(NB) Giáo trình Quản trị mạng 2: Phần 1 từ chương 1 đến chương 5 cung cấp kiến thức và kỹ năng liên quan đến công tác giám sát mạng, triển khai và quản trị hệ thống từ xa; Ngoài ra, khả năng phát hiện và khôi phục khi server bị hỏng hóc cũng được đề cập đến. Chức năng của Group Policy trên Domain Controller mang tầm quan trọng rất lớn đối với hệ thống; Do vậy, tạo và quản lý các đối tượng trong Group Policy Object là kỹ năng không thể thiếu đối với người quản trị mạng.
DỊCH VỤ WINDOWS TERMINAL SERVICES
Tại sao phải dùng Terminal Services
Mục tiêu: Giới thiệu cho người học về chức năng của dịch vụ Terminal Services cùng với các lợi ích đạt được khi sử dụng dịch vụ này.
Terminal Services is a remote administration service that allows administrators to perform management tasks from any client device This capability enhances flexibility and efficiency in system management.
Terminal Services requires a powerful computer to function as the Terminal Services Server, capable of handling all connected users, while clients must be able to run client software on it Proper purchasing and configuration of all licenses are essential when implementing Terminal Services.
Sau khi hoàn tất cấu hình Terminal Services, chúng ta có thể tiến hành triển khai phần mềm cho cả máy chủ và máy khách Terminal Services bao gồm một tiện ích cấu hình, một công cụ quản trị và một công cụ tạo client, giúp quản lý hiệu quả các máy chủ và máy khách.
Trong bài học này, người học sẽ hiểu cách hoạt động của Terminal Services, cũng như quy trình cài đặt, cấu hình và quản lý máy chủ và máy khách liên quan đến dịch vụ này.
Terminal Services có thể chạy bằng một trong hai chế độsau:
• Trong chế độ quản trị từ xa (remote administration mode), người quản trị có thểthực hiện các tác vụ quản trị từ bất kỳ máy khách nào trong mạng.
Trong chế độ máy chủ ứng dụng, người dùng cần truy cập từ xa vào các chương trình ứng dụng trên server Chế độ này cho phép Terminal Services cung cấp môi trường Windows Desktop cho các máy tính không hỗ trợ hệ điều hành Windows do hạn chế về phần cứng hoặc các lý do khác.
In application server mode, server graphical interfaces are centralized, allowing various hardware devices to operate on thin client software, including terminal devices and Windows-based computers.
Lợi ích của Terminal Services
Terminal Services cung cấp nhiều lợi ích làm cho nó trở thành giải pháp ưu việt nhất cho mạng:
Sự phát triển của Windows Server đã mở ra khả năng triển khai Terminal Services, cho phép các máy tính với phần cứng không đủ mạnh để cài đặt phiên bản đầy đủ vẫn có thể tận dụng nhiều tính năng của Windows Server.
Sự kết hợp giữa phần mềm thin client và hệ điều hành độc lập cho phép người dùng mạng tận dụng hệ thống hiện có trên máy của họ, đồng thời hưởng lợi từ các tính năng của môi trường Windows Server thông qua Terminal Services.
Sự phát triển các ứng dụng đã trở nên đơn giản hơn, khi người quản trị chỉ cần cài đặt một bản sao ứng dụng trên máy chủ Terminal Services Điều này giúp đảm bảo rằng tất cả người dùng trong mạng đều có thể truy cập phiên bản mới nhất của ứng dụng mà không cần phải cài đặt và cập nhật trên từng máy.
Quản trị từ xa của máy chủ thông qua Terminal Services cho phép người quản trị dễ dàng truy cập và quản lý server mà không cần phải có mặt tại chỗ Tính năng này rất hữu ích khi người quản trị cần phải rời xa máy chủ trong một khoảng thời gian nhất định.
Mô hình xử lý của Terminal Services
Mục tiêu của bài viết này là giới thiệu các thành phần của Terminal và chức năng của từng thành phần Bên cạnh đó, người học sẽ nắm rõ yêu cầu để xác định ứng dụng cần chia sẻ và loại phần cứng phù hợp để sử dụng.
2.1 Các thành phần của Terminal Services
Terminal Services consists of three components: the Terminal Services server, the Remote Desktop protocol, and the Terminal Services client The Terminal Services server communicates with the Terminal Services client through the Remote Desktop protocol.
Hầu hết hoạt động của Terminal Services diễn ra trên máy chủ Terminal Services, nơi tất cả ứng dụng chạy trong chế độ ứng dụng của máy chủ Terminal server gửi thông tin màn hình đến client và nhận input từ chuột và bàn phím, đồng thời theo dõi các phiên làm việc đang hoạt động.
When installing Terminal Services, the Remote Desktop Protocol (RDP) is automatically installed RDP is the sole connection that must be configured for clients to connect to the Terminal Server It is important to note that only one RDP connection can be configured per network card.
Công cụ cấu hình của Terminal Services cho phép người dùng thiết lập các thuộc tính kết nối RDP, bao gồm việc thiết lập mật mã và quyền truy cập, đồng thời hạn chế thời gian hoạt động của các phiên làm việc của client.
Terminal Services client, hay còn gọi là Terminal client, sử dụng công nghệ thin client để cung cấp giao diện Windows Server Desktop cho người dùng Chỉ cần thiết lập kết nối với server, client có thể hiển thị thông tin đồ họa mà server gửi đến, ngay cả trên những máy không thể cài đặt Windows Server.
2.2 Lập kế hoạch cấu hình Terminal Services
Trước khi triển khai Terminal Services, cần xác định ứng dụng cần chia sẻ và loại phần cứng phù hợp Những yêu cầu này để vận hành Terminal Services quan trọng hơn so với việc chạy Windows Server thông thường, đặc biệt khi người dùng sử dụng chế độ ứng dụng của server.
When evaluating the scope and cost of registering for Terminal Services configuration, it's important to note that each client connecting to the Terminal server requires a specific certification for Terminal Services clients.
Xác định ứng dụng client
Các ứng dụng sử dụng với Terminal Services được cài đặt trên cơ sở máy tính thay vì theo từng người dùng Điều này đảm bảo rằng mọi người dùng đều có thể truy cập các ứng dụng này, dù họ kết nối trực tiếp với Terminal Services hay thông qua một phiên làm việc từ xa.
Terminal Services yêu cầu tài nguyên hệ thống bổ sung để quản lý lưu lượng client hiệu quả Cần hiểu rõ các đặc điểm của các chương trình có thể tiêu tốn nhiều tài nguyên từ server, như các ứng dụng chạy trên nền Intel trên máy Apple, các chương trình có nhiều hình ảnh video, và các ứng dụng MS-DOS Việc chạy liên tục các mã như bộ kiểm tra lỗi chính tả cũng có thể làm cạn kiệt tài nguyên hệ thống Do đó, nên giới hạn quyền truy cập vào những chương trình này chỉ cho những người dùng thực sự cần thiết và tắt các tính năng tùy chọn không cần thiết để giảm tải cho hệ thống.
Windows Server hoạt động trên nền tảng 32 bit, và để chạy các chương trình 16 bit, hệ thống cần sử dụng công nghệ "Windows trên Windows" (WOW), điều này tiêu tốn nhiều tài nguyên hệ thống Việc sử dụng ứng dụng 16 bit có thể làm giảm số lượng người dùng mà một bộ xử lý đơn lẻ có thể xử lý khoảng 40% và tăng lượng bộ nhớ cho mỗi người dùng lên khoảng 50% Do đó, việc sử dụng ứng dụng 32 bit là lựa chọn tốt nhất khi có thể.
Yêu cầu đối với Server và Client
Mục tiêu: cho phép xác định các yêu cầu về phần cứng đối với server và client để đảm bảo hiệu suất hoạt động dịch vụ Terminal Services.
3.1 Các yêu cầu đối với Terminal Services server
Yêu cầu phần cứng cho một Terminal server phụ thuộc vào số lượng client kết nối đồng thời và nhu cầu sử dụng của từng client Để đảm bảo hiệu suất tối ưu, cần xem xét các yếu tố như bộ vi xử lý, bộ nhớ RAM và dung lượng lưu trữ phù hợp với số lượng người dùng.
Một Terminal server yêu cầu tối thiểu một bộ xử lý Pentium và 128MB RAM để hoạt động hiệu quả Ngoài ra, cần bổ sung thêm 10 đến 20MB RAM cho mỗi kết nối của client, tùy thuộc vào ứng dụng mà client sử dụng Terminal server chia sẻ tài nguyên giữa các người dùng, do đó, bộ nhớ cần cho các người dùng bổ sung khi chạy cùng ứng dụng sẽ ít hơn so với bộ nhớ cần cho người dùng đầu tiên tải chương trình.
