Tài liệu quản trị mạng Server 2003

SERVER DỰ PHÒNG 2003 Tài liệu quản trị mạng Server 2003 như chi tiết cách cài đặt, tạo thêm 1 Server đồng hành để phòng hờ trường hợp Server chính bị trục trặc, tạo domain, gia nhập máy con vào domain, remote destop conection {từ máy con truy xuất dữ liệu vào máy server}, cài đặt thông số ADSL router vào máy server, tắt 1 máy con đang hoạt động ngay tức thời. - Nếu gia tăng thêm số lượng máy con vào domain thì gắn thêm Switch như thế nào để đảm bảo truyền dữ liệu và truy cập internet được tốt nhất - Số lượng máy bao nhiêu thì nên dùng đường truyền ADSL với tốc độ như thế nào (ví dụ khoảng 50 máy, 70 máy, hơn 100 máy).

doc67 trang | Chia sẻ: tlsuongmuoi | Lượt xem: 2604 | Lượt tải: 1download
Bạn đang xem trước 20 trang tài liệu Tài liệu quản trị mạng Server 2003, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ác máy in để bảo đảm rằng các nguồn cung cấp không bị mất thời gian với những công việc in ấn không cần thiết. Rõ ràng không hề có vấn đề gì đối với việc hạn chế máy in này. Nếu công ty của bạn làm cho hợp lý đối với việc sử dụng máy in thì đây là một ý tưởng tốt để kiểm tra máy in, bảo đảm nó không bị sử dụng vào các mục đích trái phép. Trong bài viết này, chúng tôi sẽ giới thiệu cho các bạn cách kiểm tra máy in và giải thích cho các bạn thấy được các tùy chọn kiểm tra khác nhau của chúng là gì. Quả thực hạn chế và kiểm tra các máy in cực kỳ dễ dàng nếu chuỗi in này được cấu hình trên một máy chủ có sử dụng Windows Server 2003. Bạn phải lưu ý ở đây là điều này không có nghĩa là các máy in phải được gắn với máy chủ theo đường vật lý. Máy chủ có thể cấu hình chuỗi in cho một máy in mạng. Ví dụ: trong công ty, chúng tôi có một máy in với card mạng riêng. Theo cách thông thường, hoàn toàn có thể in với các máy in này mà không cần kết nối máy in này đến máy chủ. Tuy nhiên nếu người dùng được phép in trực tiếp đến một máy in như vậy thì chúng ta không thể kiểm tra được hiệu suất của nó. Nếu bạn quan tâm đến việc hạn chế và kiểm tra một máy in như vậy thì bạn sẽ cảm thấy có nhiều điều thú vị hơn với việc tạo một chuỗi in trên một trong những máy chủ và xử lý với máy in mạng như thể là nó đã được kết nối đến máy chủ (dù là không). Để xem nó như thế nào, bạn click vào nút Start của máy chủ và chọn Control Panel | Printers and Faxes | Add Printer từ menu Start. Khi bạn thực hiện, Windows sẽ khởi chạy Add Printer wizard. Click next để bỏ qua màn hình Welcome của wizard. Sau khi nhấn xong bạn sẽ quan sát thấy một màn hình tương tự như hình A. Như những gì thấy trên hình, màn hình này hỏi xem bạn có muốn sử dụng một máy in được gắn với máy chủ hay không hoặc có thích sử dụng một máy in mạng không. Màn hình này có một chút sai lệch bởi vì mặc dù chúng ta đang tạo một chuỗi in cho một máy in mạng nhưng Windows không nhận ra nó theo cách này. Nếu bạn đã chọn tùy chọn Network Printer thì Windows sẽ thừa nhận rằng bạn đã kêt nối đến máy in đã được cấu hình trên Internet hoặc đến một máy in đang được cấu hình bởi một Windows khác. Điều đó có nghĩa là bạn sẽ phải kết nối đến máy in bằng cách nhập vào URL, UNC dựa trên tên chia sẻ của chúng hoặc bằng việc thực hiện một truy vấn Active Directory. Với mục đích của bài viết này, thừa nhận rằng chúng ta đang thử kiểm tra một máy in đứng độc lập, vì vậy không có tùy chọn nào được áp dụng. Trường hợp đó, chúng ta hãy đi thẳng và chọn tùy chọn Local Printer cho dù là máy in không thực sự cục bộ. Hình A: Windows hỏi bạn lựa chọn kết nối đến một máy in cục bộ hoặc máy in mạng. Bây giờ bạn sẽ được thấy màn hình tương tự như hình được thể hiện trong hình B. Như những gì bạn thấy trên hình, Windows thừa nhận rằng máy in được kết nối đến máy chủ thông qua một cổng song song (LPT1). Bạn không thể sử dụng tùy chọn LPT1 khi máy in không được kết nối trực tiếp đến máy chủ. Tất cả các tùy chọn khác trong danh sách sổ xuống Use the Following Port cũng đề cập đến các cổng cục bộ. Vì vậy bạn sẽ phải chọn tùy chọn Create a New Port. Hình B: Mặc định Add Printer Wizard kết nối đến một máy in đã được gắn cục bộ. Danh sách sổ xuống Create a New Port gồm có hai tùy chọn; Local Port và Standard TCP/IP port. Chọn tùy chọn Standard TCP/IP port và click Next, Windows sẽ khởi chạy Add Standard TCP/IP Printer Port wizard. Click Next để bỏ qua màn hình này bạn sẽ nhìn thấy một màn hình như hình C, cửa sổ này hỏi về tên của máy in hoặc địa chỉ IP và tên cổng. Hình C: Bạn phải nhập vào địa chỉ IP của máy in và tên cổng. Máy in có một địa chỉ IP được gán cho nó, vì vậy bạn chỉ cần nhập vào đó địa chỉ vào khoảng trống. Ở đây có thể nhập tên cổng bất kỳ nhưng phải lưu ý rằng tên cổng phải là duy nhất. Mặc định, Windows sẽ tạo tên cổng của nó có IP_ ở trước địa chỉ IP của máy in. Bạn có thể sử dụng tên cổng này hoặc tạo tên cổng mà bạn thích thay đổi. Click Next bạn sẽ quan sát thấy một cửa sổ hiển thị các tùy chọn đã nhập vào như hình D. Chú ý trong hình này, cổng mà bạn đang cấu hình được thiết lập để chấp nhận dữ liệu in RAW trên cổng 9100 và Windows thừa nhận rằng máy in sử dụng giao diện HP Jet Direct Hình D: Windows hiển thị các tùy chọn mà bạn đã chọn Click Finish bạn sẽ quay trở lại Add Printer wizard. Cửa sổ tiếp theo mà bạn sẽ quan sát thấy yêu cầu đánh vào đó loại máy in đang thiết lập. Bạn có thể chọn đúng loại máy in từ danh sách hoặc sử dụng tùy chọn có trong ổ cứng Have Disk để cung cấp một drive in của riêng bạn. Click Next bạn sẽ thấy một màn hình hỏi về tên cùa máy in và xem có muốn Windows sử dụng như máy in mặc định hay không. Trả lời các câu hỏi đó hoàn toàn dễ dàng đối với bạn. Sau khi hoàn thành các phần chọn, click Next. Bạn sẽ quan sát thấy một cửa sổ tương tự như hình E, cửa sổ này hỏi xem bạn có muốn chia sẻ máy in hay không. Windows đã thừa nhận rằng bạn cho thiết lập máy in để in nó từ máy chủ. Nếu mục đích của bạn là để kiểm tra việc sử dụng máy in thì phải chia sẻ nó. Hình E: Bạn nên chọn chia sẻ máy in Mục tiêu của bạn là các công việc đã được dự trù từ trước cho máy in thông qua máy đang cấu hình. Bằng cách làm như vậy bạn sẽ hạn chế được sự truy cập đến máy in (nếu cần thiết), và sẽ kiểm tra được vấn đề sử dụng máy in. Chúng ta cũng nên đề cập đến vấn đề quan trọng ở đây đó là bạn chỉ thiết lập một máy chủ để chia sẻ máy in này. Mặt khác nếu có nhiều máy chủ để sử dụng máy in cùng một