Giáo trình Đào tạo quản trị viên mạng Win 2000 Advance Server

 CÔNG TY PHÁT TRIỂN CÔNG NGHỆ TIN HỌC THIÊN LONG. 
 TRUNG TÂM ĐÀO TẠO CHUYÊN VIÊN CÔNG NGHỆ THÔNG TIN. 
 180 Lê Thanh Nghị - Bách Khoa - Hà Nội. 
 ĐT: 6280725. Email:thienlongcom@hn.vnn.vn 
 ****************************** 
 GIÁO TRÌNH ĐÀO TẠO 
 QUẢN TRỊ VIÊN MẠNG 
WIN 2000 ADVANCE SERVER 
 ß 
 Hà Nội, 15/04/2003. 
 1
 Mở đầu. 
Hệ điều hành Windows 2000 Server được phát triển từ nhu cầu cấp 
thiết của các cơ quan tổ chức muốn có một thế hệ mới các ứng dụng 
Client/Server, những ứng dụng sẽ cho phép họ xây dựng những ưu thế 
cạnh tranh mạnh mẽ. Họ đòi hỏi nhiều hơn chứ không phải chỉ dơn 
thuần là việc nối các máy tính cá nhân lại với nhau hay đưa các ứng 
dụng từ các máy lớn xuống. Họ cần một nền tảng ổn định với máy chủ 
quản lý cục bộ, mạng diện rộng với các máy chủ cho các ứng dụng. 
Xét cho cùng, người sử dụng muốn có ngay lập tức những thông tin 
mà họ cần và phục vụ những yêu cầu nghiệp vụ riêng biệt. 
Với Windows 2K Server: Thông tin ở ngón tay của bạn. 
Windows 2K Server kết hợp các khả năng về tệp và in ấn của Novell 
NetWare với những dịch vụ ứng dụng của UNIX trên một hệ điều 
hành mạng đa mục đích. Như một máy chủ tệp và in ấn cực kỳ nhanh, 
W2KS cho phép bạn chia sẻ thông tin cũng như truy cập máy in và 
các thiết bị khác trên mạng đồng thời cung cấp nền tảng cơ sở hạ tầng 
ứng dụng cho phép bạn mua hoặc xây dựng các giải pháp nghiệp vụ. 
W2KS hỗ trợ hàng loạt các giải pháp nghiệp vụ then chốt của các 
hãng phần mềm nổi tiếng khác như Oracle, Sybase...Đồng thời nó là 
thành viên của họ các ứng dụng chủ tích hợp Microsoft BackOffice 
bao gồm hệ quản trị dữ liệu phân tán SQL Server, Email Server, quản 
trị các hệ thống, phần cứng, phần mềm trong mạng SMS, hệ kết nối 
các máy tính lớn và máy Mini của IBM là SNA Server, hệ quản lý các 
thông tin siêu văn bản - WebServer (IIS), ứng dụng chủ về bảo mật, 
kiểm soát thông tin, kinh doanh trực tuyến... 
 2
 Bài 1: 
 Những nhiệm vụ và các công cụ quản trị của Windows 2K. 
 Quản trị Windows 2K Server bao gồm những công việc phải tiến hành sau 
khi cài đặt mạng và các công việc bảo trì hàng ngày. Những nhiệm vụ quản 
trị bao gồm: 
  Quản trị các khoản mục người sử dụng và khoản mục nhóm. 
 Hoạch định, khởi tạo và duy trì các khoản mục người sử dụng và 
 khoản mục nhóm để bảo đảm cho người sử dụng có thể đăng nhập 
 cũng như truy nhập được vào các tài nguyên cần thiết cho công việc 
 của họ. 
  Quản trị việc bảo mật. 
 Hoạch định, triển khai và áp đặt một số chính sách bảo mật nhằm bảo 
 vệ dữ liệu cũng như các tài nguyên dùng chung trên mạng bao gồm 
 các tệp, thư mục hay máy in... 
  Quản trị máy in. 
 Cài đặt các máy in cục bộ, máy in mạng để đảm bảo cho người sử 
 dụng có thể dễ dàng và nhanh chóng truy nhập và in. Giải quyết các 
 sự cố về in ấn. 
  Quan sát và điều phối các sự kiện, các tài nguyên trên mạng. 
 Hoạch định và triển khai chính sách theo dõi, kiểm soát các sự kiện 
 xảy ra trên mạng liên quan đến các vấn đề bảo mật. Theo dõi và điều 
 khiển việc sử dụng các tài nguyên mạng. 
  Sao lưu và phục hồi dữ liệu. 
 Hoạch định, lập lịch và thực hiện việc sao lưu định kỳ để đảm bảo 
 phục hồi nhanh chóng dữ liệu nếu xảy ra sự cố. 
 Các công cụ quản trị (Administrative Tools) trong Windows 2KServer sẽ 
 giúp cho người quản trị quản trị hệ thống của họ. Các công cụ quản trị có 
 thể được cài đặt lên máy trạm! 
 Quản trị vùng. 
