Giáo trình Mạng căn bản - Trình độ: Cao đẳng - Trường Cao đẳng cơ giới Ninh Bình

Nội dung text: Giáo trình Mạng căn bản - Trình độ: Cao đẳng - Trường Cao đẳng cơ giới Ninh Bình

1. BỘ NÔNG NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔNG TRƯỜNG CAO ĐẲNG CƠ GIỚI NINH BÌNH GIÁO TRÌNH MÔN HỌC: MẠNG CĂN BẢN NGHỀ: LẬP TRÌNH MÁY TÍNH TRÌNH ĐỘ: CAO ĐẲNG NGHỀ Ban hành kèm theo Quyết định số: /QĐ- ngày .tháng .năm của Trường Cao đẳng nghề Cơ giới Ninh Bình Ninh Bình, năm 20 1
2. TUYÊN BỐ BẢN QUYỀN Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo. Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm. 2
3. LỜI GIỚI THIỆU Trong hệ thống kiến thức chuyên ngành trang bị cho sinh viên nghề Lập trình máy tính, mô đun góp phần cung cấp những nội dung liên quan đến máy tính cũng như các thiết bị để xây dựng một mạng máy tính đơn giản, hiểu rõ nguyên lý hoạt động của mạng máy tính và một số khái niệm về mô hình mạng quản lý. Các nội dung chính của môn được trình bày trong tài liệu này gồm các chương: Chương 1: Tổng quan về mạng máy tính và mạng cục bộ Chương 2: Giao thức TCP/IP Chương 3: Windows sever và một số ứng dụng của server Mặc dầu có rất nhiều cố gắng, nhưng không tránh khỏi những khiếm khuyết, rất mong nhận được sự đóng góp ý kiến của độc giả để giáo trình được hoàn thiện hơn. Trân trọng cảm ơn ! Ninh Bình, ngày tháng năm Tham gia biên soạn 1. Chủ biên – Nguyễn Ngọc Kiên 2. Nguyễn Xuân Khôi 3. Vũ Ánh Dương 3
4. MỤC LỤC STT Tên chương Trang 1 Chương 1: Tổng quan về mạng máy tính và mạng cục bộ 6 2 Chương 2: Giao thức TCP/IP 20 3 Chương 3: Windows sever và một số ứng dụng của server 31 4
5. GIÁO TRÌNH MÔN HỌC Môn học: Mạng căn bản Mã môn học: MH 08 Vị trí, tính chất, ý nghĩa và vai trò của môn học: - Vị trí: Môn học được bố trí dạy sau các môn học chung và có thể dạy song song các môn học kỹ thuật cơ sở. - Tính chất: Là môn học chuyên môn nghề. - Ý nghĩa và vai trò của môn học: Đây là môn học chuyên môn nghề và các ngành liên quan tới công nghệ thông tin, cung cấp cho sinh viên nền tảng về cơ sở mạng máy tính. Mục tiêu môn học - Về kiến thức: + Mô tả được các ứng dụng của mạng trong các tổ chức; + Trình bày được các công nghệ của mạng cục bộ (LAN); + Trình bày được các giao thức và phương pháp truy cập mạng. - Về kỹ năng: + Cấu hình được địa chỉ IP; + Xây dựng được mô hình mạng LAN theo yêu cầu; - Về năng lực tự chủ và trách nhiệm: Có khả năng tổ chức, thực hiện các nhiệm vụ và chịu trách nhiệm đối với kết quả công việc của mình. Nội dung môn học Chương 1: Tổng quan về mạng máy tính và mạng cục bộ Chương 2: Giao thức TCP/IP Chương 3: Windows sever và một số ứng dụng của server 5
6. CHƯƠNG 1: TỔNG QUAN MẠNG MÁY TÍNH VÀ MẠNG CỤC BỘ Mã bài: MH08 - C01 Giới thiệu:Trong chương này chúng ta nghiên cứu về các loại mạng máy tính và các thiết bị liên quan đến mạng máy tính trong thực tế. Mục tiêu: - Nắm được kiến thức tổng quát về các thành phần trong một mạng máy tính, - Phân loại mạng máy tính, kiến trúc mạng máy tính, các chuẩn vật lý của các thiết bị mạng. - Thực hiện các thao tác an toàn với máy tính. Nội dung chính: 1. Mạng máy tính 1.1. Giới thiệu mạng máy tính Giới thiệu chung Mạng máy tính là một số các máy tính được nối kết với nhau theo một cách nào đó nhằm mục đích để trao đổi chia sẽ thông tin cho nhau với những ưu điểm: Nhiều người có thể dùng chung một một thiết bị ngoại vi (máy in, modem ), một phần mềm. Dữ liệu được quản lý tập trung nên an toàn hơn, sự trao đổi thông tin dữ liệu giữa những người dùng sẽ nhanh chóng hơn, thuận lợi hơn. Người dùng có thể trao đổi thư tín với nhau một cách dễ dàng và nhanh chóng. Có thể cài đặt Internet trên một máy bất kỳ trong mạng, sau đó thiết lập, định cầu hình cho các máy khác có thể thông qua máy đã được cài đặt chương trình share Internet để cũng có thể kết nối ra Internet. II Phân loại mạng máy tính Mạng máy tính có thể được phân bố trong các phạm vi khác nhau, người ta có thể phân ra các loại mạng như sau: LAN (local Area Network) là mạng cục bộ, kết nối các máy tính trong một khu vực bán kính hẹp, thường thì khoảng vài trăm mét. Môi trường truyền thông có tốc độ kết nối cao, như cáp xoắn, cáp đồng trục, cáp quang. Mạng LAN thường được sử dụng trong nội bộ của một cơ quan, một tổ chức. Các LAN kết nối lại với nhau thành mạng WAN. WAN (Wide Area Network) là mạng diện rộng, kết nối máy tính trong nội bộ quốc gia, hay giữa các quốc gia trong cùng một châu lục. Thông thường kết nối này được thực hiện thông qua mạng viễn thông. Các Wan kết nối với nhau thành GAN. GAN (Global Area Network) kết nối máy tính từ các châu lục khác nhau. Thông thường kết nối này được thực hiện thông qua mạng viễn thông và vệ tinh. MAN (Metropolitan Area Network) Kết nối các máy tính trong phạm vi một thành phố. Kết nối được thực hiện thông qua môi trường truyền thông tốc độ cao (50/100 M bis/s). III Bạn nên có mạng nào Tùy theo tổng số máy tính, tổng số thiết bị mà bạn sẽ dùng. Khoảng cách tối đa giữa các thiết bị. ở đây chúng tôi chỉ bàn về mạng cục bộ LAN dạng hình sao (Start topology). Ðây là kểu mạng được sử dụng nhiều nhất hiện nay. Mạng cục bộ (LAN) là một mạng với hệ truyền thông tốc độ cao, được thiết kế để nối kết các máy tính lại với 6
7. nhau trong một khu vực địa lý nhỏ như một toà nhà, một trường học?.cho phép người sử dụng có thể dùng chung những tài nguyên như máy in, ổ đĩa CD- ROM, các phần mềm ứng dụng như chỉ cần một máy trong mạng cài chương trình Share Internet, thì các máy khác vẫn có thể kết nối ra Internet được. điều này sẽ đáp ứng được nhu cầu là khi trong văn phòng của bạn một khi các máy tính đã được nối kết thành mạng LAN và mỗi người sử dụng máy đều muốn truy cập Internet và những dịch vụ khác về Internet , trong khi đó bạn chỉ có một modem và một tài khoản truy cập Internet. Giải pháp lắp đặt cho mỗi máy một modem, kéo cho mỗi máy 1 line điện thoại thì quá tốn kém, hoặc nếu ai muốn truy cập Internet thì lắp modem vào máy mình và nối dây điện thoại tới đó thì rất bất tiện nếu đó là loại modem gắn trong, hoặc đường line điện thoại quá ngắn v.v . Ðể giải quyết vấn đề trên, các phần mềm giả lập Proxy Server được hình thành. Các phần mềm hiệu quả trong việc chia sẻ internet là Wingate, WinRoute, WinProxy, ISA Server IV Giới thiệu chung về mạng LAN dạng hình sao (Star topology): Mạng hình sao bao gồm một điểm trung tâm và các nút thông tin kết nối vào điểm trung tâm đó. Các nút thông tin là các thiết bị đầu cuối như máy tính, hay các thiết bị khác của mạng. Tại điểm trung tâm của mạng là nơi điều phối chính mọi hoạt động trong mạng với các chức năng: Chuyển tiếp dữ liệu giữa các nút (các máy tính với nhau). Nhận biết tình trạng của mạng, các nút ( các máy tính) đang nối kết mạng. Theo dõi và xử lý trong quá trình trao đổi thông tin IV Ưu và nhược điểm cuả mạng hình sao: Ưu điểm mạng hình sao: Hoạt động theo nguyên lý kết nối song song nên nếu có một thiết bị nào đó ở một nút bất kỳ bị hỏng thì mạng vẫn hoạt động bình thường, các máy còn lại vẫn hoạt động bình thường. Là một kiểu mạng có cấu trúc đơn giản, và tính ổn định cao dể lắp đặt. Mạng có thể mở rộng hoặc thu hẹp tùy theo yêu cầu của người sử dụng Nhược điểm mạng hình sao: Sự mở rộng mạng phải phụ thuộc vào khả năng của thiết bị trung tâm. Nếu thiết bị trung tâm lỗi thì toàn bộ mạng sẽ bị tê liệt. Khoảng cách tối đa từ các nút tới trung tâm bị hạn chế ( nhỏ hơn 100m). Các thiết bị cần thiết trong mạng hình sao: Thiết bị trung tâm: có thể dùng HUB hay Switch. Cáp kết nối: Cáp xoắn. Card giao tiếp mạng NIC (Network Interface Card) 1.2. Đặc trưng kỹ thuật của mạng máy tính Một mạng máy tính có các đặc trưng kỹ thuật cơ bản như sau: 1.2.1 Đường truyền + Là phương tiện dùng để truyền các tín hiệu điện tử giữa các máy tính. Các tín hiệu điệu tử đó chính là các thông tin, dữ liệu được biểu thị dưới dạng các xung nhị phân (ON_OFF), mọi tín hiệu truyền giữa các máy tính với nhau đều thuộc 7
8. sóng điện từ, tuỳ theo tần số mà ta có thể dùng các đường truyền vật lý khác nhau + Đặc trưng cơ bản của đường truyền là giải thông nó biểu thị khả năng truyền tải tín hiệu của đường truyền. + Thông thuờng người ta hay phân loại đường truyền theo hai loại: + Đường truyền hữu tuyến (các máy tính được nối với nhau bằng các dây dẫn tín hiệu). + Đường truyền vô tuyến: các máy tính truyền tín hiệu với nhau thông qua các sóng vô tuyền với các thiết bị điều chế/giải điều chế ớ các đầu mút. + Kỹ thuật chuyển mạch + Là đặc trưng kỹ thuật chuyển tín hiệu giữa các nút trong mạng, các nút mạng có chức năng hướng thông tin tới đích nào đó trong mạng, hiện tại có các kỹ thuật chuyển mạch như sau: + Kỹ thuật chuyển mạch kênh: Khi có hai thực thể cần truyền thông với nhau thì giữa chúng sẽ thiết lập một kênh cố định và duy trì kết nối đó cho tới khi hai bên ngắt liên lạc. Các dữ liệu chỉ truyền đi theo con đường cố định đó. + Kỹ thuật chuyển mạch thông báo: thông báo là một đơn vị dữ liệu của người sử dụng có khuôn dạng được quy định trước. Mỗi thông báo có chứa các thông tin điều khiển trong đó chỉ rõ đích cần truyền tới của thông báo. Căn cứ vào 8
9. thông tin điều khiển này mà mỗi nút trung gian có thể chuyển thông báo tới nút kế tiếp trên con đường dẫn tới đích của thông báo + Kỹ thuật chuyển mạch gói: ở đây mỗi thông báo được chia ra thành nhiều gói nhỏ hơn được gọi là các gói tin (packet) có khuôn dạng qui định trước. Mỗi gói tin cũng chứa các thông tin điều khiển, trong đó có địa chỉ nguồn (người gửi) và địa chỉ đích (người nhận) của gói tin. Các gói tin của cùng một thông báo có thể được gửi đi qua mạng tới đích theo nhiều con đường khác nhau. 1.2.2 Kiến trúc mạng + Kiến trúc mạng máy tính (network architecture) thể hiện cách nối các máy tính với nhau và tập hợp các quy tắc, quy ước mà tất cả các thực thể tham gia truyền thông trên mạng phải tuân theo để đảm bảo cho mạng hoạt động tốt. + Khi nói đến kiến trúc của mạng người ta muốn nói tới hai vấn đề là hình trạng mạng (Network topology) và giao thức mạng (Network protocol) + Network Topology: Cách kết nối các máy tính với nhau về mặt hình học mà ta gọi là tô pô của mạng + Các hình trạng mạng cơ bản đó là: hình sao, hình bus, hình vòng + Network Protocol: Tập hợp các quy ước truyền thông giữa các thực thể truyền thông mà ta gọi là giao thức (hay nghi thức) của mạng + Các giao thức thường gặp nhất là : TCP/IP, NETBIOS, IPX/SPX, . . . 1.2.3 Hệ điều hành mạng + Hệ điều hành mạng là một phần mềm hệ thống có các chức năng sau: + Quản lý tài nguyên của hệ thống, các tài nguyên này gồm: + Tài nguyên thông tin (về phương diện lưu trữ) hay nói một cách đơn giản là quản lý tệp. Các công việc về lưu trữ tệp, tìm kiếm, xoá, copy, nhóm, đặt các thuộc tính đều thuộc nhóm công việc này + Tài nguyên thiết bị. Điều phối việc sử dụng CPU, các ngoại vi để tối ưu hoá việc sử dụng + Quản lý người dùng và các công việc trên hệ thống. 9
10. + Hệ điều hành đảm bảo giao tiếp giữa người sử dụng, chương trình ứng dụng với thiết bị của hệ thống. + Cung cấp các tiện ích cho việc khai thác hệ thống thuận lợi (ví dụ FORMAT đĩa, sao chép tệp và thư mục, in ấn chung ) + Các hệ điều hành mạng thông dụng nhất hiện nay là: WindowsNT, Windows9X, Windows 2000, Unix, Novell. 1.3.Phân loại mạng máy tính 1.3.1. Phân loại theo khoảng cách địa lý - Mạng máy tính là một hệ thống các máy tính có thể phân bố trên một vùng lãnh thổ có khoảng cách nhất định và có thể phân bố trong phạm vi của một quốc gia hay quốc tế. - Dựa vào phạm vi phân bổ của mạng máy tính theo không gian địa lý người ta có thể phân ra các loại mạng như sau: - Mạng GAN viết tắt của Global Area Network: tức là thực hiện kết nối máy tính từ các châu lục khác nhau tạo nên một hệ thống. Thông thường kết nối mạng này được thực hiện thông qua đường truyền mạng viễn thông và thông qua vệ tinh. Mạng WAN - Mạng WAN viết tắt của Wide Area Network: tức mạng kết nối diện rộng, kết nối các máy tính trong nội bộ giữa các quốc gia hay giữa các quốc gia trên một châu lục. Mạng máy tính này được kết nối thông qua đường truyền mạng viễn thông. Các mạng WAN được kết nối với nhau thành mạng GAN hay tự nó đã là mạng GAN. 10
