Professional Documents
Culture Documents
Lê Gia Công
Cài đặt và cấu hình Windows Server 2012 R2
Nội dung
Mở đầu................................................................................................................................................... 10
Chương 1. Cài đặt và cấu hình server ................................................................................................ 11
1.1 Cài đặt hệ điều hành server ...................................................................................................... 11
Chuẩn bị cài đặt ............................................................................................................................ 11
Yêu cầu về cấu hình phần cứng ................................................................................................. 13
Chế độ Server Core ...................................................................................................................... 13
Chế độ Minimal Server Interface ................................................................................................ 15
Tối ưu hệ thống bằng Features on Demand ............................................................................ 16
Cài đặt hệ điều hành Windows Server 2012 R2 ....................................................................... 16
Nâng cấp lên Windows Server 2012 R2 .................................................................................... 21
Di chuyển các thiết lập từ hệ thống cũ sang hệ thống mới ................................................... 22
Câu hỏi ôn tập .............................................................................................................................. 22
1.2 Cấu hình server ........................................................................................................................... 23
Cấu hình bằng các công cụ đồ họa (GUI) ................................................................................. 24
Cấu hình bằng dòng lệnh (command-line) .............................................................................. 24
Chuyển đổi qua lại giữa hai chế độ GUI và Server Core ......................................................... 25
Gộp cạc mạng (NIC teaming) ..................................................................................................... 27
Sử dụng Server Manager............................................................................................................. 32
Tóm tắt nội dung.......................................................................................................................... 44
Câu hỏi ôn tập .............................................................................................................................. 44
1.3 Cấu hình lưu trữ tại máy server ................................................................................................ 45
Lựa chọn giải pháp ....................................................................................................................... 45
Bao nhiêu server thì đủ? .............................................................................................................. 46
Ước lượng dung lượng đĩa .......................................................................................................... 46
Sử dụng công nghệ Storage Spaces ......................................................................................... 46
Cài đặt đĩa cứng trong Windows ............................................................................................... 47
Hệ thống quản lý tập tin ............................................................................................................. 50
1
Cài đặt và cấu hình Windows Server 2012 R2
2
Cài đặt và cấu hình Windows Server 2012 R2
3
Cài đặt và cấu hình Windows Server 2012 R2
4
Cài đặt và cấu hình Windows Server 2012 R2
5
Cài đặt và cấu hình Windows Server 2012 R2
6
Cài đặt và cấu hình Windows Server 2012 R2
7
Cài đặt và cấu hình Windows Server 2012 R2
Kết nối gián tiếp (offline) máy tính vào domain .................................................................... 249
Quản lý tài khoản người dùng/máy tính không sử dụng ..................................................... 250
Tóm tắt nội dung........................................................................................................................ 250
Câu hỏi ôn tập ............................................................................................................................ 251
5.3 Tạo và quản lý OU, Group....................................................................................................... 252
Tạo OU ......................................................................................................................................... 252
Áp dụng GPO trên OU ............................................................................................................... 253
Ủy quyền quản trị trên OU ........................................................................................................ 253
Group ........................................................................................................................................... 255
Phân loại group theo chức năng (type) .................................................................................. 256
Phân loại group theo phạm vi (scope) .................................................................................... 256
Lồng group (nesting group) ..................................................................................................... 257
Tạo group .................................................................................................................................... 258
Thêm thành viên cho group ..................................................................................................... 259
Quản lý thành viên của group bằng Group Policy ................................................................ 259
Quản lý group bằng DSMOD ................................................................................................... 261
Đổi kiểu của group ..................................................................................................................... 261
Xóa Group ................................................................................................................................... 262
Tóm tắt nội dung........................................................................................................................ 262
Câu hỏi ôn tập ............................................................................................................................ 262
Chương 6. Tạo và quản lý các nhóm chính sách ............................................................................ 265
Tạo GPO .................................................................................................................................... 265
GPO .............................................................................................................................................. 266
Cấu hình Central Store............................................................................................................... 266
Sử dụng Group Policy Management Console ........................................................................ 267
Tạo và gắn nonlocal GPO .......................................................................................................... 267
Chức năng lọc trong GPO ......................................................................................................... 269
Starter GPO ................................................................................................................................. 270
Cấu hình nhóm chính sách ........................................................................................................ 270
8
Cài đặt và cấu hình Windows Server 2012 R2
9
Cài đặt và cấu hình Windows Server 2012 R2
Mở đầu
Tài liệu này được dịch với một vài lý do:
- Tập dịch tài liệu từ tiếng Anh sang tiếng Việt
- Giúp các bạn còn yếu tiếng Anh có thêm tài liệu để tham khảo
- Có nhận xét là cuốn này có khá nhiều lỗi, nên muốn dịch và làm thực hành lại xem thực hư
thế nào. Vì từ trước đến giờ bản thân vẫn hay đặt niềm tin hoàn toàn vào các tài liệu tiếng
Anh, mà đây lại là một tài liệu của Microsoft.
- Dịch để tự học
Với những lý do trên, cộng với kiến thức có hạn nên chắc chắn không tránh khỏi những sai sót. Mong
bạn đọc bỏ qua.
Đà Lạt, 26/8/2014
10
Cài đặt và cấu hình Windows Server 2012 R2
11
Cài đặt và cấu hình Windows Server 2012 R2
Windows Server 2012 R2 có bốn phiên bản, chúng khác nhau về chức năng và chi phí bản quyền. Cụ
thể:
Datacenter Hỗ trợ tới 64 processor, cho phép gắn thêm processor mà không cần tắt
máy (hot-add processor). Nếu cài đặt cho các máy ảo, phiên bản này
không giới hạn số lượng cài đặt.
Chứa đầy đủ các chức năng của Windows Server 2012 R2
Standard Chứa đầy đủ các chức năng của Windows Server 2012 R2. Nếu cài đặt
cho các máy ảo, số lượng cài đặt được quy định trong giấy phép.
Essentials Bản này không có chế độ Server Core, không hỗ trợ Hyper-V và Active
Directory Federation Services. Chỉ cài được trên một máy (máy thật hoặc
máy ảo). Số tài khoản người dùng không vượt quá 25.
Foundation Chức năng bị hạn chế, chỉ có một số chức năng quan trọng như quản lý
tập tin, in ấn, và ứng dụng. Số tài khoản người dùng không vượt quá 15.
Sau khi cài đặt hệ điều hành Windows Server 2012 R2, tùy theo chức năng của server, bạn sẽ tiến hành
cài đặt các role.
Role là các chức năng quan trọng được tích hợp sẵn trong hệ điều hành server. Bạn có thể cài đặt các
role bằng Server Manager hoặc Windows PowerShell.
Do Windows Server 2012 R2 có hỗ trợ ảo hóa, nghĩa là bạn sẽ có hai chế độ bản quyền khác nhau.
Bản quyền cho các máy thật và bản quyền cho các máy ảo. Bản quyền cho máy thật gọi tắt là POSE
(Physical Operation System Environment). Bản quyền cho máy ảo gọi tắt là VOSE(Virtual Operation
System Environment).
Khi bạn đã mua bản quyền, bạn sẽ luôn được phép cài đặt trên máy thật. Tuy nhiên, số lượng được
phép cài đặt trên máy ảo có khác nhau giữa các bản. Xem chi tiết trong bảng sau:
Standard 1 2
Foundation 1 0
Bảng sau là thông tin liên quan đến việc mua bản quyền Windows Server 2012 R2
12
Cài đặt và cấu hình Windows Server 2012 R2
(OEM - Original
Equipment
Manufacturer)
Datacenter Không Có Có
Standard Có Có Có
Essentials Có Có Có
RAM 4 TB 2 TB
1
Ebook “Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2”ghi thiếu chữ Logical
13
Cài đặt và cấu hình Windows Server 2012 R2
Các role có sẵn trong Server Core Các role không có sẵn trong Server Core
14
Cài đặt và cấu hình Windows Server 2012 R2
Hyper-V
Remote Access
15
Cài đặt và cấu hình Windows Server 2012 R2
2. Khởi động máy ảo. Quá trình cài đặt bắt đầu. Xuất hiện cửa sổ để chọn ngôn ngữ.
16
Cài đặt và cấu hình Windows Server 2012 R2
3. Chọn ngôn ngữ cài đặt là English, bấm Next. Xuất hiện cửa sổ sau.
4. Bấm Install Now. Xuất hiện trang Enter the product key…
17
Cài đặt và cấu hình Windows Server 2012 R2
5. Nhập mã cài đặt (product key) của Windows Server 2012 R2. Bấm Next để mở trang Select the
operating system you want to install.
6. Chọn GUI để cài đặt chế độ giao diện cửa sổ, chọn Server Core để cài đặt chế độ giao diện
dòng lệnh. Bấm Next để mở trang License terms.
7. Đánh dấu chọn vào mục I accept the license terms. Bấm Next để mở trang Which type of
installation do you want?
18
Cài đặt và cấu hình Windows Server 2012 R2
8. Chọn Custom: Install Windows only để cài mới. Xuất hiện trang Where do you want to install
Windows?
9. Bấm nút New, theo chỉ dẫn để tạo các partition như hình sau. Chọn Partition để cài đặt hệ điều
hành là Partition 2.
19
Cài đặt và cấu hình Windows Server 2012 R2
11. Hệ thống sẽ tự thực hiện quá trình cài đặt, tự khởi động lại và xuất hiện cửa sổ Setting để đặt
mật khẩu cho tài khoản Administrator. Quá trình cài đặt hoàn thành.
20
Cài đặt và cấu hình Windows Server 2012 R2
21
Cài đặt và cấu hình Windows Server 2012 R2
Tại đây, sẽ chọn Upgrade: Install Windows and keep files, settings, and applications để thực hiện nâng
cấp.
22
Cài đặt và cấu hình Windows Server 2012 R2
2. Giải pháp nâng cấp lên Windows Server 2012 R2 nào sau đây có thể thực hiện được?
A. Từ Windows Server 2003 Standard lên Windows Server 2012 R2 Standard
B. Từ Windows Server 2008 Standard lên Windows Server 2012 R2 Standard
C. Từ Windows Server 2008 32-bit lên Windows Server 2012 R2 64-bit
D. Từ Windows 7 Ultimate lên Windows Server 2012 R2 Essentials
3. Để chuyển Windows Server 2012 R2 từ chế độ Server Core sang Minimal Server Interface, bạn
phải cài đặt feature nào?
A. Graphical Management Tools and Infrastructure
B. Server Graphical Shell
C. Windows PowerShell
D. Microsoft Management Console
4. Cho biết tên của thư mục mà Windows sử dụng để lưu toàn bộ các thành phần cần thiết liên
quan đến việc cài đặt các chức năng của hệ điều hành sau này?
A. Windows
B. System32
C. bin
D. WinSxS
5. Các lý do để sử dụng chế độ Server Core (có thể chọn nhiều đáp án)?
A. Có thể chuyển server từ chế độ Server Core sang chế độ GUI mà không phải cài đặt lại
hệ điều hành
B. Tập lệnh của Windows PowerShell 4.0 trong Windows Server 2012 R2 nhiều hơn gấp
10 lần so với Windows PowerShell 2.0
C. Bản Server Manager mới trong Windows Server 2012 R2 giúp việc quản trị từ xa dễ
dàng hơn
D. Giá bản quyền của Windows Server 2012 R2 Server Core thấp hơn đáng kể so với bản
GUI
23
Cài đặt và cấu hình Windows Server 2012 R2
24
Cài đặt và cấu hình Windows Server 2012 R2
Chuyển đổi qua lại giữa hai chế độ GUI và Server Core
Trong Windows Server 2012 R2, bạn có thể chuyển một máy tính đang làm việc ở chế độ GUI sang
chế độ Server Core, và ngược lại, bạn cũng có thể thêm phần giao diện đồ họa GUI cho một máy tính
đang chạy chế độ Server Core.
Nhờ khả năng này, người quản trị có thể thực hiện cài đặt server ở chế độ GUI, sử dụng các công cụ đồ
họa để thực hiện các cài đặt, sau đó chuyển máy tính sang chế độ Server Core để tiết kiệm các tài
nguyên hệ thống.
Để chuyển từ GUI sang Server Core bằng Server Manager, bạn phải chạy Remove Roles And Features
Wizard và gỡ bỏ các features sau:
- Graphical Management Tools And Infrastructure
- Server Graphical Shell
Xem hình minh họa.
25
Cài đặt và cấu hình Windows Server 2012 R2
Để chuyển từ chế độ Server Core sang GUI, bạn phải sử dụng Windows PowerShell để cài đặt hai
feature đã bị gở bỏ ở phía trên, sử dụng lệnh sau:
Install-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell –Restart
//lệnh không phân biệt chữ hoa <> chữ thường
Xem hình minh họa.
Để chuyển từ GUI sang Server Core bằng Windows PowerShell, sử dụng lệnh sau:
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell –Restart
Xem hình minh họa.
26
Cài đặt và cấu hình Windows Server 2012 R2
2
agnosticcomputing.com
27
Cài đặt và cấu hình Windows Server 2012 R2
- Dynamic teaming (Link Aggregation Control Protocol – LACP, IEEE 802.1ax): kiểu này còn
có tên khác là IEEE 802.3ad. Dynamic teaming làm việc dựa trên giao thức LACP. Giao thức
này tự động xây dựng, điều chỉnh các cạc mạng gộp, tự động xác định các kết nối nào giữa
switch và host sẽ tham gia vào cạc mạng gộp. Yêu cầu các thiết bị phải có hỗ trợ LACP.
Có thể tạo và quản lý cạc mạng gộp bằng Server Manager hoặc Windows PowerShell.
Sau đây là các bước để tạo cạc mạng gộp bằng Server Manager:
1. Trong môi trường máy ảo (VMware), thực hiện gắn thêm cạc mạng cho máy ảo. Trong giao
diện của phần mềm VMware, vào trình đơn VM, chọn Settings, bấm vào mục Add…, chọn
mục Network Adapter, bấm Next để thêm cạc mạng.
2. Trong Server Manager, mục NIC Teaming đang ở trạng thái Disabled, bấm chuột vào chữ
Disabled.
28
Cài đặt và cấu hình Windows Server 2012 R2
3. Cửa sổ NIC Teaming xuất hiện, trong phần TEAMS, bấm vào mục TASKS, chọn New Team.
4. Trong cửa sổ New team bấm vào mục Additional properties để mở rộng các mục cần cấu
hình.
29
Cài đặt và cấu hình Windows Server 2012 R2
5. Tại cửa sổ New team, nhập tên cho cạc mạng gộp sẽ tạo vào mục Team name, ví dụ
NICTeam1. Trong mục Member adapters, đánh dấu chọn vào các cạc mạng sẽ tham gia vào
NICTeam1, ví dụ: Ethernet, Ethernet2.
6. Chọn kiểu cho cạc mạng gộp trong mục Teaming mode, có thể chọn các kiểu sau:
Static Teaming (thuộc kiểu switch dependent mode)
Switch Independent
LACP (thuộc kiểu switch dependent mode)
30
Cài đặt và cấu hình Windows Server 2012 R2
7. Chọn kiểu chia sẻ tải trong mục Load balancing mode, có thể chọn các kiểu sau:
Address Hash
Hyper-V Port
Dynamic
8. Nếu mục Teaming mode bạn chọn kiểu Switch Independent thì mục Standby adapter sẽ được
bật để bạn chọn cạc mạng nào sẽ chuyển sang trạng thái chờ (standby) – dự phòng, hoặc
không có cạc mạng nào ở trạng thái chờ (None). Ví dụ ở đây sẽ chọn cạc mạng Ethernet ở
trạng thái chờ.
31
Cài đặt và cấu hình Windows Server 2012 R2
10. Khi cạc mạng gộp đã được tạo, bạn sẽ sử dụng cửa sổ NIC Teaming để theo dõi trạng thái
hoạt động của các cạc mạng gộp cũng như của từng cạc mạng. Nếu có cạc mạng nào đó có
vấn đề, bạn sẽ nhận được thông báo, và tùy thuộc vào kiểu cạc mạng gộp đã được cấu hình hệ
thống sẽ có những thay đổi cần thiết.
32
Cài đặt và cấu hình Windows Server 2012 R2
2. Vào mục Manage ở trình đơn, chọn Add Servers. Hộp thoại Add Servers xuất hiện.
3. Lựa chọn cách thức để tìm kiếm các server sẽ kết nối.
- Active Directory: cho phép tìm các server trong miền AD DS
- DNS: tìm các server dựa vào DNS server
- Import: cung cấp tên của server dưới dạng một tập tin văn bản
4. Hệ thống sẽ tìm kiếm hoặc nạp danh sách các server từ tập tin văn bản, và hiển thị các server có thể
kết nối.
33
Cài đặt và cấu hình Windows Server 2012 R2
5. Lựa chọn server muốn kết nối, bấm chuột vào hình mũi tên phía phải để thêm server vào danh sách
Selected.
6. Bấm OK. Tên server sẽ được thêm vào mục All Servers.
Cài đặt các chức năng cho server (role và feature)
Sử dụng Add Roles And Features Wizard để cài đặt các chức năng cho server.
Các bước thực hiện:
1. Mở Server Manager, chọn mục Manage ở trình đơn, chọn Add Roles And Features, Add Roles
And Features Wizard sẽ xuất hiện.
2. Bấm Next để mở cửa sổ Select Installation Type.
34
Cài đặt và cấu hình Windows Server 2012 R2
3. Chọn Role-based or feature-based installation và bấm Next, cửa sổ Select Destination Server xuất
hiện.
4. Lựa chọn server mà bạn muốn cài đặt các chức năng, bấm Next, cửa sổ Select Server Roles xuất
hiện.
35
Cài đặt và cấu hình Windows Server 2012 R2
5. Lựa chọn các chức năng mà bạn muốn cài đặt. Nếu hệ thống yêu cầu phải cài đặt thêm các thành
phần liên quan đến chức năng đã chọn, cửa sổ Add Features That Are Required sẽ xuất hiện.
6. Bấm Add Features để chấp nhận cài đặt các thành phần liên quan, sau đó bấm Next để mở cửa sổ
cho phép chọn các thành phần sẽ cài đặt.
7. Lựa chọn các thành phần bạn muốn cài đặt, bấm Next, hệ thống có thể xuất hiện thêm các yêu cầu
cài đặt khác.
36
Cài đặt và cấu hình Windows Server 2012 R2
8. Tiếp tục bấm Next để chuyển qua các cài đặt khác. Cuối cùng là cửa sổ xác nhận các chức năng đã
chọn.
9. Bạn có thể lựa chọn thêm các tùy chọn liên quan đến quá trình cài đặt:
- Máy tính tự khởi động lại sau khi cài đặt xong, nếu các chức năng bắt buộc phải khởi động lại.
- Xuất ra tập tin .xml kịch bản cài đặt vừa thực hiện, để bạn có thể thực hiện cài đặt tương tự trên
server khác bằng Windows PowerShell.
- Cung cấp đường dẫn tới nơi chứa thư mục WinSxS, là nơi chứa đĩa nguồn của Windows Server
2012 R2 (trường hợp bạn đã sử dụng Features on Demand để xóa thư mục này).
10. Bấm nút Install để hệ thống tiến hành cài đặt. Khi hệ thống cài đặt xong bấm Close để kết thúc.
Các chức năng cài đặt xong sẽ xuất hiện ở khung bên trái của cửa sổ Server Manager.
Cài đặt các chức năng cho server đang tắt
Ngoài việc cho phép cài đặt các chức năng cho server đang hoạt động, Server Manager còn cho phép
cài đặt các chức năng trên server ảo đang tắt. Cụ thể, Server Manager cho phép bạn kết nối tới đĩa
cứng ảo (từ một máy server khác) để cài đặt hoặc gỡ bỏ các chức năng mà không nhất thiết phải bật
máy ảo lên.
Các bước để cài đặt chức năng lên đĩa cứng ảo:
1. Mở Server Manager, chọn mục Manage ở trình đơn, chọn Add Roles And Features, Add Roles
And Features Wizard sẽ xuất hiện.
2. Bấm Next để mở cửa sổ Select Installation Type.
3. Chọn Role-based or feature-based installation và bấm Next, cửa sổ Select Destination Server xuất
hiện.
4. Chọn Virtual Hard Disk, bấm vào Browse...để xác định vị trí của đĩa cứng ảo cần cài đặt.
37
Cài đặt và cấu hình Windows Server 2012 R2
5. Trong mục Server Pool, lựa chọn server kết nối tới đĩa cứng ảo (ví dụ: Server1), bấm Next, cửa sổ
Select Server Roles xuất hiện.
6. Lựa chọn các chức năng mà bạn muốn cài đặt. Nếu hệ thống yêu cầu phải cài đặt các thành phần
bổ sung, cửa sổ Add Features That Are Required sẽ xuất hiện.
7. Bấm Add Features để chấp nhận cài đặt các thành phần bổ sung, sau đó bấm Next để mở cửa sổ
cho phép chọn các thành phần sẽ cài đặt.
8. Lựa chọn các thành phần muốn cài đặt, bấm Next, có thể xuất hiện thêm các yêu cầu cài đặt liên
quan khác.
9. Tiếp tục bấm Next để chuyển qua các cài đặt có liên quan khác. Cuối cùng là cửa sổ xác nhận các
chức năng đã chọn.
10. Bạn có thể lựa chọn thêm các tùy chọn liên quan đến quá trình cài đặt:
- Xuất ra tập tin .xml kịch bản cài đặt vừa thực hiện, để bạn có thể thực hiện cài đặt tương tự trên
server khác bằng Windows PowerShell.
- Cung cấp đường dẫn tới nơi chứa thư mục WinSxS, là nơi chứa đĩa nguồn của Windows Server
2012 R2 (trường hợp bạn đã sử dụng Features on Demand để xóa thư mục này).
11. Bấm nút Install để hệ thống tiến hành cài đặt. Khi hệ thống cài đặt xong bấm Close để kết thúc quá
trình cài đặt.
38
Cài đặt và cấu hình Windows Server 2012 R2
39
Cài đặt và cấu hình Windows Server 2012 R2
Mục SERVICES trong Server Manager có chức năng tương tự như snap-in Services trong MMC ở các
phiên bản Windows Server trước, chỉ khác là SERVICES không cho phép thực hiện thay đổi trường
Start Type. Để thay đổi trường Start Type, sử dụng snap-in Services trong MMC hoặc lệnh Set-Service
trong Windows PowerShell.
Trong cửa sổ Server Manager, bấm chọn từng mục ở khung bên trái để hiển thị và quản lý các dịch vụ
đi kèm với mỗi mục.
Để thực hiện các cấu hình khác mà nó không có trong Server Manager bạn phải sử dụng các tiện ích
khác và MMC snap-ins. Thực hiện bằng cách: chọn server, chọn mục Tools trong trình đơn.
Ủy quyền quản trị server
Trong các hệ thống mạng lớn, sẽ có một số công việc phải thực hiện thường xuyên, vì vậy cần phải có
người chịu trách nhiệm thực hiện các công việc này. Ủy quyền quản trị là trao quyền cho một cá nhân
được phép thực hiện một số công việc nhất định. Ví dụ, bạn có thể trao quyền cho một nhân viên có
quyền tạo mới tài khoản người dùng nhưng không được phép thay đổi cấu trúc của Active Directory,
cũng như mật khẩu của giám đốc điều hành.
Sử dụng DSC3(Desired State Configuration) trong Windows PowerShell
DSC là bước phát triển tiếp theo của Windows PowerShell. Nó được đưa ra vào năm 2006 như là một
phần của Windows PowerShell 1.0.
Từ Windows Server 2012, Windows PowerShell đã được phát triển để thực hiện cấu hình bằng dòng
lệnh tất cả các tác vụ quản trị, bên cạnh hình thức thực hiện trên giao diện đồ họa.
Trong Windows PowerShell 4.0, DSC cung cấp cách thức cấu hình bằng kịch bản (script) mới.
Để thực hiện, người quản trị sẽ tạo một kịch bản với từ khóa configurations, sau đó là các từ khóa
nodes, resources. Trong đó:
- configurations: là tên của kịch bản.
- nodes: tên máy tính.
- resources: tên của các thành phần cần cài đặt.
Ví dụ sau là một kịch bản đơn giản nhằm xây dựng một web server:
Configuration CompanyWeb
{
Node “Server1”
{
WindowsFeature InstallIIS
{
Ensure = “Present” #nếu muốn gỡ bỏ IIS thay “Present” bằng “Absent”
Name = ‘Web-Server”
}
File CopyWebSite
{
3
http://technet.microsoft.com/en-us/library/dn249912.aspx
40
Cài đặt và cấu hình Windows Server 2012 R2
Ensure = “Present”
Type = “Directory”
Recurse = $true
SourcePath = $WebsitePath #nơi chứa các tập tin nguồn của Website
DestinationPath = “C:\inetpub\wwwroot”
DependsOn = “[WindowsFeature]InstallIIS” #yêu cầu IIS đã được cài đặt4
}
}
}
Ở kịch bản này, từ khóa Node cho biết tên của server sẽ được cấu hình (ví dụ: Server1). Từ khóa
WindowsFeature và File là các thành phần đã được định nghĩa trước, bạn có thể sử dụng chúng để thực
hiện các cấu hình.
Từ khóa WindowsFeature xác định chức năng cần cài đặt là Web-Server, và từ khóa File sẽ thực hiện
chép các tập tin của website tới Server1, với $WebsitePath là đường dẫn tới vị trí có chứa các tập tin
của website.
DSC còn có nhiều từ khóa khác giúp bạn thực hiện các cấu hình liên quan đến các dịch vụ, registry,
biến môi trường, tài khoản người dùng, tài khoản nhóm. Ngoài ra, nó cũng cho phép người dùng tự
định nghĩa các từ khóa mới.
Các bước để tạo và chạy một DSC:
1. Bấm chuột phải vào biểu tượng của Windows PowerShell trên thanh taskbar, chọn Windows
PowerShell ISE với quyền Administrator.
2. Chọn mục View trên trình đơn, chọn Show Script Pane.
4
Tài liệu gốc ghi là “Requires”, tuy nhiên trong Windows Server 2012 R2 nó đã được thay bằng “DependsOn”
41
Cài đặt và cấu hình Windows Server 2012 R2
3. Nhập nội dung của kịch bản (ví dụ phía trên). Lưu ý: phần chú thích (bắt đầu bằng dấu #) không
nhất thiết phải nhập.
4. Bấm nút Run Script trên thanh công cụ, nội dung của kịch bản sẽ xuất hiện trong cửa sổ console
(bên dưới).
42
Cài đặt và cấu hình Windows Server 2012 R2
5. Kịch bản đã được tạo xong, thực thi configuration để tạo ra tập tin .MOF, bằng cách gõ tên của
kịch bản CompanyWeb tại cửa sổ console.
6. Để thực thi nội dung trong kịch bản, gõ lệnh sau, máy tính sẽ thực hiện các cài đặt:
Start-DscConfiguration –Wait –Verbose –Path .\CompanyWeb
43
Cài đặt và cấu hình Windows Server 2012 R2
Trong các công ty lớn, người quản trị có thể tạo ra một DSC server để quản lý tập trung các DSC. Để
tạo ra một DSC server, thực hiện cài đặt PowerShell Desired State Configuration Service, đây là một
chức năng của Windows PowerShell.
PowerShell Desired State Configuration Service sử dụng Internet Information Services Web server để
thực hiện cấu hình cho tất cả các máy trên mạng.
44
Cài đặt và cấu hình Windows Server 2012 R2
45
Cài đặt và cấu hình Windows Server 2012 R2
(Serial ATA). Tuy nhiên, nhu cầu về đọc và ghi đĩa cứng trên máy server lớn hơn nhiều so với các máy
trạm. Vì vậy, một hệ thống lưu trữ thông thường, không đạt chuẩn, rất dễ bị quá tải khi có hàng trăm
người dùng cùng truy cập một lúc. Ngoài ra, các hệ thống đĩa cứng thông thường cũng không có cơ
chế dự phòng và rất khó cho việc nâng cấp, mở rộng về sau.
Các yếu tố cần phải xem xét khi chọn giải pháp cho việc lưu trữ:
- Tổng dung lượng đĩa cần thiết cho server
- Số lượng người dùng cùng truy cập một lúc tới server
- Mức độ bí mật của dữ liệu
- Mức độ quan trọng của dữ liệu đối với tổ chức
46
Cài đặt và cấu hình Windows Server 2012 R2
Storage Spaces sẽ tạo ra các storage pool từ các đĩa cứng vật lý chưa được sử dụng. Dung lượng của
các storage pool này có thể điều chỉnh được bằng cách thêm đĩa cứng vật lý vào pool hoặc gỡ bỏ đĩa
cứng vật lý ra khỏi pool.
Từ storage pool người quản trị sẽ tạo ra các đĩa cứng ảo với kích thước tùy ý. Việc thao tác trên đĩa
cứng ảo hoàn toàn giống với thao tác trên đĩa cứng vật lý. Người dùng không cần quan tâm dữ liệu sẽ
được lưu vào đĩa vật lý nào, việc này đã có storage pool thực hiện ngầm bên dưới.
Bạn cũng có thể cung cấp khả năng chống lỗi (fault tolerance) cho các đĩa cứng ảo bằng cách sử dụng
các đĩa cứng thật trong storage pool để chạy dự phòng theo kiểu mirroring hoặc parity.
Sau khi tạo đĩa cứng ảo, bạn có thể thực hiện tạo các volume trên các đĩa cứng ảo này.
Sử dụng công cụ Server Manager để tạo và quản lý các storage pool.
- Loại đĩa cứng: Windows Server 2012 R2 hỗ trợ hai kiểu là basic và dynamic. Trên một máy
tính có thể vừa có đĩa cứng kiểu basic vừa có đĩa cứng kiểu dynamic. Tuy nhiên, một đĩa
cứng thì không thể cùng một lúc thuộc hai kiểu này.
- Chia đĩa cứng thành các phân vùng (partition) hoặc các ổ đĩa logic (volume): mặc dù có thể
sử dụng hai khái niệm partition và volume thay thế cho nhau, vì thực tế có thể xem chúng
47
Cài đặt và cấu hình Windows Server 2012 R2
đều là các ổ đĩa logic. Tuy nhiên, chính xác thì partition được sử dụng cho đĩa cứng kiểu
basic, còn volume được sử dụng cho đĩa cứng kiểu dynamic.
- Chọn kiểu định dạng (hệ thống quản lý tập tin) cho partition hoặc volume: Windows Server
2012 R2 hỗ trợ các hệ thống quản lý tập tin NTFS, FAT (FAT16, FAT32, exFAT), và
ReFS.
Phần sau trình bày chi tiết hơn các nội dung trên.
Lựa chọn kiểu quản lý partition
- MBR: Đây là kiểu quản lý partition đã có từ trước khi có Windows, hiện tại nó vẫn được sử dụng
phổ biến cho các máy tính chạy trên nền x86 và x64.
- GPT: Đây là kiểu quản lý partition xuất hiện khoảng cuối những năm 1990, các phiên bản Windows
trước Windows Server 2008 và Windows Vista chạy trên nền x86 không hỗ trợ kiểu quản lý partition
này. Hiện nay (2014), hầu hết các hệ điều hành đều hỗ trợ kiểu quản lý partition này.
Các máy tính chạy trên nền x64 đều có thể làm việc được với cả MBR và GPT, miễn là đĩa khởi động
không nằm trên đĩa kiểu GPT.
Máy tính muốn khởi động được từ đĩa kiểu GPT nó phải hỗ trợ khởi động từ EFI (Extensible Firmware
Interface). Nếu không, máy tính buộc phải có một đĩa cứng kiểu MBR, khi đó GPT chỉ được sử dụng
để lưu trữ dữ liệu.
Loại đĩa cứng
Hầu hết các máy tính cá nhân đều sử dụng đĩa cứng kiểu basic vì quản lý nó đơn giản. Đĩa cứng kiểu
basic sử dụng MBR để quản lý các partition, gồm: partition kiểu primary, partition kiểu extended và
các ổ đĩa logic. Hệ điều hành sẽ được cài đặt vào một partition kiểu primary đã được đánh dấu là
active.
Trong Windows Server 2012 R2 sử dụng snap-in Disk Management để quản lý đĩa cứng kiểu basic,
chia đĩa theo MBR. Khi chia đĩa, chỉ có thể tạo tối đa là ba partition (hay volume) kiểu primary,
partition thứ tư sẽ có kiểu extended, tạo thêm các ổ đĩa logic trong partition kiểu extended.
Khi bạn chọn kiểu chia đĩa là GPT, bạn có thể tạo tới 128 ổ đĩa logic (volume), mỗi volume được xem
như một partition kiểu primary. Trong hệ thống GPT không có partition kiểu extended và ổ đĩa logic
(logical drive).
48
Cài đặt và cấu hình Windows Server 2012 R2
Có thể chuyển đĩa cứng từ kiểu basic sang dynamic và ngược lại. Khi chuyển sang kiểu dynamic, bạn
có thể tạo các volume với số lượng không hạn chế. Đĩa cứng kiểu dynamic hỗ trợ nhiều loại volume.
Các loại volume
Đĩa dynamic cho phép tạo không hạn chế các volume. Các volume có chức năng tương tự như partition
kiểu primary trên đĩa basic. Tuy nhiên, bạn không thể đánh dấu một volume trong đĩa dynamic là
active.
Có năm loại volume sau:
- Simple volume: là volume chỉ gồm không gian đĩa trên một đĩa cứng vật lý. Nếu simple
volume không phải là volume hệ thống hay volume khởi động thì bạn có thể mở rộng nó
bao gồm không gian đĩa trên các đĩa cứng vật lý khác để tạo thành spanned volume hoặc
striped volume. Bạn có thể tăng kích thước của một simple volume bằng cách lấy thêm các
vùng đĩa chưa được cấp phát trên cùng một đĩa cứng, hoặc cũng có thể thu nhỏ kích thước
của một simple volume với một số điều kiện nhất định.
- Spanned volume: là volume có chứa không gian đĩa của từ 2 tới 32 đĩa cứng vật lý, tất cả
đĩa cứng vật lý phải thuộc kiểu dynamic. Spanned volume là một phương pháp gom các
không gian đĩa trên các ổ đĩa cứng kiểu dynamic thành một volume có kích thước lớn hơn.
Khi ghi dữ liệu lên đĩa, Windows Server 2012 R2 sẽ ghi dữ liệu tuần tự từng đĩa cứng vật
lý, đầy đĩa đầu tiên sẽ sang đĩa kế tiếp. Có thể mở rộng spanned volume dễ dàng bằng cách
lấy thêm phần không gian đĩa cứng chưa sử dụng trên các đĩa cứng vật lý. Volume kiểu
spanned không giúp tăng hiệu xuất đọc/ghi dữ liệu lên đĩa, nó cũng không cung cấp khả
năng chịu lỗi cho đĩa cứng. Nếu một đĩa cứng vật lý thuộc volume bị hư, tất cả dữ liệu trên
volume sẽ bị mất.
- Striped volume: là volume có chứa không gian đĩa của từ 2 tới 32 đĩa cứng vật lý, tất cả đĩa
cứng vật lý phải thuộc kiểu dynamic. Dung lượng của mỗi đĩa cứng vật lý tham gia vào
volume phải bằng nhau. Tốc độ đọc/ghi trên hệ thống striped volume nhanh hơn so với
spanned volume, do dữ liệu được ghi đồng thời trên các đĩa cứng vật lý. Striped volume
không có cơ chế chịu lỗi, nếu một trong các đĩa cứng vật lý bị hư sẽ dẫn tới hư luôn cả
volume. Striped volume không cho mở rộng kích thước sau khi đã được tạo.
- Mirrored volume: là volume có hai không gian đĩa cứng bằng nhau, giống hệt nhau trên hai
đĩa cứng vật lý, cả hai đĩa cứng vật lý đều thuộc kiểu dynamic. Khi ghi dữ liệu lên đĩa cứng,
hệ thống sẽ thực hiện ghi đồng thời trên cả hai đĩa cứng vật lý, vì vậy dung lượng của dữ
liệu sẽ được nhân đôi khi lưu. Nếu một đĩa cứng vật lý bị hư, hệ thống vẫn truy cập được dữ
liệu trong volume bình thường, trong khi chờ đĩa cứng kia được sửa hoặc thay thế.
- RAID-5 volume: là volume phải nằm trên ít nhất ba đĩa cứng vật lý trở lên, tất cả các đĩa
cứng đều phải là kiểu dynamic. Nhờ dữ liệu lưu trên đĩa được tổ chứa dựa trên sự kết hợp
của striping và parity giữa các đĩa cứng vật lý, nên nếu có một đĩa cứng vật lý bị hư, hệ
thống vẫn có thể khôi phục lại dữ liệu dựa vào các ổ đĩa cứng vật lý còn lại. Nhờ vào kĩ
thuật striping nên tốc độ đọc đĩa cứng được nâng cao, nhưng tốc độ ghi đĩa cứng thì bị
chậm do phải tính toán liên quan đến parity.
49
Cài đặt và cấu hình Windows Server 2012 R2
50
Cài đặt và cấu hình Windows Server 2012 R2
Role File and Storage Services trong Server Manager cho phép quản lý storage pool, tạo các đĩa cứng
ảo, thực hiện một số cấu hình trên volume, trên đĩa cứng vật lý. Có thể quản lý các đĩa cứng trên tất cả
các server hiển thị trong Server Manager.
Disk Management là một snap-in trong MMC, đây là công cụ truyền thống, vẫn thường được sử dụng
để quản lý đĩa cứng. Để truy cập Disk Management, mở Administrative Tools, chọn Computer
Management, chọn Disk Management.
Công cụ quản lý đĩa và volume bằng dòng lệnh là DiskPart.exe.
Thêm một đĩa cứng vật lý mới
Trong Windows Server 2012 R2, một đĩa cứng trước khi muốn sử dụng để lưu trữ phải được khởi tạo
các thông số (initialize).
Để gắn thêm một đĩa cứng mới, bạn cần phải tắt máy tính, gắn đĩa theo chỉ dẫn của nhà sản xuất. Đĩa
cứng vừa được gắn vào sẽ được hiển thị trong mục Disks của Server Manager, đĩa cứng sẽ có trạng
thái là Offline và kiểu của partition là Unknown. Xem hình minh họa (đĩa cứng 2 và 3 mới được gắn
thêm).
51
Cài đặt và cấu hình Windows Server 2012 R2
Để chuyển đĩa cứng sang trạng thái có thể truy cập được, bạn phải chuyển trạng thái của đĩa cứng từ
Offline sang Online. Để thực hiện, trong cửa sổ Server Manager, chọn mục Disks, chọn đĩa cứng cần
chuyển, bấm chuột phải, chọn mục Bring Online, sẽ xuất hiện một cửa sổ cảnh báo, bấm Yes, sau đó
bấm chuột phải vào đĩa cứng chọn Initialize. Sau khi thực hiện xong quá trình Initialize, kiểu partition
mặc định của đĩa cứng là GPT.
Không giống như trong snap-in Disk Management, tại cửa sổ Server Manager bạn không thể thiết lập
hay thay đổi được kiểu partition (MBR hay GPT) cho một đĩa cứng. Để thay đổi kiểu của partition bạn
phải sử dụng công cụ Disk Management, tại mục Disk Management, chuột phải vào ổ đĩa và chọn
Convert to MBR Disk hoặc Convert to GPT Disk. Lưu ý: quá trình này sẽ xóa các partition và làm mất
hết dữ liệu. Xem hình minh họa.
52
Cài đặt và cấu hình Windows Server 2012 R2
Tạo và gắn kết (mount) một đĩa cứng ảo (VHD – Virtual Hard Disk)
Hyper-V lưu đĩa cứng ảo của nó theo định dạng VHD hoặc VHDX, đây là hai định dạng của đĩa cứng
ảo (Virtual Hard Disk). Các định dạng này lưu mỗi đĩa cứng ảo trong một tập tin duy nhất, do vậy, rất
dễ di chuyển đĩa cứng ảo từ vị trí này sang vị trí khác, hoặc từ máy tính này sang máy tính khác.
Snap-in Disk Management trong Windows Server 2012 R2 cho phép tạo và gắn kết các đĩa cứng ảo.
Sau khi gắn kết một đĩa cứng ảo với máy tính ảo, bạn có thể sử dụng đĩa cứng ảo như một đĩa cứng vật
lý thông thường. Nếu muốn di chuyển đĩa cứng ảo sang máy tính khác, bạn chỉ việc ngắt gắn kết, và
thực hiện di chuyển tập tin VHD hoặc VHDX.
Các bước để tạo một VHD trong Disk Management:
1. Trong Server Manager, bấm vào mục Tools trên trình đơn, chọn Computer Management. Cửa
sổ Computer Management xuất hiện.
2. Chọn Disk Management để mở snap-in Disk Management.
3. Từ mục Action tại trình đơn, chọn Create VHD. Cửa sổ Create And Attach Virtual Hard Disk
xuất hiện.
53
Cài đặt và cấu hình Windows Server 2012 R2
4. Trong mục Location, xác định vị trí để lưu đĩa cứng ảo, và đặt tên cho đĩa cứng ảo.
5. Trong mục Virtual Hard Disk Size, nhập dung lượng cho đĩa cứng ảo sẽ tạo.
6. Lựa chọn kiểu định dạng của đĩa cứng ảo trong mục Virtual Hard Disk Format:
- VHD: định dạng kiểu cũ, tính tương thích tốt. Kích thước đĩa cứng ảo tối đa cho phép là
2040 GB.
- VHDX: định dạng mới hơn, chỉ tương thích với các máy tính chạy hệ điều hành Windows
Server 2012 và Windows Server 2012 R2. Kích thước đĩa cứng ảo tối đa cho phép là 64
TB.
