Tai Lieu Dao Tao Tuan 1_T4_phan 2
301
CÔNG TY CỔ PHẦN CÔNG NGHỆ VĨNH HƯNG TÀI LIỆU ĐÀO TẠO QUẢN TRỊ HỆ ĐIỀU HÀNH WINDOWS SERVER 2003 PHÒNG KỸ THUẬT TRIỂN KHAI VERSION 1.0 NGUYỄN VĂN TỨ
-
Upload
tuanduongdanh -
Category
Documents
-
view
38 -
download
2
Transcript of Tai Lieu Dao Tao Tuan 1_T4_phan 2
CÔNG TY CỔ PHẦN CÔNG NGHỆ VĨNH HƯNG
TÀI LIỆU ĐÀO TẠO QUẢN TRỊ HỆ ĐIỀU HÀNH
WINDOWS SERVER 2003
PHÒNG KỸ THUẬT TRIỂN KHAIVERSION 1.0
NGUYỄN VĂN TỨ
HÀ NỘI THÁNG 3 NĂM 2010
MỤC LỤCPHẦN I. TỔNG QUAN VỀ MÁY CHỦ VÀ CÁC LOẠI RAID........................7
I. Tổng quan về máy chủ và các ứng dụng của máy chủ..................................7II. Raid và cách phân biệt..................................................................................9
1. RAID 0......................................................................................................92. RAID 1......................................................................................................93. RAID 0+1................................................................................................104. RAID 5....................................................................................................105.Một số loại RAID khác.............................................................................10
III. Lựa chọn cài đặt Raid................................................................................111. Chọn kiểu RAID......................................................................................112. Chọn lựa phần cứng.................................................................................123. Cài đặt RAID...........................................................................................13TỔNG KẾT.................................................................................................15
PHẦN II CÁC DỊCH VỤ TRÊN WINDOWS SERVER 2003.........................17CHƯƠNG 1 TỔNG QUAN VỀ WINDOWS SERVER 2003..........................18
I. Các phiên bản của họ hệ điều hành Windows Server 2003.....................18II. Các yêu cầu về hệ thống.............................................................................18
1- Phiên bản Web Edition.........................................................................192- Phiên bản Standard Edition..................................................................193- Phiên bản Enterprise Edition................................................................204- Phiên bản Datacenter Edition:..............................................................215- Các phiên bản 64 bit.............................................................................21
CHƯƠNG 2 DYNAMIC HOST CONFIGURATION PROTOCOL (DHCP). 22I . Định nghĩa về DHCP:.................................................................................22II. Mô hình cấp phát IP....................................................................................23
1- Một số khái niệm cơ bản........................................................................232- Mô hình hoạt động của DHCP................................................................24
2.1 Cách thức mà máy khách có được một hợp đồng thuê ban đầu.. .242.2 Định vị máy chủ:................................................................................252.3 Nhận địa chỉ đề xuất..........................................................................252.4 Phản hồi lại địa chỉ đề xuất:...............................................................262.5 Nhận lời xác nhận:.............................................................................26
3- Qúa trình DHCP làm mới một hợp đồng thuê IP................................264- DHCP Relay agent (phần từ chuyển tiếp DHCP)...............................295- Superscope (Siêu phạm vi)...................................................................32
III. Cài đặt và cấu hình các DHCP Server.......................................................321- Trao quyền cấp phát IP cho các DHCP Server.......................................332-Tạo ra một phạm vi địa chỉ “scope ” cho DHCP.....................................343- Chỉ định dải địa chỉ sẽ cấp IP..................................................................344- Cấu hình khoản thời gian thuê bao..........................................................365- Cấu hình các thông số tùy chọn cho máy khách.....................................37
6- Đưa scope đã cấu hình vào làm việc.......................................................407- Cấu hình các thông số tùy chọn cho tất cả các scope..............................418- Cấu hình DHCP một cách chuyên sâu....................................................42
IV. Quản trị và Giám sát hoạt động của DHCP..............................................441- Quản trị DHCP........................................................................................44
1.1 Cập nhật động DNS...........................................................................441.2 Cấu hình các thiết lập cập nhật DNS động trên máy chủ DHCP.......441.3 Sử dụng cập nhật động bảo mật.........................................................441.4 Tự động sao lưu CSDL DHCP..........................................................451.5 Tự động khôi phục CSDL DHCP......................................................45
2- Giám sát hoạt động của DHCP...............................................................453- Xây dựng lại DHCP đã bị hỏng..............................................................46
CHƯƠNG 3 GIỚI THIỆU VỀ WINS, NETBIOS, WINSOCK........................48I. NetBIOS và Winsock...................................................................................48II. WINS-Một dịch vụ NetBIOS dành cho Windows.....................................49III. Cài đặt WINS............................................................................................49IV. Quản trị dịch vụ WINS.............................................................................50
CHƯƠNG 4 DOMAIN NAME SYSTEM (DNS).............................................51I. Tầm quan trọng của DNS trong Active Directory.......................................51II. Các thành phần trong tên DNS...................................................................51
1- Không gian tên miền DNS......................................................................512- Các vùng DNS.........................................................................................52
III. Cài đặt DNS Server...................................................................................53IV. Zone và Sự khác biệt giữa zone và Domain.............................................54V. Cấu hình dịch vụ DNS................................................................................55VI. Xây dựng khả năng chịu lỗi bằng luân phiên nhiều thông tin DNS.........61VII. Quản trị và Giám sát DNS Server............................................................62
1- Bảng điều khiển DNS..............................................................................622- Dùng lệnh Nslookup để truy vấn DNS....................................................623- Sử dụng DNSLint....................................................................................634- DNS Event Log.......................................................................................64
CHƯƠNG 5 ACTIVE DIRECTORY (AD)......................................................66I. Khái niệm AD..........................................................................................66II. Các thành phần chính của một Active Directory.....................................67
1- Miền........................................................................................................672- Nhóm người dùng và nhóm máy.............................................................683- OU (Orgnizational Unit).........................................................................684- Địa bàn (Site).........................................................................................695- Cây..........................................................................................................706- Rừng........................................................................................................70
III. Ưu điểm của AD trong Windows 2003 Server:........................................71IV. Xây dựng AD: Một số công cụ và thực hành............................................72
1- Xây dựng miền đầu tiên..........................................................................72
2- Tiến hành chạy DCPROMO...................................................................72CHƯƠNG 6 CÁC DỊCH VỤ TCP/IP SERVER (IIS,WEB SERVER,FTP SERVER)............................................................................................................84
I. Kiến thức cơ bản về IIS và các ứng dụng Web Server khác....................841- FTP Server...............................................................................................852- Network News (NNTP) server:...............................................................853- Simple Mail Transfer (SMTP) server......................................................854- Cài đặt Internet Information Services (IIS)..........................................865- Cấu hình chuẩn của IIS 6........................................................................886- Tuỳ chọn cấu hình toàn cục cho IIS 6.....................................................90
II. Các đặc tính tổng thể của một Web Site..................................................911- Địa chỉ IP của Site...................................................................................922- Cổng HTTP dành cho Web site...............................................................923- Các mẩu tin host header..........................................................................92
III. Chỉnh sửa các đặc tính của Web site.........................................................931- Các đặc tính Web site..............................................................................932- Các thông số về hiệu năng hoạt động:.....................................................953- Đặt thông số cho bộ lọc ISAPI................................................................954- Các thông số về Home Directory:...........................................................965- Các thông số Documents.........................................................................986- Các thông số về Directory Security.........................................................987- Các thông số về HTTP Header..............................................................1038- Các thông số về Custom Errors.............................................................104
III. Các thư mục ảo...................................................................................1051- Ý nghia của các thư mục ảo..................................................................1052- Cách tạo ra thư mục ảo..........................................................................106
V. Xây dựng một FTP site và cấu hình các dịch vụ FTP..............................1101- Xây dựng một FTP site:.....................................................................1102- Sửa các thông số của FTP site vừa tạo:..............................................113
CHƯƠNG 7 CÀI ĐẶT VÀ QUẢN LÝ REMOTE ACCESS SERVICE.......118I. Những ứng dụng thường gặp của Remote Access Service........................119
1- Nối kết các máy khách nội bộ với Internet...........................................1192- Tiếp nhận những cuộc gọi đến từ các máy khách ở xa.........................1193- Nối kết với một mạng riêng tư..............................................................1194- Tiếp nhận những kết nối VPN từ các máy khách ở xa..........................1195- Quay số kết nối tới một mạng ở xa rồi tiếp vận dữ liệu........................120
II. Cài đặt và định cấu hình RAS server........................................................120IV. Trao quyền truy cập dial-in cho người dùng......................................126V. Thay đổi cấu hình RAS server sau khi cài đặt...................................126
PHẦN III QUẢN TRỊ VÀ KHAI THÁC TÀI NGUYÊN TRÊN WINDOWS SERVER 2003.....................................................................................................130
CHƯƠNG 1 QUẢN TRỊ USER, COMPUTER ACCOUNTS VÀ GROUPS. 131I. Quản lý User và Computer Accounts:.......................................................131
1- Tạo tài khoản người sử dụng (User Accounts).....................................1312- Tạo tài khoản máy tính (Computer Accounts)......................................1403- Hiệu chỉnh các thuộc tính User và Computer Accounts:......................1444- Tạo một mẫu tài khoản người dùng (User Account Template).............1495- Quản lý User và Computer Accounts:...................................................1516- Sử dụng các câu lệnh truy vấn để tìm kiếm User và Computer Accounts....................................................................................................................154
II- Tạo và quản lý các nhóm:........................................................................1571- Tạo các Group:......................................................................................1582- Quản lý các Group memberships..........................................................1713- Thực thi các chiến lược cho việc sử dụng groups:................................1724- Quản lý các Group mặc định.................................................................173
CHƯƠNG 2 QUẢN LÝ TRUY CẬP FILES VÀ FOLDERS TRÊN WINDOWS SERVER 2003.............................................................................176
I- Quản lý truy cập tài nguyên:......................................................................1771- Giới thiệu về Permission:......................................................................1772- Standard và Effective Permissions:.......................................................178
II- Quản lý truy cập shared folders................................................................1791- Cách tạo lập các shared folders:............................................................1802- Mức độ cho phép của shared folders:..................................................1813- Kết nối đối với Share Folder.................................................................1854- Kết hợp mức độ cho phép NTFS và Folder chia sẻ..............................187
III- Quản lý truy cập tới files và folders sử dụng NTFS permissions...........1891- Access Control List (ACL)...................................................................1892- Các quyền NTFS...................................................................................1903- Windows 2003 áp dụng các quyền NTFS như thế nào:........................192
IV- Xác định các permission hiệu quả - Determine effective permissions...197V- Quản lý truy cập tới các shared files bằng cách sử dụng offline caching:.......................................................................................................................198
1- Các Offile Files được đồng bộ như thế nào:.........................................1992- Thực hiện...............................................................................................200
CHƯƠNG III QUẢN LÝ HỆ THỐNG IN ẤN...............................................202I- Triển khai việc in ấn:.................................................................................202
1- In ấn trong môi trường windows server 2003:......................................2021.1- In không qua máy chủ:..................................................................2021.2- In có sử dụng máy chủ:...................................................................203
2. Tìm hiểu về mô hình, thuật ngữ in ấn trong windows server 2003.......203IV– Cài đặt và quản trị máy in:.....................................................................205
1- Cài đặt và dùng chung một máy in dành cho các thiết bị cục bộ.........2052- Cài đặt và dùng chung một máy in dành cho thiết bị in giao diện mạng...................................................................................................................206
III- Cấu hình một máy in chia sẻ trên mạng..................................................2081- Chia sẻ một máy in hiện có...................................................................209
2- Cài đặt một vùng máy in.......................................................................2103- Xác lập các thứ tự ưu tiên trên máy in..................................................2114- Gán quyền cho phép truy cập máy in....................................................214
IV- Cài đặt kết nối các máy trạm tới một máy chủ in ấn:.............................217V- Giám sát các máy in.................................................................................219VI- Xử lý sự cố máy in..................................................................................225
CHƯƠNG 4: SAO CHÉP DỰ PHÒNG SỐ LIỆU..........................................228I- Chuẩn bị cho việc khôi phục sau thảm hoạ..............................................228
1- Khôi phục sau thảm hoạ là gì ?.............................................................2282- Một số nguyên tắc cho việc chuẩn bị khôi phục...................................2293- Sao lưu dự phòng:.................................................................................230
II- Cấu hình file và Folder backup................................................................2331- Sao chép dự phòng dữ liệu và trạng thái...............................................2342- Lập lịch cho một qui trình backup........................................................236
III- Phục hồi các file và Folder......................................................................239IV- Sử dụng các công cụ phục phồi các sự cố..............................................240
1- Khởi động một máy tính bằng cách sử dụng các tuỳ chọn cao cấp......2402- Khởi động một máy tính bằng cách sử dụng Recovery Console..........241
PHẦN I. TỔNG QUAN VỀ MÁY CHỦ VÀ CÁC LOẠI RAID
I. Tổng quan về máy chủ và các ứng dụng của máy chủ
Máy chủ: Một máy tính hay một thiết bị trên mạng, nó quản lý tài nguyên của mạng. Ví dụ như, một máy dịch vụ tập tin là một máy tính hoặc là một thiết bị chuyên dụng để lưu trữ các tập tin. Bất kỳ người sử dụng nào trên mạng cũng có thể lưu trữ các tập tin trên máy chủ.
Một máy dịch vụ in là một máy tính, nó quản lý một hoặc nhiều máy in, và một máy dịch vụ mạng là một máy tính quản lý các luồng thông tin trên mạng. Một máy dịch vụ cơ sở dữ liệu là một hệ thống máy tính xử lý truy vấn cơ sở dữ liệu.Chức năng chủ yếu của Máy chủ là quản lí các tài nguyên mạng.Máy chủ thường là những máy chuyên dụng, nghĩa là chúng không thực hiện nhiệm vụ nào khác bên cạnh các nhiệm vụ dịch vụ của chúng. Tuy nhiên, trên các hệ điều hành đa xử lý, một máy tính có thể xử lý vài chương trình cùng một lúc. Một máy chủ trong trường hợp này có thể yêu các chương trình quản lý tài nguyên hơn là một bộ máy tính trọn vẹn.
Mô hình về máy chủ trong hệ thống mạng thường gặp
Máy chủ ứng dụngNó còn được gọi là APPSERVER. Là một chương trình mà điều khiển tất cả các
hoạt động ứng dụng giữa những người sử dụng và các ứng dụng tầng cuối của một tổ chức doanh nghiệp hoặc là các cơ sở dữ liệu. Các dịch vụ ứng dụng điển hình được sử dụng điển hình cho các ứng dụng liên hợp giao dịch cơ bản. Để hỗ trợ yêu cầu cao, một dịch vụ ứng dụng phải có sự dư thừa bên trong, điều khiển cho khả năng xuất hiện cao,
trình diễn mức độ cao, phân bố các dịch vụ ứng dụng và hỗ trợ liên kết truy cập cơ sở dữ liệu.
Máy chủ in Dịch vụ in được cài đặt trên một mạng để định tuyến các yêu cầu in từ các máy
tính trạm của mạng đó. Các máy chủ điều khiển in tập tin yêu cầu và gửi tập tin đó tới máy in được yêu cầu - Một dịch vụ in cho phép nhiều nguời cùng sử dụng một máy in trên mạng.
Máy chủ cơ sở dữ liệuMột dịch vụ cơ sở dữ liệu là một ứng dụng cơ bản trên mô hình kiến trúc máy chủ
/ máy trạm. Ứng dụng được chia làm hai phần. một phần chạy trên một máy trạm (nơi mà người sử dụng tích luỹ và hiển thị thông tin cơ sở dữ liệu) và phần còn lại chạy trên máy chủ, nơi có nghĩa vụ như là kết nối dữ liệu và lưu trữ - được thực hiện.
Máy chủ thư điện tửHầu hết các dịch vụ web và mail chuyển và lưu trữ mail trên mạng tổng và đưa qua
internet. Ngày nay hầu hết mọi người nghĩ rằng dịch vụ mail là thuật ngữ viết tắt của internet. Tuy nhiên các dịch vụ mail được phát triển trước tiên trên trên nền chung của mạng internet.( LANs và WANs).
Máy chủ Web.Ở phần lõi của nó, một dịch vụ web phục vụ nội dung tĩnh cho một trình duyệt
bằng cách tải một tập tin từ đĩa và chuyển nó lên mạng, tới một người sử dụng trình duyệt web. Sự trao đổi hoàn toàn này được thực hiện gián tiếp thuông qua một trình duyệt và một máy chủ kết nối tới một thiết bị khác sử dụng HTTP. Bất kỳ máy tính nào cũng có thể vào trong một dịch vụ web bằng cách cài đặt phần mềm dịch vụ và kết nối internet. Trên mạng có rất nhiều các phần mềm ứng dụng dịch vụ web, bao gồm các phầm mềm cung cấp tên miền từ NCSA và Apache, và các phần mềm thương mại của Microsoft, Netscape và của nhiều hãng khác.
Máy chủ FTPMột dịch vụ FTP là một phần mềm ứng dụng chạy giao thức truyền dẫn file, giao
thức này trao đổi các tập tin qua mạng internet. FTP làm việc tương tự như cách mà HTTP làm, truyền các trang web từ một máy chủ tới một người sử dụng trình duyệt, và SMTP dùng cho việc gửi các thư điện tử qua mạng internet. Cũng giống như các công nghệ này, FTP sửu dụng giao thức TCP/IP của internet để có thể truyền dữ liệu. FTP được sử dụng rộng rãi để tải về một tập tin từ một máy chủ sử dụng internet hoặc ngược lại (chẳng hạn tải một trang web lên máy chủ).
Máy chủ ProxyĐó là một máy chủ đứng giữa một ứng dụng, như là một trình duyệt web, và một
máy chủ thực sự. Nó ngăn chặn tất cả các yêu cầu tới máy chủ thật nếu nó có khả năng trả lời đầy đủ các yêu cầu, nếu không nó sẽ chuyển các yêu cầu tới máy chủ thật. Các máy chủ uỷ nhiệm có hai mục đích chính: Có thể tăng linh động cho các hoạt động của các nhóm người sử dụng, là vì nó lưu trữ kết quả của tất cả các yêu cầu cho một lượng thời gian nào đó. Các máy chủ uỷ nhiệm cũng yêu cầu lọc để khoá hoặc là không cho phép một kết nối đặc biệt nào đó yêu cầu ra hoặc vào máy chủ.
Các loại máy chủ khác nhau cho các công việc khác nhau.Tuỳ theo loại của hệ thống mà bạn sẽ chon cho một máy chủ tuỳ thuộc chính vào
ứng dụng của nó trong tổ chức của bạn, và dữ liệu đó sẽ được đáp ứng cho việc lưu trữ và hồi phục như thế nào. Số lượng của người sử dụng yêu cầu mà bạn dự toán sẽ được gửi
tới máy chủ, và bao nhiêu máy trạm sẽ được truy cập vào máy chủ, đó là tất cả những gì mà bạn cần quan tâm trước khi lựa chọn một kiến trúc và phần mềm máy chủ.
II. Raid và cách phân biệt Raid
RAID là chữ viết tắt của Redundant Array of Independent Disks. Ban đầu, RAID
được sử dụng như một giải pháp phòng hộ vì nó cho phép ghi dữ liệu lên nhiều đĩa cứng
cùng lúc. Về sau, RAID đã có nhiều biến thể cho phép không chỉ đảm bảo an toàn dữ liệu
mà còn giúp gia tăng đáng kể tốc độ truy xuất dữ liệu từ đĩa cứng. Dưới đây là năm loại
RAID được dùng phổ biến:
1. RAID 0
Đây là dạng RAID đang được người dùng ưa thích do khả năng nâng cao hiệu
suất trao đổi dữ liệu của đĩa cứng. Đòi hỏi tối thiểu hai đĩa cứng, RAID 0 cho phép máy
tính ghi dữ liệu lên chúng theo một phương thức đặc biệt được gọi là Striping. Ví dụ bạn
có 8 đoạn dữ liệu được đánh số từ 1 đến 8, các đoạn đánh số lẻ (1,3,5,7) sẽ được ghi lên
đĩa cứng đầu tiên và các đoạn đánh số chẵn (2,4,6,8) sẽ được ghi lên đĩa thứ hai. Để đơn
giản hơn, bạn có thể hình dung mình có 100MB dữ liệu và thay vì dồn 100MB vào một
đĩa cứng duy nhất, RAID 0 sẽ giúp dồn 50MB vào mỗi đĩa cứng riêng giúp giảm một nửa
thời gian làm việc theo lý thuyết. Từ đó bạn có thể dễ dàng suy ra nếu có 4, 8 hay nhiều
đĩa cứng hơn nữa thì tốc độ sẽ càng cao hơn. Tuy nghe có vẻ hấp dẫn nhưng trên thực tế,
RAID 0 vẫn ẩn chứa nguy cơ mất dữ liệu. Nguyên nhân chính lại nằm ở cách ghi thông
tin xé lẻ vì như vậy dữ liệu không nằm hoàn toàn ở một đĩa cứng nào và mỗi khi cần truy
xuất thông tin (ví dụ một file nào đó), máy tính sẽ phải tổng hợp từ các đĩa cứng. Nếu
một đĩa cứng gặp trục trặc thì thông tin (file) đó coi như không thể đọc được và mất luôn.
Thật may mắn là với công nghệ hiện đại, sản phẩm phần cứng khá bền nên những trường
hợp mất dữ liệu như vậy xảy ra không nhiều.
Có thể thấy RAID 0 thực sự thích hợp cho những người dùng cần truy cập nhanh
khối lượng dữ liệu lớn, ví dụ các game thủ hoặc những người chuyên làm đồ hoạ, video
số.
2. RAID 1
Đây là dạng RAID cơ bản nhất có khả năng đảm bảo an toàn dữ liệu. Cũng giống
như RAID 0, RAID 1 đòi hỏi ít nhất hai đĩa cứng để làm việc. Dữ liệu được ghi vào 2 ổ
giống hệt nhau (Mirroring). Trong trường hợp một ổ bị trục trặc, ổ còn lại sẽ tiếp tục hoạt
động bình thường. Bạn có thể thay thế ổ đĩa bị hỏng mà không phải lo lắng đến vấn đề
thông tin thất lạc. Đối với RAID 1, hiệu năng không phải là yếu tố hàng đầu nên chẳng có
gì ngạc nhiên nếu nó không phải là lựa chọn số một cho những người say mê tốc độ. Tuy
nhiên đối với những nhà quản trị mạng hoặc những ai phải quản lý nhiều thông tin quan
trọng thì hệ thống RAID 1 là thứ không thể thiếu. Dung lượng cuối cùng của hệ thống
RAID 1 bằng dung lượng của ổ đơn (hai ổ 80GB chạy RAID 1 sẽ cho hệ thống nhìn thấy
duy nhất một ổ RAID 80GB).
3. RAID 0+1
Có bao giờ bạn ao ước một hệ thống lưu trữ nhanh nhẹn như RAID 0, an toàn như
RAID 1 hay chưa? Chắc chắn là có và hiển nhiên ước muốn đó không chỉ của riêng bạn.
Chính vì thế mà hệ thống RAID kết hợp 0+1 đã ra đời, tổng hợp ưu điểm của cả hai “đàn
anh”. Tuy nhiên chi phí cho một hệ thống kiểu này khá đắt, bạn sẽ cần tối thiểu 4 đĩa
cứng để chạy RAID 0+1. Dữ liệu sẽ được ghi đồng thời lên 4 đĩa cứng với 2 ổ dạng
Striping tăng tốc và 2 ổ dạng Mirroring sao lưu. 4 ổ đĩa này phải giống hệt nhau và khi
đưa vào hệ thống RAID 0+1, dung lượng cuối cùng sẽ bằng ½ tổng dung lượng 4 ổ, ví dụ
bạn chạy 4 ổ 80GB thì lượng dữ liệu “thấy được” là (4*80)/2 = 160GB.
4. RAID 5
Đây có lẽ là dạng RAID mạnh mẽ nhất cho người dùng văn phòng và gia đình với
3 hoặc 5 đĩa cứng riêng biệt. Dữ liệu và bản sao lưu được chia lên tất cả các ổ cứng.
Nguyên tắc này khá rối rắm. Chúng ta quay trở lại ví dụ về 8 đoạn dữ liệu (1-8) và giờ
đây là 3 ổ đĩa cứng. Đoạn dữ liệu số 1 và số 2 sẽ được ghi vào ổ đĩa 1 và 2 riêng rẽ, đoạn
sao lưu của chúng được ghi vào ổ cứng 3. Đoạn số 3 và 4 được ghi vào ổ 1 và 3 với đoạn
sao lưu tương ứng ghi vào ổ đĩa 2. Đoạn số 5, 6 ghi vào ổ đĩa 2 và 3, còn đoạn sao lưu
được ghi vào ổ đĩa 1 và sau đó trình tự này lặp lại, đoạn số 7,8 được ghi vào ổ 1, 2 và
đoạn sao lưu ghi vào ổ 3 như ban đầu. Như vậy RAID 5 vừa đảm bảo tốc độ có cải thiện,
vừa giữ được tính an toàn cao. Dung lượng đĩa cứng cuối cùng bằng tổng dung lượng đĩa
sử dụng trừ đi một ổ. Tức là nếu bạn dùng 3 ổ 80GB thì dung lượng cuối cùng sẽ là
160GB.
5.Một số loại RAID khác
Ngoài các loại được đề cập ở trên, bạn còn có thể bắt gặp nhiều loại RAID khác
nhưng chúng không được sử dụng rộng rãi mà chỉ giới hạn trong các hệ thống máy tính
phục vụ mục đích riêng, có thể kể như: Level 2 (Error-Correcting Coding), Level 3 (Bit-
Interleaved Parity), Level 4 (Dedicated Parity Drive), Level 6 (Independent Data Disks
with Double Parity), Level 10 (Stripe of Mirrors, ngược lại với RAID 0+1), Level 7
(thương hiệu của tập đoàn Storage Computer, cho phép thêm bộ đệm cho RAID 3 và 4),
RAID S (phát minh của tập đoàn EMC và được sử dụng trong các hệ thống lưu trữ
Symmetrix của họ). Bên cạnh đó còn một số biến thể khác, ví dụ như Intel Matrix
Storage cho phép chạy kiểu RAID 0+1 với chỉ 2 ổ cứng hoặc RAID 1.5 của DFI trên các
hệ BMC 865, 875. Chúng tuy có nhiều điểm khác biệt nhưng đa phần đều là bản cải tiến
của các phương thức RAID truyền thống.
BẠN CẦN GÌ ĐỂ CHẠY RAID?
Để chạy được RAID, bạn cần tối thiểu một card điều khiển và hai ổ đĩa cứng
giống nhau. Đĩa cứng có thể ở bất cứ chuẩn nào, từ ATA, Serial ATA hay SCSI, tốt nhất
chúng nên hoàn toàn giống nhau vì một nguyên tắc đơn giản là khi hoạt động ở chế độ
đồng bộ như RAID, hiệu năng chung của cả hệ thống sẽ bị kéo xuống theo ổ thấp nhất
nếu có. Ví dụ khi bạn bắt ổ 160GB chạy RAID với ổ 40GB (bất kể 0 hay 1) thì coi như
bạn đã lãng phí 120GB vô ích vì hệ thống điều khiển chỉ coi chúng là một cặp hai ổ cứng
40GB mà thôi (ngoại trừ trường hợp JBOD như đã đề cập). Yếu tố quyết định tới số
lượng ổ đĩa chính là kiểu RAID mà bạn định chạy. Chuẩn giao tiếp không quan trọng
lắm, đặc biệt là giữa SATA và ATA. Một số BMC đời mới cho phép chạy RAID theo
kiểu trộn lẫn cả hai giao tiếp này với nhau. Điển hình như MSI K8N Neo2 Platinum hay
dòng DFI Lanparty NForce4.
Bộ điều khiển RAID (RAID Controller) là nơi tập trung các cáp dữ liệu nối các
đĩa cứng trong hệ thống RAID và nó xử lý toàn bộ dữ liệu đi qua đó. Bộ điều khiển này
có nhiều dạng khác nhau, từ card tách rời cho dến chip tích hợp trên BMC.
Một thành phần khác của hệ thống RAID không bắt buộc phải có nhưng đôi khi là
hữu dụng, đó là các khay hoán đổi nóng ổ đĩa. Nó cho phép bạn thay các đĩa cứng gặp
trục trặc trong khi hệ thống đang hoạt động mà không phải tắt máy (chỉ đơn giản là mở
khóa, rút ổ ra và cắm ổ mới vào). Thiết bị này thường sử dụng với ổ cứng SCSI và khá
quan trọng đối với các hệ thống máy chủ vốn yêu cầu hoạt động liên tục.
Về phần mềm thì khá đơn giản vì hầu hết các hệ điều hành hiện đại đều hỗ trợ
RAID rất tốt, đặc biệt là Microsoft Windows. Nếu bạn sử dụng Windows XP thì bổ sung
RAID khá dễ dàng. Quan trọng nhất là trình điều khiển nhưng thật tuyệt khi chúng đã
được kèm sẵn với thiết bị. Việc cài đặt RAID có thể gây một vài rắc rối nếu bạn thiếu
kinh nghiệm nhưng vẫn có hướng giải quyết trong phần sau của bài viết.
Có hai trường hợp sẽ xảy ra khi người dung nâng cấp RAID cho hệ thống. Nếu hệ
thống RAID bổ sung chỉ được dùng với mục đích lưu trữ hoặc làm nơi trao đổi thông tin
tốc độ cao thì việc cài đặt rất đơn giản. Tuy nhiên nếu bạn dự định dùng nó làm nơi cài hệ
điều hành, phần mềm thì sẽ rất rắc rối và phải cài đặt lại toàn bộ từ con số 0.
III. Lựa chọn cài đặt Raid
1. Chọn kiểu RAID
Vậy là bạn đã quyết tâm nâng cấp hệ thống của mình lên tầm cao mới. Nhưng
chọn lựa kiểu RAID phù hợp không hẳn đã đơn giản như bạn nghĩ. Với điều kiện tại Việt
nam , bạn có thể chọn một số giải pháp RAID bao gồm 0, 1, 0+1 và 5. Trong đó RAID 0,
1 là kinh tế nhất và thường có trên hầu hết các dòng BMC hiện tại. Kiểu RAID 0+1 và 5
thường chỉ có trên những loại cao cấp, đắt tiền.
RAID 0 chắc chắn là lựa chọn đem lại tốc độ cao nhất nhưng cũng là thứ mong
manh nhất. Ví dụ bạn sử dụng 4 đĩa cứng ở RAID 0 thì tốc độ truyền dữ liệu có thể lên
tới hơn 100MB/s. Đây là con số hết sức hấp dẫn với bất kì người dùng PC nào. Tuy thế
khả năng mất dữ liệu cũng tăng tỉ lệ lên 4 lần. Đĩa cứng máy tính là một sản phẩm máy
móc có chuyển động và sẽ bị “lão hóa” dần sau thời gian dài sử dụng (thật may là thời
gian đĩa cứng lão hóa khá dài). Ngoài ra, trục trặc điện lưới hay lỗi phần điều khiển cũng
có thể dẫn tới thảm họa. Vì vậy, không nên sử dụng RAID 0 để lưu trữ dữ liệu lâu dài
nhưng nó lại là lựa chọn số một cho các ổ đĩa tạm cần tốc độ cao, ví dụ lưu trữ cơ sở dữ
liệu web. Và nếu bạn định sử dụng lâu dài, hãy thêm một vài ổ cứng và chuyển sang hệ
thống RAID 0+1. Điều đó thực sự lý tưởng nếu có nguồn tài chính dồi dào.
RAID 1 nếu chạy một mình sẽ không có tác dụng gì ngoài chuyện tạo thêm một ổ
đĩa nữa giống hệt như ổ chính. Người dùng thông thường có thể không thấy hứng thú với
RAID 1, ngoại trừ những ai phải lưu trữ và quản lý những tài liệu thực sự quan trọng như
các máy chủ lưu thông tin khách hàng hoặc tài khoản. Nếu dùng RAID 1, bạn nên cân
nhắc bổ sung thêm các khay tráo đổi nóng vì sẽ giúp phục hồi dữ liệu nhanh chóng hơn
(bạn có thể tháo lắp ổ và tiến hành tạo bản sao sang ổ mới bổ sung trong khi hệ thống
đang làm việc bình thường).
RAID 5 vào thời điểm hiện tại đang là lựa chọn số 1 cho mọi loại hình máy tính
nhờ khả năng vừa sửa lỗi vừa tăng tốc. Nếu bạn dự kiến xây dựng một hệ thống RAID từ
4 đĩa cứng trở lên thì RAID 5 chắc chắn là giải pháp tối ưu.
Các loại RAID kết hợp, ví dụ RAID 0+1 hay RAID 50 (5+0) thường cho những đặc điểm
của các kiểu RAID thành phần, tuy nhiên bạn nên cân nhắc và chỉ sử dụng nếu cần thiết
vì chi phí cho linh kiện khá cao. Chúng ta có thể tổng kết lại như trong bảng.
2. Chọn lựa phần cứng
Việc đầu tiên là chọn lựa linh kiện phù hợp. Về chipset điều khiển RAID, bạn
không có nhiều lựa chọn vì cơ bản chúng được tích hợp trên BMC. Tuy nhiên bạn cần
chú ý những điểm sau.Hiện tại bộ điều khiển RAID tích hợp thường gồm hai loại chính:
chip điều khiển gắn lên BMC hoặc hỗ trợ sẵn từ trong chipset. Thông dụng gồm:
Chipset tích hợp:
+ Intel ICH5R, ICH6, ICH7. Những chipset cầu nam (SouthBridge) này đi kèm
với dòng i865/875/915/925/945/955.
+ nVIDIA nForce2-RAID (AMD), nForce 3 Series (AMD A64), nForce 4 Series
(AMD A64/ Intel 775).
Chip điều khiển bên ngoài: Có khá nhiều chủng loại của các hãng khác nhau như
Promise Technology, Silicon Image, Adaptec, nhưng thường thấy nhất là hai dòng
Silicon Image Sil3112 và 3114.
Những loại được tích hợp trong chip cầu nam thường có độ trễ thấp, dễ sử dụng.
Tuy nhiên tính năng thường không nhiều và phần mềm còn hạn chế, đôi khi “lạm dụng”
tài nguyên hệ thống cho tác vụ đọc/ghi. Các loại sử dụng chip của hãng thứ ba thì độ trễ
thường cao hơn (không đáng kể), phần mềm và tính năng có phần phong phú hơn, sử
dụng tối thiểu tài nguyên; các loại card rời thì dễ thay đổi, tháo lắp khi cần thiết. Tuy vậy
bạn cần chú ý một điều cực kì quan trọng là loại Silicon Image Sil3112 có tính tương
thích tương đối kém, do đó khi chuyển sang các hệ RAID khác có thể bị mất dữ liệu.
Sil3114 và cao hơn đã khắc phục được lỗi này. Các hệ nForce và ICH5,6,7 có thể trao đổi
ổ cứng qua lại dễ dàng, BIOS RAID của chúng cũng thông minh hơn và thường có khả
năng nhận diện những nhóm ổ cứng RAID định dạng sẵn.
Về ổ cứng thì bạn nên chọn các loại có khả năng truyền dữ liệu lớn và tốc độ truy
xuất nhanh. Tốc độ truy xuất (Access Time) chỉ định thời gian cần thiết để đĩa cứng tìm
thấy dữ liệu cần dùng và thông số này càng nhỏ càng tốt. Ngoài ra ổ cứng cũng nên có bộ
đệm lớn (8MB trở lên), một số model mới có dung lượng bộ đệm 16MB và những công
nghệ cho phép tăng hiệu năng làm việc đáng kể (như Seagate NCQ chẳng hạn). Tốt nhất
các ổ cứng nên giống nhau vì RAID sẽ bị ảnh hưởng nếu có ổ đĩa chậm chạp hoặc dung
lượng bé theo đúng tiêu chí “con sâu làm rầu nồi canh”.
3. Cài đặt RAID
Việc cài đặt RAID nói chung chủ yếu dựa vào BIOS của mainboard, RAID
Controller và hầu như không có gì khó khăn.Sau khi đã cắm ổ cứng vào đúng vị trí RAID
trên bo mạch (tham khảo tài liệu đi kèm sản phẩm), bạn vào BIOS của BMC để bật bộ
điều khiển RAID và chỉ định các cổng liên quan (thường trong mục Integrated
Peripherals).Sau thao tác này, bạn sẽ lưu thông số rồi khởi động lại máy tính. Chú ý thật
kĩ màn hình thông báo và nhấn đúng tổ hợp phím khi máy tính yêu cầu (có thể là Ctrl+F
hoặc F4 tùy bộ điều khiển RAID) để vào BIOS RAID.
Đối với BIOS RAID, mặc dù mỗi loại có một giao diện khác nhau (tham khảo tài
liệu đi kèm) nhưng về cơ bản bạn phải thực hiện những thao tác sau:
+ Chỉ định những ổ cứng sẽ tham gia RAID.
+ Chọn kiểu RAID (0/1/0+1/5).
+ Chỉ định Block Size: Đây là chìa khóa ảnh hưởng rất lớn tới hiệu năng của giàn
ổ cứng chạy RAID. Đối với RAID dạng Striping, Block size cũng có nghĩa là Stripe Size.
Nếu thông số này thiết lập không phù hợp với nhu cầu sử dụng thì sẽ gây lãng phí bộ nhớ
và giảm hiệu năng. Ví dụ nếu Block Size có giá trị là 64KB thì tối thiểu sẽ có 64KB được
ghi vào ổ đĩa trong mọi trường hợp, ngay cả khi đó là một file text có dung lượng 2KB.
Vì thế giá trị này nên xấp xỉ tương ứng với kích thước trung bình của các file bạn dùng.
Nếu ổ cứng chứa nhiều file nhỏ ví dụ tài liệu Word, bạn nên để block size bé, nếu chứa
nhiều phim ảnh hoặc nhạc, block size lớn sẽ cho hiệu năng cao hơn (nhất là với hệ thống
RAID 0).
Bên cạnh đó, Block size còn có một chức năng khác quyết định việc file sẽ được
ghi vào đâu. Quay về với ví dụ Block Size 64KB, nếu như file có kích thước nhỏ hơn
64KB, nó sẽ chỉ được ghi vào một ổ cứng trong hệ thống RAID và như vậy sẽ không có
bất cứ sự cải thiện hiệu năng nào. Trong một trường hợp khác, một file có kích thước
150KB sẽ được ghi vào 3 ổ đĩa với các đoạn 64KB + 64KB + 22KB và bộ điều khiển có
thể đọc thông tin từ ba ổ cùng lúc cho phép tăng tốc đáng kể. Nếu bạn chọn block size là
128KB thì file đó chỉ được ghi vào 2 ổ 128KB + 22KB mà thôi. Thực tế bạn nên chọn
Block Size là 128KB cho các máy tính để bàn trừ khi có nhu cầu riêng.
Sau khi bộ điều khiển đã nhận biết hoàn hảo hệ đĩa cứng mới, bạn tiến hành cài
đặt hệ điều hành cũng như format ổ RAID. Windows XP là một lựa chọn sáng suốt.
Việc cài đặt Windows nói chung cũng giống như bình thường nhưng bạn cần
chuẩn bị một ổ đĩa mềm và đĩa mềm chứa trình điều khiển (driver) cho bộ điều khiển
RAID. Ngay sau khi nhấn bàn phím để vào cài đặt, bạn phải chú ý dòng chữ phía dưới
màn hình cài Windows để nhấn F6 kịp lúc. Sau đó chờ một lát và khi được hỏi, bạn nhấn
S để đưa driver RAID vào cài đặt.
Các bước còn lại, bạn thao tác đúng như với việc cài đặt trên một đĩa cứng bình
thường.Sau khi đã ổn định được hệ thống, bạn chú ý cài thêm những tiện ích điều khiển
hệ thống RAID để tận dụng các tính năng mở rộng và đôi khi là cả hiệu năng nữa. Có thể
liệt kê một số chương trình như Intel Application Acceleration RAID Edition hay
nVIDIA RAID Manager...
Chú ý chung:
Nếu bạn đang có một ổ đĩa đầy dữ liệu và muốn thiết lập RAID 0, bạn phải
format ổ và làm lại mọi thứ. Vì thế hãy tìm cho mình một phương án sao lưu phù hợp.
Nếu sử dụng RAID 1 thì việc này không cần thiết.
Thông thường với một hệ thống RAID 0 bạn nên có thêm một ổ cứng nhỏ để lưu
những thứ tối quan trọng phòng khi có trục trặc mặc dù rất khó xảy ra.
Khi máy tính khởi động lại (đặc biệt là khi bị khởi động bất thường), có thể hệ thống sẽ
dừng lại khá lâu ở quá trình bộ điều khiển RAID nhận diện các ổ đĩa, thậm chí có thể có
nhiều tiếng động lạ phát ra ở phần cơ đĩa cứng. Bạn không phải lo lắng vì điều này hoàn
toàn bình thường do bộ điều khiển phải đồng bộ hoạt động của tất các ổ trong nhóm
RAID mà nó quản lý.
Các nhóm đĩa cứng RAID thường gồm vài ổ đĩa cứng hoạt động cạnh nhau nên nhiệt
lượng tỏa ra khá lớn, không có lợi về lâu dài. Bạn hãy tìm giải pháp giải nhiệt nếu có điều
kiện để tránh rắc rối ngoài ý muốn.
Kiểu
RAID
Số lượng đĩa
cứng
Tính bảo
mật
Dung lượng
cuối
Hiệu
năng
Độ an toàn
dữ liệu
Giá
thành
0 1+Bình
thường100% Rất tốt Kém Rất Thấp
1 2 Tốt 50% Khá Tốt Thấp
5 3+ Khá (x-1)/x Tốt TốtTrung
bình
0+1 4,6,8 Tốt 50% Tốt Tốt Cao
TỔNG KẾT
Giá trị mà RAID mang lại cho hệ thống là không thể phủ nhận - sự an toàn, hiệu
năng cao hơn tùy cấu hình. Thực tế cho thấy RAID 0 và 0+1 được ưa chuộng nhất trong
môi trường gia đình. RAID 0 nhanh nhất nhưng cũng nguy hiểm nhất, chỉ cần một trục
trặc là coi như mọi chuyện chấm dứt. Trong khi đó RAID 1 mặc dù đem lại khả năng bảo
đảm an toàn thông tin nhất nhưng cũng thường đem lại cho người dùng cảm giác lãng phí
(chi tiền cho 2 ổ cứng mà hiệu năng và dung lượng chỉ được 1). RAID 5 đem lại hiệu
năng cũng như độ an toàn cao nhưng thiết bị điều khiển thường khá đắt, đó là chưa kể
đến số tiền chi cho ổ cứng cũng nhiều hơn nên ít người quan tâm trừ khi công việc cần
đến. Chính vì thế, một số người dùng lại quay sang hướng sử dụng các ổ đĩa SCSI để giải
quyết vấn đề hiệu năng/an toàn thông tin, tuy nhiên chi phí cho một hệ thống SCSI loại
tốt có thể còn đắt hơn nữa.
