Giáo trình Quản trị hệ thống mạng Windows Server 2012 (Phần 2)
MỤC LỤC
Bài 1: TRIỂN KHAI WINDOWS DEPLOYMENT SERVICES (WDS). 4
1.1 Cài đặt và cấu hình Windows Deployment Services (WDS). 4
1.2 Triển khai cài đặt Windows 8 tự động qua mạng LAN. . 29
Bài 2: TRIỂN KHAI DỊCH VỤ INTERNET INFORMATION SERVICES (IIS). 31
2.1 Cấu hình IIS với Single Website. 31
2.2 Cấu hình IIS Multi Website kết hợp với DNS Server. 39
2.3 Sử dụng Active Directory Certificate Services để bảo mật Web Server.
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Quản trị hệ thống mạng Windows Server 2012 (Phần 2)", để tải tài liệu gốc về máy hãy click vào nút Download ở trên
Tóm tắt nội dung tài liệu: Giáo trình Quản trị hệ thống mạng Windows Server 2012 (Phần 2)
QUẢN TRỊ HỆ THỐNG MẠNG WINDOWS SERVER 2012 PHẦN 2 2 MỤC LỤC Bài 1: TRIỂN KHAI WINDOWS DEPLOYMENT SERVICES (WDS). ......................... 4 1.1 Cài đặt và cấu hình Windows Deployment Services (WDS).......................................... 4 1.2 Triển khai cài đặt Windows 8 tự động qua mạng LAN. ............................................... 29 Bài 2: TRIỂN KHAI DỊCH VỤ INTERNET INFORMATION SERVICES (IIS) ........ 31 2.1 Cấu hình IIS với Single Website. .................................................................................. 31 2.2 Cấu hình IIS Multi Website kết hợp với DNS Server. .................................................. 39 2.3 Sử dụng Active Directory Certificate Services để bảo mật Web Server. ..................... 50 Bài 3: TRIỂN KHAI DỊCH VỤ ACTIVE DIRECTORY (TIẾP) .................................... 77 3.1 Triển khai cài đặt và cấu hình RODC. .......................................................................... 77 3.2 Cấu hình AD DS snapshots. ........................................................................................ 106 3.3 Khôi phục tài khoản người dùng bằng Active Directory Recycle Bin ....................... 124 BÀI 4: CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG. ................................................... 131 4.1 Cấu hình chính sách khóa tài khoản người dùng. ....................................................... 131 4.2 Cấu hình chính sách “Fine-grained Password” cho từng phòng ban. ......................... 152 Bài 5: CẤU HÌNH MAP NETWORK DRIVE , MAP PRINTER BẰNG VBSCRIPT.168 Bài 6: CẤU HÌNH FOLDER REDIRECTION................................................................ 187 Bài 7: TRIỂN KHAI CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ VPN SERVER ................ 207 7.1 Triển khai cấu hình dịch vụ VPN Server (Client to Site) ........................................... 207 7.2 Triển khai cài đặt và cấu hình dịch vu VPN ( Site to Site ). ....................................... 234 7.3 Triển khai cài đặt và cấu hình dịch vụ VPN Server (Client to Site) –SSTP ............... 276 Bài 8: TRIỂN KHAI DỊCH VỤ NETWORK POLICY SERVER ................................ 339 8.1 Triển khai cài đặt và cấu hình dịch vụ VPN Server kết hợp với RADIUS. ................ 339 8.2 Triển khai cài đặt và cấu hình dịch vụ VPN Server kết hợp với NPS. ....................... 359 8.3 Triển khai cài đặt và cấu hình dịch vụ VPN Server kết hợp với RADIUS và NPS. ... 378 Bài 9: TRIỂN KHAI DỊCH VỤ NETWORK ACCESS PROTECTION ...................... 409 9.1 Triển khai cài đặt và cấu hình dịch vụ NAP DHCP. ................................................... 409 3 9.2 Triển khai cài đặt và cấu hình dịch vụ NAP VPN. ..................................................... 443 Bài 10: TRIỂN KHAI DỊCH VỤ FILE SERVICES ....................................................... 