Chuyên đề Nghiệp vụ quản trị mạng với Windows Server 2003 tại Chi nhánh Ngân hàng Công thương khu vực Ba Đình

hông tin về đối tượng đó. Một đối tượng người dung sẽ có các thông tin mô tả tên tài khoản người dùng đó, mật khẩu, địa chỉ, số điện thoại, và các thông tin nhận dạng khác. Một đối tượng nhóm sẽ có một thuộc tính cho biết danh sách các người dùng là thành viên của nhóm đó. Người quản trị mạng có thể sử dụng Active Directory để chứa bất kỳ thông tin nào về các người dùng trong tổ chức và các tài nguyên khác. Bên cạnh các thuộc tính thuần túy thông tin, các đối tượng còn có thuộc tính thực hiện các chức năng quản trị. Ví dụ như một danh sách Kiểm soát truy nhập chỉ định ai có các Cấp phép truy nhập đến đối tượng đó. Các container và leaves (đối tượng chứa và đối tượng lá) Active Directory có khả năng chứa hàng triệu đối tượng và do đó phải có một phương thức tổ chức các đối tượng đó thành các đơn vị nhỏ hơn trong miền. Để tổ chức quản lý các đối tượng như vậy, Active Directory sử dụng các cấu trúc phân cấp. Một miền được gọi là một đối tượng chứa bởi vì các đối tượng khác có thể được tạo ra và phân cấp trong miền. Một đối tượng không thể chứa các đối tượng khác. Một trong các tác vụ khó nhất và phức tạp nhất trong việc quản trị Active Directory là tạo ra kiến trúc phân cấp các OU sao cho hiệu quả nhất. Người quản trị có thể sử dụng rất nhiều cách để thiết kế cấu trúc phân cấp OU như theo phòng ban, theo chức năng… Nhóm cũng là một đối tượng chứa nhưng nó không phải là một thành phần của cấu trúc phân cấp bởi vì các thành viên của nhóm có thể nằm ở bất kỳ đâu trong miền. Để thực hiện đúng chức năng tổ chức, các đối tượng chứa đồng thời phải đóng vai trò quan trọng trong việc quản trị các đối tượng. trong một hệ thống file các cấp phép được áp dụng trên các đối tượng được truyền từ trên xuống dưới theo cấu trúc phân cấp. Đây là một trong những tính năng cơ bản trong cấu trúc phân cấp mà người quản trị có thể áp dụng một cách hiệu quả. Thay vì gán các quyền và cấp phép cho từng người dùng, người quản trị có thể gán các quyền và cấp phép này cho các đối tượng chứa và đối tượng người dùng trong nó sẽ được thừa hưởng các Quyền và Cấp phép cần thiết. Các chính sách nhóm Do cách thức thừa hưởng các thiết lập từ đối tượng mức cha truyền xuống mức con, người quản trị có thể sử dụng các OU để gom các đối tượng cần cấu hình tương tự nhau. Các thiết lập mà cấu hình mà bạn áp dụng đến từng máy tính chạy trong Windows cũng có thể được quản trị một cách tập trung nhờ sử dụng một tính năng của Active Directory gọi là chính sách nhóm (Group Policy). Các chính sách nhóm cho phép bạn xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và cách thức hoạt động của các ứng dụng trên một máy tính mà không phải thực hiện trực tiếp trên máy tính đó. Người quản trị có thể thiết lập các tùy chọn cấu hình trên một đối tượng đặc biệt của Active Directory gọi là đối tượng chính sách nhóm (Group Policy Object - GPO) sau đó kết nối các GPO này vào các đối tượng trong Active Directory chứa các máy tính hoặc người dùng mà người quản trị muốn cấu hình. GPO là tập hợp của rất nhiều các thiết lập cấu hình, từ quyền đăng nhập của người dùng đến quyền sửu dụng các phần mềm được cho phép hoạt động trong hệ thống. Ta cũng có thể gắn các GPO này với mọi đối tượng chứa trong Active Directory như Miền, Sites, hoặc OU và các máy tính và người dùng trong các đối tượng chứa đó sẽ nhận được các chính sách, các thiết lập cấu hình trong GPO. Trong hầu hết các trường hợp, người quản trị mạng có thể thiết kế cấu trúc phân cấp sao cho có thể áp dụng các GPO một cách hiệu quả nhất bằng cách đặt các máy tính có vai trò xác định vào cùng một OU, bạn có thể gán một GPO có các thiết lập đặc biệt dựa trên vai trò của các máy tính đó vào OU này và như thế là đã cấu hình được 1 lúc nhiều máy tính. CHƯƠNG 3. QUẢN TRỊ MẠNG VỚI WINDOWS SERVER 2003 TẠI CHI NHÁNH NGÂN HÀNG CỒNG THƯƠNG KHU VỰC BA ĐÌNH Khảo sát hạ tầng mạng Khảo sát hạ tầng mạng tại Ngân hàng Công thương Việt Nam Từ tháng 11 năm 2007, Ngân hàng Công thương Việt Nam đã nâng cấp hệ thống mạng của mình từ sử dụng Windows Server 2000 lên Windows Server 2003 Ngân hàng Công thương Việt Nam là một trong 4 Ngân hàng thương mại Nhà nước lớn nhất Việt Nam, có hệ thống chi nhánh phân bố khắp tất cả các tỉnh thành trên cả nước. Với một quy mô hoạt động lớn như vậy, hệ thống thông tin của Vietinbank đã được đầu tư khá phức tạp và là cả một quá trình liên tục đổi mới, phát triển về chiều rộng lẫn chiều sâu.  Nhận thức được nhu cầu trong việc tăng hiệu quả đầu tư và quản lý công nghệ thông tin (CNTT) nền tảng, với sự tư vấn của Microsoft và Intel, cuối năm 2004 NHCTVN đã quyết định và chuyển đổi thành công từ hệ điều hành Sun Solaris sang hệ điều hành Microsoft Windows 2000 tới hầu hết các chi nhánh trên cả nước. Ban Lãnh đạo Vietinbank đã quyết định hoàn thiện và tối ưu cơ sở hạ tầng CNTT ra ngoài phạm vi của hệ điều hành Windows Server để tăng sức mạnh cạnh tranh cho nhân viên. Quyết định này dựa trên thực trạng chung của các doanh nghiệp ngân hàng là hệ thống CNTT phân tán, không đồng bộ và không được quản lý tốt. Với một ngân hàng lớn vào hạng nhất tại Việt Nam, các sản phẩm, dịch vụ ngân hàng cung cấp cho khách hàng khá phong phú nhưng lại được đầu tư rải rác thông qua rất nhiều sản phẩm ứng dụng của các hãng lớn khác nhau. Chính điều này đã khiến việc sử dụng cũng như quản trị gặp nhiều khó khăn do mỗi ứng dụng hay mỗi máy chủ lại yêu cầu một tài khoản người dùng khác nhau. Hiện tượng mượn mật khẩu truy nhập của nhau thỉnh thoảng xảy ra gây nên khó khăn trong việc quản lý bảo mật thông tin. Để đáp ứng yêu cầu về dịch vụ Ngân hàng, tại mỗi chi nhánh đều có ít nhất 2 máy chủ, nhưng vì các chi nhánh phân bổ đến khắp các tỉnh thành trên cả nước, nên việc quản trị tập trung tại trung ương gặp nhiều khó khăn do khó có thể xử lý kịp thời các sự cố xảy ra trên toàn hệ thống, khiến việc giao dịch bị ngưng trệ, gây nhiều tổn thất cho Ngân hàng và làm giảm lòng tin của khách hàng. Cũng với hệ thống phân tán như vậy, việc quản lý máy trạm gần như không được thực hiện, người sử dụng vốn không có kiến thức về CNTT tốt đã thực hiện