Tài liệu quản trị mạng Server 2003

Chia sẻ: thanhlong2711

Tài liệu quản trị mạng Server 2003 như chi tiết cách cài đặt, tạo thêm 1 Server đồng hành để phòng hờ trường hợp Server chính bị trục trặc, tạo domain, gia nhập máy con vào domain,

Bạn đang xem 20 trang mẫu tài liệu này, vui lòng download file gốc để xem toàn bộ.

Nội dung Text: Tài liệu quản trị mạng Server 2003

SERVER DỰ PHÒNG 2003


Tài liệu quản trị mạng Server 2003 như chi tiết cách cài đặt, tạo thêm 1 Server
đồng hành để phòng hờ trường hợp Server chính bị trục trặc, tạo domain, gia
nhập máy con vào domain, remote destop conection {từ máy con truy xuất dữ liệu
vào máy server}, cài đặt thông số ADSL router vào máy server, tắt 1 máy con đang
hoạt động ngay tức thời.

- Nếu gia tăng thêm số lượng máy con vào domain thì gắn thêm Switch nh ư thế
nào để đảm bảo truyền dữ liệu và truy cập internet được tốt nhất

- Số lượng máy bao nhiêu thì nên dùng đường truyền ADSL với tốc độ nh ư thế
nào (ví dụ khoảng 50 máy, 70 máy, hơn 100 máy).

Với câu hỏi trên, chúng tôi sẽ trả lời lần lượt như sau:

Chi tiết cách cài đặt domain và cài đặt thông số ADSL router vào máy server:

Trước tiên bạn phải Cài đặt Windows Server 2003

Tiến hành các bước sau trên Computer sẽ đóng vai trò Domain Controller

1. Đưa đĩa CD cài đặt vào CD-ROM, khởi động lại Computer. Cho phép boot từ đĩa CD


2. Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt.
Nhấn Enter khi mà hình Welcome to Setup xuất hiện

3. Đọc những điều khoản về License trên Windows Licensing Agreement, sau đó nhấn
F8 để đồng ý với các điều khoản quy định của MS

4. Trên Windows Server 2003, xuất hiện màn hình tạo các phân vùng Partition trên đĩa
cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành. Nhấn ENTER.

5. Trên Windows Server 2003, chọn Format the partition using the NTFS file system
Nhấn ENTER.

6. Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ít phút
cho tiến trình này hoàn tất

7. Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn tất

8. Computer sẽ restart lại và boot giao diện đồ họa. Click Next trên trang Regional and
Language Options
9. Trên trang Personalize Your Software, điền Tên và Tổ chức của Bạn

Ví dụ: Name: Server 2003

Organization: Quan Tri Mang

10. Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có và click
Next.

11. Trên trang Licensing Modes chọn đúng option được áp dụng cho version Windows
Server 2003 mà bạn cài đặt. Nếu cài đặt Licence ở chế độ per server licensing, hãy đưa
vào số connections mà bạn đã có License. Click Next.

12. Trên trang Computer Name và Administrator Password điền tên của Computer ví dụ
Server2003, tên này được điền vào Computer Name text box. Điền tiếp vào mục
Administrator password và xác nhận lại password tại mục Confirm password (ghi nhớ
lại password administrator cẩn thận, nếu không thì bạn cũng không thể log-on vào
Server cho các hoạt động tiếp theo). Click Next.

13. Trên trang Date and Time Settings xác lập chính xác Ngày, giờ và múi giờ Việt
Nam (nếu các bạn ở Việt Nam), lưu ý time zone là GMT + 7

Click Next.

14. Trên trang Networking Settings, chọn Custom settings option.

15. Trên trang Network Components, chọn Internet Protocol (TCP/IP) entry trong
Components và click Properties.

16. Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông số sau:

IP address: 10.0.0.2.

Subnet mask: 255.255.255.0.

Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP address của
Card Ethernet cua Router ADSL).

Preferred DNS server: 10.0.0.2 và Additional DNS server la địa chỉ mà ISP đã cung cấp
cho ADSL Router, ví dụ : 203.162.4.1

17. Click OK trong Advanced TCP/IP Settings dialog box.

18. Click OK trong Internet Protocol (TCP/IP) Properties dialog box.

19. Click Next trên trang Networking Components.
20. Chấp nhận lựa chọn mặc định môi trường Network là Workgroup (chúng ta sẽ tạo
môi trường Domain sau, thăng cấp (promote) máy này trở thành một Domain controller
và cũng là thành viên của Domain. Click Next.

21. Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại

22. Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đã tạo
cho tài khoản Administrator trong quá trình Setup.

23. Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên check vào
"Don't display this page at logon checkbox" và đóng cửa sổ Window lại.

Bước kế tiếp là quá trình cài đặt và cấu hình DNS trước khi chạy tiện ích dcpromo

Bước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính server này.
Điều này là cần thiết vì Active Directory Service hoạt động trên Domain Controller,
kiểm soát toàn Domain yêu cầu phải có DNS server service phục vụ cho nhu cầu truy
vấn tên như hostname, đăng kí các record (A, PTR, SRV records v.v..). Chúng ta sẽ cài
DNS server và sau đó sẽ nâng vai trò Computer này lên thành một Domain Controller,
và DNS server này sẽ phục vụ truy vấn cho toàn Domain.

Tiến hành các bước sau để cài đặt DNS server

1. Click Start, Control Panel. Click Add or Remove Programs.

2. Trong Add or Remove Programs, click Add/Remove Windows Components

3. Trong Windows Components, xem qua danh sách Components và click Networking
Services entry > Click Details.

4. Check vào Domain Name System (DNS) checkbox và click OK.

5. Click Next trong Windows Components.

6. Click Finish trên Completing the Windows Components Wizard.

7. Đóng Add or Remove Programs

DNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thể phục
vụ cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward và Reverse lookup
zones.

Tiến hành các bước sau để cấu hình DNS server:

1. Click Start và sau đó click Administrative Tools > Chọn DNS.
2. Trong bảng làm việc của DNS (DNS console), mở rộng server name (Server2003 ),
sau đó click trên Reverse Lookup Zones. Right click Reverse Lookup Zones và chọn New
Zone.

3. Kích Next trên Welcome to the New Zone Wizard.

4. Trên Zone Type , chọn Primary zone option và click Next.

5. Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter 10.0.0 vào
text box > Click Next.

6. Chấp nhận chọn lựa mặc định trên Zone File page, và click Next.

7. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates
option. Click Next.

8. Click Finish trên Completing the New Zone Wizard page.

Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computer này sẽ là
Domain Controller. Tiến hành các bước sau:

1. Right click Forward Lookup Zone và click New Zone.

2. Click Next trên Welcome to the New Zone Wizard page.

3. Trên Zone Type page, chọn Primary zone option và click Next.

4. Trên Zone Name page, điền tên của forward lookup zone trong Zone name text box.
Trong ví dụ này tên của zone là quantrimang.com, trùng với tên của Domain sẽ tạo sau
này. Đưa quantrimang.com vào text box. Click Next.

5. Chấp nhận các xác lập mặc định trên Zone File page và click Next.

6. Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates.
Click Next.

7. Click Finish trên Completing the New Zone Wizard page.

8. Mở rộng Forward Lookup Zones và click vào MSFirewall.org zone. Right click trên
quantrimang.com và Click New Host (A).

9. Trong New Host dialog box, điền vào chính xác Server2003 trong Name (uses parent
domain name if blank) text box. Trong IP address text box, điền vào 10.0.0.2. Check vào
"Create associated pointer (PTR) record checkbox".
Click Add Host. Click OK trong DNS dialog box thông báo rằng (A) Record đã được
tạo xong. Click Done trong New Host text box.

10. Right click trên quantrimang.com forward lookup zone và click Properties. Click
Name Servers tab. Click exchange2003be entry và click Edit.

11. Trong Server fully qualified domain name (FQDN) text box, điền vào tên đầy đủ
của Domain controller computer là Server2003. quantrimang.com. Click Resolve. Sẽ
nhận thấy, IP address của Server xuất hiện trong IP address list. Click OK.

12. Click Apply và sau đó click OK trên quantrimang.com Properties dialog box.

13. Right click trên DNS server name Server2003, chọn All Tasks. Click Restart.

14. Close DNS console.

Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domain controller
trong Domain quantrimang.com

Tiến hành các bước sau để tạo Domain và nâng server này thành Domain
Controller đầu tiên của Domain

Cài đặt First Domain Controller

1. Click Start và click Run .

2. Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK.

3. Click Next trên Welcome to the Active Directory Installation Wizard page.

4. Click Next trên Operating System Compatibility page.

5. Trên Domain Controller Type page, chọn Domain controller for a new domain option
và click Next.

6. Trên Create New Domain page, chọn Domain in a new forest option và click Next.

7. Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name)
quantrimang.com text box và click Next.

8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho
các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client
này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này
là tuoitre. Click Next.

9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next.
10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next.

11. Trên DNS Registration Diagnostics page, chọn I will correct the problem later by
configuring DNS manually (Advanced). Click Next.

12. Trên Permissions page, chọn Permissions compatible only with Windows 2000 or
Windows Server 2003 operating system option. Click Next.

13. Trên Directory Services Restore Mode Administrator Password page (chế độ phục
hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế độ
troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore Mode
Password và sau đó Confirm password. (Các Admin không nên nhầm lẫn Password ở
chế độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc
Domain). Click Next.

14. Trên Summary page, click Next.

15. Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active

16. Click Finish trên Completing the Active Directory Installation Wizard page, hoàn
thành việc cài đặt.

17. Click Restart Now trên Active Directory Installation Wizard page.

18. Log-on vào Domain Controller dùng tài khoản Administrator.

Tạo thêm 1 Server đồng hành để phòng hờ trường hợp Server chính bị trục
trặc:

1. Cấu hình địa chỉ Server như sau : IP address: 10.0.0.3. Subnet mask: 255.255.255.0.
Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP address của
Card Ethernet cua Router ADSL).

Preferred DNS server: 10.0.0.2 và Additional DNS server la địa chỉ mà ISP đã cung cấp
cho ADSL Router, ví dụ : 203.162.4.1

Sau đó Right click My Computer, click Properties.

2. Trong System Properties dialog box, click Network Identification tab. Click
Properties .

3. Trong Changes dialog box, click More.

4. Trong Primary DNS suffix of this computer text box, điền vào domain name là tên
của domain (quantrimang.com) chứa Computer này. Nếu Computer không là thành viên
của Domain thì text box sẽ để trống.

Chú ý: Change primary DNS suffix when domain embership changes được enabled theo
mặc định. Trong ví dụ hiện tại Computer không phải là thành viên của Domain. Cancel
tất cả dialog boxes vừa xuất hiện và không cấu hình primary domain name tại thời
điểm này.

5. Restart lại Server

6. Thực hiện tương tự như bước 2, trong Changes, chọn Domain Text box và nhập
vào: quantrimang.com. Nhập user và password tương ứng của user administrator.

7. Restart lại server và chọn logon vào domain

Bước kế tiếp tiến hành install Additional domain Controller

1. Click Start và click Run .

2. Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK.

3. Click Next trên Welcome to the Active Directory Installation Wizard page.

4. Click Next trên Operating System Compatibility page.

5. Trên Domain Controller Type page, chọn Additional Domain controller for an
existing domain option và click Next.

6. Nhập user administrator và password sau đo trong text box domain nhập
quantrimang.com

8. Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho
các Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client
này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này
là tuoitre. Click Next.

9. Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next.

10. Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next.

11. Trên DNS Registration Diagnostics page, chọn I will correct the problem later by
configuring DNS manually (Advanced). Click Next.

12. Trên Permissions page, chọn Permissions compatible only with Windows 2000 or
Windows Server 2003 operating system option. Click Next.

13. Trên Directory Services Restore Mode Administrator Password page (chế độ phục
hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế độ
troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore Mode
Password và sau đó Confirm password. (Các Admin không nên nhầm lẫn Password ở
chế độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc
Domain). Click Next.

14. Trên Summary page, click Next.

15. Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active

16. Click Finish trên Completing the Active Directory Installation Wizard page, hoàn
thành việc cài đặt.

17. Click Restart Now trên Active Directory Installation Wizard page.

18. Log-on vào Domain Controller dùng tài khoản Administrator.

Gia nhập máy con vào domain

1. Mở Active Directory User and Computer sau đó tạo các domain user tương ứng

2. Logon vào máy con, và thực thi tương tự như quá trình Tạo thêm 1 Server đồng hành
để phòng hờ trường hợp Server chính bị trục trặc.

3. Logon vào domain với domain user đã được tạo ra

Remote destop conection va shutdown máy con từ xa:

Để remote máy con và máy chủ chúng ta làm như sau:

1. Trong computer - properties - remote - chọn enable remote desktop on this computer

2. Sau đó chúng ta có thể logon vào các máy tính đã cho phép remote sử dụng công cụ
Remote Desktop Connnection. Nhập địa chỉ IP của máy chủ và máy con và sử dụng
user administrator để remote. Sau khi remote thành công chúng ta có thể shutdown máy
tính từ xa 1 cách dễ dàng, thông qua tab shutdown trong start menu.

3. Nếu gia tăng thêm số lượng máy con vào domain thì gắn thêm Switch như thế nào
để đảm bảo truyền dữ liệu và truy cập internet được tốt nhất?

Khi bạn thêm máy con vào domain thì bạn cần thêm các switch tương ứng, vì mỗi máy
cần một port trên swith. Ví dụ bạn có 40 máy thì bạn phải có 2 switch 24 port để đáp
ứng cho 40 máy tính kết nối vào.

4. Số lượng máy và đường truyền ADSL với tốc độ thích hợp
Nếu như có nhiều máy trong domain thì bạn chỉ cần thêm switch, còn đường truyền
ADSL thì phụ thuộc vào từng nhà cung cấp dịch vụ, bạn có thể chọn ADSL của FPT,
Viettel, VDC... Ngoài ra nếu số lượng máy tính nhiều bạn nên chọn gói ADSL có tốc
độ cao nhất. để có thể cho phép các user trong mạng duyệt web, download và upload
một cách dễ dàng.
Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active Directory

Mô Hình Hệ Thống Trên Windows Server 2000/2003




I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các Đối Tượng
Bằng Dòng Lệnh

Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta có thể
dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài
nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ
chức các File Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng…

Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng
thì Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên
hệ thống đều chịu sự chi phối và điều khiển của Active Directory. Từ phiên bản
Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để
lưu trữ dữ liệu của domain như các đối tượng user, computer, group … cung cấp
những dịch vụ (directory services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt
là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single
sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào
domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói
những quyền hạn hợp lệ.

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc
quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực
hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể
tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính
sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân
chia khả năng quản lý trong một môi trường rộng lớn.

Những Thành Phần Chính Của Hệ Thống Active Directory

User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài khoản
built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống,
backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ
thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này. Tuy nhiên
để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in)
vào domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho
người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi administrator để log-
in và domain. Và truy cập dữ liệu trên file server hay các dịch vụ khác..

Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các
nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên file server
hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối với laser printer,
chúng ta nên tạo group printing và gán quyền in trên laser printer sau đó add tất cả các
nhân viên của công ty vào group printing này thay vì gán quyền in cho từng user riêng
lẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao
tác chung, mặc định tất cả các user được tạo ra đều thuộc group này).

OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì chúng ta
khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ phận.
Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí như
phòng ban Sales sẽ có một OU Sales và trong OU này chứa group sales, group sales sẽ
bao gồm tất cả những thành viên của phòng ban sale, và những user này cũng được đặt
trong OU Sales cùng với group sales. Như vậy chúng ta cần phải phân biệt rõ group
sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng để quản trị
về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban sales trong
môi trường thật được cài đât tự động MS OfficeXP hay update những bản vá nào khi
đăng nhập hệ thống thì chúng ta phải tương tác qua OU. Nhưng rõ ràng chúng ta không
thể quản lý về quyền hạn truy cập của các user này bằng OU, chính vì vậy chúng ta
cần phải tạo ra các group và gán quyền thông qua những group này. Đó là những khác
biệt cơ bản nhất mà chúng ta cần phân biệt.

Trên đây là 3 đối tượng cơ bản của hệ thống active directory, ngoài ra còn có những
thành phần khác như group plicy, site, trusting, global catalog, fsmo..sẽ được trình bày
ở những phần tiếp theo.

Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một số lưu ý
chúng ta cần quan tâm là:
- Cần có ít nhất 2 domain controler là Primary (PDC) và cái còn lại dùng là Backup
(BDC) để đáp ứng chức năng load balancing và faultolerant, nếu hệ thống chỉ có một
domain controler duy nhất thì phải backup các system state data của Active Directory
cẩn thận theo các mức chuẩn (baseline) để có thể phục hồi khi có sữ cố xảy ra hay
dùng cho migration (di trú) qua một máy khác khi PDC bị hư hỏng đột xuất.
- Hệ thống Active Directory sử dụng DNS cho quá trình phần giải tên các dịch vụ và
những thành viên của chúng, vì vậy bắt buộc phải có DNS hợp lệ để Active Directory
họat động chính xác, tên của Domain là gì?Thông thường khi cài đặt active directory có
thể chọn cài tích hợp dịch vụ DNS, trong trường hợp đã có sẳn máy chủ DNS thì phải
khai báo địa chỉ của dịch vụ này trong phần Prefered DNS và tên của domain là tên của
tổ chức như tcdescon.com, security365.org..
- Cần phải khảo sát tổ chức có bao nhiêu thành viên (người dùng) tương ứng với số
lượng account được tạo trong Acitve Directory, có bao nhiêu bộ phận, phòng ban để
tạo ra các OU và Group tương ứng, ngòai ra chúng ta cần xem xét các quyền hạn sử
dụng của các đối tượng, khả năng đáp ứng.. để từ đó đưa ra một bản phác thảo đầy
đủ cho hệ thống Domain Controller của mình.

Để thực hiện bài Lab này, cần có các máy tính với cấu hình TCP/IP như hình dưới
đây, trong đó DC1 là Primay Domain Controller với hệ thống Backup (Secondary
Domain Controller) là DC2 tất cả đều sử dụng Windows Server 2003. Client1 có thể
dùng Windows XP hoặc Windows 2000.




Hệ Thống Domain Controler Và Địa Chỉ IP (Click vào ảnh để phóng to)

1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương pháp
Unattend
Để thăng cấp một Windows Server 2003 Standalone lên thành Domain Controller chúng
ta sử dụng lệnh dcpromo và sau đó cung cấp đầy đủ tên domain, vai trò và vị trí cài
đặt..Trong phần này các bạn hãy log-in vào DC1 bằng tài khỏan Administrator và tạo
tập tin như đưới đây, hãy thay tên domain security365 bằng tên domain của bạn cũng
như các thông tin về Password hay SafeModeAdminPassword tương ứng , các bạn có
thể chọn cài cùng lúc DNS bằng cách xác định AutoConfigDNS = Yes, nếu muốn hệ
thống reboot lại sau khi cài đặt hãy đặt giá trị RebootOnSuccess = Yes

[DCInstall]
RebootOnSuccess = No
DatabasePath = %SYSTEMROOT%\NTDS
LogPath = %SYSTEMROOT%\NTDS
SysVolPath = %SYSTEMROOT%\Sysvol
UserName = administrator
Password = Password
ReplicaorNewDomain = Domain
TreeOrChild = Tree
CreateOrJoin = Create
NewDomainDNSName = security365.org
DNSOnNetwork = No
DomainNetBiosName = SECURITY365
AllowAnonymousAccess = No
AutoConfigDNS = Yes
SiteName = Default-First-Site-Name
SafeModeAdminPassword = netmanager

Lưu tập tin trong ở C:\ với tên là dcinfo.txt

Sau đó chạy lệnh dcpromo /answer:C:\dcinfo.txt




Restart lại hệ thống khi tiến trình cài đặt hòan tất, tiêp theo chúng ta cần tạo ra những
tài khỏan người dùng cùng với những Group, OU tương ứng theo các phòng ban như
hình sau đây dựa trên mô hình thực tế của công ty có 2 chi nhánh CA và NC, mỗi chi
nhánh có các bộ phận Marketing, Accountign và Sales.
2- Tạo cấu trúc OU với dsadd ou:

Có nhiều cách để tạo ra các đối tượng trên Active Directory như OU, Group, User..Các
bạn có thể dùng giao diện đồ họa Active Directory Users and Computers console sau đó
click chuột phải vào Domain Name (ví dụ security365.com) và chọn những thao tác
tương ứng. Ở đây chúng ta sử dụng một phương pháp ít thông dụng hơn dựa trên dòng
lệnh, điều này sẽ rất thuận tiện khi muốn xây dựng hệ thống một cách tự động.
Để tạo một OU mới hãy sử dụng dòng lệnh dsadd ou:

Dsadd ou “OU=NC,DC=security365,DC=com”
Dsadd ou “OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Marketing,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=NC,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=NC,DC=security365,DC=com”

Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com”
Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com”

Có thể dùng tập tin bat để tiến hành tự dộng quá trình trên, với OU là tên của OU
được tạo, DC là tên của domain lưu ý nên tạo tuần tự các bước.

3. Tạo User Với dsadd user:

Chúng ta có thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ tạo ra tài khỏan
cho Nguyen Tran Duy Vinh thuộc phòng ban Sales :
- tên đăng nhập vinhndt, mật mã đăng nhập 123qwe!@#
- thuộc bộ OU Sales
- first name là nguyen tran duy
- last name là vinh
- tên upn là ntdvinh@security365.com
- để tài khỏan có thể sử dụng được ngay hãy đặt –disable no

dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com ” –upn
vinhndt@security365.com –fn nguyen tran duy –ln vinh –pwd 123qwe!@# –disabled
no

3.Tạo Group với dsadd group:

Các user trong mỗi phòng ban thường có những đặc tínhchung như quyền hạn truy cập
vào tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy in…Vì vậy hãy tạo ra các
nhóm người dùng (Group) sau đó add những user vào. Chúng ta có thể thực hiện điều
này với dòng lệnh dsadd group. Ví dụ sau đây sẽ tạo một gourp có tênlà Consultants
(CN) trong OU Marketing của domain Security365.Com, group type là security và group
scope là global.
Dsadd group “CN=Consultants,OU=Marketing,OU=CA,DC=security36 5,DC=com”
–secgrp yes –scope g

Ghi Chú: Có hai lọai group trong active directory là security và distribution. Hầu hết các
group chúng ta tạo ra và sử dụng đề thuộc lọai security goup. Distribution group chỉ
được dùng cho quá trình họat động của các ứng dụng như Exchange Server, và các bạn
không thê gán quyền truy cập đối với lọai group này. Ngòai ra các group đươc chia làm
3 lọai group scope là Global, Universal và Local. Với Local Group các thành viên chỉ có
thể truy cập những tài nguyên trên domain nội bộ. Khi hệ thống có nhiều domain, để
user có thể truy cập tà nguyên ở các domain khác thì chúng phải là thành viên của
Global hay Universal Group.

4.Add User vào Group Với Dsmod:

Để Add User Nguyen Tran Cat Vinh là thành viên của group Consultant trong OU
Marketing (là OU con của CA) cho domain Security365.Com ta sử dụng lệnh sau :

Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=security36
5,DC=com” –
addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC =com”

Trong những trường hợp quản trị từ xa hay cần tạo ra nhiều đối tượng cùng lúc cho
hệ thống cách tốt nhất là sử dụng các tiện ích dòng lệnh. Cách thức quản trị Active
Directory thông qua giao diện đồ họa như Active Directory Users and Computer các
bạn có thể tham khảo ở trang web www.microsoft.com, mọi thắc mắc gởi đến mục
HelpDesk trang web www.security365.org, Công ty Giải Pháp An Tòan.

II – Join Máy Tính Client1 Vô Domain
Sau khi cài đặt và cấu hình xong hệ thống Active Directory chúng ta cần join các clien
vào domain để có thể quản lý, cấp quyền truy cập, sử dụng tài nguyên cho người sử
dụng. Hãy log-in vào Client1 với quyền Administrator và click chuột phải vào My
Computer chọn Properties:

Trên tab Computer (Network Identification) hãy nhấn Change hoặc Properties tùy thuộc
vào hệ điều hành Client1 sử dụng là Windows XP hay Windows 2000Tiếp theo và
nhập vào thông tin sau:




Nhấn OK, một hộp thọai yêu cầu thông tin Username & Password sẽ hiển thị, hãy
nhập vào tài khỏan hợp lệ ví dụ Administrator và nhấn OK để hòan tất quá trình join
domain.


III – Cài Đặt Secondary Domain Controler:

Đối với các hệ thống mạng lớn có nhiều user, chúng ta nên triển khai thêm các
secondary domain controler (hay còn gọi là Backup Domain Controler-BDC) để tăng
cường khả năng đáp ứng yêu cầu truy cập của user và khi primary domain controler
gặp phải những sự cố thì hệ thống vẫn có thể họat động bình thường nhờ vào
secondary domain controler này, ngòai ra chúng ta còn có thể phục hồi cơ sở dữ liệu
của Active Directory trên PDC. Cả hai hệ thống Domain Controler này đề chứa cùng
một cơ sở dữ liệu của domain như user, group policy, ou…và khi dữ liệu trên một
domain controller này thay đổi sẽ được tự động replicate (sao chép) sang những domain
controler còn lại, tiến trình này diễn ra hòan tòan tự động do dịch vụ KCC (knowledge
consistent checker) của hệ thống đảm nhiệm. Tuy nhiên trong những trường hợp đặc
biệt các bạn có thể tiến hành replicate ngay lập tức. Sau đây là các bước xây dựng
secondary domain controller:

Join máy tính DC2 vào domain và log-in bằng tài khỏan Administrator. Mở Start - >
Run và chạy lệnh dcpromo


Trên màn hình cài đặt tiếp theo chúng ta chọn mục Additional domain controller for
an existing domain và nhấn Next. Ở cữa sổ Network Credential hãy nhập vào tài
khỏan Administrator, Password của domain và chọn Next:




Tiếp theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary domain
controller (trong ô additional domain controller). Tên này sẽ tự hiển thị nếu như DC2 là
thành viên của Domain. Nếu các bạn tiến hành thăng cấp không qua bước join DC2 vô
domain thì phải nhập tên Domain đầy đủ như security365.com. Một điều cần lưu ý là
phải cấu hình địa chỉ DNS cho domain trong phần Prefered DNS, vì đa số các sự cố và
lỗi khi thăng cấp một secondary domain controller cũng như trong qua trình họat động
của Active Directory đều liên quan đến việc cấu hình địa chỉ DNS server không chính
xác làm cho quá trình phân giải tên các máy chủ và các dịch vụ không tiến hành được.
Sau đó hãy chấp nhận giá trị mặc định về vị trí cài đặt, lưu trữ database của active
directory cũng như sysvol folder. Nếu muốn thay đổi các thông số này sau khi cài đặt
hãy dùng công cụ NTDSUTIL.




Cuối cùng một bảng tóm tắt các thông tin của secondary domain controller hiển thị,
hãy kiểm tar lại và nhấn Next để tiến trình cài đặt diễn ra, sau khi hòan tất hãy restart
lại hệ thống DC2.

Như vậy chúng ta đã xây dựng xong hệ thống active directory cho domain
security365.com với một primary và một secondary domain controler, lúc này các máy
tính client trên hệ thống có thể join domain với những tài khỏan hợp lệ để thực hiện
công việc của mình.

Triển khai hệ thống IPSec/VPN trên Windows Server 2003
Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử
dụng ứng dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề
bảo mật và an toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ của
mình để cho phép nhân viên truy cập từ xa. Bài viết này trình bày giải pháp truy cập từ
xa VPN trên Windows Server 2003 có cơ chế mã hóa dựa trên giao thức IPSec nhằm
đảm bảo an toàn thông tin.

VPN

VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm
đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để
truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote
Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an
toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia
sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.

Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một
header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền
qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống
riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ
này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn
ngừa trường hợp "trộm" gói tin trên đường truyền.

Các tình huống thông dụng của VPN:




- Remote Access: Đáp ứng nhu cầu truy
cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet. Ví
dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file server, gửi nhận email
từ các mail server nội bộ của công ty.

- Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn
phòng cần trao đổi dữ liệu với nhau. Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ
thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ
thống VPN Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền
riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả.




- Intranet/ Internal VPN: Trong một số tổ
chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không
cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình
huống này.

Để triển khai một hệ thống VPN chúng ta cần có những thành phần cơ bản sau
đây:

- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người
dùng hợp lệ kết nối và truy cập hệ thống VPN.

- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ
thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.




- Data Encryption: cung cấp giải pháp
mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu.


- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và
giải mã dữ liệu.

IPSEC (IP SECURITY PROTOCOL)

Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền
thông với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ giao tiếp
trong thế giới con người) và giao thức phổ biến hiện nay là TCP/IP.
Khi truyền các gói tin, chúng ta cần phải áp
dụng các cơ chế mã hóa và chứng thực để bảo mật. Có nhiều giải pháp để thực hiện
việc này, trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra hiệu
quả và tiết kiệm chi phí trong quá trình triển khai.

Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả
hai giao thức bảo mật sau:

- AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng chống
các trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp
này phần nội dung thông tin chính không được bảo vệ

- ESP (Encapsulating Security Payload): Nội dung thông tin được mã hóa, ngăn chặn
các trường hợp hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình
truyền. Phương thức này rất hay được áp dụng, nhưng nếu muốn bảo vệ luôn cả
phần header của gói tin thì phải kết hợp cả 2 giao thức AH và ESP.

IPSec/VPN trên Windows Server 2003

Chúng ta tham khảo tình huống thực tế của công ty Green Lizard Books, một công ty
chuyên xuất bản và phân phối văn hoá phẩm. Nhằm đẩy mạnh hiệu quả kinh doanh,
bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có
thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương
tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu
mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ
chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.

Green Lizard Books cần có một đường truyền ADSL với địa chỉ IP tĩnh phục vụ cho
quá trình kết nối và truyền thông giữa trong và ngoài công ty. Các người dùng ở xa
(VPN Client) sẽ kết nối đến VPN Server để gia nhập hệ thống mạng riêng ảo của
công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của
công ty.

Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV-1), có 1
card mạng kết nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP
tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch vụ Dynamic DNS như
DtnDNS.Org hay No-IP.Com) để kết nối với bên ngoài (Internet).

Để quản lý người dùng trên hệ thống và tài nguyên chúng ta cần có 1 domain controler
cài đặt trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11).




Trong mô hình này, chúng ta sử dụng một máy client bên ngoài chạy hệ điều hành
Windows XP, kết nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa trên IPSec
ESP.

Ở đây tôi chỉ trình bày những buớc chính trong quá trình triển khai, chi tiết cài đặt và
cấu hình các bạn có thể tham khảo các tập tin video (.avi) tải về ở website
www.pcworld.com.vn.

Bước 1: Tạo domain controler

(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)
Bước 2: Đưa SRV-1 (VPN Server) vào domain

(join_srv-1_server_to_domain.avi)




Bước 3: cài đặt VPN Server trên SRV-1

(install_vpn_server_on_srv-1.avi)
Bước 4: Thiết lập VPN Client Client-1 kết nối đến VPN Server

(create_vpn_client_1_and_connect_to_srv-1_vpn_server.avi)




Bước 5: Kết nối VPN Client Client-1 vào domain

(join-vpn-client-1-to-greenlizardbooks_domain.avi)

Bước 6: Yêu cầu cấp phát chứng chỉ điện tử (certificate) cho VPN Server và Client
dùng để chứng thực và mã hóa.

(request_certificate_for_vpn_server_and_client.avi)
Bước 7: Thiết lập kết nối VPN dùng giao thức L2TP/IPSEC

(establish_L2TP_VPN_connection.avi)




KẾT LUẬN

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và
hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet.
Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng
tư của dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng. Giải pháp
VPN "mềm" giới thiệu trong bài viết này thích hợp cho số lượng người dùng nhỏ, để
đáp ứng số lượng người dùng lớn hơn, có thể phải cần đến giải pháp VPN phần
cứng.
TUNNELING
Tunneling là kỹ thuật sử dụng một hệ thống mạng trung gian (thường là mạng
Internet) để truyền dữ liệu từ mạng máy tính này đến một mạng máy tính khác nhưng
vẫn duy trì được tính riêng tư và toàn vẹn dữ liệu. Dữ liệu truyền sau khi được chia
nhỏ thành những frame hay packet (gói tin) theo các giao thức truyền thông sẽ được
bọc thêm 1 lớp header chứa những thông tin định tuyến giúp các packet có thể truyền
qua các hệ thống mạng trung gian theo những đường riêng (tunnel). Khi packet được
truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng
cần nhận dữ liệu. Để thiết lập kết nối tunnel, máy client và server phải sử dụng
chung một giao thức (tunnel protocol).

- PPTP (Point-to-Point Tunneling Protocol): PPTP có thể sử dụng cho Remote Access
hay Site-to-Site VPN. Những thuận lợi khi áp dụng PPTP cho VPN là không yêu cầu
certificate cho quá trình chứng thực và client có thể đặt phía sau NAT Router.

- L2TP (Layer 2 Tunneling Protocol): L2TP là sự kết hợp của PPTP và Layer 2
Forwading (L2F, giao thức được phát triển bởi Cisco System). So với PPTP thì L2TP
có nhiều đặc tính mạnh và an toàn hơn.

Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload
(ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec. Sự kết hợp này không chỉ cho
phép chứng thực đối với người dùng PPTP mà còn cho phép chứng thực đối với các
máy tính thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và
quá trình tunnel có thể diễn ra trên nhiều hệ thống mạng khác nhau. Tuy nhiên trong
môi trường L2TP/IPSec các VPN Client không thể đặt phía sau NAT Router. Trong
trường hợp này chúng ta cần phải có VPN Server và VPN Client hỗ trợ IPSec NAT-T.

