Chia sẻ thư mục, Thực hiện cấp quyền sử dụng, Hệ thống quản lý quyền của Windows, Quyền Basic, quyền Advanced, Quyền cho phép (Allow) và quyền từ chối (Deny), Kế thừa quyền, Cơ chế tác động của các quyền, Thực hành cấp quyền chia sẻ, Quyền NTFS, Cấp quyền NTFS basic, Cấp quyền NTFS Advanced, Kết hợp giữa quyền chia sẻ và quyền NTFS, Cấu hình Volume Shadow Copies, Cấu hình Quota, Cấu hình Work Folders
Cài đặt cấu hình Windows Server 2012 R2 Quản lý tập tin, in ấn, truy cập từ xa - Server 2012 R2 Lê Gia Công Cài đặt cấu hình Windows Server 2012 R2 Nội dung Chương Quản lý tập tin, in ấn truy cập từ xa 2.1 Quản lý chia sẻ tập tin Chia sẻ thư mục Thực cấp quyền sử dụng Hệ thống quản lý quyền Windows Quyền Basic, quyền Advanced 10 Quyền cho phép (Allow) quyền từ chối (Deny) 11 Kế thừa quyền 12 Cơ chế tác động quyền 12 Thực hành cấp quyền chia sẻ 13 Quyền NTFS 15 Cấp quyền NTFS basic 16 Cấp quyền NTFS Advanced 17 Kết hợp quyền chia sẻ quyền NTFS 17 Cấu hình Volume Shadow Copies 18 Cấu hình Quota 20 Cấu hình Work Folders 21 Tóm tắt nội dung 24 Câu hỏi ôn tập 24 2.2 Cấu hình dịch vụ in ấn 25 Triển khai print server (server phục vụ in ấn) 25 Chia sẻ printer 31 Quản lý driver printer 32 Sử dụng Easy Print 32 Cấu hình bảo mật printer 33 Quản lý tài liệu in 34 Quản lý printer 35 Sử dụng role Print and Document Services 36 Cài đặt cấu hình Windows Server 2012 R2 Cài đặt printer cho người dùng Group Policy 39 Tóm tắt nội dung 40 Câu hỏi ôn tập 40 2.3 Quản lý server từ xa 42 Quản lý server từ xa Server Manager 42 Kết nối tới server 42 Quản lý server chưa gia nhập domain 43 Quản lý server chạy Windows Server 2012 R2 44 Quản lý server phiên cũ 46 Tạo nhóm cho server 48 Sử dụng Remote Server Administration Tools 49 Làm việc với server từ xa 49 Tóm tắt nội dung 49 Câu hỏi ôn tập 50 Cài đặt cấu hình Windows Server 2012 R2 Chương Quản lý tập tin, in ấn truy cập từ xa Chương đề cập tới số dịch vụ bản, sử dụng nhiều máy server Các dịch vụ là: - Quản lý chia sẻ tập tin - Quản lý in ấn - Truy cập từ xa 2.1 Quản lý chia sẻ tập tin Một công việc quan trọng hàng ngày người quản trị quản lý việc lưu trữ tập tin người dùng quản lý việc truy cập đến tập tin Hệ thống Windows không cho phép chia sẻ tập tin Vì vậy, để chia sẻ tập tin, bạn tạo thư mục, bỏ tập tin vào tiến hành chia sẻ thư mục Chia sẻ thư mục Chia sẻ thư mục làm cho người dùng mạng sử dụng thư mục Sau thực xong cơng việc cấu hình đĩa cứng máy lưu trữ liệu (file server), bạn phải thực cấu hình chia sẻ người mạng sử dụng đĩa cứng Trước cấu hình chia sẻ, bạn phải chuẩn bị trước thứ sau: - Các thư mục chia sẻ - Tên để đặt cho thư mục chia sẻ - Các quyền cấp cho người dùng - Các thiết lập cho chế độ làm việc ngoại tuyến (offline file) liên quan đến liệu chia sẻ Trong Windows Server 2012 R2, để thực chia sẻ, mở chương trình quản lý tập tin (ví dụ: File Explorer), bấm chuột phải vào thư mục cần chia sẻ (lưu ý: tài khoản sử dụng phải có quyền chia sẻ), chọn mục Share with, chọn Specific People, cửa sổ File Sharing xuất Cài đặt cấu hình Windows Server 2012 R2 Nếu bạn người tạo thư mục (creator owner), để thực chia sẻ, bấm chuột phải vào thư mục cần chia sẻ, chọn Properties, chọn táp Sharing, bấm Share… Ở cửa sổ File Sharing, bạn thực hai thiết lập là: lựa chọn người phép sử dụng thư mục chia sẻ này, quyền tương ứng cho người Để cho phép người dùng có quyền truy cập thư mục chia sẻ, nhập tên người dùng tên nhóm, bấm nút Add, hệ thống tự động kiểm tra xem tên có tồn hệ thống mạng hay khơng? Nếu tên khơng tồn tại, hệ thống báo lỗi Cũng nhập người dùng cách bấm vào dấu mũi tên (cạnh chữ Add), chọn Find people…, cửa sổ Select Users or Groups xuất Cài đặt cấu hình Windows Server 2012 R2 Bấm Advanced…, hệ thống yêu cầu chứng thực tài khoản phép quản trị hệ thống (ví dụ: administrator), cửa sổ Select Users or Groups xuất thêm số nút mới, bấm nút Find Now, chọn người dùng nhóm, bấm OK, OK Để thiết lập quyền cho người dùng, cửa sổ File Sharing, chọn người dùng bất kì, cột Permision Level, bấm dấu mũi tên (hình tam giác), chọn quyền đọc (Read), đọc ghi (Read/Write), không cho truy cập (Remove) Để thực thiết lập khác liên quan đến chia sẻ, bấm chuột phải vào thư mục cần chia sẻ, chọn Properties, chọn táp Sharing, chọn Advanced Sharing để mở cửa sổ Advanced Sharing Chức File and Storage Services Server Manager cho phép bạn cấu hình chia sẻ đĩa cứng server mạng Cài đặt