nhiều thay đổi tùy tiện trên máy trạm, làm giảm tính ổn định của các máy trạm này, giảm năng suất làm việc của nhân viên cũng như tăng gánh nặng hỗ trợ kỹ thuật của đội ngũ CNTT. Ngoài ra, nhận thức chưa tốt của người sử dụng cũng như quản trị hệ thống ở các chi nhánh trong việc khai thác hệ thống dẫn đến việc một số chính sách về bảo mật không được tuân thủ cũng gây ra khá nhiều khó khăn cho quản trị hệ thống nói chung. Đối với một tổ chức hoạt động trong lĩnh vực tài chính ngân hàng thì hệ thống CNTT luôn là nền tảng cốt lõi để đảm bảo hoạt động của tổ chức và là yếu tố đầu tiên mà tổ chức cân nhắc đầu tư khi mở rộng các dịch vụ hay quy mô hoạt động. Với thực trạng như trên, rõ ràng hệ thống thông tin hiện tại không đáp ứng được nhu cầu hiện tại của ngân hàng, và phần nào là rào cản đối với sự phát triển của ngân hàng. Lãnh đạo Ngân hàng đã đặt ra một số yêu cầu nhằm nâng cao chất lượng hệ thống CNTT hiện tại. Đội ngũ CNTT đã làm việc chặt chẽ với các chuyên gia tư vấn Microsoft trong cũng như ngoài nước, quyết tâm triển khai thành công mô hình Tối ưu hóa Cơ sở Hạ tầng (Infrastructure Optimization) của Microsoft. Theo mô hình này, không phụ thuộc vào việc sử dụng công nghệ nào, khách hàng đều cần triển khai các dịch vụ hết sức căn bản như: Quản trị Tài khoản Người sử dụng, Quản trị Cấu hình Máy chủ và Máy trạm, Quản trị Vận hành và Chất lượng Dịch vụ trên Máy chủ, Quản trị Bảo mật,... cũng như tăng cường năng suất làm việc của người sử dụng thông qua việc xây dựng một hệ thống email hoàn chỉnh, ổn định. Cụ thể hơn về mặt công nghệ, các yêu cầu này có thể hiểu là: Làm thế nào để sử dụng một tài khoản duy nhất trong khai thác hệ thống, giúp người dùng cũng như nhà quản trị dễ dàng hơn trong việc sử dụng hệ thống, nâng cao năng suất làm việc của người sử dụng; Xây dựng các chính sách về bảo mật, ... Ai cũng biết là hệ thống Microsoft luôn là mục tiêu tấn công của virus, hacker..., do vậy khi chuyển toàn bộ hệ thống sang Microsoft cũng như xây dựng các dịch vụ mới trên nền tảng này, cần có một chính sách về bảo mật được áp chặt chẽ tới từng máy chủ, máy trạm và người dùng, bảo đảm sự ổn định của hệ thống, nhằm khai thác tối đa năng suất làm việc của nhân viên; Làm sao để theo dõi và khắc phục kịp thời sự cố máy chủ: Với hệ thống máy chủ phân tán, chạy nhiều ứng dụng và dịch vụ, phải có một cách quản lý tự động, giúp nhanh chóng phát hiện và xử lý kịp thời các sự cố xảy ra trong hệ thống, nhằm giảm thiểu tối đa thời gian ngừng máy, đồng thời phải có một báo cáo hàng tuần về hệ thống máy chủ làm cơ sở cho việc thay thế, nâng cấp hàng năm; Quản lý hệ thống máy trạm như thế nào để ngăn chặn những sơ hở về bảo mật từ người dùng. Triển khai các ứng dụng đến người dùng cuối như thế nào để đảm bảo tính nhất quán, hiệu quả, tiết kiệm thời gian và nhân lực cho việc đi đến từng chi nhánh để triển khai? Để đáp ứng các yêu cầu trên, giải pháp đưa ra là triển khai hệ thống quản trị tài khoản người sử dụng trên nền tảng Windows Server Active Directory (AD), phần mềm quản trị vận hành máy chủ Microsoft Operations Manager (MOM) 2005 và phần mềm quản lý cấu hình máy chủ/máy trạm Microsoft System Management Server (SMS) 2003. Sau khi đưa vào triển khai các sản phẩm trên, hệ thống đã được cải thiện rõ rệt về nhiều mặt. Việc đưa các Domain Controllers vào hệ thống thực chất không làm thay đổi cơ sở hạ tầng sẵn có của hệ thống mạng, không làm ảnh hưởng đến các ứng dụng Ngân hàng và không gây ra bất kỳ tác động xấu nào cho các hoạt động hiện tại Đối với việc khai thác hệ thống: mỗi người dùng login vào AD bằng một tài khoản duy nhất và có thể sử dụng được các tài nguyên trong AD do người quản trị cấp phép với tài khoản đó. Với chỉ một hệ thống tài khoản người sử dụng duy nhất, người quản trị có thể dễ dàng phân quyền, cấp phép cho người dùng truy cập vào bất kỳ tài nguyên nào thuộc AD, khi triển khai các phần mềm hoặc ứng dụng mới người quản trị có thể tận dụng luôn tài khoản sẵn có trong AD mà không cần phải lo tạo tài khoản mới như trước kia. Ngoài ra, các máy chủ hay máy trạm sau khi tham gia vào AD sẽ được áp những chính sách về bảo mật như tự động cập nhật các bản vá lỗi bảo mật cho Windows, các chính sách mật khẩu..., người quản trị cũng dễ dàng hơn trong việc áp những chính sách bảo mật nhất quán và cần thiết về phía người dùng, nâng cao khả năng bảo mật trên toàn hệ thống. Đối với vấn đề theo dõi vận hành và xử lý sự cố máy chủ bằng sản phẩm MOM 2005: các thông tin về hệ thống máy chủ hay máy trạm được gửi về máy chủ trung ương giúp người quản lý có thể dễ dàng theo dõi được toàn bộ hệ thống của mình, từ đó có thể đưa ra những điều chỉnh nhằm tối ưu hệ thống hiện tại. Ngoài ra, khi có bất kỳ sự cố nào xảy đến với máy chủ tại chi nhánh hoặc các máy chủ ứng dụng quan trọng đặt tại trung ương, MOM gửi email hoặc tin nhắn đến người quản trị có trách nhiệm liên quan, giúp nhanh chóng khắc phục tức thời sự cố hiện tại, hoặc MOM cũng có thể tự động đưa ra những xử lý theo một kịch bản lập sẵn. Mỗi khi muốn triển khai phần mềm hay ứng dụng đến tất cả hay một nhóm các máy tính trong hệ thống, người quản trị có thể dùng SMS để tự động triển khai phần mềm, ứng dụng đến nhóm máy tính theo yêu cầu. Công cụ này giảm bớt chi phí triển khai vì không mất thời gian đi đến từng máy trạm, cũng như đảm bảo yêu cầu về mặt tiến độ mỗi khi có yêu cầu triển khai một ứng dụng của một nghiệp vụ mới lên tất cả các máy tính trên toàn hệ thống. Đối với vấn đề an toàn – bảo mật, triển khai AD giúp hệ thống nâng cao mức bảo mật lên một tầm cao mới. Các máy tính sau khi tham gia AD sẽ bị áp chính sách về tự động cập nhật những bản vá lỗ hổng về bảo mật, không cho người sử dụng tùy tiện thay đổi cấu hình trên máy trạm; người dùng phải tuân thủ những chính sách về mật khẩu, buộc người sử dụng phải nâng cao ý thức trong việc giữ mật khẩu của mình. Một trong những công cụ bảo mật quan trọng nữa được triển khai là IPSec. Đây là tính năng có sẵn trong Windows, giúp mã hóa toàn bộ thông tin truyền qua mạng giữa các máy với nhau, khiến các chương trình bắt gói tin qua mạng để lấy các thông tin nhạy cảm của người dùng như password, các giao dịch của ứng dụng ngân hàng... bị