Tập bài giảng Hệ điều hành mạng

MỤC LỤC

Chƣơng 1: CÁC KHÁI NIỆM CƠ BẢN VÀ CÀI ĐẶT....................................... 6

1.1. Tổng quan về hệ điều hành mạng và hệ điều hành windows server ................ 6

1.1.1. Khái niệm và vai trò của mạng ..................................................................... 6

1.1.2. Mô hình mạng ............................................................................................... 7

1.1.3. Thiết bị mạng .............................................................................................. 13

1.1.4. Giao thức mạng ........................................................................................... 16

1.1.5. Địa chỉ mạng ............................................................................................... 17

1.1.6. Kiến trúc của Windows Server ................................................................... 19

1.2. Cài đặt và cấu hình Windows Server ............................................................. 21

1.2.1. Cài đặt Windows Server ............................................................................. 21

1) Các phiên bản dòng Windows Server ............................................................... 21

2) Chuẩn bị các điều kiện cài đặt .......................................................................... 25

3) Các bƣớc cài đặt Windows server .................................................................... 28

4) Nâng cấp và cài đặt tự động Windows server .................................................. 34

1.2.2. Cấu hình Windows Server .......................................................................... 42

1) Cấu hình và quản lý phần cứng ........................................................................ 42

2) Cấu hình hiển thị các lựa chọn.......................................................................... 47

3) Cấu hình cài đặt hệ thống ................................................................................. 50

4) Cấu hình môi trƣờng để bàn ............................................................................. 52

1.3. Kết nối client vào mạng windows server ....................................................... 57

1.3.1. Các kết nối Windows Server ....................................................................... 57

1.3.2. Nối vào mạng Microsoft ............................................................................. 58

1.3.3. Nối vào mạng Novell Netware .................................................................... 62

1.4. Active directory trong Windows server ......................................................... 67

1.4.1. Các khái niệm liên quan .............................................................................. 67

1) Dịch vụ thƣ mục (Directory Service) ............................................................... 67

2) Dịch vụ thƣ mục trên Windows Server (Active Directory Service) ................. 68

3) Miền (Domain) ................................................................................................. 70

4) Organization Unit (OU) .................................................................................... 71

5) Cây (Tree) ......................................................................................................... 72

6) Rừng (Forest) .................................................................................................... 73

7) Site .................................................................................................................... 73

8) Điều khiển vùng (Domain Controller) .............................................................. 73

9) Các khái niệm khác........................................................................................... 73

10) DNS và các quy ƣớc đặt tên ........................................................................... 74

1.4.2. Cài đặt Active directory .............................................................................. 75

1.4.3. Quản trị Active directory ............................................................................ 95

BÀI TẬP CHƢƠNG 1 .......................................................................................... 98

Chƣơng 2: QUẢN LÝ TÀI NGUYÊN MẠNG ................................................. 101

2.1. Tạo và quản lý tài khoản ngƣời sử dụng ...................................................... 101

2.1.1. Giới thiệu về tài khoản ngƣời sử dụng(User Account) ............................. 101

2.1.2. Các nguyên tắc khi tạo một tài khoản ngƣời sử dụng ............................... 102

1) Các qui ƣớc đặt tên ......................................................................................... 103

2) Các nguyên tắc đối với password. .................................................................. 103

3) Các tuỳ chọn account ...................................................................................... 104

2.1.3. Tạo tài khoản ngƣời sử dụng cục bộ ......................................................... 104

2.1.4. Tạo và cấu hình tài khoản ngƣời sử dụng của vùng ................................. 108

2.1.5. Quản lý dữ liệu của ngƣời sử dụng ........................................................... 111

1) Xác định một vị trí của Folder chủ ................................................................. 111

2) Tạo một Folder chủ......................................................................................... 111

2.1.6. Xác lập các thuộc tính cho tài khoản ngƣời sử dụng ................................ 112

2.1.7. Tạo và xác lập các tuỳ biến cho ngƣời sử dụng ........................................ 118

1) Các loại user Profile ....................................................................................... 119

2) Tạo Roaming và mandatory Roaming user profiles ....................................... 119

2.2. Nhóm và cách dùng nhóm để quản lý ngƣời sử dụng ................................. 122

2.2.3. Tạo các nhóm ............................................................................................ 125

1) Chiến lƣợc để sử dụng local group trong một workgroup ............................. 125

2) Tạo các local group......................................................................................... 126

3) Chiến lƣợc để sử dụng group trong một Domain đơn .................................... 127

4) Chỉ dẫn để tạo các Domain group .................................................................. 128

5) Tạo và xoá bỏ các domain group .................................................................... 128

2.2.4. Dùng nhóm để quản lý ngƣời sử dụng ...................................................... 130

2.2.5. Bảo mật nhóm (Group policies) ................................................................ 131

2.3.1. Tổ chức lƣu trữ thông tin trong Windows Server ..................................... 147

1) Các khái niệm liên quan ................................................................................. 147

2.3.2. Các hệ thống File của Windows Server .................................................... 162

2.3.3. Tạo các thƣ mục chia sẻ ............................................................................ 163

1) Các yêu cầu thƣ mục chia sẻ .......................................................................... 163

2) Chia sẻ một thƣ mục ....................................................................................... 164

3) Đặt các quyền truy nhập và các thuộc tính cho File và thƣ mục chia sẻ ........ 165

4) Kết nối tới thƣ mục đƣợc chia sẻ .................................................................... 166

2.3.4. Chia sẻ quản trị.......................................................................................... 168

2.3.5. Cấu hình thƣ mục chia sẻ bằng sử dụng hệ file phân tán (DFS)............... 170

1) Giới thiệu DFS ................................................................................................ 170

2) Các kiểu DFS Root ......................................................................................... 171

3) Truy nhập vào tài nguyên File và thƣ mục thông qua DFS ............................ 172

4) Tạo một DFS root ........................................................................................... 173

5) Tạo DFS liên kết (DFS link) ........................................................................... 174

6) Tạo và cấu hình các Replicas .......................................................................... 175

7) Kiểm tra các trạng thái của DFS ..................................................................... 177

2.4. Quản lý dữ liệu bằng NTFS ......................................................................... 178

2.4.1. Giới thiệu về quyền NTFS ........................................................................ 178

2) Các quyền NTFS ............................................................................................. 178

2.4.2. Áp dụng các quyền NTFS cho Windows Server ...................................... 180

1) Đa quyền NTFS .............................................................................................. 180

2) Thừa kế quyền NTFS ...................................................................................... 181

3) Sao chép và di chuyển các file và thƣ mục ..................................................... 181

2.4.3. Sử dụng các quyền NTFS ......................................................................... 183

1) Gán các quyền NTFS ...................................................................................... 183

2) Thiết lập sự thừa kế quyền .............................................................................. 184

2.4.4. Sử dụng các quyền đặc biệt của NTFS ..................................................... 185

1) Giới thiệu về quyền đặc biệt của NTFS .......................................................... 185

2) Thiết lập sự thừa kế quyền đặc biệt ................................................................ 186

2.4.5. Nén dữ liệu trên một phân vùng NTFS ..................................................... 187

1) Giới thiệu về các file nén và folder nén .......................................................... 188

2) Nén các file và folder ...................................................................................... 188

3) Copy và di chuyển các file và folder nén ....................................................... 189

2.4.6. Cấu hình đĩa theo dõi và kiểm soát (Disk quotas) trên các phân vùng NTFS ................................................................................................................................. 190

1) Sử dụng Disk quotas ....................................................................................... 190

2) Thiết lập Disk quotas ...................................................................................... 191

BÀI TẬP CHƢƠNG 2 ........................................................................................ 192

Chƣơng 3: CÁC DỊCH VỤ MẠNG VÀ BẢO MẬT ........................................ 200

3.1. Quản lý đĩa và máy in .................................................................................. 200

3.1.1. Cấu hình và quản lý đĩa ............................................................................ 200

1) Các loại quản lý đĩa trên Windows Server ..................................................... 200

2) Tạo các volume trên một đĩa động ................................................................. 204

3) Thực hiện các tác vụ quản lý đĩa thông thƣờng.............................................. 206

3.1.2. Cài đặt và quản lý máy in ......................................................................... 211

3.2. Cấu hình và quản lý các dịch vụ mạng của windows server ....................... 230

3.2.1. Cấu hình cho môi trƣờng LAN ................................................................. 230

3.2.2. Cài đặt và cấu hình dịch vụ DHCP ........................................................... 232

1) Giới thiệu dịch vụ DHCP ............................................................................... 232

2) Hoạt động của giao thức DHCP ..................................................................... 233

5) Cấu hình dịch vụ DHCP ................................................................................. 236

3.2.3. Dịch vụ DNS ............................................................................................. 241

3.2.4. Dịch vụ WWW và FTP Server ................................................................. 264

3.2.5. Dịch vụ truy nhập từ xa ............................................................................ 296

1) Mô hình Remote Access Server ..................................................................... 296

2) Mô hình Internet Connection Server .............................................................. 303

3.2.6. Cài đặt và cấu hình Terminal service ........................................................ 308

1) Giới thiệu về Terminal service ....................................................................... 308

2) Cài đặt và cấu hình Terminal service ............................................................. 308

3.3. Hệ thống bảo mật của window server ......................................................... 309

3.3.1. Phòng chống sự cố trong Windows Server ............................................... 309

1) Giới thiệu về phòng chống sự cố trong Windows server ............................... 309

2) Cấu hình một nguồn điện không bị ngắt quãng .............................................. 310

a) Chọn cấu hình các tùy chọn dành cho dịch vụ UPS ....................................... 310

3) Thực thi cơ chế chống lỗi bằng sử dụng RAID .............................................. 311

3.3.2 Bảo mật trong Windows Server ................................................................. 320

1) Hệ thống khoá công khai ................................................................................ 320

2) Certificate Services ......................................................................................... 323

3) Kerberos Protocol ........................................................................................... 324

4) Mã hoá hệ thống file ....................................................................................... 325

3.4. Cấu hình windows server cho mobile computing ........................................ 326

3.4.1. Cấu hình phần cứng cho mobile computing ............................................. 326

1) Tạo một môi trƣờng (profile) phần cứng cho những ngƣời sử dụng mobile . 326

2) Sử dụng các trạm cố định ............................................................................... 326

3.4.2. Cấu hình các tuỳ chọn quản lý điện máy tính lƣu động ............................ 326

1) Chọn một Power scheme ................................................................................ 327

2) Sử dụng các tuỳ chọn điện để tiết kiệm .......................................................... 327

3.4.3. Làm cho các file có sẵn sử dụng ngoại tuyến ........................................... 328

1) Giới thiệu về các file ngoại tuyến ................................................................... 328

2) Cấu hình một server cho các file ngoại tuyến................................................. 329

3) Cấu hình một client cho các file ngoại tuyến ................................................. 329

4) Sử dụng Synchronization Manager để đồng bộ hoá các file .......................... 330

3.4.4. Kết nối với các mạng máy tính ................................................................. 330

1) Tạo một nối kết quay số .................................................................................. 330

2) Kết nối tới một mạng riêng ảo thông qua Internet .......................................... 331

BÀI TẬP CHƢƠNG 3 ........................................................................................ 332

TÀI LIỆU THAM KHẢO ................................................................................... 340

Chƣơng 1: CÁC KHÁI NIỆM CƠ BẢN VÀ CÀI ĐẶT

1.1. Tổng quan về hệ điều hành mạng và hệ điều hành windows server

1.1.1. Khái niệm và vai trò của mạng

Mạng máy tính (networking) là một nhóm các máy tính, thiết bị ngoại vi đƣợc

nối kết với nhau thông qua các phƣơng tiện truyền dẫn nhƣ cáp, sóng điện từ, tia hồng

ngoại... giúp cho các thiết bị này có thể trao đổi dữ liệu với nhau một cách dễ dàng. Các thành phần cơ bản cấu thành nên mạng máy tính:

- Các loại máy tính: Palm, Laptop, PC, MainFrame...

- Các thiết bị giao tiếp: Card mạng (NIC hay Adapter), Hub, Switch, Router...

- Môi trƣờng truyền dẫn: cáp, sóng điện từ, sóng vi ba, tia hồng ngoại... - Các protocol: TCP/IP, NetBeui, Apple Talk, IPX/SPX...

- Các hệ điều hành mạng: Windows NT, Window 2000 server, Windows server

2003, Novell Netware, Unix, Linux ...

- Các tài nguyên: file, thƣ mục

- Các thiết bị ngoại vi: máy in, máy fax, Modem, Scanner...

- Các ứng dụng mạng.

Server (máy phục vụ): là máy tính đƣợc cài đặt các phần mềm chuyên dụng

làm chức năng cung cấp các dịch vụ cho các máy tính khác. Tùy theo dịch vụ mà các

máy này cung cấp, ngƣời ta chia thành các loại server nhƣ sau: File server (cung cấp các dịch vụ về file và thƣ mục), Print server (cung cấp các dịch vụ về in ấn). Do làm

chức năng phục vụ cho các máy tính khác nên cấu hình máy server phải mạnh, thông

thƣờng là máy chuyên dụng của các hãng nhƣ: Compaq, Intel, IBM...

Client (máy trạm): là máy tính sử dụng các dịch vụ mà các máy server cung

cấp. Do xử lý số công việc không lớn nên thông thƣờng các máy này không yêu cầu có

cấu hình mạnh.

Peer là những máy tính vừa đóng vai trò là máy sử dụng vừa là máy cung cấp

các dịch vụ. Máy peer thƣờng sử dụng các hệ điều hành nhƣ: DOS, WinNT

Workstation, Windows 9X, Windows Me, Windows 2K Professional, Windows XP, Windows 7, Windows 8....

Shared data (dữ liệu dùng chung): là tập hợp các tập tin, thƣ mục mà các máy

tính chia sẻ để các máy tính khác truy cập sử dụng chúng thông qua mạng.

Resource (tài nguyên): là tập tin, thƣ mục, máy in, máy Fax, Modem, ổ

CDROM và các thành phần khác mà ngƣời dùng mạng sử dụng.

User (ngƣời dùng): là ngƣời sử dụng máy trạm (client) để truy xuất các tài nguyên mạng. Thông thƣờng một user sẽ có một username (account) và một password.

Hệ thống mạng sẽ dựa vào username và password để biết có quyền vào mạng hay

không và có quyền sử dụng những tài nguyên nào trên mạng.

Administrator: là nhà quản trị hệ thống mạng.

Mạng máy tính đem lại cho chúng ta rất nhiều lợi ích, đó là:

- Chia sẻ thông tin, dữ liệu.

- Chia sẻ phần cứng, phần mềm.

- Tập trung hoá quá trình quản lý và hỗ trợ.

- Tài liệu: các văn bản, giấy tờ soạn thảo trên máy, các dữ liệu bảng tính, cơ sở

dữ liệu...

- Thƣ điện tử.

- Phần mềm xử lý văn bản.

- Phần mềm quản lý dự án. - Phần mềm xử lý đồ hoạ.

- Các tệp âm thanh, phim.

Hình 1.1: Mô hình mạng máy tính

1.1.2. Mô hình mạng

Có nhiều cách phân loại mạng. Nếu căn cứ vào vị trí địa lý, ngƣời ta chia ra thành LAN và WAN. Internet. LAN (Local Area Network): Mạng LAN là một nhóm máy tính và các thiết bị

truyền thông mạng đƣợc nối kết với nhau trong một khu vực nhỏ nhƣ một toà nhà cao ốc, khuôn viên trƣờng đại học, khu giải trí ...

Các mạng LAN thƣờng có đặc điểm sau:

- Băng thông lớn, có khả năng chạy các ứng dụng trực tuyến nhƣ xem phim, hội

thảo qua mạng.

- Kích thƣớc mạng bị giới hạn bởi các thiết bị.

- Chi phí các thiết bị mạng LAN tƣơng đối rẻ.

- Quản trị đơn giản.

Hình 1.2: Mô hình mạng cục bộ LAN Mạng đô thị MAN (Metropolitan Area Network): Mạng MAN gần giống

nhƣ mạng LAN nhƣng giới hạn của nó là một thành phố hay một quốc gia. Mạng

MAN nối kết các mạng LAN lại với nhau thông qua các phƣơng tiện truyền dẫn khác

nhau (cáp quang, cáp đồng, sóng...) và các phƣơng thức truyền thông khác nhau.

Đặc điểm của mạng MAN.

- Băng thông mức trung bình, đủ để phục vụ các ứng dụng cấp thành phố hay

quốc gia nhƣ chính phủ điện tử, thƣơng mại điện tử, các ứng dụng của các ngân hàng...

- Do MAN nối kết nhiều LAN với nhau nên độ phức tạp cũng tăng đồng thời

công tác quản trị sẽ khó khăn hơn. Chi phí các thiết bị mạng MAN tƣơng đối đắt tiền.

WAN (Wide Area Network): Mạng WAN bao phủ vùng địa lý rộng lớn có thể

là một quốc gia, một lục địa hay toàn cầu. Mạng WAN thƣờng là mạng của các công

ty đa quốc gia hay toàn cầu, điển hình là mạng Internet. Do phạm vi rộng lớn của

mạng WAN nên thông thƣờng mạng WAN là tập hợp các mạng LAN, MAN nối lại với nhau bằng các phƣơng tiện nhƣ: vệ tinh (satellites), sóng viba (microwave), cáp quang, cáp điện.

Đặc điểm của mạng WAN: - Băng thông thấp, dễ mất kết nối, thƣờng chỉ phù hợp với các ứng dụng offline

nhƣ e-mail, web, ftp, …

- Phạm vi hoạt động rộng lớn không giới hạn. - Do kết nối của nhiều LAN, MAN lại với nhau nên mạng rất phức tạp và có

tính toàn cầu nên thƣờng là có tổ chức quốc tế đứng ra quản trị.

- Chi phí cho các thiết bị và các công nghệ mạng WAN rất đắt tiền.

Hình 1.3: Mô hình mạng diện rộng (WAN) Mạng Internet: Mạng Internet là trƣờng hợp đặc biệt của mạng WAN, nó cung

cấp các dịch vụ toàn cầu nhƣ mail, web, chat, ftp và phục vụ miễn phí cho mọi ngƣời.

Nếu căn cứ vào cách nối mạng, ngƣời ta phân chia thành các loại: Bus, Star,

Ring, Mesh

Bus: Theo đó, các máy đƣợc nối trực tiếp vào một đƣờng trục. Đây là môt hình

đơn giản nhƣng lại dùng khá phổ biến trƣớc đây. Lƣu ý: ở hai đầu trục có gắn một

thiết bị gọi là Teminator. Mạng này còn gọi là mạng đồng trục.

Hình 1.4: Mô hình kết nối mạng Bus

Star: Theo cách này, các máy tính không nối trực tiếp với nhau mà qua một

thiết bị trung tâm, gọi là Hub.

Hình 1.5: Mô hình kết nối mạng Star

Ring: Gần giống nhƣ mô hình Bus, tuy nhiên đƣờng trục chung của các máy

nối lại thành vòng tròn, do đó không cần Teminator.

Hình 1.6: Mô hình kết nối mạng Star

Mesh: Ở mô hình này, các máy nối trực tiếp với nhau, tạo thành một mạng

lƣới.

Hình 1.7: Mô hình kết nối mạng Star

Hỗn hợp: Ngoài các kiểu trên, ngƣời ta có thể kết hợp các mô hình lại với

nhau, tạo nên kiểu mạng hỗn hợp.

Hình 1.8: Mô hình kết nối mạng Star-Bus

Hình 1.9: Mô hình kết nối mạng Star- Ring

Hình 1.10: Mô hình kết nối mạng Star- Ring-Bus

Nếu căn cứ phân loại dựa trên vai trò hoạt động của các máy tính trên toàn

mạng, ngƣời ta chia ra làm mạng ngang hàng (Peer to Peer) và mạng khách chủ

(Server Based hoặc Client-Server)

Peer to Peer: (Mạng ngang hàng): Mạng ngang hàng cung cấp việc kết nối cơ

bản giữa các máy tính nhƣng không có bất kỳ một máy tính nào đóng vai trò phục vụ.

Một máy tính trên mạng có thể vừa là client, vừa là server. Trong môi trƣờng này,

ngƣời dùng trên từng máy tính chịu trách nhiệm điều hành và chia sẻ các tài nguyên của máy tính mình. Mô hình này chỉ phù hợp với các tổ chức nhỏ, số ngƣời giới hạn

(thông thuờng nhỏ hơn 10 ngƣời), và không quan tâm đến vấn đề bảo mật. Mạng

ngang hàng thƣờng dùng các hệ điều hành sau: Win95, Windows for workgroup,

Windows NT Workstation, Windows 2000 Proffessional, Windows 7, Unix, Linux ...

Ƣu điểm: do mô hình mạng ngang hàng đơn giản nên dễ cài đặt, tổ chức và

quản trị, chi phí thiết bị cho mô hình này thấp.

Khuyết điểm: không cho phép quản lý tập trung nên dữ liệu phân tán, khả năng

bảo mật thấp, rất dễ bị xâm nhập. Các tài nguyên không đƣợc sắp xếp nên rất khó định

vị và tìm kiếm.

Hình 1.11: Mô hình ứng dụng mạng ngang hàng (Peer-to-Peer)

Client-Server (Mạng khách-chủ) Trong mô hình mạng khách chủ có một hệ

thống máy tính cung cấp các tài nguyên và dịch vụ cho cả hệ thống mạng sử dụng gọi là các máy chủ (server). Một hệ thống máy tính sử dụng các tài nguyên và dịch vụ này

đƣợc gọi là máy khách (client). Các server thƣờng có cấu hình mạnh (tốc độ xử lý

nhanh, kích thƣớc lƣu trữ lớn) hoặc là các máy chuyên dụng. Dựa vào chức năng có

thể chia thành các loại server nhƣ sau:

- File Server: phục vụ các yêu cầu hệ thống tập tin trong mạng.

- Print Server: phục vụ các yêu cầu in ấn trong mạng.

- Application Server: cho phép các ứng dụng chạy trên các server và trả về kết

quả cho client.

- Mail Server: cung cấp các dịch vụ về gởi nhận e-mail.

- Web Server: cung cấp các dịch vụ về web.

- Database Server: cung cấp các dịch vụ về lƣu trữ, tìm kiếm thông tin.

- Communication Server: quản lý các kết nối từ xa.

Hệ điều hành mạng dùng trong mô hình client - server là WinNT, Novell

NetWare, Unix, Windows 2000 server, Windows server 2003, Windows server 2008...

Ƣu điểm: do các dữ liệu đƣợc lƣu trữ tập trung nên dễ bảo mật, backup và đồng

bộ với nhau. Tài nguyên và dịch vụ đƣợc tập trung nên dễ chia sẻ và quản lý và có thể

phục vụ cho nhiều ngƣời dùng. Khuyết điểm: các server chuyên dụng rất đắt tiền, phải có nhà quản trị cho hệ

thống.

Hình 1.12: Mô hình ứng dụng mạng khách chủ (Client-Server)

1.1.3. Thiết bị mạng

a) Dây nối

Có 3 loại thƣờng đƣợc dùng hiện nay:

Coaxial cable (cáp đồng trục): Là kiểu cáp đầu tiên đƣợc dùng trong các

LAN, cấu tạo của cáp đồng trục gồm:

- Dây dẫn trung tâm: dây đồng hoặc dây đồng bện. - Một lớp cách điện giữa dây dẫn phía ngoài và dây dẫn phía trong.

- Dây dẫn ngoài: bao quanh dây dẫn trung tâm dƣới dạng dây đồng bện hoặc lá.

Dây này có tác dụng bảo vệ dây dẫn trung tâm khỏi nhiễu điện từ và đƣợc nối đất để

thoát nhiễu.

- Ngoài cùng là một lớp vỏ plastic bảo vệ cáp.

Hình 1.13: Chi tiết cáp đồng trục

Ƣu điểm của cáp đồng trục: là rẻ tiền, nhẹ, mềm và dễ kéo dây.

Cáp mỏng (thin cable/thinnet): có đƣờng kính khoảng 6mm, thuộc họ RG-58,

chiều dài đƣờng chạy tối đa là 185 m.

- Cáp RC-58, trở kháng 50 ohm dùng với Ethernet mỏng.

- Cáp RC-59, trở kháng 75 ohm dùng cho truyền hình cáp.

- Cáp RC-62, trở kháng 93 ohm dùng cho ARCnet.

Cáp dày (thick cable/thicknet): có đƣờng kính khoảng 13mm thuộc họ RG-58, chiều

dài đƣờng chạy tối đa 500m.

Hình 1.14: So sánh cáp đồng trục: Thicknet và Thinnet

So sánh giữa cáp đồng trục mỏng và đồng trục dày:

- Chi phí: cáp đồng trục thinnet rẻ nhất, cáp đồng trục thicknet đắt hơn. - Tốc độ: mạng Ethernet sử dụng cáp thinnet có tốc độ tối đa 10Mbps và mạng

ARCNet có tốc độ tối đa 2.5Mbps.

- EMI: có lớp chống nhiễu nên hạn chế đƣợc nhiễu.

- Có thể bị nghe trộm tín hiệu trên đƣờng truyền.

Cách lắp đặt dây: muốn nối các đoạn cáp đồng trục mỏng lại với nhau ta dùng đầu

nối chữ T và đầu BNC nhƣ hình vẽ.

Hình 1.15: Đầu nối BNC và đầu nối chữ T

Hình 1.16: Đầu chuyển đổi (gắn vào máy tính) Muốn đấu nối cáp đồng trục dày ta phải dùng một đầu chuyển đổi transceiver

và nối kết vào máy tính thông qua cổng AUI.

Hình 1.17: Kết nối cáp Thicknet vào máy tính

- Twisted-pair cable (cáp xoắn đôi): Cáp xoắn đôi gồm nhiều cặp dây đồng

xoắn lại với nhau nhằm chống phát xạ nhiễu điện từ. Do giá thành thấp nên cáp xoắn đƣợc dùng rất rộng rãi. Có hai loại cáp xoắn đôi đƣợc sử dụng rộng rãi trong LAN là: loại có vỏ bọc chống nhiễu và loại không có vỏ bọc chống nhiễu.

Hình 1.18: Twisted-pair cable (cáp xoắn đôi):

- Fiber-optic cable (cáp quang): Cáp quang có cấu tạo gồm dây dẫn trung tâm

là sợi thủy tinh hoặc plastic đã đƣợc tinh chế nhằm cho phép truyền đi tối đa các tín hiệu ánh sáng. Sợi quang đƣợc tráng một lớp nhằm phản chiếu các tín hiệu. Cáp quang

chỉ truyền sóng ánh sáng (không truyền tín hiệu điện) với băng thông rất cao nên

không gặp các sự cố về nhiễu hay bị nghe trộm. Cáp dùng nguồn sáng laser, diode

phát xạ ánh sáng. Cáp rất bền và độ suy giảm tín hiệu rất thấp nên đoạn cáp có thể dài đến vài km. Băng thông cho phép đến 2Gbps. Nhƣng cáp quang có khuyết điểm là giá

thành cao và khó lắp đặt.

Hình 1.19: Mô tả cáp quang

b) Card mạng

Network Interface Card, đôi khi còn gọi là NICs, là một thiết bị phần cứng có

hình dạng tấm, vỉ, dùng để kết nối máy tính vào dây mạng. Card mạng thƣờng đƣợc

cắm vào khe mở rộng của Client hay Server. Nhiệm vụ của Card bao gồm: - Chuẩn bị dữ liệu truyền từ máy tính ra cáp.

- Gửi dữ liệu sang máy tính khác - Điều khiển dòng dữ liệu truyền qua lại giữa máy và cáp.

- Tiếp nhận dữ liệu truyền đến và chuyển đổi thành dạng tín hiệu có thể hiểu

bởi máy tính. Các loại Card mạng: ISA, EISA, MCA, PCI

Hình 1.20: Mô hình Network Interface Card

c) Hub

Trong các mô hình mạng hiện nay, hầu hết ít nhiều đều có sử dụng Hub. Đây là

thành phần trung tâm của các mạng hình sao.

Nhiệm vụ của Hub là chuyển tiếp tín hiệu truyền qua lại giữa các máy. Hub chủ

động (Active Hub) còn có khả năng khuếch đại tín hiệu, ngƣợc lại Hub bị động (Passive Hub) giữ nguyên tín hiệu nhƣ nó nhận đƣợc. Hub chủ động đòi hỏi phải có

nguồn cung cấp điện để hoạt động trong khi Hub bị động không cần. Hầu hết các Hub

hiện nay thuộc lớp chủ động.

1.1.4. Giao thức mạng

Giao thức (protocol) là các quy tắc mã hoá để truyền dữ liệu. Điều này đảm bảo

cho mọi máy tính trong mạng có thể đọc đƣợc các gói dữ liệu dù máy đó chạy bất kỳ

hệ điều hành, phần mềm, phần cứng nào. Giao thức thƣờng đƣợc định nghĩa bởi các

nhà sản xuất phần cứng, phần mềm. Tuy nhiên ngày nay ngƣời ta hƣớng tới việc sử

dụng chung giao thức TCP-IP.

Tại máy gửi:

- Dữ liệu đƣợc chia thành các gói (packet) mà giao thức có thể xử lý.

- Địa chỉ máy nhận đƣợc bổ sung vào gói tin.

- Truyền dữ liệu qua NIC để vào mạng

Tại máy nhận:

- Lấy các gói tin từ mạng.

- Xử lý dữ liệu địa chỉ, kiểm tra thông tin về gói nhận đƣợc. - Kết hợp dữ liệu các gói lại. - Trả về cho ứng dụng. Trƣớc đây, các mạng LAN có xu hƣớng đứng độc lập. Server trong mỗi mạng không cần liên hệ với LAN khác. Cùng với sự phát triển của công nghệ truyền tin, giờ đây yêu cầu giữa các mạng LAN có thể trao đổi thông tin đã trở thành chuẩn mực quan

trọng. Giao thức cho phép thông tin truyền qua lại giữa các LAN với nhau gọi chung là Routable Protocol.

TCP-IP (Transmission Control Protocol/Internet Protocol) là một bộ giao thức chuẩn công nghiệp, đƣợc định nghĩa và phát triển không phải bởi bất kỳ công ty nào

mà do chính uỷ ban tiêu chuẩn quốc tế (ISO) quản lý. TCP-IP đƣợc xem nhƣ giao thức

chủ đạo dùng trong môi trƣờng Internet.

TCP-IP đƣợc định nghĩa độc lập với môi trƣờng hệ điều hành. Nghĩa là nó có

thể sử dụng trên bất kỳ nền tảng nào hỗ trợ TCP-IP.

Cài đặt TCP-IP cho phép mở rộng, thay đổi mô hình mạng bất kỳ lúc nào và với

bất kỳ quy mô nào.

Trƣớc đây, lúc mới ra đời, TCP-IP có một hạn chế đối với các gói tin có dung

lƣợng lớn. Tuy nhiện, hiện nay phần cứng phát triển rất mạnh, các hệ điều hành có thể

xử lý trong môi trƣờng 32, 64 bit, do đó vấn về kích thƣớc gói tin không còn đƣợc đặt

1.1.5. Địa chỉ mạng

Trong mạng, mỗi máy tính phải có một địa chỉ duy nhất để làm cơ sở cho quá

trình truyền tin. Tuỳ theo kiểu giao thức sử dụng mà có các loại địa chỉ khác nhau. Ở

đây ta chỉ đề cập đến địa chỉ IP cho mạng dùng giao thức TCP-IP

Địa chỉ IP (Ipv4) là một số 32 bits đƣợc biểu diển dƣới dạng 4 nhóm số, cách

nhau bằng một dấu chấm (.). Ví dụ: 192.168.1.1. Địa chỉ IP đƣợc chia làm hai phần:

NetworkID và HostID.

a) NetworkID

Xác định các máy trên cùng một mạng vật lý. Các máy tính trong mạng phải có NetworkID nhƣ nhau để trao đổi dữ liệu. Giữa hai mạng (khác NetworkID), cần phải

có Router để kết nối.

Hình 1.21: Mô hình kết nối 2 mạng khác NetworkID

b) HostID

Xác định một máy đơn trong một mạng. HostID phải duy nhất trong mạng đã

xác định bằng NetID. Ngƣời ta thƣờng so sánh cơ chế này tƣơng tự việc đánh số nhà.

Hình 1.22: Mô hình đánh địa chỉ IP cho các máy trám trên cùng NetID Địa chỉ IP đƣợc quản lý bởi một tổ chức quốc tế gọi là InterNIC. Ngƣời ta chia

các địa chỉ này thành lớp, tuỳ thuộc quy mô mạng.

Lớp A: Đƣợc sử dụng với các mạng có nhiều Host. Số mạng tối đa trên lớp này

là 126, số Host trên mối mạng tối đa là 16.777.214

Lớp B: Đƣợc sử dụng với các mạng có quy mô trung bình. Số mạng tối đa trên

lớp này là 16.384. Số Host tối đa trên mối mạng là 65.534

Lớp C: Đƣợc sử dụng với các mạng LAN. Số mạng tối đa là 2.097.152. Số Host

tối đa trên mối mạng là 254.

Lớp D, E : Sử dụng với mục đích khác.

Hình 1.23: Cấu trúc địa chỉ IP

c) Subnet và Subnet Mark:

Hãy xem xét trƣờng hợp lớp A, cho phép mỗi mạng có tới xấp xỉ 16 triệu Host.

Trên thực tế, khó có mạng nào đạt đến con số này, thậm chí ngay với lớp B. Chính vì thế có thể xảy ra lãng phí địa chỉ. Một cách khắc phục là tiếp tục chia nhỏ các mạng này thành mạng con (Subnet). Việc xác định Subnet trong mạng đƣợc nhận diện qua Subnet Mark.

Hình 1.24: Sử dụng địa chỉ lớp B đánh cho các máy tính

Hình trên, giả sử mạng dùng lớp địa chỉ B, nhƣ vậy có tối đa khoảng 65.000

Host trên mạng. Bây giờ mạng 139.12.0.0 đƣợc tách ra thành Subnet:

Hình 1.25: Chia địa chỉ mạng

Khi đó, Router sẽ chỉ chuyển dữ liệu đến các mạng thích hợp, tránh quá tải

đƣờng truyền.

Để nhận biết đâu là NetID, đâu là HostID khi tạo Subnet, cần phải dùng Subnet

Mark. Theo quy định:

- Các bit tƣơng ứng với NetID là 1

- Các bit tƣơng ứng với HostID sẽ là 0

Vậy, mặc định các Subnet Mark của các lớp sẽ là:

- Lớp A : 255.0.0.0

- Lớp B : 255.255.0.0

- Lớp C : 255.255.255.0

Xác định NetID từ địa chỉ IP và Subnet Mark: Dùng toán tử AND tác động lên

tất cả các bit của địa chỉ IP và Subnet Mark. Kết quả sẽ cho NetID.

Ví dụ: IP là 129.56.189.41, Subnet Mark là 255.255.240.0

10000001 00111000 10111101 00101001 IP Address

11111111 11111111 11110000 00000000 Subnet Mask

10000001 00111000 10110000 00000000 Network ID

1.1.6. Kiến trúc của Windows Server

Windows server 2003 đƣợc cấu tạo từ 2 lớp (layer) cơ bản: User Mode và

Kernel Mode nhƣ minh hoạ dƣới đây:

Hình 1.26: Kiến trúc của Windows Server 2003

User Mode lại có thể đƣợc phân chia thành 2 kiểu là environment subsystems

và integral subsystems, trong đó environment subsystems là cơ chế cho phép Windows server 2003 chạy đƣợc các ứng dụng viết cho nhiều hệ điều hành khác nhau, còn

integral subsystems cho phép tích hợp và thực hiện các chức năng quan trọng của hệ

điều hành.

Environment subsystems giả lập các hệ điều hành khác nhau, chuyển đổi các hàm API viết cho hệ điều hành đó sang các hàm API viết trên Windows. Các hệ điều

hành mà Windows 2003 hỗ trợ giả lập bao gồm: Win32, Win16, MS-DOS, OS/2,

POSIX. Tuy nhiên, ứng dụng chạy trong các subsystem không có khả năng truy cập

trực tiếp phần cứng, mở rộng bộ nhớ cũng nhƣ thƣờng chiếm dụng tài nguyên nhiều và kém hiệu quả hơn.

Integral subsystems có vai trò quản trị, theo dõi quyền hạn của User, cung cấp

các hàm truy cập mạng, Server.

Kernel Mode: Truy cập trực tiếp phần cứng, bộ nhớ, thực thi chƣơng trình.

Kernel Mode sẽ tính toán và sắp đặt các tiến trình cũng nhƣ tài nguyên của hệ thống

theo một trình tự ƣu tiên nhất định. Kernel Mode đƣợc phân chia thành 4 nhân tố:

Windows server 2003 Executive, Device Drivers, Microkernel, Hardware Abstraction

Layer (HAL).

Windows server 2003 Executive: thực thi các tác vụ chủ yếu liên quan đến các

vấn đề vào ra, quản lý các đối tƣợng, quyền hạn, bộ nhớ, tài nguyên...

Device Drivers: chuyển các lời gọi đến trình điều khiển từ chƣơng trình thành

các thao tác trực tiếp với phần cứng.

Microkernel: quản lý riêng vi xử lý, đồng bộ các chỉ thị lệnh cho vi xử lý.

Hardware Abstraction Layer (HAL): che dấu các vấn đề chi tiết liên quan đến

thiết bị phần cứng. Điều này giúp cho Windows server 2003 có thể chạy trên nhiều

loại máy nhƣ Intel, Alpha

Cũng nhƣ trên máy tính cá nhân, nó sẽ không thể hoạt động khi thiếu hệ điều

hành, một mạng máy tính cũng không thể hoạt động nếu thiếu hệ điều hành mạng (Network operating system).

Nhiệm vụ của hệ điều hành mạng là kết nối các máy tính với thiết bị ngoại vi, sắp xếp, phối hợp các chức năng của cả hệ thống, quản lý theo dõi các vấn đề liên quan đến quyền hạn trong môi trƣờng đa ngƣời dùng... Hiện tại có rất nhiều hệ điều hành mạng nhƣ Novel Netware, Windows NT, Unix, Windows 2000 server, Windows

server 2003, Windows server 2008, ...

Novel Netware phân biệt các phần mềm dùng cho Server và Client. Trong đó

phần mềm dùng cho Client có thể chạy trên nhiều loại hệ điều hành khác nhau.

Windows NT kết hợp cả hai trong cùng một hệ thống. Windows NT Server

thiết lập máy tính trở thành một Server, Windows NT Workstation thiết lập máy nhƣ một Client.

Windows server 2003 đƣợc xây dựng dựa trên nền tảng kiến trúc của Windows

NT, đã đƣợc phát triển qua các phiên bản Windows NT 3.x, Windows NT 4, Windows

2000 server... Có thể coi, Windows server 2003 là sự kết hợp về tính thân thiện trong giao diện của Windows 98 và tính ổn định trong hoạt động của Windows NT

1.2. Cài đặt và cấu hình Windows Server

Một trong những tác vụ đầu tiên của chuyên viên hỗ trợ Microsoft Windows

server 2003 là có thể cài đặt hoặc nâng cấp hệ điều hành. Có thể cài đặt Windows server 2003 theo nhiều phƣơng thức khác nhau, trong mỗi phƣơng thức cài đặt, có

nhiều những lựa chọn và yêu cầu hệ thống đặc trƣng cho nó.

1.2.1. Cài đặt Windows Server

1) Các phiên bản dòng Windows Server

Các phiên bản khác nhau của Windows Server 2003 đƣợc thiết kế để hỗ trợ các

nền tảng thiết bị phần cứng và vai trò máy chủ khác nhau. Bên cạnh 4 phiên bản cơ

bản của Windows Server 2003 – Web, Standard (Tiêu chuẩn), Enterprise (Doanh

nghiệp) và Datacenter (Trung tâm dữ liệu) – hệ điều hành này còn có thêm các phiên

bản hỗ trợ phần cứng 64 bits và các hệ thống nhúng.

Phiên bản Web (Web Edition): Để tăng tính cạnh tranh của Windows Server

2003 so với các máy chủ Web khác, Microsoft đã cho ra một phiên bản đặc biệt của

Windows Server 2003, đƣợc thiết kế chuyên dụng cho chức năng của một máy chủ

Web. Phiên bản Web là một phần của hệ điều hành chuẩn cho phép ngƣời quản trị có

thể triển khai các Web site, các ứng dụng Web và các dịch vụ Web mà không tốn

nhiều chi phí và công sức quản trị. Hệ điều hành này hỗ trợ tối đa 2GB bộ nhớ RAM

và 2 bộ vi xử lí – chỉ bằng một nửa so với khả năng hỗ trợ của bản Standard Edition.

Phiên bản Web không có nhiều tính năng nhƣ các phiên bản Windows Server 2003

khác, tuy nhiên nó vẫn tích hợp một số thành phần có thể không cần thiết cho một Web Server điển hình, đó là:

- Một máy chủ chạy phiên bản Web có thể là thành viên của một miền sử dụng

Active Directory nhƣng nó không thể trở thành một máy chủ quản trị miền

- Mô hình Client Access License – CAL (giấy phép truy nhập từ máy trạm) chuẩn không đƣợc áp dụng cho các máy chủ chạy hệ điều hành Web Edition. Hệ điều

hành này hỗ trợ một số lƣợng không giới hạn các kết nối Web, nhƣng nó lại giới hạn tối đa 10 kết nối Server Message Block (SMB) đồng thời. Điều này có nghĩa là không

thể có nhiểu hơn 10 ngƣời dùng mạng nội bộ có thể truy nhập các tài nguyên file và

máy in tại một thời điểm bất kì

- Các tính năng Tƣờng lửa Bảo vệ Kết nối Internet (Internet Connection

Firewall -ICF) và Chia sẻ Kết nối Internet (Internet Connection Sharing – ICS) sẽ không có trong phiên bản Web, điều này sẽ không cho phép máy chủ thực hiện chức

năng của một cổng kết nối Internet.

- Một máy chủ chạy hệ điều hành Web Edition không thể thực hiện chức năng

của một máy chủ DHCP, máy chủ fax, máy chủ Microsoft SQL hay một Máy chủ Dịch vụ Dầu cuối mặc dù chức năng Remote Desktop (Truy nhập toàn màn hình từ xa)

dành cho quản trị vẫn đƣợc hỗ trợ.

- Phiên bản Web sẽ không cho phép chạy các ứng dụng không phải dịch vụ

Web. Tuy nhiên, phiên bản Web lại bao gồm đầy đủ các thành phần chuẩn mà một máy chủ Web cần, bao gồm Microsoft Internet Information Services (IIS) 6, Network

Load Balancing (NLB), và Microsoft ASP.NET. Do vậy, hiển nhiên là phiên bản Web

không phải là một nền tảng thích hợp cho các máy chủ mạng thông thƣờng. Nó cho

phép các cơ quan hay tổ chức triển khai các máy chủ Web chuyên dụng, không hỗ trợ

các thành phần khác mà máy chủ web này không cần thiết sử dụng trong vai trò của

nó.

Phiên bản tiêu chuẩn (Standard Edition): Phiên bản Standard sử dụng cho

nền tảng máy chủ đa chức năng, trong đó có thể cung cấp các dịch vụ thƣ mục

(Directory), file, in ấn, ứng dụng, multimedia và dịch vụ Internet cho các doanh nghiệp cỡ vừa và nhỏ. Sau đây là một vài trong rất nhiều tính năng có trong phiên bản này của

hệ điều hành :

- Directory services (Dịch vụ Thƣ mục): Phiên bản Standard có khả năng hỗ trợ

đầy đủ đối với Active Directory cho phép các máy chủ có thể đóng vai trò là máy chủ

thành viên hoặc các máy chủ quản trị miền. Ngƣời quản trị mạng có thể sử dụng các

công cụ kèm theo hệ điều hành để triển khai và quản trị các đối tƣợng Active

Directory, các chính sách nhóm (GP – Group Policy) và các dịch vụ khác dựa trên nền

Active Directory.

- Dịch vụ Internet: Phiên bản Standard bao gồm IIS 6.0 cung cấp các dịch vụ Web và FTP cũng nhƣ các thành phần khác sử dụng trong quá trình triển khai máy chủ Web nhƣ dịch vụ Cân bằng tải (NLB – Network Load Balancing). Chức năng NLB cho phép nhiều máy chủ Web có thể cùng duy trì (host) một Web site đơn, chia sẻ các yêu cầu kết nối của client trong tối đa 32 máy chủ đồng thời cung cấp khả năng chống lỗi cho hệ thống.

- Các dịch vụ cơ sở hạ tầng: Phiên bản Standard bao gồm các dịch vụ Microsoft nhƣ DHCP Server, Domain Name System (DNS) Server, và Windows Internet Name

Service (WINS) Server, cung cấp các dịch vụ cơ bản cho mạng nội bộ và các máy

khách trên Internet.

- Định tuyến TCP/IP (TCP/IP Routing): Một máy chủ chạy phiên bản Standard

có thể thực thi nhƣ một router với rất nhiều cấu hình bao gồm định tuyến LAN và WAN, định tuyến truy nhập Internet và định tuyến truy nhập từ xa. Để thực hiện các

chức năng này, dịch vụ định tuyến và truy nhập từ xa (Routing and Remote Access

Service – RRAS) có hỗ trợ cho các tính năng chuyển đổi địa chỉ mạng (Network

Address Translation – NAT), dịch vụ xác thực Internet (Internet Authentication Service – IAS), các giao thức định tuyến nhƣ giao thức thông tin định tuyến (Routing

Information Protocol – RIP) và ƣu tiên đƣờng ngắn nhất (Open Shortest Path First –

OSPF).

- Quản lý và in ấn: Ngƣời dùng trong mạng có thể truy nhập các ổ đĩa, thƣ mục và máy in chia sẻ trên một máy chủ chạy phiên bản Standard của hệ điều hành . Mỗi

máy khách (client) khi muốn truy nhập đến các tài nguyên đã chia sẻ trên máy chủ sẽ

phải có một giấy phép truy nhập (Client Access License – CAL). Phiên bản Standard

thông thƣờng đƣợc bán thành một gói gồm 5, 10 Giấy phép truy nhập (CAL) hoặc

nhiều hơn, và khi muốn thêm nhiều ngƣời dùng truy nhập phải mua bổ sung các giấy

phép truy nhập (CAL) này.

- Máy chủ Terminal (đầu cuối): Một máy chủ chạy phiên bản Standard có thể

thực hiện chức năng một máy chủ dịch vụ đầu cuối, cho phép các máy tính và các thiết

bị khác có thể truy nhập màn hình Windows và các ứng dụng đang chạy trên máy chủ này. Máy chủ dịch vụ đầu cuối bản chất là một kĩ thuật điều khiển từ xa cho phép các

máy khách (client) truy nhập đến một phiên làm việc Windows trên máy chủ. Mọi ứng

dụng đƣợc thực thi trên máy chủ và chỉ bàn phím, màn hình và các thông tin hiển thị

đƣợc truyền qua mạng. Các máy khách của máy chủ dịch vụ đầu cuối đƣợc yêu cầu

giấy phép truy nhập khác so với giấy phép truy nhập chuẩn CAL mặc dù phiên bản

Standard đã cung cấp sẵn một giấy phép truy nhập cho 2 ngƣời dùng sử dụng dịch vụ

Remote Desktop for Administration (dịch vụ truy nhập toàn màn hình từ xa dành cho

các tác vụ quản trị), một công cụ quản trị từ xa dựa trên dịch vụ Terminal

- Các dịch vụ bảo mật: Phiên bản Standard còn có rất nhiều các tính năng bảo mật mà một ngƣời quản trị có thể triển khai nếu cần, bao gồm khả năng mã hóa hệ thống File (EFS) – bảo vệ các file trên các ổ cứng máy chủ bằng cách lƣu trữ chúng trong một định dạng đã đƣợc mã hóa, tính năng bảo mật IP (IP Security – IPsec) mở rộng, – sử dụng chữ kí số để mã hóa dữ liệu trƣớc khi truyền đi trên mạng, tính năng tƣờng lửa ICF – qui định các luật đối với các luồng dữ liệu đi từ Internet vào trong

mạng và tính năng sử dụng Public Key Infrastructure (PKI) – cung cấp khả năng bảo mật dựa trên mã hóa bằng khóa công khai và các chứng nhận số hóa.

Phiên bản Doanh nghiệp (Enterprise Edition): Phiên bản Enterprise đƣợc

thiết kế họat động trên các máy chủ cấu hình mạnh của các tổ chức doanh nghiệp cỡ

vừa và lớn. Phiên bản này khác phiên bản Standard chủ yếu ở mức độ hỗ trợ phần

cứng. ví dụ: Bản Enterprise hỗ trợ tối đa 8 bộ vi xử lí so với 4 bộ của bản Standard và tối đa 32GB bộ nhớ RAM so với khả năng của bản Standard chỉ là 4GB. Phiên bản

Enterprise còn bổ sung thêm một số tính năng quan trọng mà không có trong bản

Standard, bao gồm các thành phần sau:

- Microsoft Metadirectory Services – MMS (Dịch vụ Siêu Thƣ mục Microsoft): Metadirectory bản chất là thƣ mục của các thƣ mục – một phƣơng tiện tích hợp nhiều

nguồn thông tin vào một thƣ mục đơn, thống nhất. MMS cho phép chúng ta có thể kết

hợp các thông tin trong Active Directory với các dịch vụ thƣ mục khác, để tạo ra một

cách nhìn tổng thể tất cả các thông tin về một tài nguyên nào đó. Phiên bản Enterprise chỉ cung cấp hỗ trợ cho MMS mà không phải là phần mềm MMS thực sự, phần mềm

này phải lấy từ Microsoft Consulting Service (dịch vụ tƣ vấn Microsoft – MCS) hoặc

thông qua một thỏa thuận với đối tác MMS.

- Server Clustering (chuỗi máy chủ): Chuỗi máy chủ là một nhóm các máy chủ

nhƣng lại đóng vai trò nhƣ một máy chủ đơn cung cấp khả năng sẵn sàng cao cho một

nhóm các ứng dụng. Tính sẵn sàng trong trƣờng hợp này có nghĩa là các chu trình hoạt

động của ứng dụng đó đƣợc phân bố đều trong các máy chủ trong chuỗi, giảm tải trên

mỗi máy chủ và cung cấp khả năng chịu lỗi nếu bất kì máy chủ nào bị sự cố. Các máy

chủ trong chuỗi, đƣợc gọi là các nút, đều có khả năng truy nhập đến một nguồn dữ liệu chung, thông thƣờng là một mạng lƣu trữ lớn (Storage Area Network – SAN), cho

phép các nút luôn đƣợc duy trì cùng một nguồn thông tin dữ liệu cơ sở. Phiên bản

Enterprise hỗ trợ máy chủ cluster có tối đa 8 nút.

- Bộ nhớ RAM cắm nóng (Hot Add Memory): Phiên bản Enterprise bao gồm phần

mềm hỗ trợ một đặc tính của phần cứng gọi là bộ nhớ cắm nóng, cho phép ngƣời quản

trị mạng có thể thêm hoặc thay thế bộ nhớ RAM trong máy chủ mà không cần tắt máy

hoặc khởi động lại. Để sử dụng tính năng này, máy tính phải có phần cứng hỗ trợ

tƣơng ứng.

- Quản trị tài nguyên hệ thống của Windows (Windows System Resource Manager – WSRM): Tính năng này cho phép ngƣời quản trị mạng có thể phân bố tài nguyên hệ thống cho các ứng dụng hoặc chu trình dựa trên nhu cầu của các ngƣời dùng, đồng thời duy trì các bản báo cáo về tài nguyên do các ứng dụng hay chu trình trong hệ thống sử dụng. Điều này cho phép các tổ chức doanh nghiệp có thể thiết lập giới hạn sử dụng tài nguyên cho một ứng dụng xác định hoặc tính chi phí cho khách hàng dựa

trên các tài nguyên họ sử dụng.

Phiên bản trung tâm dữ liệu (Datacenter Edition): Phiên bản Datacenter

đƣợc thiết kế cho các máy chủ ứng dụng cao cấp, lƣu lƣợng truy nhập lớn, yêu cầu sử

dụng rất nhiều tài nguyên hệ thống. Phiên bản này cũng gần giống phiên bản

Enterprise khi so sánh các tính năng, tuy nhiên nó hỗ trợ tốt hơn cho việc mở rộng

phần cứng, có thể hỗ trợ tối đa 64GB bộ nhớ và 32 bộ vi xử lí. Phiên bản này không tích hợp một số tính năng có trong bản Enterprise, ví dụ nhƣ tính năng ICS và ICF bởi

vì các máy chủ cao cấp chạy bản Datacenter thông thƣờng không đƣợc gán các vai trò

cần sử dụng đến các chức năng này.

Lƣu ý: Việc mua các phiên bản Datacenter, cũng giống nhƣ đối với phiên bản Web, không đƣợc thực hiện thông qua các kênh phân phối lẻ. Có thể mua các hệ điều

hành này thông qua một OEM nhƣ là sản phẩm kèm theo trong một bộ phần cứng máy

chủ cao cấp.

Các phiên bản 64-Bit: Cả hai Phiên bản Enterprise và Datacenter đều có các phiên bản riêng hỗ trợ các máy tính trang bị bộ vi xử lí Intel Itanium. Itanium là một

bộ vi xử lí hỗ trợ việc đánh địa chỉ 64-bit (trong khi các bộ vi xử lý Intel x86 tiêu

chuẩn chỉ hỗ trợ 32-bit), cho phép mở rộng không gian bộ nhớ ảo và vùng bộ nhớ phân

trang đồng thời cải tiến hiệu năng xử lý dấu phẩy động. Nó đƣợc thiết kế đặc biệt cho

các tác vụ yêu cầu năng suất bộ xử lý cực lớn, ví dụ nhƣ các ứng dụng cơ sở dữ liệu

khổng lồ, các phân tích khoa học và các máy chủ Web có lƣợng truy nhập rất lớn. Các

yêu cầu hệ thống cho các phiên bản Itanium chạy các phiên bản Enterprise và

Datacenter của hệ điều hành Windows server 2003 về cơ bản rất khác so với các yêu

cầu của các phiên bản này đối với các phần cứng x86 (đƣợc tổng kết trong Bảng 1-2). Đồng thời, một số tính năng trong các phiên bản dành cho hệ thống x86 sẽ không có

trong Itanium, ví dụ các chip Itanium sẽ không hỗ trợ các ứng dụng Windows 16-bit,

các ứng dụng chế độ thực, các ứng dụng POSIX (Portable Operating System Interface

for UNIX) hoặc các dịch vụ in ấn cho các máy trạm Apple Macintosh.

Các yêu cầu hệ thống đặc biệt cho bản Windows Server 2003 trên Itanium

2) Chuẩn bị các điều kiện cài đặt

Hoạch định và chuẩn bị đầy đủ là yếu tố quan trọng quyết định quá trình cài đặt có thành công hay không. Trƣớc khi cài đặt phải biết đƣợc những gì cần có để có thể

cài đặt thành công và có đƣợc những thông tin cần thiết để cung cấp cho quá trình cài đặt. Các thông tin cần biết trƣớc khi nâng cấp hoặc cài mới hệ điều hành:

Lựa chọn hệ điều hành để sử dụng: Hiểu khả năng của mỗi hệ điều hành trong dòng sản phẩm Microsoft Windows server 2003 sẽ giúp chọn đƣợc sản phẩm tốt

nhất để đáp ứng nhu cầu hiện tại và tƣơng lai trong tổ chức

Cài đặt mới hoặc nâng cấp: Trong một số trƣờng hợp hệ thống Server chúng

ta đang hoạt động tốt, các ứng dụng và dữ liệu quan trọng đều lƣu trữ trên Server này,

nhƣng theo yêu cầu chúng ta phải nâng cấp hệ điều hành Server hiện tại thành

Windows Server 2003. Chúng ta cần xem xét nên nâng cấp hệ điều hành đồng thời giữ lại các ứng dụng và dữ liệu hay cài đặt mới hệ điều hành rồi sau cấu hình và cài đặt

ứng dụng lại. Đây là vấn đề cần xem xét và lựa chọn cho hợp lý.

Các điểm cần xem xét khi nâng cấp :

- Với nâng cấp (upgrade) thì việc cấu hình Server đơn giản, các thông tin đƣợc giữ lại nhƣ: ngƣời dùng (users), cấu hình (settings), nhóm (groups), quyền hệ thống

(rights), và quyền truy cập (permissions)…

- Với nâng cấp không cần cài lại các ứng dụng, nhƣng nếu có sự thay đổi lớn về

đĩa cứng thì cần backup dữ liệu trƣớc khi nâng cấp.

- Trƣớc khi nâng cấp cần xem hệ điều hành hiện tại có nằm trong danh sách các

hệ điều hành hỗ trợ nâng cấp thành Windows Server 2003 không ?

- Trong một số trƣờng hợp đặc biệt nhƣ cần nâng cấp một máy tính đang làm

chức năng Domain Controller hoặc nâng cấp một máy tính đang có các phần mềm

quan trọng thì nên tham khảo thêm thông tin hƣớng dẫn của Microsoft chứa trong thƣ

mục \Docs trên đĩa CD Windows Server 2003 Enterprise.

Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise

Edition:

- Windows NT Server 4.0 với Service Pack 5 hoặc lớn hơn. - Windows NT Server 4.0, Terminal Server Edition, với Service Pack 5 hoặc

lớn hơn.

- Windows NT Server 4.0, Enterprise Edition, với Service Pack 5 hoặc lớn hơn.

- Windows 2000 Server.

- Windows 2000 Advanced Server.

- Windows Server 2003, Standard Edition.

Xác định yêu cầu về hệ thống: Bốn phiên bản hệ điều hành khác nhau trong

việc hỗ trợ các phần cứng. Bảng liệt kê các yêu cầu hệ thống đối với từng phiên bản,

đồng thời kèm theo phần cứng mà Microsoft khuyến nghị sử dụng. Các yêu cầu hệ thống của Windows Server 2003

Phân chia ổ đĩa: Lƣợng không gian cần cấp phát: phải biết đƣợc không gian

chiếm dụng bởi hệ điều hành, các chƣơng trình ứng dụng, các dữ liệu đã có và sắp phát sinh.

Partition system và boot: khi cài đặt Windows server 2003 sẽ đƣợc lƣu ở hai vị

trí là partition system và partition boot. Partition system là nơi chứa các tập tin giúp

cho việc khởi động Windows server 2003. Theo mặc định, partition active của máy tính sẽ đƣợc chọn làm partition system, thƣờng là ổ đĩa C:. Partition boot là nơi chứa

các tập tin của hệ điều hành. Theo mặc định các tập tin này lƣu trong thƣ mục

Windows. Tuy nhiên có thể chỉ định thƣ mục khác trong quá trình cài đặt. Microsoft

đề nghị partition này nhỏ nhất là 1,5 GB.

Cấu hình đĩa đặc biệt: Windows server 2003 hỗ trợ nhiều cấu hình đĩa khác

nhau. Các lựa chọn có thể là volume simple, spanned, striped, mirrored hoặc là RAID-

Tiện ích phân chia partition: sử dụng nhiều chƣơng trình tiện ích khác nhau,

chẳng hạn nhƣ FDISK hoặc PowerQuest Partition Magic.

Hệ thống tổ chức file: Có thể chọn sử dụng một trong ba loại hệ thống tập tin

- FAT16 (File Allocation Table): là hệ thống đƣợc sử dụng phổ biến trên các hệ

điều hành DOS và Windows 3.x. Có nhƣợc điểm là partition bị giới hạn ở kích thƣớc 2GB và không có các tính năng bảo mật nhƣ NTFS.

- FAT32: Có nhiều ƣu điểm hơn FAT16 nhƣ: hỗ trợ partition lớn đến 2TB; có

các tính năng dung lỗi và sử dụng không gian đĩa cứng hiệu quả hơn do giảm kích

thƣớc cluster. Tuy nhiên FAT32 lại có nhƣợc điểm là không cung cấp các tính năng

bảo mật nhƣ NTFS.

- NTFS: là hệ thống tập tin đƣợc sử dụng trên các hệ điều hành Windows NT,

Windows 2000 server, Windows server 2003. Windows 2000 server, Windows server

2003 sử dụng NTFS. Có các đặc điểm sau: chỉ định khả năng an toàn cho từng tập tin,

thƣ mục; nén dữ liệu, tăng không gian lƣu trữ; có thể chỉ định hạn ngạch sử dụng đĩa cho từng ngƣời dùng, có thể mã hoá các tập tin, nâng cao khả năng bảo mật.

Chọn chế độ sử dụng giấy phép: chọn một trong hai chế độ giấy phép sau

đây:

- Per server licensing: là lựa chọn tốt nhất trong trƣờng hợp mạng chỉ có một Server và phục cho một số lƣợng Client nhất định. Khi chọn chế độ giấy phép này,

chúng ta phải xác định số lƣợng giấy phép tại thời điểm cài đặt hệ điều hành. Số lƣợng giấy phép tùy thuộc vào số kết nối đồng thời của các Client đến Server. Tuy nhiên,

trong quá trình sử dụng chúng ta có thể thay đổi số lƣợng kết nối đồng thời cho phù

hợp với tình hình hiện tại của mạng.

- Per Seat licensing: là lựa chọn tốt nhất trong trƣờng hợp mạng có nhiều

Server. Trong chế độ giấy phép này thì mỗi Client chỉ cần một giấy phép duy nhất để truy xuất đến tất cả các Server và không giới hạn số lƣợng kết nối đồng thời đến

Server.

Chọn phƣơng án kết nối mạng: Các giao thức kết nối mạng. Windows server

2003 mặc định chỉ cài một bộ giao thức TCP/IP, còn những giao thức còn lại nhƣ IPX, AppleTalk là những tùy chọn có thể cài đặt sau nếu cần thiết. Riêng giao thức

NetBEUI, Windows server 2003 không đƣa vào trong các tùy chọn cài đặt mà chỉ

cung cấp kèm theo đĩa CD-ROM cài đặt Windows server 2003 và đƣợc lƣu trong thƣ

mục \VALUEADD\MSFT\NET\NETBEUI. Thành viên trong Workgroup hoặc Domain. Nếu máy tính nằm trong một mạng nhỏ, phân tán hoặc các máy tính không

đƣợc nối mạng với nhau, có thể chọn cho máy tính làm thành viên của workgroup, đơn

giản chỉ cần cho biết tên Workgroup. Nếu hệ thống mạng làm việc theo cơ chế quản lý

tập trung, trên mạng đã có một vài máy Windows 2000 Server hoặc Windows Server

2003 sử dụng Active Directory có thể chọn cho máy tính tham gia Domain này. Trong

trƣờng hợp này, phải cho biết tên chính xác của Domain cùng với tài khoản (gồm có

username và password) của một ngƣời dùng có quyền bổ sung thêm máy tính vào

Domain. Ví dụ nhƣ tài khoản của ngƣời quản trị mạng (Administrator). Các thiết lập

về ngôn ngữ và các giá trị cục bộ. Windows 2000 Server hỗ trợ rất nhiều ngôn ngữ, có thể chọn ngôn ngữ của mình nếu đƣợc hỗ trợ. Các giá trị local gồm có hệ thống số,

đơn vị tiền tệ, cách hiển thị thời gian, ngày tháng.

3) Các bƣớc cài đặt Windows server

Sau khi kiểm tra và chắc chắn rằng máy của mình đã hội đủ các điều kiện để cài

đặt Windows Server 2003, chọn một trong các cách sau đây để bắt đầu quá trình cài

đặt.

Nếu máy tính hỗ trợ tính năng khởi động từ đĩa CD, chỉ cần đặt đĩa CD ROM

vào ổ đĩa và khởi động lại máy tính. Lƣu ý phải cấu hình CMOS Setup, chỉ định thiết

bị khởi động đầu tiên là ổ đĩa CD ROM. Khi máy tính khởi động lên thì quá trình cài đặt tự động thi hành, sau đó làm theo những hƣớng dẫn trên màn hình để cài đặt Windows Server 2003.

Quá trình cài đặt diễn ra qua các giai đoạn sau:

Giai đoạn Text-Based Setup - Cấu hình BIOS của máy tính để có thể khởi động từ ổ đĩa CD-ROM.

- Đƣa đĩa cài đặt Windows Server 2003 vào ổ đĩa CD-ROM và khởi động lại máy. - Khi máy khởi động từ đĩa CD-ROM sẽ xuất hiện một thông báo “Press any key to

continue …” yêu cầu nhấn một phím bất kỳ để bắt đầu quá trình cài đặt.

- Nếu máy có ổ đĩa SCSI thì phải nhấn phím F6 để chỉ Driver của ổ đĩa đó.

- Trình cài đặt tiến hành chép các tập tin và driver cần thiết cho quá trình cài đặt.

- Nhấn Enter để bắt đầu cài đặt.

Hình 1.27: Hộp thoại chọn cách cài đặt

Nhấn phím F8 để chấp nhận thỏa thuận bản quyền và tiếp tục quá trình cài đặt.

Nếu nhấn ESC, thì chƣơng trình cài đặt kết.

Hình1.28: Hộp thoại chấp nhận bản quyền cài đặt

Chọn một vùng trống trên ổ đĩa và nhấn phím C để tạo một Partition mới chứa

hệ điều hành

Hình 1.29: Chọn phân vùng trên ổ cứng

Nhập vào kích thƣớc của Partition mới và nhấn Enter

Hình 1.30: Tạo Partition

Chọn Partition vừa tạo và nhấn Enter để tiếp tục

Hình 1.31: Chọn partition để cài đặt hệ điều hành

Chọn kiểu hệ thống tập tin (FAT hay NTFS) để định dạng cho partition chọn

NTFS . Nhấn Enter để tiếp tục.

Hình 1.32: Chọn file hệ thông định dạng partition

Trình cài đặt sẽ chép các tập tin của hệ điều hành vào partition đã chọn.

Hình 1.33: Quá trình copy tệp tin hệ thông vào partition

Khởi động lại hệ thống để bắt đầu giai đoạn Graphical Based. Trong khi khởi

động, không nhấn bất kỳ phím nào khi hệ thống yêu cầu “Press any key to continue…”

Giai đoạn Graphical-Based Setup: Bắt đầu giai đoạn Graphical, trình cài đặt

sẽ cài driver cho các thiết bị mà nó tìm thấy trong hệ thống.

Hình 1.34: Quá trình cài đặt driver cho thiết bị

Tại hộp thoại Regional and Language Options, cho phép chọn các tùy chọn liên

quan đến ngôn ngữ, số đếm, tiền tệ, định dạng ngày tháng năm. nhấn Next để tiếp tục.

Hình 1.35: Hộp thoại Regional and Language Options

Tại hộp thoại Personalize Your Software, điền tên ngƣời sử dụng và tên tổ

chức. Nhấn Next.

Hình 1.36: Nhập tên ngƣời dùng và tên tổ chức

Tại hộp thoại Your Product Key, điền vào 25 số CD-Key vào 5 ô trống bên

dƣới. Nhấn Next.

Hình 1.37: Nhập mã xác nhận quyền sử dụng

Tại hộp thoại Licensing Mode, chọn chế độ bản quyền là Per Server hoặc Per

Seat tùy thuộc vào tình hình thực tế của mỗi hệ thống mạng.

Hình 1.38: Chọn các chế độ giấy phép

Tại hộp thoại Computer Name and Administrator Password, điền vào tên của

Server và Password của ngƣời quản trị (Administrator).

Hình 1.39: Nhập tên máy tính và mật khẩu quản trị

Tại hộp thoại Date and Time Settings, thay đổi ngày, tháng, và múi giờ (Time

zone) cho thích hợp

Hình 1.40: Thiết lập ngày giờ cho hệ thống

Tại hộp thoại Networking Settings, chọn Custom settings để thay đổi các thông

số giao thức TCP/IP. Các thông số này có thể thay đổi lại sau khi quá trình cài đặt hoàn tất.

Hình 1.41: Lựa chọn thiết lập các thông số cho mạng

Tại hộp thoại Workgroup or Computer Domain, tùy chọn gia nhập Server vào

một Workgroup hay một Domain có sẵn. Nếu muốn gia nhập vào Domain thì đánh vào

tên Domain vào ô bên dƣới.

Hình 1.42: Chọn máy tính gia nhập vào nhóm hay miền

Nhấn Next bắt đầu quá trình chép đầy đủ các tập tin và kết thúc cài đặt.

4) Nâng cấp và cài đặt tự động Windows server

Cài đặt tự động có nhiều phƣơng pháp hỗ trợ việc cài đặt tự động, có thể sử dụng phƣơng pháp dùng ảnh đĩa (disk image) hoặc phƣơng pháp cài đặt không cần theo dõi (unattended installation) thông qua một kịch bản (script) hay tập tin trả lời.

Kịch bản cài đặt là một tập tin văn bản có nội dung trả lời trƣớc tất cả các câu hỏi mà trình cài đặt hỏi nhƣ: tên máy, CD-Key,….Để trình cài đặt có thể đọc hiểu các

nội dung trong kịch bản thì nó phải đƣợc tạo ra theo một cấu trúc đƣợc quy định trƣớc. Tiện ích có tên là Setup Manager (setupmgr.exe) để giúp cho việc tạo ra kịch bản cài đặt đƣợc dể dàng hơn.

- Tự động hóa dùng tham biến dòng lệnh : Khi tiến hành cài đặt Windows

Server 2003, ngoài cách khởi động và cài trực tiếp từ đĩa CD-ROM, còn có thể dùng một trong hai lệnh sau: winnt.exe dùng với các máy đang chạy hệ điều hành DOS,

windows 3.x hoặc Windows for workgroup; winnt32.exe khi máy đang chạy hệ điều

hành Windows 9x, Windows NT hoặc mới hơn. Hai lệnh trên đƣợc đặt trong thƣ mục

I386 của đĩa cài đặt.

Sau đây là cú pháp cài đặt từ 2 lệnh trên:

winnt [/s:[sourcepath]] [/t:[tempdrive]] [/u:[answer_file]]

[/udf:id [,UDB_file]]

Ý nghĩa các tham số:

Chỉ rỏ vị trí đặt của bộ nguồn cài đặt (thƣ mục I386). Đƣờng dẫn phải là dạng

đầy đủ, ví dụ: e:\i386 hoặc \\server\i386. Giá trị mặc định là thƣ mục hiện hành.

Hƣớng chƣơng trình cài đặt đặt thƣ mục tạm vào một ổ đĩa và cài Windows

vào ổ đĩa đó. Nếu không chỉ định, trình cài đặt sẽ tự xác định.

Cài đặt không cần theo dõi với một tập tin trả lời tự động (kịch bản). Nếu sử

dụng /u thì phải sử dụng /s.

/udf

Chỉ định tên của Server và tập tin cơ sở dữ liệu chứa tên, các thông tin đặc

trƣng cho mỗi máy (unattend.udf).

winnt32 [/checkupgradeonly] [/s:sourcepath] [/tempdrive:drive_letter:]

[/unattend[num]:[answer_file]]

[/udf:id [,UDB_file]]

Ý nghĩa của các tham số:

/checkupgradeonly

Kiểm tra xem máy có tƣơng thích để nâng cấp và cài đặt Windows Server 2003

hay không?

/tempdrive

Tƣơng tự nhƣ tham số /t

/unattend

Tƣơng tƣ nhƣ tham số /u

- Sử dụng Setup Manager để tạo ra tập tin trả lời: Setup Manager là một tiện ích giúp cho việc tạo các tập tin trả lời sử dụng trong cài đặt không cần theo dõi.

Theo mặc định, Setup Manager không đƣợc cài đặt, mà đƣợc đặt trong tập tin

Deploy.Cab. Chỉ có thể chạy tiện ích Setup Manager trên các hệ điều hành Windows

2000, Windows XP, Windows Server 2003.

Tạo tập tin trả lời tự động bằng Setup Manager: Giải nén tập tin Deploy.cab

đƣợc lƣu trong thƣ mục Support\Tools trên đĩa cài đặt Windows Server 2003.

Hình 1.43: Giải nén tệp tin Deploy.cab

Thi hành tập tin Setupmgr.exe Hộp thoại Setup Manager xuất hiện, nhấn Next

để tiếp tục

Hình 1.44: Hộp thoại Setup Manager

Xuất hiện hộp thoại New or Existing Answer File cho phép chỉ định tạo ra một

tập tin trả lời mới. Chọn Create new và nhấn Next.

Hình 1.45: Tạo tệp tin trả lời Tiếp theo là hộp thoại Type of Setup. Chọn Unattended Setup và chọn Next.

Hình 1.46: Chọn kiểu cài đặt

Trong hộp thoại Product, chọn hệ điều hành cài đặt sử dụng tập tin trả lời tự

động. Chọn Windows Server 2003, Enterprise Edition, nhấn Next.

Hình 1.47: Chọn hệ điều hành cài đặt

Tại hộp thoại User Interaction, chọn mức độ tƣơng tác với trình cài đặt của

ngƣời sử dụng. Chọn Fully Automated, nhấn Next.

Hình 1.48: Chọn mức độ tƣơng tác trong quá trình cài đặt Xuất hiện hộp thoại Distribution Share, chọn Setup from a CD, nhấn Next.

Hình 1.49: Chọn cài đặt từ ổ CD ROM

Tại hộp thoại License Agreement, đánh dấu vào I accept the terms of …, nhấn

Next.

Hình 1.50: Chấp nhập giấy phép sử dụng

Tại cửa sổ Setup Manager, chọn mục Name and Organization. Điền tên và tổ

chức sử dụng hệ điều hành. Nhấn Next.

Hình 1.51: Nhập tên ngƣời dùng và tên tổ chức

Chọn mục Time Zone chọn múi giờ (GMT+7:00) Bangkok, Hanoi, Jarkata.

Nhấn Next.

Hình 1.52: Thiết lập múi giờ

Tại mục Product Key, điền CD-Key vào trong 5 ô trống. Nhấn Next.

Hình 1.53: Nhập bản quyền sử dụng phần mềm

Tại mục Licensing Mode, chọn loại bản quyền thích hợp. Nhấn Next.

Hình 1.54 Chọn giấy phép sử dụng Tại mục Computer Names, điền tên của các máy dự định cài đặt. Nhấn Next.

Hình 1.55 Nhập tên máy tính

Tại mục Administrator Password, nhập vào password của ngƣời quản trị. Nếu

muốn mã hóa password thì đánh dấu chọn vào mục “Encrypt the Administrator

password…”. Nhấn Next.

Hình 1.56: Nhập mật khẩu quản trị

Tại mục Network Component, cấu hình các thông số cho giao thức TCP/IP và

cài thêm các giao thức. Nhấn Next.

Hình 1.57: Chọn thiết lập các thông số mạng

Tại mục Workgroup or Domain, gia nhập máy vào Workgroup hoặc Domain có

sẳn. Nhấn Next

Hình 1.58: Chọn gia nhập vào nhóm hay miền

Cuối cùng, trong thƣ mục đã chỉ định, Setup Manager sẽ tạo ra ba tập tin. Nếu

không thay đổi tên thì các tập tin là:

Unattend.txt: đây là tập tin trả lời, chứa tất cả các câu trả lời mà Setup Manager

thu thập đƣợc.

Unattend.udb: đây là tập tin cơ sở dữ liệu chứa tên các máy tính sẽ đƣợc cài đặt. Tập tin này chỉ đƣợc tạo ra khi chỉ định danh sách các tập tin và đƣợc sử dụng khi thực hiện cài đặt không cần theo dõi.

Unattend.bat: chứa dòng lệnh với các tham số đƣợc thiết lập sẵn. Tập tin này

cũng thiết lập các biến môi trƣờng chỉ định vị trí các tập tin liên quan.

- Sử dụng tập tin trả lời : Có nhiều cách để sử dụng các tập tin đƣợc tạo ra

trong bƣớc trên. Có thể thực hiện theo một trong hai cách dƣới đây:

Sử dụng đĩa CD Windows Server 2003 có thể khởi động đƣợc: Sửa tập tin

Unattend.txt thành WINNT.SIF và lƣu lên đĩa mềm. Đƣa đĩa CD Windows Server

2003 và đĩa mềm trên vào ổ đĩa, khởi động lại máy tính, đảm bảo ổ đĩa CD ROM là

thiết bị khởi động đầu tiên. Chƣơng trình cài đặt trên đĩa CD ROM sẽ tự động tìm đọc tập tin WINNT.SIF trên đĩa mềm và tiến hành cài đặt không cần theo dõi.

Sử dụng một bộ nguồn cài đặt Windows Server 2003: Chép các tập tin đã tạo

trong bƣớc trên vào thƣ mục I386 của nguồn cài đặt Windows Server 2003. Chuyển

vào thƣ mục I386. Tuỳ theo hệ điều hành đang sử dụng mà sử dụng lệnh WINNT.EXE hoặc WINNT32.EXE theo cú pháp sau:

WINNT /s:e:\i386 /u:unattend.txt

hoặc

WINNT32 /s:e:\i386 /unattend:unattend.txt Nếu chƣơng trình Setup Manager tạo ra tập tin Unatend.UDB đã nhập vào danh

sách tên các máy tính, và giả định định đặt tên máy tính này là server01 thì cú pháp

lệnh sẽ nhƣ sau:

WINNT /s:e:\i386 /u:unattend.txt /udf:server01,unattend.udf

1.2.2. Cấu hình Windows Server

1) Cấu hình và quản lý phần cứng

Trong hầu hết các trƣờng hợp, cài đặt phần cứng với Windows server 2003 thì

rất dễ dàng. Đơn giản chỉ cần cắm thiết bị phần cứng vào, Windows server 2003 sẽ tự

động tìm kiếm thiết bị, tìm kiếm những driver cần thiết, và cập nhật vào hệ thống. Nếu Windows server 2003 không tự động tìm kiếm phần cứng mới trong lúc cài đặt có thể

dùng Add/Remove Hardware trong Control Panel để cài đặt và cấu hình phần cứng

mới.

