THIẾT KẾ HỆ THỐNG MẠNG NỘI BỘ CHO CTY VNTransport (IV)

   IV.   Phương án triển khai
        A.  Bảng phân hoạch IP:

B.  Thiết kế và xây dựng sơ đồ hệ thống:

1.     Thiết kế và xây dựng Domain
                     Xây dựng cấu trúc Active Directory

Chức năng của Domain Controller:
Máy DC giúp quản lý các đối tượng như domain, ou, group, user, máy in, và rất nhiều các đối tượng khác. Để máy DC hoạt động ổn định, cấu hình đúng là cực kỳ quan trọng. Ta tiến hành xây dựng 2 DC đồng cấp trên hệ thống giúp tối ưu hóa khả năng làm việc cũng như sự an toàn cho hệ thống.
Ưu điểm:
Hai máy DC đồng cấp có cơ cấu Replicate dữ liệu qua lại và hoạt động ngang hàng. Khi có một user gửi yêu cầu lên DC1 xử lí, thông tin từ user thứ 2 sẽ được tiếp nhận bởi DC2. Hai máy này sẽ thay phiên nhau làm việc, giúp hệ thống vận hành nhẹ nhàng hơn.
Khi có một máy trong hệ thống không hoạt động nữa, máy DC còn lại sẽ có nhiệm vụ thực hiện hết tấc cả các công việc điều hành và quản lý các đối tượng. Giúp hệ thống vẫn vận hành tốt khi có sự cố với một máy DC nào đó.
Khi xây dựng 2 dc đồng cấp, dữ liệu truyền qua giữa 2 máy này theo cơ chế nhân bản (Replicate), bảo mật và không chiếm quá nhiều băng thông hệ thống như quá trình transfer.
Ta xây dựng 2 máy Domain controller đồng cấp lần lượt như sau:
DC1:
-       Domain type: Forest Root Domain
-       Full quality domain name: server01.vntransport.vn
DC2:
-       Domain type: Additional Domain
-       Full quality domain name: server02.vntransport.vn
DC1 và DC2 đồng cấp hoạt động ngang hàng chia sẽ thực hiện các yêu cầu từ các client trong hệ thống. Khi DC1 bị sự cố  DC2 có nhiệm vụ thực hiện quản lý các đối tượng cho DC1
1.2 Xây dựng cấu trúc OU và Group


Chiến lược Group được sử dụng: A-G-P, áp dụng khi forest có một domain và ít user.
Giải thích chiến lược A-G-P: Account – Global Group – Permission. Các User Account (A) được đưa vào Global Group (G), và giới hạn quyền tới group này (P).
Ø          Ưu điểm:
-          Các group không lồng vào nhau nên việc xử lý sự cố sẽ dễ dàng hơn
-          Tài khoản thuộc về một phạm vi nhóm đơn lẻ.
Ø        Nhược điểm:
-          Tại mọi thời gian một người dùng xác nhận với một tài nguyên. Server kiểm tra thành viên của nhóm và xác định nó có phải là member không?
-          Sự thực thi bị giảm sút với vì nhóm global không có Cache.
Bảng thiết kế Group cho công ty VNTRANSPORT:
Group
Group Scope
Group Type
OU
Doman Local
Global
Universal
Security
Distribute
BanGiamDoc

