Bài giảng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment: Chương 10

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Chương 10: Quản trị Server

Mục tiêu

• Phân biệt các cách, công cụ và tiến trình khác

nhau để quản lý hệ thống Windows Server 2003 • Hiểu và cấu hình Terminal Services & Remote

Desktop for Administration

• Ủy thác quản trị trong AD • Cài đặt, cấu hình và quản lý các Microsoft

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Software Update Services

Các quy trình quản trị mạng

• Trong 1 môi trường Windows Server 2003

administrator bình thường chịu trách nhiệm nhiều hơn 1 server

• Công cụ có ích cho các administrator để quản lý

các server từ xa là Microsoft Management Console (MMC)

• Đăng nhập thứ cấp cũng là công cụ có ích cho các

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

administrator

Các công cụ quản trị Windows Server 2003

• Server shutdown và khởi động lại có một số đặc

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

điểm trong Windows Server 2003 • Shutdown Event Tracker ghi nhận những sự kiện đó • Có thể đưa vào các ghi chú lý do xảy ra

Thực tập 10-1: Khởi động lại Windows Server 2003

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Mục tiêu: khởi động lại Windows Server 2003 • Start  Shut Down  Restart • Cấu hình các tùy chọn Shutdown Event Tracker

Thực tập 10-2: Xem các sự kiện Shutdown trong Event View System Log

• Mục tiêu: Dùng Event Viewer để xem các sự kiện

server shutdown

• Start  Administrative Tools  Event Viewer 

System

• Xem sự kiện shutdown đã được sinh ra trong hoạt

động trước đó

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Khám phá các sự kiện shutdown khác

MMC

• MMC cung cấp 1 khung thống nhất để hosting

nhiều công cụ quản lý (các snap-in)

• Có thể thêm và bỏ các công cụ nếu cần và lưu giữ

các công cụ tùy ý dùng bởi các administrator

• Console được lưu như Management Saved

Console (MSC) file với phần mở rộng là .msc • Có thể hướng các snap-in chỉ đến các client hoặc

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

server từ xa

Thực tập 10-3: Dùng MMC để xem thông tin trên 1 Computer từ xa

• Mục tiêu: Dùng MMC để xem các system log trên

1 máy tính từ xa

• Hướng Event Viewer để kết nối vào máy tính khác

từ 1 MMC đã có

• Xem các log của ứng dụng và hệ thống trên máy

tính từ xa

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Xem lại máy tính cục bộ

Thực tập 10-4: Tạo 1 Taskpad

• Mục tiêu: Tạo 1 taskpad để đơn giản hóa các tác

vụ quản trị

• 1 taskpad view cung cấp giao diện thể hiện các tác

vụ có thể thực hiện trong 1 MMC • Tạo 1 MMC mới với 1 Event Viewer • Tạo và cấu hình 1 taskpad view dùng New

Taskpad View Wizard

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Lưu MMC mới

Đăng nhập thứ cấp

• Khuyến cáo các administrator mạng nên có 2 tài

khoản đăng nhập • 1 dùng với quyền quản trị • 1 với quyền user bình thường

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Đặc trưng của đăng nhập thứ cấp cho phép đăng nhập với tài khoản user, mở các công cụ quản trị như một administrator

Thực tập 10-5: Dùng đặc tính đăng nhập thứ cấp trong Windows Server 2003 • Mục tiêu: Dùng lệnh Run as để mở 1 chương trình

với tài khoản thứ hai

• Start  Administrative Tools  right-click Event

Viewer  Run as

• Đăng nhập với credential thay thế trong hộp thoại

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Run As

Thực tập 10-6: Dùng đặc tính đăng nhập thứ cấp từ dòng lệnh • Mục tiêu: Đăng nhập vào credential thay thế từ

dòng lệnh

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Start  Run  cmd • Nhập dòng lệnh dạng runas để mở Event Viewer

Tiến trình xử lý sự cố mạng

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Cần 1 cách tiếp cận có hệ thống • Các bước khuyến cáo: • Xác định vấn đề • Tập hợp thông tin chi tiết về vấn đề gì đã xảy ra • Phác họa kế hoạch giải quyết • Hiện thực kế hoạch và quan sát kết quả • Lập tài liệu theo dõi tất cả các thay đổi và kết quả

Xác định vấn đề

• Một than phiền từ 1 user • Một thông điệp lỗi • Những câu hỏi của user • Thử lặp lại vấn đề trong môi trường thử nghiệm • Để giải mã thông điệp lỗi, dùng ứng dụng net • Tại dấu nhắc lệnh, dùng NET HELPMSG number

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Dấu hiệu của vấn đề bao gồm:

Tập hợp thông tin chi tiết về vấn đề gì đã xảy ra

• Có phần cứng mới nào vừa được cài đặt gần đây? • Ai đã truy cập vào máy tính? Họ có thay đổi gì không? • Có phần mềm hoặc service patches vừa được cài đặt

gần đây?