Sau khi cài đặt phần cứng mới vào hệ thống phải cài đặt và cấu hình driver

thích hợp trƣớc khi Windows Server 2003 có thể sử dụng thiết bị. Nếu thiết bị có trong

danh sách Hardware Compatibility List (HCL), Windows Server 2003 có sẵn driver

phù hợp cho nó. Tất cả những driver đi kèm với Windows Server 2003 đều có một chữ

ký kĩ thuật số (Microsoft digital signature), chữ ký chỉ ra rằng driver đã qua kiểm tra

và hoạt động tốt với hệ điều hành. Driver của những thiết bị chƣa đƣợc kiểm tra hoặc những phần cứng mà không đƣợc cấu hình thích hợp có thể là nguyên nhân máy tính bị treo hoặc bắt ngƣời sử dụng phải khởi động lại thƣờng xuyên.

Windows Server 2003 cho phép tuỳ biến phần cứng và phần mềm cho môi trƣờng đặc thù. Dùng hardware profiles để chỉ định những cài đặt mà đƣợc dùng cho mỗi thiết bị, hoặc những thiết bị mà nên khởi động khi máy tính. Hardware profiles rất

hữu dụng, nếu có nhiều ngƣời dụng trên một máy tính mà cần dùng những cài đặt phần cứng khác nhau.

Cài đặt phần cứng

Phần cứng bao gồm những thiết bị vật lý đƣợc kết nối với một máy tính và

đƣợc bộ xử lý của máy tính điều khiển. Nó bao gồm những thiết bị đƣợc kết nối với máy tính khi sản xuất máy tính cũng nhƣ những thiết bị ngoại vi mà đƣợc kết nối với

máy tính sau đó. Modem, ổ đĩa cứng, ổ CD-ROM, thiết bị in ấn, NIC, bàn phím, và

Video card,... tất cả đều là phần cứng.

Cài đặt một thiết bị mới điển hình xoay quanh ba bƣớc:

(1) Kết nối thiết bị với máy tính

(2) Tải những driver thích hợp cho thiết bị

(3) Cấu hình thuộc tính và cài đặt thiết bị, nếu cần

Cài đặt một thiết bị: Đăng nhập nhƣ một ngƣời quản trị hoặc một thành viên của nhóm quản trị để cài đặt một thiết bị. Để cài đặt một thiết bị, thực hiện những

bƣớc sau:

(1) Kết nối thiết bị đến cổng thích hợp, hoặc thêm một thiết bị vào một khe cắm

trên máy tính, theo hƣớng dẫn của nhà sản xuất thiết bị. Hƣớng dẫn đƣợc liệt kê trong

bảng, phụ thuộc vào loại thiết bị cài đặt.

Nếu thiết bị Thì làm điều này

Cần cài đặt vào một khe cắm bên trong Shut down Windows và tắt máy, tháo

máy tính, ví dụ là sound card lắp máy và lắp thiết bị vào khe cắp phù

hợp. Đóng lắp máy lại và mở máy lên,

ghi chú rằng có thể có một số máy tính

có hot-swappable PCI

Là thiết bị SCSI (small computer Gắn vào cổng SCSI trên máy tính theo

system interface) hƣớng dẫn của nhà sản xuất máy tính.

Khởi động hoặc mở máy lên. Cần phải

bảo đảm số của thiết bị SCSI không có

thiết bị SCSI nào đang dùng. Để thay

đổi số của thiết bị, sẽ hƣớng dẫn của nhà

sản xuất

Là một thiết bị Universal Serial Bus (USB) hoặc Institute of Electrical and Cắm thiết bị vào bất cứ cổng USB hoặc IEEE nào trong máy tính, và làm theo

Inc. (IEEE)

Electronics Engineers, 1394

những chỉ dẫn trên màn hình. Không cần phải shutdown hoặc tắt máy khi cài đặt hoặc cắm thiết bị USB hoặc IEEE

1394

(2) Làm theo một trong những chỉ dẫn sau đây: Nếu đƣợc gợi ý, theo những chỉ dẫn trên màn hình để chọn những driver thích hợp cho thiết bị, và khi khởi động máy tính nếu cần. Nếu thiết bị là non-Plug and Play,

dùng Add/Remove Hardware trong Control Panel để xác định loại thiết bị đang cài

đặt, và sau đó đƣa đĩa CD Windows Server 2003 hoặc đĩa của nhà sản xuất để Windows Server 2003 có thể tải những driver thích hợp cho thiết bị. Sau khi tải driver

cho thiết bị vào hệ thống, Windows Server 2003 sẽ cấu hình, cài đặt cho thiết bị

Kiểm tra cấu hình thiết bị: Khi cài đặt thiết bị Plug and Play, Windows Server

2003 sẽ tự động cấu hình thiết bị để làm việc với các thiết bị khác trong máy tính. Windows Server 2003 ấn định một bộ những tài nguyên duy nhất cho thiết bị đang cài

đặt. Những tài nguyên bao gồm một hoặc nhiều theo những tài nguyên đƣợc liệt kê

dƣới đây:

- Interupt request (IRQ) line numbers - Direct memory access (DMA) channels

Mỗi tài nguyên đƣợc ấn định với thiết bị phải là duy nhất nếu không thiết bị sẽ

không hoạt động. Những thiết bị Plug and Play. Windows Server 2003 đảm bảo những

tài nguyên đƣợc cấu hình phù hợp. Khi cài đặt một thiết bị non Plug and Play.

Windows sẽ không tự động cấu hình cài đặt tài nguyên cho thiết bị. Tuỳ thuộc vào loại

thiết bị đang cài đặt, có thể phải cấu hình bằng tay để cấu hình những cài đặt trong

Device Manager. Nên tham khảo tài liệu đi kèm với thiết bị để cấu hình thiết bị.

Nhìn chung không nên thay đổi những cài đặt (setting) tài nguyên. Nó có thể là

nguyên nhân Windows server 2003 trở nên kém linh hoạt khi cài những thiết bị khác. Trong trƣờng hợp nặng nhất là Windows server 2003 không thể thêm thiết bị Plug and

Play

Cập nhật Drivers: Để bảo vệ hệ thống khỏi sự quậy phá, ngƣời sử dụng không

thể thay đổi driver mà không có quyền thích hợp. Mặc định, chỉ có tài khoản

Administrator mới có quyền thực hiện những công việc sau:

Hình 1.59: Cập nhật driver cho phần cứng

- Load và unload drivers

- Sao chép những tập tin đến thƣ mục System32\Drivers

- Ghi những cài đặt đến registry

Khi nhà sản xuất công bố driver mới, nên cập nhật vào driver đang sử dụng. Để

cập nhật driver cho một thiết bị, thực hiện những công việc sau:

(1)Trong Control Panel, double-click System, nhấn vào tab Hardware, và sau

đó nhấn Device Manager.

(2) Trong Device Manager, right-click vào thiết bị muốn cập nhật, và sau đó

nhấn Properties

(3)Trong Driver tab, click Update Driver để mở Update Device Driver wizard,

và sau đó theo những chỉ dẫn của wizard.

Quản lý chữ ký Driver: Khi cài đặt một phần mềm mới vào máy tính, quá

trình cài đặt ghi đè những tập tin hệ thống bằng những phiên bản không tƣơng thích. Điều này là nguyên nhân hệ thống hoạt động không ổn định.

Những tập tin hệ thống đi kèm với Windows server 2003 có một chữ ký kỹ

thuật số. Những chữ ký đảm bảo tập tin đã đƣợc kiểm tra kỹ lƣỡng, và không đƣợc sửa

đổi hoặc ghi đè trong khi cài chƣơng trình khác. Tất cả những nhà kinh doanh cung

cấp driver đi kèm với Windows Server 2003 yêu cầu phải có chữ ký kỹ thuật số, và

những driver công bố trên web site Windows Update.

Driver Signing hoạt động nhƣ thế nào (How Driver Signing Works): Driver

signing dùng kỹ thuật mật mã để lƣu trữ nhận diện những thông tin trong tập tin

catalog (.cat). Thông tin này xác nhận driver nhƣ đã đƣợc Windows Hardware Quality Labs kiểm tra. Không có thay đổi gì về tập tin nhị phân của driver nữa. Thay vì vậy

một tập tin .cat đƣợc tạo cho mỗi gói driver và tập tin .cat đƣợc đƣợc ký với một chữ

ký kỹ thuật số của Microsoft liên quan giữa gói driver và tập tin .cat của nó đƣợc tham

chiếu đến tập tin .inf và đƣợc duy trì bởi hệ thống sau khi driver đƣợc cài đặt.

Điều khiển Unsigned Drivers: Dùng những thủ tục hƣớng dẫn dƣới đây để

điều khiển cách thức Windows Server 2003 xử lý. Nếu một chƣơng trình cài đặt cố

gắng thêm những unsigned driver vào hệ thống. Để cấu hình những lựa chọn driver

signing, thực hiện những bƣớc sau đây:

(1) Right-click My Computer, và sau đó click Properties (2) Trong tab Hardware, click Driver Signing, lựa chọn một trong những mục,

và sau đó nhấn OK:

Ignore. Cài đặt tất cả những drivers thiết bị có hoặc không liên quan có digital

signature

Warn. Hiển thị một cảnh báo khi khi Windows Server 2003 tìm thấy những

driver thiết bị không là digital signed. (Đây là một cài đặt mặc định)

Block. Ngăn chặn ngƣời dùng khỏi cài đặt driver thiết bị thiếu digital signature

Xác định những tập tin Unsigned: Dùng tập tin để xác nhận signature để xác

nhận những tập tin unsign trên máy tính và chỉ định những mục để xác nhận. Để sử dụng tập tin xác nhận signature, thực hiện những công việc sau đây.

(1) Click Start, click Run, nhập sigverif trong Open box, và sau đó click OK.

(2) Click Start để xác nhận bất kỳ tập tin nào mà không đƣợc signed. Danh sách

những tập tin mà không đƣợc digital signed xuất hiện

(3) Nếu đựơc yêu cầu, nhấn Advanced để chỉ định những lựa chọn kiểm tra.

Hộp thoại The Advanced File Signature Verification Settings xuất hiện

(4) Trong tab Search, lựa chọn một trong những mục sau

Notify me if any system files are not digitally signed Look for other files that are not digitally signed

(5) Để xem một tập tin log, click View Log trong Logging tab

Sử dụng Hardware Profiles: Một hardware profile chỉ định cấu hình và những

đặc trƣng của những thiết bị phần cứng và những dịch vụ chỉ định đƣợc tải lên bộ nhớ

khi khởi động. Nó cũng chỉ định những cài đặt (settings) của Windows Server 2003 sử

dụng mỗi thiết bị. Hardware profiles cho phép để optimize những máy tính trong

những môi trƣờng khác nhau.

Tạo một Hardware Profile mới

Windows server 2003 tạo một Hardware Profile mặc định trong lúc cài đặt. Để tạo một profile mới, phải sao chép một profile đã có trƣớc, và sau đó sửa đổi cấu hình

cài đặt (settings) cho profile mới.

Hình 1.60: Tạo Hardware Profile

Để tạo một hardware profile, thực hiện những bƣớc sau đây.

+ Click Start, chỉ đến Settings, và sau đó click Control Panel

+ Trong Control Panel, double-click System, click tab Hardware, và sau đó

click Hardware Profiles.

+ Trong danh sách Available hardware profiles, lựa chọn Profile muốn sao

chép, và sau đó nhấn Copy

+ Nhập tên một Profile mới trong hộp thoại Copy Profile, và sau đó click OK

+ Khởi động máy tính, trong Hardware Profile/Configuration Recovery menu,

lựa chọn new profile

+ Right-click My Computer, và sau đó click Manage.

+Mở Device Manager để cho enable hoặc disable những thiết bị ở profile hiện

hành

+ Mở Services dƣới Services and Applications để enable hoặc disable services

cho profile hiện hành, và sau đó click OK

Làm Hoạt động một Hardware Profile

Nếu có nhiều hơn một profile định nghĩa trong một máy tính, khi khởi động

Windows Server 2003 sẽ hiển thị danh sách Hardware Profile/Configuration Recovery

Profile mặc định là profile đầu tiên xuất hiện trong danh sách. Để thay đổi thứ

tự của các profile xuất hiện trong danh sách Hardware Profile/Configuration Recovery

lúc khởi động, thực hiện những công việc sau đây:

+ Click Start, chỉ đến Settings, và sau đó click Control Panel. + Double-click System, và sau đó click tab Hardware

+ Trong hộp thoại Hardware Profiles, click profile muốn dời, và sau đó nhấn mũi

tên lên hoặc xuống để thay đổi thứ tự mà profile sẽ xuất hiện

Cấu hình các cài đặt Hardware Profile

Có thể cấu hình thời gian mà máy tính sẽ chờ trƣớc khi tự động khởi động cấu

hình mặc định. Để điều chỉnh thời gian trì hoãn, dƣới Hardware Profiles, click Select

the first profile listed if I don’t select a profile in, và chỉ định thời gian (theo giây).

Windows server 2003 tự động tìm kiếm hardware profile trong danh sách

Hardware Profile/Configuration Recovery. Để đảm bảo một hardware profile sẽ hiển thị trong Hardware Profile/Configuration Recovery, click Properties, và sau đó, trong hộp thoại Hardware Profiles Properties lựa chọn check box Hardware profiles option

2) Cấu hình hiển thị các lựa chọn

Dùng Display trong Control Panel để cấu hình hiển thị của máy tính, hoặc cấu hình máy tính để hỗ trợ đa hiển thị. Việc nắm vững các lựa chọn trong Control Panel

thì rất quan trọng, nó giúp tận dụng tối đa khả năng hiển thị của Windows server 2003. Cấu hình hiển thị: Windows server 2003 cho phép tuỳ biến desktop và hiển thị

các cài đặt (settings).

Những cài đặt sẽ điều khiển nhƣ thế nào desktop sẽ đƣợc nhìn thấy và màn hình

sẽ hiển thị thông tin. Cho ví dụ, thể tuỳ biến màu sắc và phông chữ cho Windows Server 2003, tuỳ biến hình ảnh wallpaper trên desktop, hoặc cấu hình screen saver kèm

với mật mã để bảo vệ máy tính

Cấu hình lựa chọn hiển thị bằng cách sử dụng Display trong Control Panel.

Dùng tab Settings, trong hộp thoại Display Properties, để cấu hình màu sắc và độ phân giải video. Click Advanced trong tab Setting để cấu hình. Bảng sau sẽ diễn giải những

lựa chọn để cấu hình

Tab Option Diễn giải

General Display Cung cấp cỡ phông nhỏ, lớn, và tuỳ biến để

hiển thị

Compatibility Quyết định những thay đổi sẽ đựơc cài đặt hiển

thị

Adapter Adapter Type Liệt kê nhà sản xuất, số model, và những thuộc

tính cài đặt cạc

Properties Cung cấp cấu hình chi tiết cho cạc hiển thị, cho

phép để hiệu chỉnh cấu hình

List All Modes

Liệt kê tất cả độ phân giải màn hình, màu sắc, và refresh tỉ lệ cạc màn hình hỗ trợ

Monitor Monitor Type Liệt kê nhà sản xuất, số model, và những thuộc

tab tính monitor mà đƣợc cài đặt. dƣới Properties, có thể xem và sửa đổi cấu hình

driver và cài đặt phần cứng.

Monitor Settings Cấu hình tần số làm tƣơi lại màn hình. Lựa chọn này chỉ dùng cho những driver có độ phân

giải cao. Nếu không chắc chắn, nên tham khảo

tài liệu về màn hình, hoặc lựa chọn tỉ lệ làm tƣơi (refresh) thấp nhất

Trouble- shooting Hardware Acceleration

Điều khiển acceleration level và hiệu năng mà phần cứng đồ họa cung cấp. Nếu phần cứng hỗ trợ, có thể sửa đổi acceleration để tăng thời gian

phản hồi đồ hoạ để vẽ lại màn hình

Color Lựa chọn màu mặc định của màn hình cho

thông tin cá nhân (profile) Management

(Optional)

Cấu hình nhiều màn hình: Khi dùng nhiều màn hình sẽ một màn hình chính

và tiếp theo là màn hình thứ hai. Để dùng nhiều màn hình cần một Peripheral Component Interconnect (PCI) hoặc Accelerated Graphics Port (AGP) card

Cài đặt thêm nhiều màn hình: Để cài đặt thêm nhiều màn hình, thực hiện những

công việc sau:

(1) Tắt máy tính (2) Cắm card màn hình PCI hay AGP vào khe cắm còn trống trong máy tính

(3) Cắm màn hình vào card

(4) Mở máy tính. Windows Server 2003 sẽ tìm kiếm card màn hình mới và cài

những driver thích hợp

(5) Doublle-click Display trong Control Panel

(6) Trong tab Settings, click biểu tƣợng màn hình đƣợc trình bày trên màn hình

muốn dùng để thêm vào màn hình chính

(7) Lựa chọn Extend my Windows desktop onto this monitor check box, và sau

đó click Apply

(8) Lựa chọn màu và độ phân giải cho màn hình thứ 2

(9) Lặp lại bƣớc 6 đến bƣớc 8 cho mỗi hiển thị thêm vào, và sau đó click OK để

đóng hộp thoại Display Properties

Thay đổi màn hình chính: Khi khởi động máy tính, màn hình chính phục vụ nhƣ một trung tâm các hoạt động. Theo mặc định, màn hình đăng nhập xuất hiện trên

màn hình chính. Khi mở một chƣơng trình. Cửa sổ xuất hiện trên màn hình chính cho

đến khi di chuyển chúng.

Để thay đổi màn hình chính: Double-click Display trong Control Panel. Trong

tab Settings, click vào biểu tƣợng màn hình, muốn chuyển thành màn hình chính. Lựa

chọn check box Use this device as the primary monitor và sau đó click OK. Ghi nhớ là

check box không hiển thị cho đến khi lựa chọn biểu tƣợng màn hình mà đƣợc đặt nhƣ

là primary monitor

Sắp xếp nhiều màn hình: Sắp xếp vị trí của nhiều màn hình trong hộp thoại Display Properties để trình bày sắp xếp vật lý của chúng, đơn giản là có thể di chuyển những hiển thị từ một màn hình đến màn hình khác. Để sắp xếp nhiều màn hình, thực hiện.

Double-click Display trong Control Panel. Trong tab Settings, click Identify để hiển thị số chứng minh thƣ cho mỗi biểu tƣợng màn hình. Kéo biểu tƣợng để sắp xếp

chúng, và sau đó click OK

Vị trí của những biểu tƣợng quyết định di chuyển những biểu tƣợng màn hình

từ một màn hình đến màn hình khác. Cho ví dụ, nếu dùng 2 màn hình và muốn di

chuyển những (item) từ một màn hình đến màn hình khác bằng cách kéo sang trái hay

sang phải, đặt những biểu tƣợng bên cạnh nhau. Kéo lên hoặc xuống để di chuyển

những biểu tƣợng màn hình giữa những màn hình

3) Cấu hình cài đặt hệ thống

Hiệu năng của hệ thống thay đổi theo thời gian bởi vì những thay đổi trong

việc, tải công việc và chiếm dụng tài nguyên. Windows Server 2003 tích hợp một lựa

chọn cho phép để tối ƣu hoá hiệu năng của hệ thống.

Khi cấu hình hệ điều hành, chúng đƣợc sử dụng cho tất cả các ngƣời dùng đăng

nhập vào máy tính, không cần phải cấu hình lại cho mỗi ngƣời sử dụng. Trong Control

Panel, có thể cấu hình hệ điều hành theo các mục sau:

Environment Variables: Cài đặt này có thể tìm thấy trong tab Advanced trong mục System của Control Panel, cho phép sửa đổi ngƣời dùng và biến hệ thống. Cho ví

dụ, có thể thay đổi vị trí của những tập tin tạm để tối ƣu hoá không gian đĩa

Startup and Recovery. Cài đặt có thể tìm thấy trong tab Advanced trong mục

System của Control Panel, cho phép cấu hình thủ tục khởi động và khôi phục. Cho ví

dụ, có thể đặt biến đếm bằng 0 để tối ƣu hoá thời gian khởi động.

Sửa đổi biến môi trƣờng (Environment Variables): Hộp thoại Environment

Variables liệt kê thông tin cấu hình chỉ định, nhƣ là vị trí của những tập tin tạm dùng

cho hệ điều hành và một số ứng dụng (temporary files). Biến môi trƣờng đƣợc lƣu

trong tab Advanced của hộp thoại System Properties, gồm có 2 vùng, một dùng cho các biến ngƣời sử dụng đi kèm với ngƣời sử dụng đăng nhập, và một dùng cho biến hệ

thống gắn liền với máy tính. Mỗi vùng đều có những nút nhấn để tạo biến mới, sửa đổi

hoặc xoá một biến đã có trƣớc. Windows Server 2003 sử dụng những thông tin này để

giám sát những ứng dụng khác. Cho ví dụ, biến môi trƣờng TEMP chỉ ra vị trí của

những tập tin tạm đƣợc lƣu.

Để hiển thị hoặc sửa đổi biến môi trƣờng của ngƣời sử dụng hay hệ thống, mở

hộp thoại Properties, click Advanced, và sau đó click Environment Variables

Cấu hình biến môi trƣờng ngƣời sử dụng : Mỗi ngƣời dùng có biến môi

trƣờng đặc trƣng trên một máy tính, biến môi trƣờng này đƣợc lƣu trong thông tin cá nhân (profile) của ngƣời dùng đó. Biến môi trƣờng bao gồm tất cả những cài đặt mà ngƣời dùng định nghĩa (nhƣ là thƣ mục Temp) và những biến môi trƣờng mà ứng dụng định nghĩa (nhƣ là đƣờng dẫn đến vị trí các tập tin của ứng dụng). Ngƣời dùng có thể thêm, sửa đổi, và xoá biến môi trƣờng ngƣời sử dụng trong hộp thoại Environment Variables

Cấu hình biến môi trƣờng hệ thống: Biến môi trƣờng hệ thống đƣợc ứng dụng cho toàn bộ hệ thống. vì vậy, biến môi trƣờng này ảnh hƣởng đến toàn bộ hệ

thống ngƣời sử dụng. Trong lúc cài đặt. Cài đặt cấu hình biến môi trƣờng hệ thống

mặc định, bao gồm đƣờng dẫn đến những tập tin của Windows Server 2003. chỉ có

ngƣời quản trị có thể thêm, sửa đổi, hoặc xoá biến môi trƣờng hệ thống.

Cài đặt biến môi trƣờng mặc định: Trong lúc khởi động, Windows Server

2003 tìm kiếm những tập tin khởi động và đặt biến môi trƣờng. Windows Server 2003

đặt biến môi trƣờng theo thứ tự:

(1) Biến Autoexec.bat (2) Biến môi trƣờng hệ thống (3) Biến môi trƣờng ngƣời sử dụngVí dụ: Nếu thêm dòng SET TMP=C:\ vào tin khởi động), và một biến ngƣời sử dụng Autoexec.bat (tập

TMP=X:\TEMP, cài đặt biến môi trƣờng (X:\TEMP) sẽ đƣợc ghi đè lên cài đặt (C:\)

Khả năng cấu hình biến môi trƣờng thì rất hữu ích cho công việc quản trị. Cho

ví dụ, hỗ trợ chia sẻ một máy tính. Cài đặt một chƣơng trình mới, chƣơng trình này

yêu cầu mỗi ngƣời dùng phải thêm đƣờng dẫn vào biến môi trƣờng của họ. Là một

ngƣời quản trị, có thể thêm biến đến biến hệ thống và việc sửa đổi này sẽ cho phép tất

cả những ngƣời dùng máy tính chạy chƣơng trình mới mà không phải tốn công cài đặt

biến môi trƣờng của họ.

Sửa đổi các mục khởi động và khôi phục: Có thể cấu hình các mục khởi động

và khôi phục để chỉ định hệ điều hành sẽ sử dụng khi khởi động và máy tính sẽ làm gì sau khi khoảng thời gian chờ sự tác động của ngƣời dùng

Để cấu hình các mục khởi động và khôi phục, mở hộp thoại System Properties,

click tab Advanced, và sau đó click Startup and Recovery

Sửa đổi khởi động hệ thống: Khi mở máy tính, hệ thống hiển thị một danh

sách, liệt kê những hệ điều hành có trên máy. Theo mặc định, hệ thống sẽ chọn một hệ

điều hành và hiển thị một đồng hồ đếm. Nếu không chọn hệ điều hành khác, hệ thống

sẽ khởi động hệ điều hành đã chọn khi đồng hồ đếm đến số 0 hoặc khi nhấn ENTER

Dùng những mục trong System startup để chỉ định hệ điều hành khởi động mặc

định. Lựa chọn hệ điều hành từ danh sách drop-down. Hiệu chỉnh giá trị của đồng hồ đếm để điều khiển bao lâu hệ thống sẽ chờ để tự động khởi động hệ điều hành mặc định.

Cấu hình cài đặt phục hồi: Dùng những mục trong System Failure để quyết

định những công việc tự động thực hiện khi có lỗi, lỗi này có thể làm hệ điều hành nhƣng tất cả các tiến trình, và nó đƣợc gọi là Stop Error

Có thể cấu hình phục hồi những cài đặt để chỉ định những công việc mà máy

tính sẽ thực hiện, nếu hệ điều hành phát sinh một Stop Error.

Những mục có sẵn cho cài đặt phục hồi:

+ Ghi một sự kiện vào system log

+ Báo động cho ngƣời quản trị

+ Gởi những nội dung bộ nhớ hệ thống vào một tập tin, để hỗ trợ cho những kỹ

sƣ có thể sử dụng để tìm lỗi. Mục này có những yêu cầu sau:

The paging file phải trong cùng partition với thƣ mục systemroot

The paging file phải là 1 megabyte (MB) lớn hơn lƣợng RAM vật lý trên

máy tính

Phải có đủ không gian trống cho tập tin chỉ định. Để ghi đè lên một tập tin đƣợc

tạo bởi Stop Error trƣớc đó, lựa chọn Overwrite any existing file

4) Cấu hình môi trƣờng để bàn

Dùng Control Panel để thay đổi diện mạo và khả năng của Windows Server 2003 cho phù hợp với tổ chức. Cho ví dụ, có thể thay đổi những mục miền (regional)

để giám sát Windows Server 2003 hiển thị dữ liệu kiểu số nhƣ thế nào. Cũng có thể

hiệu chỉnh giao diện cho những ngƣời sử dụng khó nghe nhìn, hoặc cho những ngƣời

dùng có khuyết tật về thể chất. Hơn nữa sử dụng Control Panel để cài đặt, xoá, thay

đổi, và sửa những ứng dụng.

Hiểu sâu về Control Panel, cách cấu hình và tuỳ biến Windows Server 2003 sẽ

giúp cung cấp môi trƣờng desktop cho những ngƣời sử dụng có thể phát huy tối đa khả

năng của họ

- Cấu hình Regional Options: Dùng Regional Options trong Control Panel để

thay đổi cách Windows Server 2003 hiển thị ngày, thời gian, tiền tệ, con số lớn, và

phần thập phân. Cũng có thể chọn hệ thống đo lƣờng metric hoặc U.S

- Lựa chọn Regional Options

Hình 1.61: Hộp thoại Regional Option

Bảng sau đây diễn tả những tab có sẵn cho việc cấu hình

Tab Chức năng

General

Cài đặt ngôn ngữ mặc định và cài đặt chuẩn cho việc nhập liệu, dựa trên từng nơi

Numbers Cấu hình kiểu số mặc định

Currency Cấu hình kiểu tiền tệ mặc định

Time Cấu hình hiển thị thời gian mặc định

Date Cấu hình kiểu ngày tháng mặc định

Input Locales Cài đặt bố trí bàn phím cho ngôn ngữ và cài đặt

thứ tự phím cho biểu tƣợng bàn phím

- Cấu hình Input Locales Có thể chỉ định một trong những input locales. Input locales chỉ định vị trí địa

lý, điển hình nhƣ English (Ireland) hoặc English (United States), để chỉ định vùng địa

lý của ngƣời sử dụng. Khi chuyển đến một vị trí khác, một số chƣơng trình cung cấp

những đặc điểm đặc biệt, nhƣ là phông chữ hoặc bộ kiểm chính tả đƣợc thiết kế cho

những ngôn ngữ khác nhau.

Nếu làm việc với nhiều ngôn ngữ khác nhau, hoặc giao tiếp với ngƣời nƣớc

ngoài, có thể cài đặt thêm nhóm ngôn ngữ. Mỗi nhóm ngôn ngữ cài đặt, cho phép để

đánh máy và hiển thị tài liệu đƣợc viết ra từ ngôn ngữ của nhóm đó, điển hình nhƣ là

Western Europe và United States, Central Europe, Baltic

Mỗi ngôn ngữ có cách bố trí bàn phím mặc định, nhƣng nhiều ngôn ngữ có

cách bố trí xen kẽ nhau. Thậm chí nếu làm việc chủ yếu với một ngôn ngữ, cũng có thể

muốn một bố trí khác. Trong tiếng anh, cho ví dụ, nhập những kí tự với dấu nhấn có

thể đơn giản hơn với cách bố trí United State-International

- Cấu hình Accessibility Options: Có thể hiệu chỉnh cách hiển thị và cách thao tác của Windows Server 2003 để nâng cao khả năng truy cập cho những ngƣời dùng

tàn tật hoặc có những nhu cầu đặc biệt mà không phải thêm phần cứng hoặc phần

mềm.

Công cụ accessbility có trong Windows Server 2003 cung cấp chức năng cho những ngƣời sử dụng có những nhu cầu đặc biệt, thì rất hạn chế. Để hỗ trợ sử dụng hiệu quả, nhiều ngƣời sử dụng tàn tật sẽ phải cần thêm những chƣơng trình tiện ích, nhiều chức năng hơn, để xem danh sách những tiện ích Windows-based accessbility

- Chạy những chƣơng trình Accessibility: Bảng dƣới đây sẽ hiển thị những

chƣơng trình có trong Windows Server 2003 để nâng cao accessbility, với những chức năng một chƣơng trình. Để xem những chƣơng trình, click Start, chỉ đến Programs, Chỉ đến Accessories, và click chƣơng trình mong muốn

Chƣơng Trình Chức năng

Magnifier

Khuyếch trƣơng phần màn hình để xem dễ dành hơn

Narrator Dùng ký thuật text-to-speech để đọc nội

dung của trên màn hình. Chức năng này

rất hữu ích cho những ngƣời mù hoặc khó xem

On-Screen Keyboard Cung cấp cho những ngƣời dùng không

sử dụng thông thạo bàn phím

Ultility Manager

Cho phép ngƣời dùng để truy cập tầng quản trị, kiểm tra trạng thái của chƣơng

trình, khởi động hoặc tắt một chƣơng

trình accessbility, và chỉ định những

chƣơng trình sẽ khởi động khi khởi động

Windows Server 2003

- Lựa chọn Accessbility Options Dùng Accessbility Options trong Control Panel để chỉ định cách sử dụng bàn

phím, hiển thị, và chức năng của con chuột. Bảng dƣới đây sẽ diễn tả những công cụ accessibility có trong Accessbility Options và những chức năng của chúng

Hình 1.62: Hộp thoại Accessbility Options

Công cụ Chức năng

Cho phép bấm nhiều phím đồng thời StickyKeys

Hiệu chỉnh đáp ứng bàn phím FilterKeys

ToggleKeys Phát ra âm thanh khi nhấn những phím khoá

SoundSentry Cung cấp những cảnh báo ảo cho những âm thanh

hệ thống

ShowSounds Chỉ dẫn những chƣơng trình để hiển thị những đầu

đề cho chƣơng trình nói và âm thanh

High Contrast Cải thiện độ tƣơng phản màn hình, màu sắc và cỡ

font

MouseKeys

Cho phép bàn phím để thực hiện những chức năng của con chuột

Support Cho phép dùng những thiết bị nhập liệu khác

- Dùng Accessibility Wizard: Dùng Accessbility wizard để giúp cài đặt những mục và chƣơng trình theo nhu cầu. Accessibility wizard tự động cấu hình, hộp thoại sẽ

giải thích những mục sẵn có. Với Accessbility wizard, có thể lƣu cấu hình vào một tập

tin, và sau đó chuyển nó đến máy tính khác.

Để khởi động Accessibility Wizard, click Start, chỉ đến Programs, chỉ đến

Accessories, chỉ đến Accessibility, và sau đó click Accessbility Wizard

- Quản lý những ứng dụng: Tổng giá thành sở hữu (TCO) của những máy tính

cá nhân là một vấn đề quan trọng mà các doanh nghiệp phải đối mặt. Một cách để

giảm TCO là triển khai và quản lý những ứng dụng. Windows Server 2003 cung cấp

một số những mục, cho phép quản lý những ứng dụng một cách hiệu quả.

- Xác định những sản phẩm của Windows Server 2003: Dùng Directory of

server Windows Server 2003 Applications trực tuyến để xác định những sản phẩm sẽ

làm việc với Windows server 2003. The classifies applications là một trong ba tầng,

những tầng mà ứng dụng phải đƣợc kiểm tra là:

Certified. Những ứng dụng phải đáp ứng đƣợc tất cả các chuẩn trong

Application Specification của Windows Server 2003, và phải đƣợc duyệt qua tất cả các

yêu cầu kiểm tra của Windows Server 2003, ISV và VeriTest, hai tổ chức kiểm tra độc

lập. Đây là cấp bậc ở tầng cao nhất cho những ứng dụng tƣơng thích với Windows

Server 2003.

Ready. ISV đã kiểm tra ứng dụng là tƣơng thích với Windows Server 2003 và

cung cấp sản phẩm hỗ trợ Windows Server 2003

Planned. ISV ủy thác phân phối phiên bản Windows Server 2003 compatible

của ứng dụng, điều đó chỉ định rằng, ứng dụng đã Sẵng sàng và đã Chứng nhận.

- Cài đặt ứng dụng dùng Add/Remove Programs: Cài đặt ứng dụng trực tiếp

từ CD, từ mạng, hoặc internet, bằng cách dùng Add/Remove Programs trong Control

Panel. Add/Remove Programs dùng Windows Installer để cài đặt, xoá, thay đổi, và sửa

chữa ứng dụng dễ hơn và hiệu quả hơn. Windows Installer là một dịch vụ hệ điều hành

phía client, dùng để quản lý những ứng dụng cài đặt. Cho ví dụ, khi ngƣời dùng xoá

một ứng dụng, Windows Installer xoá tất cả những tập tin của ứng dụng, gồm những

tập tin .dll có thể đƣợc phân tán trên nhiều đĩa cứng của máy tính

Hình 1.63: Hộp thoại Add/Remove Programs

- Quản lý những ứng dụng dùng chƣơng trình Add/Remove: Dùng

Add/Remove Programs để quản lý những ứng dụng trên những máy tính client. Những

ứng dụng published trong Add New Programs chỉ hiển thị mục Categories. Dùng mục

Categories giúp cho ngƣời dùng dễ dàng tìm một ứng dụng dƣới Add New Programs. Cho ví dụ, có thể định nghĩa những loại nhƣ là Sale Applications hoặc Accouting

Application

Những ứng dụng cài đặt hiện tại đƣợc hiển thị trong Change or Remove

Program và hiển thị theo những mục sau:

Name. Cho dƣới Change or Remove Programs, những ứng dụng quen thuộc

đƣợc hiển thị với tên.

Frequency of use. Danh sách những chƣơng trình thƣờng sử dụng, những

chƣơng trình không sử dụng thƣờng xuyên có thể bị xoá để tạo không gian trống cho

đĩa.

Size. Danh sách những chƣơng trình và không gian đĩa mà chƣơng trình sử dụ Date Last Used. Sắp xếp những chƣơng trình theo ngày cuối cùng chƣơng trình đƣợc sử dụng. Điều này giúp cho việc quyết định những chƣơng trình không còn dùng nữa và có thể xoá đi.

Khi mở Control Panel và double-click Add/Remove Programs, những chƣơng

trình cài đặt sẽ xuất hiện trong sách sách. Nếu click Add New Programs, những chƣơng trình đã công bố trong Active Directory xuất hiện trong danh sách. Có thể

click CD or Floggy để cài đặt ứng dụng từ Web hoặc click một published application.

Sau khi lựa chọn mục cài đặt, click Add để cài đặt phần mềm.

1.3. Kết nối client vào mạng windows server

Một mạng bao gồm nhiều máy tính vốn liên lạc thông tin với nhau. Để nhiều máy tính liên lạc thông tin, các quy tắc và phƣơng pháp thông thƣờng để liên lạc thông

tin gọi là các giao thức-phải đƣợc áp dụng cho các máy tính.

Trong một mạng có các tài nguyên tồn tại trên server, dựa trên Microsoft

Windows server 2003 và các server dựa trên Novell Netware, phải bảo đảm rằng những ngƣời sử dụng có thể truy cập đƣợc vào những tài nguyên này.

Có thể cấu hình các máy tính client chạy Windows server 2003 với nhiều giao

thức liên lạc thông tin để đảm bảo kết nối phù hợp với các mạng Microsoft và Novell

Netware.

1.3.1. Các kết nối Windows Server

Các máy tính chạy Windows server 2003 dùng bốn thành phần để hỗ trợ kết nối

đến Windows server 2003 hoặc Netware Network:

- Protocols (Giao thức)

- Network Services (Dịch vụ mạng)

- Network Adapters (Adapter mạng)

- Binding

Để kết nối mạng một cách có hiệu quả, cần hiểu cách các thành phần tƣơng tác

để tạo kết nối xảy ra.

Giao thức: Windows server 2003 tự động cài đặt Transmission Control

Protocol/Internet Protocol (TCP/IP). Phải cài đặt bằng tay NWLink,

IPX/SPX/NetBIOS Compatible Transport Protocol.

Các dịch vụ mạng: Các dịch vụ mạng cho phép máy tính chạy trên những giao

thức mạng giống nhau kết nối vào các Folder và những nguồn chia sẻ khác. Các dịch

vụ mạng cung cấp các chức năng mạng cho các trình ứng dụng, nhƣ khả năng truy cập

vào các Folder và máy in sử dụng trên các máy tính khác. Những dịch vụ này bao gồm

phần mềm vốn là những thành phần của windows server 2003 hoặc đƣợc hỗ trợ bởi

nhóm thứ ba.

Microsoft Windows Server 2003 tự động cài đặt Client for Microsoft Network.

Nếu cần có thể cài đặt bằng tay Gateway (and Client) services for Netware.

Các Adapter mạng: Một Adapter mạng là một thành phần phần cứng cho phép máy tính nối vào cáp mạng hoặc các phƣơng tiện mạng khác. Các Adapter mạng cung cấp giao diện vật lý (bộ kết nối) phần cứng (hệ thống mạch điện) để máy tính truy cập

mạng.

Binding: Binding là một phƣơng pháp liên kết các thành phần mạng. Một

binding cho phép liên lạc thông tin giữa nhiều thành phần mạng nhƣ là giữa TCP/IP và

một Adapter mạng. bằng cách thay đổi thứ tự các giao thức buộc vào những Provider

(nhà cung cấp), có thể cải thiện hoạt động. Chẳng hạn giả sử kết nối Local Area

Network (LAN) đƣợc tạo lập để truy cập vào Netware bằng cách sử dụng IPX và các mạng Microsoft dùng TCP/IP. Tuy nhiên, cái chính chủ yếu sử dụng để truy cập vào

mạng Microsoft dùng TCP/IP.

Trong ví dụ này, để cải thiện hoạt động, muốn cấu hình TCP/IP dƣới dạng là

một giao thức chính,để cấu hình TCP/IP hãy thực hiện các tác vụ sau:

Di chuyển mang Microsoft Windows lên trên cùng danh sách những nhà cung

cấp mạng trên nhãn Provider Order tab

Di chuyển Internet Protocol (TCP/IP) lên trên cùng phƣơng pháp liên kết

(Binding) File and Printer Sharing for Microsoft Networks trên nhãn Adapters and Bindings

1.3.2. Nối vào mạng Microsoft

Để kết nối vào mạng Microsoft, trƣớc tiên phải cài đặt và cấu hình giao thức

thích hợp, sau đó cài đặt và cấu hình các dịch vụ và cuối cùng cấu hình các binding

nếu cần. Quá trình cấu hình máy tính để nối kết vào mạng Microsoft thì đƣợc đơn giản

hoá trong Windows Server 2003. Trong suốt quá trình cài đặt Windows Server 2003 tự

động cài đặt các dịch vụ sau và giao thức cần thiết để kết nối vào mạng Microsoft.

- Client for Microsoft Networks

- File and Printer Sharing for Microsoft Networks. - TCP/IP

Những mạng chạy Windows Server 2003 sử dụng TCP/IP có thể tận dụng đƣợc

các lợi điểm của những dịch vụ nhƣ dịch vụ Domain Name System (DNS) server,

Dịch vụ Dynamic Host Configuration Protocol (DHCP) server, và dịch vụ thƣ mục

Active Directory. Hiểu đƣợc cách hoạt động kết nối TCP/IP cho máy tính Client vốn

chạy Windows Server 2003 cho phép tận dụng những lợi điểm của các dịch vụ mạng

này và các dịch vụ mạng khác.

DNS là một phần đầy đủ của các phƣơng tiện liên lạc thông tin client/server

trong mạng Internet Protocol (IP). DNS là một cơ sở dữ liệu đƣợc phân bố vốn đƣợc sử dụng trong các mạng IP chuyển dịch, hoặc phân giải các tên máy tính vào trong những địa chỉ IP. Microsoft windows Server 2003 sử dụng DNS dƣới dạng là một phƣơng pháp chính đối với độ phân giải tên. Các client trên nền windows Server 2003 sử dụng dịch vụ DNS server đối với độ phân giải tên và để định vị các dịch vụ bao gồm các bộ điều khiển Domain vốn cung cấp xác nhận ngƣời sử dụng.

Phần trình bày này mô tả các thành phần chính của DNS và cách quá trình độ

phân giải tên làm việc

Cài đặt TCP/IP cho các đặc tính nối kết trong một mạng Microsoft: Windows Server 2003 tự động cài đặt TCP/IP dƣới dạng một Protocol mặc định trong

suốt quá trình cài đặt (Nếu adapter mạng đƣợc phát hiện). Tuy nhiên nếu TCP/IP

không đƣợc cài đặt trong suốt quá trình cài đặt có thể cài đặt nó bằng tay. (1) Nhấp chuột phải My Network Places, và sau đó nhấp Properties

(2) Trong cửa sổ Network and Dial-up Connection, hãy nhấp phải biểu tƣợng

vốn trình bày kết nối vùng cục bộ muốn cấu hình, và sau đó nhấp Properties.

(3) Xác nhận Internet Protocol (TCP/IP) không có trên danh sách các thành

phần đã cài đặt

(4) Nhấp Install.

(5) Nhấp Protocol và nhấp Add

(6) Trong hộp thoại Select Network Protocol nhấp Internet Protocol (TCP/IP) ,

và nhấp OK

(7) Xác nhận hộp kiểm Internet Protocol (TCP/IP) đƣợc chọn và sau đó nhấp

OK.

Cấu hình TCP/IP để chứa địa chỉ IP một cách tự động: Sau khi cài đặt

TCP/IP, máy tính Client chứa một địa chỉ IP theo một trong 2 cách sau nếu TCP/IP đã

đƣợc cấu hình địa chỉ IP một cách tự động.

- Từ DHCP server

- Qua Automatic Private IP Addressing

DHCP Addressing

Hình 1.64: Cấp phát địa chỉ IP sử dụng DHCP Server

Một DHCP server tự động cung cấp địa chỉ IP và các thông tin cấu hình TCP/IP khác, nhƣ địa chỉ IP của DNS server, WINS server và Default Gateway. Quá trình một DHCP server sử dụng cấp phát địa chỉ IP nhƣ sau:

(1) Máy tính Client yêu cầu một địa chỉ từ DHCP Server. (2) DHCP server cung cấp địa chỉ IP cho các máy tính Client. Phải bảo đảm rằng các cài đặt TCP/IP đƣợc cấu hình để máy tính client chứa

điạ chỉ IP một cách tự động từ DHCP server. Theo mặc định Windows Server 2003 tự động cấu hình nhƣ phần cài đặt TCP/IP nếu vì lý do nào đó máy tính client không

đƣợc cấu hình để chứa địa chỉ IP một cách tự động, có thể cấu hình bằng tay.

Hình 1.65: Cấu hình giao thức TCP/IP Để cấu hình TCP/IP nhận địa chỉ IP từ DHCP server, thực hiện theo các bƣớc

(1) Nhấp phải My Network Places, và sau đó nhấp Properties

(2) Trong cửa sổ Network and Dial-up Connection, hãy nhấp phải biểu tƣợng vốn

trình bày kết nối vùng cục bộ muốn cấu hình, và sau đó nhấp Properties.

(3) Trong hộp thoại Local Area Connection Properties, nhấp Internet Properties

Protocol (TCP/IP) và nhấp vào Properties.

(4) Trong hộp thoại Internet Protocol (TCP/IP) Properties, nhấp Obtain an IP

Address automatically và nhấp Apply.

(5) Automatic Private IP Addressing

Automatic Private IP Addressing thực hiện cấu hình địa chỉ IP nếu máy tính

client không nhận địa chỉ IP từ DHCP server. Automatic Private IP Addressing chỉ

cung cấp địa chỉ IP và một mặt nạ mạng con, không phải các thông tin cấu hình bổ sung nhƣ là cổng nối mặc định. Điều này giới hạn tính kết nối với mạng LAN của máy client. Client không thể kết nối đến mạng khác hoặc Internet.

Khi máy tính không có địa chỉ IP khởi động thì máy tính client cố định đặt địa chỉ DHCP server và đạt đƣợc thông tin cấu hình địa chỉ IP từ đó. Nếu DHCP server không tìm thấy, thì máy tính Client tự động cấu hình địa chỉ IP và mặt nạ con của nó

bằng cách sử dụng một địa chỉ đã chọn nhƣ là 169.254.0.0 lớp mạng B với subnet mask 255.255.0.0.

Cấu hình TCP/IP nhận địa chỉ IP tĩnh: Trong một mạng chạy dịch vụ DHCP server, có những khi muốn cấu hình bằng tay các địa chỉ IP tĩnh cho các máy tính mạng. Chẳng hạn, một máy tính chạy dịch vụ DHCP server thì không thể đƣợc cấu

hình để nhận một địa chỉ IP tự động. Ngoài ra mail server hoặc Web server có thể cần

một địa chỉ IP giống nhau. Vì vậy phải cấu hình những máy tính có một địa chỉ IP tĩnh.

Các cài đặt địa chỉ IP tĩnh: Khi cấu hình một địa chỉ IP tĩnh phải cấu hình mặt

nạ mạng con và cổng nối mặc định cho mỗi adapter mạng trong một máy tính trên

mạng bằng cách sử dụng giao thức TCP/IP. View the TCP/IP configuration settings

Nhóm Information Technology (IT) của công ty sẽ chịu trách nhiệm cung cấp cho

các nhà quản lý riêng các thông tin IP tĩnh cho các site riêng của họ. Điều này sẽ ngăn

cản việc sử dụng các địa chỉ IP sai. Cấu hình địa chỉ IP tĩnh: Để cấu hình TCP/IP sử dụng một địa chỉ IP tĩnh, hãy

thực hiện các bƣớc sau:

(1) Nhấp phải My Network Places, và sau đó nhấp Properties

(2) Trong cửa sổ Network and Dial-up Connection, hãy nhấp phải biểu tƣợng

vốn trình bày kết nối vùng cục bộ muốn cấu hình, và sau đó nhấp Properties.

(3) Trong hộp thoại Local Area Connection Properties, nhấp Internet Properties

Protocol (TCP/IP) và nhấp vào Properties.

(4) Trong hộp thoại Internet Protocol (TCP/IP) Properties, nhấp vào Use the

Following IP address

(5) Gõ địa chỉ IP, gõ subnet mask, default gateway (nếu cần), nhấp OK.

Xác nhận và kiểm tra cấu hình TCP/IP: Sau khi xác nhận TCP/IP, sử dụng

các lệnh ipconfig và ping để kiểm tra cấu hình máy tính cục bộ và để bảo đảm rằng

máy tính này có thể liên lạc thông tin bằng cách sử dụng TCP/IP qua một mạng

TCP/IP.

Ipconfig: Lệnh ipconfig hiển thị thông tin cấu hình TCP/IP trên máy tính mà nó

đƣợc chạy và chỉ định máy tính này có TCP/IP đƣợc khởi tạo hay không. Sau đó hãy

xem thông tin đƣợc hiển thị để xác nhận có đúng hay không.

Ping: Lệnh ping là một công cụ để chẩn đoán có thể kiểm tra cấu hình TCP/IP giữa 2 máy tính và các sự cố kết nối chạy lệnh ping để chỉ định có thể liên lạc với máy chủ khác hay không thông qua TCP/IP.

Xác nhận và kiểm tra cấu hình TCP/IP: Bằng cách kết hợp lệnh ipconfig và lệnh ping, có thể kiểm tra cấu hình địa chỉ IP của máy tính cục bộ và kết nối giữa 2 máy tính trên mạng. Các bƣớc sau đây phác thảo thủ tục để kết hợp các bƣớc giữa lệnh

ipconfig và lệnh ping.

Hình 1.66: Các bƣớc xác nhận và kiểm tra cấu hình TCP/IP

Nối kết vào một mạng windows Server 2003: Sau khi đã cài đặt máy tính chạy Windows Server 2003 và xác nhận đặt tính nối kết vào mạng Microsoft, có thể sử

dụng nhiều phƣơng pháp để kết nối vào các nguồn mạng nhƣ là các Folder và máy in

đƣợc chia sẻ.

Để nối kết vào mạng từ máy tính dựa trên nguồn Windows Server 2003 có thể:

+ Sử dụng Internet Explorer, khởi động Internet Explorer, trình duyệt nguồn

mạng, và sau đó nối vào nó.

+ Sử dụng lệnh run. Trên menu Start, nhấp Run, và sau gõ nhập đƣờng dẫn cho

nguồn mạng trong hộp Open.

+ Sử dụng Map Network Drive, nhấp phải My Computer hoặc My Network

Places. Và sau đó nhấp Map Network Drive, sau đó gõ nhập đƣờng dẫn nguồn mạng

trong hộp thoại Path.

+ Sử dụng My Network Places. Khởi động My Network Places, mở rộng cấu

trúc cây mạng, trình duyệt nguồn mạng và sau đó kết nối vào nó.

+ Sử dụng Search, nhấp Start, trỏ tới Search, và sau đó chọn thƣ mục phù hợp.

Gõ nhập thông tin để định vị trí nguồn mạng và sau đó kết nối vào nó.

1.3.3. Nối vào mạng Novell Netware

Để kết nối một máy tính chạy Windows server 2003 với một mạng Novell

Netware cần cài đặt giao thức NWLink và client for Novell Netware. Khi cài đặt giao thức NWLink protocol and Gateway (and client) service for Netware protocol NWLink đƣợc cài tự động.

Trong các môi trƣờng làm việc mạng vốn sử dụng Protocol Packet Exchange/Sequenced Packet Exchange (IPX/SPX) protocol. Các máy tính đang chạy

Windows server 2003 sử dụng giao thức NWLink Protocol với các máy tính khác hoặc các thiết bị mạng khác sửng dụng cùng giao thức IPX/SPX.

Các máy tính đang chạy NWlink cũng có thể đạt đƣợc sự cho phép sang các

trình ứng dụng đang chạy trên các thiết bị mạng sử dụng giao thức TPX/SPX.

- Kết nối một mạng Novell Netware: Các máy tính đang chạy Windows

server 2003 có thể sử dụng giao thức NWLink, Client Services for Netware, và Gateway (and Client) services for Netware để kết nối với một server trên nền Novell

Netware đang sử dụng IPX/SPX.

NWLink Protocol: Protocol NWLink for Netware cho phép các máy tính chạy

Windows Server 2003 đạt đƣợc sự truy cập sang các trình ứng dụng đang chạy trên Server trên nền Novell Netware.

Hình 1.67: Kết nối một mạng Novell Netware sử dụng IPX/SPX

Client Services for Netware: Client Services for Netware là dịch vụ cho phép

các máy tính client chạy Windows Server 2003 và NWLink kết nối với nguồn tài

nguyên mạng, chẳng hạn nhƣ in ấn và file trên một server trên nền Novell Netware.

Gateway Service: Gateway service, là một thành phần của gateway (and client) services for Netware, cho phép các máy tính đang chạy Windows Server 2003 kết nối

với một Folder đƣợc chia sẻ trên một server trên nền Novell Netware qua một server

trên nền Windows Server 2003 đang chạy Gateway (and Client) services for Netware.

Server trên nền 2003 kết nối tới Folder Server tên nền Novell Netware đang sử dụng

Gateway (and client) services for netware. Sau đó nó chia sẻ Folder Novell Netware

dƣới dạng một trong các phần chia sẻ của nó. Các client đang chạy windows Server

2003 kết nối đến Folder Novell Netware, đƣợc chia sẻ khi kết nối đến một phần chia

sẻ kết nối đến Windows Server 2003. Kết quả, các máy tính client không cần dùng

client services for Netware.

- Cài đặt NWLink: Phải cài đặt giao thức protocol NWLink để mở tính năng hoạt động tƣơng tác giữa các máy tính chạy Microsoft Windows Server 2003 và các thiết bị mạng đang chạy IPX/SPX. Thủ tục cài đặt NWLink tƣơng tự nhƣ cài đặt bất kỳ một protocol trong Windows Server 2003.

Hình 1.68: Cài đặt giao thức NWLink

Cài đặt NWLink, thực hiện các bƣớc sau:

(1) Nhấp phải My Network Places, và sau đó nhấp Properties (2) Trong cửa sổ Network and Dial-up Connection, hãy nhấp phải biểu tƣợng vốn trình bày kết nối vùng cục bộ muốn cấu hình, và sau đó nhấp Properties.

(3) Trong hộp thoại Local Area Connection Properties, nhấp Installing (4) Trong hộp thoại Select Network Component Type, nhấp Protocol, và nhấp

Add

(5) Trong hộp thoại Select Network Protocol, trong danh sách Network Protocol, nhấp NWLink IPX/SPX/NetBIOS Compatible Transport Protocol,

và nhấp vào OK.

(6) Trong hộp thoại Local Area Connection Properties, nhấp close. - Cấu hình NWLink: Theo mặc định, Windows Server 2003 tự động dò tìm

kiểu Frame và số mạng khi cài đặt NWLink. Nếu cần có thể cấu hình số mạng bằng

tay, chẳng hạn nếu chạy File và Print Services for Netware, cấu hình NWLink bằng

tay, phải ấn định 3 thành phần trên.

+ Số mạng

+ Kiểu Frame + Số mạng cục bộ

Gán một số mạng cục bộ: Một số mạng cục bộ giống với một server trên IPX/ internetwork và tƣơng tự với phần chính của một địa chỉ IP trong một cấu hình

TCP/IP. Số thập lục phân bao gồm tám chữ số hay số mạng ảo đƣợc cài đặt sẵn

00000000 theo mặc định. phải gán một số mạng duy nhất bằng tay cho bất kỳ trong

các tình huống sau đây:

Hình: 1.69: Cấu hình NWLink + File và Print Services for Netware đƣợc cài đặt và có nhiều kiểu Frame trên

một adapter duy nhất.

+ File và Print Services for Netware đƣợc cài đặt và NWLink đƣợc buộc với

nhiều adapter trong máy tính .

+ Một trình ứng dụng khi sử dụng Netware Services advertising Protocol (SAP)

SQL server và DNA server là các ứng dụng có thể sử dụng SAP.

+ Một số mạng cục bộ phải là số duy nhất trên IPX internetwork. Nếu thấy cần

thiết phải gán một số mạng bằng tay vì một lý do nào đó, hãy tham khảo ý kiến của

ngƣời quản lý phần gán địa chỉ IPX trong công ty, việc cấu hình không đúng thông tin

này sẻ gây ra sự cố về kết nối.

Cấu hình một kiểu Frame: Windows Server 2003 hỗ trợ tất cả các kiểu frame

vốn đƣợc liên kết với Protocol IPX/SPX. Một kiểu frame là định dạng trong đó IPX/ gởi các khối qua một mạng. Một máy tính chỉ nhận biết đƣợc kiểu Frame IPX mà nó đƣợc cấu hình cho tất cả các máy tính trên một mạng phải sử dụng cùng kiểu frame để trao đổi thông tin hay một IPX router phải tồn tại để chuyển đổi các kiểu Frame.

Để đảm bảo việc trao đổi thông tin thực đúng một máy tính chạy Windows Server 2003 và một server chạy Novell Netware. Kiểu Frame NWLink phải phù hợp với kiểu frame trên server Novell Netware.

Khi cài đặt NWLink, Windows Server 2003 tự động xác định kiểu Frame nào nên đƣợc sử dụng trên mạng và cài đặt kiểu frame NWLink theo đó. Nếu Windows

Server 2003 dò tìm nhiều kiểu frame, NWLink sử kiểu Frame 802.2 theo mặc định.

Windows 2003 có thể phải dò tìm hỗ trợ các kiểu Frame sau đây: Ethrnet II, Ethernet 802.3, 802.2 Sub Network Access Protocol (SNAP), và Attached Resource Computer

Network (ARCnet). Nếu kiểu Frame thứ hai đang sử dụng trên mạng, phải cấu hình

bằng tay tất cả các số mạng và các kiểu số Frame đƣợc yêu cầu.

Tiến trình phải sử dụng để cấu hình kiểu Frame có thể khác nhau: Trên một máy tính chạy Windows Server 2003, tại một dòng nhắc lệnh, hãy

chạy lệnh ipxroute config để hiển thị số mạng kiểu Frame và các thiết bị đang sử dụng,

nếu cần cấu hình số mạng trên một máy tính nhất định, hãy tham khảo ý kiến ngƣời

quản lý các phần gán địa chỉ IPX trong công ty.

Nếu một máy tính có nhiều adapter mạng đƣợc buộc với NWLink, và nếu muốn

mỗi adapter sử dụng một kiểu Frame khác nhau, hãy cấu hình mỗi adapter mạng để sử

dụng tuỳ chọn Manual Frame Type Detection. Cũng phải chỉ định một kiểu Frame, số

mạng và số mạng cục bộ cho máy tính.

- Cài đặt Gateway (and Client ) Services for Netware: Cài đặt và cấu hình

Gateway (and client) services for Netware để hoạt động các máy tính đang chạy

windows Server 2003 để nối kết trực tiếp sang File và các nguồn tài nguyên in ấn trên

nền Netware.

Cài đặt và cấu hình Gateway (and Client ) Services for Netware: Để cài đặt và cấu hình Gateway (and client) service for Netware, hãy thực hiện các bƣớc sau đây.

Hình 1.70 Hộp thoại Cài đặt và cấu hình Gateway (and Client) Services for Netware

(1) Chọn cài đặt một dịch vụ mới. Để cài đặt một dịch vụ mới, hãy thực hiện

các bƣớc sau:

+ Nhấp đúp Network and Dial up Connections trong Control Panel, nhấp

phải kết nối vào mạng cục bộ, và sau đó nhấp Properties.

+ Trên nhãn General, hãy nhấp Install.

(2) Trong hộp thoại Select Network Component Type, hãy nhấp Client, và sau

đó nhấp Add.

(3) Trong hộp thoại Select Network Client, nhấp Gateway (and Client) services

for Netware, và sau đó nhấp OK.

(4) Trong hộp thoại Select Netware Logon, hãy nhấp Preferred Server và trong danh sách Select Preferred. Hãy chọn một server từ danh sách server trên nền Netware , nhấp OK, và trong hộp thoại Local Network, nhấp Yes để

khởi động lại máy tính.

(5) Bằng cách sử dụng lệnh net view/ network: nw, có thể kiểm tra xem gateway (and client) services for Netware có đƣợc khởi tạo phù hợp hay không. Sẽ nhìn thấy danh sách các Server trên nền Novell Netware có sẵn.

Xoá một kết nối chuyên biệt: Khi cài đặt Gateway (and Client) Services for

Netware, thì nó đƣợc cài đặt cho tất cả các kết nối. Nếu cần có thể ngƣng hoạt động

Gateway (and Client) services for Netware đối với một số kết nối đặc biệt bằng cách

thực hiện các bƣớc sau:

+ Mở một hộp thoại Properties dành cho kết nối đó.

+ Xoá một hộp kiểm Gateway (and Client) Services for Netware.

1.4. Active directory trong Windows server

1.4.1. Các khái niệm liên quan 1) Dịch vụ thƣ mục (Directory Service)

Directory (nghĩa trong thuật ngữ Directory Service) là nơi lƣu thông tin về các

đối tƣợng có liên quan với nhau theo một cách nào đó. Ví dụ: sổ điện thoại cũng là

một Directory dùng lƣu tên, địa chỉ, nghề nghiệp, số điện thoại của nhiều ngƣời.

Trong hệ thống phân tán, mạng diện rộng, đặc biệt là Internet, có vô số các đối

tƣợng tồn tại trên đó. Ngƣời sử dụng cần biết để truy cập, khai thác. Ngƣời quản trị

cần biết để bảo mật, xử lý sự cố…Nói tóm lại, các đối tƣợng phải có khả năng đƣợc

định vị (locatable) và sử dụng (usable). Directory Service lƣu trữ tất cả các thông tin

về từng đối tƣợng, cho phép có thể tìm kiếm và khai thác.

Directory là nơi lưu trữ thông tin. Directory Service ngoài khả năng lưu thông

tin còn có thể cho phép tìm và sử dụng đối tượng.

Directory Service giúp ngƣời sử dụng (bao gồm cả quản trị mạng) không cần nhớ chính xác tên, địa chỉ của đối tƣợng. Họ chỉ cần nhớ “mang máng” một số thuộc tính và Directory Service sẽ tự động tìm giúp. Ví dụ: ngƣời sử dụng có thể đƣa ra yêu

cầu “tìm các máy in màu trên tầng 3”

Hình 1.71: Mô hình mạng sử dịch vụ thƣ mục (Directory Service)

Khi mạng trở nên lớn lên và phức tạp, trên mạng số đối tƣợng cần quản lý tăng

thì nhu cầu sử dụng Directory Service là cần thiết.

2) Dịch vụ thƣ mục trên Windows Server (Active Directory Service)

Directory Service trong Windows Server 2003 là Active Directory. Nhƣ vậy

Actice Directory bao gồm Directory - lƣu thông tin, và Service - đƣa thông tin đó đến

ngƣời sử dụng. Các tài nguyên lƣu trong Active Directory (dữ liệu, máy in, group…)

gọi là các đối tƣợng (Object).

Chức năng của Active Directory - Lƣu giữ một danh sách tập trung các tên tài khoản ngƣời dùng, mật khẩu

tƣơng ứng và các tài khoản máy tính.

- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc

Server quản lý đăng nhập (logon Server), Server này còn gọi là Domain Controller

(máy điều khiển vùng).

- Duy trì một bảng hƣớng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính

trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong

vùng.

- Cho phép chúng ta tạo ra những tài khoản ngƣời dùng với những mức độ

quyền (rights) khác nhau nhƣ: toàn quyền trên hệ thống mạng, chỉ có quyền backup dữ

liệu hay shutdown Server từ xa…

- Cho phép chúng ta chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phận nhỏ.

Các thành phần Active Directory Đầu tiên, phải biết đƣợc những thành phần cấu tạo nên dịch vụ danh bạ là gì?

có thể so sánh dịch vụ danh bạ với một quyển sổ lƣu số điện thoại. Cả hai đều chứa danh sách của nhiều đối tƣợng khác nhau cũng nhƣ các thông tin và thuộc tính liên quan đến các đối tƣợng đó.

Object (đối tượng): Trong hệ thống cơ sở dữ liệu, đối tƣợng bao gồm các máy

in, ngƣời dùng mạng, các server, các máy trạm, các thƣ mục dùng chung, dịch vụ mạng, … Đối tƣợng chính là thành tố căn bản nhất của dịch vụ danh bạ.

Attribute (thuộc tính): Một thuộc tính mô tả một đối tƣợng. Ví dụ, mật khẩu

và tên là thuộc tính của đối tƣợng ngƣời dùng mạng. Các đối tƣợng khác nhau có danh

sách thuộc tính khác nhau, tuy nhiên, các đối tƣợng khác nhau cũng có thể có một số thuộc tính giống nhau. Lấy ví dụ nhƣ một máy in và một máy trạm cả hai đều có một

thuộc tính là địa chỉ IP.

Schema (cấu trúc tổ chức): Một schema định nghĩa danh sách các thuộc tính

dùng để mô tả một loại đối tƣợng nào đó. Ví dụ, cho rằng tất cả các đối tƣợng máy in đều đƣợc định nghĩa bằng các thuộc tính tên, loại PDL và tốc độ. Danh sách các đối

tƣợng này hình thành nên schema cho lớp đối tƣợng “máy in”. Schema có đặc tính là

tuỳ biến đƣợc, nghĩa là các thuộc tính dùng để định nghĩa một lớp đối tƣợng có thể sửa

đổi đƣợc. Nói tóm lại Schema có thể xem là một danh bạ của cái danh bạ Active

Directory.

Container (vật chứa): Vật chứa tƣơng tự với khái niệm thƣ mục trong

Windows. Một thƣ mục có thể chứa các tập tin và các thƣ mục khác. Trong Active

Directory, một vật chứa có thể chứa các đối tƣợng và các vật chứa khác. Vật chứa

cũng có các thuộc tính nhƣ đối tƣợng mặc dù vật chứa không thể hiện một thực thể thật sự nào đó nhƣ đối tƣợng. Có ba loại vật chứa là:

- Domain (miền)

- Site: một site là một vị trí. Site đƣợc dùng để phân biệt giữa các vị trí cục bộ

và các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một

chi nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành

dinh bằng Dialup Networking. Nhƣ vậy hệ thống mạng này có ba site.

- OU (Organizational Unit): là một loại vật chứa có thể đƣa vào đó ngƣời dùng,

nhóm, máy tính và những OU khác. Một OU không thể chứa các đối tƣợng nằm trong

Domain khác. Nhờ việc một OU có thể chứa các OU khác, có thể xây dựng một mô hình thứ bậc của các vật chứa để mô hình hoá cấu trúc của một tổ chức bên trong một Domain. Nên sử dụng OU để giảm thiểu số lƣợng Domain cần phải thiết lập trên hệ thống.

Global Catalog: Dịch vụ Global Catalog dùng để xác định vị trí của một đối tƣợng mà ngƣời dùng đƣợc cấp quyền truy cập. Việc tìm kiếm đƣợc thực hiện xa hơn

những gì đã có trong Windows NT và không chỉ có thể định vị đƣợc đối tƣợng bằng tên mà có thể bằng cả những thuộc tính của đối tƣợng.

Giả sử phải in một tài liệu dày 50 trang thành 1000 bản, chắc chắn sẽ không

dùng một máy in HP Laserjet 4L. Sẽ phải tìm một máy in chuyên dụng, in với tốc độ

100ppm và có khả năng đóng tài liệu thành quyển. Nhờ Global Catalog, tìm kiếm trên

mạng một máy in với các thuộc tính nhƣ vậy và tìm thấy đƣợc một máy Xerox Docutech 6135. Có thể cài đặt driver cho máy in đó và gửi print job đến máy in.

Nhƣng nếu ở Portland và máy in thì ở Seattle thì sao? Global Catalog sẽ cung cấp

thông tin này, có thể gửi email cho chủ nhân của máy in, nhờ họ in giùm.

Một ví dụ khác, giả sử nhận đƣợc một thƣ thoại từ một ngƣời tên Betty Doe ở bộ phận kế toán. Đoạn thƣ thoại của cô ta bị cắt xén và không thể biết đƣợc số điện

thoại của cô ta. Có thể dùng Global Catalog để tìm thông tin về cô ta nhờ tên, và nhờ

đó có đƣợc số điện thoại của cô ta.

Khi một đối tƣợng đƣợc tạo mới trong Active Directory, đối tƣợng đƣợc gán một con số phân biệt gọi là GUID (Global Unique Identifier). GUID của một đối

tƣợng luôn luôn cố định cho dù có di chuyển đối tƣợng đi đến khu vực khác.

Hình 1.72: Kiến trúc của Active Directory

3) Miền (Domain)

Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active Directory. Nó là

phƣơng tiện để qui định một tập hợp những ngƣời dùng, máy tính, tài nguyên chia sẻ

có những qui tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các Server dễ dàng hơn. Domain đáp ứng ba chức năng chính sau:

- Đóng vai trò nhƣ một khu vực quản trị (administrative boundary) các đối tƣợng, là một tập hợp các định nghĩa quản trị cho các đối tƣợng chia sẻ nhƣ: có chung

một cơ sở dữ liệu thƣ mục, các chính sách bảo mật, các quan hệ ủy quyền với các

Domain khác.

Hình .173: Mô hình miền

Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ.

Hình 1.74: Mô hình bảo mật trong miền

Cung cấp các Server dự phòng làm chức năng điều khiển vùng (Domain

Controller), đồng thời đảm bảo các thông tin trên các Server này đƣợc đƣợc đồng bộ

với nhau.

Hình 1.75: Mô hình đồng bộ miền

4) Organization Unit (OU)

Organizational Unit hay OU là đơn vị nhỏ nhất trong hệ thống AD, nó đƣợc xem là một vật chứa các đối tƣợng (Object) đƣợc dùng để sắp xếp các đối tƣợng khác nhau phục vụ cho mục đích quản trị của. OU cũng đƣợc thiết lập dựa trên subnet IP và đƣợc định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau”. Việc sử dụng OU có hai công dụng chính sau:

- Trao quyền kiếm soát một tập hợp các tài khoản ngƣời dùng, máy tính hay các

thiết bị mạng cho một nhóm ngƣời hay một phụ tá quản trị viên nào đó (sub- administrator), từ đó giảm bớt công tác quản trị cho ngƣời quản trị toàn bộ hệ thống.

- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của ngƣời dùng

trong OU thông qua việc sử dụng các đối tƣợng chính sách nhóm (GPO).

Hình 1.76: Mô hình OU (Organizational Unit)

5) Cây (Tree)

Domain Tree là cấu trúc bao gồm nhiều Domain đƣợc sắp xếp có cấp bậc theo

cấu trúc hình cây. Domain tạo ra đầu tiên đƣợc gọi là Domain root và nằm ở gốc của

cây thƣ mục. Tất cả các Domain tạo ra sau sẽ nằm bên dƣới Domain root và đƣợc gọi là Domain con (Child Domain). Tên của các Domain con phải khác biệt nhau. Khi một

Domain root và ít nhất một Domain con đƣợc tạo ra thì hình thành một cây Domain.

Khái niệm này sẽ thƣờng nghe thấy khi làm việc với một dịch vụ thƣ mục.

Hình 1.77: Mô hình Domain tree

6) Rừng (Forest)

Forest (rừng) đƣợc xây dựng trên một hoặc nhiều Domain Tree, nói cách khác

Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau.

Hình 1.78: Mô hình Forests

Trong ví dụ trên, công ty mcmcse.com kết hợp với techtutorials.com và

xyzabc.com và hình thành rừng từ gốc mcmcse.com.

7) Site

Site: một site là một vị trí. Site đƣợc dùng để phân biệt giữa các vị trí cục bộ và

các vị trí xa xôi. Ví dụ, công ty XYZ có tổng hành dinh đặt ở San Fransisco, một chi

nhánh đặt ở Denver và một văn phòng đại diện đặt ở Portland kết nối về tổng hành

dinh bằng Dialup Networking. Nhƣ vậy hệ thống mạng này có ba site.

8) Điều khiển vùng (Domain Controller)

Đây là máy tính lƣu cơ sở dữ liệu của Domain. Trong một Domain có thể có

nhiều domain controller, các Domain Controller này đều chứa một bản cơ sở dữ liệu

Active Directory và có cơ chế đồng bộ hoá dữ liệu khi xuất hiện sự thay đổi. Sử dụng

nhiều Domain Controller nhằm tránh các tình huống có thể xảy ra sự cố, lúc đó, các Domain Controller sẽ thay thế nhau.

9) Các khái niệm khác

Replication: Do ngƣời dùng có thể truy xuất từ bất kỳ máy nào trong Domain

và tại mọi thời điểm nên các Domain Controller cần có cơ chế để đồng bộ hoá dữ liệu. Các thông tin bao gồm: Schema, các thiết lập, các dữ liệu liên quan đến Domain. Tuỳ

theo đó là Domain Controller hay global catalog mà cách nhân bản dữ liệu sẽ khác

nhau

Trust Relationship: Quan hệ tin cậy đƣợc thiết lập dựa trên hai Domain, theo

đó Domain tin cậy (trusting domain) cho phép user từ Domain đƣợc tin cậy (trusted

domain) logon và dùng tài nguyên của mình. Active Directory có hai loại quan hệ tin

cậy:

Implicit two-way transitive trust: là quan hệ giữa các Domain cha con trong một

cây và giữa các top-domain của các cây trong một rừng. Do đó, trong một cây, các

Domain đều có quan hệ tin cậy với nhau và quan hệ đó là quan hệ 2 chiều.

Expicit one-way nontransitive trust: là quan hệ giữa các Domain không thuộc

cùng một cây. Loại quan hệ này không tự động tạo mà phải trực tiếp định nghĩa.

10) DNS và các quy ƣớc đặt tên

Hệ thống Domain trên Active Directory sử dụng cách đặt tên tƣơng tự nhƣ

DNS. Mọi đối tƣợng trên Active Directory đều có tên. Tuỳ mục đích sử dụng, tên đó thuộc vào một trong ba loại: tên duy nhất (distinguished name), duy nhất tƣơng đối

(relative distinguished name), duy nhất tuyệt đối (global unique identifier name) và

tên thông dụng (principal name).

Distinguished Name (DN): là tên để định danh duy nhất đối tƣợng trong

Active Directory, cho phép client có thể tìm kiếm đối tƣợng. DN bao gồm tên Domain

chứa đối tƣợng cùng đƣờng dẫn từ gốc đến đối tƣợng. DN xác định duy nhất đối tƣợng

trên một Active Directory Database.

Ví dụ sau là DN xác định firstname, lastname của user trong microsoft.com

Domain:

/DC=COM/DC=microsoft/OU=dev/CN=Users/CN=Bill Gate

Thuộc tính Miêu tả

DC Tên Domain

OU Tên OU

CN Tên đại diện nhóm đối tƣợng

Relative distinguished name (RDN): Nếu không biết DN, có thể dùng RDN

để tìm kiếm đối tƣợng. Đó là một thuộc tính của DN. Có thể tạo nhiều RDN trùng

nhau cho các đối tƣợng. Tuy nhiên, không thể có 2 đối tƣợng cùng RDN thuộc cùng

một OU. RDN phải duy nhất trong OU. Minh hoạ bằng hình dƣới đây:

Hình 1.79: Đặt tên các đối tƣợng trên Active Directory

Global Unique Identifier (GUI): là một số 128 bit đảm bảo mọi đối tƣợng duy nhất trên toàn cục. GUI gán cho đối tƣợng khi đƣợc tạo và không bao giờ thay đổi kể

cả đối tƣợng bị đổi tên hay di chuyển. Có thể dùng GUI để tìm kiếm đối tƣợng mà

không cần quan tâm đến DN (tuy nhiên khó mà nhớ đƣợc GUI). GUI có giá trị trong

mọi Domain, hoàn toàn yên tâm khi di chuyển các đối tƣợng giữa các Domain.

GUI được sinh bằng một thuật toán tương đối phức tạp. Nếu máy có Card

mạng, nó sẽ dựa vào MAC để sinh GUI. Nếu máy không có Card mạng, nó sẽ giả lập

một MAC để sinh. Nói chung, xác xuất trùng GUI là hầu như không có. Về lý thuyết,

GUI duy nhất trên phạm vi Internet.

Principal Name: còn gọi là User Principal Name (UPN) hình thành từ tên user

account với domain name. Ví dụ: BillGate@Microsoft.Com.

1.4.2. Cài đặt Active directory

a) Cài đặt Active directory

Chọn menu Start \ Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút

OK. Khi đó hộp thoại Active Directory Installation Wizard xuất hiện. nhấn Next để

tiếp tục.

Hình 1.80: Hộp thoại Active Directory Installation Wizard

Chƣơng trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3 trở về trƣớc sẽ bị loại ra khỏi miền Active Directory dựa trên Windows Server 2003, chọn Next để tiếp tục.

Hình 1.81: Hộp thoại Operating System Compatibility

Trong hộp thoại Domain Controller Type, chọn mục Domain Controller for a

New Domain và nhấn chọn Next.

Hình 1.82: Chọn kiểu Domain Controller

Đến đây chƣơng trình cho phép chọn một trong ba lựa chọn sau: chọn Domain

in new forest nếu muốn tạo domain đầu tiên trong một rừng mới, chọn Child domain

in an existing domain tree nếu muốn tạo ra một domain con dựa trên một cây domain

có sẵn, chọn Domain tree in an existing forest nếu muốn tạo ra một cây domain mới

trong một rừng đã có sẵn.

Hình 1.83: Lựa chọn cách tạo miền

Hộp thoại New Domain Name yêu cầu tên DNS đầy đủ của domain cần xây

dựng

Hình 1.84: Nhập tên đầy đủ cho miền

Hộp thoại NetBIOS Domain Name, yêu cầu cho biết tên domain theo chuẩn

NetBIOS để tƣơng thích với các máy Windows NT. Chọn Next để tiếp tục.

