CÀI ĐẶT DNS
Tổng quan về DNS
- Trình bày được cấu trúc cơ sở dữ liệu của hệ thống tên miền;
- Mô tả được sự phân cấp của hệ thống tên miền;
Mỗi máy tính trong mạng cần biết địa chỉ IP của nhau để giao tiếp, nhưng việc nhớ nhiều địa chỉ IP là khó khăn Do đó, DNS (Domain Name System) ra đời như một giải pháp thay thế bằng cách sử dụng tên dễ nhớ thay cho địa chỉ IP Điều này giúp ánh xạ địa chỉ IP thành tên máy tính, tạo thuận lợi cho việc sử dụng các dịch vụ trên mạng.
Dịch vụ DNS hoạt động theo mô hình Client-Server, trong đó máy chủ phục vụ tên, hay còn gọi là Name Server, đóng vai trò là phần Server, trong khi trình phân giải tên là phần Client.
Resolver là các hàm thư viện dùng để tạo và gửi truy vấn đến Name Server, nơi lưu trữ thông tin cơ sở dữ liệu của DNS DNS hoạt động như một giao thức tầng ứng dụng trong mạng TCP/IP.
DNS là một cơ sở dữ liệu phân tán, cho phép quản trị viên cục bộ quản lý dữ liệu nội bộ của họ và dễ dàng truy cập trên toàn bộ hệ thống mạng theo mô hình Client-Server Hiệu suất dịch vụ được cải thiện nhờ cơ chế nhân bản và lưu tạm Một hostname trong miền được tạo thành từ các từ được phân cách bởi dấu chấm (.).
Hình 1.1: Sơ đồ tổ chức DNS
Loại tên Miêu tả Ví dụ
Đỉnh của nhánh cây tên miền xác định kết thúc của các tên miền đầy đủ (FQDNs) Đơn giản, đó chỉ là dấu chấm (.) được sử dụng ở cuối tên miền.
"example.microsoft.com” Tên miền cấp một
Là hai hoặc ba ký tự xác định nước/khu vực hoặc cáctổ chức
".com", xác định tên sử dụng trong xác định là tổ chức thương mại Tên miền cấp hai
Nó rất đa dạng trên internet, nó có thể là tên của một công ty, một tổ chức hay một cá nhân v.v đăng ký trên internet
"microsoft.com.", là tên miền cấp hai đăng ký là công ty Microsoft
Tên miền cấp nhỏ hơn Chia nhỏ thêm ra của tên miên cấp hai xuống thường được sử dụng như chi
"example.microsoft.com." là phần quản lý tài liệu ví dụ của microsof (Subdomain) nhánh, phong ban của một cơ quan hay một chủ đề nào đó
Cơ sở dữ liệu của DNS được cấu trúc như một cây đảo ngược, trong đó mỗi nút là gốc của một cây con Mỗi cây con đại diện cho một phân vùng trong toàn bộ cơ sở dữ liệu DNS, được gọi là miền (domain) Các miền này có thể tiếp tục được phân chia thành các miền con (subdomain) nhỏ hơn.
Mỗi domain có 1 tên (domain name) Tên domain chỉ ra vị trí của nó trong
CSDL DNS, hay Hệ thống tên miền, là một cấu trúc phân cấp trong đó tên miền được biểu diễn dưới dạng chuỗi các nhãn liên tiếp, đi từ nút cụ thể đến nút gốc của cây, và các nhãn này được phân cách bởi dấu chấm.
Tên nhãn bên phải trong mỗi tên miền được gọi là top-level domain (TLD) Ví dụ, trong miền srv1.csc.hcmuns.edu.vn, ".vn" là top-level domain Dưới đây là bảng liệt kê các top-level domain.
.com Các tổ chức, công ty thương mại
.org Các tổ chức phi lợi nhuận
.net Các trung tâm hỗ trợ về mạng
.edu Các tổ chức giáo dục
.gov Các tổ chức thuộc chính phủ
.mil Các tổ chức quân sự
.int Các tổ chức được thành lập bởi các hiệp ước quốc tế
Mỗi quốc gia đều có một tên miền cấp cao (top-level domain) riêng, ví dụ như tên miền của Việt Nam là vn và của Mỹ là us Để tìm hiểu thêm về các địa chỉ tên miền, bạn có thể tham khảo thông tin tại http://www.thrall.org/domains.htm.
Ví dụ về tên miền của một số quốc gia
Tên miền quốc gia Tên quốc gia
1.2 Đặc điểm của DNS trong Windows Server
- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theo tên domain trong yêu cầu truy vấn
- Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn
- Đồng bộ các DNS zone trong Active Directory (DNS zone replication in
- Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trước đây
- Luân chuyển (Round robin) tất cả các loại RR
- Cung cấp nhiêu cơ chế ghi nhận và theo dõi sự cố lỗi trên DNS
- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone
- Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép DNS
Requestor quản bá những zone transfer packet có kích thước lớn hơn 512 byte.
Cách phân bố dữ liệu quản lý trên tên miền
Mục tiêu: Trình bày được sự phân bố dữ liệu quản lý trên tên miền
Những root name server (.) quản lý những top-level domain trên Internet
Tên máy và địa chỉ IP của các name server đã được công khai và được liệt kê trong bảng dưới đây Những name server này có thể được phân bố ở nhiều vị trí khác nhau trên toàn cầu.
Tên máy tính Địa chỉ IP
H.ROOT-SERVERS.NET 128.63.2.53 B.ROOT-SERVERS.NET 128.9.0.107 C.ROOT-SERVERS.NET 192.33.4.12 D.ROOT-SERVERS.NET 128.8.10.90 E.ROOT-SERVERS.NET 192.203.230.10 I.ROOT-SERVERS.NET 192.36.148.17 F.ROOT-SERVERS.NET 192.5.5.241 F.ROOT-SERVERS.NET 39.13.229.241
Primary Name Server có thể tạo ra những subdomain và ủy quyền những subdomain này cho những Name Server khác
3.Cơ chế phân giải tên
Mục tiêu: Trình bày được cơ chế phân giải tên máy tính thành địa chỉ IP và ngược lại;
3.1 Phân giải tên thành IP
Máy chủ Root Name Server là thiết bị quản lý các name server ở cấp độ top-level domain Khi nhận được truy vấn về một tên miền, Root Name Server sẽ cung cấp tên và địa chỉ IP của name server quản lý top-level domain Thực tế, hầu hết các root server cũng là máy chủ quản lý top-level domain Tiếp theo, các name server của top-level domain sẽ cung cấp danh sách các name server có quyền quản lý các second-level domain thuộc về tên miền đó, và quá trình này tiếp tục cho đến khi tìm được máy quản lý tên miền cần truy vấn.
Hình vẽ dưới mô tả quá trình phân giải cntt.edu.vn trên mạng Internet
Hình 1.2: Quá trình phân giải cntt.edu.vn trên mạng Internet
3.2 Phân giải IP thành tên máy tính Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọc hơn Nó còn dùng trong một số trường hợp chứng thực trên hệ thống
UNIX cho phép kiểm tra các tập tin rhost và host.equiv Trong không gian tên miền, dữ liệu, bao gồm địa chỉ IP, được lập chỉ mục theo tên miền Vì vậy, với một tên miền đã cho, việc xác định địa chỉ IP trở nên đơn giản.
Name Server cdn.edu.vn
Gởi truy vấn địa chỉ
Hỏi server quản lý tên miền vn
Gởi truy vấn địa chỉ
Hỏi server quản lý tên miền Gởi truy vấn địa chỉ
Hỏi server quản lý tên miền Gởi truy vấn địa chỉ
Trả lời địa chỉ IP của
Để phân giải tên máy tính từ một địa chỉ IP, trong không gian tên miền, một nhánh tên miền được bổ sung và lập chỉ mục theo địa chỉ IP, được gọi là in-addr.arpa.
Hình 1.3: Phân giải IP thành tên máy tính
Khi đọc tên miền, địa chỉ IP sẽ xuất hiện theo thứ tự ngược Chẳng hạn, nếu địa chỉ IP của máy winnie.corp.hp.com là 15.16.192.152, thì khi ánh xạ vào miền in-addr.arpa, nó sẽ trở thành 152.192.16.15.in-addr.arpa.
4.Một số khái niệm cơ bản
- Trình bày được các khái niệm cơ bản
Một miền có thể bao gồm nhiều thực thể nhỏ hơn gọi là miền con (subdomain), chẳng hạn như miền ca với các miền con như ab.ca, on.ca, qc.ca Bạn có khả năng ủy quyền quản lý một số miền con cho các máy chủ DNS khác.
DNS Server được quyền quản lý gọi là zone Như vậy, một Zone có thể gồm một miền, một hay nhiều miền con
- Primary zone: Cho phép đọc và ghi cơ sở dữ liệu
- Secondary zone: Cho phép đọc bản sao cơ sở dữ liệu
- Stub zone: chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa chỉ một vài RR(Resource Record)
4.2 Fully Qualified Domain Name (FQDN)
Mỗi nút trên cây có tên gọi tối đa 63 ký tự, không chứa dấu chấm Tên rỗng biểu diễn gốc (root) và được thể hiện bằng dấu chấm Tên miền đầy đủ của một nút là chuỗi tên gọi đi ngược lên gốc, cách nhau bởi dấu chấm Tên miền kết thúc bằng dấu chấm được gọi là tên tuyệt đối (absolute), khác với tên tương đối không có dấu chấm ở cuối Tên tuyệt đối cũng được coi là tên miền đầy đủ đã được chứng nhận (Fully Qualified Domain Name – FQDN).
Một trong những mục tiêu thiết kế hệ thống DNS là khả năng quản lý phân tán thông qua cơ chế ủy quyền Trong một miền, có thể tổ chức thành nhiều miền con, mỗi miền con được ủy quyền cho một tổ chức khác, chịu trách nhiệm duy trì thông tin Miền cha chỉ cần một con trỏ để tham chiếu miền con khi có các truy vấn.
Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các Name Server khác để phân giải các miền bên ngoài
Stub zone là một khu vực trong hệ thống DNS chứa bảng sao cơ sở dữ liệu từ master name server Nó chỉ bao gồm các resource record cần thiết như A, SOA, NS, cùng với một hoặc vài địa chỉ của master name server Stub zone hỗ trợ cơ chế cập nhật và xác thực name server, đồng thời cung cấp khả năng phân giải tên miền hiệu quả hơn, giúp đơn giản hóa công tác quản trị.
Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổi cao, giúp duy trì kết nối ổn định cho người dùng Dịch vụ này sử dụng một chương trình đặc biệt gọi là Dynamic DNS Client, chạy trên máy tính của người dùng Chương trình này giám sát sự thay đổi địa chỉ IP tại host và tự động liên hệ với hệ thống DNS để cập nhật thông tin khi địa chỉ IP thay đổi, đảm bảo cơ sở dữ liệu DNS luôn chính xác.
Sử dụng Active Directory-integrated zone có một số thuận lợi sau:
- DNS zone lưu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu được bảo mật hơn
- Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ sở dữ liệu DNS
- Sử dụng secure dynamic update
- Sử dụng nhiều master name server để quản lý tên miền thay vì sử dụng một master name server.
Phân loại Domain Name Server
- Trình bày được các loại tên Domain Server
Mỗi miền cần có một Primary Name Server được đăng ký trên Internet để quản lý miền, giúp mọi người biết đến tên máy tính và địa chỉ IP của nó Quản trị viên DNS sẽ tổ chức các tập tin cơ sở dữ liệu trên Primary Name Server, đảm bảo server này có khả năng phân giải tất cả các máy trong miền hoặc zone.
Mỗi miền có một Primary Name Server để quản lý cơ sở dữ liệu, và khi server này ngừng hoạt động, việc phân giải tên máy tính thành địa chỉ IP sẽ bị gián đoạn, ảnh hưởng lớn đến tổ chức có nhu cầu trao đổi thông tin cao Để khắc phục vấn đề này, các nhà thiết kế đã phát triển Secondary (hay Slave) Name Server, có nhiệm vụ sao lưu dữ liệu từ Primary Name Server và đảm nhận việc phân giải tên máy tính khi server chính gặp sự cố.
Caching Name Server không lưu trữ bất kỳ tập tin cơ sở dữ liệu nào, mà có chức năng phân giải tên máy trên các mạng xa thông qua các Name Server khác Nó lưu giữ lại các tên máy đã được phân giải trước đó và tái sử dụng thông tin này để tối ưu hóa quá trình truy cập.
- Làm tăng tốc độ phân giải bằng cách sử dụng cache
- Giảm bớt gánh nặng phân giải tên máy cho các Name Server
- Giảm việc lưu thông trên những mạng lớn.
Resource Record (RR)
RR là mẫu thông tin dùng để mô tả dữ liệu trong cơ sở dữ liệu DNS, và các mẫu tin này được lưu trữ trong các tệp cơ sở dữ liệu DNS tại vị trí \systemroot\system32\dns.
In every database file, there must be one and only one SOA (Start of Authority) record The SOA record indicates that the Name Server is the authoritative source of reliable information from the data within the zone.
Cú pháp của record SOA
[tên-miền] IN SOA [tên-server-dns] [địa-chỉ-email] ( serial number; refresh number; retry number; experi number;
Record tiếp theo cần có trong zone là NS (name server) record Mỗi Name Server cho zone sẽ có một NS record
[domain_name] IN NS [DNS-Server_name]
Ví dụ: Record NS sau: qtm.com IN NS dnsserver.qtm.com qtm.com IN NS server.qtm.com chỉ ra 2 name servers cho miền qtm.com
6.3 A (Address) và CNAME (Canonical Name)
Record A maps a hostname to an IP address, while a CNAME (canonical name) record creates an alias that points to a canonical name The canonical name is the host name found in the A record or may refer to another canonical name.
Cú pháp record A: [tên-máy-tính] IN A [địa-chỉ-IP]
Ví dụ: record A trong tập tin db.qtm server.qtm.com IN A 172.29.14.1 diehard.qtm.com IN A 172.29.14.4
// Multi-homed hosts server.qtm.com IN A 172.29.14.1 server.qtm.com IN A 192.253.253.1
6.4 AAAA Ánh xạ tên máy (hostname) vào địa chỉ IP version 6
Cú pháp: [tên-máy-tính] IN AAAA [địa-chỉ-IPv6]
Ví dụ Server IN AAAA 1243:123:456:789:1:2:3:456ab
Cung cấp cơ chế định vị dịch vụ, Active Directory sử dụng Resource Record này để xác định domain controllers, global catalog servers, Lightweight Directory Access Protocol (LDAP) servers
- Weight (hỗ trợ load balancing)
- Target chỉ định FQDN cho host hỗ trợ dịch vụ
DNS sử dụng record MX để chuyển tiếp email trên Internet, thay thế cho hai record cũ là MD (mail destination) và MF (mail forwarder) do hoạt động không hiệu quả Record MX xác định mail exchanger cho một miền, giúp trình chuyển mail (mailer) quyết định đường đi của email Mail exchanger có thể xử lý email đến hộp thư cục bộ hoặc chuyển tiếp đến một mail exchanger khác gần nhất bằng giao thức SMTP Để ngăn chặn việc gửi email bị lặp lại, record MX bao gồm một số thứ tự tham chiếu (0-65535) để chỉ ra ưu tiên của các mail exchanger.
[domain_name] IN MX [priority] [mail-host]
Ví dụ record MX sau : qtm.com IN MX 10 mailserver.qtm.com
Chỉ ra máy chủ mailserver.qtm.com là một mail exchanger cho miền qtm.com với số thứ tự tham chiếu 10
Chú ý: các giá trị này chỉ có ý nghĩa so sánh với nhau Ví dụ khai báo 2 record MX:
Record PTR (pointer) dùng để ánh xạ địa chỉ IP thành Hostname
Cú pháp: [Host-ID.{Reverse_Lookup_Zone}] IN PTR [tên-máy-tính]
Ví dụ: Các record PTR cho các host trong mạng 192.249.249:
1.14.29.172.in-addr.arpa IN PTR server.qtm.com.
Cài đặt
Mục tiêu: Thực hiện được quá trình cài đặt và cấu hình DNS
Có nhiều phương pháp để cài đặt dịch vụ DNS trên hệ điều hành Windows, bao gồm việc thiết lập DNS khi nâng cấp máy chủ thành domain controller hoặc cài đặt DNS trên máy chủ Windows 2008 độc lập.
7.1 Các bước cài đặt dịch vụ DNS
Để cài đặt dịch vụ DNS trên Windows 2008 Server, trước tiên, máy chủ cần có địa chỉ IP tĩnh Dưới đây là các bước cơ bản để thực hiện cài đặt dịch vụ DNS trên Windows 2008 stand-alone Server.
- Chọn Start | Control Panel | Add/Remove Programs
- Chọn Add or Remove Windows Components trong hộp thoại Windows components
- Từ hộp thoại ở bước 2 ta chọn Network Services sau đó chọn nút Details
- Chọn tùy chọn Domain Name System(DNS), sau đó chọn nút OK
Để cài đặt dịch vụ, bạn hãy chọn nút Next, sau đó hệ thống sẽ tiến hành sao chép các tập tin cần thiết Đảm bảo rằng bạn có đĩa DVDROM Windows 2008 trên máy tính hoặc có thể truy cập tài nguyên này từ mạng Cuối cùng, chọn nút Finish để hoàn tất quá trình cài đặt.
CẤU HÌNH DNS
Cấu hình dịch vụ DNS
Sau khi ta cài đặt thành công dịch vụ DNS, ta có thể tham khảo trình quản lý dịch vụ này như sau:
To access DNS, navigate to Start, then Programs, followed by Administrative Tools, and select DNS If DNS was not installed during the Active Directory setup, no default zones will be configured.
Hình 2.1: Giao diện DNS Server
- Event Viewer: Đây trình theo dõi sự kiện nhật ký dịch vụ DNS, nó sẽ lưu trữ các thông tin về: cảnh giác (alert), cảnh báo (warnings), lỗi (errors)
- Forward Lookup Zones: Chứa tất cả các zone thuận của dịch vụ DNS, zone này được lưu tại máy DNS Server
- Reverse Lookup Zones: Chứa tất cả các zone nghịch của dịch vụ DNS, zone này được lưu tại máy DNS Server.
