Tài liệu quản trị mạng Server 2003

Tài liệu quản trị mạng Server 2003

SERVER DỰ PHÒNG 2003

Tài liệu quản trị mạng Server 2003 như chi tiết cách cài đặt, tạo thêm 1 Server đồng hành để phòng hờ trường hợp Server chính bị trục trặc, tạo domain, gia nhập máy con vào domain, remote destop conection {từ máy con truy xuất dữ liệu vào máy server}, cài đặt thông số ADSL router vào máy server, tắt 1 máy con đang hoạt động ngay tức thời

- Nếu gia tăng thêm số lượng máy con vào domain thì gắn thêm Switch như thế nào

để đảm bảo truyền dữ liệu và truy cập internet được tốt nhất

- Số lượng máy bao nhiêu thì nên dùng đường truyền ADSL với tốc độ như thế nào (ví dụ khoảng 50 máy, 70 máy, hơn 100 máy)

Với câu hỏi trên, chúng tôi sẽ trả lời lần lượt như sau:

Chi tiết cách cài đặt domain và cài đặt thông số ADSL router vào máy server:

Trước tiên bạn phải Cài đặt Windows Server 2003

Tiến hành các bước sau trên Computer sẽ đóng vai trò Domain Controller

1 Đưa đĩa CD cài đặt vào CD-ROM, khởi động lại Computer Cho phép boot từ đĩa CD

2 Chương trình Windows setup bằt đầu load những Files phục vụ cho việc cài đặt Nhấn Enter khi mà hình Welcome to Setup xuất hiện

3 Đọc những điều khoản về License trên Windows Licensing Agreement, sau đó nhấn F8

để đồng ý với các điều khoản quy định của MS

4 Trên Windows Server 2003, xuất hiện màn hình tạo các phân vùng Partition trên đĩa cứng, trước hết tạo Partition dùng cho việc cài đặt Hệ Điều hành Nhấn ENTER

5 Trên Windows Server 2003, chọn Format the partition using the NTFS file system

Nhấn ENTER

6 Chương trình Windows Setup tiến hành định dạng (format) đĩa cứng, sẽ chờ ít phút cho tiến trình này hoàn tất

7 Computer sẽ tự Restart khi tiến trình copy File vào đĩa cứng hoàn tất

8 Computer sẽ restart lại và boot giao diện đồ họa Click Next trên trang Regional and Language Options

9 Trên trang Personalize Your Software, điền Tên và Tổ chức của Bạn

Ví dụ: Name: Server 2003

Organization: Quan Tri Mang

10 Trên trang Product Key điền vào 25 chữ số của Product Key mà bạn có và click Next.

11 Trên trang Licensing Modes chọn đúng option được áp dụng cho version Windows

Server 2003 mà bạn cài đặt Nếu cài đặt Licence ở chế độ per server licensing, hãy đưa vào số connections mà bạn đã có License Click Next

12 Trên trang Computer Name và Administrator Password điền tên của Computer ví dụ

Server2003, tên này được điền vào Computer Name text box Điền tiếp vào mục

Administrator password và xác nhận lại password tại mục Confirm password (ghi nhớ lại password administrator cẩn thận, nếu không thì bạn cũng không thể log-on vào Server cho các hoạt động tiếp theo) Click Next

13 Trên trang Date and Time Settings xác lập chính xác Ngày, giờ và múi giờ Việt Nam (nếu các bạn ở Việt Nam), lưu ý time zone là GMT + 7

Click Next

14 Trên trang Networking Settings, chọn Custom settings option

15 Trên trang Network Components, chọn Internet Protocol (TCP/IP) entry trong

Components và click Properties

16 Trong Internet Protocol (TCP/IP) Properties dialog box, xác lập các thông số sau:

17 Click OK trong Advanced TCP/IP Settings dialog box

18 Click OK trong Internet Protocol (TCP/IP) Properties dialog box

19 Click Next trên trang Networking Components

20 Chấp nhận lựa chọn mặc định môi trường Network là Workgroup (chúng ta sẽ tạo môi trường Domain sau, thăng cấp (promote) máy này trở thành một Domain controller

và cũng là thành viên của Domain Click Next

21 Tiến trình cài đặt được tiếp tục và khi Finish, Computer sẽ tự khởi động lại

22 Log-on lần đầu tiên vào Windows Server 2003 dùng password mà chúng ta đã tạo cho tài khoản Administrator trong quá trình Setup

23 Xuất hiện đầu tiên trên màn hình là trang Manage Your Server, bạn nên check vào

"Don't display this page at logon checkbox" và đóng cửa sổ Window lại

Bước kế tiếp là quá trình cài đặt và cấu hình DNS trước khi chạy tiện ích dcpromo

Bước kế tiếp là cài đặt Domain Naming System (DNS) server trên chính server này Điều

này là cần thiết vì Active Directory Service hoạt động trên Domain Controller, kiểm soát toàn Domain yêu cầu phải có DNS server service phục vụ cho nhu cầu truy vấn tên như hostname, đăng kí các record (A, PTR, SRV records v.v ) Chúng ta sẽ cài DNS server

và sau đó sẽ nâng vai trò Computer này lên thành một Domain Controller, và DNS servernày sẽ phục vụ truy vấn cho toàn Domain

Tiến hành các bước sau để cài đặt DNS server

1 Click Start, Control Panel Click Add or Remove Programs

2 Trong Add or Remove Programs, click Add/Remove Windows Components

3 Trong Windows Components, xem qua danh sách Components và click Networking Services entry > Click Details

4 Check vào Domain Name System (DNS) checkbox và click OK

5 Click Next trong Windows Components

6 Click Finish trên Completing the Windows Components Wizard

7 Đóng Add or Remove Programs

DNS server đã được cài đặt, Admin cần đưa vào DNS Server các thông số cụ thể phục vụ

cho hoạt động truy vấn tên, cụ thể là sẽ tạo ra hai vùng Forward và Reverse lookup zones.

Tiến hành các bước sau để cấu hình DNS server:

1 Click Start và sau đó click Administrative Tools > Chọn DNS

2 Trong bảng làm việc của DNS (DNS console), mở rộng server name (Server2003 ), sau

đó click trên Reverse Lookup Zones Right click Reverse Lookup Zones và chọn New

Zone

3 Kích Next trên Welcome to the New Zone Wizard

4 Trên Zone Type , chọn Primary zone option và click Next

5 Trên Reverse Lookup Zone Name page, chọn Network ID option và Enter 10.0.0 vào

text box > Click Next

6 Chấp nhận chọn lựa mặc định trên Zone File page, và click Next

7 Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates option Click Next

8 Click Finish trên Completing the New Zone Wizard page

Kế tiếp chúng ta tạo Forward lookup zone cho Domain mà Computer này sẽ là Domain Controller Tiến hành các bước sau:

1 Right click Forward Lookup Zone và click New Zone

2 Click Next trên Welcome to the New Zone Wizard page

3 Trên Zone Type page, chọn Primary zone option và click Next

4 Trên Zone Name page, điền tên của forward lookup zone trong Zone name text box

Trong ví dụ này tên của zone là quantrimang.com, trùng với tên của Domain sẽ tạo sau này Đưa quantrimang.com vào text box Click Next

