Bài giảng Quản trị mạng: Chương 4 - Phan Thị Thu Hồng

Phan Thị Thu Hồng

1

Nội dung chính  Dịch vụ cấu hình địa chỉ IP động (Dynamic Host Configuration Protocol - DHCP)  Dịch vụ tên miền (Domain Name System - DNS)  Dịch vụ cấp giấy chứng nhận (Certificate Authority – CA)

2

DHCP

 Giới thiệu  Hoạt động của DHCP  Cài đặt dịch vụ DHCP  Chứng thực dịch vụ DHCP trong AD  Cấu hình DHCP  Cấu hình tùy chọn DHCP

3

Giới thiệu dịch vụ DHCP

 Mỗi thiết bị trên mạng có dùng bộ giao thức TCP/IP

đều phải có một địa chỉ IP hợp lệ, phân biệt.

 Nếu: máy trạm tự đặt IP hoặc quản trị viên cấu hình cho từng máy Dễ sinh ra trùng IP, và đây là công việc mất thời gian

và không đảm bảo

Giao thức DHCP (Dynamic Host Configuration

Protocol) hỗ trợ theo dõi và cấp phát các địa chỉ IP

4

Giới thiệu dịch vụ DHCP

 Yêu cầu của DHCP Server:  Đã cài dịch vụ DHCP.  Mỗi interface phải được cấu hình bằng một địa chỉ IP tĩnh.  Đã chuẩn bị sẵn danh sách các địa chỉ IP định cấp phát cho

các máy client.

 Yêu cầu của DHCP Client:

 Tất cả các máy trạm sử dụng HĐH của Microsoft, Linux,

Unix, Mac đều có thể làm DHCP Client.

5

Ưu điểm của dịch vụ DHCP  Khắc phục được tình trạng đụng địa chỉ IP và giảm chi phí

quản trị cho hệ thống mạng.

 Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm được

số lượng địa chỉ IP thật (Public IP).

 Phù hợp cho các máy tính thường xuyên di chuyển qua lại

giữa các mạng.

 Kết hợp với hệ thống mạng không dây (Wireless) cung

cấp các điểm Hotspot như: nhà ga, sân bay, trường học…

6

Hoạt động của dịch vụ DHCP

• Theo mô hình Client/ Server

Server DHCP

Client

BOOT

7

Hoạt động của dịch vụ DHCP

Server DHCP

Client

8

Hoạt động của dịch vụ DHCP

Server DHCP

Client

OK!

9

Hoạt động của dịch vụ DHCP

Server DHCP

Client

10

Các bước cài đặt DHCP server Server Manager/ Add Roles and Features

11

ChọnAdd roles and features

Before You Begin  Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các

gói security.

12

Chú ý

Click

Select installation type  Chọn kiểu cài đặt

Chọn Role-based or feature-bassed installation

13

Click

Select destination server

Chọn server để cài đặt

Chọn kết nối sẽ dùng để lắng nghe yêu cầu gửi từ máy trạm

14

Click

Select server roles  Chọn DHCP server

Chọn DHCP server

Click

15

Click

Cài đặt dịch vụ DHCP

Giới thiệu về dịch vụ DHCP

Xem lại các yêu cầu trước khi cài đặt DHCP Server

Chú ý

16

Click

Cài đặt dịch vụ DHCP

17

Xem lại gói service và role đã chọn

Click

Cài đặt dịch vụ DHCP

18

Quá trình cài đặt

Click

Cấu hình dịch vụ DHCP

19

Server Manager/ Tool/ DHCP

Cài đặt dịch vụ DHCP

Tạo Scope chứa dãy IP sẽ cấp cho các DHCP Client.

20

Click

Cài đặt dịch vụ DHCP

Đặt tên cho Scope

Nhập tên Scope

21

Click

Cài đặt dịch vụ DHCP

Nhập dãy địa chỉ IP

Nhập dãy địa chỉ IP cấp phát cho DHCP Client

Subnet mask cho dãy địa chỉ cấp phát

22

Click

Cài đặt dịch vụ DHCP Loại bỏ một vài địa chỉ: những IP này cho các máy client quan trọng hoặc Server.