Tạo Forward Lookup Zones
Forward Lookup Zone để phân giải địa chỉ Tên máy (hostname) thành địa chỉ IP Để tạo zone này ta thực hiện các bước sau:
- Chọn nút Start | Administrative Tools | DNS
- Chọn tên DNS server, sau đó Click chuột phải chọn New Zone Chọn Next trên hộp thoại Welcome to New Zone Wizard
- Chọn Zone Type là Primary Zone | Next
Hình 2.2: Hộp thoại zone type
- Chọn Forward Lookup Zone | Next
- Chỉ định Zone Name để khai báo tên Zone (Ví dụ: csc.com), chọn Next
Hình 2.3: Hộp thoại zone name
Từ hộp thoại Zone File, người dùng có thể tạo file lưu trữ cơ sở dữ liệu cho Zone (zonename.dns) hoặc chỉ định Zone File đã tồn tại sẵn, với tất cả các file được lưu trữ tại %systemroot%\system32\dns Sau đó, chọn Next để tiếp tục.
- Hộp thoại Dynamic Update để chỉ định zone chấp nhận Secure Update, nonsecure Update hay chọn không sử dụng Dynamic Update, chọn Next
Hình 2.4: Hộp thoại Dynamic update
- Chọn Finish để hoàn tất.
Tạo Reverse Lookup Zone
Sau khi ta hoàn tất quá trình tạo Zone thuận ta sẽ tạo Zone nghịch (Reverse
Lookup Zone) để hỗ trợ cơ chế phân giải địa chỉ IP thành tên máy(hostname)
To create a Reverse Lookup Zone, follow these steps: Select Start, then Programs, navigate to Administrative Tools, and click on DNS Choose the DNS server name, right-click, and select New Zone.
- Chọn Next trên hộp thoại Welcome to New Zone Wizard Chọn Zone Type là Primary Zone | Next Chọn Reverse Lookup Zone | Next
- Gõ phần địa chỉ mạng(NetID) của địa chỉ IP trên Name Server | Next
Hình 2.5: Hộp thoại Reverse Lookup zone name
- Tạo mới hay sử dụng tập tin lưu trữ cơ sở dữ liệu cho zone ngược, sau đó chọn Next
Hình 2.6: Hộp thoại zone file
- Hộp thoại Dynamic Update để chỉ định zone chấp nhận Secure Update, nonsecure Update hãy chọn sử dụng Dynamic Update, chọn Next Chọn Finish để hoàn tất
Bài tập thực hành của học viên
Cấu hình dịch vụ DNS
1 Cấu hình dịch vụ DNS
Sau khi ta cài đặt thành công dịch vụ DNS, ta có thể tham khảo trình quản lý dịch vụ này như sau:
Ta chọn Start | Programs | Administrative Tools | DNS Nếu ta không cài
DNS cùng với quá trình cài đặt Active Directory thì không có zone nào được cấu hình mặc định
- Event Viewer: Đây trình theo dõi sự kiện nhật ký dịch vụ DNS, nó sẽ lưu trữ các thông tin về: cảnh giác (alert), cảnh báo (warnings), lỗi (errors)
- Forward Lookup Zones: Chứa tất cả các zone thuận của dịch vụ DNS, zone này được lưu tại máy DNS Server
- Reverse Lookup Zones: Chứa tất cả các zone nghịch của dịch vụ DNS, zone này được lưu tại máy DNS Server
Forward Lookup Zone để phân giải địa chỉ
Tên máy (hostname) thành địa chỉ IP Để tạo zone này ta thực hiện các bước sau:
- Chọn nút Start | Administrative Tools | DNS
- Chọn tên DNS server, sau đó Click chuột phải chọn New Zone Chọn Next trên hộp thoại
Welcome to New Zone Wizard
- Chọn Zone Type là Primary Zone | Next
- Chọn Forward Lookup Zone | Next
- Chỉ định Zone Name để khai báo tên Zone (Ví dụ: csc.com), chọn Next
- Từ hộp thoại Zone File, ta có thể tạo file lưu trữ cơ sở dữ liệu cho
In the Zone configuration (zonename.dns), you can specify an existing Zone File, which is stored in the directory %systemroot%\system32\dns After making your selection, proceed by clicking Next.
- Hộp thoại Dynamic Update để chỉ định zone chấp nhận Secure Update, nonsecure Update hay chọn không sử dụng Dynamic Update, chọn Next
Chỉ định Dynamic Update, chọn Finish để hoàn tất
Sau khi ta hoàn tất quá trình tạo Zone thuận ta sẽ tạo Zone nghịch (Reverse
Để hỗ trợ cơ chế phân giải địa chỉ IP thành tên máy (hostname), cần tạo một Reverse Lookup Zone Để thực hiện điều này, hãy chọn Start và làm theo các bước hướng dẫn sau.
Programs | Administrative Tools | DNS Chọn tên của DNS server, Click chuột phải chọn New Zone
Chọn Next trên hộp thoại Welcome to
New Zone Wizard Chọn Zone Type là Primary Zone | Next Chọn
Gõ phần địa chỉ mạng(NetID) của địa chỉ IP trên Name Server | Next
Tạo mới hay sử dụng tập tin lưu trữ cơ sở dữ liệu cho zone ngược, sau đó chọn Next
Hộp thoại Dynamic Update để chỉ định zone chấp nhận Secure Update, nonsecure Update hay chọn không sử dụng Dynamic Update, chọn Next
Chọn Finish để hoàn tất
1.3 Thêm tên miền (domain name)
Tại của sổ quản lý domain chọn vào server và bấm chuột phải hiện lên menu và chọn "New
Domain " để điền một domain mới
Sau khi bấm vào "New Domain" nó sẽ xuất hiện cửa sổ cho phép bạn điền tên miền mà server được phép quản lý
Sau khi điền bấm "OK" để kết thúc
Tại cửa sổ quản lý DNS chọn zone đã tạo và bấm chuột phải chọn "new host"
Xuất hiện cửa sổ cho phép ta khai báo host mới
Bạn điền tên của host mà muốn tạo Tên của host sẽ được tự động điền thêm phần domain để thành tên đầy đủ của host
Ví dụ: như trên đây là vùng quản lý zone (location) là ktm.vnn.vn
Khi bạn nhập Name là www và địa chỉ IP là 203.162.0.100, điều này tương ứng với định nghĩa miền www.ktm.vnn.vn, trỏ đến địa chỉ IP 203.162.0.100 Cụ thể, cấu trúc sẽ là www.ktm.vnn.vn IN A 203.162.0.100.
1.5 Tạo một bản ghi web (tạo bí danh)
Tại cửa sổ quản lý Domain và tên miền vừa tạo và bấm chuột phải và chọn "New Alias" để tạo một CNAME đến một host
Bấm và "New Alias " sẽ xuất hiện cửa sổ cho phép khai báo Alias
In the "Alias name" section, enter the desired alias name, and in the "Fully qualified name for target host" section, input the complete name of the host for which you want to create the alias, commonly used for web hosting For example, using www.ktm.vnn.vn IN CNAME ktm.vnn.vn, you will have the website www.ktm.vnn.vn hosted on the server named ktm.vnn.vn.
1.6 Tạo một bản ghi thư điện tử (MX )
Tại cửa sổ quản lý DNS tại tên miền muốn tạo bản ghi MX bấm chuột phải
Sau khi nhấn vào "New Mail Exchanger ", một cửa sổ sẽ xuất hiện cho phép bạn tạo các thông số cho bản ghi MX Trong phần "Host or domain", bạn cần điền tên miền hoặc để trống để kết hợp với phần zone "Parent domain", tạo thành tên miền đầy đủ cho bản ghi thư điện tử Tại mục "Mail server", hãy nhập tên của server thư điện tử, và trong phần "Mail server priority", bạn điền mức độ ưu tiên cho server (số nhỏ hơn có nghĩa là ưu tiên cao hơn).
Tên miền thư điện tử mail.ktm.vnn.vn cho phép tạo các hộp thư như abc@mail.ktm.vnn.vn, được lưu trữ trên máy chủ mr-hn.vnn.vn với mức ưu tiên MX là 10.
1.7 Chuyển quyền quản lý têm miền (delegate)
Tại cửa sổ quản lý DNS tại domain muốn chuyển quyền quản lý bấm chuột phải
Để chuyển quyền quản lý tên miền, hãy nhấn vào "New Delegation " để mở cửa sổ chuyển nhượng Sau đó, nhập tên miền bạn muốn chuyển vào ô "Delegated domain" Ví dụ, nếu bạn nhập abc, điều này có nghĩa là bạn muốn chuyển quyền quản lý cho tên miền abc.ktm.vnn.vn.
Để quản lý tên miền abc.ktm.vnn.vn, bạn cần điền tên của DNS server vào ô "Server name" Sau đó, nhấn "Resolve" để xác định địa chỉ IP của DNS server Cuối cùng, nhấn "Ok" để hoàn tất quá trình Ví dụ, tên miền abc.ktm.vnn.vn sẽ được chuyển quyền quản lý về DNS server vdc-hn01.vnn.vn thông qua bản ghi IN NS.
NÂNG DOMAIN (ACTIVE DIRECTORY)
Active Directory
Mục tiêu: Trình bày được cấu trúc của Active Directory trên windows server
Active Directory (AD) là dịch vụ thư mục quản lý thông tin về tài nguyên mạng, cung cấp khả năng mở rộng và tự điều chỉnh để tối ưu hóa việc quản lý tài nguyên Bài viết sẽ giới thiệu tổng quan về Active Directory và khảo sát các thành phần chính của dịch vụ này.
Active Directory (AD) encompasses various elements, including user data, printers, servers, databases, user groups, computers, and security policies.
1.2 Chức năng của Active Directory
- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính
- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc
Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng)
Duy trì một bảng hướng dẫn hoặc bảng chỉ mục là cách hiệu quả giúp các máy tính trong mạng dễ dàng tìm kiếm tài nguyên trên các máy tính khác trong khu vực.
Chúng ta có khả năng tạo ra các tài khoản người dùng với các mức độ quyền khác nhau, bao gồm quyền toàn quyền trên hệ thống mạng, quyền sao lưu dữ liệu, và quyền tắt máy chủ từ xa.
Việc chia nhỏ miền thành các miền con (subdomain) hoặc các đơn vị tổ chức (OU) cho phép chúng ta ủy quyền cho các quản trị viên bộ phận quản lý hiệu quả từng phần riêng biệt.
Dịch vụ danh bạ (Directory Services) là hệ thống thông tin được lưu trữ trong NTDS.DIT, kết hợp với các chương trình quản lý và khai thác dữ liệu Đây là dịch vụ cơ sở quan trọng, đóng vai trò nền tảng cho việc xây dựng hệ thống Active Directory, mang lại nhiều tính năng vượt trội của Microsoft.
1.3.2 Các thành phần trong Directory Services a Object (đối tượng)
Trong hệ thống cơ sở dữ liệu, các đối tượng như máy in, người dùng mạng, server, máy trạm, thư mục dùng chung và dịch vụ mạng đóng vai trò quan trọng Đối tượng là thành tố căn bản nhất của dịch vụ danh bạ, giúp tổ chức và quản lý thông tin hiệu quả.
Một thuộc tính mô tả đặc điểm của một đối tượng, chẳng hạn như mật khẩu và tên là thuộc tính của người dùng mạng Mỗi đối tượng có danh sách thuộc tính riêng, nhưng cũng có thể chia sẻ một số thuộc tính chung Ví dụ, cả máy in và máy trạm đều có thuộc tính địa chỉ IP Cấu trúc tổ chức của các thuộc tính này được gọi là schema.
Schema định nghĩa danh sách các thuộc tính để mô tả một loại đối tượng, chẳng hạn như máy in, với các thuộc tính như tên, loại PDL và tốc độ Danh sách này tạo thành schema cho lớp đối tượng “máy in” Đặc điểm của schema là tính tuỳ biến, cho phép sửa đổi các thuộc tính để định nghĩa lớp đối tượng Tóm lại, schema có thể được xem như một danh bạ trong Active Directory.
Vật chứa trong Active Directory tương tự như thư mục trong Windows, cho phép lưu trữ các đối tượng và vật chứa khác Mặc dù vật chứa không đại diện cho một thực thể cụ thể, nhưng nó vẫn có các thuộc tính giống như đối tượng.
Có ba loại vật chứa là:
- Domain: khái niệm này được trình bày chi tiết ở phần sau
Một site được định nghĩa là một vị trí cụ thể, giúp phân biệt giữa các vị trí cục bộ và xa xôi Chẳng hạn, công ty XYZ có tổng hành dinh tại San Francisco, một chi nhánh ở Denver và một văn phòng đại diện tại Portland, tất cả được kết nối với tổng hành dinh thông qua Dialup Networking Như vậy, hệ thống mạng của công ty này bao gồm ba site khác nhau.
OU (Organizational Unit) là một loại vật chứa cho phép bạn tổ chức người dùng, nhóm, máy tính và các OU khác Mỗi OU chỉ có thể chứa các đối tượng trong cùng một domain, giúp xây dựng mô hình thứ bậc phản ánh cấu trúc tổ chức Việc sử dụng OU giúp giảm thiểu số lượng domain cần thiết trong hệ thống, tối ưu hóa quản lý và tổ chức tài nguyên.
Dịch vụ Global Catalog cho phép xác định vị trí của các đối tượng mà người dùng có quyền truy cập Khả năng tìm kiếm của dịch vụ này vượt xa những gì mà Windows NT cung cấp, cho phép người dùng không chỉ định vị đối tượng qua tên mà còn thông qua các thuộc tính của đối tượng.
Các thành phần của AD
Mục tiêu: Trình bày được các thành phần của Active Directory
Gồm các thành phần: domains (vùng), organization units (đơn vị tổ chức), trees (hệ vùng phân cấp ) và forests (tập hợp hệ vùng phân cấp)
Hình 3.1: Mô hình cấu trúc AD logic 2.1.1 Organizational Units
Organizational Unit (OU) là đơn vị nhỏ nhất trong hệ thống Active Directory (AD), đóng vai trò như một vật chứa các đối tượng (Object) OU giúp sắp xếp các đối tượng khác nhau nhằm phục vụ cho mục đích quản trị hiệu quả Ngoài ra, OU cũng được thiết lập dựa trên subnet để tối ưu hóa quản lý mạng.
IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau” Việc sử dụng
OU có hai công dụng chính sau:
Trao quyền kiểm soát cho một nhóm người hoặc phụ tá quản trị viên giúp quản lý một tập hợp tài khoản người dùng, máy tính và thiết bị mạng, từ đó giảm bớt gánh nặng công việc cho quản trị viên chính của hệ thống.
- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm
(GPO), các chính sách nhóm này chúng ta sẽ tìm hiểu ở các chương sau
Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active
Directory là công cụ giúp quản lý một tập hợp người dùng, máy tính và tài nguyên chia sẻ với các quy tắc bảo mật chung, từ đó đơn giản hóa việc kiểm soát truy cập vào các máy chủ Domain thực hiện ba chức năng chính: quản lý người dùng, bảo mật thông tin và tối ưu hóa quyền truy cập.
Domain Tree là một cấu trúc phân cấp bao gồm nhiều domain, trong đó domain đầu tiên được gọi là domain root, nằm ở vị trí gốc của cây thư mục Các domain được tạo ra sau sẽ nằm dưới domain root và được gọi là domain con (child domain) Mỗi domain con phải có tên khác biệt để đảm bảo tính duy nhất trong cấu trúc này.
Rừng (Forest) là một tập hợp các Domain Tree, được xây dựng trên một hoặc nhiều Domain Tree và có quan hệ ủy quyền lẫn nhau Ví dụ, khi một công ty như Microsoft thu mua một công ty khác, mỗi công ty thường sở hữu một hệ thống Domain Tree riêng Để quản lý hiệu quả, các Domain Tree này sẽ được hợp nhất thông qua khái niệm rừng.
Trong ví dụ trên, công ty mcmcse.com thu mua được techtutorials.com và xyzabc.com và hình thành rừng từ gốc mcmcse.com
2.2 Cấu trúc AD vật lý
Gồm: sites và domain controllers
Địa bàn (site) là một tập hợp gồm nhiều mạng con được kết nối, giúp việc truyền thông qua mạng trở nên dễ dàng hơn Nó cũng xác định ranh giới vật lý xung quanh các tài nguyên mạng.
Điều khiển vùng (domain controllers) là máy tính chạy Windows Server, lưu trữ bản sao dữ liệu của vùng Mỗi vùng có thể có một hoặc nhiều điều khiển vùng, và mọi thay đổi dữ liệu trên một điều khiển vùng sẽ tự động được cập nhật lên các điều khiển vùng khác trong cùng một vùng.
- Cài đặt và cấu hình được máy điều khiển vùng
- Gia nhập máy trạm vào máy điều khiển vùng (join domain)
3.1 Nâng cấp Server thành Domain Controller(DC)
By default, all newly installed Windows Server 2008 machines operate as standalone servers The DCPROMO program, known as the Active Directory Installation Wizard, is utilized to upgrade a non-domain controller (DC) machine.
Việc chuyển đổi máy chủ stand-alone thành Domain Controller (DC) và ngược lại là hoàn toàn khả thi Đặc biệt, với Windows Server 2008, người dùng có thể thay đổi tên máy tính sau khi đã nâng cấp thành DC.
Trước khi nâng cấp Server thành Domain Controller, bạn cần khai báo đầy đủ các thông số TCP/IP, đặc biệt là địa chỉ DNS Server phải trùng với địa chỉ IP của Server Nếu có khả năng, hãy cài đặt dịch vụ DNS trước khi nâng cấp; nếu không, bạn có thể chọn cài đặt DNS tự động trong quá trình nâng cấp Để chạy chương trình Active Directory Installation Wizard, bạn có thể sử dụng tiện ích Manage Your Server trong Administrative Tools hoặc nhấn Start \ Run và gõ lệnh DCPROMO.
To begin the process, select the Start menu and run the command DCPROMO in the Run dialog box, then click OK This will launch the Active Directory Installation Wizard After clicking Next, a warning dialog will appear indicating that DOS, Windows 95, and WinNT SP3 and earlier versions will be removed from the Active Directory domain based on Windows Server 2008 Click Next to proceed with the installation.