11. - Mạng MAN tức Metropolitan Area Network: nó kết nối các máy tính trong một phạm vi địa lý một thành phố. Kết nối thông qua mạng truyền thông có tốc độ cao (từ 50-100 Mbit/s). Mạng LAN - Mạng LAN tức Local Area Network): Đây là mạng cục bộ, thực hiện kết nối các máy tính trong cùng một khu vực với bán kính hẹp, thông thường khoảng vài trǎm mét. Kết nối thông qua truyền thông tốc độ cao ví dụ cáp dẫn đồng trục thay cáp quang mạng. Mạng LAN thường sử dụng trong nội bộ cơ quan/tổ chức Các mạng LAN có thể được kết nối với nhau tạo thành thành mạng WAN. 1.3.2. Phân loại theo kiến trúc mạng sử dụng - Mạng hình sao (Star Network) Có tất cả các trạm được kết nối với một thiết bị trung tâm có nhiệm vụ nhận tín hiệu từ các trạm và chuyển đến trạm đích. Tùy theo yêu cầu truyền thông trên mạng mà thiết bị trung tâm có thể là hub, switch, router hay máy chủ trung tâm. Vai trò của thiết bị trung tâm là thiết lập các liên kết Point – to – Point.Ưu điểm là thiết lập mạng đơn giản, dễ dàng cấu hình lại mạng (thêm, bớt các trạm), dễ dàng kiểm soát và khắc phục sự cố, tận dụng được tối đa tốc độ truyền của đường truyền vật lý. Khuyết điểm là độ dài đường truyền nối một trạm với thiết bị trung tâm bị hạn chế (bán kính khoảng 100m với công nghệ hiện nay). - Mạng tuyến tính (Bus Network) Có tất cả các trạm phân chia trên một đường truyền chung (bus). Đường truyền chính được giới hạn hai đầu bằng hai đầu nối đặc biệt gọi là terminator. Mỗi trạm được nối với trục chính qua một đầu nối chữ T (T-connector) hoặc một thiết bị thu phát (transceiver). Mô hình mạng Bus hoạt động theo các liên kết Point–to– Multipoint hay Broadcast. 11
12. Ưu điểm: Dễ thiết kế và chi phí thấp. Khuyết điểm: Tính ổn định kém, chỉ một nút mạng hỏng là toàn bộ mạng bị ngừng hoạt động. - Mạng hình vòng (Ring Network) Tín hiệu được truyền đi trên vòng theo một chiều duy nhất. Mỗi trạm của mạng được nối với nhau qua một bộ chuyển tiếp (repeater) có nhiệm vụ nhận tín hiệu rồi chuyển tiếp đến trạm kế tiếp trên vòng. Như vậy tín hiệu được lưu chuyển trên vòng theo một chuỗi liên tiếp các liên kết Point–to–Point giữa các repeater. Ưu điểm: Mạng hình vòng có ưu điểm tương tự như mạng hình sao. Nhược điểm: Một trạm hoặc cáp hỏng là toàn bộ mạng bị ngừng hoạt động, thêm hoặc bớt một trạm khó hơn, giao thức truy nhập mạng phức tạp. - Mạng kết hợp Kết hợp hình sao và tuyến tính (Star Bus Network): Cấu hình mạng dạng này có bộ phận tách tín hiệu (splitter) giữ vai trò thiết bị trung tâm, hệ thống dây cáp mạng cấu hình là Star Topology và Linear Bus Topology. Lợi điểm của cấu hình này là mạng có thể gồm nhiều nhóm làm việc ở cách xa nhau, ARCNET là mạng dạng kết hợp Star Bus Network. Cấu hình dạng này đưa lại sự uyển chuyển trong việc bố trí đường dây tương thích dễ dàng đối với bất cứ toà nhà nào. Kết hợp hình sao và vòng (Star Ring Network): Cấu hình dạng kết hợp Star Ring Network, có một "thẻ bài" liên lạc (Token) được chuyển vòng quanh một cái HUB trung tâm. Mỗi trạm làm việc được nối với HUB – là cầu nối giữa các trạm làm việc và để tǎng khoảng cách cần thiết. • 1.3.3. Phân loại theo hệ điều hành mạng Hệ điều hành dành cho máy MainFrame Hệ điều hành dành cho máy Server Hệ điều hành dành cho máy nhiều CPU 12
13. Hệ điều hành dành cho máy tính cá nhân (PC) Hệ điều hành dành cho máy PDA (Embedded OS - hệ điều hành nhúng) Hệ điều hành dành cho máy chuyên biệt Hệ điều hành dành cho thẻ chíp (SmartCard) 1.4. Chuẩn hóa mạng máy tính và mô hình OSI 1.4.1. Chuẩn hóa mô hình mạng 4 lớp - Mô hình TCP/IP có bốn lớp: Layer 4: lớp ứng dụng (Application), lớp vận chuyển (Transport), lớp Internet (liên kết mạng), lớp truy xuất mạng (Network access). - Lớp ứng dụng: Các nhà thiết kế TCP/IP cảm thấy rằng các giao thức mức cao nên bao gồm các chi tiết của lớp trình bày và lớp phiên. Để đơn giản, họ tạo ra một lớp ứng dụng kiểm soát các giao thức mức cao, các vấn đề của lớp trình bày, mã hóa và điều khiển hội thoại. TCP/IP tập hợp tất cả các vấn đề liên quan đến ứng dụng vào trong một lớp, và đảm bảo dữ liệu được đóng gói một cách thích hợp cho lớp kế tiếp. - Lớp vận chuyển: Lớp vận chuyển đề cập đến các vấn đề chất lượng dịch vụ như độ tin cậy, điều khiển luồng và sửa lỗi. - Lớp Internet: Mục tiêu của lớp Internet là truyền các gói từ nguồn đến được đích. Giao thức đặc trưng khống chế lớp này được gọi là IP. Công việc xác định đường dẫn tốt nhất và hoạt động chuyển mạch gói diễn ra tại lớp này. - Lớp truy xuất mạng: Nó cũng được gọi là lớp Host-to-Network. Nó là lớp liên quan đến tất cả các vấn đề mà một gói IP yêu cầu để tạo một liên kết vật lý thực sự, và sau đó tạo một liên kết vật lý khác. Nó bao gồm các chi tiết kỹ thuật LAN và WAN, và tất cả các chi tiết trong lớp liên kết dữ liệu cũng như lớp vật lý của mô hình OSI. 1.4.2. Mô hình tham chiếu OSI 7 lớp Mô hình OSI - Mô hình TCP/IP - Các thiết bị mạng. 13
14. Tầng ứng dụng (Application layer – lớp 7): tầng ứng dụng quy định giao diện giữa người sử dụng và môi trường OSI, nó cung cấp các phương tiện cho người sử dụng truy cập vả sử dụng các dịch vụ của mô hình OSI. Các ứng dụng cung được cấp như các chương trình xử lý kí tự, bảng biểu, thư tín và lớp 7 đưa ra các giao thức HTTP, FTP, SMTP, POP3, Telnet. Tầng trình bày (Presentation layer – lớp 6): chuyển đổi các thông tin từ cú pháp người sử dụng sang cú pháp để truyền dữ liệu, ngoài ra nó có thể nén dữ liệu truyền và mã hóa chúng trước khi truyền đễ bảo mật. Tầng này sẽ định dạng dữ liệu từ lớp 7 đưa xuống rồi gửi đi đảm bảo sao cho bên thu có thể đọc được dữ liệu của bên phát. Các chuẩn định dạng dữ liệu của lớp 6 là GIF, JPEG, PICT, MP3, MPEG Tầng giao dịch (Session layer – lớp 5): thực hiện thiết lập, duy trì và kết thúc các phiên làm việc giữa hai hệ thống. Tầng giao dịch quy định một giao diện ứng dụng cho tầng vận chuyển sử dụng. Nó xác lập ánh xạ giữa các tên đặt địa chỉ, tạo ra các tiếp xúc ban đầu giữa các máy tính khác nhau trên cơ sở các giao dịch truyền thông. Nó đặt tên nhất quán cho mọi thành phần muốn đối thoại riêng với nhau. Các giao thức trong lớp 5 sử dụng là NFS, X- Window System, ASP. Tầng vận chuyển (Transport layer – lớp 4): tầng vận chuyển xác định địa chỉ trên mạng, cách thức chuyển giao gói tin trên cơ sở trực tiếp giữa hai đầu mút, đảm bảo truyền dữ liệu tin cậy giữa hai đầu cuối (end-to-end). Các giao thức phổ biến tại đây là TCP, UDP, SPX. Tầng mạng (Network layer – lớp 3): tầng mạng có nhiệm vụ xác định việc chuyển hướng, vạch đường các gói tin trong mạng (chức năng định tuyến), các gói tin này có thể phải đi qua nhiều chặng trước khi đến được đích cuối cùng. Lớp 3 là lớp có liên quan đến các địa chỉ logic trong mạng Các giao thức hay sử dụng ở đây là IP, RIP, IPX, OSPF, AppleTalk. Tầng liên kết dữ liệu (Data link layer – lớp 2): tầng liên kết dữ liệu có nhiệm vụ xác định cơ chế truy nhập thông tin trên mạng, các dạng thức chung trong các gói 14
15. tin, đóng gói và phân phát các gói tin.Lớp 2 có liên quan đến địa chỉ vật lý của các thiết bị mạng, topo mạng, truy nhập mạng, các cơ chế sửa lỗi và điều khiển luồng. Tầng vật lý (Phisical layer – lớp 1): tầng vật lý cung cấp phương thức truy cập vào đường truyền vật lý để truyền các dòng Bit không cấu trúc, ngoài ra nó cung cấp các chuẩn về điện, dây cáp, đầu nối, kỹ thuật nối mạch điện, điện áp, tốc độ cáp truyền dẫn, giao diện nối kết và các mức nối kết. 2. Các thiết bị thông dụng và các chuẩn kết nối vật lý - Hub Hub là một trong những yếu tố quan trọng nhất của LAN, đây là điểm kết nối dây trung tâm của mạng, tất cả các trạm trên mạng LAN được kết nối thông qua HUB. Một hub thông thường có nhiều cổng nối với người sử dụng để gắn máy tính và các thiết bị ngoại vi. Mỗi cổng hỗ trợ một bộ kết nối dùng cặp dây xoắn 10BASETtừ mỗi trạm của mạng. Khi bó tín hiệu Ethernet được truyền từ một trạm tới hub, nó được lặp lại trên khắp các cổng khác của hub. Các hub thông minh có thể định dạng, kiểm tra, cho phép hoặc không cho phép bởi người điều hành mạng từ trung tâm quản lý hub. Có ba loại hub: Hub đơn (stand alone hub) Hub phân tầng (stackable hub, có tài liệu gọi là HUB sắp xếp) Hub modun (modular hub) Modular hub rất phổ biến cho các hệ thống mạng vì nó có thể dễ dàng mở rộng và luôn có chức nǎng quản lý, modularcó từ 4 đến 14 khe cắm, có thể lắp thêm các modun Ethernet 10BASET. Stackable hub là lý tưởng cho những cơ quan muốn đầu tư tối thiểu ban đầu nhưng lại có kế hoạch phát triển LAN sau này. - Dây cáp Chú ý: Uỷ ban kỹ thuật điện tử (IEEE) đề nghị dùng các tên sau đây để chỉ 3 loại dây cáp dùng với mạng Ethernet chuẩn 802.3. Dây cáp đồng trục sợi to (thick coax) thì gọi là 10BASE5 (Tốc độ 10 Mbps, tần số cơ sở, khoảng cách tối đa 500m). Dây cáp đồng trục sợi nhỏ (thin coax) gọi là 10BASE2 (Tốc độ 10 Mbps, tần số cơ sở, khoảng cách tối đa 200m). 15
16. Dây cáp đôi xoắn không vỏ bọc (twisted pair) gọi là 10BASET (Tốc độ 10 Mbps, tần số cơ sở, sử dụng cáp sợi xoắn). Dây cáp quang (Fiber Optic Inter-Repeater Link) gọi là FOIRL Liên mạng (internetworking) Việc kết nối các LAN riêng lẻ thành một liên mạng chung được gọi là Internetworking. Internetworking sử dụng ba công cụ chính là: bridge, router và switch. - Cầu nối (bridge): Là cầu nối hai hoặc nhiều đoạn (segment) của một mạng. Theo mô hình OSI thì bridge thuộc mức 2. Bridge sẽ lọc những gói dữ liệu để gửi đi (hay không gửi) cho đoạn nối, hoặc gửi trả lại nơi xuất phát. Các bridge cũng thường được dùng để phân chia một mạng lớn thành hai mạng nhỏ nhằm làm tǎng tốc độ. Mặc dầu ít chức nǎng hơn router, nhưng bridgecũng được dùng phổ biến. - Bộ dẫn đường (router) Chức nǎng cơ bản của router là gửi đi các gói dữ liệu dựa trên địa chỉ phân lớp của mạng và cung cấp các dịch vụ như bảo mật, quản lý lưu thông Giống như bridge, router là một thiết bị siêu thông minh đối với các mạng thực sự lớn. router biết địa chỉ của tất cả các máy tính ở từng phía và có thể chuyển các thông điệp cho phù hợp. Chúng còn phân đường-định truyền để gửi từng thông điệp có hiệu quả. Theo mô hình OSI thì chức nǎng của router thuộc mức 3, cung cấp thiết bị với thông tin chứa trong các header của giao thức, giúp cho việc xử lý các gói dữ liệu thông minh. Dựa trên những giao thức, router cung cấp dịch vụ mà trong đó mỗi packet dữ liệu được đọc và chuyển đến đích một cách độc lập. Khi số kết nối tǎng thêm, mạng theo dạng router trở nên kém hiệu quả và cần suy nghĩ đến sự thay đổi. - Bộ chuyển mạch (switch) Chức nǎng chính của switch là cùng một lúc duy trì nhiều cầu nối giữa các thiết bị mạng bằng cách dựa vào một loại đường truyền xương sống (backbone) nội tại tốc độ cao. Switch có nhiều cổng, mỗi cổng có thể hỗ trợ toàn bộ EthernetLAN hoặc Token Ring. 16
17. Bộ chuyển mạch kết nối một số LAN riêng biệt và cung cấp khả nǎng lọc gói dữ liệu giữa chúng. Các switch là loại thiết bị mạng mới, nhiều người cho rằng, nó sẽ trở nên phổ biến nhất vì nó là bước đầu tiên trên con đường chuyển sang chế độ truyền không đồng bộ ATM. - Hệ điều hành mạng - NOS (Network Operating System) Cùng với sự nghiên cứu và phát triển mạng máy tính, hệ điều hành mạng đã được nhiều công ty đầu tư nghiên cứu và đã công bố nhiều phần mềm quản lý và điều hành mạng có hiệu quả như: NetWare của công ty NOVELL, LAN Managercủa Microsoft dùng cho các máy server chạy hệ điều hành OS/2, LAN server của IBM (gần như đồng nhất với LANManager), Vines của Banyan Systems là hệ điều hành mạng dùng cho server chạy hệ điều hành UNIX, Promise LAN củaMises Computer chạy trên card điều hợp mạng độc quyền, Widows for Workgroups của Microsoft, LANtastic của Artisoft, NetWare Lite của Novell, Một trong những sự lựa chọn cơ bản mà ta phải quyết định trước là hệ điều hành mạng nào sẽ làm nền tảng cho mạng của ta, việc lựa chọn tuỳ thuộc vào kích cỡ của mạng hiện tại và sự phát triển trong tương lai, còn tuỳ thuộc vào những ưu điểm và nhược điểm của từng hệ điều hành. Một số hệ điều hành mạng phổ biến hiện nay: Hệ điều hành mạng UNIX: Đây là hệ điều hành do các nhà khoa học xây dựng và được dùng rất phổ biến trong giới khoa học, giáo dục. Hệ điều hành mạng UNIX là hệ điều hành đa nhiệm, đa người sử dụng, phục vụ cho truyền thông tốt. Nhược điểm của nó là hiện nay có nhiều Version khác nhau, không thống nhất gây khó khǎn cho người sử dụng. Ngoài ra hệ điều hành này khá phức tạp lại đòi hỏi cấu hình máy mạnh (trước đây chạy trên máy mini, gần đây có SCO UNIX chạy trên máy vi tính với cấu hình mạnh). Hệ điều hành mạng Windows NT: Đây là hệ điều hành của hãng Microsoft, cũng là hệ điều hành đa nhiệm, đa người sử dụng. Đặc điểm của nó là tương đối dễ sử dụng, hỗ trợ mạnh cho phần mềm WINDOWS. Do hãng Microsoft là hãng phần mềm lớn nhất thế giới hiện nay, hệ điều hành này có khả nǎng sẽ được ngày càng phổ biến rộng rãi. Ngoài ra, Windows NT có thể liên kết tốt với máy chủ Novell Netware. Tuy nhiên, để chạy có hiệu quả, Windows NT cũng đòi hỏi cấu hình máy tương đối mạnh. Hệ điều hành mạng Windows for Worrkgroup: Đây là hệ điều hành mạng ngang hàng nhỏ, cho phép một nhóm người làm việc (khoảng 3-4 người) dùng chung ổ 17
