Đồ án Xây dựng hệ thống mạng thực hiện quản lý tập trung

• Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng như các thông tin liên quan đến các đối tượng đó. • Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. • Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). • Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. • Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa • Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ. • Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. • Domain đáp ứng ba chức năng chính sau: • Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác. • Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ. • Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau.

doc57 trang | Chia sẻ: tuandn | Lượt xem: 2401 | Lượt tải: 5download
Bạn đang xem trước 20 trang tài liệu Đồ án Xây dựng hệ thống mạng thực hiện quản lý tập trung, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC SƯ PHẠM KỸ THUẬT TP.HCM KHOA: ĐIỆN-ĐIỆN TỬ ĐỒ ÁN MẠNG MÁY TÍNH ĐỀ TÀI: XÂY DỰNG HỆ THỐNG MẠNG THỰC HIỆN QUẢN LÝ TẬP TRUNG GVHD : Đậu Trọng Hiển SVTH : Lê Quỳnh MSSV : 06119038 SVTH : Trần Đỗ Anh Kiệt MSSV : 06119022 Tp. Hồ Chí Minh, tháng 1/2010 PHẦN A: GIỚI THIỆU LỜI NÓI ĐẦU Mặc dù ngành công nghệ máy tính là non trẻ so với các ngành công nghệ khác,nhưng đã tạo nên những bước tiến ngoạn mục trong thời gian ngắn. Việc hội nhập giữa máy tính và kỹ thuật truyền tin đã có những ảnh hưởng sâu sắc đến phương pháp tổ chức các hệ thống máy tính.Mô hình công tác tập trung cổ xưa đã được thay thế bởi các hệ thống gồm nhiều máy tính liên kết với nhau.Các hệ thống như vậy gọi là mạng máy tính. Việc thiết kế và tổ chức các mạng này là những chủ đề khá quan trọng trong công nghệ thông tin. Công nghệ thông tin phát triển một cách nhanh chóng và rất quan trọng trong sự nghiệp công nghiệp hóa-hiện đại hóa đất nước hiện nay. Xuất phát từ thực tiễn,nhóm thực hiện đề tài đã chọn đề tài: “Xây dựng hệ thống mạng thực hiện quản lý tập trung” dựa trên nền tảng Windows Server 2003. Nhóm đã cố gắn thực hiện,song giới hạn về thời gian và kiến thức nên nội dung còn nhiều thiếu sót.Rất mong sự đóng góp ý kiến của quý Thầy Cô! Nhóm thực hiện Lê Quỳnh Trần Đỗ Anh Kiệt ĐỒ ÁN MẠNG MÁY TÍNH ------- oOo ------- GVHD : Đậu Trọng Hiển SVTH : Lê Quỳnh MSSV : 06119038 SVTH : Trần Đỗ Anh Kiệt MSSV : 06119022 Nhận xét của Giáo viên hướng dẫn ĐỒ ÁN MẠNG MÁY TÍNH ------- oOo ------- GVHD : Đậu Trọng Hiển SVTH : Lê Quỳnh MSSV : 06119038 SVTH : Trần Đỗ Anh Kiệt MSSV : 06119022 Nhận xét của Giáo viên phản biện MỤC LỤC PHẦN B : NỘI DUNG I.Active Directory Users and Computers(ADUC) 1.Cơ Bản về ADUC Active Directory là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng) cũng như các thông tin liên quan đến các đối tượng đó. Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính. Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng). Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng. Cho phép chúng ta tạo ra những tài khoản người dùng với những mức độ quyền (rights) khác nhau như: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ liệu hay shutdown Server từ xa… Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ. Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là phương tiện để qui định một tập hợp những người dùng, máy tính, tài nguyên chia sẻ có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau: Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là một tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: có chung một cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền với các domain khác. Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ. Cung cấp các Server dự phòng làm chức năng điều khiển vùng (domain controller), đồng thời đảm bảo các thông tin trên các Server này được được đồng bộ với nhau. 2.Triển khai 2.1.Nâng cấp Domain Controller và Join Domain 2.1.1.SERVER Thiết lập địa chỉ IP tĩnh trước khi thực hiện nâng cấp lên DC,DNS,WINS hay DHCP như sau: Chú ý tắt firewall Start->Control Panel->Add/Or remove Program chọn Add Windows Component.. Bấm phím N đến dòng Netwoking…sau đó click vào Detail thực hiện chọn service Chọn như sau: Click Next,quá trình cài đặt yêu cầu đưa Source I386 vào(file ISO hay đĩa cài đặt 2k3) Click Next và Finish. Tiếp theo thực hiện nâng cấp lên Domain Controller,Start->Run Màn hình Welcome click Next Đặt tên cho DC Màn hình NetBIOS Domain Name mặc định Click Next Cửa sổ Domain Controller Type chọn như sau: Cửa sổ Create new Domain : Cứa sổ Domain Registration Diagnostics chọn dòng 2 Cửa sổ Permission chọn dòng 2 Quá trình cài đặt diễn ra trong vài phút Finish Tiếp theo tạo một user cho client join Domain Mặc định DC chỉ cho phép user đặt password kiểu(chữ,số,in hoa,7kys tự trở lên) nên ban đầu phải đặt pass phức tạp.ví dụ như:”P@ssword1” là mật khẩu hợp lệ. Bỏ check dòng đầu tiên Chỉnh Policy cho phép user logon vào hệ thống mà không cần password như sau: Start->Program->Administrative Tools->Domain Controller Security Policy Sau đó update policy vừa tạo bằng lệnh “gpupdate /force” Một số thuộc tính của user :áp đặt ngày giờ cho phép logon vào hệ thống,cho phép remote access,hẹn giờ,… 2.1.2.CLIENT Config địa chỉ Ip của client ,chú ý dòng “Preferred DNS Server” Client phải trỏ về IP của máy Server cụ thể ở đây là “192.168.1.10” Sau khi nhấn OK,sẽ xuất hiện hộp thoại “Authentication” chứng thực username và password mà DC đã tạo cho client,cụ thể ở đây là username là “Kiet”,mật khẩu là”P@ssword1” Kiểm tra client đã Join vào hệ thống Domain hay chưa bằng cách Propertive My Computer->thẻ Computer Name chú ý dòng “Full computer name và Domain” như hình. Đã thực hiện xong phần nâng cấp lên DC và Join vào hệ thống. 2.2.Share Permission-NTFS-Ofline files 2.2.1Server DC tạo 3 user có tên là “Quynh”,”Kiet”,”Duc” mật khẩu là “P@ssword1” và chuẩn bị phân quyền truy cập và sử dụng tài nguyên trên hệ thống DC tạo cấu trúc cây thư mục gồm “DATA”,trong DATA tạo các folder con “Kiet,Duc,Quynh,Public” Thực hiện phân quyền trên Folder gốc và các subfolder như sau: Property folder DATA và chọn tab Security : Các user tồn tại mặc định như trên,chọn Users và Remove nó,chú ý không được remove 3user là Administrator,Creator Owner và System. Bấm chọn Add.. và thêm vào 3 user đã tạo là “Quynh,Kiet,Duc” và thực hiện gán quyền như hình: Sau khi gán quyền trên folder gốc xong,thực hiện gán quyền trên từng folder riêng ứng với từng username.Chẳng hạn:cùng là thư mục “Quynh” nhưng user Quynh được gán “Full control”,user Kiet gán “Read”,user Duc gán “Read”.Tương tự với 2folder “Duc” và “Kiet”.