Sử dụng bảo mật sẵn có trong Windows Server 2003
Đây là một trong số các bài hướng dẫn từng bước đơn giản dễ hiểu của phần trợ giúp
Microsoft cung cấp cho người dùng. Bài này mô tả cách thức áp dụng các mẫu bảo
mật được định nghĩa sẵn trong Windows Server 2003 như thế nào. Microsoft Windows
Server 2003 cung cấp một số mẫu bảo mật giúp bạn tăng cường mức an toàn cho
mạng của mình. Bạn có thể chỉnh sửa chúng cho phù hợp với yêu cầu riêng bằng cách
dùng thành phần Security Templates trong Microsoft Management Console (MMC).

Các mẫu bảo mật định nghĩa sẵn trong Windows Server 2003

• Bảo mật mặc định (Setup security.inf)

Setup security.inf được tạo ra trong quá trình cài đặt và riêng biệt cho từng máy
tính. Mỗi máy tính có một kiểu Setup security.inf khác nhau tuỳ thuộc chương
trình cài đặt là hoàn toàn mới từ ban đầu hay là bản nâng cấp. Nó thể hiện các
thiết lập bảo mật mặc định được ứng dụng trong quá trình cài đặt của hệ điều
hành, gồm cả đặc quyền file cho thư mục gốc của ổ hệ thống. Mẫu bảo mật
này có thể được dùng cho cả máy chủ và máy khách nhưng không thể dùng áp
dụng cho bộ điều khiển tên miền. Bạn cũng có thể dùng các phần của mô hình
mẫu này cho hoạt động phục hồi nếu có trường hợp rủi ro xuất hiện.

Không áp dụng Setup security.inf bằng cách sử dụng Group Policy vì điều này
có thể làm giảm tốc độ thực thi hệ thống.
Chú ý: Trong Microsoft Windows 2000 có hai mẫu bảo mật hỗn hợp cùng tồn
tại: ocfiless (cho các server file) và ocfilesw (cho các workstation). Trong
Windows Server 2003, cả hai file này được thay thế bởi file Setup security.inf.
• Bảo mật mặc định cho bộ điều khiển tên miền (DC security.inf)

Mẫu này tạo ra khi server được tăng cấp lên bộ điều khiển tên miền. Nó ánh
xạ các thiết lập bảo mật mặc định file, thanh ghi và dịch vụ hệ thống. Nếu
bạn áp dụng lại mô hình này, các thiết lập sẽ được đặt ở giá trị mặc định. Tuy
nhiên kiểu mẫu này có thể ghi đè đặc quyền lên các file, khoá thanh ghi và dịch
vụ hệ thống mới do chương trình khác tạo ra.
• Tương thích (Compatws.inf)

Mẫu này thay đổi các quyền của file và thanh ghi được cấp phát cho thành viên
của nhóm Users, nhất quán với yêu cầu của hầu hết chương trình không nằm
trong Windows Logo Program for Software. Mẫu Compatible cũng loại bỏ tất
cả thành viên của nhóm Power Users.

Để biết thêm thông tin về Windows Logo Program for Software, bạn có thể
tham khảo tại website của Microsoft:

http://www.microsoft.com/winlogo/default.mspx

Chú ý: Không được áp dụng mẫu Compatible cho bộ điều khiển tên miền.
• Bảo mật (Secure*.inf)

Mẫu Secure định nghĩa các thiết lập bảo mật nâng cao ít nhất ảnh hưởng tới
độ tương thích của chương trình. Ví dụ như định nghĩa mật khẩu, chế độ
lockout và các thiết lập kiểm toán mạnh hơn. Thêm vào đó, các khuôn mẫu này
còn giới hạn việc sử dụng chương trình quản lý mạng cục bộ LAN Manager
và các giao thức thẩm định NTLM bằng cách cấu hình client chỉ gửi phần trả
lời NTLMv2 và cấu hình server từ chối trả lời LAN Manager.

Có hai kiểu mô hình bảo mật dựng sẵn trong Windows Server 2003:
Securews.inf cho các trạm làm việc và Securedc.inf bộ điều khiển tên miền. Để
biết thêm thông tin về cách dùng các mẫu mô hình này và một số mẫu bảo mật
khác, bạn có thể tìm kiếm trong phần trợ giúp Help and Support Center của
Microsoft với từ khoá "predefined security templates" (các mẫu bảo mật định
nghĩa sẵn).
• Bảo mật cao (hisec*.inf)

Highly Secure mô tả chi tiết các giới hạn bổ sung chưa được định nghĩa trong
Secure, chẳng hạn như mức mã hoá và ký hiệu cần thiết cho việc thẩm định và
trao đổi dữ liệu qua kênh bảo mật, giữa client và server Server Message Block
(SMB).
• Bảo mật thư mục gốc hệ thống (Rootsec.inf)
Mẫu này đặc tả các quyền của thư mục gốc (root). Mặc định, Rootsec.inf định
nghĩa quyền hạn cho file gốc của ổ hệ thống. Bạn có thể dùng mô hình này để
áp dụng lại các đặc quyền thư mục gốc nếu chúng bị thay đổi ngẫu nhiên.
Hoặc bạn có thể chỉnh sửa mô hình mẫu này để áp dụng các quyền hạn gốc
giống nhau cho nhiều bộ khác. Mẫu này không ghi đè các quyền tường minh
được định nghĩa ở các đối tượng con; nó chỉ sao chép các quyền đã được thừa
kế ở các đối tượng con đó.
• Mẫu không có SID cho người dùng Server Terminal (Notssid.inf)

Bạn có thể áp dụng mẫu này để loại bỏ bộ định dạng bảo mật (SID) Windows
Terminal Server khỏi hệ thống file và các vị trí thanh ghi khi dịch vụ đích
(Terminal Services) không chạy. Sau khi bạn thực hiện điều này, bảo mật hệ
thống sẽ không được cải thiện đầy đủ một cách cần thiết.

Để biết thêm thông tin chi tiết về tất cả mô hình mẫu định nghĩa sẵn trong Windows
Server 2003, bạn có thể tìm kiếm trong phần trợ giúp Help and Support Center của
Microsoft với từ khoá "predefined security templates".




Chú ý quan trọng: Thực thi một mô hình mẫu bảo mật trên bộ điều khiển tên miền
có thể thay đổi các thiết lập của thành phần Default Domain Controller Policy hoặc
Default Domain Policy. Mô hình mẫu được sử dụng có thể ghi đè quyền hạn lên các
file mới, các khoá thanh ghi và dịch vụ hệ thống do chương trình khác tạo ra. Sau khi
sử dụng mô hình bảo mật mẫu, có thể bạn sẽ phải khôi phục lại "chính sách" cũ.
Trước khi thực hiện một số bước sau trên bộ điều khiển tên miền, hãy tạo bản sao
lưu của file chia sẻ SYSVOL.

Sử dụng một mẫu bảo mật

1. Vào Start, chọn Run, gõ mmc lên ô lệnh và bấm OK.
2. Trong menu File, kích lên Snap-in Add/Remove.
3. Chọn Add.
4. Trong danh sách Available Stand Alone Snap-ins, chọn Security
Configuration and Analysis, bấm Add > Close và cuối cùng là OK.
5. Ở ô bên trái, kích vào Security Configuration and Analysis và xem hướng dẫn
ở khung bên phải.
6. Kích phải chuột lên Security Configuration and Analysis, chọn Open
Database.
7. Trong hộp tên File, gõ tên file dữ liệu rối kích vào Open.
8. Kích vào mẫu bảo mật bạn muốn dùng, sau đó bấm lên Open để nhập thông
tin nằm trong mẫu vào cơ sở dữ liệu.
9. Kích phải chuột lên Security Configuration and Analysis ở khung bên trái rồi
chọn Configure Computer Now.

Kích hoạt và cấu hình Remote Desktop for Administration trong Windows Server 2003
Bạn ở xa nhưng lại cần truy cập vào máy máy chủ trong công ty như là đang
ngồi trên máy? Bài hướng dẫn sẽ từng bước hướng dẫn kích hoạt và cấu hình
Remote Desktop for Administration trong Microsoft Windows Server 2003. Sau khi
kích hoạt và cấu hình xong, bạn có thể truy cập vào máy ch ủ tại bất cứ nơi đâu
có kết nối Internet như là đang sử dụng trực tiếp trên máy vậy.

Windows Server 2003 Terminal Services bao gồm hai thành phần sau:

• Remote Desktop for Administration (Công cụ quản trị máy tính từ xa)

Với Remote Desktop for Administration các quản trị viên có thể quản lý từ xa
server dựa trên nền tảng Microsoft Windows 2000 và Windows Server 2003 từ
bất kỳ client Terminal Services nào. Phục vụ cho mục đích thuyết trình và hợp
tác, hai quản trị viên có thể chia sẻ một phiên làm việc. Ngoài ra quản trị viên
còn có thể kết nối từ xa tới console thực của một server bằng cách dùng lệnh
-console.

Chú ý:
o Bạn không cần phải có bản quyền truy cập Client Terminal Server khi
dùng Remote Desktop for Administration. Tuy nhiên chỉ có các thành viên
của nhóm quản trị mới có thể truy cập vào server.
o Mặc định Remote Desktop for Administration được cài cùng lúc với
Windows Server 2003, nhưng được để ở chế độ không hoạt động vì
một số lý do bảo mật.
• Terminal Server

Terminal Server cho phép nhiều client từ xa truy cập đồng thời tới các chương
trình xây dựng trên nền tảng Windows chạy trên server cùng một lúc. Đây là
hình thức triển khai Terminal Server thông thường.

Khi sử dụng mô hình Terminal Server, nhiều kết nối đồng thời do người dùng
không thuộc nhóm quản trị (administrator) truy cập đến vẫn được chấp nhận.
Bạn cũng có thể cài đặt dịch vụ Terminal Services Licesing trên bất kỳ server
thành viên nào. Tuy nhiên bạn phải cấu hình một server có bản quyền trên tất
cả server đích. Server này phải liên hệ với các server bản quyền không có bộ
điều khiển tên miền nhưng được cấu hình như một server bản quyền tên miền.
Server bản quyền tên miền doanh nghiệp được triển khai trên các bộ điều
khiển không tên miền được phát hiện một cách tự động.

Trước khi sử dụng indows Server 2003 Terminal Services, các bạn nên xem lại một số
thuật ngữ sau:

• Server (máy chủ)
Server là máy chủ, nơi chứa hầu hết tài nguyên máy tính. Server được dùng
trong môi trường mạng Terminal Services. Server nhận và thực hiện thông tin
từ bàn phím và chuột ở client. Sau đó hiển thị màn hình và các chương trình
đang chạy trên server trong một cửa sổ ở máy client.
• Messaging (truyền tin)
Messaging là hoạt động liên lạc giữa server (máy chủ) và client (máy khách)
thông qua Remote Desktop Protocol (RDP) 5.2. RDP là giao thức tầng chương
trình dựa trên TCP/IP.
• Client (máy khách)
Máy để bàn từ xa đang chạy trên server được hiển thị trong một cửa sổ trên
máy client. Khi khởi động một chương trình trên máy khách, thực tế các
chương trình này đang chạy trên máy chủ. Remote Desktop Connection là tên
được đặt cho client Terminal Services trong Windows 2000. Remote Desktop
Connection sử dụng những cải tiến mới nhất của RDP 5.2, cung cấp khả năng
nâng cao đáng kể so với các phiên bản trước đó. Remote Desktop Connection có
thể được dùng để kết nối với các phiên bản cũ hơn của Terminal Services.

Sử dụng Remote Desktop for Administration

Mặc định, Remote Desktop for Administration được để ở chế độ không hoạt động.
Muốn sử dụng nó, thực hiện theo các bước sau:

1. Vào Start > Control Panel > System.
2. Kích vào tab Remote, chọn Allow users to connect remotely to your computer
(Cho phép người dùng kết nối từ xa tới máy tính của bạn) và kích OK.
Chú ý: Bạn không cần phải có Bản quyền truy cập client Terminal Server khi sử dụng
Remote Desktop for Administration. Con số lớn nhất hai kết nối đồng thời được cho
phép tự động trên server cuối khi Remote Desktop for Administration hoạt động.

Thay đổi mức mã hoá phiên

Mặc định mức mã hoá các phiên Terminal Services được thiết lập cho Client
Compantible nhằm cung cấp mức mã hoá cao nhất hỗ trợ bởi client. Các thiết lập khác
có thể sử dụng là:

• High - thiết lập này cung cấp khả năng bảo mật hai chiều sử dụng cơ chế mã
hoá 128-bit.
• Low - thiết lập này sử dụng cơ chế mã hoá 56 bit.
• FIPS Compliant: tất cả dữ liệu được mã hoá bằng cách sử dụng các phương
thức hợp lệ Federal Information Processing Standard 140-1.

Để kiểm tra mức mã hoá, thực hiện theo các bước sau:

1. Vào Start > All Programs > Administrative Tools > Terminal Services
Configuration.
2. Ở khung bên trái, kích chọn Connections.
3. Ở khung bên phải, kích phải chuột lên RDP-tcp rồi chọn Properties.
4. Chọn General tab, chọn mức mã hoá bạn muốn trong danh sách Encryption rồi
bấm OK.

Gỡ lỗi và sửa chữa

Nếu Terminal Services không ổn định, hãy kiểm tra lại địa chỉ IP. Các vấn đề có thể
xuất hiện khi bạn cung cấp địa chỉ IP không hợp lệ. Nếu một chương trình chạy
không như mong đợi, bạn có thể xem xét các vấn đề sau:

• Các chương trình có file khoá hoặc DLL không chạy chính xác. Vấn đề này
xuất hiện khi có nhiều người dùng sử dụng cùng một lúc một chương trình nào
đấy.
• Các chương trình sử dụng tên máy tính hoặc địa chỉ IP vào mục đích kiểm định
có thể gặp sự cố. Vấn đề này xuất hiện khi nhiều người dùng cùng một lúc
chạy chương trình khi dùng chung tên máy tính hoặc địa chỉ IP.

Để biết thêm thông tin về Windows Server 2003 Terminal Services, bạn có thể tìm
trong Help and Support Center, dùng từ khoá "Terminal Services".

Kết nối và theo dõi Console Session với Windows Server 2003 Terminal Services
Bài này mô tả cách sử dụng Windows Server 2003 Terminal Services để kết nối
và theo dõi một phiên điều khiển (Console Session).

Trong Windows Server 2003, khi dùng Terminal Services, bạn có thể kết nối tới session
điều khiển (session 0) và cùng lúc có thể mở phiên theo dõi tới nó (cho đến khi nào
bạn kết nối từ một phiên khác ngoài cosole). Với tính năng bổ sung này, bạn có thể
đăng nhập vào server sử dụng Windows Server 2003 đang chạy Terminal Services từ xa
và tương tác với session 0 như thể đang ngồi trước máy vậy. Session này có thể được
theo dõi để người dùng từ xa và người dùng cục bộ có thể thấy và tương tác trong
cùng một phiên.

Kết nối tới Console Session như thế nào

Khi bạn kết nối tới Console Session của server sử dụng Windows Server 2003, không
có người dùng nào khác được kết nối tới nó nữa. Nếu một người nào đó đã đăng nhập
vào rồi, bạn chỉ có thể đăng nhập và sử dụng máy nếu bạn đang trực tiếp ngồi tại
máy.

Muốn kết nối máy tính từ xa sử dụng hệ điều hành Windows Server 2003, mở cửa sổ
lệnh Command Prompt rồi gõ lệnh sau:
mstsc -v:servername /F -console
Trong đó:
mstsc: file thực thi kết nối Remote Desktop.
-v: server sẽ kết nối tới.
/F: kiểu toàn bộ màn hình.
-console: lệnh kết nối tới Console Session.
Để sử dụng lệnh này, bạn mở Remote Desktop. Sau khi thông tin đăng nhập đã được
thẩm định, bạn sẽ kết nối tới phiên hoạt động đang chạy Windows Server 2003. Nếu
có người dùng nào đó khác hiện đang làm việc trên máy này, bạn nhận được thông báo
lỗi sau:
The user domain\username is logged locally on to this computer. The user has been
idled for number minutes. The desktop is unlocked. If you continue, this user's
session will end and any unsaved data will be lost. Do you want to continue?
(Domain hoặc username của người dùng đã được đăng nhập cục bộ vào máy tính này.
Người dùng tạm chờ một vài phút. Desktop không bị khoá. Nếu bạn tiếp tục, phiên
hoạt động của người dùng này sẽ kết thúc và bất kỳ dữ liệu không được ghi lại nào
sẽ bị mất. Bạn có muốn tiếp tục?).
Người sử dụng hiện tại sẽ bị log off và bạn nhận được một thông báo trạng thái hiện
thời của máy tính là bị khoá và chỉ có quản trị viên (administrator) mới có thể mở khoá
được.

Chú ý: Nếu người dùng Console Session và Terminal Services giống nhau, bạn có thể
kết nối mà không gặp phải vấn đề gì.