18. đĩa trên máy của nhau, dùng chung máy in nhưng không cho phép chạy chung một ứng dụng. Hệ dễ dàng cài đặt và cũng khá phổ biến. Hệ điều hành mạng NetWare của Novell: Đây là hệ điều hành phổ biến nhất hiện nay ở nước ta và trên thế giới trong thời gian cuối, nó có thể dùng cho các mạng nhỏ (khoảng từ 5-25 máy tính) và cũng có thể dùng cho các mạng lớn gồm hàng trǎm máy tính. Trong những nǎm qua, Novell đã cho ra nhiều phiên bản của Netware: Netware 2.2, 3.11. 4.0 và hiện có 4.1. Netware là một hệ điều hành mạng cục bộ dùng cho các máy vi tính theo chuẩn của IBM hay các máy tính Apple Macintosh, chạy hệ điều hành MS-DOS hoặc OS/2.Hệ điều hành này tương đối gọn nhẹ, dễ cài đặt (máy chủ chỉ cần thậm chí AT386) do đó phù hợp với hoàn cảnh trang thiết bị hiện tại của nước ta. Ngoài ra, vì là một phần mềm phổ biến nên Novell Netware được các nhà sản xuất phần mềm khác hỗ trợ (theo nghĩa các phân mềm do các hãng phần mềm lớn trên thế giới làm đều có thể chạy tốt trên hệ điều hành mạng này). Các Phương tiện Kết nối mạng liên khu vực (WAN) Bên cạnh phương pháp sử dụng đường điện thoại thuê bao để kết nối các mạng cục bộ hoặc mạng khu vực với nhau hoặc kết nối vào Internet, có một số phương pháp khác: Đường thuê bao (leased line). Đây là phương pháp cũ nhất, là phương pháp truyền thống nhất cho sự nối kết vĩnh cửu. Bạn thuê đường dây từ công ty điện thoại (trực tiếp hoặc qua nhà cung cấp dịch vụ). Bạn cần phải cài đặt một "Chanel Service Unit" (CSU) để nối đến mạng T, và một "Digital Service Unit" (DSU) để nối đến mạng chủ (primary) hoặc giao diện mạng. ISDN (Integrated Service Digital Nework). Sử dụng đường điện thoại số thay vì đường tương tự. Do ISDN là mạng dùng tín hiệu số, bạn không phải dùng một modem để nối với đường dây mà thay vào đó bạn phải dùng một thiết bị gọi là "codec" với modem có khả nǎng chạy ở 14.4 kbit/s. ISDN thích hợp cho cả hai trường hợp cá nhân và tổ chức. Các tổ chức có thể quan tâm hơn đến ISDN có khả nǎng cao hơn ("primary" ISDN) với tốc độ tổng cộng bằng tốc độ 1.544 Mbit/s của đường T1. Cước phí khi sử dụng ISDN được tính theo thời gian, một số trường hợp tính theo lượng dữ liệu được truyền đi và một số thì tính theo cả hai. CATV link. Công ty dẫn cáp trong khu vực của bạn có thể cho bạn thuê một "chỗ" trên đường cáp của họ với giá hấp dẫn hơn với đường điện thoại. Cần phải biết những thiết bị gì cần cho hệ thống của mình và độ rộng của dải mà bạn sẽ được cung cấp là bao nhiêu. Cũng như việc đóng góp chi phí với những khách hàng khác cho kênh liên lạc đó là như thế nào. Một dạng kỳ lạ hơn được đưa ra với tên gọi là 18
19. mạng "lai" ("hybrid" Network), với một kênh CATV được sử dụng để lưu thông theo một hướng và một đường ISDN hoặc gọi số sử dụng cho đường trở lại. Nếu muốn cung cấp thông tin trên Internet, bạn phải xác định chắc chắn rằng "kênh ngược" của bạn đủ khả nǎng phục vụ cho nhu cầu thông tin của khách hàng của bạn. Frame relay. Frame relay "uyển chuyển" hơn đường thuê bao. Khách hàng thuê đường Frame relay có thể mua một dịch vụ có mức độ xác định - một "tốc độ thông tin uỷ thác" ("Committed Information Rale" - CIR). Nếu như nhu cầu của bạn trên mạng là rất "bột phát" (burty), hay người sử dụng của bạn có nhu cầu cao trên đường liên lạc trong suốt một khoảng thời gian xác định trong ngày, và có ít hoặc không có nhu cầu vào ban đêm - Frame relay có thể sẽ kinh tế hơn là thuê hoàn toàn một đường T1 (hoặc T3). Nhà cung cấp dịch vụ của bạn có thể đưa ra một phương pháp tương tự như là phương pháp thay thế đó là Switched Multimegabit Data Service. 19
20. Chương 2: Giao thức TCP/IP Mã bài: MH08 - C02 Giới thiệu:Trong chương này chúng ta nghiên cứu về các giao thức trong mạng máy tính, các địa chỉ IP và cấu trúc của một IP. Mục tiêu: - Hiểu rõ các kiến thức liên quan đến TCP/IP và địa chỉ IP; - Biết cách định tuyến, phân mảnh và hợp nhất các gói IP; - Thực hiện các thao tác an toàn với máy tính. Nội dung chính: 1. Tổng quan về giao thức IP và địa chỉ IP 1.1. Giao thức IP Mục đích của giao thức IP là kết nối các mạng con thành dạng Internet để truyền dữ liệu. Giao thức IP cung cấp bốn chức năng: - Đơn vị cơ sở cho truyền dữ liệu - Đánh địa chỉ - Chọn đường - Phân đoạn các datagram Mục đích đầu tiên của IP là cung cấp các thuật toán truyền dữ liệu giữa các mạng. Nó cung cấp một dịch vụ phân phát không kết nối cho các giao thức tầng cao hơn. Nghĩa là nó không thiết lập phiên (session) làm việc giữa trạm truyền và trạm nhận. IP gói (encapsulate) dữ liệu và phát nó với một sự nỗ lực nhất. IP không báo cho người nhận và người gửi về tình trạng gói dữ liệu mà cố gắng phát nó, do đó gọi là dịch vụ nỗ lực nhất. Nếu tầng liên kết dữ liệu bị lỗi thì IP cũng không thông báo mà cứ gửi lên tầng trên. Do đó, tới tầng TCP dữ liệu phải được phục hồi lỗi. Nói cách khác, tầng TCP phải có cơ chế timeout đối với việc truyền đó và sẽ phải gửi lại (resend) dữ liệu. Trước khi phát dữ liệu xuống tầng dưới, IP thêm vào các thông tin điều khiển để báo cho tầng 2 biết có thông báo cần gửi vào mạng. Đơn vị thông tin IP truyền đi gọi là datagram, còn khi truyền trên mạng gọi là gói. Các gói được truyền với tốc độ cao trên mạng. Giao thức IP không quan tâm kiểu dữ liệu trong gói. Các dữ liệu phải thêm các thông tin điều khiển gọi là đầu IP (IP header). Hình 2.3 chỉ ra cách IP gói thông tin và một đầu gói chuẩn của một datagram IP. 20
21. Khuôn dạng của IP header Các trường trong IP header được định nghĩa như sau: VERS: Định nghĩa phiên bản hiện thời của IP trên mạng. Phiên bản này là Version 4 còn phiên bản sau cùng là Version 6. HLEN: Chiều dài của đầu IP. Không phải tất cả các trường trong phần đầu đều được sử dụng. Trường đo bằng đơn vị từ 32 bit. Đầu IP ngắn nhất là 20 bytes. Nó cũng có thể dài hơn phụ thuộc trường option. Service Type: Đặc tả các tham số về dịch vụ, có dạng cụ thể như sau: 0 1 2 3 4 5 6 7 Precedence D T R unused + Precedence: Trường này có giá trị từ 0 (mức ưu tiên bình thường) tới 7 (mức kiểm soát mạng) qui định việc gửi datagram. Nó kết hợp với các bit D (trễ), T (thông lượng), R (độ tin cậy) thành thông tin để chọn đường, được xem như định danh kiểu dịch vụ (Type of Service – TOS). + Bit D – Thiết lập là 1 khi yêu cầu trễ thấp. + Bit T – Yêu cầu thông lượng cao. + Bit R – Yêu cầu độ tin cậy cao. Ví dụ, nếu có nhiều đường tới đích, bộ chọn đường sẽ đọc trường này để chọn một đường. Điều này đã trở nên quan trọng trong giao thức chọn đường OSPF, giao 21
22. thức chọn đường đầu tiên của IP. Nếu giao dịch đã chiếm vị trí truyền file bạn có thể thiết lập các bit là 0 0 1 để báo rằng bạn không muốn độ trễ thấp và thông lượng cao nhưng cần độ tin cậy cao. Các trường của TOS được thiết lập bởi các ứng dụng như (TELNET, FTP) và không chọn đường. Các bộ chọn đường chỉ đọc trường này và dựa vào đó chọn ra đường tối ưu cho datagram. Nó yêu cầu một bộ chọn đường có nhiều bảng chọn, mỗi bảng ứng với một kiểu dịch vụ. Total length: Đây là chiều dài của datagram đo bằng byte (trường này dài 16 bit do đó khu vực IP datagram dài 65535 byte). Khi phải truyền một gói từ mạng rất lớn sang mạng khác, bộ chọn đường TCP/IP phải phân đoạn gói lớn thành các gói nhỏ hơn. Xét ví dụ, truyền một khung từ mạng Token Ring (kích thước truyền tối đa 4472 byte) tới mạng Ethernet (tối đa 1518 byte). TCP/IP sẽ thiết lập kích thước gói cho một liên kết. Nhưng nếu hai trạm đang thông tin bằng nhiều loại phương tiện, mỗi loại hỗ trợ kích thước truyền khác nhau? Việc phân đoạn thành các gói nhỏ thích hợp hơn cho truyền trên mạng LAN hoặc mạng LAN phức hợp dùng tầng IP. Các trường sau được sử dụng để đạt được kết quả này. Idetification, flags, frement offset: Các trường này biểu thị cách phân đoạn một datagram quá lớn. IP cho phép trao đổi dữ liệu giữa các mạng có khả năng phân đoạn các gói. Mỗi đầu IP của mỗi datagram đã phân đoạn hầu như giống nhau. Trường Identification để nhận dạng các datagram được phân đoạn từ cùng một datagram lớn hơn. Nó kết hợp với địa chỉ IP nguồn để nhận dạng. Trường flags biểu thị: Dữ liệu đang tới có được phân đoạn hay không. Phân đoạn hoặc không đối với một datagram. Việc phân đoạn rất quan trọng khi truyền trên các mạng có kích thước khung khác nhau. Ta đã biết cầu (bridge) không có khả năng này. Khi nhận một gói quá lớn nó sẽ phát (forward) lên mạng và không làm gì cả. Các giao thức tần trên sẽ timeout gói và trả lời theo. Khi một phiên làm việc thiết lập, hầu hết các giao thức có khả năng thương lượng khích thước gói tối đa mà mỗi trạm có thể quản lý, do đó không ảnh hưởng tới hoạt động của cầu. Các trường total length (tổng chiều dài) và fragment offset IP có thể xây dựng lại một datagram và chuyển nó tới phần mềm tầng cao hơn. Trường total length biểu thị tổng độ dài của một gói. Trường fragment offset biểu thị độ lệch từ đầu gói tới 22
23. điểm mà tại đó dữ liệu sẽ được đặt vào trong đoạn dữ liệu để xây dựng lại gói (reconstruction). Trường Time to live (TTL): Có nhiều điều kiện lỗi làm cho một gói lặp vô hạn giữa các router (bộ chọn đường) trên Internet. Khởi đầu gói được thiết lập tại trạm gốc (originator). Các router sử dụng trường này để đảm bảo các gói không bị lặp vô hạn trên mạng. Tại trạm phát trường này được thiết lập thời gian là một số giây, khi datagram qua mỗi router trường này sẽ bị giảm. Với tốc độ hiện nay của các router thường giảm. Một thuật toán là router đang nhận sẽ ghi thời gian một gói đến, và sau đó, khi phát (forward) gói, router sẽ giảm trường này đi một số giây mà datagram phải đợi để được phát đi. Không phải tất cả các thuật toán đều làm việc theo cách này. Thời gian giảm ít nhất là 1 giây. Router giảm trường này tới 0 sẽ hủy gói tin và báo cho trạm gốc đã phát đi datagram. Trường TTL cũng được thiết lập một thời gian xác định (ví dụ số khởi tạo thấp nhất 64) để đảm bảo một gói tồn tại trên mạng trong một khoảng thời gian xác định. Nhiều router cho phép người quản trị mạng thiết lập trường này một số bất kỳ từ 0 đến 255. Trường Protocol: Trường này dùng để biểu thị giao thức mức cao hơn IP (ví dụ TCP hoặc UDP). Có nhiều giao thức tồn tại trên giao IP. IP không quan tầm tới giao thức đang chạy trên nó. Thường các giao thức này là TCP hoặc UDP. Theo thứ tự IP biết phải chuyển đúng gói tin tới đúng thực thể phía trên, đó là mục đích của trường này. Trường Checksum: Đây là mã CRC – 16 bit (kiểm tra dư thừa vòng). Nó đảm bảo tính toàn vẹn (integrity) của header. Một số CRC được tạo ra từ dữ liệu trong trường IP data và được đặt trong trường này bởi trạm truyền (transmitting station). Khi trạm nhận đọc dữ liệu, nó sẽ tính số CRC. Nếu hai số CRC không giống nhau, có một lỗi trong header và gói tin sẽ bị hủy. Khi mỗi router nhận được datagram, nó sẽ tính lại checksum. Bởi vì, trường TTL bị thay đổi bởi mỗi router khi datagram truyền qua. Trường IP option: Về cơ bản, nó gồm thông tin về chọn đường (source routing), tìm vết (tracing a route), gán nhãn thời gian (time stamping) gói tin khi nó truyền qua các router và các đầu mục bí mật quân sự. Trường này có thể có hoặc không có trong header (nghĩa là cho phép độ dài header thay đổi). Các trường IP source và IP destination address (địa chỉ nguồn và đích): Rất quan trọng đối với người sử dụng khi khởi tạo trạm làm việc của họ hoặc cố định truy nhập các trạm khác không sử dụng dịch vụ tên miền (DNS) hoặc cập nhật file host 23