5 Chấp nhận các xác lập mặc định trên Zone File page và click Next

6 Trên Dynamic Update page, chọn Allow both nonsecure and secure dynamic updates

Click Next

7 Click Finish trên Completing the New Zone Wizard page

8 Mở rộng Forward Lookup Zones và click vào MSFirewall.org zone Right click trên

quantrimang.com và Click New Host (A)

9 Trong New Host dialog box, điền vào chính xác Server2003 trong Name (uses parent

domain name if blank) text box Trong IP address text box, điền vào 10.0.0.2 Check vào

"Create associated pointer (PTR) record checkbox"

Click Add Host Click OK trong DNS dialog box thông báo rằng (A) Record đã được tạo

xong Click Done trong New Host text box

10 Right click trên quantrimang.com forward lookup zone và click Properties Click Name Servers tab Click exchange2003be entry và click Edit

11 Trong Server fully qualified domain name (FQDN) text box, điền vào tên đầy đủ của Domain controller computer là Server2003 quantrimang.com Click Resolve Sẽ nhận thấy, IP address của Server xuất hiện trong IP address list Click OK

12 Click Apply và sau đó click OK trên quantrimang.com Properties dialog box

13 Right click trên DNS server name Server2003, chọn All Tasks Click Restart

14 Close DNS console

Giờ đây Computer này đã sẵn sàng để nâng vai trò lên Thành một Domain controller

trong Domain quantrimang.com

Tiến hành các bước sau để tạo Domain và nâng server này thành Domain

Controller đầu tiên của Domain

Cài đặt First Domain Controller

1 Click Start và click Run

2 Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK

3 Click Next trên Welcome to the Active Directory Installation Wizard page

4 Click Next trên Operating System Compatibility page

5 Trên Domain Controller Type page, chọn Domain controller for a new domain option

và click Next

6 Trên Create New Domain page, chọn Domain in a new forest option và click Next

7 Trên New Domain Name page, điền tên đầy đủ của Domain (Full DNS name)

quantrimang.com text box và click Next

8 Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho các

Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client này

muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này là

tuoitre Click Next

9 Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next

10 Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next

11 Trên DNS Registration Diagnostics page, chọn I will correct the problem later by configuring DNS manually (Advanced) Click Next

12 Trên Permissions page, chọn Permissions compatible only with Windows 2000 or Windows Server 2003 operating system option Click Next

13 Trên Directory Services Restore Mode Administrator Password page (chế độ phục

hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế độ

troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore Mode

Password và sau đó Confirm password (Các Admin không nên nhầm lẫn Password ở chế

độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc

Domain) Click Next

14 Trên Summary page, click Next

15 Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active

16 Click Finish trên Completing the Active Directory Installation Wizard page, hoàn

thành việc cài đặt

17 Click Restart Now trên Active Directory Installation Wizard page

18 Log-on vào Domain Controller dùng tài khoản Administrator

Tạo thêm 1 Server đồng hành để phòng hờ trường hợp Server chính bị trục trặc:

1 Cấu hình địa chỉ Server như sau : IP address: 10.0.0.3 Subnet mask: 255.255.255.0 Default gateway: 10.0.0.1 (chú ý Default Gateway 10.0.0.1 này cũng là IP address của

Card Ethernet cua Router ADSL)

Preferred DNS server: 10.0.0.2 và Additional DNS server la địa chỉ mà ISP đã cung cấp cho ADSL Router, ví dụ : 203.162.4.1

Sau đó Right click My Computer, click Properties

2 Trong System Properties dialog box, click Network Identification tab Click

Properties

3 Trong Changes dialog box, click More

4 Trong Primary DNS suffix of this computer text box, điền vào domain name là tên của domain (quantrimang.com) chứa Computer này Nếu Computer không là thành viên của Domain thì text box sẽ để trống

Chú ý: Change primary DNS suffix when domain embership changes được enabled theo

mặc định Trong ví dụ hiện tại Computer không phải là thành viên của Domain Cancel tất cả dialog boxes vừa xuất hiện và không cấu hình primary domain name tại thời điểm này

5 Restart lại Server

6 Thực hiện tương tự như bước 2, trong Changes, chọn Domain Text box và nhập vào: quantrimang.com Nhập user và password tương ứng của user administrator

7 Restart lại server và chọn logon vào domain

Bước kế tiếp tiến hành install Additional domain Controller

1 Click Start và click Run

2 Trong Run dialog box, đánh lệnh dcpromo trong Open text box và click OK

3 Click Next trên Welcome to the Active Directory Installation Wizard page

4 Click Next trên Operating System Compatibility page

5 Trên Domain Controller Type page, chọn Additional Domain controller for an existing domain option và click Next

6 Nhập user administrator và password sau đo trong text box domain nhập

quantrimang.com

8 Trên NetBIOS Domain Name page (NetBIOS name của Domain nhằm support cho các

Windows OS- như các dòng Windows NT và WINDOWS 9x đời cũ, khi các Client này muốn giao dịch với Domain), chấp nhận NetBIOS name mặc định Trong ví dụ này là tuoitre Click Next

9 Chấp nhận các xác lập mặc định trên Database and Log Folders page và click Next

10 Trên Shared System Volume page, chấp nhận vị trí lưu trữ mặc định và click Next

11 Trên DNS Registration Diagnostics page, chọn I will correct the problem later by configuring DNS manually (Advanced) Click Next

12 Trên Permissions page, chọn Permissions compatible only with Windows 2000 or Windows Server 2003 operating system option Click Next

13 Trên Directory Services Restore Mode Administrator Password page (chế độ phục

hồi cho Domain Controller khi DC này gặp phải sự cố, Khi DC offline, vào chế độ troubleshoot này bằng cách Restart Computer, chọn F8), điền vào Restore Mode

Password và sau đó Confirm password (Các Admin không nên nhầm lẫn Password ở chế

độ này với Domain Administrator Password, điều khiển hoạt động của DCs hoặc

Domain) Click Next

14 Trên Summary page, click Next

15 Bây giờ là lúc Computer cần Restart để các thông số vừa cài đặt Active

16 Click Finish trên Completing the Active Directory Installation Wizard page, hoàn

thành việc cài đặt

17 Click Restart Now trên Active Directory Installation Wizard page

18 Log-on vào Domain Controller dùng tài khoản Administrator

Gia nhập máy con vào domain

1 Mở Active Directory User and Computer sau đó tạo các domain user tương ứng

2 Logon vào máy con, và thực thi tương tự như quá trình Tạo thêm 1 Server đồng hành

để phòng hờ trường hợp Server chính bị trục trặc

3 Logon vào domain với domain user đã được tạo ra

Remote destop conection va shutdown máy con từ xa:

Để remote máy con và máy chủ chúng ta làm như sau:

1 Trong computer - properties - remote - chọn enable remote desktop on this computer

2 Sau đó chúng ta có thể logon vào các máy tính đã cho phép remote sử dụng công cụ Remote Desktop Connnection Nhập địa chỉ IP của máy chủ và máy con và sử dụng user administrator để remote Sau khi remote thành công chúng ta có thể shutdown máy tính

từ xa 1 cách dễ dàng, thông qua tab shutdown trong start menu

3 Nếu gia tăng thêm số lượng máy con vào domain thì gắn thêm Switch như thế nào để đảm bảo truyền dữ liệu và truy cập internet được tốt nhất?

