4.4.2.1. Cài đặt một FTP site mới
Để thiết lập một FTP site mới yêu cầu bạn cần biết thông tin về FTP site bao gồm: FTP server này phải hồi đáp trên địa chỉ IP nào.
Đối với địa chỉ IP đã được chỉ định, FTP server phải hồi đáp trên địa chỉ cổng TCP nào.
FTP server của bạn cho phép truy cập Read, truy cập Write, hay cả hai. Trình tự các bước để cài đặt FTP Server như sau:
Bƣớc 1:
Khởi động MMC IIS, giao diện MMC IIS có dạng như sau:
Bƣớc 2:
Click nút phải chuột vào mục “FTP Sites” chọn mục “New” sau đó click chuột vào mục “FTP Site…”.
Hình 4.62. Giao diện mục chọn tạo FTP Site trong IIS Manager
Bƣớc 3:
Hình 4.63. Giao diện FTP Site Creation Wizard Click chuột vào “Next” để tiến hành cài đặt FTP Site.
Bƣớc 4:
Hình 4.64. Mô tả cho FTP Site
Tại hộp hội thoại này bạn nhập vào thông tin mô tả về trang FTP mà bạn tạo, click chuột vào “Next” để tiếp tục.
Bƣớc 5:
Hình 4.65. Nhập địa chỉ IP và Port cho FTP Site
Tại hộp hội thoại này bạn nhập vào địa chỉ IP cho FTP server (mục “Enter the IP address to use for this FTP site”), số hiệu cổng của FTP server (mục “Type the TCP port for this FTP site (Default=21)”)
Lƣu ý: Cổng của dịch vụ FTP mặc định là 21, bạn không nên thay đổi số hiệu
cổng này trừ khi bạn muốn dùng cổng này để khai báo cho một dịch vụ khác.
Bƣớc 6:
Hình 4.66. Chọn cách thức gán thư mục cho Site FTP Xác định cách thức gán địa chỉ thư mục chứa Site FTP
Hình 4.67. Nhập địa chỉ chứa FTP Site
Tại hộp hội thoại này bạn tiến hành chọn đường dẫn chỉ đến ổ đĩa, thư mục chứa các thành phần của FTP Server.
Bƣớc 8:
Hình 4.68. Chọn lựa quyền truy cập đến FTP Site
Tại hộp hội thoại này bạn tiến hành đặt quyền truy cập trên thư mục chủ quyền truy cập bao gồm các mức như sau:
- Read: Cho phép người sử dụng đọc các tập tin từ FTP server của bạn. Trong hầu hết các trường hợp, bạn thường ấn định quyền truy cập này cho gốc của một site FTP mới.
- Write: Tùy chọn này cho phép các trình duyệt khách (client) ghi dữ liệu nào đó lên trên FTP server của bạn . Bạn cần hết sức lưu ý khi chọn mục này.
Hình 4.69. Kết thúc cài đặt FTP Site Giao diện của MMC IIS sau khi tạo một FTP site
Hình 4.70. Giao diện MMC IIS sau khi tạo FTP Site
4.4.2.2. Thiết lập các tham số cho FTP Site
Đối với một FTP site, ngoài việc cài đặt hoàn chỉnh một FTP Site bạn cần phải hiệu chỉnh nhiều thông số khác nhau của FTP Site để phù hợp với nhu cầu sử dụng.
Để thiết lập các tham số, trong cửa sổ MMC IIS chọn tên miêu tả của FTP site, click chuột phải và chọn mục properties.
Hình 4.71. Giao diện mục chọn Properties của FTP Site trong IIS Manager Hộp hội thoại “Properties” với giao diện bao gồm nhiều mục chọn cho phép bạn lựa chọn cấu hình các tham số cho FTP Site.
Hình 4.72. Giao diện tab FTP Site
- Tab “FTP Site”
+ FTP site identification: Mục này bao gồm các thành phần cho phép mô tả FTP site (Description), hiệu chỉnh địa chỉ IP (IP address), hiệu chỉnh cổng TCP (TCP port).
+ FTP site Connections: Cho phép người quản trị hạn chế số lượng truy cập đồng thời tới FTP site và thiết lập thời gian timeout của kết nối.
+ Enable logging: Thiết lập cơ chế lưu nhật ký, việc lựa chọn và cấu hình tập tin lưu nhật ký có ý nghĩa rất quan trọng đối với người quản trị. Thông qua các tập tin nhật ký này giúp bạn phân tích, đánh giá, cũng như có các thông tin về FTP site này.
