A4 xay dung va quan tri moi truong mang doanh nghiep 5 8 (25-10-07)[bookbooming.com]

Quản trị và xây dụng môi trường mạng doanh nghiệp

- 1 -

XÂY DỤNG VÀ QUẢN TRỊ MÔI TRƯỜNG MẠNG DOANH NGHIỆP

BÀI 1: XÂY DỰNG WINDOWS SERVER 2003 ACTIVE DIRECTORY ........ 2

BÀI 2: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG, MÁY TÍNH VÀ NHÓM ..... 30

BÀI 3: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN FILE ............................................ 56

BÀI 4: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN PRINTER .................................. 74

BÀI 5: QUẢN TRỊ MÔI TRƯỜNG MẠNG GROUP POLICY .............................. 82

BÀI 6: GIÁM SÁT HOẠT ĐỘNG MÁY CHỦ ........................................................... 100

BÀI 7: QUẢN TRỊ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU ....................................... 120

BÀI 8: QUẢN TRỊ SỰ CỐ HỆ THỐNG MÁY CHỦ ................................................ 153


- 2 -

BÀI 1: XÂY DỰNG WINDOWS SERVER 2003 ACTIVE DIRECTORY

Mục tiêu:

Giải thích Forest, Tree, Domain, OU

Xây dựng DC

Hiểu biết các lớp chứa của ADUC

Giai nhập Client vào Domain

Xử lý các sự cố DC, logon

1.1. Xây dựng Windows Server 2003/2008 Domain Controller (DC)

Hệ điều hành Windows thông dụng được chia làm 2 dạng: dạng sử dụng cho mục đích cá nhân và cho hệ thống mạng. Hệ điều hành Windws sử dụng cho hệ thống mạng được gọi là hệ điều hành mạng và có nhiều điểm khác biệt so với phiên bản sử dụng cho mục đích cá nhân nhất là khả năng phục vụ cho nhiều người, nhiều máy tính có khi lên tới con số hàng trăm hoặc hàng ngàn đồng thời gia tăng những tính năng bảo mật dữ liệu, cũng như bảo vệ sự riêng tư của cá nhân.

Phiên bản Windows 2003 Server có những đặc điểm nổi bật so với phiên bản Windows trước đó Windows 2000 Server đó là: khởi động nhanh hơn, hoạt động ổn định hơn, dễ quản lý hơn…… Phiên bản Windows Server 2003 được chia làm nhiều loại phù hợp với từng đối tượng sử dụng:

• Windows 2003 Server Standard: phiên bản này có hầu hết những tính năng cần thiết cho một Server thông thường. Ở phiên bản này, Windows 2003 hỗ trợ 4 CPU (4-way symmetric multiprocessing (SMP) support processor) và có thể nâng RAM tối đa lên 4 GB. Phiên bản này bao gồm: .NET Framework, IIS 6, Active Directory…..

• Windows 2003 Web Edition: phiên bản này hỗ trợ tối đa RAM 2GB và 2 CPU, đồng thời cũng giới hạn những tính năng như chia sẻ file, không có Active Directory, và chỉ có thể là thành viên của Domain… tuy nhiên phiên bản này được tối ưu đặc biệt để hỗ trợ những ứng dụng Web.

• Windows 2003 Enterprise: phiên bản này hỗ trợ RAM lên đến 64GB và 8 CPU, đây là phiên bản dành cho các doanh nghiệp lớn nên có thêm những tính năng hỗ trợ đặc biệt cho việc quản lý.

• Phiên bản Windows 2003 DataCenter: phiên bản này cũng giống như phiên bản Enterprise và thường được sử dụng trong các phòng Server phục vụ cho việc lưu trữ dữ liệu chuyên biệt.

• Ngoài những phiên bản trên còn có những phiên bản khác như Windows 2003: Small Business Server được tối ưu cho các doanh nghiệp vừa và nhỏ….

Trong chương trình học, chúng ta sử dụng phiên bản Windows 2003 Server Enterprise vì phiên bản này hỗ trợ rất nhiều các tính năng của Windows 2003 và đang được sử dụng rộng rãi ở Việt Nam.

Phiên bản Windows Server 2008: Microsoft đã vươn được đến một mốc lịch sử trọng đại khác với RC0 Release Candidate đầu tiên của hệ điều hành Windows Server 2008 hiện đã đựợc cung cấp trên mạng cho khách hàng. Giờ đây các khách hàng và đối tác có thể tải chúng và tự kiểm tra phiên bản mới nhất của Windows Server 2008.

Được đóng gói với nhiều tính năng mới, Windows Server 2008 mang đến cho khách hàng một nền tảng Windows có khả năng tin cậy và linh hoạt nhất từ trước tới nay. Những nâng cao về mặt kỹ thuật như máy chủ và khả năng ảo hóa, Internet Information Services (IIS) 7.0, Server Core, PowerShell, Network Access Protection, Server Manager, các công nghệ nối mạng và clustering nâng cao cho phép khách hàng có được một nền tảng bảo mật nâng cao, dễ dàng trong quản lý. Tất cả những cải thiện trong các tính năng mang đến cho khách hàng một giải pháp Windows tích hợp nhất cần có. Ví dụ, với IIS 7.0, nền tảng của Microsoft cho việc phát triển và cấu hình các ứng dụng và dịch vụ Web, đang cho thấy một tiềm lực khách hàng lớn, với hơn 13 công ty làm việc về hosting đã tiến cử IIS 7.0 và hơn 1.200 khách hàng đã triển khai thông quan đăng ký GoLive.


- 3 -

Tất cả các tổ chức CNTT với nhiều quy mô khác nhau sẽ đánh giá khả năng mở rộng của sự ảo hóa Windows Server, gồm có bộ đa xử lý khách, cấp phát bộ nhớ lớn (hơn 32 GB trên một máy) và sự hỗ trợ chuyển đổi ảo được tích hợp cho phép các tổ chức CNTT có thể ảo hóa hầu hết các luồng công việc. Kiến trúc 64-bit, và máy ảo nhân siêu nhỏ của Windows Server 2008 hỗ trợ cho một loạt các thiết bị, cả 32 và 64 bit, bộ đa xử lý khách và một loạt các giải pháp lưu trữ gồm iSCSI và fiber channel SAN. Sự ảo hóa Windows Server đưa ra giao diện WMI dựa trên các chuẩn và API đã xuất bản cho việc quản lý – tích hợp hoàn toàn với giao diện quản lý Windows Server với các nhu cầu cần thiết của khách hàng.

So sánh các phiên bản

Microsoft Windows Server 2008 giúp các chuyên gia CNTT tăng được khả năng linh hoạt của cơ sở hạ tầng máy chủ, mang đến cho các chuyên gia phát triển phần mềm một nền tảng ứng dụng và Web mạnh mẽ trong việc xây dựng ứng dụng và dịch vụ nết nối. Các công cụ quản lý mới mạnh mẽ và nâng cao về bảo mật cho phép có nhiều kiểm soát hơn đối với các máy chủ, mạng và cung cấp sự bảo vệ nâng cao cho các ứng dụng và dữ liệu.

• Windows Server 2008 Standard Edition: Phiên bản này cung cấp chức năng máy chủ chính với hầu hết các vai trò và tính năng máy chủ. Nó gồm cả tùy chọn đầy đủ và tùy chọn cài đặt Server Core.

• Windows Server 2008 Enterprise Edition: Phiên bản này xây dựng trên Windows Server 2008 Standard Edition để cung cấp khả năng mở rộng và khả năng sẵn có tốt hơn, bổ sung thêm các công nghệ doanh nghiệp như việc tự động chuyển đổi dự phòng clustering và Active Directory Federation Services.

• Windows Server 2008 Datacenter Edition: Phiên bản này cung cấp chức năng tương tự như Windows Server 2008 Enterprise Edition cộng với sự hỗ trợ cho các bộ vi xử lý, bộ nhớ bổ sung và quyền sử dụng ảnh ảo vô tận.

• Windows Web Server 2008: Phiên bản này được thiết kế đặc biệt cho sử dụng như một máy chủ ứng dụng và Web. Các vai trò máy chủ khác không có trong phiên bản này.

• Windows Server 2008 for Itanium-based Systems: Phiên bản này được thiết kế sử dụng với bộ vi xử lý 64 bit để cung cấp chức năng máy chủ ứng dụng và Web trên nền tảng đó. Các vai trò máy chủ khác các tính năng có thể không có trong phiên bản này.

Domain Name

Là tên miền (vùng, khu vực, lĩnh vực) của một quốc gia, lãnh thổ... Trong lãnh vực máy tính thì Domain Name là một miền quản lý cao cấp và phân cấp của một tổ chức hay một phòng ban. Người ta dùng tên miền để quản lý các nhóm máy tính và đưa ra các chính sách an ninh, bảo mật cho hệ thống. Ngoài ra tên miền còn được biết đến việc phân chia logic giữa các mạng lớn thành các mạng con để dễ dàng quản lý và phân chia tài nguyên hợp lý và tiện lợi. Ví dụ: microsoft.com, yahoo.com, icare.com.vn, ispace.edu.vn... những tên miền này có giá trị xác thực trên internet và được cấp bởi các đại lý cung cấp tên miền. Chúng được quản lý bởi tổ chức quản lý và cung cấp tên miền ICANN (Internet Comporation for Assigned Names and Numbers). Lưu ý: Trong quản trị mạng LAN như giáo trình này thì Domain được coi là tên miền quản lý các nhóm máy, các người dùng, các tài nguyên cục bộ. Tên miền này chỉ có giá trị trong hệ thống cục bộ này mà không hề có giá trị trên Internet (toàn cầu) vì tên miền này chưa được công nhận.


- 4 -

Domain Controller

Trong quản lý Windows NT thì việc điều khiển, xác lập và quản lý tên miền được gọi là Domain Controller và thường được viết tắt là DC (Bộ điều khiển tên miền). DC sẽ có nhiệm vụ trả lời những yêu cầu về bảo mật, quyền truy cập, kiểm tra hợp pháp... của các kết nối máy con hay tính hợp pháp của người sử dụng các dịch vụ domain. Mỗi tên miền có một trình điều khiển PDC (Primary Doman Controler – Bộ điều khiển tên miền chính) và có một hay nhiều BDC (Backup Domain Controller – Bộ điều khiển tên miền dự phòng), để chứa các cơ sở dữ liệu của tài khoản và thông tin của các tài khoản đó. Việc sao chép, backup là hoàn toàn tự động giữa các DC với nhau.

Trong hệ thống mạng lớn, người dùng của tên miền này luôn có nhu cầu truy cập thông tin của các tên miền khác do đó người quản trị phải thết lập quan hệ ủy thác chồng chéo (trust relationship). Tuy nhiên, trong hệ thống doanh nghiệp chỉ có một tên miền thì điều này không cần thiết.


- 5 -

Forest Tree

Là một hay nhiều domain chia sẻ chung một cấu hình, giản đồ. Forest Tree chứa nhiều domain trong một rừng chia sẻ chung một DNS namespace liền kề nhau.

Active Directory

Là một chuỗi điều khiển tích cực là “trái tim” của Windows 2003 Server. Hầu hết tất cả hoạt động của hệ thống như chi phối, phân quyền... đều do Active Directory điều khiển.

Active Directory (AD) dùng để lưu trữ dữ liệu của Domain như các đối tượng User, Group, OUs... theo kiểu cung cấp dịch vụ (Directory Service) tìm kiếm, kiểm soát... cho phép user truy cập tài nguyên một cách an toàn và nhanh chóng. Với những dịch vụ và tiện ích của mình AD đã làm cho việc quản trị trở nên nhẹ nhàng hơn và hiệu quả được nâng cao hơn, mà điều này không thể có thể mô hình mạng peer to peer, phân tán. Cho dù hệ thống lớn cũng có thể quản trị tập trung một cách tốt nhất.

OU (Organization Units): là một loại đối tượng đặc biệt của Active Directory được chứa trong domain, các OU rất hữu ích bởi vì bạn có thể sử dụng chúng để tổ chức hàng trăm ngàn đối tượng trong thư mục thành một khối có thể quản lý. Bạn sử dụng OU để nhóm, tổ chức các đối tượng cho mục đích quản lý như là phân quyền quản trị hay gán các chính sách (policies) cho một tập hợp các đối tượng giống như một khối.

Khi thết kế AD chúng ta phải phân rõ các tổ chức, phòng ban về phương diễn hành chánh hay địa lý để người quản trị dễ dàng thao tác cũng như quản lý. Ví dụ: chúng ta tạo các OUs như Marketing, Sale, Manager... để có thể quản lý hoặc cài đặt thêm các chương trình cho nhóm người trong OUs. 1.1.1. Cài đặt Windows 2003 Server.

Cài đặt Windows Server cũng tương tự như cài Windows XP. Ở đây chúng ta chuẩn bị các thiết bị cũng như điều kiện đầy đủ để cài đặt Windows.

• CPU từ 733Mhz trở lên

• RAM tối thiểu là 256MB trở lên.

• Đĩa cứng phải trống từ 1.5 GB trở lên.

• Màn hình có độ phân giải từ 800 x 600 trở lên.

• Ổ đĩa CDROM.


- 6 -

• Windows 2003 Server có bootable.

s 2003 Enterprise Edition để cài đặt.

e.com.vn.

ce.com.vn. Sau tiến hành cài đặt Windows 2003.

Mainboard để

Theo giáo trình này, chúng ta dùng WindowQui ước đặt cài đặt và đặt tên:

Server name: svr1. là: ispacDomain Controller

IP Server là: 192.168.1.1. > antb@ispaĐặt user là: An Tran Bao -

khi chuẩn bị các bước trên đầy đủ. Bây giờ chúng taBước 1: Vào BIOS chọn Controller boot đầu tiên là CDROM. (Nên tìm hiểu tài liệu của biết cách thiết lập BIOS). Bước 2: Đặt CD Windows 2003 bootable vào cho tới lúc máy hiện ra thông báo “Press any key to boot from CD …” thì chúng ta bấm một phím bất kỳ để máy tính khởi động và cài đặt từ CDROM chứa Windows 2003.

Hình 1.1: Thông báo Boot CD

Bước 3: lúc này màn hình cài đặt Win hình trạng thái lưu trữ như RAID…

dows sẽ hiện ra. Nếu muốn cấuthì nhấn F6 (điều này sẽ nói rõ trong phần Cài đăt Windows 2003 Server với RAID phía sau).

Hình 1.2: Wi dows Setup

Bước 4: Windows setup tiếp tục cài đặt hiện ra màn hình Welcome to setup.

n

một số file cầ thiết tới lúc nVì là cài đặt Windows nên tiếp tục nhấn Enter để cài đặt.


- 7 -

Hình 1.3: Welcome to Setup

Bước 5: sau khi kiểm tra dung lượng của HDD, Windows setup sẽ hiện ra bảng Windows Licensing để nói về Windows 2003 cũng như tính pháp lý của Windows. Tiếp tục nhấn F8 để chấp nhận License.

Hình 1.4 Thoả thuận về bản quyền

Bước 6: Sau khi nhấn F8. Windows setup tiếp tục tới phần chọn khoảng trống của ổ cứng để copy và install Windows.


- 8 -

Hình 1.5: Chọn Partition để cài đặt Windows

Bước 7: Trong hình trên, dung lượng của hệ thống cài đặt Windows chỉ có 8GB. Nếu muốn chia nhỏ dung lượng cài đặt thì nhấn “C=Create Partition”. Trong bài này, chúng ta chọn hết dung lượng để cài đặt nên nhấn “Enter”. Sau khi chọn cài đặt thì Windows setup sẽ hỏi là nên cài hệ thống Win trên File System nào? Có 2 lựa chọn chính là: FAT, NTFS. Vì hệ thống NTFS có nhiều ưu điểm hơn như khả năng chịu lỗi, quản lý nhiều HDD với dung lượng hỗ trợ lớn… nên khuyến cáo nên chọn kiểu Format này.

Hình 1.6: Các tùy chọn định dạng Partition

Bước 8: Sau khi chọn format kiểu NTFS. Windows setup tiếp tục format và copy dữ liệu cần thiết vào ổ cứng.


- 9 -

Hình 1.7: Quá trình copy file Bước 9: Việc copy file được thực hiện tới lúc kết thúc và máy sẽ tự động restart lại. Lưu ý: khi khởi động lại. tới màn hình boot CD máy tính sẽ hiện ra thông báo “Press any key to boot from CD …” thì chúng ta bỏ qua, không nhấn phím nào cả. Bước 10: khi khởi động lại máy sẽ tiếp tục cài đặt thêm các thông số của người quản trị trên giao diện graphic.

Hình 1.8: Tiến trình cài đặt Windows


- 10 -

Bước 11: Windows Setup sẽ Install và Preparing các file setup để hệ thống hóa các file. Tới lúc Windows Setup sẽ cho người quản trị biết về khu vực và ngôn ngữ lựa chọn “Regional And Language Options page” Lưu ý: chúng ta có thể chỉnh sửa thông số này sau khi cài đặt xong Windows bằng cách lựa chọn Regional And Language Options trong Control Panel

Hình 1.9: Lựa chọn ngôn ngữ và khu vực

Bước 12: Windows Setup tiếp tục tới phần thông tin cá nhân hoặc tổ chức (Personalize Your Software). Chúng ta điền tên người quản trị và tổ chức hoặc công ty mà chúng ta cài đặt.

Hình 1.10: Nhập tên và tổ chức


- 11 -

Bước 13: Setup tiếp tục hiện ra bảng “Your Product Key” để chúng ta điền mã sản phẩm vào. Mã sản phẩm này còn gọi là CDKEY thường được ghi trên bề mặt của CD.

Hình 1.11: Nhập sô CD Key

Bước 14: Setup tiếp tục hiện thị tới “Licensing Modes” (kiểu cấp phép bản quyền). Ở đây Windows 2003 sẽ cho chúng ta sự lựa chọn kiểu licence là: bản Windows này cài đặt với kiểu Server và có 5 kết nối một lúc, hoặc kiểu Device là có bao nhiêu Processor hay bao nhiêu Server nối với nhau. Chúng ta chọn Per Server, Number of Concurrent Connection là 5 để qua bước kế tiếp.

Hình 1.12: Lựa chọn bản quyền


- 12 -

Bước 15: Màn hình Setup sẽ tiếp tục hiện ra phần “computer name and administrator password” để người quản trị điền vào thông số Server name, password bảo vệ.

Hình 1.13: Nhập tên máy tính và Password cho user Administrator

Bước 16: Kế tiếp chúng ta chọn múi giờ và giờ giấc cho đúng với khu vực. Lưu ý: Múi giờ Việt Nam là GMT+7. Việc thay đổi giờ và ngày cũng có thể vào Control Panel sau khi cài đặt hoàn tất Windows.

Hình 1.14: Cài đặt ngày, giờ cho hệ thông


- 13 -

Bước 17: Kế tiếp setup sẽ hiện ra trang Networking setting chọn Typical settings và nhấn Next.

Hình 1.15: Lựa chọn kết nối mạng

Bước 18: Setup sẽ hiện ra cho trang môi trường làm việc “Workroup and Computer Domain”. Ở đây có 2 sự lựa chọn: “Workgroup” là computer này không thuộc môi trường quản lý Domain (tên miền); và “Member of Domain” là chịu sự quản lý phân cấp từ một Domain khác. Vì chúng ta đang tạo một máy chủ nên cần chọn Workgroup để xây dựng một máy chủ có Domain để quản lý.

Hình 1.16: Lựa chọn Workgroup hay Domain


- 14 -

Bước 19: Phần cấu hình setup Windows đã kết thúc. Chúng ta chờ hệ thống cập nhật các file cài đặt cho tới hết và tự động khởi động lại máy. Lưu ý: khi máy khởi động lại thì chúng nên lấy CDROM ra khỏi khay CDROM hoặc vào BIOS để thiết lập lại BIOS cho boot bằng HDD. Bước 20: Sau khi cài đặt hoàn tất và reboot. Màn hình welcome to Windows sẽ xuất hiện với các tổ hợp phím “Ctrl+Alt+Delete”. Chúng ta nhấn các tổ hợp phím trên để đăng nhập vào hệ thống với user: administrator và password mà chúng ta tạo từ bước 15.

Hình 1.17: Màn hình logon

Bước 21: Cuối cùng chúng ta đã cài đặt hoàn tất Windows 2003. Phần còn lại là chúng ta cài đặt các driver cho các thiết bị mà Windows chưa cập nhật Driver (xem hướng dẫn trên các tài liệu kèm theo mainboard và thiết bị kèm theo).

Hinh 1.18: Xem thuộc tính hệ thống


- 15 -

Kết luận: qua phần trên chúng ta có thể hiểu và setup một Windows 2003 Server từng bước theo ý của người quản trị. Nếu chúng ta mua Windows chính hãng từ nhà phân phối của Microsoft thì trong vòng 30 ngày sau khi cài đặt buộc phải kích hoạt (activation) sản phẩm, nếu không hệ thống sẽ mất quyền đăng nhập. 1.1.2. Cài đặt RAID trên Windows 2003. Việc cấu hình RAID ở phần cứng đã xong bây giờ cài đặt Windows có RAID. Cài đặt Windows có RAID cũng tương tự như cài Windows không có RAID, tuy nhiên ở bước 3 ở trên chúng ta phải nhấn F6 để cài đặt RAID (lưu ý phần này hiện thị rất nhanh trong lúc cài đặt và nhấn kịp thời).

Hình 1.25: Cài đặt Windows trên đĩa RAID

Việc cài đặt RAID sau khi nhấn F6 phải đòi hỏi có Đĩa Mềm (FDD) chứa thông số card RAID. (xem hướng dẫn của kèm theo của Mainboard hoặc Card RAID hay tìm hiểu trên website của thiết bị RAID đó). Nếu Windows không tự tìm được trình điều khiển RAID thì Windows setup sẽ hiện ra thông báo sau:

Hình 1.26: Windows không tìm được driver đĩa cứng RAID


- 16 -

Lúc này chúng ta đưa FDD chứa trình điều khiển RAID vào FDD controller. Và nhấn “S”. Thì Windows sẽ cho thấy trình điều khiển RAID có trên FDD:

Hình 1.27: Cài đặt driver cho đĩa cứng RAID

Trong ví dụ này chúng ta chọn “Intel (R) 82801GR/GH SATA RAID Controller (Desktop ICH7R/DH)”. Sau khi chọn trình điều khiển như trên màn hình sẽ xuất hiện như sau:

Hình 1.28: Driver RAID đã được cài đặt

Lúc này Windows sẽ nhận ra được hệ thống RAID mà chúng đã cấu hình từ phần cứng. Và dung lượng đạt được như hình sau là dung lượng Logic mà sau khi kết hợp từ phần cứng và RAID trên:


- 17 -

Hình 1.29: Lựa chọn partition để cài đặt windows

Quá trình cài đặt diễn ra bình thường như cài đặt không có RAID cho tới lúc kết thúc phần Windows setup.

Kết luận: qua phần trên chúng ta đã hiểu rõ quá trình cài đặt Windows có hỗ trợ tính năng RAID. Tuy nhiên vấn đề cài đặt RAID có thể khác khi chúng ta sử dụng hệ thống máy chủ của các hãng sản xuất máy chủ lớn như IBM, HP, Dell... thì trong packet kèm theo máy chủ sẽ có CD cấu hình mà thường gọi là smartstart CD. Quá trình cài đặt Windows bắt đầu từ CD này cho tới lúc hệ thống yêu cầu đưa CD Windows 2003 vào, hệ thống sẽ copy file từ CD Windows 2003 và cho tới lúc hoàn tất việc cài đặt Windows 2003. 1.1.3. Nâng cấp Server thành Domain Controller. Trước đây khi sử dụng Windows NT4 thì khi setup Windows là chúng ta đã thiết lập Domain ngay trong lúc cài đặt. Nhưng từ Windows 2000 Server trở về sau không còn cài đặt Domain trong lúc cài, mà chúng ta phải nâng cấp Windows Server thành Domain Controller. Những lý do sau đây không cần nâng cấp:

• Ngân sách dành cho hệ thống thấp. • Phù hợp với phòng Internet, games hoặc công ty nhỏ. • Hệ thống mạng không đòi hỏi tính bảo mật cao. • Những phần mềm có thể hoạt động được trên cơ chế của Windows Server. • ...

Vì vậy khi sử dụng hệ thống có mục đính lớn và có tính bảo mật thì chúng ta nâng cấp Server thành domain controller để quản lý và phân cấp. Cài đặt Domain Controller. Trước khi cài đặt Domain Controller chúng ta phải chuẩn bị một số dịch vụ cần thiết cho công việc cấu hình:

DNS (Domain Name System), DHCP (Dynamic Configuration Protocols): Dịch vụ phân giải tên miền và dịch vụ cấp phát IP động.

Start -> Control Panel -> Add/Remove Programs. Click Add/Remove Windows Component, chọn mục Networking Services sau đó Click Details.... Chọn DNS, DHCP.


- 18 -

Sau khi đã chuẩn bị các dịch vụ trên. Chúng ta tiến hành nâng cấp Server thành Domain Controller. Bước 1: Vào Start –> Programs -> Administrative Tools -> Manager

Bước 2: Màn hình sẽ hiện ra. Chọn Add or Remove A Role. Màn hình Configure Your Server Wizard, click Next


- 19 -

Bước 3: Trong Server Role chọn Domain Controller (Active Directory), click Next

Bước 4: Windows sẽ tập hợp những điều kiện cần thiết để chuẩn bị cho việc Active Directory. Sau đó màn hình Active Directory Installation Wizard hiện ra, click Next.


- 20 -

Bước 5: Màn hình Installation Wizard sẽ hiện ra bảng Domain Controller Type:

Domain Controller For a new Domain: Chọn mục này sẽ tạo mới Domain. Domain này có thể là Domain mới hoàn toàn hoặc là Domain con mới (Child Domain) Additional domain Controller for existing domain: mục này sẽ tạo một Backup Domain Controller, một Domain dẽ có nhiều BDC tùy thuộc vào mục đích của người quản trị.


- 21 -

Bước 6: Để tạo new Domain, chúng ta chọn Domain Controller for a new Domain để tạo Domain: ispace.com.vn

Bước 7: Điền tên miền: ispace.com.vn vào mục Full DNS name for new Domain:


- 22 -

Bước 8: Đợi một vài giây, Windows sẽ cho chúng ta biết NetBIOS domain name là ispace.

Bước 9: Quá trình cài đặt tiếp tục cho tới khi chúng ta gặp bảng thông báo “DNS Registration Diagnostics” nghĩa là Domain này không tìm thấy được DNS do nhà cung cấp dịch vụ cấp hoặc từ một máy chủ khác cấp. Vì chúng ta đang tạo tên miền mới và cung cấp DNS cho các máy khác để các máy khác trỏ vào chính máy chủ SVR1 này. Do đó Windows sẽ hỏi chúng ta có cài đặt luôn DNS trong lúc này hay không?.


- 23 -

Bước 10: Chọn “Install and Configure the DNS...” thì Windows sẽ hỏi về sự tương thích các permission giữa Windows 2000 trở về sau hay là tương thích với những phiên bản trước Windows 2000.


- 24 -

Bước 11: Trong giáo trình này chúng ta chọn Permission như hình trên nghĩa là tương thích từ Windows 2000 trở về sau. Windows sẽ cho chúng ta nhập password phục hồi – password này có tác dụng là khi chúng ta gỡ bỏ hoặc phục hồi AD thì phải sử dụng password này.

Bước 12: Quá trình khai báo những điều cần thiết cho việc nâng cấp AD như Domain, DNS, restore password... đã kết thúc. Lúc này Windows sẽ xây dựng (build) Active Directory.

Bước 13: Sau khi Build xong hệ thống sẽ yêu cầu Restart Windows lại để việc cấu hình hoàn thành.


- 25 -

Như vậy chúng ta đã hoàn tất việc xây dựng một Domain controller với domain là: ispace.com.vn. Lưu ý: việc xây dựng Domain controller phải có một số điều kiện cần như sau:

Máy chủ cài AD phải cài IP tĩnh. Máy chủ phải được nối vào Hub/switch. Tên miền không được quá dài, rõ ràng, và diễn đạt được ý nghĩa của công ty hay doanh nghiệp...

Ngoài ra chúng ta cũng có thể cài đặt Domain Controller bằng cách vào Start -> Run gõ vào dòng “dcpromo”, click OK màn hình sẽ hiện ra như bước 4, và quá trình xây dựng Domain Controller diễn ra bình thường cho tới lúc kết thúc. 1.2. Gia nhập Client vào Domain (Join vào Domain) Chúng ta đã dựng lên một Server và xây dựng Server này thành Domain Controller. Bây giờ chúng ta sẽ cho phép máy con (client) truy cập vào máy chủ.

Click chuột phải vào My Network Places trên Windows XP. Chọn Properties.


- 26 -

Chọn Properties của Local area Connection

Chọn Internet Protocol (TCP/IP), sau đó click vào Properties.

Điền vào IP trùng với lớp mạng của máy chủ:

o IP address: 192.168.1.2 o Subnet mark: 255.255.255.0 o Preferred DNS Server: 192.168.1.1


- 27 -

Những phần trên chúng ta có thể không thiết lập khi đã tìm hiểu về cấp phát IP động DHCP. Sau khi đặt IP cho Windows XP. Bây giờ thiết lập Windows XP gia nhập (join) vào Domain.

Chọn Properties của My Computer trên Windows XP. Chọn tab Computer Name. Click Change...


- 28 -

Gõ tên domain ispace.com.vn vào mục Domain. Click OK

Điền user name và password của administrator vào mục permission. (Bổ sung hình sau)

1.3. Xử lý sự cố 1.4. Bài tập tình huống Tóm tắt:

Các phiên bản của Windows Server 2003:

• Windows 2003 Server Standard: phiên bản này có hầu hết những tính năng cần thiết cho một Server thông thường.

• Windows 2003 Web Edition: phiên bản này hỗ trợ chủ yếu cho những ứng dụng Web.

• Windows 2003 Enterprise: là phiên bản dành cho các doanh nghiệp lớn nên có thêm những tính năng hỗ trợ đặc biệt cho việc quản lý.

