IV. Phương án triển khai
A. Bảng phân hoạch IP:
B. Thiết kế và xây dựng sơ đồ hệ thống:
1. Thiết kế và xây dựng Domain Xây dựng cấu trúc Active Directory
Chức năng của Domain Controller:
Máy DC giúp quản lý các đối tượng như domain, ou, group, user, máy in, và rất nhiều các đối tượng khác. Để máy DC hoạt động ổn định, cấu hình đúng là cực kỳ quan trọng. Ta tiến hành xây dựng 2 DC đồng cấp trên hệ thống giúp tối ưu hóa khả năng làm việc cũng như sự an toàn cho hệ thống.
Hai máy DC đồng cấp có cơ cấu Replicate dữ liệu qua lại và hoạt động ngang hàng. Khi có một user gửi yêu cầu lên DC1 xử lí, thông tin từ user thứ 2 sẽ được tiếp nhận bởi DC2. Hai máy này sẽ thay phiên nhau làm việc, giúp hệ thống vận hành nhẹ nhàng hơn.
Khi có một máy trong hệ thống không hoạt động nữa, máy DC còn lại sẽ có nhiệm vụ thực hiện hết tấc cả các công việc điều hành và quản lý các đối tượng. Giúp hệ thống vẫn vận hành tốt khi có sự cố với một máy DC nào đó.
Khi xây dựng 2 dc đồng cấp, dữ liệu truyền qua giữa 2 máy này theo cơ chế nhân bản (Replicate), bảo mật và không chiếm quá nhiều băng thông hệ thống như quá trình transfer.
Ta xây dựng 2 máy Domain controller đồng cấp lần lượt như sau:
- Domain type: Forest Root Domain
- Full quality domain name: server01.vntransport.vn
- Domain type: Additional Domain
- Full quality domain name: server02.vntransport.vn
DC1 và DC2 đồng cấp hoạt động ngang hàng chia sẽ thực hiện các yêu cầu từ các client trong hệ thống. Khi DC1 bị sự cố DC2 có nhiệm vụ thực hiện quản lý các đối tượng cho DC1
1.2 Xây dựng cấu trúc OU và Group
Chiến lược Group được sử dụng: A-G-P, áp dụng khi forest có một domain và ít user.
Giải thích chiến lược A-G-P: Account – Global Group – Permission. Các User Account (A) được đưa vào Global Group (G), và giới hạn quyền tới group này (P).
- Các group không lồng vào nhau nên việc xử lý sự cố sẽ dễ dàng hơn
- Tài khoản thuộc về một phạm vi nhóm đơn lẻ.
- Tại mọi thời gian một người dùng xác nhận với một tài nguyên. Server kiểm tra thành viên của nhóm và xác định nó có phải là member không?
- Sự thực thi bị giảm sút với vì nhóm global không có Cache.
Bảng thiết kế Group cho công ty VNTRANSPORT:
