thiết kế hệ thống mạng nội bộ cho cty vn transport
TRANSCRIPT
THI Ế T K Ế H Ệ TH Ố NG M Ạ NG N Ộ I B Ộ
CHO CTY VNTransport
I.GIỚI THIỆU DỰ ÁN
II.PHÂN TÍCH YÊU CẦU
A.Thông tin và yêu cầu của khách hàng
B.Thông tin qua khảo sát thực tế
III.GIẢI PHÁP
A.Thiết kế logic và thiết kế thực tế
B.Lựa chọn thiết bị và công nghệ
C.Chi phí
D.Đường truyền kết nối
IV.PHƯƠNG ÁN TRIỂN KHAI
A.Bảng phân hoạch IP
B.Thiết kế và xây dựng hệ thống
1. Thiết kế và xây dựng Domain
2. Thiết kế và xây dựng DNS server
3. Thiết kế và xây dựng DHCP
server
4. Thiết kế và xây dựng cấu trúc File
server
5. Thiết kế và xây dựng hệ thống
Web server và FTP server
6. Thiết kế và xây dựng Printer
server
7. Thiết kế và xây dựng hệ thống
antivirus mô hình client-server
8. Xây dựng hệ thống vá lỗi WSUS
9. Triển khai Policy quản lý
10. Các dịch vụ hỗ trợ khác
C.ĐÀO TẠO NGƯỜI SỬ DỤNG
D.KIỂM TRA VÀ BÀN GIAO VẬN
HÀNH
E.CHUYỂN GIAO TÀI LIỆU VÀ KHÁCH
HÀNG NGHIỆM THU
F.ĐÁNH GIÁ HIỆU QUẢ
V.PHƯƠNG ÁN MỞ RỘNG
I. Gi ớ i thi ệ u d ự án
Sau hơn 25 năm ra đời và không ngừng phát triển,
mạng Internet mang những đặc điểm nổi trội mà
trong chúng ta không ai có thể phủ nhận, từ khả
năng liên kết mạnh mẽ đến nguồn thông tin dồi dào
cũng như vấn đề thời gian và tốc độ xử lý thông tin.
Nhưng song song với những ưu điểm đó thì mạng
Internet lại chứa đựng trong nó những hiểm họa
khôn lường.
Hãy tưởng tượng một ngày đẹp trời nào đó, những
thông tin mật mà chúng ta cố công cất giấu lại bị
phơi bày ra trước tất cả mọi người, nó bị đánh cắp
mà ngay chính bản thân chúng ta cũng không biết là
nó đã bị lấy đi! Thông tin mật của một con người đã
quan trọng, nhưng nếu nó là thông tin mật của một
công ty, một tổ chức hay cao hơn là của quốc gia?
Điều gì sẽ xảy ra khi nó bị đánh cắp?
Trong hệ thống mạng Workgroup, thông tin không
được quản lý tập trung dẫn đến rất nhiều bất cập
trong vấn đề quản lý cũng như khả năng bảo toàn dữ
liệu. Vì vậy trong một công ty nếu sử dụng mạng này
để chia sẽ thông tin sẽ vô cùng nguy hiểm, sử dụng
hệ thống mạng được quản lý theo mô hình Domain là
điều tất yếu. Một công ty vốn chứa đựng rất nhiều
thông tin và trong đó có những thông tin mang tính
chiến lược cho sự phát triển của công ty, vấn đề
quản lý và bảo mật thông tin được đặt lên hàng đầu.
Để có thể tạo dựng một hệ thống thông tin nội bộ, dễ
dàng cho nhân viên sử dụng, thuận tiện cho công
việc quản lý cũng như việc trao đổi thông tin thì việc
xây dựng hệ thống File Server là rất cần thiết. Từ đó
thông tin được quản lý tập trung và sử dụng chiến
lược Backup Restore hợp lý tránh tình trạng thông
tin bị thất thoát!
Dựa trên tình hình thực tế, nhóm chúng tôi đã nghiên
cứu và phát triển dự án “Xây dựng hệ thống File
Server - quản lý dữ liệu tập trung và xây dựng hệ
thống mạng Lan cho công ty với tính ổn định và bảo
mật cao”.
Chúng tôi tin tưởng rằng, với đề án này, chúng tôi có
thể giúp các công ty quản lý, sử dụng và bảo mật tốt
thông tin để công ty tận dụng tốt công nghệ và phù
hợp với nguồn tài chính của một công ty vừa và nhỏ
đang trên đà phát triển.
II. Phân tích yêu cầu
A. Thông tin chính thức từ đại diện của khách
hàng
1. Về hiện trạng công ty do khác hàng cung cấp:
VNTransport là một công ty vận tải đường bộ. Hiện
tại công ty đang tọa lạc tại một toà nhà ở TP.HCM.
Đã hoạt động gần 5 năm và muốn xây dựng hệ thống
mạng nội bộ mô hình domain cho công ty.
Cấu trúc toà nhà của công ty gồm một tầng trệt và
ba tầng lầu. Tầng một đã được sử dụng cho ba
phòng ban, tầng hai cho hai phòng ban, tầng ba là
tầng quản lý tập trung các máy chủ quan trọng của
công ty.
Chi tiết: Nhân sự và phòng ban trong công ty:
- Phòng Hành chính nhân sự: 10 người (tầng 1)
- Phòng Kế hoạch kinh doanh: 10 người (tầng 1)
- Phong Kỹ Thuật: 10 người (tầng 1)
- Phòng Tài chính – Kế Toán: 20 người (tầng 2)
- Phòng Ban Giám Đốc: 4 người (tầng 2)
2. Về yêu cầu của khách hàng:
Xây dựng hệ thống File Server và chiến lược sao lưu
phục hồi dữ liệu cho user trong hệ thống mạng của
Cty với các yêu cầu sau:
ü Mỗi Nhân viên đều có quyền tương ứng trên File
Server
ü Hệ thống File Server chứa tài nguyên phải được
chia sẽ
ü Mỗi Nhân viên khi logon vào hệ thống sẽ có 2 ổ
đĩa mạng (dùng chung và dùng riêng).
ü Mỗi Nhân viên khi làm việc dữ liệu phải được
lưu trên File Server,Không cho phép nhân viên lưu
trữ dữ liệu trên máy local.
ü Xây dựng chiến lược sao lưu và phục hồi dữ liệu
cho hệ thống File Server
ü Giá thành hệ thống hợp lý, không vượt quá 500
triệu đồng cho cả hệ thống
Nội dung chuyên môn cần có:
ü WSUS
ü Remote Assistant: dùng để hổ trợ support từ xa
khi người quản trị từ internet remote về công ty.
ü Group policy: account, local, software
restriction.
ü File server: Sharing & NTFS permission,
backup & restore.
ü User & Group: home folder, script (log in).
ü DHCP.
ü DNS.
ü Printer server: ngoài các cấu hình cơ bản có
thêm phần có thể sử dụng printer qua internet.
ü RAID
ü Web, FTP được publish(NAT) ra internet dùng
RRAS.
ü Deploy antivirus.
B. Thông tin qua khảo sát thực tế
1. Về cấu trúc tòa nhà: đúng như thông tin cung
cấp của khách hàng
2. Về hiện trạng công ty: là công ty vừa và nhỏ
đang trên đà phát triển, khả năng tài chính cũng có
giới hạn. Vì thế cần sử dụng những giải pháp phù
hợp.
Công ty hiện đang sử dụng mạng workgroup mô hình
như sau:
III. Giải pháp
A. Thiết kế logic và thiết kế vật lý
- Công ty cần xây dựng 1 hệ thống mạng theo
mô hình domain để quản lý tập trung tạo điều kiện
thuận lợi cho việc quản trị hệ thống mạng.
- Có tấc cả 5 server, trên mỗi server chạy các
dich vụ khác nhau để tiết kiệm chi phí. Chi tiết về các
dịch vụ trên mô hình chức năng sau:
Mô hình thiết kế vật lý của hệ thống
như sau:
B. Lựa chọn thiết bị và công nghệ
Các linh kiện thiết bị đã có:
- 53 computer cấu hình mạnh và vừa
- 2 witch 24 port, 1 switch 16 port, 2 switch 8 port
Thiết bị Yêu cầu Số lượng
Server Server 5
Modem ADSL 1
Switch 8 port 2
Printer LaserJet 3
Cable RJ45-ADC 450 m
- 1 máy in LaserJet
Các thiết bị cần mua mới:
Công nghệ sử dụng: Tận dụng tối đa công nghệ của
Microsoft kết hợp thêm các dịch vụ phụ trợ khác.
Ưu điểm: công nghệ phổ biến và giá thành rẻ
Nhược điểm: hệ thống có thể xảy ra lỗi do phần
mềm nên cần có nhân viên kỹ thuật chuyên môn hỗ
trợ.
Chi tiết về công nghệ sử dụng:
ü Sử dụng Windows Server 2003 để cài đặt và
quản lý tấc cả các dịch vụ quan trọng trong công ty
ü File server: Lưu trữ, chia sẽ, quản lý dữ liệu tập
trung
ü Domain Controller, DNS, DHCP server: quản
lý hệ thống các đối tượng, phân giải tên, cấp phát IP
động cho toàn bộ vùng mạng LAN
ü Web, FTP, Printer server: Quản lý web, ftp và
máy in mạng.