Lƣu ý: Khi số lượng truy cập FTP site rất lớn, bạn cần cân nhắc việc lưu trữ tập
tin nhật ký, cũng như định dạng của nhật ký, thời gian lưu tập tin nhật ký … trên cơ sở xem xét các thông số của máy chủ như dung lượng ổ đĩa, hiệu suất máy chủ …
Bạn cũng có thể lựa chọn các tham số khác cho việc lưu nhật ký, như thời gian lưu nhật ký (theo giờ, theo ngày, theo tháng, …). Cũng như việc lựa chọn đường dẫn để lưu trữ các tập tin nhật ký bằng cách click chuột vào mục “Properties…”.
- Tab “Home Directory”
Hình 4.73. Giao diện tab Home Directory
Trang này cho phép bạn chỉ định IIS sẽ tìm kiếm nội dung trang FTP ở đâu bằng cách chỉ rõ trong mục “Local path”.
Bạn có thể thiết lập các quyền cho các thư mục trong FTP site,bao gồm quyền: + Read: Cho phép người sử dụng đọc các tập tin từ FTP server của bạn
+ Write: Cho phép người sử dụng tải tập tin lên FTP server của bạn.
+ Log visits: Cho phép bạn lựa chọn việc có muốn ghi lại hay không thông tin về khách viếng thăm FTP site của bạn.
+ Directory listing style: Cho phép bạn thiết lập (“Unix” hay “MS-DOS”) cách thức mà IIS sẽ gửi thông tin về danh sách thư mục cho người sử dụng.
Lƣu ý: Các quyền này cần phải thích hợp với các quyền NTFS trên thư mục chứa
CHƢƠNG 5. ACTIVE DIRECTORY 5.1. Giới thiệu về AD (Active Directory)
Active Directory (AD) là một cơ sở dữ liệu của các tài nguyên trên mạng (còn gọi là đối tượng như user, computer, group …) cũng như các thông tin liên quan đến các đối tượng đó. Để có thể quản lý được các hệ thống mạng lớn (bao gồm rất nhiều người sử dụng) bạn thường phải phân chia mạng thành nhiều vùng (Domain) và thiết lập các mối quan hệ ủy quyền thích hợp giữa các vùng với nhau. AD giúp bạn giải quyết các vấn đề như trên một cách rất đơn giản và hiệu quả.
- Chức năng của AD
Lưu trữ một danh sách tập trung các tên tài khoản người sử dụng, mật khẩu tương ứng và các tài khoản máy tính.
Cung cấp một Server đóng vai trò chứng thực (authentication server) hoặc server quản lý đăng nhập (logon server), Server này còn được gọi là Domain Controller (máy điều khiển vùng). Cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẻ của hệ thống với những quyền hạn hợp lệ.
Duy trì một bảng hướng dẫn hoặc một bảng chỉ mục (index) giúp các máy tính trong mạng có thể dò tìm nhanh một tài nguyên nào đó trên các máy tính khác trong vùng.
Cho phép bạn tạo ra các tài khoản người sử dụng với những mức độ quyền hạn khác nhau...
Cho phép bạn chia nhỏ miền của mình ra thành các miền con (subdomain) hay các đơn vị tổ chức OU (Organizational Unit). Sau đó chúng ta có thể ủy quyền cho các quản trị viên bộ phận quản lý từng bộ phân nhỏ.
- Những thành phần chính của hệ thống Active Directory
+ User : Là các tài khoản người sử dụng, khi cài đặt Active Directory sẽ có một số tài khoản dựng sẵn (built-in) được tạo ra như Administrator là người có toàn quyền quản trị hệ thống, backup operator là nhóm và người sử dụng có khả năng sao lưu và phục hồi (backup và restore) dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đối với những dữ liệu này. Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (logon) vào domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi administrator để logon vào domain. Và truy cập dữ liệu trên tập tin server hay các dịch vụ khác..
+ Group: Là một tập hợp của những người sử dụng có những đặc tính chung, ví dụ các nhân viên của một phòng ban có quyền truy cập lên cùng một tài nguyên trên server. Thay vì gán quyền truy cập cho từng user riêng lẽ sẽ không hiệu quả bạn add các user của phòng ban đó vào một nhóm và chỉ phân quyền cho nhóm đó.
