Cai Dat Va Cau Hinh Windows Server 2012 R2 - Full (Hay)

Cài đặt và cấu hình Windows Server 2012 R2
(Tài liệu tham khảo cho kì thi 70 – 410 của Microsoft)
Cài đặt và cấu hình

Windows Server 2012 R2
Lê Gia Công
Nội dung
Mở đầu................................................................................................................................................... 10
Chương 1. Cài đặt và cấu hình server ................................................................................................ 11
1.1 Cài đặt hệ điều hành server ...................................................................................................... 11
Chuẩn bị cài đặt ............................................................................................................................ 11
Yêu cầu về cấu hình phần cứng ................................................................................................. 13
Chế độ Server Core ...................................................................................................................... 13
Chế độ Minimal Server Interface ................................................................................................ 15
Tối ưu hệ thống bằng Features on Demand ............................................................................ 16
Cài đặt hệ điều hành Windows Server 2012 R2 ....................................................................... 16
Nâng cấp lên Windows Server 2012 R2 .................................................................................... 21
Di chuyển các thiết lập từ hệ thống cũ sang hệ thống mới ................................................... 22
Câu hỏi ôn tập .............................................................................................................................. 22
1.2 Cấu hình server ........................................................................................................................... 23
Cấu hình bằng các công cụ đồ họa (GUI) ................................................................................. 24
Cấu hình bằng dòng lệnh (command-line) .............................................................................. 24
Chuyển đổi qua lại giữa hai chế độ GUI và Server Core ......................................................... 25
Gộp cạc mạng (NIC teaming) ..................................................................................................... 27
Sử dụng Server Manager............................................................................................................. 32
Tóm tắt nội dung.......................................................................................................................... 44
Câu hỏi ôn tập .............................................................................................................................. 44
1.3 Cấu hình lưu trữ tại máy server ................................................................................................ 45
Lựa chọn giải pháp ....................................................................................................................... 45
Bao nhiêu server thì đủ? .............................................................................................................. 46
Ước lượng dung lượng đĩa .......................................................................................................... 46
Sử dụng công nghệ Storage Spaces ......................................................................................... 46
Cài đặt đĩa cứng trong Windows ............................................................................................... 47
Hệ thống quản lý tập tin ............................................................................................................. 50
1
Thực hành cài đặt đĩa cứng ......................................................................................................... 50

Tạo và gắn kết (mount) một đĩa cứng ảo (VHD – Virtual Hard Disk) .................................... 53
Tạo một storage pool .................................................................................................................. 55
Tạo đĩa cứng ảo ............................................................................................................................ 58
Tạo volume kiểu simple ............................................................................................................... 62
Tạo volume kiểu striped, spanned, mirrored hoặc RAID-5 .................................................... 66
Tóm tắt nội dung.......................................................................................................................... 68
Câu hỏi ôn tập .............................................................................................................................. 68
Chương 2. Quản lý tập tin, in ấn và truy cập từ xa .......................................................................... 70
2.1 Quản lý và chia sẻ tập tin .......................................................................................................... 70
Chia sẻ thư mục ............................................................................................................................ 70
Thực hiện cấp quyền sử dụng .................................................................................................... 75
Hệ thống quản lý quyền của Windows ..................................................................................... 75
Quyền Basic, quyền Advanced ................................................................................................... 76
Quyền cho phép (Allow) và quyền từ chối (Deny) ................................................................... 77
Kế thừa quyền ............................................................................................................................... 78
Cơ chế tác động của các quyền ................................................................................................. 78
Thực hành cấp quyền chia sẻ ..................................................................................................... 79
Quyền NTFS .................................................................................................................................. 81
Cấp quyền NTFS basic ................................................................................................................. 82
Cấp quyền NTFS Advanced ......................................................................................................... 83
Kết hợp giữa quyền chia sẻ và quyền NTFS ............................................................................. 83
Cấu hình Volume Shadow Copies .............................................................................................. 84
Cấu hình Quota............................................................................................................................. 86
Cấu hình Work Folders ................................................................................................................ 87
Tóm tắt nội dung.......................................................................................................................... 90
Câu hỏi ôn tập .............................................................................................................................. 90
2.2 Cấu hình dịch vụ in ấn ............................................................................................................... 91
Triển khai print server (server phục vụ in ấn) ........................................................................... 91
2
Chia sẻ một printer....................................................................................................................... 97

Quản lý driver của printer ........................................................................................................... 98
Sử dụng Easy Print ....................................................................................................................... 99
Cấu hình bảo mật printer ............................................................................................................ 99
Quản lý tài liệu in........................................................................................................................ 100
Quản lý printer ............................................................................................................................ 101
Sử dụng role Print and Document Services ............................................................................ 103
Cài đặt printer cho người dùng bằng Group Policy .............................................................. 105
Tóm tắt nội dung........................................................................................................................ 107
Câu hỏi ôn tập ............................................................................................................................ 107
2.3 Quản lý server từ xa ................................................................................................................. 108
Quản lý server từ xa bằng Server Manager ............................................................................ 108
Kết nối tới server ........................................................................................................................ 109
Quản lý các server chưa gia nhập domain .............................................................................. 110
Quản lý các server đang chạy Windows Server 2012 R2 ...................................................... 111
Quản lý các server phiên bản cũ .............................................................................................. 112
Tạo các nhóm cho server .......................................................................................................... 114
Sử dụng Remote Server Administration Tools ....................................................................... 115
Làm việc với các server từ xa .................................................................................................... 116
Tóm tắt nội dung........................................................................................................................ 116
Câu hỏi ôn tập ............................................................................................................................ 117
Chương 3. Cấu hình Hyper-V............................................................................................................ 118
3.1. Tạo và cấu hình máy ảo .......................................................................................................... 118
Kiến trúc của ảo hóa .................................................................................................................. 118
Triển khai Hyper-V ..................................................................................................................... 120
Vấn đề bản quyền trên Hyper-V .............................................................................................. 120
Giới hạn phần cứng trên Hyper-V ............................................................................................ 120
Hyper-V server ............................................................................................................................ 121
Cài đặt Hyper-V .......................................................................................................................... 122
3
Sử dụng Hyper-V manager ....................................................................................................... 124

Tạo một máy tính ảo .................................................................................................................. 125
Máy ảo thế hệ 1 (Generation 1) và thế hệ 2 (Generation 2)................................................. 128
Cài đặt hệ điều hành cho máy ảo ............................................................................................ 130
Cấu hình Guest Integration Services ........................................................................................ 131
Sử dụng Enhanced Session mode ............................................................................................ 133
Cấp phát bộ nhớ......................................................................................................................... 134
Sử dụng chế độ cấp phát bộ nhớ động (Dynamic memory) ............................................... 135
Cấu hình Smart Paging .............................................................................................................. 136
Cấu hình resource metering ..................................................................................................... 136
Tóm tắt nội dung........................................................................................................................ 137
Câu hỏi ôn tập ............................................................................................................................ 138
3.2. Cấu hình lưu trữ trong ảo hóa ............................................................................................... 139
Các loại đĩa cứng ảo ................................................................................................................... 139
Tạo đĩa ảo .................................................................................................................................... 140
Tạo đĩa ảo cùng với máy ảo ...................................................................................................... 140
Tạo một đĩa ảo mới .................................................................................................................... 141
Gắn đĩa cứng ảo vào máy ảo .................................................................................................... 141
Tạo đĩa ảo lưu sự thay đổi (Differencing)................................................................................ 144
Máy ảo dùng đĩa cứng thật ...................................................................................................... 146
Chỉnh sửa đĩa ảo ......................................................................................................................... 147
Tạo checkpoint ........................................................................................................................... 148
Cấu hình QoS (Quality of Service) cho hệ thống lưu trữ ...................................................... 149
Kết nối tới SAN (Storage Area Network) ................................................................................. 150
Sử dụng Fibre Channel .............................................................................................................. 152
Kết nối máy ảo tới SAN ............................................................................................................. 153
Tóm tắt nội dung........................................................................................................................ 154
Câu hỏi ôn tập ............................................................................................................................ 155
3.3. Tạo và cấu hình mạng ảo........................................................................................................ 156
4
Tạo switch ảo .............................................................................................................................. 156

Cấu hình địa chỉ MAC ................................................................................................................ 160
Tạo cạc mạng ảo ........................................................................................................................ 161
Cạc mạng kiểu synthetic và emulated ..................................................................................... 163
Cấu hình tăng tốc cho phần cứng ........................................................................................... 164
Một số cấu hình cạc mạng nâng cao ...................................................................................... 165
Cấu hình gộp cạc mạng (NIC teaming) cho mạng ảo ........................................................... 165
Một số tình huống sử dụng mạng ảo ..................................................................................... 168
Tóm tắt nội dung........................................................................................................................ 169
Câu hỏi ôn tập ............................................................................................................................ 169
Chương 4. Triển khai một số dịch vụ mạng quan trọng ............................................................... 171
4.1. Cấu hình địa chỉ IPv4 và IPv6.................................................................................................. 171
Địa chỉ IPv4 .................................................................................................................................. 171
Phân lớp trong IPv4 ................................................................................................................... 172
CIDR (Định tuyến liên miền không phân lớp) ........................................................................ 173
IPv4 public và private ................................................................................................................. 174
Chia mạng con trong IPv4......................................................................................................... 175
Supernetting ............................................................................................................................... 176
Gán địa chỉ IPv4 .......................................................................................................................... 177
Địa chỉ IPv6 .................................................................................................................................. 179
Quy tắc rút gọn địa chỉ IPv6 ..................................................................................................... 179
Địa chỉ mạng trong IPv6 ............................................................................................................ 180
Các loại địa chỉ IPv6 ................................................................................................................... 180
Gán địa chỉ IPv6 .......................................................................................................................... 181
DHCPv6 ........................................................................................................................................ 182
Chia mạng con trong IPv6......................................................................................................... 183
Vấn đề chuyển sang IPv6 .......................................................................................................... 184
Tóm tắt nội dung........................................................................................................................ 186
Câu hỏi ôn tập ............................................................................................................................ 187
5
4.2. DHCP ......................................................................................................................................... 188

Một số khái niệm về DHCP ....................................................................................................... 188
Gói tin DHCP ............................................................................................................................... 189
Hoạt động của DHCP................................................................................................................. 190
Gia hạn sử dụng địa chỉ IP ........................................................................................................ 192
Cài đặt DHCP server ................................................................................................................... 194
Tạo kho địa chỉ (scope) .............................................................................................................. 194
Cấu hình các tùy chọn của DHCP ............................................................................................. 196
Đặt trước địa chỉ IP (reservation).............................................................................................. 197
Sử dụng PXE ................................................................................................................................ 198
Cài đặt trạm chuyển tiếp DHCP (DHCP relay agent) ............................................................. 199
Tóm tắt nội dung........................................................................................................................ 201
Câu hỏi ôn tập ............................................................................................................................ 201
4.3. DNS ............................................................................................................................................ 202
Kiến trúc của DNS ...................................................................................................................... 203
Hoạt động của DNS ................................................................................................................... 204
Cơ chế lưu tạm (caching) trên máy DNS server ..................................................................... 207
Cơ chế lưu tạm (caching) trên máy DNS client (resolver) ..................................................... 208
Truy vấn (query) và tham vấn (referral) trong DNS ............................................................... 208
Server chuyển tiếp trong DNS (DNS forwarder) .................................................................... 209
Phân giải ngược (reverse name solution) ............................................................................... 210
Triển khai DNS server ................................................................................................................ 211
Tạo zone ...................................................................................................................................... 212
Tạo zone tích hợp trong AD ..................................................................................................... 213
Tạo các bản ghi thông tin cho DNS server ............................................................................. 214
Thực hiện một số cấu hình khác trên DNS server ................................................................. 217
Tóm tắt nội dung........................................................................................................................ 218
Câu hỏi ôn tập ............................................................................................................................ 219
Chương 5. Cài đặt và quản trị Active Directory .............................................................................. 221
6
Cài đặt domain controller ....................................................................................................... 221

Triển khai AD DS ......................................................................................................................... 221
Tạo forest ..................................................................................................................................... 222
Thêm một domain controller vào domain .............................................................................. 224
Tạo domain con trong một forest............................................................................................ 227
Cài đặt AD DS trên Server Core ................................................................................................ 227
Sử dụng phương pháp cài đặt IFM (Install from Media) ...................................................... 229
Nâng cấp AD DS ......................................................................................................................... 230
Triển khai Active Directory IaaS trên Windows Azure ........................................................... 231
Gỡ bỏ một domain controller................................................................................................... 231
Cấu hình global catalog............................................................................................................. 232
Khắc phục lỗi không đăng kí được bản ghi DNS SRV ........................................................... 233
Tóm tắt nội dung........................................................................................................................ 234
Câu hỏi ôn tập ............................................................................................................................ 234
Tạo và quản lý người dùng, máy tính trong AD DS ............................................................ 236
Tạo tài khoản người dùng ......................................................................................................... 236
Các công cụ để tạo tài khoản người dùng ............................................................................. 237
Tạo tài khoản người dùng bằng Windows PowerShell ......................................................... 239
Tạo tài khoản mẫu (template) .................................................................................................. 240
Tạo nhiều tài khoản người dùng .............................................................................................. 241
Tạo tài khoản máy tính .............................................................................................................. 244
Tạo tài khoản máy tính bằng Active Directory Users And Computers ............................... 245
Tạo tài khoản máy tính bằng Active Directory Administrative Center ............................... 246
Tạo tài khoản máy tính bằng Dsadd.exe................................................................................. 246
Tạo tài khoản máy tính bằng Windows PowerShell .............................................................. 246
Quản lý các tài khoản trong AD ............................................................................................... 247
Quản lý nhiều người dùng ........................................................................................................ 247
Kết nối máy tính vào domain.................................................................................................... 248
Kết nối máy tính vào domain bằng NETDOM.EXE................................................................. 249
7
Kết nối gián tiếp (offline) máy tính vào domain .................................................................... 249
Quản lý tài khoản người dùng/máy tính không sử dụng ..................................................... 250
Tóm tắt nội dung........................................................................................................................ 250
Câu hỏi ôn tập ............................................................................................................................ 251
5.3 Tạo và quản lý OU, Group....................................................................................................... 252
Tạo OU ......................................................................................................................................... 252
Áp dụng GPO trên OU ............................................................................................................... 253
Ủy quyền quản trị trên OU ........................................................................................................ 253
Group ........................................................................................................................................... 255
Phân loại group theo chức năng (type) .................................................................................. 256
Phân loại group theo phạm vi (scope) .................................................................................... 256
Lồng group (nesting group) ..................................................................................................... 257
Tạo group .................................................................................................................................... 258
Thêm thành viên cho group ..................................................................................................... 259
Quản lý thành viên của group bằng Group Policy ................................................................ 259
Quản lý group bằng DSMOD ................................................................................................... 261
Đổi kiểu của group ..................................................................................................................... 261
Xóa Group ................................................................................................................................... 262
Tóm tắt nội dung........................................................................................................................ 262
Câu hỏi ôn tập ............................................................................................................................ 262
Chương 6. Tạo và quản lý các nhóm chính sách ............................................................................ 265
Tạo GPO .................................................................................................................................... 265
GPO .............................................................................................................................................. 266
Cấu hình Central Store............................................................................................................... 266
Sử dụng Group Policy Management Console ........................................................................ 267
Tạo và gắn nonlocal GPO .......................................................................................................... 267
Chức năng lọc trong GPO ......................................................................................................... 269
Starter GPO ................................................................................................................................. 270
Cấu hình nhóm chính sách ........................................................................................................ 270
8
Tạo các local GPO ....................................................................................................................... 271

Tóm tắt nội dung........................................................................................................................ 273
Câu hỏi ôn tập ............................................................................................................................ 274
Cấu hình chính sách bảo mật ................................................................................................. 275
Chính sách cục bộ ...................................................................................................................... 275
Chính sách theo dõi người dùng ............................................................................................. 276
Thiết lập quyền hạn của người dùng ...................................................................................... 278
Các cấu hình bảo mật khác ....................................................................................................... 279
Thiết lập mẫu .............................................................................................................................. 279
Tạo và sử dụng mẫu .................................................................................................................. 279
Người dùng và nhóm người dùng cục bộ .............................................................................. 281
Cơ chế kiểm soát tài khoản người dùng (UAC)...................................................................... 283
Chế độ secure desktop .............................................................................................................. 285
Cấu hình UAC .............................................................................................................................. 285
Tóm tắt nội dung........................................................................................................................ 286
Câu hỏi ôn tập ............................................................................................................................ 287
6.3 Chính sách hạn chế phần mềm ứng dụng ........................................................................... 288
Cấu hình Software Restriction Policies .................................................................................... 288
Cấu hình các luật hạn chế phần mềm ..................................................................................... 290
Cấu hình cho Software Restriction Policies............................................................................. 292
Sử dụng AppLocker.................................................................................................................... 294
Tóm tắt nội dung........................................................................................................................ 296
Câu hỏi ôn tập ............................................................................................................................ 297
6.4 Cấu hình Windows Firewall ..................................................................................................... 298
Windows Firewall ........................................................................................................................ 298
Làm việc với Windows Firewall ................................................................................................. 299
Cửa sổ Windows Firewall With Advanced Security................................................................ 302
Tóm tắt nội dung........................................................................................................................ 306
Câu hỏi ôn tập ............................................................................................................................ 306
9
Mở đầu
Tài liệu này được dịch với một vài lý do:
- Tập dịch tài liệu từ tiếng Anh sang tiếng Việt
- Giúp các bạn còn yếu tiếng Anh có thêm tài liệu để tham khảo
- Có nhận xét là cuốn này có khá nhiều lỗi, nên muốn dịch và làm thực hành lại xem thực hư
thế nào. Vì từ trước đến giờ bản thân vẫn hay đặt niềm tin hoàn toàn vào các tài liệu tiếng
Anh, mà đây lại là một tài liệu của Microsoft.
- Dịch để tự học
Với những lý do trên, cộng với kiến thức có hạn nên chắc chắn không tránh khỏi những sai sót. Mong
bạn đọc bỏ qua.
Đà Lạt, 26/8/2014
10
Chương 1. Cài đặt và cấu hình server

Các nội dung sẽ trình bày trong chương này:
- Cài đặt hệ điều hành server
- Cấu hình server
- Cấu hình lưu trữ
1.1 Cài đặt hệ điều hành server

Các nội dung sẽ trình bày trong phần này:
- Chuẩn bị cài đặt
- Chế độ Server Core
- Tối ưu hệ thống bằng Features on Demand
- Cài đặt hệ điều hành Windows Server 2012 R2
- Nâng cấp lên Windows Server 2012 R2
- Di chuyển các thiết lập từ hệ thống cũ sang hệ thống mới
Chuẩn bị cài đặt

Việc cài đặt hệ điều hành server cho hệ thống mạng không phải là việc làm thường xuyên. Do vậy, bạn
cần phải xem xét cẩn thận trước khi thực hiện. Để lựa chọn hệ điều hành server phù hợp, bạn cần xem
xét các khía cạnh sau:
- Sử dụng hệ điều hành nào
- Sử dụng giao diện đồ họa hay dòng lệnh
- Có triển khai ảo hóa hay không
- Chức năng chính của Server là gì
- Chạy thử nghiệm hay triển khai cho hệ thống thật
Windows Server 2012 R2 là hệ điều hành 64-bit, không hỗ trợ vi xử lý Itanium.
Windows Server 2012 R2 hỗ trợ ba chế độ làm việc, bạn có thể chuyển đổi qua lại giữa các chế độ làm
việc này mà không phải cài đặt lại hệ điều hành:
- Chế độ dòng lệnh (Server Core)
- Chế độ giao diện đồ họa (GUI)
- Chế độ rút gọn (Minimal Server Interface)
Các tiêu chí để lựa chọn phiên bản Windows Server 2012 R2 là:
- Các chức năng sẽ triển khai trên server
- Có nhu cầu triển khai hạ tầng ảo hóa không
- Chi phí bản quyền
11
Windows Server 2012 R2 có bốn phiên bản, chúng khác nhau về chức năng và chi phí bản quyền. Cụ
thể:
Datacenter Hỗ trợ tới 64 processor, cho phép gắn thêm processor mà không cần tắt
máy (hot-add processor). Nếu cài đặt cho các máy ảo, phiên bản này
không giới hạn số lượng cài đặt.
Chứa đầy đủ các chức năng của Windows Server 2012 R2
Standard Chứa đầy đủ các chức năng của Windows Server 2012 R2. Nếu cài đặt
cho các máy ảo, số lượng cài đặt được quy định trong giấy phép.
Essentials Bản này không có chế độ Server Core, không hỗ trợ Hyper-V và Active
Directory Federation Services. Chỉ cài được trên một máy (máy thật hoặc
máy ảo). Số tài khoản người dùng không vượt quá 25.
Foundation Chức năng bị hạn chế, chỉ có một số chức năng quan trọng như quản lý
tập tin, in ấn, và ứng dụng. Số tài khoản người dùng không vượt quá 15.
Sau khi cài đặt hệ điều hành Windows Server 2012 R2, tùy theo chức năng của server, bạn sẽ tiến hành
cài đặt các role.
Role là các chức năng quan trọng được tích hợp sẵn trong hệ điều hành server. Bạn có thể cài đặt các
role bằng Server Manager hoặc Windows PowerShell.
Do Windows Server 2012 R2 có hỗ trợ ảo hóa, nghĩa là bạn sẽ có hai chế độ bản quyền khác nhau.
Bản quyền cho các máy thật và bản quyền cho các máy ảo. Bản quyền cho máy thật gọi tắt là POSE
(Physical Operation System Environment). Bản quyền cho máy ảo gọi tắt là VOSE(Virtual Operation
System Environment).
Khi bạn đã mua bản quyền, bạn sẽ luôn được phép cài đặt trên máy thật. Tuy nhiên, số lượng được
phép cài đặt trên máy ảo có khác nhau giữa các bản. Xem chi tiết trong bảng sau:
Bản Số lượng POSE Số lượng VOSE
Datacenter 1 Không giới hạn
Standard 1 2
Essentials 1 (POSE hoặc VOSE) 1 (POSE hoặc VOSE)
Foundation 1 0
Bảng sau là thông tin liên quan đến việc mua bản quyền Windows Server 2012 R2
Bản Bán lẻ Bán sỉ Nhà cung cấp thiết bị

(retail) (Volume
Licensing)
12
(OEM - Original
Equipment
Manufacturer)
Datacenter Không Có Có
Standard Có Có Có
Essentials Có Có Có
Foundation Không Không Có
Yêu cầu về cấu hình phần cứng

Cấu hình phần cứng tối thiểu để cài đặt hệ điều hành Windows Server 2012 R2:
- Processor: 64-bit, 1.4 GHz
- RAM: 512 MB
- Đĩa cứng: 32 GB
- Độ phân giải màn hình 1024 x 768 hoặc cao hơn
- Có chuột (hoặc thiết bị thay thế chuột), bàn phím
- Có kết nối Internet
Bảng sau là cấu hình hệ thống tối đa mà Windows Server 2012 R2 và Windows Server 2008 R2 có thể
hỗ trợ:
Windows Server 2012 R2 Windows Server 2008 R2
Logical processors 1 640 256
RAM 4 TB 2 TB
Số nút cho phép 64 16

trong Failover cluster
Chế độ Server Core

Server Core: là một chế độ làm việc của hệ điều hành, ở chế độ này hệ điều hành sẽ giảm thiểu các
chức năng không cần thiết. Ví dụ: giảm thiểu các thành phần giao diện người dùng, không có trình đơn
Start, không có Desktop Explorer, không có MMC, hầu như không có ứng dụng đồ họa, chỉ có giao
diện dòng lệnh. Xem hình minh họa.
1
Ebook “Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2”ghi thiếu chữ Logical
13
Ưu điểm khi chạy ở chế độ Server Core:

- Tiết kiệm tài nguyên phần cứng: vì đã loại bỏ các thành phần cần dùng nhiều RAM và
processor.
- Tiết kiệm không gian đĩa cứng: vì đã giảm được một phần không gian để lưu các thành phần
của hệ điều hành, không gian cho quá trình chuyển đổi vùng nhớ (swap) cũng không cần
nhiều.
- Giảm thiểu việc nâng cấp liên quan đến các thành phần giao diện đồ họa, do vậy hạn chế việc
phải khởi động lại máy tính, hệ thống ít có thời gian chết hơn.
- Giảm các tấn công từ bên ngoài
Windows Server 2012 R2 cho phép chuyển đổi qua lại giữa chế độ Server Core và GUI mà không phải
cài đặt lại hệ điều hành, sử dụng Windows PowerShell (Windows Server 2008 và 2008 R2 không cho
làm điều này). Như vậy chúng ta có thể cài đặt Server ở chế độ GUI, thực hiện các cấu hình cần thiết ở
chế độ đồ họa, sau đó chuyển nó sang dạng Server Core.
Chế độ cài đặt mặc định của Windows Server 2012 R2 là chế độ Server Core.
Windows Server 2012 R2 trang bị đầy đủ các công cụ cho phép quản trị hoàn toàn từ xa.
Bảng sau liệt kê các role và feature (chức năng) có và không có trong chế độ Server Core của
Windows Server 2012 R2.
Các role có sẵn trong Server Core Các role không có sẵn trong Server Core
Active Directory Certificate Services Active Directory Federation Services
Active Directory Domain Services Application Server
Active Directory Lightweight Fax Server

Directory Services
14
Active Directory Rights Management Network Policy and Access Services

Services
DHCP Server RemoteDesktop Gateway

RemoteDesktop Session Host
RemoteDesktop Web Access
DNS Server Volume Activation Services
File and Storage Services Windows Deployment Services
Hyper-V
Print and Document Services
Remote Access
Web Server (IIS)
Windows Server Update Services
Chế độ Minimal Server Interface

Là chế độ giao diện người dùng đã được lược bớt một số thành phần. Ví dụ các thành phần đã bị gỡ
bỏ: Internet Explorer, Desktop, File Explorer, các ứng dụng Desktop của Windows 8, một số thành
phần trong Control Panel (Programs and Features, Networking and Sharing Center, Devices and
Printers Center, Display, Firewall, Windows Update, Fonts, Storage Spaces).
Minimal Server Interface có các thành phần sau: Server Manager, MMC, Device Manager, Windows
PowerShell.
Để chuyển từ chế độ GUI sang Minimal Server Interface, sử dụng Windows PowerShell hoặc Remove
Roles And Features Wizard gỡ bỏ feature Server Graphic Shell. Xem hình minh họa.
15
Tối ưu hệ thống bằng Features on Demand

Trong quá trình cài đặt Windows Server 2012 R2, toàn bộ nội dung của đĩa nguồn được chép vào thư
mục WinSxS, tổng kích thước khoảng 5GB. Mục đích là để sau này có thể bổ sung thêm một số thành
phần của hệ điều hành mà không cần tới đĩa nguồn cài đặt.
Thư mục WinSxS chiếm nhiều không gian đĩa cứng, đặc biệt khi trên server có triển khai nhiều máy
ảo. Ngoài ra việc sử dụng SANs, SSDs cũng làm tốn nhiều không gian đĩa cứng. Features on Demand
sẽ giúp tiết kiệm không gian đĩa cứng bằng việc gỡ bỏ một số thành phần không cần thiết từ hệ điều
hành và từ thư mục WinSxS.
Trong các bản Windows trước Windows Server 2012 R2, mỗi thành phần của hệ điều hành chỉ có hai
trạng thái là hoạt động (enabled) và không hoạt động (disabled). Tuy nhiên Features on Demand cung
cấp thêm trạng thái thứ ba là không hoạt động và gỡ bỏ nguồn (Disabled with payload removed).
Để thiết lập trạng thái Disabled with payload removed bằng Windows PowerShell, sử dụng lệnh
Uninstall-WindowsFeature với tham số Remove. Ví dụ, để vô hiệu và gỡ bỏ thành phần Server
Graphical Shell sử dụng lệnh sau:
Uninstall-WindowsFeature Server-Gui-Shell -Remove
Muốn khôi phục lại một thành phần đã bị vô hiệu và gỡ bỏ nguồn, bạn phải sử dụng Windows Update
hoặc lấy lại từ đĩa nguồn.
Cài đặt hệ điều hành Windows Server 2012 R2

Sau đây là các bước để cài đặt hệ điều hành Windows Server 2012 R2 trên máy ảo. Bạn cần chuẩn bị
đĩa nguồn cài đặt.
1. Tạo máy ảo bằng phần mềm WMware, phiên bản sử dụng ở đây là 9.0.2; RAM 1GB; đĩa cứng
60 GB. Nối máy ảo với đĩa nguồn Windows Server 2012 R2.iso.
2. Khởi động máy ảo. Quá trình cài đặt bắt đầu. Xuất hiện cửa sổ để chọn ngôn ngữ.
16
3. Chọn ngôn ngữ cài đặt là English, bấm Next. Xuất hiện cửa sổ sau.
4. Bấm Install Now. Xuất hiện trang Enter the product key…
17
5. Nhập mã cài đặt (product key) của Windows Server 2012 R2. Bấm Next để mở trang Select the
operating system you want to install.
6. Chọn GUI để cài đặt chế độ giao diện cửa sổ, chọn Server Core để cài đặt chế độ giao diện
dòng lệnh. Bấm Next để mở trang License terms.
7. Đánh dấu chọn vào mục I accept the license terms. Bấm Next để mở trang Which type of
installation do you want?
18
8. Chọn Custom: Install Windows only để cài mới. Xuất hiện trang Where do you want to install
Windows?
9. Bấm nút New, theo chỉ dẫn để tạo các partition như hình sau. Chọn Partition để cài đặt hệ điều
hành là Partition 2.
19
10. Bấm Next để mở trang Installing Windows.
11. Hệ thống sẽ tự thực hiện quá trình cài đặt, tự khởi động lại và xuất hiện cửa sổ Setting để đặt
mật khẩu cho tài khoản Administrator. Quá trình cài đặt hoàn thành.
20
Nâng cấp lên Windows Server 2012 R2

Việc nâng cấp từ các phiên bản server trước lên Windows Server 2012 R2 khá phức tạp, vì vậy
Microsoft khuyến khích cài hệ điều hành Windows Server 2012 R2 mới, sau đó thực hiện di chuyển
các chức năng (role), các ứng dụng và các cài đặt từ server cũ sang server mới.
Các trường hợp sau không thể nâng cấp lên Windows Server 2012 R2:
- Các bản Windows Server trước Windows Server 2008
- Các phiên bản trước phiên bản RTM của Windows Server 2012 R2
- Các hệ điều hành dành cho máy trạm
- Hệ điều hành Windows Server 2008 bản 32-bit
- Các hệ điều hành chạy trên nền Itanium
- Nâng cấp phiên bản từ ngôn ngữ này (ví dụ tiếng Pháp) sang phiên bản của ngôn ngữ khác (ví
dụ tiếng Anh)
Các công việc cần chuẩn bị trước khi nâng cấp
- Kiểm tra phần cứng, đảm bảo đáp ứng được với yêu cầu của Windows Server 2012 R2
- Kiểm tra không gian đĩa cứng. Yêu cầu đĩa cứng phải chứa được hệ điều hành cũ và hệ điều
hành mới
- Chuẩn bị phương án cho việc cài đặt driver của các thiết bị, nâng cấp các phần mềm kiểu
kernel-mode
- Chép driver của các thiết bị vào ổ đĩa cứng hoặc thư mục /amd64
- Kiểm tra tính tương thích của các ứng dụng với hệ điều hành mới
- Kiểm tra để chắc chắn mình có toàn quyền trên máy tính chuẩn bị được nâng cấp. Hệ điều
hành Windows Server 2008 hoặc 2008 R2 đang chạy tốt.
- Thực hiện lưu dự phòng toàn bộ hệ thống (hệ điều hành, thông tin cấu hình, dữ liệu)
- Tắt chương trình phòng chống virus
- Ngắt cáp dữ liệu nối giữa máy tính với thiết bị lưu điện dự phòng (UPS)
- Chuẩn bị đĩa nguồn Windows Server 2012 R2, mã cài đặt (key), mã kích hoạt
Nâng cấp
Thực hiện nâng cấp bằng chức năng upgrade trong quá trình cài đặt. Cụ thể, khởi động máy server
bằng đĩa nguồn Windows Server 2012 R2, thực hiện theo chỉ dẫn cho tới khi xuất hiện cửa sổ sau:
21
Tại đây, sẽ chọn Upgrade: Install Windows and keep files, settings, and applications để thực hiện nâng
cấp.
Di chuyển các thiết lập từ hệ thống cũ sang hệ thống mới

Đây cũng là giải pháp để thay thế một server đang chạy hệ điều hành cũ hơn bằng server Windows
Server 2012 R2.
Microsoft khuyến khích thực hiện cài đặt một Windows Server 2012 R2 mới hoàn toàn, sau đó di
chuyển các thiết lập (role) từ server cũ sang.
Giải pháp này chỉ thực hiện di chuyển các thiết lập quan trọng từ server cũ sang server mới.
Sử dụng công cụ Windows Server Migration Tools để thực hiện. Đây là công cụ (feature) của
Windows Server 2012 R2. Phải cài đặt công cụ này trên cả hai máy: máy nguồn và máy đích.
Giải pháp này có thể áp dụng trong các trường hợp sau:
- Máy nguồn đang chạy từ Windows Server 2003 SP2 trở lên
- Có thể di chuyển từ hệ điều hành đang chạy nền 32-bit hoặc 64-bit
- Có thể di chuyển giữa các bản (edition) khác nhau của Windows Server
- Có thể di chuyển từ máy ảo sang máy thật và ngược lại
- Có thể di chuyển giữa máy đang chạy ở chế độ Server Core sang máy đang chạy chế độ GUI
Câu hỏi ôn tập

1. Có thể sử dụng vi xử lý nào dưới đây để cài đặt Windows Server 2012 R2?
A. Chỉ có vi xử lý 32-bit
B. Chỉ có vi xử lý 64-bit
C. Vi xử lý 32-bit hoặc vi xử lý 64-bit
D. Vi xử lý 64-bit hoặc vi xử lý Itanium
22
2. Giải pháp nâng cấp lên Windows Server 2012 R2 nào sau đây có thể thực hiện được?
A. Từ Windows Server 2003 Standard lên Windows Server 2012 R2 Standard
B. Từ Windows Server 2008 Standard lên Windows Server 2012 R2 Standard
C. Từ Windows Server 2008 32-bit lên Windows Server 2012 R2 64-bit
D. Từ Windows 7 Ultimate lên Windows Server 2012 R2 Essentials
3. Để chuyển Windows Server 2012 R2 từ chế độ Server Core sang Minimal Server Interface, bạn
phải cài đặt feature nào?
A. Graphical Management Tools and Infrastructure
B. Server Graphical Shell
C. Windows PowerShell
D. Microsoft Management Console
4. Cho biết tên của thư mục mà Windows sử dụng để lưu toàn bộ các thành phần cần thiết liên
quan đến việc cài đặt các chức năng của hệ điều hành sau này?
A. Windows
B. System32
C. bin
D. WinSxS
5. Các lý do để sử dụng chế độ Server Core (có thể chọn nhiều đáp án)?
A. Có thể chuyển server từ chế độ Server Core sang chế độ GUI mà không phải cài đặt lại
hệ điều hành
B. Tập lệnh của Windows PowerShell 4.0 trong Windows Server 2012 R2 nhiều hơn gấp
10 lần so với Windows PowerShell 2.0
C. Bản Server Manager mới trong Windows Server 2012 R2 giúp việc quản trị từ xa dễ
dàng hơn
D. Giá bản quyền của Windows Server 2012 R2 Server Core thấp hơn đáng kể so với bản
GUI
1.2 Cấu hình server

Có thể sử dụng công cụ Server Manager để quản lý Windows Server 2012 R2 hoàn toàn từ xa. Tuy
nhiên, trước tiên phải thực hiện cấu hình một số dịch vụ trực tiếp trên máy server như:
- Cấu hình kết nối mạng
- Thiết lập múi giờ (time zone)
- Bật chức năng Remote Desktop
- Đổi tên máy tính
- Kết nối máy tính vào domain (joining a domain)
23
Cấu hình bằng các công cụ đồ họa (GUI)

Sử dụng mục Properties trong Local Server của Server Manager để thực hiện cấu hình. Có thể cấu hình
trực tiếp trên máy server hoặc cấu hình từ máy tính khác bằng công cụ Remote Desktop. Một số ví dụ:
- Mục Ethernet: để cấu hình các thông tin kết nối mạng
- Mục Time Zone: để thiết lập múi giờ cho server
- Mục Remote Desktop: để cấu hình truy cập server từ xa
- Mục Computer Name: để đổi tên máy, gia nhập vào domain
Xem hình minh họa.
Cấu hình bằng dòng lệnh (command-line)

Để đổi tên máy tính, gia nhập vào domain: sử dụng chương trình Sconfig.com hoặc Netdom.exe.
Một số ví dụ,
- Để đổi tên máy tính:
netdom renamecomputer %ComputerName% /NewName: <NewComputerName>
24
- Khởi động lại máy tính:

shutdown /r
- Kết nối máy tính vào một domain:
netdom join %ComputerName% /domain: <DomainName> /userd: <Username> /passwordd: *
Ở câu lệnh trên, khi máy tính chạy tới dấu “*”, nó sẽ yêu cầu bạn nhập mật khẩu cho tài khoản bạn đã
khai báo trong câu lệnh. Lệnh này xem như máy tính đã được gán địa chỉ IP. Nếu chưa được gán, bạn
có thể thực hiện gán tĩnh bằng lệnh Netsh.exe trong Server Core hoặc lệnh New-NetIPAddress trong
Windows PowerShell.
Chuyển đổi qua lại giữa hai chế độ GUI và Server Core
Trong Windows Server 2012 R2, bạn có thể chuyển một máy tính đang làm việc ở chế độ GUI sang
chế độ Server Core, và ngược lại, bạn cũng có thể thêm phần giao diện đồ họa GUI cho một máy tính
đang chạy chế độ Server Core.
Nhờ khả năng này, người quản trị có thể thực hiện cài đặt server ở chế độ GUI, sử dụng các công cụ đồ
họa để thực hiện các cài đặt, sau đó chuyển máy tính sang chế độ Server Core để tiết kiệm các tài
nguyên hệ thống.
Để chuyển từ GUI sang Server Core bằng Server Manager, bạn phải chạy Remove Roles And Features
Wizard và gỡ bỏ các features sau:
- Graphical Management Tools And Infrastructure
- Server Graphical Shell
25
Để chuyển từ chế độ Server Core sang GUI, bạn phải sử dụng Windows PowerShell để cài đặt hai
feature đã bị gở bỏ ở phía trên, sử dụng lệnh sau:
Install-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell –Restart
//lệnh không phân biệt chữ hoa <> chữ thường
Để chuyển từ GUI sang Server Core bằng Windows PowerShell, sử dụng lệnh sau:
Uninstall-WindowsFeature Server-Gui-Mgmt-Infra, Server-Gui-Shell –Restart
26
Gộp cạc mạng (NIC teaming)

Tạm gọi NIC teaming là gộp cạc mạng, NIC team là cạc mạng gộp. Gộp cạc mạng là một chức năng
(hay tiện ích) của Windows Server 2012 R2, nó cho phép chúng ta gộp nhiều cạc mạng lại để tăng hiệu
xuất truyền dữ liệu và tăng khả năng chịu lỗi.
Dựa vào ảo hóa, chúng ta có thể sử dụng một server thật để cài đặt nhiều server ảo trên đó, mỗi server
ảo cài đặt một chức năng quan trọng nào đó trong hệ thống mạng. Tuy nhiên, nếu server thật có trục
trặc thì sẽ dẫn đến các server ảo cũng bị ảnh hưởng theo. Ví dụ, server thật bị hư cạc mạng, hoặc
switch nối với server thật bị hư, hoặc quên chưa cắm cáp cho máy server thật, những lỗi này sẽ dẫn tới
máy server thật và cả các server ảo đều không thể giao tiếp với hệ thống mạng.
Teaming có ý nghĩa tương tự với: bonding, balancing và aggregation.
Trước đây, gộp cạc mạng là chức năng đi kèm với các phần cứng cụ thể.
Windows Server 2012 R2 cung cấp chức năng gộp cạc mạng độc lập với phần cứng. Nó cho phép kết
hợp nhiều cạc mạng vật lý thành một cạc mạng duy nhất. Cạc mạng gộp (thường) có băng thông bằng
tổng băng thông của nhiều cạc mạng gộp lại, đồng thời tăng khả năng chịu lỗi cho kết nối, bởi nếu có
một vài cạc mạng vật lý bị trục trặc thì hệ thống vẫn duy trì kết nối bình thường, tất nhiên băng thông
có bị giảm.
Gộp cạc mạng trong Windows Server 2012 R2 hỗ trợ hai kiểu (mode)2: Switch Independent Mode và
Switch Dependent Mode.
- Switch Independent Mode: các cạc mạng được kết nối vào các switch khác nhau, cung cấp
các đường truyền dự phòng cho hệ thống mạng.
- Switch Dependent Mode: các cạc mạng được nối vào cùng một switch, cung cấp kết nối với
băng thông bằng tổng băng thông của các cạc mạng.
Trong kiểu Switch Independent Mode bạn có hai lựa chọn là:
- Active/active all adapters: tất cả các cạc mạng đều ở chế độ hoạt động (active), băng thông sẽ
là tổng băng thông của các cạc mạng. Nếu một cạc mạng bị hư, lưu lượng mạng sẽ được chia
tải cho các cạc mạng còn lại.
- Active/standby: một cạc mạng sẽ được thiết lập ở chế độ dự trữ (standby), khi nào có một cạc
mạng bị hư, cạc mạng ở chế độ dự trữ sẽ được chuyển sang chế độ hoạt động (active). Như
vậy, trước và sau khi một cạc mạng bị hư, băng thông của hệ thống sẽ không thay đổi.
Trong kiểu Switch Dependent Mode bạn có hai lựa chọn là:
- Generic (hay static) teaming: kiểu cấu hình này yêu cầu cấu hình trên cả switch và host để
xác định liên kết nào sẽ tham gia vào cạc mạng gộp. Vì cấu hình bằng tay, nên không cần
thêm giao thức để hỗ trợ switch và host trong việc xác định đường truyền và xác định các lỗi
trong quá trình thiết lập. Kiểu này được hỗ trợ bởi các server-class switch. Kiểu này được sử
dụng nhiều trong việc chia tải giữa các cạc mạng trong hệ thống.
2
agnosticcomputing.com
27
- Dynamic teaming (Link Aggregation Control Protocol – LACP, IEEE 802.1ax): kiểu này còn
có tên khác là IEEE 802.3ad. Dynamic teaming làm việc dựa trên giao thức LACP. Giao thức
này tự động xây dựng, điều chỉnh các cạc mạng gộp, tự động xác định các kết nối nào giữa
switch và host sẽ tham gia vào cạc mạng gộp. Yêu cầu các thiết bị phải có hỗ trợ LACP.
Có thể tạo và quản lý cạc mạng gộp bằng Server Manager hoặc Windows PowerShell.
Sau đây là các bước để tạo cạc mạng gộp bằng Server Manager:
1. Trong môi trường máy ảo (VMware), thực hiện gắn thêm cạc mạng cho máy ảo. Trong giao
diện của phần mềm VMware, vào trình đơn VM, chọn Settings, bấm vào mục Add…, chọn
mục Network Adapter, bấm Next để thêm cạc mạng.
2. Trong Server Manager, mục NIC Teaming đang ở trạng thái Disabled, bấm chuột vào chữ
Disabled.
28
3. Cửa sổ NIC Teaming xuất hiện, trong phần TEAMS, bấm vào mục TASKS, chọn New Team.
4. Trong cửa sổ New team bấm vào mục Additional properties để mở rộng các mục cần cấu
hình.
29
5. Tại cửa sổ New team, nhập tên cho cạc mạng gộp sẽ tạo vào mục Team name, ví dụ
NICTeam1. Trong mục Member adapters, đánh dấu chọn vào các cạc mạng sẽ tham gia vào
NICTeam1, ví dụ: Ethernet, Ethernet2.
6. Chọn kiểu cho cạc mạng gộp trong mục Teaming mode, có thể chọn các kiểu sau:
 Static Teaming (thuộc kiểu switch dependent mode)
 Switch Independent
 LACP (thuộc kiểu switch dependent mode)
30
7. Chọn kiểu chia sẻ tải trong mục Load balancing mode, có thể chọn các kiểu sau:
 Address Hash
 Hyper-V Port
 Dynamic
8. Nếu mục Teaming mode bạn chọn kiểu Switch Independent thì mục Standby adapter sẽ được
bật để bạn chọn cạc mạng nào sẽ chuyển sang trạng thái chờ (standby) – dự phòng, hoặc
không có cạc mạng nào ở trạng thái chờ (None). Ví dụ ở đây sẽ chọn cạc mạng Ethernet ở
trạng thái chờ.
9. Bấm nút OK để xem kết quả.
31
10. Khi cạc mạng gộp đã được tạo, bạn sẽ sử dụng cửa sổ NIC Teaming để theo dõi trạng thái
hoạt động của các cạc mạng gộp cũng như của từng cạc mạng. Nếu có cạc mạng nào đó có
vấn đề, bạn sẽ nhận được thông báo, và tùy thuộc vào kiểu cạc mạng gộp đã được cấu hình hệ
thống sẽ có những thay đổi cần thiết.
Sử dụng Server Manager

Công cụ Server Manager trong Windows Server 2012 R2 là một ứng dụng thể hiện sự thay đổi quan
trọng trong quản trị mạng của Windows Server.
Với các hệ điều hành từ Windows Server 2012 trở về trước, nếu người quản trị muốn cài đặt một chức
năng bằng giao diện đồ họa, họ phải thao tác trực tiếp trên máy server hoặc thông qua công cụ remote
desktop. Tuy nhiên, với Server Manager trong Windows Server 2012 R2, người quản trị có thể cài đặt
các chức năng cho mọi máy server trên mạng.
Kết nối tới các server
Từ Windows Server 2012 và 2012 R2, hệ thống cho phép kết nối và quản lý cùng một lúc nhiều server,
dù là server vật lý hay server ảo. Tuy nhiên, các server phải đang chạy Windows Server 2003 trở lên.
Trong Server Manager, bạn có thể nhóm các server theo các nhóm để dễ quản lý, có thể nhóm theo các
chức năng cụ thể hoặc theo phạm vi địa lý.
Các bước để kết nối tới server:
1. Mở Server Manager, chọn All Servers ở khung bên trái.
32
2. Vào mục Manage ở trình đơn, chọn Add Servers. Hộp thoại Add Servers xuất hiện.
3. Lựa chọn cách thức để tìm kiếm các server sẽ kết nối.
- Active Directory: cho phép tìm các server trong miền AD DS
- DNS: tìm các server dựa vào DNS server
- Import: cung cấp tên của server dưới dạng một tập tin văn bản
4. Hệ thống sẽ tìm kiếm hoặc nạp danh sách các server từ tập tin văn bản, và hiển thị các server có thể
kết nối.
33
5. Lựa chọn server muốn kết nối, bấm chuột vào hình mũi tên phía phải để thêm server vào danh sách
Selected.
6. Bấm OK. Tên server sẽ được thêm vào mục All Servers.
Cài đặt các chức năng cho server (role và feature)
Sử dụng Add Roles And Features Wizard để cài đặt các chức năng cho server.
Các bước thực hiện:
1. Mở Server Manager, chọn mục Manage ở trình đơn, chọn Add Roles And Features, Add Roles
And Features Wizard sẽ xuất hiện.
2. Bấm Next để mở cửa sổ Select Installation Type.
34
3. Chọn Role-based or feature-based installation và bấm Next, cửa sổ Select Destination Server xuất
hiện.
4. Lựa chọn server mà bạn muốn cài đặt các chức năng, bấm Next, cửa sổ Select Server Roles xuất
hiện.
35
5. Lựa chọn các chức năng mà bạn muốn cài đặt. Nếu hệ thống yêu cầu phải cài đặt thêm các thành
phần liên quan đến chức năng đã chọn, cửa sổ Add Features That Are Required sẽ xuất hiện.
6. Bấm Add Features để chấp nhận cài đặt các thành phần liên quan, sau đó bấm Next để mở cửa sổ
cho phép chọn các thành phần sẽ cài đặt.
7. Lựa chọn các thành phần bạn muốn cài đặt, bấm Next, hệ thống có thể xuất hiện thêm các yêu cầu
cài đặt khác.
36
8. Tiếp tục bấm Next để chuyển qua các cài đặt khác. Cuối cùng là cửa sổ xác nhận các chức năng đã
chọn.
9. Bạn có thể lựa chọn thêm các tùy chọn liên quan đến quá trình cài đặt:
- Máy tính tự khởi động lại sau khi cài đặt xong, nếu các chức năng bắt buộc phải khởi động lại.
- Xuất ra tập tin .xml kịch bản cài đặt vừa thực hiện, để bạn có thể thực hiện cài đặt tương tự trên
server khác bằng Windows PowerShell.
- Cung cấp đường dẫn tới nơi chứa thư mục WinSxS, là nơi chứa đĩa nguồn của Windows Server
2012 R2 (trường hợp bạn đã sử dụng Features on Demand để xóa thư mục này).
10. Bấm nút Install để hệ thống tiến hành cài đặt. Khi hệ thống cài đặt xong bấm Close để kết thúc.
Các chức năng cài đặt xong sẽ xuất hiện ở khung bên trái của cửa sổ Server Manager.
Cài đặt các chức năng cho server đang tắt
Ngoài việc cho phép cài đặt các chức năng cho server đang hoạt động, Server Manager còn cho phép
cài đặt các chức năng trên server ảo đang tắt. Cụ thể, Server Manager cho phép bạn kết nối tới đĩa
cứng ảo (từ một máy server khác) để cài đặt hoặc gỡ bỏ các chức năng mà không nhất thiết phải bật
máy ảo lên.
Các bước để cài đặt chức năng lên đĩa cứng ảo:
1. Mở Server Manager, chọn mục Manage ở trình đơn, chọn Add Roles And Features, Add Roles
And Features Wizard sẽ xuất hiện.
2. Bấm Next để mở cửa sổ Select Installation Type.
3. Chọn Role-based or feature-based installation và bấm Next, cửa sổ Select Destination Server xuất
hiện.
4. Chọn Virtual Hard Disk, bấm vào Browse...để xác định vị trí của đĩa cứng ảo cần cài đặt.
37
5. Trong mục Server Pool, lựa chọn server kết nối tới đĩa cứng ảo (ví dụ: Server1), bấm Next, cửa sổ
Select Server Roles xuất hiện.
6. Lựa chọn các chức năng mà bạn muốn cài đặt. Nếu hệ thống yêu cầu phải cài đặt các thành phần
bổ sung, cửa sổ Add Features That Are Required sẽ xuất hiện.
7. Bấm Add Features để chấp nhận cài đặt các thành phần bổ sung, sau đó bấm Next để mở cửa sổ
cho phép chọn các thành phần sẽ cài đặt.
8. Lựa chọn các thành phần muốn cài đặt, bấm Next, có thể xuất hiện thêm các yêu cầu cài đặt liên
quan khác.
9. Tiếp tục bấm Next để chuyển qua các cài đặt có liên quan khác. Cuối cùng là cửa sổ xác nhận các
chức năng đã chọn.
10. Bạn có thể lựa chọn thêm các tùy chọn liên quan đến quá trình cài đặt:
- Xuất ra tập tin .xml kịch bản cài đặt vừa thực hiện, để bạn có thể thực hiện cài đặt tương tự trên
server khác bằng Windows PowerShell.
- Cung cấp đường dẫn tới nơi chứa thư mục WinSxS, là nơi chứa đĩa nguồn của Windows Server
2012 R2 (trường hợp bạn đã sử dụng Features on Demand để xóa thư mục này).
11. Bấm nút Install để hệ thống tiến hành cài đặt. Khi hệ thống cài đặt xong bấm Close để kết thúc quá
trình cài đặt.
38
Cấu hình các dịch vụ

Hầu hết các chức năng trong Windows Server đều có các dịch vụ (service) đi kèm, chúng là các
chương trình chạy ngầm dưới hệ thống để đáp ứng các yêu cầu từ các client.
Server Manager cho phép theo dõi và quản lý tất cả các dịch vụ đang chạy trên server. Mở Server
Manager, tất cả các service đã được cài đặt sẽ hiển thị tại mục SERVICES. Bấm chuột phải vào mỗi
dịch vụ để thực hiện các thao tác như: bật, tắt, bật lại, dừng và chạy tiếp.
39
Mục SERVICES trong Server Manager có chức năng tương tự như snap-in Services trong MMC ở các
phiên bản Windows Server trước, chỉ khác là SERVICES không cho phép thực hiện thay đổi trường
Start Type. Để thay đổi trường Start Type, sử dụng snap-in Services trong MMC hoặc lệnh Set-Service
trong Windows PowerShell.
Trong cửa sổ Server Manager, bấm chọn từng mục ở khung bên trái để hiển thị và quản lý các dịch vụ
đi kèm với mỗi mục.
Để thực hiện các cấu hình khác mà nó không có trong Server Manager bạn phải sử dụng các tiện ích
khác và MMC snap-ins. Thực hiện bằng cách: chọn server, chọn mục Tools trong trình đơn.
Ủy quyền quản trị server
Trong các hệ thống mạng lớn, sẽ có một số công việc phải thực hiện thường xuyên, vì vậy cần phải có
người chịu trách nhiệm thực hiện các công việc này. Ủy quyền quản trị là trao quyền cho một cá nhân
được phép thực hiện một số công việc nhất định. Ví dụ, bạn có thể trao quyền cho một nhân viên có
quyền tạo mới tài khoản người dùng nhưng không được phép thay đổi cấu trúc của Active Directory,
cũng như mật khẩu của giám đốc điều hành.
Sử dụng DSC3(Desired State Configuration) trong Windows PowerShell
DSC là bước phát triển tiếp theo của Windows PowerShell. Nó được đưa ra vào năm 2006 như là một
phần của Windows PowerShell 1.0.
Từ Windows Server 2012, Windows PowerShell đã được phát triển để thực hiện cấu hình bằng dòng
lệnh tất cả các tác vụ quản trị, bên cạnh hình thức thực hiện trên giao diện đồ họa.
Trong Windows PowerShell 4.0, DSC cung cấp cách thức cấu hình bằng kịch bản (script) mới.
Để thực hiện, người quản trị sẽ tạo một kịch bản với từ khóa configurations, sau đó là các từ khóa
nodes, resources. Trong đó:
- configurations: là tên của kịch bản.
- nodes: tên máy tính.
- resources: tên của các thành phần cần cài đặt.
Ví dụ sau là một kịch bản đơn giản nhằm xây dựng một web server:
Configuration CompanyWeb
{
Node “Server1”
{
WindowsFeature InstallIIS
{
Ensure = “Present” #nếu muốn gỡ bỏ IIS thay “Present” bằng “Absent”
Name = ‘Web-Server”
}
File CopyWebSite
{
3
http://technet.microsoft.com/en-us/library/dn249912.aspx
40
Ensure = “Present”
Type = “Directory”
Recurse = $true
SourcePath = $WebsitePath #nơi chứa các tập tin nguồn của Website
DestinationPath = “C:\inetpub\wwwroot”
DependsOn = “[WindowsFeature]InstallIIS” #yêu cầu IIS đã được cài đặt4
}
}
}
Ở kịch bản này, từ khóa Node cho biết tên của server sẽ được cấu hình (ví dụ: Server1). Từ khóa
WindowsFeature và File là các thành phần đã được định nghĩa trước, bạn có thể sử dụng chúng để thực
hiện các cấu hình.
Từ khóa WindowsFeature xác định chức năng cần cài đặt là Web-Server, và từ khóa File sẽ thực hiện
chép các tập tin của website tới Server1, với $WebsitePath là đường dẫn tới vị trí có chứa các tập tin
của website.
DSC còn có nhiều từ khóa khác giúp bạn thực hiện các cấu hình liên quan đến các dịch vụ, registry,
biến môi trường, tài khoản người dùng, tài khoản nhóm. Ngoài ra, nó cũng cho phép người dùng tự
định nghĩa các từ khóa mới.
Các bước để tạo và chạy một DSC:
1. Bấm chuột phải vào biểu tượng của Windows PowerShell trên thanh taskbar, chọn Windows
PowerShell ISE với quyền Administrator.
2. Chọn mục View trên trình đơn, chọn Show Script Pane.
4
Tài liệu gốc ghi là “Requires”, tuy nhiên trong Windows Server 2012 R2 nó đã được thay bằng “DependsOn”
41
3. Nhập nội dung của kịch bản (ví dụ phía trên). Lưu ý: phần chú thích (bắt đầu bằng dấu #) không
nhất thiết phải nhập.
4. Bấm nút Run Script trên thanh công cụ, nội dung của kịch bản sẽ xuất hiện trong cửa sổ console
(bên dưới).
42
5. Kịch bản đã được tạo xong, thực thi configuration để tạo ra tập tin .MOF, bằng cách gõ tên của
kịch bản CompanyWeb tại cửa sổ console.
6. Để thực thi nội dung trong kịch bản, gõ lệnh sau, máy tính sẽ thực hiện các cài đặt:
Start-DscConfiguration –Wait –Verbose –Path .\CompanyWeb
43
Trong các công ty lớn, người quản trị có thể tạo ra một DSC server để quản lý tập trung các DSC. Để
tạo ra một DSC server, thực hiện cài đặt PowerShell Desired State Configuration Service, đây là một
chức năng của Windows PowerShell.
PowerShell Desired State Configuration Service sử dụng Internet Information Services Web server để
thực hiện cấu hình cho tất cả các máy trên mạng.
Tóm tắt nội dung

- Sử dụng Server Manager, người quản trị có thể thực hiện mọi công việc quản lý Windows Server
từ xa mà không cần phải thao tác trực tiếp tại máy server. Server Manager có thể quản trị cả máy
thật và máy ảo. Tuy nhiên, trước khi có thể quản trị máy tính từ xa, người quản trị phải thực hiện
một số thiết lập ngay tại máy server.
- Khi cài đặt, nếu bạn chọn chế độ giao diện Windows Server 2012 R2 là Server Core, thì bạn vẫn có
thể thực hiện mọi cấu hình từ chế độ dòng lệnh.
- Mục Properties trong Server Manager giúp bạn thực hiện một số cài đặt giống như chức năng của
Initial Configuration Tasks trong các Windows phiên bản trước.
- Trong Windows Server 2012 R2, bạn có thể chuyển đổi qua lại giữa hai chế độ GUI và Server
Core mà không phải cài đặt lại hệ điều hành.
- Gộp cạc mạng là một chức năng mới trong Windows Server 2012 R2, nó cho phép người quản trị
kết hợp nhiều cạc mạng lại với nhau, nhằm tăng hiệu xuất truyền dữ liệu và tăng khả năng chịu lỗi.
- Server Manager cho phép người quản trị nhóm các server lại để dễ quản lý. Có thể nhóm theo vị
trí, theo chức năng hoặc theo một tiêu chí bất kì tại mỗi cơ quan.
- Ngoài việc sử dụng Server Manager để cài đặt các chức năng cho máy server trên mạng, nó còn
cho phép cài đặt các chức năng cho máy ảo đang ở trạng thái tắt.

1. Để chuyển từ giao diện đồ họa (GUI) sang giao diện dòng lệnh (Server Core) cần gỡ bỏ các
thiết lập nào? (chọn nhiều đáp án)
A. Windows Management Instrumentation (WMI)
44
B. Graphical Management Tools and Infrastructure

C. Desktop Experience
D. Server Graphical Shell
2. Kiểu cấu hình gộp cạc mạng nào sau đây, vừa cung cấp khả năng chịu lỗi, vừa tăng băng thông
cho hệ thống?
A. Hyper-V live migration
B. Switch Independent Mode
C. Switch Dependent Mode
D. Link Aggregation Control Protocol
3. Để kết nối (join) một máy tính vào domain, sử dụng lệnh của chương trình nào sau đây?
A. Net.exe
B. Netsh.exe
C. Netdom.exe
D. Ipconfig.exe
4. Câu nào sau đây nói không đúng về Server Manager?
A. Server Manager có thể cùng một lúc cài đặt nhiều chức năng cho nhiều server
B. Server Manager có thể cài đặt các chức năng vào các đĩa cứng ảo (VHD – Virtual Hard
Disk) ngay cả khi máy ảo (VM – Virtual Machine) đang tắt
C. Server Manager có thể cài đặt nhiều chức năng (role và feature) cùng lúc
D. Server Manager có thể cài đặt các chức năng cho mọi máy Windows Server 2012 trên
mạng
5. Những thao tác nào sau đây không thể thực hiện được với một dịch vụ (service) trong Server
Manager?
A. Tắt một dịch vụ đang chạy (Stop)
B. Chạy một dịch vụ (Start)
C. Vô hiệu một dịch vụ (Disable)
D. Cấu hình để một dịch vụ tự chạy khi máy tính khởi động
1.3 Cấu hình lưu trữ tại máy server

Mặc dù Windows Server 2012 R2 được thiết kế để hướng đến lưu trữ từ xa và sử dụng điện toán đám
mây. Tuy nhiên, việc cấu hình cho hệ thống lưu trữ tại máy server cũng không kém phần quan trọng.
Lựa chọn giải pháp

Một máy Windows Server vẫn có thể hoạt động bình thường khi sử dụng thiết bị lưu trữ giống như
một máy trạm. Tức là, vẫn có thể sử dụng một hoặc nhiều đĩa cứng thông thường nối vào cổng SATA
45
(Serial ATA). Tuy nhiên, nhu cầu về đọc và ghi đĩa cứng trên máy server lớn hơn nhiều so với các máy
trạm. Vì vậy, một hệ thống lưu trữ thông thường, không đạt chuẩn, rất dễ bị quá tải khi có hàng trăm
người dùng cùng truy cập một lúc. Ngoài ra, các hệ thống đĩa cứng thông thường cũng không có cơ
chế dự phòng và rất khó cho việc nâng cấp, mở rộng về sau.
Các yếu tố cần phải xem xét khi chọn giải pháp cho việc lưu trữ:
- Tổng dung lượng đĩa cần thiết cho server
- Số lượng người dùng cùng truy cập một lúc tới server
- Mức độ bí mật của dữ liệu
- Mức độ quan trọng của dữ liệu đối với tổ chức
Bao nhiêu server thì đủ?

Trong triển khai mạng, có một câu hỏi hay được đặt ra là nên trang bị một máy server lớn hay nhiều
máy server nhỏ hơn? Để trả lời được câu hỏi này cần xem xét một số khía cạnh sau:
- Các chức năng của hệ thống sẽ được cài đặt trên các máy server thật hay cài trên các máy
server ảo (sử dụng công nghệ ảo hóa)
- Nếu sử dụng công nghệ ảo hóa, cũng nên biết những giới hạn trong việc lưu trữ của
Windows Server 2012 R2
- Nếu hạ tầng mạng của tổ chức có sử dụng đường thuê bao mạng WAN để giao tiếp giữa các
chi nhánh, thì sử dụng các server tại chỗ sẽ kinh tế hơn
- Cũng cần xem xét đặc thù giao dịch tại mỗi bộ phận trong tổ chức: các thao tác xử lý mang
tính cục bộ tại mỗi bộ phận hay cần phải lưu trữ và xử lý tập trung trong toàn tổ chức
- Yêu cầu về tính sẵn sàng và khả năng chịu lỗi của hệ thống
Ước lượng dung lượng đĩa

Tổng dung lượng đĩa cần thiết cho hệ thống phụ thuộc vào các yếu tố sau:
- Dung lượng đĩa cần thiết để cài đặt các ứng dụng
- Dung lượng đĩa mà các phần mềm yêu cầu cần có để chạy
- Dung lượng đĩa cho mỗi người dùng, nếu mọi người dùng đều cần lưu trữ dữ liệu của họ
trên server
- Nhu cầu mở rộng của tổ chức trong tương lai về ứng dụng và số lượng người dùng
Sử dụng công nghệ Storage Spaces

Storage Spaces là công nghệ ảo hóa đĩa cứng của Windows Server 2012 R2. Nó cho phép server gom
các đĩa cứng vật lý để tạo thành một khối chung, gọi là các storage pool, sau đó bạn có thể sử dụng
storage pool này để tạo ra các đĩa cứng ảo với kích thước đa dạng.
Đặc trưng của công nghệ ảo hóa này cũng tương tự như SAN và NAS (Network Attached Storage). Nó
cũng đòi hỏi đầu tư nhiều về phần cứng và quản trị, nó cho phép thay thế đĩa cứng mà không cần tắt
máy, sử dụng giải pháp JBOD (Just a Bunch of Disks).
46
Storage Spaces sẽ tạo ra các storage pool từ các đĩa cứng vật lý chưa được sử dụng. Dung lượng của
các storage pool này có thể điều chỉnh được bằng cách thêm đĩa cứng vật lý vào pool hoặc gỡ bỏ đĩa
cứng vật lý ra khỏi pool.
Từ storage pool người quản trị sẽ tạo ra các đĩa cứng ảo với kích thước tùy ý. Việc thao tác trên đĩa
cứng ảo hoàn toàn giống với thao tác trên đĩa cứng vật lý. Người dùng không cần quan tâm dữ liệu sẽ
được lưu vào đĩa vật lý nào, việc này đã có storage pool thực hiện ngầm bên dưới.
Bạn cũng có thể cung cấp khả năng chống lỗi (fault tolerance) cho các đĩa cứng ảo bằng cách sử dụng
các đĩa cứng thật trong storage pool để chạy dự phòng theo kiểu mirroring hoặc parity.
Sau khi tạo đĩa cứng ảo, bạn có thể thực hiện tạo các volume trên các đĩa cứng ảo này.
Sử dụng công cụ Server Manager để tạo và quản lý các storage pool.
Cài đặt đĩa cứng trong Windows

Nếu server chỉ có một đĩa cứng thì không có vấn đề gì, vì khi cài hệ điều hành, hệ thống đã tự động
thực hiện một số cài đặt. Tuy nhiên, nếu phải gắn thêm một đĩa cứng mới hoặc bạn muốn tự mình thiết
lập đĩa cứng thì bạn phải thực hiện một số công việc sau:
- Lựa chọn kiểu quản lý partition: Windows Server 2012 R2 hỗ trợ hai kiểu quản lý là MBR
(Master Boot Record) và GPT (GUID Partition Table). Với mỗi đĩa cứng vật lý, bạn phải
chọn một trong hai, không thể chọn cả hai loại cùng một lúc.
- Loại đĩa cứng: Windows Server 2012 R2 hỗ trợ hai kiểu là basic và dynamic. Trên một máy
tính có thể vừa có đĩa cứng kiểu basic vừa có đĩa cứng kiểu dynamic. Tuy nhiên, một đĩa
cứng thì không thể cùng một lúc thuộc hai kiểu này.
- Chia đĩa cứng thành các phân vùng (partition) hoặc các ổ đĩa logic (volume): mặc dù có thể
sử dụng hai khái niệm partition và volume thay thế cho nhau, vì thực tế có thể xem chúng
47
đều là các ổ đĩa logic. Tuy nhiên, chính xác thì partition được sử dụng cho đĩa cứng kiểu
basic, còn volume được sử dụng cho đĩa cứng kiểu dynamic.
- Chọn kiểu định dạng (hệ thống quản lý tập tin) cho partition hoặc volume: Windows Server
2012 R2 hỗ trợ các hệ thống quản lý tập tin NTFS, FAT (FAT16, FAT32, exFAT), và
ReFS.
Phần sau trình bày chi tiết hơn các nội dung trên.
Lựa chọn kiểu quản lý partition
- MBR: Đây là kiểu quản lý partition đã có từ trước khi có Windows, hiện tại nó vẫn được sử dụng
phổ biến cho các máy tính chạy trên nền x86 và x64.
- GPT: Đây là kiểu quản lý partition xuất hiện khoảng cuối những năm 1990, các phiên bản Windows
trước Windows Server 2008 và Windows Vista chạy trên nền x86 không hỗ trợ kiểu quản lý partition
này. Hiện nay (2014), hầu hết các hệ điều hành đều hỗ trợ kiểu quản lý partition này.
Các máy tính chạy trên nền x64 đều có thể làm việc được với cả MBR và GPT, miễn là đĩa khởi động
không nằm trên đĩa kiểu GPT.
Máy tính muốn khởi động được từ đĩa kiểu GPT nó phải hỗ trợ khởi động từ EFI (Extensible Firmware
Interface). Nếu không, máy tính buộc phải có một đĩa cứng kiểu MBR, khi đó GPT chỉ được sử dụng
để lưu trữ dữ liệu.
Loại đĩa cứng
Hầu hết các máy tính cá nhân đều sử dụng đĩa cứng kiểu basic vì quản lý nó đơn giản. Đĩa cứng kiểu
basic sử dụng MBR để quản lý các partition, gồm: partition kiểu primary, partition kiểu extended và
các ổ đĩa logic. Hệ điều hành sẽ được cài đặt vào một partition kiểu primary đã được đánh dấu là
active.
Trong Windows Server 2012 R2 sử dụng snap-in Disk Management để quản lý đĩa cứng kiểu basic,
chia đĩa theo MBR. Khi chia đĩa, chỉ có thể tạo tối đa là ba partition (hay volume) kiểu primary,
partition thứ tư sẽ có kiểu extended, tạo thêm các ổ đĩa logic trong partition kiểu extended.
Khi bạn chọn kiểu chia đĩa là GPT, bạn có thể tạo tới 128 ổ đĩa logic (volume), mỗi volume được xem
như một partition kiểu primary. Trong hệ thống GPT không có partition kiểu extended và ổ đĩa logic
(logical drive).
48
Có thể chuyển đĩa cứng từ kiểu basic sang dynamic và ngược lại. Khi chuyển sang kiểu dynamic, bạn
có thể tạo các volume với số lượng không hạn chế. Đĩa cứng kiểu dynamic hỗ trợ nhiều loại volume.
Các loại volume
Đĩa dynamic cho phép tạo không hạn chế các volume. Các volume có chức năng tương tự như partition
kiểu primary trên đĩa basic. Tuy nhiên, bạn không thể đánh dấu một volume trong đĩa dynamic là
active.
Có năm loại volume sau:
- Simple volume: là volume chỉ gồm không gian đĩa trên một đĩa cứng vật lý. Nếu simple
volume không phải là volume hệ thống hay volume khởi động thì bạn có thể mở rộng nó
bao gồm không gian đĩa trên các đĩa cứng vật lý khác để tạo thành spanned volume hoặc
striped volume. Bạn có thể tăng kích thước của một simple volume bằng cách lấy thêm các
vùng đĩa chưa được cấp phát trên cùng một đĩa cứng, hoặc cũng có thể thu nhỏ kích thước
của một simple volume với một số điều kiện nhất định.
- Spanned volume: là volume có chứa không gian đĩa của từ 2 tới 32 đĩa cứng vật lý, tất cả
đĩa cứng vật lý phải thuộc kiểu dynamic. Spanned volume là một phương pháp gom các
không gian đĩa trên các ổ đĩa cứng kiểu dynamic thành một volume có kích thước lớn hơn.
Khi ghi dữ liệu lên đĩa, Windows Server 2012 R2 sẽ ghi dữ liệu tuần tự từng đĩa cứng vật
lý, đầy đĩa đầu tiên sẽ sang đĩa kế tiếp. Có thể mở rộng spanned volume dễ dàng bằng cách
lấy thêm phần không gian đĩa cứng chưa sử dụng trên các đĩa cứng vật lý. Volume kiểu
spanned không giúp tăng hiệu xuất đọc/ghi dữ liệu lên đĩa, nó cũng không cung cấp khả
năng chịu lỗi cho đĩa cứng. Nếu một đĩa cứng vật lý thuộc volume bị hư, tất cả dữ liệu trên
volume sẽ bị mất.
- Striped volume: là volume có chứa không gian đĩa của từ 2 tới 32 đĩa cứng vật lý, tất cả đĩa
cứng vật lý phải thuộc kiểu dynamic. Dung lượng của mỗi đĩa cứng vật lý tham gia vào
volume phải bằng nhau. Tốc độ đọc/ghi trên hệ thống striped volume nhanh hơn so với
spanned volume, do dữ liệu được ghi đồng thời trên các đĩa cứng vật lý. Striped volume
không có cơ chế chịu lỗi, nếu một trong các đĩa cứng vật lý bị hư sẽ dẫn tới hư luôn cả
volume. Striped volume không cho mở rộng kích thước sau khi đã được tạo.
- Mirrored volume: là volume có hai không gian đĩa cứng bằng nhau, giống hệt nhau trên hai
đĩa cứng vật lý, cả hai đĩa cứng vật lý đều thuộc kiểu dynamic. Khi ghi dữ liệu lên đĩa cứng,
hệ thống sẽ thực hiện ghi đồng thời trên cả hai đĩa cứng vật lý, vì vậy dung lượng của dữ
liệu sẽ được nhân đôi khi lưu. Nếu một đĩa cứng vật lý bị hư, hệ thống vẫn truy cập được dữ
liệu trong volume bình thường, trong khi chờ đĩa cứng kia được sửa hoặc thay thế.
- RAID-5 volume: là volume phải nằm trên ít nhất ba đĩa cứng vật lý trở lên, tất cả các đĩa
cứng đều phải là kiểu dynamic. Nhờ dữ liệu lưu trên đĩa được tổ chứa dựa trên sự kết hợp
của striping và parity giữa các đĩa cứng vật lý, nên nếu có một đĩa cứng vật lý bị hư, hệ
thống vẫn có thể khôi phục lại dữ liệu dựa vào các ổ đĩa cứng vật lý còn lại. Nhờ vào kĩ
thuật striping nên tốc độ đọc đĩa cứng được nâng cao, nhưng tốc độ ghi đĩa cứng thì bị
chậm do phải tính toán liên quan đến parity.
49
Hệ thống quản lý tập tin