Khi bạn thêm máy con vào domain thì bạn cần thêm các switch tương ứng, vì mỗi máy cần một port trên swith Ví dụ bạn có 40 máy thì bạn phải có 2 switch 24 port để đáp ứng cho 40 máy tính kết nối vào

4 Số lượng máy và đường truyền ADSL với tốc độ thích hợp

Nếu như có nhiều máy trong domain thì bạn chỉ cần thêm switch, còn đường truyền ADSL thì phụ thuộc vào từng nhà cung cấp dịch vụ, bạn có thể chọn ADSL của FPT,

Viettel, VDC Ngoài ra nếu số lượng máy tính nhiều bạn nên chọn gói ADSL có tốc độ cao nhất để có thể cho phép các user trong mạng duyệt web, download và upload một cách dễ dàng.

Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active Directory

Mô Hình Hệ Thống Trên Windows Server 2000/2003

I - Xây Dựng Windows Server 2003 Active Directory Và Tạo Các Đối Tượng Bằng Dòng Lệnh

Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta có thể dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng…

Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active Directory Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user, computer, group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn

Những Thành Phần Chính Của Hệ Thống Active Directory

User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài khoản

built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống, backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng Các user sẽ dùng những tài khoản được cấp bởi administrator để log-in và domain Và truy cập dữ liệu trên file server hay các dịch vụ khác

Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các nhân

viên của một phòng ban sale có quyền truy cập lên folder sales trên file server hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối với laser printer, chúng ta nên tạo group printing và gán quyền in trên laser printer sau đó add tất cả các nhân viên của công ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao tác chung, mặc định tất cả các user được tạo ra đều thuộc group này)

OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì chúng ta

khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ phận Dựatrên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí như phòng banSales sẽ có một OU Sales và trong OU này chứa group sales, group sales sẽ bao gồm tất

cả những thành viên của phòng ban sale, và những user này cũng được đặt trong OU Sales cùng với group sales Như vậy chúng ta cần phải phân biệt rõ group sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng để quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban sales trong môi trường thậtđược cài đât tự động MS OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn truy cập của các user này bằng OU, chính vì vậy chúng ta cần phải tạo ra các group

và gán quyền thông qua những group này Đó là những khác biệt cơ bản nhất mà chúng

ta cần phân biệt

Trên đây là 3 đối tượng cơ bản của hệ thống active directory, ngoài ra còn có những thành phần khác như group plicy, site, trusting, global catalog, fsmo sẽ được trình bày ở những phần tiếp theo

Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một số lưu ý chúng ta cần quan tâm là:

- Cần có ít nhất 2 domain controler là Primary (PDC) và cái còn lại dùng là Backup

(BDC) để đáp ứng chức năng load balancing và faultolerant, nếu hệ thống chỉ có một domain controler duy nhất thì phải backup các system state data của Active Directory cẩn

thận theo các mức chuẩn (baseline) để có thể phục hồi khi có sữ cố xảy ra hay dùng cho migration (di trú) qua một máy khác khi PDC bị hư hỏng đột xuất

- Hệ thống Active Directory sử dụng DNS cho quá trình phần giải tên các dịch vụ và những thành viên của chúng, vì vậy bắt buộc phải có DNS hợp lệ để Active Directory

họat động chính xác, tên của Domain là gì?Thông thường khi cài đặt active directory có thể chọn cài tích hợp dịch vụ DNS, trong trường hợp đã có sẳn máy chủ DNS thì phải khai báo địa chỉ của dịch vụ này trong phần Prefered DNS và tên của domain là tên của

tổ chức như tcdescon.com, security365.org

- Cần phải khảo sát tổ chức có bao nhiêu thành viên (người dùng) tương ứng với số lượngaccount được tạo trong Acitve Directory, có bao nhiêu bộ phận, phòng ban để tạo ra các

OU và Group tương ứng, ngòai ra chúng ta cần xem xét các quyền hạn sử dụng của các đối tượng, khả năng đáp ứng để từ đó đưa ra một bản phác thảo đầy đủ cho hệ thống Domain Controller của mình

Để thực hiện bài Lab này, cần có các máy tính với cấu hình TCP/IP như hình dưới đây, trong đó DC1 là Primay Domain Controller với hệ thống Backup (Secondary Domain Controller) là DC2 tất cả đều sử dụng Windows Server 2003 Client1 có thể dùng

Windows XP hoặc Windows 2000

Hệ Thống Domain Controler Và Địa Chỉ IP (Click vào ảnh để phóng to)

1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương pháp Unattend

Để thăng cấp một Windows Server 2003 Standalone lên thành Domain Controller chúng

ta sử dụng lệnh dcpromo và sau đó cung cấp đầy đủ tên domain, vai trò và vị trí cài

đặt Trong phần này các bạn hãy log-in vào DC1 bằng tài khỏan Administrator và tạo tập

tin như đưới đây, hãy thay tên domain security365 bằng tên domain của bạn cũng như các thông tin về Password hay SafeModeAdminPassword tương ứng , các bạn có thể chọn cài cùng lúc DNS bằng cách xác định AutoConfigDNS = Yes, nếu muốn hệ thống reboot lại sau khi cài đặt hãy đặt giá trị RebootOnSuccess = Yes

Lưu tập tin trong ở C:\ với tên là dcinfo.txt

Sau đó chạy lệnh dcpromo /answer:C:\dcinfo.txt

Restart lại hệ thống khi tiến trình cài đặt hòan tất, tiêp theo chúng ta cần tạo ra những tài khỏan người dùng cùng với những Group, OU tương ứng theo các phòng ban như hình sau đây dựa trên mô hình thực tế của công ty có 2 chi nhánh CA và NC, mỗi chi nhánh cócác bộ phận Marketing, Accountign và Sales

2- Tạo cấu trúc OU với dsadd ou:

Có nhiều cách để tạo ra các đối tượng trên Active Directory như OU, Group, User Các bạn có thể dùng giao diện đồ họa Active Directory Users and Computers console sau đó click chuột phải vào Domain Name (ví dụ security365.com) và chọn những thao tác tương ứng Ở đây chúng ta sử dụng một phương pháp ít thông dụng hơn dựa trên dòng lệnh, điều này sẽ rất thuận tiện khi muốn xây dựng hệ thống một cách tự động

Để tạo một OU mới hãy sử dụng dòng lệnh dsadd ou:

3 Tạo User Với dsadd user:

Chúng ta có thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ tạo ra tài khỏan

cho Nguyen Tran Duy Vinh thuộc phòng ban Sales :

- tên đăng nhập vinhndt, mật mã đăng nhập 123qwe!@#

- thuộc bộ OU Sales

- first name là nguyen tran duy

- last name là vinh

- tên upn là ntdvinh@security365.com

- để tài khỏan có thể sử dụng được ngay hãy đặt –disable no

dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com ” –upn vinhndt@security365.com –fn nguyen tran duy –ln vinh –pwd 123qwe!@# –disabled no

3.Tạo Group với dsadd group:

Các user trong mỗi phòng ban thường có những đặc tínhchung như quyền hạn truy cập vào tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy in…Vì vậy hãy tạo ra các nhóm người dùng (Group) sau đó add những user vào Chúng ta có thể thực hiện điều nàyvới dòng lệnh dsadd group Ví dụ sau đây sẽ tạo một gourp có tênlà Consultants (CN) trong OU Marketing của domain Security365.Com, group type là security và group scope

4.Add User vào Group Với Dsmod:

Để Add User Nguyen Tran Cat Vinh là thành viên của group Consultant trong OU Marketing (là OU con của CA) cho domain Security365.Com ta sử dụng lệnh sau :

Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=security36

5,DC=com” –

addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC =com”

Trong những trường hợp quản trị từ xa hay cần tạo ra nhiều đối tượng cùng lúc cho hệ thống cách tốt nhất là sử dụng các tiện ích dòng lệnh Cách thức quản trị Active Directorythông qua giao diện đồ họa như Active Directory Users and Computer các bạn có thể tham khảo ở trang web www.microsoft.com, mọi thắc mắc gởi đến mục HelpDesk trang web www.security365.org, Công ty Giải Pháp An Tòan

II – Join Máy Tính Client1 Vô Domain

Sau khi cài đặt và cấu hình xong hệ thống Active Directory chúng ta cần join các clien vào domain để có thể quản lý, cấp quyền truy cập, sử dụng tài nguyên cho người sử dụng.Hãy log-in vào Client1 với quyền Administrator và click chuột phải vào My Computer chọn Properties:

Trên tab Computer (Network Identification) hãy nhấn Change hoặc Properties tùy thuộc vào hệ điều hành Client1 sử dụng là Windows XP hay Windows 2000Tiếp theo và nhập vào thông tin sau:

Nhấn OK, một hộp thọai yêu cầu thông tin Username & Password sẽ hiển thị, hãy nhập vào tài khỏan hợp lệ ví dụ Administrator và nhấn OK để hòan tất quá trình join domain

III – Cài Đặt Secondary Domain Controler:

Đối với các hệ thống mạng lớn có nhiều user, chúng ta nên triển khai thêm các secondarydomain controler (hay còn gọi là Backup Domain Controler-BDC) để tăng cường khả năng đáp ứng yêu cầu truy cập của user và khi primary domain controler gặp phải những

sự cố thì hệ thống vẫn có thể họat động bình thường nhờ vào secondary domain controler này, ngòai ra chúng ta còn có thể phục hồi cơ sở dữ liệu của Active Directory trên PDC

Cả hai hệ thống Domain Controler này đề chứa cùng một cơ sở dữ liệu của domain như user, group policy, ou…và khi dữ liệu trên một domain controller này thay đổi sẽ được tựđộng replicate (sao chép) sang những domain controler còn lại, tiến trình này diễn ra hòan tòan tự động do dịch vụ KCC (knowledge consistent checker) của hệ thống đảm nhiệm Tuy nhiên trong những trường hợp đặc biệt các bạn có thể tiến hành replicate ngay lập tức Sau đây là các bước xây dựng secondary domain controller:

Join máy tính DC2 vào domain và log-in bằng tài khỏan Administrator Mở Start - > Run

và chạy lệnh dcpromo

Trên màn hình cài đặt tiếp theo chúng ta chọn mục Additional domain controller for an existing domain và nhấn Next Ở cữa sổ Network Credential hãy nhập vào tài khỏan

Administrator, Password của domain và chọn Next:

Tiếp theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary domain

controller (trong ô additional domain controller) Tên này sẽ tự hiển thị nếu như DC2 là thành viên của Domain Nếu các bạn tiến hành thăng cấp không qua bước join DC2 vô domain thì phải nhập tên Domain đầy đủ như security365.com Một điều cần lưu ý là phải cấu hình địa chỉ DNS cho domain trong phần Prefered DNS, vì đa số các sự cố và lỗi khi thăng cấp một secondary domain controller cũng như trong qua trình họat động của Active Directory đều liên quan đến việc cấu hình địa chỉ DNS server không chính xác làm cho quá trình phân giải tên các máy chủ và các dịch vụ không tiến hành được.Sau đó hãy chấp nhận giá trị mặc định về vị trí cài đặt, lưu trữ database của active

directory cũng như sysvol folder Nếu muốn thay đổi các thông số này sau khi cài đặt hãydùng công cụ NTDSUTIL

Cuối cùng một bảng tóm tắt các thông tin của secondary domain controller hiển thị, hãy kiểm tar lại và nhấn Next để tiến trình cài đặt diễn ra, sau khi hòan tất hãy restart lại hệ thống DC2

Như vậy chúng ta đã xây dựng xong hệ thống active directory cho domain

security365.com với một primary và một secondary domain controler, lúc này các máy tính client trên hệ thống có thể join domain với những tài khỏan hợp lệ để thực hiện công việc của mình

Triển khai hệ thống IPSec/VPN trên Windows Server 2003

Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử dụng ứng dụng ngày càng phổ biến Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo mật và

an toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ của mình để cho phép nhân viên truy cập từ xa Bài viết này trình bày giải pháp truy cập từ xa VPN trên

Windows Server 2003 có cơ chế mã hóa dựa trên giao thức IPSec nhằm đảm bảo an toàn thông tin

VPN

VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp

ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí Trước đây, để truy cập

từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại Phương thức này vừa tốn kém vừa không an toàn VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu

Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header

có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp

"trộm" gói tin trên đường truyền

Các tình huống thông dụng của VPN:

- Remote Access: Đáp ứng nhu cầu truy

cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài công ty thông qua Internet Ví

dụ khi người dùng muốn truy cập vào cơ sở dữ liệu hay các file server, gửi nhận email từ các mail server nội bộ của công ty

- Site To Site: Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn

phòng cần trao đổi dữ liệu với nhau Ví dụ một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại Singapore và Việt Nam, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai site Việt Nam và Singapore tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả

- Intranet/ Internal VPN: Trong một số tổ

chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập Hệ thống Intranet VPN có thể đáp ứng tình huống này

Để triển khai một hệ thống VPN chúng ta cần có những thành phần cơ bản sau đây:

- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người dùng

hợp lệ kết nối và truy cập hệ thống VPN

- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ

thống VPN để có thể truy cập tài nguyên trên mạng nội bộ

- Data Encryption: cung cấp giải pháp mã

hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu

- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã hoá và

giải mã dữ liệu

IPSEC (IP SECURITY PROTOCOL)

Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông với nhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ giao tiếp trong thế giới con người) và giao thức phổ biến hiện nay là TCP/IP

Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật Có nhiều giải pháp để thực hiện việc này, trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra hiệu quả và tiết kiệm chi phí trong quá trình triển khai

Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả hai giao thức bảo mật sau:

- AH (Authentication Header): header của gói tin được mã hóa và bảo vệ phòng chống

các trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp này phần nội dung thông tin chính không được bảo vệ

- ESP (Encapsulating Security Payload): Nội dung thông tin được mã hóa, ngăn chặn các

trường hợp hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền Phương thức này rất hay được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của gói tin thì phải kết hợp cả 2 giao thức AH và ESP

IPSec/VPN trên Windows Server 2003

Chúng ta tham khảo tình huống thực tế của công ty Green Lizard Books, một công ty chuyên xuất bản và phân phối văn hoá phẩm Nhằm đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu

Green Lizard Books cần có một đường truyền ADSL với địa chỉ IP tĩnh phục vụ cho quá trình kết nối và truyền thông giữa trong và ngoài công ty Các người dùng ở xa (VPN Client) sẽ kết nối đến VPN Server để gia nhập hệ thống mạng riêng ảo của công ty và được cấp phát địa chỉ IP thích hợp để kết nối với các tài nguyên nội bộ của công ty Chúng ta sẽ dùng 1 máy Windows Server 2003 làm VPN Sever (đặt tên là SRV-1), có 1 card mạng kết nối với hệ thống mạng nội bộ (IP: 192.168.1.1) và một card ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch vụ Dynamic DNS như DtnDNS.Org hay No-IP.Com) để kết nối với bên ngoài (Internet)