thời điểm thì máy in có thể từ chối như thế nào. Click Next bạn sẽ thấy cửa sổ lệnh để nhập vào vị trí của máy in và nhắc nhở tùy chọn. Thông tin này được dự định để giúp người dùng tính toán chuỗi in của nó. Click Next bạn sẽ nhận được in một trang kiểm tra. Sau khi thực hiện công việc này, click Next thêm một lần nữa sau đó là Finish. Máy chủ sẽ được thiếp lập để quản lý các công việc in của máy in. Nhớ rằng bạn phải gửi lại một lần nữa đến các máy trạm làm việc để chúng in tên chia sẻ UNC của máy chủ (\\server name\share name) hay hơn việc in từ may in một cách trực tiếp. Kết luận Trong phần 1 này, chúng tôi đã cho các bạn thấy được cách cấu hình một máy chủ để quản lý một máy in mạng. Trong phần 2 của loạt bài này chúng tôi sẽ tiếp tục giới thiệu cho các bạn thấy được cách bảo vệ và kiểm tra chuỗi in. Bắt đầu bằng việc quan sát phần có trong thuộc tính của máy in. Bạn có thể vào các thuộc tính này bằng việc điều hướng thông qua menu Start của máy chủ > Control Panel | Printers and Faxes. Khi bạn chọn menu Printers and Faxes, chuỗi in đang được quản lý bởi máy chủ sẽ hiển thị trên menu con. Kích chuột phải vào chuỗi in mà bạn muốn bảo vệ và chọn Properties. Khi cửa sổ các thuộc tính của máy in được mở, tab General sẽ lựa chọn một cách mặc định. Không thực sự có nhiều thứ bạn muốn làm về vấn đề bảo mật trong tab này, vì vậy hãy vào tab Sharing. Như những gì bạn có thể nhìn thấy trong hình A tab Sharing cho phép chỉ định tên máy in chia sẻ. Tên chia sẻ được sử dụng như một phần của quy ước tên phổ biến Universal Naming Convention (UNC). Có một số lệnh có thể được sử dụng ở đây đối với máy in đang được sử dụng UNC. Ví dụ: nếu muốn bản đồ hóa cổng LTP1 cho máy in, bạn sử dụng lệnh dưới đây: NET USE LPT1: \\servername\sharename Ở lệnh trên, tên máy chủ servername sẽ biểu hiện một máy chủ đang quản lý máy in được chia sẻ, còn tên chia sẻ sharename là tên máy in được chia sẻ ở dưới. Hình A: Tab Sharing cho phép bạn thiết lập tên chia sẻ của máy in Nhìn thoáng qua, tab này có nội dung và hình thức rất giống với cửa sổ sử dụng để chia sẻ thư mục. Tuy nhiên nhìn kỹ ta sẽ thấy có một số điểm khác. Điểm khác biệt chủ yếu ở đầy là, trong cửa sổ chia sẻ thư mục file, bạn có thể thiết lập các cho phép ở mức chia sẻ hay cả mức NTFS. Nếu nhìn vào hình A, bạn sẽ thấy rằng, không có cơ chế nào để thiết lập các sự cho phép đó ở đây. Thay vì đó, tất cả sự cho phép được thiết lập thông qua tab Security, nội dung của tab này sẽ được chúng tôi giới thiệu sau. Có một số thứ có thể thực hiện trong tab Sharing để có thể tăng bảo mật của máy in. Một tùy chọn cho phép không liệt kê máy in trong Active Directory. Việc không liệt danh sách máy in trong Active Directory sẽ làm cho máy in không thể nhìn thấy được bởi người khác, chính vì vậy mà người dùng vẫn có thể duyệt mạng máy in (sử dụng kiểu NetBIOS, không bằng duyệt Active Directory). Nó giảm những trường hợp nhiều người dùng vô tình nhảy vào máy in. Nếu bạn để ý trong hình A, sẽ thấy được nút Additional Drivers. Windows được thiết kế để khi người dùng gắn máy in thông qua sự chia sẻ, các driver cần thiết sẽ được cài đặt tự động vào máy tính người dùng. Nếu ở trong tình huống này, tình huống mà bạn biết rằng ai đó cần máy in đang chạy trên một hệ điều hành riêng thì bạn có thể cài đặt các driver chỉ cho hệ điều hành đó. Đây không đúng là một giải pháp bảo mật vì một người dùng hoàn toàn có thể cài đặt một driver lên máy tính của họ bằng cách tải nó về từ Internet (cho rằng họ có sự cho phép làm điều đó). Việc không tự động trao cho người dùng một driver khi họ gắn máy in chỉ cần đơn giản bằng cách bắt người dùng phải nhảy qua các kiểm tra. Không có thiết lập nào trên tab Sharing đạt những gì cho là các thiết lập bảo mật thực sự, chúng là những thứ đơn giản nhưng có thể cải thiện bảo mật ở một mức độ thứ yếu trong một số trường hợp, vì vậy mà chúng tôi vẫn đề cập đến. Tab Advanced Tab Advanced thực sự không có nhiều thiết lập bảo mật, nhưng nó có một thiết lập mà chúng tôi muốn giới thiệu cho các bạn. Nếu nhìn vào hình B thì bạn sẽ thấy tab Advanced gồm có một thiết lập cho phép kiểm soát máy in khi in hoặc không in. Nếu bạn biết không có ai trong công ty cần đến việc in ấn ngoài giờ thì có thể thiết lập máy in để nó chỉ có tác dụng in trong giờ làm việc của công ty. Hình B: Tab Advanced gồm một thiết lập cho phép bạn điều khiển thời gian in. Tab Security Tab Security được thể hiện như trong hình C, cho phép bạn kiểm soát chuỗi in. Ở đây bạn có thể điều khiển được cả người dùng và nhóm người dùng giống như việc bảo mật hệ thống file. Tuy nhiên chúng ta nên sử dụng bảo mật nhóm trong trường hợp này. Hình C: Tab Security cho phép kiểm soát người dùng hoặc nhóm Nếu nhìn vào hình, bạn có thể thấy được 4 tùy chọn khác nhau ứng với những chức năng bảo mật khác nhau có thể thiết lập cho máy in. Cửa sổ này thực sự không nói hết được các tính năng bảo mật, chúng chỉ đưa ra các cho phép có sẵn. Nếu bạn thực sự muốn nâng cao hơn nữa tính năng bảo mật cho máy in thì hãy nhấn vào nút Advanced. Khi nhấn vào đó, Windows sẽ hiển thị cho bạn các thuộc tính bảo mật nâng cao. Các thuộc tính này cho phép thiết lập cho phép cho người dùng và nhóm theo cách giống như màn hình hiển thị trong hình C. Tuy nhiên sự khác nhau ở đây là màn hình này cho phép bạn có khả năng can thiệp vào sâu hơn nữa về các thuộc tính máy in. Hình D dưới đây cho bạn thấy rõ điều này. Hình D: Các thuộc tính bảo mật nâng cao cho phép bạn có những tính năng bảo mật nâng cao hơn so với các chức năng sẵn có trong tab Security. Ở đây, bạn có thể cho phép hoặc hạn chế sự cho phép, việc này tạo điều kiện thuận tiện trong sử dụng. Nếu người dùng là một thành viên của hai nhóm khác nhau thì những cho phép của nhóm sẽ được kết hợp để tạo thành cho phép hiệu quả đối với người dùng. Thông thường tình huống tương tự như vậy thường áp dụng cho những cho phép hạn chế mức thấp nhất. Tuy nhiên ngoại trừ trường hợp người dùng có hạn chế đặc biệt thì hạn chế này sẽ có quyền ưu tiên cao nhất. Bạn có thể sử dụng khái niệm này để tăng kiểm soát đối với các cho phép. Trước khi giới thiệu cho bạn cách làm, chúng ta hãy xem qua các cho phép khác nhau đó có những chức năng gì. Print – Nếu một người dùng được cho phép in thì người này sẽ được phép sử dụng máy in. Manage Printers (Quản lý các máy