Để tổ chức, lưu trữ dữ liệu và các chương trình trên đĩa cứng, bạn phải cài đặt lên đĩa cứng một hệ
thống quản lý tập tin. Hệ thống quản lý tập tin là một cấu trúc tổ chức, nó giúp bạn tổ chức, lưu trữ các
tập tin và thư mục.
Để cài đặt hệ thống quản lý tập tin, bạn thực hiện định dạng (format) partition hoặc volume.
Windows Server 2012 R2 hỗ trợ năm kiểu hệ thống quản lý tập tin sau:
- NTFS
- FAT32
- exFAT
- FAT (hay còn được gọi là FAT16)
- ReFS
NTFS được khuyến khích sử dụng cho các máy server, lý do là NTFS hỗ trợ kích thước ổ đĩa, tập tin
lớn hơn so với FAT. Ngoài ra, NTFS còn hỗ trợ bảo mật tốt hơn, vì nó có cơ chế phân quyền và mã
hóa dữ liệu.
FAT32 có một số hạn chế: không có cơ chế phân quyền truy cập tập tin, thư mục; không thể quản lý
partition có kích thước lớn hơn 32 GB, không thể quản lý tập tin có kích thước lớn hơn 4 GB.
FAT không thể xử lý đĩa cứng có kích thước lớn hơn 4 GB, và tập tin lớn hơn 2 GB.
Vì những hạn chế của FAT và FAT32, nên hai hệ thống quản lý tập tin này chỉ được sử dụng để làm
việc với các hệ điều hành cũ của Windows mà không hỗ trợ NTFS hoặc làm các hệ thống khởi động
song song với các hệ điều hành không phải Windows. Server hầu như không sử dụng hệ thống FAT và
FAT32.
ReFS là hệ thống quản lý tập tin mới, lần đầu xuất hiện trong Windows Server 2012 R2. ReFS không
hạn chế kích thước của tập tin và thư mục, tăng khả năng phục hồi dữ liệu, loại bỏ các công cụ kiểm lỗi
đĩa cứng như Chkdsk.exe. ReFS không hỗ trợ một số đặc trưng của hệ thống NTFS như: nén tập tin,
mã hóa tập tin (EFS – Encrypted File System), hạn ngạch đĩa. Các hệ điều hành trước Windows Server
2012 và Windows 8 không thể đọc được dữ liệu trên hệ thống ReFS.
Thực hành cài đặt đĩa cứng

Trong Windows Server 2012 R2, bạn có thể quản lý đĩa cứng bằng các công cụ đồ họa hoặc dòng lệnh.
Các công cụ quản lý đĩa cứng nằm trong role File and Storage Services. Khi được cài đặt, role này sẽ
xuất hiện trong cửa sổ Server Manager. Role File and Storage Services cho phép quản lý các volume,
đĩa cứng, storage pool, chia sẻ, và các thiết bị iSCSI. Xem hình minh họa.
50
Role File and Storage Services trong Server Manager cho phép quản lý storage pool, tạo các đĩa cứng
ảo, thực hiện một số cấu hình trên volume, trên đĩa cứng vật lý. Có thể quản lý các đĩa cứng trên tất cả
các server hiển thị trong Server Manager.
Disk Management là một snap-in trong MMC, đây là công cụ truyền thống, vẫn thường được sử dụng
để quản lý đĩa cứng. Để truy cập Disk Management, mở Administrative Tools, chọn Computer
Management, chọn Disk Management.
Công cụ quản lý đĩa và volume bằng dòng lệnh là DiskPart.exe.
Thêm một đĩa cứng vật lý mới
Trong Windows Server 2012 R2, một đĩa cứng trước khi muốn sử dụng để lưu trữ phải được khởi tạo
các thông số (initialize).
Để gắn thêm một đĩa cứng mới, bạn cần phải tắt máy tính, gắn đĩa theo chỉ dẫn của nhà sản xuất. Đĩa
cứng vừa được gắn vào sẽ được hiển thị trong mục Disks của Server Manager, đĩa cứng sẽ có trạng
thái là Offline và kiểu của partition là Unknown. Xem hình minh họa (đĩa cứng 2 và 3 mới được gắn
thêm).
51
Để chuyển đĩa cứng sang trạng thái có thể truy cập được, bạn phải chuyển trạng thái của đĩa cứng từ
Offline sang Online. Để thực hiện, trong cửa sổ Server Manager, chọn mục Disks, chọn đĩa cứng cần
chuyển, bấm chuột phải, chọn mục Bring Online, sẽ xuất hiện một cửa sổ cảnh báo, bấm Yes, sau đó
bấm chuột phải vào đĩa cứng chọn Initialize. Sau khi thực hiện xong quá trình Initialize, kiểu partition
mặc định của đĩa cứng là GPT.
Không giống như trong snap-in Disk Management, tại cửa sổ Server Manager bạn không thể thiết lập
hay thay đổi được kiểu partition (MBR hay GPT) cho một đĩa cứng. Để thay đổi kiểu của partition bạn
phải sử dụng công cụ Disk Management, tại mục Disk Management, chuột phải vào ổ đĩa và chọn
Convert to MBR Disk hoặc Convert to GPT Disk. Lưu ý: quá trình này sẽ xóa các partition và làm mất
hết dữ liệu. Xem hình minh họa.
52
Tạo và gắn kết (mount) một đĩa cứng ảo (VHD – Virtual Hard Disk)
Hyper-V lưu đĩa cứng ảo của nó theo định dạng VHD hoặc VHDX, đây là hai định dạng của đĩa cứng
ảo (Virtual Hard Disk). Các định dạng này lưu mỗi đĩa cứng ảo trong một tập tin duy nhất, do vậy, rất
dễ di chuyển đĩa cứng ảo từ vị trí này sang vị trí khác, hoặc từ máy tính này sang máy tính khác.
Snap-in Disk Management trong Windows Server 2012 R2 cho phép tạo và gắn kết các đĩa cứng ảo.
Sau khi gắn kết một đĩa cứng ảo với máy tính ảo, bạn có thể sử dụng đĩa cứng ảo như một đĩa cứng vật
lý thông thường. Nếu muốn di chuyển đĩa cứng ảo sang máy tính khác, bạn chỉ việc ngắt gắn kết, và
thực hiện di chuyển tập tin VHD hoặc VHDX.
Các bước để tạo một VHD trong Disk Management:
1. Trong Server Manager, bấm vào mục Tools trên trình đơn, chọn Computer Management. Cửa
sổ Computer Management xuất hiện.
2. Chọn Disk Management để mở snap-in Disk Management.
3. Từ mục Action tại trình đơn, chọn Create VHD. Cửa sổ Create And Attach Virtual Hard Disk
xuất hiện.
53
4. Trong mục Location, xác định vị trí để lưu đĩa cứng ảo, và đặt tên cho đĩa cứng ảo.
5. Trong mục Virtual Hard Disk Size, nhập dung lượng cho đĩa cứng ảo sẽ tạo.
6. Lựa chọn kiểu định dạng của đĩa cứng ảo trong mục Virtual Hard Disk Format:
- VHD: định dạng kiểu cũ, tính tương thích tốt. Kích thước đĩa cứng ảo tối đa cho phép là
2040 GB.
- VHDX: định dạng mới hơn, chỉ tương thích với các máy tính chạy hệ điều hành Windows
Server 2012 và Windows Server 2012 R2. Kích thước đĩa cứng ảo tối đa cho phép là 64
TB.
7. Lựa chọn chế độ cấp phát không gian đĩa cho đĩa cứng ảo trong mục Virtual Hard Disk Type:
- Fixed Size: cấp phát không gian lưu trữ cho đĩa cứng ảo một lần, ngay khi đĩa được tạo ra.
- Dynamically Expanding: không gian lưu trữ được cấp cho đĩa cứng ảo mỗi khi có dữ liệu
được thêm vào đĩa cứng ảo.
8. Bấm OK để hoàn thành quá trình tạo đĩa cứng ảo. Sau khi được tạo ra, đĩa cứng ảo sẽ xuất hiện
trong cửa sổ của snap-in Disk Management, nếu không xuất hiện, bấm nút Refresh trên thanh
công cụ.
54
Sau khi được tạo, đĩa cứng ảo sẽ ở trạng thái chưa được khởi tạo các tham số đĩa (uninitialized). Vì
vậy, để sử dụng, bạn cần phải thực hiện khởi tạo đĩa cứng (initialize), và tạo các volume. Việc sử dụng
đĩa cứng này hoàn toàn như một đĩa cứng vật lý. Bạn có thể di chuyển đĩa ảo này tới vị trí khác, có thể
gắn kết đĩa cứng ảo này tới các máy ảo trên nền Hyper-V.
Tạo một storage pool

Sau khi gắn các đĩa cứng vật lý vào máy server, bạn có thể thực hiện tạo các storage pool để gom
không gian đĩa trong các đĩa cứng vật lý lại thành một khối. Sau đó, thực hiện tạo các đĩa cứng ảo với
kích thước bất kì trên các storage pool này.
Các bước để tạo storage pool:
1. Mở Server Manager, chọn mục File and Storage Services từ khung bên trái, một trình đơn con
sẽ mở ra, chọn mục Storage Pools, khung STORAGE POOL sẽ xuất hiện.
2. Trong khung STORAGE POOLS, chọn không gian đĩa cứng khởi đầu (primordial space) của
Storage pool, bấm chuột phải chọn New Storage Pool, (hoặc vào mục TASK, chọn New
Storage Pool), cửa sổ New Storage Pool Wizard xuất hiện.
3. Bấm Next, cửa sổ Specify A Storage Pool Name and Subsystem xuất hiện.
55
4. Nhập tên cho storage pool trong mục Name (ví dụ; Pool 1), bấm Next, cửa sổ Select Physical
Disks For the Storage Pool xuất hiện.
56
5. Đánh dấu chọn vào các đĩa cứng mà bạn muốn đưa nó vào Pool 1, bấm Next để xem lại các
thông tin liên quan đến thiết lập vừa thực hiện (Confirmation).
6. Bấm Create để máy tính thực hiện tạo storage pool.
7. Cuối cùng, bấm Close để hoàn thành quá trình tạo storage pool. Storage pool vừa được tạo sẽ
xuất hiện tại khung STORAGE POOLS.
Sau khi tạo ra storage pool, bạn có thể thực hiện điều chỉnh dung lượng của các storage pool, bằng
cách thêm hoặc bỏ bớt các đĩa cứng tham gia vào storage pool.
Để thêm đĩa cứng vào storage pool, chọn storage pool cần thêm đĩa cứng (tăng thêm không gian lưu
trữ), trong khung PHYSICAL DISKS, bấm TASK, chọn Add Physical Disk, sau đó đánh dấu chọn vào
đĩa cứng để thêm vào cho storage pool.
Để bỏ bớt đĩa cứng ra khỏi một storage pool, trong khung PHYSICAL DISKS, chuột phải vào đĩa
cứng muốn gỡ bỏ, chọn Remove Disk, cửa sổ cảnh báo xuất hiện, chọn Yes.
Để tạo một storage pool mới trong Windows PowerShell, sử dụng lệnh New-StoragePool với cú pháp
như sau:
New-StoragePool –FriendlyName <pool name> -StorageSubSystemFriendlyName <subsystem name>
-PhysicalDisks <CIM instances>
Để lấy được tên chính xác của các tham số subsystem (chương trình quản lý lưu trữ) và tên đĩa cứng
vật lý, lần lượt sử dụng hai hàm: Get-StorageSubsystem và Get-PhysicalDisk.
Ví dụ sau tạo một storage pool tên là Pool2.
57
Ngoài các tham số ở trên, lệnh tạo storage pool còn cho phép sử dụng thêm các tham số như:
- EnclosureAwareDefault: xác định storage pool có được tạo từ các đĩa cứng vật lý có hỗ trợ
SCSI Enclosure Services hay không.
- ProvisioningTypeDefault: xác lập kiểu cấp phát không gian lưu trữ mặc định cho đĩa cứng
ảo (Unknown, Fixed, Thin) khi được tạo từ pool.
- ResiliencySettingsNameDefault: xác lập kiểu lưu trữ nhằm thiết lập khả năng chịu lỗi của
đĩa cứng ảo (simple, mirror, partity) khi được tạo từ pool.
Tạo đĩa cứng ảo

Sau khi đã tạo storage pool, bạn có thể tạo các đĩa cứng ảo trên storage pool. Các bước để tạo đĩa cứng
ảo:
1. Mở Server Manager, chọn mục File and Storage Services từ khung bên trái, một trình đơn con
sẽ mở ra, chọn mục Storage Pools, khung STORAGE POOL sẽ xuất hiện.
2. Tại khung VIRTUAL DISK, chọn mục TASK, chọn New Virtual Disk, cửa sổ New Virtual
Disk xuất hiện.
3. Bấm Next để chuyển qua cửa sổ Select The Server And Storage Pool.
4. Chọn storage pool, nơi bạn sẽ tạo đĩa cứng ảo trên đó, bấm Next để chuyển sang cửa sổ Specify
The Virtual Disk Name.
5. Trong mục Name, nhập tên cho đĩa cứng ảo, bấm Next để chuyển sang cửa sổ Select The
Storage Layout.
58
6. Lựa chọn một trong các tùy chọn sau cho đĩa cứng ảo, và bấm Next:
- Simple: yêu cầu storage pool phải có ít nhất một đĩa cứng vật lý, không cần phải có khả
năng chịu lỗi. Khi hệ thống có nhiều hơn một đĩa cứng vật lý, nó sẽ thực hiện lưu dữ liệu
theo kĩ thuật stripe (lưu dữ liệu theo băng – một băng gồm các đoạn dữ liệu bằng nhau trên
các đĩa cứng, để tăng tốc độ đọc/ghi dữ liệu).
- Mirror: yêu cầu storage pool phải có ít nhất hai đĩa cứng vật lý, có khả năng chịu lỗi bằng
cách lưu thêm một bản sao của dữ liệu trên một đĩa cứng khác. Nghĩa là, khi lưu, dữ liệu sẽ
được lưu hai lần tại hai đĩa cứng khác nhau.
- Parity: yêu cầu storage pool phải có ít nhất ba đĩa cứng vật lý, có khả năng chịu lỗi bằng kĩ
thuật striping parity. Kĩ thuật này sẽ thực hiện lưu dữ liệu theo băng trên hai đĩa cứng vật
lý, không gian đĩa cứng cùng băng (stripe) trên đĩa cứng thứ ba sẽ được dùng để lưu thông
tin parity – thông tin giúp phục hồi dữ liệu.
7. Cửa sổ Specify The Provisioning Type xuất hiện.
59
8. Lựa chọn một trong hai kiểu cấp phát đĩa cứng (provisioning) sau, và bấm Next,
- Thin: hệ thống sẽ lấy không gian đĩa cứng của storage pool để cấp cho đĩa cứng ảo theo nhu
cầu sử dụng, cho tới khi nào đạt tới kích thước tối đa như khai báo khi tạo đĩa cứng ảo.
- Fixed: hệ thống sẽ lấy không gian đĩa cứng của storage pool để cấp cho đĩa cứng ảo một lần
theo kích thước đã được khai báo khi tạo đĩa cứng ảo.
9. Cửa sổ Specify The Size Of The Virtual Disk xuất hiện, nhập kích thước của đĩa cứng ảo trong
ô Specify size. Bấm Next, cửa sổ Comfirm Selections xuất hiện.
60
10. Bấm Create để tạo đĩa cứng ảo.

11. Bấm Close để kết thúc quá trình tạo đĩa cứng ảo. Đĩa cứng ảo vừa được tạo sẽ xuất hiện trong
khung VIRTUAL DISK. Để sử dụng được đĩa cứng ảo cần phải thực hiện quá trình tạo các
volume.
61
Tạo volume kiểu simple

Xin nói thêm một chút về hai khái niệm partition và volume. Khi bạn nói tạo partition, nghĩa là bạn
đang thực hiện chia đĩa trên đĩa cứng kiểu basic. Khi bạn nói tạo volume, nghĩa là bạn đang thực hiện
chia đĩa trên đĩa cứng kiểu dynamic.
Hai khái niệm này hoàn toàn khác nhau, mặc dù trong nhiều tài liệu người ta có thể dùng thay thế cho
nhau.
Khi bạn chuyển một đĩa cứng từ basic sang dynamic là bạn đã tạo ra một partition, với không gian đĩa
cứng là cả cái đĩa cứng vật lý. Nếu bạn tạo volume trên cái đĩa cứng đó, nghĩa là bạn đang tạo volume
trong partition.
Từ Windows 2008 trở về trước trong Disk Management vẫn còn phân biệt rõ ràng hai khái niệm này.
Tuy nhiên, trong Windows Server 2012 R2, khái niệm volume được sử dụng cho cả đĩa basic và đĩa
dynamic. Nếu khi tạo volume, nó đòi hỏi phải được tạo trên một đĩa dynamic thì quá trình tạo volume
sẽ yêu cầu bạn chuyển đĩa cứng sang dạng dynamic.
Mặc dù trong Windows Server 2012 R2, khái niệm partition đã bị bỏ qua. Tuy nhiên, khi bạn tạo
volume trên một đĩa cứng kiểu basic thì những quy định trong việc tạo partition vẫn được áp dụng.
Nghĩa là, nếu bạn chỉ tạo ba volume, thì ba volume đó sẽ tương ứng với ba partition kiểu primary, nếu
tạo volume thứ tư, thì nó sẽ thuộc kiểu extended, trong volume thứ tư bạn sẽ tạo tiếp các ổ đĩa logic.
Các bước để tạo một volume kiểu simple:
62
1. Mở Server Manager, chọn mục Tools ở trình đơn, chọn Computer Management để mở cửa sổ
Computer Management.
2. Chọn mục Disk Management ở khung bên trái để mở snap-in Disk Management.
3. Tại khung hiển thị các đĩa cứng dạng đồ họa, bấm chuột phải vào vùng đĩa cứng chưa được cấp
phát, chọn New Simple Volume, cửa sổ New Simple Volume Wizard xuất hiện.
4. Bấm Next để mở cửa sổ Specify Volume Size.
5. Nhập kích thước cho volume sẽ tạo. Lưu ý: kích thước phải nằm trong giới hạn Maximum disk
space và Minimum disk space. Bấm Next để mở cửa sổ Assign Drive Letter Or Path.
63
6. Chọn một trong ba tùy chọn sau:

- Assign The Following Drive Letter: lựa chọn một kí hiệu trong bảng chữ cái latin để đặt
cho volume sẽ tạo.
- Mount In The Following Empty NTFS Folder: ổ đĩa sẽ được ánh xạ tới một thư mục trống,
nội dung của thư mục chính là nội dung của ổ đĩa.
- Do Not Assign A Drive Letter Or Drive Path: tạo volume nhưng chưa sử dụng, nó không có
kí hiệu volume, không thể truy cập.
7. Bấm Next để mở cửa sổ Format Partition.
64
8. Chọn Do not format this volume để không thực hiện định dạng volume, hoặc chọn Format this
volume with the following settings để thực hiện định dạng volume. Một số tùy chọn liên quan
đến định dạng:
- File system: lựa chọn kiểu quản lý tập tin sẽ áp dụng cho volume. Tùy theo kích thước
của volume, có thể lựa chọn các kiểu sau: ReFS, NTFS, exFAT, FAT32 và FAT.
- Allocation Unit Size: xác định kích thước của một cluster, đơn vị tính là byte. Đây là
đơn vị cơ bản, hệ thống sẽ sử dụng đơn vị này khi thực hiện cấp phát không gian đĩa
cứng cho tập tin hoặc thư mục. Nên để mặc định, vì hệ thống đã tính toán dựa trên kích
thước của volume.
- Volume Label: đặt tên cho volume, tên này khác với kí hiệu của volume (C, D, E...v.v).
- Perform A Quick Format: nếu chọn mục này, hệ thống sẽ thực hiện định dạng đĩa,
nhưng không kiểm tra lỗi của các sector. Khi định dạng nhanh, hệ thống sẽ không tìm
và đánh dấu các sector bị lỗi, do vậy, sau này người sử dụng có thể gặp một số trục trặc
khi lưu dữ liệu lên các vùng sector bị lỗi. Không nên lựa chọn kiểu định dạng này.
- Enable File And Folder Compression: nén tập tin và thư mục, chỉ áp dụng cho volume
định dạng theo kiểu NTFS.
9. Bấm Next để mở cửa sổ Completing The New Simple Volume Wizard.
10. Xem lại các thông tin mà bạn đã thiết lập cho volume, sau đó bấm Finish để hệ thống tạo
volume.
Việc tạo volume có thể thực hiện như nhau trên đĩa cứng ảo và đĩa cứng thật.
65
Bạn có thể thực hiện tạo volume trực tiếp từ Server Manager, bằng cách: trong khung DISK bấm chuột
phải vào ổ đĩa cần tạo, chọn New Volume; hoặc trong khung VOLUMES, bấm TASK, chọn New
Volume. Điều khác duy nhất khi thực hiện từ Server Manager so với khi thực hiện bằng Disk
Management là: từ Server Manager cho phép bạn chọn Server và chọn đĩa để tạo volume, nghĩa là bạn
có thể tạo volume trên mọi đĩa cứng, trên mọi server.
Tạo volume kiểu striped, spanned, mirrored hoặc RAID-5

Các bước để tạo volume kiểu striped, spanned, mirrored hoặc RAID-5:
1. Mở Server Manager, chọn mục Tools ở trình đơn, chọn Computer Management để mở cửa sổ
2. Chọn mục Disk Management ở khung bên trái để mở snap-in Disk Management.
3. Bấm chuột phải vào vùng đĩa chưa được cấp phát, chọn kiểu volume cần tạo để mở cửa sổ New
Volume Wizard. Lưu ý: nếu số lượng đĩa cứng không đáp ứng đủ theo yêu cầu của mỗi kiểu
volume thì hệ thống sẽ không cho tạo. Ví dụ, volume kiểu striped, spanned, mirrored cần ít
nhất hai đĩa cứng vẫn còn không gian chưa cấp phát, volume kiểu RAID-5 cần ít nhất ba đĩa
cứng vẫn còn không gian chưa cấp phát.
4. Bấm Next để chuyển qua cửa sổ Select Disks.
66
5. Trong cửa sổ Select Disks, lựa chọn các đĩa cứng để tạo volume trên đó. Các đĩa cứng khả
dụng sẽ xuất hiện trong khung Available, chọn đĩa cứng, bấm Add để chuyển đĩa cứng sang
cửa sổ Selected. Đối với volume kiểu striped, spanned hoặc mirrored bạn phải chọn ít nhất hai
đĩa cứng. Đối với volume kiểu RAID-5 bạn phải chọn ít nhất ba đĩa.
6. Xác định không gian đĩa cứng bạn sẽ lấy từ mỗi đĩa để tạo volume, và bấm Next để mở cửa sổ
Assign Drive Letter or Path..
- Nếu kiểu volume là spanned: lựa chọn từng đĩa cứng trên khung Selected và nhập dung
lượng sẽ lấy trong mục Select the amount of space in MB.
- Nếu kiểu volume là striped, mirrored hoặc RAID-5, bạn chỉ cần nhập dung lượng đĩa cứng
một lần, vì volume kiểu này yêu cầu không gian lấy trên mỗi đĩa phải bằng nhau.
7. Tại cửa sổ Assign Drive Letter or Path, bạn có thể gán kí tự cho ổ đĩa hoặc ánh xạ nó tới một
thư mục trống, hoặc không làm gì cả. Bấm Next để mở cửa sổ Format Partition.
8. Lựa chọn kiểu định dạng cho ổ đĩa, bấm Next để mở cửa sổ Completing The New….
9. Xem lại các thông tin bạn đã thiết lập, bấm Finish. Nếu có bất kì đĩa cứng nào mà bạn đã chọn
để tạo volume có kiểu đĩa là basic, hệ thống sẽ thông báo và thực hiện việc chuyển đĩa cứng từ
basic sang dynamic.
10. Bấm Yes để thực hiện tạo volume.
67

- Windows Server 2012 R2 hỗ trợ hai loại phân vùng đĩa cứng: MBR và GPT. Hỗ trợ hai loại đĩa
cứng basic và dynamic. Hỗ trợ năm loại volume: simple, striped, spanned, mirrored và RAID-
5. Hỗ trợ ba hệ thống quản lý tập tin: ReFS, NTFS và FAT.
- Snap-in Disk Management có thể thực hiện khởi tạo, chia phân vùng, định dạng các đĩa cứng
trên máy cục bộ. Server Manager có thể thực hiện các thao tác tương tự cho tất cả các máy
server trên mạng.
- Windows Server 2012 R2 hỗ trợ công nghệ ảo hóa đĩa mới, có tên là Storage Spaces. Công
nghệ này cho phép server gom không gian đĩa cứng từ nhiều đĩa lại thành một khối, sau đó cấp
phát khối này cho các đĩa cứng ảo với kích thước bất kỳ.
- Server Manager trong mọi phiên bản Windows Server 2012 R2 đều cài sẵn role File and
Storage Services. Role này cho phép người quản trị có thể thực hiện các cài đặt liên quan đến:
volumes, disks, storage pools, shares, và các thiết bị iSCSI.
- Snap-in Disk Management trong Windows Server 2012 R2 cho phép bạn tạo đĩa cứng ảo
(VHD) và gắn kết (mount) chúng vào máy tính.
- Sau khi gắn đĩa cứng vật lý vào máy server, bạn có thể thực hiện tạo các storage pool để gom
không gian đĩa cứng. Sau đó sẽ tạo các đĩa cứng ảo trên storage pool.

1. Các phát biểu nào sau đây nói đúng về volume kiểu striped? (chọn tất cả các khả năng)
A. Volume kiểu striped giúp nâng cao hiệu xuất xử lý so với volume kiểu simple.
B. Volume kiểu striped có khả năng chịu lỗi tốt hơn volume kiểu simple.
C. Sau khi được tạo, bạn vẫn có thể mở rộng volume kiểu striped.
D. Nếu một trong các đĩa cứng thuộc volume bị hư, toàn bộ dữ liệu sẽ bị mất.
2. Các phát biểu nào sau đây mô tả đúng nhất về các yêu cầu khi muốn mở rộng một volume trên
đĩa kiểu dynamic? (chọn tất cả các khả năng).
A. Nếu bạn muốn mở rộng một volume kiểu simple, và sau khi mở rộng nó vẫn thuộc kiểu
simple, thì bạn chỉ có thể sử dụng không gian đĩa còn trống trên cùng một đĩa cứng vật
lý.
B. Trước khi bạn có thể mở rộng một volume kiểu simple hoặc spanned, volume đó phải
được định dạng theo một hệ thống quản lý tập tin (file system) cụ thể.
C. Trước khi bạn có thể mở rộng một volume kiểu simple hoặc spanned, volume đó phải
được định dạng theo FAT hoặc FAT32.
D. Bạn có thể mở rộng một volume kiểu simple sang các đĩa cứng khác, miễn là volume đó
không phải là system volume hoặc boot volume.
3. Kiểu volume nào sau đây được Windows Server 2012 R2 hỗ trợ và có khả năng chịu lỗi? (chọn
tất cả các khả năng).
A. Striped
68
B. Spanned
C. Mirrored
D. RAID-5
4. Khay chứa đĩa cứng dựa trên công nghệ JBOD có thể sử dụng để thay thế cho các công nghệ
lưu trữ nào sau đây?
A. SAN
B. SCSI
C. RAID
D. iSCSI
69
Chương 2. Quản lý tập tin, in ấn và truy cập từ xa

Chương này đề cập tới một số dịch vụ cơ bản, được sử dụng nhiều trên các máy server. Các dịch vụ đó
là:
- Quản lý và chia sẻ tập tin
- Quản lý in ấn
- Truy cập từ xa
2.1 Quản lý và chia sẻ tập tin

Một trong những công việc quan trọng hàng ngày của một người quản trị là quản lý việc lưu trữ tập tin
của người dùng và quản lý việc truy cập đến các tập tin đó. Hệ thống Windows không cho phép chia sẻ
từng tập tin. Vì vậy, để chia sẻ tập tin, bạn sẽ tạo thư mục, bỏ tập tin vào trong đó và tiến hành chia sẻ
thư mục.
Chia sẻ thư mục

Chia sẻ thư mục là làm cho người dùng trên mạng có thể sử dụng được thư mục đó. Sau khi thực hiện
xong công việc cấu hình đĩa cứng tại máy lưu trữ dữ liệu (file server), bạn phải thực hiện cấu hình chia
sẻ để cho mọi người trên mạng có thể sử dụng được đĩa cứng đó.
Trước khi cấu hình chia sẻ, bạn phải chuẩn bị trước các thứ sau:
- Các thư mục nào sẽ được chia sẻ
- Tên để đặt cho các thư mục chia sẻ là gì
- Các quyền sẽ được cấp cho người dùng
- Các thiết lập cho chế độ làm việc ngoại tuyến (offline file) liên quan đến dữ liệu chia sẻ
Trong Windows Server 2012 R2, để thực hiện chia sẻ, mở chương trình quản lý tập tin bất kì (ví dụ:
File Explorer), bấm chuột phải vào thư mục cần chia sẻ (lưu ý: tài khoản đang sử dụng phải có quyền
chia sẻ), chọn mục Share with, chọn Specific People, cửa sổ File Sharing xuất hiện.
70
Nếu bạn không phải là người tạo ra thư mục (creator owner), để thực hiện chia sẻ, bấm chuột phải vào
thư mục cần chia sẻ, chọn Properties, chọn táp Sharing, bấm Share…
Ở cửa sổ File Sharing, bạn chỉ có thể thực hiện được hai thiết lập là: lựa chọn người được phép sử
dụng thư mục chia sẻ này, và quyền tương ứng cho mỗi người.
Để cho phép người dùng có quyền truy cập thư mục chia sẻ, nhập tên người dùng hoặc tên nhóm, bấm
nút Add, hệ thống sẽ tự động kiểm tra xem tên đó có tồn tại trong hệ thống mạng hay không? Nếu tên
đó không tồn tại, hệ thống sẽ báo lỗi. Cũng có thể nhập người dùng bằng cách bấm vào dấu mũi tên
(cạnh chữ Add), chọn Find people…, cửa sổ Select Users or Groups xuất hiện.
71
Bấm Advanced…, hệ thống sẽ yêu cầu chứng thực bằng tài khoản được phép quản trị hệ thống (ví dụ:
administrator), cửa sổ Select Users or Groups sẽ xuất hiện thêm một số nút mới, bấm nút Find Now,
chọn người dùng hoặc nhóm, bấm OK, OK.
Để thiết lập quyền cho người dùng, tại cửa sổ File Sharing, chọn người dùng bất kì, tại cột Permision
Level, bấm dấu mũi tên (hình tam giác), chọn quyền đọc (Read), đọc và ghi (Read/Write), hoặc không
cho truy cập (Remove).
Để thực hiện các thiết lập khác liên quan đến chia sẻ, bấm chuột phải vào thư mục cần chia sẻ, chọn
Properties, chọn táp Sharing, chọn Advanced Sharing để mở cửa sổ Advanced Sharing.
72
Chức năng File and Storage Services trong Server Manager cho phép bạn cấu hình chia sẻ trên mọi đĩa
cứng và mọi server trong mạng.
Windows Server 2012 R2 hỗ trợ hai hình thức chia sẻ thư mục:
- Server Message Blocks (SMB): đây là giao thức chia sẻ tập tin phổ biến, được sử dụng
trong mọi phiên bản của Windows.
- Network File System (NFS): đây là giao thức chia sẻ tập tin phổ biến, được dùng trong các
dòng hệ điều hành UNIX, Linux.
Khi cài đặt Windows Server 2012 R2, hệ thống đã cài đặt sẵn các dịch vụ để hỗ trợ hai kiểu chia sẻ
này. Hai dịch vụ nằm trong role File and Storage Services gồm: Storage Services và File Server.
Các bước để thực hiện chia sẻ thư mục bằng Server Manager:
1. Trong Server Manager, chọn File and Storage Services ở khung bên trái để mở trình đơn con,
chọn Shares, khung SHARES xuất hiện.
2. Trong khung SHARES, chọn TASKS, chọn New Share, cửa sổ New Share Wizard xuất hiện.
3. Lựa chọn một trong các tùy chọn tại cửa sổ Select The Profile For This Share:
- SMB Share – Quick: cung cấp các chức năng chia sẻ cơ bản dựa trên SMB với đầy đủ các
quyền NTFS và quyền chia sẻ.
- SMB Share – Advanced: cung cấp các chức năng chia sẻ dựa trên SMB với đầy đủ các
quyền NTFS và quyền chia sẻ. Cho phép sử dụng các dịch vụ cung cấp bởi File Server
Resource Manager.
- SMB Share – Applications: cung cấp các chức năng chia sẻ dựa trên SMB với các thiết lập
tương thích với Hyper-V và các ứng dụng khác.
73
- NFS Share – Quick: cung cấp các chức năng chia sẻ cơ bản dựa trên NFS cùng với cơ chế
chứng thực và phân quyền.
- NFS Share – Advanced: cung cấp các chức năng chia sẻ dựa trên NFS cùng với cơ chế
chứng thực và phân quyền. Cho phép sử dụng các dịch vụ cung cấp bởi File Server
Resource Manager.
4. Bấm Next để mở cửa sổ Select The Server And Path For This Share.
5. Chọn Server, volume để chia sẻ thư mục do hệ thống thiết lập sẵn hoặc chỉ đường dẫn tới thư
mục cần chia sẻ. Bấm Next để mở sổ Specify Share Name.
6. Nhập tên hiển thị khi thư mục được chia sẻ. Bấm Next để mở cửa sổ Configure Share Settings.
7. Lựa chọn thêm các tùy chọn sau (có thể chọn tất cả):
- Enable Access-Based Enumeration: chỉ liệt kê các thư mục mà người dùng được phép
truy cập.
- Allow Caching Of Share: cho phép người dùng làm việc theo kiểu ngoại tuyến (offline
file) – chép luôn một bản sao xuống máy của người dùng.
- Enable BranchCache On The File Share: cho phép server BranchCache lưu bản sao của
các tập tin đã được người dùng truy cập.
- Encrypt Data Access: server sẽ mã hóa tập tin khi người dùng truy cập từ xa.
8. Bấm Next để chuyển sang cửa sổ Specify Permissions To Control Access.
9. Chỉnh lại các quyền chia sẻ và quyền NTFS (NTFS permission) theo nhu cầu sử dụng, bấm
Next để chuyển sang cửa sổ Comfirm Seclections.
74
10. Bấm Create, hệ thống thực hiện chia sẻ và mở cửa sổ View Results.
11. Bấm Close để kết thúc.
Sau khi được tạo, các chia sẻ sẽ xuất hiện trong khung SHARES, mục Shares, của Server Manager. Để
quản lý các chia sẻ này, bạn chỉ việc bấm chuột phải vào chia sẻ, chọn Properties. Nếu không muốn
chia sẻ, chọn Stop Sharing.
Thực hiện cấp quyền sử dụng

Cũng như các hệ điều hành Windows Server khác, bạn có thể sử dụng Windows Server 2012 R2 để
quản lý việc sử dụng các thư mục, tập tin trên máy lưu trữ dữ liệu (file server). Người dùng trên mạng
sẽ bị kiểm soát trong quá trình truy cập và sử dụng, nhằm bảo vệ sự an toàn của dữ liệu. Để kiểm soát
việc truy cập và sử dụng, Windows Server 2012 R2 có cơ chế cấp quyền sử dụng (permission) (từ đây
gọi tắt là cấp quyền) cho người dùng trên tất cả các tài nguyên.
Cấp quyền là việc cung cấp cho người dùng, nhóm người dùng hoặc máy tính các quyền thao tác cụ
thể trên một tài nguyên mạng. Tài nguyên mạng có thể là tập tin, thư mục, máy in…v.v. Ví dụ, có thể
cho phép người dùng A được phép xem nội dung của một tập tin, nhưng không cho phép họ sửa hoặc
xóa tập tin đó.
Với một thư mục, khi được chia sẻ, Windows sẽ có hai hệ thống để kiểm soát việc sử dụng của người
dùng trên mạng, đó là hệ thống kiểm soát việc sử dụng tài nguyên chia sẻ, gọi tắt là quyền chia sẻ
(share permission) và hệ thống kiểm soát việc sử dụng tài nguyên trên hệ thống NTFS, gọi tắt là quyền
NTFS (NTFS permission).
- Quyền chia sẻ: kiểm soát việc truy cập và sử dụng của người dùng trên mạng, để truy cập
và sử dụng một tập tin trên mạng (tất nhiên là đã được chia sẻ), người dùng phải có quyền
chia sẻ, và quyền chia sẻ này phải phù hợp với quyền NTFS (nếu tập tin đang nằm trên ổ
đĩa định dạng theo NTFS). Ví dụ, người dùng A có quyền chia sẻ là Read, thì anh ta cũng
phải có quyền NTFS là Read, thì khi đó anh ta mới thực sự được quyền Read trên một tài
nguyên nào đó.
- Quyền NTFS: kiểm soát việc truy cập và sử dụng các tài nguyên trên các volume của đĩa
cứng. Quyền này chỉ có trên các volume định dạng NTFS. Để truy cập tới một tập tin bất kì,
dù là tại máy cụ bộ hay trên mạng, người dùng đều phải có quyền NTFS thì mới được phép
truy cập và sử dụng tập tin. Cụ thể, với một tập tin trên đĩa cứng, bạn là người dùng cục bộ,
có thể bạn không cần quyền chia sẻ, nhưng bắt buộc bạn phải có quyền NTFS thì mới được
phép truy cập và sử dụng tập tin.
Các hệ thống kiểm soát quyền này thường hoạt động độc lập, đôi khi nó cũng có kết hợp với nhau để
tăng thêm sự an toàn cho dữ liệu. Như vậy, nếu một người dùng trên mạng muốn truy cập và sử dụng
một tập tin trên volume NTFS, thì người dùng đó phải có cả quyền chia sẻ và quyền NTFS. Nghĩa là,
người quản trị phải cấp quyền cho người dùng đó ở cả hai nơi: chia sẻ và NTFS.
Hệ thống quản lý quyền của Windows

Để quản lý quyền, Windows sử dụng ACL (Access Control List: danh sách kiểm soát sử dụng). ACL
là một công cụ để kiểm soát việc truy cập và sử dụng một tài nguyên. Mỗi tài nguyên sẽ có một ACL
đi kèm.
75
ACL chứa các quyền truy cập và sử dụng của người dùng, nhóm người dùng (gọi chung là người
dùng). Một ACL gồm nhiều ACE (Access Control Entry: danh mục kiểm soát sử dụng).
Một ACE gồm tên người dùng và các quyền của người dùng đó. Khi thực hiện cấp quyền, hệ thống
Windows sẽ tạo ra một ACE mới. Khi thực hiện thay đổi quyền, nội dung của các ACE liên quan trong
ACL sẽ được cập nhật.
Cũng như trong các hệ điều hành Windows Server trước đây, trong Windows Server 2012 R2, bạn có
thể quản lý quyền chia sẻ và quyền NTFS, bằng cách bấm chuột phải vào thư mục cần quản lý quyền,
chọn Properties, chọn táp Sharing để quản lý quyền chia sẻ, chọn táp Security để quản lý quyền NTFS.
Lưu ý: Windows không cho phép chia sẻ tập tin, muốn chia sẻ tập tin, cần tạo một thư mục và đặt tập
tin vào trong đó.
Ví dụ, ở hình trên, mục Group or user names: là danh sách các người dùng, nhóm người dùng được
phép truy cập và sử dụng tài nguyên có tên là DungChung. Ứng với mỗi lựa chọn ở mục này là danh
sách các quyền tương ứng tại mục Permissions for (tên của người dùng, nhóm).
Bạn cũng có thể quản lý việc truy cập và sử dụng tài nguyên bằng công cụ Server Manager, tuy nhiên,
giao diện có hơi khác một chút.
Quyền Basic, quyền Advanced

Cơ chế sử dụng quyền để bảo vệ tập tin không giống với bảo vệ một căn phòng bằng một ổ khóa. Với
một ổ khóa, nếu bạn không có chìa khóa, bạn sẽ không làm được gì; nếu bạn có chìa khóa, bạn có toàn
quyền sử dụng mọi thứ trong phòng. Tuy nhiên, để quản lý được linh hoạt hơn, hệ thống quyền trong
NTFS được chia thành nhiều mức độ khác nhau, và khi thực hiện cấp quyền, bạn có thể cấp cho người
dùng các mức độ khác nhau.
76
Hệ thống NTFS gồm hai loại quyền: basic và advanced.

- Quyền advanced: là các quyền sử dụng được chia theo nhiều mức độ khác nhau.
- Quyền basic: dựa trên nhu cầu sử dụng thực tế của người dùng, hệ thống sẽ kết hợp một số
quyền advanced để tạo thành quyền basic.
Khi bạn mở cửa sổ để thực hiện cấp quyền NTFS (táp Security), các quyền NTFS mà bạn nhìn thấy là
các quyền basic. Các quyền basic được sử dụng nhiều trong việc quản lý truy cập và sử dụng một tập
tin.
Trong các phiên bản trước Windows Server 2012, quyền basic có tên gọi là standard permission, quyền
advanced có tên gọi là special permission.
Ví dụ, hệ thống NTFS có 14 quyền advanced để gán cho tập tin hoặc thư mục (gọi tắt là tập tin), trong
khi đó, số quyền basic là sáu. Sáu quyền basic này là các kết hợp khác nhau từ 14 quyền advanced.
Bạn có thể vừa gán quyền advanced, vừa gán quyền basic cho một tập tin. Như vậy, trong một ACE sẽ
vừa chứa thông tin về các quyền basic, vừa chứa thông tin về các quyền advanced. Trong thực tế, bạn
thường xuyên sử dụng các quyền basic, và rất hiếm khi sử dụng các quyền advanced.
Để thực hiện cấp quyền advanced cho một tập tin, bạn chuột phải vào một tập tin, chọn Properties,
chọn táp Security, chọn Advanced, cửa sổ Advanced Security Settings for…sẽ xuất hiện. Từ đây, bạn
có thể truy cập và thay đổi trực tiếp các ACE thuộc về một tập tin. Bạn cũng có thể mở cửa sổ này từ
Server Manager.
Quyền cho phép (Allow) và quyền từ chối (Deny)

Khi bạn thực hiện cấp quyền sử dụng một tập tin, một ACE trong ACL của tập tin đó sẽ được tạo ra.
Có hai loại ACE cơ bản là Allow (cho phép) và Deny (từ chối). Dựa trên hai loại ACE này sẽ có hai
cách tiếp cận để thực hiện cấp quyền:
77
- Thêm quyền (Additive): khởi đầu, người dùng sẽ không có bất cứ quyền gì trên tập tin, sau
đó sẽ thêm cho người dùng các quyền theo nhu cầu sử dụng (quyền Allow).
- Bớt quyền (Subtractive): khởi đầu, cấp cho người dùng toàn quyền sử dụng tập tin (cho tất
cả quyền Allow), sau đó, sẽ hạn chế bớt các quyền mà người dùng không được phép, bằng
cách sử dụng quyền từ chối (Deny).
Đa số mọi người thích sử dụng phương pháp thêm quyền, phương pháp này an toàn hơn, người dùng
cần sử dụng tới đâu, gán quyền tới đó. Thực tế, rất ít người sử dụng kết hợp cả hai phương pháp này
cùng một lúc, vì nó rất phức tạp, khó kiểm soát.
Kế thừa quyền
Kế thừa quyền là nguyên lý quan trọng trong việc quản lý quyền của người dùng. Kế thừa quyền là
hiện tượng quyền sẽ được truyền từ đối tượng cha xuống cho tất cả các đối tượng con. Ví dụ: khi bạn
cấp quyền cho người dùng A được phép đọc ổ đĩa D:\, thì người dùng A cũng sẽ có quyền đọc tất cả
các thư mục và tập tin có trên ổ đĩa D:\.
Kế thừa quyền giúp cho việc phân quyền được thuận tiện hơn. Nếu như không có nguyên lý này, bạn
sẽ phải cấp quyền sử dụng cho tất cả các tập tin và thư mục. Ngược lại, sử dụng nguyên lý kế thừa, bạn
chỉ cần cấp quyền một lần cho thư mục cha.
Trong thực tế, khi xây dựng cấu trúc thư mục để lưu trữ dữ liệu, hoặc khi xây dựng hệ thống OU trong
AD DS người quản trị đã phải xem xét đến yếu tố kế thừa trong phân quyền và ủy quyền trong quản
trị.
Trong một vài trường hợp nếu bạn không muốn áp dụng nguyên lý kế thừa trong phân quyền, nghĩa là
bạn không muốn các quyền của thư mục cha sẽ truyền xuống các tập tin hay thư mục con, bạn có hai
cách để thực hiện:
- Tắt chế độ kế thừa: trong cửa sổ cấu hình quyền advanced, có tùy chọn cho phép bạn ngăn
không cho các quyền trong một ACE nào đó được truyền xuống các tập tin hoặc thư mục
con.
- Sử dụng quyền kiểu Deny: dựa vào độ ưu tiên, quyền Deny luôn có quyền ưu tiên cao hơn
quyền Allow, nghĩa là nếu một người dùng vừa có quyền đọc (Allow Read), vừa bị cấm đọc
(Deny Read), thì người đó sẽ bị cấm đọc. Dựa vào tính chất này, nếu bạn không muốn
người dùng kế thừa một quyền nào đó từ thư mục cha, bạn chỉ cần gán quyền Deny tương
ứng.
Cơ chế tác động của các quyền

Một người dùng có thể nhận được quyền từ nhiều nguồn khác nhau. Một người dùng có thể nhận được
quyền do gán trực tiếp, do kế thừa, do nhận được từ nhóm người dùng mà nó là thành viên. Điều này
có thể dẫn đến tình trạng các quyền bị chồng lấn, đối nghịch nhau.
Vì vậy, người quản trị cần phải nắm rất rõ về cơ chế kết hợp của các quyền. Quyền của người dùng sẽ
là kết hợp của các quyền trong ACE Allow và ACE Deny.
Sau đây là một số quy tắc được áp dụng khi cấp quyền:
- Quyền Allow được cộng dồn (tích lũy): nếu người dùng nhận được các quyền Allow từ
nhiều nguồn khác nhau, thì các quyền đó sẽ được kết hợp lại.
78
- Quyền Deny có độ ưu tiên cao hơn quyền Allow: khi người dùng nhận được quyền Allow
do kế thừa, hoặc nhận được do là thành viên của nhóm người dùng, bạn vẫn có thể vô hiệu
các quyền đó bằng cách gán quyền Deny tương ứng.
- Quyền gán công khai có độ ưu tiên cao hơn: khi người dùng nhận được quyền do kế thừa
hoặc do là thành viên của nhóm người dùng, bạn có thể vô hiệu hóa các quyền đó bằng cách
gán quyền công khai.
Tất nhiên, người quản trị rất khó để xác định xem người dùng A được phép làm gì trên một tài nguyên.
Để xác định, chuột phải vào một tập tin, chọn Properties, chọn táp Security, chọn Advanced, cửa sổ
Advanced Security Settings for…sẽ xuất hiện, chọn táp Effective Access, chọn người dùng, nhóm
người dùng, hoặc thiết bị, bấm nút View effective access để xem các quyền mà người dùng được phép
thực hiện.
Thực hành cấp quyền chia sẻ

Trong Windows Server 2012 R2, các thư mục chia sẻ sẽ được quản lý bởi hệ thống quyền chia sẻ. Hệ
thống quyền chia sẻ hoạt động độc lập với các hệ thống quyền khác của Windows.
Với các người dùng trên mạng, ngoài việc phải có quyền NTFS, họ phải có quyền chia sẻ thích hợp thì
mới được phép truy cập và sử dụng một thư mục chia sẻ.
Để thay đổi quyền cho một thư mục chia sẻ bằng File Explorer, chuột phải vào thư mục, chọn
Properties, chọn táp Sharing, chọn Advanced Shairng, chọn Permisions để mở cửa sổ Permissions
for…, từ cửa sổ này, bạn có thể thực hiện thay đổi quyền chia sẻ cho người dùng.
79
Để thay đổi quyền chia sẻ bằng Server Manager, thực hiện các bước sau:
1. Mở Server Manager, chọn File and Storage Services ở khung bên trái để mở trình đơn con,
chọn Shares để mở khung SHARES.
2. Trong khung SHARES, bấm chuột phải vào chia sẻ muốn thay đổi quyền, chọn Properties để
mở cửa sổ Properties.
3. Chọn Permissions để mở cửa sổ Permisions.
4. Chọn Customize Permissions… để mở cửa sổ Advanced Security Settings for…
5. Chọn táp Share.
80
6. Bấm nút Edit để sửa quyền, muốn cấp quyền mới bấm nút Add để mở cửa sổ Permission Entry
for...
7. Bấm Select A Principal để hiển thị cửa sổ Select User, Computer, Services Account, Or Group.
8. Nhập tên hoặc tìm người dùng, nhóm mà bạn muốn cấp quyền chia sẻ. Bấm OK. Người dùng
hoặc nhóm sẽ xuất hiện trong cửa sổ Permission Entry for...
9. Lựa chọn loại quyền (Allow, Deny) mà bạn muốn cấp cho người dùng.
10. Đánh dấu chọn vào các quyền mà bạn muốn cấp cho người dùng, bấm OK.
11. Một ACE mới sẽ được tạo ra trong cửa sổ Advanced Security Settings for...
12. Bấm OK để đóng cửa sổ Advanced Security Settings.
13. Bấm OK để đóng cửa sổ Properties.
Quyền NTFS
Hầu hết các hệ điều hành Windows hiện nay đang sử dụng hệ thống quản lý tập tin NTFS thay cho
FAT32. Hệ thống NTFS cung cấp cơ chế kiểm soát việc sử dụng của người dùng, trong khi hệ thống
FAT32 không có.
Mỗi tập tin hoặc thư mục trong ổ đĩa logic (hoặc volume) đều có một ACL đi kèm, để kiểm soát việc
sử dụng của người dùng. Mỗi ACL gồm nhiều ACE. Mỗi ACE gồm có tên người dùng hoặc nhóm
người dùng, cùng với các quyền sử dụng tương ứng. Mỗi người dùng hoặc nhóm người dùng có một
định danh bảo mật riêng, gọi là SID (security identifier).
Khi người dùng đăng nhập thành công vào hệ điều hành Windows, hệ thống sẽ cấp cho người dùng
một thẻ bảo mật (security access token), thẻ này gồm có SID của người dùng và SID của tất cả các
nhóm mà người dùng này là thành viên. Khi người dùng mở một tập tin hoặc một thư mục để sử dụng,
81
hệ thống NTFS sẽ so sánh các SID có trong thẻ bảo mật với các SID được lưu trong các ACE, từ đó
xác định được các quyền sử dụng tương ứng. Quá trình này gọi là sự cấp phép sử dụng (authorization).
Cấp quyền NTFS basic

Để kiểm soát việc truy cập và sử dụng trên máy lưu trữ dữ liệu (file server), đa số người quản trị chỉ
cần sử dụng quyền basic là đủ, rất hiếm khi phải sử dụng tới quyền advanced.
Để cấp quyền basic cho một thư mục chia sẻ (hoặc thư mục không chia sẻ), mở tiện ích File Explorer
(Windows Explorer trong các phiên bản trước đây) bấm chuột phải vào thư mục cần cấp quyền, chọn
Properties, chọn táp Security để cấp quyền basic.
Có cách khác để cấp quyền basic cho thư mục chia sẻ là sử dụng Server Manager, sau đây là các bước
thực hiện:
1. Mở Server Manager, chọn File and Storage Services ở khung bên trái, để mở trình đơn con,
chọn Shares để mở khung SHARES.
2. Trong khung SHARES, bấm chuột phải vào thư mục chia sẻ muốn cấp hoặc thay đổi quyền,
chọn Properties để mở cửa sổ Properties.
3. Chọn Permissions để mở cửa sổ Permisions.
4. Chọn Customize Permissions… để mở cửa sổ Advanced Security Settings for…
5. Chọn táp Permissions để hiển thị nội dung của ACL.
6. Để điều chỉnh quyền, chọn người dùng, bấm Edit. Để cấp quyền mới, bấm nút Add để mở cửa
sổ Permission Entry for…
7. Bấm Select A Principal để hiển thị cửa sổ Select User, Computer, Services Account, Or
Group.
82
8. Nhập tên hoặc tìm người dùng, nhóm mà bạn muốn cấp quyền basic. Bấm OK. Người dùng
hoặc nhóm sẽ xuất hiện trong cửa sổ Permission Entry for...
9. Lựa chọn loại quyền (Allow, Deny) mà bạn muốn cấp cho người dùng trong mục Type.
10. Lựa chọn thư mục con hoặc các tập tin sẽ được kế thừa quyền basic này trong mục Applies To.
11. Đánh dấu chọn vào các quyền basic mà bạn muốn cấp cho người dùng, bấm OK.
12. Một ACE mới sẽ được tạo ra trong cửa sổ Advanced Security Settings for...
13. Bấm OK để đóng cửa sổ Advanced Security Settings.
Cấp quyền NTFS Advanced

Các bước để cấp quyền advanced gần giống với các bước để cấp quyền basic.
Để thực hiện cấp quyền advanced cho một tập tin, bạn chuột phải vào một tập tin, chọn Properties,
chọn táp Security, chọn Advanced, cửa sổ Advanced Security Settings for…sẽ xuất hiện, bấm Add
hoặc Edit để mở cửa sổ Permission Entry for…, bấm vào mục Show advanced permissions, tại đây
bạn có thể thay đổi trực tiếp các quyền advanced.
Bạn cũng có thể mở cửa sổ này từ Server Manager.
Kết hợp giữa quyền chia sẻ và quyền NTFS

Như đã trình bày ở phần trước, một người dùng trên mạng muốn sử dụng một thư mục chia sẻ thì họ
luôn bị kiểm soát bởi hai loại quyền: quyền chia sẻ và quyền NTFS. Người dùng phải có quyền hợp lệ
ở cải hai loại trên thì mới được phép sử dụng.
Hệ thống quyền chia sẻ và quyền NTFS làm việc độc lập với nhau. Do vậy, khi thực hiện cấp quyền sử
dụng, người quản trị phải thực hiện cấp ở cả hai nơi.
83
Trong quá trình cấp quyền chia sẻ và quyền NTFS, có thể xảy ra tình trạng xung đột. Ví dụ, người
dùng có thể có quyền NTFS là Modify trên một thư mục, tuy nhiên, người dùng đó lại chỉ có quyền
chia sẻ là Read (không có quyền Change), khi đó người dùng chỉ được phép Read trên thư mục.
Quyền chia sẻ là hệ thống quyền đơn giản nhất của Windows, nhằm bảo vệ các tài nguyên chia sẻ. Tuy
nhiên, quyền chia sẻ chỉ có ba mức độ (Read, Change, Full Control). Do vậy, khó có thể thỏa mãn
được nhu cầu quản trị tập tin và thư mục trong thực tế. Trong khi đó, quyền NTFS cung cấp rất nhiều
mức độ khác nhau cho người quản trị lựa chọn.
Trong thực tế, quyền chia sẻ thường được sử dụng để quản lý các tài nguyên chia sẻ trên hệ thống
FAT32, vì hệ thống FAT không có cơ chế kiểm soát quyền của riêng nó.
Đối với một hệ thống được tổ chức phân quyền cẩn thận dựa trên quyền NTFS, thì quyền chia sẻ
không có nhiều ý nghĩa nữa. Do vậy, bạn có thể gán quyền chia sẻ cho Everyone quyền Full control.
Việc kiểm soát truy cập, đảm bảo an toàn dữ liệu dựa hoàn toàn trên quyền NTFS. Vì nếu phải ngồi
phân tích việc kết hợp làm sao cho hợp lý giữa quyền chia sẻ và quyền NTFS chỉ làm rắc rối thêm quá
trình quản trị.
Cấu hình Volume Shadow Copies

Volume Shadow Copies là một chức năng của Windows Server 2012 R2, chức năng này cho phép bạn
lưu các trạng thái trước đây của các tập tin trên máy server. Như vậy, nếu người dùng có vô tình xóa
mất tập tin, hoặc ghi đè tập tin, thì họ vẫn có thể lấy lại được tập tin ở thời điểm trước đó. Việc lưu các
bản dự phòng của các tập tin này không thể thực hiện được cho từng thư mục, từng tập tin, mà phải
thực hiện trên toàn volume.
Các bước để tạo một Volume Shadow Copies:
1. Bấm đúp vào This PC, hoặc phím cửa sổ + E để mở cửa sổ File Explorer.
2. Tại cây thư mục ở khung phía trái, bấm chuột phải vào một volume cần tạo Volume Shadow
Copies, chọn Configure Shadow Copies…để mở cửa sổ Shadow Copies.
84
3. Trong khung Select A Volume, chọn volume mà bạn muốn bật chức năng Shadow Copies. Khi
một volume được bật chức năng Shadow, hệ thống sẽ thực hiện các thiết lập mặc định sau:
- Shadow copies sẽ được lưu ngay trên volume được bật chức năng này.
- Hệ thống sẽ để sẵn ít nhất 300 MB không gian đĩa cứng cho shadow copies.
- Thời gian lưu các tập tin được thực hiện vào 7:00 A.M và 12:00 P.M mỗi ngày trong
tuần (từ Thứ Hai đến Thứ Sáu).
4. Để thay đổi các thiết lập mặc định trên, bấm nút Settings để mở cửa sổ Settings.
5. Chọn ổ đĩa để lưu shadow copies trong mục Storage Area.
6. Chọn No limit nếu bạn không muốn giới hạn không gian lưu trữ shadow copies, hoặc nhập kích
thước tối đa cho shadow copies trong ô Use limit. Khi không gian cho shadow copies đã đầy,
hệ thống sẽ thực hiện xóa các bản shadow copies cũ nhất. Tuy nhiên, cần lưu ý là Windows
Server 2012 R2 chỉ hỗ trợ tối đa 64 bản shadow copies cho mỗi volume.
7. Để điều chỉnh thời gian thực hiện lưu các tập tin, bấm mục Schedule. Tại đây, bạn có thể tạo
mới, xóa, hoặc điều chỉnh các thời biểu cho phù hợp.
8. Bấm OK hai lần để đóng cửa sổ Schelude và Settings.
9. Bấm Enable. Hệ thống sẽ bật chức năng shadow copies cho ổ đĩa đã được lựa chọn và tạo bản
sao lưu đầu tiên.
Với một volume đã được bật chức năng shadow copies, người sử dụng có thể lấy lại các phiên bản
trước đây của một tập tin bằng cách, trong File Explorer, bấm chuột phải vào tập tin, chọn Restore
previous versions, chọn táp Previous Versions.
85
Cấu hình Quota

Quản lý không gian đĩa cứng là một nhiệm vụ thường xuyên của người quản trị. Một trong những giải
pháp được sử dụng để kiểm soát việc sử dụng đĩa cứng của người dùng là cấp định mức đĩa.
Quota là việc cấp cho mỗi người dùng một định mức không gian đĩa cứng nhất định, người dùng
không được phép sử dụng nhiều hơn định mức đã được cấp.
Windows Server 2012 R2 cung cấp hai loại quota: loại quota chi tiết hơn được thực hiện tại File Server
Resource Manager, loại quota đơn giản hơn được thực hiện bằng quota của NTFS.
Hệ thống quota của NTFS cho phép người quản trị giới hạn không gian đĩa cứng cho mỗi người dùng.
Tùy theo các thiết lập, khi sử dụng vượt quá định mức, người dùng có thể bị cảnh báo, hoặc không
được phép tiếp tục sử dụng thêm không gian đĩa.
Không gian đĩa được tính cho một người dùng bao gồm: kích thước của tất cả các tài nguyên (tập tin,
thư mục) mà người dùng đó tạo ra, hoặc người dùng đó sở hữu (own).
Hệ thống quota trên NTFS chỉ cho phép bạn thiết lập quota ở mức volume, và cũng rất hạn chế trong
việc xử lý khi người dùng sử dụng vượt quá định mức.
Hệ thống quota trong File Server Resource Manager cho phép thiết lập rất linh hoạt, và khi có người
dùng sử dụng vượt quá định mức, nó có cơ chế gửi email thông báo, thực thi một vài tác vụ, gửi báo
cáo, ghi sự kiện.
Các bước để tạo quota trên hệ thống NTFS:
(lưu ý, thiết lập này sẽ có tác dụng cho các người dùng mới, tính từ thời điểm quota được thiết lập)
1. Bấm đúp vào This PC, hoặc phím cửa sổ + E để mở cửa sổ File Explorer.
2. Tại cây thư mục ở khung phía trái, bấm chuột phải vào volume cần tạo quota, chọn Properties
để mở cửa sổ Properties.
3. Chọn táp Quota để mở giao diện cho phép tạo quota.
86
4. Đánh dấu chọn vào mục Enable Quota Management để bật các điều khiển phía dưới.
5. Nếu bạn muốn ngăn không cho người dùng đươc phép tiếp tục sử dụng, khi họ đã dùng hết
định mức, đánh dấu chọn vào mục Deny Disk Space To Users Exceeding Quota Limit.
6. Để thiết lập định mức đĩa cứng cho người dùng, chọn mục Limit Disk Space To, và nhập không
gian đĩa tối đa một người được phép sử dụng. Để cảnh báo khi người dùng sử dụng tới một
ngưỡng nào đó, nhập giá trị vào mục Set warning level to.
7. Nếu bạn muốn máy tính tự động ghi lại sự kiện (ghi log) khi người dùng sử dụng vượt quá định
mức hoặc vượt quá ngưỡng cảnh báo, đánh dấu chọn vào hai mục Log event phía dưới cửa sổ.
8. Bấm OK để tạo quota và đóng cửa sổ Properties.
9. Đóng chương trình File Explorer.
Cấu hình Work Folders

Work Folders là một chức năng của Windows Server 2012 R2. Với chức năng này, người quản trị có
thể tạo ra các thư mục đồng bộ dữ liệu (synchronized access) cho người dùng. Thư mục đồng bộ được
tạo trên máy file server, sau đó người dùng có thể tạo các thư mục đồng bộ với nó trên nhiều máy trạm,
nhiều thiết bị khác nhau.
Cách làm việc của Work Folders tương tự như SkyDrive của Microsoft, chỉ khác là trong SkyDrive,
các tập tin được lưu trên Internet, còn trong Work Folders, các tập tin được lưu tại máy server cục bộ.
Vì các tập tin được lưu trên máy cục bộ, nên người quản trị có thể kiểm soát được các tập tin, lưu dự
phòng, phân loại, hoặc mã hóa chúng khi cần.
Để thiết lập môi trường làm việc có Work Folders, thực hiện các bước sau:
Phía server:
87
- Cài dịch vụ Work Folders trong role File and Storage Services. Hệ thống sẽ yêu cầu cài đặt
thêm feature IIS Hostable Web Core. Feature này có chức năng giao tiếp với Work Folders
client, thông qua HTTP.
- Mở Server Manager, chọn mục File and Storage Services từ khung bên trái, một trình đơn
con sẽ mở ra, chọn mục Work Folders để mở khung WORK FOLDERS, chọn TASKS,
chọn New Sync Share để mở cửa sổ New Sync Share Wizard. Bấm Next.
- Lựa chọn thư mục đã được chia sẻ trong mục Select by file share hoặc thư mục mới trong
mục Enter a local path mà bạn muốn cài đặt chế độ Work Folders. Bấm Next để mở cửa sổ
Specify the structure for user folders. Lựa chọn kiểu đặt tên cho thư mục. Bạn có thể lựa
chọn chỉ cài đặt Work Folders trên một thư mục con, bằng cách đánh dấu chọn vào Sync
only the following subfolder. Bấm Next để nhập tên sẽ hiển thị cho thư mục chia sẻ.
- Bấm Next để mở cửa sổ Grant sync access to groups, bấm Add để nhập nhóm người dùng
được phép kết nối tới thư mục chia sẻ. Bấm Next để mở cửa sổ Specify device policies, có
thể lựa chọn để mã hóa dữ liệu khi truyền hoặc yêu cầu khóa màn hình người dùng và yêu
cầu nhập mật khẩu trước khi truy cập vào thư mục.
- Bấm Next để mở cửa sổ Comfirm selections. Bấm Create.
- Sau khi được tạo, thư mục được thiết lập chế độ WorkFolder sẽ xuất hiện trong khung
WORKFOLDERS.
88
Bên máy client.

- Có hỗ trợ từ Windows 8.1.
- Cấu hình trong Control Panel. Người dùng cần có địa chỉ email trong quá trình cấu hình,
cần xác định vị trí của Work Folders trên máy cục bộ.
- Hệ thống cũng sẽ tự tạo ra một thư mục có tên là Work Folders, thư mục này sẽ xuất hiện
trong File Explorer và trong các cửa sổ liên quan đến quản lý tập tin.
- Khi người dùng lưu các tập tin vào Work Folder trên máy cục bộ, chúng sẽ tự động được
đồng bộ hóa với thư mục Work Folders của người dùng trên máy server.
- Người dùng có thể tạo ra các Work Folders trên các máy tính hoặc thiết bị khác nhau với số
lượng tùy ý theo nhu cầu sử dụng.
Với môi trường đã được thiết lập Work Folders, sau khi người dùng lưu các tập tin của họ tại máy làm
việc ở cơ quan, khi họ đi về nhà các tập tin cũng đã được đồng bộ hóa trên các máy tính ở nhà. Tương
tự như vậy, Work Folders có thể đồng bộ các tập tin của người dùng từ máy server tới thiết bị di động,
sau đó, người dùng có thể vừa đi về nhà vừa làm việc trên thiết bị di động (không có kết nối Internet),
khi về nhà, gắn thiết bị di động vào mạng Internet, các tập tin sẽ được đồ bộ ngược trở lại máy server.
Như vậy, ngày hôm sau tới cơ quan, anh ta sẽ có phiên bản mới nhất của tập tin.
Work Folders không phải là một công cụ được thiết kế để phục vụ cho việc cộng tác trong công việc.
Nó chỉ là phương tiện giúp đồng bộ hóa các thư mục giữa nhiều thiết bị, trong khi người quản trị vẫn
duy trì việc kiểm soát các thư mục đó. Có thể thiết lập mã hóa cho các tập tin trong quá trình đồng bộ,
có thể yêu cầu xóa sạch dữ liệu đối với các thiết bị bị mất.
89

- Tạo thư mục chia sẻ giúp người dùng trong mạng có thể truy cập tới các thư mục dữ liệu
đang được lưu trữ trên máy server.
- Quyền NTFS giúp kiểm soát người dùng trong quá trình truy cập và sử dụng tập tin hoặc
thư mục. Quyền chia sẻ giúp kiểm soát mở mức độ đơn giản việc truy cập và sử dụng của
người dùng trên mạng. Người dùng trên mạng muốn truy cập và sử dụng một thư mục hoặc
tập tin thì họ phải có cả hai quyền: NTFS và chia sẻ.
- ABE (Access-based enumeration): thiết lập bộ lọc trên các thư mục chia sẻ, mục đích của
bộ lọc là chỉ cho phép hiển thị trên máy người dùng các thư mục chia sẻ nào mà người dùng
được phép truy cập.
- Offline files là chức năng của Windows, nó cho phép máy client duy trì một bản sao của
các tập tin hay thư mục chia sẻ từ máy server.
- Volume Shadow Copies là một chức năng của Windows Server 2012 R2, nó cho phép duy
trì trên máy server các phiên bản trước đây của các tập tin, trong trường hợp người dùng vô
tình xóa mất hoặc chép đè một tập tin, thì họ vẫn có thể lấy lại được các phiên bản trước đó.
- Quota của hệ thống NTFS cho phép người quản trị thiết lập định mức đĩa cứng cho người
dùng trên từng volume.
- Work Folders là một chức năng của Windows Server 2012 R2, nó thực hiện đồng bộ hóa
các tập tin ở nhiều thiết bị của người dùng với tập một tập tin trên máy server.