Hình 1.85: Nhập tên NETBIOS

Hộp thoại Database and Log Locations cho phép chỉ định vị trí lƣu trữ database

Active Directory và các tập tin log. Chọn Next để tiếp tục.

Hình 1.86: Chỉ định vị trí lƣu trữ database Active Directory và tập tin log Hộp thoại Shared System Volume cho phép chỉ định ví trí của thƣ mục

SYSVOL. Thƣ mục này phải nằm trên một NTFS5 Volume. Tất cả dữ liệu đặt trong

thƣ mục Sysvol này sẽ đƣợc tự động sao chép sang các Domain Controller khác trong

miền sau đó chọn Next tiếp tục.

Hình 1.87: Chỉ định ví trí của thƣ mục SYSVOL

DNS là dịch vụ phân giải tên kết hợp với Active Directory để phân giải tên các

máy tính trong miền. Do đó để hệ thống Active Directory hoạt động đƣợc thì trong

miền phải có ít nhất một DNS Server phân giải miền cần thiết lập, cài đặt và cấu hình

dịch vụ DNS tự động

Hình 1.88: Lựa chọn cài đặt và cấu hình DNS tự động

Trong hộp thoại Permissions chọn giá trị Permission Compatible with pre- Windows 2000 servers khi hệ thống có các Server phiên bản trƣớc Windows 2000, hoặc chọn Permissions compatible only with Windows 2000 servers or Windows Server 2003 khi hệ thống chỉ toàn các Server Windows 2000 và Windows Server

2003.

Hình 1.89: Lựa chọn các máy tính cài hệ điều hành tham gia mạng

Trong hộp thoại Directory Services Restore Mode Administrator Password chỉ

định mật khẩu dùng trong trƣờng hợp Server phải khởi động vào chế độ Directory

Services Restore Mode. Nhấn chọn Next để tiếp tục.

Hình 1.90: Nhập mật khẩu Restore Mode Administrator

Hộp thoại Summary xuất hiện, trình bày tất cả các thông tin đã chọn. Nếu tất cả

đều chính xác, nhấn Next để bắt đầu thực hiện quá trình cài đặt, nếu có thông tin

không chính xác thì chọn Back để quay lại các bƣớc trƣớc đó.

Hình 1.91: Thông tin cài đặt Active Directory đã lựa chọn

Hộp thoại Configuring Active Directory cho biết quá trình cài đặt đang thực

hiện những gì. Chƣơng trình cài đặt cũng yêu cầu cung cấp nguồn cài đặt Windows Server 2003 để tiến hành sao chép các tập tin nếu tìm không thấy.

Hình 1.92: Quá trình cài đặt AD

Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory

Installation Wizard xuất hiện nhấn chọn Finish để kết thúc.

Hình 1.93: Hộp thoại thông báo cài đặt hoàn thành

Cuối cùng phải khởi động lại máy thì các thông tin cài đặt mới bắt đầu có hiệu

lực. chọn nút Restart Now để khởi động lại. Quá trình nâng cấp kết thúc.

b) Gia nhập máy trạm vào Domain

- Tạo một mối quan hệ tin cậy (Trust relationship) giữa máy trạm và domain trong

vùng.

- Việc logon vào mạng trên máy trạm này sẽ do Domain Controler đảm nhiệm.

- Việc gia nhập miền phải có sự đồng ý của Admin cấp miền và Admin cục bộ trên

máy trạm đó.

- Thƣờng thì ta dùng luôn tài khoản Administrator để gia nhập vào domain.

Các bƣớc gia nhập máy trạm vào miền

- Đăng nhập vào máy cục bộ với tài khoản quản trị (có thể dùng trực tiếp tài khoản

Administrator).

- Right click trên biểu tƣợng My Computer  Properties. Hộp thoại nhập liệu xuất

hiện, nhập tên miền của mạng cần gia nhập vào mục Member of Domain

- Máy trạm dựa vào tên miền ta khai báo tìm đến Domain Controler gần nhất để xin

gia nhập mạng.

- Server kết nối sẽ gởi đến yêu cầu ta phải xác thực bằng một tài khoản ngƣời dùng

cấp miền có quyền quản trị

- Sau khi xác thực thành công và hệ thống cho phép máy trạm này gia nhập vào

miền, hệ thống sẽ xuất hiện thông báo thành công và yêu cầu reboot máy lại để đăng nhập vào mạng

- Khi này hộp thoại logon xuất hiện thêm mục logon to cho ta 2 lựa chọn

 NETCLASS : logon vào miền.  This computer : logon vào máy cục bộ

c) Đồng bộ hoá AD

Giả thiết ta đã cài đặt và thiết lập một domain với tên: vnexperts.net. Một máy

chủ Domain Controller chứa toàn bộ dữ liệu DNS, Active Directory của Domain

Vnexperts.net. Trong một tình huống hệ thống có rất nhiều máy tính join vào domain

vnexperts.net, khi máy chủ Domain Controller bị gián đoạn điều đó có nghĩa toàn bộ

các dịch vụ về tên miền, về xác thực ngƣời dùng, và nhiều dịch vụ khác sẽ bị gián

đoạn. Phần dƣới đây sẽ trình bày cách phòng tránh sự cố xảy ra và đảm bảo hệ thống

luôn luôn hoạt động.

- Replication dữ liệu trong Active Directory: Active Directory trên máy chủ Windows Server 2003 có cơ chế Replications giữa các máy chủ Domain Controller

với nhau. Cho phép nhiều máy chủ Domain Controller cùng quản lý chung một dữ liệu

Active Directory, với dữ liệu và thiết lập giống nhau. Đồng thời cho phép nhiều máy

chủ Domain Controllers hoạt động với quyền ngang hàng nhau trong Active Directory.

Các máy chủ hoàn toàn có khả năng thêm dữ liệu vào trong Active Directory

(nhƣ việc tạo User mới, hay thay đổi thông tin trong Active Directory). Khi thay đổi

dữ liệu Active Directory trên một máy chủ Domain Controller thì chúng sẽ tự động

đồng bộ hoá với toàn bộ máy chủ Domain Controller trong hệ thống mạng.

Nhƣ vậy nếu một hệ thống Domain nếu có một máy chủ Domain Controller chẳng may máy chủ này bị gián đoạn trong một thời gian nhất định thì cả hệ thống sẽ bị tê liệt. Khắc phục vấn đề này cài đặt thêm một hay nhiều máy chủ Domain Controller nữa cùng quản lý dữ liệu Active Directory và DNS của hệ thống. Khi một trong các máy chủ Domain Controller trong hệ thống phải bảo trì hay gián đoạn một thời gian thì hệ thống vẫn hoạt động bình thƣờng.

Trong phần này sẽ giới thiệu cách tạo và cài đặt thêm một máy chủ Domain Controller vào Domain có sẵn là vnexperts.net với dữ liệu DNS và Active Directory

giống Domain Controller đầu tiên và hoạt động với chức năng tƣơng đƣơng nhau trong

hệ thống.

- Triển khai Additions Domain Controller mới vào hệ thống có sẵn: Để máy

chủ Domain Controller mới hoạt động với chức năng tƣơng đƣơng với máy chủ Domain Controller đầu tiên phải đáp ứng:

Cung cấp giải pháp tên miền DNS cho các máy Client

Cung cấp xác thực và các dữ liệu liên quan khác tới dữ liệu Active Directory

DNS trên máy chủ Domain Controller mới: Máy chủ đầu tiên chứa toàn bộ dữ liệu DNS và các thiết lập khác trên DNS. Để máy chủ thứ hai này cũng có khả năng

đáp ứng các yêu cầu DNS của Client chúng ta cần phải tạo một bản sao bao gồm dữ

liệu DNS giống hệt máy chủ đầu tiên.

+ Trên Windows Server 2003 dịch vụ DNS cho phép tạo Secondary Zone nhƣ

một bản sao dữ liệu DNS từ một Primary Zone đã đƣợc tạo sẵn.

+ Domain đã đƣợc cài đặt với một máy chủ DNS và Domain Controller là:

dc1.vnexperts.net.

+ Trên dữ liệu DNS của dc1.vnexperts.net có một Primary Zone tên vnexperts.net

chứa toàn bộ các record về tên của domain vnexperts.net.

+ Yêu cầu lúc này là tạo ra một máy chủ với dữ liệu DNS giống hệt

dc1.vnexperts.net.

+ Ở đây: dc1.vnexperts.net – IP: 192.168.100.11

Cài đặt dc2.vnexperts.net – IP: 192.168.100.12: Cấu hình trên máy chủ

dc1.vnexperts.net cho phép máy khác tạo Secondary Zone vnexperts từ máy chủ này.

+ Start/ All Programs/ Administrative tools/ DNS + Trong cửa sổ DNS chọn forward lookup zone trong đó có Zone vnexperts.net.

Chuột phải vào tab Zone Tranfers.

Hình 1.94: Cho phép máy khác tạo Secondary Zone từ máy chủ

+ Chọn Allow Zone Transfers có 3 options cho lựa chọn:

To any server: cho tất cả các máy tính đều lấy đƣợc dữ liệu DNS

Only to servers listed on the Name Servers tab: chỉ cho phép máy chủ nào

trong NS record (mặc định khi nâng cấp lên Domain Controller) Only to the flowing servers: chỉ cho phép các máy chủ dƣới đây

+ Ta chọn To any server

Tạo Secondary Zone từ máy chủ khác chuẩn bị cài đặt làm Domain

Controller

+ Cài đặt dịch vụ DNS + Vào giao diện quản trị DNS chuột phải vào Forward Lookup Zone chọn New

Zone nhấn Next hệ thống sẽ bắt lựa chọn Type Zone chọn Secondary Zone

Hình 1.95: Tạo Forward Lookup Zone

+ Nhấn Next tiếp tục quá trình thiết lập + Hệ thống sẽ yêu cầu tên Primary Zone mà ta cần tạo Secondary Zone. Ở đây

chọn vnexperts.net vì đã có Zone này trên máy dc1.vnexperts.net – 192.168.100.11.

Hình 1.96: Nhập tên Primary Zone

+ Hệ thống sẽ yêu cầu gõ địa chỉ của máy chủ chứa Primary Zone của là 192.168.100.11 điạ chỉ của máy chủ

Vnexperts.net. Ta gõ địa chỉ IP dc1.vnexperts.net

Hình 1.97: Nhập địa chỉ IP của máy chứa Primary Zone

+ Nhấn Next để hoàn thành quá trình tạo Secondary Zone vnexperts.net trên máy

chủ dc2.

+ Để lấy toàn bộ dữ liệu DNS từ máy chủ dc1 về máy chủ dc2 ta chuột phải vào

Zone vnexperts.net mới đƣợc tạo ra trên máy chủ dc2 chọn "Transfers from master".

+ Vào kiểm tra và kết quả là ta đã đƣợc một bản copy của dữ liệu DNS trên máy chủ mới, điều này có nghĩa máy chủ Secondary này hoàn toàn có khả năng giải quyết

vấn đề về tên miền trong hệ thống.

Hình 1.98: Dữ liệu DSN trên máy Secondary zone

- Cài đặt Additions Domain Controller vào một Domain đã có sẵn Việc cài đặt Addtions một Domain Controller mới vào một domain đã có sẵn

- Đặt địa chỉ IP tĩnh - Đặt địa chỉ DNS là địa chỉ DNS của máy chủ dc1.vnexperts.net 192.168.100.11

và địa chỉ IP của chính nó là 192.168.100.12

Hình 1.99: Nhập địa chỉ IP và DNS cho máy Additions Domain Controller

Khi đã hoàn tất quá trình cài đặt DNS và tạo Secondary Zone trên máy chủ mới,

cần thiết phải đặt địa chỉ của DNS nhƣ trên bởi khi DC1 bị hỏng thì hệ thống vẫn hoạt

động bình thƣờng. Tiếp tục quá trình cài đặt vào Run gõ dcpromo

Hình 1.100: Hộp thoại Acive Directory Installation Wizard Nhấn Next để tiếp tục quá trình cài đặt Addtions Domain Controller

Hình 1.101: Hộp thoại Operating System Compatibility

Nhấn Next để tiếp tục quá trình cài đặt: đến bƣớc chọn hai Options: chọn

Additional domain controller for an existing domain.

Hình 1.102: Chọn kiểu Domain Controller

Nhấn Next để tiếp tục quá trình, hệ thống sẽ yêu cầu gõ Username, Password và

domain mà ta cần add vào

Hình 1.103: Nhập tài khoản ngƣời dùng và miền

Điền đủ các dữ kiện từ domain, username password.

Nhấn Next hệ thống tự động tìm kiếm Domain đã chọn, nếu ta đặt địa chỉ DNS

cho card mạng sai đến bƣớc này sẽ không tìm thấy domain mà cần add vào, khi đó chỉ

cần kiểm tra lại DNS khi đặt địa chỉ IP. Nhấn Next để tiếp tục

Hình 1.104: Nhập tên miền muốn Add

Gõ lại tên miền mà ta muốn add vào: ở đây gõ vnexperts.net

Nhấn Next tiếp tục quá trình cài đặt. Hệ thống yêu cầu nơi chứa folder NTDS

để cho quá trình Replications trong Domain.

Hình 1.105: Chỉ định vị trí lƣu trữ database Active Directory và tập tin log

Ta để mặc định nhấn Next. Hệ thống yêu cầu vị trí folder SYSVOL

Hình 1.106: Chỉ định ví trí của thƣ mục SYSVOL

Để mặc định và nhấn Next. Hệ thống yêu cầu gõ password dành cho quá trình

Restore Mode.

Hình 1.107: Nhập mật khẩu Restore Mode Administrator

Nhấn Next để tiếp tục quá trình cài đặt: hệ thống hiển thị toàn bộ thong tin về

quá trình thiết lập

Hình 1.108: Thông tin đã lựa chọn

Nhấn Next hệ thống sẽ bắt đầu cài đặt cho dc2 này

Hình 1.109: Quá trình cài đặt Additions Domain Controller

Đợi vài phút và khởi động lại máy sau đó vào Active Directory Users and

Computers để xem và ta thấy đã có hai máy chủ Domain Controller

Hình 1.110: Hộp thoại Active Directory Users and Computers

d) Bảo trì AD

Backup và Restore là một trong những công việc quan trọng trong việc đảm bảo

hệ thống hoạt động một cách hiệu quả, và tránh đƣợc những sự cố đáng tiếc xảy ra.

Trong Windows Server 2003 có sử dụng một công cụ backup dữ liệu đó là: ntbackup.

NTBACKUP trong Windows Server 2003 sử dụng công nghệ backup là

Shadow Copy để backup cả những dữ liệu đang hoạt động nhƣ SQL, hay dịch vụ

Active Directory, các file đang chạy hay các folder bị cấm truy cập…

Nhƣng trong Windows có một quy định là không cho can thiệp vào các file hay

dữ liệu đang đang có một chƣơng trình khác đang hoạt động hay đang sử dụng. Và hai điều này có nghĩa là có thể backup đƣợc Active Directory theo một cách nào đó,

nhƣng không thể Restore lại đƣợc bởi Service này hoạt động từ lúc hệ thống bắt đầu

khởi động.

Khi backup System State sẽ chứa toàn bộ thông tin của Active Directory.

Backup và Restore Active Directory trong máy chủ Domain Controllers

Giả sử đã có một Domain với tên miền là: vnexperts.net có máy chủ Domain

Controller cài dịch vụ Active Directory là dc1.vnexperts.net.

Log on vào máy chủ Domain Controller bằng user administrator. Vào Start \ All

Programs / Administrative tools / Active Directory Users and Computers.

Hình 1.111: Tạo OU Chuột phải vào Active Directory domain vnexperts.net chọn New /

Organizational Unit (OU) với tên MCSA. Vào trong OU MCSA kick chuột phải chọn

New User Account - để tạo một tài khoản User mới. Ở đây tạo User tên Hoang Tuan

Dat, logon name là tocbatdat

Hình 1.112: Tạo tài khoản ngƣời dùng

Nhấn Next hệ thống yêu cầu gõ Password của user mới tạo ra. Chú ý sau khi cài đặt Active Directory sẽ có một Default Domain Security Policy yêu cầu bất kỳ một user mới tạo ra đều phải có password nhỏ nhất là 7 ký tự và phải phức tạp. Nếu muốn chỉnh lại để tạo ra User một cách đơn giản hơn phải chỉnh lại Default Domain Security Policy này và Local Policy của máy chủ Domain Controllers.

Chỉnh Default Domain Security Policy: Vào Start\ All Programs \Administrative tools\ Domain Security Policy. Trong cửa sổ chỉnh Policy chọn Account Policies \ Password Policies, chỉnh hai thông số là Minimum Password Lengh, và Password must meet complexity Requirements nhấp đúp chuột trái sẽ xuất

hiện nhƣ hình dƣới bỏ dấu Check Box – Define this policy setting – thực hiện với cả

hai thiết lập.

Hình 1.113: Hộp thoại Default Domain Security Policy

Vào Run gõ Gpupdate /force để apply sự thay đổi policy trong domain sau đó

phải chỉnh cả trong Local Policy của máy chủ Domain Controller nữa thì mới tạo đƣợc

User ở dạng Password là chống

Vào Run gõ gpedit.msc để chỉnh Local Policy cho máy chủ Domain

Controllers. Tƣơng tự chỉnh các thông số trong Password Policy. Lƣu ý nếu chƣa bỏ

dấu check box trong Domain Policy thì vào Local Policy sẽ không chỉnh đƣợc các

thông số này.

Chỉnh Minimum Password Lengh về 0, và Disable Password must meet

complexity requirements

Hình 1.114: Hộp thoại Group Policy Object Edit Vào Run gõ Gpupdate /force là OK giờ có thể tạo user với password trắng

Vào Run gõ ntbackup hệ thống sẽ hiện cửa sổ sau đây

Hình 1.115: Hộp thoại Backup or Restore Wizard

Chọn Advanced Mode sẽ xuất hiện cửa sổ Backup Utility và chọn Tab Backup

sẽ đƣợc cửa sổ nhƣ hình dƣới đây.

Muốn backup Active Directory cần phải Backup System State, khi backup

System State sẽ bao gồm rất nhiều thông tin: Active Directory, Boot Files, Registry,

SYSVOL… Sau khi chọn System State, cần phải thiết lập nơi chứa file Backup, ở đây

chọn là lƣu tại ổ C: và tên file là Backup.bkf nhấn Start Backup để bắt đầu Backup dữ liệu.

Hình 1.116: Hộp thoại chọn backup AD

Khi nhấn Start Backup hệ thống sẽ bật ra cửa sổ nhƣ hình dƣới đây chọn Start

Backup để bắt đầu thực hiện backup.

Hình 1.117: Thông tin về file backup

Cửa sổ hiển thị quá trình Backup đang đƣợc thực hiện đợi để hệ thống hoàn

thành công việc

Hình 1.118: Quá trình backup AD

Sau khi hệ thống kết thúc việc Backup System State vào Active Directory chuột

phải vào OU MCSA chọn Delete, để xoá dữ liệu trong Active Directory

Hình 1.119: Xóa OU sau khi backup

Để thể thực hiện Restore phải khởi động lại máy chủ Domain Controller.

Trong lúc máy tính đang khởi động nhấn F8 để vào Safe Mode. Trong Menu

các Mode chọn "Directory Service Restore Mode"

Hình 1.120: Hộp thoại chọn chế độ Directory Service Restore Mode

Khi chọn khởi động từ "Directory Service Restore Mode" hệ thống sẽ yêu cầu

gõ User name và Password để đăng nhập trong khi Restore lại Active Directory.

Hình 1.121: Hộp thoại đăng nhập hệ thống

Vào đƣợc trong môi trƣờng Windows chọn Run gõ ntbackup trong cửa sổ

ntbackup chọn tab Restore, chọn System State để restore

Hình 1.122: Chọn System State để restore

Nhấn Start Restore để hệ thống bắt đầu lấy lại dữ liệu nhƣ lúc Backup.

Hình 1.123: Quá trình restore System State

Sau khi hệ thống Restore hoàn tất sẽ yêu cầu khởi động lại máy tính xem kết

quả

Hình 1.124: Kết quả sau khi restore System State

1.4.3. Quản trị Active directory

Việc quản trị Active Directory bao gồm tạo OU, bổ sung các object vào OU,

tìm kiếm các đối tƣợng trong Active Directory.

a) Tạo OU: Có thể tạo OU bên dƣới domain, domain controller object hoặc bên

dƣới OU khác. Mặc định, thành viên của nhóm Administrator có quyền bổ sung OU.

Chọn domain hay đối tƣợng muốn tạo tiếp OU, kích menu Action, chọn New,

Organization Unit.

Trong ô Name, gõ tên OU. Bổ sung đối tượng vào OU: Các đối tƣợng có thể bổ sung vào OU:

Mô tả Biểu tƣợng Đối tƣợng

Đại diện một máy tính trong mạng. Với Windows NT

Computer

Workstation và Windows NT Server, đó chính là machine account.

Là một account mà không chứa các thông tin về Contact quyền hạn, bảo mật. Account này không thể logon.

Thông thƣờng có thể xem nhƣ danh sách các địa chỉ

email.

Nhóm các User

Máy in trong mạng. Group Printer

Một user có khả năng logon. User

Thƣ mục đƣợc chia sẻ. Shared

Folder

Bấm chọn OU muốn bổ sung các đối tƣợng, chọn menu Action, chọn New và

chọn tiếp tên loại đối tƣợng cần bổ sung.

b) Quản trị các đối tƣợng

Tìm kiếm đối tƣợng: Mở Active Directory Users and Computers trong

Administrative Tools, bấm phím phải lên domain hoặc nhóm bất kỳ, chọn Find.

Hình 1.125: Tìm kiếm đối tƣợng trong AD

Các lựa chọn trong cửa sổ Find bao gồm:

Miêu tả Lựa chọn

Find

Danh sách các loại đối tƣợng có thể tìm, bao gồm users, contacts, groups; computers; printers; shared folders; OUs; và tự tuỳ biến. Nếu chọn Custom, sẽ phải xây dựng một truy vấn gọi là Lightweight Directory Access Protocol (LDAP) Query. Ví dụ, LDAP Query: OU=*er*, sẽ tìm các OU có tên chứa cụm từ "er".

In Danh sách các domain, OU... giới hạn phạm vi tìm.

Browse Duyệt cấu trúc tìm kiếm.

Advanced Định nghĩa các tiêu chí tìm kiếm mở rộng.

Field Danh sách các thuộc tính có thể tìm.

Condition

Danh sách các điều kiện dựa trên thuộc tính có thể sử dụng để giới hạn việc tìm kiếm.

Value Ô này dùng trong trƣờng hợp sử dụng điều kiện. Tại đây gõ các giá trị

mà điều kiện (thuộc tính) phải thoả mãn.

Danh sách các tiêu chí tìm kiếm đã định nghĩa. Search

Criteria

Find Now Bắt đầu tìm.

Stop Chấm dứt việc tìm kiếm.

Clear All Xoá các điều kiện tìm kiếm.

Results Danh sách kết quả tìm đƣợc.

Gán quyền truy cập đối tượng (Object Permission): Tƣơng tự nhƣ NTFS

Permission, Active Directory Object Permission thiết lập quyền quy định user nào

có quyền gì trên các đối tƣợng đó. Object Permission cũng bao gồm Standard

Permission và Special Permission.

Standard Object Cho phép Permission

Full Control Toàn quyền tác động đến đối tƣợng

Read Xem đối tƣợng, thuộc tính, quyền hạn đối tƣợng,

ngƣời tạo đối tƣợng.

Write Thay đổi thuộc tính đối tƣợng

Create All Child Objects Bổ sung đối tƣợng vào OU.

Delete All Child Objects Xoá đối tƣợng từ OU.

Để gán Permission cho đối tƣợng, chọn đối tƣợng, bấm chuột phải, chọn Properties, bấm tab Security. Lƣu ý: phải bật View->Advanced Features để nhìn thấy tab Security.

Tƣơng tự nhƣ NTFS Permission, Object Permission cũng có cơ chế kế thừa và

cũng có thể ngăn chặn việc kế thừa.

Publishing Resources: để các đối tƣợng có thể đƣợc tìm thấy bởi user, cần

quảng bá (publish) chúng.

Publish Shared Folder: Mở Active Directory Users And Computers, bấm chuột

phải lên vị trí muốn bổ sung Shared Folder, chọn New, Shared Folder

Trên đây là một số thao tác cơ bản liên quan đến quản trị Active Directory. Tuy

nhiên hiện tại chung ta mới chỉ điểm qua một vài trƣờng hợp. Dƣới đây liệt kê các

nhiệm vụ của việc quản trị Active Directory và sẽ lần lƣợt đƣợc giới thiệu sau;

Nhóm quản trị Các công việc

Active

Configuring Directory Lập kế hoạch, xây dựng, quản lý, theo dõi, tối ƣu và xử lý sự cố liên quan đến Active Directory, bao gồm cả

cấu trúc Domain, organizational unit (OU), site.

Administering users and Lập kế hoạch, tạo, bảo trì user và group accounts để

groups

đảm bảo mỗi user có thể log-on vào mạng và truy cập đúng đối tƣợng trên mạng.

Securing network Quản trị, theo dõi, giải quyết sự cố các vấn đề liên

resources quan đến các vấn đề bảo mật các đối tƣợng trên mạng.

Administering Active Quản lý và điều khiển các đối tƣợng của Active

Directory Directory bao gồm các kế hoạch cài đặt, sao lƣu, khôi

phục.

Administering the Cài đặt, cấu hình môi trƣờng làm việc cho desktop

desktop computing

environment

Managing Active Theo dõi và nâng cao hiệu suất hoạt động của hệ thống

Directory performance Active Directory

Installing Windows Cài đặt Windows Server 2003 từ xa.

Server 2003 remotely

BÀI TẬP CHƢƠNG 1

Bài 1: Hãy thực hiện cài đặt hệ điều hành windows server 2003 từ đĩa CD

ROM và tự động bằng cách tạo ra file trả lời tự động

Bài 2: Với sơ đồ hệ thống mạng nhƣ hình sau:

- Hãy xây dựng một domain viendong.com.vn để quản lý hệ thống mạng này.

- Sử dụng tài khoản admin của windows server và thực hiện gia nhập máy trạm

vào miền vừa tạo

Bài 3: Với hệ thống mạng nhƣ trong bài tập 2, Hãy cấu hình trên máy Server-

Duphong để làm máy dự phòng cho máy quản lý miền trong hệ thống.

Hƣớng dẫn:

- Nâng cấp máy Server-Duphong thành máy dự phòng cho máy quản lý miền –

Domain Controller đồng hành.

Bài 4: Với hệ thống mạng nhƣ trong bài tập 3, công ty có nhu cầu tạo thêm một

miền con cho phòng KinhDoanh. Hãy cấu hình hệ thống nhƣ sau.

Bài 6: Một công ty muốn xây dựng hệ thống mạng client/server để quản lý dữ

liệu tập chung. Hãy cài đặt và cấu hình hệ thống nhƣ sau.

Yêu cầu:

- Cài đặt Active Directory trên Windows Server 2003 (DC1) - Backup Active Directory - Cài đặt thêm một máy chủ Active Directory vào một Domain đã có (DC2) - Cài đặt Multiple Domain cho một hệ thống. - Cài đặt Active Directory trên một Forest mới. - Cài đặt Active Directory trên một domain con - Đổi tên Domain - Chuyển Master của Domain

100

Chƣơng 2: QUẢN LÝ TÀI NGUYÊN MẠNG

2.1. Tạo và quản lý tài khoản ngƣời sử dụng

Là một ngƣời quản lý cần cung cấp cho những ngƣời sử dụng trong tổ chức của

truy cập vào các nguồn tài nguyên mạng khác nhau mà họ yêu cầu. Các user account

cho phép ngƣời sử dụng kết nối và đạt đƣợc sự truy cập vào các nguồn tài nguyên cục

bộ hay trong Domain. Trong phần này sẽ học cách tạo User account cục bộ và trong Domain, đồng thời học cách xác lập các đặt tính cho chúng.

2.1.1. Giới thiệu về tài khoản ngƣời sử dụng(User Account)

Tài khoản ngƣời dùng (user account) là một đối tƣợng quan trọng đại diện

cho ngƣời dùng trên mạng, chúng đƣợc phân biệt với nhau thông qua chuỗi nhận dạng username. Chuỗi nhận dạng này giúp hệ thống mạng phân biệt giữa ngƣời

này và ngƣời khác trên mạng từ đó ngƣời dùng có thể đăng nhập vào mạng và truy

cập các tài nguyên mạng mà mình đƣợc phép.

Tài khoản ngƣời dùng cục bộ: Tài khoản ngƣời dùng cục bộ (local user

account) là tài khoản ngƣời dùng đƣợc định nghĩa trên máy cục bộ và chỉ đƣợc

phép logon, truy cập các tài nguyên trên máy tính cục bộ. Nếu muốn truy cập các

tài nguyên trên mạng thì ngƣời dùng này phải chứng thực lại với máy domain

controller hoặc máy tính chứa tài nguyên chia sẻ. Tạo tài khoản ngƣời dùng cục bộ

cụ Local Users

với công trong Computer Management and Group (COMPMGMT.MSC). Các tài khoản cục bộ tạo ra trên máy stand-alone server,

member server hoặc các máy trạm đƣợc lƣu trữ trong tập tin cơ sở dữ liệu SAM

(Security Accounts Manager). Tập tin SAM này đƣợc đặt trong thƣ mục

\Windows\system32\config.

Hình 2.1: Lƣu trữ thông tin tài khoản ngƣời dùng cục bộ Tài khoản ngƣời dùng miền: Tài khoản ngƣời dùng miền (domain user

account) là tài khoản ngƣời dùng đƣợc định nghĩa trên Active Directory và đƣợc phép đăng nhập (logon) vào mạng trên bất kỳ máy trạm nào thuộc vùng. Đồng

thời với tài khoản này ngƣời dùng có thể truy cập đến các tài nguyên trên mạng. tạo

tài khoản ngƣời dùng miền với công cụ Active Directory Users and Computer

101

(DSA.MSC). Khác với tài khoản ngƣời dùng cục bộ, tài khoản ngƣời dùng miền không chứa trong các tập tin cơ sở dữ liệu SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thƣ mục \Windows\NTDS.

Hình 2.2: Lƣu trữ thông tin tài khoản ngƣời dùng miền

Tài khoản ngƣời dùng tạo sẵn (Built-in) là những tài khoản ngƣời dùng mà

khi ta cài đặt Windows Server 2003 thì mặc định đƣợc tạo ra. Tài khoản này là hệ

thống có sẵn nên chúng ta không có quyền xóa đi nhƣng vẫn có quyền đổi tên (chú ý

thao tác đổi tên trên những tài khoản hệ thống phức tạp một chút so với việc đổi tên

một tài khoản bình thƣờng do nhà quản trị tạo ra). Tất cả các tài khoản ngƣời dùng tạo

sẵn này đều nằng trong Container Users của công cụ Active Directory User and

Computer. Sau đây là bảng mô tả các tài khoản ngƣời dùng đƣợc tạo sẵn:

Tài khoản nhóm: Tài khoản nhóm (group account) là một đối tƣợng đại

diện cho một nhóm ngƣời nào đó, dùng cho việc quản lý chung các đối tƣợng

ngƣời dùng. Việc phân bổ các ngƣời dùng vào nhóm giúp chúng ta dễ dàng cấp

quyền trên các tài nguyên mạng nhƣ thƣ mục chia sẻ, máy in. Chú ý là tài khoản

ngƣời dùng có thể đăng nhập vào mạng nhƣng tài khoản nhóm không đƣợc phép

đăng nhập mà chỉ dùng để quản lý. Tài khoản nhóm đƣợc chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group).

2.1.2. Các nguyên tắc khi tạo một tài khoản ngƣời sử dụng

Một user account cho phép ngƣời sử dụng kết nối với các máy tính và các Domain với một đặc tính nhận biết nhận dạng vốn có thể đƣợc chứng thực và uỷ

quyền để truy cập vào các nguồn tài nguyên domain.

Để tiến trình tạo các user đạt hiệu quả hơn cần có các quy ƣớc và nguyên tắc

đang đƣợc sử dụng trên mạng. Việc tuân theo các quy ƣớc và nguyên tắc này sẽ dễ

dàng quản lý các user account sau khi tạo chúng.

102

1) Các qui ƣớc đặt tên

Qui ƣớc đặt tên thiết lập cách nhận biết các user account trong domain, một qui ƣớc đặt tên nhất quán giúp dễ dàng nhớ các tên user login và xác định chúng trong các

danh sách. Tốt hơn là nên tuân theo qui ƣớc đặt tên đang đƣợc sử dụng trên mạng hiện

tại mà nó hỗ trợ nhiều ngƣời sử dụng. Hãy xem xét các nguyên tắc sau đây khi cài đặt

các qui ƣớc đặt tên.

- Tạo các tên user logon duy nhất trong Active Directory Các tên user Logon dành cho các Domain User account phải là các tên duy nhất

trong Active Directory. Các tên đầy đủ của domain user account phải là các tên duy

nhất trong domain mà tạo ra user account. Các tên user account cục bộ phải là các tên duy nhất trên máy tính tạo ra user account cục bộ.

- Sử dụng tổ hợp các ký tự Các tên User logon có thể chứa đến 20 ký tự hoa và thƣờng (trƣờng này chấp

nhận trên 20 ký tự, nhƣng Windows 2003 chỉ nhận biết 20 ký tự) ngoại trừ đối với các

ký tự sau đây: “ / \ [ ] : ; | = * ? <>

Có thể sử dụng một tổ hợp gồm các ký tự đặc biệt cùng với chữ và số để nhận

biết các user account duy nhất.

- Bao gồm cả các nhân viên giống nhau Nếu có nhiều ngƣời sử dụng, qui ƣớc đặt tên logon, cũng nên bao gồm cả các

nhân viên có tên giống nhau. Sau đây là một số đề nghị để xử lý các tên giống nhau:

Sử dụng tên và chữ đầu tiên của họ, sau đó bổ sung thêm các mẫu tự khác của

họ để bao gồm cả các tên giống nhau. Chẳng hạn, đối với hai ngƣời sử dụng có cùng

tên là Judyl Lew, một tên user account logon có thể là Judyl và tên kia là Judyle.

Trong một số tổ chức, việc nhận biết các nhân viên tạm thời dựa vào các user

account của họ là việc hữu ích. Để thực hiện điều này, có thể đặt trƣớc tên user

account một chữ T và một dấu gạch nối, Chẳng hạng T-Judyl.

2) Các nguyên tắc đối với password.

Để bảo đảm sự truy cập vào Domain hay một máy tính, mỗi user account nên có một password phức tạp. Điều này giúp ngăn chặn các cá nhân không đƣợc phép kết nối vào máy tính. Hãy xem các nguyên tắc sau đây đối với việc gán các password cho các user account.

- Gán một password cho Administrator account Luôn luôn gán một password cho Administrator account để ngăn chặn những

ngƣời khác truy cập vào account khi không đƣợc phép.

- Xác định ai là ngƣời điều khiển password

Xác định hay ngƣời sử dụng sẽ điều khiển password, có thể gán các password

duy nhất cho các user account và ngăn chặn ngƣời sử dụng thay đổi chúng hoặc có thể

103

cho phép ngƣời sử dụng nhập các password riêng của họ vào lần đầu tiên khi họ kết

nối. Trong phần lớn các trƣờng hợp, ngƣời sử dụng nên điều khiển các password.

- Hƣớng dẫn ngƣời sử dụng các sử dụng password Hƣớng dẫn ngƣời sử dụng về tầm quan trọng của việc sử dụng password phức

tạp để ngƣời khác không thể đoán đƣợc.

Tránh sử dụng các password có một sự kết hợp rõ ràng, chẳng hạn nhƣ tên của

một thành viên trong gia đình.

Sử dụng các password dài bởi vì chúng khó đoán hơn, các password có thể dài

đến 128 ký tự, nên sử dụng một password có chiều dài tối thiểu là 8 ký tự.

Sử dụng kết hợp chữ hoa và chữ thƣờng với các ký tự không thuộc chữ và số.

3) Các tuỳ chọn account

Các tùy chọn user account điều khiển một ngƣời sử dụng truy cập domain hay

máy tính, chẳng hạn có thể giới hạn số giờ ngƣời sử dụng có thể kết nối vào domain và

các máy tính mà ngƣời sử dụng có thể kết nối từ đó. Cũng có thể chỉ định khi nào thì

một user account hết hạn. Điều này cho phép bảo đảm sự an toàn cho mạng.

- Số giờ logon Có thể xác lập số giờ logon cho những ngƣời cần truy cập vào chỉ các thời điểm

nhất định, chẳng hạn có thể xác lập số giờ logon cho các nhân viên làm ca đêm để họ

chỉ kết nối trong giờ làm việc của mình mà thôi.

- Các máy tính mà ngƣời sử dụng có thể kết nối từ đó Những ngƣời sử dụng có thể kết nối với domain bằng cách sử dụng một máy

tính bất kỳ trong domain theo mặc định. Có thể cấu hình các tuỳ chọn account để chỉ

định các máy tính mà những ngƣơi sử dụng có thể kết nối từ đó. Chẳng hạn, có thể cho

phép những ngƣời sử dụng, chẳng hạn nhƣ các nhân viên tạm thời, kết nối với domain

chỉ từ máy tính của họ. Điều này ngăn chặn họ kết nối vào các máy tính khác và đƣợc

phép truy cập vào thông tin trên các máy khác.

- Thời hạn của account Việc xác lập ngày hết hạn trên một user account để bảo đảm account này không đƣợc vận hành khi ngƣời dử dụng không cần truy cập vào mạng nữa. Chẳng hạn có thể xác lập các user account cho các nhân viên tạm thời để chúng hết hạn vào ngày chấm dứt hợp động.

2.1.3. Tạo tài khoản ngƣời sử dụng cục bộ 1) Công cụ quản lý tài khoản ngƣời dùng cục bộ

Muốn tổ chức và quản lý ngƣời dùng cục bộ, ta dùng công cụ Local Users and Groups. Với công cụ này có thể tạo, xóa, sửa các tài khoản ngƣời dùng, cũng nhƣ thay

đổi mật mã. Có hai phƣơng thức truy cập đến công cụ Local Users and Groups:

- Dùng nhƣ một MMC (Microsoft Management Console) snap-in.

104

- Dùng thông qua công cụ Computer Management.

Các bƣớc dùng để chèn Local Users and Groups snap-in vào trong MMC: Chọn Start/Run, nhập vào hộp thoại MMC ấn phím Enter để mở cửa sổ MMC.

Hình 2.3: Computer Management quản lý ngƣời dùng cục bộ

Chọn Console/Add/Remove Snap-in để mở hộp thoại Add/Remove Snap-in.

Nhấp chuột vào nút Add để mở hộp thoại Add Standalone Snap-in.

Chọn Local Users and Groups và nhấp chuột vào nút Add. Hộp thoại Choose Target Machine xuất hiện, ta chọn Local Computer và nhấp

chuột vào nút Finish để trở lại hộp thoại Add Standalone Snap-in.

Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove Snap-in.

Nhấp chuột vào nút OK, ta sẽ nhìn thấy Local Users and Groups snap-in đã

chèn vào MMC nhƣ hình sau.

Hình 2.4: Local Users and Groups Lƣu Console bằng cách chọn Console/Save, sau đó nhập đƣờng dẫn và tên file

cần lƣu trữ. Để tiện cho việc quản trị sau này có thể lƣu console ngay trên Desktop.

Nếu máy tính không có cấu hình MMC thì cách nhanh nhất để truy cập công cụ

Local Users and Groups thông qua công cụ Computer Management. Nhầp phải chuột

vào My Computer và chọn Manage từ pop-up menu và mở cửa sổ Computer Management. Trong mục System Tools, ta sẽ nhìn thấy mục Local Users and Groups

105

Hình 2.5: Tạo ngƣời dùng và nhóm cục bộ Cách khác để truy cập đến công cụ Local Users and Groups là vào Start ¤

Programs ¤ Administrative Tools ¤ Computer Management

2) Các thao tác cơ bản trên tài khoản ngƣời dùng cục bộ

- Tạo tài khoản mới: Trong công cụ Local Users and Groups, ta nhấp phải

chuột vào Users và chọn New User, hộp thoại New User hiển thị nhập các thông tin

cần thiết vào, nhƣng quan trọng nhất và bắt buộc phải có là mục Username.

Hình 2.6: Hộp thoại tạo tài khoản cục bộ

- Xóa tài khoản: Nên xóa tài khoản ngƣời dùng nên chắc rằng tài khoản này

không bao giờ cần dùng lại nữa. Muốn xóa tài khoản ngƣời dùng mở công cụ Local Users and Groups, chọn tài khoản cần xóa, nhấp phải chuột và chọn Delete hoặc vào thực đơn Action / Delete.

106

Hình 2.7: Hộp thoại xóa tài khoản cục bộ

Chú ý: khi chọn Delete thì hệ thống xuất hiện hộp thoại hỏi muốn xóa thật sự

không vì tránh trƣờng hợp xóa nhầm. Bởi vì khi đã xóa thì tài khoản ngƣời dùng này

không thể phục hồi đƣợc.

Hình 2.8: Hộp thoại cảnh báo khi xóa tài khoản

- Khóa tài khoản: Khi một tài khoản không sử dụng trong thời gian dài nên khóa lại vì lý do bảo mật và an toàn hệ thống. Nếu xóa tài khoản này đi thì không thể

phục hồi lại đƣợc do đó ta chỉ tạm khóa. Trong công cụ Local Users and Groups, nhấp

đôi chuột vào ngƣời dùng cần khóa, hộp thoại Properties của tài khoản xuất hiện.

Hình 2.9: Chọn tài khoản cục bộ

Trong Tab General, đánh dấu vào mục Account is disabled

107

Hình 2.10: Tab General

- Đổi tên tài khoản: Có thể đổi tên bất kỳ một tài khoản ngƣời dùng nào, đồng thời cũng có thể điều chỉnh các thông tin của tài khoản ngƣời dùng thông qua chức

năng này. Chức năng này có ƣu điểm là khi thay đổi tên ngƣời dùng nhƣng SID của tài

khoản vẫn không thay đổi. Muốn thay đổi tên tài khoản ngƣời dùng mở công cụ Local

Users and Groups, chọn tài khoản ngƣời dùng cần thay đổi tên, nhấp phải chuột và

chọn Rename.

- Thay đổi mật khẩu: Muốn đổi mật mã của ngƣời dùng mở công cụ Local Users and Groups, chọn tài khoản ngƣời dùng cần thay đổi mật mã, nhấp phải chuột và

chọn Reset password.

2.1.4. Tạo và cấu hình tài khoản ngƣời sử dụng của vùng

Các domain user account cho phép ngƣời sử dụng nối kết với một Domain và

đƣợc phép truy cập vào các nguồn tài nguyên ở bất kỳ nơi nào trên mạng, có thể tạo

một domain user account trên một Domain Controller.

Windows Server 2003 cung cấp các công cụ quản lý nhằm giúp tạo và quản lý các user account. Windows Server 2003 Administrative tools đƣợc cài đặt tên một

domain controller theo mặc định. Tuy nhiên có thể quản lý từ xa một domain và các user account của nó bằng cách cài đặt bằng tay windows Server 2003 Administrative tools trên một server thành viên hay một máy tính đang chạy windows Server 2003

Sử dụng Active Directory User and Computers để tạo Domain User account và

để cấu hình các Domain User Account, chẳng hạn nhƣ xác lập các yêu cầu password (dù ngƣời sử dụng có phải thay đổi các password của mình vào lần kế tiếp họ kết nối

hay không). Ngoài ra có thể tạo một Folder chủ đề cung cấp cho ngƣời sử dụng một vị

trí trung tâm mà họ có thể lƣu trữ dữ liệu trong đó.

108

Tạo mới tài khoản ngƣời dùng (domain user account)

Có thể dùng công cụ Active Directory User and Computers

trong Administrative Tools ngay trên máy Domain Controller để tạo các tài khoản ngƣời

dùng miền. Công cụ này cho phép quản lý tài khoản ngƣời dùng từ xa thậm chí trên

các máy trạm không phải dùng hệ điều hành Server nhƣ WinXP, Win2K Pro. Muốn

thế trên các máy trạm này phải cài thêm bộ công cụ Admin Pack. Bộ công cụ này nằm trên Server trong thƣ mục \Windows\system32\ADMINPAK.MSI. Tạo

một tài khoản ngƣời dùng trên Active Directory, ta làm các bƣớc sau:

Chọn Start/Programs/Administrative Tools/Active Directory Users and

Computers.

Cửa sổ Active Directory Users and Computers xuất hiện, nhấp phải chuột vào

mục Users, chọn New/User.

Hình: 2.11: Hộp thoại Acive Directory User and Computer

Hộp thoại New Object-User xuất hiện nhƣ hình sau, nhập tên mô tả ngƣời dùng,

tên tài khoản logon vào mạng. Giá trị Full Name sẽ tự động phát sinh khi nhập giá trị

First Name và Last Name, nhƣng vẫn có thể thay đổi đƣợc. Chú ý: giá trị quan trọng

nhất và bắt buộc phải có là logon name (username). Chuỗi này là duy nhất cho một tài

khoản ngƣời dùng theo nhƣ định nghĩa trên phần lý thuyết. Trong môi trƣờng Windows 2000 và 2003, Microsoft đƣa thêm một khái niệm hậu tố UPN (Universal Principal Name), trong ví dụ này là “@netclass.edu.vn”. Hậu tố UPN này gắn vào sau chuỗi username dùng để tạo thành một tên username đầy đủ dùng để chứng thực ở cấp rừng hoặc chứng thực ở một miền khác có quan hệ tin cậy với miền của ngƣời dùng đó, trong ví dụ này thì tên username đầy đủ là “tuan@netclass.edu.vn”. Ngoài ra trong hộp thoại này cũng cho phép chúng ta đặt tên username của tài khoản ngƣời dùng phục

vụ cho hệ thống cũ (pre-Windows 2000). Sau khi việc nhập các thông tin hoàn thành nhấp chuột vào nút Next để tiếp tục.

109

Hình 2.12: Hộp thoại New Object-User

Hộp thoại thứ hai xuất hiện, cho phép nhập vào mật khẩu (password) của tài khoản ngƣời dùng và đánh dấu vào các lựa chọn liên quan đến tài khoản nhƣ: cho

phép đổi mật khẩu, yêu cầu phải đổi mật khẩu lần đăng nhập đầu tiên hay khóa tài

khoản. Các lựa chọn này chúng ta sẽ tìm hiểu chi tiết ở phần tiếp theo.

Hình 2.13: Nhập mật khẩu cho tài khoản

Hộp thoại cuối cùng xuất hiện và nó hiển thị các thông tin đã cấu hình cho

ngƣời dùng. Nếu tất cả các thông tin đã chính xác thì nhấp chuột vào nút Finish để

hoàn thành, còn nếu cần chỉnh sửa lại thì nhấp chuột vào nút Back để trở về các hộp

thoại trƣớc.

Hình 2.14: Hộp thoại hiển thị thoonbg tin tài khoản

110

2.1.5. Quản lý dữ liệu của ngƣời sử dụng

Có thể cung cấp một ví dụ mạng tập trung để ngƣời sử dụng chứa các tài liệu của mình. Vị trí bổ sung này là vị trí Folder chủ của ngƣời sử dụng. Các folder chủ

không phải là một thành viên của một User Profile. Vì thế chúng không ảnh hƣởng đến

tiến trình logon.

Có thể xác định Folder chủ của tất cả những ngƣời sử dụng trên một vị trí trung

tâm trên một server mạng.

Hình 2.15: Cấu trúc thƣ mục Folder của ngƣời dùng

1) Xác định một vị trí của Folder chủ

- Tính năng sao lƣu dự phòng và phục hồi: Ngăn chặn sự thất thoát dữ liệu là

trách nhiệm chính, việc đảm bảo các file đƣợc lƣu trữ dự phòng khi chúng đƣợc định

vị trong một vị trí của trung tâm trên một server dễ dàng hơn nhiều. Nếu các folder chủ

của ngƣời sử dụng đƣợc định vị trên các máy tính cục bộ của họ, cần thực hiện sao lƣu

dự phòng đều đặn trên mỗi máy tính.

- Tạo đủ khoản trống trên Server: Điều quan trọng là phải có đủ khoản trống

trên Server để cho phép ngƣời sử dụng chứa dữ liệu của họ. Windows Server 2003

cung cấp sự kiện điều khiển chính xác hơn về sự lƣu trữ dựa vào mạng với các chỉ số

đĩa, vốn cho phép giám sát và giới hạn lƣợng khoản trống trên đĩa cứng do mỗi user

ngƣời dùng.

- Đủ khoản trống trên máy tính Client: Nếu ngƣời sử dụng đang làm việc

trên máy tính ít không gian đĩa cứng, hoặc không có đĩa cứng, các folder chủ sẽ đƣợc

định vị trên một Server mạng.

- Sự Thực thi mạng: Sự lƣu thông mạng sẽ ít hơn nếu Folder chủ đƣợc định vị

trên máy tính cục bộ của ngƣời sử dụng.

2) Tạo một Folder chủ

Để tạo một Folder, hãy thực hiện các bƣớc sau đây:

1. Tạo và chia sẽ Folder trên một server 2. Cấp quyền truy cập thích hợp cho Folder Cung cấp một đƣờng dẫn user account đến Folder

111

2.1.6. Xác lập các thuộc tính cho tài khoản ngƣời sử dụng

Muốn quản lý các thuộc tính của các tài khoản ngƣời ta dùng công cụ Active Directory Users and Computers (bằng cách chọn Start/Programs/Administrative Tools

/Active Directory Users and Computers), sau đó chọn thƣ mục Users và nhấp đôi

chuột vào tài khoản ngƣời dùng cần khảo sát. Hộp thoại Properties xuất hiện, trong

hộp thoại này chứa 12 Tab chính.

- Tab General: chứa các thông tin chung của ngƣời dùng trên mạng đã nhập

trong lúc tạo ngƣời dùng mới. Đồng thời có thể nhập thêm một số thông tin nhƣ: số

điện thoại, địa chỉ mail và trang địa chỉ trang Web cá nhân…

Hình 2.16: Tab General

- Tab Address: cho phép khai báo chi tiết các thông tin liên quan đến địa chỉ

của tài khoản ngƣời dùng nhƣ: địa chỉ đƣờng, thành phố, mã vùng, quốc gia…

Hình 2.17: Tab General

112

- Tab Telephones: cho phép khai báo chi tiết các số điện thoại của tài khoản

ngƣời dùng

Hình 2.18: Tab Telephones

- Tab Organization: cho phép khai báo các thông tin ngƣời dùng về: chức

năng của công ty, tên phòng ban trực thuộc, tên công ty …

Hình 2.19: Tab Organnization

- Tab Account: cho phép khai báo lại username, quy định giờ logon vào mạng cho ngƣời dùng, quy định máy trạm mà ngƣời dùng có thể sử dụng để vào mạng, quy

113

định các chính sách tài khoản cho ngƣời dùng, quy định thời điểm hết hạn của tài

khoản…

Hình 2.20: Tab Account

Điều khiển giờ logon vào mạng nhấp chuột vào nút Logon Hours, hộp thoại

Logon Hours xuất hiện. Mặc định mọi ngƣời dùng đều đƣợc phép truy cập vào mạng

24 giờ mỗi ngày, trong tất cả 7 ngày của tuần. Khi một ngƣời dùng logon vào mạng thì

hệ thống sẽ kiểm tra xem thời điểm này có nằm trong khoảng thời gian cho phép truy

cập không, nếu không phù hợp thì hệ thống sẽ không cho vào mạng và thông báo lỗi

Unable to log you on because of an account restriction. Có thể thay đổi quy định giờ

logon bằng cách chọn vùng thời gian cần thay đổi và nhấp chuột vào nút lựa chọn

Logon Permitted, nếu không cho phép thì nhấp chuột vào nút lựa chọn Logon Denied.

Ví dụ chỉ cho phép ngƣời dùng làm việc từ 7h sáng đến 13h, từ thứ 2 đến thứ 6.

Hình 2.21: Điều khiển giờ logon vào mạng

Chọn lựa máy trạm đƣợc truy cập vào mạng: nhấn chuột vào nút Log On To, sẽ thấy hộp thoại Logon Workstations xuất hiện. Hộp thoại này cho phép chỉ định ngƣời

dùng có thể logon từ tất cả các máy tính trong mạng hoặc giới hạn ngƣời dùng chỉ

đƣợc phép logon từ một số máy tính trong mạng. Ví dụ nhƣ ngƣời quản trị mạng làm

việc trong môi trƣờng bảo mật nên tài khoản ngƣời dùng này chỉ đƣợc chỉ định logon

vào mạng từ một số máy tránh tình trạng ngƣời dùng giả dạng quản trị để tấn công

114

mạng. Muốn chỉ định máy tính mà ngƣời dùng đƣợc phép logon vào mạng, nhập tên

máy tính đó vào mục Computer Name và sau đó nhấp chuột vào nút Add.

Hình 2.22: Chọn lựa máy trạm đƣợc truy cập vào mạng

Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản ngƣời dùng

Tùy chọn Ý nghĩa

User must change password Ngƣời dùng phả thay đổi mật khẩu lần đăng nhập kế

at next logon tiếp, sau đó mục này sẽ tự động bỏ chọn.

User cannot change Nếu đƣợc chọn thì ngăn không cho ngƣời dùng tùy ý

password thay đổi mật khẩu.

Password never expires Nếu đƣợc chọn thì mật khẩu của tài khoản này không

bao giờ hết hạn.

Store password using Chỉ áp dụng tùy chọn này đối với ngƣời dùng đăng

reversible encryption nhập từ các máy Apple.

Smart card is required for interactive login Tùy chọn này đƣợc dùng khi ngƣời dùng đăng nhập vào mạng thông qua một thẻ thông minh (smart card),

lúc đó ngƣời dùng không nhập username và password mà chỉ cần nhập vào một số PIN.

is trusted for

Account delegation

Chỉ áp dụng cho các tài khoản dịch vụ nào cần giành đƣợc quyền truy cập vào tài nguyên với vai trò những tài khoản ngƣời dùng khác

Account is sensitive and Dùng tùy chọn này trên một tài khoản khách vãng lai

cannot be delegated

hoặc tạm để đảm bảo rằng tài khoản đó sẽ không đƣợc đại diện bởi một tài khoản khác.

Use DES encryption types Nếu đƣợc chọn thì hệ thống sẽ hỗ trợ Data Encryption

for this account Standard (DES) với nhiều mức độ khác nhau.

115

Do not require Kerberos Nếu đƣợc chọn hệ thống sẽ cho phép tài khoản này

preauthentication dùng một kiểu thực hiện giao thức Kerberos khác với

kiểu của Windows Server 2003.

Mục cuối cùng trong Tab này là quy định thời gian hết hạn của một tài khoản

ngƣời dùng. Trong mục Account Expires, nếu ta chọn Never thì tài khoản này không

bị hết hạn, nếu chọn End of: ngày tháng hết hạn thì đến ngày này tài khoản này bị tạm

khóa.

- Tab Profile: cho phép khai báo đƣờng dẫn đến Profile của tài khoản ngƣời dùng

hiện tại, khai báo tập tin logon script đƣợc tự động thi hành khi ngƣời dùng đăng nhập

hay khai báo home folder.

Hình 2.23: Tab Profile

Khái niệm Profile. User Profiles là một thƣ mục chứa các thông tin về môi

trƣờng của Windows Server 2003 cho từng ngƣời dùng mạng. Profile chứa các qui

định về màn hình Desktop, nội dung của menu Start, kiểu cách phối màu sắc, vị trí sắp

xếp các icon, biểu tƣợng chuột…

Mặc định khi ngƣời dùng đăng nhập vào mạng, một profile sẽ đƣợc mở cho ngƣời dùng đó. Nếu là lần đăng nhập lần đầu tiên thì họ sẽ nhận đƣợc một profile chuẩn. Một thƣ mục có tên giống nhƣ tên của ngƣời dùng đăng nhập sẽ đƣợc tạo trong thƣ mục Documents and Settings. Thƣ mục profile ngƣời dùng đƣợc tạo chứa một tập

tin ntuser.dat, tập tin này đƣợc xem nhƣ là một thƣ mục con chứa các liên kết thƣ mục đến các biểu tƣợng nền của ngƣời dùng. Trong Windows Server 2003 có ba loại Profile:

Local Profile: là profile của ngƣời dùng đƣợc lƣu trên máy cục bộ và họ tự cấu

hình trên profile đó. Roaming Profile: là loại Profile đƣợc chứa trên mạng và ngƣời

quản trị mạng thêm thông tin đƣờng dẫn user profile vào trong thông tin tài khoản

ngƣời dùng, để tự động duy trì một bản sao của tài khoản ngƣời dùng trên mạng.

116

Mandatory Profile: ngƣời quản trị mạng thêm thông tin đƣờng dẫn user

profile vào trong thông tin tài khoản ngƣời dùng, sau đó chép một profile đã cấu hình sẵn vào đƣờng dẫn đó. Lúc đó các ngƣời dùng dùng chung profile này và không đƣợc

quyền thay đổi profile đó.

Kịch bản đăng nhập (logon script hay login script) là những tập tin chƣơng trình

đƣợc thi hành mỗi khi ngƣời dùng đăng nhập vào hệ thống, với chức năng là cấu hình môi trƣờng làm việc của ngƣời dùng và phân phát cho họ những tài nguyên mạng nhƣ

ổ đĩa, máy in (đƣợc ánh xa từ Server). có thể dùng nhiều ngôn ngữ kịch bản để tạo ra

logon script nhƣ: lệnh shell của DOS/NT/Windows, Windows Scripting Host (WSH),

VBScript, Jscript…

Home folder: là thƣ mục dành riêng cho mỗi tài khoản ngƣời dùng, giúp ngƣời

dùng có thể lƣu trữ các tài liệu và tập tin riêng. Muốn tạo một thƣ mục nhân cho ngƣời

dùng thì trong mục Connect chọn ổ đĩa hiển thị trên máy trạm và đƣờng dẫn mà đĩa

này cần ánh xạ đến.

- Tab Member Of: Tab Member Of cho phép xem và cấu hình tài khoản ngƣời

dùng hiện tại là thành viên của những nhóm nào. Một tài khoản ngƣời dùng có thể là

thành viên của nhiều nhóm khác nhau, nó đƣợc thừa hƣởng quyền của nhóm. Muốn

gia nhập vào nhóm nào nhấp chuột vào nút Add, hộp thoại chọn nhóm sẽ hiện ra.

Hình 2.24: Tab Member Of

Trong hộp thoại chọn nhóm, nhấp chuột vào nút Advanced và Find Now để tìm

hết tất cả các nhóm.

117

Hình 2.25: Thêm ngƣời dùng vào nhóm

Nếu muốn tài khoản ngƣời dùng hiện tại thoát ra khỏi một nhóm nào đó thì

chọn nhóm sau đó nhấp chuột vào nút Remove.

- Tab Dial-in: cho phép cấu hình quyền truy cập từ xa của ngƣời dùng cho kết

nối dial-in hoặc VPN, chúng ta sẽ khảo sát chi tiết ở chƣơng Routing and Remote

Access.

Hình 2.26: Tab Dial-in 2.1.7. Tạo và xác lập các tuỳ biến cho ngƣời sử dụng

Trong windows Server 2003, môi trƣờng tính toán của ngƣời sử dụng đƣợc xác định chủ yếu user profile, để bảo đảm bảo mật, Windows Server 2003 yêu cầu một

user profile cho mỗi user account có sự truy cập vào hệ thống.

User Profile chứa tất cả các xác lập mà ngƣời dùng sử dụng có thể ấn định cho

môi trƣờng làm việc của một máy tính đang chạy Windows Server 2003, bao gồm các

xác lập màn hình hiển thị, vùng chuột và âm thanh, bên cạnh các nối kết mạng và máy

118

in, có thể cài đặt các user profile, một profile hƣớng dẫn sử dụng vào mỗi máy tính mà

ngƣời này kết nối.

1) Các loại user Profile

Một user profile đƣợc tạo khi một ngƣời sử dụng kết nối với một máy tính vào

lần đầu tiên. Tất cả các xác lập của ngƣời sử dụng đều đƣợc lƣu tự động trong Folder

Documents and Settings (C:\Document and Setting\User name). Khi ngƣời sử dụng ngắt kết nối, profile của ngƣời sử dụng đƣợc cập nhật trên máy tính mà tại đó ngƣời sử

dụng đƣợc kết nối. Do đó, User Profile duy trì các xác lập màn hình nền cho môi

trƣờng làm việc của mỗi ngƣời sử dụng trên máy tính cục bộ.

Chỉ có những ngƣời ngƣời quản lý hệ thống mới có thể thể hiện thay đổi với các User Profile Ủy nhiệm. Các loại user bao gồm Default User Profile, Local user

profile, Roaming user profiles và mandatory user profile.

- Default User Profile: Có tác dụng nhƣ một là nền tảng cho tất cả các User

Profile, mỗi User Profile bắt đầu ớ dạng một bản sao của Default User Profile (user

profile mặc định), đƣợc lƣu trữ trên mỗi máy tính đang chạy Windows Server 2003

Professional hoặc Windows Server 2003.

- Local User Profile: Đƣợc tạo vào lần đầu tiên ngƣời sử dụng kết nối với một

máy tính và đƣợc chứa trên máy tính cục bộ. Mọi thay đổi xảy ra với user local profile

đều dành riêng cho máy tính mà các thay đổi đƣợc thực hiện trên đó. Nhiều Local user profile có thể tồn tại trên một máy tính.

- Roaming User Profile: Đƣợc tạo bởi ngƣời quản lý hệ thống và đƣợc chứa

trên một server. File này có sẵn mỗi khi ngƣời sử dụng kết nối vào mạng máy tính bất

kỳ trên mạng. Nếu một ngƣời sử dụng thực hiện các thay đổi đối với các xác lập màn

hình nền của mình, user profile đƣợc cập nhật trên server khi ngƣời sử dụng ngắt kết

nối.

- Mandatory user Profile: Đƣợc tạo bởi một ngƣời quản lý để chỉ định các xác

lập đặc biệt cho một hay nhiều ngƣời sử dụng. Các mandatory user profile (user profile

uỷ nhiệm), không cho phép ngƣời sử dụng lƣu bất kỳ sự thay đổi nào vào các xác lập màn hình nền của họ. Những ngƣời sử dụng có thể chỉnh sửa các xác lập màn hình nền của máy tính trong khi họ kết nối, nhƣng các thay đổi không đƣợc lƣu khi họ ngắt kết nối.

2) Tạo Roaming và mandatory Roaming user profiles

Có thể chứa các user profile trên một server để chúng có sẵn mỗi khi ngƣời sử

dụng kết nối vào tài nguyên mạng. Roaming và Mandatory user profile chứa tất cả tập trung một server để cung cấp môi trƣờng làm việc cho ngƣời sử dụng nhƣ nhau bất kỳ

để họ kết nối tới máy tính nào.

- Tạo Roaming User Profile

119

Hình 2.27: Hộp thoại tạo Roaming User Profile

Để cài đặt một Roaming user profile, hãy thực hiện các bƣớc sau:

1. Tạo một Folder chia sẻ trên một server và cho ngƣời sử dụng cấp quyền

Full Control đối với Folder.

2. Cung cấp đƣờng dẫn đến Folder chia sẻ, để thực hiện điều này, hãy mở

Active Directory Users and Computers. Trong ô details hãy nhấp phải vào

user account và sau đó chọn Properties. Trên nhãn Profile, dƣới user

profile, gõ nhập thông tin đƣờng dẫn đến Folder share trong hộp Path

Profile.Thông tin đƣờng dẫn sẽ xuất hiện nhƣ sau:

\\server_name\shared_folder_name\user_name

Có thể sử dụng biến %username% nhập thông tin user name thay vì gõ vào.

Windows Server 2003 tự động thay thế %username% bằng tên use account bởi

Roaming user profile.

Sau khi Roaming user profile đƣợc tạo, chỉ có ngƣời quản lý hoặc ngƣời sử

dụng mới có quyền chỉnh sửa.

Chú ý: File Ntuser.dat chứa phần đăng ký áp dụng cho user account và chứa các xác lập cho user profile. File này đƣợc đặt trong Folder Profile của ngƣời sử dụng. - Tạo một Mandatory Roaming User Profile: Sử dụng mộ Mandadatory profile khi một nhóm ngƣời sử dụng cần các xác lập màn hình nền giống nhau và không họ

chỉnh sửa màn hình nền.

120

Hình 2.28: Tạo một Mandatory Roaming User Profile

Để tạo một mandatory roaming user profile hãy thực hiện các tác vụ sau đây.

1. Tạo một Folder chia sẻ trên server có Folder profile dành cho user profile mà tạo trong nó. Cung cấp cho ngƣời sử dụng cấp độ cho phép Full

Control đối với Folder Profile. Chẳng hạn, hãy tạo một folder có tên

Profile, và sau đó tạo một Folder có tên là User trong Folder Profile.

2. Cài đặt một roaming user profile đã cấu hình. Trong Active Directory Users and Computer, hãy tạo một user mới, chỉ định Folder Profile của

user dành cho thông tin đƣờng dẫn, và sau đó cấu hình Profile.

Chẳng hạn hãy tạo một user có tên là User1 và chỉ định đƣờng dẫn profile là

\\Server_name\Profile\User1. Để cấu hình Profile hãy kết nối vời Domain với tƣ cách

là User1 . Chỉnh sửa các xác lập màn hình nền cần thiết sau đó ngắt kết nối.

3. Đặt tên file Profile là Ntuser.dat thành Ntuser.man. Điều làm cho Profile chỉ đƣợc đọc và do đó trở thành mandatory Profile. Để đặt lại tên profile kết nối với tƣ cách ngƣời quản trị Administrator, mở Windows Explorer, và trong Folder Profile của ngƣời sử dụng hãy đặt lại tên file Ntuser.dat thành Ntuser.man.

Chú ý: File Ntuser.dat trong Folder Profile của ngƣời sử dụng, sẽ đƣợc che dấu. Để xem file này trong Windows Explorer, nhấp Tools, và nhấp vào Folder Options.

Trên nhãn View của hộp thoại Folder Options, dƣới Advanced settings, hãy nhấp show hidden file and Folder. Xoá chọn hộp kiểm Hide file extensions for knows file Types, và nhấp OK.

121

2.2. Nhóm và cách dùng nhóm để quản lý ngƣời sử dụng

2.2.1 Giới thiệu về nhóm trong Windows Server Tài khoản nhóm (group account) là một đối tƣợng đại diện cho một nhóm

ngƣời nào đó, dùng cho việc quản lý chung các đối tƣợng ngƣời dùng. Việc phân

bổ các ngƣời dùng vào nhóm giúp chúng ta dễ dàng cấp quyền trên các tài nguyên

mạng nhƣ thƣ mục chia sẻ, máy in. Chú ý là tài khoản ngƣời dùng có thể đăng nhập vào mạng nhƣng tài khoản nhóm không đƣợc phép đăng nhập mà chỉ dùng để

quản lý. Tài khoản nhóm đƣợc chia làm hai loại: nhóm bảo mật (security group) và nhóm phân phối (distribution group).

2.2.2. Các loại nhóm

Nhóm bảo mật: Nhóm bảo mật là loại nhóm đƣợc dùng để cấp phát các

quyền hệ thống (rights) và quyền truy cập (permission). Giống nhƣ các tài khoản

ngƣời dùng, các nhóm bảo mật đều đƣợc chỉ định các SID. Có ba loại nhóm bảo

mật chính là: local, global và universal. Tuy nhiên nếu chúng ta khảo sát kỹ thì có

thể phân thành bốn loại nhƣ sau: local, domain local, global và universal.

Local group (nhóm cục bộ) là loại nhóm có trên các máy stand alone server,

member server, Win2K Pro hay WinXP. Các nhóm cục bộ này chỉ có ý nghĩa và phạm vi hoạt động ngay tại trên máy chứa nó.

Domain local group (nhóm cục bộ miền) là loại nhóm cục bộ đặc biệt vì

chúng là local group nhƣng nằm trên máy Domain Controller. Các máy Domain

Controller có một cơ sở dữ liệu Active Directory chung và đƣợc sao chép đồng bộ

với nhau do đó một local group trên một Domain Controller này thì cũng sẽ có mặt

trên các Domain Controller có quan hệ với nó. Nhƣ vậy local group này có mặt

trên miền nên đƣợc gọi với cái tên nhóm cục bộ miền. Các nhóm trong mục Built-

in của Active Directory là các domain local.

Global group (nhóm toàn cục hay nhóm toàn mạng) là loại nhóm nằm trong

Active Directory và đƣợc tạo trên các Domain Controller. Chúng dùng để cấp phát

những quyền hệ thống và quyền truy cập vƣợt qua những ranh giới của một miền. Một nhóm global có thể đặt vào trong một nhóm local của các server thành viên trong miền. Chú ý khi tạo nhiều nhóm global thì có thể làm tăng tải trọng công việc của Global Catalog.

Universal group (nhóm phổ quát) là loại nhóm có chức năng giống nhƣ global group nhƣng nó dùng để cấp quyền cho các đối tƣợng trên khắp các miền

trong một rừng và giữa các miền có thiết lập quan hệ tin cậy với nhau. Loại nhóm này tiện lợi hơn hai nhóm global group và local group vì chúng dễ dàng lồng các nhóm vào nhau. Nhƣng chú ý là loại nhóm này chỉ có thể dùng đƣợc khi hệ thống của phải hoạt động ở chế độ Windows 2000 native functional level hoặc Windows

122

Server 2003 functional level có nghĩa là tất cả các máy Domain Controller trong

mạng đều phải là Windows Server 2003 hoặc Windows 2000 Server.

Nhóm phân phối: Nhóm phân phối là một loại nhóm phi bảo mật, không có

SID và không xuất hiện trong các ACL (Access Control List). Loại nhóm này không

đƣợc dùng bởi các nhà quản trị mà đƣợc dùng bởi các phần mềm và dịch vụ.

Chúng đƣợc dùng để phân phố thƣ (e-mail) hoặc các tin nhắn (message).

Qui tắc gia nhập nhóm

- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong

nhóm Machine Local.

- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong

chính loại nhóm của mình.

- Nhóm Global và Universal có thể đặt vào trong nhóm Domain local. - Nhóm Global có thể đặt vào trong nhóm Universal.

Hình 2.29: Khả năng gia nhập của các loại nhóm

Tài khoản nhóm Domain Local tạo sẵn: Trong công cụ Active Directory User

and Computers, container Users chứa nhóm universal, nhóm domain local và nhóm

global là do hệ thống đã mặc định quy định trƣớc. Nhƣng một số nhóm domain local

đặc biệt đƣợc đặt trong container Built-in, các nhóm này không đƣợc di chuyển sang

các OU khác, đồng thời nó cũng đƣợc gán một số quyền cố định trƣớc nhằm phục vụ cho công tác quản trị.

Administrators: Nhóm này mặc định đƣợc ấn định sẵn tất cả các quyền hạn cho nên thành viên của nhóm này có toàn quyền trên hệ thống mạng. Nhóm Domain Admins và Enterprise Admins là thành viên mặc định của nhóm Administrators.

Account Operators: Thành viên của nhóm này có thể thêm, xóa, sửa đƣợc các

tài khoản ngƣời dùng, tài khoản máy và tài khoản nhóm. Tuy nhiên họ không có quyền xóa, sửa các nhóm trong container Built-in và OU.

Domain Controllers: Nhóm này chỉ có trên các Domain Controller và mặc định không có thành viên nào, thành viên của nhóm có thể đăng nhập cục bộ vào các Domain Controller nhƣng không có quyền quản trị các chính sách bảo mật.

123

Backup Operators: Thành viên của nhóm này có quyền lƣu trữ dự phòng

(Backup) và phục hồi (Retore) hệ thống tập tin. Trong trƣờng hợp hệ thống tập tin là NTFS và họ không đƣợc gán quyền trên hệ thống tập tin thì thành viên của nhóm này

chỉ có thể truy cập hệ thống tập tin thông qua công cụ Backup. Nếu muốn truy cập trực

tiếp thì họ phải đƣợc gán quyền.

Guests: Là nhóm bị hạn chế quyền truy cập các tài nguyên trên mạng. Các thành viên nhóm này là ngƣời dùng vãng lai không phải là thành viên của mạng. Mặc

định các tài khoản Guest bị khóa

Print Operator: Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏ

các đối tƣợng máy in dùng chung trong Active Directory.

Server Operators: Thành viên của nhóm này có thể quản trị các máy server

trong miền nhƣ: cài đặt, quản lý máy in, tạo và quản lý thƣ mục dùng chung, backup

dữ liệu, định dạng đĩa, thay đổi giờ…

Users: Mặc định mọi ngƣời dùng đƣợc tạo đều thuộc nhóm này, nhóm này có

quyền tối thiểu của một ngƣời dùng nên việc truy cập rất hạn chế.

Replicator: Nhóm này đƣợc dùng để hỗ trợ việc sao chép danh bạ trong

Directory Services, nhóm này không có thành viên mặc định.

Incoming Forest Trust Builders: Thành viên nhóm này có thể tạo ra các quan hệ

tin cậy hƣớng đến một chiều vào các rừng. Nhóm này không có thành viên mặc định.

Network Configuration Operators: Thành viên nhóm này có quyền sửa đổi các

thông số TCP/IP trên các máy Domain Controller trong miền.

Pre-Windows 2000 Compatible Access: Nhóm này có quyền truy cập đến tất cả

các tài khoản ngƣời dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các hệ thống

WinNT cũ.

Remote Desktop User: Thành viên nhóm này có thể đăng nhập từ xa vào các

Domain Controller trong miền, nhóm này không có thành viên mặc định.

Performace Log Users: Thành viên nhóm này có quyền truy cập từ xa để ghi

nhận lại những giá trị về hiệu năng của các máy Domain Controller, nhóm này cũng không có thành viên mặc định.

Performace Monitor Users: Thành viên nhóm này có khả năng giám sát từ xa

các máy Domain Controller.

Tài khoản nhóm Global tạo sẵn Domain Admins: Thành viên của nhóm này có thể toàn quyền quản trị các máy

tính trong miền vì mặc định khi gia nhập vào miền các member server và các máy trạm (Win2K Pro, WinXP) đã đƣa nhóm Domain Admins là thành viên của nhóm cục

bộ Administrators trên các máy này.

124

Domain Users: Theo mặc định mọi tài khoản ngƣời dùng trên miền đều là

thành viên của nhóm này. Mặc định nhóm này là thành viên của nhóm cục bộ Users trên các máy server thành viên và máy trạm. Group Policy

Creator Owners: Thành viên nhóm này có quyền sửa đổi chính sách nhóm của

miền, theo mặc định tài khoản administrator miền là thành viên của nhóm này.

Enterprise Admins: Đây là một nhóm universal, thành viên của nhóm này có toàn quyền trên tất cả các miền trong rừng đang xét. Nhóm này chỉ xuất hiện trong

miền gốc của rừng. Mặc định nhóm này là thành viên của nhóm administrators trên

các Domain Controller trong rừng.

Schema Admins: Nhóm universal này cũng chỉ xuất hiện trong miền gốc của rừng, thành viên của nhóm này có thể chỉnh sửa cấu trúc tổ chức (schema) của Active

Directory.

Các nhóm tạo sẵn đặc biệt: Ngoài các nhóm tạo sẵn, hệ thống Windows

Server 2003 còn có một số nhóm tạo sẵn đặt biệt, chúng không xuất hiện trên cửa sổ

của công cụ Active Directory User and Computer, mà chúng chỉ xuất hiện trên các

ACL của các tài nguyên và đối tƣợng.

Ý nghĩa của nhóm đặc biệt:

- Interactive: đại diện cho những ngƣời dùng đang sử dụng máy tại chỗ. - Network: đại diện cho tất cả những ngƣời dùng đang nối kết mạng đến một máy

tính khác.

- Everyone: đại diện cho tất cả mọi ngƣời dùng. - System: đại diện cho hệ điều hành. - Creator owner: đại diện cho những ngƣời tạo ra, những ngƣời sở hữa một tài

nguyên nào đó nhƣ: thƣ mục, tập tin, tác vụ in ấn (print job)…

- Authenticated users: đại diện cho những ngƣời dùng đã đƣợc hệ thống xác thực,

nhóm này đƣợc dùng nhƣ một giải pháp thay thế an toàn hơn cho nhóm everyone.

- Anonymous logon: đại diện cho một ngƣời dùng đã đăng nhập vào hệ thống

một cách nặc danh, chẳng hạn một ngƣời sử dụng dịch vụ FTP.

- Service: đại diện cho một tài khoản mà đã đăng nhập với tƣ cách nhƣ một dịch

vụ.

- Dialup: đại diện cho những ngƣời đang truy cập hệ thống thông qua Dial-up

Networking.

2.2.3. Tạo các nhóm

1) Chiến lƣợc để sử dụng local group trong một workgroup

Trong một môi trƣờng workgroup, chiến lƣợc mà sử dụng để cấp phát các mức

độ cho phép hoặc quyền truy cập thì tƣơng đối thuận lợi. Bất cứ user nào muốn truy

cập vào một nguồn tài nguyên chia sẻ hoặc thực hiện một tác vụ hệ thống trên máy

125

tính phải có một user account trên máy tính đó. Nếu có nhiều user trên máy tính yêu

cầu truy cập vào cùng một nguồn tài nguyên hoặc cần thực hiện tác vụ hệ thống giống hệt nhau, thì phải sử dụng local group để cấp phát mức độ hoặc quyền cho phép rồi bổ

sung user account phù hợp dƣới dạng các thành viên.