in) – Với cho phép này, người dùng có thể thay đổi các thuộc tính của máy in và thay đổi các cho phép để áp dụng đối với người dùng khác. Manage Documents (Quản lý tài liệu) – Tính năng này cho phép người dùng thực hiện một số công việc như là dừng, khởi động lại, hay xóa một nhiệm vụ in nào đó. Read Permissions – Nếu người dùng được gán cho chức năng này thì họ có thể xem các cho phép được gán tới mỗi người dùng. Change Permissions – Chức năng này cho phép người dùng thay đổi các cho phép đối với người dùng khác. Take Ownership – Tính năng này cho phép người dùng có được quyền sở hữu máy in. Bạn có thể sử dụng các cho phép khác nhau để kết hợp (giữa cho phép và hạn chế) để tạo ra các thiết lập bảo mật mức cao. Kết luận Như đã giới thiệu, có nhiều thiết lập mà bạn có thể sử dụng để kiểm soát máy in trong công ty bạn. Trong phần 3 của bài viết này, chúng tôi sẽ tiếp tục giới thiệu cho các bạn cách làm thế nào để kiểm định việc sử dụng máy in. Tạo và áp dụng chính sách bảo mật truy cập từ xa trong Windows Server 2003 Hướng dẫn từng bước dưới đây sẽ giới thiệu cho bạn cách đặt chính sách bảo mật truy cập từ xa trong Microsoft Windows Server 2003 ở chế độ thông thường. Ngoài ra cũng giới thiệu cách thiết lập chính sách này trên Windows Server 2003 trong các máy chủ truy cập từ xa. Trong Microsoft Windows Server 2003 ở chế độ thông thường, bạn có thể sử dụng ba kiểu chính sách truy cập từ xa dưới đây: • Explicit allow (Cho phép hoàn toàn) Chính sách truy cập từ xa được thiết lập là "Grant remote access permission" (Cho phép truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách. • Explicit deny (Từ chối hoàn toàn) Chính sách truy cập từ xa được thiết lập là "Deny remote access permission" (Từ chối truy cập từ xa) và kết nối phù hợp với các điều kiện của chính sách. • Implicit deny (Từ chối hoàn toàn tuyệt đối) Kết nối không phù hợp với tất cả các điều kiện truy cập của chính sách. Để thiết lập một chính sách truy cập từ xa, cấu hình chính sách. Sau đó, cấu hình thiết lập dial-in của tài khoản người dùng để chỉ ra các quyền truy cập từ xa được kiểm soát bởi chính sách. Cách cấu hình chính sách truy cập từ xa Mặc định, hai chính sách truy cập từ xa được cung cấp trong Windows Server 2003: • Connections to Microsoft Routing and Remote Access server Chính sách này tương ứng với các kết nối truy cập từ xa được tạo đối với Routing và dịch vụ truy cập từ xa. • Connections to other access servers (Kết nối đến các máy chủ truy cập khác) Chính sách này tương ứng với các kết nối vào, không quan tâm đến loại máy chủ truy cập mạng. Windows Server 2003 sử dụng chính sách Connections to other access servers chỉ khi một trong những điều kiện sau được thỏa mãn: • Chính sách Connections to Microsoft Routing and Remote Access server không có sẵn. • Các chính sách cũ hơn đã được thay đổi. Để cấu hình một chính sách mới, bạn thực hiện theo các bước sau: 1. Kích Start, vào Programs, Administrative Tools, sau đó là Routing and Remote Access. 2. Mở Server_Name, sau đó kích Remote Access Policies. Lưu ý, nếu bạn không cấu hình truy cập từ xa, hãy kích Configure and Enable Routing and Remote Access trên menu Action, và sau đó thực hiện theo các bước trong Routing and Remote Access Server Setup Wizard. 3. Tạo một chính sách mới Các bước ví dụ dưới đây sẽ mô tả cho các bạn cách tạo một chính sách mới cho phép hoàn toàn quyền truy cập từ xa đối với một người dùng cụ thể trong những ngày nào đó. Chính sách này cũng khóa hoàn toàn sự truy cập trong những ngày khác. Kích chuột phải vào Remote Access Policies, sau đó kích New Remote Access Policy. Trong New Remote Access Policy Wizard, kích Next. Trong hộp Policy name, đánh Test Policy, sau đó kích Next. Trong trang Access Method, kích Dial-up, sau đó kích Next. Trong trang User or Group Access, kích User hoặc Group, sau đó kích Next. Lưu ý nếu bạn muốn cấu hình chính sách truy cập từ xa cho một nhóm, thì kích Add, đánh tên của nhóm trong hộp Enter Object Names To Select, sau đó kích OK. Trong trang Authentication Methods, bảo đảm rằng chỉ có hộp chọn Microsoft Encrypted Authentication version 2 (MS-CHAPv2) được chọn, sau đó kích Next. Trong trang Policy Encryption Level, kích Next. Kích Finish. Một chính sách mới có tên là Test Policy xuất hiện trong Remote Access Policies Trong cửa sổ bên phải, kích chuột phải vào Test Policy sau đó kích Properties. Kích Edit Profile, chọn hộp thoại Allow access only on these days and at these times, sau đó kích Edit. Kích Denied, Monday through Friday from 8:00 A.M. to 4:00 P.M > Permitted > OK, Kích OK để đóng hộp thoại Edit Dial-in Profile. Kích OK để đóng hộp thoại Test Policy Properties. Chính sách Test Policy đã có hiệu lực Lặp lại các bước để tạo một chính sách khác có tên là Test Block Policy. Trong cửa sổ bên phải, kích chuột phải vào Test Block Policy, sau đó chọn Properties. Trong hộp thoại Test Block Policy Properties, kích Deny remote access permission. Lúc này chính sách Test Block Policy có hiệu lực 4. Thoát khỏi Routing and Remote Access. Cách cấu hình thiết lập dial-in tài khoản người dùng Để chỉ định các quyền truy cập từ xa được kiểm soát bởi chính sách truy cập này, bạn thực hiện các bước như sau: 1. Kích Start, vào Programs > Administrative Tools, sau đó sử dụng một trong các phương pháp dưới đây. Phương pháp 1: Với bộ điều khiển miền Active Directory Nếu máy tính là một bộ điều khiển miền dịch vụ thư mục Active Directory, bạn thực hiện các bước dưới đây: a, Kích Active Directory Users and Computers. b, Trong menu hình cây, mở Your_domain, sau đó kích Users. Phương pháp 2: Với máy chủ Windows Server 2003 độc lập Nếu máy tính của bạn là một máy chủ Windows Server 2003 độc lập, bạn thực hiện theo các bước dưới đây: a, Kích Computer Management. b, Trong cửa sổ menu hình cây, kích vào System Tools > Local Users and Groups, sau đó là Users. 2. Kích chuột phải vào tài khoản người dùng, sau đó chọn Properties. 3. Trong tab Dial-in, kích Control access through Remote Access Policy, sau đó kích OK. Lưu ý, nếu Control access through Remote Access Policy không có sẵn, thì Active Directory có thể đang hoạt động trong chế độ “Mixed”. Xử lý sự cố Nếu không sử dụng các nhóm để chỉ định quyền truy cập từ xa trong cấu hình chính sách thì bạn hãy bảo đảm rằng tài khoản khách phải được vô hiệu hóa. Cũng như vậy, bạn phải bảo đảm rằng đã thiết lập quyền truy cập từ xa cho tài khoản khách là Deny access. Để thực hiện điều đó, hãy sử dụng một trong các phương pháp dưới đây: Phương pháp 1: Với bộ điều khiển miền Active Directory 1. Kích Start, chỉ đến Programs > Administrative Tools, sau đó kích Active Directory Users and Computers. 