Nếu để ý kĩ hơn, chúng ta sẽ thấy chuẩn IDE có nhiều vấn đề ví dụ các ổ đĩa
không được thiết kế để chạy liên tục (rất quan trọng đối với các hệ thống máy chủ), dây
cáp ATA hiện tại còn quá cồng kềnh nên khi sử dụng nhiều ổ đĩa sẽ dẫn tới hiện tượng
chật kín case và trong trường hợp xấu nhất, nhiệt lượng tỏa ra sẽ dẫn tới trục trặc hệ
thống. Nhưng với công nghệ ngày càng phát triển và những chuẩn mới như SATA ra đời,
chắc chắn RAID sẽ có một tương lai tươi sáng và trở thành người bạn đồng hành lý tưởng
cho các hệ thống máy tính cá nhân cao cấp.
PHẦN IICÁC DỊCH VỤ TRÊN WINDOWS SERVER 2003
CHƯƠNG 1 TỔNG QUAN VỀ WINDOWS SERVER 2003
Windows Server 2003 là sản phẩm mới nhất trong các hệ điều hành Windows Server và được cải tiến rất nhiều so với các hệ điều hành trước đó như: bảo mật tốt hơn, độ tin cậy cao hơn và dẽ dàng hơn trong việc quản trị. Phần sau đây sẽ trình bầy tổng quan về họ sản phẩm Windows Server 2003, tập trung vào các điểm giống nhau và khác nhau giữa 4 phiên bản: Web Edition, Standard Edition, Enterprise Edition và Datacenter Edition.
I. Các phiên bản của họ hệ điều hành Windows Server 2003
Windows Server 2003 là một phiên bản cập nhật cho nền tảng và các công nghệ đã giới thiệu cho Windows 2000.
Mặc dù giao diện của Windows Server 2003 khá giống với hệ điều hành Windows 2000 nhưng hệ điều hành này có rất nhiều cải tiến và các tính năng mới nhằm bổ sung khả năng bảo mật, độ tin cậy và tăng cường nhiều công cụ quản trị.
Các tính năng khác nhau của Windows Server 2003 được thiết kế để hỗ trợ các nền tảng thiết bị phần cứng và vai trò máy chủ khác nhau. Bên cạnh các phiên bản như: Web Edition, Standard Edition, Enterprise Edition và Datacenter Edition, Hệ điều hành này còn có thêm các phiên bản hỗ trợ phần cứng 64 bit và các hệ thống nhúng.
II. Các yêu cầu về hệ thống
Bốn phiên bản hệ điều hành khác nhau trong việc hỗ trợ phần cứng. Bảng dưới đây liệt kê các yêu cầu hệ thống đối với từng phiên bản, đồng thời kèm theo khuyên nghị về phần cứng của Microsoft
1- Phiên bản Web Edition
Để tăng tính cạnh tranh của Windows Server 2003 so với các máy chủ Web khác, Microsoft đã cho ra đời một phiên bản đặc biệt của Windows Server 2003, được thiết kế chuyên dụng cho một máy chủ Web. Phiên bản Web là một phần của hệ điều hành chuẩn cho phép người quản trị có thể triển khai các Web Site, các dịch vụ của Web và các ứng dụng của Web mà không tốn nhiều chi phí và công sức quản trị. Hệ điều hành này hỗ trợ tối đa 2Gb bộ nhớ RAM và 2 bộ vi xử lý- chỉ bằng một nửa so với khả năng hỗ trợ của bản Standard Edition
Phiên bản Web không có nhiều tính năng như các phiên bản Windows Server 2003 khác, tuy nhiên nó vẫn tích hợp một số thành phần có thể không cần thiết cho một Web Server điển hình, cụ thể là:
Một máy chủ chạy phiên bản Web có thể là thành viên của một miền sử dụng Active Directory nhưng nó không thể trở thành máy chủ quản trị miền
Mô hình Client Access License-ACL (Giấy phép truy nhập máy trạm) chuẩn không được áp dụng cho các máy chủ chạy hệ điều hành Web Edition. Hệ điều hành này hỗ trợ không giới hạn số lượng kết nối Web nhưng lại hỗ trợ tối đa 10 kết nối Server Message Block (SMB) đồng thời. Điều này có nghĩa là nếu trong mạng của bạn sử dụng máy chủ chạy hệ điều hành Web Edition thì không thể có nhiều hơn 10 người sử dụng có thể truy cập tài nguyên file và máy in tại một thời điểm bất kỳ.
Các tính năng Tường lửa Bảo vệ kết nối Internet (Internet Connection Firewall-ICF) và Chia sẻ kết nối Internet (Internet Connection Sharing) sẽ không có trong phiên bản Web, điều này sẽ không cho phép máy chủ Web thực hiện chức năng của một cổng kết nối Internet.
Một máy chủ chạy hệ điều hành Web Edition không thể thực hiện chức năng của một máy chủ DHCP
Phiên bản Web sẽ không cho phép chạy các ứng dụng không phải là dịch vụ Web
Tuy nhiên, phiên bản Web lại bao gồm đầy đủ các thành phần mà một máy chủ Web thường dùng, bao gồm Microsoft Internet Information Service (IIS), Network Load Balancing (NLB) Microsoft ASP.NET
2- Phiên bản Standard Edition
Phiên bản Standard dùng cho nền tảng là máy chủ đa chức năng trong đó có khả năng cung cấp các dịch vụ thư mục (Directory), file, in ấn, ứng dụng multimedia, dịch vụ internet. Sau đây là một vài trong rất nhiều tính năng tích hợp trong phiên bản này:
Directory service (Dịch vụ thư mục): Phiên bản Standard có khả năng hỗ trợ đầy đủ Active Directory cho phép các máy chủ có thể đóng vai trò là thành viên hoặc là máy chủ quản trị miền. Quản trị của hệ điều hành này có thể sử dụng các công cụ kèm theo để triển khai dịch vụ Active Directory, các chính sách nhóm (GP- Group Policy) và các dịch vụ khác dựa trên nền Active Directory.
Dịch vụ Internet: Phiên bản Standard bao gồm IIS 6.0 cung cấp các dịch vụ Web, FTP và các thành phân khác trong quá trình triển khai máy chủ Web như:
dịch vụ Cân bằng tải (NLB- Network Load Balancing). Chức năng NLB cho phép nhiều máy chủ Web cùng có thể duy trì một Web Site đơn, chia sẻ các yêu cầu kết nối của client trong tối đa là 32 máy chủ.
Các dịch vụ cơ sở hạ tầng: Phiên bản Standard bao gồm các dịch vụ Microsoft Dynamic Host Configuration protocol (DHCP), Domin name system (DNS), và Windows Internet name service (WINS), cung cấp các dịch vụ cho mạng nội bộ và các máy khách trên Internet.
Địng tuyến TCP/IP (TCP/IP Routing): Một máy chủ Standard có thể thực thi như một Router với rất nhiều cấu hình bao gồm định tuyến LAN, WAN, định tuyến truy cập Internet, định tuyến truy cập từ xa. Để thực hiện các chức năng này, dịch vụ Định tuyến và Truy cập từ xa (Routing and Remote Access Service) có hỗ trợ tính năng Chuyển đổi địa chỉ mạng (Network Address Translation-NAT), Dịch vụ xác thực Internet (Internet Authentication Service-IAS), các giao thức định tuyến như Giao thức thông tin định tuyến (Routing Information Protocol-RIP) và Ưu tiên đường ngắn nhất (Open Shortest Patth First-OSPF).
Các dịch vụ file và in ấn: Người dùng trong mạng có thể truy cập các ổ đĩa, thư mục và máy in chia sẻ trên một máy chủ chạy phiên bản Standard của hệ điều hành.
Máy chủ Terminal (đầu cuối): Một máy chủ chạy phiên bản Standard có thể thực hiện chức năng của một Máy chủ dịch vụ đầu cuối, cho phép các máy tính và các thiết bị khác có thể nhìn thấy màn hình Windows và các ứng dụng đang chạy của máy chủ này.
Các dịch vụ bảo mật: Phiên bản Standard có rất nhiều tính năng bảo mật mà một quản trị viên có thể triển khai bao gồm: Mã hóa hệ thống file (EFS)-bảo vệ các file trên ổ cứng máy chủ bằng cách lưu giữ chúng trong một định dạng được mã hóa , tính năng bảo mật (IP Security-IPSec) mở rộng-sử dụng chữ ký số để mã hóa dữ liệu trước khi truyền đi trên mạng, tính năng tường lửa ICF - quy định các luật đối với các luồng dữ liệu từ Internet đi vào trong mạng và tính năng sử dụng Public Key Infrastructure (PKI)- cung cấp khả năng bảo mật dựa trên mã hóa công khai và các chứng nhận số hóa.
3- Phiên bản Enterprise Edition
Phiên bản Enterprise được thiết kế hoạt động trên các máy chủ cấu hình mạnh của các tổ chức, doanh nghiệp cỡ vừa và lớn. Phiên bản này khác phiên bản Standard chủ yếu ở phần cứng. Ví dụ: Bản Enterprise hỗ trợ tối đa 8 bộ vi xử lý so với 4 ờ bản Standard và tối đã 32Gb bộ nhớ RAM so với khả năng của bản Standard chỉ là 4Gb.
Bản Enterprise còn bổ sung thêm một số tính năng quan trọng mà trong bản Standard không có như:
Microsoft Metadirectory Service-MMS (Dịch vụ siêu thư mục Microsoft): Metadirectory, bản chất là thư mục của các thư mục, một phương tiện để tích hợp nhiều thông tin vào một thư mục đơn, thống nhất. MMS cho phép chúng ta có thể
kết các thông tin trong Active Directory với các dịch vụ thư mục khác để có một cái nhìn tổng thể về tất cả các thông tin về một tài nguyên nào đó.
Server Clustering (Chuỗi máy chủ): Chuỗi máy chủ là một nhóm các máy chủ nhưng lại đóng vai trò như một máy chủ đơn cung cấp khả năng sẵn sàng cao cho một nhóm các ứng dụng. Tính sẵn sàng trong trường hợp này có nghĩa là chu trình hoạt động của ứng dụng đó được phân bổ đều cho các máy chủ trong chuỗi máy chủ đó, giảm tải trên mỗi máy chủ và cung cấp khả năng hứng chịu lỗi cho mỗi máy chủ trong trường hợp bất kỳ máy chủ nào bị lỗi.
Bộ nhớ RAM cắm nóng (Host Add Memory): Phiên bản Enterprise bao gồm phần mềm hỗ trợ một đặc tính của phần cứng gọi là bộ nhớ cắm nóng, cho phép quản trị viên có thể thêm, bớt hoặc thay thế bộ nhớ RAM mà không cần phải tắt máy hay khởi động lại máy chủ. Để sử dụng tính năng này, máy chủ phải có phần cứng hỗ trợ tính năng này.
Quản trị tài nguyên hệ thống của Windows (Windows System Resource Manager - WSRM): Tính năng này cho phép quản trị viên có thể phân bổ các tài nguyên của hệ thống cho các ứng dụng hoặc các chu trình dựa trên yêu cầu sử dụng đồng thời duy trì các bản báo cáo về tài nguyên do các ứng dụng hay chu trình trong hệ thống sử dụng. Điều này cho phép các doanh nghiệp có thể thiết lập giới hạn sử dụng tài nguyên cho một ứng dụng xác định hoặc tính chi phí khách hàng dựa trên tài các nguyên mà họ sử dụng.
4- Phiên bản Datacenter Edition:
Phiên bản Datacenter được thiết kế cho các máy chủ ứng dụng cao cấp, lưu lượng truy cập lớn, yêu cầu sử dụng rất nhiều tài nguyên hệ thống. Phiên bản này cũng giống như phiên bản Enterprise khi so sánh các tính năng, tuy nhiên nó hỗ trợ tốt hơn cho việc mở rộng phần cứng, có thể hỗ trợ tối đa 64Gb bộ nhớ và 32 bộ vi xử lý. Phiên bản này không tích hợp một số tính năng có trong bản Enterprise như: ICS và ICF
5- Các phiên bản 64 bit
Cả hai phiên bản Datacenter và Enterprise đều có phiên bản riêng hỗ trợ các máy tính trang bị bộ vi xử lý Intel Itanium. Itanium là một vi xử lý hỗ trợ cách đánh địa chỉ 64 bit (trong khi các bộ vi xử lý x86 tiêu chuẩn chỉ hỗ trợ 32 bit). Nó được thiết kế đặc biệt cho các tác vụ yêu cầu năng suất bộ xử lý cực lớn như các ứng dụng cơ sở dữ liệu khổng lồ, các phân tích khoa học và các máy chủ Web có lượng truy cập cực lớn.
Các yêu cầu hệ thống cho các phiên bản Itanium chạy các phiên bản Enterprise và Datacenter của các hệ điều hành Windows Server 2003 về cơ bản là khác rất nhiều so với các phiên bản chạy vi xử lý x86 như: không hỗ trợ các ứng dụng chạy 16 bit, các ứng dụng POSIX (Portable Operating System Interface for UNIX) hoặc các dịch vụ in ấn cho các máy trạm Apple Macintosh.
CHƯƠNG 2 DYNAMIC HOST CONFIGURATION PROTOCOL (DHCP)
Bất kể là đang kết nối một mạng intranet chỉ gồm hai máy trạm để chia sẻ một kết nối internet hay bạn đang cấu hình một mạng TCP/IP vĩ đại trải rộng khắp thế giới bạn đều phải giải quyết hai vấn đề cơ bản. Trước hết, mỗi máy trên mạng của bạn phải có một địa chỉ IP riêng biệt và đỏi hỏi phải được cấu hình, tức là nó cần biết chính xác địa chỉ IP của default router của nó là gì? Tên miền của nó là gì? DNS server gần nó nhất ở đâu...
Các mạng dùng hệ điều hành của Microsoft dựa trên TCP/IP cần sử dụng ba công nghệ để thực hiện cấu hình IP và quản lý tên: Dynamic Host Configuration protocol (DHCP), Domin name system (DNS), và Windows Internet name service (WINS). Trong đó, WINS là một "đồ cổ" còn sót lại, một công nghệ mà về lý thuyết mà nói, bạn có thể hoàn toàn bỏ nó đi mà không phải cấu hình trong mạng của bạn. Nhưng trong thực tế bạn vẫn phải dùng thứ đồ cổ trên bởi trong mạng hiện tại của bạn không chỉ hoàn toàn chạy các máy từ Windows 2000 trở lên và các ứng dụng chạy trên mạng đó được xây dựng cho những hệ điều hành từ sau NT 4.
Sau chương này, bạn có thể:
Hiểu được khái niệm về DHCP
Quá trình hoạt động của DHCP
Cách cài đặt và cấu hình một DHCP
Khôi phục lại một DHCP
Cấu hình DHCP tại Sở Tài chính
I . Định nghĩa về DHCP:
Trước đây, khi bạn dùng TCP/IP cho một mạng máy tính thì bạn phải có 1 danh sách các máy PC và địa chỉ IP của chúng ở một nơi nào đó, nó giống như một danh bạ điện thoại vậy. Và đương nhiên, quản trị mạng vào thời điểm đó có thể lưu giữ danh bạ này dưới dạng một file trên máy chủ (kiểu file như HOST) nhằm kiểm soát những địa chỉ IP nào đã được dùng rồi và việc cấu hình của quản trị mạng thời điểm đó là phải đi đến từng máy trạm.
Hiện nay, với một mạng máy tính phát triển rộng, số lượng PC lớn thì việc quản lý địa chỉ theo kiểu như trên là hết sức thủ công và tốn nhiều công sức. Chính vì thế mà giao thức TCP/IP “bootstrap” ra đời, thường được gọi là BOOTP. Với BOOTP, một quản trị viên bất kỳ có thể thu thập một danh sách các địa chỉ MAC của từng card mạng. Tiếp theo, người quản trị viên ấy có thể phân bổ một địa chỉ IP cho mỗi địa chỉ MAC đó rồi giao cho một server lưu giữ bảng bao gồm các cặp địa chỉ MAC và địa chỉ IP này. Khi một máy trạm sử dụng BOOTP khởi đầu ngày làm việc, nó sẽ lan truyền khắp nơi (broadcast) để mong muốn nhận được một địa chỉ IP. Máy BOOTP server sẽ nhận ra địa chỉ MAC của máy trạm ấy và sẽ cung cấp cho máy trạm đó địa chỉ IP tương ứng với địa
chỉ MAC mà nó lưu giữ. Đây quả thực là một cải tiến vĩ đại trong vấn đề quản lý và cấp phát địa chỉ IP cho các máy trạm.
Tuy nhiên, khả năng trao các địa chỉ IP của BOOTP từ vị trí trung tâm là server thực sự xuất sắc nhưng không thực sự linh động. Và người ta đã sáng chế ra một công cụ đã được đơn giản hóa đi phần nào, vốn cũng giống như BOOTP là: DHCP
DHCP cải tiến hơn BOOTP ở chỗ: Bạn chỉ việc cho nó một phạm vi địa chỉ IP mà nó được quyền cấp phát, rồi nó sẽ tự cấp phát giải địa chỉ IP đó theo nguyên tắc: Bác PC nào đến trước thì giải quyết trước, bác nào đến sau thì giải quyết sau. Mặt khác, nếu bạn muốn DHCP hành xử theo kiểu BOOTP hoàn toàn thì vẫn có thể làm được bằng cách để cho DHCP cấp phát các địa chỉ IP cho các địa chỉ MAC cụ thể (đó gọi là DHCP reservation). Với DHCP, bạn chỉ cần cấp cố định địa chỉ IP cho vài máy thôi, như cho BOOTP/DHCP và default gateway chẳng hạn.
II. Mô hình cấp phát IP
1- Một số khái niệm cơ bản
Chức năng chủ yếu của DHCP là cấp phát địa chỉ IP, điểm quan trọng và then chốt của quá trình này là nó được thực hiện hoàn toàn tự động. Trước khi đi vào cụ thể quá trình mà DHCP Server cấp phát địa chỉ IP cho máy trạm, bạn nên biết một số khái niệm cơ bản
Máy chủ và máy khách DHCP: Một máy tính lấy các thông tin cấu hình của nó từ DHCP được gọi là máy khách DHCP. Máy khách DHCP giao tiếp với máy chủ DHCP để lấy địa chỉ IP và các cấu hình TCP/IP liên quan. Địa chỉ IP và các thông tin cấu hình máy chủ DHCP cung cấp cho các máy trạm được định nghĩa bởi quản trị viên.
Các hợp đồng thuê IP trong DHCP: Một hợp đồng thuê trong DHCP sẽ là khoảng thời gian mà một máy chủ DHCP gán một địa chỉ IP cho một máy khách DHCP. Khoảng thời gian thuê có thể nằm trong khoảng thời gian từ 1 phút cho đến 999 ngày hoặc có thể là không giới hạn. Khoảng thời gian thuê mặc định là 8 ngày.
Các kiều thông điệp DHCP cơ bản:
o DHCPDISCOVER: Được gửi đi bởi máy trạm thông qua cách gửi quảng bá để tìm thấy máy chủ DHCP. Thông điệp DHCPDISCOVER có thể bao gồm các lựa chọn gợi ý các giá trị cho địa chỉ mạng và khoảng thời gian thuê.
o DHCPOFFER: Được gửi đi bởi một hoặc nhiều máy chủ DHCP tới một máy khách DHCP nhằm mục đích phản hồi lại cho thông điệp DHCPDISCOVER, đi kèm với cấu hình đề xuất.
o DHCPREQUEST: Được gửi đi bởi các máy khách DHCP để báo hiệu rằng nó đã chấp nhận địa chỉ và các tham số mà máy chủ DHCP đề xuất cho nó. Máy khách tạo thông điệp DHCPREQUEST có chứa địa chỉ của máy chủ mà từ đó nó đã chấp nhận đồng thời gắn kèm với địa chỉ IP đã đề
xuất. Bởi vì máy trạm chưa được tự cấu hình nên thông điệp DHCPREQUEST mà nó gửi đi cũng theo kiểu quảng bá. Thông điệp quảng bá này sẽ nhắc máy chủ rằng máy khách đã chấp nhận địa chỉ IP đề xuất đồng thời máy khách sẽ nhắc tất cả các máy chủ DHCP khác (nếu có) trên mạng rằng tôi sẽ từ chối các đề xuất khác.
o DHCPACK: Gửi đi bởi máy chủ DHCP tới máy khách DHCP để từ chối thông điệp DHCPREQUEST của máy khách. Điều này có thể xảy ra nếu địa chỉ IP mà máy khách yêu cầu là không đúng trong trường hợp máy khách đã di chuyển sang một mạng con mới hoặc thời gian thuê IP của máy khách đã hết. Sau khi nhận được thông điệp DHCPACK, máy khách lại bắt đầu quá trình đi hỏi lại thuê IP hoặc làm mới lại hợp đồng thuê IP một lần nữa.
o DHCPRELEASE: Gửi đi bởi một máy khách DHCP đến máy chủ DHCP mà nó đang thuê IP để giải phóng một địa chỉ IP và hủy bỏ thời gian thuê còn lại.
2- Mô hình hoạt động của DHCP
2.1 Cách thức mà máy khách có được một hợp đồng thuê ban đầu
Một máy khách thực hiện quá trình khởi tạo hợp đồng thuê trong các tình huống sau:
Lần đầu tiên máy khách khởi động
Sau khi nó tiền hành giải phóng IP của mình
Sau khi nó nhận được một thông điệp DHCPACK, trả lời cho việc máy khách DHCP đó đang cố gắng làm mới lại một địa chỉ IP đã thuê trước đó.
Nếu thành công, quá trình khởi tạo hợp đồng thuê này là một chuỗi các trao đổi giữa máy khách DHCP và máy chủ DHCP bằng cách sử dụng bốn thông điệp sau: DHCPDISCOVER, DHCPOFFER, DHCPREQUEST, DHCPACK. Quá trình này được minh họa như hình dưới đây:
2.2 Định vị máy chủ:
Máy khách quảng bá thông điệp DHCPDISCOVER để tìm kiếm máy chủ DHCP. Bởi vì máy khách chưa có địa chỉ IP hoặc chưa biết địa chỉ IP của máy chủ DHCP nên thông điệp DHCPDISCOVER được gửi đi một cách quảng bá trong toàn bộ mạng nội bộ với địa chỉ nguồn là 0.0.0.0 và địa chỉ đích là 255.255.255.255. Thông điệp DHCPDISCOVER là một lời yêu cầu của máy khách về vị trí của máy chủ DHCP và thông tin về địa chỉ IP. Thông điệp này có chứa địa chỉ MAC của máy khách và tên máy tính để máy chủ DHCP biết rằng máy khách nào đã gửi yêu cầu.
2.3 Nhận địa chỉ đề xuất
Tất cả các máy chủ DHCP nhận được thông điệp DHCPDISCOVER, đồng thời đã được cấu hình đúng cho máy trạm sẽ quảng bá thông điệp DHCPOFFER với các thông tin sau:
Địa chỉ IP nguồn (Của máy chủ DHCP)
Địa chỉ IP đích (Của máy khách DHCP)
Địa chỉ IP đề xuất
Địa chỉ phần cứng của máy khách
Mặt nạ mạng con
Thời hạn của hợp đồng thuê
Thông tin nhận dạng máy chủ (địa chỉ IP của máy chủ DHCP đang đề xuất)
Sau khi quảng bá thông điệp DHCPDISCOVER của mình, máy khách sẽ chờ trong khoảng thời gian là 1 giây. Nếu không nhận được lời đề nghị nào từ máy chủ DHCP, máy
khách không có khả năng khởi tạo tiếp mà nó sẽ phải quảng bá lại yêu cầu 3 lần ( sau các khoảng thời gian là 9,13 và 16 giây). Nếu vẫn tiếp tục không nhận được lời đề xuất nào đó từ phía máy chủ DHCP thì máy khách tiếp tục quảng bá lại yêu cầu sau khoảng thời gian là 5 phút. Nếu quá trình này không thành công thì các máy khách sử dụng hệ điều hành Windows XP, Windows Server 2003, Windows 98, Windows Me và Windows 2000 có thể sử dụng APIPA để lấy động được một IP và mặt nạ mạng con.
2.4 Phản hồi lại địa chỉ đề xuất:
Sau khi máy khách nhận được lời đề nghị từ ít nhất một máy chủ DHCP, nó sẽ quảng bá thông điệp DHCPREQUEST tới mọi máy chủ DHCP. Thông điệp quảng bá này sẽ chứa các thông tin sau:
Địa chỉ IP của máy chủ DHCP mà máy khách đã chọn
Địa chỉ IP đã yêu cầu của máy khách
Một danh sách các tham số yêu cầu (mặt nạ mạng con, bộ định tuyến, danh sách các máy chủ DNS, tên miền, thông tin đặc thù về nhà sản xuất, danh sách các máy chủ WINS, kiểu nút NETBIOS và phạm vi NETBIOS)
Khi các máy chủ DHCP mà có lời đề xuất không được chấp nhận, nhận được các lời đề xuất DHCPREQUEST này nó sẽ rút lại các lời đề xuất của mình.
2.5 Nhận lời xác nhận:
Máy chủ DHCP mà có các lời đề xuất được chấp nhận sẽ gửi một xác nhận thành công đến máy khách DHCP dưới dạng một thông điệp DHCPACK. Thông điệp này có chứa một hợp đồng thuê hợp lệ của một địa chỉ IP bao gồm cả thời điểm làm mới hợp đồng (sẽ được trình bày trong phần sau) và khoảng thời gian của hợp đồng (tính bằng giây).
3- Qúa trình DHCP làm mới một hợp đồng thuê IP
Vì các IP được thuê chỉ tồn tại trong khoảng thời gian hữu hạn nên máy khách phải thường xuyên đều đặn làm mới hợp đồng thuê IP sau khi có được nó. Quá trình này được phản ánh như hình dưới đây:
Trong quá trình này, việc làm mới hợp đồng thuê IP chỉ sử dụng 2 thống điệp là DHCPREQUEST (kiểu quảng bá hay kiểu đơn nhất) và DHCPACK. Nếu một DHCP làm mới hợp đồng sau khi nó khởi động lại, các thông điệp này được gửi đi dưới dạng thông tin quảng bá (Broadcast). Nếu quá trình làm mới hợp đồng được thực hiện trong khi máy khách DHCP đang chạy thì máy khách DHCP và máy chủ DHCP sẽ giao tiếp với nhau bằng các thông điệp đơn nhất (Unicast- thông điệp điểm-tới-điểm giữa hai máy tính trong mạng).
Khi một máy khách có được một hợp đồng thuê, máy chủ DHCP sẽ cung cấp các giá trị cho các tùy chọn cấu hình mà máy khách DHCP yêu cầu và đã được cấu hình trên máy chủ DHCP. Bằng cách giảm thời hạn của hợp đồng, người quản trị DHCP có thể bắt buộc các máy khách phải thường xuyên làm mới lại hợp đồng thuê và lấy các thông tin chi tiết về cập nhật. Điều này có lợi khi người quản trị muốn thay đổi phạm vi cấu hình hoặc muốn nhiều địa chỉ hơn cho các máy khách DHCP bằng cách thu hồi lại chúng nhanh chóng hơn.
Lần đầu tiên khi máy khách cố gắng làm mới lại hợp đồng thuê là khi đạt được một nửa thời gian thuê, được gọi là T1:
Máy khách DHCP lấy giá trị T1 từ thông điệp DHCPACK khi xác nhận hợp đồng thuê. Nếu việc làm mới hợp đồng thuê không thành công ở thời điểm T1, máy khách DHCP lại cố gắng làm mới lại hợp đồng ở thời điểm 87.5% của thời gian thuê, gọi là T2:
Giống như T1, T2 được xác định trong thông điệp DHCPACK. Nếu hợp đồng không được làm mới lại trước khi nó hết hạn (ví dụ như không thể kết nối đến DHCP
trong một khoảng thời gian dài) thì ngay sau khi hết hạn hợp đồng, máy khách lập tức giải phóng địa chỉ IP và cố gắng tìm kiếm một hợp đồng mới.
4- DHCP Relay agent (phần từ chuyển tiếp DHCP)
DHCP phụ thuộc rất lớn vào các thông điệp quảng bá. Các thông điệp quảng bá này thường được giới hạn trong mạng con mà nó sinh ra và không được chuyển tiếp đến các mạng con khác. Điều này sẽ dẫn đến một vấn đề là nếu như máy khách nằm khác mạng con của máy chủ DHCP. Một DHCP Relay agent (phần từ chuyển tiếp DHCP) có thể là một máy hoặc một thiết bị định tuyến (Router) mà lắng nghe các thông điệp DHCP (và BOOTP) từ máy khách đang quảng bá trong mạng con và chuyển tiếp các thông điệp đó đến máy chủ DHCP. Máy chủ DHCP sẽ gửi các địa chỉ phản hồi lại cho Relay agent và phần tử này sẽ lại quảng bá chúng vào trong các mạng con của máy khách. Sử dụng DHCP Relay agent sẽ giảm thiểu được nhu cầu cần phải có mỗi máy chủ DHCP trong mỗi mạng con.
Để hỗ trợ và sử dụng dịch vụ DHCP họat động trên nhiều mạng con, các thiết bị định tuyến kết nối mạng phải có tính năng hỗ trợ DHCP/BOOTP relay agent- nghĩa là mỗi thiết bị định tuyến phải có khả năng nhận biết các thông điệp DHCP và BOOTP sau đó chuyển tiếp chúng một cách thích hợp. Bởi vì các thiết bị định tuyến điển hình sẽ hiểu các thông điệp DHCP như là các thông điệp BOOTP nên một thiết bị định tuyến chỉ cần có chức năng BOOTP relay agent là sẽ có thể chuyển tiếp được các gói tin DHCP và bất kỳ gói tin BOOTP nào có trong mạng.
DHCP Relay agent được cấu hình với địa chỉ IP của máy chủ DHCP. DHCP Relay agent sẽ lắng nghe các thông điệp DHCPDISCOVER, DHCPREQUEST,
DHCPINFOM được quảng bá từ các máy khách. DHCP Relay agent sẽ đợi trong một khoảng thời gian đã được cấu hình trước và nếu không phát hiện ra phản hồi nào nó sẽ gửi đi một thông điệp đơn nhất (unicast) tới máy chủ DHCP đã cấu hình trước. Máy chủ này sẽ tiếp nhận thông điệp và phản hổi lại cho DHCP Relay agent. Phần tử này sau đó sẽ quảng bá thông điệp vào trong mạng con nội bộ cho phép các máy khách DHCP nhận chúng.
Sau đây là các bước trong quá trình trao đổi thông tin giữa DHCP Relay agent, máy chủ DHCP và máy khách:
1: Máy khách client1 quảng bá một thông điệp DHCPDISCOVER trong mạng con của nó như một gói dữ liệu UDP trên cổng UDP 67, đó là cổng dành riêng và chia xẻ các truyền thông cho máy chủ BOOTP và DHCP.
2: Relay agent kiểm tra địa chỉ IP cổng ra trong header của thông điệp DHCP/BOOTP. Nếu trường này có giá trị là 0.0.0.0, relay agent sẽ điền giá trị của nó vào sau đó chuyển tiếp vào mạng con nơi có máy chủ DHCP
3: Khi máy chủ DHCP nhận được thông điệp DHCPDISCOVER, nó kiểm tra trường IP địa chỉ cổng ra của phạm vi DHCP để xác định liệu nó có thể cung cấp địa chỉ IP. Nếu máy chủ DHCP có nhiều phạm vi, địa chỉ trong trường địa chỉ IP cổng ra sẽ nhận biết phạm vi sẽ đề xuất cho địa chỉ IP cho máy khách.
4: Máy chủ DHCP sẻ gửi thông điệp DHCPOFFER trực tiếp đến relay agent mà nhận biết được trong trường địa chỉ IP cổng ra, sau đó relay agent sẽ quảng bá thông điệp DHCPOFFER này vào mạng con của client1 và client2
5: Sau khi client nhận được thông điệp DHCPOFFER, nó sẽ gửi thông điệp DHCPREQUEST đến relay agent
6: Relay agent sẽ chuyển tiếp gói tin DHCPREQUEST tới máy chủ DHCP
7: Máy chủ sẽ gửi gói tin DHCPACK tới relay agent
8: Relay agent sẽ quảng bá thông điệp DHCPACK vào toàn mạng con cho các client
5- Superscope (Siêu phạm vi)
Một Superscope là một cách nhóm các phạm vi theo mục đích quản trị, sử dụng để hỗ trợ đa mạng hoặc đa mạng con logic (phân đoạn con của một mạng IP) trong một mạng đơn. Khái niệm đa mạng thường xuất hiện khi số lượng máy tính trong một mạng tăng dần đến lúc vượt quá khả năng cung cấp của không gian địa chỉ gốc ban đầu. Bằng cách tạo ra một phạm vi thứ hai riêng biệt một cách logic sau đó nhóm hai phạm vi (scope) này vào trong một superscope đơn, bạn có thể nhân đôi dung lượng đoạn mạng vật lý của bạn mà sẽ cấp địa chỉ. Theo cách này, máy chủ DHCP có thể cung cấp cho các máy khách trên một mạng vật lý các địa chỉ thuê từ nhiều hơn một phạm vi. Các subperscope chỉ chứa danh sách các phạm vi thành viên.
III. Cài đặt và cấu hình các DHCP Server
DHCP Server là loại máy mà cung cấp các địa chỉ IP cho những máy truy cập vào mạng LAN dùng TCP/IP. DHCP chỉ làm việc nếu phần mềm TCP/IP trên các máy trạm đó được xây dựng để làm việc với DHCP, tức là phần mềm TCP/IP có kèm theo phần mềm DHCP client.
Để sẵn sàng cho việc thiết lập một DHCP Server, bạn cần:
Có một địa chỉ IP sẵn sàng cho DHCP Server của bạn, đây phải là một IP tĩnh trên mạng của bạn.
Biết được những địa chỉ IP nào chưa được dùng đến có thể cấp phát tự do, hay nói cách khác là phải có chính sách quy hoạch địa chỉ IP cấp trên hệ thống mạng của bạn.
Bạn cài đặt phần mềm để biến Server của bạn thành DHCP Server theo cách mà bạn cài hầu hết cả dịch vụ mạng khác:
Mở Control Panel (Start/Settings/Control Panel)
Mở Add/Remove Programs.
Nhắp Add/ Remove Windows Components.
Nhấp Next để gọi lên danh sách các thành phần của Windows 2003 Server
Nhấp Networking Service, rồi nhấn Details
Nhấp vào ô duyệt kế bên Dynamic Host Configuration Protocol (DHCP)
Nhấp OK để quay trở về với Windows Components.
Nhấp Next và bấm Finish rồi nhấn Close.
Đến đây là bạn đã kết thúc quá trình cài đặt dịch vụ DHCP, bây giờ bạn có thể thiết lập cấu hình cho cho dịch vụ này qua snap-in DHCP, giống như hình bạn có thể nhìn thấy dưới đây:
1- Trao quyền cấp phát IP cho các DHCP Server
Như bạn đã biết, dưới NT 4, 3.5, bất kỳ ai có đĩa CD cài đặt NT Server cũng có thể cài đặt NT Server lên một máy và biến chính y thành quản trị viên của server đó. Sau đó, với quyền lực của quản trị viên, người đó có thể thiết lập một DHCP Server. Và đương nhiên với chức năng của DHCP Server là cung cấp các dải IP trong mạng của bạn, thì dải IP vô nghĩa đó mà bạn không mong muốn sẽ được cấp khắp trong mạng. Hậu quả là DHCP Server của người đó có thể sẽ trả lời một cách bừa bãi các yêu cầu xin cấp IP từ các máy trạm (Đơn giản vì ông DHCP này chẳng có việc gì làm ngoài việc cấp “chơi chơi” các địa chỉ IP), dẫn đến việc máy trạm thực sự có nhu cầu khai thác thông tin trong mạng xin cấp địa chỉ IP trên không thể làm việc được.
Windows 2003 Server và các phiên bản sau đó của NT Server đã giải quyết vấn đề DHCP Server “dởm” bằng cách vô hiệu hóa việc thiết lập các DHCP Server mới cho tới khi có nào một thành viên của nhóm toàn rừng có quyền lực mạnh nhất của AD, tức là nhóm Enterprise Admins “authorize”- chính thức trao quyền hay chính thức cấp phép cho chúng trong Active Directory.
Để chính thức trao quyền cấp phát cho một Server, bạn gọi chạy snap-in DHCP trong khi đã đăng nhập với tư cách là một Enterprise Admin. Từ của sổ của snap-in DHCP, bạn nhắp vào Server đó rồi chọn lệnh Action/ Authorirized. Bạn sẽ găp một màn hình giống như sau:
2-Tạo ra một phạm vi địa chỉ “scope ” cho DHCP
Để DHCP cấp phát địa chỉ IP cho các máy, nó phải biết phạm vi các địa chỉ mà nó được cấp phát. Microsoft gọi một phạm vi các địa chỉ IP mà nó được cấp phát cùng với thông tin đi kèm với chúng là một “scope”. Để tạo ra một “scope”, bạn chọn chuột phải vào tên Server đó sau đó chọn New scope, bạn sẽ thấy xuất hiện màn hình Wizard. Chọn Next trong màn hình đó, bạn sẽ phải nhập vào các thông tin sau:
Name : Tên của Scope
Dicription : Diễn giải cho scope
3- Chỉ định dải địa chỉ sẽ cấp IP
Ở đây, bạn có thể nhập vào dải địa chỉ IP đã được quy hoạch trước. DHCP sẽ chỉ lấy IP trong dải này để cấp cho các máy trạm khi có yêu cầu truy cập vào hệ thống
Trong một hệ thống mạng, bạn có thể để cho DHCP Server cấp các địa chỉ IP nằm trong dải mà bạn đã quy hoạch, nhưng không có nghĩa là tất cả. Đương nhiên, một số IP bắt buộc phải loại trừ - IP mà đòi hỏi tính ổn định cao và tĩnh hoàn toàn như: IP của Router, DNS Server...Khi đó bạn có thể chỉ ra cho DHCP Server rằng: “Ông phải loại trừ địa chỉ IP này khỏi dải IP mà ông có thể cấp” bằng cách cấu hình như sau:
4- Cấu hình khoản thời gian thuê bao
Đương nhiên là DHCP không bao giờ cấp cho một máy trạm nào một địa chỉ IP vĩnh viến. Máy PC khách chỉ nhận địa chỉ IP được cấp trong một khoảng thời gian cụ thể gọi là một lease, và đến lúc khỏang thời gian cho thuê đó đã hết, máy khách bắt buộc phải thuê một địa chỉ IP khác nếu không muốn chấm dứt dùng IP hoàn toàn.
5- Cấu hình các thông số tùy chọn cho máy khách
Với DHCP Server, bạn không phải chạy đến từng máy trạm để cấu hình các thông số tùy chọn dành cho máy trạm mà các thông số này được cấu hình một cách chọn lọc ngay trong bản thân của DHCP Server. DHCP Server có thể cung cấp các giá trị mặc định cho toàn bộ các thông số TCP/IP của các host như:
Default Gateway
Domain name
DNS Server
WINS Server
Bạn chọn Next để bảo với DHCP rằng bạn sẽ muốn cấu hình các thông số trên, và bạn sẽ thấy thông số đầu tiên cho máy trạm được minh họa như hình sau:
Đây chính là việc mà bạn chỉ ra cho DHCP Server rằng: Tôi sẽ nhận địa chỉ 10.2.192.202 là default gateway. Chọn Next trong hình trên, bạn sẽ nhìn thấy màn hình cấu hình thông số kế tiếp
Trong màn hình này, bạn phải cho DHCP Server biết rằng mỗi khi cho một máy trạm thuê một địa chỉ IP của scope này nó cũng phải cấu hình một tên miền DNS của máy trạm đó- chính là stchno.mof và báo cho máy trạm đó biết rằng nó có thể tìm các DNS Server tại một điểm nào đó.
Chọn Next, bạn sẽ nhìn thấy màn hình cấu hình thông số tiếp theo là dành cho WINS:
Hầu hết, chúng ta vẫn cần phải có WINS Server vì đâu đó trong mạng của chúng ta vẫn còn những máy trạm trước Windows 2000 và các ứng dụng chạy trên máy trạm đó.
6- Đưa scope đã cấu hình vào làm việc
Chọn Next và thế là bạn có thể quyết định khởi động scope đã cấu hình từ nãy đến giờ.
Đó là tất cả những thông số tùy chọn cơ bản về địa chỉ IP của một DHCP Server, đến thời điểm này có thể nói công việc của Wizard ấy đã xong. Tiếp tục, nó sẽ hỏi bạn rằng: “có sẵn sàng đưa scope mà bạn vừa cấu hình vào họat động hay chưa?” như hình sau:
Chọn Next và Finish để kết thúc quá trình cấu hình các thông số cho DHCP Server
7- Cấu hình các thông số tùy chọn cho tất cả các scope
Hãy chú ý đến Folder thấp nhất có tên là Server Option. Chúng sẽ có ích khi bạn cấu hình nhiều scope trên cùng một Server, chẳng hạn như khi bạn có tới vài subnet mạng khác nhau và vài trăm máy trạm mà bạn lại chỉ có hai DNS Server phục vụ cho toàn bộ các máy trạm đó. Khi đó, bạn sẽ hơi vất vả một chút khi thực hiện cấu hình các thông số như tên DNS Server cho tẩt cả các scope đó. Server Options cho phép giải quyết vấn đề này bằng cách cho phép bạn cấu hình các thông số cho tất cả các scope của một Server chỉ bằng một thao tác đơn giản là nhắp chuột phải lên Server Options sau đó chọn Configure Options
Trong màn hình trên, bạn có thể nhìn thấy rất nhiều các thông số mà bạn có thể cấu hình chung cho tất cả các scope trên cùng một Server của bạn.
8- Cấu hình DHCP một cách chuyên sâu
Thêm các thông số cấu hình khác cho DHCP server: Nhấp chuột phải vào server trong DHCP console chọn Properties
Trong trang này có phần Enable DHCP audit Logging để thực hiện việc ghi chép, kiểm toán việc sử dụng DHCP từ việc kiểm tra Server giả vờ đến việc cấp lại các IP cho các máy trạm… được lưu trữ trong thư mục winnt\system32\DHCP.
Tab tiếp theo là DNS. Ở đây bạn hãy chọn tất cả các lựa chọn để đảm bảo rằng DHCP sẽ update tự động với DDNS và cũng hỗ trợ cho các máy trạm không tự đăng ký thông tin về mình với máy chủ DNS một cách tự động ví dụ như các máy tiền Windows 2003 Serrver.
IV. Quản trị và Giám sát hoạt động của DHCP
1- Quản trị DHCP
1.1 Cập nhật động DNS
Windows Server 2003 DNS hỗ trợ giao thức cập nhật DNS động (RFC 2136) cho phép các máy khách khi tham gia vào hệ thống mạng có khả năng cập nhật động các bản ghi tài nguyên của nó trong vùng DNS. Bạn có thể chỉ định răng máy chủ DHCP trong mạng của bạn cập nhật động DNS khi nó cấu hình các thông số cho máy khách DHCP
Trên máy chủ DHCP, bạn chỉ địng các vùng DNS mà máy chủ DHCP này chịu trách nhiệm cập nhật tự động. Trên máy chủ DNS, bạn chỉ định máy chủ DHCP là máy tính duy nhât được uỷ quyền để cập nhật các mục trong DNS.
Bạn cần phải thực hiện cập nhật DNS động trong mạng của bạn nếu:
Hệ điều hành của các máy khách trong mạng của bạn không phải là Windows Server 2000, Windows XP hoặc Windows Server 2003
Việc gán các cấp phép, cho phép mỗi máy tính nhóm hoặc người dùng cập nhật các mục vào tương ứng trong DNS, là không thể quản lý được.
Việc cho phép các máy khách DNS riêng lẻ cập nhật vào các mục DNS sẽ gây ra các nguy cơ bảo mật mà có thể dẫn đến các máy tính không được ủy quyền sẽ đóng giả các máy tính được ủy quyền.
