Chương 6-logging mornitoringvquotas

Trang 1

Chương 6

LOGGING, MORNITORING VÀ QUOTAS

Trong chương này chúng ta sẽ nghiên cứu các vấn đề sau:

 Mở rộng quá trình theo dõi dcpromo

 Đăng ký chuẩn đoán dữ liệu

 Đăng ký theo dõi Netlogon

 Đăng ký tính năng theo dõi GPO Client

 Đăng ký theo dõi Kerberos trong file log

 Bật tính năng theo dõi quá trình truy vấn và cập nhật DNS Server

 Quan sát các thông tin thống kê về quá trình thực thi của DNS Server

 Đăng ký kiểm định các truy cập thư mục

 Cấu hình và sử dụng Disk Quotas trong Windows server 2003

I MỞ RỘNG QUÁ TRÌNH THEO DÕI DCPROMO

Khi ta muốn theo dõi những hoạt động của dcpromo để phân tích các hoạt động, cũng như các tình trạng hoạt động của Server (các hoạt động này mặc định sẽ không được thiết lập) Để có đủ thông tin quản lý Server, chúng ta nên đăng ký tính năng theo dõi này Quá trình theo dõi nếu được bật sẽ được ghi vào file log

1 Sử dụng giao diện đồ họa

 Tại Server vào Run nhập Regedit.exe và nhấp OK

 Tại cây bên trái chọn HKEY_LOCAL_MACHINE – SoFtware – Microsoft – Windows – CurrentVersion – AdminDebug – dcpromoui

Trang 2

Giáo trình Quản trị mạng Windows Server 2003 Chương 6 – Logging, Mornitoring và Quotas

 Tại ô bên phải nhấp đúp vào LogFlags và nhập một giá trị cho mục này sau

đó nhấp OK để hoàn thiện và đóng Registry Editor

 Giá trị này dùng để phân biệt với các giá trị khác để phân biệt trong log files

 Nếu trong mục dcpromoui chưa có cờ LogFlags ta nhấp phải chuột vào mục dcpromoui – New – DWORK Value và nhập tên là LogFlags

Trang 3

Const HKLM=&H80000002

strdcpromoReg=”Software\Microsoft\Windows\CurrentVersion\AdminBug\dcpromoui”

Set objReg=GetObject(“winmgmts:\\”& strDC & “\root\default:stdRegProv”)

ObjReg.SetDwordValue HKLM, strdcpromoR eg, “LogFlags”, IntFlag

Wscript.Echo “Dcpromoui flag set to “& IntFlag

 Lưu tập tin này với tên EnableLog.vbs Khi muốn bật tính năng ta chỉ cần nhấp đúp vào tập tin này là xong

 Đường dẫn đến file dcpromo.log như sau: C:\windows\debug\dcpromo.log

 File log này như sau:

II ĐĂNG KÝ CHUẨN ĐOÁN DỮ LIỆU

Trang 4

Nếu chúng ta muốn có đầy đủ thông tin để theo dõi khả năng làm việc cũng như

gỡ rối khi có một lỗi nào đó xảy ra trong hệ thống nhưng mặc định hệ thống lại không cung cấp đầy đủ các thông tin này vì vậy để thông tin được ghi lại một cách chính xác trong file log chúng ta thực hiện như sau:

 Vào Run nhập Regedit.exe để mở cửa sổ Registry Editor

 Tại ô bên trái nhấp chọn như sau: HKEY_LOCAL_MACHINE – System – CurrentControSet – Services – Diagnostics

 Tại ô bên phải nhấp đúp vào mục 1 Knowledge Consistency Checker, nhập vào một trong các số từ 1 đến 5, sau đó nhấp OK để áp dụng và đóng cửa sổ Registry Editor

Trang 5

Các giá trị sẽ được hiển thị trong file log.

Wscript.Echo “Diagnostics logging for “ & strLogSetting & “ set to “ & intFlag

 Lưu đoạn mã này với tên là Diagnostics.vbs, khi nào muốn thay đổi giá trị chỉ cần nhấp đúp tập tin để chạy là xong

Trang 6

Để theo dõi hoạt động đăng nhập của các client trong Domain Controller nhằm phục vụ cho việc dò lỗi hoặc giám sát miền chúng ta thực hiện đăng ký như sau:

Sử dụng giao diện dòng lệnh:

o Bật tính năng theo dõi: nltest /dbflag:0x2080ffff

o Vô hiệu hóa tính năng theo dõi: nltest /dbflag:0x0

IV ĐĂNG KÝ THEO DÕI GPO CLIENT

Muốn dò lỗi quá trình giám sát GPO trong Client hoặc Server bằng việc theo dõi Event log, chúng ta phải đăng ký tính năng theo dõi trong Registry

 Tại Server vào Run rồi nhập Regedit.exe để mở Registry Editor

 Trong ô bên trái chọn HKEY_ LOCAL_MACHINE – Software – Microsoft – Windows NT – CurrentVersion

 Nếu khóa Diagnostics chưa có thì nhấp phải chuột vào màn hình bên phải – New – Key Như hình trên

 Đặt tên cho khóa này là Diagnostics

Trang 7

 Nhấp phải chuột vào khóa Diagnostics – New DWORD và đặt tên là RunDiagnosticLoggingGroupPolicy.

