1. Trang chủ
  2. » Giáo Dục - Đào Tạo

GIÁO TRÌNH MÔ ĐUN QUẢN TRỊ MẠNG 2 NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH

204 13 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Giáo trình mô đun: Quản trị Mạng 2
Tác giả Phạm Tất Thành
Trường học Trường Cao Đẳng Nghề Hà Nam
Chuyên ngành Quản trị mạng
Thể loại Giáo trình
Năm xuất bản 2017
Thành phố Hà Nam
Định dạng
Số trang 204
Dung lượng 5,34 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Cấu trúc

  • BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES (9)
    • 1. Tại sao phải dùng Terminal Services (9)
    • 2. Mô hình xử lý của Terminal Services (10)
      • 2.1. Các thành phần của Terminal Services (10)
      • 2.2. Lập kế hoạch cấu hình Terminal Services (11)
    • 3. Yêu cầu đối với Server và Client (11)
      • 3.1. Các yêu cầu đối với Terminal Services server (11)
      • 3.2. Các yêu cầu đối với Terminal Services client (12)
      • 3.3. Xác định yêu cầu đăng ký chính xác (12)
    • 4. Cài đặt Terminal Services (12)
      • 4.1. Cài đặt Terminal Services Server (12)
      • 4.2. Thêm người dùng vào nhóm Remote Desktop Users (15)
    • 5. Cấu hình và truy cập từ client vào Terminal Server (15)
      • 5.1. Truy cập từ client vào Terminal Server (15)
      • 5.2. Tùy chọn cấu hình máy khách Remote Desktop (16)
      • 5.3. Thoát khỏi phiên truy cập từ xa (16)
    • 6. Thực hiện đa kết nối truy cập từ xa (16)
  • BÀI 2: TINH CHỈNH VÀ GIÁM SÁT MẠNG WINDOWS SERVER (19)
    • 1. Tổng quan về công cụ tinh chỉnh (19)
    • 2. Quan sát các đường biểu diễn hiệu năng bằng Reliability and Performance (19)
      • 2.1. Performance Monitor (20)
      • 2.2. Reliability Monitor (22)
    • 3. Ghi lại sự kiện hệ thống bằng công cụ Event Viewer (23)
      • 3.1. Application log (24)
      • 3.2. Security log (25)
      • 3.3. System Log (26)
    • 4. Sử dụng Task Manager (27)
      • 4.1. Applications (27)
      • 4.2. Processes (28)
      • 4.3. Services (29)
      • 4.4. Performance (30)
      • 4.5. Networking (31)
      • 4.6. Users (32)
  • BÀI 3: KHÔI PHỤC SERVER KHI BỊ HỎNG (35)
    • 1. Các biện pháp phòng ngừa (35)
      • 1.1. Có dự phòng (35)
      • 1.2. Bảo vệ điện năng cho server (35)
      • 1.3. Quan tâm về môi trường (36)
      • 1.4. Hạn chế tiếp cận server (36)
      • 1.5. Sử dụng hiệu quả password (36)
    • 2. Các phương pháp sao lưu dự phòng và khôi phục dữ liệu (36)
      • 2.1. Cách lưu dự phòng (37)
      • 2.2. Khôi phục dữ liệu (38)
    • 3. Công cụ System Information (41)
      • 3.1. Trang System Summary (41)
      • 3.2. Folder Hardware Resources (41)
      • 3.3. Folder Components (42)
      • 3.4. Folder Software Environment (43)
  • BÀI 4: CÀI ĐẶT VÀ QUẢN LÝ REMOTE ACCESS SERVICES (RAS) (45)
    • 1. Các khái niệm và các giao thức (45)
      • 1.1. Tổng quan về dịch vụ truy cập từ xa (45)
      • 1.2. Kết nối truy cập từ xa và các giao thức sử dụng trong truy cập từ xa (46)
      • 1.3. Modem và các phương thức kết nối vật lý (47)
    • 2. An toàn trong truy cập từ xa (48)
      • 2.1. Các phương thức xác thực kết nối (48)
      • 2.2. Các phương thức mã hóa dữ liệu (50)
    • 3. Triển khai dịch vụ truy cập từ xa (51)
      • 3.1. Kết nối gọi vào và kết nối gọi ra (51)
      • 3.2. Kết nối sử dụng đa luồng (Multilink) (52)
      • 3.3. Các chính sách thiết lập cho dịch vụ truy nhập từ xa (52)
      • 3.4. Sử dụng dịch vụ gán địa chỉ động DHCP cho truy cập từ xa (53)
      • 3.5. Sử dụng Radius server để xác thực kết nối cho truy cập từ xa (54)
      • 3.6. Mạng riêng ảo và kết nối sử dụng dịch vụ truy cập từ xa (55)
      • 3.7. Sử dụng Network and Dial-up Connection (57)
      • 3.8. Một số vấn đề xử lý sự cố trong truy cập từ xa (57)
  • BÀI 5: GROUP POLICY OBJECT (61)
    • 1. Giới thiệu Group Policy (61)
      • 1.1. So sánh giữa System Policy và Group Policy (61)
      • 1.2. Chức năng của Group Policy (61)
    • 2. Tạo và tổ chức các đối tượng trong Group policy (62)
      • 2.1. Xem chính sách cục bộ của một máy tính ở xa (63)
      • 2.2. Tạo các chính sách trên miền (63)
    • 3. Thiết lập các chính sách trên Domain Controller (65)
      • 3.1. Thiết lập chính sách nhóm “chặn người dùng cài đặt phần mềm ứng dụng” (66)
      • 3.2. Thiết lập chính sách nhóm “chặn người dùng sử dụng Internet Explorer” (68)
    • 4. Sử dụng GPO để triển khai MS Office (72)
  • BÀI 6: GIỚI THIỆU VỀ ISA SERVER (81)
    • 1. Định nghĩa Firewall (81)
    • 2. Phân loại Firewall (81)
      • 2.1. Firewall phần mềm (81)
      • 2.2. Firewall phần cứng (81)
      • 2.3. Bộ định tuyến không dây (81)
    • 3. Chức năng của Firewall (81)
    • 4. Các kiến trúc Firewall cơ bản (82)
      • 4.1. Tường lửa bộ lộc gói tin (Packet filtering firewall) (82)
      • 4.2. Cổng tầng ứng dụng (Application gateway) (83)
      • 4.3. Bastion Host Firewall (Pháo đài phòng ngự) (83)
    • 5. Giới thiệu về ISA server (84)
      • 5.1. Điều khiển truy nhập (Access Control) (84)
      • 5.2. Vị trí xảy ra quá trình xử lý gói (84)
      • 5.3. Luật lọc (Filtering Rules) (85)
      • 5.4. Hoạt động của tường lửa người đại diện ứng dụng (Proxy Application) 85 5.5. Quản lý xác thực (User Authentication) (86)
      • 5.6. Kiểm tra và Cảnh báo (Activity Logging and Alarms) (88)
    • 6. Các mô hình Firewall cơ bản và phức tạp (88)
      • 6.1. Mô hình Firewall cơ bản thường được sử dụng đến (89)
      • 6.2. Mô hình Firewall phức tạp thường sử dụng trong các doanh nghiệp lớn 88 7. Sơ Đồ hoạt động của ISA (89)
  • BÀI 7: CÀI ĐẶT VÀ CẤU HÌNH SỬ DỤNG CÁC RULE TRONG ISA (92)
    • 1. Cài đặt ISA (92)
    • 2. Tạo Rule cho Admin đi ra ngoài Internet sử dụng tất cả các giao thức (97)
    • 3. Cấu hình cho các client ra Internet nhưng chỉ sử dụng giao thức HTTP, (104)
    • 4. Cấu hình DNS phân giải tên (105)
  • BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK (VPN) (107)
    • 1. Giới thiệu về VPN (107)
      • 1.1. Bản chất hoạt động của VPN (107)
      • 1.2. Lợi ích của VPN (108)
    • 2. Mô hình VPN client to site dùng giao thức PPTP (109)
    • 3. Mô hình VPN Client to Site dùng giao thức L2TP/IPSEC (119)
    • 4. Mô hình VPN Client to Site sử dụng chương trình No-IP (159)
    • 5. Mô hình VPN Site to Site (173)
  • BÀI 9: PUBLISHING (183)
    • 1. Cài đặt hệ thống Mail Mdaemon và gửi mail qua lại (183)
    • 2. Publishing Mail (188)
    • 3. Cấu hình lọc mail (189)
    • 4. Publishing Web (194)
    • 5. Publishing FTP (195)
    • 6. Publishing Terminal Services (197)
  • BÀI 10: MONITOR ISA SERVER (200)
    • 1. Trình bày các tab trong Monitor (200)
      • 1.1. Tab Session (200)
      • 1.2. Tab Services (200)
      • 1.3. Tab Report (200)
      • 1.4. Tab Connectivity (200)
      • 1.5. Tab logging (200)
    • 2. Phát hiện các đợt tấn công gửi mail cho admin (0)
    • 3. Network Templates (mô hình mẫu các thông số cấu hình mạng) (0)
    • 4. Backup và Restore (0)

Nội dung

Phụ lục 3 ỦY BAN NHÂN DÂN TỈNH HÀ NAM TRƯỜNG CAO ĐẲNG NGHỀ HÀ NAM GIÁO TRÌNH MÔ ĐUN QUẢN TRỊ MẠNG 2 NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ CAO ĐẲNG (Ban hành kèm theo Quyết định số 285QĐ CĐNHN Ngày 21.GIÁO TRÌNH MÔ ĐUN QUẢN TRỊ MẠNG 2 NGHỀ QUẢN TRỊ MẠNG MÁY TÍNH

DỊCH VỤ WINDOWS TERMINAL SERVICES

Tại sao phải dùng Terminal Services

Mục tiêu: Giới thiệu cho người học về chức năng của dịch vụ Terminal Services cùng với các lợi ích đạt được khi sử dụng dịch vụ này

Terminal Services is a remote administration service that enables administrators to manage systems from any client Through Terminal Services, IT professionals can perform essential administrative tasks remotely, ensuring centralized control, flexibility, and efficient remote management across the network.

Terminal Services require a robust Terminal Services Server with enough processing power to handle all concurrent users and to allow client software to run on the server When deploying Terminal Services, you must purchase and correctly configure all required licenses to ensure compliant, smooth operation.

Sau khi cấu hình Terminal Services, bạn có thể bắt đầu triển khai phần mềm khách và máy chủ Terminal Services cung cấp ba công cụ cốt lõi để quản lý hiệu quả: tiện ích cấu hình để thiết lập hệ thống, tiện ích quản trị để giám sát và điều phối hoạt động, và công cụ tạo client để quản lý, phân phối và đồng bộ hóa các server và client.

Trong bài học này, người học sẽ hiểu cách Terminal Services hoạt động và vai trò của nó trong quản trị môi trường làm việc từ xa Bài viết trình bày chi tiết các bước cài đặt Terminal Services trên máy chủ và cách cấu hình nhằm tối ưu kết nối với các máy khách Bạn sẽ nắm vững quy trình quản lý máy chủ và máy khách của Terminal Services, từ cấp quyền người dùng, thiết lập phiên làm việc cho người dùng đến theo dõi hiệu suất và bảo mật Đồng thời, nội dung cũng hướng dẫn cách quản lý từ xa, xử lý sự cố và duy trì hệ thống Terminal Services ổn định và an toàn.

Terminal Services có thể chạy bằng một trong hai chế độ sau:

Trong chế độ quản trị từ xa, người quản trị có thể thực hiện các tác vụ quản trị từ bất kỳ máy khách nào trong mạng Điều này cho phép quản trị viên làm việc từ xa một cách linh hoạt và nhanh chóng, không bị giới hạn bởi vị trí vật lý Để đảm bảo an toàn cho hệ thống, cần áp dụng các biện pháp bảo mật phù hợp như xác thực mạnh, mã hóa kết nối và quản lý quyền truy cập trên từng máy khách trong mạng.