1.2 Cấu hình các thiết lập cập nhật DNS động trên máy chủ DHCP
Để kích hoạt khả năng cập nhật động, trong trang thuộc tính của máy chủ DHCP, lựa chọn “Enable DNS Dynamic Updates According To The Setting Below” (Kích hoạt việc cập nhật động DNS theo các thiết lập sau đây). Lựa chọn này và lựa chọn “Dynamically Update DNS A And PTR Records Only If Requested By the DHCP Client” (Câp nhật DNS các bản ghi A và PTR chỉ khi các máy khách DHCP yêu cầu) đều được lựa chọn theo mặc định. Khi các lựa chọn mặc định này được sử dụng, và máy khách DHCP yêu cầu máy chủ cập nhật bản ghi tài nguyên PTR của nó, máy chủ DHCP sẽ chỉ thực hiện yêu cầu đó. Để cập nhật DNS cho các máy khách chạy hệ điều hành trước Windows 98 và NT chọn “Dynamically Update DNS A And PTR Records For DHCP Client That Do Not Request Updates” (Câp nhật DNS các bản ghi A và PTR cho các máy khách DHCP không yêu cầu cập nhật)
1.3 Sử dụng cập nhật động bảo mật
Mặc dù cập nhật động cho phép các máy khách câp nhật các bản ghi tài nguyên DNS nhưng đây không phải là một cách an toàn. Một cách an toàn hơn cho việc cập nhật các bản ghi tài nguyên DNS là dùng phương pháp cập nhật động bảo mật. Máy chủ sẽ tiền hành cập nhật nếu như máy khách có thể đưa ra các thông tin nhận dạng của nó và có các thông số đùng đắn để thực hiện việc cập nhật. Việc thực hiện cập nhật động bảo mật chỉ thông qua dịch vụ Active Directory và khi DNS tích hợp vào Active Directory đó được kích hoạt.
Theo mặc định, khi các máy khách DHCP đăng ký các bản ghi cho một tên miền DNS nó sẽ thực hiện kiểu cập nhật động trước tiên. Nếu thao tác cập nhật này không
thành công, máy khách sẽ thu xếp một cập nhật động bảo mật. Bạn có thể cấu hình cho máy khách luôn luôn thực hiện cập nhật động chuẩn hoặc cập nhật động bảo mật bằng cách thêm vào giá trị sau UpdateSecurityLevel trong registry ở nhánh
HKEY_LOCAL_MACHINE\SYSTEM\CurrentContronlSet\Service\Tcpip\Parameters
Gía trị UpdateSecurityLevel có thể được thiết lập các giá trị 0,16 hoặc 256 với các giá trị bảo mật sau:
0: Chỉ định việc sử dụng việc cập nhật động bảo mật khi việc cập nhật động bị từ chối. Đây là giá trị mặc định.
16: Chỉ sử dụng việc cập nhật động chuẩn.
256: Chỉ sử dụng việc cập nhật động bảo mật.
1.4 Tự động sao lưu CSDL DHCP
Theo mặc định, dịch vụ DHCP sẽ tự động tiến hành sao lưu CSDL DHCP và các mục trong registry có liên quan vào một thư mục trên ổ cứng. Quá trình này được thực hiện 60 phút một lần. Cũng theo mặc định, các bản sao lưu tự động sẽ được sao lưu vào thư mục %systemrooot%\System32\Dhcp\Backup. Quản trị viên có thể thay đổi địa điểm lưu giữ bản sao lưu.
1.5 Tự động khôi phục CSDL DHCP
Khi dịch vụ DHCP khởi động, nếu nó không nạp được CSDL DHCP được thì nó sẽ tự động khôi phục từ thư mục chứa bản sao lưu trên đĩa cứng nội bộ. Nếu CSDL DHCP bị hỏng, quản trị viên có thể lựa chọn hoặc khôi phục CSDL DHCP từ đĩa cứng nội bộ hoặc khôi phục từ một thiết bị kết nối khác.
2- Giám sát hoạt động của DHCP
Giám sát hoạt động của DHCP là quá trình mà bạn phải thu thập và xem các dữ liệu về DHCP. Quá trình này đòi hỏi bạn phải giám sát các máy khách DHCP và các máy chủ DHCP. Quá trình giám sát là quá trình bạn phải nắm được hiệu năng hoạt động của DHCP, giám sát được dữ liệu của DHCP thông qua các công cụ như: Bảng điều khiển DHCP, Nhật ký kiểm soát DHCP, Event Viewer và bảng điều khiển Performance
Bạn có thể giám sát hoạt động của DHCP trong Address Leasees để xem các máy đã thuê địa chỉ, còn nếu muốn xem những địa chỉ chưa được thuê bao, bạn hãy nhấp phải vào scope của mình và chọn Display Statistics.
3- Xây dựng lại DHCP đã bị hỏng
Đôi lúc, có thứ gì đó trục trặc và mạng của bạn mất đi một DHCP server, các scope, reservation classe... đều hỏng. Và bạn phải bỏ ra hàng giờ đồng hồ để ngồi cấu hình lại, đấy là giả sử bạn đã ghi chép lại toàn bộ cấu hình chuẩn trước khi hệ thống bị lỗi. Nếu không thì bạn còn tốn nhiều thời gian hơn nữa đấy
Bạn có thể tránh được điều đó chỉ bằng một dòng lệnh thôi. Windows Server 2003 cho phép bạn cài đặt thiết lập DHCP server của bạn thoải mái rồi lưu dự phòng cấu hình đó chỉ bằng một dòng lệnh:
Netsh dhcp server dump
Hoặc lệnh sau nếu bạn đang không ngồi trực tiếp tại server đó:
Netsh dhcp server ipaddress dump
Lệnh trên sẽ làm hiện ra trên màn hình của bạn những thông tin cấu hình của DHCP server của bạn. Bạn lưu những thông tin dó lại bằng cách chuyển hướng dữ liệu của lệnh trên đến một file ASCII như sau:
Netsh dhcp server dump >dhcpbackup.txt
Sau đó nếu DHCP của bạn mà bị hỏng thì bạn có thể dùng file dhcpbackup.txt đã lưu trữ và dùng lệnh sau để khôi phục lại cấu hình của DHCP server
Netsh exec dhcpbackup.txt
LAB 1: Cấu hình dịch vụ DHCP
CHƯƠNG 3 GIỚI THIỆU VỀ WINS, NETBIOS, WINSOCK
Bạn hãy xét hai câu lệnh sau đây, cả hai đều xuất phát từ cùng một server
Ping server01.stchno.mof
Và
net use *\\server01\setup
Trong lện Ping, server đích được gọi là server01.stchno.mof
Trong câu lệnh net use, cũng với server đó nhưng lại được gọi là server01. Vì sao vây?
Ping trông cậy vào một tập hàm giao tiếp lập trình có truyền thông phục vụ ứng dụng internet, có tên là Winsock và chương trình nào chạy ping nói chung cũng đều cần truy cập đến một DNS server thì mới có khả năng thi hành
Net use trông cậy vào một tập hàm giao tiếp lập trình có truyền thông phục vụ kỹ thuật nối mạng của Microsoft, có tên gọi là NetBIOS, và chương trình nào chạy net use nói chung đều phải truy cập đến một WINS Server thì mới thi hành được.
Sau chương này, bạn có thể:
Có một khái niệm cơ bản về Netbios và Winsoks
Cài đặt và cấu hình dịch vụ WINS
Cấu hình dịch vụ WINS tại Sở Tài chính
I. NetBIOS và Winsock
Về mặt hiệu quả thì xe đạp và xe máy chỉ đơn thuần là các cách khác nhau để giải quyết chung mọt vấn đề: vận chuyển. Tương tự như vậy, nhiều nhà sản xuất phần mềm mạng khác nhau qua nhiều năm đã tìm những cách khác nhau để giải quyết cùng một vấn đề nhưng kết quả lại đi đến những giải pháp khác nhau.
Vào năm 1985, Microsoft đã xây dựng các ứng dụng mạng của họ dựa trên một API mạng gọi là Network Basic Input-Output System (NetBIOS). Trong khi đó trên thế giới lInternet lại sử dụng một API khác biệt gọi là sockets, trong các hệ điều hành của Microsoft có một phiên bản đặc biệt gọi là Winsock.
Vậy mạng của bạn có thể họat động chỉ bằng một trong hai tập hàm giao tiếp lập trình Winsock hoặc NetBIOS hay không? Câu trả lời sẽ là không bởi vì lý do sau: Bạn cần chạy các chương trình sử dụng NetBIOS bởi vì mọi ứng dụng được viết cho hệ điều hành mạng của Microsoft trước Win2k đều được viết để chạy trên NetBIOS cả và bạn cần chạy các chương trình dựa trên Winsock bởi vì đã có quá nhiều các ứng dụng kiểu Internet mà bạn không muốn bỏ lỡ cơ hội khai thác.
Thực ra một trong những thay đổi chính của Win2k và các hệ điều hành sau nó so với NT là hầu như các phần mềm nối mạng đều họat động tốt trên Winsock và không hề cần đến NetBIOS. Nhưng mọi máy 9.x hoặc NT cần truy cập dữ liệu trên các server Win2k hoặc Windows Server 2003 sẽ đều làm thế thông qua NetBIOS.
II. WINS-Một dịch vụ NetBIOS dành cho Windows
Về cơ bản, khi một máy khách WINS- tức là một máy khách nào đó đang chạy một phần mềm khách nối mạng liên kết TCP/IP nào đó của Microsoft được thiết kế để sử dụng cách phân giải tên WINS mới khởi động, nó đi đến WINS Server rồi tự giới thiệu. Máy khách đó biết địac chỉ IP của WINS server bởi vì hoặc bạn đã ghi sẵn địa chỉ đó ngay trong quá trình cấu hình TCP/IP trên máy đó hoặc máy khách đó nhận được địa chỉ IP đó từ DHCP Server trong quá trình tìm kiếm một thuê bao IP.
Trong quá trình đăng ký tên của nó vói một WINS Server, máy trạm ấy được lợi nhờ sự đảm bảo rằng nó sẽ có một cái tên duy nhất trong mạng. Nếu WINS Server thấy rằng đã có một máy ở đâu đó trong mạng đã sử dụng cái tên đó thì nó sẽ bảo với máy trạm rằng: “Cậu không được dùng tên này đâu vì trong mạng đã có”. Cả yêu cầu đăng ký tên và sự hồi đáp đó đều là những thông điệp IP có định hướng (directed) nên chúng sẽ băng ngang qua các router. Và khi một máy trạm tắt đi, nó gửi đến một yêu cầu “name release” đến WINS Server, báo rằng máy trạm đó không cần cái tên NetBIOS đó nữa, cho phép WINS Server đăng ký tên đó cho một máy trạm khác.
III. Cài đặt WINS
Mở Control Panel (Start/Settings/Control Panel)
Mở Add/Remove Programs.
Nhắp Add/ Remove Windows Components.
Nhấp Next để gọi lên danh sách các thành phần của Windows 2003 Server
Nhấp Networking Service, rồi nhấn Details
Nhấp vào ô duyệt kế bên Windows Internet Name Service (WINS)
Nhấp OK để quay trở về với Windows Components.
Nhấp Next và bấm Finish rồi nhấn Close.
IV. Quản trị dịch vụ WINS
Bạn có thể theo dõi các hoạt động của WINS bằng cách vào Start\Programs\Administrative\Tools\WINS. Màn hình quản trị sẽ xuất hiện như sau:
LAB 2: Cấu hình dịch vụ WINS
CHƯƠNG 4 DOMAIN NAME SYSTEM (DNS)
Với các mạng dựa trên Active Directory (AD) , trọng tâm của việc phân giải tên trong AD là DNS. DNS là một hệ thống phân giải tên được phát minh vào năm 1984 dành cho Internet. Nó cho phép bạn hướng trình duyệt WEB của bạn đến 1 cái tên thân thiện hơn như www.btc chẳng hạn khi muốn tra cứu các thông tin trên trang điện tử nội bộ của ngành Tài chính thay vì việc phải biết rằng Web server của Bộ Tài chính có địa chỉ IP là 10.192.254.2.
Sau chương này, bạn có thể:
Hiểu được các thành phần cơ bản của DNS
Cách tiến hành cài đặt và cấu hình dịch vụ DNS
Xây dựng cơ chế hứng chịu lỗi dành cho DNS
Cấu hình dịch vụ DNS tại Sở Tài chính
I. Tầm quan trọng của DNS trong Active Directory
Đối với các thiết bị mạng, ví dụ như máy tính và máy in, để giao tiếp với nhau trên Internet hoặc trong mạng nội bộ thì chúng phải có khả năng định vị được nhau. Trong hệ thống mạng Windows Server 2003 , phương tiện chính để định vị thiết bị mạng và dịch vụ mạng là DNS.
DNS trở nên rất quan trọng trong Active Directory bởi vì nó là kho chứa tên trung tâm dành cho Active Directory. Nó sẽ thay thế vai trò của WINS chừng nào trong mạng của chúng ta chỉ gồm các máy chạy Windows 2000 và mới hơn, và có các ứng dụng thống nhất khắp một miền Active Directory .
II. Các thành phần trong tên DNS
1- Không gian tên miền DNS
Không gian tên miền là một không gian tên phân cấp, có cấu trúc hình cây, khởi đầu từ một gốc không tên (root) được sử dụng cho mọi hoạt động của DNS. Trong không gian tên miền DNS, mỗi đối tượng nút và lá sẽ thể hiện một miền đã đặt tên. Mỗi miền có thể có nhiều miền con bổ sung.
Không gia tên miền DNS có cấu trúc phân cấp và mỗi tên miền DNS là duy nhất. Miền gốc được thể hiện bởi dấu . (dấu chấm). Dưới miền gốc DNS các miền mức đỉnh (top-level domain) hay còn gọi là các miền đầu tiên là các loại tổ chức khác nhau như: .org, .com,.edu. Có 3 kiểu các miền mức đỉnh khác nhau là:
Generic (chung)
Contry code (Mã quốc gia)
Infrastructure domain (Miền hạ tầng)
Các tên miền DNS mức thứ hai được đăng ký cho các cá nhân riêng rẽ hay các tổ chức, ví dụ như microsoft.com là tên miền của tập đoàn Microsoft hay mof.gov.vn là tên miền của Bộ Tài chính Việt nam. Các miền DNS mức thứ hai có thể có rất nhiều miền con và bất kỳ miền nào cũng có thể có các trạm (host). Mỗi trạm (host) là một máy tính hoặc một thiết bị mạng cụ thể nào đó trong một miền.
2- Các vùng DNS
Với mục đích quản trị, các miền DNS có thể được tổ chức thành các vùng. Mỗi vùng là một tập hợp các ánh xạ tên máy tính-địa chỉ IP cho các máy trong một vùng tiếp giáp nhau. Một vùng có thể chứa các bản ghi tài nguyên cho một miền hoặc nó có thể chứa các bản ghi tài nguyên cho nhiều miền. Một vùng có thể chứa nhiều hơn một miền chỉ khi các miền đó có tiếp giáp nhau có nghĩa là nó có quan hệ cha-con với nhau.
Đối với mỗi tên miền DNS có trong một vùng, vùng đó trở thành nguồn được ủy quyền của các thông tin về miền đó. Khi một vùng được ủy quyền trên một miền của không gian tên thì có nghĩa là nó sẽ chứa các bản ghi tài nguyên cho phần không gian tên đó.
Các máy chủ DNS được phân loại theo kiểu vùng mà nó phục vụ. Một máy chủ DNS có thể phục vụ các vùng chính, vùng thứ cấp, vùng cụt hoặc không phục vụ vùng nào cả.
Như vậy, dữ liệu vùng được lưu giữ trên máy chủ DNS và được lưu trong một hoặc hai cách sau:
o Vùng dữ liệu phẳng chưa một danh sách các ánh xạ
o Trong một CSDL Active Directory
III. Cài đặt DNS Server
Những bước tiến hành cài đặt DNS Server cũng giống như việc cài đặt các dịch vụ khác như DHCP hay WINS:
Mở Control Panel (Start/Settings/Control Panel)
Mở Add/Remove Programs.
Nhắp Add/ Remove Windows Components.
Nhấp Next để gọi lên danh sách các thành phần của Windows 2003 Server
Nhấp Networking Service, rồi nhấn Details
Nhấp vào ô duyệt kế bên Domain name system (DNS)
Nhấp OK để quay trở về với Windows Components.
Nhấp Next và bấm Finish rồi nhấn Close.
Đến đây là bạn đã kết thúc quá trình cài đặt dịch vụ DNS, bây giờ bạn có thể thiết lập cấu hình cho cho dịch vụ này qua snap-in DNS.
IV. Zone và Sự khác biệt giữa zone và Domain
Từ trước đến nay, chúng ta đã nói về cách thức mà DNS Server duy trì một cơ sở dữ liệu cho một miền DNS (DNS domain). Nhưng nói một cách chính xác thì các DNS server không chứa những thông tin về tên dành cho các domain mà chúng giữ các thông tin đó dành cho các zone mà tạm dịch là khu vực giải đáp tên.
Vậy thì zone là gì? Nó là một thuật ngữ của riêng DNS, về cơ bản thì là “phạm vi các địa chỉ internet mà DNS server này sẽ quan tâm đến”
Các zone tra cứu xuôi và ngược
Công việc chính của DNS là chuyển đổi các tên host như mail.mof.gov.vn thành các địa chỉ IP, như 210.245.2.146. Nhưng DNS cũng có thể làm ngược lại; bạn có thể hỏi một DNS: “Tên host nào được liên kết với địa chỉ IP 210.245.2.146 vậy?” và nó sẽ trả lời: ”Dạ thưa, đó là mail.mof.gov.vn đấy ạ”
Quá trình chuyển đổi tên host thành địa chỉ IP được gọi là forward name resolution (tức là phân giải tên xuôi). Quá trình chuyển đổi địa chỉ IP thành hostname tương ứng được gọi là reverse name resolution (tức là phân giải tên ngược)
DNS duy trì những thông tin về một miền định trước, như mof.vn chẳng hạn trong những file được gọi là zone file. Như thế, mof.gov.vn có một zone file mà DNS có thể dùng để tra cứu địa chỉ IP của mail.mof.gov.vn
V. Cấu hình dịch vụ DNS
1. Vào Start\Programs\Administrative Tools\ DNS, một màn hình quản trị sẽ xuất hiện như sau:
2. Bạn bắt đầu tiến hành cấu hình các Zone để tạo CSDL cho DNS hỗ trợ việc phân giải xuôi và phân giải ngược. Chọn vào dấu + để mở các đối tượng của server có tên là STCXXX-SVR01sau đó bấm chuột phải vào Forward Lookup Zones, chọn New zone, bạn sẽ thấy xuất hiện màn hình chào mừng. Bạn hãy bấm Next để thấy màn hình tiếp theo như sau:
3.Chọn Primary zone sau đó bấm Next.
4.Chọn Next, thấy xuất hiện màn hình
Hầu hết các dạng DNS server đều lưu thông tin về ca khu của chúng trong một file văn bản dạng ASCII. Trừ khi bạn sửa tên khác đi, nếu không mặc định của chương trình sẽ có tên là zonename.dns. DNS lưu trữ file này trong thư mục: \\Windows\system32\dns. Đây chính là thư mục bạn sẽ dùng để khôi phục lại DNS nếu như trong quá trình sử dụng của bạn có lỗi chỉ trong một khoảng thời gian ngắn. Chỉ việc thiết lập máy Server Windows Server 2003 khác làm DNS Server rồi lấy file stchno.mof.dns từ server cũ và sao chép nó vào thư mục \Windows\system32\dns trên server mới. Sau đó bạn chạy New Zone Wizard nhưng đến phần này bạn chọn vào phần Use this exsisting file rồi trỏ đến file stchno.mof.dns là xong.
5.Chọn nút Next, thấy xuất hiện màn hình sau:
Đây là màn hình cho phép bạn cấu hình DNS động, cho phép các máy đăng ký thông tin về chính nó trong cơ sở dữ liệu DNS một cách động. Chọn vào phần Allow both nonsecure and secure dynamic update sau đó chọn Next và Finish để kết thúc quá trình tạo Forward lookup Zone.
6.Quay trở về màn hình quản trị DNS, bạn hãy nhấp chuột phải vào mục Reverse Lookup Zones và bấm New zone. Màn hình chào mừng sẽ hiện ra, bạn bấm Next.
7.Tương tự như trên, bạn hãy chọn Primary zone và bấm Next, màn hình tiếp theo sẽ xuất hiện.
Đây là màn hình để bạn khai báo hỗ trợ cho sự phân giải ngược như đã trình bày ở trên. Bạn hãy nhập vào địa chỉ 10.2.192. Phía ô text dưới sẽ tự động có dòng: 192.2.10.in-addr.arpa, sau đó bạn lại bấm Next 2 lần, xuất hiện màn hình
8.Chọn vào phần Allow both nonsecure and secure dynamic update sau đó chọn Next và Finish để kết thúc quá trình tạo Reverse Lookup Zones.
9.Việc tiếp theo là bạn sẽ phải cung cấp một bản ghi cho chính máy chủ chạy dịch vụ DNS. Bấm chuột phải vào zone stchno.mof và chọn New hosts, màn hình sau sẽ xuất hiện:
10.Bạn phải nhập vào tên máy chủ chạy DNS, ở đây là: stchno-srv01 với địa chỉ IP là: 10.2.192.1 và nhớ tích vào ô Create associated pointer (PTR) record để bản ghi này tự update vào mục phân giải ngược và bấm Add Host. Sau đó bạn hãy bấm F5 để reresh lại toàn bộ các thay đổi.
11.Cuối cùng là bước kiểm tra. Bạn hãy dùng tiện ích NSLOOKUP để kiểm tra. Bạn hãy bấm Start\Run và gõ vào dòng lệnh cmd. Gõ OK, màn hình command sẽ xuất hiện. Bạn gõ NSLOOKUP, nếu kết quả trở về là tên server với đầy đủ tên miền và địa chỉ máy chủ của bạn. Còn ngược lại, bạn phải kiểm tra lại ciệc cấu hình DNS của bạn.
VI. Xây dựng khả năng chịu lỗi bằng luân phiên nhiều thông tin DNS
Giả sử người chủ miền abc.com có một Web server tại địa chỉ IP 210.245.2.111 được đặt tên là www.abc.com . Nếu như vì quá nổi tiếng, có đến hàng nghìn người cùng truy cập vào địa chỉ này trong một thời điểm (điều này thường xảy ra đối với các địa chỉ quen thuộc như www.microsoft.com, www.ibm.com ...chẳng hạn). Vào thời điểm đó, Web server đó rất dẽ bị quá tải , dẫn đến tình trạng một số người truy cập sẽ nhận được thông báo kiểu như: “Server is too busy to respond to you”, điều này hẳn chủ nhân của Web Site đó chắc chắn không mong muốn và chính bản thân người truy cập cũng sẽ không hài lòng.
Để khắc phục trường hợp trên, người quản lý của miền abc.com có thể thiết lập 3 máy chủ nữa có cài ISS trên đó, ở tại các địa chỉ IP 210.245.2.112 cho đến 210.245.2.114 sau đó chỉ việc khai báo thêm các bản ghi kiểu host, tức là các bản ghi A tương ứng với các máy đó và đều đặt với tên là www.abc.com
Giờ thì đã có 4 server đều có tên là www.abc.com, giả sử có ai hướng trình duyệt của họ đến www.abc.com. Thế thì, DNS server tại abc.com sẽ được DNS server tại chỗ người đó yêu cầu phân giải cái tên www.abc.com . DNS server tại abc.com thấy rằng 4 địa chỉ đều có tên là www.abc.com nên hồi đáp bằng bốn địa chỉ IP đó và nói rằng: “Bạn có thể tìm www.abc.com tại địa chỉ 210.245.2.111, 210.245.2.112, 210.245.2.113, 210.245.2.114”. Rồi sau vài giây, DNS server của một người khác lại hỏi DNS server của abc.com là địa chỉ IP nào tươn ứng với www.abc.com. Khi đó, DNS server của abc.com lại hồi đáp các thông tin đó nhưng theo một thứ tự khác biệt, đưa 210.245.2.112 đến trước rồi lần lượt là .113,114,111. DNS client của người truy cập thường sẽ lấy địa chỉ IP đầu tiên cho nên người truy cập thứ nhất có khuynh hướng đi đến địa chỉ .111, còn người thứ hai sẽ có khuynh hướng đến địa chỉ IP 112. Tiếp tục xoay vòng như vậy cho đến người thứ năm thì sẽ quay về địa chỉ IP là 111. Quá trình này được gọi là roud-robin DNS, có tác dụng phân tán công việc ra nhiều máy
VII. Quản trị và Giám sát DNS Server
1- Bảng điều khiển DNS
Nó là một phần của Administrative Tools. Đây chính là công cụ chính thức để cấu hình DNS
2- Dùng lệnh Nslookup để truy vấn DNS
Nslookup là một công cụ dòng lệnh kèm theo giao thức TCP/IP và có trong Windows Server 2003, công cụ này dùng để truy vấn DNS và cho phép kiểm tra các thành phần của file của các vùng trên máy chủ nội bộ và máy chủ ở xa.
3- Sử dụng DNSLint
DNSLint là một công cụ dòng lệnh DNS có trong Windows Server 2003 để xác định sự đồng nhất của một tập hợp cá biệt các bản ghi DNS trên nhiều máy chủ DNS. Nó có thể giúp cho quản trị viên giải quyết hoặc chuẩn đoán lỗi gây ra bởi việc bản ghi DNS thiếu hoặc không đúng. DNSLint biên dịch các kết quả vào trong một file HTML có tên mặc định là :DNSLint.html
Bạn có thể sử dụng DNSLint để giải quyết các vấn đề đồng bộ Active Directory liên quan đến DNS
4- DNS Event Log
Windows Server 2003 duy trì một nhật ký riêng cho các sự kiện máy chủ DNS mà có thể xem được trong Event Viewer từ bảng điều khiển DNS
Theo mặc định, DNS Event Log sẽ hiển thị tất cả các sự kiện DNS. Bạn có thể cấu hình để DNS Event Log hiển thị theo kiểu sự kiện, nguồn gốc sự kiện, ID của sự kiện, ngày hay các tham số khác.
LAB 4: Cấu hình dịch vụ DNS
CHƯƠNG 5 ACTIVE DIRECTORY (AD)
Một trong những khái niệm quan trọng nhất trong kỹ thuật nối mạng của Microsoft là khái niệm về miền (domain). Diễn đạt một cách đơn giản nhất thì miền (domain) là một nhóm các server và máy trạm đồng ý tập trung hoá các tên tài khoản máy (computer account) và tài khoản người dùng (users account) và các mật khẩu tương ứng trong một cơ sở dữ liệu dùng chung.
Sau chương này, bạn có thể:
Hiểu được khái niệm cơ bản về AD
Các thành phần của một AD
Các ưu điểm của AD trong Windows Server 2003
Cách xây dựng và cấu hình một AD
Cấu hình AD cho Sở Tài chính
I. Khái niệm AD
AD là một miền có nhiệm vụ và các khả năng sau:
o Lưu giữ danh sách tên các tài khoản người dùng và máy, mật khẩu tương ứng
o Cung cấp server đóng vai trò “authentication server’- tức là server xác minh hoặc “loggon server”-tức server đăng nhập, gọi là Domain controler
o Duy trì một bảng chú dẫn hoặc chỉ mục có thể dò tìm nhanh mọi thông tin về miền đó, phục vụ tốt hơn cho quá trinh khai thác tài nguyên
o Cho phép tạo ra một tài khoản người dùng với những mức độ quyền lực khác nhau, từ những khách (guest) gần như không có quyền hạn gì, cho đến những người dùng bình thường hay đến những nhà quản trị viên (administrator) có mọi quyền hạn trên toàn miền.
o Cho phép chia nhỏ miền của mình ra thành các miền phụ (subdomain), gọi là những đơn vị tổ chức (Organization Unit, tức là OU). Sau đó có thể phân bổ những quyền hạnh kiểm soát và những quyền lực khác nhau qua những OU này đến những cá nhân cụ thể.
II. Các thành phần chính của một Active Directory
Miền
Nhóm người dùng và nhóm máy
OU
Địa bàn (Site)
Cây
Rừng
1- Miền
Là một vùng bảo mật có ranh giới (security boundary) sử dụng việc sao chép cơ sở dữ liệu đa chủ (multimaster replication)
Khái niệm vùng bảo mật có ranh giới được để ý đến nếu như mạng của bạn có nhiều miền. Giả sử bạn có hai miền AD là A và B thì với tư cách là một thành viên của miền A chắc hẳn tài khoản của bạn hoặc phải thuộc miền A hoặc phả thuộc miền B chứ không thể thuộc cả hai miền. Tương tự như vậy máy trạm, server thành viên và DC đều là các thành viên thuộc một và chỉ một miền mà thôi.
Trong thực tế, một lập trình viên có thể bắt một AD lưu trữ hầu như mọi thứ mà người đó cần trong một cơ sở dữ liệu của nó. Và việc đảm nhiệm việc điều khiển AD chính là việc sao chép cơ sở dữ liệu đa chủ- đảm bảo quá trình sao chép cơ sở dữ liệu sao cho bản sao của cơ sở dữ liệu miền đều khớp với mọi bản sao khác.
2- Nhóm người dùng và nhóm máy
Giải pháp mà AD cho phép bạn áp dụng dùng để quản lý và củng cố thêm chính sách bảo mật của hệ thống là tạo ra một loại tài khoản đặc biệt, không phải là tài khoản
người dùng, cũng chẳng phải là tài khoản máy gọi là nhóm (group). Sau khi đã có nhóm này, bạn có thể dễ dàng đưa một hoặc một số tài khoản người dùng vào trong nhóm sau đó có thể chỉnh sửa các permission cụ thể bằng cách trao quyền truy cập không chỉ cho riêng tài khoản cụ thể mà cho cả nhóm.
Khi tạo ra nhóm, bạn có thể đặt một nhóm này vào trong một nhóm khác để thuận tiện hơn cho quá tình quản trị. Có bốn loại nhóm mà AD có thể tạo ra là:
o Nhóm tại chỗ của máy
o Nhóm tại chỗ của miền
o Nhóm toàn mạng
o Nhóm phổ quát
3- OU (Orgnizational Unit)
Đôi khi, miền có vẻ là một khu vực quá lớn nên khó lòng trao quyền điều khiển nó cho ai đó nên giải pháp chia nhỏ miền ra thành các đơn vị tổ chức gọi là OU.
Khi được quan sát bằng các công cụ quản trị của AD thì trông OU giống như các folder vậy. Khi tạo ra một tài khoản người dùng trong AD, bạn có thể tạo ra tài khoản người dùng đó hoặc là ngay trong miền đó hoặc là trong OU.
Các OU có hai công dụng chính:
Trao quyền kiểm soát một tập hợp các tài khoản người dùng, tài khoản máy cho một nhóm người dùng.Ví dụ: Định ra mọt nhóm người có khả năng reset mật khẩu cho một
bộ phận người dùng cụ thể nào đó trong hệ thống mà không cần phải biến họ thành các quản trị viên có quyền lực hơn mức mong muốn
Hạn chế và khoá chặt các máy trạm của người dùng thông qua việc sử dụng các đối tượng chính sách nhóm (GPO)
4- Địa bàn (Site)
Như bạn đã biết, nhược điểm của NT 4 là là các máy DC trong cùng một hệ thống sao chép dữ liệu của chúng rất không có trật tự dẫn đến lượng băng thông bị hạn đòi hỏi cao. AD đã cải tiến tình trạng đó bằng một khái niệm là Site. Ngoài việc nắm những thông tin về các máy và người dùng trong cùng một mạng, AD còn theo dõi những khía cạnh địa lý của mạng đó nữa. Mỗi khu vực được kết nối bằng LAN thì được gọi là một Site.Các máy DC loại Active Directory cũng như các máy Win2k, Xp, Windows Server 2003 sử dụng những thông tin cần thiết về cách bổ trí vật lý của mạng để tính ra nơi nào có đường liên kết WAN sau đó nó làm hai việc: thứ nhất, nén những dữ liệu sao chép AD và thứ hai nó sử dụng những thông tin về phí tổn lộ trình tiếp vận dữ liệu (route costing information) mà bạn cung cấp để tính ra cách tốt nhất để chuyển gửi tiếp những dữ liệu sao chép đó ở mức phí tổn thấp nhất.
Active Directory cũng dùng các Site trong một tính năng gọi là Hệ thống tổ chức file phân tán (Distributed File System-DFS). Với DFS, bạn có thể tạo ra một file share chứ một số thông tin quan trọng, rồi sau đó tạo một bản replica của file share đó trên mỗi
site của bạn. Một công cụ File Replication Service đảm bảo rằng tất cả các file share đều chứa những thông tin giống hệt nhau.
5- Cây
Kinh nghiệm thực tế cho thấy rằng: Những người tổ chức các mạng đã miền thương có khuynh hướng tổ chức những hệ thống cấp bậc của các miền, tức là cấu trúc cây.
Một AD đầu tiên mà bạn tạo ra được gọi là gốc (root) của cây. Các miền bên dưới nó được gọi là các miền con (child domain). Khái niệm này trong lĩnh vực CNTT hơi ngược một chú so với đời thường vì cây ở đây lại có gốc trên cùng và lá ở dưới cùng. Microsoft đã thiết kế để AD sử dụng DNS làm hệ thống định danh mà DNS thì dù sao cũng đã có sẵn khuynh hướng cấp bậc nên Active Directory khai thác sự trùng hợp ngẫu nhiên này và khuyến khích bạn xây dựng hệ thống mạng đa miền dưới hệ thống cấp bậc.
6- Rừng
Các cây miền đã mang lại một lợi ích không nhỏ là quan hệ tin tự động, nhưng lại có một vấn đề nhỏ với cấu trúc đó, chính là tất cả các tên miền phải ăn khớp với nhau trong một hệ thống cấp bậc chính xác thì mới hình thành được một cây. Nói cách khác, các miền con phải chưa tên miền cha (mẹ) của chúng.
Khái niệm về rùng nghe có vẻ tuyệt thật, nhưng ẩn chứa trong đó là một sự khó khăn không hề nhỏ đó là: bạn không thể nối những tên miền có sẵn thành một cây và bạn cũng không thể nối những cây có sẵn thành một rừng được. Cách duy nhất để thêm một miền vào cây hoặc một cây vào rừng là xây dựng mới nó trên một cây hoặc một rừng sẵn
có. Khi bạn đã đặt các miền vào trong một rừng thì bạn không thể di dời nó đi chỗ khác và bạn cũng không thể xoá chúng nếu chúng đã có một miền con nào đó.
III. Ưu điểm của AD trong Windows 2003 Server:
Sự ủy quyền giữa các rừng cho nhau: Việc kết hợp một số miền AD thành một rừng mang lại hai lợi điểm chính: các miền đó tự ủy quyền cho nhau, và thứ hai là các miền đó chia sê với nhau tạo thành một tập hợp các máy “siêu” domain controler gọi là GC (global catalog) server. Giả sử, bạn thuộc một đơn vị lớn có tới hai rừng, tạm gọi là Forest 1 và Forrest 2 và bạn cần làm cho các rừng này chia sẻ tài nguyên với nhau thì cách làm như thế nào?Có một cách là bạn có thể mua một công cụ di trú danh bạ là “migration tool” rồi chép tẩt cả các tài khoản người dùng từ Forest 1 sang Forest 2 rồi xóa Forest 1 đi. Nhưng làm bằng cách này thì vất vả và phức tạp vì có rất nhiều việc phải làm. Với việc xây dựng rừng bằng Windows Server 2003, bạn có thể sử dụng giải pháp mới là ủy quyền giữa các gốc rừng (forest root trust) có nghĩa là bạn có thể xây dựng mối quan hệ ủy quyền mới giữa Forest 1 và Forest 2. Ngay lập tức, mọi miền trong Forest 1 sẽ ủy quyền cho mọi miền trong Forest 2 và ngược lại.
Giải pháp sao chép nhóm: Đối với Windows 2000 Server, bạn có thể tạo ra hàng triệu người dùng trong một AD, nhưng do một khiếm khuyết ngẫu nhiên mà AD của Windows 2000 Server giữ cho những thông tin của các máy domain controler được nhất quán (AD replication) kết hợp với cách lưu trữ quan hệ trong Win2k mà ta không thể đạt hơn khoảng 5000 người dùng trong một nhóm.
Đối với AD trong Windows 2003 Server, Microsoft đã cấu trúc lại cách thức chúng lưu trữ quan hệ thành viên nhóm và giờ đây bạn có thể cho bao nhiêu người vào một nhóm tùy thích. Để có được lợi ích này, bạn phải thực hiện nâng cấp tất cả các DC trong các miền rừng của bạn lên Windows 2003 Server.
Đơn giản hóa việc cài đặt DC tại các văn phòng nhánh: Với một số đơn vị lớn có các chi nhánh ở xa trung tâm, khi cấu hình phải kết nối về trung tâm để lấy được bản AD mới nhất từ trung tâm. Với đường Dial-up từ xa, băng thông nhỏ, nhiễu lớn và một bản sao AD từ trung tâm về cũng phải 10Mb thì quá trình khởi tạo DC tại các chi nhánh rất dễ gặp xự cố, thậm chí nhiều khi phải khởi tạo lại quá trình DCPROMO trên máy chi nhánh từ đầu, hoặc trường hợp xấu hơn là phải cài lại Windows. Với Windows Server 2003, bạn có thể mang theo một bản sao lưu dự phòng của cơ sở dữ liệu AD của miền cần thiết đến văn phòng chi nhánh đó, sau đó DCPROMO cho phép bạn có thể thiết lập một DC mới từ bản sao lưu dự phòng đó.
Những cải tiền về quản trị từ xa: Từ phiên bản Windows Server 2000, các chức năng quản trị từ xa đã đựơc cải thiện một cách đáng kể, tích hợp các phiên làm việc Telnet từ xa và một công cụ điều khiển từ xa gọi là Terminal Service.
Với Windows Server 2003, Microsoft đã xây dựng Terminal service bằng một công cụ có tên là Remote Destop Protocol (RDP). Giao thức này có thể chạy được trên những kết nối dial-up có tốc độ thấp (40 kilobits/s) và nó có thể tự động trao cho phiên điều khiển từ xa của bạn khả năng truy cập các máy in và ổ đĩa tại chỗ-điều mà Terminal service của win2k không làm được
Hơn thế nữa, Windows Server 2003 cung cấp một bộ công cụ điều khiển từ xa hoàn toàn mới thông qua Web. Đây quả thực là một ưu thế vượt bậc của Windows Server 2003 so với Windows Server 2000.
IV. Xây dựng AD: Một số công cụ và thực hành
1- Xây dựng miền đầu tiên
Một trong những ưu điểm của Windows Server 2003 và các phiên bản Server mới hơn là Microsoft đã tách rời quá trình cài đặt Server ra khỏi quá trình tạo ra DC. Nhưng trước khi tiến hành, bạn nên xem xét bốn điểm cần chú ý sau: Bộ nhớ, DNS,NTFS và đĩa.
Về bộ nhớ thì với các DC chạy trên Windows Server 2003 chúng sử dụng ít nhất là 136Mb
Về ổ đĩa, bạn có thể dành được hiệu năng tốt hơn từ các server A của mình nếu như bạn có thể đặt hai đĩa cứng vật lý SCSI,EIDE hoặc FireWire riêng biệt trong máy.
Các Server AD đều cần có một khu phân đĩa (partition) NTFS nên trước khi định biến máy của bạn thành một Domain Controler bạn nên cho nó ít nhất một khu NTFS
DNS: Đây là chú ý quan trọng nhất. AD lưu giữ danh sách về các máy DC và các global catalog server trong DNS
2- Tiến hành chạy DCPROMO
Để tiến hành chuyển một máy Windows 2003 Server thành một máy DC thì nó phải là một máy Server. Bạn vào Start\Run gõ lệnh dcpromo, sẽ thấy xuất hiện màn hình sau:
Bạn dùng Wizard này không chỉ để chuyển đổi Server của bạn thành một DC mà còn có thể giáng cấp nó từ một DC thành một Server thành viên.
Màn hình trên cảnh báo cho bạn biết rằng, nếu bạn tạo miền dựa trên Windows Server 2003 thì bạn sẽ phải chào vĩnh biệt với các máy Windows 95 của bạn
bấm Next bạn sẽ thấy xuất hiện màn hình tiếp theo như sau:
Cách tạo ra một miền mới cũng khá đơn giản thôi: Hãy thiết lập một máy làm DC đầu tiên dành cho miền đó. Hầu hết các miền không chỉ có một DC duy nhất. Càng có nhiều DC thì miền của bạn càng có khả năng xử lý cùng một lúc nhiều cuộc đăng nhập hơn. Các DC thứ hai, thứ ba, thứ tư và sau nữa sẽ được gọi là backup domain controler (BDC)
Ở đây bạn có thể chọn là Domain controller for a new domain
Bấm Next bạn sẽ thấy một màn hình với các lựa chọn tạo một cây hoàn toàn mới hoặc một miền con trong một cây.
Trong phần này, DCPROMO đặt ra câu hỏi thứ nhất là: bạn định tạo ra một miền mới hay chỉ tạo ra một DC khác trong một miền đã có sẵn. Chúng ta đang đi tạo ra một miền mới nên ở đây chọn là Domain in a new forresst
Chọn Next bạn sẽ có màn hình nhập tên miền:
Bạn hãy nhập tên miền, Ví dụ là: stchno.mof vào ô này để xác định tên Domain.
Bạn bấm Next bạn sẽ thấy xuất hiện màn hình như sau:
Trừ khi mạng của bạn toàn những máy sử dụng Windows 2000 và mới hơn, kể cả máy trạm và máy chủ, còn nếu không thì vẫn còn những máy chạy những phầm mềm nối mạng được viết vào thời NT 3.x, 4.x hay những máy trạm sử dụng Windows 98, khi đó những tên miền không được dài quá 15 ký tự và không có cấp bậc gì cả. Những tên này được chọn để thích nghi với tập hàm giao tiếp NetBIOS cho nên tên miền kiểu cũ này còn được gọi là tên NetBIOS. Theo mặc định, wizard sẽ đề nghị dùng phần văn bản phía bên trái của dấu chấm bên trái nhất của tên miền DNS làm tên NetBIOS cho nên ở đây nó đề nghị lấy tên NetBIOS là STCHNO
Bạn cứ để tên giá trị mặc định cho NetBIOS và bấm NEXT, bạn sẽ có màn hình giống như hình sau:
Active Directory lưu cơ sở dữ liệu AD thành 2 phần: bản thân cơ sở dữ liệu và một bản ghi chép giao dịch (transaction log). Nhìn trên hình, bạn có thể thấy mặc định là để trên cùng một đĩa cứng vật lý. Trong thực tế, bạn có thể để riêng cơ sở dữ liệu và bản ghi sao chép giao dịch trên 2 đĩa cứng khác nhau.
Bạn có thể để nguyên đường dẫn như vậy cho tiện quản lý và bấm NEXT (khuyến cáo nên đặt trong ổ đĩa NTFS) bạn sẽ có màn hình như sau:
Đây là nơi lưu thư mục SYSVOL (các tập tin chính sách hệ thống, các profile mặc định và các kịch bản đăng nhập).