vô hiệu hóa hoàn toàn. IPSec cũng đảm bảo việc ngăn chặn máy tính của khách lạ thâm nhập bất hợp pháp vào mạng thông tin của Ngân hàng, bởi lẽ chỉ có các máy tính do chính tay các cán bộ CNTT của Ngân hàng cài đặt mới có thể truy xuất được vào máy chủ để làm việc. Với tất cả các dịch vụ CNTT trên đây, mức độ bảo mật của toàn hệ thống được nâng cao, hệ thống máy chủ và máy trạm được đưa vào trong vòng kiểm soát chặt chẽ của đội ngũ CNTT, giảm thiểu những tổn thất không đáng có, tạo tiền đề cho việc mở rộng và nâng cấp trong tương lai để theo kịp với nhu cầu phát triển không ngừng của Ngân hàng, người sử dụng có thêm nhiều dịch vụ CNTT có giá trị và chất lượng cao, uy tín và giá trị của Trung tâm CNTT ngày càng được nâng lên dưới con mắt của lãnh đạo Ngân hàng, của nhân viên Ngân hàng. Điều này đã và đang khẳng định phương hướng đầu tư CNTT đúng đắn trên nền tảng công nghệ Microsoft, tăng uy tín, tăng chất lượng dịch vụ và tăng sức cạnh tranh của Ngân hàng trên thương trường. Hạ tầng mạng tại Chi nhánh Ngân hàng Công thương khu vực Ba Đình Toàn bộ hệ thống mạng của Chi nhánh gồm có 3 Server và 160 máy tính phân bố ở các phòng ban. Hệ thống sử dụng 1 switch layer 3 450T 24 cổng và 6 switch layer 2-450T 24 cổng. 3 Server gồm có 1 server chính, 1 dự phòng và 1 để dùng cho các ứng dụng. Hệ thống được cài đặt Active Directory kiểu member trên toàn hệ thống mạng của Ngân hàng Công thương Việt Nam. Các Server ở các chi nhánh đóng vai trò duy trì hoạt động của tất cả máy tính trong mạng của chi nhánh và trung chuyển những số liệu giao dịch về cho Trung tâm Công nghệ thông tin của Ngân hàng Công thương Việt Nam tại 108 Trần Hưng Đạo. Do hệ thống quản trị được cài theo kiểu AD áp dụng trên toàn hệ thống mạng của Ngân hàng Công thương xuống đến các chi nhánh và các điểm giao dịch nên có thể xem như mỗi mạng của chi nhánh được bảo mật và ngăn chặn truy cập không cho phép bởi 2 lớp Firewall như sơ đồ sau: Sơ đồ mạng máy tính của Chi nhánh Ngân hàng Công thương khu vực Ba Đình: Về hệ thống truyền thông: Hệ thống sử dụng bộ kích và router đời mới, cáp đồng 2MBps từ hệ thống đến các điểm giao dịch là đường truyền Leasedline 128Kbps. Ngoài ra hệ thống mạng của Ngân hàng Công thương còn sử dụng 1 đường truyền dự phòng. Đường truyền chính hiện nay đang thuê của VNPT còn đường truyền phụ của FPT là đường dây cáp quang. Ngoài ra chi nhánh Ba Đình trực tiếp quản lý 13 máy ATM. 13 máy này được nối với hệ thống mạng của chi nhánh với 13 đường truyền 64kbps. Quản trị hệ thống Active Directory Kế hoạch triển khai AD tại Ngân hàng Công thương Việt Nam Sau một thời gian dài tiến hành nghiên cứu và thử nghiệm, Trung tâm CNTT đã chứng minh được tính khả thi của hệ thống AD và các công cụ quản lý hệ thống của hãng Microsoft đối với NHCTVN. Dự án đã được Ban lãnh đạo NHCTVN đánh giá cao và đồng ý triển khai diện rộng trong toàn hệ thống NHCTVN. Với quy mô lớn, hệ thống thông tin của Ngân hàng được đầu tư phức tạp với các đặc điểm sau: - Hệ thống chạy nhiều ứng dụng: Do yêu cầu phong phú về các sản phẩm dịch vụ, Ngân hàng đầu tư khá nhiều vào các ứng dụng của nhiều hãng lớn, khiến việc sử dụng cũng như quản trị gặp nhiều khó khăn do mỗi ứng dụng hay mỗi máy chủ lại yêu cầu một tài khoản người dùng khác nhau. - Hệ thống máy chủ nhiều và phân tán: Do yêu cầu về dịch vụ Ngân hàng, tại mỗi chi nhánh đều có ít nhất 2 máy chủ, với hệ thống các chi nhánh phân bổ đến khắp các tỉnh thành trên cả nước, việc quản trị tại trung ương gặp nhiều khó khăn do khó có thể xử lý kịp các sự cố xảy ra trên toàn hệ thống, khiến việc giao dịch bị ngưng trệ, gây nhiều tổn thất cho Ngân hàng. Với hệ thống phân tán, việc quản lý máy trạm gần như không được thực hiện, tính ổn định cho các máy trạm không được đảm bảo cho người sử dụng, làm giảm hiệu suất làm việc của nhân viên. Nhận thức của người sử dụng chưa tốt trong việc khai thác hệ thống, một số chính sách về bảo mật không tuân thủ, việc sử dụng hệ thống tuỳ tiện của người dùng cũng tạo ra nhiều rủi ro về bảo mật thông tin và gây khó khăn cho người quản trị hệ thống. Việc xem xét, lựa chọn cấu trúc AD đã dựa trên phân cấp quản lý và cấu hình hệ thống mạng WAN của NHCTVN. Về cấp quản lý hệ thống, NHCTVN có 1 Hội sở chính và 137 chi nhánh, các chi nhánh dưới sự quản lý trực tiếp của Hội sở chính. Về cấu hình hệ thống mạng WAN, các chi nhánh đều có đường kết nối về trung tâm miền tại Hà Nội, Đà Nẵng và TP. Hồ Chí Minh trước khi nối về Hội sở. Do vậy, để có thể quản lý toàn bộ hệ thống một cách hiệu quả, dễ dàng, TTCNTT chia các chi nhánh theo từng vùng, mỗi vùng là một tên miền, riêng Hội sở có một tên miền riêng. Như vậy, cấu trúc AD của NHCTVN được chia làm 5 domain: - 1 domain gốc : icbv.com - 4 domain con: hq.icbv.com, north.icbv.com, middle.icbv.com và south.icbv.com. Những lợi ích của triển khai hệ thống AD: Việc triển khai hệ thống AD và các công cụ quản lý của hãng Microsoft sẽ mang lại rất nhiều lợi ích cho NHCTVN. Cụ thể là: Việc triển khai Active Directory giúp: - Sử dụng một tài khoản duy nhất trong khai thác hệ thống: Giúp người dùng cũng như nhà quản trị dễ dàng hơn trong việc sử dụng hệ thống, nâng cao hiệu quả làm việc của từng người. - Phân quyền: Với chỉ một hệ thống users, người quản trị có thể dễ dàng phân quyền, cấp phép cho người dùng truy cập vào bất kỳ tài nguyên nào thuộc AD, khi triển khai các phần mềm hoặc ứng dụng mới người quản trị có thể tận dụng luôn account có trong AD mà không cần phải lo tạo account mới như trước kia. - Đảm bảo về bảo mật: Hệ thống Microsoft luôn là mục tiêu tấn công của virus, hacker... do vậy, khi chuyển toàn bộ hệ thống sang Microsoft, yêu cầu phải có một chính sách về bảo mật được áp dụng chặt chẽ tới từng máy chủ, máy trạm và người dùng, bảo đảm sự ổn định của hệ thống, nhằm khai thác tối đa năng suất làm việc của nhân viên. - Theo dõi và khắc phục kịp thời sự cố máy chủ: Với hạ thống máy chủ phân tán, chạy nhiều ứng dụng và dịch vụ, phải có một cách quản lý tự động, giúp nhanh chóng phát hiện và xử lý kịp thời các sự cố xảy ra trong hệ thống, nhằm giảm thiểu tối đa thời gian ngừng máy, đồng thời phải có một báo cáo hàng tuần về hệ thống máy chủ làm cơ sở cho việc thay