Bài giảng Quản trị mạng - Chương 4: Quản trị cơ sở hạ tầng mạng - Phan Thị Thu Hồng

ive query: là truy vấn mà name server 
trả lời cho resolver với thông tin nó có trong CSDL (không thực 
hiện truy vấn thêm). Trong trường hợp name server không tìm 
thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của 
name server gần nhất mà nó biết 
55 
Phân giải tên thành IP 
 Có hai loại truy vấn 
 Truy vấn đệ quy - recursive query: name server bắt buộc phải trả 
về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này 
không phân giải được. Name server có thể gửi truy vấn dang đệ 
quy hoặc tương tác đến name server khác nhưng phải thực hiện 
cho đến khi nào có kết quả mới thôi. 
56 
Phân giải IP thành tên máy tính 
 Phân giải nghịch 
 Để có thể phân giải tên máy tính từ một địa chỉ IP, trong không 
gian tên miền người ta bổ sung thêm một nhánh tên miền mà 
được lập chỉ mục theo địa chỉ IP. Phần không gian này có tên 
miền là in-addr.arpa. 
 Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập 
phân của địa chỉ IP. 
 Ví dụ miền in-addr.arpa có thể có 256 subdomain, tương ứng với 
256 giá trị từ 0 đến 255 của byte đầu tiên trong địa chỉ IP. Trong 
mỗi subdomain lại có 256 subdomain con nữa ứng với byte thứ 
hai. Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên 
miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương 
ứng 
57 
Phân giải IP thành tên máy tính 
 Ví dụ nếu địa chỉ IP của máy winnie.corp.hp.com là 15.16.192.152, 
khi ánh xạ vào miền in-addr.arpa sẽ là 152.192.16.15.inaddr.arpa. 
58 
Một số khái niệm cơ bản 
 Domain name và zone 
 Domain: 
 Có thể gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain). 
 Ví dụ: miền .ca bao gồm nhiều miền con như .ab.ca, .on.ca, 
.qc.ca,... 
 Có thể ủy quyền (delegation) một số miền con cho những DNS 
Server khác quản lý. 
 Zone: 
 Những miền và miền con mà DNS Server được quyền quản lý. 
 Có thể gồm một miền, một hay nhiều miền con. 
59 
Một số khái niệm cơ bản 
 Các loại zone: 
- Primary zone : Cho phép đọc và ghi cơ sở dữ liệu. 
- Secondary zone : Cho phép đọc bản sao cơ sở dữ liệu. 
- Stub zone : chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa chỉ một vài 
RR 
60 
Một số khái niệm cơ bản 
 Sự ủy quyền miền con 
 Delegation: Một trong các mục tiêu khi thiết kế hệ thống DNS là 
khả năng quản lý phân tán thông qua cơ chế uỷ quyền. 
 Trong một miền có thể tổ chức thành nhiều miền con, mỗi miền 
con có thể được uỷ quyền cho một tổ chức khác và tổ chức đó 
chịu trách nhiệm duy trì thông tin trong miền con này. 
 Khi đó, miền cha chỉ cần một con trỏ trỏ đến miền con này để 
tham chiếu khi có các truy vấn. 
 Lưu ý: Không phải một miền luôn luôn tổ chức miền con và uỷ 
quyền toàn bộ các miền con này, có thể chỉ có vài miền con được 
ủy quyền 
61 
Một số khái niệm cơ bản 
 Fully Qualified Domain Name (FQDN) 
 FQDN là một domain đầy đủ đã được chứng nhận 
 Có độ dài không quá 255 byte 
 Mỗi node: không vượt 63 byte 
 Chấp nhận Unicode 
 Còn gọi là tên tuyệt đối 
62 
Một số khái niệm cơ bản 
 Dynamic DNS 
 Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có 
tần xuất thay đổi cao. 
 Dynamic DNS cung cấp một chương trình Dynamic Dns Client. 
Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên 
hệ với hệ thống DNS mỗi khi địa chỉ IP của host thay đổi và sau 
đó update thông tin vào cơ sở dữ liệu DNS về sự thay đổi địa chỉ 
đó 
 DNS Client đăng ký và cập nhật resource record của nó bằng 
cách gửi dynamic 
63 
Một số khái niệm cơ bản 
 Forwarders 
 Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho 
các Name Server khác để phân giải các miền bên ngoài. 
64 
Phân loại Domain Name Server 
 Có nhiều Domain Name Server được tổ chức trên Internet. 
 Dựa vào nhiệm vụ đảm nhận, có 4 kiểu cấu hình cho 
Primary Name Server: 
 Master (Primary): Lưu giữ các Zone và trả lời cho các Name 
server khác 
 Slave (Secondary): Sao lưu dự phòng 
 Caching: không có CSDL mà chỉ lưu lại trong lần phân giải 
trước đó. 
 Forwarding Name server: chuyển tiếp 
65 
Resource Record 
 RR là mẫu thông tin dùng để mô tả các thông tin về cơ 
sở dữ liệu DNS, các mẫu tin này được lưu trong các file 
cơ sở dữ liệu DNS (\systemroot\system32\dns) 
 Một số RR: 
 SOA: Start of Authority 
 NS: Name Server 
 A (Address) và CNAME (Canonical Name) 
 MX: Mail Exchange 
 PTR: Pointer 
66 
Resource Record 
67 
Resource Record 
 SOA (Start of Authority) 
 Chỉ ra máy chủ Name Server tin cậy, cung cấp thông tin 
dữ liệu có trong Zone 
 Cú pháp: 
 [tên-miền] IN SOA [tên-server-dns] [địa-chỉ-email] ( 
serial-number 
refresh-number 
retry-number 
expire-number 
Time-to-live-number) 
68 
Resource Record 
 Ví dụ: Nội dung Record SOA 
 nts.com. IN SOA dnsserver.nts.com. admin.nts.com. ( 
1980051901 ; Serial 
10800 ; Refresh after 3 hours 
3600 ; Retry after 1 hour 
604800 ; Expire after 1 week 
86400 ) ; Minimum TTL of 1 day 
 Serial: số nguyên, nên theo định dạng YYYYMMDDNN, NN số lần 
sửa đổi, để máy Secondary nhận ra và cập nhật 
 Refresh: thời hạn cập nhật của máy Secondary 
 Retry: thời hạn kết nối lại khi không kết nối được máy Primary 
 Expire: thời hạn tối đa mà dữ liệu trong Secondary còn hiệu lực nếu 
không kết nối được Primary 
 TTL: thời gian mà máy khác được quyền cache lại thông tin này 
69 
Resource Record 
 NS (Name Server) 
 Chỉ ra name server cho Zone mình quản lý 
 Cú pháp: 
 [tên-miền] IN NS [tên-server-dns] 
 Ví dụ: Nội dung record NS như sau: 
 nts.com. IN NS dnsserver.nts.com. 
70 
Resource Record 
 A (Address) và CNAME (Canonical Name) 
 Record A: 
 Ánh xạ tên máy (hostname) vào địa chỉ IP 
 Cú pháp: [tên máy] IN A [IP] 
 Record CNAME: 
 Tạo tên bí danh alias trỏ vào một tên canonical. 
 Tên canonical là tên host trong record A hoặc lại trỏ vào 1 
tên canonical khác. 
71 
Resource Record 
 A (Address) và CNAME (Canonical Name) 
 Ví dụ: 
 Host addresses 
localhost.nts.com. IN A 127.0.0.1 
dnsserver.nts.com. IN A 192.168.1.1 
server.nts.com. IN A 192.168.1.2 
www.nts.com. IN A 192.168.1.3 
 Multi-homed hosts 
web.nts.com. IN A 203.168.10.1 
web.nts.com. IN A 203.168.10.2 
 Aliases 
nts.com. IN CNAME www.nts.com. 
w.nts.com. IN CNAME www.nts.com. 
ww.nts.com. IN CNAME www.nts.com. 