7. Lựa chọn chế độ cấp phát không gian đĩa cho đĩa cứng ảo trong mục Virtual Hard Disk Type:
- Fixed Size: cấp phát không gian lưu trữ cho đĩa cứng ảo một lần, ngay khi đĩa được tạo ra.
- Dynamically Expanding: không gian lưu trữ được cấp cho đĩa cứng ảo mỗi khi có dữ liệu
được thêm vào đĩa cứng ảo.
8. Bấm OK để hoàn thành quá trình tạo đĩa cứng ảo. Sau khi được tạo ra, đĩa cứng ảo sẽ xuất hiện
trong cửa sổ của snap-in Disk Management, nếu không xuất hiện, bấm nút Refresh trên thanh
công cụ.
54
Cài đặt và cấu hình Windows Server 2012 R2
Sau khi được tạo, đĩa cứng ảo sẽ ở trạng thái chưa được khởi tạo các tham số đĩa (uninitialized). Vì
vậy, để sử dụng, bạn cần phải thực hiện khởi tạo đĩa cứng (initialize), và tạo các volume. Việc sử dụng
đĩa cứng này hoàn toàn như một đĩa cứng vật lý. Bạn có thể di chuyển đĩa ảo này tới vị trí khác, có thể
gắn kết đĩa cứng ảo này tới các máy ảo trên nền Hyper-V.
2. Trong khung STORAGE POOLS, chọn không gian đĩa cứng khởi đầu (primordial space) của
Storage pool, bấm chuột phải chọn New Storage Pool, (hoặc vào mục TASK, chọn New
Storage Pool), cửa sổ New Storage Pool Wizard xuất hiện.
3. Bấm Next, cửa sổ Specify A Storage Pool Name and Subsystem xuất hiện.
55
Cài đặt và cấu hình Windows Server 2012 R2
4. Nhập tên cho storage pool trong mục Name (ví dụ; Pool 1), bấm Next, cửa sổ Select Physical
Disks For the Storage Pool xuất hiện.
56
Cài đặt và cấu hình Windows Server 2012 R2
5. Đánh dấu chọn vào các đĩa cứng mà bạn muốn đưa nó vào Pool 1, bấm Next để xem lại các
thông tin liên quan đến thiết lập vừa thực hiện (Confirmation).
6. Bấm Create để máy tính thực hiện tạo storage pool.
7. Cuối cùng, bấm Close để hoàn thành quá trình tạo storage pool. Storage pool vừa được tạo sẽ
xuất hiện tại khung STORAGE POOLS.
Sau khi tạo ra storage pool, bạn có thể thực hiện điều chỉnh dung lượng của các storage pool, bằng
cách thêm hoặc bỏ bớt các đĩa cứng tham gia vào storage pool.
Để thêm đĩa cứng vào storage pool, chọn storage pool cần thêm đĩa cứng (tăng thêm không gian lưu
trữ), trong khung PHYSICAL DISKS, bấm TASK, chọn Add Physical Disk, sau đó đánh dấu chọn vào
đĩa cứng để thêm vào cho storage pool.
Để bỏ bớt đĩa cứng ra khỏi một storage pool, trong khung PHYSICAL DISKS, chuột phải vào đĩa
cứng muốn gỡ bỏ, chọn Remove Disk, cửa sổ cảnh báo xuất hiện, chọn Yes.
Để tạo một storage pool mới trong Windows PowerShell, sử dụng lệnh New-StoragePool với cú pháp
như sau:
New-StoragePool –FriendlyName <pool name> -StorageSubSystemFriendlyName <subsystem name>
-PhysicalDisks <CIM instances>
Để lấy được tên chính xác của các tham số subsystem (chương trình quản lý lưu trữ) và tên đĩa cứng
vật lý, lần lượt sử dụng hai hàm: Get-StorageSubsystem và Get-PhysicalDisk.
Ví dụ sau tạo một storage pool tên là Pool2.
57
Cài đặt và cấu hình Windows Server 2012 R2
Ngoài các tham số ở trên, lệnh tạo storage pool còn cho phép sử dụng thêm các tham số như:
- EnclosureAwareDefault: xác định storage pool có được tạo từ các đĩa cứng vật lý có hỗ trợ
SCSI Enclosure Services hay không.
- ProvisioningTypeDefault: xác lập kiểu cấp phát không gian lưu trữ mặc định cho đĩa cứng
ảo (Unknown, Fixed, Thin) khi được tạo từ pool.
- ResiliencySettingsNameDefault: xác lập kiểu lưu trữ nhằm thiết lập khả năng chịu lỗi của
đĩa cứng ảo (simple, mirror, partity) khi được tạo từ pool.
58
Cài đặt và cấu hình Windows Server 2012 R2
6. Lựa chọn một trong các tùy chọn sau cho đĩa cứng ảo, và bấm Next:
- Simple: yêu cầu storage pool phải có ít nhất một đĩa cứng vật lý, không cần phải có khả
năng chịu lỗi. Khi hệ thống có nhiều hơn một đĩa cứng vật lý, nó sẽ thực hiện lưu dữ liệu
theo kĩ thuật stripe (lưu dữ liệu theo băng – một băng gồm các đoạn dữ liệu bằng nhau trên
các đĩa cứng, để tăng tốc độ đọc/ghi dữ liệu).
- Mirror: yêu cầu storage pool phải có ít nhất hai đĩa cứng vật lý, có khả năng chịu lỗi bằng
cách lưu thêm một bản sao của dữ liệu trên một đĩa cứng khác. Nghĩa là, khi lưu, dữ liệu sẽ
được lưu hai lần tại hai đĩa cứng khác nhau.
- Parity: yêu cầu storage pool phải có ít nhất ba đĩa cứng vật lý, có khả năng chịu lỗi bằng kĩ
thuật striping parity. Kĩ thuật này sẽ thực hiện lưu dữ liệu theo băng trên hai đĩa cứng vật
lý, không gian đĩa cứng cùng băng (stripe) trên đĩa cứng thứ ba sẽ được dùng để lưu thông
tin parity – thông tin giúp phục hồi dữ liệu.
7. Cửa sổ Specify The Provisioning Type xuất hiện.
59
Cài đặt và cấu hình Windows Server 2012 R2
8. Lựa chọn một trong hai kiểu cấp phát đĩa cứng (provisioning) sau, và bấm Next,
- Thin: hệ thống sẽ lấy không gian đĩa cứng của storage pool để cấp cho đĩa cứng ảo theo nhu
cầu sử dụng, cho tới khi nào đạt tới kích thước tối đa như khai báo khi tạo đĩa cứng ảo.
- Fixed: hệ thống sẽ lấy không gian đĩa cứng của storage pool để cấp cho đĩa cứng ảo một lần
theo kích thước đã được khai báo khi tạo đĩa cứng ảo.
9. Cửa sổ Specify The Size Of The Virtual Disk xuất hiện, nhập kích thước của đĩa cứng ảo trong
ô Specify size. Bấm Next, cửa sổ Comfirm Selections xuất hiện.
60
Cài đặt và cấu hình Windows Server 2012 R2
61
Cài đặt và cấu hình Windows Server 2012 R2
62
Cài đặt và cấu hình Windows Server 2012 R2
1. Mở Server Manager, chọn mục Tools ở trình đơn, chọn Computer Management để mở cửa sổ
Computer Management.
2. Chọn mục Disk Management ở khung bên trái để mở snap-in Disk Management.
3. Tại khung hiển thị các đĩa cứng dạng đồ họa, bấm chuột phải vào vùng đĩa cứng chưa được cấp
phát, chọn New Simple Volume, cửa sổ New Simple Volume Wizard xuất hiện.
4. Bấm Next để mở cửa sổ Specify Volume Size.
5. Nhập kích thước cho volume sẽ tạo. Lưu ý: kích thước phải nằm trong giới hạn Maximum disk
space và Minimum disk space. Bấm Next để mở cửa sổ Assign Drive Letter Or Path.
63
Cài đặt và cấu hình Windows Server 2012 R2
64
Cài đặt và cấu hình Windows Server 2012 R2
8. Chọn Do not format this volume để không thực hiện định dạng volume, hoặc chọn Format this
volume with the following settings để thực hiện định dạng volume. Một số tùy chọn liên quan
đến định dạng:
- File system: lựa chọn kiểu quản lý tập tin sẽ áp dụng cho volume. Tùy theo kích thước
của volume, có thể lựa chọn các kiểu sau: ReFS, NTFS, exFAT, FAT32 và FAT.
- Allocation Unit Size: xác định kích thước của một cluster, đơn vị tính là byte. Đây là
đơn vị cơ bản, hệ thống sẽ sử dụng đơn vị này khi thực hiện cấp phát không gian đĩa
cứng cho tập tin hoặc thư mục. Nên để mặc định, vì hệ thống đã tính toán dựa trên kích
thước của volume.
- Volume Label: đặt tên cho volume, tên này khác với kí hiệu của volume (C, D, E...v.v).
- Perform A Quick Format: nếu chọn mục này, hệ thống sẽ thực hiện định dạng đĩa,
nhưng không kiểm tra lỗi của các sector. Khi định dạng nhanh, hệ thống sẽ không tìm
và đánh dấu các sector bị lỗi, do vậy, sau này người sử dụng có thể gặp một số trục trặc
khi lưu dữ liệu lên các vùng sector bị lỗi. Không nên lựa chọn kiểu định dạng này.
- Enable File And Folder Compression: nén tập tin và thư mục, chỉ áp dụng cho volume
định dạng theo kiểu NTFS.
9. Bấm Next để mở cửa sổ Completing The New Simple Volume Wizard.
10. Xem lại các thông tin mà bạn đã thiết lập cho volume, sau đó bấm Finish để hệ thống tạo
volume.
Việc tạo volume có thể thực hiện như nhau trên đĩa cứng ảo và đĩa cứng thật.
65
Cài đặt và cấu hình Windows Server 2012 R2
Bạn có thể thực hiện tạo volume trực tiếp từ Server Manager, bằng cách: trong khung DISK bấm chuột
phải vào ổ đĩa cần tạo, chọn New Volume; hoặc trong khung VOLUMES, bấm TASK, chọn New
Volume. Điều khác duy nhất khi thực hiện từ Server Manager so với khi thực hiện bằng Disk
Management là: từ Server Manager cho phép bạn chọn Server và chọn đĩa để tạo volume, nghĩa là bạn
có thể tạo volume trên mọi đĩa cứng, trên mọi server.
66
Cài đặt và cấu hình Windows Server 2012 R2
5. Trong cửa sổ Select Disks, lựa chọn các đĩa cứng để tạo volume trên đó. Các đĩa cứng khả
dụng sẽ xuất hiện trong khung Available, chọn đĩa cứng, bấm Add để chuyển đĩa cứng sang
cửa sổ Selected. Đối với volume kiểu striped, spanned hoặc mirrored bạn phải chọn ít nhất hai
đĩa cứng. Đối với volume kiểu RAID-5 bạn phải chọn ít nhất ba đĩa.
6. Xác định không gian đĩa cứng bạn sẽ lấy từ mỗi đĩa để tạo volume, và bấm Next để mở cửa sổ
Assign Drive Letter or Path..
- Nếu kiểu volume là spanned: lựa chọn từng đĩa cứng trên khung Selected và nhập dung
lượng sẽ lấy trong mục Select the amount of space in MB.
- Nếu kiểu volume là striped, mirrored hoặc RAID-5, bạn chỉ cần nhập dung lượng đĩa cứng
một lần, vì volume kiểu này yêu cầu không gian lấy trên mỗi đĩa phải bằng nhau.
7. Tại cửa sổ Assign Drive Letter or Path, bạn có thể gán kí tự cho ổ đĩa hoặc ánh xạ nó tới một
thư mục trống, hoặc không làm gì cả. Bấm Next để mở cửa sổ Format Partition.
8. Lựa chọn kiểu định dạng cho ổ đĩa, bấm Next để mở cửa sổ Completing The New….
9. Xem lại các thông tin bạn đã thiết lập, bấm Finish. Nếu có bất kì đĩa cứng nào mà bạn đã chọn
để tạo volume có kiểu đĩa là basic, hệ thống sẽ thông báo và thực hiện việc chuyển đĩa cứng từ
basic sang dynamic.
10. Bấm Yes để thực hiện tạo volume.
67
Cài đặt và cấu hình Windows Server 2012 R2
68
Cài đặt và cấu hình Windows Server 2012 R2
B. Spanned
C. Mirrored
D. RAID-5
4. Khay chứa đĩa cứng dựa trên công nghệ JBOD có thể sử dụng để thay thế cho các công nghệ
lưu trữ nào sau đây?
A. SAN
B. SCSI
C. RAID
D. iSCSI
69
Cài đặt và cấu hình Windows Server 2012 R2
70
Cài đặt và cấu hình Windows Server 2012 R2
Nếu bạn không phải là người tạo ra thư mục (creator owner), để thực hiện chia sẻ, bấm chuột phải vào
thư mục cần chia sẻ, chọn Properties, chọn táp Sharing, bấm Share…
Ở cửa sổ File Sharing, bạn chỉ có thể thực hiện được hai thiết lập là: lựa chọn người được phép sử
dụng thư mục chia sẻ này, và quyền tương ứng cho mỗi người.
Để cho phép người dùng có quyền truy cập thư mục chia sẻ, nhập tên người dùng hoặc tên nhóm, bấm
nút Add, hệ thống sẽ tự động kiểm tra xem tên đó có tồn tại trong hệ thống mạng hay không? Nếu tên
đó không tồn tại, hệ thống sẽ báo lỗi. Cũng có thể nhập người dùng bằng cách bấm vào dấu mũi tên
(cạnh chữ Add), chọn Find people…, cửa sổ Select Users or Groups xuất hiện.
71
Cài đặt và cấu hình Windows Server 2012 R2
Bấm Advanced…, hệ thống sẽ yêu cầu chứng thực bằng tài khoản được phép quản trị hệ thống (ví dụ:
administrator), cửa sổ Select Users or Groups sẽ xuất hiện thêm một số nút mới, bấm nút Find Now,
chọn người dùng hoặc nhóm, bấm OK, OK.
Để thiết lập quyền cho người dùng, tại cửa sổ File Sharing, chọn người dùng bất kì, tại cột Permision
Level, bấm dấu mũi tên (hình tam giác), chọn quyền đọc (Read), đọc và ghi (Read/Write), hoặc không
cho truy cập (Remove).
Để thực hiện các thiết lập khác liên quan đến chia sẻ, bấm chuột phải vào thư mục cần chia sẻ, chọn
Properties, chọn táp Sharing, chọn Advanced Sharing để mở cửa sổ Advanced Sharing.
72
Cài đặt và cấu hình Windows Server 2012 R2
Chức năng File and Storage Services trong Server Manager cho phép bạn cấu hình chia sẻ trên mọi đĩa
cứng và mọi server trong mạng.
Windows Server 2012 R2 hỗ trợ hai hình thức chia sẻ thư mục:
- Server Message Blocks (SMB): đây là giao thức chia sẻ tập tin phổ biến, được sử dụng
trong mọi phiên bản của Windows.
- Network File System (NFS): đây là giao thức chia sẻ tập tin phổ biến, được dùng trong các
dòng hệ điều hành UNIX, Linux.
Khi cài đặt Windows Server 2012 R2, hệ thống đã cài đặt sẵn các dịch vụ để hỗ trợ hai kiểu chia sẻ
này. Hai dịch vụ nằm trong role File and Storage Services gồm: Storage Services và File Server.
Các bước để thực hiện chia sẻ thư mục bằng Server Manager:
1. Trong Server Manager, chọn File and Storage Services ở khung bên trái để mở trình đơn con,
chọn Shares, khung SHARES xuất hiện.
2. Trong khung SHARES, chọn TASKS, chọn New Share, cửa sổ New Share Wizard xuất hiện.
3. Lựa chọn một trong các tùy chọn tại cửa sổ Select The Profile For This Share:
- SMB Share – Quick: cung cấp các chức năng chia sẻ cơ bản dựa trên SMB với đầy đủ các
quyền NTFS và quyền chia sẻ.
- SMB Share – Advanced: cung cấp các chức năng chia sẻ dựa trên SMB với đầy đủ các
quyền NTFS và quyền chia sẻ. Cho phép sử dụng các dịch vụ cung cấp bởi File Server
Resource Manager.
- SMB Share – Applications: cung cấp các chức năng chia sẻ dựa trên SMB với các thiết lập
tương thích với Hyper-V và các ứng dụng khác.
73
Cài đặt và cấu hình Windows Server 2012 R2
- NFS Share – Quick: cung cấp các chức năng chia sẻ cơ bản dựa trên NFS cùng với cơ chế
chứng thực và phân quyền.
- NFS Share – Advanced: cung cấp các chức năng chia sẻ dựa trên NFS cùng với cơ chế
chứng thực và phân quyền. Cho phép sử dụng các dịch vụ cung cấp bởi File Server
Resource Manager.
4. Bấm Next để mở cửa sổ Select The Server And Path For This Share.
5. Chọn Server, volume để chia sẻ thư mục do hệ thống thiết lập sẵn hoặc chỉ đường dẫn tới thư
mục cần chia sẻ. Bấm Next để mở sổ Specify Share Name.
6. Nhập tên hiển thị khi thư mục được chia sẻ. Bấm Next để mở cửa sổ Configure Share Settings.
7. Lựa chọn thêm các tùy chọn sau (có thể chọn tất cả):
- Enable Access-Based Enumeration: chỉ liệt kê các thư mục mà người dùng được phép
truy cập.
- Allow Caching Of Share: cho phép người dùng làm việc theo kiểu ngoại tuyến (offline
file) – chép luôn một bản sao xuống máy của người dùng.
- Enable BranchCache On The File Share: cho phép server BranchCache lưu bản sao của
các tập tin đã được người dùng truy cập.
- Encrypt Data Access: server sẽ mã hóa tập tin khi người dùng truy cập từ xa.
8. Bấm Next để chuyển sang cửa sổ Specify Permissions To Control Access.
9. Chỉnh lại các quyền chia sẻ và quyền NTFS (NTFS permission) theo nhu cầu sử dụng, bấm
Next để chuyển sang cửa sổ Comfirm Seclections.
74
Cài đặt và cấu hình Windows Server 2012 R2
10. Bấm Create, hệ thống thực hiện chia sẻ và mở cửa sổ View Results.
11. Bấm Close để kết thúc.
Sau khi được tạo, các chia sẻ sẽ xuất hiện trong khung SHARES, mục Shares, của Server Manager. Để
quản lý các chia sẻ này, bạn chỉ việc bấm chuột phải vào chia sẻ, chọn Properties. Nếu không muốn
chia sẻ, chọn Stop Sharing.
75
Cài đặt và cấu hình Windows Server 2012 R2
ACL chứa các quyền truy cập và sử dụng của người dùng, nhóm người dùng (gọi chung là người
dùng). Một ACL gồm nhiều ACE (Access Control Entry: danh mục kiểm soát sử dụng).
Một ACE gồm tên người dùng và các quyền của người dùng đó. Khi thực hiện cấp quyền, hệ thống
Windows sẽ tạo ra một ACE mới. Khi thực hiện thay đổi quyền, nội dung của các ACE liên quan trong
ACL sẽ được cập nhật.
Cũng như trong các hệ điều hành Windows Server trước đây, trong Windows Server 2012 R2, bạn có
thể quản lý quyền chia sẻ và quyền NTFS, bằng cách bấm chuột phải vào thư mục cần quản lý quyền,
chọn Properties, chọn táp Sharing để quản lý quyền chia sẻ, chọn táp Security để quản lý quyền NTFS.
Lưu ý: Windows không cho phép chia sẻ tập tin, muốn chia sẻ tập tin, cần tạo một thư mục và đặt tập
tin vào trong đó.
Ví dụ, ở hình trên, mục Group or user names: là danh sách các người dùng, nhóm người dùng được
phép truy cập và sử dụng tài nguyên có tên là DungChung. Ứng với mỗi lựa chọn ở mục này là danh
sách các quyền tương ứng tại mục Permissions for (tên của người dùng, nhóm).
Bạn cũng có thể quản lý việc truy cập và sử dụng tài nguyên bằng công cụ Server Manager, tuy nhiên,
giao diện có hơi khác một chút.
76
Cài đặt và cấu hình Windows Server 2012 R2
77
Cài đặt và cấu hình Windows Server 2012 R2
- Thêm quyền (Additive): khởi đầu, người dùng sẽ không có bất cứ quyền gì trên tập tin, sau
đó sẽ thêm cho người dùng các quyền theo nhu cầu sử dụng (quyền Allow).
- Bớt quyền (Subtractive): khởi đầu, cấp cho người dùng toàn quyền sử dụng tập tin (cho tất
cả quyền Allow), sau đó, sẽ hạn chế bớt các quyền mà người dùng không được phép, bằng
cách sử dụng quyền từ chối (Deny).
Đa số mọi người thích sử dụng phương pháp thêm quyền, phương pháp này an toàn hơn, người dùng
cần sử dụng tới đâu, gán quyền tới đó. Thực tế, rất ít người sử dụng kết hợp cả hai phương pháp này
cùng một lúc, vì nó rất phức tạp, khó kiểm soát.
Kế thừa quyền
Kế thừa quyền là nguyên lý quan trọng trong việc quản lý quyền của người dùng. Kế thừa quyền là
hiện tượng quyền sẽ được truyền từ đối tượng cha xuống cho tất cả các đối tượng con. Ví dụ: khi bạn
cấp quyền cho người dùng A được phép đọc ổ đĩa D:\, thì người dùng A cũng sẽ có quyền đọc tất cả
các thư mục và tập tin có trên ổ đĩa D:\.
Kế thừa quyền giúp cho việc phân quyền được thuận tiện hơn. Nếu như không có nguyên lý này, bạn
sẽ phải cấp quyền sử dụng cho tất cả các tập tin và thư mục. Ngược lại, sử dụng nguyên lý kế thừa, bạn
chỉ cần cấp quyền một lần cho thư mục cha.
Trong thực tế, khi xây dựng cấu trúc thư mục để lưu trữ dữ liệu, hoặc khi xây dựng hệ thống OU trong
AD DS người quản trị đã phải xem xét đến yếu tố kế thừa trong phân quyền và ủy quyền trong quản
trị.
Trong một vài trường hợp nếu bạn không muốn áp dụng nguyên lý kế thừa trong phân quyền, nghĩa là
bạn không muốn các quyền của thư mục cha sẽ truyền xuống các tập tin hay thư mục con, bạn có hai
cách để thực hiện:
- Tắt chế độ kế thừa: trong cửa sổ cấu hình quyền advanced, có tùy chọn cho phép bạn ngăn
không cho các quyền trong một ACE nào đó được truyền xuống các tập tin hoặc thư mục
con.
- Sử dụng quyền kiểu Deny: dựa vào độ ưu tiên, quyền Deny luôn có quyền ưu tiên cao hơn
quyền Allow, nghĩa là nếu một người dùng vừa có quyền đọc (Allow Read), vừa bị cấm đọc
(Deny Read), thì người đó sẽ bị cấm đọc. Dựa vào tính chất này, nếu bạn không muốn
người dùng kế thừa một quyền nào đó từ thư mục cha, bạn chỉ cần gán quyền Deny tương
ứng.
- Quyền Deny có độ ưu tiên cao hơn quyền Allow: khi người dùng nhận được quyền Allow
do kế thừa, hoặc nhận được do là thành viên của nhóm người dùng, bạn vẫn có thể vô hiệu
các quyền đó bằng cách gán quyền Deny tương ứng.
- Quyền gán công khai có độ ưu tiên cao hơn: khi người dùng nhận được quyền do kế thừa
hoặc do là thành viên của nhóm người dùng, bạn có thể vô hiệu hóa các quyền đó bằng cách
gán quyền công khai.
Tất nhiên, người quản trị rất khó để xác định xem người dùng A được phép làm gì trên một tài nguyên.
Để xác định, chuột phải vào một tập tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ
Advanced Security Settings for…sẽ xuất hiện, chọn táp Effective Access, chọn người dùng, nhóm
người dùng, hoặc thiết bị, bấm nút View effective access để xem các quyền mà người dùng được phép
thực hiện.
79
Cài đặt và cấu hình Windows Server 2012 R2
Để thay đổi quyền chia sẻ bằng Server Manager, thực hiện các bước sau:
1. Mở Server Manager, chọn File and Storage Services ở khung bên trái để mở trình đơn con,
chọn Shares để mở khung SHARES.
2. Trong khung SHARES, bấm chuột phải vào chia sẻ muốn thay đổi quyền, chọn Properties để
mở cửa sổ Properties.
3. Chọn Permissions để mở cửa sổ Permisions.
4. Chọn Customize Permissions… để mở cửa sổ Advanced Security Settings for…
5. Chọn táp Share.
80
Cài đặt và cấu hình Windows Server 2012 R2
6. Bấm nút Edit để sửa quyền, muốn cấp quyền mới bấm nút Add để mở cửa sổ Permission Entry
for...
7. Bấm Select A Principal để hiển thị cửa sổ Select User, Computer, Services Account, Or Group.
8. Nhập tên hoặc tìm người dùng, nhóm mà bạn muốn cấp quyền chia sẻ. Bấm OK. Người dùng
hoặc nhóm sẽ xuất hiện trong cửa sổ Permission Entry for...
9. Lựa chọn loại quyền (Allow, Deny) mà bạn muốn cấp cho người dùng.
10. Đánh dấu chọn vào các quyền mà bạn muốn cấp cho người dùng, bấm OK.
11. Một ACE mới sẽ được tạo ra trong cửa sổ Advanced Security Settings for...
12. Bấm OK để đóng cửa sổ Advanced Security Settings.
13. Bấm OK để đóng cửa sổ Properties.
Quyền NTFS
Hầu hết các hệ điều hành Windows hiện nay đang sử dụng hệ thống quản lý tập tin NTFS thay cho
FAT32. Hệ thống NTFS cung cấp cơ chế kiểm soát việc sử dụng của người dùng, trong khi hệ thống
FAT32 không có.
Mỗi tập tin hoặc thư mục trong ổ đĩa logic (hoặc volume) đều có một ACL đi kèm, để kiểm soát việc
sử dụng của người dùng. Mỗi ACL gồm nhiều ACE. Mỗi ACE gồm có tên người dùng hoặc nhóm
người dùng, cùng với các quyền sử dụng tương ứng. Mỗi người dùng hoặc nhóm người dùng có một
định danh bảo mật riêng, gọi là SID (security identifier).
Khi người dùng đăng nhập thành công vào hệ điều hành Windows, hệ thống sẽ cấp cho người dùng
một thẻ bảo mật (security access token), thẻ này gồm có SID của người dùng và SID của tất cả các
nhóm mà người dùng này là thành viên. Khi người dùng mở một tập tin hoặc một thư mục để sử dụng,
81
Cài đặt và cấu hình Windows Server 2012 R2
hệ thống NTFS sẽ so sánh các SID có trong thẻ bảo mật với các SID được lưu trong các ACE, từ đó
xác định được các quyền sử dụng tương ứng. Quá trình này gọi là sự cấp phép sử dụng (authorization).
6. Để điều chỉnh quyền, chọn người dùng, bấm Edit. Để cấp quyền mới, bấm nút Add để mở cửa
sổ Permission Entry for…
7. Bấm Select A Principal để hiển thị cửa sổ Select User, Computer, Services Account, Or
Group.
82
Cài đặt và cấu hình Windows Server 2012 R2
8. Nhập tên hoặc tìm người dùng, nhóm mà bạn muốn cấp quyền basic. Bấm OK. Người dùng
hoặc nhóm sẽ xuất hiện trong cửa sổ Permission Entry for...
9. Lựa chọn loại quyền (Allow, Deny) mà bạn muốn cấp cho người dùng trong mục Type.
10. Lựa chọn thư mục con hoặc các tập tin sẽ được kế thừa quyền basic này trong mục Applies To.
11. Đánh dấu chọn vào các quyền basic mà bạn muốn cấp cho người dùng, bấm OK.
12. Một ACE mới sẽ được tạo ra trong cửa sổ Advanced Security Settings for...
13. Bấm OK để đóng cửa sổ Advanced Security Settings.
14. Bấm OK để đóng cửa sổ Properties.
Trong quá trình cấp quyền chia sẻ và quyền NTFS, có thể xảy ra tình trạng xung đột. Ví dụ, người
dùng có thể có quyền NTFS là Modify trên một thư mục, tuy nhiên, người dùng đó lại chỉ có quyền
chia sẻ là Read (không có quyền Change), khi đó người dùng chỉ được phép Read trên thư mục.
Quyền chia sẻ là hệ thống quyền đơn giản nhất của Windows, nhằm bảo vệ các tài nguyên chia sẻ. Tuy
nhiên, quyền chia sẻ chỉ có ba mức độ (Read, Change, Full Control). Do vậy, khó có thể thỏa mãn
được nhu cầu quản trị tập tin và thư mục trong thực tế. Trong khi đó, quyền NTFS cung cấp rất nhiều
mức độ khác nhau cho người quản trị lựa chọn.
Trong thực tế, quyền chia sẻ thường được sử dụng để quản lý các tài nguyên chia sẻ trên hệ thống
FAT32, vì hệ thống FAT không có cơ chế kiểm soát quyền của riêng nó.
Đối với một hệ thống được tổ chức phân quyền cẩn thận dựa trên quyền NTFS, thì quyền chia sẻ
không có nhiều ý nghĩa nữa. Do vậy, bạn có thể gán quyền chia sẻ cho Everyone quyền Full control.
Việc kiểm soát truy cập, đảm bảo an toàn dữ liệu dựa hoàn toàn trên quyền NTFS. Vì nếu phải ngồi
phân tích việc kết hợp làm sao cho hợp lý giữa quyền chia sẻ và quyền NTFS chỉ làm rắc rối thêm quá
trình quản trị.
84
Cài đặt và cấu hình Windows Server 2012 R2
3. Trong khung Select A Volume, chọn volume mà bạn muốn bật chức năng Shadow Copies. Khi
một volume được bật chức năng Shadow, hệ thống sẽ thực hiện các thiết lập mặc định sau:
- Shadow copies sẽ được lưu ngay trên volume được bật chức năng này.
- Hệ thống sẽ để sẵn ít nhất 300 MB không gian đĩa cứng cho shadow copies.
- Thời gian lưu các tập tin được thực hiện vào 7:00 A.M và 12:00 P.M mỗi ngày trong
tuần (từ Thứ Hai đến Thứ Sáu).
4. Để thay đổi các thiết lập mặc định trên, bấm nút Settings để mở cửa sổ Settings.
5. Chọn ổ đĩa để lưu shadow copies trong mục Storage Area.
6. Chọn No limit nếu bạn không muốn giới hạn không gian lưu trữ shadow copies, hoặc nhập kích
thước tối đa cho shadow copies trong ô Use limit. Khi không gian cho shadow copies đã đầy,
hệ thống sẽ thực hiện xóa các bản shadow copies cũ nhất. Tuy nhiên, cần lưu ý là Windows
Server 2012 R2 chỉ hỗ trợ tối đa 64 bản shadow copies cho mỗi volume.
7. Để điều chỉnh thời gian thực hiện lưu các tập tin, bấm mục Schedule. Tại đây, bạn có thể tạo
mới, xóa, hoặc điều chỉnh các thời biểu cho phù hợp.
8. Bấm OK hai lần để đóng cửa sổ Schelude và Settings.
9. Bấm Enable. Hệ thống sẽ bật chức năng shadow copies cho ổ đĩa đã được lựa chọn và tạo bản
sao lưu đầu tiên.
Với một volume đã được bật chức năng shadow copies, người sử dụng có thể lấy lại các phiên bản
trước đây của một tập tin bằng cách, trong File Explorer, bấm chuột phải vào tập tin, chọn Restore
previous versions, chọn táp Previous Versions.
85
Cài đặt và cấu hình Windows Server 2012 R2
86
Cài đặt và cấu hình Windows Server 2012 R2
4. Đánh dấu chọn vào mục Enable Quota Management để bật các điều khiển phía dưới.
5. Nếu bạn muốn ngăn không cho người dùng đươc phép tiếp tục sử dụng, khi họ đã dùng hết
định mức, đánh dấu chọn vào mục Deny Disk Space To Users Exceeding Quota Limit.
6. Để thiết lập định mức đĩa cứng cho người dùng, chọn mục Limit Disk Space To, và nhập không
gian đĩa tối đa một người được phép sử dụng. Để cảnh báo khi người dùng sử dụng tới một
ngưỡng nào đó, nhập giá trị vào mục Set warning level to.
7. Nếu bạn muốn máy tính tự động ghi lại sự kiện (ghi log) khi người dùng sử dụng vượt quá định
mức hoặc vượt quá ngưỡng cảnh báo, đánh dấu chọn vào hai mục Log event phía dưới cửa sổ.
8. Bấm OK để tạo quota và đóng cửa sổ Properties.
9. Đóng chương trình File Explorer.
87
Cài đặt và cấu hình Windows Server 2012 R2
- Cài dịch vụ Work Folders trong role File and Storage Services. Hệ thống sẽ yêu cầu cài đặt
thêm feature IIS Hostable Web Core. Feature này có chức năng giao tiếp với Work Folders
client, thông qua HTTP.
- Mở Server Manager, chọn mục File and Storage Services từ khung bên trái, một trình đơn
con sẽ mở ra, chọn mục Work Folders để mở khung WORK FOLDERS, chọn TASKS,
chọn New Sync Share để mở cửa sổ New Sync Share Wizard. Bấm Next.
- Lựa chọn thư mục đã được chia sẻ trong mục Select by file share hoặc thư mục mới trong
mục Enter a local path mà bạn muốn cài đặt chế độ Work Folders. Bấm Next để mở cửa sổ
Specify the structure for user folders. Lựa chọn kiểu đặt tên cho thư mục. Bạn có thể lựa
chọn chỉ cài đặt Work Folders trên một thư mục con, bằng cách đánh dấu chọn vào Sync
only the following subfolder. Bấm Next để nhập tên sẽ hiển thị cho thư mục chia sẻ.
- Bấm Next để mở cửa sổ Grant sync access to groups, bấm Add để nhập nhóm người dùng
được phép kết nối tới thư mục chia sẻ. Bấm Next để mở cửa sổ Specify device policies, có
thể lựa chọn để mã hóa dữ liệu khi truyền hoặc yêu cầu khóa màn hình người dùng và yêu
cầu nhập mật khẩu trước khi truy cập vào thư mục.
- Bấm Next để mở cửa sổ Comfirm selections. Bấm Create.
- Sau khi được tạo, thư mục được thiết lập chế độ WorkFolder sẽ xuất hiện trong khung
WORKFOLDERS.
88
Cài đặt và cấu hình Windows Server 2012 R2
89
Cài đặt và cấu hình Windows Server 2012 R2
90
Cài đặt và cấu hình Windows Server 2012 R2
B. Thiết lập định mức đĩa khác nhau cho mỗi người dùng.
C. Không cho phép người dùng sử dụng không gian đĩa nằm ngoài định mức đã
được cấp.
D. Gửi cảnh cáo đến người dùng khi họ sử dụng gần hết định mức.
4. Trong hệ thống quyền NTFS của Windows Server 2012 R2, kết hợp các quyền kiểu
advanced sẽ tạo thành các quyền kiểu gì? (chọn nhiều khả năng).
A. Special
B. Basic
C. Share
D. Standard
5. Phát biểu nào sau đây mô tả đúng nhất về đối tượng được cấp quyền (security principal)
liên quan đến quá trình cấp quyền NTFS?
A. Đối tượng được cấp quyền là người duy nhất được sử dụng tập tin mà không cần
quyền sử dụng.
B. Đối tượng được cấp quyền là người chịu trách nhiệm tạo ra các loại quyền.
C. Đối tượng được cấp quyền là người đang thực hiện cấp quyền sử dụng tài
nguyên.
D. Đối tượng được cấp quyền là người sẽ được nhận các quyền sử dụng tài nguyên.
91
Cài đặt và cấu hình Windows Server 2012 R2
- Printer driver: là phần mềm điều khiển của thiết bị in. Mỗi thiết bị in có phần mềm điều
khiển của riêng nó.
Hình sau minh họa việc kết hợp của bốn thành phần trên.
Printer
Máy trạm
Printer
driver
Print device Print server
Với một người dùng bất kì, trước khi họ có thể in được, thì họ phải cài đặt ít nhất một printer (máy in
tượng trưng) trên máy tính của họ. Các bước để cài đặt một printer:
- Lựa chọn hãng sản xuất máy in, dòng máy (model).
- Lựa chọn cổng giao tiếp giữa máy tính với thiết bị in.
- Cài đặt driver thích hợp cho máy in (printer driver).
Quá trình hoạt động của hệ thống in ấn
Khi in tài liệu từ một ứng dụng, bạn phải lựa chọn chính xác printer sẽ thực hiện việc in ấn.
Printer (đã được cài driver) sẽ nhận lệnh in từ ứng dụng, chuyển đổi lệnh in sang ngôn ngữ điều khiển
máy in gọi là PCL (printer control language), PCL có thể được chuẩn hóa, PostScript là một chuẩn hóa
của PCL. Lệnh in cũng có thể được chuyển sang dạng ngôn ngữ do chính công ty sản xuất máy in tạo
ra.
Người dùng có thể thiết lập các tùy chọn liên quan đến việc in ấn thông qua driver của máy in, sau đó,
driver máy in sẽ thiết lập các tùy chọn lên thiết bị in (print device). Các tùy chọn này thường nằm trong
táp Properties của printer. Các tùy chọn có thể là in màu, in đen trắng, in hai mặt v.v.
Sau khi printer xử lý xong một yêu cầu in, nó sẽ chuyển nội dung cần in vào một hàng đợi (print
queue) có tên là spooler.
Nội dung in nằm trong splooler thường ở dạng PCL, nếu không ở dạng PCL, driver sẽ phải chuyển đổi
sang dạng PCL trước khi gửi tới thiết bị in. Trong spooler các yêu cầu in được xếp tuần tự, có thể có
nhiều yêu cầu in đang chờ tại đây.
92
Cài đặt và cấu hình Windows Server 2012 R2
Cuối cùng, print server sẽ gửi các lệnh in tới thiết bị in, thiết bị in sẽ đọc các lệnh ở dạng PCL và in lên
giấy hoặc chất liệu bất kì.
Tính linh hoạt trong in ấn của Windows
Tính linh hoạt trong in ấn của Windows được thể hiện qua cách bố trí các thành phần liên quan. Bốn
thành phần gồm: printer, printer driver, print server và print device. Bạn có thể bố trí chúng theo nhiều
cách khác nhau.
Một máy tính có thể đảm nhận vai trò của cả ba thành phần gồm: printer, printer driver, print server; tất
nhiên, nó không thể là một print device. Bạn cũng có thể phân tán ba vai trò này tới các thiết bị, máy
tính khác trong hệ thống mạng.
Sau đây là bốn kiểu thiết lập hệ thống in ấn dựa trên nền Windows:
- Máy in gắn trực tiếp trên máy tính
- Chia sẻ máy in gắn trên máy tính
- Máy in gắn trực tiếp vào mạng
- Chia sẻ máy in gắn trên mạng
Tùy theo quy mô và điều kiện tại mỗi cơ quan, bạn có thể lựa chọn một kiểu thiết lập cho phù hợp.
Máy in gắn trực tiếp trên máy tính
Đây là hệ thống in ấn đơn giản nhất, hệ thống này gồm có một thiết bị in được gắn trực tiếp vào một
máy tính. Khi người dùng thực hiện lệnh in từ một ứng dụng, máy tính sẽ cung cấp chức năng của cả
ba thành phần gồm: printer (máy in tượng trưng), printer driver (phần mềm điều khiển máy in, hay gọi
là driver của máy in), print server (máy server phục vụ in ấn). Xem hình minh họa bên dưới.
93
Cài đặt và cấu hình Windows Server 2012 R2
Trong hệ thống này, máy tính có gắn máy in sẽ đóng vai trò là print server, các máy trạm có sử dụng
máy in sẽ đóng vai trò là print client. Printer và printer driver sẽ nằm trên các máy client. Xem hình
minh họa.
Trong cấu hình chia sẻ máy in mặc định của Windows Server 2012 R2, mỗi máy tính của người dùng
(print client) khi kết nối tới máy in chia sẻ sẽ chứa luôn printer driver và printer của riêng nó.
Trên máy của người dùng, khi họ ra lệnh in từ ứng dụng, lệnh in sẽ được chuyển tới printer, tại đây,
printer driver sẽ chuyển đổi lệnh in sang dạng ngôn ngữ mà print device có thể hiểu. Sau đó lệnh in
được chuyển tới print server, và print device.
Ưu điểm của hệ thống này là, nó cho phép nhiều người trong một mạng có thể sử dụng chung một máy
in.
Nhược điểm của hệ thống này là, trong trường hợp có quá nhiều người dùng trong hệ thống mạng có
yêu cầu in thì sẽ làm quá tải máy print server.
Mặc dù mọi máy tính cài Windows đều có thể làm một print server, tuy nhiên, bạn chỉ lấy máy trạm
làm print server trong trường hợp số lượng người dùng trong mạng ít và nhu cầu in không lớn.
Máy in gắn trực tiếp vào mạng
Hai giải pháp thiết lập hệ thống in ấn đã trình bày ở trên có đặc điểm chung là print device (thiết bị in
ấn) đều được gắn trực tiếp vào máy tính, sử dụng cổng USB hoặc các loại cổng khác.