Việc điều hành, quản lý vùng của người quản trị bao gồm việc quản lý các 
cá nhân và bảo trì các máy chủ làm việc trong vùng đó. Người quản trị phải 
đảm bảo cho người sử dụng điều kiện làm việc tốt nhất, dễ dàng truy nhập 
và khai thác các tài nguyên dùng chung trong khi vẫn bảo mật được các tài 
nguyên cá nhân, các thông tin quan trọng của cơ quan, tổ chức. 
Để làm được việc này, người quản trị phải có sách lược hợp lý trong việc tạo 
ra môi trường làm việc thích hợp cho từng đối tượng người sử dụng, phân 
nhóm và quản lý các nhóm, gán quyền và thay đổi quyền cho các nhóm, các 
cá nhân, đồng bộ và bảo trì máy chủ. 
 3
 Bài 2. 
 Quản lý tài nguyên. 
Tài nguyên tệp và thư mục: 
  Các hệ thống tệp được Windows 2000 hỗ trợ. 
 + Hệ thống tệp FAT 
 + Hệ thống tệp NTFS 
  Bảo mật các tài nguyên mạng thông qua các cho phép chia sẻ. 
 + Chia sẻ các thư mục. 
 + Đặt cho phép trên các thư mục được chia sẻ. 
 + Nối tới các thư mục được chia sẻ 
  Dùng chế độ bảo mật của NTFS. 
 + Sử dụng các cho phép NTFS.. 
 + Các mức cho phép truy nhập. 
 + Kết hợp các cho phép chia sẻ và cho phép NTFS. 
Máy chủ in ấn trên mạng: 
  Thiết lập máy chủ in ấn trên mạng. 
 + In ấn trong môi trường Windows 2000. 
 + Thiết lập các máy chủ, máy trạm in ấn. 
 + Đặt cấu hình máy in. 
  Quản trị máy chủ in ấn trên mạng. 
 + Những công việc quản trị máy chủ in ấn. 
 + Quản lý các tài liệu in. 
 + Quản lý máy in. 
 4
 Bài 3. Các công cụ quản trị 
Các công cụ quản trị có thể được cài đặt trên máy chủ hoặc cài đặt trên máy 
trạm (Cài đặt Administrative Tools). 
Các công cụ quản trị có thể không xuất hiện trong nhóm công cụ quản trị. 
Chúng bao gồm những công cụ thường dùng và những công cụ quản trị nâng 
cao. 
  Component Services. 
  Computer Management. 
  Configure Your Server. 
  Data Source (ODBC). 
  Distributed File System. 
  Event Viewer. 
  Internet Services Manager. 
 Bài 4. Các công cụ quản trị 
  Licensing. 
  Local Security Policy. 
  Performance. 
  Routing And Remote Accsess. 
  Server Extention Administrator. 
  Services. 
  Telnet Server Administrator. 
  Active Directory User And Computer. 
  Active Directory Sites And Services. 
 Bài 5. Giao thức mạng. 
  Lựa chọn giao thức. 
  Cài đặt giao thức. 
  Cấu hình giao thức mạng. 
 Bài tập và thực hành. 
 Bài tập tổng hợp 1. 
 5
 Bài 6. Windows 2KAV và Internet. 
 Internet. 
 Intranet. 
 Bảo mật. 
 Webserver: 
 + Chức năng. 
 + Cài đặt. 
 + Cấu hình. 
 + Quản trị. 
 Bài 7. Dịch vụ truy nhập từ xa - RAS. 
 Kết nối mạng diện rộng. 
 Các giao thức. 
 Các cổng nối và bộ dẫn đường. 
 Bảo mật. 
 Cài đặt RAS. 
 Cấu hình RAS chủ. 
 Cấu hình RAS để sử dụng các giao thức riêng biệt. 
  Cài đặt các cho phép truy nhập từ xa. 
 Bài 8. Dịch vụ mạng. 
  Dịch vụ cung cấp địa chỉ động - DHCP. 
 + Cơ chế hoạt động. 
 + Cài đặt dịch vụ. 
 + Cấu hình dịch vụ. 
 + Cấu hình các địa chỉ IP dự trữ. 
 Dịch vụ tên Internet WINS. 
 + Cơ chế hoạt động. 
 + Cài đặt dịch vụ. 
 + Cấu hình dịch vụ. 
 + Kết hợp với DNS. 
 6
 Bài 9. Sự cố và giải quyết sự cố. 
  Sự cố đăng nhập. 
  Không truy nhập được tài nguyên. 
  Lỗi in ấn qua mạng. 
  ..... 
 Bài 10. Một số phương pháp kiểm tra độ an toàn của mạng. 
  Đứng bên trong mạng: Administrator. 
  Đứng bên ngoài mạng: Hacker. 
 QUẢN TRỊ DỊCH VỤ THƯ MỤC. 
Sử dụng dịch vụ Active Directory. 
 Dịch vụ Active Directory là thành phần mấu chốt của Microsoft 
 Windows 2000. Công nghệ Active Directory dựa trên các giao thức 
 Internet chuẩn và có kiểu thiết kế giúp người sử dụng định rõ cấu trúc 
 mạng. 
 Active Directory ứng dụng DNS, là dịch vụ Internet chuẩn, chịu trách 
 nhiệm tổ chức các nhóm máy tính thành vùng. 