Trong chế độ máy chủ ứng dụng (application server mode), người dùng truy cập từ xa vào các chương trình ứng dụng được triển khai trên máy chủ Chế độ này cho phép Terminal Services phân phát môi trường Windows Desktop từ xa cho các máy tính có thể không chạy được Windows do hạn chế về phần cứng hoặc các lý do khác, giúp người dùng làm việc hiệu quả mà không cần cài đặt Windows lên từng máy.

Trong chế độ application server mode, giao diện đồ họa của máy chủ được truyền tới các máy khách từ xa và các máy khách này gửi tín hiệu bàn phím, chuột ngược lại cho máy chủ Các máy khách được gọi là thin client Người dùng có thể đăng nhập từ bất kỳ máy khách nào trên mạng và chỉ thấy các phiên làm việc (session) của riêng mình.

Terminal Services provides seamless management of each unique client session, delivering a consistent user experience across the network A wide range of hardware devices can run thin-client software, including endpoint devices and Windows-based PCs, enabling flexible, scalable deployments and centralized control.

Lợi ích của Terminal Services

Terminal Services cung cấp nhiều lợi ích làm cho nó trở thành giải pháp ưu việt nhất cho mạng:

Phát triển rộng hơn của Windows Server cho phép triển khai Terminal Services thay vì cài đặt một phiên bản đầy đủ của Windows Server trên từng máy tính Các máy có phần cứng không đáp ứng yêu cầu để chạy Windows Server đầy đủ vẫn có thể tận dụng nhiều tính năng của Windows Server thông qua Terminal Services, mang lại sự linh hoạt và tiết kiệm chi phí cho hạ tầng CNTT.

Sự hoạt động đồng thời giữa phần mềm thin client và các hệ điều hành độc lập giúp tối ưu hóa kết nối và quản trị hệ thống Với Terminal Services, người dùng mạng có thể tiếp tục sử dụng hệ điều hành có sẵn trên máy cá nhân của họ đồng thời tận dụng các lợi ích của môi trường Windows Server, như xử lý tập trung, bảo mật và quản lý tài nguyên từ xa Đây là giải pháp cho phép truy cập từ xa vào ứng dụng và dữ liệu trên máy chủ Windows Server mà vẫn duy trì trải nghiệm thao tác quen thuộc của người dùng đối với hệ điều hành riêng trên máy tính Nhờ cơ chế này, doanh nghiệp có thể cải thiện tính linh hoạt, giảm chi phí phần cứng và tăng hiệu quả làm việc từ nhiều thiết bị và địa điểm khác nhau.

Phát triển ứng dụng được đơn giản hóa nhờ triển khai trên Terminal Services Thay vì phải cài đặt và cập nhật ứng dụng trên từng máy trong mạng, quản trị viên có thể cài đặt một bản sao duy nhất trên máy chủ Terminal Services và cho phép người dùng truy cập từ đó Nhờ cách làm này, mọi người dùng đều được đảm bảo tiếp cận với phiên bản mới nhất của ứng dụng mà không cần thực hiện các thao tác cài đặt riêng lẻ trên mỗi máy trạm.

Quản trị từ xa cho máy chủ bằng Terminal Services cho phép người quản trị điều khiển và quản lý máy chủ từ xa, bất kể ở đâu họ đang ở Điều này mang lại sự tiện lợi và linh hoạt khi người quản trị cần rời xa máy chủ trong một khoảng thời gian nhất định, giúp theo dõi, bảo trì và xử lý sự cố từ xa mà không làm gián đoạn hoạt động của hệ thống.

Mô hình xử lý của Terminal Services

Mục tiêu của bài viết là giới thiệu các thành phần của Terminal và làm rõ chức năng của từng thành phần, giúp người đọc hiểu cấu trúc và cách vận hành của Terminal Nội dung cũng chỉ ra cách xác định ứng dụng sẽ được chia sẻ và loại phần cứng phù hợp để sử dụng, từ đó đảm bảo quyết định về triển khai thuận lợi và tối ưu hóa hiệu suất hệ thống.

2.1 Các thành phần của Terminal Services

Terminal Services consists of three components: the Terminal Services server, the Remote Desktop Protocol, and the Terminal Services client The Terminal Services server communicates with the Terminal Services client using the Remote Desktop Protocol.

Hầu hết các hoạt động của Terminal Services diễn ra trên Terminal Server (hay còn gọi là Terminal server) Khi Terminal Services ở chế độ ứng dụng trên máy chủ, toàn bộ ứng dụng sẽ chạy trực tiếp trên server Terminal Server sẽ gửi thông tin về màn hình tới client và chỉ nhận input từ chuột và bàn phím Vì vậy, server phải theo dõi các session đang hoạt động và quản lý chúng liên tục để đảm bảo kết nối người dùng được duy trì.

During the installation of Terminal Services, the Remote Desktop Protocol (RDP) is installed automatically RDP is the only connection that needs to be configured to allow a client to connect to the Terminal Server You can configure only one RDP connection on each network card.

Bạn có thể sử dụng công cụ cấu hình của Terminal Services để thiết lập các thuộc tính của kết nối RDP, bao gồm mã hóa và quyền truy cập Đồng thời, công cụ này cho phép hạn chế thời gian hoạt động của các session trên máy khách.

Terminal Services client (hay Terminal client) sử dụng công nghệ thin client để phân phối Windows Server Desktop tới người dùng Người dùng chỉ cần thiết lập một kết nối tới máy chủ và xem giao diện đồ họa được máy chủ gửi về Quá trình này phần mềm cần chạy một phần trên máy khách và có thể hoạt động trên những máy tính cũ, thậm chí những máy không thể cài Windows Server Nhờ mô hình này, người dùng có thể truy cập môi trường Windows Server từ nhiều thiết bị với yêu cầu phần cứng thấp hơn và quản lý tập trung, giúp tối ưu hóa tài nguyên và dễ dàng bảo trì cho doanh nghiệp.

2.2 Lập kế hoạch cấu hình Terminal Services

Trước khi triển khai Terminal Services, cần xác định rõ ứng dụng nào sẽ được chia sẻ và loại phần cứng phù hợp để vận hành chúng Những yêu cầu dành cho Terminal Services thường cao hơn nhiều so với Windows Server ở chế độ bình thường, đặc biệt khi người dùng đang làm việc ở chế độ ứng dụng của server.

Before implementing Terminal Services, carefully evaluate the scope and cost of registering and configuring Terminal Services Every client that connects to the Terminal Server must present a dedicated Terminal Services client certificate to establish a trusted, secure connection, which has implications for certificate management, licensing, and ongoing maintenance.

Xác định ứng dụng client

Các ứng dụng đi kèm với Terminal Services được cài đặt trên cơ sở mỗi máy tính (per-computer) thay vì trên cơ sở mỗi người dùng (per-user), nhằm đảm bảo chúng sẵn có cho mọi người dùng truy cập Terminal Services, dù là truy cập trực tiếp hay qua một session từ xa.

Terminal Services thường đòi hỏi thêm tài nguyên hệ thống để quản trị lưu lượng của client Cần nhận diện đặc tính của các chương trình có thể yêu cầu nhiều tài nguyên từ máy chủ; ví dụ, các chương trình chạy trên nền Intel nhưng đang vận hành trên máy Apple, các ứng dụng có nhiều hình ảnh và video, MS-DOS và các đoạn mã được thực thi liên tục (như bộ kiểm tra lỗi chính tả) có thể làm cạn kiệt tài nguyên Vì vậy nên hạn chế quyền truy cập tới những loại chương trình này chỉ cho người dùng thực sự cần thiết và vô hiệu hóa mọi tính năng tuỳ chọn của chúng có thể gây quá tải cho hệ thống.

Windows Server là một môi trường 32 bit, và để chạy các chương trình 16 bit, hệ điều hành phải sử dụng công nghệ Windows trên Windows (WOW), tiêu tốn tài nguyên hệ thống Việc dùng ứng dụng 16 bit làm giảm số người dùng mà một bộ xử lý đơn có thể phục vụ khoảng 40% và có thể tăng lượng bộ nhớ dành cho mỗi người dùng lên khoảng 50% Do đó, tốt nhất nên ưu tiên sử dụng ứng dụng 32 bit mỗi khi có thể để tối ưu hiệu suất và quản lý tài nguyên trên Windows Server.

Yêu cầu đối với Server và Client

Mục tiêu: cho phép xác định các yêu cầu về phần cứng đối với server và client để đảm bảo hiệu suất hoạt động dịch vụ Terminal Services

3.1 Các yêu cầu đối với Terminal Services server

Các yêu cầu phần cứng cho Terminal Server phụ thuộc vào số lượng client kết nối đồng thời và mức độ sử dụng của từng người dùng Để lên kế hoạch cấu hình tối ưu, cần xác định số kết nối đồng thời và loại tác vụ người dùng thực hiện để ước lượng nhu cầu về CPU, RAM, dung lượng lưu trữ và băng thông mạng Ngoài ra, yếu tố mở rộng và độ ổn định của mạng cũng ảnh hưởng đến hiệu suất tổng thể, vì vậy nên xem xét khả năng mở rộng cấu hình và các tùy chọn bổ sung phần cứng khi nhu cầu tăng lên.

Để Terminal Server hoạt động đầy đủ, nó yêu cầu tối thiểu một bộ xử lý Pentium và 128MB RAM; thêm vào đó là 10–20MB RAM cho mỗi kết nối của client, tùy thuộc vào ứng dụng mà client đang dùng Vì Terminal Server chia sẻ tài nguyên giữa các người dùng nên lượng RAM dành cho các người dùng chạy đồng thời sẽ ít hơn so với lượng RAM cần cho người dùng đầu tiên tải và chạy chương trình.

Để đạt hiệu suất cao, nên chọn kiến trúc bus có khả năng vận hành tốt như EISA, MCA hoặc PCI Bus ISA (AT) không thể truyền đầy đủ dữ liệu cho lưu thông mạng phát sinh từ một cách cài đặt Terminal Services thông thường.

Việc cân nhắc giữa ổ đĩa SCSI và các chuẩn nhanh hơn như FAST SCSI hay SCSI-2 rất quan trọng để tối ưu hiệu suất lưu trữ Để hoạt động tốt nhất, nên sử dụng ổ đĩa SCSI kết hợp với RAID, vì RAID chia dữ liệu trên nhiều đĩa giúp giảm thời gian truy cập và tăng thông lượng hệ thống.

Khi nhiều người dùng có thể truy cập Terminal server cùng lúc, cần sử dụng bộ điều hợp mạng tốc độ cao để đảm bảo hiệu suất và ổn định kết nối Giải pháp tối ưu là lắp đặt hai bộ điều hợp mạng trong máy chủ và dành một bộ cho lưu lượng mạng RDP, giúp tối ưu băng thông và giảm thiểu độ trễ cho người dùng.

3.2 Các yêu cầu đối với Terminal Services client

The Terminal Services client works well on a wide range of machines, including older hardware and endpoints that cannot install or run Windows Server The client-side software must run on the machines specified for this deployment.

• Các thiết bị đầu cuối nền Windows (nhúng)

• Các máy nền Intel và Alpha chạy Windows for Workgroup 3.11, Windows

95, Windows 98, Windows NT 3.51, Windows NT 4.0, Windows 2000

• Các máy Macintosh và Unix (với các phần mềm của các hãng thứ 3)

3.3 Xác định yêu cầu đăng ký chính xác

Terminal Services sử dụng một phương pháp đăng ký riêng; mỗi Terminal client phải nhận được một đăng ký hợp lệ từ Terminal Services licence server trước khi đăng nhập vào Terminal server, và điều này áp dụng cho chế độ application server mode Khi ở chế độ quản trị từ xa, hai session của client có thể được cấp đồng thời một cách tự động mà không cần nhận đăng ký từ license server.

Bạn có thể cấp quyền cho Terminal Services Licensing ngay trong quá trình cài đặt Windows Server hoặc sau đó thông qua biểu tượng Add/Remove Programs trong Control Panel Khi kích hoạt Terminal Services Licensing, bạn có thể chọn giữa hai loại license server để quản lý cấp phép cho người dùng và máy trạm, giúp hệ thống sẵn sàng cung cấp dịch vụ Terminal Services với đúng cơ chế cấp phép.

