CÀI ĐẶT DNS
Tổng quan về DNS
- Trình bày được cấu trúc cơ sở dữ liệu của hệ thống tên miền;
- Mô tả được sự phân cấpcủa hệ thống tên miền;
Mỗi máy tính trong mạng cần biết địa chỉ IP của nhau để giao tiếp hiệu quả Tuy nhiên, khi số lượng máy tính tăng lên, việc nhớ các địa chỉ IP trở nên khó khăn Do đó, DNS (Hệ thống tên miền) ra đời như một giải pháp thay thế, cho phép sử dụng tên dễ nhớ thay vì địa chỉ IP phức tạp Điều này giúp ánh xạ địa chỉ IP thành tên máy tính, đơn giản hóa quá trình truy cập các dịch vụ trực tuyến.
Dịch vụ DNS hoạt động theo mô hình Client-Server, trong đó máy chủ phục vụ tên được gọi là Name Server, và phần Client là trình phân giải tên.
Resolver là thành phần sử dụng các hàm thư viện để tạo và gửi truy vấn đến Name Server, nơi chứa thông tin cơ sở dữ liệu của DNS DNS hoạt động như một giao thức tầng ứng dụng trong mạng TCP/IP.
DNS là một cơ sở dữ liệu phân tán, cho phép quản trị viên cục bộ quản lý dữ liệu nội bộ trong phạm vi của họ, đồng thời đảm bảo dữ liệu dễ dàng truy cập trên toàn bộ hệ thống mạng theo mô hình Client-Server Hiệu suất dịch vụ được cải thiện nhờ vào cơ chế nhân bản và lưu trữ tạm thời Một hostname trong miền được tạo thành từ các từ được phân cách bởi dấu chấm (.).
Loại tên Miêu tả Ví dụ
Đỉnh của nhánh cây tên miền, hay còn gọi là domain root, xác định kết thúc của tên miền (fully qualified domain names - FQDNs) Đơn giản, nó chỉ là dấu chấm (.) sử dụng tại cuối của tên miền.
"example.microsoft.com” Tên miền cấp một
Tên miền cấp cao (Top-level domain) bao gồm hai hoặc ba ký tự, xác định quốc gia, khu vực hoặc tổ chức, như ".com", thường được sử dụng để chỉ các tổ chức thương mại Tên miền cấp hai là phần tiếp theo trong cấu trúc tên miền, giúp phân biệt các trang web khác nhau trong cùng một lĩnh vực.
Nó rất đa dạng trên internet, nó có thể là tên của một công ty, một tổ chức hay một cá nhân v.v đăng ký trên internet
"microsoft.com.", là tên miền cấp hai đăng ký là công ty Microsoft
Tên miền cấp nhỏ hơn Chia nhỏ thêm ra của tên miên cấp hai xuống thường được sử dụng như chi
"example.microsoft.com." là phần quản lý tài liệu ví dụ của microsof (Subdomain) nhánh, phong ban của một cơ quan hay một chủ đề nào đó
Cơ sở dữ liệu của DNS được cấu trúc như một cây đảo ngược, trong đó mỗi nút là gốc của một cây con Mỗi cây con đại diện cho một phân vùng trong toàn bộ cơ sở dữ liệu DNS, được gọi là miền (domain) Các miền này có thể được chia nhỏ thành các phân vùng con, được gọi là miền con (subdomain).
Mỗi domain có 1 tên (domain name) Tên domain chỉ ra vị trí của nó trong
CSDL DNS là hệ thống phân giải tên miền, trong đó tên miền được cấu thành từ chuỗi các nhãn liên tiếp, đi ngược về nút gốc của cây DNS và được phân cách bằng dấu chấm.
Tên nhãn ở bên phải trong mỗi tên miền được gọi là top-level domain (TLD) Ví dụ, trong tên miền srv1.csc.hcmuns.edu.vn, ".vn" là top-level domain Dưới đây là bảng liệt kê các top-level domain.
.com Các tổ chức, công ty thương mại
.org Các tổ chức phi lợi nhuận
.net Các trung tâm hỗ trợ về mạng
.edu Các tổ chức giáo dục
.gov Các tổ chức thuộc chính phủ
.mil Các tổ chức quân sự
.int Các tổ chức được thành lập bởi các hiệp ước quốc tế
Mỗi quốc gia đều có một tên miền cấp cao (top-level domain) riêng, ví dụ như tên miền của Việt Nam là vn và của Mỹ là us Để biết thêm thông tin về các địa chỉ tên miền, bạn có thể tham khảo tại http://www.thrall.org/domains.htm.
Ví dụ về tên miền của một số quốc gia
Tên miền quốc gia Tên quốc gia
1.2 Đặc điểm của DNS trong Windows Server
- Conditional forwarder: Cho phép Name Server chuyển các yêu cầu phân giải dựa theo tên domain trong yêu cầu truy vấn.
- Stub zone: hỗ trợ cơ chế phân giải hiệu quả hơn
- Đồng bộ các DNS zone trong Active Directory (DNS zone replication in
- Cung cấp một số cơ chế bảo mật tốt hơn trong các hệ thống Windows trước đây
- Luân chuyển (Round robin) tất cả các loại RR
- Cung cấp nhiêu cơ chế ghi nhận và theo dõi sự cố lỗi trên DNS
- Hỗ trợ giao thức DNS Security Extensions (DNSSEC) để cung cấp các tính năng bảo mật cho việc lưu trữ và nhân bản (replicate) zone
- Cung cấp tính năng EDNS0 (Extension Mechanisms for DNS) để cho phép DNS
Requestor quản bá những zone transfer packet có kích thước lớn hơn 512 byte.
Cách phân bố dữ liệu quản lý trên tên miền
Mục tiêu:Trình bày được sự phân bố dữ liệu quản lý trên tên miền.
Những root name server (.) quản lý những top-level domain trên Internet
Tên máy và địa chỉ IP của các name server đã được công bố công khai và được trình bày trong bảng dưới đây Những name server này có thể được phân bố rộng rãi trên toàn cầu.
Tên máy tính Địa chỉ IP
Primary Name Server có thể tạo ra những subdomain và ủy quyền những subdomain này cho những Name Server khác
3.Cơ chế phân giải tên
Mục tiêu:Trình bày được cơ chế phân giải tên máy tính thành địa chỉ IP và ngược lại;
3.1 Phân giải tên thành IP
Máy chủ root name server là thiết bị quản lý các name server ở cấp độ top-level domain Khi nhận được truy vấn về một tên miền, root name server sẽ cung cấp tên và địa chỉ IP của name server tương ứng với top-level domain Hầu hết các root server cũng đóng vai trò là máy chủ quản lý top-level domain Tiếp theo, các name server của top-level domain sẽ cung cấp danh sách các name server có quyền quản lý các second-level domain liên quan, cho đến khi tìm được máy chủ quản lý tên miền cần truy vấn.
Hình vẽ dưới mô tả quá trình phân giải cntt.edu.vn trên mạng Internet
Hình 1.2: Quá trình phân giải cntt.edu.vn trên mạng Internet
3.2 Phân giải IP thành tên máy tính Ánh xạ địa chỉ IP thành tên máy tính được dùng để diễn dịch các tập tin log cho dễ đọc hơn Nó còn dùng trong một số trường hợp chứng thực trên hệ thống
UNIX cho phép kiểm tra các tập tin rhost và host.equiv Trong không gian tên miền, dữ liệu, bao gồm địa chỉ IP, được lập chỉ mục theo tên miền, giúp việc xác định địa chỉ IP từ một tên miền cụ thể trở nên dễ dàng.
Name Server cdn.edu.vn
Gởi truy vấn địa chỉ
Hỏi server quản lý tên miền vn
Gởi truy vấn địa chỉ
Hỏi server quản lý tên miền
Gởi truy vấn địa chỉ
Hỏi server quản lý tên miền Gởi truy vấn địa chỉ
Trả lời địa chỉ IP của
Để phân giải tên máy tính từ địa chỉ IP trong không gian tên miền, người ta đã bổ sung một nhánh tên miền được lập chỉ mục theo địa chỉ IP, gọi là in-addr.arpa.
Hình 1.3: Phân giải IP thành tên máy tính
Khi đọc tên miền, địa chỉ IP sẽ xuất hiện theo thứ tự ngược Chẳng hạn, nếu địa chỉ IP của máy winnie.corp.hp.com là 15.16.192.152, thì khi ánh xạ vào miền in-addr.arpa, nó sẽ trở thành 152.192.16.15.in-addr.arpa.
4.Một số khái niệm cơ bản
- Trình bày được các khái niệm cơ bản
Một miền bao gồm nhiều thực thể nhỏ hơn được gọi là miền con (subdomain), chẳng hạn như miền ca có các miền con như ab.ca, on.ca, qc.ca Bạn có khả năng ủy quyền một số miền con cho các máy chủ DNS khác để quản lý.
DNS Server được quyền quản lý gọi là zone Như vậy, một Zone có thể gồm một miền, một hay nhiều miền con
- Primary zone: Cho phép đọc và ghi cơ sở dữ liệu
- Secondary zone: Cho phép đọc bản sao cơ sở dữ liệu
- Stub zone: chứabản sao cơsở dữ liệucủa zone nào đó, nó chỉ chứa chỉ một vài
4.2 Fully Qualified Domain Name (FQDN)
Mỗi nút trên cây có tên gọi tối đa 63 ký tự, không chứa dấu chấm Tên rỗng dành riêng cho nút gốc (root) và được biểu diễn bằng dấu chấm Tên miền đầy đủ của một nút là chuỗi tên gọi đi ngược lên nút gốc, cách nhau bởi dấu chấm Tên miền có dấu chấm ở cuối gọi là tên tuyệt đối (absolute), khác với tên tương đối không kết thúc bằng dấu chấm Tên tuyệt đối cũng được xem là tên miền đầy đủ đã được chứng nhận (Fully Qualified Domain Name – FQDN).
Một trong những mục tiêu thiết kế hệ thống DNS là quản lý phân tán thông qua cơ chế uỷ quyền Mỗi miền có thể được chia thành nhiều miền con, và mỗi miền con có thể được uỷ quyền cho một tổ chức khác, chịu trách nhiệm duy trì thông tin của miền con đó Miền cha chỉ cần một con trỏ để tham chiếu đến miền con khi có các truy vấn.
Là kỹ thuật cho phép Name Server nội bộ chuyển yêu cầu truy vấn cho các Name Server khác để phân giải các miền bên ngoài
Stub zone là một khu vực chứa bảng sao cơ sở dữ liệu DNS từ máy chủ tên chính (master name server) Nó chỉ bao gồm các resource record cần thiết như A, SOA, NS và một hoặc vài địa chỉ của máy chủ tên chính, hỗ trợ cơ chế cập nhật Stub zone Stub zone cũng cung cấp chứng thực cho máy chủ tên trong khu vực và cải thiện hiệu quả phân giải tên miền, đồng thời đơn giản hóa công tác quản trị.
Dynamic DNS là phương thức ánh xạ tên miền tới địa chỉ IP có tần suất thay đổi cao Dịch vụ này sử dụng một chương trình gọi là Dynamic DNS Client, chạy trên máy tính của người dùng Chương trình này theo dõi sự thay đổi địa chỉ IP tại host và tự động cập nhật thông tin vào cơ sở dữ liệu DNS mỗi khi địa chỉ IP của host thay đổi.
Sử dụng Active Directory-integrated zone có một số thuận lợi sau:
- DNS zone lưu trữ trong trong Active Directory, nhờ cơ chế này mà dữ liệu được bảo mật hơn
- Sử dụng cơ chế nhân bản của Active Directory để cập nhận và sao chép cơ sở dữ liệu DNS
- Sử dụng secure dynamic update
- Sử dụng nhiều master name server để quản lý tên miền thay vì sử dụng một master name server.
Phân loại Domain Name Server
- Trình bày được các loại tên Domain Server.
Mỗi miền cần có một Primary Name Server được đăng ký trên Internet để quản lý miền đó Tên máy tính và địa chỉ IP của server này được biết đến rộng rãi trên Internet Người quản trị DNS sẽ tổ chức các tập tin cơ sở dữ liệu trên Primary Name Server, có nhiệm vụ phân giải tất cả các máy trong miền hoặc zone.
Mỗi miền đều có một Primary Name Server để quản lý cơ sở dữ liệu, nhưng khi server này ngừng hoạt động, việc phân giải tên máy tính thành địa chỉ IP sẽ bị gián đoạn, ảnh hưởng lớn đến các tổ chức cần trao đổi thông tin qua Internet Để khắc phục vấn đề này, các nhà thiết kế đã phát triển một Server dự phòng gọi là Secondary (hay Slave) Name Server, có nhiệm vụ sao lưu dữ liệu từ Primary Name Server và đảm nhận việc phân giải tên máy tính khi server chính gặp sự cố.
Caching Name Server không lưu trữ bất kỳ tập tin cơ sở dữ liệu nào Chức năng chính của nó là phân giải tên máy trên các mạng xa thông qua các Name Server khác Nó lưu trữ những tên máy đã được phân giải trước đó và tái sử dụng thông tin này để cải thiện hiệu suất và tốc độ truy cập.
- Làm tăng tốc độ phân giải bằng cách sử dụng cache
- Giảm bớt gánh nặng phân giải tên máy cho các Name Server.
- Giảm việc lưu thông trên những mạng lớn.
Resource Record (RR)
RR là mẫu thông tin dùng để mô tả các dữ liệu liên quan đến cơ sở dữ liệu DNS, và các mẫu tin này được lưu trữ trong các file cơ sở dữ liệu DNS tại đường dẫn \systemroot\system32\dns.
Every database file must contain exactly one SOA (Start of Authority) record The SOA record indicates that the Name Server is the reliable source of information from the data contained within the zone.
Cú pháp của record SOA
[tên-miền] IN SOA [tên-server-dns] [địa-chỉ-email] ( serial number; refresh number; retry number; experi number;
Record tiếp theo cần có trong zone là NS (name server) record Mỗi Name Server cho zone sẽ có một NS record
[domain_name] IN NS [DNS-Server_name]
Ví dụ: Record NS sau: qtm.com IN NS dnsserver.qtm.com qtm.com IN NS server.qtm.com chỉ ra 2 name servers cho miền qtm.com
6.3 A (Address) và CNAME (Canonical Name)
Record A maps a hostname to an IP address, while a CNAME (canonical name) creates an alias that points to a canonical name The canonical name refers to the host in the A record or can redirect to another canonical name.
Cú pháp record A: [tên-máy-tính] IN A [địa-chỉ-IP]
Ví dụ: record A trong tập tin db.qtm server.qtm.com IN A 172.29.14.1 diehard.qtm.com IN A 172.29.14.4
// Multi-homed hosts server.qtm.com IN A 172.29.14.1 server.qtm.com IN A 192.253.253.1
6.4 AAAA Ánh xạ tên máy (hostname) vào địa chỉ IP version 6
Cú pháp: [tên-máy-tính] IN AAAA [địa-chỉ-IPv6]
Ví dụ Server IN AAAA 1243:123:456:789:1:2:3:456ab
Cung cấp cơ chế định vị dịch vụ, Active Directory sử dụng Resource Record này để xác định domain controllers, global catalog servers, Lightweight Directory Access Protocol (LDAP) servers
- Weight (hỗ trợ load balancing)
- Target chỉ định FQDN cho host hỗ trợ dịch vụ
DNS sử dụng record MX để chuyển mail trên Internet, thay thế cho hai record cũ là MD (mail destination) và MF (mail forwarder) do hoạt động không hiệu quả Record MX xác định mail exchanger cho một miền, cho phép trình chuyển mail quyết định đường đi của thông điệp Mail exchanger có nhiệm vụ xử lý mail, chuyển đến hộp thư cục bộ hoặc chuyển tiếp đến mail exchanger khác gần nhất qua giao thức SMTP Để ngăn chặn việc gửi mail bị lặp lại, record MX bao gồm một số thứ tự tham chiếu (0-65535) để xác định ưu tiên của các mail exchanger.
[domain_name] IN MX [priority] [mail-host]
Ví dụ record MX sau : qtm.com IN MX 10 mailserver.qtm.com
Chỉ ra máy chủ mailserver.qtm.com là một mail exchanger cho miền qtm.com với số thứ tự tham chiếu 10
Chú ý: các giá trị này chỉ có ý nghĩa so sánh với nhau Ví dụ khai báo 2 record MX:
Record PTR (pointer) dùng để ánh xạ địa chỉ IP thành Hostname
Cú pháp: [Host-ID.{Reverse_Lookup_Zone}] IN PTR [tên-máy-tính]
Ví dụ:Các record PTR cho các host trong mạng 192.249.249:
1.14.29.172.in-addr.arpa IN PTR server.qtm.com.
Cài đặt
Mục tiêu:Thực hiện được quá trình cài đặt và cấu hình DNS.
Có nhiều phương pháp để cài đặt dịch vụ DNS trên hệ điều hành Windows, bao gồm việc cài đặt DNS khi nâng cấp máy chủ thành domain controller hoặc cài đặt DNS trên máy chủ Windows 2008 độc lập.
7.1 Các bước cài đặt dịch vụ DNS
Để cài đặt dịch vụ DNS trên Windows 2008 Server, máy chủ cần được cấp địa chỉ IP tĩnh Dưới đây là các bước cơ bản để thực hiện cài đặt dịch vụ DNS trên Windows 2008 stand-alone Server.
- Chọn Start | Control Panel | Add/Remove Programs
- Chọn Add or Remove Windows Components trong hộp thoại Windows components
- Từ hộp thoại ởbước 2 ta chọn Network Services sau đó chọn nút Details
- Chọn tùy chọn Domain Name System(DNS), sau đó chọn nút OK
Để cài đặt dịch vụ, bạn cần chọn nút Next, hệ thống sẽ tiến hành sao chép các tập tin cần thiết Đảm bảo rằng bạn có đĩa DVDROM Windows 2008 trên máy tính hoặc có thể truy cập tài nguyên từ mạng Cuối cùng, chọn nút Finish để hoàn tất quá trình cài đặt.
CẤU HÌNH DNS
Cấu hình dịch vụ DNS
Sau khi ta cài đặt thành công dịch vụ DNS, ta có thể tham khảo trình quản lý dịch vụ này như sau:
To access DNS settings, navigate to Start, then Programs, followed by Administrative Tools, and select DNS It's important to note that if DNS was not installed during the Active Directory setup, there will be no default zones configured.
Hình 2.1: Giao diện DNS Server
- Event Viewer: Đây trình theo dõi sự kiện nhật ký dịch vụ DNS, nó sẽ lưu trữ các thông tin về: cảnh giác (alert), cảnh báo (warnings), lỗi (errors)
- Forward Lookup Zones: Chứa tất cả các zone thuận của dịch vụ DNS, zone này được lưu tại máy DNS Server
- Reverse Lookup Zones: Chứa tất cả các zone nghịch của dịch vụ DNS, zone này được lưu tại máy DNS Server.