P

P

BanGiamDoc
ThuKy

P

P

BanGiamDoc
KToan

P

P

KeToan
HC-NS

P

P

HanhChinh-NhanSu
KT-KD

P

P

KeHoach-KinhDoanh
KThuat

P

P

KyThuat
          1.3.      Chiến lược Backup và Restore Active Directory.
Để đảm bảo sự an toàn cho dữ liệu và khả năng hồi phục dữ liệu khi cần thiết. Ta tiến hành backup và restore cho Active Directory
1.3.1.       Yêu cầu khi thực hiện Backup Restore cho Active Directory:
-          Đảm bảo dữ liệu được lưu trữ tốt để phục hồi sau backup
-          Lựa chọn thời đúng thời điểm để backup không gây ảnh hưởng hoạt động của máy chủ
-          Sử dụng các chiến lược restore hợp lý khi gặp những sự cố khác nhau trên AD
1.3.2.       Định hướng thực hiện:
-          Sử dụng thiết bị lưu trử chuyên dụng cho việc backup là Tape Driver: Hewlett Packard StorageWorks DAT 24 (DW069A) DAT Tape Drive DAT, 12 GB, USB 2.0 Interface, Internal Enclosure, 1.5 MBps, For: PC Platforms. Giá: 220$
-          Chọn thời gian backup thích hợp tốt nhất là vào những lúc vắng nhân viên làm việc như vào lúc nghỉ trưa hoặc sau giờ làm việc.
-          Sử dụng các chiến lược restore phù hợp như: Primary, Non-Authoritative, Anthoritative
1.3.3.       Cách thực hiện:
a. Backup System State: dùng để backup lại database của Active Directory. Dùng chương trình backup NTBACKUP có sẳn của Windows để tiến hành backup system state cho hệ thống.
b. Restore AD: Tùy vào các trường hợp khác nhau của sự cố Domain Controller ta tiến hành các kiểu restote database khác nhau
Ø        Trường hợp 1: Authoritative Restore
Khi chọn cách phục hồi này từ máy DC1 (file backup ở trên máy này), dữ liệu được nhân bản (replicate) ngược lại từ máy DC2. Nếu muốn chọn giữ lại đối tượng nào được tạo ra sau thời điểm backup trên DC1 ta sẽ chạy dòng lệnh NTDSUNTIL để giữ lại đối tượng đó.
Giả sử muốn giữ lại user NV-Ktoan01 trên DC1 được tạo ra sau thời điểm backup, ta lần lượt chạy dòng lệnh trên cmd như sau:
NTDSUNTIL
Authoritative Restore
Restore Object “cn=NV-Ktoan01,ou=Ktoan,ou=KeToan,dc=vntransport,dc=vn”
Quit
Restart
Ø        Trường hợp 2: Non-Authoritative Restore
Hình thức này sẽ ghi lại tình trạng hệ thống khi tiến hành backup kết hợp với những đối tượng từ máy DC bên kia sau khi bản backup được tạo ra, giả sử ta tạo bản backup trên DC1 và sau đó tạo user NV-Ktoan01 trên DC2. Sau đó tiến hành restore file backup. Sau khi restore hệ thống sẽ bao gồm những đối tượng khi backup cùng với user NV-Ktoan01 được tạo ra trên DC2 nhân bản qua.
Ø        Trường hợp 3: Primary Restore
Hình thức này sẽ lấy trạng thái mới nhất cho file backup và phục hồi lại cho DC tiến hành restore, hệ thống tự động đồng bộ cho DC khác trên hệ thống. Ta sử dụng cách backup này khi tấc cả các máy DC đều bị mất dữ liệu và muốn phục hồi lại dữ liệu tại thời điểm backup.
1.3.4.       Tổng kết Backup & Restore AD
Một hệ thống an toàn là hệ thống được backup thường xuyên và sử dụng chiến lược restore đúng thời điểm. Sử dụng chiến lược backup restore AD giúp dữ liệu trên các máy DC được bảo đảm an xảy ra biến cố hệ thống.

2.        Thiết kế và xây dựng DNS
DNS là một mấu chốt quan trọng cho sự vận hành hệ thống mạng. Để DNS hoạt động tốt, ta cần thực hiện thiết kế và cài đặt đúng phương pháp và chính xác.
2.1.1.       Chức năng của DNS server:
Ngoài chức năng phân giải tên miền thành IP và ngược lại. Vì DNS là một cơ sở dữ liệu phân tán và có khả năng mở rộng. Nó giúp người quản trị cục bộ có thể quản lí dữ liệu nội bộ thuộc phạm vi của họ, dữ liệu này được truy cập trên toàn bộ hệ thống theo mô hình client-server.
Ưu điểm:
-          Tăng khả năng chịu lỗi
-          Cân bằng tải
-          Security (dynamic update)
-          Giảm traffic hệ thống (không phải transfer mà thông tin Dns được replicate chung voi AD)
2.1.2.       Yêu cầu định hướng và cách thực hiện:
Xây dựng 2 DNS primary server để đảm bảo tính sẵn sàng và khả năng chịu lỗi. Khi 1 server bị sự cố DNS server còn lại sẽ thực hiện các yêu cầu phân giải của client.
Xây dựng hệ thống DNS trên server01
-          Vào control panel cài đặt Dns service      
-          Cấu hình Primary Zone tích hợp AD        
-          Cấu hình Forward lookup zone và Reverse lookup zones
Xây dựng DNS trên server02
-          Chỉ cần cài đặt DNS service sau đó tấc cả các dữ liệu sẽ được replicate từ máy dns1 qua.
Sau khi cấu hình xong ta sẽ tiến hành kiểm tra DNS có phân giải đúng hay không bằng lệnh nslookup trên CMD. Nếu phân giải tốt kết thúc quá trình cấu hình và tiếp tục xây dựng các dịch vụ khác.
2.1.3.       Tổng kết dịch vụ DNS
DNS là một dịch vụ cực kỳ quan trọng trên hệ thống mạng. Để DNS có thể phân giải đúng và có khả năng hoạt động ổn định, ta cần tiến hành các bước cấu hình chính xác
3.        Thiết kế và xây dựng DHCP
Khi một máy tính tham gia vào mạng thì địa chỉ của nó phải là duy nhất – không trùng lặp với bất cứ máy nào khác trên hệ thống. Đối với một hệ thống mạng lớn có hàng trăm máy trạm thì việc gán địa chỉ IP cho từng máy trạm thì sẽ gặp rất nhiều khó khăn, mất nhiều thời gian và công sức.
Để khắc phục tình trạng trên, hệ thống mạng cung cấp dịch vụ DHCP cho Server tự động cung cấp địa chỉ IP và các thông tin cấu hình cần thiết cho các máy trạm.
3.1.            Chức năng của DHCP server
DHCP Server cấp phát IP động và các thông tin cấu hình có liên quan cho các Client.
3.2.            Ưu nhược điểm của DHCP server
Ø        Ưu điểm:
-          Giảm bớt các hiện tượng xung đột về IP, hay các lỗi về IP, luôn đảm bảo Client được cấu hình đúng.
-          Đơn giản hóa trong công tác quản trị.
-          Tiết kiệm được số địa chỉ IP thật.
-          Tập trung quản trị thông tin về cấu hình IP.
-          Cấu hình IP động cho các máy trạm một cách liền mạch.
-          Phù hợp với các máy tính thường xuyên di chuyển giữa các lớp mạng.
-          Tự động cập nhật thông tin khi có sự thay đổi cấu trúc mạng.
-          Sự linh hoạt và khả năng dể mở rộng.
Ø        Nhược điểm:
-          Địa chỉ IP được cấp sẽ bị thay đổi, không bảo đảm có một địa chỉ riêng biệt cho một Client trong mọi lúc khi Client cần một địa chỉ IP tỉnh.
-          Quá trình cấp phát IP giữa DHCP client và DHCP server là tín hiệu broadcast nên không thể đi qua được Router.
3.3.            Các yêu cầu chung khi triển khai dịch vụ DHCP server
Ø        DHCP Client
-          Windows XP
Ø        DHCP Server
-          Windows Server 2003
-          DHCP Server Service đã được cài đặt trên Server
-          Đã cấu hình IP tĩnh, Subnet Mask và Default Gateway
-          Có Range IP hợp lệ
3.4.            Định hướng và triển khai dịch vụ DHCP server
Ø        Định hướng thực hiện theo mô hình hệ thống
-          Xây dựng theo chiến lược 80/20
-          Cấu hình 2 Range IP cho 2 Subnet tương ứng trong mô hình hệ thống
-          Cấu hình Scope Option: 003: Router, 006: DNS Servers, 015: DNS Domain Name
-          Cấu hình Superscope cho 2 Range IP tương ứng
-          Backup & Restore DHCP database
-          Nén DHCP database
-          Cấu hình DHCP Relay Agent
Ø        Triển khai dịch vụ theo mô hình hệ thống

