Académique Documents
Professionnel Documents
Culture Documents
MỤC LỤC
Lời nói đầu
Mục lục.................................................................................................................................1
Chương I – Cài đặt Windows Server 2003 ................................... ..................................7
I) Giới thiệu về hệ điều hành Windows Server 2003 ........... ..................................7
1. Các phiên bản của họ HĐH Windows Server 2003 .......................................7
2. Những điểm mới của HĐH Windows Server 2003........................................7
3. Yêu cầu phần cứng cài đặt các phiên bản của Windows 2003.......................7
4. Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise
Edition ............................................................................................... ..................................8
II) Cài đặt HĐH Windows Server 2003 ................................ ..................................8
Chương II – Các dịch mạng của HĐH Windows Server 2003 ....................................16
I) ACTIVE DIRECTORY...................................................... ................................16
1. Giới thiệu về Active Directory .................................... ................................16
2. Các đối tượng trong Active Directory và quy ước đặt tên ...........................16
2.1 Distinguished Name .......................................... ................................17
2.2 Globally Unique Indentifier .............................. ................................18
2.3 Relative Distinguished Name............................ ................................18
2.4 User Principal Name ......................................... ................................18
3. Các kĩ thuật được hỗ trợ bởi Active Directory............ ................................18
4. Active Directory và DNS ............................................ ................................19
5. Cấu trúc logic của Active Directory............................ ................................20
5.1 Domain .............................................................. ................................20
5.2 Các Organizational Unit.................................... ................................21
5.3 Tree (cây) .......................................................... ................................22
5.4 Forest (Rừng) .................................................... ................................22
6. Cấu trúc vật lý của Active Directory........................... ................................22
6.1 Site..................................................................... ................................22
6.2 Domain Controller............................................. ................................23
4. Các hệ điều hành cho phép nâng cấp thành Windows Server 2003 Enterprise
Edition
- Windows NT Server 4.0 với Services Pack 5 hoặc lớn hơn.
- Windows NT Server 4.0, Terminal Server Edition, với Services Pack 5 hoặc lớn
hơn.
- Windows NT Server 4.0, Enterprise Edition, với Services Pack 5 hoặc lớn hơn.
- Windows 2000 Server
- Windows 2000 Advanced Server
- Windows Server 2003 Standard Edition
II – CÀI ĐẶT HĐH WINDOWS SERVER 2003
Có nhiều cách cài đặt Windows Server 2003 như:
- Cài đặt từ đĩa CD/DVD
- Cài đặt qua một thư mục chia sẻ: cách cài đặt này không thể format được ổ đĩa
cài đặt (thường là ổ C).
- Cài đặt tự động thông qua Setup Manager Wizard: để cài đặt tự động chúng ta
phải tạo ra file trả lời tự động từ trước. Dùng chương trình Setup Manager Wizard tạo ra
Chọn ổ cứng và phân vùng trên ổ cứng đó để chứa bộ cài đặt, sau đó ấn Enter để tiếp tục
Chọn chế độ format cho phân vùng được cài đặt, nên dùng phân vùng định dạng
NTFS cho Windows Server 2003. Sau đó ấn Enter để hệ thống format phân vùng theo
định dạng đã chọn.
Sau khi copy dữ liệu xong và khởi động lại máy, tiếp theo sẽ là quá trình bung dữ
liêu ra từ phân vùng cài đặt.
Tiếp theo hệ thống yêu cầu thiết đặt tên, tổ chức và các tuỳ chọn khác như ngôn
ngữ, giờ, múi giờ, định dạng ngày…
Tiếp theo là đặt tên cho máy Server và password cho tài khoản Administrator
Tiếp theo là đặt ngày, giờ và chọn múi giờ cho hệ thống, chọn múi giờ GMT+7
Tiếp theo là thiết đặt cho kết nối mạng và tên nhóm làm việc Workgroup, chọn
Typical settings và đặt tên nhóm mạng.
Sau đó ấn Next để hệ thống tiếp tục việc cài đặt. Khi hệ thống cài đặt xong và khởi
động lại máy một lần nữa là chúng ta hoàn thành việc cài đặt Windows Server 2003.
I – ACTIVE DIRECTORY
1. Giới Thiệu Về Active Directory
Active Directory (AD) là nơi lưu trữ các thông tin về tài nguyên khác nhau trên
mạng. Các tài nguyên được Active Directory lưu trữ và theo dõi bao gồm File Server,
Printer, Fax Service, Application, Data, User, Group và Web Server. Thông tin nó lưu trữ
được sử dụng và truy cập các tài nguyên trên mạng. Sự khác nhau giữa Active Directory
và Active Directory Service đó là các hình thức lưu trữ và quản lý thông tin tài nguyên.
Thông qua Active Directory người dùng có thể tìm chi tiết của bất kỳ một tài nguyên
nào dựa trên một hay nhiều thuộc tính của nó. Vì vậy mà không cần phải nhớ tất cả đường
dẫn và địa chỉ nơi tài nguyên đang được định vị, mỗi thiết bị và tài nguyên trên mạng sẽ
được ánh xạ đến một tên có khả năng nhận diện đầy đủ về nó. Tên này sẽ được lưu trữ lại
trong Active Directory cùng với vị trí nguyên thuỷ của tài nguyên. Người sử dụng có thể
truy cập đến tài nguyên này nếu họ được phép thông qua Active Directory .
Active Directory có khả năng:
¾ Cho các thông tin về tài nguyên dựa trên các thuộc tính của nó.
¾ Duy trì dữ liệu của nó trong một môi trường an toàn, vì chắc chắn rằng dữ liệu
sẽ không được cung cấp cho các người không được quyền truy cập đến nó.
¾ Tự nó phân tán đến các máy tính trên mạng
¾ Tự nhân bản. Đây là cơ chế bảo vệ Active Directory trong trường hợp bị lỗi
¾ Nó giúp người sử dụng ở xa tham chiếu đến một bản sao được nhân bản, được
định vị ở một nơi không xa, thay vì phải tham chiếu đến bản sao nguyên thuỷ.
¾ Tự phân vùng thành nhiều phần lưu trữ. Active Directory có thể được phân
tán trên các máy khác nhau vì thế nó tăng thêm khả năng lưu trữ một số lượng
lớn các đối tượng có trên các mạng lớn
2. Các đối tượng trong Active Directory và quy ước đặt tên
Thông báo máy chủ Domain controller đang là phiên bản Windows Server 2003
và những hệ điều hành nào không thể gia nhập miền của hệ điều hành windows 2003. Ở
đây có hai hệ điều hành không thể gia nhập miền của Windows server 2003 là Windows
95 và Windows NT 4.0 Sp 3 trở về trước. Ấn next để tiếp tục.
Tiếp theo đến cửa sổ tạo mới domain, ở đây chúng ta có 3 lựa chọn:
- Thứ nhất là tạo domain trong một rừng mới
- Thứ hai là tạo một domain con trong domain tree hiện có
- Thứ ba là tạo một cây domain trong rừng hiện tại đã có
Chúng ta chọn mục đầu tiên vì ở đây máy chủ của chúng ta là máy chủ đầu tiên
và domain cũng là domain đầu tiên. Ấn next để tiếp tục.
Tiếp theo đến bước đánh tên DNS đầy đủ cho domain muốn tạo, tên domain có
thể là tên của tổ chức, tên công ty hoặc cá nhân và phải tuân theo quy tắc đánh tên domain
tức là không dài quá 255 kí tự và phải có ít nhất một dấu chấm (.). Ở đây em đặt tên là
công ty TNHH máy tính CMS. Next đến bước tiếp theo.
Tiếp theo là bước đặt tên cho NetBIOS name, tên domain theo chuẩn NetBIOS để
tương thích với các hệ điều hành Windows NT. Mặc định windows server 2003 lấy tên
của domain chính là tên của NetBIOS name, NetBIOS name có nhiệm vụ phân giải tên
miền trên Domain controller. Chúng ta có thể thay đổi tên này nhưng chú ý khi máy trạm
join vào máy chủ thì phải join theo tên của NetBIOS name chứ không join theo tên miền
nữa. Ở đây em để theo mặc định. Ấn next để tiếp tục.
Tiếp theo là đến bước lưu trữ database và logfile của Active Directory trên đĩa
cứng. Đây sẽ là nơi lưu trữ toàn bộ cơ sở dữ liệu của hệ thống gồm toàn bộ thông tin về
tài nguyên hệ thống, user acconut…. Ở chế độ workgroup khi chưa lên domain thì mọi
thông tin người dùng được lưu trong file SAM( Sercurity Account Management) nhưng
khi đã lên domain thì mọi thông tin đó được lưu trong thư mục NTDS và user account
được lưu trong file NTDS.dit. Chúng ta có thể chọn nơi khác để lưu trữ thư mục NTDS
nhưng theo khuyến cáo thì nên để mặc định của windows 2003.
Tiếp theo đến bước chỉ định lưu thư mục SYSVOL, thư mục SYSVOL phải được
lưu trên phân vùng NTFS v 5.0 trở lên.
Bước tiếp theo là kiểm tra hoặc cài đặt DNS. DNS là dịch vụ phân giải tên kết
hợp với AD để phân giải các tên máy tính trong miền hoặc phân giải các miền khác từ
bên ngoài. Ở đây chúng ta có 3 lựa chọn:
- Thứ nhất là DNS đã có sẵn và có vấn đề hoặc bị lỗi, và lựa chọn mục này để hệ
thống kiểm tra lại DNS.
- Thứ hai là cài đặt và thiết lập DNS server trên máy tính, và đặt máy tính này sử
dụng DNS như là một DNS server.
- Thứ ba là kết nối DNS có vấn đề và muốn thiết đặt DNS bằng tay (nâng cao).
Theo khuyến cáo của Microsoft chúng ta nên tích hợp việc cài đặt DNS trong khi
cài đặt AD vì như thế thì mới tích hợp được hết các chức năng của DNS và DNS
không bị lỗi. Ấn next để tiếp tục.
Tiếp theo là mục đặt password cho tài khoản Administrator để phục vụ cho việc
backup AD hoặc dùng để khởi động Active Directory ở chế độ Directory Services Sestore
Mode. Chúng ta đặt password cho tài khoản và ấn next để tiếp tục.
Tiếp theo là quá trình tổng hợp các thông tin mà chúng ta đã cung cấp về AD. Ấn
next để hệ thống bắt đầu quá trình lên domain.
Hệ thống yêu cầu cho đĩa CD Windows 2003 vào và chọn đến thư mục \I386.
Chúng ta cho đĩa vào và chọn đến thư mục I386 trên đĩa.
Ấn finish để kết thúc quá trình lên domain. Sau khi ấn finish hệ thống yêu cầu
khởi động lại. Chúng ta ấn restart now khởi động lại hệ thống để hoàn thành việc lên AD.
Sau khi hệ thống khởi động lại xong nghĩa là Active Directory đã được cài đặt,
Active Directory có 3 thành phần chính đó là: Active Directory Domain and Trust,
Active Directory Sites and Services và Active Directory Users and Computers
¾ Active Directory Domain and Trust: Dùng để tin cậy các domain hay Domain
controller trong một rừng có nhiều domain khác.
Có hai quan hệ tin cậy được hỗ trợ bởi Active Directory là: Quan hệ tin cậy một
chiều One – Way và quan hệ tin cậy hai chiều Two – Way.
9 Quan hệ tin cậy một chiều (không bắc cầu) là: Nếu domain 1 tin cậy domain 2
và domain 2 tin cậy domain 3 thì domain 1 không tự tin cậy domain 3. Quan
hệ tin cậy có thể được thiết lập trực tiếp từ domain 1 với domain 3. Windows
NT hỗ trợ kiểu quan hệ tin cậy không bắc cầy này. Điều này mang lại sự
thuận lợi lớn cho người đứng đầu nhóm quản trị trong các hệ thống mạng lớn
với đa domain.
9 Quan hệ tin cậy hai chiều (bắc cầu): Nếu domain 1 tin cậy domain 2 và
domain 2 tin cậy domain 3 thì domain 1 tự động tin cậy domain 3 và ngược
lại domain 3 tự động tin cậy domain 1. Đây là quan hệ tin cậy mặc định giữa
các domain trong Windows 2003. Nếu quan hệ tồn tại giữa hai domain thì
Một site là một sự kết hợp của một hoặc nhiều các subnet IP mà nó được kết nối
bởi các đường truyền tốc độ cao. Các site này được định nghĩa để tạo sự thuận lợi đặc biệt
cho kế hoạch truy cập và nhân bản một Active Directory. Sự khác nhau cơ bản giữa site
và domain là domain mô tả cấu trúc logic của một tổ chức mạng trong khi đó site mô tả
cấu trúc vật lý mạng đó. Theo đó cấu trúc vật lý và cấu trúc logic của Active Directory là
tách rời nhau. Vì thế Active Directory cho phép nhiều site trong một domain cũng giống
như nhiều domain trong một site, không gian tên của site và domain không cần sự tương
quan. Không gian tên logic chứa các Computer, các domain và các OU, không có các site.
Một site chứa một thông tin về các đối tượng trong computer và các đối tượng kết nối.