Tạo Forward Lookup Zones
Forward Lookup Zone để phân giải địa chỉ Tên máy (hostname) thành địa chỉ IP Để tạo zone này ta thực hiện các bước sau:
- Chọn nút Start | Administrative Tools | DNS
- Chọn tên DNS server, sau đó Click chuột phải chọn New Zone Chọn Next trên hộp thoại Welcome to New Zone Wizard.
- Chọn Zone Type là Primary Zone | Next
Hình 2.2: Hộp thoại zone type
- Chọn Forward Lookup Zone | Next
- Chỉ định Zone Name để khai báo tên Zone (Ví dụ: csc.com), chọn Next
Hình 2.3: Hộp thoại zone name
Từ hộp thoại Zone File, người dùng có thể tạo file lưu trữ cơ sở dữ liệu cho Zone (zonename.dns) hoặc chỉ định Zone File đã tồn tại sẵn, tất cả các file này được lưu trữ tại %systemroot%\system32\dns Sau đó, chọn Next để tiếp tục.
- Hộp thoại Dynamic Update để chỉ định zone chấp nhận Secure Update, nonsecure Update hay chọn không sử dụng Dynamic Update, chọn Next
Hình 2.4: Hộp thoại Dynamic update
- Chọn Finish để hoàn tất.
Tạo Reverse Lookup Zone
Sau khi ta hoàn tất quá trình tạo Zone thuận ta sẽ tạo Zone nghịch (Reverse
Lookup Zone) để hỗ trợ cơ chế phân giải địa chỉ IP thành tên máy(hostname)
To create a Reverse Lookup Zone, follow these steps: Select Start, then Programs, Administrative Tools, and DNS Choose the DNS server name, right-click, and select New Zone.
- Chọn Next trên hộp thoại Welcome to New Zone Wizard Chọn Zone Type là Primary Zone | Next Chọn Reverse Lookup Zone | Next
- Gõ phần địa chỉ mạng(NetID) của địa chỉ IP trên Name Server | Next.
Hình 2.5: Hộp thoại Reverse Lookup zone name
- Tạo mới hay sử dụng tập tin lưu trữ cơ sở dữ liệu cho zone ngược, sau đó chọn Next
Hình 2.6: Hộp thoại zone file
- Hộp thoại Dynamic Update để chỉ định zone chấp nhận Secure Update, nonsecure Update hãy chọn sử dụng Dynamic Update, chọn Next Chọn Finish để hoàn tất
Bài tập thực hành của học viên
Cấu hình dịch vụ DNS
1 Cấu hình dịch vụ DNS
Sau khi ta cài đặt thành công dịch vụ DNS, ta có thể tham khảo trình quản lý dịch vụ này như sau:
Ta chọn Start | Programs | Administrative Tools | DNS Nếu ta không cài
DNS cùng với quá trình cài đặt Active Directory thì không có zone nào được cấu hình mặc định
- Event Viewer: Đây trình theo dõi sự kiện nhật ký dịch vụ DNS, nó sẽ lưu trữ các thông tin về: cảnh giác (alert), cảnh báo (warnings), lỗi (errors)
- Forward Lookup Zones: Chứa tất cả các zone thuận của dịch vụ DNS, zone này được lưu tại máy DNS Server
- Reverse Lookup Zones: Chứa tất cả các zone nghịch của dịch vụ DNS, zone này được lưu tại máy DNS Server
Forward Lookup Zone để phân giải địa chỉ
Tên máy (hostname) thành địa chỉ IP Để tạo zone này ta thực hiện các bước sau:
- Chọn nút Start | Administrative Tools | DNS
- Chọn tên DNS server, sau đó Click chuột phải chọn New Zone Chọn Next trên hộp thoại
Welcome to New Zone Wizard
- Chọn Zone Type là Primary Zone | Next
- Chọn Forward Lookup Zone | Next
- Chỉ định Zone Name để khai báo tên Zone (Ví dụ: csc.com), chọn Next
- Từ hộp thoại Zone File, ta có thể tạo file lưu trữ cơ sở dữ liệu cho
In the Zone (zonename.dns), you can specify an existing Zone File, which is stored in %systemroot%\system32\dns After selecting the desired file, proceed by clicking Next.
- Hộp thoại Dynamic Update để chỉ định zone chấp nhận Secure Update, nonsecure Update hay chọn không sử dụng Dynamic Update, chọn Next
Chỉ định Dynamic Update, chọn Finish để hoàn tất
Sau khi ta hoàn tất quá trình tạo Zone thuận ta sẽ tạo Zone nghịch (Reverse
Để hỗ trợ cơ chế phân giải địa chỉ IP thành tên máy (hostname), cần tạo Reverse Lookup Zone Để thực hiện việc này, bạn hãy chọn Start và làm theo các bước hướng dẫn sau.
Programs | Administrative Tools | DNS Chọn tên của DNS server, Click chuột phải chọn New Zone
Chọn Next trên hộp thoại Welcome to
New Zone Wizard Chọn Zone Type là Primary Zone | Next Chọn
Gõ phần địa chỉ mạng(NetID) của địa chỉ IP trên Name Server | Next
Tạo mới hay sử dụng tập tin lưu trữ cơ sở dữ liệu cho zone ngược, sau đó chọn Next
Hộp th oại Dynamic Update để chỉ định zone ch ấ p nh ận Secure Update, nonsecure Update hay ch ọ n không s ử d ụ ng Dynamic Update, ch ọ n Next
Ch ọ n Finish để hoàn tấ t
1.3 Thêm tên miền (domain name)
Tại của sổ quản lý domain chọn vào server và bấm chuột phải hiện lên menu và chọn "New
Domain " để điền một domain mới
Sau khi bấm vào "New Domain" nó sẽ xuất hiện cửa sổ cho phép bạn điền tên miền mà server được phép quản lý
Sau khi điền bấm "OK" để kết thúc
Tại cửa sổ quản lý DNS chọn zone đã tạo và bấm chuột phải chọn "new host"
Xuất hiện cửa sổ cho phép ta khai báo host mới
Bạn điền tên của host mà muốn tạo Tên của host sẽ được tự động điền thêm phần domain để thành tên đầy đủ của host
Ví dụ: như trên đây là vùng quản lý zone (location) là ktm.vnn.vn
Khi bạn nhập tên miền là www và địa chỉ IP là 203.162.0.100, điều này tương ứng với định nghĩa tên miền www.ktm.vnn.vn, trỏ đến địa chỉ IP 203.162.0.100, được biểu diễn dưới dạng www.ktm.vnn.vn IN A 203.162.0.100.
1 5 Tạo một bản ghi web (tạo bí danh)
Tại cửa sổ quản lý Domain và tên miền vừa tạo và bấm chuột phải và chọn "New Alias" để tạo một CNAME đến một host
Bấm và "New Alias " sẽ xuất hiện cửa sổ cho phép khai báo Alias
In the "Alias name" section, enter the desired alias name, and in the "Fully qualified name for target host" section, input the complete name of the host for which you want to create the alias, commonly used for web hosting For example, inputting www.ktm.vnn.vn IN CNAME ktm.vnn.vn will link the website www.ktm.vnn.vn to the web server identified as ktm.vnn.vn.
1.6 Tạo một bản ghi thư điện tử (MX )
Tại cửa sổ quản lý DNS tại tên miền muốn tạo bản ghi MX bấm chuột phải
Sau khi nhấn vào "New Mail Exchanger ", một cửa sổ sẽ xuất hiện cho phép bạn thiết lập các thông số cho bản ghi MX Tại mục "Host or domain", bạn cần nhập tên miền hoặc để trống, kết hợp với phần zone "Parent domain" để tạo thành tên miền đầy đủ cho bản ghi email Trong mục "Mail server", hãy nhập tên của máy chủ email, và tại "Mail server priority", điền mức độ ưu tiên của máy chủ email (số càng nhỏ thì mức ưu tiên càng cao).
Tên miền thư điện tử mail.ktm.vnn.vn cho phép tạo các hộp thư như abc@mail.ktm.vnn.vn, và được lưu trữ trên server thư điện tử mr-hn.vnn.vn với mức ưu tiên MX là 10.
1.7 Chuyển quyền quản lý têm miền (delegate)
Tại cửa sổ quản lý DNS tại domain muốn chuyển quyền quản lý bấm chuột phải
Để chuyển quyền quản lý tên miền, hãy nhấn vào "New Delegation " để mở cửa sổ chuyển nhượng Nhập tên miền bạn muốn chuyển vào ô "Delegated domain" Ví dụ, nếu bạn nhập abc, điều đó có nghĩa là bạn muốn chuyển quyền quản lý cho tên miền abc.ktm.vnn.vn.
Để quản lý tên miền abc.ktm.vnn.vn, bạn cần điền tên của DNS server vào ô "Server name" Sau đó, bấm "Resolve" để xác định địa chỉ IP của DNS server và nhấn "Ok" để hoàn tất Ví dụ, tên miền abc.ktm.vnn.vn sẽ được chuyển quyền quản lý cho DNS server vdc-hn01.vnn.vn, với thông tin IN NS vdc-hn01.vnn.vn.
NÂNG DOMAIN (ACTIVE DIRECTORY)
Active Directory
Mục tiêu:Trình bày được cấu trúc của Active Directory trên windows server
Active Directory (AD) là dịch vụ thư mục quan trọng, lưu trữ thông tin về các tài nguyên mạng, cho phép quản lý hiệu quả và mở rộng Bài viết sẽ cung cấp cái nhìn tổng quan về Active Directory và khám phá các thành phần chính của dịch vụ này.
Active Directory (AD) encompasses a variety of components, including user data, printers, servers, databases, user groups, computers, and security policies.
1.2 Chức năng của Active Directory
- Lưu giữ một danh sách tập trung các tên tài khoản người dùng, mật khẩu tương ứng và các tài khoản máy tính
- Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc
Server quản lý đăng nhập (logon Server), Server này còn gọi là domain controller (máy điều khiển vùng)
Duy trì một bảng hướng dẫn hoặc bảng chỉ mục giúp các máy tính trong mạng dễ dàng tìm kiếm tài nguyên trên các máy tính khác trong khu vực.
Chúng ta có thể tạo tài khoản người dùng với các mức độ quyền khác nhau, bao gồm quyền quản trị toàn bộ hệ thống mạng, quyền sao lưu dữ liệu và quyền tắt máy chủ từ xa.
Chúng ta có thể chia nhỏ miền của mình thành các miền con (subdomain) hoặc các đơn vị tổ chức (OU), từ đó ủy quyền cho các quản trị viên bộ phận để quản lý từng phần nhỏ một cách hiệu quả.
Dịch vụ danh bạ (Directory Services) là hệ thống thông tin được lưu trữ trong NTDS.DIT cùng với các chương trình quản lý và khai thác dữ liệu Đây là dịch vụ cốt lõi, đóng vai trò nền tảng cho việc xây dựng hệ thống Active Directory, mang lại những tính năng vượt trội của Microsoft.
1.3.2 Các thành phần trong Directory Services a Object (đối tượng)
Trong hệ thống cơ sở dữ liệu, các đối tượng như máy in, người dùng mạng, server, máy trạm, thư mục dùng chung và dịch vụ mạng đóng vai trò quan trọng Những đối tượng này là thành tố cơ bản của dịch vụ danh bạ, giúp tổ chức và quản lý thông tin hiệu quả.
Một thuộc tính là một đặc điểm mô tả đối tượng, chẳng hạn như mật khẩu và tên là thuộc tính của người dùng mạng Mỗi đối tượng có danh sách thuộc tính riêng, nhưng cũng có thể chia sẻ một số thuộc tính giống nhau, ví dụ như cả máy in và máy trạm đều có địa chỉ IP Cấu trúc tổ chức của những thuộc tính này được gọi là schema.
Schema định nghĩa danh sách các thuộc tính để mô tả một loại đối tượng, ví dụ như máy in, với các thuộc tính như tên, loại PDL và tốc độ Danh sách này tạo thành schema cho lớp đối tượng “máy in” Đặc điểm của schema là có tính tuỳ biến, cho phép sửa đổi các thuộc tính định nghĩa lớp đối tượng Tóm lại, schema có thể được xem như một danh bạ trong Active Directory.
Vật chứa trong Active Directory tương tự như thư mục trong Windows, cho phép lưu trữ các đối tượng và vật chứa khác Nó có khả năng chứa nhiều tập tin và thư mục, nhưng không đại diện cho một thực thể cụ thể như các đối tượng Mặc dù vậy, vật chứa vẫn có các thuộc tính tương tự như đối tượng.
Có ba loại vật chứa là:
- Domain: khái niệm này được trình bày chi tiết ở phần sau
Một site là một vị trí cụ thể, được sử dụng để phân biệt giữa các vị trí cục bộ và xa xôi Chẳng hạn, công ty XYZ có tổng hành dinh tại San Francisco, một chi nhánh ở Denver và một văn phòng đại diện tại Portland, tất cả đều kết nối về tổng hành dinh qua Dialup Networking Như vậy, hệ thống mạng này bao gồm ba site khác nhau.
OU (Đơn vị Tổ chức) là một loại vật chứa cho phép bạn quản lý người dùng, nhóm, máy tính và các OU khác Một OU không thể chứa các đối tượng từ domain khác, giúp bạn xây dựng một mô hình thứ bậc phù hợp với cấu trúc tổ chức trong một domain Sử dụng OU giúp giảm thiểu số lượng domain cần thiết trong hệ thống, tối ưu hóa quản lý và tổ chức.
Dịch vụ Global Catalog cho phép xác định vị trí của các đối tượng mà người dùng được cấp quyền truy cập Tính năng tìm kiếm của dịch vụ này vượt xa khả năng của Windows NT, cho phép người dùng không chỉ tìm kiếm đối tượng theo tên mà còn theo các thuộc tính của chúng.
Các thành phần của AD
Mục tiêu: Trình bày được các thành phần của Active Directory.
Gồm các thành phần: domains (vùng), organization units (đơn vị tổ chức), trees (hệ vùng phân cấp ) và forests (tập hợp hệ vùng phân cấp)
Hình 3.1: Mô hình cấu trúc AD logic 2.1.1 Organizational Units
Organizational Unit (OU) là đơn vị nhỏ nhất trong hệ thống Active Directory (AD), đóng vai trò như một vật chứa các đối tượng (Object) giúp sắp xếp và quản lý các đối tượng khác nhau OU được thiết lập dựa trên subnet, phục vụ cho mục đích quản trị hiệu quả trong tổ chức.
IP và được định nghĩa là “một hoặc nhiều subnet kết nối tốt với nhau” Việc sử dụng
OU có hai công dụng chính sau:
Trao quyền kiểm soát cho một nhóm người hoặc phụ tá quản trị viên đối với một tập hợp tài khoản người dùng, máy tính và thiết bị mạng giúp giảm bớt gánh nặng quản trị cho quản trị viên chính của hệ thống.
- Kiểm soát và khóa bớt một số chức năng trên các máy trạm của người dùng trong OU thông qua việc sử dụng các đối tượng chính sách nhóm
(GPO), các chính sách nhóm này chúng ta sẽ tìm hiểu ở các chương sau
Domain là đơn vị chức năng nòng cốt của cấu trúc logic Active
Directory là công cụ quản lý tập hợp người dùng, máy tính và tài nguyên chia sẻ với các quy tắc bảo mật chung, giúp đơn giản hóa việc quản lý truy cập vào các Server Domain thực hiện ba chức năng chính: quản lý người dùng, kiểm soát truy cập và bảo mật tài nguyên.
Domain Tree là một cấu trúc phân cấp, trong đó các domain được sắp xếp theo hình cây Domain gốc, hay domain root, là domain đầu tiên và nằm ở vị trí gốc của cây thư mục Các domain được tạo ra sau đó, gọi là domain con (child domain), nằm dưới domain root và yêu cầu có tên khác biệt nhau.
Rừng (Forest) là tập hợp các Domain Tree liên kết và ủy quyền lẫn nhau, cho phép quản lý hiệu quả trong một tổ chức Ví dụ, khi một công ty như Microsoft mua lại một công ty khác, mỗi công ty thường có hệ thống Domain Tree riêng Để tối ưu hóa quản lý, các Domain Tree này sẽ được hợp nhất thành một rừng.
Trong ví dụ trên, công ty mcmcse.com thu mua được techtutorials.com và xyzabc.com và hình thành rừng từ gốc mcmcse.com
2.2 Cấu trúc AD vật lý
Gồm: sites và domain controllers
Địa bàn là một tập hợp của một hoặc nhiều mạng con được kết nối, giúp việc truyền thông qua mạng trở nên dễ dàng hơn và xác định ranh giới vật lý xung quanh các tài nguyên mạng.
Điều khiển vùng (domain controllers) là máy tính sử dụng Windows Server để lưu trữ bản sao dữ liệu vùng Mỗi vùng có thể bao gồm một hoặc nhiều điều khiển vùng, và mọi thay đổi dữ liệu trên một điều khiển vùng sẽ được tự động cập nhật đến các điều khiển vùng khác trong cùng một vùng.
- Cài đặt vàcấu hình được máy điều khiển vùng.
- Gia nhập máy trạm vào máy điều khiển vùng (join domain)
3.1 Nâng cấp Server thành Domain Controller(DC)
By default, all newly installed Windows Server 2008 machines operate as standalone servers The DCPROMO program, known as the Active Directory Installation Wizard, is utilized to upgrade a non-domain controller (DC) server.
Máy chủ có thể được chuyển đổi thành máy điều khiển miền (DC) và ngược lại, máy DC có thể được hạ cấp thành máy chủ thông thường Đặc biệt, đối với Windows Server 2008, bạn có thể thay đổi tên máy tính sau khi đã nâng cấp thành DC.
Trước khi nâng cấp Server thành Domain Controller, hãy đảm bảo khai báo đầy đủ thông số TCP/IP, đặc biệt là địa chỉ DNS Server phải trùng với địa chỉ IP của Server Nếu có khả năng, hãy cài đặt dịch vụ DNS trước khi nâng cấp; nếu không, bạn có thể chọn cài đặt DNS tự động trong quá trình nâng cấp Để chạy chương trình Active Directory Installation Wizard, bạn có thể sử dụng tiện ích Manage Your Server trong Administrative Tools hoặc nhấp chuột vào Start \ Run và gõ lệnh DCPROMO.
To initiate the Active Directory Installation Wizard, select Start, then Run, enter "DCPROMO" in the Run dialog box, and click OK A warning message will appear indicating that DOS, Windows 95, and WinNT SP3 and earlier versions will be excluded from the Active Directory domain based on Windows Server 2008 Click Next to proceed with the installation.
