TÀI LIỆU HỌC QUẢN TRỊ MẠNG MCSA 2008 (Lưu hành nội bộ ATHENA)
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 1
Phần I - Tìm Hiểu về Windows Server 2008 (Lý thuyết tổng quan về Windows Server 2008)
-
Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng
Windows Server 2008 xây dựng trên sự thành công và sức mạnh của hệ
Cải thiện cho hệ điều hành máy chủ của Windows
Thêm vào tính năng mới, Windows Server 2008 cung cấp nhiều cải thiệm
Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính
Những cải thiện này và rất nhiều cải thiện khác sẽ giúp các tổ chức tối đa
1. Giới thiệu về Windows Server 2008 Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trong việc đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các phiên bản trước đây. - việc bảo đảm tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng. Windows Server 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hỗ trợ cho công việc của doanh nghiệp. - điều hành đã có trước đó là Windows Server 2003 và những cách tân có trong bản Service Pack 1 và Windows Server 2003 R2. Mặc dù vậy Windows Server 2008 hoàn toàn hơn hẳn các hệ điều hành tiền nhiệm. - Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho hệ điều hành cơ bản. - - tốt hơn cho hệ điều hành cơ bản so với Windows Server 2003. - năng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, sự triển khai và hệ thống file. - được tính linh hoạt, khả năng sẵn có và kiểm soát được các máy chủ của họ.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 2
2. Tại sao phải nâng cấp và sử dụng Windows Server 2008
- Microsoft bắt đầu phát triển Windows Server 2008, Microsoft đã mất thời gian để thu thập thông tin phản hồi của người dùng và đưa thông tin này vào những tính năng của sản phẩm.
- Đó chình là hệ điều hành đầu tiên mà Microsoft xây dựng theo những quy tắc
phát triển an ninh chặt chẽ mới của nó. “Chủ đề” về an ninh mạng vào mọi khía cạnh của hệ điều hành và không thể bỏ sót được.
- Cấu trúc mới trên Windows Server 2008 sẽ giảm thiểu ngay tức thì bề mặt tấn công, do đó giảm nhẹ nhựng rủi ro.
- Hiện nay trong các công ty đa số vẫn dung hệ thống mạng trong môi trường
Domain trên nền tảng của Windows Server 2003. Nhưng do hiện nay hệ thống mạng trên Windows Server 2003 vẫn hoạt động ổn định nên người quản trị mạng trong công rất ít đề cập đến chuyện nâng cấp hệ thống lên Windows Server 2008
- Hệ điều hành của Windows Server (Windows Server 2000, Windows Server
2003) đã được sử dụng lâu và đã sắp hết hỗ trợ từ Microsoft, nguy cơ bị tấn công từ lỗ hổng rất là cao.
- Một số năm gần đây Microsoft đã cho ra đời hang loạt sản phẩm mới như
Windows 7, Windows 8, Mail Exchange 2010, SharePoint 2010, SQL 2010. Nhưng để hỗ trợ tốt các sản phẩm mới này thì ta phải nâng cấp hệ thống cho phù hợp để chạy ổn định và hỗ trợ tốt từ Microsoft.
- Với những lý do trên thì việc nâng cấp hệ thống lên Windows Server 2008 là việc cần thiết và phải được xem xét nghiêm túc.
3. Tính năng của Windows Server 2008 a. Windows Server Virtualization Windows Server 2008 gồm có Windows Server Virtualization (WSv), một công nghệ mạnh, hiệu quả và ảo hóa với sự quản lý mạnh và các tính năng bảo mật cao. Windows Server Virtualization sẽ giúp các doanh nghiệp giảm được chi phí, tăng khả năng linh hoạt và tính sẵn có của hệ thống trong việc hợp nhất máy chủ, khôi phục thảm họa, kiểm tra và phát triển, được kết hợp với System Center Virtual Machine Manager và sự quản lý xuyên suốt của các trung tâm dữ liệu động.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 3
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 4
b. World-Class Web và nền ứng dụng Windows Server 2008 cung cấp sự bảo mật, nền tảng dễ quản lý cho việc phát triển và khả năng tin cậy vào các ứng dụng chủ và dịch vụ được cung cấp từ máy chủ hoặc trên Web. Các tính năng mới gồm đơn giản hóa sự quản lý, tăng bảo mật, cải thiện hiệu suất và khả năng mở rộng cao, cung cấp một nền tảng hợp nhất cho việc xuất bản Web có tích hợp Internet Information Services 7.0 (IIS7), ASP.NET, Windows Communication Foundation và Microsoft Windows SharePoint Services. c. Cải thiện hiệu suất kết nối mạng Windows Server 2008 đưa ra một thay đổi lớn nhất trong ngăn xếp kết nối mạng kể từ Windows NT 4.0. Các công nghệ như Receive Window Auto-tuning, Receive Side Scaling và Quality of Service (QOS) cho phép các tổ chức có nhiều thuận lợi trong việc kết nối mạng nhiều Gigabit ngày nay. Integrated IPsec và Windows Firewall mới có tính năng bảo mật nâng cao cho phép các tổ chức bảo đảm và kiểm soát toàn bộ được lưu lượng mạng. d. Bảo mật nâng cao Windows Server 2008 đã được phát triển với mong muốn tạo ra sự bảo mật chặt chẽ nhất từ trước đến nay. Nó chỉ cài đặt các dịch vụ cần thiết cho vai trò mà máy chủ đang thực hiện. Thẩm định nâng cao, mã hóa ổ đĩa, chuyển tiếp sự kiện và Rights Management Services là một trong số những công nghệ giúp tổ chức tham gia vào các chuẩn IT ngày nay. e. Lấy lại sự kiểm soát trên những chi nhánh văn phòng của bạn Các máy chủ quản lý, các dịch vụ và sự bảo mật tại vị trí từ xa là một trong những thách thức đang diễn ra đối với các chuyên gia CNTT. Windows Server 2008 đã đơn giản hóa sự quản trị của các máy chủ trong chi nhánh văn phòng với những cải tiến trong Active Directory, những cải tiến này gồm có Read-Only Domain Controller và sự phân biệt vai trò quản trị. Các công nghệ như tùy chọn cài đặt BitLocker và Server Core ở những tính năng cụ thể tăng độ bảo mật và nhằm vào những cần thiết duy nhất chỉ có của các chi nhánh văn phòng. f. Quản trị máy chủ dễ dàng hơn Đơn giản hóa sự phức tạp của việc quản trị máy chủ là một trong những chủ đề chính được cải tiến của Windows Server 2008. Công cụ quản lý mới như Server Manager Console cung cấp giao diện quản lý đơn giản, hợp nhất cho việc quản lý cấu hình của máy chủ, các thông tin hệ thống, hiển thị trạng thái máy chủ và quản lý tất cả các vai trò đã cài đặt trên máy chủ.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 5
g. Nâng cao kịch bản và tự động hóa nhiệm vụ Các công nghệ mới như Windows PowerShell, tiện ích dòng lệnh và ngôn ngữ kịch bản giúp chuyên gia CNTT giải quyết các nhiệm vụ chung một cách tự động. Với ngôn ngữ kịch bản tập trung quản lý mới, với hơn 120 công cụ dòng lệnh chuẩn, cú pháp và các tiện ích nhất quán, Windows PowerShell hoàn toàn lý tưởng với chuyên gia CNTT trong việc quản trị hệ thống. h. Truy cập ứng dụng tập trung Với Windows Sever 2008, người dùng sẽ được an toàn khi truy cập vào các ứng dụng bên trong thông qua các cổng tường lửa quen thuộc. Với ứng dụng từ xa Windows Server Terminal Services, chỉ có cửa sổ ứng dụng mà không phải toàn bộ desktop từ xa sẽ đựợc khởi chạy và hoạt động trong cửa sổ có thể điều chỉnh kích thước và có khả năng tương tác trên desktop của máy tính khách. l. Bảo vệ các máy tính “không an toàn” khi truy cập mạng Network Access Protection (NAP) nhằm vào vấn đề khi các máy tính “không an toàn” truy cập và gây tổn hại cho mạng của một tổ chức. NAP được sử dụng để bảo đảm bất kỳ máy tính nào kết nối vào mạng đều phải có được chính sách công ty với yêu cầu về “sự an toàn”, điều này nhằm hạn chế sự truy cập của các máy tính không có chính sách được định nghĩa trước, cung cấp dịch vụ điều chỉnh lại để đưa các máy tính trở về trạng thái “an toàn” và cung cấp cách thức kiểm tra chặt chẽ. m. Hoạt động tốt hơn với Windows Vista Windows Vista và Windows Server 2008 được xây dựng có chia sẻ với nhau một số công nghệ mới trong vấn đề kết nối mạng, lưu trữ, bảo mật và quản lý. Chính vì vậy các tổ chức sẽ thấy được những ưu điểm ngay lập tức khi chạy Windows Server 2008 và Windows Vista trong giải pháp máy chủ và máy khách của họ.
4. Tính năng mới của Windows Server 2008 so với Server 2003
Các tính năng mới của Windows Server 2008 so với Server 2003
- Windows Server 2008 có nhiều sự thay đổi so với Windows Server 2003. Trong đó, một số thay đổi chỉ rất nhỏ nhưng một số thay đổi cũng khá đáng kể. Tuy nhiên câu hỏi đáng quan tâm đối với bất cứ ai là "Windows Server 2008 cung cấp những gì để làm cho nó trở thành một phiên bản đáng phải nâng cấp?". - Những tính năng mới: Server Manager Advanced Event Viewer Server Core Read Only Domain Controller (RODC) Terminal Services Gateway Terminal Services RemoteApps Hỗ trợ IPv6 Network Access Protection (NAP) VPN hỗ trợ giao thức SSTP (Secure Socket Tunneling Protocol) FTP bảo mật hơn với SSL (Secure Socket Layer)
1.1. Giới thiệu về các tính năng mới 1.1.0. Server Manager - Windows Server 2008 có một giao diện quản lý mới hoàn toàn, đó là Server Manager. Server Manager là giao diện rất tiện lợi và hữu ích cho việc cấu hình, quản lý và kiểm tra máy chủ. - Mục đích :
- Quản lý đồng nhất trên một server. - Hiển thị trạng thái , thông tin hiện tại của server. - Phát hiện các vấn đề gặp phải với các role đã cài đặt một cách dễ dàng hơn.
- Quản lý các role trên server bao gồm thêm và xóa các role. - Thêm và xóa bớt các tính năng. - Chẩn đoán các dấu hiệu bất thường. - Cấu hình server với 4 công cụ: Task Schedule, Windows Firewall, Services và WMI Control.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 6
- Cấu hình sao lưu và lưu trữ: các công cụ sao lưu và quản lý ổ đĩa là Windows Server Backup và Diskmanagement.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 7
- Trong Server Manager có thể cài đặt Server Roles (như DNS, DHCP, Active Directory) và Role Services (như Terminal Services Gateway và RRAS). Khi Server Roles và Role Services được cài đặt, giao diện quản lý MMC cho các dịch vụ đó sẽ được cài đặt trong Server Manager. Bạn không cần phải tạo một MMC tùy chỉnh cho chính mình.