24. (up-to-date host file). Nó cho biết địa chỉ trạm đích gói tin phải tới và địa chỉ trạm gốc đã phát gói tin. Tất cả các host trên internet được định danh bởi địa chỉ. Địa chỉ IP rất quan trọng sẽ được bàn tới đầy đủ dưới đây. 1.2 Địa chỉ IP Ta đã biết với mạng Ethernet và Token Ring có các địa chỉ MAC. Với giao thức TCP/IP các host được định danh bởi địa chỉ IP 32-bit. Đây được xem như một giao thức địa chỉ. Mục đích đánh địa chỉ để IP thông tin với các host trên mạng hoặc Internet. Địa chỉ IP xác định cả nút đặc biệt và số hiệu mạng của nó. Địa chỉ IP dài 32 bit chia làm 4 trường, mỗi trường 1 byte. Địa chỉ này có thể biểu diễn dưới dạng thập phân, cơ số 8, 16 và nhị phân. Thường địa chỉ IP viết dưới dạng thập phân cùng các dấu chấm. Có hai cách gán địa chỉ IP, phụ thuộc cách kết nối của bạn. Nếu bạn nối với Internet, địa chỉ mạng được gán thông qua điều hành trung tâm, như trung tâm thông tin mạng (Network Information Centrer – NIC). Nếu bạn không nối với Internet, địa chỉ IP của bạn được gán một cách địa phương thông qua người quản trị mạng của bạn. Khi NIC gán địa chỉ mạng của bạn, đó chỉ là số hiệu mạng còn phần địa chỉ host được gán một cách địa phương bởi người quan trị mạng. XNS sử dụng địa chỉ MAC 48-bit như địa chỉ host của nó. IP được phát triển trước khi có LAN tốc độ cao, do đó, nó có sơ đồ số hiệu của riêng nó. Địa chỉ IP tương thích với địa chỉ tầng vật lý của Ethernet và Token Ring. Khuôn dạng địa chỉ IP Mỗi host trên mạng TCP/IP có một định danh duy nhất tại tầng IP với một địa chỉ có dạng . Toàn bộ địa chỉ thường dùng để định danh một host, không có sự tách biệt giữa các trường. Thực tế, khó phân biệt giữa các trường khi không viết tách. Dạng tổng quát của địa chỉ IP có dạng: Các lớp IP (IP classes): 128.4.70.9 là một ví dụ địa chỉ IP. Nhìn vào địa chỉ này khó mà biết được đâu là phân số hiệu mạng, đâu là phân số hiệu host. Địa chỉ IP bao gồm 4 byte, phần số hiệu mạng có thể chiếm một, hai hoặc ba byte đầu, phần còn lại là số hiệu host. Tùy thuộc vào điều đó, địa chỉ IP chia làm 5 lớp: A, B, C, D và E. Các lớp A, B và 24
25. C được sử dụng cho địa chỉ mạng và host. Lớp D là kiểu địa chỉ đặc biệt dùng cho multicast. Lớp E được để dành. 1.3.Cấu trúc gói dữ liệu IP: Lớp A: Địa chỉ lớp A chỉ sử dụng byte đầu cho số hiệu mạng, ba byte sau cho địa chỉ host. Địa chỉ lớp A cho phép phân biệt 126 mạng, mỗi mạng tới 16 triệu host ứng với 24 bits. Tại sao chỉ có 126 mạng ứng với 8 bit? Thứ nhất, 127.x (01111111 nhị phân) được dành cho chức năng loop-back nên không gán cho số hiệu mạng. Thứ hai, bit đầu tiên thiết lập 0 để nhận dạng lớp A. Địa chỉ mạng lớp A thường trong phạm vi từ 1 tới 126, còn ba byte cuối được gán một cách địa phương cho các host. Địa chỉ lớp A có dạng: Lớp B: Địa chỉ lớp B dùng hai byte đầu cho số hiệu mạng và hai byte cuối dành cho số hiệu host. Nó được nhận dạng bởi hai bit đầu tiên là 10. Cho phép phân biệt 16384 số hiệu mạng, mỗi mạng tới 65354 host. Do đó dịch địa chỉ số hiệu mạng từ 128 tới 191. Nên nó sẽ có dạng: Lớp C: Địa chỉ lớp C sử dụng ba byte đầu cho số hiệu mạng và byte cuối cho địa chỉ host. Nhận dạng bởi ba bit đầu tiên là 110. Cho phép địa chỉ mạng trong phạm vi 192-223 của trường thứ nhất. Do đó có tới hai triệu mạng và mỗi mạng có thể chứa 254 host. Thường địa chỉ lớp C được gán bởi NIC. Nó có dạng: Địa chỉ IP không thể đặt bốn bit đầu tiên 1111 vì dành cho lớp E. Các địa chỉ lớp D hoặc multicast dùng để gửi một IP datagram tới một nhóm các host trên mạng. Các địa chỉ IP dành riêng Các địa chỉ host nào đó được dành riêng và không thể gán cho các thiết bị trên mạng. Các địa chỉ host dành riêng này bao gồm: Địa chỉ mạng: Được dùng để định danh chính mạng đó. Một địa chỉ IP có tất cả vị trí bit ở phần host đều chứa nhị phân 0 được dành riêng cho địa chỉ mạng. ĐịachỉBroadcast: Được dùng để quảng bá (broadcasting) các gói đến tất cả các thiết bị trên một mạng. Để truyền số liệu đến tất cả các thiết bị trên mạng, cần một địa chỉ broadcast. Một hoạt động broadcast diễn ra là khi một nguồn truyền số liệu đến tất cả các thiết bị trên mạng. Để đảm bảo tất cả các thiết bị khác trên mạng xử lý broadcast này, máy gửi phải dùng một địa chỉ IP đích mà chúng có thể chấp 25
26. nhận và xử lý. Các địa chỉ broadcast kết thúc bằng toàn là nhị phân 1 trong phần host của địa chỉ.IPv6 IPv6 là tập hợp những đặc tả về nâng cấp IPv4 và được IETF soạn thảo. Nó được coi là giao thức Internet thế hệ mới và được thiết kế để gói thông tin được định dạng cho IPv4 có thể làm việc được. Những giới hạn về dung lượng địa chỉ và tốc độ tìm đường đi thấp đã thúc đẩy việc phát triển IPv6. Với dung lượng 128 bit và cách đánh địa chỉ đơn giản hơn, giao thức mới này sẽ giải quyết phần nào những vấn đề trên. Các tính năng được tăng cường này sẽ giải quyết phần nào những vấn đề trên. Các tính năng được tăng cường khác là mã hóa 64 bit và tự động cấu hình được thiết kế sẵn của địa chỉ IP. Khuôn dạng của IPv6 header được miêu tả ở hình 2.4. Khuôn dạng của IPv6 header Mở rộng địa chỉ và tính năng dẫn đường: Kích thước địa chỉ IP lên đến 128 đảm bảo rằng IPv6 sẽ là giao thức Internet lâu dài. Khả năng mở rộng của việc định tuyến một chiều được cải tiến để truyền một cách hiệu quả các ứng dụng băng thông cao như video và audio. Tốc độ mạng: Những thay đổi thực hiện trong định dạng địa chỉ giúp giảm yêu cầu về băng thông và cho phép tăng tính hiệu quả và linh hoạt của việc định tuyến và phát tiếp thông tin. Khả năng bảo mật thiết kế sẵn: Những mở rộng để hỗ trợ khả năng kiểm tra tính hợp lệ, tích hợp và bảo mật dữ liệu là một phần của IPv6. 1.4. Phân mảnh và hợp nhất các gói IP 26
27. Một gói dữ liệu IP có độ dài tối đa 65536 byte, trong khi hầu hết các tầng liên kết dữ liệu chỉ hỗ trợ các khung dữ liệu nhỏ hơn độ lớn tối đa của gói dữ liệu IP nhiều lần (ví dụ độ dài lớn nhất MTU của một khung dữ liệu Ethernet là 1500 byte). Vì vậy cần thiết phải có cơ chế phân mảnh khi phát và hợp nhất khi thu đối với các gói dữ liệu IP. P dùng cờ MF (3 bit thấp của trường Flags trong phần đầu của gói IP) và trường Flagment offset của gói IP (đã bị phân đoạn) để định danh gói IP đó là một phân đoạn và vị trí của phân đoạn này trong gói IP gốc. Các gói cùng trong chuỗi phân mảnh đều có trường này giống nhau. Cờ MF bằng 1 nếu là gói đầu của chuỗi phân mảnh và 0 nếu là gói cuối của gói đã được phân mảnh. 1.5. Định tuyến IP hiện đại hiện nay có xu hướng hội tụ các dịch vụ mạng, yêu cầu đặt ra từ phía người sử dụng là rất đa dạng và phức tạp. Các phương pháp định tuyến động được sử dụng nhằm nâng cao hiệu năng của mạng mới này, cho phép người sử dụng tham gia một phần vào quá trình quản lý mạng, tăng thêm tính chủ động, mềm dẻo đáp ứng tốt hơn yêu cầu người sử dụng dịch vụ - Định tuyến trong mạng viễn thông Định tuyến là một chức năng không thể thiếu được trong mạng viễn thông trong quá trình thực hiện đấu nối các cuộc gọi trong mạng, và nó cũng được coi là phần trung tâm của kiến trúc mạng, thiết kế mạng và điều hành mạng. Các yếu tố thúc đẩy cho quá trình thay đổi và phát triển định tuyến mạng chủ yếu do nhu cầu cải thiện hiệu năng mạng, các dịch vụ mới được đưa vào khai thác, và sự thay đổi về công nghệ mạng, và đây cũng là một trong những thách thức khi xây dựng và khai 27
28. thác mạng. Hầu hết các mạng viễn thông truyền thống được xây dựng theo mô hình mạng phân cấp mô hình này cho phép sử dụng định tuyến tĩnh trên quy mô lớn. Trong khi định tuyến tĩnh vẫn còn tồn tại thì tính chất độc lập giữa người sử dụng và mạng vẫn ở mức cao; định tuyến tĩnh chủ yếu dựa trên mong muốn của người sử dụng nhiều hơn là tình trạng của mạng hiện thời. Mạng hiện đại hiện nay có xu hướng hội tụ các dịch vụ mạng, yêu cầu đặt ra từ phía người sử dụng là rất đa dạng và phức tạp. Các phương pháp định tuyến động được sử dụng nhằm nâng cao hiệu năng của mạng mới này, cho phép người sử dụng tham gia một phần vào quá trình quản lý mạng, tăng thêm tính chủ động, mềm dẻo đáp ứng tốt hơn yêu cầu người sử dụng dịch vụ. - Định tuyến tĩnh Kế hoạch định tuyến tĩnh được sử dụng trong hầu hết các mạng truyền thống, trong kế hoạch định tuyến này chủ yếu với mục đích làm giảm các hệ thống chuyển mạch phải đi qua, trong các cuộc gọi đường dài [1]. Kỹ thuật định tuyến tĩnh bộc lộ một số nhược điểm như : quyết định định tuyến tĩnh không dựa trên sự đánh giá lưu lượng và topo mạng hiện thời. Trong môi trường IP các bộ định tuyến không thể phát hiện ra các bộ định tuyến mới, chúng chỉ có thể chuyển gói tin tới các bộ định tuyến được chỉ định của nhà quản lý mạng. Tuy nhiên, phương pháp định tuyến tĩnh sử dụng hiệu quả trong mạng nhỏ với các tuyến đơn, các bộ định tuyến không cần trao đổi các thông tin tìm đường cũng như cơ sở dữ liệu định tuyến. - Định tuyến động Định tuyến động lựa chọn tuyến dựa trên thông tin trạng thái hiện thời của mạng. Thông tin trạng thái có thể đo hoặc dự đoán và tuyến đường có thể thay đổi khi topo mạng hoặc lưu lượng mạng thay đổi. Thông tin định tuyến cập nhật vào trong các bảng định tuyến của các nút (node) mạng trực tuyến, và đáp ứng tính thời gian thực nhằm tránh tắc nghẽn cũng như tối ưu hiệu năng mạng. Định tuyến động xây dựng trên hai yếu tố cơ bản: Mô hình tính toán và thông tin trạng thái. Có hai kiểu mô hình tính toán sử dụng trong định tuyến động là mô hình tập trung và mô hình phân tán. Mô hình tập trung được xây dựng từ hệ thống tính toán định tuyến. Nhưng trong điều kiện mạng phát triển rất nhanh và mạnh, mô hình phân tán thực sự chiếm được ưu thế với độ động lớn hơn, vì các chức năng định tuyến được thực hiện trên nhiều thực thể mạng, các thông tin được lưu tại nhiều thực thể và vì thế độ tin cậy của mạng tăng lên. Định tuyến tương thích động có thông tin mang tính thời gian thực, các hướng thay thế được tìm thấy dựa trên trạng thái thực của mạng. Việc đánh giá trạng thái hiện thời của mạng yêu cầu các tài nguyên tính toán, và quá trình tính toán có thể tiếp cận theo nhiều hướng, trong đó có thể sử dụng các logic mờ và các thuật toán trí tuệ nhân tạo (heuristic) để tìm đường lý tưởng, tương thích với điều kiện của mạng. Ba thuật toán thường được sử dụng trong kỹ thuật định tuyến tương thích động là Efrouter [2], Định tuyến thay thế động (DAR)[3], định tuyến mạng thời gian thực (RTNR) [4]. 28
29. - Efrouter là hệ thống định tuyến dựa trên cơ sở của các thuật toán tính toán thông minh, dựa trên lý thuyết mờ và giải thuật generic. Các tương tác hỗ trợ tự động tính toán và đưa ra mô hình dự đoán các mức sử dụng liên kết, dựa trên quá trình giám sát mạng, lưu lượng và các thông số đo lượng. - Định tuyến thay thế động DAR rất hiệu quả trong trường hợp sử dụng một số lượng nhỏ thông tin cục bộ. DAR là chiến lược định tuyến cuộc gọi động, sử dụng phương pháp chọn thống kê hướng khả tuyển về tải của tuyến liên kết. - Định tuyến mạng thời gian thực (RTNR) được thiết kế để tương thích với môi trường đa lớp dịch vụ. Phương pháp định tuyến động này không hoàn toàn phụ thuộc vào bảng định tuyến được tính toán trước đó, tuyến nối tối ưu có thể phụ thuộc vào sự kiện theo thời gian thực hoặc trạng thái mạng theo thời gian thực [1]. Các thông tin trạng thái được trao đổi và cập nhật theo các giao thức định tuyến. Hai thuật toán thường được sử dụng phổ biến trong kỹ thuật định tuyến động là: Thuật toán định tuyến theo vecto khoảng cách (DVA) [5] và thuật toán định tuyến theo trạng thái liên kết (LSA)[5]. 2. Giao thức TCP Giao thức TCP (Transmission Control Protocol – “Giao thức điều khiển truyền vận“) là một trong các giao thức cốt lõi của bộ giao thức TCP/IP. Sử dụng TCP, các ứng dụng trên các máy chủ được nối mạng có thể tạo các “kết nối” với nhau, mà qua đó chúng có thể trao đổi dữ liệu hoặc các gói tin. Giao thức này đảm bảo chuyển giao dữ liệu tới nơi nhận một cách đáng tin cậy và đúng thứ tự. TCP còn phân biệt giữa dữ liệu của nhiều ứng dụng (chẳng hạn, dịch vụ Web và dịch vụ thư điện tử) đồng thời chạy trên cùng một máy chủ. TCP hỗ trợ nhiều giao thức ứng dụng phổ biến nhất trên Internet và các ứng dụng kết quả, trong đó có WWW, thư điện tử và Secure Shell. Hoạt động của TCP: Trong bộ giao thức TCP/IP, TCP là tầng trung gian giữa giao thức IP bên dưới và một ứng dụng bên trên. Các ứng dụng thường cần các kết nối đáng tin cậy kiểu đường ống để liên lạc với nhau, trong khi đó, giao thức IP không cung cấp những dòng kiểu đó, mà chỉ cung cấp dịch vụ chuyển gói tin không đáng tin cậy. TCP làm nhiệm vụ của tầng giao vận trong mô hình OSI đơn giản của các mạng máy tính. Các ứng dụng gửi các dòng gồm các byte 8-bit tới TCP để chuyển qua mạng. TCP phân chia dòng byte này thành các đoạn (segment) có kích thước thích hợp (thường được quyết định dựa theo kích thước của đơn vị truyền dẫn tối đa (MTU) của tầng liên kết dữ liệu của mạng mà máy tính đang nằm trong đó). Sau đó, TCP chuyển các gói tin thu được tới giao thức IP để gửi nó qua một liên mạng tới mô đun TCP tại máy tính đích. TCP kiểm tra để đảm bảo không có gói tin nào bị thất lạc bằng 29
