Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 1







TRIỂN KHAI HỆ THỐNG TỔNG THỂ
(Theo chuẩn Microsoft)
CHO NGÂN HÀNG ĐẠI DƯƠNG
-OCEANBANK-
Version 1.0
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 2
Chúng tôi đề xuất mô hình giải pháp như sau:
1.1. ACTIVE DIRECTORY (AD)
Lựa chọn mô hình forest, domain cho Ngân Hàng Đại Dương là một công việc rất quan trọng. Mô hình cần
phải phản ánh được cấu trúc tổ chức của doanh nghiệp đồng thời thuận tiện cho công việc quản trị mà không
làm ảnh hưởng đến hiệu suất của dịch vụ thư mục.
Dưới đây là những tiêu chí mà mô hình domain cần phải đảm bảo:
• Đơn giả
n hóa việc quản trị hệ thống mạng Windows chứa một số lượng lớn các đối tượng.
• Giữ vững cấu trúc domain và giảm chi phí quản trị.
• Cho phép các nhóm quản trị quản lý thông tin một cách độc lập.
• Có khả năng trao quyền quản trị cho các nhóm quản trị khác nhau.
• Tạo ra một môi trường an toàn đảm bảo người sử dụng chỉ có thể truy cập đến các tài nguyên với quyền
được cấp phát.
• Quá trình nhân bản thông tin sẽ ảnh hưởng ít nhất đến dải thông trên đường truyền WAN.
• Đơn giản hóa việc chia sẻ tài nguyên hệ thống.

• Tối ưu hóa hiệu năng tìm kiếm.
• Giảm thiểu tổng chi phí.

Quá trình thiết kế domain được chia thành hai phần riêng biệt: thiết kế luận lý (logical design) và thiết kế vật lý
(physical design). Mỗi phần đều có những thành phần tác động quyết định tới vi
ệc lựa chọn mô hình thiết kế
sao cho phù hợp nhất đối với các mục tiêu đề ra và hiện trạng hạ tầng mạng của.
1.1.1. THIẾT KẾ LUẬN LÝ

Khả năng mở rộng và cấu hình dễ dàng của AD có được là do sự phân biệt giữa cấu trúc luận lý trong kiến
trúc phân cấp domain của Windows Server với kiến trúc vật lý của hạ tầng mạng truyền thông. Kiến trúc luận
lý của AD không phụ thuộc vào vị trí vật lý của các máy chủ cũng như kết nối mạng trên toàn hệ thống. Chính
vì vậy dịch vụ AD cung cấp khả năng mạnh mẽ c
ũng như tính linh hoạt và mềm dẻo phù hợp với cấu trúc
quản trị và nhu cầu cho các tổ chức khác nhau.
CÁC THÀNH PHẦN LUẬN LÝ TRONG KIẾN TRÚC AD GỒM CÓ:
• Các đối tượng (Object): là các tài nguyên được lưu trữ trên AD theo một kiến trúc phân cấp bao gồm các
container cấp trên và các container cấp dưới với mục đích dễ dàng hơn trong việc tìm kiếm, truy cập và
quản lý chúng. Kiến trúc này tương tự như việc tổ chức file và thư mục.
•
Các miền (Domain): là cấu trúc tổ chức cơ bản của mô hình mạng. Các máy tính, người dùng, và các đối
tượng khác trong một domain chia sẻ một cơ sở dữ liệu bảo mật chung. Sử dụng domain cho phép các
nhà quản trị phân chia mạng thành các ranh giới bảo mật khác nhau. Chủ yếu domain cung cấp một
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 3
phương pháp để phân chia mạng một cách logic theo tổ chức. Các tổ chức đủ lớn có hơn một domain
luôn luôn được phân chia để chịu trách nhiệm duy trì và bảo mật các nguồn riêng của họ.
• Các cây (Tree): các domain khác nhau được tổ chức theo cấu trúc có phân cấp gọi là cây. Thậm chí nếu
chỉ có một domain trong tổ chức thì đó vẫn được coi là một cây. Domain đầu tiên tạo ra trong một cây
được gọi là root domain. Domain được tạo tiếp theo sẽ là domain con của root domain đó. Domain có

khả năng mở rộng thành nhiều domain trong một cây. Tất cả các domain trong một cây chia sẻ một
schema chung và một không gian tên kề nhau.
• Các rừng (Forest): là một nhóm của một hoặc hơn một cây domain, không cùng không gian tên miền kề
nhau nhưng có thể chia sẻ chung một schema và global catalog. Trong một mạng luôn có ít nhất một
rừng, và nó được tạo khi DC đầu tiên được cài đặt trên mạng. Domain đầu tiên trong một rừng được gọi
là domain root của rừng, nắm giữ schema và đi
ều khiển tên domain trong toàn bộ rừng.
• Các đơn vị tổ chức (Organization Unit – OU): cung cấp một phương pháp để tạo ra một biên quản trị
trong một domain. Chủ yếu, nó cho phép người quản trị ủy nhiệm các nhiệm vụ quản trị trong một
domain. OU hoạt động giống như một container chứa các tài nguyên trong domain. Có thể áp đặt các
quyền quản trị trong một OU. Một đặc thù chính là cấu trúc OU theo một cấu trúc chức năng ho
ặc công
việc trong một tổ chức. Ví dụ, trong một tổ chức nhỏ với một domain có thể tạo ra các OU riêng biệt
tương ứng với các phòng ban trong tổ chức đó.
THIẾT KẾ CẤU TRÚC FOREST TỔNG THỂ
Trước hết cần thấy rằng cấu trúc forest sẽ quyết định tới mô hình domain tổng thể của toàn hệ thống. Chính
vì vậy việc thiết kế một cấu trúc forest phù hợp v
ới môi trường hoạt động và tổ chức của NGÂN HÀNG ĐạI
DƯƠNG là rất quan trọng.
Tất cả các domain trong cùng một forest đều có chung các thành phần sau:
• Schema: một cấu trúc dùng để định nghĩa các đối tượng, các đặc tính và các mối quan hệ của chúng.
• Global Catalog (GC): nắm giữ một phần các đặc tính của tất cả các đối tượng trong forest.
• Sites and Services Configuration: cung cấp thông tin cấu hình mức toàn forest gồm có các site vật lý và
các dịch vụ mạng toàn hệ th
ống.
Nếu có nhiều domain trong một forest thì một domain sẽ được xem như domain gốc toàn miền (forest root
domain). Đây là một domain đặc biệt trên toàn hệ thống, nó đóng vai trò rất quan trọng và không thể bị xóa
hoặc đổi tên hoặc chuyển giao vai trò. Chính vì vậy, khi thiết kế kiến trúc forest, mô hình khuyến nghị là mô
hình forest đơn và chỉ thêm các forest khác nếu thấy thực sự cần thiết. Với mô hình tổ chức mang tính chất
phân cấp của NGÂN HÀNG ĐạI DƯƠNG thì mô hình forest đơn là phù h

