Giáo trình Quản trị mạng (Nghề Ứng dụng phần mềm Trình độ Cao đẳng)

TỔNG QUAN VỀ WINDOWS SERVER

Tổng quan về hệ điều hành windows server

- Phân biệt được về họ hệ điều hành Windows Server

Windows Server 2019, phiên bản mới nhất của hệ điều hành máy chủ từ Microsoft, đã được phát hành vào tháng 10 năm 2018 Phiên bản này được xây dựng dựa trên nền tảng vững chắc của Windows Server trước đó.

2016 Những chức năng của phiên bản Windows Server 2019 đem đến nhiều cơ hội mới khi nhắc đến môi trường đám mây lai, bảo mật, lưu trữ và quản trị

Windows Server 2019 có ba phiên bản: Essentials, Standard và Datacenter, mỗi phiên bản được thiết kế để đáp ứng nhu cầu của các tổ chức với quy mô khác nhau Windows Server 2019 Essentials lý tưởng cho cơ sở hạ tầng nhỏ, trong khi Windows Server 2019 Datacenter mang lại phạm vi chức năng rộng nhất so với các hệ điều hành máy chủ khác của Microsoft, đáp ứng yêu cầu ảo hóa và trung tâm dữ liệu đa dạng.

Những tính năng mới của Windows Server 2019:

• Tính năng cơ sở hạ tầng siêu hội tụ cho cấp doanh nghiệp

Microsoft đã mất 3 năm để cập nhật nền tảng cơ sở hạ tầng siêu hội tụ trước khi phát hành Windows Server 2019 Hiện tại, Microsoft đang áp dụng lịch nâng cấp dần qua Semi-Annual Channel, cho phép nâng cấp liên tục cho đến khi có phiên bản mới.

Mỗi vài năm, một bản chính được phát hành gọi là Long-Term Servicing Channel, bao gồm các bản cập nhật trước đó và nâng cấp mới Phiên bản mới nhất cung cấp cơ sở siêu hội tụ với các thành phần đi kèm theo giấy phép máy chủ, đóng vai trò là "xương sống" cho máy chủ, đặc biệt là với máy chủ chạy Hyper-V, cho phép điều chỉnh khả năng thực hiện công việc mà không gây ra thời gian chết.

• Giao diện đồ họa người dùng được cải thiện

Nhiều doanh nghiệp gặp khó khăn khi triển khai phiên bản Semi-Annual Channel của Windows Server 2016 do thiếu giao diện đồ họa (GUI) Việc cập nhật lên phiên bản mới có thể mang lại nhiều bất ngờ cho người dùng.

2019 Với bản phát hành Windows Server 2019, những chuyên gia công nghệ thông tin sẽ có giao diện đồ họa cho Windows Server

• Công cụ quản lý máy chủ

Công cụ quản lý máy chủ Project Honolulu đã chính thức ra mắt cùng với phiên bản Windows Server 2019, mang đến một giao diện điều khiển trực quan cho người dùng Điều này giúp các quản trị viên dễ dàng hơn trong việc quản lý hệ thống máy chủ của mình.

• Những cải tiến về bảo mật

Trong Windows Server 2019, Microsoft đã cập nhật các chức năng bảo mật, giúp tổ chức quản lý mô hình bảo mật hiệu quả hơn Phiên bản này tích hợp tính năng ATP để đánh giá các vectơ vi phạm an ninh, tự động đăng nhập và cảnh báo về các cuộc tấn công tiềm tàng Ngoài ra, Windows Server 2019 cho phép chuyên gia tận dụng tối đa cơ sở dữ liệu, truyền tải mạng và các thành phần bảo mật an toàn nhằm ngăn chặn sự xâm nhập vào hệ thống máy chủ.

Giảm chi phí hoạt động công nghệ thông tin và loại bỏ máy chủ cồng kềnh bằng cách sử dụng Container hiệu quả hơn trong Windows Server 2019 Container mới nhỏ gọn hơn và giúp giảm chi phí VPS từ 50 đến 80% Sử dụng mật độ tính toán cao hơn cải thiện hiệu suất ứng dụng mà không cần đầu tư thêm vào hệ thống máy chủ hay mở rộng phần cứng.

Windows Server 2019 mang đến nhiều tính năng mới với những cải tiến đáng kể, giúp nâng cao bảo mật dữ liệu một cách ổn định và an toàn Phiên bản này tối ưu hóa hiệu suất và tốc độ, đáp ứng tốt nhu cầu của môi trường làm việc nhanh chóng hiện nay.

Thông tin chi tiết phiên bản Windows Server 2019 Datacenter

Windows Server 2019 Datacenter lý tưởng cho môi trường đám mây và trung tâm dữ liệu ảo hóa, cung cấp đầy đủ chức năng của Windows Server 2019 Standard mà không bị giới hạn Phiên bản này cho phép chuyên gia tạo ra số lượng máy ảo không giới hạn, với một máy chủ Hyper-V trên mỗi giấy phép Ngoài ra, Windows Server 2019 Datacenter hỗ trợ không giới hạn số lượng Container và Hyper-V, cùng với nhiều tính năng độc đáo mà không phiên bản Windows Server nào khác có.

Phiên bản Windows Server 2019 Datacenter cung cấp tính năng độc quyền là bộ điều khiển mạng, cho phép quản lý cơ sở hạ tầng tập trung Tính năng này cung cấp các công cụ để theo dõi, định cấu hình và tự động khắc phục sự cố trong môi trường mạng ảo hóa Ngoài ra, bộ điều khiển mạng còn giúp tự động hóa cấu hình mạng, thay vì phải thực hiện thủ công các dịch vụ mạng và thiết bị.

Hỗ trợ Hyper-V của Host Guardian là một tính năng khác chỉ có trong phiên bản

Windows Server 2019 Datacenter cung cấp khả năng quản lý máy chủ Hyper-V trong môi trường FC, giúp doanh nghiệp và hoster dễ dàng hơn trong việc khởi động máy ảo được bảo vệ Chế độ offline của Host Guard cho phép các máy ảo này hoạt động ngay cả khi dịch vụ không khả dụng, miễn là cài đặt bảo mật của máy chủ Hyper-V không bị thay đổi Phiên bản này cũng hỗ trợ xây dựng cơ sở hạ tầng siêu hội tụ, được xem là một trong những giải pháp hiệu quả nhất hiện nay, cho phép mở rộng để tạo ra trung tâm dữ liệu được xác định bằng phần mềm Chức năng này giúp hợp nhất tài nguyên điện toán, kết nối mạng và lưu trữ, từ đó cải thiện hiệu suất và tiết kiệm chi phí.

Thông tin chi tiết phiên bản Windows Server 2019 Standard

Phiên bản Windows Server 2019 Standard được thiết kế cho môi trường ảo hóa vật lý tối thiểu và hỗ trợ số lượng người dùng tối đa dựa trên CAL hoặc giấy phép truy cập Nó cung cấp các chức năng cốt lõi của Windows Server, bao gồm cả tính năng của phiên bản Essentials Ngoài ra, Windows Server 2019 Standard cho phép thực hiện các hoạt động lai trong môi trường Azure, giúp người dùng kiểm kê, di chuyển dữ liệu, và cài đặt bảo mật cũng như cấu hình từ hệ thống cũ sang phiên bản Windows Server 2019 hoặc đám mây Azure.

Windows Server 2019 Standard cung cấp khả năng chia sẻ tệp hiệu quả cho doanh nghiệp thông qua việc đồng bộ hóa máy chủ file với Azure, đồng thời duy trì tính linh hoạt và hiệu suất của máy chủ file cục bộ Các ứng dụng hoạt động trong mạng cục bộ cũng có thể tận dụng nhiều cải tiến từ đám mây, bao gồm công nghệ Trí tuệ nhân tạo.

Windows Server 2019 Standard cung cấp quyền sử dụng cho hai OSE hoặc VM trên mỗi giấy phép, cùng với một máy chủ Hyper-V Nếu bạn cần thêm VM trong hạ tầng của mình, bạn sẽ phải mua giấy phép bổ sung Ngược lại, phiên bản Datacenter hỗ trợ số lượng VM không giới hạn.

Chuẩn bị cài đặt windows server

- Nêu được cấu hình phần cứng tối thiểu để cài đặt windows server 2019

- Đối với windows Server 2019 yêu cầu về phần cứng như sau:

Bộ xử lý 64-bit 1.4 GHz Tương thích với bộ lệnh x64

Hỗ trợ NX và DEP

Hỗ trợ CMPXCHG16b, LAHF/SAHF, and PrefetchW

Hỗ trợ Second Level Address Translation (EPT hoặc NPT) Ethernet: Adapter Gigabit Ethernet (10/100/1000 Base-T)

512 MB (2 GB với tùy chọn máy chủ cài đặt Desktop Experience)

ECC (Error Correcting Code – mã sửa lỗi) hoặc công nghệ tương tự

Không gian ổ đĩa còn trống

Tối thiểu: 32 GB Khuyến nghị: 50 GB hoặc lớn hơn

Các thiết bị lưu trữ trên server như ổ cứng không thể sử dụng chuẩn PATA Windows Server 2019 không hỗ trợ khởi động từ các ổ đĩa ATA/PATA/IDE/EIDE, bao gồm cả ổ DVD-ROM.

Màn hình Monitor Super VGA (1024 x 768) hoặc cao hơn

Thành phần khác Bàn phím, Chuột của Microsoft hoặc thiết bị trỏ tương thích

Trước khi nâng cấp hoặc cài đặt mới Server, điều quan trọng là kiểm tra tính tương thích của phần cứng máy tính hiện tại với hệ điều hành Windows Server 2019.

2.3 Cài đặt mới hoặc nâng cấp

Khi nâng cấp hệ điều hành Server lên Windows Server 2019, chúng ta cần cân nhắc giữa việc giữ lại các ứng dụng và dữ liệu hiện có hay cài đặt mới hệ điều hành và cấu hình lại mọi thứ Đây là một quyết định quan trọng cần được xem xét kỹ lưỡng để đảm bảo tính ổn định và hiệu suất của hệ thống Các yếu tố cần xem xét bao gồm khả năng tương thích của ứng dụng, yêu cầu về phần cứng, và quy trình sao lưu dữ liệu trước khi thực hiện nâng cấp.

Việc nâng cấp (upgrade) giúp đơn giản hóa quá trình cấu hình Server, đồng thời giữ lại tất cả thông tin quan trọng của bạn như người dùng (users), cấu hình (settings), nhóm (groups), quyền hệ thống (rights) và quyền truy cập (permissions).

Với việc nâng cấp, bạn không cần phải cài đặt lại các ứng dụng Tuy nhiên, nếu có sự thay đổi lớn về ổ cứng, bạn nên sao lưu dữ liệu trước khi tiến hành nâng cấp.

- Trước khi nâng cấp bạn cần xem hệ điều hành hiện tại có nằm trong danh sách các hệ điều hành hỗ trợ nâng cấp thành Windows Server 2019 không ?

Trong những tình huống đặc biệt, như khi bạn cần nâng cấp máy tính đang hoạt động như Domain Controller hoặc máy tính có các phần mềm quan trọng, việc tham khảo thêm hướng dẫn chi tiết là rất cần thiết.

Các hệ điều hành cho phép nâng cấp thành Windows Server 2019:

2.4 Phân chia ổ đĩa Đây là việc phân chia ổ đĩa vật lý thành các partition logic Khi chia partition, bạn phải quan tâm các yếu tố sau:

Để xác định lượng không gian cần cấp phát, bạn cần xem xét không gian mà hệ điều hành, các chương trình ứng dụng và dữ liệu hiện tại cũng như sắp phát sinh chiếm dụng.

- Cấu hình đĩa đặc biệt: Windows Server hỗ trợ nhiều cấu hình đĩa khác nhau Các lựa chọn có thể là volume simple, spanned, striped, Mirroreded hoặc là

- Tiện ích phân chia partition: nếu bạn định chia partition trước khi cài đặt, bạn có thể sử dụng nhiều chương trình tiện ích khác nhau, chẳng hạn như

To install Windows Server, you can initially create a partition using FDISK or PowerQuest Partition Magic After the initial setup, you can utilize the Disk Management tool to create additional partitions as needed.

2.5 Chọn hệ thống tập tin

Hệ thống tập tin NTFS là lựa chọn tối ưu nhờ các tính năng vượt trội như: khả năng chỉ định quyền an toàn cho từng tập tin và thư mục, hỗ trợ nén dữ liệu để tiết kiệm không gian lưu trữ, cho phép thiết lập hạn ngạch sử dụng đĩa cho từng người dùng, và khả năng mã hóa tập tin để nâng cao bảo mật.

2.6 Chọn chế độ sử dụng giấy phép

Bạn chọn một trong hai chế độ giấy phép sau đây:

- Per server licensing: là lựa chọn tốt nhất trong trường hợp mạng chỉ có một

Khi sử dụng máy chủ với chế độ giấy phép, cần xác định số lượng giấy phép tại thời điểm cài đặt hệ điều hành, dựa vào số kết nối đồng thời của các Client đến Server Số lượng giấy phép này có thể được điều chỉnh trong quá trình sử dụng để phù hợp với tình hình mạng hiện tại.

- Per Seat licensing: là lựa chọn tốt nhất trong trường hợp mạng có nhiều Server

Trong chế độ giấy phép này, mỗi Client chỉ cần một giấy phép duy nhất để truy cập tất cả các Server, đồng thời không giới hạn số lượng kết nối đồng thời đến Server.

2.7 Chọn phương án kết nối mạng

2 7 1 Các giao thức kết nối mạng

Windows Server chỉ cài đặt một giao thức TCP/IP mặc định, trong khi các giao thức khác như IPX và AppleTalk có thể được cài đặt sau nếu cần Đặc biệt, giao thức NetBEUI không có trong các tùy chọn cài đặt mà chỉ được cung cấp kèm theo đĩa DVD-ROM cài đặt.

Cài đặt windows server 2019

- Cài đặt được windows server 2019

3.1 Phương tiện cài đặt DVD

Bước 1: Cấu hình BIOS của máy tính để có thể khởi động từ ổ đĩa DVD-ROM

Để thiết lập máy tính khởi động từ CD/DVD, bạn cần khởi động máy và nhấn phím Del hoặc F2, tùy thuộc vào Mainboard của máy tính (Máy tính của tôi sử dụng phím F2).

- Sau khi vào BIOS bạn di chuyển đến thẻ boot và chọn boot từ CD/DVD như hình 1.1

Hình 1.1: Thiết lập máy tính khởi động từ ổ đĩa CD/DVD

Bước 2: Sau khi hoàn tất bạn nhấn F10 để lưu cấu hình và thoát khỏi màn hình

BIOS sau đó bạn khởi động lại máy tính

Hình 1.2: Lưu cấu hình BIOS

Bước 3: Chèn đĩa cài đặt Windows 2019 Server vào ổ đĩa DVD-ROM và thực hiện các bước cài đặt

3.3 Phương tiện cài đặt USB

Bước 1: Cấu hình BIOS của máy tính để có thể khởi động từ USB

Để thiết lập máy tính khởi động từ CD/DVD, bạn cần khởi động lại máy và nhấn phím Del hoặc F2, tùy thuộc vào loại Mainboard của máy tính bạn Trong trường hợp của tôi, phím F2 được sử dụng để truy cập vào cài đặt khởi động.

- Sau khi vào BIOS bạn di chuyển đến thẻ boot và chọn boot từ USB như hình 1.3

Hình 1.3: Thiết lập máy tính khởi động từ USB

Bước 2: Sau khi hoàn tất bạn nhấn F10 để lưu cấu hình và thoát khỏi màn hình

BIOS sau đó bạn khởi động lại máy tính

Hình 1.4: Lưu cấu hình BIOS

Bước 3: Chèn USB cài đặt Windows 2019 Server vào ổ đĩa DVD-ROM và thực hiện các bước cài đặt

Bước 1: Nhấn phím để cài đặt

Khi máy tính khởi động từ phương tiện cài đặt, một thông báo "Press any key to continue " sẽ hiện ra, yêu cầu người dùng nhấn phím bất kỳ để bắt đầu quá trình cài đặt Cửa sổ cài đặt sẽ xuất hiện ngay sau đó.

Hình 1.5.Màn hình chờ nhấn phím bất kỳ

Bước 2: Chờ Windows server 2019 load dữ liệu

Sau khi load xong, một màn hình Setup is starting sẽ hiện ra

Hình 1.6 màn hình Setup is starting

Bước 3: Chọn ngôn ngữ, múi giờ và bàn phím cho Windows server 2019:

+ Language to Install: Ngôn ngữ cài đặt

+ Time and currency format: Định dạng ngày tháng và tiền tệ

+ Keyboard or input method: Kiểu bàn phím bạn sử dụng

- Sau khi bạn lựa chọn hoàn tất, click Next

Hình 1.7: Lựa chọn ngôn ngữ, định dạng ngày tháng và kiểu bàn phím

Bước 4: Lựa chọn hình thức cài đặt click nút Install Now để cài đặt

Bước 5: Xác định product key

Tại khung Type your product key for activation bạn nhập key vào và click nút next để tiếp tục

Hình 1.9: Chờ nhập Product Key

Bước 6: Lựa chọn phiên bản Windows Server 2019 muốn cài đặt

Tại khung các phiên bản Windows Server 2019, bạn chọn Windows Server

2019 Enterprise (Full Installation) và đánh dấu chọn chọn I have selected the edition of

Windows that I purchased Click Next để tiếp tục

Hình 1.10: Lựa chọn phiên bản cài đặt

Bước 7: Chấp nhận điều khoản của Microsoft

Tại bảng các điều khoản bạn click vào I accept the license terms, sau đó click

Hình 1.11: Các điều khoản của Microsoft

Bước 8: Lựa chọn các kiểu cài đặt thích hợp

- Chọn Upgrade nếu muốn nâng cấp

- Chọn Custom(advanced) để cài đặt một phiên bản mới

Hình 1.12: Kiểu cài đặt của Windows server 2019

Bước 9: Chọn phân vùng cài đặt

- Sau đó chọn Drive Option nếu muốn thao tác lên ổ đĩa cứng như New, Delete, Format…v.v…

- Sau đó chọn phân vùng muốn cài đặt và click nút Next

Hình 1.13: Lựa chọn các thao tác trên đĩa cứng

Bước 10: Chờ Windows Server 2019 cà đặt

Quá trình cài đặt Windows Server bắt đầu Trong khi cài đặt, máy tính sẽ tự động khởi động lại

Hình 1.14 Quá trình cài đặt Windows Server 2019

Bước 11: Xác định mật khẩu cho Administrator Đặt mật khẩu cho Administrator

Chú ý: Mật khẩu phải có chiều dài 7 ký tự và phải phứ tạp

Hình 1.5 Đặt mật khẩu Administrator

Bước 12: Màn hình chờ đăng nhập

Nhấn phím Ctrl + Alt + Del để đăng nhập

Bước 13: Xác định mật khẩu để đăng nhập

Nhập mật khẩu Administrator mà bạn đã đặt trong bước 11 để đăng nhập

Hình 1.17 Đăng nhập mật khẩu admin

Bước 14: Xác nhận cài đặt Networks Đối với quá trình đăng nhập lần đầu, xác nhận cài đặt Networks được hiển thị như sau Chọn Yes hoặc No

Hình 1.18 Xác nhận cài đặt mạng

Bước 15: Cửa sổ Server Manger khi đăng nhập Windows Server 2019 Đây là desktop trên Windows Server 2019 Quá trình cài đặt Windows Server đã hoàn tất

Hình 1.19 Cửa sổ Server Manger

Bài tập thực hành của học viên

1 Cài đặt hệ điều hành Windows Server 2019

Tham khảo mục 3 trong bài học trên

Những trọng tâm cần chú ý:

- Cấu hình máy phải đảm bảo yêu cầu

- Phải có thiết bị lưu trữ file cài đặt

- Thiết lập được cách Boot hệ thống, theo phương tiện cài đặt

- Chọn đúng ngôn ngữ, múi giờ, và bàn phím nhập liệu

- Thao tác đúng các bước cài đặt Windows server 2019

Bài mở rộng và nâng cao

Hãy cài đặt nâng cấp Windows Server 2019 Standard lên Datacenter

Yêu cầu đánh giá kết quả học tập

 Trình bày được các bước cài đặt hệ điều hành Windows Server 2019

 Trình bày được các bước cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

+ Thao tác thành thạo các phương tiện Boot để cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

+ Thực hiện đúng các thao tác cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

 Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc

 Về kiến thức: Đánh giá bằng hình thức kiểm tra viết, trắc nghiệm, vấn đáp

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác nâng cấp nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

 Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc.

DỊCH VỤ TÊN MIỀN (DNS)

Tổng quan về DNS

- Trình bày được cấu trúc cơ sở dữ liệu của hệ thống tên miền;

- Mô tả được sự phân cấp của hệ thống tên miền;

DNS (Domain Name System) là hệ thống phân giải tên được phát minh vào năm 1984, cho phép liên kết giữa địa chỉ IP và tên miền Hệ thống này đặt tên theo thứ tự cho máy tính, dịch vụ và các nguồn lực trên Internet, giúp chuyển đổi tên miền dễ hiểu cho con người thành các số định danh nhị phân Qua đó, DNS hỗ trợ việc định vị và địa chỉ hóa các thiết bị trên toàn cầu.

Phép tương thường là công cụ quan trọng trong việc giải thích hệ thống tên miền, hoạt động như một "Danh bạ điện thoại" giúp người dùng tìm kiếm trên Internet bằng cách chuyển đổi tên máy chủ thành địa chỉ IP.

Ví dụ , www.dantri.com.vn dịch thành 208.77.188.166

Hệ thống tên miền cho phép chỉ định tên miền cho người sử dụng Internet một cách có ý nghĩa, không phụ thuộc vào vị trí của họ Nhờ đó, World Wide Web và việc trao đổi thông tin trên Internet có thể duy trì tính ổn định ngay cả khi thay đổi định tuyến hoặc khi người dùng sử dụng thiết bị di động Tên miền Internet cũng dễ nhớ hơn so với các địa chỉ IP.

Địa chỉ IP, như 208.77.188.166 (IPv4) hoặc 2001:db8:1f70::999:de8:7648:6e8 (IPv6), cho phép người dùng truy cập vào các URL và địa chỉ email mà không cần hiểu cách mà các máy tìm kiếm chúng.

Hệ thống tên miền phân phối trách nhiệm gán tên miền và lập bản đồ các tên miền tới địa chỉ IP thông qua việc xác định các máy chủ có thẩm quyền Những máy chủ này chịu trách nhiệm cho tên miền của họ và có thể chỉ định các máy chủ khác cho các tên miền phụ Kỹ thuật này giúp phân phối DNS, chịu đựng lỗi và loại bỏ nhu cầu về một trung tâm duy nhất để đăng ký và cập nhật Tại Việt Nam, tất cả thông tin về IP và các bản ghi DNS được quản lý và cấp phát bởi tổ chức VNNIC Hệ thống DNS quốc gia có nhiệm vụ tiếp nhận và trả lời các truy vấn tên miền VN, do Trung tâm Internet Việt Nam (VNNIC) quản lý, với hiện tại bao gồm 07 cụm máy chủ.