Phƣơng pháp này gọi là chiến lƣợc ALP.

 Đặt user account (A) trong một local group (L) trên máy tính đang có nguồn tài nguyên hoặc trên máy tính mà muốn user phải thực hiện các tác vụ của

hệ thống.

 Cấp phát mức độ cho phép (P) hoặc quyền cho Local group trên máy tính đang có nguồn tài nguyên mạng hoặc trên máy tính vốn yêu cầu phải thực hiện các tác vụ hệ thống.

2) Tạo các local group

Sử dụng Computer Management để tạo các local group, tạo các local group

trong một Folder Groups. Lúc tạo một group, cũng có thể bổ sung vào đó các thành

viên (member). Để tạo một local group và bổ sung các thành viên, hãy thực hiện các

bƣớc sau đây:

(1) Trong Computer Management, hãy mở rộng Local Users and Groups. (2) Nhấp phải Folder Groups, rồi nhấp New Group. (3) Nhấp Create để tạo local group

Hình 2.30: Hộp thoại tạo các local group Bảng dƣới đây mô tả các tuỳ chọn trong hộp thoại New Group.

Tuỳ chọn Mô tả

Group Một tên để chỉ local group. Đây là hạng mục duy nhất đƣợc yêu

Name

cầu. Hãy sử dụng bất cứ ký tự nào ngoại trừ dấu backslash (\). Tên có thể chứa lên đến 256 ký tự; tuy nhiên tên quá dài thì không thể

hiển thị trong một vài cửa sổ.

126

Description Phần mô tả group

Members Các thành viên thuộc về group. Để bổ sung một user vào danh sách các thành viên, hãy nhấp Add. Chọn một user hoặc group từ

danh sách, nhấp Add rồi nhấp OK. Để xoá một user khỏi danh

sách các thành viên, hãy chọn tên của User hoặc group muốn xoá

bỏ rồi nhấp remove.

3) Chiến lƣợc để sử dụng group trong một Domain đơn

Hình 2.31: Sử dụng Group quản lý miền đơn

Lúc sử dụng các group trong một domain thì sử dụng chiến lƣợc A G DL P.

Chiến lƣợc A G DL P là: Đặt user Account (A) vào Global group (G), đặt Global

group vào Domain Local Group (DL), rồi cấp quyền cho phép (P) vào Domain Local

Group.

Lúc cài đặt các group, hãy sử dụng các chiến lƣợc sau đây:

- Nhận biết các user với khả năng chung và bổ sung user account vào một

Global group. Ví dụ trong một văn phòng kinh doanh, hãy bổ sung user account cho

tất cả các nhân viên bán hàng vốn có vốn sử dụng cùng một nguồn tài nguyên vào một

Global group đƣợc gọi là Sales.

- Xác định cho biết có thể sử dụng một domain local group đƣợc tạo sẵn hay không, hoặc có cần tạo một domain local group để cung cấp cho những ngƣời dùng quyền truy cập vào các nguồn tài nguyên domain hay không. Ví dụ nếu muốn những ngƣời dùng có thể in sang máy in màu chia sẻ trong một domain, thì hãy tạo domain local group có tên là Color Printer Users.

- Làm cho tất cả các Global group vốn có nhu cầu chia sẻ vào các nguồn tài

nguyên từ các thành viên của Domain Local Group tƣơng ứng. Ví dụ: để bổ sung các

local group tƣơng ứng, bằng cách đƣa vào sales, vào domain local group Color Printer

Users.

127

- Cấp phát mức độ cho phép đƣợc yêu cầu cho domain local group trên domain

controller có thể cấp phát mức độ cho phép tại nguồn tài nguyên. Ví dụ: Cấp phát mức độ cho phép cần thiết để sử dụng máy in màu cho Color Printer Users domain local

group.

4) Chỉ dẫn để tạo các Domain group

Khi tạo các group để sử dụng trong một domain nên xem xét các chỉ dẫn sau

đây:

Xác định xem group scope đƣợc yêu cầu có đặt cơ sở trên cách mà muốn dùng

group hay không. Ví dụ, sử dụng global group để nhóm các User account, còn một

cách khác nửa hãy sử dụng Domain local group để cấp quyền cho phép truy cập tài nguyên.

Xác định xem có mức độ cho phép tạo một group trong một domain phù hợp

hay không.

Theo mặc định, các thành viên của nhóm quản lý hoặc nhóm Account Operator

đều có mức độ cho phép tạo ra group.

Một ngƣời quản lý có thể cho phép một user tạo các group trong domain.

Xác định tên của group. Tạo nên tên của group cho phù hợp nhằm phản ảnh

mục đích mà nó đƣợc tạo. Điều này đặc biệt hữu ích nếu ngƣời quản lý từ một domain

khác cần tìm kiếm nó trong Active Directory.

Lƣu ý: Nếu có nhiều group song song trong nhiều Domain, thì phải chắc chắn

rằng các tên điều là song song , và chúng phản ảnh các tên domain. Ví dụ, nếu có một

group dành cho những nhà quản lý trong domain, thì những group này sẽ sử dụng một

sơ đồ tên tƣơng tự, chẳng hạn nhƣ Managers USA và managers Australia.

5) Tạo và xoá bỏ các domain group

Tạo và xoá bỏ các group trong Active Directory Users and Computers, có thể

tạo chúng trong Folder Users mặc định hoặc trong bất cứ Folder nào đƣợc tạo. Lúc

không còn cần một group nữa chắc chắn phải xoá nó để không tình cờ cấp phát cho

mức độ cho phép.

- Tạo một Group

Để tạo một group, hãy mở Active Directory Users and Computers. Nhấp chuột

phải lên Folder muốn tạo Group, trỏ đến New rồi nhấp Group.

128

Hình 2.32: Tạo group trong miền

Bảng dƣới đây sẽ mô tả các tuỳ chọn trong hộp thoại New Object Group

Tuỳ chọn Mô tả

Group name Tên của Group mới, tên phải là duy nhất tên domain đã

tạo group.

Group name (pre- Tên đƣợc dùng để hỗ trợ cho Client và Server từ phiên

Windows 2002) bản Windows trƣớc.

Group scope group scope. nhấp Domain local, Global, hoặc

Universal.

Group type Kiểu group. nhấp Security or Distribution.

Lƣu ý: Sau khi tạo một group, windows Server 2003 cho phép di chuyển một

group bên trong cấu trúc domain của nó cho dù các chức năng tổ chức và quản lý có

thay đổi hay không. Mặc dù dễ dàng thay đổi một group, bởi vì một group là một đối

tƣợng Active Directory, nhƣng cũng cần phải cảnh giác về tính phức tạp của cấu trúc

Active Directory.

- Xoá bỏ một Group

Khi xoá bỏ một group, xoá bỏ mức độ cho phép và quyền có liên quan với nó. Việc xoá bỏ một group không có nghĩa rằng xoá bỏ các user account hoặc các group

vốn là thành viên của group đó.

Mỗi group tạo đều có một bộ chỉ thị duy nhất và không thể sử dụng lại đƣợc gọi là Security identifier (SID). Windows Server 2003 sử dụng SID để nhận biết group và nhận biết các mức độ cho phép đƣợc cấp phát cho nó. Lúc xoá bỏ một group,

Windows Server 2003 không bao giờ sử dụng SID này lại, thậm chí cả khi tạo một group mới với tên giống hệt nhƣ group đã xoá bỏ. Do đó không thể phục hồi việc truy

cập vào các nguồn tài nguyên bằng cách tạo một group có cùng tên.

Để xoá bỏ một group, hãy mở Active Directory Users and Computers trong cây console, hãy mở rộng Domain, rồi nhấp Folder có chứa group muốn xoá bỏ. Trong ô

129

chi tiết, hãy nhấp phải lên group muốn xoá bỏ, rồi nhấp Delete. Không thể xoá bỏ các

group đƣợc tạo sẵn hoặc đƣợc xác lập trƣớc.

2.2.4. Dùng nhóm để quản lý ngƣời sử dụng

Sau khi tạo một group, có thể bổ sung các thành viên vào group đó, các thành

viên vào group đó. Các thành viên của group có thể bao gồm các user account, các

group và các máy tính khác. Sử dụng Active Directory Users and Computers để bổ sung các thành viên vào một group.

Hình 2.33: Thêm ngƣời dùng vào nhóm Để bổ sung các thành viên vào một group, hãy thực hiện các bƣớc sau đây:

- Trong hộp thoại Properties dành cho group phù hợp, hãy nhấp nhãn members,

rồi nhấp Add.

- Trong danh sách Look in, hãy chọn một domain để qua đó hiển thị các user

account và các Group. Có thể chọn Entire Directory để xem các user account và các

group từ bất cứ nơi nào trong Active Directory.

Lúc bổ sung các thành viên có thể phân loại các thành viên theo tên hoặc theo

Folder mà chúng đang có. Trong hộp thoại Select Users, Contacts, Computers, or Groups, hãy nhấp cột phù hợp.

- Trong cột name, hãy chọn User Account hoặc group muốn bổ sung, rồi nhấp Add. Có thể gõ tên của user account hoặc group muốn bổ sung. Hãy lặp lại bƣớc này để bổ sung user account hoặc group phụ.

- Nhấp Ok để bổ sung các thành viên vào group, rồi nhấp Ok để đóng hộp thoại

Properties.

Cũng có thể bổ sung một user Account hoặc group vào group khác bằng cách

sử dụng nhãn member of trong hộp thoại Properties dành cho các User Account hoặc

130

group đó. Sử dụng phƣơng pháp này để nhanh chóng bổ sung cùng một group hoặc

một User vào nhiều nhóm.

2.2.5. Bảo mật nhóm (Group policies) 1) Chính sách hệ thống

a) Chính sách tài khoản ngƣời dùng (Account Policy)

Chính sách tài khoản ngƣời dùng (Account Policy) đƣợc dùng để chỉ định các thông số về tài khoản ngƣời dùng mà nó đƣợc sử dụng khi tiến trình logon xảy ra. Nó

cho phép cấu hình các thông số bảo mật máy tính cho mật khẩu, khóa tài khoản và

chứng thực Kerberos trong vùng. Nếu trên Server thành viên thì sẽ thấy hai mục

Password Policy và Account Lockout Policy, trên máy Windows Server 2003 làm domain controller thì sẽ thấy ba thƣ mục Password Policy, Account Lockout Policy và

Kerberos Policy. Trong Windows Server 2003 cho phép quản lý chính sách tài khoản

tại hai cấp độ là: cục bộ và miền. Muốn cấu hình các chính sách tài khoản ngƣời dùng

ta vào Start | Programs | Administrative Tools| Domain Security Policy hoặc Local

Security Policy.

Hình 2.34: Hộp thoại Default Domain Security Settings

- Chính sách mật khẩu

Chính sách mật khẩu (Password Policies) nhằm đảm bảo an toàn cho mật khẩu

của ngƣời dùng để trách các trƣờng hợp đăng nhập bất hợp pháp vào hệ thống. Chính sách này cho phép qui định chiều dài ngắn nhất của mật khẩu, độ phức tạp của mật khẩu…

131

Hình 2.35: Các chính sách mật khẩu

Các lựa chọn trong chính sách mật khẩu:

- Chính sách khóa tài khoản

Chính sách khóa tài khoản (Account Lockout Policy) quy định cách thức và

thời điểm khóa tài khoản trong vùng hay trong hệ thống cục bộ. Chính sách này giúp

hạn chế tấn công thông qua hình thức logon từ xa.

Các thông số cấu hình chính sách khóa tài khoản:

132

b) Chính sách cục bộ

Chính sách cục bộ (Local Policies) cho phép thiết lập các chính sách giám sát

các đối tƣợng trên mạng nhƣ ngƣời dùng và tài nguyên dùng chung. Đồng thời dựa vào công cụ này có thể cấp quyền hệ thống cho các ngƣời dùng và thiết lập các lựa

chọn bảo mật.

- Chính sách kiểm toán

Chính sách kiểm toán (Audit Policies) thể giám sát và ghi nhận các sự kiện xảy

ra trong hệ thống, trên các đối tƣợng cũng nhƣ đối với các ngƣời dùng. Có thể xem các

ghi nhận này thông qua công cụ Event Viewer, trong mục Security.

Hình 2.36: Các chính sách kiểm toán

Các lựa chọn trong chính sách kiểm toán:

133

- Quyền hệ thống của ngƣời dùng

Đối với hệ thống Windows Server 2003, có hai cách cấp quyền hệ thống cho

ngƣời dùng là: gia nhập tài khoản ngƣời dùng vào các nhóm tạo sẵn (built-in) để kế

thừa quyền hoặc dùng công cụ User Rights Assignment để gán từng quyền rời rạc cho

ngƣời dùng. Cách thứ nhất chỉ cần nhớ các quyền hạn của từng nhóm tạo sẵn gán

quyền cho ngƣời dùng theo yêu cầu, cách thứ hai thì phải dùng công cụ Local Security Policy (nếu máy không phải Domain Controller) hoặc Domain Controller Security

Policy (nếu máy là Domain Controller). Trong hai công cụ đó mở mục Local Policy\

User Rights Assignment.

Hình 2.37: Quyền hệ thống của ngƣời dùng

134

Để thêm, bớt một quyền hạn cho ngƣời dùng hoặc nhóm, nhấp đôi chuột vào

quyền hạn đƣợc chọn, nó sẽ xuất hiện một hộp thoại chứa danh sách ngƣời dùng và nhóm hiện tại đang có quyền này. Có thể nhấp chuột vào nút Add để thêm ngƣời dùng,

nhóm vào danh sách hoặc nhấp chuột vào nút Remove để xóa ngƣời dùng khỏi danh

sách. Ví dụ minh họa sau là cấp quyền thay đổi giờ hệ thống (change the system time)

cho ngƣời dùng “Tuan”.

Hình 2.38: Xóa ngƣời dùng khỏi danh sách

Danh sách các quyền hệ thống cấp cho ngƣời dùng và nhóm:

135

- Các lựa chọn bảo mật

136

Các lựa chọn bảo mật (Security Options) cho phép ngƣời quản trị Server khai

báo thêm các thông số nhằm tăng tính bảo mật cho hệ thống nhƣ: không cho phép hiển thị ngƣời dùng đã logon trƣớc đó, đổi tên tài khoản ngƣời dùng tạo sẵn.

Hình 2.39: Các lựa chọn bảo mật

Một số lựa chọn bảo mật thông dụng:

c) IPSec

IP Security (IPSec) là một giao thức hỗ trợ thiết lập các kết nối an toàn dựa trên IP. Giao thức này hoạt động ở tầng ba (Network) trong mô hình OSI do đó nó an toàn và tiện lợi hơn các giao thức an toàn khác ở tầng Application nhƣ SSL. IPSec cũng là một thành phần quan trọng hỗ trợ giao thức L2TP trong công nghệ mạng riêng ảo VPN (Virtual Private Network). Để sử dụng IPSec phải tạo ra các qui tắc (rule), một qui tắc IPSec là sự kết hợp giữa hai thành phần là các bộ lọc IPSec (filter) và các tác

động IPSec (action). Ví dụ nội dung của một qui tắc IPSec là “Hãy mã hóa tất cả

những dữ liệu truyền Telnet từ máy có địa chỉ 192.168.0.10”, nó gồm hai phần, phần

137

bộ lọc là “qui tắc này chỉ hoạt động khi có dữ liệu đƣợc truyền từ máy có địa chỉ

192.168.0.10 thông qua cổng 23”, phần hành động là “mã hóa dữ liệu.

- Các tác động bảo mật

IPSec của Microsoft hỗ trợ bốn loại tác động (action) bảo mật, các tác động

bảo mật này giúp hệ thống có thể thiết lập những cuộc trao đổi thông tin giữa các máy

đƣợc an toàn. Danh sách các tác động bảo mật trong hệ thống Windows Server 2003 nhƣ sau:

Block transmissons: có chức năng ngăn chận những gói dữ liệu đƣợc truyền, ví

dụ muốn IPSec ngăn chận dữ liệu truyền từ máy A đến máy B, thì đơn giản là chƣơng

trình IPSec trên máy B loại bỏ mọi dữ liệu truyền đến từ máy A.

Encrypt transmissions: có chức năng mã hóa những gói dữ liệu đƣợc truyền, ví

dụ chúng tamuốn dữ liệu đƣợc truyền từ máy A đến máy B, nhƣng chúng ta sợ rằng có

ngƣời sẽ nghe trộm trên đƣờng truyền nối kết mạng giữa hai máy A và B. Cho nên

chúng ta cần cấu hình cho IPSec sử dụng giao thức ESP (encapsulating security

payload) để mã hóa dữ liệu cần truyền trƣớc khi đƣa lên mạng. Lúc này những ngƣời

xem trộm sẽ thấy những dòng byte ngẫu nhiên và không hiểu đƣợc dữ liệu thật. Do

IPSec hoạt động ở tầng Network nên hầu nhƣ việc mã hóa đƣợc trong suốt đối với

ngƣời dùng, ngƣời dùng có thể gởi mail, truyền file hay telnet nhƣ bình thƣờng.

Sign transmissions: có chức năng ký tên vào các gói dữ liệu truyền, nhằm tránh những kẻ tấn công trên mạng giả dạng những gói dữ liệu đƣợc truyền từ những máy đã

thiết lập quan hệ tin cậy, kiểu tấn công này còn có cái tên là main-in-the-middle. IPSec

cho phép chống lại điều này bằng một giao thức authentication header. Giao thức này

là phƣơng pháp ký tên số hóa (digitally signing) vào các gói dữ liệu trƣớc khi truyền,

nó chỉ ngăn ngừa đƣợc giả mạo và sai lệnh thông tin chứ không ngăn đƣợc sự nghe

trộm thông tin. Nguyên lý hoạt động của phƣơng pháp này là hệ thống sẽ thêm một bit

vào cuối mỗi gói dữ liệu truyền qua mạng, từ đó chúng ta có thể kiểm tra xem dữ liệu

có bị thay đổi khi truyền hay không.

Permit transmissions: có chức năng là cho phép dữ liệu đƣợc truyền qua, chúng dùng để tạo ra các qui tắc (rule) hạn chế một số điều và không hạn chế một số điều khác. Ví dụ một qui tắc dạng này “Hãy ngăn chặn tất cả những dữ liệu truyền tới, chỉ trừ dữ liệu truyền trên các cổng 80 và 443”.

Chú ý: đối với hai tác động bảo mật theo phƣơng pháp ký tên và mã hóa thì hệ thống còn yêu cầu chỉ ra IPSec dùng phƣơng pháp chứng thực nào. Microsoft hỗ trợ ba

phƣơng pháp chứng thực: Kerberos, chứng chỉ (certificate) hoặc một khóa dựa trên sự thỏa thuận (agreed-upon key). Phƣơng pháp Kerberos chỉ áp dụng đƣợc giữa các máy

trong cùng một miền Active Directory hoặc trong những miền Active Directory có ủy

quyền cho nhau. Phƣơng pháp dùng các chứng chỉ cho phép sử dụng các chứng chỉ

138

PKI (public key infrastructure) để nhận diện một máy. Phƣơng pháp dùng chìa khóa

chia sẻ trƣớc thì cho phép dùng một chuỗi ký tự văn bản thông thƣờng làm chìa khóa (key).

- Các bộ lọc IPSec

Để IPSec hoạt động linh hoạt hơn, Microsoft đƣa thêm khái niệm bộ lọc (filter)

IPSec, bộ lọc có tác dụng thống kê các điều kiện để qui tắc hoạt động. Đồng thời chúng cũng giới hạn tầm tác dụng của các tác động bảo mật trên một phạm vị máy tính

nào đó hay một số dịch vụ nào đó. Bộ lọc IPSec chủ yếu dự trên các yếu tố sau:

- Địa chỉ IP, subnet hoặc tên DNS của máy nguồn.

- Địa chỉ IP, subnet hoặc tên DNS của máy đích. - Theo số hiệu cổng (port) và kiển cổng (TCP, UDP, ICMP…)

- Triển khai IPSec trên Windows Server 2003.

Trong hệ thống Windows Server 2003 không hỗ trợ một công cụ riêng cấu hình

IPSec, do đó để triển khai IPSec chúng ta dùng các công cụ thiết lập chính sách dành

cho máy cục bộ hoặc dùng cho miền. Để mở công cụ cấu hình IPSec nhấp chuột vào

Start ¤ Run rồi gõ secpol.msc hoặc nhấp chuột vào Start ¤ Programs ¤ Administrative

Tools ¤ Local Security Policy, trong công cụ đó chọn IP Security Policies on Local

Machine.

Hình 2.40: Hộp thoại IP Security Policies on Local Machine

Tóm lại, các điều cần nhớ khi triển khai IPSec:

- Triển khai IPSec trên Windows Server 2003 thông qua các chính sách, trên

một máy tính bất kỳ nào đó vào tại một thời điểm thì chỉ có một chính sách IPSec đƣợc hoạt động.

- Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phƣơng pháp

chứng thực nào đó. Mặc dù các qui tắc permit và block không dùng đến chứng thực

nhƣng Windows vẫn đòi chỉ định phƣơng pháp chứng thực.

- IPSec cho phép chứng thực thông qua Active Directory, các chứng chỉ PKI

hoặc một khóa đƣợc chia sẻ trƣớc.

139

- Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động

bảo mật (action).

- Có bốn tác động mà qui tắc có thể dùng là: block, encrypt, sign và permit.

Triển khai IPSec trên Windows Server 2003

Trong hệ thống Windows Server 2003 không hỗ trợ một công cụ riêng cấu hình

IPSec, do đó để triển khai IPSec chúng ta dùng các công cụ thiết lập chính sách dành cho máy cục bộ hoặc dùng cho miền. Để mở công cụ cấu hình IPSec nhấp chuột vào

Start ¤ Run rồi gõ secpol.msc hoặc nhấp chuột vào Start ¤ Programs ¤ Administrative

Tools ¤ Local Security Policy, trong công cụ đó chọn IP Security Policies on Local

Machine. Tóm lại, các điều cần nhớ khi triển khai IPSec:

- Triển khai IPSec trên Windows Server 2003 thông qua các chính sách, trên

một máy tính bất kỳ nào đó vào tại một thời điểm thì chỉ có một chính sách IPSec

đƣợc hoạt động.

- Mỗi chính sách IPSec gồm một hoặc nhiều qui tắc (rule) và một phƣơng pháp

chứng thực nào đó. Mặc dù các qui tắc permit và block không dùng đến chứng thực

nhƣng Windows vẫn đòi chỉ định phƣơng pháp chứng thực.

- IPSec cho phép chứng thực thông qua Active Directory, các chứng chỉ PKI

hoặc một khóa đƣợc chia sẻ trƣớc.

- Mỗi qui tắc (rule) gồm một hay nhiều bộ lọc (filter) và một hay nhiều tác động

bảo mật (action).

- Có bốn tác động mà qui tắc có thể dùng là: block, encrypt, sign và permit.

Các chính sách IPSec tạo sẵn Trong khung cửa sổ chính của công cụ cấu hình IPSec, bên phải chúng ta thấy

xuất hiện ba chính sách đƣợc tạo sẵn tên là: Client, Server và Secure. Cả ba chính sách

này đều ở trạng thái chƣa áp dụng (assigned). Nhƣng chú ý ngay cùng một thời điểm

thì chỉ có thể có một chính sách đƣợc áp dụng và hoạt động, có nghĩa là khi áp dụng

một chính sách mới thì chính sách đang hoạt động hiện tại sẽ trở về trạng thái không hoạt động. Sau đây chúng ta sẽ khảo sát chi tiết ba chính sách tạo sẵn này.

- Client (Respond Only): chính sách qui định máy tính của không chủ động dùng IPSec trừ khi nhận đƣợc yêu cầu dùng IPSec từ máy đối tác. Chính sách này cho phép có thể kết nối đƣợc cả với các máy tính dùng IPSec hoặc không dùng IPSec.

- Server (Request Security): chính sách này qui định máy server chủ động cố

gắng khởi tạo IPSec mỗi khi thiết lập kết nối với các máy tính khác, nhƣng nếu máy client không thể dùng IPSec thì Server vẫn chấp nhận kết nối không dùng IPSec.

- Secure Server (Require Security): chính sách này qui định không cho phép bất

kỳ cuộc trao đổi dữ liệu nào với Server hiện tại mà không dùng IPSec.

140

Ví dụ tạo chính sách IPSec đảm bảo một kết nối đƣợc mã hóa Trong phần này chúng ta bắt tay vào thiết lập một chính sách IPSec nhằm đảm bảo một kết nối đƣợc mã hóa giữa hai máy tính. Chúng ta có hai máy tính, máy A có

địa chỉ 203.162.100.1 và máy B có địa chỉ 203.162.100.2. Chúng ta sẽ thiết lập chính

sách IPSec trên mỗi máy thêm hai qui tắc (rule), trừ hai qui tắc của hệ thống gồm: một

qui tắc áp dụng cho dữ liệu truyền vào máy và một qui tắc áp dụng cho dữ liệu truyền ra khỏi máy. Ví dụ qui tắc đầu tiên trên máy A bao gồm:

- Bộ lọc (filter): kích hoạt qui tắc này khi có dữ liệu truyền đến địa chỉ

203.162.100.1, qua bất kỳ cổng nào.

- Tác động bảo mật (action): mã hóa dữ liệu đó. - Chứng thực: chìa khóa chia sẻ trƣớc là chuỗi “quantri”.

Qui tắc thứ hai áp dụng cho máy A cũng tƣơng tự nhƣng bộ lọc có nội dung

ngƣợc lại là “dữ liệu truyền đi từ địa chỉ 203.162.100.1”. Chú ý: cách dễ nhất để tạo ra

một qui tắc là trƣớc tiên phải qui định các bộ lọc và tác động bảo mật, rồi sau đó mới

tạo ra qui tắc từ các bộ lọc và tác động bảo mật này. Các bƣớc để thực hiện một chính

sách IPSec theo yêu cầu nhƣ trên:

Trong công cụ Domain Controller Security Policy, nhấp phải chuột trên mục IP

Security Policies on Active Directory, rồi chọn Manage IP filter lists and filter actions.

Hình 2.41: Tab Manage IP filter lists and filter actions Hộp thoại xuất hiện, nhấp chuột vào nút add để thêm một bộ lọc mới. Nhập tên

cho bộ lọc này, trong ví dụ này chúng ta đặt tên là “Connect to 203.162.100.1”. Nhấp

chuột tiếp vào nút Add để hệ thống hƣớng dẫn khai báo các thông tin cho bộ lọc.

141

Hình 2.42: Hộp thoại IP Filter List

Làm theo hƣớng dẫn của hệ thống để khai báo các thông tin, chú ý nên đánh dấu vào mục Mirrored để qui tắc này có ý nghĩa hai chiều không phải tốn công để tạo

ra hai qui tắc. Mục Source address chọn My IP Address, mục Destination address chọn

A specific IP Address và nhập địa chỉ “203.162.100.1” vào, mục IP Protocol Type để

mặc định. Cuối cùng chọn Finish để hoàn thành phần khai báo, nhấp chuột tiếp vào nút

OK để trở lại hộp thoại đầu tiên.

Tiếp theo chuyển sang Tab Manage Filter Actions để tạo ra các tác động bảo

mật. Nhấp chuột vào nút Add hệ thống sẽ hƣớng dẫn khai báo các thông tin về tác

động. Trƣớc tiên đặt tên cho tác động này, ví dụ nhƣ là Encrypt.Tiếp tục trong mục

Filter Action chọn Negotiate security, trong mục IP Traffic Security chọn Integrity and

encryption. Đến đây đã hoàn thành việc tạo một tác động bảo mật.

Công việc tiếp theo là tạo một chính sách IPSec trong đó có chứa một qui tắc

kết hợp giữa bộ lọc và tác động vừa tạo ở phía trên. Trong công cụ Domain Controller

Security Policy, nhấp phải chuột trên mục IP Security Policies on Active Directory, rồi

chọn Create IP Security Policy, theo hƣớng dẫn nhập tên của chính vào, ví dụ là First IPSec, tiếp theo phải bỏ đánh dấu trong mục Active the default response rule. Các giá

trị còn lại để mặc định vì qui tắc Dynamic này chúng ta không dùng và sẽ tạo ra một qui tắc mới.

Trong hộp thoại chính sách IPSec, nhấp chuột vào nút Add để tạo ra qui tắc mới. Hệ thống sẽ hƣớng dẫn từng bƣớc thực hiện, đến mục chọn bộ lọc chọn bộ lọc

vừa tạo phía trên tên “Connect to 203.162.100.1”, mục chọn tác động chọn tác động vừa tạo tên Encypt. Đến mục chọn phƣơng pháp chứng thực chọn mục Use this string

to protect the key exchange và nhập chuỗi làm khóa để mã hóa dữ liệu vào, trong ví dụ

này là “quantri”.

Đến bƣớc này thì công việc thiết lập chính sách IPSec theo yêu cầu trên đã hoàn

thành, trong khung của sổ chính của công cụ Domain Controller Security Policy, nhấp

142

phải chuột lên chính sách First IPSec và chọn Assign để chính sách này đƣợc hoạt

động trên hệ thống Server.

2) Chính sách nhóm a) Giới thiệu

So sánh giữa System Policy và Group Policy

- Chính sách nhóm chỉ xuất hiện trên miền Active Directory , nó không tồn tại

trên miền NT4.

- Chính sách nhóm làm đƣợc nhiều điều hơn chính sách hệ thống. Tất nhiên

chính sách nhóm chứa tất cả các chức năng của chính sách hệ thống và hơn thế nữa, có

thể dùng chính sách nhóm để triển khai một phần mềm cho một hoặc nhiều máy một cách tự động.

- Chính sách nhóm tự động hủy bỏ tác dụng khi đƣợc gỡ bỏ, không giống nhƣ

các chính sách hệ thống.

- Chính sách nhóm đƣợc áp dụng thƣờng xuyên hơn chính sách hệ thống. Các

chính sách hệ thống chỉ đƣợc áp dụng khi máy tính đăng nhập vào mạng thôi. Các

chính sách nhóm thì đƣợc áp dụng khi bật máy lên, khi đăng nhập vào một cách tự

động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc.

- Có nhiều mức độ để gán chính sách nhóm này cho ngƣời từng nhóm ngƣời

hoặc từng nhóm đối tƣợng.

- Chính sách nhóm tuy có nhiều ƣu điểm nhƣng chỉ áp dụng đƣợc trên máy

Win2K, WinXP và

Windows Server 2003.

Chức năng của Group Policy

- Triển khai phần mềm ứng dụng: Có thể gom tất cả các tập tin cần thiết để cài

đặt một phần mềm nào đó vào trong một gói (package), đặt nó lên Server, rồi dùng

chính sách nhóm hƣớng một hoặc nhiều máy trạm đến gói phần mềm đó. Hệ thống sẽ

tự động cài đặt phần mềm này đến tất cả các máy trạm mà không cần sự can thiệp nào

của ngƣời dùng.

- Gán các quyền hệ thống cho ngƣời dùng: chức năng này tƣơng tự với chức năng của chính sách hệ thống. Nó có thể cấp cho một hoặc một nhóm ngƣời nào đó có quyền tắt máy server, đổi giờ hệ thống hay backup dữ liệu…

- Giới hạn những ứng dụng mà ngƣời dùng đƣợc phép thi hành: chúng ta có thể kiểm soát máy trạm của một ngƣời dùng nào đó và cho phép ngƣời dùng này chỉ chạy

đƣợc một vài ứng dụng nào đó thôi nhƣ: Outlook Express, Word hay Internet Explorer.

143

- Kiểm soát các thiết lập hệ thống: Có thể dùng chính sách nhóm để qui định

hạn ngạch đĩa cho một ngƣời dùng nào đó. Ngƣời dùng này chỉ đƣợc phép lƣu trữ tối đa bao nhiêu MB trên đĩa cứng theo qui định.

- Thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy: trong hệ

thống NT4 thì chỉ hỗ trợ kịch bản đăng nhập (logon script), nhƣng Windows 2000 và

Windows Server 2003 thì hỗ trợ cả bốn sự kiện này đƣợc kích hoạt (trigger) một kịch bản (script). Có thể dùng các GPO để kiểm soát những kịch bản nào đang chạy.

- Đơn giản hóa và hạn chế các chƣơng trình: Có thể dùng GPO để gỡ bỏ nhiều

tính năng khỏi Internet Explorer, Windows Explorer và những chƣơng trình khác.

- Hạn chế tổng quát màn hình Desktop của ngƣời dùng: Có thể gỡ bỏ hầu hết các đề mục trên menu Start của một ngƣời dùng nào đó, ngăn chặn không cho ngƣời

dùng cài thêm máy in, sửa đổi thông số cấu hình của máy trạm…

b) Triển khai một chính sách nhóm trên miền

Chúng ta cấu hình và triển khai Group Policy bằng cách xây dựng các đối

tƣợng chính sách (GPO). Các GPO là một vật chứa (container) có thể chứa nhiều

chính sách áp dụng cho nhiều ngƣời, nhiều máy tính hay toàn bộ hệ thống mạng. Dùng

chƣơng trình Group Policy Object Editor để tạo ra các đối tƣợng chính sách. Trong

của sổ chính của Group Policy Object Editor có hai mục chính: cấu hình máy tính

(computer configuration) và cấu hình ngƣời dùng (user configuration).

Hình 2.43: Công cụ Group Policy Object Editor

Điều kế tiếp khi triển khai Group Policy là các cấu hình chính sách của Group Policy đƣợc tích lũy và kề thừa từ các vật chứa (container) bên trên của Active Directory. Ví dụ các ngƣời dùng và máy tính vừa ở trong miền vừa ở trong OU nên sẽ

nhận đƣợc các cấu hình từ cả hai chính sách cấp miền lẫn chính sách cấp OU. Các

144

chính sách nhóm sau 90 phút sẽ đƣợc làm tƣơi và áp dụng một lần, nhƣng các chính

nhóm trên các Domain Controller đƣợc làm tƣơi 5 phút một lần. Các GPO hoạt động đƣợc không chỉ nhờ chỉnh sửa các thông tin trong Registry mà còn nhờ các thƣ viện

liên kết động (DLL) làm phần mở rộng đặt tại các máy trạm. Chú ý nếu dùng chính

sách nhóm thì chính sách nhóm tại chỗ trên máy cục bộ sẽ xử lý trƣớc các chính sách

dành cho site, miền hoặc OU.

- Xem chính sách cục bộ của một máy tính ở xa.

Để xem một chính sách cục bộ trên các máy tính khác trong miền, phải có

quyền quản trị trên máy đó hoặc quản trị miền. Lúc đó có thể dùng lệnh GPEDIT.MSC

/gpcomputer:machinename, ví dụ muốn xem chính sách trên máy PCO1 gõ lệnh GPEDIT.MSC /gpcomputer: PCO1. Chú ý là không thể dùng cách này để thiết lập các

chính sách nhóm ở máy tính ở xa, do tính chất bảo mật Microsoft không cho phép ở xa

thiết lập các chính sách nhóm.

- Tạo các chính sách trên miền.

Chúng ta dùng snap-in Group Policy trong Active Directory User and

Computer hoặc gọi trƣợc tiếp tiện ích Group Policy Object Editor từ dòng lệnh trên

máy Domain Controller để tạo ra các chính sách nhóm cho miền. Nếu mở Group

Policy từ Active Directory User and Computer thì trong khung cửa sổ chính của

chƣơng trình nhấp chuột phải vào biểu tƣợng tên miền (trong ví dụ này là netclass.edu.vn), chọn Properties. Trong hộp thoại xuất hiện chọn Tab Group Policy

Hình 2.44: Tạo các chính sách trên miền

145

Nếu chƣa tạo ra một chính sách nào thì chỉ nhìn thấy một chính sách tên

Default Domain Policy. Cuối hộp thoại có một checkbox tên Block Policy inheritance, chức năng của mục này là ngăn chặn các thiết định của mọi chính sách bất kỳ ở cấp

cao hơn lan truyền xuống đến cấp đang xét. Chú ý rằng chính sách đƣợc áp dụng đầu

tiên ở cấp site, sau đó đến cấp miền và cuối cùng là cấp OU. Chọn chính sách Default

Domain Policy và nhấp chuột vào nút Option để cấu hình các lựa chọn việc áp dụng chính sách. Trong hộp thoại Options, nếu đánh dấu vào mục No Override thì các chính

sách khác đƣợc áp dụng ở dòng dƣới sẽ không phủ quyết đƣợc những thiết định của

chính sách này, cho dù chính sách đó không đánh dấu vào mục Block Policy

inheritance. Tiếp theo nếu đánh dấu vào mục Disabled, thì chính sách này sẽ không hoạt động ở cấp này, Việc disbale chính sách ở một cấp không làm disable bản thân

đối tƣợng chính sách.

Để tạo ra một chính sách mới nhấp chuột vào nút New, sau đó nhập tên của

chính sách mới. Để khai báo thêm thông tin cho chính sách này có thể nhấp chuột vào

nút Properties, hộp thoại xuất hiện có nhiều Tab, có thể vào Tab Links để chỉ ra các

site, domain hoặc OU nào liên kết với chinh sách. Trong Tab Security cho phép cấp

quyền cho ngƣời dùng hoặc nhóm ngƣời dùng có quyền gì trên chính sách này

Hình 2.45: Tab Security cấp quyền cho ngƣời dùng hoặc nhóm Trong hộp thoại chính của Group Policy thì các chính sách đƣợc áp dụng từ dƣới lên trên, cho nên chính sách nằm trên cùng sẽ đƣợc áp dụng cuối cùng. Do đó, các GPO càng nằm trên cao trong danh sách thì càng có độ ƣu tiên cao hơn, nếu chúng có những thiết định mâu thuẫn nhau thì chính sách nào nằm trên sẽ thắng. Vì lý do đó

146

nên Microsoft thiết kế hai nút Up và Down giúp chúng ta có thể di chuyển các chính

sách này lên hay xuống.

Trong các nút mà chúng ta chƣa khảo sát thì có một nút quan trọng nhất trong

hộp thoại này đó là nút Edit. Nhấp chuột vào nút Edit để thiết lập các thiết định cho

chính sách này, dựa trên các khả năng của Group Policy có thể thiết lập bất cứ thứ gì

muốn. Chúng ta sẽ khảo sát một số ví dụ minh họa ở phía sau.

2.3. Quản lý việc truy cập tài nguyên mạng

Với tƣ cách là nhà quản trị phải bảo đảm những user truy cập vào các Folder

trên mạng vốn có chứa các File mà họ cần làm việc. Có thể thực hiện việc này bằng

cách chia sẻ các Folder này. Để tăng cƣờng bảo mật có thể kiểm soát những ngƣời nào có thể truy cập vào những Folder chia sẻ này. Nếu các File và Folder của những ngƣời

dùng đang cần thực hiện lƣu giữ trên mạng thì có thể sử dụng Distributed File System

(DFS), để giúp cho ngƣời dùng dễ dàng truy cập vào các Files và Folder.

Hình 2.46: Mô hình sử dụng DFS chia sẻ dữ liệu Sử dụng các Folder chia sẻ để cung cấp cho ngƣời dùng phƣơng pháp truy cập

vào các File và Folder thông qua mạng. Những ngƣời dùng có thể kết nối vào Folder chia sẻ trên mạng để truy cập chứa nội dung mà họ cần. Các folder chia sẻ tài nguyên

các trình ứng dụng , dữ liệu, hoặc dữ liệu cá nhân của ngƣời dùng. Việc sử dụng các

Folder của trình ứng dụng chia sẻ tập trung quản lý bằng cách cho phép cài đặt và bảo

quản các trình ứng dụng trên một server thay vì trên các máy tính Client. Việc sử dụng

các Folder dữ liệu chia sẻ cung cấp cho một vị trí trung tâm, để những ngƣời dùng có

thể truy cập vào các File phổ biến nhất đồng thời giúp sao chép dự phòng dữ liệu đƣợc chứa trong những File này.

2.3.1. Tổ chức lƣu trữ thông tin trong Windows Server 1) Các khái niệm liên quan

Windows Server 2003 sử dụng hai hình thức tổ chức và quản lý đĩa cứng, đó là

Basic và Dynamic Storage. Một ổ cứng vật lý chỉ có thể thuộc vào một trong hai cách

tổ chức trên, không thể sử dụng đồng thời cả hai. Tuy nhiên, trong một hệ thống nhiều

đĩa cứng, có thể áp dụng cả hai cách tổ chức này.

147

Hìn 2.47: Tổ chức lƣu trữ thông tin trong Windows Server 2003

- Basic Storage

Bao gồm các partition primary và extended. Partition tạo ra đầu tiên trên đĩa đƣợc gọi là partition primary và toàn bộ không gian cấp cho partition đƣợc sử dụng trọn vẹn. Mỗi ổ đĩa vật lý có tối đa bốn partition. Có thể tạo ba partition primary và

một partition extended. Với partition extended, có thể tạo ra nhiều partition logical.

- Partition

Đối với Basic Disk, đĩa đƣợc chia thành các phân vùng hay Partition. Có hai

loại Partition: Primary Partition và Extended Partition. Mỗi Primary Partition tƣơng

ứng một ổ đĩa đối với ngƣời sử dụng. Extended Partition sau đó tiếp tục đƣợc phân

chia thành các ổ logic.

Hình 2.48: Các Partition đối với Basic Disk Primary Partition: Windows 2000 dùng Primary Partition để khởi động hệ

thống. Trong số các Primary Partition, một sẽ đặt ở chế độ Active và BIOS sẽ tìm các

tệp khởi động của hệ điều hành. Tại một thời điểm, chỉ có một Partition là Active. Nếu muốn khởi động máy bằng cả Windows 2000, Windows 9x, Active Partition phải định dạng theo kiểu FAT.

System Partition: là Active Partition mà chứa các file cần thiết để bắt đầu quá

trình khởi động hệ điều hành.

Boot Partition: là một Partition hay ổ logic trên đó chứa thƣ mục WinNT. Boot

Partition và System Partition có thể nằm trên một Partition hoặc trên các Partition khác

nhau.

148

Extended Partition: thƣờng là phần còn lại của ổ cứng ngoài các Primary

Partition. Trên một ổ cứng chỉ có duy nhất 1 Extended Partition. Extended Partition không đƣợc sử dụng trực tiếp mà phải chia nó thành các ổ logic.

Basic Disk có thể chứa tối đa 4 Primary Partition hoặc 3 Primary Partition và

một Extended Partition

- Dynamic Storage

Đây là một tính năng mới của Windows Server 2003. Đĩa lƣu trữ dynamic chia

thành các volume dynamic. Volume dynamic không chứa partition hoặc ổ đĩa logic, và

chỉ có thể truy cập bằng Windows Server 2003 và Windows 2000. Windows Server

2003/ Windows 2000 hỗ trợ năm loại volume dynamic: simple, spanned, striped, mirrored và RAID-5. Ƣu điểm của công nghệ Dynamic storage so với công nghệ Basic

storage:

- Cho phép ghép nhiều ổ đĩa vật lý để tạo thành các ổ đĩa logic (Volume).

- Cho phép ghép nhiều vùng trống không liên tục trên nhiều đĩa cứng vật lý để

tạo ổ đĩa logic.

- Có thể tạo ra các ổ đĩa logic có khả năng dung lỗi cao và tăng tốc độ truy

xuất…

- Volume simple

Chứa không gian lấy từ một đĩa dynamic duy nhất. Không gian đĩa này có thể liên tục hoặc không liên tục. Hình sau minh hoạ một đĩa vật lý đƣợc chia thành hai

volume đơn giản.

Hình 2.49: Lƣu trữ Volume simple

- Volume spanned

Bao gồm một hoặc nhiều đĩa dynamic (tối đa là 32 đĩa). Sử dụng khi muốn tăng kích cỡ của volume. Dữ liệu ghi lên volume theo thứ tự, hết đĩa này đến đĩa khác. Thông thƣờng ngƣời quản trị sử dụng volume spanned khi ổ đĩa đang sử dụng trong

volume sắp bị đầy và muốn tăng kích thƣớc của volume bằng cách bổ sung thêm một đĩa khác.

149

Hình 2.50: Lƣu trữ Volume spanned

Do dữ liệu đƣợc ghi tuần tự nên volume loại này không tăng hiệu năng sử dụng.

Nhƣợc điểm chính của volume spanned là nếu một đĩa bị hỏng thì toàn bộ dữ liệu trên volume không thể truy xuất đƣợc.

- Volume striped

Lƣu trữ dữ liệu lên các dãy (strip) bằng nhau trên một hoặc nhiều đĩa vật lý (tối

đa là 32). Do dữ liệu đƣợc ghi tuần tự lên từng dãy, nên có thể thi hành nhiều tác vụ

I/O đồng thời, làm tăng tốc độ truy xuất dữ liệu. Thông thƣờng, ngƣời quản trị mạng

sử dụng volume striped để kết hợp dung lƣợng của nhiều ổ đĩa vật lý thành một đĩa

logic đồng thời tăng tốc độ truy xuất.

Hình 2.51: Lƣu trữ Volume striped

Nhƣợc điểm chính của volume striped là nếu một ổ đĩa bị hỏng thì dữ liệu trên

toàn bộ volume mất giá trị.

- Volume mirrored

Là hai bản sao của một volume đơn giản. Dùng một ổ đĩa chính và một ổ đĩa phụ. Dữ liệu khi ghi lên đĩa chính đồng thời cũng sẽ đƣợc ghi lên đĩa phụ. Volume dạng này cung cấp khả năng dung lỗi tốt. Nếu một đĩa bị hỏng thì ổ đĩa kia vẫn làm việc và không làm gián đoạn quá trình truy xuất dữ liệu. Nhƣợc điểm của phƣơng pháp

này là bộ điều khiển đĩa phải ghi lần lƣợt lên hai đĩa, làm giảm hiệu năng.

150

Hình 2.52: Lƣu trữ Volume mirrored

Để tăng tốc độ ghi đồng thời cũng tăng khả năng dung lỗi, có thể sử dụng một

biến thể của volume mirrored là duplexing. Theo cách này phải sử dụng một bộ điều khiển đĩa khác cho ổ đĩa thứ hai.

Hình 2.53: Lƣu trữ volume mirrored là duplexing

Nhƣợc điểm chính của phƣơng pháp này là chi phí cao. Để có một volume 4GB

phải tốn đến 8GB cho hai ổ đĩa.

- Volume RAID-5

Tƣơng tự nhƣ volume striped nhƣng RAID-5 lại dùng thêm một dãy (strip) ghi thông tin kiểm lỗi parity. Nếu một đĩa của volume bị hỏng thì thông tin parity ghi trên

đĩa khác sẽ giúp phục hồi lại dữ liệu trên đĩa hỏng. Volume RAID-5 sử dụng ít nhất ba

ổ đĩa (tối đa là 32).

Hình 2.54: Lƣu trữ Volume RAID-5

Ƣu điểm chính của kỹ thuật này là khả năng dung lỗi cao và tốc độ truy xuất

cao bởi sử dụng nhiều kênh I/O.

2) Quản trị hệ thống lƣu trữ

151

Disk Manager là một tiện ích giao diện đồ hoạ phục vụ việc quản lý đĩa và

volume trên môi trƣờng Windows 2000 và Windows Server 2003. Để có thể sử dụng đƣợc hết các chức năng của chƣơng trình, phải đăng nhập vào máy bằng tài khoản

Administrator. Vào menu Start \ Programs \ Administrative Tools \ Computer

Management. Sau đó mở mục Storage và chọn Disk Management. Cửa sổ Disk

Management xuất hiện nhƣ sau:

Hình 2.55: Công cụ Disk Management

a) Xem thuộc tính của đĩa

Nhấp phải chuột lên ổ đĩa vật lý muốn biết thông tin và chọn Properties. Hộp

thoại Disk Properties xuất hiện nhƣ sau:

Hình 2.56: Tab General

- Tab General

Cung cấp các thông tin nhƣ nhãn đĩa, loại, hệ thống tập tin, dung lƣợng đã sử

dụng, còn trống và tổng dung lƣợng. Nút Disk Cleanup dùng để mở chƣơng trình Disk

Cleanup dùng để xoá các tập tin không cần thiết, giải phóng không gian đĩa.

- Tab Tools

152

Bấm nút Check Now để kích hoạt chƣơng trình Check Disk dùng để kiểm tra

lỗi nhƣ khi không thể truy xuất đĩa hoặc khởi động lại máy không đúng cách. Nút Backup Now sẽ mở chƣơng trình Backup Wizard, hƣớng dẫn các bƣớc thực hiện việc

sao lƣu các tập tin và thƣ mục trên đĩa. Nút Defragment Now mở chƣơng trình Disk

Defragment, dùng để dồn các tập tin trên đĩa thành một khối liên tục, giúp ích cho việc

truy xuất đĩa.

Hình 2.57: Tab Tool

- Tab Hardware

Liệt kê các ổ đĩa vật lý Windows Server 2003 nhận diện đƣợc. Bên dƣới danh

sách liệt kê các thuộc tính của ổ đĩa đƣợc chọn.

Hình 2.58 Tab Hardware

- Tab Sharing

Cho phép chia sẻ hoặc không chia sẻ ổ đĩa cục bộ này. Theo mặc định, tất cả

các ổ đĩa cục bộ đều đƣợc chia sẻ dƣới dạng ẩn (có dấu $ sau tên chia sẻ).

153

Hình 2.59: Tab Sharing

- Tab Security

Chỉ xuất hiện khi đĩa cục bộ này sử dụng hệ thống tập tin NTFS. Dùng để thiết

lập quyền truy cập lên đĩa. Theo mặc định, nhóm Everyone đƣợc toàn quyền trên thƣ

mục gốc của đĩa.

Hình 2.60: Tab Security

- Tab Quota

Chỉ xuất hiện khi sử dụng NTFS. Dùng để quy định lƣợng không gian đĩa cấp

phát cho ngƣời dùng.

- Shadow Copies

154

Shadow Copies là dịch vụ cho phép ngƣời dùng truy cập hoặc khôi phục những

phiên bản trƣớc đây của những tập tin đã lƣu, bằng cách dùng một tính năng ở máy trạm gọi là Previous Versions.

Hình 2.61: Tab Copies

b) Bổ sung thêm một ổ đĩa mới

- Máy tính không hỗ trợ tính năng “hot swap”

Phải tắt máy tính rồi mới lắp ổ đĩa mới vào. Sau đó khởi động máy tính lại.

Chƣơng trình Disk Management sẽ tự động phát hiện và yêu cầu ghi một chữ ký đặc

biệt lên ổ đĩa, giúp cho Windows Server 2003 nhận diện đƣợc ổ đĩa này. Theo mặc

định, ổ đĩa mới đƣợc cấu hình là một đĩa dynamic.

- Máy tính hỗ trợ “hot swap”.

Chỉ cần lắp thêm ổ đĩa mới vào theo hƣớng dẫn của nhà sản xuất mà không cần

tắt máy. Rồi sau đó dùng chức năng Action ¤ Rescan Disk của Disk Manager để phát

hiện ổ đĩa mới này.

c) Tạo partition/volume mới

- Nếu còn không gian chƣa cấp phát trên một đĩa basic thì có thể tạo thêm

partition mới, còn trên đĩa dynamic thì có thể tạo thêm volume mới.

- Nhấp phải chuột lên vùng trống chƣa cấp phát của đĩa basic và chọn Create

Logical Drive.

155

Hình 2.62: Hộp thoại Create Partition Wizard - Xuất hiện hộp thoại Create Partition Wizard. Nhấn nút Next trong hộp thoại này

Hình 2.63: Hộp thoại Select Patition Type - Trong hộp thoại Select Partition Type, chọn loại partition định tạo. Chỉ có những loại còn khả năng tạo mới đƣợc phép chọn. Sau khi chọn loại partition xong

nhấn Next để tiếp tục.

Hình 2.64: Hộp thoại Specify Partition Size - Tiếp theo, hộp thoại Specify Partition Size yêu cầu cho biết dung lƣợng định

cấp phát. Sau khi chỉ định xong, nhấn Next.

156

Hình 2.65: Nhập dung lƣợng cấp phát - Trong hộp thoại Assign Drive Letter or Path, có thể đặt cho partition này một ký tự ổ đĩa, hoặc gắn (mount) vào một thƣ mục rỗng, hoặc không làm đặt gì hết. Khi

chọn kiểu gắn vào một thƣ mục rỗng có thể tạo ra vô số partition mới, nhấn Next để tiếp tục.

Hình 2.66: Hộp thoại Assign Drive Letter or Path - Hộp thoại Format Partition yêu cầu có định dạng partition này không. Nếu có thì dùng hệ thống tập tin là gì? đơn vị cấp phát là bao nhiêu? nhãn của partition

(volume label) là gì? có định dạng nhanh không? Có nén tập tin và thƣ mục không?

Sau khi đã chọn xong, nhấn Next để tiếp tục.

Hình 2.67: Hộp thoại Format Partition - Hộp thoại Completing the Create Partition Wizard tóm tắt lại các thao tác sẽ

thực hiện, phải kiểm tra lại xem đã chính xác chƣa, nhấn Finish để bắt đầu thực hiện.

157

Hình 2.68: Hộp thoại Completing the Create Partition Wizard

d) Thay đổi ký tự ổ đĩa hoặc đƣờng dẫn

Muốn thay đổi ký tự ổ đĩa cho partition/volume nào nhấp phải chuột lên volume

đó và chọn Change Drive Letter and Path. Hộp thoại Change Drive Letter and Path xuất hiện.

Hình 2.69: Hộp thoại Change Drive Letter and Path

Trong hộp thoại này, nhấn nút Edit để mở tiếp hộp thoại Edit Drive Letter and

Path, mở danh sách Assign a drive letter và chọn một ký tự ổ đĩa mới định đặt cho

partition/volume này. Cuối cùng đồng ý xác nhận các thay đổi đã thực hiện.

Hình 2.70: Hộp thoại Edit Drive Letter and Path

e) Xoá partition/volume

Để tổ chức lại một ổ đĩa hoặc huỷ các dữ liệu có trên một partition/volume, có thể xoá nó đi. Để thực hiện, trong cửa sổ Disk Manager nhấp phải chuột lên partition

volume muốn xoá và chọn Delete Partition (hoặc Delete Volume), hộp thoại cảnh báo

xuất hiện, thông báo dữ liệu trên partition hoặc volume sẽ bị xoá và yêu cầu xác nhận

lại lần nữa thao tác này.

158

Hình 2.71: Hộp thoại cảnh báo xuất hiện

f) Cấu hình Dynamic Storage

Chuyển chế độ lƣu trữ. Để sử dụng đƣợc cơ chế lƣu trữ Dynamic phải chuyển

đổi các đĩa cứng vật lý trong hệ thống thành Dynamic Disk. Trong công cụ Computer

Management | Disk Management, nhấp phải chuột trên các ổ đĩa bên của sổ bên phải

và chọn Convert to Dynamic Disk…. Sau đó đánh dấu vào tất cả các đĩa cứng vật lý cần chuyển đổi chế độ lƣu trữ và chọn OK để hệ thống chuyển đổi. Sau khi chuyển đổi

xong hệ thống sẽ yêu cầu restart máy để áp dụng chế độ lƣu trữ mới.

Hình 2.72: Hộp thoại Computer Management

Các loại Volume nhƣ hình sau:

Hình 2.73: Hộp thoại hiển thị các loại Volume

- Tạo Volume Spanned + Trong công cụ Disk Management, nhấp phải chuột lên vùng trống của đĩa cứng

cần tạo Volume, sau đó chọn New Volume.

159

Hình 2.74: Tạo Volume mới + Tiếp theo, chọn loại Volume cần tạo. Trong trƣờng hợp này chúng ta chọn

Spanned.

Hình 2.75: Hộp thoại Select Volume Type + Chọn những đĩa cứng dùng để tạo Volume này, đồng thời cũng nhập kích thƣớc

mà mỗi đĩa giành ra để tạo Volume.

Hình 2.76: Hộp thoại Select Disk

+ Gán ký tự ổ đĩa cho Volume

160

Hình 2.77: Hộp thoại Assign Drive Letter or Path

+ Định dạng Volume vừa tạo để có thể chứa dữ liệu.

Hình 2.78: Hộp thoại Format Volume

Đến đây đã hoàn thành việc tạo Volume, có thể lƣu trữ dữ liệu trên Volume này

- Tạo Volume Striped

Các bƣớc tạo Volume Striped cũng tƣơng tự nhƣ việc tạo các Volume khác

nhƣng chú ý là kích thƣớc của các đĩa cứng giành cho loại Volume này phải bằng nhau

và kích thƣớc của Volume bằng tổng các kích thƣớc của các phần trên.

Hình 2.79: Hộp thoại Select Disk Tạo Volume Striped

- Tạo Volume Mirror

161

Các bƣớc tạo Volume Mirror cũng tƣơng tự nhƣ trên, chú ý kích thƣớc của các

đĩa cứng giành cho loại Volume này phải bằng nhau và kích thƣớc của Volume bằng chính kích thƣớc của mỗi phần trên.

Hình 2.80: Hộp thoại Select Disk Tạo Volume Mirror

- Tạo Volume Raid-5

Các bƣớc tạo Volume Raid-5 cũng tƣơng tự nhƣ trên nhƣng chú ý là loại

Volume yêu cầu tối thiểu đến 3 đĩa cứng. Kích thƣớc của các đĩa cứng giành cho loại

Volume này phải bằng nhau và kích thƣớc của Volume bằng 2/3 kích thƣớc của mỗi

phần cộng lại.

Hình 2.81: Hộp thoại Select Disk Tạo Volume Raid 5

2.3.2. Các hệ thống File của Windows Server

Hệ thống tập tin quản lý việc lƣu trữ và định vị các tập tin trên đĩa cứng. Windows Server 2003 hỗ trợ ba hệ thống tập tin khác nhau: FAT16, FAT32 và NTFS5. Nên chọn FAT16 hoặc FAT32 khi máy tính sử dụng nhiều hệ điều hành khác

nhau. Nếu định sử dụng các tính năng nhƣ bảo mật cục bộ, nén và mã hoá các tập tin thì nên dùng NTFS. Bảng sau trình bày khả năng của từng hệ thống tập tin trên Windows Server 2003:

162

2.3.3. Tạo các thƣ mục chia sẻ

Để chia sẻ một Folder, phải là một thành viên của một trong những nhóm có

các quyền chia sẻ Folder trên kiểu máy tính đang chứa các Folder này. Lúc chia sẻ một

Folder, có thể kiểm soát việc truy cập vào Folder và nội dung của chúng bằng cách cấp

phát mức độ cho phép đối với những ngƣời dùng và các nhóm đƣợc chọn. Cũng có thể

kiểm soát việc truy cập vào các Folder bằng cách giới hạn số ngƣời dùng hiện đang kết

nối vào các Folder chia sẻ. Sau khi tạo một Folder chia sẻ, có thể cần phải chỉnh sửa

các tính chất của Folder để ngƣng việc chia sẻ Folder, để thay đổi tên của Folder chia

sẻ, hoặc để thay đổi mức độ cho phép ngƣời dùng và nhóm chia sẻ một vài Folder một

cách tự động dành cho các mục đích quản lý.

1) Các yêu cầu thƣ mục chia sẻ

Trong Windows Server 2003, các nhóm có thể chia sẻ Folder là Administrators, Server Operators và Power Users. Những nhóm này là các Account mặc định vốn

đƣợc cài đặt trong Folder User trong Computer Management, hoặc trong Folder built- in trong active Directory Users and Groups. Các yêu cầu dành cho việc Chia sẻ Folder đƣợc xác định nhƣ sau:

- Folder đƣợc chia sẻ nằm trên một máy tính vốn là một Domain hay là một

Workgroup.

- Kiểu hệ điều hành đang chạy trên máy tính mà Folder chia sẻ đang nằm trên

đó.

Bảng sau đây mô tả ngƣời nào có thể chia sẻ các Folder.

163

Để chia sẻ các Folder Phải là thành viên của nhóm

or Server Operators

Trong Windows Server 2003 domain Administrators group. Lƣu ý rằng nhóm Power Users có thể chia sẻ các

Folder nằm trong server đứng riêng trong một

Windows Server 2003 domain.

2003 Administrators or Power Users group.

Trong Windows workgroup

Trên một client computer Administrators or Power Users group.

đang chạy Windows Server

2003

2) Chia sẻ một thƣ mục Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các ngƣời dùng có thể truy xuất

và sử dụng thông qua mạng. Muốn chia sẻ một thƣ mục dùng chung trên mạng, phải logon vào hệ thống với vai trò ngƣời quản trị (Administrators) hoặc là thành viên của

nhóm Server Operators, tiếp theo trong Explorer nhầp phải chuột trên thƣ mục đó và

chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing.

Hình 2.82: Lựa chọn chia sẻ dữ liệu thƣ mục

Ý nghĩa của các mục trong Tab Sharing

164

3) Đặt các quyền truy nhập và các thuộc tính cho File và thƣ mục chia sẻ

Muốn cấp quyền cho các ngƣời dùng truy cập qua mạng thì dùng Share

Permissions. Share Permissions chỉ có hiệu lực khi ngƣời dùng truy cập qua mạng chứ

không có hiệu lực khi ngƣời dùng truy cập cục bộ. Khác với NTFS Permissions là

quản lý ngƣời dùng truy cập dƣới cấp độ truy xuất đĩa. Trong hộp thoại Share

Permissions, chứa danh sách các quyền sau:

Hình 2.83: Cấu hình Share Permissions

Hộp thoại chọn ngƣời dùng và nhóm xuất hiện, nhấp đôi chuột vào các tài

khoản ngƣời dùng và nhóm cần chọn, sau đó chọn OK.

- Full Control: cho phép ngƣời dùng có toàn quyền trên thƣ mục chia sẻ. - Change: cho phép ngƣời dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong

thƣ mục chia sẻ.

- Read: cho phép ngƣời dùng xem và thi hành các tập tin trong thƣ mục chia sẻ.

165

muốn cấp quyền cho ngƣời dùng thì nhấp chuột vào nút Add.

Hình 2.84: Hộp thoại Select Users or Groups - Trong hộp thoại xuất hiện, muốn cấp quyền cho ngƣời dùng đánh dấu vào mục

Allow, ngƣợc lại khóa quyền thì đánh dấu vào mục Deny.

Hình 2.85: Chọn quyền cho thƣ mục chia sẻ

4) Kết nối tới thƣ mục đƣợc chia sẻ

Sau khi chia sẻ một Folder các user chia sẻ thông qua mạng, các user này có thể

truy cập tên Folder chia sẻ trên máy tính khác bằng cách dùng My Network Places,

Map Network Drive hoặc lệnh Run.

a) Sử dụng My Network Places

Trong nhiều trƣờng hợp cách dể sử dụng nhất truy cập cập đến một Folder chia

sẻ là My network Places. Để kết nối vào một Folder chia sẻ bằng cách sử dụng My Network Places, hãy thực hiện các bƣớc sau:

1. Nhấp đúp vào Network Places 2. Nhập vào đƣờng dẫn mạng của Folder chia sẻ muốn kết nối vào hoặc nhấp

Brower để tìm máy tính mà trên đó mà Folder chia sẻ đang có.

3. Nhấp đúp folder chia sẻ mở ra.

b) Sử dụng Map Network Drive

Hãy tạo một ánh xạ Network Drive nếu muốn một mẫu tự ổ đĩa và một biểu tƣợng liên kết một Folder chia sẻ đặt biệt, điều này dễ dàng giúp tham chiếu vị trí của

một File trong một Folder chia sẻ. Ví dụ nhƣ: Thay vì trỏ đến

166

\\Server\Shared_Folder_Name\File thì chỉ cần trỏ đến \File. Có thể sử dụng mẫu ký tự

ổ đĩa truy cập vào các Folder chia sẻ mà ở đó không thể sử dụng đƣờng dẫn qui ƣớc đặc tên phổ biến (UNC).

Hình 2.86: Tạo Map Network Drive

Để tạo ánh xạ cho một ổ đĩa mạng, hãy thực hiện các bƣớc sau. 1. Nhấp phải My Network Places, rồi nhấp Map Network Drive 2. Trong Map Network Drive Wizard, hãy chọn mẫu tự ổ đĩa muốn dùng. 3. Nhập vào tên của Folder chia sẻ muốn kết nối vào hoặc nhấp Browse để tìm

một Folder chia sẻ.

Để truy cập vào một Folder chia sẻ phải dùng trên cơ sở lặp lại, chọn Reconnect at

logon để kết nối mỗi khi tải.

c) Sử dụng dòng lệnh Run Command

Khi sử dụng Run Command kết nối đến tài nguyên mạng, thì một mẫu tự ổ đĩa

không đƣợc yêu cầu, điều này cho phép có một số kết nối vô hạn đƣợc thực hiện và

độc lập với ký tự có sẵn . Để kết nối một Folder chia sẻ vào một ổ mạng hãy thực hiện

các bƣớc sau đây.

Hình 2.87: Tạo Map Network Drive sử dụng lệnh

Nhấp Start, rồi nhấp Run Trong hộp thoại Run nhập vào đƣờng dẫn UNC trong hộp Open, rồi nhấp OK

167

Khi nhập vào tên server trong hộp Open, thì một danh sách các Folder chia sẻ

sẵn có sẻ xuất hiện. Windows Server 2003 cho tùy chọn để chọn một trong các hạng mục dựa tên Folder chia sẻ đang có sẵn.

2.3.4. Chia sẻ quản trị

Windows Server 2003 tự động chia sẻ các Folder nhằm giúp thực hiện các tác

vụ quản lý, những Folder chia sẻ này đƣợc đính kết bằng một dấu dollar($). Dấu dollar sẻ che giấu Folder chia sẻ đối với các user đang trình duyệt máy tính trong My

Network Places. Gốc của mỗi một ổ đĩa kể cả ổ đĩa cứng và CD-ROM. Các folder của

gốc hệ thống, và vị trí của các Driver máy in, tất cả đều bị che giấu khỏi folder chia sẻ

mà windows Server 2003 tự động sinh ra.

a) Mức cho phép folder chia sẻ quản lý

Theo mặc định các thành viên của nhóm quản trị đều có mức cho phép Full

Control để quản lý các Folder. Không thể chỉnh sửa cấp độ cho phép khi chia sẻ tài

nguyên. Bảng sau đây mô tả mục đích của các Folder chia sẻ quản lý mà windows

Server 2003 tự động cung cấp.

Folder chia sẻ Mục đích

C$, D$, E$, and so Những Folder chia sẻ này đƣợc dùng để kết nối từ xa với

on một máy tính và thực hiện các tác vụ quản trị. Gốc của mỗi

một phần trên đĩa cứng đều đƣợc chia sẻ một cách tự động.

Khi kết nối vào folder này phải truy cập vào toàn bộ phần

đó.

Admin$ Folder root system là C:\Winnt theo mặc định những nhà

quản trị có thể truy cập vào Folder chia sẻ này để quản trị Windows Server 2003 mà không biết Folder nào ở trong đó

đã đƣợc cài đặt.

Print$ Folder này cung cấp phƣơng pháp truy cập vào cá file

sẻ lần tiên, đầu thì

printer dành cho các máy tính client. Lúc cài đặt máy in Folder chia Systemroot\System32\Spool\Drivers đƣợc chia sẻ dƣới dạng là Print$. Chỉ có các thảnh viên của nhóm quản trị, server Operator, và Print Operators group mới có quyền cho phép

Full Control. Còn Everyone group thì chỉ co quyền Read.

b) Các Folder chia sẻ bị che dấu

Các folder chia sẻ bị che dấu thì không bị giới hạn, với những gì mà Windows

Server 2003 tự động tạo. Có thể chia sẻ các Folder bổ sung và đính kèm một dấu ($ )

vào cuối tên Folder chia sẻ. Sau đó chỉ có những ngƣời dùng biết tên Folder mới có thể

168

truy cập vào nó. Các Folder bị che dấu này không đƣợc xem là cả folder chia sẻ quản

trị.

c) Xuất một thƣ mục chia sẻ trong Active Directory

Việc xuất các nguồn tài nguyên, bao gồm các folder chia sẻ Active Directory sẻ

giúp ngƣời dùng khảo sát và tìm các nguồn tài nguyên trân mạng thậm chí cả khi vị trí

thực tế của các nguồn tài nguyên thay đổi . Ví dụ chia sẻ một tài nguyên chia sẻ sang một máy tính khác, thì tất cả các biểu tƣợng tắt trỏ đến biểu tƣợng Active Directory

vối biểu thị folder chia sẻ đƣợc xuất cũng sẽ tiếp tục giống hệt nhƣ truy cập tham chiếu

đến vị trí thực sự đó. Các user không thể cập nhật các kết nối của chúng.

Hình 2.88: Chia sẻ trong Active Directory

Có thể xuất bất cứ folder chia sẻ nào trong Active Directory vốn có thể truy cập

bằng cách sử dụng một tên UNC. Sau khi một folder chia sẻ đã đƣợc xuất, thì một user tại một máy tính khác đang chạy Windows Server 2003 có thể sử dụng Active

Directory để định vị trí đối tƣợng đang biểu thị cho folder chia sẻ rồi kết nối vào folder

chia sẻ đó.

Hình 2.89: Tạo thƣ mục chia sẻ trong Active Directory

Để xuất một folder chia sẻ trong Active Directory hãy thực hiện các bƣớc sau đây: Mở Active Directory Users and Computers từ menu Administrative Tools

169

Trong console tree của Active Directory Users and Computers, hãy nhấp phải

lên domain muốn xuất hiện trên folder chia sẻ trỏ đến New rồi nhấp Shared Folder.

Trong Ô New Object-Shared Folder, hãy gõ nhập tên folder muốn xuất hiện

trong Active Directory.

Trong hộp Network Path, hãy gõ nhập đƣờng dẫn đến Folder chia sẻ (có tên

UNC) , rồi nhấp OK.

Những nhà quản lý và những ngƣời dùng có thể tìm thông tin Active Directory

bằng cách sử dụng lệnh Search trên menu Start, My Network Places trên Desktop,

hoặc Active Directory Users and Computers.

Lƣu ý: Không thể tìm kiếm để xuất các Folder chia sẻ từ menu Start để xem các Folder chia sẻ đã đƣợc xuất trong Active Directory, hãy thực hiện việc tìm kiếm trong

Network Places.

2.3.5. Cấu hình thƣ mục chia sẻ bằng sử dụng hệ file phân tán (DFS)

Với càng lúc càng nhiều file đang đƣợc phân bổ ngang qua mạng cục bộ

(LAN). Những nhà quản trị phải đối mặt với một số vấn đề hiện đang nảy sinh. Khi họ

thử cung cấp các user các mức cho phép truy cập mà họ cần. DFS cung cấp một cơ chế

dành cho các nhà quản trị để tạo các khung xem cục bộ các folder và file bất kể các

file này hiện đang nằm ở đâu trên mạng. DFS cũng cho phép ngƣời quản trị phân bố

các folder chia sẻ và tải công việc ngang qua nhiều server, để sử dụng các nguồn tài nguyên đƣợc lƣu giữ trên mạng cũng có sẵn khi sử dụng DFS. Các tính năng của DFS

trên cùng một domain bảo đảm rằng user có thể truy cập vào các folder chia sẻ cả khi

một server không có sẵn.

1) Giới thiệu DFS

Hình 2.90: Mô hình chia sẻ dữ liệu sử dụng DFS

DFS là một dịch vụ cung cấp một điểm tham chiếu và một cấu trúc cây phả hệ

cục bộ dành cho các nguồn tài nguyên hệ thống file vốn có thể nằm tại bất cứ nơi nào

trên mạng. Việc sử dụng DFS để chia sẻ các nguồn tài nguyên trên mạng dọc theo

mạng cung cấp các lợi ích sau:

170

Tổ chức nguồn tài nguyên. DFS sử dụng một cấu trúc cây phả hệ có chứa một

gốc và các liên kết DFS. Một liên kết DFS (DFS link) là một phần của cây phả hệ. Mỗi một DFS root có nhiều liên kết bên dƣới nó, mỗi một liên kết lại chỉ đến một folder

đƣợc chia sẻ.

Phương thức định hướng. Một ngƣời dùng vốn điều khiển cấu trúc cây DFS

thì không biết tên của server vốn lƣu giữ nguồn tài nguyên để tìm vị trí một nguồn tài nguyên đặc biệt trên mạng. Sau khi kết nối vào DFS root các user có thể trình duyệt và

truy cập vào tất cả các nguồn tài nguyên bên dƣới root này, bất cứ vị trí thực sự của

server mà nguồn tài nguyên đang có.

Tiến hành quản trị. DFS đơn giản hoá việc quản trị nhiều user chia sẻ, nếu Server bị Fails, Có thể di chuyển vị trí của Folder chia sẻ từ Server này sang server

khác mà không cần cảnh báo cho ngƣời dùng về sự thay đổi này, Các user tiếp tục sử

dụng cùng một đƣờng dẫn dùng cho liên kết đó.

Bảo quản các mức cho phép. Một ngƣời dùng có thể truy cập vào một Folder

chia sẻ thông qua DFS nhƣ ngƣời dùng đó có mức cho phép đƣợc yêu cầu để truy cập

vào Folder chia sẻ.

2) Các kiểu DFS Root

Một DFS root là một mức cao nhất trong hình thái DFS và là điểm khơi đầu cho

cây phả hệ của các Folder chia sẻ. Một DFS root có thể có thể đƣợc xác định ở mức Domain tại mức domain hoặc tại mức Server. Một Domain có thể có một số bất kỳ các

DFS root, nhƣng mỗi một Windows Server 2003 chỉ có thể làm chủ một DFS root mà

thôi. Có thể cấu hình các DFS root đứng riêng và chạy trên nền Domain.

Stand-alone DFS root: DFS này làm chủ trên một máy tính và hình thái DFS

đƣợc lƣu giữ trên máy tính đó. Một DFS root đứng riêng không có dung sai nếu máy

tính lƣu dữ các Folder chia sẻ hoặc hình thái DFS bị hỏng Fault tolerance (dung sai)

đảm bảo tính nguyên vẹn của dữ liệu lúc mọi sự cố về phần cứng xảy ra. Ngoài ra một

DFS riêng thì không thể có Folder chia sẻ DFS ở mức root level và chỉ hỗ trợ cho một

mức của các liên kết DFS mà thôi.

Hình 2.91: Stand-alone DFS root

Domain Base DFS root: DFS này đƣợc làm chủ trên nhiều Domain controller

171

hoặc nhiều member server và hình thái DFS đƣợc lƣu giữ trong Active Directory bởi

vì các thay đổi cho một cây DFS đều tự động đƣợc đồng bộ hoá với Active Directory, Có thể phục hồi một hình thái của cây DFS nếu server hiện đang làm chủ một DFS

root đang bị hỏng. Ngoài ra một DFS root chạy trên nền Domain có thể các Folder

chia sẻ DFS ở cấp root có thể hỗ trợ cho nhiều cấp của các liên kết DFS.

Hình 2.92: Domain Base DFS root

3) Truy nhập vào tài nguyên File và thƣ mục thông qua DFS

Bởi vì một cây phả hệ DFS xuất hiện dƣới dạng một cây phả hệ Folder bình

thƣờng. Nên ngƣời dùng có thể truy cập vào các File nguồn thông qua DFS theo cùng

cách mà họ truy cập vào các Folder chia sẻ bình thƣờng. Có sự khác biệt đó là DFS

cung cấp cho ngƣời dùng một điểm truy cập dành cho các nguồn tài nguyên vốn có thể

đƣợc tải trong nhiều vị trí. Các user có thể điều khiển thông qua DFS bằng cách sử

dụng DFS Explorer.

Hình 2.93: Truy nhập File và thƣ mục thông qua DFS

Lúc một user đƣợc kết nối vào một DFS root, thì user đó sẻ xem thấy tất cả các liên kết DFS ở mức đầu tiên dƣới dạng các Folder trong DFS root. Sau đó user này có thể nối kết vào một trong các DFS Link, bằng cách mở Folder mà liên kết (Link) đang biểu thị. Ngƣời dùng cũng có thể kết nối trực tiếp vào một DFS Link. Bất cứ lúc nào

một user truy cập vào một DFS link thì những điều sau ra xảy ra.

DFS Client xác lập một kết nối vào Server vốn đang làm chủ DFS này. Server vốn làm chủ DFS phải cho ra vị trí thật sự của folder chia sẻ mà DFS

Link biểu thị.

172

DFS client xác lập một kết nối với server đang chứa Folder chia sẻ. Sau đó DFS

client bắt giữ phần tham chiếu này để nó có thể kết nối vào các folder chia sẻ đƣợc biểu thị bởi DFS Link mà không cần tiếp xúc với server đang làm chủ DFS một lần

nữa. Tiếp tục nhƣ vây DFS client tiếp xúc với server đang làm chủ DFS root để cập

nhật phần tham chiếu.

Chú ý quan trọng: DFS không sử dụng các mức cho phép NTFS hoặc các mức cho phép Folder chia sẻ dành cho DFS link. Windows Server 2003 áp dụng tất cả các

mức cho phép để gán vào Folder chia sẻ mà DFS link trỏ đến.

4) Tạo một DFS root

Hình 2.94: Tạo một DFS root

Lúc tạo một DFS root, chọn kiểu DFS root, chỉ định một host Domain hoặc host

server, gán một Folder chia sẻ để làm chủ DFS root. rồi đặt tên DFS root. Đối với một

DFS root đứng riêng, các máy tính client kết nối vào một Server và Folder chia sẻ. Đối

với một DFS root trên nền Domain. Thì các máy tính client kết nối vào một domain và

Folder chia sẻ. Để tạo DFS đứng riêng hoặc DFS root trên nền Domain. Hãy thực hiện

các bƣớc sau đây.