 Tại ô bên phải nhấp đúp vào RunDiagnosticLoggingGroupPolicy và nhập giá trị

1 cho Value Data sau đó nhấp OK để áp dụng và đóng cửa sổ Registry Editor

Trang 8

Trang 9

Wscript.Echo ”Enabled GPO logging for “ & strComputer

 Lưu đoạn mã này với tên là EnableGPOClient.vbs, khi muốn bật tính năng này chỉ cần chạy tập tin EnableGPOClient.vbs là xong

V ĐĂNG KÝ THEO DÕI KERBEROS TRONG FILE LOG.

1 Tìm hiểu về Kerberos

Là giao thức bảo mật chính cho việc thẩm định quyền trong Domain Kerberos có chức năng xác định người dùng và các dịch vụ mạng Để bật tính năng theo dõi dịch vụ này ta phải đăng ký trong Registry

 Tại Server , vào Start – Run nhập Regedit.exe để mở cửa sổ Registry Editor

 Tại ô bên trái chọn HKEY_LOCAL_MACHINE – System – CurrentControlSet – Control – Lsa – Kerberos – Parameters

 Nếu chưa tồn tại giá trị LogLevel thì nhấp phải chuột vào Parameters – New – DWORD Value và đặt tên là LogLevel

 Nhấp đúp vào LogLevel và nhập giá trị 1

Trang 10

 Sau đó nhấp OK để áp dụng và đóng hộp thoại Registry Editor

objReg.SetDwordValue HKLM, strRegKey, “LogLevel”,1

Trang 11

Wscript.Echo “Enable Kerberos logging for “& strDC

 Lưu đoạn mã này với tên EnableKerberosLog.vbs là xong

VI BẬT TÍNH NĂNG THEO DÕI QUÁ TRÌNH TRUY VẤN VÀ CẬP NHẬT DNS SERVER

Để đăng ký tính năng theo dõi quá trình truy vấn và cập nhật DNS server phải đăng ký tính năng này trong DNS Manager

 Tại Server vào Start – Programs – Administrative Tool – DNS

 Nhấp phải chuột vào tên Server chọn Properties

 Chọn thẻ Debug Logging

 Nhấp chọn vào Log packets for debugging, sau đó nhấp chọn vào các mục chúng ta muốn ghi vào file log và chỉ đường dẫn ghi file log là C:\WINDOWS\system32\dns\dns\dns.log, rồi nhấp Apply để áp dụng và nhấp

OK để đóng hộp thoại

Trang 12

DNSServerName: Tên DNS Server, ví dụ 2K3

EventFlagSuminHex: Cờ trạng thái là số Hex

 Chỉ định vị trí lưu trữ file log: dnscmd<DNSServerName> /Config /LogFilePath

Tham số:

DNSServerName: Tên DNS Server

DirectoryAndFilePath: Thư mục lưu trữ file log

 Ghi thông tin về địa chỉ IP:

Dnscmd<DNSServerName>/ConFig/LogIPFilterList<IP Address 1 >[,<IP Address2>…]

Tham số:

IP Address 1: Địa chỉ IP 1

 Chỉ định dung lượng tối đa cho file log: dnscmd<DNSServerName>/Config/LogFileMaxSize<NumberofBytesinHex>

Trang 13

Tham số:

NumberofBytesinHex: Dung lượng tính bằng số Hex

VII QUAN SÁT CÁC THÔNG TIN THỐNG KÊ VỀ QUÁ TRÌNH THỰC THI CỦA DNS SERVER

Muốn theo dõi quá trình thực thi của DNS Server cũng như các tài nguyên mà DNS Server đang sử dụng có thể sử dụng tiện ích Performance

1 Tại Server vào Start – Programs – Administrative Tool – Performance

2 Tại ô bên trái, nhấp phải vào mục System Monitor để xem sơ đồ hoạt động của tài nguyên

1 Add: Nút này để thêm DNS và các tài nguyên cần kiểm tra

2 Counter Logs: Kích hoạt hệ thống cần kiểm tra

3 System Monitor: Màn hình theo dõi

4 Scheme: Biểu đồ hoạt động

5 Resource: Các tài nguyên đang kiểm tra

Trang 14

3 Tại ô bên trái, nhấp chọn Counters logs, tiếp theo nhấp phải chuột vào dịch vụ rồi chọn Start để khởi động dịch vụ

 Nhấp chọn System Monitor ở ô bên trái rồi nhấp nút Add

Trang 15

 Trong cửa sổ Add Counters nhập vào DNS muốn kiểm tra trong mục Select counters from Computers và chọn tài nguyên muốn kiểm tra trong mục Performance Objects Cuối cùng nhấp nút Add Nhấp nút Close để đóng hộp thoại Add Counters

 Các DNS: Là danh sách DNS hiện đang hoạt động trong hệ thống

 Performance Objects: Là các tài nguyên của hệ thống, như Processor, Memory

Trang 16

VIII ĐĂNG KÝ KIỂM ĐỊNH CÁC TRUY CẬP THƯ MỤC

Muốn đăng ký kiểm định các truy cập cũng như các thay đổi trên thư mục chúng ta phải cấu hình trong Security Event log

Tại Server:

 Mở Domain Controller Security Policies

 Trong ô bên trái chọn Local Policies – Audit Policy

 Trong ô bên phải , nhấp đúp vào mục Audit Directory Serveice Access, rồi nhấp chọn vào mục Success và Failure, tiếp theo nhấp nút Apply để áp dụng và nhấp OK để đóng hộp thoại Lựa chọn này có chức năng ghi lại quá trình thao tác của người dùng trên thư mục, kể cả các thao tác thành công và thất bại

Trang 17

IX CẤU HÌNH VÀ SỬ DỤNG DISK QUOTAS TRONG WINDOWS 2003

Nếu đang tìm phương tiện quản lý không gian lưu trữ cấp phát cho người dùng, chúng ta có thể dùng Disk Quotas Trong mục này chúng ta sẽ tìm hiểu Disk Quotas là gì, khi nào nên dùng và cách cấu hình trong Windows Server 2003

Thật đáng tiếc nếu Windows NT không tồn tại, ra đời từ Windows 2000, Disk Quotas cung cấp cho các quản trị viên máy tính khả năng theo dõi, điều khiển không gian sử dụng đĩa cứng của người dùng Nhưng có một vấn đề là họ không thực sự có một phương thức hiệu quả để quản lý các Disk Quotas, các cách dùng Script, Reporting và Remote đều có hạn chế và mơ hồ Windows 2003 cung cấp các tính năng và phương thức quản lý Disk Quotas dễ dàng cho doanh nghiệp lớn.Các Disk Quotas được dùng với công nghệ NTFS Group Policy là công cụ để thiết lập Disk Quotas với một tập hợp người dùng và máy tính cụ thể; còn Active Directory được dùng để thu thập danh sách người dùng theo nhóm sẽ được tạo Chúng ta chỉ có thể sử dụng Disk Quotas đối với các ổ đĩa có định dạng là NTFS.Các Disk Quotas được cấu hình theo từng bộ đĩa cơ bản và không thể thiết lập ở mức file hay folder, mỗi đĩa có các thiết lập riêng và không ảnh hưởng đến các đĩa khác Để thiết lập và cấu hình Disk Quotas chúng ta thực hiện tuần tự theo các bước sau:

1 Thiết lập Group Policy

Vấn đề:

Nếu muốn tất cả các users khi đăng nhập vào Domain đều có không gian đĩa là 500MB và nếu người dùng lưu trữ trên đĩa này vượt quá 450 MB thì xuất hiện thông báo về dung lượng cách thiết lập là

 Mở Active Directory Users and Computers

 Nhấp phải tên miền hcmc.vn chọn Properties chọn thẻ Group Policies

Trang 18

 Nhấp nút New để tạo một liên kết mới à đặt tên cho liên kết này là DiskQuotasConf, sau đó nhấp nút Edit để mở Group Policy Object Editor

Trang 19

 Tại cửa sổ Group Policy Object Editor, ở ô bên trái chọn Computer ConFiguration – Administrative Templates – System – Disk Quotas

Trang 20

 Ở ô bên phải nhấp đúp mục Default Quotas limit and warning level, xuất hiện hộp thoại Default Quotas limit and warning level Properties

 Tại hộp thoại này nhấp chọn vào mục Enabled Tiếp theo, tại Value, ở mục Default quotas limit nhập vào giá trị 500, Units chọn MB như trong hình

Trang 21

 Nhấp nút Apply để áp dụng và nhấp OK để đóng hộp thoại Default Quotas limit and warning level Properties.

 Đóng cửa sổ Group Policy Object Editor

 Tại hộp thoại hcmc.vn Properties nhấp chọn DiskQuotasConf và nhấp nút

Up để đưa liên kết này lên đầu danh sách

Hạn ngạch được cấp

Mức cảnh baó

Trang 22

 Vào Run và gõ lệnh gpupdate /force để cập nhập Group Policy

2 Tạo và cấu hình Disk Quotas

Giả sử chúng ta tạo Disk Quotas trên phân vùng ổ đĩa C của Server có dung lường là 500MB và các users trong Domain chỉ được sử dụng dung lượng đã giới hạn này thôi

Để cho Disk Quotas được áp dụng chúng ta phải chia sẻ phân vùng ổ đĩa C trước khi thực hiện các bước tiếp theo

B1 Tại Server nhấp phải chuột vào phân vùng C chọn Properties sau đó chọn thẻ Quotas

Trang 23

Tại màn hình thẻ Quotas nhấp chọn các mục sau:

 Enable Quotas Management: Để đăng ký quản Quotas

 Deny Disk Spaces to user exceeding quotas limit: Để giới hạn người dùng chỉ được sử dụng không gian quotas đã cấp phát

 Log event when a user exceeds their quotas limit: Bật tính năng ghi nhật ký đối với người dùng khi sử dụng Disk quotas

B2 Tiếp theo nhấp nút Quotas Entries để mở hộp thoại Quotas Entries for Local Disk (C) Hộp thoại này chứa danh sách các users trong Domain được cấp phát Disk quotas

B3 Cấp Disk Quotas cho người dùng

Trang 24

 Trên màn hình Quotas Entries for Local Disk (C) nhấp menu Quotas chọn New Quotas Entries làm xuất hiện màn hình Select Users chọn một user muốn cấp quotas ví dụ trong bài là u2 sau đó nhấp OK

 Màn hình Add New Quotas Entry của u2 xuất hiện

o Nhấp chọn mục Limit disk space level to và nhập 500MB là hạn ngạch được cấp

o Ở mục Set warning level to nhập là : 450MB là giới hạn đưa ra cảnh báo

Trang 25

 Sau đó nhấp OK để xác nhận và trở về màn hình Quotas Entries for Local Disk (C).

B4 Làm tương tự cho các Users khác trong Domain Sau khi thiết lập xong đóng tất cả các hộp thoại

3 Tạo Script Logon

Nếu muốn tất cả các users sau khi đăng nhập vào domain đều có không gian đĩa được cấp quotas như đã thiết lập ở trên chúng ta phải thiết lập một đoạn mã trong tập tin bat và cho nó vào mục logon

 Tại Server mở Notepad và nhập vào đoạn mã sau:

Net use M: \\Server\C

 Trong đó :

M: Là ký tự ổ đĩa được gán

Server: Là tên của máy tính Server

C: Là phân vùng chứa Disk Quotas

Trang 26

 Tiếp theo lưu tập tin này với tên DiQuoLogon.bat trên Desktop

Trang 27

 Tiếp theo mở Active Directory Users and Computers và nhấp phải chuột vào tên Domain chọn Properties và chọn thẻ Group Policy

 Nhấp nút New để tạo một liên kết mới và đặt tên là DiQuoLogon

Trang 28

 Nhấp nút Edit để mở Group Policy Object Editor Tại ô bên trái nhấp chọn User ConFiguration – Windows Settings – Script (Logon/Logoff)

 Tại ô bên phải nhấp đúp vào mục Logon làm xuất hiện hộp thoại Logon Properties

Trang 29

 Nhấp nút Show File để hiển thị đường dẫn tới nơi sẽ chứa tập tin DiQuoLogon.bat Sau đó Copy tập tin DiQuoLogon.bat đã tạo trước đó vào nơi vừa Show File.

 Đường dẫn của thư mục Logon nơi chưa tập tin DiQuoLogon.bat là:

Trang 30

 Sau đó, nhấp vào nút Browse để dẫn đến nơi vừa Copy tập tin DiQuoLogon.bat

và mở tập tin này

 Sau đó nhấp OK để đóng hộp thoại Add a Script và trở lại màn hình Logon Properties

Trang 31

 Tại hộp thoại Logon Properties nhấp nút Apply để áp dụng và nhấp OK để đóng hộp thoại này.

 Tiếp theo đóng hộp thoại Group Policy Object Editor

 Tiếp theo tại hộp thoại hcmc.vn Properties thẻ Group Policy nhấp chọn DiQuoLogon và nhấp nút Up để đưa lên đầu danh sách Sau đó nhấp Apply để

áp dụng và nhấp OK để đóng hộp thoại này

Tiêu đề	Logging, Mornitoring và Quotas
Tác giả	Võ Khôi Thọ
Trường học	Trường Đại Học
Chuyên ngành	Quản Trị Mạng
Thể loại	Giáo trình

Định dạng
Số trang	32
Dung lượng	0,92 MB