Có tổng cộng 05 cụm máy chủ được đặt tại Việt Nam, bao gồm 02 cụm tại thành phố Hồ Chí Minh, 02 cụm tại Hà Nội, và 01 cụm tại Đà Nẵng Ngoài ra, còn có 02 cụm máy chủ được đặt ở nước ngoài tại nhiều địa điểm khác nhau trên thế giới.

Mỗi Website có một tên (là tên miền hay đường dẫn URL:Universal Resource

Địa chỉ IP gồm bốn nhóm số phân cách bởi dấu chấm (IPv4) Khi bạn mở trình duyệt và nhập tên website, trình duyệt sẽ tự động truy cập vào trang mà không cần nhập địa chỉ IP Quá trình chuyển đổi tên miền thành địa chỉ IP để trình duyệt có thể truy cập website được thực hiện bởi máy chủ DNS Các máy chủ DNS hỗ trợ lẫn nhau trong việc dịch địa chỉ IP.

DNS giúp người dùng chỉ cần nhớ "tên" mà không cần nhớ địa chỉ IP khó nhớ Sử dụng cổng port 53 để truyền thông tin, DNS Server hỗ trợ phân giải tên miền một cách đơn giản, giúp người dùng dễ dàng nhập địa chỉ web và địa chỉ Local mà không gặp rắc rối.

Do tốc độ biên dịch khác nhau của các DNS, người dùng có thể chọn DNS server phù hợp cho mình Có hai cách lựa chọn: sử dụng DNS mặc định của nhà cung cấp dịch vụ Internet, không cần nhập địa chỉ DNS vào kết nối mạng, hoặc sử dụng DNS server khác (miễn phí hoặc trả phí) và phải nhập địa chỉ DNS vào kết nối mạng Địa chỉ DNS server gồm 4 nhóm số cách nhau bởi dấu chấm Trong bài lab này, chúng ta sẽ không sử dụng DNS tự động của Google hay bất kỳ địa chỉ DNS Internet nào, mà sẽ sử dụng địa chỉ IP của DNS Server trong Domain, ví dụ: bản ghi cntt.cdn.edu.vn có địa chỉ là 192.168.2.2.

To configure DNS on a Windows 8 or 10 server, right-click the network icon in the taskbar and select "Open Network and Sharing Center." Next, right-click on the Local Area Network card and choose "Properties." Double-click on "TCP/IPv4," then in the General tab, select "Use the following IP address" to assign a static IP Enter the DNS IP in the "Preferred DNS server" and "Alternate DNS server" fields, and click "OK" to complete the configuration.

DNS là một cơ sở dữ liệu phân tán, cho phép quản trị viên cục bộ quản lý dữ liệu nội bộ của họ, đồng thời đảm bảo dữ liệu dễ dàng truy cập trên toàn bộ hệ thống mạng theo mô hình Client-Server Hiệu suất dịch vụ được cải thiện thông qua cơ chế nhân bản và lưu tạm Một hostname trong miền được tạo thành từ các từ được phân cách bởi dấu chấm (.).

Hình 2.1 Sơ đồ tổ chức DNS

Cơ sở dữ liệu của DNS được cấu trúc như một cây đảo ngược, trong đó mỗi nút được gọi là một miền (domain) Mỗi miền có khả năng được chia nhỏ thành các phân vùng con, được gọi là miền con (subdomain).

Mỗi tên miền (domain name) xác định vị trí của nó trong hệ thống CSDL DNS Trong DNS, tên miền là chuỗi các nhãn được sắp xếp theo thứ tự từ nút cụ thể đến nút gốc của cây, được phân cách bởi dấu chấm.

Tên nhãn bên phải trong mỗi tên miền được gọi là top-level domain Ví dụ, trong miền srv1.csc.hcmuns.edu.vn, ".vn" là top-level domain.

Bảng sau đây liệt kê top-level domain

.com Các tổ chức, công ty thương mại

.org Các tổ chức phi lợi nhuận

.net Các trung tâm hỗ trợ về mạng

.edu Các tổ chức giáo dục

.gov Các tổ chức thuộc chính phủ

.mil Các tổ chức quân sự

.int Các tổ chức được thành lập bởi các hiệp ước quốc tế

Mỗi quốc gia đều có một tên miền cấp cao (top-level domain) riêng, ví dụ như tên miền của Việt Nam là vn và của Mỹ là us Để tìm hiểu thêm về địa chỉ tên miền, bạn có thể tham khảo thông tin tại http://www.thrall.org/domains.htm.

Ví dụ về tên miền của một số quốc gia

Tên miền quốc gia Tên quốc gia

1.2 Đặc điểm của DNS trong Windows Server

- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theo tên domain trong yêu cầu truy vấn

- Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn

- Đồng bộ các DNS zone trong Active Directory (DNS zone replication in

- Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trước đây

- Luân chuyển (Round robin) tất cả các loại RR

- Cung cấp nhiêu cơ chế ghi nhận và theo dõi sự cố lỗi trên DNS

- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone

- Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép DNS

Requestor quản bá những zone transfer packet có kích thước lớn hơn 512 byte.

Cách phân bố dữ liệu quản lý trên tên miền

- Trình bày được sự phân bố dữ liệu quản lý trên tên miền

Những root name server (.) quản lý những top-level domain trên Internet

Tên máy và địa chỉ IP của các name server được công khai và được liệt kê trong bảng dưới đây Các name server này có thể được phân bố trên toàn cầu.

Tên máy tính Địa chỉ IP

Mỗi tổ chức thường đăng ký một hoặc nhiều tên miền và cài đặt một hoặc nhiều máy chủ tên (name server) để duy trì cơ sở dữ liệu cho các máy tính trong miền Các máy chủ tên này được đăng ký trên Internet, trong đó có một máy chủ tên chính (Primary Name Server) và nhiều máy chủ tên phụ (Secondary Name Server) để sao lưu cho máy chủ chính Nếu máy chủ chính gặp sự cố, máy chủ phụ sẽ được sử dụng để phân giải tên.

Primary Name Server có thể tạo ra những subdomain và ủy quyền những subdomain này cho những Name Server khác.

Cơ chế phân giải tên

- Trình bày được cơ chế phân giải tên máy tính thành địa chỉ IP và ngược lại;

3.1 Phân giải tên thành IP

Máy chủ Root Name Server đóng vai trò quan trọng trong việc quản lý các name server ở cấp độ top-level domain Khi có truy vấn về một tên miền, Root Name Server sẽ cung cấp tên và địa chỉ IP của name server quản lý top-level domain Thực tế, hầu hết các root server cũng là máy chủ quản lý các top-level domain Tiếp theo, các name server của top-level domain sẽ cung cấp danh sách các name server có quyền quản lý các second-level domain liên quan Quá trình này tiếp tục cho đến khi tìm được máy chủ quản lý tên miền cần truy vấn.

Root name server đóng vai trò thiết yếu trong quá trình phân giải tên miền Nếu không có sự liên lạc giữa các root name server trên Internet, mọi yêu cầu phân giải tên miền sẽ không thể thực hiện được.

Hình vẽ dưới mô tả quá trình phân giải cntt.edu.vn trên mạng Internet

Hình 2.2 mô tả quá trình phân giải tên miền

Khi khách hàng gửi yêu cầu phân giải địa chỉ IP cho máy tính có tên cntt.DVDn.edu.vn đến name server cục bộ, server này sẽ kiểm tra xem tên miền có thuộc quyền quản lý của mình hay không Nếu có, nó sẽ trả về địa chỉ IP ngay lập tức cho Resolver Nếu không, server sẽ truy vấn đến Root Name Server gần nhất để tìm địa chỉ IP của Name Server quản lý miền vn Tiếp theo, máy chủ name server cục bộ sẽ hỏi name server quản lý miền vn và được dẫn đến máy chủ quản lý miền edu.vn Cuối cùng, máy chủ quản lý edu.vn sẽ chỉ dẫn đến máy chủ quản lý miền DVDn.edu.vn, và sau đó, máy name server cục bộ sẽ truy vấn thành công để nhận được câu trả lời cuối cùng.

Các loại truy vấn: Truy vấn có thể ở 2 dạng:

Truy vấn đệ quy (recursive query) là loại truy vấn mà khi name server nhận được, nó phải trả về kết quả tìm kiếm hoặc thông báo lỗi nếu không phân giải được Name server không có khả năng chuyển tiếp truy vấn đến một name server khác và có thể thực hiện các truy vấn dạng đệ quy.

Name Server cdn.edu.vn

Gởi truy vấn địa chỉ cntt.cdn.edu.vn

Hỏi server quản lý tên miền vn

Hỏi server quản lý tên miền edu.vn

Hỏi server quản lý tên miền cdn.edu.vn

Trả lời địa chỉ IP của cntt.cdn.edu.vn

” au cn vn com ed u cdn udn tương tác đến name server khác nhưng phải thực hiện cho đến khi nào có kết quả mới thôi

Hình 2.3 Truy vấn đệ quy

Truy vấn tương tác (Interactive query) là khi máy chủ tên (name server) nhận được yêu cầu và cung cấp cho Resolver thông tin tốt nhất mà nó có vào thời điểm đó Máy chủ tên không thực hiện thêm bất kỳ truy vấn nào khác, và thông tin trả về có thể được lấy từ dữ liệu cục bộ, bao gồm cả bộ nhớ cache.

Khi name server không tìm thấy thông tin trong dữ liệu cục bộ, nó sẽ trả về tên miền và địa chỉ IP của name server gần nhất mà nó biết.

Hình 2.4 - Truy vấn tương tác

3.2 Phân giải IP thành tên máy tính Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọc hơn Nó còn dùng trong một số trường hợp chứng thực trên hệ thống

UNIX kiểm tra các tập tin rhost và host.equiv để xác định quyền truy cập Trong không gian tên miền, dữ liệu, bao gồm cả địa chỉ IP, được lập chỉ mục theo tên miền, giúp việc tìm kiếm địa chỉ IP từ tên miền trở nên dễ dàng Để phân giải tên máy tính từ địa chỉ IP, một nhánh tên miền bổ sung được tạo ra, được lập chỉ mục theo địa chỉ IP với tên miền in-addr.arpa.

Mỗi nút trong miền in-addr.arpa được xác định bằng một tên nhãn tương ứng với chỉ số thập phân của địa chỉ IP Ví dụ, miền in-addr.arpa có thể chứa 256 subdomain, tương ứng với 256 giá trị từ 0 đến 255 của byte đầu tiên trong địa chỉ IP Mỗi subdomain này lại có cấu trúc riêng biệt, tạo thành một hệ thống phân cấp cho việc quản lý địa chỉ IP.

Mỗi subdomain tương ứng với byte thứ hai, và tiếp tục như vậy, đến byte thứ tư sẽ có các bản ghi chứa tên miền đầy đủ của các máy tính hoặc mạng có địa chỉ IP tương ứng.

Lưu ý khi đọc tên miền địa chỉ IP sẽ xuất hiện theo thứ tự ngược Ví dụ nếu addr.arpa sẽ là 152.192.16.15.in- addr.arpa.

Một số khái niệm cơ bản

- Trình bày được các khái niệm cơ bản

Một miền bao gồm nhiều miền con (subdomain), chẳng hạn như miền ca với các miền con như ab.ca, on.ca, qc.ca Bạn có khả năng ủy quyền cho một số miền con để các máy chủ DNS khác quản lý.

DNS Server được quyền quản lý gọi là zone Như vậy, một Zone có thể gồm một miền, một hay nhiều miền con

- Primary zone: Cho phép đọc và ghi cơ sở dữ liệu

- Secondary zone: Cho phép đọc bản sao cơ sở dữ liệu

- Stub zone: chứa bản sao cơ sở dữ liệu của zone nào đó, nó chỉ chứa chỉ một vài RR(Resource Record)

4.2 Fully Qualified Domain Name (FQDN)

Mỗi nút trên cây có tên gọi dài tối đa 63 ký tự, không chứa dấu chấm Tên rỗng dành riêng cho gốc và được biểu diễn bởi dấu chấm Tên miền đầy đủ của một nút là chuỗi tuần tự các tên gọi từ nút hiện tại đến nút gốc, cách nhau bằng dấu chấm Tên miền có dấu chấm cuối cùng được gọi là tên tuyệt đối (absolute), khác với tên tương đối không kết thúc bằng dấu chấm Tên tuyệt đối cũng được xem là tên miền đầy đủ đã được chứng nhận (Fully Qualified Domain Name – FQDN).

Một trong những mục tiêu chính khi thiết kế hệ thống DNS là khả năng quản lý phân tán thông qua cơ chế ủy quyền Trong một miền, có thể chia thành nhiều miền con, mỗi miền con có thể được ủy quyền cho một tổ chức khác, tổ chức này sẽ chịu trách nhiệm duy trì thông tin trong miền con Miền cha chỉ cần một con trỏ để tham chiếu đến miền con khi có các truy vấn.

Không nhất thiết mọi miền phải tổ chức các miền con và uỷ quyền toàn bộ cho chúng; có thể chỉ một số miền con nhất định được uỷ quyền.

Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các Name Server khác để phân giải các miền bên ngoài

Stub zone là một phần của hệ thống DNS, bao gồm các resource record cần thiết như A, SOA và NS, cùng với địa chỉ của master name server Nó hỗ trợ cập nhật Stub zone, xác thực name server trong zone, và cải thiện hiệu quả phân giải tên miền, đồng thời đơn giản hóa quản trị.

Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổi cao Dịch vụ này sử dụng một chương trình đặc biệt, gọi là Dynamic DNS Client, để giám sát sự thay đổi địa chỉ IP trên máy tính của người dùng Khi địa chỉ IP của host thay đổi, chương trình sẽ liên hệ với hệ thống DNS và cập nhật thông tin về sự thay đổi đó vào cơ sở dữ liệu DNS.

Sử dụng Active Directory-integrated zone có một số thuận lợi sau:

- DNS zone lưu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu được bảo mật hơn

- Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ sở dữ liệu DNS

- Sử dụng secure dynamic update

- Sử dụng nhiều master name server để quản lý tên miền thay vì sử dụng một master name server.

Phân loại Domain Name Server

- Trình bày được các loại tên Domain Server

Primary DNS Server (PDS) là nguồn xác thực chính cho thông tin tên miền mà nó quản lý Thông tin về tên miền được PDS phân cấp lưu trữ và có thể chuyển giao cho các Secondary DNS Server (SDS).

Các tên miền do PDS quản lý thì được tạo, và sửa đổi tại PDS và sau đó được cập nhật đến các SDS

Để đảm bảo tính ổn định và an toàn cho hệ thống DNS, nên sử dụng ít nhất hai máy chủ DNS để lưu trữ địa chỉ cho mỗi vùng (zone) PDS chịu trách nhiệm quản lý các vùng, trong khi SDS được khuyến nghị sử dụng như một giải pháp lưu trữ dự phòng cho vùng và PDS Mặc dù SDS không bắt buộc, việc sử dụng SDS là hữu ích SDS có thể quản lý tên miền, nhưng dữ liệu về tên miền phải được lấy từ PDS thay vì được tạo ra từ SDS.

SDS có khả năng thực hiện các hoạt động không tải trên mạng, giúp duy trì hiệu suất khi lưu lượng truy vấn vùng gia tăng Trong trường hợp này, PDS sẽ chuyển bớt tải sang SDS để cân bằng tải hiệu quả Ngoài ra, khi PDS gặp sự cố, SDS sẽ hoạt động như một giải pháp thay thế cho đến khi PDS phục hồi.

SDS thường được triển khai gần các máy trạm để phục vụ truy vấn một cách hiệu quả Tuy nhiên, việc cài đặt SDS trên cùng một subnet hoặc kết nối với PDS không được khuyến nghị Giải pháp này giúp dự phòng cho PDS, đảm bảo rằng khi kết nối đến PDS gặp sự cố, SDS vẫn hoạt động độc lập và không bị ảnh hưởng.

DNS server sử dụng cơ chế chuyển thông tin từ PDS sang SDS và lưu trữ trên đĩa, giúp quản lý các địa chỉ mới vào các vùng Khi cần phục hồi dữ liệu về các vùng, chúng ta có thể lựa chọn giải pháp lấy toàn bộ (full) hoặc chỉ lấy phần thay đổi (incremental).

Caching Name Server không lưu trữ tập tin CSDL, mà có nhiệm vụ phân giải tên máy trên các mạng xa thông qua các Name Server khác Nó lưu trữ các tên máy đã được phân giải trước đó và sử dụng lại thông tin này để tối ưu hóa quá trình truy xuất.

- Làm tăng tốc độ phân giải bằng cách sử dụng cache

- Giảm bớt gánh nặng phân giải tên máy cho các Name Server

- Giảm việc lưu thông trên những mạng lớn.

Các khái niệm trong Zone

– primary zone: cho phép đọc và ghi cơ sở dữ liệu và có toàn quyền trong việc update dữ liệu của DNS

– secondary zone: cho phép đọc và ghi bản sao của sơ sở dữ liệu và muốn được cập nhật zone thì phải đồng bộ với Primary zone

– forwarder: là kỹ thuật cho phép name server nội bộ gửi yêu cầu truy vấn đến server khác để phân giải những tên miền bên ngoài hệ thống

Sự ủy quyền trong quản lý miền cho phép một miền tổ chức thành các miền con Mỗi miền con có thể ủy quyền cho một tổ chức khác, và tổ chức này có trách nhiệm duy trì thông tin trong miền của mình.

DNS hỗ trợ quản trị phân tán, cho phép chia nhỏ việc quản lý thành nhiều phần khác nhau Mỗi domain có thể có nhiều subdomains, và mỗi subdomain có thể đại diện cho một tổ chức với quyền kiểm soát toàn bộ DNS của mình Sự phân quyền này giúp giảm tải cho hệ thống DNS, tránh việc quản lý tập trung do khối lượng dữ liệu lớn.

FQDN: (Fully Qualified Domain Name)

The Start of Authority (SOA) resource record defines global parameters for a zone or domain Each zone file is permitted to contain only one SOA record, which must be positioned at the beginning, preceding all other records.

• Name server (NS) resource record: chỉ ra Máy chủ tên miền (Name server) của zone đó

• A Resource Records (mẩu tin địa chỉ): mẩu tin cho biết địa chỉ IP tương ứng của một tên miền, có dạng như “example IN A 172.16.48.1”

PTR Records (mẫu tin con trỏ) là loại bản ghi DNS ngược lại với A record, dùng để xác định tên miền tương ứng với một địa chỉ IP Cấu trúc của PTR Records thường có dạng như “1.48.16.172.in-addr.arpa IN PTR example.com.”

CNAME Resource Records serve as a type of DNS record that allows the creation of an alias for a domain name For instance, a CNAME record such as "ftp.example.com IN CNAME ftp1.example.com." enables the redirection of the domain ftp.example.com to ftp1.example.com.

• MX Resource Records (mẩu tin Mail exchange): chỉ ra máy chủ mail của tên miền

Các bản ghi TXT (mẫu tin text) chứa thông tin văn bản không định dạng, thường được sử dụng để lưu trữ thông tin bổ sung Nameserver là chương trình lưu trữ toàn bộ thông tin về không gian tên miền (domain namespace) và chứa thông tin chi tiết về một phần của không gian tên miền đó, gọi là zone Zone có thể được tải từ tệp hoặc từ một nameserver khác.

Hình 2.5 Domain được chia ra thành nhiều zone

Domain.edu được chia thành nhiều zone, mỗi zone có quyền quản lý riêng Có hai loại nameserver: primary master và secondary master.

- Primary: chứa tất cả các thông tin cho domain

- Secondary: hoạt động dự phòng, đề phòng trường hợp Primary fail

Qúa trình Primary gửi bản sao của nó đến Secondary gọi là zone transfer – Resolvers

Là các clients truy cập vào nameservers Các chương trình chạy host nếu cần thông tin từ domain namespace sẽ sử dụng resolver

- Quản lý các trả lời từ nameserver

- Trả thông tin về cho chương trình yêu cầu

– Querying the database: Các truy vấn dns có thể được gửi từ một DNS client (resolver) đến một DNS server hoặc giữa 2 DNS server

Một yêu cầu DNS là một truy vấn nhằm thu thập các kiểu dữ liệu (Resource Records - RRs) Các kiểu dữ liệu trong truy vấn này thường liên quan đến việc ánh xạ tên miền (hostname) đến địa chỉ IP tương ứng.

Cài đặt và cấu hình DNS

- Thực hiện được quá trình cài đặt và cấu hình DNS

8.1 Các bước cài đặt dịch vụ DNS

Bước 1: Mở Server Manager tiến hành cài DNS

Vào Server Manager -> chọn Add role and Feature

Hình 2.6 Cửa sổ Server Manager

Bước 2: Chọn DNS Server để cài đặt

Tích vào ô DNS Server -> click Next

Hình 2.7 Cửa sổ chọn DNS Server

Bước 3: Tiến hành cài đặt DNS Server chọn Install để tiến hành quá trình cài đặt

Hình 2.8 Cửa sổ cài đặt DNS Server

Bước 4: Xác định DNS Server cài xong

Chọn Close để kết thúc quá trình cài đặt

Hình 2.9 Cửa sổ cài đặt DNS Server hoàn thành

8.2 Cấu hình dịch vụ DNS

Forward Lookup Zone để phân giải địa chỉ Tên máy (hostname) thành địa chỉ

IP Để tạo zone này ta thực hiện các bước sau:

Vào Server Manager chọn Tools, Click vào DNS Management

Hình 2.10 Cửa sổ DNS Server

Click chuột phải vào Forward Lookup zone chọn New zone để tạo 1 zone mới vd: itforvn2.com

Hình 2.11 Cửa sổ tạo 1 zone mới

Bước 3: Chọn lựa kiểu zone mới

Chọn Primary zone để tạo 1 zone chính, sau đó click Next tiếp tục

Hình 2.12 Cửa sổ zone type

Bước 4: Nhập tên Domain mà zone sẽ quản lý

Nhập tên DNS server vào Zone name

Hình 2.13 Cửa sổ Zone name

Bước 5: Chọn hình thức tạo DNS server

Chọn Create a new file with thí file name, nhập tên zone cần tạo

Hình 2.14 Cửa sổ Zone file

Bước 6: Chọn hình thức cập nhật cho DNS

 Vì không có AD nên option đầu không hiện lên

Cho phép tự động cập nhật Resource Record từ bất kỳ client nào có thể, nhưng không được khuyến nghị do nguy cơ bảo mật Việc này có thể dẫn đến việc chấp nhận các nguồn không đáng tin cậy.

 Do not allow dynamic updates: Việc update Resource Records phải được làm bằng tay

Hình 2.15 Cửa sổ Dynamic Update

Bước 7: Hoàn thành cấu hình DNS Server

Click vào Finish để hoàn thành việc cấu hinh DNS Server

Hình 2.16 Cửa sổ hoàn thành cấu hình DNS

After creating the Forward Lookup Zone, navigate to the Reverse Lookup Zone, right-click, and select "New Zone." In the Zone Type options, choose "Primary Zone," and in the Reverse Lookup Zone Name window, select "IPv4."

