Cài đặt HĐH Windows Server 2003 & DHCP

Cài đặt máy chủ DNS và Domain
Controller trong Windows Server 2003






Windows
Server 2003 gồm có tất cả các chức năng mà
khách hàng mong đợi từ một hệ điều hành Windows Server, chẳng hạn như
khả năng bảo mật, độ tin cậy, khả năng có sẵn và nâng cấp. Thêm vào đó,
Microsoft đã cải thiện và mở rộng họ sản phẩm máy chủ Windows để cho
phép các tổ chức có thể trải nghiệm nhiều lợi ích của Microsoft .NET –
một tập phần mềm cho việc kết nối thông tin, mọi người, hệ thống và
thiết bị.

Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các
bạn cách tạo một domain controller(DC) đầu tiên trong mạng của bạn hoặc
công ty gồm cài đặt máy chủ DNS trong windows server 2003. Bạn phải cài
đặt máy chủ DNS cho DC chưa có DNS, các máy tính khách sẽ biết máy tính
nào là DC. Bên cạnh đó bạn có thể cấu hình DNS trên một máy chủ khác
không phải DC.

Trước khi bắt đầu quá trình cài đặt DC, bạn cần bảo
đảm các yếu tố dưới đây:

Lúc này hãy bắt đầu quá trình cài đặt DNS và DC.
Đầu tiên bạn cần vào Start–>All Programs–>Administrative
Tools–>Manage Your Server

Ở đây bạn cần chọn Add or remove a role

Thẩm định các bước dưới đây và kích Next

Chọn tùy chọn Server Role as Domain
Controller và kích Next

Tóm tắt các lựa chọn của bạn và kích Next

Active Directory Installation Wizard xuất hiện, lúc
này bạn hãy kích Next

Kích Next trên cửa sổ tương thích

Next window select the default option of “Domain
Controller for a new domain” and click “Next”
Ở cửa sổ kế, chọn tùy chọn mặc định “Domain Controller for a new
domain” và kích “Next”

Trong hướng dẫn này, chúng tôi sẽ tạo một miền trong
một forest mới, vì là DC đầu tiên nên bạn cần chọn tùy chọn này.

Lúc này bạn phải nghĩa tên cho miền của mình. Nếu bạn
có một miền giống như windowsreference.com, bạn có thể sử dụng nó, tuy
nhiên nó không được gợi ý vì các máy tính bên trong miền của bạn rất có
thể không truy cập được đến website của công ty. Các miền Active
directory không cần phải là các miền thực như miền ở trên – chúng có
thể là tên nào đó mà bạn muốn. Vì vậy chúng tôi sẽ gọi nó là “windowsreference.int”.


Để làm cho
mọi thứ đơn
giản, chúng tôi sẽ sử dụng “windowsreferenc”, đây là một lựa chọn mặc
định, như tên NetBIOS của miền.

Hộp thoại tiếp theo sẽ gợi ý về việc lưu cơ sở dữ
liệu AD và đăng nhập các ổ đĩa cứng riêng biệt và bạn có thể để các
thiết lập mặc định.

Thư mục SYSVOL là một thư mục chia sẻ public, nơi
những thứ như các gói phần mềm .MSI được lưu trữ khi phân phối các gói
phần mềm và bạn có thể để các thiết lập mặc định hoặc thay đổi đường
dẫn.

Màn hình tiếp theo nói rằng bạn cần một máy chủ DNS
để mọi thứ làm việc theo cách bạn muốn. Chúng ta sẽ cài đặt máy chủ DNS
trên máy tính hoặc nếu muốn, bạn có thể cài đặt ở một nơi nào đó, hãy
chọn “Install and Configure…” và kích Next.

Ở đây bạn cần chọn các điều khoản cho máy chủ win
2000 hoặc win 2003 nếu là NT4, bạn hãy chọn tùy chọn đầu tiên bằng không
chọn tùy chọn thứ hai và kích Next.

Một khẩu chế độ khôi phục là một mật khẩu mà tất cả
các quản trị viên không nên sử dụng, mặc dù vậy cũng không được quên vì
đây là mật khẩu có thể lưu máy chủ lỗi. Kích Next.

Lúc này chúng ta sẽ thấy một bảng tóm tắt về những gì
sẽ xảy ra, kích Next.

Quá trình cài đặt Active directory sẽ mất một vài
phút. Chắc chắn bạn sẽ được nhắc nhở về Windows Server 2003 CD (cho DNS)
vì vậy hãy chuẩn bị nó sẵn từ trước.

Khi quá trình cài đặt Active directory kết thúc, kích
Finish.

Lúc này bạn cần chọn tùy chọn “Restart Now”
để khởi động lại máy chủ của mình.

Sau khi khởi động lại, bạn có thể thấy tùy chọn đăng
nhập.

Sau khi đăng nhập, bạn có thể thấy màn hình tương tự
như bên dưới, nó rằng máy chủ của bạn hiện là một domain controller.

Đó chính là máy chủ của bạn được cấu hình như một
domain controller và DNS server

Triển Khai Hệ Thống Domain Trên Windows
Server 2003 Active Directory

Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active
Directory
Mô Hình Hệ Thống Trên Windows Server 2000/2003
[You must be registered and logged in to see this link.]

I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các Đối Tượng
Bằng Dòng Lệnh

Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng
ta có thể dùng Windows Server 2003 để triển khai các hệ thống Domain
Controller quản trị tài nguyên và người dùng cho một công ty hay xây
dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu,
cung cấp các dịch vụ cho người dùng…

Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ
thống mạng thì Active Directory chính là trái tim của nó, hầu như tất cả
mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển
của Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft
đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của
domain như các đối tượng user, computer, group … cung cấp những dịch vụ
(directory services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt
là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ
cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy
nhất khi đăng nhập vào domain và có thể truy cập tất cả những tài nguyên
và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ
công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà
hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng, phân
tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô
hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ
thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng
quản lý trong một môi trường rộng lớn.

Những Thành Phần Chính Của Hệ Thống Active Directory

User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có
một số tài khoản built-in được tạo ra như Administrator là ngừơi có toàn
quyền quản trị hệ thống, backup operator là nhóm và người dùng có khả
năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn
hợp lệ đôi với những dữ liệu này. Tuy nhiên để các nhân viên trong một
tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì
người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho
người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi
administrator để log-in và domain. Và truy cập dữ liệu trên file server
hay các dịch vụ khác..

Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví
dụ các nhân viên của một phòng ban sale có quyền truy cập lên folder
sales trên file server hoặc chúng ta muốn các nhân viên của công ty đều
có quyền in đối với laser printer, chúng ta nên tạo group printing và
gán quyền in trên laser printer sau đó add tất cả các nhân viên của công
ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ
sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những
thao tác chung, mặc định tất cả các user được tạo ra đều thuộc group
này).

OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain
thì chúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao
nhiêu phòng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU
tương ứng với chức năng, vị trí như phòng ban Sales sẽ có một OU Sales
và trong OU này chứa group sales, group sales sẽ bao gồm tất cả những
thành viên của phòng ban sale, và những user này cũng được đặt trong OU
Sales cùng với group sales. Như vậy chúng ta cần phải phân biệt rõ group
sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng
để quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên
thuộc phòng ban sales trong môi trường thật được cài đât tự động MS
OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng ta
phải tương tác qua OU. Nhưng rõ ràng chúng ta không thể quản lý về
quyền hạn truy cập của các user này bằng OU, chính vì vậy chúng ta cần
phải tạo ra các group và gán quyền thông qua những group này. Đó là
những khác biệt cơ bản nhất mà chúng ta cần phân biệt.

Trên đây là 3 đối tượng cơ bản của hệ thống active directory, ngoài ra
còn có những thành phần khác như group plicy, site, trusting, global
catalog, fsmo..sẽ được trình bày ở những phần tiếp theo.

Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một
số lưu ý chúng ta cần quan tâm là:
- Cần có ít nhất 2 domain controler là Primary (PDC) và cái còn
lại dùng là Backup (BDC) để đáp ứng chức năng load balancing và
faultolerant, nếu hệ thống chỉ có một domain controler duy nhất thì phải
backup các system state data của Active Directory cẩn thận theo các mức
chuẩn (baseline) để có thể phục hồi khi có sữ cố xảy ra hay dùng cho
migration (di trú) qua một máy khác khi PDC bị hư hỏng đột xuất.
- Hệ thống Active Directory sử dụng DNS cho quá trình phần giải
tên các dịch vụ và những thành viên của chúng, vì vậy bắt buộc phải có
DNS hợp lệ để Active Directory họat động chính xác, tên của Domain là
gì?Thông thường khi cài đặt active directory có thể chọn cài tích hợp
dịch vụ DNS, trong trường hợp đã có sẳn máy chủ DNS thì phải khai báo
địa chỉ của dịch vụ này trong phần Prefered DNS và tên của domain là tên
của tổ chức như tcdescon.com, quantrimaychu.com..
- Cần phải khảo sát tổ chức có bao nhiêu thành viên (người dùng)
tương ứng với số lượng account được tạo trong Acitve Directory, có bao
nhiêu bộ phận, phòng ban để tạo ra các OU và Group tương ứng, ngòai ra
chúng ta cần xem xét các quyền hạn sử dụng của các đối tượng, khả năng
đáp ứng.. để từ đó đưa ra một bản phác thảo đầy đủ cho hệ thống Domain
Controller của mình.

Để thực hiện bài Lab này, cần có các máy tính với cấu hình TCP/IP như
hình dưới đây, trong đó DC1 là Primay Domain Controller với hệ thống
Backup (Secondary Domain Controller) là DC2 tất cả đều sử dụng Windows
Server 2003. Client1 có thể dùng Windows XP hoặc Windows 2000.
[You must be registered and logged in to see this link.]
Hệ Thống Domain Controler Và Địa Chỉ IP (Click vào ảnh để phóng to)

1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương pháp
Unattend

Để thăng cấp một Windows Server 2003 Standalone lên thành Domain
Controller chúng ta sử dụng lệnh dcpromo và sau đó cung cấp đầy đủ tên
domain, vai trò và vị trí cài đặt..Trong phần này các bạn hãy log-in vào
DC1 bằng tài khỏan Administrator và tạo tập tin như đưới đây, hãy thay
tên domain quantrimaychu bằng tên domain của bạn cũng như các thông tin
về Password hay SafeModeAdminPassword tương ứng , các bạn có thể chọn
cài cùng lúc DNS bằng cách xác định AutoConfigDNS = Yes, nếu muốn hệ
thống reboot lại sau khi cài đặt hãy đặt giá trị RebootOnSuccess = Yes

[DCInstall]
RebootOnSuccess = No
DatabasePath = %SYSTEMROOT%\NTDS
LogPath = %SYSTEMROOT%\NTDS
SysVolPath = %SYSTEMROOT%\Sysvol
UserName = administrator
Password = Password
ReplicaorNewDomain = Domain
TreeOrChild = Tree
CreateOrJoin = Create
NewDomainDNSName = quantrimaychu.com
DNSOnNetwork = No
DomainNetBiosName = quantrimaychu
AllowAnonymousAccess = No
AutoConfigDNS = Yes
SiteName = Default-First-Site-Name
SafeModeAdminPassword = netmanager

Lưu tập tin trong ở C:\ với tên là dcinfo.txt

Sau đó chạy lệnh dcpromo /answer:C:\dcinfo.txt
[You must be registered and logged in to see this link.]
Restart lại hệ thống khi tiến trình cài đặt hòan tất, tiêp theo chúng ta
cần tạo ra những tài khỏan người dùng cùng với những Group, OU tương
ứng theo các phòng ban như hình sau đây dựa trên mô hình thực tế của
công ty có 2 chi nhánh CA và NC, mỗi chi nhánh có các bộ phận Marketing,
Accountign và Sales.
[You must be registered and logged in to see this link.]
2- Tạo cấu trúc OU với dsadd ou:

Có nhiều cách để tạo ra các đối tượng trên Active Directory như OU,
Group, User..Các bạn có thể dùng giao diện đồ họa Active Directory Users
and Computers console sau đó click chuột phải vào Domain Name (ví dụ
quantrimaychu.com) và chọn những thao tác tương ứng. Ở đây chúng ta sử
dụng một phương pháp ít thông dụng hơn dựa trên dòng lệnh, điều này sẽ
rất thuận tiện khi muốn xây dựng hệ thống một cách tự động.
Để tạo một OU mới hãy sử dụng dòng lệnh dsadd ou:

Dsadd ou “OU=NC,DC=quantrimaychu,DC=com”
Dsadd ou “OU=CA,DC=quantrimaychu,DC=com”
Dsadd ou “OU=Marketing,OU=NC,DC=quantrimaychu,DC=com”
Dsadd ou “OU=Accounting,OU=NC,DC=quantrimaychu,DC=com”
Dsadd ou “OU=Sales,OU=NC,DC=quantrimaychu,DC=com”

Dsadd ou “OU=Marketing,OU=CA,DC=quantrimaychu,DC=com”
Dsadd ou “OU=Accounting,OU=CA,DC=quantrimaychu,DC=com”
Dsadd ou “OU=Sales,OU=CA,DC=quantrimaychu,DC=com”

Có thể dùng tập tin bat để tiến hành tự dộng quá trình trên, với OU là
tên của OU được tạo, DC là tên của domain lưu ý nên tạo tuần tự các
bước.

3. Tạo User Với dsadd user:

Chúng ta có thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ
tạo ra tài khỏan cho Nguyen Tran Duy Vinh thuộc phòng ban Sales :
- tên đăng nhập nhannguyen, mật mã đăng nhập 123qwe!@#
- thuộc bộ OU Sales
- first name là nguyen tran duy
- last name là vinh
- tên upn là [You must be registered and logged in to see this link.]
- để tài khỏan có thể sử dụng được ngay hãy đặt –disable no

dsadd user “CN=nhannguyen,OU=Sales,OU=CA,DC=quantrimaychu,D C=com” –upn
[You must be registered and logged in to see this link.]
–fn nguyen tran duy –ln vinh –pwd 123qwe!@# –disabled no

3.Tạo Group với dsadd group:
Các user trong mỗi phòng ban thường có những đặc tínhchung như quyền hạn
truy cập vào tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy in…Vì
vậy hãy tạo ra các nhóm người dùng (Group) sau đó add những user vào.
Chúng ta có thể thực hiện điều này với dòng lệnh dsadd group. Ví dụ sau
đây sẽ tạo một gourp có tênlà Consultants (CN) trong OU Marketing của
domain quantrimaychu.Com, group type là security và group scope là
global.
Dsadd group “CN=Consultants,OU=Marketing,OU=CA,DC=quantrimay
chu,DC=com”
–secgrp yes –scope g

Ghi Chú: Có hai lọai group trong active directory là security và
distribution. Hầu hết các group chúng ta tạo ra và sử dụng đề thuộc lọai
security goup. Distribution group chỉ được dùng cho quá trình họat động
của các ứng dụng như Exchange Server, và các bạn không thê gán quyền
truy cập đối với lọai group này. Ngòai ra các group đươc chia làm 3 lọai
group scope là Global, Universal và Local. Với Local Group các thành
viên chỉ có thể truy cập những tài nguyên trên domain nội bộ. Khi hệ
thống có nhiều domain, để user có thể truy cập tà nguyên ở các domain
khác thì chúng phải là thành viên của Global hay Universal Group.