1.1.1. Advanced Event Viewer
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 8
- Trong Windows Server 2008, Event Viewer được cải thiện. Có một số bản ghi sự kiện của Windows thông thường: Application, Security và System. Nhưng lúc này, bạn hoàn toàn có khả năng xem các sự kiện cho tất cả các ứng dụng và dịch vụ đã được cài đặt trên máy tính. Thêm vào đó, bạn có thể tạo Custom Views của Event Logs, để từ đó tạo các mục của chính mình cho các bản ghi sự kiện dựa trên bộ lọc mà bạn chọn. Một trong những tính năng mới của bản ghi sự kiện (Event Log) đáng quan tâm nhất là khả năng đăng ký sự kiện (Events) trên các máy tính khác trong hệ thống. Điều này cho phép bạn có thể lấy dữ liệu bản ghi sự kiện từ các máy tính khác nhờ vào bộ lọc mà bạn đã cung cấp.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 9
1.1.2. Server Core - Windows Server 2008 có thể được cài đặt theo một trong hai cách sau: cài đặt đầy đủ hoặc Server Core. Cài đặt Server Core là cài đặt một số thành phần được yêu cầu để chạy hệ điều hành lõi. Không có các dịch vụ tùy chọn được cài đặt hay cho phép ở chế độ này. Không có giao diện người dùng khác nào ngoài dòng lệnh. Không có Windows Explorer shell. Tất cả các cấu hình phải được thực hiện cục bộ tại cửa sổ lệnh, hoặc điều khiển từ xa bằng cách sử dụng giao diện quản lý MMC hoặc Remote Server Administration Tools. 1.1.3. Read Only Domain Controller (RODC) - Như đã được học, chúng ta có thể dựng 2 hoặc nhiều Domain Controller để cùng quản lý các tài nguyên trong cùng một hệ thống domain. Tuy nhiên, việc dựng Additional Domain Controller sẽ có những chức năng và tài nguyên ngang hàng nhau (đồng cấp) với tính năng replicate. - Với một Read Only Domain Controller, nó chỉ cho phép user hoặc client chứng thực thông qua nó, nhưng hoàn toàn không thể chỉnh sửa trên nó. Hơn thế, nó cho phép người quản trị giới hạn các thông tin được replicate đến nó từ Domain Controller chính.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 10
1.1.4. Terminal Services Gateway - Một trong những trở ngại để triển khai đầy đủ Terminal Services cho người dùng truy cập từ xa là quản trị viên không thực sự tin tưởng vào trình tự thẩm định và mức độ mã hóa của RDP (Remote Desktop Protocol) tunnel. Một vấn đề khác cũng xuất hiện ở đây đó là nhiều tường lửa từ xa không cho phép trao đổi ra ngoài TCP 3389. Microsoft đã giải quyết vấn đề này bằng cách giới thiệu tính năng Terminal Services Gateway trong Windows Server 2008. - Terminal Services Gateway là một kiểu SSL (Secure Socket Layer) VPN, cũng tương tự như RPC/HTTP cho Microsoft Outlook truy cập vào Exchange Server. Terminal Services Gateway làm việc với RDP 6.0 client nhằm cho phép các kết nối RDP đã được đóng gói đối với máy đầu cuối TS Gateway. - RDP client đóng gói giao thức RDP trong hai giao thức khác. Đầu tiên, giao thức RDP được đóng gói trong RPC header, sau đó nó được đóng gói lần thứ hai bằng một header HTTP đã được mã hóa (SSL). Giao thức đã sử dụng để kết nối TS Gateway là RDP/RPC/HTTP. Microsoft đã thực hiện điều đó để họ sử dụng mã RPC/HTTP đã có từ trước (đã có cho RPC/HTTP proxy của họ). Khi kết nối được máy đầu cuối TS Gateway, TS Gateway sẽ tách các header RPC và HTTP và chuyển tiếp các kết nối RDP đến một máy Terminal Server tương đương hoặc một máy trạm điều khiển từ xa Remote Desktop. 1.1.5. Terminal Services RemoteApps - Mục đích của các quản trị viên bảo mật là làm sao người dùng có được quyền hạn ít nhất. Điều đó đúng đối với các kết nối truy cập từ xa. Tuy nhiên người dùng thực sự cần sự truy cập đầy đủ vào một Desktop hay không? Hay họ chỉ cần truy cập vào các ứng dụng trên Desktop? Hầu hết, họ chỉ cần truy cập vào các ứng dụng và dữ liệu. Trong trường hợp đó, Windows Server 2008 sẽ cung cấp cho bạn một giải pháp có tên là Terminal Services RemoteApp. Terminal Services RemoteApp (TS RemoteApps) cho phép bạn có thể cung cấp việc truy cập chỉ được thực hiện đối với các ứng dụng nào đó thông qua RDP channel. - TS RemoteApps là một tiện ích linh động. Nó giúp kiểm soát các ứng dụng mà người dùng có thể truy cập và cách họ truy cập các ứng dụng như thế nào trên các máy tính của chính họ. TS Remote Apps cùng với TS Gateway làm cho Windows Server 2008 Terminal Server trở thành một giải pháp đáng quan tâm đối với các công ty muốn bảo vệ RDP dựa trên giải pháp truy cập từ xa. 1.1.6. Hỗ trợ IPv6 - Windows Server 2008 là phiên bản đầu tiên của Windows Server có hỗ trợ IPv6 với tư cách là một phần của ngăn xếp IP. Trong các phiên bản trước của Windows (trước Vista), sự hỗ trợ IPv6 được thực hiện song song với IPv4 và không có sự hỗ trợ tích hợp cho IPv6 có trong các dịch vụ cơ sở hạ tầng mạng như DNS và DHCP.
1.1.7. Network Access Protection (NAP) - Network Access Protection (NAP) là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008, Windows Vista, và Windows XP Service Pack 3. NAP cho phép bạn có thể bảo vệ tốt hơn các tài nguyên trong hệ thống mạng bằng việc thi hành một số yêu cầu cần thiết cho nhu cầu bảo mật hệ thống. Với NAP, bạn có thể tạo ra các chính sách cần thiết để kiểm tra sự hợp lệ của một máy tính trước khi cho phép truy cập và liên lạc với các dịch vụ trong hệ thống, tự động nâng cấp các máy tính chưa đủ tiêu chuẩn bảo mật trước khi cho phép kết nối vào hệ thống, và giới hạn truy cập đối với những máy tính không an toàn. - Cơ chế thực thi của NAP: 1. 2. 3. Kiểm tra tình trạng an toàn của client. Giới hạn truy cập đối với các máy client không an toàn. NAP sẽ cập nhật những thành phần cần thiết cho các máy client không an toàn, cho đến khi client đủ điều kiện an toàn. 4. Cho phép client kết nối nếu client đã thỏa điều kiện.
Point-to-Point Tunneling Protocol (PPTP) Layer Two Tunneling Protocol (L2TP)
Secure Socket Tunneling Protocol (SSTP)
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 11
1.1.8. VPN hỗ trợ giao thức SSTP - Như chúng ta đã được biết, VPN là một giải pháp hỗ trợ truy cập từ xa có chi phí và hiệu quả tốt nhất hiện nay cho một hệ thống mạng doanh nghiệp. - Từ trước đến nay, hệ thống VPN hỗ trợ 2 cơ chế kết nối là: - Nhưng hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 và Windows Vista Service Pack 1 còn hỗ trợ thêm một cơ chế kết nối mới là: Chi tiết về VPN với giao thức SSTP, mình sẽ nói đến ở bài khác. 1.1.9. FTP bảo mật hơn với SSL Như chúng ta đã biết về chức năng của SSL dùng để mã hóa dữ liệu. Việc FTP có thể kết hợp với SSL sẽ đảm bảo dữ liệu truyền qua kết nối FTP được bảo mật thực sự
5. Cấu hình chi tiết để hoạt động Windows Server 2008
Thành phần
Yêu cầu
Tối thiểu: 1 GHz (bộ xử lý x86 ) hoặc 1.4 GHz (bộ xử lý x64)
Khuyến nghị: Tốc độ xử lý 2 GHz hoặc nhanh hơn
Bộ xử lý
Chú ý: Cần bộ xử lý Intel Itanium 2 cho Windows Server đối với các Hệ thống dựa trên kiến trúc Itanium.
Tối thiểu: RAM 512 MB
Khuyến nghị: RAM 2 GB hoặc lớn hơn
Tối ưu: RAM 2 GB (Cài đặt toàn bộ) or RAM 1 GB (Cài Server Core) hoặc hơn
Bộ nhớ
Tối đa (hệ thống 32 bit): 4 GB (Bản Standard) hoặc 64 GB (Bản Enterprise và Datacenter)
Tối đa (các hệ thống 64 bit): 32 GB (Bản Standard) hoặc 2 TB (Bản Enterprise, Datacenter, và Các hệ thống dựa trên kiến trúc Itanium)
Tối thiểu: 10 GB
Khuyến nghị : 40 GB hoặc lớn hơn
Không gian ổ đĩa còn trống
Chú ý: Các máy tính có RAM lớn hơn 16 GB sẽ cần nhiều không gian ổ đĩa trống hơn dành cho paging, hibernation, and dump files
Ổ đĩa
Ổ DVD-ROM
Màn hình
Super VGA (800 × 600) hoặc màn hình có độ phân giải cao hơn
Thành phần khác
Bàn phím, Chuột của Microsoft hoặc thiết bị trỏ tương thích
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 12
6. Một số phiên bản của Windows Server 2008
- Windows Server 2008 Datacenter đem tới một nền tảng cấp doanh nghiệp để
triển khai các ứng dụng quan trọng đối với hoạt động kinh doanh và ảo hóa ở quy mô lớn trên các máy chủ lớn và nhỏ. Phiên bản này cải thiện tính sẵn có nhờ các khả năng clustering và phân vùng phần cứng động, giảm bớt chi phí cho cơ sở hạ tầng hệ thống bằng cách hợp nhất các ứng dụng với các quyền cấp phép ảo hóa không hạn chế, và mở rộng từ 2 tới 64 bộ xử lý. Windows Server 2008 Datacenter mang lại một nền tảng để từ đó xây dựng các giải pháp mở rộng và ảo hóa cấp doanh nghiệp. - Windows Server 2008 Enterprise đem tới một nền tảng cấp doanh nghiệp để
triển khai các ứng dụng quan trọng đối với hoạt động kinh doanh. Phiên bản này giúp cải thiện tính sẵn có nhờ các khả năng clustering và cắm nóng bộ xử lý, giúp cải thiện tính bảo mật với các đặc tính được củng cố để quản lý nhận dạng, và giảm bớt chi phí cho cơ sở hạ tầng hệ thống bằng cách hợp nhất ứng dụng với các quyền cấp phép ảo hóa. Windows Server 2008 Enterprise mang lại nền tảng cho một cơ sở hạ tầng CNTT có độ năng động và khả năng mở rộng cao.
