[Công nghệ Thông tin] -- [Web] -- [Công nghệ phần mềm] -- [PhoThong] -- [Đăng ký các khóa học] -- [Langbiang's Portfolio] -- [Học viên quen quen]
--------------- <> -----------------
---  KHOA HỌC - CÔNG NGHỆ - GIÁO DỤC - VIỆC LÀM --->>>  CÁC KHÓA HỌC...

Tìm kiếm trong Blog

Cai dat va cau hinh Windows Server 2012 R2 (20)

(Tiếp theo của "Cai dat va cau hinh Windows Server 2012 R2 (19)")



Quản lý các server chưa gia nhập domain




Với các server là thành viên của AD DS, nghĩa là các server này đã thực hiện việc gia nhập (join) vào domain, khi bạn sử dụng Server Manager để kết nối tới chúng, hệ thống sẽ sử dụng giao thức Kerberos và tài khoản đang đăng nhập để chứng thực.



Nếu bạn muốn kết nối tới một server mà nó chưa gia nhập vào domain thì sẽ không thể thực hiện chứng thực bằng tài khoản của hệ thống AD DS. Do vậy, để kết nối và quản lý các server này bằng Server Manager, bạn cần thực hiện các công việc sau:



-         Phải có tài khoản với quyền quản trị hệ thống của server (server mà bạn sẽ kết nối tới).

-         Đưa server vào danh sách WS-Management TrustedHosts.

Các bước để kết nối tới server:

1.      Mở Server Manager, chọn mục All Servers ở khung bên trái.

2.      Chọn trình đơn Manage, chọn Add Servers để mở cửa sổ Add Servers.

3.      Lựa chọn các táp tương ứng để tìm kiếm server sẽ kết nối, trong trường hợp này chỉ sử dụng được hai phương pháp sau:

-         DNS: tìm các server dựa vào DNS server.

-         Import: cung cấp tên của server dưới dạng một tập tin văn bản.

4.      Hệ thống sẽ tìm kiếm hoặc nạp danh sách các server từ tập tin văn bản, và hiển thị các server có thể kết nối.

5.      Lựa chọn server muốn kết nối, bấm chuột vào hình mũi tên phía phải để thêm server vào danh sách Selected.

6.      Bấm OK. Tên server sẽ được thêm vào khung SERVERS của mục All Servers.

7.      Bấm chuột phải vào server vừa được kết nối, chọn Manage As để mở cửa sổ Windows Security, nhập tài khoản có chức năng quản trị server này.

8.      Đối với các máy tính là thành viên của domain, chúng sẽ tự động thiết lập sự tin cậy (trust relationship) với nhau. Tuy nhiên, đối với các máy tính không là thành viên của domain, bạn phải tự thiết lập sự tin cậy, thực hiện bằng cách đưa máy server này vào danh sách TrustedHosts trên máy tính đang chạy Server Manager.

9.      Danh sách TrustedHosts nằm trên một ổ đĩa logic có tên là WSMan:, đường dẫn của danh sách là: WSMan:\localhost\Client\TrustedHosts.

10.  Để đưa một máy tính vào danh sách, sử dụng lệnh Set-Item của Windows PowerShell. Chạy Windows PowerShell với quyền quản trị trên máy đang chạy Server Manager. Nhập dòng lệnh sau:

Set-Item WSMan:\localhost\Client\TrustedHosts –value <servername> -force

 

Quản lý các server đang chạy Windows Server 2012 R2


Sau khi kết nối tới server đang chạy Windows Server 2012 R2 bằng Server Manager, bạn có thể cài đặt các role và feature bằng Add Roles and Features Wizard cho server.

Bạn cũng có thể thực hiện các cấu hình khác như: cấu hình Gộp cạc mạng (NIC teaming), khởi động lại server, vì Windows Remote Management (WinRM) được bật mặc định trên hệ thống Windows Server 2012 R2.