Tuy nhiên, bạn có thể kết nối trực tiếp các thiết bị in ấn vào hệ thống mạng mà không cần phải qua một
máy tính trung gian. Trên các thiết bị in ấn hiện nay, thường có sẵn các cổng giao tiếp mạng, bạn có
thể sử dụng cáp mạng để kết nối. Nếu không có cổng giao tiếp mạng, một số thiết bị in ấn sẽ có khe
cắm mở rộng, bạn mua thêm bộ kết nối máy in vào mạng và cắm vào đây. Ngoài ra, với các thiết bị in
94
Cài đặt và cấu hình Windows Server 2012 R2
ấn không hỗ trợ việc kết nối trực tiếp vào hệ thống mạng, bạn có thể gắn nó với một thiết bị trung gian
và kết nối thiết bị trung gian đó vào hệ thống mạng.
Khi gắn vào hệ thống mạng, các máy in sẽ có một địa chỉ IP riêng và có giao diện web đơn giản để
người quản trị thực hiện một số cấu hình.
Trong hệ thống in ấn này, người quản trị cần phải lựa chọn máy tính để làm print server. Một giải pháp
không được hay lắm, nhưng đơn giản là mỗi máy tính của người dùng sẽ đóng vai trò là print server
cho chính nó. Khi đó việc nhận lệnh in, chuyển đổi lệnh in, đưa vào hàng đợi của riêng nó, kết nối tới
máy in, gửi lệnh in tới print device, tất cả đều được các máy client làm việc một cách độc lập. Xem
hình minh họa.
Máy in gắn trực tiếp vào mạng, với nhiều print server
Hệ thống in ấn này tuy đơn giản, nhưng có khá nhiều nhược điểm, ví dụ:
- Khi người dùng mở hàng đợi của thiết bị in, sẽ chỉ thấy các công việc in của chính họ.
- Người sử dụng không thể biết được hiện tại có ai đang sử dụng thiết bị in hay không. Có
bao nhiêu tác vụ in của người khác đang được thực hiện và khi nào công việc của họ sẽ
được in xong.
- Người quản trị mạng không thể quản lý các hàng đợi trên thiết bị in, lý do là mỗi máy tính
của người dùng có một hàng đợi in riêng.
- Người quản trị không thể triển khai được các tiện ích quản lý liên quan đến in ấn như
printer pools, quản trị từ xa.
- Khi máy in bị lỗi, thông điệp báo lỗi chỉ được gửi tới máy tính đang thực hiện việc in ấn.
- Hầu hết các công đoạn liên quan đến in ấn đều được xử lý tại máy của người dùng, rất ít
được chia tải cho các thành phần khác trong hệ thống.
Hệ thống in ấn này chỉ thích hợp cho các mạng có quy mô nhỏ, mạng workgroup, các hệ thống không
có người chuyên lo việc quản trị hệ thống mạng.
95
Cài đặt và cấu hình Windows Server 2012 R2
Print server
Máy in gắn trực tiếp vào mạng, với một print server
Máy print server sẽ quản lý và phục vụ nhu cầu in ấn của tất cả người dùng trong mạng. Để thiết lập
một máy tính là print server, bạn sẽ thực hiện các bước sau:
- Tạo ra một printer trên máy server
- Kết nối printer với thiết bị in (print device) thông qua cổng TCP
- Chia sẻ printer
- Cấu hình cho phép các máy client truy cập tới printer đã được chia sẻ
Về mặt kết nối vật lý, hệ thống này tương tự như hệ thống máy in gắn trực tiếp vào mạng. Nó chỉ khác
ở đường đi của dữ liệu in ấn. Dữ liệu in ấn sẽ không được chuyển trực tiếp từ các máy client tới thiết bị
in, mà nó phải được chuyển qua máy print server. Máy print server sẽ đưa các công việc in ấn vào
hàng đợi và tuần tự chuyển yêu cầu in tới thiết bị in.
Một số ưu điểm của hệ thống này:
- Yêu cầu in ấn của tất cả người dùng được lưu trong một hàng đợi duy nhất. Vì vậy, người
dùng hoặc người quản trị có thể quan sát được tất cả các công việc đang chờ để được in.
- Một số tác vụ liên quan đến quá trình in đã được chuyển sang cho máy print server, do vậy,
máy client của người dùng sẽ chạy nhanh hơn.
- Người quản trị có thể quản lý từ xa các tác vụ đang nằm trong hàng đợi.
96
Cài đặt và cấu hình Windows Server 2012 R2
- Người quản trị có thể triển khai được các tiện ích quản lý liên quan đến in ấn như printer
pools, quản trị từ xa.
- Người quản trị có thể quản lý việc sử dụng, kế toán tài nguyên, theo dõi, .v.v. liên quan đến
in ấn.
Một số cấu hình in ấn khác
Người quản trị có thể lựa chọn một trong bốn giải pháp thiết lập hệ thống in ấn như đã trình bày ở phía
trên. Tùy theo điều kiện và nhu cầu sử dụng để lựa chọn giải pháp cho phù hợp. Ngoài ra, trong hệ
thống in ấn còn có một số lựa chọn khác, giúp cho hệ thống in ấn hoạt động hiệu quả hơn, ví dụ:
- Printer pool: hệ thống này gồm một printer được gắn với nhiều thiết bị in (print device).
Thiết lập này hữu ích với các cơ quan có nhiều người sử dụng và nhu cầu in ấn nhiều, khi
nhận được yêu cầu in, máy print server sẽ phân phát công việc in tới các thiết bị in khác
nhau để chia tải, giúp việc in được nhanh hơn. Hệ thống này cũng có khả năng chịu lỗi.
- Bạn có thể gắn nhiều thiết bị in có kích thước giấy in, chất liệu in khác nhau vào cùng một
printer (máy in tượng trưng). Khi đó, print server sẽ chuyển các yêu cầu in ấn tới thiết bị in
thích hợp.
- Bạn có thể nối nhiều printer tới một thiết bị in duy nhất. Kiểu thiết lập này cho phép bạn
cấu hình độ ưu tiên khi in, cấu hình bảo mật, theo dõi máy in, .v.v cho từng người dùng,
hoặc nhóm người dùng. Ví dụ, bạn có thể tạo ra printer có độ ưu tiên cao hơn cho các sếp
sử dụng, và tạo ra printer có độ ưu tiên thấp hơn cho người dùng bình thường, mặc dù hai
đối tượng người dùng này đang sử dụng chung một thiết bị in, nhưng lệnh in của sếp sẽ
được ưu tiên thực hiện trước.
97
Cài đặt và cấu hình Windows Server 2012 R2
1. Mở Control panel, trong mục Hardware, bấm View devices and printers để mở cửa sổ Devices
and Printers.
2. Bấm chuột phải vào printer mà bạn muốn chia sẻ, chọn mục Printer Properties để mở cửa sổ
Properties của printer.
3. Chọn táp Sharing.
4. Đánh dấu chọn vào mục Share this printer, nhập tên sẽ xuất hiện trên các máy người dùng trong
mục Share name. Bạn có thể để tên mặc định.
5. Bạn có thể lựa chọn một hoặc cả hai tùy chọn sau:
- Render print jobs on client computers: thực hiện một số công đoạn liên quan đến quá
trình in ấn trên máy client, do đó sẽ giảm công việc xử lý tại máy print server.
- List in the directory: tạo ra đối tượng printer trong AD DS, khi đó người dùng trong AD
DS có thể tìm kiếm được. Tùy chọn này chỉ được kích hoạt khi máy tính là thành viên
của AD DS.
6. Nếu bạn muốn cài đặt thêm driver cho printer thì bấm vào mục Additional Drivers, cửa sổ
Additional Drivers xuất hiện, ví dụ, bạn đánh dấu chọn vào mục x86 để cài đặt thêm driver cho
các hệ điều hành x86, driver này sẽ được gửi tới máy client khi họ kết nối tới máy in lần đầu
tiên.
7. Sau khi chọn các driver để cài đặt thêm, bấm OK, mỗi lựa chọn cài đặt sẽ xuất hiện một cửa sổ
Install print drivers.
8. Trong cửa sổ Install print drivers, bấm vào mục Browse để tìm tới vị trí chứa driver, bấm OK.
9. Bấm OK để đóng cửa sổ Additional drivers.
10. Bấm OK để đóng cửa sổ Properties. Đóng Control panel.
Bây giờ, printer đã sẵn sàng cho các client kết nối và sử dụng.
98
Cài đặt và cấu hình Windows Server 2012 R2
Như vậy, client đang chạy các ứng dụng trên máy server, có thể in bằng CPU và RAM trên máy client,
trong khi người quản trị vẫn có thể mở printer trên máy client để theo dõi và quản lý.
99
Cài đặt và cấu hình Windows Server 2012 R2
1. Mở Control Panel, chọn Hardware, chọn Devices and Printers để mở cửa sổ Devices and
Printers.
2. Chuột phải vào printer mà bạn muốn cấp quyền, chọn Printer Properties để mở cửa sổ Printer
Properties.
3. Chọn thẻ Security, khung Group or User Names sẽ hiển thị các đối tượng người dùng đang
được phép thao tác trên printer, tại khung Permissions for Everyone sẽ liệt kê các quyền tương
ứng với mỗi đối tượng.
4. Bấm Add để thêm người sử dụng mới, cửa sổ Select Users, Computers, Service Accounts, Or
Groups xuất hiện.
5. Có thể bấm Advanced, Find Now để chọn người dùng hoặc nhóm người dùng mới, hoặc gõ
trực tiếp vào khung Enter The Object Names To Select. Bấm OK.
6. Lựa chọn người dùng vừa được thêm vào, cấp quyền cho người dùng.
7. Bấm OK để đóng cửa sổ Properties.
8. Đóng Control Panel.
Tương tự như quyền NTFS, quyền trên printer cũng có hai loại: basic và advanced. Ba quyền basic
gồm: manage this printer, manage documents, và print cũng là sự kết hợp của các quyền advanced.
100
Cài đặt và cấu hình Windows Server 2012 R2
3. Vào các trình đơn để thực hiện các thao tác mong muốn.
4. Sau khi thực hiện xong, đóng cửa sổ hàng đợi.
5. Đóng Control Panel.
Quản lý printer
Quyền quản lý printer (Allow Manage This Printer) là quyền cao hơn quyền quản lý tài liệu in. Ngoài
việc quản lý tài liệu in, quyền này còn cho phép thực hiện các cấu hình có ảnh hưởng tới tất cả người
dùng printer và kiểm soát việc sử dụng printer.
Các cấu hình liên quan đến printer thường được thực hiện một lần khi mới cài đặt, sau đó công việc có
phần giống với việc bảo trì phần cứng nhiều hơn, như: khắc phục kẹt giấy, nạp giấy, thay mực hoặc
thay hộp mực. Sau đây là một số cấu hình liên quan đến quản lý printer: thiết lập độ ưu tiên và tạo một
printer pool.
Thiết lập độ ưu tiên
Mục đích của thiết lập độ ưu tiên là cho phép một số người dùng trong mạng có quyền ưu tiên hơn một
số người dùng khác trong việc in ấn. Để thực hiện thiết lập độ ưu tiên, bạn phải tạo ra nhiều printer,
các printer này cùng nối với một thiết bị in, sau đó thực hiện thay đổi chỉ số ưu tiên (priority) theo các
bước sau.
1. Mở Control Panel, chọn Hardware, chọn Devices and Printers để mở cửa sổ Devices and
Printers.
2. Bấm chuột phải vào biểu tượng của printer mà bạn muốn thiết lập lại chỉ số ưu tiên, chọn
Printer Properties để mở cửa sổ Properties.
3. Chọn táp Advanced.
101
Cài đặt và cấu hình Windows Server 2012 R2
4. Đặt lại chỉ số ưu tiên trong mục Priority, chỉ số ưu tiên càng cao thì độ ưu tiên càng cao, chỉ số
ưu tiên cao nhất là 99. Ví dụ bạn đặt là 99.
5. Chọn táp Security.
6. Chọn người dùng hoặc nhóm người dùng để cấp cho họ quyền sử dụng printer mà bạn vừa thiết
lập độ ưu tiên. Ví dụ chọn nhóm QuanLy.
7. Gỡ bỏ nhóm Everyone ra khỏi ACL, nghĩa là không cho nhóm Everyone quyền in trên printer
này.
8. Bấm nút OK để đóng cửa sổ Properties.
9. Tiếp tục tạo một printer mới, printer này có cùng driver và cùng nối với thiết bị in ở trên. Để
chỉ số ưu tiên mặc định là 1, chọn người dùng hoặc nhóm người dùng mà bạn muốn cấp cho họ
quyền ưu tiên thấp hơn.
10. Đổi tên cho hai printer để bạn dễ quản lý.
11. Đóng Control Panel.
Thông báo cho người dùng biết là họ nên in trên printer nào để quá trình in là tối ưu nhất.
Tạo một printer pool
Printer pool có thể giúp tăng khả năng xử lý của một printer. Để thực hiện, bạn nối một printer với
nhiều thiết bị in. Khi bạn đã tạo ra printer pool, nếu có yêu cầu in, máy server sẽ gửi yêu cầu in tới
thiết bị in đầu tiên mà nó thấy đang rảnh. Như vậy, hệ thống sẽ phân chia công việc in tới các thiết bị
in phù hợp, giúp in nhanh hơn.
102
Cài đặt và cấu hình Windows Server 2012 R2
103
Cài đặt và cấu hình Windows Server 2012 R2
Bạn cũng có thể cài đặt Print Management mà không cần cài đặt role Print And Document Services
bằng cách: mở Sever Manager, vào trình đơn Manage, chọn Add Roles and Features, bấm Next, Next,
Next, Next, chọn Remote Server Administration Tools, chọn Role Administration Tools, chọn Print
And Document Services Tools.
Phần sau đây trình bày một số tác vụ liên quan đến chức năng Print Management.
Thêm một print server
Ở chế độ mặc định, Print Management chỉ hiển thị các print server trên chính máy cục bộ. Một print
server gồm có bốn mục như trong hình bên dưới, gồm: drivers, forms, ports, và printers thuộc về server
đó.
Để quản lý các print server cùng với các printer của nó, bạn phải đưa nó vào trong cửa sổ Print
Management theo các bước sau:
1. Mở Server Manager, chọn trình đơn Tools, chọn Print Management để mở cửa sổ Print
Management.
2. Ở khung bên trái, bấm chuột phải vào mục Print Server, chọn Add/Remove Servers để mở cửa
sổ Add/Remove Servers.
3. Trong khung Specify print server, bấm vào nút Browse để mở cửa sổ Select Print Server.
4. Lựa chọn print server mà bạn quan tâm, bấm nút Select Server, khi đó, print server được chọn
sẽ xuất hiện trong cửa sổ Add servers.
5. Bấm nút Add to List. Server được chọn sẽ xuất hiện trong danh sách Print servers.
6. Bấm OK. Server sẽ xuất hiện trong nút Print Servers ở khung bên trái của cửa sổ Print
Management.
7. Đóng cửa sổ Print Management.
Bây giờ bạn đã có thể quan lý các printer đi kèm với print server mà bạn vừa thực hiện thêm vào.
Theo dõi các printers
104
Cài đặt và cấu hình Windows Server 2012 R2
Một trong các nhiệm vụ khó khăn khi quản lý in ấn trong một hệ thống mạng lớn là phải đảm bảo trạng
thái luôn luôn hoạt động của hàng chục, thậm chí hàng trăm thiết bị in.
Thiết bị in có thể không hoạt động được khi bị một trong các vấn đề sau: hư các thiết bị quan trọng, hết
mực, phải thay hộp mực, hết giấy, kẹt giấy, .v.v.
Do vậy, người quản trị mạng cần phải xác định được các trục trặc, trước khi có thể đưa ra giải pháp để
khắc phục.
Print Management cung cấp nhiều lựa chọn để theo dõi các thành phần liên quan đến hệ thống in ấn
trên một print server. Để tiện theo dõi, hệ thống sẽ sử dụng bộ lọc (filter) để tạo ra nhiều cách theo dõi
các thiết bị in.
Ở khung bên trái của cửa sổ Print Management, có nút Custom Filters, tại đây bạn có thể lựa chọn một
trong bốn kiểu để theo dõi:
- All Printers: chứa danh sách của tất cả printer có trong các print server đã được đưa vào
Print Management.
- All Drivers: chứa danh sách của tất cả driver printer đã được cài đặt trên các print server.
- Printers Not Ready: chứa danh sách tất cả printer ở trạng thái không sẵn sàng hoạt động.
- Printers With Jobs: chứa danh sách của tất cả printer đang có tác vụ in nằm trên hàng đợi.
Ví dụ, dựa vào danh sách Printers Not Ready, bạn có thể dễ dàng xác định được printer nào đang gặp
trục trặc, mà không phải duyệt qua từng printer trong mỗi print server. Ngoài ra, bạn có thể tự xây
dựng các bộ lọc khác để sử dụng.
Quản lý printers và print servers
Dựa vào quá trình theo dõi, bạn sẽ xác định được printer cần quan tâm, khi đó, bạn có thể xem xét
trạng thái hiện thời của nó, số lượng các tác vụ in đang nằm trên hàng đợi, printer đó đang thuộc print
server nào. Bạn cũng có thể bấm chuột phải vào nút Printers ở khung bên trái, chọn Show Extended
View để mở nội dung của các hàng đợi, từ đây, bạn có thể thực hiện các thao tác trên các tác vụ đang
nằm trên hàng đợi.
Print Management cũng cho phép người quản trị có thể thực hiện cấu hình trên printer hoặc print
server bất kì, người quản trị chỉ cần bấm chuột phải vào printer hoặc print server, chọn mục Properties,
sau đó thực hiện các cấu hình mong muốn. Như vậy, người quản trị sẽ không phải tới trực tiếp hoặc kết
nối từ xa tới máy print server để thao tác.
Bước tiếp theo, bạn cần phải tạo một GPO, sau đó áp đặt (link) GPO này lên domain, site hoặc OU bất
kì trong AD DS. Khi áp đặt GPO này, người dùng trong domain, site hoặc OU sẽ được được kết nối tự
động tới printer khi đăng nhập hệ thống (log on).
Các bước thực hiện cụ thể:
1. Trong Print Management, bấm chuột phải vào printer mà bạn muốn cài đặt cho người dùng,
chọn Deploy With Group Policy để mở cửa sổ Deploy With Group Policy. Xem hình minh họa.
106
Cài đặt và cấu hình Windows Server 2012 R2
107
Cài đặt và cấu hình Windows Server 2012 R2
108
Cài đặt và cấu hình Windows Server 2012 R2
6. Bấm OK. Tên server sẽ được thêm vào mục All Servers.
109
Cài đặt và cấu hình Windows Server 2012 R2
110
Cài đặt và cấu hình Windows Server 2012 R2
111
Cài đặt và cấu hình Windows Server 2012 R2
Server Core, có thể cấu hình một lần cho nhiều máy server. Các bước thực hiện (giả thiết là các server
đều thuộc domain, và đã được cài đặt feature Group Policy Management):
1. Trong Server Manager, mở Group Policy Management, tạo một GPO mới, đặt một tên bất kì, ví
dụ: Server Firewall Configuration.
2. Chuột phải vào GPO vừa tạo ở khung bên trái, chọn Edit để mở cửa sổ Group Policy
Management Editor.
3. Duyệt theo đường dẫn sau: Computer Configuration\Policies\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Inbound Rules.
4. Bấm chuột phải vào Inbound Rules, chọn New Rule để mở cửa sổ New Inbound Rule Wizard.
5. Chọn mục Predefined, xổ danh sách xuống, chọn COM+ Network Access và bấm Next để mở
trang Predefined Rules.
6. Bấm Next để mở trang Action.
7. Đánh dấu chọn vào mục Allow The Connection, bấm Finish. Luật vừa được tạo sẽ xuất hiện ở
phía phải của cửa sổ Group Policy Management Editor.
8. Tiếp tục mở New Inbound Rule Wizard (bước 4).
9. Chọn mục Predefined, xổ danh sách xuống, chọn Remote Event Log Management và bấm Next
để mở trang Predefined Rules.
10. Trạng thái mặc định đang chọn cả ba luật, bạn để nguyên và bấm Next để mở trang Action.
11. Đánh dấu chọn vào mục Allow The Connection, bấm Finish. Ba luật vừa được tạo sẽ xuất hiện
ở phía phải của cửa sổ Group Policy Management Editor.
12. Đóng cửa sổ Group Policy Management Editor.
13. Trong cửa sổ Group Policy Management, áp dụng (link) GPO Server Firewall Configuration
vừa tạo cho domain hoặc OU (chuột phải vào tên domain hoặc OU, chọn Link an Existing
GPO).
14. Đóng cửa sổ Group Policy Management.
GPO bạn vừa tạo sẽ tác động trên toàn domain hoặc OU, do vậy, khi máy tính server từ xa cập nhật
GPO này là bạn có thể sử dụng các snap-in MMC như Computer Management, Disk Management.
112
Cài đặt và cấu hình Windows Server 2012 R2
- Tạo một WinRM listener, bằng cách chạy lệnh winrm quickconfig tại cửa sổ dòng lệnh với
quyền quản trị hệ thống.
- Trong Windows Firewall, chuyển sang trạng thái bật (Enable) hai luật sau: COM+ Network
Access và Remote Event Log Management.
Tuy bạn đã thực hiện tất cả các cập nhật ở trên, nhưng vẫn còn một hạn chế là bạn không thể sử dụng
chức năng Add Roles And Features Wizard trong Server Manager để cài đặt các role và feature trên
các máy server từ xa đang dùng phiên bản cũ này. Cụ thể, trong quá trình Add Roles And Features
Wizard, các server này sẽ không xuất hiện trong mục Server pool tại cửa sổ Select Destination Server.
Dù vậy, bạn vẫn có thể cài đặt từ xa các role và feature trên các server đang chạy Windows Server
2008 và Windows Server 2008 R2 bằng Windows PowerShell. Các bước thực hiện như sau:
1. Mở Windows PowerShell với quyền quản trị hệ thống.
2. Thiết lập một phiên làm việc với máy tính từ xa bằng lệnh sau:
Enter-PSSession <remote server name> -credential <user name>
3. Nhập password của user name ở bước trên, gõ phím Enter.
4. Để hiển thị danh sách các role và feature trên máy từ xa, sử dụng lệnh sau:
Get-WindowsFeature
113
Cài đặt và cấu hình Windows Server 2012 R2
5. Sử dụng dạng tên ngắn (cột Name) của các role hoặc service xuất hiện trong lệnh Get-
WindowsFeature, để cài đặt các thành phần sử dụng lệnh sau:
Add-WindowsFeature <feature name>
6. Đóng phiên làm việc với máy từ xa bằng lệnh sau:
Exit-PSSession
7. Đóng cửa sổ Windows PowerShell.
114
Cài đặt và cấu hình Windows Server 2012 R2
3. Nhập tên cho nhóm server trong mục Server Group Name.
4. Lựa chọn một trong bốn cách để chọn các server.
5. Chọn các server mà bạn muốn đưa vào nhóm, bấm nút hình tam giác để chuyển server được
chọn sang danh sách Selected.
6. Bấm OK, nhóm server vừa tạo sẽ xuất hiện ở khung bên trái của cửa sổ Server Manager.
7. Đóng cửa sổ Server Manager.
Việc tạo nhóm chỉ đơn thuần giúp bạn thuận tiện hơn trong việc định vị server, nó không ảnh hưởng gì
đến các thao tác bạn sẽ thực hiện trên các server (dù trong nhóm hay không).
115
Cài đặt và cấu hình Windows Server 2012 R2
Khi bạn chạy Server Manager trên máy vừa được cài đặt Remote Server Administration Tools, sẽ
không có sẵn local server và remote server trên giao diện, vì vậy, bạn phải thực hiện kết nối bằng tay.
Mặc định Server Manager sẽ chứng thực bằng tài khoản bạn đang đăng nhập hệ thống, vì vậy, để kết
nối tới server bằng một tài khoản khác, bạn chuột phải vào server, chọn Manage As, rồi nhập tài khoản
mới.
116
Cài đặt và cấu hình Windows Server 2012 R2
chế việc tương tác trực tiếp tại máy server, thay vào đó là sử dụng các máy trạm để quản lý
các server ở xa.
117
Cài đặt và cấu hình Windows Server 2012 R2
118
Cài đặt và cấu hình Windows Server 2012 R2
Hypervisor
Phần cứng
Kiến trúc ảo hóa loại 2, cùng chia sẻ phần cứng với hệ điều hành nền
Kiến trúc ảo hóa mà hypervisor chạy trên hệ điều hành nền gọi là ảo hóa loại 2 (type II virtualization).
Ở kiến trúc ảo hóa loại 2, bạn có thể tạo ra một máy tính ảo với đầy đủ các thành phần, như: đĩa cứng,
RAM, các thiết bị ngoại vi, CPU. Trên máy tính ảo này, bạn sẽ cài đặt một hệ điều hành như trên một
máy tính thông thường. Thời gian xử lý của CPU sẽ được luân chuyển giữa hệ điều hành nền và
hypervisor.
Kiến trúc ảo hóa loại 2 phù hợp với môi trường chạy thử nghiệm, học tập. Nó không đáp ứng được cho
các hệ thống cần hiệu suất làm việc cao, ví dụ các server.
Hyper-V trong Windows Server 2012 R2 thực hiện ảo hóa theo một kiến trúc khác, gọi là kiến trúc ảo
hóa loại 1. Trong kiến trúc này, hypervisor sẽ là một lớp trừu tượng, hypervisor sẽ tương tác trực tiếp
với phần cứng của máy thật, chứ không phải thông qua hệ điều hành nền nữa.
Trong kiến trúc ảo hóa loại 1, hypervisor sẽ tạo ra các môi trường riêng biệt gọi là các partititon (phân
vùng), trên mỗi phân vùng sẽ có một hệ điều hành riêng (kể cả hệ điều hành nền trên máy thật), các hệ
điều hành sẽ thực hiện truy cập phần cứng thông qua hypervisor.
Trong kiến trúc này không còn quá trình chia sẻ thời gian CPU giữa hypervisor và hệ điều hành nền
nữa. Thay vào đó, hypervisor sẽ chỉ định phân vùng đầu tiên là phân vùng cha, hệ điều hành nền sẽ
chạy trên phân vùng cha, tất cả các phân vùng còn lại là phân vùng con. Xem hình minh họa.
119
Cài đặt và cấu hình Windows Server 2012 R2
Hypervisor
Phần cứng
Kiến trúc ảo hóa loại 1, hypervisor chạy trực tiếp trên phần cứng
Phân vùng cha và các phân vùng con sẽ truy cập phần cứng của hệ thống máy thật thông qua
hypervisor. Phân vùng cha sẽ chạy một chương trình có nhiệm vụ tạo và quản lý các phân vùng con
gọi là virtualization stack. Phân vùng cha cũng chịu trách nhiệm xử lý các vấn đề liên quan đến Plug
and Play, quản lý nguồn điện, xử lý lỗi cho các hệ thống chạy trên các phân vùng con. Các phân vùng
con sẽ thao tác trên phần cứng ảo, trong khi phân vùng cha thao tác trên phần cứng thật.
120
Cài đặt và cấu hình Windows Server 2012 R2
Hyper-V có thể hỗ trợ cluster gồm 64 nút với 8000 máy ảo.
Hyper-V server
Bên cạnh việc triển khai ảo hóa dựa trên Hyper–V trong Windows Server 2012 R2, bạn cũng có thể
triển khai ảo hóa trên một phiên bản server khác của Microsoft, đó là Hyper-V Server 2012 R2, đây là
phiên bản rút gọn của Windows Server 2012 R2.
Khi cài đặt Hyper-V Server 2012 R2, role Hyper-V sẽ được cài mặc định cùng với hệ điều hành.
Hyper-V Server 2012 R2 chỉ có ba role là: Hyper-V, File and Storage Services, và Remote Desktop;
trong đó hai role sau bị hạn chế một số chức năng. Xem hình minh họa.
Mặc dù Hyper-V Server cũng bị hạn chế các chức năng trong chế độ Server Core. Tuy nhiên, cũng như
các Server Core khác, với gói SCONFIG đã được cài đặt sẵn, bạn có thể thực hiện việc quản lý Hyper-
V Server từ xa bằng Server Manager và Hyper-V Manager. Xem hình minh họa.
121
Cài đặt và cấu hình Windows Server 2012 R2
Hyper-V Server là sản phẩm miễn phí của Microsoft, bạn có thể tải về từ trang web của Microsoft. Tuy
nhiên, Hyper-V Server không hỗ trợ bản quyền cho bất kì hệ điều hành nào cài đặt trên máy ảo.
- CPU có hỗ trợ công nghệ quản lý bộ nhớ đặc thù của ảo hóa. Ví dụ: DEP (Data Execution
Prevention), eXecute Disable (XD) của Intel, No eXecute (NX) của AMD. Đặc biệt, hệ thống
cũng phải hỗ trợ Intel XD bit hoặc AMD NX bit.
Các bước để cài đặt Hyper-V:
1. Mở Server Manager, chọn trình đơn Manage, chọn Add Roles And Features để chạy Add Roles
And Features Wizard, hệ thống sẽ hiển thị trang Before You Begin.
2. Bấm Next để mở trang Select Installation Type.
3. Hệ thống đã chọn sẵn mục Role-Based Or Feature-Based Installation, để mặc định, bấm Next
để mở trang Select Destination Server.
4. Lựa chọn server mà bạn muốn cài đặt Hyper-V, sau đó bấm Next để mở trang Select Server
Roles.
5. Chọn role Hyper-V. Hộp thoại Add Features That Are Required For Hyper-V sẽ xuất hiện.
6. Bấm Add Features để chấp nhận một số đề nghị của hệ thống, bấm Next để mở trang Select
Features.
7. Bấm Next để mở trang Hyper-V.
8. Bấm Next để mở trang Create Virtual Switches.
9. Lựa chọn cạc mạng phù hợp và bấm Next để mở trang Virtual Machine Migration.
123
Cài đặt và cấu hình Windows Server 2012 R2
124
Cài đặt và cấu hình Windows Server 2012 R2
Sử dụng Hyper-V Manager, bạn có thể kết nối tới các Hyper-V server trong hệ thống mạng. Để thực
hiện, bấm chuột phải vào nút Hyper-V Manager ở khung bên trái, chọn Connect To Server để mở cửa
sổ Select Computer, tại đây, bạn có thể tìm kiếm hoặc nhập tên của Hyper-V server cần kết nối.
Hyper-V Manager sẽ liệt kê tất cả các máy tính ảo (VM) trên các server đã được kết nối, cùng với một
số thông tin của mỗi máy tính ảo. Xem hình minh họa.
125
Cài đặt và cấu hình Windows Server 2012 R2
8. Bấm chuột để xổ danh sách của Connection, chọn một switch ảo để kết nối. Bấm Next để mở
cửa sổ Connect Virtual Hard Disk. Xem hình minh họa.
126
Cài đặt và cấu hình Windows Server 2012 R2
9. Hệ thống đã chọn sẵn mục Create A Virtual Hard Disk, để nguyên và nhập thêm các giá trị sau:
- Name: nhập tên cho tập tin chứa đĩa cứng ảo, sử dụng định dạng .vhdx cho Windows
Server 2012 R2.
- Location: xác định vị trí lưu tập tin của đĩa cứng ảo.
- Size: nhập kích thước của đĩa cứng ảo.
10. Bấm Next để mở trang Installation Options.
11. Để nguyên lựa chọn Install An Operating System Later Option, bấm Next để mở trang
Completing The New Virtual Machine.
12. Bấm Finish. Hệ thống sẽ tạo mới một máy ảo và đưa nó vào danh sách các máy ảo trong
Hyper-V Manager.
Máy tính ảo vừa tạo đã có đầy đủ các bộ phận phần cứng, chỉ còn thiếu hệ điều hành và các phần mềm
ứng dụng.
Mỗi máy tính ảo trong Hyper-V server có một giao diện để quản lý các tài nguyên phần cứng riêng.
Bạn có thể thực hiện cấu hình, thay đổi các tài nguyên phần cứng của máy ảo trong trang Settings của
nó.
Trong cửa sổ Hyper-V Manager, lựa chọn một máy ảo từ danh sách, tại khung Actions (bên phải),
chọn Settings để mở cửa sổ Settings, đây là giao diện cấu hình quan trọng cho máy ảo, tại đây bạn có
thể thực hiện thay đổi các thông số liên quan đến phần cứng của nó. Xem hình minh họa.
127
Cài đặt và cấu hình Windows Server 2012 R2
128
Cài đặt và cấu hình Windows Server 2012 R2
Máy ảo thế hệ 1 được thiết kế theo kiểu mô phỏng các phần cứng của một máy tính thông thường. Máy
ảo sẽ sử dụng các bộ điều khiển của phần cứng tương ứng, ví dụ: AMI BIOS, cạc đồ họa S3, vi xử lý
và cạc mạng của Intel. Máy ảo thế hệ 1 được tạo trong Hyper-V của Windows Server 2012 R2 sẽ
tương thích với tất cả các máy ảo đã được tạo trong các Hyper-V phiên bản trước.
Máy ảo thế hệ 2 sử dụng các bộ điều khiển giả lập (synthetic drivers) và các thiết bị được mô phỏng
bằng phần mềm (software-based devices), vì vậy, chúng có một số điểm mạnh sau:
- UEFI boot: thay vì sử dụng BIOS truyền thống, máy ảo thế hệ 2 hỗ trợ khởi động an toàn (Secure
Boot) bằng việc sử dụng Universal Extensible Firmware Interface (UEFI), chúng yêu cầu hệ điều
hành phải được “chứng thực” là an toàn thì mới được khởi động. Đồng thời nó cũng hỗ trợ khởi
động từ đĩa cứng có kích thước lớn hơn 2 TB, phân vùng theo GPT (GUID Partition Tables).
- SCSI disks: máy ảo thế hệ 2 không còn sử dụng IDE disk controller (hay cổng kết nối IDE) như
trong các máy ảo thế hệ 1, thay vào đó, nó sử dụng SCSI controller (hay cổng kết nối SCSI) cho tất
cả các loại đĩa. Kết quả là máy ảo thế hệ 2 cho phép khởi động từ các đĩa cứng dạng .vhdx và hỗ
trợ thay thế “nóng” đĩa cứng (hot-disk adds and removes).
Mặc dù máy ảo thế hệ 2 chạy nhanh và hiệu quả hơn so với máy ảo thế hệ 1, tuy nhiên, máy ảo thế hệ
2 chỉ cài được các hệ điều hành sau:
- Windows Server 2012
- Windows Server 2012 R2
- Windows 8 64-bit
129
Cài đặt và cấu hình Windows Server 2012 R2
130
Cài đặt và cấu hình Windows Server 2012 R2
Máy ảo thế hệ 2 chỉ hỗ trợ hai loại là None và Image File. Việc hỗ trợ Image File sẽ giúp bạn dễ dàng
kết nối tới đĩa nguồn Windows dạng .iso. Để khởi động máy tính ảo, vào trình đơn Actions, chọn Start.
Khi máy ảo khởi động, màn hình của máy ảo sẽ xuất hiện trong Hyper-V Manager. Để hiển thị đầy đủ
màn hình của máy ảo, bấm vào mục Connect trong khung Actions, hệ thống sẽ mở máy ảo ở một cửa
sổ mới. Tại cửa sổ mới này, bạn có thể thao tác trên máy ảo như là đang làm việc trực tiếp với một
máy thật.
Khi máy ảo khởi động vào đĩa nguồn hệ điều hành, quá trình cài đặt sẽ được thực hiện. Trong quá trình
cài đặt, bạn có thể thực hiện chia đĩa cứng (phân vùng đĩa) với kích thước tùy ý, chọn phân vùng để cài
đặt hệ điều hành. Khi cài đặt hệ điều hành xong, máy ảo sẽ khởi động lại, sau đó bạn sẽ đăng nhập hệ
thống và sử dụng như một máy tính bình thường.
131
Cài đặt và cấu hình Windows Server 2012 R2
- Trao đổi thông tin: cho phép các hệ điều hành tại partition cha và các partition con trao đổi
thông tin với nhau, ví dụ: thông tin về phiên bản hệ điều hành, tên máy tính dạng FQDN (Fully
Qualified Domain Name)- tên miền đầy đủ.
- Heartbeat (nhịp tim): là một dịch vụ của hệ thống, dịch vụ này cho phép partition cha định kì
gửi tín hiệu tới partition con, và chờ tín hiệu phản hồi của partition con. Nếu không có tín hiệu
trả về nghĩa là hệ điều hành trên partition con đã tắt hoặc bị trục trặc.
- Backup: cho phép lưu dự phòng hệ thống máy ảo bằng chức năng Volume Shadow Copy
Services.
- Guest Services: cho phép người quản trị chép dữ liệu tới một máy ảo mà không cần kết nối
mạng.
Trên các hệ điều hành Windows Server 2012 R2, Windows Server 2012, Windows 8, Windows 8.1,
gói Guest Integration Services đã được tích hợp sẵn. Với các hệ điều hành cũ hơn, nếu đã có gói Guest
Integration Services phiên bản cũ, thì bạn cần phải nâng cấp chúng, tuy nhiên, cũng có những hệ điều
hành cũ không có gói này, khi đó bạn phải thực hiện cài đặt mới.
Sau đây là các bước để nâng cấp hoặc cài đặt gói Guest Integration Services.
1. Mở Server Manager, chọn trình đơn Tools, chọn Hyper-V Manager để mở cửa sổ Hyper-V
Manager.
2. Tại khung bên trái, chọn Hyper-V server mà bạn quan tâm.
3. Trong khung Actions, khởi động máy ảo mà bạn muốn cài đặt gói Guest Integration Services,
bấm Connect để mở cửa sổ Virtual Machine Connection.
4. Trong cửa sổ Virtual Machine Connection, từ trình đơn Action, chọn Insert Integration
Services Setup Disk. Hyper-V sẽ kết nối tập tin cài đặt Guest Integration Services tới một ổ đĩa
ảo và một chương trình tự chạy Autoplay sẽ xuất hiện.
5. Bấm nút Install Hyper-V Integration Services, một hộp thoại xuất hiện, hỏi bạn về việc nâng
cấp.
6. Bấm OK. Hệ thống sẽ thực hiện cài đặt và nhắc bạn khởi động lại máy tính.
7. Bấm Yes, máy tính sẽ khởi động lại.
Sau khi cài đặt hoặc nâng cấp Guest Integration Services, bạn có thế bật hoặc tắt một số chức năng của
nó. Để thực hiện, mở mục Settings của máy ảo, chọn mục Integration Services. Xem hình minh họa.
132
Cài đặt và cấu hình Windows Server 2012 R2
Tới đây bạn đã sẵn sàng để cấu hình và quản lý máy tính ảo như một máy thật. Bạn có thể thay đổi cấu
hình mạng, truy cập từ xa, cài đặt các ứng dụng, cài đặt các role và feature.
133
Cài đặt và cấu hình Windows Server 2012 R2
- Các ổ đĩa
- Các thiết bị Plug and Play
Enhanced Session mode hoạt động dựa trên kết nối giữa máy chủ và máy thật bằng Remote Desktop
Protocol. Tuy nhiên, giữa hai máy không cần phải có kết nối mạng, mà nó sử dụng VMBus. VMBus là
kết nối tốc độ cao giữa các partition trong một Hyper-V server.
Trong Windows 8.1, Enhanced Session mode được thiết lập mặc định. Tuy nhiên, trong Windows
Server 2012 R2, bạn phải bật chức năng này tại trang Enhanced Session Mode Policy, trong cửa sổ
Hyper-V Settings. Xem hình minh họa.
134
Cài đặt và cấu hình Windows Server 2012 R2
Sau khi tạo máy ảo, bạn vẫn có thể thay đổi kích thước của RAM. Để thực hiện, bạn tắt máy ảo, mở
cửa sổ Settings, chọn mục Memory, tại đây bạn có thể thực hiện các thay đổi liên quan đến kích thước
RAM của máy ảo, bạn có thể thực hiện thay đổi làm sao cho tối ưu nhất. Xem hình minh họa.
135
Cài đặt và cấu hình Windows Server 2012 R2
- Maximum RAM: xác định kích thước RAM tối đa cho máy ảo. Kích thước tối đa cho máy ảo
không được vượt quá 64 GB.
- Memory Buffer: xác định phần trăm để Hyper-V tính kích thước RAM thực tế sẽ cấp cho máy
ảo. Ví dụ, tại một thời điểm nào đó, hệ điều hành và ứng dụng trên máy ảo sử dụng hết 1 GB
RAM, nếu giá trị Memory Buffer được thiết lập là 20%, thì RAM của máy ảo được cấp động sẽ
là 1.2 GB.
- Memory Weight: giá trị cho biết độ ưu tiên trong việc cấp RAM giữa các máy ảo trên một
server. Trong trường hợp RAM của máy thật không đủ để cấp theo nhu cầu của tất cả máy ảo,
thì máy ảo nào có giá trị Memory Weight cao nhất sẽ được ưu tiên cấp trước.
Để có thể sử dụng Dynamic Memory, bên cạnh việc cấu hình ở trên thì máy chủ ảo hóa phải là
Windows Server 2012 R2 đã cài đặt gói Guest Integration Services. Đồng thời, máy ảo phải đang sử
dụng hệ điều hành từ Windows Vista trở về sau, hoặc Windows Server 2003 SP2 trở về sau.
136
Cài đặt và cấu hình Windows Server 2012 R2
137
Cài đặt và cấu hình Windows Server 2012 R2
- Hyper-V trên Windows Server 2012 R2 có hỗ trợ Enhanced Session mode, nó cho phép người
dùng máy ảo chạy Windows Server 2012 R2 hoặc Windows 8.1 có thể thao tác với nhiều tài
nguyên phần cứng của máy thật thông qua Virtual Machine Connection.
