Tài liệu giới thiệu Win 2000
Công ty phát triển công nghệ tin học thiên long Trung tâm đào tạo chuyên viên công nghệ thông tin 180 Lê Thanh Nghị - Bách Khoa - Hà Nội ĐT: 6280725 Email:thienlongcom@hn.vnn.vn http://www.thienlongcomputer.com ****************************** Giáo trình đào tạo Quản trị viên mạng Win 2000 advance server Hà Nội, 15/04/2003 Mở đầu Hệ điều hành Windows 2000 Server đợc phát triển từ nhu cầu cấp thiết c¬ quan tỉ chøc mn cã mét thÕ hƯ míi ứng dụng Client/Server, ứng dụng cho phép họ xây dựng u cạnh tranh mạnh mẽ Họ đòi hỏi nhiều dơn việc nối máy tính cá nhân lại với hay đa ứng dụng từ máy lớn xuống Họ cần tảng ổn định với máy chủ quản lý cục bộ, mạng diện rộng với c¸c m¸y chđ cho c¸c øng dơng XÐt cho cïng, ngời sử dụng muốn có thông tin mà họ cần phục vụ yêu cầu nghiệp vụ riêng biệt Với Windows 2K Server: Thông tin ngón tay bạn Windows 2K Server kết hợp khả tệp in ấn Novell NetWare với dịch vụ ứng dụng UNIX hệ điều hành mạng đa mục đích Nh máy chủ tệp in ấn nhanh, W2KS cho phép bạn chia sẻ thông tin nh truy cập máy in thiết bị khác mạng đồng thời cung cấp tảng sở hạ tầng ứng dụng cho phép bạn mua xây dựng giải pháp nghiệp vụ W2KS hỗ trợ hàng loạt giải pháp nghiệp vụ then chốt hÃng phần mềm tiếng khác nh Oracle, Sybase Đồng thời thành viên họ ứng dụng chủ tích hợp Microsoft BackOffice bao gồm hệ quản trị liệu phân tán SQL Server, Email Server, quản trị hệ thống, phần cứng, phần mềm mạng SMS, hệ kết nối máy tính lớn máy Mini IBM SNA Server, hệ quản lý thông tin siêu văn - WebServer (IIS), ứng dụng chủ bảo mật, kiểm soát thông tin, kinh doanh trực tuyến Bài 1: Những nhiệm vụ công cụ quản trị Windows 2K Quản trị Windows 2K Server bao gồm công việc phải tiến hành sau cài đặt mạng công việc bảo trì hàng ngày Những nhiệm vụ quản trị bao gồm: Quản trị khoản mục ngời sử dụng khoản mục nhóm Hoạch định, khởi tạo trì khoản mục ngời sử dụng khoản mục nhóm để bảo đảm cho ngời sử dụng đăng nhập nh truy nhập đợc vào tài nguyên cần thiết cho công việc họ Quản trị việc bảo mật Hoạch định, triển khai áp đặt số sách bảo mật nhằm bảo vệ liệu nh tài nguyên dùng chung mạng bao gồm tệp, th mục hay máy in Quản trị máy in Cài đặt máy in cục bộ, máy in mạng để đảm bảo cho ngời sử dụng cã thĨ dƠ dµng vµ nhanh chãng truy nhËp vµ in Giải cố in ấn Quan sát điều phối kiện, tài nguyên mạng Hoạch định triển khai sách theo dõi, kiểm soát kiện xảy mạng liên quan đến vấn đề bảo mật Theo dõi điều khiển việc sử dụng tài nguyên mạng Sao lu phục hồi liệu Hoạch định, lập lịch thực việc lu định kỳ để đảm bảo phục hồi nhanh chóng liệu xảy cố Các công cụ quản trị (Administrative Tools) Windows 2KServer sÏ gióp cho ngêi qu¶n trị quản trị hệ thống họ Các công cụ quản trị đợc cài đặt lên máy trạm! Quản trị vùng Việc điều hành, quản lý vùng ngời quản trị bao gồm việc quản lý cá nhân bảo trì máy chủ làm việc vùng Ngời quản trị phải đảm bảo cho ngời sử dụng điều kiện làm việc tốt nhất, dễ dàng truy