thế, nâng cấp hàng năm. - Quản lý chặt chẽ hệ thống máy trạm: Để đảm bảo cho hệ thống ổn định, ngoài việc quản lý máy chủ, đòi hỏi cũng phải có một chính sách chặt chẽ trong việc sử dụng các máy trạm của người dùng cuối, nhằm ngăn chặn những sơ hở về bảo mật từ người dùng. Ngoài ra, vệc triển khai các ứng dụng đến người dùng cuối cũng phải có cơ chế để triển khai tự động từ trung ương, đảm bảo tính nhất quán, hiệu quả, tiết kiệm thời gian và nhân lực cho việc đi đến từng chi nhánh để triển khai. Các dịch vụ tương lai trên nền tảng hệ thống AD: Việc triển khai AD thành công sẽ là một bước tiến quan trọng trong việc quản lý cơ sở hạ tầng hệ thống Công nghệ thông tin. AD là một hệ thống lớn rất phổ biến và được sử dụng rộng rãi trên toàn thế giới. Điều quan trọng là hầu hết các ứng dụng CNTT hiện nay trên thế giới đều có thành phần chấp nhận việc bắt tay với hệ thống AD để quản lý người dùng. Tại Ngân hàng Công thương Việt Nam, hệ thống thư điện tử đã bắt tay với hệ thống AD việc tạo tài khoản người dùng, xác thực và cấp quyền truy cập thư điện tử được thực hiện trên hệ thống AD. Hiện nay, Trung tâm CNTT đang áp dụng một hệ thống quản lý công văn. Hệ thống này cũng đã bắt tay với AD trong việc quản lý tài nguyên hệ thống và người truy cập. TTCNTT đang tiến hành triển khai thử nghiệm hệ thống NAC (Network Admission Control) - một giải pháp mới của hãng Cisco giúp kiểm soát mọi máy tính truy cập vào hệ thống mạng. NAC có thể coi như một chiếc máy soi an ninh sân bay để kiểm tra hành khách có mang theo vật dụng nguy hiểm hay không. NAC có cơ chế làm việc cùng hệ thống AD, MOM và SMS trong việc kiểm tra các máy tính mới kết nối vào mạng của NHCT VN. Tất cả các máy móc thiết bị kết nối mạng chưa đảm bảo các tiêu chuẩn về mặt an ninh (do NHCTVN quy định) đều bị chặn lại hoặc cô lập và thông báo với người quản trị. Máy bị cô lập sẽ phải cập nhật đầy đủ và sau đó xác thực trước khi được truy xuất vào các tài nguyên của NHCTVN. Thực tế là chất lượng dịch vụ bắt nguồn từ bên trong chính doanh nghiệp, đặc biệt là đối với kinh doanh tài chính. Sự tiện lợi, an toàn và bảo mật của các dịch vụ phải nhìn từ việc áp dụng công nghệ thông tin và việc quản lý cơ sở hạ tầng công nghệ thông tin như thế nào. Chỉ có sự tối ưu trong việc quản lý cơ sở hạ tầng công nghệ thông tin mới mang lại được những dịch vụ tài chính có chất lượng. AD là bước quan trọng tiếp theo trong chiến lược phát triển về CNTT của NHCTVN. Hoàn thành việc triển khai AD sẽ tạo ra bước tiến quan trọng trong việc tạo ra sự tối ưu đó. Triển khai Active Directory tại Chi nhánh Ngân hàng Công thương Việt Nam khu vực Ba Đình Nhằm mục đích nâng cao khả năng quản trị hệ thống,đảm bảo an toàn, sử dụng và quản lý tài nguyên của hệ thống, Ngân hàng Công thương Việt Nam đã bước đầu triển khai hệ thống Active Directory từ năm 2005 tại Trụ sở chính, Trung tâm CNTT và kế hoạch triển khai đến toàn bộ các chi nhánh Ngân hàng Công thương trong năm 2007 và đầu năm 2008. Tiến tới mô hình quản lý tập trung và cụ thể tới tận từng người sử dụng, từng máy tính trong mạng. Trong nền kinh tế ngày nay, lòng trung thành của khách hàng phụ thuộc vào thời gian đáp ứng, tính an toàn và chất lượng dịch vụ. Đối với các dịch vụ tài chính, các yêu cầu này đang ngày càng phụ thuộc vào hệ thống công nghệ thông tin (CNTT). Một trong những tiêu chuẩn là doanh nghiệp phải có một hệ thống hạ tầng CNTT được xây dựng thống nhất, đáp ứng được nhu cầu mở rộng và cấu trúc sao cho có thể triển khai các ứng dụng khác nhau một cách nhanh chóng. Nắm bắt được vấn đề này, Ngân hàng Công thương Việt Nam (NHCTVN) đã sớm quan tâm và đầu tư rất nhiều cho CNTT. Cùng với việc triển khai thành công kiến trúc SONA (Service Oriented Network Architechture) - kiến trúc mạng hướng dịch vụ của hãng Cisco. Trong SONA, các ứng dụng được đẩy xuống hạ tầng mạng tạo thành tầng dịch vụ nằm trên hệ thống mạng, phục vụ trực tiếp cho các ứng dụng mới mọc ra trên tầng Application. SONA là một thiết kế tổng thể, là bộ khung cho hệ thống CNTT. Với bộ khung đó, NHCTVN thực hiện bước lớn tiếp theo là triển khai hệ thống AD và các công cụ quản lý hệ thống của Hãng Microsoft. Đây là bước quan trọng nhằm xây dựng một hệ thống quản lý hệ thống, quản lý thông tin và tri thức trong nội bộ của NHCTVN. Chuyển đổi Hệ điều hành máy chủ lên Windows Server 2003: Kế tiếp việc chuyển đổi nâng cấp Hệ điều hành của các máy chủ ứng dụng tại các chi nhánh lên hệ thống Windows Server 2003 là một yếu tố tất yếu, kèm theo đó là các ứng dụng cũng nâng cấp lên theo các phiên bản mới hơn. Ưu điểm của hệ điều hành mới là sẽ hoạt động ổn định hơn, bảo mật tốt hơn so với Windows 2000 Advance. Các phần mềm ứng dụng cũng nâng cấp gồm: Oracle 901.1 + patch 901.5 MSSQL Server 2005 + SP2 My SQL 4.1.22 Script Backup (cho phần Database) WSUS 3.0 Officescan 8.0 Phần backup Database giữa máy chủ SRV1 và SRV2 cũng đã hoàn thiện việc Replicate Online giữa 2 server giúp cho việc khắc phục sự cố nhanh chóng hơn. Việc phân chia quyền hạn được thiết lập chặt chẽ hơn, các dịch vụ cũng được tối ưu hóa nhằm nâng cao sự hoạt động ổn định của máy chủ. Hiện nay, mỗi chủng loại Server sẽ có 1 bản Image riêng (DELL 6800, NCR4490, NCR 4475, S29, S28). Sau năm 2007, tất cả các máy chủ tại chi nhánh (máy chủ ứng dụng và các máy chủ Domain, virus…) sẽ chuyển đổi lên phiên bản Windows 2003R2 và gia nhập Domain của Ngân hàng Công thương Việt Nam. Mô hình AD tại các chi nhánh: Mỗi chi nhánh sẽ phải cài đặt thêm 2 máy chủ riêng biệt cho hệ thống AD để phục vụ cho việc xác thực các users tại các chi nhánh và dự phòng cho nhau. Các Server sẽ được Replicate với nhau và replicate với các domain vùng tương ứng. Tại các chi nhánh, PC của các chi nhánh sẽ phải trỏ đến địa chỉ DNS các máy chủ AD tại các chi nhánh để xác thực, hệ thống sẽ tự động xác thực trên 1 trong 2 server, địa chỉ IP của các server này thuộc lớp máy chủ và có địa chỉ từ 172.xxx.yy.51 đến 172.xxx.yy.54 và tùy thuộc vào máy đó là máy ảo hay PC. Việc xác thực của các Users trong qúa trình login vào máy PC và kiểm tra email cũng trên 2 máy chủ AD này. Các PC trong chi nhánh và Server ứng dụng tại các chi nhánh sẽ là member của Domain. Máy chủ Domain có lưu các bản ghi về Computer name và Users của từng người sử dụng trên hệ thống, đồng thời các máy chủ AD tại chi nhánh cũng được cài đặt các dịch vụ mạng như DNS, WINS, DHCP servers cho chi nhánh. Do vậy, các DC tại mỗi chi nhánh có tầm quan trọng rất lớn, nếu 1 trong 2 server bị lỗi thì sẽ gây ảnh hưởng trực tiếp đến chi nhánh đó và nếu cả 2 server cùng bị lỗi thì ảnh hưởng trực tiếp đến việc đăng nhập, xác thực của toàn bộ chi nhánh. Cây thư mục AD tại Chi nhánh Ngân hàng Công thương khu vực Ba Đình 2.2.1 Các công việc thực hiện khi triển khai AD Tạo các tài khoản cho người sử dụng tại chi nhánh Trước đây, việc sử dụng tài nguyên trên các PC và server là sử dụng tài khoản Users trên chính các máy đó (Local). Với cơ chế đó, mỗi người sử dụng sẽ phải nhớ rất nhiều User và Password khác nhau. Một số ứng dụng đều sử dụng chung User để sử dụng tài nguyên, chạy chương trình nên đôi khi rất khó khăn cho người sử dụng. Đối với người quản trị hệ thống, trên mỗi máy chủ có ít nhất 5 – 7 tài khoản khác nhau và với số lượng các chi nhánh và máy chủ như hiện nay thì người quản trị sẽ phải nhớ đến hàng ngàn tài khoản khác nhau. Do vậy hệ thống AD giúp chúng ta chỉ cần sử dụng 1 tài khoản duy nhất và 1 lần Login duy nhất để sử dụng tài nguyên mạng và thực hiện tất cả các công việc của mình (theo quyền hạn được cấp) như: truy cập vào máy tính, sử dụng tài nguyên trên server, truy cập hệ thống Email,… Khi đó mỗi người sử dụng sẽ phải có 1 tài khoản riêng và được cấp phát và quản lý tại TTCNTT của Ngân hàng Công thương Việt Nam. Kiểm tra sự ổn định của các máy PC Khi tiến hàng triển khai AD đến chi nhánh thì các yếu tố rất quan trọng cần để ý trong quá trình thực hiện là: Độ ổn định của các máy PC cả về phần cứng lẫn phần mềm. Hệ điều hành đang cài đặt trên PC đó có sử dụng đúng bản quyền do NHCTVN cấp hay không. Đối với các máy sử dụng OS không có bản quyền sẽ gây ra một số lỗi sau khi gia nhập Domain. Các máy PC sau khi cài đặt (Ghost) có được kiểm tra lại cấu hình SID hay không. Do mỗi máy có một cấu hình SID khác nhau nên nếu Ghost lại mà không cấu hình lại thì cũng sẽ gây ra một số lỗi. Đối với các Domain trong WORKGROUP thì có thể không thấy lỗi nhưng khi gia nhập Domain thì mỗi máy PC là một đối tượng riêng và sẽ có các thông số định danh riêng. Do vậy phải tiến hành kiểm tra trước các tham số trên trước khi gia nhập máy tính vào Domain. Kiểm tra kết nối Việc kiểm tra kết nối bao gồm: kiểm tra việc cấu hình và nhận địa chỉ mạng của PC đó. Nếu PC cấu hình địa chỉ IP Static thì phải khai báo đầy đủ tham số như: IP Subnet Mask Gateway DNS WINS Trường hợp cấu hình PC nhận địa chi động từ DHCP thì các tham số sẽ được cấu hình tự động, kiểm tra bằng câu lệnh: ipconfig/all Kiểm tra kết nối máy tính đó với các máy chủ hiện tại xem đã có kêt nối hay chưa. Kiểm tra các tính năng firewall trên client và thử tính năng share đơn giản từ client đến server như: \\ctxxxsvr1... Trong cửa sổ Run… hoặc sử dụng các câu lệnh cmd như: netview, netshare… Gia nhập máy tính vào trong mạng domain (Join domain) Kiểm tra các PC sau khi gia nhập Domain Kiểm tra các việc phân quyền PC sau khi gia nhập domain Sau khi gia nhập hệ thống domain, việc phân chia quyền hạn và quản lý sẽ phụ thuộc vào các users trên domain, các tài khoản trên local sẽ không sử dụng (trừ user Administrator sẽ tự động rename thành ICBAdmin và mật khẩu sẽ vẫn giữ nguyên và dành cho bộ phận điện toán sử dụng xử lý những sự cố). Việc quản lý quyền admin trên các máy PC là bộ phận điện toán kiểm soát và không được cấp cho người sử dụng nếu không cần thiết để tránh việc tự ý cài đặt các ứng dụng và gây lây lan virus. Do vậy quyền hạn của nhóm ctxxx_Admin (nhóm Admin dành cho điện toán chi nhánh) trên domain cần phải Add vào Group Administrator của PC chi nhánh. Mỗi khi User đăng nhập vào máy tính nào đó thì sẽ có 1 Profile riêng nên theo mặc định, các User có quyền login vào các máy khác và sẽ tự động tạo ra một Profile khác. Kiểm tra các phần mềm, chính sách sau khi gia nhập domain: Sau khi gia nhập PC vào Domain, một số phần mềm sẽ phải cấu hình lại để tương thích với Profile mới và đôi khi phải cài lại. Do computername thay đổi theo IP động, user theo user domain nên đôi khi ảnh hưởng đến các ứng dụng hiện tại. Chính sách trên domain sẽ được áp xuống nên cần phải kiểm tra xem máy tính đó có nhận đủ hay không, có thể kiểm tra bằng lệnh gpresult trong cửa sổ cmd và xem danh sách các Policy đã được áp cho computer và user hiện tại. 2.2.2 Quản lý các đối tượng trên domain Quản lý thông tin computer trên domain Khi một máy tính được gia nhập vào domain, thông tin về computer đó sẽ được lưu trữ trên domain và chính sách về IPSEC sẽ áp cho các computer này. Các bản ghi của Computer name sẽ được lưu trong OU computer của các OU chi nhánh. Trường hợp máy PC tại chi nhánh không đặt đúng theo quy định hay không có trong OU computer thì sẽ không nhận được chính sách IPSec client và không được kết nối đến máy chủ. Nếu bản ghi computer name đó bị mất thì máy tính cũng không kết nối được vào mạng và phải thực hiện gia nhập lại. Quản lý thông tin tài khoản Users trên domain Tài khoản của người sử dụng sẽ do Ngân hàng Công thương quản lý và cung cấp. Điện toán chi nhánh có nhiệm vụ quản lý và thực hiện hỗ trợ người dùng trong việc thay đổi mật khẩu. Mỗi người sử dụng có một user riêng và user đó sẽ là duy nhất trên toàn hệ thống. Quản lý các nhóm (Group) trên domain Trước đây các Group User được tạo trên các máy chủ chi nhánh để thực hiện việc phân quyền hạn sử dụng. Sau khi triển khai, các Groups này sẽ được tạo trên domain và gán quyền cho các users trực tiếp vào nhóm này (việc thêm bớt thành viên của nhóm được bàn giao cho Phòng điện toán của chi nhánh quản lý và theo dõi). Số lượng các nhóm sẽ do TTCNTT quản lý, việc phân quyền trên các máy chủ chi nhánh sẽ gán trực tiếp từ các Group này. Để đảm bảo an toàn thì việc thêm bớt các thành viên trong nhóm này nhất thiết phải được sự đồng ý của Ban lãnh đạo chi nhánh. Như ở những phần trước đã trình bày thì cấu trúc của cây Active Directory là một phần rất quan trọng trong quá trình tạo tài khoản người dùng trong các miền do các quyền và các cấp