An enterprise license server can support Terminal Server across any Windows Server domain, enabling centralized licensing for Windows Server environments However, it cannot serve workgroups or Windows NT 4 domains, limiting its compatibility to modern domains.

• Một Domain license server chỉ có thể phục vụ Terminal server trong cùng miền

Trong các miền của Windows Server, Domain License Server bắt buộc được cài đặt trên máy điều khiển miền (Domain Controller) Đối với các nhóm làm việc và trên miền Windows NT4, Domain License Server có thể được cài đặt trên bất kỳ máy chủ thành viên nào.

Cài đặt Terminal Services

Mục tiêu: Trình bày các thao tác cài đặt Terminal Services Server, thêm người dùng vào danh sách người dùng được phép sử dụng Remote Desktop

4.1 Cài đặt Terminal Services Server

Terminal Server can be installed from Server Manager In Server Manager, click Roles in the left pane and click Add Roles in the results screen to launch the Add Roles Wizard If the introductory screen appears, click Next to list the available roles On the Select Server Roles screen, select Terminal Services and click Next.

Next để chọn các dịch vụ được yêu cầu

Lựa chọn dịch vụ để cài đặt

Sau khi nhấp Next, một cảnh báo sẽ xuất hiện đề xuất rằng các ứng dụng được truy cập bởi người dùng Terminal Services sẽ không được cài đặt cho đến khi các quy tắc của Terminal Services role được cấu hình; sau khi người dùng đọc thông tin, nhấn Next để tiếp tục đến màn hình xác thực Chọn 'Require Network Level Authentication' sẽ ngăn người dùng trên các hệ thống cũ hơn truy cập mà không được xác thực ở cấp mạng trước khi thiết lập phiên làm việc từ xa, và xác thực sẽ được thực hiện trước khi phiên làm việc từ xa được thành lập Nếu mức xác thực ít nghiêm ngặt được chấp nhận hoặc một số người dùng đang chạy hệ thống cũ, chọn 'Do not require Network Level Authentication' rồi nhấp Next để tiếp tục.

Màn hình Specify Licensing Mode cho phép chỉ định phương án cấp phép

- Configure later: cho phép sử dụng 120 ngày mà không cần cung cấp license (sử dụng công cụ Terminal Services hoặc Group Policy để cấu hình)

- Per Device: cho phép chỉ định số thiết bị kết nối bất kỳ lúc nào

- Per user: hạn chế người dùng truy nhập

Lựa chọn license để sử dụng

Cuối cùng, quyền truy cập vào terminal server cho người dùng và nhóm phải được xác định, mặc dù người dùng có thể được thêm vào hoặc loại bỏ bất cứ lúc nào bằng cách thay đổi thành viên của nhóm Remote Desktop Users Nhấp vào Add để thêm bất kỳ người dùng nào Nhấp vào Next để chuyển đến màn hình Confirmation, và chọn Install để bắt đầu quá trình cài đặt.

Sau khi cài đặt, khởi động lại hệ thống và đăng nhập với quyền administrator

4.2 Thêm người dùng vào nhóm Remote Desktop Users

Mặc định, tất cả các thành viên của nhóm Administration được phép kết nối từ xa Để thêm hoặc loại bỏ người dùng được cấp quyền truy cập từ xa, mở Control Panel -> System and Maintenance -> System -> Remote settings, chọn Select Users Trong hộp thoại Remote Desktop Users, hãy chỉ định những người dùng cần thêm vào hoặc xóa khỏi danh sách quyền truy cập từ xa.

Hộp thoại liệt kê người dùng được phép truy cập từ xa hiển thị danh sách các tài khoản có quyền truy cập từ xa vào máy tính Lưu ý: theo mặc định, người dùng có quyền quản trị đã được cấp quyền truy cập từ xa, nên không cần thêm họ vào danh sách.

Cấu hình và truy cập từ client vào Terminal Server

Bài viết trình bày các bước truy cập máy chủ thông qua Remote Desktop từ máy client và cách thoát khỏi phiên làm việc sau khi kết nối, đồng thời giải thích ý nghĩa của các tùy chọn cấu hình để tối ưu hóa kết nối từ xa và tăng tính bảo mật Bạn sẽ được hướng dẫn mở ứng dụng Remote Desktop, nhập địa chỉ máy chủ và xác thực, thiết lập kết nối phù hợp với yêu cầu công việc; sau khi hoàn tất, cách ngắt hoặc đăng xuất khỏi phiên làm việc từ máy client để đảm bảo phiên làm việc được đóng an toàn Các tùy chọn cấu hình được giải thích gồm độ phân giải hiển thị, chia sẻ nguồn lực địa phương (bàn phím, âm thanh, clipboard, máy in và lưu trữ), mức bảo mật kết nối, cấu hình gateway cho truy cập qua mạng riêng hoặc công cộng, và các thiết lập trải nghiệm người dùng như tối ưu hóa hiệu suất mạng, thay đổi màu sắc và chất lượng hình ảnh, nhằm mang lại hiệu quả làm việc từ xa mà vẫn đảm bảo an toàn dữ liệu.

5.1 Truy cập từ client vào Terminal Server

Sau khi được cài đặt và cấu hình trên server, có thể truy cập từ client vào Terminal Server bằng một trong hai cách:

- Start -> All Programs -> Accessories -> Remote Desktop Connection

Hộp thoại chỉ định tên hay địa chỉ máy server cần kết nối

5.2 Tùy chọn cấu hình máy khách Remote Desktop

Trong hộp thoại Remote Desktop Connection, chọn Options:

- General: Lưu trữ thông tin đăng nhập và thông tin section

- Display: sử dụng các thiết lập trên server với máy client

- Local Resources: chỉ định tài nguyên cục bộ được sử dụng trong suốt phiên Remote Desktop

- Programs: cho phép các chương trình cụ thể được tự động kích hoạt mỗi khi một phiên từ xa được thiết lập

Trong trải nghiệm làm việc từ xa, người dùng có thể điều khiển các tính năng được kích hoạt hoặc vô hiệu hóa để phù hợp với nhu cầu công việc Tại đây cũng có các tùy chọn giúp tự động tái lập kết nối khi phiên làm việc bị ngắt, nhằm duy trì liên kết và giảm thiểu gián đoạn.

- Advanced: kích hoạt hoặc vô hiệu hoá xác thực từ xa

5.3 Thoát khỏi phiên truy cập từ xa

Khi nhấn vào biểu tượng X trên bảng điều khiển tại máy client, phiên truy cập từ xa vẫn tiếp tục chạy trên máy chủ; điều này có nghĩa là nếu người dùng kết nối lại sau đó, phiên làm việc từ xa vẫn đang hoạt động Để kết thúc phiên truy cập từ xa, hãy vào Start và chọn Log Off để đóng phiên truy cập từ xa này.

Thực hiện đa kết nối truy cập từ xa

Để quản lý các phiên kết nối đến nhiều máy chủ từ xa đồng thời trong cùng một cửa sổ, sử dụng công cụ MMC Remote Desktops Mở Start → Run và gõ tsmmc.msc để mở MMC quản lý Terminal Services Trong giao diện vừa hiện ra, ở khung bên trái chọn Remote Desktops, sau đó từ menu chọn Add a new connection để thêm các kết nối từ xa mới Lặp lại bước này cho từng máy chủ cần quản lý và kết quả là bạn có thể điều phối và theo dõi nhiều phiên Remote Desktop cùng lúc mà không phải mở nhiều cửa sổ riêng.

Thêm kết nối truy cập từ xa và sau khi hoàn tất, phiên làm việc sẽ xuất hiện ở cửa sổ chính Để chuyển đổi giữa các phiên, chọn tên phiên trên cửa sổ bên trái và giao diện tương ứng của phiên đó sẽ được hiển thị ngay lập tức.

1 Terminal Services là gì ? Trình bày các lợi ích của Terminal Services

2 Trình bày các thành phần của Terminal Services và chức năng của mỗi thành phần

- Cài đặt Terminal Services Server

- Cài đặt Terminal Services Licence Server

- Cho phép account có quyền sử dụng Terminal Services

- Cài đặt Terminal Services Client

2 Cấu hình và quản lý Terminal Services

- Khởi động Terminal Services Manager

- Theo dõi và quản lý các user đang connect

3 Thực hiện Remote Desktop từ client.

TINH CHỈNH VÀ GIÁM SÁT MẠNG WINDOWS SERVER

Tổng quan về công cụ tinh chỉnh

Mục tiêu: Giới thiệu sơ lược về các công cụ dùng để quan sát và tinh chỉnh hệ thống với hệ điều hành Windows Server

Trong vai nhà quản trị mạng, hệ thống máy chủ chứa dữ liệu quan trọng phải vận hành liên tục Tuy nhiên, khi quản trị viên cố gắng truy cập máy chủ, xuất hiện lỗi từ chối dịch vụ và không thể kết nối, làm dấy lên nghi ngờ về tính sẵn sàng của hệ thống Sau khi rà soát, một số dữ liệu đã bị mất, vì vậy cần xác định ai đã gây ra sự cố Việc ghi log hệ thống không chỉ giúp phát hiện các lỗi trong quá trình vận hành mà còn cho phép nhận diện những truy cập bất hợp pháp, từ đó tăng cường an ninh và ngăn ngừa sự cố trong tương lai.

All issues related to Windows system logs are handled using two built-in tools: Event Viewer and the Reliability and Performance Monitor These tools provide comprehensive access to log events, performance data, and reliability metrics, helping you diagnose problems, monitor system health, and analyze event histories directly within Windows.

Quan sát các đường biểu diễn hiệu năng bằng Reliability and Performance

This article presents a detailed guide to using Performance Monitor to observe granular counters for target objects and to use Reliability Monitor to track the overall reliability of a Windows system You will learn how to select and add the right performance counters, configure data collector sets, and visualize real-time and historical data to monitor CPU, memory, disk, and network activity, as well as custom counters relevant to your workload It also explains how Reliability Monitor displays a reliability history, identifies crashes and failures, and helps interpret the system stability index to pinpoint causes of instability Combined, Performance Monitor and Reliability Monitor provide precise performance insights and long-term reliability trends that assist in capacity planning, troubleshooting, and improving system resilience.

When it comes to system monitoring, the two core tools are Windows Performance Monitor and the Reliability Monitor, both part of the Reliability and Performance Monitor suite To use the Reliability and Performance Monitor tools, open the Start menu, select Run, and in the Run dialog type perfmon.msc.

Performance Monitor là một công cụ mạnh để giám sát chi tiết các counter của nhiều đối tượng hệ thống, với tính năng thêm bớt rất linh hoạt cho phép người dùng chỉ cần nhấn dấu + để thêm counter mới hoặc nhấn X để bỏ đi những counter không cần thiết Mặc định hệ thống sẽ giám sát ba đối tượng là Memory, PhysicalDisk và Processor Các thuộc tính đặc trưng của từng đối tượng gồm Memory với Pages/sec, PhysicalDisk với AVG Disk Queue Length, và Processor với % Processor Time (hình 2.1).

Figure 2.1 shows the Performance Monitor interface To add counters for a specific object, click the plus (+) button to open a window Figure 2.2 illustrates adding the Processor's % User Time counter.

Hình 2.2 – Thêm các counter vào theo dõi Sau đó loại bỏ toàn bộ các counter khác của các đối tượng khác và chỉ giám sát mỗi counter % User Time của processor mà thôi – xem hình 2.3

Hình 2.3 – Giám sát counter % User Time của đối tượng Processor

Khi cần xem lại, nhắp chuột phải vào cửa sổ, chọn Save Settings As… để lưu với định dạng html Với định dạng này có thể view trực tiếp hoặc có thể xem các quá trình đã được ghi lại trong hệ thống (hình 2.6.)