Nhập dãy địa chỉ IP không cấp phát cho DHCP Client

23

Click

Cài đặt dịch vụ DHCP

Thời gian cấp phát địa chỉ

Nhập khoảng thời gian sẽ cấp phát cho DHCP client

24

Click

Cài đặt dịch vụ DHCP

Lựa chọn cấu hình DHCP

Thực hiện cấu hình thêm cho DHCP Client

25

Click

Cài đặt dịch vụ DHCP  Nhập địa chỉ Gateway

Thêm gateway mới

26

Click

Cài đặt dịch vụ DHCP  Nhập địa chỉ các DNS Server và địa chỉ IP máy chủ DHCP

Thông tin về parent domain

Địa chỉ IP của DNS Server

27

Click

Cài đặt dịch vụ DHCP  Điền đầy đủ thông tin nếu trong hệ thống vẫn còn dùng WINS Server, còn không bỏ qua bước này

28

Click

Cài đặt dịch vụ DHCP

Kích hoạt dãy địa chỉ cấp phát cho DHCP Client

29

Click

Cài đặt dịch vụ DHCP  Kết thúc quá trình cài đặt

30

Click

Cấu hình dịch vụ DHCP

 Chọn Server manager  Tools  DHCP.  Thay đổi dãy địa chỉ IP cấp phát cho DHCP Client

Có thể thay đổi tên, dãy địa chỉ IP

31

Có thể thay đổi giới hạn t.gian tồn tại đ.c IP

Click

Cấu hình dịch vụ DHCP Server  Thay đổi Gateway

Thêm gateway mới

32

Click

Cấu hình dịch vụ DHCP Server  Thay đổi địa chỉ các DNS Server

Thêm đ.c DNS

Click

33

Cấu hình dịch vụ DHCP Server  Thay đổi tên miền

34

Nhập tên miền mới

Click

Cấu hình dịch vụ DHCP Server

 Loại bỏ 1 vài địa chỉ

35

Click

Cấu hình các địa chỉ dành riêng  Giả sử hệ thống mạng sử dụng việc cấp phát địa chỉ động, tuy nhiên trong đó có một số máy tính bắt buộc phải sử dụng một địa chỉ IP cố định trong một thời gian dài.  Có thể thực hiện được điều này bằng cách dành một địa chỉ IP cho riêng máy đó. Việc cấu hình này được thực hiện trên từng scope riêng biệt

36

Cấu hình các địa chỉ dành riêng

 Chọn menu Server manager  Tools  DHCP  Reservations

Tên máy tính được cấp đ.c Đ.c IP

Đ.c MAC

Sử dụng cả 2 p.p

Sử dụng DHCP để xin đ.c IP

Sử dụng BOOTP để xin đ.c IP

37

Click

Cấu hình các địa chỉ dành riêng

 Lặp lại thao tác trên cho các địa chỉ dành riêng khác. Cuối cùng

nhấn chọn Close

38

Cấu hình DHCP Server

Có thể tạm ngưng hoạt động hay hoạt động lại bằng cách:

39

 Tại máy client chọn Start/Run/cmd  Ipconfig /all : Hiển thị đầy đủ thông tin của TCP/IP  Ipconfig /release : Trả thông tin TCP/IP cho DHCP Server  Ipconfig /renew : Lấy lại thông tin TCP/IP từ DHCP

Server

40

DNS - Domain Name System  Mục tiêu: Hiểu được nguyên tắc hoạt động, cài đặt và quản trị dịch vụ DNS, hiểu được mô hình phân giải tên trên hệ thống mạng

 Nội dung:

 Giới thiệu DNS  Cách phân bổ dữ liệu quản lý Domain Name  Cơ chế phân giải tên miền  Một số khái niệm cơ bản  Phân loại Domain Name Server  Resource Record (RR)  Cài đặt và cấu hình dịch vụ DNS

41

Giới thiệu DNS

 Mỗi máy tính muốn trao đổi thông tin, dữ liệu trên mạng cần

phải biết địa chỉ IP khó nhớ

 Mạng ARPAnet (tiền thân của mạng Internet):

 Có ít máy (vài trăm máy)  lưu thông tin trong HOSTS.TXT  Ánh xạ tên máy thành địa chỉ IP (tên máy là một chuỗi văn bản

không phân cấp).