- Windows Server 2008 Standard là hệ điều hành Windows Server mạnh nhất hiện nay. Với các khả năng ảo hóa và Web dựng sẵn và tăng cường, phiên bản này được thiết kế để tăng độ tin cậy và linh hoạt của cơ sở hạ tầng máy chủ của bạn đồng thời giúp tiết kiệm thời gian và giảm chi phí. Các công cụ mạnh mẽ giúp bạn kiểm soát máy chủ tốt hơn, và sắp xếp hợp lý các tác vụ cấu hình và quản lý. Thêm vào đó, các tính năng bảo mật được cải tiến làm tăng sức mạnh cho hệ điều hành để giúp bạn bảo vệ dữ liệu và mạng, và tạo ra một nền tảng vững chắc và đáng tin cậy cho doanh nghiệp của bạn. - Windows Web Server 2008 dành cho các hệ thống dựa trên bộ xử lý Itanium
được tối ưu hóa cho các trung tâm dữ liệu lớn, các ứng dụng nghiệp vụ riêng, ứng dụng tùy biến mang lại độ sẵn sàng và khả năng mở rộng cao cho tới 64 bộ xử lý để đáp ứng nhu cầu cho các giải pháp khắt khe và quan trọng - Windows HPC Server 2008, được xây dựng trên nền Windows Server 2008,
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 13
công nghệ 64 bit và có thể mở rộng một cách hiệu quả tới hàng nghìn lõi xử lý với tính năng có sẵn để cải thiện hiệu suất, và giảm tính phức tạp của môi trường HPC. Windows HPC Server 2008 cho phép áp dụng rộng rãi hơn nhờ cung cấp một trải nghiệm người dùng phong phú và tích hợp, từ ứng dụng dành cho máy để bàn tới các cụm máy, và chứa một bộ toàn diện các công cụ triển khai, quản trị, và giám sát. Các công cụ này dễ triển khai, quản lý và tích hợp với hạ tầng CNTT hiện có của bạn. Windows HPC Server 2008, thế hệ kế tiếp của tính toán hiệu năng cao (HPC), cung cấp các công cụ cấp doanh nghiệp cho một môi trường HPC hiệu suất cao. Được xây dựng dựa trên Windows Server 2008, công nghệ 64-bit, Windows HPC Server 2008 có thể mở rộng tới hàng nghìn lõi xử lý và chứa các console quản lý giúp bạn chủ động theo dõi và duy trì tình trạng an toàn và tính ổn định của hệ thống. Khả năng tương kết và linh hoạt trong điều khiển công việc cho phép tích hợp giữa các nền tảng HPC trên nền Windows và Linux, hỗ trợ các tải làm việc theo mẻ và các tải làm việc theo ứng dụng hướng dịch vụ
(SOA). Năng suất được cải thiện, hiệu năng có thể tùy biến, và dễ sử dụng là một số đặc trưng khiến Windows HPC Server 2008 trở thành sản phẩm tốt nhất cho các môi trường Windows. - Windows Server 2008 for Itanium-Based Systems dành cho các hệ thống dựa
trên bộ xử lý Itanium được tối ưu hóa cho các trung tâm dữ liệu lớn, các ứng dụng nghiệp vụ riêng, ứng dụng tùy biến mang lại độ sẵn sàng và khả năng mở rộng cao cho tới 64 bộ xử lý để đáp ứng nhu cầu cho các giải pháp khắt khe và quan trọng.
- Windows Server 2008 Standard không có Hyper-V. - Windows Server 2008 Enterprise không có Hyper-V. - Windows Server 2008 Datacenter không có Hyper-V.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 14
7. Bảng các tính năng trong Windows Server 2008.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 15
Phần II - Thực Hành Lab
Lab Nghiên cứu và triển khai dịch vụ trên Windows Server 2008
Bài 1. UPGRADE DOMAIN CONTROLLER 2003 TO 2008
I. Mục đích - Microsoft bắt đầu phát triển Windows Server 2008, Microsoft đã mất thời gian để thu thập thông tin phản hồi của người dùng và đưa thông tin này vào những tính năng của sản phẩm.
- Đó chính là hệ điều hành đầu tiên mà Microsoft xây dựng theo những quy tắc phát triển an ninh chặt chẽ mới của nó. “Chủ đề” về an ninh mạng vào mọi khía cạnh của hệ điều hành và không thể bỏ sót được. - Cấu trúc mới trên Windows Server 2008 sẽ giảm thiểu ngay tức thì bề mặt tấn công, do đó giảm nhẹ những rủi ro.
- Hiện nay trong các công ty đa số vẫn sử dụng hệ thống mạng trong môi trường Domain trên nền tảng của Windows Server 2003. Nhưng do hiện nay hệ thống mạng trên Windows Server 2003 vẫn hoạt động ổn định nên người quản trị mạng trong công rất ít đề cập đến chuyện nâng cấp hệ thống lên Windows Server 2008 - Hệ điều hành của Windows Server (Windows Server 2000, Windows Server 2003) đã được sử dụng lâu và đã sắp hết hỗ trợ từ Microsoft, nguy cơ bị tấn công từ lỗ hổng rất là cao.
- Một số năm gần đây Microsoft đã cho ra đời hàng loạt sản phẩm mới như Windows 7, Windows 8, Mail Exchange 2010, SharePoint 2010, SQL 2010. Nhưng để hỗ trợ tốt các sản phẩm mới này thì ta phải nâng cấp hệ thống cho phù hợp để chạy ổn định và hỗ trợ tốt từ Microsoft. - Với những lý do trên thì việc nâng cấp hệ thống lên Windows Server 2008 là việc cần thiết và phải được xem xét nghiêm túc.
II. Chuẩn bị: - 1 máy Windows Server 2003 lên Domain Conttroller (Domain: Athena.edu.vn). - Copy Source cài đặt của Windows Server 2008 vào máy tính trên ổ đĩa C của máy
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 16
Windows Server 2003. - Chỉnh Password đơn giản. Các bước thực hiện: - Nâng cấp Domain Functional. - Upgrade lên Windows Server 2008. - Kiểm tra sau khi nâng cấp.
Mô hình Lab
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 17
III. Thực hiện: 1. Nâng cấp Domain Functional Level: - Máy Windows Server 2003 nâng cấp lên Domain là Athena.edu.vn
Hình DC : Athena.edu.vn và IP của máy tính
- Mở Active Directory Users and Computer ( StartAdministrative Tools
Active Directory Users and Computer).
- Click phải vào tên Domain chọn Raise Domain Functional Level…
- Bung Select an available Domain Functional Level, chọn Windows Server 2003.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 18
Chọn Raise Yes OK OK.
- Tạo một số OU, User, Group trong Active Directory Users and Computer. Sau khi
nâng cấp lên Windows Server 2008. Kiểm tra lại mọi thứ vẫn hoạt động tốt. Ví dụ: OU: Athena, Group: Athena Group, User: athena1/123, athena2/123.
Upgrade lên Windows Server 2008:
2. - Vào Start Run gõ cmd đánh lệnh Cd C:\Win2k8\sources\adprep
- Đánh tiếp lệnh Adprep /forestprepgõ chữ Cđể tiếp tục.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 19
(Win2k8 là thư mục chép sources Windows Server 2008 trên ổ C).
- Sau khi chạy hoàn tất, đánh tiếp lệnh Adprep /domainprep /gpprep
- Sau khi chạy hoàn tất thì tắt Command line
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 20
- Tiếp đến thì chạy File Setup trong bộ source Windows Server 2008 trên ổ C
Chọn Install Now.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 21
Chọn “ Do not get the lasted updates for Installation”. Bỏ dấu check trước dòng “Automaticaly active windows when I‟am online” Next No.
Chọn Windows Server 2008 Emterprise (full installation). Check vào dòng “ I have selected the… Next.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 22
- Check vào mục “ I accept the licent term” Next.
- Chọn Upgrade.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 23
- Hộp thoại compatibility Report Next. Quá trình cài đặt đang được diễn ra. 3. Kiểm tra sau khi nâng cấp:
- Kiểm tra trong Active Directory user and computer vẩn còn các OU, Group, User.
- Mở Administrative Tools Server Manager Click phải lên Features Chọn Add Features. Màn hình Welcome chọn Next Hộp thoại Features Chọn Group Management Next Install Close.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 24
- Mở Administrative Tools Group Policy Management Mở Forest: Athena.edu.vn Domain: Athena.edu.vn Click chuột phải lên default Domain Poicy edit kiểm tra password policy vẩn giữ nguyên.
Bài 2-LAB NÂNG CẤP DOMAIN CONTROLLER – DOMAIN GROUP – DOMAIN USERS – CLIENT JOIN DOMAIN
+ Nội dung chính:
Join máy workstation vào Domain.
- Nâng cấp Domain Controller. - - Tạo Domain Group. - Tạo Domain User. I. Chuẩn bị: - 1 máy Windows Server 2008 - 1 máy Client (Windows XP,Windows Vista,Windows 7)
Mô hình bài Lab
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 25
Mô hình Lab.
II. Các bước thực hiện: 1. Nâng cấp Domain Controller - Thực hiện trên máy Domain Controller – IP: 192.168.2.1/24 - Chỉnh IP vào Start Settings Network Connections Click phải lên card mạng chọng Properties bỏ dấu check Internet Protocol Version 6 (TCP/IPV6) Chọn Internet Protocol Version 4 (TCP/IPV4) Nhấp Properties chỉnh Preferred DNS server về chính mình là 192.168.2.1 OK.
- Vào Start Run gõ Dcpromo OK - Trong cửa sổ Welcome check vào User Advance Mode Installation Next
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 26
Next chọn Create a new domain in a new forest Next.
- Ở trong khung này chúng ta điền tên domain vào: Athena.edu.vn Next
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 27
Next
- Domain NetBios Name chọn Next Cửa sổ Set Forest FunctionalLevel chọn Windows Server 2008 Next Cửa sổ Additional Domain Controller Options Next Yes
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 28
- Location For Databsase, Log Files and SysVol Next
- Màn hình Directory Services Restore Mode Administrator Password nhập vào
Password và Confirm Password. Vd : 123@abc Next
- Màn hình Sumary chọn Next
- Hệ thống sẽ tự nâng cấp lên Domain có tên là Athena.edu.vn Finish tiến
hành Restart lại máy.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 29
2. Join máy workstation vào Domain:
- Thực hiện trên máy Workstation – IP:192.68.2.2/24 - Chỉnh IP vào Start Settings Network Connections Click phải lên card mạng chọng Properties Chọn Internet Protocol (TCP/IP) Nhấp Properties chỉnh Preferred DNS server về chính mình là 192.168.2.1 OK
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 30
- Click chuột phải lên My Computer Properties. Qua tab Computername chọn Change trong khung này chỗ Member of chọn Domain gõ tên Domain vào Athena.edu.vn OK.
- Cửa sổ Windows Sercurity yêu cầu nhập user name và password, ta sẽ nhập vào user name Administrator và password là 123@abc của máy Domain Controller.
- Sau khi Enter thì một MessageBox hiện lên thông báo “Welcome to domain” thì
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 31
đã join domain thành công. Máy sẽ yêu cầu khởi động lại máy.
- Sau khi khởi động lại xong thì đăng nhập hệ vào domain, User Name ta nhập Administrator, Pass ta nhập 123@abc, Log on to: chọn tên Domain Athena0.
3. Tạo Domain Group: - Mở Active Directory Users And Computer. Click chuột phải lên Domain
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 32
Athena.edu.vn chọn New Group\
- Tên Group là Athena 4. Tạo Domain User: - Mở Active Directory Users And Computer. Click chuột phải lên Domain
Athena.edu.vn chọn New User
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 33
- Điền vào Full name: athena1, User logon name: athena1 Next Điền password và comfirm password là 123@abc. Bỏ dấu check vào ô User must change password Next logon . Quan sát thấy user vừa được tạo ra.
Hoàn thành bài Lab nâng cấp Domain Conttroler và tạo Domain Group, Domain User.
Bài 3-LAB WINDOWS SERVER BACKUP
I. Mục đích: - Windows server backup là một tính năng mới trên hệ điều hành Windows Server 2008 cung cấp chức năng lưu trữ (Bakcup), phục hồi dữ liệu (restore) và phục hồi hệ thống (Operating System Windows Recovery). Bài lab này sẽ hướng dẫn cài đặt và sử dụng Windows Server Backup để lưu trữ, phục hồi dữ liệu và phục hồi hệ thống.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 34
II. Các nội dung chính: - Cài đặt Windows Server Backup. - Backup Server. - Restore File và Folder. - Operating system Volume Recovery
Mô hình Lab
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 35
III. Các bước thực hiện 1. Cài đặt Windows Server Backup - Mở Administrative Tools Server manager, click chuột phải Features Add Features.
- Cửa sổ Select Features, bung Windows Server Backup Features chọn Windows
Server Backup Next.
- Cửa sổ Comfirm Installation Selections, chọn Install. Saukhi cài đặt hoàn tất. Thì đóng cửa sổ lại.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 36
2. Backup Full Server
- Mở Administrative Tools Windows Server Backup, vào Action chọn Backup Once… Cửa sổ Backup options, kiểm tra chọn Different options → Next.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 37
Cửa sổ Select backup configuration, chọn Full Server, chọn Next.