Bước 1: Mở cửa sổ DNS Server

Vào Server Manager chọn Tools, Click vào DNS Management

Hình 2.17 Cửa sổ DNS Server

Bước 2: Tạo zone phân giải nghịch

Right-click trên “reverse Lookup Zone” chọn new zone

Hình 2.18 Cửa sổ tạo zone phân giải nghịch

Bước 3: Chọn lựa kiểu zone mới

Chọn Primary zone để tạo 1 zone chính, sau đó click Next tiếp tục

Hình 2.19 Cửa sổ Zone type

Bước4: Nhập Subnet cho DNS sẽ phân giải Điền Subnet mà DNS sẽ phân giải

Hình 2.20 Cửa sổ Reverse lookup zone name

Bước 5: Chọn hình thức tạo NDS server phân giải nghịch

Tạo mới hoặc sử dụng lại 1 zone file có sẵn phân giải nghịch

Hình 2.21 Cửa sổ zone file phân giải nghịch

Bước 6: Chọn hình thức cập nhật

Chọn chế update tự động

Hình 2.22 Cửa sổ Dynamic Update

Bước 7: Tạo 1 PTR phân giải nghịch

Right-click vào chỗ trống trên zone phân giải nghịch(Reverse Lookup Zones) và chọn tạo mới 1 PTR mà muốn phân giải nghịch

Hình 2.23 Cửa sổ Tạo record A phân giải nghịch

Bước 8: Cập nhập PTR cho tên server DNS click vào Browser để trỏ đến record A mà bạn cần phân giải nghịch

Hình 2.24 Cửa sổ New resoure record

Bước 9: Chọn record A của Web server

Hình 2.25 Cửa sổ Chọn host phân giải nghịch

Bước 10: Xác nhận hoàn thành phân giải nghịch

Hình 2.25 Cửa sổ hoàn thành phân giải nghịch

Bước 11: Kiểm tra kết quả trong zone phân giải nghich

Trong zone phân giải nghich đã có 2 PTR của DNS và web server

Hình 2.26 Cửa sổ tạo zone phân giải nghich

Bước 12: Kiểm tra kết quả phân giải nghịch trên máy client

Qua máy client và tiến hành nslookup xem DNS đã thực hiện phân giải nghich

Hình 2.27 Cửa sổ kiểm tra trên client

1 Cài đặt dịch vụ DNS

2 Cấu hình dịch vụ DNS

Bài tập 1 xem chi tiết tại mục 8.1

Bài tập 2 xem chi tiết tại mục 8.2

- Thiết lập địa chỉ IP cho đúng với hệ thống yêu cầu

- Mạng trong hệ thống phải thông nhau

- Địa chỉ Preferred DNS của các máy trên hệ thống là địa chỉ của máy DNS server

- Phải có tên miền để thiết lập DNS Server

- Thiết lập được SOA phù hợp hệ thống

- Tạo Host phải dúng theo yêu cầu (A: dùng cho IPv4 và AAA: dùng cho IPv6)

- Thao tác phải đúng các bước cài đặt và cấu hình DNS Server trên Windows server 2019

Hãy cài đặt cấu hình DNS server trên Windows Server 2019 theo mô hình sau:

 Trình bày được Cơ chế phân giải tên của DNS trong Windows Server

 Trình bày được các bước cài đặt và cấu hình DNS trong Windows Server 2019

 Thao tác thành thạo việc cài đặt và cấu hình DNS trên Windows Server 2019

 Thực hiện đúng phân giải thuận: Tạo zone, tạo các Records sao cho client truy cập vào cdnct.com và www.cdnct.com trên Windows Server 2019

 Thực hiện phân giải nghịch: Sao cho client sử dụng nslookup các IP của web server, DNS thì biết tên của các server này

 Về kỹ năng: Đánh giá kỹ năng thực hành về các thao tác cài đặt và cấu hình NDS theo yêu cầu trên Windows Server 2019

DỊCH VỤ THƯ MỤC (ACTIVE DIRECTORY)

Active Directory

- Trình bày được cấu trúc của Active Directory trên windows server

Active Directory (AD) là dịch vụ thư mục quản lý thông tin về tài nguyên mạng, giúp quản lý hiệu quả và mở rộng linh hoạt Bài viết này sẽ cung cấp cái nhìn tổng quan về Active Directory và khảo sát các thành phần chính của dịch vụ này.

Active Directory (AD) encompasses various components, including user data, printers, servers, databases, user groups, computers, and security policies.

Ngoài ra một khái niệm mới được sử dụng là container (tạm dịch là tập đối tượng)

Ví dụ Domain là một tập đối tượng chứa thông tin người dùng, thông tin các máy trên mạng, và chứa các đối tượng khác

1.2 Chức năng của Active Directory

- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính

- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc

Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng)

Duy trì một bảng hướng dẫn hoặc bảng chỉ mục là cách hiệu quả để các máy tính trong mạng có thể nhanh chóng dò tìm tài nguyên trên các máy tính khác trong khu vực Việc này không chỉ giúp tiết kiệm thời gian mà còn nâng cao hiệu suất truy cập thông tin trong mạng.

Chúng ta có thể tạo tài khoản người dùng với các mức độ quyền khác nhau, bao gồm quyền toàn quyền trên hệ thống mạng, quyền sao lưu dữ liệu và quyền tắt máy chủ từ xa.

Chúng ta có thể chia nhỏ miền thành các miền con (subdomain) hoặc các đơn vị tổ chức (OU), từ đó ủy quyền cho các quản trị viên bộ phận quản lý các bộ phận nhỏ một cách hiệu quả.

Dịch vụ danh bạ (Directory Services) là hệ thống thông tin được lưu trữ trong NTDS.DIT, bao gồm các chương trình quản lý và khai thác tập tin này Đây là dịch vụ cơ sở quan trọng, đóng vai trò nền tảng trong việc hình thành hệ thống Active Directory, nổi bật với những tính năng vượt trội của Microsoft.

1.3.2 Các thành phần trong Directory Services Đầu tiên, bạn phải biết được những thành phần cấu tạo nên dịch vụ danh bạ là gì? Bạn có thể so sánh dịch vụ danh bạ với một quyển sổ lưu số điện thoại Cả hai đều chứa danh sách của nhiều đối tượng khác nhau cũng như các thông tin và thuộc a Object (đối tượng)

Trong hệ thống cơ sở dữ liệu, các đối tượng như máy in, người dùng mạng, server, máy trạm, thư mục dùng chung và dịch vụ mạng đều đóng vai trò quan trọng Đối tượng là thành tố cơ bản nhất trong dịch vụ danh bạ, giúp tổ chức và quản lý thông tin hiệu quả.

Một thuộc tính là yếu tố mô tả một đối tượng, chẳng hạn như mật khẩu và tên là thuộc tính của người dùng mạng Mỗi đối tượng có danh sách thuộc tính riêng, nhưng cũng có thể chia sẻ một số thuộc tính giống nhau Ví dụ, cả máy in và máy trạm đều có thuộc tính chung là địa chỉ IP Cấu trúc tổ chức của các thuộc tính này được gọi là schema.

Schema là một định nghĩa tổng hợp các thuộc tính dùng để mô tả một loại đối tượng cụ thể, chẳng hạn như máy in, với các thuộc tính như tên, loại PDL và tốc độ Danh sách các thuộc tính này tạo thành schema cho lớp đối tượng "máy in" Đặc biệt, schema có tính tùy biến, cho phép sửa đổi các thuộc tính để định nghĩa lớp đối tượng Tóm lại, schema có thể được coi là một danh bạ cho các danh bạ khác.

Active Directory d Container (vật chứa)

Vật chứa trong Active Directory tương tự như thư mục trong Windows, có khả năng chứa các đối tượng và vật chứa khác Mặc dù vật chứa không đại diện cho một thực thể cụ thể như đối tượng, nhưng nó vẫn sở hữu các thuộc tính riêng.

Có ba loại vật chứa là:

- Domain: khái niệm này được trình bày chi tiết ở phần sau

Một site là một vị trí, được sử dụng để phân biệt giữa các vị trí cục bộ và các vị trí xa xôi Chẳng hạn, công ty XYZ có tổng hành dinh tại San Francisco, một chi nhánh ở Denver, và một văn phòng đại diện tại Portland, tất cả đều kết nối với tổng hành dinh qua Dialup Networking Như vậy, hệ thống mạng này bao gồm ba site khác nhau.

OU (Organizational Unit) là một loại vật chứa cho phép bạn tổ chức người dùng, nhóm, máy tính và các OU khác trong cùng một domain Một OU không thể chứa các đối tượng từ domain khác, nhưng có thể chứa các OU khác, giúp bạn xây dựng mô hình thứ bậc để phản ánh cấu trúc tổ chức bên trong một domain Việc sử dụng OU giúp giảm thiểu số lượng domain cần thiết trong hệ thống, tối ưu hóa quản lý tài nguyên.

Dịch vụ Global Catalog cho phép xác định vị trí của các đối tượng mà người dùng được cấp quyền truy cập Tính năng tìm kiếm của dịch vụ này vượt trội hơn so với Windows NT, cho phép định vị đối tượng không chỉ qua tên mà còn thông qua các thuộc tính của chúng.

Khi cần in một tài liệu dày 50 trang với số lượng 1000 bản, việc sử dụng máy in HP Laserjet 4L là không khả thi Thay vào đó, bạn nên tìm kiếm một máy in chuyên dụng với tốc độ in 100 trang mỗi phút (ppm) và khả năng đóng quyển tài liệu.

Các thành phần của AD

- Trình bày được các thành phần của Active Directory

Gồm các thành phần: domains (vùng), organization units (đơn vị tổ chức), trees (hệ vùng phân cấp) và forests (tập hợp hệ vùng phân cấp)

Hình 3.1 Cấu trúc AD logic 2.1.1 Organizational Units

Organizational Unit (OU) là đơn vị nhỏ nhất trong hệ thống Active Directory (AD), đóng vai trò như một vật chứa các đối tượng (Object) nhằm sắp xếp và quản lý chúng hiệu quả OU được thiết lập dựa trên subnet, giúp tổ chức và quản lý tài nguyên trong mạng một cách hợp lý.

IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau” Việc sử dụng

OU có hai công dụng chính sau:

Trao quyền kiểm soát cho một nhóm người hoặc phụ tá quản trị viên trên một tập hợp tài khoản người dùng, máy tính, hoặc thiết bị mạng giúp giảm bớt gánh nặng quản trị cho quản trị viên hệ thống chính.

Kiểm soát và hạn chế một số chức năng trên máy trạm người dùng trong OU có thể thực hiện thông qua việc sử dụng đối tượng chính sách nhóm (GPO) Chúng ta sẽ khám phá chi tiết về các chính sách nhóm này trong các chương tiếp theo.

Domain là đơn vị chức năng quan trọng trong cấu trúc Active Directory, giúp quản lý người dùng, máy tính và tài nguyên chia sẻ với các quy tắc bảo mật giống nhau Nó tạo điều kiện thuận lợi cho việc quản lý truy cập vào các server Domain thực hiện ba chức năng chính: định nghĩa quản trị cho các đối tượng chia sẻ, duy trì một cơ sở dữ liệu thư mục chung và thiết lập các chính sách bảo mật cùng quan hệ ủy quyền với các domain khác.

- Giúp chúng ta quản lý bảo mật các các tài nguyên chia sẻ

Chúng tôi cung cấp các máy chủ dự phòng với chức năng điều khiển miền (domain controller), đảm bảo rằng thông tin trên các máy chủ này được đồng bộ hóa một cách chính xác.

Domain Tree là cấu trúc phân cấp gồm nhiều domain, bắt đầu từ domain root ở gốc cây thư mục Các domain con (child domain) được tạo ra dưới domain root và phải có tên khác biệt Khi có một domain root và ít nhất một domain con, một cây domain hình thành Khái niệm này thường xuất hiện trong các dịch vụ thư mục, với cấu trúc giống như cây khi có nhiều nhánh.

Rừng (Forest) được hình thành từ một hoặc nhiều Domain Tree, là tập hợp các Domain Tree có mối quan hệ và ủy quyền lẫn nhau Ví dụ, khi một công ty như Microsoft mua lại một công ty khác, mỗi công ty thường sở hữu một hệ thống Domain Tree riêng Để quản lý hiệu quả, các Domain Tree này sẽ được hợp nhất thông qua khái niệm rừng.

Trong ví dụ trên, công ty mcmcse.com thu mua được techtutorials.com và xyzabc.com và hình thành rừng từ gốc mcmcse.com

2.2 Cấu trúc AD vật lý

Gồm: sites và domain controllers

Địa bàn (site) là tập hợp các mạng con được kết nối, giúp việc truyền thông qua mạng trở nên dễ dàng hơn và xác định ranh giới vật lý xung quanh các tài nguyên mạng.

Điều khiển vùng (domain controllers) là máy tính chạy Windows Server, lưu trữ bản sao dữ liệu của vùng Mỗi vùng có thể bao gồm một hoặc nhiều điều khiển vùng, và mọi thay đổi dữ liệu trên một điều khiển vùng sẽ tự động được cập nhật lên các điều khiển vùng khác trong cùng một vùng.

Cài đặt và cấu hình active directory

- Cài đặt và cấu hình được máy điều khiển vùng

- Gia nhập máy trạm vào máy điều khiển vùng (join domain)

3.1 Nâng cấp Server thành Domain Controller(DC)

Bước 1: Đăng nhập vào server bạn muốn cài đặt Active Directory

Hình 3.4 Đăng nhập Server manager

Bước 2: Mở Add roles and Features

Nhấp vào Manage và chọn Add roles and Features

Hình 3.5 Mở Add roles and Features

Bước 3: Thực hiện theo wizard next

Chọn Role-based or feature-based installation Sau đó nhấp vào Next

Hình 3.6 Cửa sổ Before you begin

Bước 4: Chọn loại hình cài đặt

Chọn Role-based or feature-based installation Sau đó nhấp vào Next

Hình 3 7 Cửa sổ Select installation type

Bước 5: Chọn Server mặc định

Chọn Select a Server from pool để mặc định đang chọn server ví dụ NVPSRVDC02

Hình 3.8 Cửa sổ Select a Server from pool

Bước 6: Chọn cách thức cài đặt

Chọn Active Directory Domain Services, Next để tiếp

Hình 3.9 Cửa sổ Select server roles

Bước 7: Chọn cách thức cài đặt cho AD

Tại Select Features-> để mặc định chọn next

Hình 3.10 Cửa sổ Select Features

Bước 8: Chấp nhận thông tin về AD DS Đọc thông tin được cung cấp về AD DS Sau đó nhấp vào Next

Hình 3.11 Cửa sổ về AD DS

Bước 9: Chọn Install để cài đặt

Hình 3.12 Cửa sổ cài đặt bắt đầu

Bước 10: Chờ server tự động cài đặt ADDS

Hình 3.13 Cửa sổ Installtion progress

Bước 11: Tiến hành cài Domain Controler o Cách 1: Chọn -> Promote This Server to a Domain Controller theo hình 3.14

Hình 3.14 Cửa sổ chọn Promote This Server to a Domain Controller

- Cách 2: Chọn -> Promote This Server to a Domain Controller từ Server

Hình 3.15 Cửa sổ cài đặt từ Server Manager

- Cách 3 Chọn start-> run->dcpromo.exe

- Ở mục Deployment configuration chọn add a new forest

- Nhập tên Domain Controller vào Root domain name

Hình 3.16 Cửa sổ Deployment configuation

Bước 13: Chọn dòng Windows server và đặt Password nâng cấp Domain Ở mục domain controller option nhập password để khi AD lỗi có thể truy cập chế độ restore DSRM

Hình 3.17 Cửa sổ đặt Password

Bước 14: Ở mục DNS Option, Additional option chúng ta ấn next và chọn install để tiến hành nâng cấp lên Domain controller

Bước 15: Chờ validate NetBios domain name

Hình 3.19 Cửa sổ Additional option

Bước 16: Để mặc định lưu trữ file

Bước 17: Click vào Install để nâng cấp lên Domain

Hình 3.21 Cửa sổ Prerequisites check

Bước 18: Sau khi cài đặt xong máy sẽ tự động restart, khi đó lúc đăng nhập vào nó sẽ hiển thị là MAITANLOC\administrator thay vì chỉ administrator

Hình 3.22 Cửa sổ hoàn thành nâng cấp Domani

Hình 3.23 Cửa sổ đăng nhập có Domain

3.2 Gia nhập máy trạm vào Domain Đầu tiên cấu hình lại địa chỉ IP Ở phần DNS, nhập địa chỉ IP của domain controller ví dụ: 172.16.70.223

Hình 3.24 Cửa sổ đặt IP cho Client

Bước 2: Ping kiểm tra Client và DC có thông nhau không

Hình 3.25 Cửa sổ kiểm tra thông nhau 2 máy

Bước 3: Chuột phải vào This PC -> Properties

Bước 4: Click Change settings -> Change

Hình 3.27 Cửa sổ System Properties

Bước 5: Nhập tên domain vào Domain của mục Member of và click OK

Hình 3.28 Cửa sổ gia nhâp Domain

Bước 6: Nhập mật khẩu user Administrator quản lý domain controller và click OK

Hình 3.29 Cửa sổ xác nhận Password cho Administrator

Bước 7: Thông báo sau khi thực hiện thành công

Hình 3.30 Cửa sổ gia nhập Domain thành công

Bước 8: Sau khi reboot, máy client đã nhận domain thành công

Hình 3.30 Cửa sổ đăng nhập Domain thành công Lưu ý:

 Khi đăng nhập vào máy client Nếu ta nhập thông tin mật khẩu cũ thì ta chỉ đăng nhập vào máy tính đó

 Để đăng nhập vào domain Ta cần có thông tin tài khoản do người quản trị domain controller cung cấp Ví dụ đăng nhập bằng user tech1@cdnct.com

Chỉ tài khoản của người quản trị domain controller mới có quyền thay đổi cấu hình hệ thống, trong khi các user khác không thể thực hiện điều này trừ khi được phân quyền quản trị viên.

 Nếu muốn join một server chạy Windows Server vào domain, ta thực hiện các bước tương tự như trên

1 Cài đặt và cấu hình Active Directory (AD) trên Windows server 2019

2 Gia nhập máy trạm vào Domain controller

- Bài tập 1 làm theo mục 3.1 của giáo trình

- Bài tập 2 làm từng bước theo mục 3.2 của giáo trình

- Thiết lập địa chỉ IP cho đúng với hệ thống yêu cầu

- Mạng trong hệ thống phải thông nhau

- Đổi tên máy chủ cho phù hợp trước khi lên Domain controller

- Địa chỉ Preferred DNS của các máy trên hệ thống là địa chỉ của máy chủ

- Phải đăng nhập đúng user Administrator trước khi cài đặt Domain controller

- Tên miền phải đúng qui cách và thể hiện được tổ chức lên DC

- Thiết lập password phù hợp hệ thống và lưu lại để sau này còn sao lưu và phục hồi hệ thống khi cần thiết

- Chọn cho đúng phiên bản hệ điều hành đang sử dụng

- Đổi tên máy Client trước khi gia nhập DC

- Tắt tường lửa cho máy DC và Client trên hệ thống

- Thao tác phải đúng các bước cài đặt, cấu hình và gia nhập DC trên Windows server 2019

Bài tập 1: Hãy cài đặt và cấu hình Domain controller + DNS server trên

Windows Server 2019 theo mô hình sau:

Bài tập 2: Hãy Cấu hình Additional Domain Controller trên Windows Server

 Trình bày được Chức năng của Active Directory trong Windows Server

 Trình bày được các bước cài đặt và gia nhập vào Domain controller trên Windows Server 2019

 Thao tác thành thạo việc cài đặt và cấu hình Active Directory trên Windows Server 2019

 Thao tác thành thạo việc Nâng cấp Server thành Domain Controller trên Windows Server 2019

 Thực hiện đúng Gia nhập máy trạm vào Domain

 Thực hiện đúng Additional Domain Controller trên hệ thống

 Đánh giá kỹ năng thực hành về các thao tác cài đặt Domain controller theo yêu cầu trên Windows Server 2019

 Đánh giá kỹ năng thực hành về các thao tác cài đặt Additional Domain controller theo yêu cầu trên Windows Server 2019

QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM

Định nghĩa tài khoản người dùng và tài khoản nhóm

- Nêu được định nghĩa tài khoản người dùng, tài khoản nhóm

Tài khoản người dùng là một yếu tố quan trọng đại diện cho người dùng trên mạng, được phân biệt qua chuỗi nhận dạng username Chuỗi nhận dạng này cho phép hệ thống mạng phân biệt các người dùng khác nhau, từ đó giúp họ đăng nhập và truy cập các tài nguyên mà mình được phép sử dụng.

1.1.1 Tài khoản người dùng cục bộ

Tài khoản người dùng cục bộ là tài khoản được định nghĩa trên máy tính cục bộ, cho phép người dùng logon và truy cập tài nguyên chỉ trên máy tính đó Để truy cập tài nguyên trên mạng, người dùng cần chứng thực với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ Bạn có thể tạo tài khoản người dùng cục bộ thông qua công cụ Local Users and Group trong Computer Management (COMPMGMT.MSC) Các tài khoản cục bộ được tạo trên máy stand-alone server, member server hoặc máy trạm sẽ được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager), nằm trong thư mục \Windows\system32\config.

Hình 4.1 Người dùng cục bộ 1.1.2 Tài khoản người dùng miền

Tài khoản người dùng miền là tài khoản được định nghĩa trong Active Directory, cho phép người dùng đăng nhập vào mạng và truy cập các tài nguyên mạng Để tạo tài khoản này, bạn sử dụng công cụ Active Directory Users and Computers (DSA.MSC) Khác với tài khoản người dùng cục bộ, tài khoản người dùng miền không được lưu trữ trong các tập tin cơ sở dữ liệu.

SAM mà chứa trong tập tin NTDS.DIT, theo mặc định thì tập tin này chứa trong thư mục \Windows\NTDS

1.1.3 Yêu cầu về tài khoản người dùng

Mỗi username trên hệ thống phải có độ dài từ 1 đến 20 ký tự Mặc dù trên Windows Server có thể sử dụng tên đăng nhập dài tới 104 ký tự, nhưng khi đăng nhập từ các máy sử dụng hệ điều hành Windows NT 4.0 trở về trước, hệ thống chỉ nhận diện tối đa 20 ký tự.

- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau

- Username không chứa các ký tự sau: “ / \ [ ]: ; | =, + * ? < >

Trong một username, có thể sử dụng các ký tự đặc biệt như dấu chấm câu, khoảng trắng, dấu gạch ngang và dấu gạch dưới Tuy nhiên, nên tránh sử dụng khoảng trắng, vì những tên này cần được đặt trong dấu ngoặc khi sử dụng trong các kịch bản hoặc dòng lệnh.

Tài khoản nhóm là một công cụ quản lý đại diện cho một nhóm người, giúp dễ dàng quản lý quyền truy cập vào các tài nguyên mạng như thư mục chia sẻ và máy in Người dùng có thể đăng nhập vào mạng, trong khi tài khoản nhóm chỉ dùng để quản lý và không được phép đăng nhập Tài khoản nhóm được phân loại thành hai loại chính: nhóm bảo mật và nhóm phân phối.

Nhóm bảo mật là công cụ quan trọng trong việc cấp phát quyền hệ thống và quyền truy cập Mỗi nhóm bảo mật, tương tự như tài khoản người dùng, đều được gán một SID duy nhất Có ba loại nhóm bảo mật chính: local, global và universal Tuy nhiên, khi xem xét kỹ lưỡng, chúng ta có thể phân loại thành bốn loại: local, domain local, global và universal.