4.Add User vào Group Với Dsmod:
Để Add User Nguyen Nhan là thành viên của group Consultant trong OU
Marketing (là OU con của CA) cho domain quantrimaychu.Com ta sử dụng
lệnh sau :

Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=quantrimay
chu,DC=com” –
addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=quantrimaychu, DC=com”

Trong những trường hợp quản trị từ xa hay cần tạo ra nhiều đối tượng
cùng lúc cho hệ thống cách tốt nhất là sử dụng các tiện ích dòng lệnh.
Cách thức quản trị Active Directory thông qua giao diện đồ họa như
Active Directory Users and Computer các bạn có thể tham khảo ở trang web
[You must be registered and logged in to see this link.],
mọi thắc mắc gởi đến mục HelpDesk trang web [You must be registered and logged in to see this link.].
II – Join Máy Tính Client1 Vô Domain
Sau khi cài đặt và cấu hình xong hệ thống Active Directory chúng ta cần
join các clien vào domain để có thể quản lý, cấp quyền truy cập, sử dụng
tài nguyên cho người sử dụng. Hãy log-in vào Client1 với quyền
Administrator và click chuột phải vào My Computer chọn Properties:

Trên tab Computer (Network Identification) hãy nhấn Change hoặc
Properties tùy thuộc vào hệ điều hành Client1 sử dụng là Windows XP hay
Windows 2000Tiếp theo và nhập vào thông tin sau:
[You must be registered and logged in to see this link.]
Nhấn OK, một hộp thọai yêu cầu thông tin Username & Password sẽ hiển
thị, hãy nhập vào tài khỏan hợp lệ ví dụ Administrator và nhấn OK để
hòan tất quá trình join domain.


III – Cài Đặt Secondary Domain Controler:
Đối với các hệ thống mạng lớn có nhiều user, chúng ta nên triển khai
thêm các secondary domain controler (hay còn gọi là Backup Domain
Controler-BDC) để tăng cường khả năng đáp ứng yêu cầu truy cập của user
và khi primary domain controler gặp phải những sự cố thì hệ thống vẫn có
thể họat động bình thường nhờ vào secondary domain controler này, ngòai
ra chúng ta còn có thể phục hồi cơ sở dữ liệu của Active Directory trên
PDC. Cả hai hệ thống Domain Controler này đề chứa cùng một cơ sở dữ
liệu của domain như user, group policy, ou…và khi dữ liệu trên một
domain controller này thay đổi sẽ được tự động replicate (sao chép) sang
những domain controler còn lại, tiến trình này diễn ra hòan tòan tự
động do dịch vụ KCC (knowledge consistent checker) của hệ thống đảm
nhiệm. Tuy nhiên trong những trường hợp đặc biệt các bạn có thể tiến
hành replicate ngay lập tức. Sau đây là các bước xây dựng secondary
domain controller:

Join máy tính DC2 vào domain và log-in bằng tài khỏan Administrator. Mở
Start - > Run và chạy lệnh dcpromo


Trên màn hình cài đặt tiếp theo chúng ta chọn mục Additional domain
controller for an existing domain và nhấn Next. Ở cữa sổ Network
Credential hãy nhập vào tài khỏan Administrator, Password của domain và
chọn Next:
[You must be registered and logged in to see this link.]
Tiếp theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary
domain controller (trong ô additional domain controller). Tên này sẽ tự
hiển thị nếu như DC2 là thành viên của Domain. Nếu các bạn tiến hành
thăng cấp không qua bước join DC2 vô domain thì phải nhập tên Domain đầy
đủ như security365.com. Một điều cần lưu ý là phải cấu hình địa chỉ DNS
cho domain trong phần Prefered DNS, vì đa số các sự cố và lỗi khi thăng
cấp một secondary domain controller cũng như trong qua trình họat động
của Active Directory đều liên quan đến việc cấu hình địa chỉ DNS server
không chính xác làm cho quá trình phân giải tên các máy chủ và các dịch
vụ không tiến hành được.
Sau đó hãy chấp nhận giá trị mặc định về vị trí cài đặt, lưu trữ
database của active directory cũng như sysvol folder. Nếu muốn thay đổi
các thông số này sau khi cài đặt hãy dùng công cụ NTDSUTIL.
[You must be registered and logged in to see this link.]
Cuối cùng một bảng tóm tắt các thông tin của secondary domain controller
hiển thị, hãy kiểm tar lại và nhấn Next để tiến trình cài đặt diễn ra,
sau khi hòan tất hãy restart lại hệ thống DC2.

Như vậy chúng ta đã xây dựng xong hệ thống active directory cho domain
quantrimaychu.com với một primary và một secondary domain controler, lúc
này các máy tính client trên hệ thống có thể join domain với những tài
khỏan hợp lệ để thực hiện công việc của mình.


Sưu tầm bởi : quantrimaychu.com

Attached Images

• 
  
  [You must be registered and logged in to see this link.]
  
  (29.2 KB, 71 views)
  
• 
  
  [You must be registered and logged in to see this link.]
  
  (50.4 KB, 66 views)
  
• 
  
  [You must be registered and logged in to see this link.]
  
  (23.8 KB, 67 views)
  
• 
  
  [You must be registered and logged in to see this link.]
  
  (36.3 KB, 64 views)
  
• 
  
  [You must be registered and logged in to see this link.]
  
  (42.8 KB, 65 views)
  

Cấu hình RIS Server, cài đặt nhiều máy

[You must be registered and logged in to see this link.]

May huynh doc va cho minh y kien zj nhe.
Mem moj. chua bjt j hjt.... mong chj jao.

	[You must be registered and logged in to see this link.] PM cisco packet tracer 5.3 dung lam Lab, CCNA

---

[align=center][/align]
Download
{Bạn
không được phép thấy nội dung này. Vui lòng [You must be registered and logged in to see this link.] / [You must be registered and logged in to see this link.]}[You must be registered and logged in to see this link.]


Hướng
dẫn sử dụng
Hiện nay có rất nhiều phần mềm tạo Lab ảo được sử
dụng để giúp đỡ các bạn trong quá trình học và tìm hiểu các thiết bị
mạng của Cisco. theo yêu cầu từ một số bạn trên forum vnexperts.net cần
tìm hiểu rõ hơn về phần mềm packet tracer, dưới đây tôi xin viết bài
hướng dẫn sử dụng phần mềm này với phiên bản 4.1.

Packet Tracer
là phần mềm rất tiện dụng cho các bạn bước đầu đi vào khám phá, xây dựng
và cấu hình các thiết bị của Cisco, nó có giao diện rất trực quan với
hình ảnh giống như Router thật, bạn có thể nhìn thấy các port, các
module. Bạn có thể thay đổi các module của chúng bằng cách drag-drop
những module cần thiết để thay thế, bạn có thể chọn loại cable nào cho
những kết nối của bạn. Bạn cũng có thể nhìn thấy các gói tin đi trên các
thiết bị của bạn như thế nào.

Dưới đây tôi xin hướng dẫn với các
bạn cách sử dụng phần mềm Packet Tracer 4.1

Giao diện chính của
phần mềm

This image has been resized. Click this bar to view the full image. The original image is sized 765x585.

Sau khi bạn install phần mềm này lên và chạy nó, các
bạn có thể nhìn thấy giao diện chình của nó như trên. Sau đó ta bắt đầu
đi vào xây dựng mô hình mạng (Topology), giả sử tôi cần xây dựng một mô
hình đơn giản như sau:
+ 1 Router 2621
+ 1 Switch 2950- 24port
+
1 PC (End device)
Tiếp theo ta đi vào xây dựng mô hình:
Trên giao
diện chính của phần mềm packet tracer 4.1 tôi click chuột vào hình
router ở dưới cùng bên trái màn hình, sau đó nó sẽ hiện thị ra những
router nào mà phần mềm này hỗ trợ ngay khung bên cạnh, sau đó bạn có thể
chọn router nào mà bạn cần, ở đây tội chọn là Router 2620XM

This image has been resized. Click this bar to view the full image. The original image is sized 765x581.

sau đó kéo chúng và thả vào khung trống bên trên:

This image has been resized. Click this bar to view the full image. The original image is sized 765x597.

và chọn Switch cần dùng bằng cách click chuột vào
switch và chọn loai switch và kéo thả lên khung bên trên, ở đây tôi chọn

Switch 2950- 24 port

This image has been resized. Click this bar to view the full image. The original image is sized 727x570.

tiếp theo ta cọn PC (end device trong phần mềm này bao
gồm: PC, Server, Printer, IP Phone) cũng với thao tác tương tự như trên
Bước
tiếp theo là ta chọn loại cable kết nối đến từng thiết bị và chọn cổng
kết nối. Đầu tiên ta chọn kết nối giữa router-switch (cable thẳng), ta
click vào connections và chọn straight-through sau đó đưa chuột lên
khung mà ta đang xây dựng mô hình, chọn vào Router 0 sau đó chọn cổng
kết nối, ở đây mặc định là Router 2611 có 1 cổng console và 1 cổng
ethernet. Ta chọn ethernet 0 cho kết nối từ router đến swtich sau đó
click lên switch và chọn cổng kết nối là Fast Ethernet 0/1

This image has been resized. Click this bar to view the full image. The original image is sized 726x569.

Bước tiếp ta cũng chọn cable cho kết nối giữa switch và
pc ( cable thẳng) với các thao tác tương tự như trên nhưng khác cổng
kết nối, tại switch là Fast Ethernet 0/2 kết nối tới cổng Fast Ethernet
của PC

This image has been resized. Click this bar to view the full image. The original image is sized 726x569.

Như các bạn thấy trên hình trên sau khi chúng ta đã tạo
xong các kết nối trên topology chúng ta cần chú ý một điều là tại các
nút ở điểm kết nối giữa PC-Switch thì ta thấy hiện thị mầu xanh còn nút
kết nối giữa Router-Switch là mầu đỏ tại sao vậy? tại vì kết nối vật lý
giữa router và switch chưa được thực hiện cổng Fast ethernet trên router
đang bị down ( vì thế nên ta cần làm cho kết nối vật lý này up).
Để
cấu hình cho router ta click chuột vào Router0 trên mô hình sau đó chọn
CLI và có thể cấu hình chúng như trên router thật (bị hạn chế một số
lệnh).



ta thấy sau
khi "no shut" cho cổng Fast ethernet trên router về trạng thái up thì ta
thấy nút kết kết giữa 2 thiết bị này đã chuyển sang màu xanh

This image has been resized. Click this bar to view the full image. The original image is sized 724x569.

Bây giờ tôi sẽ thêm 1 router 2620 XM vào mô hình và kết
nối trực tiếp với router0 qua cổng serial. Nhưng mặc định trên router
2620XM chỉ có 1 cổng console và 1 cổng Fast ethernet, để có được công
serial ta cần phải có WIC hoặc Module gắn thêm vào cho router ( ở đây
tôi gắn thêm WIC-1T vào) bằng cách click vào router0 sau đó chọn
Physical, ta thấy có một list tất cả các module mà phần mềm packet
tracer này hỗ trợ, tôi chọn WIC-1T sau đó kéo chúng đặt vào 1 trong 2
module dành cho WIC tại khung hình bên phải dành cho các cổng và module
kết nối của router, khi tôi vừa kéo chúng và thả vào thì chúng báo lỗi
là không thể thêm Module vào vì nguồn router đang bật, mặc định khi là
router luôn luôn bật vì thế để thay đổi chúng thì ta phải tắt nguồn đi.
Để tắt nguồn ta nhìn khung hình hiển thị mặt sau của router ta nhìn thấy
công tắc nguồn đang ở chế độ "on" vì thế ta phải tắt nó đi bằng cách
click chuột vào công tắc nguồn, sau khi nguồn được tắt ta thực hiện kéo
mudule
WIC-1T vào router ( Ta có thể dùng zoom in hay zoom out để
nhìn các cổng một cách chi tiết hơn)



Khi router
chưa thêm module và công tắc nguồn ở dạng "on"



Sau khi đã
thêm WIC 1T và công tắc nguồn ở dạng "off"
sau khi thực hiện xong ta
nhở đưa công tắc nguồn về dạng "on"
Ta làm tương tự với router1 vừa
được thêm vào sau khi làm xong ta thực hiện kết nối giữa 2 router này,
ta chọn conections và chọn Serial DCE sau đó click vào router0 chọn
serial 0/0 kết tối tới serial 0/0 của router 1
Các tính năng khác:
+
Chúng ta có thể cầu hình các port trên switch và router qua form
"Config" sau khi ta chọn thiết bị đó. Tại form này sẽ có những phần nó
hỗ trợ mà mình chỉ cần nhập địa chỉ vào chứ không cần dùng CLI thể thay
đổi các mode và cấu hình chúng, tùy từng thiết bị mà nó hỗ trợ những
tính năng khác nhau.
Ta cũng có thể export, load, erase,save file
running config, startup config, nvram....



Cấu hình IP
address và clock rate cho cổng s0/0 của router 0
+ Xóa thiết bị không
dùng đến: Nếu ta cần xóa thiết bị nào trên mô hình thì ta chỉ cần chọn
dấu X(delete) bên khung bên phải và chọn thiết bị cần xóa
+ Để
xem các gói tin đi trên thiết bị như thế nào bạn có thể chọn
Capture/forward hay Auto Capture / PLay

This image has been resized. Click this bar to view the full image. The original image is sized 729x570.

+ Để mô hình này được giữ nguyên sau khi thoát khỏi
packet tracer ta cần phải lưu toàn bộ mô hình thiết bị và cấu hình từng
thiết bị trong mô hình: Để không mất hết file cấu hình thì ta phải save
toàn bộ những gì ta đã cấu hình vào ( copy running config startup
config). Và lưu mô hình này vào thư viện của phần mềm
+ Trong thư
viện của phần mềm packet tracert có rất nhiều mô hình mạng mà ta có thể
tham khảo có hướng dẫn các bước cấu hình, một số topo đã cấu hình và một
số chưa, thư viện này rất hữu ích trong quá trình học mà bạn có thể
tham khảo để cấu hình, nó nằm trong thư viện "saves' của phần mềm.
Còn
một số tính năng khác mà tôi chưa nói đến các bạn có thể tham khảo
thêm, những gì tôi nói trên đây là những phần cốt lõi của Packet tracer
4.1

cac ten phan biet

---

Trong
phần 8 của loạt bài này, chúng tôi đã giải thích cho các bạn về đối
tượng tham chiếu giao thức LDAP trong Active Directory bởi tên phân
biệt của chúng, mỗi một đối tượng trong thư mục có tên riêng của chính
nó. Trong phần 9 này, chúng tôi muốn tiếp tục giới thiệu cho các bạn về
các tên phân biệt như thế nào.








Trước khi bắt đầu

Trước
khi bắt đầu, chúng tôi muốn nhắc lại rằng các tên phân biệt không duy
nhất có trong Active Directory. Microsoft đã xây dựng Active Directory
để lợi dụng các chuẩn công nghiệp được sử dụng bởi nhiều công ty khác
như Novell và IBM. Bằng cách nghiên cứu về chúng, bạn không chỉ có được
sự chuẩn bị tốt hơn cho việc quản lý Active Director mà còn có được
một mức thân thiện nhất định nếu bạn đã từng được yêu cầu làm việc với
hệ điều hành mạng không phải của Microsoft.

Các nguyên tắc đặt tên cơ bản

Các
tên phân biệt với nhau nhờ thuộc tính, các thuộc tính này được gán giá
trị. Mỗi một tên phân biệt thường gồm có nhiều cặp giá trị thuộc tính,
bạn hãy xem một tên đơn giản.
[INDENT] CN=User1, CN=Users,
DC=Contoso, DC=com
[/INDENT] Trong ví dụ này, tên được tạo thành
từ 4 cặp thuộc tính/ giá trị khác nhau, mỗi một cặp được phân biệt với
nhau bằng dấu phẩy. Cặp thuộc tính/ giá trị thứ nhất là CN=USER1.
Trong cặp này, CN (viết tắt cho Common Name) là thuộc tính và User1 là
giá trị. Các thuộc tính và giá trị luôn luôn phân biệt với nhau bởi dấu
bằng (=), còn các cặp thuộc tính/ giá trị được phân biệt với nhau bằng
dấu phẩy (,).