1. Số shadow copies tối đa mà hệ thống Windows Server 2012 R2 cho phép duy trì trên
mỗi volume là:
A. 8
B. 16
C. 64
D. 128
2. Thuật ngữ nào sau đây diễn đạt quá trình hệ thống xem xét người dùng được phép làm
gì trên một thư mục chia sẻ, bằng cách đọc các quyền mà họ đã được cấp.
A. Authentication
B. Authorization
C. Enumeration
D. Assignment
3. Tác vụ nào sau đây có thể thực hiện bằng quota trong File Server Resource Manager
nhưng không thể thực hiện được bằng quota của NTFS?
A. Gửi một email tới người quản trị, khi người dùng sử dụng vượt quá định mức
của họ.
90
B. Thiết lập định mức đĩa khác nhau cho mỗi người dùng.
C. Không cho phép người dùng sử dụng không gian đĩa nằm ngoài định mức đã
được cấp.
D. Gửi cảnh cáo đến người dùng khi họ sử dụng gần hết định mức.
4. Trong hệ thống quyền NTFS của Windows Server 2012 R2, kết hợp các quyền kiểu
advanced sẽ tạo thành các quyền kiểu gì? (chọn nhiều khả năng).
A. Special
B. Basic
C. Share
D. Standard
5. Phát biểu nào sau đây mô tả đúng nhất về đối tượng được cấp quyền (security principal)
liên quan đến quá trình cấp quyền NTFS?
A. Đối tượng được cấp quyền là người duy nhất được sử dụng tập tin mà không cần
quyền sử dụng.
B. Đối tượng được cấp quyền là người chịu trách nhiệm tạo ra các loại quyền.
C. Đối tượng được cấp quyền là người đang thực hiện cấp quyền sử dụng tài
nguyên.
D. Đối tượng được cấp quyền là người sẽ được nhận các quyền sử dụng tài nguyên.
2.2 Cấu hình dịch vụ in ấn

Triển khai print server (server phục vụ in ấn)
Đối với một hệ thống mạng nhỏ, việc cài đặt, chia sẻ, theo dõi, và quản lý một thiết bị in ấn khá đơn
giản. Tuy nhiên, với một hệ thống mạng có hàng chục, hàng trăm thiết bị in ấn thì công việc sẽ trở nên
phức tạp hơn nhiều.
Một số thành phần liên quan đến in ấn trong môi trường Windows:
- Print device (thiết bị in): là thiết bị phần cứng, được sử dụng để in các tài liệu lên giấy hoặc
một chất liệu bất kì (ví dụ máy in). Windows Server 2012 R2 hỗ trợ hai loại thiết bị in, một
là loại gắn trực tiếp vào máy tính, thông qua cổng kết nối; hai là loại gắn vào hệ thống
mạng (có thể gắn trực tiếp, hoặc thông qua một máy tính).
- Printer: trong Windows, printer được hiểu là thành phần giao tiếp, nó giúp máy tính có thể
nói chuyện được với các thiết bị in. Như vậy, khi làm việc trên môi trường Windows, bạn
phải hiểu là mình đang làm việc với các printer tượng trưng (máy in tượng trưng), còn việc
Windows làm việc với các thiết bị in là việc làm ngầm của Windows. Windows có thể giao
tiếp với các thiết bị in thông qua nhiều loại cổng: USB, FireWire, LPT, COM, IrDA,
Bluetooth, LPR, IPP, standard TCP/IP.
- Print server: là một máy tính, hoặc một thiết bị bất kì, có nhiệm vụ nhận lệnh in từ người
dùng, sau đó chuyển yêu cầu in tới cho thiết bị in.
91
- Printer driver: là phần mềm điều khiển của thiết bị in. Mỗi thiết bị in có phần mềm điều
khiển của riêng nó.
Hình sau minh họa việc kết hợp của bốn thành phần trên.
Printer
Máy trạm
Printer
driver
Print device Print server
Quá trình in ấn trên Windows
Với một người dùng bất kì, trước khi họ có thể in được, thì họ phải cài đặt ít nhất một printer (máy in
tượng trưng) trên máy tính của họ. Các bước để cài đặt một printer:
- Lựa chọn hãng sản xuất máy in, dòng máy (model).
- Lựa chọn cổng giao tiếp giữa máy tính với thiết bị in.
- Cài đặt driver thích hợp cho máy in (printer driver).
Quá trình hoạt động của hệ thống in ấn
Khi in tài liệu từ một ứng dụng, bạn phải lựa chọn chính xác printer sẽ thực hiện việc in ấn.
Printer (đã được cài driver) sẽ nhận lệnh in từ ứng dụng, chuyển đổi lệnh in sang ngôn ngữ điều khiển
máy in gọi là PCL (printer control language), PCL có thể được chuẩn hóa, PostScript là một chuẩn hóa
của PCL. Lệnh in cũng có thể được chuyển sang dạng ngôn ngữ do chính công ty sản xuất máy in tạo
ra.
Người dùng có thể thiết lập các tùy chọn liên quan đến việc in ấn thông qua driver của máy in, sau đó,
driver máy in sẽ thiết lập các tùy chọn lên thiết bị in (print device). Các tùy chọn này thường nằm trong
táp Properties của printer. Các tùy chọn có thể là in màu, in đen trắng, in hai mặt v.v.
Sau khi printer xử lý xong một yêu cầu in, nó sẽ chuyển nội dung cần in vào một hàng đợi (print
queue) có tên là spooler.
Nội dung in nằm trong splooler thường ở dạng PCL, nếu không ở dạng PCL, driver sẽ phải chuyển đổi
sang dạng PCL trước khi gửi tới thiết bị in. Trong spooler các yêu cầu in được xếp tuần tự, có thể có
nhiều yêu cầu in đang chờ tại đây.
92
Cuối cùng, print server sẽ gửi các lệnh in tới thiết bị in, thiết bị in sẽ đọc các lệnh ở dạng PCL và in lên
giấy hoặc chất liệu bất kì.
Tính linh hoạt trong in ấn của Windows
Tính linh hoạt trong in ấn của Windows được thể hiện qua cách bố trí các thành phần liên quan. Bốn
thành phần gồm: printer, printer driver, print server và print device. Bạn có thể bố trí chúng theo nhiều
cách khác nhau.
Một máy tính có thể đảm nhận vai trò của cả ba thành phần gồm: printer, printer driver, print server; tất
nhiên, nó không thể là một print device. Bạn cũng có thể phân tán ba vai trò này tới các thiết bị, máy
tính khác trong hệ thống mạng.
Sau đây là bốn kiểu thiết lập hệ thống in ấn dựa trên nền Windows:
- Máy in gắn trực tiếp trên máy tính
- Chia sẻ máy in gắn trên máy tính
- Máy in gắn trực tiếp vào mạng
- Chia sẻ máy in gắn trên mạng
Tùy theo quy mô và điều kiện tại mỗi cơ quan, bạn có thể lựa chọn một kiểu thiết lập cho phù hợp.
Máy in gắn trực tiếp trên máy tính
Đây là hệ thống in ấn đơn giản nhất, hệ thống này gồm có một thiết bị in được gắn trực tiếp vào một
máy tính. Khi người dùng thực hiện lệnh in từ một ứng dụng, máy tính sẽ cung cấp chức năng của cả
ba thành phần gồm: printer (máy in tượng trưng), printer driver (phần mềm điều khiển máy in, hay gọi
là driver của máy in), print server (máy server phục vụ in ấn). Xem hình minh họa bên dưới.
Print device Print server, printer

driver, printer
Máy in gắn trực tiếp trên máy tính
Chia sẻ máy in gắn trên máy tính

Ở hệ thống này, máy in được gắn trực tiếp vào một máy tính. Người dùng tại máy tính có gắn máy in
sẽ sử dụng trực tiếp máy in này (như hệ thống Máy in gắn trực tiếp vào máy tính). Ngoài ra, bạn có thể
chia sẻ máy in này cho nhiều người khác trong mạng cùng sử dụng.
93
Trong hệ thống này, máy tính có gắn máy in sẽ đóng vai trò là print server, các máy trạm có sử dụng
máy in sẽ đóng vai trò là print client. Printer và printer driver sẽ nằm trên các máy client. Xem hình
minh họa.
Dữ liệu in Printer driver,

Kết nối vật lý printer,
print client
Print device Print server Printer driver,

printer,
print client
Chia sẻ máy in gắn trên máy tính
Trong cấu hình chia sẻ máy in mặc định của Windows Server 2012 R2, mỗi máy tính của người dùng
(print client) khi kết nối tới máy in chia sẻ sẽ chứa luôn printer driver và printer của riêng nó.
Trên máy của người dùng, khi họ ra lệnh in từ ứng dụng, lệnh in sẽ được chuyển tới printer, tại đây,
printer driver sẽ chuyển đổi lệnh in sang dạng ngôn ngữ mà print device có thể hiểu. Sau đó lệnh in
được chuyển tới print server, và print device.
Ưu điểm của hệ thống này là, nó cho phép nhiều người trong một mạng có thể sử dụng chung một máy
in.
Nhược điểm của hệ thống này là, trong trường hợp có quá nhiều người dùng trong hệ thống mạng có
yêu cầu in thì sẽ làm quá tải máy print server.
Mặc dù mọi máy tính cài Windows đều có thể làm một print server, tuy nhiên, bạn chỉ lấy máy trạm
làm print server trong trường hợp số lượng người dùng trong mạng ít và nhu cầu in không lớn.
Máy in gắn trực tiếp vào mạng
Hai giải pháp thiết lập hệ thống in ấn đã trình bày ở trên có đặc điểm chung là print device (thiết bị in
ấn) đều được gắn trực tiếp vào máy tính, sử dụng cổng USB hoặc các loại cổng khác.
Tuy nhiên, bạn có thể kết nối trực tiếp các thiết bị in ấn vào hệ thống mạng mà không cần phải qua một
máy tính trung gian. Trên các thiết bị in ấn hiện nay, thường có sẵn các cổng giao tiếp mạng, bạn có
thể sử dụng cáp mạng để kết nối. Nếu không có cổng giao tiếp mạng, một số thiết bị in ấn sẽ có khe
cắm mở rộng, bạn mua thêm bộ kết nối máy in vào mạng và cắm vào đây. Ngoài ra, với các thiết bị in
94
ấn không hỗ trợ việc kết nối trực tiếp vào hệ thống mạng, bạn có thể gắn nó với một thiết bị trung gian
và kết nối thiết bị trung gian đó vào hệ thống mạng.
Khi gắn vào hệ thống mạng, các máy in sẽ có một địa chỉ IP riêng và có giao diện web đơn giản để
người quản trị thực hiện một số cấu hình.
Trong hệ thống in ấn này, người quản trị cần phải lựa chọn máy tính để làm print server. Một giải pháp
không được hay lắm, nhưng đơn giản là mỗi máy tính của người dùng sẽ đóng vai trò là print server
cho chính nó. Khi đó việc nhận lệnh in, chuyển đổi lệnh in, đưa vào hàng đợi của riêng nó, kết nối tới
máy in, gửi lệnh in tới print device, tất cả đều được các máy client làm việc một cách độc lập. Xem
hình minh họa.

print client,
print server
Print device Printer driver,

printer,
print client,
print server
Máy in gắn trực tiếp vào mạng, với nhiều print server
Hệ thống in ấn này tuy đơn giản, nhưng có khá nhiều nhược điểm, ví dụ:
- Khi người dùng mở hàng đợi của thiết bị in, sẽ chỉ thấy các công việc in của chính họ.
- Người sử dụng không thể biết được hiện tại có ai đang sử dụng thiết bị in hay không. Có
bao nhiêu tác vụ in của người khác đang được thực hiện và khi nào công việc của họ sẽ
được in xong.
- Người quản trị mạng không thể quản lý các hàng đợi trên thiết bị in, lý do là mỗi máy tính
của người dùng có một hàng đợi in riêng.
- Người quản trị không thể triển khai được các tiện ích quản lý liên quan đến in ấn như
printer pools, quản trị từ xa.
- Khi máy in bị lỗi, thông điệp báo lỗi chỉ được gửi tới máy tính đang thực hiện việc in ấn.
- Hầu hết các công đoạn liên quan đến in ấn đều được xử lý tại máy của người dùng, rất ít
được chia tải cho các thành phần khác trong hệ thống.
Hệ thống in ấn này chỉ thích hợp cho các mạng có quy mô nhỏ, mạng workgroup, các hệ thống không
có người chuyên lo việc quản trị hệ thống mạng.
95
Chia sẻ một máy in gắn trên mạng

Một giải pháp hay được sử dụng là: gắn trực tiếp máy in vào hệ thống mạng, sau đó sử dụng một máy
tính làm máy print server. Xem hình minh họa.

print client
Print device Printer driver,

printer,
print client
Print server
Máy in gắn trực tiếp vào mạng, với một print server
Máy print server sẽ quản lý và phục vụ nhu cầu in ấn của tất cả người dùng trong mạng. Để thiết lập
một máy tính là print server, bạn sẽ thực hiện các bước sau:
- Tạo ra một printer trên máy server
- Kết nối printer với thiết bị in (print device) thông qua cổng TCP
- Chia sẻ printer
- Cấu hình cho phép các máy client truy cập tới printer đã được chia sẻ
Về mặt kết nối vật lý, hệ thống này tương tự như hệ thống máy in gắn trực tiếp vào mạng. Nó chỉ khác
ở đường đi của dữ liệu in ấn. Dữ liệu in ấn sẽ không được chuyển trực tiếp từ các máy client tới thiết bị
in, mà nó phải được chuyển qua máy print server. Máy print server sẽ đưa các công việc in ấn vào
hàng đợi và tuần tự chuyển yêu cầu in tới thiết bị in.
Một số ưu điểm của hệ thống này:
- Yêu cầu in ấn của tất cả người dùng được lưu trong một hàng đợi duy nhất. Vì vậy, người
dùng hoặc người quản trị có thể quan sát được tất cả các công việc đang chờ để được in.
- Một số tác vụ liên quan đến quá trình in đã được chuyển sang cho máy print server, do vậy,
máy client của người dùng sẽ chạy nhanh hơn.
- Người quản trị có thể quản lý từ xa các tác vụ đang nằm trong hàng đợi.
96
- Người quản trị có thể triển khai được các tiện ích quản lý liên quan đến in ấn như printer
pools, quản trị từ xa.
- Người quản trị có thể quản lý việc sử dụng, kế toán tài nguyên, theo dõi, .v.v. liên quan đến
in ấn.
Một số cấu hình in ấn khác
Người quản trị có thể lựa chọn một trong bốn giải pháp thiết lập hệ thống in ấn như đã trình bày ở phía
trên. Tùy theo điều kiện và nhu cầu sử dụng để lựa chọn giải pháp cho phù hợp. Ngoài ra, trong hệ
thống in ấn còn có một số lựa chọn khác, giúp cho hệ thống in ấn hoạt động hiệu quả hơn, ví dụ:
- Printer pool: hệ thống này gồm một printer được gắn với nhiều thiết bị in (print device).
Thiết lập này hữu ích với các cơ quan có nhiều người sử dụng và nhu cầu in ấn nhiều, khi
nhận được yêu cầu in, máy print server sẽ phân phát công việc in tới các thiết bị in khác
nhau để chia tải, giúp việc in được nhanh hơn. Hệ thống này cũng có khả năng chịu lỗi.
- Bạn có thể gắn nhiều thiết bị in có kích thước giấy in, chất liệu in khác nhau vào cùng một
printer (máy in tượng trưng). Khi đó, print server sẽ chuyển các yêu cầu in ấn tới thiết bị in
thích hợp.
- Bạn có thể nối nhiều printer tới một thiết bị in duy nhất. Kiểu thiết lập này cho phép bạn
cấu hình độ ưu tiên khi in, cấu hình bảo mật, theo dõi máy in, .v.v cho từng người dùng,
hoặc nhóm người dùng. Ví dụ, bạn có thể tạo ra printer có độ ưu tiên cao hơn cho các sếp
sử dụng, và tạo ra printer có độ ưu tiên thấp hơn cho người dùng bình thường, mặc dù hai
đối tượng người dùng này đang sử dụng chung một thiết bị in, nhưng lệnh in của sếp sẽ
được ưu tiên thực hiện trước.
Chia sẻ một printer

Sử dụng Windows Server 2012 R2 để cấu hình một print server sẽ đơn giản đối với một hệ thống mạng
nhỏ, nhưng sẽ phức tạp đối với một hệ thống mạng lớn.
Đối với các hệ thống mạng lớn, nhu cầu in ấn nhiều, thì nên sử dụng một server chuyên dụng để thiết
lập print server.
Trong Windows Server 2012 R2, với các thiết bị in dòng cũ, để cài đặt, bạn mở Control Panel, chọn
mục Devices and Printers, chọn Add Printer Wizard. Với các thiết bị in dòng mới, thường sử dụng kết
nối USB hoặc cổng Ethernet.
Với các thiết bị in có kết nối USB, bạn chỉ việc cắm dây nối thiết bị in vào cổng USB của máy tính, bật
thiết bị in để hệ thống tự chạy quá trình cài đặt. Bạn chỉ phải can thiệp khi Windows Server 2012 R2
không có driver của thiết bị in.
Với các thiết bị in gắn trực tiếp vào hệ thống mạng, thiết bị in sẽ cung cấp giao diện và địa chỉ IP, để
bạn thực hiện kết nối tới thiết bị in, thực hiện cài đặt driver, tạo printer, và thực hiện các cấu hình khác
từ máy tính.
Sau khi thực gắn và cài đặt thiết bị in trên máy Windows Server 2012 R2, máy tính này sẽ trở thành
print server, bạn có thể chia sẻ print server này cho người dùng trong mạng. Sau đây là các bước để
thực hiện chia sẻ:
97
1. Mở Control panel, trong mục Hardware, bấm View devices and printers để mở cửa sổ Devices
and Printers.
2. Bấm chuột phải vào printer mà bạn muốn chia sẻ, chọn mục Printer Properties để mở cửa sổ
Properties của printer.
3. Chọn táp Sharing.
4. Đánh dấu chọn vào mục Share this printer, nhập tên sẽ xuất hiện trên các máy người dùng trong
mục Share name. Bạn có thể để tên mặc định.
5. Bạn có thể lựa chọn một hoặc cả hai tùy chọn sau:
- Render print jobs on client computers: thực hiện một số công đoạn liên quan đến quá
trình in ấn trên máy client, do đó sẽ giảm công việc xử lý tại máy print server.
- List in the directory: tạo ra đối tượng printer trong AD DS, khi đó người dùng trong AD
DS có thể tìm kiếm được. Tùy chọn này chỉ được kích hoạt khi máy tính là thành viên
của AD DS.
6. Nếu bạn muốn cài đặt thêm driver cho printer thì bấm vào mục Additional Drivers, cửa sổ
Additional Drivers xuất hiện, ví dụ, bạn đánh dấu chọn vào mục x86 để cài đặt thêm driver cho
các hệ điều hành x86, driver này sẽ được gửi tới máy client khi họ kết nối tới máy in lần đầu
tiên.
7. Sau khi chọn các driver để cài đặt thêm, bấm OK, mỗi lựa chọn cài đặt sẽ xuất hiện một cửa sổ
Install print drivers.
8. Trong cửa sổ Install print drivers, bấm vào mục Browse để tìm tới vị trí chứa driver, bấm OK.
9. Bấm OK để đóng cửa sổ Additional drivers.
10. Bấm OK để đóng cửa sổ Properties. Đóng Control panel.
Bây giờ, printer đã sẵn sàng cho các client kết nối và sử dụng.
Quản lý driver của printer

Driver của printer là phần mềm điều khiển thiết bị in, được tạo bởi công ty sản xuất thiết bị in tương
ứng. Driver giúp hệ điều hành Windows có thể cấu hình, điều khiển và quản lý thiết bị in. Khi bạn cài
driver cho printer trên máy Windows Server 2012 R2 thì các máy Windows khác cũng có thể sử dụng
được driver này.
Tất nhiên, do Windows Server 2012 R2 đang chạy trên nền 64-bit, nên các máy tính khác muốn sử
dụng chung driver, thì nó cũng phải sử dụng hệ điều hành 64-bit. Nếu trong mạng có các máy
Windows đang chạy trên nền 32-bit thì bạn phải cài đặt thêm driver cho hệ điều hành 32-bit.
Để cài đặt thêm driver cho hệ điều hành 32-bit, thực hiện như bước 6, phần Chia sẻ một printer. Tuy
nhiên việc cài đặt phải được thực hiện từ một hệ điều hành 32-bit. Từ máy tính đang chạy hệ điều hành
32-bit, bạn truy cập tới máy print server bằng File Explorer, hoặc bằng snap-in Print Management, sau
đó thực hiện cài đặt driver như bình thường.
98
Sử dụng Easy Print

Khi một máy client kết nối từ xa tới máy server (sử dụng Remote Desktop Services client), máy client
sẽ sử dụng vi xử lý và RAM của máy server để chạy các ứng dụng. Tuy nhiên, nếu người dùng muốn
in từ các ứng dụng, thì tác vụ in sẽ được thực hiện trên máy client.
Easy Print chính là thành phần cho phép hệ thống vận hành theo kiểu như vậy. Nghĩa là, ứng dụng
Remote Desktop tại máy client sẽ thực hiện in như là máy client đang được kết nối trực tiếp với thiết bị
in (thực tế, máy in đang được kết nối trực tiếp tới máy server). Easy Print giữ cả hai vai trò: Printer
driver và Remote Desktop Session Host role.
Remote Desktop Easy Print driver sẽ tự động xuất hiện trong snap-in Print Management tại máy server
(server phải cài sẵn role Print and Document Services). Driver này không được gắn trực tiếp vào bất kì
thiết bị in nào, nó chỉ hoạt động giống như bộ chuyển tiếp (redirector), cho phép server có thể truy cập
tới các printer trên các máy client.
Trên Windows Server 2012 R2, để Easy Print hoạt động, chỉ cần bật chức năng Remote Desktop hoặc
cài đặt Remote Desktop Services role.
Khi Remote Desktop client kết nối tới server bằng Remote Desktop Connection hoặc bằng RD Web
Access site, printer (máy in tượng trưng) trên client sẽ được xuất hiện trong snap-in Print Management
tại máy server (kiểu redirected). Xem hình minh họa.
Như vậy, client đang chạy các ứng dụng trên máy server, có thể in bằng CPU và RAM trên máy client,
trong khi người quản trị vẫn có thể mở printer trên máy client để theo dõi và quản lý.
Cấu hình bảo mật printer

Cũng như thư mục chia sẻ, đối với printer chia sẻ, người dùng cũng phải có quyền thì mới được phép
sử dụng. Quyền trên printer đơn giản hơn so với quyền NTFS. Các quyền trên printer gồm: quyền sử
dụng printer, quyền quản lý tài liệu (đã được gửi tới printer) và quyền quản lý printer. Để cấp quyền
trên printer, thực hiện các bước sau:
99
1. Mở Control Panel, chọn Hardware, chọn Devices and Printers để mở cửa sổ Devices and
Printers.
2. Chuột phải vào printer mà bạn muốn cấp quyền, chọn Printer Properties để mở cửa sổ Printer
Properties.
3. Chọn thẻ Security, khung Group or User Names sẽ hiển thị các đối tượng người dùng đang
được phép thao tác trên printer, tại khung Permissions for Everyone sẽ liệt kê các quyền tương
ứng với mỗi đối tượng.
4. Bấm Add để thêm người sử dụng mới, cửa sổ Select Users, Computers, Service Accounts, Or
Groups xuất hiện.
5. Có thể bấm Advanced, Find Now để chọn người dùng hoặc nhóm người dùng mới, hoặc gõ
trực tiếp vào khung Enter The Object Names To Select. Bấm OK.
6. Lựa chọn người dùng vừa được thêm vào, cấp quyền cho người dùng.
8. Đóng Control Panel.
Tương tự như quyền NTFS, quyền trên printer cũng có hai loại: basic và advanced. Ba quyền basic
gồm: manage this printer, manage documents, và print cũng là sự kết hợp của các quyền advanced.
Quản lý tài liệu in

Quyền mặc định được thiết lập trên printer là cho phép mọi người (Everyone) được in (Allow Print),
và được quản lý tài liệu đang in của họ.
Người dùng được cấp quyền Allow Manage Documents sẽ được phép quản lý tất cả tài liệu đang in
của mọi người.
Quyền quản lý tài liệu đang in bao gồm: dừng (pausing), in tiếp (resuming), đặt lại lệnh in (restarting),
và hủy bỏ việc in (cancelling). Mỗi printer sẽ được Windows Server 2012 R2 cấp cho một hàng đợi
riêng, vì vậy người dùng có thể quan sát được tất cả các tài liệu đang chờ để được in.
Các bước để quản lý tài liệu đang in:
Printers.
2. Bấm chuột phải vào biểu tượng của printer mà bạn quan tâm, chọn See What’s Printing để mở
nội dung hàng đợi. Xem hình minh họa.
100
3. Vào các trình đơn để thực hiện các thao tác mong muốn.
4. Sau khi thực hiện xong, đóng cửa sổ hàng đợi.
Quản lý printer
Quyền quản lý printer (Allow Manage This Printer) là quyền cao hơn quyền quản lý tài liệu in. Ngoài
việc quản lý tài liệu in, quyền này còn cho phép thực hiện các cấu hình có ảnh hưởng tới tất cả người
dùng printer và kiểm soát việc sử dụng printer.
Các cấu hình liên quan đến printer thường được thực hiện một lần khi mới cài đặt, sau đó công việc có
phần giống với việc bảo trì phần cứng nhiều hơn, như: khắc phục kẹt giấy, nạp giấy, thay mực hoặc
thay hộp mực. Sau đây là một số cấu hình liên quan đến quản lý printer: thiết lập độ ưu tiên và tạo một
printer pool.
Thiết lập độ ưu tiên
Mục đích của thiết lập độ ưu tiên là cho phép một số người dùng trong mạng có quyền ưu tiên hơn một
số người dùng khác trong việc in ấn. Để thực hiện thiết lập độ ưu tiên, bạn phải tạo ra nhiều printer,
các printer này cùng nối với một thiết bị in, sau đó thực hiện thay đổi chỉ số ưu tiên (priority) theo các
bước sau.
Printers.
2. Bấm chuột phải vào biểu tượng của printer mà bạn muốn thiết lập lại chỉ số ưu tiên, chọn
Printer Properties để mở cửa sổ Properties.
3. Chọn táp Advanced.
101
4. Đặt lại chỉ số ưu tiên trong mục Priority, chỉ số ưu tiên càng cao thì độ ưu tiên càng cao, chỉ số
ưu tiên cao nhất là 99. Ví dụ bạn đặt là 99.
5. Chọn táp Security.
6. Chọn người dùng hoặc nhóm người dùng để cấp cho họ quyền sử dụng printer mà bạn vừa thiết
lập độ ưu tiên. Ví dụ chọn nhóm QuanLy.
7. Gỡ bỏ nhóm Everyone ra khỏi ACL, nghĩa là không cho nhóm Everyone quyền in trên printer
này.
8. Bấm nút OK để đóng cửa sổ Properties.
9. Tiếp tục tạo một printer mới, printer này có cùng driver và cùng nối với thiết bị in ở trên. Để
chỉ số ưu tiên mặc định là 1, chọn người dùng hoặc nhóm người dùng mà bạn muốn cấp cho họ
quyền ưu tiên thấp hơn.
10. Đổi tên cho hai printer để bạn dễ quản lý.
Thông báo cho người dùng biết là họ nên in trên printer nào để quá trình in là tối ưu nhất.
Tạo một printer pool
Printer pool có thể giúp tăng khả năng xử lý của một printer. Để thực hiện, bạn nối một printer với
nhiều thiết bị in. Khi bạn đã tạo ra printer pool, nếu có yêu cầu in, máy server sẽ gửi yêu cầu in tới
thiết bị in đầu tiên mà nó thấy đang rảnh. Như vậy, hệ thống sẽ phân chia công việc in tới các thiết bị
in phù hợp, giúp in nhanh hơn.
102
Các bước để tạo một printer pool:

Printers.
2. Bấm chuột phải vào biểu tượng của printer mà bạn muốn tạo printer pool, chọn Printer
Properties để mở cửa sổ Properties.
3. Chọn táp Ports.
4. Đánh dấu chọn vào mục Enable Printer Pooling và bấm OK.
5. Lựa chọn tất cả các cổng mà printer có kết nối tới các thiết bị in.
Để tạo một print pool, bạn phải có ít nhất hai thiết bị in giống nhau, hoặc ít nhất hai thiết bị in cùng sử
dụng một driver. Hai thiết bị in cũng phải đặt cạnh nhau, để tiện cho người dùng nhận lại kết quả in.
Các thiết bị in cùng một pool phải được gắn vào cùng một print server. Với Windows Server 2012 R2,
các thiết bị in có thể gắn vào bất kì cổng nào của print server.
Sử dụng role Print and Document Services

Tất cả các chức năng liên quan đến in ấn, đã được trình bày ở các phần trên đều được cài mặc định
trong Windows Server 2012 R2, bao gồm các chức năng liên quan đến quản lý và chia sẻ trong in ấn.
Tuy nhiên, để có thêm các công cụ quản lý hữu ích cho người quản trị, đặc biệt trong các hệ thống
mạng lớn, thì bạn nên cài đặt thêm role Print And Document Services.
Khi bạn thực hiện cài đặt role Print And Document Services bằng Add Roles And Features Wizard của
Server Manager, cửa sổ Select Role Services sẽ cung cấp cho bạn các tùy chọn sau:
- Print Server: cài đặt Print Management cho MMC, cho phép người quản trị thực hiện cài
đặt, giám sát, và quản lý các printer trong toàn hệ thống mạng.
- Distributed Scan Server: cho phép các máy tính có thể nhận kết quả trả về từ các máy
scanner trên mạng và gửi chúng tới đúng người sử dụng.
- Internet Printing: tạo ra một website cho phép người dùng Internet có thể in trên các printer
chia sẻ (chạy trên nền Windows).
- LPD Service: cho phép người dùng UNIX đang chạy chương trình LPR (Line Printer
Remote) có thể dùng các printer của Windows.
Sau khi cài đặt xong role Print And Document Services, tại khung bên trái của cửa sổ Server Manager
sẽ có mục Print Services. Bấm vào mục Print Services để xem các trạng thái, sự kiện, liên quan đến in
ấn.
Print Management là một công cụ được sử dụng để quản lý các thành phần liên quan đến in ấn trong
toàn mạng. Công cụ này cho phép bạn quản lý tất cả các hàng đợi, quản lý tất cả printer, cài đặt printer
cho người dùng bằng Group Policy, theo dõi các thiết bị in.
Windows Server 2012 R2 sẽ tự động cài đặt Print Management khi bạn cài đặt role Print And
Document Services.
103
Bạn cũng có thể cài đặt Print Management mà không cần cài đặt role Print And Document Services
bằng cách: mở Sever Manager, vào trình đơn Manage, chọn Add Roles and Features, bấm Next, Next,
Next, Next, chọn Remote Server Administration Tools, chọn Role Administration Tools, chọn Print
And Document Services Tools.
Phần sau đây trình bày một số tác vụ liên quan đến chức năng Print Management.
Thêm một print server
Ở chế độ mặc định, Print Management chỉ hiển thị các print server trên chính máy cục bộ. Một print
server gồm có bốn mục như trong hình bên dưới, gồm: drivers, forms, ports, và printers thuộc về server
đó.
Để quản lý các print server cùng với các printer của nó, bạn phải đưa nó vào trong cửa sổ Print
Management theo các bước sau:
1. Mở Server Manager, chọn trình đơn Tools, chọn Print Management để mở cửa sổ Print
Management.
2. Ở khung bên trái, bấm chuột phải vào mục Print Server, chọn Add/Remove Servers để mở cửa
sổ Add/Remove Servers.
3. Trong khung Specify print server, bấm vào nút Browse để mở cửa sổ Select Print Server.
4. Lựa chọn print server mà bạn quan tâm, bấm nút Select Server, khi đó, print server được chọn
sẽ xuất hiện trong cửa sổ Add servers.
5. Bấm nút Add to List. Server được chọn sẽ xuất hiện trong danh sách Print servers.
6. Bấm OK. Server sẽ xuất hiện trong nút Print Servers ở khung bên trái của cửa sổ Print
Management.
7. Đóng cửa sổ Print Management.
Bây giờ bạn đã có thể quan lý các printer đi kèm với print server mà bạn vừa thực hiện thêm vào.
Theo dõi các printers
104
Một trong các nhiệm vụ khó khăn khi quản lý in ấn trong một hệ thống mạng lớn là phải đảm bảo trạng
thái luôn luôn hoạt động của hàng chục, thậm chí hàng trăm thiết bị in.
Thiết bị in có thể không hoạt động được khi bị một trong các vấn đề sau: hư các thiết bị quan trọng, hết
mực, phải thay hộp mực, hết giấy, kẹt giấy, .v.v.
Do vậy, người quản trị mạng cần phải xác định được các trục trặc, trước khi có thể đưa ra giải pháp để
khắc phục.
Print Management cung cấp nhiều lựa chọn để theo dõi các thành phần liên quan đến hệ thống in ấn
trên một print server. Để tiện theo dõi, hệ thống sẽ sử dụng bộ lọc (filter) để tạo ra nhiều cách theo dõi
các thiết bị in.
Ở khung bên trái của cửa sổ Print Management, có nút Custom Filters, tại đây bạn có thể lựa chọn một
trong bốn kiểu để theo dõi:
- All Printers: chứa danh sách của tất cả printer có trong các print server đã được đưa vào
Print Management.
- All Drivers: chứa danh sách của tất cả driver printer đã được cài đặt trên các print server.
- Printers Not Ready: chứa danh sách tất cả printer ở trạng thái không sẵn sàng hoạt động.
- Printers With Jobs: chứa danh sách của tất cả printer đang có tác vụ in nằm trên hàng đợi.
Ví dụ, dựa vào danh sách Printers Not Ready, bạn có thể dễ dàng xác định được printer nào đang gặp
trục trặc, mà không phải duyệt qua từng printer trong mỗi print server. Ngoài ra, bạn có thể tự xây
dựng các bộ lọc khác để sử dụng.
Quản lý printers và print servers
Dựa vào quá trình theo dõi, bạn sẽ xác định được printer cần quan tâm, khi đó, bạn có thể xem xét
trạng thái hiện thời của nó, số lượng các tác vụ in đang nằm trên hàng đợi, printer đó đang thuộc print
server nào. Bạn cũng có thể bấm chuột phải vào nút Printers ở khung bên trái, chọn Show Extended
View để mở nội dung của các hàng đợi, từ đây, bạn có thể thực hiện các thao tác trên các tác vụ đang
nằm trên hàng đợi.
Print Management cũng cho phép người quản trị có thể thực hiện cấu hình trên printer hoặc print
server bất kì, người quản trị chỉ cần bấm chuột phải vào printer hoặc print server, chọn mục Properties,
sau đó thực hiện các cấu hình mong muốn. Như vậy, người quản trị sẽ không phải tới trực tiếp hoặc kết
nối từ xa tới máy print server để thao tác.
Cài đặt printer cho người dùng bằng Group Policy

Cấu hình cho phép người dùng truy cập và sử dụng printer là một công việc đơn giản, bạn chỉ việc tìm
kiếm các printer trên mạng hoặc trên AD DS, sau đó lựa chọn printer phù hợp cho người dùng. Tuy
nhiên, nếu phải thực hiện cho hàng trăm hoặc hàng ngàn người dùng thì công việc sẽ trở nên phức tạp.
AD DS có công cụ giúp bạn thực hiện dễ dàng việc cài đặt tự động printer cho nhiều người dùng.
Để cài đặt printer cho người dùng bằng Group Policy, đầu tiên bạn cần xuất bản printer trong AD DS.
Xuất bản thực chất là việc tạo và đăng kí printer với AD DS, để người dùng có thể tìm kiếm printer
bằng tên, bằng vị trí, hoặc theo dòng máy. Để tạo và đăng kí một printer, bạn có thể đánh dấu chọn vào
mục List In The Directory trong quá trình chia sẻ printer hoặc bấm chuột phải vào printer trong cửa sổ
Print Management, chọn Manage Sharing, và đánh dấu chọn vào mục List In Directory.
105
Bước tiếp theo, bạn cần phải tạo một GPO, sau đó áp đặt (link) GPO này lên domain, site hoặc OU bất
kì trong AD DS. Khi áp đặt GPO này, người dùng trong domain, site hoặc OU sẽ được được kết nối tự
động tới printer khi đăng nhập hệ thống (log on).
Các bước thực hiện cụ thể:
1. Trong Print Management, bấm chuột phải vào printer mà bạn muốn cài đặt cho người dùng,
chọn Deploy With Group Policy để mở cửa sổ Deploy With Group Policy. Xem hình minh họa.
2. Bấm nút Browse để mở cửa sổ Browse For A Group Policy Object.

3. Lựa chọn GPO bạn muốn sử dụng để cài đặt printer cho người dùng, bấm OK. GPO bạn đã
chọn sẽ xuất hiện trong mục GPO Name.
4. Lựa chọn hình thức cài đặt printer: theo người dùng (per user), theo máy (per machine), hay
theo cả hai. Bấm nút Add, GPO có kết hợp printer sẽ xuất hiện trong bảng bên dưới.
- Cài đặt printer theo người dùng: nghĩa là, mọi người dùng chịu tác động của GPO đều
nhận được kết nối mặc định tới printer, không quan tâm là họ đăng nhập từ máy tính
nào.
- Cài đặt printer theo máy tính: nghĩa là, mọi máy tính chịu tác động của GPO đều nhận
kết nối mặc định tới printer, không quan tâm là ai đang đăng nhập vào máy tính.
5. Bấm OK, xuất hiện hộp thoại thông báo thao tác đã thành công.
6. Bấm OK, OK để tắt cửa sổ Deploy With Group Policy.
7. Đóng cửa sổ Print Management.
Từ đây, khi người dùng đăng nhập vào hệ thống, printer sẽ được kết nối sẵn trên máy của họ.
106

- Trong Windows, hệ thống in ấn thường có bốn thành phần sau: thiết bị in (print device),
máy in tượng trưng (printer), server quản lý in (print server), và driver điều khiển (print
driver).
- Hệ thống in đơn giản nhất bao gồm một thiết bị in gắn trực tiếp với một máy tính, bạn có
thể chia sẻ thiết bị in này (thông qua printer) cho các người dùng khác trong mạng.
- Với hệ thống có thiết bị in gắn trực tiếp vào mạng, người quản trị cần phải sử dụng thêm
một máy tính để làm print server.
- Remote Desktop Easy Print là một bộ điều khiển (driver), cho phép người dùng đang chạy
ứng dụng trên server (sử dụng remote desktop), chuyển các xử lý liên quan đến in ấn về
máy của mình.
- Quyền liên quan đến in ấn thì đơn giản hơn so với quyền NTFS. Nó chỉ gồm ba quyền là
cho phép in hay không, cho phép quản lý tài liệu (đang nằm trên hàng đợi) hay không và
cho phép quản lý printer hay không.
- Công cụ Print Management giúp người quản trị quản lý các thành phần in ấn trong một hệ
thống mạng lớn.

1. Thuật ngữ nào sau đây nói về một thành phần giao tiếp mềm (software interface). Nó
giúp máy tính giao tiếp với thiết bị in?
A. Printer
B. Print server
C. Printer driver
D. Print Management console
2. Bạn đang thực hiện cài đặt một printer pool trên máy Windows Server 2012 R2. Printer
pool gồm ba thiết bị in giống nhau. Bạn mở cửa sổ Properties của printer, chọn táp Ports
và đánh dấu chọn mục Enable Printer Pooling. Bước tiếp theo bạn phải thực hiện là:
A. Cấu hình cổng LPT1 để nó hỗ trợ ba printer.
B. Chọn hoặc tạo ra các cổng phù hợp với kết nối của ba printer.
C. Trên táp Device Settings, cấu hình để hệ thống hỗ trợ thêm hai thiết bị in.
D. Trên táp Advanced, cấu hình độ ưu tiên (priority) cho mỗi thiết bị in, nhằm chia
công việc in ấn cho ba thiết bị.
3. Trong hệ thống mạng có một trong các thiết bị in không hoạt động được, và bạn muốn
người dùng tạm thời không được phép gửi yêu cầu in tới printer nối với thiết bị đó. Bạn
sẽ thực hiện hành động nào sau đây?
A. Ngưng việc chia sẻ printer.
B. Gỡ printer ra khỏi Active Directory.
107
C. Thay đổi cổng của printer.

D. Đổi tên chia sẻ của printer.
4. Bạn đang quản trị một máy print server chạy Windows Server 2012 R2. Người dùng
thuộc nhóm Marketing cho biết, họ không thể in được tài liệu khi sử dụng printer trên
máy print server. Bạn kiểm tra quyền trên printer thì thấy nhóm Marketing có quyền
Manage Documents. Phát biểu nào sau đây giải thích đúng nhất lý do mà người dùng
không thể in được tài liệu?
A. Nhóm Everyone phải có quyền Manage Documents.
B. Nhóm Administrator phải có quyền Manage Printer.
C. Nhóm Marketing phải có quyền Print.
D. Nhóm Marketing phải có quyền Manage Printers.
5. Bạn đang quản trị một máy print server chạy Windows Server 2012 R2. Bạn muốn tiến
hành bảo trì một thiết bị in đang gắn trực tiếp với print server. Tuy nhiên, đang có một
số tài liệu in nằm trên hàng đợi. Bạn không muốn thiết bị in in các tài liệu này, nhưng
cũng không muốn người dùng phải gửi lại các yêu cầu in đã được gửi tới hàng đợi. Giải
pháp nào sau đây là tốt nhất để giải quyết tình huống này?
A. Mở cửa sổ Properties của printer, chọn táp Sharing, chọn mục Do Not Share
This Printer.
B. Mở cửa sổ Properties của printer, chọn táp Ports, chọn một cổng mà nó không
nối với bất kì thiết bị in nào.
C. Mở cửa sổ hàng đợi của printer, chọn tài liệu đầu tiên trong hàng đợi, thiết lập
chế độ tạm dừng (pause) trong trình đơn Documents.
D. Mở cửa sổ hàng đợi của printer, chọn tạm dừng in (pause printing) trong trình
đơn Printer.
2.3 Quản lý server từ xa

Windows Server 2012 R2 được thiết kế theo hướng hỗ trợ việc quản lý từ xa, vì vậy, người quản trị
hiếm khi phải làm việc trực tiếp tại máy server. Nhờ quản lý từ xa, server sẽ có nhiều tài nguyên hơn
để chạy các ứng dụng, cũng như tiết kiệm thời gian cho người quản trị.
Quản lý server từ xa bằng Server Manager

Server Manager là công cụ quản lý quan trọng đối với hệ thống Windows Server, nó bắt đầu xuất hiện
trong Windows Server 2003. Tới Windows Server 2012 R2, nó đã có rất nhiều cải tiến để hỗ trợ công
việc quản lý các máy server trên mạng, cũng như server cục bộ.
Trong Windows Server 2012 R2, khi đăng nhập vào máy server ở chế độ GUI, Server Manager sẽ
được chạy tự động.
Khung bên trái của cửa sổ Server Manager chứa các mục lớn, giúp người quản trị dễ dàng định vị được
các tài nguyên, tác vụ cần quản lý. Khi chọn một trong các mục này, nội dung liên quan sẽ được hiển
thị ở khung bên phải.
108
Kết nối tới server

Một điểm khác biệt giữa Server Manager trong Windows Server 2012 R2 và các phiên bản trước đó là
khả năng quản lý nhiều server cùng một lúc.
Server Manager cho phép kết nối tới server vật lý, server ảo, server đang chạy hệ điều hành từ
Windows Server 2003 trở lên.
Server Manager cho phép chia các server theo nhóm để tiện việc quản lý. Có thể chia nhóm theo địa lý,
theo chức năng.
Các bước để kết nối tới một server:
1. Mở Server Manager, chọn mục All Servers ở khung bên trái.
2. Chọn trình đơn Manage, chọn Add Servers để mở cửa sổ Add Servers.
3. Lựa chọn các táp tương ứng để tìm kiếm các server sẽ kết nối.
- Active Directory: cho phép tìm các server trong miền AD DS.
- DNS: tìm các server dựa vào DNS server.
- Import: cung cấp tên của server dưới dạng một tập tin văn bản.
4. Hệ thống sẽ tìm kiếm hoặc nạp danh sách các server từ tập tin văn bản, và hiển thị các server có
thể kết nối.
5. Lựa chọn server muốn kết nối, bấm chuột vào hình mũi tên phía phải để thêm server vào danh
sách Selected.
6. Bấm OK. Tên server sẽ được thêm vào mục All Servers.
109
7. Đóng cửa sổ Server Manager.
Quản lý các server chưa gia nhập domain

Với các server là thành viên của AD DS, nghĩa là các server này đã thực hiện việc gia nhập (join) vào
domain, khi bạn sử dụng Server Manager để kết nối tới chúng, hệ thống sẽ sử dụng giao thức Kerberos
và tài khoản đang đăng nhập để chứng thực.
Nếu bạn muốn kết nối tới một server mà nó chưa gia nhập vào domain thì sẽ không thể thực hiện
chứng thực bằng tài khoản của hệ thống AD DS. Do vậy, để kết nối và quản lý các server này bằng
Server Manager, bạn cần thực hiện các công việc sau:
- Phải có tài khoản với quyền quản trị hệ thống của server (server mà bạn sẽ kết nối tới).
- Đưa server vào danh sách WS-Management TrustedHosts.
Các bước để kết nối tới server:
1. Mở Server Manager, chọn mục All Servers ở khung bên trái.
2. Chọn trình đơn Manage, chọn Add Servers để mở cửa sổ Add Servers.
3. Lựa chọn các táp tương ứng để tìm kiếm server sẽ kết nối, trong trường hợp này chỉ sử
dụng được hai phương pháp sau:
- DNS: tìm các server dựa vào DNS server.
- Import: cung cấp tên của server dưới dạng một tập tin văn bản.
4. Hệ thống sẽ tìm kiếm hoặc nạp danh sách các server từ tập tin văn bản, và hiển thị các
server có thể kết nối.
5. Lựa chọn server muốn kết nối, bấm chuột vào hình mũi tên phía phải để thêm server vào
danh sách Selected.
6. Bấm OK. Tên server sẽ được thêm vào khung SERVERS của mục All Servers.
7. Bấm chuột phải vào server vừa được kết nối, chọn Manage As để mở cửa sổ Windows
Security, nhập tài khoản có chức năng quản trị server này.
8. Đối với các máy tính là thành viên của domain, chúng sẽ tự động thiết lập sự tin cậy (trust
relationship) với nhau. Tuy nhiên, đối với các máy tính không là thành viên của domain,
bạn phải tự thiết lập sự tin cậy, thực hiện bằng cách đưa máy server này vào danh sách
TrustedHosts trên máy tính đang chạy Server Manager.
9. Danh sách TrustedHosts nằm trên một ổ đĩa logic có tên là WSMan:, đường dẫn của danh
sách là: WSMan:\localhost\Client\TrustedHosts.
10. Để đưa một máy tính vào danh sách, sử dụng lệnh Set-Item của Windows PowerShell.
Chạy Windows PowerShell với quyền quản trị trên máy đang chạy Server Manager. Nhập
dòng lệnh sau:
Set-Item WSMan:\localhost\Client\TrustedHosts –value <servername> -force
110
Quản lý các server đang chạy Windows Server 2012 R2

Sau khi kết nối tới server đang chạy Windows Server 2012 R2 bằng Server Manager, bạn có thể cài đặt
các role và feature bằng Add Roles and Features Wizard cho server.
Bạn cũng có thể thực hiện các cấu hình khác như: cấu hình Gộp cạc mạng (NIC teaming), khởi động
lại server, vì Windows Remote Management (WinRM) được bật mặc định trên hệ thống Windows
Server 2012 R2.
Cấu hình WinRM
WinRM cho phép người quản trị quản lý một máy tính từ xa bằng các công cụ dựa trên Windows
Management Instrumentation (WMI) và Windows PowerShell.
Bạn có thể sử dụng Server Manager để thay đổi các thiết lập của WinRM.
Mở Server Manager, chọn mục Local Server ở cửa sổ bên trái, tại khung Properties ở cửa sổ bên phải,
mục Remote Management cho biết trạng thái hiện tại của WinRM, mặc định là Enable.
Để thay đổi trạng thái của WinRM, bấm chuột vào trạng thái của mục Remote Management (Enable)
để mở cửa sổ Configure Remote Management. Bỏ dấu chọn tại mục Enable Remote Management Of
This Server From Other Computers để vô hiệu WinRM, và đánh dấu chọn để bật lại chức năng này.
Cấu hình Firewall của Windows
Từ cửa sổ Server Manager, khi bạn mở một snap-in của MMC trên máy tính từ xa, ví dụ Computer
Management, nếu bạn nhận được một thông báo lỗi, nghĩa là Windows Server 2012 R2 tại máy tính từ
xa đã bật chức năng tường lửa (Windows Firewall).
Do MMC sử dụng Distributed Component Object Model (DCOM) để quản lý máy tính từ xa, chứ
không sử dụng WinRM, mà DCOM lại bị cấm mặc định bởi tường lửa.
Để khắc phục lỗi này, bạn phải thay đổi chính sách của tường lửa trên máy từ xa, cho phép (enable)
các dịch vụ sau được phép đi vào (inbound):
- COM+ Network Access (DCOM-In)
- Remote Event Log Management (NP-In)
- Remote Event Log Management (RPC)
- Remote Event Log Management (RPC-EPMAP)
Để thay đổi chính sách của tường lửa trên máy từ xa, bạn có thể sử dụng một trong các cách sau (thực
hiện trực tiếp trên máy cần thay đổi):
- Mở bằng snap-in MMC Windows Firewall with Advanced Security
- Sử dụng mô đun NetSecurity trong Windows PowerShell
- Tạo một GPO với các thiết lập thích hợp và áp dụng GPO cho server cần thay đổi (có thể
thực hiện từ xa)
- Chạy lệnh Netsh AdvFirewall từ cửa sổ dòng lệnh
Phương pháp sử dụng GPO để cấu hình tường lửa có thể thực hiện được từ xa, người quản trị không
nhất thiết phải thao tác trực tiếp tại server, có thể thực hiện được trên cả server đang làm việc ở chế độ
111
Server Core, có thể cấu hình một lần cho nhiều máy server. Các bước thực hiện (giả thiết là các server
đều thuộc domain, và đã được cài đặt feature Group Policy Management):
1. Trong Server Manager, mở Group Policy Management, tạo một GPO mới, đặt một tên bất kì, ví
dụ: Server Firewall Configuration.
2. Chuột phải vào GPO vừa tạo ở khung bên trái, chọn Edit để mở cửa sổ Group Policy
Management Editor.
3. Duyệt theo đường dẫn sau: Computer Configuration\Policies\Windows Settings\Security
Settings\Windows Firewall with Advanced Security\Inbound Rules.
4. Bấm chuột phải vào Inbound Rules, chọn New Rule để mở cửa sổ New Inbound Rule Wizard.
5. Chọn mục Predefined, xổ danh sách xuống, chọn COM+ Network Access và bấm Next để mở
trang Predefined Rules.
6. Bấm Next để mở trang Action.
7. Đánh dấu chọn vào mục Allow The Connection, bấm Finish. Luật vừa được tạo sẽ xuất hiện ở
phía phải của cửa sổ Group Policy Management Editor.
8. Tiếp tục mở New Inbound Rule Wizard (bước 4).
9. Chọn mục Predefined, xổ danh sách xuống, chọn Remote Event Log Management và bấm Next
để mở trang Predefined Rules.
10. Trạng thái mặc định đang chọn cả ba luật, bạn để nguyên và bấm Next để mở trang Action.
11. Đánh dấu chọn vào mục Allow The Connection, bấm Finish. Ba luật vừa được tạo sẽ xuất hiện
ở phía phải của cửa sổ Group Policy Management Editor.
12. Đóng cửa sổ Group Policy Management Editor.
13. Trong cửa sổ Group Policy Management, áp dụng (link) GPO Server Firewall Configuration
vừa tạo cho domain hoặc OU (chuột phải vào tên domain hoặc OU, chọn Link an Existing
GPO).
14. Đóng cửa sổ Group Policy Management.
GPO bạn vừa tạo sẽ tác động trên toàn domain hoặc OU, do vậy, khi máy tính server từ xa cập nhật
GPO này là bạn có thể sử dụng các snap-in MMC như Computer Management, Disk Management.
Quản lý các server phiên bản cũ

Trên các hệ điều hành Windows phiên bản trước Windows Server 2012 R2, tường lửa của Windows
cũng được thiết lập mặc định để chặn việc quản lý từ xa. Vì vậy, bạn cũng phải thực hiện để thay đổi
các thiết lập của tường lửa trên các máy này.
WinRM trên các phiên bản Windows Server trước Windows Server 2012 không được hỗ trợ đầy đủ.
Vì vậy, khi bạn sử dụng Server Manager trên Windows Server 2012 R2 để kết nối tới Windows Server
2008 hoặc Windows Server 2008 R2, trong cột trạng thái (status) của Server Manager sẽ có nội dung
yêu cầu bạn phải kiểm tra, cập nhật WinRM 3.0, và mở một số dịch vụ tại tường lửa.
Để các server đang chạy Windows Server 2008 hoặc Windows Server 2008 R2 hỗ trợ đầy đủ WinRM
bạn phải tải về và cài đặt các gói cập nhật sau:
112
- .NET Framework 4.0

- Windows Management Framework 3.0
Địa chỉ để tải về:
- http://www.microsoft.com/en-us/download/details.aspx?id=17718
- http://www.microsoft.com/en-us/download/details.aspx?id=34595
Sau khi cập nhật, hệ thống sẽ tự động chạy dịch vụ Windows Remote Management, tuy nhiên, bạn vẫn
phải thực hiện các công việc sau trên máy từ xa:
- Mở Windows Firewall, vào mục Inbound Rules, chuyển luật Windows Remote
Management (HTTP-In) sang trạng thái bật (Enable - Yes). Xem hình minh họa.
- Tạo một WinRM listener, bằng cách chạy lệnh winrm quickconfig tại cửa sổ dòng lệnh với
quyền quản trị hệ thống.
- Trong Windows Firewall, chuyển sang trạng thái bật (Enable) hai luật sau: COM+ Network
Access và Remote Event Log Management.
Tuy bạn đã thực hiện tất cả các cập nhật ở trên, nhưng vẫn còn một hạn chế là bạn không thể sử dụng
chức năng Add Roles And Features Wizard trong Server Manager để cài đặt các role và feature trên
các máy server từ xa đang dùng phiên bản cũ này. Cụ thể, trong quá trình Add Roles And Features
Wizard, các server này sẽ không xuất hiện trong mục Server pool tại cửa sổ Select Destination Server.
Dù vậy, bạn vẫn có thể cài đặt từ xa các role và feature trên các server đang chạy Windows Server
2008 và Windows Server 2008 R2 bằng Windows PowerShell. Các bước thực hiện như sau:
1. Mở Windows PowerShell với quyền quản trị hệ thống.
2. Thiết lập một phiên làm việc với máy tính từ xa bằng lệnh sau:
Enter-PSSession <remote server name> -credential <user name>
3. Nhập password của user name ở bước trên, gõ phím Enter.
4. Để hiển thị danh sách các role và feature trên máy từ xa, sử dụng lệnh sau:
Get-WindowsFeature
113
5. Sử dụng dạng tên ngắn (cột Name) của các role hoặc service xuất hiện trong lệnh Get-
WindowsFeature, để cài đặt các thành phần sử dụng lệnh sau:
Add-WindowsFeature <feature name>
6. Đóng phiên làm việc với máy từ xa bằng lệnh sau:
Exit-PSSession
7. Đóng cửa sổ Windows PowerShell.
Tạo các nhóm cho server

Để quản trị các hệ thống mạng lớn, bạn sẽ phải kết nối rất nhiều các server vào Server Mananger. Để
tránh tình trạng phải làm việc với một danh sách dài các server, bạn sẽ nhóm các server theo vị trí, theo
chức năng hoặc theo một tiêu chuẩn tùy ý.
Các bước để nhóm server:
1. Trong Server Manager, chọn mục All Servers. Trang quản lý All Servers xuất hiện.
2. Từ trình đơn Manage, chọn Create Server Group để mở cửa sổ Create Server Group. Xem hình
minh họa.
114
3. Nhập tên cho nhóm server trong mục Server Group Name.
4. Lựa chọn một trong bốn cách để chọn các server.
5. Chọn các server mà bạn muốn đưa vào nhóm, bấm nút hình tam giác để chuyển server được
chọn sang danh sách Selected.
6. Bấm OK, nhóm server vừa tạo sẽ xuất hiện ở khung bên trái của cửa sổ Server Manager.
7. Đóng cửa sổ Server Manager.
Việc tạo nhóm chỉ đơn thuần giúp bạn thuận tiện hơn trong việc định vị server, nó không ảnh hưởng gì
đến các thao tác bạn sẽ thực hiện trên các server (dù trong nhóm hay không).
Sử dụng Remote Server Administration Tools

Bạn có thể sử dụng bất kì máy tính nào đang chạy Windows Server 2012 R2 để quản lý các server từ
xa, tất cả các công cụ cần thiết đều được cài đặt mặc định. Tuy nhiên, nếu người quản trị muốn sử
dụng máy tính đang chạy hệ điều hành khác để quản lý server từ xa, thì họ phải tải về và cài đặt gói
Remote Server Administration Tools. Tải về tại Microsoft Download Center,
http://www.microsoft.com/download.
Gói Remote Server Administration Tools có đuôi là .msu. Bạn có thể cài đặt từ File Explorer, từ dòng
lệnh hoặc thông qua Software Distribution của GPO.
115
Khi bạn chạy Server Manager trên máy vừa được cài đặt Remote Server Administration Tools, sẽ
không có sẵn local server và remote server trên giao diện, vì vậy, bạn phải thực hiện kết nối bằng tay.
Mặc định Server Manager sẽ chứng thực bằng tài khoản bạn đang đăng nhập hệ thống, vì vậy, để kết
nối tới server bằng một tài khoản khác, bạn chuột phải vào server, chọn Manage As, rồi nhập tài khoản
mới.
Làm việc với các server từ xa

Khi bạn đã kết nối tới các server từ xa bằng Server Manager, bạn sẽ có rất nhiều công cụ để truy cập và
cấu hình.
Server Manager cung cấp ba cách để truy cập và cấu hình server:
- Contextual tasks: bạn có thể bấm chuột phải vào một server trong Server Manager, một
trình đơn sẽ xuất hiện, nó cung cấp cho bạn các công cụ và các lệnh liên quan đến server
đó. Một số lệnh sẽ trực tiếp được thực thi trên server từ xa, như khởi động lại server,
Windows PowerShell. Một số lệnh sẽ triệu gọi một công cụ nào đó trên máy cục bộ, từ
công cụ đó sẽ chuyển hướng đến server từ xa, ví dụ các snap-in MMC, Install Roles And
Features Wizard. Có một số lệnh trong các mục TASKS cũng thuộc loại contextual tasks
này.
- Noncontextual task: đây là các lệnh nằm trong trình đơn Manage ở phía trên cùng của cửa
sổ Server Manager, nó cung cấp các lệnh có tính chất nội tại của Server Manager, như chạy
Add Server Wizard, chạy Install Roles And Features Wizard, và mở cửa sổ Server Manager
Properties.
- Noncontextual tool: các công cụ có trong trình đơn Tools, nó cung cấp phương tiện để truy
cập tới các chương trình mở rộng, ví dụ các snap-in của MMC, giao diện Windows
PowerShell, các chương trình này thực hiện trực tiếp trên máy cục bộ.

- Windows Server 2012 R2 được thiết kế theo hướng hỗ trợ quản trị từ xa. Do vậy, người
quản trị rất ít khi phải thao tác trực tiếp tại máy server. Điều này cũng giúp server có thêm
tài nguyên (CPU, RAM) để chạy các ứng dụng cần thiết khác.
- Khi bạn sử dụng Server Manager để kết nối tới một server đang chạy Windows Server 2012
R2, bạn có thể ngay lập tức sử dụng Add Roles and Features Wizard để cài đặt các role và
các feature trên server.
- Mặc định, Windows Firewall trên Windows Server 2012 R2 và các phiên bản trước đó đều
không cho phép chạy các MMC từ xa. Vì vậy, bạn phải thực hiện cấu hình lại Windows
Firewall để cho phép chạy từ xa các MMC.
- Để tiện cho việc quản lý nhiều server trong một hệ thống mạng lớn, bạn có thể nhóm các
server thành nhóm, có thể nhóm theo vị trí, nhóm theo chức năng hoặc theo một tiêu chuẩn
bất kì.
- Bạn có thể sử dụng Windows Server 2012 R2 để quản lý các server ở xa rất tiện lợi, vì các
công cụ đã được cài đặt mặc định. Tuy nhiên, xu hướng quản trị mới của Microsoft là hạn
116
chế việc tương tác trực tiếp tại máy server, thay vào đó là sử dụng các máy trạm để quản lý
các server ở xa.

1. Bạn phải thực hiện công việc nào sau đây, trước khi bạn có thể quản lý Windows Server 2012
R2 ở xa bằng Computer Management snap-in?
A. Bật WinRM của server ở xa.
B. Kích hoạt luật (rule) COM+ Network Access trên server ở xa.
C. Kích hoạt luật Remote Event Log Management trên server ở xa.
D. Cài Remote Server Administration Tools trên server ở xa.
2. Để liệt kê các luật hiện tại của Windows Firewall trên một máy tính đang chạy Windows
Server 2012 R2, sử dụng lệnh Windows PowerShell nào? (có thể chọn nhiều đáp án)
A. Get-NetFirewallRule
B. Set-NetFirewalRule
C. Show-NetFirewallRule
D. New-NetFirewallRule
3. Công việc nào sau đây bạn không thể thực hiện được từ xa, khi server ở xa đang chạy Windows
Server 2008?
A. Cài đặt các role bằng Server Manager.
B. Cài đặt các role bằng Windows PowerShell.
C. Kết nối tới server ở xa bằng Computer Management snap-in.
D. Theo dõi các sự kiện trong event log.
4. Server ở xa đang chạy Windows Server 2008, để kết nối tới server này bằng Server Manager từ
Windows Server 2012 R2, bạn phải cập nhật các gói nào? (chọn nhiều phương án).
A. .NET Framework 3.5
B. .NET Framework 4.0
C. Windows Management Framework 3.0
D. Windows Server 2008 R2.
5. Khi bạn chạy Server Manager trên máy trạm Windows 8 bằng Remote Server Administrator
Tools, mặc định, thành phần nào sau đây không được hiển thị?
A. Daskboard.
B. Trang quản lý của Local Server.
C. Trang quản lý của All Servers.
D. Trang Welcome.
117
Chương 3. Cấu hình Hyper-V

Khái niệm ảo hóa server đã phát triển trong một vài năm gần đây, ban đầu nó được xem như là một
giải pháp mới để chạy thử nghiệm, kiểm tra các server.
Windows Server 2012 R2 sử dụng role Hyper-V để tạo máy tính ảo (VM-Virtual Machine), các máy
ảo này hoạt động trong môi trường hoàn toàn độc lập với máy thật. Người quản trị có thể dễ dàng di
chuyển máy ảo từ nơi này sang nơi khác trong cùng một máy thật, hoặc từ máy thật này sang máy thật
khác. Ngoài ra, việc cài đặt ứng dụng và dịch vụ trên máy ảo cũng đơn giản, thuận tiện.
Chương này đề cập tới một số vấn đề liên quan đến việc triển khai Hyper-V server và máy ảo. Cụ thể
gồm các nội dung sau:
- Tạo và cấu hình máy ảo
- Tạo và cấu hình hệ thống lưu trữ ảo
- Tạo và cấu hình mạng ảo
3.1. Tạo và cấu hình máy ảo

Ảo hóa server trong Windows Server 2012 R2 hoạt động dựa trên một thành phần có tên gọi là
hypervisor. Thành phần này còn có tên gọi khác là Virtual Machine Monitor (VMM).
Hypervisor có nhiệm vụ trừu tượng hóa phần cứng của máy tính, trên cơ sở đó tạo ra các môi trường
phần cứng ảo riêng biệt, mỗi môi trường phần cứng riêng biệt gọi là một máy ảo (VM). Như vậy, mỗi
máy ảo sẽ có một cấu hình phần cứng riêng, chạy một hệ điều hành riêng.
Dựa trên role Hyper-V, từ một máy tính chạy Windows Server 2012 R2, chúng ta có thể tạo ra rất
nhiều máy tính ảo, chúng hoạt động như những máy tính vật lý độc lập.
Kiến trúc của ảo hóa

Các sản phẩm ảo hóa có thể sử dụng một số kiến trúc khác nhau để chia sẻ tài nguyên phần cứng cho
các máy ảo. Sản phẩm ảo hóa ban đầu của Microsoft gồm Microsoft Windows Virtual PC và Microsoft
Virtual Server yêu cầu máy thật phải có một hệ điều hành làm nền tảng. Khi đó, hệ điều hành sẽ trở
thành hệ điều hành “nền” (host). Trên hệ điều hành “nền”, chúng ta sẽ cài hạ tầng ảo hóa hypervisor.
Về mặt bản chất, hạ tầng ảo hóa sẽ chạy song song với hệ điều hành “nền”, trên hypervisor bạn có thể
tạo các máy ảo chạy độc lập. Xem hình minh họa.
118
Hệ điều hành Hệ điều hành Hệ điều hành
Hệ điều hành nền

Máy ảo Máy ảo Máy ảo
Hypervisor
Phần cứng
Kiến trúc ảo hóa loại 2, cùng chia sẻ phần cứng với hệ điều hành nền
Kiến trúc ảo hóa mà hypervisor chạy trên hệ điều hành nền gọi là ảo hóa loại 2 (type II virtualization).
Ở kiến trúc ảo hóa loại 2, bạn có thể tạo ra một máy tính ảo với đầy đủ các thành phần, như: đĩa cứng,
RAM, các thiết bị ngoại vi, CPU. Trên máy tính ảo này, bạn sẽ cài đặt một hệ điều hành như trên một
máy tính thông thường. Thời gian xử lý của CPU sẽ được luân chuyển giữa hệ điều hành nền và
hypervisor.
Kiến trúc ảo hóa loại 2 phù hợp với môi trường chạy thử nghiệm, học tập. Nó không đáp ứng được cho
các hệ thống cần hiệu suất làm việc cao, ví dụ các server.
Hyper-V trong Windows Server 2012 R2 thực hiện ảo hóa theo một kiến trúc khác, gọi là kiến trúc ảo
hóa loại 1. Trong kiến trúc này, hypervisor sẽ là một lớp trừu tượng, hypervisor sẽ tương tác trực tiếp
với phần cứng của máy thật, chứ không phải thông qua hệ điều hành nền nữa.
Trong kiến trúc ảo hóa loại 1, hypervisor sẽ tạo ra các môi trường riêng biệt gọi là các partititon (phân
vùng), trên mỗi phân vùng sẽ có một hệ điều hành riêng (kể cả hệ điều hành nền trên máy thật), các hệ
điều hành sẽ thực hiện truy cập phần cứng thông qua hypervisor.
Trong kiến trúc này không còn quá trình chia sẻ thời gian CPU giữa hypervisor và hệ điều hành nền
nữa. Thay vào đó, hypervisor sẽ chỉ định phân vùng đầu tiên là phân vùng cha, hệ điều hành nền sẽ
chạy trên phân vùng cha, tất cả các phân vùng còn lại là phân vùng con. Xem hình minh họa.
119
Phân vùng cha Phân vùng con Phân vùng con
Hypervisor
Phần cứng
Kiến trúc ảo hóa loại 1, hypervisor chạy trực tiếp trên phần cứng
Phân vùng cha và các phân vùng con sẽ truy cập phần cứng của hệ thống máy thật thông qua
hypervisor. Phân vùng cha sẽ chạy một chương trình có nhiệm vụ tạo và quản lý các phân vùng con
gọi là virtualization stack. Phân vùng cha cũng chịu trách nhiệm xử lý các vấn đề liên quan đến Plug
and Play, quản lý nguồn điện, xử lý lỗi cho các hệ thống chạy trên các phân vùng con. Các phân vùng
con sẽ thao tác trên phần cứng ảo, trong khi phân vùng cha thao tác trên phần cứng thật.
Triển khai Hyper-V

Chỉ có Windows Server 2012 R2 bản Standard và Datacenter mới hỗ trợ Hyper-V. Hệ điều hành được
cài đặt role Hyper –V sẽ chạy trên phân vùng cha, từ phân vùng này sẽ thực hiện việc quản lý và tạo
các phân vùng con. Trên các phân vùng con có thể cài đặt các hệ điều hành máy chủ, máy trạm dòng
Microsoft, hoặc các dòng khác.
Vấn đề bản quyền trên Hyper-V

Cũng như trên máy thật, khi cài đặt hệ điều hành trên máy ảo, bạn cũng phải có bản quyền của hệ điều
hành. Khác biệt chính giữa hai bản Standard và Datacenter là vấn đề bản quyền. Với bản Standard khi
bạn mua bản quyền cho máy thật, bạn sẽ được thêm hai bản khác cho máy ảo, trong khi bản Datacenter
không giới hạn số lượng cài đặt trên máy ảo.
Giới hạn phần cứng trên Hyper-V

Hyper-V trên Windows Server 2012 R2 có nhiều cải tiến so với các phiên bản trước đây. Cụ thể,
Hyper-V chạy trên Windows Server 2012 R2 hỗ trợ 320 vi xử lý logic, 2048 CPU ảo, 4 TB RAM.
Một server có thể hỗ trợ 1024 máy ảo; mỗi máy ảo có thể hỗ trợ 64 CPU ảo, với 1 TB RAM.
120
Hyper-V có thể hỗ trợ cluster gồm 64 nút với 8000 máy ảo.
Hyper-V server
Bên cạnh việc triển khai ảo hóa dựa trên Hyper–V trong Windows Server 2012 R2, bạn cũng có thể
triển khai ảo hóa trên một phiên bản server khác của Microsoft, đó là Hyper-V Server 2012 R2, đây là
phiên bản rút gọn của Windows Server 2012 R2.
Khi cài đặt Hyper-V Server 2012 R2, role Hyper-V sẽ được cài mặc định cùng với hệ điều hành.
Hyper-V Server 2012 R2 chỉ có ba role là: Hyper-V, File and Storage Services, và Remote Desktop;
trong đó hai role sau bị hạn chế một số chức năng. Xem hình minh họa.
Mặc dù Hyper-V Server cũng bị hạn chế các chức năng trong chế độ Server Core. Tuy nhiên, cũng như
các Server Core khác, với gói SCONFIG đã được cài đặt sẵn, bạn có thể thực hiện việc quản lý Hyper-
V Server từ xa bằng Server Manager và Hyper-V Manager. Xem hình minh họa.
121
Hyper-V Server là sản phẩm miễn phí của Microsoft, bạn có thể tải về từ trang web của Microsoft. Tuy
nhiên, Hyper-V Server không hỗ trợ bản quyền cho bất kì hệ điều hành nào cài đặt trên máy ảo.
Cài đặt Hyper-V

Trước khi cài đặt, cần phải kiểm tra phần cứng để đảm bảo nó có hỗ trợ Hyper-V. Việc cài đặt role
Hyper-V trong Windows Server 2012 R2 cũng tương tự như các role khác, sử dụng Server Manager để
cài đặt.
Khi cài đặt role Hyper-V, hệ thống sẽ cài đặt hạ tầng hypervisor và công cụ quản trị (nếu cài đặt ở chế
độ full GUI). Sau khi cài đặt, bạn sẽ sử dụng công cụ Hyper-V Manager để tạo, quản lý các máy ảo và
các thành phần khác trên Hyper-V.
Hyper-V Manager cho phép quản lý và cấu hình tất cả các server ảo hóa và máy ảo trên hệ thống
mạng.
Bạn cũng có thể quản lý các máy ảo bằng tập lệnh Hyper-V trong Windows PowerShell.
Microsoft đưa ra một số đề nghị cho hệ thống cài đặt Hyper-V:
- Server cài đặt Hyper-V thì không nên cài đặt thêm các role khác.
- Nếu muốn cài đặt một số role trên server ảo hóa để quản lý máy tính ảo, thì bạn nên cài đặt
trong Hyper-V.
- Server cài đặt Hyper-V nên cài ở chế độ Server Core.
Yêu cầu phần cứng của server:
- Vi xử lý 64-bit, có hỗ trợ ảo hóa. Ví dụ: công nghệ Intel VT (Intel Virtualization Technology)
hoặc AMD-V (AMD Virtualization).
- BIOS có hỗ trợ ảo hóa, và tùy chọn này đã được bật.
122
- CPU có hỗ trợ công nghệ quản lý bộ nhớ đặc thù của ảo hóa. Ví dụ: DEP (Data Execution
Prevention), eXecute Disable (XD) của Intel, No eXecute (NX) của AMD. Đặc biệt, hệ thống
cũng phải hỗ trợ Intel XD bit hoặc AMD NX bit.
Các bước để cài đặt Hyper-V:
1. Mở Server Manager, chọn trình đơn Manage, chọn Add Roles And Features để chạy Add Roles
And Features Wizard, hệ thống sẽ hiển thị trang Before You Begin.
2. Bấm Next để mở trang Select Installation Type.
3. Hệ thống đã chọn sẵn mục Role-Based Or Feature-Based Installation, để mặc định, bấm Next
để mở trang Select Destination Server.
4. Lựa chọn server mà bạn muốn cài đặt Hyper-V, sau đó bấm Next để mở trang Select Server
Roles.
5. Chọn role Hyper-V. Hộp thoại Add Features That Are Required For Hyper-V sẽ xuất hiện.
6. Bấm Add Features để chấp nhận một số đề nghị của hệ thống, bấm Next để mở trang Select
Features.
7. Bấm Next để mở trang Hyper-V.
8. Bấm Next để mở trang Create Virtual Switches.
9. Lựa chọn cạc mạng phù hợp và bấm Next để mở trang Virtual Machine Migration.
123
10. Bấm Next để mở trang Default Stores.

11. Lựa chọn vị trí để lưu đĩa cứng ảo (VHD: Virtual Hard Disk), tập tin cấu hình của máy tính ảo
(VM configuration). Bấm Next để mở trang Confirm Installation Selection.
12. Bấm nút Install để mở trang Installation Progress.
13. Bấm Close sau khi cài đặt thành công.
14. Khởi động lại server.
Quá trình cài đặt role Hyper-V sẽ thiết lập hạ tầng hypervisor. Do vậy, nó sẽ làm thay đổi quá trình
khởi động của Windows Server 2012 R2, vì hypervisor đã kiểm soát phần cứng của hệ thống, và nạp
hệ điều hành của Windows Server 2012 R2 vào partition đầu tiên (partition cha).
Sử dụng Hyper-V manager

Sau khi cài đặt Hyper-V và khởi động lại máy tính, bạn có thể bắt đầu sử dụng Hyper-V manager để
tạo các máy tính ảo, và cài đặt hệ điều hành trên các máy tính ảo.
Để mở Hyper-V manager, bạn mở Server Manager, vào trình đơn Tools.
Hyper-V manager cho phép người quản trị tạo và quản lý các máy tính ảo trên nhiều server khác nhau.
Để chạy Hyper-V manager trên các server không cài role Hyper-V, bạn phải cài đặt feature Hyper-V
Management Tools. Feature này cũng có trong feature Remote Server Administrator Tools.
124
Sử dụng Hyper-V Manager, bạn có thể kết nối tới các Hyper-V server trong hệ thống mạng. Để thực
hiện, bấm chuột phải vào nút Hyper-V Manager ở khung bên trái, chọn Connect To Server để mở cửa
sổ Select Computer, tại đây, bạn có thể tìm kiếm hoặc nhập tên của Hyper-V server cần kết nối.
Hyper-V Manager sẽ liệt kê tất cả các máy tính ảo (VM) trên các server đã được kết nối, cùng với một
số thông tin của mỗi máy tính ảo. Xem hình minh họa.
Tạo một máy tính ảo

Sau khi cài đặt Hyper-V, bạn có thể sử dụng Hyper-V Manager để tạo các máy tính ảo và cài đặt hệ
điều hành trên các máy tính ảo. Trong quá trình tạo máy tính ảo, tùy theo hạ tầng phần cứng của
server, bạn sẽ xác định cấu hình cụ thể cho một máy tính ảo, ví dụ: số vi xử lý, dung lượng RAM, cạc
mạng, đĩa cứng ảo, SAN.
Một máy ảo thường có các tập tin sau:
- Tập tin cấu hình của máy ảo, dạng .xml.
- Một hoặc nhiều tập tin của đĩa cứng ảo (.vhd hoặc .vhdx). Hệ điều hành, ứng dụng và dữ liệu
của máy ảo sẽ được lưu trong đĩa cứng ảo này.
- Một số máy ảo còn có tập tin lưu trạng thái của nó, dạng .vsv.
Sau đây là các bước để tạo một máy tính ảo:
1. Mở Server Manager, trong trình đơn Tools, chọn Hyper-V Manager để mở cửa sổ điều khiển
của Hyper-V Manager.
125
2. Ở khung bên trái, chọn Hyper-V server mà bạn quan tâm.

