-1-

TÀI LIỆU HƢỚNG DẪN

THỰC HÀNH XÂY DỰNG HỆ THỐNG MẠNG

WINDOWS SERVER 2008

(LƢU HÀNH NỘI BỘ ATHENA)

-2-

MỤC LỤC

LỜI CÁM ƠN ................................................................................ Error! Bookmark not defined.

LỜI MỞ ĐẦU ................................................................................................................................. 4

CHƢƠNG I: TỔNG QUAN ĐỀ TÀI .............................................................................................. 5

I. GIỚI THIỆU KHÁI QUÁT VỀ CÔNG TY ...................... Error! Bookmark not defined.

1. GIỚI THIỆU VỀ DOANH NGHIỆP: ........................... Error! Bookmark not defined.

2. TRỤ SỞ VÀ CÁC CHI NHÁNH: ................................. Error! Bookmark not defined.

II. KHÁI QUÁT ĐỀ TÀI ..................................................................................................... 5

CHƢƠNG II: CÁC BƢỚC THỰC HIỆN ĐỀ TÀI ......................................................................... 6

I. Upgrade Domain Controller 2003 to Domain Controller 2008: .......................................... 6

1. Mục đích: ......................................................................................................................... 6

2. Các bƣớc thực hiện: ......................................................................................................... 6

3. Các bƣớc thực hiện: ......................................................................................................... 6

a. Nâng cấp Domain Functional Level: ........................................................................... 6

b. Upgrade lên Windows Server 2008: ............................................................................ 7

c. Kiểm tra sau khi nâng cấp: .......................................................................................... 9

II. Nâng cấp Domain Controller – Domain Group – Domain User – Client Join Domain 10

1. Chuẩn bị:........................................................................................................................ 10

2. Các bƣớc thực hiện: ....................................................................................................... 10

a. Nâng cấp Domain Controller: .................................................................................... 10

b. Join máy workstation vào Domain: ........................................................................... 14

c. Tạo Domain Group: ................................................................................................... 15

d. Tạo Domain User: ..................................................................................................... 15

III. Windows Deployment Services: ................................................................................... 16

1. Mục đích: ....................................................................................................................... 16

2. Chuẩn bị:........................................................................................................................ 16

3. Các bƣớc thực hiện: ....................................................................................................... 17

a. Cài đặt và cấu hình DHCP: ........................................................................................ 17

b. Cài đặt và cấu hình WDS: ......................................................................................... 18

c. Thực hiên tại máy Client ........................................................................................... 23

IV. Windows Server Backup ............................................................................................... 24

V. Network Access Protection ............................................................................................... 32

1. Mục đích: ....................................................................................................................... 32

2. Chuẩn bị:........................................................................................................................ 33

3. Các bƣớc thực hiện ........................................................................................................ 33

a. Cấu hình Nap server: ................................................................................................. 33

b. Cài đặt và Cấu hình dịch vụ DHCP ........................................................................... 37

c. Cấu hình trên máy Client ........................................................................................... 38

d. Cấu hình truy cập hạn chế ......................................................................................... 40

VI. VPN SSTP ..................................................................................................................... 42

1. Mục đích: ....................................................................................................................... 42

2. Cài đặt Stand Alone Root CA........................................................................................ 42

3. VPN Server xin và cài Certificate ................................................................................. 43

VII. Internet Information Service 7.0 .................................................................................... 48

1. Cấu hình IIS Server ....................................................................................................... 48

VIII. DFS ............................................................................................................................ 53

1. Giới thiệu ....................................................................................................................... 53

-3-

2. Cài đặt DFS role service ................................................................................................ 54

IX. AD RMS ........................................................................................................................ 57

1. Khái quát về AD RMS................................................................................................... 57

2. Cài đặt IIS, Enterprise ................................................................................................... 57

3. Cài Enterprise ................................................................................................................ 57

4. Cài đặt RMS .................................................................................................................. 59

5. Kiểm tra trên máy client ................................................................................................ 60

X. Terminal Services .............................................................................................................. 61

XI. Network Load Balancing ............................................................................................... 64

1. Mục đích ........................................................................................................................ 64

2. Cấu hình Network Load Balacing ................................................................................. 65

XII. Windows Server Core 2008 ........................................................................................... 66

1. Giới thiệu ........................................................................................................................... 66

2.Cài đặt Windows server core 2008 ..................................................................................... 67

XIII. Read Only Domain Controller ................................................................................... 69

1. Vấn đề ............................................................................................................................ 69

2. Thực hiện chia site ......................................................................................................... 70

Chƣơng III: Quy Mô Và Khả Năng Ứng Dụng Thực Tế Của Đề Tài ........................................... 73

I. Quy Mô: ............................................................................................................................. 73

II. Khả Năng Ứng Dụng Thực Tế: ............................................................................................ 73

-4-

LỜI MỞ ĐẦU

Để có thể đáp ứng đƣợc những yêu cầu cần thiết từ những công việc trong lĩnh vực

công nghệ thông tin thì việc thƣờng xuyên nghiên cứu, tìm hiểu, phân tích các công nghệ

mới là yếu tố mang tính cấp thiết đối với bất kỳ kỹ sƣ công nghệ thông tin nào.