A. Bạn phải tạo máy ảo thế hệ một trước khi bạn có thể tạo máy ảo thế hệ 2.
B. Việc tạo máy ảo thế hệ 2 thì nhanh hơn so với việc tạo ra máy ảo thế hệ 1.
C. Chỉ cài được hệ điều hành Windows Server 2012 R2 và Windows 8.1 trên máy ảo thế hệ 2.
D. Máy ảo thế hệ 2 sử dụng các driver của thiết bị phần cứng giống với máy ảo thế hệ 1.
139
Cài đặt và cấu hình Windows Server 2012 R2
- Đĩa cứng ảo lưu sự thay đổi (Differencing): đây là loại đĩa cứng ảo được tạo ra để lưu sự thay
đổi của một đĩa cứng khác. Đĩa cứng ảo được tạo ra sẽ gọi là child image, đĩa ảo này sẽ lưu sự
thay đổi của một đĩa cứng khác gọi là parent image. Khi có bất kì sự thay đổi nào trên parent
image cần lưu lại, thì sự thay đổi đó sẽ được lưu trên child image. Loại đĩa ảo này giúp việc sử
dụng không gian đĩa cứng được hiệu quả và cung cấp khả năng hồi phục lại trạng thái của một
đĩa cứng sau này.
Kích thước tối đa của đĩa VHD là 2 TB, đĩa VHD có khả năng tương thích với mọi phiên bản Hyper-V
và các kiến trúc ảo hóa (hypersisor) loại 2 của Microsoft như Virtual Server, Virtual PC.
Từ Windows Server 2012, Microsoft giới thiệu một phiên bản nâng cấp của VHD, có tên gọi VHDX.
Kích thước tối đa của đĩa VHDX là 64 TB, đĩa này hỗ trợ kích thước khối đĩa (block size) từ 4 KB tới
256 MB, điều này cho phép người sử dụng có thể điều chỉnh kích thước khối đĩa, để đĩa ảo có khả
năng làm việc hiệu quả với các ứng dụng cũng như các loại tập tin khác nhau.
Đĩa VHDX không có khả năng tương thích với các hệ điều hành cũ, chỉ có các hệ điều hành sau đây
mới có thể đọc được đĩa VHDX: Windows Server 2012, Windows Server 2012 R2, Windows 8, và
Windows 8.1.
Tạo đĩa ảo
Hyper-V trong Windows Server 2012 R2 cung cấp một số cách để tạo đĩa ảo. Bạn có thể tạo đĩa ảo
cùng với thời điểm tạo máy ảo, hoặc bạn cũng có thể tạo đĩa ảo sau, rồi gắn đĩa ảo này tới máy ảo.
Hyper-V Manager cho phép điều chỉnh hầu hết các thông số liên quan đến VHD. Các lệnh Windows
PowerShell trong Windows Server 2012 R2 cho phép bạn thực hiện hầu hết các công việc liên quan
đến định dạng đĩa.
140
Cài đặt và cấu hình Windows Server 2012 R2
141
Cài đặt và cấu hình Windows Server 2012 R2
Cũng như khi gắn đĩa cứng thật vào máy tính, bạn phải gắn đĩa cứng với một cổng giao tiếp hay bộ
điểu khiển đĩa (controller), trên máy ảo, bạn cũng thực hiện tương tự. Trong máy ảo thế hệ 1, ở chế độ
mặc định, khi mở cửa sổ Setting, bạn sẽ thấy có ba cổng giao tiếp có tên là IDE Controller 0, IDE
Controller 1 và SCSI Controller.
Mỗi cổng giao tiếp IDE cho phép bạn gắn hai thiết bị, mặc định một đường kết nối của IDE Controller
0 được sử dụng để gắn ổ đĩa cứng hệ thống, và một đường kết nối của IDE Controller 1 được sử dụng
để gắn ổ đĩa DVD. Nếu khi tạo máy ảo, bạn không tạo ra đĩa cứng ảo (tức bạn đã chọn Attach A
Virtual Hard Disk Later), thì bạn buộc phải gắn một đĩa cứng ảo vào IDE Controller 0 để làm đĩa hệ
thống. Máy ảo thế hệ 1 không thể khởi động từ SCSI Controller.
Các bước để gắn một ổ đĩa ảo vào máy ảo:
1. Mở Server Manager, chọn mục Tools tại trình đơn, chọn Hyper-V Manager để mở cửa sổ
Hyper-V Manager.
2. Tại khung bên trái chọn Hyper-V server mà bạn quan tâm.
3. Chọn một máy tính ảo mà bạn quan tâm, trong khung Actions, chọn Settings để mở cửa sổ
Settings.
4. Chọn IDE Controller 0. Xem hình minh họa.
142
Cài đặt và cấu hình Windows Server 2012 R2
5. Trong khung IDE Controller, chọn Hard Drive và bấm Add để mở trang Hard Drive. Xem hình
minh họa.
143
Cài đặt và cấu hình Windows Server 2012 R2
6. Trong hộp thoại Controller lựa chọn IDE Controller, và trong hộp thoại Location lựa chọn kết
nối mà bạn muốn gắn đĩa cứng ảo.
7. Nếu bạn chọn Virtual Hard Disk, bấm nút Browse và tìm tới nơi chứa tập tin đĩa cứng ảo.
8. Bấm OK để đóng cửa sổ Settings.
Trong máy ảo thế hệ 1, mặc dù không thể sử dụng ổ đĩa SCSI làm ổ đĩa hệ thống, nhưng bạn có thể sử
dụng ổ đĩa SCSI để làm ổ đĩa chứa dữ liệu. Trong máy ảo thế hệ 2, bạn phải tạo một ổ đĩa SCSI làm
đĩa hệ thống có chức năng khởi động máy tính.
Không giống như IDE, mỗi cổng giao tiếp chỉ cho phép bạn gắn hai ổ đĩa. Mỗi cổng giao tiếp của
SCSI cho phép bạn gắn tới 64 ổ đĩa. Bạn cũng có thể gắn nhiều SCSI Controller cho một máy ảo.
144
Cài đặt và cấu hình Windows Server 2012 R2
Ví dụ, để tiện lợi cho quá trình cài đặt thử nghiệm, bạn sẽ thực hiện cài đặt một hệ điều hành chuẩn lên
một đĩa ảo. Sau đó, bạn sẽ tạo một đĩa ảo mới có tên là đĩa đệm, đĩa đệm này sẽ sử dụng đĩa ảo có cài
sẵn hệ điều hành làm đĩa gốc, sau đó, mọi thay đổi bạn thực hiện trên hệ thống sẽ được lưu trên đĩa
đệm, nội dung và trạng thái của đĩa ảo gốc được giữ nguyên.
Bạn có thể tạo ra nhiều đĩa đệm cùng trỏ tới một đĩa gốc, điều này cho phép bạn tiết kiệm được thời
gian, không gian lưu trữ, do không phải cài đặt lại từ đầu mọi hệ thống.
Các bước để tạo ra đĩa đệm từ đĩa gốc:
1. Cài đặt và cấu hình máy ảo gốc (máy ảo có chứa đĩa gốc): tạo một máy ảo, trên máy ảo tạo một
đĩa ảo, trên đĩa ảo, cài hệ điều hành mong muốn; thực hiện cấu hình, cài đặt các role, feature,
dịch vụ cần thiết.
2. Chuẩn hóa đĩa gốc (Generalize): mở cửa sổ dòng lệnh trong máy ảo gốc, chạy tiện ích
Sysprep.exe với các tham số thích hợp theo nhu cầu của bạn. Tiện ích Sysprep sẽ cấp cho hệ
điều hành trên máy gốc một định danh bảo mật (SID) mới và duy nhất ở lần khởi động kế tiếp.
Điều này cho phép bạn tạo ra nhiều bản sao từ một đĩa gốc ban đầu.
3. Tạo đĩa gốc: sau khi đã thực hiện chuẩn hóa, bạn không cần sử dụng đến máy ảo gốc nữa. Bạn
có thể xóa máy ảo này đi, chỉ để lại tập tin chứa đĩa cứng ảo dạng VHD hoặc VHDX. Đĩa cứng
ảo này sẽ trở thành đĩa gốc (parent disk). Bạn mở Properties của tập tin chứa đĩa cứng ảo, thiết
lập tập tin đó là chỉ đọc (read-only), để đảm bảo nội dung của đĩa gốc sẽ không bị thay đổi.
4. Tạo đĩa đệm: sử dụng New Virtual Hard Disk Wizard hoặc lệnh New-VHD trong Windows
PowerShell để tạo một đĩa ảo mới kiểu differencing, trỏ đĩa ảo mới này tới đĩa gốc vừa được
tạo.
5. Sử dụng đĩa đệm: tạo một máy ảo mới, trong trang Connect Virtual Hard Disk, chọn mục Use
An Existing Virtual Hard Disk để nối máy ảo tới đĩa đệm bạn vừa tạo.
Khi đã có đĩa gốc, bạn có thể tạo ra nhiều máy ảo, sử dụng đĩa đệm, cùng kết nối tới một đĩa gốc. Mỗi
máy ảo có thể thực hiện cài đặt, cấu hình các chức năng khác nhau mà không làm thay đổi nội dung
của đĩa gốc.
Tại bước 4 ở trên, khi bạn tạo đĩa đệm bằng New Virtual Hard Disk Wizard, trong trang Choose Disk
Type, chọn Differencing, hệ thống sẽ mở trang Configure Disk. Trong mục Location, bạn trỏ tới tập tin
chứa đĩa gốc. Xem hình minh họa.
145
Cài đặt và cấu hình Windows Server 2012 R2
Nếu bạn tạo đĩa đệm bằng Windows PowerShell, bạn sẽ sử dụng lệnh New-VHD với tham số
-Differencing và tham số -ParentPath. Trong đó tham số -ParentPath sẽ trỏ tới vị trí lưu đĩa gốc.
146
Cài đặt và cấu hình Windows Server 2012 R2
147
Cài đặt và cấu hình Windows Server 2012 R2
- Shrink: giảm dung lượng đĩa ảo, thực hiện bằng cách xóa các không gian đĩa trống trong tập
tin chứa đĩa ảo.
- Merge: kết hợp dữ liệu của đĩa cứng kiểu differencing với đĩa gốc (parent disk) của nó để
tạo thành một đĩa duy nhất.
7. Bấm Next để mở trang Completing The Edit Virtual Hard Disk Wizard.
8. Hoàn thành một số thao tác còn lại theo hướng dẫn của Wizard, bấm Finish để hoàn thành.
Tại trang Choose Action, tại bước 6, các tùy chọn sẽ được hiển thị tùy thuộc vào tình trạng hiện tại của
tập tin đĩa ảo. Ví dụ, tùy chọn Merge chỉ xuất hiện nếu tập tin đang chứa đĩa ảo kiểu differencing, tùy
chọn Shrink chỉ xuất hiện nếu đĩa ảo có phần đĩa trống bên trong.
Ngoài việc cho phép chỉnh sửa đĩa ảo bằng Hyper-V Manager, snap-in Disk Management trong máy
Hyper-V server còn cho phép bạn kết nối và truy cập nội dung của các đĩa ảo VHD hoặc VHDX giống
như là các ổ đĩa vật lý. Các bước để kết nối tới tập tin đĩa ảo VHD:
1. Mở Server Manager, chọn mục Tools tại trình đơn, chọn Computer Management để mở cửa sổ
Computer Management.
2. Trong khung bên trái, chọn Disk Management để mở cửa sổ Disk Management.
3. Từ trình đơn Action, chọn Attach VHD để mở cửa sổ Attach Virtual Hard Disk.
4. Trong mục Location, nhập đường dẫn hoặc tìm tới nơi chứa tập tin của đĩa cứng ảo mà bạn
muốn kết nối, bấm OK. Đĩa được kết nối sẽ xuất hiện trong cửa sổ Disk Management.
5. Đóng cửa sổ Computer Management.
Bây giờ, bạn có thể làm việc với đĩa cứng ảo như một đĩa cứng thông thường. Để ngắt kết nối với đĩa
cứng ảo, thực hiện tương tự như khi kết nối, tuy nhiên, tại bước thứ 3 sẽ chọn Detach VHD từ trình
đơn Action.
Tạo checkpoint
Trong Hyper-V, checkpoint là một khái niệm tương tự với snapshot trong các phiên bản trước
Windows Server 2012 R2. Checkpoint cho phép bạn lưu lại trạng thái, dữ liệu và cấu hình phần cứng
của một máy ảo tại một thời điểm nào đó.
Checkpoint giúp cho người quản trị có thể đưa máy ảo trở về tình trạng trước đó của nó. Ví dụ, trước
khi bạn thực hiện nâng cấp hệ điều hành cho máy ảo, bạn sẽ tạo một checkpoint, trong trường hợp việc
nâng cấp bị trục trặc, bạn vẫn có thể đưa máy tính trở về trạng thái trước khi nâng cấp.
Để tạo checkpoint, chọn một máy ảo đang chạy trong Hyper-V Manager, trong khung Actions, chọn
mục Checkpoint, hệ thống sẽ tạo một checkpoint và lưu vào tập tin có phần mở rộng là AVHD hoặc
AVHDX, tập tin này được lưu trong cùng thư mục chứa tập tin VHD. Khi đó, trong cửa sổ Hyper-V
Manager sẽ có thêm mục Checkpoint. Xem hình minh họa.
148
Cài đặt và cấu hình Windows Server 2012 R2
Checkpoint là một công cụ hữu ích, khi bạn thực hiện các cài đặt thử nghiệm. Tuy nhiên, không nên
lạm dụng nó trong môi trường hoạt động thực tế. Ngoài việc tốn không gian đĩa để lưu trữ, checkpoint
còn làm chậm việc xử lý của hệ thống lưu trữ.
Không nên sử dụng checkpoint trong các máy ảo có chứa cơ sở dữ liệu, được tạo ra bởi SQL Server,
Exchange, hoặc Windows domain controller; vì checkpoint không ghi lại trạng thái của cơ sở dữ liệu,
và có thể gây ra lỗi trong quá trình thực hiện.
149
Cài đặt và cấu hình Windows Server 2012 R2
Đánh dấu chọn vào mục Enable Quality of Service Management, điền số lượng thao tác tối thiểu và tối
đa vào hai ô Minimum IOPS và Maximum IOPS tương ứng.
150
Cài đặt và cấu hình Windows Server 2012 R2
Hệ thống SAN có khá nhiều ưu điểm. Trong hệ thống SAN, các thiết bị lưu trữ được gắn trực tiếp vào
hệ thống mạng nên không bị hạn chế về mặt số lượng so với khi gắn trực tiếp vào máy tính. Các thiết
bị trong SAN có thể giao tiếp với nhau rất linh hoạt với đường truyền tốc độ cao. Cụ thể gồm:
- Server với thiết bị lưu trữ (storage): server có thể truy cập các thiết bị lưu trữ trong hệ thống
SAN giống như khi truy cập các thiết bị được gắn trực tiếp trên nó.
- Server với server: các server có thể sử dụng hạ tầng của hệ thống SAN để truyền dữ liệu với tốc
độ cao, giúp giảm thiểu tình trạng quá tải đường truyền của LAN.
- Giữa các thiết bị lưu trữ: các thiết bị lưu trữ có thể làm việc trực tiếp với nhau mà không cần sự
can thiệp của server. Ví dụ, để thực hiện việc lưu dự phòng, một thiết bị lưu trữ có thể thực
hiện việc chép dữ liệu tới ổ đĩa dự phòng trên các khay đĩa khác.
Mặc dù SAN không có sẵn giải pháp “dự phòng” (high-availability). Tuy nhiên, bạn có thể tự xây
dựng hệ thống này, bằng cách kết nối nhiều server tới cùng một hệ thống SAN (redundant server), khi
đó các server đều có khả năng truy cập tới thiết bị lưu trữ. Nếu một server nào đó bị hư, các server còn
lại vẫn có thể tiếp tục đáp ứng nhu cầu truy cập dữ liệu của cả hệ thống. Giải pháp này gọi là server
clustering. Xem hình minh họa.
151
Cài đặt và cấu hình Windows Server 2012 R2
SAN được triển khai theo mô hình của một hệ thống mạng thông thường nên rất dễ dàng trong việc mở
rộng hệ thống. Bạn có thể dễ dàng điều chỉnh khoảng cách giữa các server và thiết bị lưu trữ. Bạn có
thể triển khai hệ thống SAN trong phạm vi một phòng, một tòa nhà, thậm chí giữa các tòa nhà với
nhau, giống như khi bạn triển khai một hệ thống mạng thông thường.
Việc giao tiếp giữa các server và thiết bị lưu trữ không thể thực hiện trên tập lệnh SCSI như khi kết nối
trực tiếp bằng cáp SCSI. Vì vậy, việc giao tiếp giữa server và thiết bị lưu trữ sẽ được thực hiện trên
một giao thức khác là Fibre Channel.
152
Cài đặt và cấu hình Windows Server 2012 R2
Bước tiếp theo, trong phần Settings của máy ảo, chọn Add Hardware, mở trang Add Hardware để gắn
cạc Fibre Channel cho máy ảo. Tại đây, SAN ảo đã tạo ở bước trước sẽ xuất hiện trên trang Fibre
153
Cài đặt và cấu hình Windows Server 2012 R2
Channel Adapter. Hyper-V sẽ thực hiện ảo hóa SAN và cho phép máy ảo được phép sử dụng WWNNs
và WWPNs. Xem hình minh họa.
154
Cài đặt và cấu hình Windows Server 2012 R2
- Quản lý QoS trong Hyper-V thực chất là việc quản lý định mức sử dụng đĩa cứng của các máy
ảo. Nó được thực hiện bằng cách thiết lập chỉ số IOPS (input/output operation per second) tối
đa và tối thiểu cho mỗi máy ảo.
- Trước đây, công nghệ Fibre Channel SAN rất khó triển khai trên các hệ thống server ảo. Tuy
nhiên, Hyper-V trong Windows Server 2012 R2 đã cho phép tạo các cạc Fibre Channel ảo, giúp
thuận tiện trong quá trình triển khai Fibre Channel SAN trên các server ảo.
155
Cài đặt và cấu hình Windows Server 2012 R2
C. Bạn phải có một driver của cạc Fibre Channel có hỗ trợ ảo hóa.
D. Bạn phải có một cáp nối SCSI để kết nối cạc Fibre Channel và thiết bị lưu trữ.
Tạo switch ảo
Switch ảo cũng tương tự như switch thật, nó là thiết bị hoạt động tại tầng 2 của mô hình OSI. Switch
gồm nhiều cổng, mỗi cổng được kết nối tới một cạc mạng. Khi máy tính nối tới switch, nó sẽ có khả
năng trao đổi dữ liệu với tất cả các máy tính cùng nối với switch đó.
Khác với switch thật, switch ảo không bị giới hạn về số lượng cổng trên mỗi thiết bị. Vì vậy, bạn
không phải bận tâm về việc đấu nối các switch với nhau.
Switch ảo mặc định
Khi thực hiện cài role Hyper-V bằng tiện ích Add Roles and Features Wizard của Windows Server
2012 R2, hệ thống sẽ cho phép tạo các switch ảo. Tại trang Create Virtual Switches, ứng với mỗi cạc
mạng của máy thật, bạn có thể tạo một switch ảo tương ứng. Khi đó, máy ảo sẽ có khả năng giao tiếp
với hệ thống mạng mà cạc mạng thật tương ứng đang kết nối.
Khi bạn tạo switch ảo, thông tin cấu hình mạng của hệ điều hành trong parent partition sẽ bị thay đổi.
Switch ảo sẽ xuất hiện trong cửa sổ Network Connections, khi xem nội dung của Propersties, sẽ thấy
switch ảo có xuất hiện trong TCP/IP client của hệ điều hành. Xem hình minh họa.
156
Cài đặt và cấu hình Windows Server 2012 R2
Ngoài ra, Hyper-V cũng làm thay đổi trạng thái của cạc mạng tương ứng trong máy thật. Cạc mạng của
máy thật chỉ có kết nối tới switch ảo. Xem hình minh họa.
Kết quả là, cấu hình mạng của máy thật sẽ bị thay đổi bởi hệ thống mạng ảo được tạo ra bởi Hyper-V.
Cụ thể, cạc mạng thật không kết nối trực tiếp với switch thật bên ngoài nữa, mà kết nối tới switch ảo;
switch ảo sẽ kết nối tới switch thật bên ngoài. Mạng ảo bên trong và mạng thật bên ngoài sẽ thuộc
cùng một LAN, giống như việc kết nối hai switch thật với nhau.
157
Cài đặt và cấu hình Windows Server 2012 R2
Sau khi tạo switch ảo bằng Hyper-V và kết quả là làm thay đổi cấu hình mạng của máy server, khi đó,
việc gắn máy ảo vào switch ảo chính là động tác kết nối máy ảo tới hệ thống mạng ảo. Tình huống này
cũng giống với việc kết nối một máy thật vào switch thật.
Nói theo ngôn ngữ của Hyper-V, switch ảo đang được trình bày ở đây, là switch loại external (nối
ngoài). Gọi là external là vì switch này đã giúp các máy tính trong Hyper-V kết nối được với các thiết
bị bên ngoài. Giải pháp này được lựa chọn nhiều trong môi trường thực tế, vì nó cho phép các máy ảo
trong môi trường Hyper-V có thể cung cấp cũng như sử dụng các dịch vụ của toàn bộ hệ thống mạng.
Ví dụ, các máy ảo kết nối tới switch ảo có thể lấy được địa chỉ IP từ DHCP server. Ngược lại, bạn
cũng có thể cấu hình một máy ảo đóng vai trò là DHCP server để cấp địa chỉ IP cho các máy tính trong
mạng, không phân biệt máy thật hay máy ảo.
Ngoài ra, máy ảo cũng có khả năng kết nối tới Internet, nhờ việc sử dụng router và DNS server của hệ
thống mạng thật. Khi đó, máy ảo có thể tải các bản cập nhật của hệ điều hành từ Internet, giống như
các thật thông thường.
Tuy nhiên, loại switch ảo này cũng có một điều bất tiện. Ví dụ, nếu bạn dự định tạo một hệ thống mạng
chỉ để thử nghiệm, để cho mọi người thực tập, lúc đó, bạn không muốn có sự kết nối giữa các máy ảo
vào hệ thống mạng thật. Để ngăn chặn việc kết nối vào hệ thống mạng thật, bạn sẽ tạo một loại switch
ảo khác bằng Virtual Switch Manager trong Hyper-V Manager.
Tạo switch ảo mới
Hyper-V trong Windows Server 2012 R2 hỗ trợ ba loại switch, bạn cần phải tạo các switch này trong
Virtual Switch Manager trước, sau đó, mới có thể kết nối các máy ảo.
Các bước để tạo một switch ảo mới:
1. Mở Server Manager, chọn mục Tools tại trình đơn, chọn mục Hyper-V Manager để mở cửa sổ
Hyper-V Manager.
2. Ở khung bên trái, lựa chọn Hyper-V server mà bạn quan tâm.
3. Từ khung Actions, chọn Virtual Switch Manager để mở cửa sổ Virtual Switch Manager cho
Hyper-V server đã chọn. Xem hình minh họa.
158
Cài đặt và cấu hình Windows Server 2012 R2
4. Trong phần Create Virtual Switch, lựa chọn một trong ba loại switch sau:
- External: switch ảo sẽ được nối tới chồng giao thức mạng của hệ điều hành máy chủ,
đồng thời switch ảo cũng được kết nối tới cạc mạng của máy chủ Hyper-V. Các máy ảo
kết nối tới switch ảo sẽ có khả năng kết nối tới tất cả các mạng, giống như cạc mạng
thật đã từng kết nối.
- Internal: switch ảo sẽ được nối tới một chồng giao thức mạng riêng. Switch ảo sẽ độc
lập với cạc mạng thật và hệ thống mạng thật. Các máy tính đang chạy trên partition cha
(parent partition) và partition con (child partititon) đều có thể truy cập tới mạng ảo
thông qua switch ảo. Các hệ điều hành chạy trên partition cha có thể truy cập hệ thống
mạng thật thông qua cạc mạng thật, nhưng các hệ điều hành đang chạy trên các partition
con thì không thể làm được điều này.
- Private: switch ảo này chỉ được biết đến trong phạm vi của Hyper-V server, chỉ có các
máy ảo đang chạy trên các partititon con mới được phép kết nối tới switch ảo này. Hệ
điều hành chạy trên partition cha có thể truy cập mạng thật thông qua cạc mạng thật,
nhưng nó không thể truy cập hệ thống mạng ảo thông qua switch ảo.
5. Bấm Create Virtual Switch để mở trang Virtual Switch Properties.
6. Cấu hình một số tùy chọn sau:
159
Cài đặt và cấu hình Windows Server 2012 R2
- Allow Management Operation System To Share This Network Adapter: cái này được lựa
chọn mặc định khi bạn tạo switch kiểu external. Nếu không chọn cái này, hệ điều hành trên
máy chủ chỉ truy cập được các máy ảo mà không thể truy cập tới hệ thống mạng thật.
- Enable Single Root I/O Virtualization (SR-IOV): cho phép bạn tạo một switch ảo kiểu
external. Switch ảo này sẽ được nối với một cạc mạng thật có hỗ trợ SR-IOV. Tùy chọn này
chỉ tồn tại khi tạo một switch mới; bạn không thể thiết lập tùy chọn này đối với một switch
ảo đã tồn tại.
- Enable Virtual LAN Identification For Management Operating System: nếu máy Hyper-V
server đang được kết nối tới VLAN (virtual LAN), bạn có thể chọn mục này và nhập tên
của VLAN cho switch ảo.
7. Bấm OK. Switch ảo sẽ xuất hiện trong khung bên trái.
Bạn có thể tạo ra nhiều switch ảo kiểu private hoặc internal. Tuy nhiên, với mỗi cạc mạng thật, bạn chỉ
tạo được một switch ảo kiểu external.
160
Cài đặt và cấu hình Windows Server 2012 R2
Ba byte đầu tiên của dải MAC luôn là 00-15-5D, đây chính là định danh đã được đăng kí của
Microsoft. Byte thứ tư và thứ năm là giá trị hai byte cuối của địa chỉ IP trên cạc mạng thật. Byte thứ
sáu của MAC là giá trị lấy trong khoảng 00 tới FF, tổng cộng có 256 địa chỉ.
Hyper-V server sẽ gán MAC cho cạc mạng ảo khi nó được tạo ra, cạc mạng ảo sẽ giữ luôn MAC này
cho tới khi nào cạc mạng ảo bị xóa. Khi đó, server sẽ thu hồi địa chỉ MAC để sử dụng lại.
Dải MAC mặc định là 256 địa chỉ, tuy nhiên, bạn có thể thay đổi dải địa chỉ này bằng cách thay đổi giá
trị Minimum và Maximum để tăng thêm số địa chỉ trong dải. Để tránh việc trùng địa chỉ, bạn nên thay
đổi giá trị trong hai byte cuối.
Ví dụ dải MAC ban đầu gồm 256 địa chỉ, với giá trị cụ thể là:
00-15-1D-02-12-00 tới 00-15-1D-02-12-FF
Bạn chỉ cần thay đổi một số ở byte kế cuối là đã tăng số lượng địa chỉ trong dải từ 256 lên 4096. Ví dụ:
00-15-1D-02-10-00 tới 00-15-1D-02-1F-FF
5. Trong danh sách Virtual Switch, lựa chọn switch mà bạn muốn kết nối.
6. Nếu máy thật đang được kết nối tới VLAN, bạn có thể đánh dấu chọn vào mục Enable Virtual
LAN Identification và nhập vào tên của VLAN mà máy thật đang kết nối tới.
7. Để kiểm soát băng thông của cạc mạng, đánh dấu chọn vào mục Enable Bandwidth
Management, nhập giá trị băng thông tối thiểu (Minimum Bandwidth) và băng thông tối đa
(Maximum Bandwidth)
8. Bấm OK để lưu các cấu hình vừa thực hiện vào tập tin cấu hình của máy ảo.
Bạn có thể tạo 12 cạc mạng trong Hyper-V Windows Server 2012 R2: trong đó, 8 cạc mạng kiểu
synthetic và 4 cạc mạng kiểu emulated.
162
Cài đặt và cấu hình Windows Server 2012 R2
Vì cạc mạng kiểu synthetic truy cập phần cứng thông qua VMBus nên hiệu suất hoạt động của nó cao
hơn rất nhiều so với cạc mạng kiểu emulated. Cạc mạng kiểu synthetic là một phần trong gói Guest
Integration Services của hệ điều hành máy ảo. Hạn chế chính của cạc mạng kiểu synthetic là nó chỉ
hoạt động khi hệ điều hành trên máy ảo đã được nạp.
Cạc mạng kiểu emulated (còn được gọi là cạc mạng kiểu legacy), đây là cạc mạng ảo, nó giả lập hoạt
động của một cạc mạng chuẩn. Để giao tiếp với partition cha, cạc mạng kiểu emulated sẽ sử dụng
hypervisor làm môi trường trung gian. Phương pháp giao tiếp này làm cho tốc độ bị chậm hơn so với
cạc mạng kiểu synthetic. Xem hình minh họa.
163
Cài đặt và cấu hình Windows Server 2012 R2
Để cài đặt cạc mạng kiểu emulated, các bước thực hiện như đã trình bày ở phía trên, ngoại trừ việc lựa
chọn mục Legacy Network Adapter từ danh sách Add Hardware.
Khác với cạc mạng kiểu synthetic, cạc mạng kiểu emulated sẽ được nạp vào máy ảo trước hệ điều
hành. Vì vậy, nó cho phép máy ảo sử dụng kĩ thuật khởi động PXE (Preboot eXecution Environment)
và cài đặt hệ điều hành qua mạng.
Nếu hệ điều hành trên máy ảo không có gói Guest Integration Services, thì bạn phải sử dụng cạc mạng
kiểu emulated.
164
Cài đặt và cấu hình Windows Server 2012 R2
165
Cài đặt và cấu hình Windows Server 2012 R2
Khi tạo NIC team, hệ thống sẽ thực hiện cài đặt Microsoft Network Adapter Multiplexer Driver, đây
chính là thành phần giao tiếp mạng đại diện cho NIC team vừa tạo.
Tạo switch ảo
Sau khi bạn đã tạo NIC team, bạn sẽ thực hiện tạo switch ảo để kết nối với NIC team. Mở Virtual
Switch Manager, chọn mục New Virtual Network Switch, đặt tên cho switch ảo trong mục Name,
trong mục External Network chọn Microsoft Network Adapter Multiplexor Driver. Xem hình minh
họa.
166
Cài đặt và cấu hình Windows Server 2012 R2
167
Cài đặt và cấu hình Windows Server 2012 R2
Cuối cùng, bạn phải mở trang Advanced Features của cạc mạng, đánh dấu chọn vào mục Enable The
Network Adapter To Be Part Of A Team In The Guest Operating System.
Từ đây, NIC team đã hoạt động. Để kiểm tra hệ thống, bạn có thể rút một sợi cáp mạng, máy ảo vẫn
duy trì kết nối tới hệ thống mạng.
168
Cài đặt và cấu hình Windows Server 2012 R2
Microsoft đề nghị bạn nên sử dụng ít nhất hai cạc mạng thật trên Hyper-V server. Trong đó, một cho
partition cha và các cái còn lại cho các partition con. Khi đó, ứng với một cạc mạng thật, bạn sẽ tạo
một switch ảo kiểu external và kết nối các máy ảo tới các switch này.
Tạo một hệ thống mạng tách biệt
Nếu bạn muốn xây dựng một hệ thống mạng chỉ để chạy thử nghiệm, kiểm tra, hoặc sử dụng trong việc
giảng dạy, bạn có thể tạo ra một hệ thống mạng tách biệt. Để thực hiện, bạn sẽ tạo các switch ảo kiểu
internal hoặc private, kết nối các máy ảo vào các switch này.
Tuy nhiên, hệ thống mạng tách biệt cũng có một số hạn chế. Nếu bạn muốn cài đặt hệ điều hành trên
máy ảo bằng Windows Deployment Services hoặc cấp IP động cho các máy ảo, thì bạn phải thiết lập
các dịch vụ này trên hệ thống mạng ảo. Các máy ảo cũng không thể truy cập được Internet, không thể
cập nhật được các bản nâng cấp của Windows.
Để máy ảo vừa truy cập được Internet vừa truy cập được hệ thống mạng tách biệt, bạn sẽ gắn cho máy
ảo hai cạc mạng. Một cạc mạng sẽ nối tới switch kiểu private, một cạc mạng sẽ nối tới switch kiểu
external.
Có một giải pháp khác để tạo ra một hệ thống mạng tách biệt là sử dụng VLAN. Giải pháp này rất hữu
ích trong trường hợp bạn có nhiều máy ảo trên các Hyper-V server khác nhau, và bạn muốn kết nối
chúng lại thành một hệ thống riêng biệt. Để thực hiện, bạn sẽ kết nối các cạc mạng vào các switch kiểu
external, sau đó, gán cùng chỉ số VLAN. Khi đó bạn có thể xây dựng các dịch vụ riêng biệt cho hệ
thống mạng tách biệt mà không ảnh hưởng đến hệ thống mạng bên ngoài.
169
Cài đặt và cấu hình Windows Server 2012 R2
A. Bạn muốn cài đặt hệ điều hành trên máy ảo bằng Windows Deployment Services server.
B. Hệ điều hành bạn dự định cài trên máy ảo không có gói Guest Integration Services.
C. Nhà sản xuất cạc mạng (đang được gắn trên máy thật) chưa cung cấp driver kiểu synthetic.
D. Cạc mạng kiểu emulated có hiệu suất hoạt động tốt hơn.
2. Các phát biểu nào sau đây nói không đúng về cạc mạng kiểu synthetic?
A. Cạc mạng kiểu synthetic giao tiếp với partition cha bằng VMBus.
B. Cạc mạng kiểu synthetic yêu cầu phải cài đặt gói Guest Integration Services trên hệ điều
hành máy ảo.
C. Cạc mạng kiểu synthetic có hiệu suất hoạt động tốt hơn cạc mạng kiểu emulated.
D. Cạc mạng kiểu synthetic có thể khởi động máy ảo bằng kĩ thuật khởi động qua mạng PXE.
3. Trong Hyper-V, switch ảo có số cổng tối đa là?
A. 8
B. 256
C. 4096
D. Không giới hạn
4. Switch ảo nào sau đây không cho phép hệ điều hành trên máy ảo giao tiếp với partition cha?
A. External
B. Internal
C. Private
D. Isolated
5. Mặc định, hyper-V server có thể gán bao nhiêu địa chỉ MAC cho các cạc mạng ảo?
A. 8
B. 256
C. 4096
D. Không giới hạn
170
Cài đặt và cấu hình Windows Server 2012 R2
171
Cài đặt và cấu hình Windows Server 2012 R2
IP dạng nhị phân 1100 0000 1010 1000 0010 1011 0110 0100
Subnet mask dạng 1111 1111 1111 1111 1111 1111 0000 0000
nhị phân
172
Cài đặt và cấu hình Windows Server 2012 R2
Các thông tin cụ thể về ba lớp địa chỉ được minh họa ở bảng sau:
Lớp A B C
Byte nhận dạng (hệ thập phân) 1-127 128 – 191 192 – 223
Số bit net 8 16 24
Số bit host 24 16 8
Ban đầu, khi TCP/IP mới được triển khai, người ta sử dụng “Bit nhận dạng” để xác định địa chỉ mạng,
chứ không sử dụng subnet mask như hiện nay. “Bit nhận dạng” sẽ chi phối đến giá trị thập phân tại
byte đầu tiên của địa chỉ IP. Ví dụ, với địa chỉ IP lớp A, bit đầu tiên bắt buộc phải là 0. Như vậy, giá trị
của byte đầu tiên sẽ nằm trong khoảng từ 0000 0001 tới 0111 1111, chuyển sang giá trị thập phân sẽ là
từ 1 tới 127. Vì vậy, trong hệ thống địa chỉ có phân lớp, chỉ cần nhìn vào giá trị dạng thập phân của
byte đầu tiên nằm trong khoảng từ 1 tới 127, là bạn có thể kết luận địa chỉ IP đó thuộc lớp A.
Ở địa chỉ lớp A, phần bit net chiếm 8 bit, còn lại 24 bit là phần bit host. Địa chỉ mạng lớp A có byte
đầu tiên mang giá trị 127 được sử dụng cho mục đính kiểm tra hệ thống, nên còn lại 126 mạng có thể
dùng, mỗi mạng có thể có 16 777 214 địa chỉ host để gán cho các cạc mạng. Địa chỉ lớp B và C có số
bit net nhiều hơn, nên số mạng có thể sử dụng cũng nhiều hơn; tuy nhiên, số bit host sẽ ít hơn, nên số
địa chỉ host có thể gán sẽ ít hơn.
Theo giao thức IP chuẩn, thì số lượng các địa chỉ IP mà một lớp cấp phát sẽ nhỏ hơn so với tổng số
trạng thái có thể biểu diễn của các bit. Ví dụ, một số nhị phân 8 bit sẽ có khả năng biểu diễn 256 trạng
thái. Tuy nhiên, số lượng các host mà một địa chỉ mạng lớp C có thể cấp phát chỉ là 254. Lý do là, bạn
không thể cấp phát một địa chỉ IP mà bit host toàn là 0 hoặc toàn là 1.
Địa chỉ IP có các bit host mang giá trị 0 sẽ là địa chỉ IP đại diện cho mạng, trong khi địa chỉ IP có các
bit host mang giá trị 1 sẽ là địa chỉ IP broadcast. Do vậy, bạn không thể gán hai loại địa chỉ này cho
một máy tính cụ thể. Công thức để tính số máy hoặc số mạng có thể cấp phát cho hệ thống là 2^x – 2
(theo giao thức IP chuẩn), trong đó x chính là số bit host và bit net tương ứng. Ví dụ, nếu số bit host là
8, thì số máy có thể cấp phát là 2^8 – 2 = 254; nếu số bit net là 5, thì số mạng có thể sử dụng là 2^5 – 2
= 30.
173
Cài đặt và cấu hình Windows Server 2012 R2
Hạn chế của hệ thống địa chỉ IPv4 có phân lớp là sự lãng phí địa chỉ, làm cho địa chỉ IPv4 bị cạn kiệt
nhanh. Để khắc phục hạn chế này, người ta đã đề xuất một số giải pháp liên quan đến chia mạng con
(subnetting) như VLSM (Variable Length Subnet Masking) và CIDR (Classless Inter-Domain
Routing).
CIDR là một kĩ thuật chia mạng con rất linh hoạt. Trong giao thức IP chuẩn, bạn chỉ có thể thực hiện
chia mạng con với số bit net/bit host là 8/24 (lớp A), 16/16 (lớp B), hoặc 24/8 (lớp C). Với CIDR, bạn
có thể chia số bit net và số bit host với giá trị bất kì. Vì vậy, có thể tạo ra các mạng có kích thước rất đa
dạng.
CIDR cũng đưa ra một cách viết mới cho địa chỉ mạng. Một địa chỉ mạng sẽ được viết dưới dạng địa
chỉ IP thông thường, kèm theo dấu “/” và số bit net. Ví dụ, 192.168.43.0/24 là địa chỉ mạng lớp C, số
bit net là 24, suy ra số bit host là 8, có thể gán cho 254 host. Dải địa chỉ IP có thể gán cho các host là từ
192.168.43.1 -> 192.168.43.254. Subnet mask là 255.255.255.0.
Sử dụng CIDR, người quản trị có thể tiếp tục chia nhỏ địa chỉ mạng trên (192.168.43.0/24), bằng cách
lấy một số bit host làm bit net. Ví dụ, để tạo ra bốn mạng con cho bốn phòng khác nhau, người quản trị
sẽ lấy hai bit host chuyển thành bit net. Khi đó, địa chỉ mạng sẽ là 192.168.43.0/26, và subnet mask
cho bốn mạng mới sẽ là 1111 1111.1111 1111.1111 1111.1100 0000, đổi sang hệ thập phân là
255.255.255.192. Mỗi mạng con bây giờ sẽ có 64 host, dải địa chỉ cho mỗi mạng được thể hiện trong
bảng dưới đây.
Nếu người quản trị cần thêm bốn mạng con nữa, anh ta chỉ cần thay đổi địa chỉ mạng thành
192.168.43.0/28, nghĩa là lấy thêm hai bit host để làm bit net. Khi đó, tổng số mạng con có thể cấp
phát là 16, mỗi mạng con có thể gán cho 14 host. Subnet mask mới sẽ là 255.255.255.240.
174
Cài đặt và cấu hình Windows Server 2012 R2
ICANN (Internet Corporation for Assigned Names and Numbers): là một tổ chức phi lợi nhuận, điều
hành IANA. Tổ chức này cấp phát các khối địa chỉ IP public tới các cơ quan đăng kí Internet khu vực
(RIR).
RIR (Regional Internet Registries): là cơ quan đăng kí Internet cấp khu vực, cấp phát các khối địa chỉ
IP nhỏ hơn (so với khối IP do ICANN cấp) cho các nhà cung cấp dịch vụ Internet (ISP).
ISP (Internet Service Providers): nhà cung cấp dịch vụ Internet tới người dùng, cấp phát địa chỉ IP
public cho người dùng. Ví dụ các nhà cung cấp dịch vụ ở Việt Nam là: VNPT, Viettel, FPT…v.v.
Với các máy tính cá nhân, máy trạm (workstation), rất hiếm khi sử dụng địa chỉ IP public. Nếu các tổ
chức mà sử dụng địa chỉ IP public cho tất cả các máy trạm, thì IPv4 đã cạn kiệt từ lâu, đồng thời chi
phí mà tổ chức phải trả cũng rất lớn. Thay vào đó, các tổ chức sẽ sử dụng địa chỉ IP private để cấp phát
cho các máy trạm.