phép ta đã gán cho đối tượng chứa sẽ được các đối tượng con trong nó thừa hưởng, bao gồm cả các đối tượng người dùng. Việc thừa kế giữa các nhóm cũng làm việc giống như thế, với các thành viên sẽ nhận được thiết lập trên các nhóm (cho phép vào những thư mục nào, sử dụng những chương trình nào của hệ thống…). Sự khác biệt chủ yếu giữa đối tượng nhóm và đối tượng chứa là đối tượng Nhóm không bị chi phối bởi cấu trúc của cây Active Directory. Việc thêm bớt và quản lý các tài khoản trong các Group được các Admin của các chi nhánh Ngân hàng Công thương quản lý và phải được sự thông qua của ban lãnh đạo. Ở Chi nhánh Ngân hàng Công thương khu vực Ba Đình, các Group được phân chia theo nghiệp vụ: ví dụ như Group BDS dành cho các tài khoản người dùng làm ở phòng giao dịch khách hàng, Group KT dành cho người dùng làm ở phòng kế toán. Với các nhóm khác nhau thì chính sách gán cho cũng khác nhau tùy theo công văn của Ban lãnh đạo gửi xuống cho các cán bộ phòng điện toán. Quản lý việc phân quyền hạn Việc phân quyền hạn cho các nhóm Users tại chi nhánh sẽ do trên Trung Tâm Công nghệ thông tin quản lý. Mức quản lý ở chi nhánh chỉ là thêm bớt các thành viên trong các nhóm user trực thuộc chi nhánh và được sự đồng ý của Ban lãnh đạo chi nhánh như đã nói ở trên. 2.2.3 Quản lý và hỗ trợ sau triển khai Quản lý theo dõi tình trạng hệ thống tại chi nhánh Sau khi triển khai xong, việc quản lý và theo dõi các máy chủ DC, máy chủ ứng dụng tại các chi nhánh là rất quan trọng vì nó sẽ ảnh huởng trực tiếp đến công việc của cả chi nhánh. Một số chi nhánh sử dụng máy chủ DC trên máy ảo nên phải rất chú ý theo dõi kiểm tra theo dõi thường xuyên hơn. Nếu 1 trong 2 máy DC xảy ra lỗi thì việc xác thực các máy PC tại chi nhánh đó sẽ bị ảnh hưởng và trường hợp xấu nhất là sẽ không login được vào máy dể làm việc hay xác thực khi sử dụng tài nguyên, check email… Hỗ trợ người dùng thay đổi mật khẩu Theo quy định của Ngân hàng Công thương Việt Nam, việc thay đổi mật khẩu theo thời gian là yêu cầu bắt buộc để đảm bảo yêu cầu an toàn bảo mật của hệ thống. Khi mật khẩu đến hạn cần phải thay đổi (có thông báo tự động trước 10 ngày) thì người sử dụng sẽ phải thay đổi mật khẩu ngay khi đăng nhập vào máy tính hoặc truy cập vào hệ thống Email qua web.Trong một số trường hợp, khi người sử dụng máy tính không dùng máy trong thời gian có thông báo đổi mật khẩu hoặc quên mật khẩu , bộ phận điện toán có nhiệm vụ thay đổi mật khẩu cho người sử dụng trong công cụ Active Directory Users and Computers. Vì lí do an toàn thông tin nên việc thay đổi này bắt buộc phải có đề nghị của người cần thay đổi và có xác nhận của Ban lãnh đạo tại chi nhánh. Hỗ trợ người dùng gia nhập lại domain Trong một số trường hợp người sử dụng phải gia nhập lại domain thì thực hiện theo các tài liệu hướng dẫn chi nhánh trong quá trình triển khai. Một yếu tố quan trọng là với các máy đã join vào domain thì bản ghi computer đó đã lưu trên hệ thống và khi join lại, nếu đã đặt đúng tên computer đó thì sẽ bị báo lỗi khi Join lại. Khắc phục lỗi trên bằng cách xóa Computer name cũ hoặc dùng quyền ghi đè thì lại thực hiện gia nhập bình thường. Copy profile giữa các Users Khi đăng nhập vào một máy tính thì với mỗi User sẽ được tạo ra một profile khác nhau và các profile sẽ lưu trữ các thiết lập, cấu hình, màn hình desktop, lưu trữ khác nhau. Do vậy khi đăng nhập với một user mới thì các thiết lập sẽ thay đổi mới hoàn toàn như lần sử dụng đầu tiên. Một số trường hợp cần giữ nguyên các thiết lập cũ thì ta phải tiến hành Move các Profile với nhau để giảm thiểu thời gian cài đặt lại cho người sử dụng. Kiểm tra backup Việc kiểm tra Backup được thực hiện theo các quy trình và tài liệu gửi kèm trong thời gian triển khai: Thực hiện việc kiểm tra các lưu trữ hàng tuần của các domain Thực hiện việc kiểm tra lưu trữ dữ liệu tại chi nhánh Ghi sổ quản lý theo dõi Cấu hình dịch vụ Microsoft Software Update Services – SUS (Dịch vụ cập nhật phần mềm của Microsoft) Việc triển khai bất ký phần mềm nào trong một hệ thống mạng lớn cũng là một nhiệm vụ phức tạp, và các bản cập nhật hệ điều hành cũng không là một ngoại lệ. Những tác vụ được coi là đơn giản trong một máy tính đơn cũng là một vấn đề lớn khi phải thực hiện trên hàng tăng hay hàng ngàn máy tính. SUS là một sản phẩm miễn phí, nó thông báo cho người quản trị mạng khi một bản cập nhật bảo mật mới xuất hiện, tải bản cập nhật đó và triển khai chúng đến các máy tính trong mạng. Trong 3 server tại chi nhánh Ngân hàng Công thương Ba Đình thì có 1 Server chính là máy chủ SUS đảm nhận Update các bản vá lỗi bảo mật cho hệ thống máy tính của chi nhánh. Các máy tính con trong mạng được cấu hình trỏ đến địa chỉ của máy chủ đảm nhận SUS này để nhận các bản cập nhật mới khi có một cách tự động. SUS thực chất là phiên bản Intranet của Website Windows Update, cho phép giảm thiểu nhu cầu cập nhật đối với các máy tính trong 1 mạng đã được cài đặt AD. SUS bao gồm các thành phần sau đây: Máy chủ đồng bộ: Một máy tính chạy SUS, đóng vai trò như một máy chủ đồng bộ, sẽ tải các bản cập nhật phần mềm từ Website Windows Update ngay sau khi chúng được phát hành. Người quản trị có thể cho phép việc tải này diễn ra nếu cần, lập lịch cho chúng diễn ra tại các thời điểm xác định. Ở Ngân hàng công thương Ba Đình, việc thực hiện update được thực hiện lúc hết giờ làm việc và được bố trí hợp lý với thời điểm thực hiện backup của hệ thống. Khi máy chủ SUS tải về các bản cập nhật, chúng lưu trữ trên máy chủ và điều này làm giảm thiểu việc người quản trị phải thường xuyên kiểm tra xem đã có các bản Update mới hay chưa. Máy chủ Intranet Windows Update: Khi máy chủ SUS đã tải về các bản Update, người quản trị quyết định xem đã triển khai chúng chưa hay lưu lại để kiểm tra xem có ổn định không để triển khai thực trên hệ thống của mình. Khi đó máy chủ SUS sẽ đảm nhận vai trò như là máy chủ Windows Update ngoại trừ việc nó là máy chủ trong mạng Intranet và không yêu cầu các máy tính trong mạng kết nối Internet. Automatic Update: là một tính năng cho phép các máy tính tải và cài đặt các bản cập nhật phần mềm mà không cần người dùng tác động. Trong một mạng lớn thì khi được cài đặt AD, người quản trị sẽ phải