nhập khai thác tài nguyên dùng chung bảo mật đợc tài nguyên cá nhân, thông tin quan trọng quan, tổ chức Để làm đợc việc này, ngời quản trị phải có sách lợc hợp lý việc tạo môi trờng làm việc thích hợp cho đối tợng ngời sử dụng, phân nhóm quản lý nhóm, gán quyền thay đổi quyền cho nhóm, cá nhân, đồng bảo trì máy chủ Bài Quản lý tài nguyên Tài nguyên tệp th mục: Các hệ thống tệp đợc Windows 2000 hỗ trỵ + HƯ thèng tƯp FAT + HƯ thèng tƯp NTFS Bảo mật tài nguyên mạng thông qua cho phép chia sẻ + Chia sẻ th mục + Đặt cho phép th mục đợc chia sẻ + Nối tới th mục đợc chia sẻ Dùng chế độ bảo mật NTFS + Sư dơng c¸c cho phÐp NTFS + C¸c møc cho phép truy nhập + Kết hợp cho phép chia sẻ cho phép NTFS Máy chủ in ấn mạng: Thiết lập máy chủ in ấn mạng + In Ên m«i trêng Windows 2000 + ThiÕt lập máy chủ, máy trạm in ấn + Đặt cấu hình máy in Quản trị máy chủ in ấn mạng + Những công việc quản trị máy chủ in ấn + Quản lý tài liệu in + Quản lý máy in Bài Các công cụ quản trị Các công cụ quản trị đợc cài đặt máy chủ cài đặt máy trạm (Cài đặt Administrative Tools) Các công cụ quản trị không xuất nhóm công cụ quản trị Chúng bao gồm công cụ thờng dùng công cụ quản trị nâng cao Component Services Computer Management Configure Your Server Data Source (ODBC) Distributed File System Event Viewer Internet Services Manager Bài Các công cụ quản trị Licensing Local Security Policy Performance Routing And Remote Accsess Server Extention Administrator Services Telnet Server Administrator Active Directory User And Computer Active Directory Sites And Services Bài Giao thức mạng Lựa chọn giao thức Cài đặt giao thức Cấu hình giao thức mạng Bài tập thực hành Bài tập tổng hợp Bài Windows 2KAV Internet Internet Intranet Bảo mật Webserver: + Chức + Cài đặt + Cấu hình + Quản trị Bài Dịch vụ truy nhập tõ xa - RAS Kết nối mạng diện rộng Các giao thức Các cổng nối dẫn đờng Bảo mật Cài đặt RAS Cấu hình RAS chủ Cấu hình RAS để sử dụng giao thức riêng biệt Cài đặt cho phép truy nhập từ xa Bài Dịch vụ mạng Dịch vụ cung cấp địa động - DHCP + Cơ chế hoạt động + Cài đặt dịch vụ + Cấu hình dịch vụ + Cấu hình địa IP dự trữ Dịch vụ tên Internet WINS + Cơ chế hoạt động + Cài đặt dịch vụ + Cấu hình dịch vụ + Kết hợp với DNS Bài Sự cố giải cố Sự cố đăng nhập Không truy nhập đợc tài nguyên Lỗi in ấn qua mạng Bài 10 Một số phơng pháp kiểm tra độ an toàn mạng Đứng bên mạng: Administrator Đứng bên mạng: Hacker Quản trị dịch vơ th mơc Sư dơng dÞch vơ Active Directory DÞch vụ Active Directory thành phần mấu chốt Microsoft Windows 2000 Công nghệ Active Directory dựa giao thøc Internet chn vµ cã kiĨu thiÕt kÕ gióp ngêi sử dụng định rõ cấu trúc mạng Active Directory ứng dụng DNS, dịch vụ Internet chuẩn, chịu trách nhiệm tổ chức nhóm máy tính thành vùng Dịch vụ th mơc Active Directory cung cÊp c¶ cÊu tróc Logic cấu trúc vật lý cho thành phần mạng CÊu tróc Logic bao gåm: Domain (vïng): Nhãm c¸c máy tính dùng chung sở liệu th mục Domain