Theo dõi Console Session

Để theo dõi console session, đầu tiên bạn mở một kết nối Remote Desktop tới server
sử dụng Windows Server 2003 từ máy tính khác. Mặc định tiện ích Remote Desktop
Connection trong Windows Server 2003 được cài đặt trong tất cả mọi phiên bản của
Windows Server 2003. Bạn có thể dùng nó hoặc tiện ích dòng lệnh Mstsc được mô tả
trong phần trên nhưng bỏ qua biến đổi -console. Tiếp theo, khởi động màn hình lệnh
Command Prompt trong máy và gõ lệnh sau để bắt đầu theo dõi Console Session:
shadow 0
Sau khi nhập và gửi lệnh này, bạn nhận được thông báo sau:
Your session may appear frozen while the remote control approval is being negotiated.
Please wait... (Phiên hoạt động của bạn có thể tạm ngưng khi yêu cầu điều khiển từ
xa đang được xem xét. Xin chờ một chút…).
Trong Console Session trên server, bạn nhận được thông báo sau:
domain\username is requesting to control your session remotely.
Do you accept the request?
(Tên miền hay người dùng đang yêu cầu điều khiển phiên hoạt động của bạn từ xa.
Bạn có chấp nhận yêu cầu này không?)
Nếu người dùng kích vào Yes, bạn được kết nối tự động tới phiên hoạt động của
mình trên server sử dụng Windows Server 2003 từ xa. Nếu người dùng kích vào No
hoặc không trả lời, bạn nhận được thông báo lỗi sau tại màn hình lệnh Command
Prompt trên máy tính từ xa:
Remote control failed. Error code 7044
Error [7044]:The request to control another session remotely was denied.
(Điều khiển từ xa lỗi. Mã lỗi 7044
Lỗi [7044]: Yêu cầu điều khiển từ xa tới phiên hoạt động khác bị từ chối)
Để ngắt kết nối tới phiên theo dõi ở máy từ xa, ấn Ctrl + * (ở hàng phím số). Phiên
hoạt động ban đầu thiết lập tới server chạy Windows Server 2003 được trả lại.
Nếu bạn đăng nhập vào điều khiển của server đang chạy Terminal Services, nếu bạn
cố gắng theo dõi phiên hoạt động của người dùng khác từ máy tính, bạn nhận được
thông báo lỗi sau:
Your session may appear frozen while the remote control approval is being
negotiated. Please wait...
Remote Control Failed. Error Code 7050.
Error [7050]:The requested session cannot be controlled remotely.
This may be because the session is disconnected or does not have a user logged on.
Also, you cannot control a session remotely from the system console and you cannot
remote control your own current session.
(Phiên hoạt động của bạn có thể tạm ngưng khi yêu cầu điều khiển từ xa đang được
xem xét. Xin chờ một chút…
Điều khiển từ xa lỗi. Mã lỗi 7050
Lỗi [7050]: Phiên hoạt động được yêu cầu không thể được điều khiển từ xa. Nguyên
nhân là do phiên này đã bị ngắt kết nối hoặc không có người dùng đăng nhập. Ngoài
ra, bạn không thể điều khiển một phiên từ xa trên console hệ thống và không thể điều
khiển từ xa phiên hoạt động hiện tại riêng của bạn).
Nếu server sử dụng Windows Server 2003 không được cấu hình cho phép sử dụng
điều khiển từ xa, bạn nhận được thông báo lỗi sau:
Remote control failed. Error code 7051
Error [7051]: The requested session is not configured to allow Remote Control.
(Điều khiển từ xa lỗi. Mã lỗi: 7051
Lỗi [7051]: Phiên hoạt động yêu cầu không được cấu hình cho phép sử dụng Remote
Control).
Để cấu hình server Windows Server 2003 cho phép sử dụng điều khiển từ xa, thực
hiện theo các bước sau:

1. Mở snap-in Group Policy (Gpedit.msc).

2. Ở khung bên trái, trong phần Computer Configurationm, mở rộng Administrative
Templates.

3. Mở rộng Windows Components.

4. Kích vào thư mục Terminal Services.

5. Trong khung bên phải, kích đúp vào Sets rules for remote control of Terminal
Services user sessions.

6. Trên nhãn Setting, kích vào Enabled.

7. Trong hộp Options, chọn Full Control with users' permission, và bấm OK.

Cấu hình thẩm định Web Internet Information Services trên Windows Server 2003
Tóm tắt
Bài này sẽ hướng dẫn từng bước cách cấu hình thẩm định yêu cầu dựa trên nền tảng
Web trong Microsoft Internet Information Services (IIS) 6.0.

Quá trình thẩm định Web diễn ra như thế nào

Thẩm định Web là hoạt động truyền thông giữa Web brower (trình duyệt web trên máy
khách) và Web server (trình chủ web) với một số lượng nhỏ header và thông báo lỗi
Hypertext Transfer Protocol (giao thức truyền tải siêu văn bản).

Các bước truyền thông bao gồm:

1. Web browser tạo một yêu cầu, chẳng hạn như HTTP-GET.

2. Web server thực hiện kiểm tra thẩm định. Nếu quá trình thẩm định không thành
công, Server trả lời bằng một thông báo lỗi, tương tự như:
You are not authorized to view this page

You do not have permission to view this directory or page using the credentials you
supplied.
(Quá trình thẩm định không thành công.
Bạn không được quyền xem thư mục hay trang này với các thông tin thẩm định cung
cấp).
3. Web browser dùng trả lời của server để xây dựng yêu cầu mới chứa các thông tin
thẩm định.

4. Web server kiểm tra lại thẩm định. Nếu thẩm định thành công, Web server gửi dữ
liệu được yêu cầu ban đầu tới Web browser.

Các phương thức thẩm định

Chú ý: Với một số phương thức thẩm định sau, bạn phải dùng ổ đĩa có kiểu định dạng
file hệ thống file là NTFS, vì định dạng này duy trì mức bảo mật cao nhất.

IIS hỗ trợ các phương thức thẩm định sau:

Thẩm định ẩn danh

IIS tạo tài khoản IUSR_ComputerName (trong đó ComputerName là tên của server đang
chạy IIS) để thẩm định người dùng ẩn danh khi họ yêu cầu nội dung Web. Tài khoản
này cung cấp cho người dùng quyền đăng nhập cục bộ. Bạn có thể thiết lập lại quyền
truy cập người dùng ẩn danh để sử dụng bất kỳ tài khoản Windows hợp lệ nào.

Chú ý: Bạn có thể thiết lập các tài khoản ẩn danh khác cho nhiều website, thư mục ảo
hay thư mục vật lý và cho cả các file.

Nếu máy tính sử dụng Windows Server 2003 là máy chủ độc lập, tài khoản
IUSR_ComputerName nằm trên server cục bộ. Nếu server là một domain controller, tài
khoản IUSR_ComputerName được định nghĩa cho domain.

Thẩm định cơ bản

Sử dụng phương thức thẩm định cơ bản để giới hạn truy cập file trên Web server định
dạng NTFS. Với kiểu thẩm định cơ bản, người dùng phải nhập thông tin thẩm định và
quyền truy cập dựa trên ID người dùng (user ID). Cả user ID và password đều được
gửi qua mạng theo dạng văn bản thuần túy.

Để dùng thẩm định cơ bản, người quản trị phải cấp cho từng user quyền đăng nhập
cục bộ. Và để quản trị dễ dàng hơn, quản trị viên nên đưa người dùng vào từng nhóm
theo quyền truy cập các file cần thiết.

Chú ý: Thông thường thông tin thẩm định người dùng được mã hóa bằng chương trình
Base64. Nhưng khi truyền qua mạng, thông tin này lại không được mã hóa. Vì thế
thẩm định cơ bản không được xem là cơ chế thẩm định an toàn.

Thẩm định tích hợp sẵn trên Windows

Thẩm định tích hợp trên Windows an toàn hơn thẩm định cơ bản và hoạt động tốt
trong môi trường Intranet, nơi người dùng có các tài khoản Windows domain. Trong
thẩm định tích hợp sẵn trên Windows, trình duyệt sẽ cố gắng sử dụng thông tin thẩm
định của người dùng hiện thời đăng nhập trên domain. Nếu cố gắng này thất bại,
người dùng mới được nhắc nhập username, password. Khi sử dụng thẩm định tích hợp
trên Windows, mật khẩu của người dùng không phải truyền tới server. Nếu người
dùng đăng nhập vào máy tính cục bộ như một domain user, user không bị thẩm định lại
khi truy cập máy tính nối mạng trong domain đó. Chú ý là bạn phải dùng trình duyệt
Web từ Microsoft Internet Explorer 2.0 trở lên nếu muốn có cơ chế thẩm định tích hợp
sẵn.

Chú ý: Bạn không thể dùng thẩm định tích hợp sẵn trên Windows qua một proxy
server.

Thẩm định phân loại

Thẩm định phân loại khắc phục được nhiều nhược điểm của thẩm định cơ bản. Mật
khẩu sẽ không bị gửi đi theo dạng văn bản thuần túy. Hơn nữa bạn có thể dùng thẩm
định phân loại qua một proxy server. Thẩm định phân loại sử dụng cơ chế
challenge/response (thách_thức/đáp¬_ứng, tương tự như request/respone ở thẩm định
tích hợp sẵn trên Windows), trong đó mật khẩu được mã hóa khi gửi qua mạng.

Để dùng thẩm định phân loại, chú ý các yêu cầu tiên quyết sau:

• User và IIS server phải là thành viên, hoặc được ủy thác trên cùng một domain.
• User phải có tài khoản người dùng Windows hợp lệ lưu trữ trong Active Directory
trên domain controller.

• Domain phải dùng domain controller dựa trên Microsoft Windows 200 hoặc mới hơn.

• Bạn phải cài file IISSuba.dll trên domain controller. File này được sao chép tự động
trong quá trình cài đặt Windows 2000 hoặc Windows Server 2003.

• Bạn phải cấu hình tất cả tài khoản người dùng sử dụng tùy chọn Store password
using reversible encryption (Lưu trữ mật khẩu dùng mã hóa đảo ngược). Muốn sử
dụng tùy chọn tài khoản này, mật khẩu phải được thiết lập lại hoặc được nhập lại.

Chú ý: Muốn dùng mã hóa phân loại bạn phải sử dụng phiên bản Microsoft Internet
Explorer từ 5.0 trở lên làm trình duyệt Web.

Thẩm định .NET Passport

Microsoft .NET Passport là dịch vụ thẩm định người dùng cho phép bảo mật đăng
nhập đơn, cung cấp cho người dùng quyền truy cập bảo mật nâng cao các website và
dịch vụ hỗ trợ .NET Passport. Website hỗ trợ .NET Passport dựa trên server trung
tâm .NET Passport để thẩm định tư cách người dùng. Tuy nhiên server trung tâm không
cho phép hay từ chối truy cập của một người dùng cụ thể tới website hỗ trợ .NET
Passport riêng lẻ. Mỗi website sẽ có trách nhiệm điều khiển quyền hạn của người
dùng. Khi bạn dùng tùy chọn này, yêu cầu tới IIS phải chứa thông tin thẩm định .NET
Passport hợp lệ trên hoặc là xâu truy vấn, hoặc là trong cookie. Nếu IIS không tìm ra
được thông tin thẩm định .NET Passport, yêu cầu sẽ được gửi lại tới trang đăng
nhập .NET Passport.

Ánh xạ chứng chỉ client

Ánh xạ chứng chỉ client là phương thức trong đó một bản đối chiếu được tạo ra giữa
chứng chỉ và tải khoản người dùng. Trong mô hình này, người dùng đưa ra một chứng
chỉ và hệ thống nhìn vào bản đối chiếu để đối chiếu xem tài khoản người dùng nào sẽ
được đăng nhập. Bạn có thể ánh xạ chứng chỉ với tài khoản người dùng Windows
bằng một trong hai cách:
• Sử dụng Active Directory

• Hoặc sử dụng các quy tắc được định nghĩa trong IIS.
Để biết thêm thông tin về cách ánh xạ chứng chỉ client với tài khoản người dùng, bạn
có thể tìm phần “Client Certificate Mapping” trên tài liệu hướng dẫn của IIS. Nếu đã
cài IIS, bạn có thể truy cập các file Help hoặc sử dụng các phương thức sau:
• Kích phải chuột lên một nút nào đó trong Internet Service Manager, sau đó chọn Help.


• Khởi động Windows Explorer, xác định vị trí thư mục: tên_ổ_cứng:\Windows\Help,
sau đó mở file Lismmc.chm.
Bạn có thể cấu hình cho từng phương thức thẩm định điều khiển truy cập tới các đối
tượng sau trên IIS server:
• Tất cả nội dung Web nằm trên IIS Server.

• Các website riêng nằm trên IIS Server.

• Các thư mục ảo hoặc thư mục vật lý riêng nằm trên website.

• Các trang hoặc file riêng trên một website.
Cấu hình thẩm định website IIS như thế nào

1. Sử dụng tài khoản quản trị viên đăng nhập vào Web Server.

2. Khởi động IIS Manager hoặc mở snap-in IIS.

3. Mở rộng Server_name, trong đó Server_name là tên của server; mở rộng phần Web
Sites.

4. Sử dụng một trong các phương thức sau (phù hợp với trường hợp cụ thể của bạn),
sau đó kích Properties:
• Để cấu hình thẩm định cho tất cả nội dung Web nằm trên IIS server, kích phải chuột
lên Web Sites.

• Để cấu hình thẩm định cho một website riêng, kích phải chuột lên website bạn muốn.


• Để cấu hình thẩm định cho thư mục ảo hay thư mục vật lý trong một website, kích
vào website, sau đó kích phải chuột lên thư mục muốn thiết lập, chẳng hạn như
_vti_pvt.

• Để cấu hình thẩm định cho một trang hay file riêng trong website, kích vào website,
sau đó kích vào thư mục chứa file hoặc trang web và bấm chuột phải lên chúng.
5. Trong hộp thoại ItemName Properties (ItemName là tên đối tượng bạn chọn), ấn
vào tab Directory Security hoặc File Security (tùy vào trường hợp cụ thể để lựa chọn
cho thích hợp).

6. Dưới nhãn Anonymous access and authentication control (Điều khiển thẩm định
và truy cập ẩn danh), kích Edit.

7. Kích chọn hộp kiểm Anonymous access để bật chức năng truy cập ẩn danh. Muốn
tắt nó, bỏ dấu chọn trong hộp check box là được.

Chú ý: Nếu muốn tắt chức năng truy cập ẩn danh, bạn phải cấu hình một số dạng truy
cập được thẩm định.

Muốn thay đổi tài khoản dùng cho truy cập ẩn danh tài nguyên này, kích vào Browse,
chọn tài khoản người dùng muốn sử dụng, sau đó ấn OK.

8. Dưới nhãn Authenticated access (truy cập được thẩm định), kích chọn hộp kiểm
Windows Integrated authentication nếu bạn muốn sử dụng cơ chế thẩm định tích
hợp sẵn trên Windows.

Chú ý: Phương thức thẩm định này trước đây được biết đến dưới hình thức
Challenge/Response hay NT LAN Manager (NTLM) trong Microsoft Windows NT.

9. Kích chọn hộp kiểm Digest authentication for Windows domain servers nếu muốn
sử dụng cơ chế thẩm định phân loại. Khi nhận được thông báo sau, kích vào Yes.
“Digest authentication only works with Active Directory domain accounts. For more
information about configuring Active Directory domain accounts to allow digest
authentication, click Help.

Are you sure you wish to continue?”.

(Thẩm định phân loại chỉ làm việc với các tài khoản domain Active Directory. Để
biết thêm thông tin về cách cấu hình tài khoản miền Active Directory cho phép sử
dụng thẩm định phân loại, kích vào Help.

Bạn có muốn tiếp tục?).
Gõ tên khu vực vào hộp Realm

Chú ý: Bạn phải cấu hình tài khoản người dùng với tùy chọn Store password using
reversible encryption (lưu trữ mật khẩu dùng thuật mã hóa đảo ngược).

10. Kích chọn hộp kiểm Basic authentication (password is sent in clear text) nếu
muốn sử dụng thẩm định cơ sở. Khi nhận được thông báo sau, kích vào Yes:
The authentication option you have selected results in passwords being transmitted over
the network without data encryption. Someone attempting to compromise your system
security could use a protocol analyzer to examine user passwords during the
authentication process. For more detail on user authentication, consult the online help.
This warning does not apply to HTTPS (or SSL) connections.

Are you sure you want to continue?

(Tùy chọn thẩm định bạn chọn truyền mật khẩu qua mạng mà không mã hóa dữ liệu.
Một người nào đó muốn phá hoại bảo mật hệ thống có thể dùng chương trình phân
tích giao thức để kiểm tra mật khẩu người dùng trong quá trình thẩm định. Để biết
thêm thông tin về thẩm định người dùng, tham khảo ở hệ thông tư vấn trực tuyến.
Cảnh báo này không áp dụng cho các kết nối HTTPS (hay SSL)).

Bạn có muốn tiếp tục?)
a. Muốn mô tả tên miền dùng cho thẩm định người dùng sử dụng cơ chế thẩm định cơ
bản, gõ tên miền vào ô Default domain.
b. Ngoài ra còn cần nhập giá trị vào ô Realm.

