Tổng quan về Group Policy - từ đơn giản đến phức tạp

Group Policy Group Policy and the Active Directory services infrastructure in Windows Server 2003 enable IT administrators to automate one-to-many management of users and computers—simplifying administrative tasks and reducing IT costs. With the debut of Group Policy Management Console (GPMC), policy-based management is even easier. Administrators can efficiently implement security settings, enforce IT policies, and distribute software consistently across a given site, domain, or range of organizational units. http://www.microsoft.com/windowsserv...y/default.mspx http://support.microsoft.com/kb/307882 SYSTEM POLICY Các system policy được MS sáng chế ra từ thời Windows 95 và NT 4 (trong NT 3.51 trở về trước, chưa có khái niệm system policy). Chúng là một tập hợp các chỉ thị mà các quản trị viên mạng NT 4 và NetWare có thể đặt ra để kiểm soát các máy khách Windows 9x/Me hoặc NT 4 trong mạng của họ thông qua việc phủ chế (override) một số thiết định (setting) về người dùng và máy trong Registry tại chỗ của các máy khách ấy. Việc kiểm soát này thường là: tạo cho người dùng trên máy khách đó một menu Start/Programs đặc biệt và/hoặc một màn hình Desktop đặc biệt; hạn chế không cho người dùng ấy chạy một số chương trình nào đó hoặc thay đổi màn hình Desktop; ấn định một số setting về nối mạng (ví dụ: cấu hình của phần mềm khách nối mạng, khả năng cài đặt hoặc định cấu hình cho các dịch vụ file and printer sharing) cho nhiều máy một cách tập trung, v.v.. Các system policy có thể được áp dụng cho riêng từng người dùng hay cho cả một nhóm người dùng. (Trong các tài liệu được viết từ thời 9x/Me và NT 4 về system policy , các system policy dành cho nhóm cũng được gọi là group policy, nhưng nó không mang ý nghĩa giống như group policy trong Win2K/XP/2003). Các chỉ thị system policy, nếu có, phải được qui định trong một file có phần mở rộng là .POL (mặc định là CONFIG.POL đối với 9x/Me, và là NTCONFIG.POL đối với NT 4). File .POL cần thiết được người quản trị mạng sử dụng trình System Policy Editor (POLEDIT.EXE) để tạo ra (và chỉnh sửa sau này nếu cần). Nếu là system policy dành cho nhóm, thì người quản trị viên tạo file .POL trên một máy khách thích hợp nào đó (CONFIG.POL được tạo trên máy 9x/Me, NTCONFIG.POL được tạo trên máy NT 4), rồi đặt nó vào share NETLOGON của mọi máy DC (đối với mạng NT 4) hoặc vào thư mục PUBLIC trên các máy server (đối với mạng NetWare). Khi một người dùng trên các máy khách khác đăng nhập vào mạng, file .POL đó mặc định sẽ tự động được chép về máy khách ấy, và thế là các thiết định system policy trong đó sẽ phủ chế các thiết định có liên quan (về người dùng hay về máy) trong Registry của máy ấy. Người quản trị viên mạng cũng có thể thiết lập những system policy chứa những thiết định độc đáo khác nữa, đặc trưng cho mạng của mình. Chú ý rằng, máy Windows 9x/Me (hoặc NT 4) nếu được cài đặt độc lập thì không có CONGIG.POL (hoặc NTCONFIG.POL). Chỉ khi máy đó được nối vào một mạng có đặt file đó ở chỗ thích hợp (là NETLOGON của máy PDC NT 4 hoặc PUBLIC của máy preferred server NetWare), thì nó mới chép file đó về máy mình, và file đó trở thành một phần bổ sung thêm cho Registry của máy tại chỗ. Nếu không nối mạng client/server, Registry của máy Win9x/Me chỉ bao gồm 2 file là SYSTEM.DAT và USER.DAT, còn Registry của máy NT 4 chỉ bao gồm 7 file: SAM, SECURITY, SOFTWARE, SYSTEM, DEFAULT, USERDIFF, và NTUSER.DAT (không kể các file phụ thuộc, chẳng hạn như các file .DAO, .ALT, .SAV, ...). Cho dù file CONFIG.POL hoặc NTCONFIG.POL bị xóa khỏi thư mục NETLOGON hoặc PUBLIC, thì các system policy vẫn còn tác dụng đối với máy trạm của người dùng, bởi vì CONFIG.POL hoặc NTCONFIG.POL đã được chép vào máy trạm của người dùng, và Registry của máy trạm đó đã bị thay đổi permanently theo đó rồi. Trong những mạng Active Directory Win2k hoặc WinS2k3, nếu vẫn còn các máy khách Win9x/Me và/hoặc NT 4 thì quản trị viên vẫn phải dùng các system policy để kiểm soát, bởi vì các máy đó không hiểu các group policy trong Win2k hoặc WinS2k3. Chỉ có các máy khách Win2k/XP/WinS2k3 mới hiểu được các group policy mà thôi. (Các máy khách Win2k/XP/WinS2k3 cũng sẽ tìm, tải xuống, và thi hành các system policy, nhưng CHỈ KHI không có group policy nào hiện diện trong mạng đó cả). Các mạng NT 4 thì chẳng bao giờ chứa bất kỳ group policy nào. GROUP POLICY Group policy có thể được coi là một thứ system policy phiên bản 2. Các chính sách này được MS phát minh ra kể từ Win2k, và chỉ có ý nghĩa đối với các máy Win2k/XP/WinS2k3. Chúng khác biệt với các system policy như sau: _ Các group policy chỉ có thể hiện hữu trên miền Active Directory, ta không thể đặt chúng lên miền NT 4. _ Các group policy làm được nhiều chuyện hơn các system policy. Ví dụ: có thể dùng các group policy để triển khai (deploy) phần mềm cho một hoặc nhiều máy trạm nào đó một cách tự động; để ấn định quyền hạn cho một số người dùng mạng, để giới hạn những ứng dụng mà người dùng được phép chạy; để kiểm soát hạn ngạch sử dụng đĩa trên các máy trạm; để thiết lập các kịch bản (script) đăng nhập (logon), đăng xuất (logoff), khởi động (start up), và tắt máy (shut down); để đơn giản hóa và hạn chế các chương trình chạy trên máy khách; để định hướng lại (redirector) một số folder trên máy khách (như My Computer, My Documents chẳng hạn) v.v... _ Không giống như các system policy, các group policy tự động mất tác dụng đối với máy trạm khi chúng được xóa bỏ khỏi miền AD. _ Các group policy được áp dụng thường xuyên hơn các system policy. Các system policy chỉ được áp dụng vào lúc máy khách khởi động (đối với chính sách dành cho máy) hoặc đăng nhập (đối với chính sách dành cho người dùng). Các group policy thì được áp dụng lúc máy khách được khởi động, lúc máy khách đăng nhập, và vào những thời điểm ngẫu nhiên khác nữa trong suốt ngày làm việc (một cách tự động). _ Người quản trị mạng có được nhiều mức độ kiểm soát tinh vi hơn đối với vấn đề ai được _ hoặc không được _ nhận một group policy nào đó. _ Group policy tuy hay ho hơn system policy, nhưng chỉ áp dụng được với các máy Win2k/XP/WinS2k3 mà thôi (và đòi hỏi các máy đó phải thuộc một miền AD nào đó, mặc dù không có AD thì vẫn có thể áp dụng một số hạn chế các "chính sách tại chỗ" _ local policy), không áp dụng được với các máy Windows tiền-2k. Tuy trong tên của nó có từ "group", nhưng các group policy chủ yếu chỉ được áp dụng cho các site, domain, và OU (Organizational Unit) (MS đã chế ra một acronym để chỉ chúng: SDOU). (Nói "chủ yếu" là vì, thực ra cũng có thể áp dụng chúng cho các nhóm người dùng, nhưng phải sử dụng kỹ thuật lọc chận chính sách (policy filtering), tuy nhiên việc áp dụng kỹ thuật này gây rắc rối cho việc quản trị và troubleshooting mạng sau này, và làm chậm quá trình đăng nhập của người dùng mạng). Trên mỗi máy Win2k/XP Pro/WinS2k3 cũng có một bộ chính sách nhóm tại chỗ (local group policy), sẽ được áp dụng khi máy đó không tham gia vào miền AD nào cả (tức khi nó tham gia vào một workgroup hoặc khi nó được dùng độc lập). Các máy Windows XP Home thì không có local group policy. Khi máy Win2k/XP Pro/WinS2k3 nối vào miền AD, thì ngoài các local group policy, nó còn được áp dụng lần lượt các group policy dành cho Site, Domain, OU chứa nó (nếu thuộc nhiều OU lồng nhau, thì policy nào dành cho OU ngoài hơn sẽ được áp dụng trước). Các policy được áp dụng sau sẽ override các policy được áp dụng trước. Các group policy dành cho SDOU được tạo ra dưới dạng các đối tượng chính sách nhóm (group policy object _ GPO), và các GPO được lưu trữ một phần trong cơ sở dữ liệu Active Directory và một phần trong share SYSVOL (SYSVOL trong Win2K/WinS2k3 là sự thay thế cho NETLOGON trong NT 4). Phần nằm trong share SYSVOL của mỗi GPO bao gồm một số file và thư mục con bên trong thư mục WindowsINNT\SYSVOL\sysvol\Domainname\Policies\GUID , trong đó GUID là mã nhận diện đơn nhất toàn cầu (Global Unique Identifier) dành cho GPO đó. GPO tại chỗ của mỗi máy Win2k/XP Pro/WinS2k3 thì nằm trong thư mục %Windir%\System32\GroupPolicy. Chương