Các tên
phân biệt

Khi bạn xem tên CN=User1, CN=Users,
DC=Contoso, DC=com, mọi thứ trở thành rõ ràng ngay lập tức. Nếu quan
sát kỹ hơn tên phân biệt này thì bạn có thể nhận ra rằng nó là hệ có
thứ bậc. Trong trường hợp riêng này, DC=com thể hiện mức cao của thứ
bậc. DC=Contoso thể hiện mức thứ hai. Bạn có thể nói rằng COM và
Contoso là các miền bởi vì cả hai sử dụng thuộc tính DC. Thứ bậc miền
‘nhại lại’ thứ bậc miền được sử dụng bởi các máy chủ DNS (bạn đã được
giới thiệu về thứ bậc DNS trong các bài trước)

Bạn cần phải
hiểu thứ bậc tên này làm việc như thế nào vì hai lý do. Thứ nhất, hiểu
thứ bậc tên bạn có thể biết chính xác nơi một đối tượng cụ thể được
định vị bên trong thư mục. Lý do khác là hiểu được bản chất của thứ bậc
thư mục vì đôi khi các đường tắt sẽ được sử dụng để thay cho tên đầy
đủ.

Để rõ hơn những gì đang nói, chúng ta hãy xem xét thêm về
ví dụ trên: CN=User1, CN=Users, DC=Contoso, DC=com. Tên phân biệt này
được gán cho mỗi một tài khoản người dùng (chính xác hơn là một đối
tượng người dùng) có tên User1. Phần còn lại trong tên cho chúng ta
biết vị trí của đối tượng trong thứ bậc thư mục.

Nếu bạn đang
cố nói với một ai đó về vấn đề này thì có thể tình cờ đề cập đến nó như
User1. Đôi khi LDAP cũng thực hiện tương tự như vậy. Điều này hoàn
toàn có thể vì nó không cần thiết phải cung cấp thông tin về vị trí của
đối tượng trong thứ bậc nếu vị trí đã được biết.

Ví dụ, nếu
chúng tôi đang thực hiện một số hoạt động trên các đối tượng người dùng
được đặt trong thư mục Users trong miền Contoso.com thì có thực sự cần
thiết để tuyên bố rõ ràng rằng các đối tượng đều được đặt trong Users
của miền Contoso.com hay không?

Trong tình huống này cũng như
vậy, tên phân biệt thường được thay thế bởi Relative Display Name (viết
tắt là RDN). Trong trường hợp CN=User1, CN=Users, DC=Contoso, DC=com,
thì RDN là CN=User1. RDN luôn luôn được phân biệt của bộ nhận dạng rõ
ràng nhất. Nó là cặp giá trị/ thuộc tính bên trái nhất trong tên phân
biệt. Phần khác của tên phân biệt cũng được biết đến như tên cha. Trong
trường hợp điển hình này, tên cha sẽ là CN=Users, DC=Contoso, DC=com.

Trước
khi tiếp tục, chúng tôi muốn đề cập một vấn đề là Microsoft thường
thiên về sử dụng định dạng tên khác nhau hơn là một số nhà sản xuất hệ
điều hành mạng khác. Như những gì bạn đã thấy, các tên của Microsoft
thiên về dựa vào container và miền. Không có gì sai với định dạng này
bởi vì nó chiếu theo RFC 2253 để thiết lập các nguyên tắc cho tên riêng
biệt.

Một số hệ điều hành mạng khác thiên về dựa trên các thứ
bậc tên riêng biệt của họ trên các công ty và quốc gia hơn là các
container và miền. Trong các kiểu tên đó, thuộc tính O được sử dụng để
chỉ định tên tổ chức (công ty) và chữ cái C được sử dụng để chỉ định
tên quốc gia. Bằng sử dụng quy ước đặt tên này, tên riêng biệt
CN=User1, CN=Users, DC=Contoso, DC=com sẽ như sau:
[INDENT] CN=User1,
O=Contoso, C=US
[/INDENT] Hãy nhớ rằng cả hai định dạng này đều
tuân theo RFC 2253, nhưng chúng không thể thay đổi cho nhau. Nhiệm vụ
của tên là để miêu tả một đối tượng và vị trí của nó bên trong thư mục.
Lý do về 2 định dạng tên khác nhau là Microsoft đã xây dựng thư mục
của họ khác so với các đối thủ cạnh tranh khác.

Các kí tự đặc biệt trong tên

Cho
đến giờ chúng ta mới chỉ thấy các dấu phẩy và dấu bằng có ý nghĩa đặc
biệt trong phần nội dung của tên. Tuy nhiên còn có một số kí tự đặc
biệt khác mà phần trên chúng tôi chưa giới thiệu. Các kí tự đặc biệt đó
gồm có dấu cộng, dấu lớn hơn, nhỏ hơn, số, dấu trích dẫn và dấu xổ
ngược - back slash (\). Chúng tôi sẽ không giới thiệu hết các kí tự đặc
biệt này mà chỉ tập trung vào giới thiệu cho các bạn dấu back slash.
Dấu này cho phép bạn đưa ra một lệnh LDAP để bỏ qua kí tự theo sau.
Điều này cho phép lưu các kí tự bị cấm trong thư mục của bạn.

Để
rõ hơn nó được sử dụng như thế nào, chúng ta hãy xem xét một tên đầy
đủ được biểu diễn với tên và họ cách nhau bằng dấu phẩy. Tuy nhiên LDAP
không cho phép bạn sử dụng lệnh CN=Smith, John vì dấu phẩy được sử
dụng bởi LDAP để phân biệt các cặp thuộc tính/ giá trị. Nếu muốn lưu
giá trị Smith, John trong thư mục, bạn có thể thực hiện bằng các tạo
một dấu back slash như dưới đây:
[INDENT] CN=Smith\, John
[/INDENT]
Trong lệnh ở trên, dấu back slash làm cho LDAP phải coi dấu phẩy là dữ
liệu chứ không phải là một phần của cú pháp câu lệnh. Cách khác để
thực hiện điều này là dùng dấu trích dẫn. Mọi thứ bên trong dấu trích
dẫn đều được coi như dữ liệu.

Có một quy tắc đặc biệt với việc
sử dụng dấu back slash bên trong các dấu trích dẫn. Dấu back slash có
thể được sử dụng để áp đặt LDAP bỏ qua các dấu back slash khác. Để đơn
giản, nếu bạn cần gộp một dấu back slash vào phần dữ liệu thì đơn giản
bạn chỉ cần sử dụng hai dấu back slash thay cho một dấu. Các trường hợp
sự dụng dấu back slash giữa dấu trích dẫn được xem như không hợp lệ.

Kết luận

Thông qua
nội dung bài bạn có thể thấy các nguyên tắc cho việc tạo một tên có thể
khá tinh tế. Tuy vậy, việc hiểu được các tên sẽ là chìa khóa giúp bạn
quản lý Active Directory tốt. Trong phần 10 tiếp theo chúng tôi sẽ tiếp
tục giới thiệu bằng cách đưa ra các công cụ quản lý Active Directory.

[You must be registered and logged in to see this link.]

---

Trong các
phần gần đây của loạt bài bài này, chúng tôi đã giới thiệu nhiều về
Active Directory và cách nó làm việc với các bộ điều khiển miền mạng.
Bạn cũng đã được giới thiệu qua các phần trước rằng Active Directory về
cơ bản là một cơ sở dữ liệu gồm có nhiều đối tượng khác nhau như tài
khoản người dùng và tài khoản máy tính.










Trong phần này, chúng tôi sẽ tiếp
tục giới thiệu cho các bạn Active Directory được cấu trúc như thế nào.
Nếu đã từng sử dụng Microsoft Access hoặc SQL Server thì bạn hoàn toàn
có thể mở cơ sở dữ liệu và quan sát các thực thể bên trong nó. Mặc dù
vậy, không có công cụ quản trị nào được sử dụng để quản lý Active
Directory có thể cho bạn xem được toàn bộ cơ sở dữ liệu của Active
Directory. Thay vì đó, Microsoft đã cung cấp một số công cụ khác nhau
tương ứng với một lĩnh vực cụ thể của cơ sở dữ liệu. Với một quản trị
viên, công cụ quản trị có thể sử dụng thường là Active Directory Users
and Computers console.

Bạn có thể truy cập Active Directory
Users and Computers console từ bộ điều khiển miền của Windows Server
2003 bằng cách chọn Active Directory Users and Computers từ menu Start
/ All Programs / Administrative Tools của máy chủ. Giao
diện của nó được thể hiện như những gì bạn thấy trong hình A.
Chúng ta sẽ thảo
luận quá trình tạo hoặc soạn thảo các đối tượng Active Directory sau,
bây giờ chúng tôi sẽ giới thiệu kỹ hơn về giao diện này bởi vì nó giúp
chúng ta khám phá một chút về cấu trúc của Active Directory. Nếu nhìn
vào hình A thì bạn sẽ thấy được rằng ở đây có một số thư mục lớn, mỗi
một thư mục này tương ứng với một loại đối tượng cụ thể. Mỗi đối tượng
trong Active Directory đều được gán một kiểu đối tượng (được biết đến
như là lớp đối tượng).

Mỗi đối tượng cũng có một số thuộc tính
liên quan. Các thuộc tính cụ thể thay đổi phụ thuộc vào kiểu đối tượng.

Ví
dụ, thư mục Users chứa các tài khoản người dùng, tất cả được phân loại
thành các đối tượng người dùng như trong hình B. Nếu kích chuột phải
vào một trong các đối tượng người dùng này và chọn Properties từ menu
chuột phải thì bạn sẽ thấy được trang thuộc tính của đối tượng (như
trong hình C).
Nếu nhìn vào hình C thì bạn sẽ
thấy rằng có một số trường thông tin khác nhau như tên, họ, số điện
thoại… Mỗi trường đó tương ứng với một thuộc tính của một đối tượng.
Mặc dù phần lớn các trường ở trong hình đều không phổ biến nhưng trong
một số tình huống thực thì các trường này có thể được sử dụng để tạo
thư mục cộng tác. Trong thực tế, nhiều ứng dụng được thiết kế để trích
thông tin trực tiếp từ Active Directory. Ví dụ, Microsoft Exchange
Server (sản phẩn e-mail server của Microsoft) tạo một danh sách địa chỉ
toàn cục dựa trên nội dung của Active Directory. Danh sách này được sử
dụng khi gửi các thông báo email đến người dùng khác trong công ty.

Nếu
nhìn vào hình D, bạn sẽ thấy được một màn hình, trong đó chúng tôi đã
thực hiện một tìm kiếm với tên Hershey, và Outlook đã trả toàn bộ danh
sách địa chỉ toàn cục Global Address List gồm có tên Hershey. Không hề
ngạc nhiên vì đây chỉ là một kết quả. Nếu nhìn vào phần kết quả của cửa
sổ thì bạn sẽ thấy được nơi mà Outlook hiển thị tiêu đề của người
dùng, số điện thoại doanh nghiệp và vị trí mà trường đó được phổ biến.
Tất cả thông tin này đều được lấy từ Active Directory.
Nếu muốn
thấy các thông tin chi tiết hơn về người dùng, bạn hãy kích chuột phải
vào tên của người dùng và chọn Properties.Khi đó cửa sổ như hình E sẽ
được hiển thị. Bạn hãy nhớ rằng đây không phải là một màn hình quản
trị. Đơn giản đây chỉ là một màn hình mà bất kỳ người dùng nào trong
công ty cũng có thể truy cập trực tiếp thông qua Outlook 2007 để tìm
thông tin về các nhân viên khác.
Xét cho cùng
thì Outlook là một sản phẩm của Microsoft, vì vậy nó chỉ tạo một cảm
giác rằng Outlook sẽ có thể lấy thông tin từ Active Directory, một phần
của một sản phẩm khác của Microsoft. Tuy nhiên có rất nhiều người
không nhận ra một điều, đó là khá dễ dàng cho bất cứ ai có sự cho phép
thích hợp để lấy thông tin từ Active Directory. Thực tế, có rất nhiều
sản phẩm của nhóm thứ ba được thiết kế để tương tác với Active
Directory. Một trong số chúng có khả năng lưu dữ liệu trong các phần
Active Directory đặc biệt.

Lý do nó hợp lý với bạn hoặc với các
hãng phần mềm nhóm thứ ba khi tương tác với Active Directory là vì
Active Directory được dựa trên một chuẩn đã biết. Active Directory được
dựa trên một chuẩn có tên gọi là X.500. Chuẩn này cơ bản là một cách
chung chung trong việc thực hiện dịch vụ thư mục. Microsoft không chỉ
là một công ty tạo dịch vụ thư mục dựa trên dịch vụ này mà Novell ban
đầu cũng đã tạo dịch vụ thư mục NetWare Directory Service trên chuẩn
này.

Đây cũng là một cách trong việc truy cập vào thông tin
dịch vụ thư mục. Trong môi trường Active Directory, việc truy cập thông
tin thư mục liên quan đến việc sử dụng Lightweight Directory Access
Protocol (LDAP). Giao thức LDAP chạy trên phần đỉnh của giao thức
TCP/IP.

Thứ đầu tiên mà bạn cần phải biết về giao thức LDAP là
bất cứ tên nào được đặt cũng đều phải được phân biệt, bởi vì không có
gì là ít quan trọng về nó (nó quan trọng hơn giao thức truy cập thư mục
gốc, giao thức không được thiết kế để tận dụng ngăn xếp giao thức
TCP/IP).

Mỗi đối tượng trong Active Directory đều được quy vào
một tên phân biệt (thường được viết tắt là DN). Tên phân biệt được dựa
trên vị trí của đối tượng bên trong thứ bậc thư mục. Có nhiều thành
phần khác nhau trong tên phân biệt nhưng một số cái chung là một tên
chung (được viết tắt là CN) và một miền tên (viết tắt là DC). Ví dụ,
cho rằng miền Contoso.com gồm có một tài khoản có tên là User1 và tài
khoản này được định vị trong thư mục Users. Trong trường hợp như vậy,
tên phân biệt của tài khoản người dùng sẽ là:
[INDENT] CN=User1,
CN=Users, DC=Contoso, DC=com
[/INDENT] Kết luận

Trong phần này, chúng tôi
đã giải thích thông tin được lưu trong Active Directory có thể được sử
dụng bằng các ứng dụng mở rộng thông qua giao thức LDAP. Trong phần
tiếp theo của loạt bài này chúng ta sẽ thảo luận về các tên phân biệt
có liên quan đến Active Directory.

PHAN 8 TIEP TUC VE FSMO ROLE

---

Bài viết này
chúng tôi sẽ tiếp tục giới thiệu đến các bạn các role của FSMO bằng
cách giới thiệu về những gì role thực hiện, hậu quả thất bại FSMO và
làm thế nào để phát hiện máy chủ nào đang quản lý role FSMO.









Sự quan trọng của Role

Trong
phần trước của bài này, chúng tôi đã giải thích về các miền Active
Directory sử dụng mô hình đa master ngoại trừ trong các tình huống đặc
biệt quan trọng để tránh xung đột. Trong các tình huống này, Windows sẽ
hoàn nguyên mô hình đơn master trong một bộ điều khiển miền đơn thực
hiện với tư cách thẩm định đơn nhất cho sự thay đổi theo yêu cầu. Các
bộ điều khiển miền này dùng để giữ FSMO role (Flexible Single
Operations Master).

Như những gì chúng tôi đã giải thích trong
phần 7, có 5 FSMO role khác nhau. Hai role tồn tại tại mức forest và 3
tồn tại ở mức miền (domain). Các role mức forest gồm có Schema Master
và Domain Naming master, trong khi đó các role FSMO mức miền lại gồm
Relative Identifier Master, Primary Domain Controller (PDC) Emulator
và Infrastructure Master.