¾ Active Directory Users and Computers: Chứa các thông tin và thành phần về
Users, Groups, OU (Orgazinational Unit), các Computer và Domain Controller.
9 Builtin: đây là nơi lưu các account được tạo sẵn trong hệ thống gồm các
account có quyền quản trị hệ thống, thay đổi toàn cấu trúc hệ thống domain,
gia nhập hoặc tin cậy một domain khác trong một rừng. Những account này
người dùng không thể tạo hoặc xoá được kể cả tài khoản Administrator.
9 Computer: đây là nơi lưu trữ tất cả các computer trong mạng đã join vào
domain.
9 Domain controllers: đây là nơi lưu trữ tên những máy chủ miền, nếu hệ
thống có hơn một máy chủ miền thì sẽ có các tên máy chủ đó ở mục này.
9 Foreign Sercurity Principals: Những nhánh bảo mật bên ngoài
9 Users: là nơi chứa toàn bộ user gồm những user của hệ thống tạo ra và
những user do những người dùng tạo ra. Các user hệ thống ở đây có tác
dụng thay đổi những thiết đặt của máy chủ Domain controller và domain
nằm trên máy chủ miền đó.
II - HỆ THỐNG TÊN MIỀN (DOMAIN NAME SYSTEM – DNS)
1. Giới thiệu về DNS
DNS là một cơ sở dữ liệu (CSDL) phân tán được dùng để dịch tên máy tính (host
name) thành địa chỉ IP trong các mạng TCP/IP. Để cung cấp một cấu trúc phân cấp cho
cơ sở dữ liệu DNS người ta cung cấp một lược đồ đánh tên được gọi là không gian tên
www.microsoft.com
The web
Clien
¾ Truy vấn Tìm Kiếm Chuyển Tiếp (Forward Lookup Query): Một truy vấn
tìm kiếm chuyển tiếp dịch một tên để có được địa chỉ IP liên quan. Hình trên
minh hoạ cho tiến trình này.
9 Máy khách gửi một yêu cầu đến địa chỉ www.microsoft.com đến máy
chủ tên địa phương.
9 Máy chủ tên địa phương đầu tiên sẽ kiểm tra trong tập tin cơ sở dữ liệu
vùng mà nó đang giữ.
9 Nếu không tìm thấy ánh xạ tên - địa chỉ IP theo yêu cầu nó sẽ chuyển
truy vấn đó đến một máy chủ tên gốc.
9 Máy chủ tên gốc kiểm tra ánh xạ đó trong tập tin cơ sở dữ liệu vùng và
gửi một tham chiếu máy chủ tên Com.
9 Sau đó máy trình tên truy vấn máy chủ tên Com để dịch tên.
9 Máy chủ tên Com trả về một tham chiếu máy chủ tên Microsoft.
9 Sau đó Máy chủ tên cục bộ sẽ chuyển truy vấn đến máy chủ tên
Microsoft và nó trả về địa chỉ IP của www.microsoft.com
¾ Forward lookup zones: Vùng tìm kiếm thuận, trong vùng này chứa miền
chính của domain, trong vùng chính này chứa các bản ghi host(A) gồm tên máy
và địa chỉ IP của máy chủ DC và các máy trạm đã join vào domain. Vùng này
các thiệt lập mặc định đã có sẵn khi chúng ta tích hợp DNS trong quá trình lên
domain.
¾ Reverse lookup zones: Vùng tìm kiếm đảo, vùng này chứa các bản ghi
Pointer(PRT) của các NetworkID do người quản trị thiết đặt. Để DNS phân giải
được từ địa chỉ IP ra tên máy ta phải cấu hình Reserve lookup zones.
Chuột phải vào Reserver lookup zones chọn New zones, hiện ra của sổ wizard ấn
next, next đến cửa sổ zones type có 3 lựa chọn:
Ở bước này cũng có 3 mục chọn, em chọn mục thứ 3 để lưu toàn bộ dữ liệu về
zone này trên Active Directory của Domain controller. Next để đến bước tiếp theo.
Bước này là đặt Network ID cho truy vấn đảo, chỉ lớp NetID nào được đặt ở đây
thì mới có thể truy vấn đảo và thông thường thì NetID này trùng với NetID của truy vấn
thuận và trùng với NetID Interface của máy chủ miền. Ở đây máy chủ có địa chỉ IP ở lớp
A nên NetID của zone em cũng đặt là lớp A. Next để đến bước tiếp theo.
Đây là bước tuỳ chọn cập nhật tự động của DNS với các vùng, em lựa chọn mục
thứ nhất để chỉ cập nhật tự động an toàn. Next rồi ấn finish để kết thúc quá trình cấu hình
Reserve lookup zones.
¾ Event Viewer: Chứa các nhật kí về DNS, gồm các thông tin về DNS, các cảnh
báo của hệ thống với người dùng về DNS và các lỗi của DNS.
Toàn bộ nhật kí về DNS sẽ được ghi lại ở đây. Chúng ta có thể tuỳ chọn là chỉ ghi
lại những sự kiện nào. Nhưng theo khuyến cáo thì chúng ta nên để ghi lại toàn bộ các sự
kiện về DNS để sau này DNS bị lỗi còn có thể xem lại. Event này có thể xoá đi bởi người
quản trị hệ thống trên server (DC) và được lưu lại dưới dạng file *.evt. Sau này có thể
import những file đã lưu này vào Event Viewer xem lại. Nhưng những người quản trị hệ
thống từ xa thông qua các snap-in thì chỉ có thể lưu lại dưới dạng *.txt mà thôi và không
thể import vào event viewer được.
Để kiểm tra DNS hoạt động chưa chúng ta làm như sau: ở của sổ run đánh lệnh
nslookup, hiện ra cửa sổ nslookup. Chúng ta đánh địa chỉ muốn truy vấn vào hoặc tên
máy vào, nếu trả lại name và address của máy muốn truy vấn thì DNS đã hoạt động, còn
nếu một trong hai cái đó không trả lại được tên và địa chỉ thì DNS chưa hoạt động đúng.
Sau khi DHCP đã cài đặt xong, từ cửa sổ run chúng ta đánh lệnh dhcpmgmt.msc
hoặc tìm đến đường dẫn: Start\Program\Administrator tool\DHCP để mở chương trình
DHCP lên
5.3 Cấu hình dịch vụ DHCP
Chúng ta sẽ tạo một phạm vi(scope) dùng để cấp phát cho các máy khách trong
mạng. Chuột phải vào tên máy chủ DHCP chọn New scope, next sẽ hiện ra cửa sổ cấu
hình wizard, chúng ta có các lựa chọn như sau:
Start IP address: Địa chỉ IP bắt đầu của khoảng địa chỉ IP mà DHCP có thể gán
End IP address: Địa chỉ IP kết thúc của khoảng địa chỉ IP mà DHCP có thể gán
Length or Subnetmask: Mặt nạ mạng con dùng để gán cho các DHCP khách. Mặt
nạ mạng con có thể được cho dưới dạng độ dài bit hoặc mặt nạ mạng con thực sự. Next
Exclusion address range: Chỉ định khoảng địa chỉ mà chúng ta muốn loại bỏ khỏi
pham vi đã tạo. Những địa chỉ IP này sẽ không được gán cho các DHCP khách.
Lease Duration: Chỉ định thời gian dành cho mỗi địa chỉ IP sẽ được cấp cho máy
khách. Next
Đến đây có hai lựa chọn, chọn Yes để chúng ta cấu hình ngay trong khi tạo scope,
chọn No để chúng ta cấu hình sau. Chọn yes và ấn next để tiếp tục.
Nhập vào địa chỉ của router hiện tại, đây chính là địa chỉ defaull gateway của
router.
Lựa chọn tiếp theo là đánh tên đầy đủ của domain, tên DNS server, địa chỉ DNS
server và các địa chỉ DNS khác mà máy tính có thể gửi truy vấn (thường là DNS của ISP).
Ấn next và ấn finish để kết thúc quá trình tạo scope và cấu hình DHCP. Sau khi tạo scope
và cấu hình scope đó ta được các thông tin trong scope đó như hình dưới đây.
Sau khi tạo phạm vi DHCP, chúng ta có thể cấu hình tuỳ chọn DHCP để có thể áp
dụng cho các máy khách hoặc nhóm các máy khách. Các tuỳ chọn phạm vi có thể được
cấu hình tại bốn mức sau: Máy chủ, Phạm vi, Lớp và các máy khách dành riêng.
- Mức máy chủ: Các tuỳ chọn này có thể áp dụng được cho mọi DHCP khách.
Nếu tất cả các máy khách trong cùng một mạng con yêu cầu cùng chung một cấu hình thì
chúng ta có thể thay đổi máy chủ và cấu hình sẽ được áp dụng cho các máy khách này. Ví
dụ như chúng ta muốn sử dụng chung một máy chủ DNS. Để thay đổi tùy chọn này trong
DHCP chúng ta chuột phải vào mục Server Option của máy chủ đó rồi chọn Configure
Option.
- Mức phạm vi: Các tuỳ chọn này chỉ có thể áp dụng cho các máy khách nhận địa
chỉ IP từ phạm vi đã được cấu hình. Những tuỳ chọn mà chúng ta cấu hình ở mức phạm vi
sẽ có độ ưu tiên cao hơn ở mức máy chủ. Để cấu hình các tuỳ chọn này với mức phạm vi
trong DHCP chúng ta chuột phải vào Scope Option của máy tính được cấu hình và chọn
mục Configure Option.
- Mức lớp: Các máy khách xác định chính chúng với một địa chỉ IP đặc biệt được
cấu hình ở mức lớp. Các tuỳ chọn ở mức lớp sẽ có độ ưu tiên hơn các hơn các tuỳ chọn ở
mức phạm vi. Để thay đổi các tuỳ chọn ở mức lớp chúng ta vào hộp thoại Server Option
hoặc Scope Option và chọn mục Available Option từ mục Advanced.
4.1 Các tuỳ chọn khi khởi tạo Domain User Account
Một domain user account được tạo ra trong một domain controller mà từ đó nó
được tự động copy tất cả đến các domain controller khác trong mạng. Chúng ta nên tạo
account trong mục user mặc định hoặc trong một số folder khác nơi mà các domain user
account khác tồn tại.
¾ Password: Đây là password được dùng trong khi xác nhận user và được hiển
thị dưới dạng cac dấu hoa thị.
¾ Confirm password: Xác định lại mật khẩu đã nhập ở trên
¾ User Must Change password at next logon: Để cho phép user thay đổi
password trong lần đăng nhập lần đầu tiên.
¾ User cannot change password: User không thể thay đổi password. Tuỳ chọn
này được chọn đối với nơi có nhiều hơn một user sử dụng cùng user account
hoặc khi administrator muốn điều khiển password.
¾ Password never expires: Chọn tuỳ chọn này nếu password không bao giờ thay
đổi. Tuỳ chọn này sẽ ghi đè thiết lập User must change password at next logon.
¾ Các thuộc tính các nhân sẽ có: thuộc tính chung (general), điện thoại
(telephones), tổ chức (organizational).
¾ Thuộc tính giờ Logon (Logon hours)
¾ Thuộc tính Logon to
Sau khi thiết đặt Home Folder và User profile xong, trên máy client đăng nhập với
user mà chúng ta đã thiết đặt sẽ thấy Home folder được Map thành một ổ đĩa trong My
Computer. Việc này tránh được cho User phải nhớ đường dẫn chính xác tới Server.
Và trong đó có chứa Profile của chính User này. Người dùng có thể tuỳ chỉnh
thông tin và lưu dữ liệu của mình trên thư mục đó. Mọi thay đổi về profile như nền màn
hình desktop, các tuỳ chọn menu start… đều được lưu lại ở đây. User có thể đăng nhập tại
bất kì máy tính client nào trong mạng thì mọi thiết đặt profile của user cũng không bị thay
Trong thư mục đã chia sẻ dùng để thiết đặt Home folder cho User trên Server có
chứa các Profile và dữ liệu của các User. Mặc định thì mọi người dùng không ai có thể
xem, sửa hoặc xoá các thông tin và dữ liệu của các user đó, chỉ có chính user đó mới có
quyền được xem, sửa và xoá mọi thông tin do mình tạo ra, kể cả Administrartor cũng
không thể xem được thư mục Profile đó.
Nhưng đã là Administrator thì mọi việc đều có thể, Administrator sẽ dùng quyền
của mình để cướp quyền (Task Ownership) của User đó để xem hoặc chỉnh sửa thông tin
trong Profile đó. Để cướp quyền của User trên thư mục đó chúng ta làm như sau: chuột
phải vào thư mục chọn properties, trong cửa sổ properties chọn tab Sercurity, chọn tiếp
mục Advanced. Tại cửa sổ Advanced ta chọn tab Owner, ở mục name chọn Administrator
và đánh dấu tích vào dòng chữ ở dưới là Replace owner on subcontainers and objects.