trình để tạo ra và/hoặc chỉnh sửa các GPO tên là Group Policy Object Editor, có dạng một console MMC tên là GPEDIT.MSC (hoặc ta cũng có thể dùng nó dưới dạng một công cụ snap-in trong một console MMC khác, ví dụ: console Active Directory Users and Computers, tức DSA.MSC, cũng được trang bị sẵn snap-in Group Policy). Trên đây chỉ là một số nét sơ lược về system policy và group policy thôi, chứ thực ra trong khuôn khổ một bài viết, chẳng ai có khả năng giải thích đầy đủ về mọi khía cạnh của chúng. Muốn bàn về mỗi loại policy đó, cần đến một hoặc vài chương sách. Thậm chí, có người đã viết nguyên một cuốn sách để bàn về Group Policy trong Win2k/WinXP/WinS2k3. Trong cuốn "Làm chủ Windows Server 2003", chúng tôi cũng bàn về các khái niệm và cách ứng dụng system policy và group policy tập trung trong các chương 8, 9, 12, và rải rác trong một số chương khác. Không có tác giả - st internet Quản trị hệ thống với Group Policy trong Windows XP Trong Windows XP có một công cụ khá hay, đó là Group Policy (GP). Nhiều người sử dụng Windows đã lâu nhưng chưa hề biết có công cụ này vì không tìm thấy nó trong Control Panel, Administrative Tools hay System Tools. GP là một trong các thành phần của Microsoft Management Console và bạn phải là thành viên của nhóm Adminstrators mới được quyền sử dụng chương trình này. Nếu không, bạn sẽ nhận được thông báo lỗi sau: Khởi động chương trình: Có 2 cách khởi động chương trình. Cách 1: Vào menu Start > Run, rồi nhập lệnh mmc để khởi động Microsoft Management Console. Sau đó vào trình đơn File, chọn Open. Trong cửa sổ Open, nhấn nút Browse rồi tìm đến thư mục System32. Bạn sẽ thấy nhiều tập tin xuất hiện có phần mở rộng là *.msc. Các tập tin dạng này là những thành phần được tạo bởi Microsoft Management Console. Nếu để ý, bạn sẽ thấy một số công cụ quen thuộc như: Event Viewer (eventvwr.msc), Services (services.msc) (hai công cụ này nằm trong Adminstation Tools)... và còn nhiều nữa. Trong phạm vi của bài viết này, bạn cần chọn gpedit.msc để mở Group Policy. Cách 2: Nếu bạn làm việc thường xuyên với GP thì cách này sẽ nhanh hơn. Vào menu Start > chọn Run và nhập vào gpedit.msc rồi nhấn OK để khởi động chương trình. Khi chương trình đã khởi động, bạn sẽ thấy cửa sổ giao diện như hình bên dưới: Chương trình được phân theo dạng cây và rất dễ dùng. Nếu sử dụng các phần mềm như Security Administrator, TuneUp Utilities,... bạn sẽ thấy hầu hết các tùy chọn cấu hình hệ thống đều nằm trong GP. Và bạn hoàn toàn có thể sử dụng GP mà Windows cung cấp sẵn để quản trị hệ thống, không cần phải cài thêm các phần mềm trên. * Cách sử dụng chung: tìm tới các nhánh, Chọn Not configured nếu không định cấu hình cho tính năng đó, Enable để kick hoạt tính năng, Disable để vô hiệu hóa tính năng. * Computer Configuration: Các thay đổi trong phần này sẽ áp dụng cho toàn bộ người dùng trên máy. Trong nhánh này chứa nhiều nhánh con như: + Windows Settings: bạn sẽ cấu hình về việc sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống... + Administrative Templates:- Windows Components: bạn sẽ cấu hình các thành phần cài đặt trong Windows như: Internet Explorer, NetMeeting... - System: cấu hình về hệ thống. Cần lưu ý là trước khi cấu hình cho bất kỳ thành phần nào, bạn cũng cần phải tìm hiểu thật kỹ về nó. Bạn có thể chọn thành phần rồi nhấp chuột phải để chọn Help. Còn một cách khác là không chọn Help mà chọn Properties. Khi cửa sổ Properties xuất hiện, chuyển sang thẻ Explain để được giải thích chi tiết về thành phần này. Mặc định thì tình trạng ban đầu của các thành phần này là “Not configured”. Để thay đổi tình trạng cho thành phần nào đó, bạn chọn thẻ Setting trong cửa sổ Properties, sẽ có 3 tùy chọn cho bạn chọn lựa là: Enable (có hiệu lực), Disable (vô hiệu lực) và Not configure (không cấu hình). * User Configuration: giúp bạn cấu hình cho tài khoản đang sử dụng. Các thành phần có khác đôi chút nhưng việc sử dụng và cấu hình cũng tương tự như trên. Phần I: Computer Configuration: Windows Setting: Tại đây bạn có thể tinh chỉnh, áp dụng các chính sách về vấn đề sử dụng tài khoản, password tài khoản, quản lý việc khởi động và đăng nhập hệ thống... + Scripts (Startup/Shutdown): Bạn có thể chỉ định cho windows sẽ chạy một đoạn mã nào đó khi Windows Startup hoặc Shutdown. + Security settings: Các thiết lập bảo mật cho hệ thống, các thiết lập này được áp dụng cho toàn bộ hệ thống chứ không riêng người sử dụng nào. Name Tóm tắt tính năng Account Policies Các chính sách áp dụng cho tài khoản của người dùng. Local Policies Kiểm định những chính sách, những tùy chọn quyền lợi và chính sách an toàn cho người dùng tại chỗ. Public Key Policies Các chính sách khóa dùng chung Sau đây chúng ta sẽ lần lượt đi vào tìm hiểu chi tiết từng phần nhỏ của nó. 1. Account Policies: Thiết lập các chính sách cho tài khoản a> Password Policies: Bao gồm các chính sách liên quan đến mật khẩu tài khoản của người sử dụng tài khoản trên máy. Enforce password history: Với những người sử dụng có không có thói quen ghi nhớ nhiều mật khẩu, khi buộc phải thay đổi mật khẩu thì họ vẫn dùng chính mật khẩu cũ để thay cho mật khẩu mới, điều này là một kẽ hở lớn lên quan trực tiếp đến việc lộ mật khẩu. Thiết lập này bắt buộc một mật khẩu mới không được giống bất kỳ một số mật khẩu nào đó do ta quyết định. Có giá trị từ 0 đến 24 mật khẩu. Maximum password age: Thời gian tối đa mật khẩu còn hiệu lực, sau thời gian này hệ thống sẽ yêu cầu ta thay đổi mật khẩu. Việc thây đổi mật khẩu định kỳ nhằm nâng cao độ an toàn cho tài khoản, vì một kẻ xấu có thể theo dõi những thói quen của bạn, từ đó có thể tìm ra mật khẩu một cách dễ dàng. Số giá trị từ 1 đến 999 ngày. Giá trị mặc định là 42. Minimum password age: Xác định thời gian tối thiểu trước khi có thể thay đổi mật khẩu. Hết thời gian này bạn mới có thể thay đổi mật khẩu của tài khoản, hoặc bạn có thể thay đổi ngay lập tức bằng cách thiết lập giá trị là 0. Giá trị từ 0 đến 999 ngày. Bạn cần thiết lập “Minimum password age” lớn hơn không nếu bạn muốn chính sách “Enforce password history” có hiệu quả, vì người sử dụng có thể thiết lập lại mật khẩu nhiều lần theo chu kỳ để họ có thể sử dụng lại mật khẩu cũ. Minimum password length: Độ dài nhỏ tối thiểu cuả mật khẩu tài khoản. (Tính bằng số ký tự nhập vào). Độ dài của mật khẩu có giá trị từ 1 đến 14 ký tự. Thiết lập giá trị là không nếu bạn không sử dụng mật khẩu. Giá trị mặc định là 0. Password must meet complexity requirements: Quyết định độ phức tạp của mật khẩu. Nếu tính năng này có hiệu lực. Mật khẩu của tài khoàn ít nhất phải đạt những yêu cầu sau: - Không chứa tất cả hoặc một phần tên tài khoản người dùng - Độ dài nhỏ nhất là 6 ký tự - Chứa từ 3 hoặc 4 loại ký tự sau: Các chữ cái thường (a -> Z), các chữ cái hoa (A -> Z), Các chữ số (0 -> 9) và các ký tự đặc biệt. Độ phức tạp của mật khẩu được coi là bắt buộc khi tạo mới hoặc thay đổi mật khẩu. đinh : Disable. Store password using reversible encryption for all users in the domain: Lưu trữ mật khẩu sử dụng mã hóa ngược cho tất cả các người sử dụng domain. Tính năngcung cấp sự hỗ trợ cho các ứng dụng sử dụng giao thức,nó yêu cầu sự am hiểu về mật khẩu của người sử dụng. Việc lưu trữ mật khẩu sử dụng phương pháp mã hóa ngươc thực chất giống như việc lưu trữ các văn bản mã hóa của thông tin bảo vệ mật khẩu. Mặc đinh : Disable. b> Acount lockout Policy: * Account lockout duration: Xác định số phút còn sau khi tài khoản được khóa trước khi việc mở khóa đươc thực hiện. Có giá trị từ 0 đến 99.999 phút. Có thể thiết lập giá trị 0 nếu không muốn việc tự động Unlock. Mặc định không có hiệu lực vì chính sách này chỉ có khi chính sách “Account lockout threshold” được thiết lập. * Account lockout threshold: Xác định số lần cố gắng đăng nhập nhưng không thành công. Trong trường hợp này Acount sẽ bị khóa. Việc mở khóa chỉ có thể thực hiện bởi người quản trị hoặc phải đợi đến khi thời hạn khóa hêt hiệu lực. Có thể thiết lập giá trị cho số lần đăng nhập sai từ 1 đến 999. Trong trường hợp thiết lập giá trị 0, account sẽ không bị khóa. * Reset