Địa chỉ IP private là dải địa chỉ IP được sử dụng cho các hệ thống mạng nội bộ. Đây là những địa chỉ
IP được sử dụng tự do, miễn phí và không phải đăng kí. Tuy nhiên, nếu các máy tính trên Internet
muốn truy cập tới các máy đang sử dụng địa chỉ IP private thì bạn phải cấu hình thêm các dịch vụ hỗ
trợ, ví dụ như NAT.
Ba dải địa chỉ IP private gồm:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
Gần như tất cả các hệ thống mạng của các cơ quan, tổ chức đều sử dụng một trong các dải địa chỉ IP
private ở trên. Họ có thể sử dụng tự do mà không cần quan tâm tới các tổ chức khác đã sử dụng dải địa
chỉ đó hay chưa, bởi vì các máy trạm trong tổ chức này không thể kết nối trực tiếp tới các máy trạm
trong tổ chức khác.
175
Cài đặt và cấu hình Windows Server 2012 R2
Khi bạn làm việc với hệ thống mạng đã có sẵn, việc chia mạng con sẽ phức tạp hơn. Ví dụ, hệ thống
mạng đang sử dụng dải địa chỉ IP khá nhỏ và bạn phải tạo thêm một số mạng con trong nó. Sau đây là
các bước để tạo mạng con mới:
1. Từ số mạng con cần tạo, xác định subnet ID.
2. Giảm số bit host đi “subnet ID” bit, tăng số bit net lên “subnet ID” bit.
3. Tính lại subnet mask mới, bằng cách thêm “subnet ID” bit 1 vào subnet ban đầu, và đổi sang
dạng thập phân.
4. Tính số host trong mỗi mạng con, bằng cách cho tất cả bit host bằng 0, đặt thêm bit 1 ở phía
cực trái, chuyển sang hệ thập phân.
5. Xác định địa chỉ mạng cho các mạng con mới, mỗi mạng con cách nhau một khoảng đúng bằng
số host trong mỗi mạng con (đã tính ở bước 4).
Ví dụ, cho địa chỉ mạng 192.168.43.0/24, hãy chia mạng này thành 4 mạng con.
1. Cần tạo mới 4 mạng con, như vậy subnet ID là 2.
2. Số bit net mới sẽ là 24 + 2 = 26. Số bit host mới sẽ là 8 – 2 = 6.
3. Subnet mới là /26. Chuyển sang dạng thập phân là 255.255.255.192.
4. Tính số host trong mỗi mạng con, chuỗi nhị phân sẽ có dạng 100 0000, chuyển sang hệ thập
phân sẽ là 64.
5. Mạng con đầu tiên là 192.168.43.0, mạng con thứ hai là 192.168.43.64, mạng con thứ ba là
192.168.43.128, và mạng con thứ tư là 192.168.43.192.
Supernetting
Ngoài việc cho phép bạn viết địa chỉ mạng một cách đơn giản, CIDR còn cung cấp một kĩ thuật gộp
địa chỉ IP (IP address aggregation) hay còn được gọi là supernetting. Kĩ thuật này cho phép giảm kích
thước của bảng định tuyến. Một supernet là một subnet mới, được gộp từ các subnet liên tiếp nhau, có
cùng subnet mask. Khi đó, thay vì router phải lưu một mục cho một subnet, nó chỉ cần lưu một mục
cho tất cả các subnet.
Ví dụ, nếu một tổ chức có năm subnet, bình thường bảng định tuyến sẽ phải tạo ra năm mục để lưu
thông tin, cụ thể gồm:
- 172.16.43.0/24
- 172.16.44.0/24
- 172.16.45.0/24
- 172.16.46.0/24
- 172.16.47.0/24
Để tạo ra một supernet chứa cả năm mạng trên, bạn cần chuyển các địa chỉ của các subnet sang dạng
nhị phân, sau đó duyệt từ trái sang phải để xác định chuỗi bit giống nhau trong tất cả các subnet.
Dưới đây là dạng nhị phân của các subnet:
176
Cài đặt và cấu hình Windows Server 2012 R2
Từ bảng trên, ta thấy cả năm subnet đều có 21 bit đầu tiên giống nhau. Như vậy, chuỗi 21 bit này sẽ là
phần bit net của địa chỉ mạng mới (supernet).
Chuỗi 21 bit đó là: 1010 1100.0001 0000.0010 1
Thêm các bit 0 cho các bit host, đổi sang hệ thập phân, ta sẽ có địa chỉ supernet.
Dạng nhị phân: 1010 1100.0001 0000.0010 1000.0000 0000
Đổi sang dạng thập phân: 172.16.40.0/21
Trong bảng định tuyến, địa chỉ mạng 172.16.40.0/21 sẽ thay thế cho năm mạng con ban đầu. Với kĩ
thuật này, bạn có thể gộp hàng chục, thậm chí hàng trăm mạng con thành một mạng trong bảng định
tuyến.
177
Cài đặt và cấu hình Windows Server 2012 R2
Chọn mục Use The Following IP Address, để gán các thông tin liên quan đến địa chỉ IPv4. Cụ thể
gồm:
- IP Address: nhập địa chỉ IPv4.
- Subnet Mask: nhập subnet mask.
- Default Gateway: nhập địa chỉ IPv4 của router, default gateway giúp máy tính giao tiếp với các
hệ thống mạng khác.
- Preferred DNS Server: nhập địa chỉ IP của DNS server, DNS server giúp máy tính có thể phân
giải tên miền sang địa chỉ IP.
Phương pháp gán địa chỉ này có hai hạn chế, một là tốn thời gian, hai là rất khó để quản lý đối với các
hệ thống mạng lớn.
Sử dụng DHCP
DHCP là giao thức thuộc tầng ứng dụng (application layer), nó giúp gán địa chỉ IP tự động cho các
máy tính trong mạng. Các máy tính đã được cài đặt DHCP client, khi khởi động, sẽ tự động liên lạc với
DHCP server để nhận địa chỉ IP và các thông tin khác.
DHCP server cấp địa chỉ IP cho các client theo thời hạn, nghĩa là sau một khoảng thời gian được ấn
định trước, máy client sẽ phải gia hạn thời gian sử dụng hoặc trả lại địa chỉ IP.
178
Cài đặt và cấu hình Windows Server 2012 R2
Ngoài việc tự động cấp phát địa chỉ IP cho các client, DHCP còn đảm bảo các địa chỉ IP cấp phát là
duy nhất trên mạng, không có tình trạng hai máy client cùng nhận một địa chỉ IP.
Tự sinh địa chỉ IP private (APIPA: Automatic Private IP Addressing)
APIPA là một dịch vụ có sẵn trên các hệ điều hành Microsoft Windows. Dịch vụ này sẽ tự động sinh
địa chỉ IP cho máy tính.
Giả sử trên máy tính được cài đặt DHCP client, tuy nhiên, khi khởi động hệ thống không thể liên lạc
được với DHCP server để lấy địa chỉ IP. Trong trường hợp đó, APIPA sẽ tự động được kích hoạt và
sinh ra một địa chỉ IP cho máy tính, địa chỉ được sinh thuộc mạng 169.254.0.0/16.
Đối với hệ thống mạng chỉ gồm một LAN duy nhất thì APIPA cũng là một giải pháp để gán IP động
cho các máy tính trong mạng. Tuy nhiên, đối với các hệ thống mạng lớn và bạn muốn có nhiều tùy
chọn hơn trong việc gán địa chỉ IP thì nên triển khai DHCP server.
180
Cài đặt và cấu hình Windows Server 2012 R2
luôn luôn được thực hiện, kể cả sau đó giao tiếp mạng sẽ nhận một địa chỉ kiểu unicast toàn cầu
(global unicast).
Quá trình tự cấu hình địa chỉ gồm các bước cụ thể sau:
1. Tạo ra địa chỉ unicast link-local: giao thức IPv6 trên máy tính sẽ tạo ra cho mỗi giao tiếp mạng
(từ đây gọi là interface) một địa chỉ thuộc mạng fe80::/64, và một định danh của interface
(interface ID). Định danh của interface được tạo ra ngẫu nhiên hoặc dựa vào MAC của
interface.
2. Kiểm tra tính duy nhất của địa chỉ unicast link-local vừa tạo: máy tính sẽ sử dụng giao thức
IPv6 Neighbor Discovery (ND), để kiểm tra xem trên đoạn mạng có máy tính nào sử dụng cùng
địa chỉ không. ND sẽ gửi gói Neighbor Solication (tìm kiếm hàng xóm), và chờ gói phản hồi
Neighbor Advertisement. Nếu không nhận được gói phản hồi, có nghĩa là địa chỉ vừa tạo là duy
nhất, nếu nhận được gói phản hồi thì hệ thống phải tạo ra địa chỉ mới. Quá trình sẽ được lặp lại
cho tới khi nào địa chỉ được tạo là duy nhất.
3. Khi máy tính đã kiểm tra và chắc chắn địa chỉ unicast link-local là duy nhất, hệ thống sẽ gán
địa chỉ này cho interface. Đối với hệ thống nhỏ, chỉ gồm một đoạn mạng biệt lập thì địa chỉ sẽ
được gán cố định cho interface để thực hiện việc giao tiếp giữa các thiết bị trong mạng. Đối với
các hệ thống gồm nhiều mạng con, việc gán địa chỉ này chủ yếu để giúp máy tính thực hiện
việc giao tiếp với router cục bộ.
4. Yêu cầu gói Router Advertisement: sau khi đã được gán địa chỉ unicast link-local, máy tính sẽ
sử dụng giao thức ND để gửi gói Router Solicitation (tìm kiếm router) tới tất cả các router khả
nhận trong đoạn mạng, bằng địa chỉ multicast. Gói Router Solicitation sẽ yêu cầu các router
(nếu nhận được) gửi cho nó gói Router Advertisement.
5. Nhận gói Router Advertisement: router trong đoạn mạng sẽ sử dụng giao thức ND để gửi gói
Router Advertisement cho máy tính, gói này chứa các thông tin hướng dẫn máy tính thực hiện
quá trình tự động cấu hình địa chỉ. Thông thường, gói Router Advertisement sẽ cung cấp cho
máy tính giá trị của Network Prefix (bit nhận dạng mạng). Máy tính sẽ kết hợp bit nhận dạng
này với interface ID để tạo ra địa chỉ unicast cục bộ hoặc unicast toàn cầu. Gói Router
Advertisement cũng cung cấp các chỉ dẫn để chạy tiến trình Stateful Autoconfiguration (lấy địa
chỉ IPv6 từ DHCPv6) bằng việc liên hệ với DHCPv6 server. Nếu trên đoạn mạng không có
router, nghĩa là máy tính sẽ không nhận được gói Router Advertisement, khi đó, hệ thống sẽ cố
gắng khởi chạy tiến trình Stateful Autoconfiguration (theo http://www.ietf.org/rfc/rfc4862.txt
trang 12). (trong ebook thì viết là “khởi chạy tiến trình Stateless Autoconfiguration?)
6. Cấu hình địa chỉ unicast cục bộ hoặc unicast toàn cầu: máy tính sẽ sử dụng các thông tin nhận
được từ router để tạo ra các địa chỉ. Các địa chỉ này có thể định tuyến ở phạm vi toàn cầu hoặc
phạm vi cục bộ, và gán các địa chỉ này cho các interface. Nếu trong gói Router Advertisement
có chỉ dẫn, máy tính cũng có thể khởi tạo quá trình lấy địa chỉ unicast cục bộ hoặc unicast toàn
cầu cùng một số thông tin cấu hình khác từ DHCPv6 server.
DHCPv6
Đối với hệ thống mạng gồm nhiều mạng con, các interface bắt buộc phải có địa chỉ unicast cục bộ hoặc
unicast toàn cầu thể thực hiện giao tiếp giữa các mạng con. Do đó, trong hệ thống, bắt buộc phải có
router để cấp phát network prefix hoặc phải có DHCPv6 server để cấp phát địa chỉ IPv6.
182
Cài đặt và cấu hình Windows Server 2012 R2
Trong Windows Server 2012 R2, role Remote Access có hỗ trợ việc định tuyến và cấp phát network
prefix, role DHCP Server có hỗ trợ việc cấp phát địa chỉ IPv6.
183
Cài đặt và cấu hình Windows Server 2012 R2
Cụ thể, nếu sử dụng giá trị 1 cho Việt Nam, khi đó giá trị các bit ở mức quốc gia trong Subnet ID sẽ là:
0001 - - - - - - - - - - - -
Nếu sử dụng giá trị 49 cho Lâm Đồng, khi đó giá trị các bit ở mức thành phố trong Subnet ID sẽ là:
- - - - 110001 - - - - - -
Với Chi nhánh số 2 tại Lâm Đồng, giá trị các bit ở mức chi nhánh trong Subnet ID sẽ là:
- - - - - - - - - - 10 - - - -
Giả sử phòng Kinh doanh tại Chi nhánh số 2 được gán giá trị 9, khi đó giá trị mức phòng ban trong
Subnet ID sẽ là:
- - - - - - - - - - - - 1001
Cuối cùng, Subnet ID sẽ có giá trị là:
0001110001101001
Đổi sang hệ 16 sẽ là 1c69.
Vì các tổ chức có toàn quyền quản lý 16 bit Subnet ID, nên quản trị viên có thể thay đổi tùy ý số bit
của mỗi mức để đáp ứng nhu cầu thực tế của tổ chức.
Đây là giải pháp chạy ngầm IPv6 trên nền IPv4. Giải pháp này đã được hỗ trợ trên feature
DirectAccess của Windows Server 2012 R2 và Windows 8.1.
Trong giải pháp này, tại máy gửi, gói IPv6 sẽ được bọc bên trong một gói IPv4. Sau đó, máy gửi sẽ
thực hiện gửi gói IPv4 này tới máy đích. Xem hình minh họa (hình trong tài liệu gốc có thể bị nhầm
chỗ IPv6 Header and Payload, họ viết là IPv4 Header and Payload?).
IPv6
IPv6 Header Extension IPv6 Payload
Headers
Giải pháp này có thể triển khai được trên rất nhiều loại kết nối, ví dụ: router-tới-router, host-tới-host,
router-tới-host, host-tới-router. Tuy nhiên, nó được sử dụng nhiều nhất trên kết nối router-tới-router.
Ví dụ, hai văn phòng chi nhánh đều sử dụng IPv6, chúng kết nối với nhau dựa trên hạ tầng Internet,
nhưng hạ tầng Internet đang sử dụng IPv4. Xem hình minh họa.
Ở sơ đồ mạng trên, các máy tính ở hai văn phòng chi nhánh đều sử dụng IPv6. Hai router làm việc
được với cả IPv4 và IPv6. Tuy nhiên, hạ tầng kết nối giữa hai văn phòng chi nhánh chỉ làm việc được
với IPv4. Với việc sử dụng giải pháp tunneling trên hai router, các máy tính ở hai văn phòng chi nhánh
có thể sử dụng IPv6 để truyền dữ liệu cho nhau một cách bình thường mà không phải quan tâm tới hạ
tầng mạng bên dưới. Hai router sẽ có nhiệm vụ bọc gói IPv6 trong gói IPv4 để truyền gói tin giữa hai
văn phòng.
Cấu hình tunnel thủ công
Bạn có thể tạo thủ công một tunnel (đường hầm) để truyền gói tin IPv6 trên nền IPv4. Mỗi máy tính
chạy hệ điều hành Windows Server 2012 R2 hoặc Windows 8.1 có thể xem như là một đầu của tunnel.
Sử dụng lệnh sau để thiết lập tunnel:
Netsh interface ipv6 add v6v4tunnel “interface” localaddress remoteaddress
185
Cài đặt và cấu hình Windows Server 2012 R2
Trong đó, “interface” là tên của tunnel, localaddress và remoteaddress là địa chỉ IPv4 của hai đầu
tunnel.
Ví dụ cụ thể:
Netsh interface ipv6 add v6v4tunnel “DuongHam” 206.73.118.19 157.54.206.43
Cấu hình tunnel tự động
Sau đây là một số giải pháp đã được Windows hỗ trợ, để tự động tạo tunnel trên hạ tầng IPv4. Đây là
những giải pháp để giải quyết vấn đề tương thích trong thời kì chuyển từ IPv4 sang IPv6. Các giải
pháp đều có cơ chế lồng địa chỉ IPv4 vào trong địa chỉ IPv6.
- 6TO4
Công nghệ 6TO4 gồm hai giải pháp quan trọng, một là lồng địa chỉ IPv4 vào trong địa chỉ IPv6, hai là
bọc các gói tin IPv6 bằng các gói tin IPv4.
- ISATAP
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol): là giao thức được các hệ điều hành máy
trạm của Windows sử dụng. Giải pháp này giả lập kết nối IPv6 trên hạ tầng IPv4.
ISATAP cũng có cơ chế chuyển địa IPv4 thành IPv6, nhưng sử dụng phương pháp khác so với 6TO4.
ISATAP không hỗ trợ multicasting.
- TEREDO
Trong giải pháp thiết lập đường hầm 6TO4, hai đầu của đường hầm phải sử dụng địa chỉ IPv4 public.
Tuy nhiên, trong nhiều hệ thống mạng, máy tính đóng vai trò là đầu đường hầm lại sử dụng địa chỉ
IPv4 private và hoạt động phía sau của NAT router. Do vậy, không thể thiết lập đường hầm trong
trường hợp này.
Teredo là một giải pháp để khắc phục hạn chế ở trên, nó cho phép một thiết bị hoạt động phía sau của
NAT router (lưu ý: NAT router này không hỗ trợ IPv6) có thể đóng vai trò là một đầu của đường hầm.
Teredo sẽ đóng gói IPv6 vào trong một gói UDP. Khác với 6TO4 đóng gói IPv6 vào trong gói IPv4.
Máy tính đóng vai trò là một đầu của đường hầm sẽ là Teredo client, nó cần phải giao tiếp với Teredo
server để thực hiện chức năng của đầu đường hầm.
186
Cài đặt và cấu hình Windows Server 2012 R2
- Trong giai đoạn chuyển đổi từ IPv4 sang IPv6, giải pháp đơn giản nhất để giải quyết vấn đề
tương thích là sử dụng song song cả hai loại địa chỉ trên cùng hệ thống. Giải pháp này đang
được Windows sử dụng.
- Giải pháp chính trong việc truyền các gói tin IPv6 trên nền IPv4 là tạo đường hầm. Trong giải
pháp này, gói IPv6 sẽ được bọc trong gói IPv4.
187
Cài đặt và cấu hình Windows Server 2012 R2
4.2. DHCP
Một số khái niệm về DHCP
DHCP (Dynamic Host Configuration Protocol) là dịch vụ tự động cấp địa chỉ IP và một số thông tin
cấu hình TCP/IP cho máy tính trong mạng, đồng thời nó cũng có trách nhiệm thu hồi lại các thông tin
đã cấp khi hết hạn.
Scope là kho địa chỉ sẽ được cấp cho các máy trong mạng.
Cấu hình địa chỉ IP bằng tay thường mất thời gian, hay gây ra lỗi do nhập sai, do gán trùng địa chỉ IP,
khó kiểm soát các địa chỉ IP đã gán. DHCP sẽ giúp khắc phục các hạn chế này.
DHCP gồm ba thành phần:
- DHCP server5: tiếp nhận và đáp ứng các yêu cầu liên quan đến cấu hình TCP/IP từ các máy
client.
- DHCP client: gửi yêu cầu tới DHCP server, nhận các thông tin cấu hình TCP/IP và thiết lập
cho máy client.
- Thành phần giao tiếp (DHCP communication protocol): quy định cách thức và quy trình giao
tiếp giữa client và server.
Tất cả các hệ điều hành Windows đều có sẵn thành phần DHCP client. Tất cả các hệ điều hành máy
chủ Windows đều có sẵn thành phần DHCP server.
DHCP cung cấp ba hình thức cấp địa chỉ IP cho client:
- Cấp động (Dynamic allocation): DHCP server cấp cho client một địa chỉ IP trong kho địa chỉ
của nó, client được phép sử dụng địa chỉ này trong một khoảng thời gian nhất định. Sau khi hết
thời gian sử dụng, client phải báo lại cho DHCP server để gia hạn thêm thời gian sử dụng. Nếu
client không tiếp tục gia hạn, địa chỉ IP đó sẽ được DHCP server thu hồi để cấp cho máy tính
khác.
- Cấp ổn định (Automatic allocation): DHCP server sẽ cấp ổn định một địa chỉ IP nào đó trong
kho cho máy client. Nếu client muốn đổi địa chỉ IP khác, bạn phải thực hiện cấu hình lại. Kiểu
cấp này giống với kiểu cấp động, tuy nhiên, tại DHCP server có duy trì một bảng lưu lại các địa
chỉ IP đã được cấp trước đó, khi client yêu cầu cấp địa chỉ IP, DHCP server sẽ ưu tiên cấp cho
client địa chỉ mà trước đó nó đã dùng.
- Dành riêng (Manula allocation): DHCP server sẽ cấp cố định một địa chỉ IP cho máy tính, việc
cấp phát được dựa trên địa chỉ MAC của máy client. Trong thuật ngữ của Microsoft DHCP,
hình thức này được gọi là reservations (đặt trước).
Ngoài địa chỉ IP, DHCP server còn cấp cho máy client các thông tin sau: subnet mask, default
gateway, địa chỉ của DNS server, và nhiều thông tin khác (tổng cộng khoảng hơn 50 thông tin cấu
hình).
5
Ebook đang tham khảo ghi là: DHCP service
188
Cài đặt và cấu hình Windows Server 2012 R2
DHCP sử dụng tám loại gói tin trong quá trình hoạt động. Các gói tin đều có định dạng giống nhau.
DHCP truyền gói tin dựa trên UDP/IP, truyền trên cổng 67 tại máy server và trên cổng 68 tại máy
client.
189
Cài đặt và cấu hình Windows Server 2012 R2
- Renewal (T1) time value: khi hết khoảng thời gian này, client phải thực hiện gia hạn sử dụng
địa chỉ IP.
- Rebinding (T2) time value: hết khoảng thời gian này, client phải hoàn thành việc gia hạn sử
dụng địa chỉ IP. Nếu client không thể gia hạn được với DHCP server cũ, nó sẽ thực hiện gửi
broadcast tới toàn mạng để hoàn thành việc gia hạn sử dụng một địa chỉ IP.
190
Cài đặt và cấu hình Windows Server 2012 R2
Có
Server gửi gói Client nhận
DHCPOFFER địa chỉ IP?
Có
Server kiểm tra
Client broadcast gói
IP có ai dùng
DHCPREQUEST
chưa?
Chưa
IP có qua được
Server gửi gói
quá trình kiểm
DHCPACK
tra bằng ARP?
Có
Không
Địa chỉ bị từ chối/ Client gửi gói Có
Phiên làm việc thất bại DHCPDECLINE
Server gửi gói DHCPNAK/ Địa chỉ được gán cho client/
Phiên làm việc thất bại Phiên làm việc thành công
1. Với máy tính đã được bật chức năng DHCP client, khi khởi động, nó sẽ tạo ra gói
DHCPDISCOVER, gửi broadcast ra toàn mạng để yêu cầu máy DHCP server cấp địa chỉ IP
cho nó.
2. Khi các máy DHCP server nhận được gói DHCPDISCOVER, nó sẽ tạo ra gói DHCPOFFER,
gói này chứa địa chỉ IP và các thông tin cấu hình khác, server gửi gói DHCPOFFER tới máy
client.
3. Client sẽ chấp nhận một trong các địa chỉ IP do các server đề nghị. Sau khi chấp nhận, client sẽ
tạo gói DHCPREQUEST, trong gói có chứa địa chỉ IP mà nó chấp nhận, gửi broadcast gói
DHCPREQUEST ra toàn mạng.
191
Cài đặt và cấu hình Windows Server 2012 R2
4. Với server có địa chỉ IP được client chấp nhận, khi nhận được gói DHCPREQUEST, nó sẽ ghi
lại địa chỉ IP và các thông tin đã được cấp phát vào cơ sở dữ liệu của nó.
5. Sau đó, server sẽ gửi lại gói DHCPACK cho client xác nhận quá trình cấp địa chỉ IP đã hoàn
thành. Nếu không thể hoàn thành quá trình cấp IP cho client, server sẽ gửi gói DHCPNAK tới
client và quá trình tự động lấy địa chỉ IP của client được bắt đầu lại từ đầu.
6. Cuối cùng, client sẽ kiểm tra tính duy nhất của địa chỉ IP nó vừa nhận được, nó thực hiện bằng
cách sử dụng ARP để broadcast ra toàn mạng. Nếu không có phản hồi, nghĩa là IP nó nhận là
hợp lệ, quá trình lấy địa chỉ IP đã hoàn thành. Nếu nhận được phản hồi, client sẽ hủy địa chỉ IP
vừa nhận, đồng thời gửi lại gói DHCPDECLINE cho server. Client sẽ khởi động lại quá trình
lấy địa chỉ IP.
192
Cài đặt và cấu hình Windows Server 2012 R2
Còn
Không
Server gửi gói DHCPNAK/
IP sẽ bị thu hồi Client chạm mốc thời gian T2/
Khởi phát quá trình gia hạn với
IP sẽ hết hạn sử dụng/ Việc gia server khác (rebinding)
hạn thất bại
Không
Có
Ghi chú:
Địa chỉ IP được gia hạn/ Việc Server cũ, hay binding
gia hạn thành công server: là server đã cấp
IP cho client
1. Khi máy client sử dụng địa chỉ IP được 50% thời gian cho phép (mốc thời gian này còn được
gọi là thời điểm gia hạn, hay mốc thời gian T1), máy client sẽ tạo ra gói DHCPREQUEST, gửi
unicast tới máy DHCP server đã cấp IP cho nó trước đây.
2. Nếu tới thời điểm 87,5% thời gian sử dụng địa chỉ IP (mốc thời gian này còn được gọi là thời
điểm gia hạn với server bất kì, hay mốc thời gian T2), mà client không nhận được trả lời từ
DHCP server cũ, nó sẽ gửi broadcast gói DHCPREQUEST để xin gia hạn sử dụng địa chỉ IP
với DHCP server bất kì trong mạng.
3. Nếu server nhận được gói DHCPREQUEST từ client, nó sẽ: hoặc là gửi lại gói DHCPACK để
đồng ý việc gia hạn, hoặc gửi gói DHCPNAK để từ chối việc gia hạn.
193
Cài đặt và cấu hình Windows Server 2012 R2
4. Khi hết hạn sử dụng địa chỉ IP, nếu client không nhận được trả lời cho gói DHCPREQUEST,
hoặc nhận được gói DHCPNAK, thì client sẽ không có địa chỉ IP. Khi đó, mọi giao tiếp mạng
sẽ ngừng lại, ngoại trừ việc gửi broadcast gói tin DHCPDISCOVER.
194
Cài đặt và cấu hình Windows Server 2012 R2
6. Nhập địa chỉ bắt đầu của dải IP vào mục Start IP Address (ví dụ: 192.168.100.5). Nhập địa chỉ
kết thúc của dải IP vào mục End IP Address (ví dụ: 192.168.100.253).
7. Nhập giá trị subnet mask của mạng vào mục Subnet Mask (ví dụ: 255.255.255.0). Bấm Next để
mở trang Add Exclusion And Delay.
8. Exclusion: là các địa chỉ trong scope, nhưng không được cấp cho các client. Nhập địa chỉ bắt
đầu và kết thúc của dải địa chỉ Exclusion vào Start IP Address và End IP Address tương ứng.
Nếu dải địa chỉ Exclusion chỉ có một địa chỉ, thì nhập vào mục Start IP Address. Bấm nút Add
để đưa vào danh sách. Bấm nút Next để mở trang Lease Duration.
9. Nhập khoảng thời gian client được phép sử dụng địa chỉ IP. Bấm Next để mở trang
Configuration DHCP Options.
10. Chọn Yes, I Want To Configure These Options Now. Bấm Next để mở trang Router (Default
Gateway). Xem hình minh họa.
195
Cài đặt và cấu hình Windows Server 2012 R2
11. Nhập địa chỉ IP Default Gateway của hệ thống mạng vào mục IP Address, bấm Add. Bấm Next
để mở trang Domain Name And DNS Servers.
12. Nhập tên của DNS server vào mục Server Name, bấm Resolve, địa chỉ IP của DNS server sẽ
được tự động điền vào mục IP Address. Hoặc có thể gõ trực tiếp địa chỉ IP của DNS server vào
mục IP Address. Bấm Add. Bấm Next để mở trang WINS Servers.
13. Bấm Next để mở trang Activate Scope.
14. Chọn Yes, I Want To Activate This Scope Now, bấm Next để mở trang Completing The New
Scope Wizard.
15. Bấm Finish để kết thúc.
16. Đóng cửa sổ DHCP.
Sau khi đã tạo scope, các DHCP client trong mạng có thể lấy địa chỉ IP và các thông tin khác từ DHCP
server. Bạn cũng có thể tạo thêm các scope cho các mạng con khác.
Mục “006 DNS Servers” thường được cấu hình ở mức Server Options, vì DNS server không nhất thiết
phải cùng mạng con với DHCP client, ngoài ra, các hệ thống mạng thường sử dụng DNS server chung
cho tất cả các client.
Các chức năng ở cả hai mức Scope Options và Server Options là tương tự nhau, việc thực hiện cấu
hình về cơ bản cũng giống nhau.
Để thực hiện cấu hình cho mức Scope Options, bấm chuột phải vào nút Scope Options, chọn mục
Configuration Options để mở cửa sổ Scope Options, tại cửa sổ này bạn có thể thực hiện các cấu hình
theo nhu cầu. Xem hình minh họa.
Để thực hiện cấu hình cho Server Options, bấm chuột phải vào nút Server Options, chọn mục
Configuration Options để mở cửa sổ Server Options, việc cấu hình cũng giống như khi thực hiện trên
mức Scope Options.
197
Cài đặt và cấu hình Windows Server 2012 R2
Để đặt trước một địa chỉ IP, bấm chuột phải vào mục Reservations, chọn New Reservation để mở cửa
sổ New Reservation. Xem hình minh họa.
Tại cửa sổ New Reservation, bạn nhập địa chỉ IP cần cấp cho máy tính kèm theo địa chỉ MAC của nó.
Sử dụng PXE
Trong các hệ điều hành Windows luôn có sẵn thành phần DHCP client, thành phần này giúp máy tính
client lấy được địa chỉ IP và các thông tin TCP/IP từ DHCP server. Tuy nhiên, DHCP client chỉ có trên
các máy client đã cài đặt hệ điều hành.
Với các máy client chưa cài đặt hệ điều hành, DHCP có hỗ trợ chức năng PXE, chức năng này cho
phép client có thể lấy được địa chỉ IP và các thông tin TCP/IP khác.
PXE (Preboot eXecution Environment) là một chức năng được tích hợp trên nhiều cạc mạng, nó cho
phép cạc mạng kết nối tới DHCP server để lấy địa chỉ IP và các thông tin TCP/IP khác, khi máy tính
không có hệ điều hành.
Các quản trị viên thường sử dụng chức năng PXE trong quá trình cài đặt tự động hệ điều hành trên các
máy client.
Trong chế độ PXE, ngoài việc cấp địa chỉ IP và thông tin TCP/IP cho client, DHCP server còn cung
cấp cho máy client thông tin về vị trí của tập tin khởi động, máy client sẽ tải tập tin này về để khởi
động máy tính và bắt đầu quá trình cài đặt hệ điều hành.
PXE sử dụng giao thức TFTP (Trivial File Transfer Protocol) để lấy tập tin khởi động từ DHCP server.
Giao thức TFTP là phiên bản rút gọn của giao thức FTP, nó không yêu cầu quá trình chứng thực.
Windows Server 2012 R2 có role WDS (Windows Deployment Services), role này cho phép lưu trữ và
quản lý các tập tin cài đặt của hệ điều hành. Để truy cập tới WDS, cạc mạng PXE phải có thông tin về
198
Cài đặt và cấu hình Windows Server 2012 R2
vị trí của WDS server, thông tin này được cấu hình trong mục tùy chọn “060 PXEClient” tại DHCP
server. Lưu ý: phải cài đặt role WDS và cấu hình WDS thì mới có mục “060 PXEClient” trong DHCP
server.
Khi máy client khởi động, sau khi không thể khởi động từ các ổ đĩa cục bộ, máy client sẽ tự động thực
hiện quá trình khởi động từ mạng. Do vậy, bạn không phải thực hiện bất kì cấu hình nào liên quan đến
PXEClient.
Sau đây là các bước cài đặt hệ điều hành Windows 8.1 qua mạng:
1. Khởi động máy client, do không thể khởi động từ các ổ đĩa cục bộ, máy client sẽ thực hiện quá
trình khởi động qua mạng.
2. Máy client kết nối tới DHCP server, nhận gói DHCPOFFER. Gói DHCPOFFER có chứa địa
chỉ IP, các thông tin TCP/IP khác, cùng với tên của WDS server.
3. Client kết nối tới WDS server, sử dụng TFTP để tải về các tập tin khởi động.
4. Client nạp Windows PE (Windows Preinstallation Environment: một tiện ích hỗ trợ việc cài đặt
hệ điều hành) và WDS client vào RAM disk (đĩa ảo), hiển thị trình đơn khởi động, trong đó có
các tùy chọn cài đặt hệ điều hành do WDS server cung cấp.
5. Người dùng sẽ lựa chọn hệ điều hành để cài đặt, quá trình cài đặt sẽ được thực hiện như khi cài
đặt thông thường.
199
Cài đặt và cấu hình Windows Server 2012 R2
200
Cài đặt và cấu hình Windows Server 2012 R2
16. Nhập địa chỉ IP của DHCP server mà bạn muốn chuyển tiếp gói tin DHCP tới nó. Bấm Add.
Lặp lại bước này, nếu bạn muốn nhập thêm các DHCP server khác.
17. Bấm OK.
18. Đóng cửa sổ Routing And Remote Access.
201
Cài đặt và cấu hình Windows Server 2012 R2
2. Gói tin nào sau đây không được sử dụng trong quá trình trao đổi để cấp một địa chỉ IP cho
client?
A. DHCPDISCOVER
B. DHCPREQUEST
C. DHCPACK
D. DHCPINFORM
3. Trong các chế độ cấp địa chỉ IP cho client của DHCP Windows Server 2012 R2, thuật ngữ nào
sau đây tương đương với “reservation”?
A. Cấp Dynamic
B. Cấp Automatic
C. Cấp Manual
D. Cấp Hybrid
4. Các thiết bị nào sau đây có thể hoạt động với vai trò giống như một trạm chuyển tiếp DHCP
(DHCP relay agents)?
A. Máy Windows 8.1
B. Routers
C. Switches
D. Máy Windows Server 2012 R2
5. Các thông tin cấu hình TCP/IP nào sau đây thường được cấu hình ở mức scope option trong
DHCP?
A. DNS Server
B. Subnet Mask
C. Thời hạn sử dụng IP
D. Default Gateway
4.3. DNS
DNS (domain name system – hệ thống tên miền) là một thành phần quan trọng trong hoạt động của
Internet cũng như của AD (Active Directory).
Trong hệ thống mạng, mọi giao tiếp TCP/IP đều sử dụng địa chỉ IP. Mỗi một máy tính trong mạng có
ít nhất một cạc mạng, người ta gọi cạc mạng này là một host. Mỗi host có một địa chỉ IP duy nhất
trong mạng. Trong mỗi gói tin trên hệ thống TCP/IP luôn có địa chỉ IP của máy gửi và máy nhận.
Tuy nhiên, khi người dùng truy cập một thư mục chia sẻ trong mạng hoặc truy cập một website trên
Internet, họ thường sử dụng địa chỉ dạng tên (tên máy - host name hoặc tên miền – domain name) hơn
là sử dụng địa chỉ IP. Việc sử dụng địa chỉ dạng tên giúp họ dễ nhớ, dễ dùng.
202
Cài đặt và cấu hình Windows Server 2012 R2
203
Cài đặt và cấu hình Windows Server 2012 R2
Tuy nhiên, thực tế hoạt động của DNS sẽ phức tạp hơn, như các nội dung sẽ được trình bày trong các
phần tiếp theo.
DNS client
DNS server
2. Khi nhận được yêu cầu truy vấn, DNS server sẽ kiểm tra các bản ghi của nó xem nó có thể trả
lời hay không. Nếu không (thường là như vậy), DNS server sẽ tạo một truy vấn mới (truy vấn
lặp – iterative query), và gửi truy vấn này tới một trong các name server gốc (root name server).
Name server gốc xem xét tên cần chuyển đổi, tìm trong các bản ghi của nó để xác định tên và
địa chỉ IP của name server mức một (top-level domain) của tên cần chuyển đổi, tạo gói tin và
gửi lại cho DNS server. Xem hình minh họa.
204
Cài đặt và cấu hình Windows Server 2012 R2
2
1
DNS client
DNS server
3. Tới đây DNS server đã có địa chỉ IP của máy name server mức một. DNS server tạo tiếp một
truy vấn mới (truy vấn lặp), gửi truy vấn tới name server mức một. Name server mức một xem
xét truy vấn, xác định tên và địa chỉ IP của máy name server mức hai (second-level domain)
của tên cần chuyển đổi, tạo gói tin và gửi lại cho DNS server. Xem hình minh họa.
2
1
DNS client 3
Name server
DNS server mức một
4. Tới đây DNS server đã có địa chỉ IP của máy name server mức hai. DNS server tạo tiếp một
truy vấn mới (truy vấn lặp), gửi truy vấn tới máy name server mức hai. Name server mức hai
xem xét truy vấn, nếu nó có bản ghi của tên cần chuyển đổi, nó sẽ gửi địa chỉ IP tương ứng với
tên cần chuyển đổi cho DNS server. Xem hình minh họa.
205
Cài đặt và cấu hình Windows Server 2012 R2
2
1
Name server
mức hai
5. DNS server nhận được gói trả lời của name server mức hai, trong đó có địa chỉ IP của tên miền
cần chuyển đổi. DNS server gửi địa chỉ IP cho DNS client. DNS client chuyển địa chỉ IP cho
chương trình ứng dụng. Từ đây, chương trình ứng dụng bắt đầu thực hiện các giao tiếp mạng
với server (ví dụ: web server) bằng địa chỉ IP. Xem hình minh họa.
2
1
5
DNS client 3 Name server
mức một
Name server
mức hai
206
Cài đặt và cấu hình Windows Server 2012 R2
Tùy theo tên cần chuyển đổi, quá trình chuyển đổi có thể đơn giản hoặc phức tạp hơn so với năm bước
ở trên. Ví dụ, nếu DNS server chứa bản ghi của tên cần chuyển đổi, thì DNS server sẽ trả lời luôn cho
DNS client mà không cần truy vấn tới các name server khác. Ngược lại, nếu tên cần chuyển đổi có
mức là ba hoặc nhiều hơn, thì DNS server sẽ cần thực hiện thêm các truy vấn lặp nữa.
Ở đây, chúng ta cũng đã giả định là mọi truy vấn đến các name server (gốc, mức một, mức hai...) đều
thành công. Tuy nhiên, nếu DNS server nhận được bất kì thông báo lỗi nào từ các name server, nó sẽ
chuyển tiếp thông báo lỗi đến cho DNS client, kết quả là người dùng sẽ nhận được thông báo rằng quá
trình chuyển đổi tên bị thất bại.
207
Cài đặt và cấu hình Windows Server 2012 R2
Trong Windows Server 2012 R2, để thay đổi giá trị TTL của một zone, bấm chuột phải vào zone, chọn
Properties, chọn táp Start Of Authority (SOA), thay đổi giá trị của TTL trong mục Minimum (default)
TTL. Xem hình minh họa.
208
Cài đặt và cấu hình Windows Server 2012 R2
- Truy vấn lặp (iterative query): nếu DNS server nhận được một truy vấn lặp, nó sẽ lập tức trả
lời với thông tin tốt nhất mà nó đang có. Loại truy vấn lặp thường được sử dụng giữa các
DNS server với nhau. Việc cấu hình một DNS server gửi truy vấn đệ quy tới một DNS server
khác chỉ xảy ra khi thực hiện cấu hình server chuyển tiếp (forwarder).
Windows Server 2012 R2 cũng hỗ trợ chuyển tiếp có điều kiện (conditional forwarding), chức năng
này cho phép người quản trị chỉ định forwarder dựa trên tên truy vấn. Cụ thể, khi DNS server nhận
được yêu cầu phân giải từ DNS client, nó sẽ kiểm tra tên cần phân giải với danh sách các forwarder
của nó, nếu tên cần phân giải có xuất hiện trong danh sách thì việc chuyển tiếp mới được thực hiện. Sử
209
Cài đặt và cấu hình Windows Server 2012 R2
dụng chức năng này giúp các tổ chức có nhiều miền nội bộ có thể truy vấn trực tiếp các DNS server
nội bộ, chứ không phải truy vấn các DNS server trên Internet.
210
Cài đặt và cấu hình Windows Server 2012 R2
Vì được tổ chức theo cấu trúc phân cấp, nên ba byte đầu tiên của một địa chỉ IP có thể được biểu diễn
giống như một tên miền, byte thứ tư của địa chỉ IP sẽ được lưu trong bản ghi tại miền con mức năm. Ví
dụ, để phân giải địa chỉ IP 192.168.89.34 sang dạng tên, DNS server cần xác định vị trí của name
server chứa tên miền 89.168.192.in-addr.arpa như cách thức thực hiện trong phân giải xuôi, sau đó, tìm
bản ghi có tên 34 trong miền 89.168.192.in-addr.arpa.
