VÀ DUY TRÌ CƠ SỞ HẠ - read.pudn.comread.pudn.com/downloads169/ebook/778052/ACNA/w2k3-70291LAB/Lab 70-291.… · triỂn khai, quẢn trỊ vÀ duy trÌ cƠ sỞ hẠ tẦng

TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI MICROSOFT WINDOWS SERVER 2003 CÁC BÀI TẬP THỰC HÀNH

HANỘI APTECH – 2006

MỤC LỤC THỰC HÀNH 1: TRIỂN KHAI DỊCH VỤ DHCP ................. 5

TRƯỚC KHI BẠN BẮT ĐẦU .............................................................. 6 KỊCH BẢN ............................................................................................. 8 BÀI TẬP 1-1: SỬ DỤNG APIPA.......................................................... 8 BÀI TẬP 1-2: CÀI ĐẶT DỊCH VỤ DHCP SERVER......................... 10 BÀI TẬP 1-3: UỶ QUYỀN DỊCH VỤ DHCP SERVER TRONG ACTIVE DIRECTORY........................................................................ 11 BÀI TẬP 1-4: THÊM, CẤU HÌNH VÀ KÍCH HOẠT MỘT PHẠM VI DHCP.................................................................................................... 12 BÀI TẬP 1-5: THÊM ĐỊA CHỈ IP DÀNH SẴN CHO MÁY TRẠM 16 BÀI TẬP 1-6: CẤU HÌNH CÁC TUỲ CHỌN DHCP ........................ 19 BÀI TẬP 1-7: CẤU HÌNH MỘT DHCP RELAY AGENT ................ 21 BÀI TẬP 1-8: KHỞI ĐỘNG DỊCH VỤ DHCP SERVER .................. 27 CÁC CÂU HỎI ÔN TẬP ..................................................................... 29 THỰC HÀNH NÂNG CAO 1-1: CHUYỂN ĐỔI SANG CẤP PHÁT ĐỊA CHỈ IP ĐỘNG .............................................................................. 30

THỰC HÀNH 2: QUẢN LÝ & GIÁM SÁT DHCP .............. 31 TRƯỚC KHI BẠN BẮT ĐẦU ............................................................ 31 KỊCH BẢN ........................................................................................... 37 BÀI TẬP 2-1: SAO LƯU & KHÔI PHỤC CSDL DHCP ................... 38 BÀI TẬP 2-1: NÉN (COMPACTING) CSDL DHCP......................... 39 BÀI TẬP 2-3: NHẬT KÝ KIỂM TOÁN DHCP ................................. 40 BÀI TẬP 2-4: THEO DÕI HIỆU NĂNG DHCP................................. 44 BÀI TẬP 2-5: GIẢI QUYẾT VIỆC CÁC MÁY CHỦ VÀ MÁY TRẠM BỊ MẤT CẤU HÌNH ............................................................... 47 BÀI TẬP 2-6: LOẠI BỎ SỰ PHỤ THUỘC GIỮA CÁC BÀI THỰC HÀNH................................................................................................... 50 CÂU HỎI ÔN TẬP............................................................................... 52 THỰC HÀNH NÂNG CAO 2-1: TẠO CHIẾN LƯỢC SAO LƯU CHO CONTOSO .................................................................................. 52 THỰC HÀNH NÂNG CAO 2-2: CẤU HÌNH CÁC CẬP NHẬT ĐỘNG................................................................................................... 52

THỰC HÀNH 3: CÀI ĐẶT & CẤU HÌNH DỊCH VỤ DNS SERVER................................................................................... 54

KỊCH BẢN ........................................................................................... 54 BÀI TẬP 3-1: CÀI ĐẶT DỊCH VỤ DNS............................................ 55

BÀI TẬP 3-2: TẠO & CẤU HÌNH DNS ZONES............................... 57 BÀI TẬP 3-3: TẠO CÁC BẢN GHI DNS .......................................... 67 BÀI TẬP 3-4: CẤU HÌNH FORWARDING....................................... 70 CÂU HỎI ÔN TẬP............................................................................... 72 THỰC HÀNH NÂNG CAO 3-1: CẤU HÌNH DNS............................ 73

THỰC HÀNH 4: QUẢN LÝ & GIÁM SÁT DỊCH VỤ DNS SERVER................................................................................... 74

TRƯỚC KHI BẠN BẮT ĐẦU ............................................................ 74 KỊCH BẢN ........................................................................................... 77 BÀI TẬP 4-1: CÁC TÁC VỤ CHUẨN BỊ .......................................... 77 BÀI TẬP 4-2: ĐỒNG BỘ VÙNG DNS THỦ CÔNG ......................... 79 BÀI TẬP 4-3: THEO DÕI VÀ KHẮC PHỤC SỰ CỐ DNS............... 83 BÀI TẬP 4-4: QUẢN LÝ DNS............................................................ 88 BÀI TẬP 4-5: BẢO MẬT DNS ........................................................... 92 BÀI TẬP 4-6: LOẠI BỎ DỊCH VỤ DNS SERVER. .......................... 96 CÁC CÂU HỎI ÔN TẬP ..................................................................... 98 THỰC HÀNH NÂNG CAO 4-1: CÀI ĐẶT VÀ QUẢN LÝ DNS ..... 98 THỰC HÀNH KHẮC PHỤC SỰ CỐ: TRIỂN KHAI CÁC DỊCH VỤ MẠNG ................................................................................................ 100

THỰC HÀNH 5: BẢO MẬT TRONG MẠNG.................... 103 KỊCH BẢN ......................................................................................... 103 BÀI TẬP 5-1: KIỂM SOÁT BẢO MẬT ........................................... 104 BÀI TẬP 5-2: ÁP DỤNG CÁC MẪU BẢO MẬT............................ 105 BÀI TẬP 5-3: GÁN QUYỀN CHO NGƯỜI SỬ DỤNG .................. 109 BÀI TẬP 5-4: SỬ DỤNG HỆ THỐNG FILE MÃ HÓA .................. 110 BÀI TẬP 5-5: CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT BASELINE SECURITY ANALYZER (MBSA) ................................................... 118 CÂU HỎI ÔN TẬP............................................................................. 121 THỰC HÀNH NÂNG CAO 5-1: LẬP KẾ HOẠCH BẢO MẬT CHO WINGTIP TOYS ................................................................................ 121

THỰC HÀNH 6: SỬ DỤNG IPSEC ĐỂ BẢO MẬT LƯU THÔNG MẠNG .................................................................... 122

KỊCH BẢN ......................................................................................... 122 BÀI TẬP 6-1: SỬ DỤNG IPSEC ĐỂ KHÓA CÁC LƯU THÔNG TCP/IP................................................................................................. 122 BÀI TẬP 6-2: SỬ DỤNG IPSEC ĐỂ MÃ HÓA CÁC LƯU THÔNG FTP...................................................................................................... 129 BÀI TẬP 6-3: MANAGING IPSEC POLICIES................................ 138 BÀI TẬP 6-4: THEO DÕI VÀ KHẮC PHỤC SỰ CỐ IPSEC.......... 141

BÀI TẬP 6-5: DỠ BỎ CÁC CHÍNH SÁCH IPSEC ......................... 144 CÂU HỎI ÔN TẬP............................................................................. 145 THỰC HÀNH NÂNG CAO 6-1: BẢO VỆ DỮ LIỆU BẰNG IPSEC............................................................................................................. 146

THỰC HÀNH 7: SỬ DỤNG RRAS ĐỂ CẤU HÌNH ĐỊNH TUYẾN................................................................................... 148

CÁC BƯỚC CHUẨN BỊ.................................................................... 148 KỊCH BẢN ......................................................................................... 157 BÀI TẬP 7-1: KÍCH HOẠT ROUTING AND REMOTE ACCESS 157 BÀI TẬP 7-2: CẤU HÌNH ĐỊNH TUYẾN IP................................... 158 BÀI TẬP 7-3: TẠO MỘT MẠNG RIÊNG ẢO VPN........................ 164 BÀI TẬP 7-4: TRIỂN KHAI CÁC CHÍNH SÁCH TRUY CẬP TỪ XA............................................................................................................. 172 BÀI TẬP 7-5: CẤU HÌNH NAT........................................................ 180 BÀI TẬP 7-6: CẤU HÌNH CÁC BỘ LỌC GÓI ................................ 184 BÀI TẬP 7-7: GỠ BỎ DỊCH VỤ ROUTING AND REMOTE ACCESS ............................................................................................. 187 CÂU HỎI ÔN TẬP............................................................................. 188 THỰC HÀNH NÂNG CAO 7-1: THIẾT KẾ MỘT GIẢI PHÁP TRUY CẬP TỪ XA ....................................................................................... 188

THỰC HÀNH 8: DUY TRÌ KIẾN TRÚC MẠNG .............. 190 CÁC BƯỚC CHUẨN BỊ.................................................................... 190 KỊCH BẢN ......................................................................................... 194 BÀI TẬP 8-1: SỬ DỤNG CÔNG CỤ TASK MANAGER............... 194 BÀI TẬP 8-2: SỬ DỤNG MÀN HÌNH QUẢN TRỊ PERFORMANCE............................................................................................................. 197 BÀI TẬP 8-3: GIÁM SÁT LƯU LƯỢNG MẠNG ........................... 202 BÀI TẬP 8-4: XỬ LÝ SỰ CỐ KẾT NỐI .......................................... 206 BÀI TẬP 8-5: CẤU HÌNH CÁC DỊCH VỤ TRÊN WINDOWS SERVER 2003 .................................................................................... 209 BÀI TẬP 8-6: GỠ BỎ CÁC THÀNH PHẦN CÀI ĐẶT................... 213 CÂU HỎI ÔN TẬP............................................................................. 214 THỰC HÀNH NÂNG CAO 8-1: GIÁM SÁT VÀ XỬ LÝ SỰ CỐ MẠNG ................................................................................................ 214

TRIỂN KHAI DỊCH VỤ DHCP

THỰC HÀNH 1: TRIỂN KHAI DỊCH VỤ DHCP Bài thực hành này bao gồm các bài tập và công việc sau đây:

Bài tập 1-1: Sử dụng APIPA

Bài tập 1-2: Cài đặt DHCP Server

Bài tập 1-3: Ủy quyền dịch vụ DHCP Server trong Active Directory

Bài tập 1-4: Thêm, cấu hình, và kích hoạt một phạm vi DHCP

Bài tập 1-5: Thêm các DHCP dành sẵn cho máy trạm

Bài tập 1-6: Cấu hình các tuỳ chọn DHCP

Bài tập 1-7: Cấu hình DHCP Relay Agent

Bài tập 1-8: Khởi động dịch vụ DHCP Server

Các câu hỏi ôn tập Thực hành nâng cao 1-1: Chuyển đổi sang cơ chế Cấp phát Địa chỉ IP

động Sau khi hoàn thành bài thực hành này, bạn có thể:

Cấu hình APIPA và cấp phát IP thủ công

Thêm và uỷ quyền một dịch vụ DHCP Server

Cấu hình một phạm vi DHCP

Cấu hình một DHCP dành sẵn cho máy trạm

Cấu hình các tuỳ chọn phạm vi DHCP

Cấu hình một DHCP relay agent.

Thời gian dự kiến: 155 phút (dự tính này bao gồm các thủ tục cài đặt trước khi bạn bắt đầu)

TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003

5


TRƯỚC KHI BẠN BẮT ĐẦU Thời gian dự kiến hoàn thành: 10 phút

Để hoàn thành các bài tập trong Thực hành 1, bạn cần phải cài đặt một bộ giao tiếp mạng thứ hai trong mỗi máy tính của học viên. Kết nối máy tính của mỗi học viên bằng dây cáp chéo nối các giao tiếp mạng thứ hai với nhau. Bảng 1-1 được sử dụng để cấu hình các máy tính của học viên trong bài thực hành này. Tuy nhiên, không nhất thiết phải tạo ra các thay đổi cấu hình tại bước này. Sau khi hoàn thành Thực hành 1, phải dỡ bỏ các giao tiếp mạng thứ hai hoặc vô hiệu (disable) chúng trong giao diện Microsoft Windows trước khi tiếp tục các bước thực hành tiếp theo.

Bảng 1-1 Cài đặt địa chỉ IP cho các máy học viên Computer Name Contoso Ltd., Network Litware Inc., Network Computer01 IP address: 10.1.1.1 IP address: 192.168.0.1 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer02 IP address: 10.1.1.2 IP address: 192.168.0.2 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer03 IP address: 10.1.1.3 IP address: 192.168.0.3 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer04 IP address: 10.1.1.4 IP address: 192.168.0.4 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer05 IP address: 10.1.1.5 IP address: 192.168.0.5 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer06 IP address: 10.1.1.6 IP address: 192.168.0.6 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer07 IP address: 10.1.1.7 IP address: 192.168.0.7 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer08 IP address: 10.1.1.8 IP address: 192.168.0.8 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer09 IP address: 10.1.1.9 IP address: 192.168.0.9 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer10 IP address: 10.1.1.10 IP address: 192.168.0.10 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer11 IP address: 10.1.1.11 IP address: 192.168.0.11 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer12 IP address: 10.1.1.12 IP address: 192.168.0.12


6


Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer13 IP address: 10.1.1.13 IP address: 192.168.0.13 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer14 IP address: 10.1.1.14 IP address: 192.168.0.14 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer15 IP address: 10.1.1.15 IP address: 192.168.0.15 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer16 IP address: 10.1.1.16 IP address: 192.168.0.16 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer17 IP address: 10.1.1.17 IP address: 192.168.0.17 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer18 IP address: 10.1.1.18 IP address: 192.168.0.18 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer19 IP address: 10.1.1.19 IP address: 192.168.0.19 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer20 IP address: 10.1.1.20 IP address: 192.168.0.20 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer21 IP address: 10.1.1.21 IP address: 192.168.0.21 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer22 IP address: 10.1.1.22 IP address: 192.168.0.22 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer23 IP address: 10.1.1.23 IP address: 192.168.0.23 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer24 IP address: 10.1.1.24 IP address: 192.168.0.24 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer25 IP address: 10.1.1.25 IP address: 192.168.0.25 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer26 IP address: 10.1.1.26 IP address: 192.168.0.26 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer27 IP address: 10.1.1.27 IP address: 192.168.0.27 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer28 IP address: 10.1.1.28 IP address: 192.168.0.28 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer29 IP address: 10.1.1.29 IP address: 192.168.0.29 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer30 IP address: 10.1.1.30 IP address: 192.168.0.30 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0


7


KỊCH BẢN Bạn là một quản trị mạng cho Công ty Litware. Gầy đây, công ty Contoso đã tiếp nhận công ty Litware. Do vậy, Litware hiện đang mở rộng mạng. Trước đây, Litware sử dụng giải pháp cấp phát Địa chỉ IP động (APIPA). Do có sự gia tăng về số lượng máy trạm (yếu tố thúc đẩy Contoso tiếp nhận Litware) và do thực tế là các nhà quản trị mạng đã cài đặt một bộ định tuyến để cho phép người sử dụng truy cập Internet, bạn được yêu cầu phải lập kế hoạch và cài đặt một hệ thống cấp phát địa chỉ động bằng cách sử dụng giao thức DHCP (Cấu hình địa chỉ động cho máy trạm). Bạn hợp tác với một đối tác để cài đặt dịch vụ DHCP Server và cấu hình nó để gán các tham số cấu hình cần thiết.

BÀI TẬP 1-1: SỬ DỤNG APIPA Thời gian dự kiến hoàn thành : 15 phút

Trong bài tập này, bạn sẽ cấu hình một địa chỉ IP tĩnh cho giao tiếp mạng Sau đó, bạn sẽ xem xét và xác định các thông tin cấu hình Giao thức (TCP/IP) được gán cho các giao tiếp mạng

Hiển thị Thông tin Đánh Địa chỉ IP Thủ công QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Việc này sẽ cho phép bạn hiển thị các thông tin đánh địa chỉ IP thủ công được cấu hình trên máy chủ.

1. Khởi động máy tính Windows Server 2003, và đăng nhập vào máy với tài khoản [email protected] (trong đó, domain là tên miền)

2. Nhấn Start, chọn Run, nhập cmd, và nhấn phím Enter

3. Tại dấu nhắc lệnh, nhập câu lệnh ipconfig /all và sau đó nhấn phím Enter

4. Ghi lại các thông tin địa chỉ IP của giao tiếp mạng Contoso Ltd.

a. IP address

b. Subnet mask


8

mailto:[email protected]


c. Default gateway

d. DNS server

CÂU HỎI: Máy tính đã nhận được địa chỉ IP cho giao tiếp mạng Contoso Ltd. từ đâu?

Hiển thị Thông tin cấp địa chỉ APIPA QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Kiểm tra cáp chéo được kết nối giữa các máy tính của học viên.

1. Sử dụng các bước như trên, ghi lại thông tin cấu hình địa chỉ IP của giao tiếp mạng Litware Inc theo các bước sau:

a. IP address

b. Subnet mask

c. Default gateway

d. DNS server

CÂU HỎI: Máy tính đã nhận được địa chỉ IP cho giao tiếp mạng Litware Inc. từ đâu?

2. Đóng cửa sổ dấu nhắc lệnh bằng cách nhập vào lệnh exit

Nhập thông tin địa chỉ IP cho giao tiếp mạng Litware, Inc QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Việc này cho phép bạn cấu hình địa chỉ IP tĩnh trên giao tiếp mạng Litware, Inc. sử dụng thông tin địa chỉ IP trong bảng 1-1 để nhận được dịa chỉ IP đúng cho giao tiếp mạng Litware, Inc.

1. Nhấn chuột phải vào Giao tiếp mạng Litware, Inc

2. Chọn Properties.

3. Chọn Internet Protocol (TCP/IP) trong danh sách các thành phần, và nhấn Properties.

4. Lựa chọn Use Following IP Address option.

5. Nhập các thông tin địa chỉ IP từ bảng 1-1.

6. Nhấn OK để chấp nhận thay đổi các thuộc tính địa chỉ IP.


9


7. Nhấn Close để chấp nhận các thay đổi kết nối mạng.

BÀI TẬP 1-2: CÀI ĐẶT DỊCH VỤ DHCP SERVER Thời gian dự kiến: 10 phút

Để chuẩn bị cho việc cấp phát địa chỉ động, bạn phải cài đặt dịch vụ DHCP Server.

QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Điều này cho phép bạn cấu hình máy chủ như là một DHCP Server.

1. Khởi động máy tính Windows Server 2003, và đăng nhập vào máy với tài khoản [email protected] (trong đó, studentxx là tên của học viên, domain là tên miền)

2. Nhấn Start, nhấn Control Panel, và tiếp theo nhấn đúp chuột vào Administrative Tools. Nhấn chuột phải vào Manage Your Server, và chọn Run As để mở hộp thoại Run As.

3. Trong hộp thoại Run As, chọn “ Following User option” (Tùy chọn người dùng sau) và nhập các thông tin định khoản như sau để mở trang “Manage Your Server”.

a. Trong hộp User, nhập [email protected]

b. Trong hộp Password, nhập MSPress@LS#1

4. Trên trang Manage Your Server, nhấn Add Or Remove A Role, và tiếp theo nhấn Next.

5. Trong Configure Your Server Wizard, chọn DHCP Server, và tiếp theo nhấn Next

6. Trên trang Summary of Selection, nhấn Next

7. Trong New Scope Wizard, nhấn Cancel để dừng việc tạo phạm vi vào thời điểm này

8. Trong Configure Your Server Wizard, nhấn Finish.


10




BÀI TẬP 1-3: UỶ QUYỀN DỊCH VỤ DHCP SERVER TRONG ACTIVE DIRECTORY Thời gian dự kiến hoàn thành: 10 phút

Bây giờ dịch vụ DHCP Server đã được cài đặt, bạn phải uỷ quyền cho nó trong dịch vụ Active Directory.

Uỷ quyền Dịch vụ DHCP Server QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Việc này cho phép bạn uỷ quyền máy chủ DHCP của bạn trong dịch vụ thư mục Active Directory.


2. Nhấn Start, nhấn Control Panel. Trong Control Panel, nhấn đúp chuột vào Administrative Tools.

3. Nhấn chuột phải vào DHCP và chọn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản sau đây để mở màn hình bảng điều khiển DHCP.

a. Trong hộp User Name, nhập [email protected]


5. Nhấn OK để mở màn hình DHCP

6. Trong cây màn hình bảng điều khiển, chọn tên máy chủ Computerxx .Domain.Contoso.Com

7. Nhấn chuột phải vào tên máy chủ

8. Trong thực đơn hiện ra, nhấn Authorize

9. Để xác nhận rằng DHCP server đã được uỷ quyền, trong cây màn hình bảng điều khiển, nhấn F5

10. Bây giờ màn hình bảng điều khiển sẽ hiện thị một mũi tên màu xanh.


11



CÂU HỎI: Tại sao chúng ta phải uỷ quyền cho máy chủ DHCP?

BÀI TẬP 1-4: THÊM, CẤU HÌNH VÀ KÍCH HOẠT MỘT PHẠM VI DHCP Thời gian dự kiến hoàn thành: 15 phút

Bây giờ dịch vụ DHCP Server đã được cài đặt và nó đã được uỷ quyền trong dịch vụ thư mục Active Directory. Bước tiếp theo là cấu hình và kích hoạt phạm vi DHCP. Khi phạm vi DHCP được tạo và kích hoạt, đối tác máy tính có số hiệu cao hơn sẽ thay đổi các thuộc tính trong thiết lập giao thức TCP/IP và nhận một địa chỉ IP từ máy chủ DHCP.

Thêm và cấu hình phạm vi DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này sẽ cho phép bạn được thêm một phạm vi DHCP cho máy tính của đối tác.




4. Trong hộp thoại Run As, chọn Following User option và nhập định khoản sau đây để mở màn hình bảng điều khiển DHCP.



5. Nhấn OK để mở màn hình bảng điều khiển DHCP

6. Lựa chọn máy chủ DHCP tương ứng từ cây màn hình bảng điều khiển

7. Trên thực đơn Action, chọn New Scope để tạo một phạm vi DHCP mới.


12



8. Trong New Scope Wizard, nhấn Next

9. Trong trang Scope Name, nhập các thông tin cấu hình như sau:

a. Đối với hộp Name, nhập partner’s computer scope

b. Đối với hộp Description, nhập scope for partner’s computer

10. Trên trang IP Address Range, nhập các thông tin cấu hình sau:

a. Đối với mục Start IP Address, nhập địa chỉ IP đầu tiên cho đối tác Litware Inc

b. Đối với mục End Start IP Address, nhập địa chỉ IP cuối cùng cho đối tác Litware Inc

c. Đối với mục Subnet Mask, nhập 24 bit hoặc 255.255.255.0

11. Trên trang Add Exclusion, nhấn Next

12. Trên trang Lease Duration, lựa chọn 1 giờ, và sau đó nhấn Next

13. Trên trang Configure DHCP Options, chọn No, I Will Configure These Option Later. Nhấn Next

14. Trên trang Completing New Scope Wizard, nhấn Finish.

Kích hoạt phạm vi DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này sẽ cho phép bạn kích hoạt phạm vi DHCP.






13






6. Lựa chọn tên máy chủ DHCP trong cây màn hình bảng điều khiển

7. Lựa chọn phạm vi có tên là Partner’s Computer Scope

8. Trên thực đơn Action, chọn Activate

9. Đóng màn hình bảng điều khiển MMC.

CÂU HỎI:: Tại sao bạn lại phải kích hoạt phạm vi DHCP?

Dừng dịch vụ DHCP Server QUAN TRỌNG: Hoàn thành nhiệm vụ này từ máy tính có số hiệu cao hơn. Việc này cho phép bạn nhận một điạ chỉ IP từ máy chủ DHCP server








6. Trong cửa sổ màn hình bảng điều khiển DHCP, trước tiên chọn và sau đó nhấn chuột phải vào DHCP Server.


14



7. Trên thực đơn hiện ra, lựa chọn All Tasks, và tiếp theo chọn Stop

8. Đóng tất cả các cửa sổ.

Nhận địa chỉ IP cấp phát QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn nhận một điạ chỉ IP từ máy chủ DHCP server


2. Nhấn Start, chọn biểu tượng Network connections.

3. Nhấn chuột phải vào biểu tượng Litware Inc Network connections.


5. Chọn Internet Protocol (TCP/IP) trong danh sách các thành phần, và sau đó nhấn Properties. Chọn Obtain An IP Address Automatically.

6. Nhấn OK để chấp nhận các thay đổi thuộc tính cấu hình địa chỉ IP.

7. Nhấn Close để chấp nhận các thay đổi Network connections.

8. Nhấn Start, và chọn Run.

9. Đánh cmd, và nhấn Enter.

10. Trong cửa sổ Command Prompt, đánh lệnh ipconfig /renew.

11. Trong cửa sổ Command Prompt, đánh lệnh ipconfig /all.

12. Hãy kiểm tra xem địa chỉ IP được hiển thị cho Litware Inc Network connections có phải là địa chỉ IP được cấu hình trên máy chủ DHCP. Tương tự bạn cũng kiểm tra địa chỉ IP trên máy tính của đối tác.

Kiểm tra địa chỉ IP được cấp phát. QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn xem được điạ chỉ IP được cấp phát từ máy chủ DHCP server


15









6. Chọn tên máy chủ trong cây bảng điều khiển.

7. Chọn phạm vi có tên là: Partner’s Computer Scope

8. Chọn Address Leases.

9. Kiểm tra xem Computerxx @Domain.Contoso.Com được liệt kê bên dưới cột Name trong ô Address Leases.

BÀI TẬP 1-5: THÊM ĐỊA CHỈ IP DÀNH SẴN CHO MÁY TRẠM Thời gian dự kiến hoàn thành: 10 phút Trong các trường hợp nhất định, như cần dành riêng địa chỉ IP cho một máy in, bạn cần thiết lập để một máy trạm DHCP luôn nhận một địa chỉ tại mỗi thời điểm. Việc này có thể thực hiện bằng cách cấu hình địa chỉ IP dành sẵn cho máy trạm trong DHCP. Trong bài tập này, bạn sẽ cấu hình địa chỉ IP dành sẵn cho máy trạm trên các máy chủ DHCP.

Thêm IP dành sẵn cho máy trạm. QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn cấu hình một điạ chỉ IP dành riêng cho máy trạm.


16











6. Chọn máy chủ DHCP cần cấu hình trong cây bảng điều khiển.

7. Mở rộng máy chủ DHCP, tiếp theo mở rộng phạm vi Partner’s Computer Scope

8. Trong màn hình cây Bảng điều khiển, nhấn Reservations. Trên thực đơn Action, chọn New Reservation.

9. Trong hộp Reservation Name, Nhập tên máy tính đối tác.

10. Trong hộp IP Address, Nhập điạ chỉ IP của Litware Network connections

11. Trong hộp MAC Address, Nhập địa chỉ MAC của giao tiếp mạng của đối tác.

12. Trong hộp Description, Nhập Client Reservation.

13. Trong hộp Supported Types, chọn DHCP Only.

14. Nhấn Add để thêm Client Reservation.

15. Nhấn OK.


17



Để nhận địa chỉ IP dành sẵn cho máy trạm QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn nhận một địa chỉ IP mà đã dành riêng cho máy trạm trên một máy chủ DHCP.

1. Khởi động máy tính Windows Server 2003, và đăng nhập vào máy với tài khoản [email protected] (trong đó, studentxx là tên học viên, domain là tên miền)

2. Nhấn Start, trỏ tới All Programs, trỏ tới Accessories, nhấn Command Prompt, tiếp theo chọn Run As để mở hộp thoại Run As.

3. Trong hộp thoại Run As, chọn Following User potion và nhập các thông tin định khoản sau đây trong hộp thoại để mở cửa sổ Command Prompt:



4. Nhấn OK để mở cửa sổ Command Prompt



7. Hãy kiểm tra xem địa chỉ IP được gán cho Litware Inc Network connections có phải là địa chỉ IP được cấu hình trên máy chủ DHCP.

Kiểm tra địa chỉ IP dành sẵn cho máy trạm QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu thấp hơn. Việc này cho phép bạn kiểm tra rằng máy chủ DHCP đã dành riêng một địa chỉ IP cho máy trạm.




18








6. Trong cây DHCP Bảng điều khiển, chọn máy chủ DHCP cần cấu hình trong cây bảng điều khiển, tiếp theo mở rộng phạm vi Partner’s Computer Scope

7. Trong màn hình cây Bảng điều khiển, nhấn Address Lease.

8. Kiểm tra xem reservation displays được kích hoạt chưa.

9. Trong màn hình cây Bảng điều khiển, phía dưới Address Lease, xóa client reservation.

BÀI TẬP 1-6: CẤU HÌNH CÁC TUỲ CHỌN DHCP Thời gian dự kiến hoàn thành: 10 phút Các tuỳ chọn phạm vi DHCP cho phép quản trị mạng tự động gán thêm các thông tin cấu hình, ví dụ như địa chỉ IP của máy chủ DNS hoặc là Cổng ra mặc định (Default Gateway). Trong bài tập này, bạn sẽ cấu hình máy chủ DHCP để gán địa chỉ Default Gateway.

Cấu hình các tuỳ chọn phạm vi DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu thấp hơn. Việc này cho phép bạn cấu hình các tuỳ chọn ở mức phạm vi DHCP cho các máy trạm DHCP.



19





4. Trong hộp thoại Run As, chọn Following User option và nhập định khoản sau đây để mở màn hình bảng điều khiển DHCP.




6. Chọn máy chủ DHCP cần cấu hình trong cây bảng điều khiển,

7. Trong cây DHCP Bảng điều khiển, mở rộng phạm vi Partner’s Computer Scope

8. Chọn và nhấn chuột phải vào Scope options, tiếp theo chọn Configure Options. Trong danh sách Scope options, chọn 003 Router.

9. Trong hộp Data Entry Ip Address, Nhập địa chỉ IP của đối tác Litware Inc Network connection, và nhấn Add.

10. Nhấn OK

CÂU HỎI: Các tùy chọn DHCP khác được sử dụng trên mạng là gì?

Để nhận một tuỳ chọn cho phạm vi DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn nhận các tuỳ chọn ở mức phạm vi DHCP từ máy chủ DHCP.


2. Từ thực đơn Start, trỏ tới All Programs, trỏ tới Accessories, nhấn chuột phải Command Prompt, tiếp theo chọn Run As để mở hộp thoại Run As.


20


3. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản sau đây để mở cửa sổ Command Prompt:






7. Hãy kiểm tra xem địa chỉ IP được gán cho Gateway có phải là địa chỉ IP của giao tiếp mạng của đối tác không.

BÀI TẬP 1-7: CẤU HÌNH MỘT DHCP RELAY AGENT Thời gian dự kiến hoàn thành: 20 phút Trong hệ thống mà các máy trạm bị ngăn cách với máy chủ DHCP bằng một router mà không được cấu hình đến DHCP mở rộng tiếp theo, bạn phải cấu hình một DHCP relay agent. Trong bài tập này, đầu tiên bạn cài đặt Routing and Remote Access (Truy cập từ xa và định tuyến) trong máy chủ của bạn. Sau đó, cấu hình một DHCP relay agent và đảm bảo máy tính của đối tác cũng nhận được địa chỉ IP.

Thêm Routing and Remote Access QUAN TRỌNG: Phải thực hiện các bước sau đây trên máy tính học viên có số hiệu thấp hơn. Điều này cho phép máy chủ của bạn có vai trò như một bộ định tuyến trong mạng LAN.


2. Nhấn phím Start và chọn Control Panel. Trong Control Panel, nhấn đúp vào Administrative Tools.

3. Nhấn chuột phải Routing And Remote Acces và chọn Run As để mở hộp thoại Run As.


21


4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản sau đây để mở màn hình Routing And Remote Access:



5. Nhấn OK để mở màn hình bảng điều khiển Routing And Remote Access

6. Trong màn hình bảng điều khiển Routing And Remote Access, chọn tên máy tính, sau đó chọn Action thực đơn, và chọn “Configure And Enable Routing And Remote Access”.

7. Trong Routing And Remote Access Server Setup Wizard, nhấn Next.

8. Trong trang Configuration, nhấn LAN Routing, và nhấn Next

9. Trên trang Custom Configuration, nhấn LAN Routing và sau đó nhấn Next.

10. Trên trang “Completing Routing And Remote Access Server Setup Wizard”, nhấn Finish

11. Khi bạn sẵn sàng bắt đầu dịch vụ này, chọn Yes.

Thêm Giao thức Thông tin Định tuyến (RIP) QUAN TRỌNG: Phải thực hiện các bước sau đây trên máy tính của học viên có số hiệu thấp hơn. Điều này cho phép bạn cấu hình máy chủ với giao thức định tuyến RIP để giúp nó định hướng hoặc chuyển các gói tin (packets)




22







6. Trong màn hình bảng điều khiển Routing And Remote Access, mở rộng Computerxx , sau đó chọn IP Routing.

7. Phía dưới IP Routing, nhấn chuột phải vào General, và sau đó chọn New Routing Protocol.

8. Trong trang New Routing Protocol, nhấn RIP Version 2 For Internet Protocol, và sau đó nhấn OK.

CÂU HỎI: Hai phương pháp nào giúp các gói tin được chuyển tới các mạng (subnet) khác?

9. Trong màn hình bảng điều khiển Routing And Remote Access, nhấn chuột phải vào RIP, và sau đó chọn New Interface.

10. Trong hộp thoại New Interface For RIP Version 2 For Internet Protocol, phía dưới Interfaces, chọn Contoso Corp Network, và sau đó nhấn OK.

11. Trên trang RIP Properties-Contoso Corp Network Properties, nhấn OK.

12. Trong màn hình bảng điều khiển Routing And Remote Access, nhấn chuột phải vào RIP, và sau đó chọn New Interface.

13. Trong hộp thoại New Interface For RIP Version 2 For Internet Protocol, phía dưới Interfaces, chọn Litware Corp Network, và sau đó nhấn OK.


23


14. Trên trang RIP Properties-Litware Corp Network Properties, nhấn OK.

Thêm DHCP Relay Agent QUAN TRỌNG: Phải hoàn thành các bước sau đây trên máy tính của học viên với số hiệu thấp hơn. Điều này cho phép máy chủ của bạn được cấu hình như một DHCP relay agent.





c. Trong hộp User Name, nhập [email protected]

d. Trong hộp Password, nhập MSPress@LS#1


6. Trong màn hình bảng điều khiển Routing And Remote Access, chọn IP Routing.

7. Phía dưới IP Routing, nhấn chuột phải vào General, và sau đó chọn New Routing Protocol.

8. Trong trang New Routing Protocol, nhấn DHCP Relay Agent, và sau đó nhấn OK.

9. Để có DHCP Relay Agent trên một giao diện của bộ định tuyến router, trong cây màn hình bảng điều khiển, chọn DHCP Relay Agent.


24


10. Nhấn chuột phải vào DHCP Relay Agent, và sau đó chọn New Interface.

11. Chọn Litware Inc Network connection, sau đó nhấn OK.

12. Kiểm tra xem Relay DHCP Packets option đã được chọn.

13. Nhấn OK

14. Để cấu hình giao diện DHCP relay agent với một địa chỉ IP của máy chủ DHCP, mở màn hình bảng điều khiển Routing And Remote Access.

15. Nhấn chuột phải vào DHCP Relay Agent, và sau đó chọn Properties.

16. Trong General thẻ, trong hộp Server Address, nhập địa chỉ IP máy tính của người hướng dẫn (10.1.1.200), và sau đó nhấn Add.

17. Nhấn OK.

CÂU HỎI: Điều gì sẽ xảy ra nếu địa chỉ IP không được nhập vào cấu hình DHCP relay agent?

Dừng dịch vụ DHCP Server QUAN TRỌNG: Hoàn thành các bước sau trên máy tính với số hiệu thấp hơn. Điều này cho phép bạn nhận được địa chỉ IP được cấp phát từ máy chủ DHCP




4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản sau đây để mở màn hình bảng điều khiển DHCP:



25



5. Nhấn OK để mở màn hình bảng điều khiển DHCP.

6. Trong cửa sổ bảng điều khiển DHCP bên tay trái, đầu tiên chọn và sau đó nhấn chuột phải vào DHCP Server.

7. Trong trình đơn bật lên, chọn All Tasks, và sau đó chọn Stop.


CÂU HỎI: Tại sao bạn phải dừng dịch vụ DHCP Server trên DHCP relay agent?

Kiểm tra DHCP Relay Agent QUAN TRỌNG: Phải hoàn thành các bước sau đây trên máy tính học viên với số hiệu cao hơn. Điều này cho phép máy chủ của bạn được cấu hình như một DHCP relay agent.


2. Từ Start, trỏ tới All Programs, trỏ tới Accessories, nhấn chuột phải vào Command Prompt, tiếp theo chọn Run As để mở hộp thoại Run As.


c. Trong hộp User Name, nhập [email protected]

d. Trong hộp Password, nhập MSPress@LS#1




7. Hãy kiểm tra xem địa chỉ IP có phải là địa chỉ được gán từ máy tính của người hướng dẫn.


26


Loại bỏ Routing and Remote Access QUAN TRỌNG: Phải hoàn thành các bước sau đây trên máy tính của học viên với số hiệu thấp hơn. Điều này cho phép bạn loại bỏ được dịch vụ Routing and Remote Access khỏi máy chủ.



