Windows Server 2003
Chương 1 TỔNG QUAN VỀ WINDOWS SERVER 2003 1. Các phiên bản của Windows Server 2003 Trong Windows Server 2003 Microsoft đã cung cấp một số tính năng mới nhưng các tính năng này không được cung cấp đầy đủ trong mọi ấn bản của hệ điều hành Windows Server 2003. Thay vì thế họ đã chia ra thành 4 phiên bản chủ lực sau: •
Windows Server 2003, Standard Edition
•
Windows Server 2003, Web Edition
•
Windows Server 2003, Enterprise Edition
•
Windows Server 2003, Datacenter Edition
1.1. Windows Server 2003, Standard Edition Đây là phiên bản chuẩn của Windows Server 2003, nó có tất cả các tính năng đã có trong các hệ điều hành tiền nhiệm trước nó là Windows 2000 Server. Ngoài ra nó còn được bổ sung thêm các tính năng mới như các bản Windows Server 2003 khác. Mặt khác Windows Server 2003, Standard Edition còn kèm theo một tính năng khác mà trong Windows 2000 Server không có, đó là tính năng Network Load Balancing (NLB). NLB không phải là tính năng mới, nó đã xuất hiện trong phiên bản Windows Server cao cấp hơn, đó là phiên bản Windows 2000 Advanced Server. 1.2. Windows Server 2003, Web Edition Đây là phiên bản mới xuất hiện trong dòng Windows Server của Microsoft. Mục đích ra đời của phiên bản này là nhằm thúc đẩy sự phát triển của phần mềm Web Server (IIS) để cạnh tranh với các Web Server khác như Apache. Phiên bản này chỉ có khả năng định địa chỉ tối đa là 2GB bộ nhớ RAM. Ngoài ra phiên bản này còn bị loại bỏ nhiều tính năng khác như: •
Không thể đóng vai trò là Domain Controller mặc dù nó có thể gia nhập vào một miền có sẵn.
•
Không thể yểm trợ các máy khách Macintosh trừ khi với vai trò là một Web Server.
•
Không thể truy cập từ xa thông qua Terminal Services mặc dù nó có tính năng Remote Desktop như Windows XP.
•
Không thể cung cấp tính năng Internet Connection Sharing hoặc Net Bridging.
•
Không thể đóng vai trò là một DHCP Server hoặc Fax Server.
1.3. Windows Server 2003, Enterprise Edition Đây là bản nâng cấp của phiên bản Windows 2000 Advanced Server đã được Microsoft cung cấp trước đây. Windows Server 2003, Enterprise Edition cung cấp khả năng kết chùm server tối đa lên đến 4 máy và nó cũng cho phép khởi động server từ Storage Area Network (SAN), lắp đặt nóng bộ nhớ RAM và chạy được 4 bộ vi xử lý. 1.4. Windows Server 2003, Datacenter Edition Đây là bản cao cấp nhất trong dòng sản phẩm Windows Server 2003 của Microsoft. Phiên bản này có những công cụ rất mạnh mà trước đây chỉ có thể thực hiện được trên những máy mainframe như công cụ Windows System Resource Manager (WSRM). Công cụ này cho phép thực hiện việc quản lý tài nguyên hệ thống như là năng lực của CPU và RAM đối với từng ứng ĐTNCPT – TTCNTT – EVN
1
Windows Server 2003 dụng cụ thể. Datacenter cũng yểm trợ việc kết chùm 8 máy Server và lắp đặt nóng RAM mà không cần phải tắt máy hoặc Reboot lại hệ thống.
2. Các Server miễn phí mới trong Windows Server 2003 Ngoài những Server miễn phí đã có sẵn trong các phiên bản Windows NT trước đây như các công cụ truy cập từ xa, một Web Server, FTP Server và nhiều tính năng khác, Windows Server 2003 còn bổ sung một số Server miễn phí mới như một Mail Server bao gồm dịch vụ POP3 và giao thức SMTP. Ngoài ra trong Windows 2003 còn cung cấp một công cụ nữa đó là một động cơ phần mềm (software engine) cơ sở dữ liệu miễn phí. Động cơ phần mềm cơ sở dữ liệu này là một bản SQL Server 2000 nhưng bị giới hạn một số tính năng của bản SQL Server 2000 thương mại.
3. Những tính năng mới về nối mạng Windows Server 2003 cũng thừa hưởng những tính năng mới về nối mạng của các phiên bản trước đó, ngoài ra nó còn có một số đặc điểm khác nữa. 3.1. NAT Traversal Đây là một tính năng đã được trình bày trong Windows XP. Chức năng của NAT Traversal là làm thế nào để một máy bên trong một mạng NAT có thể liên lạc với một máy bên trong một mạng NAT khác. 3.2. IPSec NAT Traversal Để truyền những thông tin quan trọng qua mạng ta không thể sử dụng các cuộc truyền tin IP bình thường thông qua NAT vì những lý do an ninh. Thay vì thế ta phải thực hiện các cuộc truyền tin dựa trên IPSec (IP Security). Công việc của IPSec là chuyển đổi một cuộc trao đổi thông tin IP thông thường thành một cuộc truyền tin IP có mã hoá (encryped). Trong các phiên bản Windows Server trước đây thì IPSec và NAT không được phối hợp với nhau. Nhưng trong phiên bản Windows Server 2003 thì Microsoft đã kèm theo một loại IPSec mới, có khả năng nhận biết NAT Trasersal. Với công cụ này các máy thuộc các mạng nonroutable có thể truyền thông an toàn với nhau. Nhưng để thực hiện được các cuộc truyền thông này bạn phải có những firewall và router có khả năng nhận biết NAT Trasersal. 3.3. Tính năng NBT Proxy Thành phần Routing and Remote Access Service (RRAS) của Windows Server 2003 có một tính năng tên là NetBIOS over TCP/IP Proxy hay ngắn gọn hơn là NBT Proxy cho phép các máy kết nối đến mạng WAN thông qua đường dial-in có thể nhìn thấy các máy trong mạng WAN trong cửa sổ Network Neighborhood. 3.4. Tính năng Conditional DNS Forwarding yểm trợ loại DNS tích hợp AD đa miền Tính năng này cho phép các quản trị viên mạng xây dựng các DNS Server dành cho các miền riêng biệt trong cùng một mạng có thể tìm thấy các DNS Server khác dành cho các miền khác trong cùng mạng đó.
ĐTNCPT – TTCNTT – EVN
2
Windows Server 2003
CHƯƠNG 2 TCP/IP TRONG WINDOWS 2003 1. Địa chỉ IP và dạng thức Dotted-Quad Địa chỉ IP bao gồm 32 bit được biểu diễn dưới dạng w.x.y.z trong đó w,x,y,z là những giá trị thập phân từ 0 đến 255. Một số trong bộ dotted-quad tương ứng với tám bit của địa chỉ Internet. Các địa chỉ IP được cấp phát bởi các quản trị viên mạng hoặc được cung cấp bởi DHCP Server trên mạng.
2. Các mạng lớp A, B, C và việc phân chia mạng 2.1. Các mạng lớp A Có 8 bit đầu tiên được ấn định bởi InterNIC, những người quản trị nội bộ của mạng ấn định 24 bit còn lại. Tám bít bên trái nhất có thể có những giá trị từ 0 (0000.0000) đến 126 (0111.1110), cho phép đến 127 mạng lớp A, mỗi mạng có thể chứa đến 224 host (hơn 16,7 triệu host). 00000000 0
XXXXXXXX X
XXXXXXXX X
XXXXXXXX X
........................................................................................................................
01111110 126
XXXXXXXX X
XXXXXXXX X
XXXXXXXX X
2.2. Các mạng lớp B Có 16 bít đầu tiên được ấn định trước các địa chỉ lớp B luôn luôn có những giá trị từ 128 (1000.0000) đến 191 (1011.1111) trong quad thứ nhất của chúng, sau đó là một giá trị từ 0 đến 255 trong quad thứ hai Có 16.384 mạng lớp B, mỗi mạng có thể có đến 216 = 65536 host. 10000000 128
00000000 0
XXXXXXXX X
XXXXXXXX X
............................................................................................................. 10111111 191
11111111 255
XXXXXXXX X
XXXXXXXX X
2.3. Các mạng lớp C Có 24 bit bên trái nhất được ấn định bởi InterNIC, còn 8 bit dành cho những người quản trị mạng.
ĐTNCPT – TTCNTT – EVN
3
Windows Server 2003 Các địa chỉ mạng lớp C bắt đầu bằng một giá trị từ 192 (1100.0000) đến 223 (1101.1111) trong quad thứ nhất, các quad thứ hai và thứ ba có giá trị từ 0 đến 255. Có 2.097.152 mạng lớp C, mỗi mạng có tối đa 254 host. 11000000
00000000
192
00000000
0
XXXXXXXX
0
X
............................................................................................................... 11011111
11111111
223
11111111
255
XXXXXXXX
255
X
3. Các địa chỉ không định tuyến (nonroutable) RFC 1918 quy định ba phạm vi địa chỉ không định tuyến (nonrountable) là: 10.0.0.0 – 10.255.255.255 (EVNIT) 172.16.0.0 – 172.31.255.255 192.168.0.0 -192.168.255.255
4. Các địa chỉ không sử dụng trên Internet 4.1. Địa chỉ định tuyến mặc định Địa chỉ 0.0.0.0 là địa chỉ chỉ tới toàn bộ Internet, là địa chỉ để phần mềm IP trên mối máy gửi gói dữ liệu đến khi nó không biết gửi đi đâu. 0.x.y.x là một địa chỉ lớp A, do đó có 16.7 triệu địa chỉ như vậy không được sử dụng. 4.2. Địa chỉ quay vòng Địa chỉ 127.0.0.1 được dành riêng làm địa chỉ quay vòng (loopback). Các thông điệp được gửi tới địa chỉ loopback sẽ không đi ra khỏi mạng. Do đó không có mạng nào có địa chỉ IP là 127.x.y.z. Như vậy sẽ có 16,7 triệu địa chỉ bắt đầu bằng 127.x.y.z không được sử dụng. 4.3. Địa chỉ đại diện cho mạng Các địa chỉ kết thúc bằng tất cả các số nhị phân 0 là địa chỉ đại diện cho mạng. Những địa chỉ này sẽ không được sử dụng để gán cho các máy trong mạng. Ví dụ địa chỉ đại diện cho một mạng con lớp C có địa chỉ IP từ 195.134.25.0 đến 195.134.25.255 sẽ là 195.134.25.0. 4.4. Địa chỉ Broadcast Là các địa chỉ kết thúc bằng tất cả các số nhị phân 1 là địa chỉ Broadcast cho mạng. Ví dụ một mạng con lớp C sẽ có địa chỉ Broadcast là x.y.z.255. 4.5. Địa chỉ router mặc định Thông thường địa chỉ sau địa chỉ đại diện cho mạng con sẽ là địa chỉ gateway (hoặc router) mặc định.
5. Mặt nạ mạng con (subnet mask) Là một dãy chữ số nhị phân 32 bít bao gồm hai phần: phần đầu là toàn bộ các bít 1, phần sau là toàn bộ các bít 0 ĐTNCPT – TTCNTT – EVN
4
Windows Server 2003 Mặt nạ mạng con nhằm mục đích chia nhỏ các mạng lớn thành các mạng con để dễ quản lý hơn. Địa chỉ đại diện cho mạng con là địa chỉ đầu tiên trong phạm vi địa chỉ vừa thu được từ việc phân chia mạng con. Địa chỉ Broadcast của mạng con sau khi phân chia lại mạng là địa chỉ cuối cùng trong phạm vi địa chỉ đó.
6. Cách phân chia mạng con theo kỹ thuật CIDR (Classless Inter-Domain Routing) Các mạng CIDR được mô tả dưới dạng các mạng slash x, trong đó x là một con số tượng trưng cho số bit trong phạm vi địa chỉ IP mà IANA kiểm soát. Về mặt lý thuyết IANA không chỉ quy định các mạng lớp A, B và C mà nó còn có thể cung cấp các mạng có subnet mask nằm giữa các mạng A, B, C nữa. Số bít để tuỳ nghi phân phối là rất linh hoạt phù hợp với nhiều đối tượng khác nhau. Các loại mạng CIDR Loại mạng IANA
Subnet mask cho toàn bộ mạng đó
Số lượng địa chỉ IP
Slash 0
0.0.0.0
4 tỷ
Slash 1
128.0.0.0
2 tỷ
Slash 2
192.0.0.0
1 tỷ
Slash 3
224.0.0.0
512 triệu
Slash 4
240.0.0.0
256 triệu
Slash 5
248.0.0.0
128 triệu
Slash 6
252.0.0.0
64 triệu
Slash 7
254.0.0.0
32 triệu
Slash 8
255.0.0.0 (mạng lớp A)
16 triệu
Slash 9
255.128.0.0
8 triệu
Slash 10
255.192.0.0
4 triệu
Slash 11
255.224.0.0
2 triệu
Slash 12
255.240.0.0
1 triệu
Slash 13
255.248.0.0
524.288
Slash 14
255.252.0.0
262.144
Slash 15 255.254.0.0 ĐTNCPT – TTCNTT – EVN
131.072 5
Windows Server 2003
Slash 16
255.255.0.0 (mạng lớp B)
65.536
Slash 17
255.255.128.0
32.768
Slash 18
255.255.192.0
16.384
Slash 19
255.255.224.0
8.192
Slash 20
255.255.240.0
4.096
Slash 21
255.255.248.0 (EVNIT)
2.048
Slash 22
255.255.252.0
1.024
Slash 23
255.255.254.0
512
Slash 24
255.255.255.0 (mạng lớp C)
256
Slash 25
255.255.255.128
128
Slash 26
255.255.255.192
64
Slash 27
255.255.255.224
32
Slash 28
255.255.255.240
16
Slash 29
255.255.255.248
8
Slash 30
255.255.255.252
4
Slash 31
255.255.255.254
2
Slash 32
255.255.255.255
1
7. Các socket, các cổng và tập hàm giao tiếp Winsock Các chương trình làm việc trên Internet hoặc Intranet đều hoạt động theo mô hình client-server dựa trên các socket. Một socket được tạo bởi ba thành phần chính là: địa chỉ IP của máy nhận, số hiệu cổng (port number) của chương trình nhận và loại cổng (TCP hoặc UDP) TCP/IP và UDP đều sử dụng con số 16 bit để chỉ số hiệu cổng mà chương trình sử dụng để truyền nhận thông tin. Có 216 = 65.536 cổng khác nhau được sử dụng. Một số chương trình phổ biến sử dụng một số cổng nổi tiếng như trong bảng dưới đây: Giao thức Internet
Port Number
FTP
TCP 20/21
ĐTNCPT – TTCNTT – EVN
6
Windows Server 2003 Telnet
TCP23
SMTP
TCP25
DNS
UDP và TCP 53
HTTP
TCP 80
Đăng nhập Kerberos
UDP và TCP88
POP3
TCP 110
NNTP
TCP 110
NETBIOS
UDP và TCP 137, UDP 138, TCP 139
SNMP
UDP 161/162
Security HTTP (SSL)
TCP và UDP 443
SMB over socket
TCP/UDP 445
SQL server
UDP/TCP 1433
8. ĐỊnh tuyến cho các địa chỉ nonrouable: Network Address Translation (NAT) 8.1. Tổng quan về Internet Connection Sharing (ICS) ICS được sử dụng để chia sẻ kết nối Internet cho các máy khác nhau trong một mạng LAN. Một máy chạy ICS có thể phục vụ cho nhiều kết nối cùng một lúc tới các địa chỉ khác nhau bằng cách sử dụng các cổng khác nhau cho mỗi yêu cầu kết nối. Việc thông tin giữa máy chạy ICS với các máy trong mạng nội bộ (máy nonroutable) của bạn thông qua các cổng được gọi là PAT (Port Address Translation). ICS là một mẩu phần mềm PAT routing được tích hợp trong Windows 2003. ISC được bổ sung thêm một phần mềm NAT routing mạnh hơn giúp người sử dụng có thể kết nối một địa chỉ IP routable cụ thể với một địa chỉ IP nonroutable cụ thể. 8.2. Cách thức hoạt động của ICS Để có thể chia sẻ các kết nối Internet cho các máy có địa chỉ nonroutable, máy tính đang chạy ICS sẽ phân phối các địa chỉ IP riêng biệt cho các máy trong mạng. Dải địa chỉ IP mà nó sẽ phân phối tuân thủ RFC1918, là các địa chỉ nonroutable, thông thường trong dải 192.168.0.2 đến 192.168.0.254 và cấp cho chính nó một địa chỉ IP khác nữa là 192.168.0.1 ngoài địa chỉ IP routable sẵn có mà nhà cung cấp dịch vụ đã cấp cho nó. Khi một máy trong mạng có địa chỉ nonroutable có một yêu cầu truy nhập một Web site trên Internet, nó phải gửi một yêu cầu kết nối đến máy làm chức năng routing bởi vì địa chỉ của nó là địa chỉ nonroutable sẽ không được gửi đi trên Internet. Máy làm chức năng routing sẽ dùng địa chỉ routable của nó để chuyển yêu cầu đó ra Internet. Khi máy trên Internet hồi đáp lại yêu cầu đó, nó cũng chỉ liên lạc với máy làm chức năng routing mà không hề biết thực sự là nó đang liên ĐTNCPT – TTCNTT – EVN 7
Windows Server 2003 lạc với máy có địa chỉ nonroutable. Các hồi đáp đó sẽ được các máy routing chuyển đến máy trong mạng đã khởi xướng yêu cầu liên lạc. Máy chạy ICS còn có khả năng phục vụ cùng một lúc nhiều máy trong mạng có yêu cầu trao đổi thông tin ra ngoài Internet thông qua các cổng khác nhau cho mỗi yêu cầu. Sau đó máy routing lại sử dụng số hiệu cổng đến được hồi đáp từ các máy trên Internet để chuyển đổi các số hiệu cổng đó ra một địa chỉ nonroutable trong mạng. Quy trình này được gọi là Port Address Translation (PAT). ICS là một mẩu phần mềm PAT được tích hợp sẵn trong Windows Server 2003.
9.Thiết lập TCP/IP trên Win 2003 với các địa chỉ IP tĩnh 9.1. Định cấu hình TCP/IP với một địa chỉ IP tĩnh Để thiết lập địa chỉ IP cho các máy sử dụng Windows Server 2003, bạn làm theo hướng dẫn sau: Start/Control Panel/Network Connections, nhắp phải chọn Open, sẽ xuất hiện cửa sổ như hình 2.1
Hình 2.1: Các mối nối kết mạng Cửa sổ này trình bày từng NIC trong máy bạn. Nhắp phải vào NIC tương ứng trên máy và chọn Properties, khung thoại như hình 2.2 xuất hiện
Hình 2.2: Khung thoại đặc tính của một mối nối kết LAN Nhắp Internet Protocol (TCP/IP) rồi nhắp nút Properties, xuất hiên khung thoại như hình 2.3 ĐTNCPT – TTCNTT – EVN
8
Windows Server 2003
Hình 2.3: Trang đặc tính IP của card mạng Bạn chọn “Use the following IP Address” sau đó điền địa chỉ IP của máy, mặt nạ mạng con, địa chỉ của default gateway và các địa chỉ của một hoặc nhiều DNS server. Sau khi nhập xong các địa chỉ bạn nhấn OK hai lần để đóng các khung đặc tính IP và LAN. 9.2. Kiểm nghiệm cấu hình IP Mở cửa sổ dòng lệnh gõ lệnh ipconfig /all, kết quả sẽ xuất hiện như hình 2.4.
Hình 2.4: Dữ liệu xuất hiện sau lệnh ipconfig /all Lệnh ping ipaddress cho phép xác định xem phần mềm TCP/IP trên máy bạn có mở lên và chạy tốt không và bạn có một mối nối kết với các điểm khác không. 9.3. Gia nhập vào miền Active Directory có cùng tên Nhắp Start/Control Panel/System, chọn tab Computer Name như hình 2.5
ĐTNCPT – TTCNTT – EVN
9
Windows Server 2003
Hình 2.5: Trang Computer Name Nhấn vào nút Change sẽ xuất hiện khung thoại như hình 2.6, chọn radio button Domain rồi nhập tên của domain mà bạn muốn gia nhập. Sau một khoảng thời gian ngắn sẽ xuất hiện khung thoại yêu cầu bạn nhập User name và Password để xác nhận quyền gia nhập vào Domain của bạn. Sau đó máy yêu cầu reboot để các thay đổi có hiệu lực. Để một máy là thành viên của hai miền khác nhau bạn nhấn vào nút More trên hình 2.6, khung thoại DNS Suffix and NetBIOS Computer Name sẽ xuất hiện như trong hình 2.7 Để một máy vừa là thành viên của miền DNS Internet vừa là thành viên của một miền Active Directory bạn bỏ ô duyệt đó đi và trong khung Primary DNS suffix of this computer bạn điền tên của miền DNS bạn muốn gia nhập vào.
Hình 2.6: Khung thoại Computer Name Changes
ĐTNCPT – TTCNTT – EVN
10
Windows Server 2003
Hình 2.7: Khung thoại DNS Suffix and NetBIOS Computer Name Để thay đổi thứ tự tìm kiếm tên miền (domain search order) bạn nhấn vào nút Advanced trong hình 2.3 để làm xuất hiện khung thoại đặc tính Advanced TCP/IP Settings có bốn trang với chức năng như sau: IP Setting: Cho phép bạn đưa thêm vào nhiều địa chỉ IP hoặc sửa đổi một số đặc tính routing nào đó đối với mối nối kết LAN dùng TCP/IP đang xét. DNS: Kiểm soát cách cách sử dụng DNS của mỗi nối kết TCP/IP đang xét. WINS: Kiểm soát cách thức mà mối nối kết TCP/IP đang xét nhận diện và liên lạc với những máy mà không có khả năng dùng Active Directory. Options: Cho phép bạn giới hạn những cổng nào mà mối nối kết TCP/IP có thể dùng để liên lạc.
Hình 2.8: Trang đặc tính DNS nâng cao
10. Thiết lập chế độ định tuyến trên các máy Windows 2003, NT và Windowws 9x 10.1. Lệnh route add Lệnh route add dùng để đưa các đề mục vào các bảng thông tin tiếp vận. Cú pháp: route add destination mask netmask gatewayaddress Trong đó: ĐTNCPT – TTCNTT – EVN
11
Windows Server 2003 destination địa chỉ hoặc nhóm địa chỉ mà bạn muốn máy trạm gửi đến (địa chỉ đại diện cho
mạng đích) netmask là giá trị mặt nạ mạng con (subnet mask) của mạng bạn cần gửi tới. gatewayaddress là địa chỉ IP của card mạng tiếp nhận dữ liệu của máy router.
Để máy tính của bạn vẫn có thể nhớ được lệnh này khi restart lại, thêm tham số -p sau từ route và trước từ add. 10.2. Xem bảng thông tin định tuyến (routing table) Để xem các thông tin tiếp vận của máy sử dụng một trong hai lệnh sau: netstat –rn hoặc route print
Hình 2.9: Ví dụ về xuất hiện dữ liệu của lệnh netstat -rn Mỗi dòng là một đường tiếp vận bao gồm các thông số sau: Network Destination: địa chỉ mạng đích. Netmask: mặt nạ mạng con, giúp xác định có bao nhiêu địa chỉ tại mạng đích đó. Gateway: địa chỉ máy router, là địa chỉ IP mà máy này cần đưa các gói dữ liệu của nó tới để có thể chuyển tiếp đến đích. Interface: là card giao tiếp mạng được sử dụng để đến được gateway trong trường hợp có nhiều card mạng trên máy. Metric: giúp IP xác định đường tiếp vận tối ưu khi nó có nhiều phương án lựa chọn. Metric bằng số router đi qua cộng 1. Nếu metric bằng một thì đích đến của gói tin nằm trên cùng một mạng con. Nếu có hai con đường để chuyển gói tin tới cùng một địa chỉ thì gói tin sẽ được chuyển tới đích theo con đường nào có metric nhỏ hơn. Nếu các đường tiếp vận lại có metric bằng nhau thì nó sẽ gửi đến đến máy nào có subnet mask cụ thể nhất. Trong Windows XP và Windows 2003 giá trị của metric được ấn định thông qua tốc độ kết nối mạng. Tốc độ kết nối metric >200 Mbps
10
20 – 200 Mbps
20
4 – 20 Mbps
30
ĐTNCPT – TTCNTT – EVN
12
Windows Server 2003 500Kbps – 4Mbps
40
< 500 Kbps
50
Để vô hiệu hoá việc ấn định Metric tự động của các máy tính, trong khung thoại IP Setting xuất hiện sau khi ấn nút Advanced trong hình 2.3, bỏ nút duyệt Automatic metric như trong hình 2.10.
Hình 1.10: Hộp thoại Advanced TCP/IP Setting. Để ấn định metric cho mỗi card mạng hãy nhập giá trị vào trong ô Interface matric như trong hình 2.10. Ngoài ra bạn có thể bổ sung thông số metric cho mỗi đường tiếp vận riêng biệt bằng cách thêm tham số metric vào lệnh router add. Ví dụ: route add 200.15.16.0 mask 255.255.255.0 210.50.200.22 metric 2.
11. Giao thức thông tin tiếp vận (RIP – Routing Information Protocol) Để đơn giản hoá việc thiết lập các routing table, trong Win2K và WinS2K3 đã tích hợp sẵn phần mềm RIP ver2. Các router chạy RIP cứ hai lần mỗi phút lại loan báo các routing table của chúng khắp mạng. Các máy trạm chạy RIP đều nghe thấy và tích hợp chúng vào routing table của chính nó.
12. Sử dụng máy WINS2K3 làm router giữa các LAN Yêu cầu máy dùng làm router phải có hai card mạng, mỗi kết nối được đặt thành các tên khác nhau cho dễ gợi nhớ. Trong Win2K hoặc WinXP Pro, có thể thiết lập tính năng nay bằng cách tìm đến khoá HKEY_LOCAL_MACHINE\System\CurentControlSet\Services\Tcpip\Parameters có đề mục tên là IPEnableRouter có giá trị mặc định là 0, thay đổi giá trị đó thành 1 rồi restart lại máy. Các máy sau khi restart lại có khả năng định tuyến tĩnh giữa các mạng con mà nó kết nối trực tiếp. Trong WINS2K3, sử dụng chế độ routing bằng cách nhấn Start/Control Panel/ Administrative Tools/ Routing and Remote Access để làm xuất hiện cửa sổ MMC như hình 2.11. ĐTNCPT – TTCNTT – EVN
13
Windows Server 2003
Hình 2.11: Màn hình mở màn của dịch vụ Routing and Remote Access Nhắp phải chuột vào biểu tuợng tên máy trong ngăn bên trái rồi chọn Configure and Enable Routing and Remote Access, khi đó xuất hiện một Wizard tên là Routing and Remote Access Server Setup Wizard. Nhấn Next và bạn sẽ thấy xuất hiện một khung thoại như hình 2.12.
Hình 2.12: Màn hình của RRAS Setup Wizad Chọn Custom Configuration rồi nhấn Next, màn hình Custom Configuration xuất hiện như hình 2.13. Chọn mục LAN Routing rồi nhắp Next và Finish để hoàn thành.
Hình 2.13: Chọn loại router cần thực hiện ĐTNCPT – TTCNTT – EVN
14
Windows Server 2003 WINS2K3 sẽ hỏi bạn có muốn khởi động dịch vụ Routing and Remote Access hay không, chọn Yes, xuất hiện màn hình như trong hình 2.14.
Hình 2.14: Console quản lý của RRAS với tính năng routing đã được bật Sau khi xây dụng thành công router của mình, phải ấn định defautl gateway cho các máy trong các mạng bằng cách sử dụng lệnh route add. Hoặc có thể bổ sung đường tiếp vận tĩnh trên bằng giao diện đồ hoạ trong RRAS. Trong ngăn trái của cửa sổ Routing And Remote Access chọn Folder Ip Routing, mở nó ra và chọn đối tượng Static Routers rồi chọn New Statics Route, khung thoại như hình 2.15 xuất hiện.
Hình 2.15: Khung thoại bổ sung một đường tiếp vận tĩnh Bạn nhập các giá trị thích hợp vào các ô trong khung thoại và nhấn OK để kết thúc.
13. Sử dụng máy WINS2K3 làm gateway/router để nối với Intenet 13.1. Định tuyến giữa LAN và WAN bằng ICS (Internet Connection Sharing) Yêu cầu: •
Máy duy nhấp trên LAN có một địa chỉ IP routable (do IANA hoặc ISP cung cấp) là máy được sử dụng làm gateway.
•
Các máy khác chỉ có những địa chỉ nonroutable.
Chức năng này nói chung được gọi là NAT (Network Address Translation). Kể từ Windows 98 SE các hệ điều hành của Microsoft đều có khả năng đóng vai trò NAT router. Mang tên là Internet Connection Sharing (ISC) tính năng này sẽ áp dụng trên mọi loại mối nối kết Internet ĐTNCPT – TTCNTT – EVN
15
Windows Server 2003 Trước khi tiến hành bạn phải bảo đảm dịch vụ Routing and Remote Access (RRAS) không được chạy trên máy kết nối Internet. ISC sẽ không chạy trên máy có dịch vụ RRAS đang được bật. Ba bước thực hiện việc kết nối ICS: 1. Nối tất cả các máy nội bộ của bạn thành một mạng. Các máy được đặt ở chế độ nhận địa chỉ IP động (do ICS có kèm trong nó một DHCP server cơ bản không cần cấu hình) 2. Nối kết một trong các máy đó (máy đang chạy ICS) vào Internet thông qua một modem hoặc một card mạng khác. Trên mối nối kết với Internet, bạn mở dịch vụ ICS lên bằng cách nhắp phải vào mối nối kết với Internet rồi chọn Properties, trong khung thoại đặc tính bạn chọn tab Advanced. Tuỳ thuộc vào mối nối kết của bạn với Internet như thế nào bạn sẽ thu được các trang Advanced khác nhau. Hình 2.16 là trang Advanced của một kết nối Internet thông qua một card mạng. Trong các trang đó hãy duyệt vào các ô có nhãn là Allow other network users to connect throught this computer’s Internet connection rồi nhấp OK để đóng trang đặc tính đó lại. Khi quay trở lại của sổ Network Connection kết nối với Internet đã có thêm biểu tượng “Share” như hình 2.17.
Hình 2.16: Trang Advanced dành cho một kết nối thông qua NIC
Hình 2.17: Cửa sổ Network Connection khi ICS được mở 3. Ra lệnh cho tất cả các máy trong mạng nội bộ tự động nhận các địa chỉ IP của chúng do máy ICS cấp phát rồi reboot chúng. Những hạn chế của ICS: 1. Không thể can thiệp được vào hoạt động của DHCP server được tích hợp trong ICS. 2. Mọi máy trên mạng nội bộ đều có khả năng truy cập Internet nhưng các máy trên Internet không thể truy cập vào các máy trên mạng riêng. 13.2. Thiết lập RRAS/NAT hoạt động giống như ICS ĐTNCPT – TTCNTT – EVN
16
Windows Server 2003 Để khắc phục những nhược điểm của ICS, chúng ta sử dụng NAT (Network Address Translation). NAT có khả năng yểm trợ cho các mối kết nối inbount (từ ngoài vào trong mạng nội bộ). Việc thiết lập NAT phức tạp hơn ICS một chút, do đó ta sẽ bắt đầu bằng cách lặp lại các chức năng giống như ICS rồi sau đó mới bổ sung những mối kết nối inbount. Trước hết vô hiệu hoá chức năng ICS trên máy kết nối Internet. Khởi động dịch vụ RRAS bằng cách vào Start/ Control Panel/Administrative Tools/ Routing and Remote Access để làm xuất hiện cửa sổ MMC như hình 2.11. Nhắp phải chuột vào biểu tuợng tên máy trong ngăn bên trái rồi chọn Configure and Enable Routing and Remote Access, khi đó xuất hiện một Wizard tên là Routing and Remote Access Server Setup Wizard. Nhấn Next và bạn sẽ thấy xuất hiện một khung thoại như hình 2.12. Chọn Network Address Translation (NAT) rồi chọn Next để đến với màn hình cấu hình NAT như trong hình 2.18.
Hình 2.18: Chọn mối nối kết NAT Chọn NIC sử dụng để kết nối với Internet (theo mặc định máy sẽ chọn NIC có địa chỉ routable). Nếu dùng modem để kết nối bạn phải chọn mục Create a new demand-dial interface to the Internet. Bạn có thể chọn ô duyệt để mở một firewall nếu máy bạn có kết nối trực tiếp với Internet, nếu máy bạn không kết nối trực tiếp bạn không cần sử dụng ô duyệt này. Nhấn Next để nhìn thấy màn hình như trong hình 2.19.