540 10.1 Cấu hình Quota, File Screening và Tạo thống kê lưu trữ. ........................................ 540 10.2 Triển khai cài đặt và cấu hình dịch vụ DFS ( Distributed File System ) .................. 565 10.3 Đồng bộ dữ liệu trên 2 Server sử dụng DFS Replication.......................................... 581 Bài 11: CẤU HÌNH MÃ HÓA FILE , AUDITING NÂNG CAO ................................... 597 11.1 Cấu hình mã hóa File. ............................................................................................... 597 11.2 Cấu hình Auditing nâng cao. ..................................................................................... 626 4 Bài 1: TRIỂN KHAI WINDOWS DEPLOYMENT SERVICES (WDS). Các nội dung chính sẽ được đề cập: Cài đặt và cấu hình Windows Deployment Services (WDS). Triển khai cài đặt Windows tự động qua mạng LAN. 1.1 Cài đặt và cấu hình Windows Deployment Services (WDS). 1. Yêu cầu bài Lab: + Trên máy BKAP-DC12-01, thực hiện cài đặt DHCP Server. + Trên máy BKAP-SRV12-01, triển khai cài đặt Windows Deployment Services (WDS). + Chuẩn bị đĩa cài Windows 8 Pro 32 bits hoặc 64 bits. 2. Yêu cầu chuẩn bị: + Máy BKAP-DC12-01 : Domain Controller chạy HĐH Windows Server 2012 quản lý miền bkaptech.vn và đóng vai trò DHCP Server. + Máy BKAP-SRV12-01 : Join vào Domain , đóng vai trò WDS Server. + Máy Client : chưa cài Hệ điều hành nào. 5 3. Mô hình Lab: Hình 1.1 Sơ đồ địa chỉ như sau: Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 IP address 192.168.1.2 192.168.1.3 DHCP Client Gateway 192.168.1.1 192.168.1.1 192.168.1.1 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 6 Hướng dẫn chi tiết: Mở các máy ảo , kết nối như hình trên , thực hiện ping thông giữa các máy. Trên máy BKAP-DC12-01 , thực hiện cài đặt và cấu hình DHCP Server. o Cài đặt DHCP Server. 7 o Cấu hình DHCP Server. Chuyển sang máy BKAP-SRV12-01 , thực hiện: o Join vào Domain, đăng nhập bằng tài khoản bkaptech\administrator. 8 o Cài đặt và cấu hinh dịch vụ WDS: Cài đặt dịch vụ WDS: 9 Cấu hình dịch vụ WDS: Trong cửa sổ Server Manager , click vào Tools / Windows Deployment Services. Trong cửa sổ Windows Deployment Services , click chuột phải vào Server chọn Configure Server. 10 Tại cửa sổ Windows Deployment Services Configuration Wizard , click vào Next. 11 Tại cửa sổ Install Options , chọn vào Intergrated with Active Directory , click vào Next. 12 Tại cửa sổ Remote Installation Folder Location , click vào Next. 13 Tại cửa sổ PXE Servr Initial Settings , click chọn vào Respond to all client computers (known and unknown) , click vào Next. 14 Tại cửa sổ Operation Complete , click vào Finish. 15 o Thực hiện Add file ISO cài đặt Windows 8.1 vào ổ đĩa DVD của máy BKAP-SRV12-01. 16 o Trong cửa sổ Windows Deployment Services , click chuột phải tại Install Images , chọn Add Image Group Tại cửa sổ Add Image Group , nhập vào tên bkaptech. 17 Click chuột phải tại bkaptech vừa tạo , chọn Add Install Image 18 Tại cửa sổ Image File, tại mục File location , Browse đến file install.wim trong ổ đĩa dvd windows. 19 Tại cửa sổ Available Images, chọn HĐH cần cài đặt, click vào Next. 20 Tại cửa sổ Summary , click vào Next. 21 Máy chủ tiến hành add file install.wim, tại cửa sổ Task Progress, click vào Finish. Tại cửa sổ Windows Deployment Services, click chuột phải tại Boot Images , chọn Add Boot Images. 