Để đảm bảo nhiều người dùng có thể truy cập vào Terminal server một cách hiệu quả, cần thiết phải sử dụng bộ điều hợp mạng tốc độ cao Giải pháp tối ưu là lắp đặt hai bộ điều hợp trong máy, trong đó một bộ điều hợp được dành riêng cho lưu thông mạng RDP.
3.2 Các yêu cầu đối với Terminal Services client
The Terminal Services client operates effectively on a variety of machines, including older systems and legacy devices that cannot install or run Windows Server The client software is compatible with the following machines:
• Các thiết bị đầu cuối nền Windows (nhúng)
• Các máy nền Intel và Alpha chạy Windows for Workgroup 3.11, Windows
95, Windows 98, Windows NT 3.51, Windows NT 4.0, Windows 2000
• Các máy Macintosh và Unix (với các phần mềm của các hãng thứ3)
3.3 Xác định yêu cầu đăng ký chính xác
Terminal Services áp dụng phương pháp đăng ký riêng, yêu cầu client phải có đăng ký hợp lệ từ máy chủ cấp phép trước khi đăng nhập vào máy chủ Điều này chỉ áp dụng trong chế độ máy chủ ứng dụng Trong khi đó, chế độ quản trị từ xa cho phép hai phiên làm việc đồng thời mà không cần đăng ký từ máy chủ cấp phép.
Có thể kích hoạt quyền cho Terminal Services Licensing ngay trong quá trình cài đặt Windows Server hoặc sau đó thông qua biểu tượng Thêm/Bỏ chương trình trong Bảng điều khiển Khi kích hoạt Terminal Services Licensing, người dùng có thể lựa chọn giữa hai loại máy chủ cấp phép.
An enterprise license server can support a Terminal server on any Windows Server domain; however, it cannot serve workgroups or Windows NT 4 domains.
•Một Domain license server chỉ có thể phục vụ Terminal server trong cùng miền.
Trong môi trường Windows Server, máy chủ cấp phép miền (Domain License Server) cần được cài đặt trên một máy điều khiển miền (Domain Controller) Đối với các nhóm làm việc hoặc miền của Windows NT4, máy chủ cấp phép miền có thể được cài đặt trên bất kỳ máy chủ thành viên nào.
Cài đặt Terminal Services
Mục tiêu: Trình bày các thao tác cài đặt Terminal Services Server, thêm người dùng vào danh sách người dùng được phép sử dụng Remote Desktop.
4.1 Cài đặt Terminal Services Server
The Terminal Server can be installed via Server Manager In Server Manager, click on Roles in the left pane and select Add Roles from the results screen to open the Add Roles Wizard If a welcome screen appears, click Next to display the available roles On the Select Server Roles screen, choose Terminal Services and click Next to select the required services.
Sau khi nhấn Next, một màn hình cảnh báo sẽ hiện ra, nhấn mạnh rằng các ứng dụng muốn truy cập qua Terminal Services cần phải tuân thủ quy tắc của vai trò Terminal Services trước khi cài đặt Đọc kỹ thông tin và nhấn Next để tiếp tục đến màn hình lựa chọn xác thực.
Màn hìnhSpecify Licensing Mode cho phép chỉ định phương án cấp phép.
- Configure later: cho phép sử dụng 120 ngày mà không cần cung cấp license
(sử dụng công cụ Terminal Services hoặc Group Policy để cấu hình)
- Per Device: cho phép chỉ định số thiết bị kết nối bất kỳ lúc nào
- Per user: hạn chế người dùng truy nhập
Để cấp quyền truy cập vào terminal server, người dùng và nhóm cần được thêm vào nhóm Remote Desktop Users Để thực hiện điều này, hãy nhấp vào nút "Add " để thêm người dùng mong muốn Sau đó, nhấn "Next" để chuyển đến màn hình xác nhận và chọn "Install" để bắt đầu quá trình cài đặt.
Sau khi cài đặt, khởi động lại hệ thống và đăng nhập với quyền administrator.
4.2 Thêm người dùng vào nhóm Remote Desktop Users
Mặc định, tất cả thành viên trong nhóm Administration được cấp quyền truy cập từ xa Để quản lý quyền truy cập này, bạn cần mở Control Panel, sau đó vào System and Maintenance, tiếp theo là System và chọn Remote settings Tại đây, bạn nhấp vào Select Users để mở hộp thoại Remote Desktop Users, từ đó có thể thêm hoặc xóa người dùng khỏi danh sách quyền truy cập từ xa.
Hình 1.3 – Hộp thoại liệt kê người dùng được phép truy cập từ xa
Lưu ý: mặc định người dùng với quyền quản trị có thể truy cập từ xa vào máy tính này nên không cần thêm vào danh sách.
Cấu hình và truy cập từ client vào Terminal Server
Mục tiêu của bài viết là hướng dẫn các bước truy cập vào server qua Remote Desktop, cũng như cách thoát khỏi phiên làm việc từ máy client Bên cạnh đó, bài viết cũng giải thích ý nghĩa của các tùy chọn cấu hình liên quan.
5.1 Truy cập từ client vào Terminal Server
Sau khi được cài đặt và cấu hình trên server, có thể truy cập từ client vào Terminal Server bằng một trong hai cách:
- Start -> All Programs -> Accessories -> Remote Desktop Connection
Hình 1.4 – Hộp thoại chỉ định tên hay địa chỉ máy server cần kết nối
5.2 Tùy chọn cấu hình máy khách Remote Desktop
Trong hộp thoại Remote Desktop Connection, chọn Options:
- General: Lưu trữ thông tin đăng nhập và thông tin section.
- Display: sử dụng các thiết lập trên server với máy client.
- Local Resources: chỉ định tài nguyên cục bộ được sử dụng trong suốt phiên Remote Desktop.
- Programs: cho phép các chương trình cụ thể được tự động kích hoạt mỗi khi một phiên từ xa được thiết lập.
Trong quá trình làm việc từ xa, người dùng có thể điều khiển các tính năng được kích hoạt hoặc vô hiệu hóa Bên cạnh đó, hệ thống cũng cung cấp tùy chọn tự động tái lập kết nối khi phiên làm việc bị ngắt, giúp nâng cao trải nghiệm làm việc hiệu quả và liên tục.
- Advanced: kích hoạt hoặc vô hiệu hoá xác thực từ xa.
5.3 Thoát khỏi phiên truy cập từ xa
Khi nhấn vào biểu tượng “X” trên bảng điều khiển máy client, phiên truy cập từ xa vẫn tiếp tục hoạt động trên server Điều này có nghĩa là nếu người dùng kết nối lại, phiên truy cập từ xa vẫn sẽ duy trì Để kết thúc phiên truy cập từ xa, hãy chọn Start và sau đó chọn Log Off để đóng phiên truy cập này.
Thực hiện đa kết nối truy cập từ xa
Mục tiêu của bài viết là hướng dẫn cách quản lý nhiều phiên kết nối đến các server đồng thời thông qua công cụ Remote Desktop Để thực hiện điều này, người dùng có thể sử dụng MMC Remote Desktops Đầu tiên, mở cửa sổ Run từ menu Start và gõ lệnh tsmmc.msc Tiếp theo, trong khung bên trái, chọn mục Remote Desktops và từ menu, chọn "Add a new connection" để thêm kết nối mới.
Hình 1.5 – Thêm kết nối truy cập từ xa (đồng thời)Sau khi thêm kết nối, phiên kết nối truy cập từ xa sẽ xuất hiện trên cửa sổ chính.
1 Terminal Services là gì ? Trình bày các lợi ích của Terminal Services.
2 Trình bày các thành phần của Terminal Services và chức năng của mỗi thành phần.
- Cài đặt Terminal Services Server
- Cài đặt Terminal Services Licence Server
- Cho phép account có quyền sử dụng Terminal Services
- Cài đặt Terminal Services Client
2 Cấu hình và quản lý Terminal Services.
- Khởi động Terminal Services Manager
- Theo dõi và quản lý các user đang connect
3 Thực hiện Remote Desktop từ client.
TINH CHỈNH VÀ GIÁM SÁT MẠNG WINDOWS SERVER
Tổng quan về công cụ tinh chỉnh
Mục tiêu: Giới thiệu sơ lược về các công cụ dùng để quan sát và tinh chỉnh hệ thống với hệ điều hành Windows Server.