Quả thực tôi đã cân nhắc xem có cần
phải thảo luận hay không về FSMO role quá sớm trong loạt bài viết này.
Rốt cuộc thì tôi cũng đã quyết định bởi FSMO role là rất quan trọng
trong việc hỗ trợ chức năng Active Directory.

Tôi chắc bạn có
thể biết, Active Directory đòi hỏi các dịch vụ DNS phải có thể truy cập
và mỗi miền phải có ít nhất một bộ điều khiển miền. Khi một mạng nào
đó dựa trên Active Directory được khởi tạo ban đầu thì bộ điểu khiển
miền đầu tiên hầu như được cấu hình để thực hiện với tư cách là máy chủ
DNS của mạng. Bộ điều khiển miền tương tự cũng được gán cho tất cả 5
FSMO role. Nếu các miền khác được tạo bên trong forest thì bộ điều
khiển miền đầu tiên bên trong mỗi miền sẽ cấu hình FSMO role cho miền
đó. Các FSMO role mức forest chỉ được cấu hình trên bộ điều khiển miền
đơn mà không quan tâm đến số lượng miền trong một forest.

Tôi
nói cho bạn điều này vì muốn nhắc về những gì sẽ xảy ra nếu một bộ điều
khiển miền đang cấu hình FSMO role bị lỗi. Nếu bộ điều khiển miền gồm
có các FSMO role mức forest bị lỗi thì bạn cần phải chú ý làm rạch ròi
vấn đề. Không phải tất cả FSMO role đều có vai trò quan trọng đối với
hoạt động của mạng mà chỉ có bộ điều khiển miền cấu hình FSMO role mức
forest mới thường xuyên cấu hình các dịch vụ DNS - dịch vụ được xem là
rất quan trọng đối với Active Directory. Nếu dịch vụ DNS được cấu hình
trên một máy chủ riêng biệt và các miền bên trong mỗi forest có nhiều
hơn một bộ điều khiển miền thì có thể sẽ không cần lưu ý đến lỗi (trừ
khi bạn có phần mềm kiểm tra để cảnh báo đã bị lỗi)

Bình thương
sẽ không có hậu quả ngay lập tức xảy ra đối với một FSMO role lỗi,
nhưng một số triệu chứng lạ sẽ phát triển sau đó nếu vấn đề vẫn không
được sửa. Trong trường hợp này, việc biết được các dấu hiệu của một
FSMO role bị lỗi là rất quan trọng. Và cũng quan trọng đối với bạn đó
là làm thế nào để xác định được máy chủ nào đang cấu hình mỗi FSMO
role. Bằng cách đó, nếu các triệu chứng hợp với một lỗi FSMO role xuất
hiện thì bạn có thể kiểm tra xem máy chủ đang cấu hình FSMO role có
phải bị lỗi hay không và sau đó có thể xử lý sự cố cho máy chủ đó.

Schema Master

Active
Directory không thực sự là một thứ gì ngoài cơ sở dữ liệu, cũng giống
như cơ sở dữ liệu khác, Active Directory có một giản đồ. Tuy nhiên lại
không giống như các cơ sở dữ liệu khác, giản đồ của Active Directory
không phải giản đồ tĩnh. Có một số hoạt động cần thiết mở rộng giản đồ.
Ví dụ, việc cài đặt Exchange Server cần giản đồ Active Directory để
được mở rộng. Bất kỳ thời điểm nào diễn ra sự thay đổi giản đồ Active
Directory thì những thay đổi đó cũng được áp dụng cho Schema Master.

Schema
Master là một thành phần rất quan trọng của các FSMO role, vì vậy
Microsoft để ẩn nó không cho nhìn thấy. Nếu cần phải tìm máy chủ nào
đang cấu hình Schema Master role thì bạn phải đưa đĩa CD cài Windows
Server 2003 và kích đúp vào file ADMINPAK.MSI trong thư mục I386. Khi
thực hiện điều đó, Windows sẽ khởi chạy Administration Tools Pack Setup
Wizard. Theo cửa sổ wizard để cài đặt gói các công cụ quản trị.

Khi
quá trình cài đặt được hoàn tất, bạn đóng Setup wizard và mở Microsoft
Management Console bằng cách nhập vào dòng lệnh MMC trong cửa số lệnh
RUN. Khi cửa sổ được mở, chọn Add/Remove từ menu File. Sau
khi chọn xong, cửa sổ sẽ hiển thị trang thuộc tính của thành phần Add/Remove.
Kích chuột vào nút Add để xuất hiện một danh sách có sẵn các mô
đun. Chọn mô đun Active Directory Schema trong danh sách và kích
vào nút Add, sau đó nhấn Close và nút OK.

Bây
giờ mô đun đã được tải ra, kích chuột phải vào Active Directory Schema
và chọn Operations Master từ menu chuột phải. Một hộp thoại sẽ
xuất hiện, hộp thoại này thông báo cho bạn biết rằng máy chủ nào đang
cấu hình với tư cách là Schema Master của forest.

Domain Naming Master

Như
tôi đã giải thích, một rừng Active Directory có thể gồm nhiều miền.
Việc kiểm tra các miền này là công việc của Domain Naming Master. Nếu
Domain Naming Master bị lỗi thì nó không thể tạo và gỡ bỏ các miền cho
tới khi Domain Naming Master quay trở lại trực tuyến.

Để xác
định máy chủ nào đang hoạt động như Domain Naming Master cho một forest,
mở Active Directory Domains and Trusts, khi cửa sổ này được mở,
kích chuột phải vào Active Directory Domains and Trusts và chọn Operations
Masters. Sau khi chọn xong, Windows sẽ hiển thị Domain Naming
master.

Relative
Identifier (Bộ nhận dạng quan hệ)

Active Directory
cho phép quản trị viên tạo các đối tượng Active Directory trên bất kỳ
bộ điều khiển miền nào. Mỗi một đối tượng phải có một số hiệu nhận dạng
quan hệ duy nhất để ngăn chặn các bộ nhận dạng quan hệ khỏi bị giống
nhau, Relative Identifier Master chỉ định một nhóm bộ nhận dạng quan hệ
cho mỗi một điều khiển miền. Khi một đối tượng mới được tạo trong một
miền, bộ điều khiển miền mà đối tượng đang tạo sẽ lấy một trong những
bộ nhận dạng quan hệ của nó ra khỏi nhóm và gán cho đối tượng. Khi một
nhóm được khai thác hết thì bộ điều khiển miền phải liên lạc với
Relative Identifier Master để có thêm bộ nhận dạng quan hệ. Như vậy,
triệu chứng cuối cùng của Relative Identifier Master lỗi là hoàn toàn
bất lực trong việc tạo các đối tượng trong Active Directory.

Để
xác định máy chủ nào đang thực hiện như bộ nhận dạng quan hệ cho một
miền, hãy mở Active Directory Users and Computers. Khi cửa số này
được mở, kích chuột phải vào danh sách miền hiện hành và chọn Operations
Masters. Windows sẽ hiển thị trang thuộc tính của Operations
Masters. Trong cửa sổ này bạn có thể chọn bộ điều khiển miền nào đang
thực hiện như bộ nhận dạng quan hệ bằng cách quan sát ở tab RID
của trang thuộc tính.

Primary
Domain Controller Emulator

Xuyên suốt loạt các bài
viết này, tôi đã nói về role mà Primary Domain Controller (PDC) hoạt
động trong môi trường Windows NT. Role của PDC emulator được tạo để cho
phép các bộ điều khiển miền Active Directory cùng tồn tại với các bộ
điều khiển miền Windows NT. Ý tưởng cơ bản ở đây là khi một tổ chức
đang nâng cấp từ Windows NT lên Windows 2000 hoặc Windows Server 2003
thì PDC là bộ điều khiển miền đầu tiên được nâng cấp. Ở điểm này, bộ
điều khiển miền được nâng cấp gần đây hoạt động như một bộ điều khiển
miền Active Directory và một PDC cho các bộ điều khiển miền vẫn đang
chạy Windows NT.

Role của PDC emulator ngày nay càng không liên
quan nhiều hơn bởi vì rất ít các tổ chức sử dụng Windows NT Server.
Nếu bạn cần chỉ định máy chủ nào trong miền đang cấu hình role của PDC
Emulator dù cho bạn có thể thực hiện điều đó bằng cách mở Active
Directory Users and Computers. Khi cửa số này được mở, bạn kích
chuột phải vào miền hiện hành và chọn Operations Masters. Windows
sẽ hiển thị trang thuột tính của Operations Masters. Bạn có thể xác
định bộ điều khiển miền nào đang hành động như PDC Emulator bằng
cách quan sát tại tab PDC của trang thuộc tính.

Infrastructure Master

Trong
môi trường Active Directory, một forest có thể gồm nhiều miền. Tất
nhiên ngụ ý của nó là các miền Active Directory không hoàn toàn mà các
thực thể độc lập mà chúng đôi khi phải truyền thông với phần còn lại
của forest. Đây chính là nơi mà Infrastructure Master diễn ra. Khi bạn
tạo, thay đổi hoặc xóa một đối tượng bên trong một miền, sự thay đổi sẽ
được truyền một cách tự nhiên xuyên suốt miền. Vấn đề là phần còn lại
của forest không biết đến sự thay đổi này. Đây chính là công việc của
Infrastructure Master, làm thế nào để cho phần còn lại của forest biết
được có sự thay đổi.

Nếu máy chủ Infrastructure Master bị lỗi
thì các thay đổi đối tượng sẽ không thể nhìn thấy trong đường biên
miền. Ví dụ, nếu bạn đã đặt lại tên cho một tài khoản người dùng thì
tài khoản người dùng vẫn sẽ xuất hiện với tên cũ khi được xem từ các
miền khác trong forest.

Để xác định máy chủ nào đang thực hiện
với tư cách Infrastructure Master cho một miền, mở Active Directory
Users and Computers. Khi cửa số này được mở, bạn kích chuột phải vào
danh sách miền hiện hành và chọn Operations Masters, Windows sẽ
hiển thị trang thuộc tính của Operations Masters. Bạn có thể xác định
được bộ điều khiển miền nào đang thực hiện với tư cách Operations
Master bằng cách nhìn vào tab Infrastructure của trang thuộc
tính.

Kết luận


Như những gì bạn có thể thấy, các role FSMO đóng vai trò quan
trọng trong chức năng của Active Directory. Trong phần tiếp theo của
loạt bài viết này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn về cấu
trúc của Active Directory và việc định tên giản đồ được sử dụng bởi các
đối tượng Active Directory.

PHAN 7 GIOI THIEU VE FSMO ROLE

---

Sự cần thiết của các FSMO role, Các FSMO role
được đặt ở đâu? FSMO Role, chúng là gì? ...

Sự cần thiết
của các FSMO role

Trong các phần trước của loạt bài này, chúng ta
đã được biết đến Active Directory, với một rừng (forest) các cây miền
(domain tree), trong đó tên của mỗi miền cũng đồng thời là vị trí của
chúng trong forest. Với cấu trúc cây phân tầng tự nhiên của Active
Directory, bạn có thể dễ dàng đoán biết được các miền ở gần phía trên là
những miền quan trọng nhất (đôi khi có các Domain Controller bên trong
các miền đó). Trong bài này chúng ta sẽ thảo luận quy tắc các Domain
Controller riêng lẻ phải tuân thủ bên trong Active Directory forest.

Trước
đây, chúng ta có nói về các miền bên trong Windows NT. Cũng giống như
Active Directory, Windows NT domain hỗ trợ sử dụng đa Domain Controller.
Xin nhớ rằng Domain Controller chịu trách nhiệm thẩm định thông tin
đăng nhập của người dùng. Do đó, nếu Domain Controller không hoạt động,
sẽ không có bất kỳ ai được phép đăng nhập vào mạng. Microsoft nhận thức
sớm được điều này nên thiết kế Windows cho phép sử dụng đa Domain
Controller cùng một lúc. Nếu một Domain Controller bị hỏng, Domain
Controller khác có thể thay thế nó, giúp hoạt động thẩm định đăng nhập
mạng không bị gián đoạn. Có nhiều Domain Controller cũng cho phép miền
liên quan đến hoạt động tải được chia sẻ bởi đa máy tính, tránh đẩy gánh
nặng lên toàn bộ một server đơn.

Mặc dù Windows NT hỗ trợ đa
Domain Controller trong một miền, nhưng luôn có một Domain Controller
được xem là quan trọng nhất. Người ta gọi đó là Primary Domain
Controller (máy điều khiển miền chính) hay PDC. Bạn có thể nhớ lại là,
một Domain Controller bao gồm một cơ sở dữ liệu chứa tất cả thông tin
tài khoản người dùng bên trong miền (tất nhiên còn nhiều thứ khác). Cơ
sở dữ liệu này được gọi là Security Accounts Manager, hay SAM.

Trong
Windows NT, PDC lưu trữ bản copy chính của cơ sở dữ liệu. Các Domain
Controller khác trong miền Windows NT được gọi là Backup Domain
Controller (Domain Controller dự trữ), hay BDC. Mỗi lần thực hiện thay
đổi trên cơ sở dữ liệu của Domain Controller, thay đổi này sẽ được ghi
vào PDC. Sau đó PDC sao chép thay đổi ra tất cả các BDC khác trong miền.
Theo nghĩa thông thường, PDC chỉ là Domain Controller trong miền
Windows NT, là miền mà các bản update có thể được sử dụng. Nếu PDC bị
lỗi, sẽ có cách thức điều khiển từ xa một BDC tới PDC, cho phép Domain
Controller hoạt động theo đúng chức năng của nó trong miền, nhưng chỉ
với vai trò PDC.

Các miền Active Directory hơi khác một chút.
Active Directory sử dụng mô hình sao chép đa chủ, tức là mọi Domain
Controller trong miền đều có thể ghi. Ở đây không còn khái niệm PDC hay
BDC. Nếu một người quản trị cần thực hiện thay đổi trên cơ sở dữ liệu
Active Directory, thay đổi này được áp dụng cho bất kỳ Domain Controller
nào trong miền, và sau đó được sao chép tới các Domain Controller còn
lại.

Mô hình sao chép đa chủ được đánh giá là ý tưởng không tồi.
Nó mở ra cánh cửa mới cho các thay đổi mâu thuẫn trái chiều. Chẳng hạn,
chuyện gì sẽ xảy ra nếu hai quản trị viên khác nhau áp dụng các thay đổi
mâu thuẫn cho hai Domain Controller rải rác ở hai vị trí trong cùng một
thời điểm?

Thông thường, Active Directory dành quyền ưu tiên cho
các thay đổi mới nhất. Nhưng trong một số trường hợp, phương pháp này
không thể giải quyết được xung đột nghiêm trọng. Do đó, Microsoft đưa ra
gợi ý là tốt hơn hết bạn nên ngăn ngừa xung đột từ khi chúng chớm xuất
hiện hoặc chưa xuất hiện, còn hơn là giải quyết chúng sau khi đã xảy ra.

Trong
các trường hợp này, Windows cung cấp cho chúng ta giải pháp chỉ định
một số Domain Controller thực hiện vai trò Flexible Single Master
Operation (FSMO). Về cơ bản, sử dụng FSMO có nghĩa là các miền Active
Directory hỗ trợ đầy đủ mô hình sao chép đa chủ, ngoại trừ trong một số
trường hợp riêng nhất định, miền được khôi phục sử dụng mô hình đơn chủ.
Có ba vai trò FROM khác nhau được gán ở mức domain, và hai vai trò bổ
sung gán ở mức forest.

Các FSMO role được đặt ở đâu?