11. Kích chọn hộp kiểm .NET Passport authentication nếu muốn dùng thẩm định
.NET Passport.

Chú ý: Khi bạn chọn tùy chọn này, các phương thức thẩm định khác không dùng được.


12. Bấm OK, sau đó trong hộp thoạiItem Name Properties, bấm OK tiếp. Nếu hộp
thoại Inheritance Overrides, thực hiện các bước sau:

a. Bấm Select All để áp dụng các thiết lập thẩm định mới cho toàn bộ file hoặc thư
mục trên vị trí đối tượng bạn thay đổi.

b. Ấn OK.

13. Thoát IIS Manager hoặc đóng IIS snap-in.

Áp dụng cho
• Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
• Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
• Microsoft Windows Server 2003, Standard Edition (32-bit x86)
• Microsoft Windows Server 2003, 64-Bit Datacenter Edition
• Microsoft Windows Server 2003, Enterprise x64 Edition
• Microsoft Internet Information Services 6.0
• Microsoft Windows Small Business Server 2003 Premium Edition
• Microsoft Windows Small Business Server 2003 Standard Edition

Khai thác hiệu quả máy in trong Windows Server 2003
Nhiều năm trở lại đây, máy in đã trở thành thứ không quá đắt đối với chi phí
của bạn. Tuy nhiên có nhiều giải pháp để có thể biết được ai đang th ực hi ện
việc in ấn trên máy in trong mạng của bạn. Ví dụ: văn phòng trả tài khoản của
công ty có một máy in để in các bản kiểm tra. Bạn có thể cấu hình máy in theo kiểu
này để không cho những người có tài khoản người dùng trong miền có thể in nó.
Ngoài ra việc biết một người dùng trái phép đã dùng nó để in và kiểm tra các bản
kiểm tra xem người dùng hợp lệ có được in hay không là một vấn đề hết sức quan
trọng.

Bạn chắc cũng đã thấy một số các công ty sử dụng một số lượng hạn chế các máy in
đắt tiền. Ví dụ: một công ty có một máy in ảnh 36x24 inch. Bạn có thể hình dung, in
bức ảnh có kích thước lớn hẳn không rẻ chút nào và phải tốn rất nhiều mực để in
được với kích thước đó. Chính vì thế, chỉ có một số ít người được cho phép in đối với
máy này, nên công ty đã quyết định kiểm tra hiệu suất sử dụng trên các máy in để bảo
đảm rằng các nguồn cung cấp không bị mất thời gian với những công việc in ấn
không cần thiết.
Rõ ràng không hề có vấn đề gì đối với việc hạn chế máy in này. Nếu công ty của bạn
làm cho hợp lý đối với việc sử dụng máy in thì đây là một ý tưởng tốt để kiểm tra máy
in, bảo đảm nó không bị sử dụng vào các mục đích trái phép. Trong bài viết này, chúng
tôi sẽ giới thiệu cho các bạn cách kiểm tra máy in và giải thích cho các bạn thấy được
các tùy chọn kiểm tra khác nhau của chúng là gì.

Quả thực hạn chế và kiểm tra các máy in cực kỳ dễ dàng nếu chuỗi in này được cấu
hình trên một máy chủ có sử dụng Windows Server 2003. Bạn phải lưu ý ở đây là điều
này không có nghĩa là các máy in phải được gắn với máy chủ theo đường vật lý. Máy
chủ có thể cấu hình chuỗi in cho một máy in mạng. Ví dụ: trong công ty, chúng tôi có
một máy in với card mạng riêng. Theo cách thông thường, hoàn toàn có thể in với các
máy in này mà không cần kết nối máy in này đến máy chủ. Tuy nhiên nếu người dùng
được phép in trực tiếp đến một máy in như vậy thì chúng ta không thể kiểm tra được
hiệu suất của nó.

Nếu bạn quan tâm đến việc hạn chế và kiểm tra một máy in như vậy thì bạn sẽ cảm
thấy có nhiều điều thú vị hơn với việc tạo một chuỗi in trên một trong những máy chủ
và xử lý với máy in mạng như thể là nó đã được kết nối đến máy chủ (dù là không).

Để xem nó như thế nào, bạn click vào nút Start của máy chủ và chọn Control Panel |
Printers and Faxes | Add Printer từ menu Start. Khi bạn thực hiện, Windows sẽ khởi
chạy Add Printer wizard.

Click next để bỏ qua màn hình Welcome của wizard. Sau khi nhấn xong bạn sẽ quan
sát thấy một màn hình tương tự như hình A. Như những gì thấy trên hình, màn hình
này hỏi xem bạn có muốn sử dụng một máy in được gắn với máy chủ hay không hoặc
có thích sử dụng một máy in mạng không. Màn hình này có một chút sai lệch bởi vì
mặc dù chúng ta đang tạo một chuỗi in cho một máy in mạng nhưng Windows không
nhận ra nó theo cách này. Nếu bạn đã chọn tùy chọn Network Printer thì Windows sẽ
thừa nhận rằng bạn đã kêt nối đến máy in đã được cấu hình trên Internet hoặc đến
một máy in đang được cấu hình bởi một Windows khác. Điều đó có nghĩa là bạn sẽ
phải kết nối đến máy in bằng cách nhập vào URL, UNC dựa trên tên chia sẻ của
chúng hoặc bằng việc thực hiện một truy vấn Active Directory. Với mục đích của bài
viết này, thừa nhận rằng chúng ta đang thử kiểm tra một máy in đứng độc lập, vì vậy
không có tùy chọn nào được áp dụng. Trường hợp đó, chúng ta hãy đi thẳng và chọn
tùy chọn Local Printer cho dù là máy in không thực sự cục bộ.
Hình A: Windows hỏi bạn lựa chọn kết nối đến một máy in cục bộ hoặc máy in
mạng.
Bây giờ bạn sẽ được thấy màn hình tương tự như hình được thể hiện trong hình B.
Như những gì bạn thấy trên hình, Windows thừa nhận rằng máy in được kết nối đến
máy chủ thông qua một cổng song song (LPT1). Bạn không thể sử dụng tùy chọn
LPT1 khi máy in không được kết nối trực tiếp đến máy chủ. Tất cả các tùy chọn khác
trong danh sách sổ xuống Use the Following Port cũng đề cập đến các cổng cục bộ.
Vì vậy bạn sẽ phải chọn tùy chọn Create a New Port.
Hình B: Mặc định Add Printer Wizard kết nối đến một máy in đã được gắn cục bộ.
Danh sách sổ xuống Create a New Port gồm có hai tùy chọn; Local Port và Standard
TCP/IP port. Chọn tùy chọn Standard TCP/IP port và click Next, Windows sẽ khởi
chạy Add Standard TCP/IP Printer Port wizard. Click Next để bỏ qua màn hình này
bạn sẽ nhìn thấy một màn hình như hình C, cửa sổ này hỏi về tên của máy in hoặc địa
chỉ IP và tên cổng.
Hình C: Bạn phải nhập vào địa chỉ IP của máy in và tên cổng.
Máy in có một địa chỉ IP được gán cho nó, vì vậy bạn chỉ cần nhập vào đó địa chỉ vào
khoảng trống. Ở đây có thể nhập tên cổng bất kỳ nhưng phải lưu ý rằng tên cổng
phải là duy nhất. Mặc định, Windows sẽ tạo tên cổng của nó có IP_ ở trước địa chỉ IP
của máy in. Bạn có thể sử dụng tên cổng này hoặc tạo tên cổng mà bạn thích thay đổi.


Click Next bạn sẽ quan sát thấy một cửa sổ hiển thị các tùy chọn đã nhập vào như
hình D. Chú ý trong hình này, cổng mà bạn đang cấu hình được thiết lập để chấp nhận
dữ liệu in RAW trên cổng 9100 và Windows thừa nhận rằng máy in sử dụng giao diện
HP Jet Direct
Hình D: Windows hiển thị các tùy chọn mà bạn đã chọn
Click Finish bạn sẽ quay trở lại Add Printer wizard. Cửa sổ tiếp theo mà bạn sẽ
quan sát thấy yêu cầu đánh vào đó loại máy in đang thiết lập. Bạn có thể chọn đúng
loại máy in từ danh sách hoặc sử dụng tùy chọn có trong ổ cứng Have Disk để cung
cấp một drive in của riêng bạn.

Click Next bạn sẽ thấy một màn hình hỏi về tên cùa máy in và xem có muốn Windows
sử dụng như máy in mặc định hay không. Trả lời các câu hỏi đó hoàn toàn dễ dàng đối
với bạn. Sau khi hoàn thành các phần chọn, click Next.

Bạn sẽ quan sát thấy một cửa sổ tương tự như hình E, cửa sổ này hỏi xem bạn có
muốn chia sẻ máy in hay không. Windows đã thừa nhận rằng bạn cho thiết lập máy in
để in nó từ máy chủ. Nếu mục đích của bạn là để kiểm tra việc sử dụng máy in thì
phải chia sẻ nó.
Hình E: Bạn nên chọn chia sẻ máy in
Mục tiêu của bạn là các công việc đã được dự trù từ trước cho máy in thông qua máy
đang cấu hình. Bằng cách làm như vậy bạn sẽ hạn chế được sự truy cập đến máy in
(nếu cần thiết), và sẽ kiểm tra được vấn đề sử dụng máy in.

Chúng ta cũng nên đề cập đến vấn đề quan trọng ở đây đó là bạn chỉ thiết lập một
máy chủ để chia sẻ máy in này. Mặt khác nếu có nhiều máy chủ để sử dụng máy in
cùng một thời điểm thì máy in có thể từ chối như thế nào.

Click Next bạn sẽ thấy cửa sổ lệnh để nhập vào vị trí của máy in và nhắc nhở tùy
chọn. Thông tin này được dự định để giúp người dùng tính toán chuỗi in của nó.

Click Next bạn sẽ nhận được in một trang kiểm tra. Sau khi thực hiện công việc này,
click Next thêm một lần nữa sau đó là Finish. Máy chủ sẽ được thiếp lập để quản lý
các công việc in của máy in. Nhớ rằng bạn phải gửi lại một lần nữa đến các máy
trạm làm việc để chúng in tên chia sẻ UNC của máy chủ (\\server name\share name)
hay hơn việc in từ may in một cách trực tiếp.

Kết luận

Trong phần 1 này, chúng tôi đã cho các bạn thấy được cách cấu hình một máy chủ để
quản lý một máy in mạng. Trong phần 2 của loạt bài này chúng tôi sẽ tiếp tục giới
thiệu cho các bạn thấy được cách bảo vệ và kiểm tra chuỗi in.
Bắt đầu bằng việc quan sát phần có trong thuộc tính của máy in. Bạn có thể vào các
thuộc tính này bằng việc điều hướng thông qua menu Start của máy chủ > Control
Panel | Printers and Faxes. Khi bạn chọn menu Printers and Faxes, chuỗi in đang được
quản lý bởi máy chủ sẽ hiển thị trên menu con. Kích chuột phải vào chuỗi in mà bạn
muốn bảo vệ và chọn Properties.

Khi cửa sổ các thuộc tính của máy in được mở, tab General sẽ lựa chọn một cách
mặc định. Không thực sự có nhiều thứ bạn muốn làm về vấn đề bảo mật trong tab
này, vì vậy hãy vào tab Sharing. Như những gì bạn có thể nhìn thấy trong hình A tab
Sharing cho phép chỉ định tên máy in chia sẻ. Tên chia sẻ được sử dụng như một phần
của quy ước tên phổ biến Universal Naming Convention (UNC). Có một số lệnh có thể
được sử dụng ở đây đối với máy in đang được sử dụng UNC. Ví dụ: nếu muốn bản
đồ hóa cổng LTP1 cho máy in, bạn sử dụng lệnh dưới đây:

NET USE LPT1: \\servername\sharename

Ở lệnh trên, tên máy chủ servername sẽ biểu hiện một máy chủ đang quản lý máy in
được chia sẻ, còn tên chia sẻ sharename là tên máy in được chia sẻ ở dưới.




Hình A: Tab Sharing cho phép bạn thiết lập tên chia sẻ của máy in
Nhìn thoáng qua, tab này có nội dung và hình thức rất giống với cửa sổ sử dụng để
chia sẻ thư mục. Tuy nhiên nhìn kỹ ta sẽ thấy có một số điểm khác. Điểm khác biệt
chủ yếu ở đầy là, trong cửa sổ chia sẻ thư mục file, bạn có thể thiết lập các cho phép
ở mức chia sẻ hay cả mức NTFS. Nếu nhìn vào hình A, bạn sẽ thấy rằng, không có cơ
chế nào để thiết lập các sự cho phép đó ở đây. Thay vì đó, tất cả sự cho phép được
thiết lập thông qua tab Security, nội dung của tab này sẽ được chúng tôi giới thiệu sau.
Có một số thứ có thể thực hiện trong tab Sharing để có thể tăng bảo mật của máy in.
Một tùy chọn cho phép không liệt kê máy in trong Active Directory. Việc không liệt
danh sách máy in trong Active Directory sẽ làm cho máy in không thể nhìn thấy được
bởi người khác, chính vì vậy mà người dùng vẫn có thể duyệt mạng máy in (sử dụng
kiểu NetBIOS, không bằng duyệt Active Directory). Nó giảm những trường hợp nhiều
người dùng vô tình nhảy vào máy in.

Nếu bạn để ý trong hình A, sẽ thấy được nút Additional Drivers. Windows được
thiết kế để khi người dùng gắn máy in thông qua sự chia sẻ, các driver cần thiết sẽ
được cài đặt tự động vào máy tính người dùng. Nếu ở trong tình huống này, tình
huống mà bạn biết rằng ai đó cần máy in đang chạy trên một hệ điều hành riêng thì
bạn có thể cài đặt các driver chỉ cho hệ điều hành đó. Đây không đúng là một giải
pháp bảo mật vì một người dùng hoàn toàn có thể cài đặt một driver lên máy tính của
họ bằng cách tải nó về từ Internet (cho rằng họ có sự cho phép làm điều đó). Việc
không tự động trao cho người dùng một driver khi họ gắn máy in chỉ cần đơn giản
bằng cách bắt người dùng phải nhảy qua các kiểm tra.

Không có thiết lập nào trên tab Sharing đạt những gì cho là các thiết lập bảo mật thực
sự, chúng là những thứ đơn giản nhưng có thể cải thiện bảo mật ở một mức độ thứ
yếu trong một số trường hợp, vì vậy mà chúng tôi vẫn đề cập đến.

Tab Advanced

Tab Advanced thực sự không có nhiều thiết lập bảo mật, nhưng nó có một thiết lập
mà chúng tôi muốn giới thiệu cho các bạn. Nếu nhìn vào hình B thì bạn sẽ thấy tab
Advanced gồm có một thiết lập cho phép kiểm soát máy in khi in hoặc không in. Nếu
bạn biết không có ai trong công ty cần đến việc in ấn ngoài giờ thì có thể thiết lập
máy in để nó chỉ có tác dụng in trong giờ làm việc của công ty.
Hình B: Tab Advanced gồm một thiết lập cho phép bạn điều khiển thời gian in.
Tab Security

Tab Security được thể hiện như trong hình C, cho phép bạn kiểm soát chuỗi in. Ở đây
bạn có thể điều khiển được cả người dùng và nhóm người dùng giống như việc bảo
mật hệ thống file. Tuy nhiên chúng ta nên sử dụng bảo mật nhóm trong trường hợp
này.
Hình C: Tab Security cho phép kiểm soát người dùng hoặc nhóm
Nếu nhìn vào hình, bạn có thể thấy được 4 tùy chọn khác nhau ứng với những chức
năng bảo mật khác nhau có thể thiết lập cho máy in. Cửa sổ này thực sự không nói hết
được các tính năng bảo mật, chúng chỉ đưa ra các cho phép có sẵn. Nếu bạn thực sự
muốn nâng cao hơn nữa tính năng bảo mật cho máy in thì hãy nhấn vào nút Advanced.


Khi nhấn vào đó, Windows sẽ hiển thị cho bạn các thuộc tính bảo mật nâng cao. Các
thuộc tính này cho phép thiết lập cho phép cho người dùng và nhóm theo cách giống
như màn hình hiển thị trong hình C. Tuy nhiên sự khác nhau ở đây là màn hình này cho
phép bạn có khả năng can thiệp vào sâu hơn nữa về các thuộc tính máy in. Hình D
dưới đây cho bạn thấy rõ điều này.
Hình D: Các thuộc tính bảo mật nâng cao cho phép bạn có những tính năng
bảo mật nâng cao hơn so với các chức năng sẵn có trong tab Security.
Ở đây, bạn có thể cho phép hoặc hạn chế sự cho phép, việc này tạo điều kiện thuận
tiện trong sử dụng. Nếu người dùng là một thành viên của hai nhóm khác nhau thì
những cho phép của nhóm sẽ được kết hợp để tạo thành cho phép hiệu quả đối với
người dùng. Thông thường tình huống tương tự như vậy thường áp dụng cho những
cho phép hạn chế mức thấp nhất. Tuy nhiên ngoại trừ trường hợp người dùng có hạn
chế đặc biệt thì hạn chế này sẽ có quyền ưu tiên cao nhất. Bạn có thể sử dụng khái
niệm này để tăng kiểm soát đối với các cho phép. Trước khi giới thiệu cho bạn cách
làm, chúng ta hãy xem qua các cho phép khác nhau đó có những chức năng gì.