Trên menu Administrative Tools, hãy nhấp Distributed file System.

Trên menu Action, hãy nhấp new DFS Root. Trong Create New fs Wizard, cấu hình các lựa chọn đƣợc mô tả dƣới đây.

Tùy chọn Mô tả

the DFS

Select root type Lựa chọn kiểu DFS root muốn tạo. Nhấp Create a domain DFS root hoặc tạo Create a standalone DFS root.

for Chỉ định domain lƣu giữ hình thái DFS. Một domain có thể làm chủ nhiều DFS root.

Specify the host the domain DFS root

Specify the host Chỉ định host server đầu tiên là điểm nối gốc dành cho tất cả

173

server for the các nguồn trong cây DFS. Có thể tạo một DFS root trên bất

DFS root cứ server nào đang chạy Windows Server 2003.

Specify the DFS Chỉ định Folder chia sẻ để làm chủ DFS root. Có thể chọn

root share một Folder chia sẻ đang có hoặc tạo một Folder chia sẻ mới.

Name the DFS Cung cấp tên mô tả dành cho DFS root mà Windows

root Explorer hiển thị.

5) Tạo DFS liên kết (DFS link)

Một Link đƣợc áp vào Folder chia sẻ chuẩn trên mạng, một DFS link mới có

thể tham chiếu vào Folder chia sẻ trong đó có hoặc không có Folder con. Một DFS

link cũng có thể trỏ đến DFS group khác. cấu hình này cho phép tạo ra một cây DFS lớn vốn có thể kết hợp các DFS khác.

Hình 2.95: Tạo DFS liên kết (DFS link)

Để bổ sung thêm DFS Link thực hiện các bƣớc sau:

Trong Distributed File System, hãy nhấp DFS root mà qua đó sẽ bổ sung một

DFS Link

Trên menu Action, hãy nhấp New DFS Link.

Trong hộp thoại Create a New DFS Link, hãy cấu hình các tùy chọn đƣợc mô tả

trong bảng sau đây:

Tùy chọn Mô tả

Link name

Chỉ định tên logic dành cho một Folder con của một DFS root. Tên link xuất hiện dƣới dạng một Folder trong cây phả hệ

Logic DFS là tên mà ngƣời dùng sẽ xem thấy lúc họ kết nối vào DFS.

Send the user to this shared Chỉ định vị trí thể hình của Folder chia sẻ mà qua đó link tham chiếu đến.

174

folder

Comment Thông tin bổ sung để giúp theo dõi Folder chia sẻ.

Clients cache Lƣợng thời gian mà máy tính Client lƣu giữ phần tham chiếu

this referral for đến một DFS link. Sau khi lƣợng thời gian tham chiếu đã hết

x seconds hạn, thì một số máy tính client sẻ tạo vấn tin cho DFS server

về vị trí link, thậm chí cả khi máy tính client đã đƣợc xác lập một kết nối với Link trƣớc đó.

Hình 2.96: Tạo DFS liên kết Data1

6) Tạo và cấu hình các Replicas

Một replicas là một trƣờng hợp khác của DFS link. Các bảng sao của một DFS

link nằm bên trong ít nhất là một server khác. Những replica này cung cấp các dung

sai (fault tolerance). Lúc một replica của một DFS Link không có sẵn (ví dụ bởi vì máy tính đang làm chủ replica không có sẵn) thì các DFS client tự động kết nối vào

Replica khác.

Hình 2.97: Mô hình Replicas

Các lợi điểm của việc bổ sung thêm các replica: Việc bổ sung thêm các

replica bảo đảm rằng việc truy cập vào các folder chia sẻ không thể bị ngắt. Ngoài ra, lúc có nhiều máy tính client nối kết vào một DFS link vốn có nhiều Replica, thì những yêu cầu của máy tính client đƣợc phân bố ngang qua tất cả các server đang làm replica. Sự cân bằng về tải này bảo đảm rằng những ngƣời dùng có kinh nghiệm sẻ trả lời

175

nhanh hơn nhiều lần bởi vì có nhiều server đồng thời trả lời cho yêu cầu của máy tính

client.

Bổ sung thêm một replica: Để bổ sung thêm replica ta thực hiện các bƣớc sau:

Trong Distributed File System, nhấp chuột phải lên DFS link muốn tạo một

replica mới, rồi nhấp New replica.

Trong hộp thoại Add a new Replica, hãy nhấp Browse để chọn Folder chia sẻ

dành cho replica mới. (chú ý: mỗi DFS link có thể chứa lên 32 Replica. )

Chọn Automatic Replication nếu muốn file Replication Service (FRS) tự động

lặp lại bất cứ thay đổi nào của DFS Link cho tất cả các Replica khác. Hãy chọn

Manual Replication nếu không muốn lặp lại. Nhấp Ok.

Hình 2.98: Bổ sung thêm một replica

Cấu hình Replication: Lúc cấu hình nhiều Replica của cùng một DFS Link, thì

cần mỗi replica luôn luôn có chứa mỗi một kiểu dữ liệu. Để tự động theo dõi nội dung

của Replica đƣợc đồng bộ khi có sự thay đổi một hoặc nhiều Replica xảy ra, Windows

server 2003 cung cấp dịch vụ File Replication service. Nếu không sử dụng FRS, thì

sao chép bằng tay các file vốn làm thay đổi tất cả các replica của một DFS link.

Hình 2.99: Nhiều Replica của cùng một DFS Link Xác lập Replication tự động: Hãy xác lập replication tự động bằng cách sử dụng cửa sổ Replication Policy của Distributed File System Console. Để cài đặt chiến lƣợc replication, hãy chọn một trong các folder chia sẻ DFS làm bản gốc(initial

176

master), sao đó lặp lại nội dung của nó sang các Folder chia sẻ khác trong tập hợp các

Folder chia sẻ DFS. Sự lặp lại xảy ra dƣới dạng một phần của qui trình Active Directory Replication.

Để cài đặt chiến lƣợc lặp lại này tuân theo các bƣớc sau:

Mở Distributed File System.

Nhấp phải lên một DFS root hoặc DFS link, rồi nhấp Replication policy Trong danh sách các Folder chia sẻ, hãy nhấp lên một Folder chia sẻ DFS muốn

sử dụng làm cho folder master dành cho việc lặp lại.

Theo mặc định, Folder DFS đầu tiên tạo trở thành folder master dành cho việc

lặp lại (Replication). Nếu muốn thay đổi mặc định này, hãy nhấp set master.

Sau khi đã cài đặt một master dành cho Replication, thì nút set master Không

còn xuất hiện lúc hiển thị cửa sổ này ở những lần sau. Điều này do bởi chỉ cài đặt một

master một lần để khởi đầu qui trình lặp; từ đó trở đi các Folder chia sẻ lặp lại cho một

folder khác bất cứ lúc nào dữ liệu trong một trong các Folder chia sẻ DFS thay đổi.

Nhấp tất cả các replication vốn sẽ tham gia vào trong quá trình rồi nhấp enable.

Để ngăn một replication không đƣợc tham gia vào trong qui trình lặp lại. Ví dụ

lúc không muốn lặp lại DFS để tạo nên một mạng lƣu chuyển- chọn lọc Replica thì

hãy nhấp Disable.

7) Kiểm tra các trạng thái của DFS

Thực hiện các mục kiểm tra trạng thái định kỳ của DFS replica để bảo đảm rằng

các cài đặt của replica vẫn có hiệu lực dành cho các folder chia sẻ DFS, và rằng các

replica đã gán hiện đang đƣợc tham chiếu một cách hoàn chỉnh bởi DFS. Lúc thực

hiện việc kiểm tra các trạng thái này trên các tập hợp replica, thì kết quả chỉ ra một

trong các điều kiện sau.

- Replica đã đƣợc tìm thấy và có thể đƣợc truy cập. Điều này chỉ ra rằng mọi

thứ điều thực hiện chức năng một cách hoàn chỉnh.

- Replica đã đƣợc tìm thấy nhƣng không thể truy cập . Điều này có nghĩa rằng

các mức cho phép NTFS hoặc mức cho phép Folder chia sẻ không đƣợc cấu hình hoàn chỉnh.

- Replica đã không đƣợc tìm thấy. 9iều này có nghĩa rằng folder chia sẻ không

có sẵn, ví dụ: bởi vì máy tính chủ hiện không chạy. Để kiểm tra trạng thái của một Folder chia sẻ DFS, hãy thực hiện các bƣớc sau đây:

- Mở Distributed file System

- Trong Distributed File System, hãy nhấp lên DFS root hoặc DFS link muốn kiểm

tra tình trạng thái lặp, rồi nhấp check status.

177

2.4. Quản lý dữ liệu bằng NTFS

Hệ thống file NTFS trong Microsoft Windows Server 2003 vô cùng quan trọng về việc lƣu trữ dữ liệu trên phần chia. Với NTFS có thể cấp quyền truy cập trên thƣ

mục và tập tin cũng nhƣ tài nguyên, làm cho tiết kiệm đƣợc không gian đĩa nhƣ nén dữ

liệu và gán giới hạn cho mỗi user. Đặt biệt NTFS cho phép mã hoá tập tin trên đĩa vật

lý sử dụng Encrypting File System (EFS). Quan trọng là hiểu rõ về NTFS và thực thi những tính năng trong Windows Server 2003.

2.4.1. Giới thiệu về quyền NTFS

Định dạng NTFS thì tùy theo ngƣời dùng có quyền truy cập không, nếu ngƣời

dùng không có quyền thì không thể nào truy cập đƣợc dữ liệu trên đĩa. Hệ thống Windows Server 2003 dùng các ACL (Access Control List) để quản lý các quyền truy

cập của đối tƣợng cục bộ và các đối tƣợng trên Active Directory. Một ACL có thể

chứa nhiều ACE (Access Control Entry) đại điện cho một ngƣời dùng hay một nhóm

ngƣời.

Hình 2.100: Quản lý quyền truy nhập của đối tƣợng

2) Các quyền NTFS

Dùng các quyền NTFS để chỉ định user, group và computer nào có thể truy cập

vào các file và folder. Các quyền NTFS cũng các user, group, và computer có thể làm đƣợc những gì với các nội dung của các file và folder.

a) Các quyền trên folder NTFS

Gán các quyền của folder để kiểm soát truy cập vào các folder, file và các subfolder. Bảng sau liệt kê các quyền tiêu chuẩn trên folder NTFS có thể gán và kiểu truy cập mà mỗi quyền cung cấp.

Các quyền NTFS Cho phép các user

Read

Xem các file và subfolder chứa trong folder, xem các thuộc tính của folder, ownership, và các quyền của folder.

178

Write Tạo ra các file mới và subfolder bên trong folder, thay đổi

các thuộc tính của folder, xem ownership và các quyền của

folder.

List Folder Contents Xem tên các file và subfolder bên trong folder.

Read & Execute Cho phép di chuyển qua các folder, cộng với các quyền đƣợc

cho phép của Read và List Folder Content

Modify Xoá folder và thực hiện các thao tác đƣợc cho phép của

Write và Read & Execute

Full Control Thay đổi các quyền, lấy ownership, xoá các subfolder, file.

Thực hiện tất cả các quyền đƣợc cho phép của tất cả các quyền NTFS khác trên folder.

b) Các quyền trên file NTFS

Gán các quyền của file để kiểm soát truy cập vào file. Bảng sau liệt kê các quyền tiêu chuẩn trên file NTFS có thể gán và kiểu truy cập mà mỗi quyền cung cấp

cho các user.

Các quyền NTFS Cho phép các user

Read Đọc file, xem các thuộc tính của file, ownership, và các

quyền của file.

Write Ghi đè lên file, thay đổi các thuộc tính của file, xem

ownership và các quyền của file.

Read & Execute Chạy các ứng dụng và thực hiện các quyền đƣợc cho phép

của Read.

Modify Chỉnh sửa và xoá file, thực hiện các thao tác đƣợc cho phép

của Write và Read & Execute

Full Control Thay đổi các quyền, lấy ownership, xoá các subfolder, file.

Thực hiện tất cả các quyền đƣợc cho phép của tất cả các quyền NTFS khác trên file.

Ghi chú: Khi format một phân vùng đĩa với NTFS, Windows Server 2003 tự động gán quyền Full Control cho nhóm Everyone của root folder. Nhóm Everyone sẽ

có quyền Full Control mặc định đối với tất cảc các file, folder đƣợc tạo ra trong root

folder. Để giới hạn truy cập của các user đƣợc cho phép, nên thay đổi các quyền mặc

định cho các file và folder mình tạo ra.

179

2.4.2. Áp dụng các quyền NTFS cho Windows Server

Mặc định, khi gán các quyền cho các user, group trên một folder, các user và group đƣợc truy cập vào các subfolder và file bên trong folder đó. Phải hiểu tầm quan

trọng của việc các subfolder và file thừa kế các quyền NTFS từ các parent folder để có

thể sử dụng khả năng thừa kế để nhân rộng các quyền cho các file và folder.

Nếu gán các quyền cho một file hay folder trên một user account riêng lẻ hay một group mà user này là thành viên, thì user này có nhiều (đa) quyền trên cùng một

tài nguyên. Có những luật và độ ƣu tiên liên quan đến cách thức NTFS kết hợp các

quyền này. Cũng có thể tác động đến các quyền khi copy hay di chuyển các file và

folder.

1) Đa quyền NTFS

Nếu gán các quyền NTFS cho một user account riêng lẻ và cho cả group mà

user đó là thành viên đã gán đa quyền cho user. Có những luật kết hợp các quyền của

NTFS để tạo ra quyền có hiệu lực của user.

Hình 2.101: Mô hình gán truyền truy nhập dữ liệu - Các quyền đƣợc tích lũy: Quyền có hiệu lực của user trên một tài nguyên là

sự kết hợp của các quyền NTFS đã gán cho user account và group mà user account đó

là thành viên. Ví dụ nếu một user có quyền Read trên một folder và đồng thời là thành

viên của group có quyền Write trên cùng folder thì user này sẽ có cả hai quyền Read

và Write trên folder.

- Các quyền trên file cao hơn các quyền trên folder: Các quyền NTFS trên file có độ ƣu tiên cao hơn các quyền trên folder. Ví dụ nhƣ một user có quyền Change trên một file sẽ có thể thay đổi trên file dù anh ta chỉ có quyền Read trên folder chứa file đó.

- Deny vƣợt trên tất cả các quyền khác: Có thể từ chối truy cập vào một file

hay folder nào đó bằng cách gán quyền Deny vào user account hay group. Ngay cả khi một user có quyền truy cập vào file hay folder với vai trò một thành viên của group, quyền deny sẽ khoá tất cả các quyền khác mà user có. Vì thế Deny là một quyền ngoại lệ đối với luật tích lũy các quyền. Nên tránh quyền Deny bởi vì chúng ta dễ dàng gán

quyền truy cập trên các user và group hơn là gán quyền Deny. Hay hơn cả là cấu trúc

180

các group và sắp xếp các tài nguyên trong folder để cho các quyền cho phép truy cập

là đủ dùng.

Ghi chú: Với Windows Server 2003, có một khác biệt giữa việc một user

không có quyền truy cập và việc từ chối truy cập trên user đó bằng các thêm Deny

entry vào ACL trên file hay folder. Nghĩa là với vai trò ngƣời administrator, có nhiều

cách để từ chối truy cập. Thay vì gán quyền Deny có thể đơn giản không cho phép user truy cập vào một file hay folder.

2) Thừa kế quyền NTFS

Mặc định, các quyền gán cho parent folder đƣợc thừa kế và nhân ra cho các file

và subfolder chứa trong nó. Tuy nhiên, có thể ngăn chặn điều này nếu muốn các folder và file có các quyền khác với parent folder của chúng.

Hình: 2.102: Mô hình thừa kế quyền truy nhập

- Thừa kế các quyền: Bất cứ quyền gì gán cho parent folder cũng đều áp dụng

cho các subfolder và file bên trong nó. Khi gán các quyền NTFS để cho phép truy cập

vào một folder, tức là không những đã gán các quyền trên folder đó mà còn gán các quyền cho bất kỳ các file và subfolder có sẵn cũng nhƣ bất kỳ các file và subfolder tạo

ra sau này mà chứa bên trong nó.

- Ngăn chặn sự thừa kế các quyền: Có thể ngăn chặn sự thừa kế quyền, theo đó sẽ ngăn chặn các file và folder thừa hƣởng các quyền từ parent folder. Để ngăn chặn sự thừa kế, gở bỏ các quyền đƣợc thừa kế và chỉ giữ lại các quyền đƣợc gán rõ ràng.

3) Sao chép và di chuyển các file và thƣ mục

Khi copy hay di chuyển các file hay folder, các quyền có thể thay đổi tùy thuộc

vào nơi di chuyển file hay folder. Phải hiểu tầm quan trọng của sự thay đổi các quyền khi di chuyển hay copy các file hay folder.

181

Hình: 2.103: Mô hình sao chép quyền truy nhập

- Copy các file và folder : Khi copy hay di chuyển các file hay folder từ folder

này đến folder kia, hay từ một phân vùng này đến phân vùng kia thì các quyền trên các file hay folder đó có thể thay đổi. Copy một file hay folder có một số các tác động sau

trên các quyền NTFS :

Khi copy một folder hay file bên trong một phân vùng NTFS đơn, bản copy của

file hay folder đó thừa hƣởng các quyền của folder nơi đến.

Khi copy một folder hay file giữa các phân vùng NTFS, bản copy của file hay

folder đó thừa hƣởng các quyền của folder nơi đến.

Khi copy một folder hay file đến các phân vùng không phải NTFS (nhƣ là

FAT), bản copy của file hay folder đó bị mất các quyền NTFS bởi vì các phân vùng

không phải NTFS thì không hổ trợ các quyền này.

Để copy các file và folder trong một phân vùng NTFS hay giữa các phân vùng

NTFS, phải có quyền Read cho thƣ mục nguồn và quyền Write cho thƣ mục nơi đến.

- Di chuyển các file và folder: Khi di chuyển một file hay folder, quyền có thể

thay đổi tùy thuộc vào quyền của folder nơi đến. Di chuyển một file hay folder có một

số các tác động sau trên các quyền NTFS :

Khi di chuyển một folder hay file bên trong một phân vùng NTFS, file hay

folder giữ nguyên các quyền gốc của nó.

Khi di chuyển một folder hay file giữa các phân vùng NTFS, file hay folder đó thừa hƣởng các quyền của folder nơi đến. Khi di chuyển một folder hay file giữa các phân vùng, thực sự copy một folder hay file đến vị trí mới và xoá folder hay file ở vị

trí cũ.

Khi di chuyển một folder hay file đến các phân vùng không phải NTFS (nhƣ là

FAT), file hay folder đó bị mất các quyền NTFS bởi vì các phân vùng không phải

NTFS thì không hổ trợ các quyền này.

Để di chuyển các file và folder trong một phân vùng NTFS hay giữa các phân vùng NTFS, phải có quyền Write cả cho thƣ mục nơi đến và quyền Modify cho thƣ

182

mục nguồn của folder hay file. Quyền Modify đƣợc yêu cầu để di chuyển một folder

hay file bởi vì Windows Server 2003 gỡ bỏ folder hay file ra khỏi folder nguồn sau khi nó copy folder hay file đó vào folder nơi đến.

2.4.3. Sử dụng các quyền NTFS

Những ngƣời Administrator, các user có quyền Full Control, và owner của các

file hay folder có thể gán quyền trên các file hay folder cho các user account và các group. Khi gán quyền và kiểm soát việc thừa kế, nên theo bài thực hành tốt nhất để

giúp gán quyền một cách có hiệu quả. Chỉ nên gán quyền theo nhu cầu của các group

và user.

1) Gán các quyền NTFS

Gán các quyền NTFS trong hộp Properties của folder. Khi gán và chỉnh sửa

các quyền NTFS cho một file hay folder, có thể thêm bớt các user, group, computer có

quyền trên file hay folder đó. Bằng cách chọn một user hay group có thể chỉnh sửa các

quyền của user hay group đó.

Hình 2.104: Gán các quyền NTFS cho các user

Trên tab Security của hộp Properties của file hay folder, cấu hình các options

đƣợc mô tả trong bảng sau.

Option Mô tả

Name

Chọn user account hay group muốn thay đổi các quyền hay muốn bỏ ra khỏi danh sách.

Permissions Cho phép một quyền khi chọn check box Add.

Từ chối một quyền khi chọn check box Deny.

Add

Mở hộp Select User, Groups, or Computers để chọn các user account và group muốn thêm vào danh sách Name.

183

Remove Gở bỏ các user account hay group đã chọn và các quyền có liên

quan trên file hay folder.

2) Thiết lập sự thừa kế quyền

Để cho Windows Server 2003 nhân rộng các quyền từ một parent folder đến

các subfolder hay file chứa trong parent folder đó. Sự nhân các quyền này làm đơn

giản hóa việc gán các quyền cho tài nguyên.

Hình 2.105: Thiết lập sự thừa kế quyền Tuy nhiên, có đôi lúc muốn ngăn chặn sự thừa kế quyền. Ví dụ có thể cần giữ

tất cả các file của phòng Sales trong một folder Sales mà mọi ngƣời trong phòng đều

có quyền Write. Tuy vậy, cần phải giới hạn các quyền trên một số file trong folder có

quyền Read mà thôi. Để làm việc này sẽ ngăn chặn sự kế thừa để quyền Write không

đƣợc nhân ra cho các file chứa trong folder đó.

Mặc định, các subfolder và file thừa kế các quyền gán cho parent folder của

chúng, trong tab Security trong hộp Properties khi check box Allow inheritable

permissions from parent to propagate to this object đƣợc chọn.

Để ngăn chuyện đó hãy xoá check box đã nói trên và chọn một trong hai option

mô tả sau đây.

Option Mô tả

Copy

Copy các quyền thừa kế trƣớc đây từ parent folder cho các subfolder và file và từ chối thừa kế các quyền gán cho parent

folder sau này.

Remove

Bỏ quyền thừa kế đƣợc gán cho parent folder khỏi các subfolder và file, chỉ giữ lại các quyền gán có chủ đích cho chúng.

184

2.4.4. Sử dụng các quyền đặc biệt của NTFS

Các quyền tiêu chuẩn của NTFS nói chung cung cấp đầy đủ sự kiểm soát cần thiết để bảo đảm an toàn cho các tài nguyên. Tuy nhiên, có những thực thể mà các

quyền NTFS tiêu chuẩn không cung cấp những mức độ truy cập muốn gán cho các

user. Để chỉ định những mức độ truy cập, gán các quyền NTFS đặc biệt.

1) Giới thiệu về quyền đặc biệt của NTFS

Các quyền truy cập đặc biệt mức độ kiểm soát cao hơn với các tài nguyên. Có

13 quyền truy cập đặc biệt mà khi kết hợp lại sẽ tạo thành các quyền NTFS tiêu chuẩn.

Ví dụ quyền Read tiêu chuẩn bao gồm quyền Read Data, Read Attributes, Read

Permissions và quyền đặc biệt Read Extended Attributes tạo thành.

Hình 2.106: Mô hình quyền đặc biệt của NTFS

Hai quyền truy cập đặc biệt sau là rất có ích khi quản lý truy cập vào các file ha

folder:

Change Permissions. Gán quyền này cho phép một user khả năng thay đổi

quyền của một file hay folder.

Take Ownership. Gán quyền này cho phép một user khả năng lấy ownership

của các file và folder.

Thay đổi các quyền: Có thể cho phép các ngƣời administrator và user khả

năng thay đổi các quyền trên file và folder mà không cần cho họ quyền Full Control. Theo cách này ngƣời Administrator hay user không thể ghi vào file hay folder nhƣng có thể gán các quyền trên file hay folder đó.

Để cho phép group administrators khả năng thay đổi các quyền, gán quyền

Change Permissions trên file hay folder đó cho group administrators.

Lấy ownership: Có thể chuyển ownership của các file và folder từ một user

account hay group đến một user account hay group khác. Cũng có thể cho ai đó quyền lấy ownership, nhƣ là một ngƣời administrator có thể lấy ownership của một file hay folder.

185

Các luật sau áp dụng khi lấy ownership của một file hay folder:

- Owner hiện tại hay bất kỳ user nào với quyền Full Control có thể gán quyền Full Control tiêu chuẩn hay quyền truy cập đặc biệt Take Ownership cho user account

hay group khác. Điều này cho phép user account hay một thành viên của group lấy

đƣợc ownership.

- Một thành viên của group Administrators có thể lấy ownership của một file hay folder mà không cần quan tâm đến các quyền khác đã gán cho file hay folder đó.

Nếu một ngƣời administrator lấy ownership, group Administrators trở thành owner, và

bất kỳ thành viên nào của group Administrators đều có thể thay đổi các quyền của file

hay folder và gán quyền Take Ownership cho user account hay group khác.

Ví dụ nhƣ một nhân viên rời công ty, ngƣời administrator lấy ownership của

các file của nhân viên này và gán quyền Take Ownership cho nhân viên khác, sau đó

nhân viên kia có thể lấy lại ownership của các files của nhân viên nghĩ việc.

Ghi chú: Để trở thành owner của một file hay folder, một user hay thành viên

của group với quyền Take Ownership phải lấy ownership của file hay folder đó.

Không thể tự động gán cho ai ownership của một file hay folder. Ngƣời chủ của một

file, một thành viên của nhóm Administrators hay bất cứ ai với quyền Full Control đều

có thể gán quyền Take Ownership cho một user account hay group, để sau đó user

account hay group này có thể lấy ownership của file đó.

2) Thiết lập sự thừa kế quyền đặc biệt

Hình 2.107: Thiết lập sự thừa kế quyền đặc biệt

Để gán các quyền truy cập đặc biệt cho các user và group, thực hiện các bƣớc sau:

Trong hộp Properties của một file hay folder, trên tab Security, click Advanced.

186

Trong hộp Access Control Setting của file hay folder, trên tab Permission, chọn

user account hay group muốn cho quyền truy cập đặc biệt NTFS, rồi click View/Edit.

Trong hộp Permission Entry của file hay folder, cấu hình các option nhƣ bảng

sau.

Option Mô tả

Name

Chỉ định tên user account hay group. Để chọn một user account hay group khác, click Change.

Apply on to Chỉ định mức độ phân cấp folder mà các quyền truy cập

đặc biệt NTFS đƣợc thừa kế. Mặc định là This folder,

subfolders and files.

Permissions

Cho phép chỉ định các quyền truy cập đặc biệt. Để cho phép quyền Chang Permissions hay Take Ownership,

chọn check box Allow từ mỗi quyền.

Apply these Chỉ định subfolder và file bên trong một folder đƣợc

permissions to objects thừa kế các quyền truy cập đặc biệt từ folder đó hay

and/or containers within không. Chọn check box này để nhân rộng các quyền truy

this container only cập đặc biệt cho các files hay subfolder. Xoá check box

này để ngăn chặn thừa kế quyền.

Clear All Click nút này để xoá tất cả các quyền đã chọn.

2.4.5. Nén dữ liệu trên một phân vùng NTFS

Khả năng nén dữ liệu của hệ thống file NTFS cho phép nén các file và folder.

Các file và folder đã nén chiếm ít chổ trống hơn trên phân vùng định dạng NTFS cho

phép chứa nhiều dữ liệu hơn. Đặt tình trạng nén cho các file và folder. Các file và

folder copy giữ nguyên tình trạng nén, hay chúng có thể thừa kế tình trạng nén của

folder nơi đến. Nên theo bài thực hành để tập quản lý việc nén dữ liệu.

Hình 2.108: Mô hình nén dữ liệu

187

1) Giới thiệu về các file nén và folder nén

Mỗi file và folder trên một phân vùng NTFS có một trạng thài nén là compressed hay uncompressed. Trạng thái nén của một folder không phản ánh trạng

thái nén của các file và subfolder bên trong nó. Ví dụ một folder có thể đƣợc nén

nhƣng tất cả các file bên trong nó có thể là không nén. Cũng vậy, các folder không nén

cũng có thể chứa các file nén.

Xem xét các thông tin sau khi làm việc với các file và folder nén:

- Cấp phát khoảng trống: NTFS cấp phát khoảng trống dựa trên kích thƣớc chƣa

nén của file. Nếu copy một file nén vào một phân vùng không đủ chổ trống cho file lúc

chƣa nén thì sẽ nhận đƣợc thông báo lỗi là không đủ chổ trống.

- Trạng thái nén hiển thị màu sắc: có thể thay đổi màu sắc hiển thị của các file

và folder nén để phân biệt chúng với các file và folder không nén.

- Truy cập các file và folder nén qua các ứng dụng: Các file nén có thể đƣợc

đọc, ghi từ các ứng dụng chạy trên nền Windows hay MS-DOS mà không cần phải

đƣợc giải nén trƣớc bởi một chƣơng trình khác. Khi một ứng dụng hay lệnh hệ điều

hành yêu cầu truy cập vào một file nén, Windows Server 2003 tự động giải nén file đó.

Khi đóng hay ghi một file, Windows Server 2003 nén nó trở lại.

Hình 2.109: Hộp thoại cho phép nén dữ liệu

2) Nén các file và folder

Windows Explorer cho phép lập tình trạng nén cho file và folder và thay đổi

màu sắc của các file và folder đã nén.

Ghi chú: Không thể nén một file hay folder đã đƣợc mã hoá. Nếu check box

Encrypt content to secure data đƣợc chọn không thể nén file hay folder đó. - Thiết lập tình trạng nén: Để lập tình trạng nén của một file hay folder, trong hộp

188

Advanced attribute, chọn check box Compress contents to save disk space. Nếu nén

một folder, Windows Server 2003 hiển thị hộp Confirm Attribute Changes, hộp này có hai option đƣợc mô tả nhƣ sau:

Option Mô tả

Apply changes to this Chỉ nén folder đã chọn và bất kỳ folder hay file nào đã

folder only thêm vào nó.

Apply changes to this Nén folder này và tất cả các subfolder và file chứa trong

folder, subfolders and nó cũng đƣợc thêm vào nó.

files

- Thay đổi màu sắc hiển thị: Có thể đặt màu hiển thị cho các file và folder nén. Trong Windows Explorer, trên menu Tools, click Folder Options. Trên tab View, chọn check

box Display compressed files and folders with alternative color.

3) Copy và di chuyển các file và folder nén

Danh sách sau mô tả cách Windows Server 2003 xử lý với tình trạng nén của

các file hay folder khi copy hay di chuyển một file hay folder nén bên trong hay giữa

các phân vùng NTFS, hay giữa phân vùng NTFS và không phải NTFS:

Hình 2.110: Mô hình Copy và di chuyển các file và folder nén

Trong phần Active Directory Users and Computers cho thấy, khi copy một file hay folder bên trong một phân vùng NTFS, file đó thừa kế tình trạng nén của folder nơi đến. Ví dụ nếu copy một file hay folder nén đến một folder không nén thì file hay

folder đó tự động đƣợc giải nén.

- Trong phần B mô tả, khi di chuyển một file hay folder bên trong một phân

vùng NTFS, file hay folder giữ nguyên tình trạng nén của nó. Ví dụ nếu di chuyển một

file nén vào một folder chƣa nén, file đó sẽ vẫn đƣợc nén.

- Trong phần C cho thấy, khi copy một file hay folder giữa các phân vùng

189

NTFS thì file hay folder đó sẽ thừa kế tình trạng nén của folder nơi đến.

- Trong phần Domain user accounts mô tả, khi di chuyển một file hay folder giữa các phân vùng NTFS, file hay folder đó thừa kế trạng thái nén của folder nơi đến.

Bởi vì Windows Server 2003 coi việc di chuyển giữa các phân vùng nhƣ là copy và

delete, nên các file sẽ thừa kế tình trạng nén của folder nơi đến.

Windows Server 2003 chỉ hổ trợ nén trên các phân vùng NTFS. Khi copy hay di chuyển một file hay folder nén đến một phân vùng không phải NTFS thì Windows

Server 2003 tự động giải nén file hay folder đó.

Khi copy một file nén, Windows Server 2003 giải nén file, copy file đó, rồi nén

file lại một lần nữa. Điều này sẽ ảnh hƣởng làm chậm tốc độ của hệ thống.

2.4.6. Cấu hình đĩa theo dõi và kiểm soát (Disk quotas) trên các phân vùng NTFS Sử dụng disk quotas để quản lý sự tăng trƣởng dung lƣợng đĩa sử dụng trong

môi trƣờng phân tán. Disk quotas cho phép cấp phát khoảng trống cho các user dựa

trên các file và folder mà họ có. Disk quotas cho phép kiểm soát lƣợng dung lƣợng đĩa

các user dùng để chứa file. Điều quan trọng là phải hiểu disk quotas làm việc nhƣ thế

nào, khi đó có thể dùng disk quotas cách hiệu quả nhất trên mạng.

1) Sử dụng Disk quotas

Windows Server 2003 disk quotas theo dõi và kiểm soát dung lƣợng đĩa dùng

của mỗi user, mỗi phân vùng. Thông thƣờng, Windows Server 2003 theo dõi lƣợng đĩa mỗi ngƣời sử dụng mà không quan tâm đến folder họ chứa các file. Danh sách sau mô

tả các đặc tính của Windows Server 2003 disk quotas:

- Lƣợng đĩa sử dụng đƣợc tính trên ownership của các file và folder. Khi một

user copy hay ghi một file mới vào một phân vùng NTFS, hay lấy ownership của một

file trên một phân vùng NTFS, Windows Server 2003 sẽ tính vào dung lƣợng đĩa đã

dùng cho giới hạn quotas của user đó.

- Disk quotas không tính trên dung lƣợng nén. Các user đƣợc tính lƣợng đĩa sử

dụng dựa trên dung lƣợng chƣa nén mà không cần biết lƣợng đĩa cứng đã dùng thật sự

là bao nhiêu. Nguyên do là vì file nén tạo ra mức độ nén khác nhau trên từng loại file.

- Khoảng trống đĩa dành cho các ứng dụng đƣợc tính dựa trên giới hạn quotas. Khi thực hiện disk quotas, khoảng trống đĩa mà Windows Server 2003 báo cho các ứng dụng của phân vùng là lƣợng khoảng trống còn lại trong giới hạn quotas của user. - Windows Server 2003 theo dõi disk quotas độc lập theo từng phân vùng, ngay

cả khi các phân vùng nằm cùng trên một đĩa cứng vật lý.

Chỉ áp dụng disk quotas cho các phân vùng định dạng theo hệ thống file NTFS

trong Windows Server 2003.

Để kiểm soát lƣợng đĩa trống mà các user còn, đặt một cảnh báo chỉ rõ khi nào

Windows Server 2003 nên log một event, cho biết user đã gần tới mức giới hạn sử

190

dụng. Áp đặt giới hạn disk quotas và từ chối truy cập của các user nếu họ vƣợt giới

hạn cho phép, hay bỏ qua disk quotas và cho họ tiếp tục sử dụng.

2) Thiết lập Disk quotas

Cấu hình disk quotas để áp đặt các cảnh báo và các giới hạn disk quotas cho tất

cả các user hay cho từng user riêng lẻ.

Hình 2.111: Sử dụng Disk quotas

- Thực hiện disk quotas: Để thực hiện disk quotas, mở hộp Properties của một

ổ đĩa. Trên tab Quotas, cấu hình các options mô tả trong bảng sau:

Option Mô tả

Enable quotas Chọn check box này để kích hoạt khả năng quản lý disk

management quotas cho đĩa.

to Deny disk space users exceeding quota Chọn check box này để các user nhận thông báo Out of disk space và bị ngăn không cho ghi lên đĩa nếu họ vƣợt

limit quá dung lƣợng đĩa cứng cấp phát.

Do not limit disk usage Chọn option này khi không muốn giới hạn lƣợng đĩa

dùng của các user.

Limit disk space to Cấu hình lƣợng đĩa sẵn dùng cho các user.

Set warning level to

Cấu hình lƣợng đĩa sẵn dùng cho các user trƣớc khi Windows Server 2003 log một event cho biết user đang gần tới mức giới hạn.

Quotas entries

Click nút này để thêm vào một entry, delete một entry và xem thuộc tính của một quota entry.

- Áp đặt disk quotas cho tất cả các user: Để áp đặt giới hạn quota cho tất cả

các user, thực hiện các bƣớc sau:

191

Trong hộp Limit disk space to và Set warning level to, nhập vào các giá trị giới

hạn và cảnh báo muốn lập.

Chọn check box Deny disk space to users exceeding quota limit.

Windows Server 2003 sẽ giám sát việc sử dụng đĩa và sẽ không cho phép user

tạo file hay folder mới trên phân vùng khi họ vƣợt quá giới hạn.

- Áp đặt disk quotas cho tất các cá nhân: Để áp đặt giới hạn quota cho một

user nào đó, thực hiện các bƣớc sau:

Trong hộp Properties của đĩa, trên tab Quota, click Quota Entries.

Trong hộp Quota Entries, tạo một entry mới bằng cách click New Quotas Entry

trên menu Quota, rồi chọn một user.

Cấu hình giới hạn lƣợng đĩa sử dụng và mức độ cảnh báo cho user này.

BÀI TẬP CHƢƠNG 2

Bài 1: Với hệ thống mạng nhƣ sau. Hãy tạo tài khoản ngƣời dùng và nhóm cho

Công ty theo yêu cầu sau:

Hãy cấp quyền các tài khoản theo yêu cầu sau:

- Tài khoản TUNG chỉ có thể đăng nhập từ máy TUNG và phải thay đổi mật

khẩu ở lần đăng nhập đầu tiên

- Tài khoản DIEP chỉ sử dụng đến ngày 30.09.2008 thì sẽ bị khóa. Tài khoản này chỉ có thể đăng nhập trong giờ hành chánh. Tài khoản này không đƣợc phép đổi mật khẩu. Hƣớng dẫn:

- Sử dụng công cụ Active Directory Users and Computers để tạo tài khoản ngƣời

dùng và nhóm

- Đối với tài khoản TUNG sử dụng thuộc tính Logon WorkStations và thuộc tính

User must change password at the next logon.

192

- Đối với tài khoản DIEP sử dụng thuộc tính Account Expires, sử dụng thuộc tính

Logon Hours và thuộc tính User can not must change password.

Bài 2 : Với hệ thống mạng nhƣ trong bài tập 1. Muốn cấp quyền cho ngƣời

dùng theo yêu cầu sau:

- Tài khoản TUNG có quyền thêm, xóa, sửa tài khoản ngƣời dùng. - Tài khoản DIEP có quyền backup server. - Tài khoản TUAN có quyền quản lý máy in.

Hƣớng dẫn

- Để cấp quyền cho tài khoản TUNG, Đƣa tài khoản vào nhóm Account

Operators.

- Để cấp quyền cho tài khoản DIEP, đƣa tài khoản vào nhóm Backup Operators. - Để cấp quyền cho tài khoản TUAN, đƣa tài khoản vào nhóm Print Operators.

Bài 3: Với các tài khoản đã có trong bài tập 1, hãy cấp quyền cho ngƣời dùng

theo yêu cầu sau:

- Chỉ có nhóm Administrators và Diep có quyền gia nhập máy tính vào Domain. - Tài khoản Diep có quyền sao lƣu dữ liệu – backup data. - Tài khoản Tuan có quyền đăng nhập cục bộ tại Domain Controller và có quyền

tắt máy Domain Controller từ xa.

Hƣớng dẫn

- Để cho phép tài khoản Diep sử dụng thuộc tính Add workstations to Domain,

thuộc tính Back up Files and directories.

- Để tài khoản Tuan sử dụng thuộc tính Allow Log on Locally thuộc tính Shut

down the System Properties thuộc tính Force Shutdown from a remote System

- Sau khi thực hiện xong cần cập nhật lại chính sách hệ thống bằng cách gõ lệnh

GPUPDATE /FORCE

Bài 4: Đối với các tài khoản ngƣời dùng trong Domain. Hãy thiết lập các chính

sách về yêu cầu mật khẩu nhƣ sau:

- Mật khẩu chỉ sử dụng tối đa là 30 ngày - Mật khẩu mới không đƣợc trùng với mật khẩu cũ liền trƣớc đó - Mật khẩu phải có chiều dài tối thiểu là 3 ký tự. Anh/Chị hãy cấu hình hệ thống theo các yêu cầu trên.

Bài 5: Đối với các tài khoản ngƣời dùng trong Domain. Hãy cấu hình hệ thống để khi ngƣời dùng đăng nhập vào hệ thống mạng sai 3 lần thì tài khoản sẽ bị khóa đến

khi ngƣời quản trị mở lại. Hƣớng dẫn

- Để khóa tài khoản nếu nhƣ đăng nhập sai 3 lần, sử dụng thuộc tính Account

Lockout threshold.

193

- Để khóa tài khoản đến khi ngƣời quản trị mở lại, sử dụng thuộc tính Account

Lockout Duration.

- Sau khi thực hiện xong, cần cập nhật lại chính sách hệ thống bằng cách gõ lệnh

GPUPDATE /FORCE

Bài 6: Với hệ thống mạng theo mô hình Domain, Giám đốc muốn ghi nhận lại

quá trình làm việc của mọi ngƣời trong hệ thống.

Anh/Chị hãy cấu hình hệ thống để đáp ứng yêu cầu trên.

Hƣớng dẫn

- Để thiết lập chính sách giám sát thời điểm đăng nhập và đăng xuất khỏi

Domain, Anh/Chị sử dụng thuộc tính Audit Account Logon events.

- Để xem thời điểm các tài khoản đăng nhập vào hệ thống, vào công cụ Event

Viewer, Anh/Chị sẽ xem các giá trị đƣợc ghi nhận lại trong mục Security.

Bài 7: Với hệ thống mạng theo mô hình bên dƣới, hãy cấu hình hệ thống theo

yêu cầu sau:

- Mọi ngƣời khi truy cập Internet đều phải thông qua Proxy Server, và không

đƣợc phép thay đổi địa chỉ Proxy.

- Trên máy làm việc, mọi ngƣời khi đăng nhập vào hệ thống thì sẽ tự động ánh xạ

thƣ mục dùng chung và thƣ mục riêng trong mạng về máy.

Anh/Chị hãy cấu hình hệ thống một cách đơn giản nhất để đáp ứng yêu cầu trên.

Thông tin giả định Cấu trúc thƣ mục trên máy Domain Controller nhƣ sau:

194

Mỗi ngƣời dùng sẽ sử dụng 2 thƣ mục trên máy Domain Controller: - Thƣ mục chung là thƣ mục BaoCao đƣợc ánh xạ thành ổ đĩa H: - Thƣ mục riêng là thƣ mục có tên trùng với tên tài khoản đó đƣợc ánh xạ thành ổ

đĩa K:. Ví dụ: thƣ mục riêng của tài khoản Diep là thƣ mục Diep. Hƣớng dẫn

Để thực hiện cài đặt địa chỉ Proxy lên tất cả các máy trong hệ thống mạng, cần sử

dụng Group Policy của Domain.

- Anh/Chị chọn mục Users Configuration  Windows settings à Internet Explorer Maintenance  Connection. Trong thuộc tính Proxy Settings, đánh dấu kiểm trong mục Enable Proxy settings, và Anh/Chị nhập địa chỉ Proxy cho các máy theo yêu

cầu (192.168.1.1:8080).

- Để không cho phép ngƣời dùng thay đổi địa chỉ Proxy, cấu hình trong mục Users Configuration  Administrative Templates  Windows Component  Internet Explorer và chọn thuộc tính Disable Changing Proxy Settings.

Để tạo logon Script cho ngƣời dùng, thực hiện tuần tự các bƣớc sau:

- Viết Script ánh xạ ổ đĩa cho ngƣời dùng - Sử dụng Group Policy của Domain để thực thi Script vừa mới tạo ra khi ngƣời

dùng đăng nhập vào hệ thống mạng.

Để có tác dụng khi ngƣời dùng đăng nhập, chỉ cần yêu cầu ngƣời dùng thoát khỏi hệ thống và đăng nhập trở lại, đối với các thiết lập ảnh hƣởng đến máy tính thì cần khởi động lại máy tính.

Bài 8: Với hệ thống mạng đang có trong bài tập 1, hãy thiết lập chính sách

nhóm cho OU Khachhang theo yêu cầu sau:

- OU Khachhang gồm tài khoản Hung và Long - Các tài khoản này chỉ cho chạy chƣơng trình Internet Explorer và Wordpad. - Các tài khoản này không đƣợc sử dụng Control Panel. - Các tài khoản này không bị áp dụng các thiết lập

Hãy cấu hình hệ thống một cách đơn giản nhất để đáp ứng yêu cầu trên.

Hƣớng dẫn

195

- Cần tạo OU Khachhang, và chuyển các tài khoản ngƣời dùng tƣơng ứng vào

OU này.

- Sau đó thiết lập Group Policy cho OU theo yêu cầu của đề bài và OU này

không thừa hƣởng Group Policy của Domain.

- chọn mục Users Configuration  Administrative Templates  System và chọn thuộc tính Run only allowed Windows Applications để thiết lập các chƣơng trình cho

phép thực thi.

- chọn mục Users Configuration  Administrative Templates  Control Panel và chọn thuộc tính Prohibit Access to the Control Panel để không cho phép sử dụng

Control Panel.

Bài 9: Giả thiết rằng máy Server của có 4 ổ cứng 80GB. Hãy phân chia và tạo

các volume theo yêu cầu sau:

- Volume OS dùng để cài đặt hệ điều hành, chiếm 40GB của Disk0 - Volume Software dùng để chứa phần mềm, volume này dạng Mirror gồm 40GB

của Disk0 và 40GB của Disk1.

- Volume Data dạng Raid-5 gồm 40GB của 3 đĩa Disk1, Disk2 và Disk3.

Hƣớng dẫn:

- Cài đặt hệ điều hành trên ổ cứng đầu tiên – Disk0 với kích thƣớc Partition là

40Gb.

- Sau khi đã cài đặt hoàn tất, sử dụng chƣơng trình Disk Management để chuyển

các ổ đĩa cứng từ Basic sang Dynamic

- Tạo các Volume theo yêu cầu đề bài.

Bài 10: Dựa vào bài 9, giả sử Disk 3 bị hỏng, và đã thay thể đĩa cứng mới. Hãy

đồng bộ lại dữ liệu cho đĩa cứng vừa lắp vào.

Hƣớng dẫn:

- Lắp ổ đĩa mới vào trong máy tính và chuyển ổ đĩa sang dạng Dynamic Disk. - Kích chuột phải vào một trong những ổ đĩa tham gia RAID-5 và chọn mục

Repair Volume, tại hộp thoại Repair RAID-5 volume, chọn ổ đĩa vừa mới thêm vào.

Bài 11: Với hệ thống mạng nhƣ trong bài tập 7, muốn tạo một tài nguyên chia sẻ để mọi ngƣời có thể gởi báo cáo công việc hằng tuần. muốn mọi ngƣời chỉ có thể để dữ liệu trên tài nguyên đó tối đa là 10MB, riêng giám đốc thì không giới hạn.hãy cấu

hình hệ thống nhằm đáp ứng yêu cầu trên. Hƣớng dẫn

- Thiết lập Quota trên ổ đĩa chứa thƣ mục BaoCao - ổ đĩa D – và cấp hạn ngạch

là 10MB.

- Sử dụng thuộc tính Quota Entries… để cấp phát hạn ngạch không giới hạn cho

tài khoản GiamDoc

196

Bài 12: Ổ đĩa D chứa tài liệu trên máy File Server đã gần đầy, và hệ thống liên

tục thông báo tình trạng đĩa không còn dung lƣợng trống.

Anh/Chị hãy cấu hình hệ thống để tạm thời khắc phục hiện tƣợng trên trong lúc chờ

đợi lắp thêm ổ đĩa cứng.

Bài 13: Do nhu cầu công việc, Giám đốc muốn chỉ có mình mới có thể đọc

đƣợc một số nội dung chứa trong máy, dù có tháo đĩa cứng này sang máy khác thì vẫn không đọc đƣợc nội dung của này.

Sử dụng tiện ích có sẵn trên Windows Server 2003, hãy hƣớng dẫn cho Giám

đốc thực hiện công việc này.

Bài 14: Dùng tiện ích Windows Backup để thực hiện.

Ngày Loại backup

Thứ 7 Full backup (normal)

Chủ nhật Công ty nghỉ

Thứ 2 Incremental, chỉ backup data (files, folders)

Thứ 3 Incremental, chỉ backup data (files, folders)

Thứ 4 Incremental, chỉ backup data (files, folders)

Thứ 5 Incremental, chỉ backup data (files, folders)

Thứ 6 Incremental, chỉ backup data (files, folders)

Thực hiện Backup data (Full backup, Incremental backup)

- Restore data - Backup System State

Bài 15: Trên File Server có tài khoản ngƣời dùng và nhóm nhƣ sau:

- Nhóm BanGiamDoc gồm: Hung, Trong - Nhóm NhanVien gồm: Diep, Tuan, Tung

Hãy tạo cấu trúc thƣ mục nhƣ hình sau.

Sau đó, hãy cấp quyền truy cập cho ngƣời dùng theo yêu cầu sau:

- Mỗi ngƣời dùng có toàn quyền trên thƣ mục dành riêng của mình.

197

- Trƣởng phòng của mỗi phòng ban sẽ đọc đƣợc dữ liệu của các thành viên khác

trong phòng. Trƣởng phòng là tài khoản đầu tiên trong danh sách của mỗi nhóm.

- Thƣ mục Public là thƣ mục dùng chung, mọi ngƣời có thể ghi dữ liệu lên đó

nhƣng chỉ xóa đƣợc những dữ liệu cho mình tạo ra.

- Mọi ngƣời có thể truy cập thƣ mục Public từ máy cục bộ hoặc từ một máy khác

trong hệ thống mạng

Hƣớng dẫn:

Đối với thƣ mục của các tài khoản ngƣời dùng, cần quan tâm:

- Muốn ngƣời có thể truy cập vào thƣ mục Data, cần cho phép tài khoản

everyone có quyền Read trên thƣ mục Data.

- Thƣ mục của mỗi nhóm thì chỉ có thành viên của nhóm là có thể truy cập vào đƣợc. Nhƣ vậy, tại thƣ mục BanGiamDoc thì chỉ có nhóm BanGiamDoc là có quyền

Read. Tƣơng tự, trong thƣ mục NhanVien thì chỉ có nhóm NhanVien là có quyền

Read.

- Tại thƣ mục của mỗi ngƣời, chỉ có tài khoản tƣơng ứng là có toàn quyền, và

cũng chỉ có tài khoản trƣởng nhóm là có quyền đọc.

Đối với thƣ mục Public:

- Ngƣời dùng có quyền tạo tập tin và thƣ mục nhƣng chỉ xóa những gì do mình tạo ra thì Anh/Chị chỉ cần cho phép ngƣời dùng có quyền tạo tập tin/thƣ mục, còn

quyền xóa sẽ đƣợc cấp phát cho tài khoản Creator Owner.

- Ngƣời dùng có thể ngồi làm việc tại máy cục bộ hoặc ngồi làm việc từ xa thì Anh/Chị cần thực hiện việc chia sẻ tài nguyên đó. cần chỉnh sửa quyền Sharing là tài

khoản everyone có toàn quyền – Full.

Bài 16: Trên ổ đĩa D: của máy File Server, đã có chia sẻ thƣ mục Public cho

mọi ngƣời dùng. Anh/Chị cần giám sát các thao tác xóa dữ liệu của ngƣời dùng

TRONG trên thƣ mục này.

Hƣớng dẫn

198

- Cấu hình giám sát thao tác xóa dữ liệu của Trong - Cho phép hệ thống đƣợc phép ghi nhận các sự kiện liên quan đến các đối tƣợng

tập tin/thƣ mục

- Xem lại các hành động xóa của Trong trong Event Viewer

Bài 17: Trên hệ thống mạng đang có, các tài nguyên chia sẻ nằm rải rác trên

các máy Server khác nhau.

- Trên máy File Server đang chia sẻ thƣ mục Public. - Trên máy Tuan đang chia sẻ thƣ mục Software. - Trên máy Diep đang chia sẻ thƣ mục Music.

Muốn ngƣời dùng truy cập vào một tài nguyên chia sẻ trên máy Server có địa chỉ IP

192.168.1.250. Từ đó, mọi ngƣời có thể truy cập các tài nguyên trên.

Hãy cấu hình hệ thống theo yêu cầu trên.

Hƣớng dẫn

- Xây dựng DFS Root trên máy 192.168.1.250. - Trên DFS Root, tạo kết nối đến các tài nguyên đang chia sẻ trong mạng

199

Chƣơng 3: CÁC DỊCH VỤ MẠNG VÀ BẢO MẬT

3.1. Quản lý đĩa và máy in 3.1.1. Cấu hình và quản lý đĩa

Một trong các tác vụ liên quan đến việc quản lý một máy tính là quản lý đĩa.

Việc biết rõ các công cụ nào có sẵn để cài đặt và quản lý đĩa. Và những tính năng nào đƣợc cung cấp với Windows Server 2003 sẽ cho phép quản lý các ổ đĩa tốt hơn và cấu

hình các tính năng cao cấp, chẳng hạn nhƣ thực thi đặc tính dung sai mặc đạinh hay

gán môt phân hoạch mới cho một Folder trên một phân hoạch hiên có thay vì gán một

mẫu tự ổ đĩa mới cho nó.

Microsoft Windows Server 2003 cung cấp hai loại đĩa cơ bản và đĩa động. Đĩa

cơ bản sử dụng các phân hoạch quen thuộc với các User sử dụng với các phiên bản

trƣớc đây của Windows và MS-DOS, trong khi các đĩa động sử dụng các volume vốn

làm cho phép việc sử dụng khoảng trống hữu hiêu hơn việc sử dụng các phân hoạch

trong các máy tính có nhiều đĩa cứng, ngoài việc cung cấp các tuỳ chọn là cho dữ liệu

phong phú. Việc biết rõ các đĩa cơ bản và đĩa động sẽ giúp cấu hình các đĩa cứng một

cách hiệu quả trên một máy tính trên nền Windows Server 2003.

1) Các loại quản lý đĩa trên Windows Server

Khi cấu hình các đĩa trên máy tính của mình, phải quyết định thực thi các đĩa cơ bản hay các đĩa động, loại đĩa cứng mà chọn xác định, cách mà chọn có thể chọn

khoản trống trên đĩa cứng. Các đĩa động cung cấp các cách linh hoạt trong cách cài đặt

đĩa cứng hơn so với các đĩa cứng cơ bản.

a) Các đĩa cơ bản

Khi cài đặt một đĩa mới, Windows Server 2003 nhận biết nó có cấu hình nó

dƣới dạng một đĩa cơ bản. Các đĩa cơ bản là phƣơng tiện lƣu trữ mặc địnhsử dụng cho

Windows Server 2003 và cung cấp các khả năng có giới hạn cho việc cấu hình các đĩa.

Sử dụng các đĩa cơ bản khi có nhiều hệ điều hành đƣợc cài đặt và cần khởi động kép,

bởi vì indows 2003 là hệ điều hành duy nhất nhận biết các đĩa động.

- Đặc điểm của một đĩa cơ bản: Đặc điểm của một đĩa cơ bản bao gồm Một đĩa cơ bản có thể chứa 4 phân hoạch (partition), Mỗi phân hoạch là một phần logic của một ổ đĩa cứng có thể gán một mẫu tự ổ đĩa cho nó. Có thể tạo các phân hoạch trên một ổ đĩa cơ bản.

Một đĩa cơ bản trong Windows Server 2003 tƣơng thích với các loại lƣu trữ đĩa

khác, vốn bao gồm các phân hoạch và các RAID-5.(Redundant array of independent disks), các Strip set và các tập hợp dung lƣợng hiện có trƣớc đây từ phiên bản

Microsoft Windows NT 4.0 hoặc các hệ điều hành khác.

200

Chú ý: Không thể tạo các tập hợp Volume mới, các Stripe Set, hay tập hợp

RAID-5 tên một đĩa cơ bản của Windows Server 2003. Để thực hiện các phƣơng pháp lƣu tữ này, phải nâng cấp lên một đĩa động. Sau khi nâng cấp Windows Server 2003 có

thể đọc các phiên bản hiện có trƣớc đây của tập hợp Volume, các Stripe set hay các tập

hợp RAID-5 đƣợc tạo trên Windows NT.

- Các kiểu phân hoạch trên đĩa cơ bản: Một đĩa cơ bản có thể có bốn phân hoạch vốn có thể đƣợc tạo từ bốn phân hoạch sơ cấp, hay từ ba phân hoạch sơ cấp và

một phân họach mở rộng chứa một hay nhiều đia Logic. Trong Windows Server 2003

có thể tạo, xoá, và định dạnhg các phân hoạch cơ bản mà không phải khởi động lại

máy tính, để các thay đổi đạt đƣợc hiệu ứng.

Danh sách sau đây mô tả các kiểu phân hoạch có sẵn trong Windows Server

2003:

Primary partition(Phân hoạch sơ cấp): Một phần khoảng trống lƣu trữ có thể

dùng đƣợc tạo từ khoảng trống không đƣợc phân phối tên môt đĩa. Hãy gán một mẫu

tự ổ đĩa cho mỗi phân hoạch.

Extended partition (Phân hoạch mở rộng): Một phần khoảng trống lƣu trữ có

tể dùng đƣợc tạo từ khoảng trống không đƣợc phân phối trên một đĩa khi muốn tạo

nhiều hơn bốn khoảng trống lƣu trữ trên một đĩa cơ bản. Có thể chia nhỏ một phân

hoạch đƣợc mở rộng thành các ổ đĩa logic. Đừng gán một mẫu tự ổ đĩa cho một phân hoạch đƣợc mở rộng, thay vào đó hãy gán các ổ đĩa logic của nó.

Logic drive ( Ổ đĩa Logic): Một phần đƣợc tạo trong phần đƣợc tạo trong một

phân hoạch đƣợc mở rộng. Hãy định dạng nó và gán một mẫu tự ổ đĩa cho nó. Một ổ

đĩa Logic không thể mở rộng sang nhiều đĩa.

Chú ý: Khi tạo các phân hoạch, nên để lại ít nhất một Megabyte (Mb) khoảng

trống không đƣợc phân phối trên đĩa, phòng khi quyết định chuyển đổi số đĩa cơ bản

thành một đĩa động. Tiến trình chuyển đổi sử dụng 1 MB khoảng trống trên mỗi đĩa

động để lƣu trữ một cơ sở dữ liệu vốn theo dõi cấu hình của tất cả các đĩa động trong

máy tính.

b) Các đĩa động

Các đĩa động là một dạng lƣu tữ đĩa mới sử dụng cho Windows Server 2003 vốn cung cấp các lợi ích mà nhiều kiểu volume khác nhau sử dụng cho việc cài đặt. hãy tạo một đĩa động bằng cách nâng cấp một đĩa cơ bản. Các đĩa động hiệu quả và cung cấp khả năng tính linh hoạt cao hơn các đĩa cơ bản. Ví dụ các đĩa động có thể dễ

dàng thực thi phần thặng dƣ dữ liệu.

Lợi ích của các đĩa động: Một đĩa vốn đƣợc chuyễn đổi từ một đĩa cơ bản sang

một đĩa động chứa các volume thay vì chứa các phân hoạch. Một volume là một phần

logic của một đĩa cứng gán một mẫu tự ổ đĩa cho nó. Chỉ có thể tạo các volume trên

201

một đĩa động. Các đĩa động có nhiều thuận lợi hơn so với các đĩa cơ bản

- Không có giới hạn đối với số Volume có thể tạo trên mỗi đĩa. - Windows Server 2003 lƣu trữ thông tin cấu hình đĩa động trên đĩa, thay vì

trong vùng đăng ký hay tại các vị tí mà nó không thể cập nhật chính xác. Windows

Server 2003 sao chép thông tin cấu hình đĩa sang tất cả các đĩa động khác so với sự cố

của một đĩa cá thể sẽ không ảnh hƣởng đến việc truy cập sang dữ liệu trên các đĩa khác.

Một đĩa cứng có thể là đĩa cơ bản hay đĩa động; nhƣng cũng có thể là cả hai;

không thể kết hợp các kiểu lƣu trữ trên một đĩa. Tuy nhiên nếu máy tính có nhiều đĩa

cứng có thể cấu hình mỗi một đĩa cứng trong một máy tính dƣới dạng đĩa cơ bản hay đĩa động, và vì vậy có cả hai kiểu trong một hệ thống cá thể.

Chú ý: Không thể tạo các tập hợp volume mới, các stripe set, hay các tập hợp

RAID-5 trênc ác phân hoạch cơ bản trong Windows Server 2003. Chỉ có thể tạo các

cấu hình đĩa này trên các đĩa động. Ngoài ra, bởi vì các thiết bị lƣu trữ có thể di

chuyển chỉ có thể chứa các phân hoạch sơ cấp, không thể mở rộng hay tạo bất kỳ

volume động nào trong các thiết bị này.

Các loại volume trên các đĩa động: Có thể sử dụng các loại Volume sau đây

trên một đĩa động

- Một Simple volume (Volume đơn giản) chứa khoảng trống đĩa của một đĩa cá

thể.

- Một Striped đĩa kết hợp với vùng khoản trống đĩa của hai hay nhiều đĩa (lên

đến 32 đĩa cứng) thành một volume. Khi dữ liệu đƣợc ghi trên Volume Striped, nó

đƣợc chia thành các khối 64 Kilobyte (KB) và trải rộng bằng nhau đối với tất cả các

đĩa trong mảng. Một mảng là một tập hợp bao gồm 2 hay nhiều đĩa, tiến tình chia dữ

liêu cho một tập hợp đĩa cải tiến hoạt động đĩa nhƣng không cung cấp dung sai lỗi là

khả năng của một máy tính hay hệ điều hành phản hồi một sự cố, chẵng hạn nhƣ đĩa

cứng hỏng mà không làm mất dữ liêu.

- Một Spanned volume bao gồm khoảng trống đĩa của hai hay nhiều đĩa (lên đến 32 đĩa). Khi dữ liệu đƣợc viết sang một spanned volume, phần spanned volume trên đĩa đầu tiên, đƣợc làm đầy trƣớc tiên, và sau đó dữ liêu đƣợc ghi sang đĩa kế tiếp trong volume. Nếu một đĩa nhất định hỏng trong spanned volume , thì tất cả dữ liệu đƣợc lƣu trữ trên đĩa đó bị mất. Tƣơng tự với một tập hợp Volume, trong các phiên bản tƣớc đây của Windows NT, một Spanned volume cho phép kết hợp lƣu tữ đĩa nhƣng không

cải tiến hoạt động đĩa. Hoạt động đĩa là tốc độ, với tốc độ này máy tính có thể truy cập dữ liệu trên một hay nhiều đĩa.

202

- Các mirrrored volune là hai bảng sao giống nhau của một volume đơn giản,

mỗi volume đƣợc lƣu trữ trên một đĩa cứng riêng lẻ. các mirrored volume cung cấp dung sai lỗi khi đĩa hỏng.

- Các RAID-5 volume là các Striped volume dung sai lỗi windows Server 2003

bổ sung môt parity stripe cho mỗi đĩa trong Volume. Parity là một thuật toán vốn bổ

sung các bit vào dòng dữ liệu chứa thông tin thặng dƣ, cho pép tạo lại dòng dữ liệu nếu một phần của dòng dữ liệu không có. Thông tin parity và dữ liệu đƣợc sắp xếp để

chúng luôn luôn ở trên các đĩa riêng biệt. Một khối parity stripe tồn tại sử dụng cho

mỗi hàng trên đĩa. Windows Server 2003 sử dụng thông tin Parity trong các stripe đó

để tạo lại dữ liệu khi đĩa cứng hỏng, các RAID-5 Volume yêu cầu tối thiểu 3 đĩa cứng.

c. Tạo các phân hoạch cho một đĩa cơ bản

Sự lƣu tữ đĩa cơ bản đƣợc lƣu trữ bởi tất cả các hệ điều hành Windows trƣớc

Windows Server 2003. Trong một mạng có nhiều hệ điều hành, việc biết cách sử dụng

công cụ Disk Manager trong computer Manager trong MMC (Microsoft Management

Console). Để tạo các đãi cơ bản vốn hỗ trợ các phiên bản trƣớc đây của phần mềm là

rất quan trọng.

Trên các đĩa cơ bản, chỉ có thể tạo các đĩa phân họach sơ cấp, các phân hoạch

đƣợc mở rộng, và các ổ đĩa Logic. Để tạo các ổ đĩa phân hoạch sơ cấp trên một đĩa cơ

bản hãy thực hiện cc bƣớc sau đây:

Hình 3.1: Hộp thoại tạo các partition

Nhấp Start, trỏ sang Programs, trỏ đến Administrative Tools, và sau đó nhấp

Computer Managerment.

Trong Computer Manager, nhấp Disk Management, nhấp phải khoảng trống

không đƣợc phấn phối trên đĩa cơ bản và sau đó nhấp Create Patition.

Trong Wizard Create Patition, hãy nhấp Next.

Nhấp primary Patition hay Extended Partition, và sau đó thực hiện theo các

bƣớc trên hƣớng dẫn trên màn hình.

203

2) Tạo các volume trên một đĩa động

Khi cài đặt một đĩa mới, theo mặc định Windows Server 2003 tạo nó dƣới dạng một đĩa cơ bản. Để sử dụng một đĩa động, phải nâng cấp từ một đĩa cơ bản lên một đĩa

động. Khi tiến trình nâng cấp đĩa hoàn thành, có tể tạo một dãy nhiều volume động

không có giới hạn đối với số volume có thể tạo một dãy nhiều volume động. Không có

giới hạn đối với số volume có thể tạo bằng cách sử dụng các đĩa động. Ngoài ra cũng có thể mở các volume sang nhiều đĩa. Các khả năng này cung cấp khả năng điều khiển

lớn hơn giúp không làm mất dữ liệu khi phần cứng hỏng.

Nếu chọn nâng cấp từ một đĩa cơ bản sang một đĩa động, hãy cn nhắc loại

volume nào phù hợp với các nhu cầu của công ty nhất để hoạt động hiệu quả và sử dụng khoảng trống đĩa một cách hiệu quả.

a) Nâng cấp một đĩa cơ bản lên một đĩa động

Nâng cấp một đĩa từ một đĩa cơ bản lên một đĩa động mà không làm mất dữ liệu

bất cứ vào lúc nào.

Chú ý: Phải luôn luôn sao dự phòng dữ liệu trên một đĩa trƣớc khi nâng cấp từ

một đĩa cơ bản lên một đĩa động mà không làm mất dữ liệu nếu sự cố xảy ra.

Thực hiện việc nâng cấp

Để nâng cấp từ một đĩa cơ bản lên một đĩa động ta thực hiện các bƣớc sau:

Hình 32: Thực hiện việc nâng cấp

Mở Disk Managerment, nhấp phải đĩa cơ bản muốn nâng cấp và sau đó nhấn

Update to Dynamic Disk.

Lựa chọn đĩa muốn nâng cấp trong một hộp thoại Update to Dynamic Disk. Nếu đĩa đang nâng cấp chứa phân hoạch hê thống hay phân hoạch khởi động

hay một file phân trang hoạt động, phải khởi động lại máy tính để hoàn thành tiếng

trình nâng cấp.

Chuyển đổi sang một đĩa cơ bản

204

Không thể chuyển đổi một đĩa động trở về một đĩa cơ bản và bảo lƣu cấu trúc

đĩa và dữ liệu đã có trên đĩa động. Có thể chuyển đổi một đĩa động thành một đĩa cơ bản. Tiến trình này cài đặt một đĩa cơ bản không có dữ liệu vốn đã có trên đĩa khởi

động. Hãy xoá dữ liệu và các module trên đĩa động, và sau đó tạo lại một phân hoạch

cơ bản từ khoảng trống mới không đƣợc phân phối.

Để chuyển đổi một đĩa động sang môt đĩa cơ bản, sau khi xoá toàn bộ dữ liệu và tất cả các volume trên đĩa động, hãy mở Disk Managerment, nhấp phải đĩa động

muốn chuyển đổi, sau đó nhấp Revert to Basic Disk.

b) Cài đặt một volume đơn giản

Một volume đơn giản chứa khoảng trống đĩa trên máy tinh đĩa cá thể và đƣợc

tạo từ khoảng trống không đƣợc phân phối trên một đĩa động.

Đặc điểm của một volume đơn giản Mặc dầu một volume đơn gảin dƣờng nhƣ giống với một phân hoạch, volume

đơn giản không có các giới hạn kích cỡ mà một phân hoạch có hay không có giới hạn

về số volume có thể tạo trên một đĩa cá thể. Ngoài ra có thể bổ sung khoảng trống hay

mở rộng một volume đơn giản sau khi tạo nó.

Một volume đơn giản sử dụng hệ thống file NTFS, FAT (File Allocation table).

Hay các định dạng hệ thống file FAT 32. Tuy nhiên có thể mở rộng volume đơn giản

chỉ khi nó đƣợc định dạng NTFS.

Một volume đơn giản không phải là khoảng lỗi sai cho phép (dung sai lỗi). Tuy

nhiên một phần giống y nhƣ một volume đơn giản để cung cấp dung sai lỗi.

Tạo một volume đơn giản: Tạo một Volume đơn giản thực hiện các bƣớc sau:

Mở Disk Management, nhấp phải khoảng trống đƣợc phân phối trên đĩa động

nơi muốn tạo volume đơn giản và sau đó nhấp Create volume.

Trong Create volume Wizard, nhấp Next.

Nhấp Simple volume, và sau đó thực hiện hƣớng dẫn trên màn hình.

c) Mở rộng các volume đơn giản

Có thể mở rộng bất kỳ volume đơn gảin nào đƣợc định dạng với NTFS để bao gồm khoản trống không đƣợc phân phối liên tiếp của bất kỳ đĩa động nào. Điều này có nghĩa rằng có thể bổ sung khoảng trống ổ đĩa cứng cho ,một volume hiện có, thay vì cấu hình lại tất cả các đĩa cứng . Các ngoại lệ bao gồm bất ký volume nào chứa các file khởi động hay các file hệ thống hay một file phân trang hoạt động.

Để mở rộng mộg volume đơn giản, trong Disk Mnagement, nhấp phải volume

đơn giản muốn mở rộng, nhấp Extend volume, và sau đó thực hiện theo các hƣớng dẫn trên màn hình.

205

Chú ý: Việc mở rộng volume chỉ có thể đƣợc thực hiện trên môt volume ban

đầu đã đƣợc tạo trên môt điã động. Nếu volume ban đầu đã đƣợc tạo trên một đĩa cơ bản và sau đó đƣợc chuyển đỗi sang một đĩa động, nó không thể đƣợc mở rộng.

3) Thực hiện các tác vụ quản lý đĩa thông thƣờng

Các tác vụ quản lý đĩa đƣợc thực hiện bằng cách sử dụng Disk Management.

Disk Management cung cấp vị trí trung tâm để xem thông tin đĩa và thực hiện các tác vụ quản lý, chẵng hạn nhƣ sửa chữa hoặc xóa các phân hoạch và các volume. Một số

tác vụ quản lý đĩa khác có thể cần thực hiện để đáp ứng các nhu cầu lƣu trữ thay đổi

bao gồm:

Bổ sung các đĩa cứng. Thay đổi đƣờng dẫn và mẫu tự ổ đĩa.

Quản lý đĩa từ xa

Hủy phân đoạn các phân hoạch.

Nhận thấy các tác vụ này là phần quản trị thƣờng lệ khi tổ chức việc truy cập dữ

liệu của các user và bảo trì các máy tính.

a) Sửa chữa, xoá các phân hoạch và các volume

Đôi khi một đĩa bị hỏng hay volume cần đƣợc sửa chữa hay xoá bỏ. Disk

Management cho phép tìm các sự cố về lƣu trữ đĩa môt cách nhanh chóng. Có thể xem

trạng thái của một đĩa hay một volume, Sửa chữa một đĩa nếu có thể hoặc xoá đĩa nếu không thể sửa chữa đƣợc.

Trạng thái đĩa: Xem trạng thái của một ổ đĩa ở phía dƣới cột Status trong Disk

Management. Bảng sau đây liệt kê các kiểu trạng thái đĩa khác nhau và các hoạt động

phải thực hiện cho mỗi trạng thái.

Trạng thái đĩa Hoạt động

Healthy (for volumes) đối với các No action required

volume or Online (for disks) đối với các Không thực hiện bất kỳ hoạt động nào

đĩa

Failed: Incomplete Volume

Import remaining disks in set Nhập các đĩa còn lại trong tập hợp

Foreign Import foreign disk (Nhập đĩa

Foreign)

Failed Redundancy

Import remaining disk in set Nhập đĩa còn lại trong tập hợp.

Sửa chữa các phân hoạch và các volume: Nếu một đĩa đƣợc đƣa ra ngoại

tuyến do bị hỏng, mất điện, hay ngƣng nối kết, nó có thể gây ra các sự cố với các phân

hoạch đĩa cơ bản và các volume đĩa động. Nếu đều này xảy ra có thể cần sửa chữa các

206

phân hoạch hay volume. Để sửa chữa một phân hoạch hay volume hãy mở Disk

management, nhấp phải phân hoạch hay volume, hãy mở Disk Management, nhấp phải phân hoạch hay volume đƣợc đánh dấu Missing Offline, và sau đó nhấp Reactivate

Disk. Đĩa này lại đánh dấu Online sau khi kích hoạt lại.

Xoá các phân hoạch và các volume: Có thể xoá phân hoạch các đĩa cơ bản

hay volume đĩa động ngoại trừ phân hoạch hay volume của các hệ thống. Phân hoạch hay volume khởi động, hoặc phân hoạch hay volume chứa một file phân trang hoạt

động. Ngoài ra Windows Server 2003 yêu cầu xoá tất cả các ổ đĩa logic hay các

volume khác trƣớc khi xoá phân hoạch hay volume đƣợc mở rộng.

Để xoá một phân hoạch hãy mở Disk Management, nhấp phải phân hoạch

muốn xoá, và sau đó nhấp Delete Partition.

Để xoá một volume, hãy mở Disk Management nhấp phải vào Volume muốn

xoá và sau đó nhấn Delete Volume.

Chú ý: Không phục hồi các phân hoạch hay các volume đã bị xóa và toàn bộ dữ

liệu này trên phân hoạch hay trên volume sẽ bị mất.

b) Bổ xung các đĩa

Hãy bổ sung các đĩa mới cho một máy tính hay di chuyển một đĩa hay một

nhóm đĩa từ máy tính này sang máy tính khác để làm tăng khoảng trống lƣu trữ đĩa. Ví

dụ nếu không còn khoảng trống lƣu trữ mạng sử dụng dữ liệu cho user có thể bổ sung một đĩa cứng.

Bổ sung một đĩa mới: Để bổ sung một đĩa cứng mới cho một máy tính hỗ trợ

hot swapping (khả năng bổ sung hay lấy các đĩa ra mà không tắc máy tính), hãy thực

hiện các tác vụ sau đây:

Cài đặt hay gán đĩa cứng mới

Trong khi Disk Management, trên menu Action, nhấp Rescan Disks. Phải sử

dụng lệnh Rescan Disks mỗi lần bổ sung vào một máy tính hỗ trợ hot swapping sao

cho Disk Management có thể quét lại để tìm và đăng ký đĩa.

Ghi chú: Nếu my tính bổ sung đĩa vào không hỗ trợ Hot swapping, hãy tắt máy tính, bổ sung đĩa, và sau đó khởi động lại máy tính. Disk mới hiển thị trong Disk Management.

Bổ sung từ các máy tính khác: Nếu cần chuyển giao một đĩa từ máy tính này sang một máy tính khác, trong hầu hết các trƣờng hợp, Windows Server 2003 tự động nhập một đĩa chứa dữ liệu. Tuy nhiên, nếu Disk Management biểu thị trạng thái của

một đĩa mới dƣới dạng Foreign, phải nhấp phải phần biểu thị đĩa, và sao đó nhấp Import Foreign Disk. Wizard Import hiển thị hƣớng dẫn tiến trình nhập.

207

Nếu di chuyển một đĩa động từ một máy tính này sang một máy tính khác. Do

đĩa động chỉ đƣợc hỗ trợ bởi Windows Server 2003. Chỉ có thể sử dụng các đĩa động trên một máy tính đang chạy windows Server 2003.

Các đĩa mới đƣợc nhập đƣợc nhóm theo tên máy tính mà chúng đã đƣợc di

chuyển từ đó. Sau khi bổ sung đĩa vào máy tính. Khi mở Disk Management, đĩa mới

đƣợc hiển thị và có trạng thái foreign. Hãy nhấp phải đĩa, nhấp Import Foreign Disks và sau đó trong hộp thoại Import Foreign Disks này. Hãy chọn tập hợp đĩa thích hợp

hơn. Sau đó hộp thoại hiển thị volume hay phân hoạch ấn định trên đĩa bổ sung. Hãy

nhấp OK để kết thúc tiến trình.

Chú ý: Nếu bổ sung nhiều đĩa từ máy tính khác và trạng thái của đĩa ở dạng

hiển thị Foreign. Nhấp chuột phải bất kỳ đĩa nào và nhấp vào Import Foreign Disk.

Khi di chuyển một đĩa động đến máy tính của mình từ máy tính khác đang chạy

Windows Server 2003 có thể xem và sử dụng bất kỳ volume nào hiện có trên đĩa đó.