Hầu
hết các role (vai trò) FSMO đều chỉ chú trọng đến bản thân chúng. Nhưng
thông tin cho bạn biết Domain Controller nào sở hữu các role nào cũng
hết sức quan trọng. Mặc định, Domain Controller đầu tiên trong rừng sở
hữu 5 role. Khi các domain bổ sung được tạo, Domain Controller đầu tiên
sẽ mang trực tuyến đến cho từng miền sở hữu 3 role FSMO mức domain.

Lý
do quan trọng để biết Domain Controller nào nắm giữ các role nào là bởi
thiết bị phần cứng sau này sẽ bị lão hoá và cuối cùng cũng buộc phải
loại bỏ. Một trường hợp trước đây tôi từng chứng kiến, một quản trị viên
mạng chuẩn bị triển khai mạng Active Directory cho công ty của anh ta.
Trong thời gian chờ server mới được đưa đến, quản trị viên cài đặt
Windows trên một PC cũ để thử nghiệm một số chức năng quản lý Active
Directory khác nhau.

Cuối cùng các server mới đến, quản trị viên
cấu hình chúng với vai trò Domain Controller trong miền đã được tạo thay
vì tạo một rừng mới. Tất nhiên, như thế tức là chiếc PC cũ nắm giữ các
role FSMO. Mọi thứ hoạt động tốt cho đến khi quản trị viên quyết định
loại bỏ PC cũ khỏi mạng. Anh ta ngưng sử dụng server này, cũng chưa phải
là vấn đề. Nhưng thiếu kinh nghiệm hơn là anh ta format lại ổ cứng của
máy. Vô số vấn đề đột nhiên diễn ra liên tục trên Active Directory. Nếu
quản trị viên nhận ra rằng máy mà anh ta loại bỏ khỏi miền đang nắm giữ
domain và các role FSMO của forest, anh ta có thể tránh được tất cả vấn
đề đang diễn ra. Trong trường hợp này, bạn cần nắm giữ lại cá role FSMO
từ server chết để mạng có thể phục hồi lại các hoạt động bình thường.

FSMO
Role, chúng là gì?

Chúng ta sẽ thảo luận chức năng cụ thể của
các FROM role này trong phần sau của loạt bài này. Ở đây tôi chỉ muốn
lướt qua khái niệm cơ bản, giúp bạn hình dung xem chúng là gì. Như đã
nói ở trên, có ba role mức domain và hai role mức forest.

Các
role mức miền bao gồm: Relative identifier, Primary Domain Controller
Emulator và Infrastructure Master. Các role mức rừng gồm Schema Master
và Domain Naming master. Dưới đây là bản mô tả tóm tắt chức năng của các
role này:

Schema Master: quản lý bản sao của cơ sở dữ liệu
Active Directory.

Domain Naming Master: quản lý danh sách các
miền trong rừng.

Relative Identifier Master: chịu trách nhiệm đảm
bảo cho tất cả đối tượng Active Directory trong một miền đều được nhận
mã số nhân dạng bảo mật duy nhất.

Primary Domain Controller
Emulator: hoạt động như một Primary Domain Controller trong các miền có
Domain Controller chạy Windows NT.

Infrastructure Master: Chịu
trách nhiệm cập nhật thông tin nhân dạng bảo mật của một đối tượng và
phân biệt tên trong tham chiếu chéo đối tượng miền.

Kết luận

Hy
vọng đến giờ bạn đã có thể hiểu được tầm quan trọng của các role FSMO
cho dù cho biết các nguyên tắc hoạt động thực sự của chúng là gì. Trong
phần tiếp theo của loạt bài này, chúng ta sẽ tiếp tục thảo luận về role
FSMO chi tiết hơn nhằm giúp bạn hiểu thực sự chúng làm gì. Chúng tôi
cũng sẽ chỉ cho bạn cách xác định server nào sở hữu những role nào.

WINDOWS DOMAIN

---

Thảo luận
chi tiết và phân tích kỹ lưỡng về Windows domain.

Trong một số bài trước của loạt bài
này các bạn đã được giới thiệu một số khái niệm về domain (miền, tức
là một vùng mạng được quan tâm nhất định) và domain controller (bộ quản
lý miền). Tiếp tục với những kiến thức cơ sở nhất, hôm nay chúng tôi
giới thiệu với bạn đọc một khái niệm khác: Windows domain. Có một số
điều đã quen và cũng có một số điểm mới khác. Chúng ta hãy cùng xem
chúng là cái gì.

Như đã giải thích trong phần 5, domain bây giờ
không còn lạ lẫm gì với các bạn. Microsoft đưa ra khái niệm domain đầu
tiên trong Windows NT Server. Vào thời kỳ đó, mỗi domain là một vùng
riêng biệt, thường sở hữu tất cả tài khoản người dùng của toàn bộ công
ty. Một quản trị viên phải hoàn toàn điều khiển domain và dữ liệu bên
trong nó.

Nhưng đôi khi domain đơn riêng rẽ không mang tính
thiết thực. Chẳng hạn, nếu một công ty có chi nhánh ở một vài thành phố
khác nhau. Khi đó mỗi chi nhánh cần sẽ cần phải có một domain riêng,
gây lãng phí và rất tốn kém. Trường hợp phổ biến khác là khi một công
ty mua lại công ty khác. Tất nhiên hai công ty thường có hai domain
khác nhau. Khi sát nhập lại thành một, chẳng nhẽ lại phải tiếp tục duy
trì hai domain riêng như vậy.

Nhiều khi người dùng ở miền này
cần truy cập tài nguyên trên miền khác. Trường hợp này không phải hiếm
gặp. Đưa ra giải pháp cho vấn đề này, Microsoft đã tạo các trusts
hỗ trợ cho việc truy cập dễ dàng hơn. Bạn có thể hình dung hoạt động
của trust cũng giống như công việc bảo vệ an ninh ở sân bay vậy.

Tại Mỹ, hành khách thường phải
xuất trình bằng lái xe cho nhân viên an ninh sân bay trước khi lên các
chuyến bay nội địa. Giả sử bạn dự định bay tới một nơi nào đó trong
địa phận nước Mỹ. Nhân viên an ninh tại sân bay không biết bạn là ai và
chắc chắn là không tin bạn. Nhưng họ tin chính quyền bang Nam
Carolina, nơi bạn sinh sống, xác nhận nhân thân và cấp bằng lái xe cho
bạn. Do đó bạn có thể trình bằng lái xe Nam Carolina và nhân viên an
ninh sân bay sẽ cho phép bạn lên máy bay mặc dù họ không cần tin cá
nhân bạn là ai.

Domain trust cũng hoạt động theo
cách như vậy. Giả sử bạn là người quản trị một domain có chứa tài
nguyên mà người dùng ở domain khác cần truy cập. Nếu bạn không phải là
quản trị viên trong foreign domain thì bạn không có quyền điều khiển ai
là người được cấp tài khoản người dùng trong domain đó. Nếu tin tưởng
quản trị viên của domain bạn muốn có mối liên hệ, bạn có thể thiết lập
một trust (có thể hiểu là một uỷ thác) để domain của bạn "uỷ
thác" các thành viên của mình trở thành thành viên của domain kia.
Foreign domain được gọi là domain "được uỷ thác".

Trong bài
trước tôi đã nhấn mạnh rằng domain controller cung cấp dịch vụ thẩm
định chứ không phải là dịch vụ cấp phép. Điều này hoàn toàn đúng ngay
cả khi các quan hệ uỷ thác được thiết lập. Thiết lập quan hệ uỷ thác
tới foreign domain không cung cấp cho người dùng trong domain đó quyền
truy cập vào bất cứ tài nguyên nào trong miền của bạn. Bạn vẫn phải
gán quyền cho người dùng như đối với người dùng trong domain riêng của
mình.

Ở phần đầu của bài này chúng ta có nói rằng trong Windows
NT, mỗi domain là một môi trường riêng rẽ, tự chứa các nội dung bên
trong và các uỷ thác được tạo ra theo kiểu cho phép người dùng ở domain
này truy cập tài nguyên trong domain khác. Các khái niệm đó cho đến
nay vẫn đúng một phần, nhưng mô hình domain thì thay đổi một cách đáng
kinh ngạc khi Microsoft tạo ra Active Directory. Chắc bạn vẫn còn nhớ
Active Domain được giới thiệu đầu tiên trong Windows 2000 và hiện nay
vẫn còn được dùng trong Windows Server 2003. Chắc chắn Active Directory
sẽ quay trở lại sớm trong Longhorn Server, phiên bản hệ điều hành
server mới nhất sắp ra mắt của Microsoft.

Một trong những điểm
khác nhau chính giữa domain kiểu Windows NT và domain Active Directory
là chúng không còn duy trì tình trạng hoàn toàn riêng rẽ nữa. Trong
Windows NT, không có cấu trúc mang tính tổ chức cho các domain. Từng
domain hoàn toàn độc lập với nhau. Còn trong môi trường Active
Directory, cấu trúc có tổ chức chính được biết đến là forest (kiểu cấu
trúc rừng). Một forest có thể chứa nhiều nhánh (tree) domain.

Bạn
có thể hình dung domain tree cũng giống như cây gia đình (hay còn gọi
là sơ đồ phả hệ). Một cây gia đình gồm có: cụ, kỵ, ông bà, cha mẹ rồi
đến con cái... Mỗi thành viên trong cây gia đình có một số mối quan hệ
với thành viên ở trên và bên dưới. Domain tree cũng tương tự như vậy.
Bạn có thể nói vị trí của một domain bên trong cây bằng cách nhìn vào
tên nó.

Các miền Active Directory dùng tên theo kiểu DNS, tương
tự như tên dùng cho website. Bạn hãy nhớ lại, trong phần 3 của loạt
bài này tôi đã giải thích các server DNS xử lý đường dẫn URL cho trình
duyệt Web như thế nào. Kỹ thuật giống như vậy cũng được dùng nội bộ
trong môi trường Active Directory. DNS là tên viết tắt của Domain Name
Server (Máy chủ tên miền). Một DNS server là thành phần bắt buộc cho
bất kỳ triển khai Active Directory nào.

Để biết hoạt động đặt
tên miền diễn ra như thế nào, chúng ta hãy cùng xem quá trình thiết lập
một mạng riêng ra sao. Domain chính trong mạng tôi lấy ví dụ có tên production.com.
Tôi không thực sự sở hữu tên miền Internet production.com, nhưng
điều đó không thành vấn đề vì miền này hoàn toàn riêng tư và chỉ có thể
truy cập được từ bên trong mạng riêng của tôi.

Miền production.com
được coi là domain mức đầu. Nếu đây là miền Internet, nó sẽ không giữ
vị trí này nữa mà chỉ được xem là domain con của .com. Khi đó .com
mới thực sự là domain mức đầu bảng. Mặc dù có một số điểm khác nhau
không quan trọng lắm, nhưng nguyên tắc cơ bản giống như vậy vẫn được
giữ nguyên. Tôi có thể dễ dàng tạo một domain con của production.com
bằng cách tạo tên miền khác trong production.com, ví dụ sales.production.com
chẳng hạn. Thậm chí còn có thể tạo một domain "cháu" như widgets.sales.production.com.
Bạn có thể dễ dàng nói vị trí của một domain bên trong domain tree, chỉ
cần nhìn vào số khoảng cách trong tên của miền.

Như trước đã
đề cập, một forest Active Directory có thể chứa một số domain tree. Bạn
không bị giới hạn tạo các single domain tree trong forest này. Mạng
riêng của tôi dùng hai domain tree: production.com và test.com.
Domain test.com bao gồm tất cả server trong quá trình thử
nghiệm với một số kỹ thuật khác nhau. Còn production.com domain chứa
các server thực sự dùng trong hoạt động kinh doanh. Domain này là mail
server và một số file server.

Điểm đáng chú ý là khả năng tạo
nhiều cây domain, cho phép bạn phân tách được mạng của mình, làm cho nó
có ý nghĩa nhất với khả năng quản lý trong tương lai. Ví dụ, giả sử
một công ty có năm văn phòng ở năm thành phố khác nhau. Công ty có thể
dễ dàng tạo một rừng Active Directory gồm năm cây domain, mỗi cây cho
một thành phố. Lúc đó mỗi chi nhánh trên một thành phố sẽ cần một quản
trị viên. Và quản trị viên đó hoàn toàn tự do tạo các domain con cho
domain tree của họ nếu thấy cần thiết.

Ưu điểm của kiểu cấu
trúc này là tất cả domain đều nằm trong một forest chung. Điều này có
nghĩa là hoạt động quản trị điều khiển từng domain riêng hay các domain
tree được phân phối cho từng quản trị viên ở mỗi thành phố khác nhau.
Còn quản trị viên forest cuối cùng sẽ duy trì hoạt động điều khiển toàn
bộ domain trong forest. Hơn nữa, các mối quan hệ uỷ thác được đơn giản
hoá rất hiệu quả. Mọi domain trong forest thiết lập các uỷ thác tự
động tới domain khác. Và nó hoàn toàn có thể thiết lập các trust này
với forest hoặc domain mở rộng.

Kết luận

Trong bài này chúng ta đã nói về
cấu trúc có tổ chức được dùng trong việc tạo các miền Active Directory.
Trong phần tiếp theo của loạt bài này chúng tôi sẽ giới thiệu với bạn
các thức hoạt động truyền thông mạng làm việc trong mội trường Active
Directory như thế nào.

PHAN 5: DOMAIN CONTROLLER

---

Domain controller là gì và lựa chọn thế nào cho
hợp với cơ sở hạ tầng mạng của bạn?

Trong những
bài trước chúng ta đã nói tới vai trò của các máy tính khác nhau trên
mạng. Chắc hẳn các bạn còn nhớ, ngay trong phần 4 chúng ta đã nói một
chút về domain controller. Còn bây giờ, trong bài này bạn sẽ được biết
sâu hơn domain controller là gì và lựa chọn chúng ra sao cho hợp với cơ
sở hạ tầng mạng của bạn.

Một trong những khái niệm quan trọng
nhất của mạng Windows là domain (tức miền hay vùng). Một domain là tập
hợp các tài khoản người dùng và tài khoản máy tính được nhóm lại với
nhau để quản lý một cách tập trung. Và công việc quản lý là dành cho
domain controller (bộ điều khiển miền) nhằm giúp việc khai thác tài
nguyên trở nên dễ dàng hơn.

Vậy tại sao domain controller lại rất
quan trọng? Trong mạng, bất kỳ máy trạm nào đang chạy hệ điều hành
Windows XP cũng có một nhóm tài khoản người dùng tạo sẵn nào đó. Windows
XP thậm chí còn cho phép bạn tạo một số tài khoản bổ sung nếu thấy cần
thiết. Nếu máy trạm có chức năng như một hệ thống độc lập hoặc là một
phần của mạng ngang hàng thì tài khoản người dùng mức máy trạm (được gọi
là tài khoản người dùng cục bộ) không thể điều khiển truy cập tài
nguyên mạng. Chúng chỉ được dùng để điều chỉnh truy cập máy cục bộ và
hoạt động như với chức năng đảm bảo cho quản trị viên có thể thực hiện
công việc bảo dưỡng, duy trì máy trạm, không cho phép người dùng cuối
khả năng can thiệp vào các thiết lập trên máy trạm.

Lý do vì sao
tài khoản người dùng cục bộ trên một máy trạm nhất định không được phép
điều khiển truy cập tài nguyên nằm ngoài máy trạm đó là nó tăng thêm
gánh nặng quản lý rất lớn. Tài khoản người dùng cục bộ chỉ nằm trên các
máy trạm riêng rẽ. Nếu một tài khoản là có chức năng bảo mật chính trong
mạng, quản trị viên sẽ phải di chuyển vật lý tới máy tính có tài khoản
đó bất kỳ khi nào phải thực hiện thay đổi quyền hạn cho tài khoản. Vấn
đề này không gây ra tác động gì lớn trong mạng nhỏ, nhưng sẽ trở nên cực
kỳ nặng nề với ở mạng lớn hay khi cần áp dụng thay đổi rộng cho tất cả
mọi tài khoản.