Print – Nếu một người dùng được cho phép in thì người này sẽ được phép sử dụng
máy in.

Manage Printers (Quản lý các máy in) – Với cho phép này, người dùng có thể thay đổi
các thuộc tính của máy in và thay đổi các cho phép để áp dụng đối với người dùng
khác.

Manage Documents (Quản lý tài liệu) – Tính năng này cho phép người dùng thực hiện
một số công việc như là dừng, khởi động lại, hay xóa một nhiệm vụ in nào đó.

Read Permissions – Nếu người dùng được gán cho chức năng này thì họ có thể xem
các cho phép được gán tới mỗi người dùng.
Change Permissions – Chức năng này cho phép người dùng thay đổi các cho phép đối
với người dùng khác.

Take Ownership – Tính năng này cho phép người dùng có được quyền sở hữu máy in.

Bạn có thể sử dụng các cho phép khác nhau để kết hợp (giữa cho phép và hạn chế) để
tạo ra các thiết lập bảo mật mức cao.

Kết luận

Như đã giới thiệu, có nhiều thiết lập mà bạn có thể sử dụng để kiểm soát máy in
trong công ty bạn. Trong phần 3 của bài viết này, chúng tôi sẽ tiếp tục giới thiệu cho
các bạn cách làm thế nào để kiểm định việc sử dụng máy in.

Tạo và áp dụng chính sách bảo mật truy cập từ xa trong Windows Server 2003
Hướng dẫn từng bước dưới đây sẽ giới thiệu cho bạn cách đặt chính sách bảo
mật truy cập từ xa trong Microsoft Windows Server 2003 ở chế độ thông thường.
Ngoài ra cũng giới thiệu cách thiết lập chính sách này trên Windows Server 2003
trong các máy chủ truy cập từ xa.

Trong Microsoft Windows Server 2003 ở chế độ thông thường, bạn có thể sử dụng ba
kiểu chính sách truy cập từ xa dưới đây:

• Explicit allow (Cho phép hoàn toàn)
Chính sách truy cập từ xa được thiết lập là "Grant remote access permission" (Cho
phép truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách.

• Explicit deny (Từ chối hoàn toàn)
Chính sách truy cập từ xa được thiết lập là "Deny remote access permission" (Từ chối
truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách.
• Implicit deny (Từ chối hoàn toàn tuyệt đối)
Kết nối không phù hợp với tất cả các điều kiện truy cập của chính sách.

Để thiết lập một chính sách truy cập từ xa, cấu hình chính sách. Sau đó, cấu hình thiết
lập dial-in của tài khoản người dùng để chỉ ra các quyền truy cập từ xa được kiểm
soát bởi chính sách.

Cách cấu hình chính sách truy cập từ xa

Mặc định, hai chính sách truy cập từ xa được cung cấp trong Windows Server 2003:

• Connections to Microsoft Routing and Remote Access server
Chính sách này tương ứng với các kết nối truy cập từ xa được tạo đối với Routing và
dịch vụ truy cập từ xa.

• Connections to other access servers (Kết nối đến các máy chủ truy cập khác)
Chính sách này tương ứng với các kết nối vào, không quan tâm đến loại máy chủ truy
cập mạng.

Windows Server 2003 sử dụng chính sách Connections to other access servers chỉ khi
một trong những điều kiện sau được thỏa mãn:

• Chính sách Connections to Microsoft Routing and Remote Access server không có
sẵn.

• Các chính sách cũ hơn đã được thay đổi.

Để cấu hình một chính sách mới, bạn thực hiện theo các bước sau:

1. Kích Start, vào Programs, Administrative Tools, sau đó là Routing and Remote
Access.

2. Mở Server_Name, sau đó kích Remote Access Policies.

Lưu ý, nếu bạn không cấu hình truy cập từ xa, hãy kích Configure and Enable
Routing and Remote Access trên menu Action, và sau đó thực hiện theo các bước
trong Routing and Remote Access Server Setup Wizard.

3. Tạo một chính sách mới

Các bước ví dụ dưới đây sẽ mô tả cho các bạn cách tạo một chính sách mới cho phép
hoàn toàn quyền truy cập từ xa đối với một người dùng cụ thể trong những ngày nào
đó. Chính sách này cũng khóa hoàn toàn sự truy cập trong những ngày khác.

• Kích chuột phải vào Remote Access Policies, sau đó kích New Remote Access
Policy.
• Trong New Remote Access Policy Wizard, kích Next.
• Trong hộp Policy name, đánh Test Policy, sau đó kích Next.
• Trong trang Access Method, kích Dial-up, sau đó kích Next.
• Trong trang User or Group Access, kích User hoặc Group, sau đó kích Next.

Lưu ý nếu bạn muốn cấu hình chính sách truy cập từ xa cho một nhóm, thì kích
Add, đánh tên của nhóm trong hộp Enter Object Names To Select, sau đó kích
OK.
• Trong trang Authentication Methods, bảo đảm rằng chỉ có hộp chọn
Microsoft Encrypted Authentication version 2 (MS-CHAPv2) được chọn, sau
đó kích Next.
• Trong trang Policy Encryption Level, kích Next.
• Kích Finish.

Một chính sách mới có tên là Test Policy xuất hiện trong Remote Access
Policies
• Trong cửa sổ bên phải, kích chuột phải vào Test Policy sau đó kích Properties.
• Kích Edit Profile, chọn hộp thoại Allow access only on these days and at these
times, sau đó kích Edit.
• Kích Denied, Monday through Friday from 8:00 A.M. to 4:00 P.M >
Permitted > OK,
• Kích OK để đóng hộp thoại Edit Dial-in Profile.
• Kích OK để đóng hộp thoại Test Policy Properties.

Chính sách Test Policy đã có hiệu lực
• Lặp lại các bước để tạo một chính sách khác có tên là Test Block Policy.
• Trong cửa sổ bên phải, kích chuột phải vào Test Block Policy, sau đó chọn
Properties.
• Trong hộp thoại Test Block Policy Properties, kích Deny remote access
permission.

Lúc này chính sách Test Block Policy có hiệu lực

4. Thoát khỏi Routing and Remote Access.

Cách cấu hình thiết lập dial-in tài khoản người dùng

Để chỉ định các quyền truy cập từ xa được kiểm soát bởi chính sách truy cập này, bạn
thực hiện các bước như sau:

1. Kích Start, vào Programs > Administrative Tools, sau đó sử dụng một trong các
phương pháp dưới đây.

• Phương pháp 1: Với bộ điều khiển miền Active Directory

Nếu máy tính là một bộ điều khiển miền dịch vụ thư mục Active Directory,
bạn thực hiện các bước dưới đây:

a, Kích Active Directory Users and Computers.

b, Trong menu hình cây, mở Your_domain, sau đó kích Users.
• Phương pháp 2: Với máy chủ Windows Server 2003 độc lập

Nếu máy tính của bạn là một máy chủ Windows Server 2003 độc lập, bạn thực
hiện theo các bước dưới đây:

a, Kích Computer Management.

b, Trong cửa sổ menu hình cây, kích vào System Tools > Local Users and
Groups, sau đó là Users.
2. Kích chuột phải vào tài khoản người dùng, sau đó chọn Properties.

3. Trong tab Dial-in, kích Control access through Remote Access Policy, sau đó kích
OK.

Lưu ý, nếu Control access through Remote Access Policy không có sẵn, thì Active
Directory có thể đang hoạt động trong chế độ “Mixed”.

Xử lý sự cố

Nếu không sử dụng các nhóm để chỉ định quyền truy cập từ xa trong cấu hình chính
sách thì bạn hãy bảo đảm rằng tài khoản khách phải được vô hiệu hóa. Cũng như vậy,
bạn phải bảo đảm rằng đã thiết lập quyền truy cập từ xa cho tài khoản khách là Deny
access. Để thực hiện điều đó, hãy sử dụng một trong các phương pháp dưới đây:

Phương pháp 1: Với bộ điều khiển miền Active Directory
1. Kích Start, chỉ đến Programs > Administrative Tools, sau đó kích Active Directory
Users and Computers.

2. Trong cửa sổ hình cây, mở Your_domain sau đó kích Users.

3. Kích chuột phải vào Guest, sau đó kích Properties.

4. Trong tab Dial-in, kích Deny access, sau đó là OK

5. Kích chuột phải vào Guest, chỉ đến All Tasks, sau đó kích Disable Account.

6. Khi nhận được thông báo “Object Guest has been disabled” (Đối tượng khác đã
được vô hiệu hóa), kích OK.

7. Thoát khỏi Active Directory Users and Computers.
Phương pháp 2: Với máy chủ Windows Server 2003 đơn lẻ
1. Kích Computer Management.

2. Trong cửa sổ menu hình cây, kích System Tools > Local Users and Groups, sau đó
kích Users.

3. Kích chuột phải vào Guest chọn Properties.

4. Trong tab Dial-in, kích Deny access, sau đó kích OK.

5. Kích chuột phải vào Guest chọn Properties.

6. Kích chọn Account is disabled, sau đó kích OK.

7. Thoát khỏi Computer Management.
Tham khảo thêm

Để có thêm thông tin chi tiết về các chính sách truy cập từ xa, bạn hãy kích Start >
Help and Support, nhập remote access policies trong hộp tìm kiếm Search, sau đó
nhấn ENTER để xem các chủ đề.


Cấu hình Distributed File System (DFS) trên Windows Server 2003
Windows 2000 đã giới thiệu Distributed File System (DFS) cho phép bạn hợp nh ất
các chia sẻ file giúp người dùng có thể truy cập tới chúng từ một điểm trên
mạng. Windows Server 2003 đã cải tiến công nghệ mô hình WAN cho phép các
điểm DFS tồn tại qua các liên kết WAN. Trong bài này, Quản Trị Mạng sẽ giải
thích hoạt động của DFS cũng như đưa ra các bước thiết lập và cấu hình DFS
trên Windows Server 2003.

Trong môi trường DFS bạn có thể tập trung các thư mục và tập tin chia sẻ cùng tồn
tại trên các máy chủ khác nhau để hiển thị như từ cùng một vị trí.

Thực hiện theo các bước cấu hình DFS như sau:

1. Cấu hình máy chủ để nắm được nguyên tắc của máy chủ tài nguyên. Trên thanh
Start chọn Administrative Tools.

2. Chọn Configure Your Server Wizard.

3. Tại Roles wizard, chọn nguyên tắc cho máy chủ tập tin và kích Next. (Bạn có thể sẽ
cần đĩa CD Windows Server 2003 CD để hoàn thành thiết lập).

4. Sau khi hoàn thành cài đặt, kích Finish.

Việc sử dụng các thành phần của DFS không phụ thuộc vào các nguyên tắc máy chủ
tài nguyên . Nếu như bạn không muốn cấu hình các nguyên tắc máy chủ tài nguyên thì
có thể cài đặt các thành phần DFS theo các bước sau:

1. Mở Start | Control Panel vào mục Add/Remove Programs.

2. Chọn Windows Components từ thanh điều hướng bên trái.

3. Kích chọn hộp kiểm kế bên thành phần DFS mong muốn. Nếu bạn không đang sử
dụng nhiều trang với nhiều yêu cầu tương đương, thì có thể chọn thành phần DFS và
kích Details để hủy chọn thành phần DFS thứ bản.

4. Vào Start | All Programs | Administrative Tools.

5. Chọn Distributed File System.
6. Tại ô bên trái của snap-in DFS, kích phải chuột tại nút Distributed File System và
chọn New Root.

Cách tạo một DFS root

Các môi trường DFS tạo một DFS root, là nơi mà tất cả các mục chọn bên trong DFS
tồn tại. Ví dụ như nếu văn phòng Chicago gọi DFS root trên máy chủ tài nguyên nội
bộ “phòng ban” thì sẽ thu được một danh sách các tài nguyên chia sẻ có trong DFS.

1. New Root Wizard sẽ trợ giúp bạn tạo DFS root. Kích Next trên màn hình Welcome
để bắt đầu.

2. Tiếp theo New Root Wizard sẽ yêu cầu bạn lựa chọn tạo Standalone Root hay một
Domain Root. Sau đó kích Next.

Một Domain root sử dụng Active Directory (AD) để lưu trữ các thông tin DFS; Nó
cũng cho phép các thông tin DFS đồng nhất với AD, đồng thời cho phép các DFS root
và các tài nguyên chia sẻ cùng đồng bộ qua các trang. Một Standalone root lưu trữ
thông tin DFS trên máy chủ tài nguyên của chính nó và không có bản sao đồng nhất.

Tùy theo sự lựa chọn root để xác định bạn sẽ cung cấp gì trong phần tiếp theo của
New Root Wizard. Nếu chọn Domain Root, bạn cần chỉ định rõ tên miền của môi
trường AD cũng như là các miền tin cậy khác. Nếu chọn Standalone, bạn sẽ nhập vào
tên của máy chủ tài nguyên.

3. Nhập vào tên của Active Directory Domain (đối với domain root) hay Server Name
(đối với standalone root) và kích Next.

(Trong phần còn lại của bài sẽ sử dụng một Standalone root cho DFS. Sự khác nhau
giữa hai loại trên chỉ là sự đồng nhất AD chứ không ảnh hưởng gì tới cấu hình chung
của DFS.)

4. Sau khi đã chỉ định tên máy chủ tài nguyên cho DFS root, hãy nhập tên root và kích
Next. (Trong ví dụ thì root có tên là Departments).

5. Tại màn hình tiếp theo, tìm tới một thư mục mà bạn muốn chia sẻ như là một phần
của môi trường DFS. Chọn thư mục và kích Next. Bạn có thể thêm các chia sẻ thêm
vào DFS root bất kỳ lúc nào sau những bước cấu hình đầu tiên.

6. Kích Finish để hoàn thành cài đặt DFS New Root.

Nếu kích vào DFS root được tạo trong bảng điều khiển DFS, bạn sẽ không thấy bất
kì sự chia sẻ nào bởi vì bạn chưa thêm chúng vào. Thư mục chia sẻ được xác định khi
đang tạo DFS root cũng như điểm bắt đầu cho môi trường DFS. Để thêm các chia sẻ
cho DFS root, bạn cần liên kết các chia sẻ đó với gốc. Thực hiện các bước sau để
thêm một liên kết tới DFS root:
1. Kích phải chuột tại đối tượng DFS Root phía dưới nút Distributed File System trên
bảng điều khiển DFS và chọn New Link.

2. Hệ thống sẽ yêu cầu đường dẫn UNC để chia sẻ, và đặt một tên cho liên kết. Hộp
thoại New DFS Link cũng cho phép xác định lượng thời gian cho máy khách giữ tham
chiếu tới liên kết. Việc làm này sẽ làm giảm lưu lượng mạng bằng cách giảm các tấn
công để liên tục tìm kiếm liên kết DFS.

3. Nhập tên liên kết. Tên này sẽ xuất hiện tại ô Preview trên hộp thoại New Link. Hộp
thoại này sẽ cho bạn biết đường dẫn của liên kết mới.

4. Kích OK để tạo liên kết.

Vậy là bạn đã thêm vào DFS root và một liên kết, bạn có thể bắt đầu sử dụng môi
trường DFS. Bạn có thể liên kết tất cả các chia sẻ tới Departments root (không cần
bận tâm tới vị trí thực sự của các chia sẻ); DFS root giúp giảm một số lượng lớn các
bước quản lý chia sẻ và tăng tốc độ truy cập tới tất cả các liên kết thêm vào thông qua
DFS root dù tập tin chia sẻ đang trên bất kỳ máy chủ nào.

Việc sử dụng DFS sẽ cho phép các quản trị viên chỉ rõ các các ánh xạ điều khiển
mạng tới một vị trí để truy nhập tới tất cả các liên kết chia sẻ. Việc giảm bớt số
lượng ánh xạ điều khiển và bảo trì có thể kết hợp với việc quản lý các ánh xạ đó.

Tạo các mục bản ghi sự kiện trên Windows Server 2003
Windows Server 2003 ghi lại rất nhiều kiểu sự kiện bao gồm cả các ứng dụng,
các sự kiện hệ thống và các mục bảo mật. Các bản ghi sự kiện này rất có ích
trong việc theo dõi vấn đề thực thi và những vấn đề của hệ điều hành hay ứng
dụng đang chạy trên máy chủ. Bạn có thể tìm thấy các bản ghi sự kiện đặc biệt
hữu ích để ghi lại mọi sự kiện khác tới bản ghi bằng cách sử dụng các tiện ích dòng
lệnh trên Windows Server 2003. Bạn có thể phát hành tiện ích này bên trong một tập
tin .BAT để ghi lại hoạt động của tập tin hoặc có thể gọi vào tập tin này trong suốt
quá trình cài đặt tới một bản ghi sự kiện.