Hiện nay, đa số các hệ thống vẫn còn sử dụng hệ thống mạng hoạt động trong môi

trƣờng domain trên nền Windows Server 2003 hoặc thấp hơn. Hiện nay thì thời gian sử

dụng của các hệ điều hành này đã đến hoặc qua 10 năm, sắp hết đƣợc sự hỗ trợ từ

microsoft(Windows Server 2000 là điển hình) và nguy cơ bị tấn công từ các lỗ hổng là rất

cao. Nhƣng do hoạt động của các hệ thống này còn rất tốt, ổn định nên quản trị viên rất

ngại nâng cấp hệ thống mới do phải bắt đầu cấu hình lại tất cả. Và các dịch vụ mạng của

hệ thống mới có nhiều tiện ích thuận tiện giúp ngƣời quản trị có thể quản lý nhanh và dễ

dàng hơn. Để theo kịp thời đại và để hệ thống của mình có thể đƣợc hỗ trợ tốt nhất và

tƣơng thích với những sản phẩm mới nhƣ SharePoint 2010, SQL 2010, Windows 7… ta

cần phải nâng cấp hệ thống sao cho phù hợp.

Để tìm hiểu về quá trình nâng cấp hệ thống từ Windows Server 2003 lên Windows

Server 2008 và một số dịch vụ mạng của Window Server 2008, tôi xin chọn đề tài:

”Nghiên cứu và triển khai các dịch vụ mạng của hệ thống windows server 2008”.

Nội dung đề tài bao gồm ba chƣơng:

Chƣơng I: Tổng Quan Đề Tài.

Chƣơng II: Quá Trình Thực Hiện.

Chƣơng III: Quy Mô Và Khả Năng Ứng Dụng Thực Tế Của Đề Tài.

-5-

CHƢƠNG I: TỔNG QUAN ĐỀ TÀI

I. KHÁI QUÁT ĐỀ TÀI

Tên đề tài: “Nghiên cứu và triển khai các dịch vụ mạng của hệ thống

windows server 2008”.

Các nội dung chính của đề tài này là:

- Nâng cấp Domain Controller 2003 lên Domain Controller 2008.

- Nâng cấp Domain Controller - Domain Group - Domain User –

Client tham gia vào Domain.

- Windows Deployment Service.

- Windows Backup Server.

- Cấu hình Network Access Protection.

- Cấu hình Secure Socket Tunneling Protocol.

- Internet Information Service 7.0.

- Distributed File System.

- Rights Management Services.

- Terminal Services.

- Network Load Balancing.

- Windows Server Core 2008.

- Read Only Domain Controller.

-6-

CHƢƠNG II: CÁC BƢỚC THỰC HIỆN ĐỀ TÀI

I. Upgrade Domain Controller 2003 to Domain Controller 2008:

1. Mục đích:

Nâng cấp hệ thống đang hoạt động ở Windows Server 2003 lên Windows Server

2008. Giữ nguyên toàn bộ tài nguyên đang có trong hệ thống. ví dụ: các domain, OU,

user, GPO….

2. Các bƣớc thực hiện:

Lƣu ý:

- Backup hệ thống hiện tại, phòng hờ sự cố.

Chuẩn bị:

- 1 Server Window Server 2003 lên Domain Controller.(Domain:

athena.edu.vn)

- Chép source cài đặt Windows Server 2008 vào ổ đĩa C của máy DC-

2k3.

- Chỉnh Password đơn giản

3. Các bƣớc thực hiện:

a. Nâng cấp Domain Functional Level:

Mở Active Directory Users and Computers. Chuột phải vào tên domain, chọn

Raise Domain Functional Level. Chọn Windows Server 2003 trong Select an

available domain functional level. Sau đó chọn Raise, chọn yes.

-7-

Trong Active Directory Users and Computers, ta tạo vài OU, User, Group để sau khi

nâng cấp

b. Upgrade lên Windows Server 2008:

Bƣớc 1: Vào cmd gõ các lệnh sau:

-> Lệnh 1: cd c:\win2k8\sources\adprep

-8-

-> Lệnh 2: Adprep/forestprep

Nhấn C rồi ENTER để tiếp tục.

->Lệnh 3: Adprep /domainprep /gpprep

Bƣớc 2: chạy file setup trong bộ source Windows Server 2008

B1: Chọn Install now

B2: Chọn Do not get latest updates for installation->Next->No

B3: Chọn Windows Server 2008 Enterprisev(Full Installation)->Next

-9-

B4: Check mục “I accept the licent term”->Next

B5: Chọn Upgrade

B6: Next->Quá trình cài đặt diễn ra.

c. Kiểm tra sau khi nâng cấp:

Vẫn còn các OU và user

-10-

Kiểm tra password policy vẫn giữ nguyên

II. Nâng cấp Domain Controller – Domain Group – Domain User –

Client Join Domain

1. Chuẩn bị:

- 1 máy Windows Server 2008

- 1 máy Client(Window XP, Window Vista, Win 7…)

- Chèn Sources Windows Server 2008 vào ổ đĩa ảo

2. Các bƣớc thực hiện:

a. Nâng cấp Domain Controller:

-11-

B1: Chỉnh IP (Start->Setting->Network Connection->Right Click Properties-

>Chọn Internet Protocol Version 4 (TCP/IPV4) ).

B2: Vào Start->Chọn Run->Gõ dcpromo->Enter.