In the Domain Controller Type dialog, select "Domain Controller for a New Domain" and click Next If you wish to add a domain controller to an existing domain, choose "Additional Domain Controller for an Existing Domain." At this point, you can select from three options: "Domain in New Forest" to create the first domain in a new forest, "Child Domain in an Existing Domain Tree" to establish a child domain based on an existing domain tree, or "Domain Tree in an Existing Forest" to create a new domain tree within an existing forest.
Hộp thoại New Domain Name yêu cầu bạn tên DNS đầy đủ của domain mà bạn cần xây dựng
Hộp thoại NetBIOS Domain Name yêu cầu nhập tên domain theo chuẩn NetBIOS để tương thích với Windows NT Mặc định, tên Domain NetBIOS sẽ giống với phần đầu của tên Full DNS, nhưng bạn có thể thay đổi thành tên khác hoặc giữ giá trị mặc định Nhấn Next để tiếp tục.
Hộp thoại Database and Log Locations cho phép bạn chỉ định vị trí lưu trữ cơ sở dữ liệu Active Directory và các tập tin log Bạn có thể chọn vị trí khác hoặc giữ nguyên giá trị mặc định Tuy nhiên, các nhà quản trị mạng khuyến cáo nên đặt tập tin giao dịch (transaction log) trên một đĩa cứng vật lý khác với đĩa chứa cơ sở dữ liệu Active Directory để cải thiện hiệu suất hệ thống Nhấn Next để tiếp tục.
3.2 Gia nhập máy trạm vào Domain
Khi một máy trạm gia nhập vào một miền (domain), nó thiết lập một mối quan hệ tin cậy với các máy chủ Domain Controller trong vùng Sau khi quan hệ tin cậy được thiết lập, việc xác thực người dùng đăng nhập vào mạng trên máy trạm sẽ do các máy điều khiển miền đảm nhiệm.
3.2.2 Các bước cài đặt Đăng nhập cục bộ vào máy trạm với vai trò người quản trị (có thể dùng trực tiếp tài khoản administrator)
Nhấp phải chuột trên biểu tượng My Computer, chọn Properties, hộp thoại System Properties xuất hiện, trong Tab Computer Name, bạn nhấp chuột vào nút
Change Hộp thoại nhập liệu xuất hiện bạn nhập tên miền của mạng cần gia nhập vào mục Member of Domain
JOIN MÁY TRẠM VÀO DOMAIN
Địa chỉ IP của các máy như sau
- Máy Windows server HT-DC (đặt card mạng VMnet 2 trên phần mềm VMware)
- Máy Windows 7 Client (đặt card mạng VMnet 2 trên phần mềm VMware)
Cài đặt và cấu hình AD
Chọn menu Start \ Run, nhập
DCPROMO trong hộp thoại Run, và nhấn nút OK
Khi đó hộp thoại Active Directory
Installation Wizard xuất hiện Bạn nhấn
Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active
Directory dựa trên Windows Server
2008 Bạn chọn Next để tiếp tục
Trong hộp thoại Domain Controller
Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn
Additional domain cotroller for an existing domain.)
Gia nhập máy trạm vào Domain
1 Cài đặt và cấu hình AD
Chọn menu Start \ Run, nhập
DCPROMO trong hộp thoại Run, và nhấn nút OK
Khi đó hộp thoại Active Directory
Installation Wizard xuất hiện Bạn nhấn
Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active
Directory dựa trên Windows Server
2008 Bạn chọn Next để tiếp tục
Trong hộp thoại Domain Controller
Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn
Additional domain cotroller for an existing domain.) Đến đây chương trình cho phép bạn chọn một trong ba lựa chọn sau: chọn
To create your first domain in a new forest, select "Child domain in an existing domain tree" to establish a child domain based on an existing domain tree If you wish to create a new domain tree within an already established forest, choose "Domain tree in an existing forest."
Hộp thoại New Domain Name yêu cầu bạn tên DNS đầy đủ của domain mà bạn cần xây dựng (VD: netclass.edu.vn)
Hộp thoại NetBIOS Domain Name yêu cầu bạn nhập tên miền theo chuẩn NetBIOS để đảm bảo tương thích với các máy Windows NT Mặc định, tên Domain NetBIOS sẽ giống với phần đầu của tên miền.
Full DNS, bạn có thể đổi sang tên khác hoặc chấp nhận giá trị mặc định Chọn
Hộp thoại Database and Log
You can specify the storage location for the Active Directory database and log files, either by choosing a different location or accepting the default value Click "Next" to proceed.
Volume cho phép bạn chỉ định ví trí của thư mục SYSVOL Thư mục này phải nằm trên một NTFS
Volume Sysvol chứa tất cả dữ liệu sẽ được tự động sao chép sang các Domain Controller khác trong miền Bạn có thể giữ giá trị mặc định hoặc chỉ định một vị trí khác trước khi chọn Next để tiếp tục.
Trong hộp thoại Permissions, bạn chọn giá trị Permission Compatible with pre-Windows 2000 servers khi hệ thống có các Server phiên bản trước Windows 2000, hoặc chọn
Server 2008 khi hệ thống của bạn chỉ toàn các Server Windows 2000 và
Administrator Password, bạn sẽ chỉ định mật khẩu dùng trong trường hợp Server phải khởi động vào chế độ Directory Services Restore
Mode Nhấn chọn Next để tiếp tục
Hộp thoại Summary hiển thị tất cả thông tin đã chọn Nếu mọi thông tin đều chính xác, bạn nhấn Next để bắt đầu quá trình cài đặt Nếu có thông tin sai lệch, hãy chọn Back để quay lại các bước trước đó.
Quá trình cài đặt Windows Server 2008 sẽ được hiển thị qua một thư mục, giúp bạn theo dõi các bước đang thực hiện Lưu ý rằng quá trình này có thể mất nhiều thời gian Ngoài ra, bạn cần cung cấp nguồn cài đặt Windows Server 2008 để sao chép các tập tin nếu hệ thống không tìm thấy chúng.
Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory
Bạn nhấn chọn Finish để kết thúc
Để áp dụng các thông tin cài đặt mới, bạn cần khởi động lại máy Hãy nhấn chọn nút "Restart Now" để tiến hành khởi động lại Quá trình nâng cấp sẽ hoàn tất sau bước này.
2 Gia nhập máy trạm vào Domain Đăng nhập cục bộ vào máy trạm với va i trò người quản trị (có thể dùng trực tiếp tài khoản administrator)
Nhấp phải chuột trên biểu tượng My
Computer, chọn Properties, hộp thoại
System Properties xuất hiện, trong Tab
Computer Name, bạn nhấp chuột vào nút Change Hộp thoại nhập liệu xuất hiện bạn nhập tên miền của mạng cần gia nhập vào mục Member of Domain
Máy trạm sẽ tìm đến Domain Controller gần nhất dựa trên tên miền đã khai báo và yêu cầu xác thực bằng tài khoản người dùng Sau khi nhập tên User và Password, nếu xác thực thành công, hệ thống sẽ thông báo cho phép máy trạm gia nhập vào miền và yêu cầu khởi động lại để đăng nhập Khi đăng nhập, hộp thoại Log on to Windows sẽ có thêm mục Log on to, cho phép bạn chọn giữa NETCLASS và This Computer Chọn NETCLASS để đăng nhập vào miền với tài khoản người dùng cấp miền, hoặc chọn This Computer để đăng nhập cục bộ với tài khoản máy.
Bài 4: JOIN MÁY TRẠM VÀO DOMAIN
Cấu trúc cơ sở dữ liệu của hệ thống tên miền bao gồm các thành phần chính như miền gốc, miền cấp một và miền cấp hai, phản ánh sự phân cấp rõ ràng trong quản lý tên miền Hệ thống tên miền hoạt động thông qua việc chuyển đổi tên miền thành địa chỉ IP, cho phép người dùng truy cập vào các trang web một cách dễ dàng Việc cài đặt hệ thống tên miền DNS yêu cầu cấu hình chính xác các bản ghi tên miền và đảm bảo tính ổn định, bảo mật cho toàn bộ hệ thống.
1 Chuẩn bị cho hệ thống mạng:
1 máy server 2008 tên HT-DC đã nâng cấp lên domain controller với domain hoangthongit.com
2 Địa chỉ IP của các máy như sau:
- Máy Windows server HT-DC (đặt card mạng VMnet 2 trên phần mềm VMware)
- Máy Windows 7 Client (đặt card mạng VMnet 2 trên phần mềm VMware)
3 Chi tiết Join client vào domain
Trên máy Client click chuột phải vào Computer, chọn Properties
Sau đó click vào Change settings
Hình 4.3: Giao diện control panel system
Hình 4.4: Hộp thoại System properties
Tick vào Domain, sau đó điền tên domain hoangthongit.com cần join vào Chọn Ok để đồng ý
Hình 4.5: Hộp thoại computer name Điền user và password được phép join client vào domain sau đó OK
Hình 4.6: Hộp thoại Windows security
Sau khi join thành công cần phải khởi động lại, click restart now Đăng nhập vào máy tính với tài khoản của domain
Hình 4.7: Giao diện đăng nhập windows
Hình 4.8: Giao diện control panel system
Bài tập thực hành của học viên
1 Cài đặt và cấu hình Active Directory (AD)
2 Gia nhập máy trạm vào Domain controller
1 Cài đặt và cấu hình AD
Chọn menu Start \ Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK
Khi đó hộp thoại Active Directory Installation Wizard xuất hiện Bạn nhấn Next
Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và
WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active Directory dựa trên
Windows Server 2003 Bạn chọn Next để tiếp tục
In the Domain Controller dialog box, select the option for "Domain Controller for a New Domain" and click Next (If you wish to add a domain controller to an existing domain, you should select the appropriate option.)
Additional domain cotroller for an existing domain.) Đến đây chương trình cho phép bạn chọn một trong ba lựa chọn sau: chọn
To create your first domain in a new forest, select "Child domain in an existing domain tree" if you wish to establish a child domain based on an existing domain tree Alternatively, choose "Domain tree in an existing forest" if you want to create a new domain tree within an already established forest.
Hộp thoại New Domain Name yêu cầu bạn tên DNS đầy đủ của domain mà bạn cần xây dựng (VD: netclass.edu.vn)
Hộp thoại NetBIOS Domain Name, yêu cầu bạn cho biết tên domain theo chuẩn NetBIOS để tương thích với các máy Windows NT Theo mặc định, tên
Domain NetBIOS giống phần đầu của tên Full DNS, bạn có thể đổi sang tên khác hoặc chấp nhận giá trị mặc định
Chọn Next để tiếp tục
Hộp thoại Database and Log
Locations allow you to specify the storage location for the Active Directory database and log files You can either choose a different location or accept the default value Click Next to proceed.
Volume cho phép bạn chỉ định ví trí của thư mục SYSVOL Thư mục này phải nằm trên một NTFS
Tất cả dữ liệu trong thư mục Sysvol sẽ tự động được sao chép sang các Domain Controller khác trong miền Bạn có thể giữ giá trị mặc định hoặc chỉ định vị trí khác trước khi chọn "Next" để tiếp tục.
Trong hộp thoại Permissions, bạn chọn giá trị Permission Compatible with pre-Windows 2000 servers khi hệ thống có các Server phiên bản trước Windows 2000, hoặc chọn
Server 2003 khi hệ thống của bạn chỉ toàn các Server Windows 2000 và
Administrator Password, bạn sẽ chỉ định mật khẩu dùng trong trường hợp
Server phải khởi động vào chế độ
Nhấn chọn Next để tiếp tục
Hộp thoại Summary sẽ hiển thị toàn bộ thông tin mà bạn đã chọn Nếu mọi thông tin đều chính xác, hãy nhấn Next để bắt đầu quá trình cài đặt Nếu có thông tin sai sót, bạn có thể chọn Back để quay lại các bước trước đó.
Active Directory cho bạn biết quá trình cài đặt đang thực hiện những gì Quá trình này sẽ chiếm nhiều thời gian
Chương trình cài đặt cũng yêu cầu bạn cung cấp nguồn cài đặt
Windows Server 2003 để tiến hành sao chép các tập tin nếu tìm không thấy
Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory
Bạn nhấn chọn Finish để kết thúc
Để áp dụng các thông tin cài đặt mới, bạn cần khởi động lại máy Hãy nhấn chọn nút "Restart Now" để tiến hành khởi động lại Quá trình nâng cấp đã hoàn tất.
2 Gia nhập máy trạm vào Domain Đăng nhập cục bộ vào máy trạm với vai trò người quản trị (có thể dùng trực tiếp tài khoản administrator)
Nhấp phải chuột trên biểu tượng My Computer, chọn Properties, hộp thoại System Properties xuất hiện, trong Tab Computer Name, bạn nhấp chuột vào nút
Change Hộp thoại nhập liệu xuất hiện bạn nhập tên miền của mạng cần gia nhập vào mục Member of Domain
TẠO USER, GROUP TRÊN DOMAIN
Định nghĩa tài khoản người dùng và tài khoản nhóm
Mục tiêu: Nêu được định nghĩa tài khoản người dùng, tài khoản nhóm
Tài khoản người dùng là một yếu tố quan trọng đại diện cho người dùng trên mạng, được phân biệt qua chuỗi nhận dạng username Chuỗi nhận dạng này cho phép hệ thống mạng phân biệt giữa các người dùng, giúp họ đăng nhập và truy cập các tài nguyên mạng mà mình có quyền.
1.1.1 Tài khoản người dùng cục bộ
Tài khoản người dùng cục bộ là loại tài khoản chỉ được định nghĩa trên máy tính cục bộ, cho phép người dùng truy cập và logon vào các tài nguyên trên máy tính đó Để truy cập tài nguyên mạng, người dùng cần xác thực với máy domain controller hoặc máy chứa tài nguyên chia sẻ Bạn có thể tạo tài khoản người dùng cục bộ thông qua công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC) Các tài khoản này được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager) trên máy stand-alone server, member server hoặc các máy trạm, với tập tin SAM nằm trong thư mục \Windows\system32\config.
Hình 5.1: Mô hình Local user accounts 1.1.2 Tài khoản người dùng miền
Tài khoản người dùng miền là tài khoản được định nghĩa trên Active Directory, cho phép người dùng đăng nhập vào mạng từ bất kỳ máy trạm nào trong vùng Với tài khoản này, người dùng có thể truy cập các tài nguyên mạng một cách dễ dàng Để tạo tài khoản người dùng miền, bạn có thể sử dụng công cụ quản lý tương ứng.
Active Directory Users and Computers (DSA.MSC) differs from local user accounts, as domain user accounts are stored in the NTDS.DIT file instead of the SAM database files By default, this file is located in the directory designated for Active Directory.
Hình 5.2: Mô hình Domain user accounts 1.1.3 Yêu cầu về tài khoản người dùng
Mỗi username trên Windows Server 2008 có thể dài từ 1 đến 20 ký tự, nhưng khi đăng nhập từ các máy sử dụng hệ điều hành Windows NT 4.0 trở về trước, giới hạn mặc định chỉ là 20 ký tự.
- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau
- Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
Trong một username, có thể sử dụng các ký tự đặc biệt như dấu chấm câu, khoảng trắng, dấu gạch ngang và dấu gạch dưới Tuy nhiên, để tránh rắc rối khi sử dụng trong các kịch bản hay dòng lệnh, nên hạn chế việc sử dụng khoảng trắng, vì những tên này cần được đặt trong dấu ngoặc.
Tài khoản nhóm là một đối tượng đại diện cho một nhóm người, giúp quản lý chung các người dùng và cấp quyền truy cập vào tài nguyên mạng như thư mục chia sẻ và máy in Trong khi tài khoản người dùng có thể đăng nhập vào mạng, tài khoản nhóm chỉ được sử dụng để quản lý và không có quyền đăng nhập Tài khoản nhóm được chia thành hai loại chính: nhóm bảo mật và nhóm phân phối.
Nhóm bảo mật là một công cụ quan trọng trong việc cấp phát quyền hệ thống và quyền truy cập cho người dùng Mỗi nhóm bảo mật được gán một SID, tương tự như tài khoản người dùng Có bốn loại nhóm bảo mật chính: local, domain local, global và universal, mỗi loại có chức năng và phạm vi khác nhau trong quản lý quyền truy cập.
A local group is a type of group found on stand-alone servers, member servers, Windows 2000 Professional, or Windows XP These local groups have significance and functionality limited to the machine on which they reside.
A domain local group is a special type of local group that exists on a Domain Controller These Domain Controllers share a common Active Directory database, which is synchronized across all controllers Consequently, a local group created on one Domain Controller is also available on its peer Domain Controllers, establishing its presence within the domain This is why such groups are referred to as domain local groups Additionally, the groups found in the Built-in section of Active Directory are categorized as domain local groups.
Nhóm toàn cục (global group) là loại nhóm trong Active Directory, được tạo ra trên các Domain Controller, nhằm cấp phát quyền hệ thống và quyền truy cập vượt qua ranh giới miền Nhóm này có thể được đưa vào nhóm local trên các server thành viên trong miền.
Nhóm phổ quát (Universal group) hoạt động tương tự như nhóm toàn cầu (global group), nhưng có khả năng cấp quyền cho các đối tượng trên toàn bộ các miền trong một rừng và giữa các miền có mối quan hệ tin cậy Loại nhóm này mang lại sự tiện lợi hơn so với nhóm toàn cầu và nhóm cục bộ (local group) nhờ khả năng dễ dàng lồng ghép các nhóm với nhau.
1.2.2 Qui tắc gia nhập nhóm
- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong nhóm Machine Local
- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong chính loại nhóm của mình
- Nhóm Global và Universal có thể đặt vào trong nhóm Domain local
Nhóm Global có thể đặt vào trong nhóm Universal
Hình 5.1: Sơ đồ qui tắc gia nhập nhóm
Các tài khoản tạo sẵn
Mục tiêu: Trình bày được các tài khoản tạo sẵn
2.1 Tài khoản người dùng tạo sẵn
Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản mặc định được tạo ra khi cài đặt Windows Server 2008 Đây là tài khoản hệ thống không thể xóa nhưng có thể đổi tên, tuy nhiên, việc đổi tên tài khoản hệ thống phức tạp hơn so với tài khoản do nhà quản trị tạo Tất cả các tài khoản này đều nằm trong Container Users của công cụ Active Directory User and Computer Dưới đây là bảng mô tả các tài khoản người dùng được tạo sẵn.