211
Cài đặt và cấu hình Windows Server 2012 R2
Tạo zone
Zone là một thực thể, được tạo trong DNS server. Zone đại diện cho một phần không gian tên của
DNS. Người quản trị thường tách không gian tên của DNS thành từng phần, chứa trong các zone. Zone
được lưu trong các server khác nhau, và có thể ủy quyền quản trị cho các thành viên khác.
Zone có thể chứa toàn bộ một miền (domain) cùng với các miền con (subdomain). Zone cũng có thể
chỉ chứa các miền con, với điều kiện là các miền con phải có quan hệ cha con (contiguous) với nhau.
Ví dụ, bạn có thể tạo một zone chứa miền cha và các miền con của nó, tuy nhiên, bạn không thể tạo
zone chỉ chứa hai miền con (mặc dù chúng có cùng miền cha). Xem hình minh họa.
congty.com
dalat.congty.com saigon.congty.com
Zone hợp lệ
congty.com
dalat.congty.com saigon.congty.com
Bạn có thể chia không gian tên của DNS thành nhiều zone, để các zone này trên một DNS server, tuy
nhiên, cách làm này không tối ưu. Khi triển khai, người quản trị thường tạo các zone trên một server,
sau đó ủy quyền quản lý các zone này cho các server khác. DNS server trong Windows Server 2012
R2 có thể hỗ trợ tới 200000 zone.
Mỗi zone có chứa cơ sở dữ liệu của nó, cơ sở dữ liệu này chứa các bản ghi thông tin của các miền nằm
trong zone. DNS server trong Windows Server 2012 R2 hỗ trợ ba loại zone: primary zone, secondary
zone và stub zone.
- Primary zone: chứa cơ sở dữ liệu gốc (master) của zone. Tại đây, người quản trị có thể thực
hiện mọi thay đổi liên quan đến các bản ghi thông tin của zone. Nếu zone không được lưu
trong Active Directory, server sẽ tạo một tập tin chứa cơ sở dữ liệu của zone và lưu trên ổ đĩa
cục bộ. Đây là một tập tin dạng văn bản, nó tương thích với hầu hết các hệ thống DNS server
khác (không phải của Microsoft Windows).
212
Cài đặt và cấu hình Windows Server 2012 R2
- Secondary zone: là bản sao của primary zone trên một server khác. Secondary zone chứa cơ
sở dữ liệu dự phòng của primary zone. Bạn chỉ có thể cập nhật cơ sở dữ liệu trong secondary
zone bằng cách nhân bản (replicate) nội dung của primary zone, quá trình này có tên gọi là
zone transfer (di chuyển zone).
- Stub zone: là bản sao của primary zone, tuy nhiên, stub zone chỉ chứa một số loại bản ghi
quan trọng (NS, SOA, A) của các name server trong zone. Khi nhận được một yêu cầu phân
giải tên, stub zone có thể chuyển tiếp (forward) yêu cầu cho DNS server khác hoặc trả lời sau
khi tham vấn (refer) DNS server khác.
Vì DNS ra đời trước AD, nên hiện nay, hầu hết các cở sở dữ liệu của zone đang tồn tại dưới dạng các
tập tin văn bản (text-based). Đa số DNS server trên Internet đang được triển khai bằng phần mềm
BIND của UNIX.
Tuy nhiên, đối với các DNS server có thể tích hợp được với miền của AD, bạn có thể sử dụng
Windows DNS server để tạo primary zone. Khi đó, cơ sở dữ liệu của zone sẽ được lưu trong cơ sở dữ
liệu của AD. Bạn cũng không phải tạo secondary zone, không phải thực hiện zone transfer, hệ thống
AD sẽ thực hiện các công việc này. Các giải pháp dự phòng để bảo vệ AD cũng đồng thời bảo vệ dữ
liệu của DNS.
3. Bấm chuột phải vào Forward Lookup Zones, chọn New Zone để chạy New Zone Wizard.
213
Cài đặt và cấu hình Windows Server 2012 R2
5. Để nguyên lựa chọn mục Primary Zone và Store The Zone In Active Directory (Available Only If
DNS Server Is A Domain Controller), bấm Next để mở trang The Active Directory Zone
Replication Scope.
6. Để các thiết lập ở trạng thái mặc định, bấm Next để mở trang Zone Name.
7. Nhập tên cho zone trong mục Zone Name, bấm Next để mở trang Dynamic Update.
Để tạo primary zone tích hợp trong AD bằng Windows PowerShell, sử dụng lệnh Add-
DnsServerPrimaryZone. Ví dụ:
Add-DnsServerPrimaryZone –Name “congty.com” – ReplicationScope “Domain” –PassThru
Sau khi tạo primary zone, bạn có thể tạo các bản ghi thông tin của DNS server.
- NS (Name Server): mỗi DNS server trong một zone (dù là primary zone hay secondary zone) sẽ
được đại diện bằng một bản ghi NS. Bản ghi này là bằng chứng để chứng minh tính tin cậy của
một DNS server trong zone.
- A (Address): là một ánh xạ từ địa chỉ dạng tên sang địa chỉ IP, sử dụng cho IPv4. Đây chính là
bản ghi phục vụ cho quá trình phân giải từ địa chỉ dạng tên sang địa chỉ IP của hệ thống DNS
(phân giải xuôi).
- AAAA (Address): chức năng giống với bản ghi A, tuy nhiên, được sử dụng cho IPv6.
214
Cài đặt và cấu hình Windows Server 2012 R2
- PTR (Pointer): là một ánh xạ từ một địa chỉ IP cụ thể (trong miền in-addr.arpa) sang địa chỉ
dạng tên. Đây chính là bản ghi phục vụ cho quá trình phân giải từ địa chỉ IP sang địa chỉ dạng
tên (phân giải ngược).
- CNAME (Canonical Name): canonical name có thể hiểu nôm na là “tên gốc”. CNAME là một
bản ghi cho phép tạo ra một “tên khác” (tiếng anh là Alias) cho một “tên gốc” đã được định
nghĩa trong bản ghi A. Sau khi bản ghi CNAME được tạo, việc sử dụng hai tên (tên gốc và tên
khác) là như nhau. Ví dụ, bạn đã có bản ghi A là “dalat.com – 192.168.1.1”. bạn tạo một
CNAME có nội dung là “www.dalat.com - dalat.com”. Khi đó bạn truy cập tới www.dalat.com
hay dalat.com thì nó đều truy cập tới máy tính có IP là 192.168.1.1.
- MX (Mail Exchanger): chỉ định một máy tính (Mail Exchanger) làm nhiệm vụ xử lý các email gửi
tới địa chỉ email trong miền. Khi nhận được email, Mail Exchanger sẽ chuyển email tới hộp thư
của cá nhân, tới mail gateway hoặc một mail server khác.
4. Bấm chuột phải vào zone mà bạn muốn tạo bản ghi, chọn mục New Host (A or AAAA) để mở
cửa sổ New Host. Xem hình minh họa.
215
Cài đặt và cấu hình Windows Server 2012 R2
5. Nhập địa chỉ dạng tên (host name) vào mục Name, tên dạng đầy đủ sẽ xuất hiện trong mục
FQDN.
6. Nhập địa chỉ IPv4 hoặc IPv6 tương ứng với địa chỉ dạng tên vào mục IP Addresss.
- Create Associated Pointer (PTR) Record: tạo bản ghi thông tin cho quá trình phân giải
ngược trong miền in-addr.arpa.
- Allow Any Authenticated User To Update DNS Records With The Same Owner Name:
cho phép người dùng thay đổi các bản ghi thông tin mà họ có quyền sở hữu (own).
Để tạo một bản ghi PTR cho một host, bạn có thể đánh dấu chọn vào mục Create Associated Pointer
(PTR) Record trong cửa sổ tạo New Host. Tuy nhiên, cách làm này chỉ thực hiện được khi đã có sẵn
zone phân giải ngược (reverse lookup zone).
Để tạo một zone phân giải ngược, bạn bấm chuột phải vào mục Reverse Lookup Zones, chọn New
Zone, các bước sau đó tương tự như khi tạo zone trong mục Forward Lookup Zones. Nếu bạn tạo
reverse lookup zone cho IPv4, tại trang Reverse Lookup Zone Name nhập địa chỉ mạng (network ID)
vào mục Network ID. Xem hình minh họa.
216
Cài đặt và cấu hình Windows Server 2012 R2
Sau khi tạo xong reverse lookup zone, bạn có thể tạo các bản ghi phân giải ngược (PTR) cùng với quá
trình tạo bản ghi A hoặc AAAA, hoặc bạn cũng có thể tạo bằng chức năng New Resource Record.
217
Cài đặt và cấu hình Windows Server 2012 R2
- Hệ thống mạng TCP/IP hiện nay đang sử dụng các DNS server để chuyển đổi địa chỉ dạng tên
sang địa chỉ IP. Quá trình chuyển đổi này được gọi là quá trình phân giải tên.
- Hệ thống DNS gồm ba thành phần: hệ thống tên, các name server và các DNS client (resolver).
- Kiến trúc tổ chức và cấu trúc tên của DNS được thiết kế để đảm bảo mọi máy DNS server đều
có thể tìm được các bản ghi thông tin theo yêu cầu, với số lần truy vấn nhỏ nhất.
- Trong truy vấn đệ quy, DNS server sẽ hoàn toàn chịu trách nhiệm trong việc phân giải tên sang
địa chỉ IP. Trong truy vấn lặp, DNS server sẽ lập tức trả lời máy gửi truy vấn với thông tin tốt
nhất mà nó đang có.
218
Cài đặt và cấu hình Windows Server 2012 R2
- Đối với hệ thống phân giải tên trên Internet, chỉ có các DNS server được chỉ định mới có khả
năng xử lý các truy vấn của DNS client (resolver), đồng thời nó cũng được phép gửi truy vấn
tới các DNS server khác trên Internet.
219
Cài đặt và cấu hình Windows Server 2012 R2
220
Cài đặt và cấu hình Windows Server 2012 R2
221
Cài đặt và cấu hình Windows Server 2012 R2
1. Mở Server Manager, vào trình đơn Manage, chọn Add Roles And Features để chạy Add Roles
And Features Wizard, trang Before You Begin xuất hiện.
2. Bấm Next để mở trang Select Installation Type.
3. Để nguyên lựa chọn trong mục Role-Based Or Feature-Based Installation, bấm Next để mở
trang Select Destination Server.
4. Lựa chọn server mà bạn muốn nâng cấp lên thành domain controller, bấm Next để mở trang
Select Server Roles.
5. Chọn Active Directory Domain Services, xuất hiện cửa sổ Add Features That Are Required For
Active Directory Domain Services.
6. Bấm Add Features để đồng ý cài đặt, bấm Next để mở trang Select Features.
7. Bấm Next để mở trang Active Directory Domain Services.
8. Bấm Next để mở trang Confirm Installation Selections. Bạn có thể đánh dấu chọn vào mục
Restart The Destination Server Automatically If Required: tự động khởi động lại máy sau khi hoàn
thành cài đặt.
9. Bấm Install để hiển thị trang Installation Progress. Khi cài đặt xong xuất hiện liên kết Promote
This Server To A Domain Controller.
10. Tới đây bạn đã hoàn thành việc cài đặt role AD DS. Sau khi role AD DS được cài đặt, bạn có
thể chạy AD DS Installation Wizard để thực hiện các cấu hình khác nhau cho hệ thống.
Tạo forest
Để triển khai AD DS, bước đầu tiên bạn phải tạo forest, sau đó tạo domain trong forest.
Các bước để tạo forest:
1. Sau bước cuối cùng của quá trình cài đặt role AD DS, hệ thống sẽ xuất hiện thông báo có nội
dung là nâng cấp server này lên thành domain controller (Promote This Server To A Domain
Controller). Nếu không thấy thông báo này, bấm vào hình tam giác màu vàng trong cửa sổ
Server Manager. Bấm vào dòng thông báo để chạy AD DS Configuration Wizard. Xuất hiện
trang Deployment Configuration.
2. Chọn mục Add A New Forest trong phần Select The Deployment Operation. Nhập tên
miền bạn muốn tạo vào mục Root Domain Name (ví dụ: dalat.com). Xem hình minh họa.
222
Cài đặt và cấu hình Windows Server 2012 R2
3. Bấm Next để mở trang Domain Controller Options. Xem hình minh họa.
4. Nếu bạn có dự định thêm các domain controller đang chạy các hệ điều hành cũ hơn
vào forest này, bạn xổ danh sách Forest Functional Level và chọn hệ điều hành thích hợp.
5. Nếu bạn có dự định thêm các domain controller chạy các hệ điều hành cũ hơn vào
domain này, bạn xổ danh sách Domain Functional Level và chọn hệ điều hành thích hợp.
6. Nếu trong hệ thống mạng chưa có DNS server, bạn đánh dấu chọn vào mục Domain
Name System (DNS) Server. Nếu trong hệ thống mạng đã có DNS server, bạn cấu hình cho
domain controller sử dụng DNS server cục bộ và bỏ dấu chọn ở mục Domain Name System
(DNS) Server.
7. Nhập mật khẩu để sử dụng trong trường hợp phải khôi phục hệ thống (Directory
Services Restore Mode (DSRM)) vào mục Password và Confirm Password. Bấm Next để mở
trang DNS Options. Trong trang có một cảnh báo liên quan đến DNS.
223
Cài đặt và cấu hình Windows Server 2012 R2
8. Bấm Next để mở trang Additional Options với tên của NetBIOS tương ứng với tên
miền.
9. Bạn có thể đổi tên NetBIOS nếu muốn, hoặc bấm Next để mở trang Paths.
10. Bạn có thể thay đổi vị trí lưu các tập tin của AD DS nếu muốn, hoặc bấm Next để mở trang
Review Options.
11. Bấm Next để mở trang Prerequisites Check. Xem hình minh họa.
12. Hệ thống sẽ thực hiện một số kiểm tra để đảm bảo máy tính có đủ điều kiện để trở thành
một domain controller. Kết quả có thể xuất hiện một số cảnh báo, bạn cần đọc các cảnh báo
để thực hiện thêm một số yêu cầu (nếu có). Bấm nút Install để tạo forest và domain
controller.
Sau khi tạo forest (domain gốc), bạn có thể thêm các domain controller vào domain hoặc tạo các
domain mới trong forest.
224
Cài đặt và cấu hình Windows Server 2012 R2
1. Tại trang Installation Progress, xuất hiện ở bước cuối của quá trình cài role Active
Directory Domain Services, bấm vào liên kết Promote This Server To A Domain Controller để
chạy Active Directory Domain Services Configuration Wizard, xuất hiện trang Deployment
Configuration.
3. Nếu bạn chưa đăng nhập vào forest, sẽ xuất hiện cửa sổ Credentials For Deployment
Operation. Tại đây, bạn phải chứng thực bằng tải khoản có quyền quản trị hệ thống. Sau khi
chứng thực thành công, xuất hiện cửa sổ Select A Domain From The Forest.
4. Lựa chọn tên domain mà bạn muốn thêm domain controller, bấm OK. Tên domain
được chọn sẽ xuất hiện trong mục Domain.
5. Bấm Next để mở trang Domain Controller Options. Xem hình minh họa.
6. Để nguyên lựa chọn trong mục Domain Name System (DNS) Server nếu bạn muốn cài
đặt dịch vụ DNS server trên máy này. Ngược lại, bạn phải cấu hình để máy domain controller
sử dụng DNS server có sẵn trong hệ thống mạng.
225
Cài đặt và cấu hình Windows Server 2012 R2
7. Để nguyên lựa chọn trong mục Global Catalog (GC) nếu bạn muốn máy domain
controller đóng vai trò là một máy global catalog server. Nếu trong site chưa có máy nào đóng
vai trò là GC server thì bạn nên chọn mục này.
8. Nếu bạn muốn tạo một domain controller mà người quản trị không thể thay đổi nội
dung của các đối tượng trong AD DS thì bạn đánh dấu chọn vào mục Read Only Domain
Controller (RODC).
10. Nhập mật khẩu để sử dụng trong trường hợp phải khôi phục hệ thống (Directory Services
Restore Mode (DSRM)) vào mục Password và Confirm Password. Bấm Next để mở trang
Additional Options. Xem hình minh họa.
11. Đánh dấu chọn vào mục Install From Media nếu bạn muốn sử dụng cách cài đặt này.
12. Trong mục Replication From, chọn một domain controller có sẵn trong miền, máy này chứa
dữ liệu để chạy chức năng đồng bộ hóa dữ liệu của AD DS. Bấm Next để mở trang Paths.
13. Bạn có thể thay đổi đường dẫn để lưu các tập tin của AD DS nếu muốn, bấm Next để mở
trang Review Options.
226
Cài đặt và cấu hình Windows Server 2012 R2
15. Sau khi hệ thống kiểm tra xong, bấm Install để cấu hình server trở thành một domain
controller.
Sau khi được tạo ra, domain controller sẽ hoạt động như một domain controller thứ hai trong miền,
việc đồng bộ dữ liệu giữa hai domain controller sẽ được chạy tự động.
227
Cài đặt và cấu hình Windows Server 2012 R2
Trong chế độ server core của Windows Server 2008 và Windows Server 2008 R2, bạn có thể sử dụng
chương trình Dcpromo.exe với tham số /unattend để tự động cài đặt AD DS. Các tham số cần thiết cho
quá trình cài đặt được lưu sẵn trong một tập tin (answer file).
Windows Server 2012 R2 không cho phép chạy dcpromo.exe nếu không có tham số /unattend đi kèm.
Do vậy, nếu người quản trị muốn nâng cấp một máy tính lên domain controller tự động bằng lệnh
dcpromo.exe /unattend thì vẫn có thể thực hiện được, mặc dù hệ thống có xuất hiện cảnh báo “The
dcpromo unattended operation is replaced by the ADDSDeployment module for Windows
PowerShell”.
Phương pháp được nhiều người sử dụng để cài đặt AD DS trên Server Core là dùng Windows
PowerShell. Quá trình cài đặt cũng gồm hai bước như khi thực hiện cài đặt bằng wizard, gồm: cài đặt
role AD DS, sau đó là nâng cấp server lên domain controller.
Để cài đặt role AD DS, bạn chạy chương trình PowerShell, nhập lệnh sau:
Install-WindowsFeature –name AD-Domain-Services –IncludeManagementTools
Lưu ý, như thường lệ, lệnh Install-WindowsFeature không cài đặt công cụ để quản lý role tương ứng,
để có công cụ quản lý, bạn phải thêm tham số -IncludeManagementTools.
Khi đã cài đặt xong role AD DS, bạn sẽ thực hiện nâng cấp server thành domain controller, việc này
phức tạp hơn một chút. ADDSDeployment của Windows PowerShell cung cấp ba lệnh khác nhau liên
quan đến tạo forest (Install-ADDSForest), nâng cấp lên domain controller (Install-
ADDSDomainController) và thêm domain vào forest (Install-ADDSDomain).
Mỗi lệnh có kèm theo rất nhiều tham số, giống như lúc bạn thực hiện bằng Active Directory Domain
Services Configuration Wizard. Dưới đây là một ví dụ đơn giản nhất, để nâng cấp một máy tính thành
domain controller cùng với việc tạo forest có tên là dalat.com.
Install-ADDSForest –DomainName “dalat.com”
PowerShell sẽ yêu cần bạn lần lượt nhập các tham số tương tự như khi thực hiện bằng Active
Directory Domain Services Configuration Wizard. Bạn cũng có thể sử dụng lệnh Get-Help để xem cú
pháp đầy đủ của lệnh Install-ADDSForest. Xem hình minh họa.
Ngoài cách thao tác trực tiếp với giao diện của Windows PowerShell, bạn có cách khác để thực hiện
các cài đặt phức tạp như sau: lấy một máy Windows Server 2012 R2 đang chạy giao diện đồ họa
(GUI), thực hiện cài đặt bằng wizard (ví dụ: Active Directory Domain Services Configuration
228
Cài đặt và cấu hình Windows Server 2012 R2
Wizard), khi tới bước (trang) Review Option, bấm vào View Script để hiển thị nội dung kịch bản chạy
trên Windows PowerShell. Lưu kịch bản này lại để thực hiện trên server khác. Xem hình minh họa.
Windows Server 2012 R2 có khả năng tạo kịch bản này là do thực tế Server Manager đang chạy trên
nền Windows PowerShell. Do vậy, kịch bản sẽ chứa các lệnh và các tham số tương ứng khi bạn chạy
bằng wizard. Bạn cũng có thể sử dụng kịch bản này với lệnh Install-ADDSDomainController để triển
khai thêm các domain controller cho cùng domain.
229
Cài đặt và cấu hình Windows Server 2012 R2
Để tránh các vấn đề có thể xảy ra liên quan đến việc đồng bộ lần đầu, người quản trị có thể sử dụng
thiết bị lưu trữ ngoài để chứa bản sao cơ sở dữ liệu của AD DS. Công cụ dòng lệnh Ntdsutil.exe giúp
lưu cơ sở dữ liệu của AD DS vào thiết bị lưu trữ ngoài. Khi đó, việc tạo domain controller ở xa sẽ bao
gồm luôn quá trình đồng bộ dữ liệu lần đầu bằng thiết bị lưu trữ ngoài.
Để tạo đĩa IFM, bạn phải chạy chương trình Ntdsutil.exe trên domain controller đang chạy hệ điều
hành giống với hệ điều hành trên server sẽ được nâng cấp. Quá trình thực hiện sẽ yêu cầu chạy các
lệnh sau:
- Ntdsutil: để chạy chương trình Ntdsutil.exe
- Activate instance ntds: kết nối tới AD DS của domain controller.
- Ifm: làm việc ở chế độ IFM.
- Create Full|RODC <path name>: lưu cơ sở dữ liệu của AD DS hoặc AD DS chỉ đọc (RODC) tới
một thư mục cụ thể trên đĩa.
Khi chạy xong các lệnh trên, chương trình Ntdsutil.exe sẽ tạo bản sao cơ sở dữ liệu của AD DS và
Windows Registry, tất cả được lưu trong một thư mục. Xem hình minh họa.
Sau khi đã tạo đĩa IFM, bạn có thể chép nó sang các phương tiện lưu trữ bất kì để sử dụng khi thực
hiện cài đặt một domain controller ở xa. Để sử dụng đĩa IFM, bạn chạy Active Directory Domain
Services Configuration Wizard, khi tới bước có mục Install From Media thì đánh dấu chọn vào mục
này và chỉ đường dẫn tới nơi chứa đĩa IFM.
Nâng cấp AD DS
Việc chuyển một hạ tầng AD DS đang chạy trên các hệ điều hành phiên bản cũ lên Windows Server
2012 R2 có thể thực hiện dễ hơn so với các phiên bản trước đây.
Có hai cách để chuyển hạ tầng AD DS lên Windows Server 2012 R2. Cách một là nâng cấp chức năng
của domain controller lên mức Windows Server 2012 R2. Cách hai là thêm domain controller chạy
Windows Server 2012 R2 vào domain đó.
230
Cài đặt và cấu hình Windows Server 2012 R2
Việc chuyển hạ tầng AD DS lên Windows Server 2012 R2 chỉ thực hiện được khi AD DS đang chạy
trên Windows Server 2008 hoặc Windows Server 2008 R2. Các phiên bản cũ hơn không thể thực hiện
nâng cấp được.
Trước đây, nếu bạn muốn thêm domain controller chạy hệ điều hành mới hơn vào một domain chạy hệ
điều hành cũ, bạn phải chạy chương trình Adprep.exe để nâng cấp domain và forest. Tùy thuộc vào
công việc bạn đang thực hiện cài đặt, chương trình sẽ yêu cầu bạn phải chứng thực trên các domain
controller khác nhau, bằng các loại tài khoản quản trị khác nhau. Ngoài ra, bạn cũng phải chạy
Adprep.exe một vài lần với tham số /domainprep cho mỗi domain và tham số /forestprep cho mỗi
forest.
Đối với Windows Server 2012 R2, chương trình Adprep.exe đã được tích hợp sẵn trong Active
Directory Domain Services Configuration Wizard của Server Manager. Do vậy, khi bạn cài đặt domain
controller mới trên Windows Server 2012 R2, bạn chỉ việc cung cấp tài khoản quản trị hợp lệ, sau đó,
mọi công việc còn lại sẽ được thực hiện bởi wizard.
2. Bỏ dấu chọn trong mục Active Directory Domain Services. Bấm Next để mở trang Remove
Features That Require Active Directory Domain Services? Bấm nút Remove Features để mở
trang Validation Results. Xem hình minh họa.
231
Cài đặt và cấu hình Windows Server 2012 R2
3. Bấm vào dòng chữ Demote This Domain Controller để chạy Active Directory Domain Services
Configuration Wizard, xuất hiện trang Credentials.
4. Đánh dấu chọn vào mục Force The Removal Of This Domain Controller, bấm Next để mở trang
New Administrator Password.
5. Nhập mật khẩu cho tài khoản Administrator cục bộ, đây là mật khẩu để đăng nhập vào server,
sau khi nó không còn là domain controller. Bấm Next để mở trang Review Options.
6. Bấm nút Demote. Hệ thống sẽ thực hiện gỡ bỏ domain controller và khởi động lại hệ thống.
7. Đăng nhập lại vào server với tài khoản Administrator cục bộ và mật khẩu đã đặt ở bước trước.
8. Chạy lại Remove Roles And Features Wizard, lặp lại việc gỡ bỏ role Active Directory Domain
Services. Thực hiện theo các chỉ dẫn cho tới khi hoàn thành.
232
Cài đặt và cấu hình Windows Server 2012 R2
server. Khi đó, việc tìm kiếm sẽ được chia tải giữa các server và việc đồng bộ cũng không gây ảnh
hưởng nhiều tới hệ thống mạng.
Tuy nhiên, nếu hệ thống mạng gồm nhiều domain, các domain controller được đặt ở nhiều site khác
nhau, các site được kết nối với nhau bằng đường WAN, thì việc cấu hình global catalog cần phải xem
xét cẩn thận. Việc người sử dụng phải thực hiện tìm kiếm các đối tượng của AD DS giữa các site với
đường WAN chậm chạp là điều không thể chấp nhận được. Để giải quyết vấn đề này, bạn sẽ cấu hình
mỗi site có một global catalog server. Tuy bạn phải trả giá cho việc đồng bộ dữ liệu giữa các global
catalog server, nhưng đổi lại quá trình sử dụng của người dùng sẽ rất hiệu quả.
Bạn có thể thiết lập một domain controller làm global catalog server ngay khi thực hiện nâng cấp lên
domain controller. Tuy nhiên, nếu không, bạn vẫn có thể thiết lập một domain controller làm global
catalog server theo các bước sau:
1. Mở Server Manager, mở trình đơn Tools, chọn Active Directory Sites And Services để mở cửa
sổ Active Directory Sites And Services.
2. Ở khung bên trái, xổ nút Sites, chọn site có chứa domain controller mà bạn muốn thiết lập nó
trở thành global catalog server, chọn nút Server, chọn domain controller.
3. Bấm chuột phải vào nút NTDS Settings, chọn Properties để mở cửa sổ NTDS Settings
Properties.
Khắc phục lỗi không đăng kí được bản ghi DNS SRV
DNS là thành phần không thể thiếu trong hoạt động của Active Directory Domain Services. Để giúp
AD DS hoạt động, DNS sẽ tạo ra một bản ghi SRV cho domain controller vừa tạo, bản ghi này giúp
các client kết nối được tới domain controller và các dịch vụ AD DS khác.
Khi bạn tạo domain controller mới, một trong những việc quan trọng là đăng kí domain controller này
với hệ thống DNS. Vì quá trình này diễn ra tự động, nên AD DS forest phải truy cập được vào DNS
server, và DNS server phải cho phép cập nhật động (Dynamic Updates).
Nếu việc tạo ra bản ghi SRV bị thất bại, các máy tính trong mạng sẽ không thể tìm thấy domain
controller, điều này sẽ dẫn tới hàng loạt các trục trặc khác trong hệ thống mạng. Ví dụ: các máy client
sẽ không thể tìm thấy máy domain controller để gia nhập vào domain, các server thành viên trong
mạng không thể truy cập tới domain controller, và các domain controller còn lại không thể thực hiện
đồng bộ với nó.
Nguyên nhân của tình trạng không tạo được bản ghi SRV là do mạng không thông hoặc do cấu hình
phía DNS client bị lỗi.
Cách khắc phục là thực hiện ping tới DNS server để kiểm tra thông mạng, sau đó kiểm tra xem phần
cấu hình địa chỉ DNS server trong cạc mạng đã đúng chưa.
233
Cài đặt và cấu hình Windows Server 2012 R2
Để kiểm tra xem domain controller đã đăng kí thành công trên hệ thống DNS chưa, mở cửa sổ dòng
lệnh với quyền quản trị, nhập lệnh sau:
dcdiag /test:registerindns /dnsdomain:<domain name> /v
Xem hình minh họa.
A. OU
234
Cài đặt và cấu hình Windows Server 2012 R2
B. Site
C. Tree
D. Forest
B. Đối tượng nút lá, không thể chứa các đối tượng khác (Leaf)
C. Domain
3. Trong các phát biểu liên quan đến thuộc tính (attribute) của một đối tượng (object), phát biểu
nào sau đây không đúng?
A. Người quản trị phải cung cấp thông tin bằng tay cho một số thuộc tính.
B. Mỗi đối tượng thuộc kiểu thùng chứa (container) có một thuộc tính là danh sách các đối
tượng mà nó chứa.
C. Các đối tượng thuộc kiểu leaf không chứa thuộc tính.
D. AD DS sẽ tự động tạo GUID (globally unique identifier) cho mỗi đối tượng.
4. Khi thiết kế hạ tầng AD DS, để hạn chế việc tạo thêm domain, lý do nào sau đây không hợp lý?
A. Việc tạo thêm domain sẽ làm tăng thêm các công việc cài đặt.
B. Mỗi domain được thêm vào sẽ làm tăng chi phí phần cứng.
C. Một vài ứng dụng sẽ gặp trục trặc khi làm việc trong forest có nhiều domain.
D. Bạn phải trả tiền bản quyền cho Microsoft với mỗi domain được tạo ra.
5. Trong môi trường AD DS, dịch vụ nào sau đây được client sử dụng để tìm kiếm các đối tượng
trên domain khác?
A. DNS
B. Global Catalog
C. DHCP
235
Cài đặt và cấu hình Windows Server 2012 R2
D. Site Link
236
Cài đặt và cấu hình Windows Server 2012 R2
- Tài khoản người dùng cục bộ (local user): các tài khoản này chỉ được phép truy cập tài nguyên
trên máy cục bộ, thông tin về tài khoản được lưu trong cơ sở dữ liệu cục bộ, cụ thể là trong
Security Account Manager (SAM). Thông tin về tài khoản cục bộ không được đồng bộ tới các
máy tính khác, do vậy, nó không được nhận ra ở các máy tính khác trong domain.
- Tài khoản người dùng mức miền (domain user): các tài khoản này được phép truy cập tài
nguyên trong hệ thống AD DS. Thông tin về tài khoản được lưu trong cơ sở dữ liệu của AD DS
và được đồng bộ tới tất cả các domain controller trong cùng domain. Ngoài ra, một số thông
tin của tài khoản cũng được lưu trữ tại global catalog và được đồng bộ với các global catalog
server trong forest.
- Windows PowerShell: tạo các đối tượng dựa trên kịch bản.
- CSVDE.exe: (Comma-Separated Value Directory Exchange), cho phép tạo các đối tượng từ các
thông tin chứa trong tập tin dạng csv (comma-separated value).
- LDIFDE.exe: (LDAP Data Interchange Format Directory Exchange), hoạt động giống CSVDE
nhưng có nhiều chức năng hơn, có thể sử dụng LDIFDE để thêm, xóa hoặc thay đổi các đối
tượng, có thể thay đổi thông tin của schema.
Phần tiếp theo sẽ trình bày một số tình huống cụ thể trong việc tạo tài khoản người dùng.
Tạo một tài khoản người dùng bằng giao diện cửa sổ
Active Directory Administrative Center (ADAC) được giới thiệu lần đầu trong Windows Server 2008
R2, nó tiếp tục được cải tiến trong Windows Server 2012 R2. Để tạo một tài khoản người dùng bằng
ADAC, bạn thực hiện theo các bước sau:
1. Mở Server Manager, chọn trình đơn Tools, chọn mục Active Directory Administrative Center
để chạy chương trình.
2. Ở khung bên trái, chọn vị trí bạn muốn tạo tài khoản người dùng (domain, container). Ví dụ:
dalat\Domain Controllers.
237
Cài đặt và cấu hình Windows Server 2012 R2
3. Tại vùng Task, chọn New\User để mở cửa sổ Create User. Xem hình minh họa.
4. Nhập tên đầy đủ của người dùng vào mục Full Name, nhập tên đăng nhập vào mục
SamAccountName Logon.
5. Đặt mật khẩu cho tài khoản người dùng trong mục Password và Confirm password.
6. Nhập các thông tin khác cho tài khoản người dùng nếu bạn muốn.
7. Bấm OK, tài khoản người dùng sẽ được tạo trong thùng chứa (container).
Ngoài ra, bạn có thể tạo tài khoản người dùng bằng Active Directory Users And Computers. Mở
Server Manager, chọn trình đơn Tools, chọn mục Active Directory Users And Computers, bấm chuột
phải vào nơi cần tạo tài khoản ở khung bên trái, chọn New\User, điền các thông tin tương tự như cách
trên. Xem hình minh họa.
238
Cài đặt và cấu hình Windows Server 2012 R2
Dsadd.exe là công cụ dòng lệnh, được sử dụng để tạo tài khoản người dùng. Cú pháp của dsadd được
minh họa trong hình sau.
Để tạo tài khoản người dùng bằng dsadd.exe bạn phải cung cấp các thông tin sau:
- DN (distinguished name): thông tin nhận diện người dùng, DN là duy nhất cho mỗi người
dùng. DN gồm: tên đầy đủ (cn: common name); ou (Organization Unit) và dc (Domain
Controller) chứa tài khoản sẽ tạo. Ví dụ, để tạo tài khoản cho Nguyen Van A trong OU
ChiNhanh1, thuộc domain dalat.com, DN sẽ có dạng: cn=Nguyen Van A, ou=ChiNhanh1,
dc=dalat, dc=com.
- Login ID hay SAMid: tên đăng nhập của tài khoản, tên này là duy nhất trong toàn domain. Ví
dụ: anv@dalat.com, thì tên đăng nhập chính là avn, thuộc domain dalat.com.
Lệnh để tạo một tài khoản người dùng ở dạng đơn giản nhất là:
Dsadd user <DN> -samid <SAMid>
Ví dụ:
Dsadd user cn=“Nguyen Van A, ou=ChiNhanh1, dc=dalat, dc=com” –samid anv
Nếu muốn, bạn cũng có thể thêm các tham số khác trong quá trình tạo tài khoản.
239
Cài đặt và cấu hình Windows Server 2012 R2
Ví dụ để tạo tài khoản người dùng cho Nguyen Van C, trong OU ChiNhanh2, bạn nhập lệnh New-
ADUser với các tham số sau:
New-ADUser –Name “Nguyen Van C” –SamAccountName “cnv” –path ‘OU=ChiNhanh2, dc=dalat,
dc=com’
Ở lệnh trên, Name: tên đầy đủ; SamAccountName: tên đăng nhập, path: nơi tạo tài khoản người dùng.
2. Tạo tài khoản người dùng đặt tên là UserTemplate, bỏ dấu chọn ở mục User Must Change
Password At Next Logon. Đánh dấu chọn vào mục Account Is Disabled.
3. Bấm chuột phải vào UserTemplate vừa tạo, chọn Properties, điền các thông tin mà mọi tài
khoản người dùng được tạo sau này đều phải có.
Sau khi đã tạo tài khoản mẫu, nếu có nhu cầu tạo tài khoản mới, bạn chỉ việc bấm chuột phải vào
UserTemplate, chọn Copy để mở cửa sổ Copy Object-User. Xem hình minh họa.
240
Cài đặt và cấu hình Windows Server 2012 R2
Nhập các thông tin cho tài khoản mới, bấm Next, bỏ dấu chọn tại mục Account Is Disabled, bấm OK.
Hệ thống sẽ tạo ra tài khoản mới, với các thông tin đã được cấu hình sẵn cho UserTemplate trước đó.
241
Cài đặt và cấu hình Windows Server 2012 R2
2. Nhập thông tin của người dùng tương ứng với các tiêu đề trên. (Lưu ý, trong Excel, nhập
'cn=Nguyen Van A,ou=ChiNhanh2,dc=dalat,dc=com thì khi xuất ra CSV sẽ được là “cn=Nguyen
Van A,ou=ChiNhanh2,dc=dalat,dc=com”). Xem hình minh họa.
3. Lưu tập tin vào ổ đĩa c:\, dưới dạng .csv. Ví dụ user.csv.
4. Mở chương trình dòng lệnh (vào Run, gõ cmd), nhập vào lệnh sau:
csvde.exe –i –f c:\user.csv
Trong đó, i là viết tắt của import (chuyển nội dung từ tập tin csv vào AD DS schema), f là viết
tắt của file (tập tin csv).
Sử dụng LDIFDE.EXE
LDIFDE.exe là chương trình có chức năng tương tự như CSVDE.exe, ngoài ra LDIFDE còn cho phép
thay đổi nội dung các bản ghi của AD DS. Ví dụ, để tạo 200 người dùng mới, bạn có thể sử dụng
CSVDE.exe hoặc LDIFDE.exe. Tuy nhiên, để thay đổi thông tin hoặc xóa các người dùng thì bạn phải
sử dụng LDIFDE.exe.
Để tạo tập tin dữ liệu đầu vào cho LDIFDE, bạn có thể sử dụng một trình soạn thảo văn bản bất kì,
miễn là tuân theo định dạng chuẩn của LDIF, lưu tập tin với đuôi là .ldf, LDIF là viết tắt của LDAP
Data Interchange Format. Dữ liệu để tạo một tài khoản người dùng có dạng như sau.
dn: cn=Nguyen Van A, ou=ChiNhanh2,dc=dalat,dc=com //tài liệu gốc ghi là dn: “cn=Nguyen Van A,
ou=ChiNhanh2,dc=dalat,dc=com” chạy sẽ bị lỗi
changetype: add
242
Cài đặt và cấu hình Windows Server 2012 R2
ObjectClass: user
SAMAccountName: anv
UserPrincipalName: anv@dalat.com
telephoneNumber: 123456789
LDIFDE hỗ trợ ba chức năng:
- Add: tạo đối tượng.
243
Cài đặt và cấu hình Windows Server 2012 R2
- Tài khoản máy tính sẽ bị tác động bởi các chính sách thiết lập cho đối tượng chứa nó, như
domain, site, OU.
- Tài khoản máy tính có thể là thành viên của nhóm và thừa hưởng các quyền của nhóm.
Khi người dùng đăng nhập vào hệ thống AD, máy client và domain controller sẽ thiết lập kết nối để
thực hiện quá trình chứng thực người dùng.
Tuy nhiên, trước khi quá trình chứng thực người dùng diễn ra, máy client và domain controller sẽ phải
tự thực hiện chứng thực lẫn nhau bằng tài khoản máy tính. Việc chứng thực được thực hiện bởi dịch vụ
NetLogon trên mỗi máy. Sau khi quá trình chứng thực hoàn thành, hai hệ thống sẽ tạo một kênh truyền
đảm bảo an toàn, lúc này, hệ thống đã sẵn sàng cho quá trình chứng thực người dùng.
Quá trình chứng thực giữa client và domain controller cũng diễn ra tương tự như quá trình chứng thực
người dùng, nghĩa là nó cũng sử dụng tên tài khoản và mật khẩu. Chỉ khác là, mật khẩu của tài khoản
244
Cài đặt và cấu hình Windows Server 2012 R2
máy tính được sinh tự động và không công khai. Ngay cả tài khoản thuộc nhóm Administrators cũng
không được phép can thiệp vào mật khẩu của tài khoản máy tính.
Để thêm một tài khoản máy tính vào hệ thống AD DS, cần thực hiện hai việc sau:
- Tạo tài khoản máy tính: tạo mới một tài khoản máy tính trong AD DS, tên tài khoản chính là
tên của máy tính (hostname).
- Kết nối (join) máy tính vào domain, gồm các quá trình: thiết lập mối tin cậy giữa client và
domain controller, tìm (hoặc tạo - nếu tài khoản chưa được tạo) tài khoản máy tính có tên
tương ứng với tên của client đang thực hiện kết nối, thay đổi SID cho khớp với SID của client,
thay đổi nhóm cho tài khoản máy tính.
Có nhiều cách để thực hiện hai việc trên, bằng nhiều công cụ khác nhau. Nói chung, khi bạn trang bị
thêm một máy tính mới vào hệ thống mạng thì bạn phải tạo một tài khoản cho nó. Khi một nhân viên
nghỉ việc, và một nhân viên mới vào sử dụng máy tính cũ, thì bạn không phải tạo tài khoản máy tính.
Tuy nhiên, bất cứ khi nào bạn cài lại hệ điều hành (sẽ làm thay đổi SID) thì phải thực hiện tạo tài
khoản mới cho nó.
Lưu ý: quá trình tạo tài khoản luôn phải được thực hiện trước quá trình kết nối vào domain. Bạn có thể
thực hiện hai công việc tách rời nhau, nghĩa là tạo tài khoản trước, kết nối vào domain sau. Hoặc bạn
cũng có thể thực hiện luôn quá trình kết nối một máy tính vào domain, trong quá trình thực hiện kết
nối, hệ thống sẽ yêu cầu tạo tài khoản máy tính trước khi thực hiện kết nối.