cấu hình để các máy trạm trong hệ thống tự động lấy các bản cập nhật mới khi có trên máy chủ và người quản trị khi đó có thể kiểm soát được các bản Update được phép cài đặt trên các máy trạm. Triển khai SUS tại chi nhánh: Quá trình triển khai SUS bao gồm các bước cơ bản sau đây: Cài đặt máy chủ SUS Đồng bộ hóa máy chủ Phê chuẩn các bản cập nhật Cấu hình Automatic Update trên các máy trạm trong hệ thống mạng chi nhánh. Cài dặt SUS: Do SUS sử dụng Website cho cả máy khách và các tác vụ quản trị truy cập nên phải cài đặt IIS trên máy chủ này trước khi cài đặt SUS. Windows Server 2003 chứa sẵn bộ cài đặt IIS nhưng không cài nó theo mặc định, chúng ta phải vào Control panel, mở Add or Remove Programs, vào Add/Remove Windows Components và lựa chọn Internet Information Services (ISS) từ trong danh sách các thành phần để add thêm vào. Sau khi cài đặt xong IIS, chạy chương trình cài đặt SUS đã đựoc tải về từ trang chủ của Microsoft. Sau khi đồng ý với các thỏa thuận về giấy phép người dùng phần mềm thì Microsoft Software update Services Setup Wizard (Trình hướng dẫn cài đặt dịch vụ cập nhật) sẽ hướng dẫn người quản trị cài đặt và cấu hình các tham số. Microsoft Software update Services Setup Wizard cài đặt 3 thành phần sau đây vào máy chủ: Dịch vụ Software Update Synchronization Service, dịch vụ này tải nội dung bản cập nhật về máy chủ SUS. Mọt Website sử dụng IIS phục vụ cho các yêu cầu cập nhật của các máy khách có đặt chế độ Automatic Update Một trang Web quản trị SUS, từ đó người quản trị có thể tiến hành đồng bộ máy chủ SUS và phê chuẩn các bản cập nhật. Khi quá trình cài đặt SUS kết thúc, Internet Explorer sẽ hiện thị giao diện quản trị Web của SUS. Đồng bộ SUS Hai tác vụ quản trị chính của máy chủ SUS là đồng bộ máy chủ và phê chuẩn các bản cập nhật. Khi nhấn vào siêu liên kết Synchronize Server trong trang quản trị chính sẽ xuất hiện một giao diện như ở hình bên dưới: Trong trang này, người quản trị có thể lập lịch để quá trình đồng bộ diễn ra thủ công hay là diễn ra theo một lịch đều đặn. Để lập lịch cho qúa trình đồng bộ, người quản trị mạng chọn vào phím Synchronization Schedule để hiện thị hộp thoại Schedule Synchronization. Trong quá trình đồng bộ, máy chủ kết nối đến Website Windows Update và tải danh mục các bản Update về máy chủ SUS. Việc thực hiện lập lịch cho hệ thống mạng các chi nhánh Ngân hàng Công thương Việt Nam được các cán bộ quản trị mạng ở mỗi chi nhánh thực hiện. Phê chuẩn các bản cập nhật: Sau khi quá trình cập nhật hoàn thành, người quản trị có thể xem được một danh sách các bản cập nhật đã được đồng bộ và lựa chọn bản nào để triển khai cho toàn hệ thống thông qua trang Approve Update. Cấu hình Automatic Update: Khi máy chủ SUS đã được cài đặt xong và hoạt động thì nhân viên quản trị mạng phải cấu hình các máy khách để sử dụng nó. Các máy khách phải được thiết lập để có thể truy cập vào máy chủ SUS để lấy các bản cập nhật. Để làm được điều này, người quản trị mạng phải cấu hình máy khách bằng chính sách nhóm. Các chính sách Windows Update trong bảng điều khiển Group Policy Object Editor: Quản trị mạng với MOM và SMS Việc triển khai MOM và SMS giúp: - Theo dõi thông tin: các thông tin về hệ thống máy chủ hay máy trạm được gửi về máy chủ trung ương giúp nhà quản lý có thể dễ dàng theo dõi được toàn bộ hệ thống của mình, từ đó có thể đưa ra những điều chỉnh nhằm tối ưu hệ thống hiện tại. - Xử lý sự cố: khi có bất kỳ sự cố nào xảy đến với máy chủ tại chi nhánh hoặc các máy chủ ứng dụng quan trọng đặt tại trung ương, MOM gửi email hoặc tin nhắn đến người quản trị có trách nhiệm liên quan, giúp nhanh chóng khắc phục tức thời sự cố hiện tại, hoặc MOM cũng có thể tự động đưa ra những xử lý theo một lập trình cho trước. - Triển khai phần mềm: muốn triển khai phần mềm hay ứng dụng đến tất cả hay một nhóm các máy tính trong hệ thống, người quản trị có thể dùng SMS để tự động triển khai phần mềm, ứng dụng đến nhóm máy tính theo yêu cầu. MOM – Microsoft Operations Manager Tại các chi nhánh, MOM agent phải được cài đặt trên các máy chủ của chi nhánh giúp cho việc quản trị và theo dõi trên Trung ương. Việc theo dõi quản lý và kiểm tra sẽ được bộ phận quản trị hệ thống trên TTCNTT cấu hình, theo dõi và quản lý. SMS – Microsoft Systems Managament Server Forest icbv.com: Mỗi chi nhánh sẽ cài đặt 1 SMS Server và các Agent được cài đặt trên tất cả các máy này. Các máy chủ SMS tại các chi nhánh sẽ kết nối cà gửi báo cáo về các Server vùng. Việc sử dụng SMS tại các PC, server giúp cho người quản trị có thể thao dõi kiểm tra hệ thống được thuận tiện hơn. Một tính năng rất quan trọng nữa của SMS là việc triển khai phần mềm tự động đến các máy trạm, giả sử như Ngân hàng Công thương Việt Nam muốn triển khai một phần mềm trên toàn hệ thống thì chỉ việc cấu hình và đặt lịch tự động đến tất cả các máy trạm sẽ được triển khai đúng theo kịch bản đã đưa ra. Do vậy các máy chủ, PC tại các chi nhánh đều phải được cài đặt phần mềm này. Một số dịch vụ khác Dịch vụ DNS Dịch vụ DNS theo dõi, đối chiếu những cái tên, địa chỉ giúp các chương trình có tính liên miền như: trình duyệt Web, FTP, thư điện tử, hỗ trợ Active Directory trong việc thiết lập một cây, rừng các miền một cách logic và thông minh Tại các máy chủ Domain ở mỗi chi nhánh, dịch vụ DNS cũng được cài đặt và sử dụng để ghi và phân giải các bản ghi Dynamic name của máy chủ, PC giúp cho việc phân giải tên DNS name. Ví dụ như trong chi nhánh muốn vào trang web của Ngân hàng công thương Việt Nam (www.icb.com.vn) thông qua mạng nội bộ thì máy tính đó phải cấu hình card mạng trỏ đến địa chỉ của DNS server (tại chi nhánh là máy chủ AD của chi nhánh) để các máy chủ DNS server tự động kiểm tra và phân giải tên đó ra địa chỉ IP đã được lưu trên hệ thống (172.160.62.60). Quá trình này trong suốt với người sử dụng và người sử dụng không cần nhớ máy chủ đó có địa chỉ IP là gì. Máy chủ khác như Email server, người sử dụng chỉ cần biết gõ vào địa chỉ: là sử dụng và khi đó hệ thống DNS sẽ tự động trỏ đến đúng địa chỉ IP của máy Email server. Trường hợp nếu địa chỉ IP của máy đó có thay đổi thì cũng không ảnh hưởng đến việc truy cập của người dung. Như vật khi địa chỉ IP của máy PC thiết