 Lưu tập tin này ở một máy và các máy khác giữ bản sao

 Khi số lượng máy lớn  nhược điểm:

 Lưu lượng mạng và máy chủ duy trì tập tin host.txt bị quá tải do

hiệu ứng hiệu ứng thắt cổ chai.

 Xung đột tên: do tên máy không phân cấp và không có cơ chế ủy

quyền.

 Không đảm bảo sự toàn vẹn: hiệu ứng lan truyền cập nhật

42

Giới thiệu DNS

 DNS ra đời:

 Ánh xạ địa chỉ IP thành tên máy tính cho dễ nhớ  Khắc phục các nhược điểm này  Tác giả Paul Mockapetris - USC's Information Sciences Institute

 Dịch vụ DNS hoạt động theo mô hình client-server:

 Phần server: Máy chủ phục vụ (name server), chứa các thông tin

về 1 phần của CSDL DNS

 Phần client: trình phân giải tên (resolver), chỉ là các hàm thư viện dùng để tạo các truy vấn (query) và gửi chúng qua đến name server

 DNS được thi hành như một giao thức tầng Application trong

mạng TCP/IP.

43

Ví dụ  Không ảnh hưởng khi địa chỉ IP thay đổi

44

CSDL của DNS

 Phân tán, phân bổ theo cơ chế phân cấp  Cây đảo ngược: Mỗi nút trên cây lại là gốc của 1 cây con.

Mỗi cây con là một miền (domain). Mỗi domain chia thành miền con (subdomain).

 Tên miền (domain name): Chuỗi tuần tự các tên miền con tại một nút đi ngược lên đến gốc của cây. Phân cách nhau bởi dấu chấm.

Second-level domain

Top-level domain

Sub domain

Host name

 Ví dụ: fita.vnua.edu.vn

45

Cách phân bổ dữ liệu quản lý Domain name

Đăng ký

Đăng ký

Primary Name Server

Cài đặt

Name server Domain name

Secondary Name Server

Tổ chức

 Primary Name Server có thể tạo ra những subdomain và ủy quyền những

subdomain này cho những Name Server khác.

46

Domain Name Space

net

com

vn

us

cn

Root Domain

Top Level Domain

Second Level Domain

vnn com edu gov

Subdomains vnua hut

47

fita Host: server1 FQDN: server1.fita.vnua.edu.vn

Domain Name Space

Tên miền Mô tả

Các tổ chức, công ty thương mại .com

Các tổ chức phi lợi nhuận .org

Các trung tâm hỗ trợ về mạng .net

Các tổ chức giáo dục .edu

Các tổ chức thuộc chính phủ .gov

Các tổ chức quân sự .mil

.int Các tổ chức được thành lập bởi các hiệp ước quốc tế

Root domain được biểu diển bằng 1 dấu chấm (.), mặc định không ghi. Nên ta chỉ thấy tên của top-level domain.

48

Các domain tồn tại đã quá tải nên phát sinh ra các top-level domain mới, và các tên miền quốc gia ví dụ :

Tên miền

Mô tả

Các tổ chức liên quan đến nghệ thuật và kiến trúc

.arts

Các tổ chức có tính chất giải trí, thể thao

.rec

Các tổ chức kinh doanh thương mại

.firm

Các tổ chức liên quan đến thông tin

.info

Tên miền Quốc gia

Tên quốc gia

Việt Nam

.vn

Mỹ

.us

Anh

.uk

Nhật

.jp

Trung quốc

.cn

49

Cơ chế phân giải tên  Phân giải tên thành IP  Phân giải IP thành tên

50

Phân giải tên thành IP

 Root name server: máy chủ

quản lý các name server ở mức top-level domain.