Tạo tài khoản máy tính bằng Active Directory Users And Computers
Mặc định, các nhóm Administrators, Domain Admins, và Enterprise Admin được phép tạo tài khoản
máy tính trong toàn domain, nhóm Account Operators được phép tạo, xóa tài khoản máy tính trong
thùng chứa (container) Computers của AD DS và trong các OU do bạn tạo ra. Các tài khoản khác, nếu
được người quản trị ủy quyền cũng có quyền tạo tài khoản máy tính.
Việc tạo tài khoản máy tính cũng tương tự như tạo tài khoản người dùng, bạn chọn vị trí sẽ tạo tài
khoản máy tính, bấm chuột phải, chọn New\Computer để mở cửa sổ New Object – Computer. Xem
hình minh họa.
245
Cài đặt và cấu hình Windows Server 2012 R2
Sau khi tạo xong tài khoản máy tính, bạn có thể bấm chuột phải vào tài khoản vừa tạo, chọn Properties
để mở cửa sổ Properties, tại bạn có thể xem và chỉnh sửa một số thuộc tính khác của tài khoản máy
tính. Trong đó, quan trọng nhất là mục Computer name, đây là tên của tài khoản máy tính, tên này có
thể dài tới 64 kí tự, và phải trùng với tên của máy tính sẽ kết nối tới domain.
Tạo tài khoản máy tính bằng Active Directory Administrative Center
Để tạo tài khoản máy tính, mở Server Manager, vào trình đơn Tools, chọn Active Directory
Administrative Center, chọn vị trí cần tạo tài khoản máy tính, tại khung Tasks, chọn New, chọn
Computer để mở cửa sổ Create Computer, nhập các thông tin cần thiết, bấm OK để hoàn thành.
246
Cài đặt và cấu hình Windows Server 2012 R2
247
Cài đặt và cấu hình Windows Server 2012 R2
Đặt lại tên cho máy tính trong mục Computer Name. Lưu ý, nếu đã tạo tài khoản máy tính trên server,
thì tên tài khoản máy tính và tên máy tính phải trùng nhau. Tên máy tính là duy nhất trong domain.
Nhập tên domain trong mục Member of\Domain. Bấm OK, hệ thống sẽ yêu cầu chứng thực bằng tài
khoản Domain, đây là tài khoản được phép kết nối một máy tính vào domain.
Sau khi chứng thực thành công, domain controller sẽ tìm kiếm trong cơ sở dữ liệu của AD DS xem có
tài khoản máy tính nào đã được tạo, mà có tên trùng với tên máy tính đang muốn kết nối hay không?
Nếu có, domain controller sẽ thực hiện cập nhật lại một số thông tin của tài khoản máy tính cho phù
hợp. Nếu không có, domain controller sẽ tạo một tài khoản máy tính mới có tên trùng với tên của máy
tính đang muốn kết nối. Mặc định, vị trí tạo tài khoản máy tính là mục Computers của AD DS.
Trong trường hợp domain controller tự tạo một tài khoản máy tính, hệ thống sẽ sử dụng quyền của tài
khoản đã được chứng thực để tạo. Do vậy, tài khoản chứng thực cũng phải có quyền tạo tài khoản máy
tính trong mục (thùng chứa) Computers, ví dụ các thành viên của nhóm Administrators.
Tuy nhiên, các tài khoản domain khác vẫn có thể kết nối máy tính vào domain nếu nó được thiết lập
trong Default Domain Controllers Policy. Để thực hiện, bấm chuột phải vào Default Domain
Controllers Policy, chọn Edit, duyệt theo đường dẫn: Computer Configuration\Windows
Settings\Security Settings\Local Policies\User Rights Assignment\ kích đôi vào mục Add workstations
to domain để mở cửa sổ Add workstations to domain Properties, chọn người dùng hoặc nhóm để thiết
lập chính sách này. Xem hình minh họa.
248
Cài đặt và cấu hình Windows Server 2012 R2
Mỗi tài khoản người dùng khi được nhập vào cửa sổ Add workstations to domain Properties sẽ được
kết nối 10 máy tính vào domain, cũng có nghĩa là được tạo 10 tài khoản máy tính.
249
Cài đặt và cấu hình Windows Server 2012 R2
- Tạo tài khoản người dùng là công việc thường xuyên của người quản trị. Windows Server 2012
R2 cung cấp khá nhiều công cụ cho phép thực hiện việc này.
- Active Directory Administrative Center (ADAC) được giới thiệu lần đầu trong Windows Server
2008 R2, nó tiếp tục được cải tiến trong Windows Server 2012 R2. Bạn có thể sử dụng công cụ
này để tạo và quản lý tài khoản người dùng.
- Nếu công ty bạn có sẵn danh sách nhân viên cùng với các thông tin đi kèm trong một ứng
dụng nào đó. Bạn có thể kết xuất các thông tin này sang tập tin .CSV. Sau đó dùng một số công
cụ để tự động tạo tài khoản hoặc chỉnh sửa thông tin người dùng trên AD DS bằng các thông
tin có trong tập tin .CSV.
- LDIFDE là công cụ để tạo tài khoản người dùng tự động, giống như CSVDE.exe, ngoài ra, nó
còn cho phép bạn chỉnh sửa các thông tin của tài khoản người dùng trong AD DS.
- Vì AD DS forest quản lý tập trung tất cả các đối tượng trong danh bạ, nên nó phải có cách thức
quản lý các máy tính hiện đang được kết nối vào hệ thống. AD DS forest quản lý các máy tính
bằng cách tạo cho mỗi máy tính một tài khoản trong cơ sở dữ liệu của AD DS.
- Việc kết nối một máy tính vào domain phải được thực hiện trên chính máy đó, với tài khoản
đăng nhập thuộc nhóm Administrators cục bộ.
- Lệnh Djoin.exe cho phép kết nối một máy tính vào domain mà không cần có kết nối mạng giữa
máy tính và domain controller.
250
Cài đặt và cấu hình Windows Server 2012 R2
A. DCPROMO
B. LDIFDE
C. CSVDE
D. NSLOOKUP
2. Khi sử dụng CSVDE, hàng dữ liệu đầu tiên trong tập tin .CSV được gọi là gì?
A. Header row
B. Header record
C. Name row
D. Name record
3. Tiện ích nào sau đây được sử dụng để kết nối gián tiếp (offline) máy tính tới domain?
A. net join
B. join
C. djoin
D. dconnect
4. Trong Windows Server 2012 R2, loại tài khoản nào sau đây không cho phép chỉnh sửa thông
tin tài khoản?
A. Local accounts
B. Domain accounts
C. Network accounts
D. Built-in accounts
5. Trong Windows Server 2012 R2, có hai tài khoản người dùng tạo sẵn (built-in) nào?
A. Network
251
Cài đặt và cấu hình Windows Server 2012 R2
B. Interactive
C. Administrator
D. Guest
Tạo OU
OU là đối tượng đơn giản nhất trong AD DS. Để tạo OU, bạn chỉ cần cung cấp tên và vị trí của nó
trong AD DS.
Để tạo OU bằng Active Directory Administrative Center, thực hiện các bước sau:
1. Mở Server Manager, chọn trình đơn Tools, chọn Active Directory Administrative Center để
mở cửa sổ Active Directory Administrative Center.
2. Ở khung bên trái, bấm chuột phải vào đối tượng bạn muốn tạo OU trong nó, chọn New, chọn
Organization Unit để mở cửa sổ Create Organization Unit. Xem hình minh họa.
252
Cài đặt và cấu hình Windows Server 2012 R2
Cách tạo OU trong Active Directory Users And Computers cũng tương tự.
Khi đã tạo ra OU, bạn có thể bấm đúp chuột vào nó để thay đổi các thuộc tính, bạn cũng có thể di
chuyển nó tới vị trí mới trong AD DS.
253
Cài đặt và cấu hình Windows Server 2012 R2
Quyền quản trị là danh sách các công việc liên quan đến quản trị hệ thống AD DS, được sử dụng để
cấp cho người dùng, nhóm người dùng. Quyền quản trị có hình thức giống với quyền NTFS, quyền
trên máy in.
Sử dụng Delegation of Control để ủy quyền quản trị. Sau đây là các bước để ủy quyền quản trị trên
OU:
1. Mở Server Manager, chọn trình đơn Tools, chọn Active Directory Users And Computers, bấm
chuột phải vào OU sẽ thực hiện ủy quyền, chọn Delegate Control để mở cửa sổ Delegation of
Control.
4. Muốn ủy quyền cho ai, nhóm nào, thì nhập vào cửa sổ này. Bấm OK, người được ủy quyền sẽ
nằm trong danh sách Selected Users And Groups.
5. Bấm Next để mở trang Tasks To Delegate, trang này có hai lựa chọn sau:
- Delegate The Following Common Tasks: cho phép bạn chọn các công việc ủy quyền có
sẵn.
- Create A Custom Task To Delegate: cho phép bạn tự tạo danh sách các công việc ủy
quyền.
6. Chọn mục Create A Custom Task To Delegate, bấm Next để mở trang Active Directory Object
Type. Trang này có hai lựa chọn:
- This Folder, Existing Objects In This Folder, And Creation Of New Objects In This Folder:
ủy quyền trên OU này và tất cả các đối tượng con của nó đang có và sẽ có trong tương
lai.
- Only The Following Objects In The Folder: cho phép chọn các đối tượng cụ thể để ủy
quyền. Trong mục này có thêm hai lựa chọn bổ sung. Create Selected Objects In This
Folder: cho phép tạo đối tượng. Delete Selected Objects In This Folder: cho phép xóa
đối tượng.
7. Chọn mục This Folder, Existing Objects In This Folder, And Creation Of New Objects In This
Folder, bấm Next để mở trang Permissions.
8. Lựa chọn các quyền để cấp cho đối tượng được ủy quyền. Có thể kết hợp các quyền từ ba kiểu
sau:
- General: các quyền chung, đây là các quyền có trong táp Security của mỗi đối tượng.
254
Cài đặt và cấu hình Windows Server 2012 R2
- Property-specific: các quyền theo từng thuộc tính của đối tượng.
Các bước ở trên đã thực hiện cấp quyền quản trị cho người dùng trên OU. Tuy nhiên, để thay đổi hoặc
gỡ bỏ các quyền đã cấp, bạn phải vào táp Security của OU. Mặc định táp Security không được hiển thị
trong Properties của OU. Để hiển thị, bạn vào trình đơn View, chọn Advanced Features.
Group
Group (nhóm người dùng) là tập hợp của các tài khoản người dùng, tài khoản máy. Group được sử
dụng để cấp quyền sử dụng tài nguyên cho nhiều người dùng.
Trong Windows Server 2012 R2, khi người dùng đăng nhập thành công vào hệ thống mạng, họ sẽ
được cấp một thẻ truy cập (access token). Thẻ truy cập này có chứa SID (định danh bảo mật - security
identifier) của người dùng và SID của các group mà người dùng đang là thành viên. Dựa vào thẻ truy
cập, domain controller sẽ xác định được quyền cụ thể của người dùng khi họ truy cập các tài nguyên
mạng.
Giả sử bạn cần cấp quyền sử dụng máy in cho 25 người trong mạng. Có hai cách để làm. Một là cấp
quyền cho từng người một. Hai là tạo ra một group chứa 25 người dùng, sau đó cấp quyền cho group.
Với cách làm thứ hai, bạn có thể thực hiện thêm các việc sau:
- Khi có thêm người dùng cần truy cập máy in, bạn chỉ cần thêm người dùng đó vào group. Khi
là thành viên của group, người dùng sẽ có toàn bộ các quyền mà group đó đang có. Ngược lại,
khi không muốn cho người dùng sử dụng máy in, bạn chỉ việc gỡ bỏ người dùng ra khỏi group.
- Khi cần thực hiện thay đổi liên quan đến việc sử dụng máy in, bạn chỉ việc thực hiện thay đổi
một lần cho cả group thay vì phải thực hiện cho từng người dùng.
Thẻ truy cập chỉ được cấp khi người dùng đăng nhập vào hệ thống mạng lần đầu. Vì vậy, khi đưa
người dùng vào group thì bạn phải thực hiện đăng xuất, rồi đăng nhập lại, khi đó, những thay đổi liên
quan đến người dùng mới được cập nhật.
Một người dùng có thể là thành viên của nhiều group. Group có thể chứa tài khoản máy tính và các
group khác. Group chứa group được gọi là group lồng nhau hay lồng group (group nesting). Ví dụ,
công ty bạn có hai group là Tiếp thị và Thiết kế. Group Thiết kế đang có quyền sử dụng máy in chất
lượng cao, nếu muốn cho group Tiếp thị cũng có quyền sử dụng máy in chất lượng cao thì bạn chỉ cần
đưa group Tiếp thị vào làm thành viên của group Thiết kế.
255
Cài đặt và cấu hình Windows Server 2012 R2
- Security group: sử dụng để cấp quyền sử dụng tài nguyên mạng cho người dùng.
Bạn có thể chuyển đổi qua lại giữa hai loại group này bất cứ khi nào bạn muốn.
Bạn sử dụng group kiểu domain local để cấp quyền sử dụng các tài nguyên nằm trên chính domain đó.
Ví dụ, tất cả người dùng có nhu cầu sử dụng Internet sẽ là thành viên của một group kiểu domain local.
Group kiểu global
Các đối tượng sau có thể là thành viên của group kiểu global:
- Tài khoản người dùng.
256
Cài đặt và cấu hình Windows Server 2012 R2
Group kiểu global thường được lồng vào group kiểu domain local để cấp quyền truy cập tài nguyên
trong mọi domain của forest. Thông tin của group kiểu global được nhân bản tới mọi domain controller
trong cùng domain.
Bạn sử dụng group kiểu global để nhóm những người dùng có nhu cầu truy cập tài nguyên giống nhau.
Ví dụ, những người cùng một phòng ban có thể cùng là thành viên của một group kiểu global.
Group kiểu universal
Các đối tượng sau có thể là thành viên của group kiểu universal:
- Tài khoản người dùng.
Cũng giống như group kiểu global, bạn có thể lồng group kiểu universal vào các group kiểu domain
local để cấp quyền truy cập tài nguyên trên mọi domain trong forest.
Thông tin của group kiểu universal được lưu trên global catalog, và được nhân bản tới mọi global
catalog trong forest. Do vậy, nội dung của group kiểu global không nên thay đổi thường xuyên, bởi nó
sẽ ảnh hưởng tới băng thông mạng, đặc biệt nếu các domain được kết nối với nhau bằng đường WAN.
Bạn sử dụng group kiểu universal để nhóm những người dùng và group nằm trên các domain khác
nhau trong forest.
2. Tạo group kiểu universal trên domain cha. Lồng các group kiểu global đã tạo ở bước 1 làm
thành viên của group universal.
3. Lồng group universal vào group domain local (trên domain cha). Cấp quyền truy cập cơ sở dữ
liệu cho group domain local.
Chiến lược lồng nhóm hay được sử dụng là AGUDLP. Ý nghĩa của AGUDLP là: tạo tài khoản người
dùng (Account), cho tài khoản người dùng là thành viên của group Global, lồng group global vào
257
Cài đặt và cấu hình Windows Server 2012 R2
group Universal, lồng group universal vào group Domain Local, thực hiện cấp quyền (Permission) cho
group domain local. Chiến lược này cũng có thể sử dụng trong ủy quyền quản trị.
Tạo group
Việc tạo group bằng Active Directory Administrative Center hay bằng Active Directory Users And
Computers cũng giống với quá trình tạo OU. Nghĩa là cũng cần xác định vị trí tạo group và đặt tên cho
group. Tên của group có thể dài 64 kí tự, phải là duy nhất trong domain. Ngoài ra, bạn cũng cần phải
lựa chọn group type và group scope cho phù hợp. Xem hình minh họa.
Ngoài việc sử dụng giao diện cửa sổ để tạo group, bạn cũng có thể sử dụng các công cụ dòng lệnh để
tạo một lúc nhiều group. Sau đây là một số phương pháp tạo group bằng công cụ dòng lệnh.
Dsadd group
Công cụ dsadd được sử dụng để tạo tài khoản người dùng, ngoài ra, nó cũng được dùng để tạo ra
group. Cú pháp của lệnh như sau:
Dsadd group <GroupDN> [parameters]
Trong đó, GroupDN (group distinguished name): thông tin nhận diện group, GroupDN là duy nhất cho
mỗi group. GroupDN gồm: tên group, vị trí tạo group.
Mặc định, dsadd sẽ tạo group kiểu security, global. Tuy nhiên, bạn có thể thiết lập trong các tham số để
tạo group với kiểu (type, scope) khác nhau, thiết lập thành viên cho group, và các tham số khác. Cụ
thể:
- -secgrp yes|no : kiểu của group, yes là kiểu security; no là kiểu distribution. Giá trị mặc định là
yes.
- -Scope l|g|u : kiểu dựa trên phạm vi của group, l là kiểu domain local; g là kiểu global; u là
kiểu universal. Giá trị mặc định là g.
258
Cài đặt và cấu hình Windows Server 2012 R2
- -Samid <SAMName> : tên SAM của group, xem thêm thông tin về SAM trong phần tài khoản
người dùng.
- -memberof <GroupDN> : group sắp được tạo sẽ là thành viên của group nào.
- -members <GroupDN> tên các đối tượng sẽ là thành viên của group sẽ được tạo [//tài liệu gốc
ghi là member].
Ví dụ, lệnh sau để tạo group có tên là BanHang trong Users, cho tài khoản Administrator là thành viên
của group BanHang:
Dsadd group “CN=BanHang,CN=Users,DC=dalat,DC=com” –members
“CN=Administrator,CN=Users,DC=dalat,DC=com”
Sử dụng Windows PowerShell
Để tạo group trong Windows PowerShell, sử dụng lệnh New-ADGroup với cú pháp như sau:
New-ADGroup
-Name <group name>
-SamAccountName <SAM name>
-GroupCategory Distribution|Security
-GroupScope DomainLocal|Global|Universal
-Path <distinguished name>
Ví dụ sau tạo group có tên BanHang trong OU ChiNhanh2.
New-ADGroup –Name BanHang –SamAccountName BanHang –GroupCategory Security
-GroupScope Global –Path “OU=ChiNhanh2, DC=dalat, DC=com”
259
Cài đặt và cấu hình Windows Server 2012 R2
1. Mở Server Manager, vào trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ
Group Policy Management. Tạo một GPO mới và liên kết tới domain.
2. Bấm chuột phải vào GPO vừa tạo, chọn Edit để mở cửa sổ Group Policy Management Editor,
duyệt theo đường dẫn: Computer Configuration\Policies\Windows Settings\Security
Settings\Restricted Group. Xem hình minh họa.
3. Bấm chuột phải vào mục Restricted Groups, chọn mục Add group để mở cửa sổ Add Group.
4. Nhập tên hoặc bấm vào nút Browse để tìm tới group cần cấu hình, bấm OK. Tên group vừa
được chọn sẽ xuất hiện trong mục Restricted Groups, đồng thời xuất hiện cửa sổ Properties.
Xem hình minh họa.
260
Cài đặt và cấu hình Windows Server 2012 R2
5. Bấm vào các nút Add để nhập thành viên cho group, hoặc lồng group vào group khác.
6. Bấm OK.
Việc thiết lập các thành viên của group bằng Group Policy có tính chất cố định. Nghĩa là, người quản
trị vẫn có thể sử dụng các công cụ khác để thay đổi các thành viên của group. Tuy nhiên, khi hệ thống
cập nhật lại group policy, thì trạng thái của group lại được thiết lập như ban đầu.
- –chmbr <members> : thiết lập lại toàn bộ thành viên của group.
Ví dụ, lệnh sau sẽ cho tài khoản Administrator là thành viên của group Guests:
dsmod group “CN=Guests, CN=Builtin, DC=dalat, DC=com”
-addmbr “CN=Administrator, CN=Users, DC=dalat, DC=com”
261
Cài đặt và cấu hình Windows Server 2012 R2
Xóa Group
Cũng giống như tài khoản người dùng, mỗi group sẽ có một định danh (SID) duy nhất, định danh này
không thể sử dụng lại được. Định danh được hệ thống sử dụng trong quá trình phân quyền sử dụng tài
nguyên.
Khi xóa group, Windows Server 2012 R2 sẽ loại bỏ SID vĩnh viễn, kể cả khi tạo một group mới có tên
trùng với group đã bị xóa thì SID cũng sẽ được tạo mới. Điều này có nghĩa là, khi xóa group, hệ thống
sẽ xóa luôn các quyền đã được cấp cho group đó, và không thể phục hồi lại các quyền đã cấp bằng
cách tạo lại group vừa xóa.
Xóa group chỉ loại bỏ tên, SID của group và các quyền đã được cấp cho group, mà không xóa các
thành viên trong group.
- OU có thể chứa người dùng và máy tính như group, tuy nhiên, bạn không thể phân quyền cho
một nhóm người dùng cùng lúc bằng OU được, để làm điều này bạn phải tạo group.
- OU được sử dụng để ủy quyền quản trị, chia nhỏ hệ thống để quản trị, các thiết lập trên OU
không làm ảnh hưởng đến các phần còn lại của hệ thống AD DS.
- Group được sử dụng để gán quyền truy cập tài nguyên cho nhiều người dùng hoặc máy tính.
- Group được phân loại dựa trên chức năng và phạm vi. Dựa theo chức năng có hai loại:
security và distribution. Dựa theo phạm vi có ba loại: domain local, global, universal.
- Lồng group là khái niệm để chỉ việc group này là thành viên của group khác.
- Có thể thiết lập thành viên cho group bằng công cụ group policy, thiết lập trong Restricted
Groups.
262
Cài đặt và cấu hình Windows Server 2012 R2
A. Global
B. Domain local
C. Built-in
D. Universal
A. Để tạo một thùng chứa cố định, không thể di chuyển hoặc đổi tên.
D. Tạo các chính sách riêng biệt bằng group policy, sau đó áp dụng trên các nhóm người
dùng và máy tính.
3. Việc chuyển đổi kiểu của group nào sau đây không cho phép làm trong mọi tình huống?
4. Trong domain đang chạy ở chế độ Windows Server 2012 R2 (Windows Server 2012 R2 domain
functional level), các đối tượng nào có thể là thành viên của group kiểu global? (chọn nhiều
đáp án)
5. Khi bạn sử dụng Active Directory Users And Computers để xóa một group kiểu global, tuy
nhiên, hệ thống không cho phép thực hiện. Đâu là nguyên nhân? (chọn nhiều đáp án)
263
Cài đặt và cấu hình Windows Server 2012 R2
C. Tài khoản hiện tại không có quyền xóa các đối tượng.
D. Không thể xóa group kiểu global bằng công cụ Active Directory Users And Computers.
264
Cài đặt và cấu hình Windows Server 2012 R2
Tạo GPO
GPO có thể tác động lên tất cả người dùng và máy tính theo phạm vi OU, domain hoặc site. Tuy nhiên,
nếu sử dụng chức năng lọc (filter), bạn có thể áp dụng GPO trên các người dùng hoặc máy tính cụ thể.
Sau đây là các ích lợi của việc sử dụng nhóm chính sách:
- Dễ dàng quản lý các chính sách liên quan đến người dùng, ứng dụng, và màn hình desktop
- Áp dụng GPO
265
Cài đặt và cấu hình Windows Server 2012 R2
GPO
GPO là một đối tượng, được sử dụng để chứa các thiết lập mà bạn muốn áp dụng cho người dùng và
máy tính trong domain, site hoặc OU. Để áp dụng GPO, bạn sẽ thực hiện gắn GPO tới domain, site
hoặc OU. Các công việc liên quan đến nhóm chính sách gồm: tạo GPO, lưu GPO, sử dụng GPO.
Có ba loại GPO: local GPO, nonlocal GPO và starter GPO.
Local GPO (LGPO)
Mọi hệ điều hành Windows đều có hỗ trợ local GPO. Các bản windows từ phiên bản Windows Server
2008 R2 và Windows Vista trở đi, có hỗ trợ nhiều local GPO. Do vậy, bạn có thể thiết lập GPO riêng
biệt cho tài khoản administrator và các GPO khác cho người dùng còn lại. Điều này rất hữu ích trong
trường hợp máy tính có nhiều người dùng chung, nhưng không thiết lập hệ thống AD DS. Đối với các
bản Windows cũ hơn, bạn chỉ có thể tạo được một local GPO, và local GPO này sẽ được áp dụng lên
tất cả người dùng.
Local GPO có một số hạn chế so với domain GPO. Cụ thể, local GPO không hỗ trợ việc chuyển hướng
thư mục (folder redirection), không hỗ trợ cài đặt phần mềm, ít các thiết lập liên quan đến bảo mật.
Nếu các thiết lập giữa local GPO và nonlocal GPO có xung đột, thì các thiết lập của nonlocal GPO sẽ
được ưu tiên hơn.
Nonlocal GPO
Nonlocal GPO là các GPO được tạo ra ở AD DS, được gắn tới site, domain và OU (tạm gọi là thùng
chứa). Sau khi được gắn tới các thùng chứa, các thiết lập của GPO sẽ tác động lên tất cả người dùng và
máy tính có trong thùng chứa.
Starter GPO
Starter GPO là GPO chuẩn, trong đó có chứa các thiết lập cơ bản, cần thiết đối với một domain GPO
(các nonlocal GPO nhưng không phải là Starter GPO?!). Starter GPO được giới thiệu từ bản Windows
Server 2008. Khi bạn tạo GPO mới dựa trên starter GPO, các thiết lập của starter GPO sẽ được chép
sang GPO mới.
266
Cài đặt và cấu hình Windows Server 2012 R2
Để giải quyết vấn đề này, nội dung của GPO sẽ được lưu trong tập tin dạng ADMX, sau đó lưu tập tin
ADMX vào Central Store. Mỗi domain controller có một Central Store. Để sử dụng Central Store, bạn
phải chép thư mục chứa chính sách tới thư mục SYSVOL.
Mặc định, chương trình Group Policy Management Console (GPMC) lưu các tập tin ADMX trong thư
mục \%systemroot%\PolicyDefinitions, cụ thể với hầu hết các máy sẽ là:
C:\Windows\PolicyDefinitions. Để tạo Central Store, bạn phải chép toàn bộ nội dung của
PolicyDefinitions tới domain controller tại vị trí %systemroot%\SYSVOL\sysvol\<domain
name>\Policies, hoặc theo dạng tên quy ước là: \\<domain name>\SYSVOL\<domain name>\Policies.
2. Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ
Group Policy Management. Xem hình minh họa.
267
Cài đặt và cấu hình Windows Server 2012 R2
3. Xổ nút Forest\Domain, chọn nút Group Policy Objects. Tất cả các GPO hiện có của domain sẽ
xuất hiện trong cửa sổ Group Policy Objects.
4. Để tạo GPO mới, bấm chuột phải vào Group Policy Objects, chọn New để mở cửa sổ New
GPO.
5. Nhập tên cho GPO trong mục Name, bấm OK. GPO vừa được tạo sẽ xuất hiện trong cửa sổ
bên phải.
6. Ở cửa sổ bên trái, bấm chuột phải vào domain, site hoặc OU để gắn GPO, chọn Link An
Existing GPO để mở cửa sổ Select GPO.
7. Chọn GPO vừa tạo (hoặc bất kì GPO nào bạn muốn) để gắn vào đối tượng, bấm OK. GPO sẽ
xuất hiện trong cửa sổ bên phải, trong táp Link Group Objects. Xem hình minh họa.
268
Cài đặt và cấu hình Windows Server 2012 R2
Bạn có thể tạo và gắn GPO tới AD DS cùng lúc bằng cách bấm chuột phải vào domain, site hoặc OU,
chọn mục Create A GPO In This Domain And Link It Here.
GPO có tính kế thừa, nghĩa là nếu bạn gắn GPO tới một thùng chứa của AD DS, các chính sách của
GPO sẽ được áp đặt lên tất cả các thành phần bên trong của thùng chứa.
269
Cài đặt và cấu hình Windows Server 2012 R2
Starter GPO
Starter GPO là GPO chuẩn, bao gồm các thiết lập cơ bản. Bạn sẽ sử dụng starter GPO để tạo ra các
GPO với cùng các thiết lập cơ bản. Việc tạo và cấu hình starter GPO cũng giống như các GPO thông
thường.
Để tạo starter GPO, bạn bấm chuột phải vào mục Starter GPO, chọn New, nhập tên cho starter GPO,
bấm OK để tạo. Sau khi tạo xong, bạn mở starter GPO bằng Group Policy Management Editor để cấu
hình.
Chú ý: khi bạn mở mục Starter GPO lần đầu, bạn sẽ được hệ thống nhắc tạo thư mục để chứa các
starter GPO. Bạn bấm vào nút hướng dẫn để tạo.
Sau khi tạo và cấu hình, bạn có thể sử dụng starter GPO làm nền tảng để tạo các GPO mới. Để thực
hiện, bấm chuột phải vào starter GPO, chọn New GPO From Starter GPO. Hoặc bạn có thể tạo GPO
mới theo cách thông thường, sau đó, trong mục Source Starter GPO, bạn chỉ định starter GPO cho
GPO sắp được tạo. Lệnh New-GPO trong Windows PowerShell cũng hỗ trợ việc tạo GPO từ starter
GPO. Sau khi tạo GPO, bạn sẽ tiếp tục thực hiện thêm các cấu hình khác kết hợp với các cấu hình sẵn
có từ starter GPO.
- User Configuration: các cấu hình tại đây sẽ áp dụng trên người dùng
270
Cài đặt và cấu hình Windows Server 2012 R2
Computer Configuration và User Configuration cũng là tên của hai nút trong cấu trúc cây GPO.
Các thiết lập của GPO có thể áp dụng trên máy client, người dùng, server thành viên và domain
controller. Phạm vi tác động tùy thuộc vào thùng chứa mà GPO gắn vào. Mặc định, khi gắn một GPO
tới thùng chứa, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO.
Trong mỗi nút Computer Configuration và User Configuration đều có các nút con sau:
- Software Settings: chứa các thiết lập liên quan đến cài đặt phần mềm (software installation).
Các thiết lập nằm trong nút Computer Configuration sẽ tác động lên máy tính đang chịu sự
tác động của GPO, mà không phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút
User Configuration sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không
quan tâm tới họ đăng nhập từ máy tính nào.
- Windows Settings: các thiết lập nằm trong nút Computer Configuration liên quan đến bảo
mật và kịch bản (script), sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không
phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User Configuration liên quan
đến chuyển hướng thư mục (folder redirection), bảo mật và các kịch bản, sẽ tác động lên
người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính
nào.
- Administrative Templates: gồm hàng ngàn các thiết lập sẵn (thiết lập mẫu), là các thiết lập
dựa trên registry. Nội dung của các thiết lập được lưu trong tập tin .admx. Đây là các thiết lập
liên quan đến giao diện người dùng.
Để làm việc với Administrative Templates, bạn cần hiểu rõ ba trạng thái khác nhau của mỗi thiết lập:
- Not Configured: đây là trạng thái của hầu hết các thiết lập trong GPO. Khi thực thi nhóm chính
sách, GPO sẽ không thay đổi, không ghi đè giá trị của registry.
- Enabled: GPO sẽ bật chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì.
- Disabled: GPO sẽ tắt chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì.
Hiểu được ba trạng thái trên giúp bạn làm việc hiệu quả với kế thừa trong GPO và xử lý xung đột khi
áp dụng nhiều GPO lên cùng một thùng chứa. Ví dụ, khi một GPO với độ ưu tiên thấp bật (enabled)
một chính sách, nếu bạn muốn tắt (disabled) chính sách đó bằng GPO với độ ưu tiên cao hơn, bạn phải
thiết lập trạng thái disabled chứ không thể thiết lập trạng thái Not Configured.
271
Cài đặt và cấu hình Windows Server 2012 R2
Server 2008 R2 trở lên, bạn có thể tạo nhiều local GPO cho các người dùng khác nhau trên hệ thống.
Các local GPO được chia thành ba loại sau:
- Local group policy: nhóm chính sách này tương tự như nhóm chính sách cục bộ trong các hệ
điều hành cũ. Local group policy gồm các thiết lập cho máy tính và cho người dùng. Local
group policy sẽ tác động trên mọi người dùng cục bộ, không phân biệt người quản trị hay
người dùng thông thường. Trong các loại local GPO, chỉ có nhóm chính sách này mới chứa các
thiết lập cho máy tính.
- Administrators and nonadministrators group policy: nhóm chính sách này gồm hai GPO, một
áp dụng cho nhóm Administrators cục bộ, và một áp dụng cho tất cả người dùng cục bộ còn
lại. Nhóm chính sách này không chứa các thiết lập cho máy tính.
- User-specific group policy: nhóm chính sách này gồm các GPO áp dụng cho mỗi người dùng cụ
thể, không áp dụng được cho nhóm. Nhóm chính sách này không chứa các thiết lập cho máy
tính.
Thứ tự áp dụng các loại local GPO được thực hiện như sau: đầu tiên là Local group policy, sau đó là
Administrators and nonadministrators group policy và cuối cùng là User-specific group policy. Lưu ý:
các thiết lập được thực hiện sau sẽ đè lên các thiết lập trước đó nếu có tranh chấp.
Trên máy tính là thành viên của domain, các local GPO sẽ được thực hiện trước, sau đó là các GPO
của domain.
Bạn sử dụng Group Policy Object Editor để tạo và cấu hình local GPO. Các bước thực hiện như sau:
1. Mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console.
2. Vào trình đơn File, chọn Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.
3. Từ danh sách Available Snap-Ins, chọn Group Policy Object Editor và bấm Add để mở cửa sổ
Select Group Policy Object.
4. Để tạo Local group policy GPO bấm Finish. Để tạo local GPO loại hai hoặc loại ba, bấm nút
Browse để mở cửa sổ Browse For A Group Policy Object.
272
Cài đặt và cấu hình Windows Server 2012 R2
6. Để tạo local GPO loại hai, chọn Administrators hoặc Non-Administrators và bấm OK. Để tạo
local GPO loại ba, chọn người dùng cụ thể, bấm OK. Local GPO sẽ xuất hiện trong cửa sổ
Select Group Policy Object.
7. Bấm Finish. local GPO sẽ xuất hiện trong cửa sổ Add Or Remove Snap-Ins.
8. Bấm OK. Snap-in của local GPO sẽ xuất hiện trong cửa sổ MMC (Console).
Để cấu hình cho local GPO vừa tạo, bạn mở console vừa tạo trong Administrative Tools. Cách thực
hiện: mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console, vào trình đơn File, chọn Open, chọn
console cần mở.
- Trong AD DS, nhóm chính sách sẽ được gắn vào site, domain, và OU. Trên máy cục bộ, chỉ có
duy nhất một local GPO được phép thiết lập các chính sách cho máy tính. Các thiết lập của
local GPO sẽ bị ghi đè nếu có tranh chấp với các thiết lập nonlocal GPO.
273
Cài đặt và cấu hình Windows Server 2012 R2
- Group Policy Management là công cụ được dùng để tạo và thiết lập cách chính sách trong
GPO.
A. ADM
B. ADMX
D. Security templates
2. Trong máy cục bộ có nhiều local GPO, local GPO nào có quyền ưu tiên cao nhất?
3. Để áp dụng GPO trên một nhóm người dùng cụ thể trong OU, bạn sử dụng kĩ thuật nào sau
đây?
D. Starter GPOs
A. Starter GPO được sử dụng như một bản mẫu để tạo ra các GPO mới
B. Starter GPO là GPO đầu tiên tác động trên mọi máy client của domain
C. Starter GPO sử dụng một giao diện đơn giản giúp người dùng dễ thao tác
D. Starter GPO chứa tất cả các thiết lập có trong default domain policy GPO
274
Cài đặt và cấu hình Windows Server 2012 R2
5. Có một chức năng trong hệ thống đã được thiết lập là disabled, bạn muốn thay đổi chức năng
này bằng cách sử dụng GPO, cụ thể, trong GPO bạn thiết lập giá trị cho nó là Not Configured.
Kết quả của thiết lập này là?
275
Cài đặt và cấu hình Windows Server 2012 R2
Lưu ý: chính sách cục bộ là các thiết lập áp dụng trên máy cục bộ, do vậy, nếu bạn thiết lập chính sách
cục bộ trên nonlocal GPO, chính sách này sẽ áp dụng lên tài khoản máy tính có trong thùng chứa đang
chịu sự tác động của GPO.
Với Windows Server 2012 R2, kết quả theo dõi các hành động được lưu ở hai nơi: lưu trên domain
controller hoặc lưu trên máy cục bộ nơi hành động xảy ra. Cụ thể, các hành động có liên quan đến AD
DS sẽ được ghi lại trong security log của domain controller, các sự kiện liên quan đến máy cục bộ sẽ
được ghi lại trong event log của máy cục bộ.
Việc theo dõi tất cả các hoạt động, trên tất cả các máy là không thực tế, mà bạn cần phải lựa chọn các
đối tượng cho phù hợp, nhằm tránh tình trạng phải lưu trữ quá nhiều thông tin. Sau đây là một số lưu ý
giúp bạn thực hiện theo dõi hiệu quả:
- Chỉ theo dõi những thứ cần thiết: bạn nên xác định các hành động cần theo dõi, và với hành
động đó, việc ghi lại những trường hợp thành công quan trọng hơn, hay trường hợp thất bại
quan trọng hơn. Vì mục đích sau cùng là thu thập thông tin mà bạn đang quan tâm.
- Theo dõi để hỗ trợ quá trình ra quyết định: bạn có thể thực hiện ghi chép lại các hành động để
làm cơ sở khi ra quyết định bổ sung thêm tài nguyên cho hệ thống.
276
Cài đặt và cấu hình Windows Server 2012 R2
- Xác định không gian lưu trữ phù hợp: kích thước vùng đĩa cần thiết để lưu các ghi chép phụ
thuộc vào số lượng các hành động bạn dự định theo dõi. Bạn có thể cấu hình thông tin này tại
Computer Configuration\Windows Settings\Security Settings\Event Log trong mỗi GPO.
Để cấu hình theo dõi người dùng, bạn cần xác định hành động nào cần theo dõi, và theo dõi trên đối
tượng nào. Sau đây là các bước thực hiện:
1. Mở Server Manager, chọn trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ
Group Policy Management.
2. Theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm, chọn mục Group Policy
Objects, trong này sẽ chứa tất cả các GPO hiện có của domain.
3. Bấm chuột phải vào mục Default Domain Policy GPO, chọn Edit để mở cửa sổ Group Policy
Management Editor.
5. Bấm đúp chuột vào chính sách mà bạn muốn thiết lập để mở cửa sổ Properties. Xem hình
minh họa.
277
Cài đặt và cấu hình Windows Server 2012 R2
7. Muốn theo dõi trường hợp thành công, chọn mục Success. Muốn theo dõi trường hợp thất
bại chọn mục Failure. Hoặc chọn cả hai.
Sau khi hệ thống AD DS cập nhật các chính sách vừa được cấu hình tại Default Domain Policy GPO,
toàn bộ các máy tính trong domain sẽ bị tác động bởi chính sách này.
Để theo dõi hành động truy cập đối tượng, bạn thực hiện cấu hình ở một trong hai mục sau:
- Audit Directory Service Access: theo dõi người dùng khi họ truy cập các đối tượng của AD DS
như Users, OU.
- Audit Object Access: theo dõi người dùng khi họ truy cập tập tin, thư mục, máy in, registry.
Sau đó, bạn tìm tới đối tượng cần theo dõi, bấm chuột phải, chọn Properties, chọn táp Security, bấm
vào nút Advanced, chọn táp Auditing, và chọn người dùng cần theo dõi.
Ví dụ, người dùng muốn đăng nhập trực tiếp (locally) vào domain controller thì họ phải được cho phép
trong mục Alllow Log On Locally hoặc họ phải là thành viên của một trong các nhóm sau: Account
Operators, Administrators, Backup Operators, Print Operators, hoặc Server Operators. Vì các nhóm
này, mặc định đã được cấu hình cho phép đăng nhập trực tiếp trong Default Domain Controllers Policy
GPO.
278
Cài đặt và cấu hình Windows Server 2012 R2
Các thiết lập liên quan đến thao tác hệ thống khác gồm: tắt máy (shutdown), quyền sở hữu đối tượng
(ownership), khôi phục tập tin và thư mục, đồng bộ dữ liệu.
279
Cài đặt và cấu hình Windows Server 2012 R2
2. Vào trình đơn File, chọn mục Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.
3. Trong khung Available Snap-Ins, chọn Security Templates để mở cửa sổ Add Or Remove Snap-
Ins.
5. Vào trình đơn File, chọn mục Save As để mở cửa sổ Save As.
6. Nhập tên cho snap-in vào mục File name, bấm Save để lưu.
7. Bấm chuột phải vào thưc mục chứa mẫu ở khung bên trái, chọn New Template để tạo mẫu,
nhập tên cho mẫu, bấm OK để tạo. Xem hình minh họa.
Mẫu vừa được tạo là mẫu trắng, cho phép thực hiện nhiều thiết lập giống với trong GPO. Bạn có thể
thay đổi giá trị của các thiết lập như khi làm việc với GPO.
Sau khi thực hiện thiết lập cho mẫu, để sử dụng mẫu, bạn sẽ thực hiện khớp mẫu vào GPO. Khi khớp
mẫu vào GPO, các thiết lập của mẫu được chuyển thành các thiết lập của GPO.
Sau đây là các bước để khớp mẫu vào GPO:
1. Mở Server Manager, vào trình đơn Tools, chọn Group Policy Management để mở cửa sổ
Group Policy Management.
2. Duyệt theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm. Chọn mục Group
Policy Objects, các GPO hiện có sẽ xuất hiện ở cửa sổ bên phải.