B3: Check Use advanced mode installation -> Next

B4: Next ->check Create a new domain in a new forest -> Next

-12-

B5: Điền tên domain vào -> Next

B6: Domain NetBios Name->Next

B7: Set Forest Functional level->Chọn Windows Server 2008->Next

-13-

B8: Cửa sổ Additional Domain Controller Options ->Next->Yes

B9: Location of Database, Logs Files and SysVol->Yes

B10: Màn hình Directory Services Restore Mode Administrator Password ->

Nhập Password và Confirm Password:P@ssword->Next

B1: Màn hình Sumary->Next

B12: Hệ thống nâng cấp->Finish->Restart now

-14-

b. Join máy workstation vào Domain:

- Thực hiện trên máy Client Win XP: 192.168.2.2/24

B1: Chỉnh IP nhƣ sau:

B2: Chuột phải My Computer -> Properties -> Computer Name-> Change->

Nhập tên Domain->Nhập User: Administrator và Password: @then@

-15-

->Báo join thành công

c. Tạo Domain Group:

Mở Active Directory Users And Computers-> chuột phải lên domain

athena.edu.vn->New->Group

d. Tạo Domain User:

Mở Active Directory Users And Computers-> chuột phải lên domain

athena.edu.vn->New->User

-16-

-> Nhập Password và Confirm password

III. Windows Deployment Services:

1. Mục đích:

- Triển khai cài đặt hệ điều hành cho các máy trạm (client) đồng thời

join các máy trạm vào Domain một cách tự động từ máy chủ (server) với một

dịch vụ đƣợc tích hợp sẵn trên windows server 2008 là Windows Deployment

Service (WDS).

2. Chuẩn bị:

- Máy PC01: Windows Server 2008 lên domain: Athena.edu.vn

-17-

IP: 192.168.21.1/24

PDNS: 192.168.2.1

- Máy PC02: Window Client: XP,Vista,Win7…Chỉnh chế độ card

mạng nhận IP động.

3. Các bƣớc thực hiện:

a. Cài đặt và cấu hình DHCP:

- Thực hiện tại PC01.

Vào Admin Tools-> Server Manager -> Roles-> Add Roles-> Next-> Chọn

DHCP Server->Next-> Next

Cửa sổ Nextwork Connection Bindings chọn Card 192.168.2.1-> Next->

Màn hình Ipv4 DNS Setting chọn Next->Ipv4 WINS Setting do không sử

dụng nên để giá trị mặc định chọn Next-> Trong màn hình DHCP Scope

nhấp Add để thêm một Scope nhƣ sau:

-18-

Do không sử dụng Ipv6 nên màn hình DHCPv6 Stateless Mode chọn

Disable DHCPv6 stateless mode for this server ->Next

Màn hình Authorize DHCP Server giữ nguyên mặc định để xác thực cho

DHCP Server->Next

Màn hình Confirmation cho biết khái quát nội dung cấu hình DHCP Server

-> Install

b. Cài đặt và cấu hình WDS:

Vào Admin Tools-> Server Manager -> Roles-> Add Roles-> Next->

Chọn Windows Deployment Services->Next-> Next Màn hình Role

Services giữ nguyên mặc định chọn Next-> Install.

Mở Windows Deployment Services-> nhấp phài server chọn Configure

Server->Next. WDS tạo một thƣ mục chứa toàn bộ file cần thiết để cài đặt

cho các Client ở đây là thƣ mục RemoteInstall trong C:\-> Next->Yes.

-19-

Do máy này ta vừa cài DHCP Server vừa cài WDS Server nên trong màn

hình DHCP Option 60 chọn 2 mục:

Màn hình PXE Server Initial Setting->Respond to all (known and unknow)

client computer->Finnish

Màn hình Configure Complete bỏ chọn Add Images to the Windows

Deployment Server now -> Finish

Chèn sources Windows Server 2008 vào ổ đĩa ảo. Tiến hành cài đặt

Windows Server 2008 cho máy client.

Khai báo Sources Windows

- Nhấp phải Install Images -> Add Install Image để copy source cài

đặt Windows Server 2008 lên WDS Server-> Next

- Trong Màn hình Image Group đặt tên nhƣ sau:

-20-

- Chọn file install.wim trong thƣ mục source -> Next-> Chọn phiên

bản Window Longhom Serverenterprise-> Next-> Next-> chờ Windows add

file Image này vào->Finish

Khai báo file Boot

- Nhấp phải Bootl Images -> Add Bootl Image để thêm file boot của

Windows Server 2008 -> Chọn browse đƣờng dẫn Win2k8\source\boot.wim

-> Next-> chờ Windows add file ->Finish

Đến đây cơ bản đã cấu hình xong WDS tuy nhiên trong quá trình cài đặt

Windows sẽ yêu cầu nhập một số thông tin nhƣ ngày giờ, tên máy, tên

ngƣời sử dụng… Để cài tự động ta tạo một Answer File, ở đây ta dựa vào

một file mẫu sau đó chỉnh chửa lại, file này co tên là unattend.xml, file có

nội dung nhƣ sau:

<?xml version="1.0" ?>

<unattend xmlns="urn:schemas-microsoft-com:unattend">

<settings pass="windowsPE">

<component name="Microsoft-Windows-Setup"

publicKeyToken="31bf3856ad364e35" language="neutral"

versionScope="nonSxS" processorArchitecture="x86">

<WindowsDeploymentServices>

<Login>

<WillShowUI>OnError</WillShowUI>

<Credentials>

<Username>Administrator</Username>

<Domain>athena.edu.vn</Domain>

<Password>P@ssword</Password>

</Credentials>

</Login>

<ImageSelection>

<WillShowUI>OnError</WillShowUI>

<InstallImage>

<ImageName>Windows Longhorn SERVERENTERPRISE</ImageName>

<ImageGroup>Deploy Windows server 2008</ImageGroup>

<FileName>Install.wim</FileName>

</InstallImage>

<InstallTo>

<DiskID>0</DiskID>

<PartitionID>1</PartitionID>

</InstallTo>

</ImageSelection>

</WindowsDeploymentServices>

-21-

<DiskConfiguration>

<WillShowUI>OnError</WillShowUI>

<Disk>

<DiskID>0</DiskID>

<WillWipeDisk>True</WillWipeDisk>

<CreatePartitions>

<CreatePartition>

<Order>1</Order>

<Size>7000</Size>

<Type>Primary</Type>

</CreatePartition>

</CreatePartitions>

<ModifyPartions>

<ModifyPartion>

<Order>1</Order>

<PartitionID>1</PartitionID>

<Letter>C</Letter>

<Label>TestOS</Label>

<Format>NTFS</Format>

<Active>true</Active>

<Extend>false</Extend>

</ModifyPartion>

</ModifyPartions>

</Disk>

</DiskConfiguration>

</component>

<component name="Microsoft-Windows-International-Core-WinPE"