Nhóm cục bộ là loại nhóm tồn tại trên các máy chủ độc lập (stand-alone server) và máy chủ thành viên (member server) Các nhóm này chỉ có ý nghĩa và phạm vi hoạt động giới hạn trên chính máy chủ mà chúng được tạo ra.

A domain local group is a special type of local group that exists on a Domain Controller These Domain Controllers share a common Active Directory database that is synchronized across all controllers As a result, a local group created on one Domain Controller is also present on its sibling Domain Controllers, which is why it is referred to as a domain local group Additionally, the groups found in the Built-in section of Active Directory are classified as domain local groups.

Nhóm toàn cục (global group) trong Active Directory được tạo ra trên các Domain Controller, cho phép cấp phát quyền hệ thống và quyền truy cập vượt qua ranh giới miền Nhóm này có thể được thêm vào nhóm local của các server thành viên trong miền Tuy nhiên, việc tạo nhiều nhóm toàn cục có thể làm tăng tải trọng công việc của Global Catalog.

Nhóm phổ quát (Universal group) hoạt động tương tự như nhóm toàn cầu (Global group) nhưng cho phép cấp quyền cho các đối tượng trong toàn bộ miền của một rừng và giữa các miền có mối quan hệ tin cậy Nhóm này mang lại sự thuận tiện hơn so với nhóm toàn cầu và nhóm cục bộ (Local group) nhờ khả năng dễ dàng lồng ghép các nhóm với nhau.

Nhóm phân phối là một loại nhóm phi bảo mật, không có SID và không xuất hiện trong các danh sách kiểm soát truy cập (ACL) Nhóm này chủ yếu được sử dụng bởi phần mềm và dịch vụ, không phải bởi các nhà quản trị Chức năng chính của nhóm phân phối là để gửi thư điện tử (e-mail) hoặc tin nhắn (message) Bạn sẽ thường xuyên gặp loại nhóm này khi làm việc với phần mềm MS Exchange.

1.2.3 Qui tắc gia nhập nhóm

- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong nhóm Machine Local

- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong chính loại nhóm của mình

- Nhóm Global và Universal có thể đặt vào trong nhóm Domain local.

Các tài khoản tạo sẵn

- Trình bày được các tài khoản tạo sẵn

2.1 Tài khoản người dùng tạo sẵn

Tài khoản người dùng tạo sẵn (Built-in) là những tài khoản mặc định được tạo ra khi cài đặt Windows Server Những tài khoản này thuộc về hệ thống, do đó người dùng không có quyền xóa, nhưng có thể đổi tên, lưu ý rằng việc đổi tên tài khoản hệ thống phức tạp hơn so với tài khoản bình thường Tất cả tài khoản người dùng tạo sẵn đều nằm trong Container Users của công cụ Active Directory User and Computer Dưới đây là bảng mô tả các tài khoản người dùng được tạo sẵn.

Tên tài khoản Mô tả

Tài khoản Administrator là một tài khoản đặc biệt với quyền hạn toàn diện trên máy tính Trong quá trình cài đặt Windows Server, bạn có thể thiết lập mật khẩu cho tài khoản này Tài khoản Administrator có khả năng thực hiện mọi tác vụ như tạo tài khoản người dùng, quản lý nhóm, xử lý các tập tin hệ thống và cấu hình máy in.

Tài khoản Guest cho phép người dùng truy cập máy tính mà không cần tài khoản và mật khẩu riêng Mặc định, tài khoản này không hoạt động, và khi được sử dụng, quyền hạn của nó thường bị hạn chế, chẳng hạn như chỉ cho phép truy cập Internet hoặc in ấn.

Tài khoản ILS là loại tài khoản đặc biệt dành cho dịch vụ ILS, hỗ trợ các ứng dụng điện thoại với các tính năng như caller ID, hội nghị video, gọi hội nghị và fax Để sử dụng ILS, người dùng cần cài đặt dịch vụ IIS.

Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong dịch vụ IIS trên máy tính có cài IIS

Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình của các ứng dụng trên máy có cài IIS

Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân phối khóa (Key Distribution Center)

TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services

2.2 Tài khoản nhóm Domain Local tạo sẵn

Trong công cụ Active Directory User and Computers, container Users chứa các nhóm universal, domain local và global theo quy định mặc định của hệ thống Một số nhóm domain local đặc biệt được lưu trữ trong container Built-in và không thể di chuyển sang các OU khác Những nhóm này được gán quyền cố định để phục vụ cho công tác quản trị, và lưu ý rằng không có quyền xóa các nhóm đặc biệt này.

Nhóm này được cấp quyền hạn đầy đủ, cho phép các thành viên quản lý toàn bộ hệ thống mạng Cả nhóm Domain Admins và Enterprise Admins đều là thành viên mặc định trong nhóm Administrators.

Các thành viên trong nhóm này có quyền thêm, xóa và sửa đổi tài khoản người dùng, tài khoản máy và tài khoản nhóm Tuy nhiên, họ không được phép xóa hoặc sửa đổi các nhóm trong container Built-in và OU.

Nhóm này tồn tại độc quyền trên các Domain Controller và mặc định không có thành viên nào Các thành viên trong nhóm có khả năng đăng nhập cục bộ vào các Domain Controller, tuy nhiên, họ không được cấp quyền quản trị các chính sách bảo mật.

Thành viên trong nhóm này có quyền lưu trữ dự phòng và phục hồi hệ thống tập tin Nếu hệ thống tập tin sử dụng NTFS và không được cấp quyền, họ chỉ có thể truy cập thông qua công cụ Backup Để truy cập trực tiếp, thành viên cần được cấp quyền tương ứng.

Nhóm người dùng vãng lai, hay còn gọi là tài khoản Guest, bị hạn chế quyền truy cập vào các tài nguyên trên mạng Mặc định, các tài khoản này thường bị khóa, không cho phép truy cập vào các dịch vụ và thông tin của mạng.

Print Operator Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏ các đối tượng máy in dùng chung trong Active Directory

Các thành viên trong nhóm có trách nhiệm quản trị các máy chủ trong miền, bao gồm các nhiệm vụ như cài đặt, quản lý máy in, tạo và quản lý thư mục dùng chung, sao lưu dữ liệu, định dạng ổ đĩa và điều chỉnh thời gian.

Mặc định mọi người dùng được tạo đều thuộc nhóm này, nhóm này có quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế

Replicator Nhóm này được dùng để hỗ trợ việc sao chép danh bạ trong

Directory Services, nhóm này không có thành viên mặc định

Thành viên nhóm này có thể tạo ra các quan hệ tin cậy hướng đến, một chiều vào các rừng Nhóm này không có thành viên mặc định

Thành viên nhóm này có quyền sửa đổi các thông số TCP/IP trên các máy Domain Controller trong miền

Thành viên nhóm này có thể đăng nhập từ xa vào các Domain

Controller trong miền, nhóm này không có thành viên mặc định

Nhóm này cho phép các thành viên truy cập từ xa để ghi nhận hiệu năng của các máy Domain Controller, và không có thành viên mặc định nào trong nhóm.

Thành viên nhóm này có khả năng giám sát từ xa các máy

Bên cạnh các nhóm như DHCP Users, DHCP Administrators và DNS Administrators, những nhóm này chủ yếu hỗ trợ cho các dịch vụ cụ thể, sẽ được phân tích chi tiết trong giáo trình “Dịch Vụ Mạng” Cần lưu ý rằng hai nhóm Domain Computers và Domain Controllers được thiết lập chủ yếu cho tài khoản máy tính, tuy nhiên, bạn vẫn có khả năng thêm tài khoản người dùng vào hai nhóm này.

2.3 Tài khoản nhóm Global tạo sẵn

Các thành viên trong nhóm Domain Admins có quyền quản trị toàn bộ máy tính trong miền Khi gia nhập miền, các máy chủ thành viên và máy trạm (Win2K Pro, WinXP) tự động thêm nhóm Domain Admins vào nhóm cục bộ Administrators, đảm bảo quyền truy cập và quản lý tối đa cho các quản trị viên.

Mọi tài khoản người dùng trên miền đều tự động trở thành thành viên của nhóm mặc định này Nhóm này cũng là thành viên của nhóm cục bộ Users trên các máy chủ thành viên và máy trạm.

Thành viên nhóm này có quyền sửa đổi chính sách nhóm của miền, theo mặc định tài khoản administrator miền là thành viên của nhóm này

Quản lý tài khoản người dùng và nhóm cục bộ

- Sử dụng được các công cụ tạo và quản trị tài khoản người dùng và nhóm cục bộ

Mặc định, khi người dùng được tạo ra, họ sẽ trở thành thành viên của một nhóm Nhóm này là một đối tượng trong hệ thống, được sử dụng để lưu trữ thông tin quản lý tài khoản người dùng hoặc tài khoản nhóm khác.

Chức năng của Group trong Windows giúp quản lý và phân quyền cho một nhóm người dùng có cùng mục đích, thay vì phân quyền cho từng user một cách chi tiết, giúp tiết kiệm thời gian Windows cung cấp các Group mặc định dựa trên các chức năng khác nhau, trong đó có hai nhóm chính.

 Nhóm 1: có chức năng quản lý hệ thống, vd: group Administrators

(tạo user, chỉnh giờ, tắt máy v.v)

 Nhóm 2: nhóm được phép truy cập, sử dụng tài nguyên, vd: group

Bước 1: Mở cửa sổ tạo user

Cách 1: Start > Run: lusrmgr.msc

Hình 4.3 Cửa sổ lusrmgr.msc Cách 2: Vào Server manager

Chọn Group khung bên trái, sau đó Right click -> “Group” để tiến hành tạo Group mới

Hình 4.4 Cửa sổ New Group

Bước 3: Nhập thông tin cho Group

Hình 4.6 Cửa sổ tạo Group

3.2 Các thao tác cơ bản trên tài khoản người dùng cục bộ

Cách 1: Start > Run: lusrmgr.msc

Hình 4.7 Cửa sổ lusrmgr.msc Cách 2: Vào Server manager

Chọn User, sau đó Right click -> “New User” để tiến hành tạo User mới

Hình 4.9 Cửa sổ New user

Bước 3: Nhập thông tin cho User

 Username: tên định danh cho tài khoản User, không phân biệt chữ hoa chữ thường

 Password: thông tin mật khẩu sử dụng để đăng nhập tài khoản User

Password của các tài khoản sẽ được lưu trong file SAM với đường dẫn:

Người dùng cần thay đổi mật khẩu tại lần đăng nhập tiếp theo Sau khi đổi mật khẩu, thuộc tính này sẽ không còn được đánh dấu Tính năng này giúp người dùng tự thiết lập mật khẩu khi tạo tài khoản mới Nếu phát hiện tài khoản có dấu hiệu bị dò mật khẩu, người dùng sẽ được yêu cầu đổi mật khẩu, hoặc có thể tự thực hiện bằng cách nhấn Ctrl + Alt + Del.

 User cannot change password: người dùng không thể đổi password Dùng tính năng này khi có các tài khoản dùng chung cho nhiều người

Mật khẩu không bao giờ hết hạn là một tính năng quan trọng, giúp người dùng không phải thay đổi mật khẩu sau 42 ngày như mặc định Nếu không kiểm tra, mật khẩu sẽ tự động hết hạn, gây gián đoạn cho các tài khoản sử dụng cho tác vụ trên hệ thống, chẳng hạn như tài khoản backup Việc yêu cầu đổi mật khẩu sau 42 ngày có thể dẫn đến việc chương trình backup ngừng hoạt động, ảnh hưởng đến quy trình làm việc liên tục.

Tài khoản bị vô hiệu hóa không thể đăng nhập hoặc truy cập vào các tài nguyên trên hệ thống Khi gặp các tài khoản không còn sử dụng, nên chọn cách vô hiệu hóa thay vì xóa bỏ chúng.

Hình 4.10 Cửa sổ tạo user

Bước 4: Xác nhận User vừa tạo

Hình 4.11 Cửa sổ quản lý user 3.2.2 Xóa tài khoản

Bước 1: Mở cửa sổ quản lý User

Hình 4.12 Cửa sổ quản lý User

Bước 2: Chọn User cần xóa, nhấn phím Delete hoặc Right click lên User cần xóa, Chọn Yes để xóa

Hình 4.13 Cửa sổ xóa User

Khi bạn chọn xóa tài khoản, hệ thống sẽ hiển thị hộp thoại xác nhận để đảm bảo bạn thực sự muốn thực hiện hành động này, nhằm tránh việc xóa nhầm Lưu ý rằng một khi tài khoản đã bị xóa, bạn sẽ không thể phục hồi lại.

Khi tài khoản không được sử dụng trong thời gian dài, bạn nên khóa lại để đảm bảo bảo mật và an toàn cho hệ thống Việc xóa tài khoản sẽ khiến bạn không thể phục hồi, vì vậy chỉ nên tạm khóa tài khoản Để thực hiện, trong công cụ Local Users and Groups, hãy nhấp đúp chuột vào người dùng cần khóa để mở hộp thoại Properties của tài khoản.

Trong Tab General, đánh dấu vào mục Account is disabled

Hình 4.14 Cửa sổ khóa User

Bạn có thể dễ dàng đổi tên bất kỳ tài khoản người dùng nào và điều chỉnh thông tin tài khoản thông qua chức năng này Ưu điểm của chức năng là khi thay đổi tên người dùng, SID của tài khoản vẫn giữ nguyên Để đổi tên tài khoản, hãy mở công cụ Local Users and Groups, chọn tài khoản cần thay đổi, nhấp chuột phải và chọn Rename.

Hình 4.15 Cửa sổ khóa User

To change a user's password, open the Local Users and Groups tool, select the user account you wish to modify, right-click on it, and choose "Reset Password." Then, click "Proceed" and enter the new password.

Hình 4.16 Cửa sổ Set pasword cho User

Quản lý tài khoản người dùng và nhóm trên active directory

- Sử dụng được các công cụ tạo và quản trị tài khoản người dùng và nhóm cục bộ

4.1 Tạo mới tài khoản người dùng

Cách 1: Start > Administrative Tools-> Active Directory User and Computers

Hình 4.17 Cửa sổ Administrative Tools Cách 2: Vào Server manager

Chọn nơi chứa User, sau đó Right click -> “New User” để tiến hành tạo User mới

Hình 4.19 Cửa sổ New user

Bước 3: Nhập thông tin cho User

Hình 4.20 Cửa sổ tạo user

Bước 4: Xác nhận mật khẩu cho User vừa tạo

Hình 4.21 Cửa sổ nhập mật khẩu

Bước 5: Click vào Finish để hoàn thành tạo User miền

Hình 4.22 Cửa sổ hoàn thành tạo user miền

4.2 Các thuộc tính của tài khoản người dùng

4.2.1 Các thông tin mở rộng của người dùng

Tab General lưu trữ thông tin cơ bản của người dùng mà bạn đã cung cấp khi tạo tài khoản mới Ngoài ra, bạn có thể bổ sung các thông tin khác như số điện thoại, địa chỉ email và liên kết đến trang web cá nhân của mình.

Tab Address cho phép người dùng nhập thông tin chi tiết về địa chỉ tài khoản, bao gồm đường, thành phố, mã vùng và quốc gia Trong khi đó, Tab Telephones cho phép khai báo các số điện thoại liên quan đến tài khoản người dùng.

Tab Organization cho phép bạn khai báo các thông tin người dùng về: chức năng của công ty, tên phòng ban trực thuộc, tên công ty …

Tab Account cho phép người dùng khai báo lại tên đăng nhập, thiết lập giờ đăng nhập vào mạng, chỉ định máy trạm được phép sử dụng, quản lý chính sách tài khoản và xác định thời điểm hết hạn của tài khoản.

Cửa sổ Tab Account cho phép điều khiển giờ logon vào mạng thông qua nút Logon Hours Mặc định, tất cả người dùng có quyền truy cập 24/7 Hệ thống sẽ kiểm tra thời gian logon và từ chối truy cập nếu không nằm trong khoảng cho phép, hiển thị thông báo lỗi "Unable to log you on because of an account restriction." Bạn có thể thay đổi quy định giờ logon bằng cách chọn thời gian cần điều chỉnh và nhấp vào Logon Permitted hoặc Logon Denied Ví dụ, có thể chỉ cho phép người dùng làm việc từ 7h sáng đến 5h chiều, từ thứ 2 đến thứ 6.

By default, users are not automatically logged off when their login hours expire, but this setting can be adjusted in the Group Policy under Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options by enabling "Automatically Log Off Users When Logon Hours Expire." Alternatively, you can modify this logoff information using the Domain Security Policy or Local Security Policy, depending on your specific context.

Khi chọn lựa máy trạm để truy cập vào mạng (Log On To), bạn nhấp vào nút Log On To để mở hộp thoại Logon Workstations Hộp thoại này cho phép bạn xác định người dùng có thể logon từ tất cả các máy tính trong mạng hoặc chỉ từ một số máy tính nhất định Ví dụ, trong môi trường bảo mật, người quản trị mạng nên chỉ định tài khoản của họ để logon từ một số máy tính cụ thể nhằm tránh nguy cơ bị giả mạo Để chỉ định máy tính mà người dùng được phép logon, hãy nhập tên máy tính vào mục Computer Name và nhấn nút Add.

Trong Tab này, phần cuối cùng quy định thời gian hết hạn của tài khoản người dùng Nếu chọn "Never" trong mục "Account Expires", tài khoản sẽ không bị hết hạn Ngược lại, nếu chọn "End of: ngày tháng hết hạn", tài khoản sẽ bị tạm khóa vào ngày đã chỉ định.

Tab Profile cho phép người dùng thiết lập đường dẫn đến hồ sơ tài khoản của mình, chỉ định tệp logon script sẽ tự động chạy khi đăng nhập, và khai báo thư mục chính (home folder).

Hình 4.24 Cửa sổ Tab Profile

User Profiles là thư mục lưu trữ thông tin cá nhân hóa trên Windows Server cho từng người dùng mạng, bao gồm các thiết lập về màn hình Desktop, nội dung menu Start, phối màu sắc, và vị trí sắp xếp các biểu tượng.

Khi người dùng đăng nhập vào mạng, một profile sẽ được tạo tự động Nếu đây là lần đầu đăng nhập, họ sẽ nhận được một profile chuẩn, và một thư mục mang tên người dùng sẽ được tạo trong thư mục Documents and Settings Thư mục profile chứa tập tin ntuser.dat, hoạt động như một thư mục con với các liên kết đến biểu tượng nền của người dùng Trong Windows Server, có ba loại profile khác nhau.

Local Profile: là profile của người dùng được lưu trên máy cục bộ và họ tự cấu hình trên profile đó

Roaming Profile là một loại hồ sơ người dùng được lưu trữ trên mạng, cho phép quản trị viên thêm thông tin đường dẫn của hồ sơ người dùng vào tài khoản Điều này giúp tự động duy trì một bản sao của tài khoản người dùng trên mạng, đảm bảo người dùng có thể truy cập vào dữ liệu của mình từ bất kỳ thiết bị nào trong hệ thống.

Để quản lý mạng hiệu quả, người quản trị cần thêm thông tin đường dẫn user profile vào tài khoản người dùng Sau đó, họ sẽ sao chép một profile đã được cấu hình sẵn vào đường dẫn này Kết quả là, tất cả người dùng sẽ sử dụng chung profile đó và không có quyền thay đổi nó.

Kịch bản đăng nhập (logon script) là các tập tin chương trình được thực thi khi người dùng đăng nhập vào hệ thống, nhằm cấu hình môi trường làm việc và phân phát tài nguyên mạng như ổ đĩa và máy in từ Server Bạn có thể sử dụng nhiều ngôn ngữ kịch bản để tạo logon script, bao gồm lệnh shell của DOS/NT/Windows, Windows Scripting Host (WSH), VBScript và Jscript.

Thư mục cá nhân (home folder hay home directory) là không gian lưu trữ riêng cho mỗi tài khoản người dùng, cho phép lưu trữ tài liệu và tập tin cá nhân, đồng thời là thư mục mặc định tại dấu nhắc lệnh Để tạo thư mục cá nhân cho người dùng, trong mục Connect, bạn cần chọn ổ đĩa hiển thị trên máy trạm và xác định đường dẫn mà ổ đĩa này sẽ ánh xạ đến, lưu ý rằng các thư mục dùng chung phải được chia sẻ Ví dụ, thư mục cá nhân cho tài khoản Tuan được thiết lập như sau.

“\\server\tuan”, nhưng bạn có thể thay thế tên tài khoản bằng biến môi trường người dùng như: “\\server\%username%”

Tab Member Of cho phép bạn kiểm tra và cấu hình tài khoản người dùng hiện tại, hiển thị các nhóm mà tài khoản đó là thành viên Mỗi tài khoản có thể thuộc nhiều nhóm khác nhau và sẽ thừa hưởng quyền hạn từ tất cả các nhóm này Để tham gia vào một nhóm, bạn chỉ cần nhấp vào nút "Add" và hộp thoại chọn nhóm sẽ xuất hiện.

QUẢN LÝ ĐĨA VÀ DỮ LIỆU

Cấu hình hệ thống tâp tin

- Phân biệt được các loại định dạng hệ thống tập tin trên đĩa cứng

Hệ thống tập tin quản lý việc lưu trữ và định vị các tập tin trên đĩa cứng

Windows Server hỗ trợ ba hệ thống tập tin: FAT, FAT32 và NTFS Để tận dụng các tính năng như bảo mật cục bộ, nén và mã hóa tập tin, NTFS là lựa chọn tối ưu Dưới đây là bảng tóm tắt khả năng của từng hệ thống tập tin trên Windows Server.

Khả năng FAT FAT32 NTFS

Hệ điều hành hỗ trợ Hầu hết các hệ điều hành

Hỗ trợ tên tập tin dài 256 ký tự trên

Windows 256 ký tự 256 ký tự

Sử dụng hiệu quả đĩa Không Có Có

Hỗ trợ nén đĩa Không Không Có

Hỗ trợ hạn ngạch Không Không Có

Hỗ trợ mã hoá Không Không Có

Hỗ trợ bảo mật cục bộ Không Không Có

Hỗ trợ bảo mật trên mạng Có Có Có

Kích thước Volume tối đa được hỗ trợ 4GB 32GB 1024GB

Trên hệ điều hành Windows Server/Windows/NT, bạn có thể sử dụng lệnh CONVERT để chuyển đổi hệ thống tập tin từ FAT hoặc FAT32 sang NTFS Cú pháp của lệnh CONVERT rất đơn giản và dễ thực hiện.

Cấu hình đĩa lưu trữ

- Phân biệt được các loại đĩa lưu trữ trên windows server

Ổ đĩa vật lý bao gồm các partition primary và extended, trong đó partition đầu tiên được tạo ra gọi là partition primary, sử dụng toàn bộ không gian được cấp Mỗi ổ đĩa có tối đa bốn partition, cho phép tạo ba partition primary và một partition extended Với partition extended, người dùng có thể tạo ra nhiều partition logical.