Cấu hình WinRM

WinRM cho phép người quản trị quản lý một máy tính từ xa bằng các công cụ dựa trên Windows Management Instrumentation (WMI) và Windows PowerShell.

Bạn có thể sử dụng Server Manager để thay đổi các thiết lập của WinRM.

Mở Server Manager, chọn mục Local Server ở cửa sổ bên trái, tại khung Properties ở cửa sổ bên phải, mục Remote Management cho biết trạng thái hiện tại của WinRM, mặc định là Enable.

Để thay đổi trạng thái của WinRM, bấm chuột vào trạng thái của mục Remote Management (Enable) để mở cửa sổ Configure Remote Management. Bỏ dấu chọn tại mục Enable Remote Management Of This Server From Other Computers để vô hiệu WinRM, và đánh dấu chọn để bật lại chức năng này.

Cấu hình Firewall của Windows

Từ cửa sổ Server Manager, khi bạn mở một snap-in của MMC trên máy tính từ xa, ví dụ Computer Management, nếu bạn nhận được một thông báo lỗi, nghĩa là Windows Server 2012 R2 tại máy tính từ xa đã bật chức năng tường lửa (Windows Firewall).

Do MMC sử dụng Distributed Component Object Model (DCOM) để quản lý máy tính từ xa, chứ không sử dụng WinRM, mà DCOM lại bị cấm mặc định bởi tường lửa.

Để khắc phục lỗi này, bạn phải thay đổi chính sách của tường lửa trên máy từ xa, cho phép (enable) các dịch vụ sau được phép đi vào (inbound):

-         COM+ Network Access (DCOM-In)

-         Remote Event Log Management (NP-In)

-         Remote Event Log Management (RPC)

-         Remote Event Log Management (RPC-EPMAP)

Để thay đổi chính sách của tường lửa trên máy từ xa, bạn có thể sử dụng một trong các cách sau (thực hiện trực tiếp trên máy cần thay đổi):

-         Mở bằng snap-in MMC Windows Firewall with Advanced Security

-         Sử dụng mô đun NetSecurity trong Windows PowerShell

-         Tạo một GPO với các thiết lập thích hợp và áp dụng GPO cho server cần thay đổi (có thể thực hiện từ xa)

-         Chạy lệnh Netsh AdvFirewall từ cửa sổ dòng lệnh

Phương pháp sử dụng GPO để cấu hình tường lửa có thể thực hiện được từ xa, người quản trị không nhất thiết phải thao tác trực tiếp tại server, có thể thực hiện được trên cả server đang làm việc ở chế độ Server Core, có thể cấu hình một lần cho nhiều máy server. Các bước thực hiện (giả thiết là các server đều thuộc domain, và đã được cài đặt feature Group Policy Management):


  1. Trong Server Manager, mở Group Policy Management, tạo một GPO mới, đặt một tên bất kì, ví dụ: Server Firewall Configuration.
  2. Chuột phải vào GPO vừa tạo ở khung bên trái, chọn Edit để mở cửa sổ Group Policy Management Editor.
  3. Duyệt theo đường dẫn sau: Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Inbound Rules.
  4. Bấm chuột phải vào Inbound Rules, chọn New Rule để mở cửa sổ New Inbound Rule Wizard.
  5. Chọn mục Predefined, xổ danh sách xuống, chọn COM+ Network Access và bấm Next để mở trang Predefined Rules.
  6. Bấm Next để mở trang Action.
  7. Đánh dấu chọn vào mục Allow The Connection, bấm Finish. Luật vừa được tạo sẽ xuất hiện ở phía phải của cửa sổ Group Policy Management Editor.
  8. Tiếp tục mở New Inbound Rule Wizard (bước 4).
  9. Chọn mục Predefined, xổ danh sách xuống, chọn Remote Event Log Management và bấm Next để mở trang Predefined Rules.
  10. Trạng thái mặc định đang chọn cả ba luật, bạn để nguyên và bấm Next để mở trang Action.
  11. Đánh dấu chọn vào mục Allow The Connection, bấm Finish. Ba luật vừa được tạo sẽ xuất hiện ở phía phải của cửa sổ Group Policy Management Editor.
  12. Đóng cửa sổ Group Policy Management Editor.
  13. Trong cửa sổ Group Policy Management, áp dụng (link) GPO Server Firewall Configuration vừa tạo cho domain hoặc OU (chuột phải vào tên domain hoặc OU, chọn Link an Existing GPO).
  14. Đóng cửa sổ Group Policy Management.