2. Trong cửa sổ hình cây, mở Your_domain sau đó kích Users. 3. Kích chuột phải vào Guest, sau đó kích Properties. 4. Trong tab Dial-in, kích Deny access, sau đó là OK 5. Kích chuột phải vào Guest, chỉ đến All Tasks, sau đó kích Disable Account. 6. Khi nhận được thông báo “Object Guest has been disabled” (Đối tượng khác đã được vô hiệu hóa), kích OK. 7. Thoát khỏi Active Directory Users and Computers. Phương pháp 2: Với máy chủ Windows Server 2003 đơn lẻ 1. Kích Computer Management. 2. Trong cửa sổ menu hình cây, kích System Tools > Local Users and Groups, sau đó kích Users. 3. Kích chuột phải vào Guest chọn Properties. 4. Trong tab Dial-in, kích Deny access, sau đó kích OK. 5. Kích chuột phải vào Guest chọn Properties. 6. Kích chọn Account is disabled, sau đó kích OK. 7. Thoát khỏi Computer Management. Tham khảo thêm Để có thêm thông tin chi tiết về các chính sách truy cập từ xa, bạn hãy kích Start > Help and Support, nhập remote access policies trong hộp tìm kiếm Search, sau đó nhấn ENTER để xem các chủ đề. Cấu hình Distributed File System (DFS) trên Windows Server 2003 Windows 2000 đã giới thiệu Distributed File System (DFS) cho phép bạn hợp nhất các chia sẻ file giúp người dùng có thể truy cập tới chúng từ một điểm trên mạng. Windows Server 2003 đã cải tiến công nghệ mô hình WAN cho phép các điểm DFS tồn tại qua các liên kết WAN. Trong bài này, Quản Trị Mạng sẽ giải thích hoạt động của DFS cũng như đưa ra các bước thiết lập và cấu hình DFS trên Windows Server 2003. Trong môi trường DFS bạn có thể tập trung các thư mục và tập tin chia sẻ cùng tồn tại trên các máy chủ khác nhau để hiển thị như từ cùng một vị trí. Thực hiện theo các bước cấu hình DFS như sau: 1. Cấu hình máy chủ để nắm được nguyên tắc của máy chủ tài nguyên. Trên thanh Start chọn Administrative Tools. 2. Chọn Configure Your Server Wizard. 3. Tại Roles wizard, chọn nguyên tắc cho máy chủ tập tin và kích Next. (Bạn có thể sẽ cần đĩa CD Windows Server 2003 CD để hoàn thành thiết lập). 4. Sau khi hoàn thành cài đặt, kích Finish. Việc sử dụng các thành phần của DFS không phụ thuộc vào các nguyên tắc máy chủ tài nguyên . Nếu như bạn không muốn cấu hình các nguyên tắc máy chủ tài nguyên thì có thể cài đặt các thành phần DFS theo các bước sau: 1. Mở Start | Control Panel vào mục Add/Remove Programs. 2. Chọn Windows Components từ thanh điều hướng bên trái. 3. Kích chọn hộp kiểm kế bên thành phần DFS mong muốn. Nếu bạn không đang sử dụng nhiều trang với nhiều yêu cầu tương đương, thì có thể chọn thành phần DFS và kích Details để hủy chọn thành phần DFS thứ bản. 4. Vào Start | All Programs | Administrative Tools. 5. Chọn Distributed File System. 6. Tại ô bên trái của snap-in DFS, kích phải chuột tại nút Distributed File System và chọn New Root. Cách tạo một DFS root Các môi trường DFS tạo một DFS root, là nơi mà tất cả các mục chọn bên trong DFS tồn tại. Ví dụ như nếu văn phòng Chicago gọi DFS root trên máy chủ tài nguyên nội bộ “phòng ban” thì sẽ thu được một danh sách các tài nguyên chia sẻ có trong DFS. 1. New Root Wizard sẽ trợ giúp bạn tạo DFS root. Kích Next trên màn hình Welcome để bắt đầu. 2. Tiếp theo New Root Wizard sẽ yêu cầu bạn lựa chọn tạo Standalone Root hay một Domain Root. Sau đó kích Next. Một Domain root sử dụng Active Directory (AD) để lưu trữ các thông tin DFS; Nó cũng cho phép các thông tin DFS đồng nhất với AD, đồng thời cho phép các DFS root và các tài nguyên chia sẻ cùng đồng bộ qua các trang. Một Standalone root lưu trữ thông tin DFS trên máy chủ tài nguyên của chính nó và không có bản sao đồng nhất. Tùy theo sự lựa chọn root để xác định bạn sẽ cung cấp gì trong phần tiếp theo của New Root Wizard. Nếu chọn Domain Root, bạn cần chỉ định rõ tên miền của môi trường AD cũng như là các miền tin cậy khác. Nếu chọn Standalone, bạn sẽ nhập vào tên của máy chủ tài nguyên. 3. Nhập vào tên của Active Directory Domain (đối với domain root) hay Server Name (đối với standalone root) và kích Next. (Trong phần còn lại của bài sẽ sử dụng một Standalone root cho DFS. Sự khác nhau giữa hai loại trên chỉ là sự đồng nhất AD chứ không ảnh hưởng gì tới cấu hình chung của DFS.) 4. Sau khi đã chỉ định tên máy chủ tài nguyên cho DFS root, hãy nhập tên root và kích Next. (Trong ví dụ thì root có tên là Departments). 5. Tại màn hình tiếp theo, tìm tới một thư mục mà bạn muốn chia sẻ như là một phần của môi trường DFS. Chọn thư mục và kích Next. Bạn có thể thêm các chia sẻ thêm vào DFS root bất kỳ lúc nào sau những bước cấu hình đầu tiên. 6. Kích Finish để hoàn thành cài đặt DFS New Root. Nếu kích vào DFS root được tạo trong bảng điều khiển DFS, bạn sẽ không thấy bất kì sự chia sẻ nào bởi vì bạn chưa thêm chúng vào. Thư mục chia sẻ được xác định khi đang tạo DFS root cũng như điểm bắt đầu cho môi trường DFS. Để thêm các chia sẻ cho DFS root, bạn cần liên kết các chia sẻ đó với gốc. Thực hiện các bước sau để thêm một liên kết tới DFS root: 1. Kích phải chuột tại đối tượng DFS Root phía dưới nút Distributed File System trên bảng điều khiển DFS và chọn New Link. 2. Hệ thống sẽ yêu cầu đường dẫn UNC để chia sẻ, và đặt một tên cho liên kết. Hộp thoại New DFS Link cũng cho phép xác định lượng thời gian cho máy khách giữ tham chiếu tới liên kết. Việc làm này sẽ làm giảm lưu lượng mạng bằng cách giảm các tấn công để liên tục tìm kiếm liên kết DFS. 3. Nhập tên liên kết. Tên này sẽ xuất hiện tại ô Preview trên hộp thoại New Link. Hộp thoại này sẽ cho bạn biết đường dẫn của liên kết mới. 4. Kích OK để tạo liên kết. Vậy là bạn đã thêm vào DFS root và một liên kết, bạn có thể bắt đầu sử dụng môi trường DFS. Bạn có thể liên kết tất cả các chia sẻ tới Departments root (không cần bận tâm tới vị trí thực sự của các chia sẻ); DFS root giúp giảm một số lượng lớn các bước quản lý chia sẻ và tăng tốc độ truy cập tới tất cả các liên kết thêm vào thông qua DFS root dù tập tin chia sẻ đang trên bất kỳ máy chủ nào. Việc sử dụng DFS sẽ cho phép các quản trị viên chỉ rõ các các ánh xạ điều khiển mạng