 Dịch vụ thư mục Active Directory cung cấp cả cấu trúc Logic và cấu 
 trúc vật lý cho các thành phần mạng. 
 Cấu trúc Logic bao gồm: 
  Domain (vùng): Nhóm các máy tính dùng chung cơ sở dữ liệu 
 thư mục. 
  Domain Tree (Vùng phân cấp): Một hay nhiều vùng dùng 
 chung không gian tên liên tục. 
  Domain Forest (Tập hợp hệ vùng phân cấp): Một hay nhiều 
 hệ vùng dùng chung thông tin thư mục. 
  Organizational unit (Đơn vị tổ chức): Nhóm con gồm những 
 vùng thường phản ánh cấu trúc kinh doanh hoặc cấu trúc chức 
 năng của một công ty. 
 Cấu trúc Vật lý bao gồm: 
  Subnet (mạng con): Đoạn mạng với dãy địa chỉ IP và mặ nạ 
 mạng cụ thể. 
  Site (địa điểm): Một hoặc nhiều mạng con dùng để lập cấu 
 hình dịch vụ sao chép và truy cập thư mục. 
 7
Quản trị dịch vụ Active Directory. 
 Công việc quản trị dịch vụ thư mục Active Directory tập trung vào 
 những nhiệm vụ chủ yếu được người quản trị thi hành thường kỳ với 
 dịch vụ thư mục Active Directory, như mở tài khoản máy tính hoặc 
 kết nạp máy tính vào vùng. 
 Những công cụ quản lý Active Directory. 
 Những công cụ quản lý Active Directory thường cung cấp ở dạng 
 Snap-in cho MMC (Microsoft Management Console). 
  Active Directory users and Computer: Quản trị người dùng, 
 nhóm, máy tính, và đơn vị tổ chức. 
  Active Directory and Trusts: Dùng làm việc với vùng, hệ 
 vùng phân cấp, tập hợp hệ vùng phân cấp. 
  Active Directory Sites and Services : Quản lý Site và mạng 
 con. 
 Những công cụ hỗ trợ trong việc quản trị : 
  Active Directory Administration Tool: Thi hành giao thức 
 LDAP (Lightweight Directory Access Protocol) trên Active 
 Directory. 
  Active Directory Replication Monitor: Quản lý và giám sát 
 hoạt động sao chép thông qua giao diện người sử dụng dạng đồ 
 hoạ. 
  ADSI Edit: Quản lý đối tượng chứa trong thư mục bao gồm cả 
 sơ đồ thư mục. Ấn định danh sách điều khiển truy nhập. 
 Công cụ Active Directory Users and Computer. 
 Active Directory Users and Computer là công cụ quản trị chủ yếu để 
 quản lý Active Directory, cụ thể là thi hành mọi nhiệm vụ quản trị, 
 bao gồm quản trị người sử dụng, máy tính trong vùng,... 
 Mặc định, Active Directory sẽ làm việc với vùng đang được kết nối, 
 có thể truy cập và quản lý các đối tượng người sử dụng, máy tính 
 trong vùng này thông qua vùng phân cấp. Nếu không tìm thấy máy 
 điều khiển vùng hoặc vùng tham gia không khả dụng, phải kết nối tới 
 máy điều khiển vùng hiện hành hoặc máy điều khiển vùng khác. 
 Có thể truy cập đến Active Directory Users and Computer bằng nhiều 
 cách khác nhau như: 
 + Truy nhập thông qua công cụ quản trị như sau: 
 Trỏ vào Start / Programs / Administrative Tools / Active Directory 
 Users and Computer. 
 + Truy nhập thông qua giao diện MMC: 
 Trỏ tới Start / Run, gõ lệnh mmc. Bổ xung Active Directory Users and 
 Computer vào giao diện. 
 8
Sau khi kích hoạt, cửa sổ Active Directory Users and Computer sẽ 
xuất hiện như sau: 
Active Directory có những đặc tính, những tác vụ nâng cao như xem 
các tuỳ chọn nâng cao hay tìm kiếm đối tượng. 
Khi truy cập vùng trong Active Directory Users and Computer, những 
tập hợp thư mục chuẩn sau đây khả dụng: 
  Builin: Danh sách tài khoản người dùng cài sẵn. 
  Computers: Chứa tài khoản máy tính theo mặc định. 
  Domain Controlers: Chứa máy điều khiển vùng theo mặc 
 định. 
  ForeignSecurityPrincipanls: Chứa thông tin về đối tượng từ 
 vùng ngoài được uỷ quyền. 
* Kết nối tới máy điều khiển vùng: 
Trong cửa sổ Active Directory Users and Computer, ở khung bên trái 
bấm chuột phải vào Active Directory Users and Computer, chọn 
Connect To Domain Conntroler. Vùng hiện hành và máy chủ điều 
khiển vùng sẽ hiển thị. Chọn tới máy chủ điều khiển vùng cần kết nối. 
* Kết nối tới vùng: 
Cũng trong cửa sổ Active Directory Users and Computer, trong ô bên 
trái, bấm chuột phải vào Active Directory Users and Computer, chọn 
Connect To Domain. 