- Cửa sổ Seclect backup destination, trong ô Backup destination chọn ổ cứng để lưu
trữ file backup Next.
- Trong hộp thoại Windows Server Backup Yes cửa sổ specify advance
option, chọn VSS copy backup Next Backup.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 38
- Quá trình Backup đang diễn ra.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 39
- Cửa sổ Backup progress, kiểm tra backup thành công Close.
- Mở Windows Explore, vào ổ cứng lưu file backup kiểm tra có folder
WindowsImageBackup (folder lưu trữ các file backup).
3. Restore File và Folder - Mở Windows Exploer , vào ổ C xóa một vài thư mục ( giả sử server bị mất dữ
liệu).
- Mỡ Windows Server Backup trong Administrative Tools, vào Action
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 40
Recover… cửa sổ Getting started, chọn This Server Next.
- Cửa sổ Selet backup date, chọn đúng ngày lưu trữ file backup Next cửa sổ Select item to recover, bung ổ đĩa chứa folder cần Restore Next cửa sổ Specify recovery options, giữ cấu hình mặc định Next cửa sổ Confirmation, chọn Recover cửa sổ Recovery progress, kiểm tra floder restore thành công Close.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 41
- Mở Windows Explorer , vào kiểm tra restore được folder. 4. Operating System Volume Recovery - Giả sử hệ điều hành bị lỗi. Bỏ đĩa DVD cài đặt Windowser Server 2008 vào. Khởi động lại máy, khi nhận được thông báo Press any key to boot from CD or DVD…, nhấn phím bất kỳ cửa sổ Install Windwos Next cửa sổ Install Windows tiếp theo, chọn Repair your Computer cửa sổ System Recovery Options, chọn Microsoft Windows Server 2008 Next.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 42
Cửa sổ Choose a recovery tools, chọn Windows Complete PC restore cửa sổ Restore your entire computer form a bakup, chọn Use the latest available backup, chọn Next cửa sổ Choose how to restore the backup Nextcửa sổ Windows Complete Restorer Finish.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 43
Trong hộp thoại Windows Complete PC Restore OK Bắt đầu quá trình Restore sau khi hoàn tất trong hộp thoại Do you Want to restart your copumter now? chọn Restart now. Kiểm tra khởi động Windows thành công Hoàn Thành Bài Lab Windows Server Backup trên Windows Server 2008.
Bài 4-LAB WINDOWS DELOYMENT SERVICES – WDS
I. Mục đích: - Trong Windows Server 2008 Microsoft đã tích hợp them một công cụ mới đó là Windows Seloyment Services, đây chính là một giải pháp cài đặt Windows thông qua mạng một cách nhanh chóng và tiện lợi cho các hệ thống mạng có nhiều máy. Để triển khai dịch vụ này đòi hỏi hệ thống phải cài đặt DHCP Server để cấp phát IP tự động cho các máy có nhu cầu cài đặt Windows và các máy tính có nhu cầu cài đặt Windows phải hỗ trợ boot qua mạng.
Mô tả bài lab:
Mô hình Lab
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 44
- Bài lab sử dụng 2 máy. - PC01: Windows Server 2008, lên Domain : Athena.edu.vn. - PC02 : Windows XP, cho chế độ card mạng nhận tự động.
II. Các bước thực hiện: 1. Cài đặt và cấu hình DHCP: - Thực hiện tai PC01. - Vào Administrative Tools Server maner Roles Add Roles Next. - Chọn dịch vụ DHCP Server trong cửa sổ Server Roles Next Next
- Do ta sẽ cấp phát IP trên mạng 192.168.1.0/24 nên trong cửa sổ Network
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 45
Connection Bindings bạn chọn Card 192.168.1.1 Next.
- Màn hình IPv4 DNS Setting Next
- Trong cửa sổ IPv4 WINS Settings do ta không sử dụng WINS nên sẽ giữ nguyên
giá trị mặt định Next.
- Trong màn hình DHCP Scope Add Scope, sẽ thêm một Scope như sau:
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 46
o Scope name : Scope o Starting IP: 192.168.1.50 o Ending IP: 192.168.1.100 o Subnet mask: 255.255.255.0 o Default gateway: trống
o Dãy IP sẽ cấp phát từ 192.168.1.50 192.168.1.100 OK Next
- Trong bài sẽ sử dụng IPv4 nên tại màn hình DHCPv6 Staleless Mode bạn chọn
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 47
Disable DHCPv6 Stateles mode for this Server Next
- Vì hệ thống đã tồn tại DSN nên tại màn hình DHCP Server Authorization bạn giữ nguyên giá trị mặc định để xác định cho DHCP Server Next. Màn hình
Confirmation cho ta biết khái quát nội dụng mà ta cấu hình cho DHCP Server Install.
- Sau khi cài DHCP hoàn tất bạn phải xác định trong màn hình của Roles phải xuất hiện thêm một Roles DHCP Server. Vậy là ta vừa cài đặt xong DHCP Server và vừa cấu hình luôn một Scope để DHCP Server cấp phat IP cho các máy trọng mạng 192.168.1.0/24
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 48
2. Cài đặt và cấu hình WDS - Thực hiện tại PC01. - Vào Administrative Tools Server Manager Roles Add Roles Next. - Chọn dịch vụ Windows Deloyment Services Next Next.
- Trên màn hình Role Services giữ nguyên giá trị mặc định Next Install. - Tiếp theo bạn bật chương trình WDS lên bằng cách vào Start Programs
Administrative Tools Windows Deployment Services.
- Click phải vào Server chọn configure Server Next. WDS sẽ tạo một thư mục mà trong đó sẽ chứa toàn bộ các file cần thiết để cài đặt cho các máy Client trong bài là thư mục RemoteInstall trong ổ C: Yes Next.
- Do máy này ta vừa cài DHCP Server và WDS Server nên trong màn hình DHCP
Option 60 bạn chọn 2 mục:
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 49
o Do not listen on port 67 o Configure DHCP option 60 to „PXEClient‟ Next
o Trong màn hình PXE Server Initial Setting Respond to all (known and unknown) client computers để đáp ứng mọi yêu cầu từ máy Client →Finish o Màn hình Configuration Complete bạn bỏ mục chọn Add Images to the
Windows Deployment Server Now Finish.
- Tiếp theo chèn bộ source Windows Server 2008 vào ổ đĩa ảo. Ta sẽ tiến hành cài
đặt Windows Server 2008 cho máy Client.
- Khai báo Source Windows - Click phải vào Install Images Add Install Image để copy source cài đặt
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 50
Windows Server 2008 lên WDS Server Next
- Trong màn hình Image Group bạn đặt tên cho Group mới này ví dụ mình đặt tên
là Deploy Windows Server 2008.
- Chọn file install.wim trong thư mục source Next chọn phiên bản Windows Longhom Serverenterprise Next Next chờ Windows Add file Image này vào Finish.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 51
- Khai báo file Boot
- Click phải vào Boot Image Add Boot Image để them file Boot của Windows Server 2008 Browse chỉ đường dẫn đến Win2k8\source\boot.wim Next Next chờ cho Windows Add file Finish.
- Như vậy là ta đã cấu hình xong WDS tuy nhiên trong quá trình cài đặt Windows sẽ yêu cầu ta nhập một số thông tin như ngày giờ, tên máy, tên người sử dụng.
- Tiếp đến ta dung file unattend.xml để cho windows cài đặt tự động. - Nội dung của file unattend như sau:
name="Microsoft-Windows-Setup"
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 52
name="Microsoft-Windows-International-Core-WinPE"
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 53
- Bạn copy file unattend.xml vào thư mục C:\RemoteInstall\WdsClientUnattend - Tại WDS click phải vào Server Athena.edu.vn chọn Properties Tab Client và
- Trong bài này ta sử dụng phiên bản Windows Server 2008 x64 nên tại thư mục trong
Click chọn Enable Unattend Installation.
file Unattend.xml đến nấp bạn dẫn đường
architecture C:\RemoteInstall\WdsClientUnattend
- Tương tự như InstallImages bạn chọn Deploy Windows Server 2008 tại màn hình bên phải bạn nhấp phải vào Image chọn Properties. Trong Tab General chọn Allow image to install in unattended mode và chọn Select File Dẫn đến file Unattend.xml trong C:\RemoteInstall\WdsClientUnattend OK OK.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 54
- Như vậy đã hoàn tất việc cấu hình WDS Server.
3. Thực hiện tại máy PC02 - Máy Client vào Bios chỉnh lại Boot bằng card mạng. - Khởi động lại máy ta sẽ thấy máy Client Boot thông qua card mạng và đang dò
IP từ DHCP Server.
- Sau khi DHCP Server cấp phát IP thành công máy Client sẽ thực thi file boot. - WDS yêu cầu nhấp phím F12 tiến hành cài đặt Windows Tiến trình cài đặt
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 55
đang diễn ra trên máy PC02. Hoàn Thành Bài Lab Lab Windows Deployment Services on Windows Server 2008.
Bài 5-LAB CẤU HÌNH VPN SSTP (SECURE SOCKET TUNNELING PROTOCOL)
VPN là mạng riêng ảo cung cấp một kết nối từ xa ở bất kỳ nơi nào trên thế giới
1.Mục đích: - vào hệ thống mạng nội bộ của công ty.. - Windows Server 2003 chỉ hỗ trợ 2 cơ chế kết nối là: + Point-to-Point Tunneling Protocol ( PPTP ) + Layer Two Tunneling Prptocol ( L2TP ) - Trong Windows Server 2008 còn hỗ trợ thêm 1 giao thức kết nối là SSTP ( Secure Socket Tunneling Protocol ). - SSTP cho phép chúng ta thực hiện VPN ở nơi mà chỉ cho phép truy cập web ( HTTP, HTTPS ) và các port khác bị chặn. VPN SSTP đảm bảo bảo mật gói tin vì áp dụng phương pháp mã hóa SSL. 2.Mô hình LAB. Bài LAB sử dụng 3 máy ảo:
- 1 máy Windows Server 2008 làm Standard Alone Root CA. - 1 máy Windows Server 2008 làm VPN Server.
1 máy Windows 7 làm client kiểm tra kết nối VPN
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 56
Mô hình Lab
Bảng IP: CA SERVER
VPN SERVER CLIENT
IP: 172.16.1.1 IP: 192.168.1.2 - Card Internal: IP: 172.16.1.2 SM: 255.255.255.0 SM: 255.255.255.0 SM: 255.255.255.0 DG: 172.16.1.2 DG: 192.168.1.1 DG: trống DNS: trống DNS: trống DNS: trống
- Card External:
IP: 192.168.1.1 SM: 255.255.255.0 DG: trống DNS: trống Tạo sẵn 1 user để kết nối vpn ( allow access network access permission )
Nội dung:
- Trên máy CA Server: cài đặt dịch vụ Standard Alone Root CA. - Trên máy VPN Server : xin và cài đặt Certificate. Cấu hình VPN Server. - Client tạo kết nối VPN.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 57
3.Các bước tiến hành: A. Cài đặt Standard Alone Root CA trên máy CA Server. Bước 1: Vào Start → Administrative Tools → Server Manager trong cửa sổ Server Manager chuột phải lên Roles chọn Add roles. Hộp thoại Before You Begin chọn Next → hộp thoại Server Roles check Active Directory Certificates Services → Next → hộp thoại Introduction to Active Directory Certificate Services chọn Next →
trong hộp thoại Select RolesServices check Certification Authority Web Enrollment → Next →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 58
trong hộp thoại Specify SetupType chọn Standalone → Next →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 59
trong hộp thoại Specify CA Type chọn Root CA → Next → Set UpPrivate Key để mặc định và Next → hộp thoại Configure Cryptography for CA để mặc định và Next →hộp thoại Configure CA Name đặt tên CA là “athena-CA” →
Next → các hộp thoại còn lại để mặc định và chọn Next → hộp thoại Confirm Installation Selections chọn Install → sau khi quá trình cài đặt hoàn tất chọn close.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 60
B. Xin Certificate và cấu hình VPN Bước 1: cài IIS. Vào Start → Administrative Tools → hộp thoại Server Manager chuột phải lên Roles và chọn Add Roles → hộp thoại Before You Begins chọn Next → hộp thoại Select Server Roles check Web Server (IIS) → hộp thoại Web Server (IIS) chọn Next→
hộp thoại Select Roles Services check Basic Authentication →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 61
hộp thoại Confirm Installation Selection chọn Install → sau khi cài đặt hoàn tất chọn Close.