publicKeyToken="31bf3856ad364e35" language="neutral"

versionScope="nonSxS" processorArchitecture="x86">

<SetupUILanguage>

<WillShowUI>OnError</WillShowUI>

<UILanguage>en-US</UILanguage>

</SetupUILanguage>

<UILanguage>en-US</UILanguage>

</component>

</settings>

</unattend>

Copy file unattend.xml vào thƣ mục C:\RemoteInstall\WdsClientUnattend

Tại màn hìnhWDS-> Nhấp phải server athena.edu.vn chọn Properties->

Chọn tab Client và click chọn Enable unattend installation. Ở đây ta chỉ sử

dụng phiên bản Windows Server 2008 x86 nên mục x96 ta nhấp đƣờng

dẫn file unattend.xml trong C:\RemoteInstall\WdsClientUnattend

-22-

Tƣơng tự tại Install Image chọn Deploy Windows server 2008-> màn hình

bên phải, nhấp phải Image chọn Properties. Tab General chọn Allow

image to install in unattenđe mode ->chọn Select File-> nhấp đƣờng dẫn

file unattend.xml trong C:\RemoteInstall\WdsClientUnattend-> OK-> OK.

-23-

c. Thực hiên tại máy Client

Vào Bios chỉnh PC có thể Boot qua mạng bằng cách chọn Menu Boot->

Chỉnh First Boot là Card mạng của máy.

Quá trình Boot thông qua card mạng của máy PC02:

-24-

IV. Windows Server Backup

1. Mục đích:

Windows Server Backup cung cấp tính năng lƣu trữ (backup), phục hồi dữ

liệu (restore) và phục hồi hệ thống (Operating System Volume Recovery).

2. Các bƣớc thực hiện:

a. Cài đặt Windows Server Backup:

Vào Admin Tools-> Server Manager -> nhấp phải Features-> Add Feature

-> Bung Windows Server Backup Features Chọn Windows Server Backup

->Next

Cứa sổ Confirm Installation chọn Install->Cài đặt hoàn tất->close

b. Backup Full Server:

B1: Mở Windows Server Backup, vào Action->chọn Backup Once…-

>Cửa sổ Backup Option, kiểm tra chọn Different options chọn Next

-25-

B2: Cứa sổ Select backup configuration, chọn Full server->Next

B3: Cứa sổ Specify destination type, chọn Local drivers->Next

-26-

B4: Cứa sổ Select backup destination, chọn ổ cứng đƣợc lƣu file backup

->Next

-27-

B5: Cửa sổ Specify advanced options, chọn VSS copy backup ->Next

B6: Tại cứa sổ Confirmation chọn Backup->Next

B7: Cửa sổ Backup progress tiến hành backup, kiểm tra thành công->

close

-28-

-> Kiểm tra Windows Explorer, vào ổ cứng lƣu file backup kiểm tra có folder

WindowsImageBackup (folder lƣu trữ các file backup).

c. Restore File và Folder:

B1: Xóa vài thƣ mục của hệ thống (Window mất dữ liệu)

B2: Mở Windows Server Backup, vào Action->chọn Recover…->Cửa sổ

Getting started chọn This Server chọn Next

-29-

B3: Cứa sổ Select backup date, chọn đúng ngày lƣu trữ, chọn Next

B4:Cứa sổ Select recovery type, chọn Files and Folders

B5:Cửa sổ Select items to recover chọn thƣ mục cần restore

B6: Cửa sổ Specify recovery options->Next

B7: Cửa sổ Confirmation->Recover->quá trình restore hoàn tất->close

-30-

B8: Kiểm tra thấy dữ liệu đã đƣợc phục hồi

-31-

d. Operating System Volume Recovery:

B1: Giả lập hệ điều hành bị lỗi. Bỏ đĩa cài đặt Windows Server 2008 vào

DVD ROM tiến hành nhƣ cài đặt Windows.->Cửa sổ Install Windows->Next-

>Cửa sổ Install Windows tiếp theo chọn Respair your computer->Cửa sổ

System Recovery Options chọn Microsoft Windows Server 2008->Next

B2: Cửa sổ Choose a recovery tool, chọn Windows Complete PC Restore

B3:Cửa sổ Restore your entire computer from a backup, chọn Use the latest

available backup->Next

-32-

Next-> quá trình restore diễn ra-> hoàn tất->Finish

V. Network Access Protection

1. Mục đích:

Vấn đề phát sinh là nếu một máy Client nào đó trong hệ thống mạng đƣợc cấp

IP hoàn chỉnh và có thể truy cập Internet rất tốt và giả sử khi đó máy Client

này không đƣợc cài đặt các chƣơng trình Anti Virus hoặc ngƣời dùng không

có ý thức về bảo mật làm cho máy này vô tình bị nhiễm Virus từ Internet...

Nhƣ vậy vô tình cả hệ thống chúng ta bị lây nhiễm Virus do máy Client này

phát tán một cách vô ý. Vì vậy do nhu cầu thực tế hệ thống mạng đòi hỏi phải

có một cơ chế chặt chẽ hơn đó chính là dịch vụ Network Access Protection

(NAP).