In the Domain Controller Type dialog, select "Domain Controller for a New Domain" and click Next If you wish to add a domain controller to an existing domain, choose "Additional Domain Controller for an Existing Domain." At this point, the program allows you to choose from three options: select "Domain in New Forest" to create the first domain in a new forest, choose "Child Domain in an Existing Domain Tree" to establish a child domain based on an existing domain tree, or opt for "Domain Tree in an Existing Forest" to create a new domain tree within an already established forest.
Hộp thoại New Domain Name yêu cầu bạn tên DNS đầy đủ của domain mà bạn cần xây dựng
Hộp thoại tên miền NetBIOS yêu cầu bạn nhập tên miền theo chuẩn NetBIOS để tương thích với các máy Windows NT Mặc định, tên miền NetBIOS sẽ trùng với phần đầu của tên DNS đầy đủ, nhưng bạn có thể thay đổi thành tên khác hoặc giữ giá trị mặc định Nhấn Next để tiếp tục.
Hộp thoại Database and Log Locations cho phép bạn xác định vị trí lưu trữ cơ sở dữ liệu Active Directory và các tệp log Bạn có thể chọn vị trí khác hoặc giữ giá trị mặc định Tuy nhiên, các nhà quản trị mạng khuyến cáo nên đặt tệp log giao dịch trên một đĩa cứng vật lý riêng biệt với đĩa chứa cơ sở dữ liệu Active Directory để cải thiện hiệu suất hệ thống Nhấn Next để tiếp tục.
3.2 Gia nhập máy trạm vào Domain
Khi một máy trạm gia nhập vào một domain, nó thiết lập một mối quan hệ tin cậy với các máy Domain Controller trong vùng Sau khi mối quan hệ này được thiết lập, việc xác thực người dùng đăng nhập vào mạng trên máy trạm sẽ được các máy điều khiển vùng thực hiện.
3.2.2 Các bước cài đặt Đăng nhập cục bộ vào máy trạm với vai trò người quản trị (có thể dùng trực tiếp tài khoản administrator)
Nhấp phải chuột trên biểu tượng My Computer, chọn Properties, hộp thoại
System Properties xuất hiện, trong Tab Computer Name, bạn nhấp chuột vào nút
Change Hộp thoại nhập liệu xuất hiện bạn nhập tên miền của mạng cần gia nhập vào mục Member of Domain
JOIN MÁY TRẠM VÀO DOMAIN
Địa chỉ IP của các máy như sau
- Máy Windows server HT-DC (đặt card mạng VMnet 2 trên phần mềm VMware)
- Máy Windows 7 Client (đặt card mạng VMnet 2 trên phần mềm VMware)
Cài đặt và cấu hình AD
Chọn menu Start \ Run, nhập
DCPROMO trong hộp thoại Run, và nhấn nút OK
Khi đó hộp thoại Active Directory
Installation Wizard xuất hiện Bạn nhấn
Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active
Directory dựa trên Windows Server
2008 Bạn chọn Next để tiếp tục
Trong hộp thoại Domain Controller
Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn
Additional domain cotroller for an existing domain.)
Gia nhập máy trạm vào Domain
1 Cài đặt và cấu hình AD
Chọn menu Start \ Run, nhập
DCPROMO trong hộp thoại Run, và nhấn nút OK
Khi đó hộp thoại Active Directory
Installation Wizard xuất hiện Bạn nhấn
Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active
Directory dựa trên Windows Server
2008 Bạn chọn Next để tiếp tục
Trong hộp thoại Domain Controller
Type, chọn mục Domain Controller for a New Domain và nhấn chọn Next (Nếu bạn muốn bổ sung máy điều khiển vùng vào một domain có sẵn, bạn sẽ chọn
Additional domain cotroller for an existing domain.) Đến đây chương trình cho phép bạn chọn một trong ba lựa chọn sau: chọn
If you want to create your first domain in a new forest, select "Child domain in an existing domain tree" to establish a child domain based on an existing domain tree Alternatively, choose "Domain tree in an existing forest" if you wish to create a new domain tree within an already established forest.
Hộp thoại New Domain Name yêu cầu bạn tên DNS đầy đủ của domain mà bạn cần xây dựng (VD: netclass.edu.vn)
Hộp thoại NetBIOS Domain Name yêu cầu nhập tên domain theo chuẩn NetBIOS để tương thích với các máy Windows NT Mặc định, tên Domain NetBIOS sẽ giống với phần đầu của tên.
Full DNS, bạn có thể đổi sang tên khác hoặc chấp nhận giá trị mặc định Chọn
Hộp thoại Database and Log
Locations allow you to specify the storage location for the Active Directory database and log files You can choose a different location or accept the default value Click Next to proceed.
Volume cho phép bạn chỉ định ví trí của thư mục SYSVOL Thư mục này phải nằm trên một NTFS
Tất cả dữ liệu trong thư mục Sysvol sẽ được tự động sao chép đến các Domain Controller khác trong miền Bạn có thể giữ giá trị mặc định hoặc chỉ định vị trí khác, sau đó nhấn Next để tiếp tục.
Trong hộp thoại Permissions, bạn chọn giá trị Permission Compatible with pre-Windows 2000 servers khi hệ thống có các Server phiên bản trước Windows 2000, hoặc chọn
Server 2008 khi hệ thống của bạn chỉ toàn các Server Windows 2000 và
Administrator Password, bạn sẽ chỉ định mật khẩu dùng trong trường hợp Server phải khởi động vào chế độ Directory Services Restore
Mode Nhấn chọn Next để tiếp tục
Hộp thoại Summary hiển thị toàn bộ thông tin đã chọn Nếu thông tin chính xác, nhấn Next để bắt đầu cài đặt; nếu có sai sót, chọn Back để quay lại các bước trước.
Quá trình cài đặt Windows Server 2008 sẽ được hiển thị qua một thư mục, giúp bạn hiểu rõ những gì đang diễn ra Lưu ý rằng quá trình này có thể tốn nhiều thời gian Nếu không tìm thấy nguồn cài đặt, chương trình sẽ yêu cầu bạn cung cấp để sao chép các tập tin cần thiết.
Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory
Bạn nhấn chọn Finish để kết thúc
Cuối cùng, để các thông tin cài đặt mới có hiệu lực, bạn cần khởi động lại máy Hãy nhấn chọn nút "Restart Now" để hoàn tất quá trình thăng cấp.
2 Gia nhập máy trạm vào Domain Đăng nhập cục bộ vào máy trạm với va i trò người quản trị (có thể dùng trực tiếp tài khoản administrator)
Nhấp phải chuột trên biểu tượng My
Computer, chọn Properties, hộp thoại
System Properties xuất hiện, trong Tab
Computer Name, bạn nhấp chuột vào nút Change Hộp thoại nhập liệu xuất hiện bạn nhập tên miền của mạng cần gia nhập vào mục Member of Domain
Máy trạm sử dụng tên miền đã khai báo để kết nối với Domain Controller gần nhất và yêu cầu gia nhập mạng Server sẽ yêu cầu xác thực bằng tài khoản người dùng, bạn cần nhập tên User và Password trước khi nhấn Enter Khi xác thực thành công, hệ thống sẽ thông báo và yêu cầu bạn khởi động lại máy để đăng nhập vào mạng Lúc này, hộp thoại Log on to Windows sẽ có thêm mục Log on to, cho phép bạn chọn giữa NETCLASS và This Computer Chọn NETCLASS để đăng nhập vào miền với tài khoản người dùng cấp miền, hoặc chọn This Computer để đăng nhập cục bộ với tài khoản máy.
Bài 4: JOIN MÁY TRẠM VÀO DOMAIN
Cấu trúc cơ sở dữ liệu của hệ thống tên miền bao gồm các thành phần chính như tên miền cấp cao, tên miền cấp hai và các bản ghi DNS Hệ thống tên miền hoạt động theo nguyên tắc phân cấp, cho phép người dùng dễ dàng truy cập các tài nguyên trên internet thông qua tên miền thay vì địa chỉ IP Việc cài đặt hệ thống tên miền DNS đòi hỏi sự cấu hình chính xác các bản ghi để đảm bảo khả năng phân giải tên miền và kết nối hiệu quả.
1 Chuẩn bị cho hệ thống mạng:
1 máy server 2008 tên HT-DC đã nâng cấp lên domain controller với domain hoangthongit.com
2 Địa chỉ IP của các máy như sau:
- Máy Windows server HT-DC (đặt card mạng VMnet 2 trên phần mềm VMware)
- Máy Windows 7 Client (đặt card mạng VMnet 2 trên phần mềm VMware)
3 Chi tiết Join client vào domain
Trên máy Client click chuột phải vào Computer, chọn Properties
Sau đó click vào Change settings
Hình 4.3: Giao diện control panel system
Hình 4.4: Hộp thoại System properties
Tick vào Domain, sau đó điền tên domain hoangthongit.com cần join vào Chọn Ok để đồng ý.
Hình 4.5: Hộp thoại computer name Điền user và password được phép join client vào domain sau đó OK.
Hình 4.6: Hộp thoại Windows security
Sau khi join thành công cần phải khởi động lại, click restart now Đăng nhập vào máy tính với tài khoản của domain
Hình 4.7: Giao diện đăng nhập windows
Hình 4.8: Giao diện control panel system
Bài tập thực hành của học viên
1 Cài đặt và cấu hình Active Directory (AD)
2 Gia nhập máy trạm vào Domain controller
1 Cài đặt và cấu hình AD
Chọn menu Start \ Run, nhập DCPROMO trong hộp thoại Run, và nhấn nút OK
Khi đó hộp thoại Active Directory Installation Wizard xuất hiện Bạn nhấn Next
Chương trình xuất hiện hộp thoại cảnh báo: DOS, Windows 95 và
WinNT SP3 trở về trước sẽ bị loại ra khỏi miền Active Directory dựa trên
Windows Server 2003 Bạn chọn Next để tiếp tục
In the Domain Controller dialog box, select the option for "Domain Controller for a New Domain" and click Next If you wish to add a domain controller to an existing domain, choose the appropriate option instead.
Additional domain cotroller for an existing domain.) Đến đây chương trình cho phép bạn chọn một trong ba lựa chọn sau: chọn
To create your first domain in a new forest, select "Child domain in an existing domain tree" to establish a subdomain based on an existing domain tree Alternatively, choose "Domain tree in an existing forest" if you wish to create a new domain tree within an already established forest.
Hộp thoại New Domain Name yêu cầu bạn tên DNS đầy đủ của domain mà bạn cần xây dựng (VD: netclass.edu.vn)
Hộp thoại NetBIOS Domain Name, yêu cầu bạn cho biết tên domain theo chuẩn NetBIOS để tương thích với các máy Windows NT Theo mặc định, tên
Domain NetBIOS giống phần đầu của tên Full DNS, bạn có thể đổi sang tên khác hoặc chấp nhận giá trị mặc định
Chọn Next để tiếp tục
Hộp thoại Database and Log
Locations allow you to specify the storage location for the Active Directory database and log files You can either designate a different location or accept the default value provided.
Volume cho phép bạn chỉ định ví trí của thư mục SYSVOL Thư mục này phải nằm trên một NTFS
Tất cả dữ liệu trong thư mục Sysvol sẽ được tự động sao chép sang các Domain Controller khác trong miền Bạn có thể chọn giữ giá trị mặc định hoặc chỉ định vị trí khác trước khi nhấn Next để tiếp tục.
Trong hộp thoại Permissions, bạn chọn giá trị Permission Compatible with pre-Windows 2000 servers khi hệ thống có các Server phiên bản trước Windows 2000, hoặc chọn
Server 2003 khi hệ thống của bạn chỉ toàn các Server Windows 2000 và
Administrator Password, bạn sẽ chỉ định mật khẩu dùng trong trường hợp
Server phải khởi động vào chế độ
Nhấn chọn Next để tiếp tục
Hộp thoại Summary hiển thị tất cả thông tin đã chọn Nếu mọi thông tin đều chính xác, nhấn Next để bắt đầu quá trình cài đặt Nếu có thông tin không chính xác, chọn Back để quay lại các bước trước.
Active Directory cho bạn biết quá trình cài đặt đang thực hiện những gì Quá trình này sẽ chiếm nhiều thời gian
Chương trình cài đặt cũng yêu cầu bạn cung cấp nguồn cài đặt
Windows Server 2003 để tiến hành sao chép các tập tin nếu tìm không thấy
Sau khi quá trình cài đặt kết thúc, hộp thoại Completing the Active Directory
Bạn nhấn chọn Finish để kết thúc
Cuối cùng, để áp dụng các thông tin cài đặt mới, bạn cần khởi động lại máy Hãy nhấn nút "Restart Now" để thực hiện việc này, đánh dấu sự kết thúc của quá trình nâng cấp.
2 Gia nhập máy trạm vào Domain Đăng nhập cục bộ vào máy trạm với vai trò người quản trị (có thể dùng trực tiếp tài khoản administrator)
Nhấp phải chuột trên biểu tượng My Computer, chọn Properties, hộp thoại
System Properties xuất hiện, trong Tab Computer Name, bạn nhấp chuột vào nút
Change Hộp thoại nhập liệu xuất hiện bạn nhập tên miền của mạng cần gia nhập vào mục Member of Domain
TẠO USER, GROUP TRÊN DOMAIN
Định nghĩa tài khoản người dùng và tài khoản nhóm
Mục tiêu:Nêu được định nghĩa tài khoản người dùng, tài khoản nhóm.
Tài khoản người dùng là một đối tượng quan trọng đại diện cho người dùng trên mạng, được phân biệt thông qua chuỗi nhận dạng username Chuỗi nhận dạng này cho phép hệ thống mạng phân biệt giữa các người dùng khác nhau, giúp họ đăng nhập và truy cập các tài nguyên mạng mà mình được phép.
1.1.1 Tài khoản người dùng cục bộ
Tài khoản người dùng cục bộ (local user account) là loại tài khoản chỉ được định nghĩa và sử dụng trên máy tính cục bộ, cho phép người dùng đăng nhập và truy cập tài nguyên nội bộ Để truy cập tài nguyên trên mạng, người dùng cần xác thực với máy domain controller hoặc máy tính chứa tài nguyên chia sẻ Việc tạo tài khoản người dùng cục bộ được thực hiện qua công cụ Local Users and Groups trong Computer Management (COMPMGMT.MSC) Các tài khoản này được lưu trữ trong tập tin cơ sở dữ liệu SAM (Security Accounts Manager), nằm trong thư mục \Windows\system32\config trên máy stand-alone server, member server hoặc các máy trạm.
Hình 5.1: Mô hình Local user accounts 1.1.2 Tài khoản người dùng miền
Tài khoản người dùng miền là tài khoản được định nghĩa trong Active Directory, cho phép người dùng đăng nhập vào mạng từ bất kỳ máy trạm nào trong vùng Với tài khoản này, người dùng có quyền truy cập vào các tài nguyên mạng Để tạo tài khoản người dùng miền, bạn có thể sử dụng công cụ quản lý phù hợp.
Active Directory Users and Computers (DSA.MSC) is a management tool that differs from local user accounts, as domain user accounts are stored in the NTDS.DIT file instead of the SAM database files By default, this file is located within the directory services.
Hình 5.2: Mô hình Domain user accounts 1.1.3 Yêu cầu về tài khoản người dùng
Mỗi username phải có độ dài từ 1 đến 20 ký tự, mặc dù trên Windows Server 2008, tên đăng nhập có thể lên đến 104 ký tự Tuy nhiên, khi đăng nhập từ các máy sử dụng hệ điều hành Windows NT 4.0 trở về trước, hệ thống chỉ nhận diện tối đa 20 ký tự.
- Mỗi username là chuỗi duy nhất của mỗi người dùng có nghĩa là tất cả tên của người dùng và nhóm không được trùng nhau
- Username không chứa các ký tự sau: “ / \ [ ] : ; | = , + * ? < >
Trong một username, bạn có thể sử dụng các ký tự đặc biệt như dấu chấm câu, khoảng trắng, dấu gạch ngang và dấu gạch dưới Tuy nhiên, nên tránh sử dụng khoảng trắng, vì các tên có khoảng trắng cần phải được đặt trong dấu ngoặc khi sử dụng trong các kịch bản hoặc dòng lệnh.
Tài khoản nhóm (group account) đại diện cho một nhóm người, giúp quản lý chung các tài khoản người dùng và cấp quyền truy cập vào tài nguyên mạng như thư mục chia sẻ và máy in Người dùng có thể đăng nhập vào mạng, trong khi tài khoản nhóm chỉ được sử dụng để quản lý mà không thể đăng nhập Có hai loại tài khoản nhóm: nhóm bảo mật (security group) và nhóm phân phối (distribution group).
Nhóm bảo mật là công cụ quan trọng để cấp phát quyền hệ thống và quyền truy cập, tương tự như tài khoản người dùng, với mỗi nhóm được chỉ định một SID Có bốn loại nhóm bảo mật chính: local, domain local, global và universal.
A local group is a type of group found on standalone servers, member servers, Windows 2000 Professional, or Windows XP These local groups are significant and operate exclusively on the machine that hosts them.
A domain local group is a special type of local group that exists on a Domain Controller These Domain Controllers share a common Active Directory database, which is synchronized across all controllers As a result, a local group created on one Domain Controller is also present on its peer Domain Controllers This widespread presence within the domain is why it is referred to as a domain local group Additionally, the groups found in the Built-in section of Active Directory are classified as domain local groups.
Nhóm toàn cục (global group) trong Active Directory được tạo ra trên các Domain Controller, cho phép cấp phát quyền hệ thống và quyền truy cập vượt qua ranh giới miền Nhóm này có thể được sử dụng trong các nhóm local của các server thành viên trong miền, giúp quản lý quyền truy cập một cách hiệu quả hơn.
Nhóm phổ quát (Universal group) có chức năng tương tự như nhóm toàn cầu (global group), nhưng cho phép cấp quyền cho các đối tượng trên toàn bộ các miền trong một rừng, đồng thời hỗ trợ quan hệ tin cậy giữa các miền Loại nhóm này mang lại sự tiện lợi vượt trội so với nhóm toàn cầu và nhóm cục bộ (local group) nhờ khả năng dễ dàng lồng ghép các nhóm với nhau.
1.2.2 Qui tắc gia nhập nhóm
- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong nhóm Machine Local
- Tất cả các nhóm Domain local, Global, Universal đều có thể đặt vào trong chính loại nhóm của mình
- Nhóm Global và Universal có thể đặt vào trong nhóm Domain local
Nhóm Global có thể đặt vào trong nhóm Universal
Hình 5.1: Sơ đồ qui tắc gia nhập nhóm
Các tài khoản tạo sẵn
Mục tiêu:Trình bày được các tài khoản tạo sẵn.
2.1 Tài khoản người dùng tạo sẵn
Tài khoản người dùng tạo sẵn (Built-in) là các tài khoản mặc định được tạo ra khi cài đặt Windows Server 2008 Những tài khoản này thuộc hệ thống và không thể bị xóa, nhưng người dùng có thể đổi tên chúng, lưu ý rằng việc đổi tên tài khoản hệ thống phức tạp hơn so với tài khoản do nhà quản trị tạo Tất cả tài khoản này đều nằm trong Container Users của công cụ Active Directory User and Computer Dưới đây là bảng mô tả các tài khoản người dùng được tạo sẵn.