Hình 2.19: Giải quyết vấn đề DNS và DHCP trên mạng Bạn nhắp chọn Enable Basic name and address services rồi nhắp Next báo cho NAT phải dùng những địa chỉ nào như bạn thấy trong hình 2.20. ĐTNCPT – TTCNTT – EVN
17
Windows Server 2003
Hình 2.20: NAT ấn định một phạm vi địa chỉ DHCP của nó Sau khi có những địa chỉ bạn nhấn Next và Finish để kết thúc. NAT router đã hoạt động cửa sổ RRAS sẽ xuất hiện như trong hình 2.21.
Hình 2.21: RRAS sau khi cài đặt NAT 13.3. Tăng cường tính năng cho NAT Ở mục trước ta đã thiết lập một NAT router với các chức năng giống như ICS. Mục này sẽ hướng dẫn cách bổ sung thêm các tính năng khác cho NAT
Ánh xạ cổng Dùng để khắc phục nhược điểm của ICS là các máy trên mạng Internet không thể truy cập vào các máy nằm trên mạng riêng được NAT cho phép bạn chuyển hướng (rederect) một cổng cụ thể nào đó trên một router đến một cổng nào đó trên một máy cụ thể trên mạng nội bộ có địa chỉ nonroutable. Để báo cho NAT biết bạn chuẩn bị chuyển hướng một cổng cụ thể đến một địa chỉ nội bộ cụ thể, bạn mở cửa sổ RRAS rồi mở đối tượng NAT/Basic Firewall trong ngăn bên trái, ngăn bên phải sẽ xuất hiện ba đối tượng Intranet NIC : NIC nối với Internet, và NIC nối với mạng nội bộ. Bạn nhắp phải chuột vào NIC nối với Internet chọn Properties chọn Services and Ports, khi đó sẽ xuất hiện màn hình như hình 2.22.
ĐTNCPT – TTCNTT – EVN
18
Windows Server 2003
Hình 2.22: Chọn dịch vụ và cổng tương ứng cần ánh xạ Bạn chọn dịch vụ tương ứng mà bạn muốn đặt trên máy nội bộ, giả sử tôi chọn Web Server. Khi đó sẽ xuất hiện khung thoại Edit Server như hình 2.23.
. Hình 2.23: Ánh xạ một cổng cụ thể lên một máy cụ thể trong NAT Nhập địa chỉ IP của server đó vào trường Private Address rồi nhắp OK. Ý nghĩa của việc ánh xạ cổng này là làm cho firewall cơ bản mở cổng đó ra (nếu bạn sử dụng firewall)
Điều chỉnh phạm vi địa chỉ và các tuỳ chọn về firewall Để thay đổi phạm vi địa chỉ mà NAT router cung cấp cho các máy trong mạng nội bộ, trong cửa sổ RRAS bạn nhắp phải vào đối tượng NAT/Basic Firewall chọn Properties rồi nhắp chọn trang Address Assignment, khung thoại như hình 2.24.
Hình 2.24: Thay đổi phạm vi địa chỉ nội bộ
ĐTNCPT – TTCNTT – EVN
19
Windows Server 2003 Từ trang này bạn có thể thay đổi phạm vi địa chỉ nội bộ bất kỳ mà bạn muốn cấp phát cho mạng con với điều kiện địa chỉ tĩnh mà bạn cấp cho NIC nối với mạng riêng phải nằm trên cùng một phạm vi địa chỉ. Để ngăn DHCP server cung cấp một hoặc một số địa chỉ IP nào đó trong phạm vi địa chỉ của mạng con, nhắp ô Exclude rồi chỉ định chúng. Để bật tắt chế độ firewall, mở đối tượng NAT/Basic Firewall trong ngăn bên trái của của sổ RRAS, chọn hình tượng đại diện cho NIC kết nối vào Internet, nhắp phải hình tượng đó và chọn Properties, nhắp trang NAT/Basic Firewall như hình 2.25.
Hình 2.25: Việc bật tắt Firewall Nhắp duyệt ô Enable a basic firewall on the Interface, thế là mạng nội bộ của bạn có một mức độ bảo vệ cơ bản chống lại sự xâm nhập từ bên ngoài.
14. Tìm hiểu IPSec Hệ thống IP thông thường thì thiếu tính bảo mật nhưng phần lớn các cuộc trao đổi thông tin trên mạng Internet thực sự cần đến bảo mật. IPSec là một bộ giao thức hoạt động cùng lớp với IP và nó cung cấp các mức độ bảo mật khác nhau dựa trên IP. Về cơ bản nó cung cấp bốn mức bảo mật sau: 1. Ngăn chặn những gói dữ liệu truyền (block transmissions): Mức bảo mật này có tác dụng ngăn chặn những gói dữ liệu truyền đến từ một máy cụ thể. Khi có một gói dữ liệu nào đến từ một máy mà đã được thiết lập trong IPSec thì các gói dữ liệu này sẽ bị loại bỏ 2. Mã hoá những gói dữ liệu truyền (encrypt transmissions): Ở mức độ bảo mật này IPSec sử dụng giao thức Encapsulating Security Payload (ESP) để mã hoá dữ liệu cần truyền trước khi gửi nó lên mạng. Những kẻ xem trộm chỉ thấy nó là một dòng byte ngẫu nhiên không đọc được. 3. Ký tên vào những gói dữ liệu truyền (sign transmissions): IPSec sử dụng giao thức Authentication Header (AH) để ký tên số hoá vào gói dữ liệu truyền, đảm bảo để bên nhận biết được gói dữ liệu mà họ nhận được là còn nguyên vẹn chưa bị sửa đổi. Việc ký tên số hoá chỉ ngăn ngừa được sự giả mạo thông tin và sai lạc thông tin mà không ngăn cản được sự nghe trộm thông tin. 4. Cho phép truyền thoải mái (permit transmissions): những dữ liệu được truyền đi mà không thay đổi gì cả, không cần ký tên cũng như mã hoá chúng và không kiểm tra sự toàn vẹn dữ liệu. ĐTNCPT – TTCNTT – EVN
20
Windows Server 2003 14.1. Các bộ lọc IP Các bộ lọc (filter) IP dùng để giới hạn IPSec khống chế các dữ liệu truyền: •
Theo địa chỉ IP, subnet hoặc tên DNS của máy nguồn.
•
Theo địa chỉ IP, subnet hoặc tên DNS của máy đích.
•
Theo số hiệu cổng và lạo cổng (TCP, UDP, ICMP...)
Tát cả những điều này được tạo ra nhằm cung cấp một mức độ linh hoạt mềm dẻo rất tinh vi trong việc thực hiện IPSec. 14.2. Quy tắc IPSec (IPSec rule) Ngăn chặn, mã hoá, ký tên hoặc cho phép các gói dữ liệu truyền được gọi là một tác động (action) IPSec. Khi kết hợp một action với một bộ lọc IPSec ta có được một quy tắc IPSec. Như vậy: Quy tắc IPSec = Các tác động IP + Các bộ lọc IP 14.3.Xác minh (Authentication) Để làm cho các chữ ký số hoá hoặc việc mã hoá có tác dụng, bạn cần phải có một bộ chìa khoá dựa trên sự thoả thuận, đó là các mật khẩu. Vì thế khi bạn tạo ra một quy tắc IPSec thì bạn phải chỉ cho IPSec cách xác minh (anthentication). Cách thực hiện IPSec của Microsoft yểm trợ ba phương pháp xác minh: Kerberos, Certificate và Agreed-upond key. Phương án Kerberos chỉ áp dụng được giữa các máy trong cùng một miền AD hoặc trong những miền AD có uỷ quyền cho nhau. Phương án Certificate cho phép sử dụng các chưnứg chỉ PKI (Public Key Infrastructure – Cơ sở hạ tầng khoá công khai) để nhận diện một máy. Phương án Agreed-upond key cho phép bạn dùng một chuỗi ký tự văn bản bình thường làm chìa khoá. 14.4. Cách hoạt động của IPSEC trong Windows Trong hệ điều hành WIN2K và các hệ điều hành sau đó không có công cụ IPSec được xây dựng sẵn. Thay vào đó, Microsoft thiết lập mọi thứ để bạn thực hiện IPSec hoàn toàn thông qua các chính sách, bất kể là chính sách trên máy tại chỗ hay chính sách dành cho miền. Để thực hiện IPSEC trước hết chúng ta mở công cụ snap-in Local Security Policy lên: Bạn nhắp Start/ Program/ Administrator Tools/ Local Security Policy, hoặc Start/ Run rồi gõ: Secpol.msc vào rồi nhấn <Enter>. Khi đó xuất hiện snap-in Local Security Policy, và trong ngăn bên trái, bạn sẽ thấy hình tượng IP Security Policies on Local Machine. Hãy nhắp lên đó, và bạn sẽ thấy một màn hình giống như trong Hình 2.26.
Hình 2.26: Các chính sách IPSec ban đầu ĐTNCPT – TTCNTT – EVN
21
Windows Server 2003 Các chính sách IPSEC được xây dựng sẵn Trong ngăn bên phải, bạn sẽ thấy ba chính sách: Client (Respond Only), Secure Server (Require Security), và Server (Request Security). Client (Respond Only): không dùng IPSec trừ khi được yêu cầu. Server (Require Security): máy Server sẽ sử dụng IPSec nếu có thể. Trong trường hợp các máy Client không thể dùng IPSec thì Server này vẫn phải liên lạc với nó. Secure Server (Require Security): được thiết kế để không cho phép các cuộc trao đỏi dữ liệu không sử dụng IPSec. Đó là ba chính sách được xây dựng sẵn mà Microsoft kèm theo trong WINS2K3 và theo mặc định, chữ No kết bên mỗi chính sách điều đó có nghĩa là chưa có chính sách nào trong số chúng được hoạt hóa (tức được bổ nhiệm - assigned). Để hoạt hóa một chính sách bất kỳ, nhấp phải nó rồi chọn lệnh Assign. Chỉ có thể để cho một chính sách được hoạt hóa tại một thời điểm. Nếu muốn bổ sung một chức năng nào đó vào một chính sách IPSEC hiện có, thì bạn không thể chỉ việc tạo ra một chính sách mới rồi assign nó, bởi vì điều đó sẽ làm unassign (khử hoạt) chính sách nào đó hiện đang có hiệu lực. Cách đúng đắn để xứ lý nhiều chính sách cùng được hoạt hoá là tạo ra một chính sách bao gồm nhiều qui tắc Hãy ôn lại những gì đã biết cho tới nay về IPSEC:
1. Bạn kiểm soát và đưa vào áp dụng (enable) IPSEC trên các hệ điều hành của Microsoft thông qua các chính sách. Trên một máy cho trước nào đó, vào mỗi thời điểm, bạn chỉ có thể có một chính sách IPSEC được hoạt hóa mà thôi.
2. Mỗi chính sách IPSEC bao gồm một hoặc vài qui tắc, vốn cho IPSec biết phải làm những gì, và một phương pháp xác minh nào đó, vốn cho IPSEC biết cách thức mà (các) máy nhận (receiver) và (các) máy gửi (transmitter) sẽ trao đổi mật khẩu. Sau đó, chúng sẽ dùng mật khẩu đó để ký tên hoặc mã hóa cho các gói dữ liệu truyền trên mạng. Cho dù các qui tắc permit và block không dùng đến xác minh, Windows vẫn đòi bạn chỉ định phương pháp xác minh.
3. IP sec cho phép bạn xác minh thông qua Active Directory, các chứng chỉ PKI hoặc một khoá được chia sẻ cho trước.
4. Mỗi quy tắc có một hoặc nhiều bộ lọc, cho biết quy tắc đó khi nào đựoc sử dụng và mỗi quy tắc có nhiều tác động (action) vốn cho quy tắc đó biết phải làm gì.
5. Có bốn tác động mà một quy tắc có thể dùng được: block, encrypt, sign, permit. Tạo ra một chính sách IPSec theo ý riêng
15. Clustering Server để san tải Tính năng NLBC (Network Load Balancing Clusters) trong Windows Server 2003 cho phép kết nối tối đa 32 máy tính chạy Windows 2003 lại với nhau để tạo ra một Server mạnh hơn nhờ việc san sẻ tải giữa các Server được clustering. Đây không phải là sự “kết chùm server” theo nghĩa tạo công suất lớn mà ấn bản Enterprise/Advanced cung cấp. Thực chất trong nhiều máy tính này thì mỗi máy đều có một địa chỉ IP tĩnh của riêng chúng và tất cả các thành viên của chùm server ấy đều nhận thêm cùng một địa chỉ IP tĩnh nữa và đây là địa chỉ IP dùng để kết nối với thế giới bên ngoài. Khi các máy khách có yêu cầu kết nối với địa chỉ IP được chia sẻ đó, NLB sẽ phân công từng máy khách lần lượt truy cập đến mỗi thành viên của chùm server. ĐTNCPT – TTCNTT – EVN
22
Windows Server 2003 Các file Server không thích hợp để sử dụng NLB nhưng một số Server khác như Web Server, Terminal Server... đều có thể sử dụng tính năng kết chùm này. 15.1. Chuẩn bị cài đặt chùm Server NLB Để xây dựng một chùm server NLB bạn phải chuẩn bị: 1. Mỗi máy tính trong chùm Server phải có một địa chỉ IP tĩnh, các địa chỉ IP này phải thuộc cùng một mạng con. 2. Có một địa chỉ IP tĩnh khác dùng làm địa chỉ IP chung của chùm và địa chỉ IP này cũng cùng phải thuộc cùng một mạng con với các server trong chùm. 3. Có một tên DNS dành cho chùm, ví dụ như cluster.evn.com và đề mục tên đó trong cơ sở dữ liệu DNS phải tương ứng với địa chỉ IP tĩnh dành riêng cho chùm. 4. Phải có một phần mềm server nào mà bạn muốn cài đặt theo kiểu kết chùm trên các server. 15.2. Các bước cài đặt Bước 1: Cài đặt các địa chỉ IP tĩnh cho các Server trong chùm: Các Server trong chùm phải được thiết lập các địa chỉ IP tĩnh và các địa chỉ IP này phải thuộc cùng một mạng con. Sau đó cài phần mềm Server mà bạn muốn cung cấp lên các máy trong chùm. Bước 2: Tạo một đề mục DNS cho chùm server: Cấp cho chùm Server vừa tạo một cái tên à một địa chỉ IP tĩnh, sau đó đến DNS Server dành cho miền đó, tạo ra một bản ghi A tương ứng với tên và địa chỉ IP của chùm Server. Bước 3: Cài đặt NLB cho các máy trong chùm: Chúng ta lần lượt cài đặt NLB cho các máy trong chùm theo các bước sau: Vào Start/Control Panel/ Network Connections/ Local Area Connection. Trong khung thoại Local Area Network Status hiện ra sau đó, nhắp nút Properties, khi đó một khung thoại sẽ xuất hiện như hình .
Khung thoại đặc tính của một NIC Như quan sát trên hình, dịch vụ Network Load Banlancing đã bị bỏ duyệt, bạn duyệt vào ô đó rồi nhấn Properties, khi đó một khung thoại sẽ xuất hiện như hình sau:
ĐTNCPT – TTCNTT – EVN
23
Windows Server 2003
Nhận diện đặc điểm chùm server Nhập địa chỉ IP chung cho toàn bộ chùm Server và subnet mask của chùm vào các ô tương ứng trong phần Cluster IP configuration. Nếu muốn sử dụng tính năng điều khiển từ xa, bạn đánh dấu vào ô Allow remote control và nhập Password vào các ô tương ứng.Trang này bạn phải cấu hình giống nhau cho tất cả các Server trong chùm. Chuyển sang trang Host Parameters như hình dưới, bạn nhập địa chỉ IP và Subnet mask của riêng từng máy vào các ô tương ứng trong phần Dedicated IP Configuration, nhập một độ ưu tiên vào ô Priority, sau đó nhấn OK để đóng hộp thoại.
Thông tin dành riêng cho máy thành viên trong chùm Bước 4: Bổ sung địa chỉ IP của chùm Server vào từng máy: Trong hộp thoại Internet Protocol (TCP\IP) Properties, bạn nhấn nút Advanced để xuất hiện hộp thoại Advanced (TCP\IP) Setting. Trong tab IP Setting, bạn nhấn nút Add để nhập vào địa chỉ IP và Subnet mask của chùm Server như trong hình dưới, sau đó nhấn OK để đóng các khung thoại này lại. Lưu ý các thành viên trong chùm server có thể dễ dàng liên lạc được với các máy khách khác nhau nhưng bản thân chúng lại không liên lạc được với nhau, do đó lệnh ping giữa các máy trong chùm server sẽ không có kết quả.
ĐTNCPT – TTCNTT – EVN
24
Windows Server 2003
Bổ sung địa chỉ IP của chùm Server cho các máy trong chùm
ĐTNCPT – TTCNTT – EVN
25
Windows Server 2003
CHƯƠNG 3 DHCP SERVER 1. Đơn giản hoá việc cấp phát địa chỉ IP: Host và Bootp Trước khi xuất hiện DHCP Server, các quản trị viên mạng thường lưu địa chỉ IP của các máy trong một file Hosts trên server của họ. File này nhằm hai mục đích: cho biết địa chỉ IP nào đã được dùng rồi và cung cấp file hosts để sao chép đến đĩa cứng cho các máy mới. Giao thức tiếp theo được sử dụng để quản lý các địa chỉ IP cho các máy trên mạng là giao thức Bootstrap viết tắt là Bootp được mô tả trong RFC 951. Giao thức này hoạt động dựa trên nguyên tắc là quản trị viên sẽ thu thập tất cả danh sách các địa chỉ MAC của các card mạng, sau đó sẽ phân bố mội địa chỉ IP cho một địa chỉ MAC, sau đó giao cho một Server trên Intranet quản lý các cặp địa chỉ IP và MAC này. Khi một máy tính khởi động nó sẽ phát quảng bá yêu cầu của nó về một địa chỉ IP. Bootp Server nhận ra địa chỉ IP của máy loan tin ấy và cung cấp địa chỉ IP tương ứng cho máy trạm ấy cùng với một bản Hệ điều hành nhỏ để khởi động máy (bootstrap loader) từ mạng mà không cần một đĩa cứng hoặc đĩa mềm nào cả.
2. DHCP: Định cấu hình TCP/IP tự động DHCP (Dynamic Host Configuration Protocol) là giao thức cấp phát địa chỉ IP động cho các máy trên mạng nội bộ. Mỗi máy khi đăng nhập vào mạng sẽ được cấp phát các địa chỉ IP khác nhau một cách tự động mà không cần phải cấu hình thủ công cho từng máy. DHCP không cung cấp mã khởi động cho các máy trong mạng mà nó chỉ quan tâm đến việc cấp phát địa chỉ IP cho các máy trong mạng. Với DHCP bạn chỉ cần cấp phép cho nó một phạm vi địa chỉ, sau đó nó sẽ tự động cấp phát chúng cho các máy trong mạng theo nguyên tắc đến trước được giải quyết trước, đến sau được giải quyết sau cho những máy có yêu cầu cấp phát địa chỉ IP. DHCP vẫn có khả năng cấp phát các địa chỉ IP cho các địa chỉ MAC cụ thể nhờ tính năng DHCP reservation - sự giữ chỗ trước DHCP). DHPC và BOOTP đều dùng cổng UDP số 67 và 68 nên không thể cài cả DHCP và BOOTP trên cùng một máy. Đối với những máy server như các WINS server, các DNS server và các DHCP server nên cấp phát địa chỉ IP tĩnh, các máy còn lại trong mạng nên cấp phất địa chỉ IP động từ DHCP server. Các máy khác như domain controler, mail server, Web Server và những Server khác nên sử dụng tính năng DHCP reservation.
3. Cài đặt và cấu hình các DHCP server 3.1. Cài đặt DHCP server Để sẵn sằng cho việc thiết lập dịch vụ DHCP bạn cần: 1. Có một địa chỉ IP (tĩnh) sẵn sàng cho DHCP server của bạn. 2. Biết được những địa chỉ IP nào chưa được dùng đến và có thể cấp phát tự do. Cài đặt phần mềm để biến máy server của mình thành DHCP server theo các bước sau: 1. Vào Control Panel/ Add Remove Programs/ Add Remove Windows Components. 2. Nhắp chọn Networking Services rồi nhắp nút Details. 3. Duyệt vào ô Dynamic Host Configuration Protocol (DHCP). 4. Nhấn OK để quay về Windowws Components Wizard. ĐTNCPT – TTCNTT – EVN
26
Windows Server 2003 5. Nhấn Next để cài đặt dịch vụ đó, nhấn Finish để kết thúc. Nhấn Close để đóng Add Remove Windows Components. Không cần phải khởi động lại máy sau khi kết thúc cài đặt. 3.2. Cấu hình cho DHCP server Cấu hình cho DHCP server sử dụng công cụ snap-in MMC. Vào Control Panel/ Administrative Tools/DHCP. Màn hình cấu hình DHCP xuất hiện như trong hình 3.1
Hình 3.1: Màn hình mở màn của trình quản lý DHCP Công cụ snap-in này liệt kê Server trong ngăn bên trái và cho phép kiểm soát đựoc nhiều DHCP Server cùng một lúc. Để thêm một DHCP Server vào, chọn Action/ Add Server. Nếu mạng đang vận hành Active Directory, bạn phải trao quyền cho một Server bằng cách gọi chạy công cụ snap-in DHCP trong khi đăng nhập với tư cách Enterprise Admin. Từ cửa sổ của snap-in DHCP, nhắp phải vào Server đấy và chọn lệnh Manage Authorized Servers, một khung thoại như hình 3.2 xuất hiện.
Hình 2.2: Danh sách các DHCP server được trao quyền Trong trường hợp này chưa có server nào được trao quyền, ta trao quyền cho server này bằng cách nhắp nút Authorize khung thoại như hình 3.3 xuất hiện
Hình 3.3: Chính thức trao quyền cho một DHCP server mới Điền địa chỉ IP của server này vào khung thoại, nhắp OK để xác nhận yêu cầu bổ sung server này vào danh sách. Nhắp Yes đưa bạn về với danh sách các server đã được trao quyền. Bạn phải tắt DHCP Server và bật lại, khi đó mũi tên từ màu đỏ chuyển sang màu xanh và trỏ xuống. ĐTNCPT – TTCNTT – EVN
27
Windows Server 2003 Nếu chưa cài đặt Active Directory thì không cần authorize cho DHCP, các bước trên không cần quan tâm. 2.3. Tạo phạm vi địa chỉ (Scope) cho DHCP server DHCP server phải biết được phạm vi địa chỉ mà nó được phép cấp phát, vì vậy cần phải tạo ra một phạm vi địa chỉ cho DHCP server. Để tạo ra một phạm vi địa chỉ nhấn chuột phải vào hình tượng của DHCP server đấy, chọn New Scope để khởi động New Scope Wizard. Nhấn Next từ màn hình mở màn đó, khi đó xuất hiện màn hình như hình 3.4
Hình 3.4: Việc đặt tên cho Scope Xác định đặc điểm nhận dạng của Scope và đặt cho nó một cái tên và lời chú thích. Nhấn Next để tiếp tục, màn hình như hình 3.5 xuất hiện
Hình 3.5: Nhập phạm vi địa chỉ IP Bạn nhập phạm vi địa chỉ IP mà bạn muốn cấp phát cho mạng vào trong các ô Start IP Address và End IP Address. Bạn điền mặt nạ mạng con vào trong ô Subnet mask và nhấn Next để tiếp tục. Để DHCP server không cấp phát một số địa chỉ nào đó mà bạn muốn sử dụng để đặt cho một số máy cần sử dụng địa chỉ IP tĩnh, bạn nhập phạm vi địa chỉ cần chỉ định vào ô Start IP Address và End IP Address trong cửa sổ Add Exclusion như trong Hình 3.6
ĐTNCPT – TTCNTT – EVN
28
Windows Server 2003
Hình 3.6: Việc chỉ định các phạm vi địa chỉ cần để riêng ra Để chỉ định nhiều phạm vi địa chỉ trên cùng một đoạn mạng vật lý, bạn hãy tạo ra một Supperscope. Supperscope cho phép tạo ra nhiều phạm vi địa chỉ IP trên một đoạn mạng duy nhất. Để tạo một Supperscope, nhắp phải DHCP Server chọn New Supperscope sau đó thêm các Scope vào đó. 2.4. Ấn định thời gian thuê bao (lease duration) Để ấn định khoảng thời gian thuê bao cho các DHCP client bạn nhấn Next và trong màn hình tiếp theo như Hình 3.7, bạn nhập vào khoảng thời gian thuê bao cần thiết cho các máy.
Hình 3.7: Ấn định khoảng thời gian thuê bao (lease duration) 2.5. Ấn định các thông số tuỳ chọn cho máy khách Sau khi ấn định khoảng thời gian thuê bao, bạn nhấn Next để ấn định các thông số tuỳ chọn cho máy khách. Màn hình như Hình 3.8 xuất hiện.
ĐTNCPT – TTCNTT – EVN
29
Windows Server 2003
Hình 2.8: Màn hình Configuration DHCP server DHCP server cho phép bạn ấn định các thông số cho toàn bộ các host trên mạng, bao gồm các thông số cơ bản như: Default gateway, Domain name, DNS server, WINS server. Nếu bạn không muốn ấn định các thông số này trên toàn bộ các máy khách thì các thông số được ấn định cụ thể trên máy khách sẽ phủ quyết các giá trị mà DHCP server cung cấp. Nhấn Next để khẳng định bạn muốn ấn định các thông số này và thông số đầu tiên cho máy khác sẽ xuất hiện như minh hoạ trong hình 3.9
Hình 3.9: Ấn định default gateway Bạn nhập địa chỉ của default gateway vào ô IP address sau đó bạn nhấn Next để tiếp tục ấn định các thông số kế tiếp như trong hình 3.10
Hình 3.10: Ấn định tên domain Trong màn hình này bạn cho DHCP server biết rằng mỗi khi nó cho một máy khách thuê một địa chỉ IP từ khoảng này, nó cũng phải ấn định một giá trị nào đó cho tên miền DNS của máy khách ĐTNCPT – TTCNTT – EVN
30
Windows Server 2003 và chỉ cho máy khách ấy biết rằng nó có thể tìm các DNS server tại địa chỉ nào, sau đó nhấn Next để ấn định WINS server cho mạng như hình 3.11
Hình 3.11: Ấn định các WINS server 2.6. Đưa phạm vi địa chỉ đã ấn định vào làm việc Nhấn Next để quyết định khởi động scope đã ấn định như trong hình 3.12
Hình 3.12: Kích hoạt scope làm việc Sau khi kích hoạt, của sổ snap_in DHCP xuất hiện như hình 3.13
Hình 3.13: Cửa sổ DHCP sau khi được kích hoạt 2.7. Ấn định các thông số tuỳ chọn cho tất cả các scope
ĐTNCPT – TTCNTT – EVN
31
Windows Server 2003 Trong folder Server Options trong cửa sổ bên phải như hình 2.13, giúp bạn thực hiện việc đưa nhiều scope lên một server. Nhắp phải Server Option và chọn lệnh Configure Options để xuất hiện khung thoại như hình 2.14
Hình 3.14: Khung thoại Server Options Giả sử bạn cần ấn định hai DNS server trong mạng của bạn mà mạng lại có 3 subnet khác nhau, bạn chỉ cần chọn mục DNS Servers và nó sẽ cho phép bạn nhập vào các địa chỉ DNS server giống như trong New Scope Wizard. 2.8. Đặt một địa chỉ IP cụ thể lên một máy khách: DHCP Reservations Tính năng Reservations giúp bạn ấn định một số địa chỉ IP cụ thể cho một số máy trên mạng. Để ấn định địa chỉ IP cho một máy cụ thể ,nhắp phải vào folder Reservations rồi chọn lệnh New Reservations, một khung thoại sẽ xuất hiện như trong hình 2.15
Hình 3.15: Dành riêng một địa chỉ IP cho một máy cụ thể Trong khung thoại này bạn nhập địa chỉ IP cụ thể cho một địa chỉ MAC cụ thể. Sau khi giữ chỗ cho một địa chỉ IP cụ thể, bạn có thể thiết lập các thông số khác như DNS Server, domain name, WINS Server… cho địa chỉ IP này bằng cách mở folder Reservation nhắp phải chọn lệnh Configure Option.
3. Giám sát hoạt động của DHCP Việc giám sát hoạt động của DHCP server giúp bạn xác định xem có bao nhiêu địa chỉ thuê bao còn hiệu lực, ai có được những địa chỉ đó... Để xem những thông tin này bạn mở folder Address Leases, khi đó màn hình như hình 3.15 xuất hiện.
ĐTNCPT – TTCNTT – EVN
32
Windows Server 2003
Hình 3.16: Các địa chỉ thuê bao đã được cấp phát Để xem còn lại bao nhiêu địa chỉ IP chưa được cấp phát, nhắp phải vào một scope bất kỳ rồi chọn Display Statistics và một thông báo sẽ xuất hiện như hình 3.16.