ợp nhất.
Các ưu điểm của mô hình forest đơn:
• Tự động tạo ra các quan hệ tin cậy (trust): để truy cập tới các tài nguyên nằm trên một domain khác, một
quan hệ tin cậy phải được thiết lập với domain đó nhằm đảm bảo tiến trình xác thực xảy ra. Trong môi
trường forest đơn, tất cả các quan hệ tin cậy được tạo ra tự động khi một domain gia nhập vào forest.
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 4
• Nhận thực Kerberos V5: mặc định quá trình xác thực mạnh này được sẵn sàng trong phạm vi một forest
đơn.
• Một CSDL Global Catalog về các đối tượng duy nhất: tất cả các đối tượng trong một forest đơn đều được
liệt kê trong GC. Mô hình forest đơn không gặp phải vấn đề về đồng bộ giữa các forest với nhau.
Môi trường forest cho NGÂN HÀNG ĐạI DƯƠNG sẽ chứa một forest đơn. Tên domain gốc của forest là
OCEANBANK.CORP.
Một forest đơn có th
ể chứa tới hàng triệu các đối tượng khác nhau (tài khoản người sử dụng, các nhóm, tài
khoản máy tính,… ) và được thiết kế đảm bảo việc quản trị dễ dàng nhất. Số lượng các domain thuộc forest
đơn OCEANBANK.CORP này sẽ được thiết kế chi tiết trong phần dưới.
Ủy quyền quản trị Forest
Trên hệ thống Intranet NGÂN HÀNG ĐạI DƯƠNG, nhóm IT quản trị mức forest sẽ khác nhóm IT quản trị tất
cả các hoạt
động khác thông thường trên dịch vụ thư mục AD. Chính vì vậy, phương pháp tốt nhất là tạo ra
một domain gốc của forest.
Domain này sẽ nắm giữ hai vai trò FSMO mức forest đó là: Schema Master và Domain Naming Master. Đây
là hai vai trò rất quan trọng trong hoạt động chung tổng thể của dịch vụ AD trên toàn hệ thống. Các tài khoản
quản trị domain này sẽ rất hạn chế nhằm đảm bảo tính bảo mật cũng như tính ổn định của hệ
thống. Vì vậy,
domain này sẽ nắm giữ các tài khoản mức toàn hệ thống như Enterprise Admins và Schema Admins.
Các nhóm IT quản trị các hoạt động trên AD được gán cho một hoặc nhiều các domain con. Điều đó cho
phép các nhóm IT này có thể quản lý các dịch vụ trên domain của họ một cách độc lập nhưng không thể điều
khiển được các thành viên của các nhóm Enterprise Admins và Schema Admins trong domain gốc của forest.

Như vậy với việc tạo ra một domain gốc nắm giữ
tất cả các tài khoản có quyền trên toàn forest với quyền hạn
có thể thực hiện thay đổi dữ liệu mức forest như: thay đổi schema, cấu hình site, xác thực dịch vụ hệ
thống,… đội quản trị hệ thống NGÂN HÀNG ĐạI DƯƠNG hoàn toàn có thể kiểm soát được vấn đề này. Ví
dụ: để có thể cài đặt được phần mềm Exchange Server 2003 cần phải có sự chấp thuận của nhóm quản trị

cấp cao nhất do phần mềm này phải mở rộng schema của forest trước khi cài đặt.
THIẾT KẾ CẤU TRÚC DOMAIN TỔNG THỂ
Domain được sử dụng để phân chia các thư mục sao cho thông tin được phân bổ và quản lý hiệu quả nhất.
Mục đích thiết kế domain là tối đa hóa hiệu năng quá trình nhân bản AD trong khi vẫn đảm bảo cho quá trình
nhân bản không chiếm quá nhiều dung lượng đường truyền và không gây trở ngại cho các tiế
n trình khác của
hệ thống.
Các nhân tố ảnh hưởng đến mô hình thiết kế domain như sau:
• Tổng dung lượng đường truyền có thể được dùng cho quá trình nhân bản AD. Mục đích lựa chọn mô
hình này là cung cấp khả năng nhân bản thông tin hiệu quả nhất mà vẫn tối thiểu hóa được dung lượng
đường truyền.
• Số lượng người sử dụng trong tổ chức. Nếu tổ chức có một số
lượng người sử dụng lớn, việc triển khai
nhiều domain sẽ cho phép quản lý dữ liệu và quá trình nhân bản hiệu quả thông qua các kết nối mạng,
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 5
cho phép người quản trị đưa ra quyết định dữ liệu ở đâu sẽ được nhân bản, giúp giảm thiểu đáng kể việc
nhân bản thông qua các đường truyền dung lượng thấp.
Mô hình thiết kế domain đơn giản nhất là single domain. Trong mô hình single domain, tất cả các thông tin
được nhân bản tới tất cả các domain controller. Tuy nhiên nếu cần thiết, sẽ phải triển khai theo mô hình
regional domains.
Mô hình Single Domain
Mô hình single domain là dễ dàng nhất để quản trị và tốn ít chi phí nhấ
t cho bảo trì. Nó bao gồm 1 forest chứa

1 single domain. Domain này là forest root domain, nó chứa tất cả các tài khoản user, group trong forest.
Mô hình single domain sẽ đơn giản hóa việc quản trị và cung cấp những tính năng sau:
• Bất kỳ DC nào cũng có thể xác thực bất kể user nào trong forest.
• Tất cả các DC đều có thể là GC, do đó không cần thiết lên kế hoạch nơi đặt máy chủ GC.
Trong mô hình single domain, tất cả dữ liệu AD sẽ được nhân bản tới tất cả các chi nhánh đặt máy chủ
DC.
Mô hình Regional Domain
Tất cả các đối tượng dữ liệu trong phạm vi 1 domain sẽ được nhân bản tới tất cả các DC trong domain đó. Vì
lý do này, nếu forest có số lượng user lớn và được phân bố tại các vị trí địa lý khác nhau, kết nối bởi đường
truyền WAN, khi đó có thể sẽ cần triển khai mô hình regional domain để giảm khối lượng nhân bản thông qua
kết nối WAN.
Mô hình regional domain cho phép duy trì một môi trường ổn định, bền vững theo thời gian. Domain
được
định nghĩa dựa trên cơ sở các vùng miền (ví dụ như các châu lục trên phạm vi toàn cầu, các miền trên phạm
vi quốc gia), hoặc dựa trên các nhân tố khác như các nhóm bị thay đổi thường xuyên và có yêu cầu cấu trúc
lại.
Xác định số lượng domain được yêu cầu
Mọi forest đều bắt đầu với một single domain. Số lượng user lớn nhất mà 1 single domain có thể chứa được
dựa trên yếu tố lượng đường truy
ền dành cho việc nhân bản.
Bảng dưới đây cho phép xác định số lượng user lớn nhất trong single domain:
Kết nối chậm nhất tới
Domain Controller
(KBps)
Số lượng user lớn nhất
nếu 1% lượng băng
thông rảnh rỗi
Số lượng user lớn nhất
nếu 5% lượng băng
thông rảnh rỗi

Số lượng user lớn nhất
nếu 10% lượng băng
thông rảnh rỗi
28.8 10,000 25,000 40,000
32 10,000 25,000 50,000
56 10,000 50,000 100,000
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 6
64 10,000 50,000 100,000
128 25,000 100,000 100,000
256 50,000 100,000 100,000
512 80,000 100,000 100,000
1500 100,000 100,000 100,000
Theo thông số bảng trên, mô hình single domain sẽ được lựa chọn thiết kế cho NGÂN HÀNG ĐạI DƯƠNG vì
nó đáp ứng được yêu cầu quản lý, mở rộng kinh doanh trong thời điểm hiện tại cũng như trong tương lai.
THIẾT KẾ CẤU TRÚC OU TỔNG THỂ
Các nguyên lý chuẩn trong thiết kế OU
Một OU là một container được sử dụng nhằm tạo ra một kiến trúc độc lập trong phạm vi một domain. Bằng
cách thiế
t lập các OU, có thể hỗ trợ tối đa quá trình quản trị hệ thống:
• Đơn giản và chuẩn hóa kiến trúc domain.
• Tạo ra các vành đai quản trị riêng biệt và độc lập.
• Giảm công tác quản trị hệ thống, ví dụ có thể chỉ ra một người hoặc một nhóm người nào đó có khả năng
đặt lại mật khẩu cho người sử dụng trong một phòng ban nào đó mà không cần ph
ải tạo ra các tài khoản
quản trị hệ thống.
• Đơn giản hóa các công việc quản trị hệ thống.
Với những ưu điểm của OU được đề cập ở trên, việc sử dụng nó sẽ giúp cho kiến trúc hệ thống vừa đơn giản
vừa đáp ứng được các yêu cầu về mặt bảo mật cũng như phân tán quyền quản trị xu
ống cấp tỉnh. Quá trình