Tên tài khoản Mô tả
Tài khoản Administrator là một tài khoản đặc biệt với quyền truy cập toàn diện trên máy tính Khi cài đặt Windows Server 2008, bạn có thể thiết lập mật khẩu cho tài khoản này Tài khoản Administrator có khả năng thực hiện mọi tác vụ, bao gồm việc tạo tài khoản người dùng, quản lý nhóm, điều chỉnh tập tin hệ thống và cấu hình máy in.
Tài khoản Guest cho phép người dùng truy cập vào máy tính mà không cần tài khoản và mật khẩu riêng Mặc định, tài khoản này không được kích hoạt và khi sử dụng, quyền truy cập thường bị hạn chế, chẳng hạn như chỉ được phép truy cập một số chức năng nhất định.
Tài khoản ILS là một tài khoản đặc biệt dùng cho dịch vụ hỗ trợ các ứng dụng điện thoại với các tính năng như caller ID, video conferencing, conference calling và faxing Để sử dụng ILS, người dùng cần cài đặt dịch vụ IIS.
Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong dịch vụ IIS trên máy tính có cài IIS
Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình của các ứng dụng trên máy có cài IIS
Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân phối khóa (Key Distribution Center)
TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services
2.2 Tài khoản nhóm Domain Local tạo sẵn
Trong công cụ Active Directory User and Computers, container Users chứa các nhóm universal, nhóm domain local và nhóm global theo quy định mặc định của hệ thống Tuy nhiên, một số nhóm domain local đặc biệt được lưu trữ trong container Built-in và không thể di chuyển sang các OU khác Những nhóm này được gán quyền cố định để phục vụ cho công tác quản trị, và người dùng không có quyền xóa các nhóm đặc biệt này.
Nhóm này được cấp quyền hạn đầy đủ, cho phép các thành viên quản lý toàn bộ hệ thống mạng Trong số đó, nhóm Domain Admins và Enterprise Admins là những thành viên mặc định của nhóm Administrators.
Các thành viên trong nhóm này có quyền thêm, xóa và sửa đổi tài khoản người dùng, tài khoản máy và tài khoản nhóm Tuy nhiên, họ không được phép xóa hoặc sửa đổi các nhóm trong container Built-in và Organizational Unit (OU).
Nhóm này chỉ tồn tại trên các Domain Controller và mặc định không có thành viên nào Các thành viên trong nhóm có quyền đăng nhập cục bộ vào các Domain Controller nhưng không được cấp quyền quản trị các chính sách bảo mật.
Các thành viên trong nhóm này có quyền lưu trữ và phục hồi hệ thống tập tin Nếu hệ thống tập tin là NTFS và họ không có quyền truy cập, họ chỉ có thể sử dụng công cụ Backup để truy cập Để có thể truy cập trực tiếp vào hệ thống tập tin, họ cần được cấp quyền tương ứng.
Nhóm người dùng vãng lai, được gọi là Guest, bị hạn chế quyền truy cập vào các tài nguyên mạng Các tài khoản Guest thường bị khóa mặc định, không cho phép họ trở thành thành viên chính thức của mạng.
Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏ các đối tượng máy in dùng chung trong Active Directory
Các thành viên trong nhóm này có khả năng quản trị các máy chủ trong miền, bao gồm việc cài đặt, quản lý máy in, tạo và quản lý thư mục dùng chung, sao lưu dữ liệu, định dạng đĩa và điều chỉnh giờ hệ thống.
Mặc định mọi người dùng được tạo đều thuộc nhóm này, nhóm này có quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế
Nhóm này được dùng để hỗ trợ việc sao chép danh bạ trong
Directory Services, nhóm này không có thành viên mặc định
Thành viên nhóm này có thể tạo ra các quan hệ tin cậy hướng đến, một chiều vào các rừng Nhóm này không có thành viên mặc định
Thành viên nhóm này có quyền sửa đổi các thông số TCP/IP trên các máy
Nhóm này có quyền truy cập đến tất cả các tài khoản người dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các hệ thống WinNT cũ
Thành viên nhóm này có thể đăng nhập từ xa vào các Domain
Controller trong miền, nhóm này không có thành viên mặc định
Nhóm này cho phép thành viên truy cập từ xa để ghi nhận hiệu năng của các máy Domain Controller, và không có thành viên mặc định trong nhóm.
Thành viên nhóm này có khả năng giám sát từ xa các máy
Ngoài các nhóm như DHCP Users, DHCP Administrators, và DNS Administrators phục vụ cho các dịch vụ cụ thể, chúng ta sẽ tìm hiểu chi tiết trong giáo trình “Dịch Vụ Mạng” Lưu ý rằng hai nhóm Domain Computers và Domain Controllers chủ yếu dành cho tài khoản máy tính, nhưng vẫn cho phép thêm tài khoản người dùng vào hai nhóm này.
2.3 Tài khoản nhóm Global tạo sẵn
Các thành viên trong nhóm Domain Admins có quyền quản trị toàn bộ máy tính trong miền, vì khi gia nhập miền, các máy chủ thành viên và máy trạm (Windows 2000 Professional, Windows XP) tự động thêm nhóm này vào nhóm cục bộ Administrators.
Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của nhóm này Mặc định nhóm này là thành viên của nhóm cục bộ
Users trên các máy server thành viên và máy trạm
Thành viên nhóm này có quyền sửa đổi chính sách nhóm của miền, theo mặc định tài khoản administrator miền là thành viên của nhóm này
Nhóm Admins là một nhóm toàn quyền trong rừng, có khả năng quản lý tất cả các miền Nhóm này chỉ xuất hiện trong miền gốc của rừng và mặc định là thành viên của nhóm administrators trên các Domain Controller trong rừng.
Nhóm universal này cũng chỉ xuất hiện trong miền gốc của rừng, thành viên của nhóm này có thể chỉnh sửa cấu trúc tổ chức (schema) của Active Directory
2.4 Các nhóm tạo sẵn đặc biệt
Quản lý tài khoản người dùng và nhóm cục bộ
Mục tiêu: - Sử dụng được các công cụ tạo và quản trị tài khoản người dùng và nhóm cục bộ
3.1 Công cụ quản lý tài khoản người dùng cục bộ
Để tổ chức và quản lý người dùng cục bộ, bạn có thể sử dụng công cụ Local Users and Groups Công cụ này cho phép bạn tạo, xóa, sửa các tài khoản người dùng và thay đổi mật khẩu Có hai phương thức để truy cập vào công cụ Local Users and Groups.
- Dùng như một MMC (Microsoft Management Console) snap-in
- Dùng thông qua công cụ Computer Management
Các bước dùng để chèn Local Users and Groups snap-in vào trong MMC:
- Chọn Start \ Run, nhập vào hộp thoại MMC và ấn phím Enter để mở cửa sổ
- Chọn Console \ Add/Remove Snap-in để mở hộp thoại Add/Remove Snap-in
Click the Add button to open the Add Standalone Snap-in dialog Select Local Users and Groups, then click Add When the Choose Target Machine dialog appears, select Local Computer and click Finish to return to the Add Standalone Snap-in dialog.
- Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove Snap-in
- Nhấp chuột vào nút OK, ta sẽ nhìn thấy Local Users and Groups snap-in đã chèn vào MMC như hình sau
Để lưu Console, bạn hãy chọn Console \ Save, sau đó nhập đường dẫn và tên file cần lưu Để dễ dàng quản lý sau này, bạn có thể lưu Console trực tiếp trên Desktop.
Nếu máy tính của bạn không hỗ trợ cấu hình MMC, cách nhanh nhất để truy cập công cụ Local Users and Groups là thông qua Computer Management Bạn chỉ cần nhấp chuột phải vào My Computer, chọn Manage từ menu hiện ra, và cửa sổ Computer Management sẽ mở ra Trong mục System Tools, bạn sẽ tìm thấy Local Users and Groups.
- Cách khác để truy cập đến công cụ Local Users and Groups là vào Start \ Programs\Administrative Tools \ Computer Management
3.2 Các thao tác cơ bản trên tài khoản người dùng cục bộ
Trong công cụ Local Users and Groups, để tạo người dùng mới, bạn cần nhấp chuột phải vào mục Users và chọn New User Hộp thoại New User sẽ hiển thị, yêu cầu bạn nhập các thông tin cần thiết, trong đó mục Username là thông tin quan trọng và bắt buộc.
Nếu bạn chắc chắn rằng tài khoản người dùng sẽ không bao giờ cần sử dụng lại, hãy xóa nó Để thực hiện việc này, mở công cụ Local Users and Groups, chọn tài khoản cần xóa, nhấp chuột phải và chọn Delete, hoặc vào thực đơn Action và chọn Delete.
Khi bạn chọn xóa tài khoản, hệ thống sẽ hiển thị hộp thoại xác nhận để đảm bảo bạn thực sự muốn thực hiện hành động này, nhằm tránh việc xóa nhầm Lưu ý rằng sau khi đã xóa, tài khoản người dùng sẽ không thể phục hồi được.
Khi một tài khoản không được sử dụng trong thời gian dài, bạn nên khóa tài khoản đó để đảm bảo an toàn và bảo mật hệ thống Việc xóa tài khoản sẽ khiến bạn không thể phục hồi lại, do đó, việc tạm khóa là lựa chọn hợp lý Để thực hiện điều này, trong công cụ Local Users and Groups, hãy nhấp đúp chuột vào người dùng cần khóa để mở hộp thoại Properties của tài khoản.
Trong Tab General, đánh dấu vào mục Account is disabled
Bạn có thể dễ dàng đổi tên tài khoản người dùng và điều chỉnh thông tin tài khoản thông qua chức năng này Ưu điểm của việc thay đổi tên người dùng là SID của tài khoản vẫn giữ nguyên Để thực hiện, bạn mở công cụ Local Users and Groups, chọn tài khoản cần đổi tên, nhấp chuột phải và chọn Rename.
Để đổi mật khẩu của người dùng, bạn hãy mở công cụ Local Users and Groups, chọn tài khoản người dùng cần thay đổi, nhấp chuột phải và chọn Reset password.
Quản lý tài khoản người dùng và nhóm trên active directory
Mục tiêu: - Sử dụng được các công cụ tạo và quản trị tài khoản người dùng và nhóm cục bộ
4.1 Tạo mới tài khoản người dùng
Bạn có thể sử dụng công cụ Active Directory User and Computers trong Administrative Tools trên máy Domain Controller để tạo tài khoản người dùng miền Công cụ này cho phép quản lý tài khoản người dùng từ xa, kể cả trên các máy trạm không sử dụng hệ điều hành Server như WinXP và Win2K Pro, miễn là cài đặt bộ công cụ Admin Pack Bộ công cụ này có sẵn trên Server trong thư mục \Windows\system32\ADMINPAK.MSI Để tạo một tài khoản người dùng trên Active Directory, bạn cần thực hiện các bước cụ thể.
Chọn Start\ Programs\ Administrative Tools\ Active Directory Users and
Cửa sổ Active Directory Users and Computers xuất hiện, bạn nhấp phải chuột vào mục Users, chọn New \ User
Hộp thoại New Object-User cho phép bạn nhập tên mô tả người dùng và tên tài khoản logon Giá trị Full Name sẽ tự động phát sinh từ First Name và Last Name, nhưng có thể thay đổi Quan trọng nhất là logon name (username), là duy nhất cho mỗi tài khoản Trong Windows 2000 và 2008, Microsoft giới thiệu hậu tố UPN (Universal Principal Name), ví dụ “@netclass.edu.vn”, để tạo thành tên username đầy đủ cho việc chứng thực Hộp thoại cũng hỗ trợ đặt tên username cho hệ thống cũ (pre-Windows 2000) Sau khi nhập xong thông tin, nhấp vào nút Next để tiếp tục.
Hộp thoại thứ hai cho phép bạn nhập mật khẩu tài khoản người dùng và chọn các tùy chọn liên quan như cho phép đổi mật khẩu, yêu cầu đổi mật khẩu lần đăng nhập đầu tiên, hoặc khóa tài khoản Chúng ta sẽ tìm hiểu chi tiết về các tùy chọn này ở phần tiếp theo.
Hộp thoại cuối cùng hiển thị thông tin đã cấu hình cho người dùng Nếu mọi thông tin đều chính xác, hãy nhấp vào nút Finish để hoàn tất Nếu cần chỉnh sửa, hãy nhấp vào nút Back để quay lại các hộp thoại trước.
4.2 Các thuộc tính của tài khoản người dùng
To manage user account attributes, one can utilize the Active Directory Users and Computers tool by navigating to Start > Programs > Administrative Tools > Active Directory Users and Computers From there, select the Users folder and double-click on the desired user account to access the Properties dialog box, which contains 12 main tabs for examination Additionally, you can group multiple user accounts using the Shift or Ctrl keys to edit their information simultaneously.
Hình 5.2: Hộp thoại người dùng 4.2.1 Các thông tin mở rộng của người dùng
Tab General lưu trữ thông tin cơ bản của người dùng mà bạn đã cung cấp khi tạo tài khoản mới Ngoài ra, bạn có thể bổ sung thêm thông tin như số điện thoại, địa chỉ email và liên kết đến trang web cá nhân của mình.
Tab Address cho phép người dùng khai báo thông tin chi tiết về địa chỉ tài khoản, bao gồm đường, thành phố, mã vùng và quốc gia Trong khi đó, Tab Telephones cho phép người dùng nhập các số điện thoại liên quan đến tài khoản của mình.
Tab Organization cho phép bạn khai báo các thông tin người dùng về: chức năng của công ty, tên phòng ban trực thuộc, tên công ty …
Tab Account cho phép quản lý username, quy định giờ logon, máy trạm sử dụng và chính sách tài khoản cho người dùng Để điều chỉnh giờ logon vào mạng, người dùng cần nhấn nút Logon Hours, sau đó hộp thoại Logon Hours sẽ xuất hiện Mặc định, tất cả người dùng được phép truy cập mạng 24/7.
Note that by default, users are not automatically logged off when their login hours expire; however, you can modify this setting in the Group Policy under Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options by adjusting the "Automatically Log Off Users When Logon Hours Expire" option Additionally, you can manage logoff information using either the Domain Security Policy or Local Security Policy, depending on your specific context.
Khi chọn máy trạm để truy cập vào mạng, bạn cần nhấp vào nút "Log On To" để mở hộp thoại "Logon Workstations" Hộp thoại này cho phép bạn xác định quyền truy cập của người dùng, có thể cho phép họ đăng nhập từ tất cả các máy tính trong mạng hoặc giới hạn quyền truy cập chỉ từ một số máy tính nhất định.
Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản người dùng:
User must change password at next logon
Người dùng phải thay đổi mật khẩu lần đăng nhập kế tiếp, sau đó mục này sẽ tự động bỏ chọn
Nếu được chọn thì ngăn không cho người dùng tùy ý thay đổi mật khẩu
Password never expires Nếu được chọn thì mật khẩu của tài khoản này không bao giờ hết hạn
Store password using reversible encryption
Chỉ áp dụng tùy chọn này đối với người dùng đăng nhập từ các máy Apple
Nếu được chọn thì tài khoản này tạm thời bị khóa, không sử dụng được
Smart card is required for interactive login
Tùy chọn này cho phép người dùng đăng nhập vào mạng bằng thẻ thông minh (smart card), chỉ cần nhập một mã PIN thay vì username và password.
Chỉ áp dụng cho các tài khoản dịch vụ nào cần giành được quyền truy cập vào tài nguyên với vai trò những tài khoản người dùng khác
Account is sensitive and cannot be delegated
Sử dụng tùy chọn này trên tài khoản khách vãng lai hoặc tạm thời để đảm bảo rằng tài khoản đó không bị đại diện bởi tài khoản khác.
Use DES encryption types for this account
Nếu được chọn thì hệ thống sẽ hỗ trợ Data Encryption
Standard (DES) với nhiều mức độ khác nhau
Nếu được chọn hệ thống sẽ cho phép tài khoản này dùng một kiểu thực hiện giao thức Kerberos khác với kiểu của
Mục cuối cùng trong Tab này quy định thời gian hết hạn của tài khoản người dùng Nếu chọn "Never" trong mục "Account Expires", tài khoản sẽ không bị hết hạn Ngược lại, nếu chọn "End of: ngày tháng", tài khoản sẽ bị tạm khóa vào ngày đã chỉ định.
Tab Profile cho phép khai báo đường dẫn đến Profile của tài khoản người dùng hiện tại, thiết lập tập tin logon script tự động thi hành khi người dùng đăng nhập và khai báo thư mục home folder Lưu ý rằng các tùy chọn trong Tab Profile chủ yếu phục vụ cho các máy trạm trước Windows 2000, trong khi các máy trạm từ phiên bản này trở đi có thể có những tính năng khác.
Win2K trở về sau như: Win2K Pro, WinXP, Windows Server 2008 thì chúng ta có thể cấu hình các lựa chọn này trong Group Policy
Hình 5.3 Hộp thoại Tab profile
User Profiles là thư mục lưu trữ thông tin cá nhân hóa cho từng người dùng trên Windows Server 2008, bao gồm các thiết lập về màn hình Desktop, nội dung menu Start, phối màu sắc, vị trí sắp xếp icon và biểu tượng chuột.
Trong Windows Server 2008 có ba loại Profile:
Local Profile: là profile của người dùng được lưu trên máy cục bộ và họ tự cấu hình trên profile đó
THIẾT LẬP CÁC THUỘC TÍNH CHO CÁC USER, GROUP TRONG
Cấu hình hệ thống tâp tin
- Phân biệt được các loại định dạng hệ thống tập tin trên đĩa cứng
Hệ thống tập tin quản lý việc lưu trữ và định vị các tập tin trên đĩa cứng
Windows Server 2003 hỗ trợ ba hệ thống tập tin khác nhau: FAT16, FAT32 và
Nếu bạn muốn tận dụng các tính năng như bảo mật cục bộ, nén và mã hóa tệp tin, NTFS là lựa chọn tối ưu Bảng dưới đây sẽ cung cấp thông tin về khả năng của từng hệ thống tập tin trên Windows Server 2003.