Tên tài khoản Mô tả
Tài khoản Administrator là một tài khoản đặc biệt với quyền hạn toàn diện trên máy tính, cho phép thực hiện nhiều tác vụ quản trị Trong quá trình cài đặt Windows Server 2008, bạn có thể thiết lập mật khẩu cho tài khoản này Tài khoản Administrator có khả năng tạo người dùng, nhóm, quản lý tập tin hệ thống và cấu hình máy in.
Tài khoản Guest cho phép người dùng truy cập vào máy tính mà không cần tài khoản và mật khẩu riêng Mặc định, tài khoản này không được kích hoạt, và khi được sử dụng, quyền truy cập thường bị giới hạn, chẳng hạn như chỉ cho phép truy cập vào một số tính năng nhất định.
Tài khoản ILS là một loại tài khoản đặc biệt dành cho dịch vụ hỗ trợ các ứng dụng điện thoại với các tính năng như nhận diện người gọi, hội nghị video, gọi hội nghị và gửi fax Để sử dụng ILS, người dùng cần cài đặt dịch vụ IIS.
IUSR_comput er- name Là tài khoản đặc biệt được dùng trong các truy cập giấu tên trong dịch vụ IIS trên máy tính có cài IIS
IWAM_compu ter- name Là tài khoản đặc biệt được dùng cho IIS khởi động các tiến trình của các ứng dụng trên máy có cài IIS
Là tài khoản đặc biệt được dùng cho dịch vụ trung tâm phân phối khóa (Key Distribution Center)
TSInternetUser Là tài khoản đặc biệt được dùng cho Terminal Services
2.2 Tài khoản nhóm Domain Local tạo sẵn
Trong công cụ Active Directory User and Computers, container Users chứa các nhóm universal, domain local và global theo quy định mặc định của hệ thống Đặc biệt, một số nhóm domain local được lưu trữ trong container Built-in và không thể di chuyển sang các OU khác Những nhóm này được gán quyền cố định nhằm hỗ trợ quản trị, và lưu ý rằng không có quyền xóa các nhóm đặc biệt này.
Nhóm này được mặc định cấp quyền toàn diện, cho phép các thành viên có quyền kiểm soát hoàn toàn trên hệ thống mạng Nhóm Domain Admins và Enterprise Admins là những thành viên mặc định của nhóm Administrators.
Các thành viên trong nhóm này có khả năng thêm, xóa và sửa đổi tài khoản người dùng, tài khoản máy và tài khoản nhóm Tuy nhiên, họ không được phép xóa hoặc sửa các nhóm trong container Built-in và OU.
Nhóm này tồn tại độc quyền trên các Domain Controller và mặc định không có thành viên nào Các thành viên trong nhóm có khả năng đăng nhập cục bộ vào các Domain Controller, nhưng họ không có quyền quản trị các chính sách bảo mật.
Thành viên của nhóm này có quyền lưu trữ dự phòng và phục hồi hệ thống tập tin Nếu hệ thống sử dụng NTFS và họ không được cấp quyền truy cập, họ chỉ có thể sử dụng công cụ Backup để truy cập Để truy cập trực tiếp vào hệ thống tập tin, thành viên cần được cấp quyền tương ứng.
Nhóm người dùng vãng lai, hay còn gọi là tài khoản Guest, thường bị hạn chế quyền truy cập vào các tài nguyên trên mạng Mặc định, các tài khoản này thường bị khóa, không cho phép truy cập như các thành viên chính thức của mạng.
Print Operator Thành viên của nhóm này có quyền tạo ra, quản lý và xóa bỏ các đối tượng máy in dùng chung trong Active Directory
Các thành viên trong nhóm này có khả năng quản trị các máy chủ trong miền, bao gồm việc cài đặt, quản lý máy in, tạo và quản lý thư mục dùng chung, sao lưu dữ liệu, định dạng đĩa và thay đổi giờ.
Mặc định mọi người dùng được tạo đều thuộc nhóm này, nhóm này có quyền tối thiểu của một người dùng nên việc truy cập rất hạn chế
Replicator Nhóm này được dùng để hỗ trợ việc sao chép danh bạ trong
Directory Services, nhóm này không có thành viên mặc định
Thành viên nhóm này có thể tạo ra các quan hệ tin cậy hướng đến, một chiều vào các rừng Nhóm này không có thành viên mặc định
Thành viên nhóm này có quyền sửa đổi các thông số TCP/IP trên các máy
Nhóm này có quyền truy cập đến tất cả các tài khoản người dùng và tài khoản nhóm trong miền, nhằm hỗ trợ cho các hệ thống WinNT cũ
Thành viên nhóm này có thể đăng nhập từ xa vào các Domain
Controller trong miền, nhóm này không có thành viên mặc định
Nhóm này cho phép các thành viên truy cập từ xa để ghi nhận hiệu năng của các máy Domain Controller, và không có thành viên mặc định nào trong nhóm.
Thành viên nhóm này có khả năng giám sát từ xa các máy
Ngoài các nhóm chính như Domain Computers và Domain Controllers, còn có những nhóm khác như DHCP Users, DHCP Administrators và DNS Administrators, phục vụ cho các dịch vụ mạng khác nhau Chúng ta sẽ tìm hiểu chi tiết về từng dịch vụ trong giáo trình “Dịch Vụ Mạng” Lưu ý rằng mặc dù hai nhóm Domain Computers và Domain Controllers chủ yếu dành cho tài khoản máy tính, bạn vẫn có thể thêm tài khoản người dùng vào các nhóm này.
2.3 Tài khoản nhóm Global tạo sẵn
Các thành viên trong nhóm Domain Admins có quyền quản trị toàn bộ máy tính trong miền, vì khi gia nhập miền, các máy chủ thành viên và máy trạm (Win2K Pro, WinXP) tự động thêm nhóm này vào nhóm cục bộ Administrators.
Theo mặc định mọi tài khoản người dùng trên miền đều là thành viên của nhóm này Mặc định nhóm này là thành viên của nhóm cục bộ
Users trên các máy server thành viên và máy trạm
Thành viên nhóm này có quyền sửa đổi chính sách nhóm của miền, theo mặc định tài khoản administrator miền là thành viên của nhóm này
Nhóm Admins là một nhóm toàn quyền trong rừng, có quyền truy cập và quản lý tất cả các miền Nhóm này chỉ tồn tại trong miền gốc của rừng và mặc định là thành viên của nhóm administrators trên các Domain Controller trong rừng.
Nhóm universal này cũng chỉ xuất hiện trong miền gốc của rừng, thành viên của nhóm này có thể chỉnh sửa cấu trúc tổ chức (schema) của Active Directory
2.4 Các nhóm tạo sẵn đặc biệt
Quản lý tài khoản người dùng và nhóm cục bộ
Mục tiêu: - Sử dụng được các công cụ tạo và quản trị tài khoản người dùng và nhóm cục bộ.
3.1 Công cụ quản lý tài khoản người dùng cục bộ
Để tổ chức và quản lý người dùng cục bộ, công cụ Local Users and Groups là lựa chọn hiệu quả Công cụ này cho phép bạn tạo, xóa, sửa đổi tài khoản người dùng và thay đổi mật khẩu Có hai phương thức để truy cập vào công cụ Local Users and Groups.
- Dùng như một MMC (Microsoft Management Console) snap-in
- Dùng thông qua công cụ Computer Management
Các bước dùng để chèn Local Users and Groups snap-in vào trong MMC:
- Chọn Start \ Run, nhập vào hộp thoại MMC và ấn phím Enter để mở cửa sổ
- Chọn Console \ Add/Remove Snap-in để mở hộp thoại Add/Remove Snap-in
Click the Add button to open the Add Standalone Snap-in dialog Select Local Users and Groups, then click Add The Choose Target Machine dialog will appear; choose Local Computer and click Finish to return to the Add Standalone Snap-in dialog.
- Nhấp chuột vào nút Close để trở lại hộp thoại Add/Remove Snap-in
- Nhấp chuột vào nút OK, ta sẽ nhìn thấy Local Users and Groups snap-in đã chèn vào MMC như hình sau
Để lưu Console, bạn chọn Console \ Save và nhập đường dẫn cùng tên file cần lưu Để thuận tiện cho việc quản lý sau này, bạn có thể lưu Console trực tiếp trên Desktop.
Nếu máy tính của bạn không hỗ trợ cấu hình MMC, bạn có thể nhanh chóng truy cập công cụ Local Users and Groups thông qua Computer Management Để làm điều này, hãy nhấp chuột phải vào My Computer, chọn Manage từ menu hiện ra, và mở cửa sổ Computer Management Trong phần System Tools, bạn sẽ thấy mục Local Users and Groups.
- Cách khác để truy cập đến công cụ Local Users and Groups là vào Start \ Programs\Administrative Tools \ Computer Management
3.2 Các thao tác cơ bản trên tài khoản người dùng cục bộ
Trong công cụ Local Users and Groups, bạn cần nhấp chuột phải vào mục Users và chọn New User Hộp thoại New User sẽ hiển thị, yêu cầu bạn nhập các thông tin cần thiết, trong đó mục Username là thông tin quan trọng và bắt buộc phải có.
Nếu bạn chắc chắn rằng tài khoản người dùng không còn cần thiết, hãy xóa nó để giải phóng tài nguyên Để thực hiện việc này, mở công cụ Local Users and Groups, chọn tài khoản cần xóa, nhấp chuột phải và chọn Delete, hoặc bạn cũng có thể vào thực đơn Action và chọn Delete.
Khi bạn chọn xóa tài khoản, hệ thống sẽ hiển thị hộp thoại xác nhận để đảm bảo rằng bạn muốn thực sự xóa, nhằm tránh trường hợp xóa nhầm Lưu ý rằng một khi tài khoản người dùng đã bị xóa, nó sẽ không thể phục hồi lại.
Khi một tài khoản không được sử dụng trong thời gian dài, bạn nên khóa tài khoản đó để đảm bảo an toàn và bảo mật hệ thống Việc xóa tài khoản sẽ khiến bạn không thể phục hồi lại, vì vậy chỉ cần tạm khóa tài khoản Để thực hiện việc này, hãy mở công cụ Local Users and Groups, sau đó nhấp đúp chuột vào người dùng cần khóa để mở hộp thoại Properties của tài khoản.
Trong Tab General, đánh dấu vào mục Account is disabled
Bạn có thể dễ dàng đổi tên bất kỳ tài khoản người dùng nào và điều chỉnh thông tin tài khoản thông qua chức năng này Ưu điểm là khi bạn thay đổi tên người dùng, SID của tài khoản vẫn giữ nguyên Để thực hiện, hãy mở công cụ Local Users and Groups, chọn tài khoản cần đổi tên, nhấp chuột phải và chọn Rename.
Để đổi mật khẩu của người dùng, bạn hãy mở công cụ Local Users and Groups, chọn tài khoản người dùng cần thay đổi, nhấp chuột phải và chọn Reset password.
Quản lý tài khoản người dùng và nhóm trên active directory
Mục tiêu: - Sử dụng được các công cụ tạo và quản trị tài khoản người dùng và nhóm cục bộ.
4.1 Tạo mới tài khoản người dùng
Bạn có thể sử dụng công cụ Active Directory User and Computers trong Administrative Tools trên máy Domain Controller để tạo và quản lý tài khoản người dùng miền Công cụ này cho phép quản lý từ xa, ngay cả trên các máy trạm không sử dụng hệ điều hành Server như Windows XP hoặc Windows 2000 Professional, nhưng cần cài đặt bộ công cụ Admin Pack từ thư mục \Windows\system32\ADMINPAK.MSI trên Server Để tạo một tài khoản người dùng trong Active Directory, bạn cần thực hiện theo các bước hướng dẫn cụ thể.
Chọn Start\ Programs\ Administrative Tools\ Active Directory Users and
Cửa sổ Active Directory Users and Computers xuất hiện, bạn nhấp phải chuột vào mục Users, chọn New \ User
Hộp thoại New Object-User cho phép bạn nhập tên mô tả người dùng và tên tài khoản logon Giá trị Full Name sẽ tự động phát sinh từ First Name và Last Name, nhưng có thể thay đổi Logon name (username) là giá trị quan trọng và bắt buộc Trong Windows 2000 và 2008, Microsoft giới thiệu hậu tố UPN (Universal Principal Name) như “@netclass.edu.vn”, được gắn vào username để tạo tên đầy đủ cho việc chứng thực Tên đầy đủ trong ví dụ là tuan@netclass.edu.vn Hộp thoại cũng hỗ trợ đặt tên username cho hệ thống cũ (pre-Windows 2000) Sau khi hoàn tất nhập thông tin, bạn nhấp vào nút Next để tiếp tục.
Hộp thoại thứ hai cho phép người dùng nhập mật khẩu tài khoản và lựa chọn các tùy chọn liên quan như cho phép đổi mật khẩu, yêu cầu đổi mật khẩu khi đăng nhập lần đầu hoặc khóa tài khoản Chúng ta sẽ khám phá chi tiết về các tùy chọn này ở phần tiếp theo.
Hộp thoại cuối cùng sẽ hiển thị thông tin đã được cấu hình cho người dùng Nếu mọi thông tin đều chính xác, bạn chỉ cần nhấn nút Finish để hoàn tất Ngược lại, nếu cần chỉnh sửa, hãy nhấn nút Back để quay lại các hộp thoại trước đó.
4.2 Các thuộc tính của tài khoản người dùng
To manage user account properties, utilize the Active Directory Users and Computers tool by navigating to Start > Programs > Administrative Tools > Active Directory Users and Computers Once there, select the Users folder and double-click on the desired user account to open the Properties dialog This dialog features 12 main tabs that can be explored sequentially Additionally, you can group multiple user accounts using the Shift or Ctrl keys to edit their information simultaneously.
Hình 5.2: Hộp thoại người dùng 4.2.1 Các thông tin mở r ộ ng của ng ười dùng
Tab General cung cấp thông tin cơ bản về người dùng mà bạn đã nhập khi tạo tài khoản mới Ngoài ra, bạn có thể bổ sung thêm thông tin như số điện thoại, địa chỉ email và liên kết đến trang web cá nhân của mình.
Tab Address cho phép người dùng nhập đầy đủ thông tin về địa chỉ tài khoản, bao gồm đường, thành phố, mã vùng và quốc gia Trong khi đó, Tab Telephones cho phép người dùng khai báo chi tiết các số điện thoại liên quan đến tài khoản của họ.
Tab Organization cho phép bạn khai báo các thông tin người dùng về: chức năng của công ty, tên phòng ban trực thuộc, tên công ty …
Tài khoản Tab cho phép người quản trị điều chỉnh tên người dùng, quy định giờ truy cập mạng, và xác định máy trạm mà người dùng có thể sử dụng Ngoài ra, nó còn thiết lập các chính sách tài khoản và thời gian hết hạn cho từng tài khoản Để kiểm soát giờ truy cập, bạn chỉ cần nhấp vào nút "Logon Hours" để mở hộp thoại tương ứng Mặc định, tất cả người dùng đều được phép truy cập mạng 24/7.
Note: By default, users are not automatically logged off when their login hours expire; however, this can be adjusted in the Group Policy under Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options by enabling "Automatically Log Off Users When Logon Hours Expire." Additionally, you can modify logoff settings using the Domain Security Policy or Local Security Policy, depending on your specific context.
Khi chọn máy trạm để truy cập mạng, bạn chỉ cần nhấp vào nút "Log On To" để mở hộp thoại "Logon Workstations" Hộp thoại này cho phép bạn xác định quyền truy cập của người dùng, cho phép họ đăng nhập từ tất cả các máy tính trong mạng hoặc chỉ từ một số máy tính nhất định.
Bảng mô tả chi tiết các tùy chọn liên quan đến tài khoản người dùng:
User must change password at next logon Người dùng phải thay đổi mật khẩu lần đăng nhập kế tiếp, sau đó mục này sẽ tự động bỏ chọn
User cannot change password Nếu được chọn thì ngăn không cho người dùng tùy ý thay đổi mật khẩu
Password never expires Nếu được chọn thì mật khẩu của tài khoản này không bao giờhết hạn
Store password using reversible encryption Chỉ áp dụng tùy chọn này đối với người dùng đăng nhập từ các máy Apple
Account is disabled Nếuđược chọn thì tài khoản này tạm thời bị khóa, không sử dụng được
Smart cards are essential for interactive login, allowing users to access the network without entering a username and password Instead, users simply input a PIN for authentication.
Tài khoản được tin cậy cho việc ủy quyền chỉ áp dụng cho các tài khoản dịch vụ cần quyền truy cập vào tài nguyên với vai trò của các tài khoản người dùng khác.
Account is sensitive and cannot be delegated
Sử dụng tùy chọn này trên tài khoản khách vãng lai hoặc tạm thời để đảm bảo rằng tài khoản đó sẽ không bị đại diện bởi bất kỳ tài khoản nào khác.
Use DES encryption types for this account Nếu được chọn thì hệ thống sẽ hỗ trợ Data Encryption
Standard (DES) với nhiều mức độ khác nhau
Nếu được chọn hệ thống sẽ cho phép tài khoản này dùng một kiểu thực hiện giao thức Kerberos khác với kiểu của
Mục cuối cùng trong Tab này quy định thời gian hết hạn của tài khoản người dùng Nếu chọn "Never" trong mục "Account Expires", tài khoản sẽ không bị hết hạn Ngược lại, nếu chọn "End of:" kèm theo ngày tháng cụ thể, tài khoản sẽ bị tạm khóa vào ngày đã chỉ định.
Tab Profile cho phép khai báo đường dẫn đến Profile của tài khoản người dùng hiện tại, thiết lập tập tin logon script tự động thi hành khi người dùng đăng nhập và chỉ định thư mục chính Lưu ý rằng các tùy chọn trong Tab Profile chủ yếu phục vụ cho các máy trạm trước Windows 2000, trong khi các máy trạm từ phiên bản này trở đi có thể có những tính năng khác.
Win2K trở về sau như: Win2K Pro, WinXP, Windows Server 2008 thì chúng ta có thể cấu hình các lựa chọn này trong Group Policy
Hình 5.3 Hộp thoại Tab profile
THIẾT LẬP CÁC THUỘC TÍNH CHO CÁC USER, GROUP TRONG
Cấu hình hệ thống tâp tin
- Phân biệt được các loại định dạng hệ thống tập tin trên đĩa cứng.
