Giáo trình Triển khai, quản trị và duy trì cơ sở hạ tầng mạng với Microsoft Windows Server 2003

pdf 406 trang phuongnguyen 2880
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Triển khai, quản trị và duy trì cơ sở hạ tầng mạng với Microsoft Windows Server 2003", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên

Tài liệu đính kèm:

  • pdfgiao_trinh_trien_khai_quan_tri_va_duy_tri_co_so_ha_tang_mang.pdf

Nội dung text: Giáo trình Triển khai, quản trị và duy trì cơ sở hạ tầng mạng với Microsoft Windows Server 2003

  1. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI MICROSOFT WINDOWS SERVER 2003 HANỘI APTECH – 2006
  2. MỤC LỤC CHƯƠNG 1: TRIỂN KHAI DHCP 2 LỊCH SỬ SƠ LƯỢC CỦA DHCP 3 DHCP LÀ GÌ ? 4 DHCP HOẠT ĐỘNG NHƯ THẾ NÀO ? 6 ỦY QUYỀN MÁY CHỦ DHCP 19 CẤU HÌNH MỘT DHCP SCOPE (PHẠM VI DHCP) 23 CẤU HÌNH ĐỊA CHỈ DHCP DÀNH SẴN 27 CẤU HÌNH CÁC TÙY CHỌN CHO DHCP 29 CẤU HÌNH DHCP RELAY AGENT 31 TỔNG KẾT 40 BÀI TẬP 40 CÁC CÂU HỎI TỔNG KẾT 43 CÁC KỊCH BẢN TÌNH HUỐNG 43 CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP 45 QUẢN TRỊ DHCP 45 HIỂU BIẾT CÁC CẬP NHẬT DNS ĐỘNG 46 QUẢN TRỊ CƠ SỞ DỮ LIỆU DHCP 55 GIÁM SÁT CSDL DHCP 63 SỬ DỤNG VIỆC CẤP ĐỊA CHỈ IP RIÊNG MỘT CÁCH TỰ ĐỘNG (APIPA) 75 TỔNG KẾT 79 BÀI TẬP 79 CÁC CÂU HỎI TỔNG KẾT 82 CÁC KỊCH BẢN TÌNH HUỐNG 84 CHƯƠNG 3: THỰC HIỆN VIỆC PHÂN GIẢI TÊN BẰNG DNS 85 TỔNG QUAN VỀ QUÁ TRÌNH PHÂN GIẢI TÊN 86 TỔNG QUAN VỀ DNS 86 CÀI ĐẶT DNS 90 CÁC VÙNG DNS 91 CÁC ROOT HINT (THÔNG TIN MỨC GỐC) 98 CÁC KIỂU MÁY CHỦ DNS 101 CÁC BẢN GHI TÀI NGUYÊN DNS 103 HIỂU BIẾT VỀ QUÁ TRÌNH TRUY VẤN DNS 115 ỦY QUYỀN CHO CÁC VÙNG 122 HIỂU BIẾT VỀ SỰ CHUYỂN GIAO VÙNG 126
  3. HIỂU BIẾT VỀ SỰ CHUYỂN TIẾP (FORWARDING) 132 KẾT NỐI CÁC MẠNG NỘI BỘ RA INTERNET. 136 TỔNG KẾT 142 BÀI TẬP 144 CÁC CÂU HỎI TỔNG KẾT 148 CÁC KỊCH BẢN TÌNH HUỐNG 149 CHƯƠNG 4: QUẢN TRỊ VÀ GIÁM SÁT DNS 150 SỬ DỤNG CÁC CÔNG CỤ QUẢN TRỊ DNS 150 TÍCH HỢP CÁC VÙNG DNS VỚI WINS 165 QUẢN TRỊ DNS BẰNG CÁC THUỘC TÍNH NÂNG CAO CỦA MÁY CHỦ DNS 166 LÃO HÓA VÀ LOẠI BỎ CÁC BẢN GHI TÀI NGUYÊN (AGING AND SCAVENGING) 174 QUẢN LÝ BỘ ĐỆM PHÂN GIẢI TÊN DNS (DNS RESOLVER CACHE ) 176 BẢO MẬT DNS 177 GIÁM SÁT VÀ GIẢI QUYẾT SỰ CỐ DNS 187 TỔNG KẾT 198 BÀI TẬP 199 CÁC CÂU HỎI TỔNG KẾT 201 CÁC KỊCH BẢN TÌNH HUỐNG 203 CHƯƠNG 5: BẢO MẬT TRONG MẠNG 205 THỰC HIỆN CÁC GIAO THỨC BẢO MẬT TRONG MẠNG 206 QUẢN LÝ CÁC QUYỀN CỦA NGƯỜI SỬ DỤNG (USER RIGHT) 206 THỰC HÀNH QUẢN TRỊ BẢO MẬT 213 SỬ DỤNG CÁC MẪU BẢO MẬT (SECURITY TEMPLATE) 219 QUẢN LÝ HỆ THỐNG FILE MÃ HÓA (EFS) 224 SỬ DỤNG CÁC CÔNG CỤ CẤU HÌNH BẢO MẬT 229 TỔNG KẾT 240 BÀI TẬP 240 CÁC CÂU HỎI KIỂM TRA 246 CÁC BÀI TẬP TÌNH HUỐNG 247 CHƯƠNG 6: BẢO MẬT LƯU THÔNG MẠNG VỚI IPSEC 248 MỤC ĐÍCH CỦA IPSEC 249 TÌM HIỂU IPSEC 251 TÌM HIỂU CÁC CHÍNH SÁCH BẢO MẬT IPSEC 268 TRIỂN KHAI CHÍNH SÁCH IPSEC 273
  4. THỰC THI IPSEC SỬ DỤNG GIẤY CHỨNG NHẬN 276 SỬ DỤNG NAT VỚI IPSEC 278 QUẢN TRỊ VÀ THEO DÕI IPSEC 278 TỎNG KẾT 291 BÀI TẬP 292 CÂU HỎI ÔN TẬP 295 KỊCH BẢN TÌNH HUỐNG 298 CHƯƠNG 7: SỬ DỤNG RRAS ĐỂ CẤU HÌNH ĐỊNH TUYẾN 301 TỔNG QUAN VỀ DỊCH VỤ RRAS TRÊN WINDOWS SERVER 2003 303 CÁC LỰA CHỌN TRONG VIỆC CẤU HÌNH CHO CÁC MÁY CHỦ TRUY CẬP TỪ XA 306 LỰA CHỌN GIAO THỨC ĐỊNH TUYẾN 316 QUẢN TRỊ CÁC BẢNG ĐỊNH TUYẾN 319 LỌC GÓI TIN 324 CẤU HÌNH ĐỊNH TUYẾN QUAY SỐ THEO YÊU CẦU 327 ỦY QUYỀN CHO CÁC KẾT NỐI TRUY CẬP TỪ XA 331 ÁP DỤNG CÁC CHÍNH SÁCH TRUY CẬP TỪ XA 334 CẤU HÌNH MỘT CHÍNH SÁCH TRUY CẬP TỪ XA 335 QUẢN TRỊ XÁC THỰC TRUY CẬP MẠNG VÀ CÁC CHÍNH SÁCH 345 TỔNG KẾT 351 BÀI TẬP THỰ C HÀNH 352 CÂU HỎI ÔN TẬP 352 CÁC KỊCH BẢN TÌNH HUỐNG 354 CHƯƠNG 8: DUY TRÌ KIẾN TRÚC HẠ TẦNG MẠNG 355 SỬ DỤNG THẺ NETWORKING TRONG CÔNG CỤ TASK MANAGER 356 SỬ DỤNG MÀN HÌNH QUẢN TRỊ PERFORMANCE 360 GIÁM SÁT LƯU LƯỢNG MẠNG BẰNG CÔNG CỤ NETSTAT 368 SỬ DỤNG CÔNG CỤ GIÁM SÁT MẠNG NETWORK MONITOR 370 XỬ LÝ SỰ CỐ KẾT NỐI INTERNET 373 XỬ LÝ SỰ CỐ CÁC DỊCH VỤ TRÊN MÁY CHỦ 386 TỔNG KẾT 394 BÀI TẬP THỰC HÀNH 396 CÂU HỎI ÔN TẬP 398 CÁC KỊCH BẢN TÌNH HUỐNG 401
  5. CHƯƠNG 1: TRIỂN KHAI DHCP CHƯƠNG 1: TRIỂN KHAI DHCP Sau khi hoàn thành chương này, bạn có thể: ■ Mô tả mục đích của Dynamic Host Configuration Protocol (Giao thức Cấu hình Động cho Máy trạm - DHCP) và cách thức dịch vụ này tổ chức quản lý mạng thuận tiện hơn như thế nào. ■ Giải thích quá trình dịch vụ DHCP cho thuê địa chỉ IP ■ Ủy quyền cho một máy chủ DHCP và giải thích làm thế nào để ngăn không cho phép một máy chủ DHCP không được ủy quyền cấp địa chỉ IP không đúng cho các máy trạm DHCP ■ Giải thích mục đích của multicasting (Quảng bá có địa chỉ) ■ Cấu hình máy chủ DHCP bằng cách định nghĩa một scope (phạm vi) và một superscope (siêu phạm vi), tạo ra các địa chỉ dành sẵn cho máy khách DHCP và cấu hình các tùy chọn DHCP ■ Giải thích mục đích và cấu hình của một DHCP relay agent (phần tử chuyển tiếp DHCP) Các máy tính sử dụng Giao thức Kiểm soát Truyền thông/Giao thức Internet (TCP/IP) phải được cấu hình phù hợp để giao tiếp với các máy tính TCP/IP khác trong một hệ thống mạng. Mỗi máy tính phải có một địa chỉ IP và một subnet mask (mặt nạ mạng con) và nếu như các máy tính này truyền thông ra ngoài mạng con nội bộ, mỗi máy còn phải được cấu một default gateway (cổng ra mặc định). Mỗi địa chỉ IP phải hợp lệ và duy nhất trong toàn hệ thống mạng tương tác của máy tính đó. Yêu cầu này sẽ đem đến cho người quản trị mạng những thách thức lớn. Để đảm bảo rằng mỗi máy tính có một địa chỉ duy nhất, quá trình cấp phát, thay thế và cấp phát lại địa chỉ phải được giám sát một cách cẩn thận. Nếu điều này được thực hiện một cách thủ công, các bản ghi chép chính xác và kịp thời phải được giữ lại trong mỗi máy tính ghi lại nơi mà máy tính đó được đặt và địa chỉ IP nào, mặt nạ mạng con nào đã cấp phát cho máy đó. Nhiệm vụ này có thể trở nên rất đơn điệu và nhàm chán. Sẽ rất khó khăn khi quản lý các địa chỉ IP một cách thủ công đối với các doanh nghiệp có số lượng lớn các máy trạm yêu cầu địa chỉ IP. DHCP sẽ làm cho nhiệm vụ này trở nên đơn giản hơn bằng cách tự động cấp phát, theo dõi và tái cấp phát địa chỉ IP cho các máy trạm TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 2
  6. CHƯƠNG 1: TRIỂN KHAI DHCP LỊCH SỬ SƠ LƯỢC CỦA DHCP Từ khi phát minh ra TCP/IP, một số giải pháp đã được nghiên cứu và phát triển để giải quyết vấn đề khó khăn của việc cấu hình các thiết lập TCP/IP cho một doanh nghiệp có một lượng lớn các máy trạm. Giao thức Phân giải Địa chỉ Ngược (Reverse Address Resolution Protocol - RARP) được thiết kế cho các máy trạm không có đĩa cứng nghĩa là không có phương tiện lưu trữ thường trực các thiết lập TCP/IP của chúng. RARP, theo như tên gợi ý, về cơ bản là ngược lại với Giao thức Phân giải Địa chỉ (Address Resolution Protocol - ARP). Các máy trạm ARP sẽ quảng bá một địa chỉ IP để phát hiện ra địa chỉ MAC (Media Access Control – Điều khiển truy cập thiết bị) tương ứng (địa chỉ duy nhất của mỗi thành phần phần cứng). Các máy khách RARP sẽ quảng bá địa chỉ MAC (Thể hiện trên Hình 1-1). (Quảng bá là một phương pháp truyền thông để gửi thông tin tới tất cả mọi phần tử trên một mạng máy tính một cách đồng thời). Một máy chủ RARP sau đó sẽ trả lời bằng cách truyền gửi địa chỉ IP cấp cho máy khách đó. Hình 1-1. Máy trạm sử dụng RARP để nhận địa chỉ IP từ Máy chủ RARP khi phản hồi lại thông điệp quảng bá có chứa địa chỉ phần cứng của máy khách. Bởi vì RARP không thể cung cấp các thiết lập bắt buộc phải có khác cho các máy khách, ví dụ như mặt nạ mạng con và cổng ra mặc định, nó sử dụng một giải pháp khác, đó là Giao thức Bootstrap (BOOTP) BOOTP, hiện vẫn còn được sử dụng, cho phép một máy trạm TCP/IP nhận được các thiết lập cho các tất cả các tham số cấu hình mà nó cần để chạy, bao gồm địa chỉ IP, mặt nạ mạng con, cổng ra mặc định và địa chỉ máy chủ DNS (Máy chủ Phân giải Tên miền). Sử dụng Giao thức Truyền File Tối thiểu (Trivial File Transfer Protocol – TFTP), máy trạm có thể tải về file thực thi mà có khả năng khởi động từ máy chủ BOOTP. Nhược điểm chính của BOOTP là người quản trị vẫn phải chỉ ra các thiết lập cho mỗi máy trạm trên máy chủ BOOTP. Một phương pháp tốt hơn để quản trị TCP/IP là tự động gán địa chỉ IP duy nhất trong khi ngăn không cho việc cấp phát trùng lặp xảy ra đồng thời cung cấp các thiết lập quan trọng khác như cổng ra mặc TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 3
  7. CHƯƠNG 1: TRIỂN KHAI DHCP định, mặt nạ mạng con, máy chủ DNS, máy chủ WINS, và các thông tin khác. Lý tưởng nhất là điều này được thực hiện mà không phải liệt kê mọi thiết bị trong mạng một cách thủ công. Đó chính là DHCP DHCP dựa chủ yếu vào BOOTP, nhưng thay vì việc đẩy các tham số cấu hình sẵn đến đúng các máy khách, DHCP có thể tự động xác định địa chỉ IP từ một dải địa chỉ và sau đó đòi lại khi nó không còn cần thiết nữa. Bởi vì quá trình này là động nên không có việc trùng lặp khi cấp địa chỉ bằng máy chủ DHCP có cấu hình đúng và người quản trị có thể di chuyển các máy trạm giữa các mạng con với nhau mà không cần phải cấu hình lại. Hơn nữa, một số lượng lớn các tham số cấu hình chuẩn và tham số riêng biệt cho các phần cứng đặc biệt có thể được chỉ định và phân phối động đến các máy khách. DHCP LÀ GÌ ? DHCP là một giao thức mở, theo chuẩn công nghiệp sử dụng để làm giảm sự phức tạp của việc quản trị các mạng dựa trên nền TCP/IP. Nó được định nghĩa bởi các Requests for Comments (Các Yêu cầu Giải thích - RFCs) 2131 và 2132 của Tổ chức Ứng dụng Khoa học vào Internet (Internet Engineering Task Force - IETF). THÔNG TIN THÊM. RFCs 2131 và 2132. RFCs 2131 và 2132 DHCP là một chuẩn IETF dựa trên giao thức BOOTP và được định nghĩa trong RFC 2131 và 2132, các tài liệu này có thể được tìm thấy tại địa chỉ Việc đánh địa chỉ IP là rất phức tạp bởi vì mỗi máy (máy tính, máy in hoặc các thiết bị khác có giao tiếp mạng) kết nối đến một mạng TCP/IP phải được cấp ít nhất một địa chỉ IP duy nhất và mặt nạ mạng con để có thể truyền thông trên mạng. Hơn nữa, hầu hết các máy đều yêu cầu các thông tin thêm như là địa chỉ IP hoặc cổng ra mặc định và máy chủ DNS. DHCP giải phóng người quản trị khỏi nhiệm vụ cấu hình trên mỗi máy trong mạng một cách thủ công. Hệ thống mạng càng lớn thì lợi ích của DHCP càng nhiều. Nếu không cấp phát địa chỉ động, mỗi máy phải cấu hình một cách thủ công và địa chỉ IP phải được quản lý cẩn thận để tránh việc trùng lặp hoặc cấu hình sai. Quản lý địa chỉ IP và các tùy chọn cho máy sẽ dễ dàng hơn rất nhiều khi thông tin cấu hình có thể quản lý từ một địa điểm đơn hơn là kết hợp thông tin từ nhiều địa điểm. DHCP có thể cấu hình tự động một máy khi nó khởi động trên một mạng TCP/IP cũng như có thể thay đổi các thiết lập trong khi các máy đang kết nối đến mạng. Tất cả các việc này được thực hiện bằng cách sử dụng các thiết lập và thông tin từ một CSDL DHCP trung tâm. Bởi TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 4
  8. CHƯƠNG 1: TRIỂN KHAI DHCP vì các thiết lập và thông tin này được lưu một cách tập trung, bạn có thể nhanh chóng và dễ dàng thêm vào hoặc thay đổi các thiết lập máy trạm (ví dụ như địa chỉ IP của một máy chủ DNS thay thế) cho tất cả các máy trạm trong hệ thống mạng của bạn từ một địa điểm đơn. Nếu không có CSDL tập trung của các thông tin cấu hình này, rất khó khăn để duy trì hiện trạng của các thiết lập trên máy hoặc thay đổi chúng. Tất cả các sản phẩm Microsoft Windows Server 2003 (Các phiên bản Standard Edition, Enterprise Edition, Web Edition, and Datacenter Edition) đều bao gồm dịch vụ DHCP Server, đó là một tùy chọn cài đặt. Mọi máy khách Microsoft Windows đều tự động cài đặt dịch vụ DHCP Client như là một thành phần của TCP/IP, bao gồm Windows Server 2003, Microsoft Windows XP, Microsoft Windows Server 2003, Microsoft Windows NT 4, Microsoft Windows Millennium Edition (Windows Me) và Microsoft Windows 98. Nói ngắn gọn, DHCP cung cấp bốn lợi điểm quan trọng cho việc quản trị và duy trì một mạng TCP/IP: ■ Tập trung quản trị thông tin về cầu hình IP. Thông tin cấu hình IP của DHCP có thể lưu trong một vị trí và cho phép người quản trị có thể tập trung quản lý tất cả các thông tin cấu hình IP. Một máy chủ DHCP sẽ theo dõi tất cả các địa chỉ IP đã cấp và địa chỉ IP dành riêng và liệt kê chúng trong bảng điều khiển DHCP. Bạn có thể sử dụng bảng điều khiển DHCP để xác định các địa chỉ IP của tất cả các thiết bị đã kích hoạt DHCP trong hệ thống mạng. Nếu không có DHCP, bạn không chỉ phải gán các địa chỉ một cách thủ công mà bạn còn phải nghĩ ra phương pháp để theo dõi và cập nhật chúng. ■ Cấu hình động các máy. DHCP tự động thực hiện quá trình cấu hình động các tham số cấu hình quan trọng trong các máy. Điều này giảm thiểu nhu cầu cấu hình thủ công các máy riêng biệt khi TCP/IP lần đầu tiên được triển khai hoặc khi yêu cầu thay đổi cơ sở hạ tầng IP. ■ Cấu hình IP cho các máy một cách liền mạch. Cách sử dụng DHCP đảm bảo rằng các máy trạm DHCP có thể nhận được các tham số cấu hình IP một cách chính xác và kịp thời, ví dụ như địa chỉ IP, mặt nạ mạng con, cổng ra mặc định, địa chỉ IP của máy chủ DNS và các tham số khác, mà không cần tác động của người dùng. Bởi vì cấu hình là tự động, việc giải quyết sự cố của việc cấu hình TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 5