ü RIS, WSUS: triển khai hệ điều hành, cập nhật
các bản vá lỗi cho hệ thống
ü RRAS, Antivirus: làm chức năng router (Lan-Routing, VPN, NAT), quản lý
việc quét virus cho các antivirus client trên máy nhân viên và cập nhật các bản diệt
virus mới từ internet.
Thiết bị Yêu cầuSố
lượngGiá thành
Tổng
công
Server Server 5 890 $ 4450 $
Modem
ADSL
1 32 $32 $
Switch 8 port 2 15 $ 30 $
PrinterLaserJet in
mạng
3 382 $1528 $
Cable RJ45-ADC 450m 85$ /thùng 135 $
C. Chi phí:
(giá thành tại thời điểm tháng 3/2009)
Tổng chi phí linh kiện: 5793$ (chưa bao gồm các chi
phí phát sinh và bản quyền phần mềm)
Tương đương: 98.098.622 Đồng (tỉ giá USD: 16.934
ngày 27/4/2009)
D. Đường truyền kết nối
- Đường truyền trong mạng LAN: sử dụng cáp
RJ45 tốc độ 100 Mbps
- Đường truyền Internet: sử dụng gói cước
MegaOFFICE của FPT
- Tốc độ truy cập Internet tối đa Download
3,072 Kbps Upload 640 Kbps
- Cam kết về tốc độ truy cập Internet tối thiểu
Download Từ 128 Kbps Upload Từ 128 Kbps.
IV. Phương án triển khai
A. Bảng phân hoạch IP:
B. Thiết kế và xây dựng sơ đồ hệ thống:
1. Thiết kế và xây dựng Domain
Xây dựng cấu trúc Active Directory
Chức năng của Domain Controller:
Máy DC giúp quản lý các đối tượng như domain, ou,
group, user, máy in, và rất nhiều các đối tượng khác.
Để máy DC hoạt động ổn định, cấu hình đúng là cực
kỳ quan trọng. Ta tiến hành xây dựng 2 DC đồng cấp
trên hệ thống giúp tối ưu hóa khả năng làm việc
cũng như sự an toàn cho hệ thống.
Ưu điểm:
Hai máy DC đồng cấp có cơ cấu Replicate dữ liệu
qua lại và hoạt động ngang hàng. Khi có một user
gửi yêu cầu lên DC1 xử lí, thông tin từ user thứ 2 sẽ
được tiếp nhận bởi DC2. Hai máy này sẽ thay phiên
nhau làm việc, giúp hệ thống vận hành nhẹ nhàng
hơn.
Khi có một máy trong hệ thống không hoạt động nữa,
máy DC còn lại sẽ có nhiệm vụ thực hiện hết tấc cả
các công việc điều hành và quản lý các đối tượng.
Giúp hệ thống vẫn vận hành tốt khi có sự cố với một
máy DC nào đó.
Khi xây dựng 2 dc đồng cấp, dữ liệu truyền qua giữa
2 máy này theo cơ chế nhân bản (Replicate), bảo
mật và không chiếm quá nhiều băng thông hệ thống
như quá trình transfer.
Ta xây dựng 2 máy Domain controller đồng cấp lần
lượt như sau:
DC1:
- Domain type: Forest Root Domain
- Full quality domain name:
server01.vntransport.vn
DC2:
- Domain type: Additional Domain
- Full quality domain name:
server02.vntransport.vn
DC1 và DC2 đồng cấp hoạt động ngang hàng chia
sẽ thực hiện các yêu cầu từ các client trong hệ thống.
Khi DC1 bị sự cố DC2 có nhiệm vụ thực hiện quản
lý các đối tượng cho DC1
1.2 Xây dựng cấu trúc OU và Group
Chiến lược Group được sử dụng: A-G-P, áp dụng khi
forest có một domain và ít user.
Giải thích chiến lược A-G-P: Account – Global
Group – Permission. Các User Account (A) được
đưa vào Global Group (G), và giới hạn quyền tới
group này (P).
Ø Ưu điểm:
- Các group không lồng vào nhau nên việc xử
lý sự cố sẽ dễ dàng hơn
- Tài khoản thuộc về một phạm vi nhóm đơn lẻ.
Ø Nhược điểm:
- Tại mọi thời gian một người dùng xác nhận
với một tài nguyên. Server kiểm tra thành viên của
nhóm và xác định nó có phải là member không?
- Sự thực thi bị giảm sút với vì nhóm global
không có Cache.Bảng thiết kế Group cho công ty VNTRANSPORT:
Group
Group Scope Group Type
OUDo
man
Loc
al
Glo
bal
Unive
rsal
Secu
rity
Distri
bute
BanGia
mDoc
P P BanGia
mDoc
ThuKy P P BanGia
mDoc
KToan P P KeToan
HC-NS P P HanhCh
inh-
NhanSu
KT-KD P P KeHoac
h-
KinhDo
anh
KThua
t
P P KyThua
t
1.3. Chiến lược Backup và Restore Active
Directory.
Để đảm bảo sự an toàn cho dữ liệu và khả năng hồi
phục dữ liệu khi cần thiết. Ta tiến hành backup và
restore cho Active Directory
1.3.1. Yêu cầu khi thực hiện Backup Restore
cho Active Directory:
- Đảm bảo dữ liệu được lưu trữ tốt để phục hồi
sau backup
- Lựa chọn thời đúng thời điểm để backup
không gây ảnh hưởng hoạt động của máy chủ
- Sử dụng các chiến lược restore hợp lý khi gặp
những sự cố khác nhau trên AD
1.3.2. Định hướng thực hiện:
- Sử dụng thiết bị lưu trử chuyên dụng cho việc
backup là Tape Driver: Hewlett Packard
StorageWorks DAT 24 (DW069A) DAT Tape Drive
DAT, 12 GB, USB 2.0 Interface, Internal Enclosure,
1.5 MBps, For: PC Platforms. Giá: 220$
- Chọn thời gian backup thích hợp tốt nhất là
vào những lúc vắng nhân viên làm việc như vào lúc
nghỉ trưa hoặc sau giờ làm việc.
- Sử dụng các chiến lược restore phù hợp như:
Primary, Non-Authoritative, Anthoritative
1.3.3. Cách thực hiện:
a. Backup System State: dùng để backup lại database
của Active Directory. Dùng chương trình backup
NTBACKUP có sẳn của Windows để tiến hành
backup system state cho hệ thống.
b. Restore AD: Tùy vào các trường hợp khác nhau
của sự cố Domain Controller ta tiến hành các kiểu
restote database khác nhau
Ø Trường hợp 1: Authoritative Restore
Khi chọn cách phục hồi này từ máy DC1 (file backup
ở trên máy này), dữ liệu được nhân bản (replicate)
ngược lại từ máy DC2. Nếu muốn chọn giữ lại đối
tượng nào được tạo ra sau thời điểm backup trên
DC1 ta sẽ chạy dòng lệnh NTDSUNTIL để giữ lại
đối tượng đó.
Giả sử muốn giữ lại user NV-Ktoan01 trên DC1
được tạo ra sau thời điểm backup, ta lần lượt chạy
dòng lệnh trên cmd như sau:
NTDSUNTIL
Authoritative Restore
Restore Object “cn=NV-
Ktoan01,ou=Ktoan,ou=KeToan,dc=vntransport,dc=
vn”
Quit
Restart
Ø Trường hợp 2: Non-Authoritative Restore
Hình thức này sẽ ghi lại tình trạng hệ thống khi tiến
hành backup kết hợp với những đối tượng từ máy DC
bên kia sau khi bản backup được tạo ra, giả sử ta tạo
bản backup trên DC1 và sau đó tạo user NV-
Ktoan01 trên DC2. Sau đó tiến hành restore file
backup. Sau khi restore hệ thống sẽ bao gồm những
đối tượng khi backup cùng với user NV-Ktoan01
được tạo ra trên DC2 nhân bản qua.
Ø Trường hợp 3: Primary Restore
Hình thức này sẽ lấy trạng thái mới nhất cho file
backup và phục hồi lại cho DC tiến hành restore, hệ
thống tự động đồng bộ cho DC khác trên hệ thống.
Ta sử dụng cách backup này khi tấc cả các máy DC
đều bị mất dữ liệu và muốn phục hồi lại dữ liệu tại
thời điểm backup.
1.3.4. Tổng kết Backup & Restore AD
Một hệ thống an toàn là hệ thống được backup
thường xuyên và sử dụng chiến lược restore
đúng thời điểm. Sử dụng chiến lược backup restore
AD giúp dữ liệu trên các máy DC được bảo đảm an
xảy ra biến cố hệ thống.
2. Thiết kế và xây dựng DNS
DNS là một mấu chốt quan trọng cho sự vận hành hệ
thống mạng. Để DNS hoạt động tốt, ta cần thực hiện
thiết kế và cài đặt đúng phương pháp và chính xác.
2.1.1. Chức năng của DNS server:
Ngoài chức năng phân giải tên miền thành IP và
ngược lại. Vì DNS là một cơ sở dữ liệu phân tán và
có khả năng mở rộng. Nó giúp người quản trị cục bộ
có thể quản lí dữ liệu nội bộ thuộc phạm vi của họ,
dữ liệu này được truy cập trên toàn bộ hệ thống theo
mô hình client-server.