Hệ thống tập tin quản lý việc lưu trữ và định vị các tập tin trên đĩa cứng
Windows Server 2003 hỗ trợ ba hệ thống tập tin khác nhau: FAT16, FAT32 và
Nếu bạn muốn sử dụng các tính năng như bảo mật cục bộ, nén và mã hóa tập tin, NTFS là lựa chọn tốt nhất Bảng dưới đây sẽ trình bày khả năng của từng hệ thống tập tin trên Windows Server 2003.
Khả năng FAT16 FAT32 NTFS
Hệ điều hành hỗ trợ Hầu hết các hệ điều hành
Hỗ trợ tên tập tin dài
256 ký tự trên Windows 256 ký tự 256 ký tự
Sử dụng hiệu quả đĩa Không Có Có
Hỗ trợ nén đĩa Không Không Có
Hỗ trợ hạn ngạch Không Không Có
Hỗ trợ mã hoá Không Không Có
Hỗ trợ bảo mật cục bộ Không Không Có
Hỗ trợ bảo mật trên mạng Có Có Có
Kích thước Volume tối đa được hỗ trợ 4GB 32GB 1024GB
Trên Windows Server 2003/Windows 2000/NT, bạn có thể sử dụng lệnh
CONVERT để chuyển đổi hệ thống tập tin từ FAT16, FAT32 thành NTFS Cú pháp của lệnh như sau:
Cấu hình đĩa lưu trữ
- Phân biệt được các loại đĩa lưu trữ trên windows server.
Windows Server 2003 hỗ trợ hai loại đĩa lưu trữ: basic và dynamic
Mỗi ổ đĩa vật lý có tối đa bốn phân vùng, bao gồm ba phân vùng chính và một phân vùng mở rộng Phân vùng đầu tiên được tạo ra trên đĩa gọi là phân vùng chính, và toàn bộ không gian của phân vùng này được sử dụng hoàn toàn Với phân vùng mở rộng, người dùng có thể tạo ra nhiều phân vùng logic, tối ưu hóa việc quản lý không gian lưu trữ.
2.2 Dynamic storage Đây là một tính năng mới của Windows Server 2003 Đĩa lưu trữ dynamic chia thành các volume dynamic Volume dynamic không chứa partition hoặc ổ đĩa logic, và chỉ có thể truy cập bằng Windows Server 2003 và Windows 2000 Windows Server 2003/ Windows 2000 hỗ trợ năm loại volume dynamic: simple, spanned, striped, mirrored và RAID-5 Ưu điểm của công nghệ Dynamic storage so với công nghệ Basic storage:
- Cho phép ghép nhiều ổ đĩa vật lý để tạo thành các ổ đĩa logic (Volume)
- Cho phép ghép nhiều vùng trống không liên tục trên nhiều đĩa cứng vật lý để tạo ổ đĩa logic
- Có thể tạo ra các ổ đĩa logic có khả năng dung lỗi cao và tăng tốc độ truy xuất…
Bài viết đề cập đến không gian lưu trữ từ một đĩa dynamic duy nhất, có thể là liên tục hoặc không liên tục Hình ảnh minh họa cho thấy một đĩa vật lý được chia thành hai volume đơn giản, giúp người đọc hiểu rõ hơn về cấu trúc và cách tổ chức không gian lưu trữ.
Volume spanned là một giải pháp cho phép sử dụng một hoặc nhiều đĩa dynamic (tối đa 32 đĩa) để tăng kích thước của volume Khi dữ liệu được ghi lên volume, nó sẽ được ghi theo thứ tự từ đĩa này sang đĩa khác Thông thường, các quản trị viên chọn volume spanned khi ổ đĩa hiện tại gần đầy và cần bổ sung thêm đĩa để mở rộng dung lượng lưu trữ.
Volume spanned không cải thiện hiệu năng sử dụng do dữ liệu được ghi tuần tự Một nhược điểm lớn của loại volume này là nếu một đĩa gặp sự cố, toàn bộ dữ liệu trên volume sẽ không thể truy cập được.
Lưu trữ dữ liệu trên các dãy (strip) đều nhau trên một hoặc nhiều đĩa vật lý (tối đa 32) cho phép thực hiện nhiều tác vụ I/O đồng thời, từ đó nâng cao tốc độ truy xuất dữ liệu Các quản trị mạng thường sử dụng volume striped để kết hợp dung lượng của nhiều ổ đĩa vật lý thành một đĩa logic, đồng thời cải thiện hiệu suất truy xuất.
Nhược điểm chính của volume striped là nếu một ổ đĩa bị hỏng thì dữ liệu trên toàn bộ volume mất giá trị
Volume mirrored là hai bản sao của một ổ đĩa, bao gồm một ổ đĩa chính và một ổ đĩa phụ, giúp cung cấp khả năng dung lỗi tốt Khi dữ liệu được ghi lên ổ đĩa chính, nó cũng được ghi lên ổ đĩa phụ, đảm bảo rằng nếu một đĩa bị hỏng, ổ đĩa còn lại vẫn hoạt động bình thường mà không làm gián đoạn quá trình truy xuất dữ liệu Tuy nhiên, nhược điểm của phương pháp này là bộ điều khiển đĩa phải ghi lần lượt lên hai đĩa, dẫn đến giảm hiệu năng Để cải thiện tốc độ ghi và khả năng dung lỗi, bạn có thể áp dụng biến thể duplexing, yêu cầu sử dụng một bộ điều khiển đĩa khác cho ổ đĩa thứ hai.
Nhược điểm chính của phương pháp này là chi phí cao Để có một volume 4GB bạn phải tốnđến 8GB cho hai ổ đĩa
RAID-5 tương tự như volume striped nhưng bổ sung thông tin kiểm lỗi parity, giúp phục hồi dữ liệu khi một ổ đĩa bị hỏng Hệ thống này yêu cầu tối thiểu ba ổ đĩa và có thể mở rộng tối đa lên đến 32 ổ Ưu điểm nổi bật của RAID-5 là khả năng dung lỗi cao và tốc độ truy xuất nhanh nhờ vào việc sử dụng nhiều kênh I/O.
Sử dụng chương trình Disk Manager
- Sử dụng được công cụ Disk Manager để quản lý đĩa cứng.
Disk Manager là công cụ quản lý đĩa và volume trên Windows 2000 và Windows Server 2003, yêu cầu người dùng đăng nhập bằng tài khoản Administrator để sử dụng đầy đủ chức năng Truy cập vào Disk Manager thông qua menu Start.
\ Programs \ Administrative Tools \ Computer Management Sau đó mở rộng mục Storage và chọn Disk Management Cửa sổ Disk Management xuất hiện như sau:
Nhấp phải chuột lên ổ đĩa vật lý muốn biết thông tin và chọn Properties Hộp thoại Disk Properties xuất hiện như sau: Hộp thoại cung cấp các thông tin:
- Số thứ tự của ổ đĩa vật lý
- Loại đĩa (basic, dynamic, DVD- ROM, DVD, đĩa chuyển dời được, hoặc unknown)
- Trạng thái của đĩa (online hoặc offline)
- Lượng không gian chưa cấp phát
- Loại thiết bị phần cứng
- Nhà sản xuất thiết bị
- Danh sách các volume đã tạo trên đĩa
3.2 Xem thuộc tính của volume hoặc đĩa cục bộ
Trên ổ đĩa dynamic, bạn sử dụng các volume, trong khi ổ đĩa basic sử dụng các đĩa cục bộ Cả volume và đĩa cục bộ đều có chức năng tương tự nhau Để xem thuộc tính của một đĩa cục bộ, bạn chỉ cần nhấp chuột phải vào đĩa đó và chọn Properties, sau đó hộp thoại Local Disk Properties sẽ xuất hiện.
Nút Disk Cleanup cho phép bạn mở chương trình dọn dẹp ổ đĩa, cung cấp thông tin chi tiết về nhãn đĩa, loại, hệ thống tập tin, cũng như dung lượng đã sử dụng, dung lượng còn trống và tổng dung lượng của ổ đĩa.
Disk Cleanup dùng để xoá các tập tin không cần thiết, giải phóng không gian đĩa
Nhấn nút "Check Now" để kích hoạt chương trình Check Disk, giúp kiểm tra lỗi khi không thể truy xuất đĩa hoặc khởi động máy không đúng cách Nút "Backup Now" sẽ mở chương trình Backup Wizard, hướng dẫn bạn sao lưu các tập tin và thư mục trên đĩa Nút "Defragment Now" khởi động chương trình Disk Defragment, giúp dồn các tập tin trên đĩa thành một khối liên tục, cải thiện hiệu suất truy xuất đĩa.
Liệt kê các ổ đĩa vật lý Windows Server
2003 nhận diện được Bên dưới danh sách liệt kê các thuộc tính của ổ đĩa được chọn
Mặc định, tất cả các ổ đĩa cục bộ đều được chia sẻ dưới dạng ẩn, với ký hiệu $ sau tên chia sẻ Bạn có thể tùy chọn cho phép hoặc không cho phép chia sẻ ổ đĩa cục bộ này.
Chỉ xuất hiện khi đĩa cục bộ này sử dụng hệ thống tập tin NTFS Dùng để thiết lập quyền truy cập lên đĩa Theo mặc định, nhóm
Everyone được toàn quyền trên thư mục gốc của đĩa
Chỉ xuất hiện khi sử dụng NTFS Dùng để quy định lượng không gian đĩa cấp phát cho người dùng
Shadow Copies là dịch vụ giúp người dùng truy cập và khôi phục các phiên bản trước của tập tin đã lưu thông qua tính năng Previous Versions trên máy trạm.
3.3 Bổ sung thêm một ổđĩa mới
3.3.1 Máy tính không hỗ trợ tính năng
Để lắp ổ đĩa mới vào máy tính, bạn cần tắt máy trước Sau khi lắp xong, khởi động lại máy tính, chương trình Disk Management sẽ tự động nhận diện ổ đĩa và yêu cầu bạn ghi một chữ ký đặc biệt lên ổ đĩa để Windows Server 2003 có thể nhận diện Mặc định, ổ đĩa mới sẽ được cấu hình dưới dạng đĩa dynamic.
3.3.2 Máy tính hỗtrợ“hot swap”
Bạn chỉ cần lắp thêm ổ đĩa mới theo hướng dẫn của nhà sản xuất mà không cần tắt máy Sau đó, sử dụng chức năng Action Rescan Disk trong Disk Manager để phát hiện ổ đĩa mới này.
Nếu bạn có không gian chưa được phân bổ trên đĩa basic, bạn có thể tạo partition mới Đối với đĩa dynamic, bạn có thể tạo volume mới Bài viết này sẽ hướng dẫn bạn cách sử dụng tính năng Create.
Partition Wizard để tạo một partition mới:
Nhấp phải chuột lên vùng trống chưa cấp phát của đĩa basic và chọn Create Logical Drive
Xuất hiện hộp thoại Create Partition Wizard Nhấn nút Next trong hộp thoại này Trong hộp thoại Select Partition
Type, chọn loại partition mà bạn định tạo Chỉ có những loại còn khả năng tạo mới được phép chọn
(tuỳ thuộc vào ổ đĩa vật lý của bạn) Sau khi chọn loại partition xong nhấn Next đểtiếp tục.
Tiếp theo, hộp thoại Specify
Partition Size yêu cầu bạn cho biết dung lượng định cấp phát Sau khi chỉ định xong, nhấn Next
Trong hộp thoại Assign Drive
Bạn có thể đặt ký tự ổ đĩa cho partition hoặc gắn nó vào một thư mục rỗng, hoặc không thực hiện bất kỳ thao tác nào Nếu bạn chọn gắn vào thư mục rỗng, bạn có khả năng tạo ra nhiều partition mới Sau khi hoàn tất các quyết định, hãy nhấn Next để tiếp tục.
Hộp thoại Format Partition yêu cầu bạn quyết định có định dạng phân vùng hay không Nếu có, bạn cần chọn hệ thống tập tin, đơn vị cấp phát, nhãn của phân vùng và có thực hiện định dạng nhanh hay không Ngoài ra, bạn cũng cần xác định xem có nén tập tin và thư mục hay không Sau khi hoàn tất các lựa chọn, nhấn Next để tiếp tục.
Hộp thoại Completing the Create
Partition Wizard summarizes the actions to be taken; ensure everything is accurate before clicking Finish to initiate the process.
3.5 Thay đổi ký tự ổ đĩa hoặc đường dẫn.
Muốn thay đổi ký tự ổ đĩa cho partition/volume nào, bạn nhấp phải chuột lên volume đó và chọn Change Drive Letter and
Path Hộp thoại Change Drive Letter and Path xuất hiện
In the dialog box, click the Edit button to open the Edit Drive Letter and Path window From the Assign a drive letter list, select a new drive letter to assign to the partition or volume Finally, confirm the changes you have made.
3.6 Xoá partition/volume Để tổ chức lại một ổ đĩa hoặc huỷ các dữ liệu có trên một partition/volume, bạn có thể xoá nó đi Để thực hiện, trong cửa sổ Disk Manager, bạn nhấp phải chuột lên partition/volume muốn xoá và chọn Delete Partition (hoặc Delete Volume) Một hộp thoại cảnh báo xuất hiện, thông báo dữ liệu trên partition hoặc volume sẽbị xoá và yêu cầu bạn xác nhận lại lần nữa thao tác này
3.7.1 Chuy ển ch ế độ l ư u trữ Để sử dụng được cơ chế lưu trữ Dynamic, bạn phải chuyển đổi các đĩa cứng vật lý trong hệ thống thành Dynamic Disk
Management, bạn nhấp phải chuột trên các ổ đĩa bên của sổ bên phải và chọn Convert to
Để chuyển đổi sang chế độ lưu trữ Dynamic Disk, bạn cần đánh dấu vào tất cả các đĩa cứng vật lý mà bạn muốn chuyển đổi và chọn OK Sau khi quá trình chuyển đổi hoàn tất, hệ thống sẽ yêu cầu bạn khởi động lại máy để áp dụng chế độ lưu trữ mới.
Management, bạn nhấp phải chuột lên vùng trống của đĩa cứng cần tạo Volume, sau đó chọn New Volume
Tiếp theo, bạn chọn loại Volume cần tạo Trong trường hợp này chúng ta chọn Spanned
Bạn chọn những đĩa cứng dùng để tạo
Volume này, đồng thời bạncũng nhập kích thước mà mỗi đĩa giành ra để tạo
Volume Chú ý đối với loại Volume này thì kích thước của các đĩa giành cho Volume có thể khác nhau
Bạn gán ký tựổđĩa cho Volume
Bạn định dạng Volume mà bạn vừa tạo để có thể chứa dữ liệu Đến đây đã hoàn thành việc tạo
Volume, bạn có thể lưu trữdữ liệu trên
Volume này theo cơ chế đã trình bày ởphần lý thuyết.
C HIA SẺ TÀI NGUYÊN MẠNG CHO CÁC USER, GROUP
Tạo thư mục dùng chung
- Chia sẻ được thư mục dùng chung;
- Trình bày được quyền truy thư mục dùng chung.
1.1 Chia sẻ thưmục dùng chung
Tài nguyên chia sẻ là các tài nguyên trực tuyến mà người dùng có thể truy cập và sử dụng qua mạng Để chia sẻ một thư mục chung, bạn cần đăng nhập vào hệ thống với quyền quản trị hoặc là thành viên của nhóm Server Operators Sau đó, trong Explorer, bạn nhấp chuột phải vào thư mục cần chia sẻ và chọn Properties Hộp thoại Properties sẽ xuất hiện, và bạn cần chọn Tab Sharing để thiết lập các quyền chia sẻ.
Hình 7.1: Hộp thoại data properties
Do not share this folder Chỉ định thư mục này chỉ được phép truy cập cục bộ
Chia sẻ thư mục cho phép truy cập cục bộ và qua mạng, với tên thư mục hiển thị cho người dùng mạng.
Comment Cho phép người dùng mô tả thêm thông tin về thư mục dùng chung này
User Limit cho phép khai báo số lượng kết nối tối đa vào thư mục tại một thời điểm Permissions giúp thiết lập danh sách quyền truy cập mạng cho người dùng Offline Settings cho phép lưu trữ tạm thời tài liệu trong thư mục khi làm việc ở chế độ Offline.
Để cấp quyền truy cập qua mạng cho người dùng, bạn cần sử dụng Share Permissions, vì chúng chỉ có hiệu lực khi người dùng truy cập từ xa, không áp dụng cho truy cập cục bộ Điều này khác với NTFS Permissions, vốn quản lý quyền truy cập người dùng ở cấp độ truy xuất đĩa.
Permissions, chứa danh sách các quyền sau:
- Full Control: cho phép người dùng có toàn quyền trên thư mục chia sẻ
- Change: cho phép người dùng thay đổi dữ liệu trên tập tin và xóa tập tin trong thư mục chia sẻ.
Để cấp quyền cho người dùng xem và thực hiện các tập tin trong thư mục chia sẻ, bạn chỉ cần nhấp vào nút "Add".
Hộp thoại chọn người dùng và nhóm xuất hiện, bạn nhấp đôi chuột vào các tài khoản người dùng và nhóm cần chọn, sau đó chọn OK
Hình 7.3: Hộp thoại Select users or groups
Trong hộp thoại xuất hiện, muốn cấp quyền cho người dùng bạn đánh dấu vào mục Allow, ngược lại khóa quyền thì đánh dấu vào mục Deny
1.3 Chia sẻ thưmục dùng lệnh netshare
The function allows for the creation, deletion, and display of shared resources using the syntax: `net share sharename`, `net share sharename=drive:path [/users:number | /unlimited] [/remark:"text"]`, and `net share {sharename | drive:path} /delete` The parameters include options for specifying the number of users, setting unlimited access, and adding remarks for clarity.
- [Không tham số]: hiển thị thông tin về tất cả các tài nguyên chia sẻ trên máy tính cục bộ
Sharename là tên đại diện cho tài nguyên chia sẻ trên mạng Khi sử dụng lệnh net share kèm theo tham số sharename, hệ thống sẽ hiển thị thông tin chi tiết về tài nguyên chung này.
- [drive:path]: chỉ định đường dẫn tuyệt đối của thư mục cần chia sẻ
- [/users:number]: đặt số lượng người dùng lớn nhất có thể truy cập vào tài nguyên dùng chung này
- [/unlimited]: không giới hạn số lượng người dùng có thể truy cập vào tài nguyên dùng chung này
- [/remark:"text"]: thêm thông tin mô tả về tài nguyên này
- /delete: xóa thuộc tính chia sẻ của thư mục hiện tại.
Quản lý các thư mục dùng chung
- Trình bày được quyền truy thư mục dùng chung.
2.1 Xem các thư mục dùng chung
Mục Shared Folders trong công cụ Computer Management cho phép bạn tạo và quản lý các thư mục dùng chung trên máy tính Để xem các thư mục dùng chung, bạn chỉ cần chọn mục Shares Lưu ý rằng nếu tên chia sẻ (share name) của thư mục dùng chung kết thúc bằng dấu $, thì thư mục này sẽ bị ẩn và không thể tìm thấy khi bạn tìm kiếm qua My Network Places hoặc duyệt các tài nguyên mạng.