cấu hình Windows Server 2012 R2 Windows Server 2012 R2 hỗ trợ hai hình thức chia sẻ thư mục: - Server Message Blocks (SMB): giao thức chia sẻ tập tin phổ biến, sử dụng phiên Windows - Network File System (NFS): giao thức chia sẻ tập tin phổ biến, dùng dòng hệ điều hành UNIX, Linux Khi cài đặt Windows Server 2012 R2, hệ thống cài đặt sẵn dịch vụ để hỗ trợ hai kiểu chia sẻ Hai dịch vụ nằm role File and Storage Services gồm: Storage Services File Server Các bước để thực chia sẻ thư mục Server Manager: Trong Server Manager, chọn File and Storage Services khung bên trái để mở trình đơn con, chọn Shares, khung SHARES xuất Trong khung SHARES, chọn TASKS, chọn New Share, cửa sổ New Share Wizard xuất Lựa chọn tùy chọn cửa sổ Select The Profile For This Share: - SMB Share – Quick: cung cấp chức chia sẻ dựa SMB với đầy đủ quyền NTFS quyền chia sẻ - SMB Share – Advanced: cung cấp chức chia sẻ dựa SMB với đầy đủ quyền NTFS quyền chia sẻ Cho phép sử dụng dịch vụ cung cấp File Server Resource Manager - SMB Share – Applications: cung cấp chức chia sẻ dựa SMB với thiết lập tương thích với Hyper-V ứng dụng khác - NFS Share – Quick: cung cấp chức chia sẻ dựa NFS với chế chứng thực phân quyền Cài đặt cấu hình Windows Server 2012 R2 - NFS Share – Advanced: cung cấp chức chia sẻ dựa NFS với chế chứng thực phân quyền Cho phép sử dụng dịch vụ cung cấp File Server Resource Manager Bấm Next để mở cửa sổ Select The Server And Path For This Share Chọn Server, volume để chia sẻ thư mục hệ thống thiết lập sẵn đường dẫn tới thư mục cần chia sẻ Bấm Next để mở sổ Specify Share Name Nhập tên hiển thị thư mục chia sẻ Bấm Next để mở cửa sổ Configure Share Settings Lựa chọn thêm tùy chọn sau (có thể chọn tất cả): - Enable Access-Based Enumeration: liệt kê thư mục mà người dùng phép truy cập - Allow Caching Of Share: cho phép người dùng làm việc theo kiểu ngoại tuyến (offline file) – chép xuống máy người dùng - Enable BranchCache On The File Share: cho phép server BranchCache lưu tập tin người dùng truy cập - Encrypt Data Access: server mã hóa tập tin người dùng truy cập từ xa Bấm Next để chuyển sang cửa sổ Specify Permissions To Control Access Chỉnh lại quyền chia sẻ quyền NTFS (NTFS permission) theo nhu cầu sử dụng, bấm Next để chuyển sang cửa sổ Comfirm Seclections 10 Bấm Create, hệ thống thực chia sẻ mở cửa sổ View Results 11 Bấm Close để kết thúc Cài đặt cấu hình Windows Server 2012 R2 Sau tạo, chia sẻ xuất khung SHARES, mục Shares, Server Manager Để quản lý chia sẻ này, bạn việc bấm chuột phải vào chia sẻ, chọn Properties Nếu không muốn chia sẻ, chọn Stop Sharing Thực cấp quyền sử dụng Cũng hệ điều hành Windows Server khác, bạn sử dụng Windows Server 2012 R2 để quản lý việc sử dụng thư mục, tập tin máy lưu trữ liệu (file server) Người dùng mạng bị kiểm soát trình truy cập sử dụng, nhằm bảo vệ an tồn liệu Để kiểm sốt việc truy cập sử dụng, Windows Server 2012 R2 có chế cấp quyền sử dụng (permission) (từ gọi tắt cấp quyền) cho người dùng tất tài nguyên Cấp quyền việc cung cấp cho người dùng, nhóm người dùng máy tính quyền thao tác cụ thể tài nguyên mạng Tài nguyên mạng tập tin, thư mục, máy in…v.v Ví dụ, cho phép người dùng A phép xem nội dung tập tin, khơng cho phép họ sửa xóa tập tin Với thư mục, chia sẻ, Windows có hai hệ thống để kiểm sốt việc sử dụng người dùng mạng, hệ thống kiểm soát việc sử dụng tài nguyên chia sẻ, gọi tắt quyền chia sẻ (share permission) hệ thống kiểm soát việc sử dụng tài nguyên hệ thống NTFS, gọi tắt quyền NTFS (NTFS permission) - Quyền chia sẻ: kiểm soát việc truy cập sử dụng người dùng mạng, để truy cập sử dụng tập tin mạng (tất nhiên chia sẻ), người dùng phải có quyền chia sẻ, quyền chia sẻ phải phù hợp với quyền NTFS (nếu tập tin nằm ổ đĩa định dạng theo NTFS) Ví dụ, người dùng A có quyền chia sẻ Read, phải có quyền NTFS Read, thực quyền Read tài nguyên - Quyền NTFS: kiểm soát việc truy cập sử dụng tài nguyên volume đĩa cứng Quyền có volume định dạng NTFS Để truy cập tới tập tin bất kì, dù máy cụ hay mạng, người dùng phải có quyền NTFS phép truy cập sử dụng tập tin Cụ thể, với tập tin đĩa cứng, bạn người dùng cục bộ, bạn khơng cần quyền chia sẻ, bắt buộc bạn phải có quyền NTFS phép truy cập sử dụng tập tin Các hệ thống kiểm soát quyền thường hoạt động độc lập, đơi có kết hợp với để tăng thêm an toàn cho liệu Như vậy, người dùng mạng muốn truy cập sử dụng tập tin volume NTFS, người