Lệnh Event Create để tạo ra một mục bản ghi sự kiện là EventCreate. Thực hiện lệnh
EventCreate với đối số /? cung cấp các lệnh như trong bảng dưới đây.
C:> eventcreate /S \\servername /L Application /T Success /SO
Application Name /ID 1754 /D “Description of event”
Bạn có thể ghi bất kỳ sự kiện nào tới bản ghi bằng lệnh này. Windows Server 2003
thêm rất nhiều sự kiện vào các bản ghi mà không cần sự can thiệp của người dùng,
tuy nhiên những tập tin tùy chỉnh được tạo ra để trợ giúp bạn thực hiện bất kỳ nhiệm
vụ nào cũng sẽ không để lại dấu vết ghi trên hệ thống trừ phi bạn ghi chúng.
Đối sốHoạt động/SChỉ định tên của hệ thống từ xa để kết nối khi đang ghi sự
kiện/UChỉ định một tài khoản người dùng để ghi các sự kiện cần thiết /PChỉ định một
mật khẩu cho tài khoản người dùng;/LChỉ định bản ghi để ghi sự kiện (ví dụ: Ứng
dụng, hệ thống, bảo mật) /TChỉ định kiểu sự kiện; Các kiểu sự kiện hợp lệ bao gồm:
SUCCESS, ERROR, WARNING, INFORMATION/SO Chỉ định nguồn của sự kiện (ví
dụ: WinWord cho Microsoft Word) /IDChỉ định một ID đối với sự kiện giữa 1 và 1000
(dấu phẩy không được chấp nhận) /D Chỉ định miêu tả các sự kiện được nhập; Mỗi
sự kiện được liệt kê trong dấu ngoặc kép.
Khi thực hiện các nhiệm vụ tự động trên những hệ thống từ xa, thì việc ghi lại các
nhiệm vụ vào bản ghi sự kiện có thể trợ giúp bạn hay các quản trị viên khác nắm
được những hoạt động nào đã thực hiện đồng thời cũng nắm được hệ thống đã phản
hồi lại ra sao.



Ghi chú: Lệnh EventCreate cũng đồng thời hoạt động trên các hệ thống cài đặt hệ
điều hành Windows XP và Windows Vista.

M.Hà (Theo Techrepublic)
Vô hiệu hóa tài khoản người dung trên Windows Server 2003
̀
Khi một nhân viên rời khoi công ty, thì viêc xoa bỏ tai khoan sử dung cua người
̉ ̣ ́ ̀ ̉ ̣ ̉
đó là môt viêc lam rât quan trong. Công ty có thể xóa tài khoản người sử dụng sau
̣ ̣ ̀ ́ ̣
nhiều ngày hay tuân, nhưng có thể ban chỉ muôn vô hiêu hoa tai khoan đó hơn là
̀ ̣ ́ ̣ ́ ̀ ̉
́ ̉
xoa hăn đi.

Có hai cách để vô hiệu hóa tài khoản người dung trên Windows Server 2003. Môt
̀ ̣
phương phap đat hiêu quả ngay lâp tức và phương phap con lai sẽ có tac dung vao cuôi
́ ̣ ̣ ̣ ́ ̀ ̣ ́ ̣ ̀ ́
môt ngay xac đinh. Phương pháp sau cho phép Windows xử lý hoạt động vô hiêu hoá
̣ ̀ ́ ̣
tài khoản. Điêu nay có thể có ích trong trường hợp người dung rời đi vào một thời
̀ ̀ ̀
điểm đã xác định sẵn. Việc vô hiệu hóa một tài khoản sẽ ngăn chăn tai khoan đó không
̣ ̀ ̉
nhận được thư điện tử (Nếu cac thuộc tính thư điện tử đã được câu hình), và ngăn
́ ́
chăn người dung đăng nhập hay truy nhập vao cac tai nguyên mạng. Nếu bất cứ ai cần
̣ ̀ ̀ ́ ̀
truy nhập vao tài khoản đã bị vô hiêu hoa với bất kỳ lý do nào, bạn có thể dễ dang kich
̀ ̣ ́ ̀ ́
hoat trở lai tai khoan đo.
̣ ̣ ̀ ̉ ́

Để vô hiệu hóa một tài khoản người dung ngay lâp tức, ban hay thực hiên theo cac
̀ ̣ ̣ ̃ ̣ ́
bước sau đây:

1. Mở Active Directory Users And Computers.

2. Tai ô bên phai cua cửa sổ Active Directory Users And Computers, kich phai chuôt vao
̣ ̉ ̉ ́ ̉ ̣ ̀
tai khoan người dung ban muôn vô hiêu hoa và chon Disable. Bạn sẽ thấy một hộp
̀ ̉ ̀ ̣ ́ ̣ ́ ̣
thoại được hiên thị bao cho biết rằng tài khoản đó đã được vô hiêu hoa.
̉ ́ ̣ ́

̣ ̣ ́ ̉ ̣ ́
3. Sau khi hôp thoai thông bao hiên thi, kich OK.

Để thiêt lâp môt tài khoản người dung sẽ bị vô hiệu hóa vao cuối của một ngày
́ ̣ ̣ ̀ ̀
tháng xác định, hay thực hiên theo cac bước sau:
̃ ̣ ́

1. Mở Active Directory Users And Computers.
2. Tai ô bên phai cua cửa sổ Active Directory Users And Computers, kich phai chuôt vao
̣ ̉ ̉ ́ ̉ ̣ ̀
tên tai khoản người dung bạn muốn vô hiệu hóa và chọn Properties.
̀ ̀

3. Kích thẻ Account trên hộp thoai thuộc tính tài khoản người dung.
̣ ̀

4. Tai ô phia dưới thẻ Account, chon ngay thang ban muôn tài khoản sẽ băt đâu bị vô
̣ ́ ̣ ̀ ́ ̣ ́ ́ ̀
̣ ́ ̀ ́
hiêu hoa rôi kich OK.

Việc xóa một tài khoản người dung là loại bỏ tất cả các thuộc tính của đối tượng
̀
người sử dụng từ Active Directory. Nếu một đối tượng người dung đã bị xóa từ
̀
Active Directory thì bạn sẽ cần khởi tạo ra một người dung mới và thêm tất cả những
̀
thuộc tính cân thiêt, cũng như một Security Identifier (nhân biêt bao mât) trong trường
̀ ́ ̣ ́ ̉ ̣
hợp người dung quay trở lại công ty.
̀

Ghi chú: để viêc vô hiêu hoa tai khoan người dung được hoan tât thì sau khi thay đổi
̣ ̣ ́ ̀ ̉ ̀ ̀ ́
bạn cần tạo lại bản sao trên môi trường Active Directory của mình. Vì nếu có các vấn
đề với bản sao thư mục, bạn có thể thấy sự xuất hiện lai của những tài khoản đã bị
̣
xóa hay sự kich hoat lai cac tai khoản đã được vô hiêu hoa.
́ ̣ ̣ ́ ̀ ̣ ́

Trường hợp không cân sử dung lai tai khoan đó thì ban có thể xoa bỏ đôi tượng tai
̀ ̣ ̣ ̀ ̉ ̣ ́ ́ ̀
khoan người dung theo cac bước sau:
̉ ̀ ́

1. Mở Active Directory Users And Computers.

2. Kich phai chuôt tai đôi tượng tai khoan người dung (User Account Object) ban muôn
́ ̉ ̣ ̣ ́ ̀ ̉ ̀ ̣ ́
́
xoa.

3. Chon Delete từ trinh đơn ngữ canh.
̣ ̀ ̉

4. Kich Yes khi được hoi liêu ban có muôn xoa đôi tượng hay không.
́ ̉ ̣ ̣ ́ ́ ́

Quản trị Windows Server 2003 từ máy trạm XP
Bạn cảm thấy mệt mỏi với việc phải di chuyển qua lại giữa văn phòng làm việc
với phòng máy chủ để thực hiện những nhiệm vụ cần thiết cho mạng của công
ty? Với bài hướng dẫn này, bạn có thể tải các công cụ quản trị mạng về chính
máy trạm XP của mình, thực hiện các thao tác với máy chủ một cách nhanh
chóng và hiệu quả.

Windows Server 2003 ra mắt với rất nhiều các công cụ quản trị mạng mạnh mẽ và
phong phú. Bạn có thể sử dụng chúng để cấu hình máy chủ thực hiện những nhiệm
vụ cần thiết. Thường thì bạn phải ngồi trước máy chủ và thực hiện các thao tác quản
lý hoặc tối thiểu là kết nối từ xa tới máy chủ. Điều này có thể làm chậm và khá không
thuận tiện, nó làm cho khó có thể thực hiện các nhiệm vụ cần thiết một cách nhanh
chóng.

May thay, sử dụng các công cụ tích hợp được giới thiệu trong Windows Server 2003,
bạn có thể chạy các công cụ quản trị trực tiếp từ một trạm làm việc. Tất cả những gì
phải làm là tải về một vài công cụ từ đĩa CD Windows Server 2003. Còn đây là cách
thực hiện.

Bắt đầu

Đầu tiên, hãy chắc chắn là máy trạm dùng để quản lý của bạn sử dụng Windows XP
Service Pack 1 hoặc các phiên bản sau này. Nếu sử dụng Windows 2000 Professional
hay Windows 9x trên máy trạm quản trị thì có thể sẽ gặp lỗi.

Tiếp theo, bạn cần tìm đĩa CD Windows Server 2003 gốc. Đưa nó vào máy Windows
XP mà bạn tính sẽ sử dụng làm máy trạm quản lý. Vào cửa sổ lệnh và gõ vào câu lệnh
sau:
msiexec /i x:\i386\adminpak.msi
với x: là ký tự ổ đĩa CD-ROM, sau đó nhấn Enter. Nếu cài đặt không bắt đầu đúng
cách, kiểm tra file ADMINPAK.MSI trong thư mục I386 nằm trong ổ CD-ROM. Nếu
nó không có trong thư mục đó, bạn có thể phải chọn lại đĩa cài đặt vì trong Windows
Server 2003 Small Bussiness Edition file cần thiết nằm trong đĩa 1.

Khi có quá trình cài đặt bắt đầu, bạn sẽ thấy một màn hình cài đặt Windows xuất
hiện. Bạn không phải lo lắng nhiều về việc cài đặt này, nó rất đơn giản chỉ cần thực
hiện theo hướng dẫn đưa ra để cài đặt các công cụ. Sau khi mọi việc được thực hiện
xong, chỉ cần kích Finish.

Sử dụng công cụ

Sau khi kích Finish, bạn có thể bắt đầu sử dụng công cụ mà không cần khởi động lại
máy trạm quản trị. Tuy nhiên trước khi bắt đầu sử dụng công cụ, bạn vẫn cần phải
logoff và logon lại vào mạng. Hãy đảm bảo bạn đã log vào máy trạm với tài khoản
người dùng có quyền Domain Admin trong mạng. Bạn có thể sẽ cần thêm một vài
quyền khác để có thể thực hiện được mọi công việc cần thiết trong mạng. Trong
trường hợp đó, người dùng sẽ cần quyền quản trị trên máy trạm tương đương với
quyền thực hiện nhiệm vụ tương tự trên máy chủ.

Bạn có thể tìm thấy các công cụ bằng cách kích vào Start | All Programs |
Administrative Tools. Trong thư mục này, bạn sẽ tìm thấy các công cụ mới được
thêm xen vào giữa những công cụ chuẩn của Windows XP.
Hình 1: Bạn sẽ tìm thấy các công cụ mới trong thư mục Administrative Tools.
Như bạn thấy trên hình, có thể thực hiện mọi thứ như máy chủ từ máy trạm trong văn
phòng của bạn. Các công cụ được cho như sau:

• Active Directory Users And Computers
• Active Directory Sites And Services
• DHCP Manager
• DNS Manager
• Terminal Services Manager
• Cluster Administrator

Các công cụ này chạy trên máy trạm cũng giống như sử dụng trên máy chủ. Bạn có
thể thấy một sự trễ nhỏ khi chạy các công cụ bởi tiện ích này phải truy cập máy chủ
thông qua mạng, do đó đương nhiên sẽ chạy chậm hơn một chút so với chạy trực tiếp
trên bản thân máy chủ.

Khi sử dụng một trong những công cụ này, bạn có thể nhận được nhắc nhở kết nối
tới một máy tính (như hình 2). Hãy đảm bảo kết nối đúng tới tên và địa chỉ IP của máy
chủ mà bạn muốn quản lý. Không chọn phần This Computer vì bạn đang sử dụng một
máy trạm quản trị, các dịch vụ cần thiết sẽ không nằm trên máy này mà nằm trên máy
kết nối tới.




Hình 2: Hãy đảm bảo kết nối tới máy tính thích hợp.
Một vài công cụ mới

Bạn có thể lưu ý trong danh sách các công cụ xuất hiện trên máy trạm có cả những
công cụ không có trên chính máy chủ. Các công cụ đó bao gồm:

• Active Directory Management
• Public Key Management
• IP Address Management

Các công cụ này được gọi là Convenience Consoles, thực tế chúng là bảng điều khiển
quản trị và là tập hợp của các công cụ quản trị thường dùng. Ví dụ như Active
Directory Management (hình 3) là một nhóm các tiện ích Active Directory Users And
Computers, Active Directory Domains And Trusts, Active Directory Sites And Services,
và DNS Manager đặt trong cùng một giao diện.
Hình 3: Nhóm Convenience Consoles bao gồm các công cụ phổ biến thường dùng
IP Address Management (hình 4) là hợp nhất của DHCP Manager, DNS Manager, và
WINS Manager. Bạn sẽ cần đến những tiện ích này khi quản trị dịch vụ IP trong
mạng.




Hình 4: IP Address Management giúp bạn quản trị được TCP/IP trong mạng
Cuối cùng, Public Key Management (hình 5) nhóm các công cụ the Certification
Authorities, Certificate Templates, Certificates For Current User, và Certificates For
Local Computer lại với nhau.
Hình 5: Public Key Management giúp bạn quản trị các chứng thực
Nâng cao khả năng quản trị hơn nữa với Support Tools

Sau khi đã có các chương trình quản trị chạy trên máy trạm, bạn cũng có thể thêm một
vài công cụ mạnh mẽ hơn bằng cách tải về Support Tools. Đầu tiên bạn cần tìm đĩa
CD Windows Server 2003 gốc. Đưa đĩa vào máy Windows XP đang sử dụng để làm
máy trạm quản trị. Tại cửa sổ lệnh bạn gõ lệnh sau:
msiexec /i x:\support\tools\suptools.msi /q addlocal=all
với x: là tên ổ đĩa CD-ROM, sau đó nhấn Enter. Thêm cài đặt của tất cả các file hỗ trợ
vào máy trạm Windows XP. Điều này sẽ tiêu tốn khoảng hơn 10Mb dung lượng ổ
cứng. Nó chắc chắn là lựa chọn tốt nhất để có toàn bộ các công cụ thường dùng trên
một máy trạm quản trị mới.

Nếu việc cài đặt không thực hiện được, hãy kiểm tra lại file SUPTOOLS.MSI trong
thư mục SUPPORT\TOOLS của ổ CD. Nếu không thấy nó, bạn có thể phải chọn lại
đĩa vì trong Windows Server 2003 Small Business Edition, file cần thiết nằm ở đĩa 2.

Khi các file chạy, bạn sẽ thấy một màn hình cài đặt Windows wizard xuất hiện. Bạn
sẽ nhận thấy có một vài hoạt động diễn ra trên ổ cứng máy trạm XP và ổ CD-ROM.
Sau đó, sẽ có một thư mục mới có tên Windows Support Tools trong menu Start | All
Programs.

Không có bất kỳ chương trình thực sự nào trong thư mục này nhưng nó hỗ trợ các tiện
ích nằm trong thư mục Program Files\Support Tools trên máy trạm. Có hàng tá tiện ích
được bổ xung cho khả năng hỗ trợ và xử lý sự cố trên máy chủ Windows Server 2003
của bạn. Các tiện ích đó bao gồm:

• Acldiag.exe - ACL Diagnostics
• Clonepr - ClonePrincipal
• Dsastat.exe - Directory Services Utility
• Movetree.exe - Active Directory Object Manager
• Replmon.exe - Active Directory Replication Monitor
• Dmdiag.exe - Disk Manager Diagnostics
• Ftonline.exe - Fault Tolerant Disk Mounter

Hãy đảm bảo bạn luôn cẩn thận khi sử dụng các công cụ này. Một lỗi xảy ra cũng có
thể là nguyên nhân gây nguy hiểm tro mạng của bạn. Sử dụng từng công cụ cụ thể
không nằm trong phạm vi bài viết này nhưng bạn có thể tìm thấy chúng trong nhiều
bài báo khác của chúng tôi.