account lockout counter after: Thiết lập lại số lần cố gắng đăng nhập về 0 sau một khoảng thời gian quy định. Thiết lập này chỉ có hiệu lực khi “Account lockout threshold” được thiết lập. 2. Local Policies: Các chính sách cục bộ: User rights Assignment: Ấn định quyền cho người sử dụng. Quyền của người sử dụng ở đây bao gồm các quyền truy cập, quyền backup dữ liệu, thay đổi thời gian của hệ thống… Trong phần này, để cấu hình cho một mục nào đó bạn có thể nháy đúp chuột lên mục đó và nhấn nủt Add user or group để trao quyền cho user hoặc Group nào bạn muốn. * Access this computer from the network: Với những kẻ tò mò, tọc mạch thì tại sao chúng ta lại phải cho phép chúng truy cập vào máy tính của mình. Với thiết lập này bạn có thể tuy ý thêm, bớt quyền truy cập vào máy cho bất cứ tài khoản hoặc nhóm nào. * Act as part of the operating system: Chính sách này chỉ định tài khoản nào sẽ được phép hoạt động như một phần của hệ thống. Mặc định, tài khoản Aministrator có quyền cao nhất, có thể thay đổi bất kỳ thiết lập nào của hệ thống, được xác nhận như bất kỳ một người dùng nào, vì thế có thể sử dụng tài nguyên hệ thống như bất kỳ người dùng nào. Chỉ có những dịch vụ chứng thực ở mức thấp mới yêu cầu đặc quyền này. * Add workstations to domain: Thếm một tài khoản hoặc nhóm vào miền. Chính sách này chỉ hoạt động trên hệ thống sử dụng Domain Controller. Khi được thêm vào miền, tài khoàn này sẽ có thêm các quyền hoạt động trên dịch vụ thư mục (Active Directory), có thể truy cập tài nguyên mạng như một thành viên trên Domain. * Adjust memory quotas for a process: Chỉ định những ai được phép điều chỉnh chỉ tiêu bộ nhớ dành cho một quá trình xử lý. Chính sách này tuy có làm tăng hiệu suất của hệ thống nhưng nó có thể bị lạm dụng để phục vụ cho những mục đích xấu như tấn công từ chôi dịch vụ DoS (Dinal of Sevices). * Allow logon through Terminal Services: Terminal Services là một dịch vụ cho phép chúng ta đăng nhập từ xa đến máy tính. Chính sách này sẽ quyết định giúp chúng ta những ai được phép sử dụng dịch vụ Terminal để đăng nhập vào hệ thống. * Back up files and directories: Tương tự như các chính sách trên, ở đây sẽ cấp phép cho những ai sẽ có quyền backup dữ liệu. * Change the system time: Cho phép người sử dụng nào có quyền thay đổi thời gian cuả hệ thống. * Create global objects: Cấp quyền cho những ai có thể tạo ra các đối tượng dùng chung * Force shutdown from a remote system: Cho phép những ai có quyền tắt máy qua hệ thống điều khiển từ xa. * Shut down the system: Cho phép ai có quyền Shutdown máy. Và còn rất nhiều chính sách khác nữa đang chờ bạn khám phá. Nguyễn Quang Duy – IITM 1. Thao tác về Internet Explorer (IE). Tìm nhánh User Configuration/Windows Settings/Internet Explorer Maintenance/Browser User Interface - Browser Tittle: nhấp kép rồi đánh dấu kiểm vào ô "Customize Tittle Bars", gõ vào một cái tên như AAA. Mở IE ở chế độ about:blank sẽ thấy dòng chữ "Microsoft Internet Explorer provided by AAA"! - Custom logo: bạn có thể thay logo của Microsoft ở phía trên góc phải trình duyệt IE bằng logo của riêng mình (chỉ hỗ trợ các file BMP có 16-256 màu và kích cỡ là 22x22 hay 38x38). Hộp "Customize the static logo bitmaps" dành cho hình tĩnh còn hộp "Customize the animated bitmaps" dành cho hình động. Tìm nhánh User Configuration/Administrative Templates/Windows Components/Internet Explorer - Internet Control Panel: có tất cả 7 tùy chọn thiết lập không cho hiện 7 thẻ trong hộp thoại Internet Options như General, Security... Nếu không giấu thẻ General, bạn có thể quay lại folder Internet Explorer để enable phần "Disable changing home page settings" nhằm vô hiệu hóa việc thay đổi trang chủ IE. - Toolbars: enable phần "Configure Toolbar Buttons" sẽ cho tùy chọn hiển thị các nút trên thanh công cụ của IE. Tìm nhánh Computer Configuration/Administrative Templates/Windows Components/Internet Explorer - "Security Zone: Use only machine settings": bắt buộc tất cả các user đều phải chung một mức độ security như nhau. - "Security Zone: Do not allow users to add/delete sites": trong Security Zone có danh sách các site nguy hiểm do người dùng thiết lập, enable tùy chọn này sẽ không cho thay đổi danh sách đó (cách tốt nhất là giấu luôn thẻ Security). - "Disable Periodic Check for Internet Explorer software updates": ngăn không cho IE tự động tìm phiên bản mới của nó. 2. Thao tác về Windows Explorer. Tìm nhánh User Configuration/Administrative Templates/Windows Components/Windows Explorer: - Maximum number of recent document: quy định số lượng các tài liệu đã mở hiển thị trong My Recent Documents. - Do not move deleted files to the Recycle Bin: file bị xóa sẽ không được đưa vào Recycle Bin. - Maximum allowed Recycle Bin size: giới hạn dung lượng của Recycle Bin, tính bằng đơn vị phần trăm dung lượng của ổ đĩa cứng. - Hide the dropdown list of recent files trong folder Common Open File Dialog: không cho hiển thị danh sách recent file trong các hộp thoại Open (như Word, Excel...) 3. Thao tác về Logon. Tìm nhánh Computer Configuration/Administrative Templates/Logon - Always use classic logon: làm hộp thoại Logon/Shutdown của Windows XP có dạng giống Windows 2000. - Run these programs at user logon: tùy chọn này cho phép người dùng lập danh sách các file cần chạy khi đăng nhập vào máy tính, chỉ nên sử dụng cho các file dữ liệu. 4. Thao tác về System Restore. Tìm nhánh Computer Configuration/Administrative Templates/System Restore - Turn off System Restore: tắt System Restore, khi người dùng gọi System Restore thì xuất hiện thông báo "System Restore has been turn off by group policy. To turn on System Restore, contact your domain Administrator". - Turn off Configuration: chỉ có tác dụng khi System Restore được kích hoạt, tính năng này vô hiệu hóa phần thiết lập cấu hình của System Restore. 5. Thao tác về Windows Media Player. Tìm nhánh User Configuration/Administrative Templates/Windows Components/Windows Media Player - Phần "Set and Lock Skin" trong folder User Interface: thiết lập một skin duy nhất cho Windows Media Player. - Phần "Prevent Codec Download" trong folder Playback: ngăn Windows Media Player tự động tải các codec. Hoàng Kim Hoàn Điều khiển đặc quyền tài khoản Administrator Theo Security-olala.vn Tài khoản Administrator có thể làm gì và được phép truy cập những gì? Có hàng trăm, thậm chí hàng nghìn tài khoản Administrator trên mạng ngày nay. Bạn có thể điều khiển các tài khoản để biết chúng có khả năng làm những gì và được phép truy cập những gì? Vì sao lại là điều khiển tài khoản Administrator? Nếu là người quản trị các mạng Windows, có thể bạn đặc biệt quan tâm tới thành phần Active Directory doanh nghiệp. Với tất cả khái niệm bảo mật liên quan như domain controller (bộ điều khiển miền), server (máy chủ), service (dịch vụ), application (ứng dụng) và Internet connectivity (kết nối Internet), chỉ cần bỏ ra thêm chút thời gian bạn sẽ hiểu được cách kiểm soát các Administrator trong doanh nghiệp của mình một cách phù hợp và chính xác nhất. Lý do các tài khoản này cần được kiểm soát thì muôn hình muôn vẻ. Đầu tiên, trên mỗi mạng, dù trung bình hay lớn cũng có thể có hàng nghìn tài khoản Administrator. Khả năng chúng vượt ra ngoài tầm kiểm soát là hoàn toàn có thực. Thứ hai, hầu hết các công ty đều cho phép “người dùng tiêu chuẩn” truy cập tài khoản Administrator cục bộ, có thể dẫn đến nguy cơ rủi ro hay tai nạn nào đó. Thứ ba, tài khoản Administrator nguyên bản ban đầu sẽ buộc phải dùng một cách dè dặt. Vì vậy, giới hạn đặc quyền là một cách thông minh để quản lý hệ thống mạng trong doanh nghiệp. Bạn có bao nhiêu tài khoản Administrator? Để tìm ra câu trả lời cho câu hỏi này, bạn cần tính toán một chút. Chúng ta sẽ bắt đầu với các máy tính để bàn sử dụng Windows với một tài khoản Administrator cục bộ. Đó là Windows NT, 200, XP và Vista. Ngoài ra còn có thể xét đến tất cả máy khách được dùng bởi “admin”, các nhà phát triển, nhân viên và cả trong phạm vi máy chủ hoạt động như một thiết bị ứng dụng hay dịch vụ. Cả một quán Internet công cộng hay các máy tính