3. Từ trình đơn Action, chọn New, Virtual Machine. Bắt đầu chạy New Virtual Machine Wizard,
xuất hiện trang Before You Begin.
4. Bấm Next để mở trang Specify Name And Location.
5. Nhập tên cho máy tính ảo trong mục Name, tên này cũng được hệ thống sử dụng để đặt tên cho
các tập tin cũng như thư mục để lưu máy ảo. Nếu không muốn lưu các tập tin này ở vị trí mặc
định, chọn mục Store The Virtual Machine In A Different Location, nhập đường dẫn mới vào
mục Location. Bấm Next để mở trang Specify Generation.
6. Lựu chọn loại máy ảo mà bạn muốn tạo Generation 1 hoặc Generation 2. Bấm Next để mở cửa
sổ Assign Memory.
7. Trong mục Startup Memory, nhập kích thước RAM cho máy ảo, bấm Next để mở trang
Configure Networking. Xem hình minh họa.
8. Bấm chuột để xổ danh sách của Connection, chọn một switch ảo để kết nối. Bấm Next để mở
cửa sổ Connect Virtual Hard Disk. Xem hình minh họa.
126
9. Hệ thống đã chọn sẵn mục Create A Virtual Hard Disk, để nguyên và nhập thêm các giá trị sau:
- Name: nhập tên cho tập tin chứa đĩa cứng ảo, sử dụng định dạng .vhdx cho Windows
Server 2012 R2.
- Location: xác định vị trí lưu tập tin của đĩa cứng ảo.
- Size: nhập kích thước của đĩa cứng ảo.
10. Bấm Next để mở trang Installation Options.
11. Để nguyên lựa chọn Install An Operating System Later Option, bấm Next để mở trang
Completing The New Virtual Machine.
12. Bấm Finish. Hệ thống sẽ tạo mới một máy ảo và đưa nó vào danh sách các máy ảo trong
Hyper-V Manager.
Máy tính ảo vừa tạo đã có đầy đủ các bộ phận phần cứng, chỉ còn thiếu hệ điều hành và các phần mềm
ứng dụng.
Mỗi máy tính ảo trong Hyper-V server có một giao diện để quản lý các tài nguyên phần cứng riêng.
Bạn có thể thực hiện cấu hình, thay đổi các tài nguyên phần cứng của máy ảo trong trang Settings của
nó.
Trong cửa sổ Hyper-V Manager, lựa chọn một máy ảo từ danh sách, tại khung Actions (bên phải),
chọn Settings để mở cửa sổ Settings, đây là giao diện cấu hình quan trọng cho máy ảo, tại đây bạn có
thể thực hiện thay đổi các thông số liên quan đến phần cứng của nó. Xem hình minh họa.
127
Máy ảo thế hệ 1 (Generation 1) và thế hệ 2 (Generation 2)

Trong Windows Server 2012 R2, Hyper-V đưa ra một loại máy ảo mới gọi là máy ảo thế hệ 2. Các
máy ảo tạo ra trong các phiên bản Windows trước gọi là máy ảo thế hệ 1.
Trong quá trình tạo máy ảo bằng tiện ích New Virtual Machine Wizard, sẽ có phần cho bạn chọn loại
máy ảo, tại đó, bạn sẽ lựa chọn máy ảo sẽ tạo là thế hệ 1 hay thế hệ 2. Xem hình minh họa.
128
Máy ảo thế hệ 1 được thiết kế theo kiểu mô phỏng các phần cứng của một máy tính thông thường. Máy
ảo sẽ sử dụng các bộ điều khiển của phần cứng tương ứng, ví dụ: AMI BIOS, cạc đồ họa S3, vi xử lý
và cạc mạng của Intel. Máy ảo thế hệ 1 được tạo trong Hyper-V của Windows Server 2012 R2 sẽ
tương thích với tất cả các máy ảo đã được tạo trong các Hyper-V phiên bản trước.
Máy ảo thế hệ 2 sử dụng các bộ điều khiển giả lập (synthetic drivers) và các thiết bị được mô phỏng
bằng phần mềm (software-based devices), vì vậy, chúng có một số điểm mạnh sau:
- UEFI boot: thay vì sử dụng BIOS truyền thống, máy ảo thế hệ 2 hỗ trợ khởi động an toàn (Secure
Boot) bằng việc sử dụng Universal Extensible Firmware Interface (UEFI), chúng yêu cầu hệ điều
hành phải được “chứng thực” là an toàn thì mới được khởi động. Đồng thời nó cũng hỗ trợ khởi
động từ đĩa cứng có kích thước lớn hơn 2 TB, phân vùng theo GPT (GUID Partition Tables).
- SCSI disks: máy ảo thế hệ 2 không còn sử dụng IDE disk controller (hay cổng kết nối IDE) như
trong các máy ảo thế hệ 1, thay vào đó, nó sử dụng SCSI controller (hay cổng kết nối SCSI) cho tất
cả các loại đĩa. Kết quả là máy ảo thế hệ 2 cho phép khởi động từ các đĩa cứng dạng .vhdx và hỗ
trợ thay thế “nóng” đĩa cứng (hot-disk adds and removes).
Mặc dù máy ảo thế hệ 2 chạy nhanh và hiệu quả hơn so với máy ảo thế hệ 1, tuy nhiên, máy ảo thế hệ
2 chỉ cài được các hệ điều hành sau:
- Windows Server 2012
- Windows Server 2012 R2
- Windows 8 64-bit
129
- Windows 8.1 64-bit
Cài đặt hệ điều hành cho máy ảo

Sau khi tạo xong máy ảo, bạn có thể cài đặt hệ điều hành cho nó. Với một máy ảo thế hệ 1, bạn có thể
cài đặt các hệ điều hành sau:
- Windows Home Server 2011
- Windows Small Business Server 2011
- Windows Server 2003 SP2
- Windows 8.1
- Windows 8
- Windows 7 Enterprise và Ultimate
- Windows Vista Business, Enterprise, và Ultimate SP2
- Windows XP Professional SP3
- Windows XP x64 Professional SP2
- CentOS 6.0-6.2
- Red Hat Enterprise Linux 6.0-6.2
- SUSE Linux Enterprise Server 11 SP2.
Với một máy tính ảo, bạn có rất nhiều cách để truy cập tới các tập tin cài đặt (đĩa nguồn Windows).
Mặc định, máy tính ảo có một ổ đĩa DVD. Bạn mở cửa sổ Settings của một máy ảo thế hệ 1, chọn mục
DVD drive trong danh sách Hardware để thay đổi một số tùy chọn. Trong phần Media, bạn có các tùy
chọn sau:
- None: giống với trạng thái có ổ đĩa mà không có đĩa bên trong.
- Image File: trỏ tới một tập tin định dạng .iso, tập tin này có thể nằm trên một ổ đĩa của máy thật
hoặc trên mạng.
- Physical CD/DVD Drive: nối ổ DVD ảo với ổ DVD của máy thật.
130
Máy ảo thế hệ 2 chỉ hỗ trợ hai loại là None và Image File. Việc hỗ trợ Image File sẽ giúp bạn dễ dàng
kết nối tới đĩa nguồn Windows dạng .iso. Để khởi động máy tính ảo, vào trình đơn Actions, chọn Start.
Khi máy ảo khởi động, màn hình của máy ảo sẽ xuất hiện trong Hyper-V Manager. Để hiển thị đầy đủ
màn hình của máy ảo, bấm vào mục Connect trong khung Actions, hệ thống sẽ mở máy ảo ở một cửa
sổ mới. Tại cửa sổ mới này, bạn có thể thao tác trên máy ảo như là đang làm việc trực tiếp với một
máy thật.
Khi máy ảo khởi động vào đĩa nguồn hệ điều hành, quá trình cài đặt sẽ được thực hiện. Trong quá trình
cài đặt, bạn có thể thực hiện chia đĩa cứng (phân vùng đĩa) với kích thước tùy ý, chọn phân vùng để cài
đặt hệ điều hành. Khi cài đặt hệ điều hành xong, máy ảo sẽ khởi động lại, sau đó bạn sẽ đăng nhập hệ
thống và sử dụng như một máy tính bình thường.
Cấu hình Guest Integration Services

Để đảm bảo việc tương thích giữa hệ điều hành máy ảo và hệ thống máy thật, Hyper-V cung cấp gói
Guest Integration Services để cài đặt trên máy tính ảo.
Một số chức năng của gói Guest Integration Services:
- Chức năng shutdows hệ điều hành: cho phép người quản trị có thể sử dụng Hyper-V Manager
để shutdows hệ điều hành từ xa.
- Đồng bộ thời gian: cho phép Hyper-V thực hiện đồng bộ hóa thời gian từ partition cha tới các
partition con.
131
- Trao đổi thông tin: cho phép các hệ điều hành tại partition cha và các partition con trao đổi
thông tin với nhau, ví dụ: thông tin về phiên bản hệ điều hành, tên máy tính dạng FQDN (Fully
Qualified Domain Name)- tên miền đầy đủ.
- Heartbeat (nhịp tim): là một dịch vụ của hệ thống, dịch vụ này cho phép partition cha định kì
gửi tín hiệu tới partition con, và chờ tín hiệu phản hồi của partition con. Nếu không có tín hiệu
trả về nghĩa là hệ điều hành trên partition con đã tắt hoặc bị trục trặc.
- Backup: cho phép lưu dự phòng hệ thống máy ảo bằng chức năng Volume Shadow Copy
Services.
- Guest Services: cho phép người quản trị chép dữ liệu tới một máy ảo mà không cần kết nối
mạng.
Trên các hệ điều hành Windows Server 2012 R2, Windows Server 2012, Windows 8, Windows 8.1,
gói Guest Integration Services đã được tích hợp sẵn. Với các hệ điều hành cũ hơn, nếu đã có gói Guest
Integration Services phiên bản cũ, thì bạn cần phải nâng cấp chúng, tuy nhiên, cũng có những hệ điều
hành cũ không có gói này, khi đó bạn phải thực hiện cài đặt mới.
Sau đây là các bước để nâng cấp hoặc cài đặt gói Guest Integration Services.
1. Mở Server Manager, chọn trình đơn Tools, chọn Hyper-V Manager để mở cửa sổ Hyper-V
Manager.
2. Tại khung bên trái, chọn Hyper-V server mà bạn quan tâm.
3. Trong khung Actions, khởi động máy ảo mà bạn muốn cài đặt gói Guest Integration Services,
bấm Connect để mở cửa sổ Virtual Machine Connection.
4. Trong cửa sổ Virtual Machine Connection, từ trình đơn Action, chọn Insert Integration
Services Setup Disk. Hyper-V sẽ kết nối tập tin cài đặt Guest Integration Services tới một ổ đĩa
ảo và một chương trình tự chạy Autoplay sẽ xuất hiện.
5. Bấm nút Install Hyper-V Integration Services, một hộp thoại xuất hiện, hỏi bạn về việc nâng
cấp.
6. Bấm OK. Hệ thống sẽ thực hiện cài đặt và nhắc bạn khởi động lại máy tính.
7. Bấm Yes, máy tính sẽ khởi động lại.
Sau khi cài đặt hoặc nâng cấp Guest Integration Services, bạn có thế bật hoặc tắt một số chức năng của
nó. Để thực hiện, mở mục Settings của máy ảo, chọn mục Integration Services. Xem hình minh họa.
132
Tới đây bạn đã sẵn sàng để cấu hình và quản lý máy tính ảo như một máy thật. Bạn có thể thay đổi cấu
hình mạng, truy cập từ xa, cài đặt các ứng dụng, cài đặt các role và feature.
Sử dụng Enhanced Session mode

Trong các phiên bản Hyper-V trước đây, khi bạn mở một cửa sổ Virtual Machine Connection từ
Hyper-V Manager, bạn sẽ sử dụng được chuột, bàn phím và một số chức năng liên quan đến cắt/dán
(copy/paste) dữ liệu trên máy ảo. Để có thể thao tác nhiều hơn, ví dụ, làm việc với âm thanh, in ấn, bạn
sẽ phải thiết lập kết nối Remote Desktop Services tới máy ảo, điều này đòi hỏi các máy phải thuộc
cùng một mạng, mà thực tế không phải khi nào cũng đáp ứng được.
Bắt đầu từ Windows Server 2012 R2, Hyper-V sẽ hỗ trợ kiểu kết nối mới gọi là Enhanced Session
mode, kiểu kết nối này cho phép bạn thao tác được nhiều hơn thông qua Virtual Machine Connection
trên các máy ảo đang chạy Windows Server 2012 R2 hoặc Windows 8.1, cụ thể gồm:
- Cấu hình màn hình hiển thị
- Âm thanh
- In ấn
- Bộ nhớ ngắn hạn trên Windows (clipboard)
- Cạc thông minh (smart card)
- Các thiết bị kết nối cổng USB
133
- Các ổ đĩa
- Các thiết bị Plug and Play
Enhanced Session mode hoạt động dựa trên kết nối giữa máy chủ và máy thật bằng Remote Desktop
Protocol. Tuy nhiên, giữa hai máy không cần phải có kết nối mạng, mà nó sử dụng VMBus. VMBus là
kết nối tốc độ cao giữa các partition trong một Hyper-V server.
Trong Windows 8.1, Enhanced Session mode được thiết lập mặc định. Tuy nhiên, trong Windows
Server 2012 R2, bạn phải bật chức năng này tại trang Enhanced Session Mode Policy, trong cửa sổ
Hyper-V Settings. Xem hình minh họa.
Cấp phát bộ nhớ

Nhờ sử dụng kiểu cấp phát bộ nhớ động (dynamic memory), Hyper-V có thể điều chỉnh kích thước
RAM cho mỗi máy ảo, tùy theo nhu cầu sử dụng thực tế. Trong máy ảo, có một số thành phần có thể
ảo hóa được, ví dụ, bạn có thể gom các không gian đĩa cứng còn trống của máy thật để tạo các đĩa
cứng ảo, bạn có thể tạo ổ đĩa DVD ảo từ một tập tin .iso, bạn cũng có thể tạo một cạc mạng ảo, tất cả
đều hoạt động như các thiết bị thật. Tuy nhiên, với bộ nhớ (RAM) thì khác, bạn không thể ảo hóa hay
sử dụng cái khác để thay thế. Do vậy, Hyper-V phải lấy bộ nhớ của máy thật để chia sẻ cho các máy
ảo.
Khi tạo máy ảo, bạn đã xác định kích thước RAM cho máy ảo. Kích thước RAM cho máy ảo được xác
định dựa trên tình trạng RAM thực tế của máy thật.
134
Sau khi tạo máy ảo, bạn vẫn có thể thay đổi kích thước của RAM. Để thực hiện, bạn tắt máy ảo, mở
cửa sổ Settings, chọn mục Memory, tại đây bạn có thể thực hiện các thay đổi liên quan đến kích thước
RAM của máy ảo, bạn có thể thực hiện thay đổi làm sao cho tối ưu nhất. Xem hình minh họa.
Sử dụng chế độ cấp phát bộ nhớ động (Dynamic memory)

Trong các phiên bản đầu tiên của Hyper-V, để thay đổi kích thước RAM cho máy ảo, bạn phải tắt máy
ảo. Tuy nhiên, Hyper-V trong Windows Server 2012 R2 cho phép bạn có thể thay đổi kích thước RAM
một cách linh hoạt mà không phải tắt máy tính.
Để thực hiện, bạn sử dụng Dynamic Memory. Đây là một tiện ích của Hyper-V trong Windows Server
2012 R2. Tiện ích này sẽ tự động thực hiện thay đổi kích thước RAM của máy ảo dựa trên nhu cầu sử
dụng thực tế của nó và kích thước RAM sẵn có của hệ thống máy thật. Nếu máy ảo cần RAM lớn
Hyper-V sẽ tăng RAM lên, nếu máy ảo cần RAM ít hệ thống sẽ giảm RAM xuống.
Để sử dụng Dynamic Memory, bạn phải bật chức năng này trong phần cấu hình Memory của máy ảo,
cụ thể, đánh dấu chọn vào mục Enable Dynamic Memory, sau đó, cấu hình thêm các mục sau:
- Startup RAM: xác định kích thước RAM cho máy ảo khi nó khởi động. Trong chế độ Dynamic
RAM, đây chính là giá trị RAM tối thiểu cho hệ thống khởi động.
- Minimum RAM: xác định kích thước RAM tối thiểu để máy ảo có thể hoạt động được. Máy ảo
có thể yêu cầu kích thước RAM lớn hơn khi khởi động, vì vậy, Minimum RAM có thể nhỏ hơn
Startup RAM.
135
- Maximum RAM: xác định kích thước RAM tối đa cho máy ảo. Kích thước tối đa cho máy ảo
không được vượt quá 64 GB.
- Memory Buffer: xác định phần trăm để Hyper-V tính kích thước RAM thực tế sẽ cấp cho máy
ảo. Ví dụ, tại một thời điểm nào đó, hệ điều hành và ứng dụng trên máy ảo sử dụng hết 1 GB
RAM, nếu giá trị Memory Buffer được thiết lập là 20%, thì RAM của máy ảo được cấp động sẽ
là 1.2 GB.
- Memory Weight: giá trị cho biết độ ưu tiên trong việc cấp RAM giữa các máy ảo trên một
server. Trong trường hợp RAM của máy thật không đủ để cấp theo nhu cầu của tất cả máy ảo,
thì máy ảo nào có giá trị Memory Weight cao nhất sẽ được ưu tiên cấp trước.
Để có thể sử dụng Dynamic Memory, bên cạnh việc cấu hình ở trên thì máy chủ ảo hóa phải là
Windows Server 2012 R2 đã cài đặt gói Guest Integration Services. Đồng thời, máy ảo phải đang sử
dụng hệ điều hành từ Windows Vista trở về sau, hoặc Windows Server 2003 SP2 trở về sau.
Cấu hình Smart Paging

Dynamic Memory đã được giới thiệu trong Hyper-V của Windows Server 2008 R2. Tuy nhiên, trong
phiên bản Windows Server 2012 R2 có bổ sung thêm khái niệm Minimum RAM. Mục đích của
Minimum RAM là tiết kiệm bộ nhớ cho máy thật, nó cho phép giảm kích thước RAM của máy ảo
(Minimum RAM) xuống thấp hơn kích thước RAM mà nó cần khi khởi động (Startup RAM). Như
vậy, máy thật sẽ có thêm bộ nhớ để cấp cho nhiều máy ảo hơn.
Tuy nhiên, vấn đề sẽ xảy ra khi có quá nhiều máy ảo đang cùng chạy ở chế độ Minimum RAM và có
máy ảo cần khởi động lại, lúc đó, máy thật cần phải cấp thêm bộ nhớ cho máy ảo từ chế độ Minimum
RAM sang chế độ Startup RAM, nhưng máy thật đã hết bộ nhớ.
Để giải quyết tình huống này, Hyper-V sử dụng một giải pháp là smart paging (phân trang thông
minh). Nếu máy ảo cần thêm RAM để khởi động lại, trong khi máy thật đã hết bộ nhớ, hệ thống sẽ sử
dụng đĩa cứng làm bộ nhớ, thực hiện phân trang bộ nhớ trên đĩa cứng.
Tốc độ truy cập đĩa cứng thường chậm hơn rất nhiều so với tốc độ truy cập RAM, vì vậy, giải pháp
smart paging sẽ làm chậm quá trình xử lý của máy ảo, tuy nhiên, smart paging chỉ diễn ra trong thời
gian máy ảo khởi động lại, sau đó, nó lại trở về sử dụng ở chế độ Minimum RAM.
Bạn có thể chỉ định đĩa cứng cho quá trình smart paging trong cửa sổ Setting của máy ảo, trong mục
Smart Paging File Location. Nên lựa chọn đĩa cứng có tốc độ truy cập nhanh nhất.
Cấu hình resource metering

Resource metering là một chức năng của Windows PowerShell trong Windows Server 2012 R2 Hyper-
V. Nó cho phép người quản trị theo dõi việc sử dụng tài nguyên phần cứng của các máy ảo. Điều này
giúp các tổ chức lớn có thể theo dõi và kiểm soát được tình hình sử dụng tài nguyên của hệ thống máy
ảo, giúp các nhà cung cấp dịch vụ ảo hóa có cơ sở để tính chi phí cho khách hàng.
Với mỗi máy ảo, có thể theo dõi việc sử dụng các tài nguyên sau:
- CPU
- RAM
- Đĩa cứng
136
- Lưu lượng mạng vào/ra

Các số liệu theo dõi vẫn được duy trì ngay cả khi bạn di chuyển máy ảo giữa các server ảo khác nhau
bằng Live Migration hoặc di chuyển đĩa cứng ảo (VHD) giữa các máy ảo.
Để sử dụng resource metering, bạn phải kích hoạt chức năng này cho máy ảo mà bạn cần theo dõi. Sử
dụng lệnh Enable-VMResourceMetering, cú pháp như sau:
Enable-VMResourceMetering –VMName <name>
Sau khi đã kích hoạt chức năng resource metering cho một máy máy ảo, để theo dõi các thông tin của
nó, sử dụng lệnh Measure-VM, cú pháp như sau:
Measure-VM –VMName <name>
Ngoài việc theo dõi tình trạng sử dụng các tài nguyên theo mỗi máy ảo, người quản trị cũng có thể theo
dõi theo từng tài nguyên phần cứng, bằng cách tạo các các resource pool. Mỗi resource pool sẽ đại diện
cho một phần cứng cụ thể, ví dụ: vi xử lý, bộ nhớ, cạc mạng, đĩa cứng. Để tạo ra một resource pool sử
dụng lệnh New-VMResourcePool. Sau đó kích hoạt việc theo dõi một resource pool bằng lệnh Enable-
VMResourceMetering.
Bằng việc sử dụng kĩ thuật pipelining, người quản trị có thể sử dụng resource metering để thu thập các
thông số sử dụng tài nguyên phần cứng của máy ảo, kết xuất ra ứng dụng hoặc tập tin.

- Ảo hóa là quá trình bổ sung một lớp trung gian vào giữa phần cứng và hệ thống sử dụng phần
cứng. Khi đó, máy server không còn truy cập trực tiếp đến phần cứng của máy tính, mà có một
thành phần trung gian gọi là hypervisor sẽ tạo ra một môi trường hoạt động cho các máy ảo, và
hệ điều hành của máy server sẽ chạy trên thành phần hypervisor đó (ảo hóa loại 1).
- Ảo hóa là quá trình cài đặt và duy trì một hệ thống gồm nhiều máy ảo chạy trên một máy thật.
- Microsoft Hyper-V là một hệ thống ảo hóa dựa trên hypervisor, nó chạy trên các máy tính 64-
bit, bắt đầu được triển khai trong Windows Server 2008. Khi cài đặt Hyper-V, hệ thống sẽ trang
bị hạ tầng hypervisor nằm giữa hệ điều hành và phần cứng. Hạ tầng hypervisor có chức năng
tạo và quản lý các máy tính ảo.
- Microsoft cũng quản lý bản quyền của các hệ điều hành cài trên các máy ảo. Khi mua bản
quyền cho Windows Server 2012 R2, Microsoft cũng cho phép bạn được cài một số bản trên
máy ảo, tuy nhiên, nếu cài đặt nhiều hơn số lượng cho phép thì bạn phải mua bản quyền cho
các bản cài thêm.
- Để tăng thêm hiệu suất xử lý, đối với Hyper-V Server, bạn chỉ nên cài đặt Windows
Hypervisor, các driver thiết bị và các thành phần liên quan đến ảo hóa.
- Hyper-V trong Windows Server 2012 R2 hỗ trợ hai loại máy ảo: máy ảo thế hệ 1 (generation 1)
và thế hệ 2 (generation 2). Máy ảo thế hệ 1 được thiết kế theo hướng mô phỏng các thiết bị
phần cứng hiện đang được sử dụng trên một máy tính thông thường. Máy ảo thê hệ 1 tương
thích với Hyper-V các phiên bản trước. Máy ảo thế hệ 2 sử dụng các bộ điều khiển giả lập và
các thiết bị được mô phỏng bằng phần mềm. Máy ảo thế hệ 2 chỉ chạy trên Hyper-V của
137
- Hyper-V trên Windows Server 2012 R2 có hỗ trợ Enhanced Session mode, nó cho phép người
dùng máy ảo chạy Windows Server 2012 R2 hoặc Windows 8.1 có thể thao tác với nhiều tài
nguyên phần cứng của máy thật thông qua Virtual Machine Connection.

1. Phát biểu nào sau đây phù hợp với ảo hóa loại 1, và loại 2? (chọn các đáp án phù hợp)
A. Trong ảo hóa loại 1, hypervisor chạy trên nền hệ điều hành của máy thật.
B. Trong ảo hóa loại 1, hypervisor chạy trực tiếp trên phần cứng của máy thật.
C. Trong ảo hóa loại 2, hypervisor chạy trên nền hệ điều hành của máy thật.
D. Trong ảo hóa loại 2, hypervisor chạy trực tiếp trên phần cứng của máy thật.
2. Trong vận hành thực tế, loại ảo hóa server nào sau đây cung cấp hiệu suất xử lý tốt nhất cho các
server đòi hỏi lưu lượng xử lý lớn?
A. Ảo hóa loại 1.
B. Ảo hóa loại 2.
C. Ảo hóa giao diện (presentation virtualization).
D. Ứng dụng từ xa (RemoteApp).
3. Giấy phép bản quyền của hệ điều hành nào sau đây không giới hạn số lượng các bản cài trên máy
ảo?
A. Hyper-V Server.
B. Windows Server 2012 R2 Datacenter.
C. Windows Server 2012 R2 Standard.
D. Windows Server 2012 R2 Foundation.
4. Các tiện ích (feature) nào sau đây của Hyper-V, cho phép giá trị Minimum RAM trong một máy ảo
có thể nhỏ hơn giá trị Startup RAM? (chọn các đáp án phù hợp).
A. Smart paging.
B. Dynamic Memory.
C. Memory Weight.
D. Guest Integration Services.
5. Khi bạn cài role Hyper-V trên server Windows Server 2012 R2, hệ điều hành trên server đó sẽ được
chuyển vào đối tượng nào?
A. Hypervisor.
B. Virtual Machine Monitor.
C. Parent partition.
D. Child partititon.
6. Phát biểu nào sau đây phù hợp với máy ảo thế hệ 1 và máy ảo thế hệ 2? (chọn các đáp án phù hợp).
138
A. Bạn phải tạo máy ảo thế hệ một trước khi bạn có thể tạo máy ảo thế hệ 2.
B. Việc tạo máy ảo thế hệ 2 thì nhanh hơn so với việc tạo ra máy ảo thế hệ 1.
C. Chỉ cài được hệ điều hành Windows Server 2012 R2 và Windows 8.1 trên máy ảo thế hệ 2.
D. Máy ảo thế hệ 2 sử dụng các driver của thiết bị phần cứng giống với máy ảo thế hệ 1.
3.2. Cấu hình lưu trữ trong ảo hóa

Khi bạn tạo một máy ảo trong Hyper-V Windows Server 2012 R2, bạn sẽ thấy máy ảo có đầy đủ các
thành phần cơ bản như một máy tính thông thường. Các thành phần của máy ảo đều là mô phỏng các
thiết bị thật.
Khi bạn ảo hóa RAM, hệ thống sẽ lấy một phần RAM của máy thật để sử dụng cho máy ảo. Cũng
tương tự, khi bạn ảo hóa đĩa cứng, hệ thống sẽ sử dụng một phần đĩa cứng thật để lưu đĩa cứng ảo. Đĩa
cứng ảo là một tập tin dạng. vhd hoặc .vhdx. Các tập tin này có định dạng đặc biệt. Trong máy ảo, các
tập tin này hoạt động như một ổ đĩa cứng thông thường.
Trong máy ảo thế hệ 1, Hyper-V hỗ trợ hai chuẩn kết nối thiết bị lưu trữ, gồm: IDE (Integrated Drive
Electronic) và SCSI (Small Computer Systems Interface). Hệ thống hỗ trợ hai bộ điều khiển IDE (hay
hai cổng kết nối IDE - IDE controller) để gắn ổ đĩa cứng hệ thống, và ổ đĩa DVD; và một bộ điều
khiển SCSI (SCSI controller). Mỗi bộ điều khiển IDE có thể gắn hai thiết bị, vì vậy, bạn có thể tạo
thêm được hai ổ đĩa ảo để gắn cho máy ảo.
Trong máy ảo thế hệ 1, mặc định, SCSI controller không được sử dụng, tuy nhiên, bạn có thể tạo thêm
ổ đĩa và gắn vào chúng.
Trong máy ảo thế hệ 2, ổ đĩa cứng và ổ đĩa DVD được kết nối mặc định vào SCSI controller, do đó, nó
không sử dụng giao tiếp kiểu IDE.
Với cả hai thế hệ máy ảo, bạn đều có thể tạo thêm các SCSI controller và gắn thêm ổ đĩa vào chúng.
Với khả năng tạo thêm nhiều controller và ổ đĩa, Hyper-V cho phép bạn xây dựng nhiều hệ thống lưu
trữ ảo, mô phỏng theo các hệ thống lưu trữ hiện có.
Các loại đĩa cứng ảo

Hyper-V trong Windows Server 2012 R2 hỗ trợ hai loại đĩa cứng ảo là: VHD và VHDX.
VHD là loại đĩa cứng ảo do công ty Connectix tạo ra để sử dụng trong các sản phẩm Virtual PC của
họ. Sau này, Microsoft đã mua lại và tiếp tục sử dụng loại đĩa VHD trong Hyper-V. Có ba loại định
dạng của VHD gồm:
- Đĩa cứng ảo với kích thước cố định (Fixed hard disk image): dựa theo kích thước đĩa ảo đã
được khai báo khi tạo, hệ thống sẽ lấy không gian đĩa cứng thật để cấp đầy đủ, cố định cho đĩa
cứng ảo. Kiểu đĩa này có thể gây lãng phí, nếu đĩa ảo không sử dụng hết không gian đĩa đã
được cấp, nhưng tốc độ truy cập đĩa cao.
- Đĩa cứng ảo với kích thước thay đổi (Dynamic): đĩa cứng ảo sẽ được khai báo một kích thước
cố định khi tạo. Tuy nhiên, hệ thống sẽ không cấp không gian đĩa đầy đủ như đã khai báo, mà
nó chỉ cấp một phần nhỏ, không gian đĩa ảo sẽ được mở rộng khi có nhu cầu ghi dữ liệu vào
đĩa, nó sẽ mở rộng cho tới khi nào đạt được kích thước như lúc khai báo. Kiểu đĩa này tiết kiệm
được không gian đĩa cứng của máy thật, nhưng tốc độ truy cập bị chậm.
139
- Đĩa cứng ảo lưu sự thay đổi (Differencing): đây là loại đĩa cứng ảo được tạo ra để lưu sự thay
đổi của một đĩa cứng khác. Đĩa cứng ảo được tạo ra sẽ gọi là child image, đĩa ảo này sẽ lưu sự
thay đổi của một đĩa cứng khác gọi là parent image. Khi có bất kì sự thay đổi nào trên parent
image cần lưu lại, thì sự thay đổi đó sẽ được lưu trên child image. Loại đĩa ảo này giúp việc sử
dụng không gian đĩa cứng được hiệu quả và cung cấp khả năng hồi phục lại trạng thái của một
đĩa cứng sau này.
Kích thước tối đa của đĩa VHD là 2 TB, đĩa VHD có khả năng tương thích với mọi phiên bản Hyper-V
và các kiến trúc ảo hóa (hypersisor) loại 2 của Microsoft như Virtual Server, Virtual PC.
Từ Windows Server 2012, Microsoft giới thiệu một phiên bản nâng cấp của VHD, có tên gọi VHDX.
Kích thước tối đa của đĩa VHDX là 64 TB, đĩa này hỗ trợ kích thước khối đĩa (block size) từ 4 KB tới
256 MB, điều này cho phép người sử dụng có thể điều chỉnh kích thước khối đĩa, để đĩa ảo có khả
năng làm việc hiệu quả với các ứng dụng cũng như các loại tập tin khác nhau.
Đĩa VHDX không có khả năng tương thích với các hệ điều hành cũ, chỉ có các hệ điều hành sau đây
mới có thể đọc được đĩa VHDX: Windows Server 2012, Windows Server 2012 R2, Windows 8, và
Windows 8.1.
Tạo đĩa ảo
Hyper-V trong Windows Server 2012 R2 cung cấp một số cách để tạo đĩa ảo. Bạn có thể tạo đĩa ảo
cùng với thời điểm tạo máy ảo, hoặc bạn cũng có thể tạo đĩa ảo sau, rồi gắn đĩa ảo này tới máy ảo.
Hyper-V Manager cho phép điều chỉnh hầu hết các thông số liên quan đến VHD. Các lệnh Windows
PowerShell trong Windows Server 2012 R2 cho phép bạn thực hiện hầu hết các công việc liên quan
đến định dạng đĩa.
Tạo đĩa ảo cùng với máy ảo

Trong quá trình tạo một máy ảo, New Virtual Machine Wizard sẽ cho phép bạn tạo một đĩa ảo (trang
Connect Virtual Hard Disk), tuy nhiên, tại đây, các tùy chọn cho đĩa ảo khá hạn chế, cụ thể gồm:
- Tạo một đĩa cứng ảo (Create A Virtual Hard Disk): cho phép bạn đặt tên, xác định ví trí để lưu
và kích thước của VHD. Với đĩa VHDX, tại đây, chỉ cho bạn tạo một đĩa có kích thước thay
đổi (dynamically expanding disk), nếu bạn muốn tạo một đĩa có kích thước cố định hoặc đĩa
lưu sự thay đổi (differencing VHDX disk) thì bạn phải tạo bằng Windows PowerShell.
- Nối tới một đĩa cứng ảo có sẵn (Use A Existing Virtual Hard Disk): cho phép bạn chỉ đường
dẫn cho máy ảo kết nối tới một đĩa cứng ảo có sẵn kiểu VHD hoặc VHDX, máy ảo sẽ sử dụng
đĩa ảo này như một đĩa hệ thống của nó (đĩa có cài đặt hệ điều hành).
- Gắn đĩa cứng ảo sau (Attach A Virtual Hard Disk Later): bạn sẽ thực hiện bổ sung đĩa ảo cho
máy tính ảo sau.
Mục đích tại bước này là tạo ra một đĩa cứng ảo để cài đặt hệ điều hành cho máy ảo, hoặc kết nối tới
một đĩa cứng ảo đã có sẵn hệ điều hành. Đĩa cứng tạo ở bước này thường là đĩa cứng có kích thước
thay đổi, được kết nối tới IDE Controller 0 trên máy ảo thế hệ 1, hoặc kết nối tới SCSI Controller trên
máy ảo thế hệ 2.
140
Tạo một đĩa ảo mới

Bạn có thể tạo đĩa ảo VHD bất cứ lúc nào, và không nhất thiết phải gắn nó tới một máy ảo cụ thể, bằng
New Virtual Hard Disk Wizard trong Hyper-V Manager. Các bước thực hiện như sau:
1. Mở Server Manager, chọn mục Tools tại trình đơn, chọn Hyper-V Manager để mở cửa sổ
Hyper-V Manager.
2. Tại khung bên trái chọn Hyper-V server mà bạn quan tâm.
3. Từ trình đơn, chọn mục Action, chọn New, Hard Disk để chạy New Virtual Hard Disk Wizard,
trang Before You Begin xuất hiện.
4. Bấm Next để mở trang Choose Disk Format.
5. Lựa chọn loại đĩa cứng: VHD, nếu muốn tạo đĩa cứng có kích thước không vượt quá 2 TB và
có tính tương thích cao. VHDX, nếu muốn tạo đĩa cứng có kích thước tới 64 TB.
6. Bấm Next để mở trang Choose Disk Type.
7. Lựa chọn một trong các tùy chọn sau:
- Fixed Size: đĩa cứng ảo sẽ được cấp không gian đĩa một lần, theo kích thước đã khai
báo.
- Dynamically Expanding: đĩa cứng ảo sẽ được cấp không gian đĩa theo nhu cầu sử dụng,
cho tới khi nào đạt được kích thước tối đa như trong khai báo.
- Differencing: tạo một ổ đĩa cứng ảo (child drive) để lưu những thay đổi về mặt dữ liệu
cho một đĩa cứng được khai báo trước (parent drive).
8. Bấm Next để mở trang Specify Name And Location.
9. Nhập tên cho tập tin chứa đĩa ảo trong mục Name, có để thay đổi vị trí lưu tập tin đĩa ảo. Bấm
Next để mở trang Configure Disk.
10. Đối với đĩa ảo loại có kích thước cố định và loại có kích thước thay đổi, chọn và cấu hình một
số tùy chọn sau:
- Create A New Blank Virtual Hard Disk: nhập kích thước (hoặc kích thước tối đa) của
đĩa cứng sẽ tạo.
- Copy The Contents Of The Specified Physical Disk: cho phép bạn chọn một đĩa cứng
thật trong máy tính và chép nội dụng của nó tới đĩa cứng ảo sẽ tạo.
- Copy the Contents Of The Specified Virtual Hard Disk: cho phép bạn chọn một đĩa
cứng ảo đã có và chép nội dung của nó qua đĩa cứng ảo sẽ tạo.
11. Bấm Next để mở trang Completing The New Virtual Hard Disk Wizard.
12. Bấm Finish để hoàn thành việc tạo một đĩa cứng ảo.
Gắn đĩa cứng ảo vào máy ảo

Việc tạo đĩa cứng ảo riêng biệt với quá trình tạo máy ảo cho phép bạn thực hiện nhiều tùy chọn hơn.
Tuy nhiên, sau khi tạo xong đĩa ảo, để sử dụng được, bạn phải thực hiện việc gắn đĩa cứng ảo vào máy
ảo.
141
Cũng như khi gắn đĩa cứng thật vào máy tính, bạn phải gắn đĩa cứng với một cổng giao tiếp hay bộ
điểu khiển đĩa (controller), trên máy ảo, bạn cũng thực hiện tương tự. Trong máy ảo thế hệ 1, ở chế độ
mặc định, khi mở cửa sổ Setting, bạn sẽ thấy có ba cổng giao tiếp có tên là IDE Controller 0, IDE
Controller 1 và SCSI Controller.
Mỗi cổng giao tiếp IDE cho phép bạn gắn hai thiết bị, mặc định một đường kết nối của IDE Controller
0 được sử dụng để gắn ổ đĩa cứng hệ thống, và một đường kết nối của IDE Controller 1 được sử dụng
để gắn ổ đĩa DVD. Nếu khi tạo máy ảo, bạn không tạo ra đĩa cứng ảo (tức bạn đã chọn Attach A
Virtual Hard Disk Later), thì bạn buộc phải gắn một đĩa cứng ảo vào IDE Controller 0 để làm đĩa hệ
thống. Máy ảo thế hệ 1 không thể khởi động từ SCSI Controller.
Các bước để gắn một ổ đĩa ảo vào máy ảo:
1. Mở Server Manager, chọn mục Tools tại trình đơn, chọn Hyper-V Manager để mở cửa sổ
Hyper-V Manager.
2. Tại khung bên trái chọn Hyper-V server mà bạn quan tâm.
3. Chọn một máy tính ảo mà bạn quan tâm, trong khung Actions, chọn Settings để mở cửa sổ
Settings.
4. Chọn IDE Controller 0. Xem hình minh họa.
142
5. Trong khung IDE Controller, chọn Hard Drive và bấm Add để mở trang Hard Drive. Xem hình
minh họa.
143
6. Trong hộp thoại Controller lựa chọn IDE Controller, và trong hộp thoại Location lựa chọn kết
nối mà bạn muốn gắn đĩa cứng ảo.
7. Nếu bạn chọn Virtual Hard Disk, bấm nút Browse và tìm tới nơi chứa tập tin đĩa cứng ảo.
8. Bấm OK để đóng cửa sổ Settings.
Trong máy ảo thế hệ 1, mặc dù không thể sử dụng ổ đĩa SCSI làm ổ đĩa hệ thống, nhưng bạn có thể sử
dụng ổ đĩa SCSI để làm ổ đĩa chứa dữ liệu. Trong máy ảo thế hệ 2, bạn phải tạo một ổ đĩa SCSI làm
đĩa hệ thống có chức năng khởi động máy tính.
Không giống như IDE, mỗi cổng giao tiếp chỉ cho phép bạn gắn hai ổ đĩa. Mỗi cổng giao tiếp của
SCSI cho phép bạn gắn tới 64 ổ đĩa. Bạn cũng có thể gắn nhiều SCSI Controller cho một máy ảo.
Tạo đĩa ảo lưu sự thay đổi (Differencing)

Để tiện trình bày, tạm gọi đĩa lưu sự thay đổi là đĩa đệm. Đĩa đệm là một giải pháp cho phép bạn giữ
nguyên trạng thái ban đầu của một đĩa ảo, trong khi bạn vẫn có thể thực hiện các cài đặt hoặc thay đổi
nội dung của đĩa ảo đó.
144
Ví dụ, để tiện lợi cho quá trình cài đặt thử nghiệm, bạn sẽ thực hiện cài đặt một hệ điều hành chuẩn lên
một đĩa ảo. Sau đó, bạn sẽ tạo một đĩa ảo mới có tên là đĩa đệm, đĩa đệm này sẽ sử dụng đĩa ảo có cài
sẵn hệ điều hành làm đĩa gốc, sau đó, mọi thay đổi bạn thực hiện trên hệ thống sẽ được lưu trên đĩa
đệm, nội dung và trạng thái của đĩa ảo gốc được giữ nguyên.
Bạn có thể tạo ra nhiều đĩa đệm cùng trỏ tới một đĩa gốc, điều này cho phép bạn tiết kiệm được thời
gian, không gian lưu trữ, do không phải cài đặt lại từ đầu mọi hệ thống.
Các bước để tạo ra đĩa đệm từ đĩa gốc:
1. Cài đặt và cấu hình máy ảo gốc (máy ảo có chứa đĩa gốc): tạo một máy ảo, trên máy ảo tạo một
đĩa ảo, trên đĩa ảo, cài hệ điều hành mong muốn; thực hiện cấu hình, cài đặt các role, feature,
dịch vụ cần thiết.
2. Chuẩn hóa đĩa gốc (Generalize): mở cửa sổ dòng lệnh trong máy ảo gốc, chạy tiện ích
Sysprep.exe với các tham số thích hợp theo nhu cầu của bạn. Tiện ích Sysprep sẽ cấp cho hệ
điều hành trên máy gốc một định danh bảo mật (SID) mới và duy nhất ở lần khởi động kế tiếp.
Điều này cho phép bạn tạo ra nhiều bản sao từ một đĩa gốc ban đầu.
3. Tạo đĩa gốc: sau khi đã thực hiện chuẩn hóa, bạn không cần sử dụng đến máy ảo gốc nữa. Bạn
có thể xóa máy ảo này đi, chỉ để lại tập tin chứa đĩa cứng ảo dạng VHD hoặc VHDX. Đĩa cứng
ảo này sẽ trở thành đĩa gốc (parent disk). Bạn mở Properties của tập tin chứa đĩa cứng ảo, thiết
lập tập tin đó là chỉ đọc (read-only), để đảm bảo nội dung của đĩa gốc sẽ không bị thay đổi.
4. Tạo đĩa đệm: sử dụng New Virtual Hard Disk Wizard hoặc lệnh New-VHD trong Windows
PowerShell để tạo một đĩa ảo mới kiểu differencing, trỏ đĩa ảo mới này tới đĩa gốc vừa được
tạo.
5. Sử dụng đĩa đệm: tạo một máy ảo mới, trong trang Connect Virtual Hard Disk, chọn mục Use
An Existing Virtual Hard Disk để nối máy ảo tới đĩa đệm bạn vừa tạo.
Khi đã có đĩa gốc, bạn có thể tạo ra nhiều máy ảo, sử dụng đĩa đệm, cùng kết nối tới một đĩa gốc. Mỗi
máy ảo có thể thực hiện cài đặt, cấu hình các chức năng khác nhau mà không làm thay đổi nội dung
của đĩa gốc.
Tại bước 4 ở trên, khi bạn tạo đĩa đệm bằng New Virtual Hard Disk Wizard, trong trang Choose Disk
Type, chọn Differencing, hệ thống sẽ mở trang Configure Disk. Trong mục Location, bạn trỏ tới tập tin
chứa đĩa gốc. Xem hình minh họa.
145
Nếu bạn tạo đĩa đệm bằng Windows PowerShell, bạn sẽ sử dụng lệnh New-VHD với tham số
-Differencing và tham số -ParentPath. Trong đó tham số -ParentPath sẽ trỏ tới vị trí lưu đĩa gốc.
Máy ảo dùng đĩa cứng thật

Trong phần ảo hóa, chúng ta chủ yếu nói về đĩa ảo, nghĩa là máy ảo sẽ tạo và sử dụng đĩa ảo. Tuy
nhiên, thực tế, máy ảo cũng có thể truy cập trực tiếp đĩa cứng thật của máy thật.
Loại đĩa ảo mà sử dụng trực tiếp đĩa cứng thật trên máy thật gọi là đĩa pass-through. Khi thực hiện việc
gắn một ổ đĩa cho máy ảo, sẽ có phần tùy chọn để bạn kết nối tới đĩa cứng thật.
Khi gắn đĩa thật vào máy ảo, máy ảo sẽ độc quyến sử dụng đĩa thật đó. Nghĩa là, bạn cần phải ngắt,
không cho hệ điều hành của máy thật sử dụng đĩa thật này, đĩa cứng được chuyển sang trạng thái ngắt
kết nối với máy thật (offline). Sử dụng Disk Management hoặc tiện ích Diskpart.exe để ngắt kết nối đĩa
thật trên máy thật. Xem hình minh họa.
146
Chỉnh sửa đĩa ảo

Windows Server 2012 R2 và Hyper-V cung cấp một số cách, cho phép bạn quản lý và chỉnh sửa các
đĩa cứng ảo mà không cần phải gắn chúng tới máy ảo. Một trong các cách đó là sử dụng Edit Virtual
Hard Disk Wizard trong Hyper-V Manager. Sau đây là các bước để chỉnh sửa đĩa ảo dạng VHD hoặc
VHDX:
1. Mở Server Manager, chọn mục Tools trên trình đơn, chọn Hyper-V Manager để mở cửa sổ
Hyper-V Manager.
2. Trong khung bên trái, chọn Hyper-V server mà bạn quan tâm.
3. Trong khung Actions, chọn Edit Disk để chạy Edit Virtual Hard Disk Wizard, trang Before
You Begin xuất hiện.
4. Bấm Next để mở trang Locate Disk.
5. Gõ đường dẫn hoặc tìm tới tập tin chứa đĩa cứng ảo VHD hoặc VHDX, bấm Next để mở trang
Choose Action.
6. Lựa chọn một trong các mục sau:
- Compact: nén đĩa, giúp giảm kích thước của tập tin lưu đĩa cứng ảo kiểu dynamically
expanding hoặc differencing, bằng cách xóa các vùng trống trên đĩa trong khi vẫn giữ
nguyên dung lượng đĩa.
- Convert: đổi định dạng của đĩa cứng ảo, thực hiện bằng cách chép dữ liệu của nó tới một
đĩa ảo mới.
- Expand: tăng dung lượng đĩa ảo, thực hiện bằng cách tăng thêm không gian lưu trữ cho tập
tin đĩa ảo.
147
- Shrink: giảm dung lượng đĩa ảo, thực hiện bằng cách xóa các không gian đĩa trống trong tập
tin chứa đĩa ảo.
- Merge: kết hợp dữ liệu của đĩa cứng kiểu differencing với đĩa gốc (parent disk) của nó để
tạo thành một đĩa duy nhất.
7. Bấm Next để mở trang Completing The Edit Virtual Hard Disk Wizard.
8. Hoàn thành một số thao tác còn lại theo hướng dẫn của Wizard, bấm Finish để hoàn thành.
Tại trang Choose Action, tại bước 6, các tùy chọn sẽ được hiển thị tùy thuộc vào tình trạng hiện tại của
tập tin đĩa ảo. Ví dụ, tùy chọn Merge chỉ xuất hiện nếu tập tin đang chứa đĩa ảo kiểu differencing, tùy
chọn Shrink chỉ xuất hiện nếu đĩa ảo có phần đĩa trống bên trong.
Ngoài việc cho phép chỉnh sửa đĩa ảo bằng Hyper-V Manager, snap-in Disk Management trong máy
Hyper-V server còn cho phép bạn kết nối và truy cập nội dung của các đĩa ảo VHD hoặc VHDX giống
như là các ổ đĩa vật lý. Các bước để kết nối tới tập tin đĩa ảo VHD:
1. Mở Server Manager, chọn mục Tools tại trình đơn, chọn Computer Management để mở cửa sổ
2. Trong khung bên trái, chọn Disk Management để mở cửa sổ Disk Management.
3. Từ trình đơn Action, chọn Attach VHD để mở cửa sổ Attach Virtual Hard Disk.
4. Trong mục Location, nhập đường dẫn hoặc tìm tới nơi chứa tập tin của đĩa cứng ảo mà bạn
muốn kết nối, bấm OK. Đĩa được kết nối sẽ xuất hiện trong cửa sổ Disk Management.
5. Đóng cửa sổ Computer Management.
Bây giờ, bạn có thể làm việc với đĩa cứng ảo như một đĩa cứng thông thường. Để ngắt kết nối với đĩa
cứng ảo, thực hiện tương tự như khi kết nối, tuy nhiên, tại bước thứ 3 sẽ chọn Detach VHD từ trình
đơn Action.
Tạo checkpoint
Trong Hyper-V, checkpoint là một khái niệm tương tự với snapshot trong các phiên bản trước
Windows Server 2012 R2. Checkpoint cho phép bạn lưu lại trạng thái, dữ liệu và cấu hình phần cứng
của một máy ảo tại một thời điểm nào đó.
Checkpoint giúp cho người quản trị có thể đưa máy ảo trở về tình trạng trước đó của nó. Ví dụ, trước
khi bạn thực hiện nâng cấp hệ điều hành cho máy ảo, bạn sẽ tạo một checkpoint, trong trường hợp việc
nâng cấp bị trục trặc, bạn vẫn có thể đưa máy tính trở về trạng thái trước khi nâng cấp.
Để tạo checkpoint, chọn một máy ảo đang chạy trong Hyper-V Manager, trong khung Actions, chọn
mục Checkpoint, hệ thống sẽ tạo một checkpoint và lưu vào tập tin có phần mở rộng là AVHD hoặc
AVHDX, tập tin này được lưu trong cùng thư mục chứa tập tin VHD. Khi đó, trong cửa sổ Hyper-V
Manager sẽ có thêm mục Checkpoint. Xem hình minh họa.
148
Checkpoint là một công cụ hữu ích, khi bạn thực hiện các cài đặt thử nghiệm. Tuy nhiên, không nên
lạm dụng nó trong môi trường hoạt động thực tế. Ngoài việc tốn không gian đĩa để lưu trữ, checkpoint
còn làm chậm việc xử lý của hệ thống lưu trữ.
Không nên sử dụng checkpoint trong các máy ảo có chứa cơ sở dữ liệu, được tạo ra bởi SQL Server,
Exchange, hoặc Windows domain controller; vì checkpoint không ghi lại trạng thái của cơ sở dữ liệu,
và có thể gây ra lỗi trong quá trình thực hiện.
Cấu hình QoS (Quality of Service) cho hệ thống lưu trữ

Trên máy server ảo, thường có nhiều hơn một đĩa cứng ảo đang chạy trên đĩa cứng thật. Do đó, nếu
một đĩa cứng ảo nào đó độc chiếm việc đọc/ghi đĩa thì sẽ dẫn tới các đĩa ảo còn lại chạy rất chậm. Để
ngăn chặn tình huống này, Windows Server 2012 R2 cho phép bạn kiểu soát QoS (tạm hiểu là đảm bảo
chất lượng hoạt động) trên các đĩa cứng ảo.
Trong Hyper-V, tiện ích QoS sẽ cho phép bạn thiết lập số lượng thao tác tối thiểu và tối đa mà một đĩa
được phép thực hiện trong một giây (IOPS: input/output operations per second).
Để thực hiện cấu hình QoS cho hệ thống lưu trữ, bạn mở cửa sổ Settings của một máy ảo, mở các mục
con của mục Hard Drive, chọn mục Advanced Features để hiển thị trang Advanced Features. Xem hình
minh họa.
149
Đánh dấu chọn vào mục Enable Quality of Service Management, điền số lượng thao tác tối thiểu và tối
đa vào hai ô Minimum IOPS và Maximum IOPS tương ứng.
Kết nối tới SAN (Storage Area Network)

Nói một cách đơn giản, SAN là hệ thống mạng lưu trữ chuyên dụng, với đường truyền tốc độ cao giữa
server và thiết bị lưu trữ. Trong hệ thống SAN, thay vì gắn trực tiếp các ổ đĩa vào server, hoặc kết nối
thông qua các cổng SCSI gắn ngoài, một hoặc nhiều đĩa cứng sẽ được gắn trên các khay đĩa (drive
array). Trên khay đĩa, sẽ có các cổng để kết nối tới server, có thể kết nối bằng cáp xoắn đôi hoặc cáp
quang.
Để kết nối tới hệ thống SAN, một server phải có ít nhất hai cạc mạng, một để kết nối tới LAN và một
để kết nối tới hệ thống SAN. Xem hình minh họa.
150
Hệ thống SAN có khá nhiều ưu điểm. Trong hệ thống SAN, các thiết bị lưu trữ được gắn trực tiếp vào
hệ thống mạng nên không bị hạn chế về mặt số lượng so với khi gắn trực tiếp vào máy tính. Các thiết
bị trong SAN có thể giao tiếp với nhau rất linh hoạt với đường truyền tốc độ cao. Cụ thể gồm:
- Server với thiết bị lưu trữ (storage): server có thể truy cập các thiết bị lưu trữ trong hệ thống
SAN giống như khi truy cập các thiết bị được gắn trực tiếp trên nó.
- Server với server: các server có thể sử dụng hạ tầng của hệ thống SAN để truyền dữ liệu với tốc
độ cao, giúp giảm thiểu tình trạng quá tải đường truyền của LAN.
- Giữa các thiết bị lưu trữ: các thiết bị lưu trữ có thể làm việc trực tiếp với nhau mà không cần sự
can thiệp của server. Ví dụ, để thực hiện việc lưu dự phòng, một thiết bị lưu trữ có thể thực
hiện việc chép dữ liệu tới ổ đĩa dự phòng trên các khay đĩa khác.
Mặc dù SAN không có sẵn giải pháp “dự phòng” (high-availability). Tuy nhiên, bạn có thể tự xây
dựng hệ thống này, bằng cách kết nối nhiều server tới cùng một hệ thống SAN (redundant server), khi
đó các server đều có khả năng truy cập tới thiết bị lưu trữ. Nếu một server nào đó bị hư, các server còn
lại vẫn có thể tiếp tục đáp ứng nhu cầu truy cập dữ liệu của cả hệ thống. Giải pháp này gọi là server
clustering. Xem hình minh họa.
151
SAN được triển khai theo mô hình của một hệ thống mạng thông thường nên rất dễ dàng trong việc mở
rộng hệ thống. Bạn có thể dễ dàng điều chỉnh khoảng cách giữa các server và thiết bị lưu trữ. Bạn có
thể triển khai hệ thống SAN trong phạm vi một phòng, một tòa nhà, thậm chí giữa các tòa nhà với
nhau, giống như khi bạn triển khai một hệ thống mạng thông thường.
Việc giao tiếp giữa các server và thiết bị lưu trữ không thể thực hiện trên tập lệnh SCSI như khi kết nối
trực tiếp bằng cáp SCSI. Vì vậy, việc giao tiếp giữa server và thiết bị lưu trữ sẽ được thực hiện trên
một giao thức khác là Fibre Channel.
Sử dụng Fibre Channel

Fibre Channel là một giải pháp truyền dữ liệu linh hoạt trong hệ thống SAN, nó hỗ trợ nhiều môi
trường truyền, tốc độ truyền dữ liệu cao, hỗ trợ nhiều giao thức và đồ hình (topo) mạng.
Tuy nhiên, nhược điểm chính của nó là yêu cầu phải sử dụng phần cứng chuyên dụng, với giá thành
cao.
Để xây dựng một hệ thống SAN chuẩn, cần phải xây dựng từ đầu, với đường truyền, switch, cạc mạng
mới. Bên cạnh giá thành phần cứng khá cao, có thể cao gấp 10 lần so với mạng Ethernet thông thường,
việc triển khai và bảo trì cũng tốn nhiều chi phí.
Fibre Channel là một công nghệ khá đặc thù, vì vậy, có khá ít chuyên gia trong lĩnh vực này. Để cài đặt
và bảo trì một hệ thống SAN Fibre Channel, cơ quan cần phải thuê các chuyên gia có kinh nghiệm
hoặc phải tự đào tạo người của cơ quan.
Tuy nhiên, cũng có một giải pháp khác để triển khai Fibre Channel trên hạ tầng phần cứng Ethernet.
Giải pháp này có tên là Fibre Channel over Ethernet (FCoE). Đây là giải pháp có giá thành rẻ hơn so
với hệ thống SAN Fibre Channel chuẩn.
152
Kết nối máy ảo tới SAN

Do hệ thống SAN được xây dựng trên công nghệ đặc thù nên các server ảo hóa trước đây rất khó trong
việc kết nối và sử dụng hệ thống. Tuy nhiên, từ Windows Server 2012, Hyper-V đã cho phép bạn tạo
ra các cạc Fibre Channel ảo có thể làm việc được với công nghệ Fibre Channel.
Cạc Fibre Channel trên Hyper-V được sử dụng để kết nối tới hệ thống SAN. Đây là cạc ảo sử dụng cạc
Fibre Channel của máy thật (cạc ảo kiểu pass-through). Máy ảo sẽ sử dụng cạc Fibre Channel ảo để kết
nối tới các thiết bị, truy cập tới dữ liệu trên SAN. Khi đó, bạn cũng có thể sử dụng máy ảo để xây dựng
hệ thống server dự phòng (server cluster) cho hệ thống lưu trữ.
Để máy ảo có thể hoạt động trên hạ tầng Fibre Channel, thì Fibre Channel trên máy thật cũng phải có
driver hỗ trợ Fibre Channel ảo. Hiện nay, Fibre Channel có hỗ trợ Fibre Channel ảo khá hiếm. Ngoài ra
hệ thống SAN cũng phải hỗ trợ việc định vị các tài nguyên trên hệ thống dựa trên LUN (logical unit
number).
Giả sử bạn đã có phần cứng thích hợp, đã thực hiện cài đặt phần mềm cần thiết trên máy server. Để
triển khai một hạ tầng Fibre Channel trên Hyper-V, đầu tiên, mở Hyper-V Manager, vào Virtual SAN
Manager để tạo một SAN ảo. Khi tạo SAN ảo, World Wide Node Names (WWNNs) và World Wide
Port Names (WWPNs) của máy thật sẽ xuất hiện trong hệ thống. Xem hình minh họa.
Bước tiếp theo, trong phần Settings của máy ảo, chọn Add Hardware, mở trang Add Hardware để gắn
cạc Fibre Channel cho máy ảo. Tại đây, SAN ảo đã tạo ở bước trước sẽ xuất hiện trên trang Fibre
153
Channel Adapter. Hyper-V sẽ thực hiện ảo hóa SAN và cho phép máy ảo được phép sử dụng WWNNs
và WWPNs. Xem hình minh họa.

- Hyper-V sử dụng kĩ thuật ảo hóa đĩa cứng để lấy các phần đĩa trống của máy thật tạo thành các
ổ đĩa cứng ảo cho máy ảo. Các đĩa cứng ảo này hoạt động như các ổ đĩa thông thường.
- Đĩa cứng ảo kiểu dynamic (có kích thước thay đổi): là một đĩa cứng ảo, khi được tạo ra, hệ
thống chỉ cấp cho nó một không gian rất nhỏ. Hệ thống sẽ tiếp tục cấp phát không gian lưu trữ
cho nó khi có nhu cầu ghi dữ liệu, cho tới khi nào đạt kích thước tối đa.
- Đĩa đệm ảo (differencing): là một đĩa cứng ảo, nó được tạo ra để lưu lại các thay đổi xảy ra trên
một đĩa gốc. Đĩa đệm là một giải pháp để khôi phục lại trạng thái trước đó của hệ thống.
- Trong Windows Server 2012 R2, đĩa ảo định dạng VHDX cho phép chứa tới 64 TB dữ liệu, nó
cũng hộ trợ sector kích thước 4-KB, giúp tương thích với các thệ thống đĩa 4-KB.
- Đĩa ảo kiểu pass-through là loại đĩa ảo sử dụng (hay trỏ tới) trực tiếp đĩa cứng thật trên máy
thật.
- Checkpoint trong Hyper-V là một tiện ích, nó giúp người dùng lưu lại trạng thái, dữ liệu, cấu
hình của một máy ảo, tại một thời điểm.
154
- Quản lý QoS trong Hyper-V thực chất là việc quản lý định mức sử dụng đĩa cứng của các máy
ảo. Nó được thực hiện bằng cách thiết lập chỉ số IOPS (input/output operation per second) tối
đa và tối thiểu cho mỗi máy ảo.
- Trước đây, công nghệ Fibre Channel SAN rất khó triển khai trên các hệ thống server ảo. Tuy
nhiên, Hyper-V trong Windows Server 2012 R2 đã cho phép tạo các cạc Fibre Channel ảo, giúp
thuận tiện trong quá trình triển khai Fibre Channel SAN trên các server ảo.

1. Phát biểu nào sau đây nói không đúng về đĩa cứng định dạng VHDX?
A. Kích thước đĩa VHDX có thể lớn tới 64 TB.
B. Chỉ có thể mở các đĩa VHDX bằng Windows Server 2012 R2 và Windows Server 2012.
C. Các đĩa VHDX hỗ trợ đơn vị cấp phát đĩa (block size) lớn hơn đĩa VHD.
D. Đĩa VHDX hỗ trợ đơn vị cấp phát đĩa 4-KB.
2. Với một đĩa cứng ảo kiểu pass-through, yêu cầu nào sau đây là đúng?
A. Đĩa ảo kiểu pass-through phải được thiết lập chế độ offline trong máy ảo.
B. Đĩa được sử dụng để làm đĩa ảo kiểu pass-through phải được thiết lập chế độ offline trong
partition cha của Hyper-V server.
C. Đĩa ảo kiểu pass-through chỉ sử dụng cổng kết nối SCSI.
D. Đĩa ảo kiểu pass-through phải được gắn với máy ảo bằng snap-in Disk Management.
3. Chức năng Merge (trộn) chỉ xuất hiện trong Edit Virtual Hard Disk với các điều kiện nào sau
đây?
A. Khi bạn lựa chọn một tập tin VHDX để điều chỉnh.
B. Khi bạn lựa chọn từ hai đĩa trở lên để điều chỉnh.
C. Khi bạn lựa chọn một đĩa đang có không gian trống bên trong.
D. Khi bạn lựa chọn một đĩa cứng kiểu differencing để điều chỉnh.
4. Những lí do nào sau đây cho thấy không nên thực hiện tạo ra checkpoint cho máy ảo? (chọn
các đáp án đúng)
A. Checkpoint tiêu hao một không gian đĩa cứng rất lớn.
B. Mỗi checkpoint yêu cầu cấp phát thêm một lần bộ nhớ của máy ảo.
C. Phải mất vài giờ để thực hiện một checkpoint.
D. Các checkpoint đã có sẽ làm giảm hiệu suất của các máy ảo.
5. Yêu cầu nào sau đây không cần phải có, khi gắn một cạc Fibre Channel tới một máy ảo trong
Hyper-V?
A. Bạn phải tạo một Fibre Channel Virtual SAN.
B. Trên máy thật phải có một cạc Fibre Channel.
155
C. Bạn phải có một driver của cạc Fibre Channel có hỗ trợ ảo hóa.
D. Bạn phải có một cáp nối SCSI để kết nối cạc Fibre Channel và thiết bị lưu trữ.
3.3. Tạo và cấu hình mạng ảo

Thiết lập hệ thống mạng là một phần quan trọng trong việc xây dựng hạ tầng cho các máy ảo. Tùy theo
yêu cầu sử dụng, các máy ảo trong Hyper-V Windows Server 2012 R2 có thể phải giao tiếp với các
máy ảo khác, với các máy thật trong mạng và với Internet.
Để kết nối một máy thật vào hệ thống mạng, bạn cần gắn cạc mạng cho mỗi máy, sau đó kết nối máy
tính đó tới switch. Đối với môi trường máy ảo, bạn cũng thực hiện tương tự. Nghĩa là bạn cũng cần gắn
cạc mạng cho máy ảo, kết nối máy ảo đó tới switch. Tuy nhiên, trong môi trường máy ảo, cạc mạng và
switch đều là các thiết bị ảo. Tùy theo nhu cầu sử dụng, mạng ảo có thể bao gồm các thành phần, thiết
bị của hệ thống mạng thật hoặc không.
Trong Hyper-V, bạn có thể tạo ra nhiều switch ảo, bạn có thể gắn nhiều cạc mạng ảo trên một máy ảo.
Tạo switch ảo
Switch ảo cũng tương tự như switch thật, nó là thiết bị hoạt động tại tầng 2 của mô hình OSI. Switch
gồm nhiều cổng, mỗi cổng được kết nối tới một cạc mạng. Khi máy tính nối tới switch, nó sẽ có khả
năng trao đổi dữ liệu với tất cả các máy tính cùng nối với switch đó.
Khác với switch thật, switch ảo không bị giới hạn về số lượng cổng trên mỗi thiết bị. Vì vậy, bạn
không phải bận tâm về việc đấu nối các switch với nhau.
Switch ảo mặc định
Khi thực hiện cài role Hyper-V bằng tiện ích Add Roles and Features Wizard của Windows Server
2012 R2, hệ thống sẽ cho phép tạo các switch ảo. Tại trang Create Virtual Switches, ứng với mỗi cạc
mạng của máy thật, bạn có thể tạo một switch ảo tương ứng. Khi đó, máy ảo sẽ có khả năng giao tiếp
với hệ thống mạng mà cạc mạng thật tương ứng đang kết nối.
Khi bạn tạo switch ảo, thông tin cấu hình mạng của hệ điều hành trong parent partition sẽ bị thay đổi.
Switch ảo sẽ xuất hiện trong cửa sổ Network Connections, khi xem nội dung của Propersties, sẽ thấy
switch ảo có xuất hiện trong TCP/IP client của hệ điều hành. Xem hình minh họa.
156
Ngoài ra, Hyper-V cũng làm thay đổi trạng thái của cạc mạng tương ứng trong máy thật. Cạc mạng của
máy thật chỉ có kết nối tới switch ảo. Xem hình minh họa.
Kết quả là, cấu hình mạng của máy thật sẽ bị thay đổi bởi hệ thống mạng ảo được tạo ra bởi Hyper-V.
Cụ thể, cạc mạng thật không kết nối trực tiếp với switch thật bên ngoài nữa, mà kết nối tới switch ảo;
switch ảo sẽ kết nối tới switch thật bên ngoài. Mạng ảo bên trong và mạng thật bên ngoài sẽ thuộc
cùng một LAN, giống như việc kết nối hai switch thật với nhau.
157
Sau khi tạo switch ảo bằng Hyper-V và kết quả là làm thay đổi cấu hình mạng của máy server, khi đó,
việc gắn máy ảo vào switch ảo chính là động tác kết nối máy ảo tới hệ thống mạng ảo. Tình huống này
cũng giống với việc kết nối một máy thật vào switch thật.
Nói theo ngôn ngữ của Hyper-V, switch ảo đang được trình bày ở đây, là switch loại external (nối
ngoài). Gọi là external là vì switch này đã giúp các máy tính trong Hyper-V kết nối được với các thiết
bị bên ngoài. Giải pháp này được lựa chọn nhiều trong môi trường thực tế, vì nó cho phép các máy ảo
trong môi trường Hyper-V có thể cung cấp cũng như sử dụng các dịch vụ của toàn bộ hệ thống mạng.
Ví dụ, các máy ảo kết nối tới switch ảo có thể lấy được địa chỉ IP từ DHCP server. Ngược lại, bạn
cũng có thể cấu hình một máy ảo đóng vai trò là DHCP server để cấp địa chỉ IP cho các máy tính trong
mạng, không phân biệt máy thật hay máy ảo.
Ngoài ra, máy ảo cũng có khả năng kết nối tới Internet, nhờ việc sử dụng router và DNS server của hệ
thống mạng thật. Khi đó, máy ảo có thể tải các bản cập nhật của hệ điều hành từ Internet, giống như
các thật thông thường.
Tuy nhiên, loại switch ảo này cũng có một điều bất tiện. Ví dụ, nếu bạn dự định tạo một hệ thống mạng
chỉ để thử nghiệm, để cho mọi người thực tập, lúc đó, bạn không muốn có sự kết nối giữa các máy ảo
vào hệ thống mạng thật. Để ngăn chặn việc kết nối vào hệ thống mạng thật, bạn sẽ tạo một loại switch
ảo khác bằng Virtual Switch Manager trong Hyper-V Manager.
Tạo switch ảo mới
Hyper-V trong Windows Server 2012 R2 hỗ trợ ba loại switch, bạn cần phải tạo các switch này trong
Virtual Switch Manager trước, sau đó, mới có thể kết nối các máy ảo.
Các bước để tạo một switch ảo mới:
1. Mở Server Manager, chọn mục Tools tại trình đơn, chọn mục Hyper-V Manager để mở cửa sổ
Hyper-V Manager.
2. Ở khung bên trái, lựa chọn Hyper-V server mà bạn quan tâm.
3. Từ khung Actions, chọn Virtual Switch Manager để mở cửa sổ Virtual Switch Manager cho
Hyper-V server đã chọn. Xem hình minh họa.
158
4. Trong phần Create Virtual Switch, lựa chọn một trong ba loại switch sau:
- External: switch ảo sẽ được nối tới chồng giao thức mạng của hệ điều hành máy chủ,
đồng thời switch ảo cũng được kết nối tới cạc mạng của máy chủ Hyper-V. Các máy ảo
kết nối tới switch ảo sẽ có khả năng kết nối tới tất cả các mạng, giống như cạc mạng
thật đã từng kết nối.
- Internal: switch ảo sẽ được nối tới một chồng giao thức mạng riêng. Switch ảo sẽ độc
lập với cạc mạng thật và hệ thống mạng thật. Các máy tính đang chạy trên partition cha
(parent partition) và partition con (child partititon) đều có thể truy cập tới mạng ảo
thông qua switch ảo. Các hệ điều hành chạy trên partition cha có thể truy cập hệ thống
mạng thật thông qua cạc mạng thật, nhưng các hệ điều hành đang chạy trên các partition
con thì không thể làm được điều này.
- Private: switch ảo này chỉ được biết đến trong phạm vi của Hyper-V server, chỉ có các
máy ảo đang chạy trên các partititon con mới được phép kết nối tới switch ảo này. Hệ
điều hành chạy trên partition cha có thể truy cập mạng thật thông qua cạc mạng thật,
nhưng nó không thể truy cập hệ thống mạng ảo thông qua switch ảo.
5. Bấm Create Virtual Switch để mở trang Virtual Switch Properties.
6. Cấu hình một số tùy chọn sau:
159
- Allow Management Operation System To Share This Network Adapter: cái này được lựa
chọn mặc định khi bạn tạo switch kiểu external. Nếu không chọn cái này, hệ điều hành trên
máy chủ chỉ truy cập được các máy ảo mà không thể truy cập tới hệ thống mạng thật.
- Enable Single Root I/O Virtualization (SR-IOV): cho phép bạn tạo một switch ảo kiểu
external. Switch ảo này sẽ được nối với một cạc mạng thật có hỗ trợ SR-IOV. Tùy chọn này
chỉ tồn tại khi tạo một switch mới; bạn không thể thiết lập tùy chọn này đối với một switch
ảo đã tồn tại.
- Enable Virtual LAN Identification For Management Operating System: nếu máy Hyper-V
server đang được kết nối tới VLAN (virtual LAN), bạn có thể chọn mục này và nhập tên
của VLAN cho switch ảo.
7. Bấm OK. Switch ảo sẽ xuất hiện trong khung bên trái.
Bạn có thể tạo ra nhiều switch ảo kiểu private hoặc internal. Tuy nhiên, với mỗi cạc mạng thật, bạn chỉ
tạo được một switch ảo kiểu external.
Cấu hình địa chỉ MAC

Mỗi cạc mạng có một địa chỉ vật lý, hay địa chỉ phần cứng, hay địa chỉ MAC (Media Access Control).
Địa chỉ MAC là định danh duy nhất của thiết bị trong hệ thống mạng. Trong một cạc mạng, MAC
được nhà sản xuất gán cố định trong phần sụn (firmware) của cạc mạng. MAC có kích thước 6 byte,
chứa các số hệ 16 (hexadecimal), ba byte đầu tiên là định danh của nhà sản xuất, ba byte sau là định
danh của chính cạc mạng.
Địa chỉ MAC là thành phần buộc phải có trong quá trình máy ảo giao tiếp với các thiết bị khác trong
LAN. Vì vậy, các cạc mạng ảo trong Hyper-V server cũng phải có địa chỉ MAC. Server luôn có ít nhất
một địa chỉ MAC, đó là địa chỉ của cạc mạng thật. Tuy nhiên, Hyper-V không thể sử dụng một địa chỉ
MAC này cho tất cả các máy ảo.
Giải pháp là, Hyper-V sẽ tạo ra một dải địa chỉ MAC, và khi tạo ra một cạc mạng ảo mới, nó sẽ lấy
một địa chỉ trong dải này để gán. Để xem hoặc thay đổi dải địa chỉ MAC trong Hyper-V server, bạn
mở Virtual Switch Manager, trong mục Global Network Settings, chọn MAC Address Range. Xem
hình minh họa.
160
Ba byte đầu tiên của dải MAC luôn là 00-15-5D, đây chính là định danh đã được đăng kí của
Microsoft. Byte thứ tư và thứ năm là giá trị hai byte cuối của địa chỉ IP trên cạc mạng thật. Byte thứ
sáu của MAC là giá trị lấy trong khoảng 00 tới FF, tổng cộng có 256 địa chỉ.
Hyper-V server sẽ gán MAC cho cạc mạng ảo khi nó được tạo ra, cạc mạng ảo sẽ giữ luôn MAC này
cho tới khi nào cạc mạng ảo bị xóa. Khi đó, server sẽ thu hồi địa chỉ MAC để sử dụng lại.
Dải MAC mặc định là 256 địa chỉ, tuy nhiên, bạn có thể thay đổi dải địa chỉ này bằng cách thay đổi giá
trị Minimum và Maximum để tăng thêm số địa chỉ trong dải. Để tránh việc trùng địa chỉ, bạn nên thay
đổi giá trị trong hai byte cuối.
Ví dụ dải MAC ban đầu gồm 256 địa chỉ, với giá trị cụ thể là:
00-15-1D-02-12-00 tới 00-15-1D-02-12-FF
Bạn chỉ cần thay đổi một số ở byte kế cuối là đã tăng số lượng địa chỉ trong dải từ 256 lên 4096. Ví dụ:
00-15-1D-02-10-00 tới 00-15-1D-02-1F-FF
Tạo cạc mạng ảo

Sau khi đã tạo ra các switch ảo, bạn sẽ tạo các cạc mạng ảo để kết nối máy ảo tới switch.
Mặc định, khi tạo một máy ảo mới, máy ảo đó sẽ có sẵn một cạc mạng ảo. Trong New Virtual Machine
Wizard, tại trang Configure Networking sẽ cho phép bạn lựa chọn một switch ảo để kết nối.
Thông thường, khi cài Hyper-V, hệ thống đã tạo sẵn một switch ảo kiểu external. Vì vậy, bạn chỉ việc
kết nối máy ảo tới switch này, là máy ảo đã có thể giao tiếp với các thiết bị trên hệ thống mạng thật.
161
Các bước để tạo mới một cạc mạng ảo:

1. Mở Server Manager, chọn mục Tools tại trình đơn, chọn mục Hyper-V Manager để mở cửa sổ
Hyper-V Manager.
2. Ở khung bên trái, chọn Hyper-V server mà bạn quan tâm.
3. Chọn một máy ảo trong danh sách Virtual Machines, trong khung Actions, chọn Settings để mở
cửa sổ Settings cho máy ảo đã chọn.
4. Trong danh sách Add Hardware, chọn Network Adapter và bấm Add. Cạc mạng mới sẽ xuất
hiện trong danh sách Hardware. Xem hình minh họa.
5. Trong danh sách Virtual Switch, lựa chọn switch mà bạn muốn kết nối.
6. Nếu máy thật đang được kết nối tới VLAN, bạn có thể đánh dấu chọn vào mục Enable Virtual
LAN Identification và nhập vào tên của VLAN mà máy thật đang kết nối tới.
7. Để kiểm soát băng thông của cạc mạng, đánh dấu chọn vào mục Enable Bandwidth
Management, nhập giá trị băng thông tối thiểu (Minimum Bandwidth) và băng thông tối đa
(Maximum Bandwidth)
8. Bấm OK để lưu các cấu hình vừa thực hiện vào tập tin cấu hình của máy ảo.
Bạn có thể tạo 12 cạc mạng trong Hyper-V Windows Server 2012 R2: trong đó, 8 cạc mạng kiểu
synthetic và 4 cạc mạng kiểu emulated.
162
Cạc mạng kiểu synthetic và emulated

Hyper-V hỗ trợ hai loại cạc mạng là synthetic và emulated (còn có tên khác là legacy).
Cạc mạng kiểu synthetic là một thiết bị ảo hoàn toàn, nó không mô phỏng lại cạc mạng thật. Các cạc
mạng này hoạt động trên các partition con (child partition), giúp các partition con giao tiếp với
partition cha (parent partition), sử dụng đường truyền tốc độ cao có tên là VMBus.
Switch ảo mà bạn tạo trong Hyper-V sẽ được đặt trong partition cha. Switch ảo là một phần của VSP
(Virtualization Service Provider). Cạc mạng kiểu synthetic được đặt trong partition con, được gọi là
VSC (Virtualization Service Client). Cả VSP và VSC đều được kết nối tới VMBus. VSC muốn truy
cập tới cạc mạng của máy thật thì nó phải nhờ tới thành phần trung gian là VSP. Xem hình minh họa.
(lưu ý: trong tài liệu gốc hình vẽ bị lỗi, gồm hai VSC).
Vì cạc mạng kiểu synthetic truy cập phần cứng thông qua VMBus nên hiệu suất hoạt động của nó cao
hơn rất nhiều so với cạc mạng kiểu emulated. Cạc mạng kiểu synthetic là một phần trong gói Guest
Integration Services của hệ điều hành máy ảo. Hạn chế chính của cạc mạng kiểu synthetic là nó chỉ
hoạt động khi hệ điều hành trên máy ảo đã được nạp.
Cạc mạng kiểu emulated (còn được gọi là cạc mạng kiểu legacy), đây là cạc mạng ảo, nó giả lập hoạt
động của một cạc mạng chuẩn. Để giao tiếp với partition cha, cạc mạng kiểu emulated sẽ sử dụng
hypervisor làm môi trường trung gian. Phương pháp giao tiếp này làm cho tốc độ bị chậm hơn so với
cạc mạng kiểu synthetic. Xem hình minh họa.
163
Để cài đặt cạc mạng kiểu emulated, các bước thực hiện như đã trình bày ở phía trên, ngoại trừ việc lựa
chọn mục Legacy Network Adapter từ danh sách Add Hardware.
Khác với cạc mạng kiểu synthetic, cạc mạng kiểu emulated sẽ được nạp vào máy ảo trước hệ điều
hành. Vì vậy, nó cho phép máy ảo sử dụng kĩ thuật khởi động PXE (Preboot eXecution Environment)
và cài đặt hệ điều hành qua mạng.
Nếu hệ điều hành trên máy ảo không có gói Guest Integration Services, thì bạn phải sử dụng cạc mạng
kiểu emulated.
Cấu hình tăng tốc cho phần cứng

Để tăng hiệu suất hoạt động của hệ thống, một số cạc mạng thật đã được thiết kế để xử lý một số công
việc của vi xử lý. Hyper-V cũng hỗ trợ một số chức năng này, miễn là cạc mạng thật trên server có hỗ
trợ.
Với mỗi máy ảo, khi mở các mục con của cạc mạng trong hộp Settings, bạn sẽ thấy trang Hardware
Acceleration. Tại trang này, bạn có thể thực hiện các thiết lập sau:
- Enable Virtual Machine Queue: Virtual machine queue (VMQ) là kĩ thuật lưu các gói tin gửi
đến cho máy ảo trong một hàng đợi trên cạc mạng thật, sau đó hệ thống sẽ gửi trực tiếp cho
máy ảo mà không nhất thiết phải truyền qua switch ảo.
- Enable IPsec Task Offloading: cho phép cạc mạng thực hiện một số chức năng mã hóa của
IPsec. Bạn cũng có thể chỉ định số lượng giao tiếp IPsec tối đa của mỗi cạc mạng (từ 1 tới
4096) (còn được gọi là số SA: Security Association).
- Single-Root I/O Virtualization: cho phép cạc mạng ảo khai thác khả năng SR-IOV của cạc
mạng thật.
164
Một số cấu hình cạc mạng nâng cao

Trang Advanced Features cho phép bạn thực hiện một số cấu hình nâng cao mà cạc mạng có hỗ trợ. Cụ
thể gồm:
- Cấu hình địa chỉ MAC tĩnh (Static MAC): mặc định, cạc mạng ảo sẽ nhận địa chỉ MAC từ
Hyper-V server. Tuy nhiên, bạn có thể gán địa chỉ MAC cho cạc mạng trong mục này, miễn là
địa chỉ MAC không được trùng với các cạc mạng khác (ảo và thật) trong cùng mạng.
- Enable MAC Address Spoofing: chức năng này cho phép máy ảo sử dụng địa chỉ MAC bất kì
để giao tiếp mạng.
- Enable DHCP Guard: ngăn chặn cạc mạng xử lý các gói tin nhận được từ DHCP server giả
mạo.
- Port Mirroring Mode: cho phép cạc mạng chuyển tiếp tất cả các gói tin nhận được tới một cạc
mạng khác, để thực hiện phân tích bằng một ứng dụng nào đó, ví dụ: Network Monitor.
- NIC Teaming: cho phép cạc mạng này tham gia vào một NIC team.
Cấu hình gộp cạc mạng (NIC teaming) cho mạng ảo

Như đã trình bày trong mục 1.2, gộp cạc mạng là một chức năng của Windows Server 2012 R2, nó cho
phép chúng ta gộp nhiều cạc mạng lại để tăng hiệu xuất truyền dữ liệu và tăng khả năng chịu lỗi. Các
máy ảo trong Hyper-V cũng có thể sử dụng cạc mạng gộp (NIC team). Tuy nhiên, nó chỉ sử dụng được
các NIC team có 2 cạc mạng, trong khi ở máy thật cho phép NIC team có tới 64 cạc mạng.
Để gộp cạc mạng trong Hyper-V, bạn phải thực hiện ba việc sau:
1. Tạo NIC team trong hệ điều hành máy chủ đang chạy Windows Server 2012 R2.
2. Trong Hyper-V Manager, tạo một switch ảo kiểu external để sử dụng NIC team.
3. Cấu hình cạc mạng trong máy ảo để kết nối tới switch ảo đã tạo ở bước 2.
Tạo NIC team
Các NIC team phải được tạo từ các cạc mạng vật lý, vì vậy, trước khi bạn có thể sử dụng NIC team
trong máy ảo, bạn phải tạo nó trong hệ điều hành máy chủ. Máy chủ phải có ít nhất hai cạc mạng.
Sử dụng Server Manager để tạo NIC team (có thể xem lại mục 1.2 Cấu hình server). Các thiết lập liên
quan đến NIC team được minh họa trong hình sau.
165
Khi tạo NIC team, hệ thống sẽ thực hiện cài đặt Microsoft Network Adapter Multiplexer Driver, đây
chính là thành phần giao tiếp mạng đại diện cho NIC team vừa tạo.
Tạo switch ảo
Sau khi bạn đã tạo NIC team, bạn sẽ thực hiện tạo switch ảo để kết nối với NIC team. Mở Virtual
Switch Manager, chọn mục New Virtual Network Switch, đặt tên cho switch ảo trong mục Name,
trong mục External Network chọn Microsoft Network Adapter Multiplexor Driver. Xem hình minh
họa.
166
Cấu hình cạc mạng trên máy ảo

Để một máy ảo có thể sử dụng NIC team, bạn phải vào cửa sổ Settings, cấu hình cho phép cạc mạng ảo
kết nối tới switch ảo đã được tạo ở bước trước. Xem hình minh họa.
167
Cuối cùng, bạn phải mở trang Advanced Features của cạc mạng, đánh dấu chọn vào mục Enable The
Network Adapter To Be Part Of A Team In The Guest Operating System.
Từ đây, NIC team đã hoạt động. Để kiểm tra hệ thống, bạn có thể rút một sợi cáp mạng, máy ảo vẫn
duy trì kết nối tới hệ thống mạng.
Một số tình huống sử dụng mạng ảo

Trong Hyper-V, bạn vừa có thể triển khai hầu hết các cấu hình mạng như trong hệ thống mạng thật,
vừa có thể tạo ra một hệ thống mạng riêng biệt, chỉ hoạt động trong môi trường Hyper-V.
Ở chế độ mặc định, khi tạo máy ảo, hệ thống đã tạo sẵn một switch ảo kiểu external. Cạc mạng của
máy ảo sẽ được nối với switch này, vì vậy, máy ảo có thể giao tiếp với hệ thống mạng thật và Internet.
Với hệ thống này, người quản trị có thể tạo ra nhiều server ảo trên một hệ thống Hyper-V, thay thế cho
các server thật. Ở đây không có sự phân biệt giữa mạng thật và mạng ảo.
Nối với dịch vụ trên hệ thống mạng thật
Trên máy Hyper-V server, bạn có thể gắn nhiều cạc mạng, vì thế máy Hyper-V server vừa có thể kết
nối tới các mạng khác nhau, vừa có thể kết nối nhiều đường cáp tới cùng một hệ thống mạng để tăng
băng thông, tăng khả năng chịu lỗi. Ngoài ra, bạn cũng có thể kết nối tới hệ thống SAN.
168
Microsoft đề nghị bạn nên sử dụng ít nhất hai cạc mạng thật trên Hyper-V server. Trong đó, một cho
partition cha và các cái còn lại cho các partition con. Khi đó, ứng với một cạc mạng thật, bạn sẽ tạo
một switch ảo kiểu external và kết nối các máy ảo tới các switch này.
Tạo một hệ thống mạng tách biệt
Nếu bạn muốn xây dựng một hệ thống mạng chỉ để chạy thử nghiệm, kiểm tra, hoặc sử dụng trong việc
giảng dạy, bạn có thể tạo ra một hệ thống mạng tách biệt. Để thực hiện, bạn sẽ tạo các switch ảo kiểu
internal hoặc private, kết nối các máy ảo vào các switch này.
Tuy nhiên, hệ thống mạng tách biệt cũng có một số hạn chế. Nếu bạn muốn cài đặt hệ điều hành trên
máy ảo bằng Windows Deployment Services hoặc cấp IP động cho các máy ảo, thì bạn phải thiết lập
các dịch vụ này trên hệ thống mạng ảo. Các máy ảo cũng không thể truy cập được Internet, không thể
cập nhật được các bản nâng cấp của Windows.
Để máy ảo vừa truy cập được Internet vừa truy cập được hệ thống mạng tách biệt, bạn sẽ gắn cho máy
ảo hai cạc mạng. Một cạc mạng sẽ nối tới switch kiểu private, một cạc mạng sẽ nối tới switch kiểu
external.
Có một giải pháp khác để tạo ra một hệ thống mạng tách biệt là sử dụng VLAN. Giải pháp này rất hữu
ích trong trường hợp bạn có nhiều máy ảo trên các Hyper-V server khác nhau, và bạn muốn kết nối
chúng lại thành một hệ thống riêng biệt. Để thực hiện, bạn sẽ kết nối các cạc mạng vào các switch kiểu
external, sau đó, gán cùng chỉ số VLAN. Khi đó bạn có thể xây dựng các dịch vụ riêng biệt cho hệ
thống mạng tách biệt mà không ảnh hưởng đến hệ thống mạng bên ngoài.