Lƣu ý: Trong môi trường AD mặc định tất cả các user được tạo ra đều thuộc
+ OU (organization unit): Là những đơn vị tổ chức, khi thiết kế một domain thì chúng ta khảo sát hệ thống có bao nhiêu đơn vị tổ chức như: có bao nhiêu phòng ban, bộ phận... Dựa trên kết quả khảo sát này bạn tạo những OU tương ứng với chức năng và vị trí cho từng đơn vị tổ chức. OU được dùng để quản trị về mặt chính sách, như bạn muốn tất cả các nhân viên thuộc một phòng ban nào đó được cài đặt tự động MS OfficeXP hay cập nhật những bản vá lỗi của Windows khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU. Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn truy cập của các user này bằng OU, chính vì vậy chúng ta cần phải tạo ra các group và gán quyền thông qua những group này. Đó là những khác biệt cơ bản nhất mà chúng ta cần phân biệt.
+ Domain: Là đơn vị chức năng cốt lõi của cấu trúc logic AD. Nó là phương tiện để quy định tập hợp những người sử dụng, máy tính, tài nguyên, chia sẻ với những quy tắc bảo mật giống nhau từ đó giúp cho việc quản lý các truy cập vào các server dễ dàng hơn. Domain đáp ứng 3 chức năng chính như sau:
Đóng vai trò như một khu vực quản trị (administrative boundary) các đối tượng, là tập hợp các định nghĩa quản trị cho các đối tượng chia sẻ như: Có chung 1 cơ sở dữ liệu thư mục, các chính sách bảo mật, các quan hệ ủy quyền, chính sách bảo mật, các quan hệ ủy quyền với các domain khác.
Giúp chúng ta quản lý, bảo mật các tài nguyên chia sẻ.
Cung cấp các server dự phòng làm chức năng điều khiển vùng (domain Controller), đồng thời đảm bảo các thông tin trên các server này được đồng bộ với nhau.
+ Domain Tree: Domain Tree là cấu trúc bao gồm nhiều domain được sắp xếp có cấp bậc theo cấu trúc hình cây. Domain tạo ra đầu tiên được gọi là domain root và nằm ở gốc của cây thư mục. Tất cả các domain tạo ra sau sẽ nằm bên dưới domain root và được gọi là domain con (child domain). Tên của các domain con phải khác biệt nhau, khi một domain root và ít nhất một domain con được tạo ra thì hình thành một cây domain. Khái niệm này bạn sẽ thường nghe thấy khi làm việc với một dịch vụ thư mục. Bạn có thể thấy cấu trúc sẽ có hình dáng của một cây khi có nhiều nhánh xuất hiện.
Ví dụ: Một Domain Tree của Microsoft
+ Forest: Forest (rừng) được xây dựng trên một hoặc nhiều Domain Tree, nói cách khác Forest là tập hợp các Domain Tree có thiết lập quan hệ và ủy quyền cho nhau.
Ví dụ: Giả sử một công ty nào đó, chẳng hạn như Microsoft mua lại một công ty khác.
Thông thường, mỗi công ty đều có một hệ thống Domain Tree riêng để tiện quản lý, các cây này sẽ được hợp nhất với nhau bằng một khái niệm là rừng.
Hình 5.2. Ví dụ một rừng bao gồm hai Domain Tree Ngoài ra còn có những thành phần khác như group policy, trusting, …
Lƣu ý: Theo mặc định, tất cả Windows Server 2003 khi cài đặt đều là server độc
lập (stand - alone server). Chương trình DCPROMO chính là Active Directory Installation Wizard và được dùng để nâng cấp một máy không phải là DC thành một máy DC và ngược lại giáng cấp 1 máy DC thành 1 server bình thường.
5.2. Cài đặt AD
- Các yêu cầu cần thiết trước khi cài đặt AD
Trước khi tiến hành cài đặt AD trên Windows Server 2003 bạn cần lưu ý một số vấn đề sau:
Trên hệ thống server của bạn phải có ít nhất một phân khu (partition) dùng hệ thống tập tin NTFS có đủ dung lượng.
Trên hệ thống mạng đã cài đặt DNS server (có thể được cài lên chính máy làm DC).
Dự trù tên miền mà bạn muốn sử dụng.
Card mạng phải luôn được nối kết mạng trong suốt quá trình cài đặt AD.
Bƣớc 1:
Click chuột vào menu “Start”, chọn Run, trong hộp hội thoại “Run”, đánh lệnh dcpromo và click chuột vào nút “OK”.