Khả năng FAT16 FAT32 NTFS
Hệ điều hành hỗ trợ Hầu hết các hệ điều hành
Hỗ trợ tên tập tin dài
256 ký tự trên Windows 256 ký tự 256 ký tự
Sử dụng hiệu quả đĩa Không Có Có
Hỗ trợ nén đĩa Không Không Có
Hỗ trợ hạn ngạch Không Không Có
Hỗ trợ mã hoá Không Không Có
Hỗ trợ bảo mật cục bộ
Hỗ trợ bảo mật trên mạng
Kích thước Volume tối đa được hỗ trợ
Trên Windows Server 2003, Windows 2000 và NT, bạn có thể sử dụng lệnh CONVERT để chuyển đổi hệ thống tập tin từ FAT16 hoặc FAT32 sang NTFS Cú pháp của lệnh CONVERT cho phép thực hiện quá trình chuyển đổi này một cách hiệu quả.
Cấu hình đĩa lưu trữ
- Phân biệt được các loại đĩa lưu trữ trên windows server
Windows Server 2003 hỗ trợ hai loại đĩa lưu trữ: basic và dynamic
Bài viết đề cập đến hai loại phân vùng trên đĩa cứng: phân vùng chính (primary) và phân vùng mở rộng (extended) Phân vùng đầu tiên được tạo ra trên đĩa được gọi là phân vùng chính, và không gian được cấp cho phân vùng này được sử dụng hoàn toàn Mỗi ổ đĩa vật lý có tối đa bốn phân vùng, cho phép tạo ra ba phân vùng chính và một phân vùng mở rộng Qua phân vùng mở rộng, người dùng có thể tạo ra nhiều phân vùng logic.
2.2 Dynamic storage Đây là một tính năng mới của Windows Server 2003 Đĩa lưu trữ dynamic chia thành các volume dynamic Volume dynamic không chứa partition hoặc ổ đĩa logic, và chỉ có thể truy cập bằng Windows Server 2003 và Windows 2000 Windows Server 2003/ Windows 2000 hỗ trợ năm loại volume dynamic: simple, spanned, striped, mirrored và RAID-5 Ưu điểm của công nghệ Dynamic storage so với công nghệ Basic storage:
- Cho phép ghép nhiều ổ đĩa vật lý để tạo thành các ổ đĩa logic (Volume)
- Cho phép ghép nhiều vùng trống không liên tục trên nhiều đĩa cứng vật lý để tạo ổ đĩa logic
- Có thể tạo ra các ổ đĩa logic có khả năng dung lỗi cao và tăng tốc độ truy xuất…
Không gian lưu trữ được lấy từ một đĩa động duy nhất, có thể là liên tục hoặc không liên tục Hình ảnh dưới đây minh họa một đĩa vật lý được chia thành hai phân vùng đơn giản.
Volume spanned bao gồm từ một đến 32 đĩa dynamic, cho phép mở rộng kích thước của volume khi cần thiết Dữ liệu được ghi theo thứ tự từ đĩa này sang đĩa khác, giúp quản trị viên dễ dàng tăng dung lượng khi ổ đĩa hiện tại sắp đầy bằng cách thêm một đĩa mới.
Volume spanned không cải thiện hiệu năng sử dụng do dữ liệu được ghi tuần tự Nhược điểm lớn nhất của loại volume này là nếu một đĩa bị hỏng, toàn bộ dữ liệu trên volume sẽ không thể truy xuất.
Lưu trữ dữ liệu trên các dãy (strip) bằng nhau trên một hoặc nhiều đĩa vật lý (tối đa 32) cho phép thực hiện nhiều tác vụ I/O đồng thời, tăng tốc độ truy xuất dữ liệu Người quản trị mạng thường sử dụng volume striped để kết hợp dung lượng của nhiều ổ đĩa vật lý thành một đĩa logic, đồng thời cải thiện hiệu suất truy xuất.
Nhược điểm chính của volume striped là nếu một ổ đĩa bị hỏng thì dữ liệu trên toàn bộ volume mất giá trị
Volume mirrored là hai bản sao của một ổ đĩa đơn giản, bao gồm một ổ đĩa chính và một ổ đĩa phụ, giúp cung cấp khả năng dung lỗi tốt Khi dữ liệu được ghi lên đĩa chính, nó cũng được sao chép lên đĩa phụ, đảm bảo rằng nếu một đĩa bị hỏng, ổ đĩa còn lại vẫn hoạt động bình thường mà không làm gián đoạn quá trình truy xuất dữ liệu Tuy nhiên, nhược điểm của phương pháp này là bộ điều khiển đĩa phải ghi dữ liệu lần lượt lên hai đĩa, dẫn đến giảm hiệu năng Để cải thiện tốc độ ghi và khả năng dung lỗi, bạn có thể sử dụng duplexing, trong đó cần một bộ điều khiển đĩa riêng cho ổ đĩa thứ hai.
Nhược điểm chính của phương pháp này là chi phí cao Để có một volume 4GB bạn phải tốn đến 8GB cho hai ổ đĩa
RAID-5 tương tự như volume striped nhưng bổ sung thêm thông tin kiểm lỗi parity Khi một ổ đĩa bị hỏng, thông tin parity trên ổ đĩa khác sẽ hỗ trợ phục hồi dữ liệu Volume RAID-5 yêu cầu ít nhất ba ổ đĩa và tối đa là 32 Kỹ thuật này nổi bật với khả năng dung lỗi cao và tốc độ truy xuất nhanh nhờ vào việc sử dụng nhiều kênh I/O.
Sử dụng chương trình Disk Manager
- Sử dụng được công cụ Disk Manager để quản lý đĩa cứng
Disk Manager là một công cụ đồ họa giúp quản lý đĩa và volume trên Windows 2000 và Windows Server 2003 Để sử dụng đầy đủ các chức năng của chương trình, người dùng cần đăng nhập bằng tài khoản Administrator và truy cập vào menu Start.
\ Programs \ Administrative Tools \ Computer Management Sau đó mở rộng mục Storage và chọn Disk Management Cửa sổ Disk Management xuất hiện như sau:
3.1 Xem thuộc tính của đĩa
Nhấp phải chuột lên ổ đĩa vật lý muốn biết thông tin và chọn Properties Hộp thoại Disk Properties xuất hiện như sau: Hộp thoại cung cấp các thông tin:
- Số thứ tự của ổ đĩa vật lý
- Loại đĩa (basic, dynamic, DVD- ROM, DVD, đĩa chuyển dời được, hoặc unknown)
- Trạng thái của đĩa (online hoặc offline)
- Lượng không gian chưa cấp phát
- Loại thiết bị phần cứng
- Nhà sản xuất thiết bị
- Danh sách các volume đã tạo trên đĩa
3.2 Xem thuộc tính của volume hoặc đĩa cục bộ
Trên ổ đĩa dynamic, bạn sử dụng các volume, trong khi ổ đĩa basic sử dụng các đĩa cục bộ Cả volume và đĩa cục bộ đều có chức năng tương tự nhau Để kiểm tra thuộc tính của một đĩa cục bộ, bạn chỉ cần nhấp chuột phải vào đĩa đó và chọn "Properties", sau đó hộp thoại Local Disk Properties sẽ xuất hiện.
Cung cấp thông tin chi tiết về nhãn đĩa, loại, hệ thống tập tin, dung lượng đã sử dụng, dung lượng còn trống và tổng dung lượng Nút Disk Cleanup được sử dụng để mở chương trình dọn dẹp ổ đĩa.
Disk Cleanup dùng để xoá các tập tin không cần thiết, giải phóng không gian đĩa
Nhấn nút "Check Now" để kích hoạt chương trình Check Disk, giúp kiểm tra lỗi khi không thể truy xuất đĩa hoặc khởi động máy không đúng cách Nút "Backup Now" mở chương trình Backup Wizard, hướng dẫn bạn sao lưu các tập tin và thư mục trên đĩa Nút "Defragment Now" khởi động chương trình Disk Defragment, giúp dồn các tập tin trên đĩa thành một khối liên tục, cải thiện hiệu suất truy xuất đĩa.
Liệt kê các ổ đĩa vật lý Windows Server
2003 nhận diện được Bên dưới danh sách liệt kê các thuộc tính của ổ đĩa được chọn
Tùy chọn chia sẻ ổ đĩa cục bộ cho phép người dùng quyết định việc chia sẻ hay không Theo mặc định, mọi ổ đĩa cục bộ đều được chia sẻ một cách ẩn danh, với ký hiệu $ sau tên chia sẻ.
Chỉ xuất hiện khi đĩa cục bộ này sử dụng hệ thống tập tin NTFS Dùng để thiết lập quyền truy cập lên đĩa Theo mặc định, nhóm
Everyone được toàn quyền trên thư mục gốc của đĩa
Chỉ xuất hiện khi sử dụng NTFS Dùng để quy định lượng không gian đĩa cấp phát cho người dùng
Shadow Copies là dịch vụ cho phép người dùng truy cập và khôi phục các phiên bản trước của tập tin đã lưu, thông qua tính năng Previous Versions trên máy trạm.
3.3 Bổ sung thêm một ổ đĩa mới
3.3.1 Máy tính không hỗ trợ tính năng
Để lắp ổ đĩa mới vào máy tính, bạn cần tắt máy trước Sau khi khởi động lại, chương trình Disk Management sẽ tự động nhận diện ổ đĩa và yêu cầu bạn ghi một chữ ký đặc biệt lên ổ đĩa, giúp Windows Server 2003 nhận diện ổ đĩa này Mặc định, ổ đĩa mới sẽ được cấu hình là đĩa dynamic.
3.3.2 Máy tính hỗ trợ “hot swap”
Bạn có thể lắp thêm ổ đĩa mới mà không cần tắt máy, chỉ cần làm theo hướng dẫn của nhà sản xuất Sau đó, sử dụng chức năng Action Rescan Disk trong Disk Manager để phát hiện ổ đĩa mới này.
Nếu bạn có không gian chưa được cấp phát trên đĩa basic, bạn có thể tạo thêm partition mới Còn nếu sử dụng đĩa dynamic, bạn có thể tạo thêm volume mới Bài viết này sẽ hướng dẫn bạn cách sử dụng tính năng Create.
Partition Wizard để tạo một partition mới:
Nhấp phải chuột lên vùng trống chưa cấp phát của đĩa basic và chọn Create Logical Drive
Xuất hiện hộp thoại Create Partition Wizard Nhấn nút Next trong hộp thoại này Trong hộp thoại Select Partition
Type, chọn loại partition mà bạn định tạo Chỉ có những loại còn khả năng tạo mới được phép chọn
(tuỳ thuộc vào ổ đĩa vật lý của bạn) Sau khi chọn loại partition xong nhấn Next để tiếp tục
Tiếp theo, hộp thoại Specify
Partition Size yêu cầu bạn cho biết dung lượng định cấp phát Sau khi chỉ định xong, nhấn Next
Trong hộp thoại Assign Drive
Bạn có thể đặt ký tự ổ đĩa cho partition hoặc gắn nó vào một thư mục rỗng Nếu chọn gắn vào thư mục rỗng, bạn có thể tạo ra nhiều partition mới Sau khi hoàn tất quyết định, nhấn Next để tiếp tục.
Hộp thoại Format Partition yêu cầu bạn đưa ra quyết định về việc định dạng partition Bạn cần xác định hệ thống tập tin, kích thước đơn vị cấp phát, và nhãn của partition (volume label) Ngoài ra, bạn cũng cần quyết định xem có thực hiện định dạng nhanh hay không, và liệu có nén tập tin và thư mục hay không Sau khi hoàn tất các lựa chọn, nhấn Next để tiếp tục.
Hộp thoại Completing the Create
Partition Wizard summarizes the actions to be performed, and you must verify their accuracy before clicking Finish to initiate the process.
3.5 Thay đổi ký tự ổ đĩa hoặc đường dẫn
Muốn thay đổi ký tự ổ đĩa cho partition/volume nào, bạn nhấp phải chuột lên volume đó và chọn Change Drive Letter and
Path Hộp thoại Change Drive Letter and Path xuất hiện
In the dialog box, click the Edit button to open the Edit Drive Letter and Path window From there, select a new drive letter for the partition or volume from the Assign a drive letter list Finally, confirm the changes you have made.
3.6 Xoá partition/volume Để tổ chức lại một ổ đĩa hoặc huỷ các dữ liệu có trên một partition/volume, bạn có thể xoá nó đi Để thực hiện, trong cửa sổ Disk Manager, bạn nhấp phải chuột lên partition/volume muốn xoá và chọn Delete Partition (hoặc Delete Volume) Một hộp thoại cảnh báo xuất hiện, thông báo dữ liệu trên partition hoặc volume sẽ bị xoá và yêu cầu bạn xác nhận lại lần nữa thao tác này
3.7.1 Chuyển chế độ lưu trữ Để sử dụng được cơ chế lưu trữ Dynamic, bạn phải chuyển đổi các đĩa cứng vật lý trong hệ thống thành Dynamic Disk
Management, bạn nhấp phải chuột trên các ổ đĩa bên của sổ bên phải và chọn Convert to
Để chuyển đổi sang chế độ Dynamic Disk, bạn cần đánh dấu tất cả các đĩa cứng vật lý muốn chuyển đổi và chọn OK Sau khi quá trình chuyển đổi hoàn tất, hệ thống sẽ yêu cầu bạn khởi động lại máy để áp dụng chế độ lưu trữ mới.
Management, bạn nhấp phải chuột lên vùng trống của đĩa cứng cần tạo Volume, sau đó chọn New Volume
Tiếp theo, bạn chọn loại Volume cần tạo Trong trường hợp này chúng ta chọn Spanned
Bạn chọn những đĩa cứng dùng để tạo
Volume này, đồng thời bạn cũng nhập kích thước mà mỗi đĩa giành ra để tạo
Volume Chú ý đối với loại Volume này thì kích thước của các đĩa giành cho Volume có thể khác nhau
Bạn gán ký tự ổ đĩa cho Volume
Bạn định dạng Volume mà bạn vừa tạo để có thể chứa dữ liệu Đến đây đã hoàn thành việc tạo
Volume, bạn có thể lưu trữ dữ liệu trên Volume này theo cơ chế đã trình bày ở phần lý thuyết
CHIA SẺ TÀI NGUYÊN MẠNG CHO CÁC USER, GROUP
Tạo thư mục dùng chung
- Chia sẻ được thư mục dùng chung;
- Trình bày được quyền truy thư mục dùng chung
1.1 Chia sẻ thư mục dùng chung
Tài nguyên chia sẻ là các tài nguyên trực tuyến mà người dùng có thể truy cập và sử dụng qua mạng Để chia sẻ một thư mục dùng chung, bạn cần đăng nhập vào hệ thống với quyền quản trị hoặc là thành viên của nhóm Server Operators Sau đó, trong Explorer, bạn nhấp chuột phải vào thư mục và chọn Properties Hộp thoại Properties sẽ xuất hiện, và bạn cần chọn Tab Sharing để cấu hình các tùy chọn chia sẻ.
Hình 7.1: Hộp thoại data properties
Do not share this folder
Chỉ định thư mục này chỉ được phép truy cập cục bộ
Chia sẻ thư mục này cho phép truy cập cục bộ và qua mạng Tên thư mục sẽ hiển thị cho người dùng mạng để họ có thể dễ dàng truy cập.
Comment Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung này
User Limit cho phép khai báo số lượng kết nối tối đa vào thư mục tại một thời điểm Permissions giúp thiết lập danh sách quyền truy cập mạng cho người dùng Offline Settings cho phép lưu trữ tạm thời tài liệu trong thư mục khi làm việc ở chế độ Offline.
Để cấp quyền truy cập qua mạng cho người dùng, bạn cần sử dụng Share Permissions Share Permissions chỉ áp dụng khi người dùng truy cập từ xa, không có tác dụng khi truy cập cục bộ Điều này khác với NTFS Permissions, vốn quản lý quyền truy cập người dùng ở cấp độ truy xuất đĩa.
Permissions, chứa danh sách các quyền sau:
- Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ
- Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ
Người dùng có thể xem và thực hiện các tập tin trong thư mục chia sẻ Để cấp quyền cho người dùng, hãy nhấp vào nút Thêm.
Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK
Hình 7.3: Hộp thoại Select users or groups
Trong hộp thoại xuất hiện, muốn cấp quyền cho người dùng bạn đánh dấu vào mục Allow, ngược lại khóa quyền thì đánh dấu vào mục Deny
1.3 Chia sẻ thư mục dùng lệnh netshare
The functionality of the command includes creating, deleting, and displaying shared resources The syntax for the command is as follows: `net share sharename`, `net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]`, and `net share {sharename | drive:path} /delete` Key parameters include specifying the sharename, defining the drive path, setting user limits, and adding remarks for better resource identification.
- [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục bộ
Sharename là tên trên mạng của tài nguyên chia sẻ Khi sử dụng lệnh net share kèm theo tham số sharename, hệ thống sẽ hiển thị thông tin chi tiết về tài nguyên dùng chung này.
- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ
- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này
- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này
- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này
- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại.
Quản lý các thư mục dùng chung
- Trình bày được quyền truy thư mục dùng chung
2.1 Xem các thư mục dùng chung
Mục Shared Folders trong công cụ Computer Management cho phép người dùng tạo và quản lý các thư mục dùng chung trên máy tính Để xem các thư mục dùng chung, bạn cần chọn mục Shares Lưu ý rằng nếu tên chia sẻ (share name) của thư mục dùng chung kết thúc bằng dấu $, thì thư mục này sẽ bị ẩn và không thể tìm thấy khi tìm kiếm qua My Network Places hoặc duyệt các tài nguyên mạng.
Hình 7.3: Hộp thoại Computer management
2.2 Xem các phiên làm việc trên thư mục dùng chung
Để xem tất cả người dùng đang truy cập vào các thư mục dùng chung trên máy tính, bạn cần chọn mục Session Mục này cung cấp thông tin chi tiết về các phiên làm việc của người dùng.
- Tên tài khoản người dùng đang kết nối vào tài nguyên chia sẻ
- Tên máy tính có người dùng kết nối từ đó
- Hệ điều hành mà máy trạm đang sử dụng để kết nối
- Số tập tin mà người dùng đang mở
- Thời gian kết nối của người dùng
- Thời gian chờ xử lý của kết nối
- Phải là truy cập của người dùng Guest không?