Là một nhà quản trị mạng, việc quản lý một máy chủ chứa dữ liệu quan trọng là rất cần thiết Khi máy chủ gặp lỗi từ chối dịch vụ và không thể kết nối, điều này có thể dẫn đến mất mát dữ liệu Để xác định nguyên nhân gây ra sự cố, việc ghi lại log hệ thống là vô cùng quan trọng, không chỉ giúp phát hiện lỗi trong hoạt động mà còn phát hiện các truy cập bất hợp pháp.
All system log-related issues are integrated into Windows through two main tools: Event Viewer and Reliability and Performance Monitor.
Quan sát các đường biểu diễn hiệu năng bằng Reliability and Performance Monitor (perfmon.msc)
The objective is to provide a detailed guide on utilizing the Performance Monitor tool to track specific counters of various objects, alongside using the Reliability Monitor tool to assess the reliability of a system.
When it comes to system monitoring, the primary tools that come to mind are Performance Monitor and Reliability Monitor, found within the Monitoring Tools of the Reliability and Performance Monitor To access the Reliability and Performance Monitor, navigate to the Start menu, select Run, and type "perfmon.msc" in the dialog box Key objects to monitor include Memory, PhysicalDisk, and Processor, each with distinct properties: Memory is characterized by Pages/sec, PhysicalDisk by AVG Disk Queue Length, and Processor by % Processor Time.
To add specific counters for an object in Performance Monitor, click the '+' button to open a new window For example, as illustrated in Figure 2.2, you can add the % user time attribute of the Processor.
In Figure 2.2, additional counters are added for monitoring, while all other counters for different objects are removed The focus is solely on tracking the % User Time of the processor, as illustrated in Figure 2.3.
Hình 2.3 – Giám sát counter % User Time của đối tượng Processor
Để lưu lại các thiết lập, bạn chỉ cần nhấp chuột phải vào cửa sổ và chọn "Save Settings As…" để lưu dưới định dạng HTML Định dạng này cho phép bạn xem trực tiếp hoặc truy cập vào các quá trình đã được ghi lại trong hệ thống.
Hình 2.6 – Xem lại các thiết lập đã được ghi lại bởi định dạng file html
2.2 Reliability Monitor Độ tin cậy của một hệ thống là thước đo mức độ thường xuyên hệ thống hoạt động như là cấu hình và dự kiến sẽ thực hiện Độ tin cậy có thể giảm khi ứng dụng ngừng đáp ứng, dừng và khởi động lại các dịch vụ, khởi tạo các trình điều khiển bị lỗi, hoặc trong trường hợp xấu nhất, khi hệ điều hành bị lỗi.
Reliability Monitor cung cấp thông tin tổng quát nhanh chóng và theo dõi các sự kiện để xác định nguyên nhân gây ra lỗi Nó ghi lại các lỗi liên quan đến bộ nhớ, đĩa cứng, ứng dụng và hệ điều hành, đồng thời theo dõi các sự kiện quan trọng về cấu hình hệ thống, bao gồm cài đặt ứng dụng mới và cập nhật hệ điều hành.
Reliability Monitor ước tính chỉ số ổn định hệ thống (System Stability Index) thông qua biểu đồ chỉ số ổn định, giúp người dùng nhanh chóng nhận diện các vấn đề tiềm ẩn Các báo cáo chi tiết đi kèm cung cấp thông tin cần thiết để xác định và khắc phục nguyên nhân gây lỗi Bằng cách theo dõi các thay đổi trên hệ thống như cài đặt hoặc gỡ bỏ ứng dụng, cập nhật hệ điều hành và lỗi phần cứng, quản trị viên có thể xây dựng chiến lược hiệu quả để xử lý các sự cố một cách kịp thời.
Hình 2.7 – Biểu đồ ước tính chỉ số ổn định hệ thống
Ghi lại sự kiện hệ thống bằng công cụ Event Viewer
Mục tiêu quản lý hệ thống mạng không thể thiếu phần giám sát, trong đó người quản trị cần điều chỉnh thiết lập để ghi lại những yếu tố cần thiết Ví dụ, máy chủ File Server chỉ cần giám sát quá trình truy cập tài nguyên, trong khi máy chủ Active Directory cần theo dõi quá trình đăng nhập vào hệ thống Bài viết này sẽ giới thiệu công cụ Event Viewer, một công cụ quan trọng để ghi lại các sự kiện của hệ thống.
Event Viewer là công cụ tích hợp trong Windows, cho phép người dùng theo dõi và xem xét các sự kiện hệ thống một cách chi tiết, bao gồm thông tin về người dùng, thời gian, máy tính và dịch vụ Công cụ này giúp lọc và nhóm các sự kiện tương tự, từ đó cung cấp thông tin cần thiết một cách nhanh chóng và hiệu quả.
The Event Viewer categorizes events for each application, with a default server installation featuring sections for Application, Security, and System To access the Event Viewer, open the Server Manager tool by right-clicking the Computer icon, selecting Manage, and then navigating to Event Viewer.
Hình 2.8 – Event Viewer chia các vùng log riêng biệt cho các ứng dụng
Application log ghi lại các sự kiện từ các ứng dụng của nhà sản xuất khác như Symantec và các ứng dụng mail Thông thường, thiết lập mặc định trong ứng dụng khiến người dùng chỉ có thể đọc log mà không thể thay đổi cài đặt.
Hình 2.9 – các sự kiện được lưu lại trong application log Trong ví dụ trên application log chỉ được phần mềm symantec sử dụng.
3.2 Security log Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại toàn bộ các thiết lập audit trong group policy Nhưng trong các thiết lập group policy quan trọng nhất là thiết lập giám sát quá trình login vào hệ thống, truy cập dữ liệu.
Hình 2.10 – Thiết lập audit trong group policy
Trong thiết lập này, chúng ta chỉ giám sát quá trình truy cập hệ thống qua login và logoff Với cấu hình đã thiết lập trong group policy, tất cả người dùng khi logon hoặc logoff sẽ được ghi lại Để áp dụng các thay đổi này, chúng ta nên thực hiện logoff hoặc khởi động lại máy, vì các thông tin chỉnh sửa trong group policy thực chất là điều chỉnh các tham số trong registry.
Sau khi logoff ra và login vào sẽ thấy ghi lại trong security log (hình 2.11).
Hình 2.11 – Xem lại event logon vào hệ thống của các user
After logging into the computer and opening the Event Viewer, we can identify that the system has recorded the username "vangtrang," the computer name "vnexperts," the event type as "success audit," and the timestamp as 8:10:06 PM.
System log được thiết lập mặc định của hệ thống giúp chúng ta xem lại các sự kiện: Bật, tắt, pause, disable, enable các services của hệ thống.
Chẳng hạn, một service bật bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer.
Figure 2.12 illustrates an event in the system log, indicating that the server encountered an error due to a duplicate computer name or IP address within the LAN This highlights the importance of monitoring log properties to identify and resolve network issues effectively.
Log properties giúp chúng ta cấu hình dung lượng file log, cách xoá các event cũ đi như thế nào, và những tính năng lọc các sự kiện.
Hình 2.13 – Tab General của Security Properties Đây là thiết lập cho security properties: Với file log tên là gì và ở đâu:
%SystemRoot%\System32\Winevt\Logs\Security.evtx
Dung lượng tối đa cho file log là 20480 KB, nhưng có thể được cấu hình để lớn hơn hoặc nhỏ hơn Khi dung lượng file log vượt quá 20480 KB, hệ thống sẽ tự động xoá các sự kiện cũ theo thuật toán First in - First out (FIFO).
Sử dụng Task Manager
Windows Task Manager là công cụ hữu ích cho phép người dùng theo dõi các ứng dụng, quá trình và dịch vụ đang hoạt động trên máy tính Người dùng có thể dễ dàng khởi chạy hoặc dừng các chương trình, cũng như quản lý các quá trình Bên cạnh đó, Task Manager cung cấp thông tin thống kê quan trọng về hiệu suất máy tính và mạng Để sử dụng, bạn có thể mở Task Manager bằng nhiều phương pháp khác nhau.
Hình 2.14 – Tab Applications - danh sách các chương trình đang chạy
Tab Applications hiển thị danh sách các chương trình đang hoạt động trên máy tính, ngoại trừ các ứng dụng trong System Tray Chúng ta có thể sử dụng tab này để đóng các chương trình bị treo mà không thể thoát theo cách thông thường.