Hình 3.16: Số liệu thống kê về các thuê bao
4. Xây dựng lại DHCP bị hỏng Để đề phòng trường hợp DHCP bị hỏng, bạn nên sao lưu lại các thiết lập DHCP của mình bằng lệnh: netsh dhcp server dump Hoặc lệnh sau nếu bạn không ngồi tại server đó: netsh dhcp server ipaddress dump Lệnh trên sẽ làm xuất hiện trên màn hình những dòng cấu hình của DHCP server. Để chuyển hướng dữ liệu xuất đó ra một file ASCII như sau: netsh dhcp server dum >dhcpbackup.txt File ASCII được tạo ra sẽ nằm trong thư mục C:\ Document and Settings\Administrator Để khôi phục các thông tin cho DHCP server bạn chép file đó lên máy cần khôi phục và sử dụng lệnh sau: netsh exec dhcpbackup.txt
5. DHCP phía máy khách Để xem địa chỉ IP của một máy khách, tại máy khách đó bạn gõ lệnh ipconfig /all, đối với máy trạm Windows 95, nhấn Start/Run, gõ winipcfg, Windows 98 yểm trợ cả hai lệnh trên còn Windows NT chỉ yểm trợ ipconfig. Để một DHCP client bỏ địa chỉ IP được DHCP cung cấp rồi tìm kiếm địa chỉ khác bằng cách gõ lệnh ipconfig /release trước rồi sau đó gõ lệnh ipconfig /renew. Windows XP, Windows 2003 và các bản Windows sau này yểm trợ một lệnh để xây dựng lại các mối kết nối IP: netsh int IP reset filename. Filename là file ghi nhận lại những diễn tiến của lệnh đó. ĐTNCPT – TTCNTT – EVN
33
Windows Server 2003
6. Cách làm việc của DHCP Server 6.1 Tìm thông tin về thuê bao IP của máy khách Trên Windows 3.x, thông tin về thuê bao DHCP được lưu trong file DHCP.BIN Trên Windows 95, thông tin đó nằm trong HKEY_LOCAL_MACHINE\System\ CurrentControlSet\Service\VxD\DHCP\Dhcp-infoxx, trong đó xx là hai chữ số. Trong Windows NT các thông tin đó nằm trong HKEY_LOCAL_MACHINE\System\ CurrentControlSet rồi truy tìm theo từ khoá DHCPIPAddress. Các khoá mở ra chính là vị trí của thông tin thuê bao DHCP. Trên các máy Windows 2000, vị trí đó có thể là hkey_local_machine\system\ current controlset\ service\ TCPIP\ parameters\ Interface; trong đó bạn có thể tìm thấy các GUID (Global Unique ID - mã nhận diện độc nhất trên toàn cầu) dành cho mỗi card giao tiếp mạng và các nối kết RAS tiềm năng. Có một DHCPIPAddress trong mỗi card có nhận địa chỉ IP từ DHCP Server. Trong Windows XP, vị trí đó là hkey_local_machine\system\currentcontrolset\service, bạn sẽ thấy các khoá tên GUID nằm ngay trên cùng, mỗi khoá có một khoá con Parameters\TCPIP bên trong. Cứ xoá một khoá GUID,thì sẽ loại bỏ được mọi thiết định về IP dành cho card tương ứng. 6.2. Các bước nhận địa chỉ IP từ DHCP Server. Một DHCP client nhận địa chỉ từ một DHCP Server theo bốn bước 1. Bước DHCPDISCOVER: DHCP client loan truyền một thông điệp DHCPdiscover thông qua giao thức UDP để hỏi thuê một địa chỉ IP ra khắp subnet tại chỗ và nhờ máy DHCP Relay Agent gửi chuyển tiếp dưới dạng loan tin (broadcast) thông báo đến tất cả các DHCP Server ở các subnet khác trong tầm truyền của nó. 2. Bước DHCPOFFER: Các DHCP Server hồi đáp lại bằng cách chào hàng (offer) các địa chỉ IP và thời gian thuê bao mà mỗi DHCP Server có thể cung cấp cho DHCP Client. Các DHCP Server ở subnet khác làm điều đó bằng cách gửi thông điệp DHCP offer đến DHCP Relay Agent rồi DHCP Relay Agent chuyển đến DHCP Client. Để một máy khách A liên lạc được với DHCP Server B trên mạng con khác biệt thì router nằm giữa A và B phải “be RFC 1542-compliant” hoặc “support BOOTP forwarding”. Nhờ có tính năng này mà các router mới có thể tiếp vận các gói tin quảng bá đến các subnet khác, các tính năng này phải được xây dựng trong phần mềm của các router và nó thường được gọi là BOOTP fowarding. Các máy Windows NT4 hoặc Windows 2K có thể được sử dụng để làm router vì nó tuân theo chuẩn 1542. Một máy Win NT4, Win2K hoặc Win2003 cũng có thể đóng vai trò là một DHCP Relay Agent dùng để giúp các máy khách có thể liên lạc được với các DHCP server ở trên các mạng con khác với chúng. DHCP Relay Agent lắng nghe những thông điệp loan báo của các DHCP client rồi chuyển thông tin đó đến các DHCP server và gửi chuyển tiếp các lời hồi đáp đó từ DHCP server đến các DHCP Client. Các thông điệp chuyển tiếp của DHCP Relay Agent có thể chuyển qua được các router từ subnet này đến subnet khác. ĐTNCPT – TTCNTT – EVN
34
Windows Server 2003 Để thiết lập một DHCP Relay Agent trên máy NT bạn thực hiện theo các bước sau: Vào Control Panel mở Network. Trong khung thoại hiện ra sau đó bạn nhắp chọn trang Protocol rồi nhắp kép vào giao thức TCP/IP. Trong khung thoại hiện ra sau đó bạn thấy một trang có nhãn là DHCP Relay. Nhắp vào trang đó bạn sẽ thấy một khung thoại như hình 2.17(7.25). Để cho máy này làm việc bạn nhấn nút Add rồi điền địa chỉ IP của một hoặc nhiều DHCP server. DHCP Relay Agent có thể chạy trên máy NT bất kỳ, máy đó không cần phải là router. Không nên cấu hình một DHCP server thành một DHCP Relay Agent, nếu không DHCP server có thể quên nhiệm vụ cấp phát địa chỉ IP của mình cho các máy khác trong mạng. Để thiết lập một máy Win2K hoặc Win2K3 thành một DHCP Relay Agent, bạn phải sử dụng Routing and Remote Access Service (RRAS): Start/Administrator/Tools/ Routing and Remote Access Service,nhắp phải tên server chọn mục Configure and Enable Routing and Remote Access để khởi sự Wizard đó, sau đó chọn Custom Configuration, Next và duyệt vào ô LAN Routing để hoàn tất Wizard đó. Khi đó một màn hình như hình 2.18 (7.26) xuất hiện. Mở đối tượng IP routing, nhắp phải vào folder General rồi chọn New Routing Protocol để xuất hiện một khung thoại khác, chọn mục DHCP Relay Agent rồi nhấn OK. Quay trở lại công cụ snap-in RRAS bạn thấy xuất hiện đối tượng DHCP Relay Agent như trong hình 2.19(7.27) Nhắp phải vào đối tượng này rồi chọn Properties, xuất hiện khung thoại như trong hình 2.20 (7.28). Nhập các địa chỉ của DHCP server rồi nhấn Add để đưa nó vào danh sách. Sau đó để kích hoạt DHCP Relay Agent để nó lắng nghe các yêu cầu trên mạng và chuyển tiếp nó đi bằng cách ở cửa sổ RRAS nhắp phải vào DHCP Relay Agent rồi chọn New Interface, trên khung thoại kế tiếp bạn chọn Local Network Connection. 3. Bước DHCPREQUEST DHCP Client chọn một đia chỉ tốt nhất trong các địa chỉ IP nó nhận được rồi loan truyền ngược lại một thông điệp DHCPRequest nhằm hai mục đích: Thông báo cho DHCP Server nào mà nó muốn sử dụng địa chỉ IP của nó và đồng thời thông báo cho các DHCP Server khác biết rằng nó đã nhận một địa chỉ IP. Nếu cần đến một DHCP Server ở trên một subnet khác thì thông điệp ấy cũng được truyền qua DHCP Relay Agent. 4. Bước DHCPACK DHCP Server có lời chào hàng được chấp nhận sẽ hồi đáp bằng địa chỉ IP mới và nó cũng báo cho DHCP Client biết subnet mask mới của nó, khoảng thời gian thuê bao và các thông tin khác mà bạn đã chỉ định (gateway, DNS Server WINS Server…). Kiểm tra lại cấu hình TCP/IP của máy bằng lệnh ipconfig /all. Khi thời hạn thuê bao trôi qua hơn một nửa, DHCP Client bắt đầu gửi gói tin yêu cầu gia hạn thời gian thuê bao đến DHCP Server đã cung cấp địa chỉ IP cho nó. Khi đó DHCP Server sẽ hồi đáp bằng một gói tin DHCPAck, gói tin này chứa tất cả những thông tin mà gói tin Ack ban đầu đã có: tên domain, DNS… Diều này giúp người quản trị có thể thay đổi DNS Server, WINS Server, subnet mask và những thông tin khác, những thông tin này sẽ được cập nhật ỏ các Client một cách định kỳ nhưng không quá 50% thời gian thuê bao. Nếu thông điệp DHCP Ack không xuất hiện thì DHCP Client cứ sau hai phút lại gửi yêu cầu DHCP của nó đi cho tới khi thời gian thuê bao đã quá 87,5% thời gian. Đến lúc này DHCP Client quay trở lại vạch xuất phát và gửi thông báo DHCP Discover đi khắp mạng cho tới khi có một DHCP Server hồi đáp lại. Nếu thuê bao cũ hết thời hạn mà không có thuê bao nào mới thì client sẽ chấm dứt việc dùng địa chỉ IP đó. ĐTNCPT – TTCNTT – EVN
35
Windows Server 2003 7. Thiết kế mạng có nhiều DHCP Server Mục đích của việc thiết kế mạng có nhiều DHCP Server nhằm tăng khả năng chịu lỗi của mạng (fault tolerance). Chạy dịch vụ DHCP trên nhiều máy rồi tạo ra nhiều Scope tham chiếu đến cùng một subnet và phạm vi các địa chỉ trong các scope không được chồng lấn lên nhau.
ĐTNCPT – TTCNTT – EVN
36
Windows Server 2003
CHƯƠNG 4 NETBIOS VÀ WINS 1. NetBIOS trên TCP/IP (NBT) Tập hàm giao tiếp lập trình ứng dụng NetBIOS (Network Basic Input Output System) được thực hiện trên các giao thức NetBEUI, IPX/SPX và TCP/IP. NetBIOS over TCP/IP được viết tắt là NBT hoặc NetBT. 1.1. Các nút B, nút P và nút M Các máy dùng các cuộc loan tin để phân giải tên NetBIOS thành các địa chỉ IP gọi là nút B (Broadcast). Các máy nút B không tìm ra được các máy trên các subnet khác do các cuộc loan tin không thể truyền qua các Router. Các máy dùng một name server để phân giải các tên NetBIOS ra thành các địa chỉ IP được gọi là một nút P (Point to Point). Các thông điệp điểm nối điểm này có thể truyền qua các Router. Các Name server dành cho việc giải đáp tên của NetBIOS được gọi là NetBIOS name server (NBNS) Các máy nút M (mixed): kết hợp giữa các cuộc loan tin và các cuộc truyền tin điểm nối điểm đến một NBNS. WINS là một NBNS của Microsoft. Phần mềm khách NetBIOS-over-TCP của Microsoft không chỉ thực hiện các nút B, P và M mà nó còn thực hiện một loại nút thứ tư là nút H (Hybrid). Sự khác nhau giữa nút M và nút H ở chỗ trong nút M, phần mềm thực hiện một cuộc phân giải tên bằng cách trước hết loan tin rồi sau đó nếu các đó thất bại thì nó mới liên lạc với NBNS (nút P). Trong nút H phần mềm thử liên lạc trực tiếp với NBNS trước rồi sau đó nếu cách đó không có kết quả nó mới loan tin. Các DHCP Client được ấn định sử dụng các nút thông qua công cụ snap-in DHCP là WINS/NBNS Node Type, giá trị bằng 1 tạo ra nút B, bằng 2 tạo ra nút P, bằng 4 tạo ra nút M và bằng 8 tạo ra nút H. 1.2. Tìm hiểu các tên NBT trên máy Kiến trúc NetBIOS sử dụng rất nhiều những tên, mỗi máy trạm có 16 tên. Những tên trong NetBIOS có thể là tên nhóm (group name) hoặc tên bình thường (normal name). Để xem các tên trên máy của bạn, mở cửa sổ dòng lệnh từ máy Windows95/98 NT, Windows2K hoặc WindowsXP rồi gõ lệnh: nbtstat –n. Kết quả của lệnh đó như sau: Node IpAddress: [10.1.4.22] Scope Id: [] NetBios Name Table Name Type Status ----------------------------------------------SERVER01 <00> UNIQUE Registered EVNIT <00> GROUP Registered SERVER01 <20> UNIQUE Registered EVNIT <1E> GROUP Registered SERVER01 <03> UNIQUE Registered SERVER01$ <03> UNIQUE Registered THITD <03> UNIQUE Registered
Trong ví dụ này nhóm tên EVNIT là tên của Workgroup và Domain, SERVER01 là tên của máy, THITD là tên người dùng. ĐTNCPT – TTCNTT – EVN
37
Windows Server 2003 Việc có nhiều tên máy SERVER01 là do mỗi phần mềm mạng khác nhau của Microsoft đều cần một cái tên cho riêng nó, cho nên chúng lấy tên máy rồi thêm một cặp số Hex vào, đó là ý nghĩa của những chữ số kèm theo như <00>, <03>...
2. Phân giải tên trước khi có WINS: LMHOSTS Trước khi xuất hiện WINS hoặc khi phần mềm khách không được chỉ định rõ một WINS server, việc phân giải các tên thành các địa chỉ IP tương ứng sử dụng một số phương pháp sau: Sử dụng file HOSTS. Sử dụng các cuộc loan tin trên mạng. Sử dụng file LMHOSTS. Sử dụng DNS server. 2.1. HOSTS và LMHOSTS HOSTS là một file ASCII, dùng để bổ túc hoặc thay thế DNS để giải đáp những cái tên Winsock. Cấu trúc của file Host rất đơn giản, mỗi dòng chứa một địa chỉ IP, ít nhất một khoảng trắng rồi đến một cái tên Internet, ví dụ như: 100.100.25.67 amore.com.uk LMHOSTS làm việc theo cách tương tự file HOSTS, nó có chức năng lưu giữ những cái tên NetBIOS. File LMHOSTS này bao gồm những cặp địa chỉ IP và tên giống như HOSTS nhưng là các tên NetBIOS 15 ký tự , không phải là các tên kiểu Internet, ví dụ như: 100.100.25.67 amore 2.2. Hậu tố Hex trong LMHOSTS Cách biểu diễn các hậu tố Hex trong LMHOSTS tuân theo quy tắc sau: Bao bọc tên cần biểu diễn trong dấu nháy kép. Bổ sung các khoảng trắng vào tên cho đủ 15 ký tự. Sau các khaỏng trắng, thêm vào \0x, sau đó là mã Hex. Ví dụ: Giả sử có một miền tên là EVN và một domain controller tên là \\EVNSRV01 tại địa chỉ 210.10.20.3. Để các máy trong mạng có thể nhận biết được \\EVNSRV01 là primary domain controller của miền EVN thì file LMHOSTS phải như sau: 210.10.20.3
EVNSRV01
210.10.20.3
“EVN
\0x1B”
2.3. Hậu tố đặc biệt dành cho Domain Controller: #DOM Hậu tố thông thường dùng cho các domain controller là \0x1C, ngoài ra bạn còn có thể dùng một siêu lệnh (metacommand) để bổ sung cho các file LMHOSTS: #DOM Để xác định một đề mục nào đấy là một domain controller, nhập vào file LMHOSTS một đề mục bình thường nhưng thêm vào cuối dòng hậu tố #DOM rồi đến tên cua Domain ấy. Ví dụ: cũng ví dụ trên, nếu dùng hậu tố #DOM thì file LMHOSTS như sau: 210.10.20.3
EVNSRV01 #DOM:EVN
2.4. Lệnh #PRE ĐTNCPT – TTCNTT – EVN
38
Windows Server 2003 Một máy khách kiểu nút H bình thường sẽ gửi yêu cầu giải đáp đến WINS server trước khi tham khảo file LMHOSTS tại chỗ. Chỉ khi WINS server trả lời không tìm thấy tên thì nó mới sử dụng file LMHOSTS của nó. Để cho máy khách tìm kiếm một đề mục trong file LMHOSTS trước, chúng ta thêm lệnh #PRE. Trong ví dụ trên thì đề mục có dạng như sau: EVNSRV01 #DOM:EVN #PRE Lệnh #PRE sẽ làm cho một đề mục trong LMHOSTS được ưu tiên hơn kết quả nhận được từ WINS server. 2.5. Tập trung hoá LMHOSTS Để có thể dùng được file LMHOSTS thì các file này phải được đặt trên máy của người dùng. Khi có một sự thay đổi file LMHOSTS, người quản trị mạng phải đến từng máy và cập nhật lại file này. Công việc như thế rất mất thời gian. Để thuận tiện hơn trong việc cập nhật file LMHOSTS, bạn chỉ việc đặt một file LMHOSTS nhỏ trên mỗi máy của từng người dùng, trong file đó chỉ có lệnh hướng dẫn các máy này đến server để đọc các file LMHOTS trên server đó. Số server dự phòng cho server chứa file LMHOSTS này là tuỳ ý. Sử dụng các lệnh #INCLUDE và #ALTERNATE để thực hiện các yêu cầu trên. Dưới đây là nội dung một file LMHOSTS như thế: #BEGIN_ALTERNATE #INCLUDE \\shadows\stuff\lmhosts #INCLUDE \\vorlons\stuff\lmhosts #INCLUDE \\centauri\stuff2\lmhosts #END_ALTERNATE Trong ví dụ trên, \\SHADOWS, \\VORLONS, \\CENTAURI là các server chứa file LMHOSTS và các server này phải nằm trên cùng một mạng con với các máy khách đó.
3. WINS: dịch vụ tên NetBIOS dành cho Windows. Để WINS làm việc được bạn cần có máy chạy NT 4 server hoặc mới hơn để đóng vai trò WINS server, rồi thì WINS server đóng vai trò là NBNS server theo dõi những máy nào có mặt trên mạng và trao cho chúng những thông tin phân giải tên khi được yêu cầu. WINS server chỉ đăng ký tên của các máy trạm trong một khoảng thời gian cố định gọi là renewal interval (thời gian gia hạn). Theo mặc định là 6 ngày, thời gian ngắn nhất là 40 phút. Các máy khách WINS server sẽ cố gắng thực hiện một yêu cầu làm tươi sau một phần tám thời gian gia hạn. Sau khi máy khách đã làm mới tên của nó rồi thì lần sau nó chỉ làm mới tên của nó sau một nửa TTL (time to live)
4. Cài đặt WINS Không nên cài đặt WINS server lên máy Domain Controler hoặc lên các máy có nhiều NIC. Không phải cài đặt WINS server trên mỗi mạng con. Trên mỗi mạng nên có một WINS server phụ để tăng tính chịu lỗi của WINS server. Để thiết lập một WINS server bạn tiến hành theo các bước sau đây: Mở Start\Control Panel\Add Remove Program, chọn Add remove Windows Componets, nhắp Networking Service nhắp duyệt vào ô Windows Internet Name Service. Nhấn Next để cài đặt dịch vụ, nhấn Finish để kết thúc quá trình cài đặt. ĐTNCPT – TTCNTT – EVN
39
Windows Server 2003 Quay trở lại công cụ Administrative/Tools bạn thấy xuất hiện snap-in WINS, chọn nó và nhắp vào dấu cộng kế bên hình tượng server sẽ xuất hiên như trong hình 4.1
Hình 4.1: Màn hình ban đầu của công cụ quản lý WINS
5. Cấu hình một WINS server Nhắp phải vào hình tượng của WINS server bên ngăn trái cửa sổ công cụ WINS rồi chọn Properties.
Hình 4.2: Khung thoại đặc tính cấu hình WINS Trong khung Database backup lưu đường dẫn đến thư mục chứa cơ sở dữ liệu sao lưu dự phòng của WINS server, cơ sở này dùng để khôi phục lại WINS server sau khi gặp sự cố. Ô duyệt bên dưới cho phép cũng thực hiện một cuộc sao lưu dự phòng khi tắt server. Để WINS server định kỳ kiểm tra các bản ghi cơ sở dữ liệu của nó dựa vào các bản ghi của một server nào khác trong mạng, bạn chọn tab Database Verification,khi đó sẽ xuất hiện hộp thoại như hình 4.3.
Hình 4.3: Ấn định cách thức kiểm tra cơ sở dữ liệu của WINS server ĐTNCPT – TTCNTT – EVN
40
Windows Server 2003 Thời gian mặc định để kiểm tra là 24 giờ và nên chọn kiểm tra theo kiểu Owner server thay vì Random selected partners. Owner server cho phép kiểm tra dựa trên chính server đã tạo ra bản ghi đó lúc đầu. Tab Advanced cho phép thiết lập một số tính năng cao cấp cho WINS server.
Hình 4.4: Các thông số cầu hình cao cấp cho WINS server Ghi chép lại hoạt động (logging) của WINS server bằng cách đánh dấu vào mục chọn Log detailed events to Windows events log. Nếu tính năng logging này được mở lên thì WINS server sẽ chạy chậm đi đáng kể. Tính năng Enanble burst handling (cho phép xử lý chùm) dùng để khắc phục sự quá tải của WINS server trong giờ cao điểm. Trước khi đăng ký một tên nào đó, WINS phải kiểm tra cơ sở dữ liệu của nó để đảm bảo rằng không có sự trùng lặp, không có ai cố gắng đăng ký một tên máy đã có sẵn rồi. Vào đầu buổi sáng, khi các máy đồng loạt đăng ký tên, khó xảy ra những cuộc đăng ký sự trùng lặp, cho nên WINS chuyển sang chế độ đưa thông tin vào từng chùm (brurst mode), nó đồng ý với khá nhiều cuộc đăng ký tên. Sau giờ cao điểm nó mới quay trở lại kiểm tra các cuộc đăng ký đó. WINS server chỉ chuyển vào brurst mode khi có nhiều yêu cầu đăng ký chưa giải quyết xong trong hàng đợi của nó. Các radio button trong vùng Enanble burst handling cho phép ta quyết định WINS server sẽ chuyển vào brurst mode sớm hay muộn.
6. Thiết kế mạng multi-WINS 6.1. Tạo một cơ sở dữ liệu duy nhất từ nhiều WINS server Khi một mạng có nhiều WINS server thì các WINS server phải tạo ra một danh sách gốc các bản ghi . Sau một thời gian các WINS server này lại phải cập nhật lại cơ sở dữ liệu của chúng, nhưng chúng không phải sao chép (replicate) lại toàn bộ cơ sở dữ liệu của chúng bởi vì cơ sở dữ liệu đó thay đổi rất ít và việc truyền toàn bộ cơ sở dữ liệu đó đi tốn rất nhiều Bandwidth đường truyền. Thay vì vậy các WINS server đặt các thời nhãn (time stamp) và số thứ tự cho các bản ghi trong cơ sở dữ liệu tên để cho nó chiếm ít bandwidth của đường liên kết Wan nhất. Việc sắp xếp và hợp nhất lại các bản ghi sẽ tiêu tốn khá nhiều năng lực xử lý của CPU nên chúng ta nên dành riêng một Win server để thực hiện công việc này. 6.2. Tối thiểu hoá số lượng WINS server trong mạng. Chúng ta nên tối thiểu hoá số WINS server có trong mạng bởi vì khi có nhiều WINS server thì việc hợp nhất các cơ sở dữ liệu giữa chúng là mất rất nhiều thời gian và năng lực xử lý của CPU. Theo khuyến cáo của Microsoft thì mọt mạng doanh nghiệp không nên có quá 14 WINS server trên toàn thế giới. ĐTNCPT – TTCNTT – EVN
41
Windows Server 2003 6.3. Cập nhật thông tin cho WINS server thứ hai trong mạng Để WINS server phụ luôn cập nhật cơ sở dữ liệu của WINS server chính, bạn phải thiết lập cho hai WINS server thành các đối tác đẩy kéo (push/pull partners) nhưng bạn cũng có thể để cho chúng tự thông tin với nhau bằng cách sử dụng công cụ snap-in WINS. Nhắp phải folder Replicate Partners trong ngăn bên trái của cửa sổ, chọn Properties rồi chọn tab Advanced. Khi đó màn hình như hình 4.5 sẽ xuất hiện.
Hình 4.5: Thiết lập các WINS server tự sao chép dữ liệu Khi duyệt vào ô Enable automatic partner configuration, các WINS server cứ đúng định kỳ lại loan tin (multicast) để tìm ra các WINS server khác và tự động sao chép cơ sở dữ liệu của nhau. Cách này chỉ áp dụng được với các WINS server trên cùng một subnet bởi vì các thông điệp multicast không truyền qua được các router. Để thiết lập quan hệ đẩy kéo (push/pull) giữa Primary WINS server và Secondary WINS server, nhắp phải folder Replicate Partner rồi nhắp chọn New Replicate Partner, bạn phải nhập địa chỉ của WINS server mà bạn muốn máy này thiết lập một quan hệ sao chép với nó. Để kiểm soát việc sao chép, nhắp vào hình tượng server được liệt kê trong folder Replicate Partner, chọn Properties sau đó chọn tab Advanced. Một màn hình như hình 2.22 xuất hiện.
Hình 4.6: Cấu hình cho sự sao chép cơ sở dữ liệu WINS Bạn thiết lập WINS server là đối tác đẩy hay kéo (Push or Pull) bằng cách lựa chọn trong hộp thoại Replicate Partner type. Trong trường hợp chọn Push, bạn có thể cấu hình cho Primary WINS server thông báo cho Secondary WINS server cập nhật cơ sở dữ liệu khi có bao nhiêu thay đổi trong ô Number of change in version ID before relpicate. Giá trị tối thiểu là 20 sự thay đổi, ĐTNCPT – TTCNTT – EVN
42
Windows Server 2003 còn giá trị mặc định là 0 có tác dụng tắt đi bộ kích hoạt đẩy. Đối tác Pull không biết được có bao nhiêu thay đổi đã xảy ra cho nên các đối tác Pull yêu cầu các cuộc cập nhật theo thời gian: bạn ấn định các thông số thời gian cập nhật trong các ô Start time, Replication interval.
7. Xoá và thanh lý các bản ghi WINS Để xoá các bản ghi cơ sở dữ liệu được tạo ra bởi một WINS server không còn tồn tại, bạn đến một trong những đối tác sao chép của nó rồi chạy công cụ snap-in WINS. Nhấn chuột phải vào thư mục Active Registration trong cửa sổ snap-in WINS và chọn mục Delete Owner. Khi đó WINS sẽ thanh lý lần chót các bản ghi của owner cũ đó. Đối với các bản ghi khác trong cơ sở dữ liệu của WINS server, khi bạn nhắp chọn một bản ghi và nhấn chuột phải, chọn Delete thì công cụ snap-in WINS sẽ đưa ra một khung thoại như hình 4.7.
Hình 4.7: Khung thoại lựa chọn cách xoá bản ghi cơ sở dữ liệu Nếu bạn chỉ muốn xoá bản ghi khỏi server này thì bạn chọn mục Delete the record only this server. Khi đó bản ghi này sẽ được xoá khỏi cơ sở dữ liệu của WINS server này. Nếu WINS server này không phải là máy tạo ra bản ghi mà bạn vừa xoá thì trong lần cập nhật sau, WINS server này sẽ lại tiếp tục cập nhật lại bản ghi đó từ WINS server tạo ra nó. Nếu bạn chọn mục Replicate deletion of the record to other server (tombstone) có nghĩa là nó sẽ sao chép sự xoá bỏ bản ghi này sang các server khác (tombstone-chôn). Khi đó bản ghi này sẽ được xoá bỏ ra khỏi WINS server này và trong những lần cập nhật lần sau nó cũng báo cho các WINS server khác xoá bản ghi này đi, kể cả WINS server đã tạo ra bản ghi đó. Các bản ghi khi bị chôn không bị thanh lý khỏi cơ sở dữ liệu WINS cho đến khi WINS chưa tiến hành hoạt động gọi là scaveging (xả sạch, dọn sạch). Theo mặc định thì hoạt động này diễn ra ba ngày một lần hoặc bạn cũng có thể dọn sạch bằng cách từ trình quản lý WINS, nhấp phải hình tượng WINS server rồi chọn Scavenge Database.
ĐTNCPT – TTCNTT – EVN
43
Windows Server 2003
CHƯƠNG 5. DỊCH VỤ TÊN MIỀN DNS DNS (Domain Name System) là một bộ giao thức và dịch vụ dựa trên giao thức mạng TCP/IP. Đây là một cơ sở dữ liệu phân tán, dùng để ánh xạ các hosts name với các địa chỉ IP và ngược lại. Do đó người sử dụng có thể sử dụng các host name quen thuộc khi tìm kiếm thay vì phải nhớ các địa chỉ IP phức tạp của chúng. DNS đóng vai trò quan trọng trong mạng máy tính dùng Active Directory. Nó là kho chứa tên trung tâm dành cho Active Directory thay thế cho vai trò của WINS trong NT 4.
1. Các thành phần DNS DNS là một cơ sở dữ liệu phân tán về các tên và địa chỉ IP của các host trên mạng. Các tên trong DNS tạo thành một cấu trúc cây logic, gọi là không gian tên miền (Domain name space). Mỗi nút (node) hay miền (domain) nằm trong không gian tên miền đều được đặt tên và có thể chứa các miền con. Các miền và miền con của nó được nhóm lại thành các zone (zone) cho phép quản trị phân tán. Tên miền chỉ ra vị trí của miền trong cấu trúc phân cấp DNS và miền “cha” của nó bằng cách phân tách mỗi nhánh của cây bởi các dấu “.”. DNS bao gồm các thành phần cơ bản sau: Domain name space: Đây là các thành phần của không gian tên miền được tổ chức theo cấu trúc cây phân cấp và dữ liệu đi kèm theo các tên này. Domain name space là một câu trúc cây bao gồm các “nút” (node) và “lá” (leaf). Mỗi nút và lá của cây tương ứng với một tập hợp tài nguyên (resource) của mạng. Các tài nguyên nay được đặt vào trong source record. Name server: Lưu trữ thông tin về cấu trúc cây DNS. Một name server nói chung chứa toàn bộ thông tin về một miền nào đó của cây DNS và trỏ tới các name server khác để có thể lấy thông tin về bất cứ vùng nào trong cây. Một name server được gọi là “có quyền” đối với một phần của không gian tên miền nêu như nó chứa đầy đủ thông tin về phần đó. Resolver: Là chương trình để nhận thông tin từ các name server để trả lời các yêu cầu của client. Nó nhận yêu cầu từ client, gửi yêu cầu này tới các server để tìm kiếm dữ liệu được yêu cầu. Mỗi resolve cần phải truy nhập được vào ít nhất một name server và lấy thông tin từ name server này để trả lời cho các client. Ngoài ra, nó có thể chuyển tiếp các yêu cầu tới name server khác.
2. Các khái niệm cơ bản trong DNS Như đã nói ở phần trước, DNS là một cơ sở dữ liệu lớn chứa các thông tin về địa chỉ IP, tên và dữ liệu của các host. Các tên miền mức cao nhất được gán cho các tổ chức và các quốc gia. Những tên này được đặt theo chuẩn quốc tế ISO 3166. Trong đó, hai hoặc ba chữ cái viết tắt dành cho tên quốc gia, với tổ chức thì có thể dùng nhiều chữ cái viết tắt. Bảng sau đây mô tả một số tên thông dụng, được dùng trên internet. DNS Domain Name Com Edu Org Net Gov Mil
ĐTNCPT – TTCNTT – EVN
Mô tả Tổ chức thương mại Tổ chức giáo dục Tổ chức phi lợi nhuận Tổ chức chuyên về mạng Tổ chức chính phủ( không phải tổ chức quân sự) Tổ chức quân sự
44
Windows Server 2003 Arpa Xx
DNS dành riêng cho việc tìm hosts theo địa chỉ IP Mã quốc gia.
2.1 Domain Mỗi nút trong cây dữ liệu DNS cùng với tất cả các nút ở sau đó kết hợp lại thành một domain. Mỗi domain có thể chứa tất cả các host và những subdomain khác. Nói chung, tên của các domain và host bị giới hạn trong số các chữ cái “a-z”, “A-Z”, “-” và các chữ số. Các ký tự khác không được sử dụng. 2.2 Zone Zone là một phần của không gian tên miền, ở đó có các bản ghi cơ sở dữ liệu, nó được quản lý bởi một zone file. Các zone file được lưu trữ trong DNS server. Một DNS server có thể được cấu hình để quản lý một hoặc nhiều zone file. Mỗi zone tách ra từ một nút nào đó của cây DNS, gọi là zone’root domain. Các zone lưu trữ toàn bộ thông tin về các tên kết thúc bằng zone’root domain. Một zone file không nhất thiết phải chứa toàn bộ cây DNS (tức tất cả các subdomain) ở dưới zone’root domain. Việc quản lý một domain có thể phân cho nhiều zone khác nhau. Điều này là cần thiết cho việc quản lý phân tán đối với domain. Hình vẽ sau mô tả kỹ hơn về domain và zone. 2.3 Name server. Chức năng chính của một name server là trả lời các yêu cầu của client bằng thông tin có trong các zone của nó và truyền thông với các name server khác để tìm những thông tin thích hợp nhất với yêu cầu. Một name server chỉ chứa một phần nhỏ dữ liệu của cây cơ sở dữ liệu DNS nên nó phải đệm lại dữ liệu của phần khác của cây trong quá trình giải quyết yêu cầu. Name server đánh dấu dữ liệu khi trả lời để phía yêu cầu có thể biết được dữ liệu trả lời có nằm trong zone name server quản lý hay không. Một name server có thể quản lý một hay nhiều zone. Khi đó, chúng được gọi là có quyền đối với các zone này . Khi cấu hình cho một name server ta cần cho nó biết được số name server nằm trong cùng một domain. Name server có thể có các tên gọi khác nhau tuỳ theo vai trò, cách thức lưu trữ và xử lý dữ liệu của nó trong hệ thống DNS. Trong DNS có những loại name server sau: primary name server, secondary name server, master name server, slave name server. 2.3.1. Primary, secondary Primary name server: Là name server nhận dữ liệu cho zone mà nó quản lý từ các file cơ sở dữ liệu cục bộ. Những thay đổi đối với một zone như thêm vào các domain, thêm các host mới vào trong một zone hay thực hiện phân quyền một phần zone cho một DNS server khác phải được thực hiện ở trong primary name server để đảm bảo những thông tin mới này được đưa vào file cục bộ. Secondary name server: Là name server nhận dữ liệu cho các zone mà nó quản lý từ primary name server khác có quyền đối với zone đó. Quá trình secondary server nhận thông tin từ primary server gọi là zone transfer. Trong DNS, việc cấu hình nên các Secondary name server là cần thiết bởi ba lý do sau: -Dự phòng: Mỗi zone cần có ít nhất hai name server: Một primary name server và ít nhất một secondary name server name server để dự phòng.