Thực tế NAP ứng dụng rất nhiều lĩnh vực tuy nhiên trong bài chúng ta sẽ

khảo sát NAP cho DHCP để DHCP Server cấp phát IP cho các Client một

cách tự động nhƣng với một tiêu chuẩn nào đó, nghĩa là các máy Client nếu

thỏa đầy đủ các tiêu chuẩn mà DHCP Server đặt ra thì mới đƣợc cấp IP

-33-

ngƣợc lại sẽ đƣợc cấp IP nhƣng không đƣợc cấp Default Gateway. Nhƣ vậy

với các máy Client không thỏa các tiêu chuẩn mà DHCP Server đặt ra sẽ đƣợc

phép truy cập trong mạng nội bộ mà thôi và không thể ra Internet đƣợc nhằm

giảm đến mức tối đa khả năng lây nhiễm Virus từ Internet.

2. Chuẩn bị:

- Máy PC01 Windows Server 2008 đã lên domain là Athena.edu.vn và

sẽ cài them dịch vụ NAP.

- Máy PC02 Client(Window XP, Window Vista, Win 7…) đã join

domain Athena.edu.vn.

3. Các bƣớc thực hiện

a. Cấu hình Nap server:

B1: Cài đặt Network Policy and Acces Service

-34-

- Cửa sổ Select Role Serices-> chọn Network Policy Server

- Chọn Install->Quá trinh cài đặt diễn ra->hoàn tất->close

B2:Khai báo các tiêu chuẩn sức khỏe:

- Mở Network Policy Server->Chọn System Health Validation nhấp

phải Windows Sercurity HealthValidators chọn Properties-> Configure-> do

ta kiểm tra client nao có firewall thì cho kết nối nên Windows Sercurity

HealthValidators chỉ chọn “A firewall is enable for all network connections”-

>OK->OK.

-35-

Khai báo Health Policy:

- Trong Policies Health Policy New Đặt tên: Full Access tại

Client SHV checks chọn Client passes all SHV checks. Sau đó check

vào ô Windows Sercirity Health Validator OK.

-36-

- Tƣơng tự tạo Limit Acces Đặt têntại Client SHV checks chọn Client

passes all SHV checks. Sau đó check vào ô Client fails one or more SHV

checks sau dó check vào ô Windows Sercirity Health Validator OK.

Khai báo Network policy:

- Trong Policies chọn Network Policies rồi disable 2 policy mặc định.

Click phải chuột vào Network Policies chọn New. Đặt tên là Full

Access Policy Next Add chọn Health Policies Add chọn

Full Access OK

-37-

Next chọn Access granted. Chọn “Perform machine health check

only”, tắt hết các lựa chọn còn lại Next Next Finish.

- Tƣơng từ tạo cho Limit Access Policy, chọn Health Policies Add chọn

Limit Access OK Next chọn Access denied. Chọn “Perform machine

health check only”, tắt hết các lựa chọn còn lại Next Next Finish.

b. Cài đặt và Cấu hình dịch vụ DHCP

- Xem lại bài Windows Deployment Services

- Tuy nhiênmặc định DHCP sẽ không hiểu đƣợc các police mà ta qui định nhƣ

trên.

-38-

- Mở dịch vụ DHCP ->chọn ipv4-> vào scope chọn Properties->chọn tab

Network Access Protection (NAP)->chọn Enable for this scope->OK

c. Cấu hình trên máy Client

- Trên máy client chỉnh IP động, bật firewall, vào run gõ napclcfg.msc.

- Chọn Enforcement Client Chọn DHCP Quarantine Enforcement Client

Right click chọn Enable

-39-

- Vào services.msc chọn Network Access Protection Agent và chuyển sang chế

độ Automatic và Start lên

- Run cmd ipconfig /renew

- Tắt firewall gõ lại ipconfig /renew

-40-

d. Cấu hình truy cập hạn chế

- Network policy server Network Policies Double vào Limit Access

trong Overview chọn Grant Access. Qua tab Setting chọn Nap

Enforcement chọn allow limited access vào ô “Enable auto remediation of

client computers” Chọn Configure Trong Troubleshooting URL điền

địa chỉ trang web cần chuyển đến OK OK.

-41-

- Kiểm tra kết quả: bật firewall->cấp ip-> Truy cập bình thƣờng

- Tắt firewall -> Cấp ip-> Thông báo lỗi truy cập hạn chế và hiện trang Web

đƣợc chuyển đến.

-42-

VI. VPN SSTP

1. Mục đích:

VPN là giải pháp hỗ trợ truy cập từ xa có chi phí và hiệu quả tốt nhất hiện

nay cho một hệ thống mạng doanh nghiệp. Ta có thể triển khai hệ thống VPN để

phục vụ các nhu cầu:

- Hỗ trợ truy cập từ xa vào hệ thống mạng nội bộ

- Kết nối các hệ thống mạng nằm ở nhiều vị trí địa lí khác nhau.

- Các cơ chế kết nối: PPTP, L2TP, SSTP

SSTP là cơ chế kết nối VPN bằng HTTP over Secure Socket Layer

(HTTP over SSL) port 443. Thông thƣờng, trong hệ thống mạng hiện nay dù là

các Firewall hay Proxy server đều cho phép truy cập HTTP và HTTPS. Vì vậy, dù

ở bất kỳ đâu các máy client đều có thể kết nối VPN bằng cơ chế SSTP và đảm bảo

bảo mật đƣợc gói tin vì áp dụng phƣơng pháp mã hóa SSL.