Tree (Vïng ph©n cÊp): Mét hay nhiỊu vïng dùng chung không gian tên liên tục Domain Forest (Tập hợp hệ vùng phân cấp): Một hay nhiều hệ vïng dïng chung th«ng tin th mơc organizational unit (Đơn vị tổ chức): Nhóm gồm vùng thờng phản ánh cấu trúc kinh doanh cấu trúc chức công ty Cấu trúc Vật lý bao gồm: Subnet (mạng con): Đoạn mạng với dÃy địa IP mặ nạ mạng cụ thể Site (địa điểm): Một nhiều mạng dùng để lập cấu hình dịch vụ chép truy cập th mục Quản trị dịch vụ Active Directory Công việc quản trị dịch vụ th mục Active Directory tập trung vào nhiệm vụ chủ yếu đợc ngời quản trị thi hành thờng kỳ với dịch vụ th mục Active Directory, nh mở tài khoản máy tính kết nạp máy tính vào vùng Những công cụ quản lý Active Directory Những công cụ quản lý Active Directory thờng cung cÊp ë d¹ng Snapin cho MMC (Microsoft Management Console) Active Directory users and Computer: Quản trị ngời dùng, nhóm, máy tính, đơn vị tổ chức Active Directory and Trusts: Dùng làm việc với vùng, hệ vùng phân cấp, tập hợp hệ vùng phân cấp Active Directory Sites and Services : Quản lý Site mạng Những công cụ hỗ trợ việc quản trị : Active Directory Administration Tool: Thi hµnh giao thøc LDAP (Lightweight Directory Access Protocol) trªn Active Directory Active Directory Replication Monitor: Quản lý giám sát hoạt động chép thông qua giao diện ngời sử dụng dạng đồ hoạ ADSI Edit: Quản lý đối tợng chứa th mục bao gồm sơ đồ th mục ấn định danh sách điều khiển truy nhập Công cụ Active Directory users and Computer Active Directory users and Computer lµ công cụ quản trị chủ yếu để quản lý Active Directory, cụ thể thi hành nhiệm vụ quản trị, bao gồm quản trị ngời sử dụng, máy tính vùng, Mặc định, Active Directory làm việc với vùng đợc kết nối, truy cập quản lý đối tợng ngời sử dụng, máy tính vùng thông qua vùng phân cấp Nếu không tìm thấy máy điều khiển vùng vùng tham gia không khả dụng, phải kết nối tới máy điều khiển vùng hành máy điều khiển vùng khác Cã thĨ truy cËp ®Õn Active Directory users and Computer nhiều cách khác nh: + Truy nhập thông qua công cụ quản trị nh sau: Trỏ vào Start / Programs / Administrative Tools / Active Directory users and Computer + Truy nhËp th«ng qua giao diƯn MMC: Trá tíi Start / Run, gâ lƯnh mmc Bỉ xung Active Directory users and Computer vµo giao diƯn Sau kÝch ho¹t, cưa sỉ Active Directory users and Computer sÏ xuất nh sau: Active Directory có đặc tính, tác vụ nâng cao nh xem tuỳ chọn nâng cao hay tìm kiếm đối tợng Khi truy cập vùng Active Directory users and Computer, tập hợp th mục chuẩn sau khả dụng: Builin: Danh sách tài khoản ngời dùng cài sẵn Computers: Chứa tài khoản máy tính theo mặc định Domain Controlers: Chứa máy điều khiển vùng theo mặc định ForeignSecurityPrincipanls: Chứa thông tin đối tợng từ vùng đợc uỷ quyền * Kết nối tới máy điều khiển vùng: Trong cưa sỉ Active Directory users and Computer, ë khung bên trái bấm chuột phải vào Active Directory users and Computer, chän