2.2 Dynamic storage Đây là một tính năng mới của Windows Server Đĩa lưu trữ dynamic chia thành các volume dynamic Volume dynamic không chứa partition hoặc ổ đĩa logic, và chỉ có thể truy cập bằng Windows Server và Windows Windows Server/ Windows hỗ trợ năm loại volume dynamic: simple, spanned, striped, Mirroreded và RAID-5 Ưu điểm của công nghệ Dynamic storage so với công nghệ Basic storage:

- Cho phép ghép nhiều ổ đĩa vật lý để tạo thành các ổ đĩa logic (Volume)

- Cho phép ghép nhiều vùng trống không liên tục trên nhiều đĩa cứng vật lý để tạo ổ đĩa logic

- Có thể tạo ra các ổ đĩa logic có khả năng dung lỗi cao và tăng tốc độ truy xuất…

Một đĩa dynamic duy nhất có thể chứa không gian được phân chia thành các phần liên tục hoặc không liên tục Hình ảnh minh họa cho thấy một đĩa vật lý được chia thành hai volume đơn giản.

Volume spanned bao gồm một hoặc nhiều đĩa dynamic (tối đa 32 đĩa) và được sử dụng để tăng kích thước của volume Dữ liệu được ghi theo thứ tự từ đĩa này sang đĩa khác Người quản trị thường chọn volume spanned khi ổ đĩa trong volume gần đầy và cần bổ sung thêm đĩa để mở rộng dung lượng.

Hình 5.2 Volume spanned dụng Nhược điểm chính của volume spanned là nếu một đĩa bị hỏng thì toàn bộ dữ liệu trên volume không thể truy xuất được

Lưu trữ dữ liệu trên các dãy (strip) đồng nhất trên một hoặc nhiều đĩa vật lý (tối đa 32) cho phép ghi dữ liệu tuần tự, từ đó thực hiện nhiều tác vụ I/O đồng thời, tăng tốc độ truy xuất dữ liệu Các quản trị mạng thường sử dụng volume striped để kết hợp dung lượng của nhiều ổ đĩa vật lý thành một đĩa logic, đồng thời cải thiện tốc độ truy xuất.

Nhược điểm chính của volume striped là nếu một ổ đĩa bị hỏng thì dữ liệu trên toàn bộ volume mất giá trị

Hai bản sao của một volume đơn giản được tạo ra bằng cách sử dụng một ổ đĩa chính và một ổ đĩa phụ Khi dữ liệu được ghi lên ổ đĩa chính, nó sẽ được sao chép đồng thời lên ổ đĩa phụ, đảm bảo an toàn và bảo mật cho thông tin.

Volume dạng này cung cấp khả năng dung lỗi tốt, cho phép ổ đĩa còn lại hoạt động bình thường ngay cả khi một đĩa bị hỏng, giúp duy trì quá trình truy xuất dữ liệu mà không bị gián đoạn Tuy nhiên, nhược điểm của phương pháp này là bộ điều khiển đĩa phải ghi dữ liệu lần lượt lên cả hai đĩa, dẫn đến hiệu suất bị giảm.

Để nâng cao tốc độ ghi và khả năng dung lỗi, bạn có thể áp dụng biến thể của volume Mirroreded gọi là duplexing, yêu cầu sử dụng một bộ điều khiển đĩa khác cho ổ đĩa thứ hai.

Nhược điểm chính của phương pháp này là chi phí cao Để có một volume 4GB bạn phải tốn đến 8GB cho hai ổ đĩa

RAID-5 tương tự như volume striped nhưng bổ sung thông tin kiểm lỗi parity Khi một ổ đĩa trong volume bị hỏng, thông tin parity trên ổ đĩa khác sẽ hỗ trợ phục hồi dữ liệu Volume RAID-5 yêu cầu ít nhất ba ổ đĩa và có thể mở rộng tối đa đến 32 ổ đĩa.

Hình 5.6 Volume Volume RAID-5 Ưu điểm chính của kỹ thuật này là khả năng dung lỗi cao và tốc độ truy xuất cao bởi sử dụng nhiều kênh I/O.

Sử dụng chương trình Disk Manager

Mục tiêu: Sử dụng được công cụ Disk Manager để quản lý đĩa cứng

Disk Manager is a graphical utility designed for managing disks and volumes in Windows and Windows Server environments To access all the features of the program, you must log in with an Administrator account Navigate to Start > Programs > Administrative Tools > Computer Management, then expand the Storage section and select Disk Management The Disk Management window will appear as shown.

3.1 Xem thuộc tính của đĩa

Nhấp phải chuột lên ổ đĩa vật lý muốn biết thông tin và chọn Properties Hộp thoại Disk Properties xuất hiện như sau:

Hộp thoại cung cấp các thông tin:

- Số thứ tự của ổ đĩa vật lý

- Loại đĩa (basic, dynamic, DVD-ROM, DVD, đĩa chuyển dời được, hoặc unknown)

- Trạng thái của đĩa (online hoặc offline)

- Lượng không gian chưa cấp phát

- Loại thiết bị phần cứng

- Nhà sản xuất thiết bị

- Danh sách các volume đã tạo trên đĩa

3.2 Xem thuộc tính của volume hoặc đĩa cục bộ

Trên ổ đĩa dynamic, người dùng làm việc với các volume, trong khi ổ đĩa basic sử dụng các đĩa cục bộ Cả volume và đĩa cục bộ đều có chức năng tương tự nhau Để xem thuộc tính của một đĩa cục bộ, bạn chỉ cần nhấp chuột phải vào đĩa cục bộ đó và chọn Properties, sau đó hộp thoại Local Disk Properties sẽ xuất hiện.

Hình 5.9 Local Disk Properties 3.2.1 Tab General

Cung cấp thông tin quan trọng về nhãn đĩa, loại, hệ thống tập tin, dung lượng đã sử dụng, dung lượng còn trống và tổng dung lượng Nút "Disk Cleanup" cho phép mở chương trình Disk Cleanup, giúp xoá các tập tin không cần thiết và giải phóng không gian đĩa hiệu quả.

Nhấn nút "Check Now" để kích hoạt chương trình kiểm tra lỗi đĩa, giúp khắc phục tình trạng không thể truy xuất đĩa hoặc khởi động máy không đúng cách Sử dụng nút "Backup Now" để mở chương trình Backup Wizard, hướng dẫn bạn thực hiện các bước trong chương trình Disk Defragment, giúp dồn các tập tin trên đĩa thành một khối liên tục, từ đó cải thiện hiệu suất truy xuất đĩa.

Liệt kê các ổ đĩa vật lý Windows Server nhận diện được Bên dưới danh sách liệt kê các thuộc tính của ổ đĩa được chọn

Theo mặc định, tất cả các ổ đĩa cục bộ đều được chia sẻ dưới dạng ẩn với ký hiệu $ sau tên chia sẻ Bạn có thể tùy chọn cho phép hoặc không cho phép chia sẻ ổ đĩa cục bộ này.

Đĩa cục bộ chỉ xuất hiện khi sử dụng hệ thống tập tin NTFS, cho phép thiết lập quyền truy cập lên đĩa Mặc định, nhóm Everyone có toàn quyền truy cập vào thư mục gốc của đĩa.

Chỉ xuất hiện khi sử dụng NTFS Dùng để quy định lượng không gian đĩa cấp phát cho người dùng

Shadow Copies là dịch vụ cho phép người dùng truy cập và khôi phục các phiên bản trước của tập tin đã lưu thông qua tính năng Previous Versions trên máy trạm.

Nếu bạn có không gian chưa sử dụng trên đĩa basic, bạn có thể tạo thêm partition mới, trong khi trên đĩa dynamic, bạn có thể tạo thêm volume mới Bài viết này sẽ hướng dẫn bạn cách sử dụng Create Partition Wizard để tạo một partition mới.

Nhấp phải chuột lên vùng trống chưa cấp phát của đĩa chọn New simple volume

Xuất hiện hộp thoại Create Partition Wizard Nhấn nút Next trong hộp thoại này

Trong hộp thoại "Chọn loại phân vùng", hãy lựa chọn loại phân vùng mà bạn muốn tạo Bạn chỉ có thể chọn những loại phân vùng có khả năng tạo mới, tùy thuộc vào ổ đĩa vật lý của bạn Sau khi hoàn tất việc chọn loại phân vùng, nhấn "Tiếp theo" để tiếp tục.

Tiếp theo, hộp thoại Specify Partition Size yêu cầu bạn cho biết dung lượng định cấp phát Sau khi chỉ định xong, nhấn Next

Hình 5.11 Nhập dung lượng đĩa

Trong hộp thoại Assign Drive Letter or Path, bạn có thể gán ký tự ổ đĩa cho phân vùng, gắn nó vào một thư mục rỗng, hoặc không thực hiện thao tác nào Việc gắn vào thư mục rỗng cho phép tạo ra nhiều phân vùng mới Sau khi hoàn tất quyết định, nhấn Next để tiếp tục.

Hộp thoại Format Partition yêu cầu bạn quyết định có định dạng phân vùng hay không Nếu có, bạn cần chọn hệ thống tập tin, xác định kích thước đơn vị cấp phát, và đặt nhãn cho phân vùng (volume label) Bạn cũng cần quyết định xem có thực hiện định dạng nhanh hay không, cũng như có nén tập tin và thư mục hay không Sau khi hoàn tất các lựa chọn, nhấn Next để tiếp tục.

Hình 5.13 Định dạng phân vùng

The Completing the Create Partition Wizard dialog summarizes the actions to be taken; ensure everything is correct before clicking Finish to initiate the process.

3.5 Thay đổi ký tự ổ đĩa hoặc đường dẫn

To change the drive letter for a specific partition or volume, right-click on the desired volume and select "Change Drive Letter and Path." This action will open the "Change Drive Letter and Path" dialog box.

Hình 5.13 Thay đổi ký tự ổ đĩa

Trong hộp thoại này, nhấn nút Edit để mở tiếp hộp thoại Edit Drive Letter and

Để gán một ký tự ổ đĩa mới cho phân vùng hoặc volume, bạn cần mở danh sách và chọn tùy chọn "Assign a drive letter" Cuối cùng, hãy xác nhận các thay đổi mà bạn đã thực hiện.

3.6 Xoá partition/volume Để tổ chức lại một ổ đĩa hoặc huỷ các dữ liệu có trên một partition/volume, bạn có thể xoá nó đi Để thực hiện, trong cửa sổ Disk Manager, bạn nhấp phải chuột lên partition/volume muốn xoá và chọn Delete Partition (hoặc Delete Volume)

Quản lý việc nén dữ liệu

- Sử dụng được công cụ nén dữ liệu

Nén dữ liệu là quá trình lưu trữ dữ liệu dưới dạng thức chiếm ít không gian hơn so với dữ liệu gốc Windows Server hỗ trợ tính năng nén tự động và trong suốt cho các tập tin và thư mục Hệ điều hành tự động giải nén khi mở tập tin và nén lại khi lưu lên đĩa, giúp các ứng dụng truy xuất tập tin nén một cách bình thường Tính năng này chỉ khả dụng trên các partition NTFS Nếu bạn sao chép tập tin hoặc thư mục từ partition có tính năng nén sang partition khác, quá trình nén sẽ không được duy trì.

Khi sử dụng hệ điều hành FAT, các tập tin hoặc thư mục sẽ được giải nén trước khi sao chép Để nén một tập tin hoặc thư mục, bạn cần mở chương trình Windows Explorer và thực hiện các bước hướng dẫn cần thiết.

- Trong cửa sổ Windows Explorer, duyệt đến tập tin/thư mục định nén và chọn tập tin/thư mục đó

- Nhấp phải chuột lên đối tượng đó và chọn Properties

- Trong hộp thoại Properties, nhấn nút Advanced trong tab General

- Trong hộp thoại Advanced Properties, chọn mục “Compress contents to save disk space” và nhấn chọn OK

Click OK in the Properties dialog to confirm your action If you are compressing a folder, the Confirm Attribute Changes dialog will appear, prompting you to choose whether to compress only the folder (Apply changes to this folder only) or to include subfolders and files within it (Apply changes to this folder, subfolders, and files) Make your selection and click OK.

To extract a folder or file, follow the same steps as outlined above, ensuring to uncheck the option "Compress contents to save disk space" in the Advanced Properties dialog.

Thiết lập hạn ngạch đĩa (disk quota)

Hạn ngạch đĩa cứng cho phép quản lý và giới hạn không gian lưu trữ mà người dùng có thể sử dụng trên một volume NTFS Việc áp dụng hạn ngạch đĩa giúp đảm bảo rằng mỗi người dùng chỉ chiếm dụng một lượng không gian tối đa, từ đó tối ưu hóa hiệu suất và bảo mật dữ liệu trong hệ thống.

Một số vấn đề bạn phải lưu ý khi thiết lập hạn ngạch đĩa:

- Chỉ có thể áp dụng trên các volume NTFS

- Lượng không gian chiếm dụng được tính theo các tập tin và thư mục do người dùng sở hữu

Khi người dùng cài đặt một chương trình, không gian đĩa khả dụng mà chương trình nhận diện được tính toán dựa trên hạn ngạch đĩa của người dùng, chứ không phải dựa vào tổng lượng không gian trống trên volume.

- Được tính toán trên kích thước thật sự của tập tin trong trường hợp tập tin/thư mục được nén

5.1 Cấu hình hạn ngạch đĩa

Để cấu hình hạn ngạch đĩa, bạn cần sử dụng hộp thoại Volume Properties, có thể mở bằng cách nhấp chuột phải vào ký tự ổ đĩa trong Windows Explorer và chọn Properties Trong hộp thoại này, bạn chọn tab Quota Lưu ý rằng tính năng hạn ngạch đĩa không được kích hoạt mặc định.

Các mục trong hộp thoại có ý nghĩa như sau:

- Enable quota management: thực hiện hoặc không thực hiện quản lý hạn ngạch đĩa

Người dùng sẽ không thể tiếp tục sử dụng dung lượng đĩa khi vượt quá hạn ngạch quy định, và sẽ nhận được thông báo "hết dung lượng đĩa".

When setting up default quota limits for new users on this volume, you can define usage limits by selecting from several options: "Do not limit disk space" for unrestricted access, "Limit disk space to" for specific storage caps, or "Set warning level to" for alerts when approaching the designated usage threshold.

Chọn các tùy chọn ghi nhận hạn ngạch cho volume này: ghi lại các sự kiện liên quan đến việc sử dụng hạn ngạch đĩa Hệ thống có khả năng ghi nhận khi người dùng vượt quá giới hạn cho phép hoặc khi vượt quá giới hạn cảnh báo.

Biểu tượng đèn giao thông trong hộp thoại có các trạng thái sau:

- Đèn đỏ cho biết tính năng quản lý hạn ngạch không được kích hoạt

- Đèn vàng cho biết Windows Server đang xây dựng lại thông tin hạn ngạch

- Đèn xanh cho biết tính năng quản lý đang có tác dụng

5.2 Thiết lập hạn ngạch mặc định

Khi thiết lập hạn ngạch mặc định cho người dùng mới trên volume, chỉ những người chưa tạo tập tin trên volume đó mới bị ảnh hưởng Người dùng đã sở hữu tập tin/thư mục trên volume sẽ không bị áp dụng chính sách hạn ngạch Để áp đặt hạn ngạch cho tất cả người dùng, bạn cần chỉ định hạn ngạch ngay khi tạo volume Mở hộp thoại Volume Properties, chọn tab Quota, đánh dấu chọn mục Enable quota management và điền các giá trị giới hạn sử dụng cùng giới hạn cảnh báo.

5.3 Chỉ định hạn ngạch cho từng cá nhân

Trong một vài trường hợp, bạn cần phải chỉ định hạn ngạch cho riêng một người nào đó, chẳng hạn có thể là các lý do sau:

- Người dùng này sẽ giữ nhiệm vụ cài đặt các phần mềm mới, và như vậy họ phải có được lượng không gian đĩa trống lớn

Nếu người dùng đã tạo nhiều tập tin trên volume trước khi thiết lập hạn ngạch, họ sẽ không bị ảnh hưởng bởi giới hạn này Để áp dụng một hạn ngạch mới cho người dùng đó, bạn cần tạo một giới hạn riêng Để thực hiện việc này, hãy nhấn vào nút "Quota Entries" trong tab Quota của hộp thoại Volume.

Properties Cửa sổ Quota Entries xuất hiện

Hình 5.26 Cửa sổ Quota Entries

Để chỉnh sửa thông tin hạn ngạch của người dùng, bạn chỉ cần nhấn đúp vào mục của người dùng tương ứng Hộp thoại Quota Setting sẽ xuất hiện, cho phép bạn thay đổi các giá trị hạn ngạch theo nhu cầu.

Hình 5.27 Cửa sổ Quota Setting

Để bổ sung quy định hạn ngạch, trong cửa sổ Quota Entries, bạn vào menu Quota và chọn New Quota Entry Sau đó, hộp thoại Select Users sẽ xuất hiện, tại đây bạn chọn người dùng và nhấn OK Tiếp theo, hộp thoại Add New Quota Entry sẽ hiện ra, bạn nhập các giá trị hạn ngạch phù hợp và nhấn OK để hoàn tất.

Mã hoá dữ liệu bằng efs

- Sử dụng được công cụ mã hóa dữ liệu

EFS (Encrypting File System) là một kỹ thuật trên Windows Server cho phép mã hóa các tập tin lưu trữ trên các partition NTFS, cung cấp một lớp bảo vệ an toàn cho hệ thống tập tin Chỉ những người dùng có khóa đúng mới có thể truy cập các tập tin đã mã hóa, trong khi những người khác sẽ bị từ chối Ngoài ra, quản trị mạng có thể sử dụng tác nhân phục hồi (recovery agent) để truy xuất bất kỳ tập tin nào bị mã hóa Để thực hiện mã hóa tập tin, người dùng cần tuân theo các bước hướng dẫn cụ thể.

Mở cửa sổ Windows Explorer

Trong cửa sổ Windows Explorer, chọn các tập tin và thưc mục cần mã hoá

Nhấp phải chuột lên các tập tin và thư mục, chọn Properties

Trong hộp thoại Properties, nhấn nút Advanced

Hộp thoại Advanced Properties xuất hiện, đánh dấu mục Encrypt contents to secure data và nhấn OK

Hình 5.28 Cửa sổ mã hoá dữ liệu

In the Properties dialog, click OK to bring up the Confirm Attribute Changes dialog, which prompts you to choose whether to encrypt only the selected folder (Apply changes to this folder only) or to encrypt the entire folder along with its subfolders and files (Apply changes to this folder, subfolders and files) After making your selection, click OK.

Để ngừng mã hóa các tập tin, hãy thực hiện các bước tương tự như trước, nhưng bỏ chọn mục "Encrypt contents to secure data" trong cửa sổ Confirm Attribute Changes.

Hình 5.30 Cửa sổ không mã hoá

1 Quản lý đĩa theo Basic Disk: Ổ thứ 1 (Disk 0): chia làm 2 phần phân vùng 1 phân vùng chứa hệ thống trên Windows server 2019 và 1 phân vùng chứa dữ liệu có tên DATA

2 Quản lý đĩa theo Dynamic Disk: Disk 1, Disk 2, Disk 3 a Tạo đĩa Spanned Volume từ với Disk 1 là 10GB, Disk 2 là 15GB và đặt tên là DATA-SPANNED b Tạo đĩa Striped Volume từ với Disk 1, Disk 3 có từ với dung lượng là 10GB và và đặt tên là DATA-STRIPED c Tạo đĩa Mirrored Volume từ với Disk 2, Disk 3 có từ với dung lượng là 20GB và và đặt tên là DATA- MIRRORED d Tạo đĩa RAID-5 Volume từ với Disk 1, Disk 2, Disk 3 có từ với dung lượng là 30GB và và đặt tên là DATA- RAID

3 Thiết lập hạn ngạch đĩa (disk quota) cho đĩa DATA của Disk 0, các user được cấp 2GB

- Bài tập 1 làm theo các bước trong mục 3.3 của giáo trình

- Bài tập 2 làm các bước trong mục 3.7 của giáo trình

- Bài tập 3 làm theo mục 5 của giáo trình

- Chọn ổ đĩa cho đúng để không bị lỗi hệ thống

- Khi nâng cấp từ Basic lên Dynamic dữ liệu trên các phân vùng được bảo toàn

- Trong khi đó nếu hạ từ Dynamic xuống Basic thì dữ liệu hoàn toàn bị xoá sạch

- Convert đĩa phải thích hợp, đúng yêu cầu

- Khi chúng ta cho phép user lưu trữ dữ liệu trên file server phải đúng dung lượng

Để tránh việc tăng dung lượng không cần thiết của file server, cần thiết lập hạn ngạch lưu trữ cho người dùng Trước khi cài đặt Domain Controller, hãy đảm bảo đăng nhập bằng tài khoản Administrator đúng cách.

- Thiết lập password phù hợp hệ thống và lưu lại để sau này còn sao lưu và phục hồi hệ thống khi cần thiết

- Chọn cho đúng phiên bản hệ điều hành đang sử dụng

- Disk Quota – thiết lập hạn ngạch đĩa cho user lưu trữ cho đúng phân vùng

- Thao tác phải đúng các bước Quản lý đĩa và giới hạn đĩa trên Windows server

Tình huống : Khi chúng ta cho phép user lưu trữ dữ liệu trên file server (dùng

Việc sử dụng chức năng Map Network Drive cho phép người dùng lưu trữ phim, video và các tệp tin khác, dẫn đến việc gia tăng đáng kể dung lượng không cần thiết trên máy chủ lưu trữ Do đó, cần thiết phải áp đặt hạn ngạch lưu trữ cho người dùng thông qua việc thiết lập Disk Quota, nhằm quản lý và kiểm soát dung lượng lưu trữ hiệu quả.

 Sử dụng Disk Quota - File Server Resource Manager (FSRM) Hạn chế lưu trữ file theo định dạng (vd: cấm file exe, cấm flv, mp4, …) theo mô hình như trên

 Cân bằng tải file Server Nhầm đáp ứng nhu cầu cho người dùng khi có sự truy cập nhiều hoặc có sự cố mất kết nối ở server File Server

 Trình bày được Chức năng Quản lý đĩa và giới hạn đĩa trên Windows Server

 Trình bày được các bước Quản lý đĩa và giới hạn đĩa trên Windows Server

 Thao tác thành thạo việc giới hạn đĩa trên Windows Server 2019

 Thực hiện đúng Cân bằng tải file Server trên Windows Server 2019

 Đánh giá kỹ năng thực hành về các thao tác Quản lý đĩa và giới hạn đĩa trên Windows Server 2019

 Đánh giá kỹ năng thực hành về File server resource manager trên Windows Server 2019

TẠO VÀ QUẢN LÝ THƯ MỤC DÙNG CHUNG

Tạo thư mục dùng chung

- Chia sẻ được thư mục dùng chung

- Trình bày được quyền truy thư mục dùng chung

1.1 Chia sẻ thư mục dùng chung

Tài nguyên chia sẻ là các tài nguyên trực tuyến mà người dùng có thể truy cập và sử dụng qua mạng Để chia sẻ một thư mục dùng chung, bạn cần đăng nhập vào hệ thống với quyền quản trị hoặc là thành viên của nhóm Server Operators Tiếp theo, trong Explorer, bạn nhấn chuột phải vào thư mục và chọn Properties Hộp thoại Properties sẽ xuất hiện, và bạn cần chọn Tab Sharing để thực hiện các thiết lập chia sẻ.