-Hỗ trợ tốt các zone ở xa: Đối với các zone ở xa mà có nhiều máy trạm, việc sử dụng secondary name server là cần thiết để đảm bảo tốc độ ánh xạ tên được nhanh. -Giảm tải cho primary name server: Secondary name server cũng được sử dụng để làm giảm tải cho primary name server. ĐTNCPT – TTCNTT – EVN 45
Windows Server 2003 Do thông tin về mỗi zone được lưu trữ ở các file tách biệt, vì thế, việc một name server là primary hay secondary chỉ có ý nghĩa đối với từng zone. Có nghĩa là một name server có thể primary name server đối với một số zone nhất định nhưng lại là seciondary name server đối với những zone khác. 2.3.2. Master name server. Khi định nghĩa một name server là secondary name server, cần phải chỉ ra name server cung cấp thông tin cho nó. Một name server là nguồn cung cấp thông tin cho một secondary name server được gọi là master name server. Một master name server có thể là primary name server hoăc là secondary name server đối với một zone được yêu cầu. Các second name server chỉ được sử dụng làm master name server khi primary name server đã quá tải hoặc có một đường truyền hiệu suất cao hơn giữa secondary name server và một secondary name server khác. 2.3.3. Forwarder và Slave name server. Khi một name server nhận được yêu cầu DNS, nó sẽ phải xác định các thông tin được yêu cầu trong các zone file của nó. Nếu không tim thấy thì nó sẽ truyền thông với các name server khác để giải quyết yêu cầu. Trong môi trường Internet, để giải quyết yêu cầu ánh xạ tên ở bên ngoài công ty thì phải có sự truyền thông giữa name server bên trong công ty và các name server ở bên ngoài công ty. Một số name server đặc biệt được lựa chọn để thực hiện công việc này, đó là forwarder name server. Chỉ có forwarder name server mới có thể truyền thông ra ngoài qua mạng Internet. Tất cả các name server khác trong công ty đều được cấu hình để sử dụng forwarder name server này, cấu hình được thực hiện trên mức server chứ không phải ở mức zone. Như vậy, khi một name server bất kỳ, ví dụ name server A, không tìm thấy thông tin được yêu cầu trong file zone của nó, thì nó chuyển yêu cầu tới một trong các forwarder name server. Forwarder name server này sẽ thực hiện các công việc cần thiết để có thể lấy được thông tin đáp ứng cho yêu cầu, sau đó chuyển thông tin kết quả cho name server A. name server này sẽ chuyển kết quả về nơi đã gửi yêu cầu ánh xạ tên. Slave name server là các name server được cấu hình để sử dụng các forwarder name server, nó có nhiệm vụ là gửi lại thông báo thất bại khi forwarder name server không giải quyết được yêu cầu. Slave name server sẽ không truyền thông với bất cứ một name server nào khác nếu forwarder name server không thể giải quyết được yêu cầu. 2.3.4. Caching-only name server Caching-only name server là name server có nhiệm vụ thực hiện việc yêu cầu, đệm lại các thông tin trả lời và gửi trả kết quả. Nói cách khác, nó không có quyền đối với bất kỳ một domain nào; và chỉ chứa thông tin được đệm lại trong quá trình giải quyết yêu cầu. Cần thấy rằng, mọi name server đều đệm lại các yêu cầu chúng đã giải quyết nhưng không phải tất cả chúng đều là caching name server. 3. Cài đặt DNS server Mở Start\Control Panel\Add Remove Program, chọn Add remove Windows Componets, nhắp Networking Service nhắp duyệt vào ô Domain name System (DNS). Nhấn Next để cài đặt dịch vụ, nhấn Finish để kết thúc quá trình cài đặt. Sau khi cài đặt xong DNS, bạn nên thiết lập cho DNS hướng đến chính nó bằng cách trong cửa sổ Network Connections, nhắp phải vào Local Area Connection chọn Properties, nhắp chọn trang General rồi nhắp Internet Protocol (TCP/IP)và nút Properties rồi điền vào trường Preferred DNS server địa chỉ IP của chính nó. Hoặc bạn cũng có thể ấn định Preferred DNS server bằng lệnh sau: ĐTNCPT – TTCNTT – EVN
46
Windows Server 2003 Netsh int ip set dns name static ipaddress primDNS Trong đó name là tên card mạng trên máy của bạn, ipaddress là địa chỉ IP của card mạng đó. Để tạo ra một Forward Lookup Zones, bạn nhắp phải vào folder Forward Lookup Zones trong cửa sổ snap-in DNS và chọn New zone để mở ra New Zone Wizard, sau đó nhấn Next để thấy một hình giống như hình 5.1.
Hình 5.1: Các phương án tạo Zone mới Có ba phương án tạo Zone mới là Primary, Secondary và Stub. Chọn Primary sau đó nhấn Next để thấy màn hình như hình 5.2 xuất hiện.
Hình 5.2: Đặt tên cho Zone cần tạo Sau khi đặt tên cho Zone cần tạo bạn nhấn Next để chuyển sang bước tiếp theo. Khi đó sẽ xuất hiện màn hình như hình 5.3 yêu cầu bạn đặt tên cho Zone file.
Hình 5.3: Đặt tên cho Zone file ĐTNCPT – TTCNTT – EVN
47
Windows Server 2003 Theo mặc định các Zone file sẽ được lưu trong thư mục \Windows\system\DNS dưới dạng các file ASCII. Các file ASCII này sẽ giúp ta khôi phục lại DNS server bị hỏng bằng cách sao chép lại file này vào thư mục \Windows\system\DNS trên server mới, sau đó chạy New Zone Wizard nhưng đến bước này chúng ta chọn Use This Exiting File rồi nhắp chỉ cho Wizard tìm đến file evn.com.dns. Sau đó nhấn Next để chuyển sang bước tiếp theo, màn hình như hình 5.4 xuất hiện.
Hình 5.4: Những thiết lập về cập nhật động Nếu bạn chọn Allow both nonsecure and secure dynamic update thì DNS server sẽ cho phép các máy đăng ký thông tin về chính chúng trong cơ sở dữ liệu DNS một cách tự động. Bạn chọn nó và nhấn Next và Finish để kết thúc. 4. Các loại bản ghi DNS cơ bản 4.1 Các bản ghi A (bản ghi host) Chức năng: dùng để ánh xạ một tên với một địa chỉ IP. Để tạo ra một bản ghi A, nhắp phải vào folder evn.com rồi chọn New Host (A) để xuất hiện khung thoại như hình 5.5
Hình 3.5: Tạo ra một bản ghi Host Bạn nhập tên của máy vào ô Name và địa chỉ IP tương ứng của máy đó vào ô IP address sau đó nhấn Add Host. Sau khi nhập xong, nhấn Done để kết thúc. 4.2. Các bản ghi SOA (Start of Authority) Mỗi miền đều có một bản ghi Start of Authority (chỗ bắt đầu phân giải tên). Nó là bản ghi tương ứng với tên của DNS server chính của miền đó, cung cấp một địa chỉ email cho quản trị viên của miền đó và chỉ ra thời gian đệm trữ dữ liệu của nó. Nhấp kép vào bản ghi SOA trong của sổ snap-in DNS, khung thoại như hình 3.6 xuất hiện. ĐTNCPT – TTCNTT – EVN
48
Windows Server 2003
Hình 5.6: Nội dung bản ghi SOA dành cho evn.com Ý nghĩa các trường trong bản ghi SOA Trường Serial number: phản ánh số lần thay đổi mà chúng ta tạo ra trên zone đó. Trường Primary server là chính máy này: win2k3srv Trường Responsiable persion (người chịu trách nhiệm): đây là địa chỉ email của người quản trị miền. Địa chỉ email này không có dấu @. Nếu địa chỉ email là thitd.evn.com thì có nghĩa địa chỉ email của người quản trị là
[email protected] Trường Refresh interval: ấn định khoảng thời gian cập nhật lại dữ liệu cho các Secondary DNS server. Giá trị mặc định là 15 phút, có nghĩa là cứ sau một khoảng thời gian 15 phút các Secondary DNS server lại hỏi lại Primary DNS server chính về những thay đổi trong bản ghi SOA dựa vào giá trị trong trường Serial number. Trường Retry Interval: ấn định khoảng thời gian mà các Secondary DNS server phải liên lạc với Primary DNS server. Giá trị mặc định là 10 phút, có nghĩa là khi các Secondary DNS server không nhận được hồi đáp từ Primary DNS server về yêu cầu cập nhật dữ liệu thì cứ sau 10 phút nó lại liên lạc lại với Primary DNS server. Trường Expires after: ấn định thời gian đệm trữ những cái tên mà các Secondary DNS server đã phân giải, theo mặc định thời gian đó là 1 ngày. Sau một ngày mà các DNS server này không truy cập được Primary DNS server thì nó sẽ chấm dứt trả lời tra vấn từ những máy khách. Trường Minimum (default) TTL có tác dụng khuyến cáo những DNS server khác đệm trữ những thông tin nhận được từ server này trong bao lâu. Theo mặc định giá trị của trường này là 60 phút. Trường TTL for this record: Thiết lập giá trị TTL cho bản ghi SOA này thay giá trị mặc định của zone. 4.3. Các bản ghi NS (Name server) Các bản ghi name server có tác dụng quy định các name server trong miền. Các bản ghi name server đều có dạng: (same as partent folder)
Name Server (NS)
servername
Cụm từ same as partent folder có nghĩa là những server dành cho chính domain này Để bổ sung một bản ghi NS cho một name server khác, bạn nhắp phải chuột vào folder evn.com, chọn Properties sau đó chọn trang Na ĐTNCPT – TTCNTT – EVN
49
Windows Server 2003 me Server, một khung thoại như hình 5.7 xuất hiện:
Hình 5.7: Trang Name server dành cho evn.com Nhấn vào nút Add để bổ sung bản ghi NS cho name server khác, khi đó sẽ xuất hiện khung thoại như hình 5.8.
Hình 5.8: Bổ sung bản ghi NS cho win2k3.evn.com Khung thoại này yêu cầu bạn nhập tên và địa chỉ IP của DNS server mới, bạn chỉ cần nhập tên của DNS server vào trường Server fully qualified domain name (FQND) rồi sau đó nhấn Resolve để DNS server phân giải cái tên đó giùm bạn. 4.4. Các bản ghi CNAME (Bản ghi Alias) Bản ghi CNAME có tác dụng đặt các tên khác nhau cho một địa chỉ IP cụ thể. Các bản ghi này được sử dụng khi ta đặt các tên khác nhau cho cùng một máy mà máy đó chỉ có một địa chỉ IP. Nếu tạo một bản ghi CNAME bên trong một miền cho trước thì tên đó không cần phải là tên đầy đủ của miền. Nếu tạo một bản ghi CNAME tạo ra cho một máy mà nó không nằm trong miền đó thì phải nhập tên đầy đủ cho máy đó kể cả dấu “.” sau cùng. Không thể dùng các CNAME để trao nhiều địa chỉ IP cho một tên Internet. Có thể dùng các CNAME để trao nhiều hơn một tên cho một địa chỉ IP cho trước. Để tạo ra một bản ghi CNAME, nhắp phải vào folder evn.com, chọn New Alias (CNAME) để xuất hiện khung thoại như hình 5.9. ĐTNCPT – TTCNTT – EVN 50
Windows Server 2003
Hình 5.9: Thêm vào một bản ghi CNAME Điền bí danh mới vào ô Alias (CNAME), sau đó điền tên đầy đủ mà bí danh đó sẽ liên kết đến trong ô Fully qualified domain name (FQDN) for target host. Sau đó nhấn OK để kết thúc. 4.6. Các bản ghi MX (Mail Exchange) Các bản ghi MX có chức năng chỉ ra các mail server nằm trong miền đó. Bằng cách sử dụng các bản ghi MX để thiết lập nhiều mail server trong mạng, tính chịu lỗi của các hoạt động thư tín trong mạng được tăng cường. Để tạo ra một bản ghi MX, nhắp phải vào folder evn.com rồi chọn lệnh New Mail Exchange (MX) và sau đó sẽ thấy khung thoại như hình 4.10 xuất hiện.
Hình 4.10: Bổ sung một bản ghi MX vào zone evn.com Trường Host or child domain chúng ta không phải điền gì, khi chúng ta để trắng thì tên của miền này sẽ được điền vào một cách tự động. Trường Fully qualified domail name (FQDN) of mail server chúng ta cần điền vào tên đầy đủ của máy đóng vai trò mail server. Trường Mail server prority xác định độ ưu tiên cho mail server. Máy nào có giá trị này càng nhỏ thì độ ưu tiên càng cao. 4.7. Các bản ghi SRV Các bản ghi SRV có vai trò rất quan trọng đối với Active Directory. Nếu các DNS không hỗ trợ các bản ghi SRV thì mạng sẽ không vận hành được Active Directory. Các bản ghi SRV cho phép bạn nhận ra một hoặc nhiều server mà: •
Vận hành một dịch vụ cụ thể nào đó.
ĐTNCPT – TTCNTT – EVN
51
Windows Server 2003 •
Chạy trên giao thức TCP hay UDP.
•
Nằm trong một miền DNS cụ thể.
Cấu trúc một bản ghi SRV: Giả sử ta có bản ghi SRV như sau: _kerberos._tcp.marksite._sitesdc._msdcs 600 SRV 0 100 88 win2k3srv.evn.com
Bản ghi này có nghĩa là: Có một Kerberos server sử dụng TCP trong miền con marksite._sitesdc._msdcs của miền evn.com tại máy win2k3srv.evn.com. Nó hồi đáp lại các yêu cầu Kerberos khi được gửi đến thông qua cổng TCP 88, độ ưu tiên của bản ghi này là 100 và thời gian đệm trữ nó là 600 giây. 4.8. Các bản ghi PTR Là các bản ghi nằm trong Reverse lookup zone. Bản ghi PTR có tác dụng giống như ban ghi host (A) nhưng nó làm nhiệm vụ phân giải tên host thành một địa chỉ IP cho trước. Để tạo ra các bản ghi PTR, trước hết bạn phải tạo ra một Reverse Lookup Zones bằng cách nhấn phải chuột vào đó và chọn New Zones Wizard. Bạn nhấn Next rồi chọn Primary Zone và nhấn Next. Khi đó một màn hình như hình 5.11 xuất hiện.
Hình 5.11: Đặt tên cho một reverse lookup zone
Trong trường Network ID, nhập vào địa chỉ mạng của mạng con sau đó nhấn Next hai lần. Trong trang Dynamic update bạn chọn Allow both nonsecure and secure dynamic updates rồi nhấn Next và Finish để kết thúc. Để tạo ra một bản ghi PTR, nhấn phải vào folder bên trong Reverse Lookup Zones tên là 192.168.0.x Subnet rồi chọn New Pointer (PTR) để nhìn thấy khung thoại như hình 5.12.
Hình 5.12: Tạo ra một bản ghi PTR mới
ĐTNCPT – TTCNTT – EVN
52
Windows Server 2003 Bạn điền quad cuối cùng của địa chỉ IP và tên miền được mô tả đầy đủ của máy host, sau đó nhấn OK để kết thúc. 5. Thiết lập Secondary DNS server Để thiết lập một Secondary DNS server, bạn sử dụng một máy tính Windows 2003 đã cài DNS trên đó. Mở công cụ snap-in DNS, nhắp phải Foward Lookup Zones, chọn New Zone Wizard. Nhấn Next để chuyển đến trang đầu tiên, khi đó màn hình như hình 5.1 xuất hiện. Bạn chọn Secondary sau đó nhấn Next, khi đó khung thoại như hình 5.12 xuất hiện.
Hình 5.12: Nhập tên cho miền Secondary DNS server cần tạo Nhập tên của zone mà DNS server này sẽ đóng vai trò là Secondary DNS server cho nó vào ô Zone name sau đó nhấn Next để chuyển đến khung thoại xác định Primary DNS server như hình 5.13
Hình 5.13: Chỉ định DNS server chính của Zone Nhập địa chỉ IP của DNS server chính sau đó nhấn Add, nhấn Next và Finish để kết thúc quá trình cài đặt Secondary DNS server. Để nhận được thông tin của các zone từ Primary DNS server bạn phải vào Primary DNS và bổ sung tên và địa chỉ IP của secondary DNS server ở trong trang Name server.
6. Đồng bộ dữ liệu giữa Primary DNS server và Secondary DNS server Khi các zone file trên DNS server chính thay đổi, cần phải có cơ chế để cập nhật các zone file trên các server phụ một cách thường xuyên. Có bốn điều khiến cho xảy ra các cuộc sao chép DNS có thể xảy ra: 1. Khi khởi động Secondary DNS server dành cho một khu: Nếu khởi động lại dịch vụ DNS trên một Secondary DNS server dành cho một khu cho trước thì DNS server ấy sẽ liên hệ với server chính cho khu đó để nhận những dữ liệu mới nhất về khu đó. ĐTNCPT – TTCNTT – EVN
53
Windows Server 2003 2. Khi buộc một zone gửi dữ liệu đi: nếu DNS server đang xét là Secondary DNS server cho một zone, bạn có thể buộc nó nhận một bản sao mới của zone ấy từ Primary DNS server bằng cách nhắp phải folder dành cho khu đó rồi chọn lệnh Transfer from Master để cập nhật những thay đổi hoặc lệnh Reload from Master để xoá sạch hoàn toàn bản sao tại chỗ của zone đó rồi nạp lại nó từ Primary DNS server của zone đó. 3. Khi dữ liệu của zone hết hiệu lực: Khi dữ liệu của zone hết hiệu lực trong trường Refresh interval. 4. Khi Primary DNS server yêu cầu Secondary DNS server nhận dữ liệu: thông qua các cuộc báo tin (notifying). Để thiết lập các tuỳ chọn cho các cuộc báo tin này, bạn nhấn chuột phải vào folder đại diện cho zone đang xét, chọn Properties, sau đó chọn tab Zone Transfer (hình 5.15). Nhấn vào nút Notify... để thiết lập các tuỳ chọn cho các cuộc báo tin giữa server chính va server phụ.
Hình 5.14: Thiết lập việc truyền dữ liệu giữa server chính và server phụ 6.1. Sao chép dữ liệu giữa các zone Các phần mềm của DNS server dựa trên Windows 2003 tuân thủ theo RFC 1995 sẽ chỉ truyền những phần dữ liệu đã bị thay đổi (incremental zone transfer) thay vì phải truyền toàn bộ thông tin sang DNS server phụ. Nếu một DNS server dựa trên Windows 2000 hoặc Windows 2003 đang truyền thông với một DNS server không dựa trên Win2k hoặc Win2k3 thì nó sẽ truyền toàn bộ zone chứ không phải truyền theo kiểu Incremetal. Để một DNS server dựa trên Win2k hoặc Win2k3 thực hiện những cuộc truyền theo kiểu incremental sang những DNS server phụ không phải dựa trên Win2k hoặc Win2k3, bạn tiến hành theo các bước sau: 1. Mở công cụ snap-in DNS trên DNS server chính. Nhắp phải hình tượng đại diện cho DNS server rồi chọn Properties. 2. Chọn trang Advanced trên khung thoại vừa xuất hiện. Trên trang Advanced bỏ duyệt ô có nhãn BIND Secondaries. Nhấn OK hoặc Apply. Khi đó DNS server chính sẽ truyền theo kiểu incremental sang tất cả các DNS server khác. 6.2. Kiểm soát quá trình sao chép và báo tin cho DNS server phụ DNS server phụ làm việc được khi nó sao chép các thông tin trong zone file từ DNS server chính. Việc sao chép thông tin từ zone này sang zone khác được gọi là zone transfer (truyền khu) và người quản trị phải kiểm soát quá trình sao chép này vì lý do bảo mật. Bạn thiết lập cho một DNS server chính có cho phép những cuộc truyền khu hay không và nếu cho phép thì truyền cho máy nào bằng cách trong công cụ snap-in DNS nhắp phải folder tương ứng với zone đang xét rồi chọn Properties, nhắp trang Zone Transfers để xuất hiện khung thoại như hình 5.15. ĐTNCPT – TTCNTT – EVN
54
Windows Server 2003
Hình 5.15: Kiển soát các cuộc truyền khu Theo mặc định DNS server này sẽ truyền những nội dung của các zone file đến các server nào yêu cầu điều đó. DNS của Win2k3 cung cấp những tuỳ chọn như sau: •
Cấm toàn bộ những cuộc truyền khu bằng cách bỏ chọn mục Allow zone transfer.
•
Chỉ cho phép truyền đến những server có tên trong trang Name Servers bằng cách chọn mục Only to server listed on the Name Servers tab.
•
Chỉ cho phép truyền đến những server được nêu tên trong ô IP address bằng cách chọn mục Only to the folowing Servers.
7. Tạo các miền con trong DNS Khi tạo ra một miền con trong một miền cho trước, ta phải uỷ thác quyền kiểm soát khu đó cho một DNS server thuộc miền con mới. Có ba phần trong việc thiết lập một miền con mới mà ta cần thực hiện: •
Báo cho miền cấp trên biết sẽ có một miền cấp dưới thuộc quyền kiểm soát của một máy khác.
•
Báo cho DNS server của miền cấp trên nơi cần tìm một DNS server dành cho miền cấp dưới mới.
•
Thiết lập DNS server của miền cấp dưới mới.
7.1. Uỷ thác quyền cho miền cấp dưới Để thiết lập một DNS server uỷ quyền cho một miền cấp dưới, bạn tiến hành theo các bước sau: •
Nhắp phải chuột vào folder tương ứng với miền cấp trên (trong ví dụ này là evn.com) trong công cụ snap-in DNS rồi chọn New Delegation. Nhấn Next để chuyển qua màn hình tiếp theo của wizard này. Khi đó một màn hình sẽ xuất hiện như hình 3.16.
ĐTNCPT – TTCNTT – EVN
55
Windows Server 2003
Hình 3.16: Nêu tên miền con cần uỷ thác quyền Trong màn hình này bạn điền tên của miền con được uỷ quyền vào ô Delegated domain. Trong ví dụ này tôi điền tên miền con sẽ được uỷ quyền là evnit. Khi đó tên đầy đủ của miền con mới sẽ là evnit.evn.com. Sau đó nhấn Next để thấy xuất hiện một bảng giống như hình 5.17.
Hình 5.17: Uỷ thác cho DNS server nào •
Nhập tên và địa chỉ IP của (các) DNS server dành cho miền con mới. Nhập tên và địa chỉ IP đó bằng cách nhấn nút Add, khi đó khung thoại như hình 5.18 xuất hiện.
Hinh 5.18: Chỉ định DNS server cho miền con Ở khung thoại này bạn phải điền cả tên đầy đủ và địa chỉ IP của DNS server dành cho miền con thì nó mới thoả mãn. Sau đó nhắp Ok, nhắp Next và Finish để kết thúc việc xác nhận này. 7.2. Tạo ra zone cho miền cấp dưới ĐTNCPT – TTCNTT – EVN
56
Windows Server 2003 Tại máy win2003.evnit.evn.com, chạy công cụ snap-in DNS, nhắp phải vào folder Foward Lookup Zones, chọn New Zone. Các bước tiếp theo tương tự như việc tạo ra một zone mới như đã trình bày trong các phần ở trên.
8. DNS động (Dynamic DNS – DDNS) DDNS có khả năng tự động tạo ra các bản ghi A cho các máy DNS client và các server khác trên mạng nhờ khả năng tự đăng ký chính chúng với DNS server một cách tự động mà không yêu cầu người quản trị mạng phải nhập vào các bản ghi A cho chúng. Để các cuộc đăng ký động xảy ra và thực hiện được bạn phải thiết lập cho các DNS server dành cho khu đó sẵn sàng tiếp nhận các bản ghi động. Theo mặc định thì các khu không động. Để kiểm tra, trong công cụ snap-in DNS, nhắp phải folder đại diện cho khu evn.com rồi chọn Properties và nhắp chọn trang General của khung thoại hiện ra lúc đó, sau đó bạn chọn Nonsecure and Secure bên dưới Allow Dynamic Updates. 8.1. Kích phát các cuộc đăng ký DDNS Để một máy thực hiện các cuộc đăng ký động với DNS server, bạn thực hiện lệnh sau: Ipconfig /registerdns Năm sự kiện khiến cho một client phải đăng ký (đăng ký lại) •
Máy khách đó vừa được reboot, phần mềm TCP/IP vừa mới khởi động.
•
Bạn vừa thay đổi địa chỉ IP trên một máy bằng địa chỉ IP tĩnh.
•
Máy của bạn nhận địa chỉ từ DHCP server và nó vừa mới gia hạn hoặc làm mới thuê bao DHCP ấy.
•
Gõ lệnh ipconfig /registerdns.
•
24 giờ đã trôi qua kể từ lần cuối máy bạn đăng ký với DDNS.
Để thay đổi giá trị mặc định 24 giờ thành một giá trị khác, bạn vào khoá HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters trong Registry: thêm vào một đề mục giá trị mới DefaultRegistrationRefreshInterval thuộc loại REG_DWORD. Bạn có thể chỉnh giá trị chỉ mức độ thường xuyên đăng ký này tính bằng giây, giá trị mặc định là 86.400 giây bằng 24 giờ.
9. Thanh lý các bản ghi DNS Thanh lý (scavenging) là quá trình mà theo đó cứ đúng kỳ, một DNS server lại kiểm tra các bản ghi DNS server được tạo ra một cách năng động để xem chúng đã tồn tại được bao lâu kể từ lúc chúng đăng ký (hoặc đăng ký lại). Như vậy, nếu thủ tục thanh lý tìm thấy những bản ghi mà không được đăng ký hoặc đăng ký lại trong một khoảng thời gian dài, nó sẽ xoá chúng khỏi zone file. Để thiết lập chế độ thanh lý bạn nhắp phải vào hình tượng của DNS server nằm trong ngăn bên trái của cửa sổ công cụ snap-in DNS rồi chọn Set Aging/Scavenging for All Zones, bạn sẽ nhận được một khung thoại giống như hình 5.19
ĐTNCPT – TTCNTT – EVN
57
Windows Server 2003
Hình 5.19 Ấn định các thông số thanh lý Bạn nhấn duyệt vào ô có nhãn là Scavenge stale resource records rồi nhấn OK hai lần để cho phép áp dụng việc thanh lý. Để kích hoạt thủ tục thanh lý, bạn nhắp phải vào hình tượng DNS server, chọn Properties rồi sau đó chọn trang Advanced, khi đó xuất hiện một khung thoại giống như hình 5.20. Bạn duyệt vào ô Enable automatic scaveging of stale records để định kỳ kích hoạt thủ tục thanh lý.
Hình 5.20: Thanh lý thường xuyên đến mức nào Giá trị trong ô No-refresh interval trong hình 3.19 là khoảng thời gian máy khách không thể đăng ký lại chính chúng trong DNS. Việc thiết lập thông số này nhằm hạn chế việc các máy khách đăng ký thường xuyên đến các DNS server bởi vì khi có một đăng ký mới được thực hiện thì sẽ tạo ra một sự thay đổi trong AD, và những thay đổi trong AD phải được sao chép đến mọi máy kiểm soát miền AD trong toàn bộ mạng của doanh nghiệp. Việc lưu chuyển dữ liệu sao chép quá thường xuyên có thể dẫn đến tắc nghẽn đường liên kết WAN và làm chậm hoạt động của những máy DC. Giá trị trong ô Refresh Interval là phần thời gian còn lại từ khi đúng kỳ thanh lý cho đến khi bị loại bỏ thực sự. Nó thiết lập cho DNS server rằng nếu tuổi đời của bản ghi nào còn ít hơn tổng các khoảng thời gian No-refresh interval và refresh interval thì đừng thanh lý nó. Bạn nên ấn định tổng của các giá trị No-refresh interval và refresh interval luôn vượt quá khoảng thời gian tối đa khả dĩ giữa hai lần đăng ký lại liên tiếp nhau. Để ấn định các thông số No-refresh interval và refresh interval cho một khu cụ thể, bạn nhắp phải vào khu đó rồi chọn Properties, sau đó bạn nhắpchọn trang General và sẽ thấy một nút Aging, nhắp nó và bạn nhận được một khung thoại tương tự như hình 3.19. Bạn nhập các thông số thích hợp với yêu cầu thanh lý khu và nhấn OK để kết thúc. ĐTNCPT – TTCNTT – EVN
58
Windows Server 2003 Để tắt chế độ đăng ký động ở các máy Win2k/XP bằng cách chỉnh sửa Registry. Bạn vào khoá HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Bạn thêm vào đó một đề mục giá trị mới DisableDynamicUpdate – một đề mục REG_DWWORD - rồi đặt cho nó giá trị 1 và reboot lại máy. Khi đó máy đó sẽ không khởi xướng một cuộc cập nhật động khi nó nhận một địa chỉ IP tĩnh hoặc nhận từ DHCP. Hoặc bạn cũng có thể tắt tính năng này bằng cách chỉnh sửa rong GUI, trong khung thoại đặc tính TCP/IP Settings, trên trang DNS bạn bỏ duyệt ô Register this connection’s addresses in DNS. 10. DNS Forwording 10.1. Tập trung hoá các DNS cache bằng Forwarding Các DNS Forwarder trong mạng có nhiều DNS server giúp việc phân giải những tên DNS của các máy trong mạng diễn ra nhanh hơn và tiết kiệm được băng thông đường truyền bằng cách máy DNS Forwarder đệm trữ tất cả những thông tin mà các DNS server trong mạng đã tra vấn được trên Internet. Khi đó một cuộc yêu cầu phân giải tên của các máy khách trong mạng diễn ra theo các bước sau: 1. Giống như trước, tìm trong cache và các zone tại chỗ. 2. Nếu cache và các zone tại chỗ không có câu trả lời thì tra vấn máy forwarder. 3. Nếu máy Forwarder có câu trả lời trong cache hoặc zone tại chỗ của nó thì nó có thể trả lời câu hỏi kia. Nếu không có thì máy Forwarder tìm kiếm các DNS trên Internet. 4. Sau khi máy Forwarder có câu trả lời, nó gửi đáp án ngược trở lại cho DNS server nào đã tra vấn nó. 5. Nếu máy Forwarder không hồi đáp trong một khoảng thời gian nào đó thì DNS server đã tra vấn nó chỉ việc bỏ qua máy Forwarder (không chờ nó giải đáp nữa) và đích thân tìm kiếm các DNS server trên Internet. Để thiết lập cho một DNS server của WinS2K3 sử dụng một Forwader bằng cách mở công cụ snap-in DNS rồi nhắp phải hình tượng đại diện cho DNS server đó, chọn Properties rồi nhắp chọn trang Fowarders trên khung thoại đặc tính hiện ra lúc đó. Bạn sẽ thấy một khung thoại giống như hình 5.21
Hình 3.21: Thiết lập Fowarders Nhắp chọn All other DNS domains trong khung thoại DNS Domain. Sau đó quan sát phía dưới, đến trường có nhãn là Selected domain’s forwarder IP address lits, bạn nhập vào một hoặc vài địa chỉ IP của DNS server nào mà bạn chỉ định làm forwader. Trường nằm ở phần dưới bên phải ĐTNCPT – TTCNTT – EVN
59
Windows Server 2003 của trang Forwarders có nhãn là Number of seconds before forward queries time out là khoảng thời gian chờ của các DNS server yêu cầu phân giải tên từ forwarders. Giá trị mặc định là 5 giây, sau thời gian này nếu không có hồi đáp từ Forwarder thì các DNS server sẽ tra vấn trực tiếp trên Internet. 10.2. Bảo vệ các DNS server nội bộ bằng Forwarding\Slaving Để đảm bảo an toàn cho các DNS server bên trong mạng của bạn khỏi những cuộc tấn công từ bên ngoài, mạng của bạn nên thiết kế có một số DNS server đóng vai trò là DNS Forwarder và thực hiện các biện pháp an ninh trên các server đó. Các yêu cầu phân giải tên của các DNS server trong mạng sẽ thông qua các Forwarders này. Nhưng nếu các Forwarder hồi đáp không đủ nhanh thì các server bên trong sẽ trực tiếp tra vấn các DNS server trên Interne công cộng và sẽ làm nảy sinh các vấn đề về an ninh. Để khắc phục nhược điểm này, ta thay đổi cách hoạt động của các DNS server bên trong khi chúng gửi tra vấn đến máy Forwarders. Nếu các yêu cầu phân giải tên đến Forwarders không được hồi đáp thì các DNS server bên trong sẽ coi như cuộc phân giải đó thất bại. Đây gọi là Slaving các DNS server bên trong vào máy Forwarders. Để thực hiện điều này, tìm trong trang Forwarders trên khung thoại đặc tính của một DNS server , duyệt vào ô có nhãn là Do not use recusion for this domain. Khi đó DNS server này đã bị lệ thuộc hoàn toàn vào Forwarders. Bạn nên thiết lập có nhiều Forwarders trong mạng để tăng tính chịu lỗi của mạng. 10.3. Conditional Forwarding Conditional DNS Forwarding (gửi chuyển tiếp tra vấn DNS có điều kiện) giúp cho người quản trị mạng có thể thiết lập cho DNS server của họ luôn hướng tới một server cụ thể khi phân giải một miền cụ thể nào đó mà không phải mất công tìm kiếm trên Internet. Phần mềm DNS server của Windows 2003 cho phép bạn thiết lập Conditional forwarding cho bao nhiêu zone tuỳ thích. Mở khung thoại đặc tính của DNS server rồi chọn trang Forwarders để xuất hiện màn hình như hình 3.21, sau đó bạn thực hiện theo các bước sau: Nhắp nút New ở góc trên bên phải của trang Forwaders, một khung thoại xuất hiện như hình 5.22.