  9. CHƯƠNG 1: TRIỂN KHAI DHCP sai, ví dụ như việc nhập các số không đúng kiểu, được giảm đáng kể. ■ Sự linh hoạt. Sử dụng DHCP cho phép người quản trị mạng tăng sự linh hoạt, cho phép người quản trị mạng có thể thay đổi cấu hình IP một cách dễ dàng khi cơ sở hạ tầng thay đổi. ■ Khả năng mở rộng. DHCP phù hợp từ mạng nhỏ đến mạng lớn. DHCP có thể phục vụ các mạng với chỉ 10 máy khách cũng như các mạng lớn với hàng ngàn máy khách. Đối với các mạng nhỏ, đơn độc, ta có thể sử dụng Automatic Private IP Addressing (APIPA). (APIPA sẽ được bàn đến trong phần sau của chương này) DHCP HOẠT ĐỘNG NHƯ THẾ NÀO ? Chức năng cốt lõi của DHCP là cấp phát địa chỉ. Như đã đề cập trước đây, điểm quan trọng then chốt của quá trình này là nó được thực hiện động. Điều có ý nghĩa đối với quản trị mạng là hệ thống mạng có thể được cấu hình để phân phát địa chỉ IP cho bất kỳ thiết bị nào kết nối tại bất kỳ đâu trong mạng. Việc phân phát các địa chỉ này được thực hiện bằng cách gửi các thông điệp lớp ứng dụng đến máy chủ DHCP và nhận các thông điệp lớp ứng dụng từ máy chủ DHCP. Mọi thông điệp DHCP được chứa trong các gói tin User Datagram Protocol (Giao thức Gói tin Người sử dụng - UDP) sử dụng các cổng đã dành trước là 67 (tại máy chủ) và 68 (tại máy khách) THÔNG TIN THÊM. Lớp ứng dụng. Lớp ứng dụng là một phần của mô hình tham chiếu Open Systems Interconnection (Kết nối các Hệ thống Mở - OSI) được định nghĩa bởi International Organization for Standardization (Tổ chức Quốc tế về chuẩn hóa - ISO) và Telecommunication Standards Section of the International Telecommunications Union (Hội Tiêu chuẩn Viễn thông của Hiệp hội Viến thông Quốc tế ITU-T). Mô hình này được sử dụng để tham chiều và để giảng dạy. Nó chia chức năng mạng máy tính thành bảy lớp. Từ đỉnh xuống đến đáy, bảy lớp này là application, presentation, session, transport, network, data-link, và physical (Ứng dụng, Trình diễn, Phiên, Giao vận, Mạng, Liên kết dữ liệu và Vật lý). Để có thêm thông tin về mô hình tham chiếu OSI, hãy xem thêm sách Network+ Certification Training Kit, Second Edition (Microsoft Press, 2001). TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 6
  10. CHƯƠNG 1: TRIỂN KHAI DHCP Trước khi học về cách thức phân phát địa chỉ, bạn nên hiểu một số thuật ngữ: Máy khách DHCP, máy chủ DHCP và hợp đồng thuê địa chỉ. Các thuật ngữ này được định nghĩa trong các phần sau đây. Máy chủ và máy khách DHCP Một máy tính lấy các thông tin cấu hình của nó từ DHCP được gọi là một máy khách DHCP. Máy khách DHCP giao tiếp với máy chủ DHCP để lấy địa chỉ IP và các thông tin cấu hình TCP/IP liên quan. Địa chỉ IP và các thông tin cấu hình mà máy chủ DHCP cung cấp cho các máy trạm được định nghĩa bởi người quản trị DHCP Các hợp đồng thuê trong DHCP Một hợp đồng thuê DHCP sẽ định nghĩa khoảng thời gian mà một máy chủ DHCP gán một địa chỉ IP cho một máy khách DHCP. Khoảng thời gian thuê có thể là bất kỳ khoảng thời gian nào từ 1 phút cho đến 999 ngày, hoặc nó có thể là không giới hạn. Khoảng thời gian thuê mặc định là 8 ngày. Các kiểu thông điệp DHCP Các thông điệp lớp ứng dụng trong quá trình giao tiếp giữa máy chủ DHCP/máy khách DHCP phải là một trong tám kiểu sau đây: • DHCPDISCOVER. Gửi đi bởi máy khách thông qua cách gửi quảng bá để tìm máy chủ DHCP. Theo RFC 2131, thông điệp DHCPDISCOVER có thể bao gồm các lựa chọn gợi ý các giá trị cho địa chỉ mạng và khoảng thời gian thuê • DHCPOFFER. Gửi đi bởi một hoặc nhiều máy chủ DHCP tới một máy khách DHCP để phản hồi lại thông điệp DHCPDISCOVER, đi kèm với các tham số cấu hình đề xuất. • DHCPREQUEST. Được gửi đi bởi máy khách DHCP để báo hiệu rằng nó đã chấp nhận địa chỉ và các tham số mà máy chủ đề xuất cho nó. Máy khách tạo thông điệp DHCPREQUEST có chứa địa chỉ của máy chủ mà từ đó nó đã chấp nhận đồng thời gắn kèm với địa chỉ IP đã đề xuất. Bởi vì máy trạm chưa được tự cấu hình với các tham số đề xuất nên nó phát thông điệp DHCPREQUEST theo cách quảng bá. Thông điệp quảng bá này sẽ nhắc máy chủ rằng máy khách đã chấp nhận địa chỉ đề xuất và đồng thời nhắc tất cả các máy chủ khác trên mạng rằng máy khách sẽ từ chối các đề xuất khác. • DHCPDECLINE. Được gửi đi bởi máy khách đến máy chủ DHCP, thông báo với máy chủ này rằng địa chỉ IP mà nó đề xuất là không được chấp nhận. Máy khách DHCP sẽ gửi một thông điệp TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 7
  11. CHƯƠNG 1: TRIỂN KHAI DHCP DHCPDECLINE nếu nó xác định được rằng địa chỉ đề xuất đó đã được sử dụng. Sau khi gửi đi DHCPDECLINE, máy khách bắt đầu lại quá trình đi hỏi thuê hoặc làm mới lần nữa. • DHCPACK. Gửi đi bởi máy chủ DHCP đến máy khách DHCP để xác nhận địa chỉ IP nó đã đề xuất cấp cho máy khách và được máy khách chấp nhận và để cung cấp cho máy khách các tham số cấu hình mà máy khách yêu cầu khi máy chủ đã được cấu hình để cung cấp các tham số đó. • DHCPNACK. Gửi đi bởi máy chủ DHCP đến máy khách DHCP để từ chối thông điệp DHCPREQUEST của máy khách. Điều này có thể xảy ra nếu địa chỉ yêu cầu là không đúng bởi vì máy khách đã di chuyển sang một mạng con mới hoặc bởi vì thời hạn thuê của máy khách DHCP đã hết hạn và không thể làm mới được. Sau khi nhận được thông điệp DHCPNACK, máy khách bắt đầu lại quá trình đi hỏi thuê hoặc làm mới lần nữa • DHCPRELEASE. Gửi đi bởi máy khách DHCP đến máy chủ DHCP để giải phóng một địa chỉ IP và hủy bỏ thời hạn thuê còn lại. Kiểu thông điệp này được gửi đến máy chủ cung cấp IP đang thuê. • DHCPINFORM. Được gửi đi từ máy khách DHCP đến máy chủ DHCP để chỉ hỏi về các tham số cấu hình nội bộ bổ sung; máy khách đã được cấu hình địa chỉ IP rồi. Kiểu thông điệp này đồng thời sử dụng để phát hiện các máy chủ DHCP không được ủy quyền. Cách thức máy khách có được một hợp đồng thuê ban đầu Một máy khách thực hiện quá trình khởi tạo hợp đồng thuê trong các tình huống sau đây: ■ Lần đầu tiên máy khách khởi động ■ Sau khi nó giải phóng địa chỉ IP của mình ■ Sau khi nó nhận được một thông điệp DHCPNACK, trả lời cho việc máy khách DHCP đó đang cố gắng làm mới lại một địa chỉ IP đã thuê từ trước. Nếu thành công, quá trình khởi tạo hợp đồng thuê này là một chuỗi các trao đổi giữa máy khách DHCP và máy chủ DHCP bằng cách sử dụng bốn thông điệp sau: DHCPDISCOVER, DHCPOFFER, DHCPREQUEST và DHCPACK. Quá trình trao đổi các thông điệp này được minh họa trong Hình 1-2: TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 8
  12. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-2. Các thông điệp trao đổi với một máy chủ DHCP để có được một hợp đồng thuê Định vị máy chủ. Máy khách quảng bá thông điệp DHCPDISCOVER để tìm kiếm máy chủ DHCP. Bởi vì máy khách chưa có một địa chỉ IP hoặc chưa biết địa chỉ IP của máy chủ DHCP nên thông điệp DHCPDISCOVER được gửi đi quảng bá trong toàn mạng nội bộ, với địa chỉ nguồn là 0.0.0.0 và địa chỉ đích là 255.255.255.255. Thông điệp DHCPDISCOVER là một lời yêu cầu về vị trí của máy chủ DHCP và thông tin địa chỉ IP. Yêu cầu này có chứa địa chỉ MAC của máy khách và tên máy tính để máy chủ DHCP biết rằng máy khách nào đã gửi yêu cầu. Nhận địa chỉ đề xuất Tất cả các máy chủ DHCP nhận được thông điệp DHCPDISCOVER, đồng thời đã được cấu hình đúng cho máy trạm, sẽ quảng bá thông điệp DHCPOFFER với các thông tin sau đây: ■ Địa chỉ IP nguồn (Của máy chủ DHCP) ■ Địa chỉ IP đích (Của máy khách DHCP) ■ Địa chỉ IP đề xuất ■ Địa chỉ phần cứng của máy khách ■ Mặt nạ mạng con ■ Thời hạn của hợp đồng thuê ■ Thông tin nhận dạng máy chủ (địa chỉ IP của máy chủ DHCP đang đề xuất) Như mô tả trên Hình 1-3, các thông điệp DHCPDISCOVER và DHCPOFFER đều là kiểu quảng bá. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 9
  13. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-3. Các thông điệp DHCPDISCOVER và DHCPOFFER đều là kiểu quảng bá. Sau khi quảng bá thông điệp DHCPDISCOVER của mình, máy khách DHCP sẽ đợi lời đề xuất trong thời gian 1 giây. Nếu không nhận được một lời đề nghị nào, máy khách không có khả năng khởi tạo tiếp và nó sẽ phải gửi quảng bá lại yêu cầu ba lần (sau các khoảng thời gian 9, 13 và 16 giây cộng với một khoảng xê dịch giữa 1 miligiây và 1 giây). Nếu không nhận được một lời đề xuất nào sau bốn lần gửi, máy khách tiếp tục gửi lại với khoảng thời gian lặp lại là 5 phút. Nếu DHCP không thành công, các máy khách Windows XP, Windows Server 2003, Windows 98, Windows Me và Windows 2000 có thể sử dụng APIPA để lấy động được một địa chỉ IP và mặt nạ mạng con. Windows XP và Windows Server 2003 có thể sử dụng cấu hình thay thế, cấu hình này sẽ cấp động các thiết lập đã được định nghĩa trước nếu không tìm thấy một máy chủ DHCP nào. APIPA và cấu hình thay thế được mô tả trong phần “Cấu hình máy khách tự động” trong phần sau của chương. Phản hồi lại địa chỉ đề xuất Sau khi máy khách nhận được lời đề xuất từ ít nhất một máy chủ DHCP, nó quảng bá thông điệp DHCPREQUEST tới mọi máy chủ DHCP. Thông điệp quảng bá DHCPREQUEST này chứa các thông tin sau: ■ Địa chỉ IP của máy chủ DHCP mà máy khách đã lựa chọn ■ Địa chỉ IP đã yêu cầu của máy khách ■ Một danh sách các tham số yêu cầu (mặt nạ mạng con, bộ định tuyến, danh sách các máy chủ DNS, tên miền, thông tin đặc thù về TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 10
  14. CHƯƠNG 1: TRIỂN KHAI DHCP nhà sản xuất, danh sách các máy chủ WINS, kiểu nút NetBIOS và phạm vi NetBIOS) Khi các máy chủ DHCP mà có lời đề xuất không được chấp nhận, nhận được thông điệp DHCPREQUEST này, nó sẽ rút lại các đề xuất của mình. Nhận lời xác nhận Máy chủ DHCP mà có các đề xuất được chấp nhận sẽ gửi một xác nhận thành công đến máy khách dưới dạng một thông điệp DHCPACK. Thông điệp này có chứa một hợp đồng thuê hợp lệ của một địa chỉ IP, bao gồm cả các thời điểm làm mới (T1 và T2, sẽ được bàn đến trong phần sau, “DHCP làm mới một hợp đồng như thế nào”) và khoảng thời gian của hợp đồng (tính bằng giây) DHCP làm mới một hợp đồng như thế nào Bởi vì các IP thuê có một thời gian tồn tại hữu hạn nên máy khách phải thường xuyên đều đặn làm mới hợp đồng thuê sau khi có được nó. Như Hình 1-4 thể hiện, máy khách Windows DHCP cố làm mới hợp đồng hoặc sau mỗi lần khởi đồng hoặc theo một khoảng thời gian đều đặn sau khi máy khách DHCP đã khởi tạo. Hình 1-4. Các thông điệp trao đổi trong quá trình làm mới một hợp đồng Như Hình 1-4 thể hiện, việc làm mới hợp đồng sẽ sử dụng chỉ hai thông điệp DHCPREQUEST (hoặc kiểu quảng bá hoặc kiểu đơn nhất) và DHCPACK. Nếu một máy khách DHCP làm mới hợp đồng khi nó khởi động lại, các thông điệp này được gửi đi thông qua các gói tin IP quảng bá. Nếu quá trình làm mới hợp đồng được thực hiện trong khi máy khách DHCP đang chạy, máy khách DHCP và máy chủ DHCP sẽ giao tiếp với nhau bằng các thông điệp đơn nhất. (Ngược lại với các thông điệp quảng bá, các thông điệp đơn nhất là các thông điệp điểm-tới-điểm giữa hai máy trong mạng) Khi một máy khách có được hợp đồng thuê, DHCP cung cấp các giá trị cho các tùy chọn cấu hình mà máy khách DHCP yêu cầu và đã được cấu hình trên máy chủ DHCP. Bằng cách giảm thời hạn hợp đồng, người quản trị DHCP có thể bắt buộc các máy khách phải thường xuyên làm mới lại hợp TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 11