Ưu điểm:
- Tăng khả năng chịu lỗi
- Cân bằng tải
- Security (dynamic update)
- Giảm traffic hệ thống (không phải transfer mà
thông tin Dns được replicate chung voi AD)
2.1.2. Yêu cầu định hướng và cách thực hiện:
Xây dựng 2 DNS primary server để đảm bảo tính sẵn
sàng và khả năng chịu lỗi. Khi 1 server bị sự cố DNS
server còn lại sẽ thực hiện các yêu cầu phân giải của
client.
Xây dựng hệ thống DNS trên server01
- Vào control panel cài đặt Dns service
- Cấu hình Primary Zone tích hợp AD
- Cấu hình Forward lookup zone và Reverse
lookup zones
Xây dựng DNS trên server02
- Chỉ cần cài đặt DNS service sau đó tấc cả các
dữ liệu sẽ được replicate từ máy dns1 qua.
Sau khi cấu hình xong ta sẽ tiến hành kiểm tra DNS
có phân giải đúng hay không bằng lệnh nslookup
trên CMD. Nếu phân giải tốt kết thúc quá trình cấu
hình và tiếp tục xây dựng các dịch vụ khác.
2.1.3. Tổng kết dịch vụ DNS
DNS là một dịch vụ cực kỳ quan trọng trên hệ thống
mạng. Để DNS có thể phân giải đúng và có khả năng
hoạt động ổn định, ta cần tiến hành các bước cấu
hình chính xác
3. Thiết kế và xây dựng DHCP
Khi một máy tính tham gia vào mạng thì địa chỉ của
nó phải là duy nhất – không trùng lặp với bất cứ máy
nào khác trên hệ thống. Đối với một hệ thống mạng
lớn có hàng trăm máy trạm thì việc gán địa chỉ IP
cho từng máy trạm thì sẽ gặp rất nhiều khó khăn,
mất nhiều thời gian và công sức.
Để khắc phục tình trạng trên, hệ thống mạng cung
cấp dịch vụ DHCP cho Server tự động cung cấp địa
chỉ IP và các thông tin cấu hình cần thiết cho các
máy trạm.
3.1. Chức năng của DHCP server
DHCP Server cấp phát IP động và các thông tin cấu
hình có liên quan cho các Client.
3.2. Ưu nhược điểm của DHCP server
Ø Ưu điểm:
- Giảm bớt các hiện tượng xung đột về IP, hay
các lỗi về IP, luôn đảm bảo Client được cấu hình
đúng.
- Đơn giản hóa trong công tác quản trị.
- Tiết kiệm được số địa chỉ IP thật.
- Tập trung quản trị thông tin về cấu hình IP.
- Cấu hình IP động cho các máy trạm một cách
liền mạch.
- Phù hợp với các máy tính thường xuyên di
chuyển giữa các lớp mạng.
- Tự động cập nhật thông tin khi có sự thay đổi
cấu trúc mạng.
- Sự linh hoạt và khả năng dể mở rộng.
Ø Nhược điểm:
- Địa chỉ IP được cấp sẽ bị thay đổi, không bảo
đảm có một địa chỉ riêng biệt cho một Client trong
mọi lúc khi Client cần một địa chỉ IP tỉnh.
- Quá trình cấp phát IP giữa DHCP client và
DHCP server là tín hiệu broadcast nên không thể đi
qua được Router.
3.3. Các yêu cầu chung khi triển khai dịch
vụ DHCP server
Ø DHCP Client
- Windows XP
Ø DHCP Server
- Windows Server 2003
- DHCP Server Service đã được cài đặt trên
Server
- Đã cấu hình IP tĩnh, Subnet Mask và Default
Gateway
- Có Range IP hợp lệ
3.4. Định hướng và triển khai dịch vụ DHCP
server
Ø Định hướng thực hiện theo mô hình hệ thống
- Xây dựng theo chiến lược 80/20
- Cấu hình 2 Range IP cho 2 Subnet tương ứng
trong mô hình hệ thống
- Cấu hình Scope Option: 003: Router, 006:
DNS Servers, 015: DNS Domain Name
- Cấu hình Superscope cho 2 Range IP tương
ứng
- Backup & Restore DHCP database
- Nén DHCP database
- Cấu hình DHCP Relay Agent
Ø Triển khai dịch vụ theo mô hình hệ thống
Chú thích:
003 Router
006 DNS Servers
015 DNS Domain Name
IV. Phương án triển khai (continue)
Ø Cấu hình Superscope
Ø Backup & Restore DHCP database
Mục đích:
- Đảm bảo an toàn cho database của DHCP
Server
- Khắc phục nhanh sự cố xảy ra đối với
database của DHCP Server
Cách thực hiện:
- Tạo ra một folder chứa file backup của
DHCP trên ổ đĩa C:\
- Backup dữ liệu của DHCP Server đến folder
đã tạo sẵn trên ổ đĩa C:\
- Khi Restore sẽ chỉ đường dẫn đến folder chứa
file backup đã tạo trên ổ đĩa C:\
Ø Nén DHCP database
Mục đích:
- Tiết kiệm dung lượng lưu trữ
Cách thực hiện:
- Sử dụng câu lệnh: Jetpack để nén file
database của DHCP
- CD %SYSTEMROOT%\SYSTEM32\DHCP
- NET STOP DHCPSERVER
- JETPACK DHCP.MDB TMP.MDB
- NET START DHCPSERVER
Ø Cấu hình DHCP Relay Agent
Mục đích:
- Trung chuyển gói tin qua lại giữa các lớp
mạng thông qua Router
Cách thực hiện:
- Enable Routing and Remote Access
- Add DHCP Relay Agent
- Trên DHCP Relay Agent
- Properties: add địa chỉ IP của 2 DHCP
Server
- New interface: add 2 interface mà DHCP
Server cần cấp
3.5. Tổng kết dịch vụ DHCP
Dịch vụ DHCP Server đã được cấu hình và
sẵn sàng cho việc phục vụ cấp phát IP động cho các
máy trạm trong hệ thống mạng của công ty
VNTransport. Với các chức năng đã được cấu hình
mà đã trình bày ở trên thì nhóm chúng tôi đảm bảo
tính an toàn và hoàn toàn ổn định trong suốt quá
trình hoạt động của công ty.
4. Thiết kế và xây dựng cấu trúc File Server
File Server trong một hệ thống mạng đóng vai trò
cực kỳ quan trọng vì tấc cả dữ liệu của nhân viên
được lưu trữ và chia sẽ tại đây. Để file server hoạt
động một cách an toàn và hiệu quả ta cần thực hiện
nhiều chiến lược về mặt cấu hình cũng như quản lý.
4.1. Chức năng của File server và ưu nhược điểm
- Lưu trữ và chia sẽ dữ liệu.
- Quản lý dữ liệu tập trung.
4.2. Các yêu cầu cần làm trên File server.
- Dữ liệu được chia ra các vùng khác nhau
phân quyền sử dụng cho nhân viên.
- Giới hạn không gian sử dụng của từng nhân
viên.
- Giám sát việc sử dụng tài nguyên của nhân
viên
- Phục hồi dữ liệu nếu lỡ bị xóa, thay đổi.
- Backup dữ liệu định kỳ để phục hồi khi cần
thiết.
- Hoạt động nhanh, ổn định, bảo mật.
4.3. Định hướng thực hiện.
- Sử dụng NTFS Permission để phân quyền trên
các thư mục chia sẽ cho các Group chứa user trên
AD.
- Sử dụng Quota để giới hạn dung lượng sử
dụng trên ổ đĩa File server.
- Sử dụng Audit để giám sát việc sử dụng tài
nguyên.
- Sử dụng Shadow Copies để sao lưu và phục
hồi dữ liệu bị xóa, thay đổi tạm thời.
- Sử dụng Backup & Restore để sao lưu dữ liệu
định kỳ và phục hồi khi cần thiết.
- Sử dụng Raid 5 để sao lưu đồng thời tăng tốc
hoạt động cho đĩa cứng File server.
4.4. Xây dựng và Cấu hình File server
File server được đặt trên một ỗ đĩa cứng riêng và
định dạng theo chuẩn NTFS. Trên đĩa cứng này tạo
phân vùng D chứa dữ liệu. Phân vùng này chỉ sử
dụng cho file server không có mục đích nào khác.
4.4.1. Xây dựng cây thư mục chứa dữ liệu trên
phân vùng D
- Ta tạo ra 2 thư mục chức năng đảm nhận
công việc riêng.
ü Public: thư mục dùng chung, nhân viên có
thể lưu và chia sẽ dữ liệu tại đây
Trên Public chứa 2 thư mục dùng chung:
+ Report: thư mục lưu các báo cáo của nhân
viên cho ban điều hành.
+ Application: thư mục lưu trữ các ứng dụng
phù hợp để deploy xuống cho từng phòng ban.
ü Private: thư mục dùng riêng, lưu trữ dữ
liệu làm việc của từng nhân viên riêng biệt. Mỗi
nhân viên khi logon vào hệ thống sẽ có một thư mục
tương ứng, thư mục này sẽ làm My Document cho
từng nhân viên.