Sau đó ấn Apply, một cửa sổ hiện ra thông báo là chúng ta không có quyền xem,
nếu chúng ta muốn Replace quyền chọn Yes và thư mục đó chúng ta có quyền Full
control và người User sở hữu thư mục đó sẽ bị mất quyền. Chúng ta chọn Yes
Khi Admin đã cướp quyền của User thì mặc nhiên User sẽ không vào thư mục đó
của mình được nữa, muốn vào được thư mục đó thì cần phải có việc Admin trả lại quyền
Để người dùng có thể sử dụng Roaming Profile và lưu dữ vào thư mục đó thì
Admin cần phải cấp lại quyền cho thư mục đó. Trên server chuột phải vào thư mục đó
chọn Properties, chọn tab Sercurity và chọn tab Advanced. Tại cửa sổ Advanced đanh dấu
tích vào mục chọn Replace permission entries on all child objects with entries shown
here that apply to child objects rồi ấn Apply, một thông báo hiện ra cho biết chúng ta có
muốn bỏ quyền truy cập trên thư mục này đi không, chúng ta ấn chọn Yes.
Vẫn tại cửa sổ này tại tab Owner chúng ta Add User đó vào và chọn mục Replace
Owner on subcontainer and objects, sau đó ấn Apply.
Ấn Ok để trở về cửa sổ Properties, tại cửa sổ này chúng ta Remove tài khoản
Administrator đi và Add vào tài khoản của User và cho quyền là Full control, sau đó OK.
Như vậy chúng ta đã trả lại quyền truy cập vào Profile và Home folder cho User. Lúc này
User đăng nhập trên máy client sẽ chỉnh sửa và lưu trữ được thông tin trong Profile của
mình và mọi User kể cả Administrator cũng không thể truy cập vào được nữa.
3.0 Disk Quota
3.1 Giới thiệu về Disk Quota
Disk Quota – hạn nghạch đĩa, là một công cụ rất mạnh để điều khiển không gian
đĩa trống. Người quản trị có thể điều khiển dung lượng đĩa trống phù hợp cho từng User
được sử dụng trên Server. Disk quota được cài đặt trên định dạng NTFS.
3.2 Thiết đặt Disk quota cho các Home folder và User profile
Để tránh sự lãng phí không cần thiết của đĩa cứng trên Server khi mà các User lưu
trữ dữ liệu trên Home folder, chúng ta cần thiết đặt hạn nghạch đĩa cho từng User. Tuỳ
theo từng nhu cầu công việc của từng User mà chúng ta thiết đặt disk quota cho hợp lý.
Do Home folder và Profile của User được đặt chung một thư mục nên chúng ta chỉ cần
thiết đặt disk quota một lần cho hai mục này. Để thiết đặt Disk quota ta chọn phân vùng
chứa thư mục chia sẻ có chứa Home folder và Profile trên Server, chuột phải chọn
Tiếp theo click vào Quota Entries… tại cửa sổ này sẽ chứa danh sách các User bị
giới hạn hay không bị giới hạn Disk Quota. Mặc định thì các tài khoản Administrator và
các tài khoản có quyền như Administrator đều không bị giới hạn disk quota. Do đó chúng
ta không thể gán disk quota cho nhóm này mà chỉ có thể gán disk quota cho User thường
mà thôi. Để giới hạn disk quota một User nào đó ta chọn menu Quota rồi chọn New
quota entry. Tại hộp đánh tên ta đánh tên User muốn giới hạn disk quota vào và ấn OK.
Tiếp theo hiện ra một bảng lựa chọn, chúng ta chọn Limit disk space to và cho vào giá
trị muốn giới hạn cho User. Mục set warning level to cho vào giá trị mà chúng ta muốn
cảnh báo người dùng là sắp hết disk quota.
Sau đó ấn OK và đóng cửa sổ Quota entries lại, tại cửa sổ Quota ấn OK, chúng ta
đã hoàn thành việc đặt Disk Quota cho các User. Lúc này các User đã bị giới hạn dung
lượng ổ đĩa trên Server, tại máy trạm logon vào với một User ta sẽ thấy rõ điều này.
Thiết lập chính sách nhóm GPO được phân thành: Computer Configuration và
User Configuration.
4.1 Computer Configuration - Cấu hình máy tính
Loại này bao gồm các thiết lập chính sách nhóm quy định môi trường desktop tuỳ
ý hoặc bắt tuân theo các chính sách bảo mật trên các máy tính. Đây là các thiết lập đã
được áp dụng khi khởi tạo hệ điều hành. Các thiết lập cấu hình máy tính bao gồm tất cả
các liên kết chính sách được chỉ rõ dưới đây:
¾ Software Setting
o Software Installation
¾ Windows settings
o Scripts(Startup/Shutdown)
o Security Settings
Account Policies
Local Policy
Event log
Restricted Groups
System Services
Registry
File system
¾ Administrative Templates
o Windows Components
o System
o Network
o Printer
¾ Software Settings
o Software Installation
¾ Windows Settings
o Remote Installation Services
o Scripts(logon/logoff)
o Security Setting
o Folder Redirection
o Internet Explorer maintenance
¾ Administrative Templates
o Windows Components
o Start Menu and takbar
o Desktop
o Control panel
o Thời gian thay đổi mật khẩu là 30 ngày: Cũng với đường dẫn như trên,
ở cửa sổ bên phải chọn dòng chư: Maximum password age, click đúp và
cho giá trị là 30.
o Người dùng đăng nhập sai 3 lần sẽ bị khoá account: chọn đến
Computer Configuration\ Windows setting\ Sercurity Setting\ Account
o Không được cài đặt phần mềm: Tìm đến đường dẫn Computer
Configuration\ Administrative Templates\ Windows Components\
Windows Installer, ở cửa sổ bên phải chọn dòng đầu tiên là: Disable
windows installer, click đúp và chọn enable.
o Không được truy cập vào Registry editor: Tìm đến đường dẫn User
Configuration\ Administrative Templates\ Windows Components\
System, ở cửa sổ bên phải chọn dòng chữ: Prevent access to registry
editing tools, click đúp và chọn enable.
o Không truy cập Control Panel trên máy client: Tìm đến đường dẫn
User configuration\ Administrative templates\ Control panel, ở cửa sổ
bên phải tìm đến dòng chữ: Prohibit access to the Control Panel, click
đúp và chọn enable.
o Ẩn cửa sổ Run trên client: Tìm đến đường dẫn User configuration\
Administrative templates\ Start menu and Taskbar, ở cửa sổ bên phải
tìm đến dòng chữ: Remove Run menu from start menu, click đúp và
chọn enable.
o Không cho phép thay đổi các thuộc tính của LAN: Tìm đến đường
dẫn User Configuration\ Administrative templates\ Network\ Network
Connections, ở cửa sổ bên phải tìm đến dòng chữ: Prohibit access to
properties of LAN connection, click đúp và chọn enable.
o Không cho Auto play tất cả các ổ đĩa: Tìm đến đường dẫn Computer
Configuration\ Administrative templates\ System, ở cửa sổ bên phải
chọn dòng chữ: Turn off Autoplay, click đúp chọn enable và chọn All
driver.
Sau khi thiết lập các chính sách nhóm cho các OU xong, để việc thay đổi có hiệu
lực thì chúng ta phải khởi động lại máy chủ, nhưng chúng ta cũng có thể không cần khởi
động lại máy chủ, tại cửa sổ run ta đánh lệnh gpupdate /force, lệnh này sẽ làm tươi lại
Group Policy và cập nhật các thiết đặt mới mà chúng ta vừa thiết đặt trong Group Policy.
Tiếp theo một cửa sổ mở ra cho chúng ta chọn đến thư mục chứa phần mềm cần
triển khai. Nếu phần mềm ở dạng *.msi thì chúng ta chỉ cần chọn đến thư mục và chọn
file setup trong đó. Nếu không phải *.msi thì chúng ta chuyển sang dạng *.zap rồi chọn
đường dẫn tới file *.zap tại đây. Tiếp theo một cửa sổ Deploy software mở ra cho phép
chúng ta chọn chế độ hiển thị của phần mềm trên máy client. Ở đây có 3 dạng hiển thị là
Public, Assign và Advanced, do yêu cầu chúng ta chọn Public để mọi người trong OU
đều có thể cài phần mềm trong Add New Program.
Sau khi click Ok phần mềm sẽ được hiển thị trong cửa sổ bên phải của mục
Software Installation
Như vậy chúng ta đã triển khai xong gói phần mềm Office 2003 trên Server. Trên
client người dùng muốn cài đặt phần mềm thì vào Control Panel\Add or Remove
Program\Add New Program, click vào nút Add để cài đặt phần mềm.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 100
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 101
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
quyền giống nhau có thể áp dụng cho tất cả những sử dụng trên máy tính cục bộ cũng như
người sử dụng truy xuất vào mạng.
2. Các Quyền Của NTFS
NTFS có thể thiết lập quyền để chấp nhận (allowing) hay từ chối (denying) về
truy xuất cho người sử dụng hay cho nhóm người sử dụng. Quyền được cung cấp để đảm
bảo việc bảo mật những tài nguyên. Người quản trị mạng và người sử dụng có thể định rõ
những kiểu truy xuất mà người sử dụng hoặc nhóm sử dụng có thể trên những file cụ thể.
Quyền NTFS được cấp trên hai đối tượng chính là Folder và File.
¾ Quyền trên Folder NTFS: quyền Folder được gán quyền truy cập đến các file và
folder chứa trong nó. Những quyền chuẩn của NTFS đối với folder như sau:
o Read - Đọc: Sẽ cho người sử dụng thấy các file và các subfolder. Các thuộc
tính folder, người sở hữu và quyền cũng có thể được nhìn thấy
o Write – Ghi: Sẽ quyền người sử dụng tạo mới các file và các subfolder.
Các thuộc tính có thể được thay đổi và những quyền sở hữu và quyền trên
folder cũng có thể được nhìn thấy.
o List Folder contens - Hiển thị nội dung folder: Sẽ cho phép người sử dụng
thấy các subfolder và các tên file ở trong folder.
o Read & Execute - Đọc và thực hiện: Sẽ cho phép người duyệt qua folder.
Nó cũng hỗ trợ quyền read và list folder contens.
o Modify - Sửa đổi: Sẽ cho phép người sử dụng xoá folder và cũng hỗ trợ
quyền Write, read và Execute.
o Full Control – Toàn quyền điều khiển: Sẽ cho phép người sử dụng thay đổi
các quyền, quyền sở hữu, xoá file và subfolder và sẽ hộ trợ tất cả những
quyền của folder NTFS.
Khi định dạng partition với hệ thống file NTFS, Windows 2003 mặc định là quyền
Full control đến nhóm Everyone. Vì thế để hạn chế việc truy xuất Administrator phải chủ
động thay đổi quyền này.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 102
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
¾ Quyền trên File NTFS: Những quyền chuẩn trên các file NTFS được thể hiện như
sau:
o Read - Đọc: Sẽ cho phép người sử dụng thấy các file, đọc nội dung các file.
Các thuộc tính file, quyền sở hữu chúng và những quyền cũng có thể được
nhìn thấy.
o Write – Ghi: Sẽ cho phép người sử dụng ghi đè những file. Những thuộc
tính file có thể được thay đổi và quyền sở hữu file và những quyền có thể
được nhìn thấy.
o Read & Execute: Sẽ cho phép người sử dụng duyệt qua file. Nó cũng hỗ
trợ quyền read và hiển thị nội dung file.
o Modify - Sửa, thay đổi: Sẽ cho phép người sử dụng xoá file và cũng hỗ trợ
cho phép write, read, execute.
o Full control – toàn quyền điều khiển: Sẽ cho phép người sử dụng thay đổi
những quyền, giữ quyền sở hữu, và sẽ hỗ trợ tất cả những quyền file NTFS.
2.1 Ứng dụng của NTFS permission
Khi những quyền truy cập được cung cấp cho các User và Group trên một folder,
User hay group cũng có thể truy cấp đến những file và subfolder bên trong nó. Quyền
mang tính thừa kế. Có thể có nhiều quyền được gán cho một người sử dụng. NTFS có
những nguyên tắc và những độ ưu tiên riêng đối với những đa quyền này.
2.2 Quyền bội NTFS
Những quyền bội có thể được cung cấp đến nhiều người sử dụng cho một quyền
đến tài khoản riêng của người sử dụng và một quyền khác đến nhóm sử dụng, mà người
sử dụng thuộc nhóm đó. Những quyền có hiệu lực của người sử dụng trong trường hợp
này sẽ là kết hợp cả hai quyền đã được cung cấp cho người sử dụng. Một ví dụ chẳng hạn
trong trường hợp này là người sử dụng có quyền đọc đến folder và thuộc quyền sở hữu
của một nhóm, và có quyền ghi đến folder như vậy, sau đó người sử dụng sẽ có cả quyền
đọc và ghi đến folder như vậy. Những quyền về file NTFS sẽ luôn có quyền ưu tiên cao
nhất trên cả những quyền của folder NTFS. Trong trường hợp này người sử dụng có thể
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 103
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
cho phép thay đổi đối với file và cho phép đọc đối với folder chứa file, người sử dụng có
thể tạo ra những thay đổi trên file.