  15. CHƯƠNG 1: TRIỂN KHAI DHCP đồng thuê và lấy các thông tin chi tiết về cấu hinh cập nhật. Điều này có thể có lợi khi người quản trị muốn thay đổi phạm vi cấu hình hoặc muốn nhiều địa chỉ hơn cho các máy khách DHCP bằng cách thu hồi lại chúng nhanh hơn. Một phạm vi DHCP là một dải địa chỉ IP sẵn sàng để cho thuê hoặc gán cho các máy khách bằng dịch vụ DHCP. Một phạm vi có thể bao gồm một hoặc nhiều tùy chọn. Tùy chọn (Option) là các hạng mục cấu hình nhất định, ví dụ như mặt nạ mạng con hay địa chỉ IP cổng ra mặc định mà người quản trị DHCP muốn máy chủ DHCP cấp cho các máy khách DHCP LƯU Ý. Khi nào tăng hoặc giảm thời gian thuê DHCP. Nếu các cấu hình mạng TCP/IP của bạn không thay đổi thường xuyên hoặc nếu bạn có nhiều địa chỉ IP hơn lượng địa chỉ cần thiết trong dải địa chỉ IP bạn đã gán, bạn có thể tăng thời gian thuê DHCP đáng kể dựa trên giá trị mặc định là tám ngày. Tuy nhiên, nếu cấu hình mạng của bạn thay đổi thường xuyên hoặc bạn có một lượng giới hạn các địa chỉ IP và phần lớn đều được sử dụng, bạn nên để chu kì dự trữ là ngắn, có thể là một ngày. Lý do là nếu dải địa chỉ IP sẵn sàng được sử dụng hết, các máy thêm vào hoặc di chuyển có thể không thể lấy được địa chỉ IP từ máy chủ DHCP và do đó không thể tham gia vào việc truyền thông trên mạng. Lần đầu tiên máy khách DHCP cố gắng làm mới lại hợp đồng thuê là khi đạt được một nửa thời gian thuê, được gọi là T1. Máy khách DHCP lấy giá trị T1 từ thông điệp DHCPACK khi xác nhận hợp đồng thuê. Nếu việc làm mới lại lại hợp đồng thuê không thành công tại thời điểm T1, máy khách DHCP tiếp tục cố gắng làm mới hợp đồng tại thời điểm 87.5% thời gian thuê, thời điểm này được gọi là T2. Giống như T1, T2 được xác định trong thông điệp DHCPACK. Nếu hợp đồng không được làm mới lại trước khi nó hết hạn (nếu ví dụ như không thể kết nối đến máy chủ DHCP được trong một khoảng thời gian nào đó), ngay khi hợp đồng bị hết hạn, máy khách lập tức giải phóng địa chỉ IP và cố gắng tìm kiếm một hợp đồng mới. Thay đổi mạng con và các máy chủ DHCP Nếu các máy khách DHCP yêu cầu một hợp đồng thuê bằng cách sử dụng thông điệp DHCPREQUEST mà máy chủ DHCP không thể đáp ứng được (ví dụ khi máy tính xách tay di chuyển sang một mạng con khác), máy chủ DHCP gửi một thông điệp DHCPNACK tới máy khách. Thông điệp này sẽ thông báo cho máy khách rằng địa chỉ IP yêu cầu thuê không được làm mới. Máy khách sau đó sẽ bắt đầu quá trình tìm kiếm tiếp bằng cách quảng bá một thông điệp DHCPDISCOVER. Hình 1-5 minh họa thứ tự của các thông điệp DHCP xảy ra khi một máy khách khởi động trong một mạng con mới. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 12
  16. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-5: Các thông điệp DHCP trao đổi khi một máy khách khởi động trong một mạng con mới Khi một máy khách DHCP khởi động trong một mạng con mới, nó quảng bá một thông điệp để làm mới hợp đồng thuê của nó. Yêu cầu làm mới hợp đồng DHCP được quảng bá trong mạng con do đó tất cả mọi máy chủ DHCP mà cung cấp địa chỉ DHCP sẽ nhận được yêu cầu này. Máy chủ DHCP trả lời yêu cầu này lại nằm trong một mạng con mới, khác với máy chủ mà đã cung cấp hợp đồng thuê ban đầu. Khi máy chủ DHCP nhận được thông điệp quảng bá, nó sẽ so sánh địa chỉ mà máy khách DHCP yêu cầu với dải địa chỉ được cấu hình trên nó và trong mạng con. Nếu nó không thể đáp ứng yêu cầu của máy khách, máy chủ DHCP sẽ tạo ra một thông điệp DHCPNACK và máy khách bắt đầu lại quá trình tìm kiếm hợp đồng thuê địa chỉ IP. Nếu máy khách không thể định vị bất kỳ một máy chủ DHCP nào khi khởi động lại, nó sẽ gửi đi một thông điệp quảng bá ARP đến cổng ra mặc định mà nó có được từ trước, nếu có. Nếu địa chỉ IP của cổng ra được phân giải thành công, máy khách DHCP giả định rằng nó vẫn nằm trong cùng một mạng mà từ đó nó có được bản hợp đồng thuê và tiếp tục sử dụng bản hợp đồng của nó. Trong trường hợp khác, nếu địa chỉ IP của cổng ra không được phân giải, máy khách giả định rằng nó đã được di chuyển đến một mạng khác mà không có máy chủ DHCP nào sẵn sàng (ví dụ như mạng tại nhà), và nó tự cấu hình bằng cách sử dụng APIPA hoặc một cấu hình thay thế. Khi nó tự cấu hình, máy khách DHCP cố gắng định vị một máy chủ DHCP sau mỗi 5 giây để cố gắng làm mới hợp đồng của nó. Sử dụng DHCP Relay Agent (Phần tử chuyển tiếp DHCP) DHCP phụ thuộc rất lớn vào các thông điệp quảng bá. Các thông điệp quảng bá này thường được giới hạn trong mạng con mà nó sinh ra và không được chuyển tiếp đến các mạng con khác. Điều này sẽ dẫn đến một trục trặc nếu như máy khách nằm trong một mạng con khác mạng con của máy chủ DHCP. Một DHCP relay agent (phần tử chuyển tiếp DHCP) có thể là một máy hoặc một thiết bị định tuyến (router) mà lắng nghe các thông điệp DHCP (và BOOTP) từ máy khách đang quảng bá trong mạng con và chuyển TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 13
  17. CHƯƠNG 1: TRIỂN KHAI DHCP tiếp các thông điệp đó tới một máy chủ DHCP. Máy chủ DHCP sẽ gửi các thông điệp phản hồi lại cho relay agent và phần tử này này sẽ lại quảng bá chúng vào trong mạng con của các máy khách. Sử dụng DHCP relay agent sẽ giảm thiểu nhu cầu phải có một máy chủ DHCP trong mỗi mạng con. Để hỗ trợ và sử dụng dịch vụ DHCP hoạt động trên nhiều mạng con, các thiết bị định tuyến kết nối các mạng con với nhau sẽ phải có tính năng hỗ trợ DHCP/BOOTP relay agent như mô tả trong RFC 1542. Để tuân theo chuẩn RFC 1542 này và cung cấp khả năng hỗ trợ relay agent, mỗi thiết bị định tuyến phải có khả năng nhận biết các thông điệp của giao thức DHCP và BOOTP và chuyển tiếp chúng một cách thích hợp. Bởi vì các thiết bị định tuyến điển hình sẽ hiểu các thông điệp DHCP như là thông điệp BOOTP nên một thiết bị định tuyến chỉ cần có khả năng BOOTP relay agent sẽ chuyển tiếp được các gói tin DHCP và bất kỳ gói tin BOOTP nào gửi đi trong mạng. DHCP relay agent được cấu hình với địa chỉ IP của máy chủ DHCP. DHCP relay agent sẽ lắng nghe các thông điệp DHCPDISCOVER, DHCPREQUEST và DHCPINFORM mà được quảng bá từ các máy khách. DHCP relay agent sau đó sẽ đợi trong một khoảng thời gian đã được cấu hình trước và nếu không phát hiện ra được phản hồi nào, nó sẽ gửi đi một thông điệp đơn nhất (unicast) đến máy chủ DHCP đã cấu hình sẵn. Máy chủ này sẽ tiếp nhận thông điệp và phản hồi trở lại cho DHCP relay agent. Phần tử này sau đó sẽ quảng bá thông điệp này vào trong mạng con nội bộ, cho phép các máy khách DHCP nhận chúng. Các quá trình trên được mô tả trong Hình 1-6. Hình 1-6. Các thông điệp DHCP được chuyển tiếp bởi DHCP relay agent Quá trình trao đổi thông tin trong hình 1-6 được tiến hành theo các bước sau: 1. Client1 quảng bá gói tin DHCPDISCOVER 2. Relay agent chuyển tiếp gói tin DHCPDISCOVER đến máy chủ DHCP TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 14
  18. CHƯƠNG 1: TRIỂN KHAI DHCP 3. Máy chủ gửi gói tin DHCPOFFER đến DHCP relay agent 4. Relay agent quảng bá gói tin DHCPOFFER 5. Client1 quảng bá gói tin DHCPREQUEST 6. Relay agent chuyến tiếp gói tin DHCPREQUEST đến máy chủ DHCP 7. Máy chủ quảng bá gói tin DHCPACK và DHCP relay agent sẽ đón lấy gói tin đó 8. Relay agent quảng bá gói tin DHCPACK Cấu hình máy khách tự động Trong hầu hết các trường hợp, các máy khách DHCP đều tìm thấy một máy chủ trong mạng con nội bộ hoặc thông qua relay agent. Để cho phép hệ thống chạy bình thường khi máy chủ DHCP không hoạt động, Windows Server 2003, Windows XP, Windows 2000 và Windows 98 cung cấp tính năng APIPA. APIPA là một thành phần trong khi triển khai Windows TCP/IP cho phép một máy tính xác định được thông tin cấu hình IP khi không có một máy chủ DHCP nào hoặc chưa có cấu hình thủ công nào trước đó. APIPA giúp một máy tính IP không bị sự cố vì không thể truyền thông khi máy chủ DHCP không hoạt động vì một lý do nào đó. Hình 1-7 thể hiện các chu trình gán địa chỉ IP khác nhau khi một máy khách DHCP tìm kiếm một máy chủ DHCP. Trong trường hợp không tìm thấy máy chủ DHCP và APIPA đã được cấu hình và kích hoạt, một địa chỉ APIPA sẽ được gán cho máy tính. APIPA có lợi trong các mạng làm việc nhỏ khi mà không triển khai máy chủ DHCP. Bởi vì việc cấu hình tự động không hỗ trợ cổng ra mặc định cho nên nó chỉ làm việc trên một mạng con và không thích hợp cho các mạng lớn. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 15
  19. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-7: Việc gán địa chỉ IP sử dụng APIPA hay Cấu hình Thay thế Nếu máy khách DHCP không thể tìm thấy máy chủ DHCP và lại không được cấu hình thay thế (thể hiện trong Hình 1-8), máy tính đó sẽ tự cấu hình với một địa chỉ IP ngẫu nhiên lựa chọn từ giải dịa chỉ mạng lớp B 169.254.0.0 và với mặt nạ mạng con 255.255.0.0 đã được Internet Assigned Numbers Authority (Tổ chức được chỉ định số cho Internet - IANA) dự phòng trước. Máy tính được cấu hình tự động sẽ kiểm tra để xác nhận rằng địa chỉ IP mà nó chọn là chưa được sử dụng bằng cách dùng một quảng bá ARP. Nếu địa chỉ IP đã được sử dụng, máy tính sẽ lựa chọn địa chỉ ngẫu nhiên khác. Máy tính sẽ cố gắng thực hiện 10 lần để tìm ra địa chỉ IP mà nó có thể sử dụng. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 16
  20. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-8. Trang thuộc tính cấu hình thay thế Khi một địa chỉ lựa chọn được xác nhận là có thể sử dụng, máy khách sẽ được cấu hình với địa chỉ đó. Máy khách DHCP sẽ tiếp tục âm thầm tìm kiếm một máy chủ DHCP cứ 5 phút một lần, và nếu tìm thấy máy chủ DHCP, cấu hình mà máy chủ DHCP đề xuất sẽ được sử dụng Các máy khách Windows XP và Windows Server 2003 có thể được cấu hình để sử dụng một cấu hình thay thế, máy khách DHCP sẽ sử dụng cấu hình này nếu không thể liên lạc được với một máy chủ DHCP nào. Cấu hình thay thế bao gồm một địa chỉ IP, một mặt nạ mạng con, một cổng ra mặc định, các địa chỉ của máy chủ DNS và WINS. Một mục đích của cấu hình thay thế chính là giải pháp cho các máy tính xách tay vì chúng luôn di chuyển giữa một mạng tích hợp có máy chủ DHCP và mạng gia đình trong đó địa chỉ IP tĩnh được sử dụng. Ví dụ, Janice có một máy tính xách tay mà cô ta sử dụng ở cả văn phòng làm việc và ở nhà. Tại văn phòng làm việc, máy tính của cô lấy địa chỉ IP từ máy chủ DHCP, nhưng cô ấy không có một máy chủ DHCP nào ở nhà cả. Janice có thể sử dụng cấu hình thay thế để giữ lại thông tin về địa chỉ IP, mặt nạ mạng TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 17
  21. CHƯƠNG 1: TRIỂN KHAI DHCP con, cổng ra mặc định và máy chủ DNS để khi cô ta kết nối máy xách tay của cô ấy ở mạng gia đình, nó sẽ được cấu hình một cách tự động. Nếu bạn sử dụng DHCP với cấu hình thay thế và máy khách DHCP không thể tìm thấy máy chủ DHCP, cấu hình thay thế này sẽ được sử dụng để cấu hình giao tiếp mạng. Không cần phải thực hiện việc tìm kiếm thêm nào khác trừ trong các trường hợp sau: ■ Giao tiếp mạng bị vô hiệu hóa và sau đó được kích hoạt lại ■ Thiết bị kết nối (ví dụ cáp mạng) bị ngắt ra và sau đó kết nối lại ■ Các thiết lập TPC/IP cho giao tiếp mạng thay đổi và máy chủ DHCP vẫn còn hoạt động sau các thay đổi này. Nếu máy chủ DHCP được tìm thấy, giao tiếp mạng sẽ được gán địa chỉ IP DHCP hợp lệ ¾ Hiển thị thẻ Alternate Configuration (Cấu hình thay thế) Để hiển thị thẻ “Alternate Configuration” như thể hiện trong Hình 1-9, giao tiếp mạng phải được cấu hình để lấy địa chỉ IP một cách tự động. Để xem thẻ “Alternate Configuration”, thực hiện theo các bước sau: 1. Mở Control Panel, và nhấn đúp vào phần Network Connections 2. Trong cửa sổ Network Connections, nhấn phải chuột vào Local Area Connection và chọn Properties 3. Trong trang Local Area Connection Properties, trỏ vào Internet Protocol (TCP/IP) và sau đó nhấn vào Properties 4. Trong thẻ “Alternate Configuration”, nhập vào địa chỉ IP của bạn. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 18
  22. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-9. Thẻ Alternate Configuration của trang thuộc tính Internet Protocol (TCP/IP) ỦY QUYỀN MÁY CHỦ DHCP Khi triển khai DHCP trong các hệ điều hành trước Windows 2000, bất kỳ người dùng nào cũng có thể tạo ra một máy chủ DHCP trong mạng, một hành vi có thể gây ra sự xung đột trong việc cấp địa chỉ IP. Ví dụ nếu một máy khách có được hợp đồng thuê địa chỉ từ một máy chủ DHCP được cấu hình không chuẩn, máy khách có thể nhận được một địa chỉ IP không hợp lệ và sẽ không thể giao tiếp với các máy khác trên mạng. Điều này thậm chí còn có thể ngăn cản người dùng không đăng nhập được. Trong Windows Server 2000 và Windows Server 2003, một máy chủ DHCP chưa được ủy quyền (còn được gọi là một máy chủ DHCP giả mạo) đơn thuần là một máy chủ DHCP mà không được liệt kê trong dịch vụ thư mục sử dụng Active Directory như một máy chủ được ủy quyền. Bạn phải ủy quyền một máy chủ DHCP trong Active Directory trước khi máy chủ này có thể gán các địa chỉ cho các máy khách DHCP. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 19
  23. CHƯƠNG 1: TRIỂN KHAI DHCP Quá trình ủy quyền một máy chủ DHCP Tại thời điểm khởi tạo, máy chủ DHCP liên hệ với Active Directory để xác định liệu nó có nằm trong danh sách các máy chủ hiện thời đang được ủy quyền để thực hiện nhiệm vụ trong mạng. Một trong các hành động sau đây sẽ xảy ra: ■ Nếu máy chủ DHCP được ủy quyền, dịch vụ DHCP Server sẽ khởi động ■ Nếu máy chủ DHCP chưa được ủy quyền, dịch vụ DHCP Server sẽ ghi một lỗi vào trong nhật ký sự kiện hệ thống rằng dịch vụ không khởi động và hiển nhiên là nó sẽ không phản hồi lại các yêu cầu của máy khách. Hãy xem xét hai kịch bản sau. Trong kịch bản thứ nhất, máy chủ DHCP là một phần của miền và được ủy quyền. Trong kịch bản thứ hai, máy chủ DHCP không phải trong một miền và hiển nhiên là chưa được ủy quyền. Các kịch bản này được thể hiện rõ ràng trong hai phía trái và phải tương ứng của Hình 1-10: TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 20