30. cách gán cho mỗi gói tin một “số thứ tự” (sequence number). Số thứ tự này còn được sử dụng để đảm bảo dữ liệu được trao cho ứng dụng đích theo đúng thứ tự. Mô đun TCP tại đầu kia gửi lại “tin báo nhận” (acknowledgement) cho các gói tin đã nhận được thành công; một “đồng hồ” (timer) tại nơi gửi sẽ báo time-out nếu không nhận được tin báo nhận trong khoảng thời gian bằng một round-trip time (RTT), và dữ liệu (được coi là bị thất lạc) sẽ được gửi lại. TCP sử dụng checksum (giá trị kiểm tra) để xem có byte nào bị hỏng trong quá trình truyền hay không; giá trị này được tính toán cho mỗi khối dữ liệu tại nơi gửi trước khi nó được gửi, và được kiểm tra tại nơi nhận. Sơ đồ trạng thái của TCP – phiên bản đơn giản hóa Không như giao thức UDP – giao thức có thể lập tức gửi gói tin mà không cần thiết lập kết nối, TCP đòi hỏi thiết lập kết nối trước khi bắt đầu gửi dữ liệu và kết thúc kết nối khi việc gửi dữ liệu hoàn tất. Cụ thể, các kết nối TCP có ba pha: Thiết lập kết nối Truyền dữ liệu Kết thúc kết nối 30
31. Chương 3: Windows sever và một số ứng dụng của sever Mã bài: MH08 - C03 Giới thiệu:Trong chương này chúng ta nghiên cứu về sever, cách cài đặt, quản lý và một số ứng dụng của sever. Mục tiêu: - Liệt kê được các ứng dụng của hệ điều hànhWindows Server; - Cài đặt được hệ điều hành windows server, cấu hình active driectory; - Xây dựng được các máy trạm vào domain; - Quản lý được tài khoản người dùng và nhóm người dùng; - Thực hiện các thao tác an toàn với máy tính. Nội dung chính: 1. Windows sever 1.1. Cài đặt hệ điều hành windows sever Cho đĩa cài đặt Windows Server 2008 vào ổ và khởi động máy chủ từ đĩa cài. Khi được yêu cầu chọn ngôn ngữ, thời gian, đơn vị tiền tệ và thông tin bàn phím, bạn hãy đưa ra lựa chọn thích hợp rồi click Next. Thiết lập ngôn ngữ, thời gian và đơn vị tiền tệ, thông tin bàn phím. 31
32. Tùy chọn Install Now xuất hiện. Nếu chưa chắc chắn về yêu cầu phần cứng, bạn có thể click vào liên kết What to Know Before Installing Windows để biết thêm chi tiết. Nhập khóa kích hoạt sản phẩm (product key) và đánh dấu kiểm vào ôAutomatically Activate Windows When I’m Online. Click Next. Nhập khóa kích hoạt sản phẩm hợp lệ. Nếu chưa nhập khóa sản phẩm ở mục trước, bây giờ bạn sẽ phải lựa chọn ấn bản Windows Server 2008 sắp cài đặt và đánh dấu kiểm vào ô I Have Selected an Edition of Windows That I Purchased. Nếu bạn đã nhập khóa sản phẩm hợp lệ, trình cài đặt sẽ tự động nhận diện được ấn bản Windows Server 2008 bạn sắp cài đặt. Click Next. Lựa chọn bản Windows Server 2008 để cài đặt. 32
33. Đọc các điều khoản quy định và chấp nhận bằng cách đánh dấu ô kiểm. ClickNext. Ở cửa sổ mới xuất hiện, do bạn khởi động máy từ đĩa cài nên tùy chọn Upgrade (nâng cấp) đã bị vô hiệu. Click Custom (Advanced). Tùy chọn Upgrade đã bị vô hiệu khi bạn khởi động máy từ đĩa cài. Lưu ý: Nếu bạn muốn tiến hành cài đặt nâng cấp, bạn cần chạy trình cài đặt trong môi trường Windows. Trên cửa sổ tiếp theo, bạn cần lựa chọn vị trí cài đặt Windows. Nếu có driver của các thiết bị lưu trữ bên thứ ba, cần cài đặt ngay bằng cách click liên kếtLoad Driver. Tải driver của các thiết bị lưu trữ bên thứ ba và chọn nơi cài đặt. 33
34. Lúc này, Windows sẽ bắt đầu được cài đặt vào hệ thống. Bạn có thể thấy từng bước tiến trình hoàn tất thể hiện bằng phần trăm. Trong quá trình cài đặt, máy chủ sẽ phải khởi động lại nhiều lần. Trình cài đặt sẽ hoàn thành những tác vụ sau đây: Khi quá trình cài đặt hoàn tất, hãy thay đổi mật khẩu tài khoản quản trị administrator trước khi đăng nhập. Sau khi mật khẩu được thay đổi và bạn đã đăng nhập vào hệ điều hành, như vậy là bạn đã xong phần 1 của việc cài đặt. Khởi tạo cấu hình Sau khi bạn đăng nhập vào hệ điều hành, cửa sổ Initial Configuration Tasks Wizard xuất hiện, gồm ba mục: Provide computer information (Cung cấp thông tin hệ thống) Update this server (Cập nhật máy chủ) Customize this server (Tùy biến máy chủ) Initial Configuration Tasks Wizard Vậy thì trong các mục này, bạn có thể đưa ra những thay đổi nào về cấu hình? Trong mục Provide Computer Information, bạn có thể thực hiện những việc sau: Thay đổi múi giờ Thiết lập cấu hình mạng trên giao diện card giao tiếp mạng (NIC). Bạn cũng có thể gán địa chỉ IP tĩnh, subnet mask, default gateway (cổng mặc định) và máy chủ DNS/WINS. Trong nhiều môi trường, có lẽ bạn sẽ được nhóm hai card giao tiếp mạng cho mạng LAN dữ liệu sản xuất (sử dụng phần mềm bên thứ ba) và có một 34
35. card giao tiếp mạng riêng biệt dành riêng cho việc sao lưu dữ liệu được kết nối với mạng LAN sao lưu. Ngoài ra, bạn có thể để mặc cho các thiết lập tự động được gán bởi máy chủ DHCP, tất nhiên trong trường hợp bạn có máy chủ DHCP đã được cấu hình. Lưu ý: Trên thực tế, bạn sẽ thường gán địa chỉ IP tĩnh cho máy chủ cơ sở hạ tầng. Trong trường hợp này, bạn sẽ cần thu thập thông tin đó cùng với địa chỉ IP hợp lệ cho default gateway và cho máy chủ DNS/WINS trước khi cài đặt. Cung cấp tên máy tính cho máy chủ, cùng với thông tin domain hoặc workgroup. Bạn cần khởi động lại máy chủ để các thay đổi có tác dụng. Trong mục Update This Server, bạn có thể thực hiện những việc sau: Cho phép tự động cập nhật và phản hồi Cấu hình việc tải về và cài đặt những cập nhật của hệ điều hành Trong mục Customize This Server, bạn có thể thực hiện những việc sau: Thêm vai trò (role) máy chủ. Khi bạn chọn một vai trò, trình hướng dẫn sẽ giúp bạn hoàn thành việc cài đặt vai trò. Bạn có thể lựa chọn các vai trò sau: Active Directory Certificate Services Active Directory Domain Services Active Directory Federation Services Active Directory Lightweight Directory Services Active Directory Rights Management Services Application Server DHCP Server DNS Server Fax Server File Services Network Policy and Access Services Print Services Terminal Services UDDI Services Web Server (IIS) Windows Deployment Services 35
36. 1.2. Cài đặt và cấu hình ACTIVE DIRECTORY Theo mặc định, tất cả các máy Windows Server 2003 khi mới cài đặt đều là Server độc lập (standalone server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một máy không phải là DC (Server Stand-alone) thành một máy DC và ngược lại giáng cấp một máy DC thành một Server bình thường. Chú ý đối với Windows Server 2003 thì bạn có thể đổi tên máy tính khi đã nâng cấp thành DC. Trước khi nâng cấp Server thành Domain Controller, bạn cần khai báo đầy đủ các thông số TCP/IP, đặc biệt là phải khai báo DNS Server có địa chỉ chính là địa chỉ IP của Server cần nâng cấp. Nếu bạn có khả năng cấu hình dịch vụ DNS thì bạn nên cài đặt dịch vụ này trước khi nâng cấp Server, còn ngược lại thì bạn chọn cài đặt DNS tự động trong quá trình nâng cấp. Có hai cách để bạn chạy chương trình Active Directory Installation Wizard: bạn dùng tiện ích Manage Your Server trong Administrative Tools hoặc nhấp chuột vào Start \ Run, gõ lệnh DCPROMO. Chọn menu Start \ Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK. Khi đó hộp thoại Active Directory Installation Wizard xuất hiện. Bạn nhấn Next Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server 2003. Bạn chọn Next để tiếp tục Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next. (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn Additional domain cotroller for an existing domain.) Đến đây chương trình cho phép bạn chọn một trong ba lựa chọn sau: chọn Domain in new forest nếu bạn muốn tạo domain đầu tiên trong một rừng mới, chọn Child domain in an existing domain tree nếu bạn muốn tạo ra một domain con dựa trên một cây domain có sẵn, chọn Domain tree in an existing forest nếu bạn muốn tạo ra một cây domain mới trong một rừng đã có sẵn. Hộp thoại New Domain Name yêu cầu bạn tên DNS đầy đủ của domain mà bạn cần xây dựng Hộp thoại NetBIOS Domain Name, yêu cầu bạn cho biết tên domain theo chuẩn NetBIOS để tương thích với các máy Windows NT. Theo mặc định, tên 36
37. Domain NetBIOS giống phần đầu của tên Full DNS, bạn có thể đổi sang tên khác hoặc chấp nhận giá trị mặc định. Chọn Next để tiếp tục Hộp thoại Database and Log Locations cho phép bạn chỉ định vị trí lưu trữ database Active Directory và các tập tin log. Bạn có thể chỉ định vị trí khác hoặc chấp nhận giá trị mặc định. Tuy nhiên theo khuyến cáo của các nhà quản trị mạng thì chúng ta nên đặt tập tin chứa thông tin giao dịch (transaction log) ở một đĩa cứng vật lý khác với đĩa cứng chứa cơ sở dữ liệu của Active Directory nhằm tăng hiệu năng của hệ thống. Bạn chọn Next để tiếp tục Hộp thoại Shared System Volume cho phép bạn chỉ định ví trí của thư mục SYSVOL. Thư mục này phải nằm trên một NTFS5 Volume. Tất cả dữ liệu đặt trong thư mục Sysvol này sẽ được tự động sao chép sang các Domain Controller khác trong miền. Bạn có thể chấp nhận giá trị mặc định hoặc chỉ định ví trí khác, sau đó chọn Next tiếp tục. (Nếu partition không sử dụng định dạng NTFS5, bạn sẽ thấy một thông báo lỗi yêu cầu phải đổi hệ thống tập tin). DNS là dịch vụ phân giải tên kết hợp với Active Directory để phân giải tên các máy tính trong miền. Do đó để hệ thống Active Directory hoạt động được thì trong miền phải có ít nhất một DNS Server phân giải miền mà chúng ta cần thiết lập. Theo đúng lý thuyết thì chúng ta phải cài đặt và cấu hình dịch vụ DNS hoàn chỉnh trước khi nâng cấp Server, nhưng do hiện tại các bạn chưa học về dịch vụ này nên chúng ta chấp nhận cho hệ thống tự động cài đặt dịch vụ này. Chúng ta sẽ tìm hiểu chi tiết dịch vụ DNS ở giáo trình “Dịch Vụ Mạng”. Trong hộp thoại xuất hiện bạn chọn lựa chọn thứ hai để hệ thống tự động cài đặt và cấu hình dịch vụ DNS. Trong hộp thoại Permissions, bạn chọn giá trị Permission Compatible with pre-Windows 2000 servers khi hệ thống có các Server phiên bản trước Windows 2000, hoặc chọn Permissions compatible only with Windows 2000 servers or Windows Server 2003 khi hệ thống của bạn chỉ toàn các Server Windows 2000 và Windows Server 2003. Trong hộp thoại Directory Services Restore Mode Administrator Password, bạn sẽ chỉ định mật khẩu dùng trong trường hợp Server phải khởi động vào chế độ Directory Services Restore Mode. Nhấn chọn Next để tiếp tục. Hộp thoại Summary xuất hiện, trình bày tất cả các thông tin bạn đã chọn. Nếu tất cả đều chính xác, bạn nhấn Next để bắt đầu thực hiện quá trình cài đặt, nếu có thông tin không chính xác thì bạn chọn Back để quay lại các bước trước đó Hộp thoại Configuring Active Directory cho bạn biết quá trình cài đặt đang thực hiện những gì. Quá trình này sẽ chiếm nhiều thời gian. Chương trình cài 37