1 Nếu muốn thoát một chương trình, chọn chương trình và chọn nútEnd Task.
Tính năng này rất hữu ích khi một chương trình không phản hồi với lệnh đầu vào Task Manager có thể giúp bạn thoát khỏi các chương trình như vậy, nhưng cần lưu ý rằng việc thoát này có thể dẫn đến việc mất dữ liệu chưa được lưu.
2 Để mở một chương trình, chọn chương trình và chọn nútSwitch To.
3 Để khởi chạy một chương trình mới, nhắpNew Task Sau đó đánh vào lệnh hoặc nhắp Browse để duyệt đến ứng dụng Chức năng này làm việc tương tự nhưRun trong menu Start.
Tab Processes hiển thị danh sách các quá trình đang hoạt động trên hệ thống Kết thúc một quá trình có thể dẫn đến mất mát dữ liệu chưa được lưu Tuy nhiên, khi một ứng dụng không phản hồi, việc kết thúc quá trình là phương pháp duy nhất để thoát khỏi chương trình Cần lưu ý rằng việc kết thúc các quá trình hệ thống có thể gây ra sự cố cho hệ thống.
Hình 2.15 – Tab Processes - danh sách các quá trình (process) đang chạy
1 Để kết thúc một quá trình của một ứng dụng đang chạy, nhắp phải vào entry ứng dụng trong tab Applications và nhắpGo To Process Quá trình ứng dụng sẽ được đánh dấu trong tab Processes.
2 Để kết thúc một quá trình đã được đánh dấu, nhắpEnd Process Có thể kết thúc một ứng dụng theo cách này khi việc nhắpEnd Task trong tab Applications không có tác dụng.
3 Nhắp phải vào quá trình và sau đó nhắpEnd Process Tree để kết thúc quá trình đó cũng như các quá trình có liên quan.
Services là các chương trình hỗ trợ chạy ở chế độ background Hầu hết các chương trình này sẽ khởi chạy tự động ở thời điểm khởi động máy tính.
Hình 2.16 – Services là các chương trình hỗ trợ chạy ở chế độ background
1 Để khởi chạy một dịch vụ, nhắp phải vào dịch vụ đã bị dừng và chọnStart Service.
2 Để dừng một dịch vụ, nhắp phải vào dịch vụ đang chạy và chọnStop Service.
3 Để xem quá trình có liên quan với dịch vụ, nhắp phải vào dịch vụ đang chạy và chọnGo To Process Thao tác này sẽ cho phép phát hiện ra dịch vụ có ngốn nhiều tài nguyên hay không.
Tab này hiển thị thông tin về hiệu suất hệ thống.
1 Trong CPU Usage hiển thị tham số hiệu suất CPU và đồ thị sử dụng CPU. CPU đa lõi sẽ có nhiều đường đồ thị hiển thị.
2 Memory hiển thị tham số hiệu suất CPU và đồ thị hiệu suất.
3 Phía dưới là các thống kê khác nhau về sốhandle,thread vàprocess đang chạy cũng như hiệu suất sử dụng bộ nhớ.
Hình 2.17 – Performance - thông tin về hiệu suất hệ thống
Tab Networking cung cấp các đồ thị hiển thị hiệu suất sử dụng mạng, kèm theo những thống kê bổ sung phía dưới để người dùng dễ dàng theo dõi và đánh giá tình trạng mạng.
Hình 2.19 - Users - hiển thị danh sách tất cả user có trạng thái tích cực
Trong tab Users hiển thị danh sách tất cả user có trạng thái tích cực (active) trong hệ thống.
1 Đánh dấu user và nhắpLogoff để kết thúc phiên làm việc của người dùng đó.
2 Đánh dấu user và nhắpDisconnect để kết thúc phiên làm việc của người dùng nhưng vẫn dự trữ trong bộ nhớ, sau đó người dùng có thể đăng nhập trở lại và tiếp tục công việc của họ.
Event Viewer là công cụ thiết yếu để giám sát hệ thống, giúp quản trị viên phát hiện các truy cập trái phép vào thời điểm cụ thể Tính năng lọc của nó cho phép quản trị viên tập trung vào những sự kiện quan trọng cần theo dõi.
1 Trình bày chức năng các công cụ: Counter Log, Trace log, Alert log trong System Monitor.
2 Cho biết ý nghĩa của các phân vùng trong event viewer: Application, Security, System.
Thiết lập giám sát cho thư mục dữ liệu là rất quan trọng để theo dõi các quá trình truy cập và hành động cụ thể Trong ổ E, thư mục VNEDATA chứa thông tin quan trọng, do đó cần thiết lập giám sát toàn bộ truy cập vào thư mục này để đảm bảo an toàn và bảo mật dữ liệu.
Khi cần lưu lại quá trình truy nhập trên một folder dữ liệu, cần phải thiết lập auditing trên folder đó Các thiết lập được thực hiện như sau:
- Nhắp phải chuột lên folder cần thiết lập auditing (chẳng hạn folder VNDATA), chọn Property;
- Từ cửa sổ (VNDATA) Properties, chọn tab Security, chọn Advanced;
- Trong cửa sổ Advanced Security Settings for (VNDATA), chọn nút Edit…;
- Khi xuất hiện hộp thoại mới, chọn nút Add…
- Đánh dấu chọn các đối tượng cần thiết lập, chọn OK.
Sau khi thiết lập, restart lại máy và thử dùng một user khác để đăng nhập và truy xuất vào folder VNDATA.
Trở lại giao diện quản trị, nhấp đúp chuột vào sự kiện để mở hộp thoại Event Properties, nơi hiển thị các thông tin liên quan đến quá trình truy nhập.
Vào lúc 7:14:56 PM ngày 08/10/2012, người dùng dungtnq đã đăng nhập từ máy tính WWIN-JJOQ9UL2BDG Tính năng audit và kiểm tra lại các sự kiện giúp chúng ta phát hiện những truy cập bất hợp pháp và xác định trách nhiệm cụ thể cho những kẻ phá hoại.
KHÔI PHỤC SERVER KHI BỊ HỎNG
Các biện pháp phòng ngừa
Để đảm bảo an toàn cho server và giảm thiểu rủi ro cho hệ thống, cần thực hiện một số biện pháp phòng ngừa hiệu quả Những yêu cầu này bao gồm việc cập nhật phần mềm thường xuyên, sử dụng tường lửa để bảo vệ mạng, triển khai các biện pháp mã hóa dữ liệu, và thực hiện sao lưu định kỳ Bên cạnh đó, việc kiểm tra và giám sát hệ thống liên tục cũng rất quan trọng để phát hiện sớm các mối đe dọa tiềm ẩn.
- Duy trì nhiều bản sao đối với dữ liệu quan trọng, các server có vai trò quan trọng (chẳng hạn Domain Controller).
- Bảo vệ mạng về mặt vật lý.
- Bảo vệ dữ liệu hệ thống và dữ liệu người dùng bằng chiến lược lưu dự phòng hợp lý.
- Chuẩn bị kế hoạch khôi phục từng thời điểm.
- Tìm hiểu cách server hoạt động để có thể giải quyết trục trặc và có thể ngăn ngừa phát sinh về sau.
- Cài đặt các hotfix, patch, và service pack do nhà cung cấp phát hành.
Để bảo vệ dữ liệu quan trọng trên server, cần sử dụng các volume đĩa có tính chịu lỗi, cùng với phần mềm hoặc phần cứng phù hợp Việc sao chép dữ liệu ra nhiều nơi trên mạng giúp bảo vệ dữ liệu khỏi tổn hại do các hỏng hóc của server, không chỉ giới hạn ở hỏng hóc đĩa.
Nguyên tắc dự phòng có thể áp dụng hiệu quả cho mạng, đặc biệt là khi có nhiều Domain Controller Điều này giúp đơn giản hóa quá trình khôi phục cho người quản trị khi một máy bị hỏng Thay vì phải khôi phục cấu trúc miền từ các bản sao lưu hoặc xây dựng lại hoàn toàn, quy trình sao chép có thể đảm nhiệm việc khôi phục một cách tự động và nhanh chóng.
1.2 Bảo vệ điện năng cho server
Sử dụng UPS là giải pháp hiệu quả để bảo vệ điện năng cho các server và thiết bị phần cứng trong mạng, giúp ngăn chặn tổn hại do sự thay đổi điện áp đột ngột Bảo vệ điện năng không chỉ bảo vệ thiết bị mà còn giúp giữ an toàn cho dữ liệu, ngăn ngừa sự mất mát thông tin quan trọng.