dùng cho mục đích nghiên cứu, thí nghiệm, trạm làm việc trung tâm hóa, cũng được xét đến trong phạm vi này. Đừng đếm tài khoản người dùng ở đây, vì số thiết bị có thể không khớp với số người dùng. Bây giờ cần xem xét đến số server bạn có (lúc này chưa tính đến các domain controller). Với server, bạn cần quan tâm đến nhiệm vụ cụ thể của nó: lưu trữ dữ liệu, in ấn, ứng dụng, sở hữu dịch vụ, hoạt động như một văn phòng hay mail, fax,… Mỗi thiết bị này đều có một SAM và một tài khoản Administrator cục bộ. Tài khoản này không được dùng thường xuyên, nhưng như thế có khi lại càng cần được điều khiển đặc quyền. Cuối cùng, bạn cần xem đến các domain controller. Trên bộ phận điều khiển miền này (cũng là một kiểu máy chủ) có một tài khoản Administrator quan trọng, là tài khoản điều khiển Active Directory. Ngoài ra còn là domain gốc và đóng vai trò quản trị chính cho doanh nghiệp. Nếu bạn có nhiều hơn một domain, mỗi domain sẽ có một tài khoản Administrator quan trọng này. Tài khoản Administrator tiếp theo chỉ điều khiển điện nguồn ở domain nhưng cũng có tác động rất manh. Giới hạn đặc quyền đăng nhập Bạn không làm được gì nhiều để giới hạn vật lý đặc quyền đăng nhập các tài khoản Administrator. Tuy nhiên không nên để chúng được sử dụng thường xuyên, cơ bản hàng ngày. Cần giới hạn chúng bằng cách hạn chế số người dùng biết mật khẩu. Với tài khoản Administrator liên quan đến Active Directory, tốt hơn hết là không để cho người dùng nào biết toàn bộ mật khẩu. Điều này có thể thực hiện dễ dàng với hai tài khoản Administrator khác nhau, chỉ nhập một phần mật khẩu, và dùng một tài liệu dẫn dắt đến các phần chứa mật khẩu đó. Nếu tài khoản chưa cần phải dùng đến, cả hai phần dữ liệu của mật khẩu có thể được giữ nguyên. Một lựa chọn khác là sử dụng chương trình tự động tạo mật khẩu, có thể tạo ra mật khẩu tổng hợp. Giới hạn khả năng truy cập Administrator cục bộ Cho dù bạn có cho phép người dùng tiêu chuẩn quyền “admin access” (truy cập với vai trò admin) vào máy tính của họ hay không, bạn vẫn cần giới hạn quyền truy cập tài khoản Administrator cục bộ. Có hai cách dễ dàng là thay đổi tên tài khoản Administrator local hoặc thay đổi mật khẩu thường xuyên. Có một nhóm các đối tượng Group Policy Object (GPO) cho từng kiểu thiết lập này. Đầu tiên là vào Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options như trong Hình 1. Phần chính sách bạn muốn cầu hình là Accounts: Rename Administrator Account (thay đổi lại tên tài khoản Administrator). Hình 1: Cấu hình lại để thay đổi tên cho tài khoản Administrator Chính sách thứ hai bạn cần để cấu hình là các thiết lập policy mới sẽ ra mắt vào cuối năm 2007. Chính sách này là một phần trong bộ PolicyMaker, được đặt trong Computer Configuration| Windows Settings| Control Panel| Local Users and Groups như minh họa ở Hình 2. Hình 2: Cấu hình để thiết lập lại mật khẩu cho tài khoản Administrator cục bộ Chú ý: Điều này không ngăn cản được người dùng tiêu chuẩn điều khiển định kỳ tài khoản. Chỉ có một cách thực hiện điều này là loại bỏ họ khỏi quyền admin control trên máy tính. Giảm quyền truy cập mạng Như đã nói ở trên, tài khoản Administrator không nên sử dụng hàng ngày. Do đó, không có lý do gì để cấu hình cho phép tài khoản này truy cập trên toàn bộ mạng. Một cách hay để giới hạn là không cho phép tài khoản Administrator truy cập server và domain controller qua mạng. Bạn có thể thực hiện điều này dễ dàng bằng thiết lập GPO, nằm trong Computer Configuration > Windows Settings > Security Settings > Local Policies > User Rights Assignment như Hình 3. Thiết lập bạn nên cấu hình có tên “ Deny Access to this computer from Network” (Từ chối truy cập mạng trên máy tính này). Hình 3: Cấu hình từ chối quyền truy cập mạng bằng tài khoản Administrator trên máy tính. Các cấu hình khác Nếu bạn là người rất tỉ mỉ trong việc giới hạn quyền truy cập tài khoản Administrator trên mạng của công ty, bạn có thể tham khảo thêm một số chi tiết sau: • Không dùng tài khoản Administrator như là một tài khoản dịch vụ. • Từ chối truy cập Terminal Services trên server hoặc domain controller. • Từ chối khả năng đăng nhập như một dịch vụ trên server và domain controller cho tài khoản Administrator. • Từ chối đăng nhập như một job batch (công việc theo lô) cho tài khoản Administrator. Các thiết lập này sẽ giới hạn phạm vi tác động của tài khoản Administrator trên máy tính hay trên mạng. Chúng không ngăn cản người dùng có đặc quyền admin cấu hình quyền truy cập. Trong trường hợp này bạn cần thiết lập chế độ kiểm soát cả hai kiểu cấu hình của Administrator, cũng như khi tài khoản này được dùng để đăng nhập và sử dụng User Rights. Các cấu hình này được hoàn chỉnh với việc sử dụng GPO. Bạn có thể tìm thấy chúng trong Computer Configuration > Windows Settings > Security Settings > Local Policies > Audit Policy như Hình 4. Hình 4: Thiết lập chính sách kiểm định việc dùng và quản lý tài khoản. Tóm tắt Administrator là tài khoản mạnh nhất, có tác động lớn nhất trong thế giới của hệ điều hành Windows. Nhưng cũng do tác động lớn của nó mà bạn nên giới hạn chỉ dùng khi thực sự cần đến nó. Như trong việc phục hồi nếu gặp sự cố hay cấu hình ban đầu. Để thực hiện hoạt động giới hạn này, bạn cần đến các thiết lập bổ sung kiểm soát quyền sử dụng và truy cập Administrator. Group Policy là cơ chế có tác dụng phân phối các thiết lập hạn chế đặc quyền tới tất cả các máy tính cần giới hạn Administrator. Chỉ cần các thiết lập được tạo một cách phù hợp, tài khoản Administrator sẽ được kiểm soát, không chỉ trong hoạt động mà ngay cả khi muốn theo dõi nếu có kẻ xâm phạm nào đó muốn tấn công mạng của bạn mà không cần tài khoản nào. Quản lý Windows Firewall với Group Policy Windows Firewall là chương trình tường lửa được tích hợp vào Windows XP Service Pack 2 hay Windows 2003 Service Pack 1, giúp người dùng an toàn hơn khi lướt web. Microsoft cũng cung cấp tập tin quản trị system.adm đã cập nhật các thiết lập cho Group Policy cho phép bạn có thể cấu hình tường lửa tốt hơn sử dụng AD (Active Directory) dựa trên GPO (Group Policy Object). Để truy cập vào phần thiết lập cho tường lửa của Windows trong Group Policy, vào Start – Run, gõ gpedit.msc , Enter để hộp thoại Group Policy mở ra. Tiếp theo, vào tiếp theo các nhánh sau: Computer Configuration, Administrative Templates, Network, Network Connections, Windows Firewall. Tại hộp thoại này, bạn có thể cấu hình cho tường lửa của Windows qua 2 thư mục: Domain Profile và Standard Profile. • Domain Profile: thiết lập cho Windows Firewall khi máy tính kết nối đến mạng AD • Standard Profile: thiết lập cho tường lửa khi máy tính không kết nối đến mạng. Những thiết lập này cho phép bạn cấu hình cho những máy đã kết nối mạng hay các máy từ xa. Phần thiết lập của 2 thư mục Domain và Standard cũng hoàn toàn giống nhau, bạn có thể chọn một thiết lập và xem mô tả về nó. Sau đây là một vài tính năng của Windows Firewall hữu ích mà bạn nên kích hoạt: • Windows Firewall: Protect all network connections: thiết lập này buộc tường lửa tắt hay mở cho một định danh • Windows Firewall: Do not allow exceptions: Tùy chọn chỉ thị cho tường lửa từ chối các trường hợp đặc biệt đã được chỉ định. Kích hoạt thiết lập này tương đương với việc chọn “Don’t allow exceptions” (Không cho phép các trường hợp đặc biệt) trên thẻ General trong Windows Firewall Control Panel. • Windows Firewall: Define program exceptions Properties: Thiết lập cho phép bạn tùy chọn chỉ định các chương trình, giúp bạn cấp phép cho các trường hợp đặc biệt “tấm vé” để qua tường lửa. • Windows Firewall: Prohibit notifications: Thiết lập dừng các thông báo của tường lửa khi một chương trình yêu cầu Windows Firewall bổ sung nó vào danh sách các chương trình cho phép. • Windows Firewall: Allow logging: Tùy chọn cho phép bạn cấu hình cấp bậc bản ghi lưu trữ thông tin cho tường lửa, kích cỡ bản ghi, tên và vị trí. Nếu muốn tìm hiểu thêm chi tiết về Windows Firewall có trong Windows XP Service Pack 2 hay Windows 2003 SP1, bạn có thể xem tại đây: http://www.microsoft.com/technet/pro...7af1445d0.mspx