• Windows 2003 DataCenter: phiên bản này cũng giống như phiên bản Enterprise và thường được sử dụng trong các phòng Server phục vụ cho việc lưu trữ dữ liệu chuyên biệt.

• Windows 2003: Small Business Server được tối ưu cho các doanh nghiệp vừa và nhỏ….


- 29 -

Các phiên bản của Windows Server 2008:

• Windows Server 2008 Standard Edition: Phiên bản này cung cấp chức năng máy chủ chính với hầu hết các vai trò và tính năng máy chủ. Nó gồm cả tùy chọn đầy đủ và tùy chọn cài đặt Server Core.

• Windows Server 2008 Enterprise Edition: Phiên bản này xây dựng trên Windows Server 2008 Standard Edition để cung cấp khả năng mở rộng và khả năng sẵn có tốt hơn, bổ sung thêm các công nghệ doanh nghiệp như việc tự động chuyển đổi dự phòng clustering và Active Directory Federation Services.

• Windows Server 2008 Datacenter Edition: Phiên bản này cung cấp chức năng tương tự như Windows Server 2008 Enterprise Edition cộng với sự hỗ trợ cho các bộ vi xử lý, bộ nhớ bổ sung và quyền sử dụng ảnh ảo vô tận.

• Windows Web Server 2008: Phiên bản này được thiết kế đặc biệt cho sử dụng như một máy chủ ứng dụng và Web. Các vai trò máy chủ khác không có trong phiên bản này.

• Windows Server 2008 for Itanium-based Systems: Phiên bản này được thiết kế sử dụng với bộ vi xử lý 64 bit để cung cấp chức năng máy chủ ứng dụng và Web trên nền tảng đó. Các vai trò máy chủ khác các tính năng có thể không có trong phiên bản này.

Domain Controller: lưu trữ các thư mục dữ liệu và quản lý việc giao tiếp giữa các user và các domain, bao gồm các quá trình user log on, kiểm tra quyền và tìm kiếm tài nguyên. Khi bạn cài đặt AD trên một máy tính chạy Windows Server 2003 , nó trở thành một Domain Controller.

Active Directory (AD): dùng để lưu trữ dữ liệu của Domain như các đối tượng User, Group, OUs... theo kiểu cung cấp dịch vụ (Directory Service) tìm kiếm, kiểm soát... cho phép user truy cập tài nguyên một cách an toàn và nhanh chóng.

OU (Organization Units): là một loại đối tượng đặc biệt của Active Directory được chứa trong domain, các OU rất hữu ích bởi vì bạn có thể sử dụng chúng để tổ chức hàng trăm ngàn đối tượng trong thư mục thành một khối có thể quản lý.


- 30 -

BÀI 2: QUẢN TRỊ TÀI KHOẢN NGƯỜI DÙNG, MÁY TÍNH VÀ NHÓM

Mục tiêu:

Hiểu biết User, Group, Computer

Quản trị User, Group

Giải thích các loại Profile

Xử lý các sự cố về User rights

2.1. Giới thiệu tài khoản

User Account: là tài khoản người dùng. Khi cài đặt AD sẽ có một số user được tạo ra mặc định (Build–in) như Administrator – là quyền quản trị cao nhất cho toàn hệ thống. User này không thể gỡ bỏ được. Ngoài ra nhân viên sử dụng máy tính trong hệ thống để có thể sử dụng tài nguyên và đăng nhập vào hệ thống thì người quản trị khởi tạo user và phân quyền sử dụng.

Computer Account: Mỗi máy tính chạy Microsoft Windows NT, Windows 2000, Windows XP hay Windows Server 2003 tham gia vào một domain đều có một computer account. Tương tự như user account, các computer account cung cấp ý nghĩa thẩm định quyền và chỉnh sửa quyền truy xuất vào mạng và các tài nguyên domain.

Group: là tập hợp một số user có những đặc tính chung như truy cập chung một thư mục nào đó, hay phân nhóm theo phòng ban...

Là người quản trị, chúng ta phải cung cấp cho các người dùng trong tổ chức khả năng tiếp cận được các tài nguyên mạng mà họ cần. Tài khoản người dùng cho phép người dùng đăng nhập và truy cập các tài nguyên cục bộ hoặc domain. Trong bài này, chúng ta sẽ học cách tạo các tài khoản người dùng cục bộ và domain, đặt các thuộc tính cho chúng.

Giới thiệu tài khoản người dùng

Tài khoản người dùng là một tập hợp quyền hạn duy nhất cho một người dùng cho phép người dùng đăng nhập vào domain để truy cập tài nguyên mạng hoặc đăng nhập vào một máy tính cụ thể để truy cập tài nguyên trên máy đó. Những người sử dụng mạng thường xuyên nên có một tài khoản người dùng.

Bảng sau mô tả các kiểu tài khoản người dùng được Microsoft® Windows® 2003 cung cấp.

Kiểu tài khoản Mô tả

Tài khoản người dùng cục bộ

Cho phép người dùng đăng nhập vào một máy tính cụ thể và truy cập tài nguyên trên máy đó. Người dùng có thể truy cập tàinguyên trên máy khác nếu họ có tài khoản riêng trên máy đó. Các tài khoản người dùng này nằm trong Security Accounts Manager (SAM) của máy.


- 31 -

Tài khoản người dùng domain

Cho phép người dùng đăng nhập vào domain để truy cập tài nguyên mạng. Người dùng có thể truy cập tài nguyên mạng từ bất kỳ máy tính nào trên mạng bằng một tài khoản người dùng và một mật khẩu. Các tài khoản người dùng này nằm trong dịch vụ danh bạ Active Directory™.

Tài khoản người dùng dựng sẵn (built-in)

Cho phép người dùng thực hiện các tác vụ quản trị hay tạm thời truy cập đến các tài nguyên mạng. Có hai tài khoản người dùng dựng sẵn không thể xóa được: Administrator và Guest. Các tài khoản Administrator và Guest cục bộ nằm trong SAM, các tài khoản Administrator và Guest của domain nằm trong Active Directory. Các tài khoản người dùng dựng sẵn được tạo tự động trong quá trình cài đặt Windows 2003 và Active Directory.

2.2. Quản trị User Tạo users. Sau khi cấu hình DC xong, chúng ta phải tạo user để các user này đăng nhập vào hệ thống mạng và sử dụng tài nguyên trên máy chủ như lưu trữ dữ liệu, chương trình kế toán, máy in... lúc này người quản trị cần phải biết các người dùng sử dụng vào mục đích gì? Mức độ như thế nào...Do đó việc tạo user phải có một tính chuyên nghiệp và dễ quản lý. Đầu tiên chúng ta vào Start programs administrative toos Active directory Users and Computers. Trong phần user chúng ta có thể tạo bằng cách:

Hình : Active directory Users and Computers

Cách 1: Vào Action new user.


- 32 -

Hình : New User

Cách 2: Chúng ta có thể thực hiện bằng cách click chuột phải trên Users new user. Màn hình Tạo user sẽ hiện ra, chúng ta nhập họ tên, user name... vào

Hình : Nhập thông tin User

Sau khi điền đầy đủ thông tin chúng ta tới phần nhập mật mã (password) cho user đó:


- 33 -

Hình : Nhập Password và các tùy chọn cho user

Trong phần Password:

Password Nhập password theo ý quản trị Confirm password: Nhập lại password trên User must change password at next logon User được phải thay đổi password

theo ý user trong lần truy cập đầu tiên User cannot change passwword User không được quyền thay đổi.

Quyền thay đổi thuộc về quản trị Password nerver expires Password không bao giờ hết hạn sử

dụng. Account is disabled Tài khoản này sẽ bị vô hiệu hóa chức

năng

Trong ví dụ này ta không đặt password, nghĩa là password để trống và chọn mục Password nerver expires.


- 34 -

Hình : Quá trình tạo user hoàn thành

Sau khi click nút Finish để kết thúc quá trình tạo user chúng ta sẽ gặp một vấn đề là Windows Server sẽ không cho tạo user do password của chúng ta là để trống, và không tuân theo qui ước của AD:

Hình : Thông báo lỗi do đặt Password không hợp lệ

Để giải quyết vấn đề trên chúng ta phải vào Start Program Administrative Tools Domain Security policy


- 35 -

Hình : Chọn Domain Security Policy

Màn hình sẽ cho chúng ta biết những policy nào của Windows

Hình : Password Policy

Chọn khung bên trái là Password Policy, chọn Minimum Password Length, nghĩa là chiều dài tối thiệu phải là 7 ký tự. Nếu chúng ta muốn sử dụng Password trống thì chúng ta chọn Policy setting là 0 ký tự.


- 36 -

Hình : Thay đổi Password Policy

Sau khi cho phép nhập password trống, chúng ta phải loại bỏ sự phức tạp của password mà hệ thống Windows đã đề ra: Chọn Password must meet complexity requirements properties -> Define this policy setting là Disable:

Hình : Cấm chế độ password phức tạp

Khi đã chọn những policy theo như trên, chúng ta phải cập nhật những thay đổi policy cho Windows. Bằng cách là chúng ta khởi động lại máy chủ hoặc ta cũng có thể vào Start -> Run, gõ vào cú pháp sau: gpupdate /force để thay đổi các policy của hệ thống.

Hình : Cập nhật Policy vừa thay đổi

Như vậy sau khi cập nhật Policy cho Server, lúc này chúng ta quay về vấn đề tạo user với password trống thì chúng ta sẽ tạo user thành công mà không gặp trở ngại nào.


- 37 -

Hình 3.12: Quá trình tạo user hoàn tất Quản lý Users. Phần trên chúng ta đã tìm hiểu về cách tạo user, bây giờ chúng ta phải tìm hiểu và quản lý các user như thế nào? Chúng ta thử tìm hiểu một số giải pháp thông dụng khi quản lý user. Ví dụ 1: một số user tạo ra trong một thời gian ngắn là vô hiệu hóa chức năng do tính chất thời vụ của user đó. Ví dụ 2: Trong một công ty, Giám đốc yêu cầu là tất cả nhân viên làm việc từ 8 giờ sáng tới 12 giờ trưa, sau khi qua 12 giờ trưa là tất cả các máy tính hoặc một số máy tính phải tự động ngưng làm việc để nghỉ trưa hoặc hạn chế thất thoát thông tin... Ví dụ 3: Trong một hệ thống mạng được triển khai cho môi trường giáo dục. Các học sinh sẽ lưu bài tập trên thư mục share trên Server của mình, vấn đề đặt ra là sẽ có nhiều em học sinh đăng nhập (logon) vào nhiều máy mà chỉ có một user để copy bài của nhau trên cùng một thư mục share đó. Vậy làm sao để giải quyết các vấn đề đó. Những vấn đề trên sẽ được tìm hiểu trong phần này. Sau khi tạo mới user, chúng ta vào Properties của user đó:


- 38 -

Hình 3.14: Thuộc tính General của user

Account properties Discriptions General, Address, Telephones and Organization tabs

Đây là những thông tin bổ sung của user

Account tab Thuộc tính này bao gồm nhiều thông tin về user như khởi tạo, password, hạn sử dụng...

Profile tab Ở đây có thể cấu hình đường dẫn profile, hay logon Script

Member Of tab Thuộc tính này bao gồm mức độ, quyền hạn hoặc thuộc nhóm nào.

Terminal Services Profile, Environment, Remote Control, Sessions tabs

Những Tabs này cho phép thiết lập môi trường làm việc, truy cập từ xa hoặc các phiên làm việc của việc truy cập đó.

Dial-in tab Cho phép hoặc không cho phép truy cập từ xa hoặc quyền dăng nhập VPN

COM+ tab Gán Active Directory COM+ cho việc quản lý dữ liệu phân tán trên Windows 2003.

Ở bảng trên có rất nhiều thuộc tính, tuy nhiên chúng ta chỉ quan tâm nhiều tới 3 thuộc tính cơ bản là Account tab, profile tab, member of tab. Còn những thuộc tính còn lại chúng ta tìm hiểu sau hoặc các hoạc viên tự tìm hiểu. Account tab Đây là thông tin rất quan trọng, cho phép thay đổi thông tin user, thời hạn của user...


- 39 -

Hình : Thuộc tính Account của user

Logon Hours...: cho phép tài khoản này truy cập vào những thời gian qui định trong ngày. Người quản trị sẽ chọn thời gian là work time, hoặc free time:


- 40 -

Hình : Thời gian Logon của user

Logon to...: cho phép tài khoản này truy cập vào một máy tính duy nhất (computer name) hoặc nhiều máy tính trong một phòng ban hoặc một nhóm làm việc. Mục đích này giúp cho người sử dụng tránh được mất mát thông tin cá nhân trên máy tính của mình.

Hình : Cho phép tài khoản logon vào 1 hay nhiều máy tính. Account Expires: chức năng này cho phép thời hạn sử dụng của Account này tới bao lâu:


- 41 -

Hình : Thời gian sử dụng Account

Member of Tab. Khi nói đến Member of của user tức là chúng ta đang nói đến phân cấp của user hay nhóm làm việc của user đó. Một user có thể là user thuần túy hoặc user đó có quyền ngang cấp với quyền quản trị administrator. Điều này tùy thuộc vào sự phân quyền của người quản trị. Tất nhiên việc phân quyền của user thì người quản trị phải đăng nhập vào hệ thống máy chủ với tài khoản Administrator. Bây giờ chúng ta sẽ thực hiện bài lab với tài khoản Hatq với quyền administrator.

Log on SVR1 với tài khoản administrator. Vào administrative tools -> active directory user and computers. Chọn user Ha Trần quang. Chọn Menu Action -> Properties (có thể click chuột phải vào Properties). Chọn tab Mermber of. Click vào nút Add... để thêm group vào.

Hình : Add Group


- 42 -

Hình : Select Group

Click vào Nút Advanced… để tìm group.

Hình : Chọn group cần add vào

Chọn nút Find Now -> chọn group administrators, sau đó click OK để hoàn tất việc chọn nhóm admistrators.

Quản trị Group Quản lý Groups.


- 43 -

Group là một nhóm làm việc do người quản trị tạo ra để cụ thể hóa các công việc hoặc dễ dàng quản trị. Group có thể được chia làm 2 loại là Buildin và manual. Loại build-in thì do Windows tạo ra để nói lên một chức năng đặc biệt nào đó ví dụ như Administrators, Backup Operators... là những tài khoản nào nằm trong group này sẽ có những quyền rất cao như đăng nhập vào máy chủ, backup, restore .... và các group này không thể xóa bỏ khỏi hệ thống. Loại Manual là loại do người quản trị tạo ra để quản lý, ví dụ trong công ty có rất nhiều nhân viên cùng sử dụng một tài nguyên nào đó trên máy chủ thì người quản trị chỉ tạo ra 1 group để gom nhóm các nhân viên này lại, và chia sẻ folder cho group này thì toàn bộ các thành viên đều được share. Để tạo một Group để quản trị, chúng ta vào Active Directory user and Computers, chọn User bên trái, chọn Menu Action -> new -> Group. (chúng ta có thể làm nhanh bằng cách click chuột phải vào User, chọn new).

Hình : Tạo New Group

Tạo một Group có tên là Marketing, với Group scope là Domain Local, kiểu group là Security


- 44 -

Hình : Nhập tên và các tuỳ chọn của group

Sau khi tạo xong Group Marketing, chúng ta đưa những user nào cần gom nhóm vào group. Việc đưa user vào group có 2 cách.

Chọn Properties của group Marketing mới tạo, chọn member tab, chọn nút Add.. để chọn user nào cần đưa vào.

Hình : Add Group

Cách khác là chọn chuột phải trên user nào muốn đưa vào Group, chọn Add to group


- 45 -

Hình : Add user vào group Như vậy việc tạo group và đưa user vào group không quá khó khăn, do đó người quản trị có thể tạo nhiều group khác nhau để quản trị. Các group này còn có thể đưa vào group khác như group buildin...


- 46 -

Hình : User đã được add vào Group

2.4. Quản trị User Profile Profile tab chứa các thông tin của user và đường dẫn hệ thống như vấn đề: các user đều dùng chung một màn hình desktop, các shortcuts trên desktop, các cookies... hoặc các đường dẫn của thư mục share trên máy chủ mà chỉ duy nhất user đó có mà user khác không có. Local Profiles: là profile mặc định của hệ thống trên Windows 2000, XP: c:\documents and settings\%username%. Profile này được tạo ra lần đầu tiên khi user logon vào hệ thống, các thay đổi về desktop, network... đều được lưu trữ ở Profile này. Roaming User Profiles: là tất cả các user đều lấy chung một Profile để hoạt động theo một Profile đã share trên máy chủ. Trên Profile tab, trong mục Profile path có cú pháp như sau: \\<Server>\<share>\%username%. Trong đó %username% là tự động lấy đúng user mà user đó đăng nhập vào hệ thống

Hình 3.19: Profile User

Trước hết chúng ta tạo một Profiles kiểu mẫu trên Server. Tạo một thư mục trên máy chủ đặt tên là profiles. Share thư mục này với tên Profiles. Chọn Permissions. chọn quyền share là Full Control. Chọn OK.


- 47 -

Hình : Cấp quyền cho Group Everyone

Sau đó ta tạo một User kiểu mẫu trên Server:

Text Box Name Enter First Name Profile Last Name Account User Logon Name: Profile User Logon Name (Pre-Windows 2000): Profile


- 48 -

Hình : Nhập thông tin user Sau khi tạo User hoàn tất, chúng ta cho user này với quyền Administrator để user này đăng nhập (logon) vào máy chủ.

Logoff Windows Server 2003. Logon Windows Server 2003 với tài khoản profile. Sau khi logon hoàn tất, chỉnh sửa Desktop, software, internet options... Tạo các shortcut trên desktop...


- 49 -

Hình : Logon với account Profile

logoff Windows. Logon Windows với tài khoản administrator. Vào System Proferties của SVR1, chọn tab Advanced, chọn User profiles, click setting...

Hình : System Properties

Trong user Profiles, chọn ISPACE\Profile. Click Copy to.


- 50 -

Hinh : User Profile

gõ đường dẫn profile muốn copy tới: “\\svr1\profiles\hatq. trong đó hatq là user của Tran Quang Ha mà chúng ta muốn sử dụng profile này. Thay đổi quyền sử dụng là “ISPACE\Hatq”

Hình : Nơi lưu trữ profile

Click OK để hoàn tất việc copy profile. vào Start -> Programs -> Administrative tools -> Active Directory User and Computer. Chọn Properties Ha Tran Quang. Vào Tab Profile. Gõ vào Profile path: “\\svr1\profiles\%username%


- 51 -

Hình : Profile path

Click OK để hoàn tất. Logoff tài khoản Administrator. Logon với tài khoản hatq (Ha Tran Quang).


- 52 -

Hình : Logon tài khoản Ha Tran Quang

Như vậy chúng ta đã hoàn tất việc Roaming Profile. Tài khoản Hatq sẽ sử dụng các desktop, shortcut... của user profile. Bây giờ chúng ta giải quyết một vấn đề thông dụng của Profile là Automatics Map Network Disks. Trong phần này các user khi đăng nhập vào hệ thống sẽ có một ổ đĩa network có sẵn trên máy tính của mình và khi thoát ra sẽ không còn ổ đĩa trên máy để tránh trường hợp thất thoát thông tin cũng như vấn đề riêng tư. Trong bài này chúng ta có ví dụ về tài khoản Ha Tran Quang. Tài khoản này có một thư mục trên máy chủ là Hatq và đã share thư mục này trên máy chủ với quyền Full Control.

Tạo thư mục trên máy chủ là Hatq, share thư mục này cho Ha Tran Quang với quyền Full Control.


- 53 -

Hình : Cấp quyền cho user Ha Tran Quang

Dùng Notepad hoặc bất cứ chương trình soạn thảo văn bản nào để tạo file: “tranquangha.bat”. Nội dung trong file tranquangha.bat như sau: “net use z: \\svr1\hatq”.

Hình 3.29: Nội dung file Tranquangha.bat

Copy file này vào thư mục: “C:\Windows\SYSVOL\sysvol\ispace.com.vn\cripts”.


- 54 -

Hình 3.30: Nơi lưu trữ file Tranquangha.bat

Vào Profile tab của user Ha Tran Quang. Trong mục Logon cripts: gõ tên file mới tạo:

Hình : Nhập tên file Logon script

Click OK. Khi user Hatq đăng nhập vào hệ thống mạng ispace.com.vn thì sẽ có một ổ đĩa ảo.


- 55 -

Hinh : Đĩa ảo của user khi logon vào mạng

Như vậy tài khoản hatq có thể lưu trữ tài liệu của mình trên máy chủ và chỉ có Hatq mới có thể chỉnh sửa, xóa... tài liệu của mình. 2.5. Các nhóm mặc định Khi một máy tính trở thành một domain controller, những group được tạo trong dịch vụ Active Directory. Mặc định, những group này có những quyền được xác định trước để quyết định những thao tác hệ thống mà các thành viên của group hay các group có thể thực hiện. Những group này không thể bị xoá. Danh sách sau mô tả các nhóm domain local group và những cấp quyền được gán trước cho chúng.

• Administrators: Các thành viên của Administrators group có thể thực hiện tất cả các chức năng mà hệ điều hành hỗ trợ. Administrators có thể gán cho chính họ bất kỳ quyền nào mà họ không có theo mặc định. Chỉ logon là một người quản trị khi cần thiết. Cũng phải cẩn thận khi add một user khác vào Administrator group.

• Backup Operators: Các thành viên của Backup Operators group có thể backup và phục hồi các tập tin bằng cách sử dụng công cụ Backup.

• Account Operators: Những thành viên của Account Operators group có thể quản lý các user account và group. Ngoại lệ là chỉ những thành viên của Administrators group có thể thay đổi một Administrators group hoặc bất kỳ một group nào.

• Server Operators: Các thành viên của Derver Operators group có thể share các tài nguyên mạng, logon vào một Server tương tác, tạo và xoá các tài nguyên share, khởi động và ngừng các dịch vụ, định dạng ổ cứng của server và shutdown máy tính. Họ cũng có thể backup và phục hồi các tập tin bằng cách sử dụng công cụ Backup.

• Print Operators: Các thành viên của Print Operators group có thể cài các máy in local và mạng để đảm bảo rằng các user có thể dễ dàng kết nối tới và sử dụng các tài nguyên máy in.


User account: là một đối tượng chứa tất cả các thông tin khai báo một user trong Windows Server 2003. Account có thể là local hay domain account. Một user account bao gồm user name và password kèm theo khi logon, các nhóm mà nó là thành viên (member of) các quyền lợi (user right) và sự cho phép (permisions) mà user có khi truy xuất vào máy tính và tài nguyên mạng.

Computer Account: Mỗi máy tính chạy Microsoft Windows NT, Windows 2000, Windows XP hay Windows Server 2003 tham gia vào một domain đều có một computer account. Tương tự như user account, các computer account cung cấp ý nghĩa thẩm định quyền và chỉnh sửa quyền truy xuất vào mạng và các tài nguyên domain.

Group: là một tập hợp các user account. Bạn có thể sử dụng group để quản lý việc truy xuất tới các tài nguyên domain rất hiệu quả, giúp cho bạn đơn giản hoá công việc bảo trì và quản trị mạng. Bạn cũng có thể sử dụng các group riêng biệt hay bạn có thể đặt một group vào một group khác để đơn giản việc quản lý hơn nữa.

Local Profiles: là profile mặc định của hệ thống trên Windows 2000, XP: c:\documents and settings\%username%. Profile này được tạo ra lần đầu tiên khi user logon vào hệ thống, các thay đổi về desktop, network... đều được lưu trữ ở Profile này.

Roaming User Profiles: là tất cả các user đều lấy chung một Profile để hoạt động theo một Profile đã share trên máy chủ.


- 56 -

BÀI 3: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN FILE

Mục tiêu:

Hiểu biết truy xuất tài nguyên mạng

Quản trị quyền truy xuất Shared, NTFS

Làm việc ngoại tuyến offline file

Xử lý các sự cố về Permissions, offline file

Hiểu biết và triển khai dịch vụ file DFS

3.1. Giới thiệu

Windows Server 2003 tổ chức các tập tin vào trong những thư mục thể hiện ở dạng đồ hoạ là các folder. Những folder này chứa tất cả các loại tập tin và có thể chứa các folder con. Một vài folder được dành riêng trước đó cho các tập tin hệ điều hành và những folder chương trình.

Shared các folder cho phép các user truy xuất các file và folder qua mạng. User có thể kết nối tới các foler share qua mạng để truy xuất các folder và những tập tin mà folder chứa. Các folder shared có thể chứa các ứng dụng, dữ liệu công cộng hay dữ liệu cá nhân. Việc sử dụng những folder share ứng dụng làm tập trung công việc quản trị bằng cách cho phép bạn cài đặt và duy trì những ứng dụng trên server thay vì trên các máy client. Sử dụng các folder share dữ liệu cung cấp một vị trí trung tâm cho user truy xuất các tập tin phổ biến và làm cho nó dễ dàng backup dữ liệu chứa trong các tập tin này.

Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share Permissions. Share Permissions chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng truy cập cục bộ. Khác với NTFS Permissions là quản lý người dùng truy cập dưới cấp độ truy xuất đĩa. Trong hộp thoại Share Permissions, chứa danh sách các quyền sau để cho phép người dùng truy xuất đến thư mục chia sẻ:

• Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ. • Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ. • Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ.


- 57 -

3.2. Quyền chia sẻ thư mục Các tài nguyên chia sẻ là các tài nguyên trên mạng mà các người dùng có thể truy xuất và sử dụng thông qua mạng. Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators, tiếp theo trong Explorer bạn nhầp phải chuột trên thư mục đó và chọn Properties, hộp thoại Properties xuất hiện, chọn Tab Sharing.

Mục Mô tả

Do not share this folder Chỉ định thư mục này chỉ được phép truy cập cục bộ

Share this folder Chỉ định thư mục này được phép truy cập cục bộ và truy cập qua mạng

Share name Tên thư mục mà người dùng mạng nhìn thấy và truy cập

Comment Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung này

User Limit Cho phép bạn khai báo số kết nối tối đa truy xuất vào thư mục tại một thời điểm

Permissions Cho phép bạn thiết lập danh sách quyền truy cập thông qua mạng của người dùng

Offline Settings Cho phép thư mục được lưu trữ tạm tài liệu khi làm việc dưới chế độ Offline.


- 58 -

Kết nối đến thư mục chia sẻ

Sau khi chia sẻ một thư mục, người dùng có thể truy cập thư mục đó qua mạng. Người dùng có thể truy cập một thư mục chia sẻ trên máy khác bằng cách sử dụng My Network Places, Map Network Drive, hay lệnh Run.

Sử dụng My Network Places

Trong nhiều trường hợp, cách dễ nhất để truy cập thư mục chia sẻ là sử dụng My Network Places.

Để kết nối đến thư mục chia sẻ dùng My Network Places, hãy thực hiện các bước sau:

1. Nhấp đúp My Network Places.

2. Nhập đường dẫn đến thư mục chia sẻ muốn kết nối hoặc nhấp Browse để tìm máy tính chứa thư mục.

3. Nhấp đúp thư mục chia sẻ để mở xem nội dung.

Lưu ý Khi mở thư mục chia sẻ trên mạng, Windows 2003 tự động thêm nó vào My Network Places. Sử dụng Map Network Drive (ánh xạ ổ đĩa mạng)

Hãy ánh xạ một ổ đĩa mạng khi muốn liên kết một ký tự ổ đĩa và một icon với một thư mục chia sẻ. Điều này làm cho việc tham chiếu đến vị trí của một tập tin trong thư mục chia sẻ dễ dàng hơn. Ví dụ, thay vì trỏ đến \\Máy chủ\Tên thư mục chia sẻ \Tập tin, chúng ta sẽ trỏ đến Ổ đĩa:\Tập tin. Chúng ta sử dụng các ký tự ổ đĩa để truy cập các thư mục chia sẻ không thể sử dụng đường dẫn UNC (universal naming convention), chẳng hạn như một thư mục của một ứng dụng cũ.

Để ánh xạ một ổ đĩa mạng, hãy thực hiện các bước sau:

1. Nhấp phải My Network Places, nhấp Map Network Drive.

2. Trong wizard Map Network Drive, hãy chọn ký tự ổ đĩa muốn sử dụng.

3. Nhập tên thư mục chia sẻ muốn kết nối hay nhấp Browse để tìm thư mục chia sẻ.

Để có thể tiếp cận thư mục chia sẻ sử dụng thường xuyên, hãy chọn Reconnect at logon để kết nối tự động mỗi khi log on.


- 59 -

Sử dụng lệnh Run

Khi sử dụng lệnh Run để kết nối đến tài nguyên mạng, không cần phải có ký tự ổ đĩa; cho phép số lượng kết nối không giới hạn, độc lập với các ký tự ổ đĩa khả dụng.

Để kết nối thư mục chia sẻ vào một ổ đĩa mạng, hãy thực hiện các bước sau:

1. Nhấp Start, nhấp Run.

2. Trong hộp thoại Run, nhập đường dẫn UNC trong hộp Open, nhấp OK.

Khi nhập tên máy chủ trong hộp Open, một danh sách tên các thư mục chia sẻ khả dụng sẽ xuất hiện. 3.3.Quyền NTFS

Windows 2003 chỉ cung cấp các quyền NTFS trên các phân vùng được định dạng NTFS. Để bảo mật cho các tập tin và thư mục trên các phân vùng NTFS, chúng ta gán các quyền NTFS cho từng tài khoản hay nhóm người dùng cần truy cập tài nguyên. Người dùng phải được cấp phép cụ thể để truy cập tài nguyên. Nếu không được cấp phép, tài khoản người dùng không thể tiếp cận tập tin, thư mục. Bảo mật NTFS có hiệu lực khi người dùng truy cập thư mục hay tập tin ngay tại máy hoặc qua mạng.