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các thực tiễn cần xem xét gồm:

Phác họa kế hoạch giải quyết

động lại)

• Các thay đổi tích cực vào chính sách bảo mật mạng • Cần lập tài liệu tất cả các thay đổi và các bước sửa chữa

• Các khảo sát quan trọng khi phác họa kế hoạch: • Ngắt mạng hoặc các thành phần của nó (ví dụ khởi

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Bảo đảm đã có chiến lược phục hồi lại trong trường hợp kế hoạch sửa không hoạt động tốt

Hiện thực kế hoạch, quan sát kết quả, lập tài liệu theo dõi tất cả các thay đổi và kết quả • Thông báo các user là khả năng mạng có thể bị

ảnh hưởng

• Không được tạo quá nhiều thay đổi cấu hình cùng

1 lần

• Lập tài liệu theo dõi tất cả các bước xử lý, thay đổi

• Nếu kế hoạch không thực hiện được, lập tài liệu về cái gì đã hoàn tất và bắt đầu lại 1 lần nữa

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

cấu hình và kết quả

Cấu hình Terminal Services và Remote Desktop for Administration

• 2 dịch vụ cung cấp truy cập từ xa vào server

desktop

• Terminal services cho phép các user kết nối vào

để chạy các ứng dụng

• Remote Desktop for Administration cho phép 1

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

administrator kết nối vào để chạy các dịch vụ quản trị

Kích hoạt Remote Desktop for Administration • Được cài đặt tự động như 1 phần của Windows

Server 2003

• Mặc định là không được kích hoạt • Khi đã kích hoạt, chỉ có nhóm Administrators có

cập

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

thể kết nối được theo mặc định • Các user khác thêm vào có thể được chứng thực truy

Thực tập 10-7: Kích hoạt và kiểm tra Remote Desktop for Administration

• Mục tiêu: Kích hoạt và kiểm tra Remote Desktop

for Administration

• Start  Control Panel  System  Remote tab • Kích hoạt Remote Desktop for Administration trên

server

• Kết nối vào server dùng công cụ Remote Desktop

Connection

• Hủy kết nối phiên làm việc mở và sau đó hủy kết

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

nối đang đóng phiên làm việc

Cài đặt Terminal Services

• Cài đặt từ Add/Remove Windows Components của Add or Remove Programs (trong Control Panel)

• Để cài đặt Terminal server, 1 Windows Server

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

2003 server trên mạng phải được cấu hình như 1 Terminal Services licensing server

Thực tập 10-8: Cài đặt Terminal Services

• Mục tiêu: Cài đặt Windows Server 2003 Terminal

Services trên 1 server

• Start  Control Panel  Add or Remove

Programs  Add/Remove Windows Components

• Dùng Windows Components Wizard để cài đặt

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Terminal Server theo chỉ dẫn

Quản lý Terminal Services

• Terminal Services Manager: kiểm soát và điều khiển

client truy cập vào các Terminal Services

• Terminal Services Configuration: cấu hình các thiết lập

và kết nối Terminal Services

• Terminal Services Licensing: lưu giữ và theo dõi

Terminal Services client access licenses

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• 3 công cụ chính để quản trị Terminal Services:

Cấu hình các thiết lập Remote Connection

• Các thiết lập liên quan đến các lần thử kết nối • Các thiết lập liên quan đến quyền của các tài khoản user

/ group

• Công cụ chính là Terminal Services Configuration

• Cấu hình từ các đặc tính của 1 đối tượng kết nối Terminal Server: 1 đối tượng cho nhiều kết nối user

• Chứng thực (không phải hoặc Windows chuẩn) • Mã hóa (tương thích client hoặc cao hơn)

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Các thiết lập gồm:

Cấu hình các thiết lập Remote Connection (tt)

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 10-9: Khảo sát các thiết lập Terminal Services