Hình 5.22: Thiết lập Conditional Forwarding Điền vào tên domain bạn muốn phân giải, nhắp Ok và trang Forwarders giống như hình 5.23
ĐTNCPT – TTCNTT – EVN
60
Windows Server 2003
Hình 5.23: Tên miền muốn phân giải Để định địa chỉ IP của server cần hỏi mỗi khi tìm kiếm thông tin về domain, bạn điền dịa chỉ IP của server đó vào trong trường Selected domain’s forwarder IP address list, sau đó nhắp Add rồi nhấn OK. 11. Khôi phục thông tin DNS 11.1. Sao lưu dự phòng DNS Sau khi thiết lập DNS server , bạn lưu dự phòng cấu hình của server đó như sau: 1. Dừng dịch vụ DNS lại 2. Khởi động Regedit, tìm tới CurrentControlSet \Services\DNS.
khoá
HKEY_LOCAL_MACHINE\System\
3. Nhắp phải vào Folder DNS rồi chọn Export, đặt cho nó một cái tên dns1 rồi nhấn Enter. 4. Tìm tới khoá KEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\DNS Server. 5. Nhắp phải vào folder DNS Server rồi chọn Export, đặt tên cho file đó là dns2 rồi nhấn Enter. Bạn tạo được hai file Regestry tên là dns1.reg và dns2.reg. Lưu hai file này vào vị trí thích hợp, sau đó bạn vào thư mục \Windows\System32\DNS và sao chép tất cả các file có phần mở rộng là .dns và lưu dự phòng lại. Khởi động lại dịch vụ DNS. 11.2. Khôi phục thông tin DNS Để khôi phục nhanh một DNS server bạn tiến hành theo các bước sau đây: 1. Thiết lập một máy Windows 2003, đặt tên máy, hậu tố DNS và địa chỉ IP giống hệt như DNS server cũ. 2. Cài đặt dịch vụ DNS lên máy đó. 3. Sao chép tất cả các file có phần mở rộng là .dns đã dự phòng vào thư mục Windows\ System32\DNS. 4. Ngừng dịch vụ DNS trên máy đó 5. Nhắp kép các file có phần mở rộng .reg đê cài đăt chúng vào registry. 6. Khởi động lại dịch vụ DNS. ĐTNCPT – TTCNTT – EVN
61
Windows Server 2003 13. AD intergrated zone AD intergrated zone cung cấp hai tính năng : •
Loại trừ các khái niệm về Primary và Secondary, biến tất cả các DNS server thành các Primary DNS server. Khi đó việc đăng ký tên cho các máy trong mạng sẽ được san tải sang cho các DNS server trong mạng. Dữ liệu của zone đó sẽ được lưu trong AD.
•
Bảo vệ hệ thống DNS động bằng cách ngăn không cho những máy bên ngoài không mong muốn đăng ký được những bản ghi DNS động. Chỉ những máy là thành viên của một miền kết hợp với AD mới có khả năng đăng ký động những bản ghi DNS với một ADIntergrated zone.
Trong một AD-Intergrated zone, các DNS server cũng đồng thời là các Domain Controller. Những DNS server không phải là Domain Controller chỉ có thể đóng vai trò là các Secondary DNS và không có khả năng tiếp nhận các cuộc đăng ký động. Để tạo ra AD-Intergrated zone, mở folder dành cho zone đó, chọn Properties, chọn trang General. Nhấn nút Change để phong cấp cho DNS server.
Hình 5.24: Tạo AD Intergrated Zone Trong khung thoại này có thể phong cấp cho một server phụ thành server chính nếu server chính trong mạng vừa chết. Mục chọn Store the zone in Active Directory (available only if DNS server is a domain controller) sẽ cho phép lưu các thông tin của DNS server vào trong AD.
14. Stub-zone Có chức năng giống như một secondary zone thu nhỏ. Nó chỉ là một bản sao của những thông tin của primary zone, không thể thay đổi thông tin DNS dành cho một miền thông qua một Stubzone. Stub-zone khác secondary zone ở chỗ nó chỉ chứa thông tin về name server dành cho zone của nó. Trong một stub zone chỉ có: •
Bản ghi SOA dành cho miền.
•
Các bản ghi NS nêu tên các DNS server dành cho miền đó.
•
Các bản ghi A nhận diện các địa chỉ IP của các DNS server được liệt kê dành cho miền đó.
Các zone này được sử dụng trong kiểu thiết kế split-brain DNS
ĐTNCPT – TTCNTT – EVN
62
Windows Server 2003
15. Split-brain DNS Khi muốn thiết kế mạng với một số DNS server chỉ dùng trong mạng intranet nội bộ và một số chỉ dùng cho Internet bên ngoài. Kiểu thiết kế này gọi là split brain DNS. Với mạng được thiết kế theo kiểu split-brain DNS thì khi một server thực hiện một cuộc phân giải địa chỉ thì trước hết nó tìm trong các zone file tại chỗ của nó. Nếu địa chỉ đó được tìm thấy trong các zone file đó thì nó sẽ không tiến hành tìm kiếm các địa chỉ ngoài Internet công cộng. Các zone file tại chỗ được ưu tiên hơn mọi khu khác trên Internet.
ĐTNCPT – TTCNTT – EVN
63
Windows Server 2003
CHƯƠNG 6 ACTIVE DIRECTORY 1. Chức năng của miền Active Directory Một miền Active Directory có nhiệm vụ và khả năng: 1. Lưu giữ một danh sách trung ương các tên tài khoản người dùng, các tài khoản máy và các mật khẩu tương ứng của người sử dụng. 2. Cung cấp một server đóng vai trò là server xác minh (authentication server) hoặc server đăng nhập (logon server) gọi là Domain Controller. 3. Duy trì một bảng chú dẫn (Index) có thể dò tìm nhanh những thứ thuộc miền đó, khiến người ta dễ tìm ra các tài nguyên có trong các máy thuộc miền hơn. 4. Cho phép tạo ra những tài khoản người dùng với những mức độ quyền hạn khác nhau. 5. Cho phép chia nhỏ miền của mình ra thành những miền nhỏ (subdomain) gọi là các đơn vị tổ chức (Organizational Unit - OU).
2. Tìm hiểu và sử dụng các đặc điểm của Active Directory 3. Cài đặt Active Directory 3.1. Chạy DCPROMO Mở Start/Run, gõ DCPROMO, màn hình như hình 5.1 xuất hiện
Hình 6.1: Màn hình khởi sự DCPROMO Bạn nhấn Next, khi đó một thông báo xuất hiện cảnh báo các máy DOS, Windows 95 và NT 4 SP3 sẽ bị loại khỏi mạng như hình 6.2
Hình 6.2: Các cảnh báo đối với các máy cũ trong mạng ĐTNCPT – TTCNTT – EVN
64
Windows Server 2003 Nhấn Next, màn hình như hình 6.3 xuất hiện yêu cầu bạn chọn lựa các cách tạo máy DC.
Hình 5.3:
ĐTNCPT – TTCNTT – EVN
65
Windows Server 2003
ĐTNCPT – TTCNTT – EVN
66
Windows Server 2003
3.4. Xây dựng một Enterprise Adminnistrator 3.4.1. Tạo ra quản trị viên có quyền lực trên khắp rừng Sau khi đăng nhập vào máy DC, nhắp Start\Administrator Tools\ Active Directory User And Computers. Khi đó một khung thoại sẽ xuất hiện như hình dưới.
Để tạo một tài khoản người dùng mới, bạn nhắp phải vào Folder Users trong ngăn bên phải, chọn New \ User, khi đó xuất hiện một màn hình như hình dưới.
ĐTNCPT – TTCNTT – EVN
67
Windows Server 2003
Bạn điền tên và họ cũng như tên đầy đủ của người dùng cần tạo vào các ô tương ứng. Trường User logon name là tên mà người dùng sẽ sử dụng để đăng nhập vào miền. Sau đó nhấn Next để chuyển sang màn hình tiếp theo.
Bạn nhập mật khẩu mà bạn muốn sử dụng để xác nhận cho tài khoản của bạn và bỏ ô duyệt User must change password at next logon sau đó nhấn Next và Finish để kết thúc việc tạo tài khoản mới. Bạn mở Folder Users ra, khi đó trandinhthi đã được tạo ra như hình dưới
Để bổ sung tài khoản trandinhthi vào nhóm Enterprise Admins để trở thành quản trị viên trên toàn rừng, bạn mở nhóm Enterprise Admins ra, khi đó khung thoại như hình dưới sẽ xuất hiện.
ĐTNCPT – TTCNTT – EVN
68
Windows Server 2003
Chọn trang Member bạn sẽ thấy xuất hiện khung thoại như hình dưới. Trong khung thoại này bạn thấy tài khoản quản trị viên tại chỗ dành cho máy DC của evn.com cũng là một Enterprise Admins. DCPROMO thiết lập điều đó một cách tự động.
Bổ sung một tài khoản người dùng vào nhóm Enterprise Admins bằng cách nhấn nút Add, khi đó khung thoại như hình dưới sẽ xuất hiện, bạn gõ tên người dùng cần bổ sung rồi nhấn Check names.
Hình Sau đó khung thoại ấy sẽ kiểm tra trong AD xem có tên nào khớp với tên mà bạn vừa nhập vào không. Sau đó nhấn OK để xác nhận những thay đổi. Như vậy tài khoản thitd đã trở thành một quản trị viên có quyền lực trên toàn rừng. 3.4.2. Thiết lập quyền kiểm soát trên miền con bằng OU Active Directory cho phép bạn trao một phần hoặc toàn bộ các quyền lực quản trị cho một nhóm người dùng. Khả năng này giúp cho một mạng đơn miền có thể được phân nhỏ ra thành các bộ phận khác nhau, mỗi bộ phận có một nhóm người dùng trong đó có một người có một phần hoặc toàn quyền quản trị nhóm đó. Quy trình thực hiện như sau: ĐTNCPT – TTCNTT – EVN
69
Windows Server 2003 1. Tạo ra một đơn vị tổ chức (OU) 2. Dời các tài khoản người dùng mà bạn muốn kiểm soát vào OU đó. 3. Tạo ra một nhóm để chứa những người mà sau này có quyền quản trị đối với những người trong OU vừa tạo. 4. Đưa một trong số các thành viên trong OU đã tạo trở thành thành viên của nhóm. 5. Uỷ quyền kiểm soát OU cho nhóm đã tạo. Tạo ra một OU Để tạo ra một OU trong một miền, bạn mở Active Directory Users and Computers (ADUC), nhắp phải vào hình tượng của miền đó trong ngăn bên trái, chọn New/Organizational Unit. Một khung thoại hiện ra chờ bạn nhập tên cho OU mới. Bạn nhập tên sau đó nhắp OK để kết thúc. Giả sử ta tạo ra một Ou tên là Daotao. Dời các tài khoản người dùng vào trong OU mới. Để dời các tài khoản người dùng trên hệ thống vào trong OU Daotao, bạn mở ADUC, mở miền của bạn ra rồi chọn folder Users. Bạn chọn các người dùng cần đưa vào OU rồi nhấn chuột phải sau đó chọn Move. Khi đó sẽ xuất hiện khung thoại hỏi nơi cần dời các người dùng đó, hoặc bạn có thể dùng tính năng kéo thả để kéo thả trực tiếp các users trong Folder Users sang OU Daotao. Tạo ra nhóm kiểm soát OU. Bước tiếp theo là tạo ra nhóm kiểm soát OU. Vào ADUC, nhắp Action/New/Group (hoặc nhắp phải vào OU vừa tạo và chọn New/Group). Khung thoại như hình dưới xuất hiện.
Hình Khung thoại này cho phép bạn tạo ra bất kỳ một trong ba loại nhóm có trong Active Directory. Bạn chọn loại nhóm thích hợp, đặt tên cho nhóm và nhấn OK để kết thúc. Giả sử tạo ra nhóm PswAmd. Kế tiếp bạn đặt một người sử dụng trong OU Daotao vào trong nhóm PswAmd bằng cách nhắp phải vào hình tượng của nhóm vừa tạo rồi chọn Properties, chọn trang Members rồi nhấn Add, chọn tài khoản người dùng muốn đưa vào nhóm rồi nhấn Add và Ok để kết thúc. Uỷ thác quyền của OU cho nhóm. Giả sử ta uỷ quyền Reset lại mật khẩu của Ou Daotao cho nhóm PswAdm. Trong ADUC, tìm OU Daotao, nhắp phải nó rồi chọn Delegation, màn hình đầu tiên của Delegation of Control Wizard sẽ xuất hiện, nhấn Next, bạn thấy xuất hiện màn hình như hình dưới.
ĐTNCPT – TTCNTT – EVN
70
Windows Server 2003
Hình Tiếp theo bạn phải cho ADUC biết rằng bạn sắp uỷ thác một số quyền nào đó cho một nhóm cụ thể. Nhấn nút Add rồi chọn nhóm PswAdm, sau đó nhấn OK để đóng khung thoại đó lại, màn hình sẽ trông giống như hình dưới.
Hình Nhấn Next, màn hình xuất hiện các công việc được uỷ thác, chọn công việc mà bạn muốn uỷ thác cho nhóm PswAdm, sau đó nhấn Next và Finish để kết thúc.
Hình Tóm lại việc uỷ thác quyền kiểm soát cho phép bạn chỉ định một nhóm người dùng có một loại quyền lực nào đó trên một OU. Uỷ thác quyền một cách chuyên sâu hơn Để thực hiện uỷ quyền một cách trực tiếp hơn, bạn mở ADCU lên, nhắp chọn View/Advanced Features. Chọn OU cần uỷ quyền, nhắp phải rồi chọn Properties, khi đó xuất hiện một khung ĐTNCPT – TTCNTT – EVN
71
Windows Server 2003 thoại đặctính, trong đó có một trang tên là Security. Nhắp chọn trang này bạn sẽ thấy màn hình giống như hình dưới.
Hình Để thấy rõ quyền của nhóm PswAdm đối với OU, bạn nhấn vào nút Advanced, khi đó màn hình như hình dưới sẽ xuất hiện.
Hình Trong khung thoại này, bạn có thể thêm hoặc bớt các nhóm cụ thể có quyền kiểm soát một OU cụ thể.
10. Các cấp hoạt động (functional level) của Active Directory 10.1. Các chế độ Mixed và Native trong mạng Windows 2000 server Một miền Active Directory ở chế độ Mixed Mode là miền AD mà có một máy Win2K đóng vai trò domain controler và giữ vai trò PDC (Primary DC) cùng với một số máy BDC (Backup DC) bất kỳ chạy NT4. Miền Active Directory ở chế độ Native Mode khi tất cả các máy DC trong miền đều là các máy chạy Win2K. 10.2. Các cấp hoạt động của miền trong Windows 2003 Trong các miền Active Directory dựa trên Win2K chỉ có hai khả năng có thể xảy ra: hoặc toàn bộ các DC đều chạy Win2K hoặc có cả DC chạy Win2K và các DC chạy NT4. ĐTNCPT – TTCNTT – EVN
72
Windows Server 2003 Trong các miền AD dựa trên WinS2K3 thì có nhiều khả năng kế hợp các DC hơn, mỗi khả năng đều có Mode riêng của nó. Các mode đó còn được gọi là “domain function level” (cấp hoạt động của miền). Bạn thay đổi cấp hoạt động của một miền bằng cách mở cửa sổ Active Directory Users and Computers rồi nhắp phải hình tượng đại diện cho miền ấy. Chọn Raise Domain Functional Level (nâng cấp hoạt đọng của miền) và sẽ thấy một khung thoại như hình dưới.
Hình Nâng cấp hoạt động của một miền Trong trường hợp này miền đang xét đang ở mode hoạt động Windows 2000 mixed functional level và bạn có thể thay đổi nó sang cấp hoạt động khác tuỳ thuộc vào các máy DC của bạn trong mạng. Ý nghĩa của các cấp hoạt động •
Windows 2000 mixed domain functional level: là miền mà có một số DC chạy WinS2K3, một số khác chạy Win2K server và một số máy khác nữa chạy NT 4 server. Giống như các miền mixed mode của Win2K server, các miền này thiếu multimaster replication và các universal group, các SID History và chúng cũng không chuyển đổi được các distribution group thành các nhóm security group và ngược lại.
•
Windows 2000 native domain functional level: là miền chỉ có các DC dựa trên Win2K server hoặc WinS2k3. Khi bạn nâng cấp một miền AD dựa trên Win2K server bạn sẽ có được cấp hoạt động này hoặc khi bạn tự nâng cấp hoạt động của miền. Những máy trong Windows 2000 native domain functional level có thể sử dụng các universal group, multimaster replication, các SID History và có thể chuyển đổi qua lại giữa các nhóm phân phối và bảo mật. Chúng không có khả năng đổi tên miền được đơn giản hoá mới có trong WinS2k3.
•
Windows server 2003 domain functional level: là cấp hoạt động tốt nhất. Để đạt đến cấp này, tất cả các DC trong mạng đều phải chạy Windows 2003. Với cấp hoạt động này bạn có thể thực hiện được những chức năng khác mà các cấp hoạt động khác không thực hiện được.
10.3. Các cấp hoạt động của rừng trong WinS2K3 Win2K server chỉ chỉ có những mode hoạt động của miền khác nhau nhưng các Active Directory dựa trên Win2K server lẫn WinS2K3 đều có các rừng cho nên có những cấp hoạt động khác nhau cho rừng. Để nâng cấp hoạt động của một rừng nào đó bằng công cụ Active Directory Domain and Trust. Nhắp phải vào hình tượng trong ngăn bên trái có nhãn là Active Directory Domain and Trust và chọn Raise Forest Functional level… bạn sẽ thấy màn hình giống như trong hình dưới. ĐTNCPT – TTCNTT – EVN
73
Windows Server 2003
Bạn chỉ có thể nâng cấp lên Windows server 2003 forest functional level khi tất cả các DC trong miền đều là WinS2K3 và các DC này đều hoạt động ở mode Windows 2000 native domain functional level. Nếu không thấy xuất hiện thông báo như hình trên bạn phải nâng cấp mode hoạt động của các DC trong rừng lên thành cấp hoạt động Windows sf 2003 domain functional level. Sau khi nâng cấp lên mức hoạt động Windows server 2003 forest functional level bạn có thêm được những khả năng sau: Các mối quan hệ tin (trust) có tính bắc cầu giữa các rừng: một quan hệ tin làm cho mọi miền trong mỗi rừng tin lẫn nhau nhưng chỉ nếu cả hai rừng đều ở Windows server 2003 forest functional level. Sao chép tư cách thành viên trong nhóm linh hoạt hơn. Tiếp vận liên site tốt hơn Các lỗi GC đã được sửa chữa.
11. Tổng quan về chính sách nhóm (Group Policy) 11.1. Sự khác nhau trong cách thực hiện chính sách nhóm và chính sách hệ thống Các chính sách hệ thống (system policy) của Windows 9x, Windows Me và được tập hợp lại thành một file duy nhất là CONFIG.POL, các chính sách nhóm (Group Policy) của Windows NT4, Win2k, XP, WinS2K3 được lưu giữ trong file NTCONFIG.POL. Tất cả đều được đặt trên một thư mục dùng chung là NETLOGON của từng máy DC. Khi một máy Windows 9x, Me, NT4, Win2K, XP, WinS2K3 khởi động rồi đăng nhập vào một miền NT4 hoăc một miền AD thì máy đó sẽ tải xuống file CONFIG.POL hoặc NTCONFIG.POL rồi thực hiện những chính sách đã được mã hoá trong các file đó. Bạn có thể dùng chính sách hệ thống kiểu NTCONFIG.POL/CONFIG.POL trên các miền dựa trên NT4 hoặc trên các miền AD bởi vì các máy trước Win2K không hiểu được các chính sách nhóm. Các chính sách nhóm khác biệt với các chính sách hệ thống ở các điểm sau: •
Các chính sách nhóm chỉ có thể hiện hữu trên miền Active Directory, không thể đặt các chính sách nhóm lên các miền NT4.
•
Các chính sách nhóm thực hiện được nhiều công việc hơn các chính sách hệ thống. Ví dụ bạn có thể dùng các chính sách nhóm để triển khai phần mềm cho một hoặc nhiều máy trạm nào đó một cách tự động.
•
Các chính sách nhóm tự động huỷ bỏ tác dụng khi chúng được gỡ bỏ, không giống như các chính sách hệ thống.
•
Các chính sách nhóm được áp dụng thường xuyên hơn các chính sách hệ thống. Các chính sách hệ thống chỉ được áp dụng khi máy khách đăng nhập, còn các chính sách ĐTNCPT – TTCNTT – EVN 74
Windows Server 2003 nhóm được áp dụng khi bạn mở máy lên, khi máy khách đăng nhập và một cách tự động vào những thời điểm ngẫu nhiên trong suốt ngày làm việc. •
Có nhiều mức độ kiểm soát việc áp dụng các chính sách nhóm đối với các đối tượng khác nhau.
•
Các chính sách nhóm chỉ áp dụng được với các máy Win2K, XP và WinS2K3.
11.2. Khả năng của chính sách nhóm. Với chính sách nhóm bạn có thể làm được mọi chuyện như là đối với chính sách hệ thống, ngoài ra bạn còn làm được một số việc khác ví dụ như: •
Triển khai phần mềm ứng dụng.
•
Ấn định các quyền hạn người dùng.
•
Giới hạn những ứng dụng mà người dùng được phép chạy.
•
Kiểm soát các thiết định hệ thống.
•
Thiết lập các kịch bản đăng xuất, đăng nhập và tắt máy.
•
Đơn giản hoá và hạn chế chương trình.
•
Hạn chế tổng quát màn hình Desktop của người dùng.
12.Kiểm toán và sử dụng mạng bằng Active Directory Active Directory sẽ theo dõi tuỳ ý bạn chọn lựa một số hoạt động trên mạng và ghi lại những gì nó tìm thấy về các hoạt động đó trong các mục ghi chép của Event Viewer, trong bản ghi chép Security. Win2K và các phiên bản sau đó của NT đều yểm trợ vài loại kiểm toán: •
Kiểm toán những sự kiện đăng nhập tài khoản (account logon event)
•
Kiểm toán những sự kiện đăng nhập (logon event)
•
Kiểm toán việc quản lý tài khoản (account management)
•
Kiểm toán việc truy cập directory service access
•
Kiểm toán việc thay đổi chính sách (policy change)
•
Kiểm toán những sự kiện hệ thống (system event)
•
Kiểm toán việc theo dõi phân trình xử lý (process tracking)
•
Kiểm toán việc truy cập đối tượng (object access)
•
Kiểm toán việc sử dụng quyền hạn (privilege use).
12.1. Các loại kiểm toán 12.1.1. Logon event và account logon event Kiểm toán những sự kiện đăng nhập (logon event) và kiển toán những sự kiện đăng nhập tài khoản (account logon event) có một chút khác bịêt và nó rất có tác dụng trong việc theo dõi ai làm gì, ở đâu và tác động lên cái gì. Ví dụ khi một người dùng có tài khoản là A đang cố gắng truy cập một server thành viên \\B và server này sẽ xác minh người dùng đó tại máy \\DC1 thì sẽ xảy ra các laọi kiểm toán sau: ĐTNCPT – TTCNTT – EVN
75
Windows Server 2003 Kiẻm toán các sự kiện đăng nhập tài khoản sẽ bảo máy \\DC1 ghi chép lại sự kiện rằng nó đã được yêu cầu xác minh tính hợp lệ của người dùng A và đã làm rồi, sự kiện đó sẽ được xuất hiện trong bản ghi chép của \\DC1. Kiểm toán các sự kiện đăng nhập sẽ bảo máy \\B ghi chép lại sự kiện rằng nó cần phải kiểm tra xem A có phải là một người dùng hợp lệ hay không trước khi cho phép anh ta truy nhập vào máy ấy. Mục ghi chép đó sẽ xuất hiện trên bản ghi chép của \\B. Các bản ghi chép không được lưu tại một vị trí trung tâm trên mạng, công việc của các quản trị viên là quản lý các bản ghi từ tất cả các máy trong mạng. 12.1.2. Object access Kiểm soát việc truy cập (object access) đối tượng giúp chúng ta kiểm soát xem ai đọc, ghi, xóa hay tạo ra một file hoặc nhóm file nào đó trên các máy ấy. Việc theo dõi các đối tượng trên một máy nhất định đòi hỏi hai bước: Bước 1: cho phép áp dụng (enable) việc kiểm toán truy cập đối tượng trên máy nào lưu trữ đối tượng đó Bước 2: ra lệnh cho máy đấy tiến hành kiểm toán đối tượng cụ thể đó. 12.1.3. Accout management Dùng để kiểm soát những thay đổi đối với tài khoản người dùng hoặc nhóm. 12.1.4. Policy change Đây là kiểm toán về hoạt động của chính các kiểm toán viên. 12.1.5. Privilege use Khi bạn thi hành một quyền hạn nào đó – không phải là quyền truy cập- thì chuyện đó được ghi ở đây. Nếu mở chế độ kiểm toán này lên thì kích thước bản ghi chép sẽ rất lớn bởi vì sẽ có rất nhiều quyền hạn mà bạn sử dụng, ví dụ như đăng nhập, tắt đi một máy, thay đổi giờ hệ thống.... 12.1.6. System events Các sự kiện hệ thống (system events) sẽ ghi chép lại mỗi khi bạn bật tắt máy và cũng ghi chép lại mỗi khi bạn làm điều gì đó ảnh hưởng tới an ninh hoặc bản ghi chép Security của máy 12.1.7. Directory service access Dùng để ghi chép lại hoạt động nào động đến quyền truy cập trên Active Directory. 12.1.8. Process tracking Dùng để theo dõi hoạt động giữa một chương trình và hệ điều hành . 12.2. Cách tiến hành kiểm toán Có thể mở chế độ kiểm toán len cho một máy cụ thể thông qua một chính sách, có thể là chính sách tại chỗ (riêng cho máy đó) hoặc chính sách nhóm có tác dụng trên toàn miền AD. Trong trường hợp chưa xây dựng miền AD bạn có thể sử dụng chế độ kiểm toán banừg công cụ snap-in Local Security Policy. Vào Start\Administrative Tools – Local Security Policy. Mở Folder Local Policies lên bạn sẽ thấy ba folder bên trong là Audit Polycy, User Rights Assignment và Security Options.
ĐTNCPT – TTCNTT – EVN
76
Windows Server 2003
14. Bảo trì AD 14.1. Giải phân mảnh ngoại tuyến bản sao AD của một máy DC Việc giải phân mảnh đĩa cứng của máy không làm giảm phân mảnh của cơ sở dữ liệu AD. AD tự giải phân mảnh cho nó một cách trực tuyến trong khi nó đang làm việc nhưng bạn có thể dọn dẹp lại AD của mình bằng cách phân giả ngoại tuyến để đạt kết quả tốt hơn. 14.1.1 Đưa máy DC vào chế độ directory services restore Khởi động lai máy DC, nhấn F8 để xuất hiện menu Recover Console. Chọn tuỳ chọn Directory Services Restore Mode . Đăng nhập với tài khoản Administrator nhưng với tài khoản Directory Services Restore Mode Administrator Password mà bạn đã nhập khi chạy DCPROMO. 14.1.2. Chạy NTDSUTIL Mở cửa sổ dấu nhắc lệnh, chạy lệnh NTDSUTIL để dồn ép và phân giải mảnh cho NTDS.DIT – file cơ sở dữ liệu của AD - ở một vị trí khác, sau đó chép file đó đến vị trí bình thường của nó là \windows\ntdss hoặc \winnt\ntds sau đó khởi động lại máy. Các lệnh cần thực hiện trong NTDSUTIL như sau: •
Gõ file nhấn Enter, dấu nhắc file maintenace:.. xuất hiện.
•
Gõ compact to theo sau là vị trí đích nào đó để lưu bản sao nén dữ liệu của AD.
•
Gõ quit rồi nhấn Enter hai lần để thoát.
14.1.3. Sao chép AD mới vào %systemroot%/NTDS Chép file NTDS.DIT vừa tạo ra vào thư mục \windows\NTDS hoặc \winnt\NTDS. Xoá các file .log trong thư mục đó và khởi động lại máy. 14.2. Dọn sạch các đối tượng bằng NTDSUTIL Sử dụng trong các trường hợp như khi ngát bỏ một DC ra khỏi mạng mà ta chưa chạy DCPROMO để giáng cấp cho server đó. Công cụ NTDSUTIL có một chức năng là “metadata cleanup” dùng để gỡ bỏ các thứ còn sót lại sau khi ngát một máy DC ra khỏi mạng. Các bước loại bỏơnh sau: 1) Mở cửa sổ dấu nhắc lệnh rồi gõ ntdsutil 2) Gõ metadata cleanup rồi nhấn Enter. 3) Tại dấu nhắc metadata cleanup gõ vào các mối nối kết rồi nhấn Enter. 4) Dấu nhắc chuyển thành server connections, gõ vào connect to server localhost, nhấn Enter. 5) Gõ quit để quay lại metadata cleanup. 6) Gõ select operation target để chọn đối tượng cần gõ bỏ. 7) Gõ list domain để liệt kê các miền các site và các server. Mỗi miền, site, server sẽ được cấp một con số. 8) Gõ select domain
trong đó number là số thứ tự của đối tượng bạn muốn gỡ bỏ. 9) Gõ lệnh list sites để xem số thứ tự của site chứa máy DC sắp bị xoá đi. 10) Gõ lệnh select site để chọn site chứa máy DC sắp bị xoá. ĐTNCPT – TTCNTT – EVN
77
Windows Server 2003 11) Gõ lệnh list servers for domain in site rồi nhấn Enter để tìm số thứ tự của server cần xoá. 12) Gõ lệnh select server < number> để chọn server cần xoá. 13) Gõ quit để quay lại dấu nhắc metadata cleanup. 14) Gõ remove selected server rồi nhấn Enter, khung thoại “are you sure”, trả lời yes. 15) Gõ remove selected domain rồi nhấn Enter, sau đó xác nhận khung thoại hiện ra để gõ bỏ miền đó. 16) Gõ quit để thoát khỏi NTDSUTIL. 14.3. Đổi tên một miền Việc đổi tên một miền thường rất phức tạp, tuỳ theo cấu trúc của mạng của bạn trước và sau khi đổi tên. Để thực hiện tốt các cuộc đổi tên miền bạn nên tham khảo trực tiếp các tài liệu trong website của Microsoft.
ĐTNCPT – TTCNTT – EVN
78
Windows Server 2003
Chương 9 Tạo và quản lý các tài khoản người dùng 1. Tạo ra tài khoản người dùng tại chỗ và trên miền 1.1. Tạo người dùng tại chỗ Sử dụng công cụ Computer Management (COMPMGMT.MSC) để tạo những tài khoản người dùng và nhóm tại chỗ. Công cụ này cũng có thể làm việc được từ xa bằng cách bạn chọn Connect to another computer từ menu Action trong cửa sổ MMC của Computer Management. Trên một server không phải là DC bạn sử dụng công cụ Computer Management, còn nếu máy đang làm việc là một DC thì bạn sử dụng Active Directory Users and Computers (DSA.MSC) để tạo các tài khoản. Để tạo ra một tài khoản mới trên các máy phi DC, mở folder Users bên dưới Local Users and Groups, chọn New User từ menu Action, hoặc có thể nhắp chuột phải vào Folder Users rồi chọn New User. Điền các thông tin cần thiết như Username, Password và Confirm Password (các trường khác là tuỳ ý) rồi nhấn Create. Để thay đổi các đặc tính của tài khoản, hoặc để chỉ định các thành viên của nhóm, một kịch bản đăng nhập và home folder hoặc troa quyền truy cập dialin cho người dùng, nhắp phải vào tài khoản người dùng rồi chọn Prroperties. Để thiết lập mật khẩu cho tài khoản nào đó bạn chọn tài khoản đó rồi chọn Set Password. Tất cả các tài khoản tại chỗ bạn tạo ra trên một stand – alone server, member server hoặc máy trạm đều được lưu trữ trong cơ sở dữ liệu SAM (Security Accounts Manager) tại chỗ trong thư mục \windows\system32\config. Để ấn định các chính sách tài khoản bạn sử dụng công cụ Local Security Policy (SECPOL.MSC) hoặc công cụ Group Policy (GPEDIT.MSC). 1.2. Các tài khoản miền 1.2.1. Vị trí lưu trữ của các tài khoản người dùng và nhóm Active Directory Users and Computers (ADUC- DSA.MSC) là công cụ quản trị chính để quản lý các tài khoản người dùng, các nhóm bảo mật, các OU và các chính sách trong một mạng. Các tài khoản người dùng và nhóm có giá trị trên cả miền AD được lưu trữ trong file NTDS.DIT, theo mặc định nó nằm trong thư mục \Windows\NTDS. Cơ sở dữ liệu này lưu trữ nhiều thông tin hơn so với SAM, bao gồm cả các thông tin về các máy server và máy trạm, các tài nguyên của mạng, các ứng dụng được phát hành và các chính sách bảo mật. Cơ sở dữ liệu này được sao chép khắp miền đến tất cả cácDC trong một miền đã định để có được khả năng chịu lỗi (fault tolerance) và khả năng san tải (load balancing). 1.2.2. Các mã nhận diện bảo mật Các tài khoản người dùng khi mới được tạo ra đều tự động được cấp một mã nhận diện bảo mật (security identifier – SID). Mỗi SID là một con số độc nhất, có tác dụng nhận diện một tài khoản. Các SID không bao giờ được sử dụng lại, khi một tài khoản bị xoá đi thì các SID của nó cũng bị xoá theo. Một SID bao gồm các đoạn sau: S-1-5-21-D1-D2-D3-RID Trong đó S-1-5-21 là tiền tố chuẩn của NT. D1, D2, D3 là những con số 32 bit của một miền nào đó. Sau khi bạn tạo ra được một miền các giá trị từ D1 đến D3 này được thiết lập và tất cả các SID trong miền ấy từ đó trở đi có cùng 3 giá trị đó. RID là dạng viết tắt của (Relative IDentifier) là mã nhận diện tơng đối. RID là phần khác biệt độc nhất vo nhị của bất kỳ SID nào. Mỗi tài khoản mới luôn có một mã số RID khác biệt. ĐTNCPT – TTCNTT – EVN
79
Windows Server 2003 1.2.3. Khái quát về các chức năng liên quan đến người dùng và nhóm trong ADUC ADUC cung cấp cho người quản trị mạng nững phương tiện để thực hiện những công việc sau: 1 Tạo ra, sửa đổi và xoá bỏ các nhóm người dùng. 2 Phân bổ (assign) các kịch bản đăng nhập cho các tài khoản người dùng. 3 Quản lý các nhóm và các thành viên nhóm. 4 Tạo ra và quản lý các chính sách nhóm. Mở ADUC từ nhóm công cụ Administrative Tools trên menu Start hoặc chọn Start/Run rồi gõ vào tên file (DSA.MSC). Công cụ đó cần nối kết với một máy DC để thu thập thông tin về và truyền đạt những thay đổi của bạn đến máy đó. Cửa sổ ADUC xuất hiện như hình dưới. Trong cửa sổ tên của DC được liên hệ nằm ở trên cùng của cây, còn tên miền nằm ngay dưới gốc cây. Muốn nối kết với một miền hoặc DC khác, chọn Connect to Domain hoặc Connect to Domain Controller từ menu Action.