Hình 2.6 – Xem lại các thiết lập đã được ghi lại bởi định dạng file html

2.2 Reliability Monitor Độ tin cậy của một hệ thống là thước đo mức độ thường xuyên hệ thống hoạt động như là cấu hình và dự kiến sẽ thực hiện Độ tin cậy có thể giảm khi ứng dụng ngừng đáp ứng, dừng và khởi động lại các dịch vụ, khởi tạo các trình điều khiển bị lỗi, hoặc trong trường hợp xấu nhất, khi hệ điều hành bị lỗi

Reliability Monitor cung cấp thông tin tổng quan về tình trạng hệ thống một cách nhanh chóng và dễ hiểu Đồng thời, công cụ theo dõi các sự kiện và lỗi để xác định nguyên nhân gây ra sự cố bằng cách ghi lại các lỗi liên quan đến bộ nhớ, ổ cứng, ứng dụng và hệ điều hành, cùng với các sự kiện cấu hình quan trọng của hệ thống như cài đặt ứng dụng mới và cập nhật hệ điều hành Việc theo dõi liên tục các lỗi và thay đổi cấu hình giúp người dùng nắm bắt nhanh nguyên nhân xảy ra sự cố và tối ưu hiệu suất máy tính.

Reliability Monitor ước tính chỉ số ổn định hệ thống (System Stability Index) và thể hiện trên một biểu đồ dễ hiểu, cho phép xác định nhanh các vấn đề có thể xảy ra Các báo cáo kèm theo cung cấp thông tin chi tiết giúp nhận diện nguyên nhân gây lỗi và đưa ra các bước khắc phục hiệu quả Quan sát các thay đổi trên hệ thống từ báo cáo—ví dụ cài đặt hoặc gỡ bỏ ứng dụng, cập nhật hệ điều hành hay lỗi phần cứng—quản trị viên có thể xây dựng chiến lược giải quyết sự cố một cách nhanh chóng và có hệ thống.

Ghi lại sự kiện hệ thống bằng công cụ Event Viewer

Mục tiêu: Quản lý hệ thống mạng không thể thiếu phần giám sát hệ thống

Để quản trị hệ thống CNTT hiệu quả, cần điều chỉnh thiết lập ghi log sao cho chỉ ghi lại những yếu tố thiết yếu Ví dụ, máy chủ File Server chỉ cần giám sát quá trình truy cập tài nguyên, còn máy chủ Active Directory nên theo dõi quá trình đăng nhập vào hệ thống Trong phần này, chúng ta sẽ giới thiệu công cụ Event Viewer, một công cụ ghi lại các sự kiện của hệ thống và hỗ trợ quản trị viên theo dõi, phân tích cũng như tối ưu hóa hoạt động của toàn bộ hệ thống CNTT.

Event Viewer là công cụ tích hợp sẵn trong Windows cho phép xem lại toàn bộ các sự kiện xảy ra trên hệ thống một cách chi tiết với các tham số quan trọng như người dùng (user), thời gian (time), máy tính (computer) và các dịch vụ liên quan Các sự kiện riêng lẻ được lọc và gom thành các nhóm sự kiện tương đồng, giúp người dùng nhanh chóng nhận diện, đối chiếu và trích xuất thông tin cần thiết Nhờ tính năng lọc và phân loại này, quản trị viên hệ thống có thể theo dõi hoạt động, chẩn đoán sự cố và nắm bắt tình trạng của hệ thống Windows một cách hiệu quả.

Event Viewer organizes events into separate logs by application On a default Windows Server installation, Event Viewer exposes the Application, Security, and System logs To open Event Viewer, launch Server Manager, right-click the Computer icon, choose Manage, and then navigate to Event Viewer.

Hình 2.8 – Event viewer chia các vùng log riêng biệt cho các ứng dụng

Log ứng dụng ghi lại các sự kiện từ các ứng dụng do nhà sản xuất khác nhau như Symantec và các ứng dụng email Thông thường, cấu hình của log này được để ở chế độ mặc định của từng ứng dụng, cho phép đọc nhưng không cho phép chỉnh sửa hay cấu hình lại Vì vậy, người quản trị chỉ có quyền xem log thay vì tùy chỉnh tham số ghi nhận, cảnh báo và lưu trữ Để khai thác hiệu quả nguồn dữ liệu này, cần rà soát các tùy chọn cấu hình có sẵn từ nhà cung cấp và thiết lập quyền truy cập phù hợp, đồng thời xem xét tích hợp log với hệ thống SIEM hoặc công cụ giám sát để nâng cao bảo mật và vận hành.

Hình 2.9 – các sự kiện được lưu lại trong application log Trong ví dụ trên application log chỉ được phần mềm symantec sử dụng

3.2 Security log Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại toàn bộ các thiết lập audit trong group policy Nhưng trong các thiết lập group policy quan trọng nhất là thiết lập giám sát quá trình login vào hệ thống, truy cập dữ liệu

Hình 2.10 – Thiết lập audit trong group policy

Thiết lập này tập trung giám sát quá trình đăng nhập và đăng xuất trên hệ thống Với cấu hình như trên, mọi người dùng sẽ bị ghi lại khi đăng nhập hoặc đăng xuất sau khi áp dụng Group Policy; do đó nên đăng xuất hoặc khởi động lại máy để đảm bảo các thay đổi trong Group Policy — vốn là sự điều chỉnh các tham số trong Registry — có hiệu lực và được ghi nhận đầy đủ.

Sau khi logoff ra và login vào sẽ thấy ghi lại trong security log (hình 2.11)

Hình 2.11 – Xem lại event logon vào hệ thống của các user

Upon logging into the computer and opening Event Viewer, you can see that the system has recorded a login event: the username vangtrang on computer vnexperts, with a "Success Audit" event at 8:10:06 PM.

System log được thiết lập mặc định của hệ thống giúp chúng ta xem lại các sự kiện: Bật, tắt, pause, disable, enable các services của hệ thống

Chẳng hạn, một service bật bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer

Figure 2.12 shows how to view an event in the system log, illustrating a server failure caused by a LAN conflict where two machines share the same hostname or the same IP address The log properties provide essential details—timestamp, event ID, source, and a descriptive message—that help IT teams diagnose and resolve network name and IP address conflicts impacting server availability.

Log properties giúp chúng ta cấu hình dung lượng file log, cách xoá các event cũ đi như thế nào, và những tính năng lọc các sự kiện

Hình 2.13 – Tab General của Security Properties Đây là thiết lập cho security properties: Với file log tên là gì và ở đâu:

%SystemRoot%\System32\Winevt\Logs\Security.evtx

Dung lượng tối đa cho file log này là 20480 KB Tuy nhiên, chúng ta có thể cấu hình để lớn hơn hoặc nhỏ hơn mức này Khi dung lượng file log vượt quá 20480 KB, hệ thống sẽ tự động xóa các sự kiện cũ theo thuật toán FIFO (First In, First Out) – vào trước ra trước.

Sử dụng Task Manager

Windows Task Manager cho phép người dùng kiểm tra các ứng dụng, quá trình và dịch vụ đang chạy trên máy tính, đồng thời cung cấp các thống kê hữu ích về hiệu suất máy tính và mạng Người dùng có thể dùng Task Manager để khởi chạy, dừng các chương trình và dừng các quá trình khi cần thiết Để sử dụng, mở Task Manager bằng một trong các cách có sẵn trên máy tính của bạn.

• Nhắp phải vào vùng trống trong taskbar và chọn Task Manager

• Nhấn Ctrl-Alt-Delete, sau đó nhắp Task Manager

Các tab trong Task Manager sau khi được mở:

Tab Applications liệt kê danh sách các chương trình đang chạy trên máy tính, giúp người dùng nắm bắt nhanh các ứng dụng đang hoạt động Tuy nhiên, các ứng dụng chạy trong System Tray sẽ không xuất hiện trong danh sách này Bạn có thể sử dụng Tab Applications để thoát các chương trình bị treo mà không thể thoát theo cách thông thường, từ đó khắc phục sự cố và tối ưu hóa hiệu suất máy tính.

1 Nếu muốn thoát một chương trình, chọn chương trình và chọn nút End Task Tính năng này rất hữu dụng khi có một chương trình nào đó đang được mở nhưng không đáp trả các lệnh đầu vào Task Manager có thể giúp thoát các chương trình như vậy; Tuy nhiên, cách thoát này có thể làm mất những thông tin chưa được lưu

2 Để mở một chương trình, chọn chương trình và chọn nút Switch To

3 Để khởi chạy một chương trình mới, nhắp New Task Sau đó đánh vào lệnh hoặc nhắp Browse để duyệt đến ứng dụng Chức năng này làm việc tương tự như Run trong menu Start

Tab Processes liệt kê danh sách các quá trình đang chạy Việc kết thúc một quá trình có thể làm mất dữ liệu chưa lưu, tuy nhiên kết thúc quá trình của ứng dụng không đáp trả thường là cách duy nhất để thoát khỏi chương trình đó Cần hiểu rõ mục đích của quá trình muốn kết thúc, vì việc kết thúc các quá trình của hệ thống có thể gây ra trục trặc cho toàn bộ hệ thống Quản lý quá trình đúng cách giúp giảm rủi ro mất dữ liệu và duy trì ổn định cho hệ điều hành.

1 Để kết thúc một quá trình của một ứng dụng đang chạy, nhắp phải vào entry ứng dụng trong tab Applications và nhắp Go To Process Quá trình ứng dụng sẽ được đánh dấu trong tab Processes

2 Để kết thúc một quá trình đã được đánh dấu, nhắp End Process Có thể kết thúc một ứng dụng theo cách này khi việc nhắp End Task trong tab Applications không có tác dụng

3 Nhắp phải vào quá trình và sau đó nhắp End Process Tree để kết thúc quá trình đó cũng như các quá trình có liên quan

Services là các chương trình hỗ trợ chạy ở chế độ background Hầu hết các chương trình này sẽ khởi chạy tự động ở thời điểm khởi động máy tính

1 Để khởi chạy một dịch vụ, nhắp phải vào dịch vụ đã bị dừng và chọn Start

2 Để dừng một dịch vụ, nhắp phải vào dịch vụ đang chạy và chọn Stop Service

3 Để xem quá trình có liên quan với dịch vụ, nhắp phải vào dịch vụ đang chạy và chọn Go To Process Thao tác này sẽ cho phép phát hiện ra dịch vụ có ngốn nhiều tài nguyên hay không

Tab này hiển thị thông tin về hiệu suất hệ thống

1 Trong CPU Usage hiển thị tham số hiệu suất CPU và đồ thị sử dụng CPU CPU đa lõi sẽ có nhiều đường đồ thị hiển thị

2 Memory hiển thị tham số hiệu suất CPU và đồ thị hiệu suất

3 Phía dưới là các thống kê khác nhau về số handle, thread và process đang chạy cũng như hiệu suất sử dụng bộ nhớ

Tab Networking chứa các đồ thị dùng hiển thị hiệu suất sử dụng mạng Bên dưới các đồ thị sẽ có những thống kê bổ sung

Trong tab Users hiển thị danh sách tất cả user có trạng thái tích cực (active) trong hệ thống

1 Đánh dấu user và nhắp Logoff để kết thúc phiên làm việc của người dùng đó

2 Đánh dấu user và nhắp Disconnect để kết thúc phiên làm việc của người dùng nhưng vẫn dự trữ trong bộ nhớ, sau đó người dùng có thể đăng nhập trở lại và tiếp tục công việc của họ

Event Viewer là công cụ quan trọng để giám sát hệ thống Windows, cho phép quản trị viên theo dõi log sự kiện và phát hiện truy cập trái phép tại các thời điểm cụ thể Nhờ khả năng phân tích các sự kiện, người quản trị có thể nhận diện dấu hiệu bất thường và hành vi đáng ngờ trong hệ thống Với tính năng lọc sự kiện, công cụ giúp giới hạn danh sách những sự kiện cần giám sát, tối ưu hóa quá trình phân tích và nâng cao hiệu quả bảo mật hệ thống.

1 Trình bày chức năng các công cụ: Counter Log, Trace log, Alert log trong System Monitor

2 Cho biết ý nghĩa của các phân vùng trong event viewer: Application, Security, System

Thiết lập giám sát một thư mục dữ liệu là cách để theo dõi toàn bộ quá trình truy cập và các hành động liên quan đến thư mục đó Ở ổ E, thư mục quan trọng VNEDATA cần được áp dụng các thiết lập giám sát toàn bộ truy cập nhằm ghi nhận người dùng, thời điểm và loại thao tác được thực hiện Việc giám sát chi tiết giúp phát hiện truy cập bất thường, tăng cường an ninh dữ liệu và hỗ trợ quản trị hệ thống hiệu quả Thực thi giám sát thư mục VNEDATA trên ổ E tối ưu hóa an toàn dữ liệu và đáp ứng các yêu cầu bảo mật.

