Bài giảng Quản trị mạng - Chương 4: Quản trị cơ sở hạ tầng mạng - Phan Thị Thu Hồng
DHCP
Giới thiệu
Hoạt động của DHCP
Cài đặt dịch vụ DHCP
Chứng thực dịch vụ DHCP trong AD
Cấu hình DHCP
Cấu hình tùy chọn DHCP
Giới thiệu dịch vụ DHCP
Mỗi thiết bị trên mạng có dùng bộ giao thức TCP/IP
đều phải có một địa chỉ IP hợp lệ, phân biệt.
Nếu: máy trạm tự đặt IP hoặc
quản trị viên cấu hình cho từng máy
Dễ sinh ra trùng IP, và đây là công việc mất thời gian
và không đảm bảo
Giao thức DHCP (Dynamic Host Configuration
Protocol) hỗ trợ theo dõi và cấp phát các địa chỉ IP
Trang 1
Trang 2
Trang 3
Trang 4
Trang 5
Trang 6
Trang 7
Trang 8
Trang 9
Trang 10
Tải về để xem bản đầy đủ
Bạn đang xem 10 trang mẫu của tài liệu "Bài giảng Quản trị mạng - Chương 4: Quản trị cơ sở hạ tầng mạng - Phan Thị Thu Hồng", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Bài giảng Quản trị mạng - Chương 4: Quản trị cơ sở hạ tầng mạng - Phan Thị Thu Hồng
ive query: là truy vấn mà name server trả lời cho resolver với thông tin nó có trong CSDL (không thực hiện truy vấn thêm). Trong trường hợp name server không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của name server gần nhất mà nó biết 55 Phân giải tên thành IP Có hai loại truy vấn Truy vấn đệ quy - recursive query: name server bắt buộc phải trả về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không phân giải được. Name server có thể gửi truy vấn dang đệ quy hoặc tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả mới thôi. 56 Phân giải IP thành tên máy tính Phân giải nghịch Để có thể phân giải tên máy tính từ một địa chỉ IP, trong không gian tên miền người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục theo địa chỉ IP. Phần không gian này có tên miền là in-addr.arpa. Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ IP. Ví dụ miền in-addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0 đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256 subdomain con nữa ứng với byte thứ hai. Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng 57 Phân giải IP thành tên máy tính Ví dụ nếu địa chỉ IP của máy winnie.corp.hp.com là 15.16.192.152, khi ánh xạ vào miền in-addr.arpa sẽ là 152.192.16.15.inaddr.arpa. 58 Một số khái niệm cơ bản Domain name và zone Domain: Có thể gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain). Ví dụ: miền .ca bao gồm nhiều miền con như .ab.ca, .on.ca, .qc.ca,... Có thể ủy quyền (delegation) một số miền con cho những DNS Server khác quản lý. Zone: Những miền và miền con mà DNS Server được quyền quản lý. Có thể gồm một miền, một hay nhiều miền con. 59 Một số khái niệm cơ bản Các loại zone: - Primary zone : Cho phép đọc và ghi cơ sở dữ liệu. - Secondary zone : Cho phép đọc bản sao cơ sở dữ liệu. - Stub zone : chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa chỉ một vài RR 60 Một số khái niệm cơ bản Sự ủy quyền miền con Delegation: Một trong các mục tiêu khi thiết kế hệ thống DNS là khả năng quản lý phân tán thông qua cơ chế uỷ quyền. Trong một miền có thể tổ chức thành nhiều miền con, mỗi miền con có thể được uỷ quyền cho một tổ chức khác và tổ chức đó chịu trách nhiệm duy trì thông tin trong miền con này. Khi đó, miền cha chỉ cần một con trỏ trỏ đến miền con này để tham chiếu khi có các truy vấn. Lưu ý: Không phải một miền luôn luôn tổ chức miền con và uỷ quyền toàn bộ các miền con này, có thể chỉ có vài miền con được ủy quyền 61 Một số khái niệm cơ bản Fully Qualified Domain Name (FQDN) FQDN là một domain đầy đủ đã được chứng nhận Có độ dài không quá 255 byte Mỗi node: không vượt 63 byte Chấp nhận Unicode Còn gọi là tên tuyệt đối 62 Một số khái niệm cơ bản Dynamic DNS Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần xuất thay đổi cao. Dynamic DNS cung cấp một chương trình Dynamic Dns Client. Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS mỗi khi địa chỉ IP của host thay đổi và sau đó update thông tin vào cơ sở dữ liệu DNS về sự thay đổi địa chỉ đó DNS Client đăng ký và cập nhật resource record của nó bằng cách gửi dynamic 63 Một số khái niệm cơ bản Forwarders Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các Name Server khác để phân giải các miền bên ngoài. 64 Phân loại Domain Name Server Có nhiều Domain Name Server được tổ chức trên Internet. Dựa vào nhiệm vụ đảm nhận, có 4 kiểu cấu hình cho Primary Name Server: Master (Primary): Lưu giữ các Zone và trả lời cho các Name server khác Slave (Secondary): Sao lưu dự phòng Caching: không có CSDL mà chỉ lưu lại trong lần phân giải trước đó. Forwarding Name server: chuyển tiếp 65 Resource Record RR là mẫu thông tin dùng để mô tả các thông tin về cơ sở dữ liệu DNS, các mẫu tin này được lưu trong các file cơ sở dữ liệu DNS (\systemroot\system32\dns) Một số RR: SOA: Start of Authority NS: Name Server A (Address) và CNAME (Canonical Name) MX: Mail Exchange PTR: Pointer 66 Resource Record 67 Resource Record SOA (Start of Authority) Chỉ ra máy chủ Name Server tin cậy, cung cấp thông tin dữ liệu có trong Zone Cú pháp: [tên-miền] IN SOA [tên-server-dns] [địa-chỉ-email] ( serial-number refresh-number retry-number expire-number Time-to-live-number) 68 Resource Record Ví dụ: Nội dung Record SOA nts.com. IN SOA dnsserver.nts.com. admin.nts.com. ( 1980051901 ; Serial 10800 ; Refresh after 3 hours 3600 ; Retry after 1 hour 604800 ; Expire after 1 week 86400 ) ; Minimum TTL of 1 day Serial: số nguyên, nên theo định dạng YYYYMMDDNN, NN số lần sửa đổi, để máy Secondary nhận ra và cập nhật Refresh: thời hạn cập nhật của máy Secondary Retry: thời hạn kết nối lại khi không kết nối được máy Primary Expire: thời hạn tối đa mà dữ liệu trong Secondary còn hiệu lực nếu không kết nối được Primary TTL: thời gian mà máy khác được quyền cache lại thông tin này 69 Resource Record NS (Name Server) Chỉ ra name server cho Zone mình quản lý Cú pháp: [tên-miền] IN NS [tên-server-dns] Ví dụ: Nội dung record NS như sau: nts.com. IN NS dnsserver.nts.com. 70 Resource Record A (Address) và CNAME (Canonical Name) Record A: Ánh xạ tên máy (hostname) vào địa chỉ IP Cú pháp: [tên máy] IN A [IP] Record CNAME: Tạo tên bí danh alias trỏ vào một tên canonical. Tên canonical là tên host trong record A hoặc lại trỏ vào 1 tên canonical khác. 71 Resource Record A (Address) và CNAME (Canonical Name) Ví dụ: Host addresses localhost.nts.com. IN A 127.0.0.1 dnsserver.nts.com. IN A 192.168.1.1 server.nts.com. IN A 192.168.1.2 www.nts.com. IN A 192.168.1.3 Multi-homed hosts web.nts.com. IN A 203.168.10.1 web.nts.com. IN A 203.168.10.2 Aliases nts.com. IN CNAME www.nts.com. w.nts.com. IN CNAME www.nts.com. ww.nts.com. IN CNAME www.nts.com. 72 Resource Record MX (Mail Exchange) Lịch sử: chia 2 record Record MD (Mail Destination): chỉ ra đích cuối cùng của một thông điệp mail có domain cụ thể Record MF (Mail Forwarder): chỉ ra máy chủ trung gian sẽ chuyển tiếp mail đến được máy chủ đích cuối cùng. Hoạt động không tốt tích hợp MX Record Mail eXchanger: thực việc chuyển mail trên mạng Internet. Khi nhận thông điệp mail trình phân phối thư Mailer sẽ dùng record MX quyết định đường đi của thông điệp. Record MX chỉ ra một Mail eXchanger cho một domain name Mail eXchanger: máy chủ mail xử lý Chuyển trực tiếp: đến mailbox cục bộ hay làm gateway chuyền sang