tới một vị trí để truy nhập tới tất cả các liên kết chia sẻ. Việc giảm bớt số lượng ánh xạ điều khiển và bảo trì có thể kết hợp với việc quản lý các ánh xạ đó. Tạo các mục bản ghi sự kiện trên Windows Server 2003 Windows Server 2003 ghi lại rất nhiều kiểu sự kiện bao gồm cả các ứng dụng, các sự kiện hệ thống và các mục bảo mật. Các bản ghi sự kiện này rất có ích trong việc theo dõi vấn đề thực thi và những vấn đề của hệ điều hành hay ứng dụng đang chạy trên máy chủ. Bạn có thể tìm thấy các bản ghi sự kiện đặc biệt hữu ích để ghi lại mọi sự kiện khác tới bản ghi bằng cách sử dụng các tiện ích dòng lệnh trên Windows Server 2003. Bạn có thể phát hành tiện ích này bên trong một tập tin .BAT để ghi lại hoạt động của tập tin hoặc có thể gọi vào tập tin này trong suốt quá trình cài đặt tới một bản ghi sự kiện. Lệnh Event Create để tạo ra một mục bản ghi sự kiện là EventCreate. Thực hiện lệnh EventCreate với đối số /? cung cấp các lệnh như trong bảng dưới đây. C:> eventcreate /S \\servername /L Application /T Success /SO Application Name /ID 1754 /D “Description of event” Bạn có thể ghi bất kỳ sự kiện nào tới bản ghi bằng lệnh này. Windows Server 2003 thêm rất nhiều sự kiện vào các bản ghi mà không cần sự can thiệp của người dùng, tuy nhiên những tập tin tùy chỉnh được tạo ra để trợ giúp bạn thực hiện bất kỳ nhiệm vụ nào cũng sẽ không để lại dấu vết ghi trên hệ thống trừ phi bạn ghi chúng. Đối sốHoạt động/SChỉ định tên của hệ thống từ xa để kết nối khi đang ghi sự kiện/UChỉ định một tài khoản người dùng để ghi các sự kiện cần thiết /PChỉ định một mật khẩu cho tài khoản người dùng;/LChỉ định bản ghi để ghi sự kiện (ví dụ: Ứng dụng, hệ thống, bảo mật) /TChỉ định kiểu sự kiện; Các kiểu sự kiện hợp lệ bao gồm: SUCCESS, ERROR, WARNING, INFORMATION/SO Chỉ định nguồn của sự kiện (ví dụ: WinWord cho Microsoft Word) /IDChỉ định một ID đối với sự kiện giữa 1 và 1000 (dấu phẩy không được chấp nhận) /D Chỉ định miêu tả các sự kiện được nhập; Mỗi sự kiện được liệt kê trong dấu ngoặc kép. Khi thực hiện các nhiệm vụ tự động trên những hệ thống từ xa, thì việc ghi lại các nhiệm vụ vào bản ghi sự kiện có thể trợ giúp bạn hay các quản trị viên khác nắm được những hoạt động nào đã thực hiện đồng thời cũng nắm được hệ thống đã phản hồi lại ra sao. Ghi chú: Lệnh EventCreate cũng đồng thời hoạt động trên các hệ thống cài đặt hệ điều hành Windows XP và Windows Vista. M.Hà (Theo Techrepublic) Vô hiệu hóa tài khoản người dùng trên Windows Server 2003 Khi một nhân viên rời khỏi công ty, thì việc xóa bỏ tài khoản sử dụng của người đó là một việc làm rất quan trọng. Công ty có thể xóa tài khoản người sử dụng sau nhiều ngày hay tuần, nhưng có thể bạn chỉ muốn vô hiệu hóa tài khoản đó hơn là xóa hẳn đi. Có hai cách để vô hiệu hóa tài khoản người dùng trên Windows Server 2003. Một phương pháp đạt hiệu quả ngay lập tức và phương pháp còn lại sẽ có tác dụng vào cuối một ngày xác định. Phương pháp sau cho phép Windows xử lý hoạt động vô hiêu hoá tài khoản. Điều này có thể có ích trong trường hợp người dùng rời đi vào một thời điểm đã xác định sẵn. Việc vô hiệu hóa một tài khoản sẽ ngăn chặn tài khoản đó không nhận được thư điện tử (Nếu các thuộc tính thư điện tử đã được cấu hình), và ngăn chặn người dùng đăng nhập hay truy nhập vào các tài nguyên mạng. Nếu bất cứ ai cần truy nhập vào tài khoản đã bị vô hiệu hóa với bất kỳ lý do nào, bạn có thể dễ dàng kích hoạt trở lại tài khoản đó. Để vô hiệu hóa một tài khoản người dùng ngay lập tức, bạn hãy thực hiện theo các bước sau đây: 1. Mở Active Directory Users And Computers. 2. Tại ô bên phải của cửa sổ Active Directory Users And Computers, kích phải chuột vào tài khoản người dùng bạn muốn vô hiệu hóa và chọn Disable. Bạn sẽ thấy một hộp thoại được hiển thị báo cho biết rằng tài khoản đó đã được vô hiệu hóa. 3. Sau khi hộp thoại thông báo hiển thị, kích OK. Để thiết lập một tài khoản người dùng sẽ bị vô hiệu hóa vào cuối của một ngày tháng xác định, hãy thực hiện theo các bước sau: 1. Mở Active Directory Users And Computers. 2. Tại ô bên phải của cửa sổ Active Directory Users And Computers, kích phải chuột vào tên tài khoản người dùng bạn muốn vô hiệu hóa và chọn Properties. 3. Kích thẻ Account trên hộp thoại thuộc tính tài khoản người dùng. 4. Tại ô phía dưới thẻ Account, chọn ngày tháng bạn muốn tài khoản sẽ bắt đầu bị vô hiệu hóa rồi kích OK. Việc xóa một tài khoản người dùng là loại bỏ tất cả các thuộc tính của đối tượng người sử dụng từ Active Directory. Nếu một đối tượng người dùng đã bị xóa từ Active Directory thì bạn sẽ cần khởi tạo ra một người dùng mới và thêm tất cả những thuộc tính cần thiết, cũng như một Security Identifier (nhận biết bảo mật) trong trường hợp người dùng quay trở lại công ty. Ghi chú: để việc vô hiệu hóa tài khoản người dùng được hoàn tất thì sau khi thay đổi bạn cần tạo lại bản sao trên môi trường Active Directory của mình. Vì nếu có các vấn đề với bản sao thư mục, bạn có thể thấy sự xuất hiện lại của những tài khoản đã bị xóa hay sự kích hoạt lại các tài khoản đã được vô hiệu hóa. Trường hợp không cần sử dụng lại tài khoản đó thì bạn có thể xóa bỏ đối tượng tài khoản người dùng theo các bước sau: 1. Mở Active Directory Users And Computers. 2. Kích phải chuột tại đối tượng tài khoản người dùng (User Account Object) bạn muốn xóa. 3. Chọn Delete từ trình đơn ngữ cảnh. 4. Kích Yes khi được hỏi liệu bạn có muốn xóa đối tượng hay không. Quản trị Windows Server 2003 từ máy trạm XP Bạn cảm thấy mệt mỏi với việc phải di chuyển qua lại giữa văn phòng làm việc với phòng máy chủ để thực hiện những nhiệm vụ cần thiết cho mạng của công ty? Với bài hướng dẫn này, bạn có thể tải các công cụ quản trị mạng về chính máy trạm XP của mình, thực hiện các thao tác với máy chủ một cách nhanh chóng và hiệu quả. Windows Server 2003 ra mắt với rất nhiều các công cụ quản trị mạng mạnh mẽ và phong phú. Bạn có thể sử dụng chúng để cấu hình máy chủ thực hiện những nhiệm vụ cần thiết. Thường thì bạn phải ngồi trước máy chủ và thực hiện các thao tác quản lý hoặc tối thiểu là kết nối từ xa tới máy chủ. Điều này có thể làm chậm và khá không thuận tiện, nó làm cho khó có thể thực hiện các nhiệm vụ cần thiết một cách nhanh chóng. May thay, sử dụng các công cụ tích hợp được giới thiệu trong Windows Server 2003, bạn có thể chạy các công cụ quản trị trực tiếp