280
Cài đặt và cấu hình Windows Server 2012 R2
3. Bấm chuột phải vào GPO mà bạn muốn khớp mẫu, bấm Edit để mở cửa sổ Group Policy
Management Editor.
5. Tìm tới nơi chứa mẫu, chọn mẫu, bấm Open để khớp các thiết lập có trong mẫu vào GPO.
- Local Users And Groups: giao diện này cho phép thực hiện tất cả các cấu hình liên quan đến
tài khoản, nhóm.
Khi cài đặt, Windows Server 2012 R2 luôn tạo sẵn hai tài khoản người dùng là Administrator và
Guest. Mặc định, tài khoản Guest bị vô hiệu (disable).
Sau khi được cài đặt, do trên hệ thống Windows Server 2012 R2 chỉ có tài khoản Administrator là có
hiệu lực, nên bạn sẽ đăng nhập vào hệ thống bằng tài khoản này. Đây là tài khoản có quyền quản trị
cao nhất, bạn có thể sử dụng tài khoản này để tạo các tài khoản mới hoặc thực hiện các cấu hình khác.
Sử dụng User Accounts
Để ý: chỉ khi Windows Server 2012 R2 đang hoạt động ở chế độ Workgroup mới có mục User
Accounts trong Control Panel. Nếu máy tính đã kết nối vào domain thì bạn phải sử dụng snap-in Local
Users And Groups để tạo tài khoản người dùng. Nếu máy tính đã được nâng cấp thành domain
controller thì sẽ không có tài khoản cục bộ và nhóm cục bộ.
Mặc định, mục User Accounts trong Control Panel chỉ cho phép tạo tài khoản người dùng bình thường
(standard account), để thiết lập một tài khoản có quyền quản trị, bạn phải thay đổi kiểu (type) của nó
trong mục Change Your Account Type. Trong Change Your Account Type, việc lựa chọn giữa hai loại
tài khoản Standard và Administrator thực chất là đưa tài khoản vào làm thành viên của nhóm, Standard
là nhóm Users, Administrator là nhóm Administrators.
Sử dụng snap-in Users And Groups
281
Cài đặt và cấu hình Windows Server 2012 R2
Users And Groups là một phần của Computer Managerment. Để tạo tài khoản người dùng cục bộ bằng
Users And Groups, bạn thực hiện các bước sau:
1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ
Computer Management.
2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Users để xem danh sách các tài
khoản người dùng cục bộ hiện có.
3. Bấm chuột phải vào mục Users, chọn New User để mở cửa sổ New User. Xem hình minh họa.
4. Nhập tên (tên đăng nhập) cho tài khoản trong mục User Name. Đây là phần thông tin bắt
buộc.
5. Nhập tên đầy đủ của tài khoản trong mục Full Name và mô tả tài khoản trong mục
Description. Phần này không bắt buộc.
6. Nhập mật khẩu trong mục Password và nhập lại mật khẩu trong mục Confirm Password. Phần
này không bắt buộc.
7. Tùy theo yêu cầu, đánh dấu chọn vào các mục sau:
- User Must Change Password At Next Logon: người dùng phải đổi mật khẩu trong lần
đăng nhập đầu tiên.
282
Cài đặt và cấu hình Windows Server 2012 R2
- User Cannot Change Password: người dùng không được thay đổi mật khẩu.
- Password Never Expires: mật khẩu không bao giờ hết hạn.
8. Bấm nút Create để tạo tài khoản, tên của tài khoản sẽ xuất hiện trong danh sách.
2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Groups để xem danh sách các
nhóm cục bộ hiện có.
3. Bấm chuột phải vào mục Groups, chọn New Group để mở cửa sổ New Group.
4. Nhập tên cho nhóm trong mục Group Name. Đây là phần thông tin bắt buộc. Nếu muốn, bạn
có thể nhập thông tin mô tả cho nhóm trong mục Description.
6. Nhập các thành viên của nhóm, bạn có thể nhập trực tiếp vào hộp thoại, mỗi thành viên cách
nhau bởi dấu “;”. Bạn cũng có thể gõ một phần của tên, sau đó bấm nút Check Names; hoặc
bạn cũng có thể sử dụng nút Advanced để tìm các thành viên. Bấm OK.
8. Bấm Close.
Nhóm cục bộ không thể chứa thành viên là nhóm cục bộ khác. Tuy nhiên, nếu máy tính đã được kết
nối vào domain, nhóm cục bộ có thể chứa thành viên là các nhóm hoặc người dùng domain.
283
Cài đặt và cấu hình Windows Server 2012 R2
nhóm Administrators sẽ có toàn quyền trên hệ điều hành, tuy nhiên, nếu người dùng chỉ cần chạy một
số ứng dụng trên hệ thống thì không nhất thiết phải có những quyền này.
Với hầu hết người dùng, họ sẽ sử dụng tài khoản bình thường (standard user). Nếu bạn là một người
quản trị hệ thống, bạn có thể sử dụng giải pháp là: đăng nhập vào hệ thống bằng tài khoản bình thường
(standard user), và chỉ đăng nhập bằng tài khoản quản trị khi thực sự cần thiết. Việc phải thoát ra và
đăng nhập lại nhiều lần thường gây ảnh hưởng xấu đến tâm lý và hiệu quả của công việc.
Để giải quyết vấn đề này, Windows Server 2012 R2 sử dụng cơ chế kiểm soát tài khoản người dùng
(UAC: User Account Control). Cơ chế UAC sẽ duy trì một tài khoản hoạt động ở mức bình thường, và
chỉ chuyển sang hoạt động ở chế độ quản trị khi có xác nhận trực tiếp của người dùng.
Chuyển sang chế độ quản trị
Windows Server 2012 R2 sử dụng thẻ (token) để kiểm soát tài khoản. Khi bạn đăng nhập thành công
vào hệ thống, bạn sẽ được cấp thẻ, thẻ này cho biết bạn có quyền ở mức nào. Thẻ này sẽ theo người
dùng từ khi đăng nhập tới khi thoát khỏi hệ thống.
Trong các bản Windows trước Windows Server 2008 và Windows Vista, người dùng bình thường sẽ
nhận thẻ loại bình thường, người thuộc nhóm Administrators sẽ nhận thẻ quản trị.
Trong Windows Server 2012 R2, nhờ có UAC nên người dùng bình thường sẽ luôn nhận thẻ bình
thường, nhưng người quản trị sẽ nhận được cả hai thẻ: bình thường và quản trị. Mặc định người quản
trị sẽ thao tác dựa trên thẻ bình thường. Khi nào họ thực hiện thao tác cần đến quyền quản trị thì hệ
thống sẽ xuất hiện cửa sổ, yêu cầu cung cấp tên và mật khẩu của tài khoản quản trị. Lúc này, người
quản trị sẽ thao tác dựa trên thẻ quản trị. Cơ chế này gọi là Admin Approval Mode. Xem hình minh
họa.
Trước khi người quản trị thực hiện công việc, hệ thống có thể sẽ yêu cầu xác minh lại công việc sẽ
thực hiện, việc này để ngăn chặn các chương trình phá hoại cài vào hệ thống. Xem hình minh họa.
284
Cài đặt và cấu hình Windows Server 2012 R2
285
Cài đặt và cấu hình Windows Server 2012 R2
- Notify Me Only When Apps Try To Make Changes To My Computer: mức độ cảnh báo thấp
hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành.
- Notify Me Only When Apps Try To Make Changes To My Computer (Do Not Dim My Desktop):
mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều
hành, khi cảnh báo không sử dụng chế độ secure desktop.
Bạn có thể cấu hình thêm các thuộc tính của UAC trong mục Security Options của Nhóm chính sách
(Group Policy) và trong chính sách bảo mật cục bộ (Local Security Policy).
- Chính sách cục bộ là công cụ để thiết lập các quyền hạn của người dùng trên máy cục bộ, và
thiết lập chế độ theo dõi hoạt động của người dùng.
- Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), khi
thất bại (failed), hoặc cả hai.
286
Cài đặt và cấu hình Windows Server 2012 R2
- Người quản trị có thể sử dụng các thiết lập mẫu (security template) để: theo dõi người dùng,
thiết lập quyền hạn người dùng, cấu hình bảo mật, và các thiết lập khác.
- Khi một người đang sử dụng tài khoản bình thường muốn thực hiện một chức năng có yêu
cầu quyền cao hơn, họ sẽ phải chứng thực lại bằng một tài khoản có chức năng quản trị.
- Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Bạn có thể thay đổi các thiết lập
của UAC hoặc vô hiệu UAC.
2. Bạn có thể thêm thành viên cho nhóm nào sau đây bằng Control Panel (chọn nhiều đáp án)?
A. Users
B. Power Users
C. Administrators
D. Non-Administrators
3. Công cụ nào sau đây được sử dụng để thực hiện các cấu hình cho thiết lập mẫu?
4. Trong Windows Server 2012 R2, các nhóm cục bộ của hệ thống (buitl-in) sẽ nhận các thiết lập
đặc biệt thông qua cơ chế nào?
A. Security options
287
Cài đặt và cấu hình Windows Server 2012 R2
C. Quyền NTFS
5. Trong Windows Server 2012 R2, sau khi cấu hình và triển khai Audit Directory Service Access,
bạn phải làm gì tiếp theo thì hệ thống mới thực hiện theo dõi việc truy cập Active Directory?
A. Sử dụng Active Directory Users and Computers để lựa chọn các đối tượng trong Active
Directory sẽ bị theo dõi
B. Phải đợi cho tới khi chính sách theo dõi được gửi tới tất cả các domain controller trong
mạng
C. Phải mở Audit Directory Service Access Properties và chọn tất cả các đối tượng cần
theo dõi trong Active Directory
D. Thêm dấu gạch thấp ( _ ) vào tên của các đối tượng Active Directory mà bạn muốn
theo dõi
288
Cài đặt và cấu hình Windows Server 2012 R2
Khi đã thực hiện cấu hình Software Restriction Policies, quyền NTFS không còn được xét đến, việc
quản lý quyền thực thi phần mềm sẽ dựa trên ba chiến lược sau:
- Unrestricted: chính sách này cho phép mọi phần mềm đều được chạy, ngoại trừ các phần
mềm đã bị cấm một cách tường minh.
- Disallowed: chính sách này cấm mọi phần mềm thực thi, ngoại trừ các phần mềm đã được
cho phép một cách tường minh.
- Basic User: các phần mềm cần chạy bằng quyền quản trị sẽ không được thực thi, tuy nhiên
các phần mềm chạy bằng quyền người dùng vẫn được thực thi.
Bạn cần căn cứ vào yêu cầu cụ thể của công ty/tổ chức để lựa chọn chiến lược cho phù hợp. Thông
thường, mức bảo mật mặc định (Default Security Level) được thiết lập trong Security Level là
Unrestricted.
Ví dụ, trong môi trường đòi hỏi bảo mật cao, bạn chỉ muốn chạy một số phần mềm cụ thể, bạn sẽ thiết
lập mức bảo mật mặc định là Disallowed. Ngược lại, trong môi trường không cần bảo mật cao, bạn có
thể thiết lập mức bảo mật mặc định là Unrestricted. Sau đó, bạn sẽ tạo ra các luật để cấm hoặc cho
phép các phần mềm cụ thể được chạy.
Sau đây là các bước để thiết lập mức bảo mật mặc định là Disallowed.
1. Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ
Group Policy Management.
2. Duyệt theo đường dẫn Forest, Domains, chọn domain mà bạn quan tâm, chọn mục Group
Policy Objects, các GPO hiện có của domain sẽ xuất hiện ở khung bên phải.
3. Bấm chuột phải vào GPO bạn quan tâm, chọn Edit để mở cửa sổ Group Policy Management
Editor.
4. Trong nút Computer Configuration hoặc User Configuration chọn mục Software Restriction
Policies.
5. Chuột phải vào mục Software Restriction Policies, chọn New Software Restriction Policies để
tạo chính sách.
6. Mở nút Security Levels ở khung bên phải. Để ý sẽ thấy mức bảo mật mặc định (Default
Security Level) được thiết lập là Unrestricted.
7. Để chuyển mức bảo mật mặc định là Disallowed, bạn kích đôi chuột vào mục Disallowed, bấm
vào nút Set as Default. Xuất hiện cửa sổ cảnh báo của Software Restriction Policies.
8. Bấm Yes, để chấp nhận. Đóng cửa sổ Group Policy Management Editor và Group Policy
Management.
289
Cài đặt và cấu hình Windows Server 2012 R2
- Certificate rules
- Path rules
Khi chọn một trong bốn loại luật trên, hệ thống sẽ xuất hiện cửa sổ cho phép bạn thiết lập các thông số
của luật. Như hình ví dụ sau:
Hash rules
Hash là một chuỗi kí số có kích thước cố định, nó là định danh duy nhất của mỗi chương trình hay tập
tin. Hash được sinh ra dựa trên thuật toán, thuật toán này đảm bảo giá trị hash sinh ra là duy nhất cho
mỗi tập tin.
290
Cài đặt và cấu hình Windows Server 2012 R2
Khi bạn tạo một luật dựa trên hash của tập tin, hệ thống sẽ lưu giá trị hash của tập tin trong Software
Restriction Policies. Khi người dùng muốn chạy tập tin, hệ thống sẽ so khớp giá trị hash của tập tin với
giá trị hash của nó trong Software Restriction Policies, nếu hai giá trị này khớp nhau, luật sẽ được thực
thi.
Do giá trị hash được tạo dựa trên tập tin, nên khi bạn di chuyển tập tin tới vị trí khác thì giá trị hash
vẫn không bị thay đổi. Tuy nhiên, nếu chương trình phá hoại làm thay đổi nội dung của tập tin, dẫn tới
giá trị hash bị thay đổi, khi đó, luật trong Software Restriction Policies sẽ không cho chương trình
được thực thi.
Certificate rules
Certificate rule là luật dựa vào chứng chỉ số (digital certificate) của mỗi phần mềm. Chứng chỉ số giúp
xác định tính hợp pháp của phần mềm. Bạn có thể sử dụng certificate rule để cho phép các phần mềm
có nguồn gốc tin cậy được chạy và cấm các phần mềm còn lại. Bạn cũng có thể sử dụng certificate rule
để cho phép chạy các phần mềm đang bị cấm bởi thiết lập Disallowed.
Path rules
Path rule là luật dựa trên vị trí của phần mềm trên hệ thống lưu trữ. Bạn có thể sử dụng path rule để
cho chạy các phần mềm bị cấm bởi thiết lập Disallowed, hoặc cấm chạy các phần mềm do thiết lập
Unrestricted.
Vị trí của phần mềm có thể xác định bằng vị trí của nó trong thiết bị lưu trữ, hoặc thông tin về vị trí
được khai báo trong cấu trúc Registry.
Tạo luật (path rule) dựa trên vị trí của phần mềm có hạn chế là khi bạn thay đổi vị trí lưu trữ của phần
mềm sẽ làm cho luật không còn tác dụng. Ngược lại, nếu dựa vào thông tin vị trí của phần mềm trong
Registry sẽ luôn đảm bảo luật được thực thi, vì khi bạn thay đổi vị trí lưu trữ của phần mềm, giá trị
trong Registry sẽ được cập nhật tự động.
Network zone rules
Network zone rule là luật áp dụng cho các phần mềm được cài đặt bằng Windows Installer từ máy cục
bộ (local computer), local intranet, trusted sites, restricted sites hoặc Internet. Bạn có thể sử dụng luật
kiểu này để chỉ cho phép cài đặt các phần mềm có nguồn gốc đáng tin cậy trên hệ thống mạng. Ví dụ,
thiết lập Internet zone rule để không cho phép Windows Installer tải về và cài đặt các phần mềm từ
Internet và các nơi khác trên mạng.
Sử dụng nhiều luật
Trong một Software Restriction Policies, bạn có thể kết hợp nhiều loại luật trong Additional Rules và
nhiều chiến lược bảo mật trong Security Levels. Ví dụ, bạn có thể sử dụng một path rule để cấm chạy
phần mềm trong thư mục \\Server1\Accounting, một path rule để cho phép chạy phần mềm trong thư
mục \\Server 1\Application. Bạn cũng có thể kết hợp certificate rule và hash rule.
Sau đây là thứ tự ưu tiên của các luật, luật có số thứ tự nhỏ hơn sẽ có độ ưu tiên cao hơn:
1. Hash rules
2. Certificate rules
291
Cài đặt và cấu hình Windows Server 2012 R2
4. Path rules
Khi có xung đột giữa các luật, luật có độ ưu tiên cao hơn sẽ được áp dụng. Ví dụ, nếu có xung đột giữa
hash rules và path rules, thì hash rules sẽ được áp dụng.
Khi có sự xung đột giữa hai luật cùng loại trên một phần mềm, thì luật nào có sự hạn chế phần mềm
nhiều hơn sẽ được áp dụng. Ví dụ, một luật là Unrestricted và một luật là Disallowed thì luật sẽ được
áp dụng là Disallowed.
Một ví dụ về ứng dụng Enforcement trong thực tế, Default Security Level được thiết lập là Disallowed
và Enforcement được thiết lập là All Software, khi đó bạn sẽ phải tạo các chính sách để kiểm soát các
tập tin DLL, ngược lại nếu trong Enforcement bạn loại ra các tập tin DLL, thì bạn sẽ không phải quan
tâm tới việc kiểm soát các DLL.
Thuộc tính Designated File Types
292
Cài đặt và cấu hình Windows Server 2012 R2
Thuộc tính Designated File Types được sử dụng để xác định các loại tập tin sẽ bị tác động bởi các luật.
Các loại tập tin được chọn ở đây sẽ áp dụng cho tất cả các luật trong Software Restriction Policies.
Xem hình minh họa.
293
Cài đặt và cấu hình Windows Server 2012 R2
Trong cửa sổ Trusted Publishers Properties, phần Trusted publisher management cho phép xác định ai
được phép quản lý nguồn cấp certificate. Mặc định, administrator máy cục bộ có quyền xác định nguồn
cấp certificate cho máy cục bộ, enterprise administrators có quyền xác định nguồn cấp certificate cho
một OU. Đối với các hệ thống có yêu cầu bảo mật cao, người dùng không được phép lựa chọn nguồn
cấp certificate.
Sử dụng AppLocker
Software Restriction Policies là một công cụ mạnh, tuy nhiên, nó đòi hỏi người quản trị phải thực hiện
nhiều việc hơn. Đặc biệt, nếu bạn cấu hình theo kiểu disallowed, khi đó ngoài việc tạo luật để cho các
phần mềm ứng dụng được chạy, bạn còn phải tạo luật cho rất nhiều các chương trình của chính
Windows Server 2012 R2.
Applocker còn có tên gọi khác là Application Control Policies. Applocker là một chức năng của
Windows, nó kiểm soát ứng dụng thông qua các luật, tuy nhiên việc tạo luật rất đơn giản.
Các luật của Applocker có thể áp dụng cho từng user hoặc từng group cụ thể. Bạn cũng có thể tạo luật
để áp dụng cho tất cả các phiên bản trong tương lai của một ứng dụng.
Hạn chế của Applocker là các chính sách của nó chỉ áp dụng được trên các máy tính cài Windows 7 và
Windows Server 2008 R2 trở lên.
Các loại luật
Các thiết lập của AppLocker được lưu trong các GPO, cụ thể tại Computer Configuration\Windows
Settings\Security Settings\Application Control Policies\AppLocker. Xem hình minh họa.
294
Cài đặt và cấu hình Windows Server 2012 R2
- Windows Installer Rules: chứa các luật áp dụng cho các gói cài đặt bằng Windows Installer, các
tập tin có phần mở rộng là .msi và .msp
- Script Rules: chứa các luật áp dụng cho các tập tin dạng script, với phần mở rộng là .ps1, .bat,
.cmd, .vbs, và .js
- Package App Rules: chứa các luật áp dụng cho các ứng dụng mua từ Windows Stores
Khi tạo luật trong mỗi nút, việc cho phép chạy hoặc cấm chạy một tài nguyên có thể dựa vào một trong
các cách sau:
- Publisher: dựa vào chứng chỉ số của phần mềm, có thể tạo luật áp dụng cho mọi phiên bản
của phần mềm.
- Path: dựa vào tên của tập tin hoặc thư mục, hạn chế của cách này là mọi tập tin đều có thể bị
luật này tác động, nếu tên hoặc vị trí của nó khớp với luật.
- File Hash: dựa vào giá trị hash của tập tin
295
Cài đặt và cấu hình Windows Server 2012 R2
Default rules của mỗi nút cũng giống như các luật thông thường, do vậy, bạn có thể nhân bản, thay đổi
hoặc xóa nếu cần. Bạn cũng có thể tự tạo các luật trong Default rules, miễn là đảm bảo Windows hoạt
động bình thường mà không cần can thiệp gì thêm.
Để sử dụng AppLocker, phải bật dịch vụ Application Identify, mặc định, dịch vụ này thuộc loại khởi
chạy bằng tay, do vậy, bạn phải khởi chạy nó trong cửa sổ Services trước khi Windows có thể áp dụng
các chính sách của AppLocker.
Tạo luật tự động
Ưu điểm lớn nhất của AppLocker là khả năng tạo luật tự động. Để thực hiện, bấm chuột phải vào nút
cần tạo luật, chọn Automatically Generate Rules để mở của sổ Automatically Generate Rules Wizard.
Sau khi chọn thư mục, user và group chịu sự tác động của luật, trang Rule Preferences xuất hiện, trang
này cho phép chọn loại luật sẽ được tạo. Sau đó xuất hiện trang Review Rules, tóm tắt nội dung của
luật và thêm luật vào nút.
Tạo luật thủ công
Ngoài việc tạo luật tự động, bạn cũng có thể tạo luật thủ công. Để thực hiện, bấm chuột phải vào nút
cần tạo luật, chọn Create New Rule. Wizard yêu cầu bạn cung cấp các thông tin sau:
- Action: xác định hành động của luật là allow (cho chạy) hay deny (cấm chạy). Trong
AppLocker, luật deny có độ ưu tiên cao hơn luật allow.
- User Or Group: lựa chọn đối tượng chịu sự tác động của luật
- Conditions: xác định loại luật sẽ được tạo, luật sẽ chạy dựa trên chữ kí số, tên của tập tin, hay
giá trị hash.
- Default Security Level là chế độ bảo mật mặc định được thiết lập trong Security Level, chế độ
này có ba tùy chọn: một là unrestricted – cho phép mọi phần mềm đều được chạy, ngoại trừ
các phần mềm đã bị cấm một cách tường minh; hai là disallowed - cấm mọi phần mềm thực
thi, ngoại trừ các phần mềm đã được cho phép một cách tường minh; ba là basic user - các
phần mềm cần chạy bằng quyền quản trị sẽ không được thực thi, các phần mềm chạy bằng
quyền người dùng được thực thi.
- Software Restriction Policies có bốn loại luật, gồm (theo thứ tự ưu tiên): Hash rules,
Certificate rules, Path rules và Network zone rules. Khi được tạo ra, các luật này sẽ có độ ưu
tiên cao hơn và sẽ thay thế các luật tương ứng trong Default Security Level.
296
Cài đặt và cấu hình Windows Server 2012 R2
- AppLocker là một chức năng trong Group Policy, nó cũng cho phép bạn kiểm soát việc thực thi
của các phần mềm trên máy tính. Sử dụng AppLocker đơn giản hơn so với Software
Restriction Policies.
A. Hash rules
B. Certificate rules
C. Path rules
D. Firewall rules
2. Trong Software Restriction Policies, chiến lược nào sẽ cấm chạy mọi phần mềm, ngoại trừ các
phần mềm đã được Administrator cho phép chạy một cách tường minh?
A. Basic user
B. Disallowed
C. Power user
D. Unrestricted
3. Tình huống nào sau đây làm cho hash rule bị mất tác dụng trong việc kiểm soát các phần
mềm? (chọn tất cả các khả năng)
A. Khi bạn di chuyển tập tin đang được thiết lập hash rule tới thư mục khác.
B. Khi bạn nâng cấp tập tin đang được thiết lập hash rule lên phiên bản mới.
C. Khi tập tin đang được thiết lập hash rule bị virus làm thay đổi nội dung.
D. Khi bạn thay đổi quyền sử dụng (NTFS) trên tập tin đang được thiết lập hash rule.
4. Loại luật nào sau đây sẽ kiểm soát các tập tin có phần mở rộng là .msi?
A. Executable rules
C. Script rules
297
Cài đặt và cấu hình Windows Server 2012 R2
5. Bạn phải khởi chạy bằng tay dịch vụ nào sau đây của Windows, để AppLocker có thể thực
hiện các chính sách của nó?
A. Application Identity
B. Application Management
C. Credential Manager
Windows Firewall
Windows Firewall là chương trình tường lửa có sẵn trong Windows Server 2012 R2. Chương trình này
được bật mặc định trên tất cả các hệ thống. Ở chế độ mặc định, Windows Firewall cấm hầu hết các gói
tin đi vào hệ thống. Nó làm việc bằng cách kiểm tra nội dung của mỗi gói tin đi vào và đi ra, so sánh
nội dung của gói tin với các luật, từ đó sẽ quyết định xem gói tin nào được phép đi qua và gói tin nào
không.
Hệ thống Windows sử dụng chồng giao thức TCP/IP để thực hiện các giao tiếp mạng. Dữ liệu của ứng
dụng được đóng gói bằng nhiều giao thức khác nhau. Trong quá trình đóng gói, thông tin cho biết dữ
liệu xuất phát từ đâu và đi đến đâu được bổ sung vào gói tin, trong đó có ba thông tin quan trọng hay
được sử dụng để tạo luật trong tường lửa là:
298
Cài đặt và cấu hình Windows Server 2012 R2
- Địa chỉ IP: xác định duy nhất một host trên mạng. Bạn có thể tạo luật dựa trên địa chỉ IP để
cho phép/cấm một máy tính hay một mạng gửi/nhận gói tin.
- Chỉ số của giao thức (protocol numbers): dựa vào chỉ số của giao thức để xác định xem gói tin
đó là TCP hay UDP. Các máy tính chạy Windows thường sử dụng UDP để truyền các thông
điệp ngắn như các giao tiếp trong DNS, DHCP; TCP được sử dụng để truyền các thông điệp lớn
như các giao tiếp của web server, file server, print server.
- Chỉ số cổng (port number): dựa vào chỉ số cổng để xác định ứng dụng nào đang chạy trên máy
tính. Dựa vào chỉ số cổng, bạn có thể tạo các luật để cho phép/hoặc cấm gói tin của các ứng
dụng. Ví dụ, web server luôn nhận gói tin ở cổng 80, do vậy nếu tường lửa không cho phép gói
tin có chỉ số cổng 80 đi qua sẽ làm cho web server không thể hoạt động bình thường.
- Cấm mọi gói tin đi qua, trừ các trường hợp được liệt kê trong các luật.
Cách thứ hai an toàn hơn cho hệ thống. Cụ thể, ban đầu, người quản trị sẽ khóa hoàn toàn hệ thống,
sau đó sẽ chạy thử các ứng dụng, nếu ứng dụng yêu cầu mở cổng nào thì người quản trị sẽ tạo luật để
mở cổng đó. Windows Firewall đang sử dụng cách này đối với các gói đi vào. Với các gói tin đi ra,
Windows Firewall sử dụng cách đầu tiên, nghĩa là cho mọi gói tin đi qua, trừ các trường hợp đã được
liệt kê trong các luật.
299
Cài đặt và cấu hình Windows Server 2012 R2
Bạn cũng có thể kiểm soát các luật liên quan đến Network Discovery and File Sharing bằng các cách
khác. Cụ thể, chuột phải vào biểu tượng cạc mạng trên thanh System Tray, chọn Open Network and
Sharing Center, chọn Advanced Sharing Settings, tại đây, bạn có thể bật hoặc tắt Network Discovery,
File Sharing, và một số chức năng khác.
Cũng trong cửa sổ Network and Sharing Center, bạn có thể chọn mục Windows Firewall để mở cửa sổ
Windows Firewall, chọn tiếp mục Allow An App Or Feature Through Windows Firewall, đánh dấu
chọn vào mục Network Discovery để mở chức năng này.
Cuối cùng trong cửa sổ Windows Firewall, bạn có thể chọn mục Advanced Settings, chọn nút Inbound
Rules, bạn sẽ nhìn thấy chín luật cụ thể của Network Discovery, bạn có thể bật từng luật của Network
Discovery.
Như bạn đã thấy, Network Discovery là một chức năng phức tạp của Windows, do vậy rất khó để kiểm
soát nó. Đây là lý do tại sao Windows Firewall thường tập hợp các luật cần thiết cho các ứng dụng và
dịch vụ thành một nhóm để tiện quản lý.
Thực hiện cấu hình
Cửa sổ Windows Firewall là nơi cho phép bạn cấu hình và quản lý tường lửa dễ nhất và an toàn nhất.
Hầu hết các cấu hình liên quan đến tường lửa bạn đều có thể thực hiện tại cửa sổ này. Xem hình minh
họa.
300
Cài đặt và cấu hình Windows Server 2012 R2
- Trạng thái các luật trên inbound (đường vào), outbound (đường ra)
- Chế độ thông báo cho người dùng khi một chương trình bị khóa
Sau đây là các chức năng ở khung bên trái của cửa sổ Windows Firewall:
- Allow An App Or Feature Through Windows Firewall: mở cửa sổ Allowed Apps, tại đây bạn có
thể cấu hình ứng dụng/dịch vụ nào được phép gửi dữ liệu qua tường lửa.
- Change Notification Settings: mở cửa sổ Customize Settings, cho phép thiết lập chế độ hoạt
động của tường lửa.
- Turn Windows Firewall On Or Off: mở cửa sổ Customize Settings, cho phép thiết lập chế độ
hoạt động của tường lửa.
- Restore Defaults: chuyển tường lửa về trạng thái mặc định ban đầu.
- Private: thiết lập dùng cho các server trong hệ thống mạng nội bộ, trong hệ thống này chỉ có
người dùng đã được cấp quyền mới được truy cập vào hệ thống.
- Domain: thiết lập dùng cho các server là thành viên của một AD DS domain, trong hệ thống
mạng này mọi người dùng đều được xác minh và chứng thực.
Trong Windows Firewall, mỗi chế độ thiết lập ở trên sẽ chứa một tập các luật, các luật này sẽ áp dụng
trên máy tính kết nối vào mạng tương ứng (private, public, domain). Người quản trị có thể tạo thêm
các luật để áp dụng cho từng chế độ.
Trong cửa sổ Customizing settings, mỗi chế độ gồm các tùy chọn sau:
- Turn On/Off Windows Firewall: bật hoặc tắt tường lửa ở chế độ tương ứng.
- Block All Incoming Connections, Including Those In The List Of Allowed Apps: tăng độ an toàn
cho hệ thống bằng cách cấm mọi kết nối từ bên ngoài vào máy tính.
301
Cài đặt và cấu hình Windows Server 2012 R2
- Notify Me When Windows Firewall Blocks A New App: nếu chọn mục này, hệ thống sẽ thông
báo cho người dùng biết khi ứng dụng bị thất bại trong việc gửi gói tin ra ngoài.
Cần chú ý, mở càng nhiều cổng tại tường lửa càng đặt server vào tình trạng thiếu an toàn. Windows
Firewall cho phép bạn mở cổng bằng hai cách, một là mở cổng trực tiếp, hai là mở cổng thông qua ứng
dụng có sử dụng cổng đó. Cách đầu tiên có nhiều rủi ro hơn, vì nó sẽ mở cổng vĩnh viễn. Cách hai an
toàn hơn vì cổng chỉ được mở khi ứng dụng đang chạy, khi ứng dụng tắt, cổng cũng sẽ được đóng lại.
Trong cửa sổ Allowed Apps có chứa danh sách các chức năng (role và feature) đã được cài trên server.
Mỗi chức năng tương ứng với một hoặc nhiều luật tương ứng. Bạn có thể bật/hoặc tắt bằng cách có/
hoặc không đánh dấu chọn.
Không giống các phiên bản trước, tại cửa sổ Windows Firewall trong Windows Server 2012 R2 không
cho phép thao tác trực tiếp trên các cổng. Để thao tác trên các cổng, bạn bấm vào mục Advanced
Settings trong Windows Firewall để mở cửa sổ Windows Firewall With Advanced Security, hoặc vào
Server Manager, chọn Tools, chọn Windows Firewall With Advanced Security.
302
Cài đặt và cấu hình Windows Server 2012 R2
Có hai cách để mở cửa sổ Windows Firewall With Advanced Security như đã trình bày ở phần trên.
Xem hình minh họa.
Khung Overview chứa các thông tin cho biết trạng thái của ba chế độ cấu hình của tường lửa (Domain,
Private, Public).
Các thông tin cấu hình mặc định cho cả ba chế độ là:
- Tường lửa ở trạng thái bật (turned on)
- Mọi gói tin đi vào (incoming traffic) sẽ bị cấm, ngoại trừ các trường hợp được quy định trong
các luật.
- Mọi gói tin đi ra (Outgoing traffic) đều được phép, ngoại trừ các trường hợp được quy định
trong các luật.
Để thay đổi cấu hình mặc định, bạn bấm vào mục Windows Firewall Properties, cửa sổ Windows
Firewall With Advanced Security On Local Computer được bật, tại đây, bạn có thể thực hiện các thay
đổi tùy ý.
Tạo luật cho tường lửa
Trong cửa sổ Windows Firewall, khi bạn cho phép một ứng dụng được chạy cũng chính là bạn đã tạo
ra một luật cho tường lửa. Tuy nhiên, cách tạo luật này khá đơn giản, vì nó che dấu đi những đặc trưng
của tường lửa. Để tạo các luật phức tạp hơn, bạn cần tạo trong cửa sổ Windows Firewall With
Advanced Security.
303
Cài đặt và cấu hình Windows Server 2012 R2
Trong cửa sổ Windows Firewall With Advanced Security, khi bạn bấm vào mục Inbound Rules hoặc
Outbound Rules ở khung bên trái, các luật tương ứng sẽ được hiển thị. Các luật đang được thực thi sẽ
có biểu tượng dấu chọn màu xanh (green) ở phía trái, biểu tượng dấu chọn màu xám cho biết đó là các
luật không được thực thi. Xem hình minh họa.
Để tạo luật mới, bạn bấm chuột phải vào nút Inbound Rules (hoặc Outbound Rules), chọn New Rule
để mở cửa sổ New Inbound (hoặc Outbound) Rule Wizard, bạn cần thiết lập các tham số sau:
- Rule Type: lựa chọn kiểu luật sẽ tạo (program, port, luật định nghĩa sẵn, hay tùy biến), kết quả
lựa chọn sẽ làm thay đổi một phần giao diện.
- Program: luật sẽ được áp dụng cho tất cả chương trình, cho một chương trình cụ thể, hay cho
một dịch vụ. Thiết lập này tương đương với việc bạn cho phép một ứng dụng được chạy tại
cửa sổ Windows Firewall, chỉ khác là bạn phải xác định đường dẫn của ứng dụng.
- Protocol And Ports: luật sẽ áp dụng cho giao thức nào (tầng Network, Transport), hoặc cổng
nào.
- Predefined Rules: tạo luật dựa trên các định nghĩa có sẵn của hệ thống.
- Action: xác định hành động mà tường lửa sẽ thực hiện trên các gói tin khớp với luật (cho phép
đi qua, hoặc cấm).
- Profile: luật sẽ được áp dụng cho chế độ domain, private hay public
304
Cài đặt và cấu hình Windows Server 2012 R2
Lưu ý, bạn nên sử dụng các cấu hình mặc định của tường lửa, sau đó tạo thêm một số các luật bổ sung
theo yêu cầu. Việc tạo lại từ đầu tất cả các luật của tường lửa là một việc làm không hiệu quả.
Kết nhập và kết xuất các luật
Quá trình tạo và thay đổi các luật trong cửa sổ Windows Firewall With Advanced Security có thể làm
bạn mất thời gian, đặc biệt khi phải thực hiện lặp lại trên nhiều máy tính. Để khắc phục tình trạng này,
bạn có thể thực hiện kết xuất các luật ra một tập tin. Tập tin này có phần mở rộng là .wfw. Trong tập
tin .wfw có chứa tất cả các thiết lập của tường lửa cùng với tất cả các luật. Để kết xuất, trong cửa sổ
Windows Firewall With Advanced Security, bạn chọn mục Windows Firewall With Advanced
Security On Local Computer ở khung bên trái, vào trình đơn Action, chọn Export Policy, nhập tên và
vị trí để lưu tập tin kết xuất.
Bạn có thể chép tập tin kết xuất tới máy khác, thực hiện kết nhập (Import Policy) để nhân bản các luật
và các thiết lập của tường lửa. Bạn cần cẩn thận trong quá trình kết nhập, vì các thiết lập có sẵn của
tường lửa trên máy tính sẽ bị ghi đè bởi các luật kết nhập.
Tạo luật bằng Group Policy
Nếu bạn đang quản lý nhiều máy tính, việc cấu hình tường lửa trên từng máy tính có thể mất nhiều thời
gian. Để khắc phục, bạn có thể thực hiện cấu hình tường lửa một cách tập trung bằng cách sử dụng
Group Policy.
Để thực hiện, bạn mở cửa sổ cấu hình Group Policy, vào mục Computer
Configuration\Policies\Windows Settings\Security Settings\Windows Firewall With Advanced
Security, bạn sẽ thấy một giao diện gần giống với cửa sổ Windows Firewall With Advanced Security.
Tại đây, bạn có thể thực hiện cấu hình cho Windows Firewall, tạo các luật.
Để áp dụng trên máy tính nào, bạn thực hiện gắn (linking) GPO tới các đối tượng OU, site, domain có
chứa máy tính đó.
Khi bạn mở một GPO mới, nút Windows Firewall With Advanced Security chưa có luật nào. Bạn có
thể tạo từ đầu từng luật một, hoặc bạn có thể kết nhập (import) các thiết lập từ tập tin .wfw có sẵn.
Các luật trong Group Policy không ghi đè toàn bộ các thiết lập và các luật của Windows Firewall
giống như khi bạn kết nhập (import) luật trực tiếp từ tập tin. Các luật của Group Policy sẽ được kết hợp
với các luật sẵn có. Chỉ trong trường hợp luật có sẵn mà trùng tên với luật của Group Policy thì nó mới
bị chép đè.
Tạo luật cho kết nối bảo mật
Windows Server 2012 R2 cũng có tích hợp IPsec vào Windows Firewall. IPsec là viết tắt của IP
Security, là phương pháp bảo mật dữ liệu trong quá trình truyền trên hạ tầng TCP/IP. IPsec gồm hai
quá trình, một là quá trình chứng thực giữa hai máy tính trước khi truyền dữ liệu, hai là quá trình thiết
lập đường hầm (tunneling) để truyền dữ liệu.
Bên cạnh việc cho phép tạo các luật inbound và outbound, Windows Firewall With Advanced Security
còn cho phép bạn tạo các luật liên quan đến kết nối bảo mật.
Để thực hiện, trong cửa sổ Group Policy Management Editor, bấm chuột phải vào mục Connection
Security Rules, chọn New Rule để mở New Connection Security Rule Wizard. Bạn cần cấu hình các
tham số sau:
- Rule Type: xác định chức năng của luật
305
Cài đặt và cấu hình Windows Server 2012 R2
- Endpoints: xác định địa chỉ IP của máy tính sẽ được thiết lập kết nối bảo mật
- Requirements: xác định khi nào thì yêu cầu chứng thực
- Profile: các luật sẽ được áp dụng trên chế độ nào (domain, private, public hay kết hợp các chế
độ này).
- Nó thực hiện việc kiểm soát bằng cách kiểm tra nội dung của gói tin, so sánh nội dung của gói
tin với các luật đã được thiết lập, để quyết định có cho gói tin đó đi qua hay không.
- Các luật mặc định được cấu hình sẵn cho tường lửa sẽ cho phép các chức năng cơ bản của
Windows như chia sẻ máy in, chia sẻ tập tin được chạy. Đối với chiều đi ra, Windows Firewall
cho phép mọi gói tin được phép đi qua, trừ các trường hợp bị cấm tường minh bởi luật.
- Để thực hiện các tác vụ đơn giản, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows
Firewall.
- Để thực hiện các tác vụ phức tạp hơn, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows
Firewall With Advanced Security.
B. Địa chỉ IP
2. Các luật liên quan đến kết nối bảo mật trong tường lửa sử dụng cơ chế bảo mật nào?
A. EFS
306
Cài đặt và cấu hình Windows Server 2012 R2
B. IPsec
C. UAC
D. Kerberos
3. Các tác vụ nào sau đây không thể thực hiện được trong cửa sổ Windows Firewall?
A. Cho phép một ứng dụng được gửi dữ liệu qua tường lửa của ba chế độ (domain,
private, public).
4. Công cụ nào sau đâu không thể kích hoạt (enable) và vô hiệu (disable) luật của tường lửa liên
quan đến Network Discovery?
A. File Explorer
C. Action Center
5. Phải biều nào sau đây nói đúng về Windows Firewall (chọn nhiều đáp án)?
A. Các luật liên quan đến tường lửa trong Group Policy sẽ ghi đè tất cả các luật của tường
lửa trên máy tính.
B. Các luật liên quan đến tường lửa trong Group Policy sẽ được kết hợp với các luật của
tường lửa có sẵn trên máy tính.
C. Kết nhập (import) các luật tường lửa từ máy tính khác sẽ ghi đè lên các luật của máy
tính đích.
D. Các luật tường lửa kết nhập (import) từ máy tính khác sẽ được kết hợp với các luật của
máy tính đích.
307
Cài đặt và cấu hình Windows Server 2012 R2
Lược dịch
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2,
Microsoft Press, 2014
---------------------------------------------
Đà Lạt, 2015/9/30
308