 9
Tìm kiếm tài khoản và tài nguyên dùng chung. 
Active Directory Users and Computer có đặc tính tìm kiếm cài sẵn, 
cho phép người quản trị tìm ra tài khoản, tài nguyên dùng chung và 
các đối tượng khác trong thư mục. 
Phương pháp tìm kiếm như sau: 
- Trong cửa sổ Active Directory Users and Computer, nháy phải chuột 
vào vùng cần tìm kiếm và chọn Find, Cửa sổ tìm kiếm xuất hiện. 
- Trong hộp Find, chọn yêu cầu tìm kiếm: 
  Users, Contacts, and Groups: Tìm kiếm tài khoản người sử 
 dụng, tài khoản nhóm. 
  Computers: Tìm tài khoản máy tính theo tên, loại, chủ sở hữu. 
  Printer: Tìm máy in theo tên, kiểu hoặc đặc tính. 
  Shared Folder: Tìm thư mục dùng chung theo tên hay từ khoá 
  Organization Units: Tìm đơn vị tổ chức theo tên. 
  Custom Search: Thực hiện tìm kiếm nâng cao. 
- Trong hộp In, chọn phạm vi tìm kiếm. 
- Sau khi nhập xong yêu cầu và phạm vi tìm kiếm, Bấm nút lệnh 
FindNow. 
 10
Quản lý tài khoản máy tính. 
Tài khoản máy tính được lưu trong Active Directory ở dạng đối 
tượng, dùng để chi phối hoạt động truy cập mạng và tài nguyên 
mạng. Người quản trị mạng có thể bổ xung tài khoản vào thư mục 
bất kỳ hiển thị trong Active Directory Users and Computers. 
Tạo tài khoản máy tính trong Active Directory Users and 
Computers. 
Để tạo tài khoản máy tính trong Active Directory Users and 
Computers, ta cần thực hiện các bước sau: 
  Trong cửa sổ Active Directory Users and Computers, ở 
 khung bên phải trong Console Active Directory Users and 
 Computers, nhấp phải chuột vào thư mục sẽ chứa tài khoản 
 máy tính sắp tạo ra. 
  Chọn New | Computer để mở hộp thoại New object 
 Computer. Nhập tên cho may khách. 
  Theo mặc định, chỉ có thành viên nhóm Domain Admins 
 mới được phép kết nạp (tạo) máy tính vào vùng. Để cho 
 người sử dụng khác hoặc nhóm khác có thể kết nạp máy tính 
 vào vùng, bấm vào nút Change và chọn trong danh sách. 
 11
 Xoá, vô hiệu hoá và kích hoạt tài khoản máy tính. 
 Khi không cần dùng đến tài khoản máy tính nào đó, người quản trị 
 có thể xoá bỏ tài khoản đó trong Active Directory, hoặc vô hiệu 
 hoá một tài khoản máy tính nào đó và cũng có thể sau khi vô hiệu 
hoá một tài khoản, người quản trị có thể kích hoạt tài khoản đã bị 
khoá. Để thực hiện được những công việc cụ thể trên, ta thực hiện 
như sau: 
  Trong cửa sổ Active Directory Users and Computers, 
 chuyển đến thư mục chứa tài khoản máy tính cần thao tác, 
 chọn tài khoản máy tính cần thực hiện xoá, vô hiệu hoá, 
 kích hoạt. 
  Bấm chuột phải vào tài khoản máy tính đó và chọn Disable 
 Account (Vô hiệu hoá ), Enable Account (Kích hoạt), Reset 
 Account (Đặt lại), Delete (Xoá bỏ). 
 Di dời một tài khoản máy tính. 
 Nếu muốn di dời một tài khoản máy tính đến một vị trí khác, ta 
 thực hiện như sau: 
  Trong cửa sổ Active Directory Users and Computers, chọn 
 thành phần chứa tài khoản máy tính cần di rời. 
  Bấm chuột phải, chọn Move, và chọn vị trí mới cần đặt và 
 bấm nút lệnh OK. 
 12
 Xem và chuyển giao vai trò trong phạm vi vùng. 
Trên cấp độ vùng, người quản trị làm việc với vai trò chủ (Relative 
ID - RID), máy điều khiển vùng (PDC), và chủ Infrastructure. 
 Để có thể xem và chuyển giao vai trò trong phạm vi vùng, thực 
hiện các bước như sau: 
  Trong cửa sổ Active Directory Users and Computers, nháy 
 phải chuột vào Active Directory Users and Computers và 
 chọn Operration Master . 
  Trong Tab RID chỉ ra vị trí của chủ ID hiện hành, bấm vào 
 nút lệnh Change, chọn máy điều khiển vùng mới sẽ đảm 
 nhận vai trò này. 
  Trong Tab PDC, nêu rõ vị trí của máy PDC, bấm vào nút 
 lệnh Change và chỉ ra máy sẽ đảm nhận vai trò mới này. 
  Trong Tab Infrastructure, nêu rõ vị trí của máy chủ 
 Infrastructure đặt ở đâu, nếu muốn thay đổi nhấn vào nút 
 lệnh Change và chỉ ra máy nào sẽ đảm nhận vai trò mới này. 