Hình 5.3. Thi hành lệnh “dcpromo” từ cửa sổ “Run”
Bƣớc 2:
Hình 5.4. Giao diện Active Directory Installation Wizard Click chuột vào “Next” để tiếp tục cài đặt.
Bƣớc 3:
Click chuột vào “Next” để tiếp tục cài đặt.
Bƣớc 4:
Hình 5.6. Chọn lựa kiểu Domain
Chọn “Domain controller for a new domain”, và click chuột vào “Next” để tiếp tục.
Bƣớc 5:
Hình 5.7. Tạo một Domain mới
Hộp hội thoại này có ba mục như sau:
Mục “Domain in new forest”: Cho phép bạn tạo domain đầu tiên trong một rừng mới.
Mục “Child domain in an existing domain tree”: Cho phép bạn tạo ra một domain con dựa trên một cây domain có sẵn.
Mục “Domain tree in an existing forest”: Cho phép bạn tạo ra một cây domain mới trong một rừng đã có sẵn.
Chọn mục “Domain in a new forest” để tiến hành xây dựng Domain controller đầu tiên, và click chuột vào “Next” để tiếp tục.
Bƣớc 6:
DONGA.EDU.VN
Hình 5.8. Đặt tên cho Domain
Bạn nhập tên đầy đủ cho mục “Full DNS name for new domain”. Click chuột vào “Next” để tiếp tục.
Ví dụ: DONGA.EDU.VN Bƣớc 7:
DONGA
Hình 5.9. Đặt tên cho Doamin theo chuẩn NetBios
Nhập tên Domain theo chuẩn NetBIOS để tương thích với các máy WinNT. Mặc định, tên Domain NetBIOS giống phần đầu của tên FullDNS, bạn có thể đổi sang tên
khác hoặc chấp nhận giá trị mặc định (ví dụ: “DONGA”), và click chuột vào “Next” để tiếp tục.
Bƣớc 8:
Hình 5.10. Chỉ định nơi lưu trữ CSDL AD
Tại giao diện của hộp hội thoại này cho phép bạn chỉ định nơi lưu trữ cơ sở dữ liệu của AD và các tập tin log. Tuy nhiên, bạn nên đặt tập tin chứa thông tin giao dịch (transaction log) ở một đĩa cứng vật lý khác với đĩa cứng chứa cơ sở dữ liệu của Active Directory nhằm tăng hiệu năng của hệ thống , click chuột vào “Next” để tiếp tục .
Bƣớc 9:
Tại giao diện của hộp hội thoại này bạn nhập vào địa chỉ nơi chứa thư mục “SYSVOL”. Thư mục này phải nằm trên một NTFS Volume. Tất cả dữ liệu đặt trong thư mục Sysvol này sẽ đựơc tự động sao chép sang các Domain Controller khác trong miền. (Bạn nên để chế độ mặc định), click chuột vào “Next” để tiếp tục.
Bƣớc 10:
Hình 5.12. Chọn lựa kiểm tra hoặc cài đặt DNS Server
DNS là dịch vụ phân giải tên kết hợp với Active Directory để phân giải tên các máy tính trong miền. Do đó để hệ thống Active Directory hoạt động được thì trong miền phải có ít nhất một DNS Server phân giải tên miền mà chúng ta cần thiết lập.
Chương trình chuẩn đoán DNS (DNS Diagnostic) cho phép kiểm tra DNS đã được cài đặt thích hợp chưa, chọn “Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferred DNS server”. Click chuột vào “Next” để tiếp tục.
Bƣớc 11:
Bạn chọn tùy chọn “Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems”, nó sẽ an toàn và bảo mật hơn. Click chuột vào”Next” để tiếp tục.
Bƣớc12:
Hình 5.14. Đặt mật khẩu cho chế độ phục hồi Domain Đặt mật khẩu và xác nhận mật khẩu, click chuột vào “Next” để tiếp tục.
Lƣu ý: Mật khẩu trong trường hợp này được dùng cho chế độ phục hồi Domain
Controller khi DC này gặp phải sự cố. Khi DC offline, vào chế độ troubleshoot này bằng cách khởi động lại (Restart Computer), chọn F8. Các Admin không nên nhầm lẫn Password ở chế độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc Domain.
Bƣớc 13:
Click chuột vào “Next” để tiếp tục.
Bƣớc 14:
Quá trình xử lý cho việc cài đặt AD được tiến hành.
Bƣớc 15
Click chuột vào nút “Finish” để kết thúc quá trình cài đặt.