Giáo trình Quản trị hệ thống mạng Windows Server 2012 (Phần 2)

MỤC LỤC

Bài 1: TRIỂN KHAI WINDOWS DEPLOYMENT SERVICES (WDS). 4

1.1 Cài đặt và cấu hình Windows Deployment Services (WDS). 4

1.2 Triển khai cài đặt Windows 8 tự động qua mạng LAN. . 29

Bài 2: TRIỂN KHAI DỊCH VỤ INTERNET INFORMATION SERVICES (IIS). 31

2.1 Cấu hình IIS với Single Website. 31

2.2 Cấu hình IIS Multi Website kết hợp với DNS Server. 39

2.3 Sử dụng Active Directory Certificate Services để bảo mật Web Server.

pdf 653 trang phuongnguyen 8540
Bạn đang xem 20 trang mẫu của tài liệu "Giáo trình Quản trị hệ thống mạng Windows Server 2012 (Phần 2)", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

Tóm tắt nội dung tài liệu: Giáo trình Quản trị hệ thống mạng Windows Server 2012 (Phần 2)

Giáo trình Quản trị hệ thống mạng Windows Server 2012 (Phần 2)
QUẢN TRỊ HỆ THỐNG MẠNG 
WINDOWS SERVER 2012 PHẦN 2 
2 
MỤC LỤC 
Bài 1: TRIỂN KHAI WINDOWS DEPLOYMENT SERVICES (WDS). ......................... 4 
1.1 Cài đặt và cấu hình Windows Deployment Services (WDS).......................................... 4 
1.2 Triển khai cài đặt Windows 8 tự động qua mạng LAN. ............................................... 29 
Bài 2: TRIỂN KHAI DỊCH VỤ INTERNET INFORMATION SERVICES (IIS) ........ 31 
2.1 Cấu hình IIS với Single Website. .................................................................................. 31 
2.2 Cấu hình IIS Multi Website kết hợp với DNS Server. .................................................. 39 
2.3 Sử dụng Active Directory Certificate Services để bảo mật Web Server. ..................... 50 
Bài 3: TRIỂN KHAI DỊCH VỤ ACTIVE DIRECTORY (TIẾP) .................................... 77 
3.1 Triển khai cài đặt và cấu hình RODC. .......................................................................... 77 
3.2 Cấu hình AD DS snapshots. ........................................................................................ 106 
3.3 Khôi phục tài khoản người dùng bằng Active Directory Recycle Bin ....................... 124 
BÀI 4: CHÍNH SÁCH TÀI KHOẢN NGƯỜI DÙNG. ................................................... 131 
4.1 Cấu hình chính sách khóa tài khoản người dùng. ....................................................... 131 
4.2 Cấu hình chính sách “Fine-grained Password” cho từng phòng ban. ......................... 152 
Bài 5: CẤU HÌNH MAP NETWORK DRIVE , MAP PRINTER BẰNG VBSCRIPT.168 
Bài 6: CẤU HÌNH FOLDER REDIRECTION................................................................ 187 
Bài 7: TRIỂN KHAI CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ VPN SERVER ................ 207 
7.1 Triển khai cấu hình dịch vụ VPN Server (Client to Site) ........................................... 207 
7.2 Triển khai cài đặt và cấu hình dịch vu VPN ( Site to Site ). ....................................... 234 
7.3 Triển khai cài đặt và cấu hình dịch vụ VPN Server (Client to Site) –SSTP ............... 276 
Bài 8: TRIỂN KHAI DỊCH VỤ NETWORK POLICY SERVER ................................ 339 
8.1 Triển khai cài đặt và cấu hình dịch vụ VPN Server kết hợp với RADIUS. ................ 339 
8.2 Triển khai cài đặt và cấu hình dịch vụ VPN Server kết hợp với NPS. ....................... 359 
8.3 Triển khai cài đặt và cấu hình dịch vụ VPN Server kết hợp với RADIUS và NPS. ... 378 
Bài 9: TRIỂN KHAI DỊCH VỤ NETWORK ACCESS PROTECTION ...................... 409 
9.1 Triển khai cài đặt và cấu hình dịch vụ NAP DHCP. ................................................... 409 
3 
9.2 Triển khai cài đặt và cấu hình dịch vụ NAP VPN. ..................................................... 443 
Bài 10: TRIỂN KHAI DỊCH VỤ FILE SERVICES ....................................................... 540 
10.1 Cấu hình Quota, File Screening và Tạo thống kê lưu trữ. ........................................ 540 
10.2 Triển khai cài đặt và cấu hình dịch vụ DFS ( Distributed File System ) .................. 565 
10.3 Đồng bộ dữ liệu trên 2 Server sử dụng DFS Replication.......................................... 581 
Bài 11: CẤU HÌNH MÃ HÓA FILE , AUDITING NÂNG CAO ................................... 597 
11.1 Cấu hình mã hóa File. ............................................................................................... 597 
11.2 Cấu hình Auditing nâng cao. ..................................................................................... 626 
4 
Bài 1: 
TRIỂN KHAI WINDOWS DEPLOYMENT SERVICES (WDS). 