lập cấu hình gán địa chỉ qua DHCP thì tham số này sẽ được cấu hình tự động từ server. Dịch vụ WINS WINS (Dịch vụ định danh Windows Internet) là một thành phần của dòng máy chủ Windows Server. WINS giúp các máy chủ, máy khách (clients) xác định được vị trí của máy chủ điều khiển miền (DC=Domain Controler), máy chủ chia sẻ file (file server), máy chủ phục vụ in ấn (print server)… Tại mỗi chi nhánh, 2 máy chủ AD cũng được cài đặt dịch vụ WINS server giúp cho việc phân giải tên computername tại chi nhánh. Ví dụ nếu bạn muốn connect đến máy chủ ứng dụng của bạn là \\ct127svr1 thì hệ thống sẽ tự động kết nối đến máy chủ đó thay vì bạn phải nhớ \\172.xx.xx.37 Đối với các máy PC trong chi nhánh, khi IP được cấp phát từ DHCP server thì việc thay đổi IP sẽ là tự động, lúc đó bạn cũng chỉ cần phải nhớ computername đó tên là gì. Ví dụ: \\PC-DucPM01 hoặc sử dụng theo DNS name là \\PC-ducpm.hq.icbv.com . Khi địa chỉ IP của máy PC thiết lập cấu hình việc gán địa chỉ qua DHCP thì các tham số cấu hình cho card mạng sẽ được cấu hình tự động. Dịch vụ DHCP DHCP là viết tắt của (Dynamic Host Configuration Protocol) tập trung quản lý cấp phát mọi thông tin cấu hình TCP/IP, gán địa chỉ IP cho các máy tính có sử dụng DHCP Clients. Loại bỏ được các lỗi do gán IP thủ công gây ra. Mỗi lần DHCP client chạy, chương trình yêu cầu gửi thông tin về địa chỉ IP từ DHCP server bao gồm: địa chỉ IP, Subnet mask, địa chỉ gateway, địa chỉ Domain Name Server (DNS).. Khi DHCP server nhận được yêu cầu từ máy trạm, nó sẽ lấy thông tin về một địa chỉ IP từ vùng địa chỉ được khai báo trong cơ sở dữ liệu. Nếu máy trạm chấp nhận thì thông tin địa chỉ IP sẽ được gán cho máy trạm theo thời gian xác định Nếu không có thông tin về địa chỉ IP trong vùng cấp phát, máy trạm sẽ không thể khởi tạo được TCP/IP Tại mỗi chi nhánh sẽ có 2 máy chủ cài đặt dịch vụ DHCP server để cung cấp địa chỉ IP động cho các PC của chi nhánh. Khi máy PC nhận địa chỉ cấp phát từ DHCP Server thì các tham số cấu hình sẽ được tự động hoàn toàn như: địa chỉ IP, Subnet, gateway, DNS Server, WINS Server… nên rất thuận tiện cho việc quản trị tại mỗi chi nhánh. Để kiểm tra tại máy PC xem thiết lập các tham số mạng như thế nào, từ dấu nhắc của màn hình cmd ta sử dụng lệnh ipconfig/all: Dịch vụ IPSEC IPSec là tập hợp đầy đủ các giao thức đảm bảo thông tin truyền giữa hai máy tính được mã hóa và bảo mật trong hệ thống mạng không bảo mật. Mạng không bảo mật điển hình nhất đó là Internet. IPSec có hai tác dụng chính đó là bảo mật gói tin IP (IP Packet) và chống lại các tấn công. IPSec bao gồm ba quá trình đó là Encryption, Decryption và Signing. Encryption đáp ứng yêu cầu dữ liệu phải được mã hóa trước khi truyền, Decryption đáp ứng yêu cầu khi dữ liệu đến đúng người nhận thì người đó mới có thể giải mã được, Signing đáp ứng yêu cầu chỉ nhận những dữ liệu từ nguồn tin cậy. Trước khi quá trình truyền dữ liệu hai máy tính phải tiến hành việc thương lượng, thương lượng phương thức mã hóa, thương lượng phương thức giải mã. Nhằm mục đích bảo đảm an toàn cho dữ liệu tại các chi nhánh, việc áp dụng IPSEC đến các máy chủ chi nhánh là điều bắt buộc, IPSEC thực hiện kiểm tra xác thực và mã hóa dữ liệu của các máy tính từ lớp PC đến lớp Server ứng dụng. Nếu một PC nào đó tự động cắm vào mạng của chi nhánh và thực hiện kết nối đến lớp server thì bị chặn lại và yêu cầu máy tính đó phải đáp ứng yêu cầu là: đã được join vào hệ thống AD, User có quyền truy cập. Do vậy khi một máy tính không kết nối được đến máy chủ thì phải kiểm tra đầy đủ các yếu tố trên. Số lượng các Port, địa chỉ được yêu cầu mã hóa do Ngân hàng Công thương Việt Nam quy định theo cơ chế bảo mật. Việc quản lý các Policy này sẽ được Trung Tâm Công Nghệ Thông tin quản lý và cấu hình. Một số kiến nghị, đề xuất Sau một thời gian nghiên cứu, tìm hiểu trong quá trình thực tập đối với hệ thống mạng và những nghiệp vụ quản trị mạng với Windows Server 2003 tại Chi nhánh Ngân hàng Công thương Việt Nam khu vực Ba Đình, em xin được đưa ra kiến nghị như sau: Mỗi chi nhánh của Ngân hàng Công thương Việt Nam sẽ có một số vấn đề khác nhau trong nghiệp vụ nói chung và nghiệp vụ quản trị mạng nói riêng. Do đó thiết nghĩ Ban lãnh đạo nên xem xét để bổ sung hơn nữa quyền quản trị, quyền thiết lập một số các chính sách của các cán bộ quản trị mạng tại các chi nhánh đề phù hợp hơn nữa với tình hình thực tế ở mỗi chi nhánh. Do kiến thức hiện tại của bản thân cũng như thời gian thực tập khá ngắn nên chưa đưa ra được những giải pháp đối với những điểm đã nêu ở trên. Em sẽ có gắng nghiên cứu thêm đề có thể đưa ra một số giải pháp trong thời gian tới. KẾT LUẬN Sau gần 4 năm đại học, được trang bị những kiến thức căn bản thì quá trình thực tập chính là một cơ hội rất tốt để chúng em có thể tiếp cận với những công việc, kiến thức thực tế cũng như tác phong làm việc mà chúng em còn rất nhiều hạn chế. Trên cơ sở những kiến thức cơ bản về Windows Server 2003, về mạng máy tính cùng với quá trình tìm hiểu trong thời gian thực tập, được cùng tham gia vào các công việc thực tế của một hệ thống mạng tiên tiến đã giúp cho em có được những kiến thức rất bổ ích. Chuyên đề này chính là kết quả của quá trình nghiên cứu về hệ thống mạng của Chi nhánh Ngân hàng Công thương khu vực Ba Đình,về những nghiệp vụ quản trị mạng với Windows Server 2003 được ứng dụng tại chi nhánh. Trong phạm vi chuyên đề em cũng xin được đưa ra một vài những kiến nghị đề xuất và giải pháp đối với hệ thống mạng hiện tại của Chi nhánh Ngân hàng Công thương khu vực Ba Đình. Tất nhiên trong chuyên đề không khỏi tránh được nhiều thiếu sót do hạn chế về mặt kiến thức bản thân cũng như một số khó khăn khác, em rất mong nhận được những nhận xét và góp ý từ thầy cô, các anh chị và các bạn. Em xin chân thành cảm ơn cô Nguyễn Thanh Hương – giáo viên hướng dẫn thực tập cùng anh Vũ Minh Quân - Trưởng phòng Điện toán và truyền số liệu và các anh chị tại chi nhánh Ngân hàng Công thương Ba Đình đã tận tình giúp đỡ em hoàn thành chuyên đề thực tập này. DANH MỤC TÀI LIỆU THAM KHẢO Giáo trình Quản lý và duy trì Windows Server 2003 – Aprotrain - Aptech. Tài liệu nghiệp vụ cán bộ điện toán Ngân hàng Công thương Việt Nam www.cuasotinhoc.com