Khi cần lưu lại quá trình truy nhập trên một folder dữ liệu, cần phải thiết lập auditing trên folder đó Các thiết lập được thực hiện như sau:

- Nhắp phải chuột lên folder cần thiết lập auditing (chẳng hạn folder VNDATA), chọn Property;

- Từ cửa sổ (VNDATA) Properties, chọn tab Security, chọn Advanced;

- Trong cửa sổ Advanced Security Settings for (VNDATA), chọn nút Edit…;

- Khi xuất hiện hộp thoại mới, chọn nút Add…

- Đánh dấu chọn các đối tượng cần thiết lập, chọn OK

Sau khi thiết lập, restart lại máy và thử dùng một user khác để đăng nhập và truy xuất vào folder VNDATA

Quay lại phần quản trị người dùng và nhấp đúp vào sự kiện bạn muốn xem Khi hộp thoại Event Properties hiện lên, sẽ hiển thị các thông tin liên quan đến quá trình truy cập, giúp bạn nắm bắt chi tiết và nguồn gốc của sự kiện.

Hình 2.17 – Xem lại audit object access

Nhìn vào log sự kiện cho thấy vào 7:14:56 PM ngày 08/10/2012, người dùng có tên dungtnq từ máy tính có tên WWIN-JJOQ9UL2BDG đã đăng nhập vào hệ thống Việc tận dụng tính năng audit và xem lại các sự kiện giúp phát hiện truy cập bất hợp pháp và quy trách nhiệm cụ thể cho những kẻ phá hoại.

KHÔI PHỤC SERVER KHI BỊ HỎNG

Các biện pháp phòng ngừa

Mục tiêu của bài viết là trình bày một số biện pháp phòng ngừa đối với server nhằm ngăn ngừa rủi ro cho hệ thống và bảo vệ dữ liệu Để giữ cho server an toàn, cần thực hiện các yêu cầu như cập nhật vá lỗi và bảo mật định kỳ, quản lý và kiểm soát quyền truy cập với xác thực mạnh và nguyên tắc tối thiểu, sao lưu dữ liệu và khôi phục nhanh khi gặp sự cố, giám sát hệ thống liên tục để phát hiện bất thường, triển khai tường lửa và hệ thống phát hiện xâm nhập (IDS/IPS), mã hóa dữ liệu khi truyền và lưu trữ, kiểm tra lỗ hổng bảo mật định kỳ và vá các lỗ hổng kịp thời, đồng thời quản lý cấu hình và tuân thủ chính sách an toàn thông tin.

- Duy trì nhiều bản sao đối với dữ liệu quan trọng, các server có vai trò quan trọng (chẳng hạn Domain Controller)

- Bảo vệ mạng về mặt vật lý

- Bảo vệ dữ liệu hệ thống và dữ liệu người dùng bằng chiến lược lưu dự phòng hợp lý

- Chuẩn bị kế hoạch khôi phục từng thời điểm

- Tìm hiểu cách server hoạt động để có thể giải quyết trục trặc và có thể ngăn ngừa phát sinh về sau

- Cài đặt các hotfix, patch, và service pack do nhà cung cấp phát hành

Để bảo vệ dữ liệu quan trọng trên server, sử dụng các volume đĩa có tính chịu lỗi và các giải pháp bảo vệ từ phần mềm hoặc phần cứng Để giảm thiểu tổn hại do hỏng hóc của server – không chỉ là hỏng hóc về đĩa – dữ liệu có thể được sao chép ra nhiều nơi trên mạng nhằm đảm bảo sao lưu và phục hồi nhanh chóng.

Nguyên tắc dự phòng có thể áp dụng cho mạng máy tính, đặc biệt khi có nhiều Domain Controller, giúp quá trình khôi phục trở nên đơn giản hơn cho quản trị viên trong trường hợp một máy bị hỏng Thay vì phải khôi phục cấu trúc miền từ các bản sao lưu hoặc xây dựng lại toàn bộ hệ thống, ta có thể để quy trình sao chép (replication) đảm trách việc khôi phục, đảm bảo tính sẵn sàng của dịch vụ và rút ngắn thời gian gián đoạn bằng cách duy trì sự đồng bộ dữ liệu giữa các Domain Controller.

1.2 Bảo vệ điện năng cho server

Việc sử dụng UPS cho mọi máy chủ và thiết bị phần cứng của mạng giúp đảm bảo nguồn điện ổn định ngay cả khi có sự cố điện UPS đóng vai trò bảo vệ mạng khỏi thiệt hại do sự thay đổi điện áp đột ngột và giúp kéo dài tuổi thọ thiết bị Bên cạnh đó, bảo vệ nguồn điện còn là cách bảo vệ dữ liệu khỏi nguy cơ mất mát do mất nguồn đột xuất hoặc gián đoạn cung cấp điện.

1.3 Quan tâm về môi trường

Làm giảm các hỏng hóc do môi trường sinh ra bằng cách tránh xa môi trường

Trong mọi tình huống có vấn đề liên quan đến hệ thống, hãy đảm bảo phòng chứa server được điều hòa không khí, tránh ánh nắng trực tiếp và để xa mọi yếu tố có thể gây ô nhiễm hoặc gây hại cho server Việc duy trì môi trường ổn định về nhiệt độ và độ ẩm giúp tối ưu hiệu suất, tăng độ bền của thiết bị và giảm thiểu rủi ro sự cố cho hệ thống CNTT.

1.4 Hạn chế tiếp cận server

Những người đang sử dụng mạng hoặc không có phận sự sẽ không được phép tiếp cận máy chủ, vì quyền truy cập và an ninh mạng của hệ thống được đảm bảo Điều này có nghĩa là người dùng thông thường không được thực hiện các thao tác tại máy chủ khi thiếu quyền truy cập hợp lệ, và mọi hành động trên máy chủ phải tuân thủ các quy định về bảo mật và quyền truy cập.

- Reboot hoặc tắt các server

- Lấy đĩa cứng có chứa dữ liệu ra khỏi server khi chưa được phép

- Cài đặt lại hệ điều hành máy

- Hạn chế quyền truy cập vào server

1.5 Sử dụng hiệu quả password

- Không cho mạo danh lẫn nhau để sử dụng tài khoản và mật khẩu trên tài khoản

- Sử dụng mật khẩu có độ phức tạp cao - nếu phải crack thì cần phải có nhiều thời gian để thực hiện

- Ngăn ngừa việc tiếp cận tài khoản của người khác.

Các phương pháp sao lưu dự phòng và khôi phục dữ liệu

Đề bài này trình bày các phương pháp phòng chống mất mát dữ liệu một cách hiệu quả thông qua việc ứng dụng công cụ backup và restore, nhằm khôi phục nhanh chóng khi gặp sự cố hoặc hỏng hóc máy chủ Bằng cách triển khai chiến lược sao lưu định kỳ, lưu trữ dữ liệu ở nhiều vị trí an toàn và tự động hóa quy trình phục hồi, tổ chức có thể giảm thiểu rủi ro mất dữ liệu và thời gian gián đoạn vận hành Các phương pháp cốt lõi gồm sao lưu đầy đủ (full backup), sao lưu gia tăng (incremental) và sao lưu theo phiên bản, kiểm tra khả năng phục hồi định kỳ, quản lý vòng đời sao lưu và tự động hóa phục hồi dữ liệu để đảm bảo tính sẵn sàng của server Bên cạnh đó, việc giám sát liên tục, bảo mật sao lưu và tài liệu hóa quy trình sẽ nâng cao độ tin cậy và khả năng đáp ứng nhanh với mọi tình huống mất dữ liệu.

Windows Server Backup cho phép tạo bản sao lưu để khôi phục lại ứng dụng và dữ liệu nhằm khôi phục hệ thống khi có sự cố đối với server Việc sao lưu giúp bảo vệ dữ liệu và đảm bảo khả năng khôi phục nhanh chóng, giảm thiểu thời gian gián đoạn dịch vụ Để thực hiện sao lưu hiệu quả, cần xác định phạm vi sao lưu (bao gồm ứng dụng, dữ liệu và hệ điều hành), thiết lập lịch sao lưu định kỳ, chọn đích lưu trữ an toàn và kiểm tra định kỳ tính toàn vẹn của bản sao lưu để đảm bảo sẵn sàng khôi phục khi cần.

Xác định vị trí lưu trữ bản sao lưu và lưu trữ trên đĩa đính kèm hoặc thư mục được chia sẻ từ xa Đảm bảo đĩa lưu trữ được đính kèm và luôn trực tuyến, với dung lượng tối thiểu lớn hơn 2,5 lần so với dung lượng cần lưu trữ Mặc định, nếu lưu trữ bản sao trong thư mục được chia sẻ từ xa, sao lưu sẽ bị ghi đè mỗi khi tạo bản sao lưu mới; nếu bạn muốn lưu nhiều bản sao lưu, không nên chọn tùy chọn này.

- Cài đặt công cụ Backup, bằng cách:

+ Mở Server Manager, nhắp phải vào Features, chọn Add Features;

+ Trong cửa sổ Add Features Wizard, đánh dấu chọn mục Windows Server Backup Features; chọn Next; chọn Install

1 Mở công cụ Backup: Start -> Administrative Tools -> Windows Server Backup; hoặc từ cửa sổ Server Manager, chọn Storage, chọn Windows Server Backup

2 Tại khung Actions, chọn Backup Schedule…

3 Khi hộp thoại Backup Schedule Wizard – Getting started xuất hiện, chọn Next;

4 Trong trang Select backup configuration, chọn kiểu backup, chọn Next

+ Full server: sao lưu tất cả các volume trên server Đây là tùy chọn được khuyến cáo nên chọn

Custom: sao lưu volume được chỉ định Khi chọn tùy chọn này, bạn cần xác định trên trang Select Items for Backup bằng cách chọn Add Items Trong cửa sổ Select Items, chọn volume cần sao lưu và chọn OK để xác nhận.

5 Trong hộp thoại Specify Backup Time, chọn tần suất và thời điểm thực hiện backup rồi chọn Next;

6 Trên trang Specify Destination Type, chỉ định vị trí lưu trữ bản sao:

- Back up to a hard disk that is dedicated for backups: Chỉ định lưu bản sao trên một đĩa cứng dành riêng;

- Back up to a shared network folder: Chỉ định lưu bản sao trên một thư mục được chia xẻ

7 Trên trang Confirmation, xem các thông tin chi tiết rồi chọn nút Finish để hoàn tất

2.2 Khôi phục dữ liệu a Khôi phục file và Folder

Có thể sử dụng Recovery Wizard trong Windows Server Backupđể khôi phục các file và Folder từ bản sao lưu Trước khi bạn bắt đầu, cần phải:

- Đảm bảo tồn tại ít nhất một sao lưu trên một đĩa ngoài hoặc trong Folder được chia xẻ từ xa

- Hãy chắc chắn rằng đĩa ngoài hoặc Folder được chia xẻ từ xa đang lưu trữ bản sao lưu là trực tuyến và có sẵn cho máy chủ

Xác định các file hoặc Folder muốn khôi phục Để khôi phục file hoặc Folder, sử dụng giao diện Windows Server Backup:

1 Từ Start menu, chọn Administrative Tools, chọn Windows Server Backup

2 Trong khung Actions chọn Recover để mở Recovery Wizard Trên trang Getting Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next

3 Trên trang Select Backup Date , chọn thời điểm khôi phục, rồi chọn Next

4 Trên trang Select Recovery Type , chọn Files and folders, chọn Next

5 Chọn thư mục với các nội dung cần khôi phục trong trang Select Items to Recover, chọn Next

6 Trên trang Specify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục

7 Chọn phương thức khôi phục (tạo bản sao / Ghi đè …) rồi chọn Next:

8 Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọn Next

9 Chọn Recover trên trang Confirmation để khôi phục các đối tượng được chỉ định b Khôi phục ứng dụng và dữ liệu

Có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục ứng dụng và dữ liệu liên quan đến từ bản sao lưu

Trước khi bắt đầu, hãy đảm bảo có ít nhất một bản sao lưu cho các ứng dụng được lưu trên máy cục bộ hoặc trong một thư mục được chia sẻ từ xa Đồng thời, đĩa chứa bản sao lưu hoặc thư mục chia sẻ từ xa đó phải ở trạng thái trực tuyến và có sẵn để truy cập.