 Những root name server này

được đặt khắp nơi trên thế giới.

 Tên máy và địa chỉ IP của

52

những root name server này được liệt kê:

Phân giải tên thành IP  VD mô tả quá trình phân giải grigiri.gbrmpa.gov.au trên mạng

Internet

53

Phân giải tên thành IP  Phân giải thuận:

 Client sẽ gửi yêu cầu cần phân giải girigiri.gbrmpa.gov.au đến

name server cục bộ.

 Khi nhận yêu cầu từ resolver, name server sẽ phân tích tên này và

xét xem tên miền này có do mình quản lý hay không.

 Nếu như tên miền do server cục bộ quản lý, nó sẽ trả lời địa chỉ IP

của tên máy đó ngay cho resolver.

 Ngược lại, server cục bộ sẽ truy vấn đến một Root Name Server

gần nhất mà nó biết được. Root Name Server sẽ trả lời địa chỉ IP của Name Server quản lý miền .au

 Máy chủ name server cục bộ lại hỏi tiếp name server quản lý

miền au và được tham chiếu đến máy chủ quản lý miền .gov.au  Máy chủ quản lý .gov.au chỉ dẫn máy name server cục bộ tham

chiếu đến máy chủ quản lý miền .gbrmpa.gov.au.

 Cuối cùng máy name server cục bộ truy vấn máy chủ quản lý

miền gbrmpa.gov.au và nhận được câu trả lời.

54

Phân giải tên thành IP  Có hai loại truy vấn

 Truy vấn tương tác - Iteractive query: là truy vấn mà name server trả lời cho resolver với thông tin nó có trong CSDL (không thực hiện truy vấn thêm). Trong trường hợp name server không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của name server gần nhất mà nó biết

55

Phân giải tên thành IP  Có hai loại truy vấn

 Truy vấn đệ quy - recursive query: name server bắt buộc phải trả

về kết quả tìm được hoặc thông báo lỗi nếu như truy vấn này không phân giải được. Name server có thể gửi truy vấn dang đệ quy hoặc tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả mới thôi.

56

Phân giải IP thành tên máy tính

 Phân giải nghịch

 Để có thể phân giải tên máy tính từ một địa chỉ IP, trong không gian tên miền người ta bổ sung thêm một nhánh tên miền mà được lập chỉ mục theo địa chỉ IP. Phần không gian này có tên miền là in-addr.arpa.

 Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập

phân của địa chỉ IP.

 Ví dụ miền in-addr.arpa có thể có 256 subdomain, tương ứng với 256 giá trị từ 0 đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256 subdomain con nữa ứng với byte thứ hai. Cứ như thế và đến byte thứ tư có các bản ghi cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tương ứng

57

Phân giải IP thành tên máy tính

 Ví dụ nếu địa chỉ IP của máy winnie.corp.hp.com là 15.16.192.152, khi ánh xạ vào miền in-addr.arpa sẽ là 152.192.16.15.inaddr.arpa.

58

Một số khái niệm cơ bản  Domain name và zone

 Domain:

 Có thể gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain).  Ví dụ: miền .ca bao gồm nhiều miền con như .ab.ca, .on.ca,

.qc.ca,...

 Có thể ủy quyền (delegation) một số miền con cho những DNS

Server khác quản lý.

 Zone:

 Những miền và miền con mà DNS Server được quyền quản lý.  Có thể gồm một miền, một hay nhiều miền con.

59

Một số khái niệm cơ bản

 Các loại zone:

- Primary zone : Cho phép đọc và ghi cơ sở dữ liệu. - Secondary zone : Cho phép đọc bản sao cơ sở dữ liệu. - Stub zone : chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa chỉ một vài

60

RR

Một số khái niệm cơ bản

 Sự ủy quyền miền con

 Delegation: Một trong các mục tiêu khi thiết kế hệ thống DNS là

khả năng quản lý phân tán thông qua cơ chế uỷ quyền.