Hình 6.1 Cửa sổ chọn user và phân quyền

Do not share this folder Chỉ định thư mục này chỉ được phép truy cập cục bộ

Chỉ định thư mục này được phép truy cập cục bộ và truy cập

Share name Tên thư mục mà người dùng mạng nhìn thấy và truy cập

Chức năng "Comment" cho phép người dùng cung cấp thông tin chi tiết về thư mục dùng chung Tính năng "User Limit" giúp bạn thiết lập số lượng kết nối tối đa vào thư mục tại một thời điểm "Permissions" cho phép bạn cấu hình danh sách quyền truy cập của người dùng qua mạng Cuối cùng, "Offline Settings" cho phép lưu trữ tạm thời tài liệu trong thư mục khi làm việc ở chế độ Offline.

Bạn muốn cấp quyền cho các người dùng truy cập qua mạng thì dùng Share

Permissions chia sẻ chỉ có hiệu lực khi người dùng truy cập qua mạng, không áp dụng cho truy cập cục bộ Khác với NTFS, Permissions quản lý quyền truy cập người dùng ở cấp độ thấp hơn, tức là dưới cấp độ truy xuất đĩa Trong hộp thoại Share Permissions, có danh sách các quyền được liệt kê.

- Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ

- Modify: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ

- Read & execute: cho phép người dùng xem và thi hành các tập tin trong thư mục chia sẻ

- Read: cho phép người dùng xem các tập tin trong thư mục chia sẻ

- Write: cho phép người dùng xem tao các tập tin trong thư mục chia sẻ

Hình 6.3 Cửa sổ chọn user

Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK

Hình 6.4 Cửa sổ xác nhận User và group

Trong hộp thoại xuất hiện, muốn cấp quyền cho người dùng bạn đánh dấu vào mục Allow, ngược lại khóa quyền thì đánh dấu vào mục Deny

Hình 6.5 Cửa sổ phân quyền

1.3 Chia sẻ thư mục dùng lệnh netshare

The article discusses the functionality of creating, deleting, and displaying shared resources using the command line The syntax for sharing a resource is "net share sharename" followed by optional parameters such as "drive:path," user limits, and remarks To delete a shared resource, the command "net share {sharename | drive:path} /delete" is used Understanding the parameters is essential for effective resource management in a networked environment.

- [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục bộ

Sharename là tên trên mạng của tài nguyên chia sẻ Khi sử dụng lệnh net share kèm theo tham số sharename, hệ thống sẽ hiển thị thông tin chi tiết về tài nguyên dùng chung này.

- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ

- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này

- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này

- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này

- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại.

Quản lý các thư mục dùng chung

- Trình bày được quyền truy thư mục dùng chung

2.1 Xem các thư mục dùng chung

Mục Shared Folders trong công cụ Quản lý Máy tính cho phép người dùng tạo và quản lý các thư mục dùng chung Để xem các thư mục này, bạn cần chọn mục Shares Lưu ý rằng nếu tên chia sẻ (share name) của thư mục dùng chung kết thúc bằng dấu $, thư mục đó sẽ bị ẩn và không thể tìm thấy khi bạn tìm kiếm qua My Network Places hoặc duyệt các tài nguyên mạng.

Bước 1:Mở công cụ Computer Management

Hình 6.6 Cửa sổ xem thư mục share

Bước 2: chọn mục Shared trong Mục Shared Folders

Hình 6.7 Cửa sổ hiển thị các thư mục share máy tính bạn chọn mục Session Mục Session cung cấp các thông tin sau:

- Tên tài khoản người dùng đang kết nối vào tài nguyên chia sẻ

- Tên máy tính có người dùng kết nối từ đó

- Hệ điều hành mà máy trạm đang sử dụng để kết nối

- Số tập tin mà người dùng đang mở

- Thời gian kết nối của người dùng

- Thời gian chờ xử lý của kết nối

- Phải là truy cập của người dùng Guest không?

Hình 6.8 Cửa sổ xem User truy cập thư mục

2.3 Xem các tập tin đang mở trong các thư mục dùng chung

Muốn xem các tập đang mở trong các thư mục dùng chung bạn nhấp chuột vào mục Open Files Mục Open Files cung cấp các thông tin sau:

- Đường dẫn và tập tin hiện đang được mở

- Tên tài khoản người dùng đang truy cập tập tin đó

- Hệ điều hành mà người dùng sử dụng để truy cập tập tin

- Trạng thái tập tin có đang bị khoá hay không

- Trạng thái mở sử dụng tập tin (Read hoặc Write)

Hình 6.9 Cửa sổ Xem các tập tin đang mở

Quyền truy cập ntfs

- Phân được quyền truy cập dữ liệu dùng trong hệ thống mạng

Có hai loại hệ thống tập cho partition và volume cục bộ là FAT (bao gồm FAT và FAT32) và NTFS Hệ thống FAT không hỗ trợ bảo mật nội bộ, cho phép mọi người truy cập và thao tác trên các file, trong khi NTFS cung cấp tính năng bảo mật, chỉ cho phép người dùng có quyền truy cập mới có thể xem và chỉnh sửa dữ liệu trên đĩa.

The Windows Server system utilizes Access Control Lists (ACLs) to manage access rights for local objects and those within Active Directory.

ACL có thể chứa nhiều ACE (Access Control Entry) đại điện cho một người dùng hay một nhóm người

3.1 Các quyền truy cập của NTFS

Explore folders and execute files within the directory, list the contents of the folder, and read data from the files Additionally, access and read the attributes of both files and folders.

Extended Attributes allow users to read additional metadata associated with files and directories The Create File/Write Data function enables the creation of new files and the ability to write data into them Similarly, the Create Folder/Append Data feature facilitates the creation of new folders while allowing users to append data to existing files Finally, the Write Attributes function provides the capability to modify the properties of files and directories.

Write Extendd Attributes Thay đổi thuộc tính mở rộng của các tập tin và thư mục Delete Subfolders and Files Xóa thư mục con và các tập tin

Delete Xóa các tập tin Read Permissions Đọc các quyền trên các tập tin và thư mục

Change Permissions Thay đổi quyền trên các tập tin và thư mục

3.2 Các mức quyền truy cập được dùng trong NTFS

3.3 Gán quyền truy cập NTFS trên thư mục dùng chung

Bạn muốn gán quyền NTFS, thông qua Windows Explorer bạn nhấp phải chuột vào tập tin hay thư mục cần cấu hình quyền truy cập rồi chọn Properties

Hộp thoại Properties sẽ hiển thị khác nhau tùy thuộc vào định dạng ổ đĩa Nếu ổ đĩa được định dạng là FAT, hộp thoại chỉ có hai Tab: General và Sharing Trong khi đó, nếu ổ đĩa có định dạng NTFS, sẽ có thêm Tab Security, cho phép người dùng quy định quyền truy cập cho từng cá nhân hoặc nhóm người dùng đối với các tệp tin và thư mục Để cấp quyền cho người dùng, bạn chỉ cần nhấp vào Tab Security.

Hình 6.11 Gán quyền truy cập NTFS

Để cấp quyền truy cập cho người dùng, bạn chỉ cần nhấp vào nút "Add" Hộp thoại chọn lựa người dùng và nhóm sẽ hiện ra, cho phép bạn chọn người dùng và nhóm cần cấp quyền Sau khi chọn xong, hãy nhấp vào nút "Add" để thêm vào danh sách và cuối cùng nhấn "OK" để trở lại hộp thoại chính.

Hình 6.12 Cửa sổ xác nhận User và group

Hộp thoại chính hiển thị danh sách người dùng và nhóm mới được thêm vào Để cấp quyền cho người dùng, bạn chỉ cần đánh dấu vào phần "Allow" Ngược lại, nếu bạn muốn từ chối quyền truy cập, hãy chọn mục "Deny".

Hình 6.13 Cửa sổ cấp quyền User và group

3.4 Kế thừa và thay thế quyền của đối tượng con

Trong hộp thoại chính, nhấp vào nút Advanced để cấu hình chi tiết các quyền truy cập của người dùng.

Trong hộp thoại Advanced Security Settings, nếu bạn chọn mục "Allow inheritable permissions from parent to propagate to this object and child objects", thư mục hiện tại sẽ thừa hưởng quyền truy cập từ thư mục cha Để xóa quyền thừa hưởng này, bạn cần bỏ chọn tùy chọn đó Nếu danh sách quyền truy cập của thư mục cha thay đổi, danh sách quyền của thư mục hiện tại cũng sẽ tự động cập nhật Thêm vào đó, nếu bạn chọn "Replace permission entries on all child objects with entries shown here that apply to child objects", quyền truy cập của thư mục hiện tại sẽ được áp dụng cho tất cả các tệp và thư mục con, thay thế quyền truy cập hiện tại bằng các quyền hiển thị trong hộp thoại.

Hình 6.14 Cửa sổ Kế thừa và thay thế quyền

Trong hộp thoại Windows Server, người dùng có thể kiểm tra và cấu hình chi tiết quyền của người dùng và nhóm Để thực hiện điều này, bạn chỉ cần chọn nhóm hoặc người dùng cần thao tác và nhấp vào nút "Edit".

3.5 Thay đổi quyền khi di chuyển thư mục và tập tin

Khi sao chép một tập tin hoặc thư mục, quyền truy cập sẽ thay đổi theo quyền của thư mục cha chứa chúng Ngược lại, khi di chuyển một tập tin hoặc thư mục, quyền truy cập sẽ được giữ nguyên.

3.6 Giám sát người dùng truy cập thư mục

Để giám sát và ghi nhận các thao tác của người dùng trên thư mục hiện tại, bạn cần vào hộp thoại Advanced Security Settings, chọn Tab Auditing và nhấp vào nút Add để thêm người dùng cần giám sát Nếu bạn muốn theo dõi các truy xuất thành công, hãy đánh dấu vào mục Successful; ngược lại, để giám sát các truy xuất không thành công, hãy chọn mục Failed.

3.7 Thay đổi người sở hữu thư mục

Để xem tài khoản của người dùng và nhóm người sở hữu thư mục hiện tại, bạn hãy vào hộp thoại Cài đặt Bảo mật Nâng cao và chọn Tab Chủ sở hữu Ngoài ra, bạn cũng có thể thay đổi người và nhóm sở hữu thư mục bằng cách nhấp vào nút Người dùng hoặc Nhóm khác.

DFS

- Phân biệt được các loại hệ thống DFS

- Triển khai thực hiện được hệ thống DFS

Hệ thống DFS (Distributed File System) tổ chức và quản lý các thư mục, tập tin dùng chung trên mạng, cho phép người dùng dễ dàng tìm kiếm tài nguyên qua một tên chia sẻ duy nhất DFS bao gồm hai loại root: domain root, liên kết với Active Directory trên tất cả Domain Controller, và Stand-alone root, chỉ chứa thông tin trên máy được cấu hình Cần lưu ý rằng DFS không phải là một File Server mà chỉ là “bảng mục lục” dẫn đến các thư mục đã được chia sẻ trên các Server Để triển khai hệ thống DFS, người dùng cần nắm rõ các khái niệm liên quan.

- Gốc DFS (DFS root) là một thư mục chia sẻ đại diện cho chung cho các thư mục chia sẻ khác trên các Server

- Liên kết DFS (DFS link) là một thư mục nằm trong DFS root, nó ánh xạ đến một tài nguyên chia sẻ các Server khác

Bảng So sánh hai loại DFS

Stand-alone DFS Fault-tolerant DFs

- Là hệ thống DFS trên một máy

Server Stand-alone, không có khả năng dung lỗi

- Người dùng truy xuất hệ thống

DFS thông qua đường dẫn

- Là hệ thống DFS dựa trên nền

Active Directory nên có chính dung lỗi cao

- Hệ thống DFS sẽ tự động đồng bộ giữa các Domain Controller và người dùng có thể truy xuất đến DFS thông qua đường dẫn

2 Chia sẻ và phân quyền truy cập thư mục này

1 Tạo thư mục có tên Personal trên ổ đĩa bất kỳ

To create a shared folder, begin by opening the desired drive, such as drive C You can choose any other drive if preferred Right-click, select "New," then choose "Folder," and name this folder "Personal."

Hình 6.18 Cửa sổ tạo folder

2 Chia sẻ và phân quyền truy cập thư mục này

Ta sẽ cấu hình một số thuộc tính của folder này, right click vào folder này, chọn properties, hộp thọai personal properties xuất hiện:

Hình 6.19 Cửa sổ personal properties

Click vào tab Securiy để cấu hình NTFS permission trên folder này Trên tab Security, click nút Advanced

In the Advanced Security Settings for personal use, you can disable inherited permissions by unchecking the option "Allow inheritable permissions from the parent to propagate to this object and all child objects." This ensures that only the permissions explicitly defined for this object are applied.

Trên hộp thọai Security, click nút Remove để loại bỏ tất cả các quyền thừa hưởng

Hình 6.22 Cửa sổ bỏ quyền thừa hưởng

Xong nhấn apply, nhấn OK để quay về hội hộp thọai personal properties

Hình 6.23 Cửa sổ cấp quyền

Trong hộp này các bạn nhấn add, sẽ xuất hiện hộp thọai Select user, computer, or groups

Hình 6.23 Cửa sổ chọn đối tượng

Nhập vào hộp text Enter the object names to select (examples): group Domain

Admins rồi click vào nút check names Group Domain Admins sẽ được gạch dưới, click ok

Hình 6.24 Cửa sổ chọn User và group

Trong hộp thọai Personal Properties, cấp quyền Full Control cho group Domain Admins bạn mới thêm vào Click apply

Hình 6.25 Cửa sổ Full quyền cho Domain Admins

Next, navigate to the sharing tab and check the option to "share this folder" to enable sharing Then, click on the Permission button to set the sharing permissions for the folder.

Hình 6.26 Cửa sổ chia sẻ personal

Trong hộp thọai permission for personal, đánh dấu chọn vào mục Full Control trong cột Allow để cấp quyền full control cho everyone group Click apply rồi click ok

Hình 6.27 Cửa sổ Full control cho Everyone

Click apply và rồi click ok để đóng hộp thọai Personal Properties

- Chọn ổ đĩa dữ liệu để chia sẻ cho đúng để không bị lỗi hệ thống

- Cấp quyền cho đúng theo nhóm user và group cho từng folder

- Gán quyền truy cập cho các folder đúng với user và group

- Truy cập hệ thống kiểm tra xem phiên làm việc, xem user nào đang mở thư mục chia sẻ

- Khi chúng ta cho phép user lưu trữ dữ liệu trên file server phải đúng dung lượng

- Thực hiện đúng việc Kế thừa và thay thế quyền của đối tượng con

- Thao tác phải đúng các bước tạo và quản lý thư mục dùng chung trên Windows server 2019

Tình huống : Chia sẻ và phân quyền các folder cho các user trong hệ thống với những chức năng mở rộng của NTFS

- Tạo cây thư mục như sau

- Tạo 2 tài khoản NS1 và NS2 thuộc group NS và 2 tài khoản KT1, KT2 thuộc group

Để quản lý quyền truy cập hiệu quả trong hệ thống, cần thực hiện các bước sau: Gán quyền truy cập như hình đã chỉ định; trong thư mục DataKeToan, không cho phép tài khoản KT1 truy cập; tạo hai thư mục con trong DataNhanSu bằng tài khoản NS1 và đăng nhập bằng NS2; xóa một thư mục vừa tạo bởi NS1, sau đó tạo hai thư mục cùng cấp với thư mục đã xóa; thiết lập nguyên tắc "Không xóa dữ liệu của người khác"; sử dụng NS2 để loại bỏ hoàn toàn các tài khoản khác trên thư mục vừa tạo, bao gồm Administrators và System; và cuối cùng, sử dụng tài khoản Administrator để khôi phục quyền sở hữu trên thư mục mà NS2 đã thiết lập.

 Trình bày được Chức năng Chia sẻ, cấu hình, quản lý thư mục dùng chung trên Windows Server 2019

 Trình bày được Chức năng DFS và Quyền truy cập NTFS trên Windows Server 2019

 Thao tác thành thạo việc Chia sẻ, cấu hình, quản lý thư mục dùng chung trên hệ thống

 Thao tác thành thạo việc cấp phát, thu hồi Quyền truy cập NTFS trong cục bộ hoặc Domain trên Windows Server 2019

 Thực hiện đúng yêu cầu Tài khoản NS1 không xóa folder mà NS2 tạo và Lấy quyền lại cho admin khi bị NS2 xóa bỏ

 Đánh giá kỹ năng thực hành về việc Chia sẻ, cấu hình, quản lý thư mục dùng chung trên hệ thống

 Đánh giá kỹ năng thực hành về cấp phát, thu hồi Quyền truy cập NTFS trong cục bộ hoặc Domain trên Windows Server 2019

 Đánh giá kỹ năng thực hành về yêu cầu Tài khoản NS1 không xóa folder mà NS2 tạo và Lấy quyền lại cho admin khi bị NS2 xóa bỏ

CHÍNH SÁCH BẢO MẬT

Giới thiệu chung về GPO

Group Policy (GPO) là bộ thiết lập cấu hình cho máy tính và người dùng, quy định cách thức hoạt động của các chương trình, tài nguyên mạng và hệ điều hành trong tổ chức GPO được sử dụng để triển khai chính sách từ Domain Controller đến người dùng, cho phép tự động cài đặt phần mềm trên một hoặc nhiều máy trạm Nó cũng giúp xác định quyền hạn cho người dùng, giới hạn các ứng dụng được phép chạy, kiểm soát hạn ngạch sử dụng đĩa, và thiết lập các kịch bản cho quá trình đăng nhập, đăng xuất, khởi động và tắt máy.

Group Policy chỉ áp dụng trên các máy Windows Server NT/ 2000 / 2003 / 2008 /

Group Policy Objects (GPO) are policies applied to various entities such as sites, domains, and organizational units, primarily established in the years 2012, 2016, and 2019.

Mỗi máy Windows Server 2019 đều có một bộ công cụ Group Policy được gọi là Local Group Policy, áp dụng riêng cho máy đó khi không tham gia vào miền.

Các Group Policy Objects (GPO) được lưu trữ trong cơ sở dữ liệu của Active Directory, và để tạo ra cũng như chỉnh sửa GPO, người dùng sử dụng chương trình có tên là Group Policy Object Editor.

1 dạng console tên là gpedit.msc, console của Active Directory Users and Computers là dsa.msc)

Chức năng của Group Policy

Các Group Policy cho phép triển khai cài đặt phần mềm tự động đến các máy trạm trong miền, đồng thời xác định quyền hạn của người dùng trong mạng.

Giới hạn phần mềm và ứng dụng trên máy Client giúp kiểm soát hiệu quả việc sử dụng tài nguyên Ngoài ra, việc quản lý hạn ngạch sử dụng ổ đĩa cứng cũng rất quan trọng Các kịch bản cho đăng nhập, đăng xuất, khởi động và tắt máy được thiết lập để đơn giản hóa công tác quản lý GPO không chỉ định hướng lại các thư mục quan trọng mà còn cung cấp nhiều chức năng khác theo nhu cầu của người quản trị.

Important considerations regarding Group Policy Objects (GPO) include that GPOs can only exist within an Active Directory domain When client machines are removed from the domain, GPOs become ineffective for those devices Additionally, local computers are limited to utilizing Local Group Policy.

Chính sách cục bộ 1 Account Policy

 Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy

Để bảo mật thông tin, việc áp dụng quy tắc lịch sử mật khẩu là rất cần thiết Nhiều người dùng thường không nhớ được nhiều mật khẩu, dẫn đến việc họ sử dụng lại mật khẩu cũ khi được yêu cầu thay đổi Điều này tạo ra một lỗ hổng lớn trong bảo mật Thiết lập này yêu cầu người dùng phải tạo một mật khẩu mới không giống bất kỳ mật khẩu nào đã sử dụng trước đó, với giới hạn từ 0 đến 24 mật khẩu.

Thời gian tối đa mật khẩu còn hiệu lực là khoảng thời gian mà sau đó hệ thống yêu cầu người dùng thay đổi mật khẩu Việc thay đổi mật khẩu định kỳ giúp nâng cao độ an toàn cho tài khoản, vì kẻ xấu có thể theo dõi thói quen của bạn và tìm ra mật khẩu một cách dễ dàng Giá trị cho thời gian tối đa này có thể từ 1 đến 999 ngày, với giá trị mặc định là 42 ngày.

Thời gian tối thiểu để thay đổi mật khẩu được gọi là "minimum password age" Người dùng cần chờ hết thời gian này mới có thể thực hiện việc thay đổi mật khẩu cho tài khoản của mình Tuy nhiên, nếu muốn thay đổi ngay lập tức, bạn có thể thiết lập giá trị là 0 Giá trị cho thời gian tối thiểu này thường nằm trong khoảng từ 0 trở lên.

Độ dài tối thiểu của mật khẩu tài khoản yêu cầu từ 1 đến 14 ký tự Nếu không muốn sử dụng mật khẩu, thiết lập giá trị là 0, với giá trị mặc định cũng là 0.

Mật khẩu cần đáp ứng các yêu cầu phức tạp, bao gồm việc không chứa toàn bộ hoặc một phần tên tài khoản người dùng, có độ dài tối thiểu 6 ký tự, và phải bao gồm 3 hoặc 4 loại ký tự khác nhau như chữ cái thường (a-z), chữ cái hoa (A-Z), chữ số (0-9) và ký tự đặc biệt Độ phức tạp của mật khẩu được yêu cầu khi tạo mới hoặc thay đổi mật khẩu, với cài đặt mặc định là tắt.

Lưu trữ mật khẩu bằng cách sử dụng mã hóa ngược cho tất cả người dùng trong miền là một tính năng hỗ trợ các ứng dụng giao thức, yêu cầu hiểu biết về mật khẩu của người sử dụng Phương pháp này thực chất tương tự như việc lưu trữ văn bản đã mã hóa để bảo vệ thông tin mật khẩu Mặc định, tính năng này được thiết lập là tắt.

Vào Aministrator  Local Sercurity Policy  Account policies

Hình 7.1 Cửa sổ chính sách mật khẩu

Trong này bao gồm các mục:

Khi đặt mật khẩu cho Windows, cần đảm bảo mật khẩu có độ phức tạp đủ cao, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt Tính năng này mặc định sẽ bị tắt, vì vậy để tăng cường bảo mật, người dùng nên chọn kích hoạt tính năng này.

Độ tuổi tối thiểu của mật khẩu: Mặc định giá trị này là 0 Nếu thay đổi thành một số khác, ví dụ 3, thì người dùng chỉ có thể thay đổi mật khẩu sau 3 ngày một lần.

 Minimum password length: Độ dài tối thiểu của password

 Enforce password history: nhớ bao nhiêu password không cho đặt trùng

 Store password using reversible …: mã hoá password

Vào Aministrator  Local Sercurity Policy  Account policies

Hình 7.2 Cửa sổ cấp quyền đăng nhập

 Account lockout threshold: để khoá account khi đăng nhập sai

 Account lockout duration: khoá account trong 30 phút khi đang nhập sai

 Reset account lockout counter after: xoá bộ nhớ đánh pass

Quyền của người dùng trong hệ thống bao gồm quyền truy cập, sao lưu dữ liệu và thay đổi thời gian Để cấu hình quyền cho một mục cụ thể, người dùng chỉ cần nhấp đúp vào mục đó và chọn "Add user or group" để cấp quyền mặc định cho người dùng hoặc nhóm theo yêu cầu.

Để bảo vệ máy tính khỏi những kẻ tò mò, chúng ta không nên cho phép truy cập từ mạng Thiết lập này cho phép chúng ta linh hoạt thêm hoặc bớt quyền truy cập vào máy cho bất kỳ tài khoản hoặc nhóm nào.

