Cài đặt và cấu hình NAT Server để máy trạm truy cập Internet ổn định, an toàn.

NAT hay còn gọi là Network Address Translation là một kỹ thuật được dùng phổ biến trong các trường hợp sau:

1. Cần chia sẽ kết nối internet với nhiều máy bên trong LAN với một địa chỉ IP của WAN
2. Làm Firewall: dấu tất cả IP bên trong LAN với thế giới bên ngoài, tránh sự dòm ngó của hackers.

A. Cài đặt và Cấu hình NAT SERVER

 

Yêu cầu: NAT Server cần có 2 Card mạng (1 đặt tên là WAN dùng để kết nối với Router ADSL và 1 đặt tên là LAN dùng để kết nối đến mạng nội bộ cần truy cập Internet thông qua NAT Server). Chạy HĐH Windows Server 2003.

Cấu hình IP tĩnh cho card LAN như sau:

Cấu hình IP tĩnh cho card WAN như sau:

Cấu hình Routing and Remote Access (Start -> Programs -> Administrative Tools -> Routing and Remote Access):

Chọn Configure and Enable Routing and Remote Access

Next

Chọn Custom configuration -> Next

Chọn NAT and basic firewall

Finish

Chọn Yes để khởi động dịch vụ Routing and Remote Access

Dịch vụ Router and Remote Access cho NAT đã được kích hoạt. Tiếp theo bạn cần cấu hình cho card WAN và LAN nữa là hoàn tất.

Add Cấu hình WAN vào NAT/Basic Firewall

Click phải vào NAT/Basic firewall – > New interface …

Chọn WAN -> OK

Chọn Public interface connected to the Internet và Enable NAT on this interface.

Add Cấu hình LAN vào NAT/Basic Firewall

Click phải vào NAT/Basic firewall – > New interface …

Chọn LAN -> OK.

Chọn Private interface connected to private network.

B. Cài đặt và Cấu hình IP cho máy trạm – Client
1. Dùng IP tĩnh: Cấu hình địa chỉ IP tĩnh cho máy con truy cập Internet thông qua NAT Server (192.168.8.5). Cấu hình sau cho IP máy con thuộc lớp IP 192.168.8.X . Ví dụ: 192.168.8.15

2. Dùng IP động thông qua DHCP do NAT Server cấp: Cài đặt và cấu hình DHCP cho NAT Server như sau:

Đặt tên và ghi chú cho dãy IP mà DHCP sẽ cấp.

Địa chỉ bắt đầu, địa chỉ kết thúc DHCP sẽ cấp

Địa chỉ loại trừ dành riêng không sử dụng để cấp cho máy trạm (dành cho Server khác).

Router là địa chỉ IP tương ứng với Card LAN của NAT Server.

Add địa chỉ DNS của nhà cung cấp dịch vụ tương ứng vào phần này. Ở đây TDMIT dùng Internet của VNPT nên có địa chỉ DNS là 203.162.4.190. Phần này có thể Add địa chỉ của Router ADSL làm địa chỉ DNS cũng được.

Lưu ý: Địa chỉ DNS lệ thuộc vào nhà cung cấp dịch vụ Internet: VNPT, VietTel, FPT,… Một số DNS thông dụng của một số nhà cung cấp.
VNPT: 203.162.4.190 , 203.162.4.191 , 203.162.4.1 , 203.162.0.181 , 203.162.0.11 , 203.210.142.132
FPT: 210.245.24.20 , 210.245.24.20
DNS mở: 20.67.222.222 , 208.67.222.220
Ngoài ra có thể liên hệ nhà cung cấp dịch vụ Internet để biết DNS phù hợp nhất cho khu vực của mình.

TDMIT

 

Nguyên lý tấn công ARP poisoning và cách phòng thủ

Nguyên lý tấn công ARP poisoning và cách phòng thủ
link: http://www.uitstudent.com/forum/showthread.php?t=6445

GIỚI THIỆU GIAO THỨC ARP

Mỗi thiết bị trong hệ thống mạng của chúng ta có ít nhất hai địa chỉ. Một địa chỉ là Media Access Control ( MAC ) và một địa chỉ Internet Protocol ( IP ). Địa chỉ MAC là địa chỉ của card mạng gắn vào bên trong thiết bị, nó là duy nhất và không hề thay đổi. Địa chỉ IP có thể thay đổi theo người sử dụng tùy vào môi trường mạng. ARP là một trong những giao thức của IP, chức năng của nó dùng để định vị một host trong một segment mạng bằng cách phân giải địa chỉ IP ra địa chỉ MAC. ARP thực hiện điều đó thông qua một tiến trình broadcast gói tin đến tất cả các host trong mạng, gói tin đó chứa địa chỉ IP của host cần giao tiếp. Các host trong mạng đều nhận được gói tin đó và chỉ duy nhất host nào có địa chỉ IP trùng với địa chỉ IP trong gói tin mới trả lời lại, còn lại sẽ tự động drop gói tin.

ARP là một giao thức hết sức đơn giản, nó đơn thuần có 4 loại message cơ bản sau:

• An ARP Request: máy tính A sẽ hỏi toàn mạng : ” ai có địa chỉ IP này? “
• An ARP Reply: máy tính B trả lời máy tính A : “tôi có IP đó, địa chỉ MAC của tôi là…”
• An Reverse ARP Request: máy tính A sẽ hỏi toàn mạng : ” ai có địa chỉ MAC này? “
• An Reverse ARP Reply: máy tính B trả lời máy tính A: ” tôi có MAC đó, địa chỉ IP của tôi là…”

Host A gửi một ARP Request và nhận được một ARP Reply từ một host B có thực trong mạng. sau khi tiến trình này hoàn tất, host Ahost B sẽ có MAC như thế nào. Tiếp theo, host A sẽ lưu lại sự hiểu biết đó lên bộ nhớ của mình gọi là ARP table. ARP table giúp host A không phải thực hiện ARP Request đến host B một lần nữa. đã biết được IP của

MÔ TẢ QUÁ TRÌNH ARP REQUEST VÀ ARP REPLY

• Trong mạng LAN hiện nay có 4 host: host A, host B, host C, host D.

• Host A muốn giao tiếp với host C, đầu tiên sẽ broadcast gói tin ARP Requset.

• Host C nhận thấy đúng IP của mình liền trả lời MAC của mình thông qua gói tin ARP Reply, các host còn lại sẽ drop gói ARP Request.

• Host A nhận được địa chỉ MAC của host C và ghi nhớ vào ARP table.

NGUYÊN LÝ TẤN CÔNG

Giao thức ARP là rất cần thiết và quan trọng trong hệ thống mạng của chúng ta, tuy nhiên nó lại không đề cập đến vấn đề xác thực nào cả. Khi một host nhận được gói tin ARP Reply, nó hoàn toàn tin tưởng và mặc nhiên sử dụng thông tin đó để sử dụng sau này mà không cần biết thông tin đó có phải trả lời từ một host mà mình mong muốn hay không. ARP không có cơ chế nào để kiểm tra việc đó cả và trên thực tế một host có thể chấp nhận gói ARP Reply mà trước đó không cần phải gửi gói tin ARP Request. Lợi dụng điều này, hacker có thể triển khai các phương thức tấn công như: Man In The Middle, Denial of Service, MAC Flooding

MAN IN THE MIDDLE

Giả sử hacker muốn theo dõi host A gởi thông tin gì cho host B. Đầu tiên, hacker sẽ gởi gói ARP Reply đến host A với nội dung là địa chỉ MAC của hacker và địa chỉ IP của hostB.

Tiếp theo, hacker sẽ gửi gói ARP Reply tới host B với nội dung là MAC của máy hacker và IP của host A. Như vậy, cả hai host A và host B đều tiếp nhận gói ARP Reply đó và lưu vào trong ARP table của mình. Đến lúc này, khi host A muốn gửi thông tin đến host B, nó liền tra vào ARP table thấy đã có sẵn thông tin về địa chỉ MAC của host B nênsẽ lấy thông tin đó ra sử dụng, nhưng thực chất địa chỉ MAC đó là của hacker. Đồng thời máy tính của hacker sẽ mở chức năng gọi là IP Forwading giúp chuyển tải nội dung mà host A gửi qua host B. Host A và host B giao tiếp bình thường và không có cảm giác bị qua máy trung gian là máy của hacker.

Trong trường hợp khác, hacker sẽ nghe lén thông tin từ máy bạn đến Gateway. Như vậy mọi hành động ra Internet của bạn đều bị hacker ghi lại hết, dẫn đến việc mất mát các thông tin nhạy cảm.

DENIAL OF SERVICE

Cũng vận dụng kỹ thuật trên, hacker tiến hành tấn công bằng cách gởi gói ARP Reply đến toàn bộ các host trong mạng với nội dung mang theo là địa chỉ IP của Gateway và địa chỉ MAC không hề tồn tại. Như vậy các host trong mạng tin tưởng rằng mình đã biết được MAC của Gateway và khi gửi thông tin đến Gateway, kết quả là gửi đến một nơi hoàn toàn không tồn tại. Đó là điều hacker mong muốn, toàn bộ các host trong mạng đều không thể đi ra Internet được.

MAC FLOODING

Cách tấn công này cũng dùng kỹ thuật ARP Poisoning mà đối tượng nhắm đến là Switch. Hacker sẽ gửi những gói ARP Reply giả tạo với số lượng khổng lồ nhằm làm Switch xử lý không kịp và trở nên quá tải. Khi đó, Switch sẽ không đủ sức thể hiện bản chất Layer2 của mình nữa mà broadcast gói tin ra toàn bộ các port của mình. Hacker dễ dàng bắt được toàn bộ thông tin trong mạng của bạn.

CÁCH PHÒNG THỦ

ARP Poisoning là một kiểu tấn công dạng local, nghĩa là hacker thực hiện tấn công từ bên trong mạng của bạn. Hậu quả của cách tấn công này là rất lớn, những người quản trị mạng cần nắm bắt rõ về kỹ thuật tấn công này. Sau đây là một số kỹ thuật giúp phòng chống tấn công kiểu ARP Poisoning.

1. Đối với một mạng nhỏ:
Ta có thể sử dụng địa chỉ IP tĩnh và ARP table tĩnh, khi đó, bạn sẽ liệt kê bằng tay IP nào đi với MAC nào. Trong Windows có thể sử dụng câu lệnh ipconfig /all để xem IP và MAC, dùng câu lệnh arp -s để thêm vào ARP table. Khi mà ép tĩnh như vậy sẽ ngăn chặn hacker gởi các gói ARP Reply giả tạo đến máy của mình vì khi sử dụng ARP table tĩnh thì nó luôn luôn không thay đổi. Chú ý rằng cách thức này chỉ áp dụng được trong môi trường mạng với quy mô nhỏ, nếu mạng lớn hơn là không thể vì chúng ta phải thêm vào ARP table bằng tay với số lượng quá nhiều.

2. Đối với một mạng lớn:
Khi quản trị trong một mạng quy mô lớn, ta có thể sử dụng chức năng Port security. Khi mở chức năng Port security lên các port của Switch, ta có thể quy định port đó chỉ chấp nhận một địa chỉ MAC. Như vậy sẽ ngăn chặn việc thay đổi địa chỉ MAC trên máy hacker.

Ngoài ra cũng có thể sử dụng các công cụ, ví dụ như ArpWatch. Nó sẽ phát hiện và báo cáo cho bạn các thông tin liên quan đến ARP đang diễn ra trong mạng. Nhờ đó, nếu có hiện tượng tấn công bằng ARP Poisoning thì bạn có thể giải quyết kịp thời.

In the end

RAID là gì và có mấy loại RAID ?

Trong những năm gần đây việc đầu tư raid cho máy tính để bàn hoặc cho những hệ thống máy tính lớn là điều cần thiết. Trong vài năm trước nghe nói raid có thể gọi là một thứ gì đó xa xỉ nhưng so với thị trường thiết bị máy tính ngày nay và với việc bị mất dữ liệu, hư ổ cứng thì điều mọi người nghĩ đến đầu tiên là sử dụng raid cho hệ thống của mình. Đa số các mainboard ngày nay đều có công nghệ RAID hoặc có hỗ trợ slot cắm card RAID Controller nhưng không phải ai cũng biết cách sử dụng hiệu quả. Bài viết tôi chỉ giới thiệu thông tin cơ bản về RAID. Về cách cấu hình , create array… raid cứng cũng như raid mềm thì các bạn search trong diễn đàn hoặc google hoặc đọc thêm document của máy.