Đặc biệt file hoặc folder có thể từ chối truy xuất bởi việc cấp quyền deny đến tài
khoản nhóm hoặc tài khoản người sử dụng. Quyền deny sẽ khoá tất cả trên file cũng như
trong group. Do đó, quyền deny nên áp dụng một cách cẩn thận. Windows 2003 phân biệt
giữa người sử dụng không có quyền truy xuất và không cho phép truy xuất đối với người
sử dụng. Người quản trị có thể chọn một cách dễ dàng không cho phép người sử dụng
truy xuất đến file hoặc folder.
2.3 Sự kế thừa trong NTFS permission.
Việc gán quyền đến các folder là được kế thừa và truyền đến các file và subfolder
bên trong nó. Chúng ta có thể ngăn cản tính kế thừa này nếu điều đó là cần thiết cho
những quyền khác nhau đã tạo cho những file nằm bên trong một folder. Để kết thúc các
tính kế thừa này, huỷ bỏ quyền kế thừa và chỉ giữ lại những quyền rõ ràng đã được gán.
2.4 Sao chép và di chuyển file và folder
Khi chúng ta di chuyển hay sao chép các file hoặc các folder thì quyền có thể
thay đổi phụ thuộc vào việc các file hoặc các folder được di chuyển và được sao chép đến
đâu. Do đó, nó trở nên quan trọng để hiểu về sự thay đổi những quyền khi các file hoặc
các folder được di chuyển hay sao chép.
Sự thay đổi quyền trong việc sao chép hoặc di chuyển File hay Folder:
¾ Khi một file hay folder được sao chép hoặc di chuyển trong phạm vi của
partition NTFS, file hoặc folder sẽ giữ lại những quyền đó.
¾ Khi một file hoặc folder được sao chép hoặc di chuyển giữa nhiều partition
NTFS, file hoặc folder sẽ thừa hưởng những quyền cho phép của folder đích.
¾ Khi các file hoặc các folder được sao chép hoặc di chuyển đến những volume
FAT16 hoặc FAT32 thì tất cả những quyền cho phép của NFTS sẽ bị mất,
những volume FAT16 và FAT32 không hỗ trợ cho quyền của NTFS.
Quyền modify được yêu cầu đối với việc di chuyển file hoặc folder bởi vì
Windows 2003 sẽ xoá file hoặc folder từ nguồn và sao chép nó sang đích.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 104
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
2.5 Gán quyền ở NTFS
Chúng ta có thể gán quyền NTFS từ hộp thoại properties, hộp sẽ xuất hiện khi
chúng ta nhấp chuột phải đến file hoặc folder chúng ta có thể thay đổi những quyền đối
với người sử dụng hoặc nhóm bằng cách chọn người sử dụng hoặc nhóm đó.
Nhấp chuột phải vào file hoặc folder và chọn properties. Trong cửa sổ properties
chọn tab Security mục này có các thành phần như sau:
¾ User and Group Name: Nó cho phép chúng ta chọn tài khoản của người sử
dụng hoặc nhóm mà chúng muốn thay đổi những quyền.
¾ Permission:
o Nó sẽ chấp nhận cho phép khi hộp thoại allow đã được chọn.
o Nó sẽ không cho phép khi hộp thoại deny đã được chọn
¾ Add: Nó sẽ mở hộp thoại Select User, Computer hoặc Group được trình
bày ở trên, cái mà được sử dụng để add tài khoản người sử dụng hoặc nhóm
vào danh sách name.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 105
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
¾ Remove: Nó sẽ xoá nhóm hoặc tài khoản người sử dụng theo cùng với
những quyền đối với nhóm hoặc tài khoản người sử dụng.
¾ Advanced: Các thiết lập quyền nâng cao như bỏ thừa kế, thêm quyền, bớt
quyền thẩm định quyền và cướp quyền.
2.6 Thiết lập quyền thừa kế
Tính kế thừa sẽ giúp đơn giản hoá việc gán quyền đến tài nguyên mạng. Có khi
quyền thừa kế này là không mong muốn. Sự kế thừa là có hiệu lực khi mục Allow
inheritable permission from parent to propagate to this object đã được chọn. Mục này đã
có sẵn trong mục Advanced của tab Sercury trên cửa sổ properties của file hoặc folder.
Khi gán quyền cho một folder hay file, để một thư mục được thừa kế quyền từ thư mục
trước thì chúng ta chọn tích vào mục Allow trên, muốn bỏ quyền thừa kế thì bỏ chọn mục
Allow trên.
2.7 Những quyền truy xuất đặc biệt trong NTFS
Trong một số trường hợp chúng ta có thể cần đến một số quyền truy xuất đặc biêt,
mà điều đó không thể có đối với quyền chuẩn của NTFS. Vì thế, chúng ta được cung cấp
bởi mục NTFS special access permission. Những quyền truy xuất đặc biệt này sẽ cung
cấp cho chúng ta với mức độ cao nhất trong điều khiển khi truy xuất đến những nguồn tài
nguyên. Khi chúng ta kết hợp 13 quyền truy xuất đặc biệt thì chúng ta sẽ có những quyền
cho phép chuẩn. Hai quyền cho phép đặc biệt trong quyền quản lý truy xuất file hoặc
folder đã được sử dụng là: Change permission và Take Ownership.
¾ Change Permission: Chúng ta có thể được gán cho những người quản trị và
người sử dụng khác để họ có thể thay đổi những quyền một cách thuận lợi trên
những file hoặc folder. Người quản trị hoặc người sử dụng được gán quyền này
chỉ có thể được cấp những quyền nhưng không thể xoá hoặc ghi lên file hoặc
folder.
¾ Take Ownership: Việc chuyển quyền sở hữu của những folder hoặc file từ một
nhóm đến một nhóm khác là có thể. Trong cùng thời gian đó chúng ta có thể
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 106
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
cho một ai đó được quyền này. Nếu chúng ta là một người quản trị thì chúng ta
cũng có thể được quyền sở hữu đối với những file hoặc folder.
Có một số nguyên tắc, mà chúng ta phải theo trong khi được gán quyền Ownership
đến file hoặc folder:
9 Người chủ hiện tại hoặc ngươi sử dụng có quyền Full Control có thể cung
cấp Full control hoặc Take Ownership đến nhóm hoặc người sử dụng khác.
9 Quyền sở hữu của một file hoặc folder có thể được thực hiện bởi một thành
viên của nhóm quản trị. Những quyền đã được cung cấp đến thành viên của
nhóm quản trị, một người quản trị thực hiện trên những quyền sở hữu. Do
đó người quản trị có thể thay đổi một số quyền của file hoặc folder và cũng
có thể cấp quyền Take Ownership đến nhóm hoặc người sử dụng khác.
Để cung cấp những quyền sở hữu đặc biệt, chúng ta làm theo các bước dưới đây:
9 Nhấn nút Advanced và từ tab sercurity trong hộp thoại properties.
9 Từ trang Access control setting for program files nhấp chọn tab permission
9 Để áp dụng những quyền sở hữu đặc biệt của NTFS chúng ta chọn nhóm
hoặc tài khoản người sử dụng và nhấp chọn nút View/Edit.
Những thiết lập của chúng ta trong hộp thoại Permission entry được thể hiện dưới
đây:
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 107
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Name: Mục này xác định tên nhóm hoặc tài khoản người sử dụng.
Chúng ta có thể chọn những nhóm khác nhau hoặc tài khoản người
sử dụng bằng cách nhấp vào mục change
Apply onto: Nó sẽ xác định cấp bậc của folder và xác định cấp bậc
quyền trong NTFS.
Permission: Nó cung cấp những quyền truy xuất đặc biệt. Chọn mục
allow để cung cấp quyền change hoặc take ownership.
Apply these permission to objects and/ or containers within this
container only: Nó sẽ xác định nếu những file và subfolder nằm
trong folder cha nó sẽ thừa kế những quyền truy xuất đặc biệt. Để
ngăn cản quyền thừa kế ta xoá hộp thoại đã chọn ở trên.
3. Sự an toàn trên các hệ thống File chia sẻ.
Để truy xuất những file hoặc folder trên mạng chúng ta phải sử dụng share folder.
NTFS cung cấp việc hỗ trợ để share folder và cũng hạn chế những người sử dụng và
nhóm, đó là những người có thể truy xuất file hoặc folder. Tính năng này không được hỗ
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 108
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
trợ bởi partition Fat16 hoặc Fat32. FAT đã định dạng những volume không thể sử dụng
những quyền có trong NTFS.
3.1 Quyền cho phép đối với share folder.
Việc share folder có thể được truy xuất bởi những ngưởi sử dụng trên mạng đã
được cung cấp cho người sử dụng có những quyền để làm được điều như vậy. Folder có
thể chứa nhiều ứng dụng, dữ liệu cá nhân, hoặc một loại dữ liệu nào đó. Vì thế có nhiều
loại dữ liệu khác nhau yêu cầu những loại quyền khác nhau. Ở đây có một số tính năng
chung mà chúng có thể áp dụng chung cho share folder.
¾ Share folder cung cấp việc bảo mật thấp hơn những quyền của NTFS như share
folder được ứng dụng những quyền đến toàn bộ folder và không áp dụng cho
những file hoặc subfolder riêng lẻ trong folder đó.
¾ Những quyền của share folder không áp dụng cho người sử dụng truy xuất đến
file từ máy tính nơi file đó được lưu trữ.
¾ Full control là quyền mặc định, nó được gán cho nhóm Everyone.
Những quyền khác nhau được gán cho người sử dụng trong việc share folder:
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 109
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
¾ Read: Quyền này cho phép người sử dụng xem những thuộc tính, dữ liệu file,
tên file và tên folder. Nó cũng cho phép người sử dụng thay đổi những folder
nằm trong folder đã share.
¾ Change: Quyền này cấp cho người sử dụng để tạo những folder, bổ xung
những file vào những folder, bổ xung hoặc thay đổi dữ liệu trong file. Nó cũng
cung cấp việc thay đổi những thuộc tính file, xoá file hoặc folder và thực hiện
tất cả những hành động cho phép bởi quyền read.
¾ Full control: Quyền này cung cấp cho người sử dụng để thay đổi những quyền
của file, cung cấp tất cả quyền sở hữu về file và thực hiện tất cả những hành
động đã được hỗ trợ bởi quyền change. Nhóm everyone được gán quyền này.
3.2 Ứng dụng những quyền share folder
Chúng ta hãy nhìn một số loại quyền khác nhau, đó là điều mà có thể ứng dụng
cho share folder. Những loại quyền khác nhau như Multiple permission, Deny Other
permission, NTFS Permission và Moving and Copying share folder.
¾ Mutiple permission: Một User có thể là thành viên của nhiều group khác
nhau, trong mỗi group có thể có nhiều user, các group có thể có các cấp độ truy
cập đến các folder được share khác nhau. Trong một vài trường hợp ở đó người
sử dụng cho quyền change và họ cũng là thành viên của nhóm có quyền Full
Control, như vậy họ sẽ có Full Control vì trong đó có bao gồm cả quyền
change.
¾ Deny Other Permission: Quyền này sẽ làm mất hết tất cả những quyền cho
phép đã gán cho người sử dụng đối với tài khoản User và Group.
¾ NTFS Permission: Những người sử dụng trên những partition NTFS hoặc là
được sử dụng quyền share hoặc là được sử dụng quyền của NTFS nhưng chúng
không thể sử dụng cả hai trong cùng một khoảng thời gian. Việc sử dụng quyền
của NTFS là điều nên làm vì nó sẽ cung cấp những quyền tốt cho cả folder và
file.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 110
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
¾ Moving and copying folder: Một folder được share được copy là không được
chia sẻ những folder chia sẻ gốc sẽ được dữ lại như đã chia sẻ.
Chúng ta có thể theo các nguyên tắc dưới đây khi share folder và gán quyền:
9 Nên lập kế hoặch cho việc phần quyền sử dụng tài nguyên trên mạng
cho từ User, group trước khi thực hiện việc này.
9 Không nên gán quyền cho từng người sử dụng riêng lẻ mà nên gán cho
các nhóm mà người sử dụng là thành viên.
9 Việc gán quyền sử dụng tài nguyên phải là giới hạn nhất, điều này cung
cấp cho người sử dụng môt cấp độ sử dụng tài nguyên hợp lý nhất.
3.3 Thực hiện Share các Folder
Một tài nguyên được chia sẻ bởi sự share folder chứa trong tài nguyên. Đây là
điều chỉ có thể xảy ra khi người sử dụng là một thành viên thuộc nhóm được đặc quyền và
có những quyền thực sự. Người sử dụng sở hữu folder có quyền điều khiển truy cập và
hạn chế hoặc cho phép những người sử dụng khác nhau trong việc truy xuất các folder.
Sau khi chia sẻ các folder chúng ta có thể sửa đổi nó hoặc dừng chia sẻ nó, thay đổi tên
chia sẻ hoặc thay đổi các quyền cho phép của người sử dụng và nhóm người sử dụng.
Trong windows 2003 chúng ta có thể chia sẻ với các nhóm Administrator, Server
Operators và Power User. Trong trường hợp domain của Windows 2003, Administrator
và thành viên của nhóm Server Operrators có thể chia sẻ bất kì một folder nào trong
domain. Nhóm Power User là nhóm cục bộ, do đó không thể chia sẻ các file hoặc các
folder trong domain và là cơ sở trên các Server độc lập hoặc thuộc về nhóm Windows XP.