triển khai một cấu trúc OU cần tuân theo các quy tắc sau:
• Thực hiện việc ủy nhiệm quyền quản trị.
• Sử dụng các chính sách nhóm để bảo mật các dịch vụ và thực hiện cấp phép quyền.
• Thực hiện việc phân phối gói phần mềm cho các nhóm, các máy tính và người sử dụng.
Các tiêu chí quyết định đến thiết kế OU
• Tối thiểu hóa lớp OU lồng nhau nhằ
m gia tăng tính hiệu quả truy vấn LDAP.
• Tối đa chỉ sử dụng 5 lớp OU lồng nhau.
• Nhóm những người sử dụng và các máy tính chia sẻ cùng các đối tượng chính sách nhóm. Tổ chức các
OU để nhóm các máy tính với các ứng dụng chung.
• Tổ chức các OU để cung cấp khả năng ủy nhiệm quyền quản trị.
• Gán quyền tạo các tài khoản người sử dụng và máy tính mới cho các cá nhân chịu trách nhiệm hỗ trợ
.
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 7
• Hạn chế việc di chuyển các đối tượng giữa các OU.
• Cung cấp một cấu trúc OU cho phép dễ dàng xử lý các sự cố và xác định xem một người sử dụng hoặc
máy tính đang chịu sự tác động của chính sách nhóm nào.
• Tối thiểu hóa việc trùng lặp chính sách nhóm trên các OU riêng biệt.
• Quản trị các thư mục chia sẻ.
• Tạo một OU riêng biệt cho vấn đề bảo mật.
• Đảm bảo ki
ến trúc OU đơn giản và chuẩn hóa trên toàn forest OCEANBANK.CORP.
MÔ HÌNH THIẾT KẾ OU
Vì tất cả các chi nhánh trên toàn quốc của NGÂN HÀNG ĐạI DƯƠNG đều có chung một domain nên chỉ cần
thiết kế một mô hình OU duy nhất cho toàn hệ thống
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 8
oceanbank.corp
HaNoi

User
Computer
DaNang
User
Computer
SaiGon
User
Computer
.
.
.
.

Hình 1. Mô hình thiết kế OU
Mô tả :
• Domain bao gồm các OU cha tương ứng với các chi nhánh của NGÂN HÀNG ĐạI DƯƠNG, trong mỗi
OU cha sẽ có các OU con chứa các đối tượng tương ứng.
• Computer OU : OU này chứa các computer account thuộc chi nhánh đó.
• User OU : OU này chứa các user account thuộc chi nhánh đó.
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 9
1.1.2. THIẾT KẾ VẬT LÝ
Cơ sở hạ tầng kết nối WAN:
Theo hiện trạng và những đầu tư cho hạ tầng hệ thống trong tương lai sắp tới, các chi nhánh kết nối tới hội
sở chính bằng đường Mega WAN (leased line)
Các thành phần vật lý trong kiến trúc AD gồm có:
• Domain Cotroller (DC): là một máy chủ chạy Windows Server có cài đặt và chạy các dịch vụ AD. Có thể
tạo nhiều DC trong một domain. Mỗi DC trong domain có một nhân bản thư mục hoàn thiệ
n của domain
đó. Các DC sẽ giải quyết cục bộ các truy vấn về thông tin đối tượng trong domain của chúng, đối với

những truy vấn liên quan tới các thông tin mà chúng không nắm giữ sẽ chuyển đến các DC trong domain
khác. DC cũng quản lý các thay đổi thông tin thư mục và chịu trách nhiệm nhân bản các thay đổi này đến
các DC khác. Mỗi DC được lựa chọn để đảm nhận một vai trò riêng:
− Schema Master: DC đầu tiên trong rừng nắm giữ luật Schema Master và chịu trách nhiệ
m duy trì và
phân phát schema đến toàn bộ rừng. Nó chứa một danh sách các lớp và thuộc tính của đối tượng
dùng để định nghĩa đối tượng trong AD. Nếu schema cần được cập nhật hoặc thay đổi, thì cài đặt
Schema Master là cần thiết.
− Domain Naming Master: DC này ghi lại việc thêm hoặc xóa các domain trong rừng và duy trì tính
toàn vẹn của domain. Domain Naming Master bị chất vấn khi các domain mới được thêm vào trong
rừng.
− Infrastructure Master: DC này ghi lại các thay đổi liên quan đến các đối tượng trong một domain.
T
ất cả các thay đổi đầu tiên được báo cáo đến Infrastructure Master, sau đó chúng được nhân bản
đến các DC khác. Infrastructure Master giải quyết mối quan hệ thành viên nhóm và các nhóm.
− Global Catalog: máy chủ Global Catalog duy trì một tập hợp con các thuộc tính đối tượng AD. Đây là
các thuộc tính thông thường nhất của tài khoản người dùng hoặc máy trạm, ví dụ như tên đăng nhập
của người dùng. Các máy chủ Global Catalog cung cấp hai chức năng quan trọng: cho phép người
dùng đăng nhập mạng và cho phép người dùng định v
ị các đối tượng bất cứ nơi đâu trong rừng. Khi
một người dùng đăng nhập hoặc truy cập đến tài nguyên mạng từ bất kỳ nơi đâu trong rừng, thì các
yêu cầu được tra cứu trên Global Catalog. Nếu hệ thống mạng sử dụng một domain duy nhất, thì
Global Catalog là không cần thiết, bởi vì tất cả các DC trong domain đã có thông tin đầy đủ về các đối
tượng và người dùng trên mạng. Khi sử dụng nhiề
u domain, sử dụng Global Catalog là cần thiết.
• Site: là một nhóm các DC tồn tại trong một hoặc nhiều IP subnets và được kết nối với tốc độ nhanh và tin
cậy. Site luôn luôn được giới hạn trong một mạng cục bộ. Nếu nhiều mạng LAN khác nhau được kết nối
bởi WAN, thì thích hợp tạo cho mỗi LAN một site. Các site được sử dụng chủ yếu để điều khiển các lưu
lượng nhân bả
n. Các DC trong một site luôn nhân bản cơ sở dữ liệu AD khi có bất cứ sự thay đổi nào

xảy ra. Các DC khác site sẽ nén lưu lượng nhân bản và hoạt động dựa theo một lịch trình được định
trước, để giảm bớt lưu lượng trên mạng.
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 10
THIẾT KẾ DC
Để xác định xem có nên đặt DC tại một chi nhánh nào hay không, có thể dựa vào luồng sơ đồ sau:

Hình 2. Sơ đồ thiết kế DC
Với cơ sở hạ tầng hiện tại, có thể đặt các DC tại mỗi chi nhánh như sau:
• Tại trụ sở chính (Hà Nội): đặt 2 DC.
• Tại mỗi chi nhánh còn lại: đặt ít nhất 1 DC
THIẾT KẾ SITE
Site là một tập hợp các mạng con IP được kết nối với nhau bằng đường truyền tốc độ cao và ổn định. Việc
đưa ra khái niệm
đường truyền tốc độ cao và ổn định ở đây cần được hiểu là các đường truyền có tốc độ kết
nối LAN (ví dụ tốc độ 100 Mbps với cáp UTP5 thông thường) hoặc lớn hơn (ví dụ tốc độ 1Gbps với cáp
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 11
quang chẳng hạn). Các đường truyền kết nối WAN hiện nay như: leased-line, dial-up,…có thể coi như các
đường truyền có tốc độ không cao và độ ổn định thấp.
AD sử dụng site để:
• Tối ưu hóa cơ chế nhân bản giữa các máy chủ DC
• Định vị DC gần nhất nhằm phục vụ cho tiến trình đăng nhập của máy trạm và khả năng tìm kiếm trên dịch
vụ thư mục.
Điều khiển nhân bản
Kiến trúc site cho phép điều khiển cơ chế nhân bản AD nhằm đạt được sự cân bằng tốt nhất giữa tốc độ
nhân bản và chi phí nhân bản bằng cách phân biệt đâu là nhân bản trong phạm vi một site, đâu là nhân bản
trải rộng trên các site.
Trong phạm vi một site, nhân bản sẽ được tối ưu hóa về tốc độ do vậy các dữ liệu cập nhật đượ
c gửi đi

không cần có các đoạn dữ liệu mào đầu phục vụ cho việc nén dữ liệu. Ngược lại, nhân bản giữa các site
được nén nhằm tối ưu hóa chi phí đường truyền trên WAN.
Định tuyến cơ chế nhân bản
AD sử dụng cơ chế nhân bản đa chủ và lưu trữ-gửi đi. Một DC sẽ gửi những thay đổi trong cơ sở dữ liệu AD
tớ
i máy chủ DC thứ hai, kế đó liên kết với cái thứ ba, thứ tư,…cho đến khi tất cả các DC nhận được thay đổi
đó. Khi quá trình nhân bản xảy ra giữa các site, một DC tại mỗi domain trên mỗi site sẽ thu thập các thay đổi,
lưu chúng lại và gửi chúng đến một máy chủ DC trên các site khác tại một thời điểm xác định.
Quan hệ với máy trạm
Các máy trạm AD sẽ định vị các máy chủ DC dựa trên thông tin về site mà chúng trực thuộc. Một máy trạm
sẽ cố gắng định vị một DC trên cùng một site. Điều này tránh cho máy trạm liên kết với một máy chủ DC khác
thông qua đường truyền WAN tốc độ thấp.
Để xác định xem có nên tạo site tại một chi nhánh nào hay không, có thể dựa vào luồng sơ đồ sau:
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 12

Hình 3. Sơ đồ thiết kế Site
Theo thông tin hiện trạng hạ tầng của NGÂN HÀNG ĐạI DƯƠNG, sẽ xây dựng tại trụ sở chính, các chi nhánh
và các văn phòng giao dịch, mỗi nơi một site. Như vậy sẽ có 10 site của Ngân Hàng trên toàn quốc.
THIẾT KẾ SITE LINK
Kết nối giữa các máy chủ DC tại mỗi site như đề cập ở trên được gọi là Site Link. Đây là một khái niệm được
sử dụng để mô hình hóa d
ải thông sẵn có trên đường truyền kết nối hai site với nhau. Thông thường, hai
mạng bất kỳ được kết nối với nhau bằng đường truyền có tốc độ thấp hơn tốc độ mạng LAN đều có thể xem
như được kết nối bằng Site Link.
Các Site Link được đặc trưng bởi ba tham số sau:
• Cost: Giá trị này của một site link sẽ giúp cho cơ chế nhân bản xác định xem khi nào sử dụng đường
truyền này sau khi so sánh với các site link khác. Giá trị của cost sẽ xác định đường truyền mà tiến trình
nhân bản xảy ra trên đó.
• Replication Schedule: Một site link sẽ được kết hợp với một lịch trình nhằm xác định tại những thời điểm

nào trong ngày, đường truyền sẽ sẵn sàng cho tiến trình nhân bản xảy ra.
• Replication Interval: Tham số này sẽ xác định quãng thời gian sau bao lâu hệ thống sẽ thực hiện nhân
bản những thay đổi đế
n máy chủ DC tại đầu kia của site link.
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 13

Hình 7. Sơ đồ thiết kế SiteLink
1.1.3. DNS
DNS – Dịch vụ giải nghĩa tên được sử dụng để phân giải các tên host tuân theo chuẩn đặt tên FQDN thành
các địa chỉ IP tương ứng. Không gian tên nội bộ (sử dụng trong hệ thống Intranet NGÂN HÀNG ĐạI DƯƠNG)
và không gian tên Internet đã được sử dụng như sau:
• Không gian tên DNS nội bộ: OCEANBANK.CORP
• Không gian tên DNS Internet: OCEANBANK.COM.VN
Không gian tên nội bộ
Không gian tên DNS nội bộ được host thông qua các miền DNS tích hợp với dịch vụ AD của Windows Server
2003 (Active Directory-Integrated DNS). Sử dụng các miền tích hợp v
ới AD này sẽ cho phép tất cả các máy
chủ DC trong forest của NGÂN HÀNG ĐạI DƯƠNG đều có thể trở thành máy chủ DNS. Đây là một giải pháp
nhằm gia tăng tính dự phòng, khả năng sẵn sàng và cân bằng tải của dịch vụ này.
Dịch vụ DNS trên Windows Server 2003 là một dịch vụ DNS động (Dynamic DNS). Nó cho phép các máy
trạm xác thực tự động đăng ký bản ghi với dịch vụ DDNS. Tất cả các tài khoản máy tính sẽ có các bản ghi
tương ứng
đăng ký trong phạm vi miền DNS tích hợp dịch vụ AD mà nó trực thuộc. Điều này cho phép các
yêu cầu nội bộ đối với các đối tượng này được các máy chủ DNS nội bộ phục vụ.
Active Directory-Integrated DNS
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 14
Dịch vụ DNS là một trong những thành phần quan trọng cấu thành dịch vụ AD. Dịch vụ AD sử dụng DNS để
xác định domain quản trị, các thông số giúp cho các người sử dụng có thể đăng nhập vào domain như: máy

chủ DC, máy chủ GC, thông tin về site,….Chính vì vậy khái niệm dịch vụ DNS tích hợp với dịch vụ AD được
đưa ra từ phiên bản Windows Server 2000 và phát triển thêm các tính năng tiên tiến nhằm tối ưu hóa dịch vụ
này trong Windows Server 2003. Tậ
n dụng các đặc tính nổi bật của dịch vụ thư mục AD, dịch vụ DNS cũng
kế thừa những tính năng này cho phép nó gia tăng tính sẵn sàng, khả năng chống lỗi và cân bằng tải.
Đa chủ
DNS trong Windows Server 2003 đưa ra khái niệm các miền tích hợp AD cung cấp một cơ chế nhân bản đa
chủ và các cập nhật an toàn. Các miền tích hợp AD là các miền DNS sơ cấp được lưu trữ như các đố
i tượng
trong cơ sở dữ liệu AD. Điều này cho phép DNS nhân bản mỗi khi cơ sở dữ liệu AD được nhân bản.
Các miền trong dịch vụ DNS sẽ lưu trữ các thay đổi được thực hiện trong Windows Server 2003 trên các
phân vùng thư mục ứng dụng (Application directory partitions) của AD. Tính năng này làm cho hệ thống hoạt
động hiệu quả hơn. Bởi vì dữ liệu được lưu trữ trong phân vùng ứng dụng nên không cần thiết phả
i đưa dữ
liệu này đến máy chủ GC mà chỉ nhân bản đến các máy chủ DC cài đặt dịch vụ DNS.
Cập nhật động an toàn
Miền tích hợp dịch vụ AD có khả năng cập nhật động một cách an toàn bằng cách cho phép người quản trị
điều khiển máy tính nào được phép cập nhật. Điều này ngăn không cho các máy tính không được xác thực
sử dụng các tên đã tồn tại trong cơ sở dữ li
ệu dịch vụ DNS. Windows 2000/XP đều hỗ trợ tính năng cập nhật
động này. Các bản ghi xác thực được cập nhật tự động đến các máy chủ DNS và tự động được ghi vào miền
chứa không gian tên tương ứng cũng tương tự như khi các máy trạm và máy chủ đăng ký tên của chúng với
dịch vụ WINS.
Cập nhật động an toàn có thể ngăn không cho một máy trạm tạo, sửa đổi hoặc xóa bản ghi tùy thu
ộc vào
danh sách điều khiển truy cập (ACL). Mặc định, cập nhật động an toàn ngăn không cho một máy trạm tạo,
sửa đổi hoặc xóa bản ghi nếu máy trạm không phải là chủ thể tạo ra bản ghi. Ví dụ, nếu có hai máy tính trong
hệ thống Intranet NGÂN HÀNG ĐạI DƯƠNG có cùng một tên và cả hai cùng cố gắng đăng ký tên của chúng
trong DNS, tính năng cập nhật động sẽ ngăn không cho máy trạm đăng ký sau đăng ký bản ghi với dị
ch vụ