dùng phải có quyền chia sẻ quyền NTFS Nghĩa là, người quản trị phải cấp quyền cho người dùng hai nơi: chia sẻ NTFS Hệ thống quản lý quyền Windows Để quản lý quyền, Windows sử dụng ACL (Access Control List: danh sách kiểm sốt sử dụng) ACL cơng cụ để kiểm soát việc truy cập sử dụng tài nguyên Mỗi tài nguyên có ACL kèm ACL chứa quyền truy cập sử dụng người dùng, nhóm người dùng (gọi chung người dùng) Một ACL gồm nhiều ACE (Access Control Entry: danh mục kiểm soát sử dụng) Cài đặt cấu hình Windows Server 2012 R2 Một ACE gồm tên người dùng quyền người dùng Khi thực cấp quyền, hệ thống Windows tạo ACE Khi thực thay đổi quyền, nội dung ACE liên quan ACL cập nhật Cũng hệ điều hành Windows Server trước đây, Windows Server 2012 R2, bạn quản lý quyền chia sẻ quyền NTFS, cách bấm chuột phải vào thư mục cần quản lý quyền, chọn Properties, chọn táp Sharing để quản lý quyền chia sẻ, chọn táp Security để quản lý quyền NTFS Lưu ý: Windows không cho phép chia sẻ tập tin, muốn chia sẻ tập tin, cần tạo thư mục đặt tập tin vào Ví dụ, hình trên, mục Group or user names: danh sách người dùng, nhóm người dùng phép truy cập sử dụng tài nguyên có tên DungChung Ứng với lựa chọn mục danh sách quyền tương ứng mục Permissions for (tên người dùng, nhóm) Bạn quản lý việc truy cập sử dụng tài nguyên công cụ Server Manager, nhiên, giao diện có khác chút Quyền Basic, quyền Advanced Cơ chế sử dụng quyền để bảo vệ tập tin không giống với bảo vệ phịng ổ khóa Với ổ khóa, bạn khơng có chìa khóa, bạn khơng làm gì; bạn có chìa khóa, bạn có tồn quyền sử dụng thứ phòng Tuy nhiên, để quản lý linh hoạt hơn, hệ thống quyền NTFS chia thành nhiều mức độ khác nhau, thực cấp quyền, bạn cấp cho người dùng mức độ khác Hệ thống NTFS gồm hai loại quyền: basic advanced - Quyền advanced: quyền sử dụng chia theo nhiều mức độ khác 10 Cài đặt cấu hình Windows Server 2012 R2 - Print Server: cài đặt Print Management cho MMC, cho phép người quản trị thực cài đặt, giám sát, quản lý printer toàn hệ thống mạng - Distributed Scan Server: cho phép máy tính nhận kết trả từ máy scanner mạng gửi chúng tới người sử dụng - Internet Printing: tạo website cho phép người dùng Internet in printer chia sẻ (chạy Windows) - LPD Service: cho phép người dùng UNIX chạy chương trình LPR (Line Printer Remote) dùng printer Windows Sau cài đặt xong role Print And Document Services, khung bên trái cửa sổ Server Manager có mục Print Services Bấm vào mục Print Services để xem trạng thái, kiện, liên quan đến in ấn Print Management công cụ sử dụng để quản lý thành phần liên quan đến in ấn tồn mạng Cơng cụ cho phép bạn quản lý tất hàng đợi, quản lý tất printer, cài đặt printer cho người dùng Group Policy, theo dõi thiết bị in Windows Server 2012 R2 tự động cài đặt Print Management bạn cài đặt role Print And Document Services Bạn cài đặt Print Management mà không cần cài đặt role Print And Document Services cách: mở Sever Manager, vào trình đơn Manage, chọn Add Roles and Features, bấm Next, Next, Next, Next, chọn Remote Server Administration Tools, chọn Role Administration Tools, chọn Print And Document Services Tools Phần sau trình bày số tác vụ liên quan đến chức Print Management Thêm print server Ở chế độ mặc định, Print Management hiển thị print server máy cục Một print server gồm có bốn mục hình bên dưới, gồm: drivers, forms, ports, printers thuộc server Để quản lý print server với printer nó, bạn phải đưa vào cửa sổ Print Management theo bước sau: 37 Cài đặt cấu hình Windows Server 2012 R2 Mở Server Manager, chọn trình đơn Tools, chọn Print Management để mở cửa sổ Print Management Ở khung bên trái, bấm chuột phải vào mục Print Server, chọn Add/Remove Servers để mở cửa sổ Add/Remove Servers Trong khung Specify print server, bấm vào nút Browse để mở cửa sổ Select Print Server Lựa chọn print server mà bạn quan tâm, bấm nút Select Server, đó, print server chọn xuất cửa sổ Add servers Bấm nút Add to List Server chọn xuất danh sách Print servers Bấm OK Server xuất nút Print Servers khung bên trái cửa sổ Print Management Đóng cửa sổ Print Management Bây bạn quan lý printer kèm với print server mà bạn vừa thực thêm vào Theo dõi printers Một nhiệm vụ khó khăn quản lý in ấn hệ thống mạng lớn phải đảm bảo trạng thái ln ln hoạt động hàng chục, chí hàng trăm thiết bị in Thiết bị in khơng hoạt động bị vấn đề sau: hư thiết bị quan trọng, hết mực, phải thay hộp mực, hết