Nhập các volume không hoàn chỉnh: Có nhiều cách khác nhau để nhập các

volume đĩa không hoàn chỉnh có một thông báo trạng thái khác nhau sử dụng cho mỗi

cách:

Nếu trạng thái của một Volume đƣợc nhập hiển thị dƣới dạng Failed:

Incomplete Volume, một đĩa vốn chứa thành phần của spanned volume hay striped

volume đƣợc nhập nhƣng các phần còn lại của spanned volume hay striped volume không đƣợc nhập. Điều này cũng áp dụng cho các RAID-5 volume nếu hai đĩa trở lên

không đƣợc nhập. Phải nhập các đĩa còn lại để hoàn thành volume. Sẽ không thể truy

cập volume cho đến khi các đĩa còn lại đƣợc nhập

Nếu trạng thái của một volume đƣợc nhập hiển thị dƣới dạng Failed

Redundancy, một mirror volume hay một RAID-5 volume đƣợc nhập, nhƣng một hay

nhiều volume chứa các phần còn lại của mirror volume hay RAID-5 volume không

đƣợc nhập. Có thể truy cập dữ liệu trên volume này, nhƣng phần thặng dƣ bị mất .

Phải nhập các đĩa còn lại để hoàn thành volume và phục hồi phần thặng dƣ.

c) Quản lý đƣờng dẫn và các mẫu tự

Windows Server 2003 cho phép gán tạm thời hay vĩnh viễn các mẫu tự ổ đĩa

cho các phân hoạch, các volume, các ổ đĩa CD-ROM .

Quản lý mẫu tự ổ đĩa: Có thể sử dụng đến 24 mẫu tự ổ đaĩa, từ C đến Z, các mẫu tự ổ đĩa A và B dành riêng cho các ổ đĩa mềm. Tuy nhiên nếu chỉ một ổ đĩa có thể ƣu tiên xác lập này và gán mẫu tự B cho một phân hoạch, Volume hay ổ đĩa CD ROM.

Khi bổ sung một đĩa cứng mới vào một máy tính hiện có, không ảnh hƣởng đến các mẫu tự ổ đĩa đƣợc gán trƣớc đây, bởi vì nó đƣợc gán tự động một mẫu tự hiện không

sử dụng.

208

Chú ý: Việc gán các mẫu tự ổ đĩa cho các thiết bị có thể tháo rời theo cách mà

các thiết bị có thể tháo rời nằm sau các volume và các phân hoạch vĩnh viễn trên máy tính là rất thuận tiện.

Để gán thay đổi hay xoá một mẫu tự ổ đĩa, hãy mở Disk Management nhấp phải

một phần phân hoạch, ổ đĩa logic hoặc volume. Sau đó nhấp Change Drive Letter and

Path. Trong hộp thoại Drive Letter and Path, hãy thực hiện một trong các thao tác sau đây:

- Gán mẫu tự ổ đĩa , để gán môt mẫu tự ổ đĩa, hãy nhấp Add, nhấp môt mẫu tự ổ

đĩa và sau đó nhấp OK.

- Xoá một mẫu tự ổ đĩa , để xoá một mẫu tự ổ đĩa hãy nhấp mẫu tự ổ đĩa và sau

đó nhấp Remove.

- Chỉnh sửa một mẫu tự ổ đĩa. Để chỉnh sửa một mẫu tự ổ đĩa, hãy nhấp một

mẫu tự ổ đĩa muốn chỉnh sửa, và sau đó nhấp modify, nhấp ổ đĩa muốn sử dụng và sau

đó nhấp OK.

Quản lý đƣờng dẫn ổ đĩa: Có thể sƣ dụng Disk Management để gán mốt đĩa

cục bộ cho bất kỳ Folder trống nào trên môt Volume NTFS cục bộ thay vì gán cho một

một mẫu tự ổ đĩa. Tác vụ này tƣơng tự với viêc tạo một bƣớc tắt trỏ sang volume hay

phần phân hoạch đĩa. Bởi vì các ổ đĩa đƣợc gán không phụ thuộc vào giới hạn 26 mẫu

tự ổ đĩa, hãy sử dụng chúng vƣợt quá giới hạn này.

Ngoài ra việc gán một ổ đĩa cho một Folder cho phép sử dụng môt tên dễ hiểu

cho Folder, chẳng hạn nhƣ Project Data. Sau đó các User sẽ lƣu tài liệu vào Folder

Project Data thay vì lƣu sang một mẫu tự ổ đĩa. Windows Server 2003 bảo đảm các

đƣờng dẫn ổ đĩa giữ lại liên kết của chúng với ổ đĩa có thể bổ sung sắp xép lại các thiết

bị lƣu trữ mà không gặp sự cố với đƣờng dẫn ổ đĩa.

Khi gán một đãi cục bộ cho một Folder trống trên một volume hay phân hoạch

cục bộ vốn đƣợc định dạng với NTFS.Windows Server 2003 sẽ gán một đƣờng dẫn ổ

đĩa thay vì một mẫu tự ổ đĩa cho đĩa.

Tạo một điểm gán mới: Để tạo một đƣờng dẫn ổ đĩa mới, hãy nhấp Add, và sau đó gõ nhập đƣờng dẫn sang Folder trống, hay nhấp Browse để định vị nó. Khi đã nhập vào đƣờng dẫn đúng hãy nhấp Ok.

Nếu quản lý một máy tính cục bộ có thể trình duyệt các Folder trên máy tính đó để định vị Folder muốn gán đĩa cho nó. Nếu quản lý một máy tính từ xa việc trình duyệt có thể không thực hiện và phải gõ nhập đƣờng dẫn sang một Folder hiện có.

Xoá một đƣờng dẫn ổ đĩa cho điểm gán: Không thể chỉnh sửa một đƣờng dẫn ổ đĩa. Nếu cần thay đổi một đƣờng dẫn ỗ đĩa, phải xoá nó, và sau đó tạo một đƣờng

dẫn ổ đĩa mới với thông tin mới. Có thể xem tất cả các đƣờng dẫn ổ đĩa trong Disk

Management bằng cách nhấp View, và sau đó nhấp All Drive Paths. Để xoá một

209

đƣờng dẫn ổ đĩa, nhấp đƣờng dẫn ổ đĩa và sau đó nhấp Remove.

Thay đổi mẫu tự ổ đĩa thành điểm gán hay mẫu tự khác: Có thể thay đổi một mẫu tự ổ đĩa này thành một mẫu tự ổ đĩa khác nếu muốn tổ chức lại các mẫu tự ổ

đĩa của mình hay thay đổi một mẫu tự ổ đĩa thành một điểm gán nếu muốn giải phóng

các mẫu tự ổ đĩa, sẽ không làm mất dữ liệu khi thực hiện tác vụ này. Để thay đổ một

mẫu tự ổ đĩa thành một mẫu tự ổ đĩa khác hay một điểm gán. Hãy mở Disk Management nhấp phải volume hay phần phân hoạch thich hợp và sau đó nhấp

Change Drive Letter and Paths. Trong hộp thọai Change Drive Letter and Paths hãy

thực hiện một trong các thao tác sau:

Nếu thay đổi một mẫu tự ổ đĩa này thành một mẫu tự ổ đĩa khác hãy nhấp Edit

và sau đó chọn mẫu tự ổ đĩa mới.

Nếu thay đổi một mẫu tự ổ đĩa này sang một điểm gán trƣớc tiên phải xoá mẫu

tự ổ đĩa, và sau đó bổ sung một điểm mới gán.

d) Quản lý đĩa từ xa

Trên mạng Windows Server 2003 có thể quản lý các đĩa cứng trên một máy tính

cách xa với một máy tính khác. Ví dụ muốn quản lý tất cả các máy tính Client từ máy

tính của mình. Để quản lý các đĩa cứng từ xa, cả hai máy tính mà đang nối kết với

nhau phải là thành viên của cùng một Domain hay Workgroup, hay thuộc một Domain

đáng tin cậy. Ngoài ra Use Account nối kết phải là thành viên của nhó Administrators hay Server Operators trên máy tính từ xa.

Để quản lý đĩa từ xa, hãy thực hiện các bƣớc sau đây:

Trên menu Start, nhấp Run, gõ nhập MMC và Console có thể cấu hình để sử

dụng việc quản lý một đĩa cứng từ xa.

Trên Console, nhấp Add/remove Snap-in, sau đó nhấp Add.

Trong danh sách Snap-in, hãy nhấp Disk Management và sau đó nhấp Add.

Disk Mannagement trên máy tính cục bộ chỉ cho phép quản lý các đĩa cục bộ. Nếu

muốn quản lý các đĩa trên máy tính khác, phải tạo một console mới với các Snap-in để

quản lý một đĩa cứng trên môt máy tính từ xa.

Nhấp Another Computer, gõ nhấp tên của máy tính từ xa, và sau đó nhấp Finish

e) Khử phân mảnh, các phần phân mảnh

Windows Server 2003 lƣu các các file hay các Folder tại các vị tí trên đĩa cứng vốn đủ lớn để chứa toàn bộ file hay Folder. Nếu không có một vị trí thích hợp, Windows Server 2003 sẽ lƣu các phân đoạn của file hay Folder ở nhiều vị trí. Việc

phân đoạn các file trên đĩa cứng sẽ làm giảm hoạct động của hệ thống bởi vì máy tính phải đọc dữ liệu file từ nhiều vị trí khác nhau trên đĩa cứng. Có thể sủ dụng Windows

Server 2003 Disk Managementer để định vị và sắp xếp lại các phân đoạn vào một

vùng cá thể trên đĩa cứng.

210

Thông Tin về Disk Defragmenter có ba ô cung cấp thông tin sau đây:

Ô ở phía trên liệt kê các phần phân chia, có thể chọn để phân tích và khử phân

đoạn.

Ô ở giữa có tên Analysis Display. Cung cấp mô hình đồ hoạ trình bày cách mà

phần phân chia đƣợc chọn và đƣợc phân đoạn tại một điểm nhất định. Ô dƣới cùng có

tên Defagmentation Display, cung cấp mô hình đồ hoạ trình bày phần chia lúc bị hủy phân đoạn và sau khi bị huỷ phân đoạn.

Bằng cách so sánh Analysis Display với Defragment ation Display có thể thấy

sự cải tiến trong phần phân chia sau khi bị khử phân đoạn.

Khởi động Disk Defragmenter: Để khởi động Disk Management, hãy thực

hiện các bƣớc sau đây:

Nhấp Start, trỏ sang Programs, trỏ sang Accessories, trỏ sang System Tools,

và sau đó nhấp nhấp Disk Dragmenter.

Chọn các tuỳ chọn khử phân đoạn đã thích hợp để phân tích và khử phân đoạn

một phần phân đoạn. Các tuỳ chọn đƣợc mô tả trong bảng sau đây:

Tuỳ chọn Mô tả

Analyze Nhấp nút này để phân tích đĩa để thực hiện tiến trình khử phân

đoạn. Sau khi phân tích , Analysis Display cung cấp một mô hình

đồ hoạ, trình bày cách mà một phần pah6n chia đƣợc phân đoạn.

Defragment Nhấp nút này để khử các phân đoạn đĩa, sau khi khử phân đoạn.

Defragmentation Display cung cấp một mô hình đồ hoạ trình bày

phần phân chia đƣợc khử phân đoạn.

Chú ý: Mặc dù có thể sử dụng một máy tính lúc đĩa cứng của nó bị hủy phân

đoạn, không nên sử dụng nó bởi vì nó sẽ gây ra sự cố nghiêm trọng cho hoạt động đĩa

và làm tăng thời gian mà nó sử dụng để thực hiện việc huỷ phân đoạn một cách nhanh

chóng.

3.1.2. Cài đặt và quản lý máy in

1) Cài đặt máy in

Trƣớc khi có thể truy xuất vào thiết bị máy in vật lý thông qua hệ điều hành Windows Server 2003 thì phải tạo ra một máy in logic. Nếu máy in của có tính năng Plug and Play thì máy in đó sẽ đƣợc nhận diện ra ngay khi nó đƣợc gắn vào máy tính dùng hệ điều hành Windows Server 2003. Tiện ích Found New Hardware Wizard sẽ tự

động bật lên. Tiện ích này sẽ hƣớng dẫn cho từng bƣớc để cài đặt máy in. Nếu hệ điều hành nhận diện không chính xác thì dùng đĩa CD đƣợc hãng sản xuất cung cấp kèm theo máy để cài đặt.

211

Ngoài ra, cũng có thể tự mình thực hiện tạo ra một máy in logic bằng cách sử

dụng tiện ích Add Printer Wizard. Để có thể tạo ra một máy in logic trong Windows Server 2003 thì trƣớc hết phải đăng nhập vào hệ thống với vai trò là một thành viên

của nhóm Administrators hay nhóm Power Users (trong trƣờng hợp đây là một Server

thành viên) hay nhóm Server Operators (trong trƣờng hợp đây là một domain

controller).

Có thể tạo ra một máy in logic cục bộ tƣơng ứng với một máy in vật lý đƣợc

gắn trực tiếp vào máy tính cục bộ của mình hoặc tƣơng ứng với một máy in mạng

(máy in mạng đƣợc gắn vào một máy tính khác trong mạng hay một thiết bị Print

Server). Muốn thao tác bằng tay để tạo ra một máy in cục bộ hay một máy in mạng, chúng ta lần lƣợt thực hiện các thao tác sau đây:

(1) Nhấp chuột chọn Start, rồi chọn Printers And Faxes.

(2) Nhấp chuột vào biểu tƣợng Add Printer, tiện ích Add Printer Wizard sẽ

đƣợc khởi động. Nhấp chuột vào nút Next để tiếp tục.

(3) Hộp thoại Local Or Network Printer xuất hiện. Nhấp vào tùy chọn Local

Printer Attached To This Computer trong trƣờng hợp có một máy in vật lý gắn trực

tiếp vào máy tính của mình. Nếu trƣờng hợp ta đang tạo ra một máy in logic ứng với

một máy in mạng thì ta nhấp vào tùy chọn A Printer Attached To Another Computer.

Nếu máy in đƣợc gắn trực tiếp vào máy tính, có thể chọn thêm tính năng Automatically Detect And Install My Plug And Play Printer. Tùy chọn này cho phép

hệ thống tự động quét máy tính, để phát hiện ra các máy in Plug and Play, và tự động

cài đặt các máy in đó. Khi đã hoàn tất việc chọn lựa, nhấp chuột vào nút Next để sang

bƣớc kế tiếp.

(4) Nếu máy in vật lý đã đƣợc tự động nhận diện bằng tiện ích Found New

Hardware Wizard. Tiện ích này sẽ hƣớng dẫn tiếp tục cài đặt driver máy in qua từng

bƣớc.

(5) Hộp thoại Print Test Page xuất hiện. Nếu thiết bị máy in đƣợc gắn trực tiếp vào máy tính, nên in thử một trang kiểm tra để xác nhận rằng mọi thứ đều đƣợc cấu hình chính xác. Ngƣợc lại, nếu máy in là máy in mạng thì nên bỏ qua bƣớc này. Nhấp chuột vào nút Next để sang bƣớc kế tiếp.

(6) Hộp thoại Completing The Add Printer Wizard hiện ra. Hộp thoại này đem đến cho chúng ta một cơ hội để xác nhận rằng tất cả các thuộc tính máy in đã đƣợc xác

lập chính xác. Nếu phát hiện có thông tin nào không chính xác, hãy nhấp chuột vào nút Back để quay lại sửa chữa thông tin cho đúng. Còn nếu nhận thấy mọi thứ đều ổn cả

thì nhấp chuột vào nút Finish.

212

(7) Một biểu tƣợng máy in mới sẽ hiện ra trong cửa sổ Printer And Faxes. Theo

mặc định, máy in sẽ đƣợc chia sẻ.

2) Quản lý các thuộc tính máy in a) Cấu hình Layout Trong hộp thoại Printing Preferences, chọn Tab Layout. Sau đó trong mục

Orientation, chọn cách thức in trang theo chiều ngang hay chiều dọc. Trong mục Page Order, chọn in từ trang đầu đến trang cuối của tài liệu hoặc in theo thứ tự ngƣợc lại.

Trong mục Pages Per Sheet, chọn số trang tài liệu sẽ đƣợc in trên một trang giấy.

Hình 3.3: Hộp thoại cấu hình Layout cho trang in

b) Giấy và chất lƣợng in Cũng trong hộp thoại Printing Preferences, để qui định giấy và chất lƣợng in,

chúng ta chọn Tab Paper/Quality. Các tùy chọn trong Tab Paper/Quality phụ thuộc vào

đặc tính của máy in. Ví dụ, máy in chỉ có thể cung cấp một tùy chọn là Paper Source.

Còn đối với máy in HP OfficeJet Pro Cxi, chúng ta có các tùy chọn là: Paper Source,

Media, Quality Settings và Color.

213

Hình 3.4: Hộp thoại để qui định giấy và chất lƣợng in

c) Các thông số mở rộng

Nhấp chuột vào nút Advanced ở góc dƣới bên phải của hộp thoại Printing

Preferences. Hộp thoại Advanced Options xuất hiện cho phép điều chỉnh các thông số mở rộng. Chúng ta có thể có các tùy chọn của máy in nhƣ: Paper/Output, Graphic,

Document Options, và Printer Features. Các thông số mở rộng có trong hộp thoại

Advanced Options phụ thuộc vào driver máy in đang sử dụng.

Hình 3.5: Hộp thoại cho phép điều chỉnh các thông số mở rộng

3) Cấu hình máy in

Nhấp phải chuột lên máy in, chọn Properties. Hộp thoại Properties xuất hiện,

chọn Tab Sharing. Để chia sẻ máy in này cho nhiều ngƣời dùng, nhấp chuột chọn Share this printer. Trong mục Share name, nhập vào tên chia sẻ của máy in, tên này sẽ

đƣợc nhìn thấy trên mạng. Cũng có thể nhấp chọn mục List In The Directory để cho

214

phép ngƣời dùng có thể tìm kiếm máy in thông qua Active Directory theo một vài

thuộc tính đặc trƣng nào đó.

Hình 3.6: Tab Sharing để chia sẻ máy in cho nhiều ngƣời dùng

Ngoài ra, trong Tab Sharing, ta có thể cấu hình driver hỗ trợ cho các máy trạm

sử dụng máy in trong trƣờng hợp máy trạm không phải là Windows Server 2003. Đây

là một tính năng cần thiết vì nó cho phép chỉ định các driver hỗ trợ in để các máy trạm

có thể tải về một cách tự động. Mặc định, driver duy nhất đƣợc nạp vào là driver của hãng Intel cho các máy trạm , Windows 2002, và Windows XP. Để cung cấp thêm các

driver cho máy trạm khác, nhấp chuột vào

nút Additional Drivers nằm phía dƣới Tab Sharing. Hộp thoại Additional Drivers xuất

hiện. Windows Server 2003 hỗ trợ các driver thêm vào cho các Client là một trong

những hệ điều hành sau:

- Itanium Windows XP hay Windows Server 2003. - x86 Windows 2000, Windows XP, hay Windows Server 2003 (mặc định).

- x86 Windows 95, Windows 98, hay Windows Millennium Edition. - x86 Windows NT 4.

215

Hình 3.7: Cấu hình driver hỗ trợ cho các máy trạm sử dụng máy in

4) Cấu hình thông số Port a) Cấu hình các thông số trong Tab Port

Trong hộp thoại Properties, chọn Tab Port để cấu hình tất cả các port đã đƣợc

định nghĩa cho máy in sử dụng. Một port đƣợc định nghĩa nhƣ một interface sẽ cho

phép máy tính giao tiếp với thiết bị máy in. Windows Server 2003 hỗ trợ các port vật

lý (local port) và các port TCP/IP chuẩn (port logic).

Port vật lý chỉ đƣợc sử dụng khi ta gắn trực tiếp máy in vào máy tính. Trong

trƣờng hợp Windows Server 2003 đang đƣợc triển khai trong một nhóm làm việc nhỏ,

hầu nhƣ phải gắn máy in vào

port LPT1. Port TCP/IP chuẩn đƣợc sử dụng khi máy in có thể kết nối trực tiếp vào

mạng (trên máy in có hỗ trợ port RJ45) và máy in này có một địa chỉ IP để nhận dạng.

Ƣu điểm của máy in mạng là tốc độ in nhanh hơn máy in cục bộ và máy in có thể đặt

bất kì nơi nào trong hệ thống mạng. Khi đó cần chỉ định một port TCP/IP và khai báo

địa chỉ IP của máy in mạng. Cùng với việc xoá và cấu hình lại một port đã tồn tại,

cũng có thể thiết lập printer pooling và điều hƣớng các công việc in ấn đến một máy in

khác.

216

Hình 3.8: Tab Port để cấu hình các port đã đƣợc định nghĩa cho máy in sử dụng

b) Printer Pooling

Printer pool đƣợc sử dụng nhằm phối hợp nhiều máy in vật lý với một máy in

logic, đƣợc minh họa nhƣ hình bên dƣới. Lợi ích của việc sử dụng printer pool là máy

in rảnh đầu tiên sẽ thực hiện thao tác in ấn. Tính năng này rất hữu dụng trong trƣờng

hợp ta có một nhóm các máy in vật lý đƣợc chia sẻ cho một nhóm ngƣời dùng, ví dụ

nhƣ là nhóm các thƣ ký.

Hình 3.9: Mô hình Printer pool Để cấu hình một printer pool, nhấp chuột vào tùy chọn Enable Printer Pooling nằm ở phía dƣới Tab Port trong hộp thoại Properties. Sau đó, kiểm tra lại tất cả các

port mà ta dự định gắn các máy in vật lý trong printer pool vào. Nếu ta không chọn tùy

chọn Enable Printer Pooling thì ta chỉ có một port duy nhất cho mỗi máy in. Chú ý tất

cả các máy in vật lý trong một printer pool phải sử dụng cùng một driver máy in.

217

Hình 3.10: Tab Port để cấu hình các port

c) Điều hƣớng tác vụ in đến một máy in khác

Nếu một máy in vật lý bị hỏng, có thể chuyển tất cả các tác vụ in ấn của máy in

bị hƣ sang một máy in khác. Để làm đƣợc điều này, trƣớc hết phải đảm bảo máy in

mới phải có driver giống với máy in cũ. Sau đó, trong Tab Port, nhấp chuột vào nút

Add Port, chọn Local port rồi chọn tiếp New Port. Hộp thoại Port Name xuất hiện, gõ

vào tên UNC của máy in mới theo định dạng: \\computername\printer_sharename.

Hình 3.11: Hộp thoại Port Name chuyển tất cả các tác vụ in

5) Cấu hình Tab Advanced a) Các thông số của Tab Advanced

218

Trong hộp thoại Properties, nhấp chuột vào Tab Advanced để điều khiển các

đặc tính của máy in. Có thể cấu hình các thuộc tính sau:

- Khả năng của máy in

- Độ ƣu tiên của máy in

- Driver mà máy in sẽ sử dụng

- Các thuộc tính đồng tác (spooling) của máy in - Cách thức in tài liệu theo biểu mẫu

- Chế độ in mặc định

- Sử dụng bộ xử lý in ấn nào

- Các trang độc lập

Hình 3.12: Tab Advanced để điều khiển các đặc tính của máy in

b) Khả năng sẵn sàng phục vụ của máy in

Thông thƣờng, chúng ta cần kiểm tra khả năng sẵn sàng phục vụ của máy in

trong trƣờng hợp chúng ta có nhiều máy in cùng sử dụng một thiết bị in. Mặc định thì

tùy chọn Always Available luôn đƣợc bật lên. Do đó, ngƣời dùng có thể sử dụng máy in 24 tiếng một ngày. Để giới hạn khả năng phục vụ của máy in, chọn Available From và chỉ định khoảng thời gian mà máy in sẽ phục vụ. Ngoài khoảng thời gian này, máy in sẽ không phục vụ cho bất kì ngƣời dùng nào.

c) Độ ƣu tiên (Printer Priority)

Khi đặt độ ƣu tiên, sẽ định ra bao nhiêu công việc sẽ đƣợc gửi trực tiếp vào thiết bị in. Ví dụ, ó thể sử dụng tùy chọn này khi 2 nhóm ngƣời dùng cùng chia sẻ một

máy in và cần điều khiển độ ƣu tiên đối với các thao tác in ấn trên thiết bị in này.

219

Trong Tab Advanced của hộp thoại Properties, sẽ đặt độ ƣu tiên bằng các giá trị từ 1

đến 99, với 1 là có độ ƣu tiên thấp nhất và 99 là có độ ƣu tiên cao nhất.

Ví dụ: giả sử có một máy in đƣợc phòng kế toán sử dụng. Những ngƣời quản

lý trong phòng kế toán luôn luôn muốn tài liệu của họ sẽ đƣợc ƣu tiên in ra trƣớc các

nhân viên khác. Để cấu hình cho việc sắp xếp thứ tự này, ta tạo ra một máy in tên là

MANAGERS gắn vào port LPT1 với độ ƣu tiên là 99. Sau đó, cũng trên port LPT1, ta tạo thêm một máy in nữa tên là WORKERS với độ ƣu tiên là 1. Sau đó, ta sẽ sử dụng

Tab Security trong hộp thoại Properties để giới hạn quyền sử dụng máy in

MANAGERS cho những ngƣời quản lý. Đối với các nhân viên còn lại trong phòng kế

toán, ta cho phép họ sử dụng máy in WORKERS (chúng ta sẽ tìm hiểu rõ hơn về Security trong phần sau). Khi các tác vụ in xuất phát từ máy in MANAGERS, nó sẽ đi

vào hàng đợi của của máy in vật lý với độ ƣu tiên cao hơn là các tác vụ xuất phát từ

máy in WORKERS. Do đó, tài liệu của những ngƣời quản lý sẽ đƣợc ƣu tiên in trƣớc.

d) Print Driver

Mục Driver trong Tab Advanced cho phép chỉ định driver sẽ dùng cho máy in.

Nếu đã cấu hình nhiều máy in trên một máy tính thì có thể chọn bất kì driver nào trong

các driver đã cài đặt. Thao tác thực hiện nhƣ sau: Nhấp chuột vào nút New Driver để

khởi động Add Printer Driver Wizard. Add Printer Driver Wizard cho phép thực hiện

cập nhật cũng nhƣ thêm driver mới.

e) Spooling

Khi cấu hình tùy chọn spooling, cần chỉ định rõ các tác vụ in ấn sẽ đƣợc đẩy ra

đƣờng ống máy in hay đƣợc gửi trực tiếp đến thiết bị máy in. Spooling có nghĩa là các

thao tác in ấn sẽ đƣợc lƣu trữ xuống đĩa thành một hàng đợi trƣớc khi các thao tác in

này đƣợc gửi đến máy in. Có thể xem spooling giống nhƣ là bộ điều phối in ấn nếu

nhƣ tại một thời điểm có nhiều ngƣời dùng cùng lúc gởi yêu cầu đến máy in. Theo chế

độ mặc định, tùy chọn spooling sẽ đƣợc bật lên sẵn.

f) Print Options

Phía dƣới Tab Advance có chứa bốn tùy chọn in ấn. Đó là các tùy chọn: - Hold Mismatched Documents: tùy chọn này hữu dụng trong trƣờng hợp sử dụng chế độ nhiều biểu mẫu trong một máy in. Mặc định thì tùy chọn này sẽ không đƣợc bật lên. Các tác vụ sẽ đƣợc in theo chế độ first-in-first-out (FIFO). Nếu bật tùy chọn này lên, hệ thống sẽ chọn ƣu tiên in trƣớc những tác vụ có chung một biểu mẫu. - Print Spooled Documents First: tùy chọn này qui định rằng các tác vụ in ấn

đƣợc điều hƣớng xong trƣớc các loại tác vụ lớn khác. Điều này có nghĩa là các tác vụ in ấn sẽ có độ ƣu tiên lớn hơn các loại tác vụ khác trong quá trình điều hƣớng. Mặc

định thì tùy chọn này luôn đƣợc bật lên giúp gia tăng hiệu quả làm việc của máy in.

220

- Keep Printed Documents: tùy chọn này qui định rằng các tác vụ in ấn phải

đƣợc xóa khỏi hàng đợi điều hƣớng in ấn khi các tác vụ này đã hòan tất quá trình in. Thông thƣờng, muốn xóa các tác vụ in ấn ngay khi nó bắt đầu in bởi vì nếu chúng ta

tiếp tục lƣu trữ các tác vụ này trong hàng đợi điều hƣớng và đợi cho đến khi chúng

đƣợc in xong mới xóa thì sẽ phải tốn dung lƣợng ổ đĩa cho việc lƣu trữ. Mặc định thì

tùy chọn này sẽ không đƣợc bật lên.

- Enable Advanced Printing Features: tùy chọn này qui định rằng bất kì các

tính năng mở rộng nào mà máy in có hỗ trợ ví dụ nhƣ Page Order và Pages Per Sheet

nên đƣợc bật lên. Mặc định thì tùy chọn này luôn đƣợc bật lên. Chỉ trong trƣờng hợp

xảy ra các vấn đề về tƣơng thích thì có thể tắt tùy chọn này. Ví dụ nhƣ đang sử dụng driver cho một thiết bị máy in tƣơng tự nhƣng nó không hỗ trợ tất cả các tính năng của

máy in. Trong trƣờng hợp đó, nên tắt tùy chọn này đi.

g) Printing Defaults

Nút Printing Defaults nằm ở góc trái phía dƣới của Tab Advance. Nếu nhấp

chuột vào nút Printing Defaults, hộp thoại The Printing Preferences sẽ xuất hiện. Đây

cũng chính là hộp thoại sẽ xuất hiện khi nhấp chuột vào nút Printing Preferences trong

Tab General.

h) Print Processor

Bộ xử lý in ấn đƣợc sử dụng để qui định Windows Server 2003 có cần phải thực hiện các xử lý bổ sung trong công việc in ấn hay không. Bộ xử lý in ấn WinPrint

mặc định đƣợc cài đặt và đƣợc Windows Server 2003 sử dụng. Bộ xử lý in ấn

WinPrint có thể hỗ trợ một vài kiểu dữ liệu.

Theo mặc định thì hầu hết các ứng dụng trên nền Window sử dụng chuẩn EMF

(enhanced metafile) để gởi các tác vụ đến máy in. Chuẩn EMF dùng kiểu dữ liệu

RAW. Kiểu dữ liệu này sẽ báo với bộ xử lý in ấn là tác vụ này không cần phải sửa đổi

độ ƣu tiên khi in. Điều này là do nhà sản xuất phần mềm qui định.

221

Hình 3.13: Hộp thoại Print Processor

Bảng danh sách các kiểu dữ liệu đƣợc bộ xử lý in ấn trong Windows Server

2003 hỗ trợ:

i) Separator Pages

Separator pages đƣợc sử dụng tại thời điểm bắt đầu của mỗi tài liệu nhằm mục đích định dạng rõ ngƣời dùng nào đã thực hiện việc in tài liệu này. Nếu nhƣ máy in không đƣợc chia sẻ thì chế độ Separator pages vô hình chung sẽ gây ra lãng phí giấy in. Nếu trong trƣờng hợp máy in đƣợc chia sẻ cho nhiều ngƣời dùng thì chế độ Separator pages sẽ hữu dụng trong việc phân phối các tác vụ in ấn đã hoàn tất.

Để thêm một Separator page, thực hiện nhƣ sau: nhấp chuột vào nút Separator

page nằm ở góc phải phía dƣới Tab Advance. Hộp thoại Separator page hiện ra, nhấp

chuột vào nút Browse để chọn tập tin Separator page nào muốn sử dụng.

222

Hình 3.14: Hộp thoại Separator pages

6) Cấu hình Tab Security

a) Giới thiệu Tab Security

Chúng ta có thể kiểm soát quyền truy cập vào máy in Windows Server 2003

của ngƣời dùng cũng nhƣ các nhóm ngƣời dùng bằng cách cấu hình quyền in ấn.

Chúng ta có thể cho phép hoặc không cho phép ngƣời dùng truy xuất máy in. Chúng ta

cấp quyền in ấn cho ngƣời dùng và nhóm ngƣời dùng thông qua Tab Security trong hộp thoại Properties của máy in.

Hihhf 3.15: Tab Security trong hộp thoại Properties của máy in

223

Bảng phân quyền in ấn cho ngƣời dùng

Quyền hạn Mô tả

Cho phép ngƣời dùng hoặc một nhóm ngƣời dùng có thể kết nối và gửi tác vụ in

ấn đến máy in.

Manage Cho phép thực hiện thao tác điều khiển, quản lý máy in. Với quyền

Printers

này, ngƣời dùng hoặc nhóm ngƣời dùng có thể dừng hoặc khởi động lại máy

in, thay đổi cấu

hình của bộ điều tác, chia sẻ hoặc không chia sẻ máy in, thay đổi quyền in ấn, và

quản trị các thuộc tính của máy in.

Manage Documents Cho phép ngƣời dùng quản lý các tài liệu in qua các thao tác dừng việc in, khởi

động lại, phục hồi lại, hoặc là xoá tài liệu ra khỏi hàng đợi máy in.

Ngƣời dùng

không thể điều khiển trạng thái của máy in.

Special Bằng cách chọn Tab Advanced trong hộp thoại Print Permissions,

Permissions có thể quản lý các quyền đặc biệt.

Theo mặc định, bất kì khi nào một máy in đƣợc tạo ra, các quyền in ấn mặc

định sẽ đƣợc thiết lập. Bảng các quyền in ấn mặc định:

Nhóm quyền Đƣợc phép in Quản lý máy in Quản lý tài liệu in

Administrators x x x

Creator Owner x

Everyone x

Print Operators x x x

Server Operators x x x

b) Cấp quyền in cho ngƣời dùng/nhóm ngƣời dùng

Thông thƣờng, có thể chấp nhận quyền in ấn mặc định đã đƣợc thiết lập sẵn. Tuy nhiên, trong một số trƣờng hợp đặc biệt, cần phải hiệu chỉnh lại các quyền in cho

thích hợp. Ví dụ: Công ty của vừa trang bị cho phòng Marketing một máy in laser màu

đắt tiền, không muốn ai cũng đƣợc phép sử dụng máy in này. Trong trƣờng hợp này,

trƣớc tiên phải bỏ tùy chọn Allow checkbox for the Everyone group. Sau đó, thêm

nhóm Marketing vào trong danh sách của Tab Security. Cuối cùng cấp cho nhóm

Marketing quyền Print. Muốn thêm các quyền in ấn, thực hiện các bƣớc sau:

224

(1) Ở Tab Security trong hộp thoại Properties của máy in, nhấp chuột vào nút

Add.

(2) Hộp thoại Select Users, Computers, Or Groups xuất hiện, nhập vào tên của

ngƣời dùng hoặc nhóm ngƣời dùng định cấp quyền in ấn rồi nhấp chuột vào nút Add.

Sau đó, chọn tất cả các ngƣời dùng muốn cấp quyền và nhấp chuột vào nút OK

Hình 3.16: Hộp thoại Select Users, Computers, Or Groups

(3) Chọn ngƣời dùng hoặc nhóm ngƣời dùng từ danh sách các phân quyền, sau đó chọn Allow để cấp quyền hoặc chọn Deny để không cấp quyền in ấn, các quyền

quản lý máy in hay các quyền quản lý tài liệu in.

Để loại bỏ một nhóm có sẵn trong danh sách phân quyền, ta sẽ chọn nhóm đó

và nhấp chuột vào nút Remove. Nhóm vừa chọn sẽ không còn đƣợc liệt kê trong Tab

Security nữa và không thể đƣợc cấp bất kì quyền hạn in ấn nào.

7) Cấu hình Tab Devices

Trong hộp thoại Properties, chọn mở Tab Devices. Các thuộc tính hiển thị trong

Tab Devices phụ thuộc vào đặc tính của máy in và driver máy in đã cài đặt.

Hình 3.17: Cấu hình Tab Devices

225

8) Quản lý Print Server

a) Hộp thoại quản lý Print Server.

Print Server là một một máy tính trên đó có định nghĩa sẵn các máy in. Khi

ngƣời dùng gửi một yêu cầu in ấn đến một máy in mạng, thì trƣớc tiên, yêu cầu đó

phải đƣợc gửi đến Print Server. Nói cách khác Print Server sẽ có nhiệm vụ quản lý tất

cả các máy in logic đã đƣợc tạo ra trên máy tính. Với tƣ cách là một Print Server, máy tính này phải đủ mạnh để hỗ trợ cho việc đón nhận các tác vụ in ấn và nó cũng phải đủ

không gian đĩa trống để chứa các tác vụ in trong hàng đợi.

Có thể quản lý Print Server bằng cách cấu hình các thuộc tính trong hộp thoại

Print Server Properties. Chúng ta mở hộp thoại Print Server Properties bằng cách: mở hộp thoại Printers And Faxes, chọn File rồi chọn tiếp Server Properties. Hộp thoại

Print Server Properties bao gồm các Tab: Forms, Ports, Drivers và Advanced.

b) Cấu hình các thuộc tính của biểu mẫu in

Nếu máy in có nhiều khay giấy và ở mỗi khay, đặt vào đó các loại giấy khác

nhau, có thể cấu hình các thuộc tính trong Tab Form để tạo ra và quản lý nhiều biểu

mẫu cho máy in. Một biểu mẫu chủ yếu đƣợc cấu hình dựa vào kích cỡ. Muốn tạo ra

một biểu mẫu mới, ta thực hiện theo bốn bƣớc sau:

(1) Trong Tab Forms, nhấp chuột vào tùy chọn Create A New Form. (2) Trong mục Form Name, nhập vào tên của biểu mẫu.

(3) Trong mục Form Description, lựa chọn kích thƣớc cho biểu mẫu

(4) Nhấp chuột vào nút Save Form để hoàn tất việc tạo biểu mẫu

Hình 3.18: Cấu hình các thuộc tính của biểu mẫu in

Chúng ta vừa tạo ra một biểu mẫu. Tiếp theo, chúng ta cần kết hợp biểu mẫu

với khay giấy của máy in. Để làm đƣợc điều này, chúng ta phải sử dụng Tab Devices

trong hộp thoại Properties của máy in.

226

Hình 3.19: Tab Devices Setting

Phía dƣới phần Form To Tray Assignment, trƣớc tiên chọn khay giấy, rồi chọn

biểu mẫu để kết hợp với khay giấy đó.

c) Cấu hình các thuộc tính Port của Print Server.

Trong hộp thoại Printer Server Properties, mở Tab Port. Tab này cũng tƣơng tự

nhƣ Tab Port trong hộp thoại Properties của máy in. Sự khác nhau giữa hai Tab Port

là: Tab Port trong hộp thoại Print Server Properties đƣợc sử dụng để quản lý tất cả các

port trên Print Server. Còn Tab port trong hộp thoại Properties của máy in quản lý các

port của thiết bị máy in vật lý.

Hình 3.20: Cấu hình các thuộc tính Port của Print Server

d) Cấu hình Tab Driver

227

Trong hộp thoại Printer Server Properties, mở tab Driver. Tab Driver cho phép

quản lý các driver máy in đã đƣợc cài đặt trên Print Server. Đối với mỗi driver máy in, Tab này sẽ hiển thị tên, môi trƣờng và hệ điều hành mà driver hỗ trợ.

Sử dụng các tùy chọn trong Tab Driver, có thể thêm vào hay loại bỏ hay cập

nhật driver máy in. Để nhìn thấy các thuộc tính của một driver máy in, ta chọn driver

cần hiển thị và nhấp chuột vào nút Properties. Các thuộc tính của một driver máy in gồm có

- Tên driver

- Phiên bản

- Bộ xử lý - Ngôn ngữ

- Loại dữ liệu mặc định

- Đƣờng dẫn của driver.

Hình 3.21: Cấu hình Tab Driver

9) Giám sát trạng thái hàng đợ máy in

Chúng ta có thể dùng tiện ích System Monitor để quản lý hàng đợi máy in. System Monitor đƣợc dùng để theo dõi các counter liên quan đến thao tác thực hiện cho nhiều đối tƣợng máy tính. Muốn quản lý hàng đợi máy in bằng System Monitor, ta thực hiện theo các bƣớc sau:

(1) Chọn Start ¤ Administrative Tools ¤ Performance. (2) Hộp thoại Performance sẽ xuất hiện. Mặc định thì tiện ích System Monitor

sẽ đƣợc chọn nhƣ hình sau:

228

Hình 3.22: Tiện ích System Monitor

(3) Nhấp chuột vào nút Add (có biểu tƣợng dấu +) để truy xuất vào hộp thoại

Add Counters. Sau đó, nhấp chọn Print Queue Performance Object.

Hình 3.23: Hộp thoại Add Counters

(4) Trong hộp thoại Add Counters, có thể chỉ định ra máy tính muốn giám sát

(cả máy tính cục bộ và máy tính ở xa). Performance Object cần theo dõi (trong trƣờng hợp này là hàng đợi - Print Queue), các counter muốn theo dõi, và cũng chỉ ra có muốn theo dõi tất cả các thể hiện hay là chỉ muốn theo dõi một số thể hiện của counter đƣợc lựa chọn. Nếu chọn tất cả các thể hiện đƣợc lựa chọn sẽ cho phép tất cả dữ liệu của tất cả các hàng đợi in ấn đã đƣợc định nghĩa trong máy in. Còn nếu chọn chỉ theo dõi một số thể hiện của counter thì chỉ theo dõi đƣợc dữ liệu từ một số hàng đợi in ấn cá nhân.

Bảng danh sách các hàng đợi in ấn đã đƣợc định nghĩa:

Mô tả

Print Queue Counter

Add Network Counter này sẽ chỉ ra bao nhiêu Print Server đã đƣợc thêm

229

Printer Calls vào các máy in đƣợc chia sẻ trong mạng. Con số này đƣợc

tích lũy từ lần khởi động

cuối cùng của server.

Bytes Printed/Sec Số byte trong thực tế đã đƣợc in trên một hàng đợi trong

mỗi giây

Enumerate Network Chỉ ra có bao nhiêu yêu cầu đã đƣợc gửi đến Print Server

Printer Calls

từ các danh sách duyệt mạng. Con số này đƣợc tích luỹ từ lần khởi động cuối cùng

của Server.

Job Errors Tổng số các lỗi thao tác đã đƣợc tƣờng trình bởi hàng đợi

in ấn. Con số này đƣợc tích luỹ từ lần khởi động cuối cùng của Server.

Jobs Chỉ ra con số hiện tại các thao tác in ấn vẫn còn trong

hàng đợi chƣa đƣợc xử lý.

Job Spooling Chỉ ra con số hiện tại các thao tác in ấn đã đƣợc điều

hƣớng đến hàng đợi in ấn..

Max Jobs Spooling Chỉ ra con số tối đa các thao tác in ấn đã đƣợc lƣu trữ

trong hàng đợi in ấn kể từ lần khởi động cuối cùng của

Server.

Max References Chỉ ra con số tối đa các tác vụ mở (tham chiếu) đã đƣợc

gửi đến máy in kể từ lần khởi động cuối cùng của Server.

Not Ready Errors Chỉ ra số lƣợng các lỗi máy in “chƣa sẵn sàng phục vụ” đã

đƣợc phát sinh trong hàng đợi in ấn. Con số này đƣợc tích

luỹ từ lần khởi động cuối cùng của Server.

Out of Paper Errors Chỉ ra số lƣợng các lỗi máy in không có giấy đã đƣợc phát

sinh trong hàng đợi in ấn. Con số này đƣợc tích luỹ từ lần

khởi động cuối cùng của Server.

Total Jobs Printed

Đƣợc sử dụng để hiển thị bao nhiêu tác vụ in ấn đã đƣợc thực hiện thành công. Con số này đƣợc tích luỹ từ lần khởi động cuối cùng của Server.

Total Pages Printed Đƣợc sử dụng để hiển thị bao nhiêu trang đã đƣợc in thành công. Con số này đƣợc tích luỹ từ lần khởi động cuối cùng

của Server.

3.2. Cấu hình và quản lý các dịch vụ mạng của windows server 3.2.1. Cấu hình cho môi trƣờng LAN Để cấu hình cho môi trƣờng mạng LAN ta thực hiện các bƣớc sau:

(1) Bấm chuột phải lên My Network Place, chọn Properties.

230

(2) Bấm chuột phải lên Local Area Connection, chọn Properties.

Hình 3.24: Hộp thoại Local Area Connection Properties

Các thành phần dùng trong kết nối

- Thiết bị kết nối (NIC)

- Giao thức (Protocol)

- Client Component - Service Component

- Nhấn Install để cài đặt thêm các thành phần mạng khác.

- Nhấn Uninstall để loại bỏ một thành phần mạng.

(3) Chọn thành phần mạng, nhấn Properties để điều chỉnh tham số của thành

phần đó. Nếu không có lý do đặc biệt, các thành phần mạng phải cài bao gồm:

- Client for Microsoft Networks

- File and Printer share for Microsoft Networks.

- Internet Protocol (TCP/IP)

(4) Chọn Internet Protocol (TCP/IP) nhấn vào nút Properties. Trong cửa sổ

Internet Protocol Properties, chọn Use the following IP address để gán địa chỉ IP và Subnet Mark vào các ô tƣơng ứng bên dƣới.

231

Hình 3.25: Hộp thoại Internet Protocol (TCP/IP) Properties

Đối với Windows NT, một NIC máy có thể nhận nhiều IP. Nhấn Advanced để

gán thêm các địa chỉ và thông số khác.

Hình 3.26: Hộp thoại Advanced TCP/IP Settings

3.2.2. Cài đặt và cấu hình dịch vụ DHCP 1) Giới thiệu dịch vụ DHCP

Mỗi thiết bị trên mạng có dùng bộ giao thức TCP/IP đều phải có một địa chỉ IP

hợp lệ, phân biệt. Để hỗ trợ cho vấn đề theo dõi và cấp phát các địa chỉ IP đƣợc chính xác, tổ chức IETF (Internet Engineering Task Force) đã phát triển ra giao thức DHCP (Dynamic Host Configuration Protocol). Giao thức này đƣợc mô tả trong các RFC tại địa chỉ 1533, 1534, 1541 và 1542. Có thấy các RFC này tìm thể

232

http://www.ietf.org/rfc.html. Để có thể làm một DHCP Server, máy tính Windows

Server 2003 phải đáp ứng các điều kiện sau:

- Đã cài dịch vụ DHCP.

- Mỗi interface phải đƣợc cấu hình bằng một địa chỉ IP tĩnh.

- Đã chuẩn bị sẵn danh sách các địa chỉ IP định cấp phát cho các máy client.

Dịch vụ DHCP này cho phép chúng ta cấp động các thông số cấu hình mạng cho các máy trạm (client). Các hệ điều hành của Microsoft và các hệ điều hành khác

nhƣ Unix hoặc Macintosh đều hỗ trợ cơ chế nhận các thông số động, có nghĩa là trên

các hệ điều hành này phải có một DHCP Client. Cơ chế sử dụng các thông số mạng

đƣợc cấp phát động có ƣu điểm hơn so với cơ chế khai báo tĩnh các thông số mạng nhƣ:

- Khắc phục đƣợc tình trạng đụng địa chỉ IP và giảm chi phí quản trị cho hệ

thống mạng.

- Giúp cho các nhà cung cấp dịch vụ (ISP) tiết kiệm đƣợc số lƣợng địa chỉ IP

thật (Public IP).

- Phù hợp cho các máy tính thƣờng xuyên di chuyển qua lại giữa các mạng.

- Kết hợp với hệ thống mạng không dây (Wireless) cung cấp các điểm Hotspot

nhƣ: nhà ga, sân bay, trƣờng học…

2) Hoạt động của giao thức DHCP

Giao thức DHCP làm việc theo mô hình client/server. Theo đó, quá trình tƣơng

tác giữa DHCP client và server diễn ra theo các bƣớc sau:

- Khi máy client khởi động, máy sẽ gửi broadcast gói tin DHCPDISCOVER,

yêu cầu một server phục vụ mình. Gói tin này cũng chứa địa chỉ MAC của máy client.

- Các máy Server trên mạng khi nhận đƣợc gói tin yêu cầu đó, nếu còn khả

năng cung cấp địa chỉ IP, đều gửi lại cho máy Client gói tin DHCPOFFER, đề nghị

cho thuê một địa chỉ IP trong một khoản thời gian nhất định, kèm theo là một subnet

mask và địa chỉ của Server. Server sẽ không cấp phát địa chỉ IP vừa đề nghị cho những

Client khác trong suốt quá trình thƣơng thuyết.

- Máy Client sẽ lựa chọn một trong những lời đề nghị (DHCPOFFER) và gửi broadcast lại gói tin DHCPREQUEST chấp nhận lời đề nghị đó. Điều này cho phép các lời đề nghị không đƣợc chấp nhận sẽ đƣợc các Server rút lại và dùng đề cấp phát cho Client khác.

- Máy Server đƣợc Client chấp nhận sẽ gửi ngƣợc lại một gói tin DHCPACK

nhƣ là một lời xác nhận, cho biết là địa chỉ IP đó, subnet mask đó và thời hạn cho sử dụng đó sẽ chính thức đƣợc áp dụng. Ngoài ra Server còn gửi kèm theo những thông

tin cấu hình bổ sung nhƣ địa chỉ của gateway mặc định, địa chỉ DNS Server.

3) Cài đặt dịch vụ DHCP

233

Thực hiện theo các bƣớc sau:

Chọn menu Start ¤ Settings ¤ Control Panel.

Trong cửa sổ Control Panel, nhấp đôi chuột vào mục Add/Remove Programs.

Trong hộp thoại Add/Remove Programs, chọn Add/Remove Windows

Components.

Trong hộp thoại Windows Components Wizard, chọn Networking Services và

nhấn nút Details.

Hình 3.27: Hộp thoai windows components wizard

Trong hộp thoại Networking Services, nhấn chọn mục Dynamic Host

Configuration Protocol (DHCP) và nhấn nút OK.

Hình 3.28: Chọn dịch vụ DHCP để cài đặt

Trở lại hộp thoại Windows Components Wizard, nhấn chọn Next.

Windows server sẽ cấu hình các thành phần và cài đặt dịch vụ DHCP

234

Hình 3.29: Quá trình cài đặt DHCP

Cuối cùng, trong hộp thoại Completing the Windows Components Wizard,

nhấn chọn Finish để kết thúc.

4) Chứng thực dịch vụ DHCP trong ACTIVE DIRECTORY

Nếu máy tính Windows Server 2003 chạy dịch vụ DHCP trên đó lại làm việc

trong một domain (có thể là một Server thành viên bình thƣờng hoặc là một máy điều

khiển vùng), dịch vụ muốn có thể hoạt động bình thƣờng thì phải đƣợc chứng thực

bằng Active Directory.

Mục đích của việc chứng thực này là để không cho các Server không đƣợc

chứng thực làm ảnh hƣởng đến hoạt động mạng. Chỉ có những Windows 2003 DHCP

seRver đƣợc chứng thực mới đƣợc phép hoạt động trên mạng. Giả sử có một nhân viên

nào đó cài đặt dịch vụ DHCP và cấp những thông tin TCP/IP không chính xác. DHCP

Server của nhân viên này không thể hoạt động đƣợc (do không đƣợc quản trị mạng

cho phép) và do đó không ảnh hƣởng đến hoạt động trên mạng. Chỉ có Windows 2003

DHCP Server mới cần đƣợc chứng thực trong Active Directory. Còn các DHCP server

chạy trên các hệ điều hành khác nhƣ Windows NT, UNIX, … thì không cần phải

chứng thực.

Trong trƣờng hợp máy Windows Server 2003 làm DHCP Server không nằm trong một domain thì cũng không cần phải chứng thực trong Active Directory. Có thể sử dụng công cụ quản trị DHCP để tiến hành việc chứng thực một DHCP Server. Các

bƣớc thực hiện nhƣ sau:

- Chọn menu Start ¤ Administrative Tools ¤ DHCP.

- Trong ô bên trái của cửa sổ DHCP, tô sáng Server định chứng thực. Chọn

menu Action ¤ Authorize.

- Đợi một hoặc hai phút sau, chọn lại menu Action ¤ Refresh.

235

- Bây giờ DHCP đã đƣợc chứng thực, để ý biểu tƣợng kế bên tên Server là một

mũi tên màu xanh hƣớng lên (thay vì là mũi tên màu đỏ hƣớng xuống).

5) Cấu hình dịch vụ DHCP

Sau khi đã cài đặt dịch vụ DHCP sẽ thấy biểu tƣợng DHCP trong menu

Administrative Tools. Thực hiện theo các bƣớc sau để tạo một scope cấp phát địa chỉ:

Chọn menu Start \Programs \ Administrative Tools \ DHCP Trong cửa sổ DHCP, nhấp phải chuột lên biểu tƣợng Server của và chọn mục

New Scope trong popup menu

Hình 3.30: Tạo phạm vi địa chỉ cho DHCP cấp phát

Hộp thoại New Scope Wizard xuất hiện. Nhấn chọn Next.

Trong hộp thoại Scope Name, nhập vào tên và chú thích, giúp cho việc nhận

diện ra scope này. Sau đó nhấn chọn Next.

Hình 3.31: Nhập tên Scope và mô tả

236

Hộp thoại IP Address Range xuất hiện nhập vào địa chỉ bắt đầu và kết thúc của

danh sách địa chỉ cấp phát. Sau đó chỉ định subnet mask bằng cách cho biết số bit 1 hoặc hoặc nhập vào chuỗi số. Nhấn chọn Next.

Hình 3.32: Nhập các thông tin cho dải địa chỉ IP

Trong hộp thoại Add Exclusions, cho biết những địa chỉ nào sẽ đƣợc loại ra

khỏi nhóm địa chỉ đã chỉ định ở trên. Các địa chỉ loại ra này đƣợc dùng để đặt cho các

máy tính dùng địa chỉ tĩnh hoặc dùng để dành cho mục đích khác. Để loại một địa chỉ

duy nhất, chỉ cần cho biết địa chỉ trong ô Start IP Address và nhấn Add. Để loại một nhóm các địa chỉ, cho biết địa chỉ bắt đầu và kết thúc của nhóm đó trong Start IP

Address và Stop IP Address, sau đó nhấn Add. Nút Remove dùng để huỷ một hoặc

một nhóm các địa chỉ ra khỏi danh sách trên. Sau khi đã cấu hình xong, nhấn nút Next

để tiếp tục.

Hình 3.33: Loại bỏ địa chỉ không cấp phát

237

Trong hộp thoại Lease Duration tiếp theo cho biết thời gian các máy trạm có thể

sử dụng địa chỉ này. Theo mặc định, một máy Client sẽ cố làm mới lại địa chỉ khi đã sử dụng đƣợc nửa thời gian cho phép. Lƣợng thời gian cho phép mặc định là 8 ngày.

có thể chỉ định lƣợng thời gian khác tuỳ theo nhu cầu. Sau khi đã cấu hình xong, nhấn

Next để tiếp tục.

Hình 3.34: Đặt thời gian máy trạm có thể sử dụng địa chỉ IP

Hộp thoại Configure DHCP Options xuất hiện có thể đồng ý để cấu hình các

tuỳ chọn phổ biến (chọn Yes, I want to configure these options now) hoặc không đồng

ý, để việc thiết lập này thực hiện sau (chọn No, I will configure these options later). Để mục chọn đồng ý và nhấn chọn Next.

Hình 3.35: Hộp thoại Configure DHCP Options

Trong hộp thoại Router (Default Gateway), cho biết địa chỉ IP của default

gateway mà các máy DHCP Client sẽ sử dụng và nhấn Add. Sau đó nhấn Next.

238

Hình 3.36: Hộp thoại nhập IP của Router

Trong hộp thoại Domain Name and DNS Server, sẽ cho biết tên Domain mà

các máy DHCP client sẽ sử dụng, đồng thời cũng cho biết địa chỉ IP của DNS Server

dùng phân giải tên. Sau khi đã cấu hình xong, nhấn Next để tiếp tục.

Hình 3.37: Hộp thoại Domain Name and DNS Server

Trong hộp thoại WINS SERVER tiếp theo, có thể cho biết địa chỉ của của

WINS Server chính và phụ dùng phân giải các tên NetBIOS thành địa chỉ IP. Sau đó

nhấn chọn Next.

Tiếp theo, hộp thoại Activate Scope xuất hiện, hỏi có muốn kích hoạt scope này hay không. Scope chỉ có thể cấp địa chỉ cho các máy Client khi đƣợc kích hoạt. Nếu

định cấu hình thêm các thông tin tuỳ chọn cho scope thì chƣa nên kích hoạt bây giờ.

Sau khi đã lựa chọn xong, chọn Next.

Hình 3.38: Hộp thoại Activate Scope

239

Trong hộp thoại Complete the New Scope Wizard, nhấn chọn Finish để kết

thúc.

6) Cấu hình các tùy chọn DHCP

Các tuỳ chọn DHCP là các thông tin phụ gửi kèm theo địa chỉ IP khi cấp phát

cho các máy Client, có thể chỉ định các tuỳ chọn ở hai mức độ: scope và Server. Các

tuỳ chọn mức scope chỉ áp dụng cho riêng scope đó, còn các tuỳ chọn mức Server sẽ áp đặt cho tất cả các scope trên toàn Server.

Các bƣớc thực hiện:

Chọn menu Start \Programs \ Administrative Tools \ DHCP.

Trong cửa sổ DHCP, ở ô bên trái, mở rộng mục Server để tìm Server Options

hoặc mở rộng một scope nào đó để tìm Scope Options.

Nhấn phải chuột lên mục tuỳ chọn tƣơng ứng và chọn Configure Options.

Hộp thoại cấu hình các tuỳ chọn xuất hiện. Trong mục Available Options, chọn

loại tuỳ chọn định cấp phát và nhập các thông cấu hình kèm theo. Sau khi đã chọn

xong hoặc chỉnh sửa các tuỳ chọn xong, nhấn OK để kết thúc.

Hình 3.39: Hộp thoại cấu hình các tuỳ chọn

Trong cửa sổ DHCP, mục tuỳ chọn tƣơng ứng sẽ xuất hiện các thông tin cấp

phát.

7) Cấu hình dành riêng địa chỉ IP

Giả sử hệ thống mạng sử dụng việc cấp phát địa chỉ động, tuy nhiên trong đó có một số máy tính bắt buộc phải sử dụng một địa chỉ IP cố định trong một thời gian dài, có thể thực hiện đƣợc điều này bằng cách dành một địa chỉ IP cho riêng máy đó. Việc cấu hình này đƣợc thực hiện trên từng scope riêng biệt.

Các bƣớc thực hiện: Chọn menu Start \ Programs \ Administrative Tools \ DHCP. Trong ô bên trái của cửa sổ DHCP, mở rộng đến scope định cấu hình, chọn mục

Reservation, chọn menu Action \ New Reservation.

240

Xuất hiện hộp thoại New Reservation. Đặt tên cho mục này dành riêng này

trong ô Reservation. Name, có thể là tên của máy tính đƣợc cấp địa chỉ đó. Trong mục IP Address, nhập vào địa chỉ IP định cấp cho máy đó. Tiếp theo, trong mục MAC

Address, nhập vào địa chỉ MAC của máy tính đó (là một chuỗi liên tục 12 ký số thập

lục phân). Có thể ghi một dòng mô tả về địa chỉ vào mục Description. Supported

Types có ý nghĩa:

DHCP only: chỉ cho phép máy client DHCP yêu cầu địa chỉ này bằng cách sử

dụng giao thức DHCP.

BOOTP only: chỉ cho phép máy client DHCP yêu cầu địa chỉ này bằng cách sử

dụng giao thức BOOTP (là tiền thân của giao thức DHCP).

Both: máy client DHCP có thể dùng giao thức DHCP hoặc BOOTP để yêu cầu

địa chỉ này.

Hình 3.40: Cấu hình đại chỉ dành riêng

Lặp lại thao tác trên cho các địa chỉ dành riêng khác. Cuối cùng nhấn chọn

3.2.3. Dịch vụ DNS

1) Tổng quan về DNS

a) Giới thiệu DNS

Mỗi máy tính trong mạng muốn liên lạc hay trao đổi thông tin, dữ liệu cho nhau cần phải biết rõ địa chỉ IP của nhau. Nếu số lƣợng máy tính nhiều thì việc nhớ những địa chỉ IP này rất là khó khăn.

Mỗi máy tính ngoài địa chỉ IP ra còn có một tên (hostname). Đối với con ngƣời

việc nhớ tên máy dù sao cũng dễ dàng hơn vì chúng có tính trực quan và gợi nhớ hơn

địa chỉ IP. Vì thế, ngƣời ta nghĩ ra cách làm sao ánh xạ địa chỉ IP thành tên máy tính.

Ban đầu do quy mô mạng ARPA NET (tiền thân của mạng Internet) còn nhỏ

chỉ vài trăm máy, nên chỉ có một tập tin đơn HOSTS.TXT lƣu thông tin về ánh xạ tên

máy thành địa chỉ IP. Trong đó tên máy chỉ là 1 chuỗi văn bản không phân cấp (flat

241

name). Tập tin này đƣợc duy trì tại 1 máy chủ và các máy chủ khác lƣu giữ bản sao

của nó. Tuy nhiên khi quy mô mạng lớn hơn, việc sử dụng tập tin HOSTS.TXT có các nhƣợc điểm nhƣ sau:

- Lƣu lƣợng mạng và máy chủ duy trì tập tin HOSTS.TXT bị quá tải do hiệu

ứng “cổ chai”.

- Xung đột tên: Không thể có 2 máy tính có cùng tên trong tập tin HOSTS.TXT

. Tuy nhiên do tên máy không phân cấp và không có gì đảm bảo để ngăn chặn việc tạo

2 tên trùng nhau vì không có cơ chế uỷ quyền quản lý tập tin nên có nguy cơ bị xung

đột tên.

- Không đảm bảo sự toàn vẹn: việc duy trì 1 tập tin trên mạng lớn rất khó khăn.

Ví dụ nhƣ khi tập tin HOSTS.TXT vừa cập nhật chƣa kịp chuyển đến máy chủ ở xa thì

đã có sự thay đổi địa chỉ trên mạng rồi.

Tóm lại việc dùng tập tin HOSTS.TXT không phù hợp cho mạng lớn vì thiếu

cơ chế phân tán và mở rộng. Do đó, dịch vụ DNS ra đời nhằm khắc phục các nhƣợc

điểm này. Ngƣời thiết kế cấu trúc của dịch vụ DNS là Paul Mockapetris - USC's

Information Sciences Institute, và các khuyến nghị RFC của DNS là RFC 882 và 883,

sau đó là RFC 1034 và 1035 cùng với 1 số RFC bổ sung nhƣ bảo mật trên hệ thống

DNS, cập nhật động các bản ghi DNS …

Lƣu ý: Hiện tại trên các máy chủ vẫn sử dụng đƣợc tập tin hosts.txt để phân giải

tên máy tính thành địa chỉ IP (trong Windows tập tin này nằm trong thƣ mục

WINDOWS\system32\drivers\etc)

Dịch vụ DNS hoạt động theo mô hình Client-Server: phần Server gọi là máy

chủ phục vụ tên hay còn gọi là Name Server, còn phần Client là trình phân giải tên -

Resolver. Name Server chứa các thông tin CSDL của DNS, còn Resolver đơn giản chỉ

là các hàm thƣ viện dùng để tạo các truy vấn (query) và gửi chúng qua đến Name

Server. DNS đƣợc thi hành nhƣ một giao thức tầng Application trong mạng TCP/IP.

DNS là 1 CSDL phân tán. Điều này cho phép ngƣời quản trị cục bộ quản lý phần dữ liệu nội bộ thuộc phạm vi của họ, đồng thời dữ liệu này cũng dễ dàng truy cập đƣợc trên toàn bộ hệ thống mạng theo mô hình Client-Server. Hiệu suất sử dụng dịch vụ đƣợc tăng cƣờng thông qua cơ chế nhân bản (replication) và lƣu tạm (caching). Một hostname trong domain là sự kết hợp giữa những từ phân cách nhau bởi dấu chấm(.).

242

Hình 3.41: Sơ đồ tổ chức DNS

Cơ sở dữ liệu(CSDL) của DNS là một cây đảo ngƣợc. Mỗi nút trên cây cũng lại

là gốc của 1 cây con. Mỗi cây con là 1 phân vùng con trong toàn bộ CSDL DNS gọi là 1 miền (domain).

Mỗi domain có thể phân chia thành các phân vùng con nhỏ hơn gọi là các miền

con (subdomain). Mỗi domain có 1 tên (domain name). Tên domain chỉ ra vị trí của nó

trong CSDL DNS. Trong DNS tên miền là chuỗi tuần tự các tên nhãn tại nút đó đi

ngƣợc lên nút gốc của cây và phân cách nhau bởi dấu chấm.

Tên nhãn bên phải trong mỗi domain name đƣợc gọi là top-level domain. Trong

ví dụ trƣớc srv1.csc.hcmuns.edu.vn, vậy miền “.vn” là top-level domain. Bảng sau đây

liệt kê top-level domain.

Vì sự quá tải của những domain name đã tồn tại, do đó đã làm phát sinh những

top-level domain . Bảng sau đây liệt kê những top-level domain mới.

243

Bên cạnh đó, mỗi nƣớc cũng có một top-level domain. Ví dụ top-leveldomain

của Việt Nam là .vn, Mỹ là .us, ta có thể tham khảo thêm thông tin địa chỉ tên miền tại

địa chỉ: http://www.thrall.org/domains.htm

Ví dụ về tên miền của một số quốc gia.

b) Đặt điểm của DNS trong Windows 2003

- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải

dựa theo tên domain trong yêu cầu truy vấn.

- Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn.

- Đồng bộ các DNS zone trong Active Directory (DNS zone replication in

Active Directory).

- Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trƣớc

đây.

- Luân chuyển (Round robin) tất cả các loại RR. Cung cấp nhiêu cơ chế ghi

nhận và theo dõi sự cố lỗi trên DNS.

- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính

năng bảo mật cho việc lƣu trữ và nhân bản (replicate) zone.

244

- Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép

DNS Requestor quản bá những zone transfer packet có kích thƣớc lớn hơn 512 byte.

2) Cách phân bổ dữ liệu quản lý domain name

Những root name server (.) quản lý những top-level domain trên Internet. Tên

máy và địa chỉ IP của những name server này đƣợc công bố cho mọi ngƣời biết và

chúng đƣợc liệt kê trong bảng sau. Những name server này cũng có thể đặt khắp nơi trên thế giới.

Thông thƣờng một tổ chức đƣợc đăng ký một hay nhiều domain name. Sau đó,

mỗi tổ chức sẽ cài đặt một hay nhiều name server và duy trì cơ sở dữ liệu cho tất cả

những máy tính trong domain. Những name server của tổ chức đƣợc đăng ký trên

Internet. Một trong những name server này đƣợc biết nhƣ là Primary Name Server.

Nhiều Secondary Name Server đƣợc dùng để làm backup cho Primary Name Server.

Trong trƣờng hợp Primary bị lỗi, Secondary đƣợc sử dụng để phân giải tên. Primary Name Server có thể tạo ra những subdomain và ủy quyền những subdomain này cho những Name Server khác.

245

Hình 3.42: Root hints

3) Cơ chế phân giải tên

a) Phân giải tên thành IP

Root name server : Là máy chủ quản lý các name server ở mức top-level

domain. Khi có truy vấn về một tên miền nào đó thì Root Name Server phải cung cấp

tên và địa chỉ IP của name server quản lý top-level domain (Thực tế là hầu hết các root

server cũng chính là máy chủ quản lý top-level domain) và đến lƣợt các name server của top-level domain cung cấp danh sách các name server có quyền trên các second-

level domain mà tên miền này thuộc vào. Cứ nhƣ thế đến khi nào tìm đƣợc máy quản

lý tên miền cần truy vấn.

Qua trên cho thấy vai trò rất quan trọng của root name server trong quá trình

phân giải tên miền. Nếu mọi root name server trên mạng Internet không liên lạc đƣợc

thì mọi yêu cầu phân giải đều không thực hiện đƣợc.

Hình vẽ dƣới mô tả quá trình phân giải grigiri.gbrmpa.gov.au trên mạng

Internet

246

Hình 3.43: Phân giải hostname thành địa IP

Client sẽ gửi yêu cầu cần phân giải địa chỉ IP của máy tính có tên

girigiri.gbrmpa.gov.au đến name server cục bộ. Khi nhận yêu cầu từ Resolver, Name

Server cục bộ sẽ phân tích tên này và xét xem tên miền này có do mình quản lý hay không. Nếu nhƣ tên miền do Server cục bộ quản lý, nó sẽ trả lời địa chỉ IP của tên máy

đó ngay cho Resolver. Ngƣợc lại, server cục bộ sẽ truy vấn đến một Root Name Server

gần nhất mà nó biết đƣợc. Root Name Server sẽ trả lời địa chỉ IP của Name Server

quản lý miền au. Máy chủ name server cục bộ lại hỏi tiếp name server quản lý miền au

và đƣợc tham chiếu đến máy chủ quản lý miền gov.au. Máy chủ quản lý gov.au chỉ

dẫn máy name server cục bộ tham chiếu đến máy chủ quản lý miền gbrmpa.gov.au.

Cuối cùng máy name server cục bộ truy vấn máy chủ quản lý miền gbrmpa.gov.au và

nhận đƣợc câu trả lời.

Các loại truy vấn : Truy vấn có thể ở 2 dạng :

- Truy vấn đệ quy (recursive query) : khi name server nhận đƣợc truy vấn dạng này, nó bắt buộc phải trả về kết quả tìm đƣợc hoặc thông báo lỗi nếu nhƣ truy vấn này không phân giải đƣợc. Name server không thể tham chiếu truy vấn đến một name server khác. Name server có thể gửi truy vấn dạng đệ quy hoặc tƣơng tác đến name server khác nhƣng phải thực hiện cho đến khi nào có kết quả mới thôi.

247

Hình 3.44: Recursive query

Truy vấn tƣơng tác (Iteractive query): khi name server nhận đƣợc truy vấn dạng

này, nó trả lời cho Resolver với thông tin tốt nhất mà nó có đƣợc vào thời điểm lúc đó. Bản thân name server không thực hiện bất cứ một truy vấn nào thêm. Thông tin tốt

nhất trả về có thể lấy từ dữ liệu cục bộ (kể cả cache). Trong trƣờng hợp name server

không tìm thấy trong dữ liệu cục bộ nó sẽ trả về tên miền và địa chỉ IP của name

server gần nhất mà nó biết.

Hình 3.45: Iteractive query

b) Phân giải IP thành tên máy tính Ánh xạ địa chỉ IP thành tên máy tính đƣợc dùng để diễn dịch các tập tin log cho dễ đọc hơn. Nó còn dùng trong một số trƣờng hợp chứng thực trên hệ thống UNIX (kiểm tra các tập tin .rhost hay host.equiv). Trong không gian tên miền đã nói ở trên dữ liệu -bao gồm cả địa chỉ IP- đƣợc lập chỉ mục theo tên miền. Do đó với một tên miền đã cho việc tìm ra địa chỉ IP khá dễ dàng.

Để có thể phân giải tên máy tính của một địa chỉ IP, trong không gian tên miền

ngƣời ta bổ sung thêm một nhánh tên miền mà đƣợc lập chỉ mục theo địa chỉ IP. Phần

không gian này có tên miền là in- addr.arpa.

Mỗi nút trong miền in-addr.arpa có một tên nhãn là chỉ số thập phân của địa chỉ IP. Ví dụ miền in- addr.arpa có thể có 256 subdomain, tƣơng ứng với 256 giá trị từ 0

248

đến 255 của byte đầu tiên trong địa chỉ IP. Trong mỗi subdomain lại có 256

subdomain con nữa ứng với byte thứ hai. Cứ nhƣ thế và đến byte thứ tƣ có các bản ghi cho biết tên miền đầy đủ của các máy tính hoặc các mạng có địa chỉ IP tƣơng ứng.

Hình 3.46: Reverse Lookup Zone

Lƣu ý khi đọc tên miền địa chỉ IP sẽ xuất hiện theo thứ tự ngƣợc. Ví dụ nếu địa

chỉ IP của máy winnie.corp.hp.com là 15.16.192.152, khi ánh xạ vào miền in-addr.arpa

sẽ là 152.192.16.15.in- addr.arpa.

4) Một số Khái niệm cơ bản

a) Domain name và zone

Một miền gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain). Ví dụ,

miền ca bao gồm nhiều miền con nhƣ ab.ca, on.ca, qc.ca,...(nhƣ Hình 1.7). Có thể ủy

quyền một số miền con cho những DNS Server khác quản lý. Những miền và miền

con mà DNS Server đƣợc quyền quản lý gọi là zone. Nhƣ vậy, một Zone có thể gồm

một miền, một hay nhiều miền con. Hình sau mô tả sự khác nhau giữa zone và

domain.

Hình 3.47: Zone và Domain

Các loại zone

- Primary zone : Cho phép đọc và ghi cơ sở dữ liệu. - Secondary zone : Cho phép đọc bản sao cơ sở dữ liệu.

249

- Stub zone : chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa chỉ một

vài RR.

b) Fully Qualified Domain Name (FQDN)

Mỗi nút trên cây có một tên gọi(không chứa dấu chấm) dài tối đa 63 ký tự. Tên

rỗng dành riêng cho gốc (root) cao nhất và biểu diễn bởi dấu chấm. Một tên miền đầy

đủ của một nút chính là chuỗi tuần tự các tên gọi của nút hiện tại đi ngƣợc lên nút gốc, mỗi tên gọi cách nhau bởi dấu chấm. Tên miền có xuất hiện dấu chấm sau cùng đƣợc

gọi là tên tuyệt đối (absolute) khác với tên tƣơng đối là tên không kết thúc bằng dấu

chấm. Tên tuyệt đối cũng đƣợc xem là tên miền đầy đủ đã đƣợc chứng nhận (Fully

Qualified Domain Name – FQDN).

c) Sự ủy quyền(Delegation)

Một trong các mục tiêu khi thiết kế hệ thống DNS là khả năng quản lý phân tán

thông qua cơ chế uỷ quyền (delegation). Trong một miền có thể tổ chức thành nhiều

miền con, mỗi miền con có thể đƣợc uỷ quyền cho một tổ chức khác và tổ chức đó

chịu trách nhiệm duy trì thông tin trong miền con này. Khi đó, miền cha chỉ cần một

con trỏ trỏ đến miền con này để tham chiếu khi có các truy vấn.

Không phải một miền luôn luôn tổ chức miền con và uỷ quyền toàn bộ cho các

miền con này, có thể chỉ có vài miền con đƣợc ủy quyền. Ví dụ miền hcmuns.edu.vn

của Trƣờng ĐHKHTN chia một số miền con nhƣ csc.hcmuns.edu.vn (Trung Tâm Tin Học), fit.hcmuns.edu.vn (Khoa CNTT) hay math.hcmuns.edu.vn (Khoa Toán), nhƣng

các máy chủ phục vụ cho toàn trƣờng thì vẫn thuộc vào miền hcmuns.edu.vn.

d) Forwarders

Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các

Name Server khác để phân giải các miền bên ngoài.

Ví dụ: Trong hình sau, ta thấy khi Internal DNS Servers nhận yêu cầu truy vấn

của máy trạm nó kiểm tra xem có thể phân giải đƣợc yêu cầu này hay không, nếu

không thì nó sẽ chuyển yêu cầu này lên Forwarder DNS server (multihomed) để nhờ

name server này phân giải dùm, sau khi xem xét xong thì Forwarder DNS server (multihomed) sẽ trả lời yêu cầu này cho Internal DNS Servers hoặc nó sẽ tiếp tục forward lên các name server ngoài Internet.

250

Hình 3.48: Forward DNS queries

e) Stub zone

Là zone chứa bảng sao cơ sở dữ liệu DNS từ master name server, Stub zone chỉ chứa các resource record cần thiết nhƣ : A, SOA, NS, một hoặc vài địa chỉ của master

name server hỗ trợ cơ chế cập nhật Stub zone, chế chứng thực name server trong zone

và cung cấp cơ chế phân giải tên miền đƣợc hiệu quả hơn, đơn giản hóa công tác quản

trị

f) Dynamic DNS

Dynamic DNS là phƣơng thức ánh xạ tên miền tới địa chỉ IP có tần xuất thay

đổi cao. Dịch vụ DNS động (Dynamic DNS) cung cấp một chƣơng trình đặc biệt chạy

trên máy tính của ngƣời sử dụng dịch vụ dynamic DNS gọi là Dynamic Dns Client.

Chƣơng trình này giám sát sự thay đổi địa chỉ IP tại host và liên hệ với hệ thống DNS

mỗi khi địa chỉ IP của host thay đổi và sau đó update thông tin vào cơ sở dữ liệu DNS

về sự thay đổi địa chỉ đó.

DNS Client đăng ký và cập nhật resource record của nó bằng cách gởi dynamic

update.

Hình 3.49: Dynamic update

Các bƣớc DHCP Server đăng ký và cập nhật resource record cho Client

251

Hình 3.50: DHCP server cập nhật dynamic update

g) Active Directory-integrated zone Sử dụng Active Directory-integrated zone có một số thuận lợi sau:

- DNS zone lƣu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu

đƣợc bảo mật hơn.

- Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ sở

dữ liệu DNS.

- Sử dụng secure dynamic update.

- Sử dụng nhiều master name server để quản lý tên miền thay vì sử dụng một

master name server.

Mô hình Active Directory-integrated zone sử dụng secure dynamic update.

