TỔNGQUANVỀ QUẢN TRỊMẠNGVỚIWINDOWSSERVER2003 1. Các khái niệm về Active Directory Dịch vụ thư mục: Hệ thống mạng nội bộ đầu tiên xuất hiện trong những năm đầu 1990 được tổ chức thành một nhóm các máy tính và được gọi là workgroup (nhóm làm việc). Một workgroup máy tính cho phép người dùng có thể phối hợp tốt hơn trong cùng 1 dự án khi cần chia sẻ tài nguyên như các văn bản và máy in. Và vì giá trị của việc sử dụng các hệ thống mạng dữ liệu ngày càng được khẳng định trong thế giới kinh doanh, các hệ thống mạng cũng trở nên lớn dần. Ngày nay một hệ thống mạng của các tổ chức doanh nghiệp thường có hàng ngàn nút mạng. Khi các hệ thống mạng ngày càng lớn dần, số lượng tài nguyên chia sẻ cũng nhiều hơn, và do đó ngày càng khó khăn trong việc định vị và tìm kiếm các tài nguyên. Một dịch vụ thư mục là một nguồn tài nguyên số hóa, mặc dù có thể thực hiện những chức năng không giống nhau nhưng đều chứa một danh sách tài nguyên có thể sử dụng trong một mạng dữ liệu. Một dịch vụ thư mục có thể chứa các thông tin về các máy tính trong mạng, các người dùng mạng và cả các thiết bị phần cứng, phần mềm. Bằng cách lưu trữ trong thư mục trung tâm, các tài nguyên này có thể được tất cả mọi người sử dụng ở mọi thời điểm. Active Directory (AD) là một trong những dịch vụ thư mục quảntrị hệ thống (Network - focused directories) phổ biến nhất được phát triển kèm theo hệ điều hành máy chủ WindowsServer của tập đoàn Microsoft. AD có thể nói là trung tâm quản lý hệ thống, quản lý hầu hết các tài nguyên, dịch vụ trong hệ thống từ tài khoản người dùng, máy chủ, máy trạm, môi trường làm việc đến các chính sách về hệ thống, chính sách an toàn bảo mật. Bên cạnh đó, AD hỗ trợ các cơ chế cho phép sẵn sàng bắt tay với các ứng dụng trên các nền hệ điều hành khác nhau. System Management Với hầu hết các tổ chức, việc quản lý các thông tin hệ thống đã trở thành nhu cầu tất yếu. Microsoft Systems Management Server (SMS) là một tiện ích được thiết kế để giúp tổ chức thuận tiện trong việc quản lý thông tin hệ thống. Với các tổ có số lượng máy chủ và máy trạm lớn thì việc sử dụng SMS để quản lý là rất thiết thực. SMS giúp ích cho người quảntrị rất nhiều, từ việc hỗ trợ và sửa chữa các máy tính cá nhân cho đến việc quản lý và phân tích các vấn đề gặp phải trong hệ thống mạng. Đây thường là những việc phức tạp và tiêu tốn rất nhiều thời gian nếu không có SMS. Hơn thế nữa, SMS còn cho phép phân phối và cài đặt phần mềm, cũng như là các Service Package hay Hotfix một cách tự động giúp tiết kiệm thời gian, tăng cường chất lượng dịch vụ và bảo đảm an ninh cho hệ thống. System Monitoring Microsoft Operation Manager (MOM) là giải pháp theo dõi, quảntrịserver nhằm nâng cao tính sẵn sàng, hiệu năng và mức độ an toàn bảo mật của các hệ thống mạng dựa trên nền Windows. MOM cung cấp khả năng quảntrị tập trung và tự động giải quyết sự cố cho các mạng có từ hàng chục đến hàng ngàn máy tính, đồng thời liên tục theo dõi các hoạt động của người sử dụng, các phần mềm ứng dụng, máy chủ và máy trạm chạy các hệ điều hành Windows 2000, Windows NT 4.0 trở lên. Client Management Cùng với sự phát triển của doanh nghiệp, số lượng máy tính và các thiết bị tin học trong hệ thống thông tin sẽ tăng lên ồ ạt khiến hệ thống trở nên cồng kềnh và khó kiểm soát. Việc kiểm tra, cài đặt, cập nhật các ứng dụng, bảo hành bảo trì các thiết bị cũng