  24. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-10. Quá trình khởi tạo và ủy quyền một máy chủ DHCP Trong kịch bản đầu tiên, máy chủ DHCP khởi tạo và xác định liệu nó có phải là một phần của miền hay không. Nếu đúng, nó sẽ liên hệ với dịch vụ thư mục để xác nhận xem nó có được ủy quyền hay không. Dịch vụ thư mục sẽ xác nhận rằng máy chủ được ủy quyền. Sau khi nhận được xác nhận này, máy chủ này sẽ quảng bá một thông điệp DHCPINFORM để xác định liệu các dịch vụ thư mục khác có sẵn sàng hay không và lặp lại quá trình ủy quyền với từng dịch vụ thư mục phản hồi với thông điệp đó. Sau khi quá trình này hoàn thành, máy chủ bắt đầu phục vụ các máy khách DHCP một cách chính thức. Trong kịch bản thứ hai, máy chủ không nằm trong miền. Khi máy chủ khởi tạo, nó kiểm tra xem có máy chủ thành viên DHCP nào không. Nếu không có máy chủ DHCP thành viên nào được tìm thấy, máy chủ bắt đầu phục vụ các máy khách DHCP và tiếp tục kiểm tra xem có máy chủ thành viên nào không bằng cách gửi các thông điệp DHCPINFORM đi cứ 5 phút một lần. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 21
  25. CHƯƠNG 1: TRIỂN KHAI DHCP Nếu một máy chủ DHCP thành viên được tìm thấy, máy chủ sẽ tắt dịch vụ DHCP và hiển nhiên là ngừng phục vụ các máy khách DHCP. Active Directory phải hoạt động để ủy quyền cho máy chủ DHCP và ngăn chặn các máy chủ không được ủy quyền. Nếu bạn cài đặt một máy chủ DHCP trong mạng không có Active Directory thì cũng không phải thực hiện việc ủy quyền. Nếu sau đó bạn thêm Active Directory vào, máy chủ DHCP sẽ nhận biết được sự có mặt của Active Directory, và vì nó chưa được ủy quyền nên máy chủ đó sẽ tự tắt dịch vụ của nó. Máy chủ DHCP thông thường theo mặc định là không được ủy quyền và do vậy các máy chủ đó phải được ủy quyền một cách trực tiếp. Bảo vệ hệ thống khỏi các máy chủ DHCP không được phép trong nhóm làm việc Khi khởi tạo một máy chủ DHCP mà không phải là máy chủ thành viên của một miền (ví dụ như thành viên của một nhóm làm việc), các sự kiện sau xảy ra: ■ Máy chủ sẽ quảng bá một thông điệp DHCPINFORM trong mạng ■ Bất ký máy chủ nào nhận được thông điệp này sẽ phản ứng lại bằng một thông điệp DHCPACK và cung cấp tên của miền thư mục mà nó là thành viên. ■ Nếu một máy chủ DHCP thuộc nhóm làm việc phát hiện ra máy chủ DHCP thành viên khác của một miền trong mạng, máy chủ DHCP thuộc nhóm làm việc này sẽ cho rằng nó chưa được ủy quyền trong mạng đó và tự tắt dịch vụ của nó. ■ Nếu máy chủ DHCP thuộc nhóm làm việc phát hiện ra sự tồn tại của một máy chủ thuộc nhóm làm việc khác, nó sẽ không để ý đến máy chủ đó, điều này có nghĩa là nhiều máy chủ thuộc nhóm làm việc có thể được kích hoạt cùng một thời điểm mặc dù không có một dịch vụ thư mục nào. Khi một máy chủ thuộc nhóm làm việc khởi tạo và được ủy quyền, (bởi vì không có máy chủ thành viên của miền hoặc máy chủ thuộc nhóm làm việc nào khác trong mạng), nó tiếp tục quảng bá thông điệp DHCPINFORM cứ sau mỗi 5 phút. Nếu một máy chủ DHCP thành viên của miền ủy quyền được khởi tạo sau đó, máy chủ thuộc nhóm làm việc sẽ trở thành không ủy quyền và sẽ ngừng phục vụ. ¾ Ủy quyền dịch vụ DHCP Server TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 22
  26. CHƯƠNG 1: TRIỂN KHAI DHCP Để ủy quyền cho một máy chủ DHCP trong Active Directory, thực hiện theo các bước sau đây: 1. Mở bảng điều khiển DHCP từ thực đơn Administrative Tools. 2. Trong bảng điều khiển, nhấn phải chuột vào DHCP và sau đó nhấn vào “Manage Authorized Servers” (Quản trị các máy chủ được ủy quyền) 3. Trong hộp thoại Manage Authorized Servers, lựa chọn Authorize (Ủy quyền) 4. Trong hộp thoại Authorize DHCP Server (Máy chủ DHCP được ủy quyền), nhập vào tên hoặc địa chỉ IP của máy chủ DHCP cần ủy quyền và sau đó nhấn OK 5. Máy tính sẽ liệt kê tên đầy đủ và địa chỉ IP của máy tính và sau đó hỏi để xác nhận. Nhấn OK để tiếp tục. Khi việc ủy quyền được hoàn thành, mũi tên trên biểu tượng máy chủ trong bảng điều khiển DHCP sẽ thay đổi từ đỏ sang xanh. Bạn có thể phải refresh (làm tươi) bảng điều khiển này. LƯU Ý. Ai có thể ủy quyền máy chủ DHCP. Để ủy quyền một máy chủ DHCP, một người dùng phải là thành viên của nhóm Enterprise Admins, nhóm này có trong miền gốc (root domain) của rừng. CẤU HÌNH MỘT DHCP SCOPE (PHẠM VI DHCP) Phạm vi sẽ xác định các địa chỉ IP nào sẽ sử dụng cho các máy khách. Bạn có thể cấu hình nhiều phạm vi trên một máy chủ DHCP mà cần cho môi trường mạng của bạn. Phạm vi DHCP là gì ? Một phạm vi DHCP, như đã đề cập đến trong phần trước, là một tập hợp các địa chỉ IP và các thông tin cấu hình được ấn định để cung cấp cho các máy trạm DHCP. Một phạm vi phải được định nghĩa và kích hoạt trước khi các máy khách DHCP có thể sử dụng máy chủ DHCP cho việc cấu hình động TCP/IP. Người quản trị có thể tạo ra một hoặc nhiều phạm vi trên một hoặc nhiều máy chủ Windows Server 2003 chạy dịch vụ DHCP Server. Tuy nhiên, bởi vì các máy chủ DHCP không trao đổi các thông tin về phạm vi với nhau nên TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 23
  27. CHƯƠNG 1: TRIỂN KHAI DHCP người quản trị phải cẩn thận khi định nghĩa các phạm vi để nhiều máy chủ DHCP không gán cùng một địa chỉ IP cho các máy khách khác nhau hoặc gán các địa chỉ mà đã được đặt tĩnh cho các máy IP trước đó. Các địa chỉ IP định nghĩa trong một phạm vi DHCP phải liên tục và được gắn với cùng một mặt nạ mạng con. Nếu các địa chỉ bạn muốn gán là không liên tục, bạn phải tạo ra một phạm vi bao hàm tất cả các địa chỉ mà bạn muốn gán và sau đó loại trừ các địa chỉ hoặc dải địa chỉ xác định ra khỏi phạm vi đó. Bạn chỉ có thể tạo ra một phạm vi trên một mạng con trong một máy chủ DHCP đơn. Để cho phép loại trừ khả năng một số địa chỉ IP trong phạm vi có thể đã được gán và đang sử dụng, người quản trị DHCP có thể chỉ định khoảng ngoại lệ (Exclusion) - một hoặc nhiều địa chỉ IP trong dải mà sẽ không gán cho các máy khách DHCP. Dải địa chỉ Khi mà phạm vi DHCP đã được định nghĩa và khoảng ngoại lệ được áp dụng, phần địa chỉ còn lại sẽ hình thành một dải địa chỉ sẵn sàng trong phạm vi đó. Các địa chỉ trong dải này có thể được cấp động cho các máy khách trong mạng. Dải địa chỉ ngoại lệ Một dải ngoại lệ là một dãy giới hạn các địa chỉ IP trong dải phạm vi mà sẽ được loại trừ khỏi danh sách đề xuất của máy chủ DHCP. Khi dải ngoại lệ được sử dụng, chúng đảm bảo rằng bất kỳ địa chỉ nào trong dải ngoại lệ được định nghĩa này sẽ không được máy chủ DHCP đề xuất cho các máy khách. Bạn có thể chỉ ra tất cả các địa chỉ IP đã được cấu hình tĩnh cố định vào trong dải ngoại lệ này. ¾ Cấu hình một phạm vi DHCP Để cấu hình một phạm vi DHCP, thực hiện theo các bước sau: 1. Mở bảng điều khiển DHCP từ thực đơn Administrative Tools 2. Trong bảng điều khiển, nhấn trái chuột và sau đó nhấn phải chuột vào máy chủ DHCP trong đó bạn muốn tạo ra một phạm vi DHCP mới và sau đó lựa chọn New Scope (Phạm vi mới) 3. Trong “New Scope Wizard” (Trình tạo phạm vi mới), nhấn Next, nhập vào một tên và mô tả của phạm vi và sau đó nhấn Next. Bạn có thể sử dụng bất kỳ tên nào bạn muốn, tuy nhiên nó nên đủ ý nghĩa để bạn có thể nhận biết được mục đích của phạm vi này TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 24
  28. CHƯƠNG 1: TRIỂN KHAI DHCP trong mạng của bạn. (Ví dụ bạn có thể sử dụng một tên như “Các địa chỉ cho máy khách trong tòa nhà quản lý”) 4. Trong trang “IP Address Range” (Khoảng địa chỉ IP), nhập vào khoảng địa chỉ mà có thể được gán như là một phần của phạm vi này. (Ví dụ, sử dụng một dải địa chỉ IP từ địa chỉ khởi đầu 10.1.1.50 đến địa chỉ kết thúc 10.1.1.150). Bởi vì các địa chỉ này sẽ được gán cho các máy khách, chúng phải là các địa chỉ hợp lệ và hiện tại chưa được sử dụng trong mạng. Giá trị mặt nạ mạng con mặc định tương ứng với dải địa chỉ của bạn sẽ được gắn vào. Nếu bạn sử dụng một giá trị mặt nạ mạng con khác, nhập vào mặt nạ mạng con mới và sau đó nhấn Next. 5. Trong trang “Add Exclusions” (Thêm các ngoại lệ), trong hộp Start, nhập vào địa chỉ IP bắt đầu của dải mà bạn muốn loại trừ và trong hộp End, nhập vào địa chỉ kết thúc của dải địa chỉ mà bạn muốn loại trừ. Để loại trừ một địa chỉ IP đơn, trong hộp Start, nhập vào địa chỉ IP đó. 6. Nhấn Add để lặp lại Bước 5 cho tới khi bạn đã nhập vào tất cả các địa chỉ IP mà bạn muốn loại trừ. Bạn nên loại trừ bất kỳ địa chỉ nào mà bạn đã gán tĩnh. Nhấn Next. 7. Trong trang “Lease Duration” (Thời hạn thuê), nhập vào số ngày, giờ và phút trước khi một địa chỉ IP đã gán từ phạm vi này bị hết hạn. Như đã đề cập đến trong phần trước, việc này sẽ xác định thời gian bao lâu một máy khách có thể giữ được một địa chỉ nhận được mà chưa cần làm mới nó. Giá trị khoảng thời gian mặc định của hợp đồng là tám ngày. Nhấn Next. 8. Trong trang “Configure DHCP Options” (Cấu hình các tùy chọn DHCP), nhấn vào “Yes, I Want To Configure These Options Now” (Đúng, tôi muốn cấu hình các tùy chọn này ngay bây giờ) để sử dụng trình hướng dẫn này cấu hình các lựa chọn DHCP thông dụng nhất, ví dụ như địa chỉ IP của cổng ra mặc định, các thiết lập máy chủ DNS và WINS. Nhấn Next. 9. Trong trang “Router (Default Gateway)” (Bộ định tuyến (Cổng ra mặc định)), nhập vào địa chỉ IP cho cổng ra mặc định sẽ được sử dụng bởi các máy khách mà nhận được địa chỉ IP từ phạm vi này. Nhấn Add để đặt địa chỉ của cổng ra mặc định này trong danh sách và sau đó nhấn Next. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 25
  29. CHƯƠNG 1: TRIỂN KHAI DHCP 10. Trong trang “Domain Name And DNS Servers” (Tên miền và các máy chủ DNS), nếu bạn đang sử dụng máy chủ DNS trong mạng của bạn, nhập vào tên miền của hệ thống trong hộp thoại “Parent domain” (Tên miền mức cha). 11. Trong trang “Domain Name And DNS Servers”, nhập vào tên của máy chủ DNS của bạn và sau đó nhấn Resolve để đảm bảo rằng máy chủ DHCP có thể liên lạc với máy chủ DNS và xác định địa chỉ IP của nó. 12. Trong trang “Domain Name And DNS Servers”, nhấn Add để thêm máy chủ đó vào trong danh sách của các máy chủ DNS mà gán cho các máy khách DHCP. Nhấn Next. 13. Trong trang WINS, nhập vào địa chỉ IP của máy chủ WINS trong mạng của bạn và nhấn Add. Nếu bạn không biết địa chỉ IP, trong hộp Server name, nhập vào tên của máy chủ WINS và nhấn Resolve. Sau khi thêm vào các máy chủ WINS, nhấn Next 14. Trong trang “Activate Scope” (Kích hoạt phạm vi), nhấn “Yes, I Want To Activate This Scope Now” (Đúng, tôi muốn kích hoạt phạm vi này ngay lập tức), để kích hoạt phạm vi này và cho phép các máy khách lấy địa chỉ từ nó và sau đó nhấn Next 15. Trong trang Completing The New Scope Wizard (Hoàn thành việc tạo phạm vi mới), nhấn Finish. Địa chỉ Multicast (Quảng bá có địa chỉ) Máy chủ Microsoft DHCP đã được mở rộng để cho phép việc gán các địa chỉ Multicast (quảng bá có địa chỉ) bên cạnh các địa chỉ Unicast (đơn nhất). Một chuẩn do IETF đề xuất định nghĩa việc chỉ định các địa chỉ multicast. Chuẩn đề xuất này đem lại lợi ích cho các quản trị mạng bằng cách cho phép các địa chỉ Multicast được gán trong cùng kiểu như các địa chỉ unicast, cho phép sử dụng hoàn toàn nền tảng hạ tầng đã có. Việc sử dụng các địa chỉ multicast có hai phần: (1) Việc triển khai phía máy chủ để cấp các địa chỉ multicast và (2) giao diện lập trình ứng dụng (API) phía máy khách mà các ứng dụng có thể sử dụng để yêu cầu, làm mới và giải phóng các địa chỉ multicast. Để sử dụng các địa chỉ multicast, người quản trị trước hết phải cấu hình các phạm vi multicast và các khoảng địa chỉ IP multicast tương ứng trên máy chủ thông qua snap-in. Các địa chỉ multicast sau đó có thể được quản lý giống như các địa chỉ IP thông thường. Các máy TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 26