giấy, kẹt giấy, v.v Do vậy, người quản trị mạng cần phải xác định trục trặc, trước đưa giải pháp để khắc phục Print Management cung cấp nhiều lựa chọn để theo dõi thành phần liên quan đến hệ thống in ấn print server Để tiện theo dõi, hệ thống sử dụng lọc (filter) để tạo nhiều cách theo dõi thiết bị in Ở khung bên trái cửa sổ Print Management, có nút Custom Filters, bạn lựa chọn bốn kiểu để theo dõi: - All Printers: chứa danh sách tất printer có print server đưa vào Print Management - All Drivers: chứa danh sách tất driver printer cài đặt print server - Printers Not Ready: chứa danh sách tất printer trạng thái không sẵn sàng hoạt động - Printers With Jobs: chứa danh sách tất printer có tác vụ in nằm hàng đợi Ví dụ, dựa vào danh sách Printers Not Ready, bạn dễ dàng xác định printer gặp trục trặc, mà duyệt qua printer print server Ngoài ra, bạn tự xây dựng lọc khác để sử dụng Quản lý printers print servers Dựa vào trình theo dõi, bạn xác định printer cần quan tâm, đó, bạn xem xét trạng thái thời nó, số lượng tác vụ in nằm hàng đợi, printer thuộc print server Bạn bấm chuột phải vào nút Printers khung bên trái, chọn Show Extended View để mở nội dung hàng đợi, từ đây, bạn thực thao tác tác vụ nằm hàng đợi 38 Cài đặt cấu hình Windows Server 2012 R2 Print Management cho phép người quản trị thực cấu hình printer print server bất kì, người quản trị cần bấm chuột phải vào printer print server, chọn mục Properties, sau thực cấu hình mong muốn Như vậy, người quản trị tới trực tiếp kết nối từ xa tới máy print server để thao tác Cài đặt printer cho người dùng Group Policy Cấu hình cho phép người dùng truy cập sử dụng printer công việc đơn giản, bạn việc tìm kiếm printer mạng AD DS, sau lựa chọn printer phù hợp cho người dùng Tuy nhiên, phải thực cho hàng trăm hàng ngàn người dùng cơng việc trở nên phức tạp AD DS có cơng cụ giúp bạn thực dễ dàng việc cài đặt tự động printer cho nhiều người dùng Để cài đặt printer cho người dùng Group Policy, bạn cần xuất printer AD DS Xuất thực chất việc tạo đăng kí printer với AD DS, để người dùng tìm kiếm printer tên, vị trí, theo dịng máy Để tạo đăng kí printer, bạn đánh dấu chọn vào mục List In The Directory trình chia sẻ printer bấm chuột phải vào printer cửa sổ Print Management, chọn Manage Sharing, đánh dấu chọn vào mục List In Directory Bước tiếp theo, bạn cần phải tạo GPO, sau áp đặt (link) GPO lên domain, site OU AD DS Khi áp đặt GPO này, người dùng domain, site OU được kết nối tự động tới printer đăng nhập hệ thống (log on) Các bước thực cụ thể: Trong Print Management, bấm chuột phải vào printer mà bạn muốn cài đặt cho người dùng, chọn Deploy With Group Policy để mở cửa sổ Deploy With Group Policy Xem hình minh họa Bấm nút Browse để mở cửa sổ Browse For A Group Policy Object Lựa chọn GPO bạn muốn sử dụng để cài đặt printer cho người dùng, bấm OK GPO bạn chọn xuất mục GPO Name 39 Cài đặt cấu hình Windows Server 2012 R2 Lựa chọn hình thức cài đặt printer: theo người dùng (per user), theo máy (per machine), hay theo hai Bấm nút Add, GPO có kết hợp printer xuất bảng bên - Cài đặt printer theo người dùng: nghĩa là, người dùng chịu tác động GPO nhận kết nối mặc định tới printer, khơng quan tâm họ đăng nhập từ máy tính - Cài đặt printer theo máy tính: nghĩa là, máy tính chịu tác động GPO nhận kết nối mặc định tới printer, không quan tâm đăng nhập vào máy tính Bấm OK, xuất hộp thoại thông báo thao tác thành công Bấm OK, OK để tắt cửa sổ Deploy With Group Policy Đóng cửa sổ Print Management Từ đây, người dùng đăng nhập vào hệ thống, printer kết nối sẵn máy họ Tóm tắt nội dung - Trong Windows, hệ thống in ấn thường có bốn thành phần sau: thiết bị in (print device), máy in tượng trưng (printer), server quản lý in (print server), driver điều khiển (print driver) - Hệ thống in đơn giản bao gồm thiết bị in gắn trực tiếp với máy tính, bạn chia sẻ thiết bị in (thông qua printer) cho người dùng khác mạng - Với hệ thống có thiết bị in gắn trực tiếp vào mạng, người quản trị cần phải sử dụng thêm máy tính để làm print server - Remote Desktop Easy Print điều khiển (driver), cho phép người dùng chạy ứng dụng server (sử dụng remote desktop), chuyển xử lý liên quan đến in ấn máy - Quyền liên quan đến in ấn đơn giản so với quyền NTFS Nó gồm ba quyền cho phép in hay không, cho phép quản lý tài liệu (đang nằm hàng đợi) hay không cho phép quản lý printer hay không - Công cụ Print