Một lý do khác nữa là không ai muốn phải chuyển
tài khoản người dùng từ máy này sang máy khác. Chẳng hạn, nếu máy tính
của một người dùng bị phá hoại, người đó không thể đăng nhập vào máy
tính khác để làm việc vì tài khoản họ tạo chỉ có tác dụng trên máy cũ.
Nếu muốn làm được việc anh ta sẽ phải tạo tài khoản mới trên máy khác.

Chỉ
là một trong số rất nhiều lý do khiến việc sử dụng tài khoản người dùng
cục bộ cho việc truy cập an toàn tài nguyên mạng là không thực tế. Thậm
chí nếu bạn muốn triển khai kiểu bảo mật này, Windows cũng không cho
phép. Tài khoản người dùng cục bộ chỉ có thể dùng tài nguyên cục bộ trên
một máy trạm nhất định.

Domain có nhiệm vụ giải quyết các vấn đề
vừa nêu và một số vấn đề khác nữa. Chúng sẽ tập trung hoá tài khoản
người dùng (hay cấu hình khác, các đối tượng liên quan đến bảo mật;
chúng ta sẽ đề cập đến trong bài sau). Điều này giúp việc quản trị dễ
dàng hơn và cho phép người dùng đăng nhập từ bất kỳ máy tính nào có trên
mạng (trừ khi bạn giới hạn quyền truy cập người dùng).

Với những
thông tin đã được cung cấp chắc hẳn bạn sẽ nghĩ, về mặt nguyên lý, khi
một người dùng nào đó muốn truy cập tài nguyên nằm trên một máy chủ
(server), tài khoản người dùng mức server sẽ được dùng để điều khiển
truy cập. Xét trên một số khía cạnh, ý tưởng này là đúng, nhưng còn có
nhiều điều phải lưu ý hơn thế.

Trở lại đầu những năm 1990, khi
tác giả bài báo này còn làm việc cho một công ty bảo hiểm lớn, sử dụng
mạng với các máy chủ chạy hệ điều hành Novell NetWare. Windows
networking hồi đó vẫn chưa được tạo ra và Novell NetWare là hệ điều hành
server duy nhất có thể lựa chọn. Công ty chỉ có một network server,
chứa tất cả mọi tài khoản người dùng và tài nguyên mạng cần truy cập.
Một vài tháng sau, ai đó quyết định rằng người dùng ở công ty cần chạy
một nhánh ứng dụng mới. Do kích thước của ứng dụng và số lượng dữ liệu
lớn nên ứng dụng phải được đặt trên một server chuyên dụng.

Phiên
bản Novell NetWare công ty đang dùng lúc đó chạy theo kiểu: tài nguyên
nằm trên một server được bảo vệ bởi tài khoản người dùng cũng nằm trên
server đó. Nhưng nảy sinh vấn đề: mỗi máy chủ có tập hợp tài khoản người
dùng độc lập, hoàn chỉnh và riêng rẽ. Khi thêm một máy chủ khác vào
mạng, người dùng vẫn có thể đăng nhập theo cách bình thường nhưng phải
tạo username và password mới.

Thời gian đầu, mọi thứ trôi chảy.
Nhưng khoảng một tháng sau, khi cài đặt thêm một số chương trình khác
lên máy chủ mới, mọi việc trở nên tệ hại. Các máy chủ buộc người dùng
phải thay đổi lại mật khẩu trong khi họ không nhận ra rằng phải đổi ở
hai chỗ khác nhau. Có nghĩa là mật khẩu đã mất đi tính đồng bộ và bộ
phận trợ giúp quá tải với các cuộc gọi liên quan đến lập lại mật khẩu.
Khi công ty lớn mạnh hơn và bổ sung thêm nhiều máy chủ mới vào mạng, vấn
đề ngày càng tồi tệ.

Cuối cùng sự việc được giải quyết khi
Novell cho ra đời phiên bản 4.0 của NetWare. NetWare 4 giới thiệu công
nghệ gọi là Directory Service (dịch vụ thư mục). Ý tưởng của nó là người
dùng sẽ không phải tạo các tài khoản riêng rẽ trên từng server nữa.
Thay vào đó một tài khoản đơn duy nhất được dùng để thẩm định tư cách
người dùng trên toàn bộ mạng mà không cần biết có bao nhiêu máy chủ trên
mạng đó.

Một điều thú vị khi tìm hiểu về domain là mặc dù mỗi
domain có một giá trị duy nhất, không bao giờ lặp nhau trong mạng
Microsoft (Novell không dùng domain) nhưng chúng làm việc theo nguyên
tắc cơ bản giống nhau. Khi Windows 2000 được phát hành, Microsoft tích
hợp một thành phần vẫn còn được dùng tới nay là Active Directory. Active
Directory rất giống với Directory Service được mạng Novell sử dụng
trước kia.

Toàn bộ công việc chúng ta phải làm với domain là gì?
Khi máy chủ Windows sử dụng Windows 2000 Server, Windows Server 2003 hay
Longhorn Server sắp ra mắt, công việc của domain controller (bộ điều
khiển miền) là chạy dịch vụ Active Directory. Active Directory hoạt động
như một nơi lưu trữ các đối tượng thư mục, trong đó có tài khoản người
dùng (user account). Và một trong các công việc chính của bộ điều khiển
tên miền là cung cấp dịch vụ thẩm định.

Nên hết sức lưu ý là
domain controller cung cấp dịch vụ thẩm định (authentication) chứ không
phải là dịch vụ cấp phép (authorization). Tức là, khi một người dùng nào
đó đăng nhập vào mạng, một bộ điều khiển miền sẽ kiểm tra tính hợp lệ
của username và password họ nhập vào có chính xác và khớp với dữ liệu
lưu trong máy chủ hay không. Nhưng domain controller không nói với người
dùng họ có quyền truy cập tài nguyên nào.

Tài nguyên trên mạng
Windows được bảo vệ bởi các Danh sách điều khiển truy cập (ACL). Một ACL
là danh sách chỉ rõ ai có quyền làm gì. Khi người dùng cố gắng truy cập
tài nguyên, họ đưa ra nhân dạng của mình cho máy chủ chứa tài nguyên
đó. Máy chủ sẽ kiểm tra để chắc chắn rằng nhân dạng người dùng này đã
được thẩm định, sau đó tham chiếu chéo đến ACL để xem người dùng có
quyền làm gì.

Kết luận

Như bạn có thể thấy, domain
controller (bộ điều khiển miền) đóng vai trò rất quan trọng trong mạng
Windows. Trong phần tiếp theo của loạt bài này chúng ta sẽ tiếp tục thêm
một chút với domain controller và Active Directory.

WORKSTATION VAF SERVER

---

Đây là phần tiếp
theo trong loạt bài hướng dẫn cơ bản dành cho những người mới bắt quen
hay tìm hiểu về mạng. Nội dung bài hôm nay là về sự khác nhau giữa
Workstation (máy trạm) và Server (máy chủ).










Trước bài này, chúng ta đã có dịp
thảo luận về các thiết bị phần cứng mạng và giao thức TCP/IP. Phần cứng
mạng được dùng để thiết lập kết nối vật lý giữa các thiết bị, trong
khi giao thức TCP/IP là ngôn ngữ trọng yếu dùng để liên lạc trong mạng.
Ở bài này chúng ta cũng sẽ nói một chút về các máy tính được kết nối
trong một mạng.

Cho dù bạn là người mới hoàn toàn, nhưng chắc
hẳn bạn đã từng nghe nói đến các thuật ngữ server và workstation. Các
thuật ngữ này thông thường được dùng để nói tới vai trò của máy tính
trong mạng hơn là phần cứng máy tính. Chẳng hạn, một máy tính đang hoạt
động như một server thì nó không cần thiết phải chạy cả phần cứng của
server. Bạn có thể cài đặt một hệ điều hành server lên máy tính của
mình. Khi đó máy tính sẽ hoạt động thực sự như một server mạng. Trong
thực tế, hầu hết tất cả các máy chủ đếu sử dụng thiết bị phần cứng đặc
biệt, giúp chúng có thể kiểm soát được khối lượng công việc nặng nề vốn
có của mình.

Khái niệm máy chủ mạng (network server) thường
hay bị nhầm về mặt kỹ thuật theo kiểu định nghĩa: máy chủ là bất kỳ máy
tính nào sở hữu hay lưu trữ tài nguyên chia sẻ trên mạng. Nói như thế
thì ngay cả một máy tính đang chạy windows XP cũng có thể xem là máy
chủ nếu nó được cấu hình chia sẻ một số tài nguyên như file và máy in.

Các
máy tính trước đây thường được tìm thấy trên mạng là peer (kiểu máy
ngang hàng). Máy tính ngang hàng hoạt động trên cả máy trạm và máy chủ.
Các máy này thường sử dụng hệ điều hành ở máy trạm (như windows XP),
nhưng có thể truy vập và sở hữu các tài nguyên mạng.

Trước đây,
mạng ngang hàng thường được tìm thấy chủ yếu trên các mạng rất nhỏ. Ý
tưởng ở đây là nếu một công ty nhỏ thiếu tài nguyên để có được các máy
chủ thực sự thì các máy trạm có thể được cấu hình để thực hiện nhiệm vụ
"kép". Ví dụ, mỗi người dùng có thể tạo cho các file của mình khả năng
truy cập chung với nhiều người khác trên mạng. Nếu một máy nào đó có
gắn máy in, họ có thể chia sẻ nó cho công việc in ấn của toàn bộ máy
trong mạng, tiết kiệm được tài nguyên.

Các mạng ngang hàng
thường không sử dụng được trong các công ty lớn vì thiếu khả năng bảo
mật cao và không thể quản lý trung tâm hoá. Đó là lý do vì sao các mạng
ngang hàng thường chỉ được tìm thấy trong các công ty cực kỳ nhỏ hoặc
người dùng gia đình sử dụng nhiều máy PC. windows Vista (thế hệ kế tiếp
của windows XP) đang cố gắng thay đổi điều này. windows Vista cho phép
người dùng mạng client/server tạo nhóm ngang hàng. Trong đó các thành
viên của nhóm sẽ được chia sẻ tài nguyên với nhau trong chế độ bảo mật
an toàn mà không cần ngắt kết nối với server mạng. Thành phần mới này
sẽ được tung ra thị trường với vai trò như một công cụ hợp tác.

Các
mạng ngang hàng không phổ biến bằng mạng client/server vì chúng thiếu
an toàn và khả năng quản lý tập trung. Tuy nhiên, vì mạng máy tính được
hình thành từ các máy chủ và máy trạm nên bản thân mạng không cần phải
đảm bảo độ bảo mật cao và khả năng quản lý tập trung. Nên nhớ rằng
server chỉ là một máy chuyên dùng để lưu trữ tài nguyên trên mạng. Nói
như thế tức là có vô số kiểu máy chủ khác nhau và một trong số đó được
thiết kế chuyên dùng để cung cấp khả năng bảo mật và quản lý.

Chẳng
hạn, windows server có hai kiểu loại chính: member server (máy chủ
thành viên) và domain controller (bộ điều khiển miền). Thực sự không có
gì đặc biệt với member server. Member server đơn giản chỉ là máy tính
được kết nối mạng và chạy hệ điều hành windows Server. Máy chủ kiểu
member server có thể được dùng như một nơi lưu trữ file (còn gọi là
file server) hoặc nơi sở hữu một hay nhiều máy in mạng (còn gọi là máy
in server). Các member server cũng thường xuyên được dùng để lưu trữ
chương trình ứng dụng mạng. Chẳng hạn, Microsoft cung cấp một sản phẩm
gọi là Exchange Server 2003. Khi cài đặt lên member server, nó cho phép
member server thực hiện chức năng như một mail server.

Domain
controller (bộ điều khiển miền) thì đặc biệt hơn nhiều. Công việc của
một domain controller là cung cấp tính năng bảo mật và khả năng quản lý
cho mạng. Bạn đã quen thuộc với việc đăng nhập bằng cách nhập username
và password? Trên mạng windows, đó chính là domain controller. Nó có
trách nhiệm theo dõi và kiểm tra username, password.

Người chịu
trách nhiệm quản lý mạng được gọi là quản trị viên (administrator).
Khi người dùng muốn truy cập tài nguyên trên mạng Windows, quản trị
viên sẽ dùng một tiện ích do domain controller cung cấp để tạo tài
khoản và mật khẩu cho người dùng mới. Khi người dùng mới (hoặc người
nào đó muốn có tài khoản thứ hai) cố gắng đăng nhập vào mạng, "giấy
thông hành" của họ (username và password) được gửi tới domain
controller. Domain cotroller sẽ kiểm tra tính hợp lệ bằng cách so sánh
thông tin được cung cấp với bản sao chép lưu trữ trong cơ sở dữ liệu
của nó. Nếu mật khẩu người dùng cung cấp và mật khẩu lưu trữ trong
domain controller khớp với nhau, họ sẽ được cấp quyền truy cập mạng.
Quá trình này được gọi là thẩm định (authentication).

Trên một
mạng Windows, chỉ có domain controller thực hiện các dịch vụ thẩm định.
Tất nhiên người dùng sẽ cần truy cập tài nguyên lưu trữ trên member
server. Đây không phải là vấn đề gì lớn vì tài nguyên ở member server
được bảo vệ bởi một tập hợp các đặc quyền liên quan đến thông tin bảo
mật trên domain controller.

Để dễ hiểu hơn chúng ta sẽ lấy một
ví dụ cụ thể. Giả sử username của tôi là QuanTri. Tôi nhập username và
password vào, chúng sẽ được gửi tới domain controller để thẩm định. Khi
bộ điều khiển miền thẩm định thông tin, nó không cung cấp cho tôi
quyền truy cập bất kỳ tài nguyên nào. Nó chỉ kiểm tra tính hợp lệ từ
thông tin tôi cung cấp. Khi truy cập tài nguyên của một member server,
máy tính của tôi đưa mã thông báo truy cập đặc biệt, về cơ bản đã được
thẩm định bởi một domain controller. Có thể member server không tin
tôi, nhưng nó tin domain controller. Do đó, nếu domain controller xác
nhận hợp lệ cho nhân dạng của tôi, member server sẽ chấp nhận và cung
cấp khả năng truy cập bất cứ tài nguyên nào mà tôi có quyền.

Kết
luận

Như bạn có thể thấy, quá trình thẩm định trên domain
controller và cung cấp quyền truy cập tài nguyên mạng hơi phức tạp một
chút. Chúng ta sẽ tiếp tục thảo luận về thẩm định (authentication) và
truy cập tài nguyên (resource access) chi tiết hơn trong loạt bài sau.
Còn bây giờ, tất cả chỉ là những gì đơn giản nhất nhằm giúp các bạn dễ
hiểu. Trong phần tiếp của loạt bài này chúng ta sẽ thảo luận về domain
controller chi tiết hơn với vai trò của domain controller trong Active
Directory.

DNS SERVER

---

[align=center][/align]

Đây
là phần tiếp theo của loạt bài Kiến thức cơ bản dành cho những người
mới bắt đầu làm quen và tìm hiểu về mạng máy tính. Sau hai bài giới
thiệu Hub và Switch, Router, nội dung của bài này đề cập đến hoạt động
của các server DNS (hệ thống tên miền).


Đây cũng là phần
cuối cùng chúng tôi nói đến cách các máy tính trong một phân đoạn mạng
chia sẻ vùng địa chỉ IP chung như thế nào.