Bạn hãy để mặc định và bấm NEXT và nếu xuất hiện màn hình sau:
Thì có nghĩa là bạn phải bận tâm về DNS rồi đấy. Đây chính là một cải tiến thực sự của Windows Server 2003 so với Windows Server 2000. Khi cấu hình AD dùng DCPROMO của W2k mà gặp vấn đề trục trặc, nó chẳng đưa ra thông báo gì có ích cả. Còn đối với Windows Server 2003, màn hình trên nói với bạn rằng: DCPROMO đã cố gắng tìm và liên hệ với DNS server dành cho stchno.mof. Đã có một rắc rồi nào đó xảy ra trong quá trình đó, và thực chất một trong hai nguyên nhân sau có thể gây nên trục trặc của DNS server đó:
DCPROMO đã không nhận được hồi đáp nào từ mọi DNS server dành cho stchno.mof
DCPROMO nhận được lời hồi đáp từ các DNS server dành cho stchno.mof nhưng nhận thấy rằng chúng không chấp nhận những cuộc cập nhật tự động.
Khi nhận được thông báo này bạn nên hủy bỏ quá trình chạy DCPROMO để quay lại kiểm tra DNS và thực hiện quá trình sửa chữa. Nếu bạn đã làm cho DNS server họat động bình thường thì bạn sẽ gặp hình sau:
Bạn hãy bấm Next để tiếp tục và có màn hình như sau:
Bạn chọn Next sẽ xuất hiện màn hình
Đây là màn hình yêu cầu nhập password dùng cho việc khôi phục AD trong chế độ Service Restore Mode.
Bạn hãy nhập 2 lần mật khẩu : adrestore và bấm NEXT, máy tính xuất hiện màn hình sau:
Đây là màn hình tổng kết lại thông tin, bạn nên kiểm tra lại toàn bộ và bấm Next để máy chủ tạo AD.
Sau khi máy chủ đã tạo thành công AD, wizard sẽ xuất hiện màn hình cuối cùng như sau:
Bạn nhấp Finish để kết thúc và chọn Restart Now để khởi động lại máy tính của mình.
LAB 4: Cấu hình dịch vụ AD
CHƯƠNG 6 CÁC DỊCH VỤ TCP/IP SERVER
(IIS,WEB SERVER,FTP SERVER)
Ngày nay, Internet là một phần không thể thiếu trong cuộc sống của loài người. Mỗi ngày trôi qua, Internet ngày càng có tầm ảnh hưởng đến đời sống sinh hoạt và công việc của rất nhiều người trên toàn thế giới. Microsoft đã và đang nỗ lực cải tiến công nghệ để tham gia vào cuộc cách mạng trong thế giới Internet, và mang lại lợi ích cho người sử dụng hệ điều hành của họ. Một lợi ích mà người sử dụng Windows Server 2003 được hưởng lợi là Microsoft đã tích hợp sẵn phiên bản mới nhất của Internet Information Services (IIS).
IIS là một nền tảng phần mềm đầy đủ tính năng có khả năng phục vụ toàn bộ những công việc về HTTP (Web), FTP (truyền file), NNTP (tin tức) và SMTP (e-mail) cho một cơ quan hay một tổ chức bất kỳ. Do bởi nó được tích hợp sẵn với hệ điều hành Windows nên nó trở nên tương đối dễ thiết lập, cấu hình và quản lý. ISS có khả năng mở rộng để đáp ứng được yêu cầu quản lý của bạn ngay cả với môi trường lớn và phức tạp nhất.
Sau chương này, bạn có thể:
Hiểu được những khái niệm cơ bản về ISS, Web Server,FTP Server
Cài đặt và cấu hình Web Server, FTP Server
Cấu hình Web Server và FTP Server tại Sở Tài chính
I. Kiến thức cơ bản về IIS và các ứng dụng Web Server khác
IIS (Internet Information Services) thực chất là một tập hợp các dịch vụ dựa trên TCP/IP, tất cả đều chạy trên cùng một máy nhưng lại độc lập với nhau về hoạt động với nhau. Giống như một người thợ mộc có nhiều dụng cụ khác nhau dành cho các công việc khác nhau liên quan đến đồ mộc, ISS cũng có những khả năng Internet khác nhau để phục vụ các mục đích khác nhau của khách hàng khai thác dịch vụ.
World Wide Web (HTTP) Server: IIS của Windows Server 2003 có kèm một HTTP Server để bạn có thể quảng bá (puplish) những dữ liệu của bạn lên World Wide Web một cách nhanh chóng và rất dẽ dàng. Dịch vụ Web Server của IIS có thể được cấu hình một cách đơn giản và đáng tin cậy, đồng thời nó có thể bảo đảm tính bảo mật và thực hiện việc mã hoá đối với các dữ liệu có tính chất nhạy cảm của bạn.
Nếu bạn đã từng làm việc với Windows Server 2000 thì bạn cũng đã biết khi tiến hành cài đặt Windows Server 2000 Server thì mặc định cũng tiến hành cài đặt IIS 5 luôn,
kể cả các thành phần tuỳ chọn mà bạn có thể cần dùng đến sau này. Thế nhưng với Windows Server 2003 thì nó lại coi trọng sự bảo mật hơn là tính tiện lợi. IIS 6 sẽ không được cài đặt mặc định khi bạn tiến hành cài Windows Server 2003, hơn nữa là bản cài đặt mặc định của IIS 6 trong Windows Server 2003 chỉ phục vụ những nội dung tĩnh. Nghĩa là cấu hình mặc định của hệ dịch vụ đó sẽ không xử lý bất kỳ kịch bản hoặc chương trình nào được nhúng vào trong các trang Web.
1- FTP Server
Trong thực tế, giao thức truyền file (File Transfer Protocol-FTP) không phải là một phương thức duy nhất có thể truyền một file từ vị trí này đến vị trí khác, nhưng cho đến nay nó vẫn là một giao thức được sử dụng tương đối rộng rãi trong cộng đồng Internet. Trước khi xuất hiện các trình duyệt đồ hoạ, HTTP và các Web site thì FTP là giao thức truyền file được sử dụng rộng rãi khắp mọi nơi. Chính vì sự phổ biến này mà nó được tích hợp vào hầu hết các hệ điều hành cỡ vừa và lớn.
Đối với IIS 6 của Windows Server 2003, FTP giờ đây đáp ứng cả khả năng yểm trợ cho từng thư mục dùng riêng rẽ. Tính năng này có thể cho phép người dùng được truy cập vào các thư muc riêng trong khi đó lại có thể ngăn chính người dùng này truy cập vào các thưc mục mà họ có thể nhìn thấy nhưng không có quyền truy cập hay ghi các thông tin lên thư mục đó.
2- Network News (NNTP) server:
Network Transport Protocol hay còn được gọi là Usenet là một giao thức có các đặc điểm ưu việt hơn hẳn như: Dùng các tiêu chuẩn Internet (RFC 977), dịch vụ NNTP có thể được dùng như một phương tiện để duy trì một cơ sở dữ liệu đàm luận theo nhiều mạch trên một IIS server.
3- Simple Mail Transfer (SMTP) server
Microsoft đính kèm dịch vụ SMTP vào IIS chủ yếu dùng để hỗ trợ dịch vụ khác trong IIS như HTTP và NNTP mà thôi. Hay nói cách khác, phần SMTP đi kèm trong IIS không đủ mạnh để đóng vai trò như là một Mail Server. Nếu muốn có một Mail Server chạy trên Windows 2000 Server thì bạn phải tìm một sản phẩm thương mại hay dùng phần mềm miễn phí SMTP/POP3 Server tên là IMS.
Cũng chính bởi SMTP chỉ đơn giản là một giao thức truyền thư (mail transfer) thôi, nên không có các cấu trúc thực sự nào dùng để lưu trữ các thông điệp thư tín sau khi chúng đã được hệ thống của bạn tíêp nhận cả. Tât cả các thư tín gửi tới SMTP server của bạn sẽ được bỏ chung vào một thư mục dưới dạng một văn bản dạng thô (plain-text). Mặc dù bàn có thể duyệt qua các thông điệp đó một cách thủ công và xác định được ai là chủ nhân của các thông điệp đó vì đó là một công việc hết sức nhàn chán và mất thời gian.
Tuy nhiên, với việc tích hợp SMTP vào IIS thì Microsoft cũng đã góp phần đáng kể vào việc gửi thư ra ngoài cho server của bạn, ngay kể cả khi không có sự hỗ trợ của FrontPage và NNTP.
4- Cài đặt Internet Information Services (IIS)
Yêu cầu duy nhất đối với một máy chủ của bạn để có thể tiến hành cài đặt IIS với hệ điều hành sử dụng Windows Server 2003 là chồng giao thức TCP/IP phải được thực hiện cài đặt. Tuy nhiên, việc bạn nên phải làm là máy chủ đó của bạn có một địa chỉ IP tĩnh thay vì việc bạn lấy IP của nó từ DHCP Server. Nếu bạn muốn khách hàng sử dụng những cái tên thân thiện hơn thay vì sử dụng những địa chỉ IP vô nghĩa và khó nhớ đối với họ thì hẳn bạn cũng phải sử dụng một phương thức phân giải tên nào đó. Nếu bạn đang triển khai một Web Server cho mạng Intranet của mình thì bạn cũng nên có một DNS Server để phân giải tên, tránh tình trạng phải cấu hình trên file HOST của từng máy trạm.Nếu bạn tiến hành cấu hình một Web Server mà có thể truy cập được từ Internet thì bạn phải tiến hành thuê một tên miền cho Web site của bạn rồi tiến hành đăng ký với ISP nào đó để họ tiến hành lưu các bảng ghi DNS của bạn hoặc duy trì DNS server của bạn trên Internet.
Để bắt đầu thực hiện cài đặt ISS, bạn vào của sổ Control Panel rồi gọi chạy Add/Remove Programs sau đó chọn vào nút Add/Remove Windows Components. Khi đó bạn sẽ gọi chạy được Windows Components Wizard. Trong danh sách các thành phần có thể chọn, bạn chọn phần ISS Information Service như hình vẽ sau:
Việc chọn lựa này sẽ tiến hành cài đặt một số thành phần ứng dụng của Web
Server lên máy của bạn, bao gồm cả ISS vốn được cài đặt trong chế độ “locked down” theo mặc định: chỉ có HTTP,NNTP và SNMP được tiến hành cài đặt. Muốn cài đặt FTP và Front Page Server Extensions, bạn hãy chọn vào phần Details dành cho Web Application Server rồi chọn phần Internet Information Services trong danh sách các thành phần của Web Application Server. Hãy chọn phần Details dành cho các thành phần con của ISS để nhìn thấy một danh sách theo chiều dọc tất cả các thành phần hiện có. Hãy
chọn các thành phần tương ứng cần cài đặt như FTP hay Front Page Server Extensions như hình dưới:
Để cho phép Server này có thể thực hiện được các trang web có nội dung tích cực và có thể được quản trị từ xa dựa trên HTTP, bạn hãy bật mục World Wide Web Service từ danh sách các thành phần của ISS rồi chọn phần Details dành cho mục mà bạn đã lựa chọn như hình dưới
Từ danh sách các thành phần của WWW Service, ban chọn vào các ô Active Server Pages và Remote Administrator HTML. Sau khi đã chọn xong các thành phần mà bạn muốn thực hiện cài đặt, bạn hãy chọn nút OK để đóng tất cả các cửa sổ chi tiết đã mở ra rồi quay trở lại màn hình Windows Components Wizard. Windows Server 2003 sẽ tự động cài đặt những thành phần mà bạn đã chọn, và có thể trong lúc tiến hành cài đặt Windows Server 2003 sẽ yêu cầu bạn đưa đĩa cài đặt Windows Server 2003 vào ổ đĩa CD.
5- Cấu hình chuẩn của IIS 6
Nếu chấp nhận các lựa chọn mặc định và không tiến hành cài đặt thêm bất cứ thành phần nào thì kết quả của quá trình cài đặt IIS 6 sẽ là một cấu hình với các thông số như sau:
Một Web site mặc đính (trống rỗng), không có các thành phần mặc định cho FrontPage, hồi đáp trên cổng TCP/IP số 80 trên tất cả các IP đã ấn định và thư mục Home directory dành cho Web site đó sẽ là c:\inetpub\wwwroot.
Một server ảo SMTP mặc định, hồi đáp trên cổng TCP/IP số 25 trên tất cả các IP đã được ấn định
Một server ảo NNMP mặc định, hồi đáp trên cổng TCP/IP số 119 trên tất cả các IP đã được ấn định
Bạn có thể quan sát các dịch vụ này thông qua của sổ điều khiển kiểu MMC mang tên Internet Information Services như hình sau:
Nếu bạn đã chọn cài đặt thêm các thành phần FrontPage Server Extensions, FTP hoặc Remote Administration (HTML) thì sẽ có các site được bổ sung được tạo ra như sau:
FTP site, mặc định hồi đáp trên cổng TCP/IP số 21 đối với tất cả các IP đã đăng ký
Giao diện Web điều khiển từ xa- Remote Administration (HTML) dưới dạng một Web site quản trị, hồi đáp trên cổng TCP/IP số 8089 đối với tẩt cả cá IP đã đăng ký
Web site Microsoft SharePoint Administration hôi đáp trên cổng TCP/IP được chỉ định ngẫu nhiên
Với công cụ MMC điều khiển của IIS 6, bạn sẽ thây hơi khác so với bản IIS 5 là các site giờ đây đã được tổ chức theo từng chủng loại và có 2 phần mới trong màn hình điều khiển là: Application Pools và Web Service Extensions. Tính năng mới này cho phép cách ly các ứng dụng hoặc site ra khỏi các ứng dụng hoặc các site khác bằng cách phân công cho chúng chạy trên các process khác nhau. Còn phần Web Service Extensions thì dùng để vô hiệu hoá hoặc hữu hiệu hoá các bộ xử lý dành cho nội dung chủ động như: Active Server Pages và Server Side Includes.
6- Tuỳ chọn cấu hình toàn cục cho IIS 6
IIS là một bộ dịch vụ với cả một bộ những thông số cấu hình đủ loại, nhưng có một vài thông só trong đó là dùng chung cho các dịch vụ của ISS.Để ấn định những giá trị mặc định và các thông số toàn cục của hệ thống, bạn kích hoạt Internet Information Services bằng cách nhắp chuột vào Start\Programs\Administrator Tools\Internet Services Manager sau đó nhắp chuột phải vào hình IIS server trong của sổ bên phải và chọn Properties để mở ra màn hình đặc tính của server đó
Từ màn hình này, bạn có thể chọn “Enable Direct Metabase Edits”, có nghĩa là cho phép chỉnh sửa trực tiếp cơ sở dữ liệu của ISS ngay cả trong khi ISS vẫn đang chạy, sử dụng kiểu mã hoá UTF-8 trong các file ghi chép để hỗ trợ những ký tự quốc tế và phi-ASCII hoặ ấn định các kiểu file MIME
Trong phần này, bạn cũng có thể cấu hình cho các dịch vụ của ISS là cách diễn dịch những kiểu file MIME (Multipurpese Internet Mail Extensions)- Kiểu dữ liệu mở rộng đa mục đích, mà dịch vụ Web của ISS sẽ gửi đến trình duyệt của máy khách khi một file nào đó được đọc về.
II. Các đặc tính tổng thể của một Web Site
Để quảng bá nội dung lên một Web site bạn phải cấu hình các đặc tính của Web site đó. Điều này sẽ được thực khá dễ dàng khi bạn chọn IIS server rồi chọn trong cây console của của sổ iis.msc, chọn Web site sau đó chọn phần Properties từ Menu Action.
Tab Service như hình mà bạn nhìn thấy dưới đây được dành cho hai tính năng mới có của IIS 6. Theo mặc định, dịch vụ web chạy trong chế độ cách ly phân trình công tác (Worker process isolation mode) là chế độ mới của IIS 6. Trong chế độ này, các ứng dụng có thể được phân bổ cho những phân trình công tác (worker process) riêng biệt, mang lại tính bảo mật và độ tin cậy cao so với ISS 5.
Khả năng nén dữ liệu hồi đáp cho những yêu cầu HTTP không hoàn toàn mới nhưng vói ISS 5 nó được thực hiện dưới một bộ lọc ASAPI. Với ISS 6, điều đó được thực hiện nhờ một tính năng mới của dịch vụ và có thể được áp dụng riêng biệt cho các file tĩnh hoặc các nội dung được tự động tạo ra.
Về cơ bản, bạn sẽ sử dụng các Tab khác để ấn định những thiết lập được dùng chung cho cho tất cả các Web site trên cùng một server của bạn. Từng site cụ thể sẽ được thừa hưởng những thiết lập cấu hình tổng thể này, nhưng những thiết lập cấu hình ở từng site cụ thể lại có thể phủ quyết những thiết lập cấu hình ở site cấp cao hơn. Ví dụ nếu bạn chọn giới hạn tổng thông lượng mạng có thể dùng trên tẩt cả các site trên server là
64KB/s rồi sau đó lại giới hạn thông lượng cho một Web site cụ thể nào đó là 16KB/s thì Web site cụ thể đó sẽ bị tiết chế (throttle) căn cứ trên những thiết lập của riêng nó mà không quan tâm đến thiết lập của site cấp cao hơn của nó.
Ngoài việc ấn định các thông số mặc định cho tất cả các Website, bạn có thể dùng một tính năng gọi là tiết chế thông lượng (bandwith throttling) để kiểm soát xem ISS sẽ sử dụng bao nhiêu thông lượng trên mạng của bạn. Điều này là thực sự cần thiết đối với hệ thống mạng của bạn vì nếu bạn có sử dụng nhiều ứng dụng dựa trên Internet vốn đòi hỏi một lượng bandthwith nhất định thì việc ấn định này đảm bảo ISS không tiêu thụ tât cả băng thông trên mạng của bạn và đảm bảo dành ra một khoảng băng thông cho các dịch vụ khác.
1- Địa chỉ IP của Site
Khi tiến hành xây dựng một site mới, thông tin đầu tiên mà Web Site Creation Wizard muốn biết là bạn sẽ dùng địa chỉ IP nào sẽ được dùng cho Web site này. Điều này chủ yêu là dành cho những server có nhiểu card mạng hoặc có nhiều địa chỉ IP được cấp cho cùng một card mạng. Đối với những máy có nhiều card mạng thì bạn có thể đăng ký mỗi site riêng biệt trên một card mạng bằng cách khai báo địa chỉ IP thích hợp trong trường hợp này.
Nếu bạn có một card mạng và có nhiều địa chỉ IP được cấp cho card mạng đó thì bạn có thể phân bổ một Web site riêng biệt cho địa chỉ đó.
2- Cổng HTTP dành cho Web site
Điều thứ hai khi tạo ra một Web site mới mà Web Site Creation Wizard muốn biết là bạn sẽ dùng cổng nào. Theo mặc định, cổng 80 là cổng chuẩn mực dùng cho giao thức HTTP. Nếu bạn dự định tạo ra một Web site công cộng mà ai cũng có thể truy cập được thì bạn nên để giá trị mặc định là cổng 80. Các trình duyệt của người sử dụng sẽ cố gắng kết nối tới một Web site nào đó trên cổng này khi người dùng gõ URL của Web site đó vào khung địa chỉ của họ. Tuy nhiên, nếu bạn có nhu cầu riêng hoặc muốn bảo vệ Web site của mình thì bạn có thể thay đổi số hiệu cổng này từ 1 đến 65535.
3- Các mẩu tin host header
Để phân bổ nhiều Web site cho cùng một địa chỉ IP và cổng, bạn có thể dùng phương thức host header name. Đây chính là cách mà khi sử dụng, ta sẽ gộp tên host mà trình duyệt đang yêu cầu chuyển đến kết nối vào trong phần đầu để (header) của trang HTML được gửi đến Server. Đối với các trình duyệt hiện đại (sau 1977) không chỉ đơn giản thưa với các Web site là “Bác cho em xin các trang web của bác với ạ?” mà nó còn nói cụ thể là “Bác cho em xin các trang web của bác với ạ, và nhân tiện em cũng nói rõ luôn là em cần trang www.btc?”. Điều này là quan trọng bởi vì một Web site duy nhất có thể có đến vài cái tên.Đối với trường hợp mà Web server chỉ có một web site này thì không vấn đề. Nhưng trong trường hợp Web server có từ hai web site trở lên, cùng dùng địa chỉ IP và cổng giống nhau thì làm thế nào để ISS nhận biết được bạn muốn đến site nào? Điều này ISS có thể làm được bằng cách nó nghe mẩu tin host header mà trình duyệt Web của bạn gửi với yêu cầu HTTP của nó.
III. Chỉnh sửa các đặc tính của Web site
1- Các đặc tính Web site
Dưới đây là màn hình hiển thị các thông số tổng quát dành cho một web site
Web site Identification: Trong phần này bạn có thể thay đổi tên mô tả, địa chỉ IP, địa chỉ cổng TCP/IP hoặc địa chỉ cổng SSL được phân cho web site này. Rõ ràng là việc thay đổi một trong số các thông số này sẽ làm thay đổi cách thức mà các náy khách truy nhập vào Web site này nên bạn nên dự trù để có sự thay đổi phù hợp. Nếu muốn thay đổi thông số host header name của Web site này thì bạn nhắp chuột vào nút Advanced để đến màn hình sau:
Tại đây, bạn có thể nhắp nút Add để thay đổi các thông số như: IP Address, host header name,port của Web site này.
Connection: Bạn có thể nhập vào một giá trình time-out để ISS đóng lại những kết nối nào không chạy trong thời gian đó, và bạn có thể “Enable HTTP Keep-Alives”-tức là để kết nối liên tục không cần biết kết nối đó có được sử dụng hay không.
Enable Logging: Bạn có thể ngăn cấm hoặc cho phép thực hiện việc ghi chép đối với Web site bằng việc check hay bỏ check thông số này. Nếu bạn cho phép ghi chép, bạn sẽ có môt số tuỳ chọn trong khung thả xuống như: W3C Extended Log File Format, ODBC Logging, NCSA Common Log File Format và Microsoft IIS Log File Format. Tuỳ theo dạng thức file mà bạn vừa chọn sẽ cho phép bạn chỉnh sửa những đặc tính tương ứng của dạng thức đó bằng cách nhắm nút Properties.
Các thông số về điều hành viên:
Trong phần này, bạn có thể quy định các tài khoản người dùng Windows Server 2003 nào có những quyền điều hành đối với Web site cụ thể này. Bằng cách nhắp nút Add, bạn có thể đưa vào danh sách điều hành viên các user và khi các user này được gán quyền trên, nó có các quyền sau:
Sửa đổi các quyền truy nhập Web server và ghi chép
Sửa đổi các tài liệu Web mặc định và các ghi chú chân trang (footer) của Web site.
Sửa đổi ngày hết hạn nội dung trang, các đầu để (Header) HTTP, và số liệu đánh giá nội dung nếu có.
Các điều hành viên không có quyền:
Sửa đổi các đặc điểm nhận diện (bao gồm địa chỉ IP, địa chỉ cổng, host header) của một Web site.
Sửa đổi tài khoản và mật khẩu của người dùng nặc danh.
Sửa đổi những thông số tiết chế bandwith.
Tạo ra các thư mục ảo hoặc sửa đổi đường dẫn thư mục ảo có sẵn.
2- Các thông số về hiệu năng hoạt động:
Các thông số này được nhìn thấy trong phần Performance:
Tuỳ theo kích thước của Web site và lưu lượng trao đổi dữ liệu bạn trông đợi xử lý, bạn có thể sửa đổi vài thông số để thay đổi cách xử lý của site này:
Performance Tuning: Tuỳ theo số lượng yêu cầu truy cập bạn trông đợi vào Site này trong một ngày bạn có thể điều chỉnh con trượt Performance Tuning đến 3 vị trí: Ferver than 10,000/Ferver than 100,000/More than 100,000. Việc ấn định thông số này cao hơn lượng yêu cầu truy nhập bạn trông đợi nhận được sẽ mang lại hiệu năng tốt nhất.
Enable Bandwith Throttling: Giống như trong phần thông số toàn cục của server đối với IIS, bạn có thể kiểm soát băng thông mà toàn thể server hoặc một site riêng rẽ nào tiêu thụ.
Enable Process Throttling: Với thông số này, bạn có thể hạn chế lượng thời gian xử lý của CPU mà một quá trình xử lý có thể kiểm soát. Như thế sẽ ngăn không cho một ứng dụng sai sót nào đó có thể tiêu thụ hết nguồn tài nguyên trên máy của bạn.
3- Đặt thông số cho bộ lọc ISAPI
Các bộ lọc ISAPI là những chương trình dưới dạng file .dll có chức năng hỏi đáp những sự kiện xảy ra trên server trong khi xử lý một yêu cầu HTTP nào đó. Các bộ lọc ISAPI được hiển thị trong phần này chi hoạt động cho web site này mà thôi mặc dù cũng
có thể quy định một bộ lọc tổng thể cho toàn bộ Web Server. Trong trường hợp đó, cả hai tập hợp bộ lọc sẽ được áp dụng cho toàn bộ web site này. Có nhiều bộ lọc cùng được đăng ký cho cùng một sự kiện thì bộ lọc nào có độ ưu tiên cao hơn sẽ được thi hành trước. Có thể thêm, bớt, sửa, xoá hay vô hiệu hoá các bộ lọc ISAPI này từ danh sách bằng cách sử dụng các nút chức năng tương ứng ở bên phải như hinh dưới. Hoặc có thể thay đổi thứ tự thi hành của các bộ lọc bằng các nút Move Up, Move Down.
4- Các thông số về Home Directory:
Các thông số trong phần này cho phép kiểm soát là IIS sẽ đi tìm nội dung cho site này ở đâu, và những quyền truy nhập và bảo mật nào cần dùng trong khi xử lý chúng.
Bằng cách chọn vào các Radio Button thích hợp ở phần trên cùng của trang đặc tính này, bạn có thể thiết lập cho IIS sẽ đi tìm nội dung cho site này ở đâu, hoặc nó sẽ gửi người dùng đến một Web site khác. Nếu bạn chọn mục dành cho thư mục trên máy này thì bạn phải trỏ đúng đường đẫn đến đúng thư mục đó trong phần Local Path. Nếu bạn chọn mục dành cho một share được đặt trên một máy khách, trường Local Path sẽ đổi thành trường Network Directory, nơi bạn cần nhập vào đường dẫn UNC \\servername\sharename đúng đắn. Thực chất của option này là dịch vụ IIS sẽ đăng nhập vào máy mà bạn trỏ tới, lấy các file về rồi giới thiệu chúng với người dùng như là các file đó ở trên máy của bạn vậy. Đây là một cách rất hay nhằm để phân tán toàn bộ Web site khắp một cơ quan hay tổ chức. Cuối cùng, nếu bạn định hướng người dùng đến một URL khác IIS sẽ tạo ra một trang đổi hướng (redirectory page) HTML, hướng người dùng đến đúng trang mà bạn vừa chỉ định. Trường Local Path sẽ đổi thành trường Redirect to, nơi bạn có thể nhập vào một URL đầy đủ để hướng người dùng đến đấy. Việc hướng người dùng đến một URL nào đó có thể ấn định thông qua ba phương án khác nhau: định hướng lại người dùng đến một URL đích xác, định hướng lại người dùng đến một thư mục con thấp hơn, định hướng lại người dùng một cách lâu dài đến một URL đích xác.
Nếu bạn đã chọn một trong hai phương án đầu cho vị trí chứa nội dung của site- tức một thư mục trên máy chủ ISS server của bạn hoặc một share thư mục trên một server khác thì việc chỉ định các quyền truy cập và chỉnh sửa khả năng thao tác trên site của mình như sau:
Script Source Access: Chỉ có khi các quyền Read hoặc Write được cho phép, nó cho phép truy cập vào mã nguồn, kể cả kịch bản có sẵn trong ASP
Read: Cho phép người dùng đọc các file từ Web server của bạn
Write:Cho phép các trình duyệt khách có thể tải và ghi các file lên Web server của bạn
5- Các thông số Documents
Trừ khi một khách viếng thăm một site nào đó đã chọn vào một liên kết trỏ đến một trang cụ thể nào đó trên một wer site, còn thông thường họ thường trỏ tới tên của chính web site bằng cách dùng chính tên của web site. Ví dụ: http://www.btc hơn là dùng liên kết http://www.btc/default.htm. Khi đó IIS sẽ nhìn lướt qua danh sách đã được cấu hình trong trong phần này để trả lại kết quả cho người dùng. Theo mặc định, quy trình cài đặt IIS sẽ đưa các tên file default.thm, default.asp, index.htm và default.aspx vào. Nếu vì một lý do nào đó mà bạn thích dùng một tên file khác hơn thì bạn có thể bổ sung tên file đó vào danh sách các tên file bằng nút Add rồi có thể di chuyển vị trí của file đó để ISS có thể đáp trả ngay file mà bạn muốn cho người dùng.
Nếu bạn muốn mọi trang web bên trong site của mình muốn gửi đi một thông tin chung (như thông tin về bản quyền…) thì bạn có thể để cho ISS thực hiện điều đó bằng cách chọn vào phần Enable document footer. Các thông tin nay thực chất là một document footer-một file HTML mà ISS sẽ sát nhập vào mỗi trang mà nó hiển thị.
6- Các thông số về Directory Security
Directory Secuerity cho phép bạn kiểm soát truy nhập vào Web site của bạn căn cứ vào việc xác minh các địa chỉ IP của máy khách hợc các thiết lập về ACL trên các file và cho bạn khả năng bảo vệ thông tin khi khách hàng kết nối vào Web site này.
Một trong các biện pháp thường được sử dụng để bảo mật một Web site nào đó là quy định một phương thức xác minh để kiểm chứng tính hợp lệ của người dùng. Mặc định là trình duyệt của một máy khách bất kỳ khi truy nhập vào hệ thống sẽ dưới dạng nặc danh, nên phương án có thể dùng được là gỡ bỏ khả năng truy cập nặc danh ra khỏi site của bạn. Bạn hãy làm điều này bằng cách nhắp nút Edit trong vùng Authenticantion and access control để chỉnh sửa đặc tính về xác minh đối với Web site của bạn. Khi đó màn hình Authentication Methods sẽ hiện ra như sau:
Theo mặc định, ISS sẽ cho phép truy cập nặc danh (anonymous access) đối với các Web site và thư mục cơ sở tương ứng với Web site đó, trừ khi bạn đã phủ quyết lựa chọn này trong phần đặc tính tổng thể của ISS Server. Có hai phương pháp để bảo mật Web site hoặc một số khu vực của Web site. Phương pháp thứ nhất là bỏ duyệt ở phần Enable anonymous access, như thế thực chất là bạn sẽ biến toàn bộ site của bạn thành một site được bảo vệ và đòi hỏi phải có một xác minh thì người dùng mới được phép kết nối, ngay cả việc chỉ vào trang chủ thôi. Nếu bạn chọn phương pháp này thì vùng Authentication access ở dưới sẽ trở nên quan trọng trong việc xác định cách thức để khách hàng tự xác minh. Nếu bạn gỡ bỏ khả năng anonymous access ra khỏi site của mình thì bạn bắt buộc phải để một phương pháp xác minh nào đó được chọn, nếu không thì bạn đã vô hiệu hóa truy cập vào site đó.
Những mục lựa chọn trong vùng Authenticatio access kiểm soát cấp độ xác minh mà người dùng phải thương lượng để được nối kết vào site đã được bảo vệ của bạn. Chi tiết như sau:
Intergrated Windows Authentication: Nếu cả máy khách và máy chủ đều đang dùng dịch vụ AD thì phương thức xác minh Kerberos 5 sẽ được dùng. Nếu không, phương thức xác minh dùng chung sẽ là NT Challenge/Response Authentication. Theo quy định này, khách hàng không được yêu cầu cung cấp ngay từ đầu một Password nào cả. Trình duyệt của khách hàng sẽ chuyển những thông tin về Username và Password hiện tại cho một Server một cách âm thầm và lặng lẽ. Nếu nỗ lực xác minh âm thầm này không thành công, trình duyệt sẽ yêu cầu người dùng cung cấp một cặp Username và Password của
Windows tương ứng. Cách xác minh này yêu cầu khách hàng phải sử dụng trình duyệt là Internet Explorer và khi thực hiện sẽ gửi các mã băm (hash) của các password ấy.Các tài khoản của khách hàng muốn truy cập sẽ được so sánh với những thông tin về tài khoản có trong miền Windows có chứa ISS Server này.
Digest Authentication: Xác minh bằng mã tổng kết. Khi thực hiện, nó truyền một cách an toàn một giá trị băm MD5 qua Internet chứ không phải Password, vì thế giữ được tính bí mật của Password hệ thống. Tuy nhiên cần phải đáp ứng vài yêu cầu thì có thể sử dụng biện pháp xác minh này như: Máy khách phải sử dụng Internet Explore phiên bản 5 trở lên, người sử dụng phải có một tài khoản hợp lệ trong AD của miền Windows có ISS Server, các Password của khách hàng trong AD đó phải dưới dạng rõ ràng (cleartext)
Basic Authentication: Là cấp độ xác minh cơ bản nhất để thẩm định tính hợp lệ của việc truy cập của khách hàng vào tài nguyên của một Web site. Thực chất, hầu hết các trình duyệt của Microsoft hay Netcapse đều hỗ trợ kiểu xác minh này. Bằng cách xác minh này, các Username và Password sẽ được truyền đi dưới dạng các văn bản rõ ràng và sẽ được so sánh với các tài khoản có trong miền Windows có ISS Server. Nếu Web site của bạn là một Web site công cộng được truy cập bởi nhiều người dùng với nhiều trình duyệt khác nhau thì đây chính là phương pháp xác minh phù hợp và đơn giản, nhưng đổi lại tính an toàn của nó không cao trừ khi bạn dùng nó và kết hợp với SLL. Tuy các Password được truyền đi dưới dạng không mã hoá nhưng các tài khoản người dùng cần có quyền Log On Locally.
.NET Passport Authentication: Hệ thống xác minh trực tuyến .NET Pasport của Windows được thiết kế để làm lợi cho các Web site thương mại điện tử, bằng cách làm cho việc đăng ký (sign in) và thực hiện những việc mua bán trực tuyến trở nên dễ dàng hơn rất nhiều. Việc xác minh này sẽ ra lênh cho Server của bạn phải thẩm định tính hợp lệ của các tài khoản bằng một .NET Pasport Server thay vì dùng một cơ sở dữ liệu tài khoản tại chỗ hoặc AD. Bởi vì .NET Passport sử dụng các công nghệ WEB chuẩn mực như cookies, SLL, và JavaScript nên nó tương thích với Internet Explore 4 và mới hơn, Netcapse Navigator 4 trở lên và thậm chí trên cả Unix nữa. Tuy nhiên nhược điểm của phương pháp xác minh này là chi phí dùng để cấp phép .NET Passport quá cao
Một phương pháp nữa để bảo mật Web site của bạn là hạn chế những ai có quyền truy cập Web site của bạn bằng dựa vào IP hay một phạm vi các địa chỉ IP hoặc một tên miền nào đó. Cách này đòi hỏi bạn phải biết trước ai sẽ là người kết nối vào Web site của bạn, kết nối từ đâu? Nhưng nó đặc biệt hiệu quả với việc thiết kế để giao tiếp với khách hàng hoặc nhà cung cấp. Bạn hãy chọn Edit trong khu vực IP address and domain name restrictions trên trang đặc tính Directory Security, bạn sẽ nhìn thấy hình vẽ:
Hãy chọn vào các nút thích hợp để tước bỏ hay trao quyền truy cập đối với người sử dụng sau đó nhập vào danh sách những người ngoại lệ bằng cách chọn nút Add. Các khoảng mục trong danh sách ngoại lệ này có thể được chỉ định rõ theo khoảng IP, địa chỉ mạng hoặc tên miền cụ thể. Phương án hạn chế theo địa chỉ IP cụ thể thường hiệu quả đối với người sử dụng tại nhà, miễn là họ có một địa chỉ IP tĩnh do nhà cung cấp dịch vụ Internet cung cấp. Tuy nhiên, khi các đối tượng là các PC hoặc Laptop di động thì thường là IP được cấp động cho họ,hoặc một số đối tượng dùng Firewall hoặc Proxy Server có tác dụng dấu đia địa chỉ IP của máy trạm và dùng một địa chỉ duy nhất để gửi đi tất cả các yêu cầu truy nhập thì phương án này sẽ trở nên khó khăn. Trong trường hợp này, bạn có thể cho phép kết nối những đối tượng đó và từ chối những kết nối khác bằng cách nhập vào địa chỉ IP của firewall hoặc proxy server ấy.
Phương án hạn chế theo tên miền chỉ có ích với trường hợp bạn không biết địa chỉ IP của máy khách sẽ truy cập vào web site của bạn. Bởi vì ISS chỉ nhận diện các kết nối nhờ địa chỉ IP gốc thôi nên server phải thực hiện một sự tra cứu DNS ngược (reverse -DNS) vốn có thể làm chậm thời gian hồi đáp của server một cách đáng kể.Nhiều máy trên Internet không thực sự có những bản ghi reverse-DNS được phân cho chúng, và một số máy lại được phân các bản ghi reverse-DNS không đúng cho chúng. Vì thế, nếu bạn đưa ra giải pháp hạn chế dựa trên tên miền hay tên máy thì có thể nó không có tác dụng tốt như bạn mong muốn.
Mặc dù các địa chỉ IP nguồn có thể bị giả mạo, và không nên được dùng như là một phương tiện duy nhất để bảo vệ những nội dung nhậy cảm, nhưng cách hạn chế theo địa chỉ IP có thể được kết hợp với cách hạn chế thông qua xác minh để máy khách có thể truy cấp đến nội dung của Web site một cách rất an toàn.
Phương án cuối cùng dùng để bảo vệ Web site của bạn là đòi hỏi phải có những cuộc truyền tải thông tin được mã hoá giữa trình duyệt của khách hàng và server, ngăn không cho bất kỳ ai can thiệp vào dữ liệu khi nó đi ngang qua Internet. Điều này được thực hiện bằng cách mã hoá SLL (Security Sokets Layer)
7- Các thông số về HTTP Header
Đây là những thông số liên quan đên các đầu đề (header)- những thông số mà IIS server sẽ phải gộp vào trong các trang HTML mà nó gửi đi. Các thông số này được điều chỉnh trong phần HTTP Header như hình sau:
Đây là những thông số mà hầu hết các quản trị viên của một Web site muốn biết, như: thời điểm hết hạn nôij dung (content expiration), cách đánh giá nội dung (content rating) và các kiểu dữ liệu MIME. Tuy nhiên, cũng có thể bổ sung các header riêng khi cần thiết ứng với các chuẩn HTML mới, vốn chưa có trong IIS 6
Khi bạn chọn vào phần “Enable content exripation”, bạn thực chất có thể kiểm soát cách mà trình duyệt khách sẽ sử lý các trang đệm trữ của chúng khi trao đổi với thông tin với Web site của bạn. Nếu một người dùng đã từng truy cập vào Web site của bạn thì các trang đó có thể vẫn còn trong vùng đệm (cache) trên máy của họ. Tuy nhiên, bạn muốn các thông tin lưu trên bộ đệm của máy khách chỉ có hiệu lực trong vòng từ một đến hai ngày chẳng hạn thì bạn hoàn toàn có thể hạn chế thời gian đó trong phần này.
Nếu Web site của bạn đăng tải nhiều tài liệu có những nội dung mà đối với một số người thấy là không hiệu quả và đáng chê trách thì bạn có thể mở chế độ đánh giá nội dung Web site bằng cách chọn vào phần Content rating, chọn Edit ratíng để mở ra hộp thoại Content Ratings Properties. Từ đó bạn có thể tìm hiểu về hệ thống Nền tảng để chọn nội dung Internet (Platfrom for Internet Content Selection-PICS), vốn được kiến tạo
bởi Hội đồng từ vấn phần mềm giải trí (Recreational Software Advision Council-RSAC) và được dùng để quyết địng mức đánh giá (rating) cho một Web site. Ngoài ra, bạn còn có một số bản thăm dò ý kiến mà bạn có thể xem qua để quyết định rating thích hợp cho chính Web site của bạn.
Trong màn hình đó, bạn có thể thấy có bốn phạm trù chính để đánh giá các Web site là: Violence (bạo lực), sex (tính dục), nudity (tranh ảnh khoả thân), language (ngôn ngữ). Đối với mỗi phạm trù này có năm mức từ 0 đến 4 để chỉ báo nội dung site của bạn chướng tai gai mắt đến cỡ nào.
Những thông số mà bạn thiết lập ở đây sẽ có mối quan hệ trực tiếp với các thiết lập về nội dung có trong trình duyệt Internet Explore hay Netcapse của máy trạm. Về hiệu quả, nó sẽ không cho máy khách truy cập vào Web site của bạn nếu mức đánh giá nội dung của bạn vượt quá những thiết lập trong trình duyệt của họ. Sau khi các mức đánh giá được bạn thiết lập xong, ISS sẽ truyền chúng đi cùng với mỗi một Web site tương ứng hoặc các thư mục con của site.
8- Các thông số về Custom Errors
Khi xây dựng Web server và Web site của mình, có thể có lúc bạn muốn kiểm soát khi người dùng gặp lỗi thì lỗi đó hiển thị như nào đối với họ. Ví dụ có thể bạn muốn một trang HTML nào đó của bạn hiển thị khi người dùng gặp lỗi 404- không tìm thấy trang. Để tuỳ biến các thông báo lỗi trên một site nào đó của mình, bạn chọn vào phần Custom Errors trên trang đặc tính của site ấy, bạn sẽ nhìn thấy hình sau:
Thông qua phần này, bạn có thể chọn hiển thị một thông báo lỗi mặc định, một file hoặc một URL nào đó khi gặp một kiểu lỗi HTTP 1.1 nào đó. Các kiểu lỗi HTTP (cùng với các kiểu con của chúng) được liệt kê trong cột bên trái, những kiểu hồi đáp thì nằm ở giữa, còn chi tiết về những hồi đáp đó thì nằm ỏ bên phải. Theo cấu hình mặc định của ISS thì một số kiểu hồi đáp cũng mặc định (chỉ có một dòng văn bản), còn những thông báo kiểu khác thì được quy định bởi những file HTML. Windows Server 2003 lưu trữ các file thông báo lỗi mặc định của ISS trong thư mục %systemroot%\help\issHelp\common. Bạn có thể dùng những file này như khuôn mẫu để định ra những thông báo lỗi của riêng bạn. Muốn thay đổi một thông báo lỗi nào đó trên máy, bạn hãy tìm mã lỗi HTTP mà bạn muốn thay đổi sau đó chọn Edit để chỉnh sửa lại nội dung của những thông báo lỗi đó.
III. Các thư mục ảo
1- Ý nghia của các thư mục ảo
Khi các Web site bắt đầu phát triên mạnh, thì thường xuất hiện nhu cầu tổ chức các cấp nội dung của nó thành các thư mục con bên dưới gốc chính của site. Có hai cách để thực hiện điều này cho một Web site. Cách thứ nhất là thực sự tạo ra một thư mục con trong thư mục gốc của Web site rồi đặt nội dung thích hợp vào thư mục này nhưng cách này liên quan đến việc di chuyển nội dung của Web site. Nếu bạn không muốn di chuyển thì bạn có thể dùng cách thứ hai, tức là tạo ra một thư mục con ngay bên dưới của gốc site, thậm chí là cấp thấp hơn nữa của site rồi sau đó tạo ra một bí mục (alias) hoặc một
con trỏ (pointer) trỏ tời một thư mục ở nơi khác trên máy tính của bạn hoặc trên một máy khác. Bằng cách tạo ra thư mục ảo, bạn không cần phải di chuyển tất cả các nội dung của Web site của bạn đến một máy khác rồi sau đó đặt nó vào trong một cấu trúc thư mục có trật tự đối với các yêu cầu truy cập từ máy khách. Thay vì thế, bạn có thể cho nội dung đó được chứa ở bất kỳ đâu trên máy tính của bạn hoặc trên bất kỳ một máy nào nằm trong mạng của bạn rồi sau đó các yêu cầu truy cập của máy khách có thể thông qua một cấu trúc thư mục đơn giản.