Connect To Domain Conntroler Vïng hiƯn hµnh vµ máy chủ điều khiển vùng hiển thị Chọn tới máy chủ điều khiển vùng cần kết nối * Kết nèi tíi vïng: Cịng cưa sỉ Active Directory users and Computer, ô bên trái, bấm chuột phải vào Active Directory users and Computer, chän Connect To Domain Tìm kiếm tài khoản tài nguyên dùng chung Active Directory users and Computer có đặc tính tìm kiếm cài sẵn, cho phép ngời quản trị tìm tài khoản, tài nguyên dùng chung đối tợng khác th mục Phơng pháp tìm kiếm nh sau: - Trong cửa sổ Active Directory users and Computer, nháy phải chuột vào vùng cần tìm kiếm chọn Find, Cửa sổ tìm kiếm xuất - Trong hộp Find, chọn yêu cầu tìm kiếm: Users, Contacts, and Groups: Tìm kiếm tài khoản ngời sử dụng, tài khoản nhóm Computers: Tìm tài khoản máy tính theo tên, loại, chủ sở hữu Printer: Tìm máy in theo tên, kiểu đặc tính Shared Folder: Tìm th mục dùng chung theo tên hay từ khoá Organization Units: Tìm đơn vị tổ chức theo tên Custom Search: Thực tìm kiếm nâng cao - Trong hộp In, chọn phạm vi tìm kiếm - Sau nhập xong yêu cầu phạm vi tìm kiếm, Bấm nút lệnh FindNow 10 DC thĨ th× cã thĨ mÊt nhiỊu thêi gian để kịch đợc chép hết tất share SYSVOL tất DC bên miền Hệ thống tập tin phân tán (Dfs) Hệ thống tập tin phân tán (Ditributed File System_ tức Dfs) tợng trng cho lọat th thách khác biệt nh quan trọng SYSVOL Chúng ta nghiên cứu thử số khả Dfs Win2K, để xem bạn gặp rắc rối nh thể viƯc triĨn khai nã mét c¬ së hạ tầng lớn Với Dfs, ngời quản trị quy định share gốc chịu lỗi (faulttolerat root gọi tắt FT root), tức Dfs root, bên miền đà định ý quy định cho server dfs root đợc tham chiếu theo tên miền theo tên server.Ví dụ, tên miền mycomputer, ngời quản trị ánh xạ ổ đĩa đến share \ \vn mycomputer com\dfs root Bªn díi mét Dfs root thĨ, cã mét sè liªn kÕt Dfs (Dfs link) Các Dfs link xuất dới dạng nh th mục lý luận Dfs root, nh thực chất trỏ đến số share nằm server khác (Win2K, NT 4, chí server NetWare Unix nữa) Mỗi Dfs link có (replica) liên kết víi nã VÝ dơ, bªn díi mét share Dfs root tên dfsroot (giả dụ nh vậy), tạo Dfs link tên apps, nơi bạn lu giữ cất gói chơng trình cài đặt ứng dụng mạng bạn Bên dới Dfs root, ngời quản trị đa vào thành viên Các đại diện cho share nằm c¸c server kh¸c nhng cã néi dung gièng ngêi quản trị Ví dụ, Dfs link tên apps có hai thành viên share cïng cã tªn apps nhng n»m trªn \ \servera và\ \serverb Các thành viên thông thờng đựơc dùng bạn có nội dung read only đó, nh tập tin nhị phân ứng dụng chẳng hạn, ngời quản trị muốn chúng đợc truy cập từ nhiều server mạng Trong ví dụ này, giả sử servera nằm site X serverb nằm site Y Các khách hàng site X nèi kÕt vµo share \ \mycompany.com\ dfsroot\ apps đợc chuyển hớng tới \ \servera\apps, khách hàng Site Y nối kết vào share đợc chuyển hớng tới \ \ serverb \apps Nh vậy, Dfs mang lại mức độ hấp lực server (server affinity) đó, dựa theo topology site Một đặc điểm khác Dfs cung cấp khả chép tập tin (file