1.3 Quan tâm về môi trường
Làm giảm các hỏng hóc do môi trường sinh ra bằng cách tránh xa môi trường
Để đảm bảo hiệu suất tối ưu cho server, phòng chứa cần được trang bị hệ thống điều hòa không khí và tránh ánh nắng trực tiếp Ngoài ra, cần giữ khoảng cách với các yếu tố có thể gây ô nhiễm hoặc ảnh hưởng xấu đến server.
1.4 Hạn chế tiếp cận server
Người dùng thông thường và những người không có quyền truy cập không được phép tiếp cận server Điều này đảm bảo an toàn và bảo mật cho hệ thống.
- Reboot hoặc tắt các server.
- Lấy đĩa cứng có chứa dữ liệu ra khỏi server khi chưa được phép.
- Cài đặt lại hệ điều hành máy.
- Hạn chế quyền truy cập vào server.
1.5 Sử dụng hiệu quả password
- Không cho mạo danh lẫn nhau để sử dụng tài khoản và mật khẩu trên tài khoản.
- Sử dụng mật khẩu có độ phức tạp cao - nếu phải crack thì cần phải có nhiều thời gian để thực hiện.
- Ngăn ngừa việc tiếp cận tài khoản của người khác.
Các phương pháp sao lưu dự phòng và khôi phục dữ liệu
Mục tiêu của bài viết là giới thiệu các phương pháp hiệu quả để phòng chống mất mát dữ liệu thông qua việc sử dụng công cụ Backup và Restore Việc áp dụng các công cụ này giúp khắc phục các sự cố hỏng hóc của server, đảm bảo an toàn cho dữ liệu quan trọng.
Windows Server Backup cho phép người dùng tạo bản sao lưu ứng dụng và dữ liệu, giúp khôi phục hệ thống khi gặp sự cố với server Để thực hiện việc sao lưu, cần tuân thủ các bước cụ thể để đảm bảo an toàn cho dữ liệu.
Để đảm bảo an toàn cho dữ liệu, hãy xác định vị trí lưu trữ bản sao trên đĩa đính kèm hoặc thư mục chia sẻ từ xa Đĩa cứng lưu trữ bản sao cần phải được kết nối và trực tuyến, với dung lượng lớn hơn ít nhất 2,5 lần so với dung lượng cần sao lưu Nếu bạn lưu trữ bản sao trong thư mục chia sẻ từ xa, lưu ý rằng bản sao sẽ bị ghi đè mỗi khi tạo bản sao mới Nếu bạn muốn lưu trữ nhiều bản sao, hãy tránh chọn tùy chọn này.
- Cài đặt công cụ Backup, bằng cách:
+ Mở Server Manager, nhắp phải vào Features, chọn Add Features; + Trong cửa sổ Add Features Wizard, đánh dấu chọn mục Windows Server Backup Features; chọn Next; chọn Install.
1 Mở công cụ Backup: Start -> Administrative Tools -> Windows Server Backup; hoặc từ cửa sổ Server Manager, chọn Storage, chọn Windows Server Backup
2 Tại khung Actions, chọn Backup Schedule…
3 Khi hộp thoại Backup Schedule Wizard – Getting started xuất hiện, chọn Next;
4 Trong trang Select backup configuration, chọn kiểu backup, chọn Next
Hình 3.1 - Lựa chọn kiểu backup
+ Full server: sao lưu tất cả các volume trên server Đây là tùy chọn được khuyến cáo nên chọn.
Để thực hiện sao lưu volume được chỉ định, bạn cần chọn tùy chọn "Custom" Trên trang "Select Items for Backup", hãy nhấn "Add Items" Tiếp theo, trong danh sách "Select Items", chọn volume mà bạn muốn sao lưu và sau đó nhấn "OK".
5 Trong hộp thoại Specify Backup Time, chọn tần suất và thời điểm thực hiện backup rồi chọn Next;
Hình 3.2 - Tần suất và thời điểm thực hiện backup
6 Trên trang Specify Destination Type, chỉ định vị trí lưu trữ bản sao:
- Back up to a hard disk that is dedicated for backups: Chỉ định lưu bản sao trên một đĩa cứng dành riêng;
- Back up to a shared network folder: Chỉ định lưu bản sao trên một thư mục được chia xẻ.
7 Trên trang Confirmation, xem các thông tin chi tiết rồi chọn nút Finish để hoàn tất.
2.2 Khôi phục dữ liệu a Khôi ph ụ c file và Folder
Có thể sử dụng Recovery Wizard trong Windows Server Backupđể khôi phục các file và Folder từ bản sao lưu Trước khi bạn bắt đầu, cần phải:
- Đảm bảo tồn tại ít nhất một sao lưu trên một đĩa ngoài hoặc trong Folder được chia xẻ từ xa.
- Hãy chắc chắn rằng đĩa ngoài hoặc Folder được chia xẻ từ xa đang lưu trữ bản sao lưu là trực tuyến và có sẵn cho máy chủ.
Xác định các file hoặc Folder muốn khôi phục.
3 Trên trangSelect Backup Date, chọn thời điểm khôi phục, rồi chọnNext.
4 Trên trangSelect Recovery Type, chọnFiles and folders, chọnNext.
5 Chọn thư mục với các nội dung cần khôi phục trong trang Select Items to Recover, chọnNext.
6 Trên trangSpecify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục.
7 Chọn phương thức khôi phục (tạo bản sao / Ghi đè …) rồi chọnNext:
8 Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọnNext.
9 ChọnRecover trên trangConfirmation để khôi phục các đối tượng được chỉ định. b Khôi ph ụ c ứ ng d ụ ng và d ữ li ệ u
Có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục ứng dụng và dữ liệu liên quan đến từ bản sao lưu.
Trước khi tiến hành, hãy đảm bảo rằng bạn có ít nhất một bản sao lưu của các ứng dụng trên máy cục bộ hoặc trong thư mục chia sẻ từ xa, và rằng đĩa chứa file backup đang trực tuyến hoặc thư mục chia sẻ từ xa có sẵn.
1 TừStart menu, chọnAdministrative Tools, chọnWindows Server Backup.
2 Trong khung Actions chọnRecover để mở Recovery Wizard Trên trang Getting Started chọn một trong các tùy chọnThis server hoặcAnother server để chỉ định vị trí nguồn, sau đó chọnNext.
3 Trên trangSelect Backup Date, chọn thời điểm khôi phục, rồi chọnNext.
4 Trên trangSelect Recovery Type, chọnApplications, chọnNext.
5 Lựa chọn các thiết lập liên quan đến ứng dụng cần khôi phục, chọnNext.
6 Trên trangSpecify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục.
7 Chọn phương thức khôi phục (tạo bản sao / Ghi đè …) rồi chọnNext:
8 Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọnNext.
9 ChọnRecover trên trangConfirmation để khôi phục các đối tượng được chỉ định. c Khôi ph ụ c đĩ a
Bạn có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục lại đĩa Việc khôi phục đầy đủ một đĩa sẽ đảm bảo rằng tất cả nội dung của đĩa được phục hồi nguyên vẹn.
1 TừStart menu, chọnAdministrative Tools, chọnWindows Server Backup.
2 Trong khung Actions chọnRecover để mở Recovery Wizard Trên trang Getting Started chọn một trong các tùy chọnThis server hoặcAnother server để chỉ định vị trí nguồn, sau đó chọnNext.
3 Trên trangSelect Backup Date, chọn thời điểm khôi phục, rồi chọnNext.
4 Trên trangSelect Recovery Type, chọnVolumes, chọnNext.
5 Lựa chọn các thiết lập liên quan đến đĩa cần khôi phục, chọnNext.
6 Chọn Recover trên trang Confirmation để khôi phục các đối tượng được chỉ định. d Khôi ph ụ c h ệ điề u hành và server
You can restore a server's operating system using the Windows Recovery Environment along with a previously created backup from Windows Server Backup.
Có thể truy cập công cụ phục hồi và xử lý sự cố trong Windows Recovery Environment thông qua hộp thoại System Recovery Options trong Install Windows
Trong Windows Server 2008 R2, để truy cập công cụ Repair Your Computer, bạn cần khởi động lại máy tính hoặc sử dụng đĩa cài đặt Windows, sau đó nhấn F8 và chọn tùy chọn Repair Your Computer từ danh sách khởi động.