 13
Xem và chuyển giao vai trò chủ tên vùng. 
Công cụ Active Directory Domain And Trusts cho phép xem 
hoặc thay đổi vị trí của chủ tên vùng trong tập hợp hệ vùng. Ở 
Active Directory Domain And Trusts, cấp cao nhất của hệ vùng 
chỉ rõ vùng hiện được chọn. 
Để thực hiện chuyển giao vai trò chủ tên vùn ... gười 
quản trị không muốn làm như vậy. 
 Căn cứ theo kiểu hành sự này, người quản trị nên làm bất cứ điều gì có 
thể làm được nhằm tối thiểu hoá thời gian xử lý các GPO. Microsoft đã 
cố gắng sắp xếp hợp lý hoá việc xử lý các GPO theo nhiều cách. Trước 
hết, họ cho phép người quản trị chọn vô hiệu hoá các thiét định cấu hình 
của người dùng hoặc các thiết định cấu hình của máy trong GPO cụ thể. 
Nếu người quản trị đã quy định một GPO có chức năng duy nhất là ấn 
định chính sách trên một đối tượng nào đó, thì bạn nên duyệt vào ô 
thích hợp trong trang đặc tính Group Poliry để vô hiệu hoá việc xử lý 
đối với phần đó của GPO. Như thế sẽ làm giảm một cách đáng kể thời 
gian tiêu tôn cho việc xử lý các GPO. Ngoài ra, phiên bản của GPO 
cũng sẽ được theo dõi sát sao vào mỗi lúc xử lý. Nếu không có thay đổi 
nào đã xẩy ra vào khoảng thời gian giữa các người dùng đăng nhập hoặc 
máy khởi động, thì GPO sẽ không được xử lý. Có một khuôn mẫu quản 
 55
trị có thể dùng được để phủ quyết lối hành xử này, nhưng nó sẽ làm 
tăng thêm thời gian xử lý một cách đáng kể. 
Việc sửa đổi các GPO 
Một vấn đề nữa cần để ý khi triển khai các GPO: bởi vì các GPO cũng 
là một đối tượng trong Active Directory, nên chúng cũng phải chịu tác 
động của nhiều quá trình sao chép multimaster (nghĩa là sao chép từ DC 
này sang DC khác, khắp các miền trong mạng) nhưng các đối tượng AD 
khác. Vì thế, vào một lúc nào đấy, rất có thể có hai người chỉnh sửa một 
GPO. Dĩ nhiên, hậu quả có thể rất nghiêm trọng nếu như những sửa đổi 
của họ đối nghịch lẫn nhau vào lúc sao chép. Để ngăn ngừa viễn cảnh 
này, công cụ snap-in Group Policy theo mặc định sẽ luôn luôn đặt trọng 
tâm tác động (focus) vào DC nào hiện đóng vai trò PDC của miền AD 
đã địng để chỉnh sửa GPO. Người quản trị có thể thấy được điều này 
bằng cách chọn menu View trong khi đang làm nổi bật một GPO từ bên 
trong snap-in Group Policy của cứaổ MMC. Bạn sẽ thấy một mục 
chọn tên là DC Options. 
Đ ể mặc chọn lựa đó ở vị trí mặc định của nó sẽ bảo đảm rằng các thay 
đổi GPO luôn luôn được thực hiện ở cùng một server, và làm giảm nguy 
cơ có hai người cùng chỉnh sửa một GPO trên hai máy khác nhau. 
 Những vấn đề về sao chép trong Win2K 
 Việc sao chép (replication) các bộ phận của cơ sở hạ tầng đữ liệu 
 Win2K có một ảnh hưởng lớn đối với tính khả thi ( reliability) và tính 
 sẵn dùng ( availability) khi mở rộng mạng. Việc sao chép Active 
 Directory, danh mục toàn rừng ( global catalog), dữ liệu SYSVOL, và 
 Dfs tất cả đều ảnh hưởng đối với hiệu năng hoạt động, tính sẵn dùng 
 và kinh nghiệm sử dụng mạng. Trong mục này, chúng ta sẽ bàn về 
 một số thử thách chính người quản trị sẽ gặp phải khi triển khai những 
 dịch vụ đa dạng đó. 
 Tuy nhiên, trước hết, chúng ta làm rõ khái niệm khung cảnh định 
 danh ( naming context).Trong Win2K, có ba naming context được 
 sao chép: miền (donain), giản đồ tổ chức AD (AD schema), và cấu 
 hình ( configuration). Người quản trị có thể xem các naming context 
 56
như là các lộ trình (path) hoặc vòng ( loop) sao chép đi xuyên qua môi 
trường mạng Win2k của . Domain naming cotext là lộ trình sao chép 
mà chỉ đi qua các máy DC bên trong trong một miền. Nó chịu rách 
nhiệm về việc sao chép những thay đổi về cơ sở dữ liệu AD đối với 
một miền nhất định. 