Các nội dung chính sẽ được đề cập: 
 Cài đặt và cấu hình Windows Deployment Services (WDS). 
 Triển khai cài đặt Windows tự động qua mạng LAN. 
1.1 Cài đặt và cấu hình Windows Deployment Services (WDS). 
1. Yêu cầu bài Lab: 
+ Trên máy BKAP-DC12-01, thực hiện cài đặt DHCP Server. 
+ Trên máy BKAP-SRV12-01, triển khai cài đặt Windows Deployment Services 
(WDS). 
+ Chuẩn bị đĩa cài Windows 8 Pro 32 bits hoặc 64 bits. 
2. Yêu cầu chuẩn bị: 
+ Máy BKAP-DC12-01 : Domain Controller chạy HĐH Windows Server 2012 
quản lý miền bkaptech.vn và đóng vai trò DHCP Server. 
+ Máy BKAP-SRV12-01 : Join vào Domain , đóng vai trò WDS Server. 
+ Máy Client : chưa cài Hệ điều hành nào. 
5 
3. Mô hình Lab: 
Hình 1.1 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.3 DHCP Client 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 
6 
Hướng dẫn chi tiết: 
 Mở các máy ảo , kết nối như hình trên , thực hiện ping thông giữa các máy. 
 Trên máy BKAP-DC12-01 , thực hiện cài đặt và cấu hình DHCP Server. 
o Cài đặt DHCP Server. 
7 
o Cấu hình DHCP Server. 
 Chuyển sang máy BKAP-SRV12-01 , thực hiện: 
o Join vào Domain, đăng nhập bằng tài khoản bkaptech\administrator. 
8 
o Cài đặt và cấu hinh dịch vụ WDS: 
 Cài đặt dịch vụ WDS: 
9 
 Cấu hình dịch vụ WDS: 
 Trong cửa sổ Server Manager , click vào Tools / 
Windows Deployment Services. 
 Trong cửa sổ Windows Deployment Services , click 
chuột phải vào Server chọn Configure Server. 
10 
 Tại cửa sổ Windows Deployment Services 
Configuration Wizard , click vào Next. 
11 
 Tại cửa sổ Install Options , chọn vào Intergrated with 
Active Directory , click vào Next. 
12 
 Tại cửa sổ Remote Installation Folder Location , click 
vào Next. 
13 
 Tại cửa sổ PXE Servr Initial Settings , click chọn vào 
Respond to all client computers (known and 
unknown) , click vào Next. 
14 
 Tại cửa sổ Operation Complete , click vào Finish. 
15 
o Thực hiện Add file ISO cài đặt Windows 8.1 vào ổ đĩa DVD của máy 
BKAP-SRV12-01. 
16 
o Trong cửa sổ Windows Deployment Services , click chuột phải tại 
Install Images , chọn Add Image Group 
 Tại cửa sổ Add Image Group , nhập vào tên bkaptech. 