Chính sách "Act as part of the operating system" xác định tài khoản nào có quyền hoạt động như một phần của hệ thống Mặc định, tài khoản Administrator sở hữu quyền cao nhất, cho phép thay đổi tất cả các thiết lập của hệ thống và xác nhận như bất kỳ người dùng nào, từ đó có thể sử dụng tài nguyên hệ thống tương tự như các người dùng khác Chỉ những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này.

Để thêm một workstation vào miền, bạn cần thêm một tài khoản hoặc nhóm vào miền trên hệ thống sử dụng Domain Controller Chính sách này chỉ áp dụng cho các tài khoản được thêm vào miền, giúp tăng cường quyền truy cập và hoạt động trên dịch vụ thư mục.

(Active Directory), có thể truy cập tài nguyên mạc như một thành viên trong domain

Điều chỉnh hạn mức bộ nhớ cho một quá trình cho phép xác định ai có quyền thay đổi mức sử dụng bộ nhớ Mặc dù chính sách này có thể nâng cao hiệu suất của hệ thống, nhưng cũng có nguy cơ bị lạm dụng cho các mục đích xấu, chẳng hạn như tấn công từ chối dịch vụ (DoS).

Cho phép đăng nhập qua Dịch vụ Terminal: Dịch vụ Terminal cho phép người dùng đăng nhập từ xa vào máy tính Chính sách này xác định ai có quyền sử dụng Dịch vụ Terminal để truy cập vào hệ thống.

 Backup files add directories: Tương tự như các chính sách trên, ở đây cấp phép ai đó có quyền backup dữ liệu

 Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian của hệ thống

 Create global objects: Cấp quyền cho ai có thể tạo ra các đối tượng dùng chung

 Force shutdown from a remote system: Cho phép ai có quyền tắt máy qua hệ thống điều khiển từ xa

 Shutdown the system: Cho phép ai có quyền shutdown máy

 Deny access to this computer from the net…: Cấm user không được phép truy xuất đến máy

 Deny logon localy: Cấm User Logon cục bộ

 Deny logon through Terminal Services: Cấm User Remote Desktop

 Logon localy: Thiết lập người dùng Logon cục bộ

Vào Administrator  Local SercurityLocal policies

Hình 7.3 Cửa sổ User rights assignment

 Deny logon locally: chọn user không cho đăng nhập vào máy tính

 Change the system time: những người được thay đổi giờ hệ thống

 Shutdown the system: những người có quyền tắt máy

 Allow log on through Terminal Services: cho phép đăng nhập

Và còn rất nhiều tính năng khác

Hình 7.4 Cửa sổ xem User truy cập thư mục

 Account: Administrator account status: Trạng thái hoạt động của

 Account: Guest account status: Trạng thái hoạt động của User Guest

 Account: Limit local account use of blank password to console: Đăng nhập không cần password

 Account: Rename administrator account: Đổi tên Administrator

 Account: Rename guest account: Đổi tên Guest

 Devices: Prevent users from installing printer drivers: Không cho phép cài

 Devices: Restrict CD-ROM access to localy logged-on user only: Cấm truy nhập xa từ CD-ROM

 Interactive: Do not require CTRL + ALT + DEL: Bỏ Ctrl + alt + Del

 Interactive: Message text for users attempting to logon: Đặt tiêu đề khi logon

 Interactive: Message title for users attempting to log on: Đặt tiêu đề khi logon

 Interactive: Number of previous logons to cache in cache: Cache kho logon

 Shutdown: Allow system to be shut down

 Shutdown: Allow system to be shut down without having to log on: Shutdown không cần logon

 Shutdown: Clear virtual memory pagefile Xóa bộ nhớ ảo khi Shutdown

 Interactive logon: Do not display last user name: Khi user logout máy cửa sổ đăng nhập sẽ không ghi lại account user vừa logon

Interactive logon allows administrators to display a custom message to users before they log on to the system This feature enables the communication of important information or reminders directly to users, enhancing their awareness and ensuring they acknowledge the message prior to accessing the machine.

 Interactive logon: Message title for users attempting to log on: Bạn nhập tiêu đề của hộp nội dung nhắn gởi vào đây

Chú ý: để triển khai các GPO xuống Client ta dùng lệnh “gpupdate /force” trong

4.Cấu hình Group Policy Object

Vào Server Manager chọn Tools / Group Policy Management

Hình 7.5 Cửa sổ mở GPO

Hình 7.6 Cửa sổ Computer Configuration DC

Tại đây có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, quản lý việc khởi động và đăng nhập hệ thống…

- Scripts: (startup/Shutdown): Có thể chỉ định cho Windows sẽ chạy một mã nào đó khi Windows Startup hoặc Shutdown

- Security setting: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người dùng nào

Account Policies: Các chính sách áp dụng cho tài khoản người dùng

Local Policy: Kiểm định chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng cục bộ

Public Key Policies Các chính sách khóa dùng chung

Hình 7.6 Cửa sổ pasword DC

Hình 7.6 Cửa sổ Acount lockout Policy DC

4.2 Local Policy DC a User rights Assignments

Hình 7.6 Cửa sổ Acount lockout Policy DC

CÀI ĐẶT VÀ QUẢN TRỊ DỊCH VỤ DHCP

Giới thiệu dich vụ DHCP

- Trình bày được khái niệm DHCP

- Cài đặt được dịch vụ DHCP

- Cấu hình được máy phục vụ DHCP

DHCP, hay Giao thức Cấu hình Host Động, là một giải pháp hiệu quả cho việc quản lý mạng TCP/IP Giao thức này tự động gán địa chỉ IP cho các thiết bị khi chúng kết nối vào mạng, giúp giảm thiểu thời gian cấu hình Dịch vụ DHCP mang lại sự thuận lợi lớn cho người quản lý mạng, đồng thời giảm bớt lo lắng về các vấn đề phát sinh từ việc cấu hình thủ công.

Máy chủ DHCP là một thiết bị cài đặt dịch vụ DHCP, có nhiệm vụ quản lý việc cấp phát địa chỉ IP động và các thông tin cấu hình TCP/IP Bên cạnh đó, máy chủ này còn phản hồi khi có yêu cầu từ DHCP Client về hợp đồng thuê bao.

DHCP client là dịch vụ có sẵn trên máy trạm, giúp đăng ký và cập nhật thông tin địa chỉ IP cùng các bản ghi DNS Khi cần một địa chỉ IP và các tham số TCP/IP để hoạt động trong mạng nội bộ và Internet, DHCP client sẽ gửi yêu cầu đến DHCP server.

Hình 8.1 Sơ đồ nguyên lí hoạt động của DHCP

Hoạt động của giao thức

Giao thức DHCP làm việc theo mô hình Client/Server Quá trình tương tác giữa DHCP client và server sẽ diễn ra theo các bước sau:

Máy client bắt đầu quá trình cấu hình IP bằng cách gửi gói tin DHCP Discover, yêu cầu thông tin như địa chỉ IP, subnet mask, default gateway và preferred DNS Do chưa có địa chỉ IP, gói tin này sử dụng địa chỉ nguồn 0.0.0.0 và phát đi đến toàn mạng với địa chỉ broadcast 255.255.255.255 Gói tin DHCP Discover chứa địa chỉ MAC của card mạng, giúp phân biệt các card mạng khác nhau, cùng với tên của máy client để server nhận diện yêu cầu từ client.

Sau khi nhận gói tin DHCP Discover từ client, nếu có DHCP server hợp lệ, server sẽ phản hồi bằng gói tin DHCP Offer, chứa địa chỉ IP đề nghị cho thuê trong thời gian nhất định (mặc định là 8 ngày) Sau 4 ngày, nếu client không sử dụng, địa chỉ IP sẽ tự động thu hồi Gói tin này cũng bao gồm địa chỉ MAC của client, subnet mask và địa chỉ IP của DHCP server Trong thời gian này, server sẽ không cấp phát địa chỉ IP đã đề nghị cho client khác.

Sau khi nhận được gói tin DHCP Offer từ nhiều DHCP server, máy client sẽ chọn lọc một gói tin phù hợp và gửi phản hồi bằng gói tin DHCP Request, trong đó có thông tin về DHCP server đã cấp phát địa chỉ Quá trình này giúp các gói tin không được chấp nhận được các server rút lại và sử dụng để cấp phát cho các client khác.

Khi DHCP server nhận DHCP request, nó phản hồi bằng gói tin DHCP Ack để thông báo rằng đã chấp nhận yêu cầu thuê địa chỉ IP từ DHCP client Gói tin này chứa địa chỉ IP cùng với các thông tin cấu hình khác như DNS server và Wins server Khi client nhận được gói DHCP Ack, quá trình thuê và cấp phát địa chỉ IP kết thúc, và địa chỉ IP này chính thức được client sử dụng.

Ưu điểm của DHCP

– Quản lý TCP/IP tập trung

Thay vì quản lý địa chỉ IP và các tham số TCP/IP bằng tay, DHCP server cung cấp một giải pháp quản lý tập trung, giúp các nhà quản trị mạng dễ dàng cấu hình và khắc phục sự cố trên các máy trạm.

– Giảm gánh nặng cho các nhà quản trị hệ thống

Trước đây, các quản trị viên mạng thường phải cấu hình IP tĩnh bằng tay, nhưng hiện nay, nhờ vào DHCP server, việc cấp phát IP cho các máy trạm diễn ra tự động Điều này đặc biệt quan trọng và hữu ích trong môi trường mạng lớn, giúp tiết kiệm thời gian và giảm thiểu sai sót trong quá trình cấu hình.

Thứ hai, trước đây với kiểu cấu hình bằng tay thì người dùng họ có thể thay đổi

Trong quá trình trải nghiệm, một số người thường thay đổi DNS server mà không ghi nhớ địa chỉ IP của nó, dẫn đến khó khăn trong việc khôi phục lại cài đặt ban đầu Việc này có thể gây ra sự cố kết nối mạng và ảnh hưởng đến hiệu suất truy cập internet Để tránh tình trạng này, người dùng nên lưu lại thông tin DNS server đã thay đổi và tham khảo ý kiến từ quản trị mạng khi cần thiết.

Việc IP trùng với IP của người khác, đặc biệt khi có người đặt IP trùng với Default Gateway, gây ra nhiều khó khăn cho quản trị mạng Họ phải đối mặt với những vấn đề phức tạp và phải chạy đôn chạy đáo để khắc phục Tuy nhiên, tình trạng này không xảy ra với IP động.

Anh nào thích thay đổi cũng chịu chết Chỉ có người quản trị DHCP server họ mới có quyền thích làm gì thì làm thôi

Hệ thống mạng được duy trì ổn định nhờ vào việc cấp phát địa chỉ IP động cho các máy trạm từ dải IP đã cấu hình trên DHCP server Các tham số như DG và DNS server được cung cấp chính xác cho tất cả các máy trạm, giúp ngăn chặn sự trùng lặp IP Điều này đảm bảo rằng các máy trạm luôn có cấu hình TCP/IP chuẩn, từ đó hệ thống hoạt động liên tục, giảm gánh nặng cho người quản trị và nâng cao hiệu quả làm việc cho người dùng cũng như doanh nghiệp.

– Linh hoạt và khả năng mở rộng

Người quản trị mạng có thể dễ dàng điều chỉnh cấu hình IP khi hạ tầng mạng thay đổi, tăng cường tính linh hoạt trong quản lý Hệ thống DHCP phù hợp cho cả mạng nhỏ và lớn, có khả năng phục vụ từ 10 đến hàng ngàn máy khách.

So sánh việc cấu hình TCP/IP “thủ công”(manual) và bằng DHCP (tự động) Cấu hình TCP/IP cho “thủ công”:

Khi cấu hình TCP/IP cho các client, việc gán địa chỉ IP có thể gặp phải sai sót, dẫn đến khó khăn trong việc xác định lỗi Một vấn đề phổ biến là tình trạng trùng địa chỉ IP, gây thêm gánh nặng cho quản trị viên Hơn nữa, nếu cấp IP cho 200 máy, quản trị viên phải thực hiện công việc này trên từng máy một, làm tăng khối lượng công việc của họ.

IP, subnet mask, defaut gateway…, và khi dời đoạn mạng này sang đoạn mạng khác thì bạn phải cấu hình TCP/IP lại)

Máy chủ DHCP tự động cung cấp tất cả thông tin cấu hình cần thiết cho các máy khách DHCP, giúp chúng sử dụng thông tin chính xác và giảm thiểu các lỗi thường gặp khi cấu hình thủ công Hơn nữa, DHCP cũng tự động cập nhật thông tin để phản ánh sự thay đổi trong cấu trúc mạng mà không cần phải cấu hình lại địa chỉ IP của các máy khách.

Các thuật ngữ dùng trong DHCP

– DHCP Server: máy quản lý việc cấu hình và cấp phát địa chỉ IP cho Client – DHCP Client: máy trạm nhận thông tin cấu hình IP từ DHCP Server

– Scope: phạm vi liên tiếp của các địa chỉ IP có thể cho một mạng

– Exclusion Scope: là dải địa chỉ nằm trong Scope không được cấp phát động cho Clients

Reservation refers to a specific address allocation designated for computers or devices running services This option is typically configured to assign addresses to servers, printers, and other networked devices.

– Scope Options: các thông số được cấu hình thêm khi cấp phát IP động cho Clients như DNS Server(006), Router(003)

Cài đặt và cấu hình DHCP

5.1 Các bước cài đặt DHCP

Bước 1: Vào Server Manager chọn Add roles and features

Hình 8.2 Cửa sổ Server Manager

Bước 2: Chọn Select installation type, select destination server chọn next

Hình 8.3 Cửa sổ Before you begin

Bước 3: Ở mục Select server role chọn DHCP server và ấn next và Add features

Hình 8.4 Cửa sổ chọn dịch vụ

Bước 4: Ở các mục còn lại các bạn ấn next liên tục và chọn Install để tiến hành cài đặt dịch vụ DHCP

Hình 8.5 Cửa sổ chọn lựa cho hệ thống

Bước 5: Chọn Next tiếp tục cài đặt DHCP

Hình 8.6 Cửa sổ chú thích cho DHCP

Bước 6: Xác nhận cài đặt DHCP, chọn Install để cài đặt

Hình 8.7 Cửa sổ xác nhận cài đặt

Bước 7: Nhấp vào Close để đóng quá trình cài đặt

Hình 8.8 Cửa sổ hoàn thành cà đặt

5.2 Cấu hình dịch vụ DHCP

Bước 1 - Nhấp Server manager chọn Tools chọn DHCP để cấu hình

Hình 8.9 Cửa sổ mở DHCP để cấu hình

Nhấp chuột phải vào IPv4 → Chọn “New Scope”

Hình 8.10 Cửa sổ New Scope

Bước 3: Cửa sổ chào đón, Nhấp vào Next

Bước 4: Nhập Scope Name và mô tả như được hiển thị trong ảnh chụp màn hình sau và sau đó chọn Next

Hình 8.12 Cửa sổ Scope Name

Bước 5: Nhập địa chỉ IP Start và End, Subnet mask, để Length mặc định “24” cho mạng con lớp C → bấm Next

Hình 8.13 Phạm vi IP cho phép

Nhập phạm vi IP của bạn vào danh sách loại trừ, đảm bảo rằng phạm vi này nằm trong giới hạn Start và End đã chỉ định, đặc biệt nếu thiết bị trên mạng yêu cầu địa chỉ IP tĩnh Sau đó, nhấn vào Next để tiếp tục.

Hình 8.14 Phạm vi IP loại trừ

Bước 7: Nhập thời hạn mong muốn cho IP được chỉ định hoặc để mặc định → sau đó nhấp Next

Hình 8.15 thời hạn cấp phát IP

Bước 8: Chọn “Yes, I want to configure these options now” → sau đó bấm vào Next

Hình 8.16 Chấp nhận cấu hình

Bước 9: Nhập cổng mặc định là IP Router của bạn → sau đó nhấn Next

Hình 8.17 Xác định IP Router

Bước 10: Thêm địa chỉ IP DNS và nhấn Next Bạn có thể chọn sử dụng Google DNS hoặc nếu đang trong môi trường Domain, hãy nhập địa chỉ IP của DC Sau đó, nhấn Next để tiếp tục.

Hình 8.18 Xác nhận IP cho DNS server

Bước 11: Chỉ định WINS Server của bạn nếu có → và sau đó nhấp Next

Hình 8.19 Xác nhận IP cho WIN server

Bước 12: Chọn tùy chọn “Yes, I want to activate this scope now" để kích hoạt phạm vi ngay lập tức → chọn Next

Hình 8.20 Kích hoạt phạm vi

Hình 8.21 Hoàn thành cấu hình DHCP

Bước 14: Kết quả cấu hình

Nhấn refresh lại để được kết quả như trong hình

Hình 8.22 Kết quả cấu hình DHCP

Hình 8.23 Dãy IP bị chặn không cấp phép

5.3 Cấu hình IP động cho máy Client

Bước 1: Cấu hình IP động cho Client

Vào Control Panel \ Network and Internet \ Network and Sharing Center

Bước 2: Mở Properties card mạng

Hình 8.25 Thuộc tính card mạng

Bước 3: Cấu hình IP động

Chọn sang Obtain an IP address automatically và Obtain an DNS server address automatically

Hình 8.26 Địa chỉ IP động

Bước 4: Client thông báo thay đổi IP

Hình 8.27 Client thông báo thay đổi IP

Bước 5: Mở CMD, vào Run gõ CMD

Bước 6: Xin IP động từ DHCP

Mở CMD lên gõ ipconfig /release và ipconfig /renew nếu cần xin cấp lại IP động

Backup và Restore DHCP

Bước 1: Tạo thư mục sẽ lưu file backup

Vào ổ E khác với ổ hệ thống tạo 1 thư mục Backup DHCP

Hình 8.31 Mở cử sổ Backup

Bước 3: Chọn nơi lưu file Backup

Hình 8.32 Chọn nơi lưu file backup

Bước 1: Mở cửa sổ cấu hình DHCP, chọn Restore

Bước 5: Chọn file đã Backup

Hình 8.35 Chấp nhận backup Hình 8.34 chọn file backup

Bước 7: Xác nhận backup thành công

1 Cài đặt và cấu hình dịch vụ DHCP

2 Tạo file Sao lưu và phục hồi DHCP

- Bài tập 1 Thực hiện theo từng bước trong mục 5của giáo trình

- Bài tập 2 Thực hiện theo các bước trong mục 6 của giáo trình

- Bài tập 3 làm theo mục 5 của giáo trình

- Xác định đúng server để cài đặt và cáu hình DHCP

- Xác định đúng dãy IP cấp phát cho từng nhóm mạng

- Thực hiện đúng thao tác chặn IP để dành không cho cấp phát

- Thực hiện đúng IP Router cho hệ thống

- Thiết lập đúng DNS cho hệ thống

- Client phải cùng hệ thống mạng được cấp IP động

- Chọn đĩa lưu trữ file Backup cho an toàn khi có sự cố phục hồi lại

- Thao tác phải đúng các bước cài đặt, cấu hình và backup, restore cho DHCP

Cài đặt và cấu hình DHCP Failover theo 2 cơ chế: Load Balancing và Hot

Standby trong Windows Server 2019, theo mô hình sau

 Trình bày được Chức năng và Hoạt động dich vụ DHCP trên Windows Server

 Trình bày được các bước Quản lý dich vụ DHCP trên Windows Server 2019

 Thao tác thành thạo cài đặt, cấu hình DHCP trên Domain Controller

 Thao tác được Load Balancing và Hot Standby Windows Server 2019

 Đánh giá kỹ năng thực hành cài đặt, cấu hình DHCP trên Domain Controller

 Đánh giá kỹ năng thực hành về được Load Balancing và Hot Standby

QUẢN TRỊ MÁY IN

Giới thiệu

Máy in là thiết bị quan trọng trong môi trường văn phòng, nhưng không phải ai cũng nắm rõ cách thiết lập để tiết kiệm chi phí và tối ưu hóa hiệu quả công việc.

Người dùng thường kết nối máy in với một máy tính và chia sẻ máy in này cho các máy tính khác trong cùng một mạng LAN Tuy nhiên, quá trình in sẽ bị hạn chế do lệnh in từ các máy khác phải qua máy đang chia sẻ, và việc thực hiện sẽ phụ thuộc vào độ ưu tiên (metric) của lệnh in Một vấn đề quan trọng khác là máy tính đang chia sẻ cần phải hoạt động liên tục; nếu không, các lệnh in sẽ bị dừng lại, dẫn đến việc máy in không nhận được lệnh đã yêu cầu.

- Cài đặt được máy in cho server và qua mạng

Trước khi bạn có thể truy xuất vào thiết bị máy in vật lý thông qua hệ điều hành

Để sử dụng máy in trên Windows Server, bạn cần tạo một máy in logic Nếu máy in hỗ trợ tính năng Plug and Play, nó sẽ được nhận diện ngay khi kết nối với máy tính chạy Windows Server, và tiện ích Found New Hardware Wizard sẽ tự động xuất hiện để hướng dẫn bạn cài đặt Trong trường hợp hệ điều hành không nhận diện chính xác, bạn có thể sử dụng đĩa DVD đi kèm do nhà sản xuất cung cấp để thực hiện cài đặt.

Additionally, you can create a logical printer on your own by using the Add Printer Wizard utility To successfully set up a logical printer, follow the steps provided in the wizard.

Để sử dụng Windows Server, bạn cần đăng nhập vào hệ thống với quyền hạn của một thành viên trong nhóm Administrators, Power Users (đối với Server thành viên), hoặc nhóm Server Operators (đối với domain controller).

2.1 Cài đặt dịch vụ máy in

Bước 1 - Đi đến Server Manager > Manage > Add Roles and Features > Next > Chọn

Role-based installation hoặc Feature-based installation, rồi chọn tiếp Select a server from the server pool Cuối cùng, bấm Next

Khi đã thực hiện xong các bước trên, tại danh sách Roles, hãy tìm Print and Document Services Sau đó, một cửa sổ sẽ mở ra

Hình 9.1 Chọn dịch vụ máy in

Bước 2 - Nhấp vào Add features và sau đó chọn Next 3 lần liên tiếp

Hình 9.2 Cửa sổ Add features

Bước 3 - Chọn Print Server, rồi bấm Next

Hình 9.3 Chọn dịch vụ máy in

2.2 Cài đặt Printer trên Print Server

Bước 1: Chọn Add a local printer (Canon LBP-1260)

Hình 9.5 Cửa sổ Add printer

Bước 2: Click this bar to view the full image

Bước 3: Chọn máy inCanon LBP-1260

Bước 4: Xem kết quả cài đặt

Hình 9.8 các máy in được cài đặt

Quản lý thuộc tính máy in

- Trình bày được các thuộc tính của máy in

In the Printing Preferences dialog, navigate to the Layout tab Here, you can select the orientation for printing, either landscape or portrait Additionally, under Page Order, choose to print from the first page to the last or in reverse order Finally, in the Pages Per Sheet section, specify the number of document pages to be printed on a single sheet of paper.

2.2 Giấy và chất lượng in

Trong hộp thoại Tùy Chọn In (Printing Preferences), để thiết lập loại giấy và chất lượng in, chúng ta cần chọn Tab Giấy/Chất lượng (Paper/Quality) Các tùy chọn trong tab này sẽ phụ thuộc vào đặc tính của từng loại máy in, ví dụ như một số máy in chỉ cung cấp một lựa chọn duy nhất.