GPO bạn vừa tạo sẽ tác động trên toàn domain hoặc OU, do vậy, khi máy tính server từ xa cập nhật GPO này là bạn có thể sử dụng các snap-in MMC như Computer Management, Disk Management.

 

Quản lý các server phiên bản cũ


Trên các hệ điều hành Windows phiên bản trước Windows Server 2012 R2, tường lửa của Windows cũng được thiết lập mặc định để chặn việc quản lý từ xa. Vì vậy, bạn cũng phải thực hiện để thay đổi các thiết lập của tường lửa trên các máy này.

WinRM trên các phiên bản Windows Server trước Windows Server 2012 không được hỗ trợ đầy đủ. Vì vậy, khi bạn sử dụng Server Manager trên Windows Server 2012 R2 để kết nối tới Windows Server 2008 hoặc Windows Server 2008 R2, trong cột trạng thái (status) của Server Manager sẽ có nội dung yêu cầu bạn phải kiểm tra, cập nhật WinRM 3.0, và mở một số dịch vụ tại tường lửa.

Để các server đang chạy Windows Server 2008 hoặc Windows Server 2008 R2 hỗ trợ đầy đủ WinRM bạn phải tải về và cài đặt các gói cập nhật sau:

-         .NET Framework 4.0

-         Windows Management Framework 3.0

Địa chỉ để tải về:

-         http://www.microsoft.com/en-us/download/details.aspx?id=17718

-         http://www.microsoft.com/en-us/download/details.aspx?id=34595

Sau khi cập nhật, hệ thống sẽ tự động chạy dịch vụ Windows Remote Management, tuy nhiên, bạn vẫn phải thực hiện các công việc sau trên máy từ xa:

-         Mở Windows Firewall, vào mục Inbound Rules, chuyển luật Windows Remote Management (HTTP-In) sang trạng thái bật (Enable - Yes). Xem hình minh họa.



-         Tạo một WinRM listener, bằng cách chạy lệnh winrm quickconfig tại cửa sổ dòng lệnh với quyền quản trị hệ thống.

-         Trong Windows Firewall, chuyển sang trạng thái bật (Enable) hai luật sau: COM+ Network Access và Remote Event Log Management.

Tuy bạn đã thực hiện tất cả các cập nhật ở trên, nhưng vẫn còn một hạn chế là bạn không thể sử dụng chức năng Add Roles And Features Wizard trong Server Manager để cài đặt các role và feature trên các máy server từ xa đang dùng phiên bản cũ này. Cụ thể, trong quá trình Add Roles And Features Wizard, các server này sẽ không xuất hiện trong mục Server pool tại cửa sổ Select Destination Server.

Dù vậy, bạn vẫn có thể cài đặt từ xa các role và feature trên các server đang chạy Windows Server 2008 và Windows Server 2008 R2 bằng Windows PowerShell. Các bước thực hiện như sau:


  1. Mở Windows PowerShell với quyền quản trị hệ thống.
  2. Thiết lập một phiên làm việc với máy tính từ xa bằng lệnh sau:
Enter-PSSession <remote server name> -credential <user name>
  1. Nhập password của user name ở bước trên, gõ phím Enter.
  2. Để hiển thị danh sách các role và feature trên máy từ xa, sử dụng lệnh sau:
Get-WindowsFeature




  1. Sử dụng dạng tên ngắn (cột Name) của các role hoặc service xuất hiện trong lệnh Get-WindowsFeature, để cài đặt các thành phần sử dụng lệnh sau:
Add-WindowsFeature <feature name>
  1. Đóng phiên làm việc với máy từ xa bằng lệnh sau:
Exit-PSSession
  1. Đóng cửa sổ Windows PowerShell.