Thư mục dùng chung Sysvol 
sysvol được sao chép ra tất cả các máy DC trong một miền. Bên dưới 
sysvol có hầu hết những dữ liệu liên kết với các GPO. 
sysvol dùng dịch vụ sao chép tập tin để sao chép nội dung của nó giữa 
tất cả các DC trong một miền. Bên dưới SYSYVOL có hầu hết các 
dữ liệu liên kết với các GPO, cũng như mọi thông tin theo kiểu 
NETLOGON cũ kỹ dành cho các máy đời cũ NT 4 hoặc Win 9x. 
SYSVOL đùng dịch vụ sao chép tập tin (File Replication Server _ 
FRS) mới mẻ của NT để sao chép nội dung của nó giữa tất cả cácmáy 
DC trong một miền. Theo mặc định FRS sao chép theo cùng một lịch 
biểu như Active Directory, và tôn trọng các danh giới site giống hệt 
như việc so chép của AD vậy. 
Người quản trị có thể thay đổi lịch biểu sao chép của FRS. Từ công cụ 
snap-in AD Users and Computer, chọn mục lệnh View/ AD 
advanced Features rồi tìm đến tính năng System\ File Replication 
Service. Từ đó, nếu làm nổi bật Domain System Volume (tức share 
SYSVOL), nhắp phải, chọn Properties từ menu ngữ cảnh, rồi nhắp 
nút Change schedule trong khung thoại đặc tính hiện ra lúc đó người 
quản trị sẽ có việc sao chép qua danh giới site sẽ mất nhiều thời gian 
hơn là sao chép chỉ bên trong site; ví dụ, nếu người quản trị đã đưa 
một kịch bản đăng nhập mới vào GPO vốn được đặt trọng tâm tác 
động trên một máy DC cụ thể thì có thể mất nhiều thời gian để kịch 
bản đó được sao chép ra hết tất cả các share SYSVOL trên tất cả các 
DC bên trong miền . 
Hệ thống tập tin phân tán (Dfs) 
Hệ thống tập tin phân tán (Ditributed File System_ tức Dfs) tượng 
trưng cho một lọat thư thách khác biệt nhau như đều quan trọng 
SYSVOL. Chúng ta nghiên cứu thử một số khả năng của Dfs trong 
Win2K, để xem bạn có thể gặp rắc rối như thể nào trong việc triển 
khai nó ra trong một cơ sở hạ tầng lớn. 
Với Dfs, người quản trị có thể quy định một share gốc chịu lỗi (fault-
tolerat root gọi tắt là FT root), tức là Dfs root, bên trong một miền đã 
định. chú ý rằng chỉ có thể quy định cho mỗi server một dfs root 
được tham chiếu theo tên miền chứ không phải theo tên server.Ví dụ, 
nếu tên miền của là vn. mycomputer, người quản trị có thể ánh xạ 
một ổ đĩa đến share \ \vn. mycomputer. com\dfs root. Bên dưới một 
Dfs root cụ thể, có một số liên kết Dfs (Dfs link) nào đó. Các Dfs link 
 57
xuất hiện dưới dạng như các thư mục con lý luận đối với Dfs root, 
như thực chất thì trỏ đến một số share nào đó nằm trên các server 
khác (Win2K, NT 4, và thậm chí cả các server NetWare và Unix nữa). 
Mỗi Dfs link cũng có một bản sao (replica) liên kết với nó. 
Ví dụ, bên dưới một share Dfs root tên dfsroot (giả dụ như vậy), có 
thể tạo ra một Dfs link tên là apps, nơi bạn lưu giữ cất gói chương 
trình cài đặt ứng dụng trên mạng của bạn. Bên dưới mỗi Dfs root, 
người quản trị có thể đưa vào các thành viên bản sao. Các bản sao này 
đại diện cho các share nằm trên các server khác nhưng có nội dung 
giống nhau. người quản trị. Ví dụ, Dfs link tên apps chúng ta có thể 
có hai thành viên bản sao là các share cùng có tên apps nhưng nằm 
trên \ \servera và\ \serverb. Các thành viên bản sao thông thường đựơc 
dùng khi bạn có những nội dung read only nào đó, như các tập tin nhị 
phân của một ứng dụng chẳng hạn, và người quản trị muốn chúng có 
thể được truy cập từ nhiều server trong mạng. Trong ví dụ này, giả sử 
servera nằm trong site X và serverb nằm trong site Y. Các khách hàng 
trong site X nối kết vào share \ \mycompany.com\ dfsroot\ apps sẽ 
được chuyển hướng tới \ \servera\apps, còn các khách hàng trong Site 
Y nối kết vào cùng share đó sẽ được chuyển hướng tới \ \ serverb 
\apps. Như vậy, Dfs mang lại một mức độ hấp lực server (server 
affinity) nào đó, dựa theo topology của các site. 