Kết nối mạng là một phần quan trọng trong việc triển khai hạ tầng ảo hóa. Tùy theo nhu cầu sử dụng,
với Windows Server 2012 R2 Hyper-V server, bạn có thể thiết kế hệ thống cho phép các máy ảo chỉ
giao tiếp với nhau, hoặc giao tiếp với các máy tính khác trong mạng thật, hoặc giao tiếp với Internet.
Cũng như switch thật, switch ảo là một thiết bị làm việc tại tầng 2 của mô hình tham chiếu OSI. Switch
ảo gồm nhiều cổng, mỗi cổng được kết nối tới một cạc mạng của máy tính. Các máy tính cùng kết nối
tới một switch đều có khả năng giao tiếp với nhau.
Hyper-V trong Windows Server 2012 R2 cung cấp ba loại switch ảo, gồm: external, internal và
private. Bạn phải tạo ra các switch ảo trước, sau đó mới có thể kết nối các máy ảo vào.
Mỗi cạc mạng phải có một địa chỉ vật lý duy nhất, gọi là địa chỉ MAC. Đây là định danh duy nhất của
cạc mạng trong hệ thống.
Khi bạn đã tạo ra các switch ảo trong Hyper-V Manager, bạn có thể kết nối máy ảo tới các switch ảo
bằng cách tạo và cấu hình các cạc mạng ảo.
Khi tạo cạc mạng ảo, Hyper-V hỗ trợ hai loại: synthetic và emulated.
Gộp cạc mạng là một chức năng của Windows Server 2012 R2, nó cho phép chúng ta gộp nhiều cạc
mạng lại để tăng hiệu xuất truyền dữ liệu và tăng khả năng chịu lỗi.

1. Các lý do nào sau đây dẫn tới việc chúng ta sẽ sử dụng cạc mạng kiểu emulated thay cho cạc
mạng kiểu synthetic? (chọn nhiều đáp án)
169
A. Bạn muốn cài đặt hệ điều hành trên máy ảo bằng Windows Deployment Services server.
B. Hệ điều hành bạn dự định cài trên máy ảo không có gói Guest Integration Services.
C. Nhà sản xuất cạc mạng (đang được gắn trên máy thật) chưa cung cấp driver kiểu synthetic.
D. Cạc mạng kiểu emulated có hiệu suất hoạt động tốt hơn.
2. Các phát biểu nào sau đây nói không đúng về cạc mạng kiểu synthetic?
A. Cạc mạng kiểu synthetic giao tiếp với partition cha bằng VMBus.
B. Cạc mạng kiểu synthetic yêu cầu phải cài đặt gói Guest Integration Services trên hệ điều
hành máy ảo.
C. Cạc mạng kiểu synthetic có hiệu suất hoạt động tốt hơn cạc mạng kiểu emulated.
D. Cạc mạng kiểu synthetic có thể khởi động máy ảo bằng kĩ thuật khởi động qua mạng PXE.
3. Trong Hyper-V, switch ảo có số cổng tối đa là?
A. 8
B. 256
C. 4096
D. Không giới hạn
4. Switch ảo nào sau đây không cho phép hệ điều hành trên máy ảo giao tiếp với partition cha?
A. External
B. Internal
C. Private
D. Isolated
5. Mặc định, hyper-V server có thể gán bao nhiêu địa chỉ MAC cho các cạc mạng ảo?
A. 8
B. 256
C. 4096
D. Không giới hạn
170
Chương 4. Triển khai một số dịch vụ mạng quan trọng

Chương này đề cập tới một số dịch vụ hạ tầng mạng quan trọng, cần thiết đối với hầu hết các hệ thống
mạng.
Mỗi máy tính trong hệ thống mạng TCP/IP đều phải có ít nhất một địa chỉ IP (Internet Protocol), địa
chỉ này thường được cấp bởi dịch vụ DHCP (Dynamic Host Configuration Protocol).
Để thuận tiện trong việc truy cập các tài nguyên trên Internet, cũng như việc định vị các máy DC
(Domain Controller: máy chủ kiểm soát tài nguyên trong một miền, hay máy kiểm soát miền) trong hệ
thống mạng Domain, mỗi máy tính trong mạng đều phải có khả năng truy cập tới máy chủ DNS
(Domain Name System).
Windows Server 2012 R2 cung cấp đầy đủ các công cụ để triển khai, quản lý dịch vụ DHCP và DNS.
Nội dung của chương gồm:
- Cấu hình địa chỉ IPv4 và IPv6.
- Triển khai và cấu hình dịch vụ DHCP.
- Triển khai và cấu hình dịch vụ DNS.
4.1. Cấu hình địa chỉ IPv4 và IPv6

Người quản trị hệ thống cần phải có kiến thức về địa chỉ IPv4 và IPv6. Phần này sẽ trình bày các kiến
thức cơ bản liên quan đến địa chỉ IPv4 và IPv6, đồng thời cũng đề cập đến việc sử dụng hai loại địa chỉ
này.
Địa chỉ IPv4

Địa chỉ IPv4 có độ dài 32 bit, được viết dưới dạng bốn số thập phân có giá trị từ 0 tới 255, mỗi số thập
phân được ngăn cách nhau bởi dấu chấm (.). Ví dụ: 192.168.43.100. Mỗi số thập phân được gọi là một
octet hay một byte.
Mỗi địa chỉ IP được chia thành các bit phần network (gọi tắt là bit net) và các bit phần host (gọi tắt là
bit host). Các bit net giúp nhận diện địa chỉ mạng của thiết bị. Các bit host giúp nhận diện thiết bị trong
một mạng. Để xác định những bit nào trong địa chỉ IP là bit net, còn những bit nào là bit host, chúng ta
dựa vào subnet mask (mặt nạ mạng con). Do vậy, đi kèm với mỗi địa chỉ IP luôn phải có subnet mask.
Subnet mask cũng có hình thức giống với một địa chỉ IP. Tuy nhiên, các bit trong subnet mask tính từ
trái sang phải, luôn bắt đầu bằng các bit 1 liên tiếp, sau đó là các bit 0 liên tiếp, không có tình trạng các
bit 1 và 0 xen kẽ nhau. Ví dụ: 1111 1111.1111 1111.1111 1111.0000 0000, đổi sang hệ thập phân là
255.255.255.0.
Để xác định bit net và bit host của một địa chỉ IP, chúng ta thực hiện so sánh địa chỉ IP và subnet
mask. Các bit của địa chỉ IP tương ứng với các bit 1 trong subnet mask sẽ là các bit net, trong khi các
bit của địa chỉ IP tương ứng với các bit 0 trong subnet mask sẽ là các bit host.
Ví dụ, cho địa chỉ IP là 192.168.43.100 dạng nhị phân là: 1100 0000.1010 1000.0010 1011.0110 0100;
với subnet mask là 255.255.255.0 dạng nhị phân là: 1111 1111.1111 1111.1111 1111.0000 0000. Ta sẽ
có các bit net là 1100 0000.1010 1000.0010 1011, tương đương ba octet 192.168.43; bit host là 0110
0100, tương đương octet 100. Xem bảng minh họa.
171
IP dạng thập phân 192 168 43 100
IP dạng nhị phân 1100 0000 1010 1000 0010 1011 0110 0100
Subnet mask dạng 255 255 255 0

thập phân
Subnet mask dạng 1111 1111 1111 1111 1111 1111 0000 0000
nhị phân
Bit net Bit host
Phân lớp trong IPv4

Vì các subnet mask rất đa dạng, nên bạn có thể phân chia các bit net và bit host trong mỗi địa chỉ IP
theo nhiều dạng khác nhau.
Theo chuẩn ban đầu, địa chỉ IP được chia thành lớp. Trong đó có ba lớp quan trọng là A, B, và C. Mỗi
lớp địa chỉ phù hợp với các hệ thống mạng có quy mô khác nhau. Xem hình minh họa.
12345678 12345678 12345678 12345678
Lớp A Phần net Phần host
12345678 12345678 12345678 12345678
Lớp B Phần net Phần host
12345678 12345678 12345678 12345678
Lớp C Phần net Phần host
172
Các thông tin cụ thể về ba lớp địa chỉ được minh họa ở bảng sau:
Lớp A B C
Bit nhận dạng (hệ nhị phân) 0 10 110
Byte nhận dạng (hệ thập phân) 1-127 128 – 191 192 – 223
Số bit net 8 16 24
Số bit host 24 16 8
Tổng số mạng có thể hỗ trợ 126 16 384 2 097 152
Tổng số máy có thể hỗ trợ 16 777 214 65 534 254
Ban đầu, khi TCP/IP mới được triển khai, người ta sử dụng “Bit nhận dạng” để xác định địa chỉ mạng,
chứ không sử dụng subnet mask như hiện nay. “Bit nhận dạng” sẽ chi phối đến giá trị thập phân tại
byte đầu tiên của địa chỉ IP. Ví dụ, với địa chỉ IP lớp A, bit đầu tiên bắt buộc phải là 0. Như vậy, giá trị
của byte đầu tiên sẽ nằm trong khoảng từ 0000 0001 tới 0111 1111, chuyển sang giá trị thập phân sẽ là
từ 1 tới 127. Vì vậy, trong hệ thống địa chỉ có phân lớp, chỉ cần nhìn vào giá trị dạng thập phân của
byte đầu tiên nằm trong khoảng từ 1 tới 127, là bạn có thể kết luận địa chỉ IP đó thuộc lớp A.
Ở địa chỉ lớp A, phần bit net chiếm 8 bit, còn lại 24 bit là phần bit host. Địa chỉ mạng lớp A có byte
đầu tiên mang giá trị 127 được sử dụng cho mục đính kiểm tra hệ thống, nên còn lại 126 mạng có thể
dùng, mỗi mạng có thể có 16 777 214 địa chỉ host để gán cho các cạc mạng. Địa chỉ lớp B và C có số
bit net nhiều hơn, nên số mạng có thể sử dụng cũng nhiều hơn; tuy nhiên, số bit host sẽ ít hơn, nên số
địa chỉ host có thể gán sẽ ít hơn.
Theo giao thức IP chuẩn, thì số lượng các địa chỉ IP mà một lớp cấp phát sẽ nhỏ hơn so với tổng số
trạng thái có thể biểu diễn của các bit. Ví dụ, một số nhị phân 8 bit sẽ có khả năng biểu diễn 256 trạng
thái. Tuy nhiên, số lượng các host mà một địa chỉ mạng lớp C có thể cấp phát chỉ là 254. Lý do là, bạn
không thể cấp phát một địa chỉ IP mà bit host toàn là 0 hoặc toàn là 1.
Địa chỉ IP có các bit host mang giá trị 0 sẽ là địa chỉ IP đại diện cho mạng, trong khi địa chỉ IP có các
bit host mang giá trị 1 sẽ là địa chỉ IP broadcast. Do vậy, bạn không thể gán hai loại địa chỉ này cho
một máy tính cụ thể. Công thức để tính số máy hoặc số mạng có thể cấp phát cho hệ thống là 2^x – 2
(theo giao thức IP chuẩn), trong đó x chính là số bit host và bit net tương ứng. Ví dụ, nếu số bit host là
8, thì số máy có thể cấp phát là 2^8 – 2 = 254; nếu số bit net là 5, thì số mạng có thể sử dụng là 2^5 – 2
= 30.
CIDR (Định tuyến liên miền không phân lớp)

Ban đầu, khi phát triển địa chỉ IPv4, không ai nghĩ rằng không gian địa chỉ này sẽ bị cạn kiệt. Vào đầu
những năm 1980, không có hệ thống mạng nào có 65 536 máy tính, và không ai nghĩ tới các hệ thống
mạng với 16 triệu máy tính, và cũng chẳng có ai băn khoăn về sự lãng phí khi sử dụng hệ thống địa chỉ
IP có phân lớp.
173
Hạn chế của hệ thống địa chỉ IPv4 có phân lớp là sự lãng phí địa chỉ, làm cho địa chỉ IPv4 bị cạn kiệt
nhanh. Để khắc phục hạn chế này, người ta đã đề xuất một số giải pháp liên quan đến chia mạng con
(subnetting) như VLSM (Variable Length Subnet Masking) và CIDR (Classless Inter-Domain
Routing).
CIDR là một kĩ thuật chia mạng con rất linh hoạt. Trong giao thức IP chuẩn, bạn chỉ có thể thực hiện
chia mạng con với số bit net/bit host là 8/24 (lớp A), 16/16 (lớp B), hoặc 24/8 (lớp C). Với CIDR, bạn
có thể chia số bit net và số bit host với giá trị bất kì. Vì vậy, có thể tạo ra các mạng có kích thước rất đa
dạng.
CIDR cũng đưa ra một cách viết mới cho địa chỉ mạng. Một địa chỉ mạng sẽ được viết dưới dạng địa
chỉ IP thông thường, kèm theo dấu “/” và số bit net. Ví dụ, 192.168.43.0/24 là địa chỉ mạng lớp C, số
bit net là 24, suy ra số bit host là 8, có thể gán cho 254 host. Dải địa chỉ IP có thể gán cho các host là từ
192.168.43.1 -> 192.168.43.254. Subnet mask là 255.255.255.0.
Sử dụng CIDR, người quản trị có thể tiếp tục chia nhỏ địa chỉ mạng trên (192.168.43.0/24), bằng cách
lấy một số bit host làm bit net. Ví dụ, để tạo ra bốn mạng con cho bốn phòng khác nhau, người quản trị
sẽ lấy hai bit host chuyển thành bit net. Khi đó, địa chỉ mạng sẽ là 192.168.43.0/26, và subnet mask
cho bốn mạng mới sẽ là 1111 1111.1111 1111.1111 1111.1100 0000, đổi sang hệ thập phân là
255.255.255.192. Mỗi mạng con bây giờ sẽ có 64 host, dải địa chỉ cho mỗi mạng được thể hiện trong
bảng dưới đây.
Địa chỉ mạng IP đầu IP cuối Subnet mask
192.168.43.0 192.168.43.1 192.168.43.62 255.255.255.192
192.168.43.64 192.168.43.65 192.168.43.126 255.255.255.192
192.168.43.128 192.168.43.129 192.168.43.190 255.255.255.192
192.168.43.192 192.168.43.193 192.168.43.254 255.255.255.192
Nếu người quản trị cần thêm bốn mạng con nữa, anh ta chỉ cần thay đổi địa chỉ mạng thành
192.168.43.0/28, nghĩa là lấy thêm hai bit host để làm bit net. Khi đó, tổng số mạng con có thể cấp
phát là 16, mỗi mạng con có thể gán cho 14 host. Subnet mask mới sẽ là 255.255.255.240.
IPv4 public và private

Để người dùng ngoài Internet có thể truy cập tới một máy tính (thường là máy server) trong hệ thống
mạng của bạn, thì bắt buộc bạn phải có một địa chỉ IP được đăng kí và địa chỉ này là duy nhất. Đó là
địa chỉ IP kiểu public. Địa chỉ này có thể gán trực tiếp cho server hoặc cho thiết bị trung gian (ví dụ
NAT server). Tất cả các web server, hoặc các máy server hoạt động trên Internet đều có các địa chỉ IP
public.
IANA (Internet Assigned Numbers Authority): tổ chức cấp phát số hiệu Internet, là cơ quan giám sát
việc cấp địa chỉ IP, quản lý DNS toàn cầu ở mức cao nhất, và cấp phát các giao thức Internet khác. Tổ
chức này được điều hành bởi ICANN (theo vi.wikipedia).
174
ICANN (Internet Corporation for Assigned Names and Numbers): là một tổ chức phi lợi nhuận, điều
hành IANA. Tổ chức này cấp phát các khối địa chỉ IP public tới các cơ quan đăng kí Internet khu vực
(RIR).
RIR (Regional Internet Registries): là cơ quan đăng kí Internet cấp khu vực, cấp phát các khối địa chỉ
IP nhỏ hơn (so với khối IP do ICANN cấp) cho các nhà cung cấp dịch vụ Internet (ISP).
ISP (Internet Service Providers): nhà cung cấp dịch vụ Internet tới người dùng, cấp phát địa chỉ IP
public cho người dùng. Ví dụ các nhà cung cấp dịch vụ ở Việt Nam là: VNPT, Viettel, FPT…v.v.
Với các máy tính cá nhân, máy trạm (workstation), rất hiếm khi sử dụng địa chỉ IP public. Nếu các tổ
chức mà sử dụng địa chỉ IP public cho tất cả các máy trạm, thì IPv4 đã cạn kiệt từ lâu, đồng thời chi
phí mà tổ chức phải trả cũng rất lớn. Thay vào đó, các tổ chức sẽ sử dụng địa chỉ IP private để cấp phát
cho các máy trạm.
Địa chỉ IP private là dải địa chỉ IP được sử dụng cho các hệ thống mạng nội bộ. Đây là những địa chỉ
IP được sử dụng tự do, miễn phí và không phải đăng kí. Tuy nhiên, nếu các máy tính trên Internet
muốn truy cập tới các máy đang sử dụng địa chỉ IP private thì bạn phải cấu hình thêm các dịch vụ hỗ
trợ, ví dụ như NAT.
Ba dải địa chỉ IP private gồm:
- 10.0.0.0/8
- 172.16.0.0/12
- 192.168.0.0/16
Gần như tất cả các hệ thống mạng của các cơ quan, tổ chức đều sử dụng một trong các dải địa chỉ IP
private ở trên. Họ có thể sử dụng tự do mà không cần quan tâm tới các tổ chức khác đã sử dụng dải địa
chỉ đó hay chưa, bởi vì các máy trạm trong tổ chức này không thể kết nối trực tiếp tới các máy trạm
trong tổ chức khác.
Chia mạng con trong IPv4

Khi bạn xây dựng một hệ thống mạng mới cho tổ chức, bạn có thể chọn một trong ba dải địa chỉ IP
private để sử dụng. Và để đơn giản, bạn có thể thực hiện chia mạng con theo octet, nghĩa là lấy nguyên
một octet làm subnet ID.
Ví dụ, bạn có thể lấy dải IP 10.0.0.0/8 và sử dụng octet thứ hai làm subnet ID (hay bit subnet: các bit
được sử dụng để tạo mạng con). Như vậy, bạn có thể tạo ra 256 mạng con, với 65 536 địa chỉ IP cho
mỗi mạng con. Subnet mask mới của mạng sẽ là 255.255.0.0. Các mạng con cụ thể là:
- 10.0.0.0/16
- 10.1.0.0/16
- 10.2.0.0/16
- 10.3.0.0/16
- ...
- 10.255.0.0/16
175
Khi bạn làm việc với hệ thống mạng đã có sẵn, việc chia mạng con sẽ phức tạp hơn. Ví dụ, hệ thống
mạng đang sử dụng dải địa chỉ IP khá nhỏ và bạn phải tạo thêm một số mạng con trong nó. Sau đây là
các bước để tạo mạng con mới:
1. Từ số mạng con cần tạo, xác định subnet ID.
2. Giảm số bit host đi “subnet ID” bit, tăng số bit net lên “subnet ID” bit.
3. Tính lại subnet mask mới, bằng cách thêm “subnet ID” bit 1 vào subnet ban đầu, và đổi sang
dạng thập phân.
4. Tính số host trong mỗi mạng con, bằng cách cho tất cả bit host bằng 0, đặt thêm bit 1 ở phía
cực trái, chuyển sang hệ thập phân.
5. Xác định địa chỉ mạng cho các mạng con mới, mỗi mạng con cách nhau một khoảng đúng bằng
số host trong mỗi mạng con (đã tính ở bước 4).
Ví dụ, cho địa chỉ mạng 192.168.43.0/24, hãy chia mạng này thành 4 mạng con.
1. Cần tạo mới 4 mạng con, như vậy subnet ID là 2.
2. Số bit net mới sẽ là 24 + 2 = 26. Số bit host mới sẽ là 8 – 2 = 6.
3. Subnet mới là /26. Chuyển sang dạng thập phân là 255.255.255.192.
4. Tính số host trong mỗi mạng con, chuỗi nhị phân sẽ có dạng 100 0000, chuyển sang hệ thập
phân sẽ là 64.
5. Mạng con đầu tiên là 192.168.43.0, mạng con thứ hai là 192.168.43.64, mạng con thứ ba là
192.168.43.128, và mạng con thứ tư là 192.168.43.192.
Supernetting
Ngoài việc cho phép bạn viết địa chỉ mạng một cách đơn giản, CIDR còn cung cấp một kĩ thuật gộp
địa chỉ IP (IP address aggregation) hay còn được gọi là supernetting. Kĩ thuật này cho phép giảm kích
thước của bảng định tuyến. Một supernet là một subnet mới, được gộp từ các subnet liên tiếp nhau, có
cùng subnet mask. Khi đó, thay vì router phải lưu một mục cho một subnet, nó chỉ cần lưu một mục
cho tất cả các subnet.
Ví dụ, nếu một tổ chức có năm subnet, bình thường bảng định tuyến sẽ phải tạo ra năm mục để lưu
thông tin, cụ thể gồm:
- 172.16.43.0/24
- 172.16.44.0/24
- 172.16.45.0/24
- 172.16.46.0/24
- 172.16.47.0/24
Để tạo ra một supernet chứa cả năm mạng trên, bạn cần chuyển các địa chỉ của các subnet sang dạng
nhị phân, sau đó duyệt từ trái sang phải để xác định chuỗi bit giống nhau trong tất cả các subnet.
Dưới đây là dạng nhị phân của các subnet:
176
172.16.43.0 1010 1100 0001 0000 0010 1011 0000 0000
172.16.44.0 1010 1100 0001 0000 0010 1100 0000 0000
172.16.45.0 1010 1100 0001 0000 0010 1101 0000 0000
172.16.46.0 1010 1100 0001 0000 0010 1110 0000 0000
172.16.47.0 1010 1100 0001 0000 0010 1111 0000 0000
Từ bảng trên, ta thấy cả năm subnet đều có 21 bit đầu tiên giống nhau. Như vậy, chuỗi 21 bit này sẽ là
phần bit net của địa chỉ mạng mới (supernet).
Chuỗi 21 bit đó là: 1010 1100.0001 0000.0010 1
Thêm các bit 0 cho các bit host, đổi sang hệ thập phân, ta sẽ có địa chỉ supernet.
Dạng nhị phân: 1010 1100.0001 0000.0010 1000.0000 0000
Đổi sang dạng thập phân: 172.16.40.0/21
Trong bảng định tuyến, địa chỉ mạng 172.16.40.0/21 sẽ thay thế cho năm mạng con ban đầu. Với kĩ
thuật này, bạn có thể gộp hàng chục, thậm chí hàng trăm mạng con thành một mạng trong bảng định
tuyến.
Gán địa chỉ IPv4

Có ba cách để gán địa chỉ IPv4 cho máy tính trong mạng:
- Cấu hình bằng tay.
- Sử dụng DHCP.
- Tự sinh địa chỉ IP private.
Cấu hình bằng tay
Đây là phương pháp gán địa chỉ IPv4 đơn giản, dễ thực hiện. Hầu hết các hệ điều hành đều có giao
diện đồ họa cho phép bạn nhập địa chỉ IPv4, subnet mask, và các thông tin khác của TCP/IP. Để gán
địa chỉ IPv4 trong Windows Server 2012 R2, bạn mở cửa sổ Internet Protocol Version 4 (TCP/IPv4)
Properties, xem hình minh họa.
177
Chọn mục Use The Following IP Address, để gán các thông tin liên quan đến địa chỉ IPv4. Cụ thể
gồm:
- IP Address: nhập địa chỉ IPv4.
- Subnet Mask: nhập subnet mask.
- Default Gateway: nhập địa chỉ IPv4 của router, default gateway giúp máy tính giao tiếp với các
hệ thống mạng khác.
- Preferred DNS Server: nhập địa chỉ IP của DNS server, DNS server giúp máy tính có thể phân
giải tên miền sang địa chỉ IP.
Phương pháp gán địa chỉ này có hai hạn chế, một là tốn thời gian, hai là rất khó để quản lý đối với các
hệ thống mạng lớn.
Sử dụng DHCP
DHCP là giao thức thuộc tầng ứng dụng (application layer), nó giúp gán địa chỉ IP tự động cho các
máy tính trong mạng. Các máy tính đã được cài đặt DHCP client, khi khởi động, sẽ tự động liên lạc với
DHCP server để nhận địa chỉ IP và các thông tin khác.
DHCP server cấp địa chỉ IP cho các client theo thời hạn, nghĩa là sau một khoảng thời gian được ấn
định trước, máy client sẽ phải gia hạn thời gian sử dụng hoặc trả lại địa chỉ IP.
178
Ngoài việc tự động cấp phát địa chỉ IP cho các client, DHCP còn đảm bảo các địa chỉ IP cấp phát là
duy nhất trên mạng, không có tình trạng hai máy client cùng nhận một địa chỉ IP.
Tự sinh địa chỉ IP private (APIPA: Automatic Private IP Addressing)
APIPA là một dịch vụ có sẵn trên các hệ điều hành Microsoft Windows. Dịch vụ này sẽ tự động sinh
địa chỉ IP cho máy tính.
Giả sử trên máy tính được cài đặt DHCP client, tuy nhiên, khi khởi động hệ thống không thể liên lạc
được với DHCP server để lấy địa chỉ IP. Trong trường hợp đó, APIPA sẽ tự động được kích hoạt và
sinh ra một địa chỉ IP cho máy tính, địa chỉ được sinh thuộc mạng 169.254.0.0/16.
Đối với hệ thống mạng chỉ gồm một LAN duy nhất thì APIPA cũng là một giải pháp để gán IP động
cho các máy tính trong mạng. Tuy nhiên, đối với các hệ thống mạng lớn và bạn muốn có nhiều tùy
chọn hơn trong việc gán địa chỉ IP thì nên triển khai DHCP server.
Địa chỉ IPv6

Địa chỉ IPv6 được thiết kế để tăng thêm khả năng cấp phát địa chỉ IP cho các thiết bị. Với chiều dài địa
chỉ là 128 bit, địa chỉ IPv6 có khả năng cung cấp 2^128 (2 lũy thừa 128) địa chỉ.
Ngoài ra, IPv6 còn giúp giảm kích thước của bảng định tuyến trên các router.
Giới thiệu IPv6
Ngoài việc có chiều dài lớn hơn IPv4, IPv6 còn có nhiều đặc điểm khác so với IPv4. IPv6 không sử
dụng định dạng gồm các số thập phân, ngăn cách nhau bởi dấu chấm. Thay vào đó, địa chỉ IPv6 gồm 8
phần, các phần ngăn cách nhau bởi dấu hai chấm, mỗi phần là 4 số hệ 16. Cụ thể có dạng:
XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX:XXXX
Trong đó X là một số hệ 16. Ví dụ:
21cd:0053:0000:0000:e8bb:04f2:003c:c394
Quy tắc rút gọn địa chỉ IPv6

Nếu trong địa chỉ IPv6 có từ hai khối (block) 8-bit trở lên, liên tiếp, mang giá trị 0, thì bạn có thể thay
thế chúng bằng hai dấu hai chấm (::). Tuy nhiên, trong mỗi địa chỉ IPv6 bạn chỉ được phép có một dấu
“::”.
Ví dụ, địa chỉ IPv6:
21cd:0053:0000:0000:e8bb:04f2:003c:c394
Có thể được rút gọn thành:
21cd:0053::e8bb:04f2:003c:c394
Bạn cũng có thể xóa các số 0 đứng đằng trước trong mỗi phần.
Ví dụ, từ địa chỉ:
21cd:0053::e8bb:04f2:003c:c394
Có thể rút gọn thành:
21cd:53::e8bb:4f2:3c:c394
179
Địa chỉ mạng trong IPv6

Trong IPv6 không có subnet mask. Để xác định địa chỉ mạng, nó sử dụng kiểu kí hiệu giống như trong
CIDR, nghĩa là sử dụng dấu “/” theo sau là số bit net. Ví dụ,
21cd:53::/64
Địa chỉ mạng trên là viết tắt của địa chỉ mạng dạng đầy đủ sau:
21cd:0053:0000:0000/64
Các loại địa chỉ IPv6

Trong IPv6 không có chế độ gửi gói tin broadcast, nên không có địa chỉ broadcast. IPv6 có ba cách để
truyền gói tin đến đích:
- Unicast: truyền một-một giữa các giao diện mạng (interface).
- Multicast: truyền một-nhiều giữa các giao diện mạng.
- Anycast: truyền một-tới-một trong một phạm vi mạng cụ thể.
Các loại địa chỉ IPv6 gồm:
- Địa chỉ unicast toàn cầu (global unicast addresses): địa chỉ này tương tự như địa chỉ IPv4
public, có khả năng định tuyến và duy nhất trên phạm vi toàn cầu.
- Địa chỉ unicast kiểu link-local (link-local unicast addresses): địa chỉ này tương tự như địa chỉ
APIPA trong IPv4 (địa chỉ được sinh bởi hệ điều hành). Trong IPv6, hệ thống sẽ tự tạo ra một
địa chỉ kiểu unicast link-local. Tất cả các địa chỉ unicast link-local đều có cùng định danh mạng
(network identifier) gồm 10 bit, cụ thể là 1111 1110 10, tiếp theo là 54 bit 0.
Như vậy địa chỉ mạng sẽ có dạng là,
fe80:0000:0000:0000/64
Viết gọn hơn sẽ là,
fe80::/64
Địa chỉ unicast link-local không được định tuyến, nó chỉ được sử dụng để giao tiếp giữa các
thiết bị trong cùng một đoạn mạng.
- Địa chỉ unicast cục bộ (unique local unicast addresses): địa chỉ này tương tự như địa chỉ IPv4
private. Địa chỉ này được định tuyến trong phạm vi nội bộ của một tổ chức. Bạn có thể thực
hiện chia nhỏ thành các mạng con theo nhu cầu sử dụng.
- Địa chỉ multicast (multicast addresses): địa chỉ này luôn bắt đầu bằng chuỗi nhị phân 1111
1111, hay ff trong hệ 16.
- Địa chỉ anycast (anycast addresses): chức năng của một địa chỉ anycast là xác định các router
trong một phạm vi địa chỉ cho trước, và gửi gói tin tới router gần nhất dựa trên giao thức định
tuyến cục bộ. Hệ thống có thể sử dụng địa chỉ anycast để xác định một nhóm các router trong
mạng, ví dụ các router cho phép kết nối tới Internet. Tất nhiên, các router cũng phải được cấu
hình để làm việc với địa chỉ anycast.
180
Gán địa chỉ IPv6

Mỗi máy tính trong mạng có thể nhận được địa chỉ IPv6 bằng một trong ba cách sau:
- Cấu hình bằng tay (manual allocation): người sử dụng hoặc người quản trị sẽ thiết lập địa chỉ
cho từng giao tiếp mạng bằng tay.
- Tự cấu hình địa chỉ (self-allocation): máy tính tự tạo ra địa chỉ cho chính nó bằng quá trình có
tên gọi Stateless Address Autoconfiguration.
- Lấy từ DHCP (dynamic allocation): máy tính sẽ nhận địa chỉ từ DHCPv6 server trong hệ thống
mạng. Cách lấy địa chỉ này còn có tên gọi khác là Stateful Address Autoconfiguration.
Cấu hình bằng tay
Đối với hệ thống mạng của các tổ chức hoặc doanh nghiệp, việc gán địa chỉ IPv6 bằng tay là không
thực tế. Vì việc gán địa chỉ IP rất mất thời gian, khó kiểm soát. Tuy nhiên, bạn vẫn có thể thực hiện
được. Trong Windows Server 2012 R2, bạn mở cửa sổ Internet Protocol Version 6 (TCP/IPv6)
Properties, và điền các thông tin của IPv6. Xem hình minh họa.
Tự cấu hình địa chỉ

Khi máy tính Windows khởi động, nó sẽ thực thi tiến trình tự cấu hình địa chỉ IPv6, có tên gọi là
Stateless Address Autoconfiguration. Trong quá trình tự cấu hình địa chỉ, Windows sẽ gán cho mỗi
giao tiếp mạng một địa chỉ kiểu unicast link-local. Hệ thống sẽ sử dụng địa chỉ unicast link-local để
giao tiếp với router trong cùng đoạn mạng để thực hiện một số tác vụ. Tiến trình tự cấu hình địa chỉ
181
luôn luôn được thực hiện, kể cả sau đó giao tiếp mạng sẽ nhận một địa chỉ kiểu unicast toàn cầu
(global unicast).
Quá trình tự cấu hình địa chỉ gồm các bước cụ thể sau:
1. Tạo ra địa chỉ unicast link-local: giao thức IPv6 trên máy tính sẽ tạo ra cho mỗi giao tiếp mạng
(từ đây gọi là interface) một địa chỉ thuộc mạng fe80::/64, và một định danh của interface
(interface ID). Định danh của interface được tạo ra ngẫu nhiên hoặc dựa vào MAC của
interface.
2. Kiểm tra tính duy nhất của địa chỉ unicast link-local vừa tạo: máy tính sẽ sử dụng giao thức
IPv6 Neighbor Discovery (ND), để kiểm tra xem trên đoạn mạng có máy tính nào sử dụng cùng
địa chỉ không. ND sẽ gửi gói Neighbor Solication (tìm kiếm hàng xóm), và chờ gói phản hồi
Neighbor Advertisement. Nếu không nhận được gói phản hồi, có nghĩa là địa chỉ vừa tạo là duy
nhất, nếu nhận được gói phản hồi thì hệ thống phải tạo ra địa chỉ mới. Quá trình sẽ được lặp lại
cho tới khi nào địa chỉ được tạo là duy nhất.
3. Khi máy tính đã kiểm tra và chắc chắn địa chỉ unicast link-local là duy nhất, hệ thống sẽ gán
địa chỉ này cho interface. Đối với hệ thống nhỏ, chỉ gồm một đoạn mạng biệt lập thì địa chỉ sẽ
được gán cố định cho interface để thực hiện việc giao tiếp giữa các thiết bị trong mạng. Đối với
các hệ thống gồm nhiều mạng con, việc gán địa chỉ này chủ yếu để giúp máy tính thực hiện
việc giao tiếp với router cục bộ.
4. Yêu cầu gói Router Advertisement: sau khi đã được gán địa chỉ unicast link-local, máy tính sẽ
sử dụng giao thức ND để gửi gói Router Solicitation (tìm kiếm router) tới tất cả các router khả
nhận trong đoạn mạng, bằng địa chỉ multicast. Gói Router Solicitation sẽ yêu cầu các router
(nếu nhận được) gửi cho nó gói Router Advertisement.
5. Nhận gói Router Advertisement: router trong đoạn mạng sẽ sử dụng giao thức ND để gửi gói
Router Advertisement cho máy tính, gói này chứa các thông tin hướng dẫn máy tính thực hiện
quá trình tự động cấu hình địa chỉ. Thông thường, gói Router Advertisement sẽ cung cấp cho
máy tính giá trị của Network Prefix (bit nhận dạng mạng). Máy tính sẽ kết hợp bit nhận dạng
này với interface ID để tạo ra địa chỉ unicast cục bộ hoặc unicast toàn cầu. Gói Router
Advertisement cũng cung cấp các chỉ dẫn để chạy tiến trình Stateful Autoconfiguration (lấy địa
chỉ IPv6 từ DHCPv6) bằng việc liên hệ với DHCPv6 server. Nếu trên đoạn mạng không có
router, nghĩa là máy tính sẽ không nhận được gói Router Advertisement, khi đó, hệ thống sẽ cố
gắng khởi chạy tiến trình Stateful Autoconfiguration (theo http://www.ietf.org/rfc/rfc4862.txt
trang 12). (trong ebook thì viết là “khởi chạy tiến trình Stateless Autoconfiguration?)
6. Cấu hình địa chỉ unicast cục bộ hoặc unicast toàn cầu: máy tính sẽ sử dụng các thông tin nhận
được từ router để tạo ra các địa chỉ. Các địa chỉ này có thể định tuyến ở phạm vi toàn cầu hoặc
phạm vi cục bộ, và gán các địa chỉ này cho các interface. Nếu trong gói Router Advertisement
có chỉ dẫn, máy tính cũng có thể khởi tạo quá trình lấy địa chỉ unicast cục bộ hoặc unicast toàn
cầu cùng một số thông tin cấu hình khác từ DHCPv6 server.
DHCPv6
Đối với hệ thống mạng gồm nhiều mạng con, các interface bắt buộc phải có địa chỉ unicast cục bộ hoặc
unicast toàn cầu thể thực hiện giao tiếp giữa các mạng con. Do đó, trong hệ thống, bắt buộc phải có
router để cấp phát network prefix hoặc phải có DHCPv6 server để cấp phát địa chỉ IPv6.
182
Trong Windows Server 2012 R2, role Remote Access có hỗ trợ việc định tuyến và cấp phát network
prefix, role DHCP Server có hỗ trợ việc cấp phát địa chỉ IPv6.
Chia mạng con trong IPv6

Tương tự như trong IPv4, IPv6 cũng có hỗ trợ việc chia nhỏ dải địa chỉ theo cấu trúc phân cấp
(hierarchy). IPv6 không sử dụng subnet mask. Trong quá trình chia mạng con, nó cũng không cần phải
mượn các bit host để làm bit net, vì nó sử dụng trực tiếp các bit thuộc network identifier để tạo ra các
mạng con.
Một địa chỉ IPv6 kiểu unicast toàn cầu (gồm 128 bit) được chia thành ba phần sau:
- Global routing prefix: gồm 48 bit, được quản lý bởi RIR, là thông tin liên quan đến việc định
tuyến toàn cầu, luôn bắt đầu bằng các bit 001 (hay còn gọi là FP: Format Prefix).
- Subnet ID: gồm 16 bit, các tổ chức sẽ sử dụng các bit này để thực hiện chia mạng con.
- Interface ID: gồm 64 bit, định danh của mỗi interface trong hệ thống.
Khi bạn nhận được một địa chỉ IPv6 từ ISP hoặc RIR, thông thường, bạn sẽ có được giá trị của Global
routing prefix gồm 48 bit, hay /48. Bạn giữ nguyên phần Global routing prefix, chỉ thực hiện chia
mạng trên 16 bit kế tiếp.
Sau đây là một vài tùy chọn liên quan đến việc chia mạng:
- Chia mạng một mức: thiết lập tất cả 16 bit thuộc phần Subnet ID đều mang giá trị 0, kết quả là
tất cả các máy tính trong hệ thống sẽ cùng thuộc một mạng.
- Chia mạng hai mức: thiết lập các trạng thái khác nhau của 16 bit phần Subnet ID, để tạo ra các
mạng con. Một trạng thái (hay mỗi giá trị) của 16 bit phần Subnet ID sẽ tương ứng với một
mạng con. Tổng số mạng con có thể tạo ra là 65 536. Cách chia mạng này giống với cách chia
mạng trong IPv4.
- Chia mạng con nhiều mức: bằng việc chia 16 bit phần Subnet ID thành các nhóm bit khác nhau,
bạn có thể tạo ra các mạng con theo nhiều mức. Ví dụ, khi đó mạng con có thể có dạng:
subnets, sub-subnets, sub-sub-subnets.
Ví dụ về việc chia mạng nhiều mức của một công ty đa quốc gia:
- Mức quốc gia: sử dụng 4 bit đầu tiên của Subnet ID, như vậy, có thể tạo ra 16 mạng con, tương
đương với 14 quốc gia khác nhau. Đây là mức subnets.
- Mức thành phố: sử dụng 6 bit tiếp theo của Subnet ID, như vậy, có thể tạo ra 64 mạng con,
tương đương với 64 thành phố (tỉnh, hoặc khu vực) trong một quốc gia. Đây là mức sub-
subnets.
- Mức chi nhánh (trong một thành phố): sử dụng 2 bit tiếp theo của Subnet ID, như vậy, có thể
tạo ra 2 mạng con, tương đương với 2 chi nhánh trong một thành phố. Đây là mức sub-sub-
subnets.
- Mức phòng ban (trong một chi nhánh): sử dụng 4 bit tiếp theo của Subnet ID, như vậy, có thể
tạo ra 16 mạng con cho các phòng ban trong một chi nhánh. Đây là mức sub-sub-sub-subnets.
Địa chỉ mạng của một phòng ban sẽ là kết hợp giá trị của bốn mức ở trên.
183
Cụ thể, nếu sử dụng giá trị 1 cho Việt Nam, khi đó giá trị các bit ở mức quốc gia trong Subnet ID sẽ là:
0001 - - - - - - - - - - - -
Nếu sử dụng giá trị 49 cho Lâm Đồng, khi đó giá trị các bit ở mức thành phố trong Subnet ID sẽ là:
- - - - 110001 - - - - - -
Với Chi nhánh số 2 tại Lâm Đồng, giá trị các bit ở mức chi nhánh trong Subnet ID sẽ là:
- - - - - - - - - - 10 - - - -
Giả sử phòng Kinh doanh tại Chi nhánh số 2 được gán giá trị 9, khi đó giá trị mức phòng ban trong
Subnet ID sẽ là:
- - - - - - - - - - - - 1001
Cuối cùng, Subnet ID sẽ có giá trị là:
0001110001101001
Đổi sang hệ 16 sẽ là 1c69.
Vì các tổ chức có toàn quyền quản lý 16 bit Subnet ID, nên quản trị viên có thể thay đổi tùy ý số bit
của mỗi mức để đáp ứng nhu cầu thực tế của tổ chức.
Vấn đề chuyển sang IPv6

Nhiều người đã quen làm việc với IPv4 nên rất ngại đổi sang IPv6. Mặc dù những cảnh báo về sự cạn
kiệt IPv4 đã có từ lâu (khoảng những năm 2004). Tuy nhiên, nhờ vào một số giải pháp như NAT,
CIDR, nên hiện nay, IPv4 vẫn được sử dụng bình thường mà chưa phải chuyển qua IPv6.
Tuy nhiên, về lâu dài, việc tiếp cận với IPv6 cũng là một việc tốt, tránh những chuyển đổi đột ngột về
sau.
Hiện nay, hạ tầng mạng, cũng như hạ tầng Internet đang chủ yếu sử dụng các công nghệ chạy trên nền
IPv4. Nếu chuyển qua IPv6 sẽ phải thay đổi rất nhiều các thiết bị, công nghệ cũ, điều này sẽ dẫn tới chi
phí khổng lồ. Vì vậy, việc chuyển qua sử dụng IPv6 cần một lộ trình lâu dài, bằng cách thay thế từ từ,
thay thế từng bước các thiết bị, cũng như các giải pháp công nghệ.
Trong giai đoạn chuyển đổi từ IPv6 sang IPv4 sẽ có hai tình huống phát sinh. Một là, các hệ thống
mạng của doanh nghiệp đã chuyển sang IPv6, trong khi Internet vẫn đang sử dụng IPv4. Hai là, nếu đa
số mọi người đã chuyển qua sử dụng IPv6, trong khi doanh nghiệp vẫn còn sử dụng IPv4. Trong cả hai
tình huống này, doanh nghiệp đều cần phải có giải pháp để giải quyết việc tương thích giữa IPv4 và
IPv6.
Sử dụng cùng lúc hai loại địa chỉ IP (dual IP stack)
Giải pháp đơn giản nhất để giải quyết việc tương thích giữa IPv6 và IPv4 trong thời điểm giao thời là
sử dụng cùng lúc cả hai loại địa chỉ này. Điều này đã được thực hiện trên các phiên bản của Windows,
bắt đầu từ Windows Server 2008 và Windows Vista. Để kiểm tra xem hệ điều hành có hỗ trợ IPv6 hay
chưa, bạn gõ lệnh ipconfig /all. Nếu có hỗ trợ, bạn sẽ thấy thông tin về địa chỉ IPv6.
Việc cấu hình IPv4 và IPv6 được thực hiện riêng biệt, nên không ảnh hưởng gì đến hoạt động của
nhau. Windows sẽ có khả năng làm việc cùng lúc với các thiết bị ở cả hai loại địa chỉ IPv4 và IPv6.
Tunneling (chạy ngầm)
184
Đây là giải pháp chạy ngầm IPv6 trên nền IPv4. Giải pháp này đã được hỗ trợ trên feature
DirectAccess của Windows Server 2012 R2 và Windows 8.1.
Trong giải pháp này, tại máy gửi, gói IPv6 sẽ được bọc bên trong một gói IPv4. Sau đó, máy gửi sẽ
thực hiện gửi gói IPv4 này tới máy đích. Xem hình minh họa (hình trong tài liệu gốc có thể bị nhầm
chỗ IPv6 Header and Payload, họ viết là IPv4 Header and Payload?).
IPv6
IPv6 Header Extension IPv6 Payload
Headers
IPv4 Header IPv6 Header and Payload
Giải pháp này có thể triển khai được trên rất nhiều loại kết nối, ví dụ: router-tới-router, host-tới-host,
router-tới-host, host-tới-router. Tuy nhiên, nó được sử dụng nhiều nhất trên kết nối router-tới-router.
Ví dụ, hai văn phòng chi nhánh đều sử dụng IPv6, chúng kết nối với nhau dựa trên hạ tầng Internet,
nhưng hạ tầng Internet đang sử dụng IPv4. Xem hình minh họa.
Ở sơ đồ mạng trên, các máy tính ở hai văn phòng chi nhánh đều sử dụng IPv6. Hai router làm việc
được với cả IPv4 và IPv6. Tuy nhiên, hạ tầng kết nối giữa hai văn phòng chi nhánh chỉ làm việc được
với IPv4. Với việc sử dụng giải pháp tunneling trên hai router, các máy tính ở hai văn phòng chi nhánh
có thể sử dụng IPv6 để truyền dữ liệu cho nhau một cách bình thường mà không phải quan tâm tới hạ
tầng mạng bên dưới. Hai router sẽ có nhiệm vụ bọc gói IPv6 trong gói IPv4 để truyền gói tin giữa hai
văn phòng.
Cấu hình tunnel thủ công
Bạn có thể tạo thủ công một tunnel (đường hầm) để truyền gói tin IPv6 trên nền IPv4. Mỗi máy tính
chạy hệ điều hành Windows Server 2012 R2 hoặc Windows 8.1 có thể xem như là một đầu của tunnel.
Sử dụng lệnh sau để thiết lập tunnel:
Netsh interface ipv6 add v6v4tunnel “interface” localaddress remoteaddress
185
Trong đó, “interface” là tên của tunnel, localaddress và remoteaddress là địa chỉ IPv4 của hai đầu
tunnel.
Ví dụ cụ thể:
Netsh interface ipv6 add v6v4tunnel “DuongHam” 206.73.118.19 157.54.206.43
Cấu hình tunnel tự động
Sau đây là một số giải pháp đã được Windows hỗ trợ, để tự động tạo tunnel trên hạ tầng IPv4. Đây là
những giải pháp để giải quyết vấn đề tương thích trong thời kì chuyển từ IPv4 sang IPv6. Các giải
pháp đều có cơ chế lồng địa chỉ IPv4 vào trong địa chỉ IPv6.
- 6TO4
Công nghệ 6TO4 gồm hai giải pháp quan trọng, một là lồng địa chỉ IPv4 vào trong địa chỉ IPv6, hai là
bọc các gói tin IPv6 bằng các gói tin IPv4.
- ISATAP
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol): là giao thức được các hệ điều hành máy
trạm của Windows sử dụng. Giải pháp này giả lập kết nối IPv6 trên hạ tầng IPv4.
ISATAP cũng có cơ chế chuyển địa IPv4 thành IPv6, nhưng sử dụng phương pháp khác so với 6TO4.
ISATAP không hỗ trợ multicasting.
- TEREDO
Trong giải pháp thiết lập đường hầm 6TO4, hai đầu của đường hầm phải sử dụng địa chỉ IPv4 public.
Tuy nhiên, trong nhiều hệ thống mạng, máy tính đóng vai trò là đầu đường hầm lại sử dụng địa chỉ
IPv4 private và hoạt động phía sau của NAT router. Do vậy, không thể thiết lập đường hầm trong
trường hợp này.
Teredo là một giải pháp để khắc phục hạn chế ở trên, nó cho phép một thiết bị hoạt động phía sau của
NAT router (lưu ý: NAT router này không hỗ trợ IPv6) có thể đóng vai trò là một đầu của đường hầm.
Teredo sẽ đóng gói IPv6 vào trong một gói UDP. Khác với 6TO4 đóng gói IPv6 vào trong gói IPv4.
Máy tính đóng vai trò là một đầu của đường hầm sẽ là Teredo client, nó cần phải giao tiếp với Teredo
server để thực hiện chức năng của đầu đường hầm.

- Địa chỉ IPv4 có độ dài 32 bit, được viết dưới dạng bốn số thập phân, mỗi số có giá trị từ 0 tới
255, mỗi số thập phân được ngăn cách nhau bởi dấu chấm (.). Ví dụ: 192.168.43.100. Mỗi số
thập phân được gọi là một octet hay một byte.
- Theo chuẩn ban đầu, địa chỉ IPv4 được chia thành ba lớp để gán cho các thiết bị. Có nhiều dải
địa chỉ khác nhau để gán cho các hệ thống mạng. Dựa vào subnet mask để xác định: bao nhiêu
bit trong một địa chỉ IPv4 là bit host, bao nhiêu bit là bit net.
- Để tránh sự lãng phí trong việc sử dụng địa chỉ IPv4 có phân lớp, người ta đã đưa ra một số giải
pháp để chia mạng con, gồm: VLSM và CIDR.
- Với hệ thống có hỗ trợ IPv6, khi Windows khởi động, nó sẽ chạy tiến trình IPv6 Stateless
Address Autoconfiguration để gán địa chỉ unicast kiểu link-local cho mỗi interface.
186
- Trong giai đoạn chuyển đổi từ IPv4 sang IPv6, giải pháp đơn giản nhất để giải quyết vấn đề
tương thích là sử dụng song song cả hai loại địa chỉ trên cùng hệ thống. Giải pháp này đang
được Windows sử dụng.
- Giải pháp chính trong việc truyền các gói tin IPv6 trên nền IPv4 là tạo đường hầm. Trong giải
pháp này, gói IPv6 sẽ được bọc trong gói IPv4.

1. Trong việc truyền các gói tin IPv6 trên nền IPv4, giải pháp nào sau đây được sử dụng phổ biến?
A. Subnetting.
B. Tunneling.
C. Supernetting.
D. Contracting.
2. Loại địa chỉ IPv6 nào sau đây tương đương với IPv4 private?
A. Link-local unicast.
B. Global unique unicast.
C. Unique local unicast.
D. Anycast.
3. Giải pháp tạo đường hầm tự động nào sau đây được hệ điều hành Windows sử dụng, trong
trường hợp máy tính nằm sau NAT router?
A. Teredo
B. 6TO4
C. ASATAP
D. APIPA
4. Một hệ thống muốn được nhận ra trên Internet, thì nó phải sử dụng loại địa chỉ IP nào?
A. Registered (được đăng kí).
B. Binary.
C. Class B.
D. Subnetted.
5. Cho địa chỉ mạng là 172.16.32.0/19, vậy subnet mask sẽ là?
A. 255.224.0.0
B. 255.240.0.0
C. 255.255.224.0
D. 255.255.240.0
E. 255.255.255.240
187
4.2. DHCP
Một số khái niệm về DHCP
DHCP (Dynamic Host Configuration Protocol) là dịch vụ tự động cấp địa chỉ IP và một số thông tin
cấu hình TCP/IP cho máy tính trong mạng, đồng thời nó cũng có trách nhiệm thu hồi lại các thông tin
đã cấp khi hết hạn.
Scope là kho địa chỉ sẽ được cấp cho các máy trong mạng.
Cấu hình địa chỉ IP bằng tay thường mất thời gian, hay gây ra lỗi do nhập sai, do gán trùng địa chỉ IP,
khó kiểm soát các địa chỉ IP đã gán. DHCP sẽ giúp khắc phục các hạn chế này.
DHCP gồm ba thành phần:
- DHCP server5: tiếp nhận và đáp ứng các yêu cầu liên quan đến cấu hình TCP/IP từ các máy
client.
- DHCP client: gửi yêu cầu tới DHCP server, nhận các thông tin cấu hình TCP/IP và thiết lập
cho máy client.
- Thành phần giao tiếp (DHCP communication protocol): quy định cách thức và quy trình giao
tiếp giữa client và server.
Tất cả các hệ điều hành Windows đều có sẵn thành phần DHCP client. Tất cả các hệ điều hành máy
chủ Windows đều có sẵn thành phần DHCP server.
DHCP cung cấp ba hình thức cấp địa chỉ IP cho client:
- Cấp động (Dynamic allocation): DHCP server cấp cho client một địa chỉ IP trong kho địa chỉ
của nó, client được phép sử dụng địa chỉ này trong một khoảng thời gian nhất định. Sau khi hết
thời gian sử dụng, client phải báo lại cho DHCP server để gia hạn thêm thời gian sử dụng. Nếu
client không tiếp tục gia hạn, địa chỉ IP đó sẽ được DHCP server thu hồi để cấp cho máy tính
khác.
- Cấp ổn định (Automatic allocation): DHCP server sẽ cấp ổn định một địa chỉ IP nào đó trong
kho cho máy client. Nếu client muốn đổi địa chỉ IP khác, bạn phải thực hiện cấu hình lại. Kiểu
cấp này giống với kiểu cấp động, tuy nhiên, tại DHCP server có duy trì một bảng lưu lại các địa
chỉ IP đã được cấp trước đó, khi client yêu cầu cấp địa chỉ IP, DHCP server sẽ ưu tiên cấp cho
client địa chỉ mà trước đó nó đã dùng.
- Dành riêng (Manula allocation): DHCP server sẽ cấp cố định một địa chỉ IP cho máy tính, việc
cấp phát được dựa trên địa chỉ MAC của máy client. Trong thuật ngữ của Microsoft DHCP,
hình thức này được gọi là reservations (đặt trước).
Ngoài địa chỉ IP, DHCP server còn cấp cho máy client các thông tin sau: subnet mask, default
gateway, địa chỉ của DNS server, và nhiều thông tin khác (tổng cộng khoảng hơn 50 thông tin cấu
hình).
5
Ebook đang tham khảo ghi là: DHCP service
188
DHCP sử dụng tám loại gói tin trong quá trình hoạt động. Các gói tin đều có định dạng giống nhau.
DHCP truyền gói tin dựa trên UDP/IP, truyền trên cổng 67 tại máy server và trên cổng 68 tại máy
client.
Gói tin DHCP

Tất cả các gói tin được DHCP sử dụng đều có phần tùy chọn, đây là nơi chứa các thông tin cần thiết để
thực hiện các cấu hình liên quan đến TCP/IP.
Trường Message Type cho biết chức năng của gói tin DHCP, đây là trường bắt buộc phải có trong các
gói tin DHCP. DHCP sử dụng tám loại gói tin sau:
- DHCPDISCOVER: máy client sử dụng để yêu cầu các thông tin cấu hình TCP/IP từ máy
server.
- DHCPOFFER: máy server sử dụng để gửi địa IP đề nghị cho máy client.
- DHCPREQUEST: máy client sử dụng để thông báo chấp nhận hoặc gia hạn sử dụng một địa
chỉ IP.
- DHCPDECLINE: máy client sử dụng để từ chối một địa chỉ IP do server đề nghị.
- DHCPACK: máy server sử dụng để gửi cho client, sau khi client chấp nhận sử dụng địa chỉ IP.
- DHCPNAK: máy server sử dụng để từ chối việc sử dụng địa chỉ IP của client.
- DHCPRELEASE: máy client sử dụng để thông báo, thôi không sử dụng địa chỉ IP nữa.
- DHCPINFORM: máy client sử dụng để lấy thêm các thông tin cấu hình TCP/IP từ server.
Các thông tin mở rộng của BOOTP
BOOTP(Bootstrap Protocol): là giao thức giúp máy client tự động lấy địa chỉ IP khi khởi động. Phần
mở rộng này bao gồm rất nhiều các thông tin cấu hình cho máy client. Cụ thể gồm:
- Subnet Mask: mặt nạ mạng con đi kèm với địa chỉ IP, giúp hệ thống xác định số bit host và số
bit net trong địa chỉ IP, từ đó biết được địa chỉ mạng của máy client.
- Router: địa chỉ IP của default gateway.
- Domain Name Server: địa chỉ IP của máy DNS server.
- Host Name: cho biết tên dạng DNS của máy client.
- Domain Name: cho biết tên miền của máy client.
Các thông tin mở rộng khác của gói DHCP
Đây là các thông tin được sử dụng trong quá trình gia hạn địa chỉ giữa client và server.
- Requested IP Address: máy client sử dụng để gia hạn một địa chỉ IP.
- IP Address Lease Time: xác định khoảng thời gian gia hạn.
- Server Identifier: địa chỉ IP của máy DHCP server.
- Parameter Request List: các thông tin máy client muốn DHCP server cung cấp thêm.
- Message: nội dung thông báo lỗi được server gửi tới client, đi kèm với gói DHCPNAK.
189
- Renewal (T1) time value: khi hết khoảng thời gian này, client phải thực hiện gia hạn sử dụng
địa chỉ IP.
- Rebinding (T2) time value: hết khoảng thời gian này, client phải hoàn thành việc gia hạn sử
dụng địa chỉ IP. Nếu client không thể gia hạn được với DHCP server cũ, nó sẽ thực hiện gửi
broadcast tới toàn mạng để hoàn thành việc gia hạn sử dụng một địa chỉ IP.
Hoạt động của DHCP

Hiểu được hoạt động của DHCP sẽ giúp bạn thực hiện triển khai hệ thống cấp phát địa chỉ IP hiệu quả.
Trong các máy Windows, khi đánh dấu chọn vào mục Obtain An IP Address Automatically trong phần
TCP/IPv4 hoặc Obtain An IPv6 Address Automatically trong phần TCP/IPv6 của cạc mạng là bạn đã
kích hoạt DHCP client.
Quá trình hoạt động của DHCP luôn được khởi phát từ máy client. Xem lưu đồ dưới đây:
190
Client broadcast gói

Server nhận gói broadcast
DHCPDISCOVER
Server có sẵn Không Gói tin bị hủy

địa chỉ IP? Phiên làm việc thất bại
Có
Server gửi gói Client nhận
DHCPOFFER địa chỉ IP?
Có
Server kiểm tra
Client broadcast gói
IP có ai dùng
DHCPREQUEST
chưa?
Chưa
IP có qua được
Server gửi gói
quá trình kiểm
DHCPACK
tra bằng ARP?
Có
Không
Địa chỉ bị từ chối/ Client gửi gói Có
Phiên làm việc thất bại DHCPDECLINE
Server gửi gói DHCPNAK/ Địa chỉ được gán cho client/
Phiên làm việc thất bại Phiên làm việc thành công
1. Với máy tính đã được bật chức năng DHCP client, khi khởi động, nó sẽ tạo ra gói
DHCPDISCOVER, gửi broadcast ra toàn mạng để yêu cầu máy DHCP server cấp địa chỉ IP
cho nó.
2. Khi các máy DHCP server nhận được gói DHCPDISCOVER, nó sẽ tạo ra gói DHCPOFFER,
gói này chứa địa chỉ IP và các thông tin cấu hình khác, server gửi gói DHCPOFFER tới máy
client.
3. Client sẽ chấp nhận một trong các địa chỉ IP do các server đề nghị. Sau khi chấp nhận, client sẽ
tạo gói DHCPREQUEST, trong gói có chứa địa chỉ IP mà nó chấp nhận, gửi broadcast gói
DHCPREQUEST ra toàn mạng.
191
4. Với server có địa chỉ IP được client chấp nhận, khi nhận được gói DHCPREQUEST, nó sẽ ghi
lại địa chỉ IP và các thông tin đã được cấp phát vào cơ sở dữ liệu của nó.
5. Sau đó, server sẽ gửi lại gói DHCPACK cho client xác nhận quá trình cấp địa chỉ IP đã hoàn
thành. Nếu không thể hoàn thành quá trình cấp IP cho client, server sẽ gửi gói DHCPNAK tới
client và quá trình tự động lấy địa chỉ IP của client được bắt đầu lại từ đầu.
6. Cuối cùng, client sẽ kiểm tra tính duy nhất của địa chỉ IP nó vừa nhận được, nó thực hiện bằng
cách sử dụng ARP để broadcast ra toàn mạng. Nếu không có phản hồi, nghĩa là IP nó nhận là
hợp lệ, quá trình lấy địa chỉ IP đã hoàn thành. Nếu nhận được phản hồi, client sẽ hủy địa chỉ IP
vừa nhận, đồng thời gửi lại gói DHCPDECLINE cho server. Client sẽ khởi động lại quá trình
lấy địa chỉ IP.
Gia hạn sử dụng địa chỉ IP

Ở chế độ mặc định, dịch vụ DHCP server trên Windows Server 2012 R2 sử dụng chế độ “cấp động”
địa chỉ IP cho các client. Thời gian client được phép sử dụng địa chỉ IP là tám ngày. Khi client sử dụng
địa chỉ IP được một khoảng thời gian đã được định trước, nó sẽ liên lạc với DHCP server để gia hạn sử
dụng tiếp địa chỉ IP. Quá trình gia hạn sử dụng địa chỉ IP gồm các bước được mô tả trong sơ đồ sau:
192
Client chạm mốc thời gian T1/

Khởi phát quá trình gia hạn
Server cũ còn Client gửi gói DHCPREQUEST tới

tồn tại? server cũ (gửi unicast)
Còn
Server có thể Có Server gửi gói DHCPACK/

Không gia hạn? Việc gia hạn thành công
Không
Server gửi gói DHCPNAK/
IP sẽ bị thu hồi Client chạm mốc thời gian T2/
Khởi phát quá trình gia hạn với
IP sẽ hết hạn sử dụng/ Việc gia server khác (rebinding)
hạn thất bại
Không
Client gửi gói DHCPREQUEST

Có server trả
tới mọi server (gửi broadcast)
lời?
Có
Ghi chú:
Địa chỉ IP được gia hạn/ Việc Server cũ, hay binding
gia hạn thành công server: là server đã cấp
IP cho client
1. Khi máy client sử dụng địa chỉ IP được 50% thời gian cho phép (mốc thời gian này còn được
gọi là thời điểm gia hạn, hay mốc thời gian T1), máy client sẽ tạo ra gói DHCPREQUEST, gửi
unicast tới máy DHCP server đã cấp IP cho nó trước đây.
2. Nếu tới thời điểm 87,5% thời gian sử dụng địa chỉ IP (mốc thời gian này còn được gọi là thời
điểm gia hạn với server bất kì, hay mốc thời gian T2), mà client không nhận được trả lời từ
DHCP server cũ, nó sẽ gửi broadcast gói DHCPREQUEST để xin gia hạn sử dụng địa chỉ IP
với DHCP server bất kì trong mạng.
3. Nếu server nhận được gói DHCPREQUEST từ client, nó sẽ: hoặc là gửi lại gói DHCPACK để
đồng ý việc gia hạn, hoặc gửi gói DHCPNAK để từ chối việc gia hạn.
193
4. Khi hết hạn sử dụng địa chỉ IP, nếu client không nhận được trả lời cho gói DHCPREQUEST,
hoặc nhận được gói DHCPNAK, thì client sẽ không có địa chỉ IP. Khi đó, mọi giao tiếp mạng
sẽ ngừng lại, ngoại trừ việc gửi broadcast gói tin DHCPDISCOVER.
Cài đặt DHCP server

DHCP server là thành phần hoạt động độc lập, do vậy, một máy tính muốn trở thành DHCP server thì
bạn phải cài đặt gói dịch vụ DHCP và tạo các kho địa chỉ (scope) trên nó.
Trong Windows Server 2012, thành phần DHCP server là một role. Vì vậy, để cài đặt DHCP server,
bạn mở Server Manager, vào mục Manage, chạy Add Roles And Features Wizard.
Nếu bạn cài đặt role DHCP server trên máy tính đã là thành viên của domain (ADDS), DHCP server sẽ
được cấp phép (authorize) tự động, khi đó, nó có thể cấp địa chỉ IP cho các máy tính là thành viên
trong domain.
Nếu bạn cài đặt role DHCP server trên máy tính chưa là thành viên của domain, thì sau khi cài DHCP
server, bạn sẽ phải gia nhập máy tính vào domain. Bạn cũng phải thực hiện cấp phép cho DHCP server
bằng tay. Để cấp phép cho DHCP server, bạn mở DHCP, bấm chuột phải vào nút gốc, chọn Authorize.
Sau khi đã cài đặt DHCP server, bạn phải thực hiện tạo kho địa chỉ IP (scope) để cấp cho các máy
client.
Tạo kho địa chỉ (scope)

Kho địa chỉ là một dải địa chỉ IP mà DHCP server sẽ cấp cho các máy client trong mạng. Với các
phiên bản trước Windows Server 2012, bạn có thể tạo scope trong khi cài đặt DHCP server. Tuy nhiên,
trong Windows Server 2012 và Windows Server 2012 R2, bạn sẽ tạo scope sau khi đã cài đặt DHCP
server.
Các bước để tạo scope:
1. Mở Server Manager, chọn Tools, chọn DHCP để mở cửa sổ DHCP.
2. Ở khung cửa sổ bên trái, xổ nút gốc, và nút IPv4.
3. Bấm chuột phải vào nút IPv4, chọn New Scope để mở trang New Scope Wizard.
4. Bấm Next, để mở trang Scope Name.
5. Nhập tên cho scope vào mục Name, bấm Next để mở trang IP Address Range (như hình bên
dưới).
194
6. Nhập địa chỉ bắt đầu của dải IP vào mục Start IP Address (ví dụ: 192.168.100.5). Nhập địa chỉ
kết thúc của dải IP vào mục End IP Address (ví dụ: 192.168.100.253).
7. Nhập giá trị subnet mask của mạng vào mục Subnet Mask (ví dụ: 255.255.255.0). Bấm Next để
mở trang Add Exclusion And Delay.
8. Exclusion: là các địa chỉ trong scope, nhưng không được cấp cho các client. Nhập địa chỉ bắt
đầu và kết thúc của dải địa chỉ Exclusion vào Start IP Address và End IP Address tương ứng.
Nếu dải địa chỉ Exclusion chỉ có một địa chỉ, thì nhập vào mục Start IP Address. Bấm nút Add
để đưa vào danh sách. Bấm nút Next để mở trang Lease Duration.
9. Nhập khoảng thời gian client được phép sử dụng địa chỉ IP. Bấm Next để mở trang
Configuration DHCP Options.
10. Chọn Yes, I Want To Configure These Options Now. Bấm Next để mở trang Router (Default
Gateway). Xem hình minh họa.
195
11. Nhập địa chỉ IP Default Gateway của hệ thống mạng vào mục IP Address, bấm Add. Bấm Next
để mở trang Domain Name And DNS Servers.
12. Nhập tên của DNS server vào mục Server Name, bấm Resolve, địa chỉ IP của DNS server sẽ
được tự động điền vào mục IP Address. Hoặc có thể gõ trực tiếp địa chỉ IP của DNS server vào
mục IP Address. Bấm Add. Bấm Next để mở trang WINS Servers.
13. Bấm Next để mở trang Activate Scope.
14. Chọn Yes, I Want To Activate This Scope Now, bấm Next để mở trang Completing The New
Scope Wizard.
15. Bấm Finish để kết thúc.
16. Đóng cửa sổ DHCP.
Sau khi đã tạo scope, các DHCP client trong mạng có thể lấy địa chỉ IP và các thông tin khác từ DHCP
server. Bạn cũng có thể tạo thêm các scope cho các mạng con khác.
Cấu hình các tùy chọn của DHCP

Trong quá trình tạo kho địa chỉ, New Scope Wizard cho phép bạn thực hiện hầu hết các thiết lập quan
trọng của DHCP. Tuy nhiên, sau khi đã tạo kho địa chỉ, bạn vẫn có thể thực hiện thêm các cấu hình
khác.
DHCP server của Windows hỗ trợ hai mức cấu hình:
- Mức Scope Options: thông tin cấu hình sẽ được gửi tới các DHCP client trong một scope.
- Mức Server Options: thông tin cấu hình sẽ được gửi tới tất cả các DHCP client.
Ví dụ, mục “003 Router” là thông tin về địa chỉ IP của default gateway, mục này nên được cấu hình ở
mức Scope Options, vì địa chỉ IP của default gateway và của DHCP client phải cùng một mạng con.
196
Mục “006 DNS Servers” thường được cấu hình ở mức Server Options, vì DNS server không nhất thiết
phải cùng mạng con với DHCP client, ngoài ra, các hệ thống mạng thường sử dụng DNS server chung
cho tất cả các client.
Các chức năng ở cả hai mức Scope Options và Server Options là tương tự nhau, việc thực hiện cấu
hình về cơ bản cũng giống nhau.
Để thực hiện cấu hình cho mức Scope Options, bấm chuột phải vào nút Scope Options, chọn mục
Configuration Options để mở cửa sổ Scope Options, tại cửa sổ này bạn có thể thực hiện các cấu hình
theo nhu cầu. Xem hình minh họa.
Để thực hiện cấu hình cho Server Options, bấm chuột phải vào nút Server Options, chọn mục
Configuration Options để mở cửa sổ Server Options, việc cấu hình cũng giống như khi thực hiện trên
mức Scope Options.
Đặt trước địa chỉ IP (reservation)

Mặc dù DHCP có thể cấp địa chỉ IP và các thông tin TCP/IP khác cho tất cả các máy trong mạng, tuy
nhiên, trong hệ thống mạng vẫn có những máy tính phải có địa chỉ IP cố định. Trong trường hợp đó,
bạn có thể thực hiện cấu hình bằng tay, hoặc sử dụng DHCP.
Đối với các hệ thống mạng lớn, nếu bạn thực hiện cấu hình địa chỉ IP bằng tay, các quản trị viên khác
có thể không có thông tin về các địa chỉ IP bạn đã cấp, vì vậy, dễ dẫn đến tình trạng tranh chấp địa chỉ
IP. Trong khi đó, việc sử dụng chức năng đặt trước địa chỉ IP giúp các quản trị viên có thể kiểm soát
được tất cả các địa chỉ IP đã cấp, vì thông tin này được lưu trữ và quản lý tập trung trên DHCP server.
DHCP có cơ chế cấp cố định (static) một địa chỉ IP cho các máy tính trong mạng. Trong Windows, cơ
chế này được gọi là reservation (tạm dịch là đặt trước địa chỉ IP).
197
Để đặt trước một địa chỉ IP, bấm chuột phải vào mục Reservations, chọn New Reservation để mở cửa
sổ New Reservation. Xem hình minh họa.
Tại cửa sổ New Reservation, bạn nhập địa chỉ IP cần cấp cho máy tính kèm theo địa chỉ MAC của nó.
Sử dụng PXE
Trong các hệ điều hành Windows luôn có sẵn thành phần DHCP client, thành phần này giúp máy tính
client lấy được địa chỉ IP và các thông tin TCP/IP từ DHCP server. Tuy nhiên, DHCP client chỉ có trên
các máy client đã cài đặt hệ điều hành.
Với các máy client chưa cài đặt hệ điều hành, DHCP có hỗ trợ chức năng PXE, chức năng này cho
phép client có thể lấy được địa chỉ IP và các thông tin TCP/IP khác.
PXE (Preboot eXecution Environment) là một chức năng được tích hợp trên nhiều cạc mạng, nó cho
phép cạc mạng kết nối tới DHCP server để lấy địa chỉ IP và các thông tin TCP/IP khác, khi máy tính
không có hệ điều hành.
Các quản trị viên thường sử dụng chức năng PXE trong quá trình cài đặt tự động hệ điều hành trên các
máy client.
Trong chế độ PXE, ngoài việc cấp địa chỉ IP và thông tin TCP/IP cho client, DHCP server còn cung
cấp cho máy client thông tin về vị trí của tập tin khởi động, máy client sẽ tải tập tin này về để khởi
động máy tính và bắt đầu quá trình cài đặt hệ điều hành.
PXE sử dụng giao thức TFTP (Trivial File Transfer Protocol) để lấy tập tin khởi động từ DHCP server.
Giao thức TFTP là phiên bản rút gọn của giao thức FTP, nó không yêu cầu quá trình chứng thực.
Windows Server 2012 R2 có role WDS (Windows Deployment Services), role này cho phép lưu trữ và
quản lý các tập tin cài đặt của hệ điều hành. Để truy cập tới WDS, cạc mạng PXE phải có thông tin về
198
vị trí của WDS server, thông tin này được cấu hình trong mục tùy chọn “060 PXEClient” tại DHCP
server. Lưu ý: phải cài đặt role WDS và cấu hình WDS thì mới có mục “060 PXEClient” trong DHCP
server.
Khi máy client khởi động, sau khi không thể khởi động từ các ổ đĩa cục bộ, máy client sẽ tự động thực
hiện quá trình khởi động từ mạng. Do vậy, bạn không phải thực hiện bất kì cấu hình nào liên quan đến
PXEClient.
Sau đây là các bước cài đặt hệ điều hành Windows 8.1 qua mạng:
1. Khởi động máy client, do không thể khởi động từ các ổ đĩa cục bộ, máy client sẽ thực hiện quá
trình khởi động qua mạng.
2. Máy client kết nối tới DHCP server, nhận gói DHCPOFFER. Gói DHCPOFFER có chứa địa
chỉ IP, các thông tin TCP/IP khác, cùng với tên của WDS server.
3. Client kết nối tới WDS server, sử dụng TFTP để tải về các tập tin khởi động.
4. Client nạp Windows PE (Windows Preinstallation Environment: một tiện ích hỗ trợ việc cài đặt
hệ điều hành) và WDS client vào RAM disk (đĩa ảo), hiển thị trình đơn khởi động, trong đó có
các tùy chọn cài đặt hệ điều hành do WDS server cung cấp.
5. Người dùng sẽ lựa chọn hệ điều hành để cài đặt, quá trình cài đặt sẽ được thực hiện như khi cài
đặt thông thường.
Cài đặt trạm chuyển tiếp DHCP (DHCP relay agent)

Vì DHCPv4 client tìm kiếm DHCP server bằng cơ chế broadcast, nên nó chỉ có thể tìm thấy các DHCP
server trong cùng mạng con. Tuy nhiên, vẫn có giải pháp để DHCP server có thể cấp địa chỉ IP cho các
client ở nhiều mạng con khác nhau. Để làm được điều này, trên các mạng con không có DHCP server,
cần phải cài đặt trạm chuyển tiếp DHCP.
Rất nhiều router có hỗ trợ sẵn chức năng của một trạm chuyển tiếp DHCP, nếu không có, bạn có thể sử
dụng Windows Server 2012 R2 để làm một trạm chuyển tiếp. Sau đây là các bước thực hiện:
1. Mở Server Manager, chạy Add Roles And Features Wizard, cài đặt role Remote Access, trong
quá trình cài đặt chọn thêm role Routing và DirectAccess and VPN (RAS).
2. Sau khi cài đặt xong, vào Server Manager, chọn mục Tools, chọn Routing and Remote Access
để mở cửa sổ Routing and Remote Access.
3. Bấm chuột phải vào nút SERVER, chọn Configure And Enable Routing And Remote Access
để mở cửa sổ Routing And Remote Access Server Setup Wizard.
4. Bấm Next để mở trang Configure, xem hình minh họa.
199
5. Chọn mục Custom Configuration, bấm Next để mở trang Custom Configuration.