1 Từ Start menu, chọn Administrative Tools, chọn Windows Server Backup

2 Trong khung Actions chọn Recover để mở Recovery Wizard Trên trang Getting Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next

3 Trên trang Select Backup Date , chọn thời điểm khôi phục, rồi chọn Next

4 Trên trang Select Recovery Type , chọn Applications, chọn Next

5 Lựa chọn các thiết lập liên quan đến ứng dụng cần khôi phục, chọn Next

6 Trên trang Specify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục

7 Chọn phương thức khôi phục (tạo bản sao / Ghi đè …) rồi chọn Next:

8 Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọn Next

9 Chọn Recover trên trang Confirmation để khôi phục các đối tượng được chỉ định c Khôi phục đĩa

Bạn có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục lại đĩa Khi thực hiện khôi phục đầy đủ cho một đĩa, toàn bộ nội dung và cấu trúc của đĩa đó sẽ được phục hồi đúng như trong bản sao lưu, đảm bảo dữ liệu và phân vùng được khôi phục đầy đủ.

1 Từ Start menu, chọn Administrative Tools, chọn Windows Server Backup

2 Trong khung Actions chọn Recover để mở Recovery Wizard Trên trang Getting Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next

3 Trên trang Select Backup Date , chọn thời điểm khôi phục, rồi chọn Next

4 Trên trang Select Recovery Type , chọn Volumes, chọn Next

5 Lựa chọn các thiết lập liên quan đến đĩa cần khôi phục, chọn Next

6 Chọn Recover trên trang Confirmation để khôi phục các đối tượng được chỉ định d Khôi phục hệ điều hành và server

You can restore the server's operating system or the entire server by using Windows Recovery Environment (WinRE) together with a backup previously created with Windows Server Backup.

Có thể truy cập công cụ phục hồi và xử lý sự cố trong Windows Recovery Environment thông qua hộp thoại System Recovery Options trong Install Windows

Trong Windows Server 2008 R2, để khởi động công cụ Repair Your Computer, hãy khởi động từ đĩa cài đặt Windows hoặc khởi động lại máy tính, nhấn F8 ở màn hình boot và chọn Repair Your Computer từ danh sách các tùy chọn khởi động.

1 Đặt đĩa cài đặt Windows vào khay đĩa, khởi động lại máy, chờ xuất hiện cửa sổ Install Windows Wizard

2 Trong Install Windows, chọn ngôn ngữ cài đặt rồi chọn Next

4 Trên trang System Recovery Options , chọn System Image Recovery sẽ mở trang Re-image your computer

5 Lựa chọn phương thức khôi phục rồi chọn Next

6 Chọn nút Finish để hoàn tất.

Công cụ System Information

Mục tiêu: Sử dụng công cụ System Information cho phép xem các thông tin hệ thống bao gồm:

- Tóm tắt thông tin hệ thống

- Tài nguyên về phần cứng hệ thống

- Thông tin cấu hình dành cho phần cứng của Server đối với thiết bị đang được sử dụng

- Phần mềm đang được thực thi trên hệ thống Để sử dụng System Information, mở menu Start -> Run, gõ msinfo32.exe

System Summary hiển thị thông tin về hệ thống một cách tóm lược

Hình 3.15 – Thông tin từ System Summary

Folder Hardware Resources hiển thị thông tin về tài nguyên của hệ thống

Hình 3.16 – Thông tin từ Folder Hardware Resources

Folder Components hiển thị thông tin về tài nguyên của hệ thống cùng với các thiết bị đang được sử dụng

Hình 3.17 – Thông tin từ Folder Components

Folder Software Environment hiển thị thông tin về các phần mềm đang được thực thi trên hệ thống

Hình 3.18 – Thông tin từ Folder Software Environment

1 Trình bày sơ lược các biện pháp phòng ngừa đối với Server

2 Cho biết các phương pháp sao lưu dự phòng Server

1 Lưu dự phòng dữ liệu đĩa C: gồm các thư mục: Documents and Settings, Program Files, Windows (tên file dự phòng: BACKUP, lưu vào đĩa D:\LUUTRU)

- Mở công cụ Backup, chọn Back up files and settings

- Chọn đối tượng cần lưu dự phòng (các thư mục: Documents and Settings, Program Files, Windows)

- Chỉ định vị trí và tên file lưu trữ

2 Khôi phục dữ liệu từ file dự phòng BACKUP

- Mở công cụ backup, chọn Restore files and settings

- Lựa chọn đối tượng để khôi phục dữ liệu (Documents and Settings, Program Files, Windows)

3 Thực hiện lưu dự phòng và khôi phục Active Directory trên server đang quản trị

- Mở công cụ Backup, chọn Back up files and settings

- Trong cửa sổ Items to Back Up đánh dấu vào mục System State

4 Xem thông tin về hệ thống bằng công cụ System bao gồm:

- Tóm tắt thông tin hệ thống

- Tài nguyên về phần cứng hệ thống

- Thông tin cấu hình dành cho phần cứng của Server đối với thiết bị đang được sử dụng

- Phần mềm đang được thực thi trên hệ thống.

CÀI ĐẶT VÀ QUẢN LÝ REMOTE ACCESS SERVICES (RAS)

Các khái niệm và các giao thức

Bài viết cung cấp cái nhìn tổng quan về dịch vụ truy cập từ xa, tập trung vào các phương thức kết nối phổ biến và các giao thức được sử dụng để bảo vệ và cấp quyền truy cập từ xa Dịch vụ truy cập từ xa cho phép người dùng kết nối từ vị trí địa lý bất kỳ tới mạng hoặc hệ thống doanh nghiệp, tối ưu hóa khả năng quản trị và làm việc từ xa Các phương thức kết nối nổi bật bao gồm VPN (Virtual Private Network) với các biến thể như IPsec và VPN dựa trên TLS, Remote Desktop với RDP hoặc VNC, và các kết nối SSH cho truy cập dòng lệnh an toàn Trong khi đó, các giao thức được sử dụng để bảo mật và quản lý kết nối từ xa gồm TLS/SSL để mã hóa dữ liệu, IPSec cho mạng riêng ảo, và các giao thức xác thực như SSH hoặc Kerberos trong môi trường Windows Việc đánh giá đúng các giao thức và phương thức kết nối sẽ giúp tối ưu hóa bảo mật, hiệu suất và khả năng quản trị khi triển khai dịch vụ truy cập từ xa.

1.1 Tổng quan về dịch vụ truy cập từ xa

Dịch vụ truy cập từ xa (Remote Access Service) cho phép người dùng từ xa có thể truy cập từ một máy tính qua một môi trường mạng truyền dẫn, ví dụ mạng điện thoại công cộng, để kết nối vào một mạng dùng riêng và hoạt động như thể máy tính đó được kết nối trực tiếp với mạng ấy Người dùng từ xa kết nối tới mạng thông qua một máy chủ dịch vụ gọi là máy chủ truy cập (Access server), từ đó họ có thể sử dụng các tài nguyên trên mạng như đang ở trong mạng đó Dịch vụ này còn cung cấp khả năng thiết lập một kết nối WAN bằng các mạng phương tiện truyền dẫn giá thành thấp, như mạng thoại công cộng Dịch vụ truy cập từ xa cũng là cầu nối cho một máy tính hay một mạng máy tính được nối đến Internet với chi phí hợp lý, phù hợp với các doanh nghiệp và tổ chức quy mô vừa và nhỏ Khi lựa chọn và thiết kế giải pháp truy cập từ xa, chúng ta cần quan tâm đến các yêu cầu sau:

− Số lượng kết nối tối đa có thể để phục vụ người dùng từ xa

− Các nguồn tài nguyên mà người dùng từ xa muốn muốn truy cập

Trong lĩnh vực công nghệ kết nối, việc lựa chọn công nghệ, phương thức và thông lượng phù hợp đóng vai trò then chốt để tối ưu hiệu suất mạng và chất lượng dịch vụ Các phương thức kết nối phổ biến hiện nay bao gồm sử dụng modem qua mạng điện thoại công cộng PSTN cho các kết nối cơ bản, và khai thác các mạng số hóa tích hợp các dịch vụ ISDN để tăng thông lượng và độ tin cậy Mô hình kết nối hiện đại cần cân nhắc yếu tố tương thích với hạ tầng hiện có, độ ổn định đường truyền, chi phí triển khai và khả năng mở rộng, nhằm đáp ứng ngày càng cao về băng thông, độ trễ và chất lượng trải nghiệm người dùng.

− Các phương thức an toàn cho truy cập từ xa, phương thức xác thực người dùng, phương thức mã hoá dữ liệu

− Các giao thức mạng sử dụng để kết nối

1.2 Kết nối truy cập từ xa và các giao thức sử dụng trong truy cập từ xa a Kết nối truy cập từ xa

Quá trình truy cập từ xa bắt đầu khi người dùng từ xa khởi tạo kết nối tới máy chủ truy cập, kết nối được thiết lập dựa trên một giao thức truy cập từ xa như PPP Máy chủ truy cập xác thực người dùng và duy trì kết nối cho đến khi người dùng hoặc quản trị hệ thống kết thúc phiên làm việc Với tư cách là gateway, máy chủ truy cập trao đổi dữ liệu giữa người dùng từ xa và mạng nội bộ, cho phép người dùng từ xa gửi và nhận dữ liệu qua máy chủ Dữ liệu được truyền theo các định dạng do các giao thức mạng như TCP/IP xác định và sau đó được đóng gói bởi các giao thức truy cập từ xa Nhờ kết nối này, toàn bộ dịch vụ và nguồn tài nguyên trong mạng của người dùng từ xa có thể được truy cập thông qua kết nối truy cập từ xa.

Hình 4.1 – Kết nối truy cập từ xa b Các giao thức mạng sử dụng trong truy cập từ xa

Khi triển khai dịch vụ truy cập từ xa, các giao thức mạng phổ biến gồm TCP/IP, IPX và NetBEUI TCP/IP là bộ giao thức cơ bản gồm TCP và IP, là nền tảng cho truyền thông liên mạng và được sử dụng rộng nhất hiện nay nhờ khả năng định tuyến và mở rộng phù hợp với mọi mạng IPX (Internet Packet Exchange) dành cho mạng Novell NetWare, có khả năng định tuyến và thường được triển khai trên các hệ thống mạng cũ NetBEUI là giao thức không định tuyến, thích hợp cho mạng LAN nhỏ, đơn giản và cho phép truy cập dễ dàng tới hầu hết tài nguyên mạng mà không cần cấu hình định tuyến.

1.3 Modem và các phương thức kết nối vật lý a Modem

Máy tính xử lý dữ liệu ở dạng số và khi truyền trên các môi trường truyền dẫn khác nhau, như mạng điện thoại công cộng, ta cần một thiết bị để chuyển đổi tín hiệu số thành tín hiệu phù hợp với môi trường truyền dẫn và ngược lại Thiết bị ấy được gọi là Modem (Modulator/Demodulator) Nhờ Modem, tín hiệu số được biến đổi sang dạng tương thích với đường truyền và ngược lại, đảm bảo dữ liệu có thể được truyền qua mạng điện thoại Hình 4.2 mô tả kết nối sử dụng modem qua mạng điện thoại.