1 Đặt đĩa cài đặt Windows vào khay đĩa, khởi động lại máy, chờ xuất hiện cửa sổ Install Windows Wizard
2 TrongInstall Windows, chọn ngôn ngữ cài đặt rồi chọnNext.
4 Trên trangSystem Recovery Options, chọnSystem Image Recovery sẽ mở trang Re-image your computer.
5 Lựa chọn phương thức khôi phục rồi chọnNext.
Công cụ System Information
Mục tiêu: Sử dụng công cụ System Information cho phép xem các thông tin hệ thống bao gồm:
- Tóm tắt thông tin hệ thống.
- Tài nguyên về phần cứng hệ thống.
- Thông tin cấu hình dành cho phần cứng của Server đối với thiết bị đang được sử dụng.
- Phần mềm đang được thực thi trên hệ thống. Để sử dụng System Information, mở menu Start -> Run, gõ msinfo32.exe
System Summary hiển thị thông tin về hệ thống một cách tóm lược.
Hình 3.3 – Thông tin từ System Summary
Folder Hardware Resources hiển thị thông tin về tài nguyên của hệ thống.
Folder Components hiển thị thông tin về tài nguyên của hệ thống cùng với các thiết bị đang được sử dụng.
Hình 3.5 – Thông tin từ Folder Components
Folder Software Environment hiển thị thông tin về các phần mềm đang được thực thi trên hệ thống.
Hình 3.6 – Thông tin từ Folder Software Environment
1 Trình bày sơ lược các biện pháp phòng ngừa đối với Server.
2 Cho biết các phương pháp sao lưu dự phòng Server.
1 Lưu dự phòng dữ liệu đĩa C: gồm các thư mục: Documents and Settings, Program Files, Windows (tên file dự phòng: BACKUP, lưu vào đĩa D:\LUUTRU)
- Mở công cụ Backup, chọn Back up files and settings
- Chọn đối tượng cần lưu dự phòng (các thư mục: Documents and Settings, Program Files, Windows)
- Chỉ định vị trí và tên file lưu trữ.
2 Khôi phục dữ liệu từ file dự phòng BACKUP
- Mở công cụ backup, chọn Restore files and settings
- Lựa chọn đối tượng để khôi phục dữ liệu (Documents and Settings, Program Files, Windows)
3 Thực hiện lưu dự phòng và khôi phục Active Directory trên server đang quản trị.
- Mở công cụ Backup, chọn Back up files and settings
- Trong cửa sổ Items to Back Up đánh dấu vào mục System State
4 Xem thông tin về hệ thống bằng công cụ System bao gồm:
- Tóm tắt thông tin hệ thống.
- Tài nguyên về phần cứng hệ thống.
- Thông tin cấu hình dành cho phần cứng của Server đối với thiết bị đang được sử dụng.
- Phần mềm đang được thực thi trên hệ thống.
CÀI ĐẶT VÀ QUẢN LÝ REMOTE ACCESS SERVICES (RAS) TRONG
Các khái niệm và các giao thức
Mục tiêu của bài viết này là cung cấp cái nhìn tổng quan về dịch vụ truy cập từ xa, bao gồm các phương thức kết nối và các giao thức được sử dụng trong quá trình truy cập từ xa.
1.1 Tổng quan về dịch vụ truy cập từ xa
Dịch vụ truy nhập từ xa (Remote Access Service) cho phép người dùng từ xa kết nối vào mạng riêng qua môi trường mạng công cộng, như mạng điện thoại, giống như họ đang sử dụng máy tính trực tiếp trong mạng Người dùng kết nối thông qua máy chủ truy cập (Access server), từ đó có thể sử dụng tài nguyên mạng như một máy tính nội bộ Dịch vụ này cũng hỗ trợ thiết lập kết nối WAN qua các mạng truyền dẫn giá rẻ, cung cấp giải pháp kết nối Internet hiệu quả về chi phí cho doanh nghiệp vừa và nhỏ Khi lựa chọn và thiết kế giải pháp truy cập từ xa, cần chú ý đến các yêu cầu cụ thể để đảm bảo tính hiệu quả và an toàn.
− Số lượng kết nối tối đa có thể để phục vụ người dùng từ xa.
− Các nguồn tài nguyên mà người dùng từ xa muốn muốn truy cập.
Công nghệ kết nối và phương thức truyền tải thông tin đóng vai trò quan trọng trong việc nâng cao hiệu suất kết nối Ví dụ, các kết nối có thể được thực hiện qua modem thông qua mạng điện thoại công cộng PSTN hoặc mạng số hóa tích hợp dịch vụ ISDN, mang lại sự ổn định và chất lượng cao cho người dùng.
− Các phương thức an toàn cho truy cập từ xa, phương thức xác thực người dùng, phương thức mã hoá dữ liệu
− Các giao thức mạng sử dụng để kết nối.
1.2 Kết nối truy cập từ xa và các giao thức sử dụng trong truy cập từ xa a K ế t n ố i truy c ậ p t ừ xa
Tiến trình truy cập từ xa bắt đầu khi người dùng khởi tạo kết nối tới máy chủ truy cập thông qua giao thức như PPP (Point to Point Protocol) Máy chủ xác thực người dùng và duy trì kết nối cho đến khi có yêu cầu kết thúc từ người dùng hoặc quản trị viên Vai trò của máy chủ truy cập là cầu nối, cho phép trao đổi dữ liệu giữa người dùng từ xa và mạng nội bộ Qua kết nối này, người dùng có thể gửi và nhận dữ liệu, với thông tin được đóng gói bởi các giao thức truy cập từ xa Tất cả dịch vụ và tài nguyên trong mạng đều có thể được truy cập thông qua kết nối này.
Hình 4.1 – Kết nối truy cập từ xa b Các giao th ứ c m ạ ng s ử d ụ ng trong truy c ậ p t ừ xa
Khi triển khai dịch vụ truy cập từ xa, các giao thức mạng phổ biến bao gồm TCP/IP, IPX và NETBEUI TCP/IP, bao gồm giao thức TCP và IP, là bộ giao thức cơ bản cho truyền thông liên mạng, nổi bật với khả năng định tuyến và mở rộng, phù hợp cho mọi loại mạng IPX, hay Internet Packet Exchange, được sử dụng chủ yếu trong các mạng Novell NetWare và có khả năng định tuyến, thường thấy trong các hệ thống mạng cũ Trong khi đó, NETBEUI là giao thức dành cho mạng cục bộ LAN của Microsoft, cung cấp nhiều tiện ích mà không yêu cầu cấu hình phức tạp, nhưng không có khả năng định tuyến và chỉ thích hợp cho các mô hình mạng nhỏ, đơn giản.
1.3 Modem và các phương thức kết nối vật lý a Modem
Máy tính hoạt động với dữ liệu số cần một thiết bị gọi là Modem (Modulator/demodulator) để chuyển đổi tín hiệu số thành tín hiệu tương thích với môi trường truyền dẫn, như mạng điện thoại công cộng sử dụng tín hiệu tương tự Modem giúp chuyển đổi tín hiệu số sang dạng tín hiệu phù hợp và ngược lại, đảm bảo quá trình truyền thông diễn ra hiệu quả Hình 4.2 minh họa cách kết nối qua modem qua mạng điện thoại.
Hình 4.2 – Kết nối sử dụng modem qua mạng điện thoại
Các modem sử dụng phương pháp nén dữ liệu để tăng tốc độ truyền, với hiệu suất nén phụ thuộc vào loại dữ liệu Hai giao thức nén phổ biến là V.42bis và MNP 5, có khả năng đạt hiệu suất nén từ 0 đến 400% hoặc hơn Chuẩn modem V.90 cho phép truyền dữ liệu với tốc độ 56 Kbps qua mạng điện thoại công cộng (PSTN), xem PSTN như một mạng số và mã hóa dữ liệu theo kỹ thuật số thay vì điều chế như các chuẩn trước đó.
Dòng dữ liệu từ khách hàng đến nhà cung cấp dịch vụ được điều chế theo các nguyên tắc thông thường, với tốc độ tối đa đạt 33.6 Kbps, dựa trên chuẩn V.34 Sự khác biệt giữa tín hiệu số ban đầu và tín hiệu số phục hồi tại đầu nhận gọi là tạp âm lượng tử hóa, hạn chế tốc độ truyền dữ liệu Kết nối giữa các modem đầu cuối dựa trên mạng thoại công cộng Các chuẩn modem trước đây giả định rằng cả hai đầu của kết nối đều tương tự, nhưng công nghệ V.90 tận dụng ưu điểm của mạng, với một đầu kết nối số hoàn toàn và đầu kia kết nối vào mạng PSTN theo dạng tương tự, giảm thiểu tạp âm và nhiễu lượng tử.