trở nên khó khăn và mất thời gian. Hệ thống Client Management sẽ giúp các doanh nghiệp dễ dàng quản trị, mở rộng cũng như tăng cường tính sẵn sàng và vững chắc cho hệ thống thông tin của mình. Hệ thống mạngWindows hỗ trợ 2 mô hình dịch vụ thư mục: workgroup và domain (Miền) trong đó mô hình miền được ứng dụng trong các tổ chức triển khai WindowsServer2003. Mô hình dịch vụ thư mục workgroup là một CSDL phẳng bao gồm tên các máy tính và được thiết kế cho các mạng nhỏ. Đây là hình thức dịch vụ thư mục sở khai được giới thiệu trong Windows NT 3.1 những năm 1990. Mô hình Miền là một kiến trúc thư mục có phân cấp của các tài nguyên – Active Directory - và được sử dụng bởi tất cả các hệ thống là thành viên của miền. Các hệ thống này có thể sử dụng các tài khoản người dùng, nhóm và máy tính trong thư mục để bảo mật các tài nguuyên của chúng. Active Directory do đó đóng vai trò như một trung tâm lưu trữ nhận thực, cung cấp 1 danh sách tin cậy chỉ ra “Ai là ai”trong miền. Bản thân Active Directory còn hơn là một CSDL, nó chứa 1 danh sách các thành phần hỗ trợ, bao gồm cả các transaction logs (nhật ký giao dịch) và hệ thống dữ liệu hệ thống – còn gọi là Sysvol – nơi đấy chứa các thông tin về các kịch bản đăng nhập và chính sách nhóm. Nó là dịch vụ hỗ trợ và sử dụng các CSDL này, bao gồm giao thức Lightweight Directory Access Protocol (LDAP – Giao thức truy nhập thư mục hạng nhẹ), giao thức bảo mật Kerberos, các chu trình đồng bộ dữ liệu và dịch vụ đồng bộ file (File Replication Service – FRS). Cuối cùng Active Directory là một bộ sưu tập các công cụ mà người quảntrịmạng có thể sử dụng để quản lý dịch vụ thư mục. Cơ sở dữ liệu của Active Directory và các dịch vụ của nó được cài đặt trên một hay nhiều máy chủ quảntrị miền. Một máy chủ quảntrị miền là một máy chủ đã được thăng cấp bằng cách chạy trình cài đặt Active Directory (Active Directory Installation Wizard). Khi một máy chủ được thăng cấp thành máy chủ quảntrị miền, nó chứa 1 bản hay một bản sao của CSDL Active Directory. Bởi vì Active Directory là một tài nguyên cơ sở rất quan trọng của hệ thống nên nó luôn phải sẵn sàng với tất cả người dùng trong hệ thống trong mọi thời điểm. Vì lí do này, miền Active Directory thông thường có, ít nhất 2 máy chủ quảntrị miền để nếu 1 máy chủ có sự cố, máy chủ còn lại vẫn có thể phục vụ hệ thống người dùng. Các máy chủ quảntrị miền luôn luôn đồng bộ dữ liệu với nhau nên mỗi máy chủ đều lưu giữ thông tin hiện tại của miền hệ thống. Khi một người quảntrịmạng thay đổi một bản ghi trong CSDL của Active Directory trên bất kỳ máy chủ quảntrị miền nào, sự thay đổi này cũng được đồng bộ với tất cả các máy chủ quảntrị miền trong miền đó. Điều này được gọi là đồng bộ đa chủ (multiple - master) Domain, Tree và Forest (Miền, Cây và Rừng) Một miền là một đơn vị quảntrị cơ bản của dịch vụ thư mục trong WindowsServer2003. Hơn nữa một hệ thống mạng lớn có thể có nhiều hơn một miền trong Active Directory của nó. Mô hình nhiều miền sẽ tạo ra một cấu trúc logic được gọi là cây (Tree) nếu chúng chung nhau một không gian miền DNS. Ví dụ như trong hình dưới: icbv.com, north.icbv.com, south.icbv.com và middle.icbv.com cùng chung không gian tên miền DNS. Miền icbv.com đựoc gọi là miền cha và 3 miền còn lại là miền con. Và vì thế icbv.com cũng được gọi là miền gốc (root domain) Cây sử dụng Active Directory Nếu