17 
 Click chuột phải tại bkaptech vừa tạo , chọn Add Install 
Image 
18 
 Tại cửa sổ Image File, tại mục File location , Browse đến file 
install.wim trong ổ đĩa dvd windows. 
19 
 Tại cửa sổ Available Images, chọn HĐH cần cài đặt, click vào 
Next. 
20 
 Tại cửa sổ Summary , click vào Next. 
21 
 Máy chủ tiến hành add file install.wim, tại cửa sổ Task 
Progress, click vào Finish. 
 Tại cửa sổ Windows Deployment Services, click chuột phải tại 
Boot Images , chọn Add Boot Images. 
22 
 Tại cửa sổ Image File , Browse đến file Boot.wim 
23 
 Tại cửa sổ Image Metadata và cửa sổ Summary , click vào 
Next. 
24 
25 
 Tại cửa sổ Task Progress , click vào Finish. 
 Add thành công: 
26 
 Chuyển sang máy Client, Boot vào card mạng. 
o Ấn phím F12 để máy tính boot vào card mạng, cài đặt HĐH. 
27 
o Tại cửa sổ Windows Deployment Services, click vào Next. 
28 
o Tại cửa sổ Connect to  nhập User bkaptech\administrator, OK. 
29 
o Thực hiện cài đặt HĐH Windows 8.1 Pro. 
1.2 Triển khai cài đặt Windows 8 tự động qua mạng LAN. 
1. Yêu cầu bài Lab: 
+ Tạo File trả lời tự động: 
 Cài đặt Windows Assessment and Deployment Kit (ADK). 
 Dùng Windows AIK tạo Unattended Setup Answer File. 
+ Cài đặt và cấu hình DHCP Server. 
+ Cài đặt và cấu hình dịch vụ Windows Deployment Services (WDS). 
2. Yêu cầu chuẩn bị: 
+ Chuẩn bị 3 máy: 
 Máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller. 
 Máy Server BKAP-SRV12-01 Join vào Domain , cài đặt dịch vụ WDS và 
ADK. 
30 
 Máy Client chưa cài đặt HĐH. 
3. Mô hình Lab: 
Hình 1.2 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.3 DHCP Client 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 
31 
Bài 2: 
TRIỂN KHAI DỊCH VỤ INTERNET INFORMATION SERVICES (IIS) 
Các nội dung chính sẽ được đề cập: 
 Cấu hinh IIS với Single Website. 
 Cấu hình Multi Website kết hợp với DNS Server. 
 Sử dụng Active Directory Certificate Services để bảo mật Web Server. 
2.1 Cấu hình IIS với Single Website. 
1. Yêu cầu bài Lab: 
+ Trên máy BKAP-DC12-01, cấu hình DNS Server. 
+ Trên máy BKAP-SRV12-01, thực hiện các công việc sau: 
 Tạo dữ liệu và nội dung Website trong ổ C. 
 Cài đặt và cấu hình dịch vụ Web Server (IIS). 
 Khảo sát các tính năng trên IIS như : Default Document, Directory 
Browsing. 
+ Trên máy BKAP-WRK08-01, kiểm tra: 
 Truy cập Website bằng tên miền www.bkaptech.vn 
 Truy cập địa chỉ www.bkaptech.vn/BKAP để kiểm tra. 
2. Yêu cầu chuẩn bị: 
+ Chuẩn bị 2 máy Server và 1 máy Client theo mô hình Lab 2.1. 
 Máy BKAP-DC12-01 làm Domain Controller cài đặt DNS Server với tên 
bkaptech.vn. 
 Máy BKAP-SRV12-01 cài đặt và cấu hình Web Server (IIS). 
 Máy BKAP-WRK08-01 dùng để truy cập vào Website. 
32 
3. Mô hình Lab: 
Hình 2.1 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.3 192.168.1.10 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 
33 
Hướng dẫn chi tiết: 
 Kết nối các máy ảo như hình trên , thực hiện ping thông giữa các máy trong 
mạng. 
 Trên máy BKAP-DC12-01 , thực hiện cấu hình DNS Server. 