Danh sách kiểm soát truy cập (Access Control List)

NTFS lưu một danh sách kiểm soát truy cập (Access control list - ACL) trên từng tập tin và thư mục trong phân vùng NTFS. ACL chứa danh sách các tài khoản người dùng, nhóm, và các máy tính được cấp phép truy cập tập tin thư mục, cũng như loại truy cập mà chúng được phép. Để người dùng tiếp cận được tập tin thư mục, ACL phải chứa một mục (entry) gọi là mục kiểm soát truy cập (Access control entry - ACE) cho tài khoản, nhóm, hay máy tính của người dùng. Mục này phải cho phép kiểu truy cập mà người dùng cần phải có để có thể tiếp cận được tập tin thư mục. Nếu không tồn tại ACE trong ACL, Windows 2003 sẽ không cho phép người dùng truy cập tài nguyên.

Chúng ta có thể sử dụng các quyền NTFS để chỉ ra các người dùng, nhóm, và máy tính có thể tiếp cận tập tin thư mục. Các quyền NTFS cũng chỉ ra các người dùng, nhóm, và máy tính nào có thể làm gì với nội dung của tập tin, thư mục. Các quyền thư mục NTFS


- 60 -

Chúng ta gán quyền thư mục NTFS để kiểm soát truy cập đến các thư mục cũng như các tập tin và thư mục con chứa trong các thư mục đó.

Các quyền tập tin NTFS

Chúng ta gán quyền tập tin NTFS để kiểm soát truy cập đến các tập tin.

Lưu ý: Khi định dạng một phân vùng theo NTFS, Windows 2003 tự động gán quyền truy cập Read Only (chỉ đọc) đến thư mục gốc cho nhóm Everyone. Mặc định, nhóm Everyone sẽ có quyền Full Control đối với tất cả các thư mục và tập tin được tạo trong thư mục gốc. Để giới hạn truy cập chỉ cho các người dùng được phép, chúng ta nên thay đổi quyền mặc định cho các thư mục và tập tin chúng ta đã tạo. Cách Windows 2003 áp dụng các quyền NTFS

Mặc định, khi chúng ta cấp phép sử dụng một thư mục cho người dùng và nhóm, các người dùng và nhóm này sẽ có thể tiếp cận được các tập tin và thư mục con chứa trong thư mục này. Điều quan trọng chúng ta phải hiểu là các các thư mục con và các tập tin kế thừa quyền từ các thư mục cha, từ đó có thể sử dụng sự kế thừa này để truyền quyền truy cập cho các tập tin và thư mục.

Nếu cấp phép truy cập một tập tin hay thư mục cho một tài khoản người dùng hay cho nhóm mà người dùng là thành viên, người dùng sẽ có nhiều quyền truy cập đến cùng một tài nguyên. Có nhiều luật và độ ưu tiên liên quan đến cách NTFS kết hợp các quyền. Ngoài ra, chúng ta cũng có thể tác động đến các quyền truy cập khi sao chép hay di chuyển các tập tin, thư mục.

Quyền NTFS tổng hợp

Nếu chúng ta gán các quyền NTFS cho một tài khoản người dùng và cho nhóm mà người dùng thuộc về, thì có nghĩa là chúng ta đã gán quyền tổng hợp cho người dùng. Có nhiều luật quy định cách NTFS kết hợp các quyền này để tạo ra tập hợp quyền thật sự có hiệu lực cho người dùng.

Quyền từ chối (deny) che các quyền khác


- 61 -

Chúng ta có thể từ chối truy cập trên một tập tin, thư mục cụ thể qua việc gán quyền từ chối cho tài khoản người dùng hay nhóm. Thậm chí khi một người dùng có quyền truy cập tập tin hay thư mục do là thành viên của một nhóm, việc từ chối quyền đối với người dùng sẽ chặn các quyền khác người dùng đang có. Do đó, quyền từ chối là một ngoại lệ đối với luật tích lũy. Chúng ta nên tránh việc từ chối quyền vì việc cho phép truy cập thì dễ dàng hơn việc từ chối. Nên tổ chức các nhóm và tổ chức các tài nguyên trong các thư mục để chỉ cần sử dụng việc cấp phép là đủ (không cần dùng Deny).

Lưu ý Trong Windows 2003, có sự khác biệt giữa một người dùng không được phép truy cập và việc từ chối một người dùng truy cập bằng việc thêm một mục từ chối (deny entry) vào ACL trên tập tin, thư mục. Điều này có nghĩa nếu là người quản trị, chúng ta có một cách khác để từ chối truy cập là không cho phép người dùng truy cập tập tin thư mục.

Sự kế thừa quyền NTFS

Mặc định, các quyền được gán cho thư mục cha sẽ được kế thừa và lan truyền xuống các tập tin và thư mục con nằm trong thư mục cha này. Tuy nhiên, chúng ta có thể ngăn chặn sự kế thừa quyền khi muốn các tập tin và thư mục con có quyền khác với thư mục cha của chúng.

Sự kế thừa quyền

Bất cứ quyền gì được gán cho một thư mục cha cũng được áp dụng cho các thư mục con và tập tin chứa trong nó. Khi gán quyền NTFS để cho phép truy cập đến một thư mục là chúng ta đã gán quyền cho thư mục đó cũng như cho tất cả các tập tin và thư mục con đang tồn tại trong nó kể cả các tập tin và thư mục con sẽ được tạo trong thư mục đó.

Ngăn chặn việc kế thừa quyền


- 62 -

Chúng ta có thể ngăn chặn việc kế thừa quyền qua việc ngăn chặn các thư mục con và tập tin kế thừa quyền từ thư mục cha. Để ngăn chặn việc kế thừa quyền, hãy hủy các quyền được kế thừa và chỉ giữ lại các quyền được gán có chủ đích.

Thư mục con mà chúng ta đã ngăn không cho kế thừa quyền từ thư mục cha lúc này trở thành thư mục cha mới. Các thư mục con và tập tin chứa trong thư mục cha mới này sẽ kế thừa các quyền được gán cho các thư mục cha của chúng.

Gán quyền NTFS

Gán quyền NTFS trong hộp thoại Properties của thư mục. Khi gán hay thay đổi quyền NTFS cho một tập tin hay thư mục, chúng ta có thể thêm hay xóa các người dùng, nhóm hay máy tính cho tập tin hay thư mục. Qua việc chọn một người dùng hay nhóm, chúng ta có thể hiệu chỉnh quyền cho người dùng hay nhóm.

Trên tab Security trong hộp thoại Properties của tập tin hay thư mục, hãy cấu hình các tham số mô tả trong bảng sau.

Tham số Mô tả

Name Chọn tài khoản người dùng hay nhóm muốn thay đổi quyền hoặc muốn xóa khỏi danhsách.

Permissions

Cho phép một quyền khi chọn check box Allow.Từ chối một quyền khi chọn check box Deny.

Add Mở hộp thoại Select User, Groups, or Computers, dùng để chọn các tài khoản người dùng và nhóm để thêm vào danh sách Name.

Remove Xóa các tài khoản người dùng hay nhóm được chọn và các quyền hạn liên quan đến tập tin, thư mục.


- 63 -

Thiết lập sự kế thừa quyền

Nhìn chung, chúng ta nên cho phép Windows 2003 truyền lại các quyền từ thư mục cha cho các thư mục con và tập tin chứa trong thư mục cha đó. Sự lan truyền các quyền làm đơn giản hóa việc gán quyền cho các tài nguyên.

Tuy nhiên, sẽ có khi chúng ta muốn ngăn chặn việc kế thừa quyền. Ví dụ, chúng ta có thể cần phải giữ tất cả các tập tin của phòng kinh doanh trong một thư mục sales để mọi người trong phòng kinh doanh đều có quyền Write. Tuy nhiên, chúng ta cần phải giới hạn quyền cho một số tập tin trong thư mục là Read. Để làm được điều này, chúng ta sẽ ngăn chặn sự kế thừa để quyền Write không truyền xuống các tập tin chứa trong thư mục.

Mặc định, các thư mục con và các tập tin kế thừa quyền được gán cho các thư mục cha, như hiển thị trên tab Security trong hộp thoại Properties khi check box Allow inheritable permissions from parent to propagate to this object được chọn.

Để ngăn chặn một thư mục con hay tập tin kế thừa quyền từ thư mục cha, hãy xóa check box Allow inheritable permissions from parent to propagate to this object, sau đó chọn một trong hay tùy chọn đuợc mô tả trong bảng sau.


- 64 -

Tùy chọn Mô tả

Copy Sao chép các quyền được kế thừa trước đây từ thư mục cha xuống thư mục con hay tập tin và từ chối sự kế thừa quyền từ thư mục cha kể từ lúc đó.

Remove

Xóa các quyền kế thừa được gán trên thư mục cha khỏi thư mục con hay tập tin và giữ lại những quyền chúng ta đã gán có chủ đích cho thư mục con hay tập tin.

3.4. Tương tác quyền Shared và NTFS 3.5. Offline File

Offline Files là một tính năng quản lý tài liệu quan trọng cung cấp cho các user khả năng truy xuất online hay offline nhất định tới tập tin. Khi máy client ngắt kết nối khỏi mạng, mọi thứ được download về máy cục bộ. Các user vẫn có thể tiếp tục làm việc như họ đang còn kết nối tới mạng. Họ có thể chỉnh sửa, copy, xoá …Khi client kết nối trở lại vào mạng, các tập tin client và server tự động đồng bộ lại.

Sử dụng Offline Files có những thuận lợi sau : • Hỗ trợ cho những user lưu động

Khi một user lưu động xem share folder trong khi ngắt kết nối mạng, user vẫn có thể trình duyệt, đọc, chỉnh sửa các tập tin, bởi vì chúng đã được lưu trữ trong bộ nhớ của máy client. Khi user sau đó kết nối tới server, hệ thống điều chỉnh những thay đổi với server

• Tự động đồng bộ Bạn có thể cấu hình chính sách đồng bộ và cách hành động dựa trên thời gian trong ngày và loại kết nối mạng bằng cách sử dụng Synchronization Manager. Ví dụ bạn có thể cấu hình đồng bộ để nó xảy ra tự động khi user logon vào mạng LAN.

• Quá trình thực thi thuận lợi Offline Files cung cấp sự thực thi thuận lợi cho mạng. Trong khi kết nối tới mạng, các client vẫn có thể đọc tập tin từ bộ nhớ cục bộ, giảm lưu lượng dữ liệu truyền trên mạng.

• Backup thuận lợi Offline Files giải quyết tình trạng khó xử trong các tổ chức kinh doanh ngày nay. Nhiều tổ chức thực thi một chính sách backup yêu cầu tất cả dữ liệu của user phải được lưu trữ trên các server được quản lý. Bộ phận IT của tổ chức thường không backup dữ liệu được lưu trên các đĩa cục bộ. Điều này trở thành một vấn đề nghiêm trọng cho những user lưu động với các máy tính xách tay. Nếu bạn muốn truy xuất dữ liệu khi offline, máy tính cần sao chép dữ liệu giữa máy xách tay và server. Một vài tổ chức sử dụng công cụ Briefcase. Với Windows Server 2003, việc sao chép dữ liệu giữa máy client và server được quản lý tự động. Các tập tin có thể được truy xuất trong khi đang offline và được đồng bộ tự động với server được quản lý .

Bạn có thể cấu hình một file trên mạng làm cho nó sẳn sàng offline khi Offline Filse được enable cho folder chứa file đó. Khi các user cấu hình làm cho các tập tin được offline, user sẽ làm việc với phiên bản của tập tin mạng trong khi đang kết nối vào mạng ,và làm việc với phiên bản tập tin được lưu trữ trong bộ đệm khi ngắt kết nối mạng.


- 65 -

Khi các user cấu hình các files để được sẵn có offline những sự kiện đồng bộ sau sẽ xảy ra khi user disconnected khỏi mạng :

• Khi user log off khỏi mạng, hệ điều hành Windows client đồng bộ các tập tin mạng với bộ nhớ đệm sẽ copy các tập tin

• Khi user disconnected khỏi mạng, user sẽ làm việc với những tập tin được lưu trữ torng bộ nhớ cục bộ

• Khi user log on trở lại vào mạng, hệ điều hành client Windows đồng bộ bất kì tập tin offline nào mà user đã sửa đổi trên máy mạng. Nếu file được thay đổi trên cả hai máy thì hệ điều hành client Windows sẽ nhắc user loại file nào user muốn giữ, hay user có thể đổi tên tập tin, hoặc giữ cả hai phiên bản.

Chú ý: Nếu có hai user làm việc với cùng tập tin offline tại cùng thời điểm thì sau khi đồng bộ, một trong hai phiên bản sẽ bị mất. Tùy chọn Offlin file Cache

Offline Files lưu trữ các file thường xuyên được truy xuất vào một folder share. Điều này tương tự như trình duyệt Web giữ một danh sách các web site thường xuyên truy xuất vào trong bộ đệm(cache). Khi bạn tạo các share folder trên mạng, bạn có thể chỉ ra tuỳ chọn lưu trữ cho tập tin và những chương trình trong folder. Có 3 tuỳ chọn lưu trữ khác nhau.

Manual caching of documents: Chế độ này cung cấp truy xuất offline chỉ cho những file và chương trình mà user chỉ định là có hiệu lực. Nó là ý tưởng cho một folder share mạng chứa những tập tin mà một vài người sẽ truy cập và chỉnh sửa. Đây là tuỳ chọn mặc định khi bạn cấu hình một share folder trở thành offline. Automatic caching of documents: Với chế độ lưu trữ tự động, tất cả các file và chương trình mà user mở từ folder share tự động offline. Những tập tin mà user không mở sẽ không offline. Các bản copy cũ sẽ tự động bị ghi đè bởi những phiên bản mới hơn. Automatic caching of programs: Khi check box Optimized for performance được chọn, nó cung cấp tự động lưu trữ những chương trình. Việc tự động lưu trữ các chương trình làm giảm lưu thông mạng, bởi vì các tập tin offline được mở ngay lập tức. Các phiên bản tập tin trên mạng không thể truy xuất theo bất cứ cách nào, và những file offline nhìn chung khởi động và chạy nhanh hơn những version mạng.

Khi bạn sử dụng chế độ này, phải bảo đảm hạn chế các quyền tới những file được chứa trong các share folder thành truy xuất Read.

Để cấu hình các thiết lập offline bằng cách sử dụng Windows Explorer :

1. Trong Windows Explorer, right-click trên shared folder muốn cấu hình truy cập offline và sau đó click Sharing and Security.


- 66 -

2. Trong hộp thoại Properties chọn Tab Sharing và click Offline Settings.

3. Trong hộp thoại Offline Settings chọn các option mà bạn cần và click OK.

3.6. Triển khai dịch vụ file DFS Giới thiệu DFS: Trong thực tế những công ty lớn đều có một hệ thống máy chủ chứa dữ liệu trên đó được chia sẻ cho nhiều người dùng, và dữ liệu đó được chia sẻ không phải từ một máy chủ mà từ nhiều máy chủ khác nhau. Với người dùng mạng, họ sẽ gặp nhiều phiền phức mỗi khi muốn truy xuất một dữ liệu nào đó. Họ khó mà nhớ được, dữ liệu nào đang được chia sẻ trên Server nào. Vấn đề trên cũng sẽ gây khó khăn cho Người Quản trị mạng. Trong hệ thống Windows Server 2003 có một giải pháp cho phép tập trung các tài nguyên được chia sẻ trên mạng (bởi các máy khác nhau) để đơn giản việc quản lý và truy xuất. Đó là sử dụng “Distributed File System” (DFS).

Hình 10.1: Mô hình DFS

Nên nhớ rằng, DFS chỉ tập trung tài nguyên chỉa sẻ về phương diện Logic. Có nghĩa là, tài nguyên thực sự vẫn tồn tại trên máy chủ chia sẻ. DFS sẽ gom tất cả các đường dẫn của tài nguyên chia sẻ về tập trung tại một mối (gọi là DFS root).

Giải pháp sử dụng DFS mang lại sự thuận tiện cho các người dùng mạng. Khi sử dụng DFS người dùng chỉ cần truy cập vào DFS root. Từ đó, họ sẽ truy cập được vào các tài nguyên chia sẻ trên các máy khác, nhờ vào các nhánh được tạo ra bởi các đường link đến các địa chỉ được chia sẻ trên máy khác.. Các kiểu của “DFS Root”:

DFS tập trung các đường liên kết đến tài nguyên chia sẻ trên mạng về một mối (gọi là “DFS root”).

Microsoft đưa ra hai mô hình quản trị mạng: WORKGROUP và DOMAIN, nên “DFS root” cũng có hai kiểu tương ứng cho mỗi mô hình quản trị. Domain Root và Stand-Alone Root Domain Root:

Là sự kết hợp giữa DFS với tính năng Replication trong Active Directory. Domain root có khả năng tự dò tìm các tài nguyên chia sẻ trong mạng Domain để tạo liên kết đặt vào “Domain root”.

Với “Domain root”, các thông tin của DFS sẽ lưu trữ trên “Active Directory”. Người dùng truy cập vào hệ tài nguyên qua hệ thống DFS dùng “Domain root” bằng đường dẫn:

\\Domain\ShareName

o Domain: tên của Domain o ShareName: tên tài nguyên chia sẻ trên Root

Stand-Alone Root: Là một giải pháp cho một máy chủ đơn hoạt động trong mạng WORKGROUP hoặc mạng

DOMAIN.


- 67 -

Với “Stand-Alone Root”, người Quản trị phải tự tay nhập “các đường liên kết đến tài nguyên chia sẻ trên mạng” vào Root. “Stand-Alone Root” không hổ trợ chế độ tự động dò tìm tài nguyên chia sẻ như “Domain root”.

Người dùng truy cập vào hệ tài nguyên qua hệ thống DFS dùng “Stand-Alone Root” bằng đường dẫn:

\\Server_Name\ShareName

o ServerName: tên của máy chủ chứa “DFS root” o ShareName: tên tài nguyên chia sẻ trên Root

Thực thi DFS: Giả định, tại Trung tâm Đào tạo CNT iSpace, mỗi bộ phận đều có máy chủ chứa tài nguyên chia sẻ:

Máy chủ PDT: chia sẻ các tài nguyên GIAO_TRINH, GIAO_AN… Máy chủ GIAO_VU:: chia sẻ các tài nguyên, THONG_BAO, TKB, … Máy chủ KY_THUAT:: chia sẻ các tài nguyên SOFTWARE, DRIVER,…

Đối với người dùng, để truy cập tài nguyên họ phải truy cập qua Computer Browser: Truy cập tài nguyên trên máy chủ PDT: \\PDT\Giao_Trinh ; \\PDT\Giao_An ... Truy cập tài nguyên trên GIAO_VU: \\GIAO_VU\TKB ; \\GIAO_VU\Thong_Bao, … Truy cập tài nguyên trên KY_THUAT: \\KY_THUAT\Driver \\KY_THUAT\SOFTWARE, …

Nếu sử dụng giải pháp DFS, nó sẽ mang lại sự thuận tiện cho người dùng trong cả Trung tâm.

Máy chủ với tên ISPACE là root của các tài nguyên chia sẻ từ nhiều máy chủ trong Trung Tâm, Khi sử dụng DFS trên máy chủ ISPACE toàn bộ người dùng sẽ truy xuất các dữ liệu share trên mạng với một địa chỉ duy nhất qua computer brower là: \\ISPACE\Tai_Nguyen Thiết lập DFS trên máy chủ ISPACE Trên máy chủ ISPACE, vào ổ đĩa bạn muốn chứa dữ liệu root (Ví dụ là ổ E:), tạo một folder có tên là TAI_NGUYEN

Hình 10.2: Tạo thư mục root tên TAI_NGUYEN trên máy chủ ISPACE

Mở “Control Panel” “Administrative Tools” chạy chương trình “Distributed File System”.


- 68 -

Hình 10.3: Distributed File System

Tạo root mới trên máy chủ ISPACE bằng cách chuột phải vào Distributed File System sau đó chọn New Root

Hình 10.4: Tạo New Root

Sau khi nhấn chọn “New root” hệ thống hiện ra một Wizard hổ trợ người Quản trị tạo Root mới, chọn Next.

Tại cửa sổ “Root Type”, hệ thống sẽ yêu cầu lựa chọn một trong hai dạng root là: Domain Root hoặc Stand-Alone Root. (Xem hình 4)

Nếu bạn chọn “Domain root”, Wizard sẽ yêu cầu người Quản trị xác định chính xác tên Domain đang tồn tại trên mạng.

Nếu mạng của mạng chưa nâng cấp lên Domain, hãy chọn “Stand-Alone Root”,


- 69 -

Hình 10.5: Lựa chọn dạng root cho DFS

Sau đó bạn nhấn Next, trong cửa sổ “Host Server”, hệ thống yêu cầu bạn gõ tên máy chủ chứa Root

của DFS. Ở phần minh hoạ này, tên Server là: ISPACE (tên máy chủ chủ “DFS root”)

Hình 10.6: Nhập tên Server của DFS root

Nhấn Next hệ thống sẽ ra một cửa sổ yêu cầu bạn cần đặt tên cho thư mục Root, và miêu tả thư mục

đó (Comment)


- 70 -

Hình 10.7: Đặt tên thư mục root

Bước kế, tại cửa sổ “Root Share”, người Quản trị phải chỉ định thư mục dùng chứa thông tin của DFS root.

Hình 10.8: Chỉ định thư mục chứa DFS root

Cuối cùng, chọn “Finish” để hoàn thành việc tạo thư mục Root trên máy chủ ISPACE.

Ghi nhớ rằng, để khởi tạo được DFS Root, phải đáp ứng 2 điều kiện:

Dịch vụ “Distributed File System” phải được “Start” (Xem thêm phần hướng dẫn phía dưới dây.

Ổ đĩa chứa Folder dùng làm “Root Share” (hình 7) phải sử dụng “File System” là NTFS

Hướng dẫn “Start” dịch vụ “Distributed File System”: Chạy công cụ “Services” (đặt trong “Control panel” “Administrative Tools”. Nhấp phải mouse trên “Distributed File System” và chọn “Start”.


- 71 -

Hình 10.9: Xem trạng thái hoạt động của các services

Tạo đường liên kết mới trong “root” Sử dụng DFS với kiều “Stand-Alone Root”, người Quản trị phải tự tay tạo ra các link chỉ đến tài nguyên chia sẻ trên mạng trong DFS root. Cách tạo link như sau:

Chạy “Distributed File System” nhấp phải mouse trên Root đã tạo chọn “New Link” (Xem hình 8)

Hình 10.10: Tạo Link mới trong DFS root

Các thông tin nhập trong “New link” (hình 9) gồm có:

o Link name: Tên của link. Tên này sẽ thể hiện trong Root như là một Folder chứa tài nguyên chia sẻ.

o Path to Target (shared folder): Đường dẫn đến tài nguyên chia sẻ bởi máy chủ khác trên mạng.. Người Quản trị có thể dùng nút “Browse” để duyệt tài nguyên chia sẻ trên mạng.

o Comment: Chú thích thêm về tài nguyên (nếu cần).


- 72 -

Hình 10.11: Thông tin chi tiết khi tạo Link mới trong DFS root

Tương tự, người Quản trị sẽ tạo thêm các link dẫn tới tài nguyên chia sẻ trên máu chủ PDT,

GIAO_VU… Truy xuất tài nguyên chia sẻ qua DFS:

Một khi hệ thống DFS và các link đẽ được thiết lập, người dùng mạng có thể truy xuất tài nguyên chia sẻ chỉ bằng một đường dẫn duy nhất

\\Domain\ShareName hoặc

\\Server_Name\ShareName

Ví dụ: truy cập tài nguyên qua DFS lập trên máy chủ ISPACE kiểu “Stand-Alone Root”

Hình 10.12: Truy xuất tài nguyên qua DFS

3.7. Xử lý sự cố 3.8. Bài tập tình huống


- 73 -

Tóm tắt:

Quyền chia sẻ thư mục: Muốn chia sẻ một thư mục dùng chung trên mạng, bạn phải logon vào hệ thống với vai trò người quản trị (Administrators) hoặc là thành viên của nhóm Server Operators.

Share Permissions: là quyền chỉ có hiệu lực khi người dùng truy cập qua mạng chứ không có hiệu lực khi người dùng truy cập cục bộ. Share Permissions, chứa danh sách các quyền sau để cho phép người dùng truy xuất đến thư mục chia sẻ: • Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ. • Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục

chia sẻ. • Read: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ.

NTFS Permission: NTFS là một hệ thống file và sẵn có trên Windows Server 2003. NTFS cung cấp quá trình thực thi và các tính năng không thể có trong FAT hay FAT32. NTFS cung cấp các lợi ích sau: • Độ tin cậy • Bảo mật cao • Cải thiện việc quản lý và gia tăng lưu trữ • Nhiều quyền user

Offline File: là một tính năng quản lý tài liệu quan trọng cung cấp cho các user khả năng truy xuất online hay offline nhất định tới tập tin. Khi máy client ngắt kết nối khỏi mạng, mọi thứ được download về máy cục bộ. Các user vẫn có thể tiếp tục làm việc như họ đang còn kết nối tới mạng. Họ có thể chỉnh sửa, copy, xoá …Khi client kết nối trở lại vào mạng, các tập tin client và server tự động đồng bộ lại. Sử dụng Offline Files có những thuận lợi sau : • Hỗ trợ cho những user lưu động • Tự động đồng bộ • Quá trình thực thi thuận lợi • Backup thuận lợi

DFS (Distributed File System): Trong hệ thống Windows Server 2003 có một giải pháp cho phép tập trung các tài nguyên được chia sẻ trên mạng (bởi các máy khác nhau) để đơn giản việc quản lý và truy xuất.


- 74 -

BÀI 4: QUẢN TRỊ TRUY XUẤT TÀI NGUYÊN PRINTER Mục tiêu:

Triển khai Local, Network Print Device

Quản trị quyền truy xuất Printer

Xử lý các sự cố về in ấn

4.1. Giới thiệu Printer Giới thiệu việc in ấn trong Windows 2003: Windows 2003 tạo điều kiện thuận lợi cho người quản trị thiết lập in ấn mạng và cấu hình các tài nguyên in ấn từ một vị trí trung tâm. Chúng ta cũng có thể cấu hình các máy trạm chạy Windows 95, Windows 98, hay Microsoft Windows NT phiên bản 4.0 in ấn từ các thiết bị in ấn mạng.

Trước khi thiết lập việc in ấn trong Windows 2003, chúng ta nên để ý đến thuật ngữ được sử dụng và các đề cử về yêu cầu hệ thống cho việc thiết lập một print server với một thiết bị in có khả năng tiếp cận mạng. Để đạt kết quả tốt nhất, hãy ghi nhớ các nguyên tắc khi lập kế hoạch triển khai môi trường in ấn mạng.

Các thuật ngữ in ấn trong Windows 2003

Chúng ta nên làm quen với các thuật ngữ được sử dụng để nhận diện các thành phần và cách các thành phần làm việc với nhau. Danh sách sau liệt kê các thuật ngữ về in ấn được định nghĩa trong Windows 2003:

Print device (thiết bị in): Thiết bị phần cứng tạo ra các bản tài liệu in.

Windows 2003 hỗ trợ các thiết bị in:

• Local print device (thiết bị in cục bộ): Thiết bị in kết nối đến một cổng vật lý trên print server.

• Network-interface print device (thiết bị in giao diện mạng): Thiết bị in kết nối đến một print server qua mạng thay cho cổng vật lý. Network-interface print device đòi hỏi card mạng riêng của nó và có địa chỉ mạng riêng hoặc được gắn vào một card mạng gắn ngoài.

Printer (máy in): Giao diện phần mềm giữa hệ điều hành và thiết bị in. Printer định nghĩa khi nào và ở đâu một tài liệu sẽ đi đến để tìm một thiết bị in (cổng cục bộ, cổng kết nối mạng, hay tập tin).

Print server (máy chủ in ấn): Máy tính có gắn các máy in và trình điều khiển máy khách. Print server nhận và xử lý các tài liệu từ các máy khách. Chúng ta thiết lập và chia sẻ các máy in mạng liên quan đến các thiết bị in ấn cục bộ và giao diện mạng trên các print server.


- 75 -

Printer driver (trình điều khiển máy in). Một hay nhiều tập tin chứa thông tin mà Windows 2003 đòi hỏi dùng để chuyển đổi các lệnh in thành ngôn ngữ máy in chuyên dụng. Sự chuyển đổi này làm cho máy in có thể in được tài liệu. Một trình điều khiển máy in là chuyên dụng cho từng thiết bị in và trình điều khiển máy in phù hợp phải hiện diện trên print server.

Printer Port: Trong hộp thoại Printer Server Properties, bạn mở Tab Port. Tab này cũng tương tự như Tab Port trong hộp thoại Properties của máy in. Sự khác nhau giữa hai Tab Port là: Tab Port trong hộp thoại Print Server Properties được sử dụng để quản lý tất cả các port trong Print Server. Còn Tab port trong hộp thoại Properties của máy in quản lý các port của thiết bị máy in vật lý.

4.2. Triển khai Printer Local Printer: Vào Start Setting Printers and Faxes

Hình : Printers and Faxes minh họa (bổ sung sau)

Chọn Add printer Next Trang Local or Network Printer chọn Local printer attached to this computer Next

Hình : Chọn Local Printer


- 76 -

Trang Select a Printer Port chọn Use the following port (chọn port LPT hay USB tùy theo máy in) Next chọn hãng sản xuất và loại máy in (vd là HP2000C)

Hình : Lựa chọn máy in

Next Next Next Next Finish. Chia sẻ máy in Vào Start Setting Printers and Faxes Right click trên máy in cần chia sẻ và chon Sharing Network Printer: Nguyên tắc thiết lập một máy in mạng

Trước khi thiết lập in ấn mạng, hãy đưa ra chiến lược in ấn để có thể quản lý hiệu quả các nhu cầu in ấn trên toàn mạng. Điều này bảo đảm cho việc quản lý các tác vụ in thông suốt. Danh sách sau cung cấp các nguyên tắc cho việc lập chiến lược in ấn mạng:

• Xác định các yêu cầu về in ấn của tổ chức. Các yêu cầu này gồm có số lượng và kiểu thiết bị in. Ngoài ra, hãy xem xét loại tải mỗi thiết bị in sẽ xử lý. Chẳng hạn, không nên dùng thiết bị in kết nối cục bộ cho việc in ấn mạng vì nó có thể không quản lý nổi lượng tải.