22 Tại cửa sổ Image File , Browse đến file Boot.wim 23 Tại cửa sổ Image Metadata và cửa sổ Summary , click vào Next. 24 25 Tại cửa sổ Task Progress , click vào Finish. Add thành công: 26 Chuyển sang máy Client, Boot vào card mạng. o Ấn phím F12 để máy tính boot vào card mạng, cài đặt HĐH. 27 o Tại cửa sổ Windows Deployment Services, click vào Next. 28 o Tại cửa sổ Connect to nhập User bkaptech\administrator, OK. 29 o Thực hiện cài đặt HĐH Windows 8.1 Pro. 1.2 Triển khai cài đặt Windows 8 tự động qua mạng LAN. 1. Yêu cầu bài Lab: + Tạo File trả lời tự động: Cài đặt Windows Assessment and Deployment Kit (ADK). Dùng Windows AIK tạo Unattended Setup Answer File. + Cài đặt và cấu hình DHCP Server. + Cài đặt và cấu hình dịch vụ Windows Deployment Services (WDS). 2. Yêu cầu chuẩn bị: + Chuẩn bị 3 máy: Máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller. Máy Server BKAP-SRV12-01 Join vào Domain , cài đặt dịch vụ WDS và ADK. 30 Máy Client chưa cài đặt HĐH. 3. Mô hình Lab: Hình 1.2 Sơ đồ địa chỉ như sau: Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 IP address 192.168.1.2 192.168.1.3 DHCP Client Gateway 192.168.1.1 192.168.1.1 192.168.1.1 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 31 Bài 2: TRIỂN KHAI DỊCH VỤ INTERNET INFORMATION SERVICES (IIS) Các nội dung chính sẽ được đề cập: Cấu hinh IIS với Single Website. Cấu hình Multi Website kết hợp với DNS Server. Sử dụng Active Directory Certificate Services để bảo mật Web Server. 2.1 Cấu hình IIS với Single Website. 1. Yêu cầu bài Lab: + Trên máy BKAP-DC12-01, cấu hình DNS Server. + Trên máy BKAP-SRV12-01, thực hiện các công việc sau: Tạo dữ liệu và nội dung Website trong ổ C. Cài đặt và cấu hình dịch vụ Web Server (IIS). Khảo sát các tính năng trên IIS như : Default Document, Directory Browsing. + Trên máy BKAP-WRK08-01, kiểm tra: Truy cập Website bằng tên miền www.bkaptech.vn Truy cập địa chỉ www.bkaptech.vn/BKAP để kiểm tra. 2. Yêu cầu chuẩn bị: + Chuẩn bị 2 máy Server và 1 máy Client theo mô hình Lab 2.1. Máy BKAP-DC12-01 làm Domain Controller cài đặt DNS Server với tên bkaptech.vn. Máy BKAP-SRV12-01 cài đặt và cấu hình Web Server (IIS). Máy BKAP-WRK08-01 dùng để truy cập vào Website. 32 3. Mô hình Lab: Hình 2.1 Sơ đồ địa chỉ như sau: Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 IP address 192.168.1.2 192.168.1.3 192.168.1.10 Gateway 192.168.1.1 192.168.1.1 192.168.1.1 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 33 Hướng dẫn chi tiết: Kết nối các máy ảo như hình trên , thực hiện ping thông giữa các máy trong mạng. Trên máy BKAP-DC12-01 , thực hiện cấu hình DNS Server. Chuyển sang máy BKAP-SRV12-01, thực hiện cài đặt và cấu hinh Web Server (IIS). o Tạo dữ liệu và nội dung Website trong ổ C. Tạo thư mục Website BachkhoaAptech. 34 Trong thư mục Website BachkhoaAptech, tạo 1 file homepage.htm và tạo nội dung Website theo hình sau: Tạo thêm các thư mục con bên trong thư mục Website BachkhoaAptech. 35 o Cài đặt dịch vụ IIS. 36 o Cấu hình dịch vụ IIS. Tools / Internet Information Services (IIS) Manager. Trong cửa sổ Internet Information Services (IIS) Manager , click vào Sites / Default WebSite => Stop. 37 Click chuột phải vào Sites chọn Add Website 38 Tại cửa sổ Add Website, nhập vào các thông số: Site name: bkaptech Physical path : browse đến thư mục Website BachkhoaAptech. IP address : 192.168.1.3 Host name : bkaptech.vn 39 Tại Site bkaptech vừa tạo, click vào Default Document, thực hiện add vào file homepage.htm. Chuyển sang máy Client BKAP-WRK08-01, kiểm tra truy cập Website. 2.2 Cấu hình IIS Multi Website kết hợp với DNS Server. 1. Yêu cầu bài Lab: + Trên máy BKAP-DC12-01, cấu hình DNS Server. Tạo bản ghi trên DNS Server để phân giải cho Website với tên miền www.bkaptech.vn , www.bachkhoa-aptech.vn , www.bkap.vn . Trên máy BKAP-SRV12-01 , thực hiện các công việc sau: 40 o Tạo dữ liệu và nội dung với 3 website đặt trong ổ C. o Cài đặt Web Server (IIS). o Tạo hosting website trên IIS với multi website có tên bkaptech, bachkhoa-aptech, bkap. Trên máy Client, kiểm tra truy cập bằng tên miền của website. 