 Chuyển sang máy BKAP-SRV12-01, thực hiện cài đặt và cấu hinh Web 
Server (IIS). 
o Tạo dữ liệu và nội dung Website trong ổ C. 
 Tạo thư mục Website BachkhoaAptech. 
34 
 Trong thư mục Website BachkhoaAptech, tạo 1 file 
homepage.htm và tạo nội dung Website theo hình sau: 
 Tạo thêm các thư mục con bên trong thư mục Website 
BachkhoaAptech. 
35 
o Cài đặt dịch vụ IIS. 
36 
o Cấu hình dịch vụ IIS. 
 Tools / Internet Information Services (IIS) Manager. 
 Trong cửa sổ Internet Information Services (IIS) Manager , 
click vào Sites / Default WebSite => Stop. 
37 
 Click chuột phải vào Sites chọn Add Website 
38 
 Tại cửa sổ Add Website, nhập vào các thông số: 
 Site name: bkaptech 
 Physical path : browse đến thư mục Website 
BachkhoaAptech. 
 IP address : 192.168.1.3 
 Host name : bkaptech.vn 
39 
 Tại Site bkaptech vừa tạo, click vào Default Document, thực 
hiện add vào file homepage.htm. 
 Chuyển sang máy Client BKAP-WRK08-01, kiểm tra truy cập Website. 
2.2 Cấu hình IIS Multi Website kết hợp với DNS Server. 
1. Yêu cầu bài Lab: 
+ Trên máy BKAP-DC12-01, cấu hình DNS Server. 
 Tạo bản ghi trên DNS Server để phân giải cho Website với tên miền 
www.bkaptech.vn , www.bachkhoa-aptech.vn , www.bkap.vn . 
 Trên máy BKAP-SRV12-01 , thực hiện các công việc sau: 
40 
o Tạo dữ liệu và nội dung với 3 website đặt trong ổ C. 
o Cài đặt Web Server (IIS). 
o Tạo hosting website trên IIS với multi website có tên bkaptech, 
bachkhoa-aptech, bkap. 
 Trên máy Client, kiểm tra truy cập bằng tên miền của website. 
2. Yêu cầu chuẩn bị: 
+ Chuẩn bị 2 máy Server và 1 máy Client theo mô hình. 
 Máy BKAP-DC12-01 làm Domain Controller cài đặt DNS Server. 
 Máy BKAP-SRV12-01 cài đặt và cấu hình Web Server (IIS). 
 Máy BKAP-WRK08-01 dùng để truy cập vào website. 
3. Mô hình Lab: 
Hình 2.2 
41 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.3 192.168.1.10 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 
Hướng dẫn chi tiết: 
 Kết nối các máy ảo như hình trên , thực hiện ping thông giữa các máy trong 
mạng. 
 Trên máy BKAP-DC12-01: 
o Cấu hình DNS Server. 
 Tạo bản ghi phân giải tên miền www.bkaptech.vn. 
42 
 Tạo Primary Zone cho site bachkhoa-aptech.vn. 
 Tạo bản ghi phân giải tên miền www.bachkhoa-aptech.vn 
43 
 Tạo Primary Zone cho site bkap.vn 
 Tạo bản ghi phân giải tên miền www.bkap.vn 
44 
o Kiểm tra phân giải địa chỉ IP sang tên miền. 
 Chuyển sang máy BKAP-SRV12-01, tạo dữ liệu và nội dung cho 3 website 
lưu trên ổ C. 
45 
46 
o Cài đặt dịch vụ Web Server (IIS). 
47 
o Cấu hình dịch vụ IIS. 
 Tạo Hosting Website trên IIS với multi Website có tên là 
bkaptech , bachkhoa-aptech , bkap. 
 Tại cửa sổ Add Website nhập vào các thông số sau: 
48 
o Làm tương tự đối với các site còn lại, ta được kết quả sau: 
 Chuyển sang máy Client, kiểm tra phân giải từ IP sang tên miền. 
49 
o Kiểm tra truy cập trang web www.bkaptech.vn. 
o Kiểm tra truy cập trang web www.bachkhoa-aptech.vn 
o Kiểm tra truy cập trang web www.bkap.vn 
50 
2.3 Sử dụng Active Directory Certificate Services để bảo mật Web 
Server. 