Management giúp người quản trị quản lý thành phần in ấn hệ thống mạng lớn Câu hỏi ôn tập Thuật ngữ sau nói thành phần giao tiếp mềm (software interface) Nó giúp máy tính giao tiếp với thiết bị in? A Printer B Print server C Printer driver D Print Management console Bạn thực cài đặt printer pool máy Windows Server 2012 R2 Printer pool gồm ba thiết bị in giống Bạn mở cửa sổ Properties printer, chọn táp Ports đánh dấu chọn mục Enable Printer Pooling Bước bạn phải thực là: 40 Cài đặt cấu hình Windows Server 2012 R2 A Cấu hình cổng LPT1 để hỗ trợ ba printer B Chọn tạo cổng phù hợp với kết nối ba printer C Trên táp Device Settings, cấu hình để hệ thống hỗ trợ thêm hai thiết bị in D Trên táp Advanced, cấu hình độ ưu tiên (priority) cho thiết bị in, nhằm chia công việc in ấn cho ba thiết bị Trong hệ thống mạng có thiết bị in không hoạt động được, bạn muốn người dùng tạm thời không phép gửi yêu cầu in tới printer nối với thiết bị Bạn thực hành động sau đây? A Ngưng việc chia sẻ printer B Gỡ printer khỏi Active Directory C Thay đổi cổng printer D Đổi tên chia sẻ printer Bạn quản trị máy print server chạy Windows Server 2012 R2 Người dùng thuộc nhóm Marketing cho biết, họ khơng thể in tài liệu sử dụng printer máy print server Bạn kiểm tra quyền printer thấy nhóm Marketing có quyền Manage Documents Phát biểu sau giải thích lý mà người dùng khơng thể in tài liệu? A Nhóm Everyone phải có quyền Manage Documents B Nhóm Administrator phải có quyền Manage Printer C Nhóm Marketing phải có quyền Print D Nhóm Marketing phải có quyền Manage Printers Bạn quản trị máy print server chạy Windows Server 2012 R2 Bạn muốn tiến hành bảo trì thiết bị in gắn trực tiếp với print server Tuy nhiên, có số tài liệu in nằm hàng đợi Bạn không muốn thiết bị in in tài liệu này, không muốn người dùng phải gửi lại yêu cầu in gửi tới hàng đợi Giải pháp sau tốt để giải tình này? A Mở cửa sổ Properties printer, chọn táp Sharing, chọn mục Do Not Share This Printer B Mở cửa sổ Properties printer, chọn táp Ports, chọn cổng mà khơng nối với thiết bị in C Mở cửa sổ hàng đợi printer, chọn tài liệu hàng đợi, thiết lập chế độ tạm dừng (pause) trình đơn Documents D Mở cửa sổ hàng đợi printer, chọn tạm dừng in (pause printing) trình đơn Printer 41 Cài đặt cấu hình Windows Server 2012 R2 2.3 Quản lý server từ xa Windows Server 2012 R2 thiết kế theo hướng hỗ trợ việc quản lý từ xa, vậy, người quản trị phải làm việc trực tiếp máy server Nhờ quản lý từ xa, server có nhiều tài nguyên để chạy ứng dụng, tiết kiệm thời gian cho người quản trị Quản lý server từ xa Server Manager Server Manager công cụ quản lý quan trọng hệ thống Windows Server, bắt đầu xuất Windows Server 2003 Tới Windows Server 2012 R2, có nhiều cải tiến để hỗ trợ công việc quản lý máy server mạng, server cục Trong Windows Server 2012 R2, đăng nhập vào máy server chế độ GUI, Server Manager chạy tự động Khung bên trái cửa sổ Server Manager chứa mục lớn, giúp người quản trị dễ dàng định vị tài nguyên, tác vụ cần quản lý Khi chọn mục này, nội dung liên quan hiển thị khung bên phải Kết nối tới server Một điểm khác biệt Server Manager Windows Server 2012 R2 phiên trước khả quản lý nhiều server lúc Server Manager cho phép kết nối tới server vật lý, server ảo, server chạy hệ điều hành từ Windows Server 2003 trở lên Server Manager cho phép chia server theo nhóm để tiện việc quản lý Có thể chia nhóm theo địa lý, theo chức Các bước để kết nối tới server: Mở Server Manager, chọn mục All Servers khung bên trái Chọn trình đơn Manage, chọn Add Servers để mở cửa sổ Add Servers Lựa chọn táp tương ứng để tìm kiếm server kết nối - Active Directory: cho phép tìm server miền AD DS - DNS: tìm server dựa vào DNS server - Import: cung cấp tên server dạng tập tin văn Hệ thống tìm kiếm nạp danh sách server từ tập tin văn bản, hiển thị server kết nối Lựa chọn server muốn kết nối, bấm chuột vào hình mũi tên phía phải để thêm server vào danh sách Selected 42 Cài đặt cấu hình Windows Server 2012 R2 Bấm OK Tên server thêm vào mục All Servers Đóng cửa sổ Server Manager Quản lý server chưa gia nhập domain Với server thành viên AD DS, nghĩa server thực việc gia nhập (join) vào domain, bạn sử dụng Server Manager để kết nối tới chúng, hệ thống sử dụng giao thức Kerberos tài khoản đăng nhập để chứng thực Nếu bạn muốn kết nối tới server mà chưa gia nhập vào domain thực chứng thực tài khoản hệ thống AD DS