2. Yêu cầu chuẩn bị: + Chuẩn bị 2 máy Server và 1 máy Client theo mô hình. Máy BKAP-DC12-01 làm Domain Controller cài đặt DNS Server. Máy BKAP-SRV12-01 cài đặt và cấu hình Web Server (IIS). Máy BKAP-WRK08-01 dùng để truy cập vào website. 3. Mô hình Lab: Hình 2.2 41 Sơ đồ địa chỉ như sau: Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 IP address 192.168.1.2 192.168.1.3 192.168.1.10 Gateway 192.168.1.1 192.168.1.1 192.168.1.1 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 Hướng dẫn chi tiết: Kết nối các máy ảo như hình trên , thực hiện ping thông giữa các máy trong mạng. Trên máy BKAP-DC12-01: o Cấu hình DNS Server. Tạo bản ghi phân giải tên miền www.bkaptech.vn. 42 Tạo Primary Zone cho site bachkhoa-aptech.vn. Tạo bản ghi phân giải tên miền www.bachkhoa-aptech.vn 43 Tạo Primary Zone cho site bkap.vn Tạo bản ghi phân giải tên miền www.bkap.vn 44 o Kiểm tra phân giải địa chỉ IP sang tên miền. Chuyển sang máy BKAP-SRV12-01, tạo dữ liệu và nội dung cho 3 website lưu trên ổ C. 45 46 o Cài đặt dịch vụ Web Server (IIS). 47 o Cấu hình dịch vụ IIS. Tạo Hosting Website trên IIS với multi Website có tên là bkaptech , bachkhoa-aptech , bkap. Tại cửa sổ Add Website nhập vào các thông số sau: 48 o Làm tương tự đối với các site còn lại, ta được kết quả sau: Chuyển sang máy Client, kiểm tra phân giải từ IP sang tên miền. 49 o Kiểm tra truy cập trang web www.bkaptech.vn. o Kiểm tra truy cập trang web www.bachkhoa-aptech.vn o Kiểm tra truy cập trang web www.bkap.vn 50 2.3 Sử dụng Active Directory Certificate Services để bảo mật Web Server. 1. Yêu cầu bài Lab: + Trên máy BKAP-DC12-01 , cài đặt và cấu hình CA Server. + Trên máy BKAP-SRV12-01 , cài đặt và cấu hình Web Server, cấu hình giao thức https. + Trên máy BKAP-WRK08-01 , kiểm tra truy cập website bằng giao thức https để kiểm tra. 2. Yêu cầu chuẩn bị: + Chuẩn bị 2 máy Server và 1 máy Client: Máy BKAP-DC12-01 làm Domain Controller quản lý miền bkaptech.vn. Máy BKAP-SRV12-01 cài đặt và cấu hình Web Server (IIS). Máy BKAP-WRK08-01 kiểm tra truy cập website. 51 3. Mô hình Lab: Hình 2.3 Sơ đồ địa chỉ như sau: Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 IP address 192.168.1.2 192.168.1.3 192.168.1.10 Gateway 192.168.1.1 192.168.1.1 192.168.1.1 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 52 Hướng dẫn chi tiết: Mở các máy ảo , kết nối như hình trên, thực hiện ping thông giữa các máy trong mạng. Trên máy BKAP-DC12-01 , cài đặt và cấu hình CA Server. o Cài đặt CA Server. Server Manager / Add roles and features / click chọn vào Active Directory Certificate Services Tại cửa sổ Select role services, , chọn vào Certification Authority và Certification Authority Web Enrollment. 53 Click vào Next. Tại cửa sổ Installation progress , click tại dòng Configure Active Directory Certificate Services on the destination server. Tại cửa sổ AD CS Configuration / Credentials , click vào Next. 54 Tại cửa sổ Role Services , click chọn vào Certification Authority và Certification Authority Web Enrollment. Tại cửa sổ Setup Type , click chọn vào Standalone CA. 55 Tại cửa sổ CA Type , click chọn vào Root CA. Tại cửa sổ CA Name , tại mục Common name for this CA , nhập vào tên BKAP-CA. 56 Tại cửa sổ Confirmation , click vào Configure. 57 Chuyển sang máy BKAP-SRV12-01, cài đặt và cấu hình Web Server (IIS). 58 o Thực hiện xin chửng chỉ từ CA Server. Tại cửa sổ BKAP-SRV12-01 Home ( trong IIS ) , click chọn Server Certificates. Click chọn vào Create Certificate Request 59 Trong cửa sổ Request Certificate , nhập vào các thông số sau: 60 Tại cửa sổ File Name , click chọn vào biểu tượng “”. 