1. Yêu cầu bài Lab: 
+ Trên máy BKAP-DC12-01 , cài đặt và cấu hình CA Server. 
+ Trên máy BKAP-SRV12-01 , cài đặt và cấu hình Web Server, cấu hình giao thức 
https. 
+ Trên máy BKAP-WRK08-01 , kiểm tra truy cập website bằng giao thức https để 
kiểm tra. 
2. Yêu cầu chuẩn bị: 
+ Chuẩn bị 2 máy Server và 1 máy Client: 
 Máy BKAP-DC12-01 làm Domain Controller quản lý miền bkaptech.vn. 
 Máy BKAP-SRV12-01 cài đặt và cấu hình Web Server (IIS). 
 Máy BKAP-WRK08-01 kiểm tra truy cập website. 
51 
3. Mô hình Lab: 
Hình 2.3 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.3 192.168.1.10 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 
52 
Hướng dẫn chi tiết: 
 Mở các máy ảo , kết nối như hình trên, thực hiện ping thông giữa các máy 
trong mạng. 
 Trên máy BKAP-DC12-01 , cài đặt và cấu hình CA Server. 
o Cài đặt CA Server. 
 Server Manager / Add roles and features / click chọn vào 
Active Directory Certificate Services 
 Tại cửa sổ Select role services, , chọn vào Certification 
Authority và Certification Authority Web Enrollment. 
53 
 Click vào Next. 
 Tại cửa sổ Installation progress , click tại dòng Configure 
Active Directory Certificate Services on the destination 
server. 
 Tại cửa sổ AD CS Configuration / Credentials , click vào 
Next. 
54 
 Tại cửa sổ Role Services , click chọn vào Certification 
Authority và Certification Authority Web Enrollment. 
 Tại cửa sổ Setup Type , click chọn vào Standalone CA. 
55 
 Tại cửa sổ CA Type , click chọn vào Root CA. 
 Tại cửa sổ CA Name , tại mục Common name for this CA , 
nhập vào tên BKAP-CA. 
56 
 Tại cửa sổ Confirmation , click vào Configure. 
57 
 Chuyển sang máy BKAP-SRV12-01, cài đặt và cấu hình Web Server (IIS). 
58 
o Thực hiện xin chửng chỉ từ CA Server. 
 Tại cửa sổ BKAP-SRV12-01 Home ( trong IIS ) , click chọn 
Server Certificates. 
 Click chọn vào Create Certificate Request 
59 
 Trong cửa sổ Request Certificate , nhập vào các thông số sau: 
60 
 Tại cửa sổ File Name , click chọn vào biểu tượng “”. 
61 
 Lưu file với tên ca.txt. 
62 
63 
 Vào IE, truy cập địa chỉ 192.168.1.2/certsrv , click chọn vào 
Request a Certificate. 
 Tại cửa sổ Request a Certificate , click chọn vào advanced 
certificate request. 
64 
 Tại cửa sổ Advanced Certificate Request , click ... Quota path , Browse đến 
thư mục IT. Tại mục Derive properties from this quota 
template (recommended), chọn vào Quota for User (Quota 
Templates vừa tạo). => Click vào Create. 
552 
 Làm tương tự đối với thư mục Sale. 
 Ta được kết quả sau: 
553 
o 
Cấu hình File Screening Management. 
 Tại cửa sổ File Server Resource Manager , click vào File 
Screening Management / File Screens , click chuột phải tại 
đây chọn Create File Screen 
554 
 Tại cửa sổ Create File Screen , tại mục File screen path 
, browse đến thư mục Sale. Tại mục Derive properties 
from this file screen template (recommended), chọn 
vào Block Audio and Video Files , => Create. 
555 
 Click vào chính sách vừa tạo ở trên trong cửa sổ File Server 
Resource Manager , tại cửa sổ Fle Screen Properties on 
C:\HN\Sale , tại mục Select file groups to block , chọn vào 
Executable Files. => OK. 