72 
Resource Record 
 MX (Mail Exchange) 
 Lịch sử: chia 2 record 
 Record MD (Mail Destination): chỉ ra đích cuối cùng của một thông điệp 
mail có domain cụ thể 
 Record MF (Mail Forwarder): chỉ ra máy chủ trung gian sẽ chuyển tiếp 
mail đến được máy chủ đích cuối cùng. 
 Hoạt động không tốt tích hợp MX 
 Record Mail eXchanger: thực việc chuyển mail trên mạng Internet. 
 Khi nhận thông điệp mail trình phân phối thư Mailer sẽ dùng record MX 
 quyết định đường đi của thông điệp. 
 Record MX chỉ ra một Mail eXchanger cho một domain name 
 Mail eXchanger: máy chủ mail xử lý 
 Chuyển trực tiếp: đến mailbox cục bộ hay làm gateway chuyền sang một 
giao thức chuyển mail khác như UUCP 
 Chuyển tiếp thông điệp đến một Mail eXchanger khác gần máy chủ đích 
đến bằng SMTP 
73 
Resource Record 
 MX (Mail Exchange) 
 Cú pháp record MX: 
 [tên_domain] IN MX [độ_ưu_tiên] [tên_Mail_Server] 
 độ_ưu_tiên: 
 Nguyên dương 2 byte 
 Có giá trị so sánh 
 Ví dụ: 
 t3h.com. IN MX 10 mailserver.t3h.com. 
Chỉ ra máy chủ mailserver.t3h.com là một mail exchanger cho miền 
t3h.com với độ ưu tiên 10 
74 
Resource Record 
 PTR (pointer) 
 Record Pointer: Ánh xạ địa chỉ IP vào tên 
 Cú pháp: 
 [địa_chỉ_IP] IN PTR [tên_máy_tính] 
 Ví dụ: Các record PTR cho các host trong mạng 192.249.249: 
1.14.29.172.in-addr.arpa. IN PTR server.t3h.com 
75 
Cài đặt dịch vụ DNS 
 Lưu ý: Nếu đã cài AD DS, thành phần DNS Server sẽ 
được tự động cài đặt 
76 
Các bước cài đặt DHCP server 
77 
Server Manager/ Add Roles and Features 
ChọnAdd 
roles and 
features 
Before You Begin 
 Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các 
gói security. 
78 
Click 
Chú ý 
Select installation type 
 Chọn kiểu cài đặt 
79 
Chọn Role-based 
or feature-bassed 
installation 
Click 
Select destination server 
80 
Chọn server để cài đặt 
Chọn kết nối sẽ dùng để lắng nghe 
 yêu cầu gửi từ máy trạm 
Click 
Select server roles 
81 
Click 
Click 
Features 
Lựa chọn thêm features để cài đặt 
82 
Click 
DNS Server 
Chú ý về địa chỉ IP tĩnh, cài đặt ADDS 
83 
Click 
Giới thiệu về 
 dịch vụ DNS 
Chú ý 
Confirmation 
Xác nhận lại thông tin đã lựa chọn từ bước trước 
84 Click 
Results 
Kết quả cài đặt 
85 
Click 
Cấu hình DNS server 
86 
 Chọn Server manager/ Tools/ DNS 
 Phân giải thuận: tên miền thành địa chỉ IP 
Click 
Cấu hình DNS server 
87 
Chọn 
Nhập tên Zone 
Click 
Click 
Phân giải thuận: tên miền thành địa chỉ IP 
88 
Cấu hình DNS server 
Click 
Click 
Chọn 
Chọn 