A. Vậy RAID LÀ GÌ ?

RAID là chữ viết tắt của Redundant Array of Independent Disks. Ban đầu, RAID được sử dụng như một giải pháp phòng hộ vì nó cho phép ghi dữ liệu lên nhiều đĩa cứng cùng lúc. Về sau, RAID đã có nhiều biến thể cho phép không chỉ đảm bảo an toàn dữ liệu mà còn giúp gia tăng đáng kể tốc độ truy xuất dữ liệu từ đĩa cứng. Dưới đây là năm loại RAID được dùng phổ biến:
1. RAID 0
Đây là dạng RAID đang được người dùng ưa thích do khả năng nâng cao hiệu suất trao đổi dữ liệu của đĩa cứng. Đòi hỏi tối thiểu hai đĩa cứng, RAID 0 cho phép máy tính ghi dữ liệu lên chúng theo một phương thức đặc biệt được gọi là Striping. Ví dụ bạn có 8 đoạn dữ liệu được đánh số từ 1 đến 8, các đoạn đánh số lẻ (1,3,5,7) sẽ được ghi lên đĩa cứng đầu tiên và các đoạn đánh số chẵn (2,4,6,8) sẽ được ghi lên đĩa thứ hai. Để đơn giản hơn, bạn có thể hình dung mình có 100MB dữ liệu và thay vì dồn 100MB vào một đĩa cứng duy nhất, RAID 0 sẽ giúp dồn 50MB vào mỗi đĩa cứng riêng giúp giảm một nửa thời gian làm việc theo lý thuyết. Từ đó bạn có thể dễ dàng suy ra nếu có 4, 8 hay nhiều đĩa cứng hơn nữa thì tốc độ sẽ càng cao hơn. Tuy nghe có vẻ hấp dẫn nhưng trên thực tế, RAID 0 vẫn ẩn chứa nguy cơ mất dữ liệu. Nguyên nhân chính lại nằm ở cách ghi thông tin xé lẻ vì như vậy dữ liệu không nằm hoàn toàn ở một đĩa cứng nào và mỗi khi cần truy xuất thông tin (ví dụ một file nào đó), máy tính sẽ phải tổng hợp từ các đĩa cứng. Nếu một đĩa cứng gặp trục trặc thì thông tin (file) đó coi như không thể đọc được và mất luôn. Thật may mắn là với công nghệ hiện đại, sản phẩm phần cứng khá bền nên những trường hợp mất dữ liệu như vậy xảy ra không nhiều. Có thể thấy RAID 0 thực sự thích hợp cho những người dùng cần truy cập nhanh khối lượng dữ liệu lớn, ví dụ các game thủ hoặc những người chuyên làm đồ hoạ, video số.

2. RAID 1

Đây là dạng RAID cơ bản nhất có khả năng đảm bảo an toàn dữ liệu. Cũng giống như RAID 0, RAID 1 đòi hỏi ít nhất hai đĩa cứng để làm việc. Dữ liệu được ghi vào 2 ổ giống hệt nhau (Mirroring). Trong trường hợp một ổ bị trục trặc, ổ còn lại sẽ tiếp tục hoạt động bình thường. Bạn có thể thay thế ổ đĩa bị hỏng mà không phải lo lắng đến vấn đề thông tin thất lạc. Đối với RAID 1, hiệu năng không phải là yếu tố hàng đầu nên chẳng có gì ngạc nhiên nếu nó không phải là lựa chọn số một cho những người say mê tốc độ. Tuy nhiên đối với những nhà quản trị mạng hoặc những ai phải quản lý nhiều thông tin quan trọng thì hệ thống RAID 1 là thứ không thể thiếu. Dung lượng cuối cùng của hệ thống RAID 1 bằng dung lượng của ổ đơn (hai ổ 80GB chạy RAID 1 sẽ cho hệ thống nhìn thấy duy nhất một ổ RAID 80GB).

3. RAID 0+1
Có bao giờ bạn ao ước một hệ thống lưu trữ nhanh nhẹn như RAID 0, an toàn như RAID 1 hay chưa? Chắc chắn là có và hiển nhiên ước muốn đó không chỉ của riêng bạn. Chính vì thế mà hệ thống RAID kết hợp 0+1 đã ra đời, tổng hợp ưu điểm của cả hai “đàn anh”. Tuy nhiên chi phí cho một hệ thống kiểu này khá đắt, bạn sẽ cần tối thiểu 4 đĩa cứng để chạy RAID 0+1. Dữ liệu sẽ được ghi đồng thời lên 4 đĩa cứng với 2 ổ dạng Striping tăng tốc và 2 ổ dạng Mirroring sao lưu. 4 ổ đĩa này phải giống hệt nhau và khi đưa vào hệ thống RAID 0+1, dung lượng cuối cùng sẽ bằng ½ tổng dung lượng 4 ổ, ví dụ bạn chạy 4 ổ 80GB thì lượng dữ liệu “thấy được” là (4*80)/2 = 160GB.

4. RAID 5

Đây có lẽ là dạng RAID mạnh mẽ nhất cho người dùng văn phòng và gia đình với 3 hoặc 5 đĩa cứng riêng biệt. Dữ liệu và bản sao lưu được chia lên tất cả các ổ cứng. Nguyên tắc này khá rối rắm. Chúng ta quay trở lại ví dụ về 8 đoạn dữ liệu (1-8) và giờ đây là 3 ổ đĩa cứng. Đoạn dữ liệu số 1 và số 2 sẽ được ghi vào ổ đĩa 1 và 2 riêng rẽ, đoạn sao lưu của chúng được ghi vào ổ cứng 3. Đoạn số 3 và 4 được ghi vào ổ 1 và 3 với đoạn sao lưu tương ứng ghi vào ổ đĩa 2. Đoạn số 5, 6 ghi vào ổ đĩa 2 và 3, còn đoạn sao lưu được ghi vào ổ đĩa 1 và sau đó trình tự này lặp lại, đoạn số 7,8 được ghi vào ổ 1, 2 và đoạn sao lưu ghi vào ổ 3 như ban đầu. Như vậy RAID 5 vừa đảm bảo tốc độ có cải thiện, vừa giữ được tính an toàn cao. Dung lượng đĩa cứng cuối cùng bằng tổng dung lượng đĩa sử dụng trừ đi một ổ. Tức là nếu bạn dùng 3 ổ 80GB thì dung lượng cuối cùng sẽ là 160GB.

5. JBOD
JBOD (Just a Bunch Of Disks) thực tế không phải là một dạng RAID chính thống, nhưng lại có một số đặc điểm liên quan tới RAID và được đa số các thiết bị điều khiển RAID hỗ trợ. JBOD cho phép bạn gắn bao nhiêu ổ đĩa tùy thích vào bộ điều khiển RAID của mình (dĩ nhiên là trong giới hạn cổng cho phép). Sau đó chúng sẽ được “tổng hợp” lại thành một đĩa cứng lớn hơn cho hệ thống sử dụng. Ví dụ bạn cắm vào đó các ổ 10GB, 20GB, 30GB thì thông qua bộ điều khiển RAID có hỗ trợ JBOD, máy tính sẽ nhận ra một ổ đĩa 60GB. Tuy nhiên, lưu ý là JBOD không hề đem lại bất cứ một giá trị phụ trội nào khác: không cải thiện về hiệu năng, không mang lại giải pháp an toàn dữ liệu, chỉ là kết nối và tổng hợp dung lượng mà thôi.

6. Một số loại RAID khác

Ngoài các loại được đề cập ở trên, bạn còn có thể bắt gặp nhiều loại RAID khác nhưng chúng không được sử dụng rộng rãi mà chỉ giới hạn trong các hệ thống máy tính phục vụ mục đích riêng, có thể kể như: Level 2 (Error-Correcting Coding), Level 3 (Bit-Interleaved Parity), Level 4 (Dedicated Parity Drive), Level 6 (Independent Data Disks with Double Parity), Level 10 (Stripe of Mirrors, ngược lại với RAID 0+1), Level 7 (thương hiệu của tập đoàn Storage Computer, cho phép thêm bộ đệm cho RAID 3 và 4), RAID S (phát minh của tập đoàn EMC và được sử dụng trong các hệ thống lưu trữ Symmetrix của họ). Bên cạnh đó còn một số biến thể khác, ví dụ như Intel Matrix Storage cho phép chạy kiểu RAID 0+1 với chỉ 2 ổ cứng hoặc RAID 1.5 của DFI trên các hệ BMC 865, 875. Chúng tuy có nhiều điểm khác biệt nhưng đa phần đều là bản cải tiến của các phương thức RAID truyền thống.
B. BẠN CẦN GÌ ĐỂ CHẠY RAID?

Để chạy được RAID, bạn cần tối thiểu một card điều khiển (có thể là onboard hoặc card rời) và hai ổ đĩa cứng giống nhau. Đĩa cứng có thể ở bất cứ chuẩn nào, từ ATA, Serial ATA hay SCSI, SAS tốt nhất chúng nên hoàn toàn giống nhau vì một nguyên tắc đơn giản là khi hoạt động ở chế độ đồng bộ như RAID, hiệu năng chung của cả hệ thống sẽ bị kéo xuống theo ổ thấp nhất nếu có. Ví dụ khi bạn bắt ổ 160GB chạy RAID với ổ 40GB (bất kể 0 hay 1) thì coi như bạn đã lãng phí 120GB vô ích vì hệ thống điều khiển chỉ coi chúng là một cặp hai ổ cứng 40GB mà thôi (ngoại trừ trường hợp JBOD như đã đề cập). Yếu tố quyết định tới số lượng ổ đĩa chính là kiểu RAID mà bạn định chạy. Chuẩn giao tiếp không quan trọng lắm, đặc biệt là giữa SATA và ATA. Một số BMC đời mới cho phép chạy RAID theo kiểu trộn lẫn cả hai giao tiếp này với nhau. Điển hình như MSI K8N Neo2 Platinum hay dòng DFI Lanparty NForce4. Bộ điều khiển RAID (RAID Controller) là nơi tập trung các cáp dữ liệu nối các đĩa cứng trong hệ thống RAID và nó xử lý toàn bộ dữ liệu đi qua đó. Bộ điều khiển này có nhiều dạng khác nhau, từ card tách rời cho dến chip tích hợp trên BMC. Đối với các hệ thống PC, tuy chưa phổ biến nhưng việc chọn mua BMC có RAID tích hợp là điều nên làm vì nói chung đây là một trong những giải pháp cải thiện hiệu năng hệ thống rõ rệt và rẻ tiền nhất, chưa tính tới giá trị an toàn dữ liệu của chúng. Một thành phần khác của hệ thống RAID không bắt buộc phải có nhưng đôi khi là hữu dụng, đó là các khay hoán đổi nóng ổ đĩa. Nó cho phép bạn thay các đĩa cứng gặp trục trặc trong khi hệ thống đang hoạt động mà không phải tắt máy (chỉ đơn giản là mở khóa, rút ổ ra và cắm ổ mới vào). Thiết bị này thường sử dụng với ổ cứng SCSI hoặc SAS và khá quan trọng đối với các hệ thống máy chủ vốn yêu cầu hoạt động liên tục. Về phần mềm thì khá đơn giản vì hầu hết các hệ điều hành hiện đại đều hỗ trợ RAID rất tốt, đặc biệt là Microsoft Windows. Nếu bạn sử dụng Windows XP, 2k3… thì bổ sung RAID khá dễ dàng. Quan trọng nhất là trình điều khiển nhưng thật tuyệt khi chúng đã được kèm sẵn với thiết bị.

Cấu hình RAID trên Windows Server 2003 (Phần I)

Khi ổ cứng được hoạt động ở chế độ RAID sẽ có nhiều tính năng cao cấp như: RAID 0 tăng tốc độ truy xuất dữ liệu, RAID 1 an toàn cho dữ liệu, RAID 5 vừa tăng tốc độ truy cập dữ liệu và vẫn đảm bảo tốc độ truy xuất dữ liệu. Để triển khai RAID có hai loại Hardware RAID và Software RAID. Hầu hết máy chủ đều sử dụng Hardware RAID do có nhiều tính năng cao cấp. Trong bài viết này tôi sẽ trình bày cách thiết lập Software RAID trên Windows Server 2003 đáp ứng các yêu cầu nâng cao tốc độ và đảm bảo an toàn nhưng chi phí thấp hơn rất nhiều, dựa trên nền tảng các máy chủ cấp thấp.
Trong bài viết sẽ có hai phần:
Phần I. Thiết lập RAID Trên Windows Server 2003.
Phần II. Khắc phục sự cố với các ổ cứng cấu hình RAID 1 và RAID
Phần I. Thiết lập RAID trên Windows Server 2003.
Giới thiệu RAID
RAID có thể triển khai được ở hai dạng.