Đảm bảo an toàn dữ liệu trên folder riêng. Share permission cần để ý: Click Advanced.. bỏ chọn checkbox”Allow inheritable…” ,hiện hộp thoại Security với 3 chế độ “Copy,Remove,Cancel” ,luôn chọn là Copy.Điều đó có nghĩa là copy “bộ quyền” đã được áp đặt từ trước-gọi là “quyền cha”. Property folder DATA thực hiện Share Ofline Chọn chế độ All Files and program… nhưng không chọn checkbox dongf2,click OK 2.2.2.Client Thực hiện kiểm tra bằng cách Logon/Logoff vào từng user để kiểm chứng đồng thời Logoff máy DC(vì đã thực hiện share offline) Client logon username Quynh,truy cập vào DC :\\192.168.1.10 Và.. Đã thấy được dữ liệu trong khi DC đang ofline. Logoff Quynh,Logon Duc và truy cập DC:\\192.168.1.10,đồng thời truy cập vào folder DATA và lấy dữ liệu về nhưng.. User Duc truy cập được nhưng không lấy được dữ liệu trên DC user Duc chỉ được gán quyền “Read”. Tương tự với user Kiet,truy cập được nhưng không lấy dữ liệu về được vì cũng chỉ có quyền “Read” Đến đây,phần Share file ofline cũng như gán quyền cho user đã tương đối hoàn tất. 2.3.Dynamic Host Configuration Protocol(DHCP) 2.3.1.Sơ lược về quy trình cấp phát IP Xin cấp mới:gồm 4 bước(Broadcast) B1:client gởi gói tin->DHCP Server(ai cũng nhận được).Tên gói tin là “DHCP Discover” gồm tên PC và Mac Address.Nếu không được cấp thì Client tự mình cấp x.y.z.t,nhưng sau 5’ phải đi xin lại và lại phải gởi gói Broadcast->mạng chậm B2:DHCP ServeràClient,gói tin có tên là DHCP offer gồm Mac Client,Mac Server,TTL,IP,SM B3:Client nhận ngẫu nhiên.. ClientàDHCP Server,gói tin DHCP Request B4:DHCP Server1-àClient,gói tin DHCP ASK.Lúc này vẫn chưa có IP để dùng Xin cấp lại: gồm 2 quy trình: Manual:nhấn Reset máy;{Release,Renew} Auto:có thời gian để Client xin Khi Client hết 50%TTL thì gửi gói DHCP Request ->DHCP Server1 Yêu cầu cập nhật lại giá trị TTL(unicast) DHCP Server1 gửi gói DHCP ASK ->Client(IP,SM,TTL,Option mới) DHCP Server1 không tồn tại thì Client trực tiếp sử dụng 87,5%TTL hoặc sử dụng đến 100%TTL->x.y.z.t 2.3.2.Thực hiện 2.3.2.1.SERVER Trước tiên tạo Scope trog một dãi địa chỉ IP hợp lệ để cấp phát cho Client có nhu cầu Màn hình Welcome click Next Đặt tên tùy ý cho Scope: Add dãy địa chỉ hợp lệ để cấp cho Client có nhu cầu: Tiếp theo để các thông số mặc định Chọn dòng 2 Hình ảnh ban đầu: Scope chưa được kích hoạt Click phải lên tên Scope và chọn Authenticate,sau đó lại kích phải và chọn Active Click chuột phải và chọn Restart 2.3.2.2.CLIENT Logon vào Administrator(user local) và thực hiện:Run->cmd..gõ tiếp “ipconfig /release” và sau đó “ipconfig /renew” 2.4.Domain Name System(DNS) DNS là viết tắt của cụm từ Domain Name System. Là hệ thống phân giải tên miền trên Internet. Nếu Web Hosting giống như nhà bạn và Domain name (tên miền) giống như địa chỉ thì DNS giống như bản đồ. Giúp xác định vị trí ngôi nhà của bạn khi có địa chỉ. Web Hosting hỗ trợ DNS là rất cần thiết bởi nó giúp cho tên miền của bạn liên kết được với Web Hosting. Nếu Web Hosting không hỗ trợ DNS, bạn phải cần đến nhà cung cấp dịch vụ thứ ba. Điều đó cũng đồng nghĩa với sự thiếu đồng bộ, tiêu phí công sức cũng như tiền bạc.  