Bước 2: Xin Certificate. Mở Internet Explorer gõ http://172.16.1.1/certsrv chọn Download a CA certificate, certificate train, or CRL → Download CA Certificate → chọn nơi lưu file CA và Save.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 62
Mở mmc → File → Add/Remove Snap-in… → hộp thoại Add/Remove Snap-in chọn Certificate → Add →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 63
hộp thoại Certificate Snap-in chọn computer → hộp thoại Select Computer để mặc định chọn Finish → OK →
bung mục Trusted Root Certification Authorities →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 64
chuột phải Certificates → All Task … → Import… → hộp thoại Welcome To TheCertificate Import Wizard chọn Next → hộp thoại File To Import chọn Browse … trỏ đến nơi lưu file Certificate → Open → Next → hộp thoại Certificate Store chọn Next → hộp thoại Completing the Certificate Import Wizard chọn Finish.
Vào Starts → Administrative Tools → IIS → hộp thoại IIS Mananger nhấp đôi vào tên máy → ở phần VPN Home chọn Server Certificate →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 65
qua bên phải phần Actions chọn Create Certificates Request →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 66
trong hộp thoại Distinguished Name Properties điền các thông tin cho Certificates. Chú ý mục Common name là quan trọng nhất, cần điền đúng tên CA muốn xin. Common name : vpn.athena.edu.vn Organization : Athena Organization Units : Athena City/locality : HCM State/Province : HCM Country/region : VN → Next → hộp thoại Cryptographic Services Provider Properties để mặc định → Next
→ hộp thoại File Name chọn Browse và trỏ tới nơi lưu file Request → Finish.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 67
Vào nơi lưu file Request và mở file đó lên . Sau đó copy toàn bộ nội dung trong file đó.
Mở Internet Explorer → truy cập http://172.16.1.1/certsrv → Request a certificate → advanced certificate request → Submit a certificate request … → paste toàn bộ nội dung vào Saved Request → Submit.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 68
Qua máy CA Server. Start → Administrative Tools → Certification Authority → trong hộp thoại Certification Authority nhấp đôi vào tên CA → Pending Request → nhấp chuột phải vào 2 → All Tasks → Issue.
Qua lại máy VPN Server. Mở Internet Explorer → truy cập http://172.16.1.1/certsrv → View the status of a pendingcertificate request → Saved-Request Certificate … → Download certificate → chọn save và chọn nơi lưu trữ file CA → close IE.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 69
Mở IIS → VPN → Server Certificates → Complete Certificate Request → hộp thoại Specify Certificate Authority Response chọn Browse → trỏ tới nơi lưu file xin vừa download, Friendly Name : đặt tên bất kỳ. Ở đây đặt là Web Secure → OK
Network Services Access → Policy and Bước 3 : CÀi và cấu hình VPN. Mở Server Manager → Roles →Add Roles → Next → hộp thoại Select Server Roles Next → check Next
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 70
Hộp thoại Select Roles Services check Routing and Remote Access Services → Next → Install.
Start → Administrative Tools → Routing and Remote Access → click chuộT phải vào VPN (local) → Configure and Enable Routing and Remote Access → Next → Chọn Custom → Next → NAT → Next → Finish → chọn start services. Sau khi cài xong NAT. VPN → IPv4 → chuột phải NAT → New Interface
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 71
Chọn Card External
→ OK → trong hộp thoại External Properties thẻ NAT check ô Public interface … và Enable NAT …
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 72
Qua thẻ Services and Ports trong hộp thoại Services check chọn Web Server (HTTP) →
Hộp thoại Edit Service mục Private address điền IP máy CA Server :172.16.1.1 → OK → Apply → OK.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 73
Tiếp tục với card nối với máy CA. VPN → IPv4 → chuột phải NAT → New Interface → chọn CA( card nối máy CA ) → OK
Hộp thoại CA Properties để mặc định và OK Chuột phải vào VPN (local) chọn Properties
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 74
Hộp thoại VPN (local) Properties thẻ General mục IPv4 Router chọn LAN and demand-dial routing và check thêm ô IPv4 Remote access server
Qua thẻ IPv4 chọn static address pool và remove dãy ip cũ chọn add
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 75
Hộp thoại New IPv4 Address Range điền dãy IP mới trùng với dãy mạng của mạng internal ( mạng VPN – CA ). Chú ý dãy mạng này không có IP Address nào trùng với máy trong mạng → OK → Apply → Yes → OK
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 76
Qua mục Ports. Chuột phải vào Ports và chọn Properties
thoại Ports Properties chọn WAN Miniport ( SSTP
) →
Trong hộp Configure
Hộp thoại Configure Device … check Remote access connections ( inbound only ) → Ok → Apply → OK.
vpn.athena.edu.vn ca.athena.edu.vn
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 77
Sau đó Restart lại dịch vụ Routing and Remote Access C. Kiểm tra Qua máy client. Chỉnh sửa file host. Mở Notepad và Open file Host (C:\Windows\System32\drivers\etc\ ). Điền vào file host 192.168.1.1 192.168.1.1 → Save. Mở IE và truy cập link http://ca.athena.edu.vn/certsrv/→ Download a CA …→ Download CA Certificate → Save → close. Mở MMC → Add/Remove Snap-in → Certificate → Add
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 78
Hộp thoại Certificates snap-in chọn Computer account → Next → Finish → OK
Chuột phải Trusted Root Certification →All Tasks →Import…
Hộp thoại Certificate Import Wizard → Next → chọn Browse trỏ tới nơi lưu file CA → Next → Next → Finish. Mở Network and Sharing Center → chọn Set up a new connection… →Connect to aworkplace
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 79
Chọn Use my internet connection (VPN) → Next
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 80
I’ll set up an internet connection later → Next
Mục Internet address :vpn.athena.edu.vn → Next
Điền user kết nối vpn → create → close
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 81
Chuột phải VPN Connection → Properties
-
Thẻ Security:
Type of VPN : SSTP
Thẻ Networking: check bỏ IPv6 .Sau đó bấm OK.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 82
Nhấp chuột phải vào VPN Connection và chọn connect.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 83
Kết nối thành công VPN dùng giao thức SSTP. Hoàn Thành Bài Lab SSTP
Bài-6 LAB CẤU HÌNH NAP – NETWORK ACCESS PROTECTION
1. Mục đích
NAP là một hệ thống chính sách thi hành được xây dựng trong hệ điều hành Windows Server 2008 với mục đích bảo đảm các máy tính tuân theo yêu cầu bảo mật do người quản trị đặt ra. Khi một máy tính nào đó kết nối với server, máy tính đó sẽ được đem ra so sánh với một chính sách sức khỏe mà bạn đã thiết lập.Khi đã đạt yêu cầu thì máy tính đó được hoàn toàn kết nối với mạng. Các chính sách đó có thể là phải cập nhật đầy đủ các bản vá, phải có bật firewall,...
2. Chuẩn bị:
Trong lab này sử dụng 2 máy: - Máy napserver chạy Windows Server 2008 có domain là athena.edu.vn và sẽ
cài thêm dịch vụ NAP.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 84
- Máy client sử dụng Windows Vista và đã join domain.
CLIENT Nhận IP từ dhcp server
Bảng IP: NAPSERVER IP: 192.168.1.1 SM: 255.255.255.0 DG: trống DNS: trống Máy client join domain.
3. Các bước thực hiện: A. Cấu hình NAP trên máy napserver
Bước 1: Vào Server Manager → Roles → Add Roles → Next → check Network Policy andAccess Services→ Next → Next →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 85
trong cửa sổ Select Roles Services check Network PolicyServer → Next → Install → Close.
Bước 2: cấu hình dịch vụ NAP: Vào Start → Administrator Tools → Network Policy Server (NPS).Bây giờ chúng ta sẽ tiến hành định nghĩa tiêu chuẩn sức khỏe cho hệ thống. Trong Network Policy Server chọn NetworkAccess Protection → System Health Validators → nhấp phải vào Windows Security HealthValidators → Properties →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 86
trong hộp thoại Windows Security Health Validators Propertieschọn Configure… →
Trong hộp thoại Windows Security Health Validator có 2 thẻ Windows Vista và Windows XP.Chúng ta chọn đúng phiên bản Windows sẽ áp dụng chính sách sức khỏe. Ở đây chúng ta chọn tab Windows Vista. Trong đây chúng ta chỉ check A firewall is enable for all network connections ( chỉ cho phép kết nối mạng khi tường lửa được bật ) → Apply → OK.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 87
Bước 3: bây giờ chúng ta sẽ tạo các policy kiểm tra tình hình sức khỏe. Qua Policies → Nhấp phải vào Health Policies → New →
Trong hộp thoại Create New Health Policy, - Policy name: điền tên cho Policy. Ở đây là Full Access. Qui định bất cứ máy
client nào đạt chuẩn về sức khỏe sẽ được DHCP cấp phát 1 địa chỉ IP.
- Client SHV checks: để mặc định. - Check ô Windows Security Health Validator.
Bây giờ ta tiếp tục tạo một policy tên Limit Access. Qui định bất cứ máy client nào không đạt chuẩn về sức khỏe sẽ không được DHCP cấp phát IP.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 88
- Policy name: Limit Access - Client SHV checks: Client fails one or more SHV checks. - Check mục Windows Security Health Validators
Bước 4: khai báo Network Policy Bây giờ ta tạo các Network Policy để làm đường dẫn cho các Health Policies thực thi khi thỏa hoặc không thỏa các tiêu chuẩn mà Windows Security Health Validator đã đặt ra. Tại Policies chọn Network Policies, mặc định Windows đã tạo sẵn 2 Policy, tuy nhiên chúng ta không dùng tới 2 policies này nên chúng ta bấm chuột phải vào từng policies và chọn Disable. Nhấp phải vào NetworkPolicies → New. Trong hộp thoại Specify Network Policy Name: đặt tên là Full Access Policy.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 89
Trong hộp thoại Specify Conditions chọn Add → trong hộp thoại xuất hiện chọn Health Policies → Add
Trong Health Policies chọn Full Access → Next
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 90
Trong màn hình Specify Access Permission chọn Access granted → Next
Trong Configure Authentication Methods chỉ check Perform machine health check only. Bỏ chọn các mục còn lại → Next
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 91
Next → Next → Finish. Bây giờ chúng ta tiếp tục tạo một Netowrk Policy cho Limit Access. Policy name đặt là Limit Access policy.→ Next.
Trong Specify Conditions chọn Add → chọn Health Policies → Add → trong hộp thoại Health Policies chọn Limit Access
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 92
Trong hộp thoại Specify Access Permission chọn Access Denied
Trong Configure Authentication Methods chọn Perform machine health check only
Next → Next → Next → Finish.