Trong bài viết này tôi chỉ giới thiệu với các bạn cấu hình Software RAID trên Windows Server 2003, giúp các bạn nâng cao hiệu năng sử dụng máy tính mà không cần phải nâng cấp máy tính hiện tại và hoàn toàn có thể thực hiện trên các PC có sẵn yêu cầu có ít nhất là 2 ổ cứng.
Giới thiệu về Ổ cứng Logic.
– Ổ cứng vật lý là các loại ổ khác nhau như: ATA, SATA, SCSI, SAS nhưng khi cài hệ điều hành Windows lên nó chỉ nhận ra thành hai ổ logic đó là:
+ Ổ Basic: Mặc định khi các bạn cài Windows lên ổ cứng sẽ là định dạng ổ Basic. Khi một ổ cứng ở dạng này nó sẽ chỉ cho phép tạo 4 Primary Partition và 1 Extend Partition mà thôi.
+ Ổ Dynamic: Cho phép tạo không giới hạn số Volume (lưu ý là ổ Basic tạo ra các phân vùng sẽ là Partition còn ổ Dynamic sẽ là các Volume). Ngoài ra nó còn cho phép tạo Software RAID trên các ổ Logic ở dạng Dynamic do đó trước khi muốn cấu hình RAID trên Windows Server 2003 bạn phải Convert từ ổ Basic lên ổ Dynamic.
Máy tính của tôi có 5 Ổ cứng: 0, 1, 2, 3, 4 hiện tại đang là ổ Basic. Để xem bạn chuột phải vào My Computer chọn Manage sau đó chọn phần Disk Management.

Trước khi thiết lập RAID tôi phải Convert các ổ nào tôi muốn cấu hình lên thành ổ Dynamic.

Máy tính của tôi có 5 ổ tôi mới tạo một Partition tại ổ Disk0 và cài hệ điều hành Windows Server 2003 lên đó giờ tôi Convert toàn bộ chúng lên thành ổ Dynamic.
1. Thiết lập RAID 0.
a. Yêu cầu.
– Để thiết lập RAID 0 trên máy tính yêu cầu tối thiểu phải có 2 Ổ cứng vật lý, và phải convert lên Dynamic rồi.

– Ban đầu tôi có hai ổ vật lý là 8GB nếu tôi cấu hình RAID 0 tôi sẽ được một ổ 16GB, nhưng lưu ý là Software RAID làm việc ở tầng Volume (tương đương với Partition) chứ không ở tầng Disk vật lý.
b. Cách thiết lập.
– Để thiết lập RAID 0 cho một Volume trên Windows Server 2003, tôi phải convert ổ lên Dynamic rồi chọn New Volume.

Nhấn Next để tiếp tục

Trong Windows Server 2003 khi cấu hình Volume RAID 0 thì sẽ là ổ Striped
– Khi tôi lựa chọn Simple tương tự như tạo Partition trên ổ Basic không có tính năng nào khác
– Lựa chọn Spanned cho phép tạo một Volume từ 32 ổ cứng ở dạng Dynamic nhưng nó sẽ gi tuần tự trên từng ổ cứng, chết một ổ cứng toàn bộ dữ liệu cũng bị mất.
– RAID 0 tôi phải chọn Striped
– RAID 1 tôi phải chọn Mirrored.

Sau khi tôi chọn tạo một Volume ở dạng RAID 0 – Striped hệ thống yêu cầu tôi lựa chọn Volume này sẽ được tạo ra từ những ổ cứng vật lý nào. Tối thiểu bạn phải có hai ổ cứng vật lý, tối đa là 8.
– Hệ thống của tôi có 5 ổ cứng tôi tạo RAID 0 từ 3 ổ cứng 2, 3 và 4.
– Mỗi ổ cứng vật lý tôi lấy 2000 MB điều này có nghĩa là Volume tôi tạo ra sẽ có dung lượng là 6000 MB như các bạn đã thấy.
– Khi ghi dữ liệu nó sẽ ghi đều lên các ổ cứng vật lý, điều này cho phép nâng cao tốc độ truy cập dữ liệu cho hệ thống.
– Thực tế tôi có một máy tính khá mạnh với 6GB RAM, khi tôi chưa cấu hình RAID, máy tính của tôi chỉ chạy được 4 máy ảo là nhanh, còn từ máy ảo thứ 5 là rất chậm. Tôi nghĩ do quá trình ghi vào ổ cứng tốc độ chậm. Giải pháp tôi mua thêm 3 ổ cứng nữa về sau đó cấu hình RAID 0 trên 4 ổ, kết quả tôi chạy được 10 máy ảo vẫn OK.

Sau khi lựa chọn các ổ cứng chứa Volume RAID 0 tôi nhấn Next để tiếp tục quá trình tạo và Format để sử dụng Volume này.

Đặt tên Volume mới tạo ra là ổ E tôi nhấn Next để tiếp tục quá trình.

Chon Format mặc định tôi nhấn Next để hoàn thành quá trình tạo Volume RAID 0, kết quả chúng ta tạo được ổ E ở dạng Striped (RAID 0) trên 3 ổ cứng vật lý, mỗi ổ sẽ lấy 2GB để tạo ra cả ổ E là 6GB.

c. Những vấn đề.
Một ngày không đẹp trời tôi bật máy tính và phát hiện ra một ổ đĩa vật lý của tôi bị hỏng, tôi chưa có bản backup nao trên ổ RAID 0 vừa tạo ra. Liệu dữ liệu của tôi có mất thật không. Câu trả lời là chắc chắn mất 100%. Bạn thử tượng tượng chẳng hạn ổ RAID 0 của tôi được tạo ra từ 2 ổ vật lý, khi một byte được gi vào ổ RAID 0 khi đó mỗi ổ vật lý sẽ chứa 4 bít. Một byte mất 4 bít sẽ thế nào?
Vậy làm cách nào để thiết lập an toàn về mặt dữ liệu. Chúng ta cùng nghiên cứu cấu hình RAID 1 – Mirror trên Windows Server 2003.
2. Thiết lập RAID 1.
a. Yêu cầu
– Để cấu hình RAID 1 cho một Volume bạn cần tối thiểu là 2 ổ cứng (tối đa cũng là 2 ổ cứng) và ở dạng Dynamic.
– Khi cấu hình RAID 1.

b. Thiết lập.
– Chuột phải vào phân vùng còn trống trên ổ cứng vật lý chọn New Volume sẽ xuất hiện Wizard tạo new volume bạn nhấn Next để ra giao diện chọn định dạng cho Volume.

Bạn chọn Mirrored đây chính là cấu hình RAID 1 trên Windows 2003. Nhấn Next để tiếp tục quá trình.

Tôi sẽ lấy 2GB từ hai ổ cứng Disk 2 và Disk3 nhưng toàn bộ dung lượng ổ cứng của tôi vẫn chỉ là 2GB.
Khi tạo RAID 1, bạn ghi 1 byte vào Volume này thì trên mỗi ổ cứng vật lý cũng lưu là 1byte.
Nhấn Next để tiếp tục cho hệ thống Format.

Đặt tên ổ này là ổ F nhấn Next để tiếp tục
.

Nhấn Next để hoàn thành quá trình tạo Volume RAID 1 trên Windows Server 2003. Sau bước này hệ thống sẽ phải đồng bộ dữ liệu giữa hai ổ cứng vật lý.

Hình trên thể hiện đã tạo ra một Volume F ở dạng Mirror.
Đây là cách tạo RAID 1 cho một Volume mới nhưng tôi có một Volume ở dạng Simple nằm trên ổ Dynamic tôi hoàn toàn có thể tạo Mirror cho Volume này.
– Chuột phải vào một Volume có sẵn chọn Add Mirror

Để cấu hình RAID 1 (Mirror cần tối thiểu 2 ổ cứng) hệ thống sẽ yêu cầu bạn lựa chọn phần Mirror của ổ đã có trên ổ cứng vật lý nào. Tôi chọn Mirror của Volume của tôi lằm trên Disk 1.

Nhấn Add Mirror để tiếp tục quá trình. Đợi một lát tôi cho hệ thống đồng bộ giữa hai ổ cứng vật lý.
– Trong tình huống này tôi chọn Add Mirror cho ổ cứng Cài Windows nên khi một trong hai ổ cứng của tôi hỏng tôi vẫn hoàn toàn không ảnh hưởng gì bởi RAID 1 là tạo một bản sao lưu giống hệt.

c. Những vấn đề.
Ồ như trên dữ liệu của bạn sẽ yên tâm hơn rất nhiều khi cấu hình Volume ở dạng RAID 1. Nhưng một vấn đề đặt ra là hệ thống tạo một bản sao lưu giống hệt bản ban đầu. Điều này có nghĩa dung lượng ổ cứng sẽ bị phí cho việc an toàn dữ liệu này.
– RAID 0: Tốc độ truy suất cao, không an toàn dữ liệu, chết một ổ là mất toàn bộ dữ liệu
– RAID 1: An toàn dữ liệu, phí dung lượng ổ cứng cho việc tạo Mirror.
Vậy tôi liệu có cách nào trung hòa giữa vấn đề: Nâng cao tốc độ truy xuất và an toàn dữ liệu hay không. Câu trả lời là có – chúng ta cấu hình Volume ở dạng RAID -5 sẽ trung hòa được cả hai yếu tố trên.
3. Thiết lập RAID 5.
a. Yêu cầu
– Để cấu hình một Volume RAID 5 bạn cần tối thiểu là 3 ổ cứng vật lý ở dạng Dynamic.
– Dung lượng của Volume khi cấu hình RAID 5.

b. Thiết lập
– Chuột phải vào phân vùng ổ đĩa chống chọn New Volume trong cửa sổ đầu tiên nhấn Next chọn định dạng volume mới là RAID 5 nhấn Next.

Tôi lựa chọn Volume mới của tôi lấy từ 3 ổ cứng vật lý là Disk 2, 3, 4. Mỗi ổ cứng vật lý lấy 2 GB nhưng tôi chỉ được dung lượng của Volume này là 4GB.
– Nếu RAID 0 tôi sẽ được 6GB.
– Trên RAID 5 khi tôi thiết lập từ “n” ổ cứng vật lý thì trên mỗi ổ cứng vật lý sẽ chỉ sử dụng “n-1/n” dung lượng còn 1/n dung lượng sẽ để dự phòng trong tình huống một ổ cứng bị hỏng bất ngờ thì dữ liệu vẫn không ảnh hưởng gì.
– Trong trường hợp của tôi có 3 ổ cứng vật lý mỗi ổ sẽ sử dụng 2/3 dung lượng lưu trữ 1/3 cho dự phòng. Cả 3 ổ hợp lại sẽ được (2/3+2/3+2/3)*2GB=4GB.
– Giả sử 1 ổ bị hỏng khi đó sẽ mất 2/3 dung lượng trên một ổ cứng, bằng một thuật toán lấy từ các ổ còn lại là 1/3+1/3=2/3 dung lượng đã bị mất. Khi đó dữ liệu của bạn sẽ vẫn an toàn
Nhấn Next để tiếp tục quá trình thiết lập.

Tôi đặt tên Volume mới là G nhấn Next để hệ thống Format và hoàn thành quá trình tạo Volume mới ở dạng RAID 5.

Nhấn Next để hoàn thành quá trình.
– Giờ là lúc tôi xem lại kết quả:
+ Đã Add Mirror cho ổ C: cài windows khi đó yên tâm dù ổ Disk0 hay 1 chết thì hệ thống vẫn không ảnh hưởng.
+ Đã tạo ra được một Volume E ở dạng RAID 0 – Tốc độ đọc ghi nhanh thích hợp cho cài đặt các chương trình chạy và dữ liệu không quan trọng
+ Đã tạo ra được Volume F ở dạng RAID 1 cho lưu trữ dữ liệu.
+ Đã tạo ra được Volume G ở dạng RAID 5 cho các ứng dụng cần tốc độ truy xuất cao và vẫn an toàn dữ liệu.

c. Những vấn đề.
– Là giải pháp lưu trữ hợp lý nhất và cân bằng được hai yếu tố tốc độ và an toàn cho dữ liệu.
– Có điều bạn cần ít nhất là 3 ổ cứng vật lý mà thôi.

Kết luận Phần I của bài viết.
Trong phần này tôi giới thiệu với bạn các loại ổ cứng, các loại RAID và cách cấu hình các loại RAID trên Windows Server 2003. Phần II của bài viết tôi sẽ giới thiệu với các bạn cách Troubleshooting khi một ổ cứng vật lý hỏng, và cách thiết lập lại các Volume ở dạng RAID 1 và RAID 5.

Theo ETN

Đề xuất các giải pháp bảo quản tài liệu lưu trữ số tại các cơ quan lưu trữ

Quá trình lưu trữ có thể được thực hiện theo nhiều cách: sử dụng các ổ đĩa gắn trực tiếp vào server cần lưu trữ, dùng các thiết bị lưu trữ ngoài hoặc xây dựng mạng dùng riêng cho việc lưu trữ dữ liệu. Phương pháp lưu trữ dùng các ổ đĩa gắn trực tiếp đã xuất hiện và được sử dụng từ rất lâu do tính dễ sử dụng của chúng. Cùng với sự phát triển của công nghệ, đặc biệt là yêu cầu của người dùng về dữ liệu lưu trữ (dung lượng, tốc độ, khả năng khôi phục dữ liệu, ảnh hưởng của lưu trữ đến hiệu năng của toàn hệ thống), nhiều phương pháp lưu trữ mới được phát triển. Mỗi phương pháp có những ưu nhược điểm riêng và được dùng cho những mục đích nhất định.