38. đặt cũng yêu cầu bạn cung cấp nguồn cài đặt Windows Server 2003 để tiến hành sao chép các tập tin nếu tìm không thấy Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory Installation Wizard xuất hiện. Bạn nhấn chọn Finish để kết thúc. Cuối cùng, bạn được yêu cầu phải khởi động lại máy thì các thông tin cài đặt mới bắt đầu có hiệu lực. Bạn nhấn chọn nút Restart Now để khởi động lại. Quá trình thăng cấp kết thúc. 1.3. Gia nhập máy trạm vào Domain Một máy trạm gia nhập vào một domain thực sự là việc tạo ra một mối quan hệ tin cậy (trust relationship) giữa máy trạm đó với các máy Domain Controller trong vùng. Sau khi đã thiết lập quan hệ tin cậy thì việc chứng thực người dùng logon vào mạng trên máy trạm này sẽ do các máy điều khiển vùng đảm nhiệm. Nhưng chú ý việc gia nhập một máy trạm vào miền phải có sự đồng ý của người quản trị mạng cấp miền và quản trị viên cục bộ trên máy trạm đó. Nói cách khác khi bạn muốn gia nhập một máy trạm vào miền, bạn phải đăng nhập cục bộ vào máy trạm với vai trò là administrator, sau đó gia nhập vào miền, hệ thống sẽ yêu cầu bạn xác thực bằng một tài khoản người dùng cấp miền có quyền Add Workstation to Domain (bạn có thể dùng trực tiếp tài khoản administrator cấp miền) Các bước cài đặt Đăng nhập cục bộ vào máy trạm với vai trò người quản trị (có thể dùng trực tiếp tài khoản administrator). Nhấp phải chuột trên biểu tượng My Computer, chọn Properties, hộp thoại System Properties xuất hiện, trong Tab Computer Name, bạn nhấp chuột vào nút Change. Hộp thoại nhập liệu xuất hiện bạn nhập tên miền của mạng cần gia nhập vào mục Member of Domain Máy trạm dựa trên tên miền mà bạn đã khai báo để tìm đến Domain Controller gần nhất và xin gia nhập vào mạng, Server sẽ yêu cầu bạn xác thực với một tài khoản người dùng cấp miền có quyền quản trị. Sau khi xác thực chính xác và hệ thống chấp nhận máy trạm này gia nhập vào miền thì hệ thống xuất hiện thông báo thành công và yêu cầu bạn reboot máy lại để đăng nhập vào mạng. Đến đây, bạn thấy hộp thoại Log on to Windows mà bạn dùng mỗi ngày có vài điều khác, đó là xuất hiện thêm mục Log on to, và cho phép bạn chọn một trong hai phần là: NETCLASS, This Computer. Bạn chọn mục NETCLASS khi bạn muốn đăng nhập vào miền, nhớ rằng lúc này bạn phải dùng tài 38
39. khoản người dùng cấp miền. Bạn chọn mục This Computer khi bạn muốn logon cục bộ vào máy trạm nào và nhớ dùng tài khoản cục bộ của máy. 1.4. Xây dựng các Domain Controller đồng hành Trong một hệ thống Active Directory lớn, nếu chỉ có một DC thì Server này có thể bị quá tải khi nhiều user cùng yêu cầu chứng thực. Bên cạnh đó user sẽ không được chứng thực khi DC này bị lỗi. Trong phần này sẽ hướng dẫn bạn triển khai nhiều domain controller chạy song song. CÁC BƯỚC TRIỂN KHAI: Mô hình bài lab bao gồm 3 máy ảo: DC2012 (domain MCTHUB.LOCAL), SERVER1 và SERVER3. * Quy trình thực hiện: Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3. Khảo sát Active Directory Khái niệm Additional Domain Controller (ADC) Những trường hợp cần xây dựng ADC Cài đặt Additional Domain Controller (ADC) cho SERVER1 Enforce Replication Chia site hệ thống TRIỂN KHAI CHI TIẾT: Gỡ bỏ SID cho 2 máy ảo SERVER1 và SERVER3 Mô hình của bạn cần nhiều Server sử dụng Windows 2012. Để tiết kiệm thời gian và đỡ phải cài nhiều lần 1 hệ điều hành thì bạn dùng dạng đĩa ảo Differencing Disk (xem bài "Tổng Quan Hyper-V trên Windows Server 2012"). Tuy nhiên bạn sẽ gặp phải vấn đề khi nâng cấp ADC hay domain mới do các máy ảo sẽ bị trùng SID (Security Identifier). Do đó, trong trường hợp này bạn cần phải thay đổi SID cho các máy ảo - Trên máy SERVER 1, bạn nhấn tổ hợp phím ÿ + R, sau đó nhập vào sysprep. 39
40. - Bạn nhấn double click vào file sysprep.exe để thực thi file này. - Trong cửa sổ System Preparation Tool 3.14, bạn đánh dấu chọn vào ô Generalize. - Chương trình sysprep sẽ tiến hành xóa thông tin cài đặt và tạo ra SID mới. - Tương tự bạn thực hiện cho máy SERVER3. 40
41. - Sau khi gỡ bỏ SID xong, bạn lần lượt đặt lại tên máy, địa chỉ IP của máy dựa theo IP bảng sau: DC2012 SERVER1 SERVER3 RTM Interface Private Private Private 2 Private Private 2 IP address 172.16.1.10172.16.1.1110.10.0.12 172.16.0.1 10.10.0.1 Subnet mask 255.255.0.0255.255.0.0255.0.0.0 255.255.0.0255.0.0.0 Default gateway172.16.1.1 172.16.1.1 10.10.0.1 Preferred DNS 172.16.1.10172.16.1.10172.16.0.10 - Join 2 máy SERVER1 và SERVER3 vào domain MCTHUB.LOCAL. Khảo sát Active Directory Khái niệm Additional Domain Controller (ADC) Active Directory Domain Service (AD DS) là trung tâm quản lý và chứng thực cho các đối tượng như: group, user, computer account AD DS cung cấp tất cả thông tin của một đối tượng cho các dịch vụ cần thiết, ví dụ cung cấp đầy đủ thông tin cho việc chứng thực khi user truy cập tài nguyên Primary Domain Controller (PDC): Trong một domain có thể có nhiều Domain Controller. Domain Controller đầu tiên gọi là Primary Domain Controller (PDC) Additional Domain Controller (ADC): Các Domain Controller thêm vào được gọi là Additional Domain Controller (ADC) Trong hệ thống doanh nghiệp thì bắt buộc phải có PDC và chỉ duy nhất một máy. ADC là tùy chọn dùng trong các trường hợp sau đây. - Những trường hợp cần xây dựng ADC + Trường Hợp 1: Hệ thống có nhiều site (Site: chỉ khu vực địa lý, vd: Site Sài Gòn – Site Hà Nội). Giải pháp: dựng thêm ADC ở Site Hà Nội nhằm mục đích chứng thực cho các user ở Hà Nội, mục đích để khi log on không phụ thuộc đường truyền WAN và tăng tốc độ. + Trường Hợp 2: Hệ thống chỉ có 1 site Sài Gòn nhưng có số lượng user lớn. Khi log on, DC sẽ bị quá tải và gây ra tình trạng nghẽn mạng. Giải pháp: Nên dựng thêm ADC để chia tải bớt cho hệ thống (Load Balancing), cân bằng tải giúp hệ thống nhanh hơn. + Trường Hợp 3: Hệ thống chỉ có 1 Site Sài Gòn và chỉ có 1 DC, hệ thống nhỏ. Toàn bộ hệ thống hiện đang chạy ổn định. Nhưng một ngày nào đó DC gặp sự cố, thì hệ thống công ty sẽ bị tê liệt. Thời gian khôi phục sẽ mất khá nhiều thời gian. Giải pháp: Xây dựng ADC để tăng tính sẵn sàng và tính chịu lỗi của hệ thống để hệ thống có tính sẳn sàng cao (High Availability) và tăng tốc độ chứng thực 41
42. Mỗi DC sẽ lưu trữ Database riêng. Nếu xây dựng thêm ADC sẽ có thêm database nữa. Tuy nhiên 2 database này luôn luôn đồng bộ với nhau. - Cài đặt Additional Domain Controller (ADC) cho SERVER1 Log on máy SERVER1 bằng quyền Domain Admin: MCTHUB. Mở Server Manager, ở bên trái chọn Local Server. Bạn kiểm tra lại tên Computer Name và Domain. Sau khi đã kiểm tra xong, chúng ta sẽ bắt đầu xây dựng ADC. Trước hết bạn cần phải tìm hiểu về quy trình nâng cấp DC. Nâng cấp DC Windows Server Nâng cấp DC Windows Server 2012 2008 - Khi xây dựng domain, thì: - Khi xây dựng domain, thì + Tự động cài ADDS (Active + Đầu tiên, bạn phải cài dịch vụ ADDS (Active Directory Domain Services) Directory Domain Services) trước + Sau đó nâng cấp lên DC + Sau đó nâng cấp lên DC Mở Server Manager, vào menu Manage, chọn Add Roles and Features. 42
43. Bạn cứ nhấn Next theo mặc định. Ở màn hình Select Server Roles, bạn đánh dấu chọn vào ô Active Directory Domain Services. Chương trình sẽ yêu cầu cài thêm các Features, bạn nhấn Add Features. 43
44. Các bước còn lại bạn nhấn Next theo mặc định. Màn hình Confirm installation selections, bạn đánh dấu chọn vào ô Restart the destination server automatically if required, sau đó nhấn Install. Bạn kiểm tra Notification và nhấn vào mục Promote this server to a domain controller. 44
45. - Màn hình Deployment Configuration, chương trình cung cấp cho bạn ba tùy chọn: Add a domain controller to an existing domain: Thêm một ADC vào domain có sẵn. Add a new domain to an existing forest: Xây dựng domain mới trong forest có sẵn. Add new forest: xây dựng máy DC đầu tiên của forest. Bạn chọn vào tùy chọn đầu tiên là Add a domain controller to an existing domain. + Mục Specify the domain information for this operation, chọn lựa domain mà bạn muốn làm ADC + Mục Supply the credentials to perform this operation, bạn phải dùng user Domain Admin thì mới có thể thực hiện việc cài ADC. - Màn hình Domain Controller Options, bạn có thể đánh dấu chọn vào ô Domain Name System (DNS) server để cài đặt thêm DNS cho ADC. Mục này không bắt buộc. Tuy nhiên bạn nên cài để tăng tính chịu lỗi cho DNS. Tiếp theo bên dưới là ô Global Catalog (GC). Vậy GC là gì? Trên DC, có AD Database bao gồm: thông tin user, thông tin group, thuộc tính của các user 45
46. - Global Catalog là một bản lưu rút gọn của AD Database được sử dụng để chứng thực khi user log on. Bên dưới là mục Type the Directory Services Restore Mode (DSRM) password, bạn nhập vào mật khẩu. Mật khẩu này sẽ được dùng để khôi phục AD ở chế độ Restore Mode. Màn hình DNS Options, bạn nhấn Next. Tiếp theo ở màn hình Additional Options, mục Replicate from, bạn lựa chọn Domain mà bạn muốn đồng bộ. Trong bài lab này, bạn chọn Any domain controller, sau đó nhấn Next. 46
47. Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của AD, log files và SYSVOL. Các bước còn lại, bạn nhấn Next theo mặc định. Màn hình Prerequisites Check, khi bạn nhận được thông báo All prerequisites check passed successfully nghĩa là quá trình kiểm tra điều kiện để cài đặt ADC đã thành công. Bạn nhấn nút Install để bắt đầu cài đặt. - Sau khi nâng cấp ADC xong, bạn vào DC2012 tạo user u1. Trên ADC (máy SERVER1), bạn tạo thêm user u2. Kiểm tra giữa 2 máy đồng bộ. 47
48. - Tiếp theo, bạn mở Active Directory Users and Computers. Ở bên trái bạn bung domain, chọn Domain Controller. Sau đó bạn nhìn sang cột bên phải, bạn sẽ thấy máy DC2012 và máy SERVER1 đều là Global Catalog Server. Enforce Replication: Việc đồng bộ giữa 2 DC có thể sẽ không nhanh như mình mong muốn. Để cho 2 DC có thể đồng bộ với nhau ngay lập tức thì bạn phải dùng tính năng Enforce Replication (trên thực tế thì bạn không cần sử dụng tính năng này). - Trên máy Server1, bạn mở Server Manager, vào menu Tools, chọn Active Directory Sites and Services. 48
49. - Ở bên trái bạn bung mục Sites Ü Default-First-Site-Name Ü Servers, bạn tiếp tục bung lần lượt các máy DC2012 và SERVER1. - Muốn thực thi ngay việc đồng bộ hóa, bạn nhấn vào NTDS Settings của DC2012, sau đó nhấn chuột phải vào automatically generate, chọn Replicate now. - Tương tự bạn làm cho NTDS Settings của máy SERVER1. Kiểm tra AD Users and Computers sẽ thấy đồng bộ. 49
50. Chia site hệ thống Công ty có 2 văn phòng: Văn phòng chính ở Sài Gòn và văn phòng chi nhánh ở Hà Nội. Bạn xây dựng hệ thống domain cho công ty. Tuy nhiên khi user ở Hà Nội log on thì có thể phải sang DC ở Sài Gòn chứng thực và ngược lại do cơ chế phân giải Round Robin của DNS. Do đó việc log on nhanh hay chậm phụ thuộc vào kết quả phân giải của DNS Server và chất lượng đường truyền. Giải pháp: Xây dựng SERVER 3 ở Hà Nội làm ADC và chia Site theo từng khu vực, Client ở Site nào thì logon ở Site đó. - Trên DC2012, mở Server Manager. Sau đó bạn vào menu Tools, chọn Active Directory Sites and Services. - Chuột phải vào Default First Site Name, chọn Rename. 50
51. - Bạn đổi tên thành SaiGon. - Chuột phải lên Sites, chọn New Site. 51
52. - Trong cửa sổ New Object – Site, ở mục Name, bạn đặt tên Site là HANOI. Chọn Site link có sẵn là DEFAULTIPSITELINK. - Hộp thoại Active Directory Domain Services, bạn nhấn OK. - Quan sát thấy Site HaNoi đã được tạo. 52
53. - Chuột phải vào Subnets, chọn New Subnet. - Ở mục Select a site object for this prefix, bạn chọn Site SaiGon. Ở mục Prefix đặt tên lớp mạng ở Site SaiGon. 53
54. - Tương tự bạn làm cho Site HaNoi. 54
55. - Tiếp theo bạn cài đặt AD DS và nâng cấp SERVER3 thành ADC (lưu ý trong quá trình nâng cấp chọn Site HANOI). Khi đó user log on trên 1 Client nào đó, hệ thống sẽ xác định IP của Client để xác định Subnet, từ đó xác định Site. Client sẽ chứng thực tại Global Catalog Server cùng Site 2. Một số ứng dụng của sever 2.1. Quản lý tài khoản người dùng và nhóm Tài khoản người dùng (user account) là một đối tượng quan trọng đại diện cho người dùng trên mạng, chúng được phân biệt với nhau thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa người này và người khác trên mạng từ đó người dùng có thể đăng nhập vào mạng và truy cập các tài nguyên mạng mà mình được phép. - Tài khoản người dùng cục bộ Tài khoản người dùng cục bộ (local user account) là tài khoản người dùng được định nghĩa trên máy cục bộ và chỉ được phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các tài nguyên trên mạng thì người dùng này phải chứng thực lại với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ. Bạn tạo tài khoản người dùng cục bộ với công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC). Các tài khoản cục bộ tạo ra trên máy stand-alone server, member server hoặc các máy trạm đều được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager). Tập tin SAMnày được đặt trong thư mục \Windows\system32\config - Tài khoản người dùng miền Tài khoản người dùng miền (domain user account) là tài khoản người dùng được định nghĩa trên Active Directory và được phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng thời với tài khoản này người dùng có thể truy cập đến các tài nguyên trên mạng. Bạn tạo tài khoản 55