Để quản lý người dùng trên hệ thống và tài nguyên chúng ta cần có 1 domain controler cài đặt trên Windows Server 2003 tên là SRV-11 (IP: 192.168.0.11)

Trong mô hình này, chúng ta sử dụng một máy client bên ngoài chạy hệ điều hành Windows XP, kết nối VPN với cơ chế chứng thực và mã hóa dữ liệu dựa trên IPSec ESP

Ở đây tôi chỉ trình bày những buớc chính trong quá trình triển khai, chi tiết cài đặt và cấu hình các bạn có thể tham khảo các tập tin video (.avi) tải về ở website

www.pcworld.com.vn

Bước 1: Tạo domain controler

(dcpromo-srv-11-greenlizardbooks-domain-controller.avi)

Bước 2: Đưa SRV-1 (VPN Server) vào domain

Bước 5: Kết nối VPN Client Client-1 vào domain

KẾT LUẬN

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của

dữ liệu giống như đang truyền thông trên một hệ thống mạng riêng Giải pháp VPN

"mềm" giới thiệu trong bài viết này thích hợp cho số lượng người dùng nhỏ, để đáp ứng

số lượng người dùng lớn hơn, có thể phải cần đến giải pháp VPN phần cứng

TUNNELING

Tunneling là kỹ thuật sử dụng một hệ thống mạng trung gian (thường là mạng Internet)

để truyền dữ liệu từ mạng máy tính này đến một mạng máy tính khác nhưng vẫn duy trì được tính riêng tư và toàn vẹn dữ liệu Dữ liệu truyền sau khi được chia nhỏ thành những frame hay packet (gói tin) theo các giao thức truyền thông sẽ được bọc thêm 1 lớp headerchứa những thông tin định tuyến giúp các packet có thể truyền qua các hệ thống mạng trung gian theo những đường riêng (tunnel) Khi packet được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu Để thiết lập kết nối tunnel, máy client và server phải sử dụng chung một giao thức (tunnel

protocol)

- PPTP (Point-to-Point Tunneling Protocol): PPTP có thể sử dụng cho Remote Access

hay Site-to-Site VPN Những thuận lợi khi áp dụng PPTP cho VPN là không yêu cầu certificate cho quá trình chứng thực và client có thể đặt phía sau NAT Router

- L2TP (Layer 2 Tunneling Protocol): L2TP là sự kết hợp của PPTP và Layer 2

Forwading (L2F, giao thức được phát triển bởi Cisco System) So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn

Trên hệ thống Microsoft, L2TP được kết hợp với IPSec Encapsulating Security Payload (ESP) cho quá trình mã hóa dữ liệu, gọi là L2TP/IPSec Sự kết hợp này không chỉ cho phép chứng thực đối với người dùng PPTP mà còn cho phép chứng thực đối với các máy

tính thông qua các chứng chỉ, nâng cao hơn độ an toàn của dữ liệu khi truyền, và quá trình tunnel có thể diễn ra trên nhiều hệ thống mạng khác nhau Tuy nhiên trong môi trường L2TP/IPSec các VPN Client không thể đặt phía sau NAT Router Trong trường hợp này chúng ta cần phải có VPN Server và VPN Client hỗ trợ IPSec NAT-T.

Sử dụng bảo mật sẵn có trong Windows Server 2003

Đây là một trong số các bài hướng dẫn từng bước đơn giản dễ hiểu của phần trợ giúp Microsoft cung cấp cho người dùng Bài này mô tả cách thức áp dụng các mẫu bảo mật được định nghĩa sẵn trong Windows Server 2003 như thế nào Microsoft Windows Server

2003 cung cấp một số mẫu bảo mật giúp bạn tăng cường mức an toàn cho mạng của mình Bạn có thể chỉnh sửa chúng cho phù hợp với yêu cầu riêng bằng cách dùng thành phần Security Templates trong Microsoft Management Console (MMC)

Các mẫu bảo mật định nghĩa sẵn trong Windows Server 2003

 Bảo mật mặc định (Setup security.inf)

Setup security.inf được tạo ra trong quá trình cài đặt và riêng biệt cho từng máy tính Mỗi máy tính có một kiểu Setup security.inf khác nhau tuỳ thuộc chương

trình cài đặt là hoàn toàn mới từ ban đầu hay là bản nâng cấp Nó thể hiện các thiết lập bảo mật mặc định được ứng dụng trong quá trình cài đặt của hệ điều hành, gồm cả đặc quyền file cho thư mục gốc của ổ hệ thống Mẫu bảo mật này cóthể được dùng cho cả máy chủ và máy khách nhưng không thể dùng áp dụng cho

bộ điều khiển tên miền Bạn cũng có thể dùng các phần của mô hình mẫu này cho hoạt động phục hồi nếu có trường hợp rủi ro xuất hiện

Không áp dụng Setup security.inf bằng cách sử dụng Group Policy vì điều này có

thể làm giảm tốc độ thực thi hệ thống

Chú ý: Trong Microsoft Windows 2000 có hai mẫu bảo mật hỗn hợp cùng tồn tại:

ocfiless (cho các server file) và ocfilesw (cho các workstation) Trong Windows

Server 2003, cả hai file này được thay thế bởi file Setup security.inf

 Bảo mật mặc định cho bộ điều khiển tên miền (DC security.inf)

Mẫu này tạo ra khi server được tăng cấp lên bộ điều khiển tên miền Nó ánh xạ các thiết lập bảo mật mặc định file, thanh ghi và dịch vụ hệ thống Nếu bạn áp dụng lại mô hình này, các thiết lập sẽ được đặt ở giá trị mặc định Tuy nhiên kiểu mẫu này có thể ghi đè đặc quyền lên các file, khoá thanh ghi và dịch vụ hệ thống mới do chương trình khác tạo ra

 Tương thích (Compatws.inf)

Mẫu này thay đổi các quyền của file và thanh ghi được cấp phát cho thành viên của nhóm Users, nhất quán với yêu cầu của hầu hết chương trình không nằm

trong Windows Logo Program for Software Mẫu Compatible cũng loại bỏ tất cả

thành viên của nhóm Power Users

Để biết thêm thông tin về Windows Logo Program for Software, bạn có thể tham

khảo tại website của Microsoft:

http://www.microsoft.com/winlogo/default.mspx

Chú ý: Không được áp dụng mẫu Compatible cho bộ điều khiển tên miền

 Bảo mật (Secure*.inf)

Mẫu Secure định nghĩa các thiết lập bảo mật nâng cao ít nhất ảnh hưởng tới độ

tương thích của chương trình Ví dụ như định nghĩa mật khẩu, chế độ lockout và các thiết lập kiểm toán mạnh hơn Thêm vào đó, các khuôn mẫu này còn giới hạn việc sử dụng chương trình quản lý mạng cục bộ LAN Manager và các giao thức thẩm định NTLM bằng cách cấu hình client chỉ gửi phần trả lời NTLMv2 và cấu hình server từ chối trả lời LAN Manager