từ một trạm làm việc. Tất cả những gì phải làm là tải về một vài công cụ từ đĩa CD Windows Server 2003. Còn đây là cách thực hiện. Bắt đầu Đầu tiên, hãy chắc chắn là máy trạm dùng để quản lý của bạn sử dụng Windows XP Service Pack 1 hoặc các phiên bản sau này. Nếu sử dụng Windows 2000 Professional hay Windows 9x trên máy trạm quản trị thì có thể sẽ gặp lỗi. Tiếp theo, bạn cần tìm đĩa CD Windows Server 2003 gốc. Đưa nó vào máy Windows XP mà bạn tính sẽ sử dụng làm máy trạm quản lý. Vào cửa sổ lệnh và gõ vào câu lệnh sau: msiexec /i x:\i386\adminpak.msi với x: là ký tự ổ đĩa CD-ROM, sau đó nhấn Enter. Nếu cài đặt không bắt đầu đúng cách, kiểm tra file ADMINPAK.MSI trong thư mục I386 nằm trong ổ CD-ROM. Nếu nó không có trong thư mục đó, bạn có thể phải chọn lại đĩa cài đặt vì trong Windows Server 2003 Small Bussiness Edition file cần thiết nằm trong đĩa 1. Khi có quá trình cài đặt bắt đầu, bạn sẽ thấy một màn hình cài đặt Windows xuất hiện. Bạn không phải lo lắng nhiều về việc cài đặt này, nó rất đơn giản chỉ cần thực hiện theo hướng dẫn đưa ra để cài đặt các công cụ. Sau khi mọi việc được thực hiện xong, chỉ cần kích Finish. Sử dụng công cụ Sau khi kích Finish, bạn có thể bắt đầu sử dụng công cụ mà không cần khởi động lại máy trạm quản trị. Tuy nhiên trước khi bắt đầu sử dụng công cụ, bạn vẫn cần phải logoff và logon lại vào mạng. Hãy đảm bảo bạn đã log vào máy trạm với tài khoản người dùng có quyền Domain Admin trong mạng. Bạn có thể sẽ cần thêm một vài quyền khác để có thể thực hiện được mọi công việc cần thiết trong mạng. Trong trường hợp đó, người dùng sẽ cần quyền quản trị trên máy trạm tương đương với quyền thực hiện nhiệm vụ tương tự trên máy chủ. Bạn có thể tìm thấy các công cụ bằng cách kích vào Start | All Programs | Administrative Tools. Trong thư mục này, bạn sẽ tìm thấy các công cụ mới được thêm xen vào giữa những công cụ chuẩn của Windows XP. Hình 1: Bạn sẽ tìm thấy các công cụ mới trong thư mục Administrative Tools. Như bạn thấy trên hình, có thể thực hiện mọi thứ như máy chủ từ máy trạm trong văn phòng của bạn. Các công cụ được cho như sau: Active Directory Users And Computers Active Directory Sites And Services DHCP Manager DNS Manager Terminal Services Manager Cluster Administrator Các công cụ này chạy trên máy trạm cũng giống như sử dụng trên máy chủ. Bạn có thể thấy một sự trễ nhỏ khi chạy các công cụ bởi tiện ích này phải truy cập máy chủ thông qua mạng, do đó đương nhiên sẽ chạy chậm hơn một chút so với chạy trực tiếp trên bản thân máy chủ. Khi sử dụng một trong những công cụ này, bạn có thể nhận được nhắc nhở kết nối tới một máy tính (như hình 2). Hãy đảm bảo kết nối đúng tới tên và địa chỉ IP của máy chủ mà bạn muốn quản lý. Không chọn phần This Computer vì bạn đang sử dụng một máy trạm quản trị, các dịch vụ cần thiết sẽ không nằm trên máy này mà nằm trên máy kết nối tới. Hình 2: Hãy đảm bảo kết nối tới máy tính thích hợp. Một vài công cụ mới Bạn có thể lưu ý trong danh sách các công cụ xuất hiện trên máy trạm có cả những công cụ không có trên chính máy chủ. Các công cụ đó bao gồm: Active Directory Management Public Key Management IP Address Management Các công cụ này được gọi là Convenience Consoles, thực tế chúng là bảng điều khiển quản trị và là tập hợp của các công cụ quản trị thường dùng. Ví dụ như Active Directory Management (hình 3) là một nhóm các tiện ích Active Directory Users And Computers, Active Directory Domains And Trusts, Active Directory Sites And Services, và DNS Manager đặt trong cùng một giao diện. Hình 3: Nhóm Convenience Consoles bao gồm các công cụ phổ biến thường dùng IP Address Management (hình 4) là hợp nhất của DHCP Manager, DNS Manager, và WINS Manager. Bạn sẽ cần đến những tiện ích này khi quản trị dịch vụ IP trong mạng. Hình 4: IP Address Management giúp bạn quản trị được TCP/IP trong mạng Cuối cùng, Public Key Management (hình 5) nhóm các công cụ the Certification Authorities, Certificate Templates, Certificates For Current User, và Certificates For Local Computer lại với nhau. Hình 5: Public Key Management giúp bạn quản trị các chứng thực Nâng cao khả năng quản trị hơn nữa với Support Tools Sau khi đã có các chương trình quản trị chạy trên máy trạm, bạn cũng có thể thêm một vài công cụ mạnh mẽ hơn bằng cách tải về Support Tools. Đầu tiên bạn cần tìm đĩa CD Windows Server 2003 gốc. Đưa đĩa vào máy Windows XP đang sử dụng để làm máy trạm quản trị. Tại cửa sổ lệnh bạn gõ lệnh sau: msiexec /i x:\support\tools\suptools.msi /q addlocal=all với x: là tên ổ đĩa CD-ROM, sau đó nhấn Enter. Thêm cài đặt của tất cả các file hỗ trợ vào máy trạm Windows XP. Điều này sẽ tiêu tốn khoảng hơn 10Mb dung lượng ổ cứng. Nó chắc chắn là lựa chọn tốt nhất để có toàn bộ các công cụ thường dùng trên một máy trạm quản trị mới. Nếu việc cài đặt không thực hiện được, hãy kiểm tra lại file SUPTOOLS.MSI trong thư mục SUPPORT\TOOLS của ổ CD. Nếu không thấy nó, bạn có thể phải chọn lại đĩa vì trong Windows Server 2003 Small Business Edition, file cần thiết nằm ở đĩa 2. Khi các file chạy, bạn sẽ thấy một màn hình cài đặt Windows wizard xuất hiện. Bạn sẽ nhận thấy có một vài hoạt động diễn ra trên ổ cứng máy trạm XP và ổ CD-ROM. Sau đó, sẽ có một thư mục mới có tên Windows Support Tools trong menu Start | All Programs. Không có bất kỳ chương trình thực sự nào trong thư mục này nhưng nó hỗ trợ các tiện ích nằm trong thư mục Program Files\Support Tools trên máy trạm. Có hàng tá tiện ích được bổ xung cho khả năng hỗ trợ và xử lý sự cố trên máy chủ Windows Server 2003 của bạn. Các tiện ích đó bao gồm: Acldiag.exe - ACL Diagnostics Clonepr - ClonePrincipal Dsastat.exe - Directory Services Utility Movetree.exe - Active Directory Object Manager Replmon.exe - Active Directory Replication Monitor Dmdiag.exe - Disk Manager Diagnostics Ftonline.exe - Fault Tolerant Disk Mounter Hãy đảm bảo bạn luôn cẩn thận khi sử dụng các công cụ này. Một lỗi xảy ra cũng có thể là nguyên nhân gây nguy hiểm tro mạng của bạn. Sử dụng từng công cụ cụ thể không nằm trong phạm vi bài viết này nhưng bạn có thể tìm thấy chúng trong nhiều bài báo khác của chúng tôi. Windows Server 2003: Công nghệ Snapshot Snapshot là một trong những tính năng mới của Windows Server 2003 (Microsoft gọi nó là Shadow Copies) sẽ sớm được sử dụng trong hầu hết các trung tâm dữ liệu. Mỗi snapshot