Do vậy, để kết nối quản lý server Server Manager, bạn cần thực cơng việc sau: - Phải có tài khoản với quyền quản trị hệ thống server (server mà bạn kết nối tới) - Đưa server vào danh sách WS-Management TrustedHosts Các bước để kết nối tới server: Mở Server Manager, chọn mục All Servers khung bên trái Chọn trình đơn Manage, chọn Add Servers để mở cửa sổ Add Servers Lựa chọn táp tương ứng để tìm kiếm server kết nối, trường hợp sử dụng hai phương pháp sau: - DNS: tìm server dựa vào DNS server - Import: cung cấp tên server dạng tập tin văn Hệ thống tìm kiếm nạp danh sách server từ tập tin văn bản, hiển thị server kết nối 43 Cài đặt cấu hình Windows Server 2012 R2 Lựa chọn server muốn kết nối, bấm chuột vào hình mũi tên phía phải để thêm server vào danh sách Selected Bấm OK Tên server thêm vào khung SERVERS mục All Servers Bấm chuột phải vào server vừa kết nối, chọn Manage As để mở cửa sổ Windows Security, nhập tài khoản có chức quản trị server Đối với máy tính thành viên domain, chúng tự động thiết lập tin cậy (trust relationship) với Tuy nhiên, máy tính không thành viên domain, bạn phải tự thiết lập tin cậy, thực cách đưa máy server vào danh sách TrustedHosts máy tính chạy Server Manager Danh sách TrustedHosts nằm ổ đĩa logic có tên WSMan:, đường dẫn danh sách là: WSMan:\localhost\Client\TrustedHosts 10 Để đưa máy tính vào danh sách, sử dụng lệnh Set-Item Windows PowerShell Chạy Windows PowerShell với quyền quản trị máy chạy Server Manager Nhập dòng lệnh sau: Set-Item WSMan:\localhost\Client\TrustedHosts –value -force Quản lý server chạy Windows Server 2012 R2 Sau kết nối tới server chạy Windows Server 2012 R2 Server Manager, bạn cài đặt role feature Add Roles and Features Wizard cho server Bạn thực cấu hình khác như: cấu hình Gộp cạc mạng (NIC teaming), khởi động lại server, Windows Remote Management (WinRM) bật mặc định hệ thống Windows Server 2012 R2 Cấu hình WinRM WinRM cho phép người quản trị quản lý máy tính từ xa công cụ dựa Windows Management Instrumentation (WMI) Windows PowerShell Bạn sử dụng Server Manager để thay đổi thiết lập WinRM Mở Server Manager, chọn mục Local Server cửa sổ bên trái, khung Properties cửa sổ bên phải, mục Remote Management cho biết trạng thái WinRM, mặc định Enable Để thay đổi trạng thái WinRM, bấm chuột vào trạng thái mục Remote Management (Enable) để mở cửa sổ Configure Remote Management Bỏ dấu chọn mục Enable Remote Management Of This Server From Other Computers để vô hiệu WinRM, đánh dấu chọn để bật lại chức Cấu hình Firewall Windows Từ cửa sổ Server Manager, bạn mở snap-in MMC máy tính từ xa, ví dụ Computer Management, bạn nhận thông báo lỗi, nghĩa Windows Server 2012 R2 máy tính từ xa bật chức tường lửa (Windows Firewall) Do MMC sử dụng Distributed Component Object Model (DCOM) để quản lý máy tính từ xa, không sử dụng WinRM, mà DCOM lại bị cấm mặc định tường lửa Để khắc phục lỗi này, bạn phải thay đổi sách tường lửa máy từ xa, cho phép (enable) dịch vụ sau phép vào (inbound): 44 Cài đặt cấu hình Windows Server 2012 R2 - COM+ Network Access (DCOM-In) - Remote Event Log Management (NP-In) - Remote Event Log Management (RPC) - Remote Event Log Management (RPC-EPMAP) Để thay đổi sách tường lửa máy từ xa, bạn sử dụng cách sau (thực trực tiếp máy cần thay đổi): - Mở snap-in MMC Windows Firewall with Advanced Security - Sử dụng mô đun NetSecurity Windows PowerShell - Tạo GPO với thiết lập thích hợp áp dụng GPO cho server cần thay đổi (có thể thực từ xa) - Chạy lệnh Netsh AdvFirewall từ cửa sổ dòng lệnh Phương pháp sử dụng GPO để cấu hình tường lửa thực từ xa, người quản trị không thiết phải thao tác trực tiếp server, thực server làm việc chế độ Server Core, cấu hình lần cho nhiều máy server Các bước thực (giả thiết server thuộc domain, cài đặt feature Group Policy Management): Trong Server Manager, mở Group Policy Management, tạo GPO mới, đặt tên bất kì, ví dụ: Server Firewall Configuration Chuột phải vào GPO vừa tạo khung bên trái, chọn Edit để mở cửa sổ Group Policy Management Editor Duyệt theo đường dẫn sau: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Inbound Rules Bấm chuột phải vào Inbound Rules, chọn New Rule để mở cửa sổ New Inbound Rule Wizard Chọn mục Predefined, xổ danh sách xuống, chọn COM+ Network Access bấm Next để mở trang Predefined Rules Bấm Next để mở trang Action Đánh dấu chọn vào mục Allow The Connection, bấm Finish Luật