B. Cấu hình DHCP
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 93
Vào Server Manager → Roles → Add Roles → Next → trong hộp thoại Select Server Roles chọn DHCP Server → Next → Next → Next → Next → Next → trong hộp thoại Add or Edit DHCP Scopes chọn Add → trong Add Scope điền đủ thông tin cần thiết: Scope Name: Lan Starting IP Address: 192.168.1.10 Ending IP Address: 192.168.1.100 Subnet Mask: 255.255.255.0 Default Gateway: trống → OK → Next
Trong Configure DHCPv6 Stataless Mode chọn Disable DHCPv6… → Next → Next → Install
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 94
Mở DHCP. Vào Start → Administrative Tools → DHCP → bung dấu + → chuột phải vào IPv4 → trong IPv4 tab Network Access Protection chọn Enable on all scopes → Yes
C. Kiểm tra
Qua máy Client, bật Firewall. Chỉnh card nhận IP động.vào Start → Run → gõ napclcfg.msc. trong màn hình napclcfg chọn Enforcement Clients → DHCP Quarantine Enforcement Client chọn Enable
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 95
Vào Run → gõ Services → nhấp đôi vào Network Access Protection Agent → trong hộp thoại vừa xuất hiện chọn Automatic và Start dịch vụ này lên
Vào Run → gõ cmd → gõ ipconfig /renew. Kiểm tra bằng cách gõ ipconfig /all thấy client đã nhận được IP từ server.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 96
Bây giờ thử tắt firewall và kiểm tra. Vào cmd gõ ipconfig /renew. Báo lỗi không cấp được IP
D. Cấu hình truy cập hạn chế
Thực hiện trên napserver Mở Network Policy Server → Network Policy → nhấp đôi vào Limit Access. Trong tab Overview chọn Grant Access.Grant Access if the connection request matches this policy.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 97
Qua tab Settings chọn Nap Enforcement → chọn allow limit access và ô Enable auto remediation of client computer.
→ chọn Configure → trong phần Troubleshooting URL → điền http://địa chỉ trang web muốn chuyển đến. → OK → OK.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 98
Sau đó qua client tiến hành bật Firewall và vào cmd gõ ipconfig /renew để nhận IP động .Kết quả là nhận được IP.
Tắt Firewall và gõ ipconfig /renew lần nữa. Kết quả là cấp IP và thông báo truy cập hạn chế
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 99
Hoàn Thành bài Lab NAP – NETWORK ACCESS PROTECTION
Bài 7-Lab Active Directory Rights Management Services ( AD RMS )
Trong mô hình này tôi sử dụng 3 máy ảo trong đó: Máy Pc01 có Domain
Máy Pc02 và Pc03 cài Windows Client ( XP, Vista, Win 7... ) Đóng vai trò là máy
I. Mục Đích + Active Directory Rights Mangement Services ( RMS ) là một dịch vụ nhằm bảo vệ bản quyền cho tác giả tránh tình trạng sao chép, chỉnh sữa các tài liệu mà các tác giả chia sẽ user khác. Các kiểu dữ liệu mà Active Directory Rights Management Services hổ trợ là Microsoft Office 2003, Microsoft Office 2007...Trong bài này chúng ta sẽ ứng dụng RMS trong việc bảo vệ bản quyền trong MS Work để tránh tình trạng người nhận chỉnh sữa tài liệu cũng như Forward nội dung thư cho người khác. + Vì RMS đòi hỏi phải có Certificate để chứng thực nên hệ thống chúng ta cần phài có một CA Server, và để tận dụng tối đa khả năng mạnh mẽ của RMS đòi hỏi hệ thống ta phải nâng cấp lên DC. II. Chuẩn Bị - là cài máy Windows 2008 Dc Server ATHENA.EDU.VNvà cài đặt Enterprise CA Server, Dịch vụ IIS cấu hình trang web mặc định https://PC01.ATHENA.EDU.VN - Client đã cài các ứng dụng Microsoft Office Word ... dã join vào Domain.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 100
Pc02 IP: 192.168.1.2/24 SM: 255.255.255.0 DG: Trống PDNS: 192.168.1.1 Mô Hình Bài Lab Pc01 IP: 192.168.1.1/24 SM: 255.255.255.0 DG: Trống PDNS: 192.168.1.1 IP của Máy
Nâng Domain Controller tên: ATHENA.EDU.VN
Tại máy Dc Server Pc01 bạn vào Active drirectory User and Computer tạo User: - athena1-123@abc, athena2-123@abc để test. Tạo một User athenaRMS-123@abc, User này dùng để quản lý chứng thực cho RMS.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 101
→ Tiếp tục Add User athenaRMS vào Group Admins
Vào C:\ tạo 1 folder tailieu
+ Cài IIS cấu hình HTTPS, Enterprise CA lênPc01. + Cài đặt RMS. + Cấu hình bảo vệ tài liệu.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 102
Các nội dung chính: 3. Các bước thực hiện a. Cài đặt IIS, Enterprise lên Pc01
lên Roles → Add Roles.
+ B1: Vào Server Manager → Chuột phải
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 103
Màn hình Begin chọn Next → Trong màn hình Select Server Roles chọn Web Server (IIS) → chọn Add Required...
Next → Next → Trong cửa sổ Select Roles Services → Mục security → chọn Basic Athentication...
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 104
Next → Install → Close
+ Cài đặt Enterprise lên máy Pc01.
+ B1: tại máy Dc Server bạn chọn Server Manager → Role → Add roles →
Tiếp tục chọn Active directory Certificate services Services trong màn hình chọn Select server Roles.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 105
Next → Next → Trong màn hình Select Roles Services chọn 2 mục là Certificate Authority và Certificate Web Enrollment → chọn Add Requires... → Next.
Vì môi trường chúng ta là môi trường Domain nên trong màn hình Specify Setup Type bạn chọn Enterprise
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 106
Chọn Root CA
Next → Chọn Create a new private key
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 107
Next → Next. Đến cửa sổ Configure CA name đặt tên là Athena.
Next mặc định → Tiến hành cài đặt.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 108
+B1: Vào Start → Administrative Tool → IIS → chọn Server → Khung giữa Rồi → Close. + Cấu hình HTTPS: chọn double click vào Sertificate → Khung bên phải chuột Create Domain Certificate
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 109
Điền thông Số sau: Common name: Athena.edu.vn Organization: Athena Organizational unit: Athena City: HCM State: HCM country: VN
Next → chọn tên CA Server: athena, Friendly name: Web → Finish
+ B2: Click Server → sites → Chuột phải lên Default Web Site → chọn Edit
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 110
Add site binding: Type: HTTPS, IP: All unassignes, Port 443, SSL certificate: Binding → chọn Add: Web
Truy cập Web https://athena.edu.vn thành công.
+ B1: Mở Server Manager → chuột phải lên Roles → chọn Add Roles → Màn b. Cài Đặt RMS hình Begin → chọn Next
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 111
Chọn Active Directory Rights Management Services → Add Required...→ Next → Các cửa sổ xuất hiện Next mặc định 5 lần...
Đến cửa sổ Specify Services Account → chọn Specify, khai báo account athenaRMS và ok password →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 112
Next → Next → Đến cửa sổ điền password : 123@abc → Next → Next . Trong cửa sổ Specify cluster Address, trong dòng Fully-Qualified Domain Name → điền địa chỉ trang Web Athena.edu.vn
Chọn Validate → Next → Cửa sổ Name the Server Licensor certificate điền địa chỉ web server Athena.edu.vn
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 113
Next → để mặc định các bước còn lại → Install → Close → Khởi động lại máy.
+ B2: Mở Active Directory RMS trong Admin Tools → Cài đặt thành công.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 114
+ B1: Bây giờ ta sẽ tiến hành Test thừ dịch vụ RMS. Tại may1client bạn đăng c. Cấu hình và bảo vệ tài liệu. Thực hiện trên máy test Pc02: nhập với tài khoãng athena1
Mở Word → Soạn nội dung tùy ý.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 115
Nhấp vào Office Button chọn Prepare → Restrict Permission → Restricted Access Nhập User/Pass của chính mình vào cửa sổ login với cú pháp.
Màn hình Permision hiện ra bạn chọn Restrict Permision to this document
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 116
Tiếp tục nhấp vào Read → add user athena2 vào → ok...save tai liệu vào đường dẫn
Đăng nhập vào user athena2 → mở word mở file của athena1 tạo trong C:\tailieu → khai báo account athena2 và password → ok
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 117
Hiện thông báo→ ok → truy cập dữ liệu thành công
+ B3: chọn View My Permission → quan sát thấy account athena2 chỉ có quyền Read.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 118
Vào menu file→ Quan sat thấy lệnh in bị mờ dần. Nội dung văn bản →Chuột phải → quan sát không thấy copy
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 119
Hoàn thành bài lab Active Directory Rights Management Services ( AD RMS )
Bài 8-LAB Terminal Services
Trong mô hình này sử dụng 2 máy trong đó: Máy Pc001 192.168.1.1/24 là máy Server 2008 đã cài đặt 1 số chương trình như
MÁy Pc002 192.168.1.2/24 là chạy Windows ckient đóng vai trò là máy client
I. Mục đích Trong windows Server 2008 các công cụ Remote Desktop đã có một số cãi tiến mới rất mạnh và linh hoạt. Các máy truy cập từ xa vào có thể chạy các ứng dụng đã cài đặt trên mý Remote thông qua các giao diện như Share, Web... II. Mô hình - Adobe Acrobat, WinRar... - không cài thêm bất cứ chương trình nào khác.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 120
Mô hình bài Lab
III. Các bước thực hiện: - Tại máy Server ( Pc001 ) + B1: Tạo 2 User là athena1 và athena2
Double click vào user athena1 → chọn tab dial-in → allow access trong phần Network Access Permission để gán quyền truy cập từ xa cho user này. Làm tương tự cho user athena2 → Ok
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 121
+ B2: Tiếp tục vào control Panel → System chọn Remote settings → chọn Tab Remote và click chọn Allow connections from computer running any version of Remote desktop để gán quyền cho phép các truy cập từ xa truy cập vào hệ thống.
+ B4: Tại tab Remote bạn chọn Select User → Add user athena1 và athena2 + B3: MẶc định trong Server 2008 khj bạn bật tính năng Allow Connections from computer running any version of remote desktop thì các chức năng truy cập từ xa vào hệ thống chỉ có thể truy cập dưới quyền Admin mà thôi còn các user vẫn không thể truy cập được mà đòi hỏi bạn phải Add các user đã bật tính năng Allow access lên vào trong GroupRemote Desktop User vào.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 122
Bật lại màn hình Local User and Group chọn Group Remote User để kiểm tra lại thấy có 2 User.
+ B1: Vào Start → Program → Accessories → Remote Desktop Connection - Tại Máy Client ( PC002 ) để truy cập từ xa vào máy Server → nhập IP của Server vào và nhấp Connect
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 123
Màn hình đăng nhập hiện ra tất cả User trong group Remote User của Pc001.
Đăng nhập dưới quyền Administrator của máy Pc001
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 124
→ khi đó tại màn hình hiển thị của Pc001 hệ thống sẽ tự động lock lại.
Admin tự động lock ra....
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 125
Như vậy nếu ta muốn truy cập dưới quyền Admin thì tại mỗi phiên làm việc ( Session ) chỉ có duy nhất một máy được thực thi mà thôi. + B3: Tại máy Client bạn Logoff ra khõi Remote Desktop và truy cập lại dưới quyền user athena1
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 126
Trong khi đó màn hình hiển thị của Pc001 sẽ không tự động Lock lại.