1. MỘT SỐ THIẾT BỊ LƯU TRỮ CHUYÊN DỤNG
2. 1.DAS

DAS (Direct Attached Storage) dùng để chỉ các thiết bị lưu trữ gắn trực tiếp vào hệ thống cần lưu trữ (server, workstation). Ví dụ đơn giản nhất của DAS là ổ đĩa cứng lắp trong hoặc các ổ lắp ngoài của máy tính. Tính đến thời điểm này, DAS vẫn là phương pháp lưu trữ phổ biến nhất cho các hệ thống máy tính.

DAS được sử dụng phần lớn cho các người dùng đơn lẻ, hoặc những nơi mà yêu cầu về khả năng sẵn sàng của dữ liệu không quá cao.  Khả năng mở rộng của các thiết bị DAS không cao so với các phương pháp khác.

2. 2. NAS

NAS (Network Attached Storage) là phương pháp lưu trữ dữ liệu sử dụng các thiết bị lưu trữ đặc biệt gắn trực tiếp vào trong mạng như một thiết bị mạng bình thường (tương tự máy tính, switch hay router). Các thiết bị NAS cũng được gắn các địa chỉ IP cố định và được client truy nhập thông qua sự điều khiển của server. Trong một số trường hợp, NAS có thể được truy cập trực tiếp không cần có sự quản lý của server. NAS có các ưu điểm sau:

Trong môi trường đa hệ điều hành với nhiều máy chủ khác nhau, việc lưu trữ dữ liệu, backup, quản lý hay áp dụng các chính sách security đều được thực hiện tập trung.

Khả năng mở rộng: khi người dùng cần thêm dung lượng lưu trữ, các thiết bị lưu trữ NAS mới có thể được bổ sung và lắp đặt vào mạng.

NAS tăng cường khả năng chống lại sự cố cho mạng. Trong môi trường DAS, khi một máy chủ chứa dữ liệu không hoạt động thì toàn bộ dữ liệu đó không thể sử dụng được. Trong môi trường NAS, dữ liệu vẫn hoàn toàn có thể được truy nhập bởi người dùng. Các biện pháp chống lỗi và dự phòng tiên tiến được áp dụng để bảo đảm NAS luôn sẵn sàng cung cấp dữ liệu cho người dùng.

Tuy có những điểm nổi trội so với các thiết bị DAS nhưng NAS vẫn có những hạn chế nhất định. Với việc sử dụng chung hạ tầng mạng với các ứng dụng khác, việc lưu trữ dữ liệu có thể ảnh hưởng đến hiệu năng của toàn hệ thống (làm chậm tốc độ của LAN), điều này đặc biết đáng quan tâm khi cần lưu trữ thường xuyên một lượng lớn dữ liệu.

3. SAN

SAN (Storage Area Network) là một mạng riêng gồm các thiết bị lưu trữ được liên kết với nhau và liên kết với máy chủ (hoặc một nhóm các máy chủ) đóng vai trò như các điểm truy nhập trong SAN. Trong một số trường hợp, SAN cũng được kết nối với mạng LAN. SAN sử dụng các switch đặc biệt để kết nối các thiết bị với nhau.

Hệ thống SAN thường được chia làm hai mức: mức vật lý và logic. Mức vật lý mô tả sự liên kết các thành phần của mạng (edge switch, core switch, Host Bus Adapter – HBA, cable, firmware) tạo ra một hệ thống lưu trữ đồng nhất và có thể sử dụng đồng thời cho nhiều ứng dụng và người dùng. Mức logic bao gồm các ứng dụng, các công cụ quản lý và dịch vụ được xây dựng trên nền tảng của các thiết bị lớp vật lý, cung cấp khả năng quản lý hệ thống SAN.

Việc sử dụng một mạng riêng để kết nối các thiết bị lưu trữ với nhau có những ưu điểm nhất định so với các phương pháp khác. Cụ thể là:

Có khả năng backup dữ liệu với dung lượng lớn và thường xuyên mà không làm ảnh hưởng đến lưu lượng thông tin trên mạng.

Dữ liệu luôn ở mức độ sẵn sàng cao, không giống như DAS sử dụng các thiết bị lưu trữ trực tiếp gắn với server.

Dữ liệu được lưu trữ thống nhất, tập trung và có khả năng quản lý cao. Có khả năng khôi phục dữ liệu nếu có xảy ra sự cố.

Một số đặc điểm khác của hệ thống SAN:

Hỗ trợ nhiều giao thức, chuẩn lưu trữ khác nhau iSCSI, FCIP, DWDM.

Có khả năng mở rộng tốt trên cả phương diện số lượng thiết bị, dung lượng hệ thống cũng như khoảng cách vật lý.

Mức độ security cao do thực hiện quản lý tập trung cũng như sử dụng các công cụ hỗ trợ quản lý SAN.

1. CÁC GIẢI PHÁP SAO LƯU

Hệ thống CSDL dùng chung bảo đảm an toàn dữ liệu theo 3 phương thức cơ bản: sao lưu đầy đủ, sao lưu gia tăng và sao lưu khác biệt.

1. Sao lưu đầy đủ

Dùng để sao lưu tất cả các thông tin được chọn, không quan tâm đến việc thông tin đó được lưu trữ vào thời điểm nào và các lần sao lưu trước đó. Phương pháp này cho phép sao lưu đầy đủ nhất, nhưng tốn kém về thời gian và phương tiện sao lưu. Sao lưu đầy đủ chỉ thực hiện được khi ngừng toàn bộ hoạt động của hệ thống

2. Sao lưu gia tăng

Dùng để sao lưu tất cả các thông tin được chọn mà có sự thay đổi hoặc cập nhật so với lần sao lưu gần nhất trước đó. Phương thức này cho phép tiết kiệm tối đa thời gian, đồng thời cho phép thực hiện sao lưu trực tuyến trong khi hệ thống vẫn đang hoạt động, tuy nhiên khá phức tạp và sẽ tốn nhiều dung lượng lưu trữ trong trường hợp dùng cơ chế Logs của hệ thống.

3. Sao lưu khác biệt

Dùng để sao lưu tất cả các thông tin được chọn mà có sự thay đổi hoặc cập nhật so với lần sao lưu khác biệt hoặc đầy đủ gần nhất trước đó.

III. CHIẾN LƯỢC SAO LƯU

Chiến lược sao lưu là lựa chọn phương thức sao lưu, tần suất sao lưu dữ liệu của hệ thống. Việc hoạch định chiến lược sao lưu tối ưu phải phụ thuộc vào qui mô, tầm cỡ của hệ thống, độ quan trọng của dữ liệu và tính chất nghiệp vụ của hệ thống. Các yếu tố ảnh hưởng trực tiếp đến chiến lược sao lưu:

Quy mô, tầm cỡ của hệ thống: Hệ thống càng lớn, việc phục hồi dữ liệu càng khó khăn và hầu như không thể thực hiện được nếu không có sao lưu. Chi phí và thời gian dành cho việc sao lưu cũng sẽ tỷ lệ với độ lớn dữ liệu.

Độ quan trọng của dữ liệu: Dữ liệu càng quan trọng thì việc sao lưu càng phải được thực hiện nghiêm túc, tuân thủ chặt chẽ các quy định và quy trình sao lưu dữ liệu.

Tính trực tuyến của hệ thống: Thời gian làm việc của hệ thống, số giờ trong 1 ngày, số ngày trong 1 tuần. Tính trực tuyến của hệ thống ảnh hưởng trực tiếp đến việc quyết định thời gian và tần suất sao lưu dữ liệu.

Tính trực tuyến của dữ liệu: Tính trực tuyến của dữ liệu ảnh hưởng đến việc quyết định tần suất và phương thức sao lưu dữ liệu. Đối với những dữ liệu có tính trực tuyến cao, luôn luôn thay đổi, tần suất sao lưu dữ liệu cũng phải cao và việc sao lưu dữ liệu cũng phải hoạt động trực tuyến (có khả năng sao lưu dữ liệu mà không làm ngừng hoạt động của hệ thống).

Khả năng phục hồi dữ liệu: Là khả năng phục hồi lại dữ liệu khi không có sao lưu. Khả năng này phụ thuộc vào tính sẵn có của dữ liệu đầu vào, và phương thức cũng như thời gian nhận/nhập dữ liệu vào hệ thống.

1. Theo ngày

Chúng ta sử dụng backup on-line, cho phép thực hiện việc backup dữ liệu của hệ thống trong khi hệ thống vẫn đang hoạt động (người sử dụng vẫn có thể truy nhập bình thường trong quá trình backup).

Dữ liệu sẽ được lưu trữ ở file backup. Thông tin được lưu trữ bao gồm tất cả các object (bảng dữ liệu, cấu trúc dữ liệu, triggers, packages,…) của CSDL. Phương án này backup phần dữ liệu thay đổi trong ngày của CSDL.

Phương pháp backup này sử dụng công cụ Backup/Restore sẵn có của các hệ quản trị CSDL.

– Chu kỳ

Đối với dữ liệu hệ thống CSDL dùng chung thì: Mỗi ngày định kỳ một lần vào cuối ngày.

– Lưu trữ file backup

Chúng ta sử dụng 7 files khác nhau được gán tên có đánh số từ 1 đến 7, như vậy chúng ta sẽ có số liệu của 7 ngày làm việc gần nhất của hệ thống.

2. Theo tuần

Chúng ta cũng lựa chọn giải pháp backup on-line. Backup toàn bộ hệ thống CSDL dùng chung. Dùng phương án này chúng ta có được số liệu của toàn bộ cơ sở dữ liệu hàng tuần.

Phương pháp backup này sử dụng công cụ Backup/Restore sẵn có của các hệ quản trị CSDL.

– Chu kỳ

Mỗi tuần một lần vào cuối giờ làm việc của ngày thứ sáu, chúng ta thực hiện phương án backup này.

– Lưu trữ file backup

Chúng ta cũng sử dụng 4 files khác nhau được gán tên có đánh số từ 1 đến 4 để backup các datafiles.

3. Theo tháng

Đây là phương án backup toàn bộ hệ điều hành, chương trình ứng dụng và các CSDL dùng chung. Đây là giải pháp backup off-line, đòi hỏi hệ thống không còn các giao dịch kết nối, các CSDL dùng chung phải được shutdown.

Phương pháp backup này sử dụng công cụ System Tools/Backup của Windows Server.

– Chu kỳ

Mỗi tháng một lần vào cuối giờ làm việc của ngày thứ sáu tuần cuối cùng của tháng, chúng ta thực hiện phương án backup này.

– Lưu trữ file backup

Chúng ta cũng sử dụng 12 files khác nhau được gán tên có đánh số từ 01 đến 12 để backup toàn bộ thông số của hệ điều hành.

4. Sao lưu để lưu trữ

Mô hình này để giải quyết khả năng đọc về lâu dài của tài liệu lưu trữ điện tử (khả năng truy cập) bằng cách sử dụng giải pháp kỹ thuật cụ thể để chuyển đổi khuôn thức của tài liệu được hình thành bởi các phần cứng và phần mềm khác nhau thành các tài liệu có cùng khuôn thức.

5. Sao dữ liệu từ vật mang tin cũ sang vật mang tin mới

Đây là phương án sao toàn bộ dữ liệu trên các vật mang tin có nguy cơ lỗi thời hoặc hỏng sang các vật mang tin mới. Đây là giải pháp backup off-line.

1. PHỤC HỒI DỮ LIỆU KHI GẶP SỰ CỐ
2. Trường hợp sự cố dữ liệu ứng dụng

Đối với sự cố khi toàn bộ các file và cơ sở dữ liệu hệ thống của hệ quản trị CSDL vẫn an toàn, chỉ có số liệu của CSDL dùng chung vì lý do gì đó bị hỏng, chúng sử dụng dữ liệu được backup ở các file lưu trữ số liệu hàng tuần và hàng ngày để thực hiện khôi phục. Các bước khôi phục cụ thể như sau:

Khôi phục lại cơ sở dữ liệu sử dụng các file backup dữ liệu tuần (dùng công cụ Backup/Restore của hệ quản trị CSDL).

Sử dụng file backup dữ liệu ngày mới nhất để khôi phục phần dữ liệu mới nhất đến trước khi xảy ra sự cố.

2. Trường hợp sự cố CSDL

Trong trường hợp này có thể sẽ phải cài lại hệ quản trị CSDL. Trước khi cài lại hệ quản trị CSDL, cần lưu lại các file database của CSDL dùng chung để cố gắng sử dụng lại do các file này đang chứa dữ liệu mới nhất. Trong trường hợp không thể dùng được các file database chúng ta sẽ sử dụng các files lưu trữ số liệu hàng tuần và hàng ngày để khôi phục tuỳ thuộc dữ liệu nào được backup gần đây nhất. Các bước khôi phục dữ liệu như sau:

Lưu lại các file cơ sở dữ liệu của ứng dụng và tiến hành cài đặt lại hệ quản trị CSDL (nếu cần thiết).