vừa tạo xuất phía phải cửa sổ Group Policy Management Editor Tiếp tục mở New Inbound Rule Wizard (bước 4) Chọn mục Predefined, xổ danh sách xuống, chọn Remote Event Log Management bấm Next để mở trang Predefined Rules 10 Trạng thái mặc định chọn ba luật, bạn để nguyên bấm Next để mở trang Action 11 Đánh dấu chọn vào mục Allow The Connection, bấm Finish Ba luật vừa tạo xuất phía phải cửa sổ Group Policy Management Editor 12 Đóng cửa sổ Group Policy Management Editor 13 Trong cửa sổ Group Policy Management, áp dụng (link) GPO Server Firewall Configuration vừa tạo cho domain OU (chuột phải vào tên domain OU, chọn Link an Existing GPO) 45 Cài đặt cấu hình Windows Server 2012 R2 14 Đóng cửa sổ Group Policy Management GPO bạn vừa tạo tác động toàn domain OU, vậy, máy tính server từ xa cập nhật GPO bạn sử dụng snap-in MMC Computer Management, Disk Management Quản lý server phiên cũ Trên hệ điều hành Windows phiên trước Windows Server 2012 R2, tường lửa Windows thiết lập mặc định để chặn việc quản lý từ xa Vì vậy, bạn phải thực để thay đổi thiết lập tường lửa máy WinRM phiên Windows Server trước Windows Server 2012 không hỗ trợ đầy đủ Vì vậy, bạn sử dụng Server Manager Windows Server 2012 R2 để kết nối tới Windows Server 2008 Windows Server 2008 R2, cột trạng thái (status) Server Manager có nội dung yêu cầu bạn phải kiểm tra, cập nhật WinRM 3.0, mở số dịch vụ tường lửa Để server chạy Windows Server 2008 Windows Server 2008 R2 hỗ trợ đầy đủ WinRM bạn phải tải cài đặt gói cập nhật sau: - NET Framework 4.0 - Windows Management Framework 3.0 Địa để tải về: - http://www.microsoft.com/en-us/download/details.aspx?id=17718 - http://www.microsoft.com/en-us/download/details.aspx?id=34595 Sau cập nhật, hệ thống tự động chạy dịch vụ Windows Remote Management, nhiên, bạn phải thực công việc sau máy từ xa: - Mở Windows Firewall, vào mục Inbound Rules, chuyển luật Windows Remote Management (HTTP-In) sang trạng thái bật (Enable - Yes) Xem hình minh họa - Tạo WinRM listener, cách chạy lệnh winrm quickconfig cửa sổ dòng lệnh với quyền quản trị hệ thống - Trong Windows Firewall, chuyển sang trạng thái bật (Enable) hai luật sau: COM+ Network Access Remote Event Log Management 46 Cài đặt cấu hình Windows Server 2012 R2 Tuy bạn thực tất cập nhật trên, hạn chế bạn sử dụng chức Add Roles And Features Wizard Server Manager để cài đặt role feature máy server từ xa dùng phiên cũ Cụ thể, trình Add Roles And Features Wizard, server không xuất mục Server pool cửa sổ Select Destination Server Dù vậy, bạn cài đặt từ xa role feature server chạy Windows Server 2008 Windows Server 2008 R2 Windows PowerShell Các bước thực sau: Mở Windows PowerShell với quyền quản trị hệ thống Thiết lập phiên làm việc với máy tính từ xa lệnh sau: Enter-PSSession -credential Nhập password user name bước trên, gõ phím Enter Để hiển thị danh sách role feature máy từ xa, sử dụng lệnh sau: Get-WindowsFeature Sử dụng dạng tên ngắn (cột Name) role service xuất lệnh GetWindowsFeature, để cài đặt thành phần sử dụng lệnh sau: Add-WindowsFeature Đóng phiên làm việc với máy từ xa lệnh sau: Exit-PSSession Đóng cửa sổ Windows PowerShell 47 Cài đặt cấu hình Windows Server 2012 R2 Tạo nhóm cho server Để quản trị hệ thống mạng lớn, bạn phải kết nối nhiều server vào Server Mananger Để tránh tình trạng phải làm việc với danh sách dài server, bạn nhóm server theo vị trí, theo chức theo tiêu chuẩn tùy ý Các bước để nhóm server: Trong Server Manager, chọn mục All Servers Trang quản lý All Servers xuất Từ trình đơn Manage, chọn Create Server Group để mở cửa sổ Create Server Group Xem hình minh họa Nhập tên cho nhóm server mục Server Group Name Lựa chọn bốn cách để chọn server Chọn server mà bạn muốn đưa vào nhóm, bấm nút hình tam giác để chuyển server chọn sang danh sách Selected Bấm OK, nhóm server vừa tạo xuất khung bên trái cửa sổ Server Manager Đóng cửa sổ Server Manager Việc tạo nhóm đơn giúp bạn thuận tiện việc định vị server, khơng ảnh hưởng đến thao tác bạn thực server (dù nhóm hay khơng) 48 Cài đặt cấu hình Windows Server 2012 R2 Sử dụng Remote Server Administration Tools Bạn sử dụng máy tính chạy Windows Server 2012 R2 để quản lý server từ xa, tất công cụ cần thiết cài đặt mặc định Tuy nhiên, người quản trị muốn sử dụng máy tính chạy hệ điều hành khác để quản lý server từ xa, họ phải tải cài đặt gói Remote Server Administration Tools Tải Microsoft