Tài liệu môn học Hệ điều hành (operating systems) - Chương 10: Quản trị Server

70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment Chương 10: Quản trị Server 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 2 Mục tiêu • Phân biệt các cách, công cụ và tiến trình khác nhau để quản lý hệ thống Windows Server 2003 • Hiểu và cấu hình Terminal Services & Remote Desktop for Administration • Ủy thác quản trị trong AD • Cài đặt, cấu hình và quản lý các Microsoft Software Update Services 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 3 Các quy trình quản trị mạng • Trong 1 môi trường Windows Server 2003 administrator bình thường chịu trách nhiệm nhiều hơn 1 server • Công cụ có ích cho các administrator để quản lý các server từ xa là Microsoft Management Console (MMC) • Đăng nhập thứ cấp cũng là công cụ có ích cho các administrator 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 4 Các công cụ quản trị Windows Server 2003 • Server shutdown và khởi động lại có một số đặc điểm trong Windows Server 2003 • Shutdown Event Tracker ghi nhận những sự kiện đó • Có thể đưa vào các ghi chú lý do xảy ra 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 5 Thực tập 10-1: Khởi động lại Windows Server 2003 • Mục tiêu: khởi động lại Windows Server 2003 • Start  Shut Down  Restart • Cấu hình các tùy chọn Shutdown Event Tracker 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 6 Thực tập 10-2: Xem các sự kiện Shutdown trong Event View System Log • Mục tiêu: Dùng Event Viewer để xem các sự kiện server shutdown • Start  Administrative Tools  Event Viewer  System • Xem sự kiện shutdown đã được sinh ra trong hoạt động trước đó • Khám phá các sự kiện shutdown khác 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 7 MMC • MMC cung cấp 1 khung thống nhất để hosting nhiều công cụ quản lý (các snap-in) • Có thể thêm và bỏ các công cụ nếu cần và lưu giữ các công cụ tùy ý dùng bởi các administrator • Console được lưu như Management Saved Console (MSC) file với phần mở rộng là .msc • Có thể hướng các snap-in chỉ đến các client hoặc server từ xa 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 8 Thực tập 10-3: Dùng MMC để xem thông tin trên 1 Computer từ xa • Mục tiêu: Dùng MMC để xem các system log trên 1 máy tính từ xa • Hướng Event Viewer để kết nối vào máy tính khác từ 1 MMC đã có • Xem các log của ứng dụng và hệ thống trên máy tính từ xa • Xem lại máy tính cục bộ 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 9 Thực tập 10-4: Tạo 1 Taskpad • Mục tiêu: Tạo 1 taskpad để đơn giản hóa các tác vụ quản trị • 1 taskpad view cung cấp giao diện thể hiện các tác vụ có thể thực hiện trong 1 MMC • Tạo 1 MMC mới với 1 Event Viewer • Tạo và cấu hình 1 taskpad view dùng New Taskpad View Wizard • Lưu MMC mới 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 10 Đăng nhập thứ cấp • Khuyến cáo các administrator mạng nên có 2 tài khoản đăng nhập • 1 dùng với quyền quản trị • 1 với quyền user bình thường • Đặc trưng của đăng nhập thứ cấp cho phép đăng nhập với tài khoản user, mở các công cụ quản trị như một administrator 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 11 Thực tập 10-5: Dùng đặc tính đăng nhập thứ cấp trong Windows Server 2003 • Mục tiêu: Dùng lệnh Run as để mở 1 chương trình với tài khoản thứ hai • Start  Administrative Tools  right-click Event Viewer  Run as • Đăng nhập với credential thay thế trong hộp thoại Run As 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 12 Thực tập 10-6: Dùng đặc tính đăng nhập thứ cấp từ dòng lệnh • Mục tiêu: Đăng nhập vào credential thay thế từ dòng lệnh • Start  Run  cmd • Nhập dòng lệnh dạng runas để mở Event Viewer 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 13 Tiến trình xử lý sự cố mạng • Cần 1 cách tiếp cận có hệ thống • Các bước khuyến cáo: • Xác định vấn đề • Tập hợp thông tin chi tiết về vấn đề gì đã xảy ra • Phác họa kế hoạch giải quyết • Hiện thực kế hoạch và quan sát kết quả • Lập tài liệu theo dõi tất cả các thay đổi và kết quả 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 14 Xác định vấn đề • Dấu hiệu của vấn đề bao gồm: • Một than phiền từ 1 user • Một thông điệp lỗi • Những câu hỏi của user • Thử lặp lại vấn đề trong môi trường thử nghiệm • Để giải mã thông điệp lỗi, dùng ứng dụng net • Tại dấu nhắc lệnh, dùng NET HELPMSG number 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 15 Tập hợp thông tin chi tiết về vấn đề gì đã xảy ra • Các thực tiễn cần xem xét gồm: • Có phần cứng mới nào vừa được cài đặt gần đây? • Ai đã truy cập vào máy tính? Họ có thay đổi gì không? • Có phần mềm hoặc service patches vừa được cài đặt gần đây? 