Như chúng ta đã
biết, khi một máy tính cần truy cập thông tin trên một máy nằm ở mạng
khác hay phân đoạn mạng khác, nó cần đến sự trợ giúp của router. Router
sẽ chuyển các gói dữ liệu cần thiết từ mạng này sang mạng khác (chẳng
hạn như Internet). Nếu bạn đã từng đọc phần hai, chắc hẳn bạn nhớ,
chúng tôi có đưa ra một ví dụ tạo một tham chiếu đến địa chỉ IP kết hợp
với một website. Để có thể truy cập vào website này, trình duyệt Web
của bạn phải biết địa chỉ IP của website. Sau đó trình duyệt cung cấp
địa chỉ cho router, router sẽ xác định đường đi tới mạng khác và yêu
cầu các gói dữ liệu tới máy đích phù hợp. Mỗi website đều có một địa
chỉ IP nhưng bạn có thể ghé thăm các website này hằng ngày mà không cần
quan tâm đến dãy con số đó của nó. Trong bài này chúng tôi sẽ chỉ cho
bạn thấy lý do vì sao có thể thực hiện được.

Địa chỉ IP cũng
giống như địa chỉ nhà vậy. Nó gồm có vị trí mạng (là dãy số hiệu chỉ
phân đoạn mạng máy tính đang hoạt động trong đó), tương tự như tên phố;
và vị trí thiết bị (xác định một máy tính cụ thể trong mạng), tương tự
như số nhà. Biết về địa chỉ IP là yêu cầu cần thiết cho hoạt động
truyền thông cơ sở TCP/IP giữa hai máy tính.

Khi bạn mở một
trình duyệt Web và nhập tên website (được biết đến như là tên miền hay
đường dẫn URL(Universal Resource Locator - bộ định vị vị trí tài
nguyên chung)), trình duyệt sẽ đến thẳng website mà không cần phải
thông qua việc nhập địa chỉ IP. Bạn có thể hình dung quá trình mở
website cũng giống như quá trình chuyển thư đến địa chỉ nhận ghi trên
phong bì ở bưu điện vậy. Địa chỉ IP trong truyền thông mạng đóng vai
trò như địa chỉ trên phong bì. Thư không thể đến đúng nơi nếu bạn chỉ
ghi tên người nhận mà "quên mất" địa chỉ của họ. Việc đến và mở được
một website cũng như vậy. Máy tính của bạn không thể liên lạc được với
website trừ khi nó biết địa chỉ IP của website đó.

Nhưng bạn
không cần gõ địa chỉ IP mà trình duyệt vẫn mở được đúng website bạn
muốn khi nhập tên miền vào. Vậy địa chỉ IP ở đâu? Quá trình "dịch" tên
miền thành địa chỉ IP là công việc của một server DNS (trình chủ hệ
thống tên miền).

Trong hai bài trước chúng ta đã từng nói tới
một số khái niệm về cấu hình TCP/IP của máy tính, như địa chỉ IP, mặt
nạ mạng con (subnet mask) và cổng vào mặc định (default gateway). Nhìn
hình A bên dưới bạn sẽ thấy có thêm một tuỳ chọn cấu hình khác là
"Preferred DNS server" (trình chủ hệ thống tên miền tham chiếu).

[align=center]
Hình A: Tuỳ chọn Preferred DNS
Server được định nghĩa như là một phần của cấu hình TCP/IP trong máy
tính.[/align]

Như bạn có thể thấy trong hình minh hoạ,
tuỳ chọn "Preferred DNS server" được định nghĩa như là một phần
của cấu hình TCP/IP. Có nghĩa là máy tính sẽ luôn biết địa chỉ IP của
DNS server. Điều này là hết sức quan trọng vì máy tính không thể liên
lạc được với máy tính khác sử dụng giao thức TCP/IP nếu nó không biết
địa chỉ IP của máy kia.

Bây giờ chúng ta sẽ xem xét điều gì xảy
ra khi bạn cố gắng tới thăm một website. Quá trình bắt đầu với việc
bạn mở trình duyệt Web và nhập đường dẫn URL. Khi đó, trình duyệt biết
rằng nó không thể xác định được vị trí của website nếu chỉ dựa vào một
mình địa chỉ URL. Do đó nó truy vấn thông tin địa chỉ IP của DNS sever
từ cấu hình TCP/IP của máy tính và đưa đường dẫn URL lên trình chủ DNS
server. DNS server sau đó sẽ tra tìm đường dẫn URL trên bảng có danh
sách địa chỉ IP của website. Sau đó nó trả ra địa chỉ IP cho trình
duyệt Web và trình duyệt có thể liên lạc với website được yêu cầu.

Thực
sự quá trình giải thích này có thể được mô tả đơn giản hơn một chút.
Giải pháp tên miền trong DNS chỉ có thể hoạt động nếu DNS server có
chứa một bản ghi tương ứng với website được yêu cầu. Nếu bạn vào một
website ngẫu nhiên, DNS sever sẽ không có bản ghi về website này. Lý do
là bởi Internet quá lớn. Có hàng triệu website và website mới được tạo
ra mỗi ngày. Không có cách nào cho một server DNS đơn có thể bắt kịp
tất cả các website và đáp ứng được tất cả yêu cầu từ bất kỳ ai có kết
nối tới Internet.

Bây giờ giả sử một trình chủ DNS server đơn
có thể lưu trữ các bản ghi cho mọi website tồn tại. Nếu dung lượng của
trình chủ không phải là vấn đề thì server cũng sẽ bị tràn bởi các yêu
cầu xử lý tên nhận được từ người dùng Internet ở khắp mọi nơi. Một DNS
server trung tâm hoá thường là đích nhắm rất phổ biến của các cuộc tấn
công.

Do đó, các trình chủ DNS server thường được phân phối
sang nhiều điểm, tránh cho một server DNS đơn phải cung cấp xử lý tên
cho toàn bộ Internet. Trên thế giới hiện nay có một tổ chức chuyên phụ
trách việc cấp phát, đăng ký tên miền Internet là Internet Corporation
for Assigned Names and Numbers (hay ICANN). Do quản lý tên miền cho
toàn bộ mạng là một công việc khổng lồ nên ICANN phân bổ nhiều phần đáp
ứng tên miền cho các hãng khác nhau. Chẳng hạn, Network Solutions phụ
trách tên miền ".com". Nhưng không có nghĩa là Network Solutions duy
trì danh sách các địa chỉ IP kết hợp với toàn bộ tên miền .com. Trong
hầu hết mọi trường hợp, DNS server của Network Solution đều chứa bản
ghi trỏ tới DNS server được xem là chính thức cho từng miền.

Để
thấy được tất cả hoạt động như thế nào, tưởng tượng rằng bạn muốn vào
website {Bạn không được phép thấy nội dung này. Vui lòng [You must be registered and logged in to see this link.] / [You must be registered and logged in to see this link.]}.
Khi nhập yêu cầu vào trình duyệt, trình duyệt gửi địa chỉ URL vào
trình chủ DNS server được chỉ định bởi cấu hình TCP/IP của máy tính
bạn. Trình chủ DNS server không biết địa chỉ của website này. Do đó, nó
gửi yêu cầu tới DNS server của ICANN. DNS server của ICANN cũng không
biết địa chỉ IP của website bạn đang muốn vào mà chỉ biết địa chỉ IP
của DNS server chịu trách nhiệm với tên miền có đuôi .COM. Nó sẽ trả
lại địa chỉ này cho trình duyệt và trong quá trình trả về nó cũng thực
hiện việc đưa yêu cầu tới DNS server cụ thể đó.

Mức DNS server
cao nhất dành cho tên miền đuôi .COM sẽ không biết đến địa chỉ IP nào
của website được yêu cầu, nhưng nó biết địa chỉ IP của DNS server chính
thức cho tên miền brienposey.com. Nó sẽ gửi địa chỉ này trở lại máy
đưa ra yêu cầu. Sau đó trình duyệt Web gửi truy vấn DNS tới DNS server
có đủ thẩm quyền cho miền được yêu cầu. Và DNS server này sẽ trả ra địa
chỉ IP của website, cho phép máy liên lạc với website nó yêu cầu.

Như
bạn có thể thấy, có nhiều bước phải hoàn thành để một máy tính tìm ra
địa chỉ IP của một website. Nhằm giảm bớt số truy vấn DNS phải thực
hiện, kết quả của các truy vấn này thường được lưu trữ liệu trong vài
giờ hoặc vài ngày, tuỳ thuộc vào máy được cấu hình như thế nào. Việc
lưu trữ các địa chỉ IP nâng cao một cách tuyệt vời khả năng thực thi và
tối thiểu hoá tổng lượng băng thông tiêu thụ cho các truy vấn DNS. Bạn
có thể hình dung ra quá trình duyệt Web sẽ tệ hại đến mức nào nếu máy
tính của bạn phải thực hiện tập hợp đầy đủ các truy vấn DNS bất kỳ thời
gian nào bạn muốn xem trang Web mới.

Kết luận

Trong bài này chúng tôi đã
giải thích cách trình chủ DNS server được dùng để xử lý tên miền cho
địa chỉ IP. Mặc dù quá trình được mô tả có vẻ khác đơn giản, nhưng bạn
cần nhớ rằng ICANN và các nhà đăn ký DNS mức cao như Network Solutions
sử dụng công nghệ load balacing (tải cân bằng) để phân phối yêu cầu qua
nhiều server DNS khác. Điều này giúp các server khỏi bị tràn và loại
trừ khả năng có điểm lỗi đơn

router.

---

Đây là phần tiếp theo sau bài mở đầu về các
thiết bị phần cứng mạng. Trong phần này chúng ta sẽ thảo luận nội dung
chi tiết của thiết bị mạng quan trọng nhất: router.


Cho dù là người mới
bắt đầu làm quen với mạng nhưng chắc hẳn bạn đã từng nghe nói đến
router. Các kết nối Internet băng thông rộng, sử dụng modem cáp hay
modem DSL luôn đòi hỏi cần phải có router. Nhưng công việc của router
không phải là cung cấp sự nối kết Internet mà là chuyển các gói dữ liệu
từ mạng này tới mạng khác. Có nhiều kiểu router, từ đơn giản đến phức
tạp. Các router bình dân thường được dùng cho kết nối Internet gia
đình, còn nhiều router có mức giá “kinh khủng” thường được các đại gia
là những gã khổng lồ ưa chuộng. Song, cho dù đắt hay rẻ, đơn giản hay
phức tạp thì mọi router đều hoạt động với các nguyên tắc cơ bản như
nhau.

Ở đây, chúng ta sẽ tập trung vào các router đơn giản với
giá thành thấp, chủ yếu được dùng để nối kết một máy tính vào mạng
Internet băng thông rộng. Bởi vì đối tượng của bài này là những người
mới bắt đầu làm quen mới mạng. Và tất nhiên sẽ dễ dàng hơn nhiều khi
bắt đầu với những gì đã từng quen thuộc cho hầu hết mọi người thay vì
động đến sự phức tạp của router dùng trong các tập đoàn lớn. Nếu bạn đã
có hiểu biết cơ bản về router và muốn có kiến thức chuyên sâu hơn, bạn
sẽ tìm được cái mình cần trong một bài khác mà có dịp chúng tôi sẽ
giới thiệu với các bạn sau.

Như đã nói ở trên, công việc của
một router là chuyển các gói dữ liệu từ mạng này tới mạng khác. Định
nghĩa này có vẻ lạ trong ngữ cảnh các máy tính đã được kết nối với
đường truyền Internet băng thông rộng. Nhưng thực tế bạn nên biết mạng
là một tập hợp lớn với các mạng con khác ở bên trong.

Vậy, nếu
công việc của một router là chuyển lưu lượng giữa hai mạng, trong đó
một mạng là Internet thì mạng kia ở đâu? Trong trường hợp cụ thể này
chính là máy tính được kết nối tới router. Nó được cấu hình thực sự như
một mạng đơn giản.

Để hình dung rõ hơn, bạn có thể xem ảnh
minh hoạ trong Hình A và B. Hình A là mặt trước của một router băng
thông rộng 3COM, còn hình B là mặt sau của nó.

Hình B: Router Internet băng
thông rộng gồm một tập hợp các cổng RJ-45 giống như một hub hay switch

Như
bạn có thể thấy trên hình, thực sự không có điểm nổi bật đặc biệt nào
trong mặt trước của router. Sở dĩ chúng tôi vẫn đưa ra hình ảnh cụ thể
của nó nhằm giúp các bạn, những người chưa quen thuộc với thiết bị này
có thể biết được một router trông như thế nào. Hình B xem chừng có vẻ
thú vị hơn.

Nhìn vào hình B bạn sẽ thấy có ba tập hợp cổng ở
mặt sau router. Cổng bên trái nhất là nơi điện nguồn được nối với
router. Ở giữa là một cổng RJ-45 dùng cho việc kết nối mạng từ xa.
Trong trường hợp cụ thể này, router được dùng để cung cấp kết nối
Internet. Cổng giữa chủ yếu được dùng để kết nối router với một modem
cáp hay modem DSL. Các modem này sẽ cung cấp kết nối thực tới Internet.


Còn tập hợp ở bên phải gồm bốn cổng RJ-45. Nếu bạn xem lại
phần đầu của loạt bài này bạn sẽ thấy các hub và switch cũng gồm số
lượng lớn các nhóm cổng RJ-45. Trong trường hợp của hub hay switch, các
cổng RJ-45 được dùng để cung cấp kết nối tới các máy tính trên mạng.

Ở
router, các cổng đều hoạt động y như nhau. Router trong ví dụ ở đây có
một switch bốn cổng dựng sẵn. Công việc của một router là chuyển các
gói tin từ mạng này tới mạng khác. Ở trên chúng ta đã giải thích trong
trường hợp của router băng thông rộng, Internet là một mạng còn máy
tính đóng vai trò là một mạng thứ hai. Lý do vì sao một máy tính đơn lẻ
lại có thay thế như một mạng tổng thể là do router không coi PC là một
thiết bị độc lập. Router xem PC như một nút mạng. Như bạn có thể thấy
trên hình B, router cụ thể này có thể cung cấp thực sự một mạng bốn máy
tính. Hầu hết người dùng gia đình đều sử dụng kiểu cấu hình chỉ cần
cắm một PC vào router. Cụ thể hơn, kiểu mạng này định tuyến các gói dữ
liệu giữa một mạng nhỏ (ngay cả khi mạng đó chỉ có một máy tính đơn) và
Internet (được xem như là mạng thứ hai).

Quá trình định tuyến

Để
hiểu hoạt động định tuyến được thực hiện như thế nào, đầu tiên bạn
phải biết một chút về cách thức hoạt động của giao thức TCP/IP.

Mọi
thiết bị kết nối tới mạng TCP/IP đều có một địa chỉ IP duy nhất giới
hạn trong giao diện mạng của nó. Địa chỉ IP là một dãy bốn số riêng
phân tách nhau bởi các dấu chấm. Ví dụ một địa chỉ IP điển hình có
dạng: 192.168.0.1.

Ví dụ dễ hiểu nhất khi nói về IP là địa chỉ
nhà. Địa chỉ nhà thông thường luôn có số nhà và tên phố. Số nhà xác
định cụ thể vị trí ngôi nhà trên phố đó. Địa chỉ IP cũng hoạt động
tương tự như vậy. Nó gồm mã số địa chỉ mạng và mã số thiết bị. So sánh
với địa chỉ nhà bạn sẽ thấy địa chỉ mạng giống như tên phố còn mã số
thiết bị giống như số nhà vậy. Địa chỉ mạng chỉ mạng cụ thể thiết bị
đang tham gia trong nó còn mã số thiết bị thì cung cấp cho thiết bị một
nhận dạng trên mạng.