4.4.2. Định hướng phân quyền NTFS và cách
thức thực hiện:
a. Yêu cầu chung:
- Nhân viên không thể xóa hoặc thay đổi cấu
trúc thư mục có sẵn
- Nhân viên có toàn quyền trên thư mục và dữ
liệu mình tạo ra
- Nhân viên không chỉnh sữa hoặc xóa được dữ
liệu của người khác
b. Yêu cầu riêng:
- Trên Public: Nhân viên được quyền đọc tấc
cả các dữ liệu. Được quyền tạo - chỉnh sữa - xóa dữ
liệu của mình, không được chỉnh sửa - xóa dữ liệu
của người khác.
+ Trên Report: Nhân viên chỉ có quyền đọc và
ghi dữ liệu của mình.
+ Trên Application: chỉ dành cho admin deploy
phần mềm.
- Trên Private: Chứa các thư mục tương ứng
cho các nhân viên, khi nhân viên đăng nhập vào hệ
thống lần đầu tiên thì sẽ tự động tạo ra một thư mục
trùng trên của user nhân viên, thư mục này được sử
dụng làm My Documents cho nhân viên khi làm việc
trên hệ thống. Dữ liệu của nhân viên được lưu trữ
trực tiếp trên server và nhân viên sẽ thấy duy nhất
dữ liệu của mình, không thấy bất cứ thư mục nào của
các nhân viên khác.
c. Cách phân quyền NTFS
Ø Công việc chung:
- Share 2 thư mục với tên tương ứng
- Thiết lập Full Control cho Everyone ở Share
Permission cho tấc cả các thư mục share
- Cấu hình NTFS Permission:
+ Gỡ bỏ đặc tính thừa hưởng trên ổ đĩa D
+ Remove group Nhân viêns khỏi ổ đĩa D
+ Add các group tương ứng của phòng ban vào
+ Thiết lập Full control cho tài khoản CREATE
OWNER trên D
Ø Công việc riêng trên từng thư mục share:Bảng phân quyền:
Folder Share NTFS
(advanced)
Users/Group Apply onto
Public Full
control
Travel
Folder /
Execute file
List Folder /
Read Data
Read
Attributes
Read Extend
Attributes
Create
Folders /
Append Data
BanGiamDoc
ThuKy
KToan
HC-NS
KT-KD
KThuat
This
folders,
subfolders
and files
Report Full
control
Travel
Folder /
Execute file
List Folder /
Read Data
Create
Folders /
Append Data
BanGiamDoc
ThuKy
KToan
HC-NS
KT-KD
KThuat
This
folders,
subfolders
and files
Read
Attributes
Write
Attributes
Application Full
control
Full control Administrator This
folders,
subfolders
and files
Ø Sử dụng Group Policy để cấu hình thư
mục Private chứa các My Documents của nhân viên
4.4.3. Sử dụng Quota để giới hạn không gian
lưu trữ.
a. Ưu điểm và nhược điểm
- Ưu điểm: Giới hạn được không gian sử dụng
ỗ đĩa mạng cho nhân viên, tránh tình trạng sử dụng
quá nhiều làm ảnh hưởng cho file server, lãng phí tài
nguyên cũng như tốc độ truy xuất dữ liệu của những
nhân viên khác
- Nhược điểm: Đối với các phòng khác nhau
phải thiết lập các mức hạn ngạch khác nhau tùy vào
nhu cầu, mỗi khi dữ liệu làm việc của một ai đó đã
đầy chúng ta phải điều chỉnh lại mức hạn ngạch.
Không thể thiết lập một lần để sử dụng mãi mãi.
b. Cách thực hiện
Mỗi nhân viên chỉ được sử dụng 500mb trên ỗ đĩa
cứng của file server
Thông báo cho nhân viên khi dùng đến 450mb, đến
500mb thì không lưu dữ liệu được nữa.
Thiết lập quota cho tấc cả các nhân viên như sau:
Limit disk space: 500mb
Warning level: 450mb
4.4.4. Giám sát hoạt động của nhân viên trên
file server với Audit
Giám sát các hoạt động của nhân viên trên file
server như: tạo, chỉnh sữa, xóa…
a. Ưu điểm và nhược điểm
- Ưu điểm: giám sát giúp quản lý được công
việc của user và có thể ghi ra báo cáo khi cần thiết
- Nhược điểm: làm công việc xử lý trên file
server diễn ra chậm hơn do mỗi lần có các sự kiện
xảy ra phải ghi lại những sự kiện đó.
b. Cách thực hiện
Thêm danh sách các nhân viên muốn giám sát vào và
tùy chọn các sự kiện Successful hoặc Failed phù hợp
với quyền của từng nhân viên trên ỗ đĩa
4.4.5. Sử dụng Shadow Copies.
Shadow Copies cho phép sao lưu dữ liệu tạm thời do
nhân viên tạo ra và phục hồi khi lỡ bị nhân viên vô
tình xóa hoặc ghi đè...trong ngày hôm đó.
a. Ưu điểm và nhược điểm
- Ưu điểm: restore lại một cách nhanh chóng,
ghi lại nhiều version khác nhau của một file cho
phép thực hiện quá trình restore theo ngày giờ cụ
thể.
- Nhược điểm: chỉ khắc phục những sự cố nhỏ
khi bị xoá mất file hay thư mục. Không thể thay thế
được các hình thức sao lưu truyền thống.
b. Cách thực hiện
- Enable chức năng Shadow Copies trên đĩa
cứng file server.
- Lập lịch để tự động sao lưu
- Cho máy tính nhân viên cài đặt chương trình
Previous Versions Client trong thư mục C:\
WINDOWS\system32\clients\twclient\x86
- Để thực hiện phục hồi: từ máy nhân viên
vào thư mục mà user đã thực hiện thay đổi chọn
Properties -> chọn Previous Versions -> Chọn thời
điểm đã sao lưu -> Chọn Restore.
4.4.6. Chiến lược Backup & Restore cho File
Server.
Backup & Restore là hình thức sao lưu truyền thống
không thể thiếu trên bất cứ file server nào. Nó là linh
hồn của file server, đóng vai trò cực kỳ quan trọng
trong công việc bảm đảm sự an toàn dữ liệu. Dữ liệu
được tạo ra và sao lưu, phục hồi tại những thời điểm
thích hợp giúp ta đối phó với bất cứ tình huống nào
khi xảy ra sự cố trên file server.
a. Ưu điểm và nhược điểm
- Ưu điểm: có thể kết hợp nhiều phương pháp
sao lưu, giúp lấy lại giữ liệu của bất cứ thời điểm
nào nếu cần thiết.
- Nhược điểm: dữ liệu ngày càng tăng lên càng
tốn nhiều thiết bị để lưu trữ, thời gian sao lưu càng
chậm.
a. Yêu cầu và định hướng
Ø Các yêu cầu:
- Sử dụng băng từ để lưu trữ (Tape Drive), giúp
bảo quản tốt hơn là DVD
- Backup vào thời điểm ít nhân viên làm việc
hoặc tấc cả đã nghỉ để tránh trường hợp nhân viên
cập nhật dữ liệu sau thời điểm backup của server.
- Backup làm sao để dữ liệu tạo ra là ít nhất,
thời gian ngắn nhất nhưng vẫn đảm bảo đầy đủ, ổn
định, có thể lấy lại dữ liệu của một ngày bất kỳ trong
tuần.
Ø Định hướng:
- Sử dụng Tape Driver: Hewlett Packard
StorageWorks DAT 24 (DW069A) DAT Tape Drive
DAT, 12 GB, USB 2.0 Interface, Internal Enclosure,
1.5 MBps, For: PC Platforms. Giá: 220$
- Backup vào ban đêm khoảng 10h là tốt nhất
- Sử dụng backup Normal kết hợp với
Incremental và Differential
Giới thiệu ưu điểm và nhược điểm của 3 loại backup
trên để tiện việc lựa chọn sử dụng:
Backup Normal:
Backup full, có nghĩa là sẽ backup hết tất cả cái gì
mà mình đã chọn
- Thời điểm dùng: backup full thường làm vào
ngày cuối tuần và đầu tuần
- Ưu điểm: sẻ backup toàn bộ cái gì chúng ta
cần.
- Khuyết điểm: thời gian backup và restore sẻ
lâu vì backup hết và restore hết, cần có thiết bị dung
lượng lớn để chứa file backup.
Backup Incremental:
Kiểu backup này là chỉ backup lại những gì thay đổi
của ngày backup so với lần backup trước
- Thời điểm dùng: các ngày còn lại trong tuần
trừ thứ 2 và thứ 7
- Ưu điểm: thời gian backup nhanh vì chỉ
backup lại những gì thay đổi so với lần trước, không
cần storage lớn để chứa file backup
- Khuyết điểm: phải restore từng file theo thứ
tự Full và bakup ngày thứ 2 rối đến ngày thứ 3 ... sau
cùng đến ngày cần restore.