Hình 7.4: Hộp thoại Computer management
2.3 Xem các tập tin đang mở trong các thư mục dùng chung
Muốn xem các tập đang mở trong các thư mục dùng chung bạn nhấp chuột vào mục
Open Files Mục Open Files cung cấp các thông tin sau:
- Đường dẫn và tập tin hiện đang được mở
- Tên tài khoản người dùng đang truy cập tập tin đó
- Hệ điều hành mà người dùng sử dụng để truy cập tập tin
- Trạng thái tập tin có đang bị khoá hay không
- Trạng thái mở sử dụng tập tin (Read hoặc Write)
Hình 7.5: Hộp thoại Computer management
Quyền truy cập NTFS
- Phân được quyền truy cập dữ liệu dùng trong hệ thống mạng
Có hai loại hệ thống tập tin được sử dụng cho partition và volume cục bộ là FAT (bao gồm FAT16 và FAT32) và NTFS Trong khi FAT không hỗ trợ bảo mật nội bộ, NTFS lại có khả năng bảo vệ dữ liệu, cho phép kiểm soát quyền truy cập của người dùng Nếu ổ cứng được định dạng FAT, bất kỳ ai cũng có thể truy cập và thao tác trên các tệp, trong khi định dạng NTFS yêu cầu người dùng phải có quyền truy cập để xem dữ liệu Windows Server 2008 sử dụng danh sách kiểm soát truy cập (ACL) để quản lý quyền truy cập cho các đối tượng cục bộ và trên Active Directory, với mỗi ACL có thể chứa nhiều mục nhập kiểm soát truy cập (ACE) đại diện cho từng người dùng hoặc nhóm người dùng.
3.1 Các quyền truy cập của NTFS
Duyệt các thư mục và thi hành các tập tin chương trình trong thư mục
Chức năng "List Folder/Read Data" cho phép người dùng liệt kê nội dung của thư mục và đọc dữ liệu từ các tập tin bên trong, trong khi "Read Attributes" cung cấp khả năng đọc các thuộc tính của các tập tin và thư mục.
Attributes Đọc các thuộc tính mở rộng của các tập tin và thư mục
Create File/Write Data Tạo các tập tin mới và ghi dữ liệu lên các tập tin này
Data Tạo thư mục mới và chèn thêm dữ liệu vào các tập tin Write Attributes Thay đổi thuộc tính của các tập tin và thư mục
Thay đổi thuộc tính mở rộng của các tập tin và thư mục
Files Xóa thư mục con và các tập tin
Delete Xóa các tập tin
Read Permissions Đọc các quyền trên các tập tin và thư mục
Change Permissions Thay đổi quyền trên các tập tin và thư mục
Take Ownership Tước quyền sở hữu của các tập tin và thư mục
3.2 Các mức quyền truy cập được dùng trong NTFS
3.3 Gán quyền truy cập NTFS trên thư mục dùng chung
Để gán quyền NTFS, bạn cần nhấp chuột phải vào tập tin hoặc thư mục trong Windows Explorer và chọn Properties Hộp thoại Properties sẽ xuất hiện, trong đó nếu ổ đĩa được định dạng FAT, bạn chỉ thấy hai Tab là General và Sharing Ngược lại, nếu ổ đĩa định dạng NTFS, sẽ có thêm Tab Security, cho phép bạn quy định quyền truy cập cho từng người dùng hoặc nhóm người dùng đối với các tập tin và thư mục Hãy nhấp vào Tab Security để cấp quyền cho người dùng.
Hình 7.7: Hộp thoại Data properties
Để cấp quyền truy cập cho người dùng, bạn nhấn nút "Add" để mở hộp thoại chọn người dùng và nhóm Tiếp theo, hãy chọn người dùng và nhóm cần cấp quyền, sau đó nhấn nút "Add" để thêm vào danh sách Cuối cùng, nhấn "OK" để quay lại hộp thoại chính.
Hình 7.8: Hộp thoại Select users or groups
Hộp thoại chính hiển thị danh sách người dùng và nhóm mới được thêm vào Để cấp quyền, hãy chọn người dùng hoặc nhóm cần thiết Trong hộp thoại, danh sách quyền đã có sẵn; nếu bạn muốn cấp quyền, hãy đánh dấu vào mục Allow, còn nếu muốn từ chối quyền, hãy chọn mục Deny.
Hình 7.9: Hộp thoại Data properties
3.4 Kế thừa và thay thế quyền của đối tượng con
Trong hộp thoại chính, nhấn nút Advanced để cấu hình chi tiết quyền truy cập của người dùng.
Trong hộp thoại Advanced Security Settings, nếu bạn chọn "Allow inheritable permissions from parent to propagate to this object and child objects", thư mục hiện tại sẽ thừa hưởng quyền truy cập từ thư mục cha Để xóa quyền thừa hưởng này, bạn cần bỏ chọn tùy chọn đó Khi danh sách quyền truy cập của thư mục cha thay đổi, danh sách quyền của thư mục hiện tại cũng sẽ tự động cập nhật theo Nếu bạn chọn "Replace permission entries on all child objects with entries shown here that apply to child objects", quyền truy cập của thư mục hiện tại sẽ được áp dụng cho tất cả các tập tin và thư mục con, thay thế các quyền truy cập hiện tại bằng những quyền hiển thị trong hộp thoại.
Hình 7.10: Hộp thoại Advanced security settings for data
Trong Windows Server 2008, bạn có thể kiểm tra và cấu hình chi tiết quyền của người dùng và nhóm bằng cách chọn nhóm hoặc người dùng cần chỉnh sửa, sau đó nhấp vào nút Edit.
Hình 7.11: Hộp thoại Permission entry for data
3.5 Thay đổi quyền khi di chuyển thư mục và tập tin
Khi sao chép một tập tin hoặc thư mục sang vị trí mới, quyền truy cập sẽ thay đổi theo quyền của thư mục cha Ngược lại, khi di chuyển một tập tin hoặc thư mục, các quyền truy cập sẽ được giữ nguyên.
3.6 Giám sát người dùng truy cập thư mục
Để giám sát và ghi nhận các thao tác của người dùng trên thư mục hiện tại, bạn cần mở hộp thoại Advanced Security Settings, chọn tab Auditing và nhấp vào nút tương ứng.
Để giám sát người dùng, trước tiên bạn cần thêm họ vào danh sách Sau đó, nếu bạn muốn theo dõi các truy xuất thành công, hãy đánh dấu vào mục "Successful" Ngược lại, nếu bạn muốn giám sát các truy xuất không thành công, hãy chọn mục "Failed".
Hình 7.12: Hộp thoại Auditing entry for data
3.7 Thay đổi người sở hữu thư mục
Để xem tài khoản của người và nhóm sở hữu thư mục hiện tại, hãy mở hộp thoại Cài đặt Bảo mật Nâng cao và chọn tab Chủ sở hữu Bạn cũng có thể thay đổi người và nhóm sở hữu thư mục này bằng cách nhấp vào nút Khác.
Hình 7.13: Hộp thoại Advanced security settings for data
DFS
- Phân biệt được các loại hệ thống DFS
- Triển khai thực hiện được hệ thống DFS
DFS (Hệ thống tệp phân tán) là một hệ thống quản lý các thư mục và tệp dùng chung trên mạng, cho phép người dùng truy cập vào các tài nguyên này thông qua một tên chia sẻ duy nhất Hệ thống này giúp người dùng dễ dàng tìm kiếm tài nguyên dùng chung trên mạng, với hai loại root: domain root, liên kết với Active Directory và có mặt trên tất cả Domain Controller, và Stand-alone root, chỉ chứa thông tin trên máy đã được cấu hình Cần lưu ý rằng DFS không phải là một máy chủ tệp mà chỉ là một "bảng mục lục" dẫn đến các thư mục đã được tạo và chia sẻ.
Server Để triển khai một hệ thống DFS trước tiên bạn phải hiểu các khái niệm sau:
- Gốc DFS (DFS root) là một thư mục chia sẻ đại diện cho chung cho các thư mục chia sẻ khác trên các Server
- Liên kết DFS (DFS link) là một thư mục nằm trong DFS root, nó ánh xạ đến một tài nguyên chia sẻ các Server khác
4.1 So sánh hai loại DFS
Stand-alone DFS Fault-tolerant DFs
- Là hệ thống DFS trên một máy
Server Stand-alone, không có khả năng dung lỗi
- Người dùng truy xuất hệ thống DFS thông qua đường dẫn
- Là hệ thống DFS dựa trên nền Active
Directory nên có chính dung lỗi cao
- Hệ thống DFS sẽ tự động đồng bộ giữa các Domain Controller và người dùng có thể truy xuất đến DFS thông qua đường dẫn
4.2 Cài đặt Fault-tolerant DFS Để tạo một hệ thống Fault-tolerant DFS bạn làm theo các bước sau:
Bạn nhấp chuột vào Start Programs Administrative Tools Distributed File
System Hộp thoại Welcome xuất hiện, bạn nhấn Next để tiếp tục Hộp thoại Root Type xuất hiện, bạn chọn mục Domain Root, nhấn Next để tiếp tục
Hình 7.14: Hộp thoại Fault-tolerant DFS
Hệ thống yêu cầu bạn chọn tên miền (domain name) kết hợp với hệ thống DFS cần tạo
Hình 7.15: Hộp thoại tên miền
Tiếp theo bạn khai báo tên của Domain Controller chưa root DFS cần tạo
Để cấu hình hệ thống DFS, bạn cần khai báo tên chia sẻ gốc (Root Name), đây là tên đại diện cho các tài nguyên khác trên mạng Sau khi nhập đầy đủ thông tin, hãy chọn "Next" để tiếp tục.
Hình 7.17: Hộp thoại tên miền
Trong hộp thoại xuất hiện, bạn khai báo tên thư mục chia sẻ gốc của hệ thống DFS
Hình 7.18: Hộp thoại chia sẻ
Sau khi cấu hình hệ thống DFS hoàn tất, tiếp theo bạn tạo các liên kết đến các tài nguyên dùng chung trên các Server khác trong mạng
Để sử dụng hệ thống DFS, bạn cần ánh xạ thư mục chia sẻ gốc thành một ổ đĩa mạng trên máy trạm Trong ổ đĩa mạng này, bạn sẽ thấy tất cả các thư mục chia sẻ từ các máy chủ khác nhau trong hệ thống mạng.
Hình 7.20: Hộp thoại ổ đĩa mạng
Giống như Fault-tolerant DFS, bạn có thể thiết lập một Stand-alone DFS trên một máy chủ độc lập Tuy nhiên, hệ thống này không có khả năng chịu lỗi, nghĩa là nếu máy chủ chứa DFS Root gặp sự cố, các máy trạm sẽ không truy cập được tài nguyên chia sẻ trên các máy chủ khác Mặc dù vậy, hệ thống Stand-alone DFS vẫn được sử dụng phổ biến do tính đơn giản và tiện lợi của nó.
Bài tập thực hành của học viên
1 Tạo thư mục có tên Personal trên ổ đĩa bất kỳ
2 Chia sẻ và phân quyền truy cập thư mục này
1 Tạo thư mục có tên Personal trên ổ đĩa bất kỳ
To create a shared folder, navigate to the drive where you want to set it up; for example, select drive C, though you can choose any other drive Right-click, select "New," then click on "Folder," and name this folder "Personal."
Hình 7.21: Tạo thư mục trên ổ đĩa
2 Chia sẻ và phân quyền truy cập thư mục này
Ta sẽ cấu hình một số thuộc tính của folder này, right click vào folder này, chọn properties, hộp thọai personal properties xuất hiện:
Hình 7.22: Hộp thoại Personal properties
Click vào tab Securiy để cấu hình NTFS permission trên folder này Trên tab Security, click nút Advanced
Hình 7.23: Hộp thoại Personal properties
In the Advanced Security Settings for personal accounts, you can disable inheritance by unchecking the option "Allow inheritable permissions from the parent to propagate to this object and all child objects," ensuring that only explicitly defined entries are included.
Hình 7.24: Hộp thoại Advanced security setting for personal
Trên hộp thọai Security, click nút Remove để loại bỏ tất cả các quyền thừa hưởng
Xong nhấn apply, nhấn OK để quay về hội hộp thọai personal properties
Trong hộp này các bạn nhấn add, sẽ xuất hiện hộp thọai Select user, computer, or groups
Nhập vào hộp text Enter the object names to select (examples): group Domain Admins rồi click vào nút check names Group Domain Admins sẽ được gạch dưới, click ok
Trong hộp thọai Personal Properties, cấp quyền Full Control cho group Domain Admins bạn mới thêm vào Click apply
Next, navigate to the sharing tab, where you should check the option to share this folder Click on the Permissions button to grant sharing rights for the folder.
Trong hộp thọai permission for personal, đánh dấu chọn vào mục Full Control trong cột
Allow để cấp quyền full control cho everyone group Click apply rồi click ok
Click apply và rồi click ok để đóng hộp thọai Personal Properties
CÀI ĐẶT VÀ QUẢN TRỊ VIỆC IN ẤN TRONG MẠNG
Cài đặt máy in
- Cài đặt được máy in cho server và qua mạng
Trước khi bạn có thể truy xuất vào thiết bị máy in vật lý thông qua hệ điều hành
To set up a printer on Windows Server 2008, you need to create a logical printer If your printer supports Plug and Play, it will be automatically recognized when connected to a computer running Windows Server 2008, thanks to the Found New Hardware utility.
Wizard sẽ tự động khởi động và hướng dẫn bạn từng bước cài đặt máy in Nếu hệ điều hành không nhận diện chính xác, hãy sử dụng đĩa DVD đi kèm từ nhà sản xuất để thực hiện cài đặt.
You can create a virtual printer on your own by using the Add Printer Wizard utility in Windows This process allows you to set up a logical printer efficiently.
Để truy cập vào Server 2008, bạn cần đăng nhập với quyền hạn của một thành viên trong nhóm Administrators, nhóm Power Users (nếu là Server thành viên) hoặc nhóm Server Operators (nếu là domain controller).
Bạn có thể thiết lập một máy in logic cục bộ để tương tác với máy in vật lý kết nối trực tiếp với máy tính của bạn hoặc với một máy in mạng, mà máy in này có thể được kết nối với một máy tính khác trong mạng hoặc thông qua một thiết bị Print Server.
Muốn thao tác bằng tay để tạo ra một máy in cục bộ hay một máy in mạng, chúng ta lần lượt thực hiện các thao tác sau đây:
Nhấp chuột chọn Start, rồi chọn Printers And Faxes
Nhấp chuột vào biểu tượng Add Printer, tiện ích Add Printer Wizard sẽ được khởi động Nhấp chuột vào nút Next để tiếp tục
When the Local or Network Printer dialog box appears, select the "Local Printer Attached To This Computer" option if you have a physical printer directly connected to your computer If you are setting up a logical printer for a network printer, choose the "A Printer Attached To Another Computer" option For directly connected printers, you can also enable the "Automatically Detect And Install My Plug And Play Printer" feature, which allows the system to scan for and automatically install any Plug and Play printers Once you have made your selections, click the "Next" button to proceed to the next step.
Nếu máy in vật lý đã được tự động nhận diện bằng tiện ích Found New
Hardware Wizard Tiện ích này sẽ hướng dẫn bạn tiếp tục cài đặt driver máy in qua từng bước
Hộp thoại Print Test Page sẽ xuất hiện, cho phép bạn in một trang kiểm tra để xác nhận cấu hình máy in nếu nó được kết nối trực tiếp với máy tính Nếu máy in là máy in mạng, bạn có thể bỏ qua bước này Nhấn nút Next để tiếp tục sang bước kế tiếp.
Hộp thoại Completing The Add Printer Wizard xuất hiện, cho phép người dùng xác nhận rằng tất cả các thuộc tính máy in đã được thiết lập chính xác Nếu có thông tin sai lệch, hãy nhấp vào nút Back để quay lại và chỉnh sửa thông tin cho đúng.
Còn nếu nhận thấy mọi thứ đều ổn cả thì bạn nhấp chuột vào nút Finish
Một biểu tượng máy in mới sẽ hiện ra trong cửa sổ Printer And Faxes Theo mặc định, máy in sẽ được chia sẻ.
Quản lý thuộc tính máy in
- Trình bày được các thuộc tính của máy in
In the Printing Preferences dialog, navigate to the Layout tab Here, you can select the orientation for printing, either landscape or portrait Additionally, in the Page Order section, choose whether to print from the first page to the last or in reverse order Finally, in the Pages Per Sheet option, specify how many pages of your document will be printed on a single sheet of paper.
2.2 Giấy và chất lượng in
In the Printing Preferences dialog, the Paper/Quality tab allows users to set paper type and print quality The options available in this tab vary based on the printer's specifications For instance, some printers may only offer a single option for Paper Source, while the HP OfficeJet Pro Cxi provides multiple choices, including Paper Source, Media, Quality Settings, and Color.
2.3 Các thông số mở rộng
Nhấp vào nút Advanced ở góc dưới bên phải của hộp thoại Printing Preferences để mở hộp thoại Advanced Options Tại đây, bạn có thể điều chỉnh các thông số mở rộng và tùy chọn của máy in như Paper/Output.
Graphic, Document Options, và Printer Features Các thông số mở rộng có trong hộp thoại Advanced Options phụ thuộc vào driver máy in mà bạn đang sử dụng.
Cấu hình chia sẻ máy in
- Trình bày được các thuộc tính của máy in
Right-click on the printer and select Properties In the Properties dialog box, navigate to the Sharing tab To share the printer with multiple users, check the option to Share this printer Enter a share name for the printer in the Share name field, which will be visible on the network You can also select the option to List In The directory.
Directory để cho phép người dùng có thể tìm kiếm máy in thông qua Active Directory theo một vài thuộc tính đặc trưng nào đó
Trong Tab Sharing, người dùng có thể cấu hình driver hỗ trợ cho các máy trạm không phải là Windows Server 2008, giúp tự động tải về driver in cần thiết Mặc định, chỉ có driver của Intel cho Windows 2000, Windows Server 2008 và Windows XP được nạp Để thêm driver cho các máy trạm khác, hãy nhấp vào nút Additional Drivers dưới Tab Sharing Hộp thoại Additional Drivers sẽ xuất hiện, cho phép Windows Server 2008 hỗ trợ các driver cho nhiều hệ điều hành khác.
- Itanium Windows XP hay Windows
Hình 8.1: Hộp thoại Adding Drivers
Cấu hình thông số port
- Trình bày được ý nghĩa các thông số trong tab Port
4.1 Cấu hình các thông số trong Tab Port
In the Properties dialog, select the Port tab to configure all defined ports for the printer in use A port is defined as an interface that enables communication between the computer and the printer device Windows Server 2008 supports both physical ports (local ports) and standard TCP/IP ports (logical ports).