DNS.
TỔNG QUAN VỀ CẤU HÌNH DNS SERVER CHUNG CHO TOÀN FOREST
• Tất cả các máy chủ DC trong forest OCEANBANK.CORP đều cài đặt dịch vụ DNS. Đây là một giải pháp
nhằm tăng tính sẵn sàng, dự phòng đồng thời sử dụng tính năng nhân bản của dịch vụ AD để đồng bộ
hóa cơ sở dữ liệu dịch vụ DNS.
• Recursion : tính năng này được kích hoạt trên các máy chủ DNS. Đây là nơi máy chủ DNS có thể truy
vấn hoặ
c liên lạc với các máy chủ DNS khác tùy thuộc vào yêu cầu của máy trạm để giải nghĩa tên đầy
đủ, sau đó gửi trả lời trở lại máy trạm.
• Reverse Lookup Zones : đây là tính năng nhằm phục vụ các truy vấn ngược (địa chỉ IP -> tên đầy đủ).
Các miền giải nghĩa ngược ít được sử dụng, tuy nhiên nó vẫn hữu ích đối với một vài ứng dụng và các
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 15
chức năng sửa lỗi thông dụng. Các hoạt động của dịch vụ AD không yêu cầu các miền này. Tuy nhiên
trong quá trình triển khai dịch vụ DNS cho NGÂN HÀNG ĐạI DƯƠNG, tính năng này vẫn được sử dụng.
• Name Server Records : ngoài việc đăng ký các bản ghi SRV, các máy chủ DNS cũng sẽ tự động đăng ký
các bản ghi NS. Các bản ghi này cho phép các máy trạm định vị máy chủ DNS nào có quyền hạn trên
domain.
Các vấn đề liên quan đến DNS Client
Các máy trạm được cấu hình để sử
dụng máy chủ DNS cục bộ tại site của chúng như là DNS chính. Không
cho phép các máy trạm sử dụng máy chủ DNS ngoài phạm vi site của chúng. Phương pháp này sẽ làm giảm
thiểu một lượng lớn lưu lượng truy vấn DNS có thể xảy ra trên đường truyền kết nối WAN. Cấu hình này sẽ
được duy trì thông qua các tùy chọn trong các scope của dịch vụ DHCP.
1.1.4. MÔ HÌNH THIẾT KẾ AD


Hình 8. Mô hình thiết kế AD
Tại Site chính sẽ dựa trên thiết kế để đặt 2 máy chủ Domain Controller. Tại mỗi site chi nhánh sẽ tùy theo số
lượng người sử dụng và nhu cầu mà thiết kế số lượng server phù hợp.

Ở đây khuyến nghị thiết kế server như sau tại mỗi site:
- Tại Site có hơn 50 user, chúng tôi đề xuất sử dụng ít nhất một server
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 16
- Tại các Site có số lượng người dùng ít, ví dụ như các phòng giao dịch chúng tôi đề xuất không cần sử dụng
server. Mọi kết nối sẽ kết nối thẳng về server ở site chính hoặc server tại trung tâm vùng.
Thông số của các máy chủ domain controller:

No Site Domain
Domain
controllers
DC Roles
1 HaNoi (HQ) OCEANBANK.CORP
TSC-DC-01
Schema Master, Domain
Naming Master, PDC,
RID, Global Catalog
TSC-DC-02 Global Catalog
2 HAIPHONG OCEANBANK.CORP HP-DC-01 Global Catalog
3 DANANG OCEANBANK.CORP DNG-DC-01 Global Catalog
4 VUNGTAU OCEANBANK.CORP VTU-DC-01 Global Catalog
5 SAIGON OCEANBANK.CORP SG-DC-01 Global Catalog
6 HOCHIMINH OCEANBANK.CORP HCM-DC-01 Global Catalog
7 NAMDINH OCEANBANK.CORP NAD-DC-01 Global Catalog
8 CANTHO OCEANBANK.CORP CAT-DC-01 Global Catalog
… ………… ………… ………… …………
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 17
1.2. MICROSOFT EXCHANGE
Hệ thống thư điện tử ngày càng được sử dụng sâu rộng tại các tập đoàn lớn cũng như các doanh nghiệp

nhỏ, các phiên bản trước của máy chủ Exchange vẫn luôn đáp ứng được yêu cầu. Tuy nhiên, ngày càng có
nhiều những yêu cầu mới được đặt ra như chế độ tuân thủ, chế độ bảo mật và khả năng phục hồi dữ liệu sau
thảm h
ọa, … Để đáp ứng đầy đủ những yêu cầu trên, kiến trúc Exchange Server 2007 được xây dựng trên
nền phần cứng 64-bit, đơn giản hóa việc quản trị và định tuyến, đồng thời cho phép 1 máy chủ Exchange
đóng 1 hoặc nhiều vai trò khác nhau.
1.2.1. TÍNH NĂNG MỚI CỦA EXCHANGE SERVER 2007

BẢO VỆ TOÀN DIỆN
Mối đe dọa chính từ thư điện tử là các thư được gửi tự động từ bên ngoài tổ chức. Microsoft đưa ra 2 cách
hiệu quả như nhau để bảo vệ người sử dụng trước các mối nguy hiểm thực sự - bảo vệ chống lại spam và
virus tại các vị trí thích hợp và bảo vệ chống lại spam và virus một cách tập trung.
Để d
ựng sẵn các cách chống lại spam và virus, Exchange 2007 sử dụng hàng loạt các phương thức hạn chế
tối đa các e-mail không mong muốn và các thông điệp chứa virus.
Bảo vệ người dùng khỏi spam
Exchange anti-spam đã được mở rộng trong Exchange Server 2007. Nó bao gồm nhiều lớp bảo vệ ngăn
chặn spam theo nhiều cách khác nhau. Một vài điểm nổi bật như sau:
• Safe-sender aggregation (Tập hợp người gửi an toàn): để giảm những lỗi xác thự
c, những danh sách
Safe-sender được tạo ra bởi Outlook của người dùng sẽ chuyển tới Hub Transport rồi tới máy chủ Edge
Transport (tại vùng DMZ) để các thông điệp từ những người dùng này sẽ được phép gửi nhận mà không
bị ảnh hưởng bởi các mức độ lọc spam.
• Outlook E-Mail Postmarks ( Đóng dấu thư điện tử Outlook): outlook 2007 có thể tạo ra một giải pháp thư
tín đặc trưng, được biết đến như là m
ột postmark (dấu bưu điện), gắn vào mỗi thư gửi ra ngoài. Postmark
yêu cầu số chu kỳ của CPU để được tạo ra và giải mã. Thông thường thì những kẻ spam không đủ thời
gian hoặc tài nguyên máy điện toán để gắn riêng trên từng thư hay trên hàng nghìn thông điệp sẽ gửi ra
ngoài, vì vậy chúng sẽ không sử dụng postmark. Do vậy các thông điệp gắn postmark được nhận bởi
Exchange sẽ được xác nhận lại.