Một đặc điểm khác của Dfs là cung cấp khả năng sao chép tập tin (file 
replication, nếu hiểu rộng hơn thì là directory replication) đối với tất 
cả các thành viên bản sao đó. việc sao chép của Dfs thực chất là dùng 
dịch vụ FileReplication Service của NT, nhưng nó tạo ra topology sao 
chép riêng của nó mà người quản trị không kiểm soát được. Theo mặc 
định Dfs tạo ra một topology hình sao giữa tất cả những thành viên 
bản sao mà người quản trị chỉ định. Không có cách nào dễ dàng để 
biết khi nào thì các bản sao của Dfs đã 'đồng quy" (converge, tức là 
những thay đổi về nội dung đã được sao chép đến tất cả những bản 
sao ). Đối với những mạng lớn, với nhiếu thành viên bản sao khác đặt 
rải rác trong các site, ngang qua các đường liên kết WAN đa dạng, 
chắc hẳn người quản trị sẽ thấy rằng cơ chế sao chép của Dfs quả là 
không thoả đáng. Cơ chế sao chép có trong dfs thực ra chỉ có ý nghĩa 
đối với mạng nhỏ hơn, nội dung của read- only được sao chép ra một 
ít server thôi. Thực tế, nếu người quản trị chọn sử dụng cơ chế sao 
chép tự động có trong dfs, là người quản trị bị hạn chế chỉ được phép 
có 32 thành viên bản sao đối với một đốt liên kêt con!!!. Còn nếu khi 
chọn Dfs link mà người quản trị chọn phương án sao chép thủ công 
(manual replication), thì người quản trị có thể an toàn yểm trợ đến 
1000 thành viên bản sao. chú ý rằng khi chọn sao chép thủ công là 
người quản trị đang cho dfs biết rắng người quản trị dự định cung cấp 
 58
cơ chế riêng của mình để sao chép nội dung ra mỗi thành viên bản sao 
ngoài phạm vi cơ sở hạ tầng Dfs. 
Ngoài ra, cũng có thể người quản trị bị cám dỗ bởi ý nghĩ là dùng cơ 
chế sao chép của dfs để sao chép những dữ liệu không read- only, như 
các home folder của người dùng chẳng hạn. Nên biết rằng, bản Dfs 
hiện nay không thực sự phù hợp với kiểu tiếp cận như thể đâu. Điều 
này chủ yếu là vì ,bạn thực sự không có cách nào để kiểm soát được 
khi nào dfs sẽ"quy đồng" các bản sao cả. (Nếu một người dung thực 
hiện một thay đổi với home folder của mình trên một bản sao sau khi 
thực hiện một thay đổi khác trên một bản sao khác, thì thay đổi trước 
có thể bị mất đi, do nó chưa kịp phổ biến rộng rãi). Với Dfs, người 
quản trị chỉ nên dùng tính năng chịu lỗi như một cách để tìm tìm ra vị 
trí thực (vật lý) từ các tên share luận lý . Hãy để Dfs tạo ra một cây 
tập tin phân tán mà việc sao chép lệ thuộc vào topology của cacsite . 
Nếu phải dùng cơ chế sao chép của Dfs, người quản trị chỉ nên áp 
dụng Dfs với những nội dung read- only, còn không thì phải sắm một 
phần mềm sao chép near-real- time ( nghĩa là việc sao chép ra khắp 
mạng được thực hầu như tức thời, hầu như không có trì hoãn nào cả) 
nào đó dể thực hiện việc sao chép nội dung thực sự. 
Việc sao chép GPO 
Trường hợp đặc biệt của các GPO và cách thức sao chép chúng bên 
trong cơ sở hạ tầng mạng Win2K. Kiểu cách sao chép này có thể trở 
thành một vấn đề quan trong trong những môi trường mạng lớn, có 
nhiều GPO được triển khai khắp các site với những đương liên kết 
WAN có tốc độ khác nhau. Nên biết rằng mỗi GPO thực ra được tạo 
lên bởi hai thành phần: Group Policy Container (GPC) và Group 
Policy Template (GPT). GPC là một đối tượng bên trong Active 
Directory, chứa thông tin tham chiếu đến một GPO cụ thể. GPC được 
sao chép giống hệt như những đối tượng AD khác, theo kiểu 
multimaster,trên cơ sở từng đặc tính một. Thành phần GPT thực ra 
mới là thành phần chính của GPO. Nó là các tập tin thực sự tạo nên 
một GPO. Các kịch bản tắt máy và khởi động, kịch bản đăng nhập và 
đăng xuất, các khuôn mẫu quản trị và tập tin hệ quả của nó là 
registry.pol và các khuôn mẫu bảo mật dều được chứa trong GPT, 
vốn được sao chép bên trong share SYSYVOL. 
Do hai thành phần này là những thực thể phân biệt, có kiểu cách sao 
chép hoàn toàn khác biệt, nên có khả năng là một GPC được sao chép 
trước khi GPT liên kết với nó được sao chép nhất là trong một mạng 
lớn. 
 59
60
Triển khai các dịch vụ cơ sở hạ tầng. 
Khi đã sẵn sàng việc triển khai một cơ sở hạ tầng mạng Win2K cỡ 
lớn, người quản trị cần cài đặt và cấu hình một số dịch vụ cơ sở hạ 
tầng để cho phép AD và các phần mềm máy khách có thể làm việc. 
Các dịch vụ cơ sở hạ tầng làm nền tảng cho việc phát triển một mạng 
máy tính. 
 DNS 
 61
62
 DHCP. 
* Nguyên tắc hoạt động. 
* Cài đặt: 
* Cấu hình: 
- Tạo một Scope: 
 63
64
65
 Giao thức mạng. 