 Trong một miền có thể tổ chức thành nhiều miền con, mỗi miền con có thể được uỷ quyền cho một tổ chức khác và tổ chức đó chịu trách nhiệm duy trì thông tin trong miền con này.

 Khi đó, miền cha chỉ cần một con trỏ trỏ đến miền con này để

tham chiếu khi có các truy vấn.

 Lưu ý: Không phải một miền luôn luôn tổ chức miền con và uỷ

quyền toàn bộ các miền con này, có thể chỉ có vài miền con được ủy quyền

61

Một số khái niệm cơ bản

 Fully Qualified Domain Name (FQDN)

 FQDN là một domain đầy đủ đã được chứng nhận  Có độ dài không quá 255 byte  Mỗi node: không vượt 63 byte  Chấp nhận Unicode  Còn gọi là tên tuyệt đối

62

Một số khái niệm cơ bản

 Dynamic DNS

 Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có

tần xuất thay đổi cao.

 Dynamic DNS cung cấp một chương trình Dynamic Dns Client. Chương trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS mỗi khi địa chỉ IP của host thay đổi và sau đó update thông tin vào cơ sở dữ liệu DNS về sự thay đổi địa chỉ đó

 DNS Client đăng ký và cập nhật resource record của nó bằng

cách gửi dynamic

63

Một số khái niệm cơ bản

 Forwarders

 Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho

các Name Server khác để phân giải các miền bên ngoài.

64

Phân loại Domain Name Server  Có nhiều Domain Name Server được tổ chức trên Internet.  Dựa vào nhiệm vụ đảm nhận, có 4 kiểu cấu hình cho

Primary Name Server:  Master (Primary): Lưu giữ các Zone và trả lời cho các Name

server khác

 Slave (Secondary): Sao lưu dự phòng  Caching: không có CSDL mà chỉ lưu lại trong lần phân giải

trước đó.

 Forwarding Name server: chuyển tiếp

65

Resource Record

 RR là mẫu thông tin dùng để mô tả các thông tin về cơ sở dữ liệu DNS, các mẫu tin này được lưu trong các file cơ sở dữ liệu DNS (\systemroot\system32\dns)

 Một số RR:

 SOA: Start of Authority  NS: Name Server  A (Address) và CNAME (Canonical Name)  MX: Mail Exchange  PTR: Pointer

66

Resource Record

67

Resource Record

 SOA (Start of Authority)

 Chỉ ra máy chủ Name Server tin cậy, cung cấp thông tin

dữ liệu có trong Zone

[tên-miền] IN SOA [tên-server-dns] [địa-chỉ-email] (

 Cú pháp:

serial-number refresh-number retry-number expire-number Time-to-live-number)

68

Resource Record

 Ví dụ: Nội dung Record SOA nts.com. IN SOA dnsserver.nts.com. admin.nts.com. (

1980051901 ; Serial 10800 ; Refresh after 3 hours 3600 ; Retry after 1 hour 604800 ; Expire after 1 week 86400 ) ; Minimum TTL of 1 day

 Serial: số nguyên, nên theo định dạng YYYYMMDDNN, NN số lần

sửa đổi, để máy Secondary nhận ra và cập nhật  Refresh: thời hạn cập nhật của máy Secondary  Retry: thời hạn kết nối lại khi không kết nối được máy Primary  Expire: thời hạn tối đa mà dữ liệu trong Secondary còn hiệu lực nếu

không kết nối được Primary

 TTL: thời gian mà máy khác được quyền cache lại thông tin này

69

Resource Record

 NS (Name Server)

 Chỉ ra name server cho Zone mình quản lý  Cú pháp: [tên-miền] IN NS [tên-server-dns]  Ví dụ: Nội dung record NS như sau: nts.com. IN NS dnsserver.nts.com.