•
Spam quarantine (Cách ly spam): với khả năng cách ly của Outlook Junk E-mail trong Outlook và OWA,
các thông điệp bị nghi ngờ là spam sẽ bị cách ly và xem xét lại bởi người quản trị. Người quản trị có thể
xóa hoặc giải phóng thông điệp từ vùng cách ly tới người dùng.
• Sender reputation (Người gửi danh tiếng): đây là khả năng phân tích và cập nhật động. Khi máy chủ
Edge Transport bị mất phương hướng, nó có thể đưa ra các quyết định hoặc là cách ly hoặc là loại bỏ

các thông điệp đi vào.
• Content Filtering on the Edge Transport server (Lọc nội dung trên máy chủ Edge Transport): những kẻ
spam có thể thay đổi thủ đoạn hoặc phát triển các phương thức mới để tránh bị phát hiện, giờ đây các bộ
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 18
lọc spam có thể tự động cập nhật để kìm hãm spam, do vậy sẽ bảo vệ tổ chức tránh khỏi tình trạng quá
tải.
• Microsoft Forefront Security for Exchange Server (Microsoft Forefront Security cho máy chủ Exchange):
ngoài việc cung cấp một giải pháp bảo vệ chống lại virus một cách hoàn chỉnh, đặc tính này còn cho phép
cập nhật danh sách virus mới, dịch vụ IP Reputation và bộ lọc anti-spam nhiều lần mỗi ngày.
Bảo vệ người dùng khỏi virus
Để bảo vệ các tổ chức ch
ống lại virus, Exchange Server 2007 xây dựng các hàm API mới. Với các hàm này,
các đại lý phần mềm có thể viết các chương trình chống virus tương tác trực tiếp với các tác nhân dựng sẵn
trong Exchange. Các thông điệp được đưa vào trong tổ chức thông qua máy chủ Edge Transport và Hub
Transport, sự truyền tải này có thể gọi các tác nhân chống virus để kiểm tra thông điệp và lọc các nội dung
chứa virus.

Hình 9. Chống lại virus với Microsoft Forefront Security

Thêm vào đó để chương trình này được nâng cao, một giải pháp chống virus hoàn thiện được sử dụng trong
Exchange Server 2007. Forefront Security cho Exchange Server sẽ thực hiện bảo vệ chống lại virus một cách
toàn diện cho các máy chủ Edge Transport, Hub Transport và Mailbox. Sử dụng phương tiện quét nhiều lớp

với khả năng lọc nội dung, Forefront Security cung cấp khả năng chống lại các thông điệp chứa đựng đầy
virus .
ĐƠN GIẢN HÓA KHẢ NĂNG BẢO MẬT
Cũng như các phiên bản trước của Exchange, Exchange Server 2007 sử dụng SMTP để truyền tải thông
điệp giữa các máy chủ Exchange trong phạm vi một tổ chức. Tuy nhiên, tất cả thông điệp trong Exchange
Server 2007 được mặc định là mã hóa. Transport Layer Security (TLS) được sử dụng cho lưu lượng từ máy
chủ tới máy chủ, Remote Procedure Call (RPC) được mã hóa để sử dụng cho các kết nối Outlook, và Secure
Socket Layers (SSL) được sử dụng cho Client Access traffic (Outlook Web Access, Microsoft® Exchange
ActiveSync®, và Web Services). Những nhân tố trên giúp các thông điệp được b
ảo vệ cẩn mật hơn.
Kerberos được sử dụng để xác thực, và Transport Layer Security đơn giản là được dùng để mã hóa. TLS
được đơn giản hóa trong Exchange Server 2007 vì nó sử dụng giấy chứng nhận SSL của chính nó. Các máy
chủ Exchange được cấu hình tự động với một giấy chứng nhận SSL, các máy chủ Exchange nội mạng không
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 19
thể mã hóa thông điệp chỉ với SSL, nhưng nếu các máy chủ SMTP ngoại mạng được cấu hình gửi/nhận sử
dụng TLS, các thông điệp này sẽ được mã hóa tốt hơn.
ĐƠN GIẢN HÓA KHẢ NĂNG QUẢN TRỊ
Một trong những nhiệm vụ chính của Exchange Server 2007 là tạo ra khả năng quản trị dễ dàng và hiệu quả
hơn. Công việc bảo trì, giám sát và xử lý sự cố hàng ngày có thể trở
thành gánh nặng cho các doanh nghiệp.
Với các công cụ và những đặc điểm mới, Exchange Server 2007 sẽ giúp đơn giản hóa việc quản trị
Exchange để dịch vụ Service Level Agreements có thể gữ vững, giám sát, tiên phong bảo trì nhằm phát hiện
và ngăn chặn các vấn đề trước khi chúng nảy sinh.
Công cụ nâng cao khả năng quản lý
Exchange Server 2007 giới thiệu công cụ quản lý mới, đơn giản hơn với giao diện đồ họa - Exchange
Management Console - là một Microsoft Management Console (MMC), ph
ản ánh sự thay đổi kiến trúc để các
vai trò máy chủ có thể được quản lý riêng biệt và các mô hình quản trị có thể được triển khai mà không cần
quản trị hoặc các nhóm định tuyến.


Hình 10. Vùng làm việc Exchange Management Console

Bốn vùng làm việc độc lập trong Exchange Management Console Tree như hình trên cho khả năng mềm dẻo
hơn khi ủy quyền quản trị:
• Recipient Configuration cho phép quản lý người nhận.
• Servers cho phép quản lý máy chủ dựa trên các vai trò. Có thể sử dụng vùng làm việc này để cấu hình
cho tất cả các máy chủ Exchange và các đối tượng con.
• Organization Configuration cho phép cấu hình toàn bộ dữ liệu để áp dụng cho các máy chủ đang chạy
các vai trò riêng biệt.
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 20
• Toolbox cung cấp công cụ quản trị và sửa chữa tập trung.

Hình 13. Hộp công cụ Exchange Management Console

Công cụ viết kịch bản mạnh mẽ - Exchange Management Shell
Exchange Management Console sử dụng công nghệ viết kịch bản mạnh mẽ tên là Exchange Management
Shell. Dựa trên công nghệ Windows PowerShellTM, Exchange Management Shell là công cụ dạng dòng lệnh
cho phép truy nhập tới nhiều tập hợp mạnh mẽ của cmdlets. Sử dụng PowerShell, có thể xây dựng các tác
vụ phức tạp với đoạn mã nhỏ hoặc tương tác ngay tại các dấu nhắc dòng lệnh. Với cấu trúc trên, có thể thự
c
thi các lệnh để truy nhập và ảnh hưởng lên một số các tài nguyên khác, gồm có các cơ sở dữ liệu mailbox,
registry và AD.
ĐƠN GIẢN HÓA CẤU HÌNH OUTLOOK VỚI AUTODISCOVER
Trước đây, để cấu hình Outlook cho các máy trạm là một thử thách lớn vì hầu hết người dùng đều không biết
tên máy chủ Exchange. Với khả năng mới là Autodiscover, giờ đây người sử dụng chỉ cần biết tên tài khoản,
mật khẩu và địa chỉ e-mail là có thể
cấu hình được Outlook.
Autodiscover chạy khi Outlook khởi động định kỳ dưới dạng chương trình nền, hoặc khi bị mất kết nối tới máy