Backup Differential:
Tuần 1 Tuần 2 Tuần 3
T hứ 2: Normal T hứ 2:
Differental
T hứ 2: Differental
T hứ
3: I ncremental
T hứ
3: I ncremental
T hứ
3: I ncremental
T hứ
4: I ncremental
T hứ
4: I ncremental
T hứ 4 : I ncrementa
l
T hứ
5: I ncremental
T hứ
5: I ncremental
T hứ 5 : I ncrementa
l
T hứ
6: I ncremental
T hứ
6: I ncremental
T hứ 6 : I ncrementa
l
T hứ 7: Normal T hứ
7: Normal
T hứ 7 : Normal
CN: không C N : không CN: không dùng
dùng dùng
Kiểu backup là file backup được tạo ra gồm backup
Full của ngày hôm trướcvà sự thay đổi của ngày cần
backup
- Thời điểm dùng :Thường dùng vào các ngày
còn lại trong tuần trừ thứ 2 và thứ 7
- Ưu điểm: bakup lại bản Full của ngày hơm
trước và sự thay đổi của ngày backup nên khi restore
sẻ nhanh hơn incremental
- Khuyết điểm: thời gian backup sẻ lâu hơn
kiểu normal nhưng thời gian restore nhanh hơn kiểu
incremental, cần storage lớn để chứa file backup.
b. Cách thực hiện:
Bên trên là lịch backup định kỳ hàng tuần, phù hợp
với khả năng và yêu cầu của một công ty vừa và nhỏ.
Từ đây chúng ta sẽ căn cứ để lập lịch backup định
kỳ.
4.4.7. Xây dựng ổ đĩa dự phòng Raid
Sao lưu dữ liệu luôn là một nhiệm vụ cần thiết và cấp
bách đối với các doanh nghiệp, tổ chức hay bất kỳ cá
nhân nào. Bất cứ khi nào ổ cứng cũng có thể bị hỏng
hay bad mà không hề báo trước và kèm theo đó thì
dữ liệu cũng “ra đi”. Vậy tại sao thay vì việc “ngồi
chờ” ổ cứng mà không tự thiết lập cho mình một hệ
thống sao lưu dự phòng đơn giản mà không cần mất
quá nhiều công sức vào việc backup hàng ngày, hàng
giờ (kể cả khi đã có chương trình hỗ trợ). Ổ đĩa cứng
hiện nay không còn quá đắt và quá sa xỉ, vì vậy ta
cần tạo cho công ty một hệ thống sao lưu dự phòng
cơ bản (RAID).
Sử dụng Raid giúp tăng tốc độ truy xuất dữ liệu cũng
như bảo đảm việc sao lưu phục hồi cho ỗ đĩa cứng
hệ thống một cách an toàn. Tùy vào nhu cầu của
công ty ta có thể sử dụng Raid trên DC, File Server.
Yêu cầu và định hướng
Yêu cầu: Sử dụng Raid để tăng tốc truy xuất, sao lưu
an toàn và rẻ tiền.
Định hướng: Sử dụng Raid 5 để thực hiện.
5. Thiết kế và xây dựng hệ thống Web server,
FTP server
Web là một công cụ truyền tải thông tin cực kỳ hữu
dụng của cuộc sống hiện đại. Web và fpt mang lại
cho chúng ta công cụ chia sẽ dữ liệu nhanh chóng và
tiết kiệm rất nhiều chi phí. Trong hệ thống mạng nội
bộ của một công ty, những dịch vụ này giúp nhân
viên cập nhật nhanh chóng thông tin từ ban điều
hành cũng như gửi thông tin ngược trở lại. Xây dựng
đồng thời 2 hệ thống public và private web-ftp không
những giúp quảng bá thông tin nội bộ mà còn cho
cộng đồng sử dụng mạng internet. Nó là một công cụ
quảng cáo sản phẩm dịch vụ rất hiệu quả và tiết
kiệm.
5.1. Các chức năng và ưu nhược điểm.
- Web giúp ta chia sẽ thông tin và cập nhật
thông tin mới từ bất cứ địa điểm nào có kết nối mạng
- Chức năng chính của FTP là làm nơi lưu trữ
dữ liệu di động trên mạng, chỉ cần có user và
password (nếu yêu cầu) là bất cứ ai cũng có thể truy
cập vào FTP server để lấy và chia sẽ dữ liệu cho mọi
người.
- Ưu điểm: chia sẽ và cập nhật thông tin mọi
lúc mọi nơi.
- Nhược điểm: bảo mật kém, dễ dàng bị hacker
lợi dụng vì mục đích xấu.
5.2. Các yêu cầu chung khi triển khai dịch vụ Web
và FTP.
.2.1. Yêu cầu với các dịch vụ
- Yêu cầu khi thiết kế cấu trúc chạy Web: hoạt
động nhanh, cập nhật kịp thời thông tin cho nhân
viên và khách hàng.
- Với FTP: giúp user có thể truy cập trong
phạm vi mạng nội bộ cũng như từ internet vào
- Với Web: có web nội bộ và web public cho
user và khách hàng truy cập.
5.3. Triển khai các dịch vụ Web và FTP
Cài đặt IIS Component
Tạo host và alias cho FTP và Web trên DNS server.
Triển khai FTP:
- Tạo một FTP site mới
- Cấu hình địa chỉ IP, Port, đường dẫn đến thư
mục share FTP
- Cấp quyền cho các user sử dụng thư mục
share FTP, cấp quyền Read, Wrire, Brower cho user
trên FTP site.
Triển khai Web:
- Tạo Web site mới
- Cấu hình địa chỉ IP, Port, đường dẫn đến thư
mục share web
- Cấu hình trang mặc định và các đường dẫn
dùng để truy cập web
- Cấp quyền Read cho user.
Nat port và cấu hình dyndns để public FTP và Web:
Vào modem Nat port 80 - ứng với IP: 192.168.1.99
của web server, Nat port từ 20 đến 21 - ứng với IP:
192.168.1.99 của FTP server
Download và cấu hình DynDNS software trên máy
Web-FTP để cập nhật địa chỉ IP lên server miến phí
của DynDNS.org (nếu có mua IP public và domain
thì không cần phải sử dụng dịch vụ miễn phí của
DynDNS.org)
5.4. Tổng kết dịch vụ Web và FTP
Sau khi Web-FTP được thiết lập, thông tin của công
ty được phổ biến rộng rải cho các nhân viên và
khách hàng. Đây là dich vụ hỗ trợ cực kỳ hữu ích
cho bất cứ một công ty nào đảm bảo sự tiện dụng và
tiết kiệm chi phí.
6. Thiết kế và xây dựng dịch vụ Printing
Printer server là máy tính hoặc thiết bị chuyên dụng
khác được sử dụng để kết nối với máy in và cung cấp
dịch vụ in ấn trong mạng. Trong thực tế hiện nay, đại
đa số các mạng máy tính của chúng ta (Việt Nam) sử
dụng một máy tính trong mạng để kết nối máy in và
chia sẻ máy in dùng chung này cho các người sử
dụng khác trong mạng.
6.1. Giới thiệu dịch vụ và ưu nhược điểm.
- Có 2 cách sử dụng printer để in ấn trong
mạng là in mạng (internet printing) và in cục bộ
(local printing)
Ø In mạng: sử dụng printer server
Ưu điểm:
- User có thể sử dụng để in từ bất cứ đâu có
internet.
- Công việc in ấn trên mạng được quản lý tập
trung trên server cấu hình internet printing
- Rất nhiều user có thể sự dụng chung một máy
in giảm thiểu chi phí mua nhiều máy in
- Hoạt động không phục thuộc vào PC giúp
công ty tiết kiệm tài nguyên pc
- Có phân quyền nên dễ dàng in ấn hơn
- Tốc độ in ấn nhanh
Nhược điểm:
- Printer server giá thành cao
- Không hỗ trợ quản lý trực tiếp trên máy
printer server
Ø In cục bộ: sử dụng máy in local
Ưu điểm:
- Giá thành rẻ
- Có thể sử dụng tấc cả các loại máy in có thể
in được
- Kết nối đơn giản không phụ thuộc vào cấu
hình kết nối
- Đơn giản dễ triển khai
Nhược điểm:
- Bắt buộc máy in nối với PC phải được mở
liên tục nếu tắt sẽ ảnh hưởng đến các người sự dụng
chung máy in trong cùng một phòng ban
- Tốc độ in ấn không cao
- Tính bảo mật kém
6.2. Triển khai dịch vụ Printer server
a. Triển khai Internet Printing với Printer server
- Cài đặt dịch vụ Internet Printing trong
Control Panel
- Tạo máy in mạng, và trỏ về địa chỉ printer
server và cài đặt driver cho printer server
- Tạo các máy in logic để phân quyền cho các
Group và user khác nhau
- Tạo Printing Pool để giúp hệ thống khắc
phục sự chậm trễ khi có quá nhiều yêu cầu in
- Map máy in về máy client thông qua trình
duyệt internet.
b. Triển khai Local printing
Cài đặt và cấu hình cho máy in cục bộ trên máy tính
có gắn máy in đó
Share máy in đó ra cho các máy khác bằng đường
dẫn UNC hoặc sử dụng câu lệnh map máy in cho
từng client. Phần này sẽ thực hiện trong Group
Policy.
6.3. Tổng kết dịch vụ Printer server
Với sự quản lý của printer server, hoạt động ổn định
- nhanh chóng sẽ giúp công việc in ấn của tấc cả
nhân viên thuận lợi hơn. Trong mô hình mạng của
công ty VNTRANSPORT sẽ có 1 máy printer server
và các máy còn lại sẽ làm chức năng in local, vừa
đảm bảo lại tiết kiệm.
