỂN KHAI DHCP sai, ví dụ như việc nhập các số không đúng kiểu, được giảm đáng kể. Sự linh hoạt. Sử dụng DHCP cho phép người quản trị mạng tăng sự linh hoạt, cho phép người quản trị mạng có thể thay đổi cấu hình I ■ P một cách dễ dàng khi cơ sở hạ tầng thay đổi. ến mạng lớn. ch cũng như át địa chỉ IP cho bất kỳ thiết bị nào kết nối tại bất kỳ đâu trong mạng. V thông đ ứng dụn gói tin UDP) s khách) chia chức năng mạng máy tính thành bảy Mạng, Liên kết dữ liệu và Vật lý). Để có thêm thông tin về mô hình tham chiếu OSI, hãy xem ation Training Kit, Second Edition ■ Khả năng mở rộng. DHCP phù hợp từ mạng nhỏ đ DHCP có thể phục vụ các mạng với chỉ 10 máy khá các mạng lớn với hàng ngàn máy khách. Đối với các mạng nhỏ, đơn độc, ta có thể sử dụng Automatic Private IP Addressing (APIPA). (APIPA sẽ được bàn đến trong phần sau của chương này) DHCP HOẠT ĐỘNG NHƯ THẾ NÀO ? Chức năng cốt lõi của DHCP là cấp phát địa chỉ. Như đã đề cập trước đây, điểm quan trọng then chốt của quá trình này là n