• Xem xét yêu cầu in ấn của người dùng trong từng phòng ban. Chẳng hạn, phòng Hóa đơn có thể có nhiều tác vụ in do phải in các hóa đơn liên tục. Tải cho việc in ấn càng lớn thì càng cần có nhiều thiết bị in hơn.

• Xác định số lượng print server cần thiết để quản lý số lượng và các loại máy in trong mạng.

• Xác định vị trí đặt các thiết bị in. Vị trí này phải thuận tiện cho các mọi dùng nhận các tài liệu in.

• Xác định các tác vụ in nào có độ ưu tiên cao. Các thành viên ban quản trị thường có nhu cầu in ấn thật nhanh. Các quản trị viên có thể gán độ ưu tiên cao cho những người có nhu cầu.

Cấu hình máy in mạng

Sau khi cài đặt và chia sẻ một máy in để sử dụng trên mạng, nhu cầu in ấn của người dùng và tổ chức có thể thay đổi và đòi hỏi chúng ta cấu hình các thiết đặt in ấn sao cho tài nguyên in ấn của chúng ta phù hợp hơn với các nhu cầu này.


- 77 -

Cài đặt máy in thông qua máy in đã chia sẻ trên mạng. Vào Start Setting Printers and Faxes Chọn Add printer Next Trang Local or Network Printer chọn A network printer, or a printer attached to another computer Next

Hình C5.4: Chọn network printer

Trang Specify a printer chọn Connect to this printer và gõ ip hoặc computer name và tên máy in đã chia sẻ trên mạng như hình bên dưới. Vd:\\192.168.1.102\HP2000C hay \\PCXX\HP2000C Next Finish.

Hinh C5.5: Chọn máy in đã share trên mạng


- 78 -

Có thể có nhiều cách khác nhau để truy xuất và sử dụng máy in chia sẻ trên mạng, các bạn có thể tìm hiểu thêm hoặc nhờ giảng viên hướng dẫn công tác này. Tuy nhiên, chúng tôi luôn hy vọng rằng các bạn sẻ tìm ra một cách khác để làm công việc này và chia sẻ thêm những kinh nghiêm cho các bạn cùng lớp. 4.3.Quản trị Printer Đặt độ ưu tiên cho máy in: hãy đặt độ ưu tiên giữa các máy in để ưu tiên cho các tài liệu cùng sử dụng một thiết bị in để in. Để thực hiện điều này, hãy tạo nhiều máy in cùng trỏ đến một thiết bị in. Điều nàu cho phép nhiều người dùng gởi các tài liệu quan trọng đến máy in có độ ưu tiên cao và các tài liệu thông thường đến máy in có độ ưu tiên thấp hơn. Các tài liệu được gởi đến máy in có độ ưu tiên cao sẽ được in trước.

Hình: Độ ưu tiên giữa các máy in

Để đặt độ ưu tiên giữa các máy in, hãy thực hiện các bước sau:

1. Trỏ hai hay nhiều máy in đến cùng một thiết bị in (chung cổng). Cổng có thể là cổng vật lý trên print server hay một cổng trỏ đến một thiết bị in giao diện mạng.

2. Đặt độ ưu tiên khác nhau cho từng máy in kết nối đến thiết bị in, sau đó cho các nhóm người dùng khác nhau dùng các máy in khác nhau để in. Chúng ta cũng có thể cho phép người dùng gởi các tài liệu có độ ưu tiên cao đến máy in có độ ưu tiên cao hơn và các tài liệu có độ ưu tiên thấp đến các máy in có độ ưu tiên thấp hơn.

Lưu ý là trong minh họa trước, User1 gởi các tài liệu đến một máy có độ ưu tiên thấp nhất là 1, trong khi User2 gởi các tài liệu đến máy in có độ ưu tiên cao nhất là 99. Trong ví dụ này, các tài liệu của User2 sẽ được in trước các tài liệu của User1.

Đặt độ ưu tiên cho máy in


- 79 -

Để đặt độ ưu tiên cho một máy in, hãy thực hiện các bước sau:

1. Mở hộp thoại Properties của máy in.

2. Trên tab Advanced, thay đổi độ ưu tiên trong hộp Priority, nhấp OK.

Gán quyền cho máy in

Có ba cấp độ quyền hạn trên máy in: Print (in), Manage Documents (quản lý tài liệu), và Manage Printer (quản lý máy in).

Các quyền hạn trên máy in

Bảng sau liệt kê các khả năng của các cấp độ quyền hạn khác nhau.


- 80 -

Khả năng của các quyền hạn in ấn Quyền in

Quyền quản lý tài liệu

Quyền quản lý máy in

Print documents (In tài liệu) X X X

Pause, resume, restart, and cancel the user's own document (Tạm ngưng, tiếp tục, khởi động lại, hủy tài liệu của người dùng)

X X X

Connect to a printer (Kết nối đến máy in) X X X

Control job settings for all documents (Điều khiển các thiết đặt công việc cho mọi tài liệu)

X X

Pause, restart, and delete all documents (Tạm ngưng, khởi động lại, xóa tất cả tài liệu)

X X

Share a printer (Chia sẻ máy in) X

Change printer properties (Thay đổi thuộc tính máy in) X

Delete printers (Xóa các máy in) X

Change printer permissions (Thay đổi các quyền hạn máy in) X

Mặc định, các quản trị viên của một máy chủ, các print operator (nhân viên quản lý in ấn) và các server operator (nhân viên quản lý máy chủ) trên một máy điều khiển vùngcó quyền Manage Printer. Nhóm Everyone có quyền Print, và chủ tài liệu có quyền Manage Documents.

Gán quyền cho máy in

Để thêm một người dùng hoặc nhóm người dùng và gán quyền print, hãy thực hiện các bước sau:


- 81 -

1. Trong thư mục Printers, nhấp phải biểu tượng máy in muốn thay đổi quyền, nhấp Properties.

2. TRên tab Security, trong hộp thoại Properties của máy in, nhấp Everyone group, nhấp Remove.

3. Nhấp nút Add. chọn các người dùng và nhóm được phép, nhấp Add, nhấp OK.

4. Trên tab Security, kiểm tra lại các quyền cho người dùng và nhóm, nhấp OK.


Print device (thiết bị in): Thiết bị phần cứng tạo ra các bản tài liệu in.

Printer (máy in): Giao diện phần mềm giữa hệ điều hành và thiết bị in. Printer định nghĩa khi nào và ở đâu một tài liệu sẽ đi đến để tìm một thiết bị in (cổng cục bộ, cổng kết nối mạng, hay tập tin).

Print server (máy chủ in ấn): Máy tính có gắn các máy in và trình điều khiển máy khách. Print server nhận và xử lý các tài liệu từ các máy khách. Chúng ta thiết lập và chia sẻ các máy in mạng liên quan đến các thiết bị in ấn cục bộ và giao diện mạng trên các print server.

Printer driver (trình điều khiển máy in). Một hay nhiều tập tin chứa thông tin mà Windows 2003 đòi hỏi dùng để chuyển đổi các lệnh in thành ngôn ngữ máy in chuyên dụng. Sự chuyển đổi này làm cho máy in có thể in được tài liệu. Một trình điều khiển máy in là chuyên dụng cho từng thiết bị in và trình điều khiển máy in phù hợp phải hiện diện trên print server.

Printer Port: Port trong hộp thoại Print Server Properties được sử dụng để quản lý tất cả các port trong Print Server. Còn Port trong hộp thoại Properties của máy in quản lý các port của thiết bị máy in vật lý.

Local print device (thiết bị in cục bộ): Thiết bị in kết nối đến một cổng vật lý trên print server.

Network-interface print device (thiết bị in giao diện mạng): Thiết bị in kết nối đến một print server qua mạng thay cho cổng vật lý. Network-interface print device đòi hỏi card mạng riêng của nó và có địa chỉ mạng riêng hoặc được gắn vào một card mạng gắn ngoài.


- 82 -

BÀI 5: QUẢN TRỊ MÔI TRƯỜNG MẠNG GROUP POLICY

Mục tiêu:

Giới thiệu Windows Group Policy

Triển khai Group Policy trên Domain và Organizational Units

Dùng Group Policy tự động hóa các công tác quản trị User và Computer

Xử lý lỗi thông dụng khi triển khai Group Policy

5.1. Giới thiệu Group Policy.

Group Policy Object (GPO) là một thành phần quan trọng trong hệ quản trị của Windows. Nó giúp người quản trị có thể đưa ra những chính sách bảo vệ, giới hạn tầm hoạt động của người sử dụng theo một khuôn phép nhất định. Hầu hết những thay đổi trên Windows như desktop, control panel, Internet Explorer... đều lưu lại trên registry. Nhưng registry lại quá phức tạp và nguy hiểm do đó hệ điều hành đưa ra một hệ thống Policy nhằm đơn giản hóa vấn đề thay đổi và bảo mật.

Domain Group Policy: trong hệ thống Windows Server thì GPO hoạt động theo mô hình client/Server. Do đó người quản trị sẽ theo tác các GPO trên máy chủ để áp đặt những thay đổi cần thiết cho máy con khi máy con đăng nhập vào hệ thống. Xét một số ví dụ:

• Trong một Công Ty, người quản trị muốn một số nhân viên nào đó không được thay đổi thông số màn hình Desktop. Hoặc không muốn vào Control Panel để chỉnh sửa, phá phách...

• Một phòng ban nào đó muốn không cho họ thay đổi các thông số trên Internet Explorer hoặc cấm họ không được phép sử dụng USB...

Tất cả những việc trên đều có thể làm trên các máy client đó. Nhưng GPO có thể làm trên máy chủ và có hiệu lực cho một OU. Nguyên lý hoạt động của GPO là khi máy client truy cập vào Server thì Server sẽ lấy thông tin registry trên máy client đó và chỉnh sữa lại theo đúng những gì mà GPO đã thiết lập và quá trình này được cập nhật thường xuyên khi có tín hiệu truy cập từ máy Client. Các group policy dành cho site, domain và OU được tạo ra dưới dạng các đối tượng chính sách nhóm (GPO), và các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL.

Local Group Policy: trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (local group policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả (tức khi nó tham gia vào một workgroup hoặc khi nó được dùng độc lập). Các máy Windows XP Home thì không có local group policy. Khi máy Win2k/XP Pro/WinS2k3 nối vào miền AD, thì ngoài các local group policy, nó còn được áp dụng lần lượt các group policy dành cho Site, Domain, OU chứa nó (nếu thuộc nhiều OU lồng nhau, thì policy nào dành cho OU ngoài hơn sẽ được áp dụng trước). Các policy được áp dụng sau sẽ override các policy được áp dụng trước. GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 thì nằm trong thư mục %Windir%\System32\GroupPolicy.

Chương trình để tạo ra và chỉnh sửa các GPO có tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.MSC, hoặc cũng có thể dùng dưới dạng một công cụ snap-in trong một console MMC khác. Ví dụ: console Active Directory Users and Computers, tức dsa.msc, cũng được trang bị sẵn snap-in Group Policy.


- 83 -

Các thành phần của Group Policy

Để tìm hiểu các thành phần GPO chúng ta cần khơi động chương trình Group Policy. Có 2 cách:

Cách 1: Vào menu Start > Run, rồi nhập lệnh mmc để khởi động Microsoft Management Console. Sau đó vào menu File, chọn Open. Trong cửa sổ Open, tìm đến thư mục System32. Chúng ta thấy nhiều tập tin xuất hiện có phần mở rộng là *.msc nhưng chúng ta chỉ quan tâm đến file gpedit.msc, chọn file gpedit.msc và bấm Open:

Hình 5.1: Chọn file gpedit.msc

Cách 2: Vào menu Start chọn Run và nhập vào gpedit.msc rồi nhấn OK để khởi động chương trình. Khi chương trình đã khởi động, chúng ta sẽ thấy cửa sổ giao diện như hình bên dưới:

Hình 5.2: Giao diện Group Policy


- 84 -

Chương trình được phân theo dạng cây và rất dễ dùng và chúng ta hoàn toàn có thể sử dụng Group Policy mà Windows cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm các phần mềm khác.

Trong Group Policy có 2 thành phần chính là Computer Configuration và user configuration

• Cách sử dụng chung: tìm tới các nhánh, Chọn Not configured nếu không định cấu hình cho tính năng đó, Enable để kích hoạt tính năng, Disable để vô hiệu hóa tính năng.

• Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy. Trong nhánh này chứa nhiều nhánh con như:

Windows Settings: nhánh này chức các vấn đề liên quan đến tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...

Administrative Templates:

Windows Components: cho phép cấu hình các thành phần cài đặt trong Windows như: Internet Explorer, NetMeeting...

System: cấu hình về hệ thống. Cần lưu ý là trước khi cấu hình cho bất kỳ thành phần nào, chúng ta cũng cần phải tìm hiểu thật kỹ về nó. Chúng ta có thể chọn thành phần rồi nhấp chuột phải để chọn Help.

Hình 5.3: Tìm hiểu thành phần đang cấu hình

Còn một cách khác là không chọn Help mà chọn Properties. Khi cửa sổ Properties xuất hiện, chuyển sang thẻ Explain để được giải thích chi tiết về thành phần này.


- 85 -

Hình 5.4: Giải thích tính năng của thành phần

Mặc định thì tình trạng ban đầu của các thành phần này là Not configured. Để thay đổi tình trạng cho thành phần nào đó, chúng ta chọn thẻ Setting trong cửa sổ Properties, sẽ có 3 tùy chọn cho chúng ta chọn lựa là: Enable (có hiệu lực), Disable (vô hiệu lực) và Not configure (không cấu hình).

• User Configuration: giúp chúng ta cấu hình cho tài khoản đang sử dụng. Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên.

Sau đây chúng ta tìm hiểu chi tiết một số thành phần chính của GP:

Computer Configuration:

Windows Setting:

Tại đây chúng ta có thể hiệu chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống...

• Scripts (Startup/Shutdown):

Chúng ta có thể chỉ định cho windows sẽ chạy một đoạn mã nào đó khi Windows Startup hoặc Shutdown.

• Security settings: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người sử dụng nào.

Account Policies Thiết lập các chính sách áp dụng cho tài khoản của người dùng.

1. Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy.

Enforce password history: Với những người sử dụng có không có thói quen ghi nhớ nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn lên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu.

Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thây đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quen của chúng ta, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày. Giá trị mặc định là 42.

Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này chúng ta mới có thể thay đổi mật khẩu của tài khoản, hoặc chúng ta có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. Chúng ta cần thiết lập “Minimum password age” lớn hơn không nếu chúng ta muốn chính sách “Enforce password history” có hiệu quả, vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ.

Minimum password length: Độ dài nhỏ tối thiểu cuả mật khẩu tài khoản. (Tính bằng số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là không nếu chúng ta không sử dụng mật khẩu. Giá trị mặc định là 0.

Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu. Nếu tính năng này có hiệu lực. Mật khẩu của tài khoàn ít nhất phải đạt những yêu cầu sau:

- Không chứa tất cả hoặc một phần tên tài khoản người dùng

- Độ dài nhỏ nhất là 6 ký tự

- Chứa từ 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a -> Z), các chữ cái hoa (A -> Z), Các chữ số (0 -> 9) và các ký tự đặc biệt.

Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu. đinh : Disable.

Store password using reversible encryption for all users in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năngcung cấp sự hỗ trợ


- 86 -

cho các ứng dụng sử dụng giao thức,nó yêu cầu sự am hiểu về mật khẩu của người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngươc thực chất giống như việc lưu trữ các văn bản mã hóa của thông tin bảo vệ mật khẩu. Mặc đinh : Disable.

2. Acount lockout Policy:

Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi việc mở khóa đươc thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn việc tự động Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập.

Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Acount sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hêt hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa.

Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập.

• Local Policies Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng tại chỗ.

User rights Assignment: Ấn định quyền cho người sử dụng.

Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống…

Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn.

Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao chúng ta lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này chúng ta có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào.

Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.

Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain.

Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch vụ DoS (Dinal of Sevices).

Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép chúng ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống.

Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép cho những ai sẽ có quyền backup dữ liệu.

Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian cuả hệ thống. Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung


- 87 -

Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống điều khiển từ xa.

Shut down the system: Cho phép ai có quyền Shutdown máy.

Public Key Policies Các chính sách khóa dùng chung

Lưu ý: ở đây chúng tôi chỉ giới thiệu một số các thành phần, các bạn có thể dựa theo cách này để tự tìm hiểu thêm.

5.2. Triển khai Group Policy Tạo Group Policy trên Local Computer Để tạo một GPO local, chúng ta phải được logon như là một thành viên Administrator có thể truy xuất Group Policy Object Editor từ Administrator Tools hay qua một snap-in MMC

Để cài đặt một policy với những thiết lập local • Start Run và nhập vào mmc OK • Vào menu Files Add/Remove Snap-in… Add Group Policy Ọbject Editor

• Open Group Policy Object Editor. • In the console tree, double-click the folders to view the policy settings in the details pane. • In the details pane, double-click a policy setting to open the Properties dialog box, and then

change the policy setting.


- 88 -

Tạo Group Policy trên Domain

Việc thực thi Group Policy trên một domain cung cấp cho nhà quản trị mạng với quyền điều khiển lớn hơn qua những cấu hình máy tính xuyên suốt cấu trúc mạng. Cũng bằng cách sử dụng Group Policy trong Windows Server 2003, chúng ta có thể tạo một môi trường làm việc được quản lý hoàn toàn thích hợp với trách nhiệm công việc của user và mức kinh nghiệm của mình, chúng ta có thể giảm lượng hỗ trợ mạng cần thiết. Để tạo một GPO mới hoặc link tới một GPO đang tồn tại bằng cách sử dụng Active Directory Users and Computers, tạo một GPO trong một site, domain hay OU.

Sử dụng Active Directory Users and Computers • Trong Active Directory Users and Computers, click chuột phải trên Active Directory (domain or

organizational unit) mà chúng ta muốn tạo GPO, sau đó chọn Properties. • Trong hộp thoại Properties, trên thẻ Group Policy sẽ có các lựa chọn sau:

Tạo mới một GPO, click New, nhập tên mới của GPO, sau đó bấm ENTER. Liên kết đến một GPO sẵn có, click Add, sau đó chọn GPO từ danh sách

• GPO mà chúng ta vừa tạo hoặc liên kết sẽ được hiển thị trong danh sách GPO trong Active Directory.

Sử dụng Group Policy Management • Start Administrative Tools, sau đó click Group Policy Management. • Trong Group Policy Management, trong phần console, mở rộng forest và tìm domain mà bạn

muốn tạo mới GPO. • Right-click trên Group Policy Objects, và chọn New. • Trong hộp thoại New GPO, nhập tên Group Policy OK.

Edit Group Policy

Là một người quản trị hệ thống, chúng ta phải chỉnh sửa những thiết lập Group Policy. Để chỉnh sử Group Policy chúng ta thực hiện theo các bước sau:

• Trong Group Policy Management, phần console tree, tìm Group Policy Objects cần Edit. • Right-click trên GPO và sau đó click Edit. • Trong Group Policy Object Editor, thông qua Group Policy setting mà bạn muốn edit double-

click vào.


- 89 -

• Trong hộp thoại Properties, cấu hình Group Policy setting và click OK. Link Group Policy đến Domain hay OU

Tất cả các GPOs được lưu trữ trong một container Active Directory được gọi là Group Policy Objects. Khi một GPO được sử dụng cho site, domain hay một OU, GPO đó được link tới container Group Policy Objects. Kết quả là chúng ta có thể tập trung quản lý và triển khai GPOs tới nhiều domai hay nhiều OU. Creating a linked GPO Khi chúng ta tạo một GPO được liên kết với một site, domain hoặc OU, chúng ta thực hiện một cách thủ công hai hoạt động riêng biệt: tạo một GPO mới và sau đó link nó tới site, domain hay OU. Khi uỷ nhiệm quyền link GPO tới một domain, OU hay site, chúng ta phải có quyền Modify cho domain, OU hay site mà chúng ta muốn uỷ quyền. Theo mặc định, chỉ những thành viên của nhóm Domain Admins và Enterprise Adminsgroup là có đủ các quyền cần thiết để link một GPO tới domain và OU. Chỉ những thành viên của Enterprise Admins group có quyền link GPOs tới các site. Những thành viên của nhóm Group Policy Creator Owner có thể tạo GPO nhưng không thể link chúng. Sau đây là các hướng dẫn giúp cho chúng ta có thể tạo, link… GPO tới domain:

Tạo và Link một GPO • Trong Group Policy Management, trong console tree chúng ta có thể tạo và link GPO tới domain

hay OU Nếu tạo và link GPO tới domain thì chúng ta right-click lên domain và sau đó click Create and Link a GPO Here. Nếu tạo và link GPO tới OU (organizational unit) thì chúng ta right-click lên OU và sau đó click Create and Link a GPO Here.

• Trong hộp thoại New GPO, nhập tên mới cho GPO OK. Link một GPO sẵn có

Để link một GPO đang tồn tại tới một site, domain hay OU. Chúng ta thực hiện theo các bước sau:

• Trong Group Policy Management, phần console tree, mở rộng forest chứa domain mà bạn cần link GPO sẵn có.

• Right-click trên domain, site, hoặc OU và sau đó click Link an Existing GPO. • Trong hộp thoại Select GPO, click vào GPO mà chúng ta muốn link rồi click OK.


- 90 -

Chú ý: Chúng ta không thể link một GPO tới những container trong Active Directory như User và Computer. Tuy nhiên, bất kỳ GPO nào được link tới domain cũng áp dụng cho các user và computer trong container này.

Quyền thừa kế (inherited) trong Active Directory

Thứ tự mà Windows Server 2003 áp dụng các GPOs phụ thuộc vào Active Directory container, nơi mà GPOs được link. GPOs trước tiên áp dụng cho site, sau đó là domain và cuối cùng tới OU trong các domain. Một container con sẽ thừa kế GPOs từ container cha. Điều này có nghĩa là container con có nhiều thiết lập Group Policy được áp dụng cho các user và computer của nó mà không cần có một GPO nào được link tới nó. Tuy nhiên, không có hệ đẳng cấp các domain giống cho các OU, như là OU cha và OU con. Nếu có nhiều GPO cùng thiết lập một giá trị giống nhau, theo mặc định GPO chiếm ưu tiên trước được áp dụng. Chúng ta cũng có thể có nhiều GPOs được link tới cùng một container.

Nếu kiểu kề thừa mặc định không đáp ứng những yêu cầu của tổ chức của chúng ta, chúng ta có thể chỉnh sửa quy luật thừa kế cho các GPOs cụ thể. Windows Server 2003 cung cấp 2 tuỳ chọn để thay đổi kiểu thừa kế mặc định.

No Override

Sử dụng tuỳ chọn này khi chúng ta muốn không có thiết lập cấu hình nào của nó có thể bị ghi đè bởi bất kì GPOs nào trong quá trình xử lý của Group Policy. Tuỳ chọn này được đặt trên từng GPO riêng biệt. Chúng ta có thể set tuỳ chọn này trên một hay nhiều GPO được yêu cầu. Khi nhiều GPO cùng được set là No Override, GPO có vị trí cao nhất trong hệ đẳng cấp Active Directory sẽ chiếm quyền ưu tiên.

Block Policy inheritance

Sử dụng tuỳ chọn này để ép buộc một container con ngăn cản thừa kế từ container cha. Sử dụng tuỳ chọn này khi một OU yêu cầu một thiết lập Group Policy duy nhất . Block Policy inheritance được set trên mỗi container. Trong trường hợp xung đột, tuỳ chọn No Override sẽ luôn luôn chiếm ưu tiên hơn tuỳ chọn Block Policy inheritance.

Tại sao phải Block Policy?

Chúng ta có thể ngăn cản một container con kế thừa bất kỳ GPO nào từ các container cha bằng cách cho phép Block Policy inheritance trên contaner con. Cách này sẽ ngăn cản container thừa kế tất cả những thiết lập Group Policy của những Group Policy được chọn. Điều này thật hữu ích khi một container Active Directory yêu cầu một Group Policy duy nhất, và chúng ta muốn bảo đảm rằng những thiết lập Group Policy không bị thừa kế. Ví dụ, chúng ta có thể sử dụng Block Policy inheritance khi người quản trị của một OU phải điều khiển tất cả các GPOs cho containter đó .

Để Block Policy inheritance chúng ta thực hiện các bước sau: • Trong Group Policy Management, phần console tree, mở rộng forest mà bạn muốn block

inheritance, và thực hiện các lựa chọn sau: Để block inheritance của GPO links cho domain, mở rộng Domains, và right-click the domain.


- 91 -

Để block inheritance của GPO links cho organizational unit, expand Domains, mở rộng domain chứa organizational unit, và right-click trên organizational unit.

• Click Block Inheritance.

Group Policy Filtering

Mặc định, tất cả những thiết lập Group Policy chứa trong GPOs mà tác động tới container được áp dụng cho tất cả các user và computer trong container đó, điều này có thể đưa ra những kết quả mà chúng ta không mong muốn. Bằng cách sử dụng tính năng filtering (sàng lọc), chúng ta có thể xác định những thiết lập nào mà chúng ta muốn áp dụng cho các user và computer trong container cụ thể.

Các bước để cấu hình Group Policy Filtering

Để lọc phạm vi của một GPO bằng cách sử dụng security group : • Trong Group Policy Management, phần console tree, mở rộng forest tìm GPO cần filter và click

vào GPO. • Trong của sổ GPO chọn Tab Scope và click Add. • Trong hộp thoại chọn User, Computer, hoặc Group, nhập tên đối tượng đã chọn vào và chọn OK.

Lưu ý: để những thiết lập Group Policy áp dụng tới user hay computer account, account phải có ít nhất quyền Read cho một GPO.

5.3. Quản trị môi trường User và Computer

Quản lý môi trường làm việc user có nghĩa là điều khiển các user có thể làm gì khi logon vào mạng. Chúng ta làm điều này bằng cách điều khiển môi trường làm việc của họ, kết nối mạng và giao diện người dùng thông qua Group Policy. Chúng ta quản lý môi trường làm việc của user để đảm bảo rằng các user có những gì mà họ cần cho công việc của họ.

Khi chúng ta cấu hình và quản lý tập trung các môi trường làm việc của user, chúng ta có thể thực hiện những thao tác sau :

• Quản lý các user và computer Bằng cách quản lý các thiết lập môi trường desktop của user với việc đăng kí với những policy, chúng ta bảo đảm rằng các user có cùng môi trường làm việc, thậm chí nếu họ logon từ những máy tính khác nhau. Chúng ta có thể điều khiển Microsoft Windows Server 2003 quản lý các user profiles, bao gồm cả dữ liệu cá nhân của user được làm cho sẵn dùng. Bằng cách chuyển hướng các folder của user từ ổ cứng cục bộ trên máy tính user tới một vị trí trung tâm trên một server, chúng ta có thể bảo đảm rằng dữ liệu của user là sẵn có cho họ mà không cần biết tới máy tính mà họ logon vào.


- 92 -

• Triển khai phần mềm Phần mềm được triển khai tới máy tính hay user qua dịch vụ thư mục Active Directory. Với việc triển khai phần mềm, chúng ta có thể bảo đảm rằng các user có được những chương trình mà họ yêu cầu, các gói services pack và hotfix.

• Làm cho các thiết lập bảo mật có hiệu lực Bằng cách sử dụng Group Policy trong Active Directory, nhà quản trị hệ thống có thể tập trung áp dụng các thiết lập bảo mật được yêu cầu để bảo vệ môi trường làm việc của user. Trong Windows Server 2003, chúng ta có thể sử dụng Security Settings mở rộng trong Group Policy để xác định những thiết lập bảo mật cho security policies local hay domain.

• Làm cho một môi trường desktop nhất quán. Những thiết lập Group Policy cung cấp một cách hiệu quả để áp dụng các têu chuẩn, như là logon script và những thiết lập password. Ví dụ, chúng ta có thể ngăn cản các user tạo ra những thay đổi cho desktop mà có thể làm ra những môi trường làm việc của họ phức tạp hơn cần thiết.

Ngoài ra, chúng ta cũng có thể áp đặt Group Policy trên local computer nhưng hiệu quả không cao bằng việc triển khai Group Policy qua mạng. Sau đây là một số trường hợp cũng như cách hướng dẫn để triển khai Group Policy cho OU, Group, Local Computer,…

Gán Script vào Group Policy Chúng ta có thể sử dụng Group Policy để triển khai scripts tới các user và computer. Một script là tập tin bó hay một script Microsoft Visual Basic mà có thể thực thi code và quản lý các thao tác. Chúng ta có thể sử dụng những thiết lập Group Policy script để tự động hoá quá trình chạy scripts. Có những thiết lập script bên dưới cả hai Computer Configuration và User Configuration trong Group Policy. Chúng ta có thể sử dụng Group Policy để chạy các script khi một máy tính khởi động và shutdown và khi một user log on, log off. Giống như tất cả những thiết lập Group Policy, Chúng ta cấu hình một thiết lập Group Policy, và Windows Server 2003 tiếp tục thực thi và ép buộc nó trên mạng của chúng ta. Để add một script vào một GPO chúng ta thực hiện các bước sau:

• Trong Group Policy Management, chọn edit GPO. • Màn hình Group Policy Object Editor, phần console tree, thông qua User

Configuration/Windows Settings/Scripts (Logon/Logoff). • Double-click Logon. • Trên hộp thoại Logon Properties và click Add. • Trong hộp thoại Add a Script, cấu hình bất kỳ thiết lập nào mà bạn muốn sử dụng và click OK:

Script Name. nhập đường dẫn đến script hoặc click Browse tìm vị trí script file share trên domain controller. Script Parameters. Nhập bất kỳ thông số vào mà bạn muốn giống như các thông số mà bạn nhập bằng command line.