Dùng lệnh attach database của hệ quản trị CSDL để dùng lại các file cơ sở dữ liệu đã lưu lại ở bước trên.

Sử dụng các file backup số liệu tuần và ngày để khôi phục lại cơ sở dữ liệu trong trường hợp không dùng lại được các file cơ sở dữ liệu.

3. Trường hợp sự cố hệ điều hành

Trong trường hợp máy chủ bị sự cố do một lý do bất khả kháng (hỏng hóc thiết bị, động đất, hoả hoạn, v.v…) không có thể tiếp tục hoạt động ngay được, cần có một quy trình phục hồi hoạt động của điểm này trong thời gian ngắn nhất. Quy trình phục hồi hoạt động như sau:

– Dùng hệ thống máy chủ cluster

Một Cluster là một tập hợp tổng thể các máy tính được kết nối về mặt vật lý với nhau, mỗi máy có bộ xử lý, bộ nhớ động, hệ thống I/O và địa chỉ mạng riêng. những máy tính này có thể chia sẻ một tập hợp các tài nguyên như đĩa, ứng dụng, dữ liệu, địa chỉ mạng logic, password bảo vệ và tất cả được quản lý bởi một tầng quản lý riêng. Tầng quản lý này được gọi là Cluster Manager, chuyên monitor and reacts các sự kiện hệ thống tập chung hoặc là về mặt phần cứng, hệ điều hành hoặc ứng dụng được phát ra và thực hiện các hoạt động để giữ các ứng dụng và dữ liệu sẵn sàng cho việc liên kết với người dùng. Đó là các server mạnh, có khả năng đáp ứng nhiều loại ứng dụng khác nhau liên kết với nhau thông qua đường Ethernet, cùng sử dụng chung một hệ thống lưu trữ thông tin (shared storage) và hoạt động nhờ vào một software cho phép cluster (Cluster-enable software).

Một hệ thống máy nối cluster với nhau cho phép:

Tăng tính sẵn sàng và độ tin cậy của hệ thống.

Tăng hiệu năng của hệ thống.

– Dùng máy chủ dự phòng

Nguyên tắc chung: Dùng hệ thống máy chủ dự phòng tiếp tục thực hiện các giao dịch. Sau khi máy chủ được phục hồi xong, các giao dịch này sẽ được tự động cập nhật vào CSDL chính bằng cơ chế đồng bộ hóa. Quá trình phục hồi máy chủ sẽ được thực hiện qua các bước:

Bước 1: Khắc phục sự cố

Khắc phục sự cố phần cứng (nếu có)

Dựng lại máy chủ hệ thống CSDL dùng chung

Bước 2: Khôi phục lại toàn bộ hệ thống đến thời điểm bị hỏng hóc theo quy trình được nêu ở phần trên

Bước 3: Kiểm tra hệ thống đã hoạt động trở lại

Bước 4: Thực hiện đồng bộ hóa hai cơ sở dữ liệu qua cơ chế của hệ quản trị cơ sở dữ liệu.

Như vậy, đối với trường hợp sự cố trên 1 máy chủ Cluster, hệ thống sẽ được vận hành trên máy chủ Custer còn lại, thực hiện khắc phục sự cố trên máy chủ bị hỏng.

Trường hợp toàn bộ máy chủ Cluster gặp sự cố, chuyển hướng sử dụng của toàn bộ hệ thống lên máy chủ dự phòng, khắc phục sự cố trên máy chủ chính.

Trường hợp toàn bộ máy chủ Cluster và máy chủ dự phòng gặp sự cố, sử dụng các file backup dữ liệu của tháng gần nhất với tháng xảy ra sự cố để phục hồi lại toàn bộ hệ thống. Sau đó sử dụng các files lưu trữ số liệu hàng tuần và hàng ngày để phục hồi lại cơ sở dữ liệu.

1. LỰA CHỌN GIẢI PHÁP LƯU TRỮ

Với các phân tích ưu nhược điểm của các công nghệ lưu trữ phổ dụng hiện nay, kết hợp với tính chất công việc, yêu cầu sử dụng và kinh phí đầu tư của hệ thống cơ sở dữ liệu dùng chung, chúng tôi đề xuất giải pháp sử dụng công nghệ NAS kết hợp với DAS dùng cho thiết bị lưu trữ.

NAS bảo đảm tính sẵn sàng cũng như khả năng an toàn dữ liệu, không phụ thuộc các server. NAS phù hợp với các hệ thống lưu trữ với dung lượng lớn. Chúng tôi chọn giải pháp NAS dùng cho hệ thống lưu trữ tại Trung tâm Lưu trữ tỉnh. Chi tiết về hệ thống NAS được đề xuất sẽ được chúng tôi trình bày trong phần “Hệ thống lưu trữ”.

Với nhu cầu lưu trữ tại các đơn vị, chúng tôi sử dụng giải pháp lưu trữ DAS với thiết bị lưu trữ dung lượng lớn gắn trực tiếp với máy chủ database. Mỗi máy chủ database tại các trung tâm lưu trữ được gắn trực tiếp với thiết bị lưu trữ DAS.

1. Lưu trữ dùng NAS (lưu trữ trực tuyến)

Để đáp ứng cho nhu cầu lưu trữ tại các Trung tâm Lưu trữ quốc gia, chúng tôi đề xuất sử dụng thiết bị lưu trữ NAS server.

Máy chủ NAS thực hiện lưu trữ các dữ liệu của các server trên mạng, góp phần loại trừ và giảm yêu cầu về các thiết bị lưu trữ gắn trực tiếp vào các server đó. Khả năng này giúp tăng cường tính sẵn sàng của dữ liệu – dữ liệu có thể được truy xuất bởi nhiều client khác nhau mà không bị ảnh hưởng bởi tình trạng của server. Ngay cả khi server có sự cố không hoạt động được, dữ liệu vẫn sẵn sàng cho các nhu cầu sử dụng của người dùng.

NAS thực chất là một máy chủ với khả năng lưu trữ và khả năng mở rộng lớn theo yêu cầu. Ngoài ra, các thiết bị NAS có khả năng kết hợp với nhiều thiết bị và giải pháp lưu trữ khác khi có nhu cầu mở rộng.

2. Lưu trữ dùng tủ đĩa lưu trữ (lưu trữ trực tuyến)

Với thiết bị lưu trữ tại các Trung tâm lưu trữ quốc gia, chúng tôi sử dụng tủ đĩa lưu trữ gắn trực tiếp với máy chủ cơ sở dữ liệu. Với khả năng lưu trữ dung lượng lớn, độ sẵn sàng và hiệu năng cao, tủ đĩa lưu trữ là giải pháp lý tưởng cho công tác lưu trữ tại các trung tâm lưu trữ quốc gia.

Hệ thống tủ đĩa lưu trữ cần đáp ứng được một số tiêu chuẩn sau:

– Gọn nhẹ, không chiếm nhiều không gian lưu trữ;

– Hỗ trợ các chuẩn lưu trữ tiên tiến, cho phép trao đổi dữ liệu tốc độ cao;

– Có khả năng mở rộng, bảo đảm người dùng có thể bảo toàn đầu tư khi nâng cấp trong tương lai;

– Ổ cứng, nguồn, quạt có khả năng thay thế nóng. Quạt, nguồn và I/O module đều có khả năng dự phòng;

– Hỗ trợ nhiều ổ cứng với dung lượng lớn;

3. Lưu trữ dùng băng từ (Tape) (lưu trữ ngoại tuyến)

Như trên đã trình bày, với việc lưu trữ tại trung tâm tích hợp dữ liệu của Cục Văn thư và Lưu trữ nhà nước, bên cạnh việc dùng SAN server làm thiết bị lưu trữ chính, chúng tôi sử dụng tape storage để backup các dữ liệu với dung lượng lớn.

Trong đề xuất kỹ thuật này, chúng tôi đề xuất sử dụng thiết bị autoloader để backup dữ liệu từ server ra hệ thống băng từ. Hệ thống autoloader có một đầu đọc ghi và chứa được một số tape nhất định.

Autoloader có thể chứa đồng thời nhiều tape.

Khi đọc ghi dữ liệu, hệ thống chỉ có thể truy cập một tape tại một thời điểm.

Với số lượng tape lớn hơn khả năng lưu trữ của autoloader, một số tape có thể được lưu trữ ngoài và sẽ được đưa vào autoloader khi có nhu cầu sử dụng.

Các dữ liệu lưu trên tape có nhược điểm là tốc độ truy cập chậm hơn so với trên ổ đĩa cứng nhưng bù lại, chúng ta có thể lưu trữ được dung lượng lớn dữ liệu trên tape với chi phí rẻ, cho phép thực hiện bảo quản lâu dài.

4. Lưu trữ dùng CD (lưu trữ ngoại tuyến)

Trong giải pháp này, chúng tôi vẫn đề xuất một giải pháp lưu trữ khác phổ biến ở Việt Nam là thực hiện lưu trữ trên các đĩa CD. Để thực hiện được điều này, Cục Văn thư và Lưu trữ nhà nước và các Trung tâm lưu trữ Quốc gia được trang bị các đầu ghi CD dùng cho mục đích lưu trữ các dữ liệu đã được số hóa trên CD.

5. Sao lưu dữ liệu

– Đối với dữ liệu lưu trữ trực tuyến phục vụ nhu cầu quản lý và khai thác, sử dụng chúng tôi đề xuất sử dụng:

+ Giải pháp sao lưu gia tăng;

+ Chiến lược và chu kỳ sao lưu theo tuần;

– Đối với dữ liệu lưu trữ ngoại tuyến phục vụ yêu cầu bảo quản lâu dài, chúng tôi đề xuất sử dụng:

+ Giải pháp sao lưu đầy đủ;

+ Chiến lược sao lưu từ vật mang tin cũ sang vật mang tin mới, chu kỳ sao lưu từ 5 đến 15 năm;

6. Định dạng dữ liệu lưu trữ

Ngoài bản thân nội dung đối tượng cần lưu trữ, các thông tin mô tả có vai trò quan trọng phục vụ cho quá trình thu thập, bảo quản, lưu trữ cũng như khai thác sử dụng tài liệu lưu trữ. Có nhiều tiêu chuẩn mô tả khác nhau được sử dụng trong các tổ chức liên quan đến lưu trữ, chúng tôi đề xuất sử dụng tiêu chuẩn Duplin Core để mô tả dữ liệu lưu trữ và sử dụng ngôn ngữ XML để trao đổi CSDL trong lưu trữ với các lý do sau:

Cơ sở pháp lý: Quyết định 20/2008/QĐ-BTTTT ngày 09 tháng 4 năm 2008 của Bộ Thông tin và Truyền thông về việc ban hành Danh mục tiêu chuẩn về ứng dụng công nghệ thông tin trong cơ quan nhà nước tại Phần 5.1 đã quy định Tiêu chuẩn dữ liệu đặc tả bắt buộc áp dụng là Dublin Core.

Các yếu tố siêu dữ liệu Dublin Core có những ưu điểm sau:

+ Tạo lập và sử dụng dễ dàng: cho phép những người không chuyên nghiệp có thể tạo các bản ghi mô tả đơn giản cho các tài nguyên thông tin và truy xuất chúng trên môi trường mạng một cách dễ dàng.

+ Ngữ nghĩa dễ hiểu, sử dụng đơn giản: Việc khai thác thông tin trên mạng internet diện rộng thường gặp trở ngại bởi những sự khác nhau về thuật ngữ và sự mô tả thực tế. Dublin Core Metadata giúp những người dò tìm thông tin không chuyên có thể tìm thấy vấn đề mình quan tâm bằng cách hỗ trợ một tập hợp các phần tử thông dụng mà ngữ nghĩa của chúng được hiểu phổ biến.

+ Phạm vi phổ biến: Tập hợp các phần tử Dublin Core Metadata lúc đầu được phát triển bằng tiếng Anh, nhưng hiện nay nó được câp nhật thêm với khoảng 25 ngôn ngữ khác nhau (phiên bản v1.1)

+ Tính mở rộng: Những nhà phát triển Dublin Core đã cung cấp một cơ chế cho việc mở rộng tập các phần tử Dublin Core, phục vụ nhu cầu khai thác các tài nguyên bổ sung. Các phần từ Metadat từ những tập các phần tử khác nhau có thể liên kết với metadata của Dublin Core. Điều này cho phép các tổ chức khác nhau có thể dùng các phần tử Dublin Core để mô tả thông tin thích hợp cho việc sử dụng tài nguyên trên Internet.

+ Giúp nâng cao độ chính xác của định chỉ số

+ Có khả năng liên tác (Interoperability), sử dụng lẫn nhau

+ Mở rộng thuận lợi

Mỗi yếu tố Dublin Core được đặt tên (Element Name) và quy định nhãn (label) để sử dụng ghi vào trong thẻ meta. Mỗi yếu tố được định nghĩa cụ thể để mô tả đối tượng và có chú thích rõ ràng./.