2. Cài đặt Stand Alone Root CA

- Vào Server Manager Add Roles chọn Active Directory

Certifacate Services Next Next Chọn Certification Authority Web

Enrollment chọn Add Required Services Next.

-43-

- Trong Specify Setup Type chọn Standalone chọn Root CA

Next chọn Create a new private key Next Next đặt tên CA Next

Next Install Close.

3. VPN Server xin và cài Certificate

- Trên máy VPN Server mở trình duyệt truy cập vào địa chỉ:

http://172.16.1.1/certsrv chọn Request a certificate chọn Advance

certificate request.

- Chọn Create and submit a request to this CA Điền tên : Athena

Type of Certificate Needed: Server authentication Certificate

-44-

- Chọn Mark Keys as exportable Submit yes.

- Trên máy Stand alone CA Admin Tool Certification Authority

Issua certificate vừa xin.

- Trên VPN Server truy cập vào http://172.16.1.1/certsrv tiến hành cài

đặt Certificate vừa xin.

- Export certificate từ Certificate.

-45-

- Mở Certificate (Local Computer) Import certificate vừa export từ

Certificate.

Cấu hình VPN Server

- Tạo user vào properties user chọn tab Dial-in Allow Access.

- Admin Tool Routing and remote Access chọn configure and

Enable Routing and Remote Access Next Custom configuration chọn

VPN Access và Lan Routing Next Finish.

-46-

- Chuột phải lên Server Properties. Tab IPv4 Static Address

pool Add cấp dãy ip động OK.

- Client kết nối đến VPN Server.

-47-

-48-

VII. Internet Information Service 7.0

1. Cấu hình IIS Server

- Cài IIS trên máy Web Server Server Manager Add Roles

Web Server (IIS) Next.

- Vào DNS, tại Revert lookup Zone tạo Zone mới 192.168.x.x, tại

Forward lookup Zone tạo Zone athena.com.vn và tạo các Host cho domain

này.

-49-

- Vào IIS Manager tạo website mới

- Nhấp phải vài Sites chọn Add Web Site đặt tên website chỉ

đƣờng dẫn tới nơi chứa nội dung trang web trong Physical Path OK

- Mặc định hệ thống sẽ chạy default website, vì vậy để phân biệt các

Website với nhau trong Server 2008 dùng Host Name

- Nhấp phải vào athena.com.vn chọn Edit Bindings

Trong cửa sổ Site Bindings chọn Add

-50-

- Add một Host Name mới là www.athena.com.vn

- Xóa Host name default đi chỉ để lại 2 Host Name mình vừa tạo.

- Start Website.

- Làm tƣơng tự cho web quantrimang.net

- Cấu hình SSL cho trang Web

- Cài Certificate (tƣơng tự phần VPN)

- Vào IIS chọn Server Certificate

- Xin Certificate cho Web Server chọn Create Certificate Request

-51-

- Nhập common name là www.athena.com.vn

- Trong File Name nhập đƣờng dẫn để trích xuất Certificate. VD:

C:\athena.txt

- Mở file athena.txt và copy nội dung.

- Vào trang web của CA Server dể xin Certificate Request a

certificate.

- Truy cập 192.168.2.2/certsrv chọn Advanced certificate request

chọn link thứ 2

- Tại mục Saved Request dán nội dung khi nãy vào submit

-52-

- Mở Certificate Authority Server CA Pending request chọn

All task Issue.

- Trên máy Web Server truy cập http://192.168.2.2/certsrv chọn

view status of the Pending certificate request để xem trạng thái của Certificate

và cài CA về máy.

- Chọn Saved Request certificate chọn Download certificate lƣu

với tên certnew.cer

-53-

- Trong Server Certificate của IIS chọn Complete Certificate Request.

- Chọn file certnew.cer trong cửa sổ Specify Certificate Authority

Response và đặt tên là athena.com.vn

- Cấu hình SSL cho athena.com.vn chọn Edit Bindings Add

Site Bindings chọn https.

- Trong SSL Certificate chọn Web Athena.

- Từ máy Client truy cập trang athena.com.vn bằng SSL.

VIII. DFS

1. Giới thiệu

- Trong mạng LAN khi hệ thống mạng đòi hỏi phải thực hiện việc

chia sẻ tài nguyên giữa các ngƣời dùng trong mạng với nhau ngày càng nhiều

thì đòi hỏi hệ thống phải có một File Server để đảm đƣơng công việc này. Tuy

nhiên, trên thực tế, với một hệ thống mạng lớn thì việc để một máy File Server

gánh tất cả các yêu cầu là không thể. Mà yêu cầu là làm sao để có nhiều File

Server hơn và cùng chia sẻ một lƣợng tài nguyên nào đó. Để giải quyết,

Microsoft đã đƣa ra một giải pháp là Distributed File System (DFS) hay còn

gọi là hệ thống dữ liệu phân tán. Dữ liệu dùng để chia sẻ cho ngƣời dùng sẽ

-54-

không còn nằm trên 1 File Server nữa mà tùy vào yêu cầu thực tế mà ngƣời

quản trị sẽ thiết kế 2 hay nhiều File Server cùng thực hiện việc chia sẻ này,

tổng hợp tất cả các File Server này đƣợc gọi là DFS.

2. Cài đặt DFS role service

- Vào Server Manager chọn Add Roles File Server

- Trong Create a DFS Namespace chọn Create a namespace later

using the DFS Management snap-in in Server Manager và tiến hành cài đặt.

Tạo NameSpace

- Vào DFS Management để cấu hình DFS cho hệ thống.