Thiết lập hai server chạy song song - Phần III: Master Operation

PHẦN III: Operation Master Giới thiệu: Mặc dù W2k/W2k3 hỗ trợ Multi Master (các DC hoạt động song song nhau, không phân biệt chính/phụ ). Tuy nhiên vẫn còn một số chức năng hoạt động ở chế độ Single Master, cụ thể là: 1. Schema Master: Quản lý schema, mỗi forest có 1 cái 2. Domain Naming: Quản lý danh sách các domain, mỗi forest có 1 cái 3. PDC: Giả lập server NT để chứng thực cho các WS đồi cũ (win9x), mỗi domain có 1 cái 4. RID: cấp số ID cho user, mỗi domain có 1 cái 5. Infrastructer: Quản lý danh sách user ở domain khác tham dự vào các nhóm của domain hiện tại., mỗi domain có 1 cái Mặc định các chức năng do DC1 nắm giữ. Khi DC1 chết thì những thao tác liên quan đến 5 chức năng này sẽ không thực hiện được. Khi DC1 "chết bất đắc kỳ tử", ta cần "cưỡng chế" DC2 giữ 5 chức năng này. Bài viết sẽ hướng dẫn chi tiết các bước thực hiện việc "cưỡng chế" Bài viết này gồm 3 bước: 1. Giả sử master DC bị chết (DC1 bị "die" bất đắc) 2. Từ Addition DC (DC2) ra CMD gõ các lệnh để cưỡng chế 5 chức năng single master của DC1 sang DC2 3. Sau khi thành công, DC2 tạo user và client join domain bằng user mới tạo thành công. Thực hiện 1./ giả sử DC1 bị die (shutdown DC1) 2./ từ DC2, vào cmd gõ các lệnh để cưỡng chế 5 chức năng single master của DC1 sang DC2 Trình tự các lệnh như sau: (Copy từ màn hình DOS ra) -------------------------------------------------------- Microsoft Windows [Version 5.2.3790] (C) Copyright 1985-2003 Microsoft Corp. C:\>ntdsutil 'Lệnh đầu tiên trong wá trình Operation Master ntdsutil: ? 'Các lệnh trong 'ntdsutil' ? - Show this help information Authoritative restore - Authoritatively restore the DIT database Configurable Settings - Manage configurable settings Domain management - Prepare for new domain creation Files - Manage NTDS database files Group Membership Evaluation - Evaluate SIDs in token for a given user or group Help - Show this help information LDAP policies - Manage LDAP protocol policies Metadata cleanup - Clean up objects of decommissioned servers Popups %s - (en/dis)able popups with "on" or "off" Quit - Quit the utility Roles - Manage NTDS role owner tokens Security account management - Manage Security Account Database - Duplicate SID Cleanup Semantic database analysis - Semantic Checker Set DSRM Password - Reset directory service restore mode administrator account password ntdsutil: Roles 'Lệnh thứ 2 trong wá trình Operation Master fsmo maintenance: ? 'Các lệnhh trong 'Roles' ? - Show this help information Connections - Connect to a specific domain controller Help - Show this help information Quit - Return to the prior menu Seize domain naming master - Overwrite domain role on connected server Seize infrastructure master - Overwrite infrastructure role on connected server Seize PDC - Overwrite PDC role on connected server Seize RID master - Overwrite RID role on connected server Seize schema master - Overwrite schema role on connected server Select operation target - Select sites, servers, domains, roles and naming contexts Transfer domain naming master - Make connected server the domain naming master Transfer infrastructure master - Make connected server the infrastructure master Transfer PDC - Make connected server the PDC Transfer RID master - Make connected server the RID master Transfer schema master - Make connected server the schema master fsmo maintenance: connections 'Lệnh thứ 3 trong quá trình Operation Master server connections: ? 'Các lệnh trong 'connections' ? - Show this help information Clear creds - Clear prior connection credentials Connect to domain %s - Connect to DNS domain name Connect to server %s - Connect to server, DNS name or IP address Help - Show this help information Info - Show connection information Quit - Return to the prior menu Set creds %s %s %s - Set connection creds as domain, user, pwd. Use "NULL" for null password, * to enter password from the console. server connections: connect to server ser.anthaifood.com 'Lệnh thứ 4 trong wá trình Operation Master Binding to ser.anthaifood.com ... Connected to ser.anthaifood.com using credentials of locally logged on user. server connections: quit 'Lệnh thứ 5 trong wá trình Operation Master fsmo maintenance: seize schema master 'Lệnh thứ 6 trong wá trình Operation Master Attempting safe transfer of schema FSMO before seizure. ldap_modify_sW error 0x34(52 (Unavailable). Ldap extended error message is 000020AF: SvcErr: DSID-0321032A, problem 5002 (UNAVAILABLE), data 1722 (Xuất hiện thông báo, chọn "YES") Win32 error returned is 0x20af(The requested FSMO operation failed. The current FSMO holder could not be contacted.)) Depending on the error code this may indicate a connection, ldap, or role transfer error. Transfer of schema FSMO failed, proceeding with seizure ... Server "ser.anthaifood.com" knows about 5 roles Schema - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Domain - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m PDC - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m RID - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Infrastructure - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m fsmo maintenance: seize domain naming master 'Lệnh thứ 7 trong wá trình Operation Master Attempting safe transfer of domain naming FSMO before seizure. ldap_modify_sW error 0x34(52 (Unavailable). Ldap extended error message is 000020AF: SvcErr: DSID-0321032A, problem 5002 (UNAVAILABLE), data 1722 (Xuất hiện thông báo, chọn "YES") Win32 error returned is 0x20af(The requested FSMO operation failed. The current FSMO holder could not be contacted.)) Depending on the error code this may indicate a connection,ldap, or role transfer error. Transfer of domain naming FSMO failed, proceeding with seizure ... Server "ser.anthaifood.com" knows about 5 roles Schema - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Domain - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m PDC - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m RID - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Infrastructure - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m fsmo maintenance: seize RID master 'Lệnh thứ 8 trong wá trình Operation Master (chữ RID viết hoa) Attempting safe transfer of RID FSMO before seizure. ldap_modify_sW error 0x34(52 (Unavailable). Ldap extended error message is 000020AF: SvcErr: DSID-03210922, problem 5002 (UNAVAILABLE), data 1722 (Xuất hiện thông báo, chọn "YES") Win32 error returned is 0x20af(The requested FSMO operation failed. The currentFSMO holder could not be contacted.)) Depending on the error code this may indicate a connection,ldap, or role transfer error. Transfer of RID FSMO failed, proceeding with seizure ... Searching for highest rid pool in domain Server "ser.anthaifood.com" knows about 5 roles Schema - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Domain - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m PDC - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m RID - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Infrastructure - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m fsmo maintenance: seize PDC 'Lệnh thứ 9 trong wá trình Operation Master (chữ PDC viết hoa) Attempting safe transfer of PDC FSMO before seizure. ldap_modify_sW error 0x34(52 (Unavailable). Ldap extended error message is 000020AF: SvcErr: DSID-03210511, problem 5002 (UNAVAILABLE), data 1722 (Xuất hiện thông báo, chọn "YES") Win32 error returned is 0x20af(The requested FSMO operation failed. The current FSMO holder could not be contacted.)) Depending on the error code this may indicate a connection, ldap, or role transfer error. Transfer of PDC FSMO failed, proceeding with seizure ... Server "ser.anthaifood.com" knows about 5 roles Schema - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Domain - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m PDC - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m RID - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Infrastructure - CN=NTDS Settings,CN=SERVER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m fsmo maintenance: seize infrastructure master 'Lệnh thứ 10 trong wá trình Operation Master Attempting safe transfer of infrastructure FSMO before seizure. ldap_modify_sW error 0x34(52 (Unavailable). Ldap extended error message is 000020AF: SvcErr: DSID-0321032A, problem 5002 (UNAVAILABLE), data 1722 (Xuất hiện thông báo, chọn "YES") Win32 error returned is 0x20af(The requested FSMO operation failed. The current FSMO holder could not be contacted.)) Depending on the error code this may indicate a connection, ldap, or role transfer error. Transfer of infrastructure FSMO failed, proceeding with seizure ... Server "ser.anthaifood.com" knows about 5 roles Schema - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Domain - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m PDC - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m RID - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m Infrastructure - CN=NTDS Settings,CN=SER,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=anthaifood,DC=co m fsmo maintenance: quit 'Lệnh thứ 11 trong wá trình Operation Master ntdsutil: quit 'Lệnh thứ 12 trong wá trình Operation Master Disconnecting from ser.anthaifood.com... C:\> -------------------------------------------------------- 3./ Bây giờ ta thử bằng cách từ máy DC 2 (vừa được lên master) ta tạo user và từ máy client có thể join vào domain bằng user mới được tạo.

Thiết lập server chạy song song - Phần I

- Bước 1 : Dựng Domain Controller cho Server1 - Bước 2 : Dùng Server2 join Domain vào Server1 và dựng Domain Controller cho máy Server2 - Bước 3 : Đồng bộ 2 server, bật Gobal Catalog - Bước 4 : Join domain cho máy client - Bước 5 : Tắt chế độ cache logon và test thử bằng cách tắt 1 trong 2 Domain Controller. Máy Server 1: Nâng cấp lên domain controller Đặt IP tĩnh cho DC theo các tham số sau: IP: 192.168.1.10 NetMask: 255.255.255.0 Preferred DNS Server: 192.168.1.10 (Dạo này do mạng chậm và truy cập vào 4rum rất khó khăn, nên bước này không post hình với lại bước này cũng dễ và là rất cơ bản, chắc bạn nào cũng biết.) • Vào Start -> Run -> Chạy chương trình DCPROMO để nâng cấp lên lên Domain Controller • Cửa sổ "Active Directory Installation Wizard" , nhấn Next • Domain Controller Type, chọn Domain controller for a new domain và click next • Ở khung Ceate New Domain, chọn Domain in a new forest • Khung New Domain Name, điền vào domains của bạn (vd: abc.com, tencongty.com.vn...) • NetBIOS Domain Name, để nguyên giá trị mặc định • Chọn giá trị mặc định cho các thư mục chứa cấu hình hệ thống • DNS Registration Diagnostics, chọn Install and configure the DNS server on this computer, and set this computer to use this DNS server as its preferrend DNS server • Permissions, chọn Permissions compatible only with Windows 2000 or Windows Server 2003 operating systems .... • Dicrectory Services Restore Mode Administrator Password, điền password nếu bạn cần. • Chọn Finish để kết thúc quá trình cài đặt và reboot lại. Sau khi reboot lại thì tạo user tên “u1” , password: 123 (???) 2/ Máy Server 2: Join vào domain và nâng cấp lên domain controller. A/ Join domain : Đặt IP tĩnh cho server2 theo các tham số sau: IP: 192.168.1.20 NetMask: 255.255.255.0 Preferred DNS Server: 192.168.1.10 Click nút phải chuột trên My Computer / Properties / Computer Name / Change Điền tên domain “anthaifood.com” vào ô domain (tên miền mình làm thí nghiệm là anthaifood.com) Sau khi OK, sẽ hiện lên 1 của sổ ta điền user để join domains, bạn điền user: administrator (user của máy server1) OK, reboot lại máy server 2 B/ Dựng Domain Controller Sau khi rebot lại máy Server2, vào Start -> Run -> Chạy chương trình DCPROMO để nâng cấp lên lên Domain Controller. (???) Cửa sổ "Active Directory Installation Wizard" , nhấn Next Tại cửa sổ "Domain Controller Type" chọn dòng Additional domain controller for an existing domain. Network Credentials: Nhập username & password administrator của máy server1 Để mặc định tại các cửa sổ này Dicrectory Services Restore Mode Administrator Password, điền password nếu cần (là password cần khi chúng ta restore hệ thống Domain Controller) Đến cửa sổ này thì đợi một tí. Đến đây thì đã thành công, chọn Finish để kết thúc quá trình cài đặt và reboot lại. C/ Dựng DNS : Đặt lại IP cho server2 theo các tham số sau: IP: 192.168.1.20 NetMask: 255.255.255.0 Preferred DNS Server: 192.168.1.20 Vào Control Panel -> Windows Components, chọn Details Ở phần Networking Services chọn Domain Name System (DNS) và nhấn OK, nhấn tiếp Next để cài đặt. 3/ Đồng bộ 2 server và join domains cho client A/ Server1: Start -> Program File -> Administrator Tool -> Active Directory Site and Services Trong cữa sổ Active Directory Site and Services chọn Sites -> Defaut-Fist-Site-Name -> Servers thì sẽ thấy 2 server, vào properties từng NTDS Settings của mỗi server và check vào Gobal Catalog. Trỏ Alternate DNS Server1 về Server2 (192.168.1.20) B/ Server 2: Trỏ Alternate DNS Server2 về Server1 (192.168.1.10) Reboot Server1 & Server2 4/ Máy Client: Đặt IP tĩnh cho máy Client theo các tham số sau: IP: 192.168.1.2 NetMask: 255.255.255.0 Preferred DNS Server: 192.168.1.10 Alternate DNS Server : 192.168.1.20 Click nút phải chuột trên My Computer / Properties / Computer Name / Change Điền tên domain “anthaifood.com” vào ô domain, khi hỏi username và password thì điền vào tài khoản quản trị của Domain Controller (DC) Reboot lại Client Sau khi reboot lại đăng nhập bằng tài khoản sau: user: u1 / password : 123 5/ thử nghiệm: Tắt đi 1 trong 2 server mà máy client vẫn login vào được DC, tạo thêm u2,u3 ... để thử nghiệm. Ghi chú: tắt chế độ cache logon trong local plicy (interactive logon) test mới chính xác (???)