Hình 7.3: Hộp thoại Computer management
2.2 Xem các phiên làm việc trên thư mục dùng chung
Để xem tất cả người dùng đang truy cập vào các thư mục dùng chung trên máy tính, bạn cần chọn mục Session Mục này cung cấp thông tin chi tiết về các phiên làm việc của người dùng.
- Tên tài khoản người dùng đang kết nối vào tài nguyên chia sẻ
- Tên máy tính có người dùng kết nối từ đó
- Hệ điều hành mà máy trạm đang sử dụng để kết nối
- Số tập tin mà người dùng đang mở
- Thời gian kết nối của người dùng
- Thời gian chờ xử lý của kết nối
- Phải là truy cập của người dùng Guest không?
Hình 7.4: Hộp thoại Computer management
2.3 Xem các tập tin đang mở trong các thư mục dùng chung
Muốn xem các tập đang mở trong các thư mục dùng chung bạn nhấp chuột vào mục
Open Files Mục Open Files cung cấp các thông tin sau:
- Đường dẫn và tập tin hiện đang được mở
- Tên tài khoản người dùng đang truy cập tập tin đó
- Hệ điều hành mà người dùng sử dụng để truy cập tập tin
- Trạng thái tập tin có đang bị khoá hay không
- Trạng thái mở sử dụng tập tin (Read hoặc Write)
Hình 7.5: Hộp thoại Computer management
Quyền truy cập NTFS
- Phân được quyền truy cập dữ liệu dùng trong hệ thống mạng.
Có hai loại hệ thống tập tin phổ biến cho phân vùng và ổ đĩa cục bộ là FAT (bao gồm FAT16 và FAT32) và NTFS Trong khi FAT không hỗ trợ bảo mật nội bộ, NTFS lại cung cấp tính năng này, cho phép quản lý quyền truy cập vào dữ liệu Điều này có nghĩa là nếu ổ cứng được định dạng là FAT, mọi người đều có thể truy cập và thao tác trên các tệp tin, trong khi với NTFS, quyền truy cập sẽ phụ thuộc vào người dùng Hệ thống Windows Server 2008 sử dụng danh sách kiểm soát truy cập (ACL) để quản lý quyền truy cập của người dùng đối với các đối tượng cục bộ và trên Active Directory, với mỗi ACL có thể chứa nhiều mục nhập kiểm soát truy cập (ACE) đại diện cho từng người dùng hoặc nhóm người.
3.1 Các quyền truy cậpcủa NTFS
File Duyệt các thư mục và thi hành các tập tin chương trình trong thư mục
Chức năng "List Folder/Read Data" cho phép người dùng liệt kê nội dung của thư mục và đọc dữ liệu từ các tập tin trong đó Đồng thời, chức năng "Read Attributes" giúp người dùng truy cập và đọc các thuộc tính của các tập tin và thư mục.
Attributes Đọc các thuộc tính mở rộng của các tập tin và thư mục
Create File/Write Data Tạo các tập tin mới và ghi dữ liệu lên các tập tin này
Data Tạo thư mục mới và chèn thêm dữ liệu vào các tập tin Write Attributes Thay đổi thuộc tính của các tập tin và thư mục
Attributes Thay đổi thuộc tính mở rộng của các tập tin và thư mục
Files Xóa thư mục con và các tập tin
Delete Xóa các tập tin
Read Permissions Đọc các quyền trên các tập tin và thư mục
Change Permissions Thay đổi quyền trên các tập tin và thư mục
Take Ownership Tước quyền sở hữu của các tập tin và thư mục
3.2 Các mức quyền truy cập được dùng trong NTFS
3.3 Gán quyền truy cập NTFS trên thư mục dùng chung
Để gán quyền NTFS, bạn hãy mở Windows Explorer, nhấp chuột phải vào tập tin hoặc thư mục mà bạn muốn cấu hình quyền truy cập, sau đó chọn "Properties" Hộp thoại sẽ xuất hiện để bạn thực hiện các thiết lập cần thiết.
Nếu ổ đĩa của bạn được định dạng FAT, hộp thoại chỉ có hai tab là General và Sharing Ngược lại, nếu ổ đĩa định dạng NTFS, hộp thoại sẽ có thêm tab Security, cho phép bạn quy định quyền truy cập cho từng người dùng hoặc nhóm người dùng đối với các tập tin và thư mục Để cấp quyền cho người dùng, bạn chỉ cần nhấp vào tab Security.
Hình 7.7: Hộp thoại Data properties
Để cấp quyền truy cập cho người dùng, bạn cần nhấp vào nút "Add" Hộp thoại chọn lựa người dùng và nhóm sẽ xuất hiện, cho phép bạn chọn người dùng và nhóm cần cấp quyền Sau khi chọn xong, hãy nhấn nút "Add" để thêm vào danh sách, rồi nhấp "OK" để trở lại hộp thoại chính.
Hình 7.8: Hộp thoại Select users or groups
Trong hộp thoại chính, bạn sẽ thấy danh sách người dùng và nhóm mới được thêm vào Để cấp quyền, hãy chọn người dùng hoặc nhóm tương ứng Danh sách quyền đã có sẵn trong hộp thoại; nếu bạn muốn cấp quyền cho người dùng, hãy đánh dấu vào mục Allow, ngược lại, nếu muốn từ chối quyền, hãy chọn mục Deny.
Hình 7.9: Hộp thoại Data properties
3.4 Kếthừa và thay thế quyền củađối tượng con
Trong hộp thoại chính, nhấn vào nút Advanced để cấu hình chi tiết quyền truy cập của người dùng.
Trong hộp thoại Advanced Security Settings, nếu bạn đánh dấu vào mục "Allow inheritable permissions from parent to propagate to this object and child objects", thư mục hiện tại sẽ thừa hưởng danh sách quyền truy cập từ thư mục cha Để xóa quyền thừa hưởng này, bạn cần bỏ đánh dấu Nếu danh sách quyền truy cập của thư mục cha thay đổi, danh sách quyền của thư mục hiện tại cũng sẽ tự động cập nhật theo Ngoài ra, nếu bạn chọn mục "Replace permission entries on all child objects with entries shown here that apply to child objects", danh sách quyền truy cập của thư mục hiện tại sẽ được áp dụng cho các tập tin và thư mục con, thay thế quyền truy cập của chúng bằng các quyền hiển thị trong hộp thoại.
Hình 7.10: Hộp thoại Advanced security settings for data
Windows Server 2008 cho phép kiểm tra và cấu hình chi tiết quyền của người dùng và nhóm Để thực hiện điều này, bạn chỉ cần chọn nhóm hoặc người dùng cần thao tác, sau đó nhấp vào nút Edit.
Hình 7.11: Hộp thoại Permission entry for data
3.5 Thay đổi quyền khi di chuyển thưmục và tập tin
Khi sao chép một tập tin hoặc thư mục sang vị trí mới, quyền truy cập sẽ thay đổi theo quyền của thư mục cha Ngược lại, khi di chuyển một tập tin hoặc thư mục, các quyền truy cập sẽ được giữ nguyên.
3.6 Giám sát người dùng truy cập thư mục
Để giám sát và ghi nhận các thao tác của người dùng trên thư mục hiện tại, bạn hãy mở hộp thoại Cài đặt Bảo mật Nâng cao, chọn tab Kiểm tra (Auditing) và nhấp vào nút tương ứng.
Để giám sát người dùng, trước tiên bạn cần thêm họ vào danh sách Sau đó, nếu bạn muốn theo dõi các lần truy xuất thành công, hãy đánh dấu vào mục "Successful" Ngược lại, nếu bạn muốn giám sát các lần truy xuất không thành công, hãy chọn mục "Failed".
Hình 7.12: Hộp thoại Auditing entry for data
3.7 Thay đổi người sởhữu thưmục
Để xem tài khoản người dùng và nhóm sở hữu thư mục hiện tại, bạn hãy mở hộp thoại Cài đặt Bảo mật Nâng cao và chọn tab Chủ sở hữu Bạn cũng có thể thay đổi người hoặc nhóm sở hữu thư mục bằng cách nhấp vào nút Khác.
Hình 7.13: Hộp thoại Advanced security settings for data
DFS
- Phân biệt được các loại hệ thống DFS.
- Triển khai thực hiện được hệ thống DFS.
DFS (Distributed File System) là hệ thống quản lý thư mục và tập tin dùng chung trên mạng, cho phép người dùng truy cập các tài nguyên từ nhiều máy chủ khác nhau thông qua một tên chia sẻ duy nhất Hệ thống này giúp người dùng dễ dàng tìm kiếm tài nguyên trên mạng DFS có hai loại root: domain root, liên kết với Active Directory và được lưu trữ trên tất cả các Domain Controller, và Stand-alone root, chỉ chứa thông tin tại máy được cấu hình Cần lưu ý rằng DFS không phải là một File Server, mà chỉ là một "bảng mục lục" dẫn đến các thư mục đã được tạo và chia sẻ.
Server Để triển khai một hệ thống DFS trước tiên bạn phải hiểu các khái niệm sau:
- Gốc DFS (DFS root) là một thư mục chia sẻ đại diện cho chung cho các thư mục chia sẻ khác trên các Server
- Liên kết DFS (DFS link) là mộtthư mụcnằm trong DFS root, nó ánh xạđến một tài nguyên chia sẻ các Server khác
4.1 So sánh hai loại DFS
Stand-alone DFS Fault-tolerant DFs
- Là hệ thống DFS trên một máy
Server Stand-alone, không có khả năng dung lỗi
- Người dùng truy xuất hệ thống DFS thông qua đường dẫn
- Là hệ thống DFS dựa trên nền Active
Directory nên có chính dung lỗi cao
- Hệ thống DFS sẽ tự động đồng bộ giữa các Domain Controller và người dùng có thể truy xuất đến DFS thông qua đường dẫn
4.2 Cài đặt Fault-tolerant DFS Để tạo mộthệthống Fault-tolerant DFS bạn làm theo các bước sau:
Bạn nhấp chuột vào Start Programs Administrative Tools Distributed File
System Hộp thoại Welcome xuất hiện, bạn nhấn Next để tiếp tục Hộp thoại Root Type xuất hiện, bạn chọn mục Domain Root, nhấn Next để tiếp tục
Hình 7.14: Hộp thoại Fault-tolerant DFS
Hệ thống yêu cầu bạn chọn tên miền (domain name) kết hợp với hệ thống DFS cần tạo
Hình 7.15: Hộp thoại tên miền
Tiếp theo bạn khai báo tên của Domain Controller chưa root DFS cần tạo.
Hình 7.16: Trong hộp thoại tên miền, bạn cần khai báo tên chia sẻ gốc (Root Name) cho hệ thống DFS, đại diện cho các tài nguyên khác trên mạng Sau khi nhập đầy đủ thông tin, hãy chọn Next để tiếp tục.
Hình 7.17: Hộp thoại tên miền
Trong hộp thoại xuất hiện, bạn khai báo tên thư mục chia sẻ gốc của hệ thống DFS
Hình 7.18: Hộp thoại chia sẻ
Sau khi cấu hình hệ thống DFS hoàn tất, tiếp theo bạn tạo các liên kết đến các tài nguyên dùng chung trên các Server khác trong mạng
Để sử dụng hệ thống DFS, bạn cần ánh xạ thư mục chia sẻ gốc thành một ổ đĩa mạng trên máy trạm Trong ổ đĩa mạng này, bạn có thể truy cập tất cả các thư mục chia sẻ từ các Server khác nhau trong hệ thống mạng.
Hình 7.20: Hộp thoại ổ đĩa mạng
Giống như Fault-tolerant DFS, bạn có thể thiết lập một Stand-alone DFS trên một máy chủ độc lập Tuy nhiên, hệ thống này không có khả năng dung lỗi, có nghĩa là nếu máy chủ chứa DFS Root gặp sự cố, các máy trạm sẽ không truy cập được tài nguyên chia sẻ trên các máy chủ khác Mặc dù vậy, Stand-alone DFS vẫn được sử dụng phổ biến nhờ vào sự đơn giản và tiện lợi của nó.
Bài tập thực hành của học viên
1 Tạo thư mục có tên Personal trên ổ đĩa bất kỳ.
2 Chia sẻ và phân quyền truy cập thư mục này
1 Tạo thư mục có tên Personal trên ổ đĩa bất kỳ.
To create a shared folder, navigate to the desired drive, such as drive C, or choose another drive of your preference Right-click, select "New," then choose "Folder," and name this folder "Personal."
Hình 7.21: Tạo thư mục trên ổ đĩa
2 Chia sẻ và phân quyền truy cập thư mục này
Ta sẽ cấu hình một số thuộc tính của folder này, right click vào folder này, chọn properties, hộp thọai personal properties xuất hiện:
Hình 7.22: Hộp thoại Personal properties
Click vào tab Securiy để cấu hình NTFS permission trên folder này Trên tab Security, click nút Advanced
Hình 7.23: Hộp thoại Personal properties
In the Advanced Security Settings for personal items, disable inheritance by unchecking the option "Allow inheritable permissions from the parent to propagate to this object and all child objects." This will ensure that only the permissions explicitly defined here are applied.
Hình 7.24: Hộp thoại Advanced security setting for personal
Trên hộp thọai Security, click nút Remove để loại bỏ tất cả các quyền thừa hưởng
Xong nhấn apply, nhấn OK để quay về hội hộp thọai personal properties
Trong hộp này các bạn nhấn add, sẽ xuất hiện hộp thọai Select user, computer, or groups
Nhập vào hộp text Enter the object names to select (examples): group Domain Admins rồi click vào nút check names Group Domain Admins sẽ được gạch dưới, click ok
Trong hộp thọai Personal Properties, cấp quyền Full Control cho group Domain Admins bạn mới thêm vào Click apply
To share a folder, navigate to the "Sharing" tab and check the option "Share this folder." Then, click on the "Permission" button to set the sharing permissions for the folder.
Trong hộp thọai permission for personal, đánh dấu chọn vào mục Full Control trong cột
Allow để cấp quyền full control cho everyone group Click apply rồi click ok
Click apply và rồi click ok để đóng hộp thọai Personal Properties
CÀI ĐẶT VÀ QUẢN TRỊ VIỆC IN ẤN TRONG MẠNG
Cài đặt máy in
- Cài đặt được máy in cho server và qua mạng.
Trước khi bạn có thể truy xuất vào thiết bị máy in vật lý thông qua hệ điều hành
To set up a printer on Windows Server 2008, you need to create a logical printer If your printer supports Plug and Play, it will be automatically recognized when connected to a computer running Windows Server 2008 The Found New Hardware utility will assist in this process.
Wizard sẽ tự động khởi động và hướng dẫn bạn từng bước cài đặt máy in Nếu hệ điều hành không nhận diện đúng, hãy sử dụng đĩa DVD đi kèm do nhà sản xuất cung cấp để thực hiện cài đặt.
Additionally, you can create a logical printer on your own by using the Add Printer Wizard utility This process allows you to set up a logical printer in Windows.
Để truy cập vào Server 2008, bạn cần đăng nhập với quyền hạn của một thành viên trong nhóm Administrators, nhóm Power Users (nếu đây là Server thành viên) hoặc nhóm Server Operators (nếu đây là domain controller).
Bạn có thể thiết lập một máy in logic cục bộ tương ứng với máy in vật lý kết nối trực tiếp với máy tính của bạn hoặc với máy in mạng, mà máy in này có thể được kết nối với một máy tính khác trong mạng hoặc thông qua một thiết bị Print Server.
Muốn thao tác bằng tay để tạo ra một máy in cục bộ hay một máy in mạng, chúng ta lần lượt thực hiện các thao tác sau đây:
Nhấp chuột chọn Start, rồi chọn Printers And Faxes
Nhấp chuột vào biểu tượng Add Printer, tiện ích Add Printer Wizard sẽ được khởi động Nhấp chuột vào nút Next để tiếp tục
When the Local or Network Printer dialog appears, select the option for "Local Printer Attached To This Computer" if you have a physical printer connected directly to your computer If you are setting up a logical printer for a network printer, choose "A Printer Attached To Another Computer." For directly connected printers, you can enable the "Automatically Detect And Install My Plug And Play Printer" feature, which allows the system to scan for and automatically install any Plug and Play printers After making your selections, click the "Next" button to proceed to the next step.
Nếu máy in vật lý đã được tự động nhận diện bằng tiện ích Found New
Hardware Wizard Tiện ích này sẽ hướng dẫn bạn tiếp tục cài đặt driver máy in qua từng bước.
Hộp thoại Print Test Page hiện ra Nếu máy in được kết nối trực tiếp với máy tính, hãy in một trang kiểm tra để đảm bảo mọi cài đặt đều chính xác Nếu máy in là máy in mạng, bạn có thể bỏ qua bước này Nhấn nút Next để tiếp tục.
Hộp thoại Completing The Add Printer Wizard cho phép người dùng xác nhận rằng tất cả các thuộc tính máy in đã được thiết lập chính xác Nếu phát hiện thông tin không đúng, người dùng có thể nhấp vào nút Back để quay lại và chỉnh sửa thông tin cho chính xác.
Còn nếu nhận thấy mọi thứ đều ổn cả thì bạn nhấp chuột vào nút Finish
Một biểu tượng máy in mới sẽ hiện ra trong cửa sổ Printer And Faxes Theo mặc định, máy in sẽ được chia sẻ.
Quản lý thuộc tính máy in
- Trình bày được các thuộc tính của máy in
Trong hộp thoại Printing Preferences, chọn Tab Layout Sau đó trong mục
When setting up your document for printing, you can choose between landscape or portrait orientation In the Page Order section, select whether to print from the first to the last page or in reverse order Additionally, in the Pages Per Sheet option, decide how many pages of your document will be printed on a single sheet of paper.
2.2 Giấy và chất lượng in
In the Printing Preferences dialog, the Paper/Quality tab allows users to specify paper type and print quality settings, which vary based on the printer's capabilities For instance, some printers may only offer a single option for Paper Source, while the HP OfficeJet Pro Cxi provides multiple options including Paper Source, Media, Quality Settings, and Color.
2.3 Các thông số mở rộng
Nhấp vào nút Advanced ở góc dưới bên phải của hộp thoại Printing Preferences để mở hộp thoại Advanced Options Tại đây, bạn có thể điều chỉnh các thông số mở rộng và lựa chọn các tùy chọn của máy in như Paper/Output.
Graphic, Document Options, và Printer Features Các thông số mở rộng có trong hộp thoại Advanced Options phụ thuộc vào driver máy in mà bạn đang sử dụng.
Cấu hình chia sẻ máy in
- Trình bày được các thuộc tính của máy in
To share a printer with multiple users, right-click on the printer and select Properties In the Properties dialog, navigate to the Sharing tab and check the option to Share this printer Enter a share name for the printer, which will be visible on the network Additionally, you can select the List In The Directory option to allow users to find the printer through Active Directory using specific attributes.