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 16 Phác họa kế hoạch giải quyết • Các khảo sát quan trọng khi phác họa kế hoạch: • Ngắt mạng hoặc các thành phần của nó (ví dụ khởi động lại) • Các thay đổi tích cực vào chính sách bảo mật mạng • Cần lập tài liệu tất cả các thay đổi và các bước sửa chữa • Bảo đảm đã có chiến lược phục hồi lại trong trường hợp kế hoạch sửa không hoạt động tốt 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 17 Hiện thực kế hoạch, quan sát kết quả, lập tài liệu theo dõi tất cả các thay đổi và kết quả • Thông báo các user là khả năng mạng có thể bị ảnh hưởng • Không được tạo quá nhiều thay đổi cấu hình cùng 1 lần • Nếu kế hoạch không thực hiện được, lập tài liệu về cái gì đã hoàn tất và bắt đầu lại 1 lần nữa • Lập tài liệu theo dõi tất cả các bước xử lý, thay đổi cấu hình và kết quả 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 18 Cấu hình Terminal Services và Remote Desktop for Administration • 2 dịch vụ cung cấp truy cập từ xa vào server desktop • Terminal services cho phép các user kết nối vào để chạy các ứng dụng • Remote Desktop for Administration cho phép 1 administrator kết nối vào để chạy các dịch vụ quản trị 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 19 Kích hoạt Remote Desktop for Administration • Được cài đặt tự động như 1 phần của Windows Server 2003 • Mặc định là không được kích hoạt • Khi đã kích hoạt, chỉ có nhóm Administrators có thể kết nối được theo mặc định • Các user khác thêm vào có thể được chứng thực truy cập 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 20 Thực tập 10-7: Kích hoạt và kiểm tra Remote Desktop for Administration • Mục tiêu: Kích hoạt và kiểm tra Remote Desktop for Administration • Start  Control Panel  System  Remote tab • Kích hoạt Remote Desktop for Administration trên server • Kết nối vào server dùng công cụ Remote Desktop Connection • Hủy kết nối phiên làm việc mở và sau đó hủy kết nối đang đóng phiên làm việc 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 21 Cài đặt Terminal Services • Cài đặt từ Add/Remove Windows Components của Add or Remove Programs (trong Control Panel) • Để cài đặt Terminal server, 1 Windows Server 2003 server trên mạng phải được cấu hình như 1 Terminal Services licensing server 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 22 Thực tập 10-8: Cài đặt Terminal Services • Mục tiêu: Cài đặt Windows Server 2003 Terminal Services trên 1 server • Start  Control Panel  Add or Remove Programs  Add/Remove Windows Components • Dùng Windows Components Wizard để cài đặt Terminal Server theo chỉ dẫn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 23 Quản lý Terminal Services • 3 công cụ chính để quản trị Terminal Services: • Terminal Services Manager: kiểm soát và điều khiển client truy cập vào các Terminal Services • Terminal Services Configuration: cấu hình các thiết lập và kết nối Terminal Services • Terminal Services Licensing: lưu giữ và theo dõi Terminal Services client access licenses 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 24 Cấu hình các thiết lập Remote Connection • Công cụ chính là Terminal Services Configuration • Các thiết lập liên quan đến các lần thử kết nối • Các thiết lập liên quan đến quyền của các tài khoản user / group • Cấu hình từ các đặc tính của 1 đối tượng kết nối Terminal Server: 1 đối tượng cho nhiều kết nối user • Các thiết lập gồm: • Chứng thực (không phải hoặc Windows chuẩn) • Mã hóa (tương thích client hoặc cao hơn) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 25 Cấu hình các thiết lập Remote Connection (tt) 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 26 Thực tập 10-9: Khảo sát các thiết lập Terminal Services • Mục tiêu: Khảo sát và cấu hình các thiết