Trong trường hợp windows 2003 Workgroup chúng ta có thể chia sẻ các folder với
Administrator và nhóm Power User.
Trong trường hợp các folder được share là được share bởi Administrator thì có
một dấu $ được thêm vào trước tên share của folder, gọi là share ẩn. Điều này sẽ ẩn tính
share của folder được share đối với các người sử dụng trong quá trình truy xuất đến máy
tính. Khi chúng ta có C$ nó có nghĩa là đã cung cấp đầy đủ trong việc truy xuất volume
C:\ và chúng ta có thể thực hiện nhiệm vụ quản trị trên nó. Nếu chúng ta có Admin$ thì
chỉ có những thành viên thuộc nhóm Administrator mới có thể truy xuất đến các folder
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 111 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
được share đó. Nếu chúng ta có Print$ thì nó sẽ cung cấp các client với việc truy xuất đến
các thiết bị máy in và tất cả các group chỉ có quyền read. Trong Windows Server 2003 với
định dạng là NTFS thì mặc định các phân vùng được share ẩn, nghĩa là đằng sau mỗi một
phần vùng share đều có dấu $. Riêng đối với share Admin$ thì được áp dụng cho phần
vùng chứa hệ điều hành. Đối với kiểu share này thì người dùng mạng muốn truy cập từ xa
vào các tài nguyên được share ẩn thì chỉ việc thêm kí tự $ vào sau thư mục muốn truy
cập. Ví dụ một máy tính muốn truy cập đến ổ D của Máy 5 trong mạng có địa chỉ Ip là
10.0.0.5 thì ta đánh lệnh ở ô địa chỉ như sau: \\10.0.0.5\D$. Sau khi ấn Enter hệ thống yêu
cầu nhập username và password hợp lệ mới có thể truy cập được. Để biết được các tài
nguyên đang share và kiểu share của các tài nguyên trong máy ta vào Computer
Management và chọn đến mục Shares. Trong cửa sổ bên phải sẽ hiển thị toàn bộ những
tài nguyên và trạng thái đã share trên hệ thống.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 112 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Windows 2000. IIS 6.0 cung cấp một số đặc điểm mới giúp tăng tính năng tin cậy,
tính năng quản lý, tính năng bảo mật, tính năng mở rộng và tương thích với hệ
thống mới.
1.1. Nâng cao tính năng bảo mật.
¾ IIS 6.0 không được cài đặt mặc định trên Windows 2003, người quản trị
phải cài đặt IIS và các dịch vụ liên quan tới IIS.
¾ IIS 6.0 được cài trong secure mode do đó mặc định ban đầu khi cài đặt
xong IIS chỉ cung cấp một số tính năng cơ bản nhất, các tính năng khác
như Active Server Pages (ASP), ASP.NET, WebDAV publishing,
FrontPage Server Extensions người quản trị phải kích hoạt khi cần thiết.
1.2 Hỗ trợ nhiều tính năng chứng thực:
¾ Anonymous authentication: cho phép mọi người có thể truy xuất mà
không cần yêu cầu username và password.
¾ Basic authentication: Yêu cầu người dùng khi truy xuất tài nguyên phải
cung cấp username và mật khẩu thông tin này được Client cung cấp và gởi
đến Server khi Client truy xuất tài nguyên. Username và password không
được mã hóa khi qua mạng.
¾ Digest authentication: Hoạt động giống như phương thức Basic
authentication, nhưng username và mật khẩu trước khi gởi đến Server thì
nó phải được mã hóa và sau đó Client gởi thông tin này dưới một giá trị
của băm (hash value). Digest authentication chỉ sử dụng trên Windows
domain controller.
¾ Advanced Digest authentication: Phương thức này giống như Digest
authentication nhưng tính năng bảo mật cao hơn. Advanced Digest dùng
MD5 hash thông tin nhận diện cho mỗi Client và lưu trữ trong Windows
Server 2003 domain controller.
¾ Integrated Windows authentication: Phương thức này sử dụng kỹ thuật
băm để xác nhận thông tin của users mà không cần phải yêu cầu gởi mật
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 113 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
khẩu qua mạng.
¾ Certificates: Sử dụng thẻ chứng thực điện tử để thiết lập kết nối Secure
Sockets Layer (SSL).
¾ .NET Passport Authentication: là một dịch vụ chứng thực người dùng cho
phép người dùng tạo sign-in name và password để người dùng có thể truy
xuất vào các dịch vụ và ứng dụng Web trên nền .NET.
IIS sử dụng Account (network service) có quyền ưu tiên thấp để tăng tính
năng bảo mật cho hệ thống. Nhận dạng các phần mở rộng của file qua đó IIS chỉ
chấp nhận một số định dạng mở rộng của một số tập tin, người quản trị phải chỉ định
cho IIS các định dạng mới khi cần thiết.
1.3 Hỗ trợ ứng dụng và các công cụ quản trị.
IIS 6.0 có hỗ trợ nhiều ứng dụng mới như Application Pool, ASP.NET.
¾ Application Pool: là một nhóm các ứng dụng cùng chia sẻ một worker
process (W3wp.exe).
¾ Worker process (W3wp.exe) cho mỗi pool được phân cách với worker
process trong pool khác.
¾ Một ứng dụng nào đó trong một pool bị lỗi (fail) thì nó không ảnh hưởng
tới ứng dụng đang chạy trong pool khác.
¾ Thông qua Application Pool giúp ta có thể hiệu chỉnh cơ chế tái sử dụng
vùng nhớ ảo, tái sử dụng worker process, hiệu chỉnh performance (về
request queue, CPU), health, Identity cho application pool.
¾ ASP.NET: là một Web Application platform cung cấp các dịch vụ cần
thiết để xây dựng và phân phối ứng dụng Web và dịch vụ XML Web.
IIS 6.0 cung cấp một số công cụ cần thiết để hỗ trợ và quản lý Web như:
¾ IIS Manager: Hỗ trợ quản lý và cấu hình IIS 6.0
¾ Remote Administration (HTML) Tool: Cho phép người quản trị sử dụng
Web Browser để quản trị Web từ xa.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 114 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
¾ Command–line administration scipts: Cung cấp các Scipts hỗ trợ cho
công tác quản trị Web, các tập tin này lưu trữ trong thư mục
%systemroot%\System32.
2. Cài đặt và cấu hình IIS 6.0.
2.1 Cài đặt IIS 6.0
IIS 6.0 không được cài đặt mặc định trong Windows 2003 server, để cài đặt
IIS 6.0 ta thực hiện các bước như sau:
Chọn Start | Programs | Administrative Tools | Manage Your Server.
Chọn Application server (IIS, ASP.NET) trong hộp thoại server role, sau đó
chọn Next.
Chọn hai mục cài đặt FrontPage Server Extentions và Enable ASP.NET, sau
đó chọn Next. Chọn next trong hộp thoại tiếp theo
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 115 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Sau đó hệ thống yêu cầu cho đĩa Windows 2003 vào và chọn đến thư mục I386
trong đĩa và click OK.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 116 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Sau đó click Ok 3 lần và click Next cho hệ thống cài đặt IIS. Cho đĩa Windows
2003 và tìm đến thư mục I386 khi hệ thống yêu cầu. Click Finish để hoàn tất quá trình
cài đặt IIS.
2.2 Cấu hình IIS 6.0
Sau khi ta cài đặt hoàn tất, ta chọn Administrative Tools | Information Service
(IIS) Manager, sau đó chọn tên Server (local computer). Trong hộp thoại IIS Manager
có xuất hiện 3 thư mục:
- Application Pools: Chứa các ứng dụng sử dụng worker process xử lý các
yêu cầu của HTTP request.
- Web Sites: Chứa danh sách các Web Site đã được tạo trên IIS.
- Web Service Extensions: Chứa danh sách các Web Services để cho phép
hay không cho phép.
- FTP sites: Giao thức truyền file
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 117 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Trong thư mục Web Sites ta có ba Web Site thành viên bao gồm:
- Default Web Site: Web Site mặc định được hệ thống tạo sẳn.
- Microsoft SharePoint Administration: Đây là Web Site được tạo
cho FrontPage Server Extensions 2002 Server Administration
- Administration: Web Site hỗ trợ một số thao tác quản trị hệ thống qua web.
3.0 Web Server
Khi ta cấu hình Web Site thì ta không nên sử dụng Default Web Site để tổ chức
mà chỉ dựa Web Site này để tham khảo một số thuộc tính cần thiết do hệ thống cung
cấp để cấu hình Web Site mới của mình
3.1 Một số thuộc tính cơ bản.
Trước khi cấu hình Web Site mới trên Web Server ta cần tham khảo một số
thông tin cấu hình do hệ thống gán sẳn cho Default Web Site. Để tham khảo thông
tin cấu hình này ta nhấp chuột phải vào Default Web Site chọn Properties.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 118 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
¾ Tab Web Site: mô tả một số thông tin chung về dịch vụ Web như:
- TCP port: chỉ định cổng hoạt động cho dịch vụ Web, mặc định giá trị này là 80.
- SSL Port: Chỉ định port cho https, mặc định https hoạt động trên port 443.
https cung cấp một số tính năng bảo mật cho ứng dụng Web cao hơn http.
- Connection timeout : Chỉ định thời gian duy trì một http session.
- Cho phép sử dụng HTTP Keep-Alives.(Enable HTTP Keep-Alives)
- Cho phép ghi nhận nhật ký (Enable logging)
¾ Performance Tab: cho phép đặt giới hạn băng thông, giới hạn connection cho
Web site.
¾ Home Directory Tab: Cho phép ta thay đổi Home Directory cho Web Site,
giới hạn quyền truy xuất, đặt một số quyền hạn thực thi script cho ứng dụng
Web (như ta đặt các thông số: Application name, Execute permission,
Application pool). Đường dẫn mặc định của web server là C:\intpub\
wwwroot
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 119 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
¾ Documents Tab: Để thêm hoặc thay đổi trang Web mặc định cho Web Site
¾ Directory Security Tab: Đặt một số phương thức bảo mật cho IIS như: chứng
thực và truy cập từ xa, chặn hay không chặn những địa chỉ IP, máy hoặc domain
truy cập vào website và mã hoá việc chứng thực trên server và client.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 120
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Ví dụ Tạo một trang web có tên là www.hoangthuy.com ta làm như sau:
Trước hết tạo tên miền là hoangthuy.com. Vào DNS chuột phải vào Forword
lookup zone chọn New zone, next hai lần sau đó đánh tên domain vào mục zone name,
ấn next và ấn finish.
Sau khi tạo xong tên miền đưa con trỏ tới tên miền vừa tạo, tại cửa sổ bên phải
chuột phải chọn New Host(A), sau đó đánh tên máy chủ và địa chỉ IP dành cho web
server (nếu máy có hơn một card mạng) của máy chủ rồi ấn Add host
Tiếp theo cũng tại của sổ này tạo một Alias(CNAME) mới, cái này dùng để
phần biệt các tên miền với nhau trong khi tạo web server. Chuột phải vào vùng trắng
chọn New Alias, tại mục name đánh www, mục tên miền đầy đủ (FQDN) đánh địa chỉ
đầy đủ của máy chủ và domain nghĩa là : CMS-Server.CMS-Computer.com, sau đó ấn
OK.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 121 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Như vậy ta đã tạo xong tên miền hoangthuy.com, để biết tên miền hoạt động
hay không ta ping tên miền đó, nếu tên miền reply nghĩa là tên miền đã hoạt động đúng
còn ngược lại là tên miền chưa hoạt động đúng và chúng ta phải tạo lại.
Tiếp theo chúng ta kết hợp tên miền vừa được tạo ra từ DNS với IIS để được
web server. Mở của sổ Internet Information Service Manager, chuột phải vào web
site chọn new web site. Next, tại mục Description đánh vào mô tả web site. Next đến
mục thiết đặt địa chỉ IP, Port và host header cho website. Mục IP để tất cả các card
mạng đều được truy cập đến website, mục port để mặc định là 80, mục host header
đánh tên miền đã tạo trong DNS vào đây, ấn Next
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 122 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp đến mục Home Directory ấn nút Browse chọn đến thư mục chứa Web site
trên server rồi ấn Next.
Tiếp theo đến mục Access Permission, để website được bảo mật và an toàn khi
hoạt động thì chúng ta chỉ lựa chọn quyền read. Không nên cho quyền Run scrips và
các quyền khác vì như thế web site rất dễ bị tấn công bằng nhiều cách.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 123 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Như vậy Web server đã hoạt động, mọi người dùng trong mạng chỉ cần mở
trình duyệt lên và gõ vào ô địa chỉ website muốn truy cập www.hoangthuy.com là sẽ
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 124 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
vào được website. Đó là cách tạo một web server, để tạo các trang web tiếp theo chúng
ta làm tương tự từ việc tạo tên miền ở DNS và kết hợp với IIS để tạo ra các trang web
khác nhau cùng hoạt động trên một máy.