56. người dùng miền với công cụ Active Directory Users and Computer (DSA.MSC). Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS. + Mỗi username phải từ 1 đến 20 ký tự (trên Windows Server 2003 thì tên đăng nhập có thể dài đến 104 ký tự, tuy nhiên khi đăng nhập từ các máy cài hệ điều hành Windows NT 4.0 về trước thì mặc định chỉ hiểu 20 ký tự). + Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau. + Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? + Trong một username có thể chứa các ký tự đặc biệt bao gồm: dấu chấm câu, khoảng trắng, dấu gạch ngang, dấu gạch dưới. Tuy nhiên, nên tránh các khoảng trắng vì những tên như thế phải đặt trong dấu ngoặc khi dùng các kịch bản hay dòng lệnh Tài khoản nhóm (group account) là một đối tượng đại diện cho một nhóm người nào đó, dùng cho việc quản lý chung các đối tượng người dùng. Việc phân bổ các người dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên mạng như thư mục chia sẻ, máy in. Chú ý là tài khoản người dùng có thể đăng nhập vào mạng nhưng tài khoản nhóm không được phép đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm được chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group) Nhóm bảo mật là loại nhóm được dùng để cấp phát các quyền hệ thống (rights) và quyền truy cập (permission). Giống như các tài khoản người dùng, các nhóm bảo mật đều được chỉ định các SID. Có ba loại nhóm bảo mật chính là: local, global và universal. Tuy nhiên nếu chúng ta khảo sát kỹ thì có thể 56
57. phân thành bốn loại như sau: local, domain local, global và universal. Local group (nhóm cục bộ) là loại nhóm có trên các máy stand-alone Server, member server, Win2K Pro hay WinXP. Các nhóm cục bộ này chỉ có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó thôi. Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt vì chúng là local group nhưng nằm trên máy Domain Controller. Các máy Domain Controller có một cơ sở dữ liệu Active Directory chung và được sao chép đồng bộ với nhau do đó một local group trên một Domain Controller này thì cũng sẽ có mặt trên các Domain Controller anh em của nó, như vậy local group này có mặt trên miền nên được gọi với cái tên nhóm cục bộ miền. Các nhóm trong mục Built-in của Active Directory là các domain local. Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong Active Directory và được tạo trên các Domain Controller. Chúng dùng để cấp phát những quyền hệ thống và quyền truy cập vượt qua những ranh giới của một miền. Một nhóm global có thể đặt vào trong một nhóm local của các server thành viên trong miền. Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng công việc của Global Catalog. Universal group (nhóm phổ quát) là loại nhóm có chức năng giống như global group nhưng nó dùng để cấp quyền cho các đối tượng trên khắp các miền trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau. Loại nhóm này tiện lợi hơn hai nhóm global group và local group vì chúng dễ dàng lồng các nhóm vào nhau. Nhưng chú ý là loại nhóm này chỉ có thể dùng được khi hệ thống của bạn phải hoạt động ở chế độ Windows 2000 native functional level hoặc Windows Server 2003 functional level có nghĩa là tất cả các máy Domain Controller trong mạng đều phải là Windows Server 2003 hoặc Windows 2000 Server. Nhóm phân phối Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không xuất hiện trong các ACL (Access Control List). Loại nhóm này không được dùng bởi các nhà quản trị mà được dùng bởi các phần mềm và dịch vụ. Chúng được dùng để phân phối thư (e-mail) hoặc các tin nhắn (message). Bạn sẽ gặp lại loại nhóm này khi làm việc với phần mềm MS Exchange. 57
58. Qui tắc gia nhập nhóm - Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong nhóm Machine Local. - Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong chính loại nhóm của mình. - Nhóm Global và Universal có thể đặt vào trong nhóm Domain local. Nhóm Global có thể đặt vào trong nhóm Universal. - Các tài khoản tạo sẵn: Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản người dùng mà khi ta cài đặt Windows Server 2003 thì mặc định được tạo ra. Tài khoản này là hệ thống nên chúng ta không có quyền xóa đi nhưng vẫn có quyền đổi tên (chú ý thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút so với việc đổi tên một tài khoản bình thường do nhà quản trị tạo ra). Tất cả các tài khoản người dùng tạo sẵn này đều nằng trong Container Users của công cụ Active Directory User and Computer. Sau đây là bảng mô tả các tài khoản người dùng được tạo sẵn: Tên tài khoản Mô tả Administrator là một tài khoản đặc biệt, có toàn quyền trên Administrator máy tính hiện tại. Bạn có thể đặt mật khẩu cho tài khoản này trong lúc cài đặt Windows Server 2003. Tài khoản này có thể thi hành tất cả các tác vụ như tạo tài khoản người dùng, nhóm, quản lý các tập tin hệ thống và cấu hình máy in Tài khoản Guest cho phép người dùng truy cập vào các máy Guest tính nếu họ không có một tài khoản và mật mã riêng. Mặc định là tài khoản này không được sử dụng, nếu được sử dụng thì thông thường nó bị giới hạn về quyền, ví dụ như là chỉ được Làtruy t àicậ pk hInternetoản đặc h obiặcệt inđ ưấợnc. dùng cho dịch vụ ILS. ILS hỗ trợ ILS_Anonym cho các ứng dụng điện thoại có các đặc tính như: caller ID, ous_User video conferencing, conference calling, và faxing. Muốn sử dụng ILS thì dịch vụ IIS phải được cài đặt. IUSR_compu Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong ter- name dịch vụ IIS trên máy tính có cài IIS. IWAM_comp Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình uter- name của các ứng dụng trên máy có cài IIS. 58
59. Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân Krbtgt phối khóa (Key Distribution Center) TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services. - Tài khoản nhóm Domain Local tạo sẵn Nhưng chúng ta đã thấy trong công cụ Active Directory User and Computers, container Users chứa nhóm universal, nhóm domain local và nhóm global là do hệ thống đã mặc định quy định trước. Nhưng một số nhóm domain local đặc biệt được đặt trong container Built-in, các nhóm này không được di chuyển sang các OU khác, đồng thời nó cũng được gán một số quyền cố định trước nhằm phục vụ cho công tác quản trị. Bạn cũng chú ý rằng là không có quyền xóa các nhóm đặc biệt này. Tên nhóm Mô tả Nhóm này mặc định được ấn định sẵn tất cả các quyền hạn cho Administrators nên thành viên của nhóm này có toàn quyền trên hệ thống mạng. Nhóm Domain Admins và Enterprise Admins là thành viên mặc định của nhóm Administrators. Thành viên của nhóm này có thể thêm, xóa, sửa được các tài Account khoản người dùng, tài khoản máy và tài khoản nhóm. Tuy nhiên Operators họ không có quyền xóa, sửa các nhóm trong container Built-in và OU. Nhóm này chỉ có trên các Domain Controller và mặc định Domain không có thành viên nào, thành viên của nhóm có thể đăng Controllers nhập cục bộ vào các Domain Controller nhưng không có quyền quản trị các chính sách bảo mật. Thành viên của nhóm này có quyền lưu trữ dự phòng (Backup) và phục hồi (Retore) hệ thống tập tin. Trong trường Backup hợp hệ thống tập tin là NTFS và họ không được gán quyền Operators trên hệ thống tập tin thì thành viên của nhóm này chỉ có thể truy cập hệ thống tập tin thông qua công cụ Backup. Nếu muốn truy cập trực tiếp thì họ phải được gán quyền. Là nhóm bị hạn chế quyền truy cập các tài nguyên trên mạng. Guests Các thành viên nhóm này là người dùng vãng lai không phải là thành viên của mạng. Mặc định các tài khoản Guest bị khóa 59
60. Thành viên của nhóm này có quyền tạo ra, quản lý và xóa Print Operator bỏ các đối tượng máy in dùng chung trong Active Directory. Server Thành viên của nhóm này có thể quản trị các máy server trong Operators miền như: Mcàiặc đặt, định qu mảnọi lý ng máyười in,dù ng tạo đ ưvợcà q utạảon đều lý t h thưu mộcụ cn h dùómng nà chuny, g, Users nbachómkup n àydữ có quyền tối thiểu của một người dùng nên việc truy lciậệu,p rất đị nhhạ nd ạcnhgế .đĩa, thay đổi giờ Nhóm này được dùng để hỗ trợ việc sao chép danh bạ trong Replicator Directory Services, nhóm này không có thành viên mặc định. Incoming Thành viên nhóm này có thể tạo ra các quan hệ tin cậy hướng Forest Trust đến, một chiều vào các rừng. Nhóm này không có thành viên mặc Builders định. Network Configuration Thành viên nhóm này có quyền sửa đổi các thông số TCP/IP trên Operators các máy Pre-Windows NhómDomain n àCyo ncótroller quyề trno truyng m ciền.ập đến tất cả các tài khoản người 2000 dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các hệ Compatible thống WinNT cũ. Access Remote Thành viên nhóm này có thể đăng nhập từ xa vào các Domain Desktop User Controller trong miền, nhóm này không có thành viên mặc định. Thành viên nhóm này có quyền truy cập từ xa để ghi nhận lại Performace Log những giá trị về hiệu năng của các máy Domain Controller, Users nhóm này cũng không có thành viên mặc định. Performace Thành viên nhóm này có khả năng giám sát từ xa các máy Monitor Users Domain Controller. Ngoài ra còn một số nhóm khác như DHCP Users, DHCP Administrators, DNS Administrators các nhóm này phục vụ chủ yếu cho các dịch vụ, chúng ta sẽ tìm hiểu cụ thể trong từng dịch vụ ở giáo trình “Dịch Vụ Mạng”. Chú ý theo mặc định hai nhóm Domain Computers và Domain Controllers được dành riêng cho tài khoản máy tính, nhưng bạn vẫn có thể đưa tài khoản người dùng vào hai nhóm này. - Tài khoản nhóm Global tạo sẵn 60
61. Tên nhóm Mô tả Thành viên của nhóm này có thể toàn quyền quản trị các máy Domain tính trong miền vì mặc định khi gia nhập vào miền các member Admins server và các máy trạm (Win2K Pro, WinXP) đã đưa nhóm Domain Admins là thành viên của nhóm cục bộ Administrators trên các máy này. Theo mặc định mọi tài khoản người dùng trên miền đều là Domain thành viên của nhóm này. Mặc định nhóm này là thành viên Users của nhóm cục bộ Users trên các máy server thành viên và máy trạm. Group Policy Creator Thành viên nhóm này có quyền sửa đổi chính sách nhóm Owners của miền, theo mặc định tài khoản administrator miền là thành viên của nhóm này. Đây là một nhóm universal, thành viên của nhóm này có Enterprise toàn quyền trên tất cả các miền trong rừng đang xét. Nhóm này Admins chỉ xuất hiện trong miền gốc của rừng thôi. Mặc định nhóm này là thành viên của nhóm administrators trên các Domain Controller trong rừng. Nhóm universal này cũng chỉ xuất hiện trong miền gốc của Schema rừng, thành viên của nhóm này có thể chỉnh sửa cấu trúc tổ Admins chức (schema) của Active Directory. 2.2. Triển khai một số chính sách trên miền Group policy có thể được coi là một thứ system policy (phiên bản cũ). Các chính sách này được MS phát minh ra từ Windows 2000, áp dụng được với các hệ điều hành kể từ bản windows 2000. Một số đặc điểm của Group Policy: – Các group policy chỉ có thể hiện hữu trên miền Active Directory. – Các group policy có thể dùng để triển khai phần mềm cho một hoặc hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logout), khở động (start up), và tắt máy (shut down); để đơn giản hóa và hạn chế các chương trình trên máy khách; để định hướng lại (redirector) một số folder trên máy khách (như Computer, My Document) – Group policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bảo khỏi miền AD. 61
62. – Các Group policy chỉ được áp dụng vào lúc máy khách khởi động (đối với chính sách dành cho máy) hoặc đăng nhập (đối với chính sách dành cho người dùng). Các group policy được áp dụng lúc máy trạm khởi động, lúc máy trạm đăng nhập, vào mọi thời điểm (được cấu hình trước). – Tuy gọi là Group nhưng các group policy chủ yếu được áp dụng cho các site, domain và OU (Organiztion Unit). Thực ra cũng có thể áp dụng chúng cho các nhóm nwgowfi dùng, nhưng phải sử dụng kỹ thuật lọc và chặn chính sách (policy filtering), tuy nhiên việc áp dụng kỹ thuật này gây rắc rối cho việc quản trị và troubleshooting mạng về sau, và làm chậm quá trình đăng nhập của người dùng qua mạng. – Trên các máy tính local, có thể sử dụng local group policy để áp dụng cho máy đó (chỉ duy nhất máy đó). – Các group policy áp dụng cho các đối tượng gọi là Group policy Objject (GPO). Các GPO được lưu trữ một phần trong cơ sở dữ liệu của AD và một phần trong share SYSVOL. Phần nằm trong share SYSVOL của mỗi GPOP bao gồm một số file và thư mục con bên trong thư mục WindowsINNT\SYSVOL\sysvol\Domainame\Plocyes\GUID, trong đó GUID là mã nhận diện đơn nhất toàn cầu (Global Unique Identifier) dành cho GPO. – Chương trình để tạo ra và chỉnh sửa các GPO có tên là Group policy object Editor, có dạng mộc console MMC khác, ví dụ như: Console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group policy). 62