replication, hiểu rộng directory replication) tất thành viên việc chép Dfs thực chất dùng dịch vụ FileReplication Service NT, nhng tạo topology chép riêng mà ngời quản trị không kiểm soát đợc Theo mặc định Dfs tạo topology hình tất thành viên mà ngời quản trị định Không có cách dễ dàng để biết 54 Dfs đà 'đồng quy" (converge, tức thay đổi nội dung đà đợc chép đến tất ) Đối với mạng lớn, với nhiếu thành viên khác đặt rải rác site, ngang qua đờng liên kết WAN đa dạng, hẳn ngời quản trị thấy chế chép Dfs không thoả đáng Cơ chế chÐp cã dfs thùc chØ cã ý nghĩa mạng nhỏ hơn, nội dung read- only đợc chép server Thực tế, ngời quản trị chọn sử dụng chế chép tự động có dfs, ngời quản trị bị hạn chế đợc phép có 32 thành viên đốt liên kêt con!!! Còn chọn Dfs link mà ngời quản trị chọn phơng án chép thủ công (manual replication), ngời quản trị an toàn yểm trợ đến 1000 thành viên ý chọn chép thủ công ngời quản trị cho dfs biết rắng ngời quản trị dự định cung cấp chế riêng để chép nội dung thành viên phạm vi sở hạ tầng Dfs Ngoài ra, ngời quản trị bị cám dỗ ý nghĩ dùng chế chép dfs để chép liệu không read- only, nh home folder ngời dùng chẳng hạn Nên biết rằng, Dfs không thực phù hợp với kiểu tiếp cận nh thể đâu Điều chủ yếu ,bạn thực cách để kiểm soát đợc dfs sẽ"quy đồng" (Nếu mét ngêi dung thùc hiƯn mét thay ®ỉi víi home folder sau thực thay đổi khác khác, thay đổi trớc bị đi, nã cha kÞp phỉ biÕn réng r·i) Víi Dfs, ngêi quản trị nên dùng tính chịu lỗi nh cách để tìm tìm vị trí thực (vật lý) từ tên share luận lý HÃy để Dfs tạo tập tin phân tán mà viƯc chÐp lƯ thc vµo topology cđa cacsite Nếu phải dùng chế chép Dfs, ngời quản trị nên áp dụng Dfs với nội dung read- only, không phải sắm phần mỊm chÐp near-realtime ( nghÜa lµ viƯc chÐp khắp mạng đợc thực hầu nh tức thời, hầu nh trì hoÃn cả) dể thùc hiÖn viÖc chÐp néi dung thùc sù ViÖc chép GPO Trờng hợp đặc biệt GPO cách thức chép chúng bên sở hạ tầng mạng Win2K Kiểu cách chép trở thành vấn đề quan trong môi trờng mạng lớn, có nhiều GPO đợc triển khai khắp site với đơng liên kết WAN có tốc độ khác Nên biết GPO thực đợc tạo lên hai thành phần: Group Policy Container (GPC) vµ Group Policy Template (GPT) GPC lµ mét đối tợng bên Active Directory, chứa thông tin tham chiếu đến GPO cụ thể GPC đợc chép giống hệt nh đối tợng AD khác, theo kiểu multimaster,trên sở đặc tính Thành phần GPT thực thành phần GPO Nó 55 tập tin thực tạo nên GPO Các kịch tắt máy khởi động, kịch đăng nhập đăng xuất, khuôn mẫu quản trị tập tin hệ registry.pol khuôn mẫu bảo mật dều đợc chứa GPT, vốn đợc chép bên share SYSYVOL Do hai thành phần thực thể phân biệt, có kiểu cách chép hoàn toàn khác biệt, nên có khả GPC đợc chép trớc GPT liên kết với đợc chép mạng lớn 56 Triển khai dịch vụ sở hạ tầng Khi đà sẵn sàng việc triển khai sở hạ tầng mạng Win2K cỡ lớn, ngời quản trị cần cài đặt cấu hình số dịch vụ sở hạ tầng phép AD phần mềm máy khách làm việc Các dịch vụ sở hạ tầng làm