chủ Exchange. Tiến trình Autodiscover khi xác định thông tin người dùng như sau:
• Outlook định vị dịch vụ Autodiscover trên máy chủ Client Access sử dụng DNS.
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 21
• Dịch vụ Autodiscover trên máy chủ Client Access sử dụng thông tin cấu hình từ AD để xây dựng cấu hình
mẫu cho Outlook. Cấu hình mẫu này bao gồm các thông tin về Active Directory và Exchange Server
2007.
• Outlook tải các thông tin cấu hình từ dịch vụ Autodiscover.
• Outlook kết nối tới Exchange bằng cách sử dụng các thiết lập cấu hình đã tải về.
NÂNG CAO HIỆU QUẢ
Người sử dụng ngày càng trở nên tinh vi hơn, và hiệu quả của họ dựa trên khả nă
ng tìm kiếm, chia sẻ và sử
dụng thông tin. Yêu cầu của người sử dụng là có thể truy nhập thông tin từ bất kỳ đâu. Với khả năng tích hợp
chặt chẽ với Office 2007, Exchange Server 2007 đã có thê dễ dàng chia sẻ dữ liệu giữa các nguồn tài nguyên
(exchange, SharePoint, file chia sẻ) những tính năng này trước đây chưa từng có, điều này nâng cao hiệu
quả công việc.
Tăng hiệu quả và khả năng tương tác
M
ỗi nhân viên đều có thể là nhân tố tác động mạnh mẽ đến hiệu quả của doanh nghiệp. Ngày nay các doanh
nghiệp trải rộng khắp các nơi trên thế giới, nhân viên tại các văn phòng từ xa hoặc thường xuyên phải đi công
tác, để các nhân viên làm việc được cùng nhau, Exchange Server 2007 cho phép tích hợp truy nhập tới thông
tin các tài nguyên khác bằng cách sử dụng các công cụ dựng sẵn cung cấp khả năng cộng tác. Bao gồm các
đặc điểm sau:
• Unified Messaging cho phép người s
ử dụng ở bất kỳ đâu cũng có thể truy cập tới các giao tiếp kinh
doanh quan trọng của doanh nghiệp, bao gồm e-mail, voice mail, và fax trong desktop, mobile, web, hoặc
phone clients.
• LinkAccess cho phép truy cập tới SharePoint sites và các file chia sẻ thông qua Outlook Web Access,
cần phải phơi SharePoint hoặc files chia sẻ ra ngoài Internet hoặc yêu cầu phải có kết nối virtual private
network (VPN) cho các truy nhập này.

• Calendar Concierge là một tập hợp các đặc tính dùng để tự động và đơn giản hóa việc lập lịch cho
người và các tại nguyên.
• WebReady Document Viewing trong Outlook Web Access 2007 có thể chuyển mã của nhiều loại tài liệu
khác nhau, bao gồm Microsoft Word, Microsoft Excel, Microsoft PowerPoint, và PDF files – từ các định
dạng sẵn có trong HTML, để người dùng có thể xem trong các trình duyệt, thậm chí khi ứng dụng tạo ra
các tài liệu này không được cài đặt trên các máy trạm.
• Flexible Out of Office rules cho phép cấu hình các luật khác ngoài Office cho người dùng nội mạng và
người dùng internet. Mỗi luật đều có thể tạo ngày bắt đầu và ngày kết thúc.


Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 22
1.2.2. THIẾT KẾ LUẬN LÝ
Hệ thống thư điện tử xây dựng trên nền Exchange sẽ gắn chặt với các tài khoản người dùng trong Active
Directory. Hệ thống domain trong Active Directory được xây dựng trên mô hình chung một domain chính là
oceanbank.corp, domain thư điện tử sử dụng không gian tên là @oceanbank.com.vn, mặc dù hai domain
này hoàn toàn độc lập với nhau nhưng khi thiết kế, có thể cấu hình gắn kết các không gian tên với nhau
nhằm đem lại cho người quản trị sự thuận tiện trong vi
ệc quản lý.
Các vai trò máy chủ
Máy chủ Exchange cung cấp hệ thống thư tín hoàn chỉnh chạy trên 1 máy chủ đơn, nghĩa là tất cả các dịch
vụ Exchange được đặt trên cùng 1 máy chủ. Tuy nhiên, để tăng hiệu quả trong việc triển khai, quản lý và bảo
mật, cần cài đặt các dịch vụ thư tín trên nhiều máy chủ khác nhau.
Trong Exchange 2007, các vai trò máy chủ được mở rộng hơn, cho phép phân bổ các vai trò xác định trước
trên các máy chủ riêng biệt. Những vai trò này cho phép doanh nghiệ
p điều khiển luồng thư tín, tăng tính bảo
mật, phân tán dịch vụ, được thể hiện như hình dưới đây

Hình 11. Các vai trò máy chủ trong Exchange Server 2007


Khi cài đặt Exchange 2003, các vai trò máy chủ riêng biệt được tạo ra một cách thủ công. Trong Exchange
Server 2007, các vai trò được định nghĩa trước và được lựa chọn trong quá trình cài đặt. Như vậy không chỉ
đơn giản hóa quy trình triển khai mà còn cho phép tăng hiệu quả quản lý và tận dụng tối đa phần cứng theo
thời gian. Có 5 vai trò của máy chủ Exchange Server 2007 như sau:
• Client Access: tương tự như máy chủ front-end trong các phiên bản trước của Exchange. Máy chủ này
cho phép các giao tiếp ngoài internet tìm tới đúng máy ch
ủ mailbox.
• Mailbox: máy chủ này lưu trữ hòm thư của người sử dụng trong các cơ sở dữ liệu và có thể được tạo
bản sao hoặc sử dụng công nghệ cluster.
• Hub Transport: vai trò này cung cấp khả năng định tuyến nội mạng cho tất cả thư tín – từ máy chủ Edge
Transport, máy chủ Unified Messaging (UM), hoặc giữa 2 người dùng trên cùng 1 cơ sở dữ liệu mailbox.
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 23
Vai trò Hub Transport cũng là nơi các chính sách thư tín sẽ áp dụng lên toàn bộ thư tín chuyển giao ở
phạm vi trong và ngoài tổ chức.
• Unified Messaging (UM): tích hợp Private Branch Exchange (PBX) để cho phép các thông điệp giọng
nói và thông điệp fax chuyển tới các mailbox, cung cấp khả năng quay số kết nối giọng nói cho máy chủ
Exchange. Do nhu cầu hiện tại của Ngân Hàng Đại Dương chưa cần đến chức năng này và cũng để tiết
kiệm chi phí (mua license bản Standard thay vì bản Enterprise) nên s
ẽ không cấu hình chức năng UM
trên máy chủ mail.
• Edge Transport: được đặt tại vùng DMZ, cung cấp dịch vụ bảo mật e-mail, antivirus, anti-spam và khả
năng lọc thư bởi Exchange Hosted Filtering.
Có thể đặt các máy chủ Exchange tiêu biểu trên bất kỳ một máy chủ thành viên nào trong domain, không đặt
tại vùng DMZ vì các giao tiếp này đòi hỏi các tài nguyên như DNS và Active Directory. Tuy nhiên vùng DMZ là
nơi lý tưởng để phân tích các thư đến và lọc ra các e-mail không mong muốn hoặc chứa virus. Exchange
2007 giới thiệu vai trò Edge Transport - máy chủ Exchange không là thành viên của AD - như
ng sẽ phân tích
các thông điệp để loại ra spam và virus.