Group | Group Scope | Group Type | OU |
Doman Local | Global | Universal | Security | Distribute |
BanGiamDoc |
| P |
| P |
| BanGiamDoc |
ThuKy |
| P |
| P |
| BanGiamDoc |
KToan |
| P |
| P |
| KeToan |
HC-NS |
| P |
| P |
| HanhChinh-NhanSu |
KT-KD |
| P |
| P |
| KeHoach-KinhDoanh |
1.3. Chiến lược Backup và Restore Active Directory.
Để đảm bảo sự an toàn cho dữ liệu và khả năng hồi phục dữ liệu khi cần thiết. Ta tiến hành backup và restore cho Active Directory
1.3.1. Yêu cầu khi thực hiện Backup Restore cho Active Directory:
- Đảm bảo dữ liệu được lưu trữ tốt để phục hồi sau backup
- Lựa chọn thời đúng thời điểm để backup không gây ảnh hưởng hoạt động của máy chủ
- Sử dụng các chiến lược restore hợp lý khi gặp những sự cố khác nhau trên AD
1.3.2. Định hướng thực hiện:
- Sử dụng thiết bị lưu trử chuyên dụng cho việc backup là Tape Driver: Hewlett Packard StorageWorks DAT 24 (DW069A) DAT Tape Drive DAT, 12 GB, USB 2.0 Interface, Internal Enclosure, 1.5 MBps, For: PC Platforms. Giá: 220$
- Chọn thời gian backup thích hợp tốt nhất là vào những lúc vắng nhân viên làm việc như vào lúc nghỉ trưa hoặc sau giờ làm việc.
- Sử dụng các chiến lược restore phù hợp như: Primary, Non-Authoritative, Anthoritative
a. Backup System State: dùng để backup lại database của Active Directory. Dùng chương trình backup NTBACKUP có sẳn của Windows để tiến hành backup system state cho hệ thống.
b. Restore AD: Tùy vào các trường hợp khác nhau của sự cố Domain Controller ta tiến hành các kiểu restote database khác nhau
Ø Trường hợp 1: Authoritative Restore
Khi chọn cách phục hồi này từ máy DC1 (file backup ở trên máy này), dữ liệu được nhân bản (replicate) ngược lại từ máy DC2. Nếu muốn chọn giữ lại đối tượng nào được tạo ra sau thời điểm backup trên DC1 ta sẽ chạy dòng lệnh NTDSUNTIL để giữ lại đối tượng đó.
Giả sử muốn giữ lại user NV-Ktoan01 trên DC1 được tạo ra sau thời điểm backup, ta lần lượt chạy dòng lệnh trên cmd như sau:
Restore Object “cn=NV-Ktoan01,ou=Ktoan,ou=KeToan,dc=vntransport,dc=vn”
Ø Trường hợp 2: Non-Authoritative Restore
Hình thức này sẽ ghi lại tình trạng hệ thống khi tiến hành backup kết hợp với những đối tượng từ máy DC bên kia sau khi bản backup được tạo ra, giả sử ta tạo bản backup trên DC1 và sau đó tạo user NV-Ktoan01 trên DC2. Sau đó tiến hành restore file backup. Sau khi restore hệ thống sẽ bao gồm những đối tượng khi backup cùng với user NV-Ktoan01 được tạo ra trên DC2 nhân bản qua.
Ø Trường hợp 3: Primary Restore
Hình thức này sẽ lấy trạng thái mới nhất cho file backup và phục hồi lại cho DC tiến hành restore, hệ thống tự động đồng bộ cho DC khác trên hệ thống. Ta sử dụng cách backup này khi tấc cả các máy DC đều bị mất dữ liệu và muốn phục hồi lại dữ liệu tại thời điểm backup.
1.3.4. Tổng kết Backup & Restore AD
Một hệ thống an toàn là hệ thống được backup thường xuyên và sử dụng chiến lược restore đúng thời điểm. Sử dụng chiến lược backup restore AD giúp dữ liệu trên các máy DC được bảo đảm an xảy ra biến cố hệ thống.
2. Thiết kế và xây dựng DNS DNS là một mấu chốt quan trọng cho sự vận hành hệ thống mạng. Để DNS hoạt động tốt, ta cần thực hiện thiết kế và cài đặt đúng phương pháp và chính xác.
2.1.1. Chức năng của DNS server:
Ngoài chức năng phân giải tên miền thành IP và ngược lại. Vì DNS là một cơ sở dữ liệu phân tán và có khả năng mở rộng. Nó giúp người quản trị cục bộ có thể quản lí dữ liệu nội bộ thuộc phạm vi của họ, dữ liệu này được truy cập trên toàn bộ hệ thống theo mô hình client-server.