556 
o Tạo báo cáo : 
 Tại cửa sổ File Server Resource Manager , click chuột phải 
tại Storage Reports Management , chọn Schedule a New 
Report Task 
557 
 Tại cửa sổ Storage Reports Task Properties , tại tab Settings 
, tại mục Report Name ,nhập vào tên Quota for User , tại 
mục Select reports to generate , bỏ chọn tất cả trừ mục Quota 
Usage, tại mục Report formats chọn DHTML và HTML. 
558 
 Chuyển sang tab Scope , click vào Add , browse đến thư 
mục HN , tại mục Include all folders click chọn vào User 
Files. 
559 
 Chuyển sang tab Delivery , click chọn vào Send reports 
to the following administrators , nhập vào user 
hungnq@bkaptech.vn 
560 
 Chuyển sang tab Schedule , chọn thời gian xuất báo cáo. => 
OK. 
561 
o Click chuột phải tại báo cáo vừa tạo , chọn Run Report Task Now 
 Tại cửa sổ Generate Storage Reports , chọn vào Wait for 
reports to be generated and then display them. 
562 
 Xem báo cáo. 
563 
 Chuyển sang máy BKAP-WRK08-01 kiểm tra. 
o Join máy Client vào Domain, đăng nhập bằng tài khoản hungnq. 
564 
o Copy thử 1 file dung lượng lớn vào folder IT để kiểm tra. 
o Đăng nhập tài khoản nghialv để kiểm tra. 
565 
o Copy thử file .mp3 hoặc file .exe để kiểm tra. 
10.2 Triển khai cài đặt và cấu hình dịch vụ DFS ( Distributed File 
System ) 
1. Yêu cầu bài lab: 
+ Trên máy BKAP-DC12-01: 
- Snapshot “Domain Controller”. 
- DNS Server : bkaptech.vn. 
 - Cài đặt và cấu hình DFS. 
- Tạo DFS Namespace chứa các thư mục chia sẻ tài nguyên với tên 
\\bkaptech.vn\Data. 
+ Trên máy BKAP-SRV12-01 : Đặt làm máy chủ File Server. 
+ Trên máy BKAP-WRK08-01 : Các máy người dùng trong hệ thống mạng truy cập 
dữ liệu thành công với tên :\\bkaptech.vn\Data. 
2. Yêu cầu chuẩn bị : 
+ Máy Server BKAP-DC12-01 : đã nâng cấp lên Domain Controller quản lý miền 
bkaptech.vn và cài đặt cấu hình DNS Server. 
566 
+ Máy Server BKAP-SRV12-01 Join Domain. 
+ Máy Client BKAP-WRK08-01 Join Domain. 
3. Mô hình Lab: 
Hình 10.2 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.3 192.168.1.10 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 
567 
Hướng dẫn chi tiết: 
 Thực hiện trên máy BKAP-DC12-01 : 
o Tạo OU, Group, User , add user vào Group như mô hình trên. 
o Cấu hình dịch vụ DNS Server, tạo bản ghi cho DNS Server: 
o Cài đặt DFS Namespace. 
 Server Manager / Add roles and features 
568 
 Tại cửa sổ Select server roles ,chọn vào dịch vụ File and 
iSCSI Services / DFS Namespaces 
 Click vào Next / Install / để máy chủ tiến hành cài đặt, 
 Trên máy BKAP-SRV12-01, tạo các thư mục như mô hình trên. 
o Join vào Domain, đăng nhập bằng tài khoản administrator. 
o Cài đặt dịch vụ DFS Namespace. 
569 
 Chuyển sang máy BKAP-DC12-01: 
o Cấu hình DFS : 
 Vào Tools / DFS Management 
 Tại Namespace, click chuột phải chọn New Namespace 
570 
 Tại cửa sổ Namespace Server , click vào Browse đến máy 
chủ BKAP-DC12-01. 
571 
 Tại cửa sổ Namespace Name and Settings, nhập vào: 
 Name : Data 
 Next , Create. 