3. Nhấn chuột phải Routing And Remote Access và chọn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản sau đây để mở màn hình DHCP:



5. Nhấn OK để mở màn hình bảng điều khiển Routing And Remote Access.

6. Nhấn chuột phải vào Computerxx server name trong màn hình bảng điều khiển Routing And Remote Access, và sau đó chọn Disable Routing And Remote Access.

7. Trong hộp thoại Routing And Remote Access, nhấn Yes để loại bỏ Routing And Remote Access.

CHÚ Ý: Các vai trò của máy trạm DHCP và DHCP relay agent có thể được hoán đổi nếu thời gian cho phép.

BÀI TẬP 1-8: KHỞI ĐỘNG DỊCH VỤ DHCP SERVER Thời gian dự kiến hoàn thành: 5 phút Bây giờ, bạn sẽ khởi động dịch vụ DHCP Server trên các máy tính của học viên.


27


QUAN TRỌNG: Bài tập này rất cần thiết cho sự thực hiện thành công các bài thực hành tiếp theo.

Nhập Thông tin Địa chỉ IP Tĩnh cho Giao tiếp mạng Litware Inc

QUAN TRỌNG: Hoàn thành nhiệm vụ này từ máy tính có số hiệu cao hơn. Điều này cho phép bạn cấu hình một địa chỉ IP tĩnh cho giao tiếp mạng Litware Inc. Sử dụng thông tin đánh địa chỉ IP trong Bảng 1-1 để chọn các địa chỉ thích hợp cho giao tiếp mạng Litware Inc


2. Nhấn phím Start và chọn Network connections.

3. Nhấn chuột phải vào Network connections, và sau đó chọn Properties.

4. Chọn Internet Protocol (TCP/IP) trong danh sách các thành phần, và sau đó chọn Properties.

5. Chọn tuỳ chọn Use Following IP Address

6. Nhập thông tin địa chỉ IP từ bảng 1-1

7. Nhấn OK để chấp nhận thay đổi các thuộc tính giao thức TCP/IP.

8. Nhấn OK để chấp nhận các thay đổi network connections.

Khởi động dịch vụ DHCP Server QUAN TRỌNG: Hoàn thành các bước sau đây trên các máy tính của học viên. Điều này cho phép bạn khởi động dịch vụ DHCP.



3. Nhấn chuột phải DHCP và chọn Run As để mở hộp thoại Run As.


28


4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản sau đây để mở màn hình DHCP:



5. Nhấn OK để mở màn hình bảng điều khiển DHCP.

6. Chọn và nhấn chuột phải vào DHCP, và sau đó chọn Add Server.

7. Trong hộp thoại Add Server, nhập địa chỉ IP cho giao tiếp mạng Litware Inc , sau đó nhấn OK.

8. Chọn và sau đó nhấn phím phải vào tên máy tính trong màn hình bảng điều khiển DHCP, trỏ đến All Tasks, và sau đó chọn Start.


CÁC CÂU HỎI ÔN TẬP Thời gian dự kiến hoàn thành: 20 phút

1. Nêu tên ba phương pháp mà bạn có thể gán địa chỉ IP trên một mạng TCP/IP.

2. Bạn đã cài đặt dịch vụ DHCP server trên một máy tính Windows Server 2003. Bạn cấu hình các tuỳ chọn phạm vi và kích hoạt nó, tuy nhiên các máy trạm vẫn nhận được một địa chỉ IP 169.254.x.x. Bạn sẽ làm gì?

3. Bạn đã cấu hình một phạm vi DHCP với một phạm vi địa chỉ từ 192.168.0.1 đến 192.168.0.254. Bạn có một số máy chủ và máy in có sử dụng giải địa chỉ IP 192.168.0.1 đến 192.168.0.20. Với chi phí quản trị thấp nhất, bạn làm thế nào để ngăn cản việc đánh địa chỉ IP trùng lặp?

4. Bạn hiện đang sử dụng một máy chủ DHCP trên mạng. Máy chủ này gán tuỳ chọn phạm vi default gateway cho các máy trạm. Bạn sử dụng một router với địa chỉ IP khác để thay thế một router trên mạng. Router mới này cho phép các máy trạm kết nối với Internet, tuy nhiên


29


các máy trạm không thể kết nối với Internet thông qua router này. Bạn sẽ phải làm gì?

5. Bạn đã cài đặt và cấu hình một máy chủ DHCP trên mạng. Bạn cũng có một máy chủ Web trên cùng mạng này. Máy chủ Web yêu cầu luôn sử dụng cùng một địa chỉ IP như máy chủ DHCP. Bạn sẽ phải làm gì?

6. Bạn phải cấu hình một DHCP relay agent cho các máy trạm trên một mạng subnet IP. Bạn cài đặt dịch vụ Routing And Remote Access, nhưng bạn phải tiến hành bước nào để cho phép DHCP relay agent thực hiện đúng chức năng?

THỰC HÀNH NÂNG CAO 1-1: CHUYỂN ĐỔI SANG CẤP PHÁT ĐỊA CHỈ IP ĐỘNG Thời gian dự kiến hoàn thành: 30 phút Nhờ có một kế hoạch tốt trong việc cài đặt hệ thống cấp phát địa chỉ IP động cho Litware Inc., bạn đã được chỉ định làm người quản trị mạng cho chi nhánh Trey Research mới được Litware tiếp nhận. Bạn được yêu cầu phải chuyển đổi mạng của Trey Research từ cách đánh địa chỉ IP tĩnh sang việc cấp phát địa chỉ IP động sử dụng DHCP. Trey Research sử dụng không gian phạm vi IP lớp C 192.168.1.0. Một trăm máy tính trạm phải nhận thông tin địa chỉ IP từ máy chủ DHCP. Một router và năm máy chủ được cấu hình tĩnh với 10 địa chỉ đầu tiên trong phạm vi. Do công ty có không gian địa chỉ phù hợp, bạn nên tăng thời gian cấp phát lên 20 ngày. Mỗi máy trạm DHCP nên nhận địa chỉ của default gateway là 192.168.1.1.

Phối hợp với đối tác để cài đặt kịch bản này. Đối tác cần có máy tính có số hiệu thấp hơn và có chức năng như một máy chủ DHCP và có máy tính khác đóng vai trò của máy trạm DHCP. Cần kiểm tra rằng máy trạm nhận thông tin địa chỉ IP bằng cách sử dụng câu lệnh Ipconfig/all tại giao diện DOS Command Prompt.

Nếu thời gian cho phép, hoán đổi vai trò học viên và hoàn thành bài thực hành này một lần nữa.


30

QUẢN LÝ VÀ GIÁM SÁT DHCP

THỰC HÀNH 2: QUẢN LÝ & GIÁM SÁT DHCP Bài thực hành này bao gồm các bài tập và công việc sau đây:

Bài tập 2-1: Sao lưu và khôi phục CSDL DHCP.

Bài tập 2-2: Nén CSDL máy chủ DHCP

Bài tập 2-3: Nhật ký kiểm định DHCP.

Bài tập 2-4: Giám sát hoạt động DHCP

Bài tập 2-5: Giải quyết các tình huống máy trạm và máy chủ bị hỏng cấu hình.

Bài tập 2-6: Loại bỏ sự phụ thuộc giữa các bài thực hành

Bài tập 2-7: Cấu hình DHCP Relay agent

Các câu hỏi ôn tập

Thực hành nâng cao 2-1: Tạo một chiến lược Sao lưu cho Contoso.

Thực hành nâng cao 2-1: Cấu hình cập nhật động

Sau khi hoàn thành bài thực hành này, bạn có thể:

• Quản lý CSDL DHCP

• Giám sát CSDL DHCP

• Giải quyết các tình huống máy trạm và máy chủ bị hỏng cấu hình

Thời gian dự kiến: 135 phút (dự tính này bao gồm các thủ tục cài đặt TRƯỚC KHI BẠN BẮT ĐẦU)


QUAN TRỌNG: Nếu bạn chưa hoàn thành các bài tập trong bài Thực hành 1, “Triển khai DHCP”, bạn phải hoàn thành các thủ tục bắt buộc sau:


31


Để hoàn thành các bài tập trong Thực hành 2, bạn cần phải cài đặt một bộ điều khiển giao tiếp mạng thứ hai trong mỗi máy tính của học viên. Kết nối máy tính của mỗi học viên bằng dây cáp chéo nối các giao tiếp mạng thứ hai với nhau. Bảng 2-1 được sử dụng để cấu hình các máy tính của học viên trong bài thực hành này. Tuy nhiên, không nhất thiết phải tạo ra các thay đổi cấu hình tại bước này. Sau khi hoàn thành Thực hành 2, phải dỡ bỏ các giao tiếp mạng thứ hai hoặc vô hiệu (disable) chúng trong giao diện Microsoft Windows trước khi tiếp tục các bước thực hành tiếp theo. Bảng 2-1 Cài đặt địa chỉ IP cho các máy học viên Computer Name Contoso Ltd., Network Litware Inc., Network Computer01 IP address: 10.1.1.1 IP address: 192.168.0.1 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer02 IP address: 10.1.1.2 IP address: 192.168.0.2 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer03 IP address: 10.1.1.3 IP address: 192.168.0.3 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer04 IP address: 10.1.1.4 IP address: 192.168.0.4 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer05 IP address: 10.1.1.5 IP address: 192.168.0.5 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer06 IP address: 10.1.1.6 IP address: 192.168.0.6 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer07 IP address: 10.1.1.7 IP address: 192.168.0.7 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer08 IP address: 10.1.1.8 IP address: 192.168.0.8 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer09 IP address: 10.1.1.9 IP address: 192.168.0.9 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer10 IP address: 10.1.1.10 IP address: 192.168.0.10 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer11 IP address: 10.1.1.11 IP address: 192.168.0.11 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer12 IP address: 10.1.1.12 IP address: 192.168.0.12 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer13 IP address: 10.1.1.13 IP address: 192.168.0.13 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer14 IP address: 10.1.1.14 IP address: 192.168.0.14 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003

32


Computer15 IP address: 10.1.1.15 IP address: 192.168.0.15 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer16 IP address: 10.1.1.16 IP address: 192.168.0.16 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer17 IP address: 10.1.1.17 IP address: 192.168.0.17 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer18 IP address: 10.1.1.18 IP address: 192.168.0.18 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer19 IP address: 10.1.1.19 IP address: 192.168.0.19 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer20 IP address: 10.1.1.20 IP address: 192.168.0.20 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer21 IP address: 10.1.1.21 IP address: 192.168.0.21 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer22 IP address: 10.1.1.22 IP address: 192.168.0.22 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer23 IP address: 10.1.1.23 IP address: 192.168.0.23 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer24 IP address: 10.1.1.24 IP address: 192.168.0.24 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer25 IP address: 10.1.1.25 IP address: 192.168.0.25 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer26 IP address: 10.1.1.26 IP address: 192.168.0.26 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer27 IP address: 10.1.1.27 IP address: 192.168.0.27 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer28 IP address: 10.1.1.28 IP address: 192.168.0.28 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer29 IP address: 10.1.1.29 IP address: 192.168.0.29 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0 Computer30 IP address: 10.1.1.30 IP address: 192.168.0.30 Subnet mask: 255.255.0.0 Subnet mask: 255.255.255.0


QUAN TRỌNG: Hoàn thành nhiệm vụ này từ máy tính của học viên. Điều này cho phép bạn cấu hình một địa chỉ IP tĩnh cho giao tiếp mạng Litware Inc. Sử dụng thông tinh đánh địa chỉ IP trong Bảng 2-1 để chọn các địa chỉ thích hợp cho giao tiếp mạng Litware Inc


33




3. Nhấn chuột phải vào Network connections.


5. Đánh dấu Internet Protocol (TCP/IP) trong danh sách các thành phần, và sau đó chọn Properties.




9. Nhấn Close để chấp nhận các thay đổi network connections.

CÀI ĐẶT DỊCH VỤ DHCP SERVER QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Điều này cho phép bạn cấu hình máy chủ như là một DHCP Server.


2. Nhấn Start, nhấn đúp chuột vào Administrative Tools, và sau đó nhấn vào Manage Your Server.

3. Trong cửa sổ Manage Your Server, nhấn Add Or Remove A Role và tiếp theo nhấn Next trên trang các bước chuẩn bị Manage Your Server Wizard.

4. Trên trang Server Role, chọn DHCP Server, và sau đó nhấn Next.

5. Trong trang Summary Of Selections, nhấn Next

6. Trong New Scope Wizard, Nhấn cancel để dừng việc tạo phạm vi DHCP tại thời điểm này


34



7. Trong trang Cannot Complete, nhấn Finish để kết thúc cài đặt dịch vụ DHCP Server

UỶ QUYỀN DỊCH VỤ DHCP SERVER QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn uỷ quyền máy chủ DHCP trong dịch vụ Thư mục Active Directory.


2. Nhấn Start, nhấn đúp Administrative Tools.


4. Trong hộp thoại Run As, nhập các thông tin định khoản sau đây để mở màn hình bảng điều khiển DHCP.



5. Chọn tên máy chủ, Computerxx , trong cây màn hình bảng điều khiển DHCP

6. Trên thực đơn Action, chọn Authorize để uỷ quyền cho máy chủ

7. Để xác nhận Máy chủ DHCP đã được uỷ quyền, trong cây màn hình bảng điều khiển, nhấn F5. Bây giờ cây màn hình bảng điều khiển sẽ hiện thị một mũi tên màu xanh xác nhận rằng Máy chủ đã được uỷ quyền.

Thêm và Cấu hình phạm vi DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này sẽ cho phép bạn được thêm một phạm vi DHCP cho máy tính của đối tác.



35









6. Lựa chọn máy chủ DHCP tương ứng trong cây màn hình bảng điều khiển

7. Trên thực đơn Action, chọn New Scope để tạo một phạm vi DHCP mới.

8. Trong New Scope Wizard, nhấn Next

9. Trong trang Scope Name, nhập các thông tin cấu hình như sau:

a. Đối với hộp Name, nhập partner’s scope

b. Đối với hộp Description, nhập scope for partner’s computer

10. Nhấn Next

11. Trên trang IP Address Range, nhập các thông tin cấu hình sau:

a. Đối với mục Start IP Address, nhập địa chỉ IP cận dưới cho đối tác Litware Inc

b. Đối với mục End Start IP Address, nhập địa chỉ IP cận trên cho đối tác Litware Inc

c. Đối với mục Subnet Mask, nhập 24 bit hoặc 255.255.255.0

12. Nhấn Next

13. Trên trang Add Exclusion, nhấn Next


36


14. Trên trang Lease Duration, lựa chọn 1 giờ, và sau đó nhấn Next

15. Trên trang Configure DHCP Options, chọn No, I Will Configure These Option Later, sau đố nhấn Next

16. Trên trang Completing New Scope Wizard, nhấn Finish.

Kích hoạt phạm vi DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này sẽ cho phép bạn kích hoạt một phạm vi DHCP.








6. Lựa chọn và mở rộng máy chủ DHCP trong cây màn hình bảng điều khiển

7. Lựa chọn phạm vi có tên là Partner’s Scope

8. Trên thực đơn Action, chọn Activate

9. Đóng màn hình bảng điều khiển DHCP.

KỊCH BẢN Bạn là một nhà quản trị mạng cho Công ty Contoso, Ltd. Bạn có một mạng Windows Server 2003 sử dụng dịch vụ DHCP để cấp phát địa chỉ IP. Có sự


37



mâu thuẫn trong sự hoạt động của dịch vụ DHCP, và bạn được yêu cầu để thực hiện việc đánh giá chi tiết dịch vụ DHCP Server.

BÀI TẬP 2-1: SAO LƯU & KHÔI PHỤC CSDL DHCP Thời gian dự kiến hoàn thành : 15 phút

Bạn là một nhà quản trị mạng cho Công ty Contoso, Ltd. Bạn đã triển khai một máy chủ DHCP trên mạng. Sau hai tuần, Các sự kiện nhật ký trong Event Viewer đã chỉ ra rằng có thể phải cài lại dịch vụ DHCP. Bạn cần sao lưu CSDL DHCP và khôi phục lại nó sau khi đã giải quyết xong sự cố.

Tạo một bản sao lưu CSDL DHCP thủ công QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Việc này sẽ cho phép bạn tạo một bản sao lưu CSDL DHCP thủ công trên máy chủ.


2. Nhấn Start, nhấn vào My Computer.

3. Trong cửa sổ My Computer, nhấn đúp vào ổ C.

4. Trên thanh thực đơn, chọn File, chọn New, và sau đó chọn Folder.

5. Trong phần name of folder, đánh compterxx (trong đó Computerxx là tên được gán cho tên máy tính).

6. Nhấn Start, và sau đó nhấn Administrative Tools. Nhấn DHCP để mở màn hình bảng điều khiển DHCP.

7. Trong cây màn hình bảng điều khiển DHCP, chọn tên máy chủ của bạn.

8. Trên thực đơn Action, chọn Backup.

9. Trong hộp thoại Browse For Folder, chọn Computerxx folder. Bạn đã tạo folder này trên ổ C.


38


10. Nhấn OK để xác định rằng một bản sao lưu CSDL sẽ được sao chép đến Computerxx folder.

Phục hồi một bản sao lưu thủ công CSDL DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Việc này sẽ cho phép bạn tạo một bản sao lưu thủ công CSDL DHCP trên máy chủ.



3. Trong cây màn hình bảng điều khiển DHCP, chọn name of your server (tên của máy chủ).

4. Trên thực đơn Action, chọn Restore.

5. Trong hộp thoại Browse For Folder, trỏ đến thư mục: \Computerxx \New (trong đó Computerxx là tên được gán cho máy tính).

6. Nhấn OK để xác định rằng dịch vụ DHCP server phải được dừng và khởi động lại.

CÂU HỎI: Tại sao hệ điều hành phải dừng và khởi động lại dịch vụ DHCP Server khi bạn phục hồi CSDL DHCP?

BÀI TẬP 2-1: NÉN (COMPACTING) CSDL DHCP Thời gian dự kiến hoàn thành : 10 phút

Bạn là một nhà quản trị mạng cho Công ty Contoso, Ltd. Bạn đã triển khai một máy chủ DHCP trên mạng. Sau một vài tháng, bạn biết rằng CSDL DHCP chiếm một phần lớn dung lượng của đĩa cứng. Đĩa này chạy chậm. Vì vậy, bạn quyết định nén CSDL DHCP để duy trì dung lượng.


39


Nén CSDL DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Việc này sẽ cho phép bạn nén CSDL DHCP trên máy chủ.


2. Nhấn Start, nhấn Run và sau đó đánh lệnh cmd. Nhấn Enter.

3. Trong cửa sổ DOS Command Prompt, đánh lệnh cd\%systemroot%\system32\dhcp, và nhấn Enter.

4. Tại lời nhắn %systemroot%\system32\dhcp, đánh lệnh net stop dhcpserver, và nhấn Enter.

5. Tại lời nhắn %systemroot%\system32\dhcp, đánh lệnh jetpack dhcp.mdb tmp.mdb, và nhấn Enter.

6. Tại lời nhắn %systemroot%\system32\dhcp, đánh lệnh net Start dhcpserver, và nhấn Enter.

7. Đóng tất cả các cửa sổ lệnh.

CÂU HỎI: Tại sao chúng ta lại phải thực hiện câu lệnh Net Stop trước khi nén CSDL? CÂU HỎI: File Tmp.mdb được sử dụng để làm gì khi nén CSDL DHCP?

BÀI TẬP 2-3: NHẬT KÝ KIỂM TOÁN DHCP Thời gian dự kiến hoàn thành : 15 phút

Bạn là một nhà quản trị mạng cho Công ty Contoso Ltd và chịu trách nhiệm giám sát dịch vụ DHCP trên mạng. Để có thể thực hiện được nhiệm vụ này, bạn phải cấu hình máy chủ DHCP để cập nhật các số liệu thống kê hàng phút và sau đó xem xét các số liệu thống kê sử dụng nhật ký audit DHCP.

Loại bỏ dịch vụ DHCP Server khỏi máy trạm QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn loại bỏ dịch vụ DHCP Server.


40




3. Nhấn chuột phải vào Manage Your Server, và sau đó chọn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn Following User option và nhập định khoản vào các trường hộp thoại sau để mở Manage Your Server:



5. Nhấn OK để mở cửa sổ Manage Your Server

6. Nhấn Add or Remove A Role.

7. Nhấn Next trên trang Preliminary Steps của phần Configure Your Server wizard.

8. Trên trang Server Role của phần Configure Your Server wizard, chọn DHCP Server, và sau đó nhấn Next.

9. Trên trang Role Removal Confirmation, kiểm tra hộp Remove DHCP Server Role

10. Nhấn Next

11. Nhấn Finish trên trang DHCP Server Role Removed.

Tạo một file batch cho việc kiểm tra cấu hình DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn tạo một file batch để kiểm tra cấu hình DHCP và tạo dữ liệu DHCP.



41




2. Nhấn Start, chọn All Programs, chọn Accessories, nhấn chuột phải vào Command Prompt, và sau đó chọn Run As để mở hộp thoại Run As.

3. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản vào các trường hộp thoại sau để mở cửa sổ Command Prompt:



4. Nhấn OK để mở cửa sổ Command Prompt. Tại lời nhắn, đánh lệnh cd c:\, và sau đó nhấn Enter để chuyển đến thư mục gốc ổ C.

5. Tại Command Prompt, đánh lệnh notepad dhcptester.bat, và sau đó nhấn Enter.

6. Nhấn Yes để chỉ ra rằng bạn cần tạo một file mới.

7. Trong file Notepad Dhcptester.bat, đánh lệnh ipconfig /release, và sau đó nhấn Enter. Đánh ipconfig /renew, và sau đó nhấn Enter.

8. Trên thực đơn Edit, chọn Select All.

9. Trên thực đơn Edit, chọn Copy.

10. Nhấn CTRL+V khoảng 20 lần để tạo 20 bản sao của đoạn văn bản được chọn.

11. Trên thực đơn File, chọn Save

12. Trên thực đơn File, chọn Exit.

Cấu hình DHCP cho máy trạm QUAN TRỌNG: Hoàn thành nhiệm vụ này từ máy tính học viên có số hiệu cao hơn. Việc này sẽ cho phép bạn cấu hình máy tính học viên như là một DHCP client.



42


2. Nhấn Start, nhấn vào Network connections.

3. Nhấn chuột phải vào biểu tượng Network connections, và sau đó chọn Properties.

4. Chọn Internet Protocol (TCP/IP) trong danh sách các thành phần, sau đó nhấn Properties.

5. Chọn Obtain An IP Address Automatically.

6. Chọn OK để chấp nhận những thay đổi thuộc tính của giao thức TCP/IP.

7. Nhấn Close để chấp nhận các thay đổi trên Network connections.

8. Nhấn Start, và sau đó nhấn Run.

9. Đánh cmd, và sau đó nhấn Enter.

10. Trong cửa sổ Command Prompt, đánh lệnh c:\dhcptester.bat.

QUAN TRỌNG: Chương trình Dhcptester.bat sẽ thực hiện một loạt các câu lệnh Ipconfig /release và /renew để có dữ liệu DHCP được ghi chép cho phần còn lại của bài tập này.

Cấu hình các cập nhật số liệu thống kê DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên có số hiệu thấp hơn.



3. Trong cây màn hình bảng điều khiển DHCP, chọn tên của máy chủcủa bạn.

4. Trên thực đơn Action, chọn Properties.

5. Trong thẻ General của Server Properties, đánh dấu vào ô Automatically Update Statistics Every setting.


43


6. Trong tùy chọn Minutes, cấu hình các số liệu thống kê để cập nhật từng phút. Nhấn OK.

Xem xét nhật ký kiểm định DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu thấp hơn.


2. Nhấn Start, nhấn vào My Computer.

3. Trong cửa sổ My Computer, trỏ đến thư mục %systemroot%\system32\dhcp.

4. Trỏ đến DHCP audit log.

5. Mở file nhật ký thích hợp để xem xét nội dung của nó.

6. Chú ý các mục vào nhật ký đối với các câu lệnh Ipconfig/ release và /renew khi chương trình Dhcptester.bat được thực hiện.

CÂU HỎI: Trong nhật ký kiểm định DHCP, phần đầu nào được sử dụng để mô tả sự hoạt động được thực hiện bởi dịch vụ DHCP Server?

BÀI TẬP 2-4: THEO DÕI HIỆU NĂNG DHCP Thời gian dự kiến hoàn thành : 20 phút

Bạn là một nhà quản trị mạng cho Công ty Contoso Ltd. Bạn đã triển khai máy chủ DHCP trên mạng. Các máy trạm nhận địa chỉ IP từ máy chủ DHCP, nhưng các người dùng thông báo rằng thỉnh thoảng họ trải qua một thời gian trễ rất lâu khi đăng nhập và truy nhập các tài nguyên trên mạng. Để quyết định xem liệu có trục trặc ở tầng vật lý với mạng không, bạn phải giám sát máy chủ DHCP để đảm bảo rằng các máy trạm nhận địa chỉ IP một cách hợp lý và kịp thời.


44


Cấu hình các biến đếm hiệu năng của DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn tạo thêm các đối tượng giám sát hiệu năng vào bảng điều khiển System Monitor.


2. Nhấn Start, và sau đó nhấn đúp vào Administrative Tools.

3. Nhấn Performance để khởi động chương trình Performance Monitor.

4. Xoá các biến đếm trong màn hình mặc định của System Monitor (Mẹo: nhấn chuột vào dấu X trên thanh thực đơn cho đến khi nó mờ đi).

5. Chọn System Monitor ở gốc Bảng điều khiển trong ô cửa sổ phía bên trái.

6. Trong ô cửa sổ, nhấn vào biểu tượng + và thêm DHCP Performance Monitor counters.

7. Trong hộp thoại Add Counters, trong tùy chọn Performance Object , nhấn vào mũi tên hướng xuống dưới, và sau đó chọn DHCP Server.

8. Thêm các biến đếm sau đây bằng cách chọn biến đếm và nhấn Add:

Acks/sec

Packets received/sec

Releases/sec

Request/sec

9. Sau khi đã thêm các biến đếm, nhấn Close.

10. Chọn System Monitor Properties từ biểu tượng thanh thực đơn hoặc nhấn CTRL + Q.

11. Trong System Monitor Properties, trong thẻ Graph, phía dưới Vertical Scale và trong hộp Maximum, đánh 5 và sau đó nhấn OK


45


12. Nhấn File, và sau đó chọn Save As để lưu bảng điều khiển Performance.

13. Nhấn vào biểu tượng Desktop ở phía trái, đánh dhcp trong hộp File Name, và sau đó nhấn Save.

14. Nhấn File, và sau đó chọn Exit để thoát ra khỏi bảng điều khiển Performance.

Sử dụng file Dhcptester.bat để tạo hoạt động DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn tạo các hoạt động DHCP để xem xét thông tin Performance trong nhiệm vụ tiếp theo.


2. Nhấn Start, chọn All Programs, chọn Accessories, nhấn chuột phải vào Command Prompt, và sau đó chọn Run As để mở hộp thoại Run As.

3. Trong hộp thoại Run As, chọn Following User option và nhập định khoản vào các trường hộp thoại sau để mở cửa sổ Command Prompt:



4. Nhấn OK để mở cửa sổ Command Prompt.

5. Trong cửa sổ Command Prompt, đánh C:\dhcptester.bat.

Xem xét các hoạt động DHCP trong Performance Console QUAN TRỌNG: Hoàn thành nhiệm vụ này ngay sau khi kết thúc nhiệm trước từ máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn giám sát hoạt động DHCP với bảng điều khiển Performance trong khi nó đang hoạt động.


46



1. Trên màn hình deskstop, nhấn đúp vào biểu tượng DHCP Performance Monitor.

2. Chọn System Monitor trong cây màn hình bảng điều khiển, và sau đó nhấn tùy chọn View Report trên thực đơn biểu tượng hoặc nhấn CTRL + R.

Nếu các giá trị được hiển thị không thay đổi, chương trình Dhcptester.bat trên máy tính có số hiệu cao hơn đã chạy xong và cần phải được chạy lại. Xem tác vụ trước để biết chỉ dẫn.

3. Khi các giá trị không thay đổi, nhấn biểu tượng Freeze Display (phím màu đỏ với dấu X trắng ở giữa) trong thực đơn biểu tượng, và ghi lại các giá trị sau:

Acks/sec

Packets received/sec

Releases/sec

Request/sec

BÀI TẬP 2-5: GIẢI QUYẾT VIỆC CÁC MÁY CHỦ VÀ MÁY TRẠM BỊ MẤT CẤU HÌNH Thời gian dự kiến hoàn thành : 15 phút

Bạn là một nhà quản trị mạng cho Công ty Contoso Ltd. Bạn đã triển khai máy chủ DHCP trên mạng Mạng sử dụng địa chỉ mạng 192.168.0.0. Bạn cấu hình các tuỳ chọn máy chủ DHCP cho các máy trạm trên mạng Litware Inc. Tuy nhiên, sau khi bạn cấu hình tuỳ chọn phạm vi DHCP, các máy trạm có thể truy cập các tài nguyên mạng chỉ trên mạng Litware Inc.

Giải quyết các lỗi cấu hình máy chủ DHCP QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn cấu hình các tuỳ chọn DHCP Server trên máy chủ DHCP.


47



2. Nhấn Start, nhấn đúp vào Administrative Tools, và sau đó nhấn DHCP để mở màn hình bảng điều khiển DHCP.

3. Trong cây màn hình bảng điều khiển DHCP, chọn và mở rộng tên của máy chủ DHCP. Chọn Scope Options.

4. Trong ô Scope, chọn 003 Router option.

5. Trong thực đơn Action, chọn Properties.

6. Nhấn nút Remove nằm phía dưới phần Data Entry.

7. Trong phần Data Entry phía dưới IP Address, đánh 10.1.1.100, nhấn Add, và sau đó nhấn OK.

Kiểm tra cấu hình DHCP QUAN TRỌNG: Phải hoàn thành các bước sau đây trên máy tính với số hiệu cao hơn.







5. Trong cửa sổ Command Prompt, đánh lệnh ipconfig /release.


48




CÂU HỎI: Máy chủ DHCP cấp phát địa chỉ Default Gateway cho giao tiếp mạng Litware Inc là gì? CÂU HỎI: Có gì sai trong điạ chỉ này?

Chỉnh sửa phù hợp cấu hình máy chủ DHCP QUAN TRỌNG: Phải hoàn thành các bước sau đây trên máy tính với số hiệu thấp hơn. Điều này cho phép bạn cấu hình đúng tuỳ chọn 003 router trên máy chủ DHCP.


2. Nhấn Start, nhấn đúp vào Administrative Tools, và sau đó nhấn DHCP để mở màn hình bảng điều khiển DHCP.

3. Trong cây màn hình bảng điều khiển DHCP, chọn tên của máy chủ DHCP. Mở rộng cây màn hình bảng điều khiển để trỏ đến Server Options.

4. Trong ô Scope, chọn 003 Router option.

5. Trong thực đơn Action, chọn Properties.

6. Nhấn nút Remove nằm phía dưới phần Data Entry.

7. Trong phần Data Entry phía dưới IP Address, đánh 192.168.0.101, nhấn Add, và sau đó nhấn OK.

Kiểm tra cấu hình DHCP QUAN TRỌNG: Phải hoàn thành các bước sau đây trên máy tính với số hiệu cao hơn.



49







5. Trong cửa sổ Command Prompt, đánh lệnh ipconfig /release.



CÂU HỎI: Máy chủ DHCP cấp phát địa chỉ Default Gateway gì? CÂU HỎI: Địa chỉ này có phải là địa chỉ Default Gateway cho giao tiếp mạng Litware Inc ?

BÀI TẬP 2-6: LOẠI BỎ SỰ PHỤ THUỘC GIỮA CÁC BÀI THỰC HÀNH Thời gian dự kiến hoàn thành: 5 phút

Bây giờ bạn sẽ loại bỏ dịch vụ DHCP Server và cấu hình cho giao tiếp mạng Litware Inc trên các máy tính của học viên. Điều này là cần thiết cho sự thành công của các bài thực hành sau này.

Loại bỏ dịch vụ DHCP Server QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn loại bỏ dịch vụ DHCP Server.



50



2. Nhấn Start, nhấn Administrative Tools, và sau đó nhấn Manager Your Server.

3. Trong cửa sổ Manage Your Server, nhấn Add or Remove A Role, và sau đó nhấn Next

4. Trên trang Preliminary Steps, nhấn Next.

5. Trên trang Server Role, chọn DHCP Server, và sau đó nhấn Next.

6. Trên trang Role Removal Confirmation, chọn hộp kiểm tra Remove DHCP Server Role.

7. Nhấn Next để xác định đã loại bỏ dịch vụ DHCP Server.

8. Nhấn Finish để đóng Manage Your Server wizard.


QUAN TRỌNG: Hoàn thành nhiệm vụ này từ máy tính có số hiệu cao hơn. Điều này cho phép bạn cấu hình một địa chỉ IP tĩnh cho giao tiếp mạng Litware Inc. Sử dụng thông tinh đánh địa chỉ IP trong Bảng 2-1 để chọn các địa chỉ thích hợp cho giao tiếp mạng Litware Inc



3. Nhấn chuột phải vào Network connections


5. Chọn Internet Protocol (TCP/IP) trong danh sách các thành phần, và sau đó chọn Properties.




9. Nhấn OK để chấp nhận các thay đổi network connections.


51


CÂU HỎI ÔN TẬP Thời gian dự kiến hoàn thành: 15 phút

1. Ít nhất có 3 công cụ nào để giám sát hoạt động dịch vụ DHCP?

2. Đường dẫn mặc định đối với nhật ký kiểm định DHCP là gì?

3. Công cụ nào được sử dụng để nén CSDL DHCP?

4. Tại sao bạn phải dừng dịch vụ DHCP Server khi khôi phục CSDL DHCP?

5. Khi một máy trạm cố gắng kết nối đến mạng, nhưng nó không thể giao tiếp được với các máy tính khác trên mạng. Giải pháp để khắc phục vấn đề này là gì?

THỰC HÀNH NÂNG CAO 2-1: TẠO CHIẾN LƯỢC SAO LƯU CHO CONTOSO Thời gian dự kiến hoàn thành: 15 phút

Giám sát viên-quản trị mạng cấp cao tại Contoso rất quan tâm đến sự ổn định của mạng. Anh ta yêu cầu bạn phát triển và thực hiện kế hoạch sao lưu cho CSDL DHCP. Anh ta yêu cầu bạn phải thẩm định quy trình sao lưu tự động, và anh ta cũng muốn bạn hoàn thành việc sao lưu thủ công vào cuối giờ làm việc ngày Thứ hai hàng tuần. File sao lưu thủ công sẽ được sao lưu trên một máy chủ ở xa để tránh sự cố hỏng hóc phần cứng của máy chủ DHCP. Bạn cũng được yêu cầu phải đảm bảo CSDL không lớn hơn mức cần thiết.

THỰC HÀNH NÂNG CAO 2-2: CẤU HÌNH CÁC CẬP NHẬT ĐỘNG Thời gian dự kiến hoàn thành: 20 phút

Bạn là người quản trị mạng cho Litware Inc. Mạng bao gồm máy chủ điều khiển miền Windows Server 2003 (DC) và các máy chủ thành viên, các máy trạm Windows NT 4. Bạn muốn chuyển đổi các máy trạm Windows NT 4 lên Windows XP trừ 5 máy còn lại. Bạn được yêu cầu cài đặt DHCP sử dụng


52


cập nhật động an toàn. Bạn phải đảm bảo rằng Dịch vụ DNS được cập nhật cho tất cả các máy trạm và các máy trạm Windows XP có thể cập nhật các bản ghi máy trạm của chúng. Tạo và triển khai giải pháp.


53

CÀI DẶT VÀ CẤU HÌNH DỊCH VỤ DNS SERVER

THỰC HÀNH 3: CÀI ĐẶT & CẤU HÌNH DỊCH VỤ DNS SERVER. Bài thực hành này bao gồm các bài tập và công việc sau đây:

Bài tập 3-1: Cài đặt & cấu hình dịch vụ DNS Server.

Bài tập 3-2: Tạo & cấu hình DNS zones

Bài tập 3-3: Tạo các bản ghi DNS

Bài tập 3-4: Cấu hình Forwarding


Thực hành nâng cao 3-1: Cấu hình DNS


• Cài đặt dịch vụ DNS Server

• Tạo & cấu hình forward và reverse lookup DNS zones

• Tạo các bản ghi DNS

• Cấu hình Forwarding DNS

Thời gian dự kiến hoàn thành: 105 phút

KỊCH BẢN Bạn là nhà quản trị mạng của một doanh nghiệp. Gần đây công ty của bạn cài đặt các máy chủ phân giải tên miền DNS cho các miền con (child domain) để ngăn cản các luồng thông tin DNS không cần thiết truyền qua môi trường mạng WAN. Bạn phải cấu hình các miền con DNS với các forward và reverse lookup DNS zones và tạo các bản ghi cho mỗi miền con DNS. Bạn cũng phải cấu hình máy chủ DNS để chuyển các yêu cầu cho miền contoso.com đến máy chủ DNS mà được uỷ quyền cho miền contoso.com.