là hình ảnh nhất quán của hệ thống tệp (file system) tại một thời điểm. Ngay cả sau khi người dùng đã thay đổi dữ liệu, snapshot vẫn lưu lại cho chúng ta một bản sao chỉ đọc giống hệt như khi chúng ta "chụp ảnh" hệ thống. Các snapshot được giữ nguyên qua những lần khởi động lại và có thể truy nhập trực tuyến như mọi file system khác, với những công cụ và giao diện tương tự. Một số sản phẩm snapshot thậm chí còn có thể trải dài trên nhiều file system. Công nghệ này thực ra đã tồn tại trong mấy năm qua. Nó gần như là chuẩn trong các sản phẩm NAS như phần cứng của NetAppliances (NetApp) hay phần mềm của Mountain View Data (MVD). Trong sản phẩm Persistent Storage Manager (PSM), Columbia Data Products (CDP) đã đưa snapshot vào Microsoft Server Appliance Kit và các giải pháp trên Windows của các nhà sản xuất thiết bị gốc (OEM) khác. Veritas cũng có snapshot trong file system VxFS cho Solaris, Linux và các hệ Unix khác. Chúng ta cũng có được công nghệ snapshot dựa trên volume từ LVM của nhân Linux 2.4, tích hợp với tất cả các file system chuẩn. Snapshot khác với nhân bản (replication). Mặc dù có một số đặc tính của snapshot nhưng việc nhân bản dữ liệu liên quan tới nhiều vấn đề khác biệt căn bản so với công nghệ snapshot. Một trong số đó là các sản phẩm nhân bản thường sao chép dữ liệu từ máy này sang máy khác trong khi các snapshot nằm trên cùng một máy với dữ liệu hoạt động. Không phải là một bản sao Mặc dù snapshot có vẻ như là một cách lưu các bản sao của tất cả các tệp trên cùng một máy nhưng công nghệ này còn làm được nhiều hơn thế. Nếu xét theo nghĩa đen thì công nghệ snapshot làm ít hơn rất nhiều! Nếu snapshot là các bản sao thực sự thì 5 snapshot sẽ chiếm dung lượng bằng 5 lần dữ liệu gốc. Ngược lại, các sản phẩm snapshot sử dụng cơ chế Copy-On-Write (COW), chỉ chép dữ liệu khi một ứng dụng thay đổi hay xoá nó. Thường thì "bản sao" này là một con trỏ chỉ tới một khối dữ liệu trống mới. Khi bạn "chụp ảnh" một file system hoạt động, hệ thống chỉ phải làm rất ít việc, chẳng hạn như đặt các cờ và tạo một số cấu trúc dữ liệu nhỏ nhưng đối với các khối dữ liệu hay các tệp thì có thể coi như không có chuyện gì xảy ra. Vì thế, ngay cả với những hệ thống tải nặng với dung lượng dữ liệu khá lớn, việc "chụp một bức ảnh" chỉ mất có vài giây. Mặc dù tất cả các tệp đều có thể nhìn thấy ngay lập tức trong snapshot nhưng công việc thực sự chỉ được thực hiện khi một ứng dụng làm thay đổi dữ liệu. Khi đó, dữ liệu cũ được chép vào snapshot và một cờ được thiết lập để vùng dữ liệu đó không được chép lại vào lần thay đổi sau, trừ khi một snapshot mới được tạo ra. Những dữ liệu không thay đổi trong file system hoạt động sẽ không được chép vào snapshot. Do đó, dung lượng đĩa cần cho một snapshot phụ thuộc vào mức độ thay đổi của dữ liệu chứ không phải độ lớn của file system ban đầu. Truy nhập các snapshot Mỗi sản phẩm có một cách riêng để truy nhập các tệp trong snapshot. Trong NetApp Filer có một thư mục giả được đặt tên là ".snapshot" trong mỗi thư mục của file system hoạt động. MVD dùng một cơ chế tương tự nhưng đặt tên các thư mục đó là ".snap" (với người dùng Windows, dấu . có thể được thay thế bởi dấu ~). Với phương pháp này, mỗi người dùng có thể vào thư mục .snap từ bất kỳ thư mục nào. Ví dụ như từ thư mục /home/tuan, người dùâng Tuấn có thể thấy các thư mục Wed7am hay weekly.1 tương ứng với mỗi snapshot được lưu. Các tệp hay thư mục tồn tại vào thời điểm 7 giờ sáng ngày thứ tư sẽ được tìm thấy trong thư mục /home/tuan/.snap/Wed7am thậm chí cả sau khi chúng đã bị xoá. Trong trường hợp xấu nhất, nếu thư mục cha /home/tuan đã bị xoá thì Tuấn vẫn có thể chuyển tới thư mục gốc và xem thư mục /.snap/Wed7am/home/tuan. PSM cũng làm theo cách tương tự nhưng thay vì tạo ra các thư mục giả trong mỗi thư mục con, các snapshot của sản phẩm này được lưu trong một thư mục đặc biệt mức cao nhất của hệ thống NTFS. Phiên bản cũ của F:\myfile có thể nằm trong F:\snapshots\hourly.5\myfile. Trong Windows 2003, bạn phải chia sẻ ổ đĩa gốc (\\localhost\f$) trước tiên rồi sau đó mới có thể View, Copy hay Restore một tệp từ các tab mới của hộp thoại Properties. Cũng có những tiện ích bổ sung để thực hiện các chức năng trên trên các máy trạm Windows khác. VxFS của Veritas gắn mỗi snapshot với một thiết bị khối (block device) đặc biệt có thể tải (mount) được như một file system VxFS độc lập. Veritas gọi chúng là Storage Checkpoints để phân biệt với các file system snapshot (giống với các vùng đệm chứa tệp mở hơn) và các VxVM snapshot - những mirror volume. Trong LVM, bạn tạo ra một volume lôgic mới như một snapshot rồi mount nó thành một file system có kiểu phù hợp. Sao lưu trực tuyến Các snapshot giữ nguyên phân quyền của các tệp và thư mục ban đầu. Kỹ thuật COW cho phép lưu giữ đồng thời một số lớn các phiên bản. Vì thế, các snapshot thường được dùng như các bản sao trực tuyến. Snapshot bảo vệ dữ liệu khỏi các sửa đổi vô tình, ví dụ như việc ghi đè hay xoá nhầm một tệp, và phần lớn các sự cố do lỗi của người dùng liên quan tới tệp. Không giống như quá trình lựa chọn cho khôi phục từ băng từ, khi người dùng muốn khôi phục một tệp từ các bản sao lưu trực tuyến, anh ta có thể duyệt rất nhiều phiên bản khác nhau và chọn tệp thích hợp nhất. Ngoài ra, khác với khôi phục từ băng từ, phần lớn người dùng có thể tự làm trong vài phút mà không cần đến sự giúp đỡ của trung tâm. Tuy nhiên, snapshot không chống lại được các hỏng hóc về phần cứng hay hệ thống. Một người quản trị ác ý có thể xoá các snapshot.Vì thế, snapshot không thay thế được việc sao lưu bằng băng từ hay nhân bản dữ liệu sang các địa điểm khác. Quản lý tệp mở Cũng giống như các bản sao trên băng từ, nếu bạn muốn khôi phục dữ liệu cũ, trước hết bạn phải có được một "bức ảnh" nhất quán của dữ liệu. Các sản phẩm snapshot đưa file system tới trạng thái ổn định bằng cách dồn (flush) hết các nhật ký, bộ đệm dữ liệu (data buffer), ... ra đĩa rồi tạm thời ngăn tất cả các thao tác IO trong quá trình "chụp ảnh". Việc đó giúp tránh các hỏng hóc của file system. Ngay cả LVM, một chương trình quản lý volume, cũng có mức tích hợp cơ bản này với các file system Linux chuẩn. Tuy nhiên các ứng dụng vẫn có thể có các bộ đệm bên trong chưa được dồn ra đĩa hay đang trong quá trình ghi một lượng lớn dữ liệu trong lúc hệ thống đang tạo snapshot. Cách đơn