Các container Users và Computter là những nơi mặc định để đặt các tài khoản người dùng, tài khoản nhóm và tài khoản máy có sẵn từ miền cũ vào đó khi máy được nâng cấp từ miền NT4 lên. Builin là container dành cho các nhóm tại chỗ được tạo sẵn đặc biệt như Administrators, Account Operators, Guess và User, các nhóm này có mặt trên mọi máy server Win2K hoặc Win2k3 kể cả các DC. Domain Controllers là OU mặc định dùng cho các máy DC mới. Đây là nơi đặt các tài khoản đó khi bạn mới tạo ra các DC mới. ForeignSecurityPrincipals là container mặc định dành cho các đối tượng từ bên ngoài miền đang xét., từ các miền được tin (trusted domain) của các miền này. Để tạo ra món gì mới trong cây cốnle này, bạn chọn đối tượng container nào mà bạn muốn đặt nó vào rồi chọn New từ mưnu Action hoặc nhắp phải đổi tượng đó và chọn New từ menu ngữ cảnh. bạn có thể tạo ra một thư mục dùng chung(Share Folder), tài khoản người dùng (User) máy in dùng chung (printer) OU, tài khoản nhóm, Contact và tài khoản máy. Bởi vì OU ở đây thực ra không phải là OU của AD mà chỉ là Container của MMC nên bạn không thể tạo ra OU bên trong các container Users và Computers được. 1.2.4. Các tài khoản tạo sẵn: Administrator và Guest Tài khoản Administrator là tài khoản có đầy đủ quyền lực trên một máy hoặc một miền tuỳ theo ngữ cảnh. Khi cài đặt Windows 2003, bạn đặt mật khẩu cho tài khoản quản trị máy, còn khi bạn chạy DCPROMO.EXE để tạo ra miền mới, bạn phải đặt mật khẩu cho tài khoản Administrator của miền. ĐTNCPT – TTCNTT – EVN
80
Windows Server 2003 Tài khoản Guest là dành cho những người dùng mà không có tài khảon của riêng họ trên miền đang xét. Theo mặc định thì tài khoản này bị vô hiệu hoá. 1.2.5. Tạo ra tài khoản người dùng mới Trong cửa sổ ADUC, chọn container Users (hoặc bất kỳ vị trí nào nơi mà bạn muốn đặt tài khoản ấy vào), chọn menu Action, nhắp phải sau đó chọn New/User. Nhập các thông tin cần thiết cho người dùng mới như Fist name, Last name, Full name. Tiếp theo là tên đăng nhập của người dùng (User logon name hoặc username) rồi chọn hậu tố UPN cho người đó khi đăng nhập. Các username mới được tạo ra trong Windows 2003 phải tuân theo nguyên tắc sau: 1 Đối với tài khoản tại chỗ thì tên đó phải độc nhất trên máy, đối với tài khoản miền thì tài khoản đó cũng phải là độc nhất. Tuy nhiên tên của một tài khoản trên miền có thể giống với tên của tài khoản người dùng tại chỗ trên máy phi DC là thành viên của miền. 2 Đối với tài khoản tại chỗ thì username đó không được giống như một tên nhóm nào đó trên máy tại chỗ, còn đối với tài khoản miền thì username thì không được giống với tên nhómđó trên miền. 3 Username có thể dài tới 20 ký tự, có thể kết hợp cả chữ hoa và chữ thường. Nên tránh sử dụng các ký tự đặc biệt. 4 Các tên có thể gộp cả các khoảng trắng và dấu chấm, nhưng nên tránh các khoảng trắng. Sau khi điền đầy đủ các thông tin bạn nhấn Next để chuyển sang bước tiếp theo để ấn định các tuỳ chọn về tài khoản và mật khẩu. Sau đó nhấn Next để xác nhận lại những thông tin bạn đã cung cấp và cuối cùng nhấn Finish để kết thúc. 1.2.6. Các đặc tính của tài khoản người dùng Bạn có thể thay đổi các đặc tính của mộ tài khoản người dùng bằng cách nhấn chuột phải vào tài khoản người dùng đó và chọn Properties. Khi đó sẽ xuất hiện hộp thoại bao gồm 13 trang đặc tính của người dùng và bạn có thể chính sửa trực tiếp các đặc tính đó. Trang Account cho phép sửa đổi tên đăng nhập và hậu tố UPN của người dùng cùng với thời gian được phép đăng nhập khi thiết lập trong nút Logon hours. Trang Profile để chỉ định đường dẫn đến Profile (profile path) và kịch bản đăng nhập (logon scrip) và một folder home cho người dùng đang xét. Trang Member Of để chỉ định các tư cách thành viên nhóm cho một tài khoản người dùng. Để đưa người dùng đang xét vào một nhóm khác, nhắp Add để mở khung thoại Select Groups để chọn nhóm mới cho người dùng. Để loại bỏ người dùng đang xét ra khỏi các nhóm nào đó và chọn nút Remove trong trang Member Of. 1.2.7. Quản lý các tài khoản Bạn có thể thay đổi các thông số cho nhiều tài khoản cùng một lúc bằng cách chọn đồng thời nhiều tài khoản để cùng thay đổi. Giữ phím Ctrl để chọn các tài khoản muốn thay đổi và nhấn chuột phải để xuất hiện menu ngữ cảnh và chọn các thay đổi trên đó. Những thay đổi đối với tài khoản người dùng sẽ chỉ có tác dụng trong lần đăng nhập kế tiếp của người sử dụng. 1.2.8. Reset mật khẩu Mật khẩu của người sử dụng có thể reset lại trong ADUC bằng cách nhắp phải tài khoản của người đó và chọn Reset. Còn trong chế độ dòng lệnh bạn cũng có thể thực hiện việc reset mật khẩu như sau: ĐTNCPT – TTCNTT – EVN
81
Windows Server 2003 Nếu là tài khoản người dùng tại chỗ thì gõ lệnh: net user usename newpassword Nếu là tài khoản người dùng của miền thì thêm /domain: net user usename newpassword /domain Để reset mật khẩu thành giá trị ngẫu nhiên dùng khoá chuyển /random: net user usename newpassword /domain /random Mật khẩu được tạo ra một cách ngẫu nhiên đó sẽ hiển thị trên màn hình sau khi lệnh đó xong việc.
2. Tìm hiểu các nhóm 2.1. Tạo các nhóm Để tạo ra một nhóm trong ADUC, chuyển tới container bạn muốn tạo nhóm trong đó. Có thể tạo ra nhóm tại gốc của miền trong một container dựng sẵn như là Users hoặc trong một OU nào đó. Trong container đang được chọn, nhắp phải hoặc kéo menu Action xuốn, chọn New/Group. Sau đó nhập tên nhóm, tên kiểu cũ của nhóm (pre- Windows 2000), phạm vi của nhóm (group scope)và loại nhóm (group type). Theo mặc định thì phạm vi của nhóm sắp tạo là Global, loại của nó là Security. Nhắp OK để tạo ra nhóm mới ấy. Để bổ sung thêm những thông tin cho nhóm, nhắp kép vào nhóm vừa tạo để mở khung thoại đặc tính của nhóm đó. Để bổ sung thành viên cho nhóm, trong trang Members, nhấn nút Add… 2.2. Các loại nhóm 2.2.1. Các nhóm bảo mật Là loại nhóm dùng để cấp phát các quyền hạn và quyền truy cập, các nhóm này đều được chỉ định các SID. Có những loại nhóm bảo mật chính sau: Local group (nhóm tại chỗ) là loại nhóm có trên một stan-alone server, một member server, hoặc một máy trạm Win2K hoặc XP Pro. Các local group chỉ có ý nghĩa tại chỗ đối với máy chứa nó. Domain local group (nhóm tại chỗ của miền) là nhóm local group nằm trên một máy DC, do đó chúng được sao chép tới các máy DC khác trên toàn mạng. Các global group (nhóm toàn mạng) được dùng để cấp phát những quyền hạn và quyền truy cập vượt qua những ranh giớ của máy và miền. Các universal group (nhóm phổ quát) có thể cung cấp các chức năng của các global group, cấp phát quyền hạn và quyền truy cập đối tượng trên khắp các miền vàgiữa các miền với nhau. 2.2.2. Các nhóm phân phối và các contact Nhóm phân phối là laọi nhóm không có quyền hạn gì về bảo mật, không có mã số nhận diện SID, tư cách thành viên của nhóm không được tính trong số những dữ liệu chứng minh của những người dùng của nhóm đó vào lúc họ đăng nhập. Loại nhóm này hoàn toàn dành riêng cho email. Và chỉ hữu dụng khi trong mạng có Exchange 2000 bởi vì trong Exchange 2000 không có một danh bạ riêng rẽ như trong Exchange 5.5 mà nó sử dụng danh bạ của AD.
2.3. Group scope 2.3.1. Các nhóm local hoặc machine local Là những nhóm tại chỗ cua máy, có mặt trên các máy server độc lập (stand-alone server) và các máy trạm Win2K hoặc XP Pro. Nhóm local được sử dụng để làm đơn giản việc quản trị máy đó. Không thể lồng
ĐTNCPT – TTCNTT – EVN
82
Windows Server 2003 một nhóm local vào một nhóm local khác nhưng nhóm local có thể chứa bất kỳ loại nhóm nào trong số ba loại nhóm dựa trên miền: global, domain local và universal.
2.3.2. Các nhóm global Là nhóm chỉ có thể chứa các tài khoản người dùng từ miền nhưng chúng có thể chứa các nhóm global khác trong cùng một miền. Cũng có thể đặt một nhóm global vào trong một nhóm local của một miền nào mà tin vào miền của nhóm global đó. Do vậy có thể đưa một nhóm global vào trong một nhóm local của một server thành viên trong cùng một miền với nhóm global đó hoặc vào trong một nhóm local của một miền khác nào đó trong cùng một rừng với nhóm global.
2.3.3. Các nhóm domain local Loại nhóm dựa trên miền thứ hai gọi là nhóm domain local. Có hai loại nhóm domain local: các nhóm domain local có sẵn (built – in) và các nhóm domain local khác đựoc xây dựng thêm. Khi một server trở thành một DC thì các nhóm tại chỗ của server đó trở thành nhóm domian local và được đưa vào container Buitin trong AD. Các nhóm này bao gồm nhóm Administrator, Backup Operators và Print Operators. Có một số nhóm mới được tạo ra cùng với miền như Server Operators và Account Operators. Các nhóm domain local này giống nhau trên tất cả các DC trên mạng nhờ chia sẻ cùng một cơ sở dữ liệu bảo mật trong AD. Các nhóm domain local này không thể dời chỗ hoặc xoá đi và không thể trở thành thành viên của nhóm local khác và các nhóm local khác cũng không thể trở thành thành viên của nhóm domain local này. Những nhóm domain local mới do người dùng tạo ra trong container Users có thể được dời đi và xoá bỏ. Các nhóm này không giống như các nhóm global, nó chỉ có thể đặt vào trong các nhóm local của các máy bên trong cùng một miền với nó chứ không thể đặt vào trong một nhóm local trên một miền tin miền chứa nó.
2.3.4. Các nhóm Universal Nhóm Universal có thể làm được mọi thứ, chỉ có thể tạo ra chúng trên một máy DC, ngoài ra chúng còn có những khả năng sau: •
Đặt một nhóm Global từ một miền bất kỳ nào đó vào trong một nhóm universal thuộc cùng một rừng.
•
Đặt một nhóm universal vào trong bất kỳ loại nhóm local nào (machine local, domain local hoặc buit-in domain loacal)
•
Đặt một nhóm universal vào trong một nhóm universal khác.
Nhóm universal chỉ có thể được dùng trong Windows 2000 Native hoặc Windows server 2003 function level. Khi đó tất cả các máy DC trong mạng đều phải chạy Win2K3 hoặc Win2K3.
2.3.5. Những sự kiện khác về nhóm Có thể đặt các tài khoản máy vào trong các nhóm, điều này không thể thực hiện trong NT4. Có nhược điểm trong AD của Win2k là hạn chế kích cỡ của mỗi nhóm ở mức khoảng chừng 5000 thành viên. Trong Win2k3 nhược điểm đó đã được sửa chữa.
2.4. Làm việc với các nhóm bảo mật Một số mẫu hình lồng nhóm đã được Windows 2003 thiết lập sẵn trong một miền. Ví dụ thứ nhất: AD tự động tạo ra các nhóm global Domain Admins. Khi một server tham gia vào một miền (oặc trở thành DC) nhóm global Domain Admins và nhóm universal Enterprise Admins được tự động đưa vào danh sách thành viên của nhóm local Administrators của server đó.
ĐTNCPT – TTCNTT – EVN
83
Windows Server 2003
Tác dụng của việc lồng nhóm là thành viên của nhóm Domain Admins hoặc Enterprises Admins cũng là quản trị viên của máy trên mọi server thành viên của miền.
Ví dụ thứ hai về lồng nhóm là danh sách thành viên của nhómlocal Users. Trên mọt máy thành viên của miền hoặc domain controller, nhóm Users tự động chứa nhóm Domain Users. Khi tạo ra một tài khoản người dùng mới trong một miền, người dùng mới ấy được tự động phân vào nhóm Domain Users. Tác dụng của nó là một tài khoản người dùng bất kỳ trong một miền sẽ được tự động cấp những quyền của người dùng tại chỗ trên mọi máy thành viên miền. Tài khoản người dùng đó được đưa vào trong nhóm global Domain Users và nhóm global Domain Users được đưa vào trong nhóm local User của mọi máy thành viên của miền và khi đó nó có những quyền hạn và quyền truy cập tại chỗ trên máy đó. Một số sự lồng nhóm khác nữa như nhóm Domain Guests được tự đọng trở thành thành viên của nhóm local Guests trên tất cả các máy thành vviên của miền còn nhóm universal Enterprise Admins là thành viên của nhóm local Administrator. 2.1.4. Các domain local group được tạo sẵn Administrators: Nhóm Administrator có mọi quyền hạn được ấn định sẵn, các thành viên của nó có tất cả mọi quyền lực quản trị hệ thống. Các nhóm Domain Admins và Enterprise Admins là những thành viên theo mặc định của nhóm Administrator cho nên các thành viên của nhóm Administrators có toàn bộ quyền kiểm soát đối với tất cả các máy DC và toàn bộ quyền lực trong miền. Account Operators: Các thành viên của nhóm này có thể tạo ra các tài khoản người dùng, tài khoản máy và các tài khoản nhóm dành cho miền, họ cũng có quyền sửa đổi hoặc xoá bỏ hầu hết các tài khoản người dùng và nhóm của miền. Tuy nhiên họ không thể xoá bỏ hoặc sửa đổi được các nhóm trong folder Buitin hoặc OU Domain Controller, các tài khoản Admnistra tor ,nhóm global Domain Admins hoặc các nhóm domain local Administrator, Server Operators, Account Operators, Print Operators và Backup Operators. Nhóm Account Operators không thể quản trị các chính sách bảo mật nhưng có thể đăng nhập tại chỗ (chỉ có thể đăng nhập ngay tại máy đó không đăng nhập được từ các máy khác trên mạng) vào các máy DC và Shutdown. Nhóm này chỉ có mặt trên các máy DC và không có thành viên mặc định nào cả. Các thành viên của nhóm domain local Account Operators không thể sửa đổi các tài khoản người dùng và nhóm trên các server thành viên. Backup Operators: Các thành viên của nhóm Backup Operators có quyền lưu dự phòng và khôi phục các file, bất kể họ có quyền truy cập các file đó hay không. Họ cũng có thể đăng nhập một cách tại chỗ vào các server và tắt chúng đi. Nhóm này không có thành viên mặc định nào cả, các ĐTNCPT – TTCNTT – EVN
84
Windows Server 2003 thành viên của nhóm domain local Backup Operators chỉ có những quyền hạn nói trên trên các máy DC. Guests: Các thành viên của nhóm domain local Guests không có quyền hạn người dùng đặc biệt nào cả. Theo mặc định tài khoản Guests và nhóm domain Guests là những thành viên của nhóm này. Các thành viên của nhóm local Guests trên các máy phi DC có thể đăng nhập, chạy các ứng dụng và tắt máy. Printer Operators: Các thành viên của nhóm domain local này có thể tạo ra, quản lý và xoá bỏ các đối tượng máy in dùng chung trong AD và các máy in nào được gắn vào trong các máy DC. Ngoài ra họ còn có thể đăng nhập và tắt máy DC. Nhóm này không có thành viên mặc định nào và không có sự lồng nhóm mặc định nào xảy ra đối với các nhóm local Print Operators trên các máy server phi DC. Sever Operators: Trên các máy DC, các thàn viên của nhóm Server Operators có thể tạo ra, quản lý và xoá bớt các đối tượng máy in dùng chung và thư mục dùng chung của mạng; lưu dự phòng và khôi phục các file; khởi động và dừng các dịch vụ; định dạng các đĩa cứng của server; khoá chặt và mở khoá các server, mở khoá các file và thay đổi giowf giấc của máy> Ngoài ra các thành viên của Server Operators còn có thể đăng nhập một cách tại chỗ và tắt đi các máy đó. Nhóm này chỉ có mặt trên các DC và không có thành viên mặc định. Các thành viên của nhóm Server Operators chỉ có những quyền hạn trên các máy DC. Users: Nhóm Domain Users là thành viên của nhóm này theo mặc định nên tất cả các tài khoản được tạo ra trong miền cũng đều là thành viên của nhóm domain local Users này. Các thành viên của nhóm domain local Users không có quyền hạn gì đặc biệt trên các máy DC và họ không thể đăng nhập tại chỗ vào các máy server. Các thành viên của nhóm local Users trên các máy trạm được phép chạy các ứng dụng (nhưng không được phép cài đặt chúng). Họ cũng được phép tắt máy và khoá chặt máy trạm mà họ đăng nhập. Nếu một người dùng có được quyền hạ đăng nhập một cách tại chỗ vào một máy trạm thì họ cũng có quyền tạo ra các nhóm local và quản lý các nhóm mà họ đã tạo ra đó. Replicator: Nhóm này dành riêng cho việc sao chép danh bạ, nó không có thành viên mặc đinnhj nào cả. Người ta đặt một tài khoản người dùng vào nhóm này để chạy dịch vụ Replicator và nhóm này chỉ nên có một thành viên duy nhất. Incoming Forest Trust Builders: Các thành viên của nhóm này có thể tạo ra các quan hệ tin hướng đến (incoming0, một chiều (one-way) vào rwngf này. Nhóm này không có thành viên mặc định nào và chỉ có mặt trên các máy DC. Network Configuration Operators: Các thành viên của nhóm này chỉ được phép sửa đổi các thiết lập TCP/IP trên các máy DC trong miền. Các máy server phi DC có một nhóm machine local tương đương. Nhóm này không có thành viên mặc định. Pre-Windows 2000 Compatible Access: Nhóm này có quyền truy cập đọc đối với tát cả các tài khoản người dùng trong miền, và có quyền truy cập tới các máy DC từ mạng và quyền bỏ qua khâu kiển tra (Bypass traverse checking). Loại thành viên duy nhất của nhóm này là những người dùng máy trạm Windows NT hoặc cũ hơn. Remote Desktop Users: Các thành viên của nhóm này có thể đăng nhập một cách từ xa vào các máy DC trong miền. Nhóm này không có thành viên mặc định nào cả. Performance log Users: Các thành viên của nhóm này được phép truy cập từ xa để ghi lại những giá trị đếm hiệu năng (performance counter) trên các máy DC. Nhóm này không có thành viên mặc định nào cả. ĐTNCPT – TTCNTT – EVN
85
Windows Server 2003 Performance Monitor Users: Các thành viên của nhóm này có khả năng giám sát từ xa các máy DC . Nhóm này không có thành viên mặc định nào cả. Power Users: Nhóm này chỉ có mặt với tính cách một nhóm machine local trên các máy trạm Win2K/XP và trên các server phi DC. Các thành viên của nó có một phần nhỏ quyền lực của Administrator. Các thành viên của Power Users có thể tạo ra các tài khoản người dùng và các nhóm Users, Power Users và Guests cũng như quản trị người dùng và các nhóm mà họ tạo ra. 2.4.2. Các nhóm được tạo sẵn khác Mỗi máy DC loại Win2k3 có một số nhóm global và universal được xây dựng sẵn. Các nhóm này chỉ xuất hiện trên các máy DC và chỉ có thể tạo ra chúng trên các máy DC. Domain Admins: Khi đặt một tài khoản người dùng nào đó vào trong nhóm nàythì người dùng ấy có quyền hạn của một quản trị viên. Các thành viên của Domain Admins có thể quản trị miền nhà, các máy trạm của miền đó và mọi miền được tin nào đã đưa nhóm global Domain Admins của miền này vào các nhóm local Administrator của chính họ. Theo mặc định nhóm global được xây dựng sẵn Domain Admins là thành viên của cả nhóm local Administrator của miền đó lẫn nhóm local Administrator của mọi máy trạm trong miền đó. Tài khoản người dùng được xây dựng sẵn Administrator của miền đó cũng tự động là một thành viên của nhóm global Domain Admins. Domain Users. Các thành viên của nhóm global Domain Users của một miền có những quyền truy cập và năng lực để truy cập của người dùng bình thường vào cả bản thân miền đó lẫn mọi máy trạm trên miền. Nhóm này chứa tất cả tài khoản người dùng miền đó và theo mặc định là một thành viên của mọi nhóm local Users trên mọi máy trạm trong miền đó. Group Policy Creator: Các thành viên của nhóm này được phép sửa đổi chính sách nhóm của miền. Theo mặc định tài khoản Administrator của miền là thành viên của nhóm này. Enterprise Admins: Các thành viên của nhóm universal này có toàn bộ quyền lực trên tất cả các miền trong rừng đang xét và chỉ có thể nhìn thấy nó trong miền gốc của rừng. Enterprise Admins là thành viên của tất cả các nhóm Administrator trên tất cả các DC trong rừng đang xét. Theo mặc định tài khoản Administrator là một thành viên mặc định của nhóm này. Schema Adimins: Nhóm universal này chỉ xuất hiện trong miền gốc của rừng. Các thành viên của nhóm có khả năng sửa đổi cấu trúc tổ chức (schema) của AD. Theo mặc định Administrator là một thành viên của nhóm này. 2.4.3. Các nhóm được tạo sẵn đặc biệt Ngoài những nhóm được xây dựng sẵn loại local, global và universal nói trên còn một số loại khác không được liẹt kê trong cửa sổ của ADUC, sẽ xuất hiện trên các ALC của các tài nguyên và đối tượng bao gồm các thư sau đây: INTERACTIVE
Bấtt kỳ ai đang sử dụng máy một cách tại chỗ.
NETWORK
Tất cả những người dùng được nối kết qua mạng với một máy tính.
EVERYONE Tất cả những người dùng hiện tại kể cả khách vãng lai và những người dùng từ các miền khác. SYSTEM
Hệ điều hành.
CREATE OWNER Người tạo ra (creator) và/hoặc chủ sở hữu (owner) của các thư mục con, các file và các print job.
ĐTNCPT – TTCNTT – EVN
86
Windows Server 2003 AUTHENTICATED UESERS Bất kỳ người dùng nào mà đã được xác minh đối với hệ thống. Được dùng với tính cách như một giải pháp thay thế an toàn hơn cho Everyone. ANONYMOUS LOGON
Một người dùng mà đã đăng nhập nặc danh.
BATCH
Một tài khoản mà đã đăng nhập như một batch job.
SERVICE
Một tài khoản mà đã đăng nhập như một dịch vụ.
DIALUP
Những người đang truy cập hệ thống thông qua Dialup Networking
2.5. Cách sử dụng các OU Các đơn vị tổ chức (OU) là các container luận lý trong một miền AD. Chúng có thể chứa các tài khoản người dùng, nhóm, tài khoản máy và các OU khác nhưng chỉ ở trong miền của chúng. Ví dụ như bạn không thể đặt những nhóm global hoặc máy tính từ một miền khác vào trong OU nào đó trong miền của bạn. Tác dụng của OU chủ yếu dành cho việc quản trị. Các quản trị viên có thể tạo ra và áp dụng các chính sách nhóm vào một OU và cũng có thể uỷ quyền kiểm soát các OU cho một nhóm hoặc một người dùng nào đó. Ý nghĩa của việc dùng OU là có được một bộ phận nhỏ của một miền nhưng vẫn chia sẻ các thông tin bảo mật và các tài nguyên. Việc tập hợp những người dùng, nhóm và tài nguyên nào đó vào trong OU cho phép bạn áp dụng những chính sách nào đó theo cách tỉ mỷ hơn, ngoài ra còn quyết định một cách cụ thể ai quản lý cái gì và trong chừng mực nào. Sự khác biệt giữa OU và container ở chỗ: OU là một container, bạn có thể uỷ quyền kiểm soát đối với một container nhưng không thể áp dụng chính sách nhóm cho container. Với OU thì bạn có thể làm được điều đó. OU cũng có những khác biệt đối với nhóm. Một người dùng có thể là thành viên của nhiều nhóm nhưng tại một thời điểm họ chỉ có thể ở trong một OU. Giống như một nhóm, một OU có thể chứa các OU khác. Các tên nhóm xuất hiện trong ALC cho nên bạn có thể cấp hoặc từ chối quyền truy cập theo nhóm. Các OU thì không xuất hiện trên các ALC cho nên bạn không thể trao một quyền nào đó cho mọi người trong OU. 2.6. Sử dụng các kịch bản đăng nhập Kịch bản đăng nhập (logon script) là phương pháp được sử dụng để định cấu hình cho môi trường làm việc của một hoặc nhiều người dùng nào đó và cấp phát các tài nguyên mạng. 2.6.1. Các ngôn ngữ lập kịch bản Có rất nhiều ngôn ngữ lập kịch bản bao gồm cả các lệnh shell của DOS/NT, Windows Scripting Host (WSH), KiXtart, XLNT, Perl, VBScript, Jscripts. Có thể sử dụng bất kỳ ngôn ngữ nào bạn thích. Các logon script chỉ bị hạn chế bởi hai thứ: Các script developer và các máy khách (client). Các script developer phải biết cách sử dụng ngôn ngữ được chọn và các máy khách phai hiểu ngôn ngữ script được dùng. 2.6.2. Phân bổ logon script cho người dùng mạng Bạn có thể chỉ định logon script trong thông tin biên dạng (profile) của người dùng trong ADUC hoặc phân bổ các script bằng cách dùng Group Policy. Trong cả hai cách, script và mọi file cần thiết khác phải được đặt trong share SYSVOL, nằm trong thư mục \Windows\SYSVOL\sysvol trên máy DC. Các máy khách tiền Win2K tìm kiếm một share có tên là NETLOGON đê đến với logon script (nếu có). Do đó các máy Win2K server và Win2K3 tạo ra share NETLOGON trong thư mục \Windows\SYSVOL\sysvol\domain name\ scripts để có tính tương thích ngược. Phải ĐTNCPT – TTCNTT – EVN
87
Windows Server 2003 trao cho những người dùng mạng quyền truy cập Read và thực thi Execute (nếu chưa có) trên script nào họ cần dùng.
3. Quyền hạn và quyền truy cập của người dùng Phần lớn những công việc của quản trị viên là cung cấp cho những người sử dụng mạng khả năng truy cập vào một số tài nguyên mạng và ngăn không cho người dùng ấy khả năng truy cập vào một số tài nguyên mạng khác. Kể từ NT3.1, các hệ điều hành của Microsoft đã cho phép bạn kiểm soát khả năng truy cập của ngươiừ dùng bằng hai công cụ: các Permission (quyền truy cập) và Right (quyền hạn). 3.1. Quyền truy cập đối tượng, ACL và ACE Mỗi Permission là một thiết định có tác dụng kiểm soát mức độ truy cập vào một đối tượng nào đó trên mạng. Các permission không chỉ có tác dụng đối với các file và các thư mục mà nó còn có khả năng kiểm soát những thứ khác nữa, như sau: •
Các khoá Registry, dùng để quyết định ai được phép đọc hoặc sửa đổi một khoá hoặc một đề mục gía trị nhất định nào đó.
•
Nội dung của các miền và các OU, vốn quyết định ai được phép đưa các đối tượng nào đó vào một miền hoặc một OU.
•
Các dịch vụ hệ thống, để bạn có thể kiểm soát ai được phép khởi động hoặc dừng một dịch vụ nhất định nào đó.
•
Các thư mục và file.
Thông thường để tìm ra các permission của một đối tượng nào đó bằng cách nhắp phải vào đối tượng ấy rồi chọn Properties. Trong khung thoại đặc tính hiện ra sau đó thường có một trang tên là Security.
Trang đặc tính Security Trong trang này, tập hợp các permission nằm dưới khung Permission for …này được gọi là danh sách kiểm soát truy nhập (access control list - ACL). Mỗi khoản mục trong ACL này (Administrator, SYSTEM, Tran Dinh Thi – như ở hình minh hoạ) được gọi là một đề mục kiểm soát truy nhập (Access Control Entry - ACE). Khi nhấn nút Advanced sẽ xuất hiệnmột khung thoạikhác cho bạn thêm một số chi tiết về các permission này.
ĐTNCPT – TTCNTT – EVN
88
Windows Server 2003
Khung thoại Advanced Security Settings Trang Auditing cho phép bạn ra lệnh cho hệ thống là có kiểm toán hay không việc truy cập vào file này và phải ghi chép chi tiết đến mức độ nào. Trang Owner cho phép tìm ra chủ sở hữu của file này và thay đổi chủ sở hữu của file đó. Để tìm ra những chi tiếtkhả dĩ thực chất về ACE tương ứng với Administrator, chọn nó rồi nhấn Edit, khi đó một khung thoại sẽ xuất hiện như hình dưới.
Các permission cấp thấp nhất ứng với một file Đây là các permission cấp thấp nhất ứng với đối tượng mà bạn đã chọn. Những permission mà bạn thấy ở trang đặc tính Security chính là sự kết hợp của các permission cấp thấp nhất này. 3.2. Quyền hạn của người dùng Trong khi quyền truy cập trao những khả năng truy cập khác biệt cho những đối tượng khác biệt thì các quyền hạn lại trao cho bạn khả năng thực hiện những chuyện cụ thể nào đó. Các quyền hạn có khuynh hướng áp dụng vào một máy cụ thể nào đó (ví dụ như quyền đăng nhập vào máy, quyền thay đổi giờ giấc…). Ngoài ra một số quyền hạn thực chất là những quyền lực mà chỉ có đối với máy đó thôi và có ý nghĩa lấn át hoặc phủ quyết các ALC. Các nhóm được xây dựng sẵn trong Win2K3 được cấp sẵn một số quyền hạn. Bạn cũng có thể tạo ra những nhóm mới rồi cấp phát những bộ quyền hạn người dùng theo ý riêng cho các nhóm đó. Để quan sát hoặc sửa đổi những sự cấp quyền tại chỗ cho một người dùng hoặc một nhóm đối với máy phi DC, bạn sử dụng công cụ Local Security Policy trong nhóm công cụ Administrator ĐTNCPT – TTCNTT – EVN
89
Windows Server 2003 Tools, còn đối với máy DC thì sử dụng công cụ Domain Controller Security Policy. Khi mở folder Local Policy\User Rights Assignment, một danh mục các quyền hạn mà người dùng hoặc nhóm mà các quyền hạn đó được cấp phép sẽ hiển thị trong details pane như hình dưới.
Những sự cấp phát quyền hạn trên máy tại chỗ Để thêm hoặc bớt một quyền hạn ra khỏi người dùng hoặc nhóm. nhắp kép vào quyền hạn được chọn khi nó được hiển thị trong details pane hoặc nhấn chuột phải vào nó và chọn Properties.