Modem sử dụng các phương pháp nén dữ liệu nhằm tăng tốc độ truyền dữ liệu, và hiệu suất nén phụ thuộc vào loại dữ liệu Hai giao thức nén phổ biến là V.42bis và MNP 5 có thể cho hiệu quả từ 0% đến 400% hoặc cao hơn tùy thuộc tính dữ liệu tự nhiên Chuẩn V.90 cho phép modem nhận dữ liệu với tốc độ tối đa 56 Kbps qua mạng điện thoại công cộng PSTN V.90 xem PSTN như một mạng số và sẽ mã hóa dòng dữ liệu ở dạng số thay vì chỉ điều chế như các chuẩn trước đây.

Trong khi truyền dữ liệu từ khách hàng lên nhà cung cấp, tín hiệu được điều chế theo các nguyên tắc thông dụng với tốc độ tối đa 33,6 Kbps và giao thức uplink dựa trên chuẩn V.34 Sự khác biệt giữa tín hiệu số ban đầu và tín hiệu số được phục hồi tại đầu nhận được gọi là tạp âm lượng tử, và chính tạp âm này hạn chế tốc độ truyền dữ liệu Giữa các modem đầu cuối tồn tại một hạ tầng kết nối mang tên mạng thoại công cộng (PSTN) Các chuẩn modem trước đây giả định hai đầu kết nối vào mạng điện thoại công cộng ở dạng tương tự; công nghệ V.90 tận dụng ưu thế của tổ chức mạng bằng cách một đầu kết nối giữa hệ thống truy cập từ xa và mạng thoại công cộng ở dạng số hoàn toàn, trong khi đầu kia vẫn kết nối vào PSTN ở dạng tương tự Nhờ đó có thể khai thác lợi ích của liên kết số với tốc độ cao; vì chỉ có quá trình biến đổi A/D gây ra tạp âm, khi kết nối số được duy trì lượng tử hóa giảm và nhiễu lượng tử rất ít trong cấu trúc mạng này.

Kết nối qua mạng điện thoại công cộng PSTN là một phương pháp phổ biến, nơi máy tính được nối với modem nội bộ hoặc qua cổng truyền số liệu COM; tốc độ tối đa có thể đạt tới 56 Kbps cho tải xuống và 33,6 Kbps cho tải lên, với các chuẩn điều chế phổ biến như V90, K56Flex và X2 Bên cạnh đó, vẫn có các modem hoạt động trên hạ tầng cơ sở thấp hơn theo chuẩn V.24, V.32Bis và V.32.

Phương thức thứ hai là sử dụng mạng truyền số liệu đa dịch vụ ISDN Phương thức này có chi phí cao hơn so với các phương án khác, nhưng ngày càng được phổ biến rộng rãi trên thị trường Việc ứng dụng mạng ISDN mang lại nhiều lợi ích cho người dùng, nổi bật nhất là tốc độ truyền dữ liệu nhanh và khả năng truyền số liệu ổn định, phù hợp cho các tổ chức và doanh nghiệp cần hiệu suất truyền thông cao.

Các lựa chọn kết nối ISDN có thể là ISDN BRI 2B+D (2×64 Kbps dữ liệu và 16 Kbps dùng cho điều khiển) hoặc ISDN PRI 23B+D (23×64 Kbps dữ liệu và 64 Kbps dùng cho điều khiển), thực hiện qua Terminal Adapter (TA) hoặc các card ISDN Một phương thức thay thế ít được sử dụng là truyền số liệu qua mạng X.25, tốc độ không cao nhưng an toàn và bảo mật cao; để triển khai, người dùng cần có thẻ X.25 hoặc thiết bị PAD (Packet Assembled/Disassembled) Ngoài ra, có thể thiết lập kết nối trực tiếp qua cáp modem, cho tốc độ cao nhưng đòi hỏi modem truyền số liệu có chi phí cao.

An toàn trong truy cập từ xa

Để đảm bảo an toàn cho truy cập từ xa, hệ thống cần tập trung vào quy trình nhận thực và xác thực khi có yêu cầu kết nối, đồng thời áp dụng các phương thức mã hóa dữ liệu phù hợp để tạo ra cơ chế an toàn hiệu quả cho truy cập từ xa.

2.1 Các phương thức xác thực kết nối a Quá trình nhận thực

Quá trình nhận thực với các giao thức xác thực diễn ra khi người dùng từ xa gửi yêu cầu xác thực tới máy chủ truy cập, thiết lập một thỏa thuận giữa người dùng từ xa và máy chủ truy cập về phương thức xác thực sẽ được sử dụng Nếu không có phương thức xác thực nào được triển khai, PPP sẽ khởi tạo kết nối giữa hai điểm ngay lập tức Phương thức xác thực có thể được áp dụng với cơ sở dữ liệu địa phương (lưu trữ username và password trên máy chủ truy cập) để kiểm tra sự trùng khớp của thông tin đăng nhập, hoặc gửi yêu cầu xác thực tới một máy chủ khác để xác thực từ xa, phổ biến nhất là các RADIUS server (điểm này sẽ được trình bày ở phần sau).

Sau khi kiểm tra các thông tin trả về từ cơ sở dữ liệu địa phương hoặc từ máy chủ RADIUS, hệ thống xác định tính hợp lệ của dữ liệu; nếu dữ liệu hợp lệ, tiến trình PPP sẽ khởi tạo một kết nối, ngược lại yêu cầu kết nối của người dùng sẽ bị từ chối Đối với xác thực, giao thức PAP được sử dụng để xác thực danh tính người dùng trong quá trình thiết lập kết nối PPP.

PAP là một phương thức xác thực trên liên kết PPP nhưng không an toàn, vì nó gửi username và password ở dạng plaintext có thể bị đọc được bằng các công cụ phân tích gói tin khi kết nối đang diễn ra Điều này có nghĩa thông tin gửi từ người dùng tới máy chủ truy cập không được mã hóa và dễ bị lộ trong quá trình truyền dữ liệu Quá trình PAP bắt đầu sau khi hai đầu cuối thỏa thuận giao thức xác thực trên liên kết PPP; người dùng từ xa gửi thông tin đăng nhập (ví dụ username: nntrong, password: ras123) tới máy chủ truy cập từ xa, và máy chủ sẽ kiểm tra các thông tin này trong cơ sở dữ liệu trước khi quyết định cho phép hay từ chối kết nối Để khắc phục, các hệ thống thường chuyển sang giao thức xác thực CHAP để tăng cường bảo mật.

Trong cơ chế xác thực CHAP trên liên kết PPP giữa hai đầu cuối, máy chủ truy cập gửi một thách thức (challenge) tới người dùng từ xa và người dùng trả lời bằng giá trị được tính toán từ hàm hash một chiều; máy chủ kiểm tra và so sánh đáp án với hash do nó tự tính ra, nếu hai giá trị khớp quá trình xác thực thành công và kết nối được duy trì, ngược lại bị hủy bỏ CHAP cung cấp cơ chế an toàn nhờ tính ngẫu nhiên và không thể đoán được của thách thức, làm cho mật khẩu không bị lộ qua mạng khi trao đổi Thông tin về username và password không được truyền đi ở dạng plaintext, giúp chống lại các truy cập trái phép và lấy cắp mật khẩu trên đường kết nối Bên cạnh đó, giao thức xác thực mở rộng EAP mở ra các phương thức xác thực linh hoạt hơn cho mạng hiện đại.

Ngoài các giao thức xác thực cơ bản như PAP và CHAP, Windows còn hỗ trợ thêm một số giao thức nhằm tăng cường an toàn, bảo mật và khả năng truy cập đa dạng, trong đó nổi bật là giao thức xác thực mở rộng EAP (Extensible Authentication Protocol) EAP cung cấp một khung xác thực linh hoạt cho phép nhận diện một kết nối gọi vào theo nhiều cơ chế khác nhau Người dùng và máy chủ truy cập từ xa sẽ trao đổi với nhau để xác định giao thức EAP chính xác được sử dụng cho quá trình xác thực.

EAP hỗ trợ các hình thức sau:

Việc sử dụng thẻ vật lý để cấp mật khẩu mang lại lớp bảo mật mạnh mẽ cho hệ thống Những thẻ này triển khai nhiều phương thức xác thực khác nhau, điển hình như các đoạn mã thay đổi theo từng lượt sử dụng, giúp mật khẩu trở nên động và khó bị khai thác ngay cả khi dữ liệu trước đó bị lộ.

− Hỗ trợ MD5-CHAP, giao thức mã hoá tên người sử dụng, mật khẩu sử dụng thuật toán mã hoá MD5 (Message Digest 5)

Hỗ trợ sử dụng cho các thẻ thông minh, bao gồm thẻ và thiết bị đọc thẻ, để xác thực danh tính người dùng một cách nhanh chóng và an toàn Các thông tin xác thực của cá nhân người dùng được ghi lại trên thẻ thông minh, giúp quá trình xác thực diễn ra trực tiếp và bảo mật khi tương tác với hệ thống.

Những nhà phát triển phần mềm độc lập có thể tận dụng giao diện chương trình ứng dụng EAP để thiết kế và tích hợp các module phần mềm cho các công nghệ áp dụng cho thẻ nhận dạng và thẻ thông minh, đồng thời mở rộng khả năng tương thích với các phần cứng sinh học như nhận dạng võng mạc và các hệ thống xác thực dựa trên mật khẩu một lần (OTP).

2.2 Các phương thức mã hóa dữ liệu

Dịch vụ truy cập từ xa đảm bảo an toàn cho dữ liệu bằng cách mã hóa và giải mã dữ liệu được truyền giữa người dùng và máy chủ truy cập, giúp bảo vệ thông tin khỏi rò rỉ và truy cập trái phép khi kết nối từ xa Quá trình này làm tăng bảo mật cho cả người dùng và hệ thống, đồng thời tối ưu hóa sự tin cậy của kết nối từ xa Hai phương thức mã hóa dữ liệu phổ biến được sử dụng là mã hóa đối xứng và mã hóa phi đối xứng, mỗi phương thức mang lại ưu điểm về bảo mật và hiệu suất cho các tình huống truy cập từ xa khác nhau.

Phương thức mã hóa đối xứng là kỹ thuật mã hóa ở dạng thông tin đọc được, được mã hóa bằng một khoá bí mật mà chỉ người mã hóa mới nắm giữ Ở phía người nhận, dữ liệu mã hóa được giải mã bằng cùng khoá bí mật để trả về dạng gốc ban đầu Điểm nổi bật của phương pháp này là việc sử dụng một khoá bí mật cho cả quá trình mã hóa và giải mã, giúp quá trình xử lý nhanh và đơn giản Tuy nhiên, nhược điểm chính của phương pháp này là cần có quá trình trao đổi khoá bí mật giữa các bên trước khi giao tiếp, làm gia tăng nguy cơ lộ khoá bí mật nếu quá trình trao đổi không được bảo mật.

Để khắc phục hạn chế của mã hóa đối xứng và khó khăn trong việc trao đổi khóa bí mật, người ta đã áp dụng phương pháp mã hóa phi đối xứng, còn được gọi là mã hóa bằng khóa công khai Phương pháp này dựa trên sự tồn tại của hai khóa có quan hệ toán học với nhau: khóa công khai có thể dùng để mã hóa dữ liệu, còn khóa bí mật (khóa riêng) mới có thể giải mã Nhờ cơ chế khóa công khai – khóa bí mật, quá trình trao đổi khóa trở nên an toàn mà không cần chia sẻ khóa bí mật trước và tăng cường bảo mật cho các giao dịch dữ liệu nhờ đặc tính khó phá giải của các cặp khóa này.

Trong mã hóa phi đối xứng, khóa bí mật được giữ kín và không cần trao đổi trên mạng, trong khi khóa công khai có thể được mọi người sở hữu Do dùng hai khóa khác nhau nên phương thức này được gọi là mã hóa phi đối xứng Mặc dù khóa bí mật được giữ kín, nó khác với “secret key” trong mã hóa đối xứng, vì khóa bí mật không được trao đổi qua mạng Khóa công khai và khóa bí mật có quan hệ toán học với nhau và được sinh ra thông qua các hàm toán học một chiều, nhưng các hàm này đảm bảo không thể suy ra được khóa bí mật từ khóa công khai và ngược lại.