89 
 Kết thúc quá trình cấu hình server phân giải thuận 
Cấu hình DNS server 
Click 
Cấu hình DNS server 
90 
Click 
Cấu hình chức năng reverse - Chuyển IP thành tên máy 
91 
Cấu hình DNS server 
Chọn 
Click 
Click 
Cấu hình chức năng reverse - Chuyển IP thành tên máy 
92 
Cấu hình DNS server 
Click Click 
Nhập Network ID 
Chọn 
Cấu hình chức năng reverse - Chuyển IP thành tên máy 
93 
Cấu hình DNS server 
Chọn 
Click 
Click 
Cấu hình chức năng reverse - Chuyển IP thành tên máy 
Cấu hình DNS Server 
 Nên xây dựng đồng thời hai hệ thống: Primary DNS 
Server, Secondary DNS Server 
 => Hạn chế khả năng dịch vụ DNS bị ngưng khi có sự cố 
xảy trên hệ thống 
94 
Cấu hình DNS Server chính 
 Cách làm tương tự với cầu hình DNS server 
95 
Cấu hình DNS Server dự phòng 
 Chuẩn bị: 
 Một máy tính khác máy cài primary DNS Server 
 Cài Windows Server 2012 và dịch vụ DNS 
 Gia nhập vào miền 
 Cấu hình: 
 Start/ Administrative Tools/ DNS 
96 
Cấu hình DNS Server dự phòng 
97 
Click 
 Cấu hình phân giải thuận 
Cấu hình DNS Server dự phòng 
Click 
98 
Chọn 
Click 
Click 
Nhập tên miên 
Cấu hình DNS Server dự phòng 
99 
Nhập địa chỉ IP của 
DNS server chính 
Click 
Click 
Cấu hình DNS Server dự phòng 
 Thực hiện tương tự cho cấu hình Reverse Lookup Zones 
100 
Đồng bộ dữ liệu giữa DNS chính 
và DNS dự phòng 
101 
Trên DNS chính 
102 
Chọn 
Click 
Trên DNS chính 
103 
Chọn Add bổ sung địa chỉ 
 IP của các DNS dự phòng 
Click 
Trên DNS dự phòng 
104 
Kết quả 
Bổ sung các bản ghi DNS 
vào DNS Server 
 Tạo cơ sở dữ liệu DNS bằng cách bổ sung các bản ghi 
DNS: 
 Host (A): là bản ghi gồm tên máy và địa chỉ IP tương ứng. 
Ví dụ: 192.168.152.128  webserver.cntt.edu.vn 
 Alias (CNAME): là bản ghi bí danh cho phép nhiều tên cùng 
ánh xạ đến một địa chỉ IP. Ví dụ webserver.cntt.edu.vn 
 www.cntt.edu.vn  192.168.152.128 
 Mail Exchanger (MX): là bản ghi cho các Mail Server tương 
ứng với domain. Ví dụ mail.cntt.edu.vn 
mailserver.cntt.edu.vn  192.168.152.135 
105 
Host (A) 
106 
Nhập tên 
Nhập đ.c IP 
Click 
Alias (CNAME) 
107 
Nhập bí danh 
Nhập tên 
miên 
Click 
Mail Exchanger 
108 
Nhập 
host 
Nhập tên 
miền 
Click 
Pointer 
109 
Nhập IP 
Nhập 
tên host 
Click 
Dịch vụ chứng thực – AD CS 
 Là dịch vụ cấp phát và quản lý chứng thực trên những hệ thống 
sử dụng công nghệ khóa công khai. 
 Sử dụng AD CS tạo ra các máy chủ chứng thực CA. 
 Các máy chủ CA: nhận yêu cầu về chứng thực, xử lý và gửi lại 
chứng thực cho đối tượng yêu cầu. 