  30. CHƯƠNG 1: TRIỂN KHAI DHCP khách có thể gọi các hàm API để yêu cầu địa chỉ multicast từ một phạm vi. Việc thi hành ngầm thế này sẽ sử dụng các định dạng gói tin kiểu giao thức DHCP giữa máy khách và máy chủ. CẤU HÌNH ĐỊA CHỈ DHCP DÀNH SẴN Sử dụng các dịa chỉ IP dành sẵn (reservation) cho các máy khách DHCP cần phải có địa chỉ IP tĩnh trong mạng. Ví dụ về các máy tính yêu cầu địa chỉ tĩnh trong mạng là các máy chủ Email và các máy chủ ứng dụng. Máy chủ File và In ấn cũng có thể yêu cầu địa chỉ IP tĩnh hoặc địa chỉ IP dành sẵn nếu chúng được truy cập bằng địa chỉ IP của chúng. Sự dành sẵn DHCP là gì ? Sự dành sẵn cho phép các hợp đồng thuê địa chỉ được gán lâu dài từ máy chủ DHCP. Khi sự dành sẵn được sử dụng, chúng đảm bảo rằng một thiết bị phần cứng cụ thể trong một mạng con có thể luôn sử dụng cùng một địa chỉ IP. Sự dành sẵn phải được tạo ra trong phạm vi và không bị loại trừ khỏi phạm vi đó. Các địa chỉ ngoại lệ sẽ không thể gán cho các máy khách cho dù nó được dành sẵn cho máy khách đó. Một địa chỉ IP được thiết lập dự phòng hoặc dành sẵn cho một thiết bị mạng có địa chỉ MAC gắn với địa chỉ IP đó. Do đó, khi tạo ra một sự dành sẵn, bạn phải biết được địa chỉ MAC của mỗi thiết bị mà bạn muốn dành sẵn một địa chỉ IP cho nó. Đối với Windows 98, Windows 2000, Windows XP và Windows Server 2003, địa chỉ MAC có thể được biết bằng cách nhập vào ipconfig /all tại giao diện dòng lệnh, việc này sẽ cho kết quả đầu ra tương tự hình sau đây: Ethernet adapter: Description :DECDC21140 PCI FastEthernet Adapter PhysicalAddress :00-03-FF-F6-FF-FF DHCPEnabled :Yes IPAddress :169.254.150.72 SubnetMask :255.255.0.0 DefaultGateway : DHCPServer :255.255.255.255 PrimaryWINSServer : SecondaryWINSServer : LeaseObtained :0712036:11:42PM LeaseExpires : Địa chỉ MAC trong ví dụ này là 00-03-FF-F6-FF-FF Cấu hình một sự dành sẵn trong DHCP như thế nào Để cấu hình một sự dành sẵn DHCP, thực hiện theo các bước sau: TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 27
  31. CHƯƠNG 1: TRIỂN KHAI DHCP 1. Mở bảng điều khiển DHCP 2. Trong cây bảng điều khiển, nhấn vào Reservations 3. Trong thực đơn Action, nhấn vào New Reservation Hình 1-11 thể hiện một ví dụ của một trang thuộc tính New Reservation hoàn chỉnh Hình 1-11. Một trang thuộc tính New Reservation DHCP 4. Trong hộp thoại New Reservation, cung cấp các thông tin sau đây và sau đó nhấn Add: a. Tên của việc dành sẵn này (ví dụ MailServer01) b. Địa chỉ IP c. Địa chỉ MAC d. Mô tả (Tùy ý, không bắt buộc) e. Kiểu hỗ trợ (Chỉ DHCP, Chỉ BOOTP, Cả hai) Bạn có thể giới hạn kiểu máy khách có thể sử dụng sự dành sẵn này là DHCP hoặc BOOTP hoặc cho phép cả hai. Một số máy khách cũ mà chạy các hệ điều hành không phải Microsoft có thể sử dụng BOOTP cũ thay vì DHCP. Cũng như vậy, các máy khách Windows 2000 Remote Installation Services (RIS) sử dụng BOOTP khi chúng khởi tạo. Nhấn Both, trừ khi bạn muốn cấu hình các máy trạm bị giới hạn sử dụng một giao thức cụ thể trong khi nhận sự dành sẵn DHCP này. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 28
  32. CHƯƠNG 1: TRIỂN KHAI DHCP 5. Để thêm sự dành sẵn cho máy khách vào phạm vi, nhấn Add 6. Lặp lại hai bước trên cho bất kỳ sự dành sẵn nào khác mà bạn muốn thêm vào và nhấn Close CẤU HÌNH CÁC TÙY CHỌN CHO DHCP Các tùy chọn DHCP là các tham số cấu hình máy khách bổ sung mà một máy chủ DHCP có thể gán khi phục vụ các máy khách DHCP. Các tùy chọn DHCP được cấu hình sử dụng bảng điều khiển DHCP và có thể được áp dụng cho nhiều phạm vi và sự dành sẵn. Ví dụ, các địa chỉ IP cho một thiết bị định tuyến hoặc cổng ra mặc định, máy chủ WINS hoặc máy chủ DNS thường xuyên được cung cấp cho một phạm vi đơn hoặc tổng quát cho tất cả các phạm vi được quản lý bởi máy chủ DHCP. Rất nhiều tùy chọn DHCP được định nghĩa trước trong RFC2132, nhưng máy chủ DHCP của Microsoft cũng cho phép bạn định nghĩa và thêm các tùy chọn tùy biến. Bảng 1-1 mô tả một số tùy chọn mà bạn có thể cấu hình. Bảng 1-1: Các tùy chọn Phạm vi DHCP Tùy chọn Mô tả Router (default Địa chỉ của bất cứ cổng ra mặc định hay bộ định gateway) tuyến nào Tên miền DNS xác định miền mà máy khách sẽ phụ thuộc. Máy khách có thể sử dụng thông tin này Domain name dể cập nhật thông tin lên máy chủ DNS để các máy tính khác có thể tìm thấy nó. DNS and WINS Địa chỉ của bất cứ máy chủ DNS hay WINS nào servers mà máy khách có thể sử dụng trong liên lạc mạng. Các phân lớp nhà cung cấp (Vendor Classes) và người dùng (User classes). Các tùy chọn DHCP có thể được gán cho mọi phạm vi, một phạm vi cụ thể và tới một sự dành sẵn cho máy cụ thể nào đó. Có bốn loại tùy chọn DHCP trong Windows Server 2003: ■ Server options (Các tùy chọn cho máy chủ). Các tùy chọn cho máy chủ sẽ áp dụng cho mọi máy khách của máy chủ DHCP đó. Sử dụng các tùy chọn này cho các tham số thường có trong tất cả các phạm vi trong máy chủ DHCP TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 29
  33. CHƯƠNG 1: TRIỂN KHAI DHCP ■ Scope Options (Các tùy chọn cho phạm vi). Các tùy chọn cho phạm vi áp dụng cho tất cả các máy khách trong một phạm vi và là tập hợp các tùy chọn được sử dụng thường xuyên nhất. Các tùy chọn cho phạm vi sẽ có quyền ưu tiên cao hơn và phủ nhận các tùy chọn cho máy chủ. ■ Class Options (Các tùy chọn cho phân lớp). Các tùy chọn cho phân lớp sẽ cung cấp các tham số DHCP cho các máy khách DHCP dựa trên kiểu- hoặc là các phân lớp nhà cung cấp (Vendor Classes) hoặc các phân lớp người dùng (User classes). ■ Client Options (Các tùy chọn cho máy khách). Các tùy chọn cho máy khách áp dụng cho từng máy khách riêng. Các tùy chọn cho máy khách có quyền ưu tiên cao nhất và phủ nhận các tùy chọn khác (máy chủ, phạm vi và phân lớp) Các phân lớp người dùng được tạo ra theo ý riêng người quản trị DHCP. Các phân lớp nhà cung cấp được định nghĩa theo các nhà cung cấp máy tính và không thể thay đổi. Hình 1-12 thể hiện cách sử dụng của các phân lớp nhà cung cấp khi áp dụng tùy chọn 002 “Microsoft Release DHCP Lease On Shutdown” (Microsoft giải phóng hợp đồng DHCP khi tắt máy) vào các máy tính chạy Windows 2000. Sử dụng các phân lớp nhà cung cấp và người dùng, một quản trị có thể cấu hình máy chủ DHCP để gán các tùy chọn khác nhau, tùy thuộc vào kiểu máy khách tiếp nhận chúng. Ví dụ, một nhà quản trị có thể cấu hình máy chủ DHCP để gán các tùy chọn khác nhau dựa trên kiểu của máy khách, ví dụ máy để bàn hoặc máy xách tay. Tính năng này cho phép người quản trị mạng linh hoạt hơn trong khi cấu hình các máy khách. Nếu các phân lớp người dùng không được sử dụng, các thiết lập mặc định sẽ được gán vào. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 30
  34. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-12. Trang thuộc tính DHCP Server Options THÔNG TIN THÊM. Các phân lớp nhà cung cấp và các tùy chọn nhà cung cấp. Phân lớn nhà cung cấp và các tùy chọn nhà cung cấp được mô tả trong trong RFC2132 và có thể tìm thấy tại địa chỉ CẤU HÌNH DHCP RELAY AGENT Khi máy khách DHCP và máy chủ DHCP trong cùng một mạng con, các thông điệp DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, and DHCPACK được gửi đi theo các hình thức quảng bá của mức MAC và mức IP. Khi máy chủ DHCP và máy khách không trong cùng một mạng con, các thiết bị định tuyến kết nối phải hỗ trợ việc chuyển tiếp các thông điệp DHCP giữa máy khách DHCP và máy chủ DHCP hoặc BOOTP/DHCP relay agent phải được cài đặt trong mỗi mạng con. Giao thức BOOTP và DHCP phụ thuộc vào các thông điệp quảng bá trên mạng để làm nhiệm vụ của chúng. Các bộ định tuyến trong môi trường định tuyến thông thường sẽ không tự động chuyển tiếp các thông điệp quảng bá từ một giao tiếp này đến giao tiếp khác. Có hai phương pháp cho phép bạn giải quyết giới hạn này. Cách thứ nhất, nếu bộ định tuyến phân cách máy chủ DHCP và máy khách là thiết bị tương thích RFC 1542, bộ định tuyến này có thể được cấu hình cho phép chuyển tiếp BOOTP. Bằng việc chuyển tiếp BOOTP, các bộ định tuyến chuyển tiếp các thông điệp quảng bá DHCP giữa các máy khách và các máy chủ và TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 31
  35. CHƯƠNG 1: TRIỂN KHAI DHCP thông báo cho các máy chủ trên mạng con phát sinh các yêu cầu của máy khách. Quá trình này cho phép các máy chủ DHCP gán các địa chỉ đến máy khách ở xa từ các phạm vi tương ứng. Phương pháp thứ hai để cho phép truyền thông từ xa giữa máy chủ và máy khách DHCP là cấu hình DHCP relay agent trên mạng con mà có chứa các máy khách ở xa đó. DHCP relay agent sẽ chặn các gói tin DHCPDISCOVER và chuyển tiếp chúng tới một máy chủ DHCP mà địa chỉ đã được cấu hình sẵn. Một DHCP relay agent có thể là một bộ định tuyến hoặc một máy tính cấu hình để lắng nghe các thông điệp quảng bá DHCP/BOOTP và hướng chúng tới một hoặc nhiều máy chủ DHCP cụ thể. Sử dụng relay agent giảm thiểu sự cần thiết phải có một máy chủ DHCP trên mỗi phân đoạn mạng vật lý hoặc phải mua các bộ định tuyến tương thích RFC2131. Các relay agent không chỉ định hướng các yêu cầu của máy khách DHCP nội bộ đến các máy chủ DHCP mà còn trả các phản hồi của máy chủ DHCP về cho các máy khách DHCP. Mặc dù DHCP relay agent được cấu hình thông qua Routing And Remote Access (Định tuyến và truy cập từ xa), máy tính chứa relay agent này không cần thiết phải hoạt động như một bộ định tuyến thực sự giữa hai mạng con. Các bộ định tuyến tương thích theo chuẩn RFC 2131 (hoặc RFC 1542) có chứa các relay agent cho phép chúng chuyển tiếp các gói tin DHCP. Relay agent làm việc như thế nào ? Hình 1-13 và các danh sách đánh số sau đây thể hiện cách thức mà một máy khách DHCP trong mạng con 2 lấy được địa chỉ IP từ máy chủ DHCP trong mạng con 1. Hình 1-13: Sử dụng Relay Agent TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 32
  36. CHƯƠNG 1: TRIỂN KHAI DHCP 1. Máy khách DHCP quảng bá một thông điệp DHCPDISCOVER trong mạng con 2 như một gói dữ liệu UDP trên cổng UDP 67, đó là cổng dành riêng và chia sẻ cho các truyền thông của máy chủ BOOTP và DHCP. 2. Relay agent, trong trường hợp này là một bộ định tuyến có khả năng chuyển tiếp DHCP/BOOTP, kiểm tra trường địa chỉ IP cổng ra trong header (tiêu đề) của thông điệp DHCP/BOOTP. Nếu trường này có giá trị 0.0.0.0, relay agent này sẽ điền giá trị địa chỉ của nó vào và chuyển tiếp thông điệp này vào mạng con 1, nơi có máy chủ DHCP. 3. Khi máy chủ DHCP trong mạng con 1 nhận được thông điệp DHCPDISCOVER, nó kiểm tra trường địa chỉ IP cổng ra của phạm vi DHCP để xác định liệu nó có thể cung cấp địa chỉ IP. Nếu máy chủ DHCP có nhiều phạm vi, địa chỉ trong trường địa chỉ IP cổng ra sẽ nhận biết phạm vi nào sẽ đề xuất các địa chỉ IP cho các máy khách. Ví dụ, nếu trường địa chỉ IP cổng ra có một địa chỉ IP là 192.168.45.2, máy chủ DHCP sẽ kiểm tra phạm vi DHCP của nó để tìm kiếm một khoảng phạm vi mà phù hợp với mạng IP lớp C mà bao gồm cả địa chỉ IP cổng ra của máy tính. Trong trường hợp này, máy chủ DHCP kiểm tra để xem phạm vi nào sẽ bao gồm khoảng địa chỉ 192.168.45.1 và 192.168.45.254. Nếu một phạm vi tồn tại mà có các thông tin phù hợp, máy chủ DHCP sẽ lựa chọn một địa chỉ cớ sẵn từ phạm vi phù hợp đó để sử dụng cho lời đề xuất cho thuê địa chỉ IP (DHCPOFFER) để phản hồi lại cho máy khách. 4. Máy chủ DHCP sẽ gửi đi một thông điệp DHCPOFFER trực tiếp đến relay agent mà nhận biết được trong trường địa chỉ IP cổng ra. 5. Bộ định tuyến sẽ chuyển tiếp thông điệp đề xuất địa chỉ (DHCPOFFER) đến máy khách DHCP như một thông điệp quảng bá vì địa chỉ IP của máy khách vẫn chưa xác định được. Sau khi máy khách nhận được thông điệp DHCPOFFER, một thông điệp DHCPREQUEST được chuyển tiếp từ máy khách tới máy chủ và một thông điệp DHCPACK sẽ được chuyển tiếp từ máy chủ đến máy khách như mô tả trong RFC1542. ¾ Cài đặt một DHCP relay agent Để cài đặt một DHCP relay agent, thực hiện theo các bước sau: TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 33
  37. CHƯƠNG 1: TRIỂN KHAI DHCP 1. Trong thực đơn Administrative Tools, mở Routing and Remote Access (Định tuyến và truy cập từ xa) 2. Trong bảng điều khiển, mở rộng biểu tượng máy chủ và sau đó nhấn vào “IP Routing” (Định tuyến IP) 3. Trong khung chi tiết, nhấn phải chuột vào General và sau đó nhấn vào “New Routing Protocol” (Giao thức định tuyến mới) 4. Trong hộp thoại “New Routing Protocol”, nhấn vào DHCP relay agent và nhấn OK 5. Mở hộp thoại Properties của DHCP relay agent. Trong hộp “Server Address” (Địa chỉ máy chủ), nhập vào địa chỉ IP của một máy chủ DHCP và sau đó nhấn Add. Sử dụng các Siêu phạm vi (Superscopes) Một superscope là một cách nhóm các phạm vi theo mục đích quản trị, sử dụng để hỗ trợ đa mạng hoặc đa mạng con logic (phân đoạn con của một mạng IP) trong một đoạn mạng đơn (một phần của mạng kết nối IP mà bao bọc bởi các bộ định tuyến IP). Khái niệm đa mạng thường xuất hiện khi một số lượng các máy tính trong một đoạn mạng tăng dần vượt quá khả năng cung cấp của không gian địa chỉ gốc ban đầu. Bằng cách tạo ra một phạm vi thứ hai riêng biệt một cách logic và sau đó nhóm hai phạm vi này vào trong một superscope đơn, bạn có thể nhân đôi dung lượng đoạn mạng vật lý của bạn mà sẽ cấp địa chỉ. (Trong kịch bản đa mạng, định tuyến cũng được yêu cầu để kết nối các mạng con một cách logic). Theo cách này, máy chủ DHCP có thể cung cấp cho các máy khách trên một mạng vật lý các địa chỉ thuê từ nhiều hơn một phạm vi. LƯU Ý. Các superscope chỉ chứa danh sách các phạm vi thành viên. Các superscope chỉ chứa một danh sách các phạm vi thành viên hoặc phạm vi mức con mà có thể được kích hoạt đồng thời; chúng không phải là sử dụng để cấu hình các chi tiết khác về phạm vi sử dụng. ¾ Tạo superscope Để tạo ra superscope, đầu tiên bạn phải tạo ra phạm vi. Sau khi bạn đã tạo ra một phạm vi, bạn có thể tạo ra một superscope bằng cách hoàn thành các bước sau: 1. Mở bảng điều khiển DHCP TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 34