-55-

- Nhấp phải vào Namespace chọn New Namespace Browse Add

tên computer DFS vào Yes.

- Trong Namespace Name and Setting đặt tên chia sẻ mới vào Edit

Setting

- Vào thƣ mục C:\DFSRoots sẽ thấy có một thƣ mục là Data đã đƣợc

share

- Hộp thoại Review Settings and Create Namespace Chọn Create

close.

- Tạo Thêm Namespace server 2 trên server 1

-56-

- Server Manager File Server DFS Management NameSpace

chuột phải lên athena.edu.vn\data Add Namespace Server. Hộp thoại

Namespace server Browse Chọn tên máy server 02 OK OK

Yes. Kiểm tra trên cả 2 file server đều có 2 namespace server.

Tạo Replication group

- Cấu hình Replication để hệ thống hiểu trong mạng có bao nhiêu máy

tham gia vào hệ thống DFS Tại Replication chọn New replication Group

chọn Multipurpose replication group Next Đặt tên Next.

- Trong Replication Group members Add tất cả các máy tham gia

hệ thống DFS vào. Next Full mesh next next.

-57-

- Tại Primary Member chọn máy server Next Add chỉ đƣờng

dẫn đến thƣ mục dữ liệu OK OK Next.

- Trong Local Path of Data on Other Menbers ta Add các máy File

Server sẽ tham gia vào DFS để phụ tải cho máy thứ nhất.

IX. AD RMS

1. Khái quát về AD RMS

- Active Directory Rights Management Services là một dịch vụ nhằm

bảo vệ bản quyền cho tác giả tránh tình trạng sao chép, chỉnh sửa các tài liệu

mà tác giả chia sẻ cho các user khác. Các kiểu dữ liệu AD RMS hỗ trợ là

Office 2003, Office 2007, ….

2. Cài đặt IIS, Enterprise

- Cài IIS nhƣ phần trên.

3. Cài Enterprise

-58-

- Tại DC Server chọn Server Manager Add Roles Active

Directory Certificate Services Next Next chọn Certificate Authority

và Certificated Authority Web Enrollment Add Requires.. Next

Enterprise Root CA Next Create a new private key Next Next

đặt tên Next.

Cấu hình HTTPS

- Mở IIS chọn server double click vào Server Certificate

Create Domain Certificate điền thông tin.

- Chọn CA server đặt tên Friendly name Finish.

- Vào Server Sites Edit Binding Add

- Add site Binding : Type: HTTPS, IP:All unassigned, Port: 443, SSL

certificate : Web

- Thử truy cập https://athena.edu.vn

-59-

4. Cài đặt RMS

- Server Manager Add roles Chọn Active Directory Right

Management Services Add Required Next … Trong Specify Service

Account chọn Specify, khai báo account … Trong Specify Cluster

Address chọn Validate Next điên địa chỉ web server Next ..

Install Close.

-60-

5. Kiểm tra trên máy client

-61-

X. Terminal Services

- Trên máy Server bật chức năng Allow Access trong Tab Dial-in cho

user cần Terminal.

- Gán quyền cho phép truy cập từ xa vào hệ thống.

- Để các user có thể truy cập đƣợc vào máy server thì phải thêm chúng

vào Group Remote Desktop User.

- Trên máy Client truy cập vào máy Server.

Trên máy Server cài Terminal Server.

-62-

- Mở Terminal services để cấu hình cho Terminal services

-63-

- Add các chƣơng trình muốn chia sẻ cho client.

-64-

XI. Network Load Balancing

1. Mục đích

- Là một dịch vụ dùng để chia tải cho Web Server, Print Server, Mail

Server,…Giả sử ta có trang web www.athena.edu.vn và do nhu cầu thực tế

chúng ta phải thiết lập nhiều máy Web Server cùng tham gia chia tải cho trang

Web này.Vì vậy chúng ta phải ứng dụng NLB để chia tải.

- Cài đặt Network Load Balancing

Server Manager Add Features chọn Network Load Balancing Next

Install Close.

-65-

2. Cấu hình Network Load Balacing

- Trên Server Mở NLB dể cấu hình. Chọn New Clusters để tạo 1

giao thức mới.

- Trong New Cluster: Connect chọn card Lan Next Add thêm

1 IP ảo Next.

-66-

- Trong Port Rule Edit nhập port của dịch vụ cần chia tải

next Finish.

Làm tƣơng tự để Add Server 2 vào

- Phải chuột vào Virtual IP chọn add Host To Cluster Nhập IP

của máy server 2 vào connect Chọn card LAN .

- Vào command line nhập ipconfig /all .

- Tại DNS Server Add thêm Host www chỉ đến IP ảo.

XII. Windows Server Core 2008

1. Giới thiệu

Từ Windows Server 2008 trở đi Microsoft đã nhận thấy vấn đề bảo mật và

ổn định của hệ thống cần phải đƣợc chú trọng hơn, do đó đã đƣa ra một

chuẩn hệ điều hành mới gọi là Windows Server Core chỉ sử dụng lệnh,

không dùng giao diện đồ họa.

Lợi ích của windows server core :

-67-

- Giảm khả năng bị tấn công từ bên ngoài vì nó không có giao diện đồ

họa.

- Server Core cũng giúp giảm công tác bảo trì vì mọi thao tác đều thực

thiện trên một máy Remote khác.

- Chiếm rất ít dung lƣợng nên tốt độ truy cập nhanh.

2.Cài đặt Windows server core 2008

Chèn source vào Boot từ CD chọn thông số ngôn ngữ,… Install

now chọn Windows Server 2008 enterprise (Server Core Installation)

Next Chọn I accept the license term Next Chọn Custom chọn

Partition next .