7. Thiết kế và xây dựng hệ thống Antivirus mô
hình Client – Server.
Thảm họa virus đối với hệ thống mạng là ám ảnh
của những ai đã từng làm việc trong các công ty. Khi
virus lây lan trong hệ thống sẽ làm các hệ thống
đóng băng hoặc hoạt động không ổn định, gây ảnh
hưởng đến hoạt động của công ty đặc biệc là các
công ty có xương sống là mạng máy tính - hoạt động
dựa trên mạng máy tính.
Để đề phòng sự lây nhiễm virus cũng như sự lấy lan
phát tán của virus trên hệ thống, cài đặt một hệ
thống phòng chống virus là thực sự cần thiết.
Nhóm chúng tôi quyết định sử dụng phần mềm
Symantec Antivirus 10.0 để thực hiện công việc này.
7.1. Các chức năng của hệ thống Antivirus:
- Chức năng của Antivirus server (cài đặt trên
server): cập nhật, quản lý tập trung các phiên bản
chống virus mới từ internet và triển khai cho máy
nhân viên, diệt virus trên chính máy cài đặt.
- Chức năng của Antivirus client (cài đặt trên
máy nhân viên): cập nhật các phiên bản diệt virus từ
Antivirus server, tìm và diệt virus trên từng máy cài
đặt nó.
7.2. Các đặc điểm chung và ưu điểm khi triển
khai hệ thống Symantec Antivirus
- Khi máy server kết nối ra internet và update,
các máy client sẽ tự động update từ server, máy
client không ra internet để update. Các máy client
cũng không có quyền gỡ bỏ cài đặt nếu không có
password.
- Khi bất kỳ máy nào trong hệ thống, thông tin sẽ
được gửi trực tiếp lên server, người quản trị sẽ biết
ngay và thực hiện các hành động trực tiếp tới máy bị
nhiễm từ server.
Ưu điểm của Symantec Antivirus:
- Hoạt động nhanh và phù hợp với một công ty
vừa và nhỏ
- Tạo ra một hệ thống Antivirus duy nhất cho cả
hệ thống máy tính, giúp người quản trị đơn giản hơn
trong việc quản trị hệ thống.
- Tiết kiệm băng thông trong quá trình Update
- Nâng cao bảo mật.
7.3. Triển khai hệ thống Symantec Antivirus
7.3.1. Cài đặt phần mềm Symantec server
- Chuẩn bị đĩa CD cài đặt chứa: Symantec
AntiVirus Corporate Edition v10.1
và Symantec System Center v10.1
- Cài đặt lần lượt các phần mềm vào máy server,
trong quá trình cài đặt chú ý phần password cho hệ
thống và check vào AutorunLiveUpdate để tự động
cập nhật từ server trên internet sau khi cài đặt xong.
7.3.2. Cấu hình và triển khai Symantec client cho
máy nhân viên và hệ thống các máy member server.
- Sau khi cài đặt và khởi động lại hệ thống, ta
tiến hành Unlock cho server và tùy chọn cho server
là Primary server.
- Sau đó tiến hành triển khai phần mềm xuống
máy client (client trên 3 range khác nhau, range
server, range tầng 1 và range tầng 2)
- Chúng ta có 2 cách để cài đặt cho máy trạm:
một là chúng ta đứng từ Client truy cập đến server
bằng đường dẫn UNC, hai là chúng ta dùng tiện ích
Client Remote Install Tool. Để cài đặt từ xa ta vào
Tools\Client Remote Install.
- Trong quá trình này bước đầu tiên ta sẽ chọn vị
source cài đặt, ta tùy chọn Default Location. Sau đó
ta chọn những user cần triển khai để thực thi.
- Quá trình triển khai xuống client thành công,
sau khi khởi động lại phấn mềm Antivirus sẽ tự động
chạy và nhìn thấy được trên máy client.
7.4. Tổng kết Antivirus.
Symantec Antivirus đảm bảo được khả năng vận
hành nhẹ nhàng cũng như mô hình Client-Server tối
ưu cho công việc quản trị. Sử dụng phần mềm này
trên hệ thống của VNTRANSPORT là rất khả thi và
đạt được một phần mục tiêu bảo mật cho hệ thống
của nhóm 06PBL152.
8. Xây dựng hệ thống vá lỗi WSUS
Quản lý tình trạng hệ thống là một trong những công
việc quan trọng của người quản trị mạng, quản lý
việc cập nhật các bản vá lỗi phải được tiến hành liên
tục cung cấp cho hệ thống những phiên bản vá lỗi
mới nhất của nhà sản xuất không những mang lại
hiệu quả bảo mật, mà còn giúp hệ thống hoạt động
ổn định hơn rất nhiều.
Nhưng một điều cần phải chú ý rằng đôi khi các bản
vá lỗi do nhà cung cấp phần mềm đưa ra thường
chậm hơn so với các bản vá lỗi của các hãng bảo
mật, một ví dụ như symantec đưa ra 40 bản vá lỗi
trong đó có 20 bản cho hệ thống máy Dell chạy
Windows XP và hơn 20 bản vá lỗi cho Windows 2000
Service Pack 3 trước khi Microsoft đưa ra các bản
vá lỗi chính thức vào mùa hè năm 2003. Và việc cập
nhật toàn bộ hệ thống qua Internet là một giải pháp
khó thực hiện khi có nhiều máy tính trong hệ thống
mạng cần được cập nhật bản vá lỗi ngay. Việc triển
khai hệ thống tự cung cấp các bản vá lỗi ngay trong
hệ thống mạng là điều cần thiết. Chính vì điều này
nên chúng ta cần một dịch vụ phục vụ cho nhu cầu
trên và WSUS là 1 giải pháp.
WSUS là viết tắt của Windows Server Update
Service . Cho phép chúng ta tạo ra một máy chủ lưu
trữ phần mềm cập nhật cho toàn bộ hệ thống các
phần mềm của hãng Microsoft từ Windows cho đến
các phần mềm Office
Mô hình hoạt động WSUS:
8.1. Các chức năng và ưu nhược điểm:
- Quản lý tập trung vấn đề cài đặt phần mềm
update trên các máy trạm.
Giảm thiểu lưu lượng băng thông ra ngoài Internet.
Nếu không có wsus công ty có hàng trăm máy tính và
yêu cầu update trực tiếp thông qua Website của
Microsoft sẽ gây là hiện tượng tác nghẽn và quá tải.
- Ưu điểm: Tiết kiệm được nhiều thời gian quản
trị và tăng cường thêm tính bảo mật cho hệ thống
các máy trạm.
- Nhược điểm: chỉ có ích trong một hệ thống lớn
và nhiều máy client. Hệ thống nhỏ cài đặt sẽ gây
lãng phí server.
8.2. Các yêu cầu chung khi triển khai WSUS.
82.1. Yêu cầu về dung lượng đĩa cứng:
- Cả partition cài đặt windows và partition cài
đặt WSUS phải là NTFS.
- Tối thiểu phải có 1 Gb trống cho partition hệ
thống.
- Tối thiểu phải có 6 Gb trống cho partition cài
các bản update cho WSUS recommend là 30 Gb.
8.2.2. Các yêu cầu về Automatic Updates:
Automatic Updates là một thành phần client của
WSUS. Automatic Updates không đòi hỏi gì về phần
cứng đặc biệt ngoài việc phải được kết nối với
network. Ta có thể sử dụng Automatic Updates với
WSUS trên bất kỳ máy tính nào chạy các hệ điều
hành sau đây:
- Microsoft Windows 2000 Professional with
Service Pack 3 (SP3) or Service Pack 4 (SP4),
Windows 2000 Server with SP3 or SP4, or Windows
2000 Advanced Server with SP3 or SP4.
- Microsoft Windows XP Professional, with or
without Service Pack 1 or Service Pack 2.
- Microsoft Windows Server 2003, Standard
Edition; Windows Server 2003, Enterprise
Edition;Windows Server 2003, Datacenter Edition;
or Windows Server 2003, Web Edition.
* Note:
Để cài đặt được WSUS ta cần thực hiện cài đặt một
số chương trình yêu cầu cho WSUS:
1. Cài đặt IIS
2. Cài đặt Services Pack
3. Cài đặt dotNetFX35setup.exe
4. Cài đặt ReportViewer.exe
5. Cuối cùng là cài đặt WSUS (ở đây hệ thống
chúng ta sẽ cài đặt ver3.0)
8.3. Định hướng và triển khai thực hiện WSUS.
Máy chủ SUS sẽ phân tích các hệ điều hành yêu cầu
cập nhật, kiểm tra các bản service pack và cung cấp
cho máy client những gói tin cần phải download và
cài đặt các phiên bản cập nhật.
8.3.1. Đồng bộ dữ liệu và cung cấp cho hệ thống
Khi bắt đầu việc đồng bộ dữ liệu máy chủ SUS sẽ
truy vấn đến máy chủ Windows Update của
Microsoft hay các máy chủ SUS khác trong hệ thống
mạng và download toàn bộ tài nguyên về các bản vá
lỗi hay các service pack cho mỗi sản phẩm và ngôn
ngữ mà ta đã cấu hình. Quá trình đồng bộ đó dữ liệu
sẽ được truyền khoảng 150 MB cho phiên bản
English và 600MB cho mỗi ngôn ngữ khác.