+ B4: Như vậy đến đây ta vừa khảo sát sơ lượt về Remote Desktop của Server
Tại máy Pc001 bạn vào Server ManagerchọnRoles → Add Roles → Next Chọn Như vậy nếu ta tuy cập dưới quyền Remote Desktop User thì tại mỗi phiên làm việc các máy làm việc độc lập với nhau. 2008 và nhận thấy không thay đổi quá nhiều trong phần này. Tiếp đến ta sẽ tìm hiểu một số tính năng mới của Remote desktop trong Server 2008. - dịch vụ Terminal Services → Next → Next
+ Terminal Server: Cahy5 các ứng dụng thông qua giao diện File sharing + TS Web Access: Chạy các ứng dụng thông qua giao diện Web → chọn Add
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 127
Trong màn hình chọn Select Roles Services chọn 2 mục là : Reuired ....Next → Next → chọnDo not require Network Level Authentication trong màn hình Specify Anthentication Method for terminal server
Next → Màn hìnhSpectify Licensing Mode → chọn Configure later
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 128
Mặc định trong này chỉ có duy nhất có Group Administrator được Add mà thôi, Add thêm 2 User athena1 và athena2vào.
Giữ nguyên giá trị mặc định trong màn hình Select roles Services → Màn hình Confirm Installation Selections Windows thông báo cho bạn biết dịch vụ TS Web Access sẽ chạy trên địa chỉ tương ứng là Http://[Tên Server]/TS→Tiến hành Install
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 129
Sau khi cài đặt hoàn tất vào Start → Program → Administrative Tool → Terminal Services → TS RemoteApp Manager để tiến hành quá trình cấu hình cho Terminal Serices
+ Add các chương trình màn hình bạn muốn chia sẻ cho các client vào. Ở khung bên phải chọn Add RemoteApp...Màn hình Welcome chọn Next → Chọn chương trình cần chạy cho Máy Client truy cập từ xa sử dụng. Ví dụ: Adobe crobat Reader
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 130
Next → Finish
click phải chuột chọn Create .rdp
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 131
→ Next → Next → Finish. Để tạo các file Remote Application.Windows sẽ tự động tạo các file .rdp trong thư mục C:\Program Files\ Packages Programbạn có thể thay đổi đường dẩn này tuy nhiên trong bài này chúng ta sẽ sử dụng đường dẩn mặc định của Windows.Sau khi hoàn tất bạn vào thư mục C:\Program files\pPackaged Program sẽ thấy file .rpd
+ Trở lại màn hình TS RemoteApp Manager right click Adobe Reader → chọn + Với các file .rdp người sử dụng từ máy Client tuy không có cài đặt các chương trình này nhưng vẫn có thể mở các tập tinco1 định dạng mà các chương trình trên hỗ trợ. Tuy nhiên mỗi lần muốn chạy ứng dụng từ Server người dùng phải truy cập Remote desktop connection để cho tiện Windows còn hổ trợ tạo các file .msi để cài đặt lên máy Client khi cần dùng đến người dùng chỉ cần chọn các Shortcut đã được cài đặt vào máy mình. Creat Windows Install Package
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 132
Next → Màn hình configure Distribution Package bạn chọn → Desktop & Start menu folder
Next → finish Để hệ thống tự tạo các Shortcut của ứng dụng ra màn hình Desktop và Start Menu. Dau khi hoàn tất bạn vào thư mục C:\Program file\Packaged Program sẽ thấy xuất hiện thêm các file .msi
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 133
→ Chúng ta tiến hành share thư mục Packaged Program trong C:\Program Files\.
+ Bây giờ từ máy Client bạn truy cập vào Folder Shared Packaged Program: \\192.168.1.1.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 134
Click chọn AcroRd32.rbd →chọn connect → Chọn tiếp Run Program
Màn hình hiển thị Account ta nhập Administrator và pass 123@abc
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 135
ok → sau khi hoàn thành thì màn hình hiển thị ra giao diện của Acrobat ReaderĐến đây ta nhận thấy từ máy client ta có thể chạy được ứng dụng Acrobat Reader rất tốt và có thể mở được tập tin có định dạng là .pdf ngay trên máy của mình, mặc dù trước đó trên hệ thống không hề cài đặt phần mềm này.
Trở lại Folder Shared Packaged Program Click chọn AcroRd32.msi...→ nhập vào chọn Run
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 136
→ hệ thống sẽ tự động cài đặt Packaged Acrobat Reader lên máy Client. Vào start → Remote Program với ứng dụng mới được thêm vào là Acrobat.
Như vậy đến đây ta hoàn tất triển khai ứng dụng thông qua Remote Application với giao diện File Sharing. + Bây giờ ta sẽ truy cập các chương trình thông qua giao diện Web, tại Client truy cập vào địa chỉ http://192.168.1.1/ts → nhập vào username và password athena1- 123@abc
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 137
Màn hình hiện ra với các ứng dụng mà ta đã tạo sẳn trong TS RemoteApp Manager. Nhận thấy việc truy cập các ứng dụng cũng rất tốt nhưng khác ở chổ là bây giờ ta sử dụng chúng thông qua ứng dụng Web.
Chọn Tab Remote Desktop và nhập IP của máy Server vào mục connect 192.168.1.1 và nhấp connect
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 138
Nhận thấy thông qua gioa diện Web ta vẫn có thể truy cập Remote Desktop rất tốt thay vì sử dụng RemoteDesktop Connections.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 139
Hoàn Thành bài Lab terminal Services
Bài 9-Lab Network Load Balancing - NLB
I. Mục Đích - Trong bài trước chúng ta đã biết cấu hình DFS để hệ thống có thể chia tải với nhau giữa các File Server, tuy nhiên DFS chỉ giới hạn ở một số tính năng nhất định mà thôi vì thế do nhu cầu thực tế đòi hỏi phải có một cơ chế tương tự nhưng có thể áp dụng cho nhiều mô hình khác như Web Server, Print Server, Mail Server...Trong bài này chúng ta sẽ tìm hiểu về NLB để ứng dụng chia tải trong các hệ thống mạng khac1nhau. Trong bài này chúng ta sẽ cấu hình NLb cho Web Server. - Giả sử tôi có một trang Web là www.ATHENA.EDU.VN và do nhu cầu thực tế chung1ta phải thiết lập nhiều máy Web Server cùng tham gia chia tải cho trang Web này vì hệ thống chúng ta phải ứng dụng NLB để chia tải. Mỗi máy Web Server sẽ có 1 IP Adress duy nhất. - Như vậy khi ta cấu hình NLB thì tất cả các máy tham gia chia tải cho hệ thống Web Server nhờ NLB sẽ sử dụng một Virtual IP Adress duy nhất để người dùng từ bên ngoài truy cập vào sẽ truy cập thẳng đến IP ảo này hệ thống NLB sẽ tự động cân bằng tải cho các máy tham gia vào NLB II. Mô Hình Bài LAb
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 140
Như vậy mô hình này sử dụng 4 máy trong đó: + Máy Pc01, Pc02 là các máy Web Server
+ Máy Server Pc03 vừa là Dc Server, DNS Server + Máy Pc04 đóng vai trò là Client Cấu hình IP các máy như Sau: Pc01, Pc02, Pc04 Join Domain Athena.edu.vn
Pc03 IP: 192.168.1.3 SM: 255.255.255.0 DG: Trống PDNS: 192.168.1.3 Pc02 IP: 192.168.1.2 SM: 255.255.255.0 DG: Trống PDNS: 192.168.1.3 Pc04 IP: 192.168.1.4 SM: 255.255.255.0 DG: Trống PDNS: 192.168.1.3
1. Cài đặt Network Load Balancing + B1: mở Server Manager → Features → màn hình Begin Chọn Next → Trong - Pc01 IP: 192.168.1.1 SM: 255.255.255.0 DG: Trống PDNS: 192.168.1.3 III. Các Bước thực Hiện Select Features bạn chọn Network Load Balancing→ Next → Install → Close.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 141
+ B2: sau khi hoàn tất cài đặt NLB lên cả 2 máy Web Server thì hệ thống bây giờ đã được gọi là Web Load Balancing. giờ đây mọi cấu hình trên bất cứ máy nào trong hệ thống mạng đều được tác động lên toàn bộ các Web Server. Như vậy chỉ cần cấu hình tại máy Pc01 hoặc Pc02 mà thôi mà không phải cấu hình lần lượt trên từng máy.
2. Cấu hình Network Load Balancing + B1 tại máy Pc01 vào Start → Program → Administrative Tools → NLB Managerđể bắt đầu tiến trình cấu hình NLB cho hệ thống → Trong màn hình NLN Manager→ Nhấp phải vào NLB Cluster chọn New Cluster để tạo một giao thức mới
+ B2: Tại màn hình New Cluster : connect chọn Card Lan
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 142
→ Trong màn hình New cluster: Host Parameters Giữ Nguyên giá trị mặc định chọn Next→ Tại cửa sổ New Cluster: Cluster IP Address nhấp Add thêm một IP ảo vào đây. trong bài giả sử IP ảo là 192.168.1.100/24
→ Trong màn hình New Cluster Parameter nhấp Next. + B3: Mặc định NLB sẽ chia tải cho tất cả các Port tuy nhiên trong bài chỉ muốn NLB chia tải cho Web Server mà thôi nên tại màn hình New Cluster: Port Rules nhấp Edit → Nhập vào giá trị 80 cho cả 2 mục From& To → Next → Finish
+ Làm tương tự để Add pc02 vào.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 143
Nhấp vào Virtual IP 192.168.1.100 → chọn Add Host to cluster → nhập IP Address của máy Pc02 và nhấp connect và tiếp tục chọn Card Lan → Trong màn hình New cluster: Host Parameter giữ nguyên giá trị mặc định.
+ Như vậy đến đây hệ thống Web Load Balancing của chúng ta bao gồm 2 máy
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 144
Từ máy Pc01 bật DOS Command lên nhập Ipconfig /all sẽ thấy máy nhận đến 2 là Pc01 & Pc02 tham gia chia tải Web Server. IP Address đó là: 192.168.1.2 & 192.168.1.100
+ Tại máy DNS Server Add thêm 1 Host (A) là www chỉ đến IP ảo là 192.168.1.100.
Từ Máy Client ping thử IP 192.168.1.100thấy thành công.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 145
Dùng lệnh Nslookupwww.athena.edu.vn sẽ thấy hệ thống phân giải tên miền www.athena.edu.vn thành 192.168.1.100
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 146
Như vậy đến đây ta hoàn tất việc cấu hình NLB cho Web Server, Khi đó ta chỉ càn cấu hình NAT cho Router sao cho khi người dùng từ ngoài truy cập vào mạng với giao thức Web hệ thống sẽ NAT vao IP 192.168.1.100. đến đây hệ thống chúng ta sẽ tự động chia tải cho các máy Web Server nhờ NLB. Hoàn thành bài Lab Netwok Load Balancing
Bài 10-Lab Windows Server Core - WSC
I. Mục Đích Kể từ Windows Server 2008 trở đi Microsoft đã nhận thấy vấn đề bảo mật và ổn định hệ thống càng được giải chú trọng hơn chính vì thế Microsoft đã đưa ra một ra một chuẩn hệ điều hành Server mới gọi là Server core với chuẩn mới này hệ điều hành Server của bạn không còn giao diện đồ họa nữa mà mọi thao tác trên Server đều được sử dụng bằng lệnh thông qua DOS Command hoặc các công cụ điều khiển từ xa trong Remote Administration được thích hợp trong Windows Vista & Windows Server 2008. Lợi ích của việc ứng dụng Windows Server Core: - Giảm đến mức tối đa khả năng bị tất công từ bên ngoài vì Server Core không co1cac1 công cụ đồ họa cũng như các công cụ, ứng dụng... - Server sẽ giúp ta giảm bớt công tác bảo trì vì mọi thao tác ta đều thực hiện trên một máy Remote khác, chính vì không có các công cụ, ứng dụng... nên Server core chạy rất ổn định ít gây ra lỗi cũng như xung đột hệ thống. - Server core chiếm rta61 ít dung lượng đĩa cứng khoảng 1.5G mà thôi nên các dịch vụ chạy trên máy này sẽ có tốc độtruy cập nhanh hơn và không gian đĩa cứng sẽ dư giả hơn. - Như vậy với Server Core người ta sẽ cài đặt các dịch vụ như, DHCP, DNS, WEB...lên các máy Server Core này. Khi dó ta dùng một máy Server 2008 nào đó và tiến hành cài đặt các công cụ Remote Administration lên đây để cấu hình các dịch vụ trên Server Core. II. Chuẩn bị
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 147
Như vậy trong mô này sử dụng 2 máy ảo trong đó:\
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 148
Mô hình bài Lab Máy Pc01 là máy Server 2008 với IP 192.168.1.1/24 Máy Pc02 là máy Server 2008, chúng ta sẽ nâng cấp lên Windows Server Core 2008, sau đó sẽ tiến hành Nâng cấp Dc Server với Domain là ATHENA.EDU.VN với IP 192.168.1.2/24 III. Các bước thực hiện A. Cài đặt Windows Server 2008: Trên máy PC02. + B1: Trến máy ảo ta chèn bộ source 2008 vào ổ đĩa ảo, chỉnh chế độ Boot ưu tiên CD/DVD → Restart máy để tiến hành cài đặt Windows Server Core 2008 → Chọn các thông số ngôn ngữ định dạng ngày giờ và bàn phím → Install Now → chọn Windows Server 2008 Enterprise ( Server Core Installation ) → Next → Quá trình cài đặt bắt đầu. Sau khi cài đặt xong → Restart → đang nhập bằng Account Administrator.Tuy nhiên vì Server Core không cí giao diện đồ họa nên sau khi đăng nhập.