Download Center, http://www.microsoft.com/download Gói Remote Server Administration Tools có msu Bạn cài đặt từ File Explorer, từ dịng lệnh thơng qua Software Distribution GPO Khi bạn chạy Server Manager máy vừa cài đặt Remote Server Administration Tools, khơng có sẵn local server remote server giao diện, vậy, bạn phải thực kết nối tay Mặc định Server Manager chứng thực tài khoản bạn đăng nhập hệ thống, vậy, để kết nối tới server tài khoản khác, bạn chuột phải vào server, chọn Manage As, nhập tài khoản Làm việc với server từ xa Khi bạn kết nối tới server từ xa Server Manager, bạn có nhiều cơng cụ để truy cập cấu hình Server Manager cung cấp ba cách để truy cập cấu hình server: - Contextual tasks: bạn bấm chuột phải vào server Server Manager, trình đơn xuất hiện, cung cấp cho bạn công cụ lệnh liên quan đến server Một số lệnh trực tiếp thực thi server từ xa, khởi động lại server, Windows PowerShell Một số lệnh triệu gọi công cụ máy cục bộ, từ cơng cụ chuyển hướng đến server từ xa, ví dụ snap-in MMC, Install Roles And Features Wizard Có số lệnh mục TASKS thuộc loại contextual tasks - Noncontextual task: lệnh nằm trình đơn Manage phía cửa sổ Server Manager, cung cấp lệnh có tính chất nội Server Manager, chạy Add Server Wizard, chạy Install Roles And Features Wizard, mở cửa sổ Server Manager Properties - Noncontextual tool: cơng cụ có trình đơn Tools, cung cấp phương tiện để truy cập tới chương trình mở rộng, ví dụ snap-in MMC, giao diện Windows PowerShell, chương trình thực trực tiếp máy cục Tóm tắt nội dung - Windows Server 2012 R2 thiết kế theo hướng hỗ trợ quản trị từ xa Do vậy, người quản trị phải thao tác trực tiếp máy server Điều giúp server có thêm tài nguyên (CPU, RAM) để chạy ứng dụng cần thiết khác - Khi bạn sử dụng Server Manager để kết nối tới server chạy Windows Server 2012 R2, bạn sử dụng Add Roles and Features Wizard để cài đặt role feature server 49 Cài đặt cấu hình Windows Server 2012 R2 - Mặc định, Windows Firewall Windows Server 2012 R2 phiên trước khơng cho phép chạy MMC từ xa Vì vậy, bạn phải thực cấu hình lại Windows Firewall phép chạy từ xa MMC - Để tiện cho việc quản lý nhiều server hệ thống mạng lớn, bạn nhóm server thành nhóm, nhóm theo vị trí, nhóm theo chức theo tiêu chuẩn - Bạn sử dụng Windows Server 2012 R2 để quản lý server xa tiện lợi, cơng cụ cài đặt mặc định Tuy nhiên, xu hướng quản trị Microsoft hạn chế việc tương tác trực tiếp máy server, thay vào sử dụng máy trạm để quản lý server xa Câu hỏi ôn tập Bạn phải thực công việc sau đây, trước bạn quản lý Windows Server 2012 R2 xa Computer Management snap-in? A Bật WinRM server xa B Kích hoạt luật (rule) COM+ Network Access server xa C Kích hoạt luật Remote Event Log Management server xa D Cài Remote Server Administration Tools server xa Để liệt kê luật Windows Firewall máy tính chạy Windows Server 2012 R2, sử dụng lệnh Windows PowerShell nào? (có thể chọn nhiều đáp án) A Get-NetFirewallRule B Set-NetFirewalRule C Show-NetFirewallRule D New-NetFirewallRule Công việc sau bạn thực từ xa, server xa chạy Windows Server 2008? A Cài đặt role Server Manager B Cài đặt role Windows PowerShell C Kết nối tới server xa Computer Management snap-in D Theo dõi kiện event log Server xa chạy Windows Server 2008, để kết nối tới server Server Manager từ Windows Server 2012 R2, bạn phải cập nhật gói nào? (chọn nhiều phương án) A .NET Framework 3.5 B .NET Framework 4.0 C Windows Management Framework 3.0 D Windows Server 2008 R2 50 Cài đặt cấu hình Windows Server 2012 R2 Khi bạn chạy Server Manager máy trạm Windows Remote Server Administrator Tools, mặc định, thành phần sau không hiển thị? A Daskboard B Trang quản lý Local Server C Trang quản lý All Servers D Trang Welcome lược dịch Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014 Đà Lạt, 2014/10/28 51 ... tập tin - Quản lý in ấn - Truy cập từ xa 2.1 Quản lý chia sẻ tập tin Một công việc quan trọng hàng ngày người quản trị quản lý việc lưu trữ tập tin người dùng quản lý việc truy cập đến tập tin... printer, chọn tạm dừng in (pause printing) trình đơn Printer 41 Cài đặt cấu hình Windows Server 2012 R2 2.3 Quản lý server từ xa Windows Server 2012 R2 thiết kế theo hướng hỗ trợ việc quản lý từ. .. tập 50 Cài đặt cấu hình Windows Server 2012 R2 Chương Quản lý tập tin, in ấn truy cập từ xa Chương đề cập tới số dịch vụ bản, sử dụng nhiều máy server Các dịch vụ là: - Quản lý