Kết nối qua mạng điện thoại công cộng (PSTN) là một phương thức phổ biến, sử dụng modem nội bộ hoặc cổng COM để kết nối máy tính Tốc độ truyền tối đa đạt được có thể lên đến 56 Kbps cho tải xuống và 33,6 Kbps cho tải lên, nhờ vào các chuẩn điều chế tín hiệu như V90, K56Flex, và X2 Ngoài ra, còn có các modem yêu cầu hạ tầng cơ sở thấp hơn với chuẩn điều chế V.24, V.32Bis, và V.32.
Phương thức thứ hai để truyền tải dữ liệu là sử dụng mạng ISDN (Mạng Truyền Số Liệu Đa Dịch Vụ), mặc dù chi phí đầu tư cao hơn nhưng đang ngày càng trở nên phổ biến Mạng ISDN mang lại nhiều lợi ích, trong đó nổi bật nhất là tốc độ truyền dữ liệu nhanh chóng.
Có thể lựa chọn sử dụng ISDN 2B+D BRI (2x64Kbps dữ liệu + 16Kbps điều khiển) hoặc 23B+D PRI (23x64Kbps + 64Kbps) thông qua thiết bị TA, mang lại tốc độ không cao nhưng an toàn và bảo mật hơn Để sử dụng, người dùng cần có card truyền số liệu X.25 hoặc thiết bị PAD (Packet Assembled Disassembled) Ngoài ra, kết nối trực tiếp qua cáp modem cũng là một phương thức khả thi, tuy nhiên yêu cầu modem truyền số liệu có giá thành cao để đạt được tốc độ cao hơn.
An toàn trong truy cập từ xa
Mục tiêu của việc đảm bảo an toàn trong truy cập từ xa là dựa vào quá trình nhận thực và xác thực khi có yêu cầu kết nối Thêm vào đó, việc mã hóa dữ liệu bằng các phương thức phù hợp sẽ cung cấp cơ chế an toàn cần thiết cho việc truy cập từ xa.
2.1 Các phương thức xác thực kết nối a Quá trình nh ậ n th ự c
Tiến trình nhận thực với các giao thức xác thực diễn ra khi người dùng từ xa yêu cầu xác thực tới máy chủ truy cập, nhằm thỏa thuận phương thức xác thực sẽ sử dụng Nếu không có phương thức nào được áp dụng, tiến trình PPP sẽ ngay lập tức khởi tạo kết nối giữa hai điểm Phương thức xác thực có thể kiểm tra cơ sở dữ liệu địa phương, nơi lưu trữ thông tin về tên người dùng và mật khẩu, để xác minh tính chính xác của chúng Ngoài ra, yêu cầu xác thực cũng có thể được gửi tới một server khác, thường là các RADIUS server, để thực hiện xác thực.
Sau khi kiểm tra thông tin từ cơ sở dữ liệu địa phương hoặc RADIUS server, nếu thông tin hợp lệ, tiến trình PPP sẽ khởi tạo kết nối Ngược lại, yêu cầu kết nối của người dùng sẽ bị từ chối Giao thức xác thực PAP được sử dụng trong quá trình này.
PAP (Password Authentication Protocol) là một phương thức xác thực không an toàn vì thông tin như tên đăng nhập và mật khẩu được gửi đi dưới dạng không mã hóa, dễ dàng bị lộ khi sử dụng chương trình phân tích gói tin Khi người dùng từ xa thực hiện kết nối qua giao thức PPP, thông tin xác thực (username: nntrong, password: ras123) được gửi đến máy chủ truy cập Máy chủ này sau đó kiểm tra thông tin trong cơ sở dữ liệu để quyết định xem yêu cầu kết nối có được chấp nhận hay không.
Sau khi thiết lập giao thức xác thực CHAP trên liên kết PPP, máy chủ truy cập sẽ gửi một "challenge" đến người dùng từ xa Người dùng này sẽ phản hồi bằng một giá trị được tính toán thông qua tiến trình xử lý một chiều (hash) Máy chủ truy cập sau đó kiểm tra và so sánh thông tin phản hồi với giá trị hash mà nó đã tính toán Giao thức xác thực này mở rộng với EAP.
Ngoài các giao thức kiểm tra tính xác thực cơ bản như PAP và CHAP, Microsoft Windows còn hỗ trợ giao thức xác thực mở rộng EAP (Extensible Authentication Protocol) nhằm nâng cao độ an toàn và bảo mật EAP cho phép xây dựng một cơ cấu xác thực tùy ý để công nhận kết nối gọi vào, trong đó người sử dụng và máy chủ truy cập từ xa sẽ trao đổi để xác định giao thức chính xác được sử dụng.
EAP hỗ trợ các hình thức sau:
Sử dụng thẻ vật lý để cung cấp mật khẩu là một phương pháp xác thực an toàn, trong đó các thẻ này sử dụng mã số thay đổi cho mỗi lần sử dụng.
− Hỗ trợ MD5-CHAP, giao thức mã hoá tên người sử dụng, mật khẩu sử dụng thuật toán mã hoá MD5 (Message Digest 5).
Hệ thống hỗ trợ sử dụng thẻ thông minh, bao gồm cả thẻ và thiết bị đọc thẻ Các thông tin xác thực cá nhân của người dùng được lưu trữ an toàn trong những thẻ này.
Các nhà phát triển phần mềm độc lập có thể tận dụng giao diện chương trình ứng dụng EAP để tạo ra các module cho công nghệ nhận dạng thẻ, thẻ thông minh, và các thiết bị sinh học như nhận dạng võng mạc, cũng như các hệ thống sử dụng mật khẩu một lần.
2.2 Các phương thức mã hóa dữ liệu
Dịch vụ truy cập từ xa đảm bảo an toàn thông qua việc mã hóa và giải mã dữ liệu truyền tải giữa người dùng và máy chủ Hai phương thức mã hóa phổ biến được sử dụng là mã hóa đối xứng và mã hóa phi đối xứng.
Phương thức mã hoá đối xứng sử dụng khóa bí mật để mã hoá thông tin, tạo ra dữ liệu đã được mã hoá mà chỉ người mã hoá biết Khi thông tin được nhận, nó sẽ được giải mã bằng khóa bí mật để trở về dạng gốc Một điểm quan trọng của phương pháp này là việc sử dụng cùng một khóa bí mật cho cả quá trình mã hoá và giải mã Tuy nhiên, nhược điểm lớn nhất là cần phải trao đổi khóa bí mật, điều này có thể dẫn đến nguy cơ lộ khóa.
Phương pháp mã hóa phi đối xứng được phát triển để khắc phục những hạn chế của mã hóa đối xứng, đặc biệt là trong việc trao đổi khóa bí mật Phương pháp này sử dụng một cặp khóa tương ứng, bao gồm khóa công khai và khóa bí mật, có mối quan hệ toán học với nhau.
Phương thức mã hóa phi đối xứng sử dụng hai loại khóa: khóa bí mật và khóa công khai Khóa bí mật được giữ kín và không cần trao đổi qua mạng, trong khi khóa công khai có thể được mọi người truy cập Mặc dù khóa bí mật không giống với "secret Key" trong mã hóa đối xứng, vì nó không được chia sẻ, nhưng cả hai khóa này có mối quan hệ toán học chặt chẽ Các hàm toán học được sử dụng để tạo ra khóa công khai và khóa bí mật đảm bảo rằng không thể xác định khóa bí mật từ khóa công khai và ngược lại.
Thông tin được mã hóa bằng khóa công khai chỉ có thể giải mã bằng khóa bí mật tương ứng, và giao thức phổ biến hiện nay để mã hóa dữ liệu là IPsec Hầu hết các máy chủ truy cập hiện nay đều hỗ trợ IPsec, một giao thức bảo đảm an toàn, bảo mật và toàn vẹn dữ liệu cho các kết nối mạng qua giao thức IP thông qua các biện pháp mã hóa IPsec bảo vệ chống lại các hành động phá hoại từ bên ngoài, với các client khởi tạo mối quan hệ bảo mật tương tự như khóa công khai để mã hóa dữ liệu Các chính sách áp dụng cho IPsec cho phép cấu hình với nhiều mức độ bảo mật khác nhau, phù hợp với từng người dùng, nhóm người dùng, ứng dụng, nhóm miền hoặc toàn bộ hệ thống mạng.