Windows Server 2003: Công nghệ Snapshot
Snapshot là một trong những tính năng mới của Windows Server 2003 (Microsoft
gọi nó là Shadow Copies) sẽ sớm được sử dụng trong hầu hết các trung tâm dữ
liệu. Mỗi snapshot là hình ảnh nhất quán của hệ thống tệp (file system) t ại một
thời điểm.
Ngay cả sau khi người dùng đã thay đổi dữ liệu, snapshot vẫn lưu lại cho chúng ta một
bản sao chỉ đọc giống hệt như khi chúng ta "chụp ảnh" hệ thống. Các snapshot được
giữ nguyên qua những lần khởi động lại và có thể truy nhập trực tuyến như mọi file
system khác, với những công cụ và giao diện tương tự. Một số sản phẩm snapshot
thậm chí còn có thể trải dài trên nhiều file system.
Công nghệ này thực ra đã tồn tại trong mấy năm qua. Nó gần như là chuẩn trong các
sản phẩm NAS như phần cứng của NetAppliances (NetApp) hay phần mềm của
Mountain View Data (MVD). Trong sản phẩm Persistent Storage Manager (PSM),
Columbia Data Products (CDP) đã đưa snapshot vào Microsoft Server Appliance Kit và
các giải pháp trên Windows của các nhà sản xuất thiết bị gốc (OEM) khác. Veritas
cũng có snapshot trong file system VxFS cho Solaris, Linux và các hệ Unix khác. Chúng
ta cũng có được công nghệ snapshot dựa trên volume từ LVM của nhân Linux 2.4, tích
hợp với tất cả các file system chuẩn.

Snapshot khác với nhân bản (replication). Mặc dù có một số đặc tính của snapshot
nhưng việc nhân bản dữ liệu liên quan tới nhiều vấn đề khác biệt căn bản so với công
nghệ snapshot. Một trong số đó là các sản phẩm nhân bản thường sao chép dữ liệu từ
máy này sang máy khác trong khi các snapshot nằm trên cùng một máy với dữ liệu hoạt
động.

Không phải là một bản sao

Mặc dù snapshot có vẻ như là một cách lưu các bản sao của tất cả các tệp trên cùng
một máy nhưng công nghệ này còn làm được nhiều hơn thế. Nếu xét theo nghĩa đen
thì công nghệ snapshot làm ít hơn rất nhiều! Nếu snapshot là các bản sao thực sự thì 5
snapshot sẽ chiếm dung lượng bằng 5 lần dữ liệu gốc. Ngược lại, các sản phẩm
snapshot sử dụng cơ chế Copy-On-Write (COW), chỉ chép dữ liệu khi một ứng dụng
thay đổi hay xoá nó. Thường thì "bản sao" này là một con trỏ chỉ tới một khối dữ liệu
trống mới.

Khi bạn "chụp ảnh" một file system hoạt động, hệ thống chỉ phải làm rất ít việc,
chẳng hạn như đặt các cờ và tạo một số cấu trúc dữ liệu nhỏ nhưng đối với các khối
dữ liệu hay các tệp thì có thể coi như không có chuyện gì xảy ra. Vì thế, ngay cả với
những hệ thống tải nặng với dung lượng dữ liệu khá lớn, việc "chụp một bức ảnh"
chỉ mất có vài giây.

Mặc dù tất cả các tệp đều có thể nhìn thấy ngay lập tức trong snapshot nhưng công
việc thực sự chỉ được thực hiện khi một ứng dụng làm thay đổi dữ liệu. Khi đó, dữ
liệu cũ được chép vào snapshot và một cờ được thiết lập để vùng dữ liệu đó không
được chép lại vào lần thay đổi sau, trừ khi một snapshot mới được tạo ra. Những dữ
liệu không thay đổi trong file system hoạt động sẽ không được chép vào snapshot. Do
đó, dung lượng đĩa cần cho một snapshot phụ thuộc vào mức độ thay đổi của dữ liệu
chứ không phải độ lớn của file system ban đầu.

Truy nhập các snapshot

Mỗi sản phẩm có một cách riêng để truy nhập các tệp trong snapshot. Trong NetApp
Filer có một thư mục giả được đặt tên là ".snapshot" trong mỗi thư mục của file
system hoạt động. MVD dùng một cơ chế tương tự nhưng đặt tên các thư mục đó là
".snap" (với người dùng Windows, dấu . có thể được thay thế bởi dấu ~).

Với phương pháp này, mỗi người dùng có thể vào thư mục .snap từ bất kỳ thư mục
nào. Ví dụ như từ thư mục /home/tuan, người dùâng Tuấn có thể thấy các thư mục
Wed7am hay weekly.1 tương ứng với mỗi snapshot được lưu. Các tệp hay thư mục
tồn tại vào thời điểm 7 giờ sáng ngày thứ tư sẽ được tìm thấy trong thư mục
/home/tuan/.snap/Wed7am thậm chí cả sau khi chúng đã bị xoá. Trong trường hợp xấu
nhất, nếu thư mục cha /home/tuan đã bị xoá thì Tuấn vẫn có thể chuyển tới thư mục
gốc và xem thư mục /.snap/Wed7am/home/tuan.

PSM cũng làm theo cách tương tự nhưng thay vì tạo ra các thư mục giả trong mỗi thư
mục con, các snapshot của sản phẩm này được lưu trong một thư mục đặc biệt mức
cao nhất của hệ thống NTFS. Phiên bản cũ của F:\myfile có thể nằm trong
F:\snapshots\hourly.5\myfile. Trong Windows 2003, bạn phải chia sẻ ổ đĩa gốc
(\\localhost\f$) trước tiên rồi sau đó mới có thể View, Copy hay Restore một tệp từ các
tab mới của hộp thoại Properties. Cũng có những tiện ích bổ sung để thực hiện các
chức năng trên trên các máy trạm Windows khác.

VxFS của Veritas gắn mỗi snapshot với một thiết bị khối (block device) đặc biệt có
thể tải (mount) được như một file system VxFS độc lập. Veritas gọi chúng là Storage
Checkpoints để phân biệt với các file system snapshot (giống với các vùng đệm chứa
tệp mở hơn) và các VxVM snapshot - những mirror volume. Trong LVM, bạn tạo ra
một volume lôgic mới như một snapshot rồi mount nó thành một file system có kiểu
phù hợp.

Sao lưu trực tuyến

Các snapshot giữ nguyên phân quyền của các tệp và thư mục ban đầu. Kỹ thuật COW
cho phép lưu giữ đồng thời một số lớn các phiên bản. Vì thế, các snapshot thường
được dùng như các bản sao trực tuyến.

Snapshot bảo vệ dữ liệu khỏi các sửa đổi vô tình, ví dụ như việc ghi đè hay xoá nhầm
một tệp, và phần lớn các sự cố do lỗi của người dùng liên quan tới tệp. Không giống
như quá trình lựa chọn cho khôi phục từ băng từ, khi người dùng muốn khôi phục một
tệp từ các bản sao lưu trực tuyến, anh ta có thể duyệt rất nhiều phiên bản khác nhau
và chọn tệp thích hợp nhất. Ngoài ra, khác với khôi phục từ băng từ, phần lớn người
dùng có thể tự làm trong vài phút mà không cần đến sự giúp đỡ của trung tâm.

Tuy nhiên, snapshot không chống lại được các hỏng hóc về phần cứng hay hệ thống.
Một người quản trị ác ý có thể xoá các snapshot.Vì thế, snapshot không thay thế được
việc sao lưu bằng băng từ hay nhân bản dữ liệu sang các địa điểm khác.

Quản lý tệp mở

Cũng giống như các bản sao trên băng từ, nếu bạn muốn khôi phục dữ liệu cũ, trước
hết bạn phải có được một "bức ảnh" nhất quán của dữ liệu. Các sản phẩm snapshot
đưa file system tới trạng thái ổn định bằng cách dồn (flush) hết các nhật ký, bộ đệm
dữ liệu (data buffer), ... ra đĩa rồi tạm thời ngăn tất cả các thao tác IO trong quá trình
"chụp ảnh". Việc đó giúp tránh các hỏng hóc của file system. Ngay cả LVM, một
chương trình quản lý volume, cũng có mức tích hợp cơ bản này với các file system
Linux chuẩn.

Tuy nhiên các ứng dụng vẫn có thể có các bộ đệm bên trong chưa được dồn ra đĩa hay
đang trong quá trình ghi một lượng lớn dữ liệu trong lúc hệ thống đang tạo snapshot.
Cách đơn giản nhất để tránh điều đó là tắt các ứng dụng khi tạo snapshot. Các hệ
quản trị cơ sở dữ liệu và các ứng dụng cao cấp khác thường có chế độ sao lưu nóng
cho phép ổn định dữ liệu trên đĩa của chúng mà không phải tắt (shutdown) hẳn.

Dù với phương pháp ổn định dữ liệu nào thì thời gian ngừng hoạt động của các ứng
dụng vẫn khá nhỏ vì việc tạo snapshot hoàn thành rất nhanh. Hơn thế, các snapshot có
thể được dùng để tối ưu hoá việc sao lưu bằng băng từ. Bạn chỉ việc sao lưu một
snapshot thay vì cả file system và nhờ đó tiết kiệm rất nhiều thời gian. Cách tiếp cận
này hơi khác với Open File Manager (OFM) vốn không đòi hỏi phải tắt các ứng dụng.
Một OFM tìm một thời điểm có vẻ không có tác vụ ghi đĩa nào và xác suất dữ liệu
trên đĩa ổn định là cao hơn. PSM bao gồm cả các tính năng OFM tổng quát với các
thiết lập do người dùng điều chỉnh.

Windows 2003 đi xa hơn nữa với việc giới thiệu một cơ sở hạ tầng hoàn chỉnh gọi là
Volume Shadow Copy Service có khả năng yêu cầu các ứng dụng "nằm yên" (quiesce)
trong quá trình "chụp ảnh". Khả năng đó giúp tự động hoá những việc như đưa một
CSDL vào chế độ "hot standby" và giúp cho tất cả các loại sao lưu trở nên tin cậy hơn
nhưng cũng đòi hỏi mỗi ứng dụng tự hỗ trợ nó.

Các ứng dụng khác
Một số sản phẩm snapshot có tính năng thao tác nhanh cho phép người quản trị quay
lui (rollback) toàn bộ file system về một trạng thái trong quá khứ. Đó là một phương
pháp khôi phục nhanh chóng sau khi bị virus tấn công mà bạn không biết chính xác
những tệp nào bị hỏng hay một chiến lược quay lui hiệu quả trước khi cài đặt một
bản patch hoặc một ứng dụng mới. Windows 2003, NetApp và MVD Powered NAS
đều có tính năng này.

Snapshot cũng có thể là một cách làm nhanh chóng, dễ dàng để tạo ra các bản sao của
dữ liệu sống cho các mục đích hỗ trợ quyết định mà không làm gián đoạn các hoạt
động kinh doanh. CDP và Veritas thậm chí còn hỗ trợ các snapshot có thể ghi được
nhằm giúp bạn thay đổi dữ liệu snapshot trực tuyến theo các điều kiện giả định được
thiết lập trước.

Lập lịch

Nhiều nhà quản trị hệ thống giả lập lịch sao lưu ra băng từ bằng cách tạo các snapshot
hàng ngày, hàng tuần và hàng tháng. Với các hệ thống hỗ trợ hàng trăm snapshot cho
mỗi file system, việc làm đó có thể được thực hiện thường xuyên hơn nhiều. Phần lớn
các sản phẩm hiện tại có tiện ích quản trị giúp bạn làm điều đó một cách dễ dàng.

Mặc dù Windows 2003 đặt mặc định việc tạo snapshot vào 7 giờ và 12 giờ hàng ngày
nhưng Warren Miller, Phó chủ tịch Product Marketing của Columbia Data Products nói
rằng họ thường thấy khách hàng lập lịch tạo snapshot hàng giờ và lưu các snapshot
theo giờ trong 3 ngày, các snapshot theo ngày trong 3 tuần và các snapshot theo tháng
trong 3 năm. Ông cũng dự đoán rằng trong tương lai, khả năng sử dụng snapshot sẽ
được đưa trực tiếp vào các sản phẩm cho người dùng cuối và được các ứng dụng tự
kích hoạt khi chúng thấy thích hợp nhất.

Quản lý không gian

Không gian đĩa cần cho các snapshot bắt đầu từ số 0 và tăng dần theo thời gian. Nếu
bạn muốn đảm bảo sự sẵn sàng của các bản sao trực tuyến, bạn sẽ phải lập kế
hoạch và giám sát không gian đĩa một cách cẩn thận.

Số snapshot mà một hệ thống có thể hỗ trợ phụ thuộc vào (1) số lượng và thời gian
lưu giữ các snapshot được tạo ra và (2) số lượng và kiểu ghi xảy ra giữa các snapshot.
Nếu bạn có một hệ thống đang hoạt động, hãy đo độ thay đổi của các tệp trong một
thời gian nhất định và ước đoán dung lượng cần thiết cho mỗi chế độ lập lịch.

Ngay cả với những kế hoạch tốt nhất, bạn vẫn cần biết điều gì xảy ra khi không còn
đủ không gian đĩa để chép dữ liệu cũ vào một snapshot. Một số hệ thống tự động xoá
các snapshot cũ hay có độ ưu tiên thấp cho tới khi có đủ không gian - đôi khi có thể xoá
hết. Một số hệ thống vô hiệu các snapshot nhưng không xoá chúng. Một số khác lại
để mặc cho file system hoạt động bị đầy - những hệ thống kiểu này sẽ khiến cho
người dùng lẫn lộn.
Để làm nhẹ bớt các vấn đề trên, một số sản phẩm có cơ chế xoá các snapshot mỗi khi
đạt tới một giới hạn nào đó. Một số khác cho phép bạn dùng một volume riêng cho các
snapshot. Các bạn có thể xem bảng dưới đây để biết thêm chi tiết.

Nếu bạn muốn sử dụng một cách hiệu quả nhất không gian đĩa, NetApp cung cấp một
cơ chế duy nhất gọi là "file folding". Khi kích hoạt cơ chế này, các khối dữ liệu trên
file system hoạt động được so sánh với những khối tương ứng trong các snapshot gần
nhất. Nếu tìm thấy các khối giống nhau (có thể xảy ra trong trường hợp một tệp đã
được ghi đè với một bản sao giống hệt), hệ thống sẽ hợp nhất chúng bằng cách thao
tác trên các con trỏ inode. Tuy nhiên, để có được điều đó chúng ta phải đánh đổi hiệu
năng của hệ thống.

Tác động tới hiệu năng của hệ thống

Các snapshot buộc hệ thống phải chịu đựng một số gánh nặng để đổi lấy sự tiện lợi.
Do cơ chế COW, hiệu năng ghi, nhất là lần ghi đầu tiên vào một tệp, sẽ bị giảm đi.
Ngoài ra, hiệu năng đọc của một snapshot cũng sẽ bị ảnh hưởng nếu cách triển khai
của snapshot phải xác định dữ liệu vẫn còn thuộc file system hoạt động hay đã được
chép vào snapshot.

CK Chan, Tổng Giám đốc của Network Appliances, SE Asia, nói rằng "tác động tới
hiệu năng khi sử dụng snapshot là không đáng kể vì NetApp đã xây dựng các snapshot
như một phần của file system". Hơn nữa, ông ta cho rằng "có thể duâng hïët 255 baãn
snapshot maâ vêîn khöng nhêån thêëy hiïåu nùng giaãm chút nào".

Mặc dù các phát biểu trên hơi có vẻ lạc quan nhưng báo cáo từ các nhà cung cấp khác
cũng cho kết quả tương tự, hiệu năng chỉ giảm từ 3 tới 15%. Tuy nhiên, cần nhớ rằng
hiệu năng khi sử dụng một số lớn snapshot sẽ thay đổi đáng kể tuỳ theo lượng dữ liệu
thay đổi giữa các snapshot. Vì vậy, nếu bạn định tạo nhiều snapshot trên hệ thống
chạy thật, hãy thử nghiệm thật kỹ để xác định số snapshot tối đa tương ứng với mức
hiệu năng mà bạn có thể chấp nhận.

Ngoài những thứ đã nêu trên đây, có rất nhiều sản phẩm snapshot khác trên thị trường,
đặc biệt là trong các ứng dụng NAS. Là một cấu phần trung tâm của chiến lược sao
lưu, các snapshot không chỉ giảm bớt gánh nặng của công việc sao lưu mà còn giúp
người dùng phục hồi tệp một cách nhanh chóng và dễ dàng hơn so với các băng từ,
đem lại cho bạn những lựa chọn khôi phục bạn chưa bao giờ có.
Đề thi vào lớp 10 môn Toán |  Đáp án đề thi tốt nghiệp |  Đề thi Đại học |  Đề thi thử đại học môn Hóa |  Mẫu đơn xin việc |  Bài tiểu luận mẫu |  Ôn thi cao học 2014 |  Nghiên cứu khoa học |  Lập kế hoạch kinh doanh |  Bảng cân đối kế toán |  Đề thi chứng chỉ Tin học |  Tư tưởng Hồ Chí Minh |  Đề thi chứng chỉ Tiếng anh
Theo dõi chúng tôi
Đồng bộ tài khoản