6. Đánh dấu chọn vào mục LAN Routing, bấm Next để mở trang Completing The Routing And
Remote Access Server Setup Wizard.
7. Bấm Finish, xuất hiện cửa sổ thông báo khởi chạy dịch vụ Routing and Remote Access.
8. Bấm Start Service.
9. Mở mục IPv4, bấm chuột phải vào mục General, chọn New Routing Protocol để mở cửa sổ
New Routing Protocol.
10. Chọn DHCP Relay Agent, bấm OK, hệ thống sẽ tạo thêm nút mới có tên DHCP Relay Agent.
11. Bấm chuột phải vào nút DHCP Relay Agent, chọn New Interface để mở cửa sổ New Interface
For DHCP Relay Agent.
12. Chọn cạc mạng thuộc mạng con đang cần cài đặt trạm chuyển tiếp DHCP, bấm OK để mở cửa
sổ DHCP Relay Properties.
13. Để nguyên lựa chọn trong ô Relay DHCP packets. Có thể thay đổi giá trị trong hai mục sau:
- Hop-Count Threshold: xác định số trạm (chuyển tiếp DHCP) tối đa mà một gói tin của
DHCP được phép chuyển qua trước khi bị hủy. Điều này giúp tránh tình trạng các gói tin
DHCP bị chuyển tiếp mãi trên hệ thống mạng. Giá trị mặc định là 4, giá trị lớn nhất là 16.
- Boot Threshold: khoảng thời gian (tính bằng giây) một gói tin DHCP bị giữ lại tại trạm
chuyển tiếp này, trước khi nó được gửi đi. Giá trị mặc định là 4. Thiết lập này cho phép bạn
kiểm soát việc DHCP server nào sẽ cấp IP cho một mạng con cụ thể.
14. Bấm OK.
15. Bấm chuột phải vào nút DHCP Relay Agent, chọn Properties để mở cửa sổ DHCP Relay Agent
Properties. Xem hình minh họa.
200
16. Nhập địa chỉ IP của DHCP server mà bạn muốn chuyển tiếp gói tin DHCP tới nó. Bấm Add.
Lặp lại bước này, nếu bạn muốn nhập thêm các DHCP server khác.
17. Bấm OK.
18. Đóng cửa sổ Routing And Remote Access.

- DHCP là dịch vụ tự động cấp địa chỉ IP và các thông tin TCP/IP khác cho các máy tính trong
mạng. Các địa chỉ cấp cho client được chứa trong một kho, gọi là scope. Khi client không có
nhu cầu sử dụng địa chỉ IP nữa, địa chỉ đó sẽ được thu hồi lại.
- DHCP gồm ba thành phần: DHCP server, DHCP client và giao thức trao đổi thông tin.
- DHCP có ba cách cấp địa chỉ IP: cấp động, cấp ổn định, dành riêng.

1. Thành phần nào sau đây giúp DHCP client có thể giao tiếp với DHCP server thuộc mạng con
khác?
A. Forwarder
B. Resolver
C. Scope
D. Relay agent
201
2. Gói tin nào sau đây không được sử dụng trong quá trình trao đổi để cấp một địa chỉ IP cho
client?
A. DHCPDISCOVER
B. DHCPREQUEST
C. DHCPACK
D. DHCPINFORM
3. Trong các chế độ cấp địa chỉ IP cho client của DHCP Windows Server 2012 R2, thuật ngữ nào
sau đây tương đương với “reservation”?
A. Cấp Dynamic
B. Cấp Automatic
C. Cấp Manual
D. Cấp Hybrid
4. Các thiết bị nào sau đây có thể hoạt động với vai trò giống như một trạm chuyển tiếp DHCP
(DHCP relay agents)?
A. Máy Windows 8.1
B. Routers
C. Switches
D. Máy Windows Server 2012 R2
5. Các thông tin cấu hình TCP/IP nào sau đây thường được cấu hình ở mức scope option trong
DHCP?
A. DNS Server
B. Subnet Mask
C. Thời hạn sử dụng IP
D. Default Gateway
4.3. DNS
DNS (domain name system – hệ thống tên miền) là một thành phần quan trọng trong hoạt động của
Internet cũng như của AD (Active Directory).
Trong hệ thống mạng, mọi giao tiếp TCP/IP đều sử dụng địa chỉ IP. Mỗi một máy tính trong mạng có
ít nhất một cạc mạng, người ta gọi cạc mạng này là một host. Mỗi host có một địa chỉ IP duy nhất
trong mạng. Trong mỗi gói tin trên hệ thống TCP/IP luôn có địa chỉ IP của máy gửi và máy nhận.
Tuy nhiên, khi người dùng truy cập một thư mục chia sẻ trong mạng hoặc truy cập một website trên
Internet, họ thường sử dụng địa chỉ dạng tên (tên máy - host name hoặc tên miền – domain name) hơn
là sử dụng địa chỉ IP. Việc sử dụng địa chỉ dạng tên giúp họ dễ nhớ, dễ dùng.
202
Kiến trúc của DNS

Để sử dụng địa chỉ dạng tên trong quá trình hoạt động, TCP/IP phải có cách thức để chuyển đổi qua lại
giữa tên và địa chỉ IP.
Trong những ngày đầu của hệ thống mạng TCP/IP, người ta sử dụng một danh sách chuyển đổi giữa
tên và địa chỉ IP tại mỗi máy tính, danh sách này được gọi là host table. Ở thời gian này, do số lượng
các máy tính còn ít, kiến trúc của Internet còn đơn giản, nên giải pháp này vẫn có thể chấp nhận được.
Tuy nhiên, hiện nay với hàng triệu máy tính trên hệ thống Internet, việc duy trì và phân tán host table
tới từng máy tính đơn lẻ là không khả thi. Thay vì vậy, người ta sử dụng hệ thống các DNS server để
chuyển đổi từ tên sang địa chỉ IP. Quá trình chuyển đổi này thường được gọi là quá trình phân giải tên.
Về bản chất, hệ thống DNS vẫn hoạt động dựa trên danh sách chuyển đổi giữa tên và địa chỉ IP. Tuy
nhiên, cách thức tạo, lưu trữ, và truy vấn thì khác so với hệ thống ban đầu. Hệ thống DNS gồm ba
thành phần sau:
- DNS namespace (hệ thống tên): hệ thống tên của DNS được tổ chức theo cấu trúc cây (tree).
Mỗi nhánh của cây xác lập một miền (domain). Mỗi miền chứa các bản ghi (resource record):
là thông tin ánh xạ giữa tên và địa chỉ IP, và các thông tin khác. Mục đích của quá trình truy
vấn DNS là tìm kiếm các thông tin chứa trong các bản ghi tại mỗi miền.
- Name server: là máy tính đã được cài đặt dịch vụ DNS server và có chứa các bản ghi thông tin
của miền. Đôi khi, máy này cũng chứa thông tin liên quan đến việc quản lý các nút con trong
miền. Name server có thể trả lời các truy vấn liên quan đến tên miền do nó quản lý, ngoài ra, nó
cũng có khả năng chuyển tiếp các truy vấn tới các name server khác trong trường hợp nó không
thể trả lời được. Nói chung, tất cả các DNS server đều có khả năng trả lời các truy vấn DNS.
- Resolver (DNS client): là chương trình DNS client, chương trình này sẽ tạo truy vấn DNS và
gửi nó tới DNS server. Mỗi DNS client phải được chỉ dẫn để truy cập tới ít nhất một DNS
server. Ngoài ra, trong một số tình huống, DNS client cũng có thể gửi yêu cầu truy vấn tới các
DNS server khác.
Ở chế độ hoạt động đơn giản nhất, DNS client sẽ bắt đầu quá trình phân giải tên bằng việc gửi một yêu
cầu chuyển đổi từ tên sang IP cho DNS server (tạm gọi là DNS server 1). Nếu DNS server 1 không thể
chuyển đổi được, nó sẽ chuyển tiếp yêu cầu tới DNS server khác (tạm gọi là DNS server 2) trên mạng.
DNS server 2 sẽ gửi trả kết quả chuyển đổi cho DNS server 1. Sau đó, DNS server 1 gửi trả lại kết quả
cho DNS client. Xem hình minh họa.
gửi yêu cầu

gửi yêu cầu
gửi kết quả

DNS client gửi kết quả
DNS server 1 DNS server 2
203
Tuy nhiên, thực tế hoạt động của DNS sẽ phức tạp hơn, như các nội dung sẽ được trình bày trong các
phần tiếp theo.
Hoạt động của DNS

Hầu như tất cả các ứng dụng trên Internet đều sử dụng DNS để chuyển đổi địa chỉ dạng tên sang địa
chỉ IP. Để đơn giản, bạn hãy quan sát quá trình duyệt web. Để duyệt web, bạn nhập địa chỉ của website
(URL) vào thanh địa chỉ của trình duyệt (ví dụ: www.google.com), gõ phím Enter, quan sát thanh
trạng thái của trình duyệt sẽ có nội dung thông báo là đang tìm trang web (Finding site…hoặc Looking
up…), sau đó vài giây sẽ có thông báo là đang kết nối tới trang web (Connecting…). Khoảng thời gian
từ lúc bạn gõ phím Enter tới lúc xuất hiện thông báo “đang kết nối…” là khoảng thời gian diễn ra quá
trình chuyển đổi địa chỉ dạng tên sang IP (đổi từ www.google.com sang IP).
Dưới góc nhìn từ phía client, hoạt động của DNS chỉ đơn giản là: ứng dụng trên máy client sử dụng
DNS client gửi địa chỉ dạng tên tới DNS server để yêu cầu chuyển đổi từ tên sang IP, DNS server trả
về cho client địa chỉ IP tương ứng. Khi đã có địa chỉ IP, client sẽ tạo gói tin để gửi các yêu cầu (duyệt
web) tới server.
Để thấy được sự phức tạp của quá trình phân giải địa chỉ, bạn sẽ nhìn hoạt động từ phía DNS server.
Sau đây là các bước của quá trình phân giải địa chỉ:
1. Người dùng trên máy client nhập địa chỉ dạng tên vào ứng dụng, ví dụ, nhập tên của website
vào trình duyệt web. Ứng dụng sẽ sử dụng lời gọi API (application programming interface) để
gọi chương trình DNS client (resolver) trên máy client. Chương trình DNS client tạo một truy
vấn đệ quy - recursive query (yêu cầu chuyển đổi địa chỉ dạng tên sang IP), gửi truy vấn này tới
DNS server. Địa chỉ IP của DNS server đã được thiết lập trong cạc mạng của máy client. Xem
hình minh họa.
DNS client
DNS server
2. Khi nhận được yêu cầu truy vấn, DNS server sẽ kiểm tra các bản ghi của nó xem nó có thể trả
lời hay không. Nếu không (thường là như vậy), DNS server sẽ tạo một truy vấn mới (truy vấn
lặp – iterative query), và gửi truy vấn này tới một trong các name server gốc (root name server).
Name server gốc xem xét tên cần chuyển đổi, tìm trong các bản ghi của nó để xác định tên và
địa chỉ IP của name server mức một (top-level domain) của tên cần chuyển đổi, tạo gói tin và
gửi lại cho DNS server. Xem hình minh họa.
204
2
1
Name server gốc
DNS client
DNS server
3. Tới đây DNS server đã có địa chỉ IP của máy name server mức một. DNS server tạo tiếp một
truy vấn mới (truy vấn lặp), gửi truy vấn tới name server mức một. Name server mức một xem
xét truy vấn, xác định tên và địa chỉ IP của máy name server mức hai (second-level domain)
của tên cần chuyển đổi, tạo gói tin và gửi lại cho DNS server. Xem hình minh họa.
Name server gốc
2
1
DNS client 3
Name server
DNS server mức một
4. Tới đây DNS server đã có địa chỉ IP của máy name server mức hai. DNS server tạo tiếp một
truy vấn mới (truy vấn lặp), gửi truy vấn tới máy name server mức hai. Name server mức hai
xem xét truy vấn, nếu nó có bản ghi của tên cần chuyển đổi, nó sẽ gửi địa chỉ IP tương ứng với
tên cần chuyển đổi cho DNS server. Xem hình minh họa.
205
DNS server Name server gốc
2
1
DNS client 3 Name server

mức một
Name server
mức hai
5. DNS server nhận được gói trả lời của name server mức hai, trong đó có địa chỉ IP của tên miền
cần chuyển đổi. DNS server gửi địa chỉ IP cho DNS client. DNS client chuyển địa chỉ IP cho
chương trình ứng dụng. Từ đây, chương trình ứng dụng bắt đầu thực hiện các giao tiếp mạng
với server (ví dụ: web server) bằng địa chỉ IP. Xem hình minh họa.
DNS server Name server gốc
2
1
5
DNS client 3 Name server
mức một
Name server
mức hai
206
Tùy theo tên cần chuyển đổi, quá trình chuyển đổi có thể đơn giản hoặc phức tạp hơn so với năm bước
ở trên. Ví dụ, nếu DNS server chứa bản ghi của tên cần chuyển đổi, thì DNS server sẽ trả lời luôn cho
DNS client mà không cần truy vấn tới các name server khác. Ngược lại, nếu tên cần chuyển đổi có
mức là ba hoặc nhiều hơn, thì DNS server sẽ cần thực hiện thêm các truy vấn lặp nữa.
Ở đây, chúng ta cũng đã giả định là mọi truy vấn đến các name server (gốc, mức một, mức hai...) đều
thành công. Tuy nhiên, nếu DNS server nhận được bất kì thông báo lỗi nào từ các name server, nó sẽ
chuyển tiếp thông báo lỗi đến cho DNS client, kết quả là người dùng sẽ nhận được thông báo rằng quá
trình chuyển đổi tên bị thất bại.
Cơ chế lưu tạm (caching) trên máy DNS server

Như đã trình bày trong phần Hoạt động của DNS, quá trình phân giải tên khá tốn thời gian và phức tạp.
Tuy nhiên, trong nhiều trường hợp máy DNS server không nhất thiết phải gửi từng truy vấn tới các
name server tại mỗi mức của tên DNS cần phân giải. Lý do là, DNS server có khả năng lưu lại các kết
quả của các lần truy vấn trước đó trong đĩa cứng của nó.
Ví dụ, trong quá trình thực hiện yêu cầu phân giải tên từ DNS client, DNS server sẽ lưu lại địa chỉ IP
của tên cần phân giải, cùng với địa chỉ IP của các name server tại mỗi mức. Lần sau, khi có yêu cầu
phân giải tên tương tự, DNS server sẽ trực tiếp trả lời cho DNS client dựa trên các thông tin đã được
lưu trong đĩa cứng. Ngoài ra, nếu DNS client yêu cầu phân giải một cái tên khác, nhưng cùng trong
một miền mà nó đã yêu cầu trước đây, DNS server sẽ gửi truy vấn trực tiếp tới name server của miền
đó, mà không gửi tới root name server. Như vậy, việc phân giải các tên đã từng được nhiều người yêu
cầu sẽ nhanh hơn một cái tên chưa được yêu cầu phân giải bao giờ.
Cơ chế lưu tạm là một giải pháp quan trọng trong kiến trúc DNS, cơ chế này giúp giảm số lượng các
yêu cầu truy vấn tới các name server mức gốc (root) và mức một (top-level), các name server này vốn
là các “cổ chai” trong hệ thống DNS. Tuy nhiên, thông tin lưu tạm trên các DNS server cũng cần phải
được cập nhật, đây cũng là vấn đề cần xem xét của cơ chế lưu tạm.
Vì mọi DNS server đều có lưu (tạm) các thông tin của DNS trong đĩa cứng của nó, nên khi một name
server có thay đổi thông tin về DNS, thông tin thay đổi phải được cập nhật ở tất cả các DNS server.
Việc cập nhật có thể mất hàng giờ, thậm chí hàng ngày để hoàn thành. Trong thời gian đang cập nhật,
người dùng có thể nhận được các kết quả truy vấn không chính xác.
Nếu người quản trị thiết lập thời gian lưu tạm thông tin trên DNS server dài quá sẽ làm cho quá trình
cập nhật bị chậm. Ngược lại, nếu thời gian lưu tạm quá ngắn sẽ làm cho các name server mức gốc (root
name server) và mức một (top-level domain server) bị quá tải do quá trình cập nhật gây ra.
Khoảng thời gian lưu tạm thông tin DNS trên các DNS server được gọi là thời gian sống của thông tin
(time to live), viết tắt là TTL. Có điều đặc biệt ở đây là, TTL không phải do người quản trị trên DNS
server lưu tạm (DNS server caching) thiết lập, mà nó được thiết lập tại nơi tạo ra các bản ghi thông tin
của DNS (tại name server).
Thông thường, người quản trị sẽ dựa vào mức độ biến động của thông tin DNS tại domain hoặc zone
của mình để thiết lập giá trị TTL. Với các hệ thống có độ biến động thông tin DNS lớn, giá trị TTL
nhỏ sẽ giúp các DNS client nhanh chóng nhận được các thông tin mới nhất. Với các hệ thống ít có sự
thay đổi thông tin DNS, giá trị TTL lớn sẽ giúp giảm áp lực trong việc cập nhật thông tin DNS.
207
Trong Windows Server 2012 R2, để thay đổi giá trị TTL của một zone, bấm chuột phải vào zone, chọn
Properties, chọn táp Start Of Authority (SOA), thay đổi giá trị của TTL trong mục Minimum (default)
TTL. Xem hình minh họa.
Cơ chế lưu tạm (caching) trên máy DNS client (resolver)

Trên máy DNS client cũng có cơ chế lưu tạm thông tin DNS. Các địa chỉ IP đã được phân giải và nội
dung của tập tin HOSTS sẽ được lưu trong ổ đĩa cục bộ. Khi máy client có nhu cầu phân giải tên, hệ
thống sẽ kiểm tra trong ổ đĩa cục bộ trước, sau đó, nếu không có thông tin, hệ thống mới gửi yêu cầu
phân giải tới DNS server.
Truy vấn (query) và tham vấn (referral) trong DNS

Quá trình một DNS server truy vấn một DNS server khác gọi là quá trình tham vấn (referral). Quá
trình này thường xuyên xảy ra trong hoạt động của DNS (tạm sử dụng từ tham vấn, vì chưa tìm được
từ nào thích hợp).
Để ý trong phần Hoạt động của DNS, DNS client đóng vai trò là nơi khởi tạo một truy vấn và nhận về
kết quả của truy vấn. Sau khi nhận được yêu cầu truy vấn, DNS server của client sẽ phải tham vấn tới
một vài DNS server khác trước khi có được kết quả cuối cùng để gửi cho DNS client.
DNS sử dụng hai loại truy vấn:
- Truy vấn đệ quy (recursive query): nếu DNS server nhận được một truy vấn đệ quy, nó sẽ
chịu hoàn toàn trách nhiệm trong việc phân giải tên đó sang IP. Nếu nó có sẵn địa chỉ IP của
tên cần phân giải, nó sẽ trực tiếp trả lời cho máy gửi; nếu không, nó sẽ phải gửi truy vấn đến
các DNS server khác cho tới khi nào có được các thông tin cần thiết. Các DNS client luôn sử
dụng các truy vấn đệ quy.
208
- Truy vấn lặp (iterative query): nếu DNS server nhận được một truy vấn lặp, nó sẽ lập tức trả
lời với thông tin tốt nhất mà nó đang có. Loại truy vấn lặp thường được sử dụng giữa các
DNS server với nhau. Việc cấu hình một DNS server gửi truy vấn đệ quy tới một DNS server
khác chỉ xảy ra khi thực hiện cấu hình server chuyển tiếp (forwarder).
Server chuyển tiếp trong DNS (DNS forwarder)

Server chuyển tiếp (forwarder) là một DNS server, nó có nhiệm vụ nhận và thực hiện các truy vấn đệ
quy từ các DNS server khác.
Trong hệ thống mạng gồm nhiều DNS server cùng hoạt động, người quản trị thường không muốn tất
cả chúng đều trực tiếp gửi truy vấn tới các DNS server khác trên Internet. Vì điều này thường dẫn tới
có nhiều truy vấn bị lặp lại, làm tốn băng thông Internet của hệ thống mạng.
Để khắc phục tình trạng này, Windows Server 2012 R2 cho phép người quản trị thực hiện cấu hình
một DNS server đóng vai trò là server chuyển tiếp (forwarder), nó sẽ thay mặt các DNS server khác
thực hiện tất cả các truy vấn ra ngoài Internet.
Như vậy, mỗi khi DNS server nhận được yêu cầu truy vấn từ DNS client, nếu thông tin nó đang có
không thể trả lời được, nó sẽ chuyển truy vấn đệ quy đó cho forwarder. Forwarder sẽ tham vấn các
DNS server khác trên Internet cho tới khi nào phân giải được tên ra IP. Khi có kết quả, forwarder sẽ
gửi kết quả về DNS server, sau đó, DNS server chuyển kết quả cho DNS client.
Trong Windows Server 2012 R2, để cấu hình chuyển tiếp truy vấn cho forwarder, mở DNS Manager,
bấm chuột phải vào nút SERVER, chọn Properties, chọn táp Forwarders, nhập tên hoặc IP của
forwarder. Xem hình minh họa.
Windows Server 2012 R2 cũng hỗ trợ chuyển tiếp có điều kiện (conditional forwarding), chức năng
này cho phép người quản trị chỉ định forwarder dựa trên tên truy vấn. Cụ thể, khi DNS server nhận
được yêu cầu phân giải từ DNS client, nó sẽ kiểm tra tên cần phân giải với danh sách các forwarder
của nó, nếu tên cần phân giải có xuất hiện trong danh sách thì việc chuyển tiếp mới được thực hiện. Sử
209
dụng chức năng này giúp các tổ chức có nhiều miền nội bộ có thể truy vấn trực tiếp các DNS server
nội bộ, chứ không phải truy vấn các DNS server trên Internet.
Phân giải ngược (reverse name solution)

Các phần trên đã trình bày quá trình phân giải từ địa chỉ dạng tên sang địa chỉ IP (thường được gọi là
quá trình phân giải xuôi). Tuy nhiên, trong một số trường hợp, hệ thống cũng cần thực hiện việc phân
giải từ địa chỉ IP sang tên, quá trình này gọi là phân giải ngược.
Hệ thống tên của DNS được tổ chức phân cấp dựa theo tên, do đó, từ một địa chỉ IP cho trước, để tìm
được tên tương ứng, hệ thống chỉ còn cách là thực hiện tham vấn tới từng name server trong hệ thống.
Điều này là không thực tế.
Để giải quyết vấn đề trên, các nhà phát triển DNS đã tạo ra một miền đặc biệt có tên là in-addr.arpa.
Miền này được sử dụng trong việc phân giải ngược của hệ thống DNS.
Dưới miền mức hai (second-level) in-addr.arpa, còn có thêm bốn mức (miền) con nữa. Tại mỗi mức
con có chứa 256 miền (con), được đặt tên theo các số từ 0 tới 255. Ví dụ, miền in-addr.arpa có 256
miền mức ba (third-level domain), chúng có tên từ 0.in-addr.arpa tới 255.in-addr.arpa; mỗi miền mức
ba lại có 256 miền mức bốn (fourth-level domain); mỗi miền mức bốn lại có 256 miền mức năm (fifth-
level domain); mỗi miền mức năm có 256 nút (host), được đặt tên từ 0 tới 255. Xem hình minh họa.
210
Vì được tổ chức theo cấu trúc phân cấp, nên ba byte đầu tiên của một địa chỉ IP có thể được biểu diễn
giống như một tên miền, byte thứ tư của địa chỉ IP sẽ được lưu trong bản ghi tại miền con mức năm. Ví
dụ, để phân giải địa chỉ IP 192.168.89.34 sang dạng tên, DNS server cần xác định vị trí của name
server chứa tên miền 89.168.192.in-addr.arpa như cách thức thực hiện trong phân giải xuôi, sau đó, tìm
bản ghi có tên 34 trong miền 89.168.192.in-addr.arpa.
Triển khai DNS server

Trong Windows Server 2012 R2, để triển khai một DNS server, mở Server Manager, sử dụng Add
Roles And Features Wizard để cài đặt role DNS Server.
Sau khi cài đặt role DNS Server, máy tính đã có thể thực hiện phân giải tên dựa trên thông tin được lưu
tạm (caching) trên nó, và có tiện ích DNS Manager để cài đặt các thành phần của DNS.
211
Tạo zone
Zone là một thực thể, được tạo trong DNS server. Zone đại diện cho một phần không gian tên của
DNS. Người quản trị thường tách không gian tên của DNS thành từng phần, chứa trong các zone. Zone
được lưu trong các server khác nhau, và có thể ủy quyền quản trị cho các thành viên khác.
Zone có thể chứa toàn bộ một miền (domain) cùng với các miền con (subdomain). Zone cũng có thể
chỉ chứa các miền con, với điều kiện là các miền con phải có quan hệ cha con (contiguous) với nhau.
Ví dụ, bạn có thể tạo một zone chứa miền cha và các miền con của nó, tuy nhiên, bạn không thể tạo
zone chỉ chứa hai miền con (mặc dù chúng có cùng miền cha). Xem hình minh họa.
congty.com
dalat.congty.com saigon.congty.com
Zone hợp lệ
congty.com
dalat.congty.com saigon.congty.com
Zone không hợp lệ
Bạn có thể chia không gian tên của DNS thành nhiều zone, để các zone này trên một DNS server, tuy
nhiên, cách làm này không tối ưu. Khi triển khai, người quản trị thường tạo các zone trên một server,
sau đó ủy quyền quản lý các zone này cho các server khác. DNS server trong Windows Server 2012
R2 có thể hỗ trợ tới 200000 zone.
Mỗi zone có chứa cơ sở dữ liệu của nó, cơ sở dữ liệu này chứa các bản ghi thông tin của các miền nằm
trong zone. DNS server trong Windows Server 2012 R2 hỗ trợ ba loại zone: primary zone, secondary
zone và stub zone.
- Primary zone: chứa cơ sở dữ liệu gốc (master) của zone. Tại đây, người quản trị có thể thực
hiện mọi thay đổi liên quan đến các bản ghi thông tin của zone. Nếu zone không được lưu
trong Active Directory, server sẽ tạo một tập tin chứa cơ sở dữ liệu của zone và lưu trên ổ đĩa
cục bộ. Đây là một tập tin dạng văn bản, nó tương thích với hầu hết các hệ thống DNS server
khác (không phải của Microsoft Windows).
212
- Secondary zone: là bản sao của primary zone trên một server khác. Secondary zone chứa cơ
sở dữ liệu dự phòng của primary zone. Bạn chỉ có thể cập nhật cơ sở dữ liệu trong secondary
zone bằng cách nhân bản (replicate) nội dung của primary zone, quá trình này có tên gọi là
zone transfer (di chuyển zone).
- Stub zone: là bản sao của primary zone, tuy nhiên, stub zone chỉ chứa một số loại bản ghi
quan trọng (NS, SOA, A) của các name server trong zone. Khi nhận được một yêu cầu phân
giải tên, stub zone có thể chuyển tiếp (forward) yêu cầu cho DNS server khác hoặc trả lời sau
khi tham vấn (refer) DNS server khác.
Vì DNS ra đời trước AD, nên hiện nay, hầu hết các cở sở dữ liệu của zone đang tồn tại dưới dạng các
tập tin văn bản (text-based). Đa số DNS server trên Internet đang được triển khai bằng phần mềm
BIND của UNIX.
Tuy nhiên, đối với các DNS server có thể tích hợp được với miền của AD, bạn có thể sử dụng
Windows DNS server để tạo primary zone. Khi đó, cơ sở dữ liệu của zone sẽ được lưu trong cơ sở dữ
liệu của AD. Bạn cũng không phải tạo secondary zone, không phải thực hiện zone transfer, hệ thống
AD sẽ thực hiện các công việc này. Các giải pháp dự phòng để bảo vệ AD cũng đồng thời bảo vệ dữ
liệu của DNS.
Tạo zone tích hợp trong AD

Trên server đang đóng vai trò là một domain controller, sử dụng New Zone Wizard để tạo một zone.
Cơ sở dữ liệu của zone sẽ được lưu trong cơ sở dữ liệu của AD, điều này giúp việc quản trị dễ dàng
hơn, tiết kiệm băng thông mạng, và tăng tính bảo mật.
Dữ liệu của zone sẽ được nhân bản qua các domain controller khác cùng với quá trình nhân bản dữ liệu
của AD. Khi có sự thay đổi nội dung bản ghi DNS trên một domain controller, thay đổi đó sẽ được cập
nhật trên các domain controller còn lại. Bạn có thể chỉ định domain controller nào được phép cập nhật
thông tin của DNS.
Để tiết kiệm băng thông mạng, AD chỉ thực hiện nhân bản các dữ liệu DNS mới so với lần nhân bản
trước đó, đồng thời nó cũng thực hiện nén dữ liệu trước khi gửi đi trên mạng. Để tăng tính bảo mật,
trong quá trình nhân bản, dữ liệu của DNS sẽ được mã hóa và chứng thực.
Sau đây là các bước để tạo một zone tích hợp trong AD:
1. Mở Server Manager của máy domain controller (máy tính phải được nâng cấp lên domain
controller), vào trình đơn Tools, chọn DNS để mở cửa sổ DNS Manager.
2. Xổ nút DNS server, chọn Forward Lookup Zones.
3. Bấm chuột phải vào Forward Lookup Zones, chọn New Zone để chạy New Zone Wizard.
4. Bấm Next để chuyển qua trang Zone Type.
213
5. Để nguyên lựa chọn mục Primary Zone và Store The Zone In Active Directory (Available Only If
DNS Server Is A Domain Controller), bấm Next để mở trang The Active Directory Zone
Replication Scope.
6. Để các thiết lập ở trạng thái mặc định, bấm Next để mở trang Zone Name.
7. Nhập tên cho zone trong mục Zone Name, bấm Next để mở trang Dynamic Update.
8. Lựa chọn một trong các mục sau:
- Allow Only Secure Dynamic Updates
- Allow Both Nonsecure And Secure Dynamic Updates
- Do Not Allow Dynamic Updates
9. Bấm Next, để mở trang Completing the New Zone Wizard.
10. Bấm Finish để hoàn thành việc tạo zone.
11. Đóng cửa sổ DNS Manager.
Để tạo primary zone tích hợp trong AD bằng Windows PowerShell, sử dụng lệnh Add-
DnsServerPrimaryZone. Ví dụ:
Add-DnsServerPrimaryZone –Name “congty.com” – ReplicationScope “Domain” –PassThru
Sau khi tạo primary zone, bạn có thể tạo các bản ghi thông tin của DNS server.
Tạo các bản ghi thông tin cho DNS server

Sau đây là một số bản ghi thông tin quan trọng của DNS server:
- SOA (Start of Authority): một zone phải có một và chỉ một bản ghi này. Bản ghi này cho biết cơ
sở dữ liệu đang được lưu tại DNS server này là tin cậy.
- NS (Name Server): mỗi DNS server trong một zone (dù là primary zone hay secondary zone) sẽ
được đại diện bằng một bản ghi NS. Bản ghi này là bằng chứng để chứng minh tính tin cậy của
một DNS server trong zone.
- A (Address): là một ánh xạ từ địa chỉ dạng tên sang địa chỉ IP, sử dụng cho IPv4. Đây chính là
bản ghi phục vụ cho quá trình phân giải từ địa chỉ dạng tên sang địa chỉ IP của hệ thống DNS
(phân giải xuôi).
- AAAA (Address): chức năng giống với bản ghi A, tuy nhiên, được sử dụng cho IPv6.
214
- PTR (Pointer): là một ánh xạ từ một địa chỉ IP cụ thể (trong miền in-addr.arpa) sang địa chỉ
dạng tên. Đây chính là bản ghi phục vụ cho quá trình phân giải từ địa chỉ IP sang địa chỉ dạng
tên (phân giải ngược).
- CNAME (Canonical Name): canonical name có thể hiểu nôm na là “tên gốc”. CNAME là một
bản ghi cho phép tạo ra một “tên khác” (tiếng anh là Alias) cho một “tên gốc” đã được định
nghĩa trong bản ghi A. Sau khi bản ghi CNAME được tạo, việc sử dụng hai tên (tên gốc và tên
khác) là như nhau. Ví dụ, bạn đã có bản ghi A là “dalat.com – 192.168.1.1”. bạn tạo một
CNAME có nội dung là “www.dalat.com - dalat.com”. Khi đó bạn truy cập tới www.dalat.com
hay dalat.com thì nó đều truy cập tới máy tính có IP là 192.168.1.1.
- MX (Mail Exchanger): chỉ định một máy tính (Mail Exchanger) làm nhiệm vụ xử lý các email gửi
tới địa chỉ email trong miền. Khi nhận được email, Mail Exchanger sẽ chuyển email tới hộp thư
của cá nhân, tới mail gateway hoặc một mail server khác.
Các bước để tạo một bản ghi A:

1. Đăng nhập vào hệ thống Windows Server 2012 R2 bằng tải khoản có quyền quản trị. Mở
Server Manager.
2. Vào trình đơn Tools, chọn DNS để mở cửa sổ DNS Manager.
3. Xổ nút DNS server, chọn mục Forward Lookup Zone.
4. Bấm chuột phải vào zone mà bạn muốn tạo bản ghi, chọn mục New Host (A or AAAA) để mở
cửa sổ New Host. Xem hình minh họa.
215
5. Nhập địa chỉ dạng tên (host name) vào mục Name, tên dạng đầy đủ sẽ xuất hiện trong mục
FQDN.
6. Nhập địa chỉ IPv4 hoặc IPv6 tương ứng với địa chỉ dạng tên vào mục IP Addresss.
7. Có thể đánh dấu chọn vào hai mục sau:
- Create Associated Pointer (PTR) Record: tạo bản ghi thông tin cho quá trình phân giải
ngược trong miền in-addr.arpa.
- Allow Any Authenticated User To Update DNS Records With The Same Owner Name:
cho phép người dùng thay đổi các bản ghi thông tin mà họ có quyền sở hữu (own).
8. Bấm Add Host, bản ghi sẽ được tạo trong zone.
9. Đóng cửa sổ DNS Manager.
Để tạo một bản ghi PTR cho một host, bạn có thể đánh dấu chọn vào mục Create Associated Pointer
(PTR) Record trong cửa sổ tạo New Host. Tuy nhiên, cách làm này chỉ thực hiện được khi đã có sẵn
zone phân giải ngược (reverse lookup zone).
Để tạo một zone phân giải ngược, bạn bấm chuột phải vào mục Reverse Lookup Zones, chọn New
Zone, các bước sau đó tương tự như khi tạo zone trong mục Forward Lookup Zones. Nếu bạn tạo
reverse lookup zone cho IPv4, tại trang Reverse Lookup Zone Name nhập địa chỉ mạng (network ID)
vào mục Network ID. Xem hình minh họa.
216
Sau khi tạo xong reverse lookup zone, bạn có thể tạo các bản ghi phân giải ngược (PTR) cùng với quá
trình tạo bản ghi A hoặc AAAA, hoặc bạn cũng có thể tạo bằng chức năng New Resource Record.
Thực hiện một số cấu hình khác trên DNS server

Sau khi cài đặt DNS server, tạo zone, và tạo các bản ghi, bạn có thể thực hiện thêm một số cấu hình
khác, như thay đổi phạm vi cập nhật dữ liệu, cấu hình root hints.
Thay đổi phạm vi cập nhật dữ liệu DNS
Để thay đổi phạm vi các domain controller được phép cập nhật dữ liệu bằng chức năng nhân bản, bạn
mở DNS Manager, chuột phải vào zone mà bạn quan tâm, chọn Properties, chọn táp General, mục
Replication, bấm nút Change để mở cửa sổ Change Zone Replication Scope. Tại đây, bạn có thể lựa
chọn phạm vi được phép cập nhật dữ liệu như trong quá trình tạo zone bằng New Zone Wizard. Xem
hình minh họa.
217
Cấu hình root hints

Khi thực hiện quá trình phân giải tên, hầu hết các DNS server đều phải có khả năng kết nối tới các root
name server. Khi cài đặt DNS server, tên và địa chỉ IP của các root name server sẽ được thiết lập tự
động trong mục Root Hints.
Tên của 13 root name server được lưu trong miền root-server.net và được đặt tên theo bảng chữ cái.
Các server được đặt ở nhiều nơi khác nhau trên thế giới nhằm tăng khả năng chịu lỗi.
Trong Windows Server 2012 R2, để thay đổi thông tin của root hints, bấm chuột phải vào nút server,
chọn Properties, chọn táp Root Hints để thực hiện các thay đổi cần thiết. Xem hình minh họa.

- DHCP là dịch vụ tự động cấp địa chỉ IP và các thông tin TCP/IP khác cho các máy tính trong
mạng. Kho địa chỉ IP cấp cho các máy tính được gọi là scope. Nếu máy client không sử dụng
địa chỉ IP nữa, nó sẽ được thu hồi.
- Hệ thống mạng TCP/IP hiện nay đang sử dụng các DNS server để chuyển đổi địa chỉ dạng tên
sang địa chỉ IP. Quá trình chuyển đổi này được gọi là quá trình phân giải tên.
- Hệ thống DNS gồm ba thành phần: hệ thống tên, các name server và các DNS client (resolver).
- Kiến trúc tổ chức và cấu trúc tên của DNS được thiết kế để đảm bảo mọi máy DNS server đều
có thể tìm được các bản ghi thông tin theo yêu cầu, với số lần truy vấn nhỏ nhất.
- Trong truy vấn đệ quy, DNS server sẽ hoàn toàn chịu trách nhiệm trong việc phân giải tên sang
địa chỉ IP. Trong truy vấn lặp, DNS server sẽ lập tức trả lời máy gửi truy vấn với thông tin tốt
nhất mà nó đang có.
218
- Đối với hệ thống phân giải tên trên Internet, chỉ có các DNS server được chỉ định mới có khả
năng xử lý các truy vấn của DNS client (resolver), đồng thời nó cũng được phép gửi truy vấn
tới các DNS server khác trên Internet.

1. Bản ghi nào sau đây có chứa thông tin phục vụ cho quá trình phân giải ngược của hệ thống
DNS?
A. A
B. CNAME
C. SOA
D. PTR
2. Một máy tính có địa chỉ IP là 10.75.143.88, bản ghi nào sau đây trong reverse lookup zone là
dạng tên đầy đủ (FQDN) của nó?
A. 88.143.75.10.in-addr.arpa
B. 10.75.143.88.in-addr.arpa
C. in-addr.arpa.88.143.75.10
D. arpa.in-addr.10.75.143.88
3. Cái nào sau đây không phải là một thành phần của hệ thống DNS?
A. Resolvers
B. Relay agents
C. Name servers
D. Namespace
4. Trong hoạt động của DNS, hệ thống sẽ tạo ra một truy vấn kiểu đệ quy trong tình huống nào
sau đây?
A. DNS client yêu cầu DNS server của nó phân giải tên miền www.adatum.com sang địa
chỉ IP.
B. DNS server (của DNS client) yêu cầu root domain server cho biết name server nào đang
chứa thông tin về tên miền mức một (top-level domain) com.
C. DNS server (của DNS client) yêu cầu name server com cho biết name server nào đang
chứa thông tin của adatum.com.
D. DNS server (của DNS client) yêu cầu name server adatum.com cho biết địa chỉ IP
tương ứng với tên www.
5. Cái nào sau đây cho phép điều chỉnh việc lưu tạm (caching) của hệ thống DNS?
A. Táp Forwarders trong mục Properties của server.
B. Táp Start of Authority (SOA) trong mục Properties của zone.
219
C. Táp Root Hints trong mục Properties của server.

D. Trong New Zone Wizard.
220
Chương 5. Cài đặt và quản trị Active Directory

Dịch vụ danh bạ (directory service) là một kho chứa các thông tin về phần cứng, phần mềm, và người
dùng có trong một hệ thống mạng. Thông qua dịch vụ danh bạ, người dùng, máy tính và các ứng dụng
có thể truy cập tới các tài nguyên mạng để thực hiện các chức năng khác nhau. Các chức năng có thể
là: chứng thực người dùng, cấu hình lưu trữ dữ liệu, tìm kiếm thông tin.
AD DS (Active Directory Domain Services) là dịch vụ danh bạ do Microsoft phát triển. Phiên bản AD
DS đầu tiên được Microsoft giới thiệu trong Windows 2000 Server. AD DS liên tục được nâng cấp.
Hiện tại, AD DS cũng đang được tích hợp trong Windows Server 2012 R2.
Chương này đề cập tới các công việc cơ bản của người quản trị, liên quan đến cài đặt và quản lý AD
DS. Nội dung chính gồm:
- Cài đặt domain controller
- Tạo và quản lý tài khoản người dùng, tải khoản máy
- Tạo và quản lý nhóm, đơn vị tổ chức (OU)
Cài đặt domain controller
AD DS cho phép người quản trị tạo ra một thực thể gọi là domain (miền). Domain là một thực thể hay
một vật chứa, dùng để chứa các thành phần của hệ thống mạng. Máy tính chứa domain được gọi là
domain controller (máy quản lý miền). Trong một hệ thống mạng thường có nhiều máy domain
controller. Các máy domain controller thường được đồng bộ dữ liệu với nhau để tăng khả năng chịu lỗi
và chia tải (load balancing).
Các nội dung sẽ được đề cập trong phần này gồm:
- Tạo và hủy một domain controller
- Nâng cấp domain controller
- Cài đặt AD DS trên Server core
- Triển khai Active Directory IaaS trên Windows Azure
- Cài đặt domain controller bằng IFM
- Vấn đề đăng kí bản ghi DNS SRV
- Cấu hình global catalog server
Triển khai AD DS
Để tạo ra domain mới hoặc thêm domain controller cho domain có sẵn, bạn phải cài đặt role AD DS
trên Windows Server 2012 R2, sau đó chạy AD DS Domain Configuration Wizard.
Để sử dụng máy Windows Server 2012 R2 làm domain controller, bạn nên cấp cho nó địa chỉ IP cố
định. Ngoài ra, nếu bạn định tạo một domain thuộc forest có sẵn hoặc thêm một domain controller cho
domain có sẵn, bạn phải cấu hình cho máy tính sử dụng DNS server nội bộ, ít nhất là trong lúc nâng
cấp lên domain controller.
Cài đặt role AD DS
221
1. Mở Server Manager, vào trình đơn Manage, chọn Add Roles And Features để chạy Add Roles
And Features Wizard, trang Before You Begin xuất hiện.
2. Bấm Next để mở trang Select Installation Type.
3. Để nguyên lựa chọn trong mục Role-Based Or Feature-Based Installation, bấm Next để mở
trang Select Destination Server.
4. Lựa chọn server mà bạn muốn nâng cấp lên thành domain controller, bấm Next để mở trang
Select Server Roles.
5. Chọn Active Directory Domain Services, xuất hiện cửa sổ Add Features That Are Required For
Active Directory Domain Services.
6. Bấm Add Features để đồng ý cài đặt, bấm Next để mở trang Select Features.
7. Bấm Next để mở trang Active Directory Domain Services.
8. Bấm Next để mở trang Confirm Installation Selections. Bạn có thể đánh dấu chọn vào mục
Restart The Destination Server Automatically If Required: tự động khởi động lại máy sau khi hoàn
thành cài đặt.
9. Bấm Install để hiển thị trang Installation Progress. Khi cài đặt xong xuất hiện liên kết Promote
This Server To A Domain Controller.
10. Tới đây bạn đã hoàn thành việc cài đặt role AD DS. Sau khi role AD DS được cài đặt, bạn có
thể chạy AD DS Installation Wizard để thực hiện các cấu hình khác nhau cho hệ thống.
Tạo forest
Để triển khai AD DS, bước đầu tiên bạn phải tạo forest, sau đó tạo domain trong forest.
Các bước để tạo forest:
1. Sau bước cuối cùng của quá trình cài đặt role AD DS, hệ thống sẽ xuất hiện thông báo có nội
dung là nâng cấp server này lên thành domain controller (Promote This Server To A Domain
Controller). Nếu không thấy thông báo này, bấm vào hình tam giác màu vàng trong cửa sổ
Server Manager. Bấm vào dòng thông báo để chạy AD DS Configuration Wizard. Xuất hiện
trang Deployment Configuration.
2. Chọn mục Add A New Forest trong phần Select The Deployment Operation. Nhập tên
miền bạn muốn tạo vào mục Root Domain Name (ví dụ: dalat.com). Xem hình minh họa.
222
3. Bấm Next để mở trang Domain Controller Options. Xem hình minh họa.
4. Nếu bạn có dự định thêm các domain controller đang chạy các hệ điều hành cũ hơn
vào forest này, bạn xổ danh sách Forest Functional Level và chọn hệ điều hành thích hợp.
5. Nếu bạn có dự định thêm các domain controller chạy các hệ điều hành cũ hơn vào
domain này, bạn xổ danh sách Domain Functional Level và chọn hệ điều hành thích hợp.
6. Nếu trong hệ thống mạng chưa có DNS server, bạn đánh dấu chọn vào mục Domain
Name System (DNS) Server. Nếu trong hệ thống mạng đã có DNS server, bạn cấu hình cho
domain controller sử dụng DNS server cục bộ và bỏ dấu chọn ở mục Domain Name System
(DNS) Server.
7. Nhập mật khẩu để sử dụng trong trường hợp phải khôi phục hệ thống (Directory
Services Restore Mode (DSRM)) vào mục Password và Confirm Password. Bấm Next để mở
trang DNS Options. Trong trang có một cảnh báo liên quan đến DNS.
223
8. Bấm Next để mở trang Additional Options với tên của NetBIOS tương ứng với tên
miền.
9. Bạn có thể đổi tên NetBIOS nếu muốn, hoặc bấm Next để mở trang Paths.
10. Bạn có thể thay đổi vị trí lưu các tập tin của AD DS nếu muốn, hoặc bấm Next để mở trang
Review Options.
11. Bấm Next để mở trang Prerequisites Check. Xem hình minh họa.
12. Hệ thống sẽ thực hiện một số kiểm tra để đảm bảo máy tính có đủ điều kiện để trở thành
một domain controller. Kết quả có thể xuất hiện một số cảnh báo, bạn cần đọc các cảnh báo
để thực hiện thêm một số yêu cầu (nếu có). Bấm nút Install để tạo forest và domain
controller.
13. Khởi động lại máy tính.
Sau khi tạo forest (domain gốc), bạn có thể thêm các domain controller vào domain hoặc tạo các
domain mới trong forest.
Thêm một domain controller vào domain

Mỗi domain trong AD DS nên có tối thiểu hai domain controller.
Trong Windows Server 2012 R2, để thêm một domain controller vào domain, thực hiện các bước sau:
224
1. Tại trang Installation Progress, xuất hiện ở bước cuối của quá trình cài role Active
Directory Domain Services, bấm vào liên kết Promote This Server To A Domain Controller để
chạy Active Directory Domain Services Configuration Wizard, xuất hiện trang Deployment
Configuration.
2. Chọn mục Add A Domain Controller To An Existing Domain, bấm Select.
3. Nếu bạn chưa đăng nhập vào forest, sẽ xuất hiện cửa sổ Credentials For Deployment
Operation. Tại đây, bạn phải chứng thực bằng tải khoản có quyền quản trị hệ thống. Sau khi
chứng thực thành công, xuất hiện cửa sổ Select A Domain From The Forest.
4. Lựa chọn tên domain mà bạn muốn thêm domain controller, bấm OK. Tên domain
được chọn sẽ xuất hiện trong mục Domain.
5. Bấm Next để mở trang Domain Controller Options. Xem hình minh họa.
6. Để nguyên lựa chọn trong mục Domain Name System (DNS) Server nếu bạn muốn cài
đặt dịch vụ DNS server trên máy này. Ngược lại, bạn phải cấu hình để máy domain controller
sử dụng DNS server có sẵn trong hệ thống mạng.
225
7. Để nguyên lựa chọn trong mục Global Catalog (GC) nếu bạn muốn máy domain
controller đóng vai trò là một máy global catalog server. Nếu trong site chưa có máy nào đóng
vai trò là GC server thì bạn nên chọn mục này.
8. Nếu bạn muốn tạo một domain controller mà người quản trị không thể thay đổi nội
dung của các đối tượng trong AD DS thì bạn đánh dấu chọn vào mục Read Only Domain
Controller (RODC).
9. Trong mục Site Name, chọn site để chứa domain controller.
10. Nhập mật khẩu để sử dụng trong trường hợp phải khôi phục hệ thống (Directory Services
Restore Mode (DSRM)) vào mục Password và Confirm Password. Bấm Next để mở trang
Additional Options. Xem hình minh họa.
11. Đánh dấu chọn vào mục Install From Media nếu bạn muốn sử dụng cách cài đặt này.
12. Trong mục Replication From, chọn một domain controller có sẵn trong miền, máy này chứa
dữ liệu để chạy chức năng đồng bộ hóa dữ liệu của AD DS. Bấm Next để mở trang Paths.
13. Bạn có thể thay đổi đường dẫn để lưu các tập tin của AD DS nếu muốn, bấm Next để mở
trang Review Options.
226
14. Bấm Next để mở trang Prerequisites Check.
15. Sau khi hệ thống kiểm tra xong, bấm Install để cấu hình server trở thành một domain
controller.
16. Khởi động lại máy tính.
Sau khi được tạo ra, domain controller sẽ hoạt động như một domain controller thứ hai trong miền,
việc đồng bộ dữ liệu giữa hai domain controller sẽ được chạy tự động.
Tạo domain con trong một forest

Khi bạn đã tạo một forest với một domain trong nó (domain gốc), bạn có thể thêm domain con (child
domain) cho domain gốc. Quá trình tạo một domain con cũng giống với quá trình tạo forest, chỉ khác ở
trang Deployment Configuration bạn cần phải xác định domain cha (parent domain) của domain sẽ tạo.
Cài đặt AD DS trên Server Core

Với Windows Server 2012 R2 đang chạy ở chế độ server core, bạn có thể sử dụng Windows
PowerShell để cài đặt AD DS và nâng cấp server lên thành domain controller.
227
Trong chế độ server core của Windows Server 2008 và Windows Server 2008 R2, bạn có thể sử dụng
chương trình Dcpromo.exe với tham số /unattend để tự động cài đặt AD DS. Các tham số cần thiết cho
quá trình cài đặt được lưu sẵn trong một tập tin (answer file).
Windows Server 2012 R2 không cho phép chạy dcpromo.exe nếu không có tham số /unattend đi kèm.
Do vậy, nếu người quản trị muốn nâng cấp một máy tính lên domain controller tự động bằng lệnh
dcpromo.exe /unattend thì vẫn có thể thực hiện được, mặc dù hệ thống có xuất hiện cảnh báo “The
dcpromo unattended operation is replaced by the ADDSDeployment module for Windows
PowerShell”.
Phương pháp được nhiều người sử dụng để cài đặt AD DS trên Server Core là dùng Windows
PowerShell. Quá trình cài đặt cũng gồm hai bước như khi thực hiện cài đặt bằng wizard, gồm: cài đặt
role AD DS, sau đó là nâng cấp server lên domain controller.
Để cài đặt role AD DS, bạn chạy chương trình PowerShell, nhập lệnh sau:
Install-WindowsFeature –name AD-Domain-Services –IncludeManagementTools
Lưu ý, như thường lệ, lệnh Install-WindowsFeature không cài đặt công cụ để quản lý role tương ứng,
để có công cụ quản lý, bạn phải thêm tham số -IncludeManagementTools.
Khi đã cài đặt xong role AD DS, bạn sẽ thực hiện nâng cấp server thành domain controller, việc này
phức tạp hơn một chút. ADDSDeployment của Windows PowerShell cung cấp ba lệnh khác nhau liên
quan đến tạo forest (Install-ADDSForest), nâng cấp lên domain controller (Install-
ADDSDomainController) và thêm domain vào forest (Install-ADDSDomain).
Mỗi lệnh có kèm theo rất nhiều tham số, giống như lúc bạn thực hiện bằng Active Directory Domain
Services Configuration Wizard. Dưới đây là một ví dụ đơn giản nhất, để nâng cấp một máy tính thành
domain controller cùng với việc tạo forest có tên là dalat.com.
Install-ADDSForest –DomainName “dalat.com”
PowerShell sẽ yêu cần bạn lần lượt nhập các tham số tương tự như khi thực hiện bằng Active
Directory Domain Services Configuration Wizard. Bạn cũng có thể sử dụng lệnh Get-Help để xem cú
pháp đầy đủ của lệnh Install-ADDSForest. Xem hình minh họa.
Ngoài cách thao tác trực tiếp với giao diện của Windows PowerShell, bạn có cách khác để thực hiện
các cài đặt phức tạp như sau: lấy một máy Windows Server 2012 R2 đang chạy giao diện đồ họa
(GUI), thực hiện cài đặt bằng wizard (ví dụ: Active Directory Domain Services Configuration
228
Wizard), khi tới bước (trang) Review Option, bấm vào View Script để hiển thị nội dung kịch bản chạy
trên Windows PowerShell. Lưu kịch bản này lại để thực hiện trên server khác. Xem hình minh họa.
Windows Server 2012 R2 có khả năng tạo kịch bản này là do thực tế Server Manager đang chạy trên
nền Windows PowerShell. Do vậy, kịch bản sẽ chứa các lệnh và các tham số tương ứng khi bạn chạy
bằng wizard. Bạn cũng có thể sử dụng kịch bản này với lệnh Install-ADDSDomainController để triển
khai thêm các domain controller cho cùng domain.
Sử dụng phương pháp cài đặt IFM (Install from Media)

Trong phần cài đặt một domain controller dự phòng (đọc lại mục Thêm một domain controller vào
domain), tại trang Additional Options của Active Directory Domain Services Configuration Wizard, có
xuất hiện tùy chọn Install From Media. Tùy chọn này cho phép người quản trị thực hiện cài đặt một
domain controller trên một site ở xa, sử dụng phương pháp IFM.
Thông thường, khi tạo một domain controller cho một domain có sẵn, hệ thống sẽ tạo ra cấu trúc cơ sở
dữ liệu của AD DS, nhưng chưa có dữ liệu. Dữ liệu sẽ được cập nhật khi domain controller thực hiện
đồng bộ với một domain controller có sẵn khác. Trong hệ thống LAN, quá trình đồng bộ sẽ được thực
hiện tự động ngay khi hoàn thành việc nâng cấp server lên domain controller.
Tuy nhiên, khi domain controller (mới được tạo ra) chỉ có kết nối WAN với các domain controller có
sẵn, việc đồng bộ dữ liệu có thể mất nhiều thời gian và chiếm băng thông của các ứng dụng thông
thường. Trong trường hợp này, quá trình đồng bộ dữ liệu chỉ được thực hiện khi người quản trị đã
chuẩn bị đường truyền phù hợp.
Lưu ý: ngay khi domain controller được tạo ra, nó sẽ nhận dữ liệu đồng bộ từ các domain controller
khác, dữ liệu đồng bộ là toàn bộ cơ sở dữ liệu của AD DS, quá trình này gọi là đồng bộ lần đầu. Tuy
nhiên, ở các lần đồng bộ sau, chỉ có các đối tượng có thay đổi so với lần đồng bộ trước mới được đồng
bộ.
229
Để tránh các vấn đề có thể xảy ra liên quan đến việc đồng bộ lần đầu, người quản trị có thể sử dụng
thiết bị lưu trữ ngoài để chứa bản sao cơ sở dữ liệu của AD DS. Công cụ dòng lệnh Ntdsutil.exe giúp
lưu cơ sở dữ liệu của AD DS vào thiết bị lưu trữ ngoài. Khi đó, việc tạo domain controller ở xa sẽ bao
gồm luôn quá trình đồng bộ dữ liệu lần đầu bằng thiết bị lưu trữ ngoài.
Để tạo đĩa IFM, bạn phải chạy chương trình Ntdsutil.exe trên domain controller đang chạy hệ điều
hành giống với hệ điều hành trên server sẽ được nâng cấp. Quá trình thực hiện sẽ yêu cầu chạy các
lệnh sau:
- Ntdsutil: để chạy chương trình Ntdsutil.exe
- Activate instance ntds: kết nối tới AD DS của domain controller.
- Ifm: làm việc ở chế độ IFM.
- Create Full|RODC <path name>: lưu cơ sở dữ liệu của AD DS hoặc AD DS chỉ đọc (RODC) tới
một thư mục cụ thể trên đĩa.
Khi chạy xong các lệnh trên, chương trình Ntdsutil.exe sẽ tạo bản sao cơ sở dữ liệu của AD DS và
Windows Registry, tất cả được lưu trong một thư mục. Xem hình minh họa.
Sau khi đã tạo đĩa IFM, bạn có thể chép nó sang các phương tiện lưu trữ bất kì để sử dụng khi thực
hiện cài đặt một domain controller ở xa. Để sử dụng đĩa IFM, bạn chạy Active Directory Domain
Services Configuration Wizard, khi tới bước có mục Install From Media thì đánh dấu chọn vào mục
này và chỉ đường dẫn tới nơi chứa đĩa IFM.
Nâng cấp AD DS
Việc chuyển một hạ tầng AD DS đang chạy trên các hệ điều hành phiên bản cũ lên Windows Server
2012 R2 có thể thực hiện dễ hơn so với các phiên bản trước đây.
Có hai cách để chuyển hạ tầng AD DS lên Windows Server 2012 R2. Cách một là nâng cấp chức năng
của domain controller lên mức Windows Server 2012 R2. Cách hai là thêm domain controller chạy
Windows Server 2012 R2 vào domain đó.
230
Việc chuyển hạ tầng AD DS lên Windows Server 2012 R2 chỉ thực hiện được khi AD DS đang chạy
trên Windows Server 2008 hoặc Windows Server 2008 R2. Các phiên bản cũ hơn không thể thực hiện
nâng cấp được.
Trước đây, nếu bạn muốn thêm domain controller chạy hệ điều hành mới hơn vào một domain chạy hệ
điều hành cũ, bạn phải chạy chương trình Adprep.exe để nâng cấp domain và forest. Tùy thuộc vào
công việc bạn đang thực hiện cài đặt, chương trình sẽ yêu cầu bạn phải chứng thực trên các domain
controller khác nhau, bằng các loại tài khoản quản trị khác nhau. Ngoài ra, bạn cũng phải chạy
Adprep.exe một vài lần với tham số /domainprep cho mỗi domain và tham số /forestprep cho mỗi
forest.
Đối với Windows Server 2012 R2, chương trình Adprep.exe đã được tích hợp sẵn trong Active
Directory Domain Services Configuration Wizard của Server Manager. Do vậy, khi bạn cài đặt domain
controller mới trên Windows Server 2012 R2, bạn chỉ việc cung cấp tài khoản quản trị hợp lệ, sau đó,
mọi công việc còn lại sẽ được thực hiện bởi wizard.
Triển khai Active Directory IaaS trên Windows Azure

Bạn đã quen thuộc với việc chạy Windows Server 2012 R2 trên máy tính thật và trên hạ tầng ảo hóa
(máy ảo). Tuy nhiên, bằng việc sử dụng dịch vụ Windows Azure của Microsoft, bạn có thể tạo các
máy ảo trên hạ tầng đám mây (cloud). Giải pháp này có tên gọi là Infrastructure as a Service (IaaS),
tạm dịch là hạ tầng dạng dịch vụ.
Windows Azure cho phép bạn tạo các máy ảo, mạng ảo trên hạ tầng đám mây. Trên các máy ảo này,
bạn có thể tạo AD DS forest. Bạn có thể kết nối hệ thống mạng ảo trên đám mây với hệ thống mạng
cục bộ. Việc cài đặt AD DS, nâng cấp lên domain controller trên Windows Azure cũng được thực hiện
tương tự như trong hệ thống mạng cục bộ. Tuy nhiên, vấn đề khó khăn cần phải thực hiện chính là việc
cấu hình thông mạng giữa mạng cục bộ và mạng trên hạ tầng đám mây.
Gỡ bỏ một domain controller

Bạn không thể sử dụng lệnh Dcpromo.exe để gỡ bỏ một domain controller (hay hạ cấp một máy
domain controller) như trước đây. Với Windows Server 2012 R2, bạn sẽ sử dụng Remove Roles And
Features Wizard. Các bước cụ thể như sau:
Mở Server Manager, vào trình đơn Manage, chọn mục Remove Roles And Features để chạy Remove
Roles And Features Wizard.
1. Bấm Next để mở trang Select Destination Server. Chọn server mà bạn dự định gỡ bỏ domain
controller. Bấm Next để mở trang Remove Server Roles.
2. Bỏ dấu chọn trong mục Active Directory Domain Services. Bấm Next để mở trang Remove
Features That Require Active Directory Domain Services? Bấm nút Remove Features để mở
trang Validation Results. Xem hình minh họa.
231
3. Bấm vào dòng chữ Demote This Domain Controller để chạy Active Directory Domain Services
Configuration Wizard, xuất hiện trang Credentials.
4. Đánh dấu chọn vào mục Force The Removal Of This Domain Controller, bấm Next để mở trang
New Administrator Password.
5. Nhập mật khẩu cho tài khoản Administrator cục bộ, đây là mật khẩu để đăng nhập vào server,
sau khi nó không còn là domain controller. Bấm Next để mở trang Review Options.
6. Bấm nút Demote. Hệ thống sẽ thực hiện gỡ bỏ domain controller và khởi động lại hệ thống.
7. Đăng nhập lại vào server với tài khoản Administrator cục bộ và mật khẩu đã đặt ở bước trước.
8. Chạy lại Remove Roles And Features Wizard, lặp lại việc gỡ bỏ role Active Directory Domain
Services. Thực hiện theo các chỉ dẫn cho tới khi hoàn thành.
9. Đóng Wizard và khởi động lại server.
Để gỡ bỏ domain controller bằng Windows PowerShell, sử dụng lệnh sau:

Uninstall-ADDSDomainController –ForceRemoval
Cấu hình global catalog

Global catalog là danh sách (index) của tất cả các đối tượng trong một forest. Nhờ danh sách này, việc
tìm kiếm các đối tượng trong forest sẽ hiệu quả hơn, hệ thống sẽ không phải tìm kiếm các đối tượng
trong các domain controller khác nhau.
Tầm quan trọng của global catalog phụ thuộc vào kích thước của hệ thống mạng và cách cấu hình của
mỗi site. Ví dụ, nếu hệ thống mạng chỉ có một domain, các domain controller đều nằm trong cùng một
site, băng thông mạng ổn định, thì global catalog chỉ được sử dụng trong việc tìm kiếm các group kiểu
universal. Trong trường hợp này, bạn có thể cấu hình tất cả các domain controller làm global catalog
232
server. Khi đó, việc tìm kiếm sẽ được chia tải giữa các server và việc đồng bộ cũng không gây ảnh
hưởng nhiều tới hệ thống mạng.
Tuy nhiên, nếu hệ thống mạng gồm nhiều domain, các domain controller được đặt ở nhiều site khác
nhau, các site được kết nối với nhau bằng đường WAN, thì việc cấu hình global catalog cần phải xem
xét cẩn thận. Việc người sử dụng phải thực hiện tìm kiếm các đối tượng của AD DS giữa các site với
đường WAN chậm chạp là điều không thể chấp nhận được. Để giải quyết vấn đề này, bạn sẽ cấu hình
mỗi site có một global catalog server. Tuy bạn phải trả giá cho việc đồng bộ dữ liệu giữa các global
catalog server, nhưng đổi lại quá trình sử dụng của người dùng sẽ rất hiệu quả.
Bạn có thể thiết lập một domain controller làm global catalog server ngay khi thực hiện nâng cấp lên
domain controller. Tuy nhiên, nếu không, bạn vẫn có thể thiết lập một domain controller làm global
catalog server theo các bước sau:
1. Mở Server Manager, mở trình đơn Tools, chọn Active Directory Sites And Services để mở cửa
sổ Active Directory Sites And Services.
2. Ở khung bên trái, xổ nút Sites, chọn site có chứa domain controller mà bạn muốn thiết lập nó
trở thành global catalog server, chọn nút Server, chọn domain controller.
3. Bấm chuột phải vào nút NTDS Settings, chọn Properties để mở cửa sổ NTDS Settings
Properties.
4. Đánh dấu chọn vào mục Global Catalog, bấm OK.
5. Đóng cửa sổ Active Directory Sites And Services.
Khắc phục lỗi không đăng kí được bản ghi DNS SRV
DNS là thành phần không thể thiếu trong hoạt động của Active Directory Domain Services. Để giúp
AD DS hoạt động, DNS sẽ tạo ra một bản ghi SRV cho domain controller vừa tạo, bản ghi này giúp
các client kết nối được tới domain controller và các dịch vụ AD DS khác.
Khi bạn tạo domain controller mới, một trong những việc quan trọng là đăng kí domain controller này
với hệ thống DNS. Vì quá trình này diễn ra tự động, nên AD DS forest phải truy cập được vào DNS
server, và DNS server phải cho phép cập nhật động (Dynamic Updates).
Nếu việc tạo ra bản ghi SRV bị thất bại, các máy tính trong mạng sẽ không thể tìm thấy domain
controller, điều này sẽ dẫn tới hàng loạt các trục trặc khác trong hệ thống mạng. Ví dụ: các máy client
sẽ không thể tìm thấy máy domain controller để gia nhập vào domain, các server thành viên trong
mạng không thể truy cập tới domain controller, và các domain controller còn lại không thể thực hiện
đồng bộ với nó.
Nguyên nhân của tình trạng không tạo được bản ghi SRV là do mạng không thông hoặc do cấu hình
phía DNS client bị lỗi.
Cách khắc phục là thực hiện ping tới DNS server để kiểm tra thông mạng, sau đó kiểm tra xem phần
cấu hình địa chỉ DNS server trong cạc mạng đã đúng chưa.
233
Để kiểm tra xem domain controller đã đăng kí thành công trên hệ thống DNS chưa, mở cửa sổ dòng
lệnh với quyền quản trị, nhập lệnh sau:
dcdiag /test:registerindns /dnsdomain:<domain name> /v

Dịch vụ danh bạ (directory service) là một kho chứa các thông tin về phần cứng, phần mềm, và người
dùng có trong một hệ thống mạng. AD DS (Active Directory Domain Services) là dịch vụ danh bạ do
Microsoft phát triển. Phiên bản AD DS đầu tiên được Microsoft giới thiệu trong Windows 2000
Server. AD DS liên tục được nâng cấp. Hiện tại, AD DS cũng đang được tích hợp trong Windows
Server 2012 R2.
Để triển khai AD DS, bước đầu tiên phải làm là tạo forest, trong forest tạo domain đầu tiên, domain
này được gọi là forest root domain.
Khi bạn tạo domain đầu tiên cho một AD DS, cũng chính là bạn đang tạo gốc (root) cho một domain
tree. Sau đó, bạn có thể mở rộng domain tree của mình bằng cách thêm vào các domain mới, miễn là
tên của domain mới có quan hệ cha-con với domain đã tồn tại.
Với Windows Server 2012 R2 đang chạy ở chế độ server core, bạn có thể sử dụng Windows
PowerShell để cài đặt AD DS và nâng cấp server lên thành domain controller.
IFM là một giải pháp cho phép người quản trị thực hiện đồng bộ dữ liệu cho các domain controller ở
xa một cách hiệu quả.
Có hai cách để chuyển hạ tầng AD DS lên Windows Server 2012 R2. Cách một là nâng cấp chức năng
của domain controller lên mức Windows Server 2012 R2. Cách hai là thêm domain controller chạy
Windows Server 2012 R2 vào domain đó.
Global catalog là danh sách (index) của tất cả các đối tượng trong một forest. Nhờ danh sách này, việc
tìm kiếm các đối tượng trong forest sẽ hiệu quả hơn, hệ thống sẽ không phải tìm kiếm các đối tượng
trong các domain controller khác nhau.
DNS là thành phần không thể thiếu trong hoạt động của Active Directory Domain Services. Để giúp
AD DS hoạt động, DNS sẽ tạo ra một bản ghi SRV cho domain controller vừa tạo, bản ghi này giúp
các client kết nối được tới domain controller và các dịch vụ AD DS khác.