giản nhất để tránh điều đó là tắt các ứng dụng khi tạo snapshot. Các hệ quản trị cơ sở dữ liệu và các ứng dụng cao cấp khác thường có chế độ sao lưu nóng cho phép ổn định dữ liệu trên đĩa của chúng mà không phải tắt (shutdown) hẳn. Dù với phương pháp ổn định dữ liệu nào thì thời gian ngừng hoạt động của các ứng dụng vẫn khá nhỏ vì việc tạo snapshot hoàn thành rất nhanh. Hơn thế, các snapshot có thể được dùng để tối ưu hoá việc sao lưu bằng băng từ. Bạn chỉ việc sao lưu một snapshot thay vì cả file system và nhờ đó tiết kiệm rất nhiều thời gian. Cách tiếp cận này hơi khác với Open File Manager (OFM) vốn không đòi hỏi phải tắt các ứng dụng. Một OFM tìm một thời điểm có vẻ không có tác vụ ghi đĩa nào và xác suất dữ liệu trên đĩa ổn định là cao hơn. PSM bao gồm cả các tính năng OFM tổng quát với các thiết lập do người dùng điều chỉnh. Windows 2003 đi xa hơn nữa với việc giới thiệu một cơ sở hạ tầng hoàn chỉnh gọi là Volume Shadow Copy Service có khả năng yêu cầu các ứng dụng "nằm yên" (quiesce) trong quá trình "chụp ảnh". Khả năng đó giúp tự động hoá những việc như đưa một CSDL vào chế độ "hot standby" và giúp cho tất cả các loại sao lưu trở nên tin cậy hơn nhưng cũng đòi hỏi mỗi ứng dụng tự hỗ trợ nó. Các ứng dụng khác Một số sản phẩm snapshot có tính năng thao tác nhanh cho phép người quản trị quay lui (rollback) toàn bộ file system về một trạng thái trong quá khứ. Đó là một phương pháp khôi phục nhanh chóng sau khi bị virus tấn công mà bạn không biết chính xác những tệp nào bị hỏng hay một chiến lược quay lui hiệu quả trước khi cài đặt một bản patch hoặc một ứng dụng mới. Windows 2003, NetApp và MVD Powered NAS đều có tính năng này. Snapshot cũng có thể là một cách làm nhanh chóng, dễ dàng để tạo ra các bản sao của dữ liệu sống cho các mục đích hỗ trợ quyết định mà không làm gián đoạn các hoạt động kinh doanh. CDP và Veritas thậm chí còn hỗ trợ các snapshot có thể ghi được nhằm giúp bạn thay đổi dữ liệu snapshot trực tuyến theo các điều kiện giả định được thiết lập trước. Lập lịch Nhiều nhà quản trị hệ thống giả lập lịch sao lưu ra băng từ bằng cách tạo các snapshot hàng ngày, hàng tuần và hàng tháng. Với các hệ thống hỗ trợ hàng trăm snapshot cho mỗi file system, việc làm đó có thể được thực hiện thường xuyên hơn nhiều. Phần lớn các sản phẩm hiện tại có tiện ích quản trị giúp bạn làm điều đó một cách dễ dàng. Mặc dù Windows 2003 đặt mặc định việc tạo snapshot vào 7 giờ và 12 giờ hàng ngày nhưng Warren Miller, Phó chủ tịch Product Marketing của Columbia Data Products nói rằng họ thường thấy khách hàng lập lịch tạo snapshot hàng giờ và lưu các snapshot theo giờ trong 3 ngày, các snapshot theo ngày trong 3 tuần và các snapshot theo tháng trong 3 năm. Ông cũng dự đoán rằng trong tương lai, khả năng sử dụng snapshot sẽ được đưa trực tiếp vào các sản phẩm cho người dùng cuối và được các ứng dụng tự kích hoạt khi chúng thấy thích hợp nhất. Quản lý không gian Không gian đĩa cần cho các snapshot bắt đầu từ số 0 và tăng dần theo thời gian. Nếu bạn muốn đảm bảo sự sẵn sàng của các bản sao trực tuyến, bạn sẽ phải lập kế hoạch và giám sát không gian đĩa một cách cẩn thận. Số snapshot mà một hệ thống có thể hỗ trợ phụ thuộc vào (1) số lượng và thời gian lưu giữ các snapshot được tạo ra và (2) số lượng và kiểu ghi xảy ra giữa các snapshot. Nếu bạn có một hệ thống đang hoạt động, hãy đo độ thay đổi của các tệp trong một thời gian nhất định và ước đoán dung lượng cần thiết cho mỗi chế độ lập lịch. Ngay cả với những kế hoạch tốt nhất, bạn vẫn cần biết điều gì xảy ra khi không còn đủ không gian đĩa để chép dữ liệu cũ vào một snapshot. Một số hệ thống tự động xoá các snapshot cũ hay có độ ưu tiên thấp cho tới khi có đủ không gian - đôi khi có thể xoá hết. Một số hệ thống vô hiệu các snapshot nhưng không xoá chúng. Một số khác lại để mặc cho file system hoạt động bị đầy - những hệ thống kiểu này sẽ khiến cho người dùng lẫn lộn. Để làm nhẹ bớt các vấn đề trên, một số sản phẩm có cơ chế xoá các snapshot mỗi khi đạt tới một giới hạn nào đó. Một số khác cho phép bạn dùng một volume riêng cho các snapshot. Các bạn có thể xem bảng dưới đây để biết thêm chi tiết. Nếu bạn muốn sử dụng một cách hiệu quả nhất không gian đĩa, NetApp cung cấp một cơ chế duy nhất gọi là "file folding". Khi kích hoạt cơ chế này, các khối dữ liệu trên file system hoạt động được so sánh với những khối tương ứng trong các snapshot gần nhất. Nếu tìm thấy các khối giống nhau (có thể xảy ra trong trường hợp một tệp đã được ghi đè với một bản sao giống hệt), hệ thống sẽ hợp nhất chúng bằng cách thao tác trên các con trỏ inode. Tuy nhiên, để có được điều đó chúng ta phải đánh đổi hiệu năng của hệ thống. Tác động tới hiệu năng của hệ thống Các snapshot buộc hệ thống phải chịu đựng một số gánh nặng để đổi lấy sự tiện lợi. Do cơ chế COW, hiệu năng ghi, nhất là lần ghi đầu tiên vào một tệp, sẽ bị giảm đi. Ngoài ra, hiệu năng đọc của một snapshot cũng sẽ bị ảnh hưởng nếu cách triển khai của snapshot phải xác định dữ liệu vẫn còn thuộc file system hoạt động hay đã được chép vào snapshot. CK Chan, Tổng Giám đốc của Network Appliances, SE Asia, nói rằng "tác động tới hiệu năng khi sử dụng snapshot là không đáng kể vì NetApp đã xây dựng các snapshot như một phần của file system". Hơn nữa, ông ta cho rằng "có thể duâng hïët 255 baãn snapshot maâ vêîn khöng nhêån thêëy hiïåu nùng giaãm chút nào". Mặc dù các phát biểu trên hơi có vẻ lạc quan nhưng báo cáo từ các nhà cung cấp khác cũng cho kết quả tương tự, hiệu năng chỉ giảm từ 3 tới 15%. Tuy nhiên, cần nhớ rằng hiệu năng khi sử dụng một số lớn snapshot sẽ thay đổi đáng kể tuỳ theo lượng dữ liệu thay đổi giữa các snapshot. Vì vậy, nếu bạn định tạo nhiều snapshot trên hệ thống chạy thật, hãy thử nghiệm thật kỹ để xác định số snapshot tối đa tương ứng với mức hiệu năng mà bạn có thể chấp nhận. Ngoài những thứ đã nêu trên đây, có rất nhiều sản phẩm snapshot khác trên thị trường, đặc biệt là trong các ứng dụng NAS. Là một cấu phần trung tâm của chiến lược sao lưu, các snapshot không chỉ giảm bớt gánh nặng của công việc sao lưu mà còn giúp người dùng phục hồi tệp một cách nhanh chóng và dễ dàng hơn so với các băng từ, đem lại cho bạn những lựa chọn khôi phục bạn chưa bao giờ có.

Các file đính kèm theo tài liệu này:

  • docTài liệu quản trị mạng Server 2003.doc
Tài liệu liên quan