8.3.2. Thiết lập Automated Updates trên máy
client
Cài đặt các cập nhật từ Automatic Updates của máy
client bằng việc cài đặt các gói MSI. Để cung cấp
các gói cập nhật dạng MSI bạn có thể dễ dàng sử
dụng Group Policy để cung cấp . Tạo ra một GPO
mới, gán chúng cho các máy tính trong hệ thống
mạng của bạn, và nó sẽ được cài đặt một cách tự
động.
Có thể cung cấp các gói MSI cho client dưới dạng
logon script gán cho gói tin MSI và hệ thống sẽ được
thực hiện trước khi người dùng đăng nhập vào hệ
thống.
8.3.3. Sử dụng Group Policy để áp đặt máy
Clients Update từ WSUS
Lên lịch cho quá trình cập nhật cần khác nhau tránh
cùng một thời điểm toàn bộ hệ thống yêu cầu đến
máy chủ SUS sẽ làm toàn bộ hệ thống mạng của bạn
bị tắc nghẽn. (Tuỳ chọn trong phần “Reschedule
Automatic Updates Scheduled Installations”)
Tạo ra nhiều GPO với nhiều lịch trình khác nhau
cho mỗi OU để đảm bảo hệ thống luôn được đáp ứng
tốt nhất.
8.4. Tổng kết WSUS.
Với những tính năng ưu việc về cập nhật và vá lỗi
cho hệ thống của WSUS (đã được phân tích phía
trên) thì đây là dịch vụ khá tốt để góp phần bảo mật
cho hệ thống cty. Do đó nhóm 06PBL152 chúng em
đã triển khai hoàn chỉnh dịch vụ này cho đề tài lần
này.
9. Triển khai Policy quản lý.
Policy là một cơ cấu giúp ta xác lập cấu hình
desktop, permission…một cách tự động và tập trung
nhờ những Group Policy Object (GPO). Group
Policy Object là những đối tượng thuộc nhóm Policy
quản lý, nó có sẽ áp đặt cho cấp user hoặc Computer
được chứa trong Site, Domain, Organization Unit
(OU).
9.1. Các yêu cầu cần làm trên Group Policy
Triển khai các ứng dụng sau cho tấc cả các phòng
ban:
- Microsoft Word
- Microsoft Exel
- Microsoft PowerPoint
- Acrobat Reader
Các phần mềm khác cho từng phòng ban:
- Phong kế toán: phần mềm kế toán
- Phòng Hành chính – Nhân sự: phần mềm quản
lý nhân sự
- Phòng Kế hoạch kinh doanh: phần mềm thiết
kế mô hình Microsoft Visio
Cấu hình GPO áp đặt các chính sách khác như:
- Tự động khởi động Internet Explore với trang
chủ của công ty khi user đăng nhập vào mạng
- Không nhìn thấy Properties của My Documents
- Không nhìn thấy và không truy cập được ô đĩa
C trên máy Local
- Map máy in local, map ỗ đĩa mạng
9.2. Triển khai các chính sách từ yêu cầu đặt ra
Sử dụng công cụ Group Policy Management để quản
lý tập trung các policy có trên hệ thống.
Các ứng dụng Word, Exel, PowerPoint được quản lý
trong một policy chung và triển khai (liên kết) xuống
tấc cả các OU phòng ban.
Các ứng dụng phần mềm chuyên ngành, mỗi phần
mềm sẽ được cấu hình deploy trong một Policy
Thực hiện áp đặt các chính sách khác: Mỗi chính
sách được cấu hình trong một policy riêng.
10. Các dịch vụ hỗ trợ
10.1. Dịch vụ RIS
Trong một mô hình hệ thống có nhiều máy trạm, để
cài đặt hệ điều hành cho tất cả máy trạm đó thì đòi
hỏi người quản trị phải mất rất nhiều thời gian để
cài đặt cho từng máy. Với chức năng cài đặt hệ điều
hành một cách tự động qua mạng, dịch vụ RIS ra đời
để người quản trị giải quyết vấn đề này một cách
nhanh chóng và có hiệu quả.
10.1.1. Chức năng
Cài đặt hệ điều hành qua mạng cho Client.
10.1.2. Ưu nhược điểm của dịch vụ
Ø Ưu điểm
- Cài đặt hệ điều hành một cách tự động
- Máy trạm chỉ cần có card mạng hổ trợ PXE,
không cần có ổ CD-ROM
- Người quản trị khỏi mất công đi cài đặt trên
từng máy
- Có thể cài đặt cho tất cả máy trạm với mọi
cấu hình
- Máy trạm sau khi cài đặt xong tự động join
domain
Ø Nhược điểm
- Cấu hình phức tạp
- Thời gian cài đặt sẽ rất lâu nếu số lượng máy
trạm lớn
10.1.3. Yêu cầu chung khi triễn khai dịch vụ
- Máy tính chứa dịch vụ RIS Server phải là
thành viên của Domain hoặc là dịch vụ RIS Server
này nằm trên Domain
- Server cài đặt RIS phải có 2 phân vùng khác
nhau
- Phân vùng chứa file cài đặt RIS phải được
định dạng NTFS
- Có DHCP Server đã được Active trên mạng
- Có DNS phân giải tốt trên mạng
- Có một Windows CD hoặc có một folder đã
share chứa các file cài đặt
- Máy Client phải hỗ trợ PXE boot ROM hoặc
card mạng có hổ trợ boot floppy
10.1.4. Định hướng và triễn khai dịch vụ
Ø Định hướng thực hiện
- Các máy trạm trong hệ thống có cùng cấu
hình
- Cài đặt hệ điều hành Windows XP
Professional cho tất cả máy trạm
- Sau khi cài đặt xong hệ điều hành thì các máy
trạm đã join vào domain và có đầy đủ các thông tin
cấu hình có liên quan
Ø Triển khai dịch vụ
- Cài phần mềm Remote Installation Services
- Tạo Image lưu trên Server
- Tạo đĩa mềm boot mạng (nếu máy không hỗ
trợ boot mạng PXE)
- Tạo Answer file để tự động trả lời các thông
tin khi cài đặt hệ điều hành cho Client
- Phân quyền cho User nào có thể cài đặt hệ
điều hành từ RIS Server
10.1.5. Tổng kết dịch vụ RIS Server
Dịch vụ RIS đã đem lại nhiều thuận lợi cho người
quản trị trong việc cài đặt Hệ điều hành cho nhiều
máy trạm trong cùng một lúc thông qua mạng. Vì
thế, dịch vụ này chúng tôi đã áp dụng để triễn khai
cho mô hình nhiều máy trạm của chúng tôi để tiết
kiệm thời gian và tài chính.
10.2. Dịch vụ VPN Client to Site
Một nhân viên cố gắng vì sự phát triển của công ty
luôn làm việc hết sức mình. Họ sẽ có nhu cầu làm
việc mọi lúc mọi nơi nếu có thể. Để đáp ứng được
các nhu cầu đó của nhân viên, hệ thống VPN client
to site ra đời giúp nhân viên có thể sử dụng mạng nội
bộ công ty bất cứ lúc nào cần thiết.
10.2.1. Các chức năng và ưu nhược
điểm.
- Giúp nhân viên có thể kết nối vào site của
công ty thông qua môi trường Internet, trở thành một
node của mạng LAN trong công ty. Giúp nhân viên
có thể sử dụng mọi tài nguyên chia sẽ trên mạng.
- Ưu điểm: tiện lợi cho các nhân viên làm việc
xa công ty – làm việc ở nhà. Tạo ra mô hình hình
ống (pipe) riêng ảo giúp việc trao đổi dữ liệu không
còn gói gọn trong một môi trường nào đó mà trở nên
rộng và linh hoạt hơn. Không phải thuê thêm các
kênh riêng như Lease Line, tốn kém hơn rất nhiều.
- Nhược điểm: nếu trong hệ thống mạng không
có hệ thống tường lửa sẽ rất nguy hiểm cho dữ liệu
ra vào hệ thống.
10.2.2. Các yêu cầu chung khi
triển khai dịch vụ VPN client to site.
- Máy đóng vai trò là VPN server phải có 2
NIC, máy này sẽ trực tiếp đi ra ngoài Internet thông
qua Modem ADSL, hai NIC của server có IP lần lượt
là:
+ External: 192.168.1.113
+ LAN_Floor 1 : 192.168.1.1
- Khi đó sẽ tạo một address pool (dãy IP) dành
trước cho các client có nhu cầu quay VPN sao cho
cùng NetID với mạng LAN bên trong site là được.
Theo mô hình công ty VNTRANSPORT sẽ có 3
subnet con khác nhau trong site, ta sẽ tiến hành làm
tuần tự như nhau cho 3 subnet. Phần này đưa ra ví
dụ cho subnet Internal_Floor 1
10.2.3. Định hướng thực hiện VPN
client to site
Có 2 cách để thực hiện
- Một là: Biến Modem ADSL thành 1 Bridge,
khi đó ta sẽ có được IP Public, dùng IP này là IP cho
VPN Server, tuy nhiên cách này hơi bất tiện là khi đó
ta phải thực hiện Share Net thì các máy client mới có
thể ra net được. (áp dụng cho những modem không
hỗ trợ VPN)
- Hai là: Trên Modem ADSL ta sẽ kết hợp với
Dynamic DNS trên VPN Server, khi đó nếu có client
quay vào thì ta chỉ việc Nat Port cho Forward qua
VPN Server luôn. Ta sẽ sử dụng cách này cho vpn
client to site trong hệ thống.