Port vật lý chỉ sử dụng khi kết nối trực tiếp máy in với máy tính Nếu triển khai Windows Server 2008 trong nhóm làm việc nhỏ, bạn cần gắn máy in vào port LPT1.
Máy in sử dụng giao thức TCP/IP cho phép kết nối trực tiếp vào mạng thông qua cổng RJ45 và có địa chỉ IP riêng để nhận diện Ưu điểm của máy in mạng là tốc độ in nhanh hơn so với máy in cục bộ và có thể được đặt ở bất kỳ vị trí nào trong hệ thống mạng Để sử dụng, bạn cần chỉ định một cổng cho máy in.
TCP/IP và khai báo địa chỉ IP của máy in mạng Cùng với việc xoá và
Hộp thoại HP properties cho phép bạn cấu hình lại một port đã tồn tại, thiết lập printer pooling và điều hướng các công việc in ấn đến một máy in khác một cách dễ dàng.
Printer pool là giải pháp kết hợp nhiều máy in vật lý thành một máy in logic, giúp tối ưu hóa quy trình in ấn Lợi ích chính của việc sử dụng printer pool là máy in nào rảnh sẽ tự động thực hiện lệnh in, mang lại hiệu quả cao cho nhóm người dùng Tính năng này đặc biệt hữu ích trong môi trường làm việc có nhiều thư ký hoặc nhóm người dùng chia sẻ máy in.
Để cấu hình một printer pool, bạn cần nhấp vào tùy chọn "Enable Printer Pooling" trong Tab Port của hộp thoại Properties Sau đó, hãy kiểm tra tất cả các port mà bạn dự định kết nối các máy in vật lý vào printer pool Nếu không chọn tùy chọn này, mỗi máy in sẽ chỉ sử dụng một port duy nhất Lưu ý rằng tất cả các máy in vật lý trong một printer pool phải sử dụng cùng một driver máy in.
4.3 Điều hướng tác vụ in đến một máy in khác
Nếu máy in vật lý của bạn gặp sự cố, bạn có thể chuyển tất cả các tác vụ in ấn sang một máy in khác Để thực hiện điều này, trước tiên, hãy đảm bảo rằng máy in mới có driver giống với máy in cũ Tiếp theo, trong Tab Port, nhấp vào nút Add Port, chọn Local port và sau đó chọn New Port.
Port Name xuất hiện, gõ vào tên UNC của máy in mới theo định dạng:
Cấu hình tab advanced
- Trình bày được ý nghĩa các thông số trong tab Advanced
5.1 Các thông số của Tab Advanced
Trong hộp thoại Properties, bạn nhấp chuột vào Tab Advanced để điều khiển các đặc tính của máy in Bạn có thể cấu hình các thuộc tính sau:
- Khả năng của máy in
- Độ ưu tiên của máy in
- Driver mà máy in sẽ sử dụng
- Các thuộc tính đồng tác (spooling) của máy in
- Cách thức in tài liệu
- Chế độ in mặc định
- Sử dụng bộ xử lý in ấn nào
5.2 Khả năng sẵn sàng phục vụ của máy in
Khi sử dụng nhiều máy in với một thiết bị in, việc kiểm tra khả năng sẵn sàng phục vụ của máy in là rất quan trọng Tùy chọn Always Available thường được bật mặc định, cho phép người dùng dễ dàng truy cập và sử dụng máy in mà không gặp trở ngại.
Máy in chỉ hoạt động trong khoảng thời gian bạn chỉ định bằng cách chọn Available From, giới hạn khả năng phục vụ trong 24 tiếng mỗi ngày Ngoài khoảng thời gian này, máy in sẽ không phục vụ cho bất kỳ người dùng nào.
5.3 Độ ưu tiên (Printer Priority)
Khi bạn thiết lập độ ưu tiên cho các công việc in, bạn có thể kiểm soát số lượng công việc được gửi đến máy in, điều này đặc biệt hữu ích khi nhiều người dùng chia sẻ một thiết bị Trong Tab Advanced của hộp thoại Properties, bạn có thể điều chỉnh độ ưu tiên từ 1 đến 99, với 1 là mức ưu tiên thấp nhất và 99 là mức cao nhất.
Ví dụ, trong phòng kế toán, máy in được sử dụng để ưu tiên in tài liệu của các quản lý trước những nhân viên khác Để thiết lập thứ tự in ấn này, chúng ta cần tạo ra một máy in với tên gọi cụ thể.
To manage printers effectively, connect to port LPT1 with a priority level of 99 Next, create an additional printer named WORKERS on the same port, assigning it a priority of 1 Finally, utilize the Security tab in the Properties dialog to restrict printer usage permissions.
Các quản lý trong phòng kế toán được phân quyền sử dụng máy in dành riêng cho họ, trong khi các nhân viên khác cũng có quyền truy cập vào máy in WORKERS.
Khi các tác vụ in được gửi từ máy in MANAGERS, chúng sẽ được đưa vào hàng đợi của máy in vật lý với độ ưu tiên cao hơn so với các tác vụ từ máy in WORKERS Điều này có nghĩa là tài liệu của những người quản lý sẽ được in trước, đảm bảo rằng công việc của họ được thực hiện một cách nhanh chóng và hiệu quả.
Mục Driver trong Tab Advanced cho phép bạn chọn driver cho máy in, đặc biệt hữu ích khi có nhiều máy in đã được cấu hình trên một máy tính Để thực hiện, bạn chỉ cần nhấp vào nút New Driver để khởi động Add Printer Driver Wizard, công cụ giúp bạn cập nhật và thêm driver mới một cách dễ dàng.
Khi cấu hình tùy chọn spooling, bạn cần xác định rõ liệu các tác vụ in ấn sẽ được đẩy ra đường ống máy in hay gửi trực tiếp đến thiết bị Spooling là quá trình lưu trữ các thao tác in xuống đĩa thành hàng đợi trước khi gửi đến máy in, hoạt động như một bộ điều phối in ấn cho nhiều người dùng gửi yêu cầu đồng thời Theo chế độ mặc định, tùy chọn spooling thường được bật sẵn.
Phía dưới Tab Advance có chứa bốn tùy chọn in ấn Đó là các tùy chọn:
Tùy chọn "Hold Mismatched Documents" rất hữu ích khi sử dụng chế độ nhiều biểu mẫu trên máy in Mặc định, tùy chọn này không được kích hoạt và các tác vụ sẽ được in theo thứ tự first-in-first-out (FIFO) Khi bạn bật tùy chọn này, hệ thống sẽ ưu tiên in những tác vụ có cùng một biểu mẫu trước.
Tùy chọn "In tài liệu đã lưu" xác định rằng các tác vụ in sẽ được ưu tiên thực hiện trước các tác vụ lớn khác, giúp nâng cao hiệu suất làm việc của máy in Mặc định, tùy chọn này luôn được bật để đảm bảo quá trình in ấn diễn ra hiệu quả hơn.
Tùy chọn "Giữ tài liệu in" quy định rằng các tác vụ in sẽ được xóa khỏi hàng đợi in khi quá trình in hoàn tất Thông thường, việc xóa các tác vụ ngay khi bắt đầu in là điều mong muốn, vì việc lưu trữ chúng trong hàng đợi cho đến khi in xong sẽ tốn dung lượng ổ đĩa Mặc định, tùy chọn này không được kích hoạt.
Tùy chọn "Enable Advanced Printing Features" quy định việc bật các tính năng mở rộng của máy in như Page Order và Pages Per Sheet Mặc định, tùy chọn này luôn được kích hoạt, nhưng nếu gặp vấn đề về tương thích, bạn có thể tắt nó Ví dụ, khi sử dụng driver cho máy in tương tự mà không hỗ trợ đầy đủ tính năng, bạn nên tắt tùy chọn này để tránh sự cố.
The Printing Defaults button is located in the lower left corner of the Advanced tab Clicking on this button opens the Printing Preferences dialog box, which is the same dialog that appears when you click the Printing Preferences button in the General tab.
Bộ xử lý in ấn trong Windows Server 2008 quyết định xem có cần thực hiện các xử lý bổ sung trong công việc in ấn hay không Mặc định, Windows Server 2008 sử dụng bộ xử lý in ấn WinPrint, hỗ trợ một số kiểu dữ liệu khác nhau.
Cấu hình tab security
- Phân được quyền truy cập máy in đúng yêu cầu của người sử dụng
Chúng ta có thể kiểm soát quyền truy cập vào máy in Windows
Trong Server 2008, việc cấu hình quyền in ấn cho người dùng và nhóm người dùng là rất quan trọng Chúng ta có thể quản lý quyền truy cập máy in bằng cách cho phép hoặc từ chối quyền in ấn Quyền in ấn được cấp cho người dùng và nhóm thông qua Tab Security trong hộp thoại Properties của máy in.
Bảng phân quyền in ấn cho người dùng
Cho phép người dùng hoặc một nhóm người dùng có thể kết nối và gửi tác vụ
In ấn đến máy in
Người dùng hoặc nhóm người dùng có quyền điều khiển và quản lý máy in, bao gồm khả năng dừng hoặc khởi động lại máy in, thay đổi cấu hình bộ điều tác, chia sẻ máy in, điều chỉnh quyền in ấn và quản trị các thuộc tính liên quan đến máy in.
Người dùng có thể quản lý tài liệu in thông qua các thao tác như dừng, khởi động lại, phục hồi hoặc xoá tài liệu khỏi hàng đợi máy in Tuy nhiên, họ không thể điều khiển trạng thái của máy in.
Bằng cách truy cập vào Tab Advanced trong hộp thoại Print Permissions, bạn có thể quản lý các quyền in ấn đặc biệt Theo mặc định, khi một máy in được tạo ra, các quyền in ấn sẽ được thiết lập tự động, với bảng các quyền in ấn mặc định sẵn có.
Nhóm quyền Được phép in Quản lý in Quản lý tài liệu in
6.2 Cấp quyền in cho người dùng/nhóm người dùng
Trong một số trường hợp đặc biệt, bạn cần hiệu chỉnh lại quyền in ấn để bảo vệ tài sản công ty, chẳng hạn như khi phòng Marketing được trang bị một máy in laser màu đắt tiền Để thực hiện điều này, bạn cần bỏ tùy chọn Allow cho nhóm Everyone, sau đó thêm nhóm Marketing vào danh sách trong Tab Security và cấp quyền Print cho họ Việc quản lý quyền in ấn này giúp đảm bảo rằng chỉ những người có thẩm quyền mới được sử dụng máy in.
1 Ở Tab Security trong hộp thoại Properties của máy in, nhấp chuột vào nút Add
2 Hộp thoại Select Users, Computers, Or Groups xuất hiện, bạn nhập vào tên của người dùng hoặc nhóm người dùng mà bạn định cấp quyền in ấn rồi nhấp chuột vào nút Add Sau đó, bạn chọn tất cả các người dùng mà bạn muốn cấp quyền và nhấp chuột vào nút OK
3 Chọn người dùng hoặc nhóm người dùng từ danh sách các phân quyền, sau đó chọn Allow để cấp quyền hoặc chọn Deny để không cấp quyền in ấn, các quyền quản lý máy in hay các quyền quản lý tài liệu in Để loại bỏ một nhóm có sẵn trong danh sách phân quyền, ta sẽ chọn nhóm đó và nhấp chuột vào nút Remove Nhóm vừa chọn sẽ không còn được liệt kê trong Tab Security nữa và không thể được cấp bất kì quyền hạn in ấn nào.
Quản lý print server
- Quản lý được máy in mạng
7.1 Hộp thoại quản lý Print Server
Print Server là máy tính quản lý các máy in mạng, nơi người dùng gửi yêu cầu in ấn Khi một yêu cầu in được gửi, nó sẽ được chuyển đến Print Server để xử lý Máy tính này cần có cấu hình mạnh mẽ để tiếp nhận và quản lý các tác vụ in, đồng thời phải có đủ không gian đĩa trống để lưu trữ các tác vụ trong hàng đợi.
Bạn có thể quản lý Print Server bằng cách cấu hình các thuộc tính trong hộp thoại
To access the Print Server Properties dialog, open the Printers and Faxes window, select File, and then choose Server Properties The Print Server Properties dialog features several tabs, including Forms, Ports, Drivers, and Advanced.
7.2 Cấu hình các thuộc tính Port của Print Server
Trong hộp thoại Printer Server Properties, bạn có thể truy cập Tab Port, tương tự như Tab Port trong Properties của máy in Tuy nhiên, sự khác biệt chính là Tab Port trong Print Server Properties được sử dụng để quản lý tất cả các port trên Print Server, trong khi Tab Port trong Properties của máy in chỉ quản lý các port của thiết bị máy in vật lý.
In the Printer Server Properties dialog, you can access the Driver tab, which allows you to manage the installed printer drivers on the Print Server This tab displays the name, environment, and supported operating system for each printer driver.
Using the options in the Driver Tab, you can add, remove, or update printer drivers To view the properties of a specific printer driver, select the desired driver and click the Properties button The properties of a printer driver include various essential details.
- Loại dữ liệu mặc định
Giám sát trạng thái hàng đợi máy in
- Giám sát và xử lý lỗi máy in mạng
Tiện ích System Monitor cho phép quản lý hàng đợi máy in hiệu quả bằng cách theo dõi các chỉ số liên quan đến thao tác của nhiều đối tượng máy tính Để quản lý hàng đợi máy in bằng System Monitor, bạn cần thực hiện theo các bước hướng dẫn cụ thể.
1 Chọn Start \ Administrative Tools \ Performance
2 Hộp thoại Performance sẽ xuất hiện Mặc định thì tiện ích System Monitor sẽ được chọn như hình sau:
3 Nhấp chuột vào nút Add (có biểu tượng dấu +) để truy xuất vào hộp thoại
Add Counters Sau đó, nhấp chọn Print Queue Performance Object
4 Trong hộp thoại Add Counters, bạn có thể chỉ định ra máy tính mà bạn muốn giám sát (cả máy tính cục bộ và máy tính ở xa) Performance Object mà bạn cần theo dõi (trong trường hợp này là hàng đợi - Print Queue), các counter mà bạn muốn theo dõi, và bạn cũng chỉ ra là bạn có muốn theo dõi tất cả các thể hiện hay là bạn chỉ muốn theo dõi một số thể hiện của counter được bạn lựa chọn Nếu bạn chọn tất cả các thể hiện được lựa chọn sẽ cho phép tất cả dữ liệu của tất cả các hàng đợi in ấn đã được định nghĩa trong máy in Còn nếu bạn chọn chỉ theo dõi một số thể hiện của counter thì bạn chỉ theo dõi được dữ liệu từ một số hàng đợi in ấn cá nhân
Bảng danh sách các hàng đợi in ấn đã được định nghĩa:
Counter này cho biết số lượng Print Server đã được thêm vào các máy in chia sẻ trên mạng Dữ liệu này được tích lũy kể từ lần khởi động cuối cùng của server.
Số byte trong thực tế đã được in trên một hàng đợi trong mỗi giây
Tổng số yêu cầu gửi đến Print Server từ các danh sách duyệt mạng đã được ghi nhận, và con số này được tính từ lần khởi động cuối cùng của Server.
Tổng số các lỗi thao tác đã được tường trình bởi hàng đợi in ấn Con số này được tích luỹ từ lần khởi động cuối cùng của
Chỉ ra con số hiện tại các thao tác in ấn vẫn còn trong hàng đợi chưa được xử lý
Job Spooling Chỉ ra con số hiện tại các thao tác in ấn đã được điều hướng đến hàng đợi in ấn
Max Jobs Spooling chỉ định số lượng tối đa các tác vụ in ấn được lưu trữ trong hàng đợi in kể từ khi server được khởi động lần cuối Điều này giúp quản lý hiệu quả các công việc in ấn và đảm bảo rằng hệ thống hoạt động trơn tru.
Max References Chỉ ra con số tối đa các tác vụ mở (tham chiếu) đã được gửi đến máy in kể từ lần khởi động cuối cùng của Server
Số lượng lỗi máy in "chưa sẵn sàng phục vụ" trong hàng đợi in ấn đã được ghi nhận Con số này được tính từ lần khởi động cuối cùng của Server.
Số lượng lỗi máy in không có giấy trong hàng đợi in ấn đã được ghi nhận kể từ lần khởi động cuối cùng của Server.
Tổng số tác vụ in ấn được hiển thị để cho biết số lượng in ấn đã hoàn thành thành công Con số này được tổng hợp từ lần khởi động cuối cùng của Server.
The "Total Pages Printed" metric indicates the number of pages successfully printed, accumulating data from the last server restart.
Bài tập thực hành của học viên
4 Cài đặt 2 máy in bất kỳ, chia sẻ và phân quyền in ấn trên 2 máy in này
5 Tìm kiếm máy in trên mạng bằng địa điểm
6 Thiết lập độ ưu tiên và tính sẵn sàng in
1 Cài đặt 2 máy in bất kỳ, chia sẻ và phân quyền in ấn trên 2 máy in này a) Cài đặt máy in
Log on vào máy với tài khoản administrator
Start \Settings\ Printers and faxes
Chọn Local Printer, và chọn Next
Chọn port LPT1, và chọn Next
Chọn hãng sản xuất và chọn loại máy in, và chọn Next
Nhập tên cho printer, và chọn Next
Tên share cho printer, và chọn Next
Nhập tên địa điểm của máy in (ví dụ: HCM) vào khung Location và nhấn Next Một cửa sổ sẽ xuất hiện hỏi bạn có muốn in thử hay không; hãy chọn No và tiếp tục bằng cách nhấn Next.