Trong Tab Sharing, người dùng có thể cấu hình driver hỗ trợ cho các máy trạm không phải là Windows Server 2008, điều này rất cần thiết để các máy trạm tự động tải về driver in Mặc định, chỉ có driver của Intel cho Windows 2000, Windows Server 2008 và Windows XP được nạp Để thêm driver cho các máy trạm khác, người dùng cần nhấp vào nút Additional Drivers dưới Tab Sharing, sau đó hộp thoại Additional Drivers sẽ xuất hiện Windows Server 2008 hỗ trợ thêm driver cho các Client với một số hệ điều hành nhất định.
- Itanium Windows XP hay Windows
Hình 8.1: Hộp thoại Adding Drivers
Cấu hình thông số port
- Trình bày được ý nghĩa cácthông số trong tab Port.
4.1 Cấu hình các thông số trong Tab Port
In the Properties dialog, select the Port tab to configure all defined ports for the printer in use A port is defined as an interface that enables communication between the computer and the printer device Windows Server 2008 supports both physical ports (local ports) and standard TCP/IP ports (logical ports).
Port vật lý chỉ được sử dụng khi kết nối trực tiếp máy in với máy tính Nếu bạn đang triển khai Windows Server 2008 trong một nhóm làm việc nhỏ, việc kết nối máy in qua port LPT1 là cần thiết.
Port TCP/IP được sử dụng cho máy in kết nối trực tiếp vào mạng qua cổng RJ45 và có địa chỉ IP riêng Ưu điểm của máy in mạng là tốc độ in nhanh hơn so với máy in cục bộ và có thể được đặt ở bất kỳ vị trí nào trong hệ thống mạng Do đó, bạn cần chỉ định một port cho máy in.
TCP/IP và khai báo địa chỉ IP của máy in mạng Cùng với việc xoá và
Hộp thoại HP Properties cho phép bạn cấu hình lại một cổng in đã tồn tại, đồng thời hỗ trợ thiết lập printer pooling và chuyển hướng các công việc in ấn đến một máy in khác.
Printer pool là một giải pháp hiệu quả để kết hợp nhiều máy in vật lý thành một máy in logic, giúp tối ưu hóa quá trình in ấn Khi sử dụng printer pool, máy in nào rảnh sẽ tự động nhận lệnh in, tiết kiệm thời gian cho người dùng Tính năng này đặc biệt hữu ích trong môi trường làm việc có nhiều máy in được chia sẻ, chẳng hạn như trong nhóm thư ký.
Để cấu hình một printer pool, bạn cần nhấp vào tùy chọn "Enable Printer Pooling" trong Tab Port của hộp thoại Properties Sau đó, hãy kiểm tra tất cả các port mà bạn dự định kết nối các máy in vật lý vào printer pool Nếu không chọn tùy chọn này, mỗi máy in sẽ chỉ có một port duy nhất Lưu ý rằng tất cả các máy in trong một printer pool phải sử dụng chung một driver máy in.
4.3 Điều hướng tác vụ in đến một máy in khác
Nếu máy in vật lý của bạn bị hư, bạn có thể chuyển tất cả các tác vụ in ấn sang một máy in khác Để thực hiện điều này, trước tiên cần đảm bảo máy in mới có driver giống với máy in cũ Tiếp theo, trong Tab Port, bạn nhấp vào nút Add Port, chọn Local port và sau đó chọn New Port.
Port Name xuất hiện, gõ vào tên UNC của máy in mới theo định dạng:
Cấu hình tab advanced
- Trình bày được ý nghĩa các thông số trong tab Advanced.
5.1 Các thông số của Tab Advanced
Trong hộp thoại Properties, bạn nhấp chuột vào Tab Advanced để điều khiển các đặc tính của máy in Bạn có thể cấu hình các thuộc tính sau:
- Khả năng của máy in
- Độ ưu tiên của máy in
- Driver mà máy in sẽ sử dụng
- Các thuộc tính đồng tác (spooling) của máy in
- Cách thức in tài liệu
- Chế độ in mặc định
- Sử dụng bộ xử lý in ấn nào
5.2 Khả năng sẵn sàng phụcvụ của máy in
Khi sử dụng nhiều máy in với một thiết bị in, việc kiểm tra khả năng sẵn sàng phục vụ của máy in là rất quan trọng Tùy chọn "Always Available" thường được bật mặc định, giúp người dùng dễ dàng truy cập và sử dụng máy in một cách liên tục.
Trong suốt 24 tiếng mỗi ngày, bạn có thể giới hạn thời gian hoạt động của máy in bằng cách chọn tùy chọn "Available From" và chỉ định khoảng thời gian mà máy in sẽ phục vụ Ngoài khoảng thời gian này, máy in sẽ không tiếp nhận yêu cầu từ bất kỳ người dùng nào.
Khi đặt độ ưu tiên cho công việc in, bạn xác định số lượng công việc được gửi trực tiếp đến máy in Tùy chọn này hữu ích khi nhiều người dùng chia sẻ một máy in và cần kiểm soát thứ tự in Trong Tab Advanced của hộp thoại Properties, bạn có thể thiết lập độ ưu tiên với các giá trị từ 1 đến 99, trong đó 1 là ưu tiên thấp nhất và 99 là ưu tiên cao nhất.
Giả sử có một máy in dành riêng cho phòng kế toán, nơi các quản lý luôn muốn tài liệu của họ được in trước Để thiết lập thứ tự ưu tiên này, chúng ta cần tạo một máy in với tên riêng.
Managers connect to port LPT1 with a priority level of 99 Subsequently, another printer named WORKERS is created on the same port LPT1, assigned a priority level of 1 To restrict printer usage, the Security tab in the Properties dialog is utilized.
Các nhà quản lý trong phòng kế toán sẽ sử dụng máy in riêng, trong khi các nhân viên còn lại được phép sử dụng máy in WORKERS.
Khi các tác vụ in được gửi từ máy in của MANAGERS, chúng sẽ được đưa vào hàng đợi của máy in vật lý với độ ưu tiên cao hơn so với các tác vụ từ máy in WORKERS Điều này có nghĩa là tài liệu của các quản lý sẽ được in trước, đảm bảo rằng công việc của họ được thực hiện nhanh chóng và hiệu quả.
Mục Driver trong Tab Advanced cho phép bạn chọn driver cho máy in đã cấu hình Nếu bạn có nhiều máy in trên một máy tính, bạn có thể lựa chọn bất kỳ driver nào đã cài đặt Để thực hiện, hãy nhấp vào nút New Driver để khởi động Add Printer Driver Wizard, công cụ giúp bạn cập nhật và thêm driver mới cho máy in.
Khi cấu hình tùy chọn spooling, bạn cần xác định rõ các tác vụ in ấn sẽ được gửi qua đường ống máy in hoặc trực tiếp đến thiết bị Spooling cho phép lưu trữ các thao tác in ấn xuống đĩa thành hàng đợi trước khi gửi đến máy in, hoạt động như một bộ điều phối in ấn khi nhiều người dùng gửi yêu cầu cùng lúc Theo chế độ mặc định, tùy chọn spooling đã được bật sẵn.
Phía dưới Tab Advance có chứa bốn tùy chọn in ấn Đó là các tùy chọn:
Tùy chọn "Hold Mismatched Documents" rất hữu ích khi sử dụng chế độ nhiều biểu mẫu trên máy in Mặc định, tùy chọn này không được kích hoạt và các tác vụ sẽ được in theo chế độ first-in-first-out (FIFO) Khi bạn bật tùy chọn này, hệ thống sẽ ưu tiên in trước những tác vụ có cùng một biểu mẫu.
Tùy chọn "In các tài liệu đã được lưu" quy định rằng các tác vụ in ấn sẽ được ưu tiên hơn các loại tác vụ lớn khác trong quá trình điều hướng Điều này có nghĩa là máy in sẽ xử lý các tác vụ in trước, từ đó nâng cao hiệu quả làm việc Mặc định, tùy chọn này luôn được bật để tối ưu hóa hiệu suất in ấn.
Tùy chọn "Giữ Tài Liệu In" quy định rằng các tác vụ in ấn sẽ bị xóa khỏi hàng đợi điều hướng in ấn ngay sau khi hoàn tất quá trình in Thông thường, việc xóa các tác vụ này ngay khi bắt đầu in là cần thiết để tránh lãng phí dung lượng ổ đĩa cho việc lưu trữ Mặc định, tùy chọn này không được kích hoạt.
Để tối ưu hóa chức năng in ấn, hãy bật tùy chọn "Enable Advanced Printing Features", cho phép sử dụng các tính năng mở rộng như Page Order và Pages Per Sheet Mặc định, tùy chọn này luôn được kích hoạt, nhưng nếu gặp vấn đề tương thích với driver máy in không hỗ trợ đầy đủ tính năng, bạn nên tắt nó đi.
The Printing Defaults button is located in the bottom left corner of the Advanced tab Clicking this button opens the Printing Preferences dialog box, which is the same dialog that appears when you click the Printing Preferences button in the General tab.
Bộ xử lý in ấn trên Windows Server 2008 quyết định xem có cần thực hiện các xử lý bổ sung trong công việc in hay không Mặc định, Windows Server 2008 sử dụng bộ xử lý in ấn WinPrint, hỗ trợ nhiều kiểu dữ liệu khác nhau.
Theo mặc định thì hầu hết các ứng dụng trên nền Window sử dụng chuẩn EMF
(enhanced metafile) để gởi các tác vụ đến máy in Chuẩn EMF dùng kiểu dữ liệu
Cấu hình tab security
- Phân được quyền truy cập máy in đúng yêu cầu của người sử dụng.
Chúng ta có thể kiểm soát quyền truy cập vào máy in Windows
Trong Server 2008, người dùng và nhóm người dùng có thể được cấu hình quyền in ấn một cách linh hoạt Chúng ta có khả năng cho phép hoặc từ chối quyền truy cập vào máy in Quyền in ấn được cấp cho người dùng và nhóm thông qua Tab Security trong hộp thoại Properties của máy in.
Bảng phân quyền in ấn cho người dùng
Cho phép người dùng hoặc một nhóm người dùng có thể kết nối và gửi tác vụ
In ấn đến máy in
Quyền điều khiển và quản lý máy in cho phép người dùng hoặc nhóm người dùng thực hiện các thao tác như dừng hoặc khởi động lại máy in, thay đổi cấu hình của bộ điều tác, chia sẻ hoặc không chia sẻ máy in, điều chỉnh quyền in ấn và quản trị các thuộc tính liên quan đến máy in.
Người dùng có khả năng quản lý tài liệu in thông qua các thao tác như dừng, khởi động lại, phục hồi hoặc xóa tài liệu khỏi hàng đợi máy in Tuy nhiên, người dùng không thể điều chỉnh trạng thái của máy in.
Bằng cách chọn Tab Advanced trong hộp thoại Print Permissions, bạn có thể quản lý các quyền đặc biệt cho máy in Theo mặc định, khi một máy in được tạo ra, các quyền in ấn sẽ được thiết lập tự động Dưới đây là bảng các quyền in ấn mặc định.
Nhóm quyền Được phép in Quản lý in Quản lý tài liệu in
6.2 Cấp quyền in cho người dùng/nhóm người dùng
Khi cần điều chỉnh quyền in ấn, bạn có thể bắt đầu bằng cách bỏ chọn tùy chọn Allow cho nhóm Everyone Tiếp theo, thêm nhóm Marketing vào danh sách trong Tab Security và cấp quyền Print cho nhóm này Điều này đặc biệt quan trọng khi công ty bạn có máy in laser màu đắt tiền mà bạn không muốn ai cũng có quyền sử dụng.
1 Ở Tab Security trong hộp thoại Properties của máy in, nhấp chuột vào nút Add
2 Hộp thoại Select Users, Computers, Or Groups xuất hiện, bạn nhập vào tên của người dùng hoặc nhóm người dùng mà bạn định cấp quyền in ấn rồi nhấp chuột vào nút Add Sau đó, bạn chọn tất cả các người dùng mà bạn muốn cấp quyền và nhấp chuột vào nút OK
3 Chọn người dùng hoặc nhóm người dùng từ danh sách các phân quyền, sau đó chọn Allow để cấp quyền hoặc chọn Deny để không cấp quyền in ấn, các quyền quản lý máy in hay các quyền quản lý tài liệu in Để loại bỏ một nhóm có sẵn trong danh sách phân quyền, ta sẽ chọn nhóm đó và nhấp chuột vào nút Remove Nhóm vừa chọn sẽ không còn được liệt kê trong Tab Security nữa và không thể được cấp bất kì quyền hạn in ấn nào.
Quản lý print server
- Quản lý được máy in mạng.
7.1 Hộp thoại quản lý Print Server
Print Server là máy tính định nghĩa sẵn các máy in và quản lý tất cả các yêu cầu in ấn từ người dùng Khi một yêu cầu in được gửi đến máy in mạng, nó sẽ được chuyển đến Print Server trước Để hoạt động hiệu quả, Print Server cần có cấu hình mạnh mẽ để xử lý các tác vụ in và đủ không gian đĩa trống để lưu trữ các tác vụ trong hàng đợi.
Bạn có thể quản lý Print Server bằng cách cấu hình các thuộc tính trong hộp thoại
To access Print Server Properties, open the Printers and Faxes dialog, select File, and then choose Server Properties The Print Server Properties dialog features several tabs, including Forms, Ports, Drivers, and Advanced.
7.2 Cấu hình các thuộc tính Port của Print Server
Trong hộp thoại Printer Server Properties, bạn có thể truy cập Tab Port, tương tự như Tab Port trong hộp thoại Properties của máy in Tuy nhiên, sự khác biệt nằm ở chỗ Tab Port trong Printer Server Properties dùng để quản lý tất cả các cổng trên Print Server, trong khi Tab Port trong Properties của máy in chỉ quản lý các cổng của thiết bị máy in vật lý.
In the Printer Server Properties dialog, navigate to the Driver tab to manage the installed printer drivers on the Print Server This tab displays the name, environment, and operating system supported by each printer driver, allowing for efficient driver management.
Using the options in the Driver Tab, you can add, remove, or update printer drivers To view the properties of a printer driver, select the desired driver and click the Properties button The properties of a printer driver include:
- Loại dữ liệu mặc định
Giám sát trạng thái hàng đợi máy in
- Giám sát và xử lý lỗi máy in mạng.
Tiện ích System Monitor cho phép quản lý hàng đợi máy in hiệu quả bằng cách theo dõi các chỉ số liên quan đến thao tác trên nhiều đối tượng máy tính Để quản lý hàng đợi máy in thông qua System Monitor, bạn cần thực hiện một số bước cụ thể.
1 Chọn Start \ Administrative Tools \ Performance
2 Hộp thoại Performance sẽ xuất hiện Mặc định thì tiện ích System Monitor sẽ được chọn như hình sau:
3 Nhấp chuột vào nút Add (có biểu tượng dấu +) để truy xuất vào hộp thoại
Add Counters Sau đó, nhấp chọn Print Queue Performance Object
4 Trong hộp thoại Add Counters, bạn có thể chỉ định ra máy tính mà bạn muốn giám sát (cả máy tính cục bộ và máy tính ở xa) Performance Object mà bạn cần theo dõi (trong trường hợp này là hàng đợi - Print Queue), các counter mà bạn muốn theo dõi, và bạn cũng chỉ ra là bạn có muốn theo dõi tất cả các thể hiện hay là bạn chỉ muốn theo dõi một số thể hiện của counter được bạn lựa chọn Nếu bạn chọn tất cả các thể hiện được lựa chọn sẽ cho phép tất cả dữ liệu của tất cả các hàng đợi in ấn đã được định nghĩa trong máy in Còn nếu bạn chọn chỉ theo dõi một số thể hiện của counter thì bạn chỉ theo dõi được dữ liệu từ một số hàng đợi in ấn cá nhân
Bảng danh sách các hàng đợi in ấn đã đượcđịnh nghĩa:
Counter này hiển thị số lượng Print Server đã được thêm vào các máy in chia sẻ trên mạng Số liệu này được tích lũy kể từ lần khởi động cuối cùng của server.
Bytes Printed/Sec Số byte trong thực tế đã được in trên một hàng đợi trong mỗi giây
Tổng số yêu cầu gửi đến Print Server từ các danh sách duyệt mạng đã được ghi nhận, và con số này được tích lũy kể từ lần khởi động cuối cùng của Server.
Tổng số các lỗi thao tác đã được tường trình bởi hàng đợi in ấn Con số này được tích luỹ từ lần khởi động cuối cùng của
Chỉ ra con số hiện tại các thao tác in ấn vẫn còn trong hàng đợi chưa được xử lý
Job Spooling Chỉ ra con số hiện tại các thao tác in ấn đã được điều hướng đến hàng đợi in ấn
Max Jobs Spooling xác định số lượng tối đa các tác vụ in ấn được lưu trữ trong hàng đợi in kể từ lần khởi động server gần nhất.
Max References Chỉ ra con số tối đa các tác vụ mở (tham chiếu) đã được gửi đến máy in kể từ lần khởi động cuối cùng của Server
Số lượng lỗi máy in "chưa sẵn sàng phục vụ" trong hàng đợi in ấn đã được ghi nhận, với con số này được tích lũy từ lần khởi động cuối cùng của Server.
Số lượng lỗi máy in không có giấy trong hàng đợi in ấn đã được ghi nhận và tích lũy kể từ lần khởi động cuối cùng của Server.
Tổng số tác vụ in ấn được hiển thị dưới dạng "Total Jobs Printed" cho biết số lượng in ấn đã hoàn thành thành công Con số này được tổng hợp kể từ lần khởi động cuối cùng của máy chủ.
The "Total Pages Printed" metric indicates the number of pages that have been successfully printed, with this count accumulated since the last server restart.
Bài tập thực hành của học viên
4 Cài đặt 2 máy in bất kỳ, chia sẻ và phân quyền in ấn trên 2 máy in này
5 Tìm kiếm máy in trên mạng bằng địa điểm
6 Thiết lập độ ưu tiên và tính sẵn sàng in
1 Cài đặt 2 máy in bất kỳ, chia sẻ và phân quyền in ấn trên 2 máy in này a) Cài đặt máy in
Log on vào máy với tài khoản administrator
Start \Settings\ Printers and faxes
Chọn Local Printer, và chọn Next
Chọn port LPT1, và chọn Next
Chọn hãng sản xuất và chọn loại máy in, và chọn Next
Nhập tên cho printer, và chọn Next
Tên share cho printer, và chọn Next
Nhập tên địa điểm của máy in (ví dụ: HCM) vào khung Location, sau đó nhấn Next Khi cửa sổ hiện ra hỏi bạn có muốn in thử không, hãy chọn No và tiếp tục nhấn Next.