các miền trong một Active Directory không chia sẻ một miền gốc chung, hệ thống sẽ có nhiều cây. Một AD chứa nhiều cây sẽ được gọi là một rừng (forest). Rừng là một kiến trúc lớn nhất trong Active Directory. Khi ta thăng cấp máy chủ quảntrị miền đều tiên trong hệ thống Windows Server, bạn đã đồng thời tạo thành một rừng, một cây trong rừng đó và là một miền trong cây đó. Một rừng có thể có nhiều miền trong nhiều cây, hoặc có thể chỉ có 1 miền. Khi quá trình cài đặt Active Directory có nhiều hơn 1 miền, một thành phần của Active Directory gọi là Global Catalog cho phép các máy trạm trong một miền có thể tìm kiếm thông tin trong một miền khác. Global Catalog bản chất là một tập hợp các thông tin dữ liệu của tất cả các miền kết hợp lại. Khi cần tìm kiếm một người dùng trong một miền khác, global catalog có thể không chứa tất cả thông tin về người dùng đó nhưng nó đủ dữ liệu để trả lời để người dùng có thể tìm kiếm được các thông tin chi tiết hơn ở đâu. Các đối tượng và thuộc tính Mọi CSDL đều được tạo nên bởi các bản ghi và trong Active Directory , các bản ghi này được gọi là các đối tượng. Mọi đối tượng là một phần tử thể hiện một tài nguyên mạng nhất định. Một Active Directory có thể chứa các đối tượng thể hiện các tài nguyên vật lý, ví dụ như các máy tính và máy in, hoặc các tài nguyên nhân sự, ví dụ như các người dùng và nhóm, hoặc các tài nguyên phần mềm, ví dụ như các ứng dụng và vùng DNS, hoặc các tài nguyên quản trị, ví dụ như các OU và các site. Sau khi thăng cấp một máy tính thành máy chủ quảntrị miền, người quảntrị có thể tạo các đối tượng tron miền đó. Các đối tượng Active Directory được sử dụng thông dụng nhất là: • Domain (miền): là một đối tượng gốc có chứa các đối tượng khác trong miền. • Organizational Unit (Đơn vị tổ chức): là một đối tượng chứa (container object) được sử dụng để tạo ra các nhóm logic bao gồm các đối tượng như máy tính, người dùng và nhóm. • Người dùng: Thể hiện một người dùng mạng và thực hiện chức năng là dữ liệu để nhận dạng và xác thực. • Máy tính: Thể hiện 1 máy tính trong mạng và cung cấp tài khoản máy tính cần thiết cho hệ thống để đăng nhập vào miền. • Nhóm: Một đối tượng chứa thể hiện nhóm logic các người dùng máy tính hoặc các nhóm khác, độc lập trong cấu trúc của Active Directory. Các nhóm có thể chứa các đối tượng từ các OU và các miền. • Thư mục chia sẻ: Cung cấp các truy nhập mạng dựa trên Active Directory đến một thư mục chia sẻ trong một máy tính Windows. • Máy in: cung cấp các truy nhập mạng dựa trên Active Directory đến một máy in trong một máy tính Windows Mỗi đối tượng trong Active Directory có chứa một tập hợp các thuộc tính, chính là các thông tin về đối tượng đó. Một đối tượng người dung sẽ có các thông tin mô tả tên tài khoản người dùng đó, mật khẩu, địa chỉ, số điện thoại, và các thông tin nhận dạng khác. Một đối tượng nhóm sẽ có một thuộc tính cho biết danh sách các người dùng là thành viên của nhóm đó. Người quảntrịmạng có thể sử dụng Active Directory để chứa bất kỳ thông tin nào về các người dùng trong tổ chức và các tài nguyên khác. Bên cạnh các thuộc tính thuần túy thông tin, các đối tượng còn có thuộc tính thực hiện các chức năng quản trị. Ví dụ như một danh sách Kiểm soát truy nhập chỉ định ai có các Cấp phép truy nhập đến đối tượng đó. Các container và leaves (đối tượng chứa và đối tượng lá) Active