• Trong hộp thoại Logon Properties, cấu hình các thiết lập sau mà bạn cần sử dụng:

Logon Scripts for. ở đây sẽ cho bạn thấy danh sách tất cả các script được gán cho và dùng Up or Down để thay đổi thứ tự script nào được ưu tiên xử lý trước.

Add. Click Add để xác định các scripts nào mà bạn cần thêm.

Edit. Click Edit để thay đôi thông tin cũng như các thông số của script.

Remove. Click Remove để remove các scripts được chọn từ danh sách Logon Scripts.

Show Files. Click Show Files để xem các file scripts được xác định trong GPO.

Lưu ý: Các script logon chạy trong ngữ cảnh của user account sẽ không chạy trong ngữ cảnh computer account.


- 93 -

Một số thao tác liên quan đến Group Policy Thao tác về Internet Explorer (IE). • Nhánh User Configuration/Windows Settings/Internet Explorer Maintenance/Browser User

Interface Browser Tittle: nhấp kép rồi đánh dấu kiểm vào ô "Customize Tittle Bars", gõ vào một cái tên như ABC. Mở IE ở chế độ about:blank sẽ thấy dòng chữ "Microsoft Internet Explorer provided by ABC" Custom logo: chúng ta có thể thay logo của Microsoft ở phía trên góc phải trình duyệt IE bằng logo của riêng mình (chỉ hỗ trợ các file BMP có 16-256 màu và kích cỡ là 22x22 hay 38x38). Hộp "Customize the static logo bitmaps" dành cho hình tĩnh còn hộp "Customize the animated bitmaps" dành cho hình động.

• Nhánh User Configuration/Administrative Templates/Windows Components/Internet Explorer Internet Control Panel: có tất cả 7 tùy chọn thiết lập không cho hiện 7 thẻ trong hộp thoại Internet Options như General, Security... Nếu không giấu thẻ General, chúng ta có thể quay lại folder Internet Explorer để enable phần "Disable changing home page settings" nhằm vô hiệu hóa việc thay đổi trang chủ IE. Toolbars: enable phần "Configure Toolbar Buttons" sẽ cho tùy chọn hiển thị các nút trên thanh công cụ của IE.

• Nhánh Computer Configuration/Administrative Templates/Windows Components/ Internet Explorer

Security Zone: Use only machine settings: bắt buộc tất cả các user đều phải chung một mức độ security như nhau. Security Zone: Do not allow users to add/delete sites: trong Security Zone có danh sách các site nguy hiểm do người dùng thiết lập, enable tùy chọn này sẽ không cho thay đổi danh sách đó (cách tốt nhất là giấu luôn thẻ Security). Disable Periodic Check for Internet Explorer software updates: ngăn không cho IE tự động tìm phiên bản mới của nó.

Thao tác về Windows Explorer. • Nhánh User Configuration/ Administrative Templates/ Windows Components/ Windows

Explorer: Maximum number of recent document: quy định số lượng các tài liệu đã mở hiển thị trong My Recent Documents. Do not move deleted files to the Recycle Bin: file bị xóa sẽ không được đưa vào Recycle Bin. Maximum allowed Recycle Bin size: giới hạn dung lượng của Recycle Bin, tính bằng đơn vị phần trăm dung lượng của ổ đĩa cứng. Hide the dropdown list of recent files trong folder Common Open File Dialog: không cho hiển thị danh sách recent file trong các hộp thoại Open (như Word, Excel...)

Thao tác về Logon. • Nhánh Computer Configuration/Administrative Templates/Logon

Always use classic logon: làm hộp thoại Logon/Shutdown của Windows XP có dạng giống Windows 2000. Run these programs at user logon: tùy chọn này cho phép người dùng lập danh sách các file cần chạy khi đăng nhập vào máy tính, chỉ nên sử dụng cho các file dữ liệu.

Thao tác về System Restore. • Nhánh Computer Configuration/Administrative Templates/System Restore

Turn off System Restore: tắt System Restore, khi người dùng gọi System Restore thì xuất hiện thông báo "System Restore has been turn off by group policy. To turn on System Restore, contact your domain Administrator". Turn off Configuration: chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore.


- 94 -

Thao tác về Windows Media Player. • Nhánh User Configuration/Administrative Templates/Windows Components/ Windows Media

Player Phần "Set and Lock Skin" trong folder User Interface: thiết lập một skin duy nhất cho Windows Media Player. Phần "Prevent Codec Download" trong folder Playback: ngăn Windows Media Player tự động tải các codec.

Thao tác về Windows Firewall với Group Policy

Windows Firewall là chương trình tường lửa được tích hợp vào Windows XP Service Pack 2 hay Windows 2003 Service Pack 1, giúp người dùng an toàn hơn khi lướt web.

Microsoft cũng cung cấp tập tin quản trị system.adm đã cập nhật các thiết lập cho Group Policy cho phép chúng ta có thể cấu hình tường lửa tốt hơn sử dụng AD (Active Directory) dựa trên GPO (Group Policy Object).

Để truy cập vào phần thiết lập cho tường lửa của Windows trong Group Policy, vào Start – Run, gõ gpedit.msc , Enter để hộp thoại Group Policy mở ra. Tiếp theo, vào tiếp theo các nhánh sau: Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall. Tại hộp thoại này, chúng ta có thể cấu hình cho tường lửa của Windows qua 2 thư mục: Domain Profile và Standard Profile.

Domain Profile: thiết lập cho Windows Firewall khi máy tính kết nối đến mạng AD

Standard Profile: thiết lập cho tường lửa khi máy tính không kết nối đến mạng.

Những thiết lập này cho phép chúng ta cấu hình cho những máy đã kết nối mạng hay các máy từ xa. Phần thiết lập của 2 thư mục Domain và Standard cũng hoàn toàn giống nhau, chúng ta có thể chọn một thiết lập và xem mô tả như sau:

Một vài tính năng của Windows Firewall hữu ích mà chúng ta nên kích hoạt: • Protect all network connections: thiết lập này buộc tường lửa tắt hay mở cho một định danh • Do not allow exceptions: tùy chọn chỉ thị cho tường lửa từ chối các trường hợp đặc biệt đã được

chỉ định. Kích hoạt thiết lập này tương đương với việc chọn “Don’t allow exceptions” (Không cho phép các trường hợp đặc biệt) trên thẻ General trong Windows Firewall Control Panel.

• Define program exceptions Properties: thiết lập cho phép chúng ta tùy chọn chỉ định các chương trình, giúp chúng ta cấp phép cho các trường hợp đặc biệt “tấm vé” để qua tường lửa.

• Prohibit notifications: thiết lập dừng các thông báo của tường lửa khi một chương trình yêu cầu Windows Firewall bổ sung nó vào danh sách các chương trình cho phép.

• Allow logging: tùy chọn cho phép chúng ta cấu hình cấp bậc bản ghi lưu trữ thông tin cho tường lửa, kích cỡ bản ghi, tên và vị trí.

Triển khai chính sách mật khẩu miền với Active Directory Windows 2003

Trong quá trình cài đặt Windows Active Directory cho một Domain Controller, hai Group Policy Object (GPO), tức đối tượng chính sách nhóm được tạo. Các GPO này được đặt tên là Default Domain Controllers Policy và Default Domain Policy. Trách nhiệm chính của GPO này là thiết lập đặc quyền người dùng cho Domain Controller, cũng như một số thiết lập bảo mật hỗn hợp khác. Default Domain Policy liên kết tới các miền trong toàn bộ quá trình cài đặt. Trong phần này chúng ta chỉ nói đến nhiệm vụ chính đó là thiết lập Password Policy cho tất cả tài khoản người dùng trong miền. Password Policies chỉ là một trong ba phần khác nhau ở khu vực Account Policies. Bên cạnh đó còn có Account Lockout Policies và Kerberos Policies. Bên trong Default Domain Policy, các thiết lập kiểm soát mật khẩu tài khoản người dùng trong miền và giới hạn khoá được tạo, như trong các hình bên dưới.


- 95 -

Hình Các thiết lập Password Policies.

Hình Các thiết lập Account Lockout Policies.

Nếu các giá trị mặc định không như chúng ta mong muốn thì chúng ta có thể chỉnh sửa chúng. Có hai hướng thực hiện là update Default Domain Policy để đạt được các thiết lập Password Policy mong đợi. Hoặc không thay đổi GPO mặc định mà tạo mới một GPO khác. Sau đó liên kết nó với miền, cấu hình với các thiết lập Password Policy mong đợi cũng như các thiết lập khác và chuyển lên mức ưu tiên cao hơn Default Domain Policy, như trong hình.

Hình GPO mới với mức ưu tiên cao hơn được tạo để cung cấp

Password Policy cho tất cả tài khoản người dùng trong miền.

Vô hiệu hóa các ổ USB, CD-ROM, Floppy Disk... bằng Group Policy Microsoft Group Policy cho phép tạo các file mẫu Administrative Template (.adm) tùy thích để áp dụng cho các thiết lập registry không có sẵn trong chế độ mặc định. Mẫu ADM trong bài viết này cho phép vô hiệu hóa bộ cài các thiết bị trên.


- 96 -

Mặc định, Group Policy không tạo diều kiện dễ dàng để vô hiệu hóa các ổ có thể di chuyển như cổng USB, ổ CD-ROM, ổ mềm và ổ mềm công suất cáo LS-120. Tuy nhiên, Group Policy có thể được mở rộng để sử dụng các tùy chọn bằng các mẫu ADM. Mẫu ADM trong bài này cho phép quản trị viên có thể vô hiệu hóa các ổ trên, bảo đảm rằng chúng không thể sử dụng. Cách thức tiến hành

• Chúng ta tạo một file có phần đuôi là .adm với nội dung code bên dưới CLASS MACHINE CATEGORY !!category CATEGORY !!categoryname POLICY !!policynameusb KEYNAME "SYSTEM\CurrentControlSet\Services\USBSTOR" EXPLAIN !!explaintextusb PART !!labeltextusb DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynamecd KEYNAME "SYSTEM\CurrentControlSet\Services\Cdrom" EXPLAIN !!explaintextcd PART !!labeltextcd DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 1 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY POLICY !!policynameflpy KEYNAME "SYSTEM\CurrentControlSet\Services\Flpydisk" EXPLAIN !!explaintextflpy PART !!labeltextflpy DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART


- 97 -

END POLICY POLICY !!policynamels120 KEYNAME "SYSTEM\CurrentControlSet\Services\Sfloppy" EXPLAIN !!explaintextls120 PART !!labeltextls120 DROPDOWNLIST REQUIRED VALUENAME "Start" ITEMLIST NAME !!Disabled VALUE NUMERIC 3 DEFAULT NAME !!Enabled VALUE NUMERIC 4 END ITEMLIST END PART END POLICY END CATEGORY END CATEGORY [strings] category="Custom Policy Settings" categoryname="Restrict Drives" policynameusb="Disable USB" policynamecd="Disable CD-ROM" policynameflpy="Disable Floppy" policynamels120="Disable High Capacity Floppy" explaintextusb="Disables the computers USB ports by disabling the usbstor.sys driver" explaintextcd="Disables the computers CD-ROM Drive by disabling the cdrom.sys driver" explaintextflpy="Disables the computers Floppy Drive by disabling the flpydisk.sys driver" explaintextls120="Disables the computers High Capacity Floppy Drive by disabling the sfloppy.sys driver" labeltextusb="Disable USB Ports" labeltextcd="Disable CD-ROM Drive" labeltextflpy="Disable Floppy Drive" labeltextls120="Disable High Capacity Floppy Drive" Enabled="Enabled" Disabled="Disabled"

• Chọn OU hay user cần vô hiệu hóa, chúng ta edit hay tạo mới Group Policy và áp đặt file*.adm vào.

Trong Computer Configuration chọn Administrative Templates Click chuột phải và chọn Add/Remove Template


- 98 -

• Tìm và add file*.adm vừa tạo xong OK

Click chuột phải trên Custom Policy Settings chọn View Filtering và bỏ chọn dòng Only show policy setting that can be fully managed OK. Sau đó vào Restrict Drives trong Custom Policy Settings để cho phép hay cấm các thiết bị.

• Hình sau minh họa việc cấm sử dụng USB

Mẫu code này sẽ tác động lên registry của các máy khách với thiết lập của nó. Nếu mẫu này bị xóa bỏ khỏi Group Policy đã áp dụng nó, registry sẽ thay đổi nó trở lại như cũ. Nếu chúng ta muốn đảo ngược lại các thiết lập được tạo ra bởi mẫu này, các đơn giản là đảo ngược các tùy chọn sang re-enable cho các ổ. Lưu ý: Code này áp dụng cho các phiên bản dưới đây của Windows

Microsoft Windows Server 2003, Standard Edition (32-bit x86) Microsoft Windows Server 2003, Enterprise Edition (32-bit x86) Microsoft Windows Server 2003, Datacenter Edition (32-bit x86) Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems


- 99 -

5.4. Xử lý sự cố 5.5. Bài tật tình huống Tóm tắt:

Group Policy Object (GPO) là một thành phần quan trọng trong hệ quản trị của Windows. Nó

giúp người quản trị có thể đưa ra những chính sách bảo vệ, giới hạn tầm hoạt động của người sử dụng theo một khuôn phép nhất định.

Domain Group Policy: trong hệ thống Windows Server thì GPO hoạt động theo mô hình client/Server. Do đó người quản trị sẽ theo tác các GPO trên máy chủ để áp đặt những thay đổi cần thiết cho máy con khi máy con đăng nhập vào hệ thống.

Local Group Policy: trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (local group policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả (tức khi nó tham gia vào một workgroup hoặc khi nó được dùng độc lập). Các máy Windows XP Home thì không có local group policy.

Group Policy có 2 thành phần chính là Computer Configuration và user configuration

• Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy.

• User Configuration: giúp chúng ta cấu hình cho tài khoản đang sử dụng. Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên.


- 100 -

BÀI 6: GIÁM SÁT HOẠT ĐỘNG MÁY CHỦ Mục tiêu:

Hiểu biết các công cụ quản trị và giám sát Server

Giám sát các thành phần và nhận biết nguyên nhân thắt cổ chai Server

Đưa ra giải pháp nâng cấp, thêm và thay mới CPU, RAM, DISK, Network…

6.1. Phương thức quản trị

Trách nhiệm chính của một người quản trị hệ thống là quản lý các Server trong một tổ chức, doanh nghiệp… mà hầu hết các nhà quản trị không phải lức nào cũng ở trong cùng phòng với các server mà họ quản lý, nên họ phải quản lý Server từ xa. Và làm thế nào để quản lý Server được hiệu quả ngay khi họ ở cùng phòng vơi server (Local Management) hay quản trị từ xa (Remote Management). Bài này chúng tôi sử dụng Microsoft Windows Server 2003 để hướng dẫn các bạn những gì cần thiết cũng như sử dụng công cụ gì, những quyền được yêu cầu để cai quản các server.

6.2. Công cụ quản trị Để quản lý một server, chúng ta phải có các quyền phù hợp để làm công việc này. Điều quan trọng là phải biết rõ những quyền nào được gán cho domain local group để cho phép các thành viên của chúng thực hiện những thao tác cụ thể, bởi vì chúng ta có thể sử dụng những group này để thực hiện những thao tác quản lý phổ biến. Mặc định, những group này có những quyền được xác định trước để quyết định những thao tác hệ thống mà các thành viên của group hay các group có thể thực hiện. Các group mặc định gồm: Administrators, Backup Operators, Account Operators, Server Operators, Print Operators (chức năng của các group này các bạn có thể xem lại trong bài 2).

Computer Management: là một tập hợp công cụ quản lý mà chúng ta có thể sử dụng để quản lý một máy local hay máy từ xa.

Chúng ta có thể sử dụng Computer Management để : • Giám sát những sự kiện hệ thống, như là những thời gian logon và những ứng dụng bị lỗi • Tạo và quản lý các tài nguyên share • Xem danh sách các user, người được kết nối tới một máy local hay máy từ xa • Khởi động và dừng các dịch vụ hệ thống, như là Task Cheduler và Indexing Service • Cài đặt các thuộc tính cho các thiết bị lưu trữ • Xem những cấu hình thiết bị và add thêm những driver thiết bị mới

Computer Management gồm có các thành phần chính và được quản lý theo cây như: System Tools, Storage, Services and Applications. Mỗi thành phần này có các chức năng riêng. System Tools: cho phép chúng ta sử dụng những công cụ trong System Tools để quản lý những sự kiện hệ thống và quá trình thực hiện trên máy tính mà chúng ta quản lý.

• Event Viewer: Sử dụng Event Viewer để quản lý và quan sát những sự kiện được ghi trong các log application, security, và system. Chúng ta có thể quan sát những bản ghi để theo dõi những sự kiện bảo mật và nhận dạng những phần mềm, phần cứng và các vấn đề hệ thống có thể xảy ra.

• Shared Folders: Sử dụng Shared folders để xem những kết nối và các tài nguyên được sử dụng trên máy tính. Chúng ta có thể tạo, xem và quản lý những tài nguyên chia sẻ (share) , xem và mở các file và phiên làm việc…


- 101 -

• Local users and groups: Sử dụng Local Users and groups để tạo và quản lý các local user account và group của chúng ta.

• Performance Logs and Alerts: Sử dụng Performance Logs and Alert để giám sát và tập hợp dữ liệu về quá trình thực hiện của máy tính.

• Device Manager: Sử dụng Device Manager để xem các thiết bị phần cứng được cài trên máy, update những driver các thiết bị, thay đổi những thiết lập phần cứng và giải quyết các vấn đề xung đột thiết bị.

Storage: gồm các công cụ để quản lý các thuộc tính của các thiết bị lưu trữ. • Removeabke Storage: Sử dụng Removeable Storage để theo dõi những thiết bị lưu trữ có thể di

chuyển được và để quản lý các thư viện hay các hệ thống lưu trữ dữ liệu mà chứa chúng. • Disk Management: Sử dụng Disk Management để thực hiện những thao tác liên quan tới ổ đĩa

như là chuyển đổi , tạo hay định dạng các volume. Disk Management giúp chúng ta quản lý các ổ đĩa và những partition hay các volume chúng chứa

Services and Applications: những công cụ trong Services and Applications giúp chúng ta quản lý các services và những ứng dụng trên một máy tính được chỉ định.

• Services: Sử dụng Services để quản lý các dịch vụ trên một máy local hay các máy từ xa. Chúng ta có thể khởi động, ngừng, dừng, tiếp tục lại hau disable các dịch vụ.

• WMI Control: Sử dụng WMI Control để cấu hình và quản lý Windows Management Service • Indexing Service: Sử dụng Indexing Service để quản lý dịch vụ Indexing và để tạo, cấu hình

thêm những catalog để lưu trữ chỉ mục thông tin . Các bước cấu hình Computer Management để quản lý Server từ xa

• Log on vào máy với quyền administrator và password ví dụ 123456?a • Vào Start menu, right-click trên My Computer và sau đó click Manage. • Right-click trên Computer Management (local), sau đó click Connect to another computer. • Click Another Computer, nhập tên của máy hoặc click Browse để tìm vị trí máy tính mà chúng

ta muốn quản lý từ xa sau đó click OK. • Trong Computer Management, chúng ta sẽ thấy được các công cụ như: System Tools, Storage và

Services and Applications.

• Muốn dùng công cụ gì để sử dụng thì chúng ta chọn công cụ đó.


- 102 -

Microsoft Management Console (MMC) để quản trị trên máy Local hay quản trị từ xa

Microsoft Management Console (MMC) cung cấp một giao diện mà chúng ta có thể sử dụng để tạo, lưu và mở các công cụ quản lý, gọi các snap-in để quản lý các phần cứng, phần mềm và các thành phần của Windows Server 2003. Khi chúng ta mở một công cụ quản lý trong MMC, chúng ta có thể chỉ định áp dụng công cụ trên máy cục bộ (Local) hay trên một máy từ xa. Để thực hiện những công việc trên nhiều server, sử dụng các MMC snap-in. Hầu hết những công cụ quản lý được cung cấp bởi họ các hệ điều hành Windows Server 2003 là những MMC snap-in mà chúng ta có thể sử dụng để quản lý các server từ xa giống như máy local của chúng ta. Các bước để cấu hình MMC cho quản lý một server từ xa

• Mở Microsoft Management Console (MMC) bằng cách vào Start Run gõ mmc OK

• Vào menu chọn File và click Add/Remove Snap-in, sau đó click Add. • Trong danh sách snap-in, click vào Computer Management, rồi click vào nút Add. • Một màn hình Computer Management xuất hiện cho phép chúng ta chọn local computer hoặc

remote computer, sau đó click Finish. • Click vào Close và click OK.

Dùng Remote Desktop để quản trị Server quản trị từ xa.

Bằng cách sử dụng Remote Desktop cho công việc quản trị, chúng ta có thể quản lý một hay nhiều Server từ xa từ một vị trí. Trong một tổ chức lớn, chúng ta có thể sử dụng việc quản lý từ xa để quản lý tập trung nhiều máy tính được định vị trong các toà nhà khác hay thậm chí những thành phố khác. Trong một tổ chức nhỏ hơn, chúng ta có thể sử dụng việc quản lý từ xa để quản lý một Server được nằm trong một văn phòng khác. Remote Desktop cung cấp cho việc truy xuất tới một server từ một máy tính tại một vị trí khác bằng cách sử dụng Remote Desktop Protocol (RDP). RDP truyền giao diện user tới phiên client và nó cũng truyền bàn phím và những click chuột từ client tới server. Chúng ta có thể tạo tới hai kết nối từ xa đồng thời. Mỗi phiên mà chúng ta logon vào không phụ thuộc vào phiên làm việc của user khác và phiên làm việc của server. Khi chúng ta sử dụng Remote Desktop để logon vào một server từ xa, nó giống như chúng ta đã logon vào server local. Remote Desktop cung cấp hai công cụ mà chúng ta có thể sử dụng để quản lý một server từ xa. Remote Desktop Connection và Remote Desktops snap-in. Mỗi trường hợp của công cụ Remote Desktop Connection tạo ra một cửa sổ chính nó và cho phép chúng ta quản lý một server từ xa cho mỗi cửa sổ. Nó luôn khởi động một phiên làm việc mới trên server. Remote Desktop snap-in rất hữu ích cho các nhà quản trị, người quản lý từ xa nhiều Server hay cho các nhà quản trị phải kết nối tới phiên làm việc từ xa.


- 103 -

Số kết nối tối đa cho remote desktop connection tới một Server là hai. Sau khi chúng ta đạt tới giới hạn này, Remote Desktop không cho phép những kết nối remote desktop khác tới server. Tuy nhiên muốn sử dụng được dịch vụ này thì chúng ta phải enable truoc khi cấu hình Remote Desktop. Remote Desktop rất hữu dụng, bởi vì nó cung cấp truy xuất từ xa tới hầu hết những thiết lập cấu hình, bao gồm Control Panel, một công cụ không thể được cấu hình từ xa. Bằng cách sử dụng một phiên Remote Desktop, chúng ta có thể truy xuất MMC, Active Directory, Microsoft System Management Server, những công cụ cấu hình mạng và phần lớn những công cụ cấu hình khác. Để cấu hình Remote Desktop chúng ta cần chuẩn bị các bước sau: Trước khi chúng ta quản lý một server từ xa,, server remote phải được cho phép quản lý từ xa. Remote Desktop Service phải được enable locally trên server từ xa bởi một người quản trị hệ thống. Người quản trị hệ thống phải có nhiều quyền thích hợp để quản lý máy tính. Mặc định, một administrator có đặc quyền kết nối tới một Server remote và có thể sử dụng Remote Desktop để thực hiện các thao tác từ xa như là add thêm phần mềm mới và cài những gói service pack trên một server từ xa.

Để cấu hình các kết nối server cho việc quản lý server từ xa • Log on vơi quyền như Administrator. • Vào Start menu, right-click trên My Computer chọn Properties • Click vào thẻ Remote. • Check vào ô Allow users to connect remotely to this computer.

Cấu hình Remote Desktop cho client

Remote Desktop Connection là một ứng dụng phía ma client cho phép chúng ta kết nối tới một server sau khi Remote Desktop trên được enable trên Server Để kết nối tới một server từ xa bằng cách sử dụng Remote Desktop Connection

• Trên máy tính client, click Start Programs Accessories Communications Remote Desktop Connection.

• Trong hộp thoại Computer, nhập tên computer name hoặc địa chỉ IP của Server và sau đó bấm Connect để kết nôi.

• Nếu muốn ngắt kết nối chúng ta vào Start menu và chọn Log off.

6.3. Giám sát hoạt động Server Giám sát quá trình thực hiện Server là một thành phần quan trọng của công việc bảo dưỡng và quản lý hệ điều hành của chúng ta. Việc theo dõi hàng ngày quá trình thực thi hệ thống bảo đảm rằng chúng ta cập nhật những thông tin về mày tính của chúng ta đang hoạt động như thế nào. Việc giám sát sự thực thi cũng cung cấp cho chúng ta dữ liệu mà chúng ta có thể sử dụng để dự đoán sự phát triển trong tương lai và dự tính thay đổi như thế nào tới những cấu hình hệ thống của chúng ta có thể ảnh hưởng tới hoạt động trong tương lai. Phần này giúp cho chúng ta có thể thiết lập một ranh giới thực thi (baseline), thực hiện việc giám sát thời gian thực và log, cấu hình và quản lý các counter log và cấu hình alert.


- 104 -

Monitoring Server Performance Giám sát thực thi là một thành phần của việc bảo dưỡng server của chúng ta. Bằng cách giám sát đều đặn sự thực thi server qua những thời kỳ thay đổi từ các ngày, tuần, tháng… chúng ta có thể thành lập một baseline cho sự thực thi server. Qua việc giám sát, chúng ta nhận được dữ liệu thực thi rất có ích trong việc chẩn đoán các vấn đề server như:

• Hiểu những đặc điểm khối lượng công việc phải làm của chúng ta và tác động tương ứng lên các tài nguyên hệ thống của chúng ta.

• Theo dõi những thay đổi và xu hướng phát triển trong workload và việc sử dụng tài nguyên để chúng ta có thể lập kế hoạch nâng cấp trong tương lai

• Kiểm tra những thay đổi cấu hình bởi kết quả của việc giám sát hệ thống. • Chẩn đoán các vấn đề và nhận ra các thành phần hay những quá trình để tối ưu.

Những công cụ giám sát chính trong microsoft Windows Server 2003 là Performance console và Task Manager Task Manager: cung cấp một cách tổng quát về hoạt động và sự thực thi hệ thống. Nó cung cấp về

những chương trình và những quá trình đang chạy trên máy tính của bạn. Nó cũng hiển thị những tiêu chuẩn đánh giá sự thực thi được sữ dụng phổ biến nhất cho các quá trình. Bạn có thể sử dụng Task Manager để thực thi real-time monitoring.

Bạn có thể sử dụng Task Manager để quan sát những bộ hiển thị chính của sự thực thi máy của bạn. • Bạn có thể xem những trạng thái của những chương trình đang chạy và kết thúc những chương

trình nào không đáp ứng. • Bạn cũng có thể đánh giá hoạt động của quá trình đang chạy bằng cách sử dụng tới 15 tham số

khác nhau, và xem những biểu đồ, dữ liệu về cách sử dụng CPU và bộ nhớ. • Nếu bạn đang kết nối tới mạng, bạn có thể xem trạng thái mạng • Nếu có nhiều hơn một user được kết nối vào máy của bạn, bạn có thể xem ai đang kết nối, xem

những file nào họ đang làm việc và gửi cho họ một tin nhắn .

Task Manager có 5 tab cho phép bạn thực hiện tất cả những chức năng này.

Tab Applications:

Tab Applications hiển thị trạng thái của những chương trình đang chạy trên máy tính. Trong tab này, bạn có thể kết thúc, chuyển hoặc khởi động một chương trình.

Tab Processes:

Tab Processes hiển thị thông tin về những quá trình đang chạy trên máy. Ví dụ, bạn có thể hiển thị về việc sử dụng CPU, bộ nhớ, những lỗi trang nhớ và các thông số khác.

Tab Performance: Tab Performance hiển thị một cái nhìn linh động về sự thực thi của máy tính, bao gồm : Đồ thị về việc sử dụng CPU và bộ nhớ Số handles, chuỗi và những quá trình đang chạy trên máy tính của bạn. Số lượng KB của bộ nhớ vật lý, kernel và bộ nhớ chuyển giao. Bộ nhớ vật lý là tổng bộ nhớ, bộ nhớ kernel là bộ nhớ mà hệ thống kernel và các driver thiết bị sử dụng, còn bộ nhớ chuyển giao là bộ nhớ được cấp phát cho các chương trình và hệ điều hành.

Tab Networking:

Tab Networking hiển thị dạng đồ hoạ quá trình thực hiện mạng. Nó cung cấp một cách hiển thị đơn giản, nhưng chất lượng để trình bày trạng thái của mạng hay các mạng đang chạy trên máy tính của bạn. Tab này chỉ được hiển thị khi có một card mạng được tồn tại. Trên tab này, bạn có thể xem phẩm chất và tính sẵn dùng kết nối mạng của bạn, xem bạn có được kết nối tới nhiều mạng hay không.

Tab Users:


- 105 -

Tab Users hiển thị tên của các user, những người đang truy xuất vào máy tính cùng với trạng thái phiên và tên. Client Name chỉ định tên của máy client đang sử dụng session, nếu có thể ứng dụng được. Session cung cấp một cái tên cho bạn để sử dụng khi bạn thực hiện nhiều thao tác như là gửi cho user khác một thông điệp hoặc kết nối tới một session của user khác. Tab Users được hiển thị chỉ khi Fast User Switching được cho phép trên máy tính mà bạn đang làm việc. Máy tính cũng phải là thành viên của một workgroup hoặc một máy standalone. Tab này không có trên các máy tính là thành viên của domain.