Click vào Finish để kết thúc, bạn đợi vài giây để hệ thống cài đặt
Tương tự, cài đặt printer thứ 2:
Chọn port LPT2, chọn cùng hãng HP và cùng loại máy in, đặt tên máy in là HP 2200
NEW, Share với tên là HP NEW, nhập địa điểm của máy in(nhập tên DN trong khung Location)
Hai Printers đã được cài trên máy b) Chia sẻ và phân quyền được in ấn :
Gán cho nhóm Administrators Manage printers, Manage documents và print
Xoá bỏ nhóm Everyone Đưa thêm nhóm KE TOAN vào ACL
Gán cho nhóm KE TOAN được quyền Print
Bây giờ chuyển qua làm permission cho printer HP 2200 Cách thực hiện tương tự như trên
Cho nhóm Everyone ra khỏi ACL Đưa nhóm NHAN SU vào ACL của printer HP 2200
Cho nhóm đó được quyền print
2 Tìm kiếm máy in trên mạng bằng địa điểm
Vào Active Directory Sites Users and Computers
Group policyObject Editor mở ra
Mở tính năng Pre-populate printer search location text
Và tính năng Printer browsing
Dùng lệnh Find để tìm printers Điền vào ô location
3 Thiết lập đọ ưu tiên và tính sẵn sàng in
Right click vào biểu tượng máy in HP 2200 chọn properties để cấu hình printer pool, vào thẻ Advanced để cấu hình:
Tương tự Right click vào biểu tượng máy in HP 2200 NEW chọn properties, vào thẻ
Advanced, thay đổi giá trị bằng 50 tại khung Priority thì khi in trên máy in này sẽ có độ ưu tiên chậm hơn so với máy in HP 2200.
BẢO MẬT MẠNG
Các khái niệm
- Trình bày được khái niệm về dịch vụ Proxy.
- Trình bày được phương thức hoạt động của dịch vụ Proxy.
- Trình bày được đặc điểm của dịch vụ Proxy.
1.1 Mô hình client server và một số khả năng ứng dụng
Mô hình client-server là chuẩn mực cho các ứng dụng mạng, trong đó máy tính client yêu cầu dịch vụ và máy tính server đáp ứng những yêu cầu đó Khái niệm client-server tương đối, cho phép một máy tính có thể đóng vai trò là client hoặc server tùy thuộc vào tình huống Thông thường, client là máy tính cá nhân, trong khi server là các máy tính cấu hình mạnh, chứa cơ sở dữ liệu và ứng dụng để phục vụ nhu cầu của client.
Hình 9.1: Mô hình client server và một số khả năng ứng dụng
Mô hình client-server hoạt động bằng cách server luôn ở trạng thái chờ yêu cầu từ các tiến trình client, có thể nằm trên cùng hệ thống hoặc trên các hệ thống khác kết nối qua mạng Tiến trình client thường được khởi tạo từ lệnh của người dùng, gửi yêu cầu đến server để nhận dịch vụ Server xác định tính hợp lệ của yêu cầu từ client, phục vụ và trả kết quả, sau đó tiếp tục chờ yêu cầu khác Các dịch vụ mà server cung cấp bao gồm dịch vụ thời gian, dịch vụ in ấn, dịch vụ file và thực thi các lệnh từ client.
Một kết nối được hiểu là liên kết truyền thông giữa các tiến trình Để xác định một kết nối, cần xem xét các thành phần sau: {Giao thức, địa chỉ cục bộ, tiến trình cục bộ, địa chỉ từ xa, tiến trình từ xa}.
Trong mạng máy tính, địa chỉ local-addr và remote-addr đại diện cho địa chỉ của các máy địa phương và máy từ xa Để xác định vị trí tiến trình trên mỗi hệ thống, ta sử dụng local-process và remote-process Một nửa kết nối được định nghĩa là {Protocol, local-addr, local-process} và {Protocol, remote-addr, remote-process}, hay còn gọi là socket Địa chỉ IP giúp xác định máy, nhưng để phân biệt giữa các tiến trình ứng dụng đang chạy trên cùng một máy, mỗi tiến trình được gán một số hiệu cổng Giao thức TCP sử dụng 16 bit để định danh cổng, với số hiệu cổng từ 1-1023 dành cho các tiến trình chuẩn (ví dụ, FTP sử dụng cổng 21, dịch vụ web sử dụng cổng 80, và SMTP sử dụng cổng 25), trong khi số hiệu cổng từ 1024-65535 được dành cho các ứng dụng của người dùng.
1.3 Phương thức hoạt động và đặc điểm của dịch vụ Proxy
Dịch vụ proxy được thiết lập để hỗ trợ kết nối từ các máy tính trong mạng riêng ra Internet, giúp giải quyết vấn đề thiếu hụt địa chỉ IP khi khách hàng đăng ký dịch vụ internet Với nhu cầu kết nối mà không cần thay đổi cấu trúc mạng hiện tại, dịch vụ proxy cho phép gia tăng hiệu suất mạng thông qua một kết nối Internet duy nhất, đồng thời kiểm soát thông tin ra vào và ghi lại dữ liệu truy cập của người dùng Hoạt động dựa trên mô hình client-server, dịch vụ proxy đáp ứng đầy đủ các yêu cầu về quản lý và bảo mật kết nối mạng.
Hình 9.2: Sơ đồ Phương thức hoạt động của dịch vụ proxy
Khi một khách hàng yêu cầu một đối tượng trên Internet, proxy server sẽ tiếp nhận yêu cầu và kiểm tra tính hợp lệ cũng như thực hiện xác thực khách hàng Nếu tất cả điều kiện được thỏa mãn, proxy server sẽ gửi yêu cầu đến server trên Internet Cuối cùng, server này sẽ trả lại đối tượng yêu cầu cho proxy server.
1 Proxy server gửi trả đối tượng về cho client
Có thể thiết lập proxy server cho nhiều dịch vụ như truyền file, web và thư điện tử Mỗi dịch vụ yêu cầu một proxy server riêng biệt để đáp ứng các yêu cầu cụ thể từ các client.
Hình 9.3: Sơ đồ Proxy server gửi trả đối tượng về cho client
Các client được tổ chức trong một cấu trúc mạng gọi là mạng trong (Inside network) hay mạng dùng riêng IANA (Internet Assigned Numbers Authority) đã phân bổ 3 khoảng địa chỉ IP cho các mạng dùng riêng, tương ứng với 3 lớp mạng tiêu chuẩn.
Các địa chỉ IP này được sử dụng cho các client trong mạng riêng và không được gán cho bất kỳ máy chủ nào trên Internet Khi thiết kế và cấu hình mạng riêng, việc sử dụng các khoảng địa chỉ IP này là rất được khuyến nghị.
Proxy Server là một giải pháp kết nối mạng riêng với Internet toàn cầu, cho phép các máy tính trong mạng truy cập tài nguyên từ Internet Nó cải thiện khả năng kết nối của các máy tính trong mạng riêng bằng cách tập hợp các yêu cầu truy cập Internet và trả lại kết quả cho máy tính đã gửi yêu cầu ban đầu.
1.4 Cache và các phương thức cache
Để nâng cao khả năng truy cập Internet từ các máy tính trạm trong mạng sử dụng dịch vụ proxy, các phương thức cache được áp dụng Dịch vụ proxy lưu trữ bản sao của các đối tượng đã được truy cập trước đó trong cache, giúp cải thiện hiệu suất truy cập và giảm tải lưu lượng trên kết nối Internet Mặc dù hầu hết các đối tượng như hình ảnh và tệp tin có thể được lưu trữ, một số đối tượng như yêu cầu xác thực và sử dụng SSL không được cache Khi một máy tính trạm gửi yêu cầu tới proxy server, server sẽ tìm kiếm trong cache để trả về kết quả thay vì kết nối trực tiếp đến địa chỉ yêu cầu Tuy nhiên, một thách thức là khi các đối tượng trong cache thay đổi từ nguồn, thông tin trả về có thể không còn chính xác Để khắc phục vấn đề này, cần thiết lập các chính sách để đảm bảo các đối tượng trong cache được cập nhật thường xuyên.
Hình 9.4: mô tả proxy server xử lý các yêu cầu của người dùng
1 Client 1 yêu cầu một đối tượng trên mạng Internet
Proxy server kiểm tra xem đối tượng có trong cache hay không Nếu đối tượng không có trong cache, proxy server sẽ gửi yêu cầu đến máy chủ trên Internet để lấy dữ liệu.
3 Server trên Internet gửi đối tượng yêu cầu về cho proxy server
4 proxy server giữ bản copy của đối tượng trong cache của nó và trả đối tượng về cho client1
5 Client 2 gửi một yêu cầu về đối tượng tương tự
Proxy server có khả năng cung cấp nội dung cho client từ cache của nó thay vì từ Internet, giúp tiết kiệm băng thông và tăng tốc độ truy cập Bằng cách triển khai dịch vụ proxy, chúng ta có thể quảng bá các server trong mạng riêng ra ngoài Internet Khi có yêu cầu từ client, proxy server có thể hoạt động như một server bên ngoài, đáp ứng các yêu cầu từ nội dung web đã được lưu trữ trong cache Chỉ khi cache không đủ để phục vụ yêu cầu, proxy server mới chuyển tiếp yêu cầu đến server gốc.
Triển khai dịch vụ proxy
- Lựa chọn được mô hình mạng để triển khai dịch vụ Proxy.
- Cài đặt được dịch vụ Proxy.
2.1 Các mô hình kết nối mạng Đối tượng phục vụ của proxy server khá rộng, từ mạng văn phòng nhỏ, mạng văn phòng vừa tới mạng của các tập đoàn lớn Với mỗi quy mô tổ chức sẽ có một cấu trúc mạng sử dụng proxy server cho phù hợp Sau đây chúng ta sẽ xem xét một số mô hình cơ bản đối với mạng cỡ nhỏ, mạng cỡ trung bình và mạng tập đoàn lớn Trong đó chúng ta sẽ đi sâu vào mô hình thứ nhất dành cho mạng văn phòng nhỏ bởi nó phù hợp quy mô tổ chức của các công ty vừa và nhỏ tại Việt nam
Mô hình mạng văn phòng nhỏ :
- Bao gồm một mạng LAN độc lập
- Sử dụng giao thức IP
Kết nối Internet có thể thực hiện qua đường thoại, sử dụng các phương thức như quay dial-up hoặc công nghệ ADSL, hoặc thông qua đường trực tiếp với Leased Line.
- ít hơn 250 máy tính trạm Mô hình kết nối mạng như hình vẽ:
Hình 9.5: Mô hình kết nối mạng
Theo mô hình này, với mỗi phương thức kết nối Internet Proxy server sử dụng 02 giao tiếp như sau:
- Kết nối Internet bằng đường thoại qua mạng PSTN:
• 01 giao tiếp với mạng nội bộ thông qua card mạng
• 01 giao tiếp với Internet thông qua Modem
- Kết nối Internet bằng đường trực tiếp (Leased Line)
• 01 giao tiếp với mạng nội bộ thông qua card mạng
Giao tiếp với Internet được thực hiện thông qua card mạng khác, trong đó bảng địa chỉ nội bộ (LAT - Local Address Table) được tạo ra dựa trên danh sách địa chỉ IP của mạng nội bộ.
Mô hình kết nối mạng cỡ trung bình Đặc trưng của mạng văn phòng cỡ trung bình như sau:
- Văn phòng trung tâm với một vài mạng LAN
- Mội văn phòng chi nhánh có một mạng LAN
- Sử dụng giao thức IP
- Kết nối bằng đường thoại từ văn phòng chi nhánh tới văn phòng trung tâm
- Kết nối Internet từ văn phòng trung tâm tới ISP bằng đường thoại hoặc đường trực tiếp (Leased Line)
Trong mô hình mạng với ít hơn 2000 máy tính trạm, văn phòng chi nhánh sử dụng máy chủ Proxy để quản lý kết nối và kiểm soát truy cập, đồng thời cung cấp khả năng lưu trữ thông tin nội bộ Tại văn phòng trung tâm, một số máy chủ Proxy hoạt động theo kiến trúc mảng, đảm bảo an ninh cho toàn mạng, hỗ trợ lưu trữ thông tin phân tán và kết nối Internet hiệu quả.
Hình 9.6: Mô hình kết nối mạng tập đoàn lớn
Mạng của các tập đoàn lớn có đặc trưng như sau:
- Văn phòng trung tâm có nhiều mạng LAN và có mạng trục LAN
- Có vài văn phòng chi nhánh, mỗi văn phòng chi nhánh có một mạng LAN
- Sử dụng giao thức mạng IP
- Kết nối bằng đường thoại từ các văn phòng chi nhánh tới văn phòng trung tâm
- Kết nối Internet từ văn phòng trung tâm tới ISP bằng đường đường trực tiếp (Leased Line)
- Có nhiều hơn 2000 máy tính trạm
Mô hình mạng như hình dưới đây:
Theo mô hình này, các văn phòng chi nhánh được cấu hình tương tự như các văn phòng cỡ trung bình Khi yêu cầu kết nối Internet không được đáp ứng bởi cache nội bộ tại máy chủ Proxy của văn phòng chi nhánh, chúng sẽ được chuyển tới một loạt máy chủ Proxy tại văn phòng trung tâm Tại đây, các máy chủ Proxy sử dụng hai giao tiếp mạng, trong đó một card mạng kết nối với mạng trục LAN và một card mạng kết nối với mạng LAN thành viên.
Hình 9.7: mô hình mạng LANcác văn phòng cỡ trung bình
2.2 Thiết lập chính sách truy cập và các qui tắc
Proxy server có thể được thiết lập để đảm bảo bảo mật và hiệu suất hoạt động bằng cách áp dụng các quy tắc truy cập cho người dùng, máy tính và ứng dụng Các quy tắc này bao gồm chính sách truy cập, quản lý băng thông, chính sách quảng bá, lọc gói và định tuyến Khi một client trong mạng gửi yêu cầu, proxy server sẽ kiểm tra các quy tắc để quyết định xem yêu cầu có được chấp nhận hay không Tương tự, khi một client bên ngoài gửi yêu cầu tới server trong mạng, proxy server cũng thực hiện kiểm tra quy tắc để xác định tính hợp lệ của yêu cầu.
Chính sách truy nhập có thể được thiết lập thông qua proxy server, bao gồm các qui tắc về giao thức và nội dung Qui tắc giao thức xác định các giao thức cho phép thông tin giữa mạng nội bộ và Internet, được xử lý ở mức ứng dụng; ví dụ, qui tắc có thể cho phép Client sử dụng giao thức HTTP Trong khi đó, qui tắc về nội dung quy định các nội dung mà Client có thể truy cập trên các trang web nhất định, cũng được xử lý ở mức ứng dụng.
Ví dụ một qui tắc về nội dung có thể cho phép các client truy nhập tới bất kỳ địa chỉ nào trên Internet
Qui tắc băng thông xác định quyền ưu tiên cho các kết nối mạng, với việc proxy server thường không giới hạn băng thông Nó cũng chỉ ra chất lượng dịch vụ (QoS) được cấp phát cho các kết nối mạng Những kết nối không có qui tắc băng thông sẽ nhận được quyền ưu tiên ngầm định, trong khi các kết nối có qui tắc băng thông sẽ được ưu tiên hơn.
Các quy tắc về chính sách quảng bá cho phép sử dụng proxy server để thiết lập các quy tắc quảng bá server và web Những quy tắc này lọc tất cả các yêu cầu từ client bên ngoài internet đến các server trong mạng, đảm bảo rằng các yêu cầu được chuyển đến các server phù hợp phía sau proxy Đặc tính lọc gói của proxy server giúp kiểm soát luồng các gói IP đi và đến, với khả năng loại bỏ mọi gói trên giao diện bên ngoài trừ khi chúng được cho phép thông qua bộ lọc gói IP hoặc chính sách truy cập động.
Qui tắc định tuyến và cấu hình chuỗi proxy (chaining) là quy tắc cuối cùng được áp dụng nhằm định tuyến các yêu cầu của client đến một server cụ thể, phục vụ hiệu quả cho các yêu cầu này.
2.2.2 Xử lý các yêu cầu đi
Proxy server đóng vai trò quan trọng trong việc kết nối mạng riêng với Internet, đồng thời bảo vệ mạng khỏi các nội dung độc hại Để quản lý kết nối hiệu quả, proxy server giúp thiết lập chính sách truy cập, cho phép các client truy cập vào các server cụ thể trên Internet Chính sách truy cập kết hợp với các quy tắc định tuyến sẽ xác định cách thức mà các client có thể truy cập Internet.
Khi một yêu cầu được gửi đến proxy server, nó sẽ kiểm tra các quy tắc định tuyến, quy tắc nội dung và quy tắc giao thức để xác định xem việc truy cập có được phép hay không Yêu cầu chỉ được chấp nhận nếu tất cả các quy tắc đều cho phép và không có quy tắc nào từ chối yêu cầu đó Ngoài ra, một số quy tắc có thể được thiết lập cho các client cụ thể, với việc xác định client thông qua địa chỉ IP hoặc tên người dùng.
Proxy server xử lý yêu cầu của client theo nhiều cách khác nhau, tùy thuộc vào loại yêu cầu và cấu hình của nó Các quy tắc được áp dụng theo thứ tự: quy tắc giao thức, quy tắc nội dung, lọc gói IP, quy tắc định tuyến và cấu hình chuỗi proxy.
2.2.3 Xử lý các yêu cầu đến
Proxy server được thiết lập để đảm bảo an toàn cho các Server nội bộ khi truy cập từ các client bên ngoài Nó cho phép xây dựng chính sách quảng bá an toàn cho các Server trong mạng, bao gồm bộ lọc gói IP, qui tắc quảng bá Web, qui tắc quảng bá Server và qui tắc định tuyến Những chính sách này quyết định cách thức quảng bá các Server Khi nhận yêu cầu từ client bên ngoài, proxy server sẽ kiểm tra các bộ lọc và qui tắc liên quan để xác định xem yêu cầu có được thực hiện hay không và Server nào sẽ xử lý yêu cầu đó.
2.3 Proxy client và các phương thức nhận thực
Chính sách truy nhập và quy tắc quảng bá của Proxy server có thể được cấu hình để cho phép hoặc từ chối nhóm máy tính hoặc người dùng truy cập vào một server cụ thể Khi áp dụng quy tắc cho từng người dùng, Proxy server sẽ kiểm tra các đặc tính yêu cầu để xác định cách thức nhận thực người dùng Các thông số cho yêu cầu thông tin đi và đến có thể được thiết lập, yêu cầu người dùng phải được Proxy server nhận thực trước khi các quy tắc được xử lý Điều này đảm bảo rằng chỉ những yêu cầu đã được xác thực mới được phép Ngoài ra, bạn có thể thiết lập các phương pháp nhận thực khác nhau cho các yêu cầu đi và đến.
2.3.1 Phương pháp nhận thực cơ bản