63. Windows Setting: Tại đây có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, quản lý việc khởi động và đăng nhập hệ thống – Scripts: (startup/Shutdown): Có thể chỉ định cho Windows sẽ chạy một mã nào đó khi Windows Startup hoặc Shutdown. – Security setting: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người dùng nào. Account Policies: Các chính sách áp dụng cho tài khoản người dùng. Local Policy: Kiểm định chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng cục bộ. Public Key Policies. Các chính sách khóa dùng chung. Chi tiết từng thành phần: 63
64. - Acount Policies: Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy. – Enforce password history: Với những người sử dụng không có thói quen ghi nhớ nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn liên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu. – Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thay đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quan của bạn, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày, giá trị mặc định là 42 ngày. 64
65. – Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của tài khoản, hoặc bạn có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. bạn cần thiết lập Minimum password age lớn hơn 0 nếu muốn chính sách enforce password history có hiệu quả vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ. – Minimum password length: Độ dài nhỏ tối thiểu của mật khẩu tài khoản (tính mằng số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là 0 nếu không muốn sử dụng mật khẩu. Giá trị mặc định là 0. – Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu, nếu tính năng này có hiệu lực, mật khẩu của tài khoản ít nhất phải đạt những yêu cầu sau: + Không chứa tất cả hoặc một phần tên tài khoản ng ười dùng. + Độ dài nhỏ nhất là 6 ký tự. + Chứa 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a->z), các chữ cái hoa (A- >Z>), các chữ số (0->9) và các ký tự đặc biệt. Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu, mặc định là: Disable. Store password using reversible encryption fo all user in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năng cung cấp sự hỗ trợ cho các ứng dụng giao thức, nó yêu cầu sự am hiểu về mật khẩu người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngược thực chất giống như việc lưu trữ các văn bản mã hóa các thông tin bảo vệ mật khẩu. Mặc định: Disable. b. Acount lockout Policy: 65
66. – Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi mở khóa được thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn tự đông Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập. – Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Account sẽ bị khóa. Trong trường hợp này Account sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hết hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa. – Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập. 66
67. - Local Policy: các chính sách cục bộ – User rights Assignments: Ấn định quyền cho người dùng. Quyền của người dùng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian cho hệ thống . Trong phần này để cấu hình cho một mục nào đó, click đúp chuột lên mục và click Add user or group để trao quyền mặc định cho user hoặc group theo yêu cầu. + Access this computer from the network: Với những kẻ tò mò, tốt nhất chúng ta không cho phép chúng truy cập vào máy tính của mình. Với thiết lập này ta có thể tùy ý thêm, bớt quyền truy cập vào máy cho bất ký tài khoàn nào hoặc nhóm nào. + Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định Administrator có 67
68. quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này. + Add workstation to domain: Thêm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sự dụng Domain Controller. Khi được thêm vào miền, tài khoản này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạc như một thành viên trong domain. + Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chi tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này có làm tăng hiệu suất hệ thống nhưng nó có thể bị lạm dụng phục vụ cho những mục đích xấu như tấn công từ chối dịch vụ DoS (Dial of Service). + Allow logon through Terminal Services: Terminal services là một dịch vụ cho phép đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal services để đăng nhập hệ thống. + backup files add directories: Tương tự như các chính sách trên, ở đây cấp phép ai đó có quyền backup dữ liệu. + Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống. + Create global objects: Cấp quyền cho ai có thể tạo ra các đối tượng dùng chung. + Force shutdown from a remote system: Cho phép ai có quyền tắt máy qua hệ thống điều khiển từ xa. + Shutdown the system: Cho phép ai có quyền shutdown máy. + Deny access to this computer from the net : Cấm user không được phép truy xuất đến máy. + Deny logon localy: Cấm User Logon cục bộ. + Deny logon through Terminal Services: Cấm User Remote Desktop. + Logon localy: Thiết lập người dùng Logon cục bộ. – Security Optins: 68
69. + Account: Administrator account status: Trạng thái hoạt động của Administrator. + Account: Guest account status: Trạng thái hoạt động của User Guest. + Account: Limit local account use of blank password to consolo: Đăng nhập không cần password. + Account: Rename administrator account: Đổi tên Administrator. + Account: Rename guest account: Đổi tên Guest. + Devices: Prevent users from installing printer drivers: Không cho phép cài Printer + Devices: Restrict CD-ROM access to localy logged-on user only: Cấm truy nhập xa từ CD-ROM. + Interactive: Do not require CTRL + ALT + DEL: Bỏ Ctrl + alt + Del + Interactive: Message text for users attempting to logon: Đặt tiêu đề khi logon. + Interactive: Message title for users attempting to log on: Đặt tiêu đề khi logon 69
70. + Interactive: Number of previous logons to cache in cache: Cache kho logon + Shutdown: Allow system to be shut down + Shutdown: Allow system to be shut down without having to log on: Shutdown không cần logon. + Shutdown: Clear virtual memory pagefile. Xóa bộ nhớ ảo khi Shutdown. Administrator Templates -> Windows Components -> Intenet Explorer (IE) + Security Zones: Use only machine settings: Bắt buộc tất cả các User đều chung một mức độ Security như nhau. + Security Zones: Do not allow users to change policies: Trong Security Zone có danh sách các Site nguy hiểm do người dùng thiết lập, Enable tùy chọn sẽ không co thay đổi danh sách đó (Tốt nhất là giấu thẻ Security). + Disable Periodic Check for Internet Explorer software updates: Ngăn không cho IE tự động Update. 70
71. Administrator Templates -> System -> Logon + Don’t display the Getting Started welcome screen at logon: Ẩn màn hình Welcome khi User đăng nhập vào hệ thống. Computer Configuration -> Policies – > Administrative Templates – > System -> Systemstore 71
72. + Turn off System Restore: Tắt System Restore, khi user gọi System Restore thì xuất hiện thông báo “System Restore has been turn off by group policy. To turn on System Restore, contact your domain Administrator”. + Turn off Configuration: Chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore. - User configuration User configuration – >Windows Setting – > Internet Explorer Maintenance – > Browse User Interface. 72
73. + Browser Title: Thay đổi tiêu đề nội dung IE + Custom Logo: Thay đổi logo của IE (Chỉ hỗ trợ file BMP có 16-256 màu và kích cỡ 22×22 hoặc 38×38). + Browse Toolbar Customizations: Thay đổi Toolbar cho IE. User configuration – > Administrator Templates – > Windows Components – > Windows Expolorer 73
74. + Maximum number of recent documents: Quy định số lượng tài liệu đã mở hiển thị trong My Recent Documents. + Do not move deleted files to the Recycle Bin: File bị xóa sẽ không được đưa vào Recycle Bin. + Maximum allowed Recycle Bin size: Giới hạn dung lượng Recycle Bin, tính bằng đơn vị phần trăm dung lượn của ổ đĩa cứng. + Removes the Folder Options menu item from the Tools menu. Ẩn Folder Option. + Remove Search button from Windows Expolorer. Ẩn Search trong Explorer. + Remove Windows Explorer’s default context menu. Ẩn context khi click chuột phải. + Hides the manage item the Windows Expolorer context. Ẩn manage khi click chuột phải vào My Computer. + Hide these specfied drivers in My Computer. Ẩn ổ đĩa (access qua Addresss). 74
75. + Prevent access to drivers from My Computer. Ngăn truy cập các ổ đĩa. + Remove Hardware tab. Ẩn tab Hardware. + Remove DFS tab. Ẩn tab DFS. + Remove Security tab. Ẩn tab Security. User configuration – > Administrator Templates – > Windows Components – > Windows Update + remove access to use all Windows Update features. Cấm tải các bản cập nhật. User configuration – > Administrator Templates – > Windows Components – > Windows Media Player – > Playback 75
76. + Prevent Codec Download: Ngăn không cho Windows Media Player tự động tải các codec. + Allow Screen Saver: Cho phép thiếp lập màn hình giao diện Windows Media Player. User configuration – > Administrator Templates – > Start Menu and Taskbar 76
77. + Remove Logff on the Start Menu. Ẩn Logff ở Start Menu. + Remove and prevent access to the Shut Down command. Ẩn Shut Down. + Remove Drag-and-drop context menus on the Start Menu. Cấm Drag Drop (kéo thả) + Prevent changes to Taskbar and Start Menu Settings. Không thay đổi các thuộc tính đã thiết lập. + Clear history of recently opened documents on exit. Không lưu tập tin trong My Document. + Lock the Taskbar. Khóa Taskbar. + Remove user name from Start Menu. Không hiển thị tên trên Start Menu. + Do not display any custom toolbars in the taskbar. Ẩn toolbars. - User configuration – > Administrator Templates – > Desktop 77
78. + Hide and disbale all items on the desktop. Ẩn biểu tượng trên Desktop. + Remove My Documents icon on the desktop. Ẩn icon My Documents trên desktop. + Remove My Computer icon on the desktop. Ẩn icon My Computer trên desktop. + Remove Recycle Bin icon on the desktop. Ẩn icon Recycle Bin trên desktop. + Don’t save settings at exit. Không thay đổi thiết lập sau khi tắt máy. Điều khiển đặc quyền tài khoản Administrator Bạn có thể điều khiển các tài khoản để biết chung có khả năng làm những gì và được phép truy cập những gì ? Vì sao lại là điều khiển tài khoản Administrator ? Có rất nhiều lý do cần kiểm soát tài khoản này. Đầu tiên, trên mỗi mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tài khoản Administrator. Khả năng chúng 78
79. vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công ty đều cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator cục bộ, có thể dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản administrator nguyên bản ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặc quyền là một cách thông minh để quản lý hệ thống mạng trong doanh nghiệp. Giới hạn đặc quyền đăng nhập Chúng ta không làm được gì nhiều để giới hạn vật lý đặc quyền đăng nhập các tài khoản Administrator. Tuy nhiên không nên để chúng được sử dụng thường xuyên, cơ bản hàng ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng biết mật khẩu. Với tài khoản Administrator liên quan đến Active Directory, tốt hơn hết là không để cho người dùng nào biết toàn bộ mật khẩu. Điều này có thể thực hiện dễ dàng với hai tài khoản Administrator khác nhau, chỉ nhập một phần mật khẩu, và dùng một tài liệu dẫn dắt đến các phần chưa mật khẩu đó. Nếu tài khoản chưa cần phải dùng đến, cả hai phần dữ liệu của mật khẩu có thể được giữ nguyên. Một lựa chọn khác là sử dụng chương trình tự động tạo mật khẩu, có thể tạo ra mật khẩu tổng hợp. 79