Click vào Finish để kết thúc, bạn đợi vài giây để hệ thống cài đặt
Tương tự, cài đặt printer thứ 2:
Chọn port LPT2, chọn cùng hãng HP và cùng loại máy in, đặt tên máy in là HP 2200
NEW, Share với tên là HP NEW, nhập địa điểm của máy in(nhập tên DN trong khung Location)
Hai Printers đã được cài trên máy b) Chia sẻ và phân quyền được in ấn :
Gán cho nhóm Administrators Manage printers, Manage documents và print
Xoá bỏ nhóm Everyone Đưa thêm nhóm KE TOAN vào ACL
Gán cho nhóm KE TOAN được quyền Print
Bây giờ chuyển qua làm permission cho printer HP 2200 Cách thực hiện tương tự như trên
Cho nhóm Everyone ra khỏi ACL Đưa nhóm NHAN SU vào ACL của printer HP 2200
Cho nhóm đó được quyền print
2 Tìm kiếm máy in trên mạng bằng địa điểm
Vào Active Directory Sites Users and Computers
Group policyObject Editor mở ra
Mở tính năng Pre-populate printer search location text
Và tính năng Printer browsing
Dùng lệnh Find để tìm printers Điền vào ô location
3 Thiết lập đọ ưu tiên và tính sẵn sàng in
Right click vào biểu tượng máy in HP 2200 chọn properties để cấu hình printer pool, vào thẻ Advanced để cấu hình:
Tương tự Right click vào biểu tượng máy in HP 2200 NEW chọn properties, vào thẻ
Advanced, thay đổi giá trị bằng 50 tại khung Priority thì khi in trên máy in này sẽ có độ ưu tiên chậm hơn so với máy in HP 2200.
BẢO MẬT MẠNG
Các khái niệm
- Trình bày được khái niệm về dịch vụ Proxy
- Trình bày được phương thức hoạt động của dịch vụ Proxy
- Trình bày được đặc điểm của dịch vụ Proxy
1.1 Mô hình client server và một số khả năng ứng dụng
Mô hình client-server là chuẩn cho các ứng dụng trực tuyến, trong đó máy tính client yêu cầu dịch vụ từ máy tính server, có khả năng đáp ứng các yêu cầu đó Khái niệm client-server là tương đối, nghĩa là một máy có thể đóng vai trò client hoặc server tùy theo tình huống Thông thường, client là máy tính cá nhân, trong khi server là những máy tính cấu hình mạnh, chứa cơ sở dữ liệu và ứng dụng để phục vụ dịch vụ cho client.
Hình 9.1: Mô hình client server và một số khả năng ứng dụng
Mô hình client-server hoạt động với một tiến trình trên server luôn trong trạng thái chờ yêu cầu từ các tiến trình client, có thể được khởi tạo trên cùng hệ thống hoặc trên các hệ thống khác kết nối qua mạng Tiến trình client thường được khởi tạo từ lệnh của người dùng, gửi yêu cầu qua mạng tới server để nhận dịch vụ Server xác định tính hợp lệ của yêu cầu từ client, phục vụ và trả kết quả, sau đó tiếp tục chờ các yêu cầu khác Các dịch vụ mà server có thể cung cấp bao gồm dịch vụ thời gian, dịch vụ in ấn, dịch vụ file, và thực hiện các lệnh từ client.
Kết nối được hiểu là một liên kết truyền thông giữa các tiến trình Để xác định một kết nối, cần xem xét các thành phần quan trọng sau: {Protocol, địa chỉ cục bộ (local-addr), tiến trình cục bộ (local-process), địa chỉ từ xa (remote-addr), và tiến trình từ xa (remote-process)}.
Local-addr và remote-addr là địa chỉ của máy địa phương và máy từ xa, trong khi local-process và remote-process xác định vị trí của tiến trình trên mỗi hệ thống Một nửa kết nối được định nghĩa bởi {Protocol, local-addr, local-process} và {Protocol, remote-addr, remote-process}, thường được gọi là socket Để xác định một máy, chúng ta dựa vào địa chỉ IP, nhưng với nhiều tiến trình ứng dụng đang chạy, mỗi tiến trình được gán một số hiệu cổng Giao thức TCP sử dụng 16 bit để định danh các cổng tiến trình, với số hiệu cổng từ 1-1023 dành cho các tiến trình chuẩn (ví dụ: FTP sử dụng cổng 21, dịch vụ WEB sử dụng cổng 80, và SMTP sử dụng cổng 25), trong khi số hiệu cổng từ 1024-65535 dành cho các ứng dụng của người dùng.
1.3 Phương thức hoạt động và đặc điểm của dịch vụ Proxy
Dịch vụ proxy được thiết kế để kết nối các máy tính trong mạng riêng với Internet, giúp giải quyết tình trạng thiếu địa chỉ IP do nhà cung cấp dịch vụ cấp hạn chế Với nhu cầu duy trì cấu trúc mạng hiện tại và tối ưu hóa hiệu suất qua một kết nối Internet duy nhất, dịch vụ proxy cho phép kiểm soát thông tin vào ra, cấp quyền truy cập và ghi lại hoạt động của người dùng Hoạt động dựa trên mô hình client-server, dịch vụ proxy đáp ứng mọi yêu cầu của người sử dụng một cách hiệu quả.
Hình 9.2: Sơ đồ Phương thức hoạt động của dịch vụ proxy
Khi một khách hàng yêu cầu truy cập một đối tượng trên Internet, một máy chủ proxy sẽ tiếp nhận yêu cầu đó, kiểm tra tính hợp lệ và thực hiện xác thực khách hàng Nếu mọi điều kiện được thỏa mãn, máy chủ proxy sẽ chuyển tiếp yêu cầu tới máy chủ trên Internet Sau đó, máy chủ trên Internet sẽ gửi lại đối tượng yêu cầu về cho máy chủ proxy.
1 Proxy server gửi trả đối tượng về cho client
Có thể thiết lập proxy server cho nhiều dịch vụ như truyền file, web, và thư điện tử Mỗi dịch vụ cần một proxy server riêng biệt để đáp ứng các yêu cầu đặc thù từ các client.
Hình 9.3: Sơ đồ Proxy server gửi trả đối tượng về cho client
Các client được tổ chức trong một cấu trúc mạng gọi là mạng trong (Inside network) hay mạng dùng riêng IANA (Internet Assigned Numbers Authority) đã dành riêng 3 khoảng địa chỉ IP cho các mạng này, tương ứng với 3 lớp mạng tiêu chuẩn.
Các địa chỉ IP này được sử dụng cho các client trong mạng riêng và không được gán cho bất kỳ máy chủ nào trên Internet Khi thiết kế và cấu hình mạng riêng, việc sử dụng các khoảng địa chỉ IP này là điều được khuyến nghị.
Proxy Server là một giải pháp kết nối mạng riêng với Internet toàn cầu, cho phép các máy tính trong mạng riêng truy cập tài nguyên từ Internet Nó cải thiện khả năng kết nối của các máy tính trong mạng riêng bằng cách tập hợp các yêu cầu truy cập Internet và gửi lại kết quả cho máy tính đã yêu cầu.
1.4 Cache và các phương thức cache
Để cải thiện khả năng truy cập Internet từ các máy tính trạm trong mạng sử dụng dịch vụ proxy, các phương thức cache được áp dụng Dịch vụ proxy lưu trữ bản sao của các đối tượng đã được truy cập trước đó, bao gồm hình ảnh và tệp tin, nhưng không lưu trữ các yêu cầu xác thực và sử dụng SSL Khi một máy tính trạm gửi yêu cầu tới proxy server, server sẽ tìm kiếm trong cache để trả kết quả thay vì kết nối trực tiếp với địa chỉ yêu cầu Điều này giúp nâng cao hiệu suất truy cập Internet và giảm lưu lượng trên kết nối Tuy nhiên, một vấn đề phát sinh là khi các đối tượng trong cache thay đổi từ nguồn gốc, thông tin gửi tới máy tính trạm có thể trở nên lỗi thời Để khắc phục, cần thiết lập chính sách cập nhật thường xuyên cho các đối tượng trong cache.
Hình 9.4: mô tả proxy server xử lý các yêu cầu của người dùng
1 Client 1 yêu cầu một đối tượng trên mạng Internet
Proxy server kiểm tra xem đối tượng có trong bộ nhớ cache của nó hay không Nếu không tìm thấy đối tượng, proxy server sẽ gửi yêu cầu đến máy chủ trên Internet để lấy thông tin cần thiết.
3 Server trên Internet gửi đối tượng yêu cầu về cho proxy server
4 proxy server giữ bản copy của đối tượng trong cache của nó và trả đối tượng về cho client1
5 Client 2 gửi một yêu cầu về đối tượng tương tự
Proxy server có khả năng phục vụ client bằng cách cung cấp nội dung từ cache của nó thay vì truy cập Internet Việc triển khai dịch vụ proxy cho phép quảng bá các server trong mạng riêng ra bên ngoài Khi có yêu cầu từ client, proxy server có thể hoạt động như một server bên ngoài, đáp ứng yêu cầu bằng nội dung đã lưu trong cache Chỉ khi cache không đủ để đáp ứng yêu cầu, proxy server mới chuyển tiếp yêu cầu đến server gốc.
Triển khai dịch vụ proxy
- Lựa chọn được mô hình mạng để triển khai dịch vụ Proxy
- Cài đặt được dịch vụ Proxy
2.1 Các mô hình kết nối mạng Đối tượng phục vụ của proxy server khá rộng, từ mạng văn phòng nhỏ, mạng văn phòng vừa tới mạng của các tập đoàn lớn Với mỗi quy mô tổ chức sẽ có một cấu trúc mạng sử dụng proxy server cho phù hợp Sau đây chúng ta sẽ xem xét một số mô hình cơ bản đối với mạng cỡ nhỏ, mạng cỡ trung bình và mạng tập đoàn lớn Trong đó chúng ta sẽ đi sâu vào mô hình thứ nhất dành cho mạng văn phòng nhỏ bởi nó phù hợp quy mô tổ chức của các công ty vừa và nhỏ tại Việt nam
Mô hình mạng văn phòng nhỏ :
- Bao gồm một mạng LAN độc lập
- Sử dụng giao thức IP
Kết nối Internet có thể thực hiện qua hai phương thức chính: sử dụng đường thoại, bao gồm các hình thức quay dial-up hoặc công nghệ ADSL, và kết nối trực tiếp thông qua đường thuê bao (Leased Line).
- ít hơn 250 máy tính trạm Mô hình kết nối mạng như hình vẽ:
Hình 9.5: Mô hình kết nối mạng
Theo mô hình này, với mỗi phương thức kết nối Internet Proxy server sử dụng 02 giao tiếp như sau:
- Kết nối Internet bằng đường thoại qua mạng PSTN:
• 01 giao tiếp với mạng nội bộ thông qua card mạng
• 01 giao tiếp với Internet thông qua Modem
- Kết nối Internet bằng đường trực tiếp (Leased Line)
• 01 giao tiếp với mạng nội bộ thông qua card mạng
Giao tiếp với Internet thông qua card mạng diễn ra khi bảng địa chỉ nội bộ (LAT - Local Address Table) được thiết lập dựa trên danh sách địa chỉ IP của mạng nội bộ.
Mô hình kết nối mạng cỡ trung bình Đặc trưng của mạng văn phòng cỡ trung bình như sau:
- Văn phòng trung tâm với một vài mạng LAN
- Mội văn phòng chi nhánh có một mạng LAN
- Sử dụng giao thức IP
- Kết nối bằng đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm
- Kết nối Internet từ văn phòng trung tâm tới ISP bằng đường thoại hoặc đường trực tiếp (Leased Line)
Trong mô hình mạng với ít hơn 2000 máy tính trạm, văn phòng chi nhánh sử dụng một máy chủ Proxy để lưu trữ thông tin nội bộ, quản trị kết nối và kiểm soát truy cập tới văn phòng trung tâm Tại văn phòng trung tâm, một số máy chủ Proxy hoạt động theo kiến trúc mảng, cung cấp bảo mật chung cho toàn mạng, tính năng lưu trữ thông tin phân tán và kết nối ra Internet.
Hình 9.6: Mô hình kết nối mạng tập đoàn lớn
Mạng của các tập đoàn lớn có đặc trưng như sau:
- Văn phòng trung tâm có nhiều mạng LAN và có mạng trục LAN
- Có vài văn phòng chi nhánh, mỗi văn phòng chi nhánh có một mạng LAN
- Sử dụng giao thức mạng IP
- Kết nối bằng đường thoại từ các văn phòng chi nhánh tới văn phòng trung tâm
- Kết nối Internet từ văn phòng trung tâm tới ISP bằng đường đường trực tiếp (Leased Line)
- Có nhiều hơn 2000 máy tính trạm
Mô hình mạng như hình dưới đây:
Theo mô hình này, các văn phòng chi nhánh được cấu hình tương tự như các văn phòng cỡ trung bình Những yêu cầu kết nối Internet không được đáp ứng bởi cache nội bộ tại máy chủ Proxy của văn phòng chi nhánh sẽ được chuyển đến một loạt máy chủ Proxy tại văn phòng trung tâm Tại văn phòng trung tâm, các máy chủ Proxy sử dụng hai card mạng: một card kết nối với mạng trục LAN và một card kết nối với mạng LAN thành viên.
Hình 9.7: mô hình mạng LAN các văn phòng cỡ trung bình
2.2 Thiết lập chính sách truy cập và các qui tắc
Proxy server có thể được thiết lập để đảm bảo an ninh và hiệu suất bằng cách áp dụng các quy tắc xác định quyền truy cập của người dùng, máy tính hoặc ứng dụng vào mạng nội bộ hoặc Internet Các quy tắc này thường bao gồm chính sách truy cập, băng thông, quảng bá, lọc gói, và định tuyến Khi một client trong mạng gửi yêu cầu, proxy server sẽ kiểm tra các quy tắc để quyết định chấp nhận hay từ chối yêu cầu đó Tương tự, khi một client bên ngoài gửi yêu cầu tới server trong mạng, proxy server cũng sẽ xử lý các quy tắc để xác định tính hợp lệ của yêu cầu.
Các quy tắc trong chính sách truy cập có thể được thiết lập thông qua proxy server, bao gồm quy tắc về giao thức và nội dung Quy tắc giao thức xác định các giao thức nào được phép sử dụng cho thông tin giữa mạng nội bộ và Internet, và sẽ được xử lý ở mức ứng dụng Chẳng hạn, một quy tắc giao thức có thể cho phép các Client sử dụng giao thức HTTP Trong khi đó, quy tắc nội dung quy định các loại nội dung và các trang web mà Client có thể truy cập, cũng được xử lý ở mức ứng dụng.
Ví dụ một qui tắc về nội dung có thể cho phép các client truy nhập tới bất kỳ địa chỉ nào trên Internet
Qui tắc băng thông xác định quyền ưu tiên cho các kết nối mạng, trong khi proxy server thường không giới hạn độ rộng băng thông Nó cũng phản ánh chất lượng dịch vụ (QoS) được cấp phát cho các kết nối này Các kết nối không có qui tắc băng thông sẽ nhận được quyền ưu tiên ngầm định, trong khi những kết nối có qui tắc băng thông sẽ được sắp xếp với quyền ưu tiên cao hơn.
Các quy tắc về chính sách quảng bá cho phép sử dụng proxy server để thiết lập các quy tắc quảng bá server và web Những quy tắc này giúp lọc tất cả các yêu cầu từ client bên ngoài internet đến các server trong mạng Quy tắc quảng bá server và web sẽ chuyển tiếp các yêu cầu đến các server phù hợp phía sau proxy server Đặc tính lọc gói của proxy server cho phép kiểm soát luồng các gói IP đến và đi Khi chức năng lọc gói hoạt động, mọi gói trên giao diện bên ngoài sẽ bị từ chối trừ khi chúng được cho phép hoàn toàn thông qua các bộ lọc gói IP hoặc thông qua các chính sách truy cập và quảng bá.
Qui tắc định tuyến và cấu hình chuỗi proxy (chaining) là quy tắc cuối cùng được áp dụng để chuyển hướng các yêu cầu từ client đến một server đã được chỉ định, nhằm phục vụ hiệu quả các yêu cầu đó.
2.2.2 Xử lý các yêu cầu đi
Proxy server đóng vai trò quan trọng trong việc kết nối mạng riêng với Internet, đồng thời bảo vệ mạng khỏi các nội dung độc hại Để quản lý kết nối này, proxy server được sử dụng để thiết lập chính sách truy cập, cho phép các client truy cập vào các server cụ thể trên Internet Chính sách truy cập kết hợp với các quy tắc định tuyến sẽ xác định cách thức các client có thể truy cập Internet.
Khi một yêu cầu được gửi đến proxy server, nó sẽ kiểm tra các quy tắc định tuyến, nội dung và giao thức để xác định xem việc truy cập có được phép hay không Yêu cầu chỉ được chấp nhận nếu tất cả các quy tắc này cho phép và không có quy tắc nào từ chối yêu cầu Ngoài ra, một số quy tắc có thể được thiết lập cho các client cụ thể, được xác định thông qua địa chỉ IP hoặc tên người dùng.
Proxy server xử lý các yêu cầu của client theo nhiều cách khác nhau, tùy thuộc vào loại yêu cầu và cấu hình của proxy server Quy trình xử lý các yêu cầu diễn ra theo thứ tự: qui tắc giao thức, qui tắc nội dung, lọc gói IP, qui tắc định tuyến và cấu hình chuỗi proxy.
2.2.3 Xử lý các yêu cầu đến
Proxy server được thiết lập để bảo đảm an toàn cho các server nội bộ khi truy cập từ các client bên ngoài Việc sử dụng proxy server giúp thiết lập chính sách quảng bá an toàn cho mạng, bao gồm các bộ lọc gói IP, quy tắc quảng bá web và quy tắc định tuyến Chính sách này quyết định cách thức quảng bá các server Khi nhận yêu cầu từ client bên ngoài, proxy server sẽ kiểm tra các bộ lọc và quy tắc để xác định tính hợp lệ của yêu cầu và server nào sẽ xử lý yêu cầu đó.
2.3 Proxy client và các phương thức nhận thực
Chính sách truy nhập và các quy tắc quảng bá của Proxy server có thể được tùy chỉnh để cho phép hoặc từ chối truy cập từ một nhóm máy tính hoặc người dùng cụ thể Khi áp dụng quy tắc cho từng người dùng, Proxy server sẽ kiểm tra các đặc tính yêu cầu để xác định cách thức nhận thực Người dùng cần phải được Proxy server xác thực trước khi các quy tắc được xử lý, đảm bảo rằng chỉ những yêu cầu đã được xác thực mới được phép Ngoài ra, bạn có thể thiết lập các phương pháp nhận thực khác nhau cho các yêu cầu đi và đến.
2.3.1 Phương pháp nhận thực cơ bản