Có hai kiểu mô hình bảo mật dựng sẵn trong Windows Server 2003: Securews.inf cho các trạm làm việc và Securedc.inf bộ điều khiển tên miền Để biết thêm thông

tin về cách dùng các mẫu mô hình này và một số mẫu bảo mật khác, bạn có thể

tìm kiếm trong phần trợ giúp Help and Support Center của Microsoft với từ

khoá "predefined security templates" (các mẫu bảo mật định nghĩa sẵn)

 Bảo mật cao (hisec*.inf)

Highly Secure mô tả chi tiết các giới hạn bổ sung chưa được định nghĩa trong Secure, chẳng hạn như mức mã hoá và ký hiệu cần thiết cho việc thẩm định và

trao đổi dữ liệu qua kênh bảo mật, giữa client và server Server Message Block (SMB)

 Bảo mật thư mục gốc hệ thống (Rootsec.inf)

Mẫu này đặc tả các quyền của thư mục gốc (root) Mặc định, Rootsec.inf định

nghĩa quyền hạn cho file gốc của ổ hệ thống Bạn có thể dùng mô hình này để áp dụng lại các đặc quyền thư mục gốc nếu chúng bị thay đổi ngẫu nhiên Hoặc bạn

có thể chỉnh sửa mô hình mẫu này để áp dụng các quyền hạn gốc giống nhau cho nhiều bộ khác Mẫu này không ghi đè các quyền tường minh được định nghĩa ở các đối tượng con; nó chỉ sao chép các quyền đã được thừa kế ở các đối tượng con

đó

 Mẫu không có SID cho người dùng Server Terminal (Notssid.inf)

Bạn có thể áp dụng mẫu này để loại bỏ bộ định dạng bảo mật (SID) Windows Terminal Server khỏi hệ thống file và các vị trí thanh ghi khi dịch vụ đích

(Terminal Services) không chạy Sau khi bạn thực hiện điều này, bảo mật hệ thống sẽ không được cải thiện đầy đủ một cách cần thiết

Để biết thêm thông tin chi tiết về tất cả mô hình mẫu định nghĩa sẵn trong Windows

Server 2003, bạn có thể tìm kiếm trong phần trợ giúp Help and Support Center của

Microsoft với từ khoá "predefined security templates"

Chú ý quan trọng: Thực thi một mô hình mẫu bảo mật trên bộ điều khiển tên miền có

thể thay đổi các thiết lập của thành phần Default Domain Controller Policy hoặc Default Domain Policy Mô hình mẫu được sử dụng có thể ghi đè quyền hạn lên các file mới, các khoá thanh ghi và dịch vụ hệ thống do chương trình khác tạo ra Sau khi sử dụng mô hìnhbảo mật mẫu, có thể bạn sẽ phải khôi phục lại "chính sách" cũ Trước khi thực hiện một

số bước sau trên bộ điều khiển tên miền, hãy tạo bản sao lưu của file chia sẻ SYSVOL

Sử dụng một mẫu bảo mật

1 Vào Start, chọn Run, gõ mmc lên ô lệnh và bấm OK

2 Trong menu File, kích lên Snap-in Add/Remove

3 Chọn Add

4 Trong danh sách Available Stand Alone Snap-ins, chọn Security

Configuration and Analysis, bấm Add > Close và cuối cùng là OK

5 Ở ô bên trái, kích vào Security Configuration and Analysis và xem hướng dẫn ở

khung bên phải

6 Kích phải chuột lên Security Configuration and Analysis, chọn Open

Database

7 Trong hộp tên File, gõ tên file dữ liệu rối kích vào Open

8 Kích vào mẫu bảo mật bạn muốn dùng, sau đó bấm lên Open để nhập thông tin

nằm trong mẫu vào cơ sở dữ liệu

9 Kích phải chuột lên Security Configuration and Analysis ở khung bên trái rồi chọn Configure Computer Now

Kích hoạt và cấu hình Remote Desktop for Administration trong Windows Server 2003

Bạn ở xa nhưng lại cần truy cập vào máy máy chủ trong công ty như là đang ngồi trên máy? Bài hướng dẫn sẽ từng bước hướng dẫn kích hoạt và cấu hình Remote Desktop for Administration trong Microsoft Windows Server 2003 Sau khi kích hoạt và cấu hình xong, bạn có thể truy cập vào máy chủ tại bất cứ nơi đâu có kết nối Internet như là đang sử dụng trực tiếp trên máy vậy.

Windows Server 2003 Terminal Services bao gồm hai thành phần sau:

 Remote Desktop for Administration (Công cụ quản trị máy tính từ xa)

Với Remote Desktop for Administration các quản trị viên có thể quản lý từ xa server dựa trên nền tảng Microsoft Windows 2000 và Windows Server 2003 từ bất kỳ client Terminal Services nào Phục vụ cho mục đích thuyết trình và hợp tác, hai quản trị viên có thể chia sẻ một phiên làm việc Ngoài ra quản trị viên còn

có thể kết nối từ xa tới console thực của một server bằng cách dùng lệnh -console.

Chú ý:

o Bạn không cần phải có bản quyền truy cập Client Terminal Server khi dùng Remote Desktop for Administration Tuy nhiên chỉ có các thành viêncủa nhóm quản trị mới có thể truy cập vào server

o Mặc định Remote Desktop for Administration được cài cùng lúc với Windows Server 2003, nhưng được để ở chế độ không hoạt động vì một

số lý do bảo mật

 Terminal Server

Terminal Server cho phép nhiều client từ xa truy cập đồng thời tới các chương trình xây dựng trên nền tảng Windows chạy trên server cùng một lúc Đây là hình thức triển khai Terminal Server thông thường

Khi sử dụng mô hình Terminal Server, nhiều kết nối đồng thời do người dùng không thuộc nhóm quản trị (administrator) truy cập đến vẫn được chấp nhận Bạn cũng có thể cài đặt dịch vụ Terminal Services Licesing trên bất kỳ server thành viên nào Tuy nhiên bạn phải cấu hình một server có bản quyền trên tất cả server đích Server này phải liên hệ với các server bản quyền không có bộ điều khiển tênmiền nhưng được cấu hình như một server bản quyền tên miền Server bản quyền tên miền doanh nghiệp được triển khai trên các bộ điều khiển không tên miền được phát hiện một cách tự động

Trước khi sử dụng indows Server 2003 Terminal Services, các bạn nên xem lại một số thuật ngữ sau:

 Server (máy chủ)

Server là máy chủ, nơi chứa hầu hết tài nguyên máy tính Server được dùng trong môi trường mạng Terminal Services Server nhận và thực hiện thông tin từ bàn phím và chuột ở client Sau đó hiển thị màn hình và các chương trình đang chạy trên server trong một cửa sổ ở máy client

 Messaging (truyền tin)

Messaging là hoạt động liên lạc giữa server (máy chủ) và client (máy khách) thông qua Remote Desktop Protocol (RDP) 5.2 RDP là giao thức tầng chương trình dựa trên TCP/IP

 Client (máy khách)

Máy để bàn từ xa đang chạy trên server được hiển thị trong một cửa sổ trên máy client Khi khởi động một chương trình trên máy khách, thực tế các chương trình này đang chạy trên máy chủ Remote Desktop Connection là tên được đặt cho

client Terminal Services trong Windows 2000 Remote Desktop Connection sử dụng những cải tiến mới nhất của RDP 5.2, cung cấp khả năng nâng cao đáng kể

so với các phiên bản trước đó Remote Desktop Connection có thể được dùng để kết nối với các phiên bản cũ hơn của Terminal Services