Directory có khả năng chứa hàng triệu đối tượng và do đó phải có một phương thức tổ chức các đối tượng đó thành các đơn vị nhỏ hơn trong miền. Để tổ chức quản lý các đối tượng như vậy, Active Directory sử dụng các cấu trúc phân cấp. Một miền được gọi là một đối tượng chứa bởi vì các đối tượng khác có thể được tạo ra và phân cấp trong miền. Một đối tượng không thể chứa các đối tượng khác. Một trong các tác vụ khó nhất và phức tạp nhất trong việc quảntrị Active Directory là tạo ra kiến trúc phân cấp các OU sao cho hiệu quả nhất. Người quảntrị có thể sử dụng rất nhiều cách để thiết kế cấu trúc phân cấp OU như theo phòng ban, theo chức năng… Nhóm cũng là một đối tượng chứa nhưng nó không phải là một thành phần của cấu trúc phân cấp bởi vì các thành viên của nhóm có thể nằm ở bất kỳ đâu trong miền. Để thực hiện đúng chức năng tổ chức, các đối tượng chứa đồng thời phải đóng vai trò quan trọng trong việc quảntrị các đối tượng. trong một hệ thống file các cấp phép được áp dụng trên các đối tượng được truyền từ trên xuống dưới theo cấu trúc phân cấp. Đây là một trong những tính năng cơ bản trong cấu trúc phân cấp mà người quảntrị có thể áp dụng một cách hiệu quả. Thay vì gán các quyền và cấp phép cho từng người dùng, người quảntrị có thể gán các quyền và cấp phép này cho các đối tượng chứa và đối tượng người dùng trong nó sẽ được thừa hưởng các Quyền và Cấp phép cần thiết. 2. Các chính sách nhóm Do cách thức thừa hưởng các thiết lập từ đối tượng mức cha truyền xuống mức con, người quảntrị có thể sử dụng các OU để gom các đối tượng cần cấu hình tương tự nhau. Các thiết lập mà cấu hình mà bạn áp dụng đến từng máy tính chạy trong Windows cũng có thể được quảntrị một cách tập trung nhờ sử dụng một tính năng của Active Directory gọi là chính sách nhóm (Group Policy). Các chính sách nhóm cho phép bạn xác định các thiết lập bảo mật, triển khai phần mềm, cấu hình hệ điều hành và cách thức hoạt động của các ứng dụng trên một máy tính mà không phải thực hiện trực tiếp trên máy tính đó. Người quảntrị có thể thiết lập các tùy chọn cấu hình trên một đối tượng đặc biệt của Active Directory gọi là đối tượng chính sách nhóm (Group Policy Object - GPO) sau đó kết nối các GPO này vào các đối tượng trong Active Directory chứa các máy tính hoặc người dùng mà người quảntrị muốn cấu hình. GPO là tập hợp của rất nhiều các thiết lập cấu hình, từ quyền đăng nhập của người dùng đến quyền sửu dụng các phần mềm được cho phép hoạt động trong hệ thống. Ta cũng có thể gắn các GPO này với mọi đối tượng chứa trong Active Directory như Miền, Sites, hoặc OU và các máy tính và người dùng trong các đối tượng chứa đó sẽ nhận được các chính sách, các thiết lập cấu hình trong GPO. Trong hầu hết các trường hợp, người quảntrịmạng có thể thiết kế cấu trúc phân cấp sao cho có thể áp dụng các GPO một cách hiệu quả nhất bằng cách đặt các máy tính có vai trò xác định vào cùng một OU, bạn có thể gán một GPO có các thiết lập đặc biệt dựa trên vai trò của các máy tính đó vào OU này và như thế là đã cấu hình được 1 lúc nhiều máy tính. . TỔNG QUAN VỀ QUẢN TRỊ MẠNG VỚI WINDOWS SERVER 2003 1. Các khái niệm về Active Directory Dịch vụ thư mục: Hệ thống mạng nội bộ đầu tiên. dõi, quản trị server nhằm nâng cao tính sẵn sàng, hiệu năng và mức độ an toàn bảo mật của các hệ thống mạng dựa trên nền Windows. MOM cung cấp khả năng quản