54


BÀI TẬP 3-1: CÀI ĐẶT DỊCH VỤ DNS Thời gian dự kiến hoàn thành: 10 phút

Bạn là nhà quản trị mạng cho công ty Contoso và bạn được yêu cầu cấu hình các máy chủ để thực hiện phân giải tên. Trước tiên bạn phải cài đặt dịch vụ DNS Server cho máy chủ để lưu giữ các bản ghi DNS cho các Miền con. Sau khi bạn đã cài đặt DNS, bạn sẽ cấu hình các DNS zones và cấu hình các máy chủ tên để thực hiện chuyển tiếp có điều kiện.

Cài đặt dịch vụ DNS QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này cho phép bạn cài đặt dịch vụ DNS Server.


2. Nhấn Start, sau đó nhấn Control Panel

3. Trong khi dữ phím Shift, Nhấn chuột phải tuỳ chọn Add Or Remove Program, sau đó nhấn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản vào các trường hộp thoại sau để mở Add Or Remove Program Wizard:



5. Nhấn OK để mở cửa sổ Add Or Remove Program Wizard

6. Trong Add Or Remove Program Wizard, Nhấn vào biểu tượng add/Remove Windows Components ở bên trái, chọn Netwoking service, và sau đó nhấn Details.

7. Trong hộp thoại Netwoking Services, Tích vào hộp domain Name System (DNS), và sau đó nhấn OK

8. Trong Windows Components Wizard, Nhấn Next


55



9. Khi quá trình cấu hình hoàn thành, nhấn Finish và đóng tất cả các cửa sổ

CÂU HỎI: Ba điểm được tạo trực tiếp phía dưới máy chủ DNS trong màn hình bảng điều khiển quản trị DNS là gì?.

Kiểm tra hậu tố DNS chính (Primary DNS Suffix) QUAN TRỌNG: Hoàn thành nhiệm vụ này trên cả hai máy tính của các học viên. Việc này cho phép bạn kiểm tra hậu tố DNS chính (Primary DNS Suffix) cho máy tính của bạn. Đối với DNS để tạo các bản ghi máy chủ tên (NS) và các bản ghi tên trạm (A) khi bạn tạo Forward lookup zone cho tên miền của bạn một cách chính xác, hậu tố DNS chính (Primary DNS Suffix) phải được cấu hình chính xác.


2. Nhấn Start, sau đó nhấn Control Panel để mở Control Panel.

3. Trong khi dữ phím Shift, Nhấn chuột phải vào biểu tượng System, và sau đó nhấn Run As để mở hộp thoại Run As.

4. Chọn Following User option và nhập các thông tin định khoản vào các trường hộp thoại sau để mở cửa sổ System Properties:



5. Nhấn OK để mở cửa sổ System Properties

6. Trong cửa sổ System Properties nhấn vào Thẻ Computer Name.

7. Để mở cửa sổ Computer Name Changes, nhấn Change

8. Khi hộp thoại Computer Name Changes hiện lên, bạn nhấn OK để tiếp tục đổi tên Máy chủ Quản trị Miền này

9. Trong hộp thoại Computer Name Changes, nhấn More để cửa sổ mở DNS Suffix And NetBIOS Computer Name.


56



10. Trong cửa sổ mở DNS SeffixAnd NetBIOS Computer Name, Trong cửa sổ Primary DNS Suffix Of This Computer, kiểm tra miền con phù hợp từ bảng 3-1 (Ví dụ: atlanta.contoso.com)

11. Ghi lại Primary DNS Suffix Of your Computer.

12. Nhấn Cancel để đóng hộp thoại DNS Suffix And NetBIOS Computer Name

13. Nhấn Cancel để đóng hộp thoại Computer Name Changes.

14. Nhấn Cancel để đóng hộp thoại System Properties

BÀI TẬP 3-2: TẠO & CẤU HÌNH DNS ZONES Thời gian dự kiến hoàn thành: 25 phút

Bây giờ bạn đã cài đặt DNS cho miền con của bạn, bạn phải tạo lookup zones mà sẽ sử dụng để lưu các bản ghi DNS cho miền con của bạn.

Tạo một Standard Primary DNS Forward Lookup Zone QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn tạo Standard Primary DNS forward lookup zone trên máy chủ của bạn.


2. Nhấn Start, nhấn Control Panel, sau đó nhấn đúp chuột vào Admistrative Tools.

3. Nhấn chuột phải vào DNS, và sau đó nhấn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản vào các trường hộp thoại sau để mở cửa sổ System Properties:


b. Trong hộp Password, nhập MSPress@LS#1 TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003

57



5. Nhấn OK để mở Bảng điều khiển DNS.

6. Trong cây DNS, mở rộng tên máy chủ có tên Computerxx .

CÂU HỎI: DNS Forward Lookup Zones nào được tạo sau khi cài đặt dịch vụ DNS Server.

7. Chọn và nhấn chuột phải vào DNS Forward Lookup Zones, và sau đó chọn New Zone

8. Trên trang Welcome to New Zone Wizard, nhấn Next

9. Trong trang Zone Type, xác nhận Primary Zone đã được chọn

10. Xoá hộp kiểm tra Store Zone In Active Directory, và sau đó nhấn Next.

11. Trên trang Zone Name, trong hộp Zone Name, đánh Domain.Contoso.Com, và sau đó nhấn Next.

12. Trên trang Zone File, kiểm tra rằng Create A New File With This File Name đã được chọn, và sau đó nhấn Next.

13. Trên trang Dynamic Update, kiểm tra xem tùy chọn Do not Allow Dynamic Update đã được chọn, và sau đó nhấn Next.

14. Trên trang Completing new Zone Wizard, nhấn Finish

Thêm Name Server vào Forward Lookup Zone QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn thêm máy tính của đối tác như là một máy chủ phân giải tên miền trong vùng Domain.Contoso.Com DNS Forward Lookup.





58







6. Trong cây DNS, mở rộng tên máy chủ của bạn, mở rộng Forward Lookup Zones, chọn và nhấn chuột phải vào Domain.Contoso.Com, và sau đó nhấn Properties.

7. Trong trang Domain.Contoso.Com Properties, trong Thẻ Name Server, nhấn Add

8. Trong hộp Server Fully Qualified domain Name (FQDN) của hộp thoại New Resource Record, nhập địa chỉ IP của máy chủ đối tác, nhấn Add, và sau đó nhấn OK.

9. Nhấn OK để đóng hộp thoại Domain.Contoso.Com Properties.

Tạo một Stub Zone và xác nhận các thiết lập Zone Transfer QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn tạo một Stub Zone tại đó máy tính của người hướng dẫn là máy chính. Điều này sẽ xác nhận rằng Domain.Contoso.Com forward lookup zone được cấu hình để cho phép chuyển tiếp zone.





59



4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản vào các trường hộp thoại sau để mở màn hình bảng điều khiển DNS:




6. Trong cây DNS, mở rộng tên máy chủ của bạn, sau đó chọn và nhấn chuột phải vào Forward Lookup Zone. Chọn New Zone.

7. Trên trang Welcome to New Zone Wizard, nhấn Next.

8. Trên trang Zone Type, nhấn Stub Zone.

9. Xoá hộp kiểm tra Store Zone In Active Directory, và sau đó nhấn Next.

10. Trên trang Zone Name, đánh contoso.com, và sau đó nhấn Next.

11. Trên trang Zone File, xác nhận rằng tùy chọn Create A New File With This File Name được lựa chọn, và sau đó nhấn Next.

12. Trong hộp IP Address trên trang Master DNS Server, đánh địa chỉ IP của máy tính của người hướng dẫn (10.1.1.200), nhấn Add, và sau đó nhấn Next.

13. Trên trang Completing New Zone Wizard, nhấn Finish.

14. Trong cây Bảng điều khiển DNS, mở rộng Forward Lookup Zone, chọn và nhấn chuột phải vào Domain.Contoso.Com, và sau đó chọn Properties.

15. Trong trang Domain.Contoso.Com Properties, nhấn thẻ Zone Transfer, và sau đó xác nhận rằng tùy chọn Allow Zone Transfer đã được lựa chọn.

16. Nhấn OK.


60


Tạo Standard Secondary DNS Zone QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn tạo một Standard Secondary Forward Lookup Zone cho miền con sử dụng máy chủ DNS của đối tác làm máy chủ tên chủ đạo.








6. Trong cây DNS, mở rộng tên máy chủ của bạn.

7. Chọn và nhấn chuột phải vào Forward Lookup Zone, và sau đó chọn New Zone.


9. Trên trang Zone Type, chọn Secondary Zone option, và sau đó nhấn Next.

10. Trên trang Zone Name trong hộp Zone Name, đánh Domain.Contoso.Com, và sau đó nhấn Next.

11. Trong hộp IP Address trên trang Master DNS Server, đánh địa chỉ IP của máy chủ đối tác, nhấn Add, và sau đó nhấn Next.


61




Tạo một DNS Reserve Lookup Zone QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn tạo một standard primary reserve lookup zone cho mạng của bạn.








6. Trong cây DNS, mở rộng máy chủ, sau đó nhấn Reserve Lookup Zones.

7. Chọn và nhấn chuột phải vào Reserve Lookup Zone, và sau đó nhấn New Zone.


9. Trên trang Zone Type, nhấn Primary Zone, xoá hộp kiểm tra Store Zone In Active Directory, và sau đó nhấn Next.

10. Trong hộp Network ID trên trang Reserve Lookup Zone Name, đánh ba phần đầu của địa chỉ IP (ví dụ, đối với địa chỉ IP 10.1.1.1, đánh 10.1.1), và sau đó nhấn Next.


62



11. Trên trang Zone File, nhấn Next để chấp nhận các thiết đặt mặc định.

12. Trên trang Dynamic Update, nhấn Next để chấp nhận các thiết đặt mặc định.


14. Đóng màn hình bảng điều khiển DNS.

CÂU HỎI: Các kiểu bản ghi DNS zone nào được liệt kê trong file Reserve Lookup zone? CÂU HỎI: Các kiểu khác nào của bản ghi DNS zone được tạo trong file Reserve Lookup zone?

Cấu hình DNS Adapter Settings QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn cấu hình giao tiếp mạng Contoso Ltd với địa chỉ IP của DNS server. Vì vậy, máy chủ của bạn sẽ trở thành một máy trạm DNS của dịch vụ DNS Server trên máy tính của bạn.


2. Nhấn Start, sau đó nhấn Network connections để mở cửa sổ Network connections.

3. Nhấn chuột phải vào biểu tượng Contoso Ltd Network connections, và sau đó nhấn Properties.

4. Trong cửa sổ Contoso Ltd Network connections, nhấn Internet Protocol (TCP/IP), và sau đó nhấn Properties.

5. Trong hộp thoại Internet Protocol (TCP/IP) Properties, xác nhận rằng tuỳ chọn Use Following DNS Server Addresses đã được chọn, đánh địa chỉ IP được gán trong hộp Preferred DNS Server, và sau đó nhấn OK.

6. Nhấn Close để đóng hộp thoại Contoso Ltd Network Properties.



63


QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn cấu hình giao tiếp mạng Contoso Ltd Network với địa chỉ IP DNS server của máy tính đối tác. Vì vậy, máy chủ của bạn sẽ trở thành một máy trạm DNS của dịch vụ DNS Server trên máy tính của đối tác.




4. Trong cửa sổ Contoso Ltd Network connections, nhấn Internet Protocol (TCP/IP), và sau đó nhấn Properties.

5. Trong hộp thoại Internet Protocol (TCP/IP) Properties, xác nhận rằng tuỳ chọn Use Following DNS Server Addresses đã được chọn, đánh địa chỉ IP được gán của đối tác trong hộp Preferred DNS Server, và sau đó nhấn OK.

6. Nhấn Close để đóng hộp thoại Contoso Ltd Network Properties.


Kích hoạt cập nhật động QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn kích hoạt các cập nhật động trên forward lookup zone của miền con.





64







6. Trong cây DNS, mở rộng Computerxx (trong đó Computerxx là tên của máy tính của bạn)

7. Mở rộng Forward Lookup Zones, chọn và nhấn chuột phải vào Domain.Contoso.Com, và sau đó nhấn Properties.

8. Trên trang Domain.Contoso.Com Properties trong thẻ General ở phía dưới Dynamic Updates, nhấn vào mũi tên chỉ xuống dưới, và sau đố chọn Nonsecure And Secure.

9. Nhấn OK để đóng hộp thoại Domain.Contoso.Com Properties.

10. Đóng màn hình bảng điều khiển DNS Management.

CÂU HỎI: Cập nhật động giảm các chi phí quản trị liên quan đến việc quản trị DNS như thế nào?

Chuyển đổi sang Active Directory – Integrated Zones QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn thay đổi standard primary zones sang Active Directory-Integrated Zones.





65







CÂU HỎI: Yêu cầu nào là cần thiết để chuyển đổi standard primary zones sang Active Directory-integrated zone?

6. Trong cây DNS, mở rộng tên máy tính của bạn, mở rộng Forward Lookup Zones, chọn và nhấn chuột phải vào Domain.Contoso.Com, và sau đó chọn Properties.

7. Trong thẻ General, chọn Change.

8. Trên trang Change Zone Type, đánh dấu vào hộp Store Zone In Active Directory (Available Only If DNS Server Is Domain Controler) và sau đó nhấn OK.

9. Nhấn OK để đóng cửa sổ Domain.Contoso.Com Properties.


QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn chuyển đổi standard secondary zones sang Active Directory-Integrated Zones.





66







6. Trong cây DNS, mở rộng tên máy tính của bạn, mở rộng Forward Lookup Zones, chọn và nhấn chuột phải vào Domain.Contoso.Com, và sau đó chọn Properties.

7. Trong thẻ General, chọn Change.

8. Trên trang Change Zone Type, chọn Primary Zone, và kiểm tra hộp Store Zone In Active Directory (Available Only If DNS Server Is Domain Controler) và sau đó nhấn OK.

9. Nhấn OK để đóng cửa sổ Domain.Contoso.Com Properties.

10. Nhấn Yes khi được hỏi liệu bạn có muốn vùng này trở thành một active directory integrated zone hay không (if you want this zone to become an active directory integrated zone?).

11. Trong Active Directory Service Warning, nhấn Yes để chấp nhận mặc định.

12. Trong DNS Warning, nhấn OK


BÀI TẬP 3-3: TẠO CÁC BẢN GHI DNS Thời gian dự kiến hoàn thành: 15 phút

Sau khi bạn đã tạo các DNS lookup zones phù hợp, bạn có thể phải tạo các kiểu bản ghi khác nhau trong lookup zones.


67


Tạo một bản ghi máy trạm (Host Record) QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu thấp hơn. Việc này cho phép bạn tạo các bản ghi máy trạm DNS trên máy chủ DNS.








6. Trong cây DNS, mở rộng Forward Lookup Zones, và sau đó mở rộng Domain.Contoso.Com.

7. Chọn và nhấn chuột phải vào Domain.Contoso.Com, và sau đó nhấn New Host (A).

8. Trong hộp Name (Uses Parent Domain Name If Blank), đánh hostrecord.

9. Trong hộp IP Address, đánh địa chỉ IP của máy tính của bạn, và sau đó nhấn Add Host.

10. Trong hộp thoại DNS chỉ ra rằng bản ghi máy trạm đã được tạo thành công, nhấn OK.

11. Nhấn Done trong hộp thoại New Host.


68




Kiểm tra bản ghi máy trạm QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này cho phép bạn kiểm tra các bản ghi DNS trên máy chủ DNS.


2. Nhấn Start, nhấn Run, sau đó đánh cmd.

3. Tại dấu nhắc dòng lệnh, đánh nslookup hostrecord.

CÂU HỎI: Địa chỉ của bản ghi máy trạm là gì? 4. Đóng cửa sổ dấu nhắc lệnh.

Tạo một bản ghi CNAME QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu thấp hơn. Việc này cho phép bạn tạo các bản ghi DNS Canonical Name (CNAME) trên máy chủ DNS.








69





6. Trong cây DNS, mở rộng Forward Lookup Zones và Domain.Contoso.Com.

7. Chọn và nhấn chuột phải vào Domain.Contoso.Com, và sau đó nhấn New Alias (CNAME).

8. Trong hộp thoại New Resource Record, trong hộp Alias Name, đánh cnamerecord.

9. Trong hộp Fully Qualified Domain Name (FQDN) For Target Host, đánh Computerxx .dom.contoso.com (trong đó Computerxx là tên máy tính được gán và domain là tên miền được gán).

10. Nhấn OK.


Kiểm tra bản ghi host QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này cho phép bạn kiểm tra các bản ghi CNAME DNS trên máy chủ DNS.



3. Tại dấu nhắc lệnh, đánh nslookup cnamerecord.

CÂU HỎI: Địa chỉ của bản ghi CNAME là gì? CÂU HỎI: Bản ghi CNAME cũng được biết là tên máy trạm nào?

4. Đóng cửa sổ dấu nhắc lệnh.

BÀI TẬP 3-4: CẤU HÌNH FORWARDING Thời gian dự kiến hoàn thành: 10phút

Bây giờ bạn đã cài đặt và cấu hình DNS Zones để lưu giữ các bản ghi DNS. Các bản ghi này được sử dụng để phân giải các tên trạm thành các địa chỉ IP.


70



Các máy trạm trong miền con DNS của bạn có thể cũng cần để định vị các trạm khác bao gồm những trạm ở trên Internet. Trong trường hợp này, bạn phải cấu hình máy chủ DNS để chuyển tiếp các yêu cầu đến máy chủ DNS khác.

QUAN TRỌNG: Bài tập đòi hỏi bạn đã có kết nối Internet cho lớp học và một địa chỉ IP của máy chủ DNS trên Internet để sử dụng.

Kiểm tra phân giải DNS bên ngoài mạng Internal QUAN TRỌNG: Hoàn thành nhiệm vụ này từ máy tính có số hiệu cao hơn. Việc này sẽ minh hoạ rằng việc chuyển tiếp là cần thiết để truy cập đến các tài nguyên bên ngoài mạng internal..



3. Tại dấu nhắc dòng lệnh, đánh nslookup microsoft.com.

CÂU HỎI: Phản hồi từ câu lệnh Nslookup là gì?

Cấu hình Chuyển tiếp có điều kiện QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu thấp hơn. Việc này cho phép bạn cấu hình chuyển tiếp có điều kiện trên máy chủ DNS.




4. Chọn Following User option và nhập các thông tin định khoản vào các trường hộp thoại sau để mở màn hình bảng điều khiển DNS:


71







6. Trong cây DNS, chọn và nhấn chuột phải vào tên máy tính của bạn, và sau đó nhấn Properties.

7. Trên trang Server Properties trong thẻ Forwarders, nhấn New, và trong hộp DNS Domain, đánh microsoft.com, và sau đó nhấn OK.

8. Trong trang Server Properties trong hộp Selected Domain’s Forwarder IPAddress List, đánh địa chỉ IP của máy chủ DNS được người hướng dẫn cung cấp. (Máy chủ DNS này phải là máy chủ DNS của nhà cung cấp dịch vụ ISP hoặc là máy chủ DNS công cộng khác).

9. Nhấn Add để thêm địa chỉ IP vào danh sách địa chỉ IP.

10. Nhấn OK để chấp nhận những thay đổi đối với chuyển tiếp có điều kiện (conditional forwarding)


Kiểm tra phân giải DNS bên ngoài mạng Internal QUAN TRỌNG: Hoàn thành nhiệm vụ này từ máy tính có số hiệu cao hơn. Việc này sẽ minh hoạ rằng việc chuyển tiếp đã cho phép truy cập đến các tài nguyên bên ngoài mạng internal.



3. Tại dấu nhắc dòng lệnh, đánh nslookup microsoft.com

CÂU HỎI: Phản hồi từ câu lệnh Nslookup là gì?

CÂU HỎI ÔN TẬP Thời gian dự kiến hoàn thành: 15phút


72



1. Các thiết đặt TCP/IP nào phải được cấu hình trước khi cài đặt dịch vụ DNS Server?

2. Tại sao bạn phải tạo stub zone cho miền contoso.com trên máy chủ DNS?

3. Bạn muốn có duy nhất những cập nhật động an toàn đối với file DNS Zone. Bạn phải có kiểu file zone nào?

4. Khi nào bạn sử dụng chuyển tiếp với DNS? Nêu một ví dụ.

5. Sự khác biệt gì giữa chuyển tiếp và chuyển tiếp có điều kiện?

THỰC HÀNH NÂNG CAO 3-1: CẤU HÌNH DNS Thời gian dự kiến hoàn thành: 30 phút

Bạn và đối tác là các nhà quản trị mạng cho Domain.Contoso.Com. Bạn được yêu cầu phải cấu hình DNS cho mạng. Sau khi khảo sát mạng, bạn xác định rằng một máy chủ DNS standard primary và một máy chủ DNS standard secondary sẽ đáp ứng được các yêu cầu phân giải tên trên mạng. Bạn không muốn các máy chủ DNS phân giải các tên bên ngoài, nhưng lại muốn các máy chủ DNS sử dụng máy tính của người hướng dẫn để phân giải tên bên ngoài. Tất cả các máy trạm chạy hệ điều hành Windows XP và có thể cập nhật các bản ghi máy trạm của chúng. Dịch vụ DHCP nên cập nhật tất cả các bản ghi ngược PTR. Bạn nên triển khai giải pháp cho mạng của bạn như thế nào?


73

QUẢN LÝ VÀ GIÁM SÁT DỊCH VỤ DNS SERVER

THỰC HÀNH 4: QUẢN LÝ & GIÁM SÁT DỊCH VỤ DNS SERVER. Bài thực hành này bao gồm các bài tập và công việc sau đây:

Bài tập 4-1: Các nhiệm vụ chuẩn bị.

Bài tập 4-2: Tạo bản sao thủ công DNS zones.

Bài tập 4-3: Giám sát & Gỡ rối DNS.

Bài tập 4-4: Quản lý DNS

Bài tập 4-5: An ninh DNS

Bài tập 4-6: Loại bỏ dịch vụ DNS


Thực hành nâng cao 4-1: Cài đặt & Quản lý DNS


• Cài đặt các công cụ hỗ trợ Windows Server 2003

• Giám sát dịch vụ phân giải tên miền DNS Server

• Gỡ rối dịch vụ DNS

• Quản lý DNS

• An ninh DNS

Thời gian dự kiến: 125 phút (Thời gian ước tính này bao gồm cả thời gian trước khi bạn bắt đầu các thủ tục cài đặt)


QUAN TRỌNG: Nếu bạn chưa hoàn thành các bài tập trong phần THỰC HÀNH 3 “Cài đặt & cấu hình dịch vụ DNS”, bạn phải hoàn thành các thủ tục tiên quyết sau


74


Cài đặt dịch vụ DNS QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này cho phép bạn cài đặt dịch vụ DNS Server trên máy tính của bạn. Sau khi bạn đã cài đặt dịch vụ DNS Server, bạn sẽ cấu hình một Active Directory-integrated DNS Zones.


2. Nhấn Start, sau đó nhấn Control Panel

3. Trong khi dữ phím Shift, Nhấn chuột phải tùy chọn Add Or Remove Program, sau đó nhấn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản vào các trường hộp thoại sau để mở Add Or Remove Program Wizard:



5. Nhấn OK để mở cửa sổ Add Or Remove Program Wizard

6. Trong cửa sổ Add Or Remove Program Wizard, Nhấn vào biểu tượng add/Remove Windows Components.

7. Trong Windows Components Wizard, trên trang Windows Components, phía dưới Components, nhấn Netwoking services, và sau đó nhấn Details.

8. Trong hộp thoại Netwoking services, Tích vào hộp domain Name System (DNS), và sau đó nhấn OK

9. Trong Windows Components Wizard, Nhấn Next

10. Nếu xuất hiện lời nhắn yêu cầu các files cài đặt HĐH Windows Server 2003, bạn phải cho đĩa chương trình cài đặt HĐH Windows Server 2003 vào ổ CD ROM, và sau đó nhấn OK.


75



11. Khi quá trình cấu hình hoàn thành, nhấn Finish và đóng tất cả các cửa sổ lại.

Tạo và Cấu hình Active Directory-Intergrated DNS Zones. QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn tạo forward lookup zone cho mạng của bạn. Zone nên được sao chép đến các máy tính có số hiệu cao hơn trong vòng vài phút.








6. Trong cây DNS, mở rộng tên máy chủ có tên Computerxx , và sau đó nhấn vào Forward Lookup Zones.

7. Nhấn chuột phải vào DNS Forward Lookup Zones, và sau đó nhấn New Zone.

8. Trên trang Welcome to New Zone Wizard, nhấn Next

9. Trong trang Zone Type, xác nhận Primary Zone and store Zones In Active directory đã được chọn, và sau đó nhấn Next.


76



10. Trên trang Active Directory Zones Replication Scope, xác nhận to All Domain Controller In Active directory Domainomain.contoso.com đã được chọn, và sau đó nhấn Next.

11. Đánh Domain.Contoso.Com trong hộp Zone Name, trong đó domain là tên mien của bạn, và sau đó nhấn Next.

12. Trên trang Dynamic Update, kiểm tra xem tuỳ chọn Only Secure Dynamic Update đã được chọn, và sau đó nhấn Next.

13. Trên trang Completing new Zone Wizard, nhấn Finish

14. Mở rộng Forward Lookup Zones

15. Chọn và nhấn chuột phải vào Domain.Contoso.Com, và sau đó chọn Properties.

16. Trong trang Properties, trong Thẻ Zone Transfer, chọn All Zone Transfer, và sau đó nhấn To Any Server. Nhấn OK.

17. Đóng tất cả các cửa sổ lại.

KỊCH BẢN Bạn là nhà quản trị mạng cho công ty Blue Yonder Airline. Bạn đã triển khai một số máy chủ DNS và máy chủ điều khiển miền (DC) trên mạng. Mỗi máy chủ DNS được chạy với cấu hình Active directory-Integrated zones. Do các yêu cầu về quản trị nên bạn phải đảm bảo dịch vụ DNS phải hoạt động hiệu qủa và an toàn. Bạn phải quản lý, giám sát, và đảm bảo an toàn các máy chủ DNS đang hoạt động trên mạng. Bạn sẽ sử dung các công cụ hỗ trợ có sẵn trong đĩa CD ROM Windows Server 2003 để quản lý và giám sát cho dịch vụ DNS.

BÀI TẬP 4-1: CÁC TÁC VỤ CHUẨN BỊ Thời gian dự kiến: 10 phút

Trong bài tập này, bạn sẽ cấu hình các thiết đặt và cài đặt thêm các công cụ để chuẩn bị cho các phần tiếp theo của bài Thực hành. Các công cụ này được sử dụng để giám sát và gỡ rối dịch vụ DNS Server.


77


Cài đặt các công cụ hỗ trợ Windows Server 2003. QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này cho phép bạn cài đặt các công cụ hỗ trợ Windows Server 2003 trên máy tính của học viên.


2. Nhấn Start, sau đó nhấn vào My Computer.

3. Trong cửa sổ My Computer, Nhấn chuột phải ổ đĩa CD ROM, và sau đó nhấn Open (trước đó bạn phải cho đĩa CD cài đặt hệ điều hành Windows Server 2003 vào ổ đĩa CD ROM).

4. Mở thư mục Suppport, và sau đó nhấn vào thư mục Tools, và sau đó nhấn đúp vào file SUPTOOLS.MSI

5. Trong cửa sổ Windows Support Tools Setup Wizard, nhấn Next.

6. Trên trang End Uer Agreement, xem qua thoả thuận bản quyền và sau đó nhấn vào I Agree If you agree with terms, và sau đó nhấn Next.

7. Trên trang User Information, chấp nhận Default name and organization, và sau đó nhấn Next để tiếp tục.

8. Trên trang Destination Directory, nhấn Install now để bắt đầu cài đặt.

9. Trên trang Completing Windows Support Tools Setup Wizard, nhấn Finish để kết thúc việc cài đặt các công cụ hỗ trợ.


Cấu hình các thiết lập DNS cho giao tiếp mạng QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Việc này cho phép bạn cấu hình giao tiếp mạng kết nối tới mạng Contoso Ltd sử dụng dịch vụ DNS Server trên máy tính cảu người hướng dẫn.


78





4. Nhấn Internet Protocol (TCP/IP), và sau đó nhấn Properties.

5. Trong hộp thoại Internet Protocol (TCP/IP) Properties, xác nhận rằng tuỳ chọn Use Following DNS Server Addresses đã được chọn, và sau đó đánh địa chỉ IP của máy tính người hướng dẫn (10.1.1.200) trong hộp Preferred DNS Server, và sau đó nhấn OK.

6. Đảm bảo rằng hộp Default Gateway để trống, và hộp Alternate DNS cũng để trống.

7. Nhấn Close để đóng trang Contoso Ltd Network connections.


BÀI TẬP 4-2: ĐỒNG BỘ VÙNG DNS THỦ CÔNG Thời gian dự kiến: 10 phút

Trong bài tập này, bạn thực hiện đồng bộ thông tin vùng DNS một cách thủ công. Việc này bình thường là không cần thiết vì việc đồng bộ vùng DNS kiểu tích hợp Active Directory cũng đã được bao hàm trong khi đồng bộ Active Directory thông thường. Nhưng đôi khi thông tin DNS Zone có thể cần được đồng bộ thủ công, ví dụ như khi bạn tạo các bản ghi DNS thủ công và phải ngay sau đó truy cập được vào host DNS.

Tạo một bản ghi máy trạm (A) một cách thủ công. QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này cho phép bạn tạo một bản ghi máy trạm mới trong DNS forward lookup zone.


79





4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản vào các trường hộp thoại sau để mở cửa sổ Bảng điều khiển DNS:

Trong hộp User Name, nhập [email protected]

Trong hộp Pasword, nhập MSPress@LS#1

5. Nhấn OK để mở bảng điều khiển DNS. 6. Trong cây DNS, mở rộng tên máy chủ có tên Computerxx , và sau đó

nhấn vào Forward Lookup Zones, và sau đó chọn Domain.Contoso.Com

7. Nhấn chuột phải vào miền Domain.Contoso.Com, và sau đó nhấn New Host (A).

8. Trong hộp Name, nhập vào newhost. 9. Trong hộp IP Address, nhập vào địa chỉ IP của máy tính bạn và sau

đó nhấn Add Host. 10. Nhấn OK để xác nhận rằng bản ghi đã được tạo thành công. 11. Nhấn Done. 12. Đóng cửa sổ DNS Management và đóng tất cả các cửa sổ lại.

Thực hiện đồng bộ vùng DNS thủ công bằng cách sử dụng Active Directory Sites And Services Snap-In.

QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn sao chép các thông tin được chứa đựng trong CSDL AD.


80





3. Nhấn chuột phải vào Active Directory Sites and Services, và sau đó nhấn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn Following User option và nhập các thông tin định khoản vào các trường của hộp thoại sau để mở cửa sổ Active Directory Sites and Services:

■ Trong hộp User Name, nhập [email protected]

■ Trong hộp Password, nhập MSPress@LS#1 5. Nhấn OK để mở màn hình Active Directory Sites and Services. 6. Trong cây Active Directory Sites and Services, mở rộng Sites, và sau

đó mở rộng Default-First-Site-Nam. 7. Trong cây Active Directory Sites and Services, mở rộng Servers, và

sau đó mở rộng Computerxx trong đó Computerxx là tên của máy tính, và sau đó chọn NTDS Settings.

8. Trong ô phạm vi của “Active Directory Sites and Services”, nhấn chuột phải vào mỗi đối tượng kết nối (được tự động tạo ra), và sau đó chọn Replicate Now, và sau đó nhấn OK trong hộp thoại Replicate Now.

9. Đóng cửa sổ Active Directory Sites and Services, và đóng tất cả các cửa sổ lại.

Xác nhận việc đồng bộ và cho phép chuyển giao vùng QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu cao hơn. Việc này cho phép bạn thấy rằng bản ghi host mới được sao chép trong DNS forward lookup zone. Bạn cũng sẽ cấu hình vùng Domain.Contoso.Com để cho phép vùng (zone) được chuyển giao nhằm chuẩn bị cho các nhiệm vụ tiếp theo.


81








b. Trong hộp Pasword, nhập MSPress@LS#1

5. Nhấn OK để mở Bảng điều khiển DNS. 6. Trong cây DNS, mở rộng Computerxx trong đó Computerxx là tên

máy tính của bạn, mở rộng Forward Lookup Zones, và sau đó chọn Domain.Contoso.Com trong đó Domain.Contoso.Com là tên miền của bạn.

7. Trong ô scope Bảng điều khiển DNS, xác nhận rằng bản ghi host (newhost) có trên màn hình.

8. Nhấn chuột phải vào miền Domain.Contoso.Com, và sau đó chọn Properties.

9. Trong Zone Transfers thẻ, chọn Allow Zone Transfers, chọn To Any Server, và sau đó nhấn OK.


Xác nhận việc đồng bộ và cho phép chuyển giao vùng QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính có số hiệu nhỏ hơn. Việc này sẽ bảo đảm rằng việc chuyển giao zone được cho phép thực hiện tại bất kỳ máy chủ nào..



82








b. Trong hộp Pasword, nhập MSPress@LS#1

5. Nhấn OK để mở Bảng điều khiển DNS. 6. Trong cây DNS, mở rộng Computerxx trong đó Computerxx là tên

máy tính của bạn, mở rộng Forward Lookup Zones, và sau đó chọn Domain.Contoso.Com trong đó Domain.Contoso.Com là tên miền của bạn.

7. Nhấn chuột phải vào miền Domain.Contoso.Com, và sau đó chọn Properties.

8. Trong thẻ Zone Transfers, đảm bảo rằng Allow Zone Transfers và To Any Server được chọn, và sau đó nhấn OK.


BÀI TẬP 4-3: THEO DÕI VÀ KHẮC PHỤC SỰ CỐ DNS Thời gian dự kiến: 25 phút Trong bài tập này, bạn sẽ sử dụng một số công cụ để giám sát và gỡ rối dịch vụ DNS Server. Đôi khi, dịch vụ DNS Server hỗ trợ một số công cụ nhất định. Biết cách làm thế nào để sử dụng những công cụ này để hỗ trợ DNS là rất quan trọng đối với một người quản trị mạng.

Cấu hình các thiết lập DNS trong giao tiếp mạng QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Việc này cho phép bạn cấu hình cạc mạng kết nối tới mạng Contoso Ltd sử dụng dịch vụ DNS Server trên máy tính của bạn.


83





4. Nhấn Internet Protocol (TCP/IP), và sau đó nhấn Properties. 5. Trong hộp thoại Internet Protocol (TCP/IP) Properties, xác nhận

rằng tuỳ chọn Use Following DNS Server Addresses đã được chọn, và sau đó nhập vào địa chỉ IP của máy tính người hướng dẫn (10.1.1.xx) trong hộp Preferred DNS Server, và sau đó nhấn OK.

6. Nhấn Close để đóng trang Contoso Ltd Network connections. 7. Đóng tất cả các cửa sổ.

Sử dụng Dnscmd để hiển thị các bản ghi QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Điều này cho phép bạn hiển thị các thông tin về các vùng (zone) được cấu hình và các bản ghi được chứa trong vùng DNS.


2. Nhấn Start, nhấn All Programs, nhấn Windows Support Tools, và sau đó nhấn Command Prompt.

3. Tại dấu nhắc lệnh C:\Program Files\Support Tools, đánh dnscmd /enumzones, và sau đó nhấn Enter.

4. Trong biểu đồ dưới đây, kể tên các vùng và các đặc tính riêng của từng vùng:

Tên vùng (Zone Name)

Số hiệu vùng (Zone

Count)

Loại (Type) Lưu giữ (Storage)

Đặc tính (Properties)


84


CÂU HỎI: Cái gì được biểu thị phía dưới đề mục Properties về các vùng?

5. Trong cửa sổ dấu nhắc lệnh, đánh dnscmd/zoneprint Domain.Contoso.Com trong đó domain là tên miền và sau đó nhấn Enter.

CÂU HỎI: Loại bản ghi nào được liệt kê trong vùng? 6. Đóng tất cả các cửa sổ.

Sử dụng Nslookup để kiểm tra các bản ghi DNS QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này cho phép bạn liệt kê tất cả các bản ghi nguồn trong một miền và vùng đã cho.


2. Để mở cửa sổ dấu nhắc lệnh, nhấn Start, nhấn Run, đánh cmd, và sau đó nhấn Enter.

3. Trong cửa sổ dấu nhắc lệnh, đánh nslookup, và sau đó nhấn Enter.

4. Trong dấu nhắc Nslookup, đánh set type=all, và sau đó nhấn Enter.

5. Trong dấu nhắc Nslookup, đánh ls Domain.Contoso.Com trong đó domain là tên miền của bạn, và sau đó nhấn Enter.

CÂU HỎI: Điều gì sẽ xảy ra nếu bạn sử dụng tuỳ chọn –d trong câu lệnh ls nslookup?

6. Nhấn Start, nhấn Control Panel, nhấn Admistrative Tools, và sau đó nhấn DNS.


85



7. Trong cây DNS, mở rộng Forward Lookup Zones, và mở rộng Domain.Contoso.Com trong đó domain là tên miền của bạn. Sử dụng ô phạm vi để xem các bản ghi nguồn trong vùng.