Có mối quan hệ toán học giữa các khóa mã hóa: dữ liệu được mã hóa bằng khóa công khai và chỉ có khóa bí mật tương ứng mới giải mã được Giao thức được sử dụng phổ biến để bảo vệ dữ liệu trên mạng là IPSec, và hầu hết các máy chủ dựa trên phần cứng hoặc phần mềm ngày nay đều hỗ trợ IPSec IPSec là một tập các chuẩn mở được thiết kế để đảm bảo bảo mật, an toàn và toàn vẹn dữ liệu cho các kết nối IP bằng các biện pháp mã hóa, giúp bảo vệ chống lại các hành động phá hoại từ bên ngoài Các client khởi tạo một mối liên hệ bảo mật hoạt động tương tự như quá trình khóa công khai để mã hóa dữ liệu Bạn có thể cấu hình IPSec thông qua các chính sách, cho phép nhiều mức độ bảo vệ và khả năng đảm bảo an toàn cho từng loại dữ liệu Các chính sách IPSec được thiết lập phù hợp với từng người dùng, từng nhóm người dùng, cho một ứng dụng, một nhóm miền hoặc toàn bộ hệ thống mạng.

Triển khai dịch vụ truy cập từ xa

Đoạn văn này trình bày các phương thức kết nối từ xa, các điều kiện và điều đặt cần thiết để người quản trị cấp quyền truy cập và mức độ sử dụng nguồn tài nguyên trên mạng cho người dùng từ xa Việc kết nối từ xa thông qua VPN (mạng riêng ảo) là giải pháp cho phép người dùng kết nối tới trụ sở chính bằng hạ tầng mạng công cộng như Internet, đồng thời đảm bảo quản lý quyền truy cập và bảo mật dữ liệu khi làm việc từ xa.

3.1 Kết nối gọi vào và kết nối gọi ra

Để cho phép người dùng từ xa truy cập vào mạng, cần cấu hình máy chủ truy cập cho các kết nối gọi vào và xác định các tham số cơ bản như phương thức xác thực người dùng, mức độ và hình thức mã hóa dữ liệu (hoặc không mã hóa nếu được cho phép), các giao thức mạng sẽ được sử dụng cho truy cập từ xa, các thiết đặt về chính sách và quyền truy cập của người dùng từ xa, mức độ được phép truy cập, phương thức cấp phát địa chỉ IP cho máy truy cập từ xa, cùng với các yêu cầu cấu hình để thiết lập các kết nối VPN Kết nối gọi ra cũng có thể được thiết lập để gọi ra tới một mạng riêng hoặc tới một ISP.

Windows server hỗ trợ các hình thức kết nối sau:

Khi kết nối tới mạng dùng riêng, ta sẽ phải cung cấp số điện thoại của điểm kết nối, có thể là số điện thoại của ISP, của mạng dùng riêng hoặc của máy tính phía xa, và xác định quyền sử dụng kết nối này.

Để kết nối Internet, có hai phương án phổ biến là kết nối qua đường thoại và qua mạng LAN Với đường thoại, các yếu tố cần quan tâm là số điện thoại truy nhập, cùng với tên đăng nhập và mật khẩu do ISP cung cấp để xác thực Với mạng LAN, bạn sẽ phải quan tâm đến cài đặt proxy server và một vài thiết đặt mạng khác nhằm tối ưu truy cập và bảo mật Việc chọn giữa hai phương án phụ thuộc vào yêu cầu về tốc độ, ổn định và quản lý mạng của bạn.

Thiết lập VPN là cách để tạo mạng riêng ảo, sử dụng các giao thức tạo đường hầm như PPTP, L2TP và IPsec nhằm đảm bảo kết nối an toàn và bảo mật thông tin khi truyền tải qua các mạng công cộng Khi cần kết nối tới mạng riêng thông qua một ISP trung gian, ta chọn một kết nối ra phù hợp để tối ưu đường đi Quá trình cấu hình VPN yêu cầu cung cấp địa chỉ máy chủ và địa chỉ mạng đích mà ta muốn kết nối tới, đồng thời thiết lập các quyền sử dụng kết nối để quản lý truy cập và bảo mật.

Kết nối trực tiếp giữa hai máy tính được thực hiện bằng một cáp thiết kế dành riêng cho liên kết trực tiếp hai thiết bị Trong cấu hình này, một máy được chọn làm máy chủ (chủ) và máy kia đóng vai trò là máy khách (máy nhận) Quá trình thiết lập đòi hỏi lựa chọn cổng hoặc giao diện mạng phù hợp trên cả hai máy để hai thiết bị có thể giao tiếp qua cáp kết nối trực tiếp Kết nối này cho phép truyền dữ liệu nhanh và chia sẻ tài nguyên giữa hai hệ thống mà không cần qua một mạng trung gian.

3.2 Kết nối sử dụng đa luồng (Multilink)

Multilink là công nghệ ghép nhiều liên kết vật lý thành một liên kết logic duy nhất nhằm tăng băng thông cho kết nối Internet Nó cho phép sử dụng hai hoặc nhiều cổng truyền thông như một cổng duy nhất có tốc độ cao, có nghĩa là ta có thể dùng hai modem để kết nối Internet với tốc độ gấp đôi so với mỗi modem riêng lẻ Multilink tăng băng thông và giảm độ trễ bằng cách chia các gói dữ liệu và gửi chúng qua các đường mạch song song Quản lý các kết nối của Multilink được thực hiện thông qua giao thức MPPP, và để triển khai cần có sự hỗ trợ của MPPP ở cả hai phía của kết nối.

Hình 4.3 – Kết nối sử dụng đa luồng

Hình 4.3 mô tả kết nối Multilink cho người dùng từ xa, khi họ sử dụng hai modem và hai đường thoại kết nối tới máy chủ truy cập Mỗi đường kết nối hoạt động theo chuẩn V.90 với tốc độ 56 kbps; nhờ công nghệ Multilink, hai đường truyền được ghép lại để tạo tổng băng thông 112 kbps giữa máy truy cập từ xa và máy chủ truy cập.

3.3 Các chính sách thiết lập cho dịch vụ truy nhập từ xa

Chính sách truy nhập từ xa là tập hợp các điều kiện và thiết đặt cho phép người quản trị mạng gán cho từng người dùng từ xa các quyền truy cập và mức độ sử dụng các nguồn tài nguyên trên mạng Thông qua các chính sách này, doanh nghiệp có thể triển khai nhiều lựa chọn phù hợp với từng cấp độ người dùng, từ đó tăng tính mềm dẻo và tính năng động khi cấp quyền truy nhập Việc chuẩn hóa quản trị quyền truy cập từ xa đồng thời giúp cải thiện an toàn, tối ưu hiệu suất mạng và kiểm soát nguồn tài nguyên hiệu quả.

Một chính sách truy cập từ xa điển hình gồm ba thành phần nhằm cung cấp truy cập an toàn có kiểm soát đến máy chủ truy cập: Điều kiện (Conditions), xác thực và phân quyền Điều kiện là danh sách tham số như ngày tháng, nhóm người dùng, mã người gọi và địa chỉ IP phù hợp với máy trạm đang kết nối tới máy chủ truy cập Bộ điều kiện đầu tiên này liên quan đến các tham số của yêu cầu kết nối được xử lý để quyết định sự cho phép truy cập và cấu hình phù hợp theo chính sách an toàn mạng.

Sự cho phép (Permission) xác định kết nối truy cập từ xa được cấp và gán trực tiếp cho từng người dùng thông qua các thiết đặt trong chính sách truy cập từ xa; ví dụ, một chính sách có thể cấp quyền cho toàn bộ người dùng trong một nhóm chỉ trong giờ làm việc từ 8:00 sáng đến 5:00 chiều, hoặc đồng thời cấp quyền truy cập liên tục 24/24 cho một nhóm người dùng khác Profile là phần thiết lập của mỗi chính sách áp dụng cho kết nối, bao gồm các thủ tục xác thực và mã hóa; các thiết đặt trong profile được thi hành ngay với các kết nối Ví dụ, nếu profile quy định cho một kết nối chỉ cho phép sử dụng 30 phút mỗi lần thì người dùng sẽ bị ngắt kết nối sau 30 phút.

Các điều kiện được gửi để tạo kết nối là cơ sở xác định quyền truy cập: nếu các điều kiện này không phù hợp sẽ khiến truy cập bị từ chối, còn nếu phù hợp sẽ được dùng để xác định quyền truy cập Máy chủ truy cập sẽ kiểm tra quyền dựa trên trạng thái cho phép hoặc từ chối: nếu thiết lập là Deny, người dùng bị từ chối; nếu thiết lập là Allow, người dùng được phép truy cập Khi quyền truy cập được xác định thông qua các chính sách truy cập, sự cho phép của các chính sách sẽ quyết định quyền của người dùng; nếu các chính sách từ chối, người dùng bị ngắt kết nối; nếu cho phép, hệ thống sẽ chuyển tới kiểm tra các chính sách trong profile, bước cuối cùng để xác định quyền truy cập của người dùng.

3.4 Sử dụng dịch vụ gán địa chỉ động DHCP cho truy cập từ xa

Khi thiết lập một máy chủ truy cập để cho phép người dùng từ xa kết nối vào mạng, ta có thể lựa chọn phương thức mà các thiết bị từ xa nhận được địa chỉ IP Lựa chọn phương thức cấp phát IP ảnh hưởng trực tiếp đến cách các máy từ xa nhận và sử dụng địa chỉ IP, từ đó ảnh hưởng tới hiệu suất, bảo mật và quản lý mạng Các phương thức phổ biến bao gồm cấp phát tự động bằng DHCP, cấp phát địa chỉ IP cố định theo cấu hình thủ công, và các giải pháp VPN để cung cấp địa chỉ IP cho người dùng từ xa Việc xác định phương thức phù hợp giúp tối ưu hóa kết nối từ xa, giảm thiểu xung đột địa chỉ IP và tăng tính linh hoạt cho việc mở rộng mạng.

Có hai phương thức cơ bản để cấp phát địa chỉ IP cho máy truy cập: gán IP tĩnh trên từng máy trạm và cấp phát động qua DHCP Với gán IP tĩnh, người dùng phải tự cấu hình thủ công địa chỉ IP, gateway và DNS cho mỗi máy và cần đảm bảo các tham số này hợp lệ và không trùng lặp trên mạng; do đó phương pháp này thường không được khuyến nghị cho máy truy cập từ xa Đối với truy cập từ xa, máy chủ có thể cấp phát động một địa chỉ IP thuộc phạm vi đã được cấu hình trên máy chủ truy cập, và cần lưu ý rằng phạm vi này nên được dành riêng cho các kết nối từ xa Phương thức dùng DHCP server cho phép máy chủ DHCP cấp phát cho máy truy cập từ xa một địa chỉ IP tự động và đồng thời cung cấp tập trung các thông tin cấu hình như gateway và DNS cho từng máy, giúp quản lý mạng linh hoạt và giảm công việc cấu hình thủ công; đặc biệt, không cần dành riêng một khoảng IP dự trữ cho máy truy cập từ xa và phương pháp này thích hợp cho mạng tổ chức với nhiều hình thức kết nối, khi có thay đổi về cấu trúc mạng vẫn có thể cập nhật cấu hình cho các máy truy cập mà không phải chỉnh lại từng thiết bị.

DHCP hoạt động như sau: khi DHCP client khởi động, nó gửi yêu cầu cấp phát địa chỉ IP từ DHCP server DHCP server nhận yêu cầu và chọn một địa chỉ IP từ pool (khoảng IP) được định nghĩa trong cơ sở dữ liệu của nó Sau đó, DHCP server cấp phát địa chỉ IP cho DHCP client Nếu DHCP client chấp nhận địa chỉ IP này, DHCP server sẽ cho thuê địa chỉ IP đó trong một khoảng thời gian cụ thể tùy theo cấu hình.

GROUP POLICY OBJECT

GIỚI THIỆU VỀ ISA SERVER

CÀI ĐẶT VÀ CẤU HÌNH SỬ DỤNG CÁC RULE TRONG ISA

DỊCH VỤ VIRTUAL PRIVATE NETWORK (VPN)

PUBLISHING

MONITOR ISA SERVER

Ngày đăng: 27/12/2022, 17:40

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w