Paper Source Còn đối với máy in HP OfficeJet Pro Cxi, chúng ta có các tùy chọn là: Paper Source, Media, Quality Settings và Color

2.3 Các thông số mở rộng

Nhấp vào nút "Advanced" ở góc dưới bên phải của hộp thoại "Printing Preferences" để mở hộp thoại "Advanced Options", nơi bạn có thể điều chỉnh các thông số mở rộng cho máy in, bao gồm các tùy chọn như "Paper/Output".

Graphic, Document Options, và Printer Features Các thông số mở rộng có trong hộp thoại Advanced Options phụ thuộc vào driver máy in mà bạn đang sử dụng

Hình 9.9 Cửa sổ thiết lập máy in

Cấu hình chia sẻ máy in

Bước 1: Mở Control Panel\Hardware and Sound\Devices and Printers

Hình 9.10 mở xem máy in

Hình 9.12 Cửa sổ chia sẻ máy in

Cấu hình thông số port

- Trình bày được ý nghĩa các thông số trong tab Port

4.1 Cấu hình các thông số trong Tab Port

In the Properties dialog, select the Port tab to configure all defined ports for the printer in use A port is defined as an interface that enables the computer to communicate with the printer device Windows Server supports both physical ports (local ports) and standard TCP/IP ports (logical ports).

Port vật lý chỉ được sử dụng khi kết nối trực tiếp máy in với máy tính Khi triển khai Windows Server trong một nhóm làm việc nhỏ, bạn thường cần gắn máy in vào port LPT1.

Hình 9.13 Cửa sổ cổng máy in

Máy in mạng sử dụng cổng TCP/IP để kết nối trực tiếp vào mạng thông qua cổng RJ45 và có địa chỉ IP riêng để nhận dạng Ưu điểm của máy in mạng là tốc độ in nhanh hơn so với máy in cục bộ, đồng thời có thể được đặt ở bất kỳ vị trí nào trong hệ thống mạng Để sử dụng, bạn cần chỉ định một cổng cho máy in.

TCP/IP và cách khai báo địa chỉ IP cho máy in mạng cho phép bạn quản lý và cấu hình các thiết bị in một cách hiệu quả Ngoài việc xoá và thiết lập lại một cổng đã tồn tại, bạn cũng có thể thực hiện printer pooling để chia sẻ tài nguyên in ấn và điều hướng các công việc in đến máy in khác khi cần thiết.

Printer pool là một giải pháp giúp kết hợp nhiều máy in vật lý thành một máy in logic, cho phép máy in rảnh đầu tiên thực hiện in ấn Tính năng này rất hữu ích cho nhóm người dùng như các thư ký khi chia sẻ máy in Để cấu hình printer pool, bạn cần chọn tùy chọn "Enable Printer Pooling" trong Tab Port của hộp thoại Properties và kiểm tra các port gắn máy in Nếu không chọn tùy chọn này, mỗi máy in sẽ chỉ có một port duy nhất Lưu ý rằng tất cả máy in trong printer pool phải sử dụng cùng một driver.

Hình 9.14 Thêm Port máy in

4.3 Điều hướng tác vụ in đến một máy in khác

Nếu máy in vật lý của bạn gặp sự cố, bạn có thể chuyển các tác vụ in ấn sang một máy in khác Đầu tiên, hãy đảm bảo rằng máy in mới có driver giống với máy in cũ Tiếp theo, trong Tab Port, nhấp vào nút Add Port, chọn Local port và sau đó chọn New Port Khi hộp thoại Port Name xuất hiện, hãy nhập tên UNC của máy in mới theo định dạng phù hợp.

Cấu hình tab advanced

- Trình bày được ý nghĩa các thông số trong tab Advanced

5.1 Các thông số của Tab Advanced

Trong hộp thoại Properties, bạn nhấp chuột vào Tab Advanced để điều khiển các đặc tính của máy in Bạn có thể cấu hình các thuộc tính sau:

Hình 9.15 đặc tính của máy in

5.2 Khả năng sẵn sàng phục vụ của máy in

Để đảm bảo khả năng sẵn sàng phục vụ của máy in khi có nhiều máy in cùng sử dụng một thiết bị, người dùng cần kiểm tra tùy chọn "Always Available" thường được bật mặc định Điều này cho phép máy in hoạt động 24/7 Tuy nhiên, nếu muốn giới hạn thời gian phục vụ, bạn có thể chọn "Available From" và chỉ định khoảng thời gian mà máy in sẽ hoạt động Ngoài thời gian này, máy in sẽ không phục vụ cho bất kỳ người dùng nào.

5.3 Độ ưu tiên (Printer Priority)

Khi bạn thiết lập độ ưu tiên cho các công việc in, bạn có thể kiểm soát số lượng công việc được gửi trực tiếp đến máy in Điều này đặc biệt hữu ích khi hai nhóm người dùng cùng chia sẻ một máy in và cần quản lý thứ tự in ấn Trong Tab Advanced của hộp thoại Properties, bạn có thể điều chỉnh độ ưu tiên với các giá trị từ 1 đến 99, trong đó 1 là mức ưu tiên thấp nhất và 99 là mức ưu tiên cao nhất.

Mục Driver trong Tab Advanced cho phép bạn chọn driver cho máy in Nếu có nhiều máy in được cấu hình trên máy tính, bạn có thể lựa chọn bất kỳ driver nào đã cài đặt Để thực hiện, hãy nhấp vào nút New Driver để khởi động Add Printer Driver Wizard.

Driver Wizard cho phép bạn thực hiện cập nhật cũng như thêm driver mới

Khi cấu hình tùy chọn spooling, bạn cần xác định rõ cách thức gửi tác vụ in ấn, có thể là đẩy vào hàng đợi hoặc gửi trực tiếp đến máy in Spooling cho phép lưu trữ các thao tác in xuống đĩa để tạo thành hàng đợi trước khi được gửi đến máy in, giống như một bộ điều phối in ấn cho nhiều người dùng gửi yêu cầu cùng lúc Theo chế độ mặc định, tùy chọn spooling thường được bật sẵn.

Phía dưới Tab Advance có chứa bốn tùy chọn in ấn Đó là các tùy chọn:

Tùy chọn "Hold Mismatched Documents" rất hữu ích khi sử dụng chế độ nhiều biểu mẫu trên một máy in Mặc định, tùy chọn này không được kích hoạt, dẫn đến việc các tác vụ sẽ được in theo thứ tự first-in-first-out (FIFO) Khi bạn bật tùy chọn này, hệ thống sẽ ưu tiên in trước các tác vụ có cùng một biểu mẫu.

Tùy chọn "In tài liệu đã lưu" quy định rằng các tác vụ in ấn sẽ được ưu tiên thực hiện trước các tác vụ lớn khác, giúp cải thiện hiệu quả làm việc của máy in Mặc định, tùy chọn này luôn được bật, đảm bảo rằng quá trình điều hướng in ấn diễn ra nhanh chóng và hiệu quả hơn.

Tùy chọn "Giữ tài liệu in" quy định rằng các tác vụ in sẽ bị xóa khỏi hàng đợi in khi quá trình in hoàn tất Thông thường, người dùng muốn xóa các tác vụ ngay khi bắt đầu in để tiết kiệm dung lượng ổ đĩa, vì việc giữ lại các tác vụ trong hàng đợi cho đến khi in xong sẽ tốn không gian lưu trữ Mặc định, tùy chọn này không được kích hoạt.

Enable Advanced Printing Features: This option dictates that any extended functionalities supported by your printer, such as Page Order, will be utilized.

Tùy chọn "Pages Per Sheet" nên luôn được bật để đảm bảo hiệu suất in tốt nhất Mặc dù mặc định tính năng này luôn được kích hoạt, bạn có thể tắt nó trong trường hợp gặp phải vấn đề tương thích Ví dụ, nếu bạn đang sử dụng driver cho một máy in tương tự nhưng không hỗ trợ đầy đủ các tính năng của máy in, hãy cân nhắc tắt tùy chọn này để tránh sự cố trong quá trình in ấn.

The Printing Defaults button is located in the bottom left corner of the Advanced tab Clicking on this button will open the Printing Preferences dialog box, which is the same dialog that appears when you click the Print button.

5.8 Print Processor ộ xử lý in ấn được sử dụng để qui định Windows Server có cần phải thực hiện các xử lý bổ sung trong công việc in ấn hay không Bộ xử lý in ấn WinPrint mặc định được cài đặt và được Windows Server sử dụng Bộ xử lý in ấn WinPrint có thể hỗ trợ một vài kiểu dữ liệu

Theo mặc định thì hầu hết các ứng dụng trên nền Window sử dụng chuẩn EMF

Chuẩn Enhanced Metafile (EMF) được sử dụng để gửi các tác vụ in ấn đến máy in, với kiểu dữ liệu RAW Kiểu dữ liệu này thông báo cho bộ xử lý in rằng các tác vụ không cần điều chỉnh độ ưu tiên khi in, theo quy định của nhà sản xuất phần mềm.

Bảng danh sách các kiểu dữ liệu được bộ xử lý in ấn trong Windows Server hỗ trợ:

Kiểu dữ liệu Mô tả

RAW Không làm thay đổi tài liệu in ấn

RAW (FF appended) does not alter the printed document except for the addition of a form-feed character In contrast, RAW (FF Auto) also preserves the integrity of the printed document but includes a check to determine if a form-feed character needs to be added.

NT EMF 1.00x Thường điều hướng các tài liệu được gửi từ các máy tính

TEXT Phiên dịch tất cả các kiểu dữ liệu văn bản đơn giản và máy in sẽ thực hiện in bằng cách sử dụng các lệnh văn bản chuẩn

Trang phân cách (Separator pages) được sử dụng để xác định người thực hiện in tài liệu, đặc biệt hữu ích khi máy in được chia sẻ giữa nhiều người dùng Nếu máy in không được chia sẻ, việc sử dụng trang phân cách có thể dẫn đến lãng phí giấy Để thêm trang phân cách, bạn chỉ cần nhấp vào nút Separator page ở góc dưới bên phải của Tab Advance, sau đó chọn tập tin trang phân cách mong muốn bằng cách nhấp vào nút Browse.

Cấu hình tab security

- Phân được quyền truy cập máy in đúng yêu cầu của người sử dụng

Chúng ta có thể quản lý quyền truy cập máy in trên Windows Server bằng cách cấu hình quyền in ấn cho người dùng và nhóm người dùng Việc này cho phép chúng ta quyết định xem người dùng có thể truy xuất máy in hay không Quyền in ấn được cấp thông qua Tab Security trong hộp thoại Properties của máy in.

Hình 9.16 Cấp quyền cho user

Bảng phân quyền in ấn cho người dùng

Print Cho phép người dùng hoặc một nhóm người dùng có thể kết nối và gửi tác vụ

In ấn đến máy in

Người dùng hoặc nhóm người dùng có quyền điều khiển và quản lý máy in, cho phép họ dừng hoặc khởi động lại máy in, thay đổi cấu hình bộ điều tác, chia sẻ hoặc không chia sẻ máy in, điều chỉnh quyền in ấn và quản trị các thuộc tính của máy in.

Người dùng có khả năng quản lý tài liệu in thông qua các thao tác như dừng, khởi động lại, phục hồi hoặc xóa tài liệu khỏi hàng đợi máy in Tuy nhiên, họ không thể điều khiển trạng thái của máy in.

Permissions Bằng cách chọn Tab Advanced trong hộp thoại Print

Permissions, bạn có thể quản lý các quyền đặc biệt

Mỗi khi một máy in mới được tạo ra, các quyền in ấn mặc định sẽ tự động được thiết lập Dưới đây là bảng các quyền in ấn mặc định.

Nhóm quyền Được phép in Quản lý in Quản lý tài liệu in

6.2 Cấp quyền in cho người dùng/nhóm người dùng

Thông thường, bạn có thể chấp nhận quyền in ấn mặc định, nhưng trong một số trường hợp đặc biệt, cần hiệu chỉnh lại các quyền in cho phù hợp Ví dụ, khi công ty trang bị cho phòng Marketing một máy in laser màu đắt tiền, bạn không muốn ai cũng có quyền sử dụng Để thực hiện điều này, trước tiên bạn cần bỏ tùy chọn Allow checkbox cho nhóm Everyone, sau đó thêm nhóm Marketing vào danh sách trong Tab Security và cấp quyền Print cho nhóm này Để thêm các quyền in ấn, bạn cần thực hiện các bước cụ thể.

Bước 1 Ở Tab Security trong hộp thoại Properties của máy in, nhấp chuột vào nút Add

Hình 9.17 Thêm User và group

Để cấp quyền in ấn, bạn mở hộp thoại Select Users, Computers, Or Groups, nhập tên người dùng hoặc nhóm người dùng cần cấp quyền, sau đó nhấn nút Add Tiếp theo, chọn tất cả người dùng mà bạn muốn cấp quyền và nhấn nút OK.

Hình 9.18 Chọn User và group

Bước 3: Từ danh sách các phân quyền, hãy chọn người dùng hoặc nhóm người dùng, sau đó nhấn Allow để cấp quyền in ấn hoặc chọn Deny để từ chối quyền quản lý máy in và tài liệu in.

Để xóa một nhóm có sẵn trong danh sách phân quyền, chỉ cần chọn nhóm đó và nhấn nút Remove Nhóm vừa được chọn sẽ không còn xuất hiện trong danh sách.

Tab Security nữa và không thể được cấp bất kì quyền hạn in ấn nào.

Quản lý print server

- Quản lý được máy in mạng

7.1 Hộp thoại quản lý Print Server

Print Server là một máy tính quản lý các máy in trong mạng, nơi người dùng gửi yêu cầu in ấn Khi một yêu cầu được gửi, nó sẽ được chuyển đến Print Server, nơi chịu trách nhiệm quản lý tất cả các máy in logic Để thực hiện nhiệm vụ này, Print Server cần có cấu hình mạnh mẽ để xử lý các tác vụ in ấn và đủ dung lượng đĩa trống để lưu trữ các tác vụ trong hàng đợi.

Hình 9.19 Quản lý máy in

You can manage the Print Server by configuring the properties in the Print Server Properties dialog To open this dialog, navigate to Printers and Faxes, select File, and then choose Server Properties The Print Server Properties dialog includes several tabs: Forms and Ports.

7.2 Cấu hình các thuộc tính Port của Print Server

Trong hộp thoại Printer Server Properties, bạn cần mở Tab Port, nơi quản lý tất cả các port trên Print Server Tab này khác với Tab Port trong hộp thoại Properties của máy in, vì Tab Port trong Printer Server Properties tập trung vào việc quản lý các port của toàn bộ Print Server, trong khi Tab Port trong Properties của máy in chỉ quản lý các port của thiết bị máy in vật lý.

In the Printer Server Properties dialog, navigate to the Driver tab to manage the installed printer drivers on the Print Server This tab displays the name, environment, and operating system supported by each printer driver, allowing for efficient driver management.

Using the options in the Driver Tab, you can add, remove, or update printer drivers To view the properties of a specific printer driver, select the desired driver and click on the Properties button The properties of a printer driver include:

Giám sát trạng thái hàng đợi máy in

- Giám sát và xử lý lỗi máy in mạng

Tiện ích System Monitor cho phép quản lý hàng đợi máy in hiệu quả Nó được sử dụng để theo dõi các chỉ số liên quan đến thao tác trên nhiều đối tượng máy tính Để quản lý hàng đợi máy in bằng System Monitor, bạn cần thực hiện theo các bước hướng dẫn cụ thể.

1 Chọn Start \ Administrative Tools \ Performance

2 Hộp thoại Performance sẽ xuất hiện Mặc định thì tiện ích System

Monitor sẽ được chọn như hình sau:

3 Nhấp chuột vào nút Add (có biểu tượng dấu +) để truy xuất vào hộp thoại

Add Counters Sau đó, nhấp chọn Print Queue Performance Object

4 Trong hộp thoại Add Counters, bạn có thể chỉ định ra máy tính mà bạn muốn giám sát (cả máy tính cục bộ và máy tính ở xa) Performance Object mà bạn cần theo dõi (trong trường hợp này là hàng đợi - Print Queue), các counter mà bạn muốn theo dõi, và bạn cũng chỉ ra là bạn có muốn theo dõi tất cả các thể hiện hay là bạn chỉ muốn theo dõi một số thể hiện của counter được bạn lựa chọn Nếu bạn chọn tất cả các thể hiện được lựa chọn sẽ cho phép tất cả dữ liệu của tất cả các hàng đợi in ấn đã được định nghĩa trong máy in Còn nếu bạn chọn chỉ theo dõi một số thể hiện của counter thì bạn chỉ theo dõi được dữ liệu từ một số hàng đợi in ấn cá nhân

1 Cài đặt 2 máy in bất kỳ, chia sẻ và phân quyền in ấn trên 2 máy in này

2 Tìm kiếm máy in trên mạng bằng địa điểm

3 Thiết lập độ ưu tiên và tính sẵn sàng in

1 Cài đặt 2 máy in bất kỳ, chia sẻ và phân quyền in ấn trên 2 máy in này a) Cài đặt máy in

Log on vào máy với tài khoản administrator

Start \Settings\ Printers and faxes

Hình 9.23 Hộp thoại thêm máy in

Chọn Local Printer, và chọn Next

Hình 9.24 Hộp thoại chọn hình thứci

Chọn port LPT1, và chọn Next

Hình 9.25 Hộp thoại chọn cổng máy in

Chọn hãng sản xuất và chọn loại máy in, và chọn Next

Hình 9.26 Hộp thoại Chọn loại máy in

Nhập tên cho printer, và chọn Next

Hình 9.27 Đặt tên máy in

Tên share cho printer, và chọn Next

Nhập tên địa điểm của máy in (chẳng hạn như HCM) vào ô Location, sau đó nhấn Next Khi cửa sổ xuất hiện hỏi bạn có muốn in thử hay không, hãy chọn No và tiếp tục nhấn Next.

Hình 9.29 Không in thử máy in

Click vào Finish để kết thúc, bạn đợi vài giây để hệ thống cài đặt

Hình 9.30 Hoàn thành cài máy in

Tương tự, cài đặt printer thứ 2:

Chọn port LPT2, chọn cùng hãng HP và cùng loại máy in, đặt tên máy in là

HP 2200 NEW, Share với tên là HP NEW, nhập địa điểm của máy in(nhập tên DN trong khung Location)

Hai Printers đã được cài trên máy

Hình 9.31 Chia sẻ máy in b) Chia sẻ và phân quyền được in ấn:

Gán cho nhóm Administrators Manage printers, Manage documents và print

Hình 9.34 Xóa Everyone Đưa thêm nhóm KE TOAN vào ACL

Hình 9.35 Đưa nhóm Ketoan vào

Gán cho nhóm KE TOAN được quyền Print

Hình 9.36 Cấp quyền cho nhóm Ketoan

Bây giờ chuyển qua làm permission cho printer HP 2200 Cách thực hiện tương tự như trên

Cho nhóm Everyone ra khỏi ACL Đưa nhóm NHAN SU vào ACL của printer HP 2200

Hình 9.37 Chọn nhóm NHAN SU

Cho nhóm đó được quyền print

2 Tìm kiếm máy in trên mạng bằng địa điểm

Vào Active Directory Sites Users and Computers

Hình 9.39 Cửa Sổ chính sách

Group policyObject Editor mở ra

Hình 9.40 Cửa sổ Group policyObject Editor

Mở tính năng Pre-populate printer search location text

Hình 9 Mở tính năng Pre-populate

Và tính năng Printer browsing

Hình 9.41 Bật tính năng Printer browsing

Hình 9.42 Cập nhật chính sách

Dùng lệnh Find để tìm printers

Hình 9.43 Cửa sổ tìm kiếm Điền vào ô location

Hình 9.44 Nhập thông tin tìm kiếm

3 Thiết lập đọ ưu tiên và tính sẵn sàng in

Right click vào biểu tượng máy in HP 2200 chọn properties để cấu hình printer pool, vào thẻ Advanced để cấu hình:

Hình 9.45 Chọn đọ ưu tiên

To adjust the printing priority for the HP 2200 NEW printer, right-click on its icon and select 'Properties.' Then, navigate to the 'Advanced' tab and change the priority value to 50 This setting will ensure that printing on the HP 2200 NEW occurs at a slower priority compared to the HP 2200 printer.

- Cài đặt được 2 máy in đúng yêu cầu của hệ thống

- Chia sẻ đúng theo các quyền cho từng User và Group

- Cấu hình độ ưu tiên cho tưng máy và từng User và Group

- Tìm kiếm máy in trên mạng từ các Client

- Thiết lập thời gian in cho từng User và Group

- Quản lý việc in ấn trên server

- Cấp quyền in cho người dùng/nhóm người dùng

Utilizing Print Management with Group Policy allows for the automatic installation of printers and drivers for users or computers within a company This approach ensures that all processes are managed on the server, and any changes made on the server are automatically applied to all users, streamlining printer management and enhancing efficiency.

 Trình bày được Chức năng Quản lý máy in trên Windows Server

 Trình bày được các bước Quản lý máy in trên Windows Server 2019

 Thao tác thành thạo việc Quản lý đĩa trên Windows Server 2019

 Thao tác thành thạo việc sử dụng máy in chạy qua port TCP trên DC của Windows Server 2019

 Thực hiện đúng các bước cài máy in tự động trên Server

 Đánh giá kỹ năng thực hành về các thao tác Quản lý đĩa và giới hạn đĩa trên Windows Server 2019

 Đánh giá kỹ năng thực hành về các bước cài máy in tự động trên Server

 Thực hiện đúng sử dụng máy in chạy qua port TCP

Năng lực tự chủ và trách nhiệm trong công việc bao gồm sự tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp Để hoàn thành mô đun và đủ điều kiện dự thi kết thúc mô đun, người học cần phát triển những kỹ năng này một cách đồng bộ và hiệu quả.

+ Người học tham dự ít nhất 70% thời gian học lý thuyết và đầy đủ các bài học tích hợp, bài học thực hành, thực tập

+ Điểm trung bình chung các điểm kiểm tra đạt từ 5,0 điểm trở lên theo thang điểm 10;

Người học có giấy xác nhận khuyết tật sẽ được hiệu trưởng xem xét và quyết định ưu tiên điều kiện dự thi, tuy nhiên, sinh viên cần đảm bảo đạt yêu cầu về điểm trung bình các bài kiểm tra.

Theo quy định tại khoản 2 Điều 13 Thông tư 09/2017/TT-BLĐTBXH ngày 13 tháng 3 năm 2017, số lần dự thi kết thúc mô đun được quy định rõ ràng Để được công nhận và cấp chứng nhận đạt mô đun đào tạo, các điều kiện cụ thể cần phải được đáp ứng.

Người học được công nhận và cấp chứng nhận đạt mô đun này khi có điểm trung bình mô đun theo thang điểm 10 đạt từ 4,0 trở lên

Tiêu đề	Giáo Trình Quản Trị Mạng
Tác giả	Nguyễn Hoàng Vũ
Trường học	Cần Thơ
Chuyên ngành	Quản trị mạng
Thể loại	giáo trình
Năm xuất bản	2021
Thành phố	Cần Thơ

Định dạng
Số trang	217
Dung lượng	10,77 MB