Nếu Web Hosting hỗ trợ DNS, nhà cung cấp dịch vụ sẽ cho bạn tên của DNS và IP có dạng giống như sau:  Primary DNS: NS1.3DLINK.NET 74.50.0.90  Secondary DNS: NS2.3DLINK.NET 74.50.0.91  Khi có được các địa chỉ và dãy số IP này, bạn chỉ cần khai báo trong hệ thống quản lý Domain name của bạn (điền địa chỉ hoặc dãy số IP hoặc cả 2 tùy theo yêu cầu), Domain name sẽ tự động liên kết với Web Hosting trong vòng 24 giờ đồng hồ  2.4.1.Sơ lược Forward Lookup Zone(FLZ):là Zone dùng để chuyển {tên ->IP},{tên->tên} tồn tại 2loại Record là “Host(A)” và “Alias(CNAME)” Reverse Lookup Zone(RLZ):là Zone dùng để chuyển IP->tên,tồn tại record “Pointer(PTR)” 2.4.2.Thực hiện Tạo FLZ:click phải FWL chọn new Sau đó đặt tên cho FLZ Tạo theo thứ tự sau: Tạo RLZ Khai báo Classfull cho địa chỉ IP Kiểm tra DNS dùng lệnh”ipconfig /registerdns” Sau đó kiểm tra thấy hiển thị được 3 dòng như sau: Tạo Host và Alias trong FLZ Tạo Pointer trong RLZ Phân giải Domain II.Mail Server (phần này thực hiện trên máy ảo với Domain khác với Domain ở trên) Hệ thống đã nâng cấp Domain và cài DNS,join Domain. Tạo 2 mail box,thực hiện việc gửi và nhận mail qua lại Sử dụng phần mềm MdaeMon để quản lý và phân phát mail. Các Record: HostA(:thực hiện việc chuyển đổi Tên->Số,chỉ tồn tại trong FLZ Pointer(PTR):thực hiện chuyển đổi Số->Tên,chỉ tồn tại trong RLZ Alias(CNAME):thực hiện chuyển đổi Tên->Tên,tồn tại trong FLZ 3.1.Server Cài đặt Mdaemon 6 và giao diện sau khi cài đặt phiên bản này: Khởi động DNS và thực hiện khới tạo các FLZ,RLZ trong đó có các Host,Alias,Pointer.Cụ thể như sau: Tên máy Server: Tên máy Client: Tạo HostA trong FLZ: Tiếp theo,tạo Alias có tên là www,trỏ về Domain doanquynh.cc.co bằng cách bấm nút Browse… Tương tự tạo thêm 1 Alias tên là mail(đây là record trực tiếp quản lý mail của hệ thống) Sau đó vào RLZ tạo một record Pointer trỏ về Domain doanquynh.cc.co bằng cách bấm nút Browse… Trở lại với MDaemon Tab Setup->Primary domain:gõ tên và địa chỉ IP Domain của hệ thống Chọn qua tab DNS,đảm bảo đánh check vào ô “Try to use DNS server…” Tab Tools Account->tạo 2 mail box mới lần lượt là quynh và kmt06 Sau đó Propertive các thuộc tính của nó Mặc định các mailbox chưa được check vào ô chứng thực khi logon Thực hiện chọn check vào “My server requires authentication” Sau đó thực hiện test mail bằng cách cho mail box tự gửi và nhận mail(Create Mail,Send/Recv) Tiếp theo tạo mail mới gửi lẫn nhau.Có nghĩa là,đang ở “kmt06” tạo mail sendto đến “quynh” và thực hiện ngươc lại. 3.2.Client Domain đã tạo các user cho phép Client logon vào hệ thống Logoff Administrator,logon vào user “quynh”.Thực hiện Setup mail box là quynh@doanquynh.cc.co Lúc này đã nhận được thư tự mình gửi cho mình Nhưng vẫn chưa nhận được thư của kmt06@doanquynh.cc.co gửi.Để ý góc phải phía dưới màn hình có lá thư nhấp nháy báo hỏng Lý do của việc chưa nhận được thư của mail box khác gửi đến là thiếu MX-Record.Quay trở lại DNS và táo thêm một MX-Record trong FLZ. Sau đó kiểm tra mail box quynh@doanquynh.cc.co đã nhận được thư của kmt06@doanquynh.cc.co gửi Nội dung thư gửi: Lúc này không thấy lá thư báo hỏng ở góc phải màn hình Logoff user quynh,log on user duc Thực hiện setup mail box kmt06@doanquynh.cc.co và kiểm tra mail Chú ý khi set up mail box hệ thống đòi hỏi Incoming mail và Outgoing mail,gõ vào: “mail.doanquynh.cc.co “ở 2 dòng thì OK Đến đây chúng ta đã hoàn tất việc gửi mail giữa các mail box thông qua hệ thống Domain sử dụng phần mềm Mdaemon.Chúng ta cũng có thể thực hiện việc gửi mail thông qua 2 hay nhiều