Chú thích:
003
Router
006
DNS Servers
015
DNS Domain Name

(continue)

Leave a comment

14 Comments.

  1. a ơi cho e xin bài tham khảo với ạ.mấy hình ảnh ở đây lỗi hết e k xem dc.cảm ơn a

  2. Tôi sẽ cố gắng cập nhật link trong thời gian sớm nhất. :)

  3. anh ơi, em đang làm đồ án về quản trị mạng, anh có thể update lại hình ảnh đc không ạ ?? như thế này thì khó quá ạ :(((

  4. Hi, Theo bài trên ở hình đánh địa chỉ IP cho mạng thì Scope2 chỗ 003:route = 192.168.1.65 mới phải chứ phải không Lê Cường?

  5. anh Lê cường chon mua con server nao chạy domain mail server, Isa

  6. Hi ChiKhuong,
    Phụ thuộc nhiều yếu tố, tùy vào nhu cầu thực tế, chi phí thực hiện....mà lựa chọn dòng server phù hợp.

  7. Cho minh hỏi sao DHCP server có thể cấp đúng dải IP cho từng phòng ban được ạ.

  8. anh lê cường cho em xin file báo cáo này dc không ah hihi
    anh gui cho em dc hok:
    trongvanits@gmail.com

    cảm ơn anh cường nhiu nha. đợi mail anh

  9. Toàn bộ các file liên quan đã post lên đây hết rồi nhé tình_online.
    Bạn xem & tổng hợp lại. :)

  10. a ơi a có tài liệu DNS Server ko ạ. cho e xin với, e đang làm đồ án Nghiên cứu mô hình dịch vụ mạng DNS Server 2008 nên e đang cần ạ.
    email của e pthgiang95@gmail.com
    e cảm ơn ạ

  11. Chào a Lê Cường.
    cho e hỏi a xây dựng hệ thống này trên chương trình j được không ạ. e dùng VnWare được k a?

  12. e chào anh
    em đang làm về hệ thống firewal và policy a có thể giúp em hướng đi như thế nào được không ạ.
    mail của em nè: thuthuy28091995@gmail.com

  13. Em chào Anh.
    Anh có thể cho em xin bài viết trên để tham khảo được không ạ?
    Em cảm ơn Anh.
    Mail của Em: t.nguyenductrungktcn07@gmail.com

Leave a Reply

Các bạn có thể viết lời nhận xét cho bài viết, nhưng cần tuân thủ một số quy tắc sau:

» Các bài comment phải nghiêm túc, không dung tục, không spam.
» Nội dung phải liên quan tới chủ đề bài viết.
» Viết bằng tiếng việt có dấu hoặc tiếng Anh. Các comment viết không dấu sẽ bị xóa.
» Hãy để lại tên của bạn khi comment, để tôi có thể dễ dàng trả lời comment của bạn khi cần.

Xin cảm ơn & chúc các bạn tìm được những kiến thức bổ ích khi tình cờ ghé thăm blog này.