Các thư mục ảo thực sự có ích bởi các lý do:
Chúng đơn giản hoá cấu trúc của web site xét theo quan điểm của người dùng. Một thư mục ảo có thể xuất hiện ngay dưới gốc của Web server bất luận nó tham chiếu đến một ví trí sâu bên dưới mười cấp trong cấu trúc thư mục hay được lưu trữ trên một ổ cứng vật lý riêng hay một máy tính khác
Chúng cho phép có sự mềm dẻo và linh hoạt hơn nhiều trong việc tổ chức nội dung của Web site. Mạng Intranet của một công ty lớn có thể có các thư mục ảo dành cho vài phòng ban khác nhau, vốn thực ra được lưu trữ và duy trì trên những server cấp phòng ban thay vì trên chính ISS server. Nếu một quản trị viên nào đó cần dời thư mục đó đi chỗ khác, người đó chỉ cần thay đổi cách diễn dịch bí mục (alias) thay vì cố định từng liên kết trên một Web ste.
Chúng có thể cung cấp một tầng bảo mật khác vì người dùng không thể biết được nội dung của site thực tế được chứa ở đâu và mặc dù thư mục gốc của site có thể nằm ở phân khu đĩa FAT vốn có thể được truy cập với người dùng nặc danh thì bạn vẫn có thể tạo ra thư mục ảo trỏ tới một phân khu đĩa NTFS và hạn chế được khả năng truy cập bằng các permission đối với file và thư mục.
2- Cách tạo ra thư mục ảo
Để gọi chạy Virtual Directory Creaction Wizard, bạn quay lại công cụ console Internet Information Services, chọn Web site nào bạn muốn tạo thư mục ảo sau đó chọn New\Virtual Directory từ Menu Action, bạn sẽ nhìn thấy màn hình sau:
Điều đầu tiên bạn cần phải làm cho thư mục ảo của mình là chỉ định bí mục (alias) sẽ chỉ đến nó. Bí mục ấy là tên thư mục mà trình duyệt của khách hàng sẽ cần phải dùng để truy cập đến thư mục đó. Bí mục đó không cần phải trùng với tên của thư mục thực tế chứa trên đĩa nên bạn có thể dùng bất kỳ một cái tên gì. Sau đó bạn chọn Next, bạn sẽ nhìn thấy màn hình sau:
Nếu bạn muốn quy định một thư mục ảo trỏ đến một thư mục khác cùng nằm trên máy của bạn thì hãy nhập đường dẫn của thư mục đó. ISS sẽ quy định thư mục ảo này là trỏ tới một thư mục khác trên cùng một server đó.Còn nếu bạn muốn thư mục ảo này trỏ đến một share thư mục trên một server khác thì bạn hãy nhập đường dẫn UNC đến máy và server đó vào đây, sau đó bạn chọn Next. Khi bạn chọn Next, Virtual Creaction Wizard sẽ đưa bạn đến một khung thoại khác như hình sau:
Khi ISS cần liên hệ với một server khác để lấy nội dung của Web, thì nó sẽ phải dùng một tổ hợp usernam và password cụ thể mới làm được.
Bạn chọn Next để chuyển đến bước cuối cùng –quy định permission truy cập
V. Xây dựng một FTP site và cấu hình các dịch vụ FTP
Mặc dù nhiều cuộc truyền file trên Internet ngày càng diễn ra thông qua HTTP, nhưng FTP vẫn là một giao thức quan trọng cần yểm trợ nếu bạn dự định điều hành một Web site công cộng, đơn giản là do phạm vi hỗ trợ các truy nhập rộng rãi của nó.
Phần mềm FTP client được phát triển cho hầu hết các nền tảng điện toán mà con người có thể tưởng tượng ra, kể cả các hệ thống truyền tin cỡ lớn và nhỏ. Nhiều truy nhập có thể không lấy được file từ một hệ thống nào đó nhưng hoàn toàn có thể thực hiện được việc đó thông qua FTP.
Để thiết lập được dịch vụ FTP trên IIS, trước hết bạn phải chuẩn bị các thông tin sau:
FTP server này phải hồi đáp trên địa chỉ IP nào?
Đối với các địa chỉ IP đã được chỉ định trên, thì FTP server phải hồi đáp trên cổng nào? (thường là cổng 21)
FTP site của bạn cho phép truy nhập có quyền Read, Write hay cả hai quyền trên?
1- Xây dựng một FTP site:
Cũng giống như việc tạo ra một Web site mới, việc tạo ra một FTP site cũng bắt đầu bằng 1 wizard, trong trường hợp này FTP site là 1 Creation wazard. Để khởi động wizard đó, bạn chọn IIS server của bạn trong ngăn trái của màn hình Internet Information Server rồi chọn lện New/FTP site từ menu Action, sau đó wizard sẽ hiện ra cho phép bạn cấu hình các thông số của FTP server của bạn
Thông số đầu tiên mà bạn cần cấu hình chính là tên có tính mô tả cho FTP site mới mà bạn đang tạo
Bạn nên chọn một cái tên sao cho có ý nghĩa cho site của bạn. Ví dụ: ftp.stchn.com rồi nhấn nút Next để chuyển đến bước kế tiếp.
Để người dùng có thể tiếp cận được FTP server của bạn thì bạn cần phân bổ một địa chỉ IP và một địa chỉ cổng TCP để dịch vụ FTP lắng nghe những cuộc kết nối tới. Theo mặc định, FTP server sẽ phân bổ cổng 21 cho tất cả các địa chỉ IP dành cho FTP site mà bạn định tạo. Bạn nên chọn địa chỉ IP cụ thể dành cho site này trong hộp thoại IP Address. Nếu muốn thay đổi cổng giao tiếp, bạn có thể chọn địa chỉ cổng từ 1 đến 65535 và thay đổi địa chỉ cổng trong hộp TCP port. Sau khi đã nhập xong các thông số trong mành hình trên, bạn nhấp nút Next để chuyển sang phần tiếp theo
Khi các khách hàng FTP bắt đầu kết nối vào FTP server này, họ sẽ được đặt vào trong home directory của site và không thể chuyển lên bất kỳ cấp nào cao hơn là home directory này trên máy của bạn, và đối với các truy nhập này thì home directory là thư mục “gốc” của họ.
Trong thư mục gốc này, bạn có thể tạo ra các thư mục con bên dưới thư mục đó, để tố chức cho các file cho các khách hàng truy nhập download hay nơi mà các khách hàng có thể gửi các thông tin đến. Sau khi đã nhập đường dẫn vào trong hộp Path, bạn chọn nút Next để chuyển đến bước cấu hình cuối cùng trong phần cấu hình cho FTP server của bạn
Các thông tin cuối cùng mà IIS cần biết là FTP site của bạn cho phép đọc, cho phép ghi hay có cả hai quyền trên. Điều đó cũng dễ hiểu vì nếu FTP site của bạn chỉ phục cụ cho mục đích download của khách hàng truy nhập thì bạn nên để quyền đọc. Còn nếu FTP site của bạn cho phép nhận các file mà các khách hàng truy nhập đến thì bạn phải
chọn quyền write hoặc cả hai quyền trên. Sau đó bạn nhấn nút Next để kết thúc quá trình tạo FTP site, ngay sau đó FTP site mà bạn vừa tạo sẽ được khởi động
2- Sửa các thông số của FTP site vừa tạo:
Mặc dù FTP Site Creation Wizard đã thực hiện rất tuyệt vời các thông số của FTP site mà bạn vừa tạo, nhưng để cho FTP site này hoạt động hiệu quả hơn thì bạn nên sửa đổi một số thông số cho nó như: hiển thị 1 thông báo đăng nhập vào site của bạn cho những người dùng đang kết nối vào, hay giới hạn số lượng người dùng kết nối vào…
Trang đặc tính của FTP site:
Để cấu hình cho trang đặc tính của FTP site mà bạn vừa tạo, bạn chọn FTP site trong màn hình bên trái của Internet Information Server (theo ví dụ trên là ftp.stchno.com) rồi click chuột phải và chọn Properties, bạn sẽ được màn hình sau
Từ trang đặc tính này, bạn có thể thay đổi các thông số sau:
Identification: Nhóm thông số này cho phép bạn thay đổi tên diễn giải cho FTP site của bạn, địa chỉ IP và cổng của địa chỉ IP mà nó lắng nghe các yêu cầu kết nối từ các máy khác. Trong phần IP Address, thông số mặc định là All Unasingned cho phép FTP site của bạn sử dụng tất cả các địa chỉ IP trên máy của bạn (nếu trên máy sử dụng nhiều địa chỉ IP). Trong trường hợp bạn có nhiều FTP site và bạn muốn mỗi một FTP site sử dụng 1 địa chỉ IP riêng thì bạn phải chọn từng địa chỉ IP cho riêng từng FTP site đó. Tương tự như vậy đối với cổng, bạn có thể sử dụng cổng mặc định của FTP là 21 hay sử dụng cổng riêng trên FTP site của bạn nhưng nhớ thông báo địa chỉ cổng mà bạn đã đổi cho người sử dụng vì FTP client thường tìm đến cổng mặc định của FTP là 21
Connection: Tùy theo dung lượng và băng thông trên server của bạn mà bạn có thể giới hạn số lượng kết nối vào FTP site nhằm duy trì một hiệu năng thỏa đáng. Một “kết nối”
từ một người sử dụng đến FTP site của bạn được hiểu là 1 phiên tải file xuổng máy của họ chứ không phải là 1 lần làm việc của họ với FTP site của bạn. Có thể một lần làm việc của một người sử dụng có nhiều phiên tài file xuống và mỗi phiên như thể được hiểu là một kết nối đối với FTP site. Để đảm bảo rằng người sử dụng không thể kết nối mãi mãi với FTP site của bạn, bạn có thể nhập vào một thông số trong phần Connection timeout (tính bằng giây) để giới hạn thời gian truy nhập vào FTP site của bạn
Enable Logging: Một trong những cách tốt nhất để theo dõi xem những gì đang diễn ra trên site của bạn là chép lại những hoạt động đó. Việc check vào ô Enable Logging cho phép chúng ta theo dõi hoạt động của FTP site thông qua nhiều dạng thức: Microsoft IIS Log Format, W3C Extended Log Format hay ODBC Logging.
Current Sesions: Cho phép bạn giám sát xem user nào đang kết nối vào FTP site của bạn, có thể ngắt một hặc tất cả các kết nối đang làm việc với site này.
Trang đặc tính Security Accounts:
Trên một FTP server, nhìn chung có hai kiểu kết nối mà người dùng thường thực hiện: truy nhập vô danh (anonymous login) và truy nhập với tên người dùng cụ thể, hợp lệ (user login). Các cuộc truy nhập nặc danh chiếm đa số trên Internet và đó chính là vận hành của các FTP server được truy nhập công cộng đấy.
Trong một cuộc anonymous login, người dùng kết nối với một FTP server với username là “anonymous” và dùng địa chỉ email làm mật khẩu. Không có cơ chế nào kiểm tra kiểu truy nhập này cả. Còn trái lại, với user login thì khi truy nhập vào phải được cung cấp một tổ hợp usrename và password hợp lệ của Active Directory. Các cuộc user login cho phép kiểm soát khả năng truy nhập của người sử dụng ở một mức độ cao hơn.
Sau khi đã quyết định cho phép người dùng thực hiện kiểu truy nhập nào, bạn có thể sửa đổi các kiểu truy nhập đó trong phần Security Accounts như trong hình sau
Nếu bạn không muốn cho phép bất cứ kiểu truy nhập nặc danh nào thì bạn có thể bỏ dấu check ở phần Allow Anonymous Connections và bạn có thể hạn chế hiệu quả bất kỳ người dùng nào định truy nhập vào FTP server của bạn bằng một user login bình thường. Điều này có nghĩa là chỉ có người sử dụng nào có quyền được sử dụng FTP server mới được truy nhập vào FTP site của bạn. Nếu bạn cần trao quyền quản trị những FTP site nào đó trên máy của bạn thì bạn hãy đưa các username đó vào danh sách các điều hành viên của server bằng cách nhấn nút Add và chọn vào danh sách username trong danh bạ (AD). Chú ý, những username nào mà bạn muốn trao quyền điều hành FTP site này thì cũng phải là thành viên của nhóm Administrator.
Trang đặc tính Messeges:
Đây là trang mà bạn có thể đưa vào các thông báo của mình trên FTP server mỗi khi user truy nhập. Thông điệp Wellcom sẽ được hiện thị trước người dùng khi họ mới kết nối vào FTP site. Nếu FTP site của bạn đã đạt đến số kết nối tối đa mà bạn giới hạn thì thông báo trong phần Maximum Connections sẽ được gửi đến người dùng và phiên làm việc của họ lập tức bị ngắt.
Trang đặc tính Home Directory:
Các thông số trong phần này cho phép kiểm soát là IIS sẽ đi tìm nội dung cho site này ở đâu, và những quyền truy nhập và bảo mật nào cần dùng trong khi xử lý chúng.
Trong phần này, bạn có thể thiết lập cho IIS sẽ đi tìm nội dung cho site này ở đâu, hoặc nó sẽ gửi người dùng đến một FTP site khác. Nếu bạn chọn mục dành cho thư mục trên máy này thì bạn phải trỏ đúng đường đẫn đến đúng thư mục đó trong phần Local Path. Nếu bạn chọn mục dành cho một share được đặt trên một máy khách, trường Local Path sẽ đổi thành trường Network Directory, nơi bạn cần nhập vào đường dẫn UNC \\servername\sharename đúng đắn. Thực chất của option này là dịch vụ IIS sẽ đăng nhập vào máy mà bạn trỏ tới, lấy các file về rồi giới thiệu chúng với người dùng như là các file đó ở trên máy của bạn vậy. Đây là một cách rất hay nhằm để phân tán toàn bộ FTP site khắp một cơ quan hay tổ chức.
Trang đặc tính Directory Secrity:
Phần này cho phép bạn kiểm soát được ai truy nhập vào FTP site của bạn căn cứ vào các địa chỉ IP của máy khách
Thông qua phần này, bạn có thể bảo vệ FTP site của bạn phần nào bằng cách hạn chế ai là người có quyền truy nhập vào FTP site căn cứ theo một địa chỉ IP hoặc một phạm vi địa chỉ IP.
LAB 5:Cấu hình Web Server và FTP Server
CHƯƠNG 7 CÀI ĐẶT VÀ QUẢN LÝ REMOTE ACCESS SERVICE
Trước đây không lâu, khái niệm về điện toán từ xa (remote computing) hay khả năng kết nối bằng cách quay số điện thoại (dial-up connectivity) còn khá xa lạ. Vào thời điểm đó, khái niệm làm việc từ xa (telecomuting) chưa được sinh ra còn email thì không có. Khả năng kết nối từ xa và sử dụng modem quay số là những công nghệ hết sức mơ hồ và bí hiểm đối với người bình thường.
Công nghệ đã làm thay đổi thế giới một cách tích cực, nhưng đáng ngạc nhiên nhất là cách mà ngày nay người ta sử dụng để “kết nối” với nhau. Các máy tính tại gia đình ngày một nhiều hơn và việc người tiêu dùng có thể mua được một chiếc modem quay số là việc hết sức bình thường. Nhân viên của các công ty lớn được trang bị mọi thứ từ máy tính xách tay đến những chiếc palm nhỏ gọn để phục vụ công việc. Sự bùng phát về công nghệ này đã làm tăng thêm yêu cầu về khả năng kết nối
Những yêu cầu này đã đặt thêm gánh nặng lên vai các quản trị viên hệ thống. Các quản trị viên thông thường không chỉ xử lý các phát sinh bên trong văn phòng của họ mà cả rẩt nhiều công việc phát sinh bên ngoài. Và Remote Access Service (RAS) của Microsoft đã được thiết kế và cải tiến để giúp các quản trị viên xử lý những vấn đề như vậy.
Được sáng chế ra vào thời Windows NT, RAS ban đầu đã được đóng gói như một phần của hệ điều hành cơ sở. Microsoft đã cải tiến RAS theo từng phiên bản mới của Windows NT cho lúc nó đã trở thành một nền tảng truy cập từ xa đầy đủ tính năng, có khả năng xử lý đối với những môi trường mạng đòi hỏi sự phức tạp cao nhất. Khi phiên bản RAS trên Windows NT ra đời, Microsoft đã gộp phần yểm trợ cho Giao thức Truyền ngầm Điểm-đối-Điểm (Point-to-Point Tunneling Protocol) như một phương tiện bọc các gói dữ liệu RAS rồi gửi chúng qua Internet thay vì việc dùng một thứ modem riêng nào đó để gửi. Cụm từ “nối mạng riêng ảo” (Virtual Private Networking-VPN) bắt đầu trở thành một thuật ngữ được các quản trị viên hay dùng và Microsoft đã cải tiến những tính năng về nối mạng riêng ảo của NT 4 bằng cách tung ra một phần cập nhật và tiếp vận, gọi là Routing and Remote Access Service (RRAS)
Với sự ra đời của Windows Server 2003, Microsoft đã gom những tính năng truy cập từ xa toàn diện nhất cho đến nay, hợp nhất tất cả các khả năng và công nghệ từ trước đến giờ thành một giao diện dùng chung.
Sau chương này, bạn có thể:
Hiểu những khái niệm cơ bản về RAS
Cài đặt và cấu hình RAS
Cách thay đổi thông số của RAS sau khi cài đặt và cấu hình
Cấu hình RAS tại Sở Tài chính
I. Những ứng dụng thường gặp của Remote Access Service
1- Nối kết các máy khách nội bộ với Internet
Một trong những khả năng thường được dùng nhất của Dial-Up Networking là cho phép máy tính của bạn quay số kết nối vào một ISP nào đó- thường là thông qua giao thức Điểm-đối-Điểm (Point-to-Point Protocol-PPP) và truyền thông tin liên lạc với những server ở xa trên khắp thể giới
Windows Server 2003 bổ sung nhiều tính năng mới nữa cho môi trường RAS. Sự xuất hiện lần đầu tiên các driver cho giao thức Điểm-đối -Điểm qua Erthenet (Point-to-Point Protocol over Erthenet-PPPoE) cho phép bạn sử dụng mối nối kết broadband của bạn cho những kết nối theo yêu câu. Có một vài cải tiến đáng kể khác như: Làm cho các mạch giao tiếp NAT của bạn làm việc được với Basic Firewall, phần yểm trợ bổ sung cho dành cho các kết nối L2TP/Ipsec vốn xuất phát từ các máy khách VPN đặt đằng sau một mạng NAT (Network Address Translation), phần yểm trợ dành cho các khoá chia sẻ trước (preshared key) sử dụng cách xác minh L2TP/Ipsec, phân giải tên broadcast bằng một server giám sát (proxy server)
2- Tiếp nhận những cuộc gọi đến từ các máy khách ở xa
Bất luận bạn cần cho phép người dùng truy cập vào mạng NT của bạn, các server Novell NetWare, các máy chủ Unix, hoặc bất kỳ một thiết bị nào khác thì RAS cũng có thể đóng vai trò như một cổng nối (gateway) vạn năng cho những nhu cầu liên lạc đến mạng của bạn. Bằng cách tiếp nhận những kết nối từ một số thiết bị khác nhau (analog modem, ISDN,X.25, VPN) và vận chuyển dữ liệu vào mạng nội bộ của bạn. Các máy trạm được quay số vào một mạng nào đó qua RAS sẽ hoạt động giống hệt như khi chúng được kết nối thẳng vào mạng đó vậy (thực tế thì sẽ chậm hơn một chút).
3- Nối kết với một mạng riêng tư
Ngoài việc kết nối Windows Server 2003 với Internet, nhiều khi cần phải kết nối một mạng này với một mạng khác- có thể là truyền dữ liệu đến nhà cung cấp hoặc khách hàng. Trong mọi trường hợp, Windows Server 2003 có thể được kết nối với một mạng khác dễ dàng như là kết nối với Internet vậy và đương nhiên là cũng có thể hưởng lợi từ những đặc điểm về tính tin cậy của đường truyền như thế.
4- Tiếp nhận những kết nối VPN từ các máy khách ở xa
Mạng riêng ảo có thể hiểu một cách đơn giản là một phương thức để vận hành một mạng riêng tư an toàn qua một mạng công cộng không an toàn. Nói một cách dễ hiểu thì bạn có thể cho máy khách ở xa được kết nối một cách an toàn với mạng văn phòng của bạn bằng cách chỉ việc có một kết nối Internet và một địa chỉ IP công cộng hợp lệ sau đó thiết lập một phiên giao dịch VPN với RAS server của bạn. Phiên giao dịch VPN đó an toàn và được mã hoá nên những dữ liệu riêng tư của bạn được bảo vệ khi chúng được vận chuyển qua mạng công cộng (ví dụ như Internet)
Microsoft đã tăng cường sự đầu tư của họ vào RAS bằng cách sáng chế ra VPN và tính năng này tiếp tục đựoc lưu giữ trong Windows Server 2003. Nhờ việc tích hợp các giao thức PPTP và L2TP vào trong hệ điều hành, bạn có thể thiết lập một cách hiệu
quả các modem ảo làm việc qua những mạng IP, thay vì những hệ thống nối mạch tương tự họăc số.
5- Quay số kết nối tới một mạng ở xa rồi tiếp vận dữ liệu
Với sự bổ sung phần cập nhật Routing and Remote Access Service cho Windows NT 4, Microsoft đã giúp cho máy Windwos NT Server dễ dàng đóng vai trò như một Router hơn, kết nối với một máy tính từ xa rồi tiếp vận dữ liệu. Bằng cách chỉ việc lập trình để các máy trạm và các thiết bị nội bộ sử dụng máy Windows Server 2003 như một “gateway”, RAS có thể tiếp nhận những dữ liệu mà máy khách muốn gửi tới một mạng ở xa nào đó, thiết lập một kết nối với mạng đó rồi chuyển dữ liệu đi ngang qua kết nối đó theo đúng yêu cầu.
Tính năng này đã giúp cho các cơ quan, công ty vận hành với một năng lực “ảo” hoàn toàn- nghĩa là họ có vẻ như đang ở một mạng tập trung của nhữg tài nguyên vốn thực ra là những server riêng lẻ nằm rải rác trên khắp địa bàn, được kết nối với nhau bởi những kết nối quay số theo yêu cầu.
II. Cài đặt và định cấu hình RAS server
Bạn hãy bắt đầu việc cài đặt Routing and Remote Access Service bằng cách chọn Start\Administrattive Tools\Routing and Remote Access. Bạn sẽ thấy một của sổ MMC xuất hiện. Chọn vào Server mà bạn muốn cấu hình ở của sổ bên trái rồi chọn mục Configure and Enable Routting and Remote Acces.
Như thế là bạn đã khởi động quá trình cài đặt RRAS. Bạn chọn Next trong màn hình tiếp theo, và tiên hành xác định vai trò mà máy Windows Server 2003 của bạn sẽ đóng. Nếu đơn giản là máy chủ của bạn sẽ tiếp nhận cuộc kết nối từ máy khách quay số vào thì bạn chỉ cần chọn Remote access (dial-up or VPN) như màn hình dưới đây
Bạn chọn Next trong màn hình trên và bạn sẽ nhìn thấy màn hình kế tiếp dùng để xác định xem bạn muốn cung cấp một dịch vụ VPN hay dial-up hoặc cả hai như màn hình dưới đây
Bước kế tiếp của quá trình cấu hình là xử lý việc cấp phát các địa chỉ IP cho các máy khách từ xa.
Theo mặc định, RRAS muốn cấp phát địa chỉ IP cho các máy khách kết nối vào hệ thống của bạn một cách tự động từ một DHCP server. Nếu bạn có một DHCP server đang chạy trong hệ thống mạng của bạn thì có lẽ bạn để mặc định giá trị là Automatically. Hoặc nếu bạn không muốn như vậy và muốn giới hạn dải địa chỉ IP sẽ cấp cho máy khách chỉ nằm trong khoảng nào đó thì bạn có thể chọn From specified range of address rồi chọn Next, bạn sẽ nhìn thấy màn hình sau:
Thông qua màn hình Address Range Assigment này, bạn có thể nhập vào một loạt các phạm vị địa chỉ IP để RRAS sử dụng khi các máy khách quay số kết nối vào mạng của bạn. Để làm được việc đó, bạn chọn nút New rồi nhập vào IP đầu và cuối trong dải địa chỉ IP mà bạn mong muốn cấp cho các máy khách
Khi đó, hộp thoại New Address range sẽ tự động căn cứ vào IP đầu và IP cuối để tính ra tổng số IP có thể cấp cho các máy khách khi kết nối.
Màn hình tiếp theo mà bạn nhìn thấy là màn hình xử lý vấn đề xác minh người dùng quay số
Nếu bạn đang dùng các dịch vụ RADIUS trên mạng của mình để xác minh và đăng nhập cho những cuộc truy cập thông qua dial-up khác, bạn có thể thiết lập RRAS server này sử dụng RADIUS server hiện có kia thay vì việc sử dụng cơ chế xác minh đăng nhập của riêng nó.
IV. Trao quyền truy cập dial-in cho người dùng
Sau khi bạn tiền hành cài đặt thành công Routing and Remote Access Service, điều kế tiếp bạn cần phải làm là tiến hành trao quyền truy cập dial-in cho một hoặc vài tài khoản người dùng trong AD của bạn.
Muốn cấp quyền hạn Dial-in cho những người dùng có trong AD, bạn hãy mở công cụ ADUC ra bằng cách chọn Start\Administratrive Tools\Active Directory Users and Computers rồi tìm đến User mà bạn muốn cấp quyền Dial-in rồi chọn Properties
Việc tiếp theo bạn cần phải làm là chọn đến Tab Dial-in của user này sau đó chọn Allow access để thực sự trao quyền dial-in cho user này.
V. Thay đổi cấu hình RAS server sau khi cài đặt
Nếu một lúc nào đó sau khi cài đặt bạn cần thay đổi những chi tiết cấu hình nào đó của RAS server thì bạn có thể dễ dang tiến hành bằng cách thông qua màn hình MMC của Routing and Remote Access rồi chọn Properties. Thông qua các khung thoại đặc tính của RRAS, bạn có thể thêm, bớt các cấu hình có liên quan đến các mối kết nối Dial-up, tăng mức độ bảo mật trong việc xác minh của các kết nối này…
Trong Tab Security, bạn có thể thay đổi phương thức xác thực từ mặc định của Windows sang dùng một RADIUS Server nào đó (tất nhiên là RADIUS server đó phải tồn tại trong mạng của bạn)
Bằng cách chọn vào Authentication Methods trong màn hình, bạn có thể xác định các phương thức xác minh đối với RAS
Extensible authentication protocol (EAP): Microsoft đã gộp phần yểm trợ cho EAP, vốn là phương tiện đơn giản chỉ là để gắn thêm các phương thức xác minh khi cần thiết vào Windows Server 2003. Hiện tại, Windows Server 2003 hỗ trợ các phương thức xác minh sau: MD5- Challenge, Smart Card hoặc Certificate khác (TLS), Protected EAP (PEAP) và Security Password (EAP-MSCHAP v2)
Microsoft encryptied authentication version 2 (MS-CHAP v2): Là phương thức xác minh theo cách của Microsoft dựa trên phương thức CHAP. Việc dùng MS-CHAP cho phép bạn mã hoá toàn bộ một phiên giao dịch dial-up, không phải chỉ là việc xác minh ban đầu.
Encrypted authentication (CHAP): Được quy định trong RFC 1334 và sau đó được chỉnh sửa lại trong RFC 1994, CHAP là một phương thức để mã hoá các phiên giao dịch giữa máy khách và server
Shiva Password Authentication Protocol (SPAP): SPAP là phương thức dùng để xác minh mật khẩu được mã hoá bởi các máy khách và server Shiva LAN Rover. Windows Server 2003 có thể đóng vai trò như một server khi các máy khách Shiva LAN Rover quay số kết nối vào bằng cách cung cấp cách xác minh đúng kiểu cho chúng.
Unencrypted password (PAP): Pasword Authentication Protocol (PAP) là một phương thức xác minh kém an toàn nhất vì không thực hiện mã hoá dữ liệu xác minh
Trong Tab IP, bạn có thể thực hiện quá tình tinh chỉnh cho giao thức IP
Enable IP Routing: Một cách để làm tăng tính bảo an của hệ thống dial-in, có nghĩa là chỉ cho phép những người dùng dial-in được truy cập vào bản thân Dial-in Server thôi. Nếu bạn bỏ duyệt ở phần Enable IP Routing đi thì những người dùng truy cập vào chỉ có thể bản thân RAS server thôi mà không truy cập được các máy tính bên trong hệ thống của bạn
Allow IP based remote access and demand-dialin connectotions: Dùng để hữu hiệu hay vô hiệu hoá việc hỗ trợ cho từng giao thức riêng
Dynamic Host Configuration Protocol (DHCP) hoặc Static address pool: Dùng để cấu hình RAS server của bạn sẽ dùng DHCP server để cấp IP cho các kết nối tới hay gán IP tĩnh nằm trong một dải IP nào đó dành cho các máy khách khi kết nối đến RAS server của bạn.
PHẦN IIIQUẢN TRỊ VÀ KHAI THÁC TÀI NGUYÊN
TRÊN WINDOWS SERVER 2003.
CHƯƠNG 1QUẢN TRỊ USER, COMPUTER ACCOUNTS VÀ GROUPS
I. Quản lý User và Computer Accounts:
Tổng quan:
Một trong các nhiệm vụ của người quản trị hệ thống là quản lý tài khoản User và Computer. Các tài khoản này là các đối tượng (Objects) của dịch vụ AD, và bạn sẽ sử dụng các tài khoản này để đăng nhập vào mạng và truy cập các tài nguyên một cách độc lập. Bài học này sẽ cung cấp cho bạn những kiến thức và kỹ năng cần thiết để:
Tạo tài khoản người sử dụng (User Accounts)
Tạo tài khoản máy tính (Computer Accounts).
Hiệu chỉnh các thuộc tính User và Computer Accounts
Tạo một mẫu tài khoản người dùng (User Account Template)
Quản lý User và Computer Accounts
Sử dụng các câu lệnh truy vấn để tìm kiếm User và Computer Accounts.
1- Tạo tài khoản người sử dụng (User Accounts)
Với vai trò là người quản trị hệ thống, bạn có thể cho phép người dùng truy cập vào rất nhiều tài nguyên trong mạng. Để thực hiện được điều này, bạn phải biết cách tạo, cấu hình User Accounts và đưa các tài khoản này vào hệ thống mà bạn quản trị.
Tài khoản người sử dụng là gì ?
User account là một đối tượng mà nó bao gồm mọi thông tin để xác định một người dùng trong Windows server 2003. Tài khoản có thể là một local account hoặc là một domain account. User account bao gồm tên người dùng, mật khẩu hay nhóm người sử dụng…
Bạn có thể sử dụng User account để:
o Cho phép người dùng đăng nhập vào một máy tính dựa vào định danh tài khoản của người đó.
o Cho phép các xử lý và các dịch vụ thực hiện theo một điều kiện an toàn nhất định.
o Quản lý truy cập của người dùng tới các tài nguyên trong hệ thống AD, các thuộc tính của người đó, shared folders, files, directories…
Phân loại User accounts:
Bảng sau đây mô tả các loại User Account mà Microsoft Windows 2003 cung cấp.
Loại User account Mô tả
Local user account
Cho phép người sử dụng kết nối với một máy tính và truy cập vào các nguồn tài nguyên trên máy tính đó.
Các user account này nằm trong Security Accounts Managers (SAM) của máy tính.
Domain user account
Cho phép người sử dụng nối kết với Domain để được phép truy cập vào các nguồn tài nguyên mạng. Người sử dụng có thể truy cập vào các nguồn tài nguyên mạng từ bất kỳ máy tính nào trên mạng với một User account và Password đơn.
Các user account này nằm trong dịch vụ thư mục Active Directory.
Built-in user account
Cho phép người sử dụng thực hiện các tác vụ quản lý hay được phép truy cập tạm thời vào các nguồn tài nguyên mạng. Có 2 user account tạo sẵn mà bạn không thể xoá. Administrator và guest, các user account Administrator và guest cục bộ nằm trong SAM và các user account: Administrator và guest nằm trong sẵn SAM và các Active Directory.
Các user account cài sẵn được tạo tự động trong tiến trình cài đặt Windows 2003.
Các loại tên gắn với Domain User Accounts:
Có 5 loại tên trong Domain User Accounts. Trong AD, mỗi tài khoản người dùng bao gồm:
o User logon name (tên người dùng đăng nhập)
o Pre-Windows 2000 user logon name (Security Accounts Manager account name)
o User principal logon name
o Lightweight Directory Access Protocol (LDAP)
o LDAP relative distinguished name.
Các nguyên tắc thiết lập quy ước đặt tên tài khoản người dùng.
Quy ước đặt tên xác định mỗi User accounts được định dạng như thế nào trong Domain. Một quy tắc đặt tên phù hợp sẽ giúp bạn dễ nhớ khi người dùng đăng nhập vào mạng và khi tìm kiếm theo tên trong danh sách. Bạn nên tuân thủ chặt chẽ quy ước đặt tên trong một hệ thống mạng hiện hữu khi mạng đó có khả năng hỗ trợ số lượng người dùng lớn.
Một số nguyên tắc thiết lập quy ước đặt tên tài khoản người dùng:
Duy trì nhất quán một chuẩn phù hợp cho việc đặt tên.
Tạo các tên user logon duy nhất trong Active Directory:
Các tên user Logon dành cho các Domain User account phải là các tên duy nhất trong Active Directory. Các tên đầy đủ của domain user account phải là các tên duy nhất trong domain mà bạn tao ra user account. Các tên user account cục bộ phải là các tên duy nhất trên máy tính mà bạn tạo ra user account cục bộ.
Sử dụng tổ hợp các ký tự
Các tên User logon có thể chứa đến 20 ký tự hoa và thường (trường này chấp nhận trên 20 ký tự, nhưng Windows 2003 chỉ nhận biết 20 ký tự) ngoại trừ đối với các ký tự sau đây:
“ / \ [ ] : ; | = * ? <>
Bạn có thể sử dụng một tổ hợp gồm các ký tự đặc biệt cùng với chữ và số để nhận biết các user account duy nhất.
Bao gồm cả các nhân viên giống nhau
Nếu bạn có nhiều người sử dụng, qui ước đặt tên logon của bạn cũng nên bao gồm cả các nhân viên có tên giống nhau. Sau đây là một số đề nghị để xử lý các tên giống nhau:
Sử dụng tên và chữ đầu tiên của họ, sau đó bổ sung thêm các mẫu tự khác của họ để bao gồm cả các tên giống nhau. Chẳng hạn, đối với hai người sử dụng có cùng tên là Judyl Lew, một tên user account logon có thể là Judyl và tên kia là Judyle.
Trong một số tổ chức, việc nhận biết các nhân viên tạm thời dựa vào các user account của họ là việc hữu ích. Để thực hiện điều này, bạn có thể đặt trước tên user account một chữ T và một dấu gạch nối, Chẳng hạng T-Judyl.
Các nguyên tắc đối với password.
Để bảo đảm sự truy cập vào Domain hay một máy tính, mỗi user account nên có một password phức tạp. Điều này giúp ngăn chặn các cá nhân không được phép kết nối vào máy tính của bạn. Hãy xem các nguyên tắc sau đây đối với việc gán các password cho các user account.
Gán một password cho Administrator account
Luôn luôn gán một password cho Administrator account để ngăn chặn những người khác truy cập vào account khi không được phép.
Xác định ai là người điều khiển password
Xác định bạn hay người sử dụng sẽ điều khiển password, bạn có thể gán các password duy nhất cho các user account và ngăn chặn người sử dụng thay đổi chúng hoặc bạn có thể cho phép người sử dụng nhập các password riêng của họ vào lần đầu tiên khi họ kết nối. Trong phần lớn các trường hợp, người sử dụng nên điều khiển các password.
Hướng dẫn người dùng cách sử dụng password
Hướng dẫn người sử dụng về tầm quan trọng của việc sử dụng password phức tạp để người khác không thể đoán được.
Tránh sử dụng các password có một sự kết hợp rõ ràng, chẳng hạn như tên của một thành viên trong gia đình.
Sử dụng các password dài bởi vì chúng khó đoán hơn, các password có thể dài đến 128 ký tự, bạn nên sử dụng một password có chiều dài tối thiểu là 8 ký tự.
Sử dụng kết hợp các chữ hoa và chữ thường với các ký tự không thuộc chữ và số.
Cách tạo User Accounts.
Domain user accounts cho phép người sử dụng đăng nhập vào domain và truy cập tài nguyên tại bất cứ nơi nào trên mạng, Local user accounts cho phép người dùng đăng nhập và truy cập tài nguyên chỉ ở trên máy tính nào mà bạn tạo Local user account cho nó. Là một quản trị viên bạn phải biết cách tạo domain và local user account để quản lý môi trường mạng của bạn.
Chú ý: Bạn không thể tạo Local user accounts trên một Domain Controller.
o Tạo local user accounts:
Một user account cục bộ được sử dụng chỉ trong một môi trường mạng nhỏ hơn, chẳng hạn như Workgroup, hay trên các máy tính riêng lẻ không được nối mạng. Đừng tạo các user account cục bộ trên các máy tính vốn là thành phần của một Domain bởi vì domain không nhận biết các user account cục bộ và do đó user account sẽ chỉ có thể truy cập vào các nguồn tài nguyên trên máy tính.
Các user account cục bộ nằm trong cơ sở dữ liệu SAM, vốn là cơ sở dữ liệu account, bảo đảm an toàn cục bộ của máy tính mà bạn đã tạo ra account trên đó. Ngoài các user account cục bộ có ít đặc tính hơn trong các account trong domain. Khi bạn tạo một user account cục bộ, windows 2003 không sao chép thông tin user account cục bộ vào các domain controller. Một domain controller là một server dựa vào Windows 2003 và đang chạy Active Directory. Đây là lý do mà bạn không thể sử dụng các
user account cục bộ được phép truy cập vào các nguồn tài nguyên trên các máy tính khác.
Sau khi user account cục bộ được tạo, máy tính sử dụng SAM của nó để xác thực user account cục bộ, vốn cho phép người sử dụng có thể được phép truy cập vào các nguồn tài nguyên trên các máy tính khác.
Để tạo một user account cục bộ, hãy thực hiện các bước sau đây:
1. Chọn Start, trỏ đến Programs, trỏ đến Administrator Tools, rồi chọn Computer Management.
2. Trong Computer Management, hãy mở rộng Local User and Groups.
3. Chọn phải vào Folder Users, và sau đó chọn New User.
4. Trong các hộp password và confirm password hãy gõ password của người sử dụng.
5. Chọn hộp kiểm hay các hộp kiểm thích hợp để xác lập các tuỳ chọn password
6. Chọn Create để tạo User Account.
o Tạo domain user accounts
1. Mở Active Directory Users and Computers từ menu Administrative Tools, và sau đó mở rộng Domain mà bạn muốn bổ sung User Account vào đó.
2. Chọn phải vào Folder sẽ chứa User Account, trỏ đến New, và sau đó chọn User.
Bảng sau đây mô tả các tuỳ chọn mà bạn muốn cấu hình.
Option Description
First name Tên của người sử dụng
Initials Các chữ đầu tiên trong tên lót của người sử dụng. Không bắt buộc nhập
Last name Họ người sử dụng.
Full name Nhập họ tên đầy đủ người sử dụng, tên này phải là tên duy nhất trong Folder mà bạn tạo Account. Windows 2003 hoàn chỉnh tuỳ chọn này nếu bạn nhập thông tin vào hộp First name hay Last name, và sau đó hiển thị tên này trong Folder mà tại đó User account được định vị trong Active Directory.
User logon name
Tên logon duy nhất của người sử dụng, dựa vào các qui ước đặt tên, đây là mục nhập bắt buộc và phải có tính duy nhất trong Active Directory.
User logon name (pre-2k)
Tên logon duy nhất của người sử dụng dùng để kết nối từ các phiên bản trước của MS Windows. Đây là mục nhập bắt buộc duy nhất trong Domain.
o Xác lập các yêu cầu password.
Bảng sau đây mô tả các yêu cầu password khi bạn gán password cho một domain user account.
Option Description
Password Cung cấp Password được sử dụng để xác thực người sử dụng. Để đảm bảo an toàn hơn, bạn nên luôn luôn gán một password. Password không thể nhìn thấy khi bạn nhập nó. Thay vào đó, nó được trình bày ở dạng một chuỗi các dấu (*).
Confirm password
Xác nhận bằng cách gõ nhập nó lần thứ hai để đảm bảo nó được nhập vào một cách chính xác , đây là mục nhập bắt buộc.
User must change password at next logon
Chọn họp kiểm tra này nếu bạn muốn người sử dụng thay đổi Password của mình vào lần đầu tiên kết nối. Điều này bảo đảm người sử dụng là duy nhất biết Password.
User cannot change password
Chọn hộp kiểm này nếu bạn có trên một người đang sử dụng cùng một domain user account(Chẳng hạn như Guest). Hoặc để duy trì điều khiển trên các password của User. Chỉ có người quản trị mới có quyền điều khiển các Password.
Password never expires
Chọn hộp kiểm này nếu bạn không bao giờ muốn Password thay đổi, chẳng hạn, đối với một domain user account do một trình ứng dụng hay một dịch vụ trong windows 2003 sử dụng.
Account is disabled
Chọn hộp kiểm này để ngăn chặn việc sử dụng User account này, ví dụ đối với một nhân viên mới nghỉ việc.
Ghi chú: Tuỳ chọn User must change password at next logon thay thế tuỳ chọn Password never expires.
o Tạo tài khoản người dùng bằng câu lệnh (command line):
Bạn có thể sử dụng một cách khác để tạo một domain user account đó là sử dụng câu lệnh dsadd. Cú pháp của lệnh này như sau:
dsadd user UserDN [-samid SAMName]
[-upn UPN] [-fn FirstName] [-ln LastName] [-display DisplayName]
[-pwd {Password|*}]
Chú ý: Để xem toàn bộ cú pháp của lệnh dsadd user, tại dấu nhắc của cửa số lệnh, bạn hãy gõ dsadd user /?
Ví dụ:
dsadd user "cn=test user,cn=users,dc=contoso,dc=msft" -samid
testuser -upn [email protected] -fn test -ln user -display
"test user" -pwd Pa$$w0rd
Bạn cũng có thể sử dụng câu lệnh net user như sau:
net user [username [password | *] [options]] [/domain]
username {password | *} /add [options] [/domain] username
[/delete] [/domain]
Ví dụ:
net user “Greg Weber” Pa$$w0rd /add
2- Tạo tài khoản máy tính (Computer Accounts).
Bài học phần này sẽ cung cấp cho bạn những kiến thức và kỹ năng cần thiết để tạo một tài khoản máy tính.