• Mục tiêu: Khảo sát và cấu hình các thiết lập

Terminal Services

• Start  Administrative Tools  Terminal

Services Configuration

• Xem và cấu hình các thiết lập theo chỉ dẫn khi

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

thao tác

Phần mềm Terminal Services Client • Thư mục Terminal Server chứa các gói phần mềm

client: • %Systemroot%\system32\clients\tsclient\win32

• Chứa các file để cài đặt Remote Desktop

Connection

• Cung cấp cả file MSI và file thực thi Win32 • Chia sẻ thư mục và khởi tạo tiến trình thủ công

hoặc thông qua triển khai Group Policy • Cài đặt sẵn trong Windows Server 2003 và

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Windows XP

Cài đặt các ứng dụng

• Các ứng dụng phải được cài đặt trong chế độ tương thích nhiều user với Terminal Server • Dùng Add or Remove Programs trong Control

Panel sau khi cài Terminal Server

• Cũng có thể đưa Windows Server 2003 vào chế độ

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

cài đặt từ dòng lệnh: • Change user /install to begin • Change user /execute when finished • Có thể cần cài đặt lại một số ứng dụng

Cấu hình Terminal Services User Properties

• Terminal Server thêm 4 tab vào trang properties

profile kết nối và home directory đặc biệt

• Remote control – cấu hình trang remote control

properties cho 1 tài khoản user

• Sessions – cấu hình 1 thời gian phiên làm việc tối đa và

các tùy chọn hủy kết nối

• Environment – cấu hình 1 chương trình chạy tự động

khi user kết nối vào terminal server

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

của tài khoản user: • Terminal Services Profile – user có thể cấu hình một

Thực tập 10-10: Khảo sát các thiết lập tài khoản Terminal Services User

• Mục tiêu: Khảo sát các thiết lập tài khoản

Terminal Services User dùng Active Directory Users and Computers

• Start  Administrative Tools  Active Directory

Users and Computers  Users

• Khảo sát các thiết lập trên 4 thẻ Terminal

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Services: Terminal Services Profile, Remote control, Sessions, Environment

Ủy thác quyền quản trị

• AD là 1 cơ sở dữ liệu và phải được bảo vệ • Dùng các quyền tương tự quyền trên NTFS file • Các Administrator có toàn quyền theo mặc định • User có quyền Read phần lớn các thuộc tính theo

mặc định

• Phải cẩn thận khi làm cho các đối tượng hoàn toàn

không thể truy cập

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Administrator có thể sửa chữa quyền:

Các quyền đối tượng AD

• Các quyền mức đối tượng:

• Phải được xác thực khi user tạo hoặc sửa một tài

khoản OU, user hoặc group

• Áp dụng dựa theo 1 tập các quyền cơ bản đã cấu

hình sẵn

• Các quyền mức thuộc tính

• Điều khiển thuộc tính nào user hoặc group có thể

xem/sửa

• Các đối tượng có thể gán quyền tại 2 mức:

• Nếu không rõ ràng thiết lập, đối tượng thừa kế

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

quyền từ container cha của nó

Thực tập 10-11: Khảo sát quyền đối tượng trong AD

• Start  Administrative Tools  Active Directory

Users and Computers  View (menu bar)  Advanced Features

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Truy cập các thuộc tính của một OU và khảo sát các cấu hình quyền khác nhau theo chỉ dẫn trong bài tập

Thừa kế quyền

• Các đối tượng con thừa kế quyền từ các đối tượng cha theo mặc định khi đối tượng con được tạo

• Khi các quyền từ cha bị thay đổi sau này, có thể ép

con thay đổi theo nếu muốn

• Có thể sửa đổi thừa kế mặc định bằng cách khóa

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

nó tại mức container hoặc đối tượng

Ủy thác quyền trên các đối tượng AD

• Thiết kế cấu trúc OU để phân tán quyền • Cấu hình các quyền để hỗ trợ phân tán thích hợp

• Cho phép phân tán/tập trung tiến trình quản trị AD • Các bước ủy thác:

• Có thể quản lý các quyền trực tiếp từ thẻ Security • Có thể dùng Delegation của Control Wizard

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Hiện thực ủy thác

Thực tập 10-12: Dùng Delegation của Control Wizard

• Mục tiêu: Ủy thác điều khiển một OU dùng Active Directory Users and Computer Delegation của Control Wizard