Hình 3.51: Secure dynamic update

5) Phân loại Domain Name Server

Có nhiều loại Domain Name Server đƣợc tổ chức trên Internet. Sự phân loại này tùy thuộc vào nhiệm vụ mà chúng sẽ đảm nhận. Tiếp theo sau đây mô tả những

loại Domain Name Server.

a) Primary Name Server

252

Mỗi miền phải có một Primary Name Server. Server này đƣợc đăng kí trên

Internet để quản lý miền. Mọi ngƣời trên Internet đều biết tên máy tình và địa chỉ IP của Server này. Ngƣời quản trị DNS sẽ tổ chức những tập tin CSDL trên Primary

Name Server. Server này có nhiệm vụ phân giải tất cả các máy trong miền hay zone.

b) Secondary Name Server

Mỗi miền có một Primary Name Server để quản lý CSDL của miền. Nếu nhƣ Server này tạm ngƣng hoạt động vì một lý do nào đó thì việc phân giải tên máy tính

thành địa chỉ IP và ngƣợc lại xem nhƣ bị gián đoạn. Việc gián đoạn này làm ảnh

hƣởng rất lớn đến những tổ chức có nhu cầu trao đổi thông tin ra ngoài Internet cao.

Nhằm khắc phục nhƣợc điểm này, những nhà thiết kế đã đƣa ra một Server dự phòng gọi là Secondary(hay Slave) Name Server. Server này có nhiệm vụ sao lƣu tất cả

những dữ liệu trên Primary Name Server và khi Primary Name Server bị gián đoạn thì

nó sẽ đảm nhận việc phân giải tên máy tính thành địa chỉ IP và ngƣợc lại. Trong một

miền có thể có một hay nhiều Secondary Name Server. Theo một chu kỳ, Secondary

sẽ sao chép và cập nhật CSDL từ Primary Name Server. Tên và địa chỉ IP của

Secondary Name Server cũng đƣợc mọi ngƣời trên Internet biết đến.

Hình 3.52: Zone tranfser

c) Caching Name Server

Caching Name Server không có bất kỳ tập tin CSDL nào. Nó có chức năng phân giải tên máy trên những mạng ở xa thông qua những Name Server khác. Nó lƣu giữ lại những tên máy đã đƣợc phân giải trƣớc đó và đƣợc sử dụng lại những thông tin

này nhằm mục đích:

- Làm tăng tốc độ phân giải bằng cách sử dụng cache. - Giảm bớt gánh nặng phân giải tên máy cho các Name Server. - Giảm việc lƣu thông trên những mạng lớn.

253

Hình 3.53: Bảng cache

d) Resource Record (RR)

RR là mẫu thông tin dùng để mô tả các thông tin về cơ sở dữ liệu DNS, các

mẫu tin này đƣợc lƣu trong các file cơ sở dữ liệu DNS (\systemroot\system32\dns).

Hình 3.54: Cơ sở dữ liệu

6) Resource Record (RR)

RR là mẫu thông tin dùng để mô tả các thông tin về cơ sở dữ liệu DNS, các

mẫu tin này đƣợc lƣu trong các file cơ sở dữ liệu DNS (\systemroot\system32\dns).

Hình 3.55: Cơ sở dữ liệu

254

a) SOA(Start of Authority)

Trong mỗi tập tin CSDL phải có một và chỉ một record SOA (start of authority). Record SOA chỉ ra rằng máy chủ Name Server là nơi cung cấp thông tin tin

cậy từ dữ liệu có trong zone.

Cú pháp của record SOA.

[tên-miền] IN SOA [tên-server-dns] [địa-chỉ-email] ( serial number;

refresh number;

retry number;

experi number; Time-to-live number)

- Serial : Áp dụng cho mọi dữ liệu trong zone và là 1 số nguyên. Trong ví dụ,

giá trị này bắt đầu từ 1 nhƣng thông thƣờng ngƣời ta sử dụng theo định dạng thời gian

nhƣ 1997102301. Định dạng này theo kiều YYYYMMDDNN, trong đó YYYY là

năm, MM là tháng, DD là ngày và NN số lần sửa đổi dữ liệu zone trong ngày. Bất kể

là theo định dạng nào, luôn luôn phải tăng số này lên mỗi lần sửa đổi dữ liệu zone. Khi

máy máy chủ Secondary liên lạc với máy chủ Primary, trƣớc tiên nó sẽ hỏi số serial.

Nếu số serial của máy Secondary nhỏ hơn số serial của máy Primary tức là dữ liệu

zone trên Secondary đã cũ và sau đó máy Secondary sẽ sao chép dữ liệu mới từ máy Primary thay cho dữ liệu đang có hiện hành.

- Refresh: Chỉ ra khoảng thời gian máy chủ Secondary kiểm tra dữ liệu zone

trên máy Primary để cập nhật nếu cần. Trong ví dụ trên thì cứ mỗi 3 giờ máy chủ

Secondary sẽ liên lạc với máy chủ Primary để cập nhật dữ liệu nếu có. Giá trị này thay

đổi tuỳ theo tần suất thay đổi dữ liệu trong zone.

- Retry: nếu máy chủ Secondary không kết nối đƣợc với máy chủ Primary theo

thời hạn mô tả trong refresh (ví dụ máy chủ Primary bị shutdown vào lúc đó thì máy

chủ Secondary phải tìm cách kết nối lại với máy chủ Primary theo một chu kỳ thời

gian mô tả trong retry. Thông thƣờng giá trị này nhỏ hơn giá trị refresh. Expire: Nếu sau khoảng thời gian này mà máy chủ Secondary không kết nối đƣợc với máy chủ Primary thì dữ liệu zone trên máy Secondary sẽ bị quá hạn. Một khi dữ liệu trên Secondary bị quá hạn thì máy chủ này sẽ không trả lời mọi truy vấn về zone này nữa. Giá trị expire này phải lớn hơn giá trị refresh và giá trị retry.

- TTL: Viết tắt của time to live. Giá trị này áp dụng cho mọi record trong zone

và đƣợc đính kèm trong thông tin trả lời một truy vấn. Mục đích của nó là chỉ ra thời gian mà các máy chủ Name Server khác cache lại thông tin trả lời. Việc cache thông

tin trả lời giúp giảm lƣu lƣợng truy vấn DNS trên mạng.

b) NS (Name Server)

255

Record tiếp theo cần có trong zone là NS (name server) record. Mỗi Name

Server cho zone sẽ có một NS record. Cú pháp:

[domain_name] IN NS [DNS-Server_name]

Ví dụ 2: Record NS sau:

t3h.com. IN NS dnsserver.t3h.com. t3h.com. IN NS server.t3h.com.

chỉ ra 2 name servers cho miền t3h.com

c) A (Address) và CNAME (Canonical Name) Record A (Address) ánh xạ tên máy (hostname) vào địa chỉ IP. Record CNAME (canonical name) tạo tên bí danh alias trỏ vào một tên canonical. Tên

canonical là tên host trong record A hoặc lại trỏ vào 1 tên canonical khác.

Cú pháp record A:

[tên-máy-tính] IN A [địa-chỉ-IP]

Ví dụ 1: record A trong tập tin db.t3h

server.t3h.com. IN A 172.29.14.1

diehard.t3h.com. IN A 172.29.14.4

// Multi-homed hosts

server.t3h.com. IN A 172.29.14.1 server.t3h.com. IN A 192.253.253.1

d) AAAA

Ánh xạ tên máy (hostname) vào địa chỉ IP version 6

Cú pháp:

[tên-máy-tính] IN AAAA [địa-chỉ-IPv6]

Ví dụ:

Server IN AAAA 1243:123:456:789:1:2:3:456ab

e) SRV

Cung cấp cơ chế định vị dịch vụ, Active Directory sử dụng Resource Record này để xác định domain controllers, global catalog servers, Lightweight Directory Access Protocol (LDAP) servers. Các field trong SVR:

- Tên dịch vụ service. - Giao thức sử dụng.

- Tên miền (domain name). - TTL và class.

- Priority.

- Weight (hỗ trợ load balancing).

256

- Port của dịch vụ.

- Target chỉ định FQDN cho host hỗ trợ dịch vụ.

Ví dụ:

_ftp._tcp.somecompany.com. IN SRV 0 0 21 ftpsvr1.somecompany.com.

_ftp._tcp.somecompany.com. IN SRV 10 0 21 ftpsvr2.somecompany.com

Hình 3.56: Thông tin về RR SRV

f)MX (Mail Exchange)

DNS dùng record MX trong việc chuyển mail trên mạng Internet. Ban đầu chức

năng chuyển mail dựa trên 2 record: record MD (mail destination) và record MF (mail

forwarder) records. MD chỉ ra đích cuối cùng của một thông điệp mail có tên miền cụ

thể. MF chỉ ra máy chủ trung gian sẽ chuyển tiếp mail đến đƣợc máy chủ đích cuối

cùng. Tuy nhiên, việc tổ chức này hoạt động không tốt. Do đó, chúng đƣợc tích hợp lại

thành một record là MX. Khi nhận đƣợc mail, trình chuyển mail (mailer) sẽ dựa vào

record MX để quyết định đƣờng đi của mail. Record MX chỉ ra một mail exchanger

cho một miền - mail exchanger là một máy chủ xử lý (chuyển mail đến mailbox cục bộ

hay làm gateway chuyền sang một giao thức chuyển mail khác nhƣ UUCP) hoặc

chuyển tiếp mail đến một mail exchanger khác (trung gian) gần với mình nhất để đến

tới máy chủ đích cuối cùng hơn dùng giao thức SMTP (Simple Mail Transfer

Protocol).

Để tránh việc gửi mail bị lặp lại, record MX có thêm 1 giá trị bổ sung ngoài tên miền của mail exchanger là 1 số thứ tự tham chiếu. Đây là giá trị nguyên không dấu 16-bit (0-65535) chỉ ra thứ tự ƣu tiên của các mail exchanger. Cú pháp record MX:

[domain_name] IN MX [priority] [mail-host]

Ví dụ record MX sau :

t3h.com. IN MX 10 mailserver.t3h.com.

Chỉ ra máy chủ mailserver.t3h.com là một mail exchanger cho miền t3h.com

với số thứ tự tham chiếu 10.

257

Chú ý: các giá trị này chỉ có ý nghĩa so sánh với nhau. Ví dụ khai báo 2 record

MX:

t3h.com. IN MX 1 listo.t3h.com.

t3h.com. IN MX 2 hep.t3h.com.

Trình chuyển thƣ mailer sẽ thử phân phát thƣ đến mail exchanger có số thứ tự tham chiếu nhỏ nhất trƣớc. Nếu không chuyển thƣ đƣợc thì mail exchanger với giá trị

kế sau sẽ đƣợc chọn. Trong trƣờng hợp có nhiều mail exchanger có cùng số tham

chiếu thì mailer sẽ chọn ngẫu nhiên giữa chúng.

g) PTR (Pointer)

Record PTR (pointer) dùng để ánh xạ địa chỉ IP thành Hostname.

Cú pháp:

[Host-ID.{Reverse_Lookup_Zone}] IN PTR [tên-máy-tính]

Ví dụ:

Các record PTR cho các host trong mạng 192.249.249:

1.14.29.172.in-addr.arpa. IN PTR server.t3h.com.

7) Cài đặt và cấu hình dịch vụ DNS

Có nhiều cách cài đặt dịch vụ DNS trên môi trƣờng Windows nhƣ: Ta có thể

cài đặt DNS khi ta nâng cấp máy chủ lên domain controllers hoặc cài đặt DNS trên máy stand-alone Windows 2003 Server từ tùy chọn Networking services trong thành

phần Add/Remove Program.

a) Cài đặt DNS

Khi cài đặt dịch vụ DNS trên Windows 2003 Server đòi hỏi máy này phải đƣợc

cung cấp địa chỉ IP tĩnh, sau đây là một số bƣớc cơ bản nhất để cài đặt dịch vụ DNS

trên Windows 2003 stand-alone Server.

Chọn Start | Control Panel | Add/Remove Programs.

Chọn Add or Remove Windows Components trong hộp thoại Windows

components.

Từ hộp thoại ở bƣớc 2 ta chọn Network Services sau đó chọn nút Details

258

Hình 3.57: Thêm các dịch vụ mạng trong Windows

Chọn Domain Name System(DNS), sau đó chọn nút OK

Hình 3.58: Thêm dịch vụ DNS

Chọn Next sau đó hệ thống sẽ chép các tập tin cần thiết để cài đặt dịch vụ (phải

đảm bảo có đĩa CD ROM Windows 2003 trên máy cục bộ hoặc có thể truy xuất tài

nguyên này từ mạng).

Chọn nút Finish để hoàn tất quá trình cài đặt

b) Cấu hình DNS

Chọn Start \Programs\ Administrative Tools\ DNS

Hình 3.59: DNS console

259

Event Viewer: Đây trình theo dõi sự kiện nhật ký dịch vụ DNS, nó sẽ lƣu trữ

các thông tin về: cảnh giác (alert), cảnh báo (warnings), lỗi (errors).

Forward Lookup Zones: Chứa tất cả các zone thuận của dịch vụ DNS, zone này

đƣợc lƣu tại máy DNS Server.

Reverse Lookup Zones: Chứa tất cả các zone nghịch của dịch vụ DNS, zone

này đƣợc lƣu tại máy DNS Server.

Tạo Forward Lookup Zones: Forward Lookup Zone để phân giải địa chỉ tên

máy (hostname) thành địa chỉ IP. Để tạo zone này ta thực hiện các bƣớc sau:

Chọn nút Start \ Administrative Tools \ DNS.

Chọn tên DNS server, sau đó Click chuột phải chọn New Zone. Chọn Next trên hộp thoại Welcome to New Zone Wizard.

Chọn Zone Type là Primary Zone \ Next.

Hình 3.60: Hộp thoại Zone Type

Chọn Forward Lookup Zone \ Next.

Chỉ định Zone Name để khai báo tên Zone (Ví dụ: csc.com), chọn Next.

Hình 3.61: Chỉ định tên zone

260

Từ hộp thoại Zone File, tạo file lƣu trữ cơ sở dữ liệu cho Zone (zonename.dns)

tiếp tục chọn Next.

Hộp thoại Dynamic Update để chỉ định zone chấp nhận Secure Update,

nonsecure Update hay chọn không sử dụng Dynamic Update, chọn Next.

Hình 3.62: Chỉ định Dynamic Update

Chọn Finish để hoàn tất.

Tạo Reverse Lookup Zone: Sau khi ta hoàn tất quá trình tạo Zone thuận ta sẽ

tạo Zone nghịch (Reverse Lookup Zone) để hỗ trợ cơ chế phân giải địa chỉ IP thành

tên máy (hostname).

Để tạo Reverse Lookup Zone ta thực hiện trình tự các bƣớc sau:

Chọn Start \ Programs \ Administrative Tools \ DNS.

Chọn tên của DNS server, Click chuột phải chọn New Zone.

Chọn Next trên hộp thoại Welcome to New Zone Wizard.

Chọn Zone Type là Primary Zone | Next.

Chọn Reverse Lookup Zone | Next.

Gõ phần địa chỉ mạng(NetID) của địa chỉ IP trên Name Server | Next.

Hình 3.63: Chỉ định zone ngƣợc

261

Tạo mới hay sử dụng tập tin lƣu trữ cơ sở dữ liệu cho zone ngƣợc, sau đó chọn

Hình 3.64: Chỉ định zone file

Hộp thoại Dynamic Update để chỉ định zone chấp nhận Secure Update,

nonsecure Update hay chọn không sử dụng Dynamic Update, chọn Next.

Chọn Finish để hoàn tất.

Tạo Resource Record(RR): Sau khi ta tạo zone thuận và zone nghịch, mặc

định hệ thống sẽ tạo ra hai resource record NS và SOA

Tạo RR A để tạo RR A để ánh xạ hostname thành tên máy, để làm việc này ta

Click chuột Forward Lookup Zone, sau đó Click chuột phải vào tên Zone | New Host ,

sau đó ta cung cấp một số thông tin về Name, Ip address, sau đó chọn Add Host.

Chọn Create associated pointer (PTR) record để tạo RR PTR trong zone nghịch

Hình 3.65: Tạo Resource record A

262

Tạo RR CNAME: Trong trƣờng hợp ta muốn máy chủ DNS Server vừa có tên

server.csc.com vừa có tên ftp.csc.com để phản ánh đúng chức năng là một DNS Server, FTP server,…Để tạo RR Alias ta thực hiện nhƣ sau:

Click chuột Forward Lookup Zone, sau đó Click chuột phải vào tên Zone | New

Alias (CNAME) (tham khảo Hình 1.26), sau đó ta cung cấp một số thông tin về:

Alias Name: Chỉ định tên Alias (ví dụ ftp). Full qualified domain name(FQDN) for target host: chỉ định tên host muốn tạo

Alias (ta có thể gõ tên host vào mục này hoặc ta chọn nút Browse sau đó chọn tên

host).

Hình 3.66: Tạo RR CNAME

Kiểm tra hoạt động dịch vụ DNS: Sau khi ta hoàn tất quá trình tạo zone

thuận, zone nghịch và mô tả một số RR cần thiết

Hình 3.67: Một số cơ sở dữ liệu cơ bản của dịch vụ DNS

Muốn kiểm tra quá trình hoạt động của dịch vụ DNS ta thực hiện các bƣớc sau:

Khai báo Resolver:

263

Để chỉ định rõ cho DNS Client biết địa chỉ máy chủ DNS Server hỗ trợ việc

phân giải tên miền.

Để thực hiện khai báo Resolver ta chọn Start | Settings | Network Connections |

Chọn Properties của Local Area Connection | Chọn Properties của Internet Control

(TCP/IP) sau đó chỉ định hai thông số.

Referenced DNS server: Địa chỉ của máy chủ Primary DNS Server. Alternate DNS server: Địa chỉ của máy chủ DNS dự phòng hoặc máy chủ DNS

thứ hai.

Hình 3.68: Khai báo Resolver cho máy trạm

Kiểm tra hoạt động: Ta có thể dùng công cụ nslookup để kiểm tra quá trình

hoạt động của dịch vụ DNS, phân giải resource record hoặc phân giải tên miền. Để sử

dụng đƣợc công cụ nslookup ta vào Start | Run | nslookup.

Hình 3.69: Kiểm tra DNS

3.2.4. Dịch vụ WWW và FTP Server 1) Dịch vụ WWW a) Giao thức HTTP

264

HTTP là một giao thức cho phép Web Browser và Web Server có thể giao tiếp

với nhau. HTTP bắt đầu là 1 giao thức đơn giản giống nhƣ với các giao thức chuẩn khác trên Internet, thông tin điều khiển đƣợc truyền dƣới dạng văn bản thô thông qua

kết nối TCP. Do đó, kết nối HTTP có thể thay thế bằng cách dùng lệnh telnet chuẩn.

HTTP là một giao thức cho phép Web Browser và Web Server có thể giao tiếp

kết nối TCP. Do đó, kết nối HTTP có thể thay thế bằng cách dùng lệnh telnet chuẩn.

Giao thức đơn giản yêu-cầu/đáp-ứng (request/response) này đã phát triển nhanh

chóng và đƣợc định nghĩa lại thành một giao thức phức tạp (phiên bản hiện tại HTTP/1.1) . Một trong các thay đổi lớn nhất trong HTTP/1.1 là nó hỗ trợ kết nối lâu

dài (persistent connection).

Trong HTTP/1.0, một kết nối phải đƣợc thiết lập đến Server cho mỗi đối tƣợng

mà Browser muốn download. Nhiều trang Web có rất nhiều hình ảnh, ngoài việc tải

trang HTML cơ bản, Browser phải lấy về một số lƣợng hình ảnh. Nhiều cái trong

chúng thƣờng là nhỏ hoặc chỉ đơn thuần là để trang trí cho phần còn lại của trang

HTML.

b) Nguyên tắc hoạt động của Web Server

Ban đầu Web Server chỉ phục vụ các tài liệu HTML và hình ảnh đơn giản. Tuy

nhiên, đến thời điểm hiện tại nó có thể làm nhiều hơn thế.

Đầu tiên xét Web Server ở mức độ cơ bản, nó chỉ phục vụ các nội dung tĩnh.

Nghĩa là khi Web Server nhận 1 yêu cầu từ Web Browser, nó sẽ ánh xạ đƣờng dẫn này

URL (ví dụ: http://www.hcmuns.edu.vn/index.html) thành một tập tin cục bộ trên máy

Web Server.

Máy chủ sau đó sẽ nạp tập tin này từ đĩa và gởi tập tin đó qua mạng đến Web

Browser của ngƣời dùng. Web Browser và Web Server sử dụng giao thức HTTP trong

quá trình trao đổi dữ liệu.

Hình 3.70: Sơ đồ hoạt động của Web Server

265

Trên cơ sở phục vụ những trang Web tĩnh đơn giản này, ngày nay chúng đã

phát triển với nhiều thông tin phức tạp hơn đƣợc chuyển giữa Web Server và Web Browser, trong đó quan trọng nhất có lẽ là nội dung động (dynamic content).

- Cơ chế nhận kết nối

Với phiên bản đầu tiên, Web Server hoạt động theo mô hình sau:

- Tiếp nhận các yêu cầu từ Web Browser. - Trích nội dung từ đĩa .

- Chạy các chƣơng trình CGI.

- Truyền dữ liệu ngƣợc lại cho Client.

Tuy nhiên, cách hoạt động của mô hình trên không hoàn toàn tƣơng thích lẫn

nhau. Ví dụ, một Web Server đơn giản phải theo các luật logic sau:

- Chấp nhận kết nối.

- Sinh ra các nội dung tĩnh hoặc động cho Browser.

- Đóng kết nối.

- Chấp nhận kết nối.

- Lập lại quá trình trên ...

Điều này sẽ chạy tốt đối với các Web Sites đơn giản, nhƣng Server sẽ bắt đầu

gặp phải vấn đề khi có nhiều ngƣời truy cập hoặc có quá nhiều trang Web động phải

tốn thời gian để tính toán cho ra kết quả.

Ví dụ: Nếu một chƣơng trình CGI tốn 30 giây để sinh ra nội dung, trong thời

gian này Web Server có thể sẽ không phục vụ các trang khác nữa .

Do vậy, mặc dù mô hình này hoạt động đƣợc, nhƣng nó vẫn cần phải thiết kế

lại để phục vụ đƣợc nhiều ngƣời trong cùng 1 lúc. Web Server có xu hƣớng tận dụng

ƣu điểm của 2 phƣơng pháp khác nhau để giải quyết vấn đề này là: đa tiểu trình (multi-

threading) hoặc đa tiến trình (multi-processing) hoặc các hệ lai giữa multi-processing

và multi-threading.

- Web Client Là những chƣơng trình duyệt Web ở phía ngƣời dùng, nhƣ Internet Explorer, Netscape Communicator.., để hiển thị những thông tin trang Web cho ngƣời dùng. Web Client sẽ gửi yêu cầu đến Web Server. Sau đó, đợi Web Server xử lý trả kết quả về cho Web Client hiển thị cho ngƣời dùng. Tất cả mọi yêu cầu đều đƣợc xử lý bởi Web Server.

- Web động Một trong các nội dung động (thƣờng gọi tắt là Web động) cơ bản là các trang Web đƣợc tạo ra để đáp ứng các dữ liệu nhập vào của ngƣời dùng trực tiếp hay gián

tiếp.

266

Cách cổ điển nhất và đƣợc dùng phổ biến nhất cho việc tạo nội dung động là sử

dụng Common Gateway Interface (CGI). Cụ thể là CGI định nghĩa cách thức Web Server chạy một chƣơng trình cục bộ, sau đó nhận kết quả và trả về cho Web Browser

của ngƣời dùng đã gửi yêu cầu.

Web Browser thực sự không biết nội dung của thông tin là động, bởi vì CGI về

cơ bản là một giao thức mở rộng của Web Server. Hình vẽ sau minh hoạ khi Web Browser yêu cầu một trang Web động phát sinh từ một chƣơng trình CGI.

Hình 3.71: Mô hình Xử lý

Một giao thức mở rộng nữa của HTTP là HTTPS cung cấp cơ chế bảo mật

thông tin “nhạy cảm” khi chuyển chúng xuyên qua mạng

c) Cài đặt IIS 6.0 Web Service

IIS 6.0 có sẵn trên tất cả các phiên của Windows 2003, IIS cung cấp một số đặc

điểm mới giúp tăng tính năng tin cậy, tính năng quản lý, tính năng bảo mật, tính năng

mở rộng và tƣơng thích với hệ thống mới

IIS 6.0 không đƣợc cài đặt mặc định trong Windows 2003 server, để cài đặt IIS

6.0 ta thực hiện các bƣớc nhƣ sau: Chọn Start | Programs | Administrative Tools | Manage Your Server.

Hình 3.72: Manage Your Server Roles

267

Chọn biểu tƣợng Add or remove a role, chọn Next trong hợp thoại Preliminitary

Steps. Chọn Application server (IIS, ASP.NET) trong hộp thoại server role, sau đó chọn Next.

Hình 3.73: Chọn loại Server

Chọn hai mục cài đặt FrontPage Server Extentions và Enable ASP.NET, sau đó

chọn Next, chọn Next trong hộp thoại tiếp theo.

Hình 3.74: Lựa chọn tùy chọn cho Server

Sau đó hệ thống sẽ tìm kiếm I386 source để cài đặt IIS, nếu không tìm đƣợc xuất hiện

yêu cầu chỉ định đƣờng dẫn chứa bộ nguồn I386, sau đó ta chọn Ok

Hình 3.75: Chỉ định I386 source

268

Chọn Finish để hoàn tất quá trình.

Tuy nhiên ta cũng có thể cài đặt IIS 6.0 trong Add or Remove Programs trong

Control Panel bằng cách thực hiện một số bƣớc điển hình sau:

Mở cửa sổ Control Panel | Add or Remove Programs | Add/Remove Windows

Components.

Hình 3.76: Chọn Application Server

Chọn Application Server, sau đó chọn nút Details…

Chọn Internet Information Services, sau đó chọn nút Details…

Hình 3.77: Chọn IIS subcomponents

Chọn mục World Wide Web service, sau đó chọn nút Details…

Hình 3.78: Chọn WWW service

Sau đó ta chọn tất cả các Subcomponents trong Web Service.

269

Hình 3.79: Chọn các thành phần trong WWW service

d) Cấu hình IIS 6.0 Web service

Sau khi ta cài đặt hoàn tất, ta chọn Administrative Tools | Information Service

(IIS) Manager, sau đó chọn tên Server (local computer)

Trong hộp thoại IIS Manager có xuất hiện 3 thƣ mục:

- Application Pools: Chứa các ứng dụng sử dụng worker process xử lý các yêu

cầu của HTTP request.

- Web Sites: Chứa danh sách các Web Site đã đƣợc tạo trên IIS.

- Web Service Extensions: Chứa danh sách các Web Services để cho phép hay

không cho phép Web Server có thể thực thi đƣợc một số ứng dụng Web nhƣ: ASP,

ASP.NET, CGI, WebDAV,…

Hình 3.80: IIS Manager

Trong thƣ mục Web Sites ta có ba Web Site thành viên bao gồm:

- Default Web Site: Web Site mặc định đƣợc hệ thống tạo sẳn. - Microsoft SharePoint Administration: Đây là Web Site đƣợc tạo cho

FrontPage Server Extensions 2002 Server Administration

- Administration: Web Site hỗ trợ một số thao tác quản trị hệ thống qua Web.

Khi ta cấu hình Web Site thì ta không nên sử dụng Default Web Site để tổ chức mà chỉ dựa Web Sitenày để tham khảo một số thuộc tính cần thiết do hệ thống cung

cấp để cấu hình Web Site mới của mình.

270

Một số thuộc tính cơ bản: Trƣớc khi cấu hình Web Site mới trên Web Server

ta cần tham khảo một số thông tin cấu hình do hệ thống gán sẳn cho Default Web Site. Để tham khảo thông tin cấu hình này ta nhấp chuột phải vào Default Web Site chọn

Properties.

Hình 3.81: Thuộc tính Web Site

- Tab Web Site: mô tả một số thông tin chung về dịch vụ Web nhƣ:

- TCP port: chỉ định cổng hoạt động cho dịch vụ Web mặc định giá trị này là 80

- SSL Port: Chỉ định port cho https, mặc định https hoạt động trên port 443.

https cung cấp một số tính năng bảo mật cho ứng dụng Web cao hơn http.

- Connection timeout : Chỉ định thời gian duy trì một http session. - Cho phép sử dụng HTTP Keep-Alives.

- Cho phép ghi nhận nhật ký (Enable logging)

- Performance Tab: cho phép đặt giới hạn băng thông, giới hạn connection cho

Web site.

- Home Directory Tab: Cho phép ta thay đổi Home Directory cho Web Site,

giới hạn quyền truy xuất, đặt một số quyền hạn thực thi script cho ứng dụng Web (nhƣ

ta đặt các thông số: Application name, Execute permission, Application pool)

Hình 3.82: Home Directory Tab

271

Chọn nút Configuration… để có thể cấu hình các extensions về .asp, .aspx, .asa,

… cho Web Application

Hình 3.83: Cấu hình Script cho Web Application Documents Tab: Để thêm hoặc thay đổi trang Web mặc định cho Web Site

Hình 3.84: Chỉ định trang Web mặc định cho Web Site

Directory Security Tab: Đặt một số phƣơng thức bảo mật cho IIS (tham khảo

chi tiết trong mục “bảo mật cho dịch vụ Web”)

Tạo mới một Web site: IIS cung cấp hai phƣơng thức tạo mới Web Site:

- Tạo Web Site thông qua Creation Wizard của IIS manager. - Tạo Web Site thông qua lệnh iisweb.vbs. - Tạo Web Site thông qua “Web Site Creation Wizard” của IIS manager. - Nhấp chuột phải vào thƣ mục Web Sites | New | Web Site | Next. - Ta cung cấp tên Web Site trong hộp thoại Description | Next.

- Chỉ định các thông số về (Tham khảo Hình 3.18): - “Enter the IP address to use for this Web site”: Chỉ định địa chỉ sử dụng cho Web Site, nếu ta chỉ định “All Unassigned” có nghĩa là HTTP đƣợc hoạt động trên tất cả các địa chỉ của Server.

272

- “TCP port this Web site should use”: Chỉ định cổng hoạt động cho dịch vụ.

- “Host Header for this Web site (Default:None)”: Thông số này để nhận diện tên Web Site khi ta muốn tạo nhiều Web Site cùng sử dụng chung một địa chỉ IP thì ta

thƣờng dùng thông số này để mô tả tên các Web Site đó, do đó khi ta chỉ tổ chức một

Web Site tƣơng ứng với 1 địa chỉ IP thì ta có thể không cần sử dụng thông số này.

Hình 3.85: Chỉ định IP Address và Port

Trong hộp thoại “Web Site Home Directory” để chỉ định thƣ mục home của

Web Site (thƣ mục lƣu trữ nội dung của Web Site) và chỉ định Anonymous có đƣợc

quyền truy xuất Web Site hay không

Hình 3.86: Chỉ định Home Directory cho Web

Chỉ định quyền hạn truy xuất cho Web Site (tham khảo Hình 3.20):

- Read: Quyền đƣợc truy xuất nội dung thƣ mục. - Run scripts (such as ASP): Quyền đƣợc thực thi các trang ASP. - Execute (such as ISAPI Application for CGI): Quyền đƣợc thực thi các ứng

dụng ISAPI.

- Write: Quyền ghi và cập nhật dữ liệu của Web Site.

- Browse: Quyền liệt kê nội dung thƣ mục (khi không tìm đƣợc trang chủ mặc

định)

273

Hình 3.87: Thiết lập quyền hạn truy xuất

Chọn Finish để hoàn tất quá trình. Tạo Web Site thông qua lệnh iisweb.vbs

Cú pháp lệnh:

iisweb.vbs /create ”Site Description" /i /b

. Các bƣớc thực hiện:

- Nhấp chuột vào Start | Run | cmd.

- Từ dấu nhắc lệnh (command prompt) nhập vào lệnh: iisweb.vbs /create

c:\inetpub\wwwroot\newdirectory "MyWebSite" /i 123.456.789 /b 80.

Tạo Virtual Directory: Thông thƣờng để ta tạo thƣ mục ảo (Virtual Directory

hay còn gọi là Alias) để ánh xạ một tài nguyên từ đƣờng dẫn thƣ mục vật lý thành

đƣờng dẫn URL, thông qua đó ta có thể truy xuất tài nguyên này qua Web Browser.

Các bƣớc tạo Virtual Directory Nhấp chuột phải vào tên Web Site cần tạo chọn New, chọn Virtual Directory

274

Hình 3.88: Tạo Virtual Directory

Chọn Next, sau đó chỉ định tên Alias cần tạo

Hình 3.89: Chỉ định tên Alias

Chọn Next, sau đó chỉ định thƣ mục cục bộ hoặc đƣờng dẫn mạng cần ánh xạ,

Chỉ định quyền hạn truy xuất cho Alias, cuối cùng ta chọn Finish để hoàn tất quá trình.

Cấu hình bảo mật cho Web Site: IIS cung cấp một số tính năng bảo mật cho

Web Site

Authentication And Access Control: IIS cung cấp 6 phƣơng thức chứng thực,

kết hợp quyền truy cập NTFS để bảo vệ việc truy xuất tài nguyên trong hệ thống.

IP address and domain name restriction: Cung cấp một số tính năng giới hạn

host và network truy xuất vào Web Site.

Secure communication: Cung cấp một số tính năng bảo mật trong giao tiếp giữa

Client và Server bằng cách Server tạo ra các giấy chứng nhận cho Client (Client Certificate) và yêu cầu Client khi truy xuất tài nguyên vào Server thì phải gởi giấy chứng nhận để Server xác nhận yêu cầu có hợp lệ hay không.

275

Hình 3.90: Directory Security Tab

Cấu hình Authentication And Access Control: từ Hình 3.23 ta chọn nút

Edit…chọn các phƣơng thức chứng thực cho phù hợp, mặc định hệ thống không yêu cầu chứng thực và cho mọi ngƣời sử dụng anonymous để truy xuất Web Site:

Hình 3.91: Chọn Phƣơng thức chứng thực

Cấu hình IP address and domain name restriction: Từ hình 3.23 ta chọn nút

Edit…

276

Hình 3.92: Giới hạn truy xuất cho host, network và domain

Cấu hình Secure communication: Từ hình 3.23 nút Server Certificate…để tạo

giấy chứng nhận Client, nút Edit hiệu chỉnh các yêu cầu chứng nhận cho Client

Hình 3.93: Thay đổi thao tác chứng nhận

Cấu hình Web Service Extensions: IIS Web Service Extensions cung cấp rất

nhiều các dịch vụ mở rộng nhƣ: ASP, ASP.NET, Frontpage Server Extensions 2002

WebDAV, Server Side Includes, CGI Extensions, ISAPI Extensions. Thông qua IIS Web Service Extensions ta có thể cho phép hoặc cấm Web Site hỗ trợ các dịch vụ

tƣơng ứng

Hình 3.94: Cấu hình Web service extensions

Cấu hình Web Hosting: IIS cho phép ta tạo nhiều Web Site trên một Web

Server, kỹ thuật này còn gọi là Web Hosting. Để nhận diện đƣợc từng Web Site Server phải dựa vào các thông số nhƣ host header name, địa chỉ IP và số hiệu cổng Port. Tạo nhiều Web Site dựa vào Host Header Names

Đây là phƣơng thức tạo nhiều Web Site dựa vào tên host , có nghĩa rằng ta chỉ

cần một địa chỉ IP để đại diện cho tất cả các host name. Dùng DNS để tạo tên (hostname) cho Web Site.

Nhấp chuột phải vào thƣ mục Web Sites trong IIS Manager chọn New, chọn

Web Site, tiếp theo chọn Next, mô tả tên (Descriptions) chọn Web Site.

277

Cung cấp host name (Ví dụ ta nhập tên: www.csc.hcmuns.edu.vn) cho Web Site

cần tạo trong Textbox Host Header Name của hộp thoại “IP Address And Port Settings”

Hình 3.95: Tạo Host Header Name

Sau đó ta thực hiện các thao tác chọn Home Directory, đặt quyền hạn cho Web

Site…Cuối cùng chọn Finish để hoàn tất quá trình.

Tạo nhiều Web Site dựa vào địa chỉ IP

Đối với phƣơng thức này tƣơng ứng một tên Web Site ta phải cung cấp một địa

chỉ IP. Do đó nếu nhƣ ta tạo n Web Site thì ta phải tạo n địa chỉ

Thêm một hoặc nhiều địa chỉ IP cho card mạng.

Dùng DNS tạo một hostname tƣơng ứng với IP mới vừa tạo.

Nhấp chuột phải vào thƣ mục Web Sites trong IIS Manager chọn New, chọn

Web Site, tiếp theo chọn Next, mô tả tên (Descriptions) chọn Web Site.

Chọn một địa chỉ IP cụ thể cho Web Site cần tạo trong tùy chọn “Enter the IP

address to use for this Web site” của hộp thoại “IP Address And Port Settings”

Hình 3.96: Chọn địa chỉ IP cho Web site

278

Sau đó ta thực hiện các thao tác chọn Home Directory, đặt quyền hạn cho Web

Site…Cuối cùng chọn Finish để hoàn tất quá trình.

Tạo nhiều Web Site dựa vào Port: Mặc định HTTP port hoạt động trên port

80 và HTTPS hoạt động trên port 443, thay vì mọi Web Site điều hoạt động trên cổng

80 hoặc 443 thì ta sẽ đổi Web Site hoạt động trên cổng (port) khác vì thế ta chỉ cần

dùng một địa chỉ IP để cung cấp cho tất cả các Web Site.

Dùng DNS tạo một hostname tƣơng ứng cho từng Web Site ánh xạ về cùng một

địa chỉ IP.

Nhấp chuột phải vào thƣ mục Web Sites trong IIS Manager chọn New, chọn

Web Site, tiếp theo chọn Next, mô tả tên (Descriptions) chọn Web Site.

Ta chỉ định thông số Port (ví dụ: 8080) trong Textbox có tên “TCP port for this

Web site should use” của hộp thoại “IP Address And Port Settings”

Hình 3.97: Chọn địa chỉ IP cho Web Site

Sau đó ta thực hiện các thao tác chọn Home Directory, đặt quyền hạn cho Web

Site…Cuối cùng chọn Finish để hoàn tất quá trình.

2) Dịch vụ WWW a) Giao thức FTP

FTP là từ viết tắt của File Transfer Protocol. Giao thức này đƣợc xây dựng dựa trên chuẩn TCP, FTP cung cấp cơ chế truyền tin dƣới dạng tập tin (file) thông qua mạng TCP/IP, FTP là 1 dịch vụ đặc biệt vì nó dùng đến 2 cổng: cổng 20 dùng để truyền dữ liệu (data port) và cổng 21 dùng để truyền lệnh (command port).

Active FTP: Ở chế độ chủ động (active), máy khách FTP (FTP client) dùng 1

cổng ngẫu nhiên không dành riêng (cổng N > 1024) kết nối vào cổng 21 của FTP Server. Sau đó, máy khách lắng nghe trên cổng N+1 và gửi lệnh PORT N+1 đến FTP

Server. Tiếp theo, từ cổng dữ liệu của mình, FTP Server sẽ kết nối ngƣợc lại vào cổng

dữ liệu của Client đã khai báo trƣớc đó (tức là N+1)

279

Ở khía cạnh firewall, để FTP Server hỗ trợ chế độ Active các kênh truyền sau

phải mở:

- Cổng 21 phải đƣợc mở cho bất cứ nguồn gửi nào (để Client khởi tạo kết nối)

- FTP Server's port 21 to ports > 1024 (Server trả lời về cổng điều khiển của

Client)

- Cho kết nối từ cổng 20 của FTP Server đến các cổng > 1024 (Server khởi tạo

kết nối vào cổng dữ liệu của Client)

- Nhận kết nối hƣớng đến cổng 20 của FTP Server từ các cổng > 1024 (Client

gửi xác nhận ACKs đến cổng data của Server)

Sơ đồ kết nối:

Hình 3.98: Mô hình hoạt động của Active FTP

Bƣớc 1: Client khởi tạo kết nối vào cổng 21 của Server và gửi lệnh PORT 1027.

Bƣớc 2: Server gửi xác nhận ACK về cổng lệnh của Client.

Bƣớc 3: Server khởi tạo kết nối từ cổng 20 của mình đến cổng dữ liệu mà

Client đã khai báo trƣớc đó.

Bƣớc 4: Client gửi ACK phản hồi cho Server.

Khi FTP Server hoạt động ở chế độ chủ động, Client không tạo kết nối thật sự

vào cổng dữ liệu của FTP server, mà chỉ đơn giản là thông báo cho Server biết rằng nó

đang lắng nghe trên cổng nào và Server phải kết nối ngƣợc về Client vào cổng đó.

Trên quan điểm firewall đối với máy Client điều này giống nhƣ 1 hệ thống bên ngoài

khởi tạo kết nối vào hệ thống bên trong và điều này thƣờng bị ngăn chặn trên hầu hết các hệ thống Firewall.

Ví dụ phiên làm việc active FTP: Trong ví dụ này phiên làm việc FTP khởi tạo từ máy testbox1.slacksite.com (192.168.150.80), dùng chƣơng trình FTP Client dạng dòng lệnh, đến máy chủ FTP testbox2.slacksite.com (192.168.150.90). Các dòng có dấu --> chỉ ra các lệnh FTP gửi

đến Server và thông tin phản hồi từ các lệnh này. Các thông tin ngƣời dùng nhập vào dƣới dạng chữ đậm.

Lƣu ý là khi lệnh PORT đƣợc phát ra trên Client đƣợc thể hiện ở 6 byte. 4 byte đầu là địa chỉ IP của máy Client còn 2 byte sau là số cổng. Giá trị cổng đuợc tính bằng (byte_5*256) + byte_6, ví dụ ( (14*256) + 178) là 3762.

280

Hình 3.99: Phiên làm việc active FTP

Passive FTP: Để giải quyết vấn đề là Server phải tạo kết nối đến Client, một

phƣơng thức kết nối FTP khác đã đƣợc phát triển. Phƣơng thức này gọi là FTP thụ động (passive) hoặc PASV (là lệnh mà Client gửi cho Server để báo cho biết là nó

đang ở chế độ passive).

Ở chế độ thụ động, FTP Client tạo kết nối đến Server, tránh vấn đề Firewall lọc

kết nối đến cổng của máy bên trong từ Server. Khi kết nối FTP đƣợc mở, client sẽ mở

2 cổng không dành riêng N, N+1 (N > 1024). Cổng thứ nhất dùng để liên lạc với cổng

21 của Server, nhƣng thay vì gửi lệnh PORT và sau đó là server kết nối ngƣợc về

Client, thì lệnh PASV đƣợc phát ra. Kết quả là Server sẽ mở 1 cổng không dành riêng

bất kỳ P (P > 1024) và gửi lệnh PORT P ngƣợc về cho Client.. Sau đó client sẽ khởi

tạo kết nối từ cổng N+1 vào cổng P trên Server để truyền dữ liệu.

Từ quan điểm Firewall trên Server FTP, để hỗ trợ FTP chế độ passive, các kênh

truyền sau phải đƣợc mở:

- Cổng FTP 21 của Server nhận kết nối từ bất nguồn nào (cho Client khởi tạo

kết nối)

- Cho phép trả lời từ cổng 21 FTP Server đến cổng bất kỳ trên 1024 (Server trả

lời cho cổng control của Client)

- Nhận kết nối trên cổng FTP server > 1024 từ bất cứ nguồn nào (Client tạo kết

nối để truyền dữ liệu đến cổng ngẫu nhiên mà Server đã chỉ ra)

- Cho phép trả lời từ cổng FTP Server > 1024 đến các cổng > 1024 (Server gửi

xác nhận ACKs đến cổng dữ liệu của Client)

Hình 3.100: Mô hình hoạt động của Active FTP

281

Bƣớc 1: Client kết nối vào cổng lệnh của Server và phát lệnh PASV.

Bƣớc 2: Server trả lời bằng lệnh PORT 2024, cho Client biết cổng 2024 đang

mở để nhận kết nối dữ liệu.

Buớc 3: Client tạo kết nối truyền dữ liệu từ cổng dữ liệu của nó đến cổng dữ

liệu 2024 của Server.

Bƣớc 4: Server trả lời bằng xác nhận ACK về cho cổng dữ liệu của Client. Trong khi FTP ở chế độ thụ động giải quyết đƣợc vấn đề phía Client thì nó lại

gây ra nhiều vấn đề khác ở phía Server. Thứ nhất là cho phép máy ở xa kết nối vào

cổng bất kỳ > 1024 của Server. Điều này khá nguy hiểm trừ khi FTP cho phép mô tả

dãy các cổng >= 1024 mà FTP Server sẽ dùng (ví dụ WU-FTP Daemon).

Vấn đề thứ hai là một số FTP Client lại không hổ trợ chế độ thụ động. Ví dụ

tiện ích FTP Client mà Solaris cung cấp không hổ trợ FTP thụ động. Khi đó cần phải

có thêm trình FTP Client. Một lƣu ý là hầu hết các trình duyệt Web chỉ hổ trợ FTP thụ

động khi truy cập FTP Server theo đƣờng dẫn URL ftp://.

Ví dụ phiên làm việc passive FTP: Trong ví dụ này phiên làm việc FTP khởi

tạo từ máy testbox1.slacksite.com (192.168.150.80), dùng chƣơng trình FTP Client

dạng dòng lệnh, đến máy chủ FTP testbox2.slacksite.com (192.168.150.90), máy chủ

Linux chạy ProFTPd 1.2.2RC2. Các dòng có dấu --> chỉ ra các lệnh FTP gửi đến

Server và thông tin phản hồi từ các lệnh này. Các thông tin ngƣời nhập vào dƣới dạng chữ đậm.

Lƣu ý: đối với FTP thụ động, cổng mà lệnh PORT mô tả chính là cổng sẽ đƣợc

mở trên Server. Còn đối với FTP chủ động cổng này sẽ đƣợc mở ở Client.

Hình 3.101: Phiên giao dịch Passive FTP

282

Một số lƣu ý khi truyền dữ liệu qua FTP: IIS hỗ trợ cả hai chế độ kết nối

Active và Passive, do đó việc kết nối theo phƣơng thức Active hay passive tùy thuộc vào từng Client. IIS không hỗ trợ cơ chế vô hiệu hóa (disable) chế độ kết nối

Active hay Passive.

Khi ta sử dụng dịch vụ FTP để truyền dữ liệu trên mạng Internet thông qua một

hệ thống bảo mật nhƣ Proxy, Firewall, NAT, thông thƣờng các hệ thống bảo mật này chỉ cho phép kết nối TCP theo cổng dịch vụ 21 do đó user gặp vấn đề trong việc sử

dụng các lệnh DIR, LS, GET, or PUT để truyền dữ liệu vì các lệnh này đòi hỏi hệ

thống bảo mật phải cho phép sử dụng cổng TCP 20. Cho nên khi sử dụng FTP để

truyền tin trên mạng Internet thông qua mạng các hệ thống bảo mật (Proxy, Firewall, NAT) thì những hệ thống này phải mở TCP port 20 của FTP.

Danh sách các ứng dụng Microsoft cung cấp làm FTP Client

Cô lập ngƣời dùng truy xuất FTP Server (FTP User Isolation): FTP User

Isolation đặc tính mới trên Windows 2003, hỗ trợ cho ISP và Aplication Service

Provider cung cấp cho ngƣời dùng upload và cập nhật nội dung Web, chứng thực cho

từng ngƣời dùng. FTP user Isolation cấp mỗi ngƣời dùng một thƣ mục riêng rẻ, ngƣời

dùng chỉ có khả năng xem, thay đổi, xóa nội dung trong thƣ mục của mình.

Isolation Mode Chức năng

Do not isolate users Đây là chế độ không sử dụng FTP User Isolation, ở mode

này không giới hạn truy xuất của ngƣời dùng. Thông

thƣờng ta sử dụng mode này để tạo một public FTP Site.

Isolate users

Mode này chứng thực ngƣời dùng cục bộ (Local User) và ngƣời dùng miền (Domain User) truy xuất vào FTP Site. Đối với mode ngƣời quản trị phải tạo cho mỗi ngƣời dùng một thƣ mục con của thƣ mục FTP Root, với tên thƣ mục

này là username của ngƣời dùng.

Isolate users using Active Directory Sử dụng Active Directory để tách lập từng user truy xuất vào FTP Server.

283

b) Chƣơng trình FTP client Là chƣơng trình giao tiếp với FTP Server, hầu hết các hệ điều hành đều hỗ trợ FTP Client, trên Linux hoặc Windows để mở kết nối tới FTP Server ta dùng lệnh #ftp

Để thiết lập một phiên giao dịch, ta cần phải có địa chỉ IP (hoặc tên máy tính),

một tài khoản (username, password). Username mà FTP hỗ trợ sẵn cho ngƣời dùng để mở một giao dịch FTP có tên là anonymous với password rỗng.

Ta có thể sử dụng chƣơng trình Internet Explorer để kết nối với FTP Server

theo cú pháp sau:

Hình 3.102: Sử dụng IE làm FTP Client

Dùng Windows commander làm FTP Client để kết nối vào FTP Server, để

thực hiện điều này ta mở chƣơng trình Windows Commander | Command | FTP

Connect…

c) FTP Server Là máy chủ lƣu trữ tập trung dữ liệu, cung cấp dịch vụ FTP để hỗ trợ cho

ngƣời dùng có thể cung cấp, truy xuất tài nguyên qua mạng TCP/IP. FTP là một trong

các dịch vụ truyền file rất thông dụng, ngƣời dùng có thể upload và download thông

tin một cách dễ dàng hơn.

Cài đặt dịch vụ FTP: Cài đặt dịch vụ FTP trên Windows 2003 ta thực hiện các

bƣớc sau:

Chọn Start | Control Panel. Bấm đôi vào Add or Remove Programs.

Từ ô vuông bên trái (panel) của cửa sổ “Add or Remove Programs” chọn

Add/Remove Windows Components.

Từ danh sách Components, chọn Application Server và chọn nút Details.

284

Từ danh sách các Application Server chọn Internet Information Services và

chọn nút Details.

Chọn mục File Transfer Protocol (FTP) Service.

Hình 3.103: Cài đặt FTP Service

Bấm nút OK. Click vào nút Next để hệ thống cài đặt dịch vụ FTP (đôi khi hệ thống yêu cầu

chỉ bộ nguồn I386 hoặc đƣờng dẫn có chứa thƣ mục này để hệ thống chép một số file

cần thiết khi cài đặt).

Bấm vào nút Finish để hoàn tất quá trình cài đặt.

Cấu hình dịch vụ FTP: Sau khi cài đặt hoàn tất dịch vụ FTP, để quản lý dịch

vụ này ta chọn Start | Programs | Administrative Tools | Internet Information

Services(IIS) Manager | Computer name | FTP sites

Hình 3.104 : IIS Manager

Mặc định khi cài xong dịch vụ FTP, hệ thống tự tạo một FTP site có tên Default

FTP Site với một số thông tin sau:

FTP name: Default FTP Site. TCP Port: 21

Connection Limited to: Giới hạn tối đa 100.000 kết nối.

Enable logging: để cho phép ghi nhận log vào file \systemRoot

\system32\LogFiles

285

Cho phép Anonymous và ngƣời dùng cục bộ đƣợc đăng nhập vào FTP Server.

Thƣ mục gốc của FTP server là <ổ đĩa>\Inetpub\ftproot. Quyền hạn truy xuất (cho Anonymous và user cục bộ) là read và log visits.

Cho phép tất cả các máy tính đƣợc phép truy xuất vào FTP Server.

Do đó khi ta cài đặt xong ta có thể sử dụng dịch vụ FTP ngay mà không cần cấu

hình, tuy nhiên chỉ sử dụng đƣợc một số chức năng cơ bản mà hệ thống cấu hình ban đầu. Điều tốt nhất là ta xóa đi rồi tạo FTP Site mới để cấu hình lại từ đầu.

Tạo mới FTP site: Để tạo mới một FTP site ta thực hiện các bƣớc sau:

- Trong IIS Manager ta bấm chuột phải vào vào thƣ mục FTP Sites | New | FTP

Site…| Next.

Mô tả tên FTP site trong hộp thoại “FTP Site Desciption” | Next.

Chỉ định IP Address và Port sử dụng cho FTP Site, trong phần này ta để mặc

định, tiếp theo chọn Next.

Trong hộp thoại “FTP User Isolation”, chọn tùy chọn Do not isolate users để

cho phép mọi ngƣời dùng đƣợc sử dụng FTP server, chọn Next, ta cần tham khảo một

số mục chọn sau

Do not isolate users: Không giới hạn truy xuất tài nguyên cho từng ngƣời dùng.

Isolate users: Giới hạn truy xuất tài nguyên FTP cho từng ngƣời dùng (tham

khảo trong cấu hình FTP User Isolation).

Isolate users using Active Directory: Dùng AD để giới hạn việc sử dụng tài

nguyên cho từng ngƣời (tham khảo trong mục cấu hình FTP User Isolation).

Hình 3.105: FTP User Isolation

Chọn đƣờng dẫn chỉ định Home Directory cho FTP Site, chọn Next.

Chọn quyền hạn truy xuất cho FTP site, mặc định hệ thống chọn quyền Read,

chọn Next.

Chọn Finish để hoàn tất quá trình tạo FTP Site.

286

Theo dõi các user login vào FTP Server: Để theo dõi các user đăng nhập vào

FTP Server ta bấm chuột phải vào FTP site | Properties | General | Current sessions…

Connected Users: để chỉ định tên ngƣời dùng đang login vào FTP Server

(IEUser@ là Anonymous user).

From: Chỉ địa chỉ máy trạm đăng nhập vào FTP Server.

Time: Thời gian đăng nhập. Nút Disconect : Để hủy kết nối của user đang login.

Nút Disconect All: Để hủy tất cả các kết nối của user đang login.

Hình 3.106: Theo dõi user session

Điều khiển truy xuất đến FTP Site: Ta có 4 cách điều khiển việc truy xuất

đến FTP Site trên IIS nhƣ sau:

NTFS Permissions: áp đặt quyền NTFS vào các thƣ mục liên quan đến FTP

Site.

IIS Permissions: Gán quyền FTP cho thƣ mục, thông thƣờng chỉ có quyền Read

và Write. Để gán quyền này ta chọn properties của FTP Site | Tab Home Directory

Hình 3.107: Điều khiển truy xuất đến FTP Site

287

IP address restrictions: Giới hạn việc truy xuất vào FTP theo địa chỉ IP. Để gán

quyền này ta chọn properties của FTP Site | Tab Home Directory

Nếu ta chọn Granted access: FTP Server cho phép tất các host khác truy xuất,

trừ các host đƣợc mô tả trong hộp thoại.

Nếu ta chọn Denied access: FTP Server chỉ cho phép các host trong hộp thoại

đƣợc truy xuất.

Hình 3.108: Giới hạn truy xuất FTP cho host

Authentication: Tab Security Account để cho chứng thực ngƣời dùng

Anonymous và ngƣời dùng cục bộ đƣợc phép hay không đƣợc phép truy xuất vào FTP

Server.

Mặc định Anonymous đƣợc login vào FTP Server. Ta chọn mục này khi ta

muốn public FTP cho mọi ngƣời khác đƣợc sử dụng.

Nếu ta chọn mục “Allow only anonymous connections” có nghĩa ta chỉ cho

phép Anonymous truy xuất vào FTP Server.

Thông thƣờng để tổ chức một FTP Server riêng biệt và ta không muốn public

FTP cho mọi ngƣời sử dụng thì ta bỏ tùy chọn Allow anonymous connections”, lúc

này FTP Server chỉ cho phép các ngƣời dùng cục bộ truy xuất.

288

Hình 3.109: Cấp truy xuất cho Account

Tạo Virtual Directory: FTP server cung cấp tính năng virtual directory để cho

phép tạo một thƣ mục ảo bên trong FTP Site ánh xạ vào bất kỳ một thƣ mục nào đó

trên ổ đĩa cục bộ hoặc ánh xạ vào một tài nguyên chia sẻ trên mạng. sao khi ánh xạ

xong ta có thể truy xuất tài nguyên theo địa chỉ

“ftp://<địa_chỉ_của_FTP_server>/”

Các bƣớc tạo thƣ mục ảo (virtual directory)

Bấm chuột phải vào FTP Site chọn New | Virtual Directory…| Next.

Enter vào tên virtual directory trong ô Alias

Hình 3.110: Tạo tên Alias

Chỉ định tên thƣ mục trong ổ đĩa.

289

Hình 3.111: Chỉ định thƣ mục

Chỉ định quyền hạn truy xuất vào thƣ mục

Hình 3.112: Đặt quyền truy xuất vào Virtual Directory

Chọn Finish để hoàn tất quá trình

Truy xuất Virtual directory

Hình 3.113: Truy xuất Virtual Directory

290

Tạo nhiều FTP Site: Ta có thể tạo nhiều FTP Site trên một FTP Server bằng

cách sử dụng nhiều địa chỉ IP và nhiều FTP port. Các bƣớc thực hiện:

Bấm đôi vào tên máy tính cục bộ trong IIS manager, sau đó bấm chuột phải

Trong hộp thoại “IP Address and Port Settings” ta chọn địa chỉ IP cụ thể từ hộp

thoại “Enter IP address to use for this FTP site” chọn Next.

Hình 3.114: Chọn IP address và Port

Chọn “do not isolate user” trong hộp thoại “FTP User Isolation”, chọn Next.

Chọn đƣờng dẫn thƣ mục gốc của FTP, chọn Next.

Chọn quyền truy xuất, sau đó chọn Next | Finish để hoàn tất.

Truy xuất FTP site

Hình 3.115: Truy xuất ftp

Cấu hình FTP User Isolate:

Tạo FTP Site dùng User Isolate:

Trong IIS Manager, Bấm chuột phải vào FTP Sites folder | New | FTP Site.

291

Cung cấp các thông tin về “FTP Site Description” và “IP Address and Port

Settings”, chọn Next.

Chọn Isolate users, chọn Next

Hình 3.116: Tạo FTP sử dụng Isolate Users

Sau đó ta chỉ định thƣ mục gốc của FTP, quyền hạn truy xuất thƣ mục, sau cùng

chọn Finish để hoàn tất quá trình.

Nếu ta cho phép User Anonymous truy xuất vào FTP Site này thì trong thƣ mục

gốc của FTP Site ta tạo một thƣ mục con có tên LocalUser (hoặc tên miền (tên

domain) trong trƣờng hợp máy chủ là domain controller), sau đó tạo LocalUser\Public

(hoặc domain_name\Public) để anonymous truy xuất vào thƣ mục này.

Nếu cho phép mỗi ngƣời dùng cục bộ truy xuất vào FTP thì ta tạo thƣ mục con

của thƣ mục FTP Root với tên LocalUser và LocalUser\username.

Nếu cho phép mỗi ngƣời dùng trong domain truy xuất vào FTP thì ta tạo thƣ

mục con của thƣ mục FTP Root với tên và thƣ mục con

\username.

Tạo FTP Site dùng Isolate User với Active Directory:

Khi cấu hình FTP Server để cô lập các ngƣời dùng (isolate users) với Active

Directory, khi tạo cần hiệu chỉnh hai thông số:

FTPRoot: Chỉ định thông số UNC (Universal Naming Convention) của máy chủ chia sẻ tài nguyên (ví dụ \\servername\sharename), tuy nhiên ta cũng có thể chỉ định FTP root trên ổ đĩa cục bộ.

FTPDir: Chỉ định đƣờng dẫn thƣ mục cho từng user trong Active Directory.

Cú pháp lệnh nhƣ sau:

Định FTP Root: iisftp.vbs /SetADProp

FTPRoot

Định FTP Dir: iisftp.vbs /SetADProp

FTPDir

292

Sau đây là các bƣớc tạo FTP User Isolate với Active Directory:

Bấm chuột phải vào FTP Sites folder | New | FTP Site. Cung cấp các thông tin về FTP Site Description, chọn cụ thể địa chỉ IP trong

hộp thoại “IP Address and Port Settings”, chọn Next.

Trong hộp thoại “FTP User Isolation”, ta chọn “Isolate users using Active

Directory”, chọn Next.

Cung cấp thông tin về username, password, domain name, sau đó chọn Next để

xác nhập lại mật khẩu của ngƣời dùng

Hình 3.117: FTP User Isolation

Sau đó cấp quyền truy xuất cho user, sau cùng ta chọn Finish

Theo dõi và cấu hình nhật ký cho FTP: Mặc định FTP lƣu lại một số sự kiện

nhƣ: Địa chỉ của FTP Client truy xuất vào FTP Server, thời gian truy xuất của máy

trạm, trạng thái hoạt động của dịch vụ,… để hỗ trợ cho ngƣời quản trị có thể theo dõi quản lý hệ thống hiệu quả hơn.

Tất cả các sự kiện này lƣu trữ trong các file trong thƣ mục %systemroot%\

system32\LogFiles\MSFTPSVnnnnnnnn, trong đó nnnnnnnn là số ID của FTP Site.

Để hiệu chỉ lại thông tin ghi nhận nhật ký (logging) của dịch vụ ta chọn

properties của FTP Site | Tab FTP Site | Properties

New log schedule: Chỉ định ghi nhận theo lịch biểu, kích thƣớc tập tin. Log file directory: Chỉ định thƣ lƣu trữ log file.

293

Hình 3.118: Thay đổi nhật ký

Tab Advanced để cho phép ta có thể chọn một số tùy chọn theo dõi khác nhƣ:

Username, service name, server name, server IP…

Hình 3.119: Tùy chọn logging

Để xem thông tin nhật ký trên ta mở các tập tin trong thƣ mục %systemroot%\

system32\LogFiles\MSFTPSVCnnnnnnnn, ví dụ ta xem tập tin nhật ký ex050531.log

Hình 3.120: Xem tập tin nhật ký

294

Lƣu trữ và phục hồi thông tin cấu hình: Sau khi cấu hình hoàn tất các thông

tin cần thiết cho FTP Site ta có thể lƣu trữ thông tin cấu hình này dƣới dạng tập tin *.xml, sau đó ta có thể tạo mới hoặc phục hồi lại cấu hình cũ từ tập tin *.xml này.

Lƣu trữ thông tin cấu hình vào tập tin *xml ta bấm chuột phải vào FTP Site cần

lƣu thông tin cấu hình, chọn All Task | Save Configuration to a File…

Hình 3.121: Lƣu trữ thông tin cấu hình

Chỉ định tên tập tin và thƣ mục lƣu trữ thông tin cho FTP server.

Encrypt configuration using password: Sử dụng mật khẩu để mã hóa thông tin

cấu hình (mặc định tùy chọn này không đƣợc chọn).

Hình 3.122: Chỉ định tên tập tin cấu hình

Phục hồi thông tin hoặc tạo mới FTP site từ tập tin cấu hình *.xml.

Hình 3.123: Phục hồi thông tin hoặc tạo mới FTP site Sau đó chọn nút Browse… để chọn tập tin cấu hình và chọn nút Read File, sau

đó chọn tên mô tả trong hộp thoại Location, chọn OK

295

Hình 3.124: Import file cấu hình

Sau đó chọn OK để đồng ý import file theo cách tạo mới site hay thay thế site

hiện tại đã tồn tại.

3.2.5. Dịch vụ truy nhập từ xa

1) Mô hình Remote Access Server Giả sử cần xây dựng một hệ thống mạng cho phép các ngƣời dùng di động

(mobile user) hoặc các văn phòng chi nhánh ở xa kết nối về. Để đáp ứng đƣợc nhu cầu trên phải thiết lập một Remote Access Server (RAS). Khi máy tính Client kết nối

thành công vào RAS, máy tính này có thể truy xuất đến toàn bộ hệ thống mạng phía

sau RAS, nếu đƣợc cho phép, và thực hiện các thao tác nhƣ thể máy đó đang kết nối

trực tiếp vào hệ thống mạng.

Hình 3.125: Mô hình Remote Access Server

a) Cấu hình RAS server Các bƣớc xây dựng một RAS Server dùng các kết nối quay số. Đầu tiên, phải

đảm bảo đã cài driver cho các modem định dùng để nhận các cuộc gọi vào. Để kiểm

tra, vào Start | Settings | Control Panel | Phone and Modem Options, trong hộp thoại

296

Phone and Modem Options, chọn Modem cần kiểm tra và nhấp chuột vào nút Properties.

Tại hộp thoại Properties, chọn Tab Diagnostics và nhấp chuột vào nút Query Modem để hệ thống kiểm tra Modem hiện tại, nếu có lỗi thì hệ thống sẽ thông báo.

Hình 3.126: Tab Diagotics kiểm tra modem

Tiếp theo cần kích hoạt dịch vụ Routing and Remote Access trên Windows

Server 2003. Vào Start | Programs | Administrative Tools | Routing and Remote

Access, hộp thoại mở ra nhấp phải chuột lên biểu tƣợng server, chọn Configure and

Enable Routing and Remote Access. Chƣơng trình sẽ xuất hiện hộp thoại Welcome to

the Routing and Remote Access Server Setup Wizard. Nhấn Next để tiếp tục.

Trong hộp thoại tiếp theo, Configuration, chọn Custom configuration và chọn

Next.

Hình 3.127: Welcome to the Routing and Remote Access Server Setup Wizard

297

Tiếp theo hộp thoại Custom Configuration xuất hiện, chọn mục Dial-up access.

Sau đó nhấp chuột vào nút Next để tiếp tục. Hộp thoại Completing the Routing and Remote Access Server Setup Wizard xuất hiện, chọn Finish để kết thúc.

Hình 3.128: Hộp thoại Custom Configuration

Một hộp thoại cảnh báo xuất hiện, yêu cầu cho biết có khởi động dịch vụ này

lên hay không? chọn Yes để khởi động dịch vụ.

Hình 3.129: Khởi động dịch vụ RAS

Trong cửa sổ chính của chƣơng trình, cấu hình cho phép hệ thống dùng modem để nhận các cuộc gọi. Nhấp phải chuột lên mục Ports, chọn Properties. Hộp thoại Ports Properties xuất hiện. Trong hộp thoại này, chọn một thiết bị Modem và nhấn Configure để cấu hình.

298

Hình 3.130: Hộp thoại Ports Properties

Xuất hiện hộp thoại Configure Device. Trong hộp thoại này, chọn vào mục

Remote access connections (inbound only), chỉ chấp nhận các cuộc gọi hƣớng vào.

Sau đó nhấn nút OK.

Hình 3.131: Hộp thoại Configure Device

Sau khi đã thực hiện xong, nhấn nút OK để đóng hộp thoại Ports Properties lại.

Tiếp theo, sẽ cấu hình để Server thực hiện chức năng RAS. Nhấn phải chuột lên

biểu tƣợng Server và chọn Properties.

Hình 3.132: Cấu hình để Server thực hiện chức năng RAS

Hộp thoại Server Properties xuất hiện. Trong Tab General chọn các mục

Router, LAN and dial- demand routing và mục Remote access server.

299

Hình 3.133: Hộp thoại Server Properties

Tiếp theo, chọn Tab IP. Tab này chỉ xuất hiện khi hệ thống mạng có sử dụng bộ

giao thức TCP/IP. Phần IP address assignment chỉ định cách cấp phát địa chỉ IP cho

các RAS Client khi quay số vào. Nếu hệ thống mạng đã thiết lập một DHCP Server thì

có thể nhờ DHCP Server này cấp phát địa chỉ cho các RAS Client. Nếu không có, phải

chỉ định danh sách các địa chỉ sẽ cấp phát (chọn mục Static address pool).

Hình 3.134: cấp phát địa chỉ IP cho các RAS Client

Để bổ sung danh sách địa chỉ, chọn mục Static address pool và nhấn Add. Xuất

hiện hộp thoại New Address Range. Trong hộp thoại này, nhập vào địa chỉ bắt đầu và

địa chỉ kết thúc của danh sách. Các địa chỉ này nên lấy từ đƣờng mạng của RAS

300

Server. Nếu sử dụng đƣờng mạng khác, phải đặt các đƣờng đi tĩnh cho từng đƣờng

mạng mới đó. Sau đó nhấn OK để đồng ý tạo.

Hình 3.135: Bổ sung danh sách địa chỉ IP

Các Tab khác chúng ta để mặc định, sau khi đã cấu hình xong, nhấn OK để

đóng hộp thoại Server Properties lại.

Bƣớc tiếp theo là cấu hình các tài khoản dùng để quay số, tạo trong local

security database nếu RAS Server nằm trong workgroup hoặc tạo trên Active Directory database nếu là thành viên của một domain, nhấp phải chuột lên tài khoản

định cấu hình và chọn Properties.

Hộp thoại User Properties xuất hiện, chọn Tab Dial-in và chọn mục Allow

Access để cho phép ngƣời dùng này đƣợc phép truy cập từ xa thông qua quay số.

Ngoài ra trong hộp thoại này cũng cho phép chọn chế độ quay số, nếu chọn mặc định

(No Callback) thì phía máy trạm sẽ trả phí điện thoại, nhƣng nếu chọn chế độ Callback

thì phía Server sẽ trả chi phí điện thoại trong quá trình quay số để truyền dữ liệu. Sau

đó nhấn OK để đóng hộp thoại lại.

Hình 3.136: Cấu hình các tài khoản dùng để quay số

Nhƣ vậy đã cấu hình xong một RAS Server. Ngƣời dùng có thể bắt đầu dùng tài

khoản đã cấp thực hiện kết nối từ xa qua đƣờng quay số, truy xuất vào hệ thống mạng

ở cơ quan.

301

b) Cấu hình RAS client Tạo một network connection trên máy trạm để quay số đến một RAS Server. Máy trạm có thể sử dụng hệ điều hành Win98, WinME, Win2000, WinXP… Để kết

nối đến một RAS Server, cần tối thiểu ba thông tin nhƣ: số điện thoại của RAS Server,

username và passwork do RAS Server cấp. Trong ví dụ này chúng ta dùng máy

Windows Server 2003 Stand-alone để minh họa, các bƣớc thực hiện nhƣ sau: Mở menu Start | Settings | Network and Dial-up Connections. Trong cửa sổ

Network and Dial- up Connections, nhấp đôi chuột vào Make New Connection. Xuất

hiện hộp thoại Welcome to the Network Connection Wizard, nhấn Next để tiếp tục.

Trong hộp thoại Network Connection Type, chọn mục Connect to the network at my workplace vì ở đây chúng ta kết nối với RAS Server nội bộ của công ty, không

kết nối Internet. Sau đó nhấn nút Next để tiếp tục.

Hình 3.137: Hộp thoại Network Connection Type

Tiếp theo chọn loại kết nối là Dial-up hay VPN, ở đây chúng ta chọn kết nối

kiểu quay số dùng Modem.

Hình 3.138: Hộp thoại Network Connection

Theo hƣớng dẫn của chƣơng trình, nhập tên của kết nối này, số điện thoại cần gọi đến của RAS Server, kết nối này chỉ dùng cho ngƣời dùng hiện tại hay cho mọi

ngƣời.

302

Cuối cùng, hộp thoại Completing the Network Connection Wizard xuất hiện

nhấn nút Finish để hoàn thành quá trình tạo kết nối. Khi muốn thiết lập kết nối, kích hoạt biểu tƣợng của Connection mới tạo, hộp

thoại Connect xuất hiện, nhập vào username và password đã đƣợc tạo ra trên RAS

Server, kiểm tra lại số điện thoại của RAS Server và nhấn nút Dial.

Hình 3.139 : Hộp thoại Connect RAS Connection

c) Kết nối RAS server với Inernet Một hệ thống mạng nhỏ, sử dụng giao thức TCP/IP và thiết lập kết nối Internet

cho hệ thống mạng. Thông thƣờng, các hệ thống mạng nhƣ vậy sử dụng địa chỉ riêng

(private address). Để các máy tính bên trong mạng có thể truy xuất ra mạng Internet

cần phải có một máy tính đóng vai trò nhƣ một Router hỗ trợ NAT (Network Address Translation).

Hình 3.140: Hệ thống mạng kết nối Internet

2) Mô hình Internet Connection Server Giả sử đang quản lý một hệ thống mạng nhỏ, sử dụng giao thức TCP/IP và định thiết lập kết nối Internet cho hệ thống mạng của mình. Thông thƣờng, các hệ

303

thống mạng nhƣ vậy sử dụng địa chỉ riêng (private address). Để các máy tính bên

trong mạng có thể truy xuất ra mạng Internet, cần phải có một máy tính đóng vai trò nhƣ một Router hỗ trợ NAT (Network Address Translation).

Hình 3.141: Internet Connection Server

a) Cấu hình trên server Có thể sử dụng dịch vụ Routing and Remote Access để xây dựng một Internet

Connection Server hỗ trợ NAT, phục vụ cho mục đích trên. Cách thực hiện nhƣ sau: Đầu tiên, phải đảm bảo đã cài driver cho các modem. Cấu hình để các Modem

này chấp nhận các cuộc gọi ra ngoài khi có nhu cầu (demand- dial). Thực hiện theo

các bƣớc nhƣ trong mục trên nhƣng đến hộp thoại Configuration, chọn trong Network

address translation (NAT).

Hình 3.142: Cấu hình Network address translation

Tiếp theo hộp thoại NAT Internet Connection xuất hiện, để mặc định vì chúng

ta cần tạo một demand-dial interface nhấn Next để chƣơng trình tiếp tục.

Hộp thoại Interface Name yêu cầu đặt cho interface mới này một cái tên. Thông

thƣờng nên đặt tên của Router ở xa để dễ quản lý.

304

Hình 3.143: Hộp thoại Interface Name

Hộp thoại Connection Type yêu cầu chọn loại kết nối mà interface này sử dụng.

Hình 3.144: Hộp thoại Connection Type

Hộp thoại Select a device yêu cầu chọn loại thiết bị kết nối dùng cho interface.

Hình 3.145: Hộp thoại Select a device

Trong hộp thoại Phone Number nhập vào số điện thoại mà ISP cung cấp cho.

Hộp thoại Protocols and Security chọn loại giao thức chuyển vận và các tuỳ chọn an

toàn cho kết nối. Thông thƣờng, nên chọn Route IP packets on this interface.

305

Hình 3.146: Hộp thoại Protocols and Security

Trong hộp thoại Dial Out Credentials, nhập vào thông tin tài khoản dùng để kết

nối đến ISP

Hình 3.147: Hộp thoại Dial Out Credentials

Cuối cùng hộp thoại Completing the demand dial interface wizard cho biết kết

thúc quá trình cấu hình nhấn Finish để kết thúc.

Sau khi đã tạo xong demand-dial interface, tuỳ theo ISP có chấp nhận việc thiết lập kết nối an toàn hoặc không an toàn. Trong mục Network Interfaces, nhấn phải chuột lên demand-dial interface mới tạo, chọn Properties. Trong hộp thoại Properties, chọn Tab Security. Trong phần Security options, mục Validate my identity as follows có thể chọn Require secured password hoặc Allow unsecured password (nếu quay số

vào ISP thông thƣờng thì nên chọn mục này).

306

Hình 3.148: Thiết lập kết nối an toàn

Mở rộng mục IP Routing trong cửa sổ Routing and Remote Access, nhấn phải

chuột lên mục NAT và chọn Properties. Trong hộp thoại NAT Properties, chọn Tab

Name Resolution. Trong Tab này, chọn mục Clients using Domain Name System (DNS). Nếu muốn mỗi khi có yêu cầu phân giải tên thì Server sẽ kết nối vào mạng thì

chọn luôn mục Connect to the public network when a name needs to be resolved và

chọn demand-dial interface vừa tạo. Sau khi chọn xong nhấn OK để kết thúc.

Hình 3.149: Chọn yêu cầu phân giải tên

b) Cấu hình trên máy trạm Do server vừa thiết lập trên đây là một NAT router và một Forwarder DNS Server, cho nên trên các máy trạm, ngoài việc cấu hình TCP/IP về địa chỉ IP, subnet mask, phải chỉ định default gateway và DNS Server là địa chỉ của Server trên.

307

3.2.6. Cài đặt và cấu hình Terminal service

1) Giới thiệu về Terminal service

Terminal Service là dịch vụ chạy trên Windows Server 2003 cho phép các

Client có thể chạy ứng dụng trực tiếp từ Server. Bản chất của Terminal Service là giả

lập các thao tác nhấn phím, chuột từ client để gửi về Server. Mọi công việc tính toán

đều thực hiện tại Server, hình ảnh kết quả trả về client.

Client có thể kết nối đến Terminal Service qua bất kỳ hình thức nào, kể cả

Remote Access. Với Terminal Service, có thể cấu hình Server thành hai chế độ: quản

trị từ xa (Remote Administration) và server ứng dụng (Application Server).

Remote Administration: cho phép quản trị mạng ngồi từ xa quản trị Server. Với chế độ này, Terminal Service chỉ cài đặt một cấu hình tối thiểu, và đƣợc phép tối đa có

hai kết nối đồng thời đến Server. Không cần license cho các kết nối ở chế độ

Administration.

Application Server: đây là hình thức cài đặt phần mềm tập trung một chỗ cho

các client truy cập đến cùng sử dụng. Chế độ này đòi hỏi cần một License Server để

quản lý các client khi kết nối vào.

Terminal Services Client Creator: là bộ phần mềm tạo chƣơng trình cài đặt trên

các máy client chạy Windows 9x, Windows NT, Windows 2000, Windows 2003,

Windows XP...

Terminal Services Manager: công cụ cho phép theo dõi, quản lý tất cả các

Terminal Services trên mạng. Theo đó, quản trị biết đƣợc các User đang kết nối, các

tiến trình đang hoạt động...

Terminal Services Configuration: cho phép thiết lập liên quan đến môi trƣờng

làm việc nhƣ vấn đề bảo mật, mã hoá dữ liệu, cách logon, thời gian chờ...

Terminal Services Licensing: dùng để theo dõi tình hình kết nối của các client.

Mỗi client khi kết nối đến Terminal Services đều yêu cầu một License. Server sẽ cấp

phát license cho client theo dạng chính thức hoặc tạm thời.