70

Resource Record

 A (Address) và CNAME (Canonical Name)  Record A:

 Ánh xạ tên máy (hostname) vào địa chỉ IP  Cú pháp: [tên máy] IN A [IP]

 Record CNAME:

 Tạo tên bí danh alias trỏ vào một tên canonical.  Tên canonical là tên host trong record A hoặc lại trỏ vào 1

tên canonical khác.

71

Resource Record  A (Address) và CNAME (Canonical Name)  Ví dụ:

 Host addresses

localhost.nts.com. IN A 127.0.0.1 dnsserver.nts.com. IN A 192.168.1.1 server.nts.com. IN A 192.168.1.2 www.nts.com. IN A 192.168.1.3

 Multi-homed hosts

web.nts.com. IN A 203.168.10.1 web.nts.com. IN A 203.168.10.2

 Aliases

nts.com. IN CNAME www.nts.com. w.nts.com. IN CNAME www.nts.com. ww.nts.com. IN CNAME www.nts.com.

72

Resource Record  MX (Mail Exchange)  Lịch sử: chia 2 record

 Record MD (Mail Destination): chỉ ra đích cuối cùng của một thông điệp

mail có domain cụ thể

 Record MF (Mail Forwarder): chỉ ra máy chủ trung gian sẽ chuyển tiếp

mail đến được máy chủ đích cuối cùng.  Hoạt động không tốt  tích hợp  MX  Record Mail eXchanger: thực việc chuyển mail trên mạng Internet.  Khi nhận thông điệp mail  trình phân phối thư Mailer sẽ dùng record MX

 quyết định đường đi của thông điệp.

 Record MX chỉ ra một Mail eXchanger cho một domain name  Mail eXchanger: máy chủ mail xử lý

 Chuyển trực tiếp: đến mailbox cục bộ hay làm gateway chuyền sang một

giao thức chuyển mail khác như UUCP

 Chuyển tiếp thông điệp đến một Mail eXchanger khác gần máy chủ đích

đến bằng SMTP

73

Resource Record  MX (Mail Exchange)  Cú pháp record MX: [tên_domain] IN MX [độ_ưu_tiên] [tên_Mail_Server]  độ_ưu_tiên:

 Nguyên dương 2 byte  Có giá trị so sánh

t3h.com. IN MX 10 mailserver.t3h.com.

 Ví dụ: Chỉ ra máy chủ mailserver.t3h.com là một mail exchanger cho miền

t3h.com với độ ưu tiên 10

74

Resource Record  PTR (pointer)

[địa_chỉ_IP] IN PTR [tên_máy_tính]

 Record Pointer: Ánh xạ địa chỉ IP vào tên  Cú pháp:  Ví dụ: Các record PTR cho các host trong mạng 192.249.249:

1.14.29.172.in-addr.arpa. IN PTR server.t3h.com

75

Cài đặt dịch vụ DNS

 Lưu ý: Nếu đã cài AD DS, thành phần DNS Server sẽ

được tự động cài đặt

76

Các bước cài đặt DHCP server Server Manager/ Add Roles and Features

77

ChọnAdd roles and features

Before You Begin  Kiểm tra lại các điều kiện: mật khẩu tốt, IP tĩnh, cập nhật các

gói security.

78

Chú ý

Click

Select installation type  Chọn kiểu cài đặt

Chọn Role-based or feature-bassed installation

79

Click

Select destination server

Chọn server để cài đặt

Chọn kết nối sẽ dùng để lắng nghe yêu cầu gửi từ máy trạm

Click

80

Select server roles

Click

Click

81

Features Lựa chọn thêm features để cài đặt

82

Click

DNS Server Chú ý về địa chỉ IP tĩnh, cài đặt ADDS

Giới thiệu về dịch vụ DNS

Chú ý

83

Click

Confirmation Xác nhận lại thông tin đã lựa chọn từ bước trước

84

Click

Results Kết quả cài đặt

85

Click

Cấu hình DNS server  Chọn Server manager/ Tools/ DNS  Phân giải thuận: tên miền thành địa chỉ IP

86

Click

Phân giải thuận: tên miền thành địa chỉ IP

Cấu hình DNS server

Chọn

Nhập tên Zone

Click

87

Click

Cấu hình DNS server

Chọn

Chọn

Click

88

Click

Cấu hình DNS server  Kết thúc quá trình cấu hình server phân giải thuận

89

Click

Cấu hình chức năng reverse - Chuyển IP thành tên máy

Cấu hình DNS server

Click

90

Cấu hình DNS server

Cấu hình chức năng reverse - Chuyển IP thành tên máy

Chọn

Click

91

Click

Cấu hình chức năng reverse - Chuyển IP thành tên máy

Cấu hình DNS server

Chọn

Nhập Network ID

Click

Click

92

Cấu hình chức năng reverse - Chuyển IP thành tên máy

Cấu hình DNS server

Chọn

Click

Click

93

Cấu hình DNS Server

 Nên xây dựng đồng thời hai hệ thống: Primary DNS

Server, Secondary DNS Server

 => Hạn chế khả năng dịch vụ DNS bị ngưng khi có sự cố

xảy trên hệ thống

94

Cấu hình DNS Server chính

 Cách làm tương tự với cầu hình DNS server

95

Cấu hình DNS Server dự phòng  Chuẩn bị:

 Một máy tính khác máy cài primary DNS Server  Cài Windows Server 2012 và dịch vụ DNS  Gia nhập vào miền

 Cấu hình:

 Start/ Administrative Tools/ DNS

96

Cấu hình DNS Server dự phòng  Cấu hình phân giải thuận

97

Click

Cấu hình DNS Server dự phòng

Chọn Nhập tên miên

Click

98

Click

Click

Cấu hình DNS Server dự phòng

Nhập địa chỉ IP của DNS server chính

99

Click Click

Cấu hình DNS Server dự phòng

 Thực hiện tương tự cho cấu hình Reverse Lookup Zones

100

Đồng bộ dữ liệu giữa DNS chính và DNS dự phòng

101

Trên DNS chính

Chọn

Click

102

Trên DNS chính

Chọn Add bổ sung địa chỉ IP của các DNS dự phòng

103

Click

Trên DNS dự phòng

104

Kết quả

Bổ sung các bản ghi DNS vào DNS Server

 Tạo cơ sở dữ liệu DNS bằng cách bổ sung các bản ghi

DNS:  Host (A): là bản ghi gồm tên máy và địa chỉ IP tương ứng. Ví dụ: 192.168.152.128  webserver.cntt.edu.vn  Alias (CNAME): là bản ghi bí danh cho phép nhiều tên cùng

ánh xạ đến một địa chỉ IP. Ví dụ webserver.cntt.edu.vn www.cntt.edu.vn  192.168.152.128

 Mail Exchanger (MX): là bản ghi cho các Mail Server tương

ứng với domain. Ví dụ mail.cntt.edu.vn  mailserver.cntt.edu.vn  192.168.152.135

105

Host (A)

Nhập tên

Nhập đ.c IP

106

Click

Alias (CNAME)

Nhập bí danh

Nhập tên miên

107

Click

Mail Exchanger

Nhập host

Nhập tên miền

108

Click

Pointer

Nhập IP

Nhập tên host

109

Click

Dịch vụ chứng thực – AD CS

 Là dịch vụ cấp phát và quản lý chứng thực trên những hệ thống

sử dụng công nghệ khóa công khai.

 Sử dụng AD CS tạo ra các máy chủ chứng thực CA.  Các máy chủ CA: nhận yêu cầu về chứng thực, xử lý và gửi lại

chứng thực cho đối tượng yêu cầu.