Sử dụng Remote Desktop for Administration

Mặc định, Remote Desktop for Administration được để ở chế độ không hoạt động Muốn

sử dụng nó, thực hiện theo các bước sau:

1 Vào Start > Control Panel > System.

2 Kích vào tab Remote, chọn Allow users to connect remotely to your computer (Cho phép người dùng kết nối từ xa tới máy tính của bạn) và kích OK

Chú ý: Bạn không cần phải có Bản quyền truy cập client Terminal Server khi sử dụng

Remote Desktop for Administration Con số lớn nhất hai kết nối đồng thời được cho phép

tự động trên server cuối khi Remote Desktop for Administration hoạt động

Thay đổi mức mã hoá phiên

Mặc định mức mã hoá các phiên Terminal Services được thiết lập cho Client

Compantible nhằm cung cấp mức mã hoá cao nhất hỗ trợ bởi client Các thiết lập khác cóthể sử dụng là:

 High - thiết lập này cung cấp khả năng bảo mật hai chiều sử dụng cơ chế mã hoá

128-bit

 Low - thiết lập này sử dụng cơ chế mã hoá 56 bit.

 FIPS Compliant: tất cả dữ liệu được mã hoá bằng cách sử dụng các phương thức

hợp lệ Federal Information Processing Standard 140-1

Để kiểm tra mức mã hoá, thực hiện theo các bước sau:

1 Vào Start > All Programs > Administrative Tools > Terminal Services

Configuration.

2 Ở khung bên trái, kích chọn Connections.

3 Ở khung bên phải, kích phải chuột lên RDP-tcp rồi chọn Properties.

4 Chọn General tab, chọn mức mã hoá bạn muốn trong danh sách Encryption rồi bấm OK

Gỡ lỗi và sửa chữa

Nếu Terminal Services không ổn định, hãy kiểm tra lại địa chỉ IP Các vấn đề có thể xuất hiện khi bạn cung cấp địa chỉ IP không hợp lệ Nếu một chương trình chạy không như mong đợi, bạn có thể xem xét các vấn đề sau:

 Các chương trình có file khoá hoặc DLL không chạy chính xác Vấn đề này xuất hiện khi có nhiều người dùng sử dụng cùng một lúc một chương trình nào đấy

 Các chương trình sử dụng tên máy tính hoặc địa chỉ IP vào mục đích kiểm định cóthể gặp sự cố Vấn đề này xuất hiện khi nhiều người dùng cùng một lúc chạy chương trình khi dùng chung tên máy tính hoặc địa chỉ IP

Để biết thêm thông tin về Windows Server 2003 Terminal Services, bạn có thể tìm trong Help and Support Center, dùng từ khoá "Terminal Services"

Kết nối và theo dõi Console Session với Windows Server 2003 Terminal Services

Bài này mô tả cách sử dụng Windows Server 2003 Terminal Services để kết nối và theo dõi một phiên điều khiển (Console Session)

Trong Windows Server 2003, khi dùng Terminal Services, bạn có thể kết nối tới session điều khiển (session 0) và cùng lúc có thể mở phiên theo dõi tới nó (cho đến khi nào bạn kết nối từ một phiên khác ngoài cosole) Với tính năng bổ sung này, bạn có thể đăng nhậpvào server sử dụng Windows Server 2003 đang chạy Terminal Services từ xa và tương tác với session 0 như thể đang ngồi trước máy vậy Session này có thể được theo dõi để người dùng từ xa và người dùng cục bộ có thể thấy và tương tác trong cùng một phiên

Kết nối tới Console Session như thế nào

Khi bạn kết nối tới Console Session của server sử dụng Windows Server 2003, không có người dùng nào khác được kết nối tới nó nữa Nếu một người nào đó đã đăng nhập vào rồi, bạn chỉ có thể đăng nhập và sử dụng máy nếu bạn đang trực tiếp ngồi tại máy

Muốn kết nối máy tính từ xa sử dụng hệ điều hành Windows Server 2003, mở cửa sổ lệnh Command Prompt rồi gõ lệnh sau:

mstsc -v:servername /F -console

Trong đó:

mstsc: file thực thi kết nối Remote Desktop

-v: server sẽ kết nối tới

/F: kiểu toàn bộ màn hình

-console: lệnh kết nối tới Console Session

Để sử dụng lệnh này, bạn mở Remote Desktop Sau khi thông tin đăng nhập đã được thẩm định, bạn sẽ kết nối tới phiên hoạt động đang chạy Windows Server 2003 Nếu có người dùng nào đó khác hiện đang làm việc trên máy này, bạn nhận được thông báo lỗi sau:

The user domain\username is logged locally on to this computer The user has been idled for number minutes The desktop is unlocked If you continue, this user's session will end and any unsaved data will be lost Do you want to continue?

(Domain hoặc username của người dùng đã được đăng nhập cục bộ vào máy tính này Người dùng tạm chờ một vài phút Desktop không bị khoá Nếu bạn tiếp tục, phiên hoạt động của người dùng này sẽ kết thúc và bất kỳ dữ liệu không được ghi lại nào sẽ bị mất Bạn có muốn tiếp tục?)

Người sử dụng hiện tại sẽ bị log off và bạn nhận được một thông báo trạng thái hiện thời của máy tính là bị khoá và chỉ có quản trị viên (administrator) mới có thể mở khoá được

Chú ý: Nếu người dùng Console Session và Terminal Services giống nhau, bạn có thể kết

nối mà không gặp phải vấn đề gì

Theo dõi Console Session

Để theo dõi console session, đầu tiên bạn mở một kết nối Remote Desktop tới server sử dụng Windows Server 2003 từ máy tính khác Mặc định tiện ích Remote Desktop

Connection trong Windows Server 2003 được cài đặt trong tất cả mọi phiên bản của Windows Server 2003 Bạn có thể dùng nó hoặc tiện ích dòng lệnh Mstsc được mô tả trong phần trên nhưng bỏ qua biến đổi -console Tiếp theo, khởi động màn hình lệnh Command Prompt trong máy và gõ lệnh sau để bắt đầu theo dõi Console Session:

shadow 0

Sau khi nhập và gửi lệnh này, bạn nhận được thông báo sau:

Your session may appear frozen while the remote control approval is being negotiated

Please wait (Phiên hoạt động của bạn có thể tạm ngưng khi yêu cầu điều khiển từ xa đang được xem xét Xin chờ một chút…)

Trong Console Session trên server, bạn nhận được thông báo sau:

domain\username is requesting to control your session remotely

Do you accept the request?

(Tên miền hay người dùng đang yêu cầu điều khiển phiên hoạt động của bạn từ xa Bạn

có chấp nhận yêu cầu này không?)