4.0 FTP Server– File Transfer Protocol Server
4.1 Giới thiệu về FTP
File Transfer Protocol là một phương pháp truyền file từ hệ thống mạng máy
tính này đến hệ thống mạng máy tính khác giống như ta ngồi trên mạng LAN.
4.2 Các thuộc tính của FTP sites
Mở cửa sổ IIS Manager lên ta thấy FTP sites, mặc định khi cài FTP thì có một
Defaull FTP site hoạt động. Chuột phải vào Defaull FTP sites chọn properties ta có các
tab thuộc tính của FTP như sau:
¾ Tab FTP sites:
o Description: mô tả về FTP sites
o IP Address: Địa chỉ IP Interface dùng cho FTP sites
o Port: Cổng dành cho FTP, mặc định cổng này là cổng 21.
o FTp sites connection: Không giới hạn hoặc giới hạn số lượng user truy
cập vào FTP site cùng một lúc.
o Enable logging: chứa các logfile của FTP sites.
¾ Tab Sercurity account: cho phép mọi người dùng hoặc chỉ những account nào
được phép truy cập vào tài nguyên thông qua FTP sites
¾ Tab Messenger: Các thông báo từ FTP site khi người dùng logon, log-off khỏi
ứng dụng FTP.
¾ Tab Home Directory: là nơi chọn đường dẫn tới thư mục chứa tài nguyên của
FTP site, và các mục thiết đặt quyền cho các user được wite hay chỉ read.
¾ Tab Directory Sercurity: Cho phép thiết lập các từ chối hay không từ chối các
máy tính hoặc nhóm máy tính được phép truy cập vào FTP.
4.3 Tạo mới FTP site
Khác với Web sites, FTP sites chỉ cho phép trên một máy cùng một lúc chỉ
đựoc một FTP sites được hoạt động. Do đó muốn tạo một FTP site mới chúng ta phải
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 125 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Stop Defaull FTP sites. Chuột phải vào Defaull FTP site chọn Stop. Tạo một FTP mới,
chuột phải vào FTP site chọn New FTP site. Next, mục Description đánh vào mô tả về
FTP site. Next đến mục lựa chọn địa chỉ IP và port cho FTP site, mục này để mặc định.
Next đến mục FTP User Isolate, ở đây có 3 lựa chọn
9 Do not isolate user: Cho phép tài khoản vô danh, mọi user đều được truy
cập vào thư mục của FTP site, nghĩa là user dùng tài khoản Anonymous để
đăng nhập
9 Isolate Users: Cho phép sử dụng tài khoản cục bộ truy cập vào FTP
9 Isolate Users Using Active Directory: Cho phép sử dụng tài khoản trên
domain truy cập vào thư mục của FTP site.
Next đến mục FTP site Home Directory, ấn nút browse và chọn đến thư mục cần
truyền file của FTP.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 126 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Next đến mục FTP site Access permission, mục này cho phép read và write, nếu
chỉ cho người dùng FTP lấy file xuống thì chúng ta chọn quyền read, còn nếu muốn cho
người dùng Up file lên thư mục của FTP thì ta chọn thêm quyền wite. Next và ấn finish
để kết thúc việc tạo một FTP site.
Để xem FTP site hoạt động chưa ta chuột phải vào tên FTP site chọn Browse, cửa
sổ bên phải sẽ mở ra thư mục gốc mà chúng ta đã chọn cho FTP site.
Có hai cách lấy file từ FTP site đó là dùng trình ứng dụng Explorer trong
Windows hoặc dùng lệnh trong DOS.
¾ Nếu dùng trình Explorer trong Windows thì người dùng chỉ cần mở Windows
Explorer lên, đánh vào ô địa chỉ theo cú pháp sau: ftp://<IP hoặc host>,
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 127 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
chương trình sẽ đưa đến thư mục gốc của FTP. Người có thể lấy về hoặc up
lên những dữ liệu người dùng cần theo quyền mà user người dùng được cấp
¾ Nếu dùng lệnh trong DOS thì tại cửa sổ DOS chúng ta đánh lệnh như sau:
o ftp Enter
o Open <IP hoặc host> Enter
o User name: đánh vào username được cấp
o Password: đánh vào password
o Dir: dùng để xem file như trong dos
o Lệnh lấy về: get tên file
o Up file: Cho con trỏ về nơi chứa file cần up, sau đó đánh: put tên file
IX – MAIL SERVER
1. Giới thiệu
Mail Server là một chương trình phần mềm dùng để quản lý các Mail client. Có
hai dạng Mail Server đó là Mail Online và Mail Offline.
¾ Mail Online: do nhà cung cấp tự quản lý và người sử dụng chỉ cần cấu
hình Mail client.
¾ Mail Offline: người quản trị phải quản lý và tạo ra các account cho người
dùng, loại mail này sử dụng phổ biến có hai loại là Mdeamon và Exchange
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 128 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Windows Server 2003 mặc định được tích hợp sẵn một ứng dụng quản lý Mail
Server đó là dịch vụ POP3. Loại dịch vụ này sử dụng giao thức POP3 và SMTP để gửi và
nhận Mail. POP3 có cổng mặc định là 110 và SMTP có cổng mặc định là 25. Người dùng
mail client sẽ quản lý và sử dụng Mail client bằng chương trình Outlook Express, cái này
cũng được tích hợp sẵn trong các phiên bản Windows của Microsoft. Nhưng hiện nay do
nhu cầu công việc và các ứng dụng khác trong việc truyền và nhận mail nên việc dùng các
dịch vụ tích hợp sẵn trong Windows của Microsoft không còn được dùng nhiều nữa. Các
doanh nghiệp có xu hướng dùng các chương trình quản lý Mail của hãng phần mềm thứ 3
hoặc một phần mềm khác cũng của Microsoft nhưng không phải là tích hợp sẵn trong các
phiên bản Windows. Hai chương trình quản lý Mail được dùng phổ biến hiện nay nhất là
Mdeamon và Exchange. Các doanh nghiệp vừa và nhỏ, có quy mô mạng nhỏ và số lượng
account không quá lớn thì thường dùng chương trình Mdeamon để quản lý Mail. Còn các
doanh nghiệp lớn, qua mô mạng rộng khắp và có số lượng account khổng lồ thì dùng
chương trình Exchange để quản lý Mail. Mdeamon là một phần mềm quản lý Mail của
hãng Mdeamon (trang chủ www.mdeamon.com). Còn Exchange là một phần mềm của
Microsoft dùng cho việc quản lý mail ở các công ty lớn, các tập đoàn. Với đề tài quản trị
các mạng doanh nghiệp nhỏ nên em sẽ sử dụng Mdeamon làm chương trình quản lý mail.
Mdeamon đã ra nhiều phiên bản từ khi ra đời tới nay, từ 1.x đến 9.x, ở đây em sẽ dùng
chương trình Mdeamon phiên bản 9.6.1, phiên bản gần như mới nhất hiện nay.
2.0 Cài đặt Mail Mdeamon
Để cài đặt chương trình Mdeamon, cũng giống như cài đặt bất kì một chương
trình nào khác, tìm đến thư mục và click đúp và file chương trình để cài đặt.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 129 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Chương trình sẽ load lên để cài đặt, một cửa sổ nữa hiện ra ấn Next để tiếp tục,
tiếp theo là mục đăng kí Lisence Agreement, click mục I Agree. Tiếp theo, chọn thư mục
gốc chứa chương trình để cài đặt, Next. Tiếp theo đến thư mục thông tin đăng kí.
Chúng ta điền đầy đủ thông tin đăng kí vào các ô Lisence name, Company name
và Registration key rồi ấn Next, tiếp theo ấn Next để chương trình bắt đầu cài đặt.
Tiếp theo đến mục thiết đặt yêu cầu đặt tên miền cho Mail, chúng ta nên dùng
luôn tên miền AD làm tên miền mail cho dễ quản lý mail sau này.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 130
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp theo đến mục thiết đặt account đầu tiên cho miền Mail. Next
Chúng ta đánh tên đầy đủ vào Full name, hộp mailbox là địa chỉ mail của
account, và dưới là password của địa chỉ mail đó. Next
Tiếp theo đến mục thiết đặt địa chỉ IP DNS và địa chỉ IP Backup của DNS.
Chúng ta đánh vào ô thứ nhất địa chỉ DNS chính và ô thứ hai là địa chỉ DNS backup nếu
máy chúng ta có địa chỉ backup cho DNS. Next
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 131 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp theo là chọn chế độ chạy Mdeamon. Có hai chế độ chạy Mdeamon là chạy ở
chế độ đơn giản “Easy” và chế độ nâng cao “Advanced”. Chúng ta chọn chạy ở chế độ
Advanced. Next.
Ấn Next và ấn Finish để kết thúc quá trình cài đặt. Khi ấn Finish click mục chọn
Start Mdeamon và chương trình Mdeamon được mở lên có giao diện chính như sau.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 132 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 133 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Domain-miền mail: Có hai loại miền mail là miền chính (primary) và miền phụ
(secondary), có thể dùng miền của AD làm miền mai hoặc dùng miền mail riêng.
World Client: Thiết đặt các thuộc tính về Mail client như cổng kết nối tới Mail
server của Mail client, mặc định Mdeamon đặt cổng này là cổng 3000 chúng ta có thể đổi
cổng này tuỳ ý miễn là không trùng với cổng hệ thống và các cổng đã dùng rồi, ví dụ ở
đây em cho cổng mail client là cổng 2000. Số user tối đa kết nối tới của một phiên. Cho
phép kết nối qua giao thức HTTP hay HTTPs. Thiết đặt kiểu ngày giờ, theme, ngôn ngữ
cho Mail client….
RAS dial-up/dialdown: Các thiết đặt cho phép hay không cho phép truy cập và
gửi mail từ xa thông qua dial-up.
Bandwith throltling: Cho phép thiết đặt băng thông gửi và nhận mail.
Miscellaeous Option: Các tuỳ chọn về thiết đặt mail như độ phức tạp mật khẩu
chọn dòng require strong password, các giao thức truyền mail, hạn nghạch mail….v.v..
Và còn một số menu pop-up khác.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 134 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
3.2 Menu Security: Chứa các menu pop-up dùng để thiết đặt các thuộc tính về
sercurity cho Mail server.
Antivirus: cho phép thiết đặt an toàn về chống virut trong mail.
Content filter: Cho phép các thiết đặt về lọc mail, cho phép các file được attach
kèm theo mail…. Để lọc và chặn mail ta chọn nút edit hoặc New, sẽ hiện ra một bảng
danh sách những tuỳ chọn cho phép chúng ta chọn để lọc mail.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 135 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
DNS Black lists: Cho phép thiết đặt các máy, địa chỉ IP và địa chỉ DNS gửi lại.
Spam Filter: Cho phép các thiết đặt chống lại các spam mail (thư rác).
SSL & Certificates: Cho phép thiết đặt các giao thức kết nối trong Mdeamon,
World Client và Web Admin.
Relay, trusts, tarpit…: cho phép thiết đặt độ trễ trong khi gửi mail, các quan hệ
tin cậy giữa các máy chủ mail….
Ipshielding, AUTH, POP before SMTP: Cho phép thiết đặt các chứng thực
trong việc đăng nhập và Mail server, cho phép hay không cho phép truyền nhận maik
bằng giao thức POP trước SMTP….
3.3 Menu Account: Chứa các menu pop-up dùng cho việc thiết đặt và quản trị
account trong Mail server.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 136
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Account Manager: cho phép quản lý và chỉnh sửa các thông tin về account trong
mail như sửa tên, thay đổi mật khẩu, nơi lưu trữ account và hộp thư, cho phép chuyển tiếp
mail hay không, thiết đặt hạn nghạch mail: cho phép thiết đặt hạn nghạch mail của
account và thiết đặt lịch xoá account, xoá mail trong một khoảng thời gian xác định được
nhập vào, chia sẻ mail, lọc mail chỉ nhận những mail được phép và các tuỳ chọn khác.
Trong thẻ tab Restrictions có hai mục chọn quan trọng là Inbound mail
restrictions và Outbound mail restrictions:
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 137 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
9 Inbound mail restrictions: tích vào lựa chọn “this account can’t receive
messenger from the outsite world”: Sẽ cho phép Account không nhận bất
kì mail nào trừ những mail được chỉ ra dưới đây. Ví dụ chúng ta muốn
account chỉ nhận địa chỉ mail của công ty và địa chỉ hotmail ngoài ra
không nhận bất kì một mail nào khác thì chúng ta add vào mục đó là
@cms-computer.com và @hotmail.com.
9 Outbound mail restrictions: tương tự trên nhưng đây là mục lựa chọn
cho phần gửi mail đi của account. Nếu chúng ta muốn người dùng chỉ gửi
mail đi vào địa chỉ mail của công ty và các địa chỉ mail khác như yahoo
hay google thì chúng ta add các địa chỉ mail đó vào mục này.
Account Database, Active Directory, minger: Cho phép thiết đặt nơi chứa cơ
sở dữ liệu của account, cho phép sử dụng account trong AD….
New account default, group: cho phép thiết đặt các thuộc tính của account được
tạo mặc định, hạn nghạch mail của account và các nhóm account.