Chương 9: Cấu hình SSL cho HomeServer chạy Domain thật

Chương 9: Cấu hình SSL cho HomeServer chạy Domain thật.

.:: Áp dụng cho homeserver hoặc chỉ đơn giản cho localhost chạy Port 443 ::.

Cấu hình SSL để bảo mật dữ liệu truyền, demo hình:

Lưu Ý Quan Trọng: Đối với gói Appserv, thì Apache2.2 trong các phiên bản đều không hỗ trợ mod SSL. Vì thế, những webmaster đang sử dụng gói Appserv làm webserver mà muốn cấu hình SSL thì trước tiên phải làm như sau:

1. Sau khi cài đặt Appserv xong, thì tải tiếp bản Apache rời có hỗ trợ SSL về (link down tại đây), và lấy toàn bộ Source của nó thay thế cho thư mục Apache cũ của Appserv (nhớ chừa file conf.http của Appserv ra, chút chép chồng lại)

2. Chỉ chép chồng file conf.http từ Appserv sang Apache mới, còn lại các file khác trong thư mục Extra của Apache phải edit link (vd: C:\program files\Apache… -> C:\Appserv\…)

3. File mod_ssl.so phải là của Apache mới.

Giờ ta tiến hành theo các bước sau:

1. Vào http://www.neilstuff.com/apache/apache2-ssl-windows.htm để tải gói openssl về, hoặc coi hướng dẫn dưới đây để làm luôn. Hoặc có thể tải gói này ở đây:

http://files.myopera.com/vnitweb/server/SSL.rar

2. Bung nén vào chép vào nơi nào bạn muốn. Tốt nhất chép cùng thư mục webserver cho tiện.

Mở Run -> CMD Và CD vào thư mục chứa OpenSSL.

Qui ước lệnh: Màu hồng thay đổi được - Màu xanh không được thay đổi.

– Và chạy lệnh thứ nhất: openssl req -config openssl.cnf -new -out vnitweb.csr -keyout vnitweb.pem

Xem hình:

Hình trên, chỗ khai báo pass lần đầu là theo kiểu Linux, nghĩa là bạn gõ nhưng sẽ không nhìn thấy ký tự gì xuất hiện, gõ xong Enter và nhập pass 1 lần nữa.Điền các thông tin cá nhân mà bạn muốn thể hiện trong Tab Issuse sau này trong CA.

PEM Pass: tối thiểu là 4 kí tự

– Tiếp theo ta chạy lệnh thứ 2:

openssl rsa -in vnitweb.pem -out vnitweb.key

Xong bước này, đã xuất ra key, chúng ta xóa file .rnd trong thư mục OpenSSL để tránh bị Hack. Vì sao thì chúng ta sẽ tìm hiểu sau.

– Tiếp theo chạy lệnh thứ 3:openssl x509 -in vnitweb.csr -out vnitweb.crt -req -signkey vnitweb.key -days 3650

Vậy là xong phần xin cấp CA. Tiếp theo mở file httpd.conf và tìm dòng này:

#LoadModule ssl_module modules/mod_ssl.so

Xóa dấu # đi

LoadModule ssl_module modules/mod_ssl.so

Tiếp theo Copy và Paste các file vnitweb.key, vnitweb.crt vào chỗ cần thiết rồi thiết lập đường dẫn trong file httpd-ssl.conf (Nếu sài XAMPP thì đường dẫn là \apache\conf\extra)

Đây là link file CA mà tôi đã tạo, ai thích sài chung thì sài.

Link down: http://files.myopera.com/vnitweb/server/vnitweb.rar

VD: thay đổi dòng này trong httpd-ssl.conf

# Server Private Key:

….

SSLCertificateKeyFile “C:/VNITWEB/AppServ/Apache2.2/conf/vnitweb.key”

và

# Server Certificate: …

SSLCertificateFile “C:/VNITWEB/AppServ/Apache2.2/conf/vnitweb.crt”

Reset Apache -> Xong

Demo: https://thanhle003.co.uk

Hết chương 9 - Cấu hình SSL

Chương 8: Cấu hình ALIAS cho Subdomain thật

Chương 8: Cấu hình ALIAS cho Subdomain thật

Ví dụ: Chúng ta có domain thật, và muốn rằng subdomain thật sẽ trỏ về một thư mục trên máy tính của mình

VD: Domain http://vinawarex.com -> C:\Shop nhưng ta muốn rằng http://forum.vinawarex.com ->G:\forum.

Cấu hình như sau:

Đăng nhập vào http://www.everydns.net bằng tài khoản của mình, và tạo một subdomain. Xem hình:

Tiếp theo ta cấu hình file httpd-vhosts.conf.

Thêm dòng mẫu này cho SubDomain:

NameVirtualHost *:80

ServerName forum.vinawarex.com

ServerName www.forum.vinawarex.com

DocumentRoot G:/ forum

AllowOverride All

Options Indexes IncludesNOEXEC FollowSymLinks

allow from all

Chương 7: Cấu hình ALIAS cho nhiều Domain thật

Chương 7: Cấu hình ALIAS cho nhiều Domain thật

Ví dụ: Chúng ta có rất nhiều domain thật, và muốn rằng mỗi domain thật sẽ trỏ về một thư mục khác nhau trên máy tính của mình.

VD: http://webservicevn.com -> D:\WSW;

http://thanhle003.co.uk -> H:\Music\Data;

http://vinawarex.com -> C:\Shop;

http://nickquang.com -> D:\medianick;

http://chanhqua.vn -> G:\Shop;

Chúng ta cấu hình sau:

1. Mở tập tin httpd.conf tìm dòng:

# Virtual hosts

# Include conf/extra/httpd-vhosts.conf

Bỏ dấu # trước dòng thứ 2, nó sẽ ra như vậy:

# Virtual hosts

Include conf/extra/httpd-vhosts.conf

Tiếp theo ta vào thư mục Extra và mở file httpd-vhosts.conf. Và Edit theo ví dụ là mẫu sau: (có thể xóa sạch nội dung cũ cho dễ nhìn)

NameVirtualHost *:80

ServerName localhost

ServerAlias localhost

DocumentRoot F:/Webserver

AllowOverride All

Options Indexes IncludesNOEXEC FollowSymLinks

allow from all

——————————— Ví dụ khác ———————————-

ServerName vnitweb.com

ServerAlias www.vnitweb.com

DocumentRoot D:/WSW

AllowOverride All

Options Indexes IncludesNOEXEC FollowSymLinks

allow from all

Tương tự cho các Domain khác ta cũng cấu hình như vậy.

Chương 6: Cấu hình ALIAS cho liên kết thư mục

.:: Mục đích của việc làm Alias là làm ẩn danh thư mục ::.

VD: Thư mục webroot là D:\webserver.

Vì vậy nếu chạy http://localhost thì tất nhiên, website thể hiện, chính là những nội dung trong thư mục webroot. Nhưng nếu bạn muốn rằng http://localhost/mms (thư mục mms không tồn tại trong Wenroot) sẽ chỉ tới một thư mục khác ngoài webroot ví dụ như C:\demo chẳng hạn.

Thì lúc đó chúng ta sẽ làm Alias như sau:

Mở file httpd.conf thêm:

alias /mms D:/1

Options Indexes FollowSymLinks MultiViews ExecCGI

AllowOverride All

Order allow,deny

Allow from all

Nghĩa là từ bây giờ, khi gõ http://localhost/mms thì ta sẽ thấy xuất hiện một website có nội dung. Nhưng thực thế thì thư mục mms không tồn tại trong webroot mà chỉ là một định danh để chỉ về thư mục D:\1

Chương 5: Bảo mật Webserver từ hệ điều hành hỗ trợ

Chương 5: Bảo mật Webserver từ hệ điều hành hỗ trợ

.:: Sử dụng hệ điều hành Windows để cấu hình bảo mật Apache ::.

1. Vào Control Panel tạo 1 limited account vd là ’sibachao’, set pass. Mặc định account này sẽ nằm chung trong group “Users“.

2. Start > Run > cmd C:\WINDOWS\system32>net localgroup users sibachao /del >> remove ’sibachao’ ra khỏi group Users, mục đích là để mình có thể apply ACL (Access Control List) cho sibachao mà ko ảnh hưởng tới các users khác.

Bi giờ config lại Apache service run dưới quyền sibachao: Start > Run > services.msc Chọn Apache service property, chọn tab ‘Log On‘ set service logon as sibachao, enter passwd > OK. Stop Apache service lại.

OK, tui dùng winsp sp2, apache bundle là xampp mặc định sẽ cài vào C:\Program Files\xampp, htdocs là xampp\htdocs, apache path là xampp\apache\bin\apache.exe. Mấy bundle khác bạn dùng thì thay path tương tự.

Bi giờ để change ACLs trong win có 2 cách: - GUI: right click 1 folder, chọn property, nếu có tab ‘Security’ thì nó cho phép config ACL, nếu ko có thì vào Explorer > Tools > Folder Options, scroll xuống dưới uncheck cái box Simple File Sharing sẽ hiện đc tab Security trong win. - cmd line: cacls.exe có sẵn là 1 program để view/change ACLs. Start > Run > cmd.

Nói thêm ở đây là do mình đã remove ’sibachao’ ra khỏi group Users nên nó ko còn inherite (kế thừa) perm (quyền) từ Users nữa.

Kể từ bước dưới đây, LUÔN LUÔN thêm switch /E vào để edit ACL có sẵn thay vì replace nó, nếu ko là reinstall win.

C:\>cacls . /C /T /E /R sibachao

>> revoke quyền của sibachao trên toàn C:\ và subfiles, subfolders, cái này ko cần thiết nhưng just 2 make sure

C:\>cacls “C:\Program Files\xampp\” /C /T /E /P sibachao:R >> ‘R’ access to xampp path, để apache có thể read perl, php nhưng ko cho phép change, vd change php.ini file(Read trong win = view + execute binary file” )

C:\>cacls “C:\Program Files\xampp\apache\bin” /C /T /E /P sibachao:R >> set ‘R’ access cho apache bin files để start service

Ai hơn nữa có thể set Read only access to .conf file C:\cacls “C:\Program Files\xampp\apache\conf” /C /T /E /P sibachao:R

C:\>cacls “C:\Program Files\xampp\htdocs” /C /T /E /P sibachao:F >>set full permission cho webroot

C:\cacls C:\WINDOWS /E /D sibachao >> deny access của user ’sibachao’ tới winroot

C:\>cacls C:\windows\system32\*.exe /C /E /D sibachao >> deny access tới system tools

C:\cacls . /C /E /D sibachao deny access tới C:\ và các file ở root drive.