1. Trong môi trường AD DS, đối tượng nào sau đây không thể chứa các domain?
A. OU
234
B. Site
C. Tree
D. Forest
2. Hai loại (lớp) đối tượng quan trọng trong AD DS là?
A. Tài nguyên (resource)
B. Đối tượng nút lá, không thể chứa các đối tượng khác (Leaf)
C. Domain
D. Thùng chứa (Container), dùng để chứa các đối tượng khác
3. Trong các phát biểu liên quan đến thuộc tính (attribute) của một đối tượng (object), phát biểu
nào sau đây không đúng?
A. Người quản trị phải cung cấp thông tin bằng tay cho một số thuộc tính.
B. Mỗi đối tượng thuộc kiểu thùng chứa (container) có một thuộc tính là danh sách các đối
tượng mà nó chứa.
C. Các đối tượng thuộc kiểu leaf không chứa thuộc tính.
D. AD DS sẽ tự động tạo GUID (globally unique identifier) cho mỗi đối tượng.
4. Khi thiết kế hạ tầng AD DS, để hạn chế việc tạo thêm domain, lý do nào sau đây không hợp lý?
A. Việc tạo thêm domain sẽ làm tăng thêm các công việc cài đặt.
B. Mỗi domain được thêm vào sẽ làm tăng chi phí phần cứng.
C. Một vài ứng dụng sẽ gặp trục trặc khi làm việc trong forest có nhiều domain.
D. Bạn phải trả tiền bản quyền cho Microsoft với mỗi domain được tạo ra.
5. Trong môi trường AD DS, dịch vụ nào sau đây được client sử dụng để tìm kiếm các đối tượng
trên domain khác?
A. DNS
B. Global Catalog
C. DHCP
235
D. Site Link
Tạo và quản lý người dùng, máy tính trong AD DS

Người dùng và máy tính là hai đối tượng thuộc kiểu nút lá (leaf) quan trọng trong AD DS. Việc tạo và
quản lý các đối tượng này là công việc thường ngày của người quản trị AD DS.
Các nội dung sẽ được đề cập trong phần này:
- Tạo tài khoản người dùng.
- Tạo tài khoản mẫu.
- Tạo nhiều tài khoản người dùng.
- Tạo tài khoản máy tính.
- Quản lý các tài khoản trong AD DS.
- Quản lý nhiều người dùng.
- Kết nối máy tính vào domain.
- Quản lý các tài khoản (người dùng/máy tính) không sử dụng.
Tạo tài khoản người dùng

Tài khoản người dùng là phương tiện quan trọng, được sử dụng để truy cập tới các tài nguyên trên hệ
thống mạng. Mỗi cá nhân sẽ sử dụng tài khoản của riêng mình để truy cập tài nguyên. Trước khi có thể
truy cập tới các tài nguyên, người dùng phải vượt qua được quá trình chứng thực (authenticate) của hệ
thống.
Chứng thực là quá trình xác minh tính chính danh của người dùng. Người dùng có thể chứng thực bằng
mật khẩu, thẻ thông minh, vân tay.
Để chứng thực, người dùng sẽ nhập tên cùng với mật khẩu, hệ thống sẽ so sánh với tên và mật khẩu
tương ứng đã được lưu trong cở sở dữ liệu của AD DS, nếu hai cái khớp nhau, quá trình chứng thực
thành công.
Đừng nhầm lẫn giữa quá trình chứng thực (authentication) và quá trình cấp quyền sử dụng
(authorization). Cấp quyền sử dụng là quá trình cho phép người dùng sử dụng tài nguyên mạng ở các
mức độ khác nhau.
Ngoài tên đăng nhập và mật khẩu, mỗi tài khoản người dùng còn có các thông tin khác đi kèm, như:
địa chỉ, số điện thoại, định danh, tên đầy đủ…v.v. Tất cả được chứa trong một đối tượng có tên là đối
tượng người dùng (user object). Vì vậy, trong một số trường hợp việc dùng hai tên gọi này có thể xem
như là một.
Windows Server 2012 R2 có hai loại tài khoản người dùng:
236
- Tài khoản người dùng cục bộ (local user): các tài khoản này chỉ được phép truy cập tài nguyên
trên máy cục bộ, thông tin về tài khoản được lưu trong cơ sở dữ liệu cục bộ, cụ thể là trong
Security Account Manager (SAM). Thông tin về tài khoản cục bộ không được đồng bộ tới các
máy tính khác, do vậy, nó không được nhận ra ở các máy tính khác trong domain.
- Tài khoản người dùng mức miền (domain user): các tài khoản này được phép truy cập tài
nguyên trong hệ thống AD DS. Thông tin về tài khoản được lưu trong cơ sở dữ liệu của AD DS
và được đồng bộ tới tất cả các domain controller trong cùng domain. Ngoài ra, một số thông
tin của tài khoản cũng được lưu trữ tại global catalog và được đồng bộ với các global catalog
server trong forest.
Các công cụ để tạo tài khoản người dùng

Tạo tài khoản người dùng trong AD DS là một trong những công việc quen thuộc của người quản trị.
Windows Server 2012 R2 cung cấp một số công cụ để tạo tài khoản người dùng. Tùy từng tình huống
cụ thể, người quản trị sẽ lựa chọn công cụ cho phù hợp.
Khi chỉ tạo một tài khoản người dùng, người quản trị có thể sử dụng Active Directory Administrative
Center hoặc Active Directory Users And Computers. Tuy nhiên, trong trường hợp cần tạo nhiều tài
khoản, phải tạo gấp hoặc đã có sẵn các thông tin về tài khoản trong một cơ sở dữ liệu, thì có thể sử
dụng các công cụ khác hiệu quả hơn. Sau đây là một số công cụ:
- Dsadd.exe: công cụ dòng lệnh, cho phép tạo nhiều tài khoản và các đối tượng kiểu nút lá khác.
- Windows PowerShell: tạo các đối tượng dựa trên kịch bản.
- CSVDE.exe: (Comma-Separated Value Directory Exchange), cho phép tạo các đối tượng từ các
thông tin chứa trong tập tin dạng csv (comma-separated value).
- LDIFDE.exe: (LDAP Data Interchange Format Directory Exchange), hoạt động giống CSVDE
nhưng có nhiều chức năng hơn, có thể sử dụng LDIFDE để thêm, xóa hoặc thay đổi các đối
tượng, có thể thay đổi thông tin của schema.
Phần tiếp theo sẽ trình bày một số tình huống cụ thể trong việc tạo tài khoản người dùng.
Tạo một tài khoản người dùng bằng giao diện cửa sổ
Active Directory Administrative Center (ADAC) được giới thiệu lần đầu trong Windows Server 2008
R2, nó tiếp tục được cải tiến trong Windows Server 2012 R2. Để tạo một tài khoản người dùng bằng
ADAC, bạn thực hiện theo các bước sau:
1. Mở Server Manager, chọn trình đơn Tools, chọn mục Active Directory Administrative Center
để chạy chương trình.
2. Ở khung bên trái, chọn vị trí bạn muốn tạo tài khoản người dùng (domain, container). Ví dụ:
dalat\Domain Controllers.
237
3. Tại vùng Task, chọn New\User để mở cửa sổ Create User. Xem hình minh họa.
4. Nhập tên đầy đủ của người dùng vào mục Full Name, nhập tên đăng nhập vào mục
SamAccountName Logon.
5. Đặt mật khẩu cho tài khoản người dùng trong mục Password và Confirm password.
6. Nhập các thông tin khác cho tài khoản người dùng nếu bạn muốn.
7. Bấm OK, tài khoản người dùng sẽ được tạo trong thùng chứa (container).
8. Đóng cửa sổ Active Directory Administrative Center.
Ngoài ra, bạn có thể tạo tài khoản người dùng bằng Active Directory Users And Computers. Mở
Server Manager, chọn trình đơn Tools, chọn mục Active Directory Users And Computers, bấm chuột
phải vào nơi cần tạo tài khoản ở khung bên trái, chọn New\User, điền các thông tin tương tự như cách
trên. Xem hình minh họa.
Tạo tài khoản người dùng bằng DSADD.EXE
238
Dsadd.exe là công cụ dòng lệnh, được sử dụng để tạo tài khoản người dùng. Cú pháp của dsadd được
minh họa trong hình sau.
Để tạo tài khoản người dùng bằng dsadd.exe bạn phải cung cấp các thông tin sau:
- DN (distinguished name): thông tin nhận diện người dùng, DN là duy nhất cho mỗi người
dùng. DN gồm: tên đầy đủ (cn: common name); ou (Organization Unit) và dc (Domain
Controller) chứa tài khoản sẽ tạo. Ví dụ, để tạo tài khoản cho Nguyen Van A trong OU
ChiNhanh1, thuộc domain dalat.com, DN sẽ có dạng: cn=Nguyen Van A, ou=ChiNhanh1,
dc=dalat, dc=com.
- Login ID hay SAMid: tên đăng nhập của tài khoản, tên này là duy nhất trong toàn domain. Ví
dụ: anv@dalat.com, thì tên đăng nhập chính là avn, thuộc domain dalat.com.
Lệnh để tạo một tài khoản người dùng ở dạng đơn giản nhất là:
Dsadd user <DN> -samid <SAMid>
Ví dụ:
Dsadd user cn=“Nguyen Van A, ou=ChiNhanh1, dc=dalat, dc=com” –samid anv
Nếu muốn, bạn cũng có thể thêm các tham số khác trong quá trình tạo tài khoản.
Tạo tài khoản người dùng bằng Windows PowerShell

Trong Windows PowerShell, sử dụng lệnh New-ADUser để tạo và thực hiện các cấu hình khác liên
quan đến tài khoản người dùng. Lệnh New-ADUser có rất nhiều tham số, như hình minh họa sau.
239
Ví dụ để tạo tài khoản người dùng cho Nguyen Van C, trong OU ChiNhanh2, bạn nhập lệnh New-
ADUser với các tham số sau:
New-ADUser –Name “Nguyen Van C” –SamAccountName “cnv” –path ‘OU=ChiNhanh2, dc=dalat,
dc=com’
Ở lệnh trên, Name: tên đầy đủ; SamAccountName: tên đăng nhập, path: nơi tạo tài khoản người dùng.
Tạo tài khoản mẫu (template)

Trong một số trường hợp, việc thường xuyên phải tạo tài khoản người dùng với rất nhiều các thuộc
tính sẽ làm bạn mất nhiều thời gian.
Để khắc phục tình trạng này, bạn có thể sử dụng lệnh New-ADUser hoặc chương trình Dsadd.exe với
các thiết lập sẵn có trong kịch bản hoặc trong tập tin. Tuy nhiên, nếu bạn thích sử dụng giao diện đồ
họa, thì bạn vẫn có thể tiết kiệm thời gian trong việc tạo một tài khoản người dùng mới, bằng cách tạo
tài khoản mẫu (user template).
Tài khoản mẫu là một tài khoản người dùng, đã được thiết lập đầy đủ các thuộc tính, được sử dụng để
nhân bản thành các tài khoản mới.
Sau đây là các bước để tạo một tải khoản mẫu bằng Active Directory Users And Computers:
1. Mở Server Manager, vào trình đơn Tools, chọn Active Directory Users And Computers để mở
cửa sổ Active Directory Users And Computers.
2. Tạo tài khoản người dùng đặt tên là UserTemplate, bỏ dấu chọn ở mục User Must Change
Password At Next Logon. Đánh dấu chọn vào mục Account Is Disabled.
3. Bấm chuột phải vào UserTemplate vừa tạo, chọn Properties, điền các thông tin mà mọi tài
khoản người dùng được tạo sau này đều phải có.
Sau khi đã tạo tài khoản mẫu, nếu có nhu cầu tạo tài khoản mới, bạn chỉ việc bấm chuột phải vào
UserTemplate, chọn Copy để mở cửa sổ Copy Object-User. Xem hình minh họa.
240
Nhập các thông tin cho tài khoản mới, bấm Next, bỏ dấu chọn tại mục Account Is Disabled, bấm OK.
Hệ thống sẽ tạo ra tài khoản mới, với các thông tin đã được cấu hình sẵn cho UserTemplate trước đó.
Tạo nhiều tài khoản người dùng

Đôi khi, người quản trị phải tạo hàng trăm hoặc hàng ngàn tài khoản người dùng. Trong trường hợp
này, nếu tạo từng tài khoản sẽ rất vất vả, tốn thời gian. Phần này sẽ giới thiệu một số phương pháp để
tạo một lúc nhiều tài khoản.
Sử dụng CSVDE.EXE
Bạn có thể sử dụng một số ứng dụng như Microsoft Excel để tạo danh sách người dùng cùng với các
thông tin của họ. Sau đó, lưu nội dung trong tập tin Excel thành định dạng CSV.
Tập tin CSV (comma-separated values) là một cơ sở dữ liệu (hay một bảng dữ liệu) dưới dạng một tập
tin văn bản. Trong đó, mỗi mẩu tin được lưu thành một hàng, mỗi trường dữ liệu trong một hàng ngăn
cách nhau bởi dấu phẩy.
CSVDE.exe là một tiện ích giúp đưa dữ liệu từ một tập tin vào hệ thống AD DS và kết xuất dữ liệu của
hệ thống AD DS ra một tập tin.
Trong tập tin CSV, mẩu tin đầu tiên chính là tiêu đề của mỗi trường dữ liệu, để đưa dữ liệu vào hệ
thống AD DS, thì tiêu đề mỗi trường phải khớp với các thuộc tính của đối tượng trong AD DS schema.
Sau đây là một số thuộc tính của đối tượng trong AD DS schema:
- dn: thông tin nhận diện đối tượng, gồm tên đầy đủ và vị trí của đối tượng trong AD DS.
- samAccountName: tên đăng nhập.
- objectClass: loại đối tượng sẽ tạo, ví dụ: user, group, OU.
- telephoneNumber: số điện thoại.
- userPrincipalName: dạng tên miền của đối tượng. Ví dụ: anv@dalat.com.
Sau đây là các bước sử dụng CSVDE.exe để tạo tài khoản người dùng:
1. Mở phần mềm Microsoft Excel, tạo một bảng tính với tiêu đề gồm các nội dung: dn,
samAccountName, userPrincipalName, telephoneNumber, objectClass.
241
2. Nhập thông tin của người dùng tương ứng với các tiêu đề trên. (Lưu ý, trong Excel, nhập
'cn=Nguyen Van A,ou=ChiNhanh2,dc=dalat,dc=com thì khi xuất ra CSV sẽ được là “cn=Nguyen
Van A,ou=ChiNhanh2,dc=dalat,dc=com”). Xem hình minh họa.
3. Lưu tập tin vào ổ đĩa c:\, dưới dạng .csv. Ví dụ user.csv.
4. Mở chương trình dòng lệnh (vào Run, gõ cmd), nhập vào lệnh sau:
csvde.exe –i –f c:\user.csv
Trong đó, i là viết tắt của import (chuyển nội dung từ tập tin csv vào AD DS schema), f là viết
tắt của file (tập tin csv).
Sử dụng LDIFDE.EXE
LDIFDE.exe là chương trình có chức năng tương tự như CSVDE.exe, ngoài ra LDIFDE còn cho phép
thay đổi nội dung các bản ghi của AD DS. Ví dụ, để tạo 200 người dùng mới, bạn có thể sử dụng
CSVDE.exe hoặc LDIFDE.exe. Tuy nhiên, để thay đổi thông tin hoặc xóa các người dùng thì bạn phải
sử dụng LDIFDE.exe.
Để tạo tập tin dữ liệu đầu vào cho LDIFDE, bạn có thể sử dụng một trình soạn thảo văn bản bất kì,
miễn là tuân theo định dạng chuẩn của LDIF, lưu tập tin với đuôi là .ldf, LDIF là viết tắt của LDAP
Data Interchange Format. Dữ liệu để tạo một tài khoản người dùng có dạng như sau.
dn: cn=Nguyen Van A, ou=ChiNhanh2,dc=dalat,dc=com //tài liệu gốc ghi là dn: “cn=Nguyen Van A,
ou=ChiNhanh2,dc=dalat,dc=com” chạy sẽ bị lỗi
changetype: add
242
ObjectClass: user
SAMAccountName: anv
UserPrincipalName: anv@dalat.com
telephoneNumber: 123456789
LDIFDE hỗ trợ ba chức năng:
- Add: tạo đối tượng.
- Modify: thay đổi thuộc tính đối tượng.
- Delete: xóa đối tượng
Để chạy LDIFDE.exe, nhập lệnh sau:

ldifde -i –f <filename.ldf
Giả sử tập tin dữ liệu có tên là user.ldf trong ổ đĩa C.
ldifde -i –f c:\user.ldf
Ví dụ sau thực hiện thay đổi số điện thoại của người dùng Nguyen Van A. Lưu ý, nội dung bao gồm cả
dấu gạch ngang ở cuối. Lưu vào tập tin CapNhat.ldf.
dn: cn=Nguyen Van A, ou=ChiNhanh2,dc=dalat,dc=com
changetype: modify
replace: telephoneNumber
telephoneNumber: 1111111
-
Nhập lệnh sau để chạy:
ldifde -i –f c:\CapNhat.ldf
Sử dụng Windows PowerShell
Bạn cũng có thể sử dụng Windows PowerShell để tạo tài khoản người dùng từ tập tin .csv. Sử dụng
lệnh Import-CSV để đọc dữ liệu từ tập tin và lệnh New-ADUser để tạo tài khoản.
Để nhập dữ liệu từ tập tin được chính xác, Windows PowerShell sử dụng các tham số của nó để tham
chiếu tới các trường dữ liệu trong tập tin .csv.
Ví dụ sau tạo hàng loạt tài khoản người dùng trong OU ChiNhanh2, thuộc domain dalat.com.
- Tạo tập tin .csv chứa thông tin các tài khoản sẽ tạo, ví dụ:
243
- Mở Windows PowerShell, nhập vào dòng lệnh sau:
import-CSV user.csv | foreach

{New-ADUser –Name $_.Name –SamAccountName $_.SamAccountName –userPrincipalName
$_.userPrincipalName –path “OU=ChiNhanh2, DC=dalat, DC=com”}
Tạo tài khoản máy tính

(để tiện trình bày, phần này xem tài khoản máy tính (computer account) và đối tượng máy tính
(computer object) là một).
Vì AD DS forest quản lý tập trung tất cả các đối tượng trong danh bạ, vì vậy, nó phải có cách thức để
quản lý được các máy tính hiện đang được kết nối vào hệ thống. AD DS forest quản lý các máy tính
bằng cách tạo cho mỗi máy tính một tài khoản trong cơ sở dữ liệu của AD DS.
Lưu ý: mặc dù bạn có tài khoản người dùng và mật khẩu, nhưng nếu bạn sử dụng một máy tính chưa
có tài khoản trong AD DS thì bạn cũng không thể đăng nhập được vào hệ thống mạng.
Tài khoản máy tính cũng được lưu trong AD DS giống như tài khoản người dùng, và có một số thuộc
tính giống với tài khoản người dùng, cụ thể:
- Các thuộc tính cho biết tên, vị trí, người có quyền quản lý.
- Tài khoản máy tính sẽ bị tác động bởi các chính sách thiết lập cho đối tượng chứa nó, như
domain, site, OU.
- Tài khoản máy tính có thể là thành viên của nhóm và thừa hưởng các quyền của nhóm.
Khi người dùng đăng nhập vào hệ thống AD, máy client và domain controller sẽ thiết lập kết nối để
thực hiện quá trình chứng thực người dùng.
Tuy nhiên, trước khi quá trình chứng thực người dùng diễn ra, máy client và domain controller sẽ phải
tự thực hiện chứng thực lẫn nhau bằng tài khoản máy tính. Việc chứng thực được thực hiện bởi dịch vụ
NetLogon trên mỗi máy. Sau khi quá trình chứng thực hoàn thành, hai hệ thống sẽ tạo một kênh truyền
đảm bảo an toàn, lúc này, hệ thống đã sẵn sàng cho quá trình chứng thực người dùng.
Quá trình chứng thực giữa client và domain controller cũng diễn ra tương tự như quá trình chứng thực
người dùng, nghĩa là nó cũng sử dụng tên tài khoản và mật khẩu. Chỉ khác là, mật khẩu của tài khoản
244
máy tính được sinh tự động và không công khai. Ngay cả tài khoản thuộc nhóm Administrators cũng
không được phép can thiệp vào mật khẩu của tài khoản máy tính.
Để thêm một tài khoản máy tính vào hệ thống AD DS, cần thực hiện hai việc sau:
- Tạo tài khoản máy tính: tạo mới một tài khoản máy tính trong AD DS, tên tài khoản chính là
tên của máy tính (hostname).
- Kết nối (join) máy tính vào domain, gồm các quá trình: thiết lập mối tin cậy giữa client và
domain controller, tìm (hoặc tạo - nếu tài khoản chưa được tạo) tài khoản máy tính có tên
tương ứng với tên của client đang thực hiện kết nối, thay đổi SID cho khớp với SID của client,
thay đổi nhóm cho tài khoản máy tính.
Có nhiều cách để thực hiện hai việc trên, bằng nhiều công cụ khác nhau. Nói chung, khi bạn trang bị
thêm một máy tính mới vào hệ thống mạng thì bạn phải tạo một tài khoản cho nó. Khi một nhân viên
nghỉ việc, và một nhân viên mới vào sử dụng máy tính cũ, thì bạn không phải tạo tài khoản máy tính.
Tuy nhiên, bất cứ khi nào bạn cài lại hệ điều hành (sẽ làm thay đổi SID) thì phải thực hiện tạo tài
khoản mới cho nó.
Lưu ý: quá trình tạo tài khoản luôn phải được thực hiện trước quá trình kết nối vào domain. Bạn có thể
thực hiện hai công việc tách rời nhau, nghĩa là tạo tài khoản trước, kết nối vào domain sau. Hoặc bạn
cũng có thể thực hiện luôn quá trình kết nối một máy tính vào domain, trong quá trình thực hiện kết
nối, hệ thống sẽ yêu cầu tạo tài khoản máy tính trước khi thực hiện kết nối.
Tạo tài khoản máy tính bằng Active Directory Users And Computers
Mặc định, các nhóm Administrators, Domain Admins, và Enterprise Admin được phép tạo tài khoản
máy tính trong toàn domain, nhóm Account Operators được phép tạo, xóa tài khoản máy tính trong
thùng chứa (container) Computers của AD DS và trong các OU do bạn tạo ra. Các tài khoản khác, nếu
được người quản trị ủy quyền cũng có quyền tạo tài khoản máy tính.
Việc tạo tài khoản máy tính cũng tương tự như tạo tài khoản người dùng, bạn chọn vị trí sẽ tạo tài
khoản máy tính, bấm chuột phải, chọn New\Computer để mở cửa sổ New Object – Computer. Xem
hình minh họa.
245
Sau khi tạo xong tài khoản máy tính, bạn có thể bấm chuột phải vào tài khoản vừa tạo, chọn Properties
để mở cửa sổ Properties, tại bạn có thể xem và chỉnh sửa một số thuộc tính khác của tài khoản máy
tính. Trong đó, quan trọng nhất là mục Computer name, đây là tên của tài khoản máy tính, tên này có
thể dài tới 64 kí tự, và phải trùng với tên của máy tính sẽ kết nối tới domain.
Tạo tài khoản máy tính bằng Active Directory Administrative Center
Để tạo tài khoản máy tính, mở Server Manager, vào trình đơn Tools, chọn Active Directory
Administrative Center, chọn vị trí cần tạo tài khoản máy tính, tại khung Tasks, chọn New, chọn
Computer để mở cửa sổ Create Computer, nhập các thông tin cần thiết, bấm OK để hoàn thành.
Tạo tài khoản máy tính bằng Dsadd.exe

Khi tạo một hoặc một vài tài khoản, người quản trị thường sử dụng giao diện cửa sổ. Tuy nhiên, khi
cần tạo nhiều đối tượng, họ có thể sử dụng giao diện dòng lệnh.
Dsadd.exe là công cụ cho phép người quản trị tạo nhiều tài khoản máy tính cùng lúc. Cú pháp của lệnh
có dạng:
Dsadd computer <ComputerDN>
Trong đó ComputerDN là thông tin nhận diện đối tượng, gồm tên và vị trí của nó trong AD DS.
Ví dụ, để tạo tài khoản máy tính là May1 trong OU ChiNhanh2, thuộc domain dalat.com, bạn mở
chương trình dòng lệnh, nhập vào lệnh sau:
Dsadd computer cn=May1,OU=ChiNhanh2,dc=dalat,dc=com
Tạo tài khoản máy tính bằng Windows PowerShell

Windows PowerShell có lệnh New-ADComputer cho phép bạn tạo tài khoản máy tính, tuy nhiên, lệnh
này không thể kết nối (join) một tài khoản máy tính vào domain.
Cú pháp của lệnh là:
246
New-ADComputer –Name <computer name> -path <distinguished name>

Ví dụ, để tạo tài khoản máy tính là May1 trong OU ChiNhanh2, thuộc domain dalat.com, bạn mở
chương trình Windows PowerShell, nhập vào lệnh sau:
New-ADComputer –Name “May1” –path “OU=ChiNhanh2,dc=dalat,dc=com”
Quản lý các tài khoản trong AD

Sau khi đã tạo tài khoản người dùng và tài khoản máy tính, bạn có thể quản lý và thay đổi các thông tin
của tài khoản bằng nhiều công cụ khác nhau.
Trong Active Directory Administrative Center, bạn bấm đúp chuột vào đối tượng cần quản lý. Trong
Active Directory Users And Computers bạn chuột phải vào đối tượng và chọn Properties. Giao diện
của mỗi công cụ có thể khác nhau, tuy nhiên, nội dung của các thuộc tính thì có ý nghĩa giống nhau.
Quản lý nhiều người dùng

Trong quá trình quản lý các tài khoản người dùng, sẽ có lúc bạn phải thay đổi một thuộc tính nào đó
trên tất cả các tài khoản. Nếu bạn thực hiện tuần tự cho từng tài khoản sẽ mất rất nhiều thời gian và
nhàm chán.
Trong tình huống này, bạn có thể sử dụng Active Directory Administrative Center hoặc Active
Directory Users And Computers để thực hiện thay đổi thuộc tính cho nhiều đối tượng. Để thực hiện,
chọn các đối tượng trong khi nhấn và giữ phím Ctrl, sau đó mở Properties. Trong cửa sổ Properties sẽ
có các thuộc tính cho phép bạn thay đổi trên nhiều đối tượng. Xem hình minh họa.
247
Kết nối máy tính vào domain

Muốn kết nối máy tính nào vào domain thì phải thực hiện từ chính máy đó. Để thực hiện, đăng nhập
vào máy tính với tài khoản thuộc nhóm Administrators cục bộ.
Để kết nối máy Windows Server 2012 R2 vào domain, mở Server Manager, chọn mục Local Server,
bấm vào liên kết tại mục Computer name để mở cửa sổ System Properties, bạn sẽ thấy tên máy tính là
tên được đặt từ khi cài hệ điều hành, tên workgroup mà máy này thuộc vào là WORKGROUP. Bấm
nút Change để mở cửa sổ Compute Name/Domain Changes. Xem hình minh họa.
Đặt lại tên cho máy tính trong mục Computer Name. Lưu ý, nếu đã tạo tài khoản máy tính trên server,
thì tên tài khoản máy tính và tên máy tính phải trùng nhau. Tên máy tính là duy nhất trong domain.
Nhập tên domain trong mục Member of\Domain. Bấm OK, hệ thống sẽ yêu cầu chứng thực bằng tài
khoản Domain, đây là tài khoản được phép kết nối một máy tính vào domain.
Sau khi chứng thực thành công, domain controller sẽ tìm kiếm trong cơ sở dữ liệu của AD DS xem có
tài khoản máy tính nào đã được tạo, mà có tên trùng với tên máy tính đang muốn kết nối hay không?
Nếu có, domain controller sẽ thực hiện cập nhật lại một số thông tin của tài khoản máy tính cho phù
hợp. Nếu không có, domain controller sẽ tạo một tài khoản máy tính mới có tên trùng với tên của máy
tính đang muốn kết nối. Mặc định, vị trí tạo tài khoản máy tính là mục Computers của AD DS.
Trong trường hợp domain controller tự tạo một tài khoản máy tính, hệ thống sẽ sử dụng quyền của tài
khoản đã được chứng thực để tạo. Do vậy, tài khoản chứng thực cũng phải có quyền tạo tài khoản máy
tính trong mục (thùng chứa) Computers, ví dụ các thành viên của nhóm Administrators.
Tuy nhiên, các tài khoản domain khác vẫn có thể kết nối máy tính vào domain nếu nó được thiết lập
trong Default Domain Controllers Policy. Để thực hiện, bấm chuột phải vào Default Domain
Controllers Policy, chọn Edit, duyệt theo đường dẫn: Computer Configuration\Windows
Settings\Security Settings\Local Policies\User Rights Assignment\ kích đôi vào mục Add workstations
to domain để mở cửa sổ Add workstations to domain Properties, chọn người dùng hoặc nhóm để thiết
lập chính sách này. Xem hình minh họa.
248
Mỗi tài khoản người dùng khi được nhập vào cửa sổ Add workstations to domain Properties sẽ được
kết nối 10 máy tính vào domain, cũng có nghĩa là được tạo 10 tài khoản máy tính.
Kết nối máy tính vào domain bằng NETDOM.EXE

Cú pháp của lệnh như sau:
Netdom join <computername> /Domain:<DomainName>[/UserD:<User>
/PasswordD<UserPassword>][/OU:OUDN]
Ví dụ,
Netdom join May1 /Domain:dalat.com /UserD:Administrator /PasswordD abcd1234
Kết nối gián tiếp (offline) máy tính vào domain

Thông thường, người quản trị sẽ thực hiện kết nối một máy tính vào domain trong khi máy tính đang
có kết nối với mạng và với domain controller. Tuy nhiên, trong một số trường hợp đặc biệt, họ vẫn có
thể thực hiện kết nối một máy tính vào domain mà không cần phải có kết nối tới domain controller.
Công cụ được sử dụng để làm việc này là Djoin.exe. Để thực hiện, bạn phải chạy Djoin.exe hai lần.
Lần một là chạy trên máy tính đang có kết nối tới domain controller. Lần hai là chạy trên máy tính
đang muốn kết nối vào domain.
Ở lần chạy đầu, Djoin sẽ kết nối tới domain controller, lấy các thông tin cần thiết (ví dụ thông tin về tài
khoản máy tính), rồi lưu vào một tập tin. Cú pháp của lệnh có dạng sau:
djoin /provision /domain <domain name> /machine <computer name> /savefile <filename.txt>
Tiếp theo, bạn chép tập tin đã được tạo ở lần chạy đầu tới máy tính sẽ kết nối tới domain và chạy Djoin
lần hai. Djoin.exe sẽ chép nội dung trong tập tin vào máy tính, để sau này, khi máy tính có kết nối tới
domain controller, nó sẽ tự động kết nối vào domain. Cú nháp của lệnh có dạng sau:
djoin /requestODJ /loadfile <filename.txt> /windowspath %SystemRoot% /localos
249
Quản lý tài khoản người dùng/máy tính không sử dụng

Để cấm một tài khoản đăng nhập vào hệ thống, mà vẫn giữ nguyên các thông tin cấu hình của tài
khoản, bạn thực hiện vô hiệu tài khoản (disable). Bạn có thể thực hiện vô hiệu bằng tay hoặc tự động
bởi domain controller (ví dụ xem trong phần chính sách khóa tài khoản).
Để thực hiện vô hiệu/cho phép (disable/enable) một tài khoản bằng Active Directory Administrative
Center hoặc Active Directory Users And Computers, bạn bấm chuột phải vào đối tượng, chọn Disable
hoặc Enable. Bạn có thể thực hiện cho nhiều tài khoản cùng lúc bằng cách này.
Bạn cũng có thể thực hiện vô hiệu/cho phép tài khoản bằng Windows PowerShell, sử dụng lệnh sau:
Disable-ADAcount –Identity <account name>
Disable-ADAcount –Identity <account name>

- Tài khoản người dùng là phương tiện để kiểm soát người trong việc sử dụng các tài nguyên
trên hệ thống AD DS.
- Tạo tài khoản người dùng là công việc thường xuyên của người quản trị. Windows Server 2012
R2 cung cấp khá nhiều công cụ cho phép thực hiện việc này.
- Active Directory Administrative Center (ADAC) được giới thiệu lần đầu trong Windows Server
2008 R2, nó tiếp tục được cải tiến trong Windows Server 2012 R2. Bạn có thể sử dụng công cụ
này để tạo và quản lý tài khoản người dùng.
- Nếu công ty bạn có sẵn danh sách nhân viên cùng với các thông tin đi kèm trong một ứng
dụng nào đó. Bạn có thể kết xuất các thông tin này sang tập tin .CSV. Sau đó dùng một số công
cụ để tự động tạo tài khoản hoặc chỉnh sửa thông tin người dùng trên AD DS bằng các thông
tin có trong tập tin .CSV.
- LDIFDE là công cụ để tạo tài khoản người dùng tự động, giống như CSVDE.exe, ngoài ra, nó
còn cho phép bạn chỉnh sửa các thông tin của tài khoản người dùng trong AD DS.
- Vì AD DS forest quản lý tập trung tất cả các đối tượng trong danh bạ, nên nó phải có cách thức
quản lý các máy tính hiện đang được kết nối vào hệ thống. AD DS forest quản lý các máy tính
bằng cách tạo cho mỗi máy tính một tài khoản trong cơ sở dữ liệu của AD DS.
- Việc kết nối một máy tính vào domain phải được thực hiện trên chính máy đó, với tài khoản
đăng nhập thuộc nhóm Administrators cục bộ.
- Lệnh Djoin.exe cho phép kết nối một máy tính vào domain mà không cần có kết nối mạng giữa
máy tính và domain controller.
250

1. Chương trình nào sau đây có thể sử dụng để thêm, xóa hoặc thay đổi các đối tượng trong AD
DS, nếu cần thiết có thể thay đổi schema?
A. DCPROMO
B. LDIFDE
C. CSVDE
D. NSLOOKUP
2. Khi sử dụng CSVDE, hàng dữ liệu đầu tiên trong tập tin .CSV được gọi là gì?
A. Header row
B. Header record
C. Name row
D. Name record
3. Tiện ích nào sau đây được sử dụng để kết nối gián tiếp (offline) máy tính tới domain?
A. net join
B. join
C. djoin
D. dconnect
4. Trong Windows Server 2012 R2, loại tài khoản nào sau đây không cho phép chỉnh sửa thông
tin tài khoản?
A. Local accounts
B. Domain accounts
C. Network accounts
D. Built-in accounts
5. Trong Windows Server 2012 R2, có hai tài khoản người dùng tạo sẵn (built-in) nào?
A. Network
251
B. Interactive
C. Administrator
D. Guest
5.3 Tạo và quản lý OU, Group

OU (Organization Unit), tạm dịch là đơn vị tổ chức, được sử dụng để chứa các đối tượng khác trong
domain (người dùng, nhóm, máy tính). OU là phạm vi nhỏ nhất để áp dụng nhóm chính sách (GPO),
phạm vi lớn hơn là domain, site. Hiểu nôm na thì OU tương ứng với phòng/ban trong công ty. OU
được sử dụng để chia nhỏ domain nhằm dễ quản lý.
Khi tạo AD DS, sẽ có một OU mặc định được tạo ra, có tên là Domain Controllers.
Các nội dung sẽ được trình bày trong phần này:
- Tạo OU.
- Ủy quyền quản trị.
- Tạo, cấu hình group.
Tạo OU
OU là đối tượng đơn giản nhất trong AD DS. Để tạo OU, bạn chỉ cần cung cấp tên và vị trí của nó
trong AD DS.
Để tạo OU bằng Active Directory Administrative Center, thực hiện các bước sau:
1. Mở Server Manager, chọn trình đơn Tools, chọn Active Directory Administrative Center để
mở cửa sổ Active Directory Administrative Center.
2. Ở khung bên trái, bấm chuột phải vào đối tượng bạn muốn tạo OU trong nó, chọn New, chọn
Organization Unit để mở cửa sổ Create Organization Unit. Xem hình minh họa.
252
3. Nhập tên của OU vào mục Name.
4. Bấm OK, OU sẽ được tạo trong AD DS.
5. Đóng cửa sổ Active Directory Administrative Center.
Cách tạo OU trong Active Directory Users And Computers cũng tương tự.
Khi đã tạo ra OU, bạn có thể bấm đúp chuột vào nó để thay đổi các thuộc tính, bạn cũng có thể di
chuyển nó tới vị trí mới trong AD DS.
Áp dụng GPO trên OU

Mục đích quan trọng nhất của việc tạo OU là để áp đặt nhóm chính sách (GPO) lên từng nhóm đối
tượng. Khi áp đặt GPO lên OU thì toàn bộ các đối tượng trong nó đều bị tác động, kể cả các OU lồng
trong nó. Nhờ có OU, bạn có nhiều lựa chọn hơn trong việc thiết lập chính sách, thay vì chỉ tạo một
chính sách chung cho toàn domain.
Ủy quyền quản trị trên OU

Nhờ có OU, bạn có thể triển khai mô hình quản trị phi tập trung. Khi đó, việc quản lý một vùng cụ thể
trong domain sẽ không làm ảnh hưởng đến các phần còn lại của cả hệ thống.
Để giao bớt công việc quản trị cho người khác, bạn có thể thực hiện ủy quyền quản trị (Delegating
Authority). Việc ủy quyền quản trị có thể thực hiện ở mức site, domain, hoặc OU.
Ủy quyền quản trị giúp giảm thiểu số người có quyền trên toàn hệ thống. Điều này làm cho hệ thống
được an toàn hơn. Ngoài ra, ủy quyền quản trị cũng giúp khoanh vùng và xử lý lỗi dễ hơn.
253
Quyền quản trị là danh sách các công việc liên quan đến quản trị hệ thống AD DS, được sử dụng để
cấp cho người dùng, nhóm người dùng. Quyền quản trị có hình thức giống với quyền NTFS, quyền
trên máy in.
Sử dụng Delegation of Control để ủy quyền quản trị. Sau đây là các bước để ủy quyền quản trị trên
OU:
1. Mở Server Manager, chọn trình đơn Tools, chọn Active Directory Users And Computers, bấm
chuột phải vào OU sẽ thực hiện ủy quyền, chọn Delegate Control để mở cửa sổ Delegation of
Control.
2. Bấm Next để mở trang Users Or Groups.
3. Bấm Add để mở cửa sổ Select Users, Computers, Or Groups.
4. Muốn ủy quyền cho ai, nhóm nào, thì nhập vào cửa sổ này. Bấm OK, người được ủy quyền sẽ
nằm trong danh sách Selected Users And Groups.
5. Bấm Next để mở trang Tasks To Delegate, trang này có hai lựa chọn sau:
- Delegate The Following Common Tasks: cho phép bạn chọn các công việc ủy quyền có
sẵn.
- Create A Custom Task To Delegate: cho phép bạn tự tạo danh sách các công việc ủy
quyền.
6. Chọn mục Create A Custom Task To Delegate, bấm Next để mở trang Active Directory Object
Type. Trang này có hai lựa chọn:
- This Folder, Existing Objects In This Folder, And Creation Of New Objects In This Folder:
ủy quyền trên OU này và tất cả các đối tượng con của nó đang có và sẽ có trong tương
lai.
- Only The Following Objects In The Folder: cho phép chọn các đối tượng cụ thể để ủy
quyền. Trong mục này có thêm hai lựa chọn bổ sung. Create Selected Objects In This
Folder: cho phép tạo đối tượng. Delete Selected Objects In This Folder: cho phép xóa
đối tượng.
7. Chọn mục This Folder, Existing Objects In This Folder, And Creation Of New Objects In This
Folder, bấm Next để mở trang Permissions.
8. Lựa chọn các quyền để cấp cho đối tượng được ủy quyền. Có thể kết hợp các quyền từ ba kiểu
sau:
- General: các quyền chung, đây là các quyền có trong táp Security của mỗi đối tượng.
254
- Property-specific: các quyền theo từng thuộc tính của đối tượng.
- Creation/deletion of specific child objects: quyền tạo và xóa đối tượng.
9. Bấm Next để mở trang Completing The Delegation of Control Wizard.
10. Bấm Finish.
11. Đóng cửa sổ Active Directory Users And Computers.
Các bước ở trên đã thực hiện cấp quyền quản trị cho người dùng trên OU. Tuy nhiên, để thay đổi hoặc
gỡ bỏ các quyền đã cấp, bạn phải vào táp Security của OU. Mặc định táp Security không được hiển thị
trong Properties của OU. Để hiển thị, bạn vào trình đơn View, chọn Advanced Features.
Group
Group (nhóm người dùng) là tập hợp của các tài khoản người dùng, tài khoản máy. Group được sử
dụng để cấp quyền sử dụng tài nguyên cho nhiều người dùng.
Trong Windows Server 2012 R2, khi người dùng đăng nhập thành công vào hệ thống mạng, họ sẽ
được cấp một thẻ truy cập (access token). Thẻ truy cập này có chứa SID (định danh bảo mật - security
identifier) của người dùng và SID của các group mà người dùng đang là thành viên. Dựa vào thẻ truy
cập, domain controller sẽ xác định được quyền cụ thể của người dùng khi họ truy cập các tài nguyên
mạng.
Giả sử bạn cần cấp quyền sử dụng máy in cho 25 người trong mạng. Có hai cách để làm. Một là cấp
quyền cho từng người một. Hai là tạo ra một group chứa 25 người dùng, sau đó cấp quyền cho group.
Với cách làm thứ hai, bạn có thể thực hiện thêm các việc sau:
- Khi có thêm người dùng cần truy cập máy in, bạn chỉ cần thêm người dùng đó vào group. Khi
là thành viên của group, người dùng sẽ có toàn bộ các quyền mà group đó đang có. Ngược lại,
khi không muốn cho người dùng sử dụng máy in, bạn chỉ việc gỡ bỏ người dùng ra khỏi group.
- Khi cần thực hiện thay đổi liên quan đến việc sử dụng máy in, bạn chỉ việc thực hiện thay đổi
một lần cho cả group thay vì phải thực hiện cho từng người dùng.
Thẻ truy cập chỉ được cấp khi người dùng đăng nhập vào hệ thống mạng lần đầu. Vì vậy, khi đưa
người dùng vào group thì bạn phải thực hiện đăng xuất, rồi đăng nhập lại, khi đó, những thay đổi liên
quan đến người dùng mới được cập nhật.
Một người dùng có thể là thành viên của nhiều group. Group có thể chứa tài khoản máy tính và các
group khác. Group chứa group được gọi là group lồng nhau hay lồng group (group nesting). Ví dụ,
công ty bạn có hai group là Tiếp thị và Thiết kế. Group Thiết kế đang có quyền sử dụng máy in chất
lượng cao, nếu muốn cho group Tiếp thị cũng có quyền sử dụng máy in chất lượng cao thì bạn chỉ cần
đưa group Tiếp thị vào làm thành viên của group Thiết kế.
255
Phân loại group theo chức năng (type)

Windows Server 2012 R2 có hai cách để phân loại group. Một là phân loại theo chức năng. Hai là phân
loại theo phạm vi (scope).
Dựa vào chức năng, group được chia thành hai loại:
- Distribution group: sử dụng trong các việc liên quan đến truyền tin, truyền thông điệp đến
người dùng. Chỉ có các ứng dụng được thiết kế để làm việc với AD DS mới có thể sử dụng
group kiểu này. Ví dụ, Microsoft Exchange sử dụng các group kiểu distribution để gửi thông
điệp tới nhiều người dùng.
- Security group: sử dụng để cấp quyền sử dụng tài nguyên mạng cho người dùng.
Bạn có thể chuyển đổi qua lại giữa hai loại group này bất cứ khi nào bạn muốn.
Phân loại group theo phạm vi (scope)

Phân loại group theo phạm vi, nói nôm na là phân loại group dựa vào một số tiêu chí sau. Một là ai có
thể là thành viên của group đó. Hai là group đó được AD DS nhận ra ở những phạm vi nào (trong
domain, ngoài domain). Ba là group đó được sử dụng để làm gì.
Có ba loại group theo phạm vi là: domain local, global và universal.
Group kiểu domain local
Các đối tượng sau có thể là thành viên của group kiểu domain local:
- Tài khoản người dùng.
- Tài khoản máy tính.
- Group kiểu global trong mọi domain của forest.
- Group kiểu universal.
- Group kiểu domain local trong cùng domain.
Bạn sử dụng group kiểu domain local để cấp quyền sử dụng các tài nguyên nằm trên chính domain đó.
Ví dụ, tất cả người dùng có nhu cầu sử dụng Internet sẽ là thành viên của một group kiểu domain local.
Group kiểu global
Các đối tượng sau có thể là thành viên của group kiểu global:
- Group kiểu global trong cùng domain.
256
Group kiểu global thường được lồng vào group kiểu domain local để cấp quyền truy cập tài nguyên
trong mọi domain của forest. Thông tin của group kiểu global được nhân bản tới mọi domain controller
trong cùng domain.
Bạn sử dụng group kiểu global để nhóm những người dùng có nhu cầu truy cập tài nguyên giống nhau.
Ví dụ, những người cùng một phòng ban có thể cùng là thành viên của một group kiểu global.
Group kiểu universal
Các đối tượng sau có thể là thành viên của group kiểu universal:
- Group kiểu global thuộc mọi domain trong forest.
- Các group universal khác.
Cũng giống như group kiểu global, bạn có thể lồng group kiểu universal vào các group kiểu domain
local để cấp quyền truy cập tài nguyên trên mọi domain trong forest.
Thông tin của group kiểu universal được lưu trên global catalog, và được nhân bản tới mọi global
catalog trong forest. Do vậy, nội dung của group kiểu global không nên thay đổi thường xuyên, bởi nó
sẽ ảnh hưởng tới băng thông mạng, đặc biệt nếu các domain được kết nối với nhau bằng đường WAN.
Bạn sử dụng group kiểu universal để nhóm những người dùng và group nằm trên các domain khác
nhau trong forest.
Lồng group (nesting group)

Lồng group là thuật ngữ đề cập tới tình huống một group là thành viên của group khác. Ví dụ, khi bạn
cho group global là thành viên của group universal, bạn có thể nói: group global được lồng vào group
universal.
Lồng group giúp giảm bớt công việc liên quan đến cấp quyền sử dụng tài nguyên cho người dùng, đặc
biệt trong các hệ thống mạng gồm nhiều domain. Ví dụ, nếu hệ thống mạng gồm nhiều domain con,
người dùng trong các domain con cần truy cập tới cơ sở dữ liệu trên domain cha, cách đơn giản nhất để
thực hiện là:
1. Tạo group kiểu global trên mỗi domain con, cho tất cả người dùng có nhu cầu truy cập cơ sở
dữ liệu là thành viên của group vừa tạo.
2. Tạo group kiểu universal trên domain cha. Lồng các group kiểu global đã tạo ở bước 1 làm
thành viên của group universal.
3. Lồng group universal vào group domain local (trên domain cha). Cấp quyền truy cập cơ sở dữ
liệu cho group domain local.
Chiến lược lồng nhóm hay được sử dụng là AGUDLP. Ý nghĩa của AGUDLP là: tạo tài khoản người
dùng (Account), cho tài khoản người dùng là thành viên của group Global, lồng group global vào
257
group Universal, lồng group universal vào group Domain Local, thực hiện cấp quyền (Permission) cho
group domain local. Chiến lược này cũng có thể sử dụng trong ủy quyền quản trị.
Tạo group
Việc tạo group bằng Active Directory Administrative Center hay bằng Active Directory Users And
Computers cũng giống với quá trình tạo OU. Nghĩa là cũng cần xác định vị trí tạo group và đặt tên cho
group. Tên của group có thể dài 64 kí tự, phải là duy nhất trong domain. Ngoài ra, bạn cũng cần phải
lựa chọn group type và group scope cho phù hợp. Xem hình minh họa.
Ngoài việc sử dụng giao diện cửa sổ để tạo group, bạn cũng có thể sử dụng các công cụ dòng lệnh để
tạo một lúc nhiều group. Sau đây là một số phương pháp tạo group bằng công cụ dòng lệnh.
Dsadd group
Công cụ dsadd được sử dụng để tạo tài khoản người dùng, ngoài ra, nó cũng được dùng để tạo ra
group. Cú pháp của lệnh như sau:
Dsadd group <GroupDN> [parameters]
Trong đó, GroupDN (group distinguished name): thông tin nhận diện group, GroupDN là duy nhất cho
mỗi group. GroupDN gồm: tên group, vị trí tạo group.
Mặc định, dsadd sẽ tạo group kiểu security, global. Tuy nhiên, bạn có thể thiết lập trong các tham số để
tạo group với kiểu (type, scope) khác nhau, thiết lập thành viên cho group, và các tham số khác. Cụ
thể:
- -secgrp yes|no : kiểu của group, yes là kiểu security; no là kiểu distribution. Giá trị mặc định là
yes.
- -Scope l|g|u : kiểu dựa trên phạm vi của group, l là kiểu domain local; g là kiểu global; u là
kiểu universal. Giá trị mặc định là g.
258
- -Samid <SAMName> : tên SAM của group, xem thêm thông tin về SAM trong phần tài khoản
người dùng.
- -desc <description> : mô tả cho group.
- -memberof <GroupDN> : group sắp được tạo sẽ là thành viên của group nào.
- -members <GroupDN> tên các đối tượng sẽ là thành viên của group sẽ được tạo [//tài liệu gốc
ghi là member].
Ví dụ, lệnh sau để tạo group có tên là BanHang trong Users, cho tài khoản Administrator là thành viên
của group BanHang:
Dsadd group “CN=BanHang,CN=Users,DC=dalat,DC=com” –members
“CN=Administrator,CN=Users,DC=dalat,DC=com”
Sử dụng Windows PowerShell
Để tạo group trong Windows PowerShell, sử dụng lệnh New-ADGroup với cú pháp như sau:
New-ADGroup
-Name <group name>
-SamAccountName <SAM name>
-GroupCategory Distribution|Security
-GroupScope DomainLocal|Global|Universal
-Path <distinguished name>
Ví dụ sau tạo group có tên BanHang trong OU ChiNhanh2.
New-ADGroup –Name BanHang –SamAccountName BanHang –GroupCategory Security
-GroupScope Global –Path “OU=ChiNhanh2, DC=dalat, DC=com”
Thêm thành viên cho group

Active Directory Administrative Center cho phép thiết lập thành viên ngay lúc tạo group. Tuy nhiên,
Active Directory Users And Computers yêu cầu bạn phải tạo group trước, sau đó mới thiết lập thành
viên cho group.
Để thêm thành viên cho group, chọn group, vào trình đơn Action, chọn Properties để mở cửa sổ
Properties, chọn táp Members để thêm thành viên. Chọn táp Member Of để lồng group vào group
khác.
Quản lý thành viên của group bằng Group Policy

Ngoài việc sử dụng Active Directory Administrative Center hoặc Active Directory Users And
Computers, bạn có thể sử dụng Group Policy để thêm thành viên cho group. Các bước để thực hiện:
259
1. Mở Server Manager, vào trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ
Group Policy Management. Tạo một GPO mới và liên kết tới domain.
2. Bấm chuột phải vào GPO vừa tạo, chọn Edit để mở cửa sổ Group Policy Management Editor,
duyệt theo đường dẫn: Computer Configuration\Policies\Windows Settings\Security
Settings\Restricted Group. Xem hình minh họa.
3. Bấm chuột phải vào mục Restricted Groups, chọn mục Add group để mở cửa sổ Add Group.
4. Nhập tên hoặc bấm vào nút Browse để tìm tới group cần cấu hình, bấm OK. Tên group vừa
được chọn sẽ xuất hiện trong mục Restricted Groups, đồng thời xuất hiện cửa sổ Properties.
260
5. Bấm vào các nút Add để nhập thành viên cho group, hoặc lồng group vào group khác.
6. Bấm OK.
7. Đóng cửa sổ Group Policy Management Editor và Group Policy Management.
Việc thiết lập các thành viên của group bằng Group Policy có tính chất cố định. Nghĩa là, người quản
trị vẫn có thể sử dụng các công cụ khác để thay đổi các thành viên của group. Tuy nhiên, khi hệ thống
cập nhật lại group policy, thì trạng thái của group lại được thiết lập như ban đầu.
Quản lý group bằng DSMOD

Dsmod.exe cho phép thay đổi các thuộc tính của group, như thêm thành viên, xóa thành viên, đổi kiểu
của group, đổi phạm vi của group.
Cú pháp của lệnh:
Dsmod group <GroupDN> [parameters]
Các tham số thường được sử dụng là:
- –secgrp yes|no : yes là group kiểu security, no là kiểu distribution.
- –scope l|g|u : l là kiểu domain local, g là kiểu global, u là kiểu universal.
- –addmbr <members> : thêm thành viên cho group.
- –rmmbr <members> : xóa thành viên của group.
- –chmbr <members> : thiết lập lại toàn bộ thành viên của group.
Ví dụ, lệnh sau sẽ cho tài khoản Administrator là thành viên của group Guests:
dsmod group “CN=Guests, CN=Builtin, DC=dalat, DC=com”
-addmbr “CN=Administrator, CN=Users, DC=dalat, DC=com”
Đổi kiểu của group

Khi group đã được tạo ra, bạn vẫn có thể thực hiện thay đổi kiểu (type) và phạm vi (scope) của nó. Để
thực hiện, mở cửa sổ Properties của group cần thay đổi, chọn táp General, thực hiện các tùy chọn.
Lưu ý, việc thay đổi phạm vi của group phải tuân theo quy định trong bảng sau:
Chuyển sang Chuyển sang Chuyển sang

Domain Local Global Universal
Từ Domain Local Không được Không được Được, nếu group

không chứa group
domain local khác.
261
Từ Global Không được Không được Được, nếu group

không chứa group
global khác.
Từ Universal Được Được, nếu group Không được

không chứa group
universal khác.
Xóa Group
Cũng giống như tài khoản người dùng, mỗi group sẽ có một định danh (SID) duy nhất, định danh này
không thể sử dụng lại được. Định danh được hệ thống sử dụng trong quá trình phân quyền sử dụng tài
nguyên.
Khi xóa group, Windows Server 2012 R2 sẽ loại bỏ SID vĩnh viễn, kể cả khi tạo một group mới có tên
trùng với group đã bị xóa thì SID cũng sẽ được tạo mới. Điều này có nghĩa là, khi xóa group, hệ thống
sẽ xóa luôn các quyền đã được cấp cho group đó, và không thể phục hồi lại các quyền đã cấp bằng
cách tạo lại group vừa xóa.
Xóa group chỉ loại bỏ tên, SID của group và các quyền đã được cấp cho group, mà không xóa các
thành viên trong group.

- Thêm OU vào AD DS đơn giản hơn nhiều so với việc thêm một domain vào AD DS. Với OU, bạn
vừa dễ di chuyển, có thể xóa đi, cũng không cần phải đầu tư thêm phần cứng.
- OU có thể chứa người dùng và máy tính như group, tuy nhiên, bạn không thể phân quyền cho
một nhóm người dùng cùng lúc bằng OU được, để làm điều này bạn phải tạo group.
- OU được sử dụng để ủy quyền quản trị, chia nhỏ hệ thống để quản trị, các thiết lập trên OU
không làm ảnh hưởng đến các phần còn lại của hệ thống AD DS.
- Group được sử dụng để gán quyền truy cập tài nguyên cho nhiều người dùng hoặc máy tính.
- Group được phân loại dựa trên chức năng và phạm vi. Dựa theo chức năng có hai loại:
security và distribution. Dựa theo phạm vi có ba loại: domain local, global, universal.
- Lồng group là khái niệm để chỉ việc group này là thành viên của group khác.
- Có thể thiết lập thành viên cho group bằng công cụ group policy, thiết lập trong Restricted
Groups.

1. Group nào được sử dụng để tập hợp người dùng và group trên nhiều domain hoặc toàn
forest?
262
A. Global
B. Domain local
C. Built-in
D. Universal
2. Phát biểu nào không đúng về mục đích tạo OU?
A. Để tạo một thùng chứa cố định, không thể di chuyển hoặc đổi tên.
B. Mô phỏng các phòng ban trong tổ chức trên hệ thống AD DS.
C. Ủy quyền quản trị.
D. Tạo các chính sách riêng biệt bằng group policy, sau đó áp dụng trên các nhóm người
dùng và máy tính.
3. Việc chuyển đổi kiểu của group nào sau đây không cho phép làm trong mọi tình huống?
A. Từ global sang universal
B. Từ global sang domain local
C. Từ universal sang global
D. Từ domain local sang universal
4. Trong domain đang chạy ở chế độ Windows Server 2012 R2 (Windows Server 2012 R2 domain
functional level), các đối tượng nào có thể là thành viên của group kiểu global? (chọn nhiều
đáp án)
A. Các tài khoản người dùng.
B. Các tài khoản máy tính.
C. Group kiểu universal.
D. Group kiểu global.
5. Khi bạn sử dụng Active Directory Users And Computers để xóa một group kiểu global, tuy
nhiên, hệ thống không cho phép thực hiện. Đâu là nguyên nhân? (chọn nhiều đáp án)
A. Group đang còn chứa các thành viên.
263
B. Group có chứa thành viên được thiết lập là primary group.
C. Tài khoản hiện tại không có quyền xóa các đối tượng.
D. Không thể xóa group kiểu global bằng công cụ Active Directory Users And Computers.
264
Chương 6. Tạo và quản lý các nhóm chính sách

Nhóm chính sách (group policy) hay chính sách hệ thống là các thiết lập cho hệ điều hành Windows,
nhằm kiểm soát hoạt động của hệ thống máy tính. Nhóm chính sách gồm các chính sách cho người
dùng và cho máy tính.
Đối với máy tính, các chính sách sẽ được thiết lập khi khởi động (startup) và khi tắt máy (shutdown).
Đối với người dùng, các chính sách sẽ được thiết lập khi đăng nhập (logon) và khi thoát ra (logoff).
Bạn có thể tạo ra một hoặc nhiều nhóm chính sách, mỗi nhóm chính sách được chứa trong một đối
tượng gọi là GPO (group policy object).
Để áp dụng nhóm chính sách lên một thùng chứa (domain, site, hoặc OU) trong AD DS, bạn thực hiện
gắn GPO vào (link) thùng chứa. Khi đó, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO.
Một GPO có thể áp dụng cho nhiều thùng chứa. Một thùng chứa cho phép gắn nhiều GPO.
Các nội dung sẽ được đề cập trong chương này:
- Tạo GPO
- Cấu hình các chính sách bảo mật
- Quản lý ứng dụng
- Cấu hình tường lửa của Windows
Tạo GPO
GPO có thể tác động lên tất cả người dùng và máy tính theo phạm vi OU, domain hoặc site. Tuy nhiên,
nếu sử dụng chức năng lọc (filter), bạn có thể áp dụng GPO trên các người dùng hoặc máy tính cụ thể.
Sau đây là các ích lợi của việc sử dụng nhóm chính sách:
- Dễ dàng quản lý các chính sách liên quan đến người dùng, ứng dụng, và màn hình desktop
- Quản lý dữ liệu của người dùng hiệu quả
- Cấu hình quản lý các máy client nhanh chóng và tự động

- Cấu hình Central Store
- Tạo và quản lý GPO
- Áp dụng GPO
- Chức năng lọc
265
GPO
GPO là một đối tượng, được sử dụng để chứa các thiết lập mà bạn muốn áp dụng cho người dùng và
máy tính trong domain, site hoặc OU. Để áp dụng GPO, bạn sẽ thực hiện gắn GPO tới domain, site
hoặc OU. Các công việc liên quan đến nhóm chính sách gồm: tạo GPO, lưu GPO, sử dụng GPO.
Có ba loại GPO: local GPO, nonlocal GPO và starter GPO.
Local GPO (LGPO)
Mọi hệ điều hành Windows đều có hỗ trợ local GPO. Các bản windows từ phiên bản Windows Server
2008 R2 và Windows Vista trở đi, có hỗ trợ nhiều local GPO. Do vậy, bạn có thể thiết lập GPO riêng
biệt cho tài khoản administrator và các GPO khác cho người dùng còn lại. Điều này rất hữu ích trong
trường hợp máy tính có nhiều người dùng chung, nhưng không thiết lập hệ thống AD DS. Đối với các
bản Windows cũ hơn, bạn chỉ có thể tạo được một local GPO, và local GPO này sẽ được áp dụng lên
tất cả người dùng.
Local GPO có một số hạn chế so với domain GPO. Cụ thể, local GPO không hỗ trợ việc chuyển hướng
thư mục (folder redirection), không hỗ trợ cài đặt phần mềm, ít các thiết lập liên quan đến bảo mật.
Nếu các thiết lập giữa local GPO và nonlocal GPO có xung đột, thì các thiết lập của nonlocal GPO sẽ
được ưu tiên hơn.
Nonlocal GPO
Nonlocal GPO là các GPO được tạo ra ở AD DS, được gắn tới site, domain và OU (tạm gọi là thùng
chứa). Sau khi được gắn tới các thùng chứa, các thiết lập của GPO sẽ tác động lên tất cả người dùng và
máy tính có trong thùng chứa.
Starter GPO
Starter GPO là GPO chuẩn, trong đó có chứa các thiết lập cơ bản, cần thiết đối với một domain GPO
(các nonlocal GPO nhưng không phải là Starter GPO?!). Starter GPO được giới thiệu từ bản Windows
Server 2008. Khi bạn tạo GPO mới dựa trên starter GPO, các thiết lập của starter GPO sẽ được chép
sang GPO mới.
Cấu hình Central Store

Trong các phiên bản Windows cũ, nội dung của GPO được chứa trong các tập tin dạng ADM (token-
based administrative template). Từ Windows Server 2008 và Windows Vista, nội dung của GPO được
chứa trong tập tin dạng ADMX (XML-based file format).
Các thiết lập của GPO thường được tổ chức dưới dạng các mẫu (administrative template). Mẫu là một
tập tin, trong đó chứa các thiết lập của GPO, các thiết lập sẽ làm thay đổi nội dung của registry.
Trong các phiên bản Windows cũ, mỗi khi GPO được tạo ra, nội dung của GPO được chứa trong tập
tin dạng ADM, hệ thống sẽ chép một bản của tập tin dạng ADM vào thư mục SYSVOL trên máy
domain controller.
Đối với hệ thống AD DS lớn, cần có rất nhiều GPO, mỗi tập tin của GPO có kích thước chuẩn là 4
MB. Điều này sẽ làm cho thư mục SYSVOL bị phình lớn, với rất nhiều thông tin dư thừa. Thông tin
trong SYSVOL lại được nhân bản tới tất cả các domain controller trong domain. Đây là một hạn chế
cần phải khắc phục.
266
Để giải quyết vấn đề này, nội dung của GPO sẽ được lưu trong tập tin dạng ADMX, sau đó lưu tập tin
ADMX vào Central Store. Mỗi domain controller có một Central Store. Để sử dụng Central Store, bạn
phải chép thư mục chứa chính sách tới thư mục SYSVOL.
Mặc định, chương trình Group Policy Management Console (GPMC) lưu các tập tin ADMX trong thư
mục \%systemroot%\PolicyDefinitions, cụ thể với hầu hết các máy sẽ là:
C:\Windows\PolicyDefinitions. Để tạo Central Store, bạn phải chép toàn bộ nội dung của
PolicyDefinitions tới domain controller tại vị trí %systemroot%\SYSVOL\sysvol\<domain
name>\Policies, hoặc theo dạng tên quy ước là: \\<domain name>\SYSVOL\<domain name>\Policies.
Sử dụng Group Policy Management Console

Group Policy Management Console (GPMC) là một công cụ trong bộ MMC (Microsoft Management
Console). GPMC được sử dụng để tạo, quản lý và sử dụng các GPO. Để mở và biên tập một GPO, bạn
sử dụng công cụ Group Policy Management Editor.
Bạn có thể tạo GPO trước, sau đó gắn GPO tới domain, site, hoặc OU. Hoặc bạn cũng có thể thực hiện
hai việc trên cùng một lúc.
Trong Windows Server 2012 R2, các công cụ làm việc với GPO được cài đặt tự động cùng với AD
DS. Tuy nhiên, nếu máy tính chưa có, bạn vẫn có thể thực hiện cài đặt các công cụ làm việc với GPO
riêng biệt bằng Add Roles And Features Wizard trong Server Manager. Các công cụ làm việc với GPO
cũng có trong gói Remote Server Administration Tools.
Tạo và gắn nonlocal GPO

Nếu bạn muốn để nguyên tất cả các GPO do Windows tạo ra, nhằm giữ nguyên sự ổn định của hệ
thống, thì bạn nên tạo mới các GPO, sau đó gắn các GPO này tới các thùng chứa mà bạn quan tâm
trong AD DS.
Sau đây là các bước thực hiện:
1. Mở Active Directory Administrative Center, trong AD DS tạo một OU có tên là KinhDoanh.
2. Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ
Group Policy Management. Xem hình minh họa.
267
3. Xổ nút Forest\Domain, chọn nút Group Policy Objects. Tất cả các GPO hiện có của domain sẽ
xuất hiện trong cửa sổ Group Policy Objects.
4. Để tạo GPO mới, bấm chuột phải vào Group Policy Objects, chọn New để mở cửa sổ New
GPO.
5. Nhập tên cho GPO trong mục Name, bấm OK. GPO vừa được tạo sẽ xuất hiện trong cửa sổ
bên phải.
6. Ở cửa sổ bên trái, bấm chuột phải vào domain, site hoặc OU để gắn GPO, chọn Link An
Existing GPO để mở cửa sổ Select GPO.
7. Chọn GPO vừa tạo (hoặc bất kì GPO nào bạn muốn) để gắn vào đối tượng, bấm OK. GPO sẽ
xuất hiện trong cửa sổ bên phải, trong táp Link Group Objects. Xem hình minh họa.
268
8. Đóng cửa sổ Group Policy Management Console.
Bạn có thể tạo và gắn GPO tới AD DS cùng lúc bằng cách bấm chuột phải vào domain, site hoặc OU,
chọn mục Create A GPO In This Domain And Link It Here.
GPO có tính kế thừa, nghĩa là nếu bạn gắn GPO tới một thùng chứa của AD DS, các chính sách của
GPO sẽ được áp đặt lên tất cả các thành phần bên trong của thùng chứa.
Chức năng lọc trong GPO

Thực chất, sau khi gắn GPO tới một thùng chứa, mọi người dùng và máy tính trong thùng chứa sẽ có
quyền đọc (read) và áp dụng (apply) các nội dung có trong GPO.
Nhóm Authenticated Users là nhóm có thành viên là toàn bộ người dùng và máy tính đã vượt qua được
bước chứng thực khi đăng nhập vào domain. Khi GPO áp dụng trên các thùng chứa, nó sẽ áp dụng lên
toàn bộ các đối tượng vừa thuộc Authenticated Users và vừa thuộc thùng chứa. Như vậy, bằng cách
gán quyền trên GPO cho người dùng và máy tính cụ thể, bạn có thể thực hiện áp dụng GPO một cách
linh hoạt hơn.
Để lựa chọn người dùng hoặc máy tính chịu sự tác động của GPO, tại cửa sổ Group Policy
Management Console, bạn chọn GPO ở khung bên trái, trong phần Security Filtering, sử dụng hai nút
Add và Remove để thay thế nhóm Authenticated Users bằng các đối tượng khác chịu sự tác động của
GPO. Khi đó, chỉ có người dùng, máy tính nằm trong thùng chứa và có trong phần Security Filtering
mới nhận được các thiết lập của GPO. Xem hình minh họa.
269
Starter GPO
Starter GPO là GPO chuẩn, bao gồm các thiết lập cơ bản. Bạn sẽ sử dụng starter GPO để tạo ra các
GPO với cùng các thiết lập cơ bản. Việc tạo và cấu hình starter GPO cũng giống như các GPO thông
thường.
Để tạo starter GPO, bạn bấm chuột phải vào mục Starter GPO, chọn New, nhập tên cho starter GPO,
bấm OK để tạo. Sau khi tạo xong, bạn mở starter GPO bằng Group Policy Management Editor để cấu
hình.
Chú ý: khi bạn mở mục Starter GPO lần đầu, bạn sẽ được hệ thống nhắc tạo thư mục để chứa các
starter GPO. Bạn bấm vào nút hướng dẫn để tạo.
Sau khi tạo và cấu hình, bạn có thể sử dụng starter GPO làm nền tảng để tạo các GPO mới. Để thực
hiện, bấm chuột phải vào starter GPO, chọn New GPO From Starter GPO. Hoặc bạn có thể tạo GPO
mới theo cách thông thường, sau đó, trong mục Source Starter GPO, bạn chỉ định starter GPO cho
GPO sắp được tạo. Lệnh New-GPO trong Windows PowerShell cũng hỗ trợ việc tạo GPO từ starter
GPO. Sau khi tạo GPO, bạn sẽ tiếp tục thực hiện thêm các cấu hình khác kết hợp với các cấu hình sẵn
có từ starter GPO.
Cấu hình nhóm chính sách

Nhóm chính sách được sử dụng để tùy biến màn hình desktop, cấu hình bảo mật và thiết lập môi
trường làm việc của người dùng. Các cấu được chia thành hai loại là:
- Computer Configuration: các cấu hình tại đây sẽ áp dụng trên máy tính
- User Configuration: các cấu hình tại đây sẽ áp dụng trên người dùng
270
Computer Configuration và User Configuration cũng là tên của hai nút trong cấu trúc cây GPO.
Các thiết lập của GPO có thể áp dụng trên máy client, người dùng, server thành viên và domain
controller. Phạm vi tác động tùy thuộc vào thùng chứa mà GPO gắn vào. Mặc định, khi gắn một GPO
tới thùng chứa, mọi đối tượng trong thùng chứa đều bị tác động bởi GPO.
Trong mỗi nút Computer Configuration và User Configuration đều có các nút con sau:
- Software Settings: chứa các thiết lập liên quan đến cài đặt phần mềm (software installation).
Các thiết lập nằm trong nút Computer Configuration sẽ tác động lên máy tính đang chịu sự
tác động của GPO, mà không phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút
User Configuration sẽ tác động lên người dùng đang chịu sự tác động của GPO mà không
quan tâm tới họ đăng nhập từ máy tính nào.
- Windows Settings: các thiết lập nằm trong nút Computer Configuration liên quan đến bảo
mật và kịch bản (script), sẽ tác động lên máy tính đang chịu sự tác động của GPO, mà không
phân biệt ai đang đăng nhập vào. Các thiết lập nằm trong nút User Configuration liên quan
đến chuyển hướng thư mục (folder redirection), bảo mật và các kịch bản, sẽ tác động lên
người dùng đang chịu sự tác động của GPO mà không quan tâm tới họ đăng nhập từ máy tính
nào.
- Administrative Templates: gồm hàng ngàn các thiết lập sẵn (thiết lập mẫu), là các thiết lập
dựa trên registry. Nội dung của các thiết lập được lưu trong tập tin .admx. Đây là các thiết lập
liên quan đến giao diện người dùng.
Để làm việc với Administrative Templates, bạn cần hiểu rõ ba trạng thái khác nhau của mỗi thiết lập:
- Not Configured: đây là trạng thái của hầu hết các thiết lập trong GPO. Khi thực thi nhóm chính
sách, GPO sẽ không thay đổi, không ghi đè giá trị của registry.
- Enabled: GPO sẽ bật chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì.
- Disabled: GPO sẽ tắt chức năng này trong registry, nó không quan tâm đến giá trị trước đó là
gì.
Hiểu được ba trạng thái trên giúp bạn làm việc hiệu quả với kế thừa trong GPO và xử lý xung đột khi
áp dụng nhiều GPO lên cùng một thùng chứa. Ví dụ, khi một GPO với độ ưu tiên thấp bật (enabled)
một chính sách, nếu bạn muốn tắt (disabled) chính sách đó bằng GPO với độ ưu tiên cao hơn, bạn phải
thiết lập trạng thái disabled chứ không thể thiết lập trạng thái Not Configured.
Tạo các local GPO

Với các máy tính không là thành viên của AD DS (chưa kết nối miền), thường được gọi là các hệ
thống độc lập (standalone), nếu chúng đang chạy hệ điều hành từ Windows Vista hoặc Windows
271
Server 2008 R2 trở lên, bạn có thể tạo nhiều local GPO cho các người dùng khác nhau trên hệ thống.
Các local GPO được chia thành ba loại sau:
- Local group policy: nhóm chính sách này tương tự như nhóm chính sách cục bộ trong các hệ
điều hành cũ. Local group policy gồm các thiết lập cho máy tính và cho người dùng. Local
group policy sẽ tác động trên mọi người dùng cục bộ, không phân biệt người quản trị hay
người dùng thông thường. Trong các loại local GPO, chỉ có nhóm chính sách này mới chứa các
thiết lập cho máy tính.
- Administrators and nonadministrators group policy: nhóm chính sách này gồm hai GPO, một
áp dụng cho nhóm Administrators cục bộ, và một áp dụng cho tất cả người dùng cục bộ còn
lại. Nhóm chính sách này không chứa các thiết lập cho máy tính.
- User-specific group policy: nhóm chính sách này gồm các GPO áp dụng cho mỗi người dùng cụ
thể, không áp dụng được cho nhóm. Nhóm chính sách này không chứa các thiết lập cho máy
tính.
Thứ tự áp dụng các loại local GPO được thực hiện như sau: đầu tiên là Local group policy, sau đó là
Administrators and nonadministrators group policy và cuối cùng là User-specific group policy. Lưu ý:
các thiết lập được thực hiện sau sẽ đè lên các thiết lập trước đó nếu có tranh chấp.
Trên máy tính là thành viên của domain, các local GPO sẽ được thực hiện trước, sau đó là các GPO
của domain.
Bạn sử dụng Group Policy Object Editor để tạo và cấu hình local GPO. Các bước thực hiện như sau:
1. Mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console.
2. Vào trình đơn File, chọn Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.
3. Từ danh sách Available Snap-Ins, chọn Group Policy Object Editor và bấm Add để mở cửa sổ
Select Group Policy Object.
4. Để tạo Local group policy GPO bấm Finish. Để tạo local GPO loại hai hoặc loại ba, bấm nút
Browse để mở cửa sổ Browse For A Group Policy Object.
5. Chọn táp Users. Xem hình minh họa.
272
6. Để tạo local GPO loại hai, chọn Administrators hoặc Non-Administrators và bấm OK. Để tạo
local GPO loại ba, chọn người dùng cụ thể, bấm OK. Local GPO sẽ xuất hiện trong cửa sổ
Select Group Policy Object.
7. Bấm Finish. local GPO sẽ xuất hiện trong cửa sổ Add Or Remove Snap-Ins.
8. Bấm OK. Snap-in của local GPO sẽ xuất hiện trong cửa sổ MMC (Console).
9. Bấm trình đơn File, chọn Save As để mở cửa sổ Save As.
10. Nhập tên cho Console để lưu trong Administrative Tools.
11. Đóng MMC.
Để cấu hình cho local GPO vừa tạo, bạn mở console vừa tạo trong Administrative Tools. Cách thực
hiện: mở cửa sổ Run, gõ lệnh MMC để mở cửa sổ Console, vào trình đơn File, chọn Open, chọn
console cần mở.