New, Edit, Delete account: Cho phép tạo mới, chỉnh sửa mọi thông tin về
account và xoá account khỏi danh sách.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 138
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Importing: Cho phép Import account từ một file text hay Import account từ SAM
hoặc Active Directory. Để tiện cho việc quản lý các User thì chúng ta nên dùng các
account trong AD làm account cho mail. Do đó khi tạo mới một account trong mail thì
nên Import account trong AD vào miền của account mail. Để Import toàn bộ account
trong AD và miền mail thì chúng ta chọn Import account from SAM/Active Directory. Ở
cửa sổ bên trái là các account trong AD, chúng ta lựa chọn các account rồi chuyển sang
cửa sổ bên cạnh. Sau khi đã lựa chọn các account cần Import thì chúng ta ấn nút Import
Selected Accounts để nhập account từ miền vào miền Mail.
Sau khi nhập các account xong, quay về cửa sổ Account manager sẽ có toàn bộ
account của miền mail. Chúng ta cần thiết lập lại các thông tin của account, nhất là
password vì yêu cầu client truy cập mail phải có password. Password này sẽ khác với
password của account trong AD.
Exporting: Cho phép trích xuất account ra các dạng file lưu trữ khác nhau mà
Mdeamon hỗ trợ.
3.4 Sử dụng Mail trên client
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 139
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Sau khi thiết lập các thuộc tính cho Mail Server xong, trên client truy cập vào
mail client như sau: mở trình duyệt lên, đánh vào ô địa chỉ là địa chỉ của miền Mail và
thêm :port mail đằng sau, ở đây miền mail chính là miền của Active Directory.
Tại ô địa chỉ mail đánh tên account của user trong mail và dòng dưới đánh mật
khẩu của account sau đó ấn sign in. Sau khi đăng nhập thành công, chương trình sẽ mở ra
cửa sổ mail client
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 140
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tại đây người dùng mail có thể cấu hình một số thông tin mail client theo ý mình.
Giao diện chính của Mail client gồm 3 phần. Bên trái là các mục như: Folder, Inbox,
Calendar, Contacts, Tasks, Notes, Option và Sign Out. Ở giữa là ô chứa địa chỉ mail và
bên phải chứa nội dung của một mail khi được lựa chọn. Người dùng có thể dùng mail
client để gửi và nhận mail như những chương trình mail client khác.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 141 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
¾ Internet Group Management Protocol (IGMP) và ranh giới Multicast
¾ Định tuyến Apple Talk được tích hợp
¾ Giao thức L2TP (Layer 2 Tunneling Protocol) trên IPSec (IP Security) cho các
kết nối VPN
¾ Cung cấp các thành phần địa chỉ và giải pháp chuyển đổi tên, làm cho dễ dàng
để thực hiện các kết nối từ mạng Small Office / Home Office (SOHO) vào
Internet.
¾ Sự mở rộng trong IAS (Internet Authentication Service), công cụ quản trị và
quản lý.
Các chuyên viên thiết kế có thể sử dụng RRAS để mở rộng các giao diện chương
trình ứng dụng để tạo ra các tùy biến để giải quyết vấn đề mở rộng liên mạng
(Internetworking). Với việc trợ giúp của tính năng RRAS, một máy tính đang chạy
Windows 2003 server có thể được hiểu theo bất kì điều nào dưới đây:
Multiprotocol router: RRAS cung cấp Windows 2003 Server các khả năng để
các giao thức định tuyến IP, IPX, và Apple Talk có thể đồng thời hoạt động trên mạng.
Remote Access Server: RRAS làm cho Windows 2003 có khả năng trong việc
cung cấp các user để truy cập từ xa. Một kết nối từ xa có thể được thiết lập hoặc là thông
qua một kết nối quay số hoặc thông qua một VPN. Nó hỗ trợ các client sử dụng các giao
thức IP, IPX. Apple Talk và NetBEUI.
Demand-dial Router: RRAS cung cấp cho Windows 2003 khả năng định tuyến
trên các liên kết IP, IPX hoặc WAN. Các liên kết WAN có thể là một loại theo yêu cầu
(on-demand) hoặc loại liên tục (persitent)
Nói chung Windows 2003 sử dụng Point-to-Point Protocol (PPP) cho việc thành
lập một kết nối truy cập từ xa cho các client. Nó giữ gìn các tham số liên kết, dàn xếp giao
thức tầng mạng và thay đổi các giấy phép xác thực. Các loại truy cập dưới đây được hỗ
trợ bởi hạ tầng PPP của Windows 2003:
¾ Dial-up remote access như một client hoặc một server
¾ VPN remote access như một client hoặc một server
2. Remote Access
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 142 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Windows 2003 server cho phép các client từ xa để kết nối tới server truy cập từ
xa bằng cách sử dụng một số các thiết bị phần cứng modem, Integrated Services Digital
Network (ISDN) adapter và Digital Subscriber Line (DSL) modem. Truy cập từ xa chạy
Routing and Remote Access có khả năng hỗ trợ các giao thức khác nhau cho truyền tải dữ
liệu và giao thức VPN. Một giao thức truy cập từ xa như PPP được sử dụng cho việc kết
nối đến các server truy cập từ xa. Server truy cập từ xa là một máy tính, nó đang chạy
Windows 2003 và hỗ trợ RRAS. Nó xác thực các user và các phiên truy cập từ xa cho đến
khi user hoàn thành phiên của người quản trị mạng. Vai trò của server truy cập từ xa là
một gateway cho việc gửi dữ liệu giữa các clietn và LAN. Client gửi dữ liệu đến và nhận
dữ liệu từ server truy cập từ xa. Sử dụng giao thức như TCP/IP dữ liệu được mã hoá và
sau đó nó được gói trọn trong giao thức truy cập từ xa. Hai loại kết nối truy cập từ xa
được cung cấp bởi Windows 2003 truy cập từ xa:
¾ Dial-up Remote Access: Để kết nối đến một mạng dial-up truy cập từ xa, client
truy cập từ xa tạo ra để sử dụng các mạng viễn thông, nó có thể là Public Switch
Telephone Network (PSTN). PSTN đã tạo ra một kết nối vật lý đến cổng trên
một server truy cập từ xa, mà nó có thể được thực hiện bằng cách sử dụng một
modem hoặc sử dụng ISDN adapter cho việc quay số đến server truy cập từ xa.
Dial-up truy cập từ xa cho phép các user kết nối đến từ một vị trí từ xa đến
mạng. Nhưng vấn đề với kiểu truy cập này là ở chỗ, nếu đa client được định vị
tại các vị trí khác nhau thì phí tổn điện thoại sẽ trở lên rất cao. Do đó một
phương pháp thay đổi cho điều này sẽ được xem như việc giải quyết một VPN
cho kết nối từ xa.
¾ Vitual Private Network (VPN): Một VPN cung cấp truy cập từ xa rất an toàn
thông qua Internet và không tạo ra để sử dụng các kết nối dial-up. VPN client sử
dụng địa chỉ liên mạng IP cho việc tạo mã hoá, Point-to-Point kết nối ảo cho
gateway VPN trên mạng riêng. Người sử dụng thiết lập một kết nối VPN với
một cổng gateway VPN bằng cách kết nối đến Internet ISP. Nhân viên công ty
đang ở xa có thể quay số đến ISP địa phương và thiết lập một kết nối VPN đến
mạng của công ty.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 143 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 144 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
9 Intergated Services Digital Network: Một tập các đặc điểm kĩ thuật quốc tế
được hiểu là ISDN, nó được tạo ra để thay thế PSTN. ISDN có thể sử dụng fax,
voice, data và các dịch vụ khác trong một mạng kĩ thuật số đơn. Thời gian kết
nối và tỉ lệ truyền tải dữ liệu cao khi được so sánh với PSTN. Một kênh PSTN
có thể được thực hiện 64 Kbps và cũng không có việc chuyển đổi analog-to-
digital xảy ra. Đa kênh được đưa ra bởi ISDN.
9 ADSL: Dựa trên các khách hàng và các giao dịch nhỏ một kĩ thuật lặp địa
phương mới được gọi là Asymmetric Digital Subscriber Line (ADSL) được sử
dụng. Tốc độ bit cao hơn PSTN và ISDN có thể nhưng tốc độ bit khác trong
quá trình thu thập và xuất dữ liệu. Chúng ta có thể thực hiện tốc độ là 64 Kbps
từ khách hàng và 1.544 Mbps đến khách hàng.
9 X.25: Một chuẩn quốc tế cho việc truyền tải dữ liệu trên mạng chuyển mạch
gói công côngk được gọi là X.25. Windows 2003 hỗ trợ X.25 bằng cách tạo ra
để sử dụng card smart X.25, nó kết nối trực tiếp đến mạng dữ liệu X.25 bằng
cách sử dụng giao thức X.25 cho việc thiết lập các kết nối và truyền tải dữ liệu.
Windows 2003 cũng có thể hỗ trợ X.25 bằng kết nối trực tiếp đến mạng X.25
bằng cách sử dụng card smart X.25.
¾ Remote Access Protocols: Các giao thức điều khiển truy cập từ xa như thế nào đó
để các kết nối được thiết lập và bằng cách nào đó truyền tải dữ liệu trên các liên
kết WAN. Server cùng với hệ điều hành của client và giao thức LAN quyết định
các giao thức mạng mà các client có thể sử dụng. Các giao thức truy cập từ xa
được hỗ trợ bởi Windows 2003 là:
9 PPP: PPP là giao thức truy cập từ xa thường xuyên được sử dụng nhất, nó cho
phép các client và các server chạy trong các mạng đa nhà cung cấp
(multivendor).
9 Microsoft Remote Access Protocol: Các máy client đang chạy trên Windows
NT 3.1, MS-DOS hoặc LAN manager thì cần sử dụng giao thức NetBEUI và
server cần sử dụng giao thức RAS như một gateway cho các client này. Trong
trường hợp các máy client đang chạy Windows 2000 thì giao thức RAS có thể
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 145 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
sử dụng cho việc kết nối đên Windows NT 3.1, MS-DOS, LAN manager,
Windows for Workgroup server.
9 Serial Line Internet Protocol(SLIP): Các server truy cập từ xa trước kia sử
dụng SLIP, Windows 2003 không hỗ trợ SLIP.
9 AppleTalk Remote Access Protocol(ARAP): Giao thức ARAP có thể được sử
dụng cho kết nối đến các client Apple Macintosh đến server truy cập từ xa.
¾ LAN Protocol: Để truy cập các tài nguyên trên RAS server, các máy tính client
tạo ra để sử dụng các giao thức LAN. Các giao thức TCP/IP, NetBEUI, Nwlink và
AppleTalk là các giao thức LAN được hỗ trợ bởi Windows 2003.
4.0 Vitual Private Network Connection
Các User luôn di chuyển hoặc làm việc từ nhà có thể sử dụng mạng riêng
ảo(VPN) cho kết nối đến server từ xa. Nó tạo ra để sử dụng hạ tầng của routing được
cung cấp bởi internet. Kĩ thuật cũng cho phép các tổ chức kết nối với các văn phòng địa
phương trong việc bảo vệ an toàn các kết nối. Kết nối VPN hoạt động như môt liên kết
dành cho WAN. User từ xa gọi đến ISP địa phương, sau đó một VPN tạo ra liên kết dial-
up user và VPN server. Chúng ta có thể hoặc là sử dụng các đường danh riêng hoặc là các
đường quay số cho các kết nối đến mạng trên Internet.
Dedicated Lines: Văn phòng chi nhánh và văn phòng công ty mẹ có thể kết nối
vơi nhau bằng cách sử dụng internet. Router văn phòng chi nhánh và router công ty mẹ có
thể kết nối đến Internet bằng cách sử dụng một đường cục bộ dành riêng và ISP địa
phương. Kết nối ISP là được sử dụng để tạo ra một kết nối VPN giữa hau router.
Dial-up Lines: Router tại văn phòng chi nhánh sẽ gọi lên ISP địa phương còn
hơn là tạo ra một cuộc gọi đuờng dài đến router của công ty mẹ hoặc NAS(Netửok
Access Server). Sử dụng kết nối đến ISP địa phương, kết nối VPN được tạo ra giữa các
hub Router của công ty mẹ và router của văn phòng chi nhánh. Chỉ có vấn đề với các
đường quay số là router tại công ty mẹ phải được kết nố đến ISP địa phương 24 giờ/ngày.
Một số dữ liệu có thể hỏng và không thể được truy cập bằng các kết nối mạng cục bộ
LAN. Vì vậy để khắc phục vấn đề này VPN cho phép công ty trở thành kết nối vật lý để
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 146 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
nối đến tập đoàn Internetwork nhưng tại cùng một điểm thời gian được tách rời bởi các
VPN Server. Trong tương lai dữ liệu truyền qua VPN có thể được mã hoá an toàn hơn.
4.1 Kĩ thuật đường hầm (Tunnel)
Để truyền tải các đơn vị dữ liệu như các frame hoặc các packet một phương pháp
được gọi là Tunnel được sử dụng, mà nó sử dụng hạ tầng liên mạng để thực hiện điều
này. Một tunnel là đường dẫn logic thông qua đó các gói tin được chuyển qua liên mạng.