Th.s Lê Văn Năng – GĐ Trung tâm Tin học – Cục VTLTNN

Cách Cài đặt WIN cho máy chủ IBM

Cài đặt máy chủ có thể được chia ra làm các bước chính:

1. Cấu hình RAID
2. Cài đặt Windows

I. Cấu hình RAID

Bước 1

– Cho đĩa Smart Start (tất cả các máy chủ của các hãng đều có đĩa này đi kèm) vào ổ CD rồi boot từ đĩa CD.

Bước 2

– Tạo mảng (creat array). Nếu máy chủ có 1 ổ cũng phải tạo mảng (array) bao gồm 1 ổ.

– Ví dụ máy chủ có 5 ổ cứng tôi sẽ tạo mảng là: 3 ổ đầu là Array 0, 2 ổ sau là Array 1.

Bước 3

– Tạo Logic Disk: Array 0 có 3 ổ tôi có thể cấu hình RAID 0 hoặc RAID 5

– Tôi tạo RAID 0 trên Array0 và RAID1 trên Array1

Hoàn thành toàn bộ quá trình hệ thống sẽ yêu cầu tôi tạo Partitions cho ổ đĩa cài Windows

II. Cài Windows

– Sau đó máy chủ sẽ yêu cầu cho đĩa CD cài Windows vào, hệ thống sẽ tự động copy toàn bộ rồi tiến hành cài đặt.

– Lưu ý cài Windows Server cho máy chủ sẽ lâu hơn cài trên PC bởi máy chủ sẽ tiến hành cài đặt toàn bộ các Driver và cấu hình chuẩn cho phần cứng đảm bảo hệ thống hoạt động cao nhất.

Chúc bạn thành công!

Hướng dẫn cấu Hình RAID Trên Server IBM X3650 M4

Như chúng ta đã biêt IBM là 1 trong những tập đoàn hàng đầu về cung cấp server cho các doanh nghiệp và các Datacenter. Việc triển khai 1 server mới đối với anh em làm server và hạ tầng là việc chúng ta thường xuyên làm, tuy nhiên có nhiều trường hợp chúng ta chỉ làm 1 vài lần rồi sài cho đến khi hư hẳn server thì thôi.

Với những anh em mới vào nghề thì việc setup 1 server mới là 1 điều rất thú vị và mang đến nhiều trải nghiệm khác nhau. Và việc đầu tên trong quy trình setup đó bạn cần quan tâm là setup raid cho nó. Về các khái niệm về các bài raid mình xin giới thiệu ở 1 bài viết khác, trong bài viết nầy mình sẽ tập trung giới thiệu về cách raid trên server ibm x3650 m4.

Xin tản mạng sơ 1 chút về raid, raid trên server được chia làm 2 loại đó là raid cứng và raid mềm, đối với dòng x3650 m4 thì bản thân nó đã được tích hợp sẳn raid cứng. Đối với những server chưa được tích hợp raid cứng thì nếu bạn muốn raid cứng thì bạn phải gắn thêm 1 card raid vào.

Nhân tiện nói về card raid mình chia chém gió đôi chút xương máu đã từng trải đối với mấy em server chạy raid cứng. Việc raid của bạn là để đảm bảo các ổ cứng của bạn chạy tốt theo các chuẩn raid bạn đã cấu hình. Và dĩ nhiên tình trạng lỗi ổ cứng nằm trong tầm kiểm soát của bạn. Tuy nhiên có 1 số ít trường hợp bạn gặp phải là card raid bị hư. Khi đó nếu bạn gắn 1 card raid mới khác loại vào thì xác xuất bạn phải re-raid lại rất cao, và điều đó đi kèm với rủi ro là mất toàn bộ dữ liệu mà không cách nào cứu nỗi. Cách tốt nhất đối với các card raid bị hư bạn nên tìm đúng card raid loại tương ứng thay thế. Và nếu đang trong tình trạng hấp hối, có nghĩa là card raid bị phù dẫn đến tình trạng lúc boot được ổ cứng lúc thì không. Đối với những trường hợp nầy bạn tháo PIN của card raid ra để ở 1 chổ thoáng gần đó và khởi động lại cầu may và 1 biện pháp đi cùng là bạn dùng cục tẩy lâu chân tiếp xúc card rồi gắn vào, với cách làm nầy mình đã cứu được 1 em đang hấp hối hồi sinh tạm thời, và dĩ nhiên việc sau khi bạn hồi sinh chú nầy là move hết toàn bộ dữ liệu , backup os ra 1 ổ cứng gắn ngoài khác. Rồi sau đó tính đến phương án thay card raid. Tuy nhiên đối với các dòng server của IBM hiếm khi bạn gặp trường hợp như vừa chia sẽ ở trên.

Về raid cứng và raid mềm, đa số anh em trong nghề chọn raid cứng, vì nó đi đôi với sự ổn định.

Sau đây mình xin vào chi tiết triển khai raid trên server ibm system x3650 m4.

– Đầu tiên bạn khởi động server lên và đợi khoảng tầm hơn 5 phút cho quá trình system initializing.

Hình 1: Cấu hình raid trên server IBM X3650 M4

– Sau khi hệ thống vừa boot lên bạn chọn F1 để setup.

Hình 2: Cấu hình raid trên server IBM X3650 M4

– Sau đó trong hộp thoại System Configuration and… bạn chọn chọn dòng số 2 : System Setting

Hình 3: Cấu hình raid trên server IBM X3650 M4

– Sau đó  Bước tiếp Trong hộp thoại System seting  theo bạn chọn dòng thứ 3 từ dưới đếm lên : Storage

Hình 4: Cấu hình raid trên server IBM X3650 M4

– Và trong hộp thoại Storage  bạn chọn tiếp dòng đầu tiên : LSI MegaRAID  Configuration Utility – 03.02.11.03

Hình 5: Cấu hình raid trên server IBM X3650 M4

– Tiếp theo trong hộp thoại Main Menu bạn chọn Configuration Management.

Hình 6: Cấu hình raid trên server IBM X3650 M4

– Tiếp theo trong hộp thoại Configuration Management bạn chọn Create Virtual Drive để cấu hình RAID

Hình 7: Cấu hình raid trên server IBM X3650 M4

– Và tiếp theo bạn chọn loại RAID mình cần cấu hình. Ở đây mình cấu hình raid 1 với 2 ổ cứng đã gắn sẳn nên mình chọnraid 1

Hình 8: Cấu hình raid trên server IBM X3650 M4

– Và Tiếp theo bạn chọn Save Configuration. Mặc định hệ thống đã chọn 2 ổ cứng vừa gắn vào làm raid 1.

Hình 9: Cấu hình raid trên server IBM X3650 M4

– Và bước tiếp theo bạn Tick vào Confirm và chọn Yes

Hình 10: Cấu hình raid trên server IBM X3650 M4

– Và sau đó bạn chọn OK để hoàn tất.

Hình 11: Cấu hình raid trên server IBM X3650 M4

– Và bây giờ bạn có thể cài đặt hệ điều hành. Đối với trường hợp bạn cài ESXI thì bạn nên download đĩa esxi dành riêng cho dòng server IBM thì nó sẽ tích hợp đủ driver raid khi cài đặt. Như ở hình dưới esxi được cài trên đĩa vmware tích hợp cho dòng server IBM. Và ta thấy ổ cứng đã được raid thành công.

Hình 12: Cấu hình raid trên server IBM X3650 M4

Đối với các hệ điều hành khác bạn nên sử dụng đĩa boot mồi đi kèm của IBM để deploy windows. Cách deploy cũng nan ná như cách deploy của server dell như mình đã giới thiệu ở bài viết Cài Đặt Hệ Điều Hành Cho Dell Power Edge R710 mà mình đã giới thiệu.

====Hết===

NGUYỄN VĂN TÀI – ITDOCVN.COM

Triển Khai Hệ Thống Domain Trên Windows Server 2003 Active Directory

Mô Hình Hệ Thống Trên Windows Server 2000/2003

 

I – Xây Dựng Windows Server 2003 Active Directory Và Tạo Các Đối Tượng Bằng Dòng Lệnh

 

Windows Server 2003 là hệ điều hành mạng hòan thiện nhất hiện nay, chúng ta có thể dùng Windows Server 2003 để triển khai các hệ thống Domain Controller quản trị tài nguyên và người dùng cho một công ty hay xây dựng các Web Server mạnh mẽ, tổ chức các File Server lưu trữ dữ liệu, cung cấp các dịch vụ cho người dùng…

 

Nếu như Windows Server 2003 có thể xem như nhà quản trị tài ba của hệ thống mạng thì Active Directory chính là trái tim của nó, hầu như tất cả mọi hoạt động diễn ra trên hệ thống đều chịu sự chi phối và điều khiển của Active Directory. Từ phiên bản Windows NT4.0 trở về sau, Microsoft đã phát triển hệ thống Active Directory dùng để lưu trữ dữ liệu của domain như các đối tượng user, computer, group … cung cấp những dịch vụ (directory services) tìm kiếm, kiểm soát truy cập, ủy quyền, và đặc biệt là dịch vụ chứng thực được xây dựng dựa trên giao thức Keberos hổ trợ cơ chế single sign-on, cho phép các user chỉ cần chứng thực một lần duy nhất khi đăng nhập vào domain và có thể truy cập tất cả những tài nguyên và dịch vụ chia sẽ của hệ thống vói những quyền hạn hợp lệ.

 

Với những dịch vụ và tiện ích của mình, Active Directory đã làm giảm nhẹ công việc quản lý và nâng cao hiệu quả hoạt động, những công việc mà hầu như không thể thực hiện được trên một hệ thống mạng ngang hàng, phân tán thì giờ đây chúng ta có thể tiến hành một cách dễ dàng thông qua mô hình quản lý tập trung như đưa ra các chính sách chung cho toàn bộ hệ thống nhưng đồng thời có thể ủy quyền quản trị để phân chia khả năng quản lý trong một môi trường rộng lớn.

 

Những Thành Phần Chính Của Hệ Thống Active Directory

 

User : là các tài khoản người dùng, khi cài đặt Active Directory sẽ có một số tài khoản built-in được tạo ra như Administrator là ngừơi có toàn quyền quản trị hệ thống, backup operator là nhóm và người dùng có khả năng backup và restore dữ liệu của hệ thống mà không cần những quyền hạn hợp lệ đôi với những dữ liệu này. Tuy nhiên để các nhân viên trong một tổ chức có thể sử dụng tài nguyên và đăng nhập (log-in) vào domain thì người quản trị cần phải tạo những tài khoản hợp lệ, và cấp phát cho người sử dụng. Các user sẽ dùng những tài khoản được cấp bởi administrator để log-in và domain. Và truy cập dữ liệu trên file server hay các dịch vụ khác..

 

Group: là một tập hợp của những ngừơi dùng có những đặc tính chung, ví dụ các nhân viên của một phòng ban sale có quyền truy cập lên folder sales trên file server hoặc chúng ta muốn các nhân viên của công ty đều có quyền in đối với laser printer, chúng ta nên tạo group printing và gán quyền in trên laser printer sau đó add tất cả các nhân viên của công ty vào group printing này thay vì gán quyền in cho từng user riêng lẽ sẽ không hiệu quả (các bạn cần chú ý sử dụng group Domain User cho những thao tác chung, mặc định tất cả các user được tạo ra đều thuộc group này).

 

OU (organization unit): là những đơn vị tổ chức, khi thiết kế một domain thì chúng ta khảo sát hệ thống có bao nhiêu đon vị tổ chức như có bao nhiêu phòng ban, bộ phận. Dựa trên kết quả khảo sát này sẽ tạo những OU tương ứng với chức năng, vị trí như phòng ban Sales sẽ có một OU Sales và trong OU này chứa group sales, group sales sẽ bao gồm tất cả những thành viên của phòng ban sale, và những user này cũng được đặt trong OU Sales cùng với group sales. Như vậy chúng ta cần phải phân biệt rõ group sales và OU Sales, giữa chúng có những khác biệt cơ bản là OU được dùng để quản trị về mặt chính sách như chúng ta muốn tất cả các nhân viên thuộc phòng ban sales trong môi trường thật được cài đât tự động MS OfficeXP hay update những bản vá nào khi đăng nhập hệ thống thì chúng ta phải tương tác qua OU. Nhưng rõ ràng chúng ta không thể quản lý về quyền hạn truy cập của các user này bằng OU, chính vì vậy chúng ta cần phải tạo ra các group và gán quyền thông qua những group này. Đó là những khác biệt cơ bản nhất mà chúng ta cần phân biệt.

 

Trên đây là 3 đối tượng cơ bản của hệ thống active directory, ngoài ra còn có những thành phần khác như group plicy, site, trusting, global catalog, fsmo..sẽ được trình bày ở những phần tiếp theo.