* Các khái niệm cơ bản: 
  Định nghĩa: 
Giao thức mạng là tập hợp các quy tắc, quy ước sao cho các thực thể 
tham gia truyền thông trên mạng có thể liên lạc được với nhau. Hay 
nói cách khác, giao thức mạng là ngôn ngữ chung để cho các máy tính 
làm việc được với nhau. 
  Lớp mạng: 
  Mạng con: 
  Giao thức dẫn đường. 
* Lựa chọn: 
 Việc lựa chọn giao thức mạng phụ thuộc vào mục đích sử dụng cụ 
thể trong từng mạng. Đối với mỗi tiêu chuẩn đưa ra ta có thể có các 
lựa chọn giao thức mạng khác nhau: 
  Giao thức NetBEUI - NetBIOS Extention User Interface: 
  Giao thức TCP/ IP. 
  Giao thức IPX/SPX 
* Cài đặt: 
* Cấu hình: 
 66
Các lệnh đựơc dùng trong Windows 2K 
A 
Append
Arp 
Assoc 
At 
Atmadm 
Attrib 
B 
Batch commands 
Break 
Buffers 
C 
Cacls 
Call 
Chcp
Chdir (cd) 
Chkdsk 
Chkntfs 
Cipher 
Cls 
Cluster
Cluster commands overview
Cluster group
 67
Cluster node
Cluster netinterface
Cluster network
Cluster resource
Cluster resourcetype
Cmd 
Codepage 
Color 
Command symbols and filter commands 
Comp 
Compact 
Conditional processing symbols 
Convert 
Copy 
Country 
D 
Date 
Debug 
Debug subcommands 
Del (Erase) 
Device 
Devicehigh (dh) 
Devinfo 
Dir 
Diskcomp 
 68
Diskcopy 
Diskperf 
Dos 
Doskey 
Dosonly 
Driveparm 
E 
Echo 
Echoconfig 
Edit 
Edlin 
Edlin subcommands 
Endlocal 
Evntcmd 
Exe2bin 
Exit 
Expand 
F 
Fastopen 
Fc 
Fcbs 
Files 
Filter commands 
Find 
Findstr 
 69
Finger 
For 
Forcedos 
Format 
Ftp 
Ftp commands 
Ftype 
G 
Goto 
Graftabl 
Graphics 
H 
Help 
Hostname 
I 
If 
Install 
Ipconfig 
Ipxroute 
Irftp 
L 
Label 
Lastdrive 
Libpath 
Loadfix 
 70
Loadhigh (lh) 
Lpq 
Lpr 
M 
Mem 
Mkdir (md) 
Mode 
More 
Mountvol 
Move 
MS-DOS configuration commands 
MS-DOS subsystem commands 
N 
Nbtstat 
Net (command options) 
Net accounts 
Net computer 
Net config 
Net config server 
Net config workstation 
Net continue 
Net file 
Net group 
Net help 
Net helpmsg 
 71
Net localgroup 
Net name 
Net pause 
Net print 
Net send 
Net session 
Net share 
Net start 
Net start Alerter 
Net start Client Service for NetWare 
Net start ClipBook Server 
Net start Computer Browser 
Net start DHCP Client 
Net start Directory Replicator 
Net start Eventlog 
Net start File Server for Macintosh 
Net start FTP Publishing Service 
Net start Gateway Service for NetWare 
Net start Lpdsvc 
Net start Messenger 
Net start Microsoft DHCP Service 
Net start Net Logon 
Net start Network DDE 
Net start NT LM Security Support Provider 
Net start OLE 
 72
Net start Print Server for Macintosh 
Net start Remote Access Connection Manager 
Net start Remote Access ISNSAP Service 
Net start Remote Procedure Call (RPC) Locator 
Net start Remote Procedure Call (RPC) Service 
Net start Schedule 
Net start Server 
Net start Simple TCP/IP Services 
Net start Site Server LDAP Service 
Net start SNMP 
Net start Spooler 
Net start TCP/IP NetBIOS Helper 
Net start UPS 
Net start Windows Internet Name Service 
Net start Workstation 
Net statistics 
Net stop 
Net time 
Net use 
Net user 
Net view 
Netsh
Netstat 
Nlsfunc 
Nslookup 
 73
Nslookup subcommands 
Ntcmdprompt 
O 
OS/2 configuration command 
P 
Path 
PathPing 
Pause 
Pax 
Pentnt 
Ping 
Popd 
Portuas 
Print 
Prompt 
Protshell 
Pushd 
Q 
QBasic 
R 
Rcp 
Recover 
Redirection 
Rem 
Rename (ren) 
 74
Replace 
% (Replaceable parameter)
Rexec 
Rmdir (rd) 
Route 
Rsh 
Runas 
S 
Set 
Setlocal 
Setver 
Share 
Shell 
Shift 
Sort 
Stacks 
Start 
Subst 
Switches 
T 
Tcmsetup
TCP/IP Utilities 
Tftp 
Time 
Title 
 75
Tracert 
Tree 
Type 
V 
Ver 
Verify 
Vol 
W 
Winnt 
Winnt32 
X 
Xcopy 
 76