8. Sử dụng màn hình bảng điều khiển DNS để so sánh các bản ghi nguồn với các kết quả trong bước 5 sử dụng Nslookup.


Liệt kê các bản ghi máy trạm DNS QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này cho phép bạn liệt kê máy trạm, hoặc A, các bản ghi nguồn trong một miền và vùng đã cho.


2. Để mở cửa sổ dấu nhắc lệnh, nhấn Start, nhấn Run, đánh cmd, và sau đó nhấn Enter.

3. Trong cửa sổ dấu nhắc lệnh, đánh nslookup, và sau đó nhấn Enter.

4. Trong dấu nhắc lệnh Nslookup, đánh set type=a, và sau đó nhấn Enter.

5. Trong dấu nhắc lệnh Nslookup, đánh ls Domain.Contoso.Com trong đó domain là tên miền của bạn, và sau đó nhấn Enter.

6. Liệt kê các bản ghi trạm, hoặc A, trong ô trống dưới đây:

CÂU HỎI: Nslookup đã trả về các bản ghi NS nào từ truy vấn?

CÂU HỎI: Bản ghi NS được sử dụng cho mục đích gì? 7. Đánh exit, và sau đó nhấn Enter để thoát khỏi Nslookup.


86




Giám sát dịch vụ DNS Server QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính học viên. Việc này sẽ cho phép bạn giám sát máy chủ DNS.








6. Trong cây DNS, mở rộng Computerxx trong đó Computerxx là tên máy tính của học viên, và sau đó nhấn Clear Cache từ trình đơn thực đơn.

7. Trong cây màn hình bảng điều khiển DNS, nhấn chuột phải vào Computerxx , trong đó Computerxx là tên máy tính của học viên, và sau đó nhấn Properties.

8. Trong trang Properties, trong thẻ Monitoring, ở phía dưới Select A Test Type, chọn cả tuỳ chọn A Simple Query Against This DNS Server và A Recursive Query To Other DNS Servers, và sau đó nhấn Test Now.

CÂU HỎI: Tại sao truy vấn đệ quy (Recursive Query) thất bại khi nó được thử?


87



9. Nhấn OK để đóng trang Computerxx Properties.

10. Trong cây màn hình bảng điều khiển DNS, nhấn chuột phải vào Computerxx , trong đó Computerxx là tên máy tính của học viên, và sau đó nhấn Clear Cache.

11. Trong cây màn hình bảng điều khiển DNS, nhấn chuột phải vào Computerxx , trong đó Computerxx là tên máy tính của học viên, và sau đó nhấn Properties.

12. Trong thẻ Forwarders, trong tuỳ chọn Selected Domain’s Forwarder IP Address List, đánh địa chỉ IP của máy tính người hướng dẫn (10.1.1.200), nhấn Add, và sau đó nhấn OK.

13. Nhấn thẻ Root Hints, và trong phần Name Servers, chọn mỗi máy chủ mức gốc, và sau đó nhấn Remove.

14. Trong thẻ Root Hints, nhấn Add. Trong trang New Resource Record, trong trường Server Fully Qualified Domain Name (FQDN), đánh instructor01.contoso.com. Trong trường IP address, đánh 10.1.1.200, nhấn Add, và sau đó nhấn OK.

15. Trong trang Computerxx Properties, nhấn Apply.

16. Trong thẻ Monitoring, phía dưới Select A Test Type, đảm bảo rằng cả hai tuỳ chọn là A Simple Query Against This DNS Server và A Recursive Query To Other DNS Server đã được chọn, và sau đó nhấn Test Now.

CÂU HỎI: Tại sao Recursive Query thành công khi nó được thử lần này?

17. Trong thẻ Forwarders, trong tuỳ chọn Selected Domain’s Forwarder IP Address List, nhấn Remove, và sau đó nhấn OK.


BÀI TẬP 4-4: QUẢN LÝ DNS Thời gian dự kiến hoàn thành : 15 phút

Trong bài tập này, bạn sẽ sử dụng một số công cụ để quản lý máy chủ DNS.


88


Công cụ IPconfig QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này sẽ cho phép bạn hiển thị các chuyển đổi thích hợp liên quan đến DNS khi sử dụng công cụ Ipconfig.


2. Để mở cửa sổ dấu nhắc lệnh, Nhấn Start, chọn Run, đánh cmd, và nhấn phím Enter

3. Tại dấu nhắc lệnh, đánh câu lệnh ipconfig /? và sau đó nhấn phím Enter

CÂU HỎI: Các chuyển đổi Ipconfig nào liên quan đến DNS? Liệt kê và giải thích các chức năng của các chuyển đổi này?


Nạp sẵn DNS Resolver Cache. QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này cho phép bạn nhập sẵn DNS resolver cache vào máy tính của học viên.


2. Để mở cửa sổ dấu nhắc lệnh, Nhấn phím Start, nhấn Run, và sau đó đánh cmd.

3. Trong cửa sổ dấu nhắc lệnh, đánh ipconfig /displaydns.

CÂU HỎI: Tại sao có các mục nhập được liệt kê? 4. Trong cửa sổ dấu nhắc lệnh, đánh ipconfig /flushdns, và sau đó nhấn

Enter.

5. Nhấn Start, và sau đó nhấn My Computer để mở các nội dung của My Computer.

6. Định vị tệp sau: %systemroot%\System32\Drivers\Etc\Hosts.


89



7. Nhấn chuột phải vào Hosts file, chọn Open, và trong cửa sổ Open With, nhấn đúp chuột vào Notepad.

8. Trong dòng # 102.54.94.97 rhino.acme.com, lược bỏ ký hiệu #.

9. Nhấn File, và sau đó nhấn Save.

10. Đóng Microsoft Notepad và cửa sổ C:\%systemroot%\system32\drivers\etc.

11. Trong cửa sổ dấu nhắc lệnh, đánh ipconfig /displaydns.

CÂU HỎI: Có mục nhập nào cho rhino.acme.com? Mục này được nhập vào DNS resolver cache như thế nào?

Cấu hình DNS Scavenging QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này sẽ cho phép bạn tạo scavenging cho một vùng DNS cụ thể.








6. Trong cây DNS, mở rộng Computerxx trong đó Computerxx là tên máy tính của học viên và sau đó mở rộng Forward Lookup Zones.


90



7. Trong cây DNS, chọn và nhấn chuột phải vào Domain.Contoso.Com trong đó Domain.Contoso.Com là tên miền của bạn, và sau đó chọn Properties.

8. Trong trang Domain.Contoso.Com Properties, chọn thẻ General và sau đó nhấn Aging để mở cửa sổ Zone Aging/Scavenging Properties.

9. Chọn tuỳ chọn Scavenge Stale Resource Records, và sau đó nhấn OK.

10. Nhấn OK.

CÂU HỎI: Scavenge Stale Resource Records nghĩa là gì? 11. Đóng tất cả các cửa sổ lại.

Tạo điều kiện thực hiện WINS Lookup QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này sẽ cho phép bạn tạo điều kiện cho Internet Naming Service (WINS) lookup trong DNS.









91



6. Trong cây DNS, mở rộng Computerxx trong đó Computerxx là tên máy tính của học viên và sau đó mở rộng Forward Lookup Zones.

7. Chọn và nhấn chuột phải vào Domain.Contoso.Com trong đó Domain.Contoso.Com là tên miền của bạn, và sau đó chọn Properties.

8. Trong trang Domain.Contoso.Com Properties, nhấn thẻ WINS, chọn tuỳ chọn Use WINS Forward Lookup, và sau đó nhấn địa chỉ IP của máy tính bạn trong mục IP Address. Nhấn Add, và sau đó nhấn OK.

CÂU HỎI: Sau khi tạo điều kiện cho WINS lookup, bản ghi nguồn nào được bổ sung vào DNS zone trong màn hình bảng điều khiển DNS?


BÀI TẬP 4-5: BẢO MẬT DNS Thời gian dự kiến hoàn thành : 10 phút

Trong bài tập này, bạn sẽ sử dụng một số phương pháp để bảo đảm DNS. Cần thiết phải bảo đảm DNS để tránh sự truy nhập không được cho phép.

Bảo mật cho máy chủ DNS QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này sẽ cho phép bạn xem xét việc thiết lập bảo mật cho những người sử dụng và các nhóm hiện đang truy nhập để quản lý và giám sát máy chủ DNS.





92







6. Trong cây DNS, chọn và nhấn chuột phải vào Computerxx trong đó Computerxx là tên máy tính của học viên và sau đó nhấn Properties.

7. Nhấn thẻ Security để hiển thị danh sách DACL cho máy chủ DNS.

CÂU HỎI: Tại sao mọi người trong nhóm không được liệt kê trong DACL?

8. Nhấn OK, và sau đó đóng tất cả các cửa sổ lại.

Bảo mật cho DNS zone QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này sẽ cho phép bạn xem xét việc thiết lập bảo mật cho DNS zone.








93




6. Trong cây DNS, chọn và nhấn chuột phải vào Computerxx trong đó Computerxx là tên máy tính của học viên và sau đó mở rộng Forward Lookup Zones.

7. Trong cây DSN, chọn và nhấn chuột phải vào Domain.Contoso.Com, và sau đó nhấn Properties.

8. Trong trang Domain.Contoso.Com Properties, nhấn thẻ Security để hiển thị DACL cho DNS zone.

CÂU HỎI: Tại sao mọi người trong nhóm được liệt kê trong DACL? 9. Nhấn OK, và sau đó đóng tất cả các cửa sổ lại.

Cấu hình một Listener QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này sẽ cho phép bạn cấu hình một listener cho dịch vụ DNS Server.








6. Trong cây DNS, chọn và nhấn chuột phải vào Computerxx trong đó Computerxx là tên máy tính của học viên và sau đó nhấn Properties.


94



7. Trong trang Computerxx Properties, trong thẻ Interface, chọn Only Following IP Addresses. Xác nhận rằng Contoso network adapter IP address (10.1.1.xx) được liệt kê trong danh sách địa chỉ IP, và sau đó nhấn OK.

CÂU HỎI: Làm thế nào mà việc cấu hình một listerner đảm bảo máy chủ DNS?


Bảo mật các chuyển đổi vùng QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính. Việc này sẽ cho phép bạn bảo đảm các chuyển đổi vùng DNS cho máy chủ DNS.








6. Trong cây DNS, chọn và nhấn chuột phải vào Computerxx trong đó Computerxx là tên máy tính của học viên và sau đó mở rộng Forward Lookup Zones.

7. Chọn và nhấn chuột phải vào Domain.Contoso.Com, trong đó Domain là tên miền của bạn và sau đó nhấn Properties.


95



8. Trong trang Domain.Contoso.Com Properties, trong thẻ Zone Transfers, đảm bảo rằng Allow Zone Transfers được lựa chọn, và rằng Only To Following Servers được lựa chọn.

9. Trong mục IP Address, đánh địa chỉ IP của máy tính người hướng dẫn (10.1.1.200), và sau đó nhấn Add.

10. Nhấn OK.

CÂU HỎI: Làm thế nào để việc cấu hình các chuyển đổi vùng bảo đảm được máy chủ DNS?


BÀI TẬP 4-6: LOẠI BỎ DỊCH VỤ DNS SERVER. Thời gian dự kiến hoàn thành : 5 phút

Bạn sẽ gỡ bỏ dịch vụ DNS Server từ các máy tính của học viên. Việc này rất cần thiết để hoàn thành thành công các bài Thực hành sau này.

Loại bỏ dịch vụ DNS Server QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này cho phép bạn loại bỏ dịch vụ DNS Server.



3. Nhấn chuột phải vào Manage Your Server, và sau đó chọn Run As để mở hộp thoại Run As.

4. Chọn Following User option, và sau đó nhập các thông tin định khoản vào các trường hộp thoại sau để mở Manage Your Server wizard:


96





5. Nhấn OK để mở cửa sổ Manage Your Server

6. Trong Manage Your Server, nhấn Add or Remove A Role để mở màn hình Configure Manage Your Server.

7. Trên trang Preliminary Steps của phần Configure Your Server wizard, nhấn Next

8. Trên trang Server Role, chọn DNS Server, và sau đó nhấn Next.

9. Trên trang Role Removal Confirmation, nhấn Remove DNS Server Role option, và sau đó nhấn Next.

10. Trên trang DNS Server Role Removed, Nhấn Finish.

11. Đóng tất các cửa sổ đang mở.

Cấu hình các thiết đặt DNS Adapter. QUAN TRỌNG: Hoàn thành nhiệm vụ này từ các máy tính của học viên. Việc này cho phép bạn cấu hình cạc mạng (cạc mạng được kết nối đến Contoso Ltd) với địa chỉ IP của máy chủ DNS. Vì vậy máy chủ của bạn trở thành một máy client DNS của dịch vụ DNS Server đang chạy trên máy tính của người hướng dẫn.

1. Khởi động máy tính Windows Server 2003, và đăng nhập vào máy với tài khoản [email protected] trong đó domain là tên miền.

2. Nhấn Start, và sau đó nhấn Network connections để mở cửa sổ Network connections.

3. Nhấn chuột phải vào biểu tượng Contoso Ltd Network connection, và sau đó nhấn Properties.

4. Nhấn Internet Protocol (TCP/IP), và sau đó nhấn Properties.

5. Trên trang Internet Protocol (TCP/IP) Properties, xác nhận rằng Use Following DNS Server Addresses được lựa chọn, đánh địa chỉ IP


97


của máy tính người hướng dẫn (10.1.1.200) trong hộp Preferred DNS Server, và sau đó nhấn OK.

6. Nhấn Close để đóng trang Contoso Ltd Network Properties.


CÁC CÂU HỎI ÔN TẬP Thời gian dự kiến hoàn thành: 15 phút

1. Bạn có thể sử dụng ba phương pháp nào được trình bày trong bài Thực hành này để bảo mật một máy chủ DNS và dữ liệu vùng?

2. Tệp nào được sử dụng để nhập sẵn DNS resolver cache?

3. Tiện ích nào có thể được sử dụng để xem xét các sự kiện DNS được ghi nhật ký?

4. Hai tiện ích nào được trình bầy ở phần đầu bài Thực hành này giúp cho việc quản lý và gỡ rối các vấn đề về DNS?

5. Khi nào các cập nhật đối với file zone kiểu tích hợp AD được sao chép?

6. Sự khác nhau nào giữa một truy vấn thông thường và truy vấn đệ quy?

7. Nêu tên một công cụ khác với Active Directory Sites And Services được đề cập trong các bài thực hành mà có thể được sử dụng để ép buộc việc sao chép các zones (vùng) tích hợp Active Directory?

THỰC HÀNH NÂNG CAO 4-1: CÀI ĐẶT VÀ QUẢN LÝ DNS Thời gian dự kiến hoàn thành: 30 phút

Bạn được thuê làm nhà tư vấn mạng cho Northwind Traders để trợ giúp công ty này cấu hình và giám sát các máy chủ DNS trên mạng. Phòng Dịch vụ Thông tin của Công ty Northwind Traders đã triển khai một số máy chủ điều khiển miền Active Directory nằm trong hai miền (domain): nwtraders.com và europe.nwtraders.com. Một máy chủ DNS trong miền nwtraders.com chạy ở chế độ standard primary zone được gọi là


98


nwtraders.com. Hai máy chủ DNS trong miền con europe.nwtraders.com: máy chủ DNS đầu tiên chạy ở chế độ standard primary zone, và máy chủ DNS thứ hai chạy ở chế độ standard secondary zone. Mỗi mạng LAN cũng chứa đựng nhiều máy chủ DHCP và máy chủ WINS server. Các máy trạm trên các mạng LAN sử dụng DHCP để nhận địa chỉ IP.

Là một nhà tư vấn, bạn được yêu cầu để hỗ trợ giải quyết các vấn đề liên quan đến DNS cho phòng Dịch vụ Thông tin. Phòng này muốn cấu hình dịch vụ hạ tầng mạng DNS để làm giảm các nỗ lực quản trị liên quan đến quản lý các máy chủ DNS và các file zone DNS để giảm bớt giao dịch mạng nội bộ. Nhân sự của phòng này cũng yêu cầu bạn giúp đỡ họ bảo mật các máy chủ DNS và các chuyển đổi vùng (zone) trong mạng và xác nhận, kiểm tra và giám sát các hoạt động của DNS. Cuối cùng, để tiết kiệm băng thông của mạng WAN, phòng này muốn có khả năng cấu hình các máy chủ DNS để chuyển tiếp các truy vấn DNS đến các máy chủ DNS nội bộ, thay vì tất cả các máy chủ DNS chuyển tiếp các truy vấn DNS ra Internet.


99


THỰC HÀNH KHẮC PHỤC SỰ CỐ: TRIỂN KHAI CÁC DỊCH VỤ MẠNG XEM XÉT DỰ ÁN Bạn là một thành viên của đội kỹ sư mạng của công ty Contoso Ltd. Bạn phụ trách lập kế hoạch và triển khai một chiến lược dịch vụ mạng cho mạng của công ty này. Công việc của bạn là lập kế hoạch và triển khai một chiến lược cấp pháp địa chỉ IP động (DHCP) và một chiến lược phân giải tên miền (DNS) cho mạng. Triển khai hai dịch vụ mạng này sẽ cho phép bạn giao tiếp với các máy trạm và máy chủ sử dụng các tên trạm và các địa chỉ IP. Mạng Contoso bao gồm một miền, contoso.com và một số miền con. Các máy trạm và máy chủ trên mạng phải có khả năng phân giải các tên trạm miền con nội bộ.

Hiện nay, tất cả các máy trạm và máy chủ trên mạng được cấu hình để sử dụng địa chỉ IP tĩnh mà bao gồm các địa chỉ IP đối với máy chủ DNS. Bạn cũng phải hạn chế băng thông được sử dụng bởi các dịch vụ mạng này và các máy trạm trong miền con nội bộ.

Dựa trên những gì bạn biết về hạ tầng mạng Contoso và nhớ rằng bạn phải hạn chế giao thông mạng, trả lời các câu hỏi sau đây. Bao gồm giải thích cho mỗi câu trả lời.

1. Có bao nhiêu máy chủ DHCP sẽ cần được cấu hình cho mạng Contoso?

2. Có bao nhiêu máy chủ DNS sẽ cần được cấu hình cho mạng Contoso?

3. Tối thiểu, các tuỳ chọn DHCP nào bạn nên gán cho máy trạm?

4. Bạn có nên cấu hình một DHCP relay agent trên mỗi subnet để cho phép các máy trạm DHCP nhận được thông tin địa chỉ IP từ một máy chủ DHCP ở xa?

Để thử nghiệm với dịch vụ DHCP và DNS trong một môi trường mạng, bạn muốn cấu hình một mạng thí điểm mà sẽ được sử dụng để cài đặt và cấu hình DHCP và DNS. Mạng thí điểm này sẽ được cấu hình với một dải địa chỉ IP là 192.168.0.0/24. Môi trường thí điểm này sẽ bao gồm một máy học


100


viên đóng vai trò như một máy chủ và một máy học viên đóng vai trò như một máy trạm.

Bạn nên triển khai theo các bước sau:

Cài đặt và triển khai một máy chủ DHCP trên máy tính Windows Server 2003.

Cấu hình một máy chủ DHCP để phản hồi các yêu cầu cấp phát địa chỉ IP.

Cấu hình một máy chủ DHCP để cung cấp các tuỳ chọn dải địa chỉ IP thích hợp.

Cài đặt và triển khai một máy chủ DNS trên một máy tính Windows Server 2003.

Sau khi hoàn thành các bước trên, bạn chuẩn bị để minh họa cho người hướng dẫn rằng các máy chủ của bạn có thể thực hiện:

Giao tiếp bằng cách sử dụng giao thức TCP/IP.

Nhận thông tin địa chỉ IP động thông qua DHCP.

Giao tiếp bằng cách sử dụng dịch vụ DNS để phân giải các tên trạm trong miền con nội bộ.

THIẾT LẬP GỠ RỐI Trong phần thực hành gỡ rối, người hướng dẫn hoặc các học viên sẽ giới thiệu một sự cố trong mạng mà sẽ cản trở việc cấp phát địa chỉ IP và phân giải tên trên mạng.

GỠ RỐI Trong phần thực hành gỡ rối này, bạn được giao nhiệm vụ giải quyết một vấn đề giao tiếp được giới thiệu trong phần trước của bài thực hành này. Để có thể xử lý tiến trình gỡ rối có hiệu quả, bạn cần phải tài liệu hoá các quá trình bạn đã sử dụng trong khi khắc phục vấn đề. Ghi lại các bước và các quá trình gỡ rối, bao gồm các thông tin như sau:

Bạn xem xét cái gì để chẩn đoán sự cố? Liệt kê các bước mà bạn thực hiện để chẩn đoán sự cố, kể cả các bước chuẩn đoán không hoạt động.


101


Bạn đã phát hiện sự cố nào? Nguyên nhân của sự cố?

Giải pháp nào? Các bước để giải quyết sự cố?

Các thử nghiệm nào được sử dụng để xác nhận giải pháp khắc phục sự cố? Kết quả của thử nghiệm?

Liệt kê các tài nguyên bạn sử dụng để giải quyết sự cố.

Các sự cố được giới thiệu trên mạng được thiết kế để hạn chế các giao tiếp theo một cách thức nào đó, hoặc giữa các máy tính trong miền con hoặc giữa các máy tính trong miền với máy tính thuộc các miền khác trong lớp học. Bạn có thể sử dụng tiện ích câu lệnh Ping, tiện ích Tracert, tiện ích Nslookup, tiện ích Dnscmd, hoặc một số các tiện ích khác để kiểm tra các kết nối và giúp gỡ rối sự cố.


102

BẢO MẬT TRONG MẠNG

THỰC HÀNH 5: BẢO MẬT TRONG MẠNG Bài thực hành này gồm các bài tập và hoạt động sau:

♦ Bài tập 5-1: Kiểm soát bảo mật

♦ Bài tập 5-2: Áp dụng các mẫu bảo mật

♦ Bài tập 5-3: Gán quyền cho người sử dụng

♦ Bài tập 5-4: Sử dụng hệ thống File mã hóa (EFS)

♦ Bài tập 5-5: Cài đặt và cấu hình Microsoft Baseline Security Analyzer (MBSA)

♦ Các câu hỏi tổng kết

♦ Thực hành nâng cao 5-1: Lập kế hoạch bảo mật cho Wingtip Toys Sau khi hoàn thành bài thực hành này, bạn có thể:

♦ Kiểm soát các sự kiện bảo mật trên máy quản trị miền (Domain Controller).

♦ Phân tích và áp dụng các thiết lập bảo mật cho các máy chủ.

♦ Mã hóa và giải mã File trên máy cục bộ và máy khác.

♦ Sử dụng MBSA để quét và phát hiện các lỗ hổng bảo mật trong mạng.

Thời gian dự kiến: 115 phút

KỊCH BẢN Bạn là quản trị mạng của ACNA, Ltd. Bạn được yêu cầu đưa ra một số khuyến nghị bảo mật để nâng mức bảo mật trong mạng. Bạn phải thực hiện việc nâng cấp bảo mật cho các máy chủ và máy quản trị miền và sử dụng Microsoft Baseline Security Analyzer(MBSA) để phát hiện các lỗ hổng bảo mật trên máy trạm và máy chủ trên mạng. Để đảm bảo mức bảo mật dữ liệu trên máy cục bộ và các máy khác, bạn phải mã hóa File bằng cách sử dụng hệ thống File mã hóa (EFS) cho máy trạm và máy chủ trên mạng. Bạn cũng phải thiết lập tác nhân phục hồi cho miền.


103


BÀI TẬP 5-1: KIỂM SOÁT BẢO MẬT Thời gian hoàn thành dự kiến: 5 phút

Trong bài tập này, bạn sẽ học cách cấu hình kiểm soát bảo mật, và bạn sẽ xem phần kiểm soát bảo mật trên máy chủ sử dụng Microsoft Windows Server 2003.

Các sự kiện kiểm soát bảo mật LƯU Ý Thực hiện bài tập này trên tất cả các máy tính của Học viên. Từ đó bạn có thể hiển thị các sự kiện kiểm soát bảo mật trên máy quản trị miền.

1. Khởi động máy tính sử dụng Windows Server 2003, và đăng nhập bằng tài khoản [email protected] (ở đây studentxx là tên đăng nhập của Học viên và domain là tên miền của bạn)

2. Nhấn Start, chọn Control Panel, và nhấn đúp vào Administrative Tools.

3. Nhấn chuột phải vào Event Viewer, sau đó chọn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn The Following User và sau đó nhập các thông số sau trong các trường của hộp thoại để mở bảng điều khiển Event Viewer.

a. Trong phần User Name, nhập [email protected] (ở đây domain là tên miền của bạn).

b. Trong phần Password, nhập MSPress@LS#1 5. Nhấn OK để mở bảng điều khiển Event Viewer. 6. Trong cây bảng điều khiển, nhấn Security.

Câu hỏi Liệt kê ba loại (category) sự kiện đã lưu lại trong nhật ký bảo mật trên máy chủ của bạn.

7. Thu nhỏ (minimize) cửa sổ Event Viewer. 8. Nhấn Start, chọn Control Panel, sau đó nhấn đúp Administrative

Tools. 9. Nhấn chuột phải vào Domain Controller Security Policy, sau đó

chọn Run As để mở hộp thoại Run As.


104


10. Trong hộp thoại Run As, chọn The Following User và sau đó nhập các thông số sau trong các trường của hộp thoại để mở bảng điều khiển Domain Controller Security Policy:

c. Trong phần User Name, nhập [email protected] (ở đây domain là tên Miền của bạn).

d. Trong phần Password, nhập MSPress@LS#1 11. Nhấn OK để mở bảng điều khiển Domain Controller Security

Policy. 12. Mở Local Policies, sau đó nhấn Audit Policy. 13. Bên trong khung bên phải (detail pane), nhấn đúp vào Audit Object

Access. 14. Trong cửa sổ Audit Object Access Properties, nhấn lựa chọn

Success và sau đó nhấn OK. 15. Đóng bảng điều khiển Domain Controller Security Policy. 16. Nhấn chuột phải vào màn hình (Desktop) của bạn, chọn New và sau

đó chọn Folder. 17. Nhập computerxx trong phần tên của thư mục (ở đây computerxx

là tên máy tính của học viên). 18. Nhấn đúp vào thư mục bạn vừa tạo ra trên màn hình. 19. Đóng thư mục Computerxx. 20. Mở cửa sổ Event Viewer, sau đó nhấn F5. 21. Trong cửa sổ bên phải, lưu ý các sự kiện tương ứng với Object

Access đã được lưu lại trong nhật ký bảo mật. 22. Đóng Event Viewer.

BÀI TẬP 5-2: ÁP DỤNG CÁC MẪU BẢO MẬT Thời gian hoàn thành dự kiến: 10 phút Trong bài tập này, bạn sẽ học cách sử dụng Security Configuration And Analysis Microsoft Management Console (MMC) snap-in để so sánh các thiết lập bảo mật trên máy tính của học viên. Bạn cũng sẽ học cách sử dụng công cụ Gpupdate để áp dụng các mẫu bảo mật xác định vào


105


máy tính của các bạn. Bạn cũng sẽ áp dụng lại mẫu Setup Security để hệ thống của bạn quay lại trạng thái cũ, sau khi bạn áp dụng các mẫu bảo mật mới.

Tạo ra bảng điều khiển để thiết lập bảo mật (Security Setting) Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ giúp bạn tạo ra MMC mới bao gồm các snap-in Security Template và Security Configuration And Analysis.

1. Khởi động máy tính sử dụng Windows Server 2003, và đăng nhập bằng tài khoản [email protected] (ở đây domain là tên Miền của bạn).

2. Nhấn Start, sau đó nhấn Run để mở hộp thoại Run. 3. Trong phần Open, nhập mmc, và sau đó nhấn OK. 4. Trong cửa sổ Console1, trên thực đơn File, chọn Add/Remove

Snap-In để mở hộp thoại Add/Remove Snap-In. 5. Nhấn Add. 6. Trong danh sách các snap-in hiện có, chọn Security Configuration

And Analysis, sau đó nhấn Add. 7. Chọn Security Templates, sau đó nhấn Add. 8. Nhấn Close, để dóng cửa sổ Add Stand Alone Snap-In, sau đó nhấn

OK. 9. Trên thực đơn File, chọn Save As. 10. Trong cửa sổ Save As, nhấn vào biểu tượng màn hình, sau đó trong

phần File Name nhập security. Nhấn Save. 11. Đóng tất cả các cửa sổ đang mở.

So sánh các thiết lập bảo mật sử dụng MMC Snap-In Security Configuration And Analysis.

Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ giúp bạn so sánh các thiết lập bảo mật trên các máy tính của học viên với các mẫu bảo mật xác định trước.



106


2. Nhấn đúp vào biểu tượng security MMC trên desktop để mở MMC này.

3. Chọn Security Configuration And Analysis trong cây bảng điều khiển.

4. Trên thực đơn Action, chọn Open Database để mở cửa sổ Open Database.

5. Trong phần File Name, nhập securedc, sau đó nhấn Open. 6. Trong cửa sổ Import Template, nhấn Securedc.inf, sau đó nhấn

Open. 7. Chọn Security Configuration And Analyssis trong cây bảng điều

khiển nếu chưa được chọn. 8. Trong thực đơn Action, chọn Analyze Computer Now. 9. Đồng ý với đường dẫn mặc định để lưu trữ các lỗi gặp phải khi phân

tích trong cửa sổ Perform Analysis, sau đó nhấn OK. 10. Trong cây bảng điều khiển, mở Security Configuration And

Analysis\Local Policies, sau đó nhấn Audit Policy. 11. Trong cửa sổ bên phải, tìm Audit Accoun Logon Events.

Ghi lại các thiết lập vào bảng dưới đây

Database Setting Computer Setting

12. Giữ nguyên các cửa sổ bảng điều khiển đang mở. Câu hỏi Tại sao lại có chữ X màu đỏ trên chính sách Audit Logon Events? Câu hỏi Tại sao bạn lại muốn ghi lại các sự kiện đăng nhập thành công hay thất bại?

Áp dụng các mẫu bảo mật (Security Templates) Lưu ý Hoàn thành bài tập này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn áp dụng các mẫu bảo mật được định nghĩa từ trước cho các máy tính của học viên.


2. Trên thực đơn Action, chọn Configure Computer Now. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003

107


3. Đồng ý với đường dẫn mặc định để lưu trữ các lỗi gặp phải khi áp dụng trong cửa sổ Configure System, sau đó nhấn OK.

4. Giữ nguyên các cửa sổ bảng điều khiển đang mở.

Kiểm tra các thiết lập bảo mật đã được nhập vào bằng cách sử dụng MMC Snap-In Security Configuration And Analysis

Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn so sánh các thiết lập bảo mật trên các máy tính của học viên với các mẫu bảo mật được định nghĩa từ trước.

1. Chọ Security Configuration And Analysis trong cây bảng điều khiển.

2. Trên thực đơn Action, chọn Analyze Computer Now. 3. Đồng ý với đường dẫn mặc định để lưu trữ các lỗi gặp phải khi phân

tích. 4. Trong cây bảng điều khiển, mở Security Configuration And

Analysis\Local Policies, và sau đó chọn Audit Policy. 5. Trong cửa sổ bên phải, tìm Audit Logon Event.

Ghi lại các thiết lập vào bảng dưới đây Database Setting Computer Setting

6. Giữ nguyên các cửa sổ bảng điều khiển đang mở Câu hỏi Tại sao lại có đánh dấu màu xanh trên chính sách Audit Logon Event?

Áp dụng lại các thiết lập của mẫu Setup Security Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép áp dụng lại mẫu Setup Security để máy tính của tất cả học viên quay lại trạng thái cũ, sau khi bạn áp dụng các mẫu bảo mật mới.


2. Trên thực đơn Action, chọn Open Database để mở cửa sổ Open Database.

3. Trong phần File Name, nhập setup security, sau đó nhấn Open.


108


4. Trong cửa sổ Import Template, nhấn Setup Security.inf, sau đó nhấn Open.

5. Trên thực đơn Action, chọn Configure Computer Now. 6. Đồng ý với đường dẫn mặc định để lưu trữ các lỗi gặp phải khi áp

dụng trong cửa sổ Configure System, sau đó nhấn OK. 7. Đóng bảng điều khiển Security

BÀI TẬP 5-3: GÁN QUYỀN CHO NGƯỜI SỬ DỤNG

Thời gian hoàn thành dự kiến: 5 phút Trong bài tập này, bạn sẽ học cách cấu hình và gán quyền cho người sử dụng (user right) trên máy tính sử dụng Windows Server 2003.

Gán quyền đăng nhập cục bộ (Logon Locally) Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn cấu hình quyền của người sử dụng để một tài khoản mới của học viên có thể đăng nhập cục bộ vào máy tính của học viên.


2. Nhấn Start, nhấn Administrative Tools, sau đó nhấn Active Directory Users And Computers.

3. Trong cây bảng điều khiển Active Directory Users And Computers, chọn OU Students.

4. Trong cây bảng điều khiển Active Directory Users And Computers, nhấn chuột phải vào OU Students, nhấn New, nhấn User để mở cửa sổ New Object - User.

5. Trong cửa sổ New Object - User, trong phần First Name, nhập studentlogon.

6. Trong cửa sổ New Object - User, phần User Logon Name, nhập studentlogon, sau đó nhấn Next.

7. Trong phần Password và Confirm Pasword, nhập studentlogon, xóa lựa chọn User Must Change Password At Next Logon, nhấn User Cannot Change Password, sau đó nhấn Next.


109


8. Trong cửa sổ New Object - User, nhấn Finish để kết thúc quá trình tạo ra tài khoản mới.

9. Đóng bảng điều khiển Active Directory Users And Computers. 10. Nhấn Start, nhấn Administrative Tools, sau đó nhấn Domain

Controller Security Policy. 11. Mở Local Policies, bên dưới Security Setting. 12. Chọn User Rights Assignment, và trong cửa sổ bên phải nhấn đúp

vào Allow Logon Locally. 13. Trên trang Allow Logon Locally, nhấn Add User Or Group. 14. Trong cửa sổ Add User Or Group, nhấn Browse. 15. Nhấn nút Advanced trong cửa sổ Select Users, Computers, Or

Groups. 16. Nhấn Find Now. 17. Chọn tài khoản studentlogon trong phần kết quả sau khi tìm kiếm,

sau đó nhấn OK. 18. Nhấn OK trong cửa sổ Select Users, Computers, Or Groups. 19. Nhấn OK trong hộp thoại Add User Or Group. 20. Nhấn OK để đóng cửa sổ Allow Logon Locally Properties. 21. Đóng bảng điều khiển Domain Controller Security Policy.

BÀI TẬP 5-4: SỬ DỤNG HỆ THỐNG FILE MÃ HÓA

Thời gian hoàn thành dự kiến: 50 phút Trong bài thực hành này, bạn sẽ mã hóa và giải mã thư mục bằng Windows Explorer và sử dụng tiện ích dòng lệnh Cipher. Bạn cũng sẽ học cách thực hiện EFS trong một số tình huống khác nhau, và bạn cũng sẽ học cách gán các tác nhân phục hồi trong Miền.

Mã hóa và giải mã File và thư mục Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn thực hiện mã hóa và giải mã File và thư mục bằng Windows Explorer.


110


1. Khởi động máy tính sử dụng Windows Server 2003, và đăng nhập bằng tài khoản [email protected] (ở đây studentxx là tên đăng nhập của Học viên và domain là tên miền của bạn).

2. Nhấn chuột phải vào màn hình, nhấn New và chọn Folder. 3. Nhập Encrypted Folder trong phần tên của thư mục vừa tạo ra. 4. Nhấn đúp vào Encrypted Folder, bạn vừa tạo ra trên màn hình. 5. Trong cửa sổ Encrypted Folder, nhấn File, nhấn New, và sau đó

nhấn Text Document. 6. Nhập encrypted File trong phần tên của File mới, sau đó nhấn

ENTER. 7. Nhấn chuột phải vào Encrypted File, sau đó chọn Properties. 8. Trong thẻ General, nhấn Advanced để mở cửa sổ Advanced

Atrributes. 9. Trong cửa sổ Advanced Atrributes, nhấn Encrypt Content To

Secure Data, sau đó nhấn OK. 10. Nhấn OK để đóng cửa sổ Encrypted File Properties. 11. Trong cửa sổ Encryption Warning, chọn Encrypt The File Only,

sau đó nhấn OK. 12. Lưu ý tên File đã chuyển sang màu xanh lá cây, để biểu thị File đã

được mã hóa. Câu hỏi Bạn phải làm thế nào để có thể thay đổi màu biểu thị của các File để chứng tỏ rằng chúng đã được mã hóa?

13. Đóng cửa sổ Encrypted Folder.

Sử dụng Cipher để mã hóa và giải mã thư mục Lưu ý Hoàn thành bài tập này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn mã hóa và giải mã File và thư mục bằng tiện ích Cipher.