 

Trước khi bắt tay vào xây dựng hệ thống domain cho tổ chức của mình, một số lưu ý chúng ta cần quan tâm là:

–         Cần có ít nhất 2 domain controler là Primary (PDC) và cái còn lại dùng là Backup (BDC) để đáp ứng chức năng load balancing và faultolerant, nếu hệ thống chỉ có một domain controler duy nhất thì phải backup các system state data của Active Directory cẩn thận theo các mức chuẩn (baseline) để có thể phục hồi khi có sữ cố xảy ra hay dùng cho migration (di trú) qua một máy khác khi PDC bị hư hỏng đột xuất.

–         Hệ thống Active Directory sử dụng DNS cho quá trình phần giải tên các dịch vụ và những thành viên của chúng, vì vậy bắt buộc phải có DNS hợp lệ để Active Directory họat động chính xác, tên của Domain là gì?Thông thường khi cài đặt active directory có thể chọn cài tích hợp dịch vụ DNS, trong trường hợp đã có sẳn máy chủ DNS thì phải khai báo địa chỉ của dịch vụ này trong phần Prefered DNS và tên của domain là tên của tổ chức như tcdescon.com, security365.org..

–         Cần phải khảo sát tổ chức có bao nhiêu thành viên (người dùng) tương ứng với số lượng account được tạo trong Acitve Directory, có bao nhiêu bộ phận, phòng ban để tạo ra các OU và Group tương ứng, ngòai ra chúng ta cần xem xét các quyền hạn sử dụng của các đối tượng, khả năng đáp ứng.. để từ đó đưa ra một bản phác thảo đầy đủ cho hệ thống Domain Controller của mình.

 

Để thực hiện bài Lab này, cần có các máy tính với cấu hình TCP/IP như hình dưới đây, trong đó DC1 là Primay Domain Controller với hệ thống Backup (Secondary Domain Controller) là DC2 tất cả đều sử dụng Windows Server 2003. Client1 có thể dùng Windows XP hoặc Windows 2000.

 

Hệ Thống Domain Controler Và Địa Chỉ IP (Click vào ảnh để phóng to)

 

1- Tiến hành cài đặt tự động Active Directory trên DC1 theo phương pháp Unattend

 

Để thăng cấp một Windows Server 2003 Standalone lên thành Domain Controller chúng ta sử dụng lệnhdcpromo và sau đó cung cấp đầy đủ tên domain, vai trò và vị trí cài đặt..Trong phần này các bạn hãy log-in vào DC1 bằng tài khỏan Administrator và tạo tập tin như đưới đây, hãy thay tên domain security365 bằng tên domain của bạn cũng như các thông tin về Password hay SafeModeAdminPassword tương ứng , các bạn có thể chọn cài cùng lúc DNS bằng cách xác định AutoConfigDNS = Yes, nếu muốn hệ thống reboot lại sau khi cài đặt hãy đặt giá trị RebootOnSuccess = Yes

 

[DCInstall]

RebootOnSuccess = No

DatabasePath = %SYSTEMROOT%\NTDS

LogPath = %SYSTEMROOT%\NTDS

SysVolPath = %SYSTEMROOT%\Sysvol

UserName = administrator

Password = Password

ReplicaorNewDomain = Domain

TreeOrChild = Tree

CreateOrJoin = Create

NewDomainDNSName = security365.org

DNSOnNetwork = No

DomainNetBiosName = SECURITY365

AllowAnonymousAccess = No

AutoConfigDNS = Yes

SiteName = Default-First-Site-Name

SafeModeAdminPassword = netmanager

 

Lưu tập tin trong ở C:\ với tên là dcinfo.txt

 

Sau đó chạy lệnh dcpromo /answer:C:\dcinfo.txt

 

Restart lại hệ thống khi tiến trình cài đặt hòan tất, tiêp theo chúng ta cần tạo ra những tài khỏan người dùng cùng với những Group, OU tương ứng theo các phòng ban như hình sau đây dựa trên mô hình thực tế của công ty có 2 chi nhánh CA và NC, mỗi chi nhánh có các bộ phận Marketing, Accountign và Sales.

 

 

2- Tạo cấu trúc OU với dsadd ou:

 

Có nhiều cách để tạo ra các đối tượng trên Active Directory như OU, Group, User..Các bạn có thể dùng giao diện đồ họa Active Directory Users and Computers console sau đó click chuột phải vào Domain Name (ví dụ security365.com) và chọn những thao tác tương ứng. Ở đây chúng ta sử dụng một phương pháp ít thông dụng hơn dựa trên dòng lệnh, điều này sẽ rất thuận tiện khi muốn xây dựng hệ thống một cách tự động.

Để tạo một OU mới hãy sử dụng dòng lệnh dsadd ou:

 

Dsadd ou “OU=NC,DC=security365,DC=com”

Dsadd ou “OU=CA,DC=security365,DC=com”

Dsadd ou “OU=Marketing,OU=NC,DC=security365,DC=com”

Dsadd ou “OU=Accounting,OU=NC,DC=security365,DC=com”

Dsadd ou “OU=Sales,OU=NC,DC=security365,DC=com”

 

Dsadd ou “OU=Marketing,OU=CA,DC=security365,DC=com”

Dsadd ou “OU=Accounting,OU=CA,DC=security365,DC=com”

Dsadd ou “OU=Sales,OU=CA,DC=security365,DC=com”

 

Có thể dùng tập tin bat để tiến hành tự dộng quá trình trên, với OU là tên của OU được tạo, DC là tên của domain lưu ý nên tạo tuần tự các bước.

 

3. Tạo User Với dsadd user:

 

Chúng ta có thể tạo tài khỏan người dùng với dsadd user, ví dụ sau sẽ tạo ra tài khỏan cho Nguyen Tran Duy Vinh thuộc phòng ban Sales :

–         tên đăng nhập vinhndt, mật mã đăng nhập 123qwe!@#

–         thuộc bộ OU Sales

–         first name là nguyen tran duy

–         last name là vinh

–         tên upn là ntdvinh@security365.com

–         để tài khỏan có thể sử dụng được ngay hãy đặt –disable no

 

dsadd user “CN=vinhndt,OU=Sales,OU=CA,DC=security365,DC=com” –upn

vinhndt@security365.com –fn nguyen tran duy –ln vinh –pwd 123qwe!@# –disabled no

 

3.Tạo Group với dsadd group:

Các user trong mỗi phòng ban thường có những đặc tínhchung như quyền hạn truy cập vào tài nguyên chia sẽ của bộ phận, khả năng sử dụng máy in…Vì vậy hãy tạo ra các nhóm người dùng (Group) sau đó add những user vào. Chúng ta có thể thực hiện điều này với dòng lệnh dsadd group. Ví dụ sau đây sẽ tạo một gourp có tênlà Consultants (CN) trong OU Marketing của domain Security365.Com, group type là security và group scope là global.

Dsadd group “CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com”

–secgrp yes –scope g

 

Ghi Chú: Có hai lọai group trong active directory là security và distribution. Hầu hết các group chúng ta tạo ra và sử dụng đề thuộc lọai security goup. Distribution group chỉ được dùng cho quá trình họat động của các ứng dụng như Exchange Server, và các bạn không thê gán quyền truy cập đối với lọai group này. Ngòai ra các group đươc chia làm 3 lọai group scope là Global, Universal và Local. Với Local Group các thành viên chỉ có thể truy cập những tài nguyên trên domain nội bộ. Khi hệ thống có nhiều domain, để user có thể truy cập tà nguyên ở các domain khác thì chúng phải là thành viên của Global hay Universal Group.

 

4.Add User vào Group Với Dsmod:

Để Add User Nguyen Tran Cat Vinh là thành viên của group Consultant trong OU Marketing (là OU con của CA) cho domain Security365.Com ta sử dụng lệnh sau :

 

Dsmod group “CN=Consultants,OU=Marketing,OU=CA,DC=security365,DC=com” –

addmbr “CN=vinhntc,OU=Marketing,OU=CA,DC=security365,DC=com”

 

Trong những trường hợp quản trị từ xa hay cần tạo ra nhiều đối tượng cùng lúc cho hệ thống cách tốt nhất là sử dụng các tiện ích dòng lệnh. Cách thức quản trị Active Directory thông qua giao diện đồ họa như Active Directory Users and Computer các bạn có thể tham khảo ở trang web http://www.microsoft.com, mọi thắc mắc gởi đến mục HelpDesk trang web http://www.security365.org, Công ty Giải Pháp An Tòan.

 

II – Join Máy Tính Client1 Vô Domain

Sau khi cài đặt và cấu hình xong hệ thống Active Directory chúng ta cần join các clien vào domain để có thể quản lý, cấp quyền truy cập, sử dụng tài nguyên cho người sử dụng. Hãy log-in vào Client1 với quyền Administrator và click chuột phải vào My Computer chọn Properties:

 

Trên tab Computer (Network Identification) hãy nhấn Change hoặc Properties tùy thuộc vào hệ điều hành Client1 sử dụng là Windows XP hay Windows 2000Tiếp theo và nhập vào thông tin sau:

 

Nhấn OK, một hộp thọai yêu cầu thông tin Username & Password sẽ hiển thị, hãy nhập vào tài khỏan hợp lệ ví dụ Administrator và nhấn OK để hòan tất quá trình join domain.

 

 

III – Cài Đặt Secondary Domain Controler:

Đối với các hệ thống mạng lớn có nhiều user, chúng ta nên triển khai thêm các secondary domain controler (hay còn gọi là Backup Domain Controler-BDC) để tăng cường khả năng đáp ứng yêu cầu truy cập của user và khi primary domain controler gặp phải những sự cố thì hệ thống vẫn có thể họat động bình thường nhờ vào secondary domain controler này, ngòai ra chúng ta còn có thể phục hồi cơ sở dữ liệu của Active Directory trên PDC. Cả hai hệ thống Domain Controler này đề chứa cùng một cơ sở dữ liệu của domain như user, group policy, ou…và khi dữ liệu trên một domain controller này thay đổi sẽ được tự động replicate (sao chép) sang những domain controler còn lại, tiến trình này diễn ra hòan tòan tự động do dịch vụ KCC (knowledge consistent checker) của hệ thống đảm nhiệm. Tuy nhiên trong những trường hợp đặc biệt các bạn có thể tiến hành replicate ngay lập tức. Sau đây là các bước xây dựng secondary domain controller:

 

Join máy tính DC2 vào domain và log-in bằng tài khỏan Administrator. Mở Start – > Run và chạy lệnh dcpromo

 

 

Trên màn hình cài đặt tiếp theo chúng ta chọn mục Additional domain controller for an existing domain và nhấn Next. Ở cữa sổ Network Credential hãy nhập vào tài khỏan Administrator, Password của domain và chọn Next:

Tiếp theo chương trình sẽ hỏi tên của domain mà DC2 sẽ làm secondary domain controller (trong ô additional domain controller). Tên này sẽ tự hiển thị nếu như DC2 là thành viên của Domain. Nếu các bạn tiến hành thăng cấp không qua bước join DC2 vô domain thì phải nhập tên Domain đầy đủ như security365.com. Một điều cần lưu ý là phải cấu hình địa chỉ DNS cho domain trong phần Prefered DNS, vì đa số các sự cố và lỗi khi thăng cấp một secondary domain controller cũng như trong qua trình họat động của Active Directory đều liên quan đến việc cấu hình địa chỉ DNS server không chính xác làm cho quá trình phân giải tên các máy chủ và các dịch vụ không tiến hành được.

Sau đó hãy chấp nhận giá trị mặc định về vị trí cài đặt, lưu trữ database của active directory cũng như sysvol folder. Nếu muốn thay đổi các thông số này sau khi cài đặt hãy dùng công cụ NTDSUTIL.

 

Cuối cùng một bảng tóm tắt các thông tin của secondary domain controller hiển thị, hãy kiểm tar lại và nhấn Next để tiến trình cài đặt diễn ra, sau khi hòan tất hãy restart lại hệ thống DC2.

 

Như vậy chúng ta đã xây dựng xong hệ thống active directory cho domain security365.com với một primary và một secondary domain controler, lúc này các máy tính client trên hệ thống có thể join domain với những tài khỏan hợp lệ để thực hiện công việc của mình.

 

Tác giả: Rồng Đông Dương

Email: Indochina@Security365.Org

Công Ty Giải Pháp An Tòan – Web: http://www.security365.org

Hướng dẫn tạo Roaming Profile và Mandatory Profile

Tạo Roaming Profiles:

Các thao tác cần thực hiện: tạo Profile mẫu, copy Profile mẫu qua Server, chỉnh lại thông tin trên tab Profile của User.

 

– Tạo Profiles mẫu:

Vào Active Directory Users and Computers tạo ra 1 user mới với tên bất kỳ giả sử là “user_mau”.

Dùng máy Client đăng nhập vào user này rồi thay đổi thuộc tính, trình bày bất kỳ trên desktop tùy sở thích (khi đăng nhập xong thóat ra những gì mà bạn đã làm sẽ được lưu lại, thông tin này sẽ làm định dạng mẫu cho những profile sau này).