Tài khoản máy tính là gì ?
o Mọi máy tính chạy hệ điều hành: Microsoft Windows NT, Windows 2000, Windows XP và Windows 2003 khi join vào một domain thì sẽ có một tài khoản máy tính (Computer account) được tạo ra. Tương tự như tài khoản người dùng, tài khoản máy tính cung cấp một phương thức để xác thực và kiểm soát truy cập mạng và tài nguyên trên domain của máy tính.
o Trong Active Directoty, các máy tính có ý nghĩa bảo mật quan trọng hàng đầu, cũng giống như người sử dụng. Điều đó có nghĩa là mỗi máy tính cũng phải có một tài khoản và mật khẩu riêng. Để được xác thực toàn bộ bởi Active Directoy, người dùng phải có một tài khoản hợp lệ, và người đó phải đăng nhập vào domain từ một máy tính có Computer account hợp lệ.
Chú ý: Bạn không thể tạo Computer account cho các máy tính chạy hệ điều hành: Windows 9x, Windows Millennium Edition, và Windows XP Home Edition, vì các hệ điều hành này không có những điều kiện an toàn bảo mật cần thiết trong Active Directory.
Sự cần thiết của Computer Account:
Các máy tính thực hiện nhiệm vụ chính như sau: xác thực người dùng đăng nhập, nhận địa chỉ IP, duy trì liên kết với AD và áp lập các chính sách bảo mật. Để truy cập được đầy đủ vào các tài nguyên mạng này, các máy tính phải có tài khoản hợp lệ trong AD. Hai chức năng cơ bản của Computer Account là thực thi bảo mật và các hoạt động quản trị.
o Bảo mật: Tài khoản máy tính phải được tạo lập trong AD để người sử dụng có được toàn bộ tính năng tiện ích của AD. Khi một Computer Account được thiết lập, thì máy tính đó có thể sử dụng các xử lý xác thực tiên tiến như xác thực Kerberos và bảo mật IP (IPSec) để mã hoá IP traffic. Các máy tính cũng cần đến tài khoản để chỉ ra việc kiểm toán (auditing) sẽ được thiết lập và ghi lại như thế nào.
o Quản trị: Computer Accounts giúp người quản trị hệ thống quản lý kiến trúc mạng. Quản trị viên sử dụng computer account để quản lý các tính năng môi trường làm việc của máy trạm, triển khai phần mềm một cách tự động hoá thông qua AD, thực hiện quản lý kiểm kê phần cứng và phần mềm thông qua Microsoft Systems Manager Server (SMS). Computer accounts trong domain còn được sử dụng để điều kiển truy cập tới các tài nguyên.
Computer Accounts được tạo ở đâu trong một Domain:
Khi người quản trị hệ thống tạo một Computer Account, người đó có thể chọn OU nào để tạo Computer Accounts trong đó. Nếu một máy tính join vào domain, thì khi đó Computer Account của máy tính này sẽ được tạo trong Computers container, và quản trị viên có thể di chuyển Accounts đó tới một OU khác nếu cần thiết.
Computer Accounts Options:
Bạn có thể gán 2 options sau khi tạo một computer account:
o Assign this computer account as pre-Windows 2000 computer: bạn có thể đánh dấu mục chọn này để gán mật khẩu của máy tính khi tạo dựa vào Computer name. Nếu không đánh dấu mục chọn này, một mật khẩu ngẫu nhiên sẽ được gán làm mật khẩu khởi tạo cho computer accounts. Mật khẩu này sẽ được thay đổi tự động sau mỗi 5 ngày. Tùy chọn này đảm bảo rằng một máy tính pre-Windows 2000 sẽ hiểu được mật khẩu khi sinh ra có phù hợp với các yêu cầu về mật khẩu hay không.
o Assign this computer as a backup domain controller: Đánh đấu ở ô lựa chọn này nếu bạn muốn sử dụng máy tính như là một backup domain controller. Bạn phải sử dụng tính năng này nếu bạn vẫn sử dụng một môi trường hỗn hợp cả Windows Server 2003 domain controller và Windows NT 4.0 BDC. Sau khi tài khoản được tạo trong AD, bạn có thể join BDC vào domain trong quá trình cài Windows NT4.0.
3- Hiệu chỉnh các thuộc tính User và Computer Accounts:
Một tập hợp các thuộc tính mặc định được kết hợp với mỗi domain user account mà bạn tạo. Sau khi bạn tạo một Domain user account bạn có thể cấu hình các thuộc tính cá nhân và các thuộc tính account, các tuỳ chọn logon và các xác lập quay số.
Bạn có thể sử dụng các thuộc tính được ấn định cho một domain user account để tìm người sử dụng Active Directory. Ví dụ, bạn có thể tìm một người dựa theo số điện thoại, vị trí phòng, tên của người quản lý, hoặc họ. Vì vậy bạn nên cung cấp các phần ấn định thuộc tính chi tiết của mỗi Domain User Account mà bạn tạo.
Xác lập các đặc tính cá nhân
Hộp thoại Properties chứa thông tin về mỗi User Account. Thông tin này được chứa trong Active Directory. Thông tin càng hoàn chỉnh thì việc tìm người sử dụng trong Active Directory càng dễ dàng. Chẵn hạn nếu tất cả các đặt tính trên nhãn Address đều hoàn chỉnh, bạn có thể xác định người sử dụng bằng cách sử dụng địa chỉ đường làm tiêu chuẩn tìm kiếm.
Để xác lập các loại đặc tính cá nhân ta thực hiện các bước sau:
1. Mở Active Directory Users for Computer từ menu chọn Administrative tools, chọn Domain sau đó chọn vào Folder thích hợp sau đó chọn Domain User Account có sẵn.
2. Chọn phải Domain User Account thích hợp và chọn Properties.
3. Trên hộp thoại Properties, hãy chọn nhãn thích hợp dành cho các đặc tính cá nhân mà bạn muốn nhập hay thay đổi, và sau đó nhập các giá trị dành cho mỗi thuộc tính.
Các loại thuộctính liên quan đến User Accounts:
Bảng sau đây mô tả các nhãn trong hộp thoại Properties:
Nhãn Mục đích
General Lưu tên của người sử dụng, phần mô tả, vị trí văn phòng, số điện thoại, bí danh E-mail, và thông tin trang chủ.
Address Lưu địa chỉ đường của người sử dụng, hộp thư bưu điện, thành phố, bang hay tỉnh, mã vùng, mã quốc gia.
Account Gán tên logon của người sử dụng, xác lập các tuỳ chọn Account, và chỉ định thời gian của Account.
Profile Gán đường dẫn profile và Folder chủ của người sử dụng
Telephones Lưu số điện thoại nhà của người sử dụng, số máy nhắn tin,số mobile, số fax, số điện thoại Internet Protocol. Và cho phép bạn gõ nhập ghi chú có chứa thông tin mô tả người sử dụng.
Organization
Lưu chức vụ của người sử dụng, phòng ban, giám đốc công ty và các báo cáo
Member Of Chỉ định các nhóm mà người sử dụng thuộc nhóm đó.
Dial-in Xác lập các mức độ cho phép truy cập từ xa, các tùy chọn gọi lại, địa chỉ IP Router tĩnh
Environment
Chỉ định một hay nhiều trình ứng dụng cần khởi động và các thiết bị cần kết nối khi người sử dụng logon.
Sessions Specifies Terminal Services settings.
Remote control
Chỉ định các xác lập Terminal Services
Terminal Services Profile
Xác lập Terminal Services Profile
Trên nhãn Account của hộp thoại Properties, bạn có thể cấu hình hoặc xác lập đã được chỉ định khi bạn tạo một domain user account, chẳng hạn như tên User logon và các tuỳ chọn logon, bạn có thể chỉ định yêu cầu Password bằng cách xoá chọn hay chọn các hộp kiểm thích hợp dưới Account Option.
Ngoài ra bạn có thể sử dụng nhãn Account để xác lập một ngày hết hạn trong User account. Đây là ngày mà Windows 2000 sẽ tự động tắt user account. Theo mặc định một user account không bao giờ hết hạn.
Để xác lập ngày hết hạn của một account ta thực hiện theo các bước sau:
1. Mở hộp thoại Properties dành cho User account thích hợp.
2. Trên nhãn Account, bên dưới Account Expires, hãy chọn End of. Chọn một ngày hết hạn trong danh sách và chọn OK.
Chỉ định các tùy chọn Logon
Việc xác lập các tùy chọn cho một Domain User Account cho phép bạn điều khiển số giờ mà User kết nối vào Domain. Bên cạnh các máy tính mà
user có thể logon vào Domain . Bạn được phép truy cập vào các xác lập này từ nhãn Account.
Xác lập các giờ Logon (Setting Logon Hours)
Mặc định một user có thể truy cập đến một Server 24 giờ trên 24 trong ngày, 7 ngày trong tuần. Trong một mạng có bảo mật cao, bạn muốn giới hạn giờ truy cập khi logon vào mạng. Chẳng hạn, bạn có thể giới hạn các giờ trong các loại môi trường sau đây.
Các môi trường mà trong đó các giờ logon là điều kiện để xác nhận sự an toàn, chẳng hạn như trong mạng chính phủ.
Môi trường có nhiều ca làm việc. Bạn có thể cho phép các nhân viên làm việc ca đêm kết nối chỉ trong giờ làm việc của họ.
Để xác lập số giờ Logon, hãy thực hiện các bước sau đây:
Mở hộp thoại Properties dành cho User Account. Trên nhãn Account, hãy chọn Logon Hours.
Một hộp màu xanh cho biết người sử dụng cho biết có thể kết nối trong suốt thời gian làm việc của mình, và hộp màu trắng cho biết người sử dụng không thể kết nối.
Để chấp nhận hay từ chối sự truy cập hãy thực hiện các bước sau và chọn OK:
Chọn các hộp ngày và giờ bạn muốn từ chối sự truy cập bằng cách chọn vào thời gian bắt đầu , di chuột tới thời gian kết thúc và sau đó chọn vào Logon Denied
Chọn các hình chữ nhật và các ngày giờ mà bạn muốn cho phép truy cập bằng cách chọn vào giờ bắt đầu, rê chuột đến thời gian kết thúc
và chọn vào Logon Permitted.
Chú ý: Các kết nối truy cập tài nguyên mạng trong một Domain kết thúc khi hết giờ logon của người sử dụng. Tuy nhiên sẽ thông thực hiện kết nối mới đến máy tính khác trong Domain.
Xác định kết nối máy tính của người sử dụng kết nối từ đó
Theo mặc định bất kỳ người sử dụng nào có Account hợp lệ điều có thể kết nối với mạng từ một máy tính bất kỳ đang chạy Windows 2003. Trong một mạng có tính bảo mật cao và dữ liệu quan trọng được chứa trên máy tính cục bộ, hãy giới hạn các máy tính mà người sử dụng có hể kết nối vào mạng từ các máy tính đó. User1 chỉ có thể kết nối trên máy tính có tên Computer1.
Để chỉ định các máy tính mà người sử dụng có thể kết nối từ đó, hãy thực hiện các bước sau:
Mở hộp thoại Properties dành cho User account và sau đó trên nhãn Account chọn Log On To.
Chọn vào The Following Computers, bổ sung các máy tính mà một người bổ sung từ đó. Gõ tên của máy tính từ hộp thoại Computer
Mặc định
Thêm vào các máy tính nếu
cần
Name, và sau đó chọn Add , khi bạn bổ sung xong các máy tính , chọn Ok.
4- Tạo một mẫu tài khoản người dùng (User Account Template)
Mẫu tài khoản người dùng là gì ?
Bạn có thể đơn giản hóa quá trình tạo nhiều domain user accounts bằng cách thiết lập một User Account Template. Một mẫu tài khoản người dùng là một tài khoản mà nó thường sử dụng các thiết lập và thuộc tính đã được cấu hình trước.Với mỗi user account mới, bạn chỉ phải thêm vào những thông tin là riêng biệt cho user account đó.
Thuộc tính nào sẽ được kế thừa trong mẫu?
Có rất nhiều các thuộc tính liên quan đến mỗi tài khoản, nhưng chỉ có một số nhất định các thuộc tính có thể copy trong Template, đó là các thuộc tính sau:
Một số quy tắc tạo mẫu tài khoản người dùng:
Tạo một sự phân lớp riêng biệt cho mỗi phòng ban trong nhóm.
Tạo một nhóm riêng biệt cho những người làm việc tạm thời hay ngắn hạn với các giới hạn về truy cập.
Thiết lập tài khoản người dùng theo hạn dùng ngày tháng với những nhân viên ngắn hạn hay tạm thời để chống lại các truy cập trái phép trong trường hợp tài khoản người dùng đó hết hạn.
Định dạng phân biệt mẫu tài khỏan: Ví dụ: thêm vào trước tên tài khoản ký tự T- để phân biệt đó là tài khoản mẫu.
LAB: Thực hành cách tạo một User Accounts Template.
5- Quản lý User và Computer Accounts:
Enable hoặc disable một User và computer accounts:
Sau khi tạo lập các tài khoản người dùng, bạn sẽ phải thường xuyên thực hiện các công việc quản trị để đảm bảo rằng hệ thống mạng của bạn đáp ứng được các yêu cầu cần thiết của cơ quan. Các công việc quản trị đó bao gồm Enable hoặc disable một User và computer accounts. Khi bạn enable hoặc disable một tài khoản, nghĩa là khi đó bạn gán hay giới hạn quyền truy cập cho tài khoản.
Để cung cấp được một môi trường mạng được bảo vệ an toàn, với vai trò là người quản trị, bạn phải disable các User account khi những người dùng đó không cần đến các tài khoản đó, nhưng rất có thể họ lại sử dụng lại sau này. Ví dụ: trong cơ quan bạn có cử cán bộ đi học dài hạn, hoặc có những cán bộ nghỉ phép chế độ vv…
Cách Enable hoặc Disable User và Computer accounts:
Khi một tài khoản bị vô hiệu hoá thì người dùng không thể đăng nhập vào hệ thống bằng tài khoản đó. Tài khoản này sẽ xuất hiện biểu tượng người dùng có dấu gạch chéo ở phía dưới bên phải. Để enable hoặc disable một tài khoản bằng Active Directory User and Accounts bạn thực hiện như sau:
1. Trong Active Directory User and Accounts, trong cây hiển thị bạn sẽ chọn tới Container hay user nào chứa tài khoản bạn muốn enable hoặc dissable.
2. Trong bảng hiển thị chi tiết bên phải, bấm chuột phải vào tài khoản người dùng.
3. Để vô hiệu hoá, chọn Disable account
4. Để kích hoạt, chọn Enable account.
Bạn cũng có thể thực hiện bằng câu lệnh như sau:
dsmod user UserDN -disabled {yes|no}
Trong đó:
- UserDN là tên đối tượng muốn thay đổi.
- Nếu chọn Yes nghĩa là bạn disable tài khoản đó và No trong trường hợp ngược lại.
Tài khoản người dùng bị khoá (Locked-out User account)
Một tài khoản người dùng sẽ bị khoá nếu tài khoản đó đã vượt quá ngưỡng giới hạn khoá tài khoản. Điều này thường sảy ra khi người dùng cố gắng truy cập vào mạng với tài khoản hay mật khẩu không đúng quá nhiều lần.
Người dùng đã được xác thực cũng có thể tự làm khoá tài khoản của họ trong trường hợp người đó quên hoặc gõ sai mật khẩu hay khi thay đổi mật khẩu của mình trên một máy tính mà trước đó người này đã đăng nhập được thành công vào một máy tính khác. Máy tính với mật khẩu sai sẽ liên tiếp thử xác thực người dùng. Nhưng vì mật khẩu
mà máy tính sử dụng để xác thực lại là mật khẩu sai, do vậy tài khoản người dùng sẽ bị khoá.
Một chính sách bảo mật trong AD sẽ cho phép xác định số lần thử đăng nhập không thành công là bao nhiêu trước khi tài khoản bị khoá. Người dùng không thể đăng nhập vào hệ thống bằng một tài khoản đã bị khoá cho tới khi người quản trị hệ thống mở khoá cho tài khoản đó hoặc thời gian khoá đã hết. Khi tài khoản bị khoá, một thông báo lỗi sẽ xuất hiện và người dùng sẽ không được phép thử đăng nhập thêm bất kỳ lần nào nữa.
Để mở một tài khoản bị khoá bạn có thể thực hiện theo cách sau:
1. Trong Active Directory User and Accounts, trong cây hiển thị bạn sẽ chọn tới Container hay user nào chứa tài khoản bạn muốn mở khoá.
2. Trong bảng hiển thị chi tiết bên phải, bấm chuột phải vào tài khoản người dùng sau đó chọn Unlock.
Reset mật khẩu người dùng:
Rất có thể người sử dụng sẽ quên mật khẩu của chính mình, nếu không nhớ mật khẩu người dùng đó sẽ không thể truy cập vào hệ thống. Người quản trị có thể reset mật khẩu cho người dùng. Khi mật khẩu của người dùng được reset lại, một số thông tin sau sẽ không bao giờ truy cập lại được nữa:
- E-mail được mã hoá bởi User’s public key (khoá công khai của người dùng)
- Mật khẩu Internet đã được ghi lại trên máy tính.
- Các tệp tin mà người sử dụng đã mã hoá.
Reset một Computer account.
Là một quản trị viên, bạn thỉnh thoảng có thể sẽ phải reset một vài computer accounts. Ví dụ: giả sử hệ thống mạng của bạn đã backup toàn bộ 7 ngày trước đây. Một máy tính được Domain Controler yêu cầu phải thay đổi mật khẩu của computer account. Tuy nhiên, ổ cứng của máy tính đó bị hỏng và bạn restore lại được máy tính đó từ tape backup. Máy tính đó lúc này sẽ có mật khẩu hết hạn, và người không thể đăng nhập được vì máy tính đó không được xác thực với domain. Khi đó bạn sẽ phải reset lại computer account.
Có 2 vấn đề bạn cần phải quan tâm khi reset tài khoản máy tính:
- Để thực hiện reset được thì bạn phải là member của nhóm Account Operators, Domain Admins, hoặc Enterprise Admin trong Active Directory, hoặc bạn phải được kế thừa các quyền phù hợp. Cách thực hành tốt nhất về vấn đề quyền là bạn có thể sử dụng Run as để thực hiện thủ tục này.
- Khi bạn reset một computer account, bạn đã ngắt kết nối của máy tính đó tới domain, và sau khi reset bạn sẽ phải join máy tính đó lại.
Bạn có thể sử dụng công cụ Active Directory Users and Computers để reset account hoặc sử dụng câu lệnh sau:
Dsmod computer ComputerDN -reset
6- Sử dụng các câu lệnh truy vấn để tìm kiếm User và Computer Accounts.
Vì mọi users accounts đều nằm trong dịch vụ thư mục Active Directory, nên quản trị viên có thể tìm User Account mà họ muốn quản trị. Với việc tìm kiếm các accounts trong Active Directory, bạn không cần phải nhìn duyệt qua hàng trăm hoặc có khi đến hàng ngàn tài khoản trong Active Directory Users and Computers.
Trong Active Directory Users and Computers bạn có thể tìm kiếm các đối tượng sau:
- Users, Contacts and Groups
- Computers
- Printers
- Shared Folders
- Custom Search
- Common Queries
- Advanced query options.
Saved Query là gì?
Trong Active Directory Users and Computers có sẵn một folder: Saved Queries, bạn có thể tạo, chỉnh sửa, lưu trữ, sắp sếp các câu lệnh truy vấn để tìm kiếm. Trước khi lưu lại các truy vấn, bạn sẽ phải tạo Active Directory Services Interfaces (ADIS) scripts để thực hiện các truy vấn trên những đối tượng thông thường. Đó là một tiến trình xử lý thường là dất dài và nó đòi hỏi những kiến thức về ADSI sử dụng LDAP tìm kiếm các bộ lọc để thực hiện một truy vấn.
Tùy chọn tìm kiếm
Saved queries sử dung các chuỗi LDAP đã được định nghĩa trước để chỉ tìm kiếm trên phân vùng domain nhất định. Bạn có thể tìm kiếm trên một phạm vi hẹp đến một đối tượng container đơn. Bạn cũng có thể tạo một Saved queries riêng của chính bạn mà nó bao gồm một bộ lọc tìm kiếm LDAP.
Mọi truy vấn được đặt trong Saved Queries folder có tên là dsa.msc và được lưu trong Active Directory Users and Computers. Bạn cũng có thể tạo subfolders để tổ chứa các queries cho phù hợp. Bạn cũng có thể Import và Export các câu lệnh Saved Queries.
- Bạn có thể lựa chọn tạo ra các câu lệnh Query mới
II- Tạo và quản lý các nhóm:
Tổng quan:
Nhóm (group) là một tập hợp nhiều người sử dụng. Bạn có thể sử dụng group để quản lý một cách hiệu quả các tài nguyên trên mạng, điều đó giúp cho việc quản trị và vận hành một hệ thống mạng trở nên đơn giản. Bạn có thể sử dụng các group một cách riêng biệt hoặc đặt một group bên trong một group khác để việc quản trị được đơn giản hơn.
Trước khi có thể sử dung hiệu quả các group, bạn phải hiểu các chức năng của group, các loại group mà bạn có thể tạo. Dịch vụ Active Directory hỗ trợ nhiều loại nhóm khác nhau và cũng cung cấp những lựa chọn để xác định mỗi scope của group, điều này nghĩa là chỉ ra group sẽ được sử dụng như thế nào trong trường hợp có nhiều Domain.
Bài học phần này sẽ hướng dẫn bạn cách:
Tạo các Groups
Quản lý các Groups membership.
Thực thi các chiến lược cho việc sử dụng group
Quản lý các Groups mặc định.
1- Tạo các Group:
Định nghĩa:
Groups là một tập hợp các User và Computer Accounts mà bạn có thể quản lý như một Single Unit. Groups:
- Đơn giản hoá việc quản trị bằng cách cho phép bạn gán các quyền truy cập tới các tài nguyên một lần thay vì gán nhiều lần cho từng user account một cách độc lập.
- Có thể được đặt trong Active Directory hoặc đặt tại local của một máy tính độc lập.
- Được định dạng bởi kiểu của group và scope.
- Có thể lồng nhau, nghĩa là có thể đặt group này bên trong một group khác.
Group scopes là gì ?
- Group scopes xác định một nhóm sẽ được phân chia trong nhiều domain hay chỉ giới hạn trong một domain đơn. Group scopes cho phép bạn sử dụng các group để gán quyền truy cập. Group scope xác định:
Những domain nào mà từ đó bạn có thể thêm vào các thành viên cho nhóm.
Những domain nào mà trong đó bạn có thể sử dụng các nhóm để gán quyền truy cập.
Những domain nào mà trong đó bạn có thể lồng một nhóm bên trong nhóm khác.
- Group scope cũng chỉ ra
- Group scope trong Active Directory được chia thành các loại sau:
Global
Domain local
Universal
Phạm vi Phân loại
Kiểu của Group:
Kiểu của Group trong Active Directory bao gồm:
- Security Group:
Bạn sẽ sử dụng Security groups để gán quyền (rights) hoặc cấp phép (permissions) cho các nhóm Users và Computers. Quyền chỉ ra rằng những thành viên nào của một security group có thể thực hiện trên domain hoặc forest, và permissions chỉ ra những tài nguyên nào mà thành viên của nhóm được phép truy cập trên mạng.
Bạn cũng có thể sử dụng security groups để gửi e-mail messages cho nhiều người một lúc. Việc gửi một e-mail messages cho nhóm là gửi e-mail đó cho toàn bộ thành viên của nhóm. Do đó security groups còn có khả năng của distribution groups.
- Distribution Group:
Bạn có thể sử dụng distributions groups với các ứng dụng e-mail như: Microsoft Exchange Server, để gủi các e-mail tới những tập hợp người sử dụng. Mục đích chính của kiểu Group này là để tập hợp các đối tượng có liên quan với nhau, không phải để gán permissions.
Distribution Group không hỗ trợ tính bảo mật. Nếu bạn cần một nhóm để kiểm soát truy cập tới các tài nguyên lúc đó bạn sẽ phải lựa chọn nhóm là Security.
Mặc dù security groups có tất cả mọi khả năng của distribution groups, nhưng distribution groups vẫn rất cần thiết, vì trong một số ứng dụng chúng ta chỉ có thể sử dụng distribuion groups.
- Cả 2 loại nhóm trên đều có khả năng hỗ trợ 3 group scopes.
Global groups là gì?
Một global group là một security hoặc distribution group mà nó có thể chứa users, groups và computers mà các đối tượng này có cùng domain với global group. Bạn có thể sử dụng các global security groups để gán quyền cho người dùng, kế thừa xác thực từ các đối tượng AD, hoặc gán permissions cho các tài nguyên tới bất kỳ domain nào trong một forest hoặc tới bất kỳ trusting domain nào trong một forest khác.
Global groups có các đặc điểm sau:
Thành viên có thể bao gồm:
- Trong Windows 2000 mixed và Windows 2003 interim functional levels, global groups có thể bao gồm user và computer accounts mà chúng có cùng domain với global groups.
- Trong Windows 2000 native và Windows Server 2003 functional levels, global groups có thể bao gồm user, computer accounts và global groups mà chúng có cùng domain với global groups.
Global groups có thể là member của:
- Trong Windows 2000 mixed và Windows 2003 interim functional levels, global groups chỉ có thể là member của domain local hoặc local groups.
- Trong Windows 2000 native và Windows Server 2003 functional levels, global groups có thể là member của Universal, local và domain local groups trong bất kỳ trusting domain và global groups nào mà nó có cùng domain với global group.
Scope:
- Một global group được hiển thị trong domain của nó và trong tất cả các trusting domain, trong đó bao gồm mọi domain trong một forest.
Permissions:
- Bạn có thể gán permission tới một global group trong domain của chính nó và trong mọi trusting domain.
Khi nào ta sử dụng đến global groups:
- Vì global groups có khả năng nhìn thấy được trong phạm vi toàn bộ forest, do đó bạn không được tạo chúng để truy cập tài nguyên domain riêng. Dùng global group để thiết lập các người dùng mà những người này chia sẻ cùng thao tác công việc và có những đòi hỏi truy cập mạng tương tự nhau. Ta sẽ dùng kiểu group khác thích hợp hơn cho việc điều khiển truy cập tài nguyên trong cùng một domain.
Universal Groups là gì ?
Một universal group là một security hoặc distribution group mà nó chứa users, groups và computers từ bất kỳ domain nào trong Forest. Bạn có thể sử dụng Universal security groups để gán quyền và permissions tới các tài nguyên trong bất kỳ domain nào trong Forest
.
Universal groups có các đặc điểm sau:
Thành viên có thể bao gồm:
- Bạn không thể tạo Universal security groups trong các domain của Windows 2000 mixed và Windows 2003 interim functional levels.
- Universal groups có thể chứa user, computer accounts, global groups và các universal groups khác từ bất kỳ domain nào trong forest.
Universal groups có thể là member của:
- Universal security group không áp dụng trong Windows 2000 mixed và Windows 2003 interim functional levels.
- Universal groups có thể là member của domain local, local, và universal groups trong bất kỳ trusting domain nào.
Scope:
- Universal group được hiển thị trong domain trong Forest và trong mọi trusting domain.
Permissions:
- Bạn có thể gán permission tới một universal group trong mọi domain trong Forest và trong mọi trusting domain. Domain mà bạn dùng phải ít nhất từ Windows 2000 native level trở lên.
Khi nào ta sử dụng đến Universal groups:
- Sử dụng universal group lồng với global groups sẽ giúp bạn gán permission tới các tài nguyên liên quan trong nhiều domain. Bạn có thể dùng universal distribution groups để gửi email tới các nhóm người sử dụng. Universal distribution groups có thể được tạo trong mọi domain trong Windows 2003 forest ở mọi Functional level.
Domain local Groups là gì ?
Một domain local groups là một security hoặc distribution groups mà nó có thể chứa domain khác, local groups mà chúng xuất phát từ cùng domain của chính nó. Nó cũng có thể chứa Universal groups, global groups và accounts xuất phát từ bất kỳ domain nào trong Forest hoặc từ bất kỳ trusted domain nào. Bạn có thể sử dụng domain local security group để gán quyền và permission cho người dùng tới các tài nguyên chỉ trong cùng một domain mà domain local group này nằm trong đó.
Domain local groups có các đặc điểm sau:
Thành viên có thể bao gồm:
- Trong Windows 2000 mixed và Windows 2003 interim functional levels, domain local groups có thể chứa user accounts, computer accounts và global groups xuất phát từ bất kỳ trusted domain nào. Các member server không thể sử dụng domain local groups trong Windows 2000 mixed và Windows 2003 interim functional levels.
- Trong Windows 2000 native và Windows Server 2000 functional levels, domain local group có thể chứa user accounts, computer accounts, global groups, universal groups xuất phát từ bất kỳ domain nào trong Forest hoặc trusted domains và có thể chưas các domain local groups khác mà chúng xuất phát từ cùng domain với chính domain local group đó.
Domain local groups có thể là member của:
- Trong Windows 2000 mixed và Windows 2003 interim functional levels, một domain local group không thể là một thành viên của nhóm nào.
- Trong Windows 2000 native và Windows Server 2000 functional levels, domain local group có thể là member của domain local groups mà chúng xuất phát từ cùng domain với domain local group đó.
Scope:
- Domain local groups được chỉ được hiển thị trong domain chứa nó.
Permissions:
- Bạn có thể gán permission cho một Domain local groups trong domain chứa nó.
Khi nào ta sử dụng đến Domain local groups:
- Sử dụng domain local groups để gán permission cho các tài nguyên nằm trong cùng domain chứa domain local group đó. Bạn có thể đặt mọi global groups để chia sẻ các tài nguyên giống nhau cho domain local group thích hợp.
Local groups là gì ?
Một local groups là tập hợp của user account hoặc domain groups được tạo trên cùng một member server hoặc trên một stand-alone server. Bạn có thể tạo local group để gán permission cho các tài nguyên nằm trên local computer. Windows 2000 và Windows server 2003 tạo các local groups trong local security database. Local group có thể chứa users, computers, global groups, và universal groups.
Vì các groups trong một domain local scope đôi khi được xem như local groups, do vậy phải phân biệt rất rõ ràng giữa local groups với domain local scope. Local groups đôi khi được xem như machine local group để phân biệt chúng với domain local groups.
Local groups có các đặc điểm sau:
Trong môi trường làm việc workgroup, local groups có thể chứa chỉ local user accounts xuất phát từ máy tính mà bạn tạo local group. Nếu máy tính đó là một thành viên của domain, các local groáy này có thể chứa users accounts, computers accounts, global groups và universal groups xuất phát từ domain của máy tính đó và các trusted domain. Local groups không thể là thành viên của bất kỳ group khác nào.
Khi nào ta sử dụng đến Local groups:
- Bạn chỉ có thể sử dụng local groups trên chính máy tính mà bạn tạo local groups đó. Local groups permissions cung cấp truy cập tài nguyên chỉ trên máy tính mà bạn tạo local group đó.
- Bạn có thể sử dụng local groups trên các máy tính đang chạy hệ điều hành hiện nay được Microsoft hỗ trợ và trên các member servers chạy Windows 2003. Bạn không thể tạo local groups trên domain controller, bởi vì domain controller không có security database độc lập của database trong Active Directory.
- Bạn có thể tạo local groups để giới hạn khả năng của local users và các group truy cập tới các tài nguyên khi bạn không muốn tạo domain groups.
- Vì local groups không có cơ chế dự phòng built-in, nên phải đảm bảo rằng registry của máy tính mà local groups đó sử dụng đã được sao lưu dự phòng cùng với các tài nguyên của máy tính. Trong một môi trường
mà việc truy cập dữ liệu là chủ yếu thì cách tốt nhất là sử dụng domain local groups mà chúng được replicated tự động với multiple domain controllers.
Quy tắc cho việc tạo và đặt tên Groups:
Trong Active Directory, groups được tạo trong các domain. Bạn sử dụng Active Directory User và Computers để tạo ra các nhóm trong các containers phù hợp dựa trên mô hình quản trị.
Một quy tắc đặt tên đã được chuẩn hoá sẽ giúp bạn tìm kiếm và phân biệt các nhóm một cách dễ dàng trong môi trường rộng lớn.
o Quy tắc đặt tên cho Security Groups:
Đồng nhất với Scope trong tên Groups.
Ví dụ:
• G IT Admins
G ký hiệu cho global groups
• U Enterprise IT Admins
U ký hiệu cho universal groups
• DL IT Resources Full Control
DL ký hiệu cho domain local groups
Nên thể hiện chủ sở hữu:
Ví dụ:
• G Marketing Managers
• DL IT Admins Full Control
Tên domain: nên thể hiện trong môi trường multidomain.
Ví dụ:
• G Contoso Marketing
Mục đích của nhóm:
Ví dụ:
• DL IT Contoso OU Admins
• DL IT Resources Full Control
o Quy tắc đặt tên cho Distribution Groups: Vì distribution groups thường chỉ được sử dụng cho mục đích e-mail, do đó cách đặt tên phải có tính liên quan đến end users.
Nên dùng short alias names
Không được dùng alias name của users trong display name
Chỉ cho phép tối đa 5 người đồng sở hữu cho một distribution group.
Những ai có thể tạo Groups:
Bảng sau đây mô tả người nào có thể tạo Groups
Để chia tạo Groups Bạn phải là thành viên của
Trong Windows 2003 domain controller
- Account Operators Group
- Domain Admins Group
- Enterprise Admins Group
- Users với các quyền được kế thừa thích hợp
Trong local computer: - Administrators Group trên local
- Power Users group.
- Users với các quyền được kế thừa thích hợp
Tạo các local group
Sử dụng Computer Management để tạo các local group. bạn tạo các local group trong một Folder Groups. Lúc bạn tạo một group, bạn cũng có thể bổ sung vào đó các thành viên (member). Để tạo một local group và bổ sung các thành viên, hãy thực hiện các bước sau đây:
1. Trong Computer Management, hãy mở rộng Local Users and Groups.
2. Chọn phải Folder Groups, rồi chọn New Group.
Bảng dưới đây mô tả các tuỳ chọn trong hộp thoại New Group.
Tuỳ chọn Mô tả
Group Name
Một tên để chỉ local group. Đây là hạng mục duy nhất được yêu cầu. Hãy sử dụng bất cứ ký tự nào ngoại trừ dấu backslash (\). Tên có thể chứa lên đến 256 ký tự; tuy nhiên tên quá dài thì không thể hiển thị trong một vài cửa sổ.
Description Phần mô tả group
Members Các thành viên thuộc về group. Để bổ sung một user vào danh sách các thành viên, hãy chọn Add. Chọn một user hoặc group từ danh sách, chọn Add rồi chọn OK. Để xoá một user khỏi danh sách các thành viên, hãy chọn tên của User hoặc group mà bạn muốn xoá bỏ rồi chọn remove.
3. Chọn Create để tạo local group
Tạo và xoá bỏ các domain group:
Bạn dùng Active Directory Users and Computers để tạo và xoá bỏ các group. Bạn có thể tạo chúng trong Folder Users mặc định hoặc trong bất cứ Folder nào mà bạn tạo. Lúc không còn cần một group nữa bạn chắc chắn phải xoá nó để bạn không tình cờ cấp phát cho mức độ cho phép.
o Tạo một Group
Để tạo một group, hãy mở Active Directory Users and Computers. Chọn chuột phải lên Folder mà bạn muốn tạo Group, trỏ đến New rồi chọn Group.
Bảng dưới đây sẽ mô tả các tuỳ chọn trong hộp thoại New Object Group
Tuỳ chọn Mô tả
Group name Tên của Group mới, tên phải là duy nhất tên domain mà bạn đã tạo group.
Group name (pre-Windows 2003)
Tên được dùng để hỗ trợ cho Client và Server từ phiên bản Windows trước.
Group scope group scope. chọn Domain local, Global, hoặc Universal.
Group type Kiểu group. chọn Security or Distribution.
Lưu ý: Sau khi bạn tạo một group, windows 2003 cho phép bạn di chuyển một group bên trong cấu trúc domain của nó cho dù các chức năng tổ chức và quản lý có thay đổi hay không. Mặc dù dễ dàng thay đổi một group, bởi vì một group là một đối tượng Active Directory, nhưng bạn cũng cần phải cảnh giác về tính phức tạp của cấu trúc Active Directory.
Tên nhóm
o Xoá bỏ một Group
Khi bạn xoá bỏ một group, bạn xoá bỏ mức độ cho phép và quyền có liên quan với nó. Việc xoá bỏ một group không có nghĩa rằng bạn xoá bỏ các user account hoặc các group vốn là thành viên của group đó.
Mỗi group mà bạn tạo đều có một bộ chỉ thị duy nhất và không thể sử dụng lại được gọi là Security identifier (SID). Windows 2003 sử dụng SID để nhận biết group và nhận biết các mức độ cho phép được cấp phát cho nó. Lúc bạn xoá bỏ một group, Windows 2003 không bao giờ sử dụng SID này lại, thậm chí cả khi bạn tạo một group mới với tên giống hệt như group mà bạn đã xoá bỏ. Do đó bạn không thể phục hồi việc truy cập vào các nguồn tài nguyên bằng cách tạo một group có cùng tên.
Để xoá bỏ một group, hãy mở Active Directory Users and Computers trong cây console, hãy mở rộng Domain, rồi chọn Folder có chứa group mà bạn muốn xoá bỏ. Trong ô chi tiết, hãy chọn phải lên group mà bạn muốn xoá bỏ, rồi chọn Delete.
Lưu ý: Bạn không thể xoá bỏ các group được tạo sẵn hoặc được xác lập trước
2- Quản lý các Group memberships.
Sau khi bạn tạo một group, bạn có thể bổ sung các thành viên vào group đó, các thành viên vào group đó. Các thành viên của group có thể bao gồm các user account, các group và các máy tính khác. Sử dụng Active Directory Users and Computers để bổ sung các thành viên vào một group.
Để bổ sung các thành viên vào một group, hãy thực hiện các bước sau đây:
1. Trong hộp thoại Properties dành cho group phù hợp, hãy chọn members, rồi
chọn Add.
2. Trong danh sách Look in, hãy chọn một domain để qua đó hiển thị các user account và các Group. Bạn có thể chọn Entire Directory để xem các user account và các group từ bất cứ nơi nào trong Active Directory.
Lưu ý: Lúc bổ sung các thành viên bạn có thể phân loại các thành viên theo tên hoặc theo Folder mà chúng đang có. Trong hộp thoại Select Users, Contacts, Computers, or Groups, hãy chọn cột phù hợp.
Trong cột name, hãy chọn User Account hoặc group mà bạn muốn bổ sung, rồi chọn Add. Bạn có thể gõ tên của user account hoặc group mà bạn muốn bổ sung. Hãy lặp lại bước này để bổ sung user account hoặc group phụ.
Chọn Ok để bổ sung các thành viên vào group, rồi chọn Ok để đóng hộp thoại Properties.
Lưu ý: Bạn cũng có thể bổ sung một user Account hoặc group vào group khác bằng cách sử dụng nhãn member of trong hộp thoại Properties dành cho các User Account hoặc group đó. Sử dụng phương pháp này để nhanh chóng bổ sung cùng một group hoặc một User vào nhiều nhóm.
3- Thực thi các chiến lược cho việc sử dụng groups:
Khi sử dụng các group trong một domain, bạn nên sử dụng chiến lược A G DL P. Chiến lược A G DL P là: Bạn đặt user Account (A) vào Global group (G), đặt Global group vào Domain Local Group (DL), rồi cấp quyền cho phép (P) vào Domain Local Group.
Lúc cài đặt các group, hãy sử dụng các chiến lược sau đây:
1. Nhận biết các user với khả năng chung và bổ sung user account vào một Global group. Ví dụ trong một văn phòng kinh doanh, hãy bổ sung user account cho tất cả các nhân viên bán hàng vốn có vốn sử dụng cùng một nguồn tài nguyên vào một Global group được gọi là Sales.
2. Xác định cho biết bạn có thể sử dụng một domain local group được tạo sẵn hay không, hoặc bạn có cần tạo một domain local group để cung cấp cho những người dùng quyền truy cập vào các nguồn tài nguyên domain hay không. Ví dụ nếu bạn muốn những người dùng có thể in sang máy in màu chia sẻ trong một domain, thì hãy tạo domain local group có tên là Color Printer Users.
3. Làm cho tất cả các Global group vốn có nhu cầu chia sẻ vào các nguồn tài nguyên từ các thành viên của Domain Local Group tương ứng. Ví dụ: để bổ sung các local group tương ứng, bằng cách đưa vào sales, vào domain local group Color Printer Users
4. Cấp phát mức độ cho phép được yêu cầu cho domain local group trên domain controller Bạn có thể cấp phát mức độ cho phép tại nguồn tài nguyên. Ví dụ: Cấp phát mức độ cho phép cần thiết để sử dụng máy in màu cho Color Printer Users domain local group.
4- Quản lý các Group mặc định.
Cũng như các máy tính client và các member server, domain controller có các group tạo sẵn mặc định bên cạnh các group được tạo sẵn, các domain controller cũng có các group được xác định trước làm mặc định. Lúc một máy tính trở thành một domain controller thì windows 2003 server tự động tạo ra các group này trong Active Directory User and Computers. Cũng như với các local group được tạo sẵn khác, các group có các quyền được xác định trước để qua đó xác định tác vụ hệ thống nào mà thành viên của một group được xác định trước hoặc tạo sẵn có thể thực hiện được.
Các group được xác định trước với Global scope thì nằm trong folder Users. Các group được tạo sẵn với domain local scope thì nằm trong folder Built-in. Các domain group mặc định trong windows 2003 bao gồm domain local group được tạo sẵn, các thực thể đặc biệt, và các global group được xác đinh trước.
Các domain local group được tạo sẵn
Các group này cung cấp cho người dùng quyền và mức độ cho phép để thực hiện các tác vụ trên Domain controller và trong Active Directory. Các Domain Local Group được tạo sẵn thì chỉ nằm trong Domain Controller, bạn không thể xoá bỏ group này.
Special identities: Những group này còn được gọi là group hệ thống (System group), tự động tổ chức user để sử dụng hệ thống. Những nhà quản lý không gán user cho chúng. Thay vì vậy, các user phải là hoặc các thành viên theo mặc định, hoặc trở thành các thành viên trong quá trình thực thi mạng. Các System group thì nằm trên tất cả các máy tính chạy windows 2003. Ví dụ, lúc các user kết nối vào một Folder chia sẻ trên một máy tính từ xa, thì chúng trở thành thành viên của Network System group. Các group đặc biệt không hiển thị trong Active Directory Users and Computers.
Các Global group được xác định trước
Các group này cung cấp cho người quản lý một phương pháp dễ dàng để điều khiển các user trong một domain. Các global group được xác định trước thì chỉ ở trên domain controller mà thôi. Những group này nằm trong Folder Users của Active Directory Users and Computers.
CHƯƠNG 2 QUẢN LÝ TRUY CẬP FILES VÀ FOLDERS TRÊN
WINDOWS SERVER 2003
Chương này sẽ giới thiệu và cung cấp cho bạn những kỹ năng và kiến thức cần thiết để quản lý truy cập các tài nguyên Files và Folders bằng việc sử dụng shared folder permissions, NTFS permissions, hoặc effective permission và quản lý truy cập tới các shared files bằng cách sử dụng offline caching.
Chương này sẽ trình bày về các vấn đề sau:
Quản lý truy cập tài nguyên
Quản lý truy cập shared folders.
Quản lý truy cập tới files và folders sử dụng NTFS permissions.