tảng cho việc phát triển mạng máy tính DNS 57 58 DHCP * Nguyên tắc hoạt động * Cài đặt: * Cấu hình: - Tạo Scope: 59 60 61 Giao thức mạng * Các khái niệm bản: Định nghĩa: Giao thức mạng tập hợp quy tắc, quy ớc cho thực thể tham gia truyền thông mạng liên lạc đợc với Hay nói cách khác, giao thức mạng ngôn ngữ chung máy tính làm việc đợc với Lớp mạng: Mạng con: Giao thøc dÉn ®êng * Lùa chän: ViƯc lùa chọn giao thức mạng phụ thuộc vào mục đích sử dụng cụ thể mạng Đối với tiêu chuẩn đa ta có lựa chọn giao thức mạng khác nhau: Giao thức NetBEUI - NetBIOS Extention User Interface: Giao thøc TCP/ IP Giao thức IPX/SPX * Cài đặt: * Cấu hình: 62 Các lệnh đựơc dùng Windows 2K A Append Arp Assoc At Atmadm Attrib B Batch commands Break Buffers C Cacls Call Chcp Chdir (cd) Chkdsk Chkntfs Cipher Cls Cluster Cluster commands overview Cluster group 63 Cluster node Cluster netinterface Cluster network Cluster resource Cluster resourcetype Cmd Codepage Color Command symbols and filter commands Comp Compact Conditional processing symbols Convert Copy Country D Date Debug Debug subcommands Del (Erase) Device Devicehigh (dh) Devinfo Dir Diskcomp 64 Diskcopy Diskperf Dos Doskey Dosonly Driveparm E Echo Echoconfig Edit Edlin Edlin subcommands Endlocal Evntcmd Exe2bin Exit Expand F Fastopen Fc Fcbs Files Filter commands Find Findstr 65 Finger For Forcedos Format Ftp Ftp commands Ftype G Goto Graftabl Graphics H Help Hostname I If Install Ipconfig Ipxroute Irftp L Label Lastdrive Libpath Loadfix 66 Loadhigh (lh) Lpq Lpr M Mem Mkdir (md) Mode More Mountvol Move MS-DOS configuration commands MS-DOS subsystem commands N Nbtstat Net (command options) Net accounts Net computer Net config Net config server Net config workstation Net continue Net file Net group Net help Net helpmsg 67 Net localgroup Net name Net pause Net print Net send Net session Net share Net start Net start Alerter Net start Client Service for NetWare Net start ClipBook Server Net start Computer Browser Net start DHCP Client Net start Directory Replicator Net start Eventlog Net start File Server for Macintosh Net start FTP Publishing Service Net start Gateway Service for NetWare Net start Lpdsvc Net start Messenger Net start Microsoft DHCP Service Net start Net Logon Net start Network DDE Net start NT LM Security Support Provider Net start OLE 68 ... quyền sở hữu đối tợng Sự khác tài khoản ngời dùng tài khoản nhóm Windows 2000 cung cấp tài khoản ngời dùng tài khoản nhóm Tài khoản ngời dùng đợc thiết kế cho cá nhân Tài khoản nhóm giúp cho ngời... tạo tài khoản ngời sử dụng gần nh tạo AD Các tài khoản cục tạo Server độc lập Server thành viên đợc lu trữ sở liệu SAM \WINNT\SYSTEM32\CONFIG Quản lý tài khoản ngời sử dụng AD * Các đặc tính tài. .. mét tµi liƯu tõ mét øng dơng họ không cần biết tài liệu đợc in nh tập hợp in kiểm tra xem tài liệu in đợc gửi tới có phù hợp không phù hợp máy in tài liệu đợc in thiết bị in phù hợp Để tạo tập hợp