TỐI ƯU VÀ KHẮC PHỤC LỖI DỊCH VỤ NộI dung bài học 1. Đề xuất phương án triển khai dịch vụ DHCP 2. Tích hợp DHCP với Active Directory 3. Xây dựng DHCP dự phòng 4. Tối ưu hóa truy cập mạng thông qua DHCP 5. Sao lưu DNS 6. Sao lưu DNS trong Active Directory NộI dung bài học 8. Thiết lập và đồng bộ dịch vụ WINS 9. Triển khai IP Sec cho domain 10.Thiết lập chứng thực RADIUS cho mạng không dây 11.Xây dựng VPN Site-to-Site cho phép kết nối mạng chi nhánh sử dụng L2TP thông qua IP Sec Pre-share Key 12.Cấu hình và theo dõi kết nối VPN 1. Đề xuất phương án triển khai dịch vụ DHCP Các máy chủ DHCP của Windows Server 2003 có thể gán địa chỉ IP bằng cách sử dụng ba khác nhau: Dynamic Allocation: Automatic allocation: Manual Allocation 1. Đề xuất phương án triển khai dịch vụ DHCP Kế hoạch triển khai: Xác định trong hạ tầng mạng cần có bao nhiêu DHCP Server? Vị trị đặt DHCP là ở đâu? Lưu ý: DHCP Client phải gửi broadcast để tìm DHCP Server 1. Đề xuất phương án triển khai dịch vụ DHCP Kế hoạch triển khai: Không cần phải có nhiều DHCP ứng với mỗi mạng Lan mà nên cấp DHCP qua Router (các Router đa số đều có hỗ trợ DHCP Relay Agent) Relay Agent lắng nghe và tiếp nhận gói broadcast từ client và sau đó tiến hành forward đến DHCP Server ở hệ thống mạng khác 1. Đề xuất phương án triển khai dịch vụ DHCP Kế hoạch triển khai: Khi hệ thống có nhiều DHCP Server thì lưu ý rằng các DHCP Server không làm việc cùng nhau. Tức là phải cấu hình chúng với dãy IP phạm vi riêng biệt Nếu cấu hình 2 DHCP Server với dãy IP giống nhau trong scope thì sẽ dẫn tới trùng IP trong hệ thống và hệ thống sẽ không hoạt động 1. Đề xuất phương án triển khai dịch vụ DHCP Kế hoạch triển khai: Microsoft khuyến cáo nên phân phối các địa chỉ IP trong một subnet theo tỉ lệ 80:20 Cấu hình một Server với 1 scope chứa 80% các địa chỉ tồn tại Cấu hình Server thứ 2 chứa 20% các địa chỉ còn lại trong chính subnet đó. Cơ chế này giúp hệ thống chịu lỗi khá tốt 2. Tích hợp DHCP với Active Directory 3. Xây dựng DHCP dự phòng Dịch vụ DHCP có vai trò hết sức quan trọng nên việc đảm bảo tính sẵn sàng có dịch vụ này luôn được ưu tiên Có 2 kỹ thuật để xây dựng DHCP dự phòng hiện nay: Kỹ thuật Clustering Kỹ thuật DHCP Failover 4. Tối ưu hóa truy cập mạng thông qua DHCP Cần tối ưu hóa DHCP khi: Máy chủ Server yếu Hoạt động của máy chủ tăng Có khả năng bị hư phần cứng Trong hệ thống xuất hiện sự sai lệch hoặc nghi ngờ 5. Sao lưu DNS Dữ liệu (Database) DNS Server chứa thông tin về các Zone. Dữ liệu có 2 nơi chứa : Systemroot Folder (trường hợp DNS không tích hợp với Active Directory) Nằm chung trong dữ liệu của Active Directory (trường hợp DNS được tích hợp với Active Directory). 5. Sao lưu DNS Người thực hiện : Domain Admin, DNS Admin, Local Admin, Backup Operator. Do Database DNS không nằm chung với AD nên Admin chỉ cần backup thư mục %systemroot%\system32\dns bằng các công cụ backup như , Scheduled Tasks,… hoặc backup thủ công. Sau đó, Backup Registry DNS. 6. Sao lưu DNS trong Active Directory Dữ liệu DNS lưu trong file NTDS.DIT. Trong trường hợp này có 2 cách: Dùng Backup system state Dùng lệnh export dữ liệu ra file rồi backup DNS. Lệnh sử dụng là: dnscmd Ví dụ: dnscmd /zoneexport nwtraders.msft backup\nwtraders.msft.bak 7. Tối ưu hóa dịch vụ DNS Vô hiệu hóa Recursion trên DNS Server Cập nhật Root Hint trên DNS Server Tối ưu hóa DNS Server Response Sửa đổi các thiết lập Timeout Cache Tối ưu hóa các chức năng của DNS Server Tối ưu hóa máy chủ DNS 8. Thiết lập và đồng bộ dịch vụ WINS Sử dụng WINS khi: Có một tổ chức lớn Có một môi trường IP động Có các ứng dụng với yêu cầu NetBIOS Có nhiều Broadcast Doman hiện diện Có máy chủ ứng dụng NetBIOS trong hệ thống mạng 8. Thiết lập và đồng bộ dịch vụ WINS 8. Thiết lập và đồng bộ dịch vụ WINS 9. Triển khai IP Sec cho Domain IP sec là gì? Có thể sử dụng các giao thức bảo mật để mã hóa hay xác lập chữ ký điện tử cho traffic 9. Triển khai IP Sec cho Domain IP sec là gì? Có thể sử dụng tunel mode để đảm bảo an toàn cho kết nối giữa 2 mạng 9. Triển khai IP Sec cho Domain IP sec là gì? Có thể sử dụng transport mode để đảm bảo an toàn cho kết nối giữa 2 host 10. Thiết lập RADIUS cho mạng không dây 10. Thiết lập RADIUS cho mạng không dây 11. Xây dựng VPN Site to Site ch phép kết nối mạng chi nhánh sử dụng L2TP thông qua IP Sec Pre-share Key
L2TP: giao thức đường hầm lớp 2
sử dụng trong dịch vụ VPN Site to Site IP Sec: giao thức mang tính bảo mật L2TP/IP Sec có 2 cơ chế là: Pre- sharekey và Certificate 11. Xây dựng VPN Site to Site ch phép kết nối mạng chi nhánh sử dụng L2TP thông qua IP Sec Pre-share Key
Các bước cấu hình trên Server
Khởi động dịch vụ RRAS Cấu hình VPN Server (chọn giao thức L2TP với IPSec Policy) Tạo user kết nối 11. Xây dựng VPN Site to Site ch phép kết nối mạng chi nhánh sử dụng L2TP thông qua IP Sec Pre-share Key
Chỉnh sửa thông số Security use
presharekey cho chứng thực 12. Cấu hình và theo dõi kết nối VPN Trạng thái VPN cho kết nối từ xa xác định, LAN to LAN,…. Trạng thái mã hóa số liệu thống kê cho các nhóm đường hầm Trạng thái giao thức cho đường hầm Global IPSec và IKE 12. Cấu hình và theo dõi kết nối VPN Quản lý người sử dụng Quản lý địa chỉ cấp phát Quản lý truy cập Quản lý xác thực Quản lý truy cập mạng