572 
573 
o Tại Namespaces / \\bkaptech.vn\Data , click chuột phải chọn New 
Folder 
574 
o Tại cửa sổ New Folder, click vào Add 
575 
o Tại cửa sổ Add Folder Target, Click vào Browse 
 Tại cửa sổ Browse for Shared Folders, Browse đến máy 
BKAP-SRV12-01, click vào New Shared Folder 
576 
o Tại cửa sổ Create Share : 
 Local path of shared folder : Browse đến thư mục IT 
 Click vào Use custom permissions: Customize 
577 
o Tại cửa sổ Permissions for Share , chọn vào 2 quyền Change và 
Read. 
578 
o Tại cửa sổ Create Share , mục Share name : IT 
579 
o Tại cửa sổ New Folder, nhập vào Name : IT 
580 
o Tạo tương tự đối với thư mục Sale, kết quả như sau: 
 Chuyển sang máy BKAP-SRV12-01, cấu hình phân quyền và chia sẻ thư 
mục. 
581 
 Chuyển sang máy BKAP-WRK08-01,Join vào Domain, đăng nhập lần lượt 
bằng User hungnq và nghialv, truy cập \\bkaptech.vn\Data để kiểm tra. 
10.3 Đồng bộ dữ liệu trên 2 Server sử dụng DFS Replication. 
1. Yêu cầu bài Lab: 
+ Thiết lập DFS Namespace và đồng bộ thư mục theo mô hình Lab 10.2. 
+ Trên máy BKAP-DC12-01: 
 Domain Controller : bkaptech.vn. 
 DNS Server : bkaptech.vn. 
 Cài đặt DFS Namespace và DFS Replication. 
 Tạo DFS Namespace chia sẻ tài nguyên với tên \\bkaptech.vn\Data 
+ Trên máy BKAP-SRV12-01: 
 Cài đặt dịch vụ DFS Namespace và Replication. 
+ Trên máy BKAP-SRV12-02: 
 Cài đặt dịch vụ DFS Namespace và Replication. 
+ Trên máy BKAP-WRK08-01, truy cập dữ liệu thành công với tên 
\\bkaptech.vn\Data , kiểm tra đồng bộ thư mục. 
582 
2. Yêu cầu chuẩn bị: 
+ Máy server BKAP-DC12-01 đã nâng cấp lên Domain Controller quản lý miền 
bkaptech.vn và cài đặt DNS Server. 
+ Máy server BKAP-SRV12-01 và BKAP-SRV12-02 Join vào Domain. 
+ Máy Client BKAP-WRK08-01 Join vào Domain. 
3. Mô hình Lab: 
Hình 10.3 
Sơ đồ địa chỉ như sau: 
Thông số DC12-01 SRV12-01 SRV12-02 WRK08-01 
IP address 192.168.1.2 192.168.1.3 192.168.1.4 192.168.1.10 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 192.168.1.1 
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 192.168.1.2 
583 
Hướng dẫn chi tiết: 
 Thực hiện cài đặt DFS Namespace và DFS Replication trên cả 3 máy 
DC12-01, SRV12-01, SRV12-02. 
 Join 2 máy SRV12-01, SRV12-02 vào Domain. 
 Trên máy BKAP-SRV12-01 : 
o Tiến hành Join vào Domain, đăng nhập bằng tài khoản 
administrator. 
o Tạo thư mục ProjectDocs trong ổ C. 
o Vào DFS Management / Replication , click chuột phải chọn New 
Replication Group 
584 
o Tại cửa sổ Replication Group Type, chọn Replication group for 
data collection. 
585 
o Tại cửa sổ Name and Domain / Name of replication group, chỉ định 
tên namespace : ProjectDocs. 
o Tại cửa sổ Branch Server , chọn Server cần đồng bộ :browse  đến 
máy BKAP-SRV12-01. 
586 
o Tại cửa sổ Replicated Folders , chỉ định thư mục cần đồng bộ : click 
vào Add ProjectDocs. 
587 
588 
o Tại Hub Server , chỉ định server đích đến để đồng bộ, Browse đến 
server BKAP-SRV12-02. 
589 
o Tại Target Folder on Hub Server, chỉ định thư mục đồng bộ trên 
BKAP-SRV12-02, Browse đến ổ C. 