Tạo các nhóm cho server



Để quản trị các hệ thống mạng lớn, bạn sẽ phải kết nối rất nhiều các server vào Server Mananger. Để tránh tình trạng phải làm việc với một danh sách dài các server, bạn sẽ nhóm các server theo vị trí, theo chức năng hoặc theo một tiêu chuẩn tùy ý.



Các bước để nhóm server:



  1. Trong Server Manager, chọn mục All Servers. Trang quản lý All Servers xuất hiện.
  2. Từ trình đơn Manage, chọn Create Server Group để mở cửa sổ Create Server Group. Xem hình minh họa.
 


  1. Nhập tên cho nhóm server trong mục Server Group Name.
  2. Lựa chọn một trong bốn cách để chọn các server.
  3. Chọn các server mà bạn muốn đưa vào nhóm, bấm nút hình tam giác để chuyển server được chọn sang danh sách Selected.
  4. Bấm OK, nhóm server vừa tạo sẽ xuất hiện ở khung bên trái của cửa sổ Server Manager.
  5. Đóng cửa sổ Server Manager.

Việc tạo nhóm chỉ đơn thuần giúp bạn thuận tiện hơn trong việc định vị server, nó không ảnh hưởng gì đến các thao tác bạn sẽ thực hiện trên các server (dù trong nhóm hay không).

 


Sử dụng Remote Server Administration Tools



Bạn có thể sử dụng bất kì máy tính nào đang chạy Windows Server 2012 R2 để quản lý các server từ xa, tất cả các công cụ cần thiết đều được cài đặt mặc định. Tuy nhiên, nếu người quản trị muốn sử dụng máy tính đang chạy hệ điều hành khác để quản lý server từ xa, thì họ phải tải về và cài đặt gói Remote Server Administration Tools. Tải về tại Microsoft Download Center, http://www.microsoft.com/download.

Gói Remote Server Administration Tools có đuôi là .msu. Bạn có thể cài đặt từ File Explorer, từ dòng lệnh hoặc thông qua Software Distribution của GPO.

Khi bạn chạy Server Manager trên máy vừa được cài đặt Remote Server Administration Tools, sẽ không có sẵn local server và remote server trên giao diện, vì vậy, bạn phải thực hiện kết nối bằng tay.

Mặc định Server Manager sẽ chứng thực bằng tài khoản bạn đang đăng nhập hệ thống, vì vậy, để kết nối tới server bằng một tài khoản khác, bạn chuột phải vào server, chọn Manage As, rồi nhập tài khoản mới.

 

Làm việc với các server từ xa


Khi bạn đã kết nối tới các server từ xa bằng Server Manager, bạn sẽ có rất nhiều công cụ để truy cập và cấu hình.

Server Manager cung cấp ba cách để truy cập và cấu hình server:

-         Contextual tasks: bạn có thể bấm chuột phải vào một server trong Server Manager, một trình đơn sẽ xuất hiện, nó cung cấp cho bạn các công cụ và các lệnh liên quan đến server đó. Một số lệnh sẽ trực tiếp được thực thi trên server từ xa, như khởi động lại server, Windows PowerShell. Một số lệnh sẽ triệu gọi một công cụ nào đó trên máy cục bộ, từ công cụ đó sẽ chuyển hướng đến server từ xa, ví dụ các snap-in MMC, Install Roles And Features Wizard. Có một số lệnh trong các mục TASKS cũng thuộc loại contextual tasks này.

-         Noncontextual task: đây là các lệnh nằm trong trình đơn Manage ở phía trên cùng của cửa sổ Server Manager, nó cung cấp các lệnh có tính chất nội tại của Server Manager, như chạy Add Server Wizard, chạy Install Roles And Features Wizard, và mở cửa sổ Server Manager Properties.

-         Noncontextual tool: các công cụ có trong trình đơn Tools, nó cung cấp phương tiện để truy cập tới các chương trình mở rộng, ví dụ các snap-in của MMC, giao diện Windows PowerShell, các chương trình này thực hiện trực tiếp trên máy cục bộ.

 

Tóm tắt nội dung


-         Windows Server 2012 R2 được thiết kế theo hướng hỗ trợ quản trị từ xa. Do vậy, người quản trị rất ít khi phải thao tác trực tiếp tại máy server. Điều này cũng giúp server có thêm tài nguyên (CPU, RAM) để chạy các ứng dụng cần thiết khác.

-         Khi bạn sử dụng Server Manager để kết nối tới một server đang chạy Windows Server 2012 R2, bạn có thể ngay lập tức sử dụng Add Roles and Features Wizard để cài đặt các role và các feature trên server.

-         Mặc định, Windows Firewall trên Windows Server 2012 R2 và các phiên bản trước đó đều không cho phép chạy các MMC từ xa. Vì vậy, bạn phải thực hiện cấu hình lại Windows Firewall để cho phép chạy từ xa các MMC.

-          Để tiện cho việc quản lý nhiều server trong một hệ thống mạng lớn, bạn có thể nhóm các server thành nhóm, có thể nhóm theo vị trí, nhóm theo chức năng hoặc theo một tiêu chuẩn bất kì.

-         Bạn có thể sử dụng Windows Server 2012 R2 để quản lý các server ở xa rất tiện lợi, vì các công cụ đã được cài đặt mặc định. Tuy nhiên, xu hướng quản trị mới của Microsoft là hạn chế việc tương tác trực tiếp tại máy server, thay vào đó là sử dụng các máy trạm để quản lý các server ở xa.

 

Câu hỏi ôn tập

 

  1. Bạn phải thực hiện công việc nào sau đây, trước khi bạn có thể quản lý Windows Server 2012 R2 ở xa bằng Computer Management snap-in?
    1. Bật WinRM của server ở xa.
    2. Kích hoạt luật (rule) COM+ Network Access trên server ở xa.
    3. Kích hoạt luật Remote Event Log Management trên server ở xa.
    4. Cài Remote Server Administration Tools trên server ở xa.
  2. Để liệt kê các luật hiện tại của Windows Firewall trên một máy tính đang chạy Windows Server 2012 R2, sử dụng lệnh Windows PowerShell nào? (có thể chọn nhiều đáp án)
    1. Get-NetFirewallRule
    2. Set-NetFirewalRule
    3. Show-NetFirewallRule
    4. New-NetFirewallRule
  3. Công việc nào sau đây bạn không thể thực hiện được từ xa, khi server ở xa đang chạy Windows Server 2008?
    1. Cài đặt các role bằng Server Manager.
    2. Cài đặt các role bằng Windows PowerShell.
    3. Kết nối tới server ở xa bằng Computer Management snap-in.
    4. Theo dõi các sự kiện trong event log.
  4. Server ở xa đang chạy Windows Server 2008, để kết nối tới server này bằng Server Manager từ Windows Server 2012 R2, bạn phải cập nhật các gói nào? (chọn nhiều phương án).
    1. .NET Framework 3.5
    2. .NET Framework 4.0
    3. Windows Management Framework 3.0
    4. Windows Server 2008 R2.
  5. Khi bạn chạy Server Manager trên máy trạm Windows 8 bằng Remote Server Administrator Tools, mặc định, thành phần nào sau đây không được hiển thị?
    1. Daskboard.
    2. Trang quản lý của Local Server.
    3. Trang quản lý của All Servers.
    4. Trang Welcome.
------------------------
Tham khảo (Lược dịch):
Craig Zacker, Exam Ref 70-410 - Installing and Configuring Windows Server 2012 R2, Microsoft Press, 2014
--------------------------- 
Cập nhật 2014/10/28
---------------------------
Đọc thêm
Cai dat va cau hinh Windows Server 2012 R2 (21)
Labels: ,