2. Nhấn đúp vào thư mục Encrypted Folder đã được tạo ra trên màn hình.


111


3. Trong cửa sổ Encrypted Folder, nhấn File, nhấn New và sau đó nhấn Text Document.

4. Nhập ciphertext-unencrypted là tên của File, giữ nguyên thư mục đang mở này.

5. Nhấn Start, sau đó nhấn Run để mở hộp thoại Run. 6. Trong phần Open, nhập cmd sau đó nhấn OK để mở cửa sổ dấu

nhắc lệnh 7. Tại dấu nhắc lệnh, nhập cd desktop để chuyển đường dẫn của dấu

nhắc lệnh. 8. Tại dấu nhắc lệnh, nhập cd Encrypted Folder để thay đổi đường dẫn

của dấu nhắc lệnh. 9. Tại dấu nhắc lệnh, nhập cipher.

Ghi lại kết quả và bảng dưới đây Attribute File Name

Câu hỏi Thuộc tính nào cho bạn biết về tình trạng mã hóa của các File?

10. Trong cửa sổ Encrypted Folder, nhấn File, nhấn New, nhấn Folder sau đó nhập encrypted-subfolder.

11. Tại dấu nhắc lệnh, nhập cipher /e /s:encrypted-subfolder. 12. Tại dấu nhắc lệnh, nhập cipher.


13. Tại dấu nhắc lệnh, nhập cipher /e /s:encrypted-subfolder. 14. Tại dấu nhắc lệnh, nhập cipher.


15. Đóng tất cả các cửa sổ đang mở.

Nâng cấp chức năng miền


112


Lưu ý Hoàn thành công việc này trên tất cả các máy tính học viên với các số thứ tự đầu tiên. Nó sẽ giúp bạn nâng cấp chức năng miền cho Miền của bạn.


2. Nhấn Start, chọn Control Panel, sau đó nhấn đúp Administrative Tools.

3. Nhấn chuột phải vào Active Directory Users And Computers, sau đó chọn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn The Following User, sau đó nhập các thông số sau trong các trường của hộp thoại để mở bảng điều khiển Active Directory Users And Computers:

a. Trong phần User Name, nhập [email protected] (ở đây domain là tên Miền của bạn).

b. Trong phần Password, nhập MSPress@LS#1. 5. Nhấn OK để mở bảng điều khiển Active Directory Users And

Computers. 6. Trong cây bảng điều khiển, chọn và nháy chuột phải vào

Domain.Contoso.Com (ở đây Domain là tên Miền của bạn), sau đó nhấn Raise Domain Function Level để mở cửa sổ Raise Domain Function Level.

7. Chọn Windows Server 2003 từ lựa chọn Select An Available Domain Function Level.

8. Nhấn nút Raise để nâng cấp chức năng của miền. 9. Nhấn OK trong hộp thoại Raise Domain Function Level

Warning. 10. Nhấn OK trong cửa sổ Raise Domain Function Level.

Cho phép mã hóa từ xa (Remote Encryption) Lưu ý Hoàn thành công việc này trên tất cả các máy tính học viên với các số thự tự đầu tiên. Nó sẽ cho phép bạn mã hóa và giải mã các File và thư mục bằng cách mã hóa từ xa.


113



2. Nhấn Start, chọn Control Panel, sau đó nhấn đúp Administrative Tools.

3. Nhấn chuột phải vào Active Directory Users And Computers, sau đó chọn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, chọn The Following User, sau đó nhập các thông số sau trong các trường của hộp thoại để mở bảng điều khiển Active Directory Users And Computers:

a. Trong phần User Name, nhập [email protected] (ở đây domain là tên Miền của bạn)

b. Trong phần Password, nhập MSPress@LS#1. 5. Nhấn OK để mở bảng điều khiển Active Directory Users And

Computers. 6. Trong cây bảng điều khiển, mở Domain.contoso.com (ở đây

Domain là tên Miền của bạn) 7. Chọn Domain Controller trong cây bảng điều khiển. 8. Trong khung cửa sổ bên phải, nhấn chuột phải vào Computerxx (ở

đây Computerxx là tên máy tính của học viên), sau đó nhấn Properties để mở cửa sổ Computerxx Properties.

9. Trong thẻ Delegation, xác nhận thuộc tính Trust This Computer For Delegation To Any Service (Kerberos Only) đã được chọn.

10. Nhấn OK để đóng cửa sổ Computer Properties. Lưu ý Hoàn thành công việc dưới đây trên tất cả các máy tính của học viên với các số hiệu nhỏ hơn.


2. Nhấn chuột phải vào màn hình, nhấn New, sau đó chọn Folder. 3. Nhập remote encryption trong phần tên của thư mục. 4. Nhấn chuột phải vào thư mục Remote Encryption, sau đó chọn

Properties.


114


5. Nhấn thẻ Sharing, sau đó chọn Share This Folder. 6. Nhập remote encryption trong phần Share Name. 7. Nhấn nút Permission để mở cửa sổ Permission For Remote

Encrryption. 8. Chọn hộp lựa chọn (check box) Allow On Full Control tương ứng

với Permission For Everyone. 9. Nhấn OK để chấp nhận thay đổi các cấp phép. 10. Nhấn thẻ Security. 11. Nhấn Add ở dưới Group Or User Names, sau đó nhấn Advanced. 12. Nhấn Find Now trong cửa sổ Select Users, Computers, Or Groups. 13. Chọn nhóm EveryOne trong danh sách, sau đó nhấn OK. 14. Nhấn OK lần nữa để đóng cửa sổ Select Users, Computers, Or

Groups. 15. Trong cửa sổ Remote Encryption Properties, chọn Everyone, chọn

Full Control trong phần Permission For Everyone, sau đó nhấn OK để đóng trang này lại.

Lưu ý Hoàn thành công việc này trên các máy tính của học viên có số hiệu lớn hơn.


2. Nhấn Start, sau đó chọn Run để mở cửa sổ Run. 3. Trong phần Open, nhập \\10.1.1.xx\remote encryption (ở đây

10.1.1.xx là địa chỉ IP của máy tính của học viên với các số thứ tự đầu tiên).

4. Trong cửa sổ Remote Folder trên computerxx, nhấn File, nhấn New, sau đó nhấn Text Document.

5. Nhập remote encrypted.txt trong phần tên của File. 6. Nhấn chuột phải vào File Remotely Encrypted, sau đó chọn

Properties. 7. Trong thẻ General, nhấn nút Advanced để mở cửa sổ Advanced

Attribute.


115


8. Trong cửa sổ Advanced Attribute, nhấn lựa chọn Encrypt Content To Secure Data, sau đó nhấn OK.

9. Nhấn OK để đóng cửa sổ Remotely Encrypted.txt Properties. 10. Lưu ý rằng màu của File Remotely Encrypted đã chuyển từ màu

đen sang màu xanh lá cây, chứng tỏ rằng nó đã được mã hóa. 11. Đóng cửa sổ Remote Folder.

Cấu hình tác nhân phục hồi dữ liệu cho một OU Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn gán tác nhân phục hồi dữ liệu cho OU Students.


2. Nhấn Start, nhấn Administrative Tools, sau đó nhấn Active Directory Users And Computers.

3. Trong cây bảng điều khiển, chọn Domain.Contoso.Com (ở đây Domain là tên Miền của bạn).

4. Trong khung bên phải, nhấn chuột phải vào Students, sau đó chọn Properties để mở cửa sổ Students Properties.

5. Nhấn thẻ Group Policy để mở trang Current Group Policy Links For Students.

6. Nhấn New, nhập data recovery agent, sau đó nhấn ENTER. 7. Nhấn Edit để mở cửa sổ Group Policy Object Editor. 8. Trong cửa sổ Group Policy Object Editor, mở Computer

Configuration \Windows Settings\Security Settings\ Public Key Policies, sau đó chọn Encrypting File System. Câu hỏi Đang có bao nhiêu chính sách EFS trong khung cửa sổ bên phải?

9. Giữ nguyên bảng điều khiển Active Directory Users And Computers.

10. Nhấn Start, nhấn Run để mở hộp thoại Run. 11. Trong phần Open, nhập mmc, sau đó nhấn OK để mở cửa sổ

Console1.


116


12. Trên thực đơn File, chọn Add/Remove Snap-In để mở hộp thoại Add/Remove Snap-In.

13. Nhấn Add. 14. Trong danh sách các snap-in có sẵn, chọn Certificates, sau đó nhấn

Add. 15. Trong cửa sổ snap-in Certificates, chọn My User Account, sau đó

nhấn Finish. 16. Nhấn Close để đóng cửa sổ Add Standalone Snap-In, sau đó nhấn

OK. 17. Trên thực đơn File, chọn Save As. 18. Trong cửa sổ Save As, nhấn chọn biểu tượng desktop, sau đó trong

phần tên File nhập certificates, sau đó nhấn Save. 19. Giữ nguyên các bảng điều khiển đang mở.

Xuất Certificate (Giấy chứng nhận) của tác nhân phục hồi dữ liệu Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn gán tác nhân phục hồi dữ liệu cho OU Students.

1. Trong bảng điều khiển Certificate, mở Certificates-Current User\ Personal, sau đó chọn Certificates.

2. Trong khung bên phải, tìm Administrator trong cột Issued To, sau đó tìm File Recovery trong cột Intended Purposes.

3. Nhấn chuột phải vào Certificate này, nhấn All Tasks, sau đó nhấn Export để mở trang Certificate Export Wizard.

4. Trên trang Certificate Export Wizard, nhấn Next. 5. Xác nhận lại lựa chọn No, Do Not Export The Private Key đã

được chọn, sau đó nhấn Next. 6. Xác nhận lại lựa chọn DER Encoded Binary X.509 (.CER) đã

được chọn, sau đó nhấn Next. 7. Nhấn nút Browse để mở cửa sổ Save As. 8. Nhấn biểu tượng desktop trong cửa sổ Save As, sau đó trong phần

File Name nhập data recovery certificate, sau đó nhấn Save. 9. Trên trang File To Export, nhấn Next.


117


10. Nhấn Finish trên trang Completing The Certificate Export Wizard.

11. Trong hộp thoại biểu thị quá trình Export thành công, nhấn OK.

Gán tác nhân phục hồi dữ liệu cho OU Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn gán tác nhân phục hồi dữ liệu cho OU Students.

1. Trong cửa sổ Group Policy Object Editor của OU Students, mở Computer Configuration\ Windows Settings\ Security Settings\ Public Key Policies, sau đó chọn Encrypting File System.

2. Nhấn chuột phải vào Encrypting File System, sau đó chọn Add Data Recovery Agent để mở trang Add Recovery Agent Wizard.

3. Trên trang Welcome To The Add Recovery Agent Wizard, nhấn Next để mở trang Select Recovery Agents.

4. Trên trang Select Recovery Agents, nhấn nút Browse Folders. 5. Nhấn biểu tượng Desktop ở bên trái, nhấn File Data Recovery

Certificate.cer, sau đó nhấn Open. 6. Trong cửa sổ Add Recovery Agent, nhấn Yes để cài đặt certificate. 7. Trên trang Select Recovery Agents, nhấn Next. 8. Trên trang Completing The Add Recovery Agent Wizard, nhấn

Finish. 9. Đóng tất cả các cửa sổ đã mở.

BÀI TẬP 5-5: CÀI ĐẶT VÀ CẤU HÌNH MICROSOFT BASELINE SECURITY ANALYZER (MBSA)

Thời gian hoàn thành dự kiến: 10 phút Lưu ý Để hoàn thành bài thực hành này, bạn phải download MBSA từ thư mục chia sẻ của người hướng dẫn. (Bạn có thể vào trang web http://www.microsoft .com/downloads để tìm kiếm thêm thông tin về công cụ này).


118


Trong bài thực hành này, bạn sẽ học cách cài đặt và cấu hình MBSA và Mbsacli. Bạn cũng sẽ sử dụng cả hai giao diện này để quét các lỗ hổng bảo mật trên máy tính của bạn.

Cài đặt MBSA Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn cài đặt MBSA trên các máy tính của học viên của bạn.


2. Nhấn đúp vào File Mbsasetup.msi để mở Microsoft Baseline Security Analyzer Setup Wizard.

3. Trên trang Welcome, nhấn Next. 4. Trên trang License Agreement, đọc kỹ về phần bản quyền, sau đó

nhấn Accept The License Agreement nếu bạn đồng ý với các điều khoản. (Nếu bạn không đồng ý với các diều khoản, bạn sẽ không thể tiếp tục cài đặt). Nhấn Next để tiếp tục cài đặt.

5. Nhấn Next để chấp nhận các thiết lập mặc định. 6. Trên trang Destination Folder, nhấn Next để chấp nhận thư mục

cài đặt mặc định. 7. Trên trang Choose Install Options, xóa các hộp chọn Place

Shortcut On The Desktop, Show Readme File After Installation, và Launch Application After Installation, sau đó nhấn Next.

8. Trên trang Select Features, nhấn Next để chấp nhận các thiết lập mặc định.

9. Trên trang Ready To Install The Application, nhấn Next để bắt đầu qua trình cài đặt. Khi quá trình cài đặt kết thúc, trang Microsoft Baseline Security Analyzer Has Been Successfully Installed xuất hiện.

10. Nhấn Finish để đóng wizard.

Quét máy tính với MBSA Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn quét máy tính của bạn với MBSA để phát hiện ra các lỗ hổng bảo mật.


119



2. Nhấn Start, chỉ vào All Programs, sau đó nhấn Microsoft Baseline Security Analyzer để mở cửa sổ Microsoft Baseline Security Analyzer.

3. Trong khung bên trái, nhấn liên kết Pick A Computer To Scan để mở trang Pick A Computer To Scan trong khung bên phải. Theo mặc định MBSA được cấu hình để quét máy tính cục bộ.

4. Nhấn liên kết Start Scan ở cuối trang để cho phép MBSA bắt đầu quét máy tính; khi kết thúc, nó sẽ hiển thị kết quả trong trang View Security Report.

5. Đóng cửa sổ MBSA. Câu hỏi Liệt kê một số lỗ hổng bảo mật tiềm ẩn của máy tính của bạn được đưa ra bởi MBSA.

Sử dụng Mbsacli.exe Lưu ý Hoàn thành công việc này trên tất cả các máy tính của học viên. Nó sẽ cho phép bạn sử dụng tiện ích Mbsacli để quét máy tính của bạn nhằm phát hiện các lỗ hổng bảo mật. Để nhận được tất cả các phản hồi, máy tính của học viên phải truy cập được vào Internet.

1. Khởi động máy tính sử dụng Windows Server 2003, và đăng nhập bằng tài khoản [email protected] (ở đây studentxx là tên đăng nhập của Học viên và domain là tên miền của bạn)

2. Nhấn Start, sau đó nhấn Run để mở cửa sổ Run. 3. Trong phần Open, nhập cmd, sau đó nhấn OK. 4. Trong cửa sổ dấu nhắc lệnh, tại dấu nhắc lệnh, nhập cd\, sau đó

nhấn ENTER. 5. Tại dấu nhắc C:, nhập cd c:\program files\microsoft baseline

security analyzer. 6. Tại dấu nhắc C:\Program Files\Microsoft Baseline Security

Analyzer, nhập mbsacli /? . Câu hỏi tiện ích Mbsacli.exe được mô tả như thế nào?

7. Tại dấu nhắc C:\Program Files\Microsoft Baseline Security Analyzer, nhập mbsacli, sau đó nhấn ENTER.


120


Ghi kết quả sau khi thực hiện lệnh trên vào dưới đây: ___________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________________


CÂU HỎI ÔN TẬP 1. Bạn có thể cho phép thực hiện kiểm soát các sự kiện bảo mật ở

đâu? 2. Làm thế nào để các văn bản của người sử dụng lưu trữ trên máy

chủ trên mạng có thể mã hóa được? 3. Bạn hãy chỉ ra một số phương thức để mã hóa File trên máy cục

bộ hoặc trên mạng hoặc cả hai? 4. Đưa ra tên của ba lựa chọn thêm (switch) khi bạn sử dụng tiện ích

Mbsacli? 5. Điều gì xảy ra khi bạn chạy tiện ích Mbsacli mà không có tham

biến nào?

THỰC HÀNH NÂNG CAO 5-1: LẬP KẾ HOẠCH BẢO MẬT CHO WINGTIP TOYS

Thời gian hoàn thành dự kiến: 30 phút Bạn là quản trị mạng cho Wingtip Toys, và bạn được yêu cầu nâng cấp bảo mật cho domain của bạn. Cụ thể, bạn phải mã hóa thư mục Profits, được đặt trong ổ C: của bạn, (bạn cần tạo ra thư mục Profits). Chỉ định các máy tính thành viên cần thiết là tác nhân phục hồi. Ngoài ra bạn phải so sánh các thiết lập bảo mật hiện thời với mẫu bảo mật Hisecdc được định nghĩa từ trước; bạn sẽ thực hiện việc này từ dòng lệnh. Khi bạn hoàn thành việc so sánh, áp dụng mẫu bảo mật định nghĩa trước có cấp độ bảo mật trung bình, từ đó cho phép bạn vẫn có thể trao đổi thông tin với các máy trạm dùng hệ điều hành trước Windows 2000.


121

SỬ DỤNG IPSEC ĐỂ BẢO MẬT LƯU THÔNG MẠNG

THỰC HÀNH 6: SỬ DỤNG IPSEC ĐỂ BẢO MẬT LƯU THÔNG MẠNG Bài thực hành này bao gồm các bài tập và hoạt động sau: • Bài tập 6-1: Sử dụng IPSec để khóa các lưu thông TCP/IP • Bài tập 6-2: Sử dụng IPSec để mã hóa các lưu thông FTP • Bài tập 6-3: Quản lý các chính sách IPSec • Bài tập 6-4: Theo dõi và khác phục sự cố IPSec • Bài tập 6-5: Dỡ bỏ các chính sách IPSec • Các cấu hỏi ôn tập • Thực hành nâng cao 6-1: Sử dụng IPSec để bảo vệ dữ liệu HTTP

KỊCH BẢN Bạn là quản trị mạng cho Công ty thương mại ABC Ltd. Bạn đã cài đặt và triển khai hai máy chủ Web sử dụng IIS 6 dành cho các nhân viên của công ty sử dụng. Các máy chủ Web nội bộ này sẽ phục vụ Site FTP của riêng công ty và chỉ được một số người dùng nhất định trong công ty sử dụng với mục đích để lưu trữ và phục hồi các dữ liệu bảo mật và riêng tư của công ty. Bạn cần chắc chắn rằng chỉ có các lưu thông FTP trên mạng và các lưu thông này cần được mã hóa trong quá trình truyền thông tin trên mạng. Sau khi hoàn thành bài thực hành này, bạn có khả năng:

Sử dụng IPSec để Quản lý và Bảo mật các lưu thông mạng. Theo dõi và Khắc phục sự cố các lưu thông và kết nối IPSec

Thời gian dự kiến: 130 phút

BÀI TẬP 6-1: SỬ DỤNG IPSEC ĐỂ KHÓA CÁC LƯU THÔNG TCP/IP Thời gian dự kiến: 30 phút Bạn lo ngại rằng các nhân viên của công ty sẽ truy nhập các máy chủ FTP với các phương thức không an toàn. Bạn muốn đảm bảo rằng họ sẽ không sử dụng Web Distributed Authoring and Versioning (WebDAV) đựa trên HTTP hay sử dụng HTTP để truy nhập máy chủ Web bằng các liên lạc


122


không bảo mật. Trong bài tập này, bạn cần cấu hình các chính sách IPSec để khóa toàn bộ các lưu thông HTTP tới máy chủ FTP đặt tại phòng Research

Cài đặt các dịch vụ WWW và FTP QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó sẽ cho phép bạn cài đặt dịch vụ FTP trên máy chủ của bạn chạy Microsoft Windows Server 2003. Bài tập sẽ xác nhận rằng bạn có thể liên lạc với máy tính của đối tác bằng các giao thức HTTP và FTP

1. Khởi động máy tính chạy Windows Server 2003 của bạn và đăng nhập vào Miền Domain với User Name là StudentXX, và Domain là tên miền của bạn.

2. Nhấn Start, và chọn Control Panel. 3. Trong khi giữ phím SHIFT, nhấn chuột phải vào Add Or Remove

Programs, sau đó nhấn Run As để mở hộp thoại Run As. 4. Trong hộp thoại Run As, chọn tùy chọn The Following User, và nhập

các thông số đăng nhập sau trong các trường của hộp thoại để mở cửa sổ Add Or Remove Programs: a. Trong hộp User Name, nhập administrator@domain (trong đó domain là tên miền của bạn). b. Trong hộp Password, nhập MSPress@LS#l.

5. Trong cửa sổ Add Or Remove Programs, nhấn Add/Remove Windows Components.

6. Trong Windows Components Wizard, bên dưới Components, chọn tùy chọn Application Server, và nhấn nút Details.

7. Trong cửa sổ Application Server, chọn Internet Information Services (US), và nhấn nút Details.

8. Trong cửa sổ Internet Information Services (US), đánh dấu vào hộp kiểm tra File Transfer Protocol (FTP) Service và World Wide Web Service, và nhấn OK.

9. Trong cửa sổ Application Server window, nhấn OK. 10. Trong Windows Components Wizard, nhấn Next. 11. Nếu được hỏi về vị trí các File cài đặt, cho đĩa cài đặt Windows

Server 2003 vào ổ CD-ROM, và nhấn OK.


123


12. nhấn Finish trong cửa sổ Completing The Windows Components Wizard.


Cấu hình các dịch vụ WWW và FTP QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó sẽ cho phép bạn cấu hình các dịch vụ WWW và FTP trên các máy chủ của bạn chạy Windows Server 2003.

1. Khởi động máy tính của bạn chạy Windows Server 2003, và đăng nhập với tên Administrator@domain (trong đó domain là tên miền của bạn).

2. nhấn Start, trỏ tới All Programs, chọn Accessories, và nhấn Notepad để mở Microsoft Notepad.

3. Trong cửa sổ Untitled - Notepad, nhập đoạn văn bản sau: <htm1> <head> <tit1e>We1come to the World Wide Web</title> </head> <body> This is the default page for the World Wide Web service! ! </body> </htm1>

4. Trong cửa sổ Untitled - Notepad, nhấn File, sau dó nhấn Save As. 5. Trong cửa sổ Save As, nhấn My Computer, và sau đó duyệt đến thư

mục C:\Inetpub\Wwwroot 6. Trong cửa sổ Save As, trong hộp File Name, nhập default.htm, và

nhấn Save để lưu file Default.htm vào thư mục C:\Inetpub\Wwwroot. 7. Trong cửa sổ Default.htm - Notepad, nhập dòng sau đây vào một

dòng mới: “This is a File that is stored in the FTP directory”. 8. Trong cửa sổ Default.htm - Notepad, nhấn File, và sau đó nhấn Save

As. 9. Trong cửa sổ Save As, nhấn My Computer, và sau đó duyệt đến thư

mục C:\Inetpub\Ftproot.


124


10. Trong cửa sổ Save As, trong hộp File Name, nhập ftpfile, và nhấn Save để lưu file Ftpfile.txt vào thư mục C:\Inetpub\Ftproot

11. Đóng cửa sổ Notepad. 12. nhấn Start, trỏ tới All Programs, và nhấn Internet Explorer. 13. Trong thanh địa chỉ của Microsoft Internet Explorer, nhập

http://computerxx và sau đó nhấn ENTER (trong đó Computerxx là tên máy tính của đối tác – nếu bạn được hỏi về các thông tin đăng nhập, hãy sử dụng tài khoản Administrator trên máy tính đối tác và mật khẩu tương ứng)

CÂU HỎI Trang nào xuất hiện trong cửa sổ Internet Explorer? 14. Trong thanh địa chỉ của Microsoft Internet Explorer, nhập

ftp://computerxx' và nhấn ENTER CÂU HỎI File nào xuất hiện trong cửa sổ Internet Explorer?


Tạo bảng điều khiển MMC IPSec QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó cho phép bạn tạo ra MMC có chứa snap-ins IPSec. Bạn sẽ sử dụng nó để tạo và gán các chính sách IPSec cho các máy chủ chạy Windows Server 2003.

1. Khởi động máy tính chạy Windows Server 2003 của bạn, và đăng nhập với tên Administrator@Domain (trong đó domain là tên miền của bạn).

16. nhấn Start, nhấn Run, trong hộp Open, nhập mmc, và nhấn ENTER để mở MMC.

17. Để thêm snap-in vào bảng điều khiển, nhấn the thực đơn File, và nhấn Add/Remove Snap-In.

18. Trong cửa sổ Add/Remove Snap-In, nhấn nút Add. 19. Trong cửa sổ Add Standalone Snap-In, nhấn IP Security Policy

Management, và nhấn Add. 20. Trong cửa sổ Select Computer Or Domain, nhấn Local Computer, và

nhấn Finish. 21. Trong cửa sổ Add Standalone Snap-In, nhấn Close. 22. Trong cửa sổ Add/Remove Snap-In, nhấn OK.


125

http://computerxx/


23. trên thanh thực đơn, nhấn File, nhấn Save As, và nhấn Desktop. 24. Trong hộp File Name, nhập ipsec, và nhấn Save. 25. Đóng tất cả các cửa sổ đang mở.

Xem các thông số thống kê IPSec QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên.Nó cho phép bạn xem các thông số thống kê IPSec trên máy chủ của bạn chạy Windows Server 2003.

1. Khởi động máy tính của bạn chạy Windows Server 2003, và đăng nhập với tên Administrator@Domain (trong đó domain là tên miền của bạn).

2. Nhấn Start, nhấn Run, trong hộp Open, nhập cmd, nà nhấn ENTER. 3. Tại dấu nhắc lệnh, nhập netsh ipsec dynamic show all, và nhấn

ENTER. CÂU HỎI Có chính sách IPSec nào được gán cho máy tính này?


Tạo và Gán Chính sách Khóa (Block) IPSec QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Có thể sử dụng các chính sách IPSec để khóa các lưu thông dựa trên giao thức IP nhất định. Các chính sách này tương tự như chức năng tạo bộ lọc gói tin. Nó cho phép bạn tạo và gán chính sách IPSec mà khóa các lưu thông HTTP đến máy chủ chạy Windows Server 2003.


2. Trên màn hình nền của máy tính, nhấn đúp chuột vào Ipsec.msc để mở bảng điều khiển IPSec.

3. Trên cây bảng điều khiển IPSec, chọn IP Security Policies On Local Computer, nhấn thực đơn Action, và nhấn Create IP Security Policy để khởi động IP Security Policy Wizard.

4. Trên trang Welcome, nhấn Next. 5. Trên trang IP Security Policy Name, trong hộp Name, nhập block

http traffic, và nhấn Next.


126


6. Trên trang Requests For Secure Communication, xóa tùy chọn Activate The Default Response Rule, và nhấn Next.

CÂU HỎI Việc vô hiệu hóa Luật Đáp Mặc định nhằm mục đích gì? 7. Trên trang Completing The IP Security Policy Wizard, nhấn Finish.

Trang Block HTTP Traffic Properties xuất hiện. 8. Trong thẻ Rules của trang Block HTTP Traffic Properties, xóa tùy

chọn Use Add Wizard, và nhấn nút Add. 9. Trong thẻ IP Filter List của trang New Rule Properties, nhấn nút

Add.

Trang IP Filter List xuất hiện. 10. Trên trang IP Filter List page, trong hộp Name, nhập blocking http,

xóa tùy chọn Use Add Wizard, và nhấn nút Add để thêm bộ lọc. 11. Trong trang IP Filter Properties, trên danh sách xổ Source Address

chọn Any IP Address. 12. Trong trang IP Filter Properties, tại danh sách xổ Destination

Address, chọn My IP Address, và nhấn thẻ Protocol. 13. Trong thẻ Protocol của trang IP Filter Properties, Trong danh sách

xổ Select A Protocol Type, chọn TCP. 14. Trong thẻ Protocol của trang IP Filter Properties, trong phần Set The

IP Protocol Port, nhấn tùy chọn To This Port, nhập 80, và nhấn OK. CÂU HỎI tại sao việc chọn cổng 80 là đúng?

15. Trên trang IP Filter List, nhấn OK để xác nhận các thông số đã chọn. 16. Trong thẻ IP Filter List của trang New Rule Properties, chọn tùy

chọn Blocking HTTP từ danh sách, và nhấn thẻ Filter Action. CÂU HỎI hành động bộ lọc thực hiện việc gì?

17. Trên trang New Rule Properties, xóa tùy chọn Use Add Wizard, và nhấn nút Add để thêm hành động bộ lọc.

18. Trong thẻ Security Methods của trang Filter Actions Propertie, chọn tùy chọn Block.

19. Trong thẻ General của trang New Rule Filter Actions Properties, nhập block cho tên của bộ lọc, và nhấn OK.

20. Trên trang New Rule Properties, chọn thẻ IP Filter List, và nhấn Blocking HTTP từ phần IP Filter Lists.


127


21. Trong thẻ Filter Action của trang New Rule Properties, chọn tùy chọn Block từ danh sách Filter Actions, nhấn Apply, và nhấn OK.

22. Trên trang Block HTTP Traffic Properties, Kiểm tra xem tùy chọn Blocking HTTP đã được lựa chọn, và nhấn OK để kết thúc việc tạo chính sách IPSec.

23. Trong khung chi tiết của bảng điều khiển IPSec, tại cột Name, nhấn chuột phải vào chính sách Block HTTP Traffic IPSec, và nhấn Assign.

24. Đóng bảng điều khiển và không lưu các thay đổi khi được nhắc.

Xác nhận việc gán Chính sách IPSec QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó cho phép bạn xem các thông số thống kê IPSec trên máy chủ của bạn chạy Windows Server 2003.


2. Nhấn Start, nhấn Run, và trong hộp Open, nhập cmd, và nhấn ENTER.

3. Tại dấu nhắc lệnh, nhập netsh ipsec dynamic show all, và nhấn ENTER.

CÂU HỎI Có chính sách IPSec nào được gán cho máy tính này? (hướng dẫn: Quan sát cửa sổ dấu nhắc lệnh)


Thử nghiệm Chính sách Khóa IPSec QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó sẽ cho phép bạn thử các liên lạc HTTP và FTP giữa máy tính của bạn và máy chủ của đối tác.


2. Nhấn Start, trỏ tới All Programs, và nhấn Internet Explorer. 3. Trong thanh địa chỉ của Internet Explorer, nhập http://computerxx

(trong đó Computerxx là tên máy tính của đối tác), và nhấn ENTER.


128

http://computerxx/


CÂU HỎI Trang nào xuất hiện tại cửa sổ Internet Explorer? 4. Trong thanh địa chỉ của Internet Explorer, nhập ftp://computerxx

(trong đó Computerxx là tên máy tính của đối tác), và nhấn ENTER. CÂU HỎI Trang nào xuất hiện tại cửa sổ Internet Explorer?

5. Nhấn đúp chuột lên Ipsec.msc trên màn hình nền máy tính của bạn, chọn IP Security Policies On Local Computer trong khung phạm vi và chọn chính sách Block HTTP Traffic IPSec.

6. Trong khung Chi tiết, nhấn chuột phải vào chính sách IPSec, và chọn Unassign từ thực đơn ngữ cảnh.


BÀI TẬP 6-2: SỬ DỤNG IPSEC ĐỂ MÃ HÓA CÁC LƯU THÔNG FTP Thời gian dự kiến: 30 phút Bạn cần kích hoạt việc bảo mật các truy nhập FTP dành cho một nhóm các người dùng trên mạng của công ty. Các người dùng mạng này sẽ chuyển các dữ liệu lên các máy chủ FTP của phòng Phát triển Sản phẩm. bạn lo ngại về việc thiếu tính bảo mật không chỉ trên các thông số đăng nhập mà còn với các dữ liệu được vận chuyển trên mạng. Trong Bài tập này, bạn phải xác nhận rằng cả dữ liệu vận chuyển trên mạng và các thông số đăng nhập đến máy chủ FTP là được bảo mật.

Cấu hình dịch vụ FTP QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. This will allow you to configure the FTP service on your server computer that runs Windows Server 2005.

1. Khởi động máy tính chạy Windows Server 2003 của bạn và đăng nhập vào Miền Domain với User Name là StudentXX, và Domain là tên miền của bạn.

2. Nhấn Start, và chọn Control Panel. 3. Trong khi giữ phím SHIFT, nhấn chuột phải vào Add Or Remove

Programs, sau đó nhấn Run As để mở hộp thoại Run As. 4. Trong hộp thoại Run As, chọn tùy chọn The Following User, và nhập

các thông số đăng nhập sau trong các trường của hộp thoại để mở cửa sổ Add Or Remove Programs:


129


a. Trong hộp User Name, nhập administrator@domain (trong đó domain là tên miền của bạn). b. Trong hộp Password, nhập MSPress@LS#l.

5. Trong cây bảng điều khiển Internet Information Services (US) Manager mở rộng Computerxx (ở đây Computerxx là tên máy tính của học viên), và mở rộng Site FTP.

6. Chọn Default FTP Site, nhấn thực đơn Action, và nhấn Properties để mở cửa sổ Default FTP Site Properties.

7. Trong cửa sổ Default FTP Site Properties, nhấn thẻ Security Accounts.

8. Trong thẻ Security Accounts, chắc chắn rằng tùy chọn Allow Anonymous Connections đã được xóa, và nhấn OK.

9. Trong hộp thoại cảnh báo US Manager, nhấn Yes để tiếp tục. 10. Trong thẻ Home Directory trong cửa sổ Default FTP Site Properties

dưới phần FTP Site Directory, chọn hộp kiểm tra Write. 11. Nhấn OK để chấp nhận các thay đổi. 12. Đóng tất cả các cửa sổ đang mở.

Cài đặt Network Monitor QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó cho phép bạn có thể cài đặt Network Monitor trên máy chủ chạy Windows Server 2003. Trình Network Monitor này sẽ được sử dụng để thám sát các gói tin mạng mà máy chủ của bạn nhận được.


2. Nhấn Start, chọn Control Panel, và nhấn Add Or Remove Programs. 3. Trong cửa sổ Add Or Remove Programs, nhấn Add/Remove

Windows Components. 4. Trên trang Windows Components, dưới Components, chọn tùy chọn

Management And Monitoring Tools, và nhấn nút Details. 5. Trong cửa sổ Management And Monitoring Tools, chọn hộp kiểm tra

Network Monitor Tools, và nhấn OK. 6. Trên trang Windows Components, nhấn Next.


130


7. Nếu được hỏi về vị trí các File cài đặt, cho đĩa cài đặt Windows Server 2003 vào ổ CD-ROM, và nhấn OK.

8. Trên cửa sổ Completing The Windows Components Wizard, nhấn Finish.


Thu thập các thông tin đăng nhập dạng tường minh QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó cho phép bạn chụp các thông số đăng nhập đang được sử dụng để mở phiên làm việc với dịch vụ FTP.


2. Nhấn Start, chọn Administrative Tools, và nhấn Network Monitor. 3. Nếu được nhắc lựa chọn mạng, chọn giao tiếp mạng ABC Ltd, và

nhấn OK. 4. Trong cửa sổ Microsoft Network Monitor, nhấn Capture từ thanh

thực đơn, và nhấn Start. 5. Nhấn Start, trỏ tới All Programs, và nhấn Internet Explorer. 6. Trong thanh địa chỉ của Microsoft Internet Explorer, nhập

http://computerxx và sau đó nhấn ENTER (trong đó Computerxx là tên máy tính của đối tác).

7. Trong cửa sổ Log On As, nhập các thông số đăng nhập sau: a. Trong hộp User Name, nhập administrator. b. Trong hộp Password, nhập MSPress@LS#l.

8. Trong cửa sổ Log On As, nhấn nút Log On. QUAN TRỌNG Chờ cho đối tác của bạn hoàn thành các bước trên trước khi ngừng thu thập thông tin ( capture).

9. Trong cửa sổ Microsoft Network Monitor, nhấn Capture từ thanh thực đơn, và nhấn Stop And View.

10. Trong cửa sổ Microsoft Network Monitor, trong cửa sổ Capture: 1 (Summary), nhấn Display từ thanh thực đơn, và nhấn Filter.

11. Trong cửa sổ Display Filter, nhấn tùy chọn Protocol = = Any, và nhấn Edit Expression.


131

http://computerxx/


12. Trong thẻ Protocol tại cửa sổ Expression, nhấn nút Disable All. 13. Trong phần Disabled Protocols, chọn FTP, nhấn nút Enable, và nhấn

OK. 14. Trong cửa sổ Display Filter, nhấn OK. 15. Trong cột Description, định vị tài khoản người dùng đã sử dụng để

đăng nhập vào máy chủ FTP (Hướng dẫn: Tìm kiểm administrator và Password trong cột mô tả.). ghi lại kết quả vào dưới đây: a. User: _________________ b. Password: _______________

CÂU HỎI Tại sao các thông số đăng nhập lại ở dạng tường minh? 16. Đóng cửa sổ Microsoft Network Monitor. 17. Trong hộp thoại Microsoft Network Monitor, khi đươc nhắc lưu các

dữ liệu đac thu thập được, nhấn No.

Thu thập các dữ liệu FTP dạng tường minh QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. This will allow you to Start Network Monitor and capture clear-text FTP data on your server computer that runs Windows Server 2005.


2. Nhấn chuột phải vào khoảng trống trên màn hình nền của bạn, chọn New, và nhấn Text Document.

3. Để nhập tên File, gõ unencryptedfile.txt. 4. Nhấn đúp vào UnencryptedFile.txt để mở nó trong Notepad. 5. Trong File UnencryptedFile.txt, gõ “here is my clear text”. 6. Nhấn File từ thanh thực đơn, nhấn Exit, và khi được nhắc lưu các

thay đổi nhấn, nhấn Yes. 7. Nhấn Start, nhấn Administrative Tools, và nhấn Network Monitor. 8. Nếu được nhắc lựa chọn giao tiếp mạng, chọn giao tiếp mạng ABC

Ltd, và nhấn OK.


132


9. Trong cửa sổ Microsoft Network Monitor, nhấn Capture từ thanh thực đơn, và nhấn Start.

10. Nhấn Start, trỏ tới All Programs, và nhấn Internet Explorer. 11. Trong thanh địa chỉ của Microsoft Internet Explorer, nhập

http://computerxx và sau đó nhấn ENTER (trong đó Computerxx là tên máy tính của đối tác)..

12. Trong cửa sổ Log On As, nhập các thông số đăng nhập sau: c. Trong hộp User Name, nhập administrator. d. Trong hộp Password, nhập MSPress@LS#l.

13. Trong cửa sổ Log On As, nhấn nút Log On. 14. Kéo file UnencryptedFile.txt vào cửa sổ Internet Explorer có địa chỉ

Ftp://Computerxx (trong đó Computerxx là tên máy tính của đối tác)., và nhấn Copy Here.

QUAN TRỌNG Chờ cho đối tác của bạn hoàn thành các bước trên trước khi ngừng thu thập thông tin ( capture)





OK. 20. Trong cửa sổ Display Filter, nhấn OK. 21. Trong màn hình Microsoft Network Monitor, tại cửa sổ Capture: 1

(Summary), Trong cột Description, định vị UnencryptedFile.txt. CÂU HỎI Đó có phải là tên file bạn vừa chuyển đến máy chủ bằng FTP?

Tạo Chính sách IPSec đẻ mã hóa dữ liệu giữa hai máy tính QUAN TRỌNG Hoàn thành tác vụ này trên máy tính học viên có số hiệu nhỏ hơn. Khi cấu hính IF5ec, máy tính này sẽ đóng vai trò một máy chu IPSec. Tác vụ này cho phép bạn bắt đầu quá trình bảo vệ


133

http://computerxx/


các lưu thông FTP bằng IF'Sec. Dnah sách IP Filter List bạn tạo ra sẽ giúp các máy tính bảo vệ chỉ các lưu thông đã chọn, trong trường hợp này là các lưu thông FTP.


2. Trên màn hình nền của máy tính, nhấn đúp chuột lên Ipsec.msc để mở bảng điều khiển IPSec.

3. Trong bảng điều khiển IPSec, nhấn chuột phải lên IP Security Policies On Local Computer, và chọn Create IP Security Policy.

Trình hướng dẫn IP Security Policy Wizard đuợc mở. 4. Trên trang Welcome To The IP Security Policy Wizard, nhấn Next. 5. Trên trang IP Security Policy Name, trong hộp Name, nhập

EncryptFTP, và nhấn Next. 6. Trên trang Request For Secure Communication, xóa tùy chọn

Activate The Default Response Rule, và nhấn Next. 7. Trên trang Completing The IP Security Policy Wizard, nhấn Finish. 8. Trên trang EncryptFTP Properties, trong thẻ Rules, đảm bảo rằng

hộp kiểm tra Use Add Wizard đã được lựa chọn, và nhấn Add để thêm luật mới.

9. Trên trang Welcome To The Create IP Security Rule Wizard, nhấn Next.

10. Trên trang Tunnel Endpoint, xác nhận rằng tùy chọn This Rule Does Not Specify A Tunnel đã được chọn, và nhấn Next.

11. Trên trang Network Type, xác nhận rằng tùy chọn All Network Connections đã được chọn, và nhấn Next.

CÂU HỎI Việc lựa chọn tùy chọn All Network Connections sẽ thực hiện việc gì?

12. Trên trang IP Filter List, nhấn Add để thêm danh sách bộ lọc. 13. Trên trang IP Filter List, nhập ftp (negotiate), Chắc chắn rằng hộp

kiểm tra Use Add Wizard đã được chọn, và nhấn Add để thêm bộ lọc. Trình hướng dẫn IP Filter Wizard được mở.

14. Trên trang Welcome To The IP Filter Wizard, nhấn Next.


134


15. Trên trang IP Filter Description And Mirrored Property, trong hộp Description, nhập ftp encryption filter, và nhấn Next.

16. Trên trang IP Traffic Source, trong danh sách xổ Source Address, chọn Any IP Address, và nhấn Next.

17. Trên trang IP Traffic Destination, trong danh sách xổ Destination Address, chọn My IP Address, và nhấn Next.

18. Trên trang IP Protocol Type, Trong danh sách xổ Select A Protocol Type, nhấn TCP, và nhấn Next.

19. Trên trang IP Protocol Port, chọn tùy chọn To This Port, trong hộp To This Port, nhập 21, nhấn Next, và nhấn Finish.

CÂU HỎI Tại sao cổng 21 được sử dụng? 20. Trong hộp thoại IP Filter List, nhấn OK để trở về trang IP Filter List. 21. Trên trang IP Filter List, chọn tùy chọn FTP (Negotiate), và nhấn

Next. 22. Trên trang Filter Action, chọn tùy chọn Require Security, và nhấn

Next. 23. Trên trang Authentication Method, xác nhận rằng tùy chọn Active

Directory Default (Kerberos V5 Protocol) đã được lựa chọn, và nhấn Next.

24. Trên trang Completing The Security Rule Wizard, xóa tùy chọn Edit Properties, và nhấn Finish.

25. Trên trang EncryptFTP Properties, xóa tùy chọn Use Add Wizard, và nhấn OK để kết thúc quá trình tạo luật mới.

26. Trong khung chi tiết của bảng điều khiển MMC IPSec, Trong cột Name, nhấn chuột phải lên EncryptFTP IPSec Policy, và nhấn Assign.


Xóa trạng thái IKE (Internet Key Exchange): Khởi động lại dịch vụ IPSec Policy Agent

QUAN TRỌNG Hoàn thành tác vụ này trên máy tính học viên có số hiệu nhỏ hơn. Nó cho phép bạn dừng và khởi động lại dịch vụ Policy Agent để chắc chắn rằng bộ lọc IPSec là đã được kích hoạt.


135



2. Nhấn Start, nhấn Run, trong hộp Open, nhập cmd, và nhấn ENTER. 3. Tại dấu nhắc lệnh, nhập net stop policyagent, và nhấn ENTER để

dừng các dịch vụ liên quan đến IPSec. 4. Tại dấu nhắc lệnh, nhập net start policyagent, và nhấn ENTER để

khởi động lại các dịch vụ liên quan đến IPSec. 5. Tại dấu nhắc lệnh, nhập exit, và nhấn ENTER để đóng cửa sổ dấu

nhắc lệnh.

Thu thập các thông tin đăng nhập và dữ liệu đã mã hóa QUAN TRỌNG Hoàn thành tác vụ này trên máy tính học viên có số hiệu nhỏ hơn. Nó sẽ cho phép bạn thu thập các gói tin do giao tiếp mạng trên máy tính học viên nhân được.


2. Nhấn Start, nhấn Administrative Tools, và nhấn Network Monitor. 3. Trong cửa sổ Microsoft Network Monitor, nhấn Capture từ thanh

thực đơn, và nhấn Start. QUAN TRỌNG Hoàn thành các tác vụ sau trên máy tính học viên có số hiệu lớn hơn. Nó sẽ cho phép bạn cấu hình máy tính học viên đóng vai trò như là một máy khách IP'Sec.



3. Trong khung phạm vi của bảng điều khiển IPSec, nhấn đúp chuột lên IP Security Policies On Local Computer, nhấn chuột phải vào chính sách Client (Respond Only) IPSec, và nhấn Assign.

4. Đóng tất cả các cửa sổ đang mở. 5. Nhấn Start, nhấn Run, trong hộp Open, nhập cmd, và nhấn ENTER.


136


6. Tại dấu nhắc lệnh, nhập net stop policyagent, và nhấn ENTER để dừng các dịch vụ liên quan đến IPSec.

7. Tại dấu nhắc lệnh, nhập net start policyagent, và nhấn ENTER để khởi động lại các dịch vụ liên quan đến IPSec.

8. Tại dấu nhắc lệnh, nhập exit, và nhấn ENTER để đóng cửa sổ dấu nhắc lệnh.

26. Nhấn chuột phải vào khoảng trống trên màn hình nền của bạn, chọn New, và nhấn Text Document.

9. Để nhập tên File, gõ Encryptedfile.txt. 10. Nhấn đúp vào EncryptedFile.txt để mở nó trong Notepad. 11. Trong File EncryptedFile.txt, gõ “here is my encrypted data”. 12. Nhấn File từ thanh thực đơn, nhấn Exit, và khi được nhắc lưu các

thay đổi, nhấn Yes. 13. Nhấn Start, nhấn Administrative Tools, và nhấn Network Monitor. 14. Nếu được nhắc lựa chọn giao tiếp mạng, chọn giao tiếp mạng ABC

Ltd, và nhấn OK. 15. Trong cửa sổ Microsoft Network Monitor, nhấn Capture từ thanh

thực đơn, và nhấn Start. 16. Nhấn Start, trỏ tới All Programs, và nhấn Internet Explorer. 17. Trong thanh địa chỉ của Microsoft Internet Explorer, nhập

http://computerxx và sau đó nhấn ENTER (trong đó Computerxx là tên máy tính của đối tác)..

18. Trong cửa sổ Log On As, nhập các thông số đăng nhập sau: a. Trong hộp User Name, nhập administrator. b. Trong hộp Password, nhập MSPress@LS#l.

19. Trong cửa sổ Log On As, nhấn nút Log On. 20. Kéo file EncryptedFile.txt vào cửa sổ Internet Explorer có địa chỉ

Ftp://Computerxx (trong đó Computerxx là tên máy tính của đối tác)., và nhấn Copy Here.

QUAN TRỌNG Hoàn thành tác vụ này trên máy tính học viên có số hiệu nhỏ hơn. Nó sẽ cho phép bạn thu thập các gói tin do giao tiếp mạng trên máy tính học viên nhân được.


137

http://computerxx/






OK. 6. Trong cửa sổ Display Filter, nhấn OK.

CÂU HỎI Có thu được bất cứ gói tin nào sử dụng giao thức FTP không? Tại sao?

7. Trong Microsoft Network Monitor, tại cửa sổ Capture: 1 (Summary), nhấn Display từ thanh thực đơn, và nhấn Filter.

8. Trong cửa sổ Display Filter, chọn tùy chọn Protocol = = FTP, và nhấn Edit Expression.

9. Trong thẻ Protocol tại cửa sổ Expression, nhấn nút Disable All. 10. Trong phần Disabled Protocols, chọn ESP, nhấn nút Enable, và nhấn

OK. 11. Trong cửa sổ Display Filter, nhấn OK. Nhấn đúp chuột một mục vào

để mở một khung cơ số 16. CÂU HỎI Bạn có thể nhận ra dữ liệu trong khung cơ số 16 của dữ liệu trong các gói tin đã thu thập được không?Can you recognize the data in the hex-pane of the data in the packets

12. Đóng tất cả các cửa sổ đang mở. CÂU HỎI IPSec có mã hóa cả các thông số đăng nhập dạng tường minh và dữ liệu được vận chuyển qua mạng không? Does IPSec encrypt both the clear-text credentials and the data that are transmitted across the network?

BÀI TẬP 6-3: MANAGING IPSEC POLICIES Thời gian dự kiến: 10 phút

Bạn bắt buộc phải cấu hình cùng các chính sách IPSec bạn vừa tạo cho máy chủ FTP của bạn cho các máy chủ FTP khác của phòng Bán hàng.


138


Xuất Chính sách IPSec QUAN TRỌNG Hoàn thành tác vụ này trên máy tính học viên có số hiệu nhỏ hơn. Nó cho phép bạn xuất chính sách IPSec bạn đã tạo ra ban đầu sang các máy tính khác.


2. Trên màn hình nền của máy tính, nhấn chuột phải vào vùng trống, chọn New, và nhấn Folder để tạo thư mục mới.

3. Nhập ipsec cho tên của thư mục. 4. Nhấn chuột phải lên thư mục Ipsec trêm màn hình nền của bạn, và

nhấn Sharing And Security từ thực đơn ngữ cảnh. 5. Trong thẻ Sharing của trang Ipsec Properties, nhấn Share This

Folder, và nhấn OK. 6. Trên màn hình nền của máy tính, nhấn đúp chuột Ipsec.msc để mở

bảng điều khiển IPSec. 7. Trong cây bảng điều khiển IPSec, nhấn chuột phải vào IP Security

Policies On Local Computer, nhấn All Tasks, và nhấn Export Policies.

8. trong cửa sổ Save As, nhấn Desktop, và nhấn đúp chuột vào thư mục đã chia sẻ Ipsec.

9. Trong hộp File Name, nhập encryptftp, và nhấn Save. 10. Trong cây bảng điều khiển IPSec, nhấn chuột phải vào IP Security

Policies On Local Computer, nhấn All Tasks, và nhấn Restore Default Policies.

11. Trong hộp thoại IP Security Policy Management, nhấn Yes, và nhấn OK.


Nhập Chính sách IPSec QUAN TRỌNG Hoàn thành tác vụ này trên máy tính có số hiệu lớn hơn của học viên, Nó cho phép bạn nhập chính sách FTP IPSec từ máy tính đối tác của bạn.


139




3. Trong cây bảng điều khiển IPSec, nhấn chuột phải the IP Security Policies On Local Computer, nhấn All Tasks, và nhấn Restore Default Policies.

4. Trong hộp cảnh báo IP Security Policy Management, nhấn Yes, và nhấn OK.

5. Nhấn Start, nhấn Run, và gõ \\computerxx\ipsec (trong đó computerxx là tên máy tính đối tác của bạn) trong hộp Open.

6. Kéo file EncryptFtp. Ipsec vào màn hình nền, và chọn Copy Here. 7. Trong cây bảng điều khiển IPSec, nhấn chuột phải IP Security

Policies On Local Computer, nhấn All Tasks, và nhấn Import Policies.

8. Trong cửa sổ Open, nhấn Desktop, nhấn lên file EncryptFtp.Ipsec, và nhấn Open.

CÂU HỎI Cổng TCP nào đã được cấu hình trên bộ lọc IPSec EncrypFtp trên máy tính học viên?

Gán và dỡ bỏ việc gán các Chính sách IPSec QUAN TRỌNG Hoàn thành tác vụ này trên máy tính học viên có số hiệu nhỏ hơn. Nó cho phép bạn gỡ bỏ các chính sách IPSec đã gán cho máy tính học viên.


2. Trên màn hình nền của máy tính, nhấn đúp chuột lên file Ipsec.msc để mở bảng điều khiển IPSec.

3. Trong khung chi tiết của bảng điều khiển IPSec, nhấn chuột phải lên chính sách IPSec EncryptFtp, và nhấn Un-Assign.

4. Trong khung chi tiết của bảng điều khiển IPSec, chọn và nhấn chuột phải vào chính sách IPSec Client (Respond Only), và nhấn Assign.

5. Đóng tất cả các cửa sổ đang mở. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003

140


QUAN TRỌNG Hoàn thành tác vụ này trên máy tính học viên có số hiệu lớn hơn. Nó cho phép bạn gỡ bỏ các chính sách IPSec đã gán cho máy tính học viên.



3. Trong khung chi tiết của bảng điều khiển IPSec, chọn và nhấn chuột phải vào chính sách IPSec Client (Respond Only), và nhấn Un-Assign

4. Trong khung chi tiết của bảng điều khiển IPSec, chọn và nhấn chuột phải vào chính sách IPSec Server (Request Security), và nhấn Assign.


BÀI TẬP 6-4: THEO DÕI VÀ KHẮC PHỤC SỰ CỐ IPSEC Thời gian dự kiến: 15 phút Sau khi bạn đã cài đặt và cấu hình IPSec cho các máy chủ FTP trên mạng nội bộ của bạn, bạn cần có khả năng sử dụng các công cụ và tiện ích để theo dõi và khắc phục các sự cố xẩy ra đối với các kết nối IPSec tới máy chủ FTP. Trong Bài tập này, bạn sẽ sử dụng các công cụ IPSec có sẵn để theo dõi và khắc phục các sự cố xẩy ra đối với các kết nối IPSec.

Kích họat việc lần vết để sửa lỗi IKE QUAN TRỌNG Hoàn thành các tác vụ này trên máy tính học viên có số hiệu lớn hơn. Nó sẽ cho phép bạn kích hoạt việc ghi nhật ký vào nhật ký Oakley. Việc kích hoạt này có thể thực hiện bằng cách thay đổi registry.


2. Nhấn Start, nhấn Run, in the Open box, type regedt32, và nhấn OK to open Registry Editor.

3. Trong bảng điều khiển Registry Editor, duyệt và mở rộng HKEY_LOCAL_MACHINE.


141


4. Trong khóa HKEY_LOCAL_MACHINE, duyệt đến vị trí sau:: System\CurrentControlSet\Services\PolicyAgent.

5. Mở rộng khóa phụ PolicyAgent. 6. Trong cây bảng điều khiển, định vị và chọn khóa phụ Oakley. 7. Trên thực đơn Edit, nhấn New, và nhấn DWORD Value. 8. Trong hộp New Value #1, nhập vào phần Value Name (lưu ý có phân

biệt chữ hoa, chữ thường) EnableLogging, và nhấn ENTER. 9. Trong khung chi tiết, nhấn chuột phải DWORD Enable Logging, và

nhấn Modify. 10. Trong hộp thoại Edit DWORD Value, trong hộp Value Data, gõ 1, và

nhấn OK. CÂU HỎI Điều gì sẽ xẩy ra nếu bạn nhập 0 cho giá trị của biến EnableLogging?

11. Đóng Registry Editor. 12. Nhấn Start, nhấn Run, trong hộp Open, nhập cmd, và nhấn ENTER. 13. Tại dấu nhắc lệnh, gõ net stop policyagent, và nhấn ENTER để dừng

các dịch vụ liên quan đến IPSec. 14. Tại dấu nhắc lệnh, gõ net Start policyagent, và nhấn ENTER để khởi

động lại các dịch vụ liên quan đến IPSec. 15. Tại dấu nhắc lệnh, gõ exit để đóng cửa sổ dấu nhắc lệnh

File nhật ký Oakley sẽ được lưu tại %systemroot%\Debug\Oakley.log một cách mặc định và file Oakley.log.sav là phiên bản trước của nhật ký sau khi dịch vụ Policy Agent được khởi động lại


Xem các thông số thống kê IPSec bằng Snap-In IPSec Monitor QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó cho phép bạn có thể xem các thông số thống kê IPSec bằng cách sử dụng IPSec Monitor.



142



3. Trong bảng điều khiển IPSec, nhấn File, và nhấn Add/Remove Snap-In để mở cửa sổ Add/Remove Snap-In.

4. Trong cửa sổ Add/Remove Snap-In, nhấn Add. 5. Trong cửa sổ Add Standalone Snap-In, nhấn IP Security Monitor,

nhấn Add, và nhấn Close. 6. Trong cửa sổ Add/Remove Snap-In, nhấn OK. 7. Trong cây bảng điều khiển IPSec, mở rộng IP Security Monitor, và

mở rộng Computerxx (ở đây Computerxx là tên của máy tính của bạn).

CÂU HỎI Máy tính của học viên có security associations (SA – Sự Kết hợp Bảo mật) được thiết lập?, nếu có, thì với máy tính nào? (hướng dẫn: Quan sát phần Main Mode bên dưới Security Associations.)

8. Đóng tất cả các cửa sổ đang mở. 9. Khi được nhắc lưu các thiết lập bảng điều khiển IPSec, nhấn Yes.

Sử dụng Netsh để xem các thông số thống kê IPSec QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó cho phép bạn xem các thông số thống kê IPSec bằng Netsh.


2. Nhấn Start, nhấn Run, trong hộp Open, gõ cmd, và nhấn ENTER. 3. Tại dấu nhắc lệnh, gõ netsh ipsec static show policy all >c:\ipsec.txt. 4. Nhấn Start, và nhấn My Computer để mở cửa sổ My Computer. 5. Trong cửa sổ My Computer, định vị và nhấn đúp chuột lên ổ C. 6. Trong cửa sổ ổ C, nhấn đúp chuột lên file Ipsec. txt để mở nó.

CÂU HỎI Có bao nhiêu chính sách IPSec đã được gán? CÂU HỎI Có bao nhiêu chính sách IPSec trên máy tính cục bộ?


143


Xem các thông số thống kê IPSec bằng nhật ký Oakley QUAN TRỌNG Hoàn thành các tác vụ này trên máy tính học viên có số hiệu lớn hơn. Nó sẽ cho phép bạn quan sát các thông số thống kê IPSec bằng cách sử dụng file nhật ký Oakley.


2. Nhấn Start, và nhấn My Computer để mở cửa sổ My Computer. 3. Trong cửa sổ My Computer, duyệt đến file %systemroot%\Debug \

Oakley. log. 4. Nhấn đúp chuột lên file Oakley.log để mở nó.

CÂU HỎI Chính sách EncryptFTP hiện tại có được gán? 5. Đóng tất cả các cửa sổ đang mở.

BÀI TẬP 6-5: DỠ BỎ CÁC CHÍNH SÁCH IPSEC Thời gian dự kiến: 5 phút Trong Bài tập này, bạn sẽ dỡ bỏ các chính sách IPSEc bạn đã tạo và cấu hình trong các bài tập trước. làm như vậy sẽ lợi bỏ được các phụ thuộc có thẻ ảnh hưởng đến các bài tập tiếp theo.

Sử dụng Netsh để dỡ bỏ các chính sách IPSec QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó cho phép bạn loại bỏ các chính sách IPSec đã tạo.


2. Nhấn Start, nhấn Run, trong hộp Open, gõ cmd, và nhấn ENTER. 3. Tại dấu nhắc lệnh, gõ netsh ipsec static delete policy all. 4. Đóng tất cả các cửa sổ đang mở.


144


Khôi phục các Chính sách IPSec mặc định QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó cho phép bạn khôi phục các chính sách IPSec mặc định trên máy tính của học viên.



3. Trong cây bảng điều khiển IPSec, chọn và nhấn chuột phải lên IP Security Policies On Local Computer, nhấn All Tasks, và nhấn Restore Default Policies.

4. Trong hộp thoại IP Security Policy Management, nhấn Yes, và nhấn OK.


Xóa trạng thái IKE (Internet Key Exchange): Khởi động lại dịch vụ IPSec Policy Agent

QUAN TRỌNG Hoàn thành tác vụ này trên cả hai máy tính của học viên. Nó sẽ cho phép bạn dừng và khởi động lại các dịch vụ IPSec trên máy tính của mình.


2. Nhấn Start, nhấn Run, in the Open box, type cmd, và nhấn ENTER. 3. Tại dấu nhắc lệnh, nhập net stop policyagent, và nhấn ENTER để

dừng các dịch vụ liên quan đến IPSec. 4. Tại dấu nhắc lệnh, nhập net start policyagent, và nhấn ENTER để

khởi động lại các dịch vụ liên quan đến IPSec. 5. Tại dấu nhắc lệnh, nhập exit, và nhấn ENTER để đóng cửa sổ dấu

nhắc lệnh.

CÂU HỎI ÔN TẬP Thời gian dự kiến: 15 phút


145


1. Các chính sách IPSec có thể sử dụng hai phương thức nào để cung cấp việc bảo vệ cho các thông số đăng nhập, dữ liệu và máy chủ?

2. Nguyên nhân mà bạn muốn sử dụng các chính sách IPSec Máy tính cục bộ là gì?

3. Hai tiện ích bạn có thể sử dụng để kiểm tra các chính sách IPSec là đang được áp dụng trên máy tính cục bộ là gì?

4. Mô tả quá trình sử dụng xác thực bằng Giấy chứng nhận để thực thi việc mã hóa các lưu thông Telnet giữa một máy khách và nhiều máy chủ Telnet.

5. Bạn có thể cấu hình chính sách IPSec chỉ sử dụng Triple DES Secure Hash Algorithm version 1 (3DES SHA1) để mã hóa không?

6. Mo tả Khóa Chia sẻ trước (preshared key) là gì và tại sao nó không là phương pháp được khuyến cáo sử dụng để xác thực IPSec.

7. Các chính sách bảo mật xác định trước Secure Server (Require Security) và Server (Request Security) có khác nhau không?

8. Khi nào là thích hợp để sử dụng phương thức vận chuyển (Transport Mode) và khi nào là thích hợp để sử dụng phương thức đường hầm (Tunnel Mode)?

9. Khi thực hiện khắc phục sự cố IPSec, làm thể nào để bạn xác định vấn đề sự cố trong liên lạc giữa hai máy tính xẩy ra do các thiết lập IPSec hay do các vấn đề về phần cứng mạng nói chung khác?

THỰC HÀNH NÂNG CAO 6-1: BẢO VỆ DỮ LIỆU BẰNG IPSEC Thời gian dự kiến: 25 phút Bạn là quản trị bảo mật cho công ty ABC Ltd. Một vài nhân viên của công ty chuyên sử dụng Web cần cập nhật lên và tải về các thông tin từ máy chủ Web chạy Windows Server 2003. Tất cả các nhân viên nói trên đều sử dụng các máy tính chạy Microsoft Windows XP Professional, mà đều bố trí trong cùng một phân đoạn mạng. Mạng nội bộ của bạn được bảo mật sử dụng tường lửa dựa trên RRAS và NAT, nhưng mạng được cấu hình cho phép các lưu thông UDP ESP. các thông số đăng nhập và dữ liệu được vận chuyển bằng HTTP bắt buộc phải sử dụng cấp mã hóa cao nhất và cấp bảo mật của việc xác thực. mạng của bạn không sử dụng các dịch vụ Certificate nhưng bạn đang cân nhắc việc cài CA.


146


Mặc dù vậy, bạn không muốn có các tải phụ thêm do việc quản trị gây ra, do vậy, bạn tìm kiếm giải pháp khác. Ban lãnh đạo thông báo với bạn rằng giá của các Certificate thương mại hay của các đối tác thứ ba mà có thể cài đặt lên máy chủ Web có hỗ trợ HTTPS là quá cao. Bạn có thể cấu hình máy chủ Web để cho phép các nhân viên của công ty thực hiện các liên lạc bảo mật như thế nào?


147

SỬ DỤNG RRAS ĐỂ CẤU HÌNH ĐỊNH TUYẾN

THỰC HÀNH 7: SỬ DỤNG RRAS ĐỂ CẤU HÌNH ĐỊNH TUYẾN Lab này gồm có các bài tập và các hoạt động sau:

♦ Bài tập 7-1: Kích hoạt dịch vụ Routing And Remote Access

♦ Bài tập 7-2: Cấu hình định tuyến IP

♦ Bài tập 7-3: Tạo một VPN

♦ Bài tập 7-4: Triển khai các chính sách truy cập từ xa

♦ Bài tập 7-5: Cấu hình NAT

♦ Bài tập 7-6: Cấu hình các bộ lọc gói tin ♦ Bài tập 7-7: Loại bỏ dịch vụ Routing And Remote Access ♦ Các câu hỏi ôn tập cho bài thực hành ♦ Thực hành nâng cao 7-1: Thiết kế một giải pháp truy cập từ xa


♦ Cài đặt và cấu hình dịch vụ Routing And Remote Access ♦ Cấu hình định tuyến tĩnh và định tuyến động ♦ Tạo một mạng riêng ảo VPN ♦ Sử dụng các chính sách truy cập từ xa để hạn chế các kết nối từ xa ♦ Cấu hình NAT để chuyển đổi địa chỉ IP trong các mạng riêng thành

các địa chỉ công cộng Internet và ngược lại ♦ Tạo các bộ lọc gói tin để hạn chế lưu lượng IP

Thời gian dự kiến: 145 phút (thời gian này bao gồm cả quá trình thiết lập chuẩn bị trước khi bắt đầu bài tập)

CÁC BƯỚC CHUẨN BỊ QUAN TRỌNG Nếu bạn đã hoàn thành các bài tập dành cho bài thực hành số 5, “Bảo mật mạng”, và bài thực hành số 6, “Bảo mật lưu lượng mạng bằng IPSec” thì bạn chỉ cần hoàn thành một trong số các bài tập yêu cầu dưới đây, “Kích hoạt và cấu hình card mạng cho phòng học”.

Để hoàn thành các bài tập trong bài thực hành này, bạn phải cài đặt một card mạng thứ hai trên mỗi máy tính học viên. Kết nối các card mạng thêm này bằng cáp chéo. Sau khi hoàn thành bài thực hành số 7, gỡ bỏ card mạng thứ


148


hai này hoặc vô hiệu hóa chúng bằng giao diện của Microsoft Windows trước khi tiếp tục với các bài tập trong bài thực hành cuối cùng. Thời gian dự kiến: 10 phút ======================================================

Kích hoạt và cấu hình card mạng cho kết nối mạng Litware QUAN TRỌNG Nếu bạn đã hoàn thành các bài tập dành cho bài thực hành số 5, “Bảo mật mạng”, và bài thực hành số 6, “Bảo mật lưu lượng mạng bằng IPSec” bạn vẫn phải hoàn thành bài tập yêu cầu dưới đây, “Kích hoạt và cấu hình card mạng cho Litware”.

1. Khởi động máy tính của bạn sử dụng hệ điều hành Windows Server 2003 và đăng nhập với tài khoản [email protected] .com (trong đó domain là tên domain của bạn).

2. Nhấp Start rồi nhấp vào Network Connecti


149


ons để mở cửa sổ Network Connections.

3. Trong cửa sổ Network Connections, nhấp chuột phải vào kết nối Litware Network rối nhấp Enable.

4. Trong cửa sổ Network Connections, nhấp chuột phải vào kết nối Litware Network rồi nhấp vào Properties để mở trang Litware Network Properties.

5. Trong trang


150


Litware Network Properties, nhấp vào TCP/IP rồi nhấp Properties.

6. Trong thẻ General, lựa chọn Use The Following IP Address và nhập thông tin địa chỉ IP được cung cấp trong bảng 7-1.

Bảng 7-1: Địa chỉ IP của máy tính học viên Tên máy tính Contoso Network Litware Network

Computer01 Địa chỉ IP: 10.1.1.1

Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.1

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.2

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.3

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.4

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.5

Mặt nạ mạng: 255.255.255.0


151



Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.6

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.7

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.8

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.9

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.10

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.11

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.12

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.13

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.14

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.15

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.16

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.17

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.18

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.19

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.20

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.21

Mặt nạ mạng: 255.255.255.0


152



Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.22

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.23

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.24

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.25

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.26

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.27

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.28

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.29

Mặt nạ mạng: 255.255.255.0


Mặt nạ mạng: 255.255.0.0

Địa chỉ IP: 192.168.0.30

Mặt nạ mạng: 255.255.255.0

7. Sau khi bạn đã nhập thông tin địa chỉ IP, nhấp OK để đóng cửa sổ Internet Protocol (TCP/IP) Properties.

8. Nhấp OK để đóng cửa


153


sổ Litware Network Properties.

9. Đóng cửa sổ Network Connections.

======================================================

Cài đặt dịch vụ WWW QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính học viên. Qua đó sẽ cho phép bạn cài đặt dịch vụ WWW trên máy chủ của bạn chạy hệ điều hành Windows Server 2003. Bạn chỉ làm việc này khi bạn chưa hoàn thành bài thực hành số 5 và 6.

6. Khởi động máy tính của bạn sử dụng hệ điều hành Windows Server 2003 và đăng nhập với tài khoản [email protected] (trong đó studentxx là tên người sử dụng học viên của bạn và domain là tên domain của bạn).

7. Nhấp Start rồi chọn Control Panel. 8. Trong khi giữ phím SHIFT, nhấp chuột phải vào Add Or Remove

Programs rồi nhấp vào Run As để mở hộp thoại Run As. 9. Trong hộp thoại Run As, lựa chọn The Following Users rồi nhập các

chứng thực sau vào trong hộp thoại để mở cửa sổ Add Or Remove Programs:

a. Trong hộp User Name, nhập [email protected] (trong đó domain là tên domain của bạn)

b. Trong hộp Password nhập MSPress@LS#1. 10. Trong cửa sổ Add Or Remove Programs nhấp Add/Remove

Windows Components. 11. Trong phần Components của Windows Components Wizard, lựa chọn

Application Server rồi nhấp nút Details. 12. Trong cửa sổ Application Server, lựa chọn Internet Information

Services (IIS) rồi nhấp nút Details. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003

154




13. Trong cửa sổ Internet Information Services (IIS), lựa chọn hộp kiểm tra World Wide Web Service rồi nhấp OK.

14. Trong cửa sổ Internet Information Services (IIS) nhấp OK. 15. Trong cửa sổ Application Server nhấp OK. 16. Trên trang Windows Components nhấp Next. 17. Nếu hệ điều hành yêu cầu bạn chỉ vị trí các file cài đặt, đưa đĩa CD cài

đặt Windows Server 2003 vào ổ đĩa CD-ROM rồi nhấp OK. 18. Trên trang Completing The Windows Components Wizard nhấp

Finish. 19. Đóng tất cả các cửa sổ đang mở lại.

======================================================

Cấu hình dịch vụ WWW QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính học viên. Qua đó sẽ cho phép bạn cấu hình dịch vụ WWW trên máy chủ của bạn chạy hệ điều hành Windows Server 2003. Bạn chỉ làm việc này khi bạn chưa hoàn thành bài thực hành số 5 và 6.

1. Khởi động máy tính của bạn sử dụng hệ điều hành Windows Server 2003 và đăng nhập với tài khoản [email protected] (trong đó studentxx là tên tài khoản học viên của bạn và domain là tên domain của bạn).

2. Nhấp Start, trỏ tới All Programs, lựa chọn Accessories rồi nhấp vào Notepad để mở Microsoft Notepad.

3. Trong cửa sổ Untitled – Notepad, gõ đoạn văn bản sau: <html> <head> <title>Welcome to the World Wide Web </title> </head> <body> This is the default page for the World Wide Web service!! </body>


155


</html>

4. Trong của sổ Untitled – Notepad, nhấp File rồi kế đó chọn Save As. 5. Trong cửa sổ Save As, nhấp vào My Comouter ở bên trái rồi trỏ tới

thư mục C:\Inetpub\Wwwroot. 6. Trong cửa sổ Save As, gõ default.htm vào trong hộp File Name rồi

nhấp vào Save để lưu file Default.htm vào trong thư mục C:\Inetpub\Wwwroot.

7. Đóng Notepad lại. ======================================================

Nâng cấp chức năng hoạt động của domain QUAN TRỌNG Hoàn thành công việc này trên máy tính học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn triển khai các chính sách Routing And Remote Access. Bạn chỉ làm việc này khi bạn chưa hoàn thành bài thực hành số 5 và 6.


2. Nhấp Start, lựa chọn Control Panel rồi kế tiếp kích đúp vào Administrative Tools.

3. Kích chuột phải vào Active Directory Users And Computers rồi chọn Run As. Hộp thoại Run As xuất hiện.

4. Lựa chọn The Following User rồi nhập các chứng thực sau vào trong các trường của hộp thoại:

a. Trong hộp User Name, nhập [email protected] ( trong đó domain là tên domain của bạn).

b. Trong hộp Password, nhập MSPress@LS1. 5. Kích chuột phải vào domain.contoso.com (trong đó domain là tên

domain của bạn) rồi nhấp vào Raise Domain Funtional Level để mở cửa sổ Raise Domain Funtional Level.

6. Trong cửa sổ Raise Domain Funtional Level, lựa chọn Windows Server 2003 từ lựa chọn Select An Available Domain Funtional Level.

7. Nhấp vào nút Raise để nâng cấp chức năng hoạt động của domain.


156




8. Nhấp OK để chấp nhận hộp cảnh báo Raise Domain Funtional Level. 9. Nhấp OK một lần nữa để chấp nhận hộp thoại Raise Domain

Funtional Level.

KỊCH BẢN Bạn là nhà quản trị mạng của công ty Contoso, Ltd.Gần đây công ty bạn có mua lại một công ty mới có tên là Litware, Inc. Văn phòng chính của Contoso, Ltd được đặt trong một tòa nhà ở Denver. Văn phòng chính của Litware, Inc ở phía bên kia thành phố. Mạng của Litware, Inc chỉ có từ 8 đến 10 người sử dụng được kết nối với mạng của Contoso, Ltd qua đường Frame Relay 56K. Để kết nối mạng của hai văn phòng chính với nhau bạn cần cài đặt và cấu hình Routing And Remote Access trên một máy chủ Windows Server 2003 ở cả hai bên. Điều này cho phép người sử dụng của cả hai mạng có thể truy cập các tài nguyên lẫn nhau, đồng thời cung cấp truy cập từ xa cho các máy trạm.

BÀI TẬP 7-1: KÍCH HOẠT ROUTING AND REMOTE ACCESS Thời gian dự kiến: 5 phút Bạn là nhà quản trị mạng của Contoso, Ltd. Trước khi kết nối hai mạng với nhau bạn phải cài đặt dịch vụ Routing And Remote Access. ======================================================

Cài đặt dịch vụ Routing And Remote Access QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn cài đặt dịch vụ Routing And Remote Access trên máy tính học viên của bạn.