Để rút quyền hạn bạn vừa chọn ra khỏi môt người dùng hoặc nhóm, chọn tên nhóm đó rồi nhấn Remove. Để bổ sung một nhóm hoặc một người dùng nào đó vào danh sách đó, nhấn Add User or Group để bổ sung người dùng hoặc nhóm.
4. Các chính sách nhóm cho máy tại chỗ và cho miền 4.1. Lợi ích của các chính sách nhóm Với chính sách nhóm (Group Policy) chúng ta có thể làm được các việc sau: •
Phát hành (publich) hoặc phân bổ (assign) các gói phần mềm cho người dùng hoặc cho các máy của miền.
•
Phân bổ (assign) các script khởi sự (startup) , tắt máy (shutdown), đăng nhập (logon) và đăng xuất (logout) của toàn miền.
•
Quy định các chính sách về mật khẩu, khoá chặt tài khoản và kiển toán cho miền.
•
Nhân bản hành loạt toàn bộ một mớ thiết định bảo mật khác cho các máy ở xa. Những thiết định này trước kia chỉ có thể cấu hình bằng cách chỉnh sửa Registry hoặc sử dụng một công cụ định cấu hình bảo mật của một hãng khác. Một số tính năng như khả năng áp
ĐTNCPT – TTCNTT – EVN
90
Windows Server 2003 đặt các tư cách thành viên nhóm và định cấu hình các dịch vụ là tính năng hoàn toàn mới có từ khi xuất hiện Win2K server. •
Quy dịnh và áp đặt những thiết định dành cho Internet Explorer
•
Quy định và áp đặt những hạn chế đối với màn hình Desktop của người dùng.
•
Định hướng lại một số folder trong các user profile (ví dụ như Start menu và Deskop) rồi lưu trữ chúng vào một vị trí trung ương để người dùng có thể truy cập chúng từ mọi nơi trong mạng.
•
Định cấu hình và nhân bản các thiết định dành cho các tính năng mới như offline folder, disk quota và kể cả group policy.
4.2. So sánh chính sách nhóm với các chính sách hệ thống Các chính sách nhóm xuất hiện từ thời Win2K. Trước đó một tập hợp nhỏ các tính năng như những hạn chế đối với màn hình Desktop và một vài thiết định về bảo mật đã được thực hiện bằng cách dùng chính sách hệ thống (system policy). Các chính sách nhóm tiến bộ hơn chính sách hệ thống vê nhiều phương diện. 4.2.1. Active Directory xử lý việc sao chép cơ sở dữ liệu miền Với các chính sách hệ thống NT, người quản trị phải theo dõi xem file NTCONFIG.POL có được sao chép đến share NETLOGON của mọi máy DC hay không bằng cách thiết lập dịch vụ Directory Replication của NT. Các chính sách nhóm dựa trên miền hiện diện một phần trên Active Directory và một phần trên SYSVOL. Cả Active Directory và Sysvol đều sao lặp chính chúng một cách tự động và người quản trị không phải theo dõi chúng. 4.2.2. Các chính sách nhóm tự thu hồi lại tác dụng của chúng khi được tháo gỡ Các chính sách hệ thống kiểu NT 4 ghi những thay đổi vĩnh viễn vào Registry khi chúng được áp dụng. Khi gỡ bỏ chính sách hệ thống ra các thiết định đó vẫn còn nguyên tác dụng. Để huỷ bỏ các thiết định bạn phải áp dụng một chính sách hệ thống khác có các thiết định ngược lại hoặc phải thay đổi các thiết định đó một cách thủ công. Các chính sách nhóm chỉ ghi những thông tin của chúng vào một số phần nhất định của Registry cho nên các thiết định ấy có thể được tự xoá sạch sau khi chính sách kia được tháo gỡ. 4.2.3. Không cần phải đăng nhập mới có được các chính sách nhóm dành cho miền Các chính sách hệ thống chỉ được áp dụng một lần vào lúc đăng nhập đối với những thiết lập về người dùng và vào lúc khởi động máy đối với những thiết định về máy. Các chính sách nhóm sũng được áp dụng theo cách đó nhưng chúng được áp dụng lại sau những khoảng thời gian cụ thể nào đó. Trong Win2K server và mới hơn, với sự có mặt của Active Directory, các máy sẽ lấy chính sách của chúng từ miền của chúng khi chúng được bật và đăng nhập còn người dùng nhận được các chính sách từ miền của họ khi họ đăng nhập. 4.2.4. Các chính sách nhóm chỉ có tác dụng trên các máy Win2K hoặc mới hơn Các chính sách nhóm, cả tại chỗ và miền chỉ có tác dụng trên các máy Win2K, XP và Win2K3 và chúng đòi hỏi phải có Active Directory. 4.3. Chính sách nhóm tại chỗ 4.3.1. Các khuân mẫu bảo mật (Security templates) Một khuân mẫu bảo mật là một file ASCII mà bạn nạp vào trong chương trình SECEDIT.EXE. Khuân mẫu này là một tập hợp các intruction - thực chất là một kiểu script - có tác dụng ra lệnh ĐTNCPT – TTCNTT – EVN
91
Windows Server 2003 cho SECEDIT phải thực hiện nhiều kiểu thay đổi trong máy. Với các khuân mẫu bảo mật bạn có thể thay đổi các thư sau: Các quyền truy cập NTFS: dùng thiết lập quyền truy cập cho các phân vùng NTFS trên toàn bộ miền. Tư cách thành viên nhóm local: dùng để thiết lập tư cách thành viên cho nhóm local trên các máy tại chỗ. Các quyền truy cập khoá Registry: để cho phép hoặc cấm người dùng thay đổi Registry Các thiết định chính sách bảo mật tại chỗ. Vô hiệu hoá IIS và kiểm soát đối với việc ai có quyền khởi sự và ngưng các dịch vụ. 4.3.2. Làm việc với các khuân mẫu bảo mật Sử dụng MMC để xây dựng các khuân mẫu bảo mật. Trước hết tìm hiểu snap in Security Templates theo các bước sau: Nhấn Start\Run gõ mmc /a để mở cửa sổ MMC trống. Trong cửa sổ MMC trống, chọn lệnh Add/Remove Snap-in trong menu File. Trong khung thoại Add/Remove Snap-in, nhắp vào nút Add. Khung thoại Add Standalone Snapin xuất hiện. Trong khung thoại này chọn đối tượng Security Templates rồi nhắp Add. Bung rộng nút Security Templates ra khi đó xuất hiện container C:\Windown\Security\ Templates. Bung rộng container đó ra bạn sẽ thấy có 8 khuân mẫu được xây dựng sẵn. Các khuân mẫu này tương ứng với các file .inf trong thư mục Templates nói trên. Mở một khuân mẫu bất kỳ trong 8 khuân mẫu bảo mật được xây dựng sẵn đó, trong ngắn bên phải của cửa sổ các folder tương ứng với mọi thứ mà bạn có thể kiểm soát: Account Policy: bao gồm các chính sách về mật khẩu, việc khoá chặt tài khoản và Kerberos. Local Policy: kiểnm soat những thiết định về kiểm toán, việc cấp phát quyền hạn người dùng và các tuỳ chọn về bảo mật. Event log: các thiết định về các bản ghi chép sự kiện. Retricted Groups: Kiểm soát những gì được và không được đưa vào nhiều nhóm khác nhau. System services: Tắt và mở các dịch vụ và kiểm soát những ai có quyền thay đổi những điều đó. Registry: Ấn định những permission nào thay đổi hoặc xem những khoá registry nhất định nào đó và những khoá nào sẽ được kiểm toán những thay đỏi nếu có. File System: kiểm soát các NTFS permission trên các folder và file trên các phân vùng NTFS. Chức năng của 8 khuân mẫu bảo mật: Compatible (compatws.inf) Khuân mẫu này tăng thêm các quyền truy cập mặc định của nhóm Users cho phép các thành viên của nó chạy các ứng dụng mà không được cấp chứng chỉ bởi Windows Logo Program. Đây là một cách để thay thế cho việc biến nhóm local Users thành các thành viên của nhóm Power Users. Domain Controller Default Security (DC security.inf): là những thiết định bảo mật mặc định dùng cho các máy DC. Việc áp dụng những khuân mẫu này sẽ reset các thiết định về file, về registry và về hệ thống các giá trị mặc định được thiết lập trong quá trình phong cấp cho máy DC ĐTNCPT – TTCNTT – EVN
92
Windows Server 2003 đó. Nó cũng ghi đè lên các permission trên những file và khoá Registry mới được tạo ra sau khi chạy DCPROMO.EXE. Secure Domain Controller (securedc.inf): định ra những thiết định bảo mật tăng cường dành cho các máy DC nhưng có xét đến tính tương thích với các ứng dụng cũ. Secure Workstation or server (securewws.inf) thăng cấp cho những thiết định bảo mật được chọn dành cho các máy trạm và server nào không phải là DC. Cả hai khuân mẫu này bao gồm những thiết định mạnh hơn về các chính sách mật khẩu, khoá chạet và kiểm toán; hạn chế việc sử dụng các giao thức xác minh cũ hơn, kém an toàn hơn và cho phép ký tên các gói dữ liệu SMB phía server. Hight Security Domain Controller (hisecdc.inf) và Hight security Workstation (hisecws.inf): Các khuân mẫu này áp dụng những thiết định siêu an toàn vào các máy DC và các máy trạm hoặc máy server phi DC một cách tương ứng. Các khuân mẫu này tạo ra nhiều thay đổi đối với những yêu cầu về xác minh và mã hoá giữa máy khách và server. Nó cũng gỡ bỏ tất cả các thành viên của nhóm Power Users và gõ bỏ các thành viên của nhóm local Administrator, chỉ trừ Domain Admin và tài khoản Administrator tại chỗ. System Root Security (rootsec.inf) file này chứa và có thể được dùng để đáp lại những permission của folder gốc của ổ đĩa hệ thống. Setup Security (setup.inf) Khuân mẫu setup.inf chứa một bản ghi về những thiết định mà đã được áp dụng trong khi nâng cấp hoặc cài đặt mới hoàn toàn hệ điều hành. 4.3.3. Tạo ra một cơ sở dữ liệu bảo mật Sau khi tạo ra các khuân mẫu bảo mật theo ý mình, bước tiếp theo để có thể áo dụng các khuân mẫu này là phải biên dịch nó từ dạng ASCII dơn giản thành một dạng nhị phân gọi là một “cơ sở dữ liệu”. Để thực hiện việc biên dịch bạn sử dụng snap-in Security Configuration and Analysis: Từ menu file của cửa sổ Mmc, chọn Add/Remove snap-in. Trong cửa sổ Add/Remove Snap-in nhấn nút Add. Khung thoại Add Standalone Snap-in xuất hiện. Trong khung thoại này chọn đối tượng Security Configuration and Analysis. Nhấn Ok để đưa đối tượng này vào cửa sổ Mmc. Nhắp phải đối tượng Security Configuration and Analysis rồi chọn Open Database để mở khung thoại Open Database. Khung thoại này hỏi bạn muốn nạp loại cơ sở dữ liệu dữ liệu gì. Bên trong khung thoại Open Database bạn muốn tạo ra một cơ sở dữ liệu mới nhưng không có mục chọn nào để làm điều đó; thay vì vậy bạn chỉ việc gõ tên của sơ sở dữ lệu mà bạn muốn tạo và nhấn Enter. Khi đó nó sẽ hỏi bạn muốn tạo cơ sở dữ liệu từ khuân mẫu nào. Theo mặc định khung thoại đó cho bạn chọn những file có phần mở rộng .inf trong folder Windows\Security\Templates. Nếu bạn duyệt vào ô Clear this Database before importing thì nó sẽ làm sạch bảng trước rồi mới ghi lại, còn nếu bỏ duyệt thì khi làm việc với khuân mẫu có sẵn , snap-in này sẽ tích luỹ lại những thay đổi của bạn. Chọn khuân mẫu cần tạo cơ sở dữ liệu rồi nhắp Open. Khi đó snap-in sẽ biên dịch template của bạn thành một cơ sở dữ liệu có tên như lúc tức bạn đặt và có phần mở rộng là .sbd nằm trong folder Documents\Security\Database. Bước tiếp theo là nhắp phải Security Configuration and Analysis, có hai mục chọn xuất hiện: Analyze Computer Now và Configure Computer Now. Analyze Computer Now: dùng để phân tích cấu hình máy và việc phân tích không làm thay đổi cấu hình máy hiện tại. Thay vì vậy nó sẽ so sánh tình trạng đó với tình trạng mà bạn muốn tạo ra ĐTNCPT – TTCNTT – EVN
93
Windows Server 2003 bằng khuân mẫu này. Kết quả sẽ xuất hiện và được lưu vào một file log trong folder Documents\Security\Logs. Configure Computer Now: dùng để định cấu hình máy, khi bạn chọn mục này thì những thiết lập trong template của bạn sẽ được áp dụng vào máy. Để áp dụng các khuân mẫu cho nhiều máy, sử dụng công cụ dòng lệnh SECEDIT.EXE để thực hiện. Công cụ này vừa có khả năng chuyển đổi các khuân mẫu ra thành các cơ sở dữ liệu và rồi lại áp dụng các cơ sở dữ liệu đó. Để đọcmotj khuân mẫu rồi tạo ra cơ sở dữ liệu và áp dụng nó một cách liên tục, sử dụng cú pháp sau: Secedit /configure /cfg templatefilename /db databasefilename /overwrite / log logfilename Nếu chỉ cần áp dụng cơ sở dữ liệu có sẵn chú không cần đọc trước khuân mẫu, chỉ việc bỏ khoá chuyển /cfg templatefilename. Để áp dụng cho nhiều máy trạm, gộp lệnh secedit vào trong một logon script và áp dụng nó mỗi lần đăng nhập. 4.4. Chính sách nhóm dành cho miền Các quản trị viên mạng AD định cấu hình và triển khai Group Policy bằng cách xây dựng các đối tượng chính sách nhóm (GPO). Các GPO là những container chứa những nhóm thiết định (các chính sách) có thể được áp dụng cho những người dùng và máy trong toàn bộ một mạng máy tính. Các đối tương chính sách ấy được tạo ra bằng cách sử dụng trình Group Policy Object Editer, được gọi ra bằng trang Group Policy trong DSA.MSC hoặc DSSITE.MSC. Có thể tạo ra một GPO chứa tất cả những thiết định cần thiết hoặc vài GPO khác nhau, mỗi cái được dành cho một chức năng riêng nào đó. Có hai loại node chính trong cửa sổ Group Policy Object Editor ứng với hai loại chính sách. Node cấu hình máy (computer configuration) và node cấu hình người sử dụng (user configuration). Các chính sách cấu hình máy quản lý những thiết lập dành riêng cho máy. Các chính sách cấu hình người sử dụng áp dụng những thiết định dành riêng cho người sử dụng. Tuy nhiên có khi một chính sách lại được áp dụng trong cả node User Configration và Computer Configuration. Một chính sách nhóm không thể áp dụnh trực tiếp cho các nhóm hoặc cho một số người dùng mà chỉ áp dụng cho các site, các miền và các OU của một rừng (SDOU). Sự kiện chỉ định một GPO cho một site, một miền hoặc một rừng gọi là sự liên kết (linking) GPO với site ấy, miền ấy, OU ấy. Các GPO cũng có thể được liên kết với một chính sách tại chỗ trên một máy khách Win2K, XP hoặc Win2K3. Mối quan hệ giữa GPO và SDOU có thể là quan hệ một-nhiều hoặc từ nhiều đến một. Khi đã liên kết với một SDOU, các chính sách người dùng sẽ được áp dụng vào lúc đăng nhập trong khi các chính sách máy được áp dụng vào lúc khởi động hệ thống. Cả hai loại chính sách đó đều được định kỳ làm tươi. 4.4.1. Sự áp dụng chính sách nhóm Mỗi GPO chứa nhiều thiết định khả dĩ ứng với nhiều chức năng và thông thường người quản trị chỉ ấn định một vài thiết định trong số đó. Những thiết định còn lại sẽ được để ở trạng thái ‘inactive”. Máy trạm hoặc server được áp dụng GPO đó vẫn phải đọc toàn bộ chính sách nhưng nó chỉ hành động theo những lựa chọn mà bạn đã cho phép hoạt động. Tất cả những thiết lập cấu hình trong GPO sẽ được áp dụng cho tất cả các người dùng và các máy Win2K, XP, Win2K3 trong miền được liên kết và sự áp dụng chính sách nhóm này là theo kiểu “all or nothing”. Cả hai loại thiết định này đều không được áp dụng cho các máy khách NT4 hoặc 9x.
ĐTNCPT – TTCNTT – EVN
94
Windows Server 2003 4.4.2. Các chính sách nhóm được kế thừa và được tích luỹ Các thiết định của Group Policy được tích luỹ và được thừa kế từ các container bên trong AD. Khi một số chính sách bao trùng có thể được áp dụng cho toàn bộ miền trong khi các chính sách khác lại được áp dụng riêng căn cứ theo từng OU cụ thể. 4.4.3. Thời gian định kỳ làm tươi của các chính sách nhóm Các chính sách nhóm cứ sau mỗi 90 phút lại được áp dụng lại một lần với một khoảng thời gian xáo trộn ngẫu nhiên là 30 phút để giữ cho các máy domain controller khỏi bị truy cập cùng một lúc bởi hàng trăm máy trạm. Các chính sách trên các máy DC được làm tươi sau mỗi 5 phút. Những thiết lập ngoại lệ đối với khoảng thời gian làm tươi này bao gồm:folder redirection và software installation. Các thiết định này chỉ được áp dụng vào lúc đăng nhập hoặc lúc khởi động máy để tránh trường hợp bạn gỡ cài đặt một ứng dụng trong khi có ai đó đang định dùng nó hoặc chuyển một người dùng đang làm việc trong một folder khi nó đang được chuyển hướng đến một vị trí mới trên mạng. 4.5. Thao tác với chính sách tại chỗ và đối tương chính sách nhóm Khi sử dụng Active Directory Users and Computers hoặc Active Directory Sites and Services để tạo ra và liên kết các chính sách nhóm, đó là bạn đang làm việc với các đối tương chính sách nhóm (GPO) để chỉ định một tuyển tập những thiết định nào cần được áp dụng vào lúc người dùng đăng nhập hoặc lúc khởi động máy. Công cụ snap-in Group Policy cung cấp khả năng xem các thiết định chính sách tại chỗ trên một máy bất kỳ. Khi mở Group Policy (GPEDIT.MSC) nó tự đặt focus lên máy tại chỗ. Các quản trị viên mạng có thể dùng công cụ này giống như họ vẫn dùng công cụ Local Security Policy để cấu hình những thiết lập về tài khoản và để thiết lập chế độ kiểm toán trên máy.
Để đặt focus lên chính sách tại chỗ của một máy khác bạn phải có quyền Administrator trên máy đó. Sử dụng lệnh sau: GPEDIT.MSC /gpcomputer: machine Khi sử dụng lệnh trên để sửa đổi chính sách trên máy ở xa thì có một hạn chế, đó là phần mở rộng Security Settings đối với snap-in Group Policy sẽ không làm việc. 4.6. Tạo ra chính sách nhóm Để mở snap-in Group Policy trong ADUC, nhắp phải vào tên miền của bạn tại gốc cua console rồi chọn Properties, sau đó chọn trang Group Policy như được minh hoạ để xem đã có GPO nào được liên kết ở cấp miền.
ĐTNCPT – TTCNTT – EVN
95
Windows Server 2003
Nếu chưa có chính sách nào được tạo thì chỉ có Default Domain Policy được liệt kê. Ô duyệt Bock Polycy inheritance giúp ngăn mọi thiết lập của mọi chính sách bất kỳ ở cấp cao hơn lan truyền đến cấp đang xét. Thứ tự mà các chính sách được áp dụng là từ cấp Site, cấp miền và cuối cùng là cấp OU. Nếu có nhiều GPO trong khung thoại đăc tính của miền thì bạn có thê sử dụng các nút Up và Down để thay đổi vị trí của các chính sách. Khi có nhiều GPO được liên kết với cùng một container thì chúng sẽ được áp dụng theo thứ tự từ dưới lên trên, do đó các chính sách càng ở trên cao thì có độ ưu tiên càng cao. Nếu có những thiết lập mâu thuẫn với nhau trong các chính sách ấy thì chính sách nào nằm ở bên trên sẽ thắng. Các chính sách nhóm có một thiết lập No Override. Khi thiết lập này được mở lên thì các chính sách được áp dụng vào cấp bên dưới sẽ không phủ quyết (override - lấn át tác dụng) những thiết định của chính sách này cho dù chính sách đó có mở chế độ Block Policy inheritan. Để mở thiết lập No Override của một chính sách bạn nhắp chọn chính sách đó rồi chọn Options và duyệt vào ô No Override trên khung thoại hiện ra lúc đó. Block Policy inheritan được mở ở cấp liên kết còn(site, miền hoặc OU) trogn khi No Override được mở lên tuỳ theo chính sách. Khi duyệt vào ô Disable thì chính sách này sẽ được tắt đi và nó sẽ không được xử lý hoặc áp dụng ở cấp này. Việc Disable chính sách ở một cấp như vậy không làm disable bản thân đối tượng chính sách ấy. Ví dụ một chính sách có thể bị disable ở cấp domain nhưng về lý thuyết nó vẫn có thể được áp dụng ở cấp site hoặc cấp OU. Để tạo ra một GPO mới, ở khung thoại đặc tính của miền, chọn New, khi đó một chính sách tên là New Group Policy Object được tạo ra và cho phép người tạo đổi tên nó. Để xem và sửa đổi các đặc tính của đối tượng chính sách nhóm, chọn chính sách đó và chọn Properties. Trang General cho biết những thông tin về ngày tháng tạo và chỉnh sửa cùng với những mục chọn để vô hiệu hoá phần cấu hình người dùng hoặc cấu hình máy của chính sách ấy.
ĐTNCPT – TTCNTT – EVN
96
Windows Server 2003
Trang General của một chính sách nhóm Trang Links dùng để tìm kiếm những site, domain hoặc OU áp dụng GPO này. Trang Security trong khung thoại đặc tính liệt kê danh sách những đối tượng được phép truy cập GPO này và các quyền truy cập mặc định tương ứng của đổi tượng đó. Muốn thay đổi chính sách cần có các permission Read và Wirte, còn nếu muốn là một đối tượng tiếp nhận chính sách cần có permission Read và Apply Group Policy.
Danh sách các quyền truy cập một chính sách nhóm Trang WMI Filter giúp có thể chọn áp dụng GPO căn cứ theo một số điều kiện của máy dựa trên những thông tin được dịch vụ WMI (Windows Managment Instrucmentation) thu thập. Để xoá đi một GPO hoặc lấy nó ra khỏi danh sách, chọn chính sách đó rồi nhấn nút Delete. Trình GP Editer sẽ hỏi bạn muốn xoá nó hoàn toàn hay chỉ lấy nó ra khỏi danh sách trong khi vẫn bảo tàon chính sách ấy để liên kết nó với một container khác. Để liên kết mộtt GPO có sẵn với một container nào đó, nhấn nút Add trên trang Group Policy. Để sửa đổi chính sách, trong trang Group Policy, chọn chính sách cần sửa đổi rồi nhấn Edit. Khi đó công cụ snap-in Group Policy Object Editor được mở trong một cửa sổ riêng và tên của đối tượng chính sách đó ở gốc của cây. Điều này cho chúng ta biết chính sách nào đang được xem và sửa đổi. Sau khi đã ấn định các thiết lập cho chính sách nhóm, chỉ việc đóng cửa sổ Group Policy Editor lại, những thay đổi sẽ được ghi ngay vào GPO khi bạn chọn OK hoặc Apply trên mỗi thiết lập cuj thể nào đó, và những thay đổi đó chỉ có tác dụng khi các chính sách đó được làm tươi lại. 4.7. Giải quyết các mâu thuẫn chính sách nhóm ĐTNCPT – TTCNTT – EVN
97
Windows Server 2003 4.7.1. Thứ tự thi hành chính sách nhóm Khi một đối tượng được áp dụng nhiều chính sách nhóm khác nhau mà chúng có những thiết lập trái ngược nhau thì các chính sách nhóm được thi hành theo quy tắc sau: Quy tắc 1: Tuân theo chính sách cuóio cùng mà bạn được áp dụng Quy tắt 2: Thi hành các chính sách từ dưới lên trên, theo thứ tự mà chúng xuất hiện trong GUI. Để thay đổi thứ tự các chính sách nhóm trong GUI, sử dụng các nút Up và Down trong trang Group Policy. 4.7.2. Thứ tự áp dụng các chính sách nhóm Có nhiều cấp áp dụng chính sách nhóm. Các chính sách nhóm được áp dụng theo thứ tự sau đây: Các chính sách nhóm tại chỗ Các chính sách site. Các chính sách miền. Các chính sách OU rồi đến các chính sách OU bên trong OU. 4.7.3. Lọc chặn chính sách nhóm bằng các ALC Để lọc chặn chính sách cho một máy (hoặc một nhóm máy) nhất định, bạn đưa các tài khoản máy cần áp dụng vào một nhóm bảo mật, bổ sung nhóm đó vào ALC dành cho đối tượng chính sách đang xét, sau đó khước từ các quyền truy cập Read và Apply Group Policy. Có một giải pháp thay cho việc bổ sung một nhóm bảo mật vào ACL bằng cách gỡ bỏ hoàn toàn nhóm Authenticated Users khỏi ACL đó, ngăn không cho bất kỳ ai nhận được chính sách nhóm đó, sau đó bổ sung những đề mục mới vào ACL đó ứng với những nhóm bảo mật nào bạn muốn họ nhận được chính sách đó và cấp quyền Read lẫn quyền Apply Group Policy. Ngoài ra bạn có thể đưa những người dùng riêng lẻ vào danh sách kiểm soát truy nhập ứng với một đối tượng chính sách nhóm. 4.7.4. Sử dụng các bộ lọc WMI với các chính sách nhóm Các bộ lọc WMI tiến hành các cuộc tra vấn được tạo ra bằng ngôn ngữ tra vấn WMI (WMI Query Language – WQL) để xác định là có áp dụng toàn bộ chính sách cho một số người dùng hoặc nhóm hay không. Muốn sử dụng cách lọc chặn WMI đối với một chính sách , mở khung thoại đặc tính của GPO rồi chuyển đến trang WMI Filter. Dùng nút Browse/Manage để thêm bớt hoặc chỉnh sửa các bộ lọc WMI. Mỗi bộ lọc WMI chỉ dành cho một GPO, nếu muốn có nhiều bộ lọc WMI thì bạn phải có nhiều GPO. 4.7.5. No Override và Block Inheritance Block Inheritance là một thiết lập đặc biệt trên một chính sách để ngăn không cho các chính sách ở container cấp cao hơn truyền xuống các container cấp thấp hơn. No Override là một thiết lập trái ngược với Block Inheritance. Khi No Override được mở lên cho một chính sách nào đó thì những thiết lập trong những chính sách cấp dưới đều bị ngăn không cho đảo ngược các thiết lập có trong chính sách có No Override được mở lên. Tóm lại để xác định đối tương chính sách nào sẽ thắng, bạn cần:
ĐTNCPT – TTCNTT – EVN
98
Windows Server 2003 Xem xét tỷ mỉ các chính sách theo thứ tự như sau: các chính sách tại chỗ rồi đến các chính sách site, rồi các chính sách miền, các chính sách OU rồi đến các chính sách Ou bên trong OU. Bên trong một đơn vị bất kỳ nào đó – site, miền hoặc OU, xem xét các chính sách theo thứ tự xuất hiện trong GUI, từ dưới lên trên. Nếu các chính sách mâu thuẫn nhau, bạn chỉ cần chú ý đến chính sách cuối cùng mà bạn đã khảo sát trừ trường hợp một chính sách được thiết lập No Override. Trước khi áp dụng một chính sách, hãy kiểm tra ACL của nó. Nếu bạn không có các quyền Read và Apply Group Policy thì chính sách đó không được áp dụng. 4.8. Ủy thác quyền quản trị chính sách nhóm Những thành viên của nhóm Domain Admins hoặc Enterprise Admins có toàn quyền tạo ra và quản lý các chính sách đối với các site, các miền và các OU, còn những thành viên của các nhóm khác chỉ có thể có một số các quyền hạn hạn chế đối với chính sách nhóm. Muốn các thành viên đó có đầy đủ các quyền đối với chính sách nhóm thì ta phải tiến hành ủy quyền quản trị chính sách nhóm cho họ. Theo mặc định các đối tượng chính sách nhóm có thể được tạo ra bởi một thành viên của nhóm Administrators của miền và các thành viên thuộc nhóm này có toàn quyền kiểm soát đối với tất cả các GPO. Các thành viên của nhóm global Group Policy Creater Owners cũng có khả năng tạo ra các GPO nhưng họ chỉ có thể sửa đổi các chính sách mà họ tạo ra trừ khi họ đã được trao riêng permission để sửa đổi các chính sách. Việc liên kết các GPO đối với một site, một miền hoặc một OU thì các quản trị viên mặc định có quyền lực này, nhưng họ phải được trao một permision đặc biệt gọi là Manager Group Policy links trên ALC của site, của miền hoặc của OU trước khi ai khác có thể tạo những liên kết chính sách với nó. Mặt khác khi tạo ra một chính sách nhóm thì bạn bắt buộc phải liên kết nó với một đối tượng nào đó cho nên muốn dùng nhóm bảo mật Group Policy Creator Owners thì bạn phải ấn định các permission trên một đối tượng container để cho phép thành viên của nhóm đó quản lý các liên kết chính sách. Muốn thực hiênn điều này, bạn sử dụng Delegation of Control Wizard. Để cho phép các thành viên của Group Policy Creator Owners tạo ra những liên kết với một OU cụ thể , nhắp phải OU đó trong cửa sổ ADUC rồi chọn mục Delegation of Control Wizard. Trong màn hình mở màn bạn nhấn Next để chuyển sang màn hình sau để nhập tên của những người dùng và nhóm mà bạn muốn ủy quyền cho họ. Tại đâ bạn nhấn Add rồi gõ vào Group Policy Creator Owners, nhấn OK và nhấn Next để quay về cửa sổ Users of Groups, sau đó nhấn Next chuyển sang cửa sổ Task to Delegate. Chọn Manager Group Policy Links từ danh sách tác vụ thông thường được quy định trước cần ủy quyền, sau đó nhấn Next và Finish để kết thúc. Tóm lại những yêu cầu chính đối với việc tạo ra và chỉnh sửa các GPO là: •
Muốn tạo ra một GPO bạn phải là thành viên của nhóm Administrators (̣bao gồm cả các nhóm được lồng bên trong đó) hoặc của nhóm Group Policy Creator Owners. Nếu muốn chỉ là người dùng bình thường nhưng lại có khả năng quản lý chính sách nhóm đối với một container nào đó thì ít nhất bạn phải có quyền truy cập vào một domain controller, có các quyền truy cập Read/Write trên SYSVOL và quyền Modify trên container đó.
•
Muốn chỉnh sửa một chính sách thì người dùng phải: Có toàn bộ quyền lực của Administrator hoặc là người chủ đã tạo ra (creator owner) của GPO đó, hoặc có các quyền Read và Write trên ALC của GPO đó.
ĐTNCPT – TTCNTT – EVN
99
Windows Server 2003 4.9.6. Sử dụng chính sách nhóm để ấn định mật khẩu và chính sách khoá chặt tài khoản Các thiết lập của chính sách mật khẩu (Password Policy) và chính sách khóa chặt tài khoản (Account Lockout Policy) được dặt bên dưới Computer Configuration/Windows Settings/Security Settings. Chính sách Password Policy bao gồm những tuỳ chọn sau đây: •
Enforce Password History: Khi tuỳ chọn này được áp dụng, người dùng phải sử dụng một số lượng mật khẩu khác biệt liên tiếp nhau theo chỉ định rồi sau đó mới được dùng lại một mật khẩu nhất định nào đó.
•
Maximum password age: Ấn định lượng thời gian tối đa để sử dụng một mật khẩu trước khi hệ thống bắt buộc người dùng chọn mật khẩu mới.
•
Minimum Password Age: Ấn định lượng thời gian tối thiểu mà một mật khẩu phải được sử dụng trước khi người dùng được phép thay đổi mật khẩu.
•
Minimum Password length: Quy định số lượng ký tự tối thiểu mà mật khẩu của người sử dụng có thể chứa.
•
Password must meet complexity requirements: nếu áp dụng chính sách này thì tất cả các mật khẩu mới và mật khẩu đã thay đổi phải đáp ứng các yêu cầu sau: Chúng phải ít nhất có 6 ký tự. Chúng không được chứa tên người dùng hoặc một phần nào đó của tên người dùng. Chúng phải sử dụng 3 trong số 4 loại ký tự sau đây: Các chữ cái viết hoa (A-Z), các chữ cái viết thường (a-z), các chữ số (0-9), và các ký tự đăt biệt (@,%,&,#...).