Domain với các phần mềm” lớn hơn” như MS Exchange server 2007.. và tất nhiên độ phức tạp cũng tăng lên. III.Virtual Private Networks(VPN) 4.1.Khái niệm Virtual Private Networks (VPN) hay gọi theo tiếng Việt là Mạng Riêng Ảo, cho phép bạn mở rộng phạm vi mạng nội bộ bằng cách sử dụng lợi thế của internet. Kỹ thuật VPN cho phép bạn kết nối với một Host nằm xa hàng ngàn dặm với mạng LAN của bạn và làm cho nó trở thành một node hay một PC nữa trong mạng LAN. Một đặc điểm nữa của VPN là sự kết nối giữa clients và mạng ảo của bạn khá an toàn như chính bạn đang ngồi trong cùng một mạng LAN. VPN Client Thế nào là VPN client? VPN clients có thể là bất kì một computer nào sử dụng hệ điều hành từ Win9x, Windows NT Workstation hay là Windows 2000 Professional. Ngay cả server cũng có thể là VPN clients. Cách làm việc giữa client computer và server như thế nào? Cách đơn giản và thông dụng nhất là client computer khởi tạo một kết nối với ISP bằng giao thức PPP (Point to Point Protocol). Sau khi kết nối theo dạng này còn được gọi là “Non-Virtual” kết nối không ảo ở tầng datalink, client có thể sử dụng giao thức PPP này một lần nữa để thiết lập một kết nối ảo với VPN server và từ đây nó có thể trở thành một node hay một máy trạm trong hệ thống LAN. Lưu ý Khi client kết nối được với VPN server, thực tế nó vẫn đang kết nối với internet. Tuy nhiên, sau khi thiết lập được kết nối VPN với VPN server, thì client hay máy trạm sẽ tự động tìm kiếm một địa chỉ IP mà địa chỉ IP này phải trùng hay nói đúng hơn là phải cùng subnet với mạng ảo mà nó kết nối tới, sự kết nối này sẽ tạo ra một interface ảo hay là một cạd mạng ảo. Card mạng ảo này sẽ thiết lập một gateway mặc định. 4.2.Mô hình triển khai VPN Thiết lập địa chỉ IP như mô hình trên sau đó tiến hành thiết lập trên các máy server như sau: 4.2.1.Server1 Start ->Program ->Administrative -> Routing and Remote Access Tạo Interface server bên nhánh 2:click chuột phải Network Interfaces chọn New Demand-dial Interface Màn hình Welcome click Next Đặt tên cho Interface của Server2 Tiếp theo chọn cả 2 dòng Điền địa chỉ IP của VPN server2 Khai báo Static Route của Interface server2 Gõ password cho interface server 2 Gõ tên và password cho Interface của server1 Tiếp theo nhập dãy địa chỉ cho phép của server1 Restart services Đợi một lúc và kiểm tra trạng thái kết nối 4.2.2.Server 2 Thực hiện hoàn toàn tương tự như server1 Màn hình Welcome click Next Đặt tên cho Interface server1 Nhập vào địa chỉ IP server1 Gõ địa chỉ IP server1 Nhập Interface nội bộ của server1 Gõ password xác nhận cho Interface server1 Điên thông tin như sau: Gõ vào dãy địa chỉ của server 2 Restart services Đợi một lát sau đó kiểm tra trạng thái kết nối 4.2.3.Kiểm tra kết nối và lấy dữ liệu 4.2.3.1. Kiểm tra trên server1 Đây là địa chỉ IP mà server 1 dùng để kết nối với 172.16.1.0/24 của server2 Truy cập Network Access vào Client của server 2 với địa chỉ IP là 172.16.1.2 Kết quả là thấy có folder share 4.2.3.2.Kiểm tra trên server2: Ping đến client của server1 Kiểm tra gói tin đi từ 172.16.1.2 đến 10.0.0.2 Đây là địa chỉ server 2 dùng để kết nối với 10.0.0.0/24 của server1 Truy cập vào client 10.0.0.2 để lấy dữ liệu Kết quả là thấy có folder share **********************************************************************
Luận văn liên quan