Bài 3:

PHÂN TÍCH, TRIỂN KHAI, BẢO MẬT,

TỐI ƯU VÀ KHẮC PHỤC LỖI DỊCH VỤ
NộI dung bài học
1. Đề xuất phương án triển khai dịch
vụ DHCP
2. Tích hợp DHCP với Active
Directory
3. Xây dựng DHCP dự phòng
4. Tối ưu hóa truy cập mạng thông
qua DHCP
5. Sao lưu DNS
6. Sao lưu DNS trong Active
Directory
NộI dung bài học
8. Thiết lập và đồng bộ dịch vụ WINS
9. Triển khai IP Sec cho domain
10.Thiết lập chứng thực RADIUS cho
mạng không dây
11.Xây dựng VPN Site-to-Site cho phép
kết nối mạng chi nhánh sử dụng
L2TP thông qua IP Sec Pre-share Key
12.Cấu hình và theo dõi kết nối VPN
1. Đề xuất phương án triển
khai dịch vụ DHCP
Các máy chủ DHCP của Windows
Server 2003 có thể gán địa chỉ IP
bằng cách sử dụng ba khác nhau:
 Dynamic Allocation:
 Automatic allocation:
 Manual Allocation
1. Đề xuất phương án triển
khai dịch vụ DHCP
Kế hoạch triển khai:
 Xác định trong hạ tầng mạng cần có
bao nhiêu DHCP Server?
 Vị trị đặt DHCP là ở đâu?
Lưu ý: DHCP Client phải gửi broadcast
để tìm DHCP Server
1. Đề xuất phương án triển
khai dịch vụ DHCP
Kế hoạch triển khai:
 Không cần phải có nhiều DHCP ứng
với mỗi mạng Lan mà nên cấp DHCP
qua Router (các Router đa số đều có
hỗ trợ DHCP Relay Agent)
 Relay Agent lắng nghe và tiếp nhận
gói broadcast từ client và sau đó tiến
hành forward đến DHCP Server ở hệ
thống mạng khác
1. Đề xuất phương án triển
khai dịch vụ DHCP
Kế hoạch triển khai:
 Khi hệ thống có nhiều DHCP Server
thì lưu ý rằng các DHCP Server
không làm việc cùng nhau. Tức là
phải cấu hình chúng với dãy IP phạm
vi riêng biệt
 Nếu cấu hình 2 DHCP Server với dãy
IP giống nhau trong scope thì sẽ dẫn
tới trùng IP trong hệ thống và hệ
thống sẽ không hoạt động
1. Đề xuất phương án triển
khai dịch vụ DHCP
Kế hoạch triển khai:
 Microsoft khuyến cáo nên phân phối
các địa chỉ IP trong một subnet theo
tỉ lệ 80:20
 Cấu hình một Server với 1 scope
chứa 80% các địa chỉ tồn tại
 Cấu hình Server thứ 2 chứa 20% các
địa chỉ còn lại trong chính subnet đó.
 Cơ chế này giúp hệ thống chịu lỗi
khá tốt
2. Tích hợp DHCP với Active
Directory
3. Xây dựng DHCP dự phòng
Dịch vụ DHCP có vai trò hết sức
quan trọng nên việc đảm bảo tính
sẵn sàng có dịch vụ này luôn
được ưu tiên
Có 2 kỹ thuật để xây dựng DHCP
dự phòng hiện nay:
 Kỹ thuật Clustering
 Kỹ thuật DHCP Failover
4. Tối ưu hóa truy cập mạng
thông qua DHCP
Cần tối ưu hóa DHCP khi:
Máy chủ Server yếu
Hoạt động của máy chủ tăng
Có khả năng bị hư phần cứng
Trong hệ thống xuất hiện sự sai
lệch hoặc nghi ngờ
5. Sao lưu DNS
Dữ liệu (Database) DNS Server
chứa thông tin về các Zone. Dữ
liệu có 2 nơi chứa :
 Systemroot Folder (trường hợp DNS
không tích hợp với Active Directory)
 Nằm chung trong dữ liệu của Active
Directory (trường hợp DNS được tích
hợp với Active Directory).
5. Sao lưu DNS
Người thực hiện : Domain Admin, DNS
Admin, Local Admin, Backup Operator.
Do Database DNS không nằm chung
với AD nên Admin chỉ cần backup thư
mục %systemroot%\system32\dns
bằng các công cụ backup như ,
Scheduled Tasks,… hoặc backup thủ
công.
Sau đó, Backup Registry DNS.
6. Sao lưu DNS trong Active
Directory
Dữ liệu DNS lưu trong file
NTDS.DIT. Trong trường hợp này
có 2 cách:
 Dùng Backup system state
 Dùng lệnh export dữ liệu ra file rồi
backup DNS. Lệnh sử dụng là:
dnscmd
Ví dụ: dnscmd /zoneexport
nwtraders.msft
backup\nwtraders.msft.bak
7. Tối ưu hóa dịch vụ
DNS
Vô hiệu hóa Recursion trên DNS
Server
Cập nhật Root Hint trên DNS
Server
Tối ưu hóa DNS Server Response
Sửa đổi các thiết lập Timeout
Cache
Tối ưu hóa các chức năng của
DNS Server
Tối ưu hóa máy chủ DNS
8. Thiết lập và đồng bộ dịch vụ
WINS
Sử dụng WINS khi:
Có một tổ chức lớn
Có một môi trường IP động
Có các ứng dụng với yêu cầu
NetBIOS
 Có nhiều Broadcast Doman hiện
diện
Có máy chủ ứng dụng NetBIOS
trong hệ thống mạng
8. Thiết lập và đồng bộ dịch vụ
WINS
8. Thiết lập và đồng bộ dịch vụ
WINS
9. Triển khai IP Sec cho Domain
IP sec là gì?
 Có thể sử dụng các giao thức bảo
mật để mã hóa hay xác lập chữ ký
điện tử cho traffic
9. Triển khai IP Sec cho Domain
IP sec là gì?
 Có thể sử dụng tunel mode để đảm
bảo an toàn cho kết nối giữa 2 mạng
9. Triển khai IP Sec cho Domain
IP sec là gì?
 Có thể sử dụng transport mode để
đảm bảo an toàn cho kết nối giữa 2
host
10. Thiết lập RADIUS cho mạng
không dây
10. Thiết lập RADIUS cho mạng
không dây
11. Xây dựng VPN Site to Site
ch phép kết nối mạng chi
nhánh sử dụng L2TP thông
qua IP Sec Pre-share Key