•
Store password using reversible encryption: Cho phép DC lưu trữ các mât khẩu theo một kỹ thuật mã hoá đảo ngược được.
Chính sách Accout lockout Policy nếu được đưa vào áp dụng thì sẽ ngăn không cho bất kỳ ai đăng nhập vào tài khoản của họ sau một số lần nỗ lực đăng nhập thất bại nhất định. Các tuỳ chọn của nó như sau: •
Account lockout duration: thiết định này quyết định quãng thời gian mà tài khoản sẽ bị phong toả (khoá chặt). Sau khi thời hạn này kết thúc, tài khoản của người dùng sẽ không bị phong toả nữa và người dùng có thể thử đăng nhập lại. Nếu áp dụng tuỳ chọn này nhưng để trống trường chỉ thời gian (minutes) thìt tài khoản này vẫn bị khoá chặt cho đến khi có quản trị viên mở khoá lại cho nó.
•
Account lockout threshold: Giá trị ngưỡng (threshold) quy định người dùng có thể nỗ lực đăng nhập thất bại bao nhiêu lần trước khi tài khoản của họ bị khoá chặt. Nếu áp dụng thiết định này thì phải chỉ định số lần đăng nhập thất bại được phép, nếu không tài khoản sẽ không bị khoá.
•
Reset account lockout counter after: Thiết định này quy định quãng thời gian mà sau đó bộ đếm số lần nỗ lực đăng nhập thất bại sẽ bắt đầu lại từ đầu.
4.9.7. Sử dụng chính sách nhóm để quản lý MMC Các chính sách về Microsoft Management Console được nằm trong Administrator Templates\Windows Components\Microsoft management Console bên trong nút User Configuration. Các chính sách được trình bày trong đó là Restrict the use from entering author mode (có tác dụng ngăn không cho người dùng tạo ra các file console và thêm bớt các snap-in) và ĐTNCPT – TTCNTT – EVN 100
Windows Server 2003 Restrict users to explicitly permitted list of snap-in (dùng hạn chế người dùng chỉ được phép sử dụng một số snap-in). Hai chính sách này không loại trừ lẫn nhau mà việc hữu hiệu hoá chính sách thứ nhất cũng không loại trừ nhu cầu về chính sách thứ hai.
Các chính sách nhóm về MMC Một người dùng mà không được phép vào Author mode thì không thể thực hiện các việc sau đây: •
Chạy MMC.EXE từ menu Start hoặc một của sổ dìng lệnh. Theo quy định lệnh này mở Microsoft Management Console trong Author mode với một cửa sổ console trống.
•
Mở một console nào đó với khoá chuyển /a (author mode)
•
Mở một console nào đó vốn đã được định cấu hình để luôn luôn mở ra trong Author mode.
Những công cụ quản trị được xây dựng sẵn trong nhóm Administrator Tools đều là các công cụ User mode cho nên chúng vẫn có thể được sử dụng khi chính sách hạn chế được kích hoạt. Tuy nhiên nếu bạn tạo ra một công cụ console và phân phối nó cho những người dùng mạng nhưng quên đặt nó mở trong cấu hình User mode thì người dùng sẽ không thể truy cập được công cụ đó nếu chính sách này được áp dụng. Nếu chính sách Restrict users to explicitly permitted list of snap-in được đưa vào áp dụng thì người dùng sẽ không thể thêm hoặc bớt những snap-in hoặc extension đã bị hạn chế vào hoặc ra khỏi các file console khi trong author mode. 4.10. Quản lý các chính sách nhóm 4.10.1. Các chính sách về Group Policy Các chính sách đê kiểm soát Group Policy được đặt trong nút Administrative Templates của cả hai nút User Configuration và Computer Configuration (Administrator Templates\System\Group Policy). Hình dưới chỉ cho chúng ta các tuỳ chọn trong User Configuration và Computer Configuration dành cho Group Policy.
ĐTNCPT – TTCNTT – EVN
101
Windows Server 2003
Các thiết lập thuộc User Configuration đối với Group Policy
Các thiết lập thuộc Computer Configuration đối với Group Policy Group Policy refresh intervals for users/computer/domain controller: Các chính sách riêng biệt này quyết định là các GPO được làm tươi thường xuyên đến mức nào ở background trong khi người dùng hoặc máy đang hoạt động. Các thông số này cho phép thay đổi các khoảng thời gian làm tươi ở background và cho phép điều chỉnh thời gian lệch (offset time). Turn off background refresh of Group Policy: Khi thiết lập này được mở, các chính sách sẽ chỉ được làm tươi vào lúc khởi động máy và lúc người dùng đăng nhập. Policy Processing Options: Các chính sách này với những cái tên như Register Policy Processing và Folder redirection policy processing được dùng để tuỳ biến cách hành xử của các thành phần GPO khác nhau. Mỗi chính sách này đều có ít nhất hai trong ba tuỳ chọn sau: Allow processing across a slow network connection: đối với những mối nối kết mạng chậm có thể tắt đi một số chính sách để tăng cường hiệu năng. Tuy nhiên các thiết lập về bảo mật (security settings0 va việc xử lý chính sách (registry policy processing) sẽ luôn luôn được áp dụng và không thể bị tắt đi. Do not apply during periodic background processing: chỉ định những thành phần nào sễ được làm tươi theo định kỳ. Các chính sách về cài đặt phần mềm và chuyển hướng folder sẽ không bao giờ được làm tươi trong khi một người dùng được đăng nhập cho nên tuỳ chọn này sẽ không thể dùng được cho chúng. ĐTNCPT – TTCNTT – EVN
102
Windows Server 2003 Process even if the Group Policy objects have not changed: để tiết kiệm tài nguyên mạng và tài nguyên hệ thống theo mặc định các GPO sẽ không được làm tươi nếu không có gì thay đổi. Tuy nhiên để tăng cường tính bảo mật và để dề phòng người dùng thay đổi các thiết lập chính sách, nên hữu hiệu hoá chính sách này để đảm bảo rằng tất cả các thiết lập đều được áp dụng lại sau mỗi kỳ làm tươi. 4.10.2. Các chính sách nhóm qua những đường liên kết chậm Trong Win2K3 một đường liên kết được coi là chậm nếu nó có tốc độ dưới 500 kilobit/s. Tuy nhiên ta có thể thay đổi định nghĩa về slow link nhờ chính sách Group Policy show link detection có trong cả User Configuration và Computer Configuration bên dưới các nút con Administrative Templates\System\Group Policy. Để thay đổi thông số mặc định bạn nhập vào một con số tính bằng Kbps hoặc nhập vào số 0 để vô hiệu hoá chính sách này. Nếu vô hiệu hoá chính sách phát hiện slow link thì tất cả các chính sách đều sẽ được áp dụng bất chấp tốc độ mối nối kết.
Các đặc tính của chính sách phát hiện slow link 4.11. Tìm và giải quyết các trục trặc chính sách nhóm Win2K3 có một số công cụ để trợ giúp trong việc tìm và giải quyết các vấn đề về chính sách nhóm. Snap-in và công cụ cosole Resultant Set of policy (RSOP - kết quả tổng hợp của chính sách nhóm) là loại có giao diện đồ hoạ còn GPRESULT.EXE thì thực hiện những chức năng tương tự từ dòng lệnh… 4.11.1. Công cụ Resulttant Set of Policy (RSOP) RSOP là công cụ tra vấn dùng để thu thập thông tin từ từng máy XP và Win2K3 về những chính sách nào đã được áp dụng, theo thứ tự nào và với độ ưu tiên nào. Khi RSOP đang lấy những thông tin thực tế từ một máy nào đó về các chính sách được áp dụng thì đó là lúc nó đang chạy trong chế độ ghi chép (loging mode). Chế độ ghi chép của RSOP hoạt động bằng cách dùng WMI tạo ra một cơ sở dữ liệu gọi là Mô hình đối tượng quản lý thông tin chung (Common Information Management Object Model – CIMOM) chứa những thông tin ghi chép về chính sách nhóm. Khi một máy được đăng nhập vào một mạng và các chính sách nhóm được áp dụng lên nó, các thiết lập và thay đổi đang được ghi vào cơ sở dữ liệu CIMOM. ĐTNCPT – TTCNTT – EVN
103
Windows Server 2003 Để sử dụng RSOP trong việc theo dõi các chính sách đối với một người dùng nào đó, trong cửa sổ ADUC bạn chọn người dùng đó và nhấn chuột phải. Trong menu hiện ra chọn mục All Tasks\Resultant Set Of Policy (logging)…như minh hoạ ở hình dưới. RSOP Wizard khởi chạy tra vấn này.
Khởi chạy RSOP từ cửa sổ ADUc Tiếp theo RSOP Wizard sẽ hỏi muốn dùng máy và người dùng nào cho cuộc truy vấn RSOP này. Bạn chỉ có thể tiến hành một cuộc tra vấn logging mode theo một người dùng mà thực tế đã đăng nhập vào máy đó thôi, còn nếu muốn tiến hành tra vấn đối với những người dùng mới mà họ chưa bao giờ đăng nhập vào mạng thì chỉ có thể dùng Planning mode. Sau khi chọn người dùng và máy wizard sẽ hiển thị những thông tin đã lựa chọn và nhấn Next để bắt đầu cuộc tra vấn.
Những thông tin đã chọn cho cuộc tra vấn Khi thu thập song thông tin, nhấn Finish để đóng cửa sổ đó lại. Console RSOP mở ra trong một cửa sổ MMC mới trônng giống cửa sổ Group Policy Object Editor với tên của gốc là tên của cuộc tra vấn chứ không phải là tên của một chính sách.
ĐTNCPT – TTCNTT – EVN
104
Windows Server 2003
Console các kết quả tra vấn Ngoài cách tra vấn dùng DSA.MSC, chúng ta có thể sử dụng RSOP.MSC, nhưng chúng khác nhau ở chỗ khi bạn mở RSOP.MSC thì nó sẽ tự động tiến hành một cuộc tra vấn bằng cách dùng tên người dùng hiện tại và tên máy tại chỗ. Nếu muốn tra vấn một người dùng khác trên một máy khác thì nhắp pahỉ vào tên của cuộc tra vấn tại gốc của cây console hoặc kéo menu Action xuống sau đó chọn Change Query. Như vậy thì trình Logging Mode Wizard sẽ khởi chạy và bạn có thể chỉ định người dùng và tên máy để sử dụng. 4.11.2. GPRESULT GPRESULT.EXE là một công cụ RSOP, bổ sug thêm cho snap-in RSOP bằng cách thêm vào các khả năng thi hành từ dòng lệnh và theo file batch vào RSOP. Khi được chạy không có đối hoặc tuỳ chọn nào, GPRESULT thu thập được những thông tin RSOP sau đây dành cho người dùng hiện tại ở máy tại chỗ: •
Máy DC mà máy trạm này nhận các chính sách từ đó.
•
Khi nào các chính sách đó đã được áp dụng.
•
Những chính sách nào đã không được áp dụng do bị lọc chặn.
•
Tư cách thành viên nhóm.
•
Thông tin về quyền hạn người dùng.
Ý nghĩa của một số tuỳ chọn khác: •
Đối với những máy ở xa, bạn sử dụng tham số /S systemname và /USER username.
•
Ý nghĩa của một số tuỳ chọn khác:
•
/V: cho thêm các thông tin dài dòng hơn
•
/Z: cung cấp nhiều thông ti hơn nữa.
•
Nếu chỉ tập trung vào các chính sách dành cho máy, thêm tuỳ chọn /SCOPE MACHINE, còn nếu chỉ quan tâm đến các chính sách dành cho người dùng thì thêm tuỳ chọn /SCOPE USER.
•
Muốn tạo ra một báo cáo bằng cách cuyển hướng xuất dữ liệu thì thêm vào đường dãn và tên file xuất: ví dụ như gpresult /Z >gpinfo.txt ĐTNCPT – TTCNTT – EVN 105
Windows Server 2003 4.11.3. GPOTOOL GPOTOOL.EXE kiểm tra tất cả các chính sách nhóm của bạn để đảm bảo chúng toàn vẹn. Các chính sách nhóm hiện hữu dưới dạng hai thành phần: trong SYSVOL có một file văn bản dành cho mỗi chính sách gọi là Group Policy template (GPT) và mỗi chính sách được trình bày dưới dạng một bản ghi trong cơ sở dữ liệu Active Directory gọi là Group Policy Container (GPC)> Nếu thành phần này của một chính sách được sao chép mà thành phần kia không được sao chép thì chính sách ấy không được toàn vẹn và chúng không thể hoạt động được. GPOTOOL kiểm tra từng chính sách để đảm bảo rằng nó đã được sao chép cả phần GPC và GPT. GPOTOOL không gọi các chính sách bằng tên tiếng Anh mà nó báo cáo về các chính sách bằng mã nhận diện độc nhất toàn cầu (GUID). 4.11.4. Những khoá Registry để làm xuất hiện các chính sách nhóm Registry lưu giữ một bản ghi về những chính sách nào đã được áp dụng vào máy và tài khoản người dùng của bạn trong khoá KHLSoftware\Microsoft\Windows\ CurrentVersion\Group Policy\History đối với các chính sách nhóm dành cho máy và trong khoá HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\History đối với các chính sách dành cho người dùng. 4.11.5. Những nguyên tắc cơ bản của việc tìm và giải quyết trục trặc chính sách nhóm Giữ cho chiến lược về chính sách đơn giản, hãy nhóm các người dùng và máy lại với nhau trong các OU nếu có thể. Nên tránh việc có nhiều GPO với những thiết lập mâu thuẫn nhau áp dụng vào những đối tượng tiếp nhận giống nhau. Chỉ nên sử dụng ở mức tối thiểu các tính năng No Override và Block Policy Inheritance. Lập tài liệu về chiến lược chính sách nhóm của bạn, có thể cần phải phác hoạ ra cấu trúc chính sách nhóm và ghi chép lại. Hãy thử nghiêm chính sách nhóm trước khi triển khai chúng một cách đại trà trên phạm vi lớn.
5. Làm việc với các roaming user profile Khi sử dụng hệ điều hành Windows 32 bit và các ứng dụng thì những thiết lập của người dùng về phông chữ, màn hình nền Desktop, cách thức khởi động một ứng dụng nào đó hoạt động… đều là thành phần của user profile. Khi sử dụng một máy Windows dù là máy độc lập hay tham gia vào mạng thì luôn có một user profile được lưu trữ trên đĩa cứng của máy tại chỗ. Các user profile có thể được thực hiện theo một số cách khác nhau. Trong những trường hợp mà không thể thực hiện được giải pháp user profile dựa trên mạng thì bạn có thể sử dụng các phương án sau: Dùng các user profile tại chỗ (local user profile): Những người dùng cua mỗi máy trạm chỉ giữ các profile trên máy tại chỗ và họ tự tạo ra và định hình cho các profile này. Dùng một user profile mặc định được cấu hình trước (preconfigured default user profile): Những người dùng của mỗi máy trạm chỉ giữ các profile trên máy tại chỗ nhưng có mộ quản trị viên định cấu hình trước một user profile được lưu trên máy tại chỗ gọi là default user profile. Bất kỳ ai đăng nhập vào máy này đều nhận được defautl user profile đóvới tính cách như một cấu hình xuất phát cho user profile của cá nhân người dùng đăng nhập đó. Dùng các user profile tại chỗ được cấu hình sẵn (preconfigurated local user profile): Những người dùng của mỗi máy trạm chỉ giữ các profile tại chỗ nhưng có một quản trị viên định cấu hình trước tất cả hoặc một phần các user profile này. ĐTNCPT – TTCNTT – EVN
106
Windows Server 2003 Nếu có một môi trường mạng và cho phép sử dụng roaming user profile sẽ cho phép khai thác được sức mạnh tập trung hoá của mạng nmáy tính và có thêm bốn phương án sử dụng user profile. Dùng các roaming user profile: bổ sung một đường dẫn đến thư mục profile (profile path) vào thông tin tài khoản của mỗi người dùng để tự động tạo ra và duy trì một bản sao user profile của người dùng đó ở trên một nơi trên mạng. Dùng các roaming user profile được cấu hình trước (preconfigurated roaming user profile): bổ sung một profile path vào thông tin tài khoản của mỗi người dùng và sao chép một profile được định cấu hình trước vào nơi chứa trên mạng được chỉ định. Dùng các user profile mặc định của mạng (network default user profile): tạo ra một user profile mặc định rồi sao chép nó đến thư mục dùng chung NETLOGON của các máy DC xác minh. Như thế nó sẽ trao các profile mặc định cho tất cả những người dùng mới. Phương án này có thể dùng chung với các phương án dùng roaming profile hoặc local profile. Dùng các user frofile bắt buộc (mandatory user profile): bổ sung một profile path vào thông tin tài khoản của người dùng, sao chép một profile được định cấu hình trước vào đường dẫn đó rồi dùng những phần mở rộng của tên thư mục và tên file đặc biệt để chỉ rõ đây là một mandatory profile. Người dùng đó phải sử dụng profile này vaf không thể thay đổi được nó. 5.1. Cấu trúc một user profile Khi lần đầu người dùng đăng nhập vào một máy NT, Win2K hoặc XP hệ thống sẽ tự động tạo ra mọt local user profile cho người dùng trong %SYSTEMROOT%\PROFILES đối với các máy NT 4 hoặc các máy Win2K được nâng cấp từ NT4. Trên các máy được cài đặt mới hoàn toàn Win2K, XP hoặc Win2K3 các user profile được chứa trong thư mục Documents and Setings trên cùng ổ đĩa cài đặt hệ điều hành. Thư mục Documents and Settings chứa một profile dành cho mỗi người dùng đăng nhập vào máy tại chỗ, một thư mục tên là All User và mọt thư mục khác tên là Default User. Thư mục All Users lưu trữ nhóm chương trình dùng chung và những shortcut mà sẽ xuất hiện trên màn hình Desktop của mọi người dùng trên máy đó. Thư mục Default User theo mặc định là thư mục ẩn, nó chứa những khuân mẫu để tạo ra các profile riêng biệt cho những người dùng mới.
Thư mục profile của mỗi người dùng có chứa vài thư mục với những liên kết đến những đối tượng khác nhau của màn hình Desktop của người dùng đó cùng với file NTUSER.DAT dùng để chứa những thiết lập cấu hình Regestry dành cho người dùng đó. File NTUSER.DAT.LOG là file theo dõi giao dịch (transaction log file) dùng đê bảo vệ NTUSER.DAT trong khi những thay đổi đang được ghi vào đĩa. Các thư mục khác trong mỗi thư mục user profile lưu trữ thông tin về nội dung trên màn hình Desktop và menu Start của người dùng tương ứng kể cả các shortcut và các ĐTNCPT – TTCNTT – EVN
107
Windows Server 2003 nhóm chương trình. Bảng dưới sẽ giải thích ý nghĩa của các thư mục khác nhau trong profile của một người dùng trên máy XP: Thư mục
Ý nghĩa
Application data
Nơi để các ứng dụng lưu trữ thông tin dành riêng cho người dùng này
Desktop
Lưu trữ các file, folder, shortcut trên màn hình nền của người dùng
Cookies
Chứa các cookíe của Internet Explorer
Faverites
Các shortcut trỏ đến các web site ưa thích
Local Settings
Phần không mang đi lưu động được của prròile này
NetHood
Các shortcut đặt ở đây sẽ xuất hiện trong Network Neighborhood
My Documents
Nơi lưu các dữ liệu của người dùng, có thể thay đỏi vị trí của My Documents thông qua các chính sách
PrintHood
Các shortcut ở đây sẽ xuất hiện trong folder printers
Recent
Lưu các shortcut trỏ đến những file được dùng gần đây, được liên kết với folder Documents trong menu Start. Trong Windows XP gọi folder này là My Recent Documents trên menu Start
SendTo
Chứa danh sách các mục chọn trên menu động
Start Menu
Chứa các nhóm chương trình và các shortcut trỏ tới các mục chương trình của riêng người dùng này.
Templates
Chứa những shortcut trỏ tới các file khuân mẫu được tạo ra bởi các ứng dụng như PowerPoint, Word..
Ngoài các thư mục trên, user profile của mỗi người dùng còn chứa nhiều thiết lập mà người dùng có thể quy định được dành cho Windows Explorer, dành cho Taskbar, Control Panel và Accessories, các máy in mạng, các mối nối kết ổ đĩa và các chủ đề Faverites trong Help cũng được lưu giữ trong user profile. 5.2. Định cấu hình User Profile cho máy tại chỗ File NTUSER.DAT dành cho người dùn hiện tại đang đăng nhập có thể được chỉnh sửa bằng cách sử dụng công cụ chỉnh sửa Registry như REGEDIT.EXE, nhưng chúng ta chỉ nên sử dụng Registry khi bạn muốn thực hiện một sự thay đổi mà không được cung cấp trong cửa sổ Control Panel. Những thiết lập về việc định cấu hình cho Taskbar và menu Start, màn hình nền, phông chữ …đều có thể được thiết lập trong Control Panel. 5.3. Sự ra đời của một user profile tại chỗ Khi một người dùng đăng nhập vào máy lần đầu tiên thì người dùng đó chưa có profile nên hệ thống mới tạo profile cho người dùng đó. Những thông tin profile của Default user sẽ được sao ĐTNCPT – TTCNTT – EVN
108
Windows Server 2003 chép vào thư mục mới đó. Sau đó những thông tin này cùng với các shortcut và mục chương trình có trong thư mục All users được nạp vào để tạo ra profile cho người dùng đó. Sau khi hệ thống tạo ra các profile tại chỗ thì các yếu tố đặc trưng cho người dùng sẽ được ghi lưu vào profile của người dùng đó. Nếu profile được tạo ra trên một phân khu NTFS thì người dùng ấy sẽ là chủ sở hữu (owner) của profile đó. Hệ thống sẽ ấn định các quyền truy cập để cho phép người dùng đó sửa đổi profile của mình. SYSTEm và nhóm Administrators cũng sẽ có toàn bộ quyền truy cập profile đó. Hệ thống sẽ ấn định các permission như sau: •
SYSTEM nhận được quyền Full Control.
•
Nhóm Administrators tại chỗ nhận được quyền Full Control.
•
Những người dùng khác sẽ bị từ chối quyền truy cập vào thư mục profile của người dùng đó.
5.4. Cơ bản về roaming profile Một quản trị viên mạng có thể chọn cách chỉ định một đường dẫn thư mục trên mạng để lưu trữ một user profile. User profile của một người dùng nào đó được gọi là roaming profile khi những thông tin của tài khoản người dùng đó cho thấy một đường dẫn thư mục profile (profile path) ngay cả khi đường dẫn đó nằm trên máy tại chỗ. Trong trường hợp đơn giản nhất người quản trị mạng có thể tạo ra một share (thư mục dùng chung) trên một server nào đó, ấn định những quyền truy cập thích hợp trên share và chỉ thị trong Computer Management\System Tools\Local User and Groups hoặc Active Directory Users and Computers biết có một bản sao của profile của người dùng đó được lưu trữ ở chỗ đấy. 5.4.1. Chỉ định nơi lưu trữ các roaming profile Để chỉ định một đường dẫn roaming profile cho một người dùng lưu động theo hai bước sau: •
Tạo ra một thư mục dùng chung, giả sử là ạo ra một share tên là PROFILE$. Ấn định các permission ở cấp share là Change hoặc Full Control để cho phép tất cả các người dùng đang lưu trữ các profile thay đổi được các profile của họ. Bạn không cần phải tạo ra các thư mục cho các người dùng lưu động, sau này hệ điều hành ở máy trạm sẽ tạo ra thư mục profile cho người dùng và ấn định những permission thích hợp.
•
Mở cửa sổ Active Directory Users and Computer, tìm tới tài khoản đang quan tâm, mở khung thoại đặc tính của nó, chuyển sang trang profile rồi nhập vào đường dẫn dành cho thư mục profile của người dùng như được minh hoạ trong hình dưới. Ô Profile path cho biết đường dẫn đến vị trí lưu roaming profile. Nếu đang chỉ định roaming profile cho nhiều tài khoản người dùng, thay biến %USERNAME% vào chỗ tên người dùng trong đường dẫn. Bạn cũng có thể chỉ định profile path của người dùng là thư mục cơ sở (home directory) của người dùng.
ĐTNCPT – TTCNTT – EVN
109
Windows Server 2003
5.4.2. Tạo roaming profile khi người dùng có sẵn local profile Khi một người dùng đã có local profile trên máy trạm, và người dùng đó lại vừa được tạo một đường dẫn mạng được chỉ định cho profile của họ trong khi chưa có một profile nào trên server thì trong lần đăng nhập đó, máy trạm sẽ nạ local profile tại chỗ vào bộ nhớ rồi tạo ra một thư mục trên server (bên dưới profle path đã chỉ định) để lưu trữ roaming profile của họ. Khi người dùng đó đăng xuất, hệ điều hành của máy trạm đó sẽ sao chép thư mục profile tại chỗ vào thư mục roaming profile trên mạng. Sau đó mỗi lần người dùng đó đăng nhậ, hệ điều hành máy trạm sẽ kiểm tra xem hai profile có khớp nhau không rồi sẽ nạp phiên bản mới nhất. Hệ điều hành máy trạm sẽ ghi lưu mọi thay đổi mà người dùng tạo ra vào cả hai profile: vào profile tại chỗ ngay khi xảy ra sự thay đổi đó và vào thư muc profile của người dùng đó trên server khi họ đăng xuất. Thông thường server là lựa chọn đầu tiên khi người dùng đăng nhập nhưng theo mặc định hệ điều hành máy trạm sẽ luôn luôn lưu giữ một thư mục local profile để đảm bảo rằng người dùng có thể truy cập profile của họ nếu họ không thể dùng profile trên mạng. Trong trường hợp đó hệ điều hành máy trạm sẽ không cố gắng sao chép những thay đổi của profile vào server khi họ đăng xuất. Lần kế tiếp khi đăng nhập máy trạm đó sẽ hiển thị một khung thoại ‘Your local profile is more recent than your server profile” hỏi bạn muốn sử dụng profile nào để nạp. 5.4.3. Tạo roaming profile khi người dùng không có local profile Khi một người dùng đăng nhập vào một máy trạm và một miền lần đầu tiên và họ mới chỉ có một roaming profile path được chỉ định trong Active Directory và chưa có local profile nào trên máy trạm, hệ điều hành của máy trạm đó sẽ sử dụng những thông tin trong thư mục Defautl User trên máy tại chỗ để tạo ra một local profile và nó cũng sẽ tạo ra môt thư mục profile bên dưới profile path đã chỉ định trên mạng. Khi người dùng đó đăng xuất, máy trạm đó sẽ sao chép local profile của họ cùng với những thay đổi nếu có vào trong thư mục roaming profile của họ trên server. 5.5. Định cấu hình trước các user profile Để định cấu hình trước profile Default User, tạo ra một tài khoản người dùng giả, đăng nhập với tư cách người dùng giả đó, sau đó thiết lập Desktop và những thiết lập profle khác theo ý bạn. Sau đó thoát khỏi tài khoản người dùng giả đó và đăng nhập với tài khoản Administrator của máy, sao chép nội dung của profile vừa tạo đè lên nội dung hiện có của profile Default User. Việc sao chép profile của người dùng giả có thể sao chép trực tiếp file NTUSER.DAT từ thư mục của người dùng giả đè lên file NTUSER.DAT trong thư mục Defautl User hoặc bạn có thể sao chép chúng thông qua applet System như minh hoạ trong hình dưới.
ĐTNCPT – TTCNTT – EVN
110
Windows Server 2003
Trang user profile trong applet System Như minh hoạ trong hình, bạn chọn User Profile mà bạn vừa tạo, sau đó nhấn Copy To. Trong hộp thoại tiếp theo bạn chọ vị trí lưu Profile và nhớ thay đổi thông tin Permitted to user để trao cho Every one, Authenticated Users hoặc một nhóm thích hợp nào đó trên mạng quyền truy cập để dùng profile ấy.
5.5.1. Tạo ra trước các roaming profile Có thể thiết lập các roaming profile được cấu hình trước bằng cách sao chép một profile đã được tuỳ biến vào đường dẫn UNC mà bạn chỉ định trong trang đặc tính của tài khoản người dùng. Cũng có thể thiết lập các local profile được định cấu hình trước theo cách này nhưng phải chỉ định một đường dẫn trong thông tin tài khoản tại chỗ của người dùng. 5.5.2. Tạo trước default roaming profile Để tạo trước các roaming profile cho nhiều người dùng, bạn chỉ việc sao chép profile đó vào share NETLOGON trên một máy DC nào đó để thiết lập một profile Default User cho tàon bộ miền thay cho việc phải đặt từng profile được tạo trước vào thư mục của từng người dùng. Khi một người dùng đăng nhập vào một miền thì máy của người dùng đó sẽ tìm kiếm một thư mục Default User trong share NETLOGON (trong WINNT\SYSVOL\ sysvol\domainname\SCRIPTS) của máy DC xác minh. Chỉ khi không có thư mục Default User nào được tìm thấy trong thư mục NETLOGON thì máy khách đó mới sử dụng những thông tin của Default User tại chỗ. Nếu thuộc nhóm Administratorsthì bạn có thể lưu trực tiếp profile đó vào share NETLOGON (\\MACHINENAME\NETLOGON\Default User), đặ tên cho thư mục là Default User và cấp phát permission cho Everyone để sử dụng profile đó. Những người dùng ĐTNCPT – TTCNTT – EVN
111
Windows Server 2003 mạng cần có quyền truy cập Read, Execute và Read List of Folders thì mới có quyền truy cập profile đó. 5.6. Các mandatory profile Mandatiry profile là loại profile chỉ đọc mà người dùng bắt buộc phải sử dụng. Để sử dụng được mandatory profile thì nó phải có mặt trước khi người dùng đăng nhập va phải có mặt ở đường dẫn mà bạn đã thiết lập, nếu không thì người dùng không thể đăng nhập được. Để tạo ra một thư mục dành cho madatory profile, đặt tên thư mục đó với phần mở rộng là .MAN. Phần mở rộng này báo cho hệ điều hành biết rằng profile ấy là loại mandatory và người dùng có tên như thế sẽ không thể đăng nhập được nếu không truy cập vào nó. Ngoài ra bạn còn phải đổi tên file NTUSER.DAT thành NTUSER.MAN để người dùng đó không ghi lưu được những thay đổi vào trong profile ấy. Sau khi máy trạm người dùng đó đã tạo ra local profile thì bản sao được tạo tại chỗ của profile ấy cũng sẽ read-only. Các phương án thiết lập mandatory profile: •
Dùng một profile chỉ đọc: chỉ việc đổi tên file NTUSER.DAT thành NTUSER.MAN trước khi chỉ định profile đó cho những người dùng mong muốn.
•
Buộc người dùng phải nạp một profile cụ thể nào đó: nếu bạn chỉ định đường dẫn thư mục trên máy DC hoặc server dưới dạng DIRECTORYNAME.MAN nhưng không đổi tên file thành NTUSER.MAN thì hệ điều hành sẽ không xem nó như một mandatory profile mà chỉ xem nó như là một roaming profile.
•
Tạo ra một profile chỉ đọc mà người dùng bắt buộc phải dùng: Chỉ định tên thư mục dưới dạng DIRECTORYNAME.MAN và đổi tên file thành NTUSER.MAN.
Cách định cấu hình cho mandatory profile: Các mandatory profile được tạo ra theo cách giống với cách tạo ra các profile được định cấu hình trước. Các mandatory profile có thể được cung cấp cho những người dùn riêng lẻ hoặc cho các nhóm người dùng. Sau đây là cách tạo ra một mandatory profile dùng chung rồi cấp nó cho một nhóm người cụ thể: Tạo ra một tài khoản người dùgn rồi đăng nhập với tư cách người dùng đó, thiết lập desktop, các mối nối kết mạng và máy in … Áp dụng mọi hạn chế mà bạn muốn sau đó logout ra khỏi hệ thống. Đăng nhập vào hệ thống với tư cách quản trị viên. Dùng applet User Profile (Control Palnel/System/UserProfile) để chọn profile đó rồi sao chép nó đến thư mục dùng chung trên mạng, đặt tên nó là SOMETHING.MAN. Ấn định các permission để cho phép người dùng hoặc nhóm ít nhất các quyền Read và Execute đối với profile đó và nội dung của nó. Đổi tên file NTUSER.DAT thành NTUSER.MAN. Trong khung thoại đặc tính dành cho tài khoản người dùng đang xét, điền vào profile path là thư mục mandatory profile mà bạn vừa tạo. DSA.MSC cho phép bạn chọn nhiều tài khoản cùng một lúc để thay đổi profile path. 5.7. Thiết lập profile khuân mẫu cho người dùng 5.8. Các máy khách chọn loại profile cần thiết 5.9. Chọn loại profile nào cho mạng? ĐTNCPT – TTCNTT – EVN
112
Windows Server 2003 5.10. So sánh các profile của Windows NT 3.51, 9X, NT 4 (XP, 2K)
ĐTNCPT – TTCNTT – EVN
113