Giao diện Windows Server core
B. Nâng cấp domain controller trên máy Server Core với Pc02 - đặt IP đổi tên máy thành PC02 + B1: Xem IP của card mạng bằng lệnh sau:
Netsh interface ipv4 show interface → Quan sát thấy ID card mạng có ID=2 bằng "2"
+ B2: Đặt IP là 192.168.1.2/24, DG 192.168.1.200 cho card mạng có ID=2 bằng
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 149
lệnh sau: Nettsh interface ipv4 set address name=2 source=static address=192.168.1.2 mask 255.255.255.0 gateway=192.168.1.200
+ B3: Đặt DNS 192.168.1.2 bằng lệnh sau: Netsh interface ip set dns "2" static 192.168.1.2 primary
+ B4: đánh lệnh hostname để xem tên hiện tại của máy tính, sau đó đổi tên thánh
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 150
Pc02 bằng lệnh sau: Netdom renamecomputer %computername% /Newname:PC02 → Y
+ B5: Sau khi Retart tắt firewall bằng câu lệnh: Hệ thống yêu cầu Restart máy bằng dòng lệnh :Shutdown /r /t 0 Netsh Firewall set Opmode Mode=Disable
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 151
Nhập lệnh Ipconfig /all để xem kết quả
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 152
- Nâng cấp Dc + Bây giờ từ máy Windows Server 2008 Pc01 bạn truy cập vào ổ đĩa C:\ của PC02 và tạo một file là Unattend.txt bằng \\192.168.1.2\C$( File này Download tài liệu học Athena → click vào thư viện tài liệu ATHENA → click vào MCSA → Click vào Upgrade 2k3 to 2k8 → thực hiện download file Unattend.txt hoặc liên hệ với giảng viên để hướng dẫn download file ) Nội dung file Unattend.txt như sau: [DCINSTALL] ReplicaOrNewDomain=Domain TreeOrChild=Tree CreateOrJoin=Create NewDomainDNSName=athena..edu.vn DNSOnNetwork=yes DomainNetbiosName=athena AutoConfigDNS=yes SiteName=Default_First_Site_Name AllowAnonymousAccess=no DatabasePath=%systemroot%\ntds LogPath=%systemroot%\ntds SYSVOLPath=%systemroot%\sysvol SafeModeAdminPassword=123@abc CriticalReplicationOnly=No RebootOnSuccess=yes
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 153
Tại máy Pc02 gõ lệnh: CD\ để chuyển về ổ đĩa gốc. sau đó nhập lệnh: Dir để xác thực đã tồn tại file Unattend.txt trong C:\
Bây giờ ta sẽ tiến hành nâng cấp lên DC Sever Core bằng cách nhập lệnh:Dcpromo ra. /Unattend:
unattend.txt → đang nâng trình diễn quá cấp
+ Bây giờ tại máy Pc01 sẽ tiến hành Join vào Domain Athena.edu.vn trong Dc
Trước tiên trong IP Card mạng phải Preferred DNS về máy Server Core PC02 → Sau khi cài đặt hoàn tất vào lại Ipconfig /all đề xác định máy đã được âng cấp Dc Server Core hoàn chình. Server Core. sau đó tiến hành Join Domain Athena.edu.vn thành công.
Bây giờ tại máy Pc01 sẽ tiến hành cài đặt các công cụ Remote Administration để
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 154
+ B1: bật Server Manager lên chọn Features → Add Features + B2: Tại màn hình Select Features bạn chọn Remote Server Administration C. Sử dụng Remote Server Administration để cấu hình và quản lý Server từ xa - điều khiển từ xa cho máy Server Core Tools → Add ...→ Next mặc định và tiến hành Install.
+ B3: Sau khi cài đặt hoàn tất ta thấ trong Administrative Tolls của Pc01 có rất nhiều công cụ mới đây chính là các công cụ để bạn có thể từ Pc01 tinh chỉnh máy Pc02 bằng giao diện đồ họa.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 155
Giả sử toi sẽ từ máy PC01 và muốn cấu hình DNS cho máy Pc02 nên tại đây tôi chọn DNS → Trong màn hình Connect to DNS Server bật ra bạn nhập IP của máy Pc02: The Following Server: 192.168.1.2 và nhấp ok.
Màn hình DNS của Pc02 sẽ hiện ra hoàn chỉnh và mọi cấu hình của bạn trên máy hoàn toàn không tác động gì đến PC01 cả mà sẽ được lưu trược tiếp lên máy PC02( Windows Server Core ) mà thôi.
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 156
Hoàn thành bài Lab Windows Server Core
Bài 11-Lab Read Only Domain Controller
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 157
Mô hình bài lab I. Vấn Đề Đặt Ra. + Giả sử công ty có trụ sờ chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, để hai hệ thống mạng ờ 2 nơi liên lạc với nhau bạn đã triển khai đường truyền kết nối cơ sở hạ tầng ( Lease Line, VPN...) Hiện nay hệ thống mạng tại trụ sở chính đáng được quản lý theo mô hình Active Directory với domain Athena.edu.vn, bạn muốn hệ thống mạng tại Hà Nội cũng được quản lý theo mô hình Active Directory thuộc domain athena.edu.vn nên bạn đã join các máy ở Hà Nội vào domain. + Trong trường hợp này để việc chừng thực cho hệ thống ở Hà Nội ổn định, ta cần cấu hình thêm một máy Domain Controller ( Global Catalog Server ) ở Hà Nội, nhưng vì chi nhánh Hà Nội không có bộ phận IP và không đảm bảo bảo mật cho domain Controller nên ta chỉ muốn Domain Controller ở Hà Nội lưu trữ password và chỉ chứng thực cho các user account của hệ thống Hà Nội. Để giải quyết được nhu cầu này ta sẽ
Cấu hình IP của các máy như sau:
Router LAN IP: 192.168.11.180 SM: 255.255.255.0 Cross IP: 172.16.9.2 SM: 255.255.0.0 Client Cross IP: 172.16.9.3 SM: 255.255.0.0 PDNS: 172.16.9.1 ADNS: 192.168.11.155 RODC Cross IP: 172.16.9.1 SM: 255.255.0.0 DG: 172.16.9.2 PRDNS: 192.168.11.155
Group HCMGroup HNGroup User Sg1, sg2 Hn1, Hn2
triển khai một Read-Only Domain Controller ở Hà Nội ( Read-Only Domain Controller là một chức năng mới trên windows Server 2008 ) + Và để thuận tiện cho việc chứng thực giữa 2 hệ thống này ( user sẽ được chứng thực bằng Global Catalog Server gần nhất ) nên ta sẽ chia hệ thống thành 2 site HCM và HN. II. Mô hình lab Dc LAN: IP: 192.168.11.155 SM: 255.255.255.0 DG: 192.168.11.180 PDNS: 192.168.11.155 Tạo OU, Group, User: OU HCM HN
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 158
Add User vào Group. Kiềm tra Functional level Vào Start → Administrative Tools → Active Directory Domains Trusts→nhấp chuột phải vào domain Athena.edu.vn → Properties để kiểm tra Functional Level.
Vào Start → Administrative Tools → Active Directory site and services → bung hết tất cả ra. Mục Default - Fist -Site - Name → Đổi tên thành HCM. Và tạo một site → Chuột phải Sites → New Site → Màn hình New Object - Site ô Name ta nhập là HN→ ok
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 159
Tạo Subnet cho từng site, phải chuột chọn Subnet → New Subnet → chọn HCM → Prefix192.168.11.0/24
Tiếp theo làm cho HN phải chuột chọn Subnet → New Subnet → chọn HN → Prefix:172.16.9.0/24 + Máy Router: Cài đặt định tuyến, Server Manager → chuột phại Roles chọn Add Roles → Next → Màn hình Select Server Roles → chọn Network Policy and Access Services → Next → Next → chọn Routing and Remote Access →
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 160
Install → close + Qua máy RODC Giờ tiến hành nâng cấp RODC, Start → run → DCPROMO →check vào ô User Advance mode installation →Next → Next → đánh check vào ô Exiting Forest ( để mặc định )
→ Next → Màn hình Network Credentials nhập athena.edu.vn → chọn Set
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 161
nhậpAdministrator Password 123@qwe → Next → Next → chọn Sites HN →Next →
Màn hình Additional domain Controller Options → check vào ô Read-Only Domain Controller ( RODC )
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 162
Next→Next→Màn hình Delegation of RODC installation and Administration → chọn Set ủy quyền cho User HN1
Next → Next → check vào ô Use this Specificdomain controller
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 163
Kiểm tra máy RODC là Read-Only, Start → Administrative Tools → AD User Next → Next →Màn hình Directory Services Restore Mode Administrator Password nhập pass 123@qwe → Next → Tiến hành quá trình cài đặt - anhd computer → chọn tab Domain Controller xem bên trong
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 164
Vào DNS bung ra chọn tab sites Kiểm tra máy RODC là Global Catalog Server
Kiểm tra phải chuột lên Domain không tạo được Host A
Tiếp theo ta cấu hình password Replication Policy - Start → Administrative Tools → AD User and Computer → chọn tab Domain Controller → RODC → phai chuột Properties → chọn Tab Password Replication Policy → Add → chọn Allow Passwords for the account to replication to this RODC
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 165
Ok → Add Group HN1,2 vào
Disable Card mạng nối với máy Primary Dc → qua máy RODC ping
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 166
+ Qua máy client đã Join vào Domain Athena.edu.vn Log on vào User HN1, HN2 → Lúc này 2 User HN1, HN2 được lưu vào máy RODC. + Qua Máy Router 192.168.11.155 và 172.16.9.2
Đăng nhập bằng user sg1 → đăng nhập không thành công Đăng nhập lại User HN1,2 lại thành công
Tài Liệu Thực Hành Lab MCSA 2008 -70-646
Trang 167
+ Qua client Các bạn thấy khi đăng nhập bằng USer HN1, HN2 thì đăng nhập thành công vì 2 User này đã được lưu lại vào máy RODC. Còn User sg1 đăng nhập không được vì không được lưu vào máy RODC nên không đăng nhập được. Hoàn thành bài Lab Read-Only Domain Controller