2) Cài đặt và cấu hình Terminal service a) Cài đặt Terminal Services

- Start -> Settings -> Control Panel -> Add/Remove Programs -> Add/Remove

Windows Components -> Terminal Services - Chọn Remote Administration Mode - Khởi động lại máy.

b) Cài đặt Terminal Services Client

- Tạo một thƣ mục chia sẻ trên Terminal Server.

- Chạy Terminal Services Client Creator từ Administrative Tools để tạo bộ cài

đặt cho client.

308

- Ngoài ra, có thể tìm thấy bộ cài cho client ở thƣ mục:

%systemroot%\system32\clients\tsclient

- Theo khuyến cáo, để nâng cao hiệu suất, client nên đƣợc thiết lập theo các chế

độ sau:

- Bỏ Active Desktop

- Bỏ smooth scrolling - Giảm thiểu việc sử dụng đồ hoạ và animation nhƣ Microsoft Office Assistant,

không dùng Wallpaper...

- Tránh chạy các ứng dụng DOS nếu có thể

- Cẩn thận với các phím tắt vì có một số bộ phím khác nhau giữa client và

server.

c) Sử dụng Terminal Services Client:

- Tại client, sau khi cài đặt xong Terminal Services Client, chạy ứng dụng từ

Start menu.

- Nhấn đúp biểu tƣợng command, xuất hiện màn hình Client Connection

Manager.

- Chọn New

- Connection Name: đặt tên kết nối

- Server Name or IP address: tên Terminal Server hoặc địa chỉ IP của Server. - Username, Password: account có thể logon vào Terminal Server.

- Chọn độ phân giải client hỗ trợ.

- Chọn Enable Data Compression và Cache bitmaps để tăng tốc độ truyền dữ

liệu

Sau khi tạo đƣợc kết nối, một biểu tƣợng sẽ xuất hiện trong Client Connection

Manager.

Bấm chuột phải lên kết nối, chọn Properties để điều chỉnh các tham số nếu cần.

Các lựa chọn đều dễ hiểu.

3.3. Hệ thống bảo mật của window server 3.3.1. Phòng chống sự cố trong Windows Server

Các tính năng trong Microsoft Windows Server 2003 để ngăn chặn các sự cố này đồng thời phục hồi máy tính trở về trạng thái cũ sau khi đã có sự cố xảy ra. Việt tìm hiểu các tính năng trong Windows Server 2003 là vấn đề cơ bản cho sự phát triển và thực thi một kế hoạch bảo vệ sự cố và phục hồi một cách hiệu quả.

1) Giới thiệu về phòng chống sự cố trong Windows server

Một sự cố của máy tính là bất cứ biến cố nào khiến cho máy tính không thể nào

khởi động. Các ví dụ về sự cố máy tính bao gồm:

309

Việc ngắt khối khởi động trên một thiết bị hệ thống máy tính (đĩa đang chứa các

file cần thiết để khởi động máy tính.

Sự xoá bỏ một hoặc nhiều file Hệ điều hành.

Sự thất bại của thiết bị hệ thống máy tính, không thể giao tiếp với các phần còn

lại của máy tính đƣợc.

Sự hỏng hóc của chính máy tính, chẳng hạn nhƣ trƣờng hợp bị chập mạch điện. Bảo vệ sự cố là một thuật ngữ nhằm mô tả các nổ lực của các chuyên viện hỗ

trợ nhằm ngăn chặng các sự cố máy tính và giảm thiểu thời gian mất đi, do xảy ra sự

cố của hệ thống. Việc thực thi quá trình phòng chống các sự cố trên máy tính đƣợc tiến

hành thông qua một tổ hợp các kỹ thuật phục hồi sự cố và dung sai. (fault tolerant).

a. Fault Tolerant

Fault Tolerant là khả năng của một máy tính hoặc hệ điều hành đáp ứng cho

một biến cố thảm hoạ chẳng hạn nhƣ một sự cố về phần cứng, hoặc một sự cố về

nguồn điện để không có dữ liệu nào mất và để công việc đang diễn tiến không bị ngắt

quãng. Các hệ thống Fault Tolerance sử dụng các disk controller dƣ thừa. Và hệ thống

cung cấp điện bổ sung làm hệ thống con của đĩa Fault Tolerant . Ngoài ra hệ thống

Fault Tolerant có chứa một nguồn điện không thể bị ngắt quãng nhằm bảo đảm dự

phòng cho sự cố về điện.

Cảnh báo: Mặt dầu dữ liệu có sẵn và dòng điện ở trong hệ Fault Tolerant, vẫn nên sao chép dự phòng các bản sao để bảo vệ thông tin trên đĩa cứng khỏi bị xoá bỏ, bị

hỏa hoạn, bị trộm cắp, hoặc bị những sự cố về vật lý khác. Disk Fault Tolerance không

phải là một cách khác để sao chép dự phòng, nó chỉ là cách bảo đảm tối ƣu để phục hồi

dữ liệu bị tổn thất hoặc bị mất mà thôi.

b. Phục hồi về sự cố (Disaster Recovery)

Phục hồi sự cố là một qui trình để phục hồi một máy tinh sau khi một sự cố máy

tính xảy ra để ngƣời dùng có thể tải và truy cập lại vào các nguồn tài nguyên trên hệ

thống. Xét về mặt lý tƣởng thì các kỹ thuật phục hồi sự cố sẽ phục hồi đƣợc các máy

tính đã bị tổn thất trở về nguyên trạng mà chúng có trƣớc khi xảy ra sự cố đó.

2) Cấu hình một nguồn điện không bị ngắt quãng a) Chọn cấu hình các tùy chọn dành cho dịch vụ UPS

Sau khi máy tính đƣợc cắm vào UPS, máy đƣợc mở, UPS đƣợc nối kết vào máy tính với một cáp nối tiếp (hoặc một cáp đƣợc chỉ định do bởi nhà sản xuất). Đã chuẩn bị chọn và cấu hình UPS. Để chọn tính năng hỗ trợ UPS trong Windows Server 2003,

hãy thực hiện các bƣớc sau đây:

310

Hình 3.150: Cấu hình các tùy chọn dành cho dịch vụ UPS (1) Mở Power Options Control Panel. Trên nhãn USP, hãy nhấp Select . (2) Trên màn hình UPS Selection, bên dƣới phần Select manufacturer, hãy chọn một nhà sản xuất. Chọn một mô hình và cổng mà ở đó máy tính đƣợc nối kết

vào UPS, rồi nhấp Finish.

(3) Mở Power Options trong Control Panel, trên nhãn UPS, hãy nhấp Configurate. (4) Trong hộp thoại UPS Configuration, hãy tạo tùy biến cho các cài đặt sau đây:

Làm hoạt động tất cả các nội dung nhắc nhở, chọn Seconds between option

power failure and first notification hoặc Seconds between option power failure

notifications cho phù hợp và cấu hình thời gian muốn.

Tạo các cài đặt báo động về mức tới hạn, cấu hình tổng số phút trên pin trƣớc

khi âm thanh cảnh báo về mức tới hạn xảy ra. Các chƣơng trình phải chạy lúc xảy ra

sự cảnh báo, và các chỉ dẫn dành cho máy tính để hoặc thoát hoặc kích hoạt trạng thái

ngủ đông của phần cảnh báo tới hạn.

(5) Trong phần UPS Configuration, hãy nhấp OK, rồi nhấp OK lần nữa để lƣu các

cài đặt mới.

Chú ý: Các tùy chọn cấu hình dành cho dịch vụ UPS có thể khác nhau tùy

thuộc vào thiết bị UPS đặt biệt đƣợc kết nối vào máy tính. Để biết thêm chi tiết về các cài đặt có thể có, hãy xem tài liệu đính kèm với thiết bị UPS.

b) Thử nghiệm một cấu hình UPS

Sau khi chọn và cấu hình dịch vụ UPS dành cho máy tính, hãy thử nghiệm cấu hình để bảo đảm rằng máy tính đƣợc bảo vệ tránh khỏi các sự cố về điện. Mô phỏng một sự

cố điện bằng cách ngắt nguồn điện chính với thiết bị UPS. Trong suốt thời gian thử nghiệm, máy tính và các thiết bị ngoại vi đƣợc kết nối vào thiết bị UPS vẫn hoạt động, các thông tin hiển thị tại các mức đƣợc cấu hình và các biến cố đƣợc tải.

3) Thực thi cơ chế chống lỗi bằng sử dụng RAID a) Các hoạt động của RAID

311

Có hai tùy chọn để thực hành fault Tolerance trong Windows Server 2003:

Thực hành phần mềm RAID hoặc thực hành phần cứng RAID. Windows Server 2003 cung cấp 3 phƣơng pháp thực hành RAID. Khảo sát các điểm sau đây lúc quyết định

sử dung phần mềm nào hoặc thực thi phần cứng nào của RAID.

Fault Tolerance phần cứng thì đắt tiền hơn Fault Tolerance phần mềm.

Fault Tolerance phần cứng thƣờng làm cho máy tính hoạt động nhanh hơn là

Fault Tolerance phần mềm.

Các giải pháp về Fault Tolerance phần cứng có thể hạn chế các tuỳ chọn thiết bị

chỉ đến một nhà cung cấp mà thôi.

Các giải pháp về Fault Tolerance phần cứng có thể thực thi việc xét nghiệm các

đĩa cứng để cho phép thay thế một đĩa bị hỏng mà không cần phải thoát máy tính.

Thực thi phần mềm RAID: Trong qui trình thực thi phần mền RAID, hệ điều

hành cung cấp các cơ chế để bảo đảm sự thặng dƣ về dữ liệu. Windows Server 2003

cung cấp ba kiểu về phần mềm RAID đƣợc mô tả nhƣ sau:

RAID 0: RAID 0 còn đƣợc gọi là Disk Striping, ở đây volume lƣu trữ dữ liệu

theo các dãy trên hai hoặc nhiều đĩa thể hình. Dữ liệu trong một volume đƣợc tạo vạch

thì đƣợc cáp phát và đƣợc cách điều trong các dãy thƣờng tạo ra hoạt động tối ƣu cho

tất cả các kiểu volume có sẵn trong Windows Server 2003, nhƣng chúng không cung

cấp Fault Tolerance

RAID 1: RAID1 cũng đƣợc gọi là Disk Mirroring. Disk Mirroring ghi dữ liệu

vào 2 đĩa cùng một lúc. Nếu một đĩa bị hỏng, thì hệ thống sử dụng dữ liệu từ đĩa kia để

tiếp tục hoạt động. Windows ghi tất cả dữ liệu lên 2 đĩa sơ cấp và thứ cấp hoặc Mirror

disk, để nó chỉ có thể sử dụng 50% tổng số khoảng trống đĩa có sẵn.

RAID 5: RAID 5 volume chia se dữ liệu ngang qua tất cả các đĩa trong một

mảng. RAID level 5 là duy nhất, bởi vì nó ghi Parity information (thông tin dƣ) sang

tất cả các đĩa. Parity Information Thông tin thặng dƣ vốn đƣợc liên kết với một khối

thông tin. Trong Windows Server 2003 parity là giá trị đƣợc tính và đƣợc dùng để cấu

tạo dữ liệu sau khi có một sự cố xảy ra, windows Server 2003 lƣu trữ khối dữ liệu thặng dƣ bàng cách sắp xếp khối dữ liệu và thông tin thặng dƣ của nó trên các đĩa khác trên mạng.

Chú ý: Với việc thực thi phần mềm RAID thì không có Fault Tolerance nào theo sau một sự cố cho đến lúc nguyên nhân của một sự cố đƣợc khắc phục. Nếu có một sự cố thứ hai xảy ra trƣớc khi tạo lại dữ liệu bị mất do bởi sự cố đầu tiên thì phải

phục hồi lại dữ liệu từ file sao chép dự phòng.

Thực thi phần cứng RAID: Trong qui trình thực thi phần cứng RAID, giao

diện điều khiển đĩa xử lý việc tạo và tạo lại thông tin thặng dƣ. Một vài nhà cung cấp

phần cứng thực thi chế độ bảo vệ dữ liệu RAID một cách trực tiếp và phần cứng của

312

họ y hệt nhƣ với card disk array controller. Bởi vì những phƣơng pháp này riêng biệt

cho những nhà cung cấp và bỏ qua trình diều khiển phần mềm Fault Tolerance của hệ điều hành, cho nên những nhà cung cấp này thƣờng cải tiến hoạt động trên việc thực

thi phần mềm của RAID thƣờng có chứa các tính năng dƣ thừa. Chẳng hạn nhƣ việc

cuộn đĩa cứng đã bị hỏng và khắc phục bộ nhớ nhằm cái tiến hoạt động.

Lƣu ý: Mức RAID đƣợc hỗ trợ trong việc thực thi phần cứng thì phụ thuộc vào nhà

sản xuất phần cứng.

b) Mirrored Volume

Một Mirrored volume sẽ sử dụng trình điều khiển Windows Server 2003 Fault

Tolerance.(Ftdisk.sys) để cùng một lúc ghi dữ liệu giống nhau sang dung lƣợng của mỗi một phần tử trên hai đĩa vật lý. Mỗi dung lƣợng đƣợc xem nhƣ là một phần tử của

Mirrored volume. Việc thực thi một mirrored volume giúp bảo đảm đƣợc việc bảo tồn

dữ liệu trong một biến cố làm cho một phần tử của Mirrored volume bị hỏng.

Lƣu ý: Một mirrored volume có thể chứa nhiều phần, kể cả phần khởi động hoặc

hệ thống. Tuy nhiên, cả 2 đĩa trong Mirrored volume phải là đĩa động trong Windows

Server 2003.

Các đặt trƣng của mirrored volume

Hình 3.151: Lƣu trữ Mirrored Volume

Danh sách sau đây mô tả một vài thuận lợi và nhƣợc điểm của Mirrored volume.

- Mirrored volume hỗ trợ bảng cấp phát file (FAT) và các volume của hệ thống

file NTFS.

- Có thể bảo vệ các phần của hệ thống hoặc các phần boot bằng cách sử dụng

mirrored volume.

- Mirrored volume yêu cầu 2 đĩa cứng - Mirror volume có giá trị tƣơng đối cao tính trên megabyte. (MB) bởi vì các

đĩa chỉ sử dụng đến 50 % để lƣu trữ dữ liệu.

- Mirrored có các tính năng đọc và ghi tốt

- Mirrored volume sử dụng ít bộ nhớ hệ thống hơn so với RAID-5 Volume.

Hoạt động của Mirrored volume Mirrored volume có thể tăng cƣờng chức năng đọc bởi vì trình điều khiển Fault Tolerance đọc từ 2 phần tử của volume cùng một lúc. Lƣu ý rằng phải có kinh nghiệm

313

về việc giảm hoạt động ghi, bởi vì trình điều khiển này phải ghi cho cả 2 phần tử. Lúc

một phần tử của mirrored volume bị hỏng thì hoạt động chuyển sang chế độ bình thƣờng, bởi vì trình điều khiển fault tolerance hoạt động với chỉ một phần.

Bởi vì máy tính chỉ có thể sử dụng 50 % đĩa (Hai phần tử dành cho một tập hợp

dữ liệu), cho nên Mirrored volume có thể tƣơng đối tốn kém khi hoạt động.

Cảnh báo: Việc xoá bỏ mirrored volume sẽ bị xoá bỏ tất cả thông tin đƣợc lƣu giữ trong volume đó. Phải chắc chắn lƣu giữ các bản sao dữ liệu quan trọng trƣớc khi

xoá bỏ volume đang chứa dữ liệu đó.

Disk Duplexing Nếu disk controller giống nhau lại điều khiển cả hai đĩa trong mirrored volume, và disk controller bị hỏng, thì không có phần tử nào của mirrored volume là có thể truy

cập đƣợc. Hãy cài đặt Disk controller thứ hai trong máy tính để mỗi một đĩa trong

mirrored volume có controller riêng của nó. Cách sắp này đƣợc gọi là disk duplexing,

có thể bảo vệ mirrored volume tránh sự cố hỏng hóc controller và sự cố hỏng hóc đĩa

cứng. Disk duplexing cũng giảm thiểu lƣợng chuyển tải bus và có thể cải tiến khả năng

đọc.

Lƣu ý: Disk Duplexing là một sự nâng cấp về phần cứng cho một windows

Server 2003 mirrored volume và không yêu cầu phải cấu hình phần mềm bổ sung.

c) RAID-5 Volume

Windows Server 2003 hỗ trợ fault Tolerance thông qua các striped volume với

parity, thông thƣờng đƣợc tham chiếu dƣới dạng là RAID 5. Parity là một phƣơng

pháp toán học nhằm xác định số các bit lẻ và các bít chẵn trong một số hoặc trong một

chuỗi các số, vốn có thể đƣợc dùng để cấu tạo lại dữ liệu nếu một số trong một chuỗi

số bị mất.

Hình 3.152: Lƣu trữ RAID-5 Volume

Trong một RAID –5 volume, Windows lƣu giữ fault tolerance bằng cách bổ sung dãy vạch parity information cho mỗi phần đĩa trong volume. Nếu một đĩa bị

hỏng, thì Windows Server 2003 có thể sử dụng dữ liệu và thông tin parity trên đĩa còn

lại để khôi phục lại dữ liệu vốn đã bị mất trên đĩa hỏng.

314

RAID-5 và hoạt động của đĩa: Do bởi cho phép tính parity, hoạt động ghi trên

RAID 5 volume chậm hơn tr6en mirrored volume. Tuy nhiên RAID 5 volume cung cấp tính năng đọc tốt hơn, đặc biệt với nhiều controller, bởi vì dữ liệu đƣợc phân bố

giữa nhiều ổ đĩa. Tuy nhiên nếu một đĩa bị hỏng thì tính năng đọc trên RAID 5 volume

sẽ chậm vào lúc mà Windows Server 2003 cấu tạo lại dữ liệu dành cho đĩa bị hỏng

bằng cách sử dụng thông tin parity.

Các đặt trƣnng của RAID 5 volume: RAID 5 volume có ƣu điểm về giá cả so

với mirrored volume bởi vì việc sử dụng đĩa đã đƣợc tối ƣu hoá. Phƣơng trình để xác

định lƣợng khoảng trống đƣợc dùng trong RAID 5 volume đó, là tổng số các khoảng

trống trong RAID 5 volume thì ít hơn một volume. Càng có nhiều đĩa có trong RAID 5 volume, thì càng ít chi phí cho vạch dữ liệu thặng dƣ.

Bảng sau đây minh hoạ cách mà lƣợng khoảng trống đƣợc yêu cầu dành cho

vạch dữ liệu giảm với sự bổ sung các đĩa 2 gigabyte (GB) vào RAID 5 Volume.

Number of Disk space Available disk space Redundancy disks used

3 6 GB 4 GB 33 percent

4 8 GB 6 GB 25 percent

5 10 GB 8 GB 20 percent

Danh sách sau đây mô tả các thuận lợi và bất lợi cho RAID 5 volume, RAID-5

Volume hỗ trợ FAT và NTFS

Không thể bảo vệ hệ thống và các phần Boot.

Yêu cầu tối thiểu là 3 đĩa cứng

Giá cả thấp hơn tính trên MB nếu đối chiếu với Mirrored disk.

Hoạt động viết tƣơng đối hài hoà nhƣng hoạt động đọc thì xuất sắc hơn

Yêu cầu nhiều hơn bộ nhớ của hệ thống.

d) Thực thi fault Tolerance volume

Với Windows Server 2003 có thể tạo các fault-tolerant từ khoảng trống không đƣợc cấp phát bằng cách sử dụng tạo Volume Wizard trong Computer Management. Để tạo một volume Wizard trong Windows Server 2003, phải có 2 đĩa động sẵn có. Để tạo một RAID 5 volume trong Windows Server 2003phải ít nhất có 3 đĩa động.

Tạo một Mirrored volume: Để tạo một Mrirored volume từ khoảng trống

không đƣợc cấp phát trên hai đĩa động hãy thực hiện các bƣớc say đây.

315

Hình 3.153: Tạo Mirrored volume

(1) Mở Computer Management từ menu Administrative Tools. (2) Trong cây Console hãy mở rộng Storage, rồi nhấp Disk Management. (3) Nhấp phải một vùng của khoảng trống không đƣợc cấp phát rồi nhấp Create

Volume.

Nhấp Next, rồi sau đó trên trang Select Volume Type, hãy chọn Mirrored

volume, rồi nhấp Next. Trên trang Select Disks, hãy chọn hai đĩa động, cài đặt kích

thƣớc của Mirrored volume, rồi nhấp Next (Hãy nhớ rằng kích thƣớc của Mirrored

volume theo định nghĩa của Mirrored volume)

(4) Trên trang Assign Drive Letter or Path, hãy chọn mẫu tự ổ đĩa một đƣờng

dẫn, hoặc không chọn gì cả, rồi nhấp Next.

(5) Trên trang Format volume, có thể chọn để giữ lại tập hợp các Parity volume chứa đƣợc định dạng hoặc có thể chọn nó để định dạng với FAT và FAT32

hoặc NTFS rồi nhấp Next.

(6) Trên trang Completing the Create volume Wizrad, hãy xem lại các mục

chọn rồi nhấp Finish

Mirrored volume vừa mới đƣợc tạo sẽ hiện thị theo một màu khác

Tạo đối xứng gƣơng cho một Volume hiện có: Để tạo đối xứng gƣơng cho

một volume đang có trên một đĩa động, hãy thực hiện các bƣớc sau đây:

(1) Nhấp phải lên Volume muốn tạo đối xứng gƣơng rồi nhấp Add Mirrored. (2) Trong hộp thoại Add Mirror, hãy chọn đĩa thứ hai trong volume Mirrored

volume, rồi nhấp Add Mirrored.

Lƣu ý: Nếu đang tạo đối xứng gƣơng volume hiện có, sẽ nhận đƣợc thông tin

phát biểu rằng đã tạo đối xứng gƣơng boot volume. Để có thể khởi động từ Mirrored

disk phải bổ sung hạn mục phù hợp vào file Boot.ini. Để học thêm về việc chỉnh sửa

file Boot.ini, hãy xem các tài liệu:

316

Cách phục hồi việc tạo đối xứng gƣơng Windows NT bằng cách tạo một boot

disk dành cho một NTFS hoặc FAT partition.

Tạo một RAID-5 Volume: Để tạo một RAID –5 volume từ khoảng trống

không đƣợc cấp phát trên ba đĩa động hãy thực hiện các bƣớc sau đây:

(1) Mở Computer Management từ menu Administrative Tools (2) Trong cây Console, hãy mở rộng Storage, rồi nhấp Disk (3) Nhấp phải lên một vùng khoảng trống chƣa đƣợc cấp phát rồi nhấp Create

Volume.

(4) Nhấp Next, trên trang Select Volume Type, hãy chọn RAID-5 volume, rồi

nhấp Next.

(5) Trên trang Select Disks, hãy chọn ba đĩa động, cài đặt kích thƣớc của khoảng trống tự do để sử dụng trên mỗi đĩa dành cho RAID 5 rồi nhấp Next. (6) Trên trang Assign Drive Letter or Path, hãy chọn mẫu tự ổ đĩa hoặc đƣờng

dẫn. hoặc không chọn gì, rồi nhấp Next.

(7) Trên trang Format Volume, có thể chọn để lại tập hợp vạch với parity volume không đƣợc định dạng hoặc có thể chọn để định dạng nó với

FAT,FAT32, hoặc NTFS, rồi nhấp Next.

(8) Trên trang Completing the Create Volume Wizard, hãy xem lại mục chọn,

rồi nhấp Finish.

RAID 5 vừa mới đƣợc tạo sẽ hiển thị theo một màu khác.

e. Phục hồi một Mirrored bị hỏng

Lúc một phần tử của Mirrored volume bị hỏng thì phần tử kia tiếp tục hoạt

động, nhƣng nó không còn Fault Tolerant. Để ngăn khả năng mất dữ liệu nên phục hồi

Mirrored volume càng sớm càng tốt. Trạng thái của volume bị hỏng xuất hiện trong

Disk Management dƣới dạng Failed Redundancy. Và một trong các đĩa sẽ xuất hiện

dạng Offline, Missing, hoặc Online(Errors). Phƣơng pháp này sử dụng để phục hồi

Mirrored volume phụ thuộc vào trạng thái của đĩa.

Phục hồi một Mirrored volume bị hỏng trên một đĩa đƣợc nhận định là

Offline hay Missing

317

Hình 3.154: Phục hồi một Mirrored volume bị hỏng

Để phục hồi một Mirrored volume nếu trạng thái đĩa là Offline hoặc Missing,

hãy thực hiện các bƣớc sau đây:

(1) Bảo đảm rằng đĩa đƣợc chèn vào máy tính và đã có điện (2) Trong Disk Management, hãy nhấp phải lên đĩa vốn đã xem là bị thiếu

(Missing) hoặc ngoại tuyến (Offline) rồi nhấp Reactivate Disk

Trạng thái của đĩa sẻ trả về vối Healthy và Mirrored volume sẽ dƣợc tạo lai một

cách tự động.

Phục hồi một Mirrored volume bị hỏng trên một đĩa đƣợc xem là Online

(Errors)

Để phục hồi một mirrored volume nếu trạng thái của đĩa là Online (Errors),

trong Disk management, hãy nhấp phải lên đĩa rồi nhấp Reactivate Disk. Trạng thái

của Volume sẽ trở về với Healthy và Mirrored volume sẽ đƣợc tạo lại một cách tự

động.

Cảnh báo: Nếu một đĩa tiếp tục xuất hiện dƣới dạng Online (Errors), thì mó sắp

sửa bị hỏng, nên thay thế đĩa này càng sớm càng tốt.

Thay thế một đĩa và tạo một Mirrored Volume mới Nếu các thủ tục trƣớc đây bị hỏng kích hoạt lại đĩa hoặc nếu trạng thái của Volume không trở về Healthy, phải thay thế đĩa bị hỏng và tảo một Mirrored Volume mới.

Để tạo một Mirrored Volume mới, hãy thực hiện các bƣớc sau đây: (1) Trong Disk Management, hãy nhấp phải lên Mirrored Volume trên đĩa hỏng

rồi nhấp Remove Mirror.

(2) Trong hộp thoại Remove Mirror, hãy nhấp đĩa bị hỏng, rồi nhấp Remove

Mirror.

(3) Nhấp Yes lúc đƣợc lúc đƣợc nhắc để khẳng định mục chọn lựa (4) Nhấp phải lên volume muốn tạo Mirror, rồi nhấp Add Mirror.

318

(5) Chọn đĩa thứ hai trong Mirrored Volume, rồi nhấp Add Mirror.

f. Phục hồi một RAID-5 volume hỏng

Lúc một phần tử của RAID 5 Volume bị hỏng, thì phần tử kia tiếp tục hoạt

động thậm chí mặc dù Volume không còn Fault Tolerance nữa. Để ngăn chặn khả

năng bị mất dữ liệu, nên phục hồi RAID 5 Volume càng sớm càng tốt.

Trạng thái của Volume bị hỏng xuất hiện trong Disk Management , dƣới dạng Failed Redundance, và một trong các đĩa xuất hiện dƣới dạng Offline, Missing, hoặc

Online (Errors). Các phƣơng pháp sử dụng để phục hồi RAID 5 Volume phụ thuộc vào

trạng thái của đĩa.

Chú ý: Nếu Windows Server 2003 không thể sửa chữa volume, có thể có một tuỳ chọn, đó là xoá bỏ Volume. Điều này xảy ra trong những trƣờng hợp nơi mà đĩa đã

tồn tại cực kỳ và không thể sửa chữa đƣợc.

Phục hồi một RAID5 bị hỏng trên một đĩa đã đƣợc xem là ngoại tuyến

(Offline) hoặc bị thiếu (Missing)

Để phục hồi RAID 5 volume nếu trạng thái đĩa hoặc Offline hoặc Missing, hãy thực

hiện các bƣớc sau đây:

(1) Bảo đảm rằng ,máy tính đã chèn vào máy tính và đã có điện (2) Trong Disk Management , hãy nhấp phải đĩa vốn đƣợc xem là bị thiếu

hoặc ngoại tuyến, rồi nhấp ReActivate Disk

Trạng thái của đĩa sẽ cho ra Healthy và RAID 5 Volume sẽ tạo lại một cách tự

động.

Phục hồi một RAID 5 Volume bị hỏng trên một đĩa đƣợc xem là Online

(Errors)

Để phục hồi một RAID 5 volume nếu trạng thái đĩa là Online (Error), trong

Disk Management, hãy Nhấp phải lên đĩa, rồi nhấp ReActive Disk trạng thái của

Volume sẽ cho ra Healthy và RAID 5 volume sẽ tạo lại một cách tự động.

Cảnh báo: Nếu đĩa đã tiếp tục xuất hiện dƣới dạng Online(Error), thì mó có thể

sắp bị hỏng , nên thay thế đĩa này càng sớm càng tốt.

Thay thế một đĩa và tạo lại RAID 5 Volume Nếu các thủ tục trƣớc đây bị hỏng không thể kích hoạt đƣợc đĩa hoặc nếu trạng thái của volume không trở về Healthy, thì phải thay thế đĩa bị hỏng và tạo lại RAID 5 Volume.

Để tạo lại một RAID 5 Volume bằng cách sử dụng một đĩa khác, hãy thực hiện

các bƣớc sau đây:

(1) Trong Disk Management, hãy nhấp phải lên RAID 5 Volume trên đĩa bị

hỏng, rồi nhấp Repair Volume.

319

(2) Trong hộp thoại Repair RAID 5, hãy chọn đĩa vốn, sẽ thay thế đĩa bị hỏng

trong RAID 5 Volume, rồi nhấp Ok.

3.3.2 Bảo mật trong Windows Server 1) Hệ thống khoá công khai

Hệ thống bảo mật, theo thuật ngữ của ngành tin học, liên quan đến mọi thứ từ

phần cứng đến phần mềm. Đặc trƣng của vấn đề bảo mật là phải đảm bảo đƣợc 4 yêu cầu: Authentication, Intergrity, Confidentiality và Anti-replay.

Authentication: là một quá trình nhằm định danh một đối tƣợng nhƣ máy tính

hoặc User. Các đối tƣợng trƣớc khi liên lạc với nhau cần phải biết chính xác danh tính

của nhau.

Intergrity: đảm bảo sự chính xác của dữ liệu trong quá trình truyền từ đối tƣợng

này sang đối tƣợng khác, tránh trƣờng hợp dữ liệu bị sửa đổi trên đƣờng truyền.

Confidentiality: đảm bảo dữ liệu đến chính xác ngƣời cần nhận.

Anti-Replay: đảm bảo rằng không thể dựa vào các dữ liệu cũ để có thể khai thác

vào các mục đích bẻ khoá sau này.

Mật mã (Crytography) là một tập hợp các kỹ thuật toán học về mã hoá và giải

mã thông tin sao cho dữ liệu không bị chặn lại và hiểu đƣợc bởi các đối tƣợng không

đƣợc phép. Mật mã sử dụng một khoá (key) kết hợp một thuật toán để mã hoá dữ liệu.

Khoá là một bộ giá trị có nhiệm vụ dùng để mã hoá hoặc giải mã. Mặc dù thuật toán mã hoá và giải mã mọi ngƣời đều biết nhƣng sự bí mật về khoá cũng đảm bảo sự

an toàn cho dữ liệu đã đƣợc mã hoá.

Hệ mật mã khoá công khai (Public Key Crytography) là một hệ thống mã hoá

bất đối xứng. Nói bất đối xứng vì nó sử dụng hai khoá trong quá trình mã và giải mã.

Hai khoá này có mối liên hệ nhất định với nhau về mặt toán học. Một khoá đƣợc gọi là

khoá công khai (public key), một khoá đƣợc gọi là khoá riêng (private key).

Mỗi đối tƣợng, ví dụ User, chỉ cần một khoá riêng và có thể có nhiều khoá công

khai (của ngƣời khác). User nhận các khoá công khai theo nhiều cách, chẳng hạn tra

danh mục nhƣ tra số điện thoại.

Khi cần gửi dữ liệu đi, ngƣời gửi dùng khoá công khai của ngƣời nhận để mã hoá dữ liệu. Ngƣời nhận sau đó dùng khoá riêng của mình để giải mã dữ liệu. Chỉ ai có khoá riêng, kết hợp đúng với khoá công khai đã dùng để mã hoá, mới có thể giải mã thành công.

Chữ ký điện tử (Digital Signing) cung cấp khả năng Authentication và Intergrity

nhƣng không Confidentiality. Chữ ký điện tử cho phép ngƣời nhận xác định đƣợc ngƣời gửi và đảm bảo rằng nội dung không bị thay đổi trên đƣờng truyền.

Khi ngƣời gửi ký bên dƣới thông điệp (dữ liệu), một thông điệp khác đƣợc sinh

ra tƣơng tự nguyên tắc CRC gọi là message digest. Ngƣời gửi tiếp theo dùng khoá

320

riêng của họ để mã hoá message digest. Khi thông điệp đến tay ngƣời nhận, ngƣời này

dùng khoá công khai của ngƣời gửi để giải mã message digest. Sau đó, ngƣời nhận tạo lại message digest từ thông điệp gốc và so sánh với message digest vừa giải mã đƣợc.

Nếu cả hai nhƣ nhau, dữ liệu đảm bảo đến chính xác (Intergrity).

Hình 3.155: Hệ thống khoá công khai

Vì message digest đƣợc mã hoá bằng khoá riêng của ngƣời gửi, nó chỉ có thể

đƣợc giải mã bằng khoá công khai của chính ngƣời đó. Ngƣời nhận trong trƣờng hợp

này có thể yên tâm rằng thông điệp đến từ ngƣời gửi xác đinh (Authentication). Tuy

nhiên, ngƣời nhận lúc này lại cần đƣợc đảm bảo rằng cặp khoá đó là của đúng ngƣời

họ mong đợi, không bị giả danh. Giải pháp là dùng một tổ chức thứ ba đứng trung gian

xác nhận. Thành phần thứ 3 này gọi là Certificate Authority (CA).

Một loại khoá nữa gọi là khoá bí mật (Secret Key, phân biệt với Private Key) và

nhiều khi còn biết đến nhƣ Shared secret hoặc Shared secret key hoạt động tƣơng tự

khoá công khai. Tuy nhiên khoá này chỉ dùng một thời gian rồi loại bỏ nhằm tăng tính

an toàn. Khoá bí mật đƣợc cả bên gửi và nhận sử dụng để mã và giải mã dữ liệu. Do

đó xuất hiện vấn đề trao đổi khoá bí mật giữa hai bên.

Trao đổi khoá bí mật (Secret key exchange): yêu cầu làm thế nào để khoá bí mật đƣợc trao đổi giữa ngƣời gửi, ngƣời nhận mà không bị lộ trên đƣờng truyền dẫn đến ý tƣởng dùng khoá công khai để mã hoá khoá bí mật.

321

Hình 3.156: Trao đổi khoá bí mật (Secret key exchange)

Quan sát sơ đồ trên, Bruce muốn gửi dữ liệu cho Max bằng cách dùng khoá bí

mật. Mỗi ngƣời trong số họ sẽ sinh ra một nửa khoá bí mật. Bruce dùng khoá công khai của Max để mã hoá nửa của anh ta rồi gửi cho Max. Làm tƣơng tự nhƣ thế, Max

dùng khoá công khai của Bruce để mã hoá nửa của mình rồi gửi cho Bruce. Cả hai sau

đó kết hợp hai nửa khoá lại để tạo nên khoá bí mật và dùng cho mục đích mã hoá dữ

liệu trƣớc khi truyền đi. Khi giao dịch hoàn tất, Bruce và Max cùng huỷ khoá bí mật

đã sử dụng.

Hệ mã hoá khoá công khai chỉ đƣợc xây dựng khi các đối tƣợng gửi, nhận tin

đƣợc xác định, đó chính là nguyên nhân nảy sinh Certificate Authority (CA). CA sẽ

cấp một thẻ thông hành hay giấy xác nhận sau khi đã kiểm tra đối tƣợng. Ví dụ: nếu

Tucker muốn gửi dữ liệu cho Max, anh ta gửi khoá công khai của mình cho Max. Một

CA nào đó xác nhận khoá công khai đó cho Tucker. Vì Max tin CA nên anh ta cũng tin

Tucker. Quá trình xác nhận này đƣợc so sánh với hệ thống công chứng trong thực tế.

Trên thế giới, một vài công ty đƣợc công nhận đóng vai trò nhƣ CA là Versign,

Microsoft Certificate Services...

Một ngƣời sử dụng bình thƣờng có thể nhận một xác nhận điện tử (digital

certificate) để dùng cho email. Xác nhận điện tử bao gồm khoá công khai và các thông

tin khác liên quan đến anh ta. Khi anh ta gửi email, email đó sẽ bao gồm một chữ ký

điện tử sử dụng khoá riêng. Ngƣời nhận thƣ nhận đƣợc khoá công khai và dùng khoá

công khai đó để biết xem có đúng thƣ từ ngƣời gửi thật sự tới hay không. Khoá riêng không bao giờ được gửi tới người nhận.

Danh sách xác nhận cần huỷ (Certificate Revocation List - CRL): các xác nhận có thể quá hạn và cần huỷ bỏ hoặc có trƣờng hợp CA muốn rút lại xác nhận. Để kiểm soát trạng thái này, CA sử dụng một danh sách các xác nhận phải huỷ CRL.

Trên thực tế có thể có nhiều CA mà giữa họ tồn tại thoả thuận tin cậy lẫn nhau. Khi đó, User chỉ cần tin một CA là có thể tin vào các CA khác. Cấu trúc tin cậy lẫn nhau nhƣ thế cũng có dạng hình cây tƣơng tự DNS.

322

2) Certificate Services

Microsoft Certificate Service cho phép một tổ chức tự quản lý lấy hệ thống xác nhận điện tử mà không cần dựa trên một thành phần thứ 3. Tổ chức đó có thể theo dõi

toàn bộ các quá trình giao dịch liên quan đến xác nhận điện tử dựa trên hệ thống nhật

ký của Service.

Quá trình xử lý yêu cầu xác nhận

Hình 3.157: Quá trình xử lý yêu cầu xác nhận - Client gửi yêu cầu xác nhận. Yêu cầu đó đƣợc định dạng theo chuẩn PKCS

#10 và gửi tiếp đến Server Engine của Certificate Services.

- Server Engine tiến hành kiểm tra yêu cầu, thiết lập các thuộc tính cho yêu cầu.

- Nếu yêu cầu đã đƣợc kiểm tra, Server Engine tiếp nhận và tạo xác nhận.

- Server Engine lƣu xác nhận trong hệ thống lƣu trữ của nó, thông báo cho các

thành phần khác của hệ thống biết trƣớc khi gửi xác nhận về Client.

Đăng ký xác nhận: (Enrolling Certificates): là quá trình tiếp nhận xác nhận,

bắt đầu từ lúc gửi yêu cầu đến khi cài đặt đƣợc xác nhận. Toàn bộ quá trình có thể thao

tác thông qua Web site tại địa chỉ: http://server_name/certsrv/

CA Certificates: trong quá trình phát sinh xác nhận điện tử, CA kiểm tra luôn đối tƣợng yêu cầu xác nhận và ký (sign) vào xác nhận bằng khoá riêng của CA. Một ứng dụng, ví dụ Internet Explorer, trƣớc khi cài đặt CA Certificates sẽ kiểm tra chữ ký của CA. Nếu chữ ký không hợp lệ hay xuất xứ không rõ, IE sẽ cảnh báo ngƣời dùng và

ngăn cản ngƣời dùng cài đặt xác nhận. Do đó, bản thân CA cũng cần một xác nhận.

CA Certificates là một Certificate chứa khoá công khai đƣợc sử dụng để kiểm

tra chữ ký điện tử. CA cấp cao nhất phải tự xác nhận lấy bản thân.

Cài đặt Certificate Services:

323

Control Panel -> Add/Remove Programs -> Add/Remove Windows

Components -> Certificate Services.

Các kiểu Certificate (Certificate Auuthority Type):

- Enterprise Root CA: CA trở thành root CA và đòi hỏi phải có Active

Directory.

- Enterprise Subordinnate CA: CA trở thành một nhánh con của root CA. Cũng

đòi hỏi phải có Active Directory và sẽ yêu cầu một xác nhận từ root CA.

- Stand-alone Root CA: CA trở thành root CA nhƣng không yêu cầu phải có

Active Directory.

- Stand-alone subordinary CA: CA trở thành một nhánh con của root CA nhƣng

không yêu cầu dùng Active Directory.

Certificate Information: đó là các thông tin cần cung cấp khi cài CA. Các thông

tin này có thể thay đổi sau.

Advanced Configuration: bao gồm các thiết lập nhƣ thuật toán mã hoá, thuật

toán băm (hash), khoá công khai, khoá riêng...

Quản trị Certificate Servies

Chạy Certification Authority từ Administrative Tools.

Các chức năng quản trị Certificate Services bao gồm:

- Bật tắt dịch vụ - Gán quyền truy cập đối với CA

- Xem các xác nhận

- Sao lƣu, khôi phục CA

- Quản lý danh sách các xác nhận bị loại bỏ

- Quản lý các yêu cầu xác nhận

- Gán xác nhận cho User

Cài đặt Certifcate cho client: từ client, bật trình duyệt và truy cập đến địa chỉ

http://server_name/certsrv. Chọn Request A Certificate -> User Certificate Request ->

Install This Certificate

3) Kerberos Protocol

Các cơ chế kiểm soát ngƣời dùng truyền thống sử dụng Username và Password để xác định User khi truy cập tài nguyên. Tuy thế, yêu cầu bảo mật cao hơn đòi hỏi phải xác định đƣợc thêm rằng account đó đúng là của User chủ nhân thật sự của nó.

Kerberos Protocol đƣợc xem nhƣ một giao thức chuẩn trong việc xác định

ngƣời dùng. Nó cho phép User chỉ cần một lần logon là có thể truy cập tài nguyên trên toàn mạng.

Trƣớc khi kết nối đến Server, User yêu cầu một thẻ thông hành từ Kerberos

Service gọi là Kerberos Key Distribution Center nhằm xác nhận User. Sau đó, xác

324

nhận này chuyển đến cho Server và vì Server đã tin cậy Kerberos Service, nó sẽ chấp

nhận User.

Kerberos Service hoạt động nhƣ vai trò của thành phần trung gian, kiểm tra, tạo

thẻ cho mỗi phiên kết nối client – server.

Thẻ thông hành của User bao gồm các thông tin sau:

- Khoá của phiên giao dịch - Tên User sử dụng thẻ

- Thời gian có hiệu lực

- Một số thông tin bổ sung thêm

Các thuật ngữ liên quan:

Principal: tên duy nhất của user, client hay server tham gia hoạt động trên

mạng

Realm: giới hạn của việc xác nhận, có vai trò tƣơng tự domain. Một tổ chức

muốn sử dụng Kerberos cần xây dựng cho mình một Realm.

Secret Key: khoá dùng để mã hoá và giải mã.

Session key: là một dạng của Shared Secret key đƣợc dùng cho một phiên giao

dịch client – server.

Authenticator: một bản ghi đƣợc sử dụng để kiểm tra principal.

Key distribution center: tiếp nhận yêu cầu và cấp phát thẻ cho client, gồm hai

thành phần chính là Authentication Server (AS), Ticket Granting Service (TGS).

Ticket: trƣớc khi kết nối đến một Server, client truy cập đến Key distribution

center để yêu cầu xác nhận bằng một thẻ thống hành (ticket). Ticket đƣợc mã hoá sao

cho Server có thể giải mã và đọc đƣợc nội dung.

Quá trình giao dịch thông qua Kerberos minh hoạ dƣới đây:

- Client gửi yêu cầu cần xác nhận đến AS của Kerberos Service.

- Kerberos Service sinh ra một phản hồi bao gồm địa chỉ TGS, User Security ID

đƣợc mã hoá.

- Client gửi yêu cầu đến TGS. - TGS gửi ticket đến client - Client gửi ticket đến Server cần truy cập

Server giải mã ticket và kiểm tra User.

4) Mã hoá hệ thống file

Encrypting File System (EFS) là một đặc điểm mở rộng của NTFS5, cho phép

mã hoá dữ liệu trên đĩa cứng. Kỹ thuật mã hoá dựa theo khoá công khai và do hệ thống đảm nhiệm, hoàn toàn trong suốt đối với ngƣời sử dụng.

Để đề phòng trƣờng hợp bị mất khoá, có thể dẫn đến mất mát dữ liệu, một khoá

khôi phục cũng đƣợc chuẩn bị dự phòng cho mỗi file mã hoá.

325

3.4. Cấu hình windows server cho mobile computing

Nhiều nhân viên đi công tác thƣờng xuyên và thực hiện công việc của mình bằng bằng cách sử dụng máy tính laptop. MS windows Server 2003 lƣu ý các yêu cầu

duy nhất của những ngƣời làm việc lƣu động này đối với một hệ điều hành laptop và

nó cung cấp một kinh nghiệm làm việc nhất quán, và linh động cho ngƣời sử dụng, cả

khi đi công tác hay làm việc tại văn phòng.

3.4.1. Cấu hình phần cứng cho mobile computing

1) Tạo một môi trƣờng (profile) phần cứng cho những ngƣời sử dụng mobile

Để tạo một Profile phần cứng mới cho những ngƣời sử dụng lƣu động, hãy thực

hiện các bƣớc sau:

(1) Nhấp đúp vào System trong Control Panel (2) Trên nhãn Hardware hãy nhấp Hardware Profiles (3) Dƣới Available hardware Profiles, hãy nhấp Profile 1 (Current). Profile có

tên (Current) cung cấp một mầu để tạo các Profile phần cứng mới. (4) Nhấp Copy, gõ nhập một tên cho Profile mới và sau đó nhấp OK. (5) Chọn một tùy chọn khởi động dƣới When Windows Starts, chọn Wait until I Select a hardware profile hay select the first listed if i don’t select a profile

in X(Trong đó X là khoản thời gian chờ đợi).

(6) Khởi động lại máy tính và sau đó chọn Profile phần cứng mới vào lúc khởi

động.

(7) Nhấp đúp vào System trong Control Panel, trên nhãn hardware hãy nhấp Device Manager, nhắp đúng vào thiết bị và tên nhãn General, trong danh

sách xổ xuống dành cho việc sử dụng thiết bị hãy chọn một trong các tùy

chọn sau đây:

Use this device (enabled)

Do not use this device in the current hardware profile (disabled)

Do not use this device in any hardware profile (disabled)

2) Sử dụng các trạm cố định

Để lấy một máy tính xách tay ra khỏi trạm cố định, hãy thực hiện các bƣớc sau: Nhấp Start Nhấp Eject PC

3.4.2. Cấu hình các tuỳ chọn quản lý điện máy tính lƣu động

Sử dụng Power Options trong Control Panel để giảm lƣợng điện tiêu thụ của bất

kỳ thiết bị máy tính nào hay của toàn bộ hệ thống. Có thể thực hiện điều này bằng cách chọn Power Scheme hoặc bằng cách điều chỉnh xác lập riêng lẻ trong một Power

Scheme.

326

1) Chọn một Power scheme

Các Power Scheme cung cấp cho ngƣời sử dụng khả năng chọn một sự cân đối giữa thời gian tồn tại của bộ pin và hiệu quả thực thi đáp ứng các nhu cầu của họ một

cách tốt nhất. Hãy sử dụng các Power Scheme đƣợc cung cấp sẵn trong Windows

Server 2003 hoặc tạo các Scheme.

Các Power Scheme có sẵn

Để chọn Power scheme, hãy thực hiện các bƣớc sau đây:

Nhấp đúp Power Options trong Control Panel

Dƣới Power Scheme, trên nhãn Power Scheme, hãy chọn một trong các Power

Scheme đƣợc mô tả trong bảng sau đây:

Power schemes Mô tả

Home/Office Desk Duy trì dòng điện liên tục đến đĩa cứng và hệ thống khi

máy tính đƣợc cắm điện.

Portable/Laptop Tất cả các xác lập sau 5 đến 30 không hoạt động

Presentation Duy trì dòng điện liên tục, đến monitor khi máy tính đƣợc

cắm điện hoặc đang chạy bằng PIN. Duy trì dòng điện liên

tục đến đĩa cứng và hệ thống khi máy tính đƣợc cắm điện.

Always On Duy trì dòng điện liên tục đến hệ thống khi máy tính đƣợc

cắm điện hoặc đang chạy bằng PIN.

Minimal Power Duy trì dòng điện liên tục đến đĩa cứng và hệ thống khi

Management máy tính đƣợc cắm điện.

Max Battery

Duy trì dòng điện liên tục đến đĩa cứng và khi máy tính đƣợc cắm điện.

Các xác lập thời gian định trƣớc hiện trong các danh sách Turn off Monitor và

Turn off hard disks của nhãn Power Schemes. Có thể thay đổi cài đặt các xác lập này bằng cách nhấp vào mũi tên ở kế bên danh sách, và sau đó nhấp vào thời gian.

2) Sử dụng các tuỳ chọn điện để tiết kiệm

Cấu hình Standby: Standby chuyển toàn bộ máy tính sang một trạng thái tiêu thụ điện thấp để tắt các thiết bị, chẵn hạn nhƣ ,monitor và các đĩa cứng đống thời máy tính cũng tiêu thụ ít điện hơn. Khi vào loại máy tính màn hình nền đƣợc phục hồi lại trạng thái đã phục hồi trở lại trạng thái rời khỏi nó. Nếu máy tính hỗ trợ APM thì có

thể cấu hình Standby.

(1) Nhấp đúp vào Power Options trong control Panel (2) Dƣới nút bấm Power buttons, trên nhãn Advanced, hãy chọn một trong các tùy

chọn sau đây để xác định khi nào Standby có tác dụng:

327

When I close the lid of my portable computer

When I press the power button on my computer When I press the sleep button on my computer

Ghi chú: các tuỳ chọn xuất hiện trên nhãn Advanced thay đổi phụ thuộc vào

máy tính. Để tìm thông tin về các tuỳ chọn dành cho các máy tính, chẳng hạn nhƣ nút

Sleep, hãy xem tài liệu của nhà sản xuất.

3. Nhấp OK hoặc Apply.

Bật chế độ hibernation: Chế độ hibernation lƣu màn hình nền vào ổ đĩa cứng,

tắt monitor và đĩa cứng, sau đó tắt máy tính. Khi khởi động lại máy tính, màn hình nền

đƣợc phục hồi trở lại trạng thái đã rời khỏi nó. Tuy nhiên việc đƣa máy tính ra khỏi chế độ hibernation mất nhiều thời gian hơn khi đƣa nó ra khỏi chế độ Standby.

Chú ý: Chế độ hibernation đòi hỏi phải có một lƣợng khoảng trống đĩa cứng có

sẵn trên phần khởi động tƣơng đƣơng với lƣợng RAM.

Bật chế độ hibernation hãy thực hiện các bƣớc sau:

Trong hộp thoại Power Option Properties, hãy nhấp nhãn Hibernate, lựa chọn

hộp kiểm Enable hibernate support và sau đó nhấp Apply.

Hãy nhấp nhãn Power Schemes và sau đó chọn thời gian trong System

hibernate. Máy tính vào chế độ này sau khi nó đã nghỉ đƣợc thời gian xác định trong

system hibernation. Để đƣa máy tính vào chế độ hibernates bằng tay, nhấp Start và sau đó nhấp Shutdown, trong hộp Shut down Windows hãy nhấp Hibernate.

3.4.3. Làm cho các file có sẵn sử dụng ngoại tuyến

1) Giới thiệu về các file ngoại tuyến

Khi một file hay một Folder đƣợc đánh dấu là sẵn có ngoại tuyến ngƣời sử dụng

có thể truy cập phiên bản mạng của file này khi nó kết nối với mạng. Khi ngƣời sử

dụng ngắt kết nối với mạng các event sau đây xảy ra.

Khi ngƣời sử dụng ngắt kết nối với mạng, Windows Server 2003 đồng bộ hóa

các file mạng với bản sao đã lƣu trong nội bộ của file.

Trong khi ngắt kết nối với mạng ngƣời sử dụng truy cập vào bản sao đã lƣu

trong nội bộ.

Khi ngƣời sử dụng kết nối trở lại với mạng, Windows Server 2003 đồng bộ hóa bất kỳ file ngoại tuyến nào đã đƣợc chỉnh sửa bởi ngƣời sử dụng với phiên bản mạng của file. Nếu file đã đƣợc chỉnh sửa cả hai vị trí, Windows Server 2003 nhắc ngƣời sử dụng chọn phiên bản nào của file cần lƣu, hoặc ngƣời sử dụng có thể đặt lại tên một

file và lƣu giữ cả hai văn bản.

328

2) Cấu hình một server cho các file ngoại tuyến

Các tuỳ chọn lƣu trữ

Option Description

Manual Yêu cầu ngƣời sử dụng chỉ định bằng tay các tài liệu mà

for họ muốn lƣu trữ. Chỉ các file do ngƣời sử dụng đánh dấu

caching documents

là có sẵn ở ngoại tuyến mới đƣợc lƣu trữ tự động. Đây là xác lập mặc định dành cho các Folder dùng chung.

Automatic Tự động lƣu trữ mỗi file trong Folder đƣợc mở bởi

caching for ngƣời sử dụng. Các bảng sao củ hơn của các file đƣợc

documents xoá tự động để cung cấp khoảng trống cho các file mới

hơn. Tuỳ chọn này dẫn đến sự lƣu thông mạng, ít hơn so với việc lƣu trữ bằng tay và đƣợc đề nghị cho các folder

có chứa tài liệu ngƣời sử dụng.

Automatic Cung cấp sụ lƣu trữ một chiều cho các file chỉ đọc và

for các trình ứng dụng chạy từ mạng. Các file này đƣợc

caching programs chứa trên Server sẽ đƣợc lƣu trữ trên các đĩa cứng cục

bộ, nhƣng các thay đổi mà ngƣời sử dụng thực hiện đối

với các file đó không đƣợc sao chép trở lại vào server.

Điều này ngăn chặn ngƣời sử dụng ghi đè lên file gốc.

Xác lập các tùy chọn lƣu trữ Để xác lập các tùy chọn lƣu trữ cho một folder, hãy thực hiện các bƣớc sau: (1) Trong Windows Explorer, hãy nhấp phải vào Folder muốn xác lập các tùy chọn

lƣu trữ cho nó, nhấp Sharing và sau đó nhấp Caching.

(2) Nếu không muốn có nội dung của Folder này đƣợc lƣu trữ, hãy xoá chọn hộp kiểm Allow caching of files in this share Folder.(chẳng hạn, hãy xoá bỏ hộp

kiểm này để tắt việc sử dụng file ngoại tuyến đối với một folder chung mà

nhiều ngƣời sử dụng) Hoặc nếu muốn mở các file ngoại tuyến, hãy để hộp kiểm này đƣợc chọn, chọn

một trong các tùy chọn lƣu trữ, và sau đó nhấp OK.

3) Cấu hình một client cho các file ngoại tuyến

Trƣớc khi một file hay một Folder có thể đƣợc tạo sẵn ngoại tuyến cho một Client, tùy chọn Enable Offline Files phải đƣợc chọn trên máy tính Client. Để mở các

file ngoại tuyến trên máy tính client, hãy thực hiện các bƣớc sau:

Trong Windows Explorer, trên menu Tools hãy nhấp Folder Options Trong hộp thoại Folder Options, trên nhãn Offlines, hãy chọn hộp kiểm enable

Offline Files.

329

4) Sử dụng Synchronization Manager để đồng bộ hoá các file

Cấu hình các xác lập đồng bộ hóa Để mở Synchronization Manager và cấu hình xác lập đồng bộ hoá hãy thực

hiện các bƣớc sau:

(1) Nhấp Start, trỏ đến Programs, trỏ đến Accessories, rồi sau đó nhấp

Synchronize

(2) Trong hộp thoại Items to Synchronize, hãy chọn các hộp kiểm dành cho các

hạng mục ngoại tuyến muốn đồng bộ hóa.

(3) Nhấp Setup để hiển thị hộp thoại Synchronization Settings và sau đó lựa

chọn LAN hoặc một mối nối quay số.

(4) Để hoàn tất các tác vụ sau đây, hãy thực hiện các thao tác mô tả trong bảng

dƣới đây.

To Perform this action

Select files to On the On/Idle tab, click the network connection that

synchronize for a you want to use in the When I am using this network

particular connection connection list, and then select the check boxes beside

the offline items that you want to synchronize in the

Synchronize the following checked items list.

Synchronize when On the Logon/Logoff tab, click When I log on to my

logging on computer.

Synchronize when On the Logon/Logoff tab, click When I log off my

logging off computer.

Prompt user before On the Logon/Logoff tab, select the Ask me before

automatically synchronizing the items check box.

synchronizing your

offline items

On the Scheduled tab, click Add to start the Scheduled Synchronization wizard. The wizard assists you in creating a synchronization schedule.

Schedule synchronization when the system is idle or for specific times

(5) Sau đây chọn một tùy chọn hãy nhấp OK.

3.4.4. Kết nối với các mạng máy tính 1) Tạo một nối kết quay số

Trƣớc khi kết nối với một máy tính hay mạng từ xa, cần tạo một kết nối mới

trên một máy tính Client. Sử dụng Network Connection Wizard để tạo và cấu hình một

330

kết quay số với một mạng riêng ảo hay với một nhà cung cấp dịch vụ Internet (ISP).

Để tạo một nối kết quay số mới hãy thực hiện các bƣớc sau đây trên Client.

Hình 3.158: Tạo nối kết quay số

(1) Nhấp Start trỏ đến Settings, rồi sau đó nhấp Network và Dial-up Connections (2) Trong Network and Dial-up Connections, hãy nhấp đúp Make New Connection. (3) Trong Network Connection Wizard, hãy nhấp Next, rồi sau đó nhấp Dial –up to

private network hoặc Dial-up to the Internet.

(4) Chọn một trong các tuỳ chọn sau đây:

Nếu đã nhấp Dial-up to private network, và sau đó nhấp next . Nhập số điện

thoại của máy tính muốn kết nối, và sau đó nhấp Next . Nhấp Only for myself, và sau

đó nhấp next , gõ nhập một tên của nối kết.

Nếu đã nhập Dial-up to the Internet và đang nối kết qua LAN của mình, hãy

chọn I want to setup to connect through a local area Network (LAN) , rồi sau đó nhấp

Next . chọn I want to setup to connect through a local area Network (LAN). Sẽ đƣợc

nhắc về các xác lập ủy nhiệm và thông tin Internet mail account.

(5) Nhấp Finish.

2) Kết nối tới một mạng riêng ảo thông qua Internet

Để tạo một nối kết VPN mới, hãy thực hiện các bƣớc sau đây trên Client:

(1) Trong Network and Dial-up Connections, nhấp đúp make New Connection, rồi

sau đó nhấp Next.

(2) Trong Network Connection Wizard, hãy chọn Connect to a private Network Through the Internet, hãy nhấp Next rồi sau đó thực hiện một trong các bƣớc

sau đây:

Nếu không muốn tự động quay một nối kết với ban đầu, hãy nhấp Do not dial

the initial connection, rồi sau đó nhấp Next.

Nếu cần thiết lập một nối kết với ISP của mình hay một mạng nào khác, trƣớc

khi tạo tuyến đến mạng hay máy tính đích. Hãy nhấp Automatically dial this initial

331

connection, nhấp một nối kết trong danh sách rồi sau đó nhấp next.

(3) Gõ nhập tên máy chủ hay địa chỉ IP của máy tính hay mạng đang kết nối với

nó, và sau đó nhấp next.

(4) Nhấp Only for myself, rồi sau đó nhấp next (5) Gõ nhập một tên cho nối kết, rồi sau đó nhấn Finish.

3) Kết nối với một số máy tính khác

Để tạo một nối kết trực tiếp với một máy tính khác , hãy thực hiện các bƣớc sau

đây:

(1) Trong Network and Dial-up Connections, nhấp đúp Make New Connection. (2) Trong Network Connection Wizard, hãy chọn Connect directly to another

computer, nhấp Next, và sau đó thực hiện các thao tác sau đây:

Nếu máy tính sẽ điều khiển thông tin mà các máy khác sẽ truy cập, hãy nhấp

Host, rồi sau đó nhấp Next.

Chọn thiết bị để kết nối và sau đó nhấp Next.

Chọn những ngƣời sử dụng muốn cho phép nối kết với máy tính.

Nếu máy tính sẽ đƣợc sử dụng để truy cập thông tin trên một máy tính khác,

hãy nhấp Guest, và sau đó nhấp Next.

Chọn thiết bị để kết nối, sau đó nhấp Next. Thiết bị phải cùng loại với thiết bị

của máy đang sử dụng.

Nếu muốn nối kết này có sẵn với tất cả những ngƣời sử dụng máy tính này, hãy

nhấp For all Users, và sau đó nhấp Next. Nếu muốn dành riêng nối kết này. Hãy nhấp

Only for myself, sau đó nhấp Next.

(3) Gõ nhập một tên kết nối và sau đó nhấp Finish.

BÀI TẬP CHƢƠNG 3

Bài 1: Cho sơ đồ mạng nhƣ sau. Muốn xây dựng Server cấp phát động các

thông số mạng cho các máy để các máy này có thể truy cập đƣợc ra ngoài Internet.

Tuy nhiên, vì trên máy Printer-Server đang chia sẻ máy in cho mọi ngƣời nên địa chỉ

cấp phát cho máy này luôn không đổi.

Hãy cấu hình hệ thống theo yêu cầu trên.

332

Hƣớng dẫn:

- Cài đặt bổ sung dịch vụ DHCP - Cấu hình DHCP để cấp phát động các thông số mạng - Cấu hình cấp phát địa chỉ IP tĩnh cho máy Printer-Server

Bài 2: Hãy xây dựng một DNS Server cho hệ thống mạng theo hình bên dƣới từ đó giúp các ngƣời dùng trong mạng có thể truy cập các dịch vụ nội bộ thông qua tên

đầy đủ (ví dụ: www.viendong.com.vn, ftp.viendong.com.vn, mail.viendong.com.vn

…).

Hƣớng dẫn:

- Cài đặt thêm dịch vụ DNS từ Windows Components. - Trong Forward Lookup zone, cài đặt để phân giải miền viendong.com.vn theo

kiểu Primary Name Server

- Trong Reverse Lookup zone, cài đặt để phân giải tên cho các máy trong đƣờng

mạng 192.168.1.0 theo kiểu Primary Name Server.

- Tạo record A và PTR phân giải cho máy DNS Server. - Cấu hình lại record SOA và NS cho hệ thống hoạt động. - Tạo thêm các record A và PTR để phân giải cho các máy chứa dịch vụ khác. - Dùng công cụ nslookup để kiểm tra lại kết quả cấu hình. Bài 3: Dựa trên hệ thống DNS đã cấu hình ở câu trên để xây dựng thêm một DNS

Server dự phòng cho máy chủ DNS1 theo các yêu cầu cụ thể sau:

- Chu kỳ đồng bộ dữ liệu giữa máy DNS dự phòng và máy DNS chính là 2 giờ. - Khi máy DNS dự phòng không kết nối đƣợc với máy DNS chính thì sau 45

phút máy DNS dự phòng sẽ cố gắng kết nối lại.

- Sau khoảng thời gian 2 ngày kể từ khi máy DNS dự phòng không kết nối đƣợc

với máy DNS chính thì dữ liệu trên máy DNS dự phòng không còn giá trị.

333

Hƣớng dẫn:

- Trên máy dns2, cài đặt thêm dịch vụ DNS từ Windows Components. - Trên máy dns2. trong Forward Lookup zone, cài đặt để phân giải miền

viendong.com.vn theo kiểu Secondary Name Server

- Trên máy dns2, trong Reverse Lookup zone, cài đặt để phân giải tên cho các

máy trong đƣờng mạng 192.168.1.0 theo kiểu Secondary Name Server. - Trên máy dns1, tạo record A và PTR phân giải cho máy dns2. - Trên máy dns1, thêm record NS cho máy dns2. - Trên máy dns1, cho phép máy dns2 đƣợc phép sao chép dữ liệu. - Trên máy dns2, tiến hành sao chép dữ liệu từ máy dns1. - Trên máy dns1, cấu hình chu kỳ đồng bộ dữ liệu giữa máy dns2 và máy dns1

chính là 2 giờ.

- Trên máy dns1. cấu hình để khi máy dns2 không kết nối đƣợc với máy dns1 thì

sau 45 phút máy dns2 sẽ cố gắng kết nối lại.

- Trên máy dns1, cấu hình để sau khoảng thời gian 2 ngày kể từ khi máy dns2

không kết nối đƣợc với máy dns1 thì dữ liệu trên máy dns2 không còn giá trị.

- Dùng công cụ nslookup để kiểm tra lại kết quả cấu hình.

Bài 4: Hãy cấu hình DNS Server và máy trạm sao cho các máy này có thể đăng

ký tự động tên và địa chỉ IP với máy chủ DNS.

334

Bài 5: Giả sử đang có quản lý máy DNS cho miền viendong.com.vn. Công ty có

nhu cầu tạo thêm miền con là hcm.viendong.com.vn. Công ty muốn một máy khác sẽ

quản lý DNS cho miền con này.

Hãy cấu hình hệ thống nhằm đáp ứng yêu cầu trên.

Hƣớng dẫn - Thực hiện ủy quyền trên máy DNS Server quản lý miền viendong.com.vn - Thực hiện Forwarder trên máy DNS Server quản lý miền hcm.viendong.com.vn

Bài 6: Hãy xây dựng một FTP Server theo yêu cầu sau:

- Cho phép tài khoản anonymous truy cập vào Server thông qua địa chỉ ftp://192.168.1.200:21, ngƣời dùng sẽ thấy các tập tin chia sẻ đang để trong thƣ mục C:\FTPRoot.

- Trong cùng một thời điểm, chỉ cho phép tối đa 1000 ngƣời truy cập - Tạo các thông điệp khi đăng nhập “Chuc mot ngay lam viec vui ve” và thông

điệp khi thoát ra “Hen gap lai lan sau”

335

- Nếu sau khoảng thời gian 150s, ngƣời dùng đã kết nối với Server mà không

tƣơng tác thì hủy kết nối.

- Cấm máy có địa chỉ 192.168.1.100 truy cập vào FTP Site.

Hƣớng dẫn

- Cài đặt thêm dịch vụ FTP từ Windows Components. - Trên FTP Site, hiệu chỉnh thƣ mục gốc. - Trên FTP Site, giới hạn số lƣợng kết nối đồng thời là 1000 kết nối - Trên FTP Site, tạo các thông điệp khi đăng nhập và khi thoát ra. - Trên FTP Site, thực hiện việc ngắt kết nối nếu không tƣơng tác sau 150s - Trên FTP Site, cấm máy truy cập - Dùng FTP Client để kiểm tra

Bài 7: Với FTPSite đã có trong bài 6, Hãy cấu hình để khi ngƣời dùng đăng

nhập vào địa chỉ ftp://ftp.viendong.com.vn thì thấy các thƣ mục sau:

- Thƣ mục Software ứng với thƣ mục C:\Software trên máy FTP Server. - Thƣ mục Baocao ứng với thƣ mục C:\Baocao trên máy FTP Server. Thƣ mục

này không cho phép tài khoản anonymous đƣợc truy cập.

Hƣớng dẫn

- Cấu hình trên DNS để phân giải đƣợc tên ftp.viendong.com.vn thành địa chỉ IP

của FTP Server.

- Tạo Virtual Directory với tên ánh xạ là Software và thƣ mục gốc là C:\Software - Tạo Virtual Directory với tên ánh xạ là Baocao và thƣ mục gốc là C:\Baocao.

Thƣ mục này không cho tài khoản anonymous đăng nhập.

- Dùng FTP Client để kiểm tra.

Bài 8 Trong hệ thống mạng nhƣ bài tập 6. Hãy thiết lập thêm một FTP Site theo

yêu cầu sau:

- Thƣ mục gốc là C:\vftproot.

336

- Chỉ cho phép các user anonymous, administrator, hocvien, giaovien đƣợc phép

truy cập.

- Mỗi ngƣời sẽ vào một thƣ mục khác nhau, đồng thời đƣợc phép thay đổi nội

dung trong thƣ mục đó.

- Mọi ngƣời sẽ truy cập vào FTP Server theo địa chỉ ftp://vftp.viendong.com.vn

Hãy cấu hình hệ thống nhằm đáp ứng yêu cầu trên.

Bài 9: Hãy thiết lập FTP Server theo yêu cầu sau:

- Thƣ mục C:\vftproot là thƣ mục để mọi ngƣời upload và download dữ liệu - Chỉ cho phép các user administrator, nvphuoc, tntien đƣợc phép truy cập. Đây

là các tài khoản trên Domain.

- Mỗi ngƣời sẽ vào một thƣ mục khác nhau, đồng thời đƣợc phép thay đổi nội

dung trong thƣ mục đó.

- Mọi ngƣời sẽ truy cập vào FTP Server theo địa chỉ ftp://vftp.viendong.com.vn - Hãy cấu hình hệ thống nhằm đáp ứng yêu cầu trên. - Hƣớng dẫn - Cấu hình DNS để có thể phân giải địa chỉ vftp.viendong.com.vn thành địa chỉ

IP của máy FTP Server

- Cấu hình FTP Site theo kiểu Isolate user tích hợp với Active Directory, cấp

quyền ngƣời dùng đƣợc quyền Read và Write

- Tạo Home Directory cho các tài khoản ngƣời dùng.

Bài 10: Hãy xây dựng một Web Server theo yêu cầu sau:

- Khi ngƣời dùng đăng nhập vào địa chỉ http://www.viendong.com.vn thì sẽ hiển

thị trang web đang lƣu tại C:\Webroot\index.htm

- Cho phép tối đa 1000 ngƣời truy cập vào trong cùng một thời điểm - Nếu sau khoảng thời gian 150s, ngƣời dùng đã kết nối với Server mà không

tƣơng tác thì hủy kết nối.

- Cấm máy có địa chỉ 192.168.1.150 truy cập vào WebSite.

Hƣớng dẫn

337

- Cấu hình DNS để có thể phân giải địa chỉ www.viendong.com.vn thành địa chỉ

IP của WebServer.

- Cài đặt thêm dịch vụ Web từ Windows Components. - Trên Web Site, hiệu chỉnh thƣ mục gốc của Web Site. - Trên Web Site, giới hạn số lƣợng kết nối đồng thời là 1000 kết nối - Trên Web Site, thực hiện việc ngắt kết nối nếu không tƣơng tác sau 150s - Trên Web Site, cấm máy truy cập

Bài 11: Với sơ đồ mạng nhƣ bài tập 10. Hãy cấu hình theo yêu cầu sau:

tài khoản tntien mới truy cập đƣợc vào đƣờng dẫn - Chỉ có

http://www.viendong.com.vn/soft. Đây là thƣ mục chứa phần mềm đang đặt tại

C:\Software

- Chỉ có tài khoản thuộc nhóm Nhanvien mới đƣợc truy cập vào đƣờng dẫn

http://www.viendong.com.vn/music. Đây là thƣ mục chứa nhạc đang đặt tại C:\Nhac

- Hƣớng dẫn: - Tạo Virtual Directory với Alias là Soft và thƣ mục gốc là C:\Software. Thiết lập

quyền trên virtual directory – không cho phép tài khoản anonymous truy cập.

- Thiết lập quyền Security trên thƣ mục C:\Software – chỉ cho phép tài khoản

tntien có quyền đọc.

- Tạo Virtual Directory với Alias là Music và thƣ mục gốc là C:\Nhac. Thiết lập

quyền trên virtual directory – không cho phép tài khoản anonymous truy cập.

- Thiết lập quyền Security trên thƣ mục C:\Nhac – chỉ cho phép nhóm Nhanvien

có quyền đọc.

Bài 12: Với WebSite đang có trong bài tập 10. Hãy cấu hình để cho phép tài

khoản Webmaster đƣợc cập nhật nội dung WebSite bằng cách truy cập vào đƣờng dẫn

ftp://www.viendong.com.vn

Hƣớng dẫn

- Tạo FTP Site mới – không cho phép tài khoản anonymous đƣợc đăng nhập, cấp

quyền Write trên FTP Site.

- Hiệu chỉnh quyền Security của thƣ mục C:\Webroot – cho phép tài khoản

Webmaster đƣợc phép thay đổi nội dung

Bài 13: Trên máy Webserver1, Anh/Chị hãy cấu hình WebSite theo yêu cầu

- WebSite cho chi nhánh Hà Nội + Thƣ mục gốc của WebSite là C:\Web_hn. + Mọi ngƣời sẽ truy cập vào WebSite theo địa chỉ www.hn.viendong.com.vn + Tập tin hiển thị đầu tiên khi ngƣời dùng vào WebSite là Webhn.htm - WebSite cho chi nhánh Hồ Chí Minh

338

+ Thƣ mục gốc của WebSite là C:\Web_hcm. + Mọi ngƣời sẽ truy cập vào WebSite theo địa chỉ www.hcm.viendong.com.vn

Tập tin hiển thị đầu tiên khi ngƣời dùng vào WebSite là Webhcm.htm

339

TÀI LIỆU THAM KHẢO

[1] Ngọc Bích-Tƣờng Thụy, “Quản trị mạng-Windows Server 2008 dành cho ngƣời

tự học - Tập 1”, NXB Thông tin và truyền thông, 2012.

[2] Ngọc Bích-Tƣờng Thụy, “Quản trị mạng-Windows Server 2008 dành cho ngƣời

tự học - Tập 2”, NXB Thông tin và truyền thông, 2012.

[3] Ngọc Bích-Tƣờng Thụy, “Quản trị mạng-Windows Server 2008 dành cho ngƣời

tự học - Tập 3”, NXB Thông tin và truyền thông, 2012.

[4] Phạm Hoàng Dũng, “Làm chủ Microsoft Windows 2003 Server - Tập 1”, NXB

Thống kê, 2003.

[5] Phạm Hoàng Dũng, “Làm chủ Microsoft Windows 2003 Server - Tập 2”, NXB

Thống kê, 2003.

[6] Phạm Hoàng Dũng, “Làm chủ Microsoft Windows 2003 Server - Tập 3”, NXB

Thống kê, 2003.

[7] Lữ Đức Hào, “Tham Khảo Toàn Diện Windows Server 2003 - Tập 1: Giao

diện đăng ký và cài đặt Windows Server”, NXB Thống kê, 2007

[8] Lữ Đức Hào, “Tham Khảo Toàn Diện Windows Server 2003 - Tập 2: Giao

thức, hệ thống File và tính năng an toàn trong Windows Server”, NXB Thống kê,

2007

[9] Lữ Đức Hào, “Tham Khảo Toàn Diện Windows Server 2003 - Tập 3: Quản lý và

phục hồi sự cố trong Windows Server”, NXB Thống kê, 2007

[10] Tô Thanh Hải, Phƣơng Lan, “Quản Trị Windows Server 2008 (Tập 1)”, NXB

Phƣơng Đông, 2009

[11] Tô Thanh Hải, Phƣơng Lan, “Quản Trị Windows Server 2008 (Tập 2)”, NXB

Phƣơng Đông, 2009

[12] Tô Thanh Hải, Phƣơng Lan, “Quản Trị Windows Server 2008 (Tập 3”, NXB

Phƣơng Đông, 2009

[13] Lê Tƣ Thanh, “Giáo Trình Hệ Điều Hành Windows Server 2003”, NXB

Thông tin và truyền thông, 2010

340

Tập bài giảng Hệ điều hành mạng

Chủ đề:

Hệ điều hành

phục hồi sự cố trong Windows Server”, NXB Thống kê, 2007

Phƣơng Đông, 2009

Phƣơng Đông, 2009

Phƣơng Đông, 2009

Tài liệu liên quan

Tổng quan về máy vi tính

Case và nguồn

CPU

Tìm hiểu Bộ nhớ RAM

Ổ cứng HDD

CD Rom

Thiết bị vào ra

Card mở rộng

Partition Magic

Huong dan -Cai dat server window 2003 va server du phong

Có thể bạn quan tâm

Tài liêu mới

Giới thiệu

Về chúng tôi

Việc làm

Quảng cáo

Liên hệ

Chính sách

Thoả thuận sử dụng

Chính sách bảo mật

Chính sách hoàn tiền

DMCA

Hỗ trợ

Hướng dẫn sử dụng

Đăng ký tài khoản VIP

093 303 0098

support@tailieu.vn

Phương thức thanh toán

Theo dõi chúng tôi

Facebook

Youtube

TikTok

Tập bài giảng Hệ điều hành mạng

Chủ đề:

Hệ điều hành

phục hồi sự cố trong Windows Server”, NXB Thống kê, 2007

Phƣơng Đông, 2009

Phƣơng Đông, 2009

Phƣơng Đông, 2009

Tài liệu liên quan

Tổng quan về máy vi tính

Case và nguồn

CPU

Tìm hiểu Bộ nhớ RAM

Ổ cứng HDD

CD Rom

Thiết bị vào ra

Card mở rộng

Partition Magic

Huong dan -Cai dat server window 2003 va server du phong

Có thể bạn quan tâm

Tài liêu mới

AI tóm tắt

Giới thiệu tài liệu

Đối tượng sử dụng

Từ khoá chính

Nội dung tóm tắt

Giới thiệu

Về chúng tôi

Việc làm

Quảng cáo

Liên hệ

Chính sách

Thoả thuận sử dụng

Chính sách bảo mật

Chính sách hoàn tiền

DMCA

Hỗ trợ

Hướng dẫn sử dụng

Đăng ký tài khoản VIP

093 303 0098

support@tailieu.vn

Phương thức thanh toán

Theo dõi chúng tôi

Facebook

Youtube

TikTok