Logoff ra khỏi User “user_mau” và logon vào lại với User “administrator” của máy Client vừa logoff.

– Copy Profile mẫu vừa tạo qua Server:

Trên ổ đĩa C hoặc bất kỳ tạo Folder để lưu profile, giả sử là thư mục profiles, mở tab Securities share Full Permission.

Sau khi logon vào user admin của máy client, click chuột phải trên My Computer –>Advanced –> tại User Profiles chọn Settings –> Chọn Profile vừa tạo (cái này mới chỉ là Local Profiles, ko phải Roaming Profiles) –> Chọn Copy to –> hộp thoại hiện ra, tại phần Copy profile to đánh đường dẫn nơi chứa Profile này trên server, giả sử như\\192.168.1.100\profiles\roaming. Bấm vào nút change rồi đánh vào chữ everyonetại ô “Enter object name to select” ở bên dưới.

 

Chú ý:

– Tại \\192.168.1.100\profiles\roaming thì 192.168.1.100 là ip của server, roaminglà tên thư mục con sẽ được tạo ra tự động bên trong thư mục profiles, nếu ko muốn để là roaming có thể chọn bất kỳ tên gì, profiles là tên thư mục share vừa tạo.

 

– Chỉnh lại thông tin trên tab Profile của User:

Bây giờ có thể tạo các User mới và chỉnh lại profile cho nó. Vào Active Directory Users and Computers chọn User muốn chỉnh Profile. Click chuột phải chọn Properties, chọn tab Profile, tại phần Parth Profiles đánh đường dẫn của profile trên server vào giả sử: \\192.168.1.100\profiles\roaming

 

Log vào User mới tạo để test kết quả.

 

Nếu muốn tạo Roaming Profiles cùng lúc cho nhiều user chỉ việc select tấc cả các user đó, tại phần Profile path điền vào \\192.168.1.100\profiles\%username% sau đó copy profile “roaming” vào cùng trong thư mục share “profiles” rồi rename lại đúng với tên của từng user. Đối với Roaming Profiles thì mỗi user sẽ có 1 folder riêng để chứa thông tin trên server.

 

Tạo Mandatory Profiles:

 

– Tương tự như Roaming profiles chỉ khác ở chỗ đổi file ntuser.DAT thànhntuser.MAN trong thư mục chứa Profile mẫu. Đối với Mandatory thì chỉ cần tạo 1 profiles duy nhất sau đó assign (gán) cho tấc cả các user.

 

Chú ý quan trọng cần biết:

 

 

– Máy có thể tự tạo Profile mặc định mà không cần thực hiện bước copy profile, bước copy chỉ cần thiết khi nào muốn user khởi động với một giao diện định sẵn bởi admin.

Để máy tự tạo Roaming profiles: chỉ cần tạo ra user mới và đặt đường dẫn Profile path đến thư mục Share Full cho user, máy sẽ tự tạo 1 roaming profile mặc định trên thư mục share sau khi user logon và logoff lần đầu tiên.

– Các bước quản lý và copy profile chỉ thực hiện được trên máy local admin, nơi user đã từng logon và logoff để tạo profile.

– Nhớ bước Change và chọn group everyone trong lúc copy, lỗi hầu hết là tại bước này do ko share cho everyone.

 

Tạo Home Folder bằng DC

 

ADUC -> chọn User -> Properties ->Profile -> Home Folder -> Connect -> chọn ổ đĩa -> \\server\sharefolder\%username%

 

Tạo Home Folder bằng Command

 

Script: net use P: \\server\sharefolder

Save lại file .bat rồi đưa parth vào Logon Script ở tab Profile trên user.

 

Tự động map máy in bằng VB Script

 

Set WshNetwork = CreateObject(“WScript.Network”)

PrinterPath = “\\sv2003\HPLaserJ”

PrinterDriver = “HP LaserJet III”

WshNetwork.AddWindowsPrinterConnection PrinterPath, PrinterDriver

WshNetwork.SetDefaultPrinter \\sv2003\HPLaserJ

Thay đổi Permission và Take Ownership tập tin và thư mục [windows 7]

Khi thay đổi hệ điều hành và di chuyển dữ liệu, bạn có thể không thể truy cập được một số tập tin hoặc thư mục của bạn nữa. Điều này có thể xảy ra do người dùng bị mất quyền sở hữu của các tập tin và thư mục hoặc nó không còn quyền yêu cầu.

Trong bài hướng dẫn này, chúng tôi sẽ hướng dẫn bạn cách lấy lại quyền đã mất.
Mặc dù, các bước thao tác có lâu một chút, nhưng nó sẽ không phức tạp như bạn nghĩ.
Nếu bạn không thể mở, xoá hoặc thay đổi thư mục từ ổ đĩa của bạn. Có nghĩa là bạn đã bị mất quyền sở hữu của thư mục hoặc bạn cần chuyển đổi quyền truy cập của bạn. Để cho quá trình thay đổi này thành công, bạn cần phải thực hiện nó dưới tài khoản như là tài khoản quản trị.

Cả hai hoạt động này được thực hiện từ trình đơn như nhau. Trước hết bạn tìm đến thư mục bạn cần thay đổi, click chuột phải >> chọn properties.

Hình 1.

1. Take ownership

Trong cửa sổ Properties bạn chuyển đến thẻ Security và click Advanced.

Hình 2.

Trong cửa sổ Advanced Security Setting for.. bạn chuyển sang thẻ Owner. Nếu người dùng của bạn không phải là chủ sở hưu thư mục, click Edit. User Account Control được kích hoạt, nhấn Ok.

Hình 3.

Trong cửa sổ Owner, click Other users or groups.

Hình 4.

Bây giờ bạn cần phải nhập tên người dùng hoặc nhóm người dùng bị mất quyền sở hữu. Nếu bạn gõ Administrators bạn sẽ cung cấp quyền sở hữu cho tất cả những người dùng trong nhóm Administrators trên máy tính của bạn. Nếu bạn muốn cho quyền sở hữu duy nhất một người dùng, nhập tên người dùng sau đó bấm vào Check Names.

Hình 5.

Nếu người dùng hoặc nhóm người dùng được tìm thấy trên máy tính của bạn, bạn sẽ nhìn thấy chuỗi ký tự bạn gõ sẽ thay đổi [tên máy tính][user] hoặc [tên máy tính][group]. Nhấn Ok để kết thúc.

Hình 6.

Nếu người sử dụng hoặc nhóm người dùng không được tìm thấy, bạn sẽ nhận một cảnh báo Name not found error. Bạn cần phải đảm bảo bạn đã nhập username hoặc group đúng. Click Ok.

Hình 7.

Trong cửa sổ Owner, chọn user/group bạn vừa thêm vào và chọn Replace Owner on subcontainers and objects sau đó nhấn Ok.

Hình 8.

Bây giờ bạn sẽ nhận được sự xác nhận rằng bạn đã lấy được quyền sở hữu thư mục, nhấn Ok.

Hình 9.

2. Thay đổi Permission.

Trong cửa sổ Properties, bạn chuyển đến thẻ Security và click Edit.

Hình 10.

Nếu bạn không nằm trong danh sách người dùng hoặc nhóm người dùng được định nghĩa sẵn, bạn click vào nút Add. Nếu người dùng đó hoặc nhóm người dùng nằm trong danh sách có sẵn, bạn hãy chọn nó và nhấn vào Allow Full control sau đó nhấn Ok.

Hình 11.

Bây giờ bạn cần phải nhập tên người dùng hoặc nhóm người dùng mà bạn muốn thây đổi permission.

Hình 12.

Nếu bạn nhóm người dùng hoặc người dùng bạn nhập không đúng, lúc này bạn cũng sẽ nhận được hộp thoại cảnh báo Name Not Found. Bạn cần kiểm tra lại và nhấn Ok.
Trong cửa sổ Security, chọn người dùng / nhóm người dùng bạn vừa mới thêm vào sau đó click Allow Full control.

Hình 13.

Enjoy

Hướng Dẫn share thư mục và phân quyền trong mạng lan

Công ty bạn bao gồm 3 phòng ban: kế toán, nhân sự, ban giám đốc
Bạn muốn tạo thư mục share Date trên máy server các bước làm như sau:

– Tạo các group BanGiamDoc, KeToan, NhanSu



– Tạo các user: TPKeToan, kt1, kt2, TPNhanSu, ns1, ns2



– Add các user TPKeToan, kt1 và kt2 vào group KeToan



– Add các user TPNhanSu, ns1 và ns2 vào group NhanSu



– Tạo cây thư mục như hình vẽ



a. Share folder Data
– Click phải Data > Properties



– Tab Sharing > Chọn Share this folder > Chọn Permissions



– Chọn Full Control tại cột Allow > OK > OK



b. Hồ sơ của phòng ban nào thì phòng ban đó quản lý
– Màn hình Data Properties > Tab Security > Chọn Advanced



– Màn hình Advanced Security Settings for Data > Gỡ dấu check All inheritable permissions from … defined here >



– Màn hình Security > Chọn Copy > Chọn OK



– Trong Tab security > Chọn Users (HOUSE\Users) > Remove



– Quan sát kết quả > Chọn Add



– Add các group NhanSu và KeToan > OK



– Quan sát kết quả > OK



– Click phải folder Chung > Properties



– Tab Security > Chọn group KeToan > Chọn Modify tại cột Allow



– Tab Security > Chọn group NhanSu > Chọn Modify tại cột Allow > OK



– Click phải folder KeToan > Properties > Tab Security > Chọn group KeToan > Chọn Modify tại cột Allow



– Tab Security > Chọn group NhanSu > Chọn Read & Execute tại cột Deny



– Màn hình Security > Yes > OK



– Click phải folder NhanSu > Properties > Tab Security > Chọn group NhanSu > Chọn Modify tại cột Allow



– Tab Security > Chọn group KeToan > Chọn Read & Execute tại cột Deny > Màn hình Security > Yes > OK



– Kiểm tra (thực hiện tại PC02) > Start > Run > Nhập \\192.168.1.2 > OK



– Nhập username và password (vd: kt1 / 123) > OK



Bài hướng dẫn trên mình đã phân quyền cụ thể cho các user
ví dụ bạn log off bằng kt1 và thực hiện lấy dữ liệu từ server



– Nhập username và password (kt1 / 123) > OK



– Trong folder Data > Mở file t1.txt > Nhập nội dung tùy ý



– Chọn menu File > Save



– Màn hình cảnh báo > OK



Tại vì trong folder Date mình chỉ cấp quyền đọc không cấp quyền tạo, xóa.
– Trong folder Data > Click phải > New > Folder



– Màn hình cảnh báo > OK



– Trong folder Chung > Click phải New > Folder > Đặt tên là kt1



– Trong folder KeToan > Click phải New > Text Document



– Nhập nội dung tùy ý > Chọn menu File > Save



– Trong folder Data > Click phải folder NhanSu > Open



– Màn hình thông báo lỗi > OK



Do user kt1 chỉ có quyền modify(đọc, xóa, sửa) trên folder chung và ketoan nhưng không có quyền gì của folder nhân sự(folder này chỉ nhân sự và ban giám đốc mới mở ra được)
nhưng ngặt nỗi 1 điều là nếu các thành viên trong công ty bạn yêu mến và giúp đỡ lẫn nhau thì không sao. nhưng nếu có 2 nhân viên nhân sự(ví dụ ns1 và ns2) 2 đứa này có thù với nhau. vào 1 ngày đẹp trời nào đó thằng ns1 được giám đốc yêu cầu làm 1 bảng báo cáo X. ns1 cứ cần mẫn làm và tới 4h chiều thì xong. ns1 lưu dữ liệu vào folder nhansu trên server. thằng nhân sự 2 chơi xấu nó đăng nhập lên server và vào folder nhansu rồi xóa mất của thằng ns1. thế là thằng ns1 chỉ có nước khóc huhu.
để tránh trường hợp này thì ta làm như sau:chúng ta cấp quyền cho các user chỉ có thể xóa các file do chính mình tạo ra

– Thực hiện tại server > Click phải folder NhanSu > Chọn Properties



– Màn hình NhanSu Properties > Chọn Advanced



– Màn hình Advanced Security Settings for NhanSu > Chọn NhanSu > Edit



– Gỡ dấu check Delete Subfolders and File và Delete tại cột Allow > Check vào ô Apply these permissions to objects and/or containers within this container only > OK > OK > OK



– Kiểm tra (Thực hiện tại PC02) > Start > Run > Nhập \\192.168.1.2 > OK



– Nhập ns1 / 123 > OK



– Trong folder NhanSu > Click phải New > Text Document > Đặt tên ns1.txt > Nhập nội dung tùy ý > Chọn menu File > Save



– Start > Run > Nhập \\192.168.1.2 > OK



– Nhập ns2 / 123 > OK



– Click phải ns1.txt > Delete



– Màn hình Confirm File Delete > Yes



– Màn hình thông báo lỗi > OK

Trích nguồn từ: http://thegioitinhoc.vn