2. Nhấp Start, chọn Control Panel rồi kích đúp vào Administrative Tools.

3. Kích chuột phải vào Routing And Remote Access rồi chọn Run As để mở hộp thoại Run As.


157


4. Trong hộp thoại Run As, lựa chọn The Following User rồi nhập các chứng thực sau vào trong các trường của hộp thoại để mở màn hình quản trị Routing And Remote Access:

c. Trong hộp User Name, nhập [email protected] ( trong đó domain là tên domain của bạn).

o Trong hộp Password, nhập MSPress@LS1. 5. Nhấp OK để mở màn hình Routing And Remote Access. 6. Trong màn hình quản trị Routing And Remote Access, kích chuột

phải vào Computerxx (trong đó Computerxx là tên máy tính của bạn) rồi chọn Configure And Enable Routing And Remote Access từ menu tắt.

7. Trên trang Welcome To Routing And Remote Access Server Setup Wizard nhấp Next để mở trang Configuration.

8. Trên trang này, nhấp Custom Configuration rồi nhấp Next để mở trang Custom Configuration.

9. Trên trang Custom Configuration, nhấp LAN Routing rồi nhấp Next để mở trang Completing The Routing And Remote Access Server Setup Wizard.

10. Trên trang Completing The Routing And Remote Access Server Setup Wizard, nhấp Finish để đóng Routing And Remote Access Server Setup Wizard lại.

11. Trong hộp thoại Routing And Remote Access, nhấp Yes để khởi tạo dịch vụ Routing And Remote Access.

12. Đóng màn hình Routing And Remote Access lại.

BÀI TẬP 7-2: CẤU HÌNH ĐỊNH TUYẾN IP Thời gian dự kiến: 15 phút Để kết nối các mạng của Litware và Contoso, bạn phải cấu hình cả hai máy chủ Routing And Remote Access sao cho trên bảng định tuyến của chúng phải chứa các đường định tuyến đúng tới cả hai mạng. Bây giờ, bạn phải thêm giao thức định tuyến RIP cho cả hai máy chủ này để cho phép hai mạng liên kết với nhau. ======================================================


158




Cài đặt và cấu hình RIP QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn cấu hình máy chủ Routing And Remote Access của bạn đóng vai trò như một router RIP.






b. Trong hộp Password, nhập MSPress@LS1. 5. Nhấp OK để mở màn hình Routing And Remote Access. 6. Trong màn hình quản trị Routing And Remote Access, mở rộng phần

Computerxx (trong đó Computerxx là tên máy tính của bạn) rồi mở rộng IP Routing.

7. Trong IP Routing lựa chọn và kích chuột phải General rồi chọn New Routing Protocol.

8. Trên trang New Routing Protocol, nhấp RIP Version 2 For Internet Protocol rồi nhấp OK.

9. Trên trang Routing And Remote Access, kích chuột phải vào RIP rồi lựa chọn New Interface.

10. Trên cửa sổ New Interface For RIP Version 2 For Internet Protocol trong Interfaces lựa chọn Contoso Ltd Network rồi nhấp OK.

11. Trên trang RIP Properties-Contoso Ltd Network Properties nhấp OK. 12. Trong cửa sổ Routing And Remote Access, nhấp chuột phải RIP rồi

lựa chọn New Interface.


159




13. Trên cửa sổ New Interface For RIP Version 2 For Internet Protocol trong Interfaces lựa chọn Litware Inc Network rồi nhấp OK.

14. Trên trang RIP Properties-Litware Inc Network Properties nhấp OK. ======================================================

Kiểm tra các router hàng xóm qua RIP QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn hiển thị các router hàng xóm cũng sử dụng giao thức định tuyến RIP.








7. Trong màn hình này, nhấp chuột phải vào RIP rồi lựa chọn Show Neighbors. CÂU HỎI Địa chỉ IP máy tính đối tác của bạn có được hiển thị trong cửa sổ Computerxx-RIP Neighbors không?

8. Đóng màn hình Routing And Remote Access lại. ======================================================


160




Thêm các đường định tuyến tĩnh QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn thêm các đường định tuyến tĩnh trên máy chủ cài đặt Windows Server 2003 của bạn..








7. Trong màn hình này, nhấp chuột phải vào Static Routes rồi nhấp New Static Routes để mở cửa sổ Static Route.

8. Trong danh sách thả xuống của trường Static Route Interface lựa chọn card mạng Litware Inc Network.

9. Trong hộp Static Route Destination nhập 172.16.0.0. 10. Trong hộp Static Route Network Mask nhập 255.255.255.0. 11. Trong hộp Static Route Gateway nhập địa chỉ IP của card mạng

Litware Inc Network. 12. Nhấp OK trong cửa sổ Static Route.

======================================================


161




Kiểm tra các đường định tuyến tĩnh bằng cách sử dụng màn hình Routing And Remote Access

QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn hiển thị và kiểm chứng rằng các đường định tuyến tĩnh đã được đưa vào máy chủ của bạn.








7. Trong màn hình này, nhấp chuột phải vào Static Routes rồi chọn Show IP Routing Table. Hãy ghi lại thông tin định tuyến của mạng 172.16.0.0 vào bảng dưới đây: Thông tin định tuyến Đường định tuyến 1 Đường định tuyến 2

Destination (Đích)

Subnet Mask (Mặt nạ mạng)

Cổng ra (Gateway)

Interface (Giao diện)

Giá trị đường định tuyến (Metric)


162




Protocol (Giao thức)

CÂU HỎI Đây có phải là đường định tuyến tĩnh mà bạn đã thêm trong các bước trước?

======================================================

Kiểm tra các đường định tuyến tĩnh ở chế độ cửa sổ dòng lệnh QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn hiển thị và kiểm chứng rằng các đường định tuyến tĩnh đã được đưa vào máy chủ của bạn.


2. Nhấp Start, chọn Run rồi gõ cmd vào trong hộp Open rồi nhấp phím ENTER.

3. Trong cửa sổ chế độ dòng lệnh, tại dấu nhắc lệnh gõ route print. CÂU HỎI Có một đường định tuyến tĩnh dành cho mạng 172.16.0.0 mà bạn đã thêm vào trong các bước trước không?

4. Đóng cửa sổ chế độ dòng lệnh lại. ======================================================

Xóa các đường định tuyến tĩnh QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn xóa các đường định tuyến tĩnh trên máy chủ cài đặt Windows Server 2003 của bạn.





163






7. Trong màn hình này, nhấp vào Static Routes. 8. Trong trang liệt kê chi tiết của màn hình quản trị Routing And Remote

Access, nhấp chuột phải vào đường định tuyến tĩnh 172.16.0.0 rồi nhấp Delete.

9. Đóng màn hình Routing And Remote Access lại.

BÀI TẬP 7-3: TẠO MỘT MẠNG RIÊNG ẢO VPN Thời gian dự kiến: 20 phút Có một vài nhân viên của phòng tài chính bắt buộc phải chuyển dữ liệu tài chính và kế toán một cách an toàn từ mạng Litware tới mạng Contoso. Bạn phải tạo một kết nối VPN bảo mật cho những máy trạm này sao cho những người sử dụng có thể chuyển dữ liệu tài chính một cách an toàn tới máy chủ trên mạng Contoso. ======================================================

Cấu hình một máy chủ VPN QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn cấu hình Routing And Remote Access với các cổng VPN.



164








b. Trong hộp Password, nhập MSPress@LS1. 5. Nhấp OK để mở màn hình Routing And Remote Access. 6. Trên màn hình quản trị Routing And Remote Access, nhấp chuột phải

vào Computerxx (trong đó Computerxx là tên máy tính của bạn) rồi nhấp vào Properties để mở trang Computerxx (Local) Properties.

7. Trên trang Computerxx (Local) Properties, trong thẻ General lựa chọn hộp kiểm tra Remote Access Server rồi nhấp OK.

8. Trong hộp thoại Routing And Remote Access, nhấp Yes để khởi động lại router. CÂU HỎI Mặc định, có tất cả bao nhiêu cổng VPN được phép sau khi bạn cấu hình dịch vụ Routing And Remote Access? CÂU HỎI Bạn sẽ làm gì để cấu hình thêm các cổng VPN?

9. Đóng tất cả các cửa sổ đang mở. ======================================================

Thêm một tài khoản người sử dụng VPN QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn tạo một tài khoản người sử dụng được sử dụng để thiết lập một kết nối VPN với máy chủ VPN..



165





3. Kích chuột phải vào Active Directory Users And Computers rồi chọn Run As để mở hộp thoại Run As.

4. Trong hộp thoại Run As, lựa chọn The Following User rồi nhập các chứng thực sau vào trong các trường của hộp thoại để mở màn hình quản trị Active Directory Users And Computers:


b. Trong hộp Password, nhập MSPress@LS1. 5. Nhấp OK để mở màn hình Active Directory Users And Computers. 6. Trên màn hình quản trị Active Directory Users And Computers, nhấp

chuột phải vào domain.contoso.com (trong đó domain là tên domain của bạn) lựa chọn New rồi nhấp vào Organizational Unit.

7. Trong cửa sổ New Object-Organizational Unit, trên hộp Name gõ vpn users rồi nhấp OK.

8. Trên màn hình quản trị Active Directory Users And Computers, nhấp chuột phải vào OU VPN Users, nhấp New rồi nhấp vào Users để mở cửa sổ New Object-User.

9. Trong cửa sổ New Object-User trong hộp First Name gõ VPNUser. 10. Trong cửa sổ New Object-User trong hộp User Logon Name gõ

VPNUser rồi nhấp Next. 11. Trong hộp Password and Confirm Password gõ MSPress#1. Xóa lựa

chọn User Must Change Password At Next Logon và lựa chọn User Can not Change Password rồi nhấp Next.

12. Trong cửa sổ New Object-User nhấp Finish để kết thúc quá trình tạo tài khoản người sử dụng mới.

13. Đóng tất cả các cửa sổ đang mở. ======================================================

Thiết lập kết nối VPN trên máy trạm QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn kết nối tới một máy chủ VPN.


166





2. Nhấp Start rồi chọn Network Connections để mở cửa sổ Network Connections.

3. Trong cửa sổ Network Connections, trên menu File nhấp New Connections để mở New Connections Wizard.

4. Trong New Connections Wizard nhấp Next để mở trang Network Connections Type.

5. Trong trang Network Connections Type nhấp Connect To The Network At My Workplace rồi nhấp Next.

6. Trên trang Network Connections nhấp vào kết nối Virtual Private Network rồi nhấp Next để mở trang Connection Name.

7. Trên trang Connection Name, trong hộp Company Name nhập vpn to contoso ltd rồi nhấp Next.

8. Trên trang VPN Server Selection, trong trường Host Name Or IP Address nhập địa chỉ IP máy tính đối tác của bạn (10.1.1.x) rồi nhấp Next.

9. Trên trang Connection Availability lựa chọn Anyone’s Use rồi nhấp Next.

10. Trên trang Completing The New Connection Wizard lựa chọn hộp kiểm tra Add A Shortcut To This Connection To My Desktop rồi nhấp Finish để đóng New Connection Wizard lại.

11. Trong cửa sổ Connect To VPN To Contoso Ltd nhập các chứng thực sau:

a. Trong hộp User Name, nhập VPNUser. b. Trong hộp Password, nhập MSPRess#1.

12. Nhấp Connect để thực hiện kết nối VPN. CÂU HỎI Có lỗi nào xuất hiện khi bạn cố gắng kết nối tới máy chủ VPN?

13. Trên trang Error Connecting To VPN To Contoso Ltd nhấp Close. ======================================================


167


Cấu hình tài khoản VPN User QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn cấu hình các quyền quay số cho tài khoản của người sử dụng.






b. Trong hộp Password, nhập MSPress@LS#1. 5. Nhấp OK để mở màn hình Active Directory Users And Computers. 6. Trên màn hình quản trị Active Directory Users And Computers, mở

rộng domain.contoso.com (trong đó domain là tên domain của bạn) rồi lựa chọn VPN Users.

7. Trong phần chi tiết của màn hình Active Directory Users And Computers nhấp chuột phải vào VPNUser rồi chọn Properties.

8. Trên trang VPNUser Properties chọn thẻ Dial-In và nhấp vào Allow Access rồi kế đó nhấp OK. CÂU HỎI Lựa chọn quay số nào được kích hoạt theo mặc định?

9. Đóng tất cả các cửa sổ đang mở lại. ======================================================

Thiết lập lại kết nối VPN trên máy trạm QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn tạo một kết nối tới máy chủ VPN.


168





2. Trên mặt màn hình, kích đúp vào biểu tượng kết nối quay số VPN To Contoso Ltd.

3. Trong cửa sổ Connect VPN To Contoso Ltd nhập các chứng thực sau: a. Trong hộp User Name, nhập VPNUser. b. Trong hộp Password, nhập MSPress#1.

4. Nhấp Connect để thực hiện kết nối VPN. CÂU HỎI Bạn nhận được thông báo lỗi gì khi cố gắng kết nối tới máy chủ VPN?

5. Trên trang Error Connecting To VPN To Contoso Ltd nhấp Close. CÂU HỎI Tại sao VPNUser không được phép kết nối với lựa chọn quay số Control Access Through Remote Access Policy được kích hoạt cho tài khoản VPNUser?

======================================================

Cấu hình lại máy chủ VPN QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn chấp nhận các kết nối VPN tới máy chủ.






169


5. Trong hộp User Name, nhập [email protected] ( trong đó domain là tên domain của bạn).

6. Trong hộp Password, nhập MSPress@LS#1. 7. Nhấp OK để mở màn hình Routing And Remote Access. 8. Trên màn hình quản trị Routing And Remote Access, mở rộng

Computerxx (trong đó Computerxx là tên máy tính của bạn). 9. Trong màn hình Routing And Remote Access, nhấp chuột phải vào

Ports rồi chọn Properties. 10. Trong cửa sổ Ports Properties lựa chọn WAN Miniport (PPTP) rồi

nhấp vào Configure. 11. Trên cửa sổ Configure Device-WAN Miniport (PPTP), xem lại hộp

kiểm tra Remote Access Connections (Inbound Only) rồi nhấp OK. 12. Trong cửa sổ Ports Properties lựa chọn WAN Miniport (L2TP) rồi

nhấp vào Configure. 13. Trên cửa sổ Configure Device-WAN Miniport (L2TP), lựa chọn hộp

kiểm tra Remote Access Connections (Inbound Only) rồi nhấp OK. 14. Trong cửa sổ Ports Properties nhấp OK để ghi lại những thay đổi của

bạn. 15. Đóng tất cả các cửa sổ đang mở lại.

======================================================

Thiết lập lại kết nối VPN trên máy trạm QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn tạo một kết nối tới máy chủ VPN.





170



4. Nhấp Connect để thực hiện kết nối VPN tới Contoso Ltd. 5. Một biểu tượng kết nối mạng xuất hiện trong khu vực thông báo.

CÂU HỎI Giao thức VPN và phương pháp mã hóa nào được kết nối VPN này sử dụng? (nếu biểu tượng kết nối bị ẩn thì bạn có thể kích đúp vào nó trên thanh tác vụ)

6. Đóng cửa sổ VPN To Contoso Ltd Status lại. ======================================================

Hiển thị kết nối truy cập từ xa QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn hiển thị một kết nối VPN..






b. Trong hộp Password, nhập MSPress@LS#1. 5. Nhấp OK để mở màn hình Routing And Remote Access. 6. Trên màn hình quản trị Routing And Remote Access, mở rộng

Computerxx (trong đó Computerxx là tên máy tính của bạn) rồi nhấp vào Remote Access Clients. CÂU HỎI Trong phần liệt kê chi tiết của màn hình Routing And Remote Access, tên của người sử dụng hiện đang kết nối là gì?

======================================================


171




Dừng một kết nối truy cập từ xa QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn ngắt một kết nối ra khỏi máy chủ VPN.

1. Nhấp chuột phải vào biểu tượng Network Connection của VPN To Contoso Ltd rồi nhấp Disconnect.

2. Đóng tất cả các cửa sổ đang mở lại.

BÀI TẬP 7-4: TRIỂN KHAI CÁC CHÍNH SÁCH TRUY CẬP TỪ XA Thời gian dự kiến: 25 phút Bạn là quản trị về vấn đề bảo mật cho Litware, Inc. Một số người sử dụng trong phòng tài chính cần truy cập VPN từ xa tới máy chủ đặt tại trụ sở chính ở Contoso. Bạn phải điều khiển quá trình truy cập của người sử dụng tới máy chủ VPN chứ không đơn thuần cho phép họ kết nối tới nó. Bạn cũng chỉ cho phép các kết nối kiểu PPTP được phép truy cập tới máy chủ. Bạn muốn triển khai các chính sách truy cập từ xa trên máy chủ VPN để có thể điều khiển được người sử dụng và kết nối có các đặc tính xác định. ======================================================

Cấu hình các đặc tính quay số trên tài khoản của người sử dụng

QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn cấu hình các quyền quay số cho tài khoản của người sử dụng.





172




b. Trong hộp Password, nhập MSPress@LS#1. 5. Nhấp OK để mở màn hình Active Directory Users And Computers. 6. Trên màn hình quản trị Active Directory Users And Computers, mở

rộng domain.contoso.com (trong đó domain là tên domain của bạn) rồi lựa chọn VPN Users.

7. Trong phần chi tiết của màn hình Active Directory Users And Computers nhấp chuột phải vào VPNUser rồi chọn Properties.

8. Trên trang VPNUser Properties chọn thẻ Dial-In và chọn lựa chọn Control Access Through Remote Access Policy rồi kế đó nhấp OK.

9. Đóng màn hình Active Directory Users And Computers lại. CÂU HỎI Bằng cách thay đổi tài khoản người sử dụng theo cách này, anh ta có khả năng truy cập tới máy chủ không?

======================================================

Kiểm tra chính sách truy cập từ xa mặc định QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn kiểm tra chính sách truy cập từ xa mặc định trên máy chủ Routing And Remote Access.




4. Trong trường Domain, nhập domain.contoso.com (trong đó domain là tên domain của bạn).


173




5. Nhấp Connect để thực hiện kết nối VPN tới Contoso Ltd. CÂU HỎI Bạn nhận được thông báo lỗi gì?

6. Đóng cửa sổ Error Connecting To VPN To Contoso Ltd lại. ======================================================

Cấu hình các điều kiện trong chính sách truy cập từ xa QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn cấu hình máy chủ Routing And Remote Access chỉ chấp nhận các kết nối VPN kiểu PPTP..







Computerxx (trong đó Computerxx là tên máy tính của bạn). 7. Lựa chọn và nhấp chuột phải vào Remote Access Policies rồi lựa chọn

New Remote Access Policy để mở New Remote Access Policy Wizard.

8. Trên trang Welcome To The New Remote Access Policy Wizard nhấp Next để mở trang Policy Configuration Method.


174




9. Trên trang Policy Configuration Method, nhấp Set Up A Custom Policy. Trong hộp Policy Name, nhập pptp only connections rồi nhấp Next.

10. Trên trang Policy Conditions, nhấp Add để mở trang Select Attribute. 11. Trên trang Select Attribute, nhấp Tunnel-Type rồi nhấp Add để mở

trang Tunnel-Type. 12. Trên trang Tunnel-Type, nhấp Point-To-Point Tunneling Protocol

(PPTP). Trong Selected Types, nhấp Add để thêm Point-To-Point Tunneling Protocol (PPTP) vào trong danh sách rồi nhấp OK.

13. Trên trang Policy Conditions, nhấp Next để mở trang Permissions. 14. Trên trang Permissions nhấp Grant Remote Access Permission rồi kế

đó nhấp Next. 15. Trên trang Profile nhấp Next để mở trang Completing The New

Remote Access Policy Wizard. 16. Trên trang Completing The New Remote Access Policy Wizard, nhấp

Finish để đóng New Remote Access Policy Wizard. 17. Đóng màn hình Routing And Remote Access lại.

======================================================

Kiểm tra các điều kiện trong chính sách truy cập từ xa QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn kiểm tra chính sách truy cập từ xa được cấu hình trên máy chủ Routing And Remote Access.

1. Khởi động máy tính của bạn sử dụng hệ điều hành Windows Server 2003 và đăng nhập với tài khoản [email protected] (trong đó domain là tên domain của bạn).



4. Nhấp Connect để thực hiện kết nối VPN tới Contoso Ltd.


175


CÂU HỎI Kết nối VPN có kết nối được tới máy chủ truy cập từ xa không?

5. Nhấp chuột phải vào biểu tượng VPN To Contoso Ltd trên mặt màn hình rồi lựa chọn Disconnect.

6. Nhấp đúp vào biểu tượng VPN To Contoso Ltd trên mặt màn hình rồi tiếp theo trong cửa sổ Connect VPN To Contoso Ltd nhấp Properties.

7. Trên trang VPN To Contoso Ltd Properties nhấp vào thẻ Networking và trong danh sách thả xuống Type Of VPN lựa chọn L2TP IPSec VPN rồi nhấp OK.


CÂU HỎI Kết nối VPN có kết nối được tới máy chủ truy cập từ xa không?Tại sao không?

9. Đóng cửa sổ Error Connecting To VPN To Contoso Ltd lại. 10. Nhấp đúp vào biểu tượng VPN To Contoso Ltd trên mặt màn hình rồi

tiếp theo trong cửa sổ Connect VPN To Contoso Ltd nhấp Properties. 11. Trên trang VPN To Contoso Ltd Properties nhấp vào thẻ Networking

và trong danh sách thả xuống Type Of VPN lựa chọn PPTP VPN rồi nhấp OK.

12. Nhấp Cancel để đóng cửa sổ Connect VPN To Contoso Ltd lại. ======================================================

Cấu hình profile trong chính sách truy cập từ xa QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn cấu hình máy chủ Routing And Remote Access chỉ chấp nhận các kết nối VPN kiểu PPTP trong khoảng thời gian cụ thể.




176






Computerxx (trong đó Computerxx là tên máy tính của bạn). 7. Lựa chọn Remote Access Policies và trong màn hình hiển thị chi tiết

nhấp chuột phải vào chính sách PPTP Only Connections Remote Access rồi lựa chọn Properties.

8. Trên trang PPTP Only Connections Properties nhấp Edit Profile để mở cửa sổ Edit Dial-In Profile.

9. Trong cửa sổ Edit Dial-In Profile lựa chọn hộp kiểm tra Allow Access Only On These Days And At These Times rồi nhấp Edit để mở cửa sổ Dial-In Hours.

10. Trong cửa sổ Dial-In Hours chỉ cho phép các kết nối được thực hiện từ 6:00 AM đến 7:00 AM rồi nhấp OK.

11. Trên trang Edit Dial-In Profile nhấp OK. 12. Trên trang PPTP Only Connections Properties nhấp OK. 13. Đóng màn hình Routing And Remote Access lại.

CÂU HỎI Chú ý những giờ được liệt kê trong hộp Allow Access Only On These Days And At These Times thay đổi tương ứng thành Sunday-Saturday và 6:00 A.M. đến 7:00 A.M.

======================================================

Kiểm tra profile của chính sách truy cập từ xa QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn kiểm tra profile của chính sách truy cập từ xa được cấu hình trên máy chủ Routing And Remote Access.


177







4. Nhấp Connect để thực hiện kết nối VPN tới Contoso Ltd. CÂU HỎI Bạn nhận được thông báo lỗi gì và tại sao lại nhận được nó?

5. Đóng cửa sổ Error Connecting To VPN To Contoso Ltd lại. ======================================================

Cấu hình lại profile trong chính sách truy cập từ xa QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn cấu hình lại máy chủ Routing And Remote Access chỉ chấp nhận các kết nối VPN kiểu PPTP.






b. Trong hộp Password, nhập MSPress@LS#1.


178




5. Nhấp OK để mở màn hình Routing And Remote Access. 6. Trên màn hình quản trị Routing And Remote Access, mở rộng

Computerxx (trong đó Computerxx là tên máy tính của bạn). 7. Lựa chọn Remote Access Policies và trong màn hình hiển thị chi tiết

nhấp chuột phải vào chính sách PPTP Only Connections Remote Access rồi lựa chọn Properties.

8. Trên trang PPTP Only Connections Properties nhấp Edit Profile để mở cửa sổ Edit Dial-In Profile.

9. Trong cửa sổ Edit Dial-In Profile bỏ lựa chọn Allow Access Only On These Days And At These Times rồi nhấp OK.

10. Trên trang PPTP Only Connections Properties nhấp OK. 11. Đóng tất cả các màn hình đang mở lại.

======================================================

Kiểm tra lại profile của chính sách truy cập từ xa QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn kiểm tra lại profile của chính sách truy cập từ xa được cấu hình trên máy chủ Routing And Remote Access.




4. Nhấp Connect để thực hiện kết nối VPN tới Contoso Ltd. CÂU HỎI Bạn có được phép kết nối tới máy chủ truy cập từ xa không? Tại sao có hoặc tại sao không?

5. Ngắt kết nối VPN To Contoso Ltd.


179


BÀI TẬP 7-5: CẤU HÌNH NAT Thời gian dự kiến: 15 phút

QUAN TRỌNG Để đạt được mục tiêu của bài tập này, giả thiết domain học viên của bạn là mạng Litware, Inc còn mạng phòng học là mạng Contoso, Ltd. Máy tính của học viên có số hiệu nhỏ hơn sẽ đóng vai trò là máy chủ NAT và máy tính của học viên có số hiệu lớn hơn sẽ đóng vai trò là máy trạm NAT.

Bạn đang trong quá trình triển khai tính năng NAT như một phương tiện cho phép các máy trạm kết nối tới mạng Contoso. Bây giờ, bạn phải cấu hình Routing And Remote Access với tính năng NAT và hai giao diện mạng khác nhau để cho phép các máy trạm kết nối tới. ======================================================

Cài đặt và cấu hình NAT QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn cấu hình cài đặt và cấu hình NAT trên máy chủ cài đặt Windows Server 2003 của bạn.





5. Trong hộp User Name, nhập [email protected] ( trong đó domain là tên domain của bạn).

a. Trong hộp Password, nhập MSPress@LS#1. b. Nhấp OK để mở màn hình Routing And Remote Access.

6. Trên màn hình quản trị Routing And Remote Access, mở rộng Computerxx (trong đó Computerxx là tên máy tính của bạn) và mở rộng IP Routing.


180



7. Trong màn hình Routing And Remote Access, lựa chọn và nhấp chuột phải vào NAT/Basic Firewall rồi chọn New Interface.

8. Trong cửa sổ New Interface For Network Address Translation (NAT) nhấp vào card mạng Contoso Ltd Network rồi kế đó nhấp OK.

9. Trên trang Network Address Translation (NAT) Properties-Contoso Ltd Network, nhấp Public Interface Connected To The Internet, lựa chọn hộp kiểm tra Enable NAT On This Interface rồi nhấp OK.

10. Trong màn hình Routing And Remote Access, nhấp chuột phải vào NAT/Basic Firewall rồi lựa chọn New Interface.

11. Trong cửa sổ New Interface For Network Address Translation (NAT) nhấp vào kết nối Litware Inc Network rồi nhấp OK.

12. Trên trang Network Address Translation (NAT) Properties-Litware Inc Network, xác nhận rằng lựa chọn Private Interface Connected To Private Network đã được chọn rồi nhấp OK.

13. Đóng tất cả các màn hình đang mở lại. ======================================================

Cấu hình một máy trạm NAT QUAN TRỌNG Với phần còn lại của bài tập này, bạn hãy bỏ cáp mạng ra khỏi card Contoso Ltd Network trên máy tính có số hiệu lớn hơn. Tại phần cuối của bài tập này, bạn kết nối cáp mạng này lại. Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn cấu hình máy tính của bạn hoạt động như một máy trạm NAT..


2. Nhấp Start rồi nhấp vào Network Connections để mở cửa sổ Network Connections.

3. Trong cửa sổ Network Connections, nhấp chuột phải vào kết nối Litware Inc Network rồi nhấp Properties.

4. Trên trang Litware Inc Network Connection Properties nhấp Internet Protocol (TCP/IP) rồi nhấp Properties.


181


5. Trên cửa sổ Internet Protocol (TCP/IP) Properties, trong hộp Default Gateway nhập địa chỉ IP kết nối Litware Inc Network của đối tác rồi nhấp OK.

6. Trên trang Litware Inc Network Properties nhấp Close để xác nhận những thay đổi của bạn.

======================================================

Cấu hình IIS QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn cấu hình dịch vụ IIS trên máy chủ của bạn cài đặt hệ điều hành Windows Server 2003.


2. Nhấp Start chọn Administrative Tools rồi lựa chọn Internet Information Services (IIS) Manager.

3. Trong màn hình quản trị Internet Information Services (IIS) Manager mở rộng Computerxx (trong đó Computerxx là tên máy tính của bạn) rồi kế tiếp mở rộng Web Sites.

4. Trong màn hình quản trị Internet Information Services (IIS) Manager, nhấp chuột phải vào Default Web Site rồi nhấp Properties.

5. Trong thẻ Web Site, trong danh sách thả xuống IP Address chọn địa chỉ IP của card mạng Contoso Ltd Network đã được gán cho máy tính học viên của bạn (10.1.1.xx) rồi nhấp OK.

6. Đóng màn hình quản trị Internet Information Services (IIS) Manager lại.

======================================================

Kiểm tra kết nối của máy trạm NAT QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn kiểm tra và xác nhận rằng máy trạm NAT có thể liên lạc được với một Web site trên một mạng khác.



182


2. Nhấp Start, trỏ tới All Programs và nhấp vào Internet Explorer để mở cửa sổ Microsoft Internet Explorer. Nếu hộp thoại Internet Explorer Enhanced Security Configure thì nhấp OK.

3. Trong phần Internet Explorer Address, nhập http://10.1.1.xx (trong đó 10.1.1.xx là địa chỉ IP card mạng Contoso Ltd Network của đối tác của bạn) rồi nhấp phím ENTER. CÂU HỎI Bạn có nhận được trang mặc định của dịch vụ Web đang chạy trên máy tính đối tác của bạn không? Tại sao có hoặc tại sao không?

4. Đóng Internet Explorer lại. ======================================================

Gỡ bỏ dịch vụ NAT QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn gỡ bỏ NAT ra khỏi máy tính học viên.







Computerxx (trong đó Computerxx là tên máy tính của bạn) và mở rộng IP Routing.


183

http://10.1.1.xx/




7. Trong màn hình Routing And Remote Access, lựa chọn NAT/Basic Firewall rồi nhấp Delete.

8. Trong hộp thoại Routing And Remote Access, nhấp Yes để gỡ bỏ NAT/Basic Firewall.

9. Đóng màn hình quản trị Routing And Remote Access lại. ======================================================

Cấu hình lại IIS QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu nhỏ hơn. Qua đó sẽ cho phép bạn cấu hình dịch vụ IIS trên máy chủ của bạn cài đặt hệ điều hành Windows Server 2003.


2. Nhấp Start chọn Administrative Tools rồi lựa chọn Internet Information Services (IIS) Manager.

3. Trong màn hình quản trị Internet Information Services (IIS) Manager mở rộng Computerxx (trong đó Computerxx là tên máy tính của bạn) rồi kế tiếp mở rộng Web Sites.

4. Trong màn hình quản trị Internet Information Services (IIS) Manager, nhấp chuột phải vào Default Web Site rồi nhấp Properties.

5. Trong thẻ Web Site, trong danh sách thả xuống IP Address chọn All Unassigned rồi nhấp OK.

6. Đóng màn hình quản trị Internet Information Services (IIS) Manager lại. QUAN TRỌNG Bạn phải kết nối lại cáp mạng tới card Contoso Ltd Network trên máy trạm NAT để hoàn thành các bài tập sau.

BÀI TẬP 7-6: CẤU HÌNH CÁC BỘ LỌC GÓI Thời gian dự kiến: 10 phút Bạn đang kiểm tra các bộ lọc gói tin trên Routing And Remote Access để xác định xem nó cấm lưu lượng trên các cổng TCP như thế nào trên máy chủ cài đặt Windows Server 2003. Để kiểm tra vấn đề này, bạn cài đặt IIS và bây giờ muốn sử dụng các bộ lọc gói tin để cấm lưu lượng HTTP trên cổng 80. ======================================================


184


Kiểm tra kết nối của máy trạm IIS QUAN TRỌNG Hoàn thành công việc này trên máy tính của học viên có số hiệu lớn hơn. Qua đó sẽ cho phép bạn kiểm tra và xác nhận rằng máy trạm có thể liên lạc được với máy chủ Web.


2. Nhấp Start, trỏ tới All Programs và nhấp vào Internet Explorer để mở cửa sổ Internet Explorer.

3. Trong phần Internet Explorer Address, nhập http://10.1.1.xx (trong đó 10.1.1.xx là địa chỉ IP card mạng Contoso Ltd Network của đối tác của bạn) rồi nhấp phím ENTER. CÂU HỎI Bạn có nhận được trang mặc định của dịch vụ Web đang chạy trên máy tính đối tác của bạn không?

4. Đóng Internet Explorer lại. QUAN TRỌNG Nếu hộp thoại Internet Explorer Enhanced Security Configure thì nhấp OK.

======================================================

Cấu hình một bộ lọc gói tin cho lưu lượng HTTP QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính của học viên. Qua đó sẽ cho phép bạn tạo ra một bộ lọc gói tin Routing And Remote Access để cấm lưu lượng HTTP.






185

http://10.1.1.xx/




Computerxx (trong đó Computerxx là tên máy tính của bạn) và mở rộng IP Routing.

7. Trong màn hình Routing And Remote Access, nhấp General. Trong màn hình hiển thị chi tiết, nhấp chuột phải vào Contoso Ltd Network rồi lựa chọn Properties.

8. Trong thẻ General của trang Contoso Ltd Network Properties, nhấp Inbound Filters để mở trang Inbound Filters.

9. Trong hộp thoại Inbound Filters, nhấp New để mở trang Add IP Filter. 10. Trên trang Add IP Filter, lựa chọn hộp kiểm tra Destination Network

nhập 10.1.0.0 trong trường IP Address và kế đó nhập 255.255.0.0 vào trường Subnet Mask.

11. Trong danh sách thả xuống Protocol, lựa chọn TCP. 12. Trong hộp Destination Port nhập 80 rồi nhấp OK. 13. Trong trang Inbound Filters, xác nhận rằng lựa chọn Receive All

Packets Except Those That Meet The Criteria Below đã được chọn rồi nhấp OK.

14. Trên trang Contoso Ltd Properties nhấp OK. 15. Đóng màn hình quản trị Routing And Remote Access lại.

======================================================

Kiểm tra kết quả của bộ lọc gói đối với lưu lượng HTTP QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính học viên. Qua đó sẽ cho phép bạn kiểm tra bộ lọc gói tin HTTP mà bạn vừa tạo ra.



186




2. Nhấp Start, trỏ tới All Programs và nhấp vào Internet Explorer để mở cửa sổ Microsoft Internet Explorer. Nếu hộp thoại Internet Explorer Enhanced Security Configure thì nhấp OK.

3. Trong phần Internet Explorer Address, nhập http://10.1.1.xx (trong đó 10.1.1.xx là địa chỉ IP kết nối Contoso Ltd Network của đối tác của bạn) rồi nhấp phím ENTER. CÂU HỎI Bạn có nhận được trang mặc định của dịch vụ Web đang chạy trên máy tính đối tác của bạn không? Tại sao có hoặc tại sao không?

4. Đóng Internet Explorer lại.

BÀI TẬP 7-7: GỠ BỎ DỊCH VỤ ROUTING AND REMOTE ACCESS Thời gian dự kiến: 10 phút Trong bài tập này, bạn sẽ gỡ bỏ các cấu hình trên dịch vụ Routing And Remote Access mà bạn đã tạo ra trong các bài tập trước. Thực hiện công việc này sẽ giúp bạn loại bỏ những sự phụ thuộc có thể ảnh hưởng đến các bài tập sau. ======================================================

Gỡ bỏ dịch vụ Routing And Remote Access QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính của học viên. Qua đó sẽ cho phép bạn gỡ bỏ bất kỳ thông số cấu hình nào trên dịch vụ Routing And Remote Access trong bài thực hành số 8 này.


2. Nhấp Start, chọn Control Panel rồi kích đúp vào Administrative Tools. Kế đó kích đúp vào Routing And Remote Access.

3. Trong màn hình quản trị Routing And Remote Access, nhấp chuột phải vào Computerxx (trong đó Computerxx là tên máy tính của bạn) rồi chọn Disable Routing And Remote Access.

4. Trong hộp thoại Routing And Remote Access, nhấp Yes để tiếp tục. 5. Đóng tất cả các cửa sổ đang mở lại.


187

http://10.1.1.xx/



1. Hai giao thức VPN nào có thể sử dụng được trên hệ điều hành Windows Server 2003?

2. Hai kiểu đường định tuyến nào mà bạn có thể thêm vào trong một bảng định tuyến?

3. Một phương pháp mà bạn có thể sử dụng để cấu hình một bộ lọc gói tin cho phép cấm lưu lượng Telnet thông qua dịch vụ Routing And Remote Access là gì?