61 Lưu file với tên ca.txt. 62 63 Vào IE, truy cập địa chỉ 192.168.1.2/certsrv , click chọn vào Request a Certificate. Tại cửa sổ Request a Certificate , click chọn vào advanced certificate request. 64 Tại cửa sổ Advanced Certificate Request , click ... Quota path , Browse đến thư mục IT. Tại mục Derive properties from this quota template (recommended), chọn vào Quota for User (Quota Templates vừa tạo). => Click vào Create. 552 Làm tương tự đối với thư mục Sale. Ta được kết quả sau: 553 o Cấu hình File Screening Management. Tại cửa sổ File Server Resource Manager , click vào File Screening Management / File Screens , click chuột phải tại đây chọn Create File Screen 554 Tại cửa sổ Create File Screen , tại mục File screen path , browse đến thư mục Sale. Tại mục Derive properties from this file screen template (recommended), chọn vào Block Audio and Video Files , => Create. 555 Click vào chính sách vừa tạo ở trên trong cửa sổ File Server Resource Manager , tại cửa sổ Fle Screen Properties on C:\HN\Sale , tại mục Select file groups to block , chọn vào Executable Files. => OK. 556 o Tạo báo cáo : Tại cửa sổ File Server Resource Manager , click chuột phải tại Storage Reports Management , chọn Schedule a New Report Task 557 Tại cửa sổ Storage Reports Task Properties , tại tab Settings , tại mục Report Name ,nhập vào tên Quota for User , tại mục Select reports to generate , bỏ chọn tất cả trừ mục Quota Usage, tại mục Report formats chọn DHTML và HTML. 558 Chuyển sang tab Scope , click vào Add , browse đến thư mục HN , tại mục Include all folders click chọn vào User Files. 559 Chuyển sang tab Delivery , click chọn vào Send reports to the following administrators , nhập vào user hungnq@bkaptech.vn 560 Chuyển sang tab Schedule , chọn thời gian xuất báo cáo. => OK. 561 o Click chuột phải tại báo cáo vừa tạo , chọn Run Report Task Now Tại cửa sổ Generate Storage Reports , chọn vào Wait for reports to be generated and then display them. 562 Xem báo cáo. 563 Chuyển sang máy BKAP-WRK08-01 kiểm tra. o Join máy Client vào Domain, đăng nhập bằng tài khoản hungnq. 564 o Copy thử 1 file dung lượng lớn vào folder IT để kiểm tra. o Đăng nhập tài khoản nghialv để kiểm tra. 565 o Copy thử file .mp3 hoặc file .exe để kiểm tra. 10.2 Triển khai cài đặt và cấu hình dịch vụ DFS ( Distributed File System ) 1. Yêu cầu bài lab: + Trên máy BKAP-DC12-01: - Snapshot “Domain Controller”. - DNS Server : bkaptech.vn. - Cài đặt và cấu hình DFS. - Tạo DFS Namespace chứa các thư mục chia sẻ tài nguyên với tên \\bkaptech.vn\Data. + Trên máy BKAP-SRV12-01 : Đặt làm máy chủ File Server. + Trên máy BKAP-WRK08-01 : Các máy người dùng trong hệ thống mạng truy cập dữ liệu thành công với tên :\\bkaptech.vn\Data. 2. Yêu cầu chuẩn bị : + Máy Server BKAP-DC12-01 : đã nâng cấp lên Domain Controller quản lý miền bkaptech.vn và cài đặt cấu hình DNS Server. 566 + Máy Server BKAP-SRV12-01 Join Domain. + Máy Client BKAP-WRK08-01 Join Domain. 3. Mô hình Lab: Hình 10.2 Sơ đồ địa chỉ như sau: Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 IP address 192.168.1.2 192.168.1.3 192.168.1.10 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 Gateway 192.168.1.1 192.168.1.1 192.168.1.1 DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 567 Hướng dẫn chi tiết: Thực hiện trên máy BKAP-DC12-01 : o Tạo OU, Group, User , add user vào Group như mô hình trên. o Cấu hình dịch vụ DNS Server, tạo bản ghi cho DNS Server: o Cài đặt DFS Namespace. Server Manager / Add roles and features 568 Tại cửa sổ Select server roles ,chọn vào dịch vụ File and iSCSI Services / DFS Namespaces Click vào Next / Install / để máy chủ tiến hành cài đặt, Trên máy BKAP-SRV12-01, tạo các thư mục như mô hình trên. o Join vào Domain, đăng nhập bằng tài khoản administrator. o Cài đặt dịch vụ DFS Namespace. 569 Chuyển sang máy BKAP-DC12-01: o Cấu hình DFS : Vào Tools / DFS Management Tại Namespace, click chuột phải chọn New Namespace 570 Tại cửa sổ Namespace Server , click vào Browse đến máy chủ BKAP-DC12-01. 571 Tại cửa sổ Namespace Name and Settings, nhập vào: Name : Data Next , Create. 572 573 o Tại Namespaces / \\bkaptech.vn\Data , click chuột phải chọn New Folder 574 o Tại cửa sổ New Folder, click vào Add 575 o Tại cửa sổ Add Folder Target, Click vào Browse Tại cửa sổ Browse for Shared Folders, Browse đến máy BKAP-SRV12-01, click vào New Shared Folder 576 o Tại cửa sổ Create Share : Local path of shared folder : Browse đến thư mục IT Click vào Use custom permissions: Customize 577 o Tại cửa sổ Permissions for Share , chọn vào 2 quyền Change và Read. 578 o Tại cửa sổ Create Share , mục Share name : IT 579 o Tại cửa sổ New Folder, nhập vào Name : IT 580 o Tạo tương tự đối với thư mục Sale, kết quả như sau: Chuyển sang máy BKAP-SRV12-01, cấu hình phân quyền và chia sẻ thư mục. 581 Chuyển sang máy BKAP-WRK08-01,Join vào Domain, đăng nhập lần lượt bằng User hungnq và nghialv, truy cập \\bkaptech.vn\Data để kiểm tra. 10.3 Đồng bộ dữ liệu trên 2 Server sử dụng DFS Replication. 1. Yêu cầu bài Lab: + Thiết lập DFS Namespace và đồng bộ thư mục theo mô hình Lab 10.2. + Trên máy BKAP-DC12-01: Domain Controller : bkaptech.vn. DNS Server : bkaptech.vn. Cài đặt DFS Namespace và DFS Replication. Tạo DFS Namespace chia sẻ tài nguyên với tên \\bkaptech.vn\Data + Trên máy BKAP-SRV12-01: Cài đặt dịch vụ DFS Namespace và Replication. + Trên máy BKAP-SRV12-02: Cài đặt dịch vụ DFS Namespace và Replication. + Trên máy BKAP-WRK08-01, truy cập dữ liệu thành công với tên \\bkaptech.vn\Data , kiểm tra đồng bộ thư mục. 582 2. Yêu cầu chuẩn bị: + Máy server BKAP-DC12-01 đã nâng cấp lên Domain Controller quản lý miền bkaptech.vn và cài đặt DNS Server. + Máy server BKAP-SRV12-01 và BKAP-SRV12-02 Join vào Domain. + Máy Client BKAP-WRK08-01 Join vào Domain. 3. Mô hình Lab: Hình 10.3 Sơ đồ địa chỉ như sau: Thông số DC12-01 SRV12-01 SRV12-02 WRK08-01 IP address 192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.10 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Gateway 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 192.168.1.2 583 Hướng dẫn chi tiết: Thực hiện cài đặt DFS Namespace và DFS Replication trên cả 3 máy DC12-01, SRV12-01, SRV12-02. Join 2 máy SRV12-01, SRV12-02 vào Domain. Trên máy BKAP-SRV12-01 : o Tiến hành Join vào Domain, đăng nhập bằng tài khoản administrator. o Tạo thư mục ProjectDocs trong ổ C. o Vào DFS Management / Replication , click chuột phải chọn New Replication Group 584 o Tại cửa sổ Replication Group Type, chọn Replication group for data collection. 585 o Tại cửa sổ Name and Domain / Name of replication group, chỉ định tên namespace : ProjectDocs. o Tại cửa sổ Branch Server , chọn Server cần đồng bộ :browse đến máy BKAP-SRV12-01. 586 o Tại cửa sổ Replicated Folders , chỉ định thư mục cần đồng bộ : click vào Add ProjectDocs. 587 588 o Tại Hub Server , chỉ định server đích đến để đồng bộ, Browse đến server BKAP-SRV12-02. 589 o Tại Target Folder on Hub Server, chỉ định thư mục đồng bộ trên BKAP-SRV12-02, Browse đến ổ C. 590 o Tại cửa sổ Replication Group Schedule and Bandwidth, chỉ định thời gian đồng bộ. 591 o Create. 