lập Terminal Services • Start  Administrative Tools  Terminal Services Configuration • Xem và cấu hình các thiết lập theo chỉ dẫn khi thao tác 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 27 Phần mềm Terminal Services Client • Thư mục Terminal Server chứa các gói phần mềm client: • %Systemroot%\system32\clients\tsclient\win32 • Chứa các file để cài đặt Remote Desktop Connection • Cung cấp cả file MSI và file thực thi Win32 • Chia sẻ thư mục và khởi tạo tiến trình thủ công hoặc thông qua triển khai Group Policy • Cài đặt sẵn trong Windows Server 2003 và Windows XP 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 28 Cài đặt các ứng dụng • Các ứng dụng phải được cài đặt trong chế độ tương thích nhiều user với Terminal Server • Dùng Add or Remove Programs trong Control Panel sau khi cài Terminal Server • Cũng có thể đưa Windows Server 2003 vào chế độ cài đặt từ dòng lệnh: • Change user /install to begin • Change user /execute when finished • Có thể cần cài đặt lại một số ứng dụng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 29 Cấu hình Terminal Services User Properties • Terminal Server thêm 4 tab vào trang properties của tài khoản user: • Terminal Services Profile – user có thể cấu hình một profile kết nối và home directory đặc biệt • Remote control – cấu hình trang remote control properties cho 1 tài khoản user • Sessions – cấu hình 1 thời gian phiên làm việc tối đa và các tùy chọn hủy kết nối • Environment – cấu hình 1 chương trình chạy tự động khi user kết nối vào terminal server 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 30 Thực tập 10-10: Khảo sát các thiết lập tài khoản Terminal Services User • Mục tiêu: Khảo sát các thiết lập tài khoản Terminal Services User dùng Active Directory Users and Computers • Start  Administrative Tools  Active Directory Users and Computers  Users • Khảo sát các thiết lập trên 4 thẻ Terminal Services: Terminal Services Profile, Remote control, Sessions, Environment 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 31 Ủy thác quyền quản trị • AD là 1 cơ sở dữ liệu và phải được bảo vệ • Dùng các quyền tương tự quyền trên NTFS file • Các Administrator có toàn quyền theo mặc định • User có quyền Read phần lớn các thuộc tính theo mặc định • Administrator có thể sửa chữa quyền: • Phải cẩn thận khi làm cho các đối tượng hoàn toàn không thể truy cập 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 32 Các quyền đối tượng AD • Các đối tượng có thể gán quyền tại 2 mức: • Các quyền mức đối tượng: • Phải được xác thực khi user tạo hoặc sửa một tài khoản OU, user hoặc group • Áp dụng dựa theo 1 tập các quyền cơ bản đã cấu hình sẵn • Các quyền mức thuộc tính • Điều khiển thuộc tính nào user hoặc group có thể xem/sửa • Nếu không rõ ràng thiết lập, đối tượng thừa kế quyền từ container cha của nó 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 33 Thực tập 10-11: Khảo sát quyền đối tượng trong AD • Start  Administrative Tools  Active Directory Users and Computers  View (menu bar)  Advanced Features • Truy cập các thuộc tính của một OU và khảo sát các cấu hình quyền khác nhau theo chỉ dẫn trong bài tập 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 34 Thừa kế quyền • Các đối tượng con thừa kế quyền từ các đối tượng cha theo mặc định khi đối tượng con được tạo • Khi các quyền từ cha bị thay đổi sau này, có thể ép con thay đổi theo nếu muốn • Có thể sửa đổi thừa kế mặc định bằng cách khóa nó tại mức container hoặc đối tượng 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 35 Ủy thác quyền trên các đối tượng AD • Cho phép phân tán/tập trung tiến trình quản trị AD • Các bước ủy thác: • Thiết kế cấu trúc OU để phân tán quyền • Cấu hình các quyền để hỗ trợ phân tán thích hợp • Hiện thực ủy thác • Có thể quản lý các quyền trực tiếp từ thẻ Security • Có thể dùng Delegation của Control Wizard 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 36 Thực tập 10-12: Dùng Delegation của Control Wizard • Mục tiêu: Ủy thác điều khiển một OU dùng Active Directory Users and Computer Delegation của Control Wizard • Để khởi động wizard, click phải OU  Delegate Control • Ủy thác 1 quyền đặc biệt cho 1 group theo chỉ dẫn • Kiểm tra lại quyền đã xuất hiện như mong muốn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 37 Các dịch vụ cập nhật phần mềm • Software Update Services (SUS) cho phép 1 administrator điều khiển việc triển khai cập nhật bảo mật hệ điều hành và các gói quan trọng • 2 phần tử chính: • Client component: cập nhật các phiên bản của Windows Automatic Updates, client tiếp xúc với server để lấy • Server component: có thể cài đặt trên server chạy Windows 2000 hoặc Server 2003 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 38 Cài đặt các SUS • Các thành phần SUS client và server sẵn sàng cho tải từ Microsoft Web site • Yêu cầu phần cứng tối thiểu và 1 server độc quyền nếu có thể • IIS 5.0 hoặc cao hơn, IE 5.5 hoặc cao hơn • Server component có thể cài đặt trên Windows 2000 Server, Windows Server 2003, Microsoft Small Business Server 2000 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 39 Thực tập10-13:Cài đặt các SUS • Mục tiêu: Cài đặt server component của SUS (sau khi cài IIS) • Start  Control Panel  Add or Remove Programs  Add/Remove Windows Components • Cài IIS theo các chỉ dẫn • Chạy SUS10SP1.exe để cài SUS • Theo các chỉ dẫn để chạy Microsoft Software Update Services Setup Wizard • Hoàn tất cài đặt theo chỉ dẫn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 40 Thực tập 10-14:Cấu hình các thiết lập SUS • Mục tiêu: Cấu hình các thiết lập SUS • Start  All Programs  Internet Explorer • Nhập địa chỉ trang Web SUS administration và đăng nhập như hướng dẫn • Xem các trang Set options • Cấu hình SUS để duy trì các cập nhật trên 1 Microsoft Windows Update server 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 41 Thực tập 10-15: Đồng bộ nội dung SUS • Mục tiêu: Dùng thực đơn Microsoft SUS thông qua IE để khởi động tiến trình đồng bộ • Xem các cập nhật quan trọng và khảo sát các lựa chọn • Chấp nhận 1 cập nhật • Xem báo cáo và các thông tin khác nếu cần 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 42 Cập nhật tự động • Các client phải có phần mềm cập nhật tự động để lấy các cập nhật bảo mật • Một số hệ thống có phần mềm cài đặt sẵn, một số phải cài thủ công • Cập nhật tự động có thể kích hoạt thủ công cùng với các tùy chọn thông báo và lập lịch • Để kết nối vào SUS server cục bộ để lấy các bản cập nhật, phải cấu hình các thiết lập Registry hoặc Group Policy của client • Các thiết lập Group Policy có thể ghi đè lên các thiết lập cục bộ 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 43 Thực tập 10-16: Xem lại các thiết lập Group Policy cập nhật tự động • Start  Administrative Tools  Active Directory Users and Computers • Sửa chữa Default Domain Policy và thêm mẫu wuau theo chỉ dẫn • Xem lại và thiết lập cấu hình cho cập nhật tự động 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 44 Lập kế hoạch cơ sở hạ tầng SUS • Các phương pháp chung mà tổ chức dùng để triển khai cấu hình SUS: • Các mạng nhỏ: 1 server đơn chạy SUS hoặc nhiều server quản lý độc lập • Mạng doanh nghiệp: nhiều SUS server, server đồng bộ đơn • Mạng bảo mật cao: intranet hủy kết nối với Internet công cộng. Tất cả các server cục bộ tải từ server đã kết nối đặc biệt 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 45 Thực tập 10-17: Gỡ bỏ cài đặt SUS và IIS • Mục tiêu: Gỡ bở cài đặt SUS và IIS • Start  Control Panel  Add or Remove Programs • Gỡ bỏ SUS theo chỉ dẫn • Gỡ bỏ IIS theo chỉ dẫn 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 46 Tổng kết • Các công cụ dùng để quản lý các tác vụ server và quản lý từ xa các client: • Microsoft Management Console (MMC) • Đặc tính đăng nhập thứ cấp • Các bước xử lý sự cố mạng: xác định vấn đề, tập hợp thông tin, phác họa kế hoạch, hiện thực kế hoạch, lập tài liệu về các thay đổi và kết quả • Terminal Services cho phép user kết nối và chạy các ứng dụng trên các server từ xa 70-290: MCSE Guide to Managing a Microsoft Windows Server 2003 Environment 47 Tổng kết (tt) • Remote Desktop for Administration cho phép các administrator kết nối và giao tiếp với các server từ xa • Việc quản trị các đối tượng AD có thể ủy thác thông qua các quyền mức đối tượng và mức thuộc tính • SUS cho phép điều khiển việc triển khai các cập nhật bảo mật thông qua mạng