Tới đây là cũng 70% script-kid drop rùi. Ai muốn config thêm gì thì config

1 số thứ về cacls và permission: R: R trong win là Generic_read, nghĩa là read, list folder content và execute binary files nhưng ko đc ghi W: ghi N: no access F: full access, read write, browse, change, create ….

Deny > Allow nên trước hết set Allow priv trước, Deny sau.

VD ở trên, nếu ai đó allow full access tới \apache trước, read-only access tới .conf file sau thì quyền ‘not allowed to write’ ở file .conf sẽ có precedence > quyền full allow tới .conf file đc inherit từ parent folder là \apache.

Ai muốn làm home hosting thì viết batch script dùng cacls apply permision vào user folder, add batch script thành logon script cho mỗi user.

apache service user

không cho ping hoặc execute \system32 binary files:

không cho change file trong xampp root

không cho change file bất kỳ

Không cho browser c:\windows và subfolders

Chương 4: Cài đặt Server theo IIS - PHP5

Chương 4: Cài đặt Server theo IIS - PHP5

IIS (Internet Information Services) 1 trong những webserver phổ biến trên thế giới. Bộ IIS có sẳn trong bộ cài đặt của window.

Cài đặt :

Chon Start-> Settings-> Control Panel -> Add or Remove Programs. Chọn mục Add /Remove Windows Componets.

Chọn tiếp Internet Information Services (IIS). Theo mặc định sẽ cài thêm SMTP Service (server mail) Thế nhưng SMTP Service không tiện dụng và thiếu nhiều chức năng nên ta sẽ không dùng nó .Nếu bạn cần 1 server mail bạn có thể dùng hMailServer (free). Để bỏ bạn chọn Details.. và bỏ dấu check ở mục SMTP Service.

Sau khi chọn xong bạn nhấn ok và next . Sau khi cài xong , mở IE ra gõ và localhost .Nếu quá trình cài thành công sẽ hiện ra cửa sổ chào mừng và giới thiệu chức năng của IIS.

Cấu hình:

Bạn vào Start-> Settings-> Control Panel -> Administrative Tools chọn Internet Information Services.

Tiếp mở tên máy của bạn (local computer) -> web sites-> default web site.

Nhấp chuột phải chọn Properties .Đây là phần cấu hình chính của IIS.

Chọn tab Home Directory

Mục local Path là đường dẫn tới nơi chứa các code của bạn . Nếu bạn thường xuyên cài lại máy và để bảo đảm an toàn của code thì bạn có thể chọn 1 nơi khác. Vd là D:\webserver\www.

Các tùy chọn bạn nên chọn

Read : Cho phép đọc file

Write : Cho phép ghi

Directory Browsing : cho phép xem cấu trúc thư mục

Tiếp theo ta sẽ cấu hình cho IIS nhận php. Cũng như apache ta cũng có 2 cách cài cho php là Cgi và ISAPI module .Ta sẽ cấu hình nó dạng ISAPI module .

Ở tab Home Directory . Chọn Configuration .. Chọn Add

Mục Executable Chọn browse -> chỉ dến thư mục php5.

Vd D:\Appserv\php5. Mục Files of Type bạn chọn Dynamic Link Libraries (*.dll) và chọn tập php5isapi.dll

Mục Extension gõ vào .php

Chọn ok .

Chọn Tab Documents. Chọn add.. Gõ vào index.php. Bạn có thể bổ sung thêm index.html .Đây là những tập tin sẽ load mặc định. Cuối cùng bạn chon Ok .

Vào Thư mục php5 bạn tìm file php.ini-recommended và thực hiên:

• Đổi tên thành php.ini và chép vào thư mục C:\WINDOWS\

Dùng trình soạn thảo văn bản thuần túy như NotePad hay EditPlus để mở file này.

• Tìm đến dòng extension_dir = “./” thay vào bằng extension_dir = “D:\webserver\php5\ext\”

Bỏ dấu ; ở đầu các thư viện mình dùng .Đây là 1 số thư viện cần thiết.

• extension=php_gd2.dll ( dùng cho đồ họa)
• extension=php_mysql.dll ( dùng kết nối vớ mysql)

extension=php_mysqli.dll (cũng là kết nối với mysql nhưng đây là bản nâng cấp giúp tối ưu hóa việc truy cập )

Hướng dẫn cài IIS bằng hình ảnh:

1. Hướng dẫn cài đặt webserver IIS

Sau khi đã hoàn thành việc cài đặt IIS, vào Control panel, Administrative tool, khởi động Interner Services Manager:

1. Click chuột phải vào tên máy chủ (gốc của cây được đánh dấu bởi dấu hoa thị), chọn New, Website, cửa sổ Website Creation Wizard hiện ra, chọn Next.

2. Đánh vào phần mô tả của Website của bạn và chọn Next (Ví dụ: dyndns)

3. Trong trường IP address chọn All Unssigned.

4. Trong trường port chọn port 80 hoặc port khác nếu bạn sử dụng port thay thế (hoặc nếu ISP của bạn khóa port 80).

5. Trong trường Header gõ vào tên miền (ví dụ: dyndns.vnnic.net.vn) và chọn Next.

6. Chọn vào Browser và trỏ tới thư mục nơi lưu trữ các file của Website cho tên miền (domain) trên (ví dụ: C:\Document and Setting\Administrator\Mydocument\Website\Dyndns). Đảm bảo chắc chắn rằng hộp thoại “Allow anonymous access to website” đã được chọn nếu bạn muốn tất cả người dùng đều nhìn thấy website của bạn. Chọn Next

7. Có thể cấu hình thêm một số tuỳ chọn khác tuỳ theo yêu cầu của bạn

8. Chọn Finish để kết thúc quá trình thiết lập Website

Bạn có thể lặp lại các bước này để thiết lập các Website khác.

Bây giờ tên Website đã xuất hiện trong danh sách server.

- Để kiểm tra xem click chuột phải lên tên Website và chọn vào Browse hoặc bật cửa sổ Internet Explore (IE) lên và đánh tên miền của bạn vào trường URL (ví dụ: dyndns.vnitweb.com)

Bạn có thể lặp lại chu trình trên để thiết lập nhiều Website mà bạn muốn bằng IIS.

Cấu hình và sửa lỗi cho các Website:

Nếu bạn không nhìn thấy Website của mình hoặc chỉ nhìn thấy cửa sổ login bạn sẽ phải cấu hình lại cho chính xác quyền truy cập vào Website của mình hoặc file index mà bạn sẽ dùng cho Website của bạn.

1. Click chuột phải vào tên Website nằm trong danh sách server mà bạn mới thiết lập và chọn Property từ menu đó.

2. Chọn vào tad Directory Security và chọn vào mục Edit “Anonymous Access …”.3. Đảm bảo chắc chắn rằng Anonymous Access property được chọn và click chuột vào nút Edit.

4. Xem xét xem tài khoản của người sử dụng có được quyền truy cập vào máy tính hay thư mục Website của bạn không.

Để chắc chắn bạn có vấn đề về quyền truy nhập, hãy thử sử dụng tài khoản Administrator ở đây.

Sau khi đã giải quyết vấn đề về quyền truy nhập nhưng bạn vẫn nhận được thông báo “Directory Listing Denied”, chắc chắn bạn đã trỏ Website của bạn tới file index không phù hợp với file index được phép hoặc đã đăng ký cho Website của bạn.

1. Click chuột phải vào tên Website nằm trong danh sách server của bạn mà bạn mới thiết lập và chọn Property từ menu đó.

2. Click vào Document tab

3. Click Add và đánh vào tên file index của bạn rồi ấn OK (ví dụ: Website dyndns ở trên có file index dạng index.htm).

4. Ấn tiếp OK để kết thúc.

Bây giờ thử mở Browse và gõ vào trường URL tên miền của bạn, nếu cấu hình chính xác Website sẽ chạy.

Lặp lại chu trình trên để cấu hình cho tất cả các Website sử dụng IIS.

Chương 3: Cài đặt Webserver theo Apache, MySQL, PHPMyAdmin

Chương 3: Cài đặt Webserver theo Apache, MySQL, PHPMyAdmin

.:: Một số so sánh về apache và IIS ::.

Có thể bạn hỏi có 2 server như thế biết chọn cái nào đây? Sau đây là 1 số nhận xét của cá nhân tôi, hi vọng giúp ích cho bạn.

Với Apache:

* Ưu :

o Khá nhẹ bản apache_2.0.55-win32-x86-no_ssl.msi chỉ có 4,3Mb .

o Mã nguồn mở nên hoàn toàn free

o 60% máy chủ trên thề giới dùng apache

o Chạy với php khá nhanh (so với IIS)

o Chạy ổn định

* Khuyết

o Bạn phải tải về từ apache.org

o Cấu hình chủ yếu trên dòng lệnh và file text

o Chưa hổ trợ asp và asp.net ( thật ra có nhưng cách cấu hình khá phức tạp)

Với IIS:

* Ưu:

· Có sẳn trong dĩa cài của Window

· Cầu hình trên đồ họa và Wizard

· Hổ trợ Asp, Asp.net (mặc định )

* Khuyết

· So với apache chạy php khá chậm ( dù cài ở ISAPI module)

· Không phổ biến bằng apache

· Đôi khi không ổn định ( nếu dùng bản 6.0 trên xp còn bản 7.0 trên Window server 2003 khá ổn định)

Tóm lại: Nếu bạn dùng php, perl, cgi-bin thì apache là 1 sự lựa chọn tốt. Còn bạn muốn dùng thêm asp hay asp.net thì IIS tốt hơn apache.

Chương 2: Thiết Lập HomeServer (Phần Nội Mạng)

Chương 2: Thiết Lập HomeServer - Phần Nội Mạng

Muốn làm 1 websever thì điều trước tiên cần làm là mình phải kiểm tra cái Router của mình nó thuộc hiệu nào, sau đó Port forwarding cái port của nó , sau đây chúng tôi sẽ nêu ra 1 số loại router và cách Port forwarding để tham khảo thêm

Trước khi Port forwarding port , ta cũng nên tìm hiểu Port và forwarding

A : Port

Các ứng dụng chạy trên giao thức TCP/IP mở các kết nối tới các máy tính khác sử dụng các port. Port cho phép nhiều ứng dụng tồn tại trên máy tính đơn - tất cả giao tiếp với nhau qua giao thức TCP/IP. Các port là một tập hợp các con số , đứng sau địa chỉ IP. Các ứng dụng thường ẩn các port này để giảm tính phức tạp của giao thức TCP/IP.