- Nhóm chính sách chứa các chính sách được thiết lập cho người dùng và máy tính. Các chính
sách sẽ được thực thi trong quá trình máy tính khởi động, và trong quá trình người dùng đăng
nhập. Các chính sách được sử dụng để điều chỉnh môi trường làm việc của người dùng, triển
khai các yêu cầu về bảo mật hệ thống, giúp quản trị người dùng và màn hình desktop dễ dàng.
- Trong AD DS, nhóm chính sách sẽ được gắn vào site, domain, và OU. Trên máy cục bộ, chỉ có
duy nhất một local GPO được phép thiết lập các chính sách cho máy tính. Các thiết lập của
local GPO sẽ bị ghi đè nếu có tranh chấp với các thiết lập nonlocal GPO.
273
- Group Policy Management là công cụ được dùng để tạo và thiết lập cách chính sách trong
GPO.

1. Các công cụ làm việc với nhóm chính sách có thể truy cập loại tập tin nào trong Central Store?
A. ADM
B. ADMX
C. Group Policy Objects
D. Security templates
2. Trong máy cục bộ có nhiều local GPO, local GPO nào có quyền ưu tiên cao nhất?
A. Local group policy
B. Administrators group policy
C. Non-Administrators group policy
D. User-specific group policy
3. Để áp dụng GPO trên một nhóm người dùng cụ thể trong OU, bạn sử dụng kĩ thuật nào sau
đây?
A. GPO linking (gắn GPO)
B. Administrative templates (thiết lập theo mẫu)
C. Security filtering (lọc)
D. Starter GPOs
4. Sau đây là các mô tả về stater GPO, mô tả nào phù hợp nhất?
A. Starter GPO được sử dụng như một bản mẫu để tạo ra các GPO mới
B. Starter GPO là GPO đầu tiên tác động trên mọi máy client của domain
C. Starter GPO sử dụng một giao diện đơn giản giúp người dùng dễ thao tác
D. Starter GPO chứa tất cả các thiết lập có trong default domain policy GPO
274
5. Có một chức năng trong hệ thống đã được thiết lập là disabled, bạn muốn thay đổi chức năng
này bằng cách sử dụng GPO, cụ thể, trong GPO bạn thiết lập giá trị cho nó là Not Configured.
Kết quả của thiết lập này là?
A. Trạng thái của chứng năng đó vẫn là disabled
B. Trạng thái của chứng năng đó sẽ chuyển thành Not Configured
C. Trạng thái của chứng năng đó sẽ chuyển thành enabled
D. Thiết lập này sẽ tạo ra lỗi tranh chấp
Cấu hình chính sách bảo mật

Quản lý môi trường làm việc của người dùng và hoạt động của máy tính theo hình thức tập trung là
một trong các chức năng chính của nhóm chính sách. Hầu hết các thiết lập liên quan đến chính sách
bảo mật được chứa tại mục Windows Settings trong nút Computer Configuration của GPO. Tại đây,
bạn có thể quy định cách thức chứng thực người dùng, họ được phép sử dụng các tài nguyên nào,
chính sách về thành viên của nhóm, theo dõi các hoạt động của người dùng, nhóm người dùng.
Các thiết lập trong nút Computer Configuration sẽ tác động lên máy tính, nó không quan tâm tới ai
đang đăng nhập vào máy tính đó. Các thiết lập trên nút Computer Configuration có nhiều tùy chọn hơn
so với các thiết lập trên nút User Configuration.
- Chính sách cục bộ
- Theo dõi người dùng
- Quyền hạn của người dùng
- Thiết lập chính sách bảo mật
- Thiết lập mẫu
- Người dùng, nhóm người dùng cục bộ
- UAC (user account control)
Chính sách cục bộ

Chính sách cục bộ là công cụ để thiết lập các quyền hạn và theo dõi hoạt động của người dùng trên
máy cục bộ.
Chính sách cục bộ là các thiết lập chứa trong nút Security Settings\Local Policies của GPO. Nút Local
Policies gồm ba nút con: Audit Policy, User Rights Assignment và Security Options.
275
Lưu ý: chính sách cục bộ là các thiết lập áp dụng trên máy cục bộ, do vậy, nếu bạn thiết lập chính sách
cục bộ trên nonlocal GPO, chính sách này sẽ áp dụng lên tài khoản máy tính có trong thùng chứa đang
chịu sự tác động của GPO.
Chính sách theo dõi người dùng

Chính sách theo dõi người dùng được thiết lập trong nút audit policy. Người quản trị có thể theo dõi
các hành động của người dùng khi thành công (successful), lẫn khi thất bại (failed). Ví dụ, bạn có thể
theo dõi các loại hành động sau: đăng nhập, truy cập tài khoản, truy cập đối tượng. Bạn cũng có thể
theo dõi các hành động của hệ thống.
Trước khi thiết lập chính sách theo dõi, bạn cần xác định máy nào sẽ được theo dõi, và theo dõi các
loại hành động nào. Với mỗi loại hành động, bạn lại phải quyết định là theo dõi các trường hợp thành
công, hay các trường hợp thất bại, hay cả hai. Dựa trên các kết quả theo dõi, bạn sẽ có những nhận
định về tình hình sử dụng tài nguyên, tình trạng bảo mật của hệ thống.
Các loại hành động bạn có thể theo dõi được minh họa trong hình sau:
Với Windows Server 2012 R2, kết quả theo dõi các hành động được lưu ở hai nơi: lưu trên domain
controller hoặc lưu trên máy cục bộ nơi hành động xảy ra. Cụ thể, các hành động có liên quan đến AD
DS sẽ được ghi lại trong security log của domain controller, các sự kiện liên quan đến máy cục bộ sẽ
được ghi lại trong event log của máy cục bộ.
Việc theo dõi tất cả các hoạt động, trên tất cả các máy là không thực tế, mà bạn cần phải lựa chọn các
đối tượng cho phù hợp, nhằm tránh tình trạng phải lưu trữ quá nhiều thông tin. Sau đây là một số lưu ý
giúp bạn thực hiện theo dõi hiệu quả:
- Chỉ theo dõi những thứ cần thiết: bạn nên xác định các hành động cần theo dõi, và với hành
động đó, việc ghi lại những trường hợp thành công quan trọng hơn, hay trường hợp thất bại
quan trọng hơn. Vì mục đích sau cùng là thu thập thông tin mà bạn đang quan tâm.
- Theo dõi để hỗ trợ quá trình ra quyết định: bạn có thể thực hiện ghi chép lại các hành động để
làm cơ sở khi ra quyết định bổ sung thêm tài nguyên cho hệ thống.
276
- Xác định không gian lưu trữ phù hợp: kích thước vùng đĩa cần thiết để lưu các ghi chép phụ
thuộc vào số lượng các hành động bạn dự định theo dõi. Bạn có thể cấu hình thông tin này tại
Computer Configuration\Windows Settings\Security Settings\Event Log trong mỗi GPO.
Để cấu hình theo dõi người dùng, bạn cần xác định hành động nào cần theo dõi, và theo dõi trên đối
tượng nào. Sau đây là các bước thực hiện:
1. Mở Server Manager, chọn trình đơn Tools, chọn mục Group Policy Management để mở cửa sổ
Group Policy Management.
2. Theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm, chọn mục Group Policy
Objects, trong này sẽ chứa tất cả các GPO hiện có của domain.
3. Bấm chuột phải vào mục Default Domain Policy GPO, chọn Edit để mở cửa sổ Group Policy
Management Editor.
4. Theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings\Local

Policies\Audit Policy, các chính sách liên quan đến theo dõi người dùng sẽ xuất hiện ở khung
bên phải.
5. Bấm đúp chuột vào chính sách mà bạn muốn thiết lập để mở cửa sổ Properties. Xem hình
minh họa.
6. Đánh dấu chọn vào mục Define These Policy Settings.
277
7. Muốn theo dõi trường hợp thành công, chọn mục Success. Muốn theo dõi trường hợp thất
bại chọn mục Failure. Hoặc chọn cả hai.
9. Đóng cửa sổ Group Policy Management Editor.
Sau khi hệ thống AD DS cập nhật các chính sách vừa được cấu hình tại Default Domain Policy GPO,
toàn bộ các máy tính trong domain sẽ bị tác động bởi chính sách này.
Để theo dõi hành động truy cập đối tượng, bạn thực hiện cấu hình ở một trong hai mục sau:
- Audit Directory Service Access: theo dõi người dùng khi họ truy cập các đối tượng của AD DS
như Users, OU.
- Audit Object Access: theo dõi người dùng khi họ truy cập tập tin, thư mục, máy in, registry.
Sau đó, bạn tìm tới đối tượng cần theo dõi, bấm chuột phải, chọn Properties, chọn táp Security, bấm
vào nút Advanced, chọn táp Auditing, và chọn người dùng cần theo dõi.
Thiết lập quyền hạn của người dùng

Quyền hạn của người dùng được thiết lập trong mục User Rights Assignment. Trong mục này bao gồm
các thiết lập liên quan đến các thao tác hệ thống. Cụ thể xem trong hình minh họa dưới đây.
Ví dụ, người dùng muốn đăng nhập trực tiếp (locally) vào domain controller thì họ phải được cho phép
trong mục Alllow Log On Locally hoặc họ phải là thành viên của một trong các nhóm sau: Account
Operators, Administrators, Backup Operators, Print Operators, hoặc Server Operators. Vì các nhóm
này, mặc định đã được cấu hình cho phép đăng nhập trực tiếp trong Default Domain Controllers Policy
GPO.
278
Các thiết lập liên quan đến thao tác hệ thống khác gồm: tắt máy (shutdown), quyền sở hữu đối tượng
(ownership), khôi phục tập tin và thư mục, đồng bộ dữ liệu.
Các cấu hình bảo mật khác

Một số cầu hình bảo mật khác được chứa trong nút Security Options. Ở đây bao gồm các thiết lập liên
quan đến quá trình đăng nhập, chữ kí số, hạn chế truy cập ổ đĩa, quá trình chứng thực và giao tiếp an
toàn trong AD DS. Cụ thể xem trong hình minh họa.
Thiết lập mẫu

Thiết lập mẫu (security template) là tập hợp các thiết lập bảo mật được lưu trong tập tin .inf. Các mẫu
này chứa hầu hết các thiết lập có trong một GPO, chỉ khác là chúng được tổ chức theo một hình thức
thống nhất, do vậy, bạn có thể dễ dàng: tạo, cấu hình và tái sử dụng.
Các thiết lập có thể triển khai trong mẫu gồm: theo dõi người dùng, thiết lập quyền hạn người dùng,
cấu hình bảo mật. Bạn có thể kết hợp các mẫu với nhóm chính sách và kịch bản.
Tạo và sử dụng mẫu

Tập tin .inf là dạng tập tin thuần văn bản, chứa các thiết lập ở nhiều hình thức khác nhau. Bạn có thể
mở và biên tập mẫu bằng trình soạn thảo văn bản bất kì. Tuy nhiên, Windows Server 2012 R2 có cung
cấp sẵn công cụ, giúp bạn tạo và biên tập mẫu dễ dàng hơn.
Để tạo và quản lý mẫu, bạn sử dụng snap-in Security Templates trong MMC. Ngoài ra, bạn cũng có
thể tải công cụ Security Compliance Manager (SCM) từ trang web của Microsoft. Mặc định,
Administrative Tools của Windows Server 2012 R2 không có sẵn Security Templates. Vì vậy, bạn
phải tự thêm Security Templates.
Sau đây là các bước để tạo mẫu:
279
1. Mở cửa sổ Run, nhập MMC để mở cửa sổ Console.
2. Vào trình đơn File, chọn mục Add/Remove Snap-In để mở cửa sổ Add Or Remove Snap-Ins.
3. Trong khung Available Snap-Ins, chọn Security Templates để mở cửa sổ Add Or Remove Snap-
Ins.
4. Bấm OK, snap-in vừa tạo sẽ xuất hiện trong MMC.
5. Vào trình đơn File, chọn mục Save As để mở cửa sổ Save As.
6. Nhập tên cho snap-in vào mục File name, bấm Save để lưu.
7. Bấm chuột phải vào thưc mục chứa mẫu ở khung bên trái, chọn New Template để tạo mẫu,
nhập tên cho mẫu, bấm OK để tạo. Xem hình minh họa.
Mẫu vừa được tạo là mẫu trắng, cho phép thực hiện nhiều thiết lập giống với trong GPO. Bạn có thể
thay đổi giá trị của các thiết lập như khi làm việc với GPO.
Sau khi thực hiện thiết lập cho mẫu, để sử dụng mẫu, bạn sẽ thực hiện khớp mẫu vào GPO. Khi khớp
mẫu vào GPO, các thiết lập của mẫu được chuyển thành các thiết lập của GPO.
Sau đây là các bước để khớp mẫu vào GPO:
1. Mở Server Manager, vào trình đơn Tools, chọn Group Policy Management để mở cửa sổ
2. Duyệt theo đường dẫn Forests\Domains để mở domain mà bạn quan tâm. Chọn mục Group
Policy Objects, các GPO hiện có sẽ xuất hiện ở cửa sổ bên phải.
280
3. Bấm chuột phải vào GPO mà bạn muốn khớp mẫu, bấm Edit để mở cửa sổ Group Policy
Management Editor.
4. Duyệt theo đường dẫn Computer Configuration\Policies\Windows Settings\Security Settings.

Bấm chuột phải vào nút Security Settings, chọn mục Import Policy để mở cửa sổ Import Policy
From.
5. Tìm tới nơi chứa mẫu, chọn mẫu, bấm Open để khớp các thiết lập có trong mẫu vào GPO.
6. Đóng cửa sổ Group Policy Management Editor và Group Policy Management.
Người dùng và nhóm người dùng cục bộ

Windows Server 2012 R2 cung cấp hai giao diện để tạo và quản lý tài khoản người dùng cục bộ. Đó là
User Accounts trong Control Panel và snap-in Local Users and Groups thuộc Computer
Management\System Tools trong MMC. Cả hai giao diện này đều truy cập tới Security Account
Manager (SAM), là nơi lưu trữ các thông tin của người dùng và nhóm.
Tuy nhiên, chức năng của hai giao diện có khác nhau, cụ thể:
- User Accounts: giao diện này có một số hạn chế trong việc cấu hình. Cụ thể, nó cho phép tạo
tài khoản, thay đổi một số thuộc tính. Tuy nhiên, nó không cho tạo nhóm và quản lý thành
viên của nhóm.
- Local Users And Groups: giao diện này cho phép thực hiện tất cả các cấu hình liên quan đến
tài khoản, nhóm.
Khi cài đặt, Windows Server 2012 R2 luôn tạo sẵn hai tài khoản người dùng là Administrator và
Guest. Mặc định, tài khoản Guest bị vô hiệu (disable).
Sau khi được cài đặt, do trên hệ thống Windows Server 2012 R2 chỉ có tài khoản Administrator là có
hiệu lực, nên bạn sẽ đăng nhập vào hệ thống bằng tài khoản này. Đây là tài khoản có quyền quản trị
cao nhất, bạn có thể sử dụng tài khoản này để tạo các tài khoản mới hoặc thực hiện các cấu hình khác.
Sử dụng User Accounts
Để ý: chỉ khi Windows Server 2012 R2 đang hoạt động ở chế độ Workgroup mới có mục User
Accounts trong Control Panel. Nếu máy tính đã kết nối vào domain thì bạn phải sử dụng snap-in Local
Users And Groups để tạo tài khoản người dùng. Nếu máy tính đã được nâng cấp thành domain
controller thì sẽ không có tài khoản cục bộ và nhóm cục bộ.
Mặc định, mục User Accounts trong Control Panel chỉ cho phép tạo tài khoản người dùng bình thường
(standard account), để thiết lập một tài khoản có quyền quản trị, bạn phải thay đổi kiểu (type) của nó
trong mục Change Your Account Type. Trong Change Your Account Type, việc lựa chọn giữa hai loại
tài khoản Standard và Administrator thực chất là đưa tài khoản vào làm thành viên của nhóm, Standard
là nhóm Users, Administrator là nhóm Administrators.
Sử dụng snap-in Users And Groups
281
Users And Groups là một phần của Computer Managerment. Để tạo tài khoản người dùng cục bộ bằng
Users And Groups, bạn thực hiện các bước sau:
1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ
2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Users để xem danh sách các tài
khoản người dùng cục bộ hiện có.
3. Bấm chuột phải vào mục Users, chọn New User để mở cửa sổ New User. Xem hình minh họa.
4. Nhập tên (tên đăng nhập) cho tài khoản trong mục User Name. Đây là phần thông tin bắt
buộc.
5. Nhập tên đầy đủ của tài khoản trong mục Full Name và mô tả tài khoản trong mục
Description. Phần này không bắt buộc.
6. Nhập mật khẩu trong mục Password và nhập lại mật khẩu trong mục Confirm Password. Phần
này không bắt buộc.
7. Tùy theo yêu cầu, đánh dấu chọn vào các mục sau:
- User Must Change Password At Next Logon: người dùng phải đổi mật khẩu trong lần
đăng nhập đầu tiên.
282
- User Cannot Change Password: người dùng không được thay đổi mật khẩu.
- Password Never Expires: mật khẩu không bao giờ hết hạn.
- Account Is Disable: tài khoản tạo ra sẽ bị vô hiệu.
8. Bấm nút Create để tạo tài khoản, tên của tài khoản sẽ xuất hiện trong danh sách.
9. Bấm nút Close.
Tạo nhóm cục bộ

Để tạo nhóm cục bộ bằng Users And Groups, bạn thực hiện các bước sau:
1. Mở Server Manager, vào trình đơn Tools, chọn Computer Management để mở cửa sổ
2. Ở khung bên trái, chọn mục Local Users And Groups, chọn Groups để xem danh sách các
nhóm cục bộ hiện có.
3. Bấm chuột phải vào mục Groups, chọn New Group để mở cửa sổ New Group.
4. Nhập tên cho nhóm trong mục Group Name. Đây là phần thông tin bắt buộc. Nếu muốn, bạn
có thể nhập thông tin mô tả cho nhóm trong mục Description.
5. Bấm nút Add để mở cửa sổ Select Users.
6. Nhập các thành viên của nhóm, bạn có thể nhập trực tiếp vào hộp thoại, mỗi thành viên cách
nhau bởi dấu “;”. Bạn cũng có thể gõ một phần của tên, sau đó bấm nút Check Names; hoặc
bạn cũng có thể sử dụng nút Advanced để tìm các thành viên. Bấm OK.
7. Bấm nút Create để tạo nhóm.
8. Bấm Close.
Nhóm cục bộ không thể chứa thành viên là nhóm cục bộ khác. Tuy nhiên, nếu máy tính đã được kết
nối vào domain, nhóm cục bộ có thể chứa thành viên là các nhóm hoặc người dùng domain.
Cơ chế kiểm soát tài khoản người dùng (UAC)

Một vấn đề hay gặp trong thực tế là người dùng được cấp quyền nhiều hơn so với những gì họ cần.
Điều này tiềm ẩn những rủi ro liên quan đến bảo mật hệ thống. Ví dụ, tài khoản administrator hoặc
283
nhóm Administrators sẽ có toàn quyền trên hệ điều hành, tuy nhiên, nếu người dùng chỉ cần chạy một
số ứng dụng trên hệ thống thì không nhất thiết phải có những quyền này.
Với hầu hết người dùng, họ sẽ sử dụng tài khoản bình thường (standard user). Nếu bạn là một người
quản trị hệ thống, bạn có thể sử dụng giải pháp là: đăng nhập vào hệ thống bằng tài khoản bình thường
(standard user), và chỉ đăng nhập bằng tài khoản quản trị khi thực sự cần thiết. Việc phải thoát ra và
đăng nhập lại nhiều lần thường gây ảnh hưởng xấu đến tâm lý và hiệu quả của công việc.
Để giải quyết vấn đề này, Windows Server 2012 R2 sử dụng cơ chế kiểm soát tài khoản người dùng
(UAC: User Account Control). Cơ chế UAC sẽ duy trì một tài khoản hoạt động ở mức bình thường, và
chỉ chuyển sang hoạt động ở chế độ quản trị khi có xác nhận trực tiếp của người dùng.
Chuyển sang chế độ quản trị
Windows Server 2012 R2 sử dụng thẻ (token) để kiểm soát tài khoản. Khi bạn đăng nhập thành công
vào hệ thống, bạn sẽ được cấp thẻ, thẻ này cho biết bạn có quyền ở mức nào. Thẻ này sẽ theo người
dùng từ khi đăng nhập tới khi thoát khỏi hệ thống.
Trong các bản Windows trước Windows Server 2008 và Windows Vista, người dùng bình thường sẽ
nhận thẻ loại bình thường, người thuộc nhóm Administrators sẽ nhận thẻ quản trị.
Trong Windows Server 2012 R2, nhờ có UAC nên người dùng bình thường sẽ luôn nhận thẻ bình
thường, nhưng người quản trị sẽ nhận được cả hai thẻ: bình thường và quản trị. Mặc định người quản
trị sẽ thao tác dựa trên thẻ bình thường. Khi nào họ thực hiện thao tác cần đến quyền quản trị thì hệ
thống sẽ xuất hiện cửa sổ, yêu cầu cung cấp tên và mật khẩu của tài khoản quản trị. Lúc này, người
quản trị sẽ thao tác dựa trên thẻ quản trị. Cơ chế này gọi là Admin Approval Mode. Xem hình minh
họa.
Trước khi người quản trị thực hiện công việc, hệ thống có thể sẽ yêu cầu xác minh lại công việc sẽ
thực hiện, việc này để ngăn chặn các chương trình phá hoại cài vào hệ thống. Xem hình minh họa.
284
Chế độ secure desktop

Mỗi khi Windows Server 2012 R2 bật lên cửa sổ yêu cầu chứng thực, hoặc xác minh như trong phần
UAC, nghĩa là nó đang sử dụng chế độ secure desktop.
Secure desktop là một trạng thái hoạt động của hệ điều hành Windows. Ở trạng thái này, hệ thống sẽ
vô hiệu tất cả các cửa sổ và ứng dụng khác, chỉ để lại duy nhất cửa sổ chứng thực hoặc xác minh. Mục
đích của secure desktop là để ngăn chặn các chương trình độc hại giả mạo quá trình chứng thực hoặc
xác minh.
Cấu hình UAC

Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Để thay đổi các thiết lập của UAC hoặc
vô hiệu UAC, bạn mở Control Panel, trong ô Search Control Panel nhập Action Center, chọn mục
Action Center, trong cửa sổ Action Center chọn mục Change User Account Control settings để mở cửa
sổ User Account Control settings. Xem hình minh họa.
285
Có bốn mức độ bạn có thể thiết lập cho UAC gồm:

- Always Notify Me: mức độ cảnh báo cao nhất.
- Notify Me Only When Apps Try To Make Changes To My Computer: mức độ cảnh báo thấp
hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều hành.
- Notify Me Only When Apps Try To Make Changes To My Computer (Do Not Dim My Desktop):
mức độ cảnh báo thấp hơn, không cảnh báo khi thay đổi các thiết lập liên quan đến hệ điều
hành, khi cảnh báo không sử dụng chế độ secure desktop.
- Never Notify Me: không cảnh báo, vô hiệu UAC.
Bạn có thể cấu hình thêm các thuộc tính của UAC trong mục Security Options của Nhóm chính sách
(Group Policy) và trong chính sách bảo mật cục bộ (Local Security Policy).

- Hầu hết các thiết lập liên quan đến bảo mật hệ thống đều nằm trong nút Computer
Configuration\Windows Settings của GPO.
- Chính sách cục bộ là công cụ để thiết lập các quyền hạn của người dùng trên máy cục bộ, và
thiết lập chế độ theo dõi hoạt động của người dùng.
- Người quản trị có thể theo dõi các hành động của người dùng khi thành công (successful), khi
thất bại (failed), hoặc cả hai.
286
- Người quản trị có thể sử dụng các thiết lập mẫu (security template) để: theo dõi người dùng,
thiết lập quyền hạn người dùng, cấu hình bảo mật, và các thiết lập khác.
- Khi một người đang sử dụng tài khoản bình thường muốn thực hiện một chức năng có yêu
cầu quyền cao hơn, họ sẽ phải chứng thực lại bằng một tài khoản có chức năng quản trị.
- Mặc định, Windows Server 2012 R2 luôn bật chức năng UAC. Bạn có thể thay đổi các thiết lập
của UAC hoặc vô hiệu UAC.

1. Để triển khai một mẫu bảo mật cho tất cả các máy tính trong AD DS, bạn sử dụng các công cụ
nào sau đây (chọn nhiều đáp án)?
A. Active Directory Users and Computers
B. Security Templates snap-in
C. Group Policy Object Editor
D. Group Policy Management
2. Bạn có thể thêm thành viên cho nhóm nào sau đây bằng Control Panel (chọn nhiều đáp án)?
A. Users
B. Power Users
C. Administrators
D. Non-Administrators
3. Công cụ nào sau đây được sử dụng để thực hiện các cấu hình cho thiết lập mẫu?
A. Active Directory Users and Computers
B. Security Templates snap-in
C. Group Policy Object Editor
D. Group Policy Management
4. Trong Windows Server 2012 R2, các nhóm cục bộ của hệ thống (buitl-in) sẽ nhận các thiết lập
đặc biệt thông qua cơ chế nào?
A. Security options
287
B. Các luật của Windows Firewall
C. Quyền NTFS
D. Quyền hạn người dùng (user right)
5. Trong Windows Server 2012 R2, sau khi cấu hình và triển khai Audit Directory Service Access,
bạn phải làm gì tiếp theo thì hệ thống mới thực hiện theo dõi việc truy cập Active Directory?
A. Sử dụng Active Directory Users and Computers để lựa chọn các đối tượng trong Active
Directory sẽ bị theo dõi
B. Phải đợi cho tới khi chính sách theo dõi được gửi tới tất cả các domain controller trong
mạng
C. Phải mở Audit Directory Service Access Properties và chọn tất cả các đối tượng cần
theo dõi trong Active Directory
D. Thêm dấu gạch thấp ( _ ) vào tên của các đối tượng Active Directory mà bạn muốn
theo dõi
6.3 Chính sách hạn chế phần mềm ứng dụng

Để thiết lập các chính sách nhằm hạn chế việc sử dụng phần mềm ứng dụng, bạn thực hiện trong mục
Software Restriction Policies của GPO.
Các nội dung sẽ đề cập trong phần này:
- Cấu hình Software Restriction Policies
- Cấu hình các luật
- Cấu hình AppLocker
Cấu hình Software Restriction Policies

Trong GPO, mục Software Restriction Policies nằm tại Windows Settings\Security Settings. Nó có
trong cả hai nút User Configuration và Computer Configuration. Mặc định, Software Restriction
Policies ở trạng thái rỗng. Khi tạo chính sách, trong Software Restriction Policies sẽ xuất hiện hai mục
con là Security Levels và Additional Rules.
Mục Security Levels dùng để định nghĩa các quy định chung. Additional Rules dùng để định nghĩa các
quy định cho từng phần mềm.
Hạn chế bắt buộc
Mặc định, khi chưa thực hiện cấu hình Software Restriction Policies, quyền thực thi các phần mềm
được quy định bởi quyền NTFS.
288
Khi đã thực hiện cấu hình Software Restriction Policies, quyền NTFS không còn được xét đến, việc
quản lý quyền thực thi phần mềm sẽ dựa trên ba chiến lược sau:
- Unrestricted: chính sách này cho phép mọi phần mềm đều được chạy, ngoại trừ các phần
mềm đã bị cấm một cách tường minh.
- Disallowed: chính sách này cấm mọi phần mềm thực thi, ngoại trừ các phần mềm đã được
cho phép một cách tường minh.
- Basic User: các phần mềm cần chạy bằng quyền quản trị sẽ không được thực thi, tuy nhiên
các phần mềm chạy bằng quyền người dùng vẫn được thực thi.
Bạn cần căn cứ vào yêu cầu cụ thể của công ty/tổ chức để lựa chọn chiến lược cho phù hợp. Thông
thường, mức bảo mật mặc định (Default Security Level) được thiết lập trong Security Level là
Unrestricted.
Ví dụ, trong môi trường đòi hỏi bảo mật cao, bạn chỉ muốn chạy một số phần mềm cụ thể, bạn sẽ thiết
lập mức bảo mật mặc định là Disallowed. Ngược lại, trong môi trường không cần bảo mật cao, bạn có
thể thiết lập mức bảo mật mặc định là Unrestricted. Sau đó, bạn sẽ tạo ra các luật để cấm hoặc cho
phép các phần mềm cụ thể được chạy.
Sau đây là các bước để thiết lập mức bảo mật mặc định là Disallowed.
1. Mở Server Manager, chọn trình đơn Tools, chọn Group Policy Management để mở cửa sổ
2. Duyệt theo đường dẫn Forest, Domains, chọn domain mà bạn quan tâm, chọn mục Group
Policy Objects, các GPO hiện có của domain sẽ xuất hiện ở khung bên phải.
3. Bấm chuột phải vào GPO bạn quan tâm, chọn Edit để mở cửa sổ Group Policy Management
Editor.
4. Trong nút Computer Configuration hoặc User Configuration chọn mục Software Restriction
Policies.
5. Chuột phải vào mục Software Restriction Policies, chọn New Software Restriction Policies để
tạo chính sách.
6. Mở nút Security Levels ở khung bên phải. Để ý sẽ thấy mức bảo mật mặc định (Default
Security Level) được thiết lập là Unrestricted.
7. Để chuyển mức bảo mật mặc định là Disallowed, bạn kích đôi chuột vào mục Disallowed, bấm
vào nút Set as Default. Xuất hiện cửa sổ cảnh báo của Software Restriction Policies.
8. Bấm Yes, để chấp nhận. Đóng cửa sổ Group Policy Management Editor và Group Policy
Management.
289
Cấu hình các luật hạn chế phần mềm

Hiệu lực của chính sách hạn chế phần mềm là sự kết hợp ở cả hai nơi: Security Levels và Additional
Rules. Trong đó, các chính sách trong Additional Rules được xét trước, sau đó đến các chính sách
trong Security Levels. Các thiết lập trong Additional Rules có độ ưu tiên cao hơn trong Security
Levels.
Để tạo luật mới trong Additional Rules, bạn bấm chuột phải vào nút Additional Rules, có bốn loại luật
bạn có thể chọn:
- Hash rules
- Certificate rules
- Path rules
- Network zone rules
Khi chọn một trong bốn loại luật trên, hệ thống sẽ xuất hiện cửa sổ cho phép bạn thiết lập các thông số
của luật. Như hình ví dụ sau:
Hash rules
Hash là một chuỗi kí số có kích thước cố định, nó là định danh duy nhất của mỗi chương trình hay tập
tin. Hash được sinh ra dựa trên thuật toán, thuật toán này đảm bảo giá trị hash sinh ra là duy nhất cho
mỗi tập tin.
290
Khi bạn tạo một luật dựa trên hash của tập tin, hệ thống sẽ lưu giá trị hash của tập tin trong Software
Restriction Policies. Khi người dùng muốn chạy tập tin, hệ thống sẽ so khớp giá trị hash của tập tin với
giá trị hash của nó trong Software Restriction Policies, nếu hai giá trị này khớp nhau, luật sẽ được thực
thi.
Do giá trị hash được tạo dựa trên tập tin, nên khi bạn di chuyển tập tin tới vị trí khác thì giá trị hash
vẫn không bị thay đổi. Tuy nhiên, nếu chương trình phá hoại làm thay đổi nội dung của tập tin, dẫn tới
giá trị hash bị thay đổi, khi đó, luật trong Software Restriction Policies sẽ không cho chương trình
được thực thi.
Certificate rules
Certificate rule là luật dựa vào chứng chỉ số (digital certificate) của mỗi phần mềm. Chứng chỉ số giúp
xác định tính hợp pháp của phần mềm. Bạn có thể sử dụng certificate rule để cho phép các phần mềm
có nguồn gốc tin cậy được chạy và cấm các phần mềm còn lại. Bạn cũng có thể sử dụng certificate rule
để cho phép chạy các phần mềm đang bị cấm bởi thiết lập Disallowed.
Path rules
Path rule là luật dựa trên vị trí của phần mềm trên hệ thống lưu trữ. Bạn có thể sử dụng path rule để
cho chạy các phần mềm bị cấm bởi thiết lập Disallowed, hoặc cấm chạy các phần mềm do thiết lập
Unrestricted.
Vị trí của phần mềm có thể xác định bằng vị trí của nó trong thiết bị lưu trữ, hoặc thông tin về vị trí
được khai báo trong cấu trúc Registry.
Tạo luật (path rule) dựa trên vị trí của phần mềm có hạn chế là khi bạn thay đổi vị trí lưu trữ của phần
mềm sẽ làm cho luật không còn tác dụng. Ngược lại, nếu dựa vào thông tin vị trí của phần mềm trong
Registry sẽ luôn đảm bảo luật được thực thi, vì khi bạn thay đổi vị trí lưu trữ của phần mềm, giá trị
trong Registry sẽ được cập nhật tự động.
Network zone rules
Network zone rule là luật áp dụng cho các phần mềm được cài đặt bằng Windows Installer từ máy cục
bộ (local computer), local intranet, trusted sites, restricted sites hoặc Internet. Bạn có thể sử dụng luật
kiểu này để chỉ cho phép cài đặt các phần mềm có nguồn gốc đáng tin cậy trên hệ thống mạng. Ví dụ,
thiết lập Internet zone rule để không cho phép Windows Installer tải về và cài đặt các phần mềm từ
Internet và các nơi khác trên mạng.
Sử dụng nhiều luật
Trong một Software Restriction Policies, bạn có thể kết hợp nhiều loại luật trong Additional Rules và
nhiều chiến lược bảo mật trong Security Levels. Ví dụ, bạn có thể sử dụng một path rule để cấm chạy
phần mềm trong thư mục \\Server1\Accounting, một path rule để cho phép chạy phần mềm trong thư
mục \\Server 1\Application. Bạn cũng có thể kết hợp certificate rule và hash rule.
Sau đây là thứ tự ưu tiên của các luật, luật có số thứ tự nhỏ hơn sẽ có độ ưu tiên cao hơn:
1. Hash rules
2. Certificate rules
3. Network zone rules
291
4. Path rules
Khi có xung đột giữa các luật, luật có độ ưu tiên cao hơn sẽ được áp dụng. Ví dụ, nếu có xung đột giữa
hash rules và path rules, thì hash rules sẽ được áp dụng.
Khi có sự xung đột giữa hai luật cùng loại trên một phần mềm, thì luật nào có sự hạn chế phần mềm
nhiều hơn sẽ được áp dụng. Ví dụ, một luật là Unrestricted và một luật là Disallowed thì luật sẽ được
áp dụng là Disallowed.
Cấu hình cho Software Restriction Policies

Bạn có thể thiết lập các thuộc tính cho mục Software Restriction Policies, các thuộc tính này sẽ tác
động trên toàn bộ các chính sách trong Software Restriction Policies.
Có ba thuộc tính bạn có thể thiết lập cho Software Restriction Policies là: Enforcement, Designated
File Types, và Trusted Publishers.
Thuộc tính Enforcement
Thuộc tính này cho phép bạn lựa chọn: sẽ áp dụng chính sách cho tất cả các tập tin của ứng dụng bao
gồm cả các tập tin DLL (dynamic link library), hay không áp dụng trên các tập tin DLL. Ở chế độ mặc
định, chính sách sẽ không áp dụng trên các tập tin DLL. Xem hình minh họa.
Một ví dụ về ứng dụng Enforcement trong thực tế, Default Security Level được thiết lập là Disallowed
và Enforcement được thiết lập là All Software, khi đó bạn sẽ phải tạo các chính sách để kiểm soát các
tập tin DLL, ngược lại nếu trong Enforcement bạn loại ra các tập tin DLL, thì bạn sẽ không phải quan
tâm tới việc kiểm soát các DLL.
Thuộc tính Designated File Types
292
Thuộc tính Designated File Types được sử dụng để xác định các loại tập tin sẽ bị tác động bởi các luật.
Các loại tập tin được chọn ở đây sẽ áp dụng cho tất cả các luật trong Software Restriction Policies.
Thuộc tính Trusted Publishers

Thuộc tính Trusted Publishers cho phép người quản trị thiết lập chính sách liên quan đến certificate
rule cho hệ thống. Xem hình minh họa.
293
Trong cửa sổ Trusted Publishers Properties, phần Trusted publisher management cho phép xác định ai
được phép quản lý nguồn cấp certificate. Mặc định, administrator máy cục bộ có quyền xác định nguồn
cấp certificate cho máy cục bộ, enterprise administrators có quyền xác định nguồn cấp certificate cho
một OU. Đối với các hệ thống có yêu cầu bảo mật cao, người dùng không được phép lựa chọn nguồn
cấp certificate.
Sử dụng AppLocker
Software Restriction Policies là một công cụ mạnh, tuy nhiên, nó đòi hỏi người quản trị phải thực hiện
nhiều việc hơn. Đặc biệt, nếu bạn cấu hình theo kiểu disallowed, khi đó ngoài việc tạo luật để cho các
phần mềm ứng dụng được chạy, bạn còn phải tạo luật cho rất nhiều các chương trình của chính
Applocker còn có tên gọi khác là Application Control Policies. Applocker là một chức năng của
Windows, nó kiểm soát ứng dụng thông qua các luật, tuy nhiên việc tạo luật rất đơn giản.
Các luật của Applocker có thể áp dụng cho từng user hoặc từng group cụ thể. Bạn cũng có thể tạo luật
để áp dụng cho tất cả các phiên bản trong tương lai của một ứng dụng.
Hạn chế của Applocker là các chính sách của nó chỉ áp dụng được trên các máy tính cài Windows 7 và
Windows Server 2008 R2 trở lên.
Các loại luật
Các thiết lập của AppLocker được lưu trong các GPO, cụ thể tại Computer Configuration\Windows
Settings\Security Settings\Application Control Policies\AppLocker. Xem hình minh họa.
294
AppLocker chứa bốn nút, trong đó chứa các luật sau:

- Executable Rules: chứa các luật áp dụng cho các tập tin có phần mở rộng là .exe và .com
- Windows Installer Rules: chứa các luật áp dụng cho các gói cài đặt bằng Windows Installer, các
tập tin có phần mở rộng là .msi và .msp
- Script Rules: chứa các luật áp dụng cho các tập tin dạng script, với phần mở rộng là .ps1, .bat,
.cmd, .vbs, và .js
- Package App Rules: chứa các luật áp dụng cho các ứng dụng mua từ Windows Stores
Khi tạo luật trong mỗi nút, việc cho phép chạy hoặc cấm chạy một tài nguyên có thể dựa vào một trong
các cách sau:
- Publisher: dựa vào chứng chỉ số của phần mềm, có thể tạo luật áp dụng cho mọi phiên bản
của phần mềm.
- Path: dựa vào tên của tập tin hoặc thư mục, hạn chế của cách này là mọi tập tin đều có thể bị
luật này tác động, nếu tên hoặc vị trí của nó khớp với luật.
- File Hash: dựa vào giá trị hash của tập tin
Thiết lập default rules

Khi được bật, AppLocker sẽ khóa tất cả các tập tin thực thi, các installer package, các script (ngoại trừ
các đối tượng đã được áp dụng luật Allow). Vì vậy, bạn cần phải tạo ra luật để cho phép chạy các tập
tin cần thiết cho Windows và các ứng dụng hệ thống. Để thực hiện, bấm chuột phải vào từng nút trong
AppLocker, chọn Create Default Rules.
295
Default rules của mỗi nút cũng giống như các luật thông thường, do vậy, bạn có thể nhân bản, thay đổi
hoặc xóa nếu cần. Bạn cũng có thể tự tạo các luật trong Default rules, miễn là đảm bảo Windows hoạt
động bình thường mà không cần can thiệp gì thêm.
Để sử dụng AppLocker, phải bật dịch vụ Application Identify, mặc định, dịch vụ này thuộc loại khởi
chạy bằng tay, do vậy, bạn phải khởi chạy nó trong cửa sổ Services trước khi Windows có thể áp dụng
các chính sách của AppLocker.
Tạo luật tự động
Ưu điểm lớn nhất của AppLocker là khả năng tạo luật tự động. Để thực hiện, bấm chuột phải vào nút
cần tạo luật, chọn Automatically Generate Rules để mở của sổ Automatically Generate Rules Wizard.
Sau khi chọn thư mục, user và group chịu sự tác động của luật, trang Rule Preferences xuất hiện, trang
này cho phép chọn loại luật sẽ được tạo. Sau đó xuất hiện trang Review Rules, tóm tắt nội dung của
luật và thêm luật vào nút.
Tạo luật thủ công
Ngoài việc tạo luật tự động, bạn cũng có thể tạo luật thủ công. Để thực hiện, bấm chuột phải vào nút
cần tạo luật, chọn Create New Rule. Wizard yêu cầu bạn cung cấp các thông tin sau:
- Action: xác định hành động của luật là allow (cho chạy) hay deny (cấm chạy). Trong
AppLocker, luật deny có độ ưu tiên cao hơn luật allow.
- User Or Group: lựa chọn đối tượng chịu sự tác động của luật
- Conditions: xác định loại luật sẽ được tạo, luật sẽ chạy dựa trên chữ kí số, tên của tập tin, hay
giá trị hash.
- Exceptions: xác định các ngoại lệ

- Software Restriction Policies là một chức năng trong Group Policy, cho phép bạn kiểm soát
việc thực thi của các phần mềm trên máy tính.
- Default Security Level là chế độ bảo mật mặc định được thiết lập trong Security Level, chế độ
này có ba tùy chọn: một là unrestricted – cho phép mọi phần mềm đều được chạy, ngoại trừ
các phần mềm đã bị cấm một cách tường minh; hai là disallowed - cấm mọi phần mềm thực
thi, ngoại trừ các phần mềm đã được cho phép một cách tường minh; ba là basic user - các
phần mềm cần chạy bằng quyền quản trị sẽ không được thực thi, các phần mềm chạy bằng
quyền người dùng được thực thi.
- Software Restriction Policies có bốn loại luật, gồm (theo thứ tự ưu tiên): Hash rules,
Certificate rules, Path rules và Network zone rules. Khi được tạo ra, các luật này sẽ có độ ưu
tiên cao hơn và sẽ thay thế các luật tương ứng trong Default Security Level.
296
- AppLocker là một chức năng trong Group Policy, nó cũng cho phép bạn kiểm soát việc thực thi
của các phần mềm trên máy tính. Sử dụng AppLocker đơn giản hơn so với Software
Restriction Policies.

1. Loại luật nào sau đây không có trong Software Restriction Policies của Windows Server 2012
R2?
A. Hash rules
B. Certificate rules
C. Path rules
D. Firewall rules
2. Trong Software Restriction Policies, chiến lược nào sẽ cấm chạy mọi phần mềm, ngoại trừ các
phần mềm đã được Administrator cho phép chạy một cách tường minh?
A. Basic user
B. Disallowed
C. Power user
D. Unrestricted
3. Tình huống nào sau đây làm cho hash rule bị mất tác dụng trong việc kiểm soát các phần
mềm? (chọn tất cả các khả năng)
A. Khi bạn di chuyển tập tin đang được thiết lập hash rule tới thư mục khác.
B. Khi bạn nâng cấp tập tin đang được thiết lập hash rule lên phiên bản mới.
C. Khi tập tin đang được thiết lập hash rule bị virus làm thay đổi nội dung.
D. Khi bạn thay đổi quyền sử dụng (NTFS) trên tập tin đang được thiết lập hash rule.
4. Loại luật nào sau đây sẽ kiểm soát các tập tin có phần mở rộng là .msi?
A. Executable rules
B. Windows Installer rules
C. Script rules
297
D. Packaged app rules
5. Bạn phải khởi chạy bằng tay dịch vụ nào sau đây của Windows, để AppLocker có thể thực
hiện các chính sách của nó?
A. Application Identity
B. Application Management
C. Credential Manager
D. Network Connectivity Assistant
6.4 Cấu hình Windows Firewall

Bạn có thể đặt các máy server trong phòng biệt lập để đảm bảo an toàn, tuy nhiên, các server vẫn phải
kết nối với hệ thống mạng. Thông qua kết nối mạng, server sẽ trao đổi dữ liệu với bên ngoài. Để đảm
bảo an toàn cho server, trong khi vẫn đáp ứng được nhu cầu sử dụng của người dùng, bạn cần thiết lập
và cấu hình tường lửa (firewall).
Firewall là một phần mềm, được sử dụng để bảo vệ máy tính hoặc hệ thống mạng. Firewall sẽ kiểm
soát việc đi vào và đi ra của các gói dữ liệu. Nó thực hiện chức năng này bằng cách kiểm tra nội dung
của gói tin, so sánh nội dung của gói tin với các luật đã được thiết lập, để quyết định có cho gói tin đó
đi qua hay không.
Mục đích của firewall là cho phép các gói tin cần thiết đối với nghiệp vụ của người dùng được phép đi
qua và cấm tất cả các gói tin còn lại.
Khi làm việc với firewall, chúng ta không quan tâm tới vấn đề chứng thực và phân quyền.
- Windows Firewall
- Làm việc với Windows Firewall
- Cửa sổ Windows Firewall With Advanced Security
Windows Firewall
Windows Firewall là chương trình tường lửa có sẵn trong Windows Server 2012 R2. Chương trình này
được bật mặc định trên tất cả các hệ thống. Ở chế độ mặc định, Windows Firewall cấm hầu hết các gói
tin đi vào hệ thống. Nó làm việc bằng cách kiểm tra nội dung của mỗi gói tin đi vào và đi ra, so sánh
nội dung của gói tin với các luật, từ đó sẽ quyết định xem gói tin nào được phép đi qua và gói tin nào
không.
Hệ thống Windows sử dụng chồng giao thức TCP/IP để thực hiện các giao tiếp mạng. Dữ liệu của ứng
dụng được đóng gói bằng nhiều giao thức khác nhau. Trong quá trình đóng gói, thông tin cho biết dữ
liệu xuất phát từ đâu và đi đến đâu được bổ sung vào gói tin, trong đó có ba thông tin quan trọng hay
được sử dụng để tạo luật trong tường lửa là:
298
- Địa chỉ IP: xác định duy nhất một host trên mạng. Bạn có thể tạo luật dựa trên địa chỉ IP để
cho phép/cấm một máy tính hay một mạng gửi/nhận gói tin.
- Chỉ số của giao thức (protocol numbers): dựa vào chỉ số của giao thức để xác định xem gói tin
đó là TCP hay UDP. Các máy tính chạy Windows thường sử dụng UDP để truyền các thông
điệp ngắn như các giao tiếp trong DNS, DHCP; TCP được sử dụng để truyền các thông điệp lớn
như các giao tiếp của web server, file server, print server.
- Chỉ số cổng (port number): dựa vào chỉ số cổng để xác định ứng dụng nào đang chạy trên máy
tính. Dựa vào chỉ số cổng, bạn có thể tạo các luật để cho phép/hoặc cấm gói tin của các ứng
dụng. Ví dụ, web server luôn nhận gói tin ở cổng 80, do vậy nếu tường lửa không cho phép gói
tin có chỉ số cổng 80 đi qua sẽ làm cho web server không thể hoạt động bình thường.
Tường lửa có thể hoạt động theo hai cách:

- Cho mọi gói tin đi qua, trừ các trường hợp được liệt kê trong các luật.
- Cấm mọi gói tin đi qua, trừ các trường hợp được liệt kê trong các luật.
Cách thứ hai an toàn hơn cho hệ thống. Cụ thể, ban đầu, người quản trị sẽ khóa hoàn toàn hệ thống,
sau đó sẽ chạy thử các ứng dụng, nếu ứng dụng yêu cầu mở cổng nào thì người quản trị sẽ tạo luật để
mở cổng đó. Windows Firewall đang sử dụng cách này đối với các gói đi vào. Với các gói tin đi ra,
Windows Firewall sử dụng cách đầu tiên, nghĩa là cho mọi gói tin đi qua, trừ các trường hợp đã được
liệt kê trong các luật.
Làm việc với Windows Firewall

Để làm việc với Windows Firewall, bạn có thể sử dụng một trong hai giao diện là cửa sổ Windows
Firewall hoặc cửa sổ Windows Firewall With Advanced Security.
Cửa sổ Windows Firewall là một giao diện đơn giản, nó cho phép người quản trị bật hoặc tắt tường
lửa, thực hiện các thiết lập cho tường lửa. Để tạo luật hoặc thiết lập cấu hình phức tạp cần sử dụng
Windows Firewall With Advanced Security.
Trong hầu hết các trường hợp, người quản trị ít khi làm việc trực tiếp với Windows Firewall. Vì khi cài
đặt các chức năng của Windows Server 2012 R2, các cổng cần thiết cho chức năng sẽ được mở tự
động trong quá trình cài đặt.
Ví dụ, khi bạn mở File Explorer lần đầu và truy cập vào hệ thống mạng, một cảnh báo sẽ xuất hiện, nội
dung của cảnh báo là Network Discovery and File Sharing đang tắt, nên bạn không thể truy cập vào hệ
thống mạng được.
Network Discovery chỉ là một tập các luật của tường lửa, nó kiểm soát các cổng mà Windows sử dụng
để truy cập vào hệ thống mạng, gồm các cổng 137, 138, 1900, 2869, 3702, 5355, 5357, và 5358. Mặc
định, Windows Server 2012 R2 vô hiệu các luật inbound trên các cổng này, kết quả là các cổng này bị
cấm, các gói tin không thể đi qua. Khi bạn bấm chuột vào cảnh báo và chọn Turn On Network
Discovery And File Sharing, cũng có nghĩa là bạn đang bật các luật của tường lửa, kết quả là mở các
cổng ở trên.
299
Bạn cũng có thể kiểm soát các luật liên quan đến Network Discovery and File Sharing bằng các cách
khác. Cụ thể, chuột phải vào biểu tượng cạc mạng trên thanh System Tray, chọn Open Network and
Sharing Center, chọn Advanced Sharing Settings, tại đây, bạn có thể bật hoặc tắt Network Discovery,
File Sharing, và một số chức năng khác.
Cũng trong cửa sổ Network and Sharing Center, bạn có thể chọn mục Windows Firewall để mở cửa sổ
Windows Firewall, chọn tiếp mục Allow An App Or Feature Through Windows Firewall, đánh dấu
chọn vào mục Network Discovery để mở chức năng này.
Cuối cùng trong cửa sổ Windows Firewall, bạn có thể chọn mục Advanced Settings, chọn nút Inbound
Rules, bạn sẽ nhìn thấy chín luật cụ thể của Network Discovery, bạn có thể bật từng luật của Network
Discovery.
Như bạn đã thấy, Network Discovery là một chức năng phức tạp của Windows, do vậy rất khó để kiểm
soát nó. Đây là lý do tại sao Windows Firewall thường tập hợp các luật cần thiết cho các ứng dụng và
dịch vụ thành một nhóm để tiện quản lý.
Thực hiện cấu hình
Cửa sổ Windows Firewall là nơi cho phép bạn cấu hình và quản lý tường lửa dễ nhất và an toàn nhất.
Hầu hết các cấu hình liên quan đến tường lửa bạn đều có thể thực hiện tại cửa sổ này. Xem hình minh
họa.
Sau đây là các thông tin có trong cửa sổ Windows Firewall:

- Tình trạng kết nối giữa máy tính và mạng domain, private, public
300
- Tình trạng của Windows Firewall là bật hay tắt
- Trạng thái các luật trên inbound (đường vào), outbound (đường ra)
- Tên các mạng hiện đang tồn tại
- Chế độ thông báo cho người dùng khi một chương trình bị khóa
Sau đây là các chức năng ở khung bên trái của cửa sổ Windows Firewall:
- Allow An App Or Feature Through Windows Firewall: mở cửa sổ Allowed Apps, tại đây bạn có
thể cấu hình ứng dụng/dịch vụ nào được phép gửi dữ liệu qua tường lửa.
- Change Notification Settings: mở cửa sổ Customize Settings, cho phép thiết lập chế độ hoạt
động của tường lửa.
- Turn Windows Firewall On Or Off: mở cửa sổ Customize Settings, cho phép thiết lập chế độ
hoạt động của tường lửa.
- Restore Defaults: chuyển tường lửa về trạng thái mặc định ban đầu.
- Advanced Settings: mở cửa sổ Windows Firewall With Advanced Security
- Troubleshoot My Network: bật cửa sổ khắc phục sự cố Network and Internet.
Cấu hình trong cửa sổ Customizing settings

Cửa sổ Customizing settings gồm ba chế độ thiết lập. Cụ thể gồm:
- Public: thiết lập dùng cho các server có tính công cộng, người dùng thường là tạm thời hoặc
không yêu cầu chứng thực. Ví dụ các server tại phòng thực hành mở.
- Private: thiết lập dùng cho các server trong hệ thống mạng nội bộ, trong hệ thống này chỉ có
người dùng đã được cấp quyền mới được truy cập vào hệ thống.
- Domain: thiết lập dùng cho các server là thành viên của một AD DS domain, trong hệ thống
mạng này mọi người dùng đều được xác minh và chứng thực.
Trong Windows Firewall, mỗi chế độ thiết lập ở trên sẽ chứa một tập các luật, các luật này sẽ áp dụng
trên máy tính kết nối vào mạng tương ứng (private, public, domain). Người quản trị có thể tạo thêm
các luật để áp dụng cho từng chế độ.
Trong cửa sổ Customizing settings, mỗi chế độ gồm các tùy chọn sau:
- Turn On/Off Windows Firewall: bật hoặc tắt tường lửa ở chế độ tương ứng.
- Block All Incoming Connections, Including Those In The List Of Allowed Apps: tăng độ an toàn
cho hệ thống bằng cách cấm mọi kết nối từ bên ngoài vào máy tính.
301
- Notify Me When Windows Firewall Blocks A New App: nếu chọn mục này, hệ thống sẽ thông
báo cho người dùng biết khi ứng dụng bị thất bại trong việc gửi gói tin ra ngoài.
Cửa sổ cấu hình Allowed Apps

Trong một số trường hợp, khi người quản trị muốn thay đổi thiết lập tường lửa liên quan đến một ứng
dụng mà nó không có sẵn trong các luật mặc định. Họ có thể bấm vào mục Allow An App Or Feature
Through Windows Firewall để mở cửa sổ Allowed Apps. Xem hình minh họa.
Cần chú ý, mở càng nhiều cổng tại tường lửa càng đặt server vào tình trạng thiếu an toàn. Windows
Firewall cho phép bạn mở cổng bằng hai cách, một là mở cổng trực tiếp, hai là mở cổng thông qua ứng
dụng có sử dụng cổng đó. Cách đầu tiên có nhiều rủi ro hơn, vì nó sẽ mở cổng vĩnh viễn. Cách hai an
toàn hơn vì cổng chỉ được mở khi ứng dụng đang chạy, khi ứng dụng tắt, cổng cũng sẽ được đóng lại.
Trong cửa sổ Allowed Apps có chứa danh sách các chức năng (role và feature) đã được cài trên server.
Mỗi chức năng tương ứng với một hoặc nhiều luật tương ứng. Bạn có thể bật/hoặc tắt bằng cách có/
hoặc không đánh dấu chọn.
Không giống các phiên bản trước, tại cửa sổ Windows Firewall trong Windows Server 2012 R2 không
cho phép thao tác trực tiếp trên các cổng. Để thao tác trên các cổng, bạn bấm vào mục Advanced
Settings trong Windows Firewall để mở cửa sổ Windows Firewall With Advanced Security, hoặc vào
Server Manager, chọn Tools, chọn Windows Firewall With Advanced Security.
Cửa sổ Windows Firewall With Advanced Security

Cửa sổ Windows Firewall chỉ cho phép thực hiện các thiết lập tường lửa cơ bản, để thực hiện các thiết
lập chi tiết hơn, bạn cần sử dụng cửa sổ Windows Firewall With Advanced Security.
302
Có hai cách để mở cửa sổ Windows Firewall With Advanced Security như đã trình bày ở phần trên.
Khung Overview chứa các thông tin cho biết trạng thái của ba chế độ cấu hình của tường lửa (Domain,
Private, Public).
Các thông tin cấu hình mặc định cho cả ba chế độ là:
- Tường lửa ở trạng thái bật (turned on)
- Mọi gói tin đi vào (incoming traffic) sẽ bị cấm, ngoại trừ các trường hợp được quy định trong
các luật.
- Mọi gói tin đi ra (Outgoing traffic) đều được phép, ngoại trừ các trường hợp được quy định
trong các luật.
Để thay đổi cấu hình mặc định, bạn bấm vào mục Windows Firewall Properties, cửa sổ Windows
Firewall With Advanced Security On Local Computer được bật, tại đây, bạn có thể thực hiện các thay
đổi tùy ý.
Tạo luật cho tường lửa
Trong cửa sổ Windows Firewall, khi bạn cho phép một ứng dụng được chạy cũng chính là bạn đã tạo
ra một luật cho tường lửa. Tuy nhiên, cách tạo luật này khá đơn giản, vì nó che dấu đi những đặc trưng
của tường lửa. Để tạo các luật phức tạp hơn, bạn cần tạo trong cửa sổ Windows Firewall With
Advanced Security.
303
Trong cửa sổ Windows Firewall With Advanced Security, khi bạn bấm vào mục Inbound Rules hoặc
Outbound Rules ở khung bên trái, các luật tương ứng sẽ được hiển thị. Các luật đang được thực thi sẽ
có biểu tượng dấu chọn màu xanh (green) ở phía trái, biểu tượng dấu chọn màu xám cho biết đó là các
luật không được thực thi. Xem hình minh họa.
Để tạo luật mới, bạn bấm chuột phải vào nút Inbound Rules (hoặc Outbound Rules), chọn New Rule
để mở cửa sổ New Inbound (hoặc Outbound) Rule Wizard, bạn cần thiết lập các tham số sau:
- Rule Type: lựa chọn kiểu luật sẽ tạo (program, port, luật định nghĩa sẵn, hay tùy biến), kết quả
lựa chọn sẽ làm thay đổi một phần giao diện.
- Program: luật sẽ được áp dụng cho tất cả chương trình, cho một chương trình cụ thể, hay cho
một dịch vụ. Thiết lập này tương đương với việc bạn cho phép một ứng dụng được chạy tại
cửa sổ Windows Firewall, chỉ khác là bạn phải xác định đường dẫn của ứng dụng.
- Protocol And Ports: luật sẽ áp dụng cho giao thức nào (tầng Network, Transport), hoặc cổng
nào.
- Predefined Rules: tạo luật dựa trên các định nghĩa có sẵn của hệ thống.
- Scope: luật sẽ áp dụng trên các địa chỉ IP nào.
- Action: xác định hành động mà tường lửa sẽ thực hiện trên các gói tin khớp với luật (cho phép
đi qua, hoặc cấm).
- Profile: luật sẽ được áp dụng cho chế độ domain, private hay public
- Name: đặt tên, mô tả cho luật
304
Lưu ý, bạn nên sử dụng các cấu hình mặc định của tường lửa, sau đó tạo thêm một số các luật bổ sung
theo yêu cầu. Việc tạo lại từ đầu tất cả các luật của tường lửa là một việc làm không hiệu quả.
Kết nhập và kết xuất các luật
Quá trình tạo và thay đổi các luật trong cửa sổ Windows Firewall With Advanced Security có thể làm
bạn mất thời gian, đặc biệt khi phải thực hiện lặp lại trên nhiều máy tính. Để khắc phục tình trạng này,
bạn có thể thực hiện kết xuất các luật ra một tập tin. Tập tin này có phần mở rộng là .wfw. Trong tập
tin .wfw có chứa tất cả các thiết lập của tường lửa cùng với tất cả các luật. Để kết xuất, trong cửa sổ
Windows Firewall With Advanced Security, bạn chọn mục Windows Firewall With Advanced
Security On Local Computer ở khung bên trái, vào trình đơn Action, chọn Export Policy, nhập tên và
vị trí để lưu tập tin kết xuất.
Bạn có thể chép tập tin kết xuất tới máy khác, thực hiện kết nhập (Import Policy) để nhân bản các luật
và các thiết lập của tường lửa. Bạn cần cẩn thận trong quá trình kết nhập, vì các thiết lập có sẵn của
tường lửa trên máy tính sẽ bị ghi đè bởi các luật kết nhập.
Tạo luật bằng Group Policy
Nếu bạn đang quản lý nhiều máy tính, việc cấu hình tường lửa trên từng máy tính có thể mất nhiều thời
gian. Để khắc phục, bạn có thể thực hiện cấu hình tường lửa một cách tập trung bằng cách sử dụng
Group Policy.
Để thực hiện, bạn mở cửa sổ cấu hình Group Policy, vào mục Computer
Configuration\Policies\Windows Settings\Security Settings\Windows Firewall With Advanced
Security, bạn sẽ thấy một giao diện gần giống với cửa sổ Windows Firewall With Advanced Security.
Tại đây, bạn có thể thực hiện cấu hình cho Windows Firewall, tạo các luật.
Để áp dụng trên máy tính nào, bạn thực hiện gắn (linking) GPO tới các đối tượng OU, site, domain có
chứa máy tính đó.
Khi bạn mở một GPO mới, nút Windows Firewall With Advanced Security chưa có luật nào. Bạn có
thể tạo từ đầu từng luật một, hoặc bạn có thể kết nhập (import) các thiết lập từ tập tin .wfw có sẵn.
Các luật trong Group Policy không ghi đè toàn bộ các thiết lập và các luật của Windows Firewall
giống như khi bạn kết nhập (import) luật trực tiếp từ tập tin. Các luật của Group Policy sẽ được kết hợp
với các luật sẵn có. Chỉ trong trường hợp luật có sẵn mà trùng tên với luật của Group Policy thì nó mới
bị chép đè.
Tạo luật cho kết nối bảo mật
Windows Server 2012 R2 cũng có tích hợp IPsec vào Windows Firewall. IPsec là viết tắt của IP
Security, là phương pháp bảo mật dữ liệu trong quá trình truyền trên hạ tầng TCP/IP. IPsec gồm hai
quá trình, một là quá trình chứng thực giữa hai máy tính trước khi truyền dữ liệu, hai là quá trình thiết
lập đường hầm (tunneling) để truyền dữ liệu.
Bên cạnh việc cho phép tạo các luật inbound và outbound, Windows Firewall With Advanced Security
còn cho phép bạn tạo các luật liên quan đến kết nối bảo mật.
Để thực hiện, trong cửa sổ Group Policy Management Editor, bấm chuột phải vào mục Connection
Security Rules, chọn New Rule để mở New Connection Security Rule Wizard. Bạn cần cấu hình các
tham số sau:
- Rule Type: xác định chức năng của luật
305
- Endpoints: xác định địa chỉ IP của máy tính sẽ được thiết lập kết nối bảo mật
- Requirements: xác định khi nào thì yêu cầu chứng thực
- Authentication Method: xác định phương thức chứng thực
- Profile: các luật sẽ được áp dụng trên chế độ nào (domain, private, public hay kết hợp các chế
độ này).
- Name: tên và mô tả của luật

- Firewall là một phần mềm, được sử dụng để bảo vệ máy tính hoặc hệ thống mạng. Firewall sẽ
kiểm soát việc đi vào và đi ra của các gói dữ liệu.
- Nó thực hiện việc kiểm soát bằng cách kiểm tra nội dung của gói tin, so sánh nội dung của gói
tin với các luật đã được thiết lập, để quyết định có cho gói tin đó đi qua hay không.
- Các luật mặc định được cấu hình sẵn cho tường lửa sẽ cho phép các chức năng cơ bản của
Windows như chia sẻ máy in, chia sẻ tập tin được chạy. Đối với chiều đi ra, Windows Firewall
cho phép mọi gói tin được phép đi qua, trừ các trường hợp bị cấm tường minh bởi luật.
- Để thực hiện các tác vụ đơn giản, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows
Firewall.
- Để thực hiện các tác vụ phức tạp hơn, liên quan đến tường lửa, bạn sử dụng cửa sổ Windows
Firewall With Advanced Security.

1. Yếu tố nào sau đây thường được sử dụng trong các luật, để cho phép các gói tin truyền qua
mạng?
A. Địa chỉ vật lý (hardware addresses)
B. Địa chỉ IP
C. Chỉ số giao thức (protocol numbers)
D. Chỉ số cổng (port numbers)
2. Các luật liên quan đến kết nối bảo mật trong tường lửa sử dụng cơ chế bảo mật nào?
A. EFS
306
B. IPsec
C. UAC
D. Kerberos
3. Các tác vụ nào sau đây không thể thực hiện được trong cửa sổ Windows Firewall?
A. Cho phép một ứng dụng được gửi dữ liệu qua tường lửa của ba chế độ (domain,
private, public).
B. Cấm mọi kết nối từ bên ngoài vào của ba chế độ
C. Tạo luật dựa trên số cổng của ba chế độ
D. Tắt tường lửa của ba chế độ
4. Công cụ nào sau đâu không thể kích hoạt (enable) và vô hiệu (disable) luật của tường lửa liên
quan đến Network Discovery?
A. File Explorer
B. Network and Sharing Center
C. Action Center
D. Cửa sổ Allowed Apps
5. Phải biều nào sau đây nói đúng về Windows Firewall (chọn nhiều đáp án)?
A. Các luật liên quan đến tường lửa trong Group Policy sẽ ghi đè tất cả các luật của tường
lửa trên máy tính.
B. Các luật liên quan đến tường lửa trong Group Policy sẽ được kết hợp với các luật của
tường lửa có sẵn trên máy tính.
C. Kết nhập (import) các luật tường lửa từ máy tính khác sẽ ghi đè lên các luật của máy
tính đích.
D. Các luật tường lửa kết nhập (import) từ máy tính khác sẽ được kết hợp với các luật của
máy tính đích.
307
Lược dịch
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2,
Microsoft Press, 2014
---------------------------------------------
Đà Lạt, 2015/9/30
308

Cai Dat Va Cau Hinh Windows Server 2012 R2 - Full (Hay)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Cai Dat Va Cau Hinh Windows Server 2012 R2 - Full (Hay)

Uploaded by

Copyright:

Available Formats

Cài đặt và cấu hình Windows Server 2012 R2

(Tài liệu tham khảo cho kì thi 70 – 410 của Microsoft)

Cài đặt và cấu hình

Thực hành cài đặt đĩa cứng ......................................................................................................... 50

Chia sẻ một printer....................................................................................................................... 97

Sử dụng Hyper-V manager ....................................................................................................... 124

Tạo switch ảo .............................................................................................................................. 156

4.2. DHCP ......................................................................................................................................... 188

Cài đặt domain controller ....................................................................................................... 221

Tạo các local GPO ....................................................................................................................... 271

Chương 1. Cài đặt và cấu hình server

1.1 Cài đặt hệ điều hành server

Chuẩn bị cài đặt

Bản Số lượng POSE Số lượng VOSE

Datacenter 1 Không giới hạn

Essentials 1 (POSE hoặc VOSE) 1 (POSE hoặc VOSE)

Bản Bán lẻ Bán sỉ Nhà cung cấp thiết bị

Foundation Không Không Có

Yêu cầu về cấu hình phần cứng

Windows Server 2012 R2 Windows Server 2008 R2

Logical processors 1 640 256

Số nút cho phép 64 16

Chế độ Server Core

Ưu điểm khi chạy ở chế độ Server Core:

Active Directory Certificate Services Active Directory Federation Services

Active Directory Domain Services Application Server

Active Directory Lightweight Fax Server

Active Directory Rights Management Network Policy and Access Services

DHCP Server RemoteDesktop Gateway

DNS Server Volume Activation Services

File and Storage Services Windows Deployment Services

Print and Document Services

Web Server (IIS)

Windows Server Update Services

Chế độ Minimal Server Interface

Tối ưu hệ thống bằng Features on Demand

Cài đặt hệ điều hành Windows Server 2012 R2

10. Bấm Next để mở trang Installing Windows.

Nâng cấp lên Windows Server 2012 R2

Di chuyển các thiết lập từ hệ thống cũ sang hệ thống mới

Câu hỏi ôn tập

1.2 Cấu hình server

Cấu hình bằng các công cụ đồ họa (GUI)

Cấu hình bằng dòng lệnh (command-line)

- Khởi động lại máy tính:

Gộp cạc mạng (NIC teaming)

9. Bấm nút OK để xem kết quả.

Sử dụng Server Manager

Cấu hình các dịch vụ

Tóm tắt nội dung

Câu hỏi ôn tập

B. Graphical Management Tools and Infrastructure

1.3 Cấu hình lưu trữ tại máy server

Lựa chọn giải pháp

Bao nhiêu server thì đủ?

Ước lượng dung lượng đĩa

Sử dụng công nghệ Storage Spaces

Cài đặt đĩa cứng trong Windows

Hệ thống quản lý tập tin

Thực hành cài đặt đĩa cứng

Tạo một storage pool

Tạo đĩa cứng ảo

10. Bấm Create để tạo đĩa cứng ảo.