• Để khởi động wizard, click phải OU  Delegate

Control

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Ủy thác 1 quyền đặc biệt cho 1 group theo chỉ dẫn • Kiểm tra lại quyền đã xuất hiện như mong muốn

Các dịch vụ cập nhật phần mềm

• Software Update Services (SUS) cho phép 1

administrator điều khiển việc triển khai cập nhật bảo mật hệ điều hành và các gói quan trọng

• Client component: cập nhật các phiên bản của

Windows Automatic Updates, client tiếp xúc với server để lấy

• Server component: có thể cài đặt trên server chạy

Windows 2000 hoặc Server 2003

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• 2 phần tử chính:

Cài đặt các SUS

• Các thành phần SUS client và server sẵn sàng cho

tải từ Microsoft Web site

• Yêu cầu phần cứng tối thiểu và 1 server độc quyền

nếu có thể

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• IIS 5.0 hoặc cao hơn, IE 5.5 hoặc cao hơn • Server component có thể cài đặt trên Windows 2000 Server, Windows Server 2003, Microsoft Small Business Server 2000

Thực tập10-13:Cài đặt các SUS

• Mục tiêu: Cài đặt server component của SUS (sau

khi cài IIS)

• Start  Control Panel  Add or Remove

Programs  Add/Remove Windows Components

• Cài IIS theo các chỉ dẫn • Chạy SUS10SP1.exe để cài SUS • Theo các chỉ dẫn để chạy Microsoft Software

Update Services Setup Wizard

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Hoàn tất cài đặt theo chỉ dẫn

Thực tập 10-14:Cấu hình các thiết lập SUS

• Mục tiêu: Cấu hình các thiết lập SUS • Start  All Programs  Internet Explorer • Nhập địa chỉ trang Web SUS administration và

đăng nhập như hướng dẫn • Xem các trang Set options • Cấu hình SUS để duy trì các cập nhật trên 1

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Microsoft Windows Update server

Thực tập 10-15: Đồng bộ nội dung SUS

• Mục tiêu: Dùng thực đơn Microsoft SUS thông

qua IE để khởi động tiến trình đồng bộ

• Xem các cập nhật quan trọng và khảo sát các lựa

chọn

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Chấp nhận 1 cập nhật • Xem báo cáo và các thông tin khác nếu cần

Cập nhật tự động

• Các client phải có phần mềm cập nhật tự động để lấy các

cập nhật bảo mật

• Một số hệ thống có phần mềm cài đặt sẵn, một số phải cài

thủ công

• Cập nhật tự động có thể kích hoạt thủ công cùng với các

tùy chọn thông báo và lập lịch

• Để kết nối vào SUS server cục bộ để lấy các bản cập nhật, phải cấu hình các thiết lập Registry hoặc Group Policy của client

• Các thiết lập Group Policy có thể ghi đè lên các thiết lập

cục bộ

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

Thực tập 10-16: Xem lại các thiết lập Group Policy cập nhật tự động

• Start  Administrative Tools  Active Directory

Users and Computers

• Sửa chữa Default Domain Policy và thêm mẫu

wuau theo chỉ dẫn

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Xem lại và thiết lập cấu hình cho cập nhật tự động

Lập kế hoạch cơ sở hạ tầng SUS • Các phương pháp chung mà tổ chức dùng để triển

server quản lý độc lập

• Mạng doanh nghiệp: nhiều SUS server, server đồng bộ

đơn

• Mạng bảo mật cao: intranet hủy kết nối với Internet

công cộng. Tất cả các server cục bộ tải từ server đã kết nối đặc biệt

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

khai cấu hình SUS: • Các mạng nhỏ: 1 server đơn chạy SUS hoặc nhiều

Thực tập 10-17: Gỡ bỏ cài đặt SUS và IIS

• Mục tiêu: Gỡ bở cài đặt SUS và IIS • Start  Control Panel  Add or Remove

Programs

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

• Gỡ bỏ SUS theo chỉ dẫn • Gỡ bỏ IIS theo chỉ dẫn

Tổng kết

• Các công cụ dùng để quản lý các tác vụ server và

quản lý từ xa các client: • Microsoft Management Console (MMC) • Đặc tính đăng nhập thứ cấp

• Các bước xử lý sự cố mạng: xác định vấn đề, tập hợp thông tin, phác họa kế hoạch, hiện thực kế hoạch, lập tài liệu về các thay đổi và kết quả • Terminal Services cho phép user kết nối và chạy

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment

các ứng dụng trên các server từ xa