  38. CHƯƠNG 1: TRIỂN KHAI DHCP 2. Trong bảng điều khiển, lựa chọn máy chủ DHCP sẽ thực hành 3. Từ thực đơn Action, lựa chọn New Superscope (Siêu phạm vi mới) 4. Dòng lệnh thực đơn này chỉ xuất hiện nếu có ít nhất một phạm vi không phải là một phần trong một superscope nào khác mà đã được tạo ra trong máy chủ này. 5. Trong trang Welcome To The New Superscope Wizard (Chào mừng đến với trình hướng dẫn tạo siêu phạm vi mới), nhấn Next 6. Trong trang “Superscope Name” (Tên Siêu phạm vi), trong hộp Name, nhập vào tên của superscope và sau đó nhấn Next 7. Trong trang “Select Scopes” (Lựa chọn các phạm vi), trong hộp Available Scopes (Các phạm vi sẵn sàng), lựa chọn một hoặc nhiều phạm vi từ danh sách để thêm vào superscope và sau đó nhấn Next 8. Trong trang Completing The New Superscope Wizard (Hoàn thành trình hướng dẫn tạo siêu phạm vi mới), nhấn Finish. Cấu hình superscope cho các đa mạng Phần tiếp theo sẽ trình bày cách thức một mạng DHCP đơn giản có thể bao hàm một đoạn mạng vật lý và một máy chủ DHCP có thể được mở rộng bằng cách sử dụng các superscope để hỗ trợ các cấu hình đa mạng. Superscope hỗ trợ đa mạng nội bộ. Hình 1-14 thể hiện đa mạng trong một mạng vật lý (Mạng con A) với một máy chủ DHCP đơn. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 35
  39. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-14. Đa mạng trong một đoạn mạng đơn Để hỗ trợ kịch bản này, bạn có thể cấu hình một superscope mà bao hàm các thành viên của phạm vi gốc (Phạm vi 1) và các phạm vi bổ sung cho đa mạng logic mà bạn cần hỗ trợ. (Phạm vi 2 và 3) LƯU Ý. Kết nối hai mạng con logic. Khi hỗ trợ hai mạng con logic trong cùng một đoạn mạng vật lý, sử dụng một bộ định tuyến để kết nối lưu lượng từ một mạng con này sang mạng con khác. Superscope hỗ trợ đa mạng ở xa. Hình 1-15 thể hiện một cấu hình sử dụng để hỗ trợ đa mạng trong một mạng vật lý. (Mạng con B) mà được phân tách từ máy chủ DHCP. Trong kịch bản này, một superscope được định nghĩa trong máy chủ DHCP, kèm theo là một relay agent cấu hình trong bộ định tuyến, kết hợp các mạng con A và B vào trong một đa mạng, nơi mà các máy tính trong cả hai mạng con có thể giao tiếp với máy chủ DHCP trong mạng con A. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 36
  40. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-15. Đa mạng được định tuyến Superscope hỗ trợ hai máy chủ DHCP nội bộ. Khi không có các superscope, hai máy chủ DHCP là nơi cấp địa chỉ trên một đoạn mạng đơn có thể gây ra sự xung đội địa chỉ. Hình 1-16 thể hiện kịch bản này. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 37
  41. CHƯƠNG 1: TRIỂN KHAI DHCP Hình 1-16. Xung đột trong mạng con hai máy chủ Trong cấu hình này, máy chủ DHCP A quản lý một phạm vi địa chỉ khác so với máy chủ DHCP B và không có thông tin nào về các địa chỉ quản lý được trao đổi giữa hai máy tính. Sự cố xảy ra khi một máy khách, mà đã được đăng ký trước đó với máy chủ A, ví dụ, giải phóng tên của nó khi tắt và sau đó lại kết nối vào mạng. Khi máy khách (máy A) khởi động lại, nó cố gắng làm mới địa chỉ mà nó có. Tuy nhiên, nếu máy chủ B phản hồi lại yêu cầu của máy khách A trước khi máy chủ A nhận được thì máy chủ B sẽ từ chối yêu cầu làm mới địa chỉ ngoại lai này bằng một thông điệp DHCPNACK. Kết quả của quá trình này là địa chỉ IP của máy khách A bị xóa bỏ và máy khách A bắt buộc phải tìm kiếm một địa chỉ IP mới. Trong quá trình tìm và lấy địa chỉ mới, máy khách A có thể được đề xuất một địa chỉ nào đó dẫn đến việc máy A nằm trong một mạng con logic không đúng nào đó. Hình 1-17 thể hiện cách thức mà bạn có thể tránh các vấn đề này và quản lý hai phạm vi một cách thường xuyên đều đặn và hiệu quả bằng cách sử dụng các superscope trên cả hai máy chủ DHCP. Trong cấu hình này, cả hai máy chủ đều vẫn nằm trong cùng một mạng con vật lý. Một superscope được thêm vào trong cả hai máy chủ A và B mà thành viên là cả hai phạm vi được định nghĩa ở trong đoạn mạng vật lý. Để không cho các máy chủ này gán TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 38
  42. CHƯƠNG 1: TRIỂN KHAI DHCP các địa chỉ trong phạm vi kia, mỗi máy chủ sẽ loại trừ khoảng địa chỉ đầy đủ thuộc về máy chủ kia. Điều này thể hiện trong Hình 1-17. Hình 1-17. Hai máy chủ sử dụng một siêu phạm vi TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 39
  43. CHƯƠNG 1: TRIỂN KHAI DHCP TỔNG KẾT • DHCP là một giao thức chuẩn, đơn giản giúp cho người quản trị cấu hình mạng TCP/IP dễ dàng hơn rất nhiều bằng cách gán các địa chỉ IP một cách động và cung cấp các thông tin cấu hình bổ sung cho các máy khách một cách tự động. • Các thông tin cấu hình bổ sung được cung cấp dưới dạng các tùy chọn và có thể gắn với các địa chỉ IP dành sẵn, cho các phân lớp người dùng hoặc nhà cung cấp, cho một phạm vi hoặc toàn bộ máy chủ DHCP BÀI TẬP QUAN TRỌNG. Hoàn thành tất cả các bài tập. Nếu bạn có kế hoạch làm tất cả các bài tập trong sách của chương này, bạn phải thực hiện tất cả các bài tập để trả máy tính trở về trạng thái gốc của nó để chuẩn bị cho các bài tập thực hành sau này trong cuốn BÀI TẬP THỰC HÀNH. Bài tập 1-1. Cài đặt và ủy quyền máy chủ DHCP 1. Nhấn Start và trỏ vào “Manage Your Server” (Quản lý máy chủ của bạn) 2. Trong trang “Manage Your Server”, nhấn vào “Add Or Remove A Role” (Thêm hoặc bớt một vai trò) 3. Trong trang “Preliminary Steps Next” (Chuẩn bị bước tiếp theo), nhấn Next 4. Trong trang “Server Role” (Vai trò máy chủ), nhấn vào “DHCP Server” và sau đó nhấn Next 5. Trong trang “Summary Of Selections” (Tổng kết các lựa chọn), nhấn Next 6. Trong trang “Welcome To The New Scope Wizard” (Chào mừng đến với trình tạo phạm vi mới), nhấn Cancel (Bạn sẽ tạo ra một phạm vi trong Bài tập 1-2) 7. Trong trang “Cannot Complete” (Không thể hoàn thành), nhấn Finish 8. Nhấn Start, trỏ vào Administrative Tools và sau đó chọn DHCP TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 40
  44. CHƯƠNG 1: TRIỂN KHAI DHCP 9. Trong bảng điều khiển DHCP, nhấn trái chuột và sau đó phải chuột vào máy chủ DHCP mà bạn muốn ủy quyền và sau đó nhấn Authorize (Ủy quyền) 10. Mở Event Viewer và kiểm tra nhật ký Hệ thống. tìm sự kiện thông tin mà nguồn là DHCPServer, thông tin này hiển thị rằng máy chủ DHCP đã được ủy quyền một cách thành công. 11. Trong bảng điều khiển DHCP, nhấn phải chuột vào máy chủ mà bạn ủy quyền và sau đó nhấn Unauthorize. Nhấn Yes để xác nhận việc dỡ bỏ máy chủ DHCP khởi thư mục và sau đó refressh (làm tươi) bảng điều khiển này. Bài tập 1-2. Cấu hình một phạm vi DHCP 1. Mở bảng điều khiển DHCP 2. Trong bảng điều khiển DHCP, nhấn phải chuột vào máy chủ DHCP mà bạn muốn cấu hình một phạm vi và sau đó nhấn “New Scope” (Phạm vi mới) 3. Trong trang Welcome, nhấn Next. 4. Trong trang “Scope Name”, nhập vào tên và mô tả cho phạm vi này và sau đó nhấn Next 5. Trong trang “IP Address Range” (Dải địa chỉ IP), nhập vào các thông tin sau đây và sau đó nhấn Next 6. Địa chỉ IP bắt đầu: 10.1.1.50 7. Địa chỉ IP kết thúc: 10.1.1.100 8. Mặt nạ mạng con: 255.255.0.0 9. Trong trang “Add Exclutions” (Thêm ngoại lệ), loại bỏ dải từ 10.1.1.70 đến 10.1.1.75 ra khỏi khoảng phạm vi và nhấn Next 10. Trong trang “Lease Duration” (Thời hạn hợp đồng), thiết lập khoảng hạn hợp đồng là 4 ngày và nhấn Next 11. Trong trang “Configure DHCP Options” (Cấu hình các tùy chọn DHCP) nhấn “Yes, I Want To Configure These Options Now”(Đúng, tôi muốn cấu hình các tùy chọn này ngay bây giờ) và sau đó nhấn Next TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 41
  45. CHƯƠNG 1: TRIỂN KHAI DHCP 12. Trong trang “Router (Default Gateway)” (Bộ định tuyến (Cổng ra mặc định)), nhập vào 10.1.1.1 là bộ định tuyến và sau đó nhấn Next 13. Trong trang “Domain Name and DNS Servers” (Tên miền và các máy chủ DNS) trong hộp “Parent domain” (miền mức cha) nhập vào ACNA.com và trong mục IP address, nhập vào 10.1.1.200. nhấn Add và sau đó nhấn Next. 14. Trong trang “WINS Servers” (Các máy chủ WINS), trong mục IP Address, nhập vào 10.1.1.200. Nhấn Add và sau đó nhấn Next. 15. Trong hộp “Active Scope” (Kích hoạt phạm vi), nhấn “No, I Will Activate This Scope Later” (Không, tôi sẽ kích hoạt phạm vi sau này), nhấn Next vào sau đó nhấn Finish 16. Trong bảng điều khiển DHCP, kiểm tra phạm vi mà bạn vừa mới tạo ra. Bài tập 1-3. Cấu hình một DHCP dành sẵn 1. Trong bảng điều khiển DHCP, mở rộng phạm vi mà bạn tạo ra trong bài tập 1-2. Nhấn phải chuột vào mục Reservations và lựa chọn New Reservation (Sự dành sẵn mới) 2. Trong trang thuộc tính New Reservation (Sự dành sẵn mới), nhập vào các giá trị sau đây, nhấn Add và sau đó nhấn Close 3. Reservation Name: MailServer01 4. IP address: 10.1.1.71 5. MAC address: 00-53-45-0F-00-0A Bài tập 1-4. Dỡ bỏ DHCP Trong bài tập này, bạn sẽ hủy các thay đổi cấu hình mà bạn đã tạo ra trong các bài tập trước. 1. Nhấn Start và lựa chọn Manage Your Server 2. Trong trang “Manage Your Server”, nhấn “Add or Remove a Role” 3. Trong trang “Preliminary Steps”, nhấn Next 4. Trong trang “Server Role”, nhấn vào DHCP và sau đó nhấn Next, TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 42
  46. CHƯƠNG 1: TRIỂN KHAI DHCP 5. Lựa chọn hộp thoại “Remove The DHCP Server Role” (Hủy bỏ vai trò máy chủ DHCP) và sau đó nhấn Next 6. Trong trang “DHCP Server Role Removed” (Vai trò máy chủ DHCP đã được hủy bỏ), nhấn Finish. CÁC CÂU HỎI TỔNG KẾT 1. Trong trường hợp nào mà một quản trị mạng nên sử dụng DHCP? 2. Đặt các kiểu thông điệp DHCP sau đây theo thứ tự mà một quá trình cấp địa chỉ IP thành công sử dụng chúng? a. DHCPACK b. DHCPOFFER c. DHCPREQUEST d. DHCPDISCOVER 3. Một máy khách DHCP phản hồi thế nào khi sự cố gắng làm mới địa chỉ IP của nó là không được và hợp đồng bị hết hạn? 4. Bạn cấu hình một phạm vi với dải địa chỉ từ 192.168.0.11 đến 192.168.0.254. tuy nhiên máy chủ DNS của bạn trong cùng một mạng con đã được gán một địa chỉ tĩnh là 192.168.0.200. Làm thế nào bạn có thể cho phép tương thích giữa địa chỉ máy chủ DNS và dịch vụ DHCP trong mạng con của bạn mà tốn ít công sức quản trị nhất? 5. Trong mỗi mạng con của bạn, bạn muốn 10 máy khách DHCP xác định (bên cạnh 150 tổng số máy trong mạng) sử dụng một máy chủ DNS thử nghiệm mà không gán thông tin này cho các máy tính khác cũng sử dụng DHCP. Làm thế nào bạn có thể đạt được mục tiêu này? CÁC KỊCH BẢN TÌNH HUỐNG Kịch bản tình huống 1-1: Nhận địa chỉ IP Tháng trước, một máy chủ được cấu hình thành máy chủ DHCP và hoạt động bình thường. Năm ngày sau, một máy chủ thử nghiệm trong cùng một đoạn mạng được thăng chức thành máy chủ quản trị miền đầu tiên của mạng. Hôm nay một số người dùng trong cùng mạng với máy chủ DHCP phàn nàn TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 43
  47. CHƯƠNG 1: TRIỂN KHAI DHCP rằng họ không thể nhận được địa chỉ IP bằng phương thức DHCP. Đâu là lý do chính của việc người dùng không thể lấy được địa chỉ IP ? a) Hợp đồng thuê địa chỉ IP của người dùng đã hết hạn b) DHCP relay agent bị mất hoặc được cấu hình không chính xác c) Có sự trùng lặp địa chỉ IP trong mạng d) Máy chủ DHCP phải được ủy quyền và hiện nó chưa được ủy quyền. Kịch bản tình huống 1-2: Tối ưu thời hạn hợp đồng khả thi Bạn đang cấu hình các tùy chọn cho một phạm vi DHCP cho công ty ACNA,Ltd. Công ty có một lượng giới hạn địa chỉ IP cho các máy khách và muốn cấu hình DHCP để tối ưu thời hạn thuê. Lựa chọn tất cả các hành động sau đây để hoàn thành mục tiêu này: a) Thiết lập khoảng thời hạn thuê dài b) Thiết lập khoảng thời hạn thuê ngắn c) Cấu hình các lựa chọn DHCP để tự động giải phóng một địa chỉ IP khi mà máy tính tắt d) Tạo ra các địa chỉ DHCP dành sẵn cho tất cả các máy tính xách tay. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003 44