Triển khai dịch vụ truy cập từ xa
Mục tiêu của bài viết này là trình bày các phương thức kết nối và điều kiện cần thiết để người quản trị có thể gán quyền truy cập và mức độ sử dụng tài nguyên mạng cho người dùng từ xa Việc sử dụng dịch vụ truy cập từ xa qua Mạng riêng ảo (VPN) là giải pháp hiệu quả, cho phép người dùng kết nối đến trụ sở chính thông qua hạ tầng mạng công cộng như Internet.
3.1 Kết nối gọi vào và kết nối gọi ra
Cấu hình máy chủ truy cập là bước quan trọng để thiết lập các kết nối gọi vào, cho phép người dùng từ xa truy cập vào mạng Các thông số cơ bản cần thiết bao gồm phương thức xác thực người dùng, lựa chọn mã hóa dữ liệu, các giao thức mạng cho truy cập từ xa, cũng như các thiết đặt về chính sách và quyền truy cập Ngoài ra, việc xác định phương thức cấp phát địa chỉ IP cho máy truy cập từ xa và các yêu cầu cấu hình để tạo lập kết nối VPN cũng rất quan trọng Kết nối gọi ra có thể được thiết lập để kết nối với mạng riêng hoặc nhà cung cấp dịch vụ Internet (ISP).
Windows server hỗ trợ các hình thức kết nối sau:
Để kết nối đến mạng riêng, bạn cần cung cấp số điện thoại mà kết nối sẽ được thiết lập Số điện thoại này có thể là của nhà cung cấp dịch vụ Internet (ISP), mạng riêng hoặc máy tính từ xa Việc xác định quyền sử dụng kết nối này là rất quan trọng.
Khi kết nối Internet, bạn có hai lựa chọn: truy cập qua đường thoại hoặc qua mạng LAN Nếu chọn đường thoại, bạn cần chú ý đến số điện thoại truy nhập, tên và mật khẩu từ nhà cung cấp dịch vụ Internet (ISP) Ngược lại, khi sử dụng mạng LAN, bạn cần quan tâm đến proxy server và các thiết lập khác, bao gồm cả quyền sử dụng kết nối và địa chỉ mạng mà bạn muốn kết nối tới.
Kết nối trực tiếp giữa hai máy tính là một phương pháp hiệu quả, sử dụng cáp chuyên dụng để thiết lập liên lạc giữa chúng Trong quá trình này, một máy tính sẽ được xác định là máy chủ, trong khi máy tính còn lại sẽ đóng vai trò là máy khách Việc lựa chọn cổng thiết bị phù hợp là bước quan trọng để đảm bảo kết nối ổn định và hiệu quả.
3.2 Kết nối sử dụng đa luồng (Multilink)
Multilink là công nghệ kết hợp nhiều liên kết vật lý thành một liên kết logic duy nhất, giúp gia tăng băng thông cho kết nối Internet Bằng cách sử dụng hai hoặc nhiều cổng truyền thông như một cổng tốc độ cao, Multilink cho phép kết nối Internet với tốc độ gấp đôi so với việc chỉ sử dụng một modem Công nghệ này không chỉ gia tăng băng thông mà còn giảm độ trễ giữa các hệ thống nhờ vào việc chia sẻ các gói dữ liệu và gửi chúng qua các mạch song song Để quản lý các kết nối, Multilink sử dụng giao thức MPPP, yêu cầu hỗ trợ từ cả hai phía của kết nối.
Hình 4.3 – Kết nối sử dụng đa luồng
Hình 4.3 minh họa kết nối Multilink, trong đó người dùng từ xa sử dụng hai modem và hai đường thoại để kết nối với máy chủ truy cập Mỗi kết nối tuân theo chuẩn V.90 với tốc độ 56 kbps, và nhờ kỹ thuật Multilink, tốc độ tổng cộng có thể đạt tới 112 kbps giữa máy truy cập từ xa và máy chủ.
3.3 Các chính sách thiết lập cho dịch vụ truy nhập từ xa
Chính sách truy nhập từ xa là bộ quy tắc và thiết lập cho phép quản trị mạng cấp quyền truy cập cho người dùng từ xa, đồng thời xác định mức độ sử dụng tài nguyên mạng Những chính sách này mang lại sự linh hoạt và tùy chỉnh, giúp quản lý quyền truy nhập một cách hiệu quả theo từng cấp độ người dùng.
Một chính sách truy nhập từ xa thông thường bao gồm ba thành phần chính để đảm bảo an toàn và kiểm soát truy cập đến máy chủ Các điều kiện (Conditions) xác định các tham số như thời gian, nhóm người dùng và địa chỉ IP, cho phép quản lý quyền truy cập Ví dụ, một chính sách có thể giới hạn quyền truy cập của một nhóm người dùng chỉ trong giờ làm việc từ 8:00 A.M đến 5:00 P.M, trong khi một nhóm khác có thể truy cập 24/24 Bên cạnh đó, mỗi chính sách cũng bao gồm một thiết đặt profile, quy định các thủ tục xác thực và mã hóa cho kết nối Các thiết đặt này được áp dụng ngay lập tức, như trường hợp người dùng chỉ được phép kết nối trong 30 phút, sau đó sẽ bị ngắt kết nối.
Để tạo kết nối, các điều kiện gửi tới sẽ được kiểm tra; nếu không phù hợp, truy cập sẽ bị từ chối Máy chủ truy cập sẽ kiểm tra các thiết lập cho phép quay số; người dùng sẽ bị từ chối nếu thiết lập là Deny và được cho phép nếu là Allow Nếu sử dụng chính sách truy cập, sự cho phép từ các chính sách này sẽ quyết định quyền truy cập của người dùng Nếu các chính sách từ chối, người dùng sẽ bị ngắt kết nối; nếu cho phép, họ sẽ được chuyển tới kiểm tra các chính sách trong profile, đây là bước cuối cùng để xác định quyền truy cập.
3.4 Sử dụng dịch vụ gán địa chỉ động DHCP cho truy cập từ xa
Khi thiết lập máy chủ truy cập cho phép người dùng từ xa kết nối vào mạng, bạn có thể lựa chọn phương thức cấp phát địa chỉ IP cho các máy từ xa.
Việc cấu hình địa chỉ IP tĩnh trực tiếp trên các máy trạm yêu cầu người dùng phải thiết lập thủ công địa chỉ IP cho từng máy Điều này đòi hỏi thông tin cấu hình phải hợp lệ và chưa được sử dụng trong mạng, bao gồm cả default gateway và DNS Do đó, không nên áp dụng phương pháp này cho các máy truy cập từ xa Thay vào đó, máy chủ truy cập nên cấp phát địa chỉ IP động cho các thiết bị từ xa, trong khoảng địa chỉ đã được cấu hình trên máy chủ.
Phương pháp sử dụng DHCP server để cấp phát địa chỉ IP cho các máy truy cập từ xa mang lại sự linh hoạt cao, không cần phải dành riêng một khoảng địa chỉ IP cho chúng Địa chỉ IP được cấp phát tự động, cùng với các thông tin cấu hình như Gateway và DNS server, được cung cấp chính xác cho từng máy truy cập Điều này giúp giảm thiểu việc cấu hình lại khi có thay đổi trong cấu trúc mạng, phù hợp với các mạng tổ chức đa dạng và phức tạp.
Hoạt động của DHCP bắt đầu khi client DHCP khởi động và gửi yêu cầu địa chỉ IP tới server DHCP Khi nhận được yêu cầu, server DHCP sẽ chọn một địa chỉ IP từ phạm vi đã được định nghĩa trong cơ sở dữ liệu của nó.
3.5 Sử dụng Radius server để xác thực kết nối cho truy cập từ xa a Ho ạ t độ ng c ủ a Radius server
Radius là giao thức client/server, cung cấp dịch vụ xác thực và tính cước cho mạng truy cập gián tiếp Radius client là máy chủ truy cập, nhận yêu cầu xác thực từ người dùng từ xa và chuyển tiếp đến Radius server Radius server xử lý các yêu cầu kết nối, xác thực người dùng và cung cấp thông tin cấu hình cần thiết cho Radius client để cung cấp dịch vụ cho người sử dụng.
Hình 4.4 – Quá trình hoạt động của Radius server
Quá trình hoạt động được mô tả như sau:
1 Người sử dụng từ xa khởi tạo quá trình xác thực PPP tới máy chủ truy cập;
2 Máy chủ truy cập yêu cầu người dùng cung cấp thông tin về username và password bằng các giao thức PAP hoặc CHAP;
3 Người dùng từ xa phúc đáp và gửi thông tin username và password tới máy chủ truy cập;
4 Máy chủ truy cập (Radius client) gửi chuyển tiếp các thông tin username và password đã được mã hóa tới Radius server;