590 
o Tại cửa sổ Replication Group Schedule and Bandwidth, chỉ định 
thời gian đồng bộ. 
591 
o Create. 
592 
o Tại Replication / ProdectDocs , chuyển sang tab Replicated Folders 
, click vào ProjectDocs , click chuột phải chọn Share and Publish in 
Namespace. Chọn tiếp vào Share and publish the replicated 
folder in a namespace tại cửa sổ Publishing Method. 
593 
o Tại cửa sổ Share Replicated Folders , bôi đen cả 2 server, Next. 
594 
o Tại cửa sổ Namespace Path , chọn đường dẫn \\bkaptech\Data. 
o Next / Share 
595 
o Chuyển sang tab Connections, click chuột phải vào 2 Server, chọn 
Replicated Now. 
596 
 Chuyển sang máy Client BKAP-WKR08-01, truy cập \\bkaptech.vn\Data để 
kiểm tra. 
 Kiểm tra đồng bộ trên máy BKAP-SRV12-02. 
597 
Bài 11: 
CẤU HÌNH MÃ HÓA FILE , AUDITING NÂNG CAO 
Các nội dung chính sẽ được đề cập: 
 Cấu hình mã hóa file. 
 Cấu hình Auditing nâng cao. 
11.1 Cấu hình mã hóa File. 
1. Yêu cầu bài Lab: 
+ Trên Server BKAP-DC12-01: 
 Domain Controller quản lý miền bkaptech.vn và cài đặt DNS Server. 
 Cài đặt CA Server. 
 Xóa key Public mặc định trong chính sách của Domain. 
 Tạo thư mục chia sẻ. 
+ Trên máy Client: 
 Xin key Public cho người dùng 
 Truy cập thư mục và mã hóa file. 
Kiểm tra sau khi thiết lập: 
 Sử dụng tài khoản khác để mở File đã mã hóa. 
2. Yêu cầu chuẩn bị: 
+ Máy Server BKAP-DC12-01 nâng cấp lên Domain Controller quản lý miền 
bkaptech.vn và cài DNS Server. 
+ Máy Client BKAP-WRK08-01 Join vào Domain. 
598 
3. Mô hình Lab: 
Hình 11.1 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 
IP address 192.168.1.2 192.168.1.10 
Gateway 192.168.1.1 192.168.1.1 
Subnet Mask 255.255.255.0 255.255.255.0 
DNS Server 192.168.1.2 192.168.1.2 
Hướng dẫn chi tiết: 
 Mở các máy ảo, kết nối như hình trên, thực hiện ping thông giữa các máy 
với nhau. 
 Trên máy BKAP-DC12-01 thực hiện : 
o Tạo OU BKAP, tạo 2 user hungnq và nghialv bên trong OU BKAP. 
599 
o Cài đặt CA Server. 
 Server Manager / Add roles and features.. tại Select server 
roles , click chọn vào Active Directory Cerfiticate Services. 
600 
 Tại Select role services , click chọn vào Certification 
Authority và Certificate Enrollment Policy Web Service. 
 Install. 
601 
 Tại cửa sổ Installation process , click vào dòng chữ Configure 
Active Directory Cerfiticate Services on the destination server. 
602 
 Tại cửa sổ Credential , click vào Next. 
603 
 Tại cửa sổ Role Services , click chọn vào Certification 
Authority , => Next. 
604 
 Chọn vào Enterprise CA 
605 
 Click vào Root CA. 
606 
 Click vào Create a new private key. 
607 
 Tại cửa sổ CA Name , tại mục common name for this CA , 
nhập vào tên BKAP-CA. 
608 
 Click vào Next, tại cửa sổ Confimation , click vào 
Configure. 
609 
 Tại cửa sổ AD CS Configuration , click vào No 
o Tạo 1 folder tên Data trong ổ C ,tạo 1 file txt trong folder Data, tiến 
hành phân quyền chia sẻ dữ liệu. 
610 
611 
612 
o Bỏ Key Public mặc định: 
 Vào Group Policy Management. