Quản trị mạng với server 2003

thì nó phải được mã hóa và sau đó Client gởi thông tin này dưới một giá trị của băm (hash value). Digest authentication chỉ sử dụng trên Windows domain controller. ¾ Advanced Digest authentication: Phương thức này giống như Digest authentication nhưng tính năng bảo mật cao hơn. Advanced Digest dùng MD5 hash thông tin nhận diện cho mỗi Client và lưu trữ trong Windows Server 2003 domain controller. ¾ Integrated Windows authentication: Phương thức này sử dụng kỹ thuật băm để xác nhận thông tin của users mà không cần phải yêu cầu gởi mật Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 114 - khẩu qua mạng. ¾ Certificates: Sử dụng thẻ chứng thực điện tử để thiết lập kết nối Secure Sockets Layer (SSL). ¾ .NET Passport Authentication: là một dịch vụ chứng thực người dùng cho phép người dùng tạo sign-in name và password để người dùng có thể truy xuất vào các dịch vụ và ứng dụng Web trên nền .NET. IIS sử dụng Account (network service) có quyền ưu tiên thấp để tăng tính năng bảo mật cho hệ thống. Nhận dạng các phần mở rộng của file qua đó IIS chỉ chấp nhận một số định dạng mở rộng của một số tập tin, người quản trị phải chỉ định cho IIS các định dạng mới khi cần thiết. 1.3 Hỗ trợ ứng dụng và các công cụ quản trị. IIS 6.0 có hỗ trợ nhiều ứng dụng mới như Application Pool, ASP.NET. ¾ Application Pool: là một nhóm các ứng dụng cùng chia sẻ một worker process (W3wp.exe). ¾ Worker process (W3wp.exe) cho mỗi pool được phân cách với worker process trong pool khác. ¾ Một ứng dụng nào đó trong một pool bị lỗi (fail) thì nó không ảnh hưởng tới ứng dụng đang chạy trong pool khác. ¾ Thông qua Application Pool giúp ta có thể hiệu chỉnh cơ chế tái sử dụng vùng nhớ ảo, tái sử dụng worker process, hiệu chỉnh performance (về request queue, CPU), health, Identity cho application pool. ¾ ASP.NET: là một Web Application platform cung cấp các dịch vụ cần thiết để xây dựng và phân phối ứng dụng Web và dịch vụ XML Web. IIS 6.0 cung cấp một số công cụ cần thiết để hỗ trợ và quản lý Web như: ¾ IIS Manager: Hỗ trợ quản lý và cấu hình IIS 6.0 ¾ Remote Administration (HTML) Tool: Cho phép người quản trị sử dụng Web Browser để quản trị Web từ xa. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 115 - ¾ Command–line administration scipts: Cung cấp các Scipts hỗ trợ cho công tác quản trị Web, các tập tin này lưu trữ trong thư mục %systemroot%\System32. 2. Cài đặt và cấu hình IIS 6.0. 2.1 Cài đặt IIS 6.0 IIS 6.0 không được cài đặt mặc định trong Windows 2003 server, để cài đặt IIS 6.0 ta thực hiện các bước như sau: Chọn Start | Programs | Administrative Tools | Manage Your Server. Chọn Application server (IIS, ASP.NET) trong hộp thoại server role, sau đó chọn Next. Chọn hai mục cài đặt FrontPage Server Extentions và Enable ASP.NET, sau đó chọn Next. Chọn next trong hộp thoại tiếp theo Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 116 - Sau đó hệ thống yêu cầu cho đĩa Windows 2003 vào và chọn đến thư mục I386 trong đĩa và click OK. Chọn Finish để hoàn tất quá trình. Tuy nhiên ta cũng có thể cài đặt IIS 6.0 trong Add or Remove Programs trong Control Panel bằng cách thực hiện một số bước điển hình sau: Mở cửa sổ Control Panel | Add or Remove Programs | Add/Remove Windows Components. Chọn Application Server, sau đó chọn nút Details. Tiếp theo tích lựa chọn hai mục Application Server Console và ASP.NET, tiếp chọn đến Internet Information Services sau đó chọn nút Details. Ở cửa sổ tiếp theo chọn tích vào các mục Common files, File Transfer Protocol(FTP) Services, Internet Information Services Manager. Sau đó chọn mục World Wide Web service và đó chọn nút Details… Sau đó ta chọn tất cả các Subcomponents trong Web Service. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 117 - Sau đó click Ok 3 lần và click Next cho hệ thống cài đặt IIS. Cho đĩa Windows 2003 và tìm đến thư mục I386 khi hệ thống yêu cầu. Click Finish để hoàn tất quá trình cài đặt IIS. 2.2 Cấu hình IIS 6.0 Sau khi ta cài đặt hoàn tất, ta chọn Administrative Tools | Information Service (IIS) Manager, sau đó chọn tên Server (local computer). Trong hộp thoại IIS Manager có xuất hiện 3 thư mục: - Application Pools: Chứa các ứng dụng sử dụng worker process xử lý các yêu cầu của HTTP request. - Web Sites: Chứa danh sách các Web Site đã được tạo trên IIS. - Web Service Extensions: Chứa danh sách các Web Services để cho phép hay không cho phép. - FTP sites: Giao thức truyền file Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 118 - Trong thư mục Web Sites ta có ba Web Site thành viên bao gồm: - Default Web Site: Web Site mặc định được hệ thống tạo sẳn. - Microsoft SharePoint Administration: Đây là Web Site được tạo cho FrontPage Server Extensions 2002 Server Administration - Administration: Web Site hỗ trợ một số thao tác quản trị hệ thống qua web. 3.0 Web Server Khi ta cấu hình Web Site thì ta không nên sử dụng Default Web Site để tổ chức mà chỉ dựa Web Site này để tham khảo một số thuộc tính cần thiết do hệ thống cung cấp để cấu hình Web Site mới của mình 3.1 Một số thuộc tính cơ bản. Trước khi cấu hình Web Site mới trên Web Server ta cần tham khảo một số thông tin cấu hình do hệ thống gán sẳn cho Default Web Site. Để tham khảo thông tin cấu hình này ta nhấp chuột phải vào Default Web Site chọn Properties. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 119 - ¾ Tab Web Site: mô tả một số thông tin chung về dịch vụ Web như: - TCP port: chỉ định cổng hoạt động cho dịch vụ Web, mặc định giá trị này là 80. - SSL Port: Chỉ định port cho https, mặc định https hoạt động trên port 443. https cung cấp một số tính năng bảo mật cho ứng dụng Web cao hơn http. - Connection timeout : Chỉ định thời gian duy trì một http session. - Cho phép sử dụng HTTP Keep-Alives.(Enable HTTP Keep-Alives) - Cho phép ghi nhận nhật ký (Enable logging) ¾ Performance Tab: cho phép đặt giới hạn băng thông, giới hạn connection cho Web site. ¾ Home Directory Tab: Cho phép ta thay đổi Home Directory cho Web Site, giới hạn quyền truy xuất, đặt một số quyền hạn thực thi script cho ứng dụng Web (như ta đặt các thông số: Application name, Execute permission, Application pool). Đường dẫn mặc định của web server là C:\intpub\ wwwroot Qu¶n TrÞ M¹ng Víi Windows Server 2003 ¾ Documents Tab: Để thêm hoặc thay đổi trang Web mặc định cho Web Site ¾ Directory Security Tab: Đặt một số phương thức bảo mật cho IIS như: chứng thực và truy cập từ xa, chặn hay không chặn những địa chỉ IP, máy hoặc domain truy cập vào website và mã hoá việc chứng thực trên server và client. 3.2 Tạo mới Website Các Web server phân biệt nhau dựa vào ba thành phần chính là: IP, tiên miền( hot header) và Port. Để tạo ra nhiều Web server chạy trên cùng một máy thì mỗi web server phải khác nhau một trong 3 thành phần trên. Dựa vào IP có thể tạo ra được nhiều web server khác nhau vì một máy có thể có nhiều IP do có nhiều Interface (card mạng), cách này không thể có quá nhiều website được vì một máy tính chỉ có thể có đến 4 hoặc 5 Interface. Do đó ta không thể tạo hơn được chừng đó web server. Port (cổng) thì mặc định là port 80 cho giao thức web http, mà đa số web browse truy cập web bằng giao thức này. Vì vậy không thể thay đổi cổng này cho web server. Do đó để tạo nhiều website trên một máy tính thì chỉ còn cách là dựa vào tên miền (hot header) để phân biệt. Để tạo ra nhiều miền trên cùng một máy phục vụ cho việc tạo web server thì chúng ta phải dùng đến DNS để tạo. Ở DNS chúng ta có thể tạo tuỳ ý tên miền và mỗi tên miền gắn với một website, và vì thế chúng ta có nhiều web server cùng chạy trên một máy. Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 120 - Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 121 - Ví dụ Tạo một trang web có tên là www.hoangthuy.com ta làm như sau: Trước hết tạo tên miền là hoangthuy.com. Vào DNS chuột phải vào Forword lookup zone chọn New zone, next hai lần sau đó đánh tên domain vào mục zone name, ấn next và ấn finish. Sau khi tạo xong tên miền đưa con trỏ tới tên miền vừa tạo, tại cửa sổ bên phải chuột phải chọn New Host(A), sau đó đánh tên máy chủ và địa chỉ IP dành cho web server (nếu máy có hơn một card mạng) của máy chủ rồi ấn Add host Tiếp theo cũng tại của sổ này tạo một Alias(CNAME) mới, cái này dùng để phần biệt các tên miền với nhau trong khi tạo web server. Chuột phải vào vùng trắng chọn New Alias, tại mục name đánh www, mục tên miền đầy đủ (FQDN) đánh địa chỉ đầy đủ của máy chủ và domain nghĩa là : CMS-Server.CMS-Computer.com, sau đó ấn OK. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 122 - Như vậy ta đã tạo xong tên miền hoangthuy.com, để biết tên miền hoạt động hay không ta ping tên miền đó, nếu tên miền reply nghĩa là tên miền đã hoạt động đúng còn ngược lại là tên miền chưa hoạt động đúng và chúng ta phải tạo lại. Tiếp theo chúng ta kết hợp tên miền vừa được tạo ra từ DNS với IIS để được web server. Mở của sổ Internet Information Service Manager, chuột phải vào web site chọn new web site. Next, tại mục Description đánh vào mô tả web site. Next đến mục thiết đặt địa chỉ IP, Port và host header cho website. Mục IP để tất cả các card mạng đều được truy cập đến website, mục port để mặc định là 80, mục host header đánh tên miền đã tạo trong DNS vào đây, ấn Next Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 123 - Tiếp đến mục Home Directory ấn nút Browse chọn đến thư mục chứa Web site trên server rồi ấn Next. Tiếp theo đến mục Access Permission, để website được bảo mật và an toàn khi hoạt động thì chúng ta chỉ lựa chọn quyền read. Không nên cho quyền Run scrips và các quyền khác vì như thế web site rất dễ bị tấn công bằng nhiều cách. Next và finish để kết thúc việc tạo website. Chúng ta đã tạo xong website, để cho website chạy đầu tiên trong mạng chúng ta chuột phải vào tên website đã tạo chọn properties. Trong tab Ducuments chọn Remove hết những trang web default và add vào đó tên trang chủ index của trang web chúng ta sau đó ấn OK hai lần. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 124 - Như vậy chúng ta đã tạo xong website www.hoangthuy.com. Để biết xem trang web hoạt động chưa ở cửa sổ IIS manager chuột phải vào tên website vừa tạo chọn Browse, ở cửa sổ bên phải sẽ mở ra giao diện trang web chúng ta đã đưa vào. Như vậy Web server đã hoạt động, mọi người dùng trong mạng chỉ cần mở trình duyệt lên và gõ vào ô địa chỉ website muốn truy cập www.hoangthuy.com là sẽ Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 125 - vào được website. Đó là cách tạo một web server, để tạo các trang web tiếp theo chúng ta làm tương tự từ việc tạo tên miền ở DNS và kết hợp với IIS để tạo ra các trang web khác nhau cùng hoạt động trên một máy. 4.0 FTP Server– File Transfer Protocol Server 4.1 Giới thiệu về FTP File Transfer Protocol là một phương pháp truyền file từ hệ thống mạng máy tính này đến hệ thống mạng máy tính khác giống như ta ngồi trên mạng LAN. 4.2 Các thuộc tính của FTP sites Mở cửa sổ IIS Manager lên ta thấy FTP sites, mặc định khi cài FTP thì có một Defaull FTP site hoạt động. Chuột phải vào Defaull FTP sites chọn properties ta có các tab thuộc tính của FTP như sau: ¾ Tab FTP sites: o Description: mô tả về FTP sites o IP Address: Địa chỉ IP Interface dùng cho FTP sites o Port: Cổng dành cho FTP, mặc định cổng này là cổng 21. o FTp sites connection: Không giới hạn hoặc giới hạn số lượng user truy cập vào FTP site cùng một lúc. o Enable logging: chứa các logfile của FTP sites. ¾ Tab Sercurity account: cho phép mọi người dùng hoặc chỉ những account nào được phép truy cập vào tài nguyên thông qua FTP sites ¾ Tab Messenger: Các thông báo từ FTP site khi người dùng logon, log-off khỏi ứng dụng FTP. ¾ Tab Home Directory: là nơi chọn đường dẫn tới thư mục chứa tài nguyên của FTP site, và các mục thiết đặt quyền cho các user được wite hay chỉ read. ¾ Tab Directory Sercurity: Cho phép thiết lập các từ chối hay không từ chối các máy tính hoặc nhóm máy tính được phép truy cập vào FTP. 4.3 Tạo mới FTP site Khác với Web sites, FTP sites chỉ cho phép trên một máy cùng một lúc chỉ đựoc một FTP sites được hoạt động. Do đó muốn tạo một FTP site mới chúng ta phải Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 126 - Stop Defaull FTP sites. Chuột phải vào Defaull FTP site chọn Stop. Tạo một FTP mới, chuột phải vào FTP site chọn New FTP site. Next, mục Description đánh vào mô tả về FTP site. Next đến mục lựa chọn địa chỉ IP và port cho FTP site, mục này để mặc định. Next đến mục FTP User Isolate, ở đây có 3 lựa chọn 9 Do not isolate user: Cho phép tài khoản vô danh, mọi user đều được truy cập vào thư mục của FTP site, nghĩa là user dùng tài khoản Anonymous để đăng nhập 9 Isolate Users: Cho phép sử dụng tài khoản cục bộ truy cập vào FTP 9 Isolate Users Using Active Directory: Cho phép sử dụng tài khoản trên domain truy cập vào thư mục của FTP site. Next đến mục FTP site Home Directory, ấn nút browse và chọn đến thư mục cần truyền file của FTP. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 127 - Next đến mục FTP site Access permission, mục này cho phép read và write, nếu chỉ cho người dùng FTP lấy file xuống thì chúng ta chọn quyền read, còn nếu muốn cho người dùng Up file lên thư mục của FTP thì ta chọn thêm quyền wite. Next và ấn finish để kết thúc việc tạo một FTP site. Để xem FTP site hoạt động chưa ta chuột phải vào tên FTP site chọn Browse, cửa sổ bên phải sẽ mở ra thư mục gốc mà chúng ta đã chọn cho FTP site. Có hai cách lấy file từ FTP site đó là dùng trình ứng dụng Explorer trong Windows hoặc dùng lệnh trong DOS. ¾ Nếu dùng trình Explorer trong Windows thì người dùng chỉ cần mở Windows Explorer lên, đánh vào ô địa chỉ theo cú pháp sau: ftp://, Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 128 - chương trình sẽ đưa đến thư mục gốc của FTP. Người có thể lấy về hoặc up lên những dữ liệu người dùng cần theo quyền mà user người dùng được cấp ¾ Nếu dùng lệnh trong DOS thì tại cửa sổ DOS chúng ta đánh lệnh như sau: o ftp Enter o Open Enter o User name: đánh vào username được cấp o Password: đánh vào password o Dir: dùng để xem file như trong dos o Lệnh lấy về: get tên file o Up file: Cho con trỏ về nơi chứa file cần up, sau đó đánh: put tên file IX – MAIL SERVER 1. Giới thiệu Mail Server là một chương trình phần mềm dùng để quản lý các Mail client. Có hai dạng Mail Server đó là Mail Online và Mail Offline. ¾ Mail Online: do nhà cung cấp tự quản lý và người sử dụng chỉ cần cấu hình Mail client. ¾ Mail Offline: người quản trị phải quản lý và tạo ra các account cho người dùng, loại mail này sử dụng phổ biến có hai loại là Mdeamon và Exchange Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 129 - Windows Server 2003 mặc định được tích hợp sẵn một ứng dụng quản lý Mail Server đó là dịch vụ POP3. Loại dịch vụ này sử dụng giao thức POP3 và SMTP để gửi và nhận Mail. POP3 có cổng mặc định là 110 và SMTP có cổng mặc định là 25. Người dùng mail client sẽ quản lý và sử dụng Mail client bằng chương trình Outlook Express, cái này cũng được tích hợp sẵn trong các phiên bản Windows của Microsoft. Nhưng hiện nay do nhu cầu công việc và các ứng dụng khác trong việc truyền và nhận mail nên việc dùng các dịch vụ tích hợp sẵn trong Windows của Microsoft không còn được dùng nhiều nữa. Các doanh nghiệp có xu hướng dùng các chương trình quản lý Mail của hãng phần mềm thứ 3 hoặc một phần mềm khác cũng của Microsoft nhưng không phải là tích hợp sẵn trong các phiên bản Windows. Hai chương trình quản lý Mail được dùng phổ biến hiện nay nhất là Mdeamon và Exchange. Các doanh nghiệp vừa và nhỏ, có quy mô mạng nhỏ và số lượng account không quá lớn thì thường dùng chương trình Mdeamon để quản lý Mail. Còn các doanh nghiệp lớn, qua mô mạng rộng khắp và có số lượng account khổng lồ thì dùng chương trình Exchange để quản lý Mail. Mdeamon là một phần mềm quản lý Mail của hãng Mdeamon (trang chủ www.mdeamon.com). Còn Exchange là một phần mềm của Microsoft dùng cho việc quản lý mail ở các công ty lớn, các tập đoàn. Với đề tài quản trị các mạng doanh nghiệp nhỏ nên em sẽ sử dụng Mdeamon làm chương trình quản lý mail. Mdeamon đã ra nhiều phiên bản từ khi ra đời tới nay, từ 1.x đến 9.x, ở đây em sẽ dùng chương trình Mdeamon phiên bản 9.6.1, phiên bản gần như mới nhất hiện nay. 2.0 Cài đặt Mail Mdeamon Để cài đặt chương trình Mdeamon, cũng giống như cài đặt bất kì một chương trình nào khác, tìm đến thư mục và click đúp và file chương trình để cài đặt. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Chương trình sẽ load lên để cài đặt, một cửa sổ nữa hiện ra ấn Next để tiếp tục, tiếp theo là mục đăng kí Lisence Agreement, click mục I Agree. Tiếp theo, chọn thư mục gốc chứa chương trình để cài đặt, Next. Tiếp theo đến thư mục thông tin đăng kí. Chúng ta điền đầy đủ thông tin đăng kí vào các ô Lisence name, Company name và Registration key rồi ấn Next, tiếp theo ấn Next để chương trình bắt đầu cài đặt. Tiếp theo đến mục thiết đặt yêu cầu đặt tên miền cho Mail, chúng ta nên dùng luôn tên miền AD làm tên miền mail cho dễ quản lý mail sau này. Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 130 - Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 131 - Tiếp theo đến mục thiết đặt account đầu tiên cho miền Mail. Next Chúng ta đánh tên đầy đủ vào Full name, hộp mailbox là địa chỉ mail của account, và dưới là password của địa chỉ mail đó. Next Tiếp theo đến mục thiết đặt địa chỉ IP DNS và địa chỉ IP Backup của DNS. Chúng ta đánh vào ô thứ nhất địa chỉ DNS chính và ô thứ hai là địa chỉ DNS backup nếu máy chúng ta có địa chỉ backup cho DNS. Next Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 132 - Tiếp theo là chọn chế độ chạy Mdeamon. Có hai chế độ chạy Mdeamon là chạy ở chế độ đơn giản “Easy” và chế độ nâng cao “Advanced”. Chúng ta chọn chạy ở chế độ Advanced. Next. Ấn Next và ấn Finish để kết thúc quá trình cài đặt. Khi ấn Finish click mục chọn Start Mdeamon và chương trình Mdeamon được mở lên có giao diện chính như sau. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 133 - 3.0 Cấu hình Mail Mdeamon Do thời gian và quy mô đồ án có hạn nên em chỉ giới thiệu về một số tính năng cơ bản của Mdeamon để chúng ta có thể cấu hình được Mail Server và sử dụng Mail client trong việc truyền và nhận Mail. Trước hết nói về các tính năng thông qua các Menu. Mdeamon có rất nhiều menu điều khiển nhưng chúng ta chỉ quan tâm tới một số menu chính sau: 3.1 Menu Setup: Menu này chứa các menu pop-up dùng để thiết đặt các chức năng của Mdeamon như: Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 134 - Domain-miền mail: Có hai loại miền mail là miền chính (primary) và miền phụ (secondary), có thể dùng miền của AD làm miền mai hoặc dùng miền mail riêng. World Client: Thiết đặt các thuộc tính về Mail client như cổng kết nối tới Mail server của Mail client, mặc định Mdeamon đặt cổng này là cổng 3000 chúng ta có thể đổi cổng này tuỳ ý miễn là không trùng với cổng hệ thống và các cổng đã dùng rồi, ví dụ ở đây em cho cổng mail client là cổng 2000. Số user tối đa kết nối tới của một phiên. Cho phép kết nối qua giao thức HTTP hay HTTPs. Thiết đặt kiểu ngày giờ, theme, ngôn ngữ cho Mail client…. RAS dial-up/dialdown: Các thiết đặt cho phép hay không cho phép truy cập và gửi mail từ xa thông qua dial-up. Bandwith throltling: Cho phép thiết đặt băng thông gửi và nhận mail. Miscellaeous Option: Các tuỳ chọn về thiết đặt mail như độ phức tạp mật khẩu chọn dòng require strong password, các giao thức truyền mail, hạn nghạch mail….v.v.. Và còn một số menu pop-up khác. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 135 - 3.2 Menu Security: Chứa các menu pop-up dùng để thiết đặt các thuộc tính về sercurity cho Mail server. Antivirus: cho phép thiết đặt an toàn về chống virut trong mail. Content filter: Cho phép các thiết đặt về lọc mail, cho phép các file được attach kèm theo mail…. Để lọc và chặn mail ta chọn nút edit hoặc New, sẽ hiện ra một bảng danh sách những tuỳ chọn cho phép chúng ta chọn để lọc mail. Qu¶n TrÞ M¹ng Víi Windows Server 2003 DNS Black lists: Cho phép thiết đặt các máy, địa chỉ IP và địa chỉ DNS gửi lại. Spam Filter: Cho phép các thiết đặt chống lại các spam mail (thư rác). SSL & Certificates: Cho phép thiết đặt các giao thức kết nối trong Mdeamon, World Client và Web Admin. Relay, trusts, tarpit…: cho phép thiết đặt độ trễ trong khi gửi mail, các quan hệ tin cậy giữa các máy chủ mail…. Ipshielding, AUTH, POP before SMTP: Cho phép thiết đặt các chứng thực trong việc đăng nhập và Mail server, cho phép hay không cho phép truyền nhận maik bằng giao thức POP trước SMTP…. 3.3 Menu Account: Chứa các menu pop-up dùng cho việc thiết đặt và quản trị account trong Mail server. Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 136 - Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 137 - Account Manager: cho phép quản lý và chỉnh sửa các thông tin về account trong mail như sửa tên, thay đổi mật khẩu, nơi lưu trữ account và hộp thư, cho phép chuyển tiếp mail hay không, thiết đặt hạn nghạch mail: cho phép thiết đặt hạn nghạch mail của account và thiết đặt lịch xoá account, xoá mail trong một khoảng thời gian xác định được nhập vào, chia sẻ mail, lọc mail chỉ nhận những mail được phép và các tuỳ chọn khác. Trong thẻ tab Restrictions có hai mục chọn quan trọng là Inbound mail restrictions và Outbound mail restrictions: Qu¶n TrÞ M¹ng Víi Windows Server 2003 9 Inbound mail restrictions: tích vào lựa chọn “this account can’t receive messenger from the outsite world”: Sẽ cho phép Account không nhận bất kì mail nào trừ những mail được chỉ ra dưới đây. Ví dụ chúng ta muốn account chỉ nhận địa chỉ mail của công ty và địa chỉ hotmail ngoài ra không nhận bất kì một mail nào khác thì chúng ta add vào mục đó là @cms-computer.com và @hotmail.com. 9 Outbound mail restrictions: tương tự trên nhưng đây là mục lựa chọn cho phần gửi mail đi của account. Nếu chúng ta muốn người dùng chỉ gửi mail đi vào địa chỉ mail của công ty và các địa chỉ mail khác như yahoo hay google thì chúng ta add các địa chỉ mail đó vào mục này. Account Database, Active Directory, minger: Cho phép thiết đặt nơi chứa cơ sở dữ liệu của account, cho phép sử dụng account trong AD…. New account default, group: cho phép thiết đặt các thuộc tính của account được tạo mặc định, hạn nghạch mail của account và các nhóm account. New, Edit, Delete account: Cho phép tạo mới, chỉnh sửa mọi thông tin về account và xoá account khỏi danh sách. Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 138 - Qu¶n TrÞ M¹ng Víi Windows Server 2003 Importing: Cho phép Import account từ một file text hay Import account từ SAM hoặc Active Directory. Để tiện cho việc quản lý các User thì chúng ta nên dùng các account trong AD làm account cho mail. Do đó khi tạo mới một account trong mail thì nên Import account trong AD vào miền của account mail. Để Import toàn bộ account trong AD và miền mail thì chúng ta chọn Import account from SAM/Active Directory. Ở cửa sổ bên trái là các account trong AD, chúng ta lựa chọn các account rồi chuyển sang cửa sổ bên cạnh. Sau khi đã lựa chọn các account cần Import thì chúng ta ấn nút Import Selected Accounts để nhập account từ miền vào miền Mail. Sau khi nhập các account xong, quay về cửa sổ Account manager sẽ có toàn bộ account của miền mail. Chúng ta cần thiết lập lại các thông tin của account, nhất là password vì yêu cầu client truy cập mail phải có password. Password này sẽ khác với password của account trong AD. Exporting: Cho phép trích xuất account ra các dạng file lưu trữ khác nhau mà Mdeamon hỗ trợ. 3.4 Sử dụng Mail trên client Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 139 - Qu¶n TrÞ M¹ng Víi Windows Server 2003 Sau khi thiết lập các thuộc tính cho Mail Server xong, trên client truy cập vào mail client như sau: mở trình duyệt lên, đánh vào ô địa chỉ là địa chỉ của miền Mail và thêm :port mail đằng sau, ở đây miền mail chính là miền của Active Directory. Tại ô địa chỉ mail đánh tên account của user trong mail và dòng dưới đánh mật khẩu của account sau đó ấn sign in. Sau khi đăng nhập thành công, chương trình sẽ mở ra cửa sổ mail client Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 140 - Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 141 - Tại đây người dùng mail có thể cấu hình một số thông tin mail client theo ý mình. Giao diện chính của Mail client gồm 3 phần. Bên trái là các mục như: Folder, Inbox, Calendar, Contacts, Tasks, Notes, Option và Sign Out. Ở giữa là ô chứa địa chỉ mail và bên phải chứa nội dung của một mail khi được lựa chọn. Người dùng có thể dùng mail client để gửi và nhận mail như những chương trình mail client khác. X – ROUTING AND REMOTE ACCESS SERVICE 1. Giới thiệu về Routing and Remote Access Service Pack 2 của Windows NT 3.51 bao gồm các thành phần định tuyến đa giao thức như là Routing Information Protocol (RIP) và Service Advertising Protocol (SAP). Windows NT 4.0 đã thay thế dịch vụ này với một dịch vụ đã được tích hợp – RRAS, mà nó thực hiện cả việc Remote Access và định tuyến đa giao thức. RRAS trong Windows server 2003 được xây dựng trên RRAS của Windows NT 4.0. Nó cung cấp các tính năng sau đây: Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 142 - ¾ Internet Group Management Protocol (IGMP) và ranh giới Multicast ¾ Định tuyến Apple Talk được tích hợp ¾ Giao thức L2TP (Layer 2 Tunneling Protocol) trên IPSec (IP Security) cho các kết nối VPN ¾ Cung cấp các thành phần địa chỉ và giải pháp chuyển đổi tên, làm cho dễ dàng để thực hiện các kết nối từ mạng Small Office / Home Office (SOHO) vào Internet. ¾ Sự mở rộng trong IAS (Internet Authentication Service), công cụ quản trị và quản lý. Các chuyên viên thiết kế có thể sử dụng RRAS để mở rộng các giao diện chương trình ứng dụng để tạo ra các tùy biến để giải quyết vấn đề mở rộng liên mạng (Internetworking). Với việc trợ giúp của tính năng RRAS, một máy tính đang chạy Windows 2003 server có thể được hiểu theo bất kì điều nào dưới đây: Multiprotocol router: RRAS cung cấp Windows 2003 Server các khả năng để các giao thức định tuyến IP, IPX, và Apple Talk có thể đồng thời hoạt động trên mạng. Remote Access Server: RRAS làm cho Windows 2003 có khả năng trong việc cung cấp các user để truy cập từ xa. Một kết nối từ xa có thể được thiết lập hoặc là thông qua một kết nối quay số hoặc thông qua một VPN. Nó hỗ trợ các client sử dụng các giao thức IP, IPX. Apple Talk và NetBEUI. Demand-dial Router: RRAS cung cấp cho Windows 2003 khả năng định tuyến trên các liên kết IP, IPX hoặc WAN. Các liên kết WAN có thể là một loại theo yêu cầu (on-demand) hoặc loại liên tục (persitent) Nói chung Windows 2003 sử dụng Point-to-Point Protocol (PPP) cho việc thành lập một kết nối truy cập từ xa cho các client. Nó giữ gìn các tham số liên kết, dàn xếp giao thức tầng mạng và thay đổi các giấy phép xác thực. Các loại truy cập dưới đây được hỗ trợ bởi hạ tầng PPP của Windows 2003: ¾ Dial-up remote access như một client hoặc một server ¾ VPN remote access như một client hoặc một server 2. Remote Access Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 143 - Windows 2003 server cho phép các client từ xa để kết nối tới server truy cập từ xa bằng cách sử dụng một số các thiết bị phần cứng modem, Integrated Services Digital Network (ISDN) adapter và Digital Subscriber Line (DSL) modem. Truy cập từ xa chạy Routing and Remote Access có khả năng hỗ trợ các giao thức khác nhau cho truyền tải dữ liệu và giao thức VPN. Một giao thức truy cập từ xa như PPP được sử dụng cho việc kết nối đến các server truy cập từ xa. Server truy cập từ xa là một máy tính, nó đang chạy Windows 2003 và hỗ trợ RRAS. Nó xác thực các user và các phiên truy cập từ xa cho đến khi user hoàn thành phiên của người quản trị mạng. Vai trò của server truy cập từ xa là một gateway cho việc gửi dữ liệu giữa các clietn và LAN. Client gửi dữ liệu đến và nhận dữ liệu từ server truy cập từ xa. Sử dụng giao thức như TCP/IP dữ liệu được mã hoá và sau đó nó được gói trọn trong giao thức truy cập từ xa. Hai loại kết nối truy cập từ xa được cung cấp bởi Windows 2003 truy cập từ xa: ¾ Dial-up Remote Access: Để kết nối đến một mạng dial-up truy cập từ xa, client truy cập từ xa tạo ra để sử dụng các mạng viễn thông, nó có thể là Public Switch Telephone Network (PSTN). PSTN đã tạo ra một kết nối vật lý đến cổng trên một server truy cập từ xa, mà nó có thể được thực hiện bằng cách sử dụng một modem hoặc sử dụng ISDN adapter cho việc quay số đến server truy cập từ xa. Dial-up truy cập từ xa cho phép các user kết nối đến từ một vị trí từ xa đến mạng. Nhưng vấn đề với kiểu truy cập này là ở chỗ, nếu đa client được định vị tại các vị trí khác nhau thì phí tổn điện thoại sẽ trở lên rất cao. Do đó một phương pháp thay đổi cho điều này sẽ được xem như việc giải quyết một VPN cho kết nối từ xa. ¾ Vitual Private Network (VPN): Một VPN cung cấp truy cập từ xa rất an toàn thông qua Internet và không tạo ra để sử dụng các kết nối dial-up. VPN client sử dụng địa chỉ liên mạng IP cho việc tạo mã hoá, Point-to-Point kết nối ảo cho gateway VPN trên mạng riêng. Người sử dụng thiết lập một kết nối VPN với một cổng gateway VPN bằng cách kết nối đến Internet ISP. Nhân viên công ty đang ở xa có thể quay số đến ISP địa phương và thiết lập một kết nối VPN đến mạng của công ty. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 144 - 3.0 Dial-up Remote Connection Các kết nối quay số từ xa (Dial-up Remote Connection) có một client truy cập từ xa, server truy cập từ xa và một hạ tầng mạng WAN. Giao thức truy cập từ xa điều khiển việc truyền dữ liệu trên WAN và các giao thức LAN điều khiển việc truyền dữ liệu trên các mạng cục bộ. Sau đây là các lựa chọn khi sử dụng Dial-up remote connection: ¾ Remote Access Client: Client truy cập từ xa có thể là một máy tính bất kì nào chạy hệ điều hành Microsoft. Bất kỳ một máy tính sử dụng hệ điều hành của Microsoft hay Unix hay Apple Mac có sử dụng giao thức PPP điều có thể kết nối đến Windows 2003 Remote Access Server. Client cũng có thể quay số đến một giao thức SLIP(Serial Line Interface Protocol), đây là giao thức quay số kết thừa không có bất kì một sự an toàn, độ tin cậy hoặc hiệu xuất so với giao thức PPP. Windows Server 2003 không hỗ trợ kết nối quay số SLIP. ¾ Remote Access Service Server: Server này chấp nhận các kết nối quay số và trả lại các gói giữa các Remote Access Client và Remote Access Server. ¾ Hạ tầng WAN và thiết bị Dial-up: Các thiết bị dial-up tại các máy tính client có thể có nhiều loại khác nhau cho các kết nối logic hoặc vật lý đến các server truy cập từ xa. Các loại khác nhau của các thiết bị Dial-up có thể được sử dụng cho việc kết nối đến server: 9 Public Switched Telephone network(PSTN): Loại mạng này hữu ích trong việc truyền âm thanh những nó sử dụng nhỏ trong việc truyền dữ liệu. Các thiết bị dial-up bao gồm các modem tương tự cho cả client và server từ xa. Trong trường hợp tổ chức lớn thì có bank modem, chứa đựng hàng trăm modem để thực hiện tối đa 33.600 bit/s 9 Digital Links and V. 90: Bằng cách sử dụng modem V.90 chúng ta có thể gửi dữ liệu 33.6 Kbps và có thể nhận dữ liệu với 56 Kbps. Tốc độ V.90 chỉ có thể được thực hiện khi client truy cập là sử dụng một modem V.90, RAS server sử dụng một chuyển mạch số V.90 và một liên kết số cho việc kết nối đến một PSTN và chuyển đổi analog-to-digital không được thực hiện giữa RAS server và client truy cập từ xa. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 145 - 9 Intergated Services Digital Network: Một tập các đặc điểm kĩ thuật quốc tế được hiểu là ISDN, nó được tạo ra để thay thế PSTN. ISDN có thể sử dụng fax, voice, data và các dịch vụ khác trong một mạng kĩ thuật số đơn. Thời gian kết nối và tỉ lệ truyền tải dữ liệu cao khi được so sánh với PSTN. Một kênh PSTN có thể được thực hiện 64 Kbps và cũng không có việc chuyển đổi analog-to- digital xảy ra. Đa kênh được đưa ra bởi ISDN. 9 ADSL: Dựa trên các khách hàng và các giao dịch nhỏ một kĩ thuật lặp địa phương mới được gọi là Asymmetric Digital Subscriber Line (ADSL) được sử dụng. Tốc độ bit cao hơn PSTN và ISDN có thể nhưng tốc độ bit khác trong quá trình thu thập và xuất dữ liệu. Chúng ta có thể thực hiện tốc độ là 64 Kbps từ khách hàng và 1.544 Mbps đến khách hàng. 9 X.25: Một chuẩn quốc tế cho việc truyền tải dữ liệu trên mạng chuyển mạch gói công côngk được gọi là X.25. Windows 2003 hỗ trợ X.25 bằng cách tạo ra để sử dụng card smart X.25, nó kết nối trực tiếp đến mạng dữ liệu X.25 bằng cách sử dụng giao thức X.25 cho việc thiết lập các kết nối và truyền tải dữ liệu. Windows 2003 cũng có thể hỗ trợ X.25 bằng kết nối trực tiếp đến mạng X.25 bằng cách sử dụng card smart X.25. ¾ Remote Access Protocols: Các giao thức điều khiển truy cập từ xa như thế nào đó để các kết nối được thiết lập và bằng cách nào đó truyền tải dữ liệu trên các liên kết WAN. Server cùng với hệ điều hành của client và giao thức LAN quyết định các giao thức mạng mà các client có thể sử dụng. Các giao thức truy cập từ xa được hỗ trợ bởi Windows 2003 là: 9 PPP: PPP là giao thức truy cập từ xa thường xuyên được sử dụng nhất, nó cho phép các client và các server chạy trong các mạng đa nhà cung cấp (multivendor). 9 Microsoft Remote Access Protocol: Các máy client đang chạy trên Windows NT 3.1, MS-DOS hoặc LAN manager thì cần sử dụng giao thức NetBEUI và server cần sử dụng giao thức RAS như một gateway cho các client này. Trong trường hợp các máy client đang chạy Windows 2000 thì giao thức RAS có thể Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 146 - sử dụng cho việc kết nối đên Windows NT 3.1, MS-DOS, LAN manager, Windows for Workgroup server. 9 Serial Line Internet Protocol(SLIP): Các server truy cập từ xa trước kia sử dụng SLIP, Windows 2003 không hỗ trợ SLIP. 9 AppleTalk Remote Access Protocol(ARAP): Giao thức ARAP có thể được sử dụng cho kết nối đến các client Apple Macintosh đến server truy cập từ xa. ¾ LAN Protocol: Để truy cập các tài nguyên trên RAS server, các máy tính client tạo ra để sử dụng các giao thức LAN. Các giao thức TCP/IP, NetBEUI, Nwlink và AppleTalk là các giao thức LAN được hỗ trợ bởi Windows 2003. 4.0 Vitual Private Network Connection Các User luôn di chuyển hoặc làm việc từ nhà có thể sử dụng mạng riêng ảo(VPN) cho kết nối đến server từ xa. Nó tạo ra để sử dụng hạ tầng của routing được cung cấp bởi internet. Kĩ thuật cũng cho phép các tổ chức kết nối với các văn phòng địa phương trong việc bảo vệ an toàn các kết nối. Kết nối VPN hoạt động như môt liên kết dành cho WAN. User từ xa gọi đến ISP địa phương, sau đó một VPN tạo ra liên kết dial- up user và VPN server. Chúng ta có thể hoặc là sử dụng các đường danh riêng hoặc là các đường quay số cho các kết nối đến mạng trên Internet. Dedicated Lines: Văn phòng chi nhánh và văn phòng công ty mẹ có thể kết nối vơi nhau bằng cách sử dụng internet. Router văn phòng chi nhánh và router công ty mẹ có thể kết nối đến Internet bằng cách sử dụng một đường cục bộ dành riêng và ISP địa phương. Kết nối ISP là được sử dụng để tạo ra một kết nối VPN giữa hau router. Dial-up Lines: Router tại văn phòng chi nhánh sẽ gọi lên ISP địa phương còn hơn là tạo ra một cuộc gọi đuờng dài đến router của công ty mẹ hoặc NAS(Netửok Access Server). Sử dụng kết nối đến ISP địa phương, kết nối VPN được tạo ra giữa các hub Router của công ty mẹ và router của văn phòng chi nhánh. Chỉ có vấn đề với các đường quay số là router tại công ty mẹ phải được kết nố đến ISP địa phương 24 giờ/ngày. Một số dữ liệu có thể hỏng và không thể được truy cập bằng các kết nối mạng cục bộ LAN. Vì vậy để khắc phục vấn đề này VPN cho phép công ty trở thành kết nối vật lý để Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 147 - nối đến tập đoàn Internetwork nhưng tại cùng một điểm thời gian được tách rời bởi các VPN Server. Trong tương lai dữ liệu truyền qua VPN có thể được mã hoá an toàn hơn. 4.1 Kĩ thuật đường hầm (Tunnel) Để truyền tải các đơn vị dữ liệu như các frame hoặc các packet một phương pháp được gọi là Tunnel được sử dụng, mà nó sử dụng hạ tầng liên mạng để thực hiện điều này. Một tunnel là đường dẫn logic thông qua đó các gói tin được chuyển qua liên mạng. Trong phương pháp này frame được đóng gói với việc bổ xung thêm header chứa thông tin định tuyến. Điều này giúp cho các frame đi qua được các liên mạng trung gian. Các gói tin được đóng gói thì được gửi đi giữa các điểm cuối tunnel. Các frame được mở gói khi đi đến đích trên liên mạng và được chuyển đến đích cuối cùng. Cả tunnel client và tunnel server phải sử dụng các giao thức tunnel tương tự để thiết lập một tunnel. Một số giao thức tunnel là PPTP và L2TP. Sự phân phối dự liệu tin cậy là không được bảo đảm khi sử dụng một tunnel. Datagram được dựa trên giao thức như các giao thức UDP hoặc GRE được sử dụng cho truyền tải dữ liệu. Tunnel client khởi tạo thành tunnel từ một đầu cuối. Tunnel server tại một điểm cuối khác nhận yêu cầu. Tunnel phải được tạo ra đầu tiên sau đó dữ liệu được bắt đầu truyền đi. Quá trình kết nối tương tự quá trình kết nối đến PPP. Tunnel server trả lời cho việc xác thực User trước khi truyển tải dữ liệu. Kể từ đó client xác thực chính nó, quá trình truyền tải dữ liệu bắt đầu qua tunnel. Các tunnel được thiết lập phải được duy trì cho PPTP và L2TP. Hai đầu cuối của tunnel phải biết mỗi trạng thái khác trong trường hợp một kết nối thất bại. Kết thúc của các tunnel thu được một cách định kì khi dữ liệu không được truyền tải để kiểm tra nếu kết nối không còn hoạt động. Quá trình này được gọi là quá trình keep-alive. Một kết nối mĩ mãn của tunnel có thể được thực hiện từ mỗi đầu cuối của tunnel. Điều này được thực hiện bằng cách thay đổi các thông điệp kết thúc tunnel giữa hai đầu cuối. 4.2 Các giao thức VPN Các giao thức được sử dụng cho VPN bởi Windows 2003 là PPTP, L2TP, IPSec và IP-IP. Các giao thức này có thể làm việc độc lập hoặc cùng nhau. - Point-to-Point Tunneling Protocol (PPTP): Giao thức PPTP là một sự mở rộng của giao thức PPP, nó đóng gói các frame PPP trong các IP datagram. Sau đó các IP Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 148 - Datagram được chuyển trên liên mạng IP như là Internet. PPP được tạo để sử dụng cho các kết nối TCP để bảo vệ đường hầm(tunnel). Sự thay đổi GRE được tóm lược các frame PPP được sử dụng cho đường hầm dữ liệu. Các frame PPP này có thể được nén hoặc mã hoá để đảm bảo an toàn. Các phương pháp xác thực tương tự được sử dụng bởi các kết nối PPP mà nó được sử dụng cho quá trình xác thực các tunnel PPP. Nó thừa kế quá trình nén và mã hoá các PPP các đơn vị dữ liệu từ PPP. Nó cũng có thể được sử dụng cho các mạng riêng LAN-to-LAN. - Layer 2 Tunneling Protocol: Giao thức L2TP cung cấp một tunnel giữa các domain không có tin cậy trong một mạng tương tự giao thức PPTP. Cả hai giao thức này cung cấp việc bắt đầu đóng gói dữ liệu sử dụng PPP. Giao thức L2TP cấu thành từ PPTP và L2F(Layer 2 Forwarding). Nó đóng gói các frame PPP, nó có thể được gửi trên IP, frame relay, X.25 hoặc mạng ATM. L2TP có thể được sử dụng như giao thức tunnel trên Internet nếu nó sử dụng IP như là truyền tải của nó. Sự bảo vệ Tunnel L2TP sử dụng UDP và một dãy các thông điệp điều khiển L2TP. Xa hơn nữa sử dụng UDP để gửi các frame PPP như tunnel data. Chúng ta có thể nén hoặc mã hoá các frame PPP đã được đóng gói. L2TP sử dụng IPSec trong việc mã hoá để mã hoá các frame PPP. Đó là một cách cụ thể để tạo ra các client để kết nối đến mạng truy cập các server và cũng cho kết nối gateway- to-gateway. L2TP có thể cung cấp đa giao thức hỗ trợ cho các giao thức mạng khác nhau như IPX và AppleTalk sử dụng PPP. PPP cũng cung cấp việc xác thực user như CHAP, MS-CHAP phiên bản 2 và EAP. Do đó, L2TP trên IPSec cung cấp thao tác việc xác định tunnel rõ ràng mà nó cung cấp sự an toàn chắc chắn. - IPSec: IPSec cung cấp việc xác thực toàn bộ và riêng lẻ về IP. IPSec cung cấp hai loại tunnel: Encapsulating Security PayLoad(ESP) cho việc xác thực, sự tách biệt và tính toàn vẹn và Authentication Header (AH) định dạng nó cho việc xác thực và tính toàn vẹn nhưng không cách biệt. IPSec có thể không được sử dụng trong hai chế độ là: Transport Mode và Tunnel Mode. Chế độ Transport bảo đảm tồn tại một gói IP từ nguồn tới đích. Trong trường hợp chế độ tunnel tồn tại một gói IP đưa vào trong một gói IP mới và được gửi đến điểm cuối tunnel. Các chế độ này có thể được đóng gói hoặc là ESP Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 149 - header là AH header. Chế độ Transport IPSec được thiết kế để cung cấp an toàn cho IP truyền thông giữa các hệ thống truyền thông and-to-and. Chế độ Tunnel IPSec được thiết kế cho các router mạng hoặc các gateway để an toàn truyền thông IP khác bên trong IPSec tunnel. IPSec tunnel kết nối giữa một IP riêng các mạng và IP mạng khác trên mạng IP ảo hoặc mạng công cộng. Internet Key Exchange (IKE) được sử dụng để thực hiện việc điều hành truyền thông an toàn phức tạp giữa 2 máy tính. - IP-IP: IP-IP hoặc IP trong IP là một phương thức tunnel đơn. Sử dụng phương thức này đến truyền thông tunnel multicast trên các khu vực mạng, nó không hỗ trợ định tuyến multicast. Việc bổ xung IP header được tạo ra trong việc đóng gói các gói IP do đó phải tạo một mạng ảo. Cấu trúc IP-IP cấu trúc thành bên ngoài IP header, bên trong IP header, tunnel và IP payload. Payload này bao gồm UDP, TCP và dữ liệu. 5.0 Cài đặt và cấu hình RRAS 5.1 Cài đặt và cấu hình trên Server Trong Windows 2003 dịch vụ RRAS được cài đặt một cách tự động trong quá trình cài đặt Windows 2003 nhưng ở dạng disable. Sử dụng snap-in Routing and Remote Access chúng ta có thể cho phép thiết lập cấu hình RRAS. Theo mặc định thì Windows Server 2003 cục bộ được liệt kê như một RRAS Server. Việc thêm máy tính có thể được thêm tại mục gốc Routing and Remote Access hoặc mục Server Status. Để cài đặt RRAS chúng ta làm như sau: Start\ Program\ Administrative Tools\ Routing and Remote Access. Cửa sổ Routing and Remote Access mở ra, chúng ta chọn tên server cần thiết lập, chuột phải chọn Configure and Enable Routing and Remote Access. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Tiếp theo một cửa sổ wizard hiện ra. Dịch vụ RRAS được cho phép và được cấu hình tuỳ theo việc chọn lựa của chúng ta trong wizard. Các máy tính sử dụng dịch vụ wizard phải có các địa chỉ IP của lớp A, B hoặc C riêng của chúng. Các địa chỉ này đựoc dành riêng một cách cụ thể cho các mạng riêng sử dụng. Sau khi config chúng ta cũng có thể cho phép Disable dịch vụ này, sau khi disable dịch vụ thông tin đăng kí được gỡ bỏ và các client kết nối cũng được huỷ kết nối. Next Một cửa sổ gồm các lựa chọn cho việc thiết lập truy cập từ xa hiện ra: ¾ Remote Access(Dial-up or VPN): Cho phép thiết lập các kết nối Dial-up hoặc VPN server ¾ Nework Address Translation (NAT): Thiết đặt cho phép các IP bên trong mạng có thể ra ngoài Internet bằng việc sử dụng Public địa chỉ IP ¾ Vitual Private Network (VPN) and NAT: thiết lập sử dụng VPN cùng với NAT ¾ Secure connection between to private network: Kết nối mạng với các mạng ở xa. ¾ Custom configuration: cho phép thiết đặt các tuỳ chọn khác có trong Routing and Remote Access. Do thời gian và điều kiện không có đủ cơ sở hạ tầng mạng như Router, switch và đường ADSL và các máy tính nên em chỉ cấu hình dịch vụ này ở dạng VPN ở mức đơn giản nhất. Chọn Remote Access và Next. Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 150 - Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 151 - Tiếp theo cửa sổ hiện ra cho phép chúng ta chọn kiểu kết nối VPN hay Dial-up hay cả hai, chọn cả hai kiểu kết nối và Next. Tiếp theo mục VPN connection cho phép lựa chọn card mạng nào sẽ là card mạng dùng để kết nối với Internet bên ngoài. Vì cấu hình RRAS nên tối thiểu máy chủ RRAS phải có hai card mạng, một card mạng nối với modem ra ngoài Internet và một card nối với mạng LAN bên trong Internet (phân biệt bằng cách đặt IP theo lớp mạng). Chọn card mạng mà chúng ta nối ra ngoài Internet, lựa chọn dòng dưới là Enable security cho card mạng được lựa chọn để thiết đặt bảo, ấn Next. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 152 - Tiếp theo là lựa chọn card mạng bên trong mạng LAN, card mạng mà VPN client truy cập tới VPN server. Lựa chọn card mạng và ấn Next. Lựa chọn tiếp theo cho phép tự động lấy địa chỉ của DHCP Server hay lấy từ một giải địa chỉ đặc biệt cho trước. Chọn Automatically và ấn Next. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 153 - Tiếp theo là lựa chọn phương thức chứng thực RADIUS, nếu không dùng phương pháp chứng thực RADIUS thì sử dụng phương thức chứng thực authenticate của windows. Ấn Next và finish kết thúc quá trình tạo VPN server. Lúc này hệ thống sẽ bắt đầu thực hiện khởi động dịch vụ. 5.2 Truy cập trên Client Trên client muốn truy cập tới VPN Server thì cần tạo một kết nối client đến server. Chuột phải vào My Network Places chọn properties, chọn mục Create a new connection, tiếp theo chọn connection to the network at my work place. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 154 - Next tiếp theo chọn Vitual Private Network connection, Next Tiếp theo đánh tên công ty (tên miền muốn truy cập nếu công ty đó có tên miền) vào ô Company name Tiếp theo đánh địa chỉ IP của nơi muốn truy cập tới. Nếu là truy cập trong mạng nội bộ thì chúng ta đánh địa chỉ chỉ của server ở đây. Nếu truy cập qua hạ tầng mạng Internet thì chúng ta phải đánh địa chỉ ISP của modem nơi truy cập đến. Nếu chúng ta đăng kí với ISP mà có được địa chỉ IP tĩnh thì chúng ta đánh vào đây, còn nếu sử dụng địa Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 155 - chỉ IP động thì cần dùng đến một số chương trình update IP như dyndns hoặc noIP để biết địa chỉ IP modem hiện tại đang là gì. Next đến mục hỏi kết nối cho mọi người hay chỉ một mình user, nếu chúng ta kết nối một mình thì chọn My user only và ấn Next. Tiếp theo một cửa sổ kết nối mở ra cho chúng ta đánh username và password để kết nối đến server. User này nằm trong domain thì phải được cho phép kết nối (Allow Access) trong tab Dial-in trong mục thuộc tính của user này. Khi ấn vào connect nếu kết nối thành công sẽ có thông báo như sau Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 156 - Click Accept để đồng ý kết nối đến server VPN. Lúc này chúng ta đã kết nối thành công tới server VPN và mọi thao tác có thể như ngồi trên LAN. Để biết chúng ta kết nối chưa và nhận được IP từ máy chủ VPN là bao nhiêu thì chúng ta kiểm tra IP bằng cách run cmd và đánh lệnh ipconfig/all. Cửa sổ cmd sẽ cho chúng ta biết chúng ta nhận được IP bao nhiêu từ server và các thông số DHCP của server VPN. Qu¶n TrÞ M¹ng Víi Windows Server 2003 Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 157 - TÀI LIỆU THAM KHẢO I) Sách tham khảo 1. Windows 2000 Server, Trung tâm đào tạo Lập Trình Viên Quốc tế Bách Khoa – Aptech. NXB Tập Đoàn Aptech WorldWide tháng 04 năm 2004. 2. Windows XP Professional, NXB Trung tâm Bách khoa – Aptech tháng 4/2004. 3. Quản trị mạng và Ứng dụng của Active Directory, tác giả K.S Ngọc Tuấn, NXB Thống Kê, Năm XB 2004, số trang 378 4. Mạng truyền thông Công Nghiệp, tác giả Hoàng Minh Sơn, NXB Khoa học kĩ thuật, năm XB 2004, số trang 256 5. 100 Thủ thuật bảo mật mạng, tác giả K.S Nguyễn Ngọc Tuấn, Hồng Phúc, NXB Giao thông vận tải, năm XB 2005, số trang 335. II) Website 1. www.quantrimang.com 2. www.manguon.com 3. www.nhatnghe.com 4. www.adminvietnam.com.vn