Performance Console Windows Server 2003 cung cấp những công cụ sau như là thành phần của Performance console để giám sát việc sử dụng tài nguyên trên máy tính của bạn :

System Monitor Performance Logs and Alert

System Monitor: tính năng này bạn có thể tập hợp và xem dữ liệu theo phạm vi rộng về việc sử dụng những tài nguyên phần cứng và hoạt động của các dịch vụ hệ thống trên máy mà bạn quản lý. Với System Monitor, bạn có thể tập hợp và xem dữ liệu thực thi thời gian thực của một máy local hoặc nhiều máy remote. Để chọn dữ liệu được tập hợp, chỉ ra những đối tượng, các counter thực thi và những trường hợp đối tượng thực thi. Performance Logs and Alerts: cung cấp khả năng theo dõi và cảnh giác cho cả hai máy local và remote. Bạn sử dụng logging để phân tích chi tiết và duy trì những mẩu tin. Việc giữ lại và phân tích dữ liệu được tập hợp qua thời gian có thể hữu dụng để lập kế hoạch nâng cấp. Với performance Logs and Alerts, bạn có thể tập hợp dữ liệu sự thực thi bằng cách sử dụng hai loại log: counter log và trace log. Bạn cũng có thể cài một cảnh báo trên một counter để gửi một thông điệp, chạy một chương trình hoặc khởi động một log khi giá trị của counter vượt qúa hoặc tụt xuống dưới mức chỉ định. Thiết lập thông số cho counter log Khi bạn thiết lập các tham số cho một counter log, bạn phải chọn một định dạng file log. Chọn định dạng file log phù hợp nhất cho môi trường của bạn. Ví dụ, nếu bạn chịu trách nhiệm trước một vài server, file định dạng text hoặc binary là sự lựa chọn tốt nhất. Nếu bạn chịu trách nhiệm quản lý hành trăm server, định dạng dữ liệu thành database SQL là lựa chọn tốt nhất. Để thiết lập các thông số file cho một counter log

1. Vào Start Programs Administrative Tools click Performance. 2. Double-click vào Performance Logs and Alerts. 3. Double-click Counter Logs để thiết lập thuộc tính. 4. Double-click vào log file 5. Chọn Tab Log Files và cấu hình các option sau:

Log file type, Chọn log file cần định dạng, sau đó click vào nút Configure. Configure. Cấu hình các lựa chọn như dung lượng log file, tên file và vị trí lưu trữ. End file names with: check vào ô End file names with là cho phép chúng ta chọn tên file và tên file này khác với tên file do windows tự tạo.

Schedule Counter Log

Thật là không thực tế nếu để cho một người giám sát một server mạng 24 h mỗi ngày. Bạn phải tự động quá trình này để bạn có thời gian thực hiện những công việc khác của bạn. Bạn có thể sắp xếp các counter log để tạo ra một ranh giới thực thi, tìm những bottleneck, giám sát các sự kiện hệ thống và tập hợp thông tin về những sự kiện hệ thống tác động tới server như thế nào .

Bạn có thể sắp xếp các counter log để: Tạo một ranh giới thực thi Xác định tác động trên toàn hệ thống khi việc sao lưu xảy ra giữa các domain controller Xác định một bottleneck có xảy ra hay không khi các user logon vào buổi sáng Xác định một bottleneck có xảy ra hay không khi các user kết nối từ xa vào buổi tối Xác định xem Backup có gây ra một bottleneck hay không khi nó chạy vào buổi tối . Xác định xem một bottleneck có xảy ra hay không trong một khoảng thời gian nào đó trong ngày khi các user phàn nàn rằng mạng chậm đi.


- 106 -

Thông thường bạn lập kế hoạch giám sát bắt đầu trong thời gian làm việc. Với hầu hết các tổ chức, thời gian này bắt đầu từ 8 h sáng tới 5 h chiều. Với những tổ chức hoạt động 24 h mỗi ngày và 7 ngày mỗi tuần, logging nên đựơc mở liên tục. Nếu logging được mở liên tục, bạn có thể tạo một log file cho mỗi ca (thông thường 8 h) hoặc toàn bộ 24 h. Một log file bị giới hạn bởi kích thước tiếp tục phát triển tới kích thước mà bạn chỉ định và sau đó một log mới được khởi động. Để lập biểu một counter log, bạn phải xác định các thông số khởi động và ngừng nó.

Các bước để xác định các tham số khởi động và ngừng cho một counter log

1. Vào Start Programs Administrative Tools và chọn Performance. 2. Double-click Performance Logs and Alerts và click Counter Logs. 3. Double-click lên tên của counter log. 4. Trên Tab Schedule, cho phép thiết lập thời gian bắt đầu (Start log) và thời gian kết thúc (Stop log) của một counter log Chú ý : Thiết lập giới hạn trong hộp thoại Configure Log Files trước khi click When the log file is full. Nếu không tuỳ chọn này bị làm không hoạt động.

Cấu hình Alert

Sử dụng các alert để thông báo cho một user hay nhà quản trị khi một giá trị counter được xác định trước bị vượt quá hoặc tụt xuống dưới một thiết lập đã chỉ ra. Ngoài ra, bạn có thể sử dụng Performance Logs and Alerts để tập hợp dữ liệu về tài nguyên phần cứng, các dịch vụ hệ thống và sự thực thi. Alert là một tính năng mà phát hiện khi một giá trị counter đã khai báo trước bị vượt qua hoặc tụt xuống dưới một thiết lập được chỉ định. Thiết lập được chỉ định trên một counter được gọi là alert threshold (ngưỡng cảnh báo) Bạn có thể cài một alert trên một counter để thực hiện những chức năng sau :

Tạo ra một mục dữ liệu trong log sự kiện ứng dụng. Ví dụ, enable tuỳ chọn này nếu bạn muốn ghi lại tất cả những sự kiện gây ra một alert Khởi động một log khi giá trị của counter đã chọn vượt ngưỡng hoặc tụt xuống ngưỡng cảnh báo . Ví dụ, bạn có thể sử dụng tùy chọn này để thông báo cho bạn nếu CPU sử dụng quá 85 % Gửi một thông điệp Chạy một chương trình: Enable tuỳ chọn này nếu bạn muốn một chương trình chạy khi một sự kiện xảy ra. Ví dụ, bạn có thể muốn shutdown server khi đĩa cứng đầy.

Sử dụng procedure sau để tạo một alert Để tạo một alert 1. Vào Start Programs Administrative Tools và chọn Performance. 2. Double-click Performance Logs and Alerts và click Alerts. 3. Right-click trên vùng trống và chọn New Alert Settings. 4. Nhập tên Alert và sau đó bấm OK. Trên Tab General, bạn cần chú thích alert, khoảng thời gian thực hiện và ngưỡng cảnh báo. Trên Tab Action, bạn có thể chỉ định cảnh báo bằng cách gửi e-mail hay chạy một chương trình nào đó khi có một Alert xuất hiện. Trên Tab Schedule, bạn có thể lập lịch thời gian bắt đầu và thời gian kết thức scan alerts. Chú ý : Để lưu những thiết lập cho một alert, right click lên alert trong cửa sổ bên phải của Performance console, và sau đó click Save Settings As. Bạn có thể chỉ ra một file .html để lưu những thiết lập này. Để sử dụng lại những thiết lập đã lưu cho một alert mới, right click trong cửa sổ bên phải, và sau đó click New Alert Settings From. Đây là cách dễ dàng để tạo những thiết lập mới từ một cấu hình alert. Bạn cũng có thể mở file HTML trong Internet Explorer để hiển thị một đồ thị System Monitor

Sử dụng Performance console và Task Manager trong Microsoft Windows Server 2003 để giám sát hoạt động Server. Môi trường doanh nghiệp ngày nay yêu cầu các kỹ sư hệ thống bảo đảm rằng những server của họ hoạt động hiệu quả và đáng tin cậy. Để tối ưu sự thực thi của server, bạn phải tập hợp dữ liệu về quá trình thực thi, giúp bạn nhận ra những chỗ hệ thống tắc nghẽn (bottleneck). Phần này trình bày làm thế nào để tập hợp dữ liệu quá trình thực thi bằng cách sử dụng hệ thống server subsytem.


- 107 -

Bốn subsystem chính là : • Bộ nhớ: Bộ nhớ server là hệ thống con quan trọng nhất đối với sự thực thi chung của server. Nếu

server không có đủ bộ nhớ RAM để giữ dữ liệu mà nó cần, nó phải lưu tạm thời dữ liệu lên ổ cứng. Truy xuất đĩa chậm hơn nhiều so với RAM, vì thế việc lưu dữ liệu trên đĩa có thể làm giảm đáng kể sự thực thi server.

• Bộ xử lý: Khía cạnh quan trọng nhất trong việc thực thi bộ xử lý là mức độ sử dụng của nó. Khi một ứng dụng hay phần mềm khác sử dụng nhiều hơn chu kì chia sẻ của nó, tất cả các phần mềm khác đang chạy sẽ hoạt động chậm đi nhiều hơn.

• Đĩa: Tốc độ truy xuất của các đĩa vật lý có thể ảnh hưởng lớn tới tốc độ ứng dụng hoạt động và dữ liệu được tải lên. Vì thế, dung lượng trống đĩa phải đủ để bạn cài những ứng dụng, lưu trữ dữ liệu và có đủ dung lượng trống cho bộ nhớ ảo.

• Mạng: Sự thực thi mạng của bạn bị tác động bởi cả hai phần cứng trong cấu trúc mạng của bạn và phần mềm đang chạy trên server và cclient.

Bộ nhớ RAM:

Thiếu bộ nhớ là nguyên nhân phổ biến nhất của các vấn đề thực thi nghiêm trọng trong các hệ thống máy tính. Thậm chí nếu bạn có nghi ngờ tới các vấn đề khác, nhưng trước tiên hãy kiểm tra các counter bộ nhớ để loại trừ khả năng thiếu bộ nhớ. Giám sát bộ nhớ server để đánh giá lượng bộ nhớ sẵn có, mức độ bộ nhớ ảo, và để theo dõi những tác động của việc thiếu bộ nhớ. Giám sát bộ nhớ server có thể giúp bạn xác định bất kì một trong những trường hợp tồn tại sau : Tắc nghẽn bộ nhớ: Trường hợp bộ nhớ thấp có thể làm chậm hoạt động của các ứng dụng, các services trên server và có thể ảnh hưởng tới sự thực thi của các tài nguyên khác trên server của bạn. Ví dụ, khi server của bạn bị thấp bộ nhớ, trang nhớ có thể bị kéo dài, dẫn tới làm việc trên đĩa của bạn nhiều hơn. Bởi vì nó đòi hỏi đọc và ghi lên đĩa, nên trang nhớ này hoạt động có thể cạnh tranh với các yêu cầu thực thi đĩa khác, do đó làm dẫn tới một vấn đề tắc nghẽn đĩa. Tất cả những công việc với đĩa có thể muốn nói rằng bộ xử lý đã được sử dụng thấp hay nó đang làm việc không như mong muốn, như là xử lý nhiều ngắt để thay thế những trang nhớ lỗi. Page faults xảy ra khi server không thể định vị code được yêu cầu hoặc dữ liệu trong bộ nhớ. Như là một kết quả, các ứng dụng và những services trở nên ít phản ứng hơn. Vì thế, điều quan trọng là phải giám sát bộ nhớ một cách đều đặn để phát hiện những tắc nghẽn bộ nhớ. Không đủ bộ nhớ: Không đủ bộ nhớ là lý do của những triệu chứng chúng ta bắt gặp với dung lượng bộ nhớ thấp. Bằng cách giám sát bộ nhớ server, bạn có thể sử dụng baseline được thiết lập để dự báo trước khi nào bạn cần add thêm bộ nhớ và để tránh các vấn đề này. Vượt quá trang nhớ: Dấu hiệu của việc thiếu bộ nhớ thường là paging. Paging là quá trình di chuyển những khối code kích thước cố định và dữ liệu từ RAM tới đĩa bằng cách sử dụng các khối được gọi là pages để giải phóng bộ nhớ cho những mục đích khác. Mặc dù một vài paging có thể chấp nhận được, bởi vì nó cho phép bạn sử dụng bộ nhớ nhiều hơn là kích thước tồn tại thật sự, nhưng hằng số paging làm chậm sự thực thi server. Giảm paging cải thiện đáng kể tình trạng của server Thất thoát bộ nhớ: Việc thất thoát bộ nhớ xảy ra khi các ứng dụng đã định vị bộ nhớ để sử dụng, nhưng không giải phóng bộ nhớ được định vị khi ứng dụng kết thúc. Và kết quả là bộ nhớ bị sử dụng một cách lãng phí, thường làm cho server ngừng hoạt động đúng.


- 108 -

Sử dụng các counter Performance để xác định xem bộ nhớ có gây ra một nghẽn cổ chai trong hệ thống hay không. Danh sách sau bao gồm hai loại counter. Loại counter thứ nhất là counter tốc độ, như là Pages/sec, Page Faults/sec. Một counter tốc độ lấy mẫu việc gia tăng đếm các sự kiện theo thời gian. Để hiển thị tốc độ hoạt động, counter tốc độ chia bộ đệm thành những giá trị thay đổi theo thời gian. Vì thế, để nhận được một kết quả chính xác, bạn phải giám sát các counter tốc độ lâu một chút, thông thường từ 30 tới 60 giây. Loại counter thứ hai là counter tức thời , như là Avaiable Bytes và Committed Bytes. Những counter này hiển thị các phép đo gần nhất.

• Pages/sec: Số yêu cầu các trang nhớ không có sẵn ngay lập tức trong RAM, và vì thế phải được truy xuất từ ổ cứng hoặc được ghi đè lên đĩa để tạo ra một phạm vi trong RAM dành cho những trang nhớ khác. Thông thường, nếu giá trị của counter vượt qua 5 chu kỳ mở rộng, bộ nhớ có thể bị tắc nghẽn trong hệ thống.

• Avaialble Bytes: Dung lượng bộ nhớ vật lý sẵn có. Nó thường thấp, bởi vì Windows Disk Cache Manager sử dụng nhiều bộ nhớ hơn thường lệ để lưu và sau đó trả nó về khi những yêu cầu bộ nhớ xảy ra. Tuy nhiên, nếu giá trị này thường thấp dưới 5 % của tổng dung lượng bộ nhớ, nó chỉ ra rằng thừa quá mức trang nhớ đang xảy ra

• Committed Bytes: Dung lượng bộ nhớ ảo được trao chuyển cho RAM vật lý để lưu trữ hoặc cho các trang nhớ. Nếu dung lượng được chuyển lớn hơn dung lượng bộ nhớ vật lý, nhiều RAM hơn được yêu cầu.

• Pool Nonpages Bytes: Dung lượng RAM trong vùng nhớ hệ thống Nonpaged pool, nơi mà dung lượng được yêu cầu bởi các thành phần của hệ điều hành khi chúng hoàn thành nhiệm vụ của chúng. Nếu giá trị Pool Nonpaged Bytes thể hiện một sự gia tăng đều đặn và không tương thích với hoạt động trên server, nó có thể chỉ ra rằng một quá trình thất thoát bộ nhớ đang chạy, và bạn nên giám sát nó cẩn thận.

• Pages Faultd/sec: Số lần một trang nhớ ảo không tìm thấy trong bộ nhớ. Nếu con số này là vượt quá 5, quá nhiều bộ nhớ được đinh vị cho một ứng dụng và không đủ để cho server mà bạn đang chạy.

Giám sát bộ nhớ RAM bằng cách sử dụng Performance console:

1. Vào Start Programs Administrative Tools và chọn Performance. 2. Right-click trên System Monitor và click Add Counters.


- 109 -

Dưới Performance object, click vào Memory, chọn các counter cần giám sát và Add vào • Pages/sec • Available Bytes • Committed Bytes • Pool Nonpaged Bytes • Page Faults/sec Chú ý : Mỗi khi bạn click Add để add một counter, counter đó được add vào danh sách những counter trong cửa sổ bên phải của System Monitor. 3. Trong cửa sổ bên phải của System Monitor, view counters, và chọn cách giải quyết cho các vấn đề của memory. Mẹo nhỏ: Hành động phù hợp để giải quyết một vấn để bộ nhớ có thể bao gồm việc tìm kiếm quá trình gây ra paging hoặc việc sử dụng RAM, kiểm tra độ thất thoát bộ nhớ trong một ứng dụng và add thêm RAM.

Giám sát bộ nhớ RAM bằng cách sử dụng Task Manager:

Bạn cũng có thể giám sát bô nhớ bằng cách sử dụng Task Manager : 1. Bấm tổ hợp phím CTRL+ALT+DEL, và chọn Tab Task Manager. 2. Trên Tab Performance, giám sát data trong Page File, Physical Memory, Kernel Memory và Commit Charge.

Giám sát bộ xử lý: Cách sử dụng bộ xử lý, còn gọi là cách sử dụng CPU là tỉ lệ phần trăm lượng thời gian mà CPU đang làm việc. Bạn phải giám sát cách sử dụng CPU để phát hiện các vấn đề tắc nghẽn CPU. Trong Windows Server 2003, bạn có thể sử dụng Tak Manager giống như Performnace để giám sát hoạt động và cách sử dụng CPU. Couner để xác định cách sử dụng trong những công cụ này được gọi là : CPU Usage trong Task Manager % Processor Time trong Perfromance Trong Task Manager, CPU Usage hiển thị một đồ thị chỉ ra phần trăm thời gian bộ xử lý đang làm việc. Counter này là bộ hiển thị chính hoạt động của CPU. Xem đồ thị này để thấy bao nhiêu phần trăm bộ xử lý đang xử dụng. Nếu hệ thống của bạn có vẻ như chạy chậm đi, đồ thị này có thể hiển thị phần trăm cao. Trong Performance, % Propcessor Time là phần trăm thời gian trôi qua mà bộ xử lý sử dụng để thực thi một xâu chuỗi không ngừng. Mỗi bộ xử lý có một tuyến đoạn rảnh rỗi để sử dụng trong các chu kỳ khi không có những xâu lệnh nào sẵn sàng chạy. Counter này là bộ hiển thị chính hoạt động của CPU. Nó hiển thị phần trăm trung bình của thời gian bận được theo dõi trong khoảng thời gian giữa hai sự kiện mẫu. Nó tính toán giá trị này bằng cách giám sát thời gian mà CPU hoạt động nhàn rỗi và lấy 100% trừ cho giá trị đó. Điều quan trọng là để quan sát counter trên những hệ thống SMP cũng như trên các hệ thống chỉ có một CPU. SMP cho phép bất kì một trong nhiều bộ xử lý trên máy tính chạy hệ điều hành hoặc chuỗi ứng dụng đồng thời với các bộ xử lý khác trong hệ thống. Theo dõi cách sử dụng từng bộ xử lý riêng biệt và cho tất cả các bộ xử lý khác trên hệ thống qua một thời gian rộng.Ngoài ra xét số chuỗi hàng đợi trong bộ xử lý của hệ thống để xác định xem việc sử dụng bộ xử lý cao có làm cho khả năng hoàn thành công việc của hệ thống bị giới hạn hay không.


- 110 -

Hầu như mọi hoạt động xảy ra trên một server đều liên quan tới bộ xử lý. Bộ xử lý cho một server ứng dụng thường thì bận hơn CPU trên file và printer server. Và kết quả là, cấp độ bộ xử lý hoạt động là sự khác nhau giữa hai loại server. Hai nguyên nhân phổ biến nhất gây ra những thắt cổ chai CPU là giới hạn CPU ứng dụng và driver, và quá nhiều ngắt được tạo ra bởi thiếu đĩa hoặc bởi các thành phần hệ thống mạng phụ. Giám sát các counter bộ xử lý để xác định xem bộ xử lý có gây ra một botleneck (nghẽn) hay không.

• % Processor Time: Những giới hạn lượng thời gian mà bộ xử lý bận. Khi bộ xử lý chạy quá 85%, bộ xử lý là một hệ thống botleneck. Phân tích cách sử dụng bộ xử lý bằng cách giám sát từng bộ xử lý riêng biệt để xác định xem nguyên nhân bộ xử lý hoạt động là gì.

• System. Processor Queue Length: Số yêu cầu trong hàng đợi cho bộ xử lý. Nó chỉ ra số chuỗi lệnh sẵn sàng được thực thi và đang đợi để xử lý. Thông thường, độ dài một hàng đợi xử lý dài hơn hai có thể cho thấy tắc nghẽn. Để xác định nguyên nhân gây ra tắc nghẽn, bạn phải phân tích sâu hơn từng quá trình riêng biệt đã tạo ra các yêu cầu tới bộ xử lý.

• Server Work Queues: Queue Length. Số yêu cầu trong hàng đợi để được chọn xử lý. • Interrupts/sec: Số ngắt mà bộ xử lý đang bảo quản từ các ứng dụng hay từ các thiết bị phần

cứng. Windows Server 2003 có thể giữ hàng ngàn ngắt mỗi giây. Một sự gia tăng đột ngột giá trị của counter này mà không tương thích với sự gia tăng hoạt động hệ thống, chỉ ra rằng một phần cứng có vấn đề. Vấn đề có thể là một thiết bị không thể duy trì với sự ngừng lại của hệ thống, giống như bộ điều khiển đĩa hay card mạng (NIC).

Một số biện pháp để cải thiện bộ xử lý khi botleneck - Add một bộ xử lý nhanh hơn nếu hệ thống là một file và print server - Add thêm nhiều bộ xử lý cho các appplication server - Offload quá trình xử lý tới một hệ thống khác trên mạng, như là các user, ứng dụng hoặc các services. - Nâng cấp card mạng của bạn, card đĩa, bộ điều khiển đĩa. Nhìn chung, các card thông minh 32 bit được đề nghị. Những card thông minh cung cấp cho hệ thống sự thực thi toàn diện tốt hơn bởi vì chúng cho phép các ngắt được xử lý trên chính card đó.

Giám sát hoạt động của bộ xử lý bằng Performance

1. Vào Start Programs Administrative Tools và chọn Performance. 2.Trong cửa sổ Performance, System Monitor được chọn theo mặc định. Trong cửa sổ bên phải của System Monitor, counter % Processor Time được hiển thị


- 111 -

Giám sát hoạt động của bộ xử lý bằng Task Manager

1. Bấm tổ hợp phím CTRL+ALT+DEL và sau đó click Task Manager. Bạn cũng có thể mở Task Manager bằng cách right-click trên taskbar và chọn Task Manager hoặc cũng có thể dùng tổ hợp phím Ctrl+Shift+Esc.

2. Trên Tab Performance, xem counter trong CPU Usage và CPU Usage History. Giám sát đĩa (Disk) Hệ thống đĩa phụ nắm giữ việc lưu trữ, hoạt động của các chương trình và dữ liệu trên server của bạn. Công cụ Performance cung cấp các counter đĩa cụ thể cho phép bạn giới hạn hoạt động và thông lượng đĩa Trạng thái bottleneck đĩa được biểu thị bởi sử hiện diện của tất cả những điều kiện sau:

• Tốc độ duy trì hoạt động của đĩa liên tục vượt trên ranh giới của bạn • Số hàng đợi liên tục nhiều hơn hai cho mỗi đĩa • Thiếu một số lượng đáng kể trang nhớ

Xem xét tới dung lượng lưu trữ và thông lượng đĩa khi bạn bắt đầu đánh giá cấu hình. Sử dụng bus, bộ điều khiển, cab và những công nghệ đĩa mà nó đưa ra thông lượng tốt nhất. Phần lớn các máy tính thực hiện tương xứng ở một mức vừa phải với giá cả các thành phần đĩa. Tuy nhiên, nếu bạn muốn thu được sự thực thi tốt nhất, bạn có thể muốn đánh giá những thành phần đĩa muộn nhất. Nếu cấu hình của bạn chứa nhiều loại đĩa, bo mạch điều khiển và bus, những khác nhau trong các thiết kế của chúng có thể tác động tới tốc độ thông lượng. Bạn có thể muốn kiểm tra thông lượng bằng cách sử dụng nhiều hệ thống đĩa khác nhau, để xác định xem một vài thành phần có đưa ra ít kết quả có ích nói chung hay không, hay chỉ một loại nào đó và sau đó thay thế những thành phần này khi cần. Ngoài ra, một vài loại cấu hình volume –set có thể cung cấp những lợi ích cho sự thực thi. Ví dụ các volume striped có thể cung cấp sự thực thi tốt hơn, bởi vì chúng gia tăng thông lượng bằng cách cho phép nhiều đĩa bảo dưỡng tuần tự hay những yêu cầu I/O được nhóm lại. Một volume striped là một volume mà dữ liệu được chèn vào kéo dài từ hai hay nhiều đĩa. Dữ liệu trên một loại loại này được định vị luân phiên nhau và đều nhau trên mỗi đĩa vật lý.

Các counter dùng để xác định khi nào đĩa bottleneck Khi phân tích sự thực thi và dung lượng lưu trữ hệ thống đĩa con, giám sát những counter sau cho các bottleneck:


- 112 -

• % Disk Time. Chỉ ra lượng thời gian mà bận đọc và ghi các yêu cầu. Nếu điều này thường gần 100%, đĩa đang được sử dụng rất nặng nề. Việc giám sát từng quá trình riêng biệt giúp xác định quá trình nào tạo ra phần lớn các yêu cầu đĩa.

• Current Disk Queue Length. Chỉ ra số yêu cầu I/O đĩa chưa giải quyết cho ổ đĩa. Nếu giá trị này thường hơn 2, nó chỉ ra sự tắc nghẽn.

• Avg.Disk Bytes/Tranfer. Số byte trung bình được chuyển giao tới hay từ đĩa trong quá trình các hoạt động ghi hoặc đọc. Kích thước chuyển giao lớn hơn, hệ thống chạy hiệu quả hơn.

• Disk Bytes/sec. Đây là tốc độ mà các bytes được chuyển giao từ hay khỏi đĩa trong các hoạt động ghi đọc.

• LogicalDisk\%Free Soace. Đây là dung lượng đĩa trống sẵn có. Nếu bạn xác định rằng hệ thống đĩa con là một hệ thống bottleneck, một số giải pháp là có thể, bao gồm :

• Phân mảnh đĩa bằng cách sử dụng Disk Defragmenter • Loại trừ bộ nhớ thấp. Khi bộ nhớ là khan hiếm, Vitual Memory Manager ghi nhiều trang nhớ tới

đĩa hơn, dẫn tới gia tăng hoạt động đĩa. Trước khi bạn add thêm phần cứng, chắc chắn rằng bộ nhớ thấp không phải là nguyên nhân của vấn đề, bởi vì bộ nhớ thấp là nguyên nhân phổ biến của các bottleneck

• Add thêm một bộ điều khiển nhanh hơn, như là Fast SCSI-2 • Add thêm các ổ đĩa trong một môi trường RAID. Giải pháp này dàn trải dữ liệu ra nhiều đĩa vật

lý và cải thiện sự thực thi, đặc biệt là trong các hoạt động ghi. • Chuyển gánh nặng đang xử lý cho một hệ thống khác trên mạng, như là các user, ứng dụng hay

các services. Để giám sát đĩa chúng ta thực hiện theo các bước sau:

1. Vào Start Programs Administrative Tools và chọn Performance. 2. Right-click cử sổ bên phải của System Monitor và click Add Counters. 3. Trên hộp thoại Add Counters, bên dưới Performance object, chọn PhysicalDisk, chọn các

counter cần và Add vào như: • % Disk Time • Avg. Disk Bytes/Transfer • Current Disk Queue Length • Disk Bytes/Sec 4. Xem các counter bên phải của System Monitor và đưa ra các giải pháp để khắc phục cho các

vấn đề phát sinh của đĩa. Mẹo nhỏ : Để giải quyết một đĩa bootleneck, bạn có thể cần xác định xem paging có đang xảy ra hay không, nếu có, nâng cấp đĩa.

Sử dụng Performance để giám sát mạng: Các giao tiếp qua mạng làm gia tăng tính quan trọng trong bất kì môi trường làm việc nào. Tương tự như bộ xử lý hay các đĩa trên hệ thống của bạn, hoạt động của mạng tác động tới hoạt động hệ thống của bạn. Tối ưu sự thực thi hệ thống của bạn bằng cách giám sát việc sử dụng mạng một cách đều đặn, như là lưu thông mạng và việc sử dụng tài nguyên. Cách sử dụng mạng là phần trăm băng thông mạng được sử dụng trên đoạn mạng đang được theo dõi. Băng thông mạng được đo theo nhiều cách khác nhau :

• Tốc độ truyền các bytes giữa các server • Tốc độ mà gói dữ liệu được gửi bởi server. Các gói dữ liệu bao gồm frames, packet, segment và

datagrams. • Tốc độ các file được gửi và nhận bởi server.

Hiệu quả băng thông mạng thay đổi rất lớn, phụ thuộc vào khả năng truyền tải của đường link, cấu hình server và khối lượng công việc server.


- 113 -

Bạn giám sát cách sử dụng mạng để phát hiện những bottleneck mạng. Những bottleneck mạng ảnh hưởng ngay lập tức kinh nghịêm của user tại các trạm làm việc client và toàn mạng. Một bottleneck mạng giới hạn số client có thể truy xuất đồng thời vào server. Những nguyên nhân phổ biến cho những bottleneck mạng là :

� Quá tải server

� Quá tải mạng

� Mất đi tính toàn vẹn mạng

Các counter sử dụng để xác định bottleneck trên mạng: Sử dụng những counter được giám sát phổ biến sau để hình thành một bức tranh tổng quát về giám sát mạng như thế nào và giúp khám phá và giải quyết các bottleneck mạng.

• Task Manager: % Network Utilization. Phần trăm băng thông mạng được sử dụng trong đoạn mạng cục bộ. Bạn có thể sử dụng counter này để giám sát tác động của nhiều hoạt động mạng khác nhau trên mạng, như là user logon vào mạng có hiệu lực và đồng bộ domain account .

• Network Interface : Bytes Sent/sec. Số bytes được gửi bằng cách sử dụng card mạng • Network Interface: Bytes Total/sec. Số bytes được gửi và nhận bằng cách sử dụng card mạng

này. Sử dụng counter này để xác định card mạng đang làm việc như thế nào. Counter Bytes Total/sec báo cáo các giá trị cao, để chỉ ra rằng một số lớn hơn sự truyền phát thành công.