Hình 12. Vai trò của Edge Transport tại vùng DMZ

Thông tin gửi từ Hub Transport tới Edge Transport bao gồm danh sách người nhận được sử dụng để xác
nhận xem người nhận đã tồn tại hay chưa trước khi chuyển thông điệp vào tiếp bên trong. Các thông tin khác
được đẩy tới Edge Transport gồm có danh sách người gửi an toàn (Safe Sender). Microsoft Office Outlook®
hoặc OWA có thể tự động thêm các địa chỉ SMTP vào danh sách Safe Sender. Danh sách này sẽ đảm bảo
thư của người dùng không bị chặn bởi Exchange anti-spam.
Nhóm quản trị và nhóm định tuyến
Kh
ả năng quản trị trong Exchange 2007 đơn giản và mềm dẻo hơn. Trong các phiên bản trước của
Exchange, nhóm quản trị là các ranh giới chứa đựng các máy chủ và các đối tượng khác. Do vậy khi các
nhóm quản trị được tạo ra sẽ cô lập khả năng quản trị và làm mất tính linh hoạt (không thể di chuyển các máy
chủ giữa các nhóm quản trị). Exchange 2007 đã vượt qua giới hạn này bằng cách loại bỏ nhóm quản trị. Giờ
đây quyền quản trị có thể được ủy quyền từ tổ chức xuống các máy chủ. Khi các doanh nghiệp sử dụng mô
hình quản trị tập trung hoặc phân tán, có thể ủy quyền chặt chẽ và dễ dàng sửa lại nếu mô hình có sự thay
đổi.
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 24
Nhóm định tuyến được tích hợp với các site AD. Vì các tiêu chuẩn thiết kế ranh giới site AD tương tự như
tiêu chuẩn thiết kế nhóm định tuyến, và hầu hết là trong cùng 1 tổ chức, do vậy việc định tuyến của Exchange
sẽ chuyển giao lại cho định tuyến site AD.
Nhóm lưu trữ và thông tin lưu trữ
Exchange Server 2007 Enterprise Edition cung cấp lên tới 50 nhóm lưu trữ và 50 cơ sở dữ liệu cho mỗi máy
chủ. Mỗi nhóm lưu trữ
có thể cấu hình từ 5 lên tới 50 cơ sở dữ liệu. Tại phiên bản này dữ liệu hòm thư được
phân bổ trên nhiều cơ sở dữ liệu, và các cơ sở dữ liệu lại được phân bổ trên nhiều nhóm lưu trữ. Bản
Exchange Server Standard Edition cung cấp 5 nhóm lưu trữ và 5 cơ sở dữ liệu cho mỗi máy chủ. Cả hai
phiên bản này đều không bị giới hạn về kích thước cơ
sở dữ liệu.
Truy cập hệ thư điện tử

Các hình thức truy cập thư điện tử sau đây được sử dụng:
• Truy cập bằng kết nối mạng nội bộ bằng giao thức MAPI, hình thức này áp dụng cho các người dùng tại
các văn phòng chi nhánh mà có máy chủ thư trong hệ thống mạng nội bộ của họ cũng như các người
dùng tại các trung tâm miền. M
ột trong những tính năng nổi bật của hệ thư xây dựng trên nền sản phẩm
Microsoft Exchange là khả năng truy cập bằng giao thức MAPI, giao thức này vừa bảo mật hơn, khả
năng sử dụng đường truyền hiệu quả hơn rất nhiều so với các phương thức truy cập thông thường khác.
Tuy nhiên hình thức truy cập này yêu cầu người dùng phải gia nhập domain nên sẽ áp dụng cho các
người dùng tại các vă
n phòng có máy chủ thư tại hệ thống mạng nội bộ đó.
• Truy cập bằng các giao thức Internet mail thông dụng: POP3, IMAP và SMTP. Đây là các giao thức truy
cập thông thường trong các hệ thư điện tử, sẽ được áp dụng cho các người dùng phải kết nối đến máy
chủ thư ở xa, ví dụ các người dùng tại các chi nhánh không có máy chủ thư trong mạng nội bộ của họ.
Hình thức này hoàn toàn có thể áp dụng cho bất kỳ
các người dùng nào bởi tính đơn giản của nó.
• Các người dùng ở xa, người dùng đi công tác hoặc bất cứ người dùng nào cũng đêu có thể sử dụng một
hình thức truy cập thông dụng và là một tính năng nổi bật của Exchange 2007, đó là truy cập mail qua
đường Web. Hệ thống thư xây dựng trên nền Microsoft Exchange 2007 có khả năng truy cập qua đường
Web rất hiệu quả, tiện dụng và mỹ thuật, đồng thời
đảm bảo rất tốt khả năng bảo mật nhờ cơ chế hỗ trợ
kết nối SSL (HTTPS) có mã hóa đường truyền. Những người dùng có văn phòng ở xa với đường truyền
chậm, người dùng đi công tác xa hoặc làm việc tại nhà có thể thấy rõ nhất hiệu quả của việc sử dụng
Webmail của Exchange.
1.2.3. THIẾT KẾ VẬT LÝ

Các thiết kế tại TSC phải đáp ứng các yếu tố chính là đảm bảo hiệu năng, khả năng dự phòng tốt, tính bảo
mật cao và tiện dụng trong truy cập. Các thiết kế vật lý này được mô tả như sau:
• Để đảm bảo hiệu năng hoạt động tốt, chúng ta nên phân biệt rõ các chức năng của các máy chủ trong hệ
thống. Hệ thống thư điện tử
dựa trên Exchange 2007 có một tính năng rất tốt và đặc trưng là khả năng

phân tách vai trò máy chủ Exchange. Trước tiên phải nói đến máy chủ Edge Transport, được đặt tại vùng
Nguyễn Minh Khang Giải pháp hệ thống tổng thể - Microsoft cho Oceanbank
Trang 25
DMZ, cung cấp dịch vụ bảo mật e-mail, antivirus, anti-spam và khả năng lọc thư bởi Exchange Hosted
Filtering. Do vậy cần phải có tốc độ xử lý và khả năng sẵn sàng cao.
• Máy chủ MailBox là máy chủ chứa hòm thư của người dùng, trong đó chứa các thông tin, dữ liệu quan
trọng nhất trong hệ thống thư điện tử nên việc đáp ứng khả năng sẵn sàng cao là một trong những yếu tố
quan trọ
ng. Đồng thời yêu cầu ổ cứng có dung lượng rất lớn để có thể lưu trữ mailbox của người dùng
trong toàn hệ thống. Khả năng dự phòng và khả năng chịu lỗi cũng cần được nâng cao (yêu cầu sử dụng
RAID 5 hoặc sử dụng công nghệ cluster cho máy chủ này).
• Máy chủ Hub Transport cung cấp khả năng định tuyến nội mạng cho tất cả thư tín ở phạm vi trong và
ngoài tổ
chức. Đồng thời nó giữ thêm vai trò là máy chủ Client Access - phục vụ yêu cầu truy cập qua
Webmail, chuyển tiếp các yêu cầu xác thực đến Mailbox và phản hồi thông tin lại cho người dùng. Với 2
vai trò quan trọng trên thì yêu cầu đặt ra là nâng cao khả năng dự phòng, tránh thời gian chết của dịch
vụ, tăng cường hiệu năng phục vụ người dùng nên cần phải có cấu hình mạnh và ổ cứng có khả năng
chịu lỗi ( có thể s
ử dụng RAID 1 hoặc RAID 5).
1.2.4. MÔ HÌNH THIẾT KẾ HỆ THỐNG THƯ ĐIỆN TỬ


Hình 13. Mô hình thiết kế hệ thống thư điện tử

Thông số các máy chủ phục vụ hệ thống thư điện tử:
No. Site Server Name Domain / Work group Server Roles
1 HANOI EX-EGDE Stand-alone/DMZ Edge Transport