một giao thức chuyển mail khác như UUCP Chuyển tiếp thông điệp đến một Mail eXchanger khác gần máy chủ đích đến bằng SMTP 73 Resource Record MX (Mail Exchange) Cú pháp record MX: [tên_domain] IN MX [độ_ưu_tiên] [tên_Mail_Server] độ_ưu_tiên: Nguyên dương 2 byte Có giá trị so sánh Ví dụ: t3h.com. IN MX 10 mailserver.t3h.com. Chỉ ra máy chủ mailserver.t3h.com là một mail exchanger cho miền t3h.com với độ ưu tiên 10 74 Resource Record PTR (pointer) Record Pointer: Ánh xạ địa chỉ IP vào tên Cú pháp: [địa_chỉ_IP] IN PTR [tên_máy_tính] Ví dụ: Các record PTR cho các host trong mạng 192.249.249: 1.14.29.172.in-addr.arpa. IN PTR server.t3h.com 75 Cài đặt dịch vụ DNS Lưu ý: Nếu đã cài AD DS, thành phần DNS Server sẽ được tự động cài đặt 76 Các bước cài đặt DHCP server 77 Server Manager/ Add Roles and Features ChọnAdd roles and features Before You Begin Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các gói security. 78 Click Chú ý Select installation type Chọn kiểu cài đặt 79 Chọn Role-based or feature-bassed installation Click Select destination server 80 Chọn server để cài đặt Chọn kết nối sẽ dùng để lắng nghe yêu cầu gửi từ máy trạm Click Select server roles 81 Click Click Features Lựa chọn thêm features để cài đặt 82 Click DNS Server Chú ý về địa chỉ IP tĩnh, cài đặt ADDS 83 Click Giới thiệu về dịch vụ DNS Chú ý Confirmation Xác nhận lại thông tin đã lựa chọn từ bước trước 84 Click Results Kết quả cài đặt 85 Click Cấu hình DNS server 86 Chọn Server manager/ Tools/ DNS Phân giải thuận: tên miền thành địa chỉ IP Click Cấu hình DNS server 87 Chọn Nhập tên Zone Click Click Phân giải thuận: tên miền thành địa chỉ IP 88 Cấu hình DNS server Click Click Chọn Chọn 89 Kết thúc quá trình cấu hình server phân giải thuận Cấu hình DNS server Click Cấu hình DNS server 90 Click Cấu hình chức năng reverse - Chuyển IP thành tên máy 91 Cấu hình DNS server Chọn Click Click Cấu hình chức năng reverse - Chuyển IP thành tên máy 92 Cấu hình DNS server Click Click Nhập Network ID Chọn Cấu hình chức năng reverse - Chuyển IP thành tên máy 93 Cấu hình DNS server Chọn Click Click Cấu hình chức năng reverse - Chuyển IP thành tên máy Cấu hình DNS Server Nên xây dựng đồng thời hai hệ thống: Primary DNS Server, Secondary DNS Server => Hạn chế khả năng dịch vụ DNS bị ngưng khi có sự cố xảy trên hệ thống 94 Cấu hình DNS Server chính Cách làm tương tự với cầu hình DNS server 95 Cấu hình DNS Server dự phòng Chuẩn bị: Một máy tính khác máy cài primary DNS Server Cài Windows Server 2012 và dịch vụ DNS Gia nhập vào miền Cấu hình: Start/ Administrative Tools/ DNS 96 Cấu hình DNS Server dự phòng 97 Click Cấu hình phân giải thuận Cấu hình DNS Server dự phòng Click 98 Chọn Click Click Nhập tên miên Cấu hình DNS Server dự phòng 99 Nhập địa chỉ IP của DNS server chính Click Click Cấu hình DNS Server dự phòng Thực hiện tương tự cho cấu hình Reverse Lookup Zones 100 Đồng bộ dữ liệu giữa DNS chính và DNS dự phòng 101 Trên DNS chính 102 Chọn Click Trên DNS chính 103 Chọn Add bổ sung địa chỉ IP của các DNS dự phòng Click Trên DNS dự phòng 104 Kết quả Bổ sung các bản ghi DNS vào DNS Server Tạo cơ sở dữ liệu DNS bằng cách bổ sung các bản ghi DNS: Host (A): là bản ghi gồm tên máy và địa chỉ IP tương ứng. Ví dụ: 192.168.152.128 webserver.cntt.edu.vn Alias (CNAME): là bản ghi bí danh cho phép nhiều tên cùng ánh xạ đến một địa chỉ IP. Ví dụ webserver.cntt.edu.vn www.cntt.edu.vn 192.168.152.128 Mail Exchanger (MX): là bản ghi cho các Mail Server tương ứng với domain. Ví dụ mail.cntt.edu.vn mailserver.cntt.edu.vn 192.168.152.135 105 Host (A) 106 Nhập tên Nhập đ.c IP Click Alias (CNAME) 107 Nhập bí danh Nhập tên miên Click Mail Exchanger 108 Nhập host Nhập tên miền Click Pointer 109 Nhập IP Nhập tên host Click Dịch vụ chứng thực – AD CS Là dịch vụ cấp phát và quản lý chứng thực trên những hệ thống sử dụng công nghệ khóa công khai. Sử dụng AD CS tạo ra các máy chủ chứng thực CA. Các máy chủ CA: nhận yêu cầu về chứng thực, xử lý và gửi lại chứng thực cho đối tượng yêu cầu. Thường được sử dụng trong mạng nội bộ: sử dụng chứng thực (certificate) để chứng thực cho các server, user, hay mã hóa những tài liệu quan trọng của mỗi user, mail, 110 PKI Mã hóa công khai=>cần chứng chỉ số từ nhà cung cấp chứng chỉ (certification authority – CA) Một cơ sở hạ tầng khóa công khai PKI 1 nhà cung cấp chứng chỉ số CA chuyên cung cấp, xác minh chứng chỉ số 1 nhà quản lý đăng kí (Registration A) (người thẩm tra cho CA trước khi cấp chứng chỉ số được cấp cho ng yêu cầu) 1 hoặc nhiều danh mục nơi các chứng chỉ số được lưu giữ=> phục vụ cho nhu cầu tra cứu, lấy khóa công khai của đối tác cần thực hiện giao dịch 1 hệ thống quản lý chứng thực 111 Các dịch vụ chứng chỉ CA Windows Server cung cấp Chữ kí điện tử Chứng thực internet Bảo mật IP – IP Sec Secure E-mail Smart card logon Software code signing Wireless network authentication 113 Các loại CA trên WS 2012 Enterprise - Enterprise CAs Được tích hợp trong dịch vụ AD Sử dụng mẫu chứng chỉ, xuất bản (publish) chứng chỉ đến AD Sử dụng thông tin trong AD để chấp nhận hoặc từ chối yêu cầu cấp phát chứng chỉ động Stand-alone – Standalone CAs Không dùng mẫu chứng chỉ hay AD Lưu trữ thông tin cục bộ Không tự động đáp lại yêu cầu cấp phát chứng chỉ số Yêu cầu chờ trong hàng đợi cho người quản trị chấp nhận hoặc từ chối bằng tay. Cần phải chỉ rõ CA root hay CA subordinate 116 Cài đặt AD CS 117 Click Click Select features Lựa chọn những features để cài đặt 118 Click AD CS 119 Click Giới thiệu về dịch vụ DNS Chú ý Select role services 120 Click Click Web Server Role (IIS) 121 Click Giới thiệu về dịch vụ IIS Chú ý Cài đặt AD CS 122 Click Click Click Cấu hình AD CS 123 Chọn tài khoản ủy quyền Chọn các dv cấu hình Click Cấu hình AD CS 124 Chọn Click Click Chọn Cấu hình AD CS 125 Chọn Click Click Chọn kiểu khóa công khai và độ dài khóa Cấu hình AD CS 126 Click Click Chọn thời gian cấp phép chứng chỉ Cấu hình AD CS 127 Click Chọn đường dẫn Lưu trữ chứng chỉ Click Cấu hình AD CS 128 Click Click Các thông tin đã chọn để cấu hình Cấp phát và quản lý các chứng thực số Cấp phát tự động – Auto Enrollment Cho phép Client yêu cầu tự động và nhận chứng chỉ số từ CA mà không cần sự can thiệp của người quản trị Điều khiển tiến trình Auto Enrollment: phối hợp giữa GPO và mẫu chứng chỉ số 129 Cấp phát và quản lý các chứng thực số Cấp phát tự động – Cách thực hiện Chọn GPO -> Edit (Computer Configuration , User Configuration) Windows Settings Sercurity Settings Public Key Policies Certificate Services Client-Auto Enrollment Enable: Tự động thay đổi hoặc cập nhật Disable: Cấm hoàn toàn Auto-Enrollment 130 Cấp phát và quản lý các chứng thực số Cấp phát tự động – Cách thực hiện 131 Cấp phát và quản lý các chứng thực số Cấp phát không tự động - Manual Enrollment Để giám sát và xử lý các yêu cầu, dùng CA console 132 Cấp phát và quản lý các chứng thực số Các cách yêu cầu cấp phát CA Sử dụng Certificates Snap-in Yêu cầu cấp phát thông qua Web (Web Enrollment) Viết báo cáo nộp Thu hồi chứng chỉ số Sử dụng Revoked Certificates trong Certification Authority console 133 Mạng riêng ảo (Virtual Private Network - VPN) SV tự tìm hiểu 134
File đính kèm:
- bai_giang_quan_tri_mang_chuong_4_quan_tri_co_so_ha_tang_mang.pdf