• Server. Bytes Received /sec. So sánh các bytes nhận được mỗi giây với tổng băng thông của card mạng của bạn để xác định xem kết nối mạng của bạn có đang tạo ra các bottleneck hay không.

Để giám sát cách sử dụng mạng bằng Performance :

1. Vào Start Programs Administrative Tools và chọn Performance. 2. Right-click cử sổ bên phải của System Monitor và click Add Counters. a. Trong Performance object, chọn Network Interface, và chọn các counter cần giám sát và

Add vào như: • • Network Interface\Bytes Sent/sec • • Network Interface\Bytes Total/sec

b. Performance object, chọn Server, chọn các counter để add và sau đó click Close. • • Server\Bytes Received/sec


- 114 -

3. Xem các counter của sổ bên phải của System Monitor và đưa ra các giải pháp khắc phục nếu Network có vấn đề phát sinh.

Mẹo nhỏ : hành động thích hợp để giải quyết một vấn đề là có thể cần phải nâng cấp hay add thêm card mạng khác. Bạn cũng có thể chia mạng thành từng đoạn nhỏ hoặc giới hạn các giao thức đang sử dụng.

Hay bạn cũng có thể sử dụng Task Manager để giám sát Network. Sử dụng Event viewer để giám sát hệ thống. Event viewer là một công cụ quan trọng trong việc giám sát hệ thống dựa vào công cụ này người quản trị sẽ phát hiện ra những kẻ truy cập bất hợp pháp vào những thời điểm cụ thể, với tính năng lọc trong Event viewer giúp chúng ta giới hạn những sự kiện cần thiết giám sát. Event viewer là một công cụ tích hợp trong Windows cho phép xem lại các sự kiện đã xảy ra trong hệ thống một cách chi tiết với nhiều tham số cụ thể như: user, time, computer, services… Các sự kiện rời rạc được lọc lại thành những sự kiện giống nhau giúp chúng ta lấy được những thông tin cần thiết một cách nhanh nhất. Event viewer phân vùng các sự kiện riêng biệt cho từng ứng dụng, một máy chủ cài đặt mặc định sẽ có ba phân vùng trong event viewer là:

• Application • Security • System

Application log Application log ghi lại sự kiện của các ứng dụng từ các nhà sản xuất hay các ứng dụng mail…thông thường các thiết lập trong Application là mặc định của các ứng dụng nên chúng ta chỉ có thể đọc nó mà không thiết lập được.


- 115 -

Security log Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại toàn bộ các thiết lập audit trong group policy, các thiết lập group policy quan trọng nhất là thiết lập giám sát quá trình login vào hệ thống, truy cập dữ liệu.

Trong thiết lập này chúng ta thiết lập giám sát quá trình truy cập log-on, log-off hệ thống. khi thiết lập giám sát này thì toàn bộ người dùng logon hay logoff vào hệ thống đều được ghi lại trong security log

Để biết tài khoản nào đã log-on, log-off vào lúc mấy giờ chúng ta mở Event viewer và tìm đến dòng Security log, tại cửa sổ bên phải double click vào tài khoản cần xem, xuất hiện hộp thoại thông báo cho chúng ta thông tin ngày giờ của tài khoản vừa log-on, log-off


- 116 -

Các bước thiết lập giám sát một Folder

Bước 1: Thiết lập audit object access trong group policy ở chế độ Success và Failure Vào start Run gõ gpedit.msc, xuất hiện cửa sổ group policy object editor

Tại màn hình group policy object editor chọn nhánh computer configurationt bấm vào dấu cộng của thư mục Windows settings security settings local policy audit policy tại cửa sổ bên phải double click vào dòng audit object access xuất hiện hộp thoại audit object access properties đánh dấu vào ô Success và Failure

Chọn Apply OK

Với thiết lập trong group policy chúng ta chỉ enable tính năng cho phép hệ thống ghi lại mà thôi, mặc định hệ thống sau khi thiết lập này sẽ ghi lại event với các đối tượng hệ thống như registry… Còn muốn một quá trình truy cập vào folder mà được lưu lại thì phải thiết lập trên chính folder đó. Bước 2: Thiết lập audit trên foder. Click chuột phải vào folder chọn properties Tab Security chọn Advanced, chuyển sang Tab Audit chọn trong cửa sổ Add chúng ta Add group với tên là everyone xuất hiện cửa sổ cho phép lựa chọn những đối tượng cần ghi lại chọn full control để ghi lại tất cả các hoạt động cần giám sát OK

Restart lại máy


- 117 -

Sau đó vào Event Viewer để kiểm tra xem tài khoản nào đã thao tác những gì trên thư mục đã được thiết lập System Log System log được thiết lập mặc định của hệ thống giúp chúng ta xem lại các sự kiện: Bật, tắt, pause, disable, enable các services của hệ thống. Ví dụ như một service chạy bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer.


- 118 -

11.4. Log Properties Log properties giúp chúng ta cấu hình dung lượng file log, cách xoá các event cũ đi như thế nào, và những tính năng lọc các sự kiện. Để sử dụng tính năng log properties cho ứng dụng nào chúng ta click chuột phải trên ứng dụng đó chọn properties

Tại Tab General chúng ta có thể xem tên và đường dẫn của file log, ngoài ra chúng ta có thể qui định dung lượng cho file log và qui định thời gian xóa các file log cũ. Tại Tab Filter chúng ta có thể thiết lập để Evnet Viewer chỉ lọc theo kiểu nào đó tại dòng event types như: information, warning, error, success audit, hay failure audit bằng cách chọn hay bỏ chọn trước hộp kiểm của các tính năng đó. Hoặc chúng ta có thể thiết lập lọc các sự kiện theo thời gian và ID của các sự kiện. 6.4. Xử lý lỗi giám sát 6.5. Bài tập tình huống


- 119 -

Tóm tắt:

Computer Management: là một tập hợp công cụ quản lý mà chúng ta có thể sử dụng để quản lý một máy local hay máy từ xa. Computer Management gồm có các thành phần chính: System Tools, Storage, Services and Applications

System Tools: cho phép chúng ta sử dụng những công cụ trong System Tools để quản lý những sự kiện hệ thống và quá trình thực hiện trên máy tính mà chúng ta quản lý.

Storage: gồm các công cụ để quản lý các thuộc tính của các thiết bị lưu trữ.

Services and Applications: những công cụ trong Services and Applications giúp chúng ta quản lý các services và những ứng dụng trên một máy tính được chỉ định.

Microsoft Management Console (MMC): cung cấp một giao diện mà chúng ta có thể sử dụng để tạo, lưu và mở các công cụ quản lý, gọi các snap-in để quản lý các phần cứng, phần mềm và các thành phần của Windows Server 2003. Khi chúng ta mở một công cụ quản lý trong MMC, chúng ta có thể chỉ định áp dụng công cụ trên máy cục bộ (Local) hay trên một máy từ xa.

Remote Desktop: Bằng cách sử dụng Remote Desktop cho công việc quản trị, chúng ta có thể quản lý một hay nhiều Server từ xa từ một vị trí. Trong một tổ chức lớn, chúng ta có thể sử dụng việc quản lý từ xa để quản lý tập trung nhiều máy tính được định vị trong các toà nhà khác hay thậm chí những thành phố khác. Trong một tổ chức nhỏ hơn, chúng ta có thể sử dụng việc quản lý từ xa để quản lý một Server được nằm trong một văn phòng khác.

Task Manager: cung cấp một cách tổng quát về hoạt động và sự thực thi hệ thống. Nó cung cấp về những chương trình và những quá trình đang chạy trên máy tính của bạn. Nó cũng hiển thị những tiêu chuẩn đánh giá sự thực thi được sữ dụng phổ biến nhất cho các quá trình. Bạn có thể sử dụng Task Manager để thực thi real-time monitoring.

Performance Console: Windows Server 2003 cung cấp những công cụ sau như là thành phần của Performance console để giám sát việc sử dụng tài nguyên trên máy tính của bạn là: System Monitor, System Monitor


- 120 -

BÀI 7: QUẢN TRỊ LƯU TRỮ VÀ BẢO MẬT DỮ LIỆU

Mục tiêu:

Phân biệt đĩa tĩnh và đĩa động

Cấu hình đĩa động và tạo RAID cho máy chủ chuyên dụng

Hiểu biết các kiểu sao lưu và phục hồi dữ liệu tối ưu

Mã hóa dữ liệu với NTFS

Quản lý lưu trữ với đĩa Quota

Xử lý các sự cố liên quan

7.1: Giới thiệu đĩa

Khi bạn cài một đĩa mới, Windows Serer 2003 ghi nhận và cấu hình nó là một basic disk. Một basic disk mặc định có tính lưu trữ trung bình và cung cấp khả năng cấu hình bị giới hạn. Bài học này mô tả làm thế nào để định dạng một basic disk bằng cách sử dụng Disk Management và công cụ dòng lệnh DiskPart. Nó cũng giải thích các thuộc tính hệ thống tập tin tác động như thế nào tới đĩa và sử dụng những hệ thống tập tin như thế nào khi cấu hình đĩa. Basic disk là loại đĩa mặc định cho Windows Server 2003. Một basic disk cung cấp cho bạn những khả năng giới hạn để cài đặt các đĩa cứng của bạn. Trong khi đó, các dynamic disk cung cấp cho bạn nhiều linh hoạt hơn trong việc cài đặt đĩa cứng. Ví dụ, bạn có thể thực thi khả năng chịu lỗi trên một dynamic disk nhưng không thể thực hiện trên một basic disk.

Các ưu điểm của Static Disk (Basic Disk)

Lợi ích của một Static Disk là nó cung cấp cho bạn khoảng trống độc lập, để bạn có thể sử dụng cho việc tổ chức dữ liệu. Bạn có thể chia một basic disk thành 4 primary partition hoặc 3 primary partition và một partition mở rộng, trong partition mở rộng có thể chia thành một hay nhiều các ổ đĩa logical

Các ưu điểm của Dynamic Disk

Những lợi ích của các dynamic disk là : • Một dynamic disk có thể được sử dụng để tạo các volume trải rộng ra nhiều đĩa cứng • Không có giới hạn về số volume có thể được cấu hình trên một dynamic disk • Các dynamic disk được sử dụng để tạo ra những đĩa chịu lỗi để bảo toàn dữ liệu khi có lỗi phần

cứng xảy ra. 7.1.1. Static Disk Partirion là gi?


- 121 -

Định dạng đĩa là một cách để phân chia đĩa cứng vật lý thành các phần, để mỗi phần hay partition hoạt động như là một khối riêng biệt. Bạn có thể sử dụng cách định dạng để phân chia một ổ cứng thành nhiều kí tự ổ đĩa giúp dễ dàng tổ chức các file dữ liệu. Mỗi partition được gán một kí tự khác nhau, như là C hay D. Sau khi bạn tạo một partition, bạn phải format nó với một hệ thống file trước khi bạn có thể lưu dữ liệu trên partition. Khi bạn gắn một đĩa cứng mới vào trong máy tính, bạn phải khởi chạy đĩa trước khi bạn có thể tạo các partition. Khi bạn khởi động Disk Management trước tiên sau khi cài xong một ổ cứng mới. Wizard sẽ xuất hiện để cung cấp một danh sách các đĩa mới đã được phát hiện bởi hệ điều hành. Khi bạn hoàn thành wizard, hệ điều hành khởi chạy đĩa bằng cách ghi một kí hiệu chứng nhận đĩa, đánh dấu sector kết thúc và một MBR. Nếu bạn bỏ qua wizard trước khi kí hiệu chứng nhận đĩa được ghi, trạng thái đĩa không được khởi chạy sẽ duy trì.

Primary partitions: Bạn tạo các primary partition trên một basic disk. Một basic disk có thể có tới 4 primary partition hoặc 3 primary partition và một partition mở rộng. Một primary partition không thể bị chia nhỏ. Một partition mở rộng có thể được chia thành nhiều ổ đĩa logic.

Logical drives: Các ổ đĩa logic tương tự như primary partition, ngoại trừ một điều rằng bạn có thể tạo tới 24 ổ đĩa logic cho mỗi đĩa cứng nhưng bị giới hạn chỉ có 4 primar partition cho mỗi đĩa cứng. Bạn có thể format một ổ đĩa logic và gán một kí tự cho nó.

Extended partitions: Bạn chỉ có thể tạo một partition mở rộng trên một basic disk. Không giống như primary partition, bạn không thể format một partition mở rộng với một hệ thống tập tin. Thay vì thế, bạn tạo ra một hoặc nhiều ổ đĩa logic trong partition mở rộng và sau đó format chúng với một hệ thống tập tin.

Format a disk: Bạn phải format một ổ đĩa trước khi có thể sử dụng nó. Quá trình format đĩa sẽ cấu hình partition với một bảng cáp phát tập tin. Quá trình này chuẩn bị đĩa để đọc và ghi. Khi bạn format một ổ đĩa, hệ điều hành xoá tất cả bảng cấp phát tập tin trên đĩa, kiểm tra đĩa để xác nhận rằng các sector là đáng tin cậy, đánh dấu những sector xấu, và tạo các bảng địa chỉ nội mà nó sử dụng sau này để định vị thông tin.

Deleting a partition: Việc xoá một partition sẽ phá huỷ tất cả dữ liệu trên partiion. Sau đó partition sẽ phục hồi lại dung lượng trống cấp phát. Nếu bạn đang xoá một partition mở rộng, bạn phải xoá tất cả các ổ đĩa logic của nó trứơc khi xoá partition.


- 122 -

Assign drive letters: Windows Server 2003 cho phép gán tĩnh các kí tự ổ đĩa cho một partition, volume hay ổ CD-ROM cụ thể .

Manage drive letters:

Bạn có thể sử dụng tới 24 kí tự ổ đĩa từ C tới Z. Các kí tự A và B được dành trước cho các ổ mềm. Tuy nhiên, nếu bạn chỉ có một ổ mềm, bạn có thể sử dụng kí tự B cho một ổ đĩa mạng. Khi bạn add thêm một ổ cứng mới vào hệ thống máy tính đang tồn tại, nó không tác động tới những kí tự được gán trước đó.

Lưu ý: Trước khi bạn xoá hoặc tạo các partition trên một đĩa cứng, bảo đảm backup tất cả những thành phần trên đĩa, bởi vì quá trình xoá hay tạo các partition sẽ phá huỷ bất kì dữ liệu nào đang tồn tại.

Phân chia Partition:

Bạn có thể sử dụng Disk Management hoặc là DiskPart để phân chia đĩa. Bạn có thể sử dụng Disk Management không chỉ để chia đĩa, nhưng cũng có thể để format và gán các kí tự đĩa tại cùng thời điểm. Khi bạn chia một đĩa đang tồn tại, trước tiên bạn phải xoá các partition trước. Bạn có thể sử dụng Disk Management hoặc DiskPart để hoàn thành những thao tác này.

Để chia một đĩa cứng bằng bằng công cụ Disk Management

1. Vào Start Programs Administrative Tools Computer Management và mở Disk Management.

2. Right-click vào vùng unallocated của đĩa basic và chọn New Partition, hoặc right-click trên vùng đĩa trống extended partition và chọn New Logical Drive.

3. Tại màn hình New Partition Wizard, click Next. 4. Trên trang Select Partition Type, click chọn Primary Partition và click Next. 5. Trên trang Specify Partition Size, chọn dung lượng Partition và click Next. 6. Trên trang Assign Drive Letter or Path chọn ký tự ổ đĩa và click Next. 7. Trên trang Format Partition: cho chúng ta các tùy chọn về định dạng file system, nhãn đĩa… 8. Click Next và click Finish.

Chúng ta cũng có thể dùng DiskPart để phân chia đĩa cứng. Phần này thì các bạn có thể tự tìm hiểu thêm. Drive Letter là gi?

Chúng ta có thể sử dụng Disk Management hoặc DiskPart để gán, thay đổi hoặc remove các kí tự ổ đĩa trên partition. Là một nhà quản trị, bạn sẽ quản lý những kí tự ổ đĩa bằng cách sử dụng hai công cụ này nhung chúng tôi chỉ giới thiệu công cụ là Disk Management. Để gán, thay đổi hoặc remove các kí tự ổ đĩa bằng cách sử dụng Disk Management

1. Trong Computer Management chúng ta chọn Disk Management. 2. Right-click trên partition chọn logical drive hoặc volume và sau đó click Change Drive

Letter and Paths. 3. Sẽ xuất hiện các tùy chọn cho phép chúng ta có thể: • Gán ký tự ổ đĩa (drive letter), bằng cách click Add và sau đó chọn ký tự cần gắn. • Thay đổi ký tự ổ đĩa (drive letter), bằng cách click Change và sau đó chọn ký tự cần gắn. • Remove ký tự ổ đĩa (drive letter) chọn nó và chọn Remove.

Mounted Drive là gi?

Việc sử dụng các đĩa mount có thể giúp bạn quản lý và tổ chức dữ liệu trên server của bạn. Sử dụng một ổ đĩa được mount khi bạn có hai ổ đĩa có dữ liệu liên quan mà về phương diện logic chỉ thuộc về một ổ đĩa. Ngoài ra, các ổ đĩa mount cũng giúp bạn quản lý số kí tự ổ đĩa bị giới hạn mà bạn phải làm việc trên một đĩa cứng. Một ổ đĩa mount là đơn vị lưu trữ độc lập được quản lý bởi hệ thống tập tin NTFS. Bạn có thể sử dụng Disk Management để mount một ổ đĩa local tới bất kì folder trống nào trên một volume NTFS. Phương pháp này tương tự như tạo một shorcut chỉ tới một partition disk hoặc volume. Mount một ổ đĩa tới một folder cho phép bạn sử dụng một tên trực quan cho folder, như là Program Data. Sau đó các user có thể lưu dữ liệu của họ trong folder Program Data, đúng hơn là lưu vào một kí tự ổ đĩa.


- 123 -

Khi bạn mount một ổ đĩa local tới một folder trống trên volume NTFS, Disk Management sẽ gán một đường dẫn, đúng hơn là một kí tự cho ổ đĩa. Các ổ đĩa được mount không tuỳ thuộc vào giới hạn 26 ổ đĩa được áp đặt bởi các kí tự ổ đĩa, vì thế bạn có thể sử dụng những ổ đĩa được mount để truy xuất nhiều hơn 26 ổ đĩa trên máy tính. Windows Server 2003 đảm bảo rằng các đường dẫn được duy trì liên kết tới các ổ đĩa, vì thế bạn có thể add hay sắp xếp lại những thiết bị lưu trữ mà không làm cho đường dẫn ổ đĩa bị fail. Tại một mounted drive bằng công cụ Disk Management

Để tạo một ổ đĩa mount bằng cách sử dụng Disk Management 1. Trong màn hình Computer Management, mở Disk Management. 2. Right-click trên volume mà bạn muốn mount và click Change Drive Letter and Paths. 3. Click Add, browse đến Mount in the following empty NTFS folder và click Browse đến vị trí chứa nó.

Xóa một mounted drive bằng công cụ Disk Management Để xoá một ổ đĩa mount bằng cách sử dụng Disk Management

1. Trong Computer Management, mở Disk Management. 2. Right-click trên volume mà bạn muốn xóa sau đó click Change Drive Letter and Paths. 3. Để xóa một volume, click vào nó và click Remove.

7.1.1. Dynamic Disk

Khi một đĩa cứng mới được cài đặt, nó được ghi nhận và cấu hình là một basic disk. Để tạo một dynamic disk, bạn phải chuyển một basic disk thành một dynamic disk. Sau khi quá trình chuyển đổi hoàn thành, bạn có thể tạo một phạm vi rộng lớn các volume động. Bạn cũng có thể mở rộng các volume qua nhiều đĩa. Những khả năng này cung cấp cho bạn với mức điều khiển lớn hơn và giúp bạn ngăn cản thất thoát dữ liệu khi phần cứng bị failure.

Mục đích chuyển một basic disk thành dynamic để : • Tạo, xoá các volume simple, spanned, striped, mirrored và RAID-5. • Mở rộng một volume đơn hay spanned • Sửa chữa các volume mirrored hay RAID-5 • Kích hoạt lại những volume trải rộng nhiều hơn một đĩa.

Bạn có thể chuyển một đĩa cứng từ basic thành dynamic bất cứ lúc nào mà không bị mất dữ liệu. Khi bạn convert một đĩa từ basic thành dynamic, các partition đang tồn tại trên đĩa trở thành các volume. Lưu ý : Đề nghị bạn rằng trước khi thực hiện bất kì vấn đề cấu hình phần cứng các thiết bị lưu trữ, bạn luôn backup dữ liệu sang một đĩa khác. Chuyển đổi Basic Disk sang Dynamic Disk Hầu hết các tổ chức sử dụng những dynamic disk trong các server của họ bởi vì chúng cung cấp khả năng chịu lỗi và bởi vì dung lượng trống có thể được mở rộng nếu cần. Loại đĩa mặc định là basic, vì thế bạn phải chuyển nó thành dynamic nếu bạn dự tính sử dụng một dynamic disk. Để chuyển một basic disk thành dynamic disk bằng cách sử dụng công cụ Disk Management

1. Trong màn hình Computer Management, mở Disk Management. 2. Right-click trên basic disk mà bạn muốn convert, click Convert to Dynamic Disk, và làm theo các hướng dẫn của chường trình.

Tạo Volume: Các dynamic disk cung cấp những tính năng mà basic disk không thể có, như là khả năng tạo các volume, được gọi là các volume spanned và striped để có thể trải rộng ra nhiều đĩa. Tất cả những volume trên các dynamic disk được biết tới là các dynamic volume.

Simple volume:


- 124 -

Một simple volume là một volume lưu trữ trên dynamic disk. Bạn có thể tạo simple volume từ khoảng trống chưa cấp phát trên một dynamic disk. Một simple volume tương đương với một partition, ngoại trừ nó không có kích thước giới hạn như một partition, và cũng không bị hạn chế số volume mà bạn có thể tạo trên một disk đơn. Một simple volume sử dụng các định dạng hệ thống file NTFS, FAT32 và FAT. Tuy nhiên, bạn chỉ có thể mở rộng một simple volume nếu nó được định dạng với phiên bản NTFS được sử dụng trong hệ điều hành Windows 2000 hoặc Windows Server 2003. Ngoài ra, bạn có thể add thêm hay mở rộng một simple volume sau khi tạo nó. Bạn có thể sử dụng một simple volume để lưu tất cả dữ liệu cho tới khi bạn cần nhiều khoảng trống hơn trên các đĩa của bạn. Để có được nhiều khoảng trống hơn, bạn có thể tạo một volume extended, spanned hay striped.

Để tạo một simple volume bằng cách sử dụng công cụ Disk Management 1. Trong Computer Management, mở Disk Management. 2. Right-click ở vị trí trống của đĩa dynamic mà bạn muốn tạo simple volume và chọn New Volume. 3. Trong màn hình New Volume Wizard, click Simple và làm theo các hướng dẫn của hệ thống.

Spanned Volume

Một spanned volume là simple volume mà cho phép bạn tạo một volume logical dựa trên khoảng trống chưa cấp phát sẵn có trên các dynamic disk khác trên máy tính. Bằng cách sử dụng các spanned volume, bạn có thể sử dụng khoảng trống lưu trữ hiệu quả hơn. Sau khi một volume được mở rộng, để xoá một thành phần của nó, bạn phải xoá toàn bộ spanned volume. Spanned volume file format:

Bạn chỉ có thể tạo một spanned volume bằng cách sử dụng hệ thống file NTFS. Các volume spanned không cung cấp khả năng chịu lỗi. Nếu một trong các đĩa chứa một spanned volume bị lỗi, toàn bộ volume sẽ sẽ lỗi và tất cả dữ liệu sẽ mất.

Increase storage size: Bạn có thể sử dụng những spanned volume để gia tăng kích thước lưu trữ khi bạn phải tạo một volume, nhưng lại không có đủ khoảng trống chưa cấp phát cho volume trên một đĩa đơn. Bằng


- 125 -

cách kết hợp các phần khoảng trống chưa cấp phát trên nhiều đĩa, bạn có thể tạo một spanned volume.

Để tạo một spanned volume bằng cách sử dụng Disk Management : 1. Trong Computer Management, mở Disk Management. 2. Right-click trên spanned volume bạn muốn tạo, click Extend Volume, và làm theo các hướng dẫn trên màn hình.

Striped Volume

Một striped volume lưu trữ dữ liệu trên hai hay nhiều đĩa bằng cách kết hợp những vùng trống thành một logical volume trên dynamic disk. Các stripe volume cũng được biết tới như là RAID 0, chứa dữ liệu được trải ra nhiều dynamic disk trên các ổ riêng biệt riêng biệt. Những spanned volume không thể là striped Dữ liệu được ghi vào volume được chia thành các khối gọi là stripes. Các stripes này được ghi đồng thời tới tất cả các ổ đĩa trong stripe set. Vấn đề thuận lợi chính của đĩa giăng rộng kiểu này là tốc độ. Dữ liệu có thể được truy xuất trên nhiều đĩa bằng cách sử dụng nhiều đầu đĩa , điều này cải thiện đáng kể quá trình thực thi. Các volume striped cung cấp sự thực thi tốt nhất cho tất cả những chiến lược đĩa bởi vì dữ liệu ghi vào một striped volume được ghi đồng thời tới tất cả các đĩa tại cùng thời điểm đúng hơn là tuần tự. Vì vậy, quá trình thực thi đĩa trên một striped volume nhanh hơn bất kì loại cấu hình đĩa nào khác. Để tạo một striped volume bằng cách sử dụng công cụ Disk Management 1. Trong Computer Management, mở Disk Management. 2. Right-click trên vùng đĩa trống của đĩa dynamic mà bạn muốn tạo striped volume và click New Volume. 3. Tại trang New Volume Wizard, chọn Striped, và làm theo hướng dẫn trên màn hình.

7.2: Sao lưu dữ liệu

8.3. Backup and Restore.

Như chúng ta đã biết vấn đề dữ liệu của hệ thống là vấn đề sống còn của doanh nghiệp. Người quản trị phải tìm và dùng nhiều cách để phòng hờ (backup) dữ liệu của hệ thống nhằm tránh những tình huống xấu nhất khi mất dữ liệu. Như chúng ta đã tìm hiểu về một kiểu backup bằng RAID nhằm tránh tình trạng bị hư hỏng vật lý của ổ cứng. Còn trên Windows có đưa cho chúng ta một chương trình backup để tránh trường hợp xóa nhầm, virus, hư hỏng phần mềm để chúng ta phục hồi lại dữ liệu cần thiết. Trong học phần Networking, ta đã tìm hiểu về Tape, SAN... thì Windows cho chúng ta công cụ backup để sử dụng các thiết bị đó. Hoặc backup qua một máy tính khác nhằm tránh những rủi ro về dữ liệu cũng như về hệ thống.


- 126 -

8.3.1 Backup.

Backup là người quản trị thiết lập các dữ liệu để phòng hờ qua một nơi khác, máy tính khác hoặc qua thiết bị backup chuyên dùng để khi cần thiết thì restore lại để sử dụng.

Vào Start -> Programs –> Accessories -> System Toos -> Backup.

Hình : Mở Backup

Hộp thoại Backup hiện ra. Chọn vào Alway start in wizard mode để dễ dàng hơn trong vấn đề

backup. Click Next.

Hình : Backup or Restore Wizard

Trong hộp thoại Backup or Restore. Vì phần này là nói về Backup nên chúng ta chọn Back up files and sttings. Click Next.


- 127 -

Hình : Backup files and settings

Hộp thoại What to Back Up. Chọn Let me choose what to back up để có nhiều sự lựa chọn hơn

trong những gì cần Backup. Click Next.

Hình : Lựa chọn backup

Hộp thoại Item to Backup. Chúng ta click vào các dấu (+) trong khung bên trái để có thể chọn những Folder nào cần backup bằng cách đánh vào dấu check trên Folder đó.


- 128 -

Hình : Item to Backup

Trong Ví dụ này chúng ta chọn Backup Folder My Documents. Click Next.

Hình : Tùy chọn backup

Hộp Thoại Backup Type, Destination, and Name cho biết là Chúng ta backup kiểu gì? Lưu file ở

đâu? Và đặt tên là gì? Chọn Browse... để tìm nơi lưu File backup.


- 129 -

Hình : Nơi lưu trữ file backup

Giả sử chúng ta lưu file ở thư mục C:\public với tên là Backup_mydocument.bkf. Click Save.

Hình : Đặt tên file


- 130 -

Hình : Nơi lưu trữ file backup và tên file Chọn Finish để hoàn tất việc Backup.

Lúc này hệ thống backup bắt đầu hoạt động Backup.

Hình : Hoạt động backup

8.3.2. Backup Nâng Cao. Phần trên chúng ta đã thiết lập một tác vụ backup. Nhưng việc backup trên chỉ là thủ công nghĩa là chỉ hoạt động một lần khi thiết lập xong. Bây giờ chúng ta tìm hiểu tác vụ backup nâng cao với việc hẹn giờ và backup liên tục. Xét ví dụ trên chúng ta thiết lập backup tới phần Finish. Chọn phần Advanced....

Hình : Advanced backup

Hộp thoại Backup Type hiện ra. Chọn Type là Daily. Click Next


- 131 -

Hình : Các tùy chọn backup

Chọn Verify Data after backup – kiểm tra lại dữ liệu sau khi backup. Click Next.

Hình : Kiểm tra dữ liệu sau khi backup

Backup options chọn Append this backup... click Next.

Hình : Backup Options


- 132 -

Trong hộp thoại When to Back up. Chọn Later. Mục job name: gõ vào tên Job: backup_documents. Chọn vào Set Shedule... để thiết lập lịch backup cho tác vụ trên.

Hình : Nhập tên lập lịch

Chọn Schedue Task: Daily. Click vào Advanced...

Hình : Cài đặt lập lịch

Trong hộp thoại Schedule Advanced Options:

o Start Date: chọn thời gian bắt đầu backup. o End Date: Ngày kết thúc backup.


- 133 -

o Repeat task: thời gian lặp lại của quá trình backup. (ví dụ: chọn 10 phút thì backup 1 lần).