592 o Tại Replication / ProdectDocs , chuyển sang tab Replicated Folders , click vào ProjectDocs , click chuột phải chọn Share and Publish in Namespace. Chọn tiếp vào Share and publish the replicated folder in a namespace tại cửa sổ Publishing Method. 593 o Tại cửa sổ Share Replicated Folders , bôi đen cả 2 server, Next. 594 o Tại cửa sổ Namespace Path , chọn đường dẫn \\bkaptech\Data. o Next / Share 595 o Chuyển sang tab Connections, click chuột phải vào 2 Server, chọn Replicated Now. 596 Chuyển sang máy Client BKAP-WKR08-01, truy cập \\bkaptech.vn\Data để kiểm tra. Kiểm tra đồng bộ trên máy BKAP-SRV12-02. 597 Bài 11: CẤU HÌNH MÃ HÓA FILE , AUDITING NÂNG CAO Các nội dung chính sẽ được đề cập: Cấu hình mã hóa file. Cấu hình Auditing nâng cao. 11.1 Cấu hình mã hóa File. 1. Yêu cầu bài Lab: + Trên Server BKAP-DC12-01: Domain Controller quản lý miền bkaptech.vn và cài đặt DNS Server. Cài đặt CA Server. Xóa key Public mặc định trong chính sách của Domain. Tạo thư mục chia sẻ. + Trên máy Client: Xin key Public cho người dùng Truy cập thư mục và mã hóa file. Kiểm tra sau khi thiết lập: Sử dụng tài khoản khác để mở File đã mã hóa. 2. Yêu cầu chuẩn bị: + Máy Server BKAP-DC12-01 nâng cấp lên Domain Controller quản lý miền bkaptech.vn và cài DNS Server. + Máy Client BKAP-WRK08-01 Join vào Domain. 598 3. Mô hình Lab: Hình 11.1 Sơ đồ địa chỉ như sau: Thông số BKAP-DC12-01 BKAP-SRV12-01 IP address 192.168.1.2 192.168.1.10 Gateway 192.168.1.1 192.168.1.1 Subnet Mask 255.255.255.0 255.255.255.0 DNS Server 192.168.1.2 192.168.1.2 Hướng dẫn chi tiết: Mở các máy ảo, kết nối như hình trên, thực hiện ping thông giữa các máy với nhau. Trên máy BKAP-DC12-01 thực hiện : o Tạo OU BKAP, tạo 2 user hungnq và nghialv bên trong OU BKAP. 599 o Cài đặt CA Server. Server Manager / Add roles and features.. tại Select server roles , click chọn vào Active Directory Cerfiticate Services. 600 Tại Select role services , click chọn vào Certification Authority và Certificate Enrollment Policy Web Service. Install. 601 Tại cửa sổ Installation process , click vào dòng chữ Configure Active Directory Cerfiticate Services on the destination server. 602 Tại cửa sổ Credential , click vào Next. 603 Tại cửa sổ Role Services , click chọn vào Certification Authority , => Next. 604 Chọn vào Enterprise CA 605 Click vào Root CA. 606 Click vào Create a new private key. 607 Tại cửa sổ CA Name , tại mục common name for this CA , nhập vào tên BKAP-CA. 608 Click vào Next, tại cửa sổ Confimation , click vào Configure. 609 Tại cửa sổ AD CS Configuration , click vào No o Tạo 1 folder tên Data trong ổ C ,tạo 1 file txt trong folder Data, tiến hành phân quyền chia sẻ dữ liệu. 610 611 612 o Bỏ Key Public mặc định: Vào Group Policy Management. 613 Click chuột phải tại Default Domain Policy , chọn Edit 614 Click vào Computer Configuration / Policies / Windows Settings / Security Settings / Public key Policies / Encrypting File System. Tại đây xóa key Administrator. 615 o Gõ lệnh gpupdate /force trong cmd. 616 Chuyển sang máy client BKAP-WRK08-01: o Join Client vào Domain. o Đăng nhập tài khoản hungnq, truy cập file để kiểm tra. 617 o Xin Public key cho User. Cmd / mmc. Tại cửa sổ Console 1 , click vào File / Add,Remove Snap- in.. Tại cửa sổ Add or Remove Snap-ins , click vào Certificates , click vào Add > 618 Tại cửa sổ Console 1 .. click chuột phải vào Personal / All Tasks / Request New Cerfiticate 619 Tại cửa sổ Certificate Enrollment , click chọn vào Basic EFS => Enroll. 620 621 622 o Thực hiện mã hóa file: Click vào file txt / Properties. 