Machine Translated by Google

TRƯỜNG ĐẠI HỌC BÁCH KHOA, ĐHQG TP.HCM

KHOA ĐIỆN TỬ VIỄN THÔNG

CỤC VIỄN THÔNG VÀ MẠNG

KHÓA HỌC

Mạng lưới công nghệ

Hiểu tổ chức
chương 1 Mạng và truy cập từ xa

07 DỊCH VỤ TRUY CẬP TỪ XA

Ngày 8 tháng 11 năm 2022

Nguyễn Việt Hà, Ph.D. Email: nvha@hcmus.edu.vn 2

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

Khu phi quân sự (DMZ)

Tách mạng LAN khỏi các mạng không đáng tin
Hình. Hình. cậy (internet). Còn được gọi là mạng
Cấu Cấu vành đai hoặc
trúc trúc các mạng con được sàng lọc.
mạng mẫu mạng mẫu

3 4
 Machine Translated by Google

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

Demarc (điểm phân định) Một thiết

Khu phi quân sự (DMZ)
bị dịch thuật hoặc bộ định tuyến có giao diện mạng
Tách mạng LAN khỏi các mạng không đáng tin
Hình. Hình. chuyên dụng cho công nghệ chặng cuối truyền lưu
cậy (internet). Còn được gọi là mạng
Cấu trúc Cấu trúc lượng trực tiếp giữa ISP và bộ định tuyến NAT.
vành đai hoặc
mạng mẫu các mạng con được sàng lọc. mạng mẫu

Máy chủ và tài nguyên trong DMZ có thể truy cập được Các công nghệ chặng cuối phổ biến: o
Đường dây thuê bao kỹ thuật số (DSL): sử dụng mạng
từ internet (và/hoặc mạng LAN)
điện thoại. o Băng rộng cáp: sử dụng mạng cáp
(Ví dụ: web, email, DNS, FTP và máy chủ proxy.),
truyền hình. o Gigabit Passive optical Network
nhưng phần còn lại của mạng LAN nội bộ vẫn không
(GPON): sử dụng cáp quang. o Wi-Fi tầm xa: sử
thể truy cập được.
dụng vô tuyến không dây, thường sử dụng các bộ
Cung cấp thêm một lớp bảo mật cho mạng LAN vì
nó hạn chế khả năng tin tặc truy cập trực tiếp phát không dây được đặt trong tầm nhìn.

vào máy chủ nội bộ và dữ liệu từ internet.

5 6

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

NAT (Network Address Translation) Để truy Gửi

cập Internet, địa chỉ IP công cộng là
cần thiết. 209.165.200.226
Hình.
Cấu trúc
mạng mẫu NAT là một quá trình trong đó một hoặc nhiều địa chỉ IP
IPsrc: DA SA
Công cộng cục bộ được dịch thành một hoặc nhiều địa chỉ IP toàn
209.165.201.1 209.165.200.226
cầu và ngược lại để cung cấp truy cập Internet cho các
máy cục bộ.

NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.

IPsrc: DA SA
Riêng tư
209.165.201.1 192.168.10.10

7 số 8
Machine Translated by Google

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

Nhận được NAT (Network Address Translation) Để truy cập

Internet, địa chỉ IP công cộng là

DA SA 209.165.200.226 cần thiết.

Hình.

192.168.10.10 209.165.201.1 Cấu trúc

mạng mẫu NAT là một quá trình trong đó một hoặc nhiều địa chỉ IP
IPsrc:
Công cộng cục bộ được dịch thành một hoặc nhiều địa chỉ IP toàn cầu

và ngược lại để cung cấp truy cập Internet cho các máy cục
bộ.

NAT thường hoạt động trên bộ định tuyến hoặc tường lửa.

Ngoài ra, nó thực hiện việc dịch các số cổng,

tức là che số cổng của máy chủ bằng một số
IPsrc:
DA SA
Riêng tư cổng khác, trong gói sẽ được định tuyến đến
209.165.200.226 209.165.201.1 đích. (PAT – Dịch địa chỉ cổng hoặc Chuyển
9 tiếp NAT) 10

Hiểu về mạng lưới tổ chức Hiểu về mạng lưới tổ chức

209.165.200.226 209.165.200.226
SA DA
SA DA
209.165.201.1:80 209.165.200.226:1555
192.168.10.10:1555 209.165.201.1:80

SA DA
SA DA
209.165.201.1:80 192.168.10.10:1555
209.165.200.226:1555 209.165.201.1:80

SA DA
SA DA
209.165.202.129:80 192.168.10.11:1331
209.165.200.226:1331 209.165.202.129:80

SA DA
SA DA
209.165.202.129:80 209.165.200.226:1331
192.168.10.11:1331 209.165.202.129:80

(PAT) (PAT)

11 12
 Machine Translated by Google

Hiểu về truy cập từ xa Hiểu về truy cập từ xa

Các thành viên của tổ chức cần kết nối với các tài nguyên được lưu trữ trên các máy Cung cấp quyền truy cập vào các tài nguyên này bằng
chủ trong DMZ từ bên ngoài tổ chức. Ví dụ: khi một giám đốc điều hành hoặc thành công nghệ truy cập từ xa. Ít nhất một máy chủ trong

viên nhóm bán hàng cần truy cập các tệp công việc trên máy chủ tệp trong tổ chức DMZ của bạn phải được cấu hình làm máy chủ truy cập
khi đi công tác. từ xa chấp nhận yêu cầu từ các máy khách truy cập
từ xa trên Internet.

13/508 14

Hiểu về truy cập từ xa Hiểu về truy cập từ xa

Cung cấp quyền truy cập vào các tài nguyên này bằng Ngoài ra, các tổ chức có thể kết nối trực tiếp các
công nghệ truy cập từ xa. Ít nhất một máy chủ trong máy chủ truy cập từ xa với một ranh giới.
DMZ của bạn phải được cấu hình làm máy chủ truy cập
(1a. NAT: từ xa chấp nhận yêu cầu từ các máy khách truy cập
1.2.3.4 Máy chủ truy cập từ xa phải có hai giao diện mạng.
từ xa trên Internet.
172.16.0.50)
Một được kết nối với ranh giới.

Một cái khác được kết nối với DMZ.

(1b)
(1) Máy khách truy cập từ xa trước tiên kết nối với
máy chủ truy cập từ xa trong DMZ, sử dụng mã hóa được
Máy chủ truy cập từ xa được tiếp xúc trực tiếp với
cung cấp bởi máy khách truy cập từ xa
Internet.
(2) người phục vụ.

Phải bật tường lửa (và tốt nhất là phần mềm bảo
(2) Máy chủ truy cập từ xa sau đó xác thực người dùng
mật bổ sung) để đảm bảo rằng tính bảo mật của máy
trước khi cho phép truy cập từ xa.
chủ truy cập từ xa không bị xâm phạm.

15 16
Machine Translated by Google

Hiểu về truy cập từ xa Hiểu về truy cập từ xa

Bộ định tuyến NAT thường chứa các khả năng quản lý và bảo mật bổ sung, Microsoft cung cấp ba công nghệ truy cập từ xa chính có thể được sử dụng
chẳng hạn như điều tiết lưu lượng, ngăn chặn xâm nhập và lọc phần mềm độc để có được quyền truy cập vào các máy chủ trong DMZ từ khắp Internet:
hại. Thường được gọi là Tường lửa thế hệ tiếp theo (NGFW).
Mạng riêng ảo (VPN)

Truy cập trực tiếp

Dịch vụ máy tính từ xa

Mỗi công nghệ truy cập từ xa này cung cấp các giao thức riêng, cũng như
hỗ trợ các loại xác thực và mã hóa khác nhau.
Một số NGFW có chức năng máy chủ truy cập từ xa tích hợp, loại bỏ nhu cầu
về máy chủ truy cập từ xa riêng biệt.
17/508 18/508

Lợi ích của VPN

2 Mạng riêng ảo (VPN)

19 20/508
Machine Translated by Google

Lợi ích của VPN Lợi ích của VPN

Bảo mật: Bảo mật:

Tính bảo mật Bảo mật oMã
oĐảm bảo rằng chỉ những người dùng được ủy quyền mới có thể đọc hóa: Mã hóa đối xứng
tin nhắn. Nếu tin nhắn bị chặn, nó không thể được giải mã trong
một khoảng thời gian hợp lý.

21/508 22/508

Lợi ích của VPN Lợi ích của VPN

Bảo mật: An ninh:

Bảo mật oMã Bảo mật oMã
hóa: Mã hóa đối xứng hóa: Mã hóa bất đối xứng

23/508 24/508
Machine Translated by Google

Lợi ích của VPN Lợi ích của VPN

An ninh: An ninh:
Bảo mật oMã hóa: Bảo mật oMã hóa:
Mã hóa bất đối xứng Mã hóa bất đối xứng
•

- DH sử dụng số rất lớn trong tính toán.

• EX: DH2: 1024-bit (~ số thập phân gồm 309 chữ số).

• Cực kỳ chậm đối với bất kỳ loại mã hóa số lượng lớn nào.

Mã hóa bất đối xứng thường được sử dụng làm Xác thực hoặc
Trao đổi khóa an toàn.
25 26

Lợi ích của VPN Lợi ích của VPN

An ninh: Bảo mật:

Bảo mật oMã hóa: Tính toàn vẹn của

Mã hóa bất đối xứng dữ liệu oĐảm bảo rằng thông báo không bị thay đổi. Mọi thay đổi đối với
dữ liệu đang truyền sẽ được phát hiện.

•DH Nhóm 1: 768 bit

•DH Nhóm 2: 1024 bit
•DH Nhóm 5: 1536 bit
•DH Nhóm 14: 2048 bit
•DH Nhóm 15: 3072 bit
•DH Nhóm 16: 4096 bit

27 28/508
Machine Translated by Google

Lợi ích của VPN Lợi ích của VPN

Bảo mật: Bảo mật: Xác thực PSK

Xác thực nguồn gốc oĐảm Xác thực nguồn gốc (Khóa bí mật được chia sẻ trước)

bảo rằng tin nhắn không phải là giả mạo và thực sự

đến từ ai mà nó tuyên bố.

Khóa bí mật chia sẻ trước (PSK)

- Sử dụng một khóa bí mật bổ

sung làm đầu vào cho hàm băm.

29/508 30/508

Lợi ích của VPN Lợi ích của VPN

Bảo mật: Bảo mật: Xác thực RSA

Xác thực nguồn gốc Xác thực nguồn gốc

Xác thực RSA sử dụng chứng chỉ số để xác thực.

- Thiết bị cục bộ lấy được hàm băm và mã hóa bằng khóa riêng.
- Hàm băm được mã hóa được đính kèm vào tin nhắn và được chuyển
tiếp đến đầu từ xa và hoạt động như một chữ ký.
- Ở đầu từ xa, hàm băm được mã hóa được giải mã bằng khóa chung
của đầu cuối cục bộ.
- Nếu hàm băm được giải mã khớp với hàm băm được tính toán lại,
chữ ký là chính hãng.
- Mỗi máy ngang hàng phải xác thực máy ngang hàng đối diện của nó trước
khi đường hầm được coi là an toàn.

31/508 32
Machine Translated by Google

Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa

VPN là công nghệ truy cập từ xa cung cấp mã hóa cho dữ liệu được gửi qua VPN cung cấp một kênh (hoặc “đường hầm”) được
Internet giữa máy khách truy cập từ xa và mã hóa giữa các hệ thống trên mạng, chúng
người phục vụ.
thường được gọi là đường hầm VPN.

Một mạng “ảo” được tạo giữa máy khách và máy chủ truy cập từ xa được Mỗi đầu của đường hầm VPN được đại diện
sử dụng ngoài mạng vật lý bên dưới. oCòn được gọi là mạng lớp phủ. bởi một giao diện mạng ảo được định cấu
hình bằng một địa chỉ IP.

Dữ liệu được gửi trên mạng ảo được

mã hóa tự động và chỉ có thể được
giải mã bởi máy chủ hoặc máy khách
truy cập từ xa.

33/508 34

Các loại VPN: VPN truy cập từ xa Các loại VPN: VPN truy cập từ xa

Cổng mặc định được định cấu hình trong giao Theo mặc định, tất cả lưu lượng sẽ đi qua
diện mạng VPN trên máy khách truy cập từ xa máy chủ truy cập từ xa.
được tự động đặt thành 0.0.0.0 Để đảm bảo
rằng tất cả các gói do máy khách tạo ra đều
Tuy nhiên, nếu máy khách truy cập từ xa định
được mã hóa và gửi trên VPN đến máy chủ
cấu hình đường hầm phân chia, chúng sẽ có
truy cập từ xa.
thể: Truy cập DMZ trong tổ chức của
tài nguyên qua chúng
đường
hầm
VPN. Sử dụng cổng mặc định trên giao diện
Sau đó, máy chủ truy cập từ xa sẽ giải mã các mạng vật lý của họ để truy cập Internet
gói này và chuyển tiếp chúng đến mạng DMZ để
cho phép người dùng truy cập tài nguyên trong tài nguyên.

tổ chức.

35 36
Machine Translated by Google

Các loại VPN: VPN từ trang này sang trang khác Các loại VPN: VPN từ trang này sang trang khác

VPN cũng có thể được

VPN giữa các bộ định tuyến cũng có thể được sử dụng để mã hóa lưu lượng máy chủ đi qua
sử dụng để mã hóa
Internet giữa các địa điểm khác nhau. Ví dụ: oSao chép Active Directory giữa các bộ
lưu lượng IP đi qua
điều khiển miền. oNội dung thư mục được đồng bộ hóa giữa các máy chủ tệp bằng cách
Internet giữa hai bộ
định tuyến tại các sử dụng bản sao DFS.

vị trí khác nhau

trong một tổ chức.

Máy chủ nội bộ Hầu hết các tổ chức sử dụng bộ định tuyến dựa trên phần cứng hoặc thiết bị NGFW để
không biết rằng cung cấp VPN giữa các vị trí khác nhau trong một tổ chức.

VPN đang được sử Tuy nhiên, thay vào đó, bạn có thể định cấu hình hệ thống Windows Server làm bộ định
dụng. tuyến cung cấp VPN giữa các vị trí.

37/508 38/508

Giao thức VPN Giao thức VPN

Nhiều công nghệ VPN khác nhau đã được phát triển từ những năm 1990 và mỗi công nghệ sử IPsec

dụng một giao thức VPN cụ thể để tạo đường hầm cho lưu lượng truy cập. chuẩn oIETF (Internet Engineering Task Force).

oIPsec bảo vệ và xác thực các gói IP giữa nguồn và

Khi bạn triển khai máy chủ truy cập từ xa bằng Windows Server, bốn giao thức VPN khác dự định.
nhau được hỗ trợ:
Bảo vệ lưu lượng từ Lớp 4 đến Lớp 7 (mô hình OSI).
Giao thức đường hầm điểm-điểm (PPTP) oNó được phát triển

bởi một nhóm các nhà cung cấp bao gồm cả Microsoft oMã hóa dữ liệu bằng cách oIPsec không bị ràng buộc với bất kỳ quy tắc cụ thể nào để bảo mật
thông tin liên lạc.
sử dụng Mã hóa điểm-điểm của Microsoft (MPPE). Hỗ trợ độ dài khóa mã hóa từ

40 đến 128 bit. Hệ điều hành Windows chứa khóa đăng ký ngăn việc sử dụng Tính linh hoạt của khuôn khổ này cho phép IPsec dễ dàng tích hợp các công
nghệ bảo mật mới mà không cần cập nhật các tiêu chuẩn IPsec hiện có .
khóa MPPE nhỏ hơn 128 bit theo mặc định.

39/508 40
Machine Translated by Google

Giao thức VPN Giao thức VPN

IPsec IPsec

41
Hiệp hội bảo mật (SA). 42

Giao thức VPN Giao thức VPN

IPsec GRE qua IPsec

oGeneric Routing Encapsulation (GRE) là một giao thức đường hầm VPN
site-to-site không an toàn .
Không hỗ trợ mã hóa.

o Nó có thể đóng gói các giao thức lớp mạng khác nhau.

oHỗ trợ lưu lượng phát đa hướng và quảng bá

43 44/508
Machine Translated by Google

Giao thức VPN Giao thức VPN

GRE qua IPsec Giao thức đường hầm lớp hai (L2TP) oĐược phát

oMột IPsec VPN tiêu chuẩn (không phải GRE) chỉ có thể tạo các đường hầm an toàn triển bởi Microsoft và Cisco.
cho lưu lượng

unicast. Ví dụ: Các giao thức định tuyến sẽ không trao đổi thông o Dựa vào Bảo mật IP (IPSec) để mã hóa các gói dữ liệu. Khóa
tin định tuyến qua IPsec VPN.
mã hóa có độ dài từ 56 đến 256 bit.
- Đóng gói lưu lượng giao thức định tuyến bằng gói GRE, sau đó đóng
gói gói GRE thành gói IPsec để chuyển tiếp an toàn đến cổng VPN
o Máy khách và máy chủ truy cập từ xa xác thực với nhau.
đích.
Định cấu hình cùng khóa chia sẻ trước (mật khẩu) hoặc cài đặt chứng
chỉ mã hóa IPSec trên cả máy khách và máy chủ truy cập từ xa.

45 46/508

Giao thức VPN Giao thức VPN

Internet Key Exchange phiên bản 2 (IKEv2) oMột cải Giao thức đường hầm ổ cắm an toàn (SSTP)

tiến cho IPSec cung cấp đường hầm VPN với tốc độ nhanh hơn so với L2TP. oĐường hầm dữ liệu thông qua các gói HTTPS trên mạng.

oBan đầu nó sử dụng mã hóa Lớp cổng bảo mật (SSL) với
oNó sử dụng khóa mã hóa 256-bit khóa 128-bit.

oYêu cầu máy khách và máy chủ truy cập từ xa xác thực với nhau bằng chứng oViệc triển khai SSTP hiện đại sử dụng khóa 256 bit cùng với mã hóa Bảo
chỉ mã hóa IPSec hoặc khóa chia sẻ trước. mật tầng vận chuyển (TLS) . Đôi khi được thể hiện dưới dạng SSL/TLS.

Cả hai thuật ngữ thường được sử dụng thay thế cho nhau.

oĐể sử dụng SSTP, máy chủ truy cập từ xa phải chứa chứng chỉ mã hóa HTTPS.

47/508 48/508
Machine Translated by Google

Giao thức VPN Xác thực VPN

Giao thức đường hầm ổ cắm an toàn (SSTP) oTLS hoạt động Trước khi có thể thiết lập đường hầm VPN, máy khách truy cập từ xa trước tiên phải xác

ở lớp 4 (OSI) thực với máy chủ truy cập từ xa bằng thông tin đăng nhập.

49/508 50

Xác thực VPN Xác thực VPN

Máy chủ truy cập từ xa xác thực thông tin đăng nhập đã nhận trước khi cung cấp Sử dụng RADIUS Bạn
Truy cập từ xa.
có thể tùy ý định cấu hình
điều khiển từ xa để truy cập
thông tin xác người
thực phụcchuyển
vụ

Trong miền Active Directory

tiếp mà nó nhận được từ ứng
Máy chủ truy cập từ xa sẽ chuyển tiếp thông tin xác thực tới bộ điều khiển miền trong
dụng khách truy cập từ xa
DMZ.
đến máy chủ Dịch vụ người
Nếu khớp và quyền quay số được cấp, bộ điều khiển miền sẽ cho phép kết nối truy cập dùng xác thực quay số truy
từ xa và trả lại vé Kerberos cho người dùng đến máy chủ truy cập từ xa. thay vì bộ điều
cập từ
khiển
xa (RADIUS)
miền.

Sau đó, máy chủ truy cập từ xa sẽ tạo đường hầm VPN, gửi vé Kerberos đến máy khách

truy cập từ xa và chuyển tiếp lưu lượng truy cập từ VPN đến DMZ để cho phép truy cập
tài nguyên.

51/508 52/508
Machine Translated by Google

Xác thực VPN

Sử dụng RADIUS
Sau khi máy chủ RADIUS nhận được thông tin đăng nhập từ máy chủ truy
cập từ xa, máy chủ sẽ chuyển tiếp chúng đến bộ điều khiển miền để xác
thực. Sau khi bộ điều khiển miền xác thực thông tin đăng nhập và
quyền quay số, nó sẽ trả về vé Kerberos cho người dùng cho RADIUS

3
người phục vụ.

Sau đó, máy chủ RADIUS sẽ kiểm tra các chính sách truy cập từ xa của TRUY CẬP TRỰC TIẾP
nó để đảm bảo rằng người dùng đáp ứng các yêu cầu cần thiết trước khi
cho phép kết nối truy cập từ xa và chuyển tiếp vé Kerberos đến máy
chủ truy cập từ xa. Sau đó, máy chủ truy cập từ xa sẽ tạo đường hầm

VPN, gửi vé Kerberos đến máy khách truy cập từ xa và chuyển tiếp lưu
lượng truy cập từ VPN đến DMZ để cho phép truy cập tài nguyên.

53/508 54

TRUY CẬP TRỰC TIẾP TRUY CẬP TRỰC TIẾP

Người dùng từ xa VPN phải khởi tạo kết nối VPN theo cách thủ công mỗi Để xác định xem chúng có nằm trên mạng bên ngoài tổ chức hay không, mỗi
khi họ muốn kết nối với các tài nguyên trong tổ chức của mình. máy khách truy cập từ xa tham gia DirectAccess đều chứa dịch vụ Hỗ trợ
kết nối mạng.

Đối với các tổ chức triển khai máy tính xách tay được kết nối với miền
Active Directory , quyền truy cập từ xa an toàn cho các máy tính này có Thăm dò vị trí của máy chủ bằng cách sử dụng HTTPS mỗi khi giao diện
thể được tự động hóa bằng DirectAccess. mạng của chúng được kích hoạt trên một mạng. oNếu máy khách
DirectAccess có thể kết nối với Vị trí mạng

Khi máy tính xách tay kết nối Máy chủ (NLS), nó phải nằm trong mạng công ty.
với mạng bên ngoài tổ chức,
DirectAccess sẽ tự động khởi tạo oNếu không thể, nó phải nằm ngoài mạng công ty.
đường hầm IPSec có chức năng
giống như VPN để cung cấp quyền
truy cập từ xa vào DMZ của tổ
chức.
55/508 56/508
Machine Translated by Google

TRUY CẬP TRỰC TIẾP TRUY CẬP TRỰC TIẾP

Nếu máy khách truy cập từ xa xác định rằng nó nằm trên mạng bên ngoài tổ Máy chủ truy cập từ xa DirectAccess sử dụng HTTPS để xác thực người dùng với Active

chức: Directory. Sau khi người dùng nhập thông tin đăng nhập Active Directory của họ, thông

Nó tự động tạo một đường hầm IPSec tới máy chủ truy cập từ xa sau khi tin đăng nhập được lưu vào bộ đệm để sử dụng với các kết nối truy cập từ xa trong tương
nhắc người dùng đăng nhập vào miền Active Directory, nếu cần. lai.

Vì DirectAccess sử dụng cả HTTPS và IPSec nên khi định cấu hình ngoại lệ
tường lửa, chuyển tiếp cổng hoặc proxy ngược, bạn phải chỉ định số cổng
cho SSTP và L2TP/IKEv2 nếu công cụ cấu hình cho tường lửa, bộ định tuyến
NAT hoặc NGFW không cho phép bạn để chỉ định giao thức DirectAccess theo
tên.

57/508 58/508

TRUY CẬP TRỰC TIẾP

Máy khách truy cập từ xa sử dụng IPv6 khi liên hệ với máy chủ định vị
mạng hoặc xác thực với máy chủ truy cập từ xa bằng DirectAccess. Các

gói IPv6 này sẽ tự động được đặt trong các gói IPv4 khi
được gửi qua mạng IPv4.

3 MÁY TÍNH TỪ XA

59/508 60
Machine Translated by Google

MÁY TÍNH TỪ XA MÁY TÍNH TỪ XA

Máy tính từ xa sử dụng một phương pháp khác để đạt được quyền truy cập từ xa so Sau khi máy khách truy cập từ xa có được phiên màn hình đồ họa, họ có thể chạy
với VPN và DirectAccess. các chương trình trên máy chủ truy cập từ xa và truy cập tài nguyên trên mạng
DMZ mà máy chủ truy cập từ xa được kết nối.

Nói cách khác, Máy tính Từ xa cho phép các máy khách truy cập từ xa truy cập
Máy khách truy cập từ xa sử dụng ứng dụng Máy tính từ xa để đăng nhập vào máy
vào màn hình đồ họa đang chạy trong DMZ của tổ chức để cung cấp quyền truy cập
chủ truy cập từ xa nhằm nhận phiên máy tính để bàn đồ họa trên chính máy chủ
vào các tài nguyên của tổ chức.
truy cập từ xa (được gọi là triển khai máy tính để bàn dựa trên phiên) hoặc
phiên máy tính để bàn đồ họa từ (được
từ xa máy ảogọi
Hyper-V đangkhai
là triển chạymáy
trên máyđểchủ
tính bàntruy
dựa cập
trên máy ảo).

61/508 62/508

MÁY TÍNH TỪ XA MÁY TÍNH TỪ XA

Ứng dụng Máy tính Từ xa sử dụng Giao thức Máy tính Từ xa (RDP) để truyền đồ họa Có các ứng dụng Máy tính Từ xa dành cho máy khách truy cập từ xa Windows,
trên máy tính, tổ hợp phím và di chuyển chuột đến và từ máy chủ truy cập từ xa. macOS, Linux, UNIX, Android và iOS.

Ứng dụng Máy tính Từ xa có sẵn theo mặc định trên hệ thống Windows được gọi
là Kết nối Máy tính Từ xa.
Các chương trình đang chạy trong phiên Máy tính Từ xa được thực thi trên máy
chủ truy cập từ xa và có thể truy cập các thư mục và máy in được chia sẻ trên
Thay vì chạy một màn hình đồ họa đầy đủ, các máy khách truy cập từ xa có thể
mạng của tổ chức cũng như các ổ đĩa và máy in được cài đặt trên máy khách truy
sử dụng RemoteApp để truy cập một chương trình duy nhất (ví dụ: Microsoft
cập từ xa bên dưới, nếu được định cấu hình.
Outlook) đang chạy trên một máy chủ truy cập từ xa bằng Remote Desktop.

Do đó, người dùng truy cập từ xa có thể sử dụng File Explorer trong phiên Máy Chương trình này cũng có thể được cấu hình để xuất hiện dưới dạng lối tắt
trên menu Bắt đầu. Khi máy khách truy cập từ xa nhấp vào phím tắt này,
tính Từ xa của họ để truyền tệp từ tổ chức sang máy tính cục bộ của họ để sử
dụng sau hoặc in tài liệu trong Microsoft Word trên máy chủ truy cập từ xa sang chương trình sẽ thực thi trên máy chủ truy cập từ xa và chuyển cửa sổ chương

máy in được cài đặt trên máy chủ của họ. máy tính cục bộ . trình, tổ hợp phím và chuyển động chuột đến và từ máy khách truy cập từ xa.

63/508 64/508
Machine Translated by Google
Các dịch vụ khả dụng cho vai trò máy chủ dịch vụ Máy tính Từ xa
65/508
MÁY TÍNH TỪ XA
Nếu bạn triển khai nhiều Máy chủ phiên máy tính từ xa hoặc Máy tính từ xa
Ảo hóa Lưu trữ các máy chủ truy cập từ xa trong DMZ của bạn, sau đó bạn có
thể cài đặt một máy chủ duy nhất chứa Kết nối Máy tính Từ xa
Nhà môi giới để phân phối các yêu cầu RDP trên tất cả các quyền truy cập từ xa
may chu .
Trong trường hợp này, máy khách truy cập từ xa sẽ kết nối với máy chủ Remote
Desktop Connection Broker. Hơn nữa, máy chủ lưu trữ Nhà môi giới kết nối máy
tính từ xa cũng có thể lưu trữ các dịch vụ vai trò Cấp phép máy tính từ xa,
Truy cập web trên máy tính từ xa và Cổng máy tính từ xa để cung cấp mã hóa
cấp phép, RemoteApp và HTTPS cho tất cả các máy chủ truy cập từ xa trong DMZ.
67/508
Các dịch vụ khả dụng cho vai trò máy chủ dịch vụ Máy tính Từ xa
66/508
MÁY TÍNH TỪ XA
Nhiều quản trị viên máy chủ cài đặt Nhà môi giới kết nối máy tính từ xa khi
chỉ có một máy chủ truy cập từ xa có chứa dịch vụ vai trò Máy chủ phiên máy
tính từ xa hoặc Máy chủ lưu trữ ảo hóa máy tính từ xa.
Nếu các máy chủ bổ sung được cài đặt với dịch vụ vai trò Máy chủ phiên máy
tính từ xa hoặc Máy chủ lưu trữ ảo hóa máy tính từ xa sau đó, chúng sẽ tự
động được liên kết với Nhà môi giới kết nối máy tính từ xa và không cần cấu
hình tường lửa, chuyển tiếp cổng hoặc proxy ngược bổ sung.
68/508
Machine Translated by Google

CÁM ƠN VÌ SỰ QUAN TÂM CỦA BẠN

Nguyễn Việt Hà, Ph.D.

Bộ môn Mạng và Viễn thông Khoa Điện tử và
Truyền thông Trường Đại học Khoa học Tự
nhiên, Đại học Quốc gia TP.HCM Email: nvha@hcmus.edu.vn