Xác định các permission hiệu quả
Quản lý truy cập tới các shared files bằng cách sử dụng offline caching
I- Quản lý truy cập tài nguyên:
1- Giới thiệu về Permission:
Permissions định nghĩa kiểu truy cập đến một đối tượng được gán cho Users, groups hoặc computers. Ví dụ: bạn có thể cho phép một người đọc nội dung của một file, nhưng lại cho phép một người khác có khả năng thay đổi file đó, và không cho phép tất cả người dùng còn lại truy cập vào file đó. Bạn cũng có thể thiết lập các permissions tương tự cho máy in để chỉ cho phép một số người được cấu hình máy in, một số thì chỉ được in…
Permissions cũng được thiết lập cho bất kỳ đối tượng được bảo vệ nào, ví dụ các files, objects trong dịch vụ thư mục AD, và các đối tượng registry. Permissions có thể được gán cho bất kỳ users, groups, hoặc computers nào.
Bạn có thể gán permissions cho các đối tượng tới:
- Groups, users, computers và các định danh đặc biệt trong bất kỳ trusted domain nào.
- Local groups và users trên máy tính chứa chính đối tượng đó.
Khi bạn tạo permissions, bạn xác định mức độ truy cập cho các groups hoặc users. Permissions gắn với một đối tượng phụ thuộc vào kiểu của đối tượng đó. Ví dụ: permissions gắn với file khác với permission gắn với registry key. Tuy nhiên có một số permissions được gắn với hầu hết các đối tượng thông thường, đó là:
Read permissions
Write permissions
Delete permissions.
2- Standard và Effective Permissions:
Bạn có thể gán Standard và Effective permissions cho các đối tượng. Standard permission là các permission thông thường được gán nhiều nhất. Effective permissions cung cấp cho bạn mức độ chi tiết hơn của việc điều khiển gán quyền truy cập tới các đối tượng.
II- Quản lý truy cập shared folders.
Shared folders thường được dùng để cung cấp cho người sử dụng phương pháp truy cập vào các File và Folder thông qua mạng. Những người dùng có thể kết nối vào shared folders trên mạng để truy cập chứa nội dung mà họ cần. Các shared folders có thể là tài nguyên các trình ứng dụng, dữ liệu, hoặc dữ liệu cá nhân của người dùng. Việc sử dụng các Folder của trình ứng dụng chia sẻ tập trung quản lý bằng cách cho phép bạn cài đặt và bảo quản các trình ứng dụng trên một server thay vì trên các máy tính Client. Việc sử dụng các Folder dữ liệu chia sẻ cung cấp cho bạn một vị trí trung tâm, để những người dùng có thể truy cập vào các File phổ biến nhất đồng thời giúp bạn sao chép dự phòng dữ liệu được chứa trong những File này.
1- Cách tạo lập các shared folders:
Ai là người có thể tạo và quản lý shared folder.
Bảng sau đây mô tả người nào có thể chia sẻ các Folder.
Để chia sẻ các Folder Bạn phải là thành viên của
Trong Windows 2003 domain controller
- Administrators Groups
- Server Operators group.
Trong Windows 2003 member hay stand-alone server
- Administrators Groups
- Power Users group.
Các công cụ để tạo và quản lý shared folder:
- Computer Managerment
- Windows Explorer hoặc My Computer
- Câu lệnh Net share
Chia sẻ một Folder
Để tạo các Shared folder, hãy nháy chuột phải trên Folder đó trong Windows Explorer, rồi chọn Sharing, cấu hình các tuỳ chọn được mô tả trong bảng dưới đây.
Tuỳ chọn Mô tả
Share this folder
Chọn mục này để chia sẻ Folder
Share name Nhập vào tên mà những người dùng từ các vị trí ở xa có thể sử dụng để tạo một kết nối vào shared folders. Tên shared folders mặc định là tên của Folder đó. Tuỳ chọn được yêu cầu . Lưu ý: Một vài náy tính client vốn kết nối vào một điểm chia sẻ chỉ thấy được một số các ký tự giới hạn mà thôi.
Comment Nhập vào nội dung mô tả tùy ý dành cho tên của shared folders. Bạn có thể sử dụng lời chú thích để nhận biết các nội dung của Folder chia sẻ.
User Limit Nhập vào số các User có thể kết nối vào Folder chia sẻ
Permissions Chọn để cài đặt mức độ cho phép Folder được chia sẻ vốn chỉ áp dụng lúc Folder được truy cập thông qua mạng. Tuỳ chọn này không được yêu cầu. Theo mặc định, nhóm everyone được cấp phát mức độ cho phép Full Control dành cho tất cả các shared folders mới.
Required
Optional
2- Mức độ cho phép của shared folders:
Users có thể được cấp phát hoặc bị từ chối cho phép truy nhập vào shared folders. Mức độ cho phép Folder chỉ áp dụng cho những người dùng kết nối vào Folder trên mạng; chúng không giới hạn việc truy cập vào những người dùng đang truy cập vào Folder tại máy tính nơi mà Folder đang được lưu giữ, bạn có thể cấp phát permissions cho shared folders đối với user account, các group và các computer accounts.
Mức độ cho phép
Để kiểm soát cách mà các user có thể truy cập vào một Folder chia sẻ, Bạn hãy sử dụng mức độ cho phép của Folder được chia sẻ, không chỉ các tập tin riêng biệt, bảng dưới đây sẻ mô tả cấp độ cho phép mỗi cấp độ cho phép sẻ cho phép một user thực hiện điều gì đó.
Mức độ cho phép Cho phép user thực hiện
Read Hiển thị tên Folder, tên file, dữ liệu và các thuộc tính; chạy các File của trình ứng dụng; rồI thay đổi các Folder bên trong Folder chia sẻ.
Change Tạo các Folder; bổ sung các file vào các Folder; thay đổI dữ liệu trong các file; đính kết dữ liệu vào trong các File; thay đổI các thuộc tính File; xoá bỏ các Folder và các file; và thực hiện Các hành động được cho phép bởI Read Permission.
Full Control
Thay đổI mức độ cho phép file; phân quyền sở hữu các file; thực hiện tất cả các tác vụ được cho phép bởI Change và Read Permission. Theo mặc định , Everyone có mức độ cho phép mức này.
Chú ý: Nếu bạn chỉ cho phép một user đã được phép vào một Folder chia sẻ, thì hãy xoá bỏ Everyone group. Nếu không thì tất cả người dùng đều có Full Control Permission để vào Folder đó. Nếu bạn thay đổi mức độ cho phép dành cho Everyone group sang Deny. Thì tất cả người dùng đều bị từ chối không được phép truy cập vào Folder chia sẻ. Kể cả những người dùng muốn truy cập vào file này.
Sự kết hợp các mức độ cho phép
Một mức độ cho phép có hiệu quả đối với một người dùng là tài nguyên chính là sự kết hợp các mức độ cho phép chia sẻ mà bạn cấp cho user account riêng biệt và mức độ cho phép shared folders mà bạn cấp cho các nhóm chứa user đó. Ví dụ, nếu một user có mức độ cho phép là Read trên Folder và là thành viên của nhóm với mức độ cho phép là Write đối với cùng một Folder, thì user đó có cả hai mức độ cho phép là Read và Write là đối với Folder đó.
Sự từ chối sẻ nhận quyền ưu tiên trên các mức độ cho phép khác
Bạn cũng có thể từ chối mức độ cho phép Folder chia sẻ, các mức độ cho phép từ chối bị từ chối sẻ xoá bỏ các cài đặt về mức độ cho phép đối với các user account và group. Bạn chỉ nên từ chối các mức độ cho phép Folder, chia sẻ lúc bạn muốn bảo đảm rằng các user đặc biệt sẻ không truy cập vào một Folder chia sẻ. Nếu bạn từ chối mức độ cho phép shared folders đối với một user, thì user này sẻ không được phép đó, thậm chí cả khi bạn đã cho phép dành cho một nhóm mà user này là một thành viên.
Cấp phép mức độ cho phép truy cập
Sau khi bạn chia sẻ một Folder, bạn có thể kiểm soát user account nào, nhóm nào, và máy tính nào truy cập vào nó bằng cách sử dụng các mức độ cho phép Folder chia sẻ.
Cấp phép mức độ cho phép chia sẻ Folder
Bạn có thể cấp phát các mức độ cho phép shared folders lúc Folder này nằm trên một ổ đĩa đã được định dạng nhằm sử dụng các hệ thống File NTFS, FAT (bảng cấp phát file), hoặc FAT32
Chú ý: Đối với những người dùng truy cập vào một shared folders trên một NTFS volume, thì họ cần phải được phép NTFS phù hợp cho mỗi một File và Folder bên cạnh các mức độ cho phép Folder chia sẻ. Bạn cài đặt mức độ cho phép NTFS dành cho các File và Folder nằm trong NTFS. Volume trên nhãn Security trong hộp thoại Properties.
Để cấp phát mức độ cho phép shared folders đối với các user account, các group và các computer account, hãy thực hiện các bước sau đây:
Mở hộp thoại Properties dành cho Folder chia sẻ, trên nhãn Sharing, chọn Permission để mở hộp thoại Permission.
1. Chọn Add, Trong hộp thoại Select User, Groups, or Computers, hãy chọn Look in để xem danh sách các Domain(kể cả máy tính cục bộ) mà từ đó bạn có thể chọn User và tên group.
2. Chọn User account hoặc Group mà bạn muốn cấp phát mức độ chia sẻ.
3. Chọn hộp kiểm Allow của các mức độ cho phép phù hợp dành cho user account, group hoặc máy tính.
Chỉnh sửa các cài đặt Folder chia sẻ
Bạn có thể chỉnh sửa các cài đặt shared folders trên nhãn Sharing trên hộp thoại Properties dành cho Folder đó.
Bảng sau đây cung cấp các phương pháp chỉnh sửa khác nhau mà bạn có thể thực hiện chúng.
Để Hãy thực hiện điều này
Ngưng chia sẻ một Folder
Chọn Do not share this folder.
Chỉnh sửa tên Folder chia sẻ
Chọn vào Do not share this folder để ngưng chia sẻ Folder, và chọn Apply để ứng dụng thay đổi, chọn Share this Folder. Và gõ tên chia sẻ mới trong hộp Share name.
Chú ý:Điều này nó sẻ xoá bỏ tất cả các mức độ cho phép folder chia sẻ, mà qua đó nó cần phải được tạo lại.
Chỉnh sửa mức độ cho phép Folder được chia sẻ
Chọn Permissions. Trong hộp thoại Permissions ,hãy bổ sung hoặc xoá bỏ các user hoặc chỉnh sửa mức độ cho phép bằng cách chọn user đó. Sau đó chọn các hộp kiểm tương ứng để cấp phát hoặc từ chối mức độ cho phép riêng biệt.
Chia sẻ một folder nhiều lần
Hãy chọn New share để chia sẻ một Folder với một tên shared folders bổ sung. Hãy sử dụng các tên shared folders bổ sung để tổng hợp nhiều shared folders thành một Folder. Điều này cho phép các user tiếp tục sử dụng tên shared folders gố.
Lưu ý: Tuỳ chọn này chỉ xuất hiện lúc Folder đã được chia sẻ rồi.
Xoá bỏ một tên Folder chia sẻ
Chọn Remove Share.
lưu ý: Tuỳ chọn này chỉ xuất hiện khi shared folders nhiều lần
Chú ý quan trọng: Nếu bạn ngưng chia sẻ của một folder khi một user có một file đang mở. User này sẻ mất dữ liệu. Nếu bạn chọn Do not share this Folder, và user có thể kết nối đến Folder chia sẻ. Windows 2003 hiển thị hộp thoại nhắc bạn có một user đang kết nối đến Folder chia sẻ.
3- Kết nối đối với Share Folder
Sau khi bạn chia sẻ một Folder các user chia sẻ thông qua mạng, các user này có thể truy cập tên shared folders trên máy tính khác bằng cách dùng My Network Places, Map Network Drive hoặc lệnh Run.
Sử dụng My Network Places
Trong nhiều trường hợp cách dể sử dụng nhất truy cập cập đến một shared folders là My network Places.
Để kết nối vào một shared folders bằng cách sử dụng My Network Places, hãy thực hiện các bước sau:
1. Chọn đúp vào Network Places
2. Nhập vào đường dẫn mạng của shared folders mà bạn muốn kết nối vào hoặc chọn Brower để tìm máy tính mà trên đó mà shared folders đang có.
3. Chọn đúp shared folders mở ra.
Lưu ý: Lúc bạn mở một shared folders trên mạng thì Windows 2000 thì tự động bổ sung vào My Network Places.
Sử dụng Map Network Drive
Hãy tạo một ánh xạ Network Drive nếu bạn muốn một mẫu tự ổ đĩa và một biểu tượng liên kết một shared folders đặt biệt, điều này dễ dàng giúp bạn tham chiếu vị trí của một File trong một Folder chia sẻ. Ví dụ như: Thay vì trỏ đến \\Server\Shared_Folder_Name\File thì bạn chỉ cần trỏ đến \File. Bạn có thể sử dụng mẫu ký tự ổ đĩa truy cập vào các shared folders mà ở đó bạn không thể sử dụng đường dẫn qui ước đặc tên phổ biến (UNC). Chẳng hạn như Folder dành một trình ứng dụng cũ.
Để tạo ánh xạ (Map) cho một ổ đĩa mạng, hãy thực hiện các bước sau.
1. Chọn phải My Network Places, rồi chọn Map Network Drive
2. Trong Map Network Drive Wizard, hãy chọn mẫu tự ổ đĩa mà bạn muốn dùng.
3. Nhập vào tên của shared folders mà bạn muốn kết nối vào hoặc chọn Browse để tìm một Folder chia sẻ.
Để truy cập vào một shared folders mà bạn phải dùng trên cơ sở lặp lại, chọn Reconnect at logon để kết nối mỗi khi bạn tải.
Sử dụng dòng lệnh Run Command
Khi bạn sử dụng Run Command kết nối đến tài nguyên mạng, thì một mẫu tự ổ đĩa không được yêu cầu, điều này cho phép có một số kết nối vô hạn được thực hiện và độc lập với ký tự có sẵn
Để kết nối một shared folders vào một ổ mạng hãy thực hiện các bước sau đây.
1. Chọn Start, rồi chọn Run
2. Trong hộp thoại Run nhập vào đường dẫn UNC trong hộp Open, rồi chọn OK
Khi bạn nhập vào tên server trong hộp Open, thì một danh sách các shared folders sẵn có sẻ xuất hiện. Windows 2003 cho bạn tùy chọn để chọn một trong các hạng mục dựa tên shared folders đang có sẵn cho bạn
4- Kết hợp mức độ cho phép NTFS và Folder chia sẻ
Một chiến lược để truy cập vào nguồn tài nguyên mạng nằm trên một phần NTFS đó là chia sẻ các Folder với các mức độ cho phép của shared folders mặc định, rồi kiểm soát việc truy cập vào các Folder này bằng cách cấp phát mức độ cho phép NTFS.
Khi chia sẻ một Folder trên một phần đã được định dạng NTFS, thì cả mức cho phép shared folders và mức cho phép NTFS sẻ kết hợp với nhau để bảo mật các File nguồn. Mức cho phép NTFS áp dụng dù file nguồn được truy cập một cách cục bộ hoặc truy cập trên mạng.
Khi cấp phát mức cho phép shared folders trên một NTFS volume, bạn nên áp dụng các qui tắc sau:
Các mức cho phép NTFS được yêu cầu trên NTFS volume. Theo mặc định , Everyone group thì có quyền cho phép Full Control.
Các User phải có mức cho phép NTFS phù hợp cho mỗi một file và Folder con trong một Folder chia sẻ, bên cạnh mức cho phép shared folders nhằm truy cập vào các nguồn tài nguyên đó.
Lúc bạn kết hợp mức cho phép NTFS và mức cho phép Folder chia sẻ, thì mức cho phép kết quả là mức cho phép hạn nhất của các mức cho phép shared folders tổ hợp hoặc của các mức cho phép NTFS tổ hợp.
Sử dụng các Shared Folder quản trị:
Windows 2003 tự động chia sẻ các Folder nhằm giúp bạn thực hiện các tác vụ quản lý, những shared folders này được đính kết bằng một dấu dollar($). Dấu dollar sẻ che giấu shared folders đối với các user. Gốc của mỗi một ổ đĩa kể cả ổ đĩa cứng và CD-ROM. Các folder của gốc hệ thống, và vị trí của các Driver máy in, tất cả đều bị che giấu khỏi shared folders mà windows 2003 tự động sinh ra.
Mức cho phép shared folders quản lý
Theo mặc định các thành viên của nhóm quản trị đều có mức cho phép Full Control để quản lý các Folder. Bạn không thể chỉnh sửa cấp độ cho phép khi chia sẻ tài nguyên.
Bảng sau đây mô tả mục đích của các shared folders quản lý mà windows 2003 tự động cung cấp.
Folder
chia sẻ Mục đích
C$, D$, E$, and so on
Những shared folders này được dùng để kết nối từ xa với một máy tính và thực hiện các tác vụ quản trị. Gốc của mỗi một phần trên đĩa cứng đều được chia sẻ một cách tự động. Khi bạn kết nối vào folder này bạn phải truy cập vào toàn bộ phần đó.
Admin$ Folder root system là C:\Windows theo mặc định những nhà quản trị có thể truy cập vào shared folders này để quản trị Windows
2003 mà không biết Folder nào ở trong đó đã được cài đặt.
Print$ Folder này cung cấp phương pháp truy cập vào cá file printer dành cho các máy tính client. Lúc bạn cài đặt máy in chia sẻ lần đầu tiên, thì Folder Systemroot\System32\Spool\Drivers được chia sẻ dưới dạng là Print$. Chỉ có các thảnh viên của nhóm quản trị, server Operator, và Print Operators group mới có quyền cho phép Full Control. Còn Everyone group thì chỉ co quyền Read.
Các shared folders bị che dấu
Các shared folders bị che dấu thì không bị giới hạn, với những gì mà Windows 2003 tự động tạo. bạn có thể chia sẻ các Folder bổ sung và đính kèm một dấu ($) vào cuối tên Folder chia sẻ. Sau đó chỉ có những người dùng biết tên Folder mới có thể truy cập vào nó. Các Folder bị che dấu này không được xem là cả shared folders quản trị.
III- Quản lý truy cập tới files và folders sử dụng NTFS permissions.
Hệ thống file NTFS trong Microsoft Windows 2003 vô cùng quan trọng về việc lưu trữ dữ liệu trên phần chia. Với NTFS bạn có thể cấp quyền truy cập trên thư mục và tập tin cũng như tài nguyên, tiết kiệm được không gian đĩa cũng như nén dữ liệu và gán permissions cho mỗi user. Đặt biệt NTFS cho phép bạn mã hoá tập tin trên đĩa vật lý sử dụng Encrypting File System (EFS). Phần này sẽ giúp bạn hiểu rõ về NTFS và thực thi những tính năng trong Windows 2003.
1- Access Control List (ACL)
NTFS chứa một access control list cho mỗi file và folder nằm trong phân vùng NTFS. ACL chứa danh sách các user account, groups và computer đã
được gán quyền truy cập vào file hay folder và kiểu truy cập họ đã được cho phép. Để cho một user truy cập vào một file hay folder, ACL phải chứa một entry gọi là access control entry (ACE) cho user account, group, và computer của user đó. Entry đó phải cho phép kiểu truy cập cụ thể mà user đang yêu cầu thì user mới có thể truy cập được vào file hay folder. Nếu không có ACE trong ACL thì Windows 2003 sẽ từ chối truy cập của user vào tài nguyên.
2- Các quyền NTFS
Bạn dùng các quyền NTFS để chỉ định user, group và computer nào có thể truy cập vào các file và folder. Các quyền NTFS cũng chỉ ra các user, group, và computer có thể làm được những gì với các nội dung của các file và folder.
Các quyền trên folder NTFS
Bạn gán các quyền của folder để kiểm soát truy cập vào các folder, file và các subfolder. Bảng sau liệt kê các quyền tiêu chuẩn trên folder NTFS mà bạn có thể gán và kiểu truy cập mà mỗi quyền cung cấp.
Các quyền NTFS Cho phép các user
Read Xem các file và subfolder chứa trong folder, xem các thuộc tính của folder, ownership, và các quyền của folder.
Write Tạo ra các file mới và subfolder bên trong folder, thay đổi các thuộc tính của folder, xem ownership và các quyền của folder.
List Folder Contents
Xem tên các file và subfolder bên trong folder.
Read & Execute
Cho phép di chuyển qua các folder, cộng với các quyền được cho phép của Read và List Folder Content
Modify Xoá folder và thực hiện các thao tác được cho phép của Write và Read & Execute
Full Control Thay đổi các quyền, lấy ownership, xoá các subfolder, file. Thực hiện tất cả các quyền được cho phép của tất cả các quyền NTFS khác trên folder.
Các quyền trên file NTFS
Bạn gán các quyền của file để kiểm soát truy cập vào file. Bảng sau liệt kê các quyền tiêu chuẩn trên file NTFS mà bạn có thể gán và kiểu truy cập mà mỗi quyền cung cấp cho các user.
Các quyền NTFS Cho phép các user
Read Đọc file, xem các thuộc tính của file, ownership, và các quyền của file.
Write Ghi đè lên file, thay đổi các thuộc tính của file, xem ownership và các quyền của file.
Read & Execute
Chạy các ứng dụng và thực hiện các quyền được cho phép của Read.
Modify Chỉnh sửa và xoá file, thực hiện các thao tác được cho phép của Write và Read & Execute
Full Control Thay đổi các quyền, lấy ownership, xoá các subfolder, file. Thực hiện tất cả các quyền được cho phép của tất cả các quyền NTFS khác trên file.
Ghi chú: Khi bạn format một phân vùng đĩa với NTFS, Windows 2003 tự động gán quyền Full Control cho nhóm Everyone của root folder. Nhóm Everyone sẽ có quyền Full Control mặc định đối với tất cảc các file, folder được tạo ra trong root folder. Để giới hạn truy cập của các user được cho phép, bạn nên thay đổi các quyền mặc định cho các file và folder mình tạo ra.
3- Windows 2003 áp dụng các quyền NTFS như thế nào:
Mặc định, khi bạn gán các quyền cho các user, group trên một folder, các user và group được truy cập vào các subfolder và file bên trong folder đó. Bạn phải hiểu tầm quan trọng của việc các subfolder và file thừa kế các quyền NTFS từ các parent folder để bạn có thể sử dụng khả năng thừa kế để nhân rộng các quyền cho các file và folder.
Nếu bạn gán các quyền cho một file hay folder trên một user account riêng lẻ hay một group mà user này là thành viên, thì user này có nhiều (đa) quyền trên cùng một tài nguyên. Có những luật và độ ưu tiên liên quan đến cách thức NTFS kết hợp các quyền này. Hơn nửa bạn cũng có thể tác động đến các quyền khi copy hay di chuyển các file và folder.
Đa quyền NTFS
Nếu bạn gán các quyền NTFS cho một user account riêng lẻ và cho cả group mà user đó là thành viên thì bạn đã gán đa quyền cho user. Có những luật kết hợp các quyền của NTFS để tạo ra quyền có hiệu lực của user.
o Các quyền được tích lũy
Quyền có hiệu lực của user trên một tài nguyên là sự kết hợp của các quyền NTFS bạn đã gán cho user account và group mà user account đó là thành viên. Ví dụ nếu một user có quyền Read trên một folder và đồng thời là thành viên của group có quyền Write trên cùng folder thì user này sẽ có cả
hai quyền Read và Write trên folder.
o Các quyền trên file cao hơn các quyền trên folder
Các quyền NTFS trên file có độ ưu tiên cao hơn các quyền trên folder. Ví dụ như một user có quyền Change trên một file sẽ có thể thay đổi trên file dù anh ta chỉ có quyền Read trên folder chứa file đó.
o Deny vượt trên tất cả các quyền khác
Bạn có thể từ chối truy cập vào một file hay folder nào đó bằng cách gán quyền Deny vào user account hay group. Ngay cả khi một user có quyền truy cập vào file hay folder với vai trò một thành viên của group, quyền deny sẽ khoá tất cả các quyền khác mà user có. Vì thế Deny là một quyền ngoại lệ đối với luật tích lũy các quyền. Bạn nên tránh quyền Deny bởi vì chúng ta dễ dàng gán quyền truy cập trên các user và group hơn là gán quyền Deny. Hay hơn cả là cấu trúc các group và sắp xếp các tài nguyên trong folder để cho các quyền cho phép truy cập là đủ dùng.
Ghi chú: Với Windows 2003, có một khác biệt giữa việc một user không có quyền truy cập và việc từ chối truy cập trên user đó bằng các thêm Deny entry vào ACL trên file hay folder. Nghĩa là với vai trò người administrator, bạn có nhiều cách để từ chối truy cập. Thay vì gán quyền Deny bạn có thể đơn giản không cho phép user truy cập vào một file hay folder.
Thừa kế quyền NTFS
Mặc định, các quyền bạn gán cho parent folder được thừa kế và nhân ra cho các file và subfolder chứa trong nó. Tuy nhiên, bạn có thể ngăn chặn điều này nếu bạn muốn các folder và file có các quyền khác với parent folder của chúng.
o Thừa kế các quyền
Bất cứ quyền gì bạn gán cho parent folder cũng đều áp dụng cho các subfolder và file bên trong nó. Khi bạn gán các quyền NTFS để cho phép truy cập vào một folder, tức là bạn không những đã gán các quyền trên folder đó mà còn gán các quyền cho bất kỳ các file và subfolder có sẵn cũng như bất kỳ các file và subfolder tạo ra sau này mà chứa bên trong nó.
o Ngăn chặn sự thừa kế các quyền
Bạn có thể ngăn chặn sự thừa kế quyền, theo đó sẽ ngăn chặn các file và folder thừa hưởng các quyền từ parent folder. Để ngăn chặn sự thừa kế, bạn gỡ bỏ các quyền được thừa kế và chỉ giữ lại các quyền được gán rõ ràng.
Subfolder mà bạn ngăn chặn thừa kế từ parent folder sẽ trở thành một parent folder mới. Các file và subfolder bên trong parent folder mới này sẽ thừa hưởng các quyền gán cho parent folder của chúng.
Copy và di chuyển các file và folder
Khi bạn copy hay di chuyển các file hay folder, các quyền có thể thay đổi tùy thuộc vào nơi bạn di chuyển file hay folder. Bạn phải hiểu tầm quan trọng của sự thay đổi các quyền khi di chuyển hay copy các file hay folder.
o Copy các file và folder
Khi bạn copy hay di chuyển các file hay folder từ folder này đến folder kia, hay từ một phân vùng này đến phân vùng kia thì các quyền trên các file hay folder đó có thể thay đổi. Copy một file hay folder có một số các tác động sau trên các quyền NTFS :
Khi bạn copy một folder hay file bên trong một phân vùng NTFS đơn, bản copy của file hay folder đó thừa hưởng các quyền của folder nơi đến.
Khi bạn copy một folder hay file giữa các phân vùng NTFS, bản copy của file hay folder đó thừa hưởng các quyền của folder nơi đến.
Khi bạn copy một folder hay file đến các phân vùng không phải NTFS (như là FAT), bản copy của file hay folder đó bị mất các quyền NTFS bởi vì các phân vùng không phải NTFS thì không hổ trợ các quyền này.
Để copy các file và folder trong một phân vùng NTFS hay giữa các phân vùng NTFS, bạn phải có quyền Read cho thư mục nguồn và quyền Write cho thư mục nơi đến.
o Di chuyển các file và folder
Khi bạn di chuyển một file hay folder, quyền có thể thay đổi tùy thuộc vào quyền của folder nơi đến. Di chuyển một file hay folder có một số các tác động sau trên các quyền NTFS :
Khi bạn di chuyển một folder hay file bên trong một phân vùng NTFS, file hay folder giữ nguyên các quyền gốc của nó.
Khi bạn di chuyển một folder hay file giữa các phân vùng NTFS, file hay folder đó thừa hưởng các quyền của folder nơi đến. Khi bạn di chuyển một folder hay file giữa các phân vùng, bạn thực sự copy một folder hay file đến vị trí mới và xoá folder hay file ở vị trí cũ.
Khi bạn di chuyển một folder hay file đến các phân vùng không phải NTFS (như là FAT), file hay folder đó bị mất các quyền NTFS bởi vì các phân vùng không phải NTFS thì không hổ trợ các quyền này.
Để di chuyển các file và folder trong một phân vùng NTFS hay giữa các phân vùng NTFS, bạn phải có quyền Write cả cho thư mục nơi đến và quyền Modify cho thư mục nguồn của folder hay file. Quyền Modify được yêu cầu để di chuyển một folder hay file bởi vì Windows 2003 gỡ bỏ folder
hay file ra khỏi folder nguồn sau khi nó copy folder hay file đó vào folder nơi đến.
IV- Xác định các permission hiệu quả - Determine effective permissions
Windows2003 cung cấp một công cụ cho phép hiển thị các Effective permisstions, đó là các permissions được tích lũy dựa trên group membership. Thông tin được tính toán dựa trên những đối tượng permissions đang tồn tại và được hiển thị ở dạng read-only.
Effective permissions có những đặc điểm sau:
Các quyền tích lũy là sự kết hợp giữa quyền NTFS cao nhất được gán cho user và mọi Group mà user đó là thành viên. Ví dụ: nếu một User là thành viên của 1 nhóm mà có quyền Read và một thành viên của nhóm có quyền Modify thì user đó có quyền Modify.
NTFS file permissions được ưu tiên trên Folder permissions. Ví dụ: Nếu một user có quyền Modify trên một folder nhưng lại chỉ có quyền Read trên một
số files nhất định trong thư mục đó. Effective permissions cho các files đó sẽ là READ.
Explicit Deny permissions override equivalent Allow permissions. Tuy nhiên một explicit Allow permission có thể ghi đè lên một inherited Deny permission. Ví dụ: nếu một user bị Deny trực tiếp quyền Write access trên một thư mục nhưng lại được gán Allow trực tiếp quyền Write access trên một subfolder hoặc một file nào đó
V- Quản lý truy cập tới các shared files bằng cách sử dụng offline caching:
Offline Files là một tính năng quản lý tài liệu quan trọng mà nó cung cấp cho người sử dụng sự nhất quán giữa việc truy cập các files online và offline. Khi người dùng ngắt kết nối ra khỏi mạng, tất cả mọi thứ đã được download về local cache vẫn còn hiệu lực. Người dùng vẫn hoàn toàn có thể làm việc được bình thường ngay cả khi đã bị ngắt kết nối ra khỏi mạng. Các công việc như: soạn thảo, sao chép, xóa bỏ…. vẫn thực hiện được bình thường. Các tệp tin sẽ được lưu trữ (cached) trong thư mục CSC (Client Side Caching) trong thư mục %systemroot%.
Khi kết nối được thiết lập lại, clients sẽ cập nhật lại những thay đổi của phiên bản offline lên phiên bản gốc của các file nằm trên thư mục chia sẻ bằng cơ chế automatically resynchronized.
Sử dụng Offline file có những ưu điểm sau:
Hỗ trợ cho những người dùng thường xuyên di chuyển:
Quá trình đồng bộ được thực hiện tự động sau khi kết nối được thiết lập lại thông qua Synchronization Manager.
Tăng hiệu năng của mạng.
Hỗ trợ tính năng BACKUP.
1- Các Offile Files được đồng bộ như thế nào:
Khi ngắt kết nối ra khỏi mạng:
Các tệp tin sẽ được đồng bộ tại thời điểm logoff. Sau khi logoff người dùng sẽ làm việc với các phiên bản copy được cached tại local.
Khi logon trở lại mạng:
Các tệp tin sẽ được đồng bộ lại tại thời điểm logon. Khi đó người dùng sẽ làm việc với các phiên bản trên mạng
Nếu tệp tin được thay đổi cả ở hai nơi:
Người dùng sẽ phải chọn phiên bản nào của tệp tin sẽ được lưu trữ, hoặc phải đổi tên một file và lưu cả 2 phiên bản.
2- Thực hiện
Thực hiện các bước tương tự như Share thư mục:
Chọn Caching
Thiết lập tùy chọn cấu hình Offline settings
CHƯƠNG III QUẢN LÝ HỆ THỐNG IN ẤN
Với vai trò là người quản trị mạng, bạn cần phải thiết lập một chiến lược về in ấn trên môi trường mạng để phù hợp với các nhu cầu của người sử dụng. Để cài đặt một mạng máy in hữu hiệu, bạn cần biết yêu cầu phần cứng và phần mềm của việc in mạng, cách cài đặt và cấu hình. Microsoft Windows 2003 giúp bạn thực hiện các tác vụ này một cách hữu hiệu hơn bằng cách cung cấp các phương tiện để thực hiện chúng và một giao diện để sử dụng.
Sau bài học này bạn có thể:
Hiểu về mô hình và thuật ngữ được sử dụng trong các tác vụ in ấn của Windows
Chuẩn bị một máy chủ in ấn cho các máy trạm
Kết nối một máy trạm in ấn đến một máy in logic trên máy chủ in ấn
Quản trị hàng đợi in ấn và các đặc tính máy in
Xử lý sự cố các lỗi về máy in
I- Triển khai việc in ấn:
1- In ấn trong môi trường windows server 2003:
Khi bạn thêm vào một máy in được kết nối vào mạng thông qua network adapter, bạn có thể triển khai việc in ấn thông qua các cách sau:
Add máy in trực tiếp trên mỗi máy tính của người dùng mà không cần sử dụng máy chủ in ấn.
Add máy in một lần trên máy chủ in ấn và sau đó kết nối mỗi người dùng tới máy in đó thông qua máy Printe server.
1.1- In không qua máy chủ:
Giả sử chỉ có một số lượng nhỏ các máy tính và một máy in được kết nối trực tiếp vào mạng. Mỗi người dùng trên mạng add máy in đó vào folder: “Printers and Faxes” mà không chia sẻ máy in và tự cài đặt driver cho máy in đó riêng biệt. In ấn không thông qua máy chủ có những nhược điểm sau:
- Người dùng không biết trạng thái thực của máy in.
- Mỗi máy tính sẽ có một hàng đợi in ấn riêng của nó, hàng đợi này chỉ hiển thị được những công việc in được gửi đi từ chính máy tính đó.
- Bạn không thể xác định được liệu lệnh in của bạn có liên quan tới các lệnh in từ những máy tính khác trong mạng.
- Những thông báo lỗi, hết giấy, kẹt giấy…, chỉ xuất hiện trên hàng đợi in ấn cho công việc in hiện tại.
- Mọi tiến trình xử lý cho một tài liệu in ấn được gửi đến chỉ được thực hiện bởi một máy tính đó.
1.2- In có sử dụng máy chủ:
Một máy tính chạy Windows server 2003 đóng vai trò như một print server. Máy tính này sẽ cài đặt máy in và chia sẻ nó cho mọi người. Một máy tính chạy hệ điều hành Windows XP Professional cũng có thể cài đặt thành một print server. Tuy nhiên nó không hỗ trợ cho các máy chạy Macintosh hoặc Netware, và nó bị giới hạn chỉ cho 10 kết nối tới nó trong cùng một mạng LAN. In ấn có sử dụng máy chủ có những ưu điểm sau:
- Máy chủ in ấn sẽ quản lý print driver settings.
- Chỉ có một hàng đợi duy nhất xuất hiện trên tất cả các máy tính đã kết nối với máy in, điều đó cho phép người dùng nhìn thấy yêu cầu in của họ có liên quan đến nhưng yêu cầu từ người dùng khác khi in ấn như thế nào.
- Vì các thông báo lỗi sẽ được gửi tới tất cả các máy tính, nên tất cả mọi người sẽ biết trạng thái thực của máy in.
- Người quản trị có thể xem lại được các log về in ấn, hoặc kiểm toán các sự kiện in ấn.
2. Tìm hiểu về mô hình, thuật ngữ in ấn trong windows server 2003
Trước khi bạn cài đặt việc in trên Windows 2003, bạn nên hiểu rõ các thuật ngữ được sử dụng và các yêu cầu hệ thống đề nghị để cài đặt một print server với một thiết bị in để truy cập mạng. Để đạt được các kết quả tốt nhất, hãy lưu ý các nguyên tắc nhất định trong khi hạch định một môi trường in mạng.
Windows server cung cấp các công cụ mạnh mẽ, bảo mật và mềm dẻo cho các dịch vụ in ấn. Bằng cách sử dụng một máy tính cài đặt Windows Server 2003 để quản lý các máy in, người quản trị mạng có thể tạo nên khả năng sẵn sàng đối với các ứng dụng chạy cục bộ trên máy tính đó hoặc các người dùng trên bất kỳ mô hình nào bao gồm các phiên bản trước của Windows cũng như hệ điều hành Novell Netware, UNIX và Macitosh.
Windows Server 2003 và các phiên bản trước của Windows hỗ trợ hai loại máy in:
- Các máy in được gắn trực tiếp: là các máy in được kết nối tới
một cổng vật lý trên máy chủ in ấn thông thường là cổng USB hoặc cổng song song LPT.
- Các máy in được gắn vào mạng: là các máy in được kết nối trực tiếp đến mạng thay vì kết nối tới một cổng vật lý trên một máy tính. Một máy in mạng chứa (hoặc kết nối tới) một card mạng và hoạt động như một nút trên mạng. Các máy tính sẽ kết nối tới máy in này sử dụng giao thức mạng chuẩn TCP/IP.
IV– Cài đặt và quản trị máy in:
Khi bạn cài đặt và chia sẻ một thiết bị in để sử dụng trên mạng, bạn có thể giúp cho nhiều cùng sử dụng một thiết bị in được nối kết trực tiếp với Print Server. Hay bạn có thể cài đặt một máy in trong một thiết bị in giao diện mạng được nối kết với print Server qua mạng trong các công ty lớn hơn. Phần lớn các máy in đề cập đến các thiết bị in giao diện mạng.
Khi cài đặt một máy in trong Windows 2003, bạn phải xác nhận các máy tính Client được cài đặt một cách chính xác để người sử dụng có thể in các tài liệu của họ trên sang đúng thiết bị in. Các trình điều khiển client thích hợp cần được cài đặt trên print server, để một số máy tính client có thể tải chúng xuống trong suốt tiến trình cài đặt.
1- Cài đặt và dùng chung một máy in dành cho các thiết bị cục bộ
Khi bạn cài đặt một máy in dùng chung, bạn phải kết nối với tư cách là một Administrator trên Print Server. Sau đó bạn có thể thêm và dùng chung một máy in bằng cách sử dụng Add Printer Wizard trong Folder Print System.
Add printer Wizard hướng dẫn bạn thực hiện các bước cài đặt máy in dành cho một thiết bị in được nối kết với Print Server. Số lượng thiết bị in cục bộ mà bạn có thể nối kết với Print Server thông qua các cổng vật lý phục thuôc vào cấu hình phần cứng của bạn.
Để truy cập vào Add Printer Wizard, hãy chọn Start, trỏ đến Settings, rồi sau đó chọn Printers.
Chú ý: Khi cài đặt dùng chung một máy in mạng, Windows 2003 tự động sinh ra máy in mạng trong Active Directory. Người sử dụng có thể tìm máy in này trong Active Directory. Trong trường hợp không có mạng Windos 2003, hoặc nếu Active Directory không được cài đặt, người sử dụng cần tìm máy in dùng chung trên toàn bộ mạng.
2- Cài đặt và dùng chung một máy in dành cho thiết bị in giao diện mạng
Bạn có thể cài đặt một máy in dành cho một thiết bị in giao diện mạng bằng cách sử dụng Add Printer Wizard. Giao thức mạng mặc định dành cho Windows 2003 là Transmission Control Protocol/Internet Protocol (TCP/IP), nhiều thiết bị in giao diện mạng sử dụng giao thức này. Nếu bạn sử dụng TCP/IP, bạn phải cung cấp thông tin, cổng bổ sung trong Add Standard TCP/IP printer Port Wizard.
Sử dụng Add Printer Wizard
Bảng sau mô tả các tùy chọn trên trang select the printer Port của Add Printer wizard để cài đặt bổ sung một thiết bị in giao diện mạng.
Option Giải thích
Create a new port
Khởi động tiến trình tạo một cổng mới dành cho Print Server mà thiết bị in giao diện mạng được nối kết với nó. Trong trường hợp này cổng mới chỉ đến nối kết mạng của thiết bị in.
Type Xác định giao thức mạng cần sử dụng cho nối kết. Giao thức mặc định dành cho Windows 2003 là TCP/IP.
Sử dụng Add Standar TCP/IP Printer Port Wizard
Windows 2003 hiển thị Add Standard TCP/IP Printer Port Wizard, nếu bạn chọn để bổ sung một cổng TCP/IP chuẩn. Bảng sau đây mô tả các tuỳ chọn trong Wizard mà bạn cấu hình khi bạn chọn TCP/IP làm loại cổng.
Option Giải thích
Printer Name or IP Address
Án định vị trí mạng của thiết bị in. Cung cấp địa chỉ TCP/IP hoặc tên DNS cung cấp thiết bị in giao diện mạng. Bạn có thể lấy một địa chỉ IP từ người quản lý TCP/IP của mình.
Port Name Khi bạn cung cấp một địa chỉ TCP/IP, Windows 2003 tự động cung cấp một tên cổng đề nghị cho thiết bị in ở dạng IP Address (trong đó IP Address là tên cổng đề nghị cho thiết bị in). Bạn có tể ghi đè tên đề nghị và nhập vào một tên cổng khác .
III- Cấu hình một máy in chia sẻ trên mạng
Sau khi bạn cài đặt và chia sẻ một máy in để sử dụng trên mạng, các nhu cầu in của người sử dụng và công ty có thể thay đổi và đòi hỏi bạn phải cấu hình các xác lập máy in để các nguồn tài nguyên in của bạn đáp ứng tốt hơn các nhu cầu này.
1- Chia sẻ một máy in hiện có
Nếu khối lượng tăng lên tên các máy in dùng chung và mạng của bạn có một thiết bị in bổ sung, bạn có tể chia sẻ nó và giảm tải in trên mổi thiết bị in.
Khi bạn chia sẻ một máy in trên Server:
o Bạn phải gán được một tên chia sẻ cho máy in, vốn xuất hiện trong My Network Places. Hãy sử dụng một tên dể hiểu để trợ giúp người sử dụng khi họ đang trình duyệt để tìm một máy in.
o Bạn có thể chọn xuất bản máy in trong Active Directory nếu bạn là thành viên của mạng Active Directory để người sử dụng có thể tìm máy in. Việc xuất bản máy in trong Active Directory cho phép người sử dụng tìm máy in nhanh hơn.
o Bạn có thể bổ sung các trình điều khiển máy in dành cho các máy tính Client đang chạy nhiều hệ điều hành khác.
Tip: Khi bạn chia sẻ một máy in hiện có, hay bổ sung các trình điều khiển máy in dành cho các máy tính client đang chạy các hệ điều hành khác nhau, trên các
nền phần cứng khác nhau. Sau đó máy tính Client này có tể tải xuống trình điều khiển máy in khi chúng kết nối.
Để truy cập vào nhãn Sharing, hãy chọn phải vào biểu tượng dành cho máy in mà bạn muốn chia sẻ trong Folder Printer, và sau đó chọn Sharing.
Sau khi bạn đã chia sẻ máy in, Windows 2003 thay đổi biểu tượng máy in để hiển thị một biểu tượng bàn tay ở phía dưới, cho biết máy in được chia sẻ.
2- Cài đặt một vùng máy in
Một vùng máy in gồm có một máy in được kết nối với nhiều thiết bị in thông qua nhiều cổng trên một Print Server. Các thiết bị in có thể là các thiết bị in cục bộ hay các thiết bị in giao diện mạng. Các thiết bị in không cần phải giống nhau, nhưng phải sử dụng cùng một trình điều khiển máy in.