 Thường được sử dụng trong mạng nội bộ: sử dụng chứng thực 
(certificate) để chứng thực cho các server, user,  hay mã hóa 
những tài liệu quan trọng của mỗi user, mail, 
110 
PKI 
 Mã hóa công khai=>cần chứng chỉ số từ nhà cung cấp 
chứng chỉ (certification authority – CA) 
 Một cơ sở hạ tầng khóa công khai PKI 
 1 nhà cung cấp chứng chỉ số CA chuyên cung cấp, xác minh 
chứng chỉ số 
 1 nhà quản lý đăng kí (Registration A) (người thẩm tra cho 
CA trước khi cấp chứng chỉ số được cấp cho ng yêu cầu) 
 1 hoặc nhiều danh mục nơi các chứng chỉ số được lưu giữ=> 
phục vụ cho nhu cầu tra cứu, lấy khóa công khai của đối tác 
cần thực hiện giao dịch 
 1 hệ thống quản lý chứng thực 
111 
Các dịch vụ chứng chỉ CA 
Windows Server cung cấp 
 Chữ kí điện tử 
 Chứng thực internet 
 Bảo mật IP – IP Sec 
 Secure E-mail 
 Smart card logon 
 Software code signing 
 Wireless network authentication 
113 
Các loại CA trên WS 2012 
 Enterprise - Enterprise CAs 
 Được tích hợp trong dịch vụ AD 
 Sử dụng mẫu chứng chỉ, xuất bản (publish) chứng chỉ đến AD 
 Sử dụng thông tin trong AD để chấp nhận hoặc từ chối yêu 
cầu cấp phát chứng chỉ động 
 Stand-alone – Standalone CAs 
 Không dùng mẫu chứng chỉ hay AD 
 Lưu trữ thông tin cục bộ 
 Không tự động đáp lại yêu cầu cấp phát chứng chỉ số 
 Yêu cầu chờ trong hàng đợi cho người quản trị chấp nhận 
hoặc từ chối bằng tay. 
 Cần phải chỉ rõ CA root hay CA subordinate 
 116 
Cài đặt AD CS 
117 
Click 
Click 
Select features 
Lựa chọn những features để cài đặt 
118 
Click 
AD CS 
119 
Click 
Giới thiệu về 
 dịch vụ DNS 
Chú ý 
Select role services 
120 
Click 
Click 
Web Server Role (IIS) 
121 Click 
Giới thiệu về 
 dịch vụ IIS 
Chú ý 
Cài đặt AD CS 
122 Click Click 
Click 
Cấu hình AD CS 
123 
Chọn tài khoản 
 ủy quyền 
Chọn các dv 
cấu hình 
Click 
Cấu hình AD CS 
124 
Chọn 
Click 
Click 
Chọn 
Cấu hình AD CS 
125 
Chọn 
Click 
Click 
Chọn kiểu khóa công khai và 
độ dài khóa 
Cấu hình AD CS 
126 
Click 
Click 
Chọn thời gian cấp 
phép chứng chỉ 
Cấu hình AD CS 
127 
Click 
Chọn đường dẫn 
Lưu trữ chứng chỉ 
Click 
Cấu hình AD CS 
128 Click Click 
Các thông tin đã 
chọn để cấu hình 
Cấp phát và quản lý các chứng thực số 
 Cấp phát tự động – Auto Enrollment 
 Cho phép Client yêu cầu tự động và nhận chứng chỉ số từ 
CA mà không cần sự can thiệp của người quản trị 
 Điều khiển tiến trình Auto Enrollment: phối hợp giữa GPO 
và mẫu chứng chỉ số 
129 
Cấp phát và quản lý các chứng thực số 
 Cấp phát tự động – Cách thực hiện 
 Chọn GPO -> Edit (Computer Configuration , User Configuration) 
 Windows Settings 
 Sercurity Settings 
 Public Key Policies 
 Certificate Services Client-Auto Enrollment 
 Enable: Tự động thay đổi hoặc cập nhật 
 Disable: Cấm hoàn toàn Auto-Enrollment 
130 
Cấp phát và quản lý các chứng thực số 
 Cấp phát tự động – Cách thực hiện 
131 
Cấp phát và quản lý các chứng thực số 
 Cấp phát không tự động - Manual Enrollment 
 Để giám sát và xử lý các yêu cầu, dùng CA console 
132 
Cấp phát và quản lý các chứng thực số 
 Các cách yêu cầu cấp phát CA 
 Sử dụng Certificates Snap-in 
 Yêu cầu cấp phát thông qua Web (Web Enrollment) 
 Viết báo cáo nộp 
 Thu hồi chứng chỉ số 
 Sử dụng Revoked Certificates trong Certification Authority 
console 
133 
Mạng riêng ảo 
(Virtual Private Network - VPN) 
 SV tự tìm hiểu 
134