4. Hai kiểu giao diện nào được thêm vào một cấu hình NAT? 5. Ba thiết lập quay số được cấu hình trên các đặc tính tài khoản của một

người sử dụng cụ thể là gì? 6. Hai thành phần của một chính sách truy cập từ xa là gì? 7. Điều gì sẽ xảy ra nếu hai giao diện mạng sử dụng trong NAT tráo đổi

vai trò cho nhau?

THỰC HÀNH NÂNG CAO 7-1: THIẾT KẾ MỘT GIẢI PHÁP TRUY CẬP TỪ XA Thời gian dự kiến: 20 phút Bạn là nhà quản trị mạng cho công ty Trey Research đặt tại Denver. Gần đây để phục vụ cho nhu cầu mở rộng hoạt động, công ty có đặt thêm hai văn phòng cho chi nhánh mới. Văn phòng của chi nhánh thứ nhất điều hành hoạt động sản xuất chế tạo và nghiên cứu được đặt tại Dallas. Người sử dụng trên mạng ở Dallas phải có khả năng chuyển các thông tin rất quan trọng về văn phòng chính ở Denver. Văn phòng của chi nhánh thứ hai điều hành hoạt động quản trị và tài chính được đặt tại Kansas City. Người sử dụng trên mạng ở Kansas City phải có khả năng chuyển các thông tin tài chính về văn phòng chính ở Denver. Những người sử dụng cũng sẽ sử dụng các máy tính xách tay khi họ tới văn phòng chính. Bạn phải điều khiển quãng thời gian họ được phép kết nối khi họ kết nối tới máy chủ Routing And Remote Access ở Denver thông qua các card không dây. Mỗi chi nhánh có hai máy chủ cài đặt hệ điều hành Windows Server 2003. Mỗi văn phòng của chi nhánh mới sẽ được kết nối tới một nhà cung cấp dịch vụ Internet (ISP) bằng đường thuê bao số (DSL) 256 Kbps. Mỗi đường kết nối này phải được bảo mật bằng phương pháp mã hóa cao nhất có thể. Địa chỉ IP dành cho Trey Research như sau:


188


♦ Văn phòng chính: 172.16.0.0/24

♦ Dallas: 10.10.10.0/24

♦ Kansas City: 172.16.0.0/16 Gần đây, Trey Research có mua một trung tâm phân phối đặt tại Atlanta. Công ty không muốn xảy ra các chi phí không cần thiết khi kết nối trung tâm phân phối tới văn phòng chính. Tất cả các đơn đặt hàng sẽ được fax tới trung tâm này. Kế đó người sử dụng ở Atlanta phải có khả năng truy cập vào trạng thái của đơn đặt hàng và thông tin về việc xử lý đơn đặt hàng bằng cách sử dụng IIS 6 trên một máy tính đặt tại văn phòng chính cài đặt Windows Server 2003. Văn phòng của chi nhánh Atlanta được kết nối tới văn phòng Denver bằng đường kết nối Frame Relay 56 Kbps. Mạng ở Atlanta hiện nay đang sử dụng địa chỉ mạng 192.168.0.0/24. Có hai máy chủ Windows Server 2003 đặt tại Atlanta. Bạn có thể sử dụng phương tiện trong bài thực hành này như thế nào để cấu hình một mạng để đáp ứng tất cả những yêu cầu này?


189

DUY TRÌ KIẾN TRÚC MẠNG

THỰC HÀNH 8: DUY TRÌ KIẾN TRÚC MẠNG Thực hành này gồm có các bài tập và các hoạt động sau:

♦ Bài tập 8-1: Sử dụng công cụ Task Manager

♦ Bài tập 8-2: Sử dụng màn hình quản trị Performance

♦ Bài tập 8-3: Giám sát lưu lượng mạng

♦ Bài tập 8-4: Xử lý sự cố kết nối

♦ Bài tập 8-5: Cấu hình các dịch vụ trên Windows Server 2003

♦ Bài tập 8-6: Gỡ bỏ các thành phần đã được cài đặt

♦ Các câu hỏi ôn tập cho bài thực hành

♦ Thực hành nâng cao 8-1: Giám sát và xử lý sự cố mạng Sau khi hoàn thành bài thực hành này, bạn có thể:

♦ Sử dụng công cụ Task Manager để hiển thị các thống kế theo thời gian thực.

♦ Thêm và gỡ bỏ các bộ đếm hiệu năng hệ thống.

♦ Cấu hình các cảnh báo về hiệu năng hệ thống.

♦ Sử dụng công cụ Network Monitor để giám sát lưu lượng mạng.

♦ Sử dụng các công cụ xử lý sự cố khác nhau.

♦ Cấu hình các dịch vụ trên Windows Server 2003. Thời gian dự kiến: 115 phút (thời gian này bao gồm cả quá trình thiết lập chuẩn bị trước khi bắt đầu bài tập)

CÁC BƯỚC CHUẨN BỊ Thời gian dự kiến: 10 phút


190


QUAN TRỌNG Nếu bạn chưa hoàn thành các bài tập trong Lab4, “Quản trị và giám sát dịch vụ DNS”, bạn phải hoàn thành các bài tập chuẩn bị dưới đây.

======================================================

Cài đặt các công cụ hỗ trợ Windows Server 2003 QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính học viên. Qua đó sẽ cho phép bạn cài đặt công cụ hỗ trợ Windows Server 2003 trên máy tính của bạn.


2. Nhấp Start rồi nhấp vào My Computer.

3. Trong cửa sổ My Computer, nhấp chuột phải vào ổ đĩa CD-ROM của bạn rồi nhấp Open. (Đĩa CD-ROM cài đặt Windows Server 2003 phải được đưa vào trong ổ đĩa CD)

4. Mở thư mục Support, mở thư mục Tools rồi nhấp đúp vào file Support.msi.

5. Trong cửa sổ Windows Support Tools Setup Wizard, nhấp Next.

6. Trên trang End User Licence Agreement, xem xét các quy định về licence rồi nhấp I Agree nếu bạn chấp nhận những quy định này. (Nếu bạn không chấp thuận những quy định nói trên, bạn sẽ không thể tiếp tục quá trình cài đặt). Nhấp Next.

7. Trên trang User Information chấp nhận tên và tổ chức mặc định rồi nhấp Next để tiếp tục.

8. Trên trang Destination Directory, nhấp Install Now để bắt đầu quá trình cài đặt.

9. Trên trang Completing The Windows Support Tools Setup Wizard nhấp Finish để hoàn thành quá trình cài đặt công cụ hỗ trợ.

10. Đóng tất cả cửa sổ đang mở. TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003

191


======================================================

Cài đặt dịch vụ WWW và FTP QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính học viên. Qua đó sẽ cho phép bạn cài đặt dịch vụ WWW và FTP trên máy chủ của bạn chạy hệ điều hành Windows Server 2003.


2. Nhấp Start rồi chọn Control Panel rồi nhấp vào Add Or Remove Programs.

3. Trong cửa sổ Add Or Remove Programs nhấp Add/Remove Windows Components.

4. Trong phần Components của Windows Components Wizard, lựa chọn Application Server rồi nhấp nút Details.

5. Trong cửa sổ Application Server, lựa chọn Internet Information Services (IIS) rồi nhấp nút Details.

6. Trong cửa sổ Internet Information Services (IIS), lựa chọn File Transfer Protocol (FTP) Service và World Wide Web Service rồi nhấp OK.

7. Trong cửa sổ Internet Information Services (IIS) nhấp OK.

8. Trong cửa sổ Application Server nhấp OK.

9. Trong Windows Components Wizard nhấp Next.

10. Nếu hệ điều hành yêu cầu bạn chỉ vị trí các file cài đặt, đưa đĩa CD cài đặt Windows Server 2003 vào ổ đĩa CD-ROM rồi nhấp OK.

11. Trên trang Completing The Windows Components Wizard nhấp Finish.

12. Đóng tất cả các cửa sổ đang mở lại. ====================================================== TRIỂN KHAI, QUẢN TRỊ VÀ DUY TRÌ CƠ SỞ HẠ TẦNG MẠNG VỚI WINDOWS SERVER 2003

192


Cấu hình dịch vụ WWW và FTP QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính học viên. Qua đó sẽ cho phép bạn cấu hình dịch vụ WWW và FTP trên máy chủ của bạn cài đặt hệ điều hành Windows Server 2003.


2. Nhấp Start, trỏ tới All Programs, lựa chọn Accessories rồi nhấp vào Notepad để mở Microsoft Notepad.

3. Trong cửa sổ Untitled – Notepad, gõ đoạn văn bản sau: <html> <head> <title>Welcome to the World Wide Web </title> </head> <body> This is the default page for the World Wide Web service!! </body> </html>

4. Trong cửa sổ Untitled – Notepad, nhấp File rồi kế đó chọn Save As.

5. Trong cửa sổ Save As, nhấp vào My Comouter ở bên trái rồi trỏ tới thư mục C:\Inetpub\Wwwroot.

6. Trong cửa sổ Save As, gõ default.htm vào trong hộp File Name rồi nhấp vào Save để lưu file Default.htm vào trong thư mục C:\Inetpub\Wwwroot. Nếu được thông báo về việc ghi đè lên file Default.htm sẵn có nhấp Yes để tiếp tục tiến trình.



193


KỊCH BẢN Bạn là nhà quản trị mạng của công ty Contoso, Ltd. Vài tháng gần đây bạn có triển khai một vài máy chủ cài đặt hệ điều hành Windows Server 2003 trên mạng của bạn. Mỗi máy chủ cung cấp các dịch vụ mạng khác nhau. Bạn nhận được một vài phản hồi từ phía người sử dụng rằng các máy chủ dường như có vấn đề. Windows Server 2003 và Support Tools bao gồm một vài công cụ có thể được sử dụng thu thập các con số thống kê và xử lý sự cố liên quan đến lỗi kết nối. Với chúng bạn quyết định giám sát mức độ sử dụng tài nguyên trên máy chủ và xử lý sự cố về kết nối mạng.

BÀI TẬP 8-1: SỬ DỤNG CÔNG CỤ TASK MANAGER Thời gian dự kiến: 10 phút Khi những người sử dụng của bạn phản hồi rằng họ có vấn đề về mạng, trước hết bạn phải thu thập các con số thống kê theo thời gian thực trên máy chủ của bạn. ======================================================

Hiển thị các tiến trình QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn hiển thị tiến trình hiện đang hoạt động trên máy tính Windows Server 2003 của bạn.


2. Sử dụng tổ hợp phím CTRL+ALT+DEL để mở cửa sổ Windows Security.

3. Trong cửa sổ Windows Security, nhấp Task Manager để mở cửa sổ Windows Task Manager. Giữ nguyên màn hình Task Manager đang mở.

4. Nhấp Start, chọn Run rồi nhập notepad vào trong hộp Open rồi nhấp phím ENTER.


194


5. Nhấp Start, chọn Run rồi nhập wordpad vào trong hộp Open rồi nhấp phím ENTER. CÂU HỎI Các ứng dụng Microsoft Notepad và Microsoft Wordpad có được liệt kê trong thẻ Applications trong Windows Task Manager không?

6. Trong cửa sổ Windows Task Manager nhấp vào thẻ Processes. CÂU HỎI Các tiến trình Notepad.exe và Wordpad.exe có được liệt kê trong thẻ Processes trong Windows Task Manager không?

7. Trong thẻ Processes, trong cột Image Name nhấp vào Notepad.exe rồi nhấp End Process.

8. Trong hộp thoại Task Manager Warning nhấp Yes để xác nhận việc kết thúc tiến trình này. Chú ý rằng cửa sổ Notepad đã được đóng lại.

9. Trong thẻ Processes, trong cột Image Name nhấp vào Wordpad.exe rồi nhấp End Process.

10. Trong hộp thoại Task Manager Warning nhấp Yes để xác nhận việc kết thúc tiến trình này. Chú ý rằng cửa sổ Wordpad đã được đóng lại.

11. Đóng cửa sổ Windows Task Manager lại. ======================================================

Hiển thị dữ liệu hiệu năng hoạt động hệ thống theo thời gian thực

QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn hiển thị mức độ sử dụng CPU theo thời gian thực trên máy tính của bạn.




195



4. Trong cửa sổ Windows Task Manager nhấp vào thẻ Performance.

5. Nhấp Start, chọn Run rồi nhập calc vào trong hộp Open rồi nhấp phím ENTER để mở Microsoft Calculator.

6. Trong cửa sổ Calculator, nhấp View rồi kế đó nhấp Scientific.

7. Trên bàn phím số trong Calcuator, nhấp 999 rồi kế đó nhấp x^3 một vài lần để tạo các con số thống kê về CPU và page file. Chú ý rằng mức độ sử dụng CPU đã tăng lên qua màn hình hiển thị Task Manager.


Hiển thị dữ liệu mạng theo thời gian thực QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn hiển thị mức độ sử dụng mạng trên máy chủ cài đặt hệ điều hành Windows Server 2003 của bạn.




4. Trong cửa sổ Windows Task Manager nhấp vào thẻ Networking.

5. Nhấp Start, chọn Run rồi nhập \\computerxx\c$ (trong đó compu-terxx là tên máy tính đối tác của bạn) vào trong hộp Open.


196


6. Trong cửa sổ Computerxx (trong đó computerxx là tên máy tính đối tác của bạn), nhấp chuột phải vào thư mục Program Files rối nhấp Copy.

7. Nhấp chuột phải vào vùng không gian trống trên mặt màn hình máy chủ của bạn rồi nhấp Paste. Trong quá trình các file được copy tới máy tính của bạn, chú ý rằng mức độ sử dụng của card mạng LAN gia tăng.

8. Xóa thư mục Program Files trên mặt màn hình.


BÀI TẬP 8-2: SỬ DỤNG MÀN HÌNH QUẢN TRỊ PERFORMANCE Thời gian dự kiến: 15 phút Bước tiếp theo trong quá trình thu thập thông tin về hiệu suất hoạt động máy tính cài đặt hệ điều hành Windows Server 2003 của bạn đó là xử lý sự cố các vấn đề trên máy chủ bằng cách sử dụng màn hình quản trị Performance với các bộ đếm xác định. ======================================================

Thêm và gỡ bỏ các bộ đếm QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn thêm và gỡ bỏ các bộ đếm hiệu suất.


2. Nhấp Start, chọn Administrative Tools rồi chọn Performance để khởi tạo màn hình quản trị Performance.

3. Trong màn hình Performance, xóa các bộ đếm trong màn hình mặc định System Monitor. (Gợi ý: nhấp vào biểu tượng X trên thanh menu)


197


4. Trong màn hình quản trị, lựa chọn System Monitor trong Console Root.

5. Trong màn hinh Performance, trong phần hiển thị chi tiết nhấp vào biểu tượng (+) để thêm các bộ đếm Performance Monitor.

6. Trong hộp thoại Add Counters, trong danh sách thả xuống Performance Object nhấp Processor. Trong phần Select Counters From List nhấp %Processor Time rồi nhấp Add.

7. Trong hộp thoại Add Counters, trong danh sách thả xuống Performance Object nhấp Memory. Trong phần Select Counters From List nhấp Available Bytes rồi nhấp Add.

8. Trong hộp thoại Add Counters, trong danh sách thả xuống Performance Object nhấp PhysicalDisk. Trong phần Select Counters From List nhấp % Disk Read Time rồi nhấp Add.

9. Trong hộp thoại Add Counters, trong danh sách thả xuống Performance Object nhấp Network Interface. Trong phần Select Counters From List nhấp Bytes Total/s rồi nhấp Add.

10. Nhấp Close để đóng hộp thoại Add Counters rồi thu nhỏ màn hình Performance lại.

======================================================

Hiển thị các số liệu thống kê về hiệu suất hoạt động QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn hiển thị các số liệu thống kê về hiệu suất hoạt động của hệ thống.


2. Nhấp Start, chọn Administrative Tools rồi kế tiếp chọn Computer Management.


198


3. Trên màn hình Computer Management, trong phần Storage nhấp Disk Defragmenter.

4. Trong màn hình hiển thị chi tiết nhấp Analyze.

5. Khi tiến trình phân tich chống phân mảnh đĩa kết thúc, nhấp Close để đóng thông báo Analysis Complete lại.

6. Đóng màn hình Computer Management lại rồi thu nhỏ màn hình Performance.

7. Trong màn hình hiển thị chi tiết, nhấp nút Freeze Display (vòng tròn đỏ với chữ X màu trắng) hoặc nhấp CTRL+F.

8. Tại phía dưới của màn hình hiển thị chi tiết, trong phần Counter xác nhận rằng %Processor Time đã được lựa chọn.

9. Giữ phím CTRL rồi nhấp H để làm sáng bộ đếm được chọn hiện tại.

10. Sử dụng các phím mũi tên lên và xuống trên bàn phím để hiển thị các bộ đếm khác. CÂU HỎI Các tài nguyên hệ thống nào mà Disk Defragmenter sử dụng?

======================================================

Tạo và cấu hình một cảnh báo QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn cấu hình một cảnh báo được gửi tới người quản trị hệ thống.


2. Nhấp Start, chọn Administrative Tools rồi chọn Performance để khởi tạo màn hình quản trị Performance.

3. Trong màn hình Performance, mở rộng phần Performance Log And Alerts rồi nhấp chuột phải vào Alerts.


199


4. Trên menu tắt, chọn New Alert Settings.

5. Trong hộp thoại New Alert Settings, nhập disk time rồi nhấp OK.

6. Trong trang Disk Time, trong thẻ General nhấp Add.

7. Trong trang Add Counters, từ danh sách thả xuống Performance object chọn PhysicalDisk.

8. Trong danh sách Select Counters From chọn %Disk Time rồi nhấp Add.

9. Nhấp Close để đóng trang Add Counters lại.

10. Trên trang Disk Time, trong thẻ General, trong hộp Limit nhập 50.

11. Trên trang Disk Time, trong thẻ General, trong hộp Interval nhập 5.

12. Trong hộp Run As xác nhận rằng bạn đã chọn <Default>.

13. Trong thẻ Action, chọn Send A Network Message To rồi gõ administrator.

14. Trong thẻ Schedule, trong Start Scan xác nhận rằng bạn đã chọn Manually rồi nhấp OK.

15. Trong màn hình Performance chọn Alerts và trong màn hình hiển thị chi tiết nhấp chuột phải vào cảnh báo Disk Time và chọn Start. Cảnh báo Disk Time chuyển thành màu xanh chỉ rằng cảnh báo đã được khởi tạo.

16. Đóng màn hình Performance lại. ======================================================

Cấu hình khởi tạo dịch vụ truyền thông điệp Messenger QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn nhận thông báo của cảnh báo mà bạn đã cấu hình trong bài tập trước:“Tạo và cấu hình một cảnh báo”.


200



2. Nhấp Start, chọn Control Panel rồi kích đúp vào Administrative Tools và cuối cùng chọn Services.

3. Trong phần hiển thị chi tiết của màn hình Services, xác định rồi kích đúp vào dịch vụ Messenger trong danh sách các dịch vụ cục bộ của máy tính.

4. Trên trang Messenger Properties (Local Computer), trong thẻ General, từ danh sách Startup Type chọn Manual rồi nhấp Apply.

5. Nhấp Start để khởi tạo dịch vụ Messenger trên máy tính cục bộ.

6. Nhấp OK để đóng trang Messenger Properties (Local Computer) lại.

7. Đóng màn hình Services lại. ======================================================

Khởi tạo một cảnh báo QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn khởi tạo một cảnh báo và nhận thông báo đó.


2. Nhấp Start rồi nhấp vào My Computer để mở cửa sổ My Computer.

3. Trong cửa sổ My Computer, nhấp chuột phải vào ổ đĩa C rồi nhấp Properties.

4. Trong trang Local Disk (C;) Properties nhấp thẻ Tools.

5. Trong thẻ Tools, trong phần Defragmentation, nhấp Defragment Now để mở cửa sổ Disk Defragmenter.


201


6. Trong cửa sổ Disk Defragmenter, nhấp Defragment. Để xem một cảnh báo, đợi trước khi đóng tất cả các cửa sổ đang mở.

7. Sau khi bạn nhận được cảnh báo, đóng tất cả các cửa sổ đang mở lại. ======================================================

Dừng quá trình cảnh báo QUAN TRỌNG Hoàn thành công việc này trên cả hai máy của học viên. Qua đó sẽ cho phép bạn dừng cảnh báo mà bạn đã tạo trong bài trước.



3. Kích đúp vào Performance để khởi tạo màn hình Performance.

4. Trong màn hình Performance, mở rộng phần Performance Logs And Alerts rồi nhấp Alerts.

5. Trong phần hiển thị chi tiết, chọn Disk Time alert, nhấp chuột phải vào nó rồi nhấp Stop.

BÀI TẬP 8-3: GIÁM SÁT LƯU LƯỢNG MẠNG Thời gian dự kiến: 15 phút Sau khi thu thập thông tin máy tính cục bộ và các số liệu thống kê để xử lý sự cố kết nối mạng, giờ đây bạn phải thông tin về lưu lượng mạng. ======================================================

Cài đặt Network Monitor QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính của học viên. Qua đó sẽ cho phép bạn cài đặt Network Monitor trên máy chủ cài đặt Windows Server 2003 của bạn. Kế đó, Network Monitor còn được sử dụng để dự đoán các gói tin mà máy chủ nhận được.


202



2. Nhấp Start chọn Control Panel rồi nhấp vào Add Or Remove Programs.

3. Trong cửa sổ Add Or Remove Programs nhấp Add/Remove Windows Components.

4. Trong phần Components của Windows Components Wizard, lựa chọn Management And Monitoring Tools rồi nhấp nút Details.

5. Trong cửa sổ Management And Monitoring Tools, chọn hộp kiểm tra Network Monitor Tools rồi nhấp OK.


7. Nếu hệ điều hành yêu cầu bạn chỉ vị trí các file cài đặt, đưa đĩa CD cài đặt Windows Server 2003 vào ổ đĩa CD-ROM rồi nhấp OK.



Thu thập và lọc dữ liệu FTP bằng Network Monitor QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính của học viên. Qua đó sẽ cho phép bạn mở một phiên với dịch vụ FTP trên máy tính đối tác của bạn.


2. Chọn Start -> Control Panel -> Administrative Tools -> Network Monitor.


203


3. Nếu nhận được thông báo về card mạng, nhấp vào card Contoso Ltd Network rồi nhấp OK.

4. Trong cửa sổ Microsoft Network Monitor, nhấp Capture trên thanh công cụ rồi nhấp Start. QUAN TRỌNG Đợi đối tác của bạn hoàn thành các bước trên rồi mới tiếp tục.

5. Chọn Start -> All Programs -> Internet Explorer để mở Microsoft Internet Explorer.

6. Trong hộp thoại Internet Explorer, lựa chọn In The Future, Do Not Show This Message rồi nhấp OK.

7. Trong thanh bar Internet Explorer Address, nhập ftp://computerxx (trong đó computerxx là tên máy tính đối tác của bạn) QUAN TRỌNG Đợi đối tác của bạn hoàn thành các bước trên rồi mới tiếp tục.

8. Trong cửa sổ Microsoft Network Monitor, nhấp Capture trên thanh công cụ rồi nhấp Stop And View.

9. Trong cửa sổ Microsoft Network Monitor, cửa sổ Capture:1 (Summary) nhấp Display trên thanh công cụ rồi nhấp Filter.

10. Trong cửa sổ Display Filter, nhấp Protocol == Any rồi nhấp Edit Expression.

11. Trong cửa sổ Expression, trong thẻ Protocol, nhấp vào nút Disable All.

12. Trong phần Disable Protocols, chọn FTP, nhấp nút Enable rồi nhấp OK. Đợi một phút để quan sát những loại dữ liệu nào được Network Monitor thu thập.

13. Trong cửa sổ Display Filter nhấp OK.

14. Đóng cửa sổ Network Monitor lại.


204

ftp://computerxx/


15. Khi bạn nhận được thông báo về việc lưu việc thu thập trong hộp thoại Microsoft Network Monitor, nhấp No.


Thu thập và lọc dữ liệu HTTP bằng Network Monitor QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính của học viên. Qua đó sẽ cho phép bạn mở một phiên với dịch vụ HTTP trên máy tính đối tác của bạn.


2. Chọn Start -> Control Panel -> Administrative Tools -> Network Monitor.

3. Nếu nhận được thông báo về card mạng, nhấp vào card Contoso Ltd Network rồi nhấp OK.

4. Trong cửa sổ Microsoft Network Monitor, nhấp Capture trên thanh công cụ rồi nhấp Start. QUAN TRỌNG Đợi đối tác của bạn hoàn thành các bước trên rồi mới tiếp tục.

5. Chọn Start -> All Programs -> Internet Explorer để mở Microsoft Internet Explorer.

6. Trong hộp thoại Internet Explorer, lựa chọn In The Future, Do Not Show This Message rồi nhấp OK.

7. Trong thanh bar Internet Explorer Address, nhập http://computerxx (trong đó computerxx là tên máy tính đối tác của bạn) QUAN TRỌNG Đợi đối tác của bạn hoàn thành các bước trên rồi mới tiếp tục.

8. Trong cửa sổ Microsoft Network Monitor, nhấp Capture trên thanh công cụ rồi nhấp Stop And View.


205

http://computerxx/


9. Trong cửa sổ Microsoft Network Monitor, cửa sổ Capture:1 (Summary) nhấp Display trên thanh công cụ rồi nhấp Filter.

10. Trong cửa sổ Display Filter, nhấp Protocol == Any rồi nhấp Edit Expression.

11. Trong cửa sổ Expression, trong thẻ Protocol, nhấp vào nút Disable All.

12. Trong phần Disable Protocols, chọn HTTP, nhấp nút Enable rồi nhấp OK.

13. Trong cửa sổ Display Filter nhấp OK. Đợi một phút để quan sát dữ liệu mà Network Monitor thu thập.

14. Đóng cửa sổ Network Monitor lại.

15. Khi bạn nhận được thông báo về việc lưu việc thu thập trong hộp thoại Microsoft Network Monitor, nhấp No.


BÀI TẬP 8-4: XỬ LÝ SỰ CỐ KẾT NỐI Thời gian dự kiến: 15 phút Người sử dụng trên mạng Contoso thông báo rằng có vấn đề khi kết nối tới máy chủ và các tài nguyên khác như Internet chẳng hạn. Trong bài này, bạn sẽ sử dụng một vài công cụ trên Windows Server 2003 để xử lý sự cố liên quan đến vấn đề kết nối. ======================================================

Sử dụng Ipconfig QUAN TRỌNG Hoàn thành công việc này trên máy tính của cả hai học viên. Qua đó sẽ cho phép bạn kiểm tra cấu hình địa chỉ IP trên các máy chủ cài đặt Windows Server 2003 của bạn.



206


2. Nhấp Start, chọn Run rồi gõ cmd vào trong hộp Open kế đó nhấp phím ENTER.

3. Trong cửa sổ chế độ dòng lệnh, tại dấu nhắc lệnh, gõ ipconfig /? rồi nhấp phím ENTER. CÂU HỎI Có những lựa chọn nào khi bạn sử dụng công cụ Ipconfig?

4. Trong cửa số chế độ dòng lệnh, tại dấu nhắc lệnh, gõ ipconfig /all. Ghi lại thông tin mà câu lệnh cung cấp về card mạng Contoso Ltd Network vào phần dưới đây: IP address:_____________________________________________ Subnet mask:___________________________________________ Default gateway:________________________________________ DNS servers:___________________________________________ Host name:_____________________________________________ Physical address:________________________________________


Sử dụng Tracert QUAN TRỌNG Hoàn thành công việc này trên máy tính của cả hai học viên. Qua đó sẽ cho phép bạn sử dụng công cụ Tracert để kiểm tra kết nối tới máy khác cài đặt chồng giao thức TCP/IP.



3. Trong cửa sổ chế độ dòng lệnh, tại dấu nhắc lệnh, gõ tracert instruc-tor01.contoso.com rồi nhấp phím ENTER. CÂU HỎI Để tới đích nó phải đi qua bao nhiêu bước nhảy (hop)? CÂU HỎI Địa chỉ IP của host instructor.contoso.com là gì?


207



Sử dụng PathPing QUAN TRỌNG Hoàn thành công việc này trên máy tính của cả hai học viên. Qua đó sẽ cho phép bạn sử dụng công cụ PathPing để kiểm tra kết nối tới máy khác cài đặt chồng giao thức TCP/IP.



3. Trong cửa sổ chế độ dòng lệnh, tại dấu nhắc lệnh, gõ pathping instructor01.contoso.com rồi nhấp phím ENTER. CÂU HỎI Phần trăm gói tin bị mất là bao nhiêu?


Sử dụng Netstat QUAN TRỌNG Hoàn thành công việc này trên máy tính của cả hai học viên. Qua đó sẽ cho phép bạn sử dụng công cụ Netstat để hiển thị giao thức và thông tin về các cổng TCP/UDP trên máy chủ cài đặt Windows Server 2003 của bạn.



3. Trong cửa sổ chế độ dòng lệnh, tại dấu nhắc lệnh, gõ netstat -na rồi nhấp phím ENTER. CÂU HỎI Các cổng TCP/UDP nào được sử dụng trên máy tính của bạn?


208



Sử dụng Netdiag QUAN TRỌNG Hoàn thành công việc này trên máy tính của cả hai học viên. Qua đó sẽ cho phép bạn sử dụng công cụ Netdiag trong quá trình trợ giúp xử lý sự cố về kết nối mạng.


2. Chọn Start -> All Programs -> Windows Support Tools -> Command Prompt.

3. Trong cửa sổ chế độ dòng lệnh, tại dấu nhắc lệnh, gõ netdiag /l rồi nhấp phím ENTER.

4. Nhấp Start, chọn My Computer rồi trỏ đến thư mục C:\Documents And Settings\Administrator và kích đúp vào thư mục này.

5. Trong cửa sổ C:\Program Files\Support Tools, xác định và kích đúp vào file Netdiag.log. CÂU HỎI Loại thông tin gì mà công cụ Netdiag hiển thị? (Gợi ý: sử dụng file log nói trên để ghi lại câu trả lời của bạn)

BÀI TẬP 8-5: CẤU HÌNH CÁC DỊCH VỤ TRÊN WINDOWS SERVER 2003 Thời gian dự kiến: 15 phút Bạn thực hiện một vài thay đổi cấu hình trong các bài tập trước trong quá trình xử lý sự cố và một số trong đó yêu cầu dừng và khởi động các dịch vụ trên Windows Server 2003. Sau khi hoàn thành các bước cài đặt và cấu hình, bây giờ bạn phải xem và cấu hình các dịch vụ trên máy chủ của bạn. ======================================================


209


Xem tính phụ thuộc của dịch vụ QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính của học viên. Qua đó sẽ cho phép bạn xem tính phụ thuộc của dịch vụ trên Windows Server 2003.



3. Trong cửa sổ Administrative Tools, kích đúp vào Services.

4. Trong màn hình hiển thị chi tiết, kích đúp vào dịch vụ World Wide-Web Publishing Service.

5. Trên trang World Wide Web Publishing Service (Local Computer), nhấp vào thẻ Dependencies. CÂU HỎI Dịch vụ World Wide Web Publishing Service phụ thuộc vào những dịch vụ nào? (Gợi ý: tìm trong phần This Service Depends On The Following System Components) CÂU HỎI Những dịch vụ nào phụ thuộc vào dịch vụ World Wide Web Publishing Service? (Gợi ý: tìm trong phần Following System Components Depend On This Service)

6. Trong trang World Wide Web Publishing Service (Local Computer), nhấp OK.

======================================================

Cấu hình các lựa chọn khởi tạo dịch vụ QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính của học viên. Qua đó sẽ cho phép bạn cấu hình các lựa chọn về khởi tạo dịch vụ trên hệ điều hành Windows Server 2003.



210




4. Trong màn hình hiển thị chi tiết, kích đúp vào dịch vụ Telnet. CÂU HỎI Trạng thái của dịch vụ Telnet trên máy tính của bạn là gì?

5. Nhấp OK để đóng trang Telnet Properties.

6. Giữ nguyên màn hình Services đang mở.


8. Trong cửa sổ chế độ dòng lệnh, tại dấu nhắc lệnh, gõ telnet comput-erxx (trong đó computerxx là tên máy tính của bạn) rồi nhấp phím ENTER. CÂU HỎI Bạn nhận được thông báo lỗi gì khi cố gắng kết nối sử dụng Telnet?

9. Đóng cửa sổ chế độ dòng lệnh lại.

10. Trong màn hình Services kích đúp vào dịch vụ Telnet.

11. Trên trang Telnet Properties (Local Computer), trong danh sách thả xuống Startup Type, lựa chọn Automatic rồi nhấp OK để đóng trang Telnet Properties.

12. Đóng tất cả các cửa sổ đang mở lại rồi khởi động máy chủ của bạn.




16. Trong màn hình hiển thị chi tiết, kích đúp vào dịch vụ Telnet.


211


CÂU HỎI Trạng thái của dịch vụ Telnet trên máy tính của bạn là gì? 17. Nhấp Start, chọn Run rồi gõ cmd vào trong hộp Open kế đó nhấp

phím ENTER.

18. Trong cửa sổ chế độ dòng lệnh, tại dấu nhắc lệnh, gõ telnet comput-erxx (trong đó computerxx là tên máy tính của bạn) rồi nhấp phím ENTER. Nếu bạn nhận được thông báo yêu cầu nhập các chứng thực, cung cấp các thông số sau:

a. Login: administrator

b. Password: MSPress@LS#1 CÂU HỎI Bạn có thể kết nối tới dịch vụ Telnet đang chạy trên máy tính học viên của bạn không?


Khởi tạo và dừng các dịch vụ QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính của học viên. Qua đó sẽ cho phép bạn khởi tạo và dừng một dịch vụ trên hệ điều hành Windows Server 2003.




4. Trong màn hình hiển thị chi tiết, kích đúp vào dịch vụ Telnet.

5. Trên trang Telnet Properties, trong phần Service Status nhấp Stop để dừng dịch vụ Telnet.

6. Trên trang Telnet Properties, trong phần Service Status nhấp Start để khởi tạo dịch vụ Telnet.


212



BÀI TẬP 8-6: GỠ BỎ CÁC THÀNH PHẦN CÀI ĐẶT Thời gian dự kiến: 5 phút Trong bài tập này, bạn sẽ gỡ bỏ các thiết lập cấu hình mà bạn đã tạo ra hoặc cấu hình trong các bài tập trước. Thực hiện công việc này sẽ giúp bạn loại bỏ những sự phụ thuộc có thể ảnh hưởng đến các bài tập sau. ======================================================

Gỡ bỏ dịch vụ IIS QUAN TRỌNG Hoàn thành công việc này trên cả hai máy tính của học viên. Qua đó sẽ cho phép bạn gỡ bỏ dịch vụ IIS ra khỏi máy chủ cài đặt Windows Server 2003 của bạn.


2. Nhấp Start, chọn Control Panel rồi nhấp vào Add Or Remove Programs.

3. Trong cửa sổ Add Or Remove Programs, nhấp Add/Remove Windows Components.

4. Trong Windows Components Wizard, trong phần Components, lựa chọn Application Server rồi nhấp vào nút Details.

5. Trong cửa sổ Application Server, xóa hộp kiểm tra Internet Information Services (IIS) rồi nhấp OK.





213



1. Tên của năm công cụ có thể được sử dụng trên một máy tính cài đặt hệ điều hành Windows Server 2003 nhằm hỗ trợ bạn trong việc xử lý sự cố liên quan tới các vấn đề mạng là gì?

2. Các kiểu gói tin nào mà Network Monitor có thể sử dụng để thu thập?

3. Ba sự lựa chọn cho quá trình khởi tạo của một dịch vụ trên hệ điều hành Windows Server 2003 là gì?

4. Bốn thẻ trong công cụ Task Manager có thể được sử dụng để xử lý sự cố là gì?

5. Các công cụ nào trên Windows Server 2003 có thể được sử dụng để kiểm tra kết nối tới máy tính TCP/IP khác?

6. Các công cụ nào trên Windows Server 2003 có thể được sử dụng để hiển thị các con số thống kê IP và thông tin cấu hình về một máy chủ?

7. Hai công cụ nào có thể được sử dụng để hiển thị các con số thống kê về hiệu năng hoạt động theo thời gian thực trên một máy tính cài đặt Windows Server 2003?

THỰC HÀNH NÂNG CAO 8-1: GIÁM SÁT VÀ XỬ LÝ SỰ CỐ MẠNG Thời gian dự kiến: 15 phút Bạn là nhà quản trị mạng miền con của contoso.com. Hiện tại bạn có hai máy chủ điều khiển vùng DC cho miền con này. Do công việc kiểm định mạng nên bạn phải ghi lại cấu hình các máy chủ DC này. Thông tin này bao gồm: địa chỉ IP, địa chỉ MAC, các cổng TCP/UDP mở và cấu hình DNS trên mỗi máy chủ. Bạn đã triển khai tính năng Remote Desktop for Administration trên các máy chủ nhưng bây giờ bạn cần telnet từ một DC này tới một DC khác để copy một vài tài liệu. Bạn phải cấu hình Telnet sao cho dịch vụ này không được khởi động sau khi hệ thống được khởi động lại do những lỗ hổng về bảo mật gây ra. Lập một kế hoạch để thực hiện chính sách kiểm định này và cấu hình dịch vụ Telnet một cách chính xác.


214



215