Các đặc điểm của vùng máy in
Khi bạn tạo môt vùng máy in, người sử dụng có thể in tài liệu mà không phải xác định thiết bị in nào đang có sẵn bởi vì máy in kiểm tra một cổng có sẵn.
Một vùng máy in có các ưu điểm sau:
o Trong một mạng có số lượng in cao, nó sẻ giảm bớt thời gian chờ đợi của các tài liệu trên printer Server.
o Nó đơn giản hoá quản lý bởi vì bạn có thể quản lý nhiều thiết bị in từ một máy in mà thôi.
Tip: Khi bạn cài đặt các thiết bị in cho một vùng in, hãy đặt các thiết bị in trong cùng một vùng vật lý để người sử dụng dễ dàng xác định tài liệu sử dụng của họ.
Tạo một vùng máy in
Trước khi tảo một vùng máy in , hãy bảo đảm là bạn đã nối kết các thiết bị in
với Print Server
Để tạo một vùng máy in, hãy thực hiện các bước sau đây:
1. Mở hộp thoại Properties dành cho máy in.
2. Trên nhãn Ports hãy chọn hộp kiểm Enable Printer Pooling.
3. Chọn hộp kiểm dành cho mỗi cổng mà một thiết bị in sẽ được nối kết với nó, và sau đó chọn OK.
3- Xác lập các thứ tự ưu tiên trên máy in
Hãy xác lập các thứ tự ưu tiên giữa các máy in để ưu tiên các tài liệu được in ra cùng một thiết bị in. Để thực hiện được việc này hãy tạo nhiều máy in cùng chỉ đến một thiết bị in, có thứ tự ưu tiên cao và các tài liệu không quan trọng đến một máy in có thứ tự ưu tiên thấp hơn. Các tài liệu được gửi đến máy in có thứ tự ưu tiên cao sẻ được in trước.
Các thứ tự ưu tiên giữa các máy in
Để xác lập độ ưu tiên giữa các máy in, hãy thực hiện các bước sau đây:
1. Chỉ hai hay nhiều máy in vào cùng một thiết bị in (cùng cổng). Cổng có thể là một cổng vật lý trên Print Server, hay một cổng địa chỉ đến một thiết bị in giao diện mạng.
2. Xác lập một thứ tự ưu tiên khác trong máy in được nối kết với thiết bị in, và sau đó nhờ các nhóm người sử dụng khác nhau in ra cả máy in khác nhau, bạn cũng có thể nhờ người sử dụng gửi các tài liệu có độ ưu tiên cao đến máy in có thứ tự ưu tiên cao và các tài liêu có thứ tự ưu tiên thấp đến các máy in có thứ tự ưu tiên thấp.
Lưu ý: Trong hình minh hoạ trên User1 gởi các tài liêu đến máy in có thứ tự ưu tiên thấp nhất là 1, trong khi User 2 gửi các tài liệu đến một máy in có thứ tự ưu tiên cao nhất là 99 trong ví dụ này các tài liệu của User 2 sẽ in trước các tài liệu của User 1.
Để xác lập một thứ tự ưu tiên cho một máy in
Để xác lập thứ tự ưu tiên cho một máy in, thực hiện các bước sau:
1. Mở hộp thoại Properties dành cho máy in
2. Trên nhãn Advanced, hãy thay đổ thứ tự ưu tiên trong hộp thoại Priority, và sau đó chọn OK.
4- Gán quyền cho phép truy cập máy in
Có ba mức độ cho phép máy in: Print, Manage Documents, Manage Printer.
Các quyền cho phép máy in
Bảng sau đây liệt kê các tính năng của các cấp độ cho phép kác nhau
Capabilities of print permissions
Print permission
Manage Documents permission
Manage Printer permission
Print documents (in các tài liệu) X X X
Pause, resume, restart, and cancel the user's own document
(Tạm ngưng, bắt đầu lại, và huỷ
X X X
tài liệu riêng của người sử dụng )
Connect to a printer
(Nối kết với một máy in)
X X X
Control job settings for all documents (Điều khiển các xác lập in dành cho các tài liệu)
X X
Pause, restart, and delete all documents (Tạm ngưng bắt đầu lại và xoá tất cả các tài liệu )
X X
Share a printer
(Chia sẻ các máy in)
X
Change printer properties
(Thay đổi các đặc tính máy in)
X
Delete printers
(Xoá các máy in)
X
Change printer permissions
(Thay đổi các cấp độ cho phép máy in)
X
Theo mặc định, những người quản lý trên một Server, những người điều hành in, và những người điều hành Server trên một Domain Controller sẽ có cấp độ cho phép Manager Printer. Nhóm Everyone có cấp độ cho phép là Print, và người sở hữu tài liệu có cấp độ cho phép là Manage Document.
Gán quyền cho phép máy in
Để bổ sung một User hay Group và gán các cấp độ cho phép in, hãy thực hiện các bước sau đây:
1. Trong Folder Printers, hãy chọn phải vào biểu tượng dành cho máy in mà bạn muốn thay đổi các cấp độ cho phép của nó, và sau đó chọn Properties
2. Trên nhãn Security, trong hộp thoại Properties dành cho máy in, hãy chọn Everyone Group, và sau đó chọn Remove.
3. Chọn Add, chọn các user group thích hợp, chọn Add và sau đó chọn OK.
4. Trên nhãn Security hãy chọn cấp độ cho phép mà bạn muốn dành cho User hay Group, sau đó chọn OK.
IV- Cài đặt kết nối các máy trạm tới một máy chủ in ấn:
Khi đã cài đặt một máy in và chia sẻ nó thì các máy trạm có thể kết nối tới máy in này thông qua môi trường mạng. Bạn có thể kết nối theo các cách sau:
Sử dụng trình Add Printer:
Tiến trình cài đặt một máy in mạng bằng cách sử dụng Add Printer cũng tương tự như việc cài đặt trên một máy chủ in ấn. Chỉ khác đôi chút là khi cài đặt trên máy chủ trong trang Local or Netword Printer, bạn lựa chọn là A network printer hoặc A printer attached to another Computer thì bây giờ trên máy trạm bạn phải xác định máy in muốn sử dụng trong trang Specify Printer
Các phương pháp liệt kê dưới đây sẽ giúp bạn xác định một máy in:
o Find A Printer in The Directory (Tìm kiếm một máy in trong dịch vụ thư mục): Nếu máy trạm đã join trong một domain Active Directory bạn sẽ thấy mục chọn này. Với lựa chọn này, trình hướng dẫn sẽ hiển thị hộp thoại Find Printers giúp bạn tìm kiếm các máy in theo tên, vị trí hoặc các đặt tính khác mà bạn xác định khi tạo các máy in.
o Browes For A Printer: Nếu máy trạm là thành viên của một nhóm làm việc (WORKGROUP), trang Printer sẽ hiển thị lựa chọn này đầu tiên. Nếu
chọn mục này, trình hướng dẫn sẽ hiển thị trang Browse For a Printer cho phép bạn duyệt các máy tính xác định trong các domain hoặc các nhóm làm việc và lựa chọn các máy in chia sẻ được cài đặt trên mỗi máy tính.
o Connect To This Printer: Chọn lựa chọn này cho phép bạn xác định tên của một máy in chia sẻ trên mạng bằng cách sử dụng đường dẫn UNC (Universal Naming Convention – Quy ước đặt tên tổng hợp) như \\tenmaychu\\tenmayinchiase. sau đó chọn Next.
o Connect to a Printer on the Internet or on a Home or a Office: Chọn lựa chọn này cho phép bạn xác định tên của một máy in chia sẻ trên mạng hoặc Internet bằng cách sử dụng một URL (Uniform Resouce Locator – quy ước đặt tên chuẩn hướng tới một trạm Internet hoặc mạng nội bộ).
Khi đã xác định chính xác máy in cần cài đặt, trình hướng dẫn sẽ cài đặt trình điều khiển tương ứng (giả thiết rằng trình điều kiển này đã sẵn có trên máy chủ hoặc máy trạm) và tạo ra một máy in logic trong cửa sổ Printers And Faxes.
Sử dụng trình duyệt Windows Explorer.
Bạn có thể cài đặt một máy in chia sẻ cho một máy trạm đơn giản bằng cách duyệt trong My Network Places thông qua Windows Explorer. Khi bạn mở rộng một biểu tượng máy tính trong My Network Places, Windows Server 2003 sẽ hiển thị một danh sách các chia sẻ trên máy tính đó.
V- Giám sát các máy in
Khi đã tạo, cấu hình và chia sẻ máy in cục bộ trên máy chủ in ấn cũng như các máy trạm trên mạng đã kết nối tới các máy in này thì bạn phải xem xét đến các công việc quản
trị chúng trong suốt quá trình in ấn. Các phần dưới đây mô tả các công cụ khác nhau được Windows Server 2003 cung cấp giúp bạn giám sát tiến trình in ấn trên mạng khi cần thiết.
Giám sát các hàng đợi in:
Kích đúp chuột vào biểu tượng máy in trong màn hình Printers And Faxes sẽ mở ra một cửa số khác có tiêu đề là tên của máy in. Đây là cửa số hàng đợi in, nó liệt kê tất cả các tác vụ hiện nay đang đợi để gửi tới máy in vật lý. Tùy thuộc vào Permissions của user được cấp trên máy in, người dùng có thể can thiệp vào hàng đợi máy in và các tác vụ in ấn theo nhiều cách khác nhau ở các mức khác nhau bằng cách sử dụng menu trên cửa sổ. Các công việc chung mà người sử dụng và người quản trị thực hiện gồm: dừng, khôi phục, loại bỏ các tác vụ cụ thể trong hàng đợi, sắp xếp lại thứ tự cho các tác vụ, dừng và khôi phục hàng đợi xác định.
Định hướng lại các tác vụ in ấn:
Nếu một máy in gặp trục trặc, bạn có thể gửi tài liệu trong hàng đợi trên máy in đó đến một máy in khác được kết nối tới một cổng cục bộ trên máy tính hoặc được gắn vào mạng. Động tác này gọi là định hướng lại tác vụ in ấn. Định hướng lại cho phép người dùng sử dụng tiếp tục gửi các tác vụ tới một máy in logic cùng loại và tránh cho người sử dụng phải thực hiện lại các tác vụ in.
Để định hướng lại một máy in, đơn giản bạn có thể thay đổi cổng mà ở đó máy in logic đang gửi tác vụ tới. Bạn thực hiện điều này bằng cách mở hộp thoại Properties của máy in, lựa chọn tab Ports và chọn một cổng khác hay thêm vào một cổng mới. Hộp kiểm tra chứa cổng kết nối tới máy in bị lỗi ngay lập tức bị xóa đi trừ khi tổ hợp máy in được lựa chọn. Trong trường hợp này, bạn phải xóa bằng tay hộp kiểm tra này. Do các tác vụ trong hàng đợi đã được máy in logic sẵn sàng cho việc in, mà bạn muốn định hướng lại phải tương thích với trình điều kiển được máy in logic sử dụng. Tất cả các tác vụ in ấn được định hướng lại tới cổng mới (tuy nhiên bạn không thể định hướng lại các tài liệu riêng rẽ, và bất kỳ tài liệu hiện đang in thì cũng không thể định hướng lại.)
Trong hầu hết các trường hợp, việc định hướng lại các tác vụ in ấn rất hữu ích khi bạn sử dụng các máy in mạng được truy cập thông qua các cổng TCP/IP. Khi một máy in bị trục trặc, bạn có thể thay đổi cổng trong máy in logic của nó tới địa chỉ IP của máy
in vật lý khác trên mạng. Máy in vật lý này phục vụ hai máy in logic cho đến khi bạn xác định được lỗi trên máy in và thay đổi thiết lập cổng trở lại giá trị cũ.
Sử dụng màn hình quản trị hiệu năng: (Performance)
Bạn có thể truy cập vào màn hình quản trị Performance từ Administrative Tools. Màn hình này chứa hai snap-in System Monitor và Performance Logs And Alerts cho phép bạn giám sát hiệu năng của các máy in theo thời gian thực, sử dụng các file nhật ký cho việc phân tích sau này hoặc thiết lập các mức cảnh báo và các hoạt động.
Để cấu hình System Monitor hoặc Performance Logs And Alerts nhằm giám sát các hoạt động in ấn trên mạng, thông thường bạn lựa chọn đối tượng đo hiệu năng Print Queue (hàng đợi máy in) trong hộp thoại Add Counters (thêm biến đếm) như hình vẽ dưới.
Đối tượng này cung cấp một hình ảnh hiệu năng về mỗi báy in được cài đặt trên máy tính và một số biến đếm hiệu năng giúp bạn giám sát tiến trình in ấn, bao gồm:
o Bytes Printed/Sec (số lượng byte được in trong 1s) xác định số lượng dữ liệu thô tính theo byte được gửi tới máy in trong 1s. Giá trị của biến đếm này càng thấp đồng nghĩa với việc máy in này hoạt động không đúng mức hoặc do máy in không có tác vụ in, do hàng đợi chưa được tải hoặc do máy chủ quá bận. Giá trị này thay đổi tùy theo chủng loại máy in. Tham khảo tài liệu máy in để biết được giá trị mà máy in có thể chấp nhận được.
o Job Erros (Các lỗi tác vụ in) xác định số lượng các lỗi tác vụ in ấn xảy ra khi bộ đệm khởi tạo lần cuối cùng. Các lỗi tác vụ in thông thường gây ra bởi cấu hình cổng không chính xác; kiểm tra cấu hình cổng về các thiết lập không hợp lệ. Một lỗi tác vụ in sẽ làm tăng giá trị biến đếm này chỉ một lần duy nhất thậm chí lỗi đó có thể xảy ra nhiều lần.
o Jobs (các tác vụ) xác định số lượng các tác vụ trong hàng đợi. Một giá trị của biến đếm này cao hoặc tăng cố định đồng nghĩa với việc máy in hoạt động không bình thường hoặc các tác vụ không được thực hiện một các chính xác.
o Not Ready Errors (các lỗi không sẵn sàng) xác định số lượng các lỗi do máy in không săn sàng xảy ra kể từ khi bộ đệm được khởi tạo.
o Out of Paper Errors (các lỗi về tình trạng hết giấy) xác định số lượng các lỗi xảy ra do tình trạng hết giấy xuất hiện kể từ khi bộ đệm được khởi tạo.
o Total Jobs Printed (tổng số các tác vụ được in) xác định số lượng các công việc in được gửi tới máy in kể từ khi bộ đệm được khởi tạo.
o Total Pages Printed (tổng số các trang được in) xác định số lượng các trang tài liệu được in kể từ khi bộ đệm được khởi tạo. Biến đếm này cung cấp bộ con số xấp xỉ gần đúng dung lượng của máy in, mặc dù nó có không thật chính xác do tùy thuộc vào loại tác vụ và các đặc tính của các tác vụ đó.
Chú ý: Sử dụng các biến đếm hiệu năng. Một số biến đếm hàng đợi máy in phù hợp với tiến trình ghi lại nhật ký hiệu năng như chúng ta có thể lưu lại khối lượng hoạt động của máy in chẳng hạn. Nhưng một số biến khác lại phù hợp với các cảnh báo, bạn có thể cấu hình cho hệ thống thông báo cho người quản trị mạng khi có lỗi xảy ra.
Sử dụng Event Viewer:
Bạn có thể sử dụng các file nhật ký hệ thống (System Log) trong Event Viewer để kiểm tra hoạt động của máy in và bộ đệm trên máy in. Mặc định, bộ đệm đăng ký các sự kiện liên quan tới việc tạo, xóa và thay đổi máy in. File nhật ký cũng chứa các sự kiện về lưu lượng máy in, không gian đĩa cứng, các lỗi bộ đệm và các vấn đề bảo dưỡng.
Để điều khiển hoặc thay đổi các sự kiện về bộ đệm được ghi lại, mở thư mục Printers And Faxes và lựa chọn Server Properties từ menu File. Lựa chọn tab Advanced để
truy cập các đặt tính như hình vẽ. Trong tab này, bạn có thể điều khiển các sự kiện nào được ghi lại và các thông báo tác vụ in ấn. Tab này cũng cho phép bạn thực hiện một công việc rất quan trọng đó là di chuyển thư mục bộ đệm khi bạn cấu hình một máy chủ in ấn hoạt động hoặc khi không gian đĩa cứng chứa thư mục bộ đệm trên một máy in sẵn có bị đầy.
Kiểm định truy cập máy in:
Bạn có thể kiểm định việc truy cập đến một máy in tương tự như kiểm định trên thư mục và file. Bạn có thể thực hiện kiểm định đối với một nhóm hoặc người sử dụng xác định với một hoạt động cụ thể trên một máy in. Sau khi thiết lập chính sách kiểm định truy cập, bạn có thể xem kết quả trong phần Security của màn hình quản trị file nhật ký Event Viewer.
Để cấu hình kiểm định cho một máy in, mở hộp thoại Properties của nó, lựa chọn thẻ Security rồi nhấp vào Advanced. Trong hộp thoại Advanced Security Settings, lựa chọn thẻ Auditing và thêm các chỉ mục cho các nhóm và người sử dụng xác định. Với mỗi đối tượng bảo mật và bạn đưa vào danh sách kiểm định, bạn có thể cấu hình kiểm định các sự kiện thành công hoặc thất bại dựa trên các Cấp phép máy in chuẩn bao gồm Print, Manage Documents và Manage Printers.
Kế tiếp bạn phải cho phép chính sách Audit Object Access (kiểm định việc truy cập đối tượng) đặt trên màn hình quản trị Group Policy Object Editor hoặc Local Security Policy trong Computer Configuration\Windows Settings\Security Settings\
Local Policies\ Audit Policy. Sau khi chính sách đã có hiệu lực, bạn có thể kiểm tra các file nhật ký trong phần Security để xem và phân tích các chỉ mục.
Lời khuyên: Khi nào thì thực hiện kiểm định vấn đề in ấn:
Kiểm định máy in tạo ra hàng tá các mục vào đối với một tác vụ in, vì vậy nó chỉ phù hợp khi bạn đang xử lý sự cố. Không nên sử dụng cơ chế kiểm định nhằm giám sát mức độ sử dụng hoặc làm hóa đơn tính tiền. Thay vào đó, bạn nên sử dụng các biến đếm như Total Jobs Printed hoặc Total Pages Printed.
VI- Xử lý sự cố máy in.
Xử lý sự cố là một trong các công việc quan trọng trong quá trình quản trị máy in. Phần này giúp bạn hiểu và xác định các lỗi có thể xảy ra trong quá trình in ấn trên Windows Server 2003. Bạn cần lưu ý quá trình xử lý sự cố in ấn gồm nhiều thành phần gồm có:
o Ứng dụng đang thực hiện in ấn
o Máy in logic trên máy tính có ứng dụng đang chạy
o Kết nối mạng giữa máy trạm và máy in logic chia sẻ trên máy chủ
o Máy in logic trên máy chủ: bộ đệm, các trình điều khiển, các thiết lập bảo mật và các thành phần khác.
o Kết nối giữa máy chủ in ấn và máy in.
o Bản thân máy in vật lý: phần cứng, cấu hình và các trạng thái.
Một phương pháp hiệu quả để giải quyết hầu hết các lỗi trong in ấn là xử lý sự cố theo từng phần riêng biệt một các logic và có phương pháp.
Xác định phạm vi lỗi:
Nếu một người sử dụng không thể thực hiện một tác vụ in ấn từ một ứng dụng trên máy tính của người đó nhưng vẫn có thể thực hiện được từ các ứng dụng khác cũng trên máy tính đó thì lỗi này dường như xuất phát từ ứng dụng chứ không phải từ máy tính, mạng hay máy chủ in ấn hoặc phần cứng máy in. Tuy nhiên, trong một số trường hợp sử dụng một trình điều khiển khác hoặc loại dữ liệu khác có thể giải quyết được các lỗi in ấn của ứng dụng.
Nếu có một người dùng không thể in từ bất kỳ ứng dụng nào, bạn cần xác định xem anh ta có thể in ra các máy in khác trên cùng máy chủ in ấn đó không hay trên máy chủ in ấn khác. Nếu tất cả các khả năng này vẫn không thực hiện được và những người dùng khác vẫn có thể in trên các máy in trên mạng thì lỗi có thể xảy ra nằm ở máy trạm của người dùng đó.
Nếu máy in được kết nối mạng, cố gắng tạo ra một máy in cục bộ trên hệ thống đang có lỗi trỏ trực tiếp tới cổng máy in này. Tức là bỏ qua vai trò quản lý của máy chủ in ấn. Nếu việc in ấn thành công có nghĩa là lỗi ở trên máy chủ hoặc kết nối giữa máy chủ và máy trạm có vấn đề.
Kiểm tra xem máy trạm in ấn có thể kết nối tới máy chủ
Bạn có thể kiểm tra lại kết nối giữa máy in client và máy chủ in ấn bằng cách mở cửa sổ hàng đợi từ mục Pinters And Faxes trên máy trạm. Nếu cửa sổ này mở và hiển thị bất kỳ tài liệu nào trên hàng đợi có nghĩa là máy trạm kết nối thành công với máy chủ. Nếu có lỗi xảy ra có nghĩa rằng mạng có vấn đề hoặc có lỗi về việc xác thực hoặc cấp phép. Nếu trường hợp này xảy ra bạn có thể sử dụng công cụ Ping để kiểm tra kết nối tới địa chỉ IP của máy chủ hoặc chọn Start, chọn Run và gõ \\<máy chủ in ấn>. Nếu ping thành công hoặc một cửa sổ mở ra hiển thị thư mục Printers And Faxes và bất kỳ thư mục chia sẻ nào tức là máy trạm đã kết nối tới máy chủ. Trong trường hợp này bạn nên kiểm tra các cấp phép bảo mật trên máy in logic.
Xác nhận máy in đang hoạt động
Kiểm tra chính máy in và đảm bảo rằng nó ở trạng thái sẵn sàng. Kiểm tra các vấn đề như mục in bị hết, kẹt giấy và các lỗi khác sau đó in một trang kiểm tra từ màn hình quản trị máy in. Kiểm tra cáp kết nối giữa máy in và máy chủ hoặc kiểm tra mạng. Nếu máy in được gắn với mạng, bạn cần chắc chắn rằng đèn trên card mạng sáng, dùng lệnh ping để kiểm tra kết nối.
Xác nhận rằng bạn có thể truy cập tới máy in từ máy chủ.
Một số máy in có thể hiển thị địa chỉ IP của chúng trên màn hình quản trị máy in hoặc bạn có thể in ra một trang thông tin trạng thái cấu hình của máy in. Xác nhận rằng địa chỉ IP của máy in giống với địa chỉ IP của cổng máy in logic. Địa chỉ IP của cổng có thể kiểm tra trên tab Port trong hộp thoại Properties của máy in. Đảm bảo rằng bạn có thể kết nối với máy in qua mạng bằng cách ping địa chỉ IP của máy in.
Xác nhận rằng các dịch vụ trên máy chủ hoạt động:
Sử dụng bản điều kiển Services để kiểm tra các dịch vụ dưới đây liên quan đến in ấn đang hoạt động tốt:
o Print Spooler: Quản lý các hàng đợi in ấn cục bộ và trên mạng. Nếu dịch vụ này không hoạt động thì việc in ấn không thể thực hiện được.
o Remote Procedure Call (RPC): là một dịch vụ cần thiết cho các kết nối mạng chuẩn tới các máy in chi sẻ.
Bạn cũng có thể kiểm tra dung lượng thư mục mà bộ đệm được lưu trữ trên đó để đảm bảo rằng không gian đĩa cứng còn đủ cho việc lưu đệm. Vị trí của thư mục bộ đệm có thể thay đổi được trong hộp thoại Server Properties (bạn có thể truy cập vào hộp thoại này từ menu File của thư mục Printers And Faxes.Mặc định, bộ đệm của các tác vụ in ấn được lưu trữ tại thư mục <Systemroot>\system32\spool\printers. Với một máy chủ có mật độ in cao, bạn nên cân nhắc di chuyển thư mục này tới một phân vùng khác chứ không nên để trên phân vùng hệ thống hoặc khởi động. Nếu phân vùng chứa thư mục bộ đệm đầy thì quá trình in ấn sẽ ngừng và nghiêm trọng hơn hệ điều hành có thể bị ảnh hưởng.
Bạn cũng có thể tìm kiếm các file nhật ký trong phần System để xem bộ đệm có đưa ra bất kỳ thông báo lỗi nào không và trong thư mục Printers And Faxes đảm bảo rằng máy in của bạn không ở chế độ không kết nối.
Cố gắng thực hiện một tác vụ in ấn từ một ứng dụng trên máy chủ. Nếu bạn có thể in từ máy chủ có nghĩa rằng lỗi không phải do máy in. Nếu bạn không thể thực hiện điều này, tạo một máy in logic trỏ trực tiếp tới cùng cổng và cố gắng thực hiện trên máy in mới này. Nếu thực hiện thành công tức là có vấn đề với cấu hình của máy in logic đầu tiên. Nếu thực hiện không thành công có nghĩa là có vấn đề trong việc kết nối với máy in hoặc chính bản thân phần cứng của máy in có vấn đề.
CHƯƠNG 4: SAO CHÉP DỰ PHÒNG SỐ LIỆU
TỔNG QUAN
Bài học này sẽ cung cấp cho bạn những kiến thức và kỹ năng trong việc xử lý tình huống khi có thảm hoạ sảy ra. Mircrosoft Windows Server 2003 cung cấp một số tính năng để hỗ trợ việc chống mất mát dữ liệu. Ngoài ra nó cũng cung cấp những công cụ cho phép bạn khôi phục lại hệ thống khi sảy ra mất mát dữ liệu. Hiểu rõ được các tính năng này sẽ giúp ích cho bạn rất nhiều trong việc phát triển và triển khai một các hiệu quả kế hoạch bảo vệ và khôi phục dữ liệu.
Sau bài học này bạn có thể:
Chuẩn bị cho việc khôi phục sau thảm hoạ
Sao chép dự phòng.
Lập lịch định kỳ cho việc sao chép dự phòng
Phục hồi dữ liệu.
Cấu hình một shadow copy
Khôi phục trong trường hợp server bị lỗi.
I- Chuẩn bị cho việc khôi phục sau thảm hoạ.
1- Khôi phục sau thảm hoạ là gì ?
Thảm hoạ đối với máy tính là sự mất mát dữ liệu một cách bất ngờ. Nếu toàn bộ công việc của cơ quan bạn phụ thuộc vào dữ liệu trên máy tính, thì cơ quan của bạn phải đặc biệt chú trọng vào việc bảo vệ dữ liệu khỏi những nguy cơ bị mất mát dữ liệu hoặc server bị lỗi.
Khôi phục sau thảm hoạ là một tiến trình mà nó cho phép mọi hoạt động nghiệp
vụ trở lại bình thường như trước cành nhanh càng tốt sau khi thảm hoạ sảy ra. Khôi phục sau thảm hoạ là tìm kiếm khôi phục dữ liệu và dịch vụ như trạng thái ban đầu trước khi thảm hoạ sảy ra.
Một số vấn đề cần xem xét cho việc khôi phục sau thảm hoạ:
Kế hoạch khôi phục
Có những tình huống lỗi nào có thể sảy ra ?
Những dữ liệu nào là quan trọng?
Bạn sẽ phải thực hiện sao lưu bao lâu 1 lần ?
Dữ liệu backups sẽ được lưu lại trong thời gian bao lâu ?
Dữ liệu có thể khôi phục lại từ bản backup trong thời gian nhanh nhất là bao lâu, để tránh được thời gian chết của hệ thống ở mức không chấp nhận được ?
Bạn sẽ lưu trữ các bản backup ở đâu để cho phép những người được giao nhiệm vụ truy cập?
Nếu có vấn đề gì sảy ra với người quản trị hệ thống, liệu có ai có thể biết các mật khẩu và trình tự thực hiện để khôi phục lại hệ thống ?
Phần cứng Có bao nhiêu loại thiết bị phần cứng liên quan đến các máy tính, server; những loại đó là gì, cấu hình của mỗi loại ra sao?
Các thiết bị khác trong mạng của bạn có những loại gì ? Ví dụ số routers, bridges, switch, sơ đồ kết nối…
Những thiết bị nào là quan trọng, khả năng thay thế của chúng ra sao?
Quá trình khôi phục dữ liệu
Bạn sẽ sao lưu ra thiết bị gì?
Khi thực hiện sao lưu thì toàn bộ hệ thống vẫn đang chạy hoặc sao lưu offline?
Bạn sẽ thực hiện sao lưu thủ công hay đặt lịch ?
Bản sao lưu được lưu lại trong thời gian bao lâu?
Bao lâu một lần những dữ liệu quan trọng được updates?
Kiểm tra Bạn sẽ làm thế nào để kiểm tra quá trình sao lưu tự động?
Bạn sẽ làm thế nào để chắc chắn rằng dữ liệu đã sao lưu ra là khôi phục được?
2- Một số nguyên tắc cho việc chuẩn bị khôi phục
Xây dựng một chiến lược backup
Kiểm tra chiến lược backup của bạn và truy cập vào kết quả backup đó
Kiểm tra bao gồm cả các backup luân phiên được lưu tại các nơi khác.
Backup dữ liệu System State
Cài đặt Recovery Console như một tuỳ chọn khởi động
Lưu các đĩa CD cài đặt.
3- Sao lưu dự phòng:
Sao lưu dự phòng:
Backup là quá trình copy files và folder từ một vị trí này đến một vị trí khác. Thông thường việc backup dữ liệu trên server hoặc từ các ổ đĩa cứng của máy trạm để đề phòng các trường hợp sảy ra khi lỗi mạng, hỏng ổ cứng, nhiễm virus… Khi bị mất dữ liệu bạn có thể khôi phục lại được dữ liệu từ các bản backup.
Ai là người có thể Backup dữ liệu?
Để sao chép dự phòng và phục hồi dữ liệu thành công trên một máy tính đang chạy Windows 2003, bạn phải có quyền sử dụng và mức độ cho phép, như mô tả trong danh sách sau đây:
Tất cả người dùng đều có thể sao chép dự phòng các file hoặc thư mục của họ. Họ cũng có thể cho phép dự phòng các File mà họ đã có mức cho phép là READ.
Tất cả người dùng đều có thể phục hồi các file và các Folder mà họ có mức cho phép là WRITE
Tất cả các thành viên của nhóm Administrators, Backup Operators và nhóm Server Operators đều có thể sao chép dự phòng và phục hồi tất cả các file(Bất kỳ mức độ cho phép) Theo mặc định các thành viên của các nhóm này đều có các quyền người dùng Backup Files and Directory và restore Files and Directories
Các kiểu sao chép dự phòng
Backup bao gồm năm kiểu sau:
Type Backs up
Normal Tất cả các file và Folder được chọn, nó xoá các Marker nhưng không tìm kiếm Marker. Normal Backups tăng tốc độ qui trình phục hồi bởI vì các file backups tăng tốc độ của qui trình. Phục hồi bởi vì các file backup là các file hiện hành nhất và bạn không cần phảI phục hồi nhiều nội dung backup.
Copy Tất cả các file và Folder được chọn. Nó không tìm kiếm cũng như không xoá các Marker. Nếu bạn không muốn xoá các Marker và gây tác động lên các kiểu marker khác, hãy sử dụng Copy. Ví dụ hãy sử dụng Copy backup giữa một Normal và một Incremental backup để tạo Snapshot của dữ liệu mạng.
Differential Chỉ các file và Folder được chọn mới có một marker. Nó không xoá các Marker, bởi vì Differrential backup không xoá các marker, Cho nên nếu bạn không thực hiện công việc trên hai Differential backup trong một hàng nằm trên một file, và không có giá trị thay đổi trong file đó, thì toàn
bộ file sẽ được sao chép dự phòng.
Incremental Chỉ các file và Folder được chọn mới có được một Marker nó xoá bỏ các Marker bởi vì một Incremental Backup sẽ xoá các marker. Cho nên nếu không thực hiện hai Incremental backup trong một hàng trong một file và không gì thay đổi trên file đó thì file này sẽ không backup được lần thứ hai.
Daily Tất cả các file và Folder được chọn điều được thay đổI trong ngày, nó không tìm kiếm cũng như không xoá bỏ Marker. Nếu bạn muốn backup tất cả các file và Folder đã bị thay đổI, hãy sử dụng Daily Backup.
Các ví dụ về Lịch trình backup
Ví dụ 1 Normal và Differential backup
Vào ngày thứ hai, một Normal backup được thực hiện và ngày thứ ba cho đến thứ sáu thì các Differential backup được thực hiện.
Differential backup không xoá marker điều đó có nghĩa rằng, mỗi một backup có chứa tất cả các thay đổi kể từ ngày thứ hai. Nếu dữ liệu bị gián đoạn vào ngày thứ bảy thì bạn chỉ cần phục hồi Normal Backup từ ngày thứ hai và Differential backup từ ngày thứ năm. Với chiến lược này thì việc sao chép dự phòng dự liệu mất nhiều thời gian hơn là việc phục hồi nó.
Ví dụ 2 Normal và Incremental
Vào ngày thứ hai, một Normal backup được thực hiện và ngày thứ ba cho đến thứ sáu thì các Incremental backup được thực hiện.
Incremental backup xoá marker điều đó có nghĩa rằng, mỗi một backup có chứa các file vốn đã bị thay đổi kể từ lần backup trước đó. Nếu dữ liệu bị gián đoạn vào ngày thứ 6, thì bạn cần phục hồi Normal Backup từ ngày thứ hai và tất cả Incremental backup từ thứ ba cho đến thứ 6. Bằng cách sử dụng chiến lược việc này sao chép dự phòng dữ liệu sẽ ít mất thời gian hơn là việc phục hồi nó.
Ví dụ 3 Normal Differential và Copy Backup.
Chiến lược này giống như ví dụ 1 ngoại trừ rằng vào ngày thứ tư một copy backup được thực hiện. Copy backup có chứa các file được chọn và không xoá các Marker hoặc làm ngắt lịch trình backup bình thường. Do đó mỗi một Differential backup có chứa tất cả thay đổi kể từ ngày thứ hai. Copy backup hữu ích lúc bạn muốn tạo một Snapshot dữ liệu của mình.
II- Cấu hình file và Folder backup
Sử dụng backup để lưu trữ các file và Folder trên các volume đã được định dạng FAT, FAT32 hoặc NTFS. Backup có chứa một backup Wizard, vốn hướng dẫn từng bước của toàn bộ qui trình backup.
Ghi chú: Bạn cũng thường sử dụng backup, để tạo backup theo một cách bình thường.mà không sự dụng backup Wizard.
Lúc bạn tạo một backup Lob, bạn cần chỉ định:
Ổ đĩa, Folder hoặc file phải backup
Mục đích để backup. Bạn có thể chỉ định các file backup và các folder sang một file hoặc sang một băng, nếu một thiết bị băng đã được cài đặt trên máy tính.
Một đường dẫn và tên file dành cho file backup hoặc một băng để dùng.
Các tuỳ chọn backup, chẳng hạn như kiểu backup hoặc kiểu file log
Một nội dung mô tả backup job
Phải tìm hiểu xem phương tiện backup medium có chứa nội dung backup hiện tại hay không.
Các tuỳ chọn backup cao cấp, chẳng hạn như kiểm định dữ liệu hoặc nén phần cứng.
1- Sao chép dự phòng dữ liệu và trạng thái
Dữ liệu trạng thái hệ thống có chứa thông tin để phục hồi phục hồi hệ điều hành sang trạng thái trước khi bị sự cố. Dữ liệu trong trạng thái hệ thống có chứa các thành phần hệ thống sau:
Ghi chú: Bạn không thể backup các thành phần riêng biệt của cơ sở dữ liệu trạng thái hệ thống.
Bạn backup dữ liệu của trạng thái hệ thống trên một máy tính cục bộ theo một trang ba cách sau đây:
Trong backup Wizard, trên trang What to backup, hãy nhập Only backup up the system State data.
Trong backup wizard, trên trang What to Backup, hãy chọn Backup Selected files, drives, or network data và trên trang Item to backup, hãy mở rộng My Computer, rồi chọn hộp kiểm nằm ở bên trái của System State.
Trong trình tiện ích backup, trên nhãn Backup, hãy mở rộng My computer, rồi chọn hộp kiểm nằm phía bên trái của System State.
2- Lập lịch cho một qui trình backup
Bạn có thể lập lịch cho một tiến trình backup theo một trong hai cách: Trong suốt xử lý để tạo một qui trình xử lý để tạo nên một tác vụ backup hoặc bằng cách sử dụng nhãn Scheduled Jobs trong backup.
Để tạo quy trình backup đã được lập thời biểu trong suốt quy trình xử lý nhằm tạo một backup job, hãy thực hiện các bước sau đây:
1. Trên trang completing the backup Wizard, hãy chọn Advanced.
2. Trên trang When to Backup, hãy chọn Letter, nhập vào một tên tác vụ, rồi chọn SetSchedule.
3. Trong hộp thoại Schedule job, hãy cấu hình các tùy chọn (Chẳng hạn như tần suất và thời điển bắt đầu) , rồi chọn OK.
Để tạo một tác vụ đã được lập thời biểu bằng cách sử dụng nhãn Module job trong backup, hãy thực hiện các bước sau đây:
Trên nhãn Scheduled job trong backup hãy thực hiện các bước sau đây
1. Trên nhãn Scheduled trong backup, hãy chọn đúp ngày mà mình muốn khởi đầu quy trình backup đã được lập lịch.
2. Hoàn thành thông tin trong backup Wizard.
Ghi chú: Để xem các tác vụ lên thời biểu, hãy chọn Scheduled jobs trong backup.
III- Phục hồi các file và Folder
Bạn cũng có thể sử dụng Backup để phục hồi các file và các Folder khi sự cố mất dữ liệu. Backup có chứa Restore Wizard nhằm hướng dẫn bạn từng bước thông qua quy trình phục hồi.
Ghi chú: Bạn có thể sử dụng backup để phục hồi các file và các Folder theo cách bình thường mà không cần sử dụng Wizard.
Lúc bạn phục hồi các file và Folder, bạn chỉ định:
Các Folder và các File phải phục hồi.
Một vị trí phục hồi, các file được phục hồi trở về lại vị trí gốc hay một vị trí khác, hoặc là sang một folder.
Các tuỳ chọn phục hồi, chẳng hạn như có cần thay thế các file đang có bằng các file backup hay không.
Cảnh báo: Bảng phải phục hồi dữ liệu vốn được lưu trữ từ Windows 2003 NTFS volume sang Windows 2003 NTFS, volume khác để tránh bị mất dữ liệu và bảo quản được mức độ cho phép truy cập, các cài đặt về mã hoá File System, thông tin về ổ đĩa, và thông tin lưu giữ từ xa. Ví dụ nếu bạn đã được phục hồi một file đã được tạo mã trên một NTFS volume sang một FAT partition, thì bạn sẽ mất tất cả dữ liệu đã được giải mã, và đưa ra các file không thể đọc được.
IV- Sử dụng các công cụ phục phồi các sự cố
1- Khởi động một máy tính bằng cách sử dụng các tuỳ chọn cao cấp
Lựa chọn Mô tả
Safe Mode Chỉ tải các thiết và các trình điều khiển cơ bản vốn được yêu cầu để khởi động máy tính, bao gồm chuột bàn phím, thiết bị lưu trữ … , tuỳ chọn này cũng được tạo thành file log.
Safe Mode with Networking
Chỉ tải các thiết bị và các trình điều khiển cơ bản vốn đã được yêu cầu khởi động máy tính và làm hoạt động mạng. Tuỳ chọn này cũng được tạo một file Log.
Safe Mode with Command Prompt
Tải các tùy chọn safe mode nhưng khởi động một dòng nhắc lệnh thay vì một giao diện người dùng đồ hoạ, cũng tạo ra một file log.
Enable Boot Logging
Tạo một file log nhằm tham chiếu đến tất cả các trình Driver va các dịch vụ mà hệ thống tải (hoặc không tải). File log này được gọi là Ntblog.txt và nằm trong Folder gốc của hệ thống.
Enable VGA Mode
Tải VGA Driver cơ bản.
Last Known Good Configuration
Sử dụng thông tin cấu hình được nhận biết sau cùng trong Registry nhằm khởi động máy tính.
Directory Services Restore Mode
Cho phép phục hồi và bảo quản Active Directory và phục hồi Folder Sysvol nằm trong Domain Controller.
Debugging Mode
Gởi thông tin gỡ rối sang một máy tính khác thông qua các nối tiếp.
Ghi chú: một Domain Controller có thể tận dụng các tùy chọn Safe mode và Safe Mode with Command Prompt, nhưng các dịch vụ Active Directory thì sẽ không có sẵn.
2- Khởi động một máy tính bằng cách sử dụng Recovery Console
Recovery console trong Windows 2003 là một dòng lệnh mà bạn có thể khởi động từ windows 2003 setup. Recovery console thật hữu ích khi bạn cần sửa chữa một hệ thống bằng cách sao chép một file từ đĩa hoặc đĩa nén sang ổ đĩa cứng hoặc nếu bạn cần cấu hình lại dịch vụ vốn ngăn chận không cho máy tính khởi động hoàn chỉnh.
Sử dụng Recovery Console
Khởi động và ngưng các dịch vụ
Đọc và viết dữ liệu trên một ổ đĩa cục bộ (bao gồm các ổ đĩa được định dạng với hệ thống file NTFS)
Định dạng các đĩa và các file hệ thống bị che dấu.
Cài đặt Recovery Console
Để cài đặt Recovery Console, hãy khởi động dấu nhắc lệnh tại Windows 2003 thay đổi thư mục sang I386 trên đĩa nén trong Windows 2003 rồi chạy lệnh Winnt32 với /cmdcons swith. Sau khi bạn cài đặt Recovery Console, bạn có thể truy cập nó từ menu Start.
Ghi chú: Bạn cũng có thể truy cập Recovery Console bằng cách sử dụng các đĩa Windows 2003 bằng cách sử dụng các đĩa Windows 2003 setup hoặc đĩa nén Windows 2003 compact để khởi động lại máy tính của mình, rồi sau đó hãy chọn tùy chọn Recovery Console lúc bạn được cân nhắc để chọn các tùy chọn sửa chữa.
Lúc bạn khởi động Recovery Console, Bạn phải chỉ định trình cài đặt windows 2003 mà bạn muốn tải vào (Thậm chí cả một máy tính có cấu hình Single-boot). Sau đó bạn phải log vào với tư cách Administrator.
Các lệnh Recovery Console
Lúc bạn chạy Recovery Console, bạn có thể nhận được trợ giúp về các lệnh sẵn có bằng cách gõ help tại dấu dấu nhắc lệnh ENTER.
Bảng sau đây mô tả lệnh có sẵn có trong Recovery Console
Lệnh Mô tả
chdir (cd) Displays the name of the current folder or changes the current folder
chkdsk Checks a disk and displays a status report
cls Clears the screen
copy Copies a single file to another location
delete (del) Deletes one or more files
dir Displays a list of files and subfolders in a folder
disable Disables a system service or a device driver
enable Starts or enables a system service or a device driver
exit Exits the Recovery Console and restarts your computer
fdisk Manages partitions on your hard disks
fixboot Writes a new partition boot sector onto the system partition
fixmbr Repairs the master boot record of the partition boot sector
format Formats a disk
help Displays a list of the commands that you use in the Recovery Console
logon Logs on to a Windows 2000 installation
map Displays the drive letter mappings
mkdir (Md) Creates a folder
more Displays a text file
rmdir (rd) Deletes a folder
rename (ren) Renames a single file
systemroot Sets the current folder to the systemroot folder of the system that you are currently logged on to
type Displays a text file