  48. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP Sau khi hoàn thành chương này, bạn có khả năng: ■ Mô tả sự quan trọng và các kỹ năng thực hành để quản trị một máy chủ DHCP ■ Quản trị CSDL DHCP bằng việc thực hiện các tác vụ sau: Sao lưu và khôi phục, nén CSDL DHCP và thống nhấn CSDL DHCP ■ Giám sát CSDL DHCP bằng cách tạo và xem các nhật ký kiểm soát DHCP, tạo ra mức hiệu năng cơ sở DHCP, xem các thông số thống kê của phạm vi và máy chủ DHCP, và tạo ra các cảnh báo hiệu năng DHCP. Sau khi bạn cài đặt và cấu hình thành công DHCP trên máy chủ Microsoft Windows Server 2003, bạn phải quản lý và giám sát những hoạt động đang diễn ra tại máy chủ đó. Hệ thống của bạn càng không ổn định (việc không ổn định có thể là kết quả của việc thêm vào, xóa bớt hoặc thay đổi mục đích sử dụng của các máy chủ) thì việc quản trị và giám sát máy chủ DHCP của bạn càng quan trọng. Độ ổn định của hệ thống mạng của bạn sẽ xác định cả tần suất của việc quản trị và giám sát máy chủ mà bạn sẽ phải làm. Mục đích của việc quản trị và giám sát máy chủ DHCP giúp cho ta ngăn cản các sự cố, đảm bảo rằng máy chủ thực hiện đúng chức năng mà bạn đã gán cho nó và để đảm bảo rằng máy chủ thực hiện chức năng của nó ở mức hiệu năng có thể chấp nhận được. Việc giám sát máy chủ một cách hiệu quả cho phép bạn nhận biết và thực hiện các biện pháp cứu chữa xu hướng mà có thể dẫn đến việc máy chủ ngừng hoạt động hoặc giảm hiệu năng. Chương này sẽ trình bày các phương pháp mà bạn có thể quản trị và giám sát máy chủ DHCP QUẢN TRỊ DHCP DHCP đóng vai trò quan trọng trong cơ sở hạ tầng mạng của doanh nghiệp. Như đã bàn đến trong chương 1, “Triển khai DHCP”, một doanh nghiệp sử dụng DHCP để cung cấp các thiết lập kết nối bắt buộc (Địa chỉ IP và mặt nạ mạng con). Các máy chủ DHCP cũng cung cấp các địa chỉ IP cho các tài nguyên quan trọng như máy chủ DNS và máy chủ WINS. Nếu không thể truy cập đến một máy chủ DHCP, các máy khách sẽ mất hoàn toàn kết nối TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 45 VỚI WINDOWS SERVER 2003
  49. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP mạng. Do đó, cũng giống như các tài nguyên then chốt khác trong doanh nghiệp của bạn, bạn phải quản trị máy chủ DHCP một cách cẩn thận. Việc quản trị máy chủ DHCP một cách đúng đắn sẽ giúp bạn tránh các thời gian chết của máy chủ và hỗ trợ bạn nhanh chóng phục hồi lại sau sự cố. Bảng 2- 1 sẽ liệt kê các tác vụ quản trị DHCP khi nào các tác vụ này thường xuyên tiến hành. Bảng 2-1. Các tác vụ quản trị DHCP Tác vụ Quản trị Thời điểm thực hiện Cấu hình và thay đổi Phạm Tại thời điểm cài đặt hoặc khi thêm các máy vi khách nằm ngoài các Phạm vi hiện tại Cấu hình và thay đổi các Khi thêm hay thay đổi các máy chủ dịch vụ tùy chọn mạng. Cấu hình DHCP relay Khi thêm mạng con mới agent Sao lưu CSDL DHCP Mỗi giờ, theo mặc định Khôi phục CSDL DHCP Khi CSDL bị hỏng Nén CSDL DHCP Khi cần thiết, để tránh các ảnh hưởng do việc CSDL phát triển Thống nhất các Phạm vi Khi tìm thấy các xung đột DHCP HIỂU BIẾT CÁC CẬP NHẬT DNS ĐỘNG Windows Server 2003 DNS hỗ trợ giao thức Cập nhật DNS Động (RFC 2136), cho phép các máy khách DNS cập nhật động các bản ghi tài nguyên của nó trong vùng DNS. Bạn có thể chỉ định rằng máy chủ DHCP trong mạng của bạn cập nhật động DNS khi nó cấu hình các máy khách DHCP. Điều này sẽ giảm thời gian quản trị cần thiết khi quản trị thủ công các bản ghi vùng. Bạn có thể sử dụng các cập nhật động khi máy tính giải phóng hoặc cập nhật địa chỉ IP. Trên máy chủ DHCP, bạn chỉ định các vùng DNS mà máy chủ DHCP này chịu trách nhiệm cập nhật tự động. Trên máy chủ DNS, bạn chỉ định máy chủ DHCP là máy tính duy nhất mà được ủy quyền để cập nhật các mục trong DNS. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 46 VỚI WINDOWS SERVER 2003
  50. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP Nếu bạn sử dụng nhiều máy chủ Windows Server 2003 DHCP trong mạng và bạn cấu hình các vùng của bạn để cho phép chỉ các cập nhật động bảo mật, bạn phải sử dụng Active Directory User And Computers để thêm máy chủ DHCP của bạn vào nhóm bảo mật DnsUpdateProxy. Điều này cho phép máy chủ DHCP của bạn thực hiện việc cập nhật thay mặt cho các máy khách DHCP. Bạn phải thực hiện cập nhật DNS động từ máy chủ DHCP nếu: ■ Hệ điều hành máy khách DNS không phải là Microsoft Windows Server 2000, Microsoft Windows XP hoặc Windows Server 2003 ■ Việc gán các Cấp phép, cho phép mỗi máy tính, nhóm hoặc người dùng cập nhật các mục vào tương ứng trong DNS, là không thể quản lý được. ■ Việc cho phép các máy khách DNS riêng lẻ cập nhật các mục vào DNS sẽ gây ra các nguy cơ bảo mật mà có thể dễ dẫn đến các máy tính không ủy quyền sẽ đóng giả các máy tính đã được ủy quyền. Các máy khách chạy Windows 2000 hoặc cao hơn thực hiện việc cập nhật các Bản ghi Tài nguyên Địa chỉ (address (A) resource records) một cách trực tiếp, nhưng chúng lại sử dụng máy chủ DHCP để cập nhật động các Bản ghi Tài nguyên Con trỏ (Pointer Resource Records - PTR) của chúng, thể hiện trong Hình 2-1 (lưu ý rằng bước 3 và 4 có thể được đặt trước). Một bản ghi A phân giải tên máy sang địa chỉ IP và một bản ghi PTR lại phân giải địa chỉ IP sang tên máy. Khi có cả hai loại bản ghi, máy chủ DNS có thể thực hiện việc phân giải xuôi và phân giải ngược. Hình 2-1. Quá trình cập nhật động cho các máy khách Windows 2000 hoặc các hệ điều hành sau Windows 2000. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 47 VỚI WINDOWS SERVER 2003
  51. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP Các máy khách sử dụng DHCP chạy các phiên bản trước đây của hệ điều hành Microsoft sẽ không thể cập nhật hoặc đăng lý các bản ghi tài nguyên DNS một cách trực tiếp. Các máy khách DHCP này phải sử dụng dịch vụ DHCP cung cấp trong Windows Server 2003 để đăng ký và cập nhật cả bản ghi tài nguyên A và bản ghi PTR. Hình 2-2 thể hiện quá trình này. Hình 2-2. Quá trình cập nhật động cho các máy khách mà chạy hệ điều hành Microsoft trước Windows 2000. Bạn có thể chỉnh sửa cách thực hiện mặc định này theo nhiều cách khác nhau bằng cách cấu hình các thiết lập cập nhật DNS trong máy chủ DHCP. Điều này sẽ được bàn đến trong phần tiếp sau. Cấu hình các thiết lập cập nhật động DNS trên máy chủ DHCP Để kích hoạt khả năng cập nhật động, trong trang thuộc tính của máy chủ DHCP, lựa chọn “Enable DNS Dynamic Updates According To The Settings Below” (Kích hoạt việc cập nhật động DNS theo các thiết lập sau đây). Lựa chọn này và lựa chọn “Dynamically Update DNS A And PTR Records Only If Requested By The DHCP Clients” (Cập nhật động DNS các bản ghi A và bản ghi PTR chỉ khi các máy khách DHCP yêu cầu) đều được chọn theo mặc định. Khi các lựa chọn mặc định này được sử dụng, và máy khách DHCP yêu cầu máy chủ cập nhật bản ghi tài nguyên PTR của nó, máy chủ DHCP sẽ thực hiện chỉ yêu cầu đó. Để cấu hình máy chủ DHCP cập nhật cả bản ghi A và bản ghi PTR, sử dụng bảng điều khiển DHCP Manager để hiển thị thuộc tính của máy chủ DNS và chỉnh sửa các thiết lập trong thẻ DNS như thể hiện trong Hình 2-3. Để cập nhật DNS cho các máy khách chạy các hệ điều hành trước đây của Windows, ví dụ như Microsoft Windows 98 và Windows NT, lựa chọn “Dynamically Update DNS A And TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 48 VỚI WINDOWS SERVER 2003
  52. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP PTR Records For DHCP Clients That Do Not Request Updates” (Cập nhật động DNS các bản ghi A và bản ghi PTR cho các máy khách DHCP không yêu cầu cập nhật), thể hiện trong Hình 2-3. Hình 2-3. Kích hoạt máy chủ DHCP để cập nhật các bản ghi A và bản ghi PTR LƯU Ý. Cấu hình thuộc tính của phạm vi. Các cập nhật động DNS cũng được cấu hình tại mức phạm vi bằng cách sử dụng hộp thoại Scope Properties hoặc cho máy khách có địa chỉ IP dành sẵn trong hộp thoại thuộc tính của địa chỉ dành sẵn đó Nếu bạn không thể bảo mật việc cập nhật động, bạn có thể vô hiệu hóa các cập nhật động DNS. Để không cho máy chủ DHCP thực hiện việc cập nhật động thay mặt cho các máy khách Windows 2000, Windows XP hoặc Windows Server 2003, bạn hãy bỏ lựa chọn “Enable DNS Dynamic Updates According To The Settings Below” (Kích hoạt việc cập nhật động DNS theo các thiết lập sau đây) Thông thường, không có lý do gì để duy trì các thông tin về một máy khách DNS đã bị xóa. Lựa chọn “Discard A And PTR Records When Lease Is Deleted” (Loại bỏ bản ghi DNS và bản ghi PTR khi hợp đồng bị xóa bỏ) sẽ xóa các bản ghi tài nguyên của máy khách đó khỏi DNS khi hợp đồng thuê địa chỉ IP bị xóa. Các thiết lập cập nhật động cuối cùng mà mà bạn có thể cấu hình trong thẻ DNS sẽ xác định liệu máy chủ DHCP có cung cấp dịch vụ cập nhật động TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 49 VỚI WINDOWS SERVER 2003
  53. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP DNS thay mặt cho các máy khách DHCP không có khả năng thực hiện cập nhật động hay không, ví dụ như các máy tính chạy Microsoft Windows NT4. Theo mặc định, máy chủ DHCP Windows Server 2003 không thực hiện việc cập nhật động thay mặt cho các máy khách. Để kích hoạt máy chủ DHCP Windows Server 2003 thực hiện việc cập nhật động thay mặt cho các máy khách, lựa chọn “Dynamically Update DNS A And PTR Records For DHCP Clients That Do Not Request Updates” (Cập nhật động DNS các bản ghi A và bản ghi PTR cho các máy khách DHCP không yêu cầu cập nhật) Sử dụng các cập nhật động bảo mật Mặc dù các cập nhật động cho phép các máy khách cập nhật các bản ghi tài nguyên, đây không phải là một cách làm an toàn. Một cách bảo mật hơn để cập nhật các bản ghi tài nguyên DNS là sử dụng các cập nhật động bảo mật. Máy chủ sẽ thực hiện cập nhật nếu như máy khách có thể đưa ra thông tin nhận dạng của nó và có các thông số đúng đắn để thực hiện việc cập nhật. Việc thực hiện cập nhật động bảo mật sẽ thực hiện được chỉ thông qua dịch vụ thư mục Active Directory và khi DNS tích hợp Active Directory được kích hoạt. (Để có thêm thông tin, xem Chương 3, “Triển khai việc phân giải tên sử dụng DNS”) Cấu hình cập nhật động bảo mật. Theo mặc định, các vùng tích hợp Active Directory (Active Directory–integrated) sẽ cho phép sự cập nhật động bảo mật và thiết lập này có thể được chỉnh sửa khi bạn tạo ra vùng này. Nếu bạn tạo ra vùng là vùng chính tiêu chuẩn (Standard Primary) và sau đó chuyển đổi nó sang vùng tích hợp Active Directory, nó sẽ giữ nguyên các cấu hình cập nhật động của vùng chính tiêu chuẩn và có thể được thay đổi bằng cách sử dụng bảng điều khiển DNS. ¾ Cấu hình cập nhật động bảo mật. Các thao tác sau đây sử dụng bảng điều khiển DNS để xác nhận một vùng sẽ sử dụng các cập nhật động. Để khẳng định các thiết lập cập nhật động, làm theo các bước sau: 1. Trong bảng điều khiển DNS, nhấn phải chuột vào vùng mà bạn muốn cấu hình cập nhật động và lựa chọn Properties 2. Trong danh sách sổ xuống Dynamic Updates, xác nhận rằng Secure Only (xem Hình 2-4) được lựa chọn TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 50 VỚI WINDOWS SERVER 2003
  54. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP Hình 2-4. Vùng DNS được cấu hình chỉ cho phép cập nhật động bảo mật Theo mặc định, khi dịch vụ DHCP máy khách đăng ký các bản ghi tài nguyên cho một tên DNS, nó sẽ thực hiện kiểu cập nhật động chuẩn trước tiên. Nếu thao tác cập nhật động này không thành, máy khách sẽ thu xếp một cập nhật động bảo mật. Bạn có thể cấu hình các máy khách luôn luôn thực hiện cập nhật động chuẩn hoặc cập nhật động bảo mật bằng cách thêm vào trong registry mục vào UpdateSecurityLevel trong khóa con sau đây: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Paramet ers Giá trị của UpdateSecurityLevel có thể được thiết lập các giá trị 0, 16 hoặc 256 với các giá trị cấu hình bảo mật như sau: ■ 0 Chỉ định việc sử dụng các cập nhật động bảo mật khi việc cập nhật động chuẩn bị từ chối. Đây là giá trị mặc định ■ 16 Chỉ định việc chỉ sử dụng kiểu cập nhật động chuẩn ■ 256 Chỉ định việc chỉ sử dụng kiểu cập nhật động bảo mật Sử dụng Nhóm Bảo mật DnsUpdateProxy . Sử dụng các cập nhật động bảo mật có thể dẫn đến tình huống trong đó các bản ghi có thể không được cập nhật. Khi sử dụng các cập nhật động bảo mật, các máy khách đã đăng ký, và chỉ các máy khách đã đăng ký, là có thể chỉnh sửa tên đó. Ví dụ, hãy xem xét một máy chủ DHCP mà đăng ký một bản ghi cho máy khách sử dụng hệ điều hành trước Windows 2000. Sau đó, máy khách này nâng cập lên Windows XP và hiện tại có khả năng tự cập nhật bản ghi tài nguyên DNS của chính nó. Bởi vì sử dụng các cập nhật động bảo mật yêu cầu đối tượng sở hữu (trong trường hợp này là máy chủ DHCP) của bản ghi tài nguyên thực hiện việc cập nhật cho bản ghi này nên máy trạm đã nâng cấp TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 51 VỚI WINDOWS SERVER 2003