Vậy kết thúc của địa chỉ mạng và khởi đầu
của mã số thiết bị ở đâu? Đây là công việc của một subnet mask. Subnet
mask sẽ “nói” với máy tính vị trí cuối cùng của địa chỉ mạng và vị trí
đầu tiên của số thiết bị trong địa chỉ IP. Hoạt động mạng con có khi
rất phức tạp. Bạn có thể tham khảo chi tiết hơn trong một bài khác mà
có dịp chúng tôi sẽ giới thiệu sau. Còn bây giờ hãy quan tâm đến những
thứ đơn giản nhất, xem xét một subnet mask rất cơ bản.

Subnet
mask thoạt nhìn rất giống với địa chỉ IP vì nó cũng có 4 con số định
dạng theo kiểu phân tách nhau bởi các dấu chấm. Một subnet mask điển
hình có dạng: 255.255.255.0.

Trong ví dụ cụ thể này, ba số dầu
tiên (gọi là octet) đều là 255, con số cuối cùng là 0. Số 255 chỉ ra
rằng tất cả các bit trong vị trí tương ứng của địa chỉ IP là một phần
của mã số mạng. Số 0 cuối cùng ám chỉ không có bit nào trong vị trí
tương ứng của địa chỉ IP là một phần của địa chỉ mạng. Do đó chúng
thuộc về mã số thiết bị.

Nghe có vẻ khá lộn xộn, bạn sẽ hiểu
hơn với ví dụ sau. Tưởng tượng bạn có một máy tính với địa chỉ IP là
192.168.1.1 và mặt nạ mạng con là: 255.255.255.0. Trong trường hợp này
ba octet đầu tiên của subnet mask đều là 255. Điều này có nghĩa là ba
octet đầu tiên của địa chỉ IP đều thuộc vào mã số mạng. Do đó vị trí mã
số mạng của địa chỉ IP này là 192.168.1.x.

Điều này là rất
quan trọng vì công việc của router là chuyển các gói dữ liệu từ một
mạng sang mạng khác. Tất cả các thiết bị trong mạng (hoặc cụ thể là
trên phân đoạn mạng) đều chia sẻ một mã số mạng chung. Chẳng hạn, nếu
192.168.1.x là số mạng gắn với các máy tính kết nối với router trong
hình B thì địa chỉ IP cho bốn máy tính viên có thể là:

• 192.168.1.1
  
• 
  192.168.1.2
  
• 192.168.1.3
  
• 192.168.1.4
  

Như
bạn thấy, mỗi máy tính trên mạng cục bộ đều chia sẻ cùng một địa chỉ
mạng, còn mã số thiết bị thì khác nhau. Khi một máy tính cần liên lạc
với máy tính khác, nó thực hiện bằng cách tham chiếu tới địa chỉ IP của
máy tính đó. Chẳng hạn, trong trường hợp cụ thể này, máy tính có địa
chỉ 192.168.1.1 có thể gửi dễ dàng các gói dữ liệu tới máy tính có địa
chỉ 192.168.1.3 vì cả hai máy này đều là một phần trong cùng một mạng
vật lý.

Nếu một máy cần truy cập vào máy nằm trên mạng khác thì
mọi thứ sẽ khác hơn một chút. Giả sử rằng một trong số người dùng trên
mạng cục bộ muốn ghé thăm website {Bạn không được phép thấy nội
dung này. Vui lòng [You must be registered and logged in to see this link.] / [You must be registered and logged in to see this link.]},
một website nằm trên một server. Giống như bất kỳ máy tính nào khác,
mỗi Web server có một địa chỉ IP duy nhất. Địa chỉ IP cho website này
là 24.235.10.4.

Bạn có thể thấy dễ dàng địa chỉ IP của website
không nằm trên mạng 192.168.1.x. Trong trường hợp này máy tính đang cố
gắng tiếp cận với website không thể gửi gói dữ liệu ra ngoài theo mạng
cục bộ, vì Web server không phải là một phần của mạng cục bộ. Thay vào
đó máy tính cần gửi gói dữ liệu sẽ xem xét đến địa chỉ cổng vào mặc
định.

Cổng vào mặc định (default gateway) là một phần của cấu
hình TCP/IP trong một máy tính. Đó là cách cơ bản để nói với máy tính
rằng nếu không biết chỗ gửi gói dữ liệu ở đâu thì hãy gửi nó tới địa
chỉ cổng vào mặc định đã được chỉ định. Địa chỉ của cổng vào mặc định
là địa chỉ IP của một router. Trong trường hợp này địa chỉ IP của
router được chọn là 192.168.1.0

Chú ý rằng địa chỉ IP của
router chia sẻ cùng một địa chỉ mạng như các máy khác trong mạng cục
bộ. Sở dĩ phải như vậy để nó có thể truy cập tới các máy trong cùng
mạng. Mỗi router có ít nhất hai địa chỉ IP. Một dùng cùng địa chỉ mạng
của mạng cục bộ, còn một do ISP của bạn quy định. Địa chỉ IP này dùng
cùng một địa chỉ mạng của mạng ISP. Công việc của router khi đó là
chuyển các gói dữ liệu từ mạng cục bộ sang mạng ISP. ISP của bạn có các
router riêng hoạt động cũng giống như mọi router khác, nhưng định
tuyến đường đi cho gói dữ liệu tới các phần khác của Internet.

Kết luận

Như bạn có
thể thấy, router là thành phần mạng cực kỳ quan trọng. Không có router,
sự nối kết giữa các mạng (chẳng hạn như Internet) là không thể. Trong
phần ba của loạt bài này chúng ta sẽ thảo luận chi tiết hơn về nội dung
của giao thức TCP/IP.
Theo quản trị mạng(Theo
WindowsNetworking)

---

Phần
1 - Các thiết bị phần cứng mạng
Trong loạt bài
này chúng ta sẽ bắt đầu hoàn toàn với nội dung cơ bản về mạng máy tính
và hướng tới xây dựng một mạng thiết thực. Mở đầu là một số thảo luận
về một số thành phần mạng khác nhau và chức năng của chúng.

Bạn
đã từng thấy nhiều bài viết hướng đến mục đích dành cho các quản trị
viên, những người ít nhất có một số kinh nghiệm nào đó. Còn ở đây sẽ
chỉ là những phần cơ sở nhất hướng đến đối tượng là những người mới bắt
đầu làm quen với mạng. Trong bài đầu tiên này chúng ta sẽ thảo luận
một số thiết bị mạng khác nhau và khả năng làm được những gì của chúng.


Network Adapter (Bộ
điều hợp mạng)

Thành phần đầu tiên nên đề cập tới
trong số các thiết bị phần cứng mạng là bộ điều hợp mạng (network
adapter). Thiết bị này còn được biết đến với nhiều tên khác nhau như
network card (card mạng), Network Interface Card (card giao diện mạng),
NIC. Tất cả đều là thuật ngữ chung của cùng một thiết bị phần cứng.
Công việc của card mạng là gắn một cách vật lý máy tính để nó có thể
tham gia hoạt động truyền thông trong mạng đó.

Điều đầu tiên
bạn cần biết đến khi nói về card mạng là nó phải được ghép nối phù hợp
với phương tiện truyền đạt mạng (network medium). Network medium chính
là kiểu cáp dùng trên mạng. Các mạng không dây là một mảng khác và sẽ
được thảo luận chi tiết trong một bài riêng sau.

Để card mạng
ghép nối phù hợp với phương tiện truyền đạt mạng là một vấn đề thực sự
vì chúng đòi hỏi phải đáp ứng được lượng lớn tiêu chuẩn cạnh tranh bắt
buộc. Chẳng hạn, trước khi xây dựng một mạng và bắt đầu mua card mạng,
dây cáp, bạn phải quyết định xem liệu nên dùng Ethernet, Ethernet đồng
trục, Token Ring, Arcnet hay một tiêu chuẩn mạng nào khác. Mỗi tiêu
chuẩn mạng có độ dài và nhược điểm riêng. Phác hoạ ra cái nào phù hợp
nhất với tổ chức mình là điều hết sức quan trọng.

Ngày nay, hầu
hết công nghệ mạng được đề cập đến ở trên đều nhanh chóng trở nên mai
một. Bâu giờ chỉ có một kiểu mạng sử dụng dây nối còn được dùng trong
các doanh nghiệp vừa và nhỏ là Ethernet. Bạn có thể xem phần minh hoạ
card mạng Ethernet trong ví dụ hình A dưới đây.
Các mạng Ethernet hiện đại đều sử dụng cáp
đôi xoắn vòng 8 dây. Các dây này được sắp xếp theo thứ tự đặc biệt và
đầu nối RJ-45 được gắn vào phần cuối cáp. Cáp RJ-45 trông giống như bộ
kết nối ở phần cuối dây điện thoại, nhưng lớn hơn. Các dây điện thoại
dùng bộ kết nối RJ-11, tương phản với bộ kết nối RJ-45 dùng trong cáp
Ethernet. Bạn có thể thấy ví dụ một cáp Ethernet với đầu nối RJ-45
trong hình B.
Hub và Switch

Như bạn
đã thấy ở trên, máy tính dùng card mạng để gửi và nhận dữ liệu. Dữ
liệu được truyền qua cáp Ethernet. Tuy nhiên, thông thường bạn không
thể chỉ chạy một cáp Ethernet giữa hai PC để gọi đó là một mạng.

Với
thời đại của khả năng truy cập Internet tốc độ cao ngày nay, chắc chắn
bạn thường nghe nói đến thuật ngữ "broadband" (băng thông rộng). Băng
thông rộng là kiểu mạng trong đó dữ liệu được gửi và nhận qua cùng một
dây, còn ở Ethernet thì dùng hình thức truyền thông Baseband. Baseband
sử dụng các dây riêng trong việc gửi và nhận dữ liệu. Điều này có nghĩa
là nếu một máy tính đang gửi dữ liệu qua một dây cụ thể bên trong cáp
Ethernet thì máy tính đang nhận dữ liệu cần một dây khác được định
hướng lại tới cổng nhận của nó.

Bạn có thể xây dựng mạng cho
hai máy tính theo cách này mà người ta thường gọi là hình thức cáp
chéo. Cáp chéo đơn giản là một cáp mạng có các dây gửi và nhận ngược
nhau tại một điểm cuối để các máy tính có thể được liên kết trực tiếp
với nhau.

Vấn đề hạn chế khi dùng cáp mạng chéo là bạn không
thể thêm hay bớt một máy tính khác nào ngoài hai máy đã được kết nối.
Do đó tốt hơn so với cáp chéo, hầu hết mọi mạng đều sử dụng cáp
Ethernet thông thường không có các dây gửi và nhận ngược nhau ở cuối
đầu nối.

Tất nhiên các dây gửi và nhận phải ngược nhau ở một số
điểm nào đó để quá trình truyền thông được thực hiện thành công. Đây
là công việc của một hub hoặc switch. Hub cũng đang trở nên lỗi thời
nhưng chúng ta vẫn nên nói đến chúng. Vì hiểu về hub sẽ giúp bạn bạn dễ
dàng hơn nhiều khi nói tới switch.

Có một số kiểu hub khác
nhau nhưng thông thường nói đến hub tức là nói đến một cái hộp với một
bó cổng RJ-45. Mỗi máy tính trong mạng sẽ được kết nối tới một hub
thông qua cáp Ethernet. Bạn có thể thấy một hub có hình dáng như trong
hình C.

Hình 3: Hub là thiết bị hoạt
động như một điểm kết nối trung tâm cho các máy tính trong một mạng.

Hub
có hai nhiệm vụ khác nhau. Nhiệm vụ thứ nhất là cung cấp một điểm kết
nối trung tâm cho tất cả máy tính trong mạng. Mọi máy tính đều được cắm
vào hub. Các hub đa cổng có thể được đặt xích lại nhau nếu cần thiết
để cung cấp thêm cho nhiều máy tính.

Nhiệm vụ khác của hub là
sắp xếp các cổng theo cách để nếu một máy tính thực hiện truyền tải dữ
liệu, dữ liệu đó phải được gửi qua dây nhận của máy tính khác.

Ngay
bây giờ có thể bạn sẽ tự hỏi, làm sao dữ liệu có thể đến được đúng
đích cần đến nếu nhiều hơn hai máy tính được kết nối vào một hub? Bí
mật nằm trong card mạng. Mỗi card Ethernet đều được cung cấp một địa
chỉ vật lý MAC (Media Access Control) duy nhất. Khi một máy tính trong
mạng Ethernet truyền tải dữ liệu qua mạng có các máy PC kết nối với một
hub, thực tế dữ liệu được gửi tới mọi máy có trong mạng. Tất cả máy
tính đều nhận dữ liệu, sau đó so sánh địa chỉ đích với địa chỉ vật lý
MAC của nó. Nếu khớp, máy tính sẽ biết rằng nó chính là người nhận dữ
liệu, nếu không nó sẽ lờ dữ liệu đi.

Như bạn có thể thấy, khi
một máy tính được kết nối qua một hub, mọi gói tin đều được gửi tới tất
cả máy tính trong mạng. Vấn đề là máy tính nào cũng có thể gửi thông
tin đi tại bất cứ thời gian nào. Bạn đã từng thấy một cuộc họp mà trong
đó tất cả thành viên tham dự đều bắt đầu nói cùng một lúc? Vấn đề của
kiểu mạng này chính là như thế.

Khi một máy tính cần truyền dữ
liệu, nó kiểm tra xem liệu có máy nào khác đang gửi thông tin tại cùng
thời điểm đó không. Nếu đường truyền rỗi, nó truyền các dữ liệu cần
thiết. Nếu đã có một một máy khác đang sử dụng đường truyền, các gói
tin của dữ liệu đang được chuyển qua dây sẽ xung đột và bị phá huỷ (đây
chính là lý do vì sao kiểu mạng này đôi khi được gọi là tên miền xung
đột). Cả hai máy tính sau đó sẽ phải chờ trong một khoảng thời gian
ngẫu nhiên và cố gắng truyền lại các gói tin đã bị phá huỷ của mình.

Số
lượng máy tính trên tên miền xung đột ngày càng tăng khiến số lượng
xung đột cũng tăng. Do số lượng xung đột ngày càng tăng nên hiệu quả
của mạng ngày càng giảm. Đó là lý do vì sao bây giờ gần như switch đã
thay thế toàn bộ hub.

Một switch (bạn có thể xem trên hình D),
thực hiện tất cả mọi nhiệm vụ giống như của một hub. Điểm khác nhau chỉ
là ở chỗ, khi một PC trên mạng cần liên lạc với máy tính khác, switch
sẽ dùng một tập hợp các kênh logic nội bộ để thiết lập đường dẫn logic
riêng biệt giữa hai máy tính. Có nghĩa là hai máy tính hoàn toàn tự do
để liên lạc với nhau mà không cần phải lo lắng về xung đột.


Hình 4: Switch trông
giống hệt như hub nhưng hoạt động khác hơn nhiều.

Switch
thực sự nâng cao được đáng kể hiệu quả của mạng. Bởi chúng loại trừ
xung đột và còn nhiều hơn thế, chúng có thể thiết lập các đường dẫn
truyền thông song song. Chẳng hạn khi máy tính A đang liên lạc với máy
tính B thì không có lý do gì để máy tính C không đồng thời liên lạc với
máy tính D. Trong một tên miền xung đột (collision domain), các kiểu
truyền thông song song này là không thể bởi vì chúng sẽ dẫn đến xung
đột.

Kết luận

Trong
bài này chúng ta đã thảo luận về một số thành phần cơ bản để tạo một
mạng đơn giản. Trong phần hai chúng ta vẫn sẽ tiếp tục quan tâm đến các
thiết bị phần cứng mạng cơ bản. Xin mời các bạn tiếp tục đón xem ở
phần sau.

tài liệu học lớp MCSA:
[You must be registered and logged in to see this link.]