Hình : Định thời gian lập lịch

Click OK đóng lại, trở về hộp thoại Schedule Job, chọn OK. Một hộp thoại Password xuất hiện.

Nhập user và password của user nào có thẩm quyền thực hiện backup ví dụ là Administrator.

Hình : Nhập user name và password

Nhập User và password xong. Chọn OK màn hình trở lại hộp thoại When to back up. Click Next.

Click Finish để hoàn tất. Shadow Copy. Dữ liệu (Data) là vấn đề sống còn của một doanh nghiệp. Một khi doanh nghiệp nào đó trang bị một hệ thống máy chủ cùng hệ quản trị bằng Windows Server thì doanh nghiệp đó mong muốn bảo toàn và bảo mật các dữ liệu của công ty đó. Vấn đề đặt ra là một khi đã bảo mật dữ liệu rồi, nhưng làm thế nào mà bảo toàn được nội dung bên trong của tài liệu đó. Xét ví dụ 1: một công ty có share dữ liệu cho người dùng để sử dụng chung các tài nguyên. Nhưng vì lý do bị virus tấn công làm thay đổi nội dung trong tài liệu đó hoặc vô tình thay đổi nội dung thì làm cách nào lấy lại nội dung trước đây của tài liệu đó?. Xét ví dụ 2: Người dùng (user) thường có thói quen lưu tài liệu tạo ra trên My Documents. Vậy khi máy tính đó bị Virus tấn công, hoặc máy tính đó bị hư hỏng hoàn toàn hoặc muốn lấy lại nội dung trước đây của một file mà người đó thường sử dụng.


- 134 -

Để giải quyết vấn đề trên. Từ Windows 2003 Server trở về sau có một tính năng khá hay là Shadow Copy. Tính năng này chỉ có trên Windows Server 2003 trở về sau nghĩa là chỉ có Windows Server 2003, Windows Vista. Còn Windows XP hoàn toàn không hỗ trợ tính năng này. Shadow copy là hệ thống sẽ tự động copy một bản sao nội dung của một tài liệu vào một vùng nhớ đệm. Vùng nhớ đệm này được tạo ra bởi người quản trị và hệ thống phải được định dạng bởi NTFS. Khi có sự thay đổi về nội dung thì hệ thống sẽ lưu lại một phiên bản khác của file đó theo một thời gian nhất định, và khi có nhu cầu khôi phục lại nội dung thì người quản trị sẽ căn cứ vào thời gian trước đây của nội dung để phục hồi. Cách làm một shadow copy như sau:

logon vào Server với quyền tài khoản administrator. Chọn Properties của ổ đĩa, ví dụ là ổ C:. Chọn tab Shadows Copies.

Chọn Settings...


- 135 -

Trong phần Maximum size: nhập vào dung lượng của bộ nhớ đệm. Chọn Schedule... để định thời

gian cho việc thực hiện shadow copy.

o Schedule Task: là tác vụ được thực hiện bởi khoảng thời gian nào: Daily, Weekly, monthly...

o Start time: là bắt đầu có hiệu lực từ khoảng thời gian nào trong ngày. Chọn Schedule task là Daily. Bấm nút Advanced... để mở rộng hơn về tác vụ vừa chọn.

o Start Date: ngày giờ nào bắt đầu có hiệu lực Shadows Copy. o End Date: Ngày giờ nào kết thúc. o Repeat task: khoảng bao nhiêu lâu sẽ lặp lại một lần shadows copy.

Chọn Reapeat Task là 5 phút. Bấm OK rở về hộp thoại ban đầu là Properties của ổ C:


- 136 -

Chọn Create Now để bắt đầu thiết lập shadows copy. Sau đó chọn OK để thoát ra.

Tạo một Folder là TranBaoAn, Share Folder này cho user An Tran Bao (antb) với quyền là Full Control.


- 137 -

Trên Windows XP. Logon với tài khoản antb.

Chọn Properties của My Documents.


- 138 -

Trong mục Target folder location thay thế bằng dòng lệnh sau: \\svr1\TranBaoAn.

Click OK để thay thế đường dẫn. Một hộp thoại xuất hiện để chắc hẳn là thay thế đường dẫn trên. Chọn OK để xác nhận việc thay thế.

Tạo một file có tên là: kiem_tra_shadow_copy.txt

Mở file trên, thêm nội dung vào:


- 139 -

Lưu lại nội dung trên. Sau đó mở file trên để xóa vài dòng:

Đợi một khoảng thời gian sau 5 phút như việc đặt Schedule Task ở phần trên. Chọn Properties của File trên. Vào tab Previous Versions. Cho thấy thời gian được ghi vào bộ đệm.


- 140 -

Chọn Restore để phục hồi nội dung ban đầu. Một hộp thoại xuất hiện cho biết user này có thực sự muốn khôi phục lại hay không?.

Chọn Yes để khôi phục lại nội dung ban đầu. Một hộp thoại xuất hiện cho biết là phục hồi thành công.

Chọn OK để trở về Properties của file trên. Click OK để hoàn tất. Mở file kiem_tra_shadow_copy.txt lên kiểm tra. Nội dung ban đầu đã phục hồi lại:

Kết luận: Người quản trị sẽ có giải pháp thích hợp trên tính năng shadow copy để tránh trường hợp mất nội dung cũng như sự phá hoại của người dùng. Tuy nhiên khi sử dụng tính năng này sẽ có hạn chế về dung lượng của ổ đĩa trên máy chủ.

8.4. Restore. Sau khi backup những gì cần thiết. Một lúc nào đó người quản trị cần khôi phục (restore) lại những dữ liệu đã backup. Việc restore cũng thực hiện bởi phần Backup trên Windows.


- 141 -

Hình : Backup or Restore Wizard

Chọn Restore file and settings trong hộp thoại Backup and Restore.

Hình : Restore files and setting

Click vào Browse... để tìm file backup. Chọn file backup theo ngày tháng để restore. Click Next.


- 142 -

Hình : Tìm source file backup

Hộp thoại Completing ... cho thấy kiểu Restore. Bấm Finish để hoàn tất.

Hình : Hoàn tất quá trình restore

Hộp thoại Restore bắt đầu hoạt động.


- 143 -

Hình : Quá trình restore hoạt động

Kết Luận: Như vậy người quản trị phải có nhiều phương án Backup dữ liệu của mình và có thể dùng nhiều phần mềm Backup khác thuộc những hãng viết phần mềm khác. Đồng thời sử dụng nhiều thiết bị Backup chuyên dụng như Tape, NAS... nhằm tăng mức độ an toàn của dữ liệu. 7.3: Mã hóa dữ liệu bằng EFS

Hệ thống tập tin mã hóa (Encrypting File System - EFS) cung cấp mã hóa cấp độ tập tin cho các tập tin NTFS. Kỹ thuật mã hóa EFS dựa trên public key, hoạt động như một dịch vụ tích hợp vào hệ thống, và phục hồi tập tin bằng tác nhân phục hồi EFS được chỉ định.

EFS rất dễ quản lý do khi cần tiếp cận dữ liệu quan trọng đã được người dùng mã hóa, và khi đó không có người dùng hay khóa của họ, tác nhân phục hồi EFS (thường là người quản trị) có thể giải mã tập tin.

Hiểu các lợi ích của EFS sẽ giúp chúng ta sử dụng kỹ thuật này một cách hiệu quả trên mạng.

Giới thiệu EFS

EFS cho phép người dùng lưu dữ liệu trên đĩa cứng theo khuôn dạng được mã hóa. Sau khi người dùng mã hóa tập tin, tập tin sẽ vẫn còn được mã hóa khi nào nó còn nằm trên đĩa. Các người dùng đơn lẻ có thể sử dụng EFS để mã hóa các tập tin bí mật.

EFS có một số đặc điểm chính:


- 144 -

• Hoạt động ngầm (background), trong suốt với người dùng và ứng dụng.

• Chỉ cho phép người dùng hợp lệ (authorized) truy cập tập tin mã hóa. EFS tự động giải mã tập tin khi sử dụng và mã hóa lại khi lưu. Các quản trị viên có thể phục hồi dữ liệu được bất kỳ người dùng nào mã hóa. Điều này bảo đảm cho dữ liệu vẫn có thể truy cập được nếu người dùng đã mã hóa dữ liệu không có mặt hoặc họ làm mất private key.

• Cung cấp hỗ trợ phục hồi dữ liệu dựng sẵn. Kiến trúc bảo mật trong Windows 2003 Server buộc chúng ta phải cấu hình các khóa phục hồi dữ liệu. Chúng ta có thể sử dụng tính năng mã hóa tập tin chỉ khi máy tính cục bộ được cấu hình với một hoặc nhiều khóa phục hồi. EFS tự động tạo các khóa phục hồi và lưu chúng trong registry khi không thể truy cập domain.


- 145 -

• Yêu cầu phải có ít nhất một tác nhân phục hồi (recovery agent) để khôi phục các tập tin mã hóa. Chúng ta có thể chỉ định nhiều tác nhân phục hồi dữ liệu để quản lý chương trình phục hồi EFS. Mỗi tác nhân phục hồi đòi hỏi một chứng nhận (certificate) EFS Recovery Agent.

Lưu ý: Chức năng mã hóa và nén không thể hoạt động cùng nhau. Do đó, chúng ta chỉ được sử dụng hoặc mã hóa hoặc nén, không thể sử dụng cả hai. Mã hóa một thư mục, tập tin

Để mã hóa các tập tin hoặc thư mục, hãy tạo một thư mục NTFS, sau đó mã hóa nó trong hộp thoại Properties của thư mục. Trên tab General, nhấp Advanced, rồi nhấp Encrypt contents to secure data.

Sau khi mã hóa thư mục, các tập tin được lưu trong thư mục đó tự động được mã hóa bằng các khóa mã hóa tập tin. Các khóa mã hóa tập tin là các khóa nhanh, đối xứng được thiết kế cho việc mã hóa khối lượng lớn. Windows 2003 mã hóa tập tin trong các khối, với một khóa mã hóa tập tin khác nhau cho từng khối. Tất cả các khóa mã hóa tập tin được lưu trong Data Decryption Field (DDF) và Data Recovery Field (DRF) trong phần đầu của tập tin (file header).

Tất cả các tập tin và thư mục con được tạo trong một thư mục mã hóa cũng tự động được mã hóa. Mỗi tập tin có một khóa mã hóa duy nhất, làm cho việc đổi tên tập tin trở nên an toàn. Khi di chuyển một tập tin từ một thư mục mã hóa sang một thư mục không mã hóa trên cùng phân vùng, tập tin sẽ vẫn được mã hóa.

Giải mã một thư mục, tập tin


- 146 -

Khi mở một tập tin mã hóa, EFS tự động phát hiện một tập tin mã hóa và định vị chứng nhận người dùng cũng như private key liên quan trong phần đầu tập tin. EFS áp dụng private key của chúng ta vào DDF để mở khóa danh sách các khóa mã hóa tập tin, cho phép hiển thị nội dung tập tin.

Không ai có thể truy cập tập tin mã hóa trừ người có private key. Chỉ người chủ tập tin hay tác nhân phục hồi mới có thể giải mã tập tin. Điều này vẫn đúng khi các quản trị viên thay đổi quyền hay thuộc tính tập tin, hoặc chiếm quyền sở hữu tập tin. Thậm chí khi chúng ta sở hữu một tập tin mã hóa, chúng ta không thể đọc nó trừ khi có private key hoặc chúng ta chính là tác nhân phục hồi.

Lưu ý Không thể chia sẻ một tập tin mã hóa với các người dùng khác. Phục hồi một tập tin, thư mục mã hóa

Nếu không có private key của chủ nhân, nhân viên đóng vai trò tác nhân phục hồi có thể mở tập tin bằng private key của anh ta, được áp lên DRF để mở khóa danh sách các khóa mã hóa tập tin. Nếu tác nhân phục hồi đang sử dụng một máy tính khác trên mạng, chúng ta phải gởi tập tin mã hóa đến cho anh ta. Tác nhân phục hồi có thể mang private key của anh ta đến máy tính của người sở hữu, nhưng việc sao chép một private key trên máy khác là không bảo mật.

Thói quen bảo mật tốt là thay đổi các tác nhân phục hồi. Tuy nhiên, khi chỉ định tác nhân thay đổi, truy cập đến tập tin bị từ chối. Vì lý do này, chúng ta nên giữ các chứng nhận phục hồi (recovery certificate) và các private key cho đến khi tất cả các tập tin mã hóa bằng chúng được cập nhật.

Để phục hồi một tập tin hay thư mục mã hóa khi đóng vai trò một tác nhân phục hồi, hãy thực hiện các bước sau:


- 147 -

1. Sử dụng Backup hay công cụ sao lưu khác để phục hồi một phiên bản sao lưu tập tin hay thư mục mã hóa của người dùng vào máy nơi có chứa chứng nhận phục hồi tập tin.

2. Trong Windows Explorer, mở hộp thoại Properties của tập tin hay thư mục. Trên tab General, nhấp Advanced.

3. Xóa check box Encrypt contents to secure data.

4. Tạo một bản lưu (backup version) tập tin hay thư mục đã giải mã, rồi trả lại bản sao lưu cho người dùng.

7.4. Disk Quota

Ngày nay với sự phát triển nhanh chóng của công nghệ thì công nghệ sản xuất ổ cứng (hard Disk) đã đạt tới một dung lượng rất lớn. Theo như nhà sản xuất ổ cứng hàng đầu trên thế giới như Seagate giới thiệu vào quí 2 năm 2007 thì dung lượng của ổ cứng đã đạt tới 750 GB. Như vậy máy chủ ngày nay có thể có một số lượng ổ cứng lớn và dung lượng lớn. Nhưng dung lượng đó không phải là không có giới hạn và khả năng nâng cấp rất phức tạp như an toàn dữ liệu, ngân sách...Do vậy chúng ta phải khống chế dung lượng của mỗi user trên máy chủ một cách hợp lý nhằm hạn chế ổ cứng đầy do những user đưa lên máy chủ những dữ liệu không cần thiết. Để làm điều đó thì Windows Server cung cấp cho chúng ta một chức năng là Disk Quota để người quản trị có khả năng kiểm soát được tài nguyên của ổ cứng cũng như kiểm soát được luồng dữ liệu của hệ thống. Lưu ý: Disk Quota chỉ sử dụng được trên toàn ổ cứng, tuy nhiên có thể mở rộng thực hiện Quota trên Folder bằng cách dùng Windows Server 2003 R2. Xét ví dụ: dùng Disk Quota để khống chế tài khoản An Tran Bao (antb) sử dụng tài nguyên trên máy chủ với dung lượng tối đa là 100 MB. Nếu sử dụng hết dung lượng này thì sẽ không thể đưa thêm bất cứ data nào vào máy chủ.

Logon vào máy chủ với tài khoản administrator. Chọn Properties của ổ cứng (ổ C:), vào tab Quota.

Chọn Enable Quota management:


- 148 -

o Deny disk space to user exceeding quota limit: khóa phần dung lượng còn lại khi user vượt quá giớn hạn cho phép.

o Limit disk space to: sét mặc định dung lượng cho toàn bộ user. o Set warning level to: cảnh báo cho người quản tri biết dung lượng sử dụng gần tới hạn

cho phép. Chọn Quota Entries... để thiết lập Quota cho từng user hay group.


- 149 -

Chọn menu Quota -> New Quota Entry ... để thiết lập quota cho từng user.

Hộp thoại Select users xuất hiện. Chọn user An Tran Bao (antb).

Click OK để chọn user trên. Một hộp thoại Add New Quota Entry xuất hiện. Thiết lập Limit disk space to: 100MB, set warning level to: 98MB.


- 150 -

Chọn OK. Hộp thoại Quota Entry for Local Disk (C:) xuất hiện thêm tài khoản antb mới thiết lập.

Đóng hộp thoại trên lại. Hộp thoại Properties của ổ cứng trở lại. Check vào mục Deny disk space to users Exceeding quota limit để vô hiệu hóa user khi quoat đã bị tới hạn cho phép.

Chọn Apply để cập nhật việc chọn quota cho user trên. Một hộp thoại xác nhận việc cho phép dùng Quota cho user trên. Chọn OK.

Đóng Properties của ổ cứng lại để hoàn tất.


- 151 -

Kiểm tra trên máy Client. Logon Windows XP với tài khoản An Tran Bao (antb). Connect vào máy chủ bằng lệnh \\192.168.1.1.

Mở thư mục Sharing TranBaoAn. Copy thư mục i386 trên CDROM Windows 2003 vào thư mục share này.

Một hộp thoại thông báo là không đủ khoảng trống trên Server khi đã sử dụng hết quota.

Kết Luận: Người quản trị phải biết phân bổ dung lượng tài nguyên sử dụng trên mạng một cách hợp lý nhằm tránh được những user đưa lên Server những tài liệu không cần thiết và tránh tình trạng nghẽn mạng. (phiên bản Windows 2003 R2 có thể hạn chế Filetype, sử dụng Quotas trên từng Folder)


- 152 -


Static Disk (basic disk): là đĩa có tính lưu trữ trung bình và cung cấp khả năng cấu hình bị giới

hạn. Basic disk là loại đĩa mặc định cho Windows Server 2003. Một basic disk cung cấp cho bạn những khả năng giới hạn để cài đặt các đĩa cứng của bạn.

Dynamic Disk: là đĩa cung cấp cho bạn nhiều tính năng linh hoạt hơn trong việc cài đặt đĩa cứng. Dynamic Disk có các ưu điểm sau:

• Một dynamic disk có thể được sử dụng để tạo các volume trải rộng ra nhiều đĩa cứng • Không có giới hạn về số volume có thể được cấu hình trên một dynamic disk • Các dynamic disk được sử dụng để tạo ra những đĩa chịu lỗi để bảo toàn dữ liệu khi có lỗi

phần cứng xảy ra.

Simple Volume: Một simple volume là một volume lưu trữ trên dynamic disk. Bạn có thể tạo simple volume từ khoảng trống chưa cấp phát trên một dynamic disk. Một simple volume tương đương với một partition, ngoại trừ nó không có kích thước giới hạn như một partition, và cũng không bị hạn chế số volume mà bạn có thể tạo trên một disk đơn.

Spanned Volume: Một spanned volume là simple volume mà cho phép bạn tạo một volume logical dựa trên khoảng trống chưa cấp phát sẵn có trên các dynamic disk khác trên máy tính. Bằng cách sử dụng các spanned volume, bạn có thể sử dụng khoảng trống lưu trữ hiệu quả hơn. Sau khi một volume được mở rộng, để xoá một thành phần của nó, bạn phải xoá toàn bộ spanned volume.

Striped Volume: Một striped volume lưu trữ dữ liệu trên hai hay nhiều đĩa bằng cách kết hợp những vùng trống thành một logical volume trên dynamic disk. Các stripe volume cũng được biết tới như là RAID 0, chứa dữ liệu được trải ra nhiều dynamic disk trên các ổ riêng biệt riêng biệt. Những spanned volume không thể là striped. Các volume striped cung cấp sự thực thi tốt nhất cho tất cả những chiến lược đĩa bởi vì dữ liệu ghi vào một striped volume được ghi đồng thời tới tất cả các đĩa tại cùng thời điểm đúng hơn là tuần tự. Vì vậy, quá trình thực thi đĩa trên một striped volume nhanh hơn bất kì loại cấu hình đĩa nào khác.

Backup: Backup là người quản trị thiết lập các dữ liệu để phòng hờ qua một nơi khác, máy tính khác hoặc qua thiết bị backup chuyên dùng để khi cần thiết thì restore lại để sử dụng.

Restore: Sau khi backup những gì cần thiết. Một lúc nào đó người quản trị cần khôi phục (restore) lại những dữ liệu đã backup. Việc restore cũng thực hiện bởi phần Backup trên Windows.

EFS: Hệ thống tập tin mã hóa (Encrypting File System - EFS) cung cấp mã hóa cấp độ tập tin cho các tập tin NTFS. Kỹ thuật mã hóa EFS dựa trên public key, hoạt động như một dịch vụ tích hợp vào hệ thống, và phục hồi tập tin bằng tác nhân phục hồi EFS được chỉ định. EFS cho phép người dùng lưu dữ liệu trên đĩa cứng theo khuôn dạng được mã hóa. Sau khi người dùng mã hóa tập tin, tập tin sẽ vẫn còn được mã hóa khi nào nó còn nằm trên đĩa. Các người dùng đơn lẻ có thể sử dụng EFS để mã hóa các tập tin bí mật.

Disk Quota (hạn ngạch đĩa): dùng để quản lý độ tăng dung lượng lưu trữ trong các môi trường phân tán. Hạn ngạch đĩa cho phép chúng ta cấp phát không gian đĩa khả dụng cho người dùng dựa trên các tập tin và thư mục họ sở hữu. Hạn ngạch đĩa cho phép chúng ta kiểm soát lượng không gian đĩa người dùng được cấp để lưu trữ tập tin.


- 153 -

BÀI 8: QUẢN TRỊ SỰ CỐ HỆ THỐNG MÁY CHỦ

Mục tiêu:

Hiểu biết và xử lý sự cố máy chủ

Dùng các phương pháp xử lý lỗi Hệ Điều Hành

Quản trị Windows Update

8.1: Backup và Restore Chúng ta đã biết một hệ thống có nhiều Server phân cấp trong một domain. Khi máy chủ Second bị hư hỏng thì vấn đề cài lại máy second là bình thường. Tuy nhiên khi máy chủ bị lỗi thì vấn đề giải quyết máy chủ PDC như thế nào khi đã cài đặt lại và đưa vào hệ thống đang hoạt động. Bởi lẽ khi cài đặt lại máy chủ thì máy chủ này sẽ có một ID hoàn toàn khác với máy chủ trước khi bị lỗi và do đó khi đưa máy chủ vào hệ thống đang hoạt động thì máy chủ Second và các Client sẽ không thể kết nối tới máy chủ PDC. Vậy hướng giải quyết sẽ ra làm sao? Backup System State. Để backup Domain hệ thống người quản trị phải backup trang thái hoạt động của máy chủ (system state). System state bao gồm các dịch vụ:

• Active Directory. • Bootfile. • Registry. • Sysvol. • Com+

Logon vào máy chủ SVR1 với quyền administrator. Chọn mục backup là system state.

Hình : Items to Back up

Giả sử Backup vào folder là: “c:\public”. Với tên: backupsystemstate


- 154 -

Hình : Nơi lưu trữ file backup và đặt tên file

Các thao tác trên tương tự như phần Backup.

Hình : Quá trình backup đang hoạt động

Kết luận: Chúng ta đã backup system của Server. Việc backup này nên thực hiện hằng ngày sẽ có nhiều sự lựa chọn về trạng thái của hệ thống khi restore. Và việc backup nên lưu ở một nơi khác ngoài máy chủ đang backup.


- 155 -

Restore System State. Khi máy chủ bị down thì người quản trị phải tách ly máy đó ra khỏi hệ thống mạng. Cài đặt những gì cần thiết như nâng lên DC, DNS...và quá trình này được thực hiện một cách độc lập, không được gắn dây mạng vào hệ thống đang hoạt động. Những việc trên đã hoàn tất, bây giờ chúng ta tiến hành restore.

Khởi động máy khi đã qua phần POST của CMOS. Nhấn F8 để xuất hiện phần Boot menu của Windows.

Hình : Màn hình Safe Mode

Chọn Directory Services Restore Mode (Windows domain Controllers Only). Nhấn Enter. Server sẽ

khởi động vào Windows với chế độ là Safe Mode.

Hình : Windows hoạt động ở chế độ Safe Mode

Vào dịch vụ backup. Chọn restore.


- 156 -

Hình : Restore files and setting

Hộp Thoại What to Restore. Chọn Browser... để tìm file đã backup ở trên. Chọn System state.

Hình : Backup System State

Sau khi chọn Finish. Windows sẽ cảnh báo cho chúng ta biết là có nên ghi đè lên system State hiện tại hay không?.


- 157 -

Hình : Hoàn tất việc backup system state

Chọn OK để restore lại. Hệ thống bắt đầu restore.

Hình : Quá trình backup đang hoạt động

Sau khi restore hoàn tất. Windows sẽ yêu cầu khởi động lại máy chủ.

Hinh: Thông báo khởi động lại máy

Sau khi khởi động. Chúng ta đưa máy chủ trở lại hệ thống mạng đang hoạt động vì lúc này Server đã trở lại giống như trước khi máy bị lỗi. Tất cả các DNS, DHCP, User... đều được bảo toàn.


- 158 -

8.2: Triển khai Windows Update

Chú ý: Hiện nay Software Update Services (SUS 1.0), chỉ được Microsoft hỗ trợ đến hết 6.2006. Và sau thời hạn này chúng ta không còn download được tool này, Microsoft đã đưa ra version mới của SUS gọi là WSUS, những tổ chức đang sử dụng Microsoft SUS nên tiến hành nâng cấp lên WSUS trước thời hạn trên.

Có thể tham khảo chi tiết về WSUS và Download tại link sau:

http://www.microsoft.com/windowsserversystem/updateservices/downloads/WSUS.mspx

Cài đặt Microsoft SUS server

Bởi vì Microsoft SUS server không thực sự là một ứng dụng quét trên desktop, mà hơi thiên về một server tự động làm việc dưới dạng dịch vụ nền (background), như vậy hơi khó khăn cho các Admin một chút trong việc setup so với các công cụ quản lý vá lỗi khác than other. Tuy nhiên một khi đã set-up hoàn thành, thì quy trình quản lý vá lỗi sẽ được tự động, và các Admin sẽ được đến bù xứng đáng với công sức bỏ ra ban đầu.

Để cài đặt Microsoft SUS server (yêu cầu IIS), và cấu hình để kiểm tra các cập nhật. Cũng phải đảm bảo rằng các máy trạm workstations và servers phải có Windows 2000 SP3, Windows XP SP1 hoặc Windows .NET, hoặc phải cài Microsoft SUS client. Cần lưu ý rằng Windows NT không được hỗ trợ.

Có thể tiến hành cài từ xa các SUS client software thông qua việc dùng Group Policy dung lượng file cài đặt chỉ 1 MB. Sau khi cài SUS client trên các máy sẽ làm việc với SUS Server, lại tiếp tục dùng Group Policy cấu hình cho các SUS client tự động cập nhật các bản vá từ SUS server. Xin nhắc lại các Admin có thể tham khảo về cách cấu hình này như link đã cung cấp ở trên.

Quản lý Microsoft SUS server

Việc quản lý Microsoft SUS server tất cả thông qua giao diện Web, và cho phép quản lý từ xa. Microsoft SUS server tiến hành download tất cả updates hoàn toàn tự động và có thể thông báo cho bạn các new updates qua e-mail. Các New updates có thể được chấp thuận cho triển khai hoặc loại bỏ, đảm bảo rằng bạn có đầy đủ quyền đối với những gì sẽ được cài đặt trên network. Giao diện quản lý của SUS cũng khá đơn giản.


- 159 -

Microsoft SUS Client

Một khi đã tiến hành cài đặt cả 2 Microsoft SUS server và Microsoft SUS client, thì tất cả các updates sẽ được cập nhật tự động. Với quyền administrator cấu hình vấn đề này sẽ xảy ra như thế nào cho thuận tiện với hiện trạng Network của bạn. Có thể xác lập một lịch biểu cho cập nhật, thậm chí có thể cho phép User tương tác , hoặc điều khiển trong tiến trình này nếu Admin muốn. Hãy xem hình mô tả, và dĩ nhiên những lựa chọn này có thể bị Group Policy khóa (locked).


- 160 -

Sau khi đã cấu hình cho Microsoft SUS client, các patches sẽ được triển khai tự động. User sẽ được thông báo qua message như trên hình.

Những hạn chế của Microsoft SUS Server

Mặc dù có nhiều ưu điểm, nhưng , Microsoft’ SUS vẫn bộc lộ những hạn chế nhất định:

• Không tiến hành cập nhật được các service packs cho Clients; Admin cần tìm giải pháp khác?

• Chỉ quản lý được các patches ở cấp độ hệ điều hành (và bao gồm các ứng dụng Internet Explorer và IIS), nhưng để patch các ứng dụng khác như : Microsoft Office, Microsoft Exchange Server, Microsoft SQL Server, etc, thì không thể

• Yêu cầu dùng Windows 2000 trở lên, không thể patch các hệ thống Windows NT 4 systems.

• Không thể triển khai các bản vá cho 3rd party software.

• Không cho phép quét toàn bộ Network, tìm kiếm những lỗ hỗng chưa vá, Và vì vậy Admin khó có thể kiểm tra được các bản vá đã cài đặt đúng cách hay chưa. Hệ thống báo cáo vấn đề này lại không dễ sử dụng.


- 161 -

Và điều này có nghĩa là các Admin sẽ trông đợi vào một giải pháp khác có thể khắc phục được những nhược điểm trên của SUS. Microsoft không có ý định thêm các tính năng trên, và nếu các Admin muốn dùng những tính năng trên phải trả phí để dùng một giải páp toàn diện của họ là: Microsoft SMS server . Và như vậy tính năng chính thích hợp nhất của Microsoft SUS server được sử dụng để vá cho Hệ điều hành và nên sử dụng thêm các công cụ vá khác nhằm hoàn chỉnh hơn.

8.3: Phương thức xử lý sự cố Server 8.4: Bài tập tình huống Tóm tắt:

Backup System State: Để backup Domain hệ thống người quản trị phải backup trang

thái hoạt động của máy chủ (system state). System state bao gồm các dịch vụ:

• Active Directory. • Bootfile. • Registry. • Sysvol. • Com+

Restore System State: Khi máy chủ bị down thì người quản trị phải tách ly máy đó ra khỏi hệ thống mạng. Cài đặt những gì cần thiết như nâng lên DC, DNS...và quá trình này được thực hiện một cách độc lập, không được gắn dây mạng vào hệ thống đang hoạt động. Những việc trên đã hoàn tất, bây giờ chúng ta tiến hành restore.

SUS: là một công cụ để quản lý và phân phối các phần mềm update để giải quyết những lỗ hổng bảo mật và những vấn đề ổn định trong các hệ điều hành Microsoft Windows 2000, Windows XP, và Windows Server 2003.