- Security (dynamic update)
- Giảm traffic hệ thống (không phải transfer mà thông tin Dns được replicate chung voi AD)
2.1.2. Yêu cầu định hướng và cách thực hiện:
Xây dựng 2 DNS primary server để đảm bảo tính sẵn sàng và khả năng chịu lỗi. Khi 1 server bị sự cố DNS server còn lại sẽ thực hiện các yêu cầu phân giải của client.
Xây dựng hệ thống DNS trên server01
- Vào control panel cài đặt Dns service
- Cấu hình Primary Zone tích hợp AD
- Cấu hình Forward lookup zone và Reverse lookup zones
Xây dựng DNS trên server02
- Chỉ cần cài đặt DNS service sau đó tấc cả các dữ liệu sẽ được replicate từ máy dns1 qua.
Sau khi cấu hình xong ta sẽ tiến hành kiểm tra DNS có phân giải đúng hay không bằng lệnh nslookup trên CMD. Nếu phân giải tốt kết thúc quá trình cấu hình và tiếp tục xây dựng các dịch vụ khác.
2.1.3. Tổng kết dịch vụ DNS
DNS là một dịch vụ cực kỳ quan trọng trên hệ thống mạng. Để DNS có thể phân giải đúng và có khả năng hoạt động ổn định, ta cần tiến hành các bước cấu hình chính xác
3. Thiết kế và xây dựng DHCP Khi một máy tính tham gia vào mạng thì địa chỉ của nó phải là duy nhất – không trùng lặp với bất cứ máy nào khác trên hệ thống. Đối với một hệ thống mạng lớn có hàng trăm máy trạm thì việc gán địa chỉ IP cho từng máy trạm thì sẽ gặp rất nhiều khó khăn, mất nhiều thời gian và công sức.
Để khắc phục tình trạng trên, hệ thống mạng cung cấp dịch vụ DHCP cho Server tự động cung cấp địa chỉ IP và các thông tin cấu hình cần thiết cho các máy trạm.
3.1. Chức năng của DHCP server
DHCP Server cấp phát IP động và các thông tin cấu hình có liên quan cho các Client.
3.2. Ưu nhược điểm của DHCP server
- Giảm bớt các hiện tượng xung đột về IP, hay các lỗi về IP, luôn đảm bảo Client được cấu hình đúng.
- Đơn giản hóa trong công tác quản trị.
- Tiết kiệm được số địa chỉ IP thật.
- Tập trung quản trị thông tin về cấu hình IP.
- Cấu hình IP động cho các máy trạm một cách liền mạch.
- Phù hợp với các máy tính thường xuyên di chuyển giữa các lớp mạng.
- Tự động cập nhật thông tin khi có sự thay đổi cấu trúc mạng.
- Sự linh hoạt và khả năng dể mở rộng.
- Địa chỉ IP được cấp sẽ bị thay đổi, không bảo đảm có một địa chỉ riêng biệt cho một Client trong mọi lúc khi Client cần một địa chỉ IP tỉnh.
- Quá trình cấp phát IP giữa DHCP client và DHCP server là tín hiệu broadcast nên không thể đi qua được Router.
3.3. Các yêu cầu chung khi triển khai dịch vụ DHCP server
- DHCP Server Service đã được cài đặt trên Server
- Đã cấu hình IP tĩnh, Subnet Mask và Default Gateway
3.4. Định hướng và triển khai dịch vụ DHCP server
Ø Định hướng thực hiện theo mô hình hệ thống
- Xây dựng theo chiến lược 80/20
- Cấu hình 2 Range IP cho 2 Subnet tương ứng trong mô hình hệ thống
- Cấu hình Scope Option: 003: Router, 006: DNS Servers, 015: DNS Domain Name
- Cấu hình Superscope cho 2 Range IP tương ứng
- Backup & Restore DHCP database
- Cấu hình DHCP Relay Agent
Ø Triển khai dịch vụ theo mô hình hệ thống
Chú thích:
003 | Router |
006 | DNS Servers |
015 | DNS Domain Name |
(continue)
nguồn: http://www.lecuong.info/
0 Comments