10.2.4. Thiết kế và xây dựng VPN
client to site
a. NAT port 1723 của Router ADSL về máy VPN
server
b. Cấu hình VPN Server:
- Tạo user để Client bên ngoài kết nối vào
VPN Server (tùy vào những user nào có nhu cầu sử
dụng VPN sẽ tạo tài khoản cho user đó)
- Cho phép user có quyền Allow access trong
Dial-in
- Enable Routing and Remote Access và cấu
hình chức năng Remote Access (dial-up or VPN)
Cấu hình Range IP cho để cấp cho client khi connect
vào mạng và hoàn tất quá trình trên cấu hình trên
server
c. Cấu hình VPN Client trên máy Client ngoài vào:
- Tạo một connection mới tại My Network
Place, cho “Connect to the network at my
workplace”
Chọn chế độ “Virtual Private Network Connection”
tại bước tiếp theo
- Tại phần VPN Server Selection, gõ Hostname
đã đăng ký trên NO-IP hoặc Dyndns nếu có vào ô
“Host name or IP address”
- Tại VPN server phải cài chương trình cập
nhật IP cho hostname
- Sau đó có thể kết nối đến VPN server bằng
username và password của mình trong hệ thống.
10.2.5. Tổng kết dịch vụ VPN Client
to Site
VPN client to site là giải pháp thực sự hiệu quả cho
việc sử dụng tài nguyên bên trong mạng của nhân
viên khi làm việc bên ngoài. Để nâng cao độ bảo mật
cho dich vụ này, tương lai hệ thống sẽ phải cài đặt
Firewall như ISA hoặc một dịch vụ của bên thứ ba
nào đó.
10.3. Dịch vụ Remote Assistance
Dịch vụ này cho phép các nhân viên kỹ thuật hoặc
admin có thể vào máy tính của nhân viên giúp họ
giải quyết sự cố trên máy. Rất có ích cho việc hỗ trợ
nhân viên từ xa.
Các bước triển khai:
- Tạo file Remote Assistance trên máy client
với username và password bất kỳ.
- Chia sẽ file này cho người sẽ giúp đỡ nhân
viên đó
- Nat Port 3389 trên modem và router
- Sau đó người này sẽ truy cập vào máy nhân
viên thông qua IP và Port 3389 được cấu hình trong
file đó. Sử dụng username và password tạo trước đó
để chứng thực
C. Đào tạo người sử dụng
Sau khi công việc xây dựng hệ thống mạng cho công
ty thì công việc đào tạo người sử dụng cũng quan
trọng không kém. Để người sử dụng hiểu được cách
sử dụng các dịch vụ có trên hệ thống...và rất nhiều
những công việc khác.
Những công việc cần làm:
- Tuyển chọn đội ngũ đào tạo
- Bố trí thời gian đào tạo
- Thiết kế tài liệu đào tạo: bao gồm các phần cần
hướng dẫn cho nhân viên cần thực hiện như
ü Cách đăng nhập vào hệ thống sử dụng
username và password của từng nhân viên
ü Cách sử dụng file server để lưu trữ dữ liệu làm
việc, cách báo cáo, cách chia sẽ dữ liệu trên file
server.
ü Cách truy cập vào web, ftp nội bộ cũng như
public
ü Cách sử dụng VPN Client to Site để connect
vào mạng công ty khi cần thiết
ü Cách sử dụng Remote Assistance cho phép các
admin vào máy để hỗ trợ kỹ thuật.
D. Kiểm tra và bàn giao vận hành
1. Kiểm tra
Sau khi cài đặt và triển khai xong hệ thống mạng cho
công ty, ta tiến hành kiểm tra tổng toàn diện hệ
thống.
Kiểm tra từ máy của nhân viên những vấn đề sau:
- Đăng nhập vào user trên domain bằng máy
client
Đặt ip động, tiến hành release và renew ip, kểm tra
ip của dhcp cấp, kiểm tra dns bằng nslookup, sau đó
kiểm tra sự liên thông giữa các mạng bằng lệnh
ping, ping ra internet kiểm tra kết nối internet từ máy
client.
- Đăng nhập vào 2 máy client và kiểm tra phân
quyền trên file server
- Kiểm tra My Documents của nhân viên sau khi
đăng nhập vào hệ thống.
- Truy cập vào để kiểm tra dịch vụ web, ftp, tạo
file đưa qua máy khác để kiểm tra remote assistance.
- Kiểm tra máy in và in thử trên client.
- Kiểm tra sự thi hành của các Group Policy đã
áp đặt xuống máy client.
2. Bàn giao v ậ n hành
Sau quá trình kiểm tra toàn diện hệ thống, ta sẽ tiến
hành bàn giao công việc vận hành hệ thống lại cho
ban quản lý và phòng kỹ thuật của công ty.
Những thứ cần bàn giao:
- Các mô hình hệ thống và nguyên tắc hoạt động
của từng thành phần trên hệ thống: DNS, DHCP, DC
đồng cấp, File server, Web - FTP server, Printer
server, WSUS, Antivirus, RRAS, Backup & Restore
AD và File server.
- Từ đó ta tiếp tục chỉ ra các thành phần quan
trọng trên hệ thống, chỉ cách kiểm tra sự cố và khắc
phục khi sự cố xảy ra.
- Phối hợp với bộ phận chuyên gia phần cứng để
lên lịch bảo trì các thiết bị trong hệ thống.
E. Chuy ể n giao tài li ệ u và khách
hàng nghi ệ m thu
1. Chuy ể n giao tài li ệ u
Các tài liệu cần chuyển giao lại cho công ty như sau:
- Tài liệu nguyên cứu và thiết kế hệ thống
- Tài liệu đào tạo người sử dụng
2. Nghi ệ m thu v ớ i khách hàng
- Hỏi những thắc mắc của khách hàng và trả lời
những thắc mắc đó
- Hỏi khách hàng cho chúng ta đánh giá về hệ
thống
- Đề xuất các phương án mở rộng hệ thống khi
công ty phát triển mạnh hơn
- Tiến hành nhận tiền cho việc thiết kế, lắp đặt và
tiền thiết bị từ khách hàng. Ký các biên bản xác nhận
liên quan.
F. Đánh giá hi ệ u qu ả Sau khi thiết kế và xây dựng hệ thống này, nhóm 06PBL152 nhận thấy rằng
hệ thống này rất hửu ích và mang lại hiệu quả cao cho hoạt động của công ty.
Sau đây là những đánh giá mà nhóm đưa ra sau khi lên xây dựng hệ thống:
- Nhờ sự quản lý tập trung của file server và các hệ thống khác, hoạt động
của công ty cũng nhanh hơn và tiết kiệm chi phí hơn.
- Tiện lợi cho việc sử dụng của nhân viên và đội ngũ quản lý trong công ty
- Thông tin được bảo mật hơn và quản lý dễ dàng hơn
- Giúp cho người quản lý có thể truy cập thông tin nhanh chóng và bất kỳ
ở đâu, chỉ cần ở đó có mạng internet
- Vấn đề về kinh phí phù hợp với một công ty vừa và nhỏ
- Có thể phát triển hệ thống trong tương lai
V.Ph ươ ng án m ở r ộ ng Đối với một hệ thống thì luôn bảo đảm đúng bốn yêu cầu cơ bản:
- Yêu cầu về bảo mật thông tin
- Yêu cầu về khả năng hoạt động nhanh nhạy
- Yêu cầu về khả năng chống chịu với môi trường hệ thống
- Yêu cầu về khả năng mở rộng
Sau khi hoàn tấc quá trình xây dựng và đưa vào hoạt động, trong tương lai
không xa khả năng công ty sẽ phát triển và cần thiết một hệ thống lớn mạnh
và khả năng bảo mật thông tin cao hơn nữa.
Từ đó đặt ra phương pháp mở rộng cho hệ thống là vấn đề cần được đề cập
tới khi bắt tay vào xây dựng một hệ thống. Ta sẽ chọn lựa những thành phần
và cấu trúc chính có khả năng mở rộng trong tương lai.
Sau đây là phương án mở rộng hệ thống mà nhóm 06PBL152 vạch ra cho hệ
thống ở trên:
- Triển khai CA, IP SEC cho hệ thống để bảo mật được nâng cao hơn
- Triển khai vpn (cài radious server nếu cần chứng thực và quản lý trong
giao tiếp VPN) và kết hợp vpn ipsec hoặc SSL.
- Triển khai RAID 5 trên máy DC để Backup đồng thời tăng tốc hoạt động
của server
- Kết hợp Load Balancing vào hệ thống để cân bằng tải, tăng khả năng
chống chịu
- Cài đặt ISA và khoanh vùng DMZ cho vùng server public ra internet
- Cài đặt hệ thống Mail exchange để tiện việc liên lạc nếu cần thiết khi
nhân viên công ty tăng lên đáng kể
------------------------------- THE END
-------------------------------