  55. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP mới này không thể cập nhật bản ghi của chính nó. Tương tự, nếu máy chủ DHCP thứ cấp của bạn đăng ký một tên và sau đó lại ở trạng thái không kết nối (offline), tên đó sẽ không thể được cập nhật động nữa cho đến khi máy chủ thứ cấp đó trở lại trạng thái kết nối (online). Để giải quyết vấn đề này, Active Directory trong Windows Server 2003 cung cấp một nhóm bảo mật có sẵn gọi là DnsUpdateProxy. Các đối tượng được tạo ra bởi nhóm này là không bảo mật. Và do vậy, ban dầu đối tượng không có chủ sở hữu, do vậy mà máy chủ hoặc máy khách DHCP không tạo ra nó, thậm chí trong các vùng yêu cầu cập nhật bảo mật, có thể cập nhật nó. Tuy nhiên, như với mọi bản ghi khác, ngay sau khi máy chủ hoặc máy khách DHCP đầu tiên, không phải là thành viên của nhóm bảo mật DnsUpdateProxy, chỉnh sửa bản ghi, máy chủ hoặc máy khách đó sẽ trở thành chủ sở hữu của bản ghi này. Tại thời điểm này, chỉ chủ sở hữu mới có thể cập nhật cho bản ghi này trong vùng mà yêu cầu cập nhật bảo mật. Do đó, nếu mọi máy chủ DHCP đăng ký các bản ghi tài nguyên cho các máy khách cũ hơn là thành viên của nhóm bảo mật này và bản thân các máy khách không phải là thành viên của nhóm này, vấn đề bàn đến trong phần trước đã được loại trừ. Để tránh các trục trặc có thể xẩy ra, bạn nên cân nhắc việc thêm các máy chủ DHCP vào trong nhóm bảo mật DnsUpdateProxy. Thêm các đối tượng máy tính vào trong nhóm bảo mật DnsUpdateProxy. Bạn có thể thêm các đối tượng máy tính vào trong nhóm bảo mật DnsUpdateProxy thông qua bảng điều khiển Active Directory Users and Computer. ¾ Thêm các đối tượng máy tính vào trong nhóm bảo mật DnsUpdateProxy. Để thêm một máy chủ DHCP vào trong nhóm bảo mật DnsUpdateProxy, thực hiện theo các bước sau: 1. Nhấn Start, trỏ vào All Programs, trỏ đến Administrative Tools và sau đó nhấn vào Active Directory Users and Computer. 2. Mở rộng contoso.com và nhấn vào thư mục chứa Users 3. Nhấn phải chuột vào DnsUpdateProxy và sau đó lựa chọn Properties. 4. Trong thẻ Member, nhấn Add 5. Trong hộp lựa chọn Enter The Object Names To Select, nhập vào tên của máy chủ thành viên hoặc máy chủ quản trị miền mà thực hiện nhiệm vụ DHCP TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 52 VỚI WINDOWS SERVER 2003
  56. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP 6. Nhấn vào Check Names và sau đó đóng trang thuộc tính bằng cách nhấn OK. LƯU Ý. Thêm các máy chủ DHCP vào trong nhóm bảo mật DnsUpdateProxy. Nếu bạn đang sử dụng nhiều máy chủ DHCP để chống lỗi và các cập nhật động bảo mật được yêu cầu cho các vùng được các máy chủ DHCP này phục vụ, hãy chắc chắn thêm tất cả các máy chủ DHCP chạy Windows Server 2003 vào trong nhóm bảo mật DnsUpdateProxy Các vấn đề liên quan đến bảo mật. Mặc dù việc thêm tất cả các máy chủ DHCP vào trong nhóm bảo mật có sẵn DnsUpdateProxy sẽ hỗ trợ cho một số vấn đề về việc duy trì các cập nhật động DNS, giải pháp này cũng gây nên một số nguy cơ bảo mật khác. Ví dụ, bất kỳ tên miền DNS nào đăng ký bởi các máy tính chạy dịch vụ DHCP Server là không bảo mật. Bản ghi tài nguyên A cho máy chủ DHCP là một ví dụ của một bản ghi như thế. Để bảo vệ hệ thống khỏi nguy cơ này, bạn có thể cấu hình chỉ định một chủ sở hữu khác một cách thủ công cho bất kỳ bản ghi DNS nào gắn với máy chủ DHCP. Tuy nhiên, một vấn đề bảo mật có ý nghĩa lớn hơn sẽ xuất hiện nếu máy chủ DHCP, là thành viên của nhóm bảo mật DnsUpdateProxy, lại cũng đồng thời là máy chủ quản trị miền. Trong trường hợp này, các Bản ghi Tài nguyên Định vị Dịch vụ (SRV), Bản ghi Địa chỉ Máy tính (A) và Bản ghi Tên Qui chuẩn (CNAME) được đăng ký bởi dịch vụ Netlogon cho Máy chủ Quản trị Miền là không bảo mật. Để giảm thiểu vấn đền này, bạn không nên cài đặt một máy chủ DHCP trên một máy chủ quản trị miền khi sử dụng các cập nhật bảo mật. CẢNH BÁO. Thêm các máy chủ DHCP vào trong nhóm bảo mật DnsUpdateProxy. Đối với Windows Server 2003, việc sử dụng các cập nhật động bảo mật có thể bị ảnh hưởng do việc chạy máy chủ DHCP trên Máy chủ Quản trị Miền khi dịch vụ DHCP được cấu hình để thực hiện các đăng ký các bản ghi DNS thay mặt cho các máy khách DHCP. Để tránh vấn đề này, hãy cài đặt các máy chủ DHCP và các máy chủ quản trị miền trên các máy tính khác nhau. Giải quyết sự cố cập nhật động Trong một thời điểm nào đó, có thể bạn gặp các sự cố với các cập nhật động hay các cập nhật động bảo mật. Phần sau đây sẽ giúp bạn nhận dạng và giải quyết các sự cố cập nhật động. Nếu các cập nhật động không đăng ký đúng tên hoặc địa chỉ IP, các thao tác sau đây sẽ giúp bạn trong việc chẩn đoán và giải quyết vấn đề: TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 53 VỚI WINDOWS SERVER 2003
  57. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP ■ Kiểm tra nhật ký hệ thống trên máy trạm có các lỗi cụ thể đó. ■ Bắt các máy khách làm mới các đăng ký của nó bằng cách nhập ipconfig /registerdns tại dấu nhắc dòng lệnh. ■ Kiểm tra xem liệu các cập nhật động có được kích hoạt hay không đối với vùng được ủy quyền cho tên mà máy trạm thực hiện việc cập nhật ■ Để phát hiện ra qui luật cho các sự cố khác, kiểm tra xem liệu các máy khách cập nhật động có liệt kê máy chủ DNS chính trong vùng là máy chủ DNS ưa thích của nó hay không. Để xác định máy chủ DNS ưa thích cho một máy khách, kiểm tra cấu hình địa chỉ IP trong phần thuộc tính TCP/IP của kết nối mạng trong máy khách hoặc tại giao diện dòng lệnh, nhập vào ipconfig /all ■ Nếu máy khách liệt kê máy chủ ưa thích không phải là máy chủ DNS chính trong vùng, các cập nhật động vẫn có thể hoạt động đúng, tuy nhiên vẫn có các vấn đề khác có thể gây nên sự cố, ví dụ như vấn đề về kết nối mạng giữa hai máy chủ hoặc một sự tra cứu đệ qui kéo dài đối với máy chủ DNS chính trong vùng. ■ Nếu vùng là tích hợp Active Directory, bất kỳ máy chủ DNS có chứa một bản sao tích hợp Active Directory của vùng đều có thể thực hiện việc cập nhật. ■ Kiểm tra xem liệu danh sách điều khiển truy cập (ACL) của bản ghi tài nguyên có cấu hình cho phép các cập nhật động hay không. Nếu vùng được cấu hình các cập nhật động, việc cập nhật có thể thất bại nếu các thiết lập bảo mật của bản ghi không cho phép các máy khách thực hiện việc thay đổi các bản ghi này hoặc việc cập nhật có thể không thành nếu máy khách này không sở hữu tên mà nó đang cập nhật. Để xác định liệu các cập nhật có phải thất bại vì một trong những lí do trên, kiểm tra Event Viewer trên máy khách. Việc cho phép cập nhật động bảo mật có thể ngăn cản không cho một máy khách tạo, chỉnh sửa hoặc xóa các bản ghi tùy vào ACL cho vùng và tên đó. Theo mặc định, các cập nhật động bảo mật sẽ không cho máy khách tạo, xóa hay chỉnh sửa một bản ghi nếu như máy khách không phải là đối tượng tạo ra tên đó. Ví dụ, nếu hai máy tính có cùng một tên và cả hai đều cố gắng đăng ký tên của chúng trong DNS, việc cập nhật động có thể không thành đối với một máy khách đăng ký sau. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 54 VỚI WINDOWS SERVER 2003
  58. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP Nếu máy khách thất bại trong việc cập nhật tên trong vùng đã cấu hình cập nhật động bảo mật, một trong các điều kiện sau đây có thể là nguyên nhân của thất bại đó: ■ Thời gian hệ thống trong máy khách DNS và thời gian hệ thống trong máy chủ DNS không được đồng bộ ■ Bạn đã chỉnh sửa trong registry, mục UpdateSecurityLevel, ngăn cản việc sử dụng các cập nhật động bảo mật trong máy trạm ■ Vùng đó bị khóa. Máy chủ DNS sẽ khóa vùng trước khi thực hiện việc chuyển vùng lớn. Khi vùng bị khóa, các máy khách không thể cập nhật tên. ■ Máy khách không có đủ quyền để cập nhật bản ghi tài nguyên. Bạn có thể xác nhận điều này bằng cách kiểm tra ACL gắn với tên cập nhật. Nếu máy khách không có đủ quyền để cập nhật bản ghi tài nguyên, hãy kiểm tra xem máy chủ DHCP đăng ký tên của máy khách đó và kiểm tra xem máy chủ DHCP có phải là chủ sở hữu của đối tượng dnsNode tương ứng. Nếu thế, bạn có thể phải nghĩ đến việc đặt máy chủ DHCP trong nhóm bảo mật DnsUpdateProxy. Tuy nhiên, việc sử dụng lại bất kỳ đối tượng nào đã được tạo ra bởi thành viên của nhóm bảo mật DnsUpdateProxy là không an toàn. QUẢN TRỊ CƠ SỞ DỮ LIỆU DHCP Hệ thống mạng của bạn liên tục thay đổi. Các máy chủ mới được thêm vào và các máy chủ cũ thay đổi vai trò của nó hoặc bị gỡ bỏ hoàn toàn ra khỏi mạng. Như đã nói trước, bởi vì hệ thống mạng của bạn liên tục thay đổi nên bạn phải giám sát và quản trị dịch vụ DHCP để đảm bảo rằng nó đáp ứng được yêu cầu của doanh nghiệp. Đặc biệt, bạn phải quản trị cơ sở dữ liệu DHCP bằng cách thực hiện các nhiệm vụ sau đây đối với CSDL: ■ Sao lưu và khôi phục ■ Thống nhất CSDL ■ Nén CSDL ■ Dỡ bỏ CSDL TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 55 VỚI WINDOWS SERVER 2003
  59. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP CSDL DHCP là gì ? CSDL của máy chủ DHCP là một CSDL động, đó là một kho dữ liệu lưu được cập nhật khi các máy khách DHCP được gán hoặc khi chúng giải phóng các tham số cấu hình TCP/IP. Bởi vì CSDL DHCP không phải là một CSLD phân bố giống như CSDL trong máy chủ DNS nên việc duy trì các CSDL DHCP không phức tạp bằng. DNS được lưu một cách có cấu trúc phân cấp trên rất nhiều máy chủ khác nhau mà mỗi máy chủ lưu một phần của CSDL tổng thể. Ngược lại, DHCP được lưu trong một số file trên một máy chủ. CSDL trong máy chủ DHCP trong họ hệ điều hành Windows Server 2003 sử dụng cơ chế lưu trữ Joint Engine Technology (JET). Khi bạn cài đặt dịch vụ DHCP, các file thể hiện trong Bảng 2-2 được tạo ra một cách tự động trong thư mục %systemroot%\System32\Dhcp Bảng 2-2: các file CSDL dịch vụ DHCP File Mô tả Dhcp.mdb File CSDL DHCP máy chủ File được CSDL DHCP sử dụng như là nơi lưu tạm trong khi CSDL thực hiện việc duy trì chỉ mục. File này đôi khi xuất Temp.edb hiện trong thư mục %systemroot%\System32\Dhcp sau khi hệ thống bị lỗi. J50.log và Tệp nhật ký của tất cả các giao dịch CSDL. CSDL DHCP sử J50#####.log dụng các file này để khôi phục dữ liệu khi cần. File kiểm tra chỉ ra vị trí của thông tin cuỗi cùng đã được ghi thành công từ file nhật ký vào CSDL. Trong kịch bản phục hồi dữ liệu, File Kiểm tra chỉ ra vị trí mà việc phục hồi hay J50.chk thực hiện lại dữ liệu sẽ bắt đầu. File Kiểm tra sẽ được cập nhật sau khi dữ liệu đã được ghi thành công vào CSDL (Dhcp.mdb) Các tệp nhật ký dự phòng sẽ được sử dụng trong trường hợp Res*.log hệ thống bị thiếu khoảng trống trên đĩa CẢNH BÁO. Dỡ bỏ hoặc thay thế các file CSDL. không nên dỡ bỏ hoặc thay thế các file J50.log, J50#####.log, Dhcp.mdb và Dhcp.tmp. Việc thay thế các file này có thể gây nên hậu quả là máy chủ DHCP của bạn bị lỗi. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 56 VỚI WINDOWS SERVER 2003
  60. CHƯƠNG 2: QUẢN TRỊ VÀ GIÁM SÁT DHCP Không có giới hạn số lượng các bản ghi trong kho lưu trữ của máy chủ DHCP. Kích thước của CSDL tăng dần theo thời gian bởi vì các máy khách gia nhập và rời mạng. Microsoft gợi ý rằng một Máy chủ chạy dịch vụ DHCP không nên có quá 10000 máy khách và 1000 phạm vi. Kích thước của CSDL DHCP không tỷ lệ một cách trực tiếp với số lượng các mục vào của các máy khách đang hoạt động. Theo thời gian, một số mục vào máy khách DHCP trở nên lỗi thời hoặc bị xóa mất. Không gian lưu trữ không được phục hồi lại do đó một số vùng lưu trữ vẫn không được sử dụng. Để phục hồi lại các vùng lưu trữ không sử dụng này, CSDL DHCP sẽ được nén. Việc nén CSDL động được thực hiện trên máy chủ DHCP như là một tiến trình tự động thực hiện ở mức nền của Windows trong thời gian nghỉ hoặc sau khi CSDL được cập nhật. Sao lưu và khôi phục cấu hình máy chủ DHCP Các máy chủ Windows Server 2003 DHCP hỗ trợ việc sao lưu tự động và thủ công. Để cung cấp khả năng chống lỗi trong trường hợp sự cố, việc sao lưu CSDL DHCP là rất quan trọng. Điều này sẽ cho phép bạn khôi phục CSDL từ các bản sao lưu nếu như phần cứng bị hỏng. Khi bạn thực hiện sao lưu, toàn bộ CSDL DHCP sẽ được sao lưu lại, bao gồm các thành phần sau đây: ■ Các phạm vi, bao gồm các siêu phạm vi và các đa phạm vi ■ Các địa chỉ dành sẵn ■ Các hợp đồng thuê địa chỉ ■ Các lựa chọn, bao gồm lựa chọn máy chủ, lựa chọn cho phạm vi, lựa chọn cho các địa chỉ dành sẵn và các lựa chọn cho phân lớp. CẢNH BÁO. Các thông số bảo mật. Lưu ý rằng các thông số bảo mật không nằm trong danh sách này. Không có các tiến trình sao lưu các thông số bảo mật dù là tự động hoặc thủ công. Bạn phải cấu hình lại các thông số này sau khi khôi phục CSDL DHCP. Tự động sao lưu CSDL DHCP Theo mặc định, dịch vụ DHCP sẽ tự động sao lưu CSDL DHCP và các mục trong registry có liên quan vào một thư mục sao lưu trên đĩa cứng cục bộ. Quá trình này sẽ xảy ra cứ 60 phút một lần. Cũng theo mặc định, các bản sao lưu tự động sẽ được lưu vào thư mục %systemroot%\System32\Dhcp\Backup. Người quản trị có thể thay đổi địa TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG 57 VỚI WINDOWS SERVER 2003