Nâng cấp lên domain controller

Đặt IP.

Xem IP của card mạng bằng lệnh sau:

Netsh interface ipv4 show interface

Đặt IP :

- Netsh interface ipv4 set address name=2 source=static

address=192.168.2.3 mask=255.255.255.0 gateway=192.168.2.200

Đặt DNS :

- Netsh interface ip set dns “2” static 192.168.2.2 primary

Đổi tên máy bằng lệnh sau:

- Netdom renamecomputer %computername% /Newname:PC02

Restart máy bằng lệnh: Shutdown /r /t 0

Tắt Firewall : Netsh Firewall set Opmode Mode=Disable

Nâng cấp lên DC

- Tạo file unattend.txt với nội dung:

[DCINSTALL]

ReplicaOrNewDomain=Domain

TreeOrChild=Tree

-68-

CreateOrJoin=Create

NewDomainDNSName=athena.com

DNSOnNetwork=yes

DomainNetbiosName=athena

AutoConfigDNS=yes

SiteName=Default_First_Site_Name

AllowAnonymousAccess=no

DatabasePath=%systemroot%\ntds

LogPath=%systemroot%\ntds

SYSVOLPath=%systemroot%\sysvol

SafeModeAdminPassword=

CriticalReplicationOnly=No

RebootOnSuccess=yes

Lƣu file này trong thƣ mục gốc ổ C

DCPROMO /Unattend:unattend.txt

- Gõ ipconfig /all để kiểm tra.

- Tại máy Client chỉnh preferred DNS về máy server core và join DC.

-69-

Quản lý server core từ xa

- Cài đặt Remote Server Administrator Tools trong Server Manager

vào máy client.

- Tại máy Client giờ đã có đầy đủ công cụ để quản lý Windows Server

Core từ xa.

XIII. Read Only Domain Controller

1. Vấn đề

-70-

- Giả sử công ty có trụ sở chính tại thành phố Hồ Chí Minh và một chi

nhánh tại Hà Nội, để 2 hệ thống mạng ở hai nơi liên lạc với nhau phải triển

khai đƣờng truyền kết nối cơ sở hạ tầng (Lease Line, VPN,…).

- Hiện hệ thống mạng tại trụ sở chính đang đƣợc quản lý theo mô hình

Active Directory với domain athena.edu.vn, để hệ thống tại Hà Nội cũng đƣợc

quản lý theo mô hình Active Directory thuộc domain athena.edu.vn thì phải

join các máy ở Hà Nội vào domain.

- Trong trƣờng hợp này để chứng thực cho các máy ở Hà Nội ổn định,

ta cần cấu hình thêm một máy Domain Controller ở Hà Nội, nhƣng vì chi

nhánh Hà Nội không có bộ phận IT và không đảm bảo bảo mật cho Domain

Controller nên chỉ dùng Domain Controler ở Hà Nội để lƣu trữ password và

chứng thực cho các user account của hệ thống Hà Nội. Để giải quyết vấn đề

này cần triển khai một Read-Only Domain Controller ở Hà Nội. Và để tiện cho

việc chứng thực giữa 2 hệ thống này cần chia hệ thống thành 2 site HCM và

HN.

2. Thực hiện chia site

- Trên Server1 mở Active Directory Sites and Services trong

Administrative Tools. Đổi tên Default-First-Site-Name thành HCM

Tạo site mới tên HN

-71-

- Tạo Subnet. Nhập 192.168.10.0/24 vào Prefix chọn HCM OK.

- Tạo Subnet cho HN. Nhập 172.16.1.0/24 vào Prefix chọn HN

OK.

- Nâng cấp Read-Only Domian Controller và cài Read-Only DNS

Server

- Tại Server3, log on Admin domain

Run dcpromo check vào Use advanced mode install Next Next

Chọn existing forest Add a domain controller to an existing domain Next

Next Next.

- Select a Site chọn HN Next

Chọn cả 3 ô DNS server, Global Catalog, Read-only domain controller

Next Next.

Chọn Set add user muốn ủy quyền để quản lý RODC Next Next

Chọn Use this specific domain controller, chọn Server DC chính Next

Next Nhập mật khẩu Next Next Check vô Reboot on

complete.

-72-

Kiểm tra.

- Cầu hình Password Replication Policy

Tại Server HN. Mở Active Directory User and Computer vào OU

Domain controller phải chuột vào Server chọn properties.

Vào tab Passwork Replication Policy Add Chọn Allow passwords for

the account to replicate to this RODC OK.

Trong Select User, computer, or group add group HNGroup vào OK.

-73-

Kiểm tra.

Chƣơng III: Quy Mô Và Khả Năng Ứng Dụng Thực Tế Của Đề

Tài

I. Quy Mô:

- Nội dung phần này là một phần nằm trong MSCA.

- Nội dung bao gồm nâng cấp domain từ Windows Server 2003 lên Windows

Server 2008 và một số dịch vụ mạng của Windows Server 2008.

- Để tìm hiểu kĩ hơn về Windows Server 2008 ta có thể tham khảo kĩ hơn từ

một số sách nói về công nghệ này.

II. Khả Năng Ứng Dụng Thực Tế:

- Cung cấp nhiều kiến thức, kĩ năng thực tế về cấu hình và cài đặt một một dịch

vụ mạng của Windows Server 2008.

- Tiếp cận đƣợc với công nghệ thông tin của thời đại.

- Tăng cƣờng khả năng tự học, tự làm, năng động trong công việc.

- Giúp cho sinh viên có khả năng nhận thức về công việc tƣơng lai và kĩ năng

sinh việc.

-74-