L2TP: giao thức đường hầm lớp 2

sử dụng trong dịch vụ VPN Site to
Site
IP Sec: giao thức mang tính bảo
mật
L2TP/IP Sec có 2 cơ chế là: Pre-
sharekey và Certificate
11. Xây dựng VPN Site to Site
ch phép kết nối mạng chi
nhánh sử dụng L2TP thông
qua IP Sec Pre-share Key

Các bước cấu hình trên Server

 Khởi động dịch vụ RRAS
 Cấu hình VPN Server (chọn giao thức
L2TP với IPSec Policy)
 Tạo user kết nối
11. Xây dựng VPN Site to Site
ch phép kết nối mạng chi
nhánh sử dụng L2TP thông
qua IP Sec Pre-share Key

 Chỉnh sửa thông số Security use

presharekey cho chứng thực
12. Cấu hình và theo dõi kết nối
VPN
Trạng thái VPN cho kết nối từ xa
xác định, LAN to LAN,….
Trạng thái mã hóa số liệu thống
kê cho các nhóm đường hầm
Trạng thái giao thức cho đường
hầm
Global IPSec và IKE
12. Cấu hình và theo dõi kết nối
VPN
Quản lý người sử dụng
Quản lý địa chỉ cấp phát
Quản lý truy cập
Quản lý xác thực
Quản lý truy cập mạng