623 Tại tab General , click vào Advanced 624 Tại cửa sổ Advanced Attributes , click chọn vào Encrypt contents to secure data. Apply / OK. 625 o Thay đổi nội dung file và save thành file khác. o Đăng nhập bằng tài khoản nghialv để kiểm tra độ bảo mật của file. 626 Tài khoản nghialv ko truy cập được vào file do bị mã hóa. 11.2 Cấu hình Auditing nâng cao. 1. Yêu cầu bài lab: + Trên BKAP-DC12-01, thực hiện : Tạo OU, Group, User theo miền bkaptech.vn. Kiểm tra phân giải DNS. + Trên BKAP-SRV12-01, thực hiện : Join vào Domain. Tạo folder Data, tạo folder IT ,Sale trong folder Data. Cấu hình phân quyền và chia sẻ dữ liệu. Sử dụng Auditing để giám sát file. + Trên máy BKAP-WRK08-01, thực hiện: Join vào Domain. Tiến hành đăng nhập, truy cập thư mục, xóa file, tạo thư mục mới. + Trên máy BKAP-SRV12-01 , kiểm tra sau khi xóa file. 2. Yêu cầu chuẩn bị: + Máy BKAP-DC12-01 , quản lý miền bkaptech.vn , dùng để tạo OU, Group, User. 627 + Máy BKAP-SRV12-01 , Join vào miền , tạo thư mục và phân quyền chia sẻ thư mục. + Máy BKAP-WRK08-01 , Join vào miền dùng để kiểm tra xóa file. 3. Mô hình Lab: Hình 11.2 Sơ đồ địa chỉ như sau: Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 IP address 192.168.1.2 192.168.1.3 192.168.1.10 Gateway 192.168.1.1 192.168.1.1 192.168.1.1 Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 628 Hướng dẫn chi tiết: Kết nối các máy ảo theo mô hình trên, thực hiện ping thông giữa các máy trong mạng. Trên máy BKAP-DC12-01 thực hiện: o Cấu hình DNS Server , kiểm tra phân giải DNS. 629 o Tạo OU , Group , User theo mô hình 11.2. Chuyển sang máy Server BKAP-SRV12-01 , thực hiện : o Join vào Domain , đăng nhập bằng tài khoản bkaptech\administrator. 630 o Trong ổ C , tạo thư mục Data , trong thư mục Data , tạo thư mục IT , Sale. o Cấu hình phân quyền và chia sẻ dữ liệu: 631 632 o Cấu hình ghi lại hoạt động của thư mục: Trong cửa sổ IT Properties , click vào Advanced. 633 Trong cửa sổ Advanced Security Settings for IT , click sang tab Auditing. Click vào Add. 634 Tại cửa sổ Auditing Entry for IT , click vào Select a principal. 635 Tại cửa sổ Select User, Computer tiến hành add vào Group GG_S_IT. 636 Tại cửa sổ Auditing Entry for IT, click vào Show advanced permissions. 637 Bỏ chọn các permissions được tích sẵn , tiến hành chọn vào các quyền theo hình sau: OK. o Trong thư mục IT, tạo folder và file txt. 638 Chuyển sang máy BKAP-DC12-01 , triển khai chính sách ghi lại hoạt động thư mục: o Vào Active Directory Users and Computers , thực hiện Move máy server BKAP-SRV12-01 vào OU IT. 639 o Triển khai chính sách xóa File cho các phòng ban. Vào Group Policy Management , click vào OU HN , chọn Create a GPO in this domain.. 640 Tại cửa sổ New GPO , nhập vào tên Bat xoa File. 641 Click vào chính sách vừa tạo, chọn Edit. 642 Tại cửa sổ Group Policy Management Editor , chọn vào Computer Configuration / Policies / Windows Settings / Security Settings / Local Policies / Audit Policy. Chọn vào Audit object access / Properties. 643 Tại cửa sổ Audit object access Properties , click vào Define these policy settings , Success / Failure. 644 Gpupdate /force. Chuyển sang máy BKAP-SRV12-01, cập nhật chính sách. 645 Chuyển sang máy Client , thực hiện: o Join vào Domain , đăng nhập bằng tài khoản hungnq trong OU IT. 646 o Truy cập thư mục IT , xóa file , tạo thư mục mới. Chuyển sang máy BKAP-SRV12-01, vào Tools / Event Viewer. o Tại Windows Logs / Security. 647 o Click chuột phải tại Security , chọn Filter Current Log 648 Trong cửa sổ Filter Current Log , nhập vào Event IDs 5145. o Kiểm tra Event đầu tiên. 649 650 o Tài liệu mới được tạo . 651 652 653
File đính kèm:
- giao_trinh_quan_tri_he_thong_mang_windows_server_2012_phan_2.pdf