Trong phương pháp này frame được đóng gói với việc bổ xung thêm header chứa thông
tin định tuyến. Điều này giúp cho các frame đi qua được các liên mạng trung gian. Các
gói tin được đóng gói thì được gửi đi giữa các điểm cuối tunnel. Các frame được mở gói
khi đi đến đích trên liên mạng và được chuyển đến đích cuối cùng. Cả tunnel client và
tunnel server phải sử dụng các giao thức tunnel tương tự để thiết lập một tunnel. Một số
giao thức tunnel là PPTP và L2TP. Sự phân phối dự liệu tin cậy là không được bảo đảm
khi sử dụng một tunnel. Datagram được dựa trên giao thức như các giao thức UDP hoặc
GRE được sử dụng cho truyền tải dữ liệu. Tunnel client khởi tạo thành tunnel từ một đầu
cuối. Tunnel server tại một điểm cuối khác nhận yêu cầu. Tunnel phải được tạo ra đầu
tiên sau đó dữ liệu được bắt đầu truyền đi. Quá trình kết nối tương tự quá trình kết nối đến
PPP. Tunnel server trả lời cho việc xác thực User trước khi truyển tải dữ liệu. Kể từ đó
client xác thực chính nó, quá trình truyền tải dữ liệu bắt đầu qua tunnel. Các tunnel được
thiết lập phải được duy trì cho PPTP và L2TP. Hai đầu cuối của tunnel phải biết mỗi trạng
thái khác trong trường hợp một kết nối thất bại. Kết thúc của các tunnel thu được một
cách định kì khi dữ liệu không được truyền tải để kiểm tra nếu kết nối không còn hoạt
động. Quá trình này được gọi là quá trình keep-alive. Một kết nối mĩ mãn của tunnel có
thể được thực hiện từ mỗi đầu cuối của tunnel. Điều này được thực hiện bằng cách thay
đổi các thông điệp kết thúc tunnel giữa hai đầu cuối.
4.2 Các giao thức VPN
Các giao thức được sử dụng cho VPN bởi Windows 2003 là PPTP, L2TP, IPSec
và IP-IP. Các giao thức này có thể làm việc độc lập hoặc cùng nhau.
- Point-to-Point Tunneling Protocol (PPTP): Giao thức PPTP là một sự mở
rộng của giao thức PPP, nó đóng gói các frame PPP trong các IP datagram. Sau đó các IP
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 147 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Datagram được chuyển trên liên mạng IP như là Internet. PPP được tạo để sử dụng cho
các kết nối TCP để bảo vệ đường hầm(tunnel). Sự thay đổi GRE được tóm lược các frame
PPP được sử dụng cho đường hầm dữ liệu. Các frame PPP này có thể được nén hoặc mã
hoá để đảm bảo an toàn. Các phương pháp xác thực tương tự được sử dụng bởi các kết
nối PPP mà nó được sử dụng cho quá trình xác thực các tunnel PPP. Nó thừa kế quá trình
nén và mã hoá các PPP các đơn vị dữ liệu từ PPP. Nó cũng có thể được sử dụng cho các
mạng riêng LAN-to-LAN.
- Layer 2 Tunneling Protocol: Giao thức L2TP cung cấp một tunnel giữa các
domain không có tin cậy trong một mạng tương tự giao thức PPTP. Cả hai giao thức này
cung cấp việc bắt đầu đóng gói dữ liệu sử dụng PPP. Giao thức L2TP cấu thành từ PPTP
và L2F(Layer 2 Forwarding). Nó đóng gói các frame PPP, nó có thể được gửi trên IP,
frame relay, X.25 hoặc mạng ATM. L2TP có thể được sử dụng như giao thức tunnel trên
Internet nếu nó sử dụng IP như là truyền tải của nó. Sự bảo vệ Tunnel L2TP sử dụng UDP
và một dãy các thông điệp điều khiển L2TP. Xa hơn nữa sử dụng UDP để gửi các frame
PPP như tunnel data. Chúng ta có thể nén hoặc mã hoá các frame PPP đã được đóng gói.
L2TP sử dụng IPSec trong việc mã hoá để mã hoá các frame PPP. Đó là một cách cụ thể
để tạo ra các client để kết nối đến mạng truy cập các server và cũng cho kết nối gateway-
to-gateway. L2TP có thể cung cấp đa giao thức hỗ trợ cho các giao thức mạng khác nhau
như IPX và AppleTalk sử dụng PPP. PPP cũng cung cấp việc xác thực user như CHAP,
MS-CHAP phiên bản 2 và EAP. Do đó, L2TP trên IPSec cung cấp thao tác việc xác định
tunnel rõ ràng mà nó cung cấp sự an toàn chắc chắn.
- IPSec: IPSec cung cấp việc xác thực toàn bộ và riêng lẻ về IP. IPSec cung cấp
hai loại tunnel: Encapsulating Security PayLoad(ESP) cho việc xác thực, sự tách biệt và
tính toàn vẹn và Authentication Header (AH) định dạng nó cho việc xác thực và tính toàn
vẹn nhưng không cách biệt. IPSec có thể không được sử dụng trong hai chế độ là:
Transport Mode và Tunnel Mode. Chế độ Transport bảo đảm tồn tại một gói IP từ nguồn
tới đích. Trong trường hợp chế độ tunnel tồn tại một gói IP đưa vào trong một gói IP mới
và được gửi đến điểm cuối tunnel. Các chế độ này có thể được đóng gói hoặc là ESP
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 148
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
header là AH header. Chế độ Transport IPSec được thiết kế để cung cấp an toàn cho IP
truyền thông giữa các hệ thống truyền thông and-to-and. Chế độ Tunnel IPSec được thiết
kế cho các router mạng hoặc các gateway để an toàn truyền thông IP khác bên trong
IPSec tunnel. IPSec tunnel kết nối giữa một IP riêng các mạng và IP mạng khác trên
mạng IP ảo hoặc mạng công cộng. Internet Key Exchange (IKE) được sử dụng để thực
hiện việc điều hành truyền thông an toàn phức tạp giữa 2 máy tính.
- IP-IP: IP-IP hoặc IP trong IP là một phương thức tunnel đơn. Sử dụng phương
thức này đến truyền thông tunnel multicast trên các khu vực mạng, nó không hỗ trợ định
tuyến multicast. Việc bổ xung IP header được tạo ra trong việc đóng gói các gói IP do đó
phải tạo một mạng ảo. Cấu trúc IP-IP cấu trúc thành bên ngoài IP header, bên trong IP
header, tunnel và IP payload. Payload này bao gồm UDP, TCP và dữ liệu.
5.0 Cài đặt và cấu hình RRAS
5.1 Cài đặt và cấu hình trên Server
Trong Windows 2003 dịch vụ RRAS được cài đặt một cách tự động trong quá
trình cài đặt Windows 2003 nhưng ở dạng disable. Sử dụng snap-in Routing and Remote
Access chúng ta có thể cho phép thiết lập cấu hình RRAS. Theo mặc định thì Windows
Server 2003 cục bộ được liệt kê như một RRAS Server. Việc thêm máy tính có thể được
thêm tại mục gốc Routing and Remote Access hoặc mục Server Status. Để cài đặt RRAS
chúng ta làm như sau: Start\ Program\ Administrative Tools\ Routing and Remote Access.
Cửa sổ Routing and Remote Access mở ra, chúng ta chọn tên server cần thiết lập, chuột
phải chọn Configure and Enable Routing and Remote Access.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 149 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp theo một cửa sổ wizard hiện ra. Dịch vụ RRAS được cho phép và được cấu
hình tuỳ theo việc chọn lựa của chúng ta trong wizard. Các máy tính sử dụng dịch vụ
wizard phải có các địa chỉ IP của lớp A, B hoặc C riêng của chúng. Các địa chỉ này đựoc
dành riêng một cách cụ thể cho các mạng riêng sử dụng. Sau khi config chúng ta cũng có
thể cho phép Disable dịch vụ này, sau khi disable dịch vụ thông tin đăng kí được gỡ bỏ và
các client kết nối cũng được huỷ kết nối. Next
Một cửa sổ gồm các lựa chọn cho việc thiết lập truy cập từ xa hiện ra:
¾ Remote Access(Dial-up or VPN): Cho phép thiết lập các kết nối Dial-up hoặc
VPN server
¾ Nework Address Translation (NAT): Thiết đặt cho phép các IP bên trong mạng có
thể ra ngoài Internet bằng việc sử dụng Public địa chỉ IP
¾ Vitual Private Network (VPN) and NAT: thiết lập sử dụng VPN cùng với NAT
¾ Secure connection between to private network: Kết nối mạng với các mạng ở xa.
¾ Custom configuration: cho phép thiết đặt các tuỳ chọn khác có trong Routing and
Remote Access.
Do thời gian và điều kiện không có đủ cơ sở hạ tầng mạng như Router, switch và
đường ADSL và các máy tính nên em chỉ cấu hình dịch vụ này ở dạng VPN ở mức đơn
giản nhất. Chọn Remote Access và Next.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 150
-
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp theo cửa sổ hiện ra cho phép chúng ta chọn kiểu kết nối VPN hay Dial-up
hay cả hai, chọn cả hai kiểu kết nối và Next.
Tiếp theo mục VPN connection cho phép lựa chọn card mạng nào sẽ là card mạng
dùng để kết nối với Internet bên ngoài. Vì cấu hình RRAS nên tối thiểu máy chủ RRAS
phải có hai card mạng, một card mạng nối với modem ra ngoài Internet và một card nối
với mạng LAN bên trong Internet (phân biệt bằng cách đặt IP theo lớp mạng). Chọn card
mạng mà chúng ta nối ra ngoài Internet, lựa chọn dòng dưới là Enable security cho card
mạng được lựa chọn để thiết đặt bảo, ấn Next.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 151 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp theo là lựa chọn card mạng bên trong mạng LAN, card mạng mà VPN client
truy cập tới VPN server. Lựa chọn card mạng và ấn Next.
Lựa chọn tiếp theo cho phép tự động lấy địa chỉ của DHCP Server hay lấy từ một
giải địa chỉ đặc biệt cho trước. Chọn Automatically và ấn Next.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 152 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp theo là lựa chọn phương thức chứng thực RADIUS, nếu không dùng phương
pháp chứng thực RADIUS thì sử dụng phương thức chứng thực authenticate của
windows. Ấn Next và finish kết thúc quá trình tạo VPN server. Lúc này hệ thống sẽ bắt
đầu thực hiện khởi động dịch vụ.
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 153 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Tiếp theo đánh tên công ty (tên miền muốn truy cập nếu công ty đó có tên miền)
vào ô Company name
Tiếp theo đánh địa chỉ IP của nơi muốn truy cập tới. Nếu là truy cập trong mạng
nội bộ thì chúng ta đánh địa chỉ chỉ của server ở đây. Nếu truy cập qua hạ tầng mạng
Internet thì chúng ta phải đánh địa chỉ ISP của modem nơi truy cập đến. Nếu chúng ta
đăng kí với ISP mà có được địa chỉ IP tĩnh thì chúng ta đánh vào đây, còn nếu sử dụng địa
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 154 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
chỉ IP động thì cần dùng đến một số chương trình update IP như dyndns hoặc noIP để biết
địa chỉ IP modem hiện tại đang là gì.
Next đến mục hỏi kết nối cho mọi người hay chỉ một mình user, nếu chúng ta kết
nối một mình thì chọn My user only và ấn Next.
Tiếp theo một cửa sổ kết nối mở ra cho chúng ta đánh username và password để
kết nối đến server. User này nằm trong domain thì phải được cho phép kết nối (Allow
Access) trong tab Dial-in trong mục thuộc tính của user này. Khi ấn vào connect nếu kết
nối thành công sẽ có thông báo như sau
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 155 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 156 -
Qu¶n TrÞ M¹ng Víi Windows Server 2003
TÀI LIỆU THAM KHẢO
I) Sách tham khảo
1. Windows 2000 Server, Trung tâm đào tạo Lập Trình Viên Quốc tế Bách Khoa –
Aptech. NXB Tập Đoàn Aptech WorldWide tháng 04 năm 2004.
2. Windows XP Professional, NXB Trung tâm Bách khoa – Aptech tháng 4/2004.
3. Quản trị mạng và Ứng dụng của Active Directory, tác giả K.S Ngọc Tuấn,
NXB Thống Kê, Năm XB 2004, số trang 378
4. Mạng truyền thông Công Nghiệp, tác giả Hoàng Minh Sơn, NXB Khoa học kĩ
thuật, năm XB 2004, số trang 256
5. 100 Thủ thuật bảo mật mạng, tác giả K.S Nguyễn Ngọc Tuấn, Hồng Phúc, NXB
Giao thông vận tải, năm XB 2005, số trang 335.
II) Website
1. www.quantrimang.com
2. www.manguon.com
3. www.nhatnghe.com
4. www.adminvietnam.com.vn
Writened by: Hoμng V¨n Thuû. All Right Reserver Trang - 157 -