 Thường được sử dụng trong mạng nội bộ: sử dụng chứng thực (certificate) để chứng thực cho các server, user, … hay mã hóa những tài liệu quan trọng của mỗi user, mail,…

110

PKI  Mã hóa công khai=>cần chứng chỉ số từ nhà cung cấp

chứng chỉ (certification authority – CA)

 Một cơ sở hạ tầng khóa công khai PKI

 1 nhà cung cấp chứng chỉ số CA chuyên cung cấp, xác minh

chứng chỉ số

 1 nhà quản lý đăng kí (Registration A) (người thẩm tra cho CA trước khi cấp chứng chỉ số được cấp cho ng yêu cầu)  1 hoặc nhiều danh mục nơi các chứng chỉ số được lưu giữ=> phục vụ cho nhu cầu tra cứu, lấy khóa công khai của đối tác cần thực hiện giao dịch

 1 hệ thống quản lý chứng thực

111

Các dịch vụ chứng chỉ CA Windows Server cung cấp

 Chữ kí điện tử  Chứng thực internet  Bảo mật IP – IP Sec  Secure E-mail  Smart card logon  Software code signing  Wireless network authentication

113

Các loại CA trên WS 2012  Enterprise - Enterprise CAs

 Được tích hợp trong dịch vụ AD  Sử dụng mẫu chứng chỉ, xuất bản (publish) chứng chỉ đến AD  Sử dụng thông tin trong AD để chấp nhận hoặc từ chối yêu

cầu cấp phát chứng chỉ động  Stand-alone – Standalone CAs

 Không dùng mẫu chứng chỉ hay AD  Lưu trữ thông tin cục bộ  Không tự động đáp lại yêu cầu cấp phát chứng chỉ số  Yêu cầu chờ trong hàng đợi cho người quản trị chấp nhận

hoặc từ chối bằng tay.

116

 Cần phải chỉ rõ CA root hay CA subordinate

Cài đặt AD CS

117

Click

Click

Select features Lựa chọn những features để cài đặt

118

Click

AD CS

Giới thiệu về dịch vụ DNS

Chú ý

119

Click

Select role services

120

Click

Click

Web Server Role (IIS)

Giới thiệu về dịch vụ IIS

121

Chú ý

Click

Cài đặt AD CS

122

Click Click

Cấu hình AD CS

Chọn tài khoản ủy quyền

Chọn các dv cấu hình

123

Click

Click

Cấu hình AD CS

Chọn

Chọn

Click

124

Click

Cấu hình AD CS

Chọn

Chọn kiểu khóa công khai và độ dài khóa

Click

125

Click

Cấu hình AD CS

Chọn thời gian cấp phép chứng chỉ

126

Click Click

Cấu hình AD CS

Chọn đường dẫn Lưu trữ chứng chỉ

Click

127

Click

Cấu hình AD CS

128

Các thông tin đã chọn để cấu hình

Click Click

Cấp phát và quản lý các chứng thực số

 Cấp phát tự động – Auto Enrollment

 Cho phép Client yêu cầu tự động và nhận chứng chỉ số từ

CA mà không cần sự can thiệp của người quản trị

 Điều khiển tiến trình Auto Enrollment: phối hợp giữa GPO

và mẫu chứng chỉ số

129

Cấp phát và quản lý các chứng thực số

 Cấp phát tự động – Cách thực hiện

 Chọn GPO -> Edit (Computer Configuration , User Configuration)  Windows Settings  Sercurity Settings  Public Key Policies  Certificate Services Client-Auto Enrollment  Enable: Tự động thay đổi hoặc cập nhật  Disable: Cấm hoàn toàn Auto-Enrollment

130

Cấp phát và quản lý các chứng thực số

 Cấp phát tự động – Cách thực hiện

131

Cấp phát và quản lý các chứng thực số

 Cấp phát không tự động - Manual Enrollment

 Để giám sát và xử lý các yêu cầu, dùng CA console

132

Cấp phát và quản lý các chứng thực số

 Các cách yêu cầu cấp phát CA  Sử dụng Certificates Snap-in  Yêu cầu cấp phát thông qua Web (Web Enrollment)  Viết báo cáo nộp  Thu hồi chứng chỉ số

 Sử dụng Revoked Certificates trong Certification Authority

console

133

Mạng riêng ảo (Virtual Private Network - VPN)  SV tự tìm hiểu

134