Ví dụ: Dịch vụ HTTP tồn tại trên port mặc định là port 80. Để tìm kiếm website, ta gõ vào browser http://www.webservicevn.com:80. Port 80 là port mặc định cho giao thức HTTP vì thế có thể không cần thiết phải gõ vào. Có tất cả 65535 port sẵn có. B : Port Forwarding

Các router hoặc các ứng dụng NAT khác (chẳng hạn như ICS) tạo ra firewall giữa mạng trong của bạn và mạng internet. Một firewall sẽ giữ lại lưu lượng không mong muốn từ mạng internet vào mạng LAN của bạn.

Một đường hầm (tunnel) có thể được tạo ra xuyên qua firewall của bạn vì thế các máy tính trong mạng Internet có thể giao tiếp với một trong những máy tính trong mạng LAN của bạn thông qua một port đơn.

Điều này rất thuận tiện cho việc chạy Web server, game server, ftp server, thậm chí cả video conferencing. Việc tạo ra tunnel này được gọi là Port Forwarding. Một số máy tính của bạn sẽ chạy web server (port 80) trong khi các máy tính khác có thể chạy ftp server (port 23) trên cùng một địa chỉ IP. Port forwarding có thể khó cấu hình nhưng nó cung cấp một phương pháp an toàn để chạy máy chủ trong firewall. Tóm lại port forwarding cho phép bạn chạy nhiều loại máy chủ trên các máy tính khác nhau trong mạng LAN.

Tuỳ theo loại Router của mỗi người mà có cấu hình cho thích hợp. Như Router của tác giả là ZyXEL 350W. Chúng ta cấu hình như minh họa:

Với VD trên thì IP: 192.168.1.2 là IP của máy cấu hình làm Webserver.

Với User và Pass là tài khoản tại http://www.dyndns.org

Và sau đây là một vài cấu hình Router khác:

Các loại Router user và pass mặc định Sở dĩ ở đây chúng tôi đưa ra các loại router và pass mặc định của nó, là vì các bạn sẽ gặp khó khăn trong vấn để user và pass của router,

SpeedTouch

Bạn mở trình duyệt IE lên và gỏ vào địa chỉ IP của router này là : http://10.0.0.138 (loại router này thì không cần user và pass)

Sau khi kết nối vào router này, nhìn góc bên trái của màn hình có chữ Advanced Click vào chữ này, bạn sẽ thấy hiện ra 1 khung nữa.

Click tiếp vào NAPT bây giờ thì Click vào NEW chọn giao thức cho port mà bạn muốn chuyển tiếp sử dụng thanh Protocol ( theo chúng tôi thì chọn TCP ) trong hộp thoại Inside port gõ vào port mà bạn cần chuyển đến. Trong hộp thoại Inside IP bạn gõ vào cái địa chỉ IP mà cái máy bạn muốn làm websever

Muốn kiểm tra địa chỉ IP của máy mình các bạn vào star==>run===>cmd gõ lệnh ipconfig dòng :

IP Adress: là địa chỉ IP máy bạn đang ngồi

Defautle Gateway: là địa chỉ của router

Còn trong hộp thoại outside IP thì bạn nên để mặc đinh cho nó là: 0.0.0.0

Click vào nút Apply ở ngay bên dưới, và bây giờ quan sát thấy cấu hình vừa được tạo ra trong bảng phía trên

SmartAT MX 800

Mở trình duyệt IE lên Gõ địa chỉ IP của router này vào http://192.168.1.1 Router này nó yêu cầu nhập user và pass User: admin

Pass: admin

( đây là pass mặc định của loại user này )

Sau khi login vào router này bạn sẽ thấy nó lung tung, nhưng không sao cả, nhìn vào màn hình bên tay trái click vào Other Settings 1 khung mới sẻ xuất hiện click chuột vào link NAT Click chuột tiếp vào nút Add để bổ sung rule mới.

Trong mục rule type bạn chọn Redirect trong hộp thoại Protocol bạn nên chọn là TCP trong mục Local IP gõ vào địa chỉ IP để chuyển tiếp port tới.

Đây sẽ là địa chỉ IP của máy tính có phần mềm yêu cầu portforwarding nói nôm na thế này cho dể hiểu là IP của máy bạn muốn cài websever.

Trong hộp thoại Global Address From và Global Address To nên gõ vào các số 0.

Trong hộp thoại Destination Port From và Destination Port To chọn chọn Any other port Nếu bạn đang chuyển tiếp tới một port đơn, đánh số port đấy vào Destination Port From và Destination Port To.

Nếu bạn chuyển tiếp một vùng port, đánh số port nhỏ nhất của vùng vào trường Destination Port From. Sau đó đánh số port lớn nhất của vùng vào Destination Port To. Click vào Submit để kết thúc quá trình cấu hình này.

Trong menu bên trái màn hình click vào link Advanced Function. Trong này sẽ có các menu con, click vào link IP Filter.

ADE-3000 Router

Mở trình duyệt IE lên gõ vào địa chỉ IP http://10.0.0.2, nó sẽ yêu cầu bạn nhập user và pass, mặc định user và pass của router này là :

user: admin pass: conexant

Đăng nhập vào router, các bạn nhìn bên trái của màn hình sẽ thấy chữ Virtual Server, click vào nó trong ô Public Port là port mà bạn cần forward ô Private Port cũng như vậy ( có nghĩa là 2 ô này bạn điền port giống nhau ) ô Port Type lựa chọn loại giao thức sử dụng ( ở đây chúng tôi chọn TCP )

Trong ô Host IP Address gõ vào cái địa chỉ IP máy tính của bạn sau đó ấn vào Add This Setting hoặc là sumit gì gì đó. Edd port xong rồi thì click vào Save settings để hoàn tất quá trình.

ZOOM X4

Mở trình duyệt IE lên gõ vào địa chỉ IP http://10.0.0.2, user và pass mặc định của loại router này là :

user : admin pass : zoomadls

Login vào router, Click vào nút Advanced Setup Click tiếp vào NAT trong hộp NAT Options, chọn NAT Rule Entry Click chuột vào nút Add trong hộp Rule Flavor chọn RDR Điền số thứ tự vào Rule ID.

Trong ô IF Name chọn All Tại ô Protocol chọn Any

Gõ địa chỉ IP vào cả hai ô Local Address From và Local Address To ( đây là địa chỉ IP của máy tính bạn muốn làm websever )

Điền các số 0 0 0 0 vào cả hai ô Global Address From và Global Address To điền port mà bạn cần forwar vào ô Destination Port From Destination Port To và Local Port. Sau đó thì Click vào Save changes đề kết thúc .

Để ghi lại thay đổi của router này bạn Click vào Advanced Setup click tiếp vào IP Filter trong ô Security Level chọn NONE.

Trong ô Private Default Action, Public Default Action và DMZ Default Action chọn Accept sau đó click vào sumit để kết thúc.

ZOOM X5

Mở trình duyệt IE lên gõ vào trình duyệt http://10.0.0.3 nó sẻ yêu cầu nhập user và pass

user : admin pass : zoomadsl

Login vào router, click vào Advanced Setup click tiếp vào Virtual Server, Trong ô ID gõ vào số hiệu ID chưa sử dụng, trong ô Public Port gỏ vào port mà bạn cần FW ô private port cũng như vậy, nói chung là 2 ô này gỏ port cần FW giống nhau, ô Port Type chọn giao thức TCP ô Host IP Address gỏ vào địa chỉ ip máy của bạn.

Click vào Add This Settings để hoàn tất và xem cấu hình bạn vừa Fw, sau đó Click vào Write Settings to Flash and Reboot để lưu lại cấu hình bạn vừa làm và khởi động lại router.

ZyXel

Mở trình duyệt IE lên gõ vào http://192.168.1.1 nó yêu cầu nhập user và pass user : admin pass : 1234

Login vào router Click chuột vào NAT Click chuột vào tuỳ chọn Edit Detail kề bên cạnh SUA Only.

Gõ vào hộp thoại Start Port No số hiệu port nhỏ nhất và hộp thoại End Port No số hiệu port lớn nhất mà bạn muốn chuyển tiếp đi, hộp thoại IP Address điền vào địa chỉ IP máy tính của bạn cần làm websever.

Click vào Save để ghi lại cấu hình vừa thiết lập. Sau đó bạn sẽ quay trở lại menu NAT Settings. Quay về đầu và click chuột vào nút Apply để kết thúc.SpeedStream 5100

Mở trình duyệt IE gõ vào http://192.168.254.254 nhập user và pass

user : username pass : password

Login vào router, khi login xong, trên menu chính click vào nút Login trong ô user name chọn Admin ô password , gõ password , click vào nút ok để quay trở lại menu chính.

Click vào nút setup sau đó click tiếp vào nút Portforwarding.

Kiểm tra xem tại hộp thoại Select service by name các dịch vụ mà bạn muốn chuyển tiếp đã được liệt kê hay chưa. Lựa chọn dịch vụ mà bạn muốn chuyển tiếp, sau đó click chuột vào nút Redirect selected protocol/service to ip address.

Trong hộp thoại này gõ vào địa chỉ IP mà bạn muốn chuyển tiếp (forward) tới. Click vào nút Apply để ghi lại cấu hình.

Trong trường hợp bạn không tìm thấy dịch vụ mà mình muốn chuyển tiếp trong hộp thoại Select service by name thì lựa chọn giao thức, sử dụng thanh cuộn Select protocol. Sau đó gõ vào hộp thoại TCP/UDP port(s) vùng port mà bạn muốn chuyển tiếp.

Số hiệu port nhỏ nhất điền vào ô bên trái, số hiệu port lớn nhất điền vào ô bên phải. Click chuột vào nút Redirect selected protocol/service to ip address. Gõ vào địa chỉ IP mà bạn muốn chuyển tiếp dịch vụ này tới. Đây sẽ là địa chỉ IP của máy tính có phần mềm yêu cầu portforwarding. Click vào nút Apply để ghi lại cấu hình.

Hết chương 2 - Phần Nội Mạng