Nếu người dùng kích vào Yes, bạn được kết nối tự động tới phiên hoạt động của mình trên server sử dụng Windows Server 2003 từ xa Nếu người dùng kích vào No hoặc

không trả lời, bạn nhận được thông báo lỗi sau tại màn hình lệnh Command Prompt trên máy tính từ xa:

Remote control failed Error code 7044

Error [7044]:The request to control another session remotely was denied

(Điều khiển từ xa lỗi Mã lỗi 7044

Lỗi [7044]: Yêu cầu điều khiển từ xa tới phiên hoạt động khác bị từ chối)

Để ngắt kết nối tới phiên theo dõi ở máy từ xa, ấn Ctrl + * (ở hàng phím số) Phiên hoạt động ban đầu thiết lập tới server chạy Windows Server 2003 được trả lại

Nếu bạn đăng nhập vào điều khiển của server đang chạy Terminal Services, nếu bạn cố gắng theo dõi phiên hoạt động của người dùng khác từ máy tính, bạn nhận được thông báo lỗi sau:

Your session may appear frozen while the remote control approval is being

negotiated Please wait

Remote Control Failed Error Code 7050

Error [7050]:The requested session cannot be controlled remotely

This may be because the session is disconnected or does not have a user logged on Also, you cannot control a session remotely from the system console and you cannot remote control your own current session

(Phiên hoạt động của bạn có thể tạm ngưng khi yêu cầu điều khiển từ xa đang được xem xét Xin chờ một chút…

Điều khiển từ xa lỗi Mã lỗi 7050

Lỗi [7050]: Phiên hoạt động được yêu cầu không thể được điều khiển từ xa Nguyên nhân là do phiên này đã bị ngắt kết nối hoặc không có người dùng đăng nhập Ngoài ra, bạn không thể điều khiển một phiên từ xa trên console hệ thống và không thể điều khiển

từ xa phiên hoạt động hiện tại riêng của bạn)

Nếu server sử dụng Windows Server 2003 không được cấu hình cho phép sử dụng điều khiển từ xa, bạn nhận được thông báo lỗi sau:

Remote control failed Error code 7051

Error [7051]: The requested session is not configured to allow Remote Control

(Điều khiển từ xa lỗi Mã lỗi: 7051

Lỗi [7051]: Phiên hoạt động yêu cầu không được cấu hình cho phép sử dụng Remote Control)

Để cấu hình server Windows Server 2003 cho phép sử dụng điều khiển từ xa, thực hiện theo các bước sau:

1 Mở snap-in Group Policy (Gpedit.msc)

2 Ở khung bên trái, trong phần Computer Configurationm, mở rộng Administrative Templates

3 Mở rộng Windows Components

4 Kích vào thư mục Terminal Services

5 Trong khung bên phải, kích đúp vào Sets rules for remote control of Terminal

Services user sessions

6 Trên nhãn Setting, kích vào Enabled

7 Trong hộp Options, chọn Full Control with users' permission, và bấm OK.

Cấu hình thẩm định Web Internet Information Services trên Windows Server 2003

Tóm tắt

Bài này sẽ hướng dẫn từng bước cách cấu hình thẩm định yêu cầu dựa trên nền tảng Web trong Microsoft Internet Information Services (IIS) 6.0

Quá trình thẩm định Web diễn ra như thế nào

Thẩm định Web là hoạt động truyền thông giữa Web brower (trình duyệt web trên máy khách) và Web server (trình chủ web) với một số lượng nhỏ header và thông báo lỗi Hypertext Transfer Protocol (giao thức truyền tải siêu văn bản)

Các bước truyền thông bao gồm:

1 Web browser tạo một yêu cầu, chẳng hạn như HTTP-GET

2 Web server thực hiện kiểm tra thẩm định Nếu quá trình thẩm định không thành công, Server trả lời bằng một thông báo lỗi, tương tự như:

You are not authorized to view this page

You do not have permission to view this directory or page using the credentials you supplied

(Quá trình thẩm định không thành công

Bạn không được quyền xem thư mục hay trang này với các thông tin thẩm định cung cấp)

3 Web browser dùng trả lời của server để xây dựng yêu cầu mới chứa các thông tin thẩmđịnh

4 Web server kiểm tra lại thẩm định Nếu thẩm định thành công, Web server gửi dữ liệu được yêu cầu ban đầu tới Web browser

Các phương thức thẩm định

Chú ý: Với một số phương thức thẩm định sau, bạn phải dùng ổ đĩa có kiểu định dạng file

hệ thống file là NTFS, vì định dạng này duy trì mức bảo mật cao nhất

IIS hỗ trợ các phương thức thẩm định sau:

Thẩm định ẩn danh

IIS tạo tài khoản IUSR_ComputerName (trong đó ComputerName là tên của server đang

chạy IIS) để thẩm định người dùng ẩn danh khi họ yêu cầu nội dung Web Tài khoản này

cung cấp cho người dùng quyền đăng nhập cục bộ Bạn có thể thiết lập lại quyền truy cậpngười dùng ẩn danh để sử dụng bất kỳ tài khoản Windows hợp lệ nào

Chú ý: Bạn có thể thiết lập các tài khoản ẩn danh khác cho nhiều website, thư mục ảo hay

thư mục vật lý và cho cả các file

Nếu máy tính sử dụng Windows Server 2003 là máy chủ độc lập, tài khoản

IUSR_ComputerName nằm trên server cục bộ Nếu server là một domain controller, tài khoản IUSR_ComputerName được định nghĩa cho domain

Thẩm định cơ bản

Sử dụng phương thức thẩm định cơ bản để giới hạn truy cập file trên Web server định dạng NTFS Với kiểu thẩm định cơ bản, người dùng phải nhập thông tin thẩm định và quyền truy cập dựa trên ID người dùng (user ID) Cả user ID và password đều được gửi qua mạng theo dạng văn bản thuần túy

Để dùng thẩm định cơ bản, người quản trị phải cấp cho từng user quyền đăng nhập cục

bộ Và để quản trị dễ dàng hơn, quản trị viên nên đưa người dùng vào từng nhóm theo quyền truy cập các file cần thiết

Chú ý: Thông thường thông tin thẩm định người dùng được mã hóa bằng chương trình

Base64 Nhưng khi truyền qua mạng, thông tin này lại không được mã hóa Vì thế thẩm định cơ bản không được xem là cơ chế thẩm định an toàn

Thẩm định tích hợp sẵn trên Windows

Thẩm định tích hợp trên Windows an toàn hơn thẩm định cơ bản và hoạt động tốt trong môi trường Intranet, nơi người dùng có các tài khoản Windows domain Trong thẩm địnhtích hợp sẵn trên Windows, trình duyệt sẽ cố gắng sử dụng thông tin thẩm định của ngườidùng hiện thời đăng nhập trên domain Nếu cố gắng này thất bại, người dùng mới được nhắc nhập username, password Khi sử dụng thẩm định tích hợp trên Windows, mật khẩucủa người dùng không phải truyền tới server Nếu người dùng đăng nhập vào máy tính cục bộ như một domain user, user không bị thẩm định lại khi truy cập máy tính nối mạng trong domain đó Chú ý là bạn phải dùng trình duyệt Web từ Microsoft Internet Explorer 2.0 trở lên nếu muốn có cơ chế thẩm định tích hợp sẵn

Chú ý: Bạn không thể dùng thẩm định tích hợp sẵn trên Windows qua một proxy server

Thẩm định phân loại

Thẩm định phân loại khắc phục được nhiều nhược điểm của thẩm định cơ bản Mật khẩu

sẽ không bị gửi đi theo dạng văn bản thuần túy Hơn nữa bạn có thể dùng thẩm định phânloại qua một proxy server Thẩm định phân loại sử dụng cơ chế challenge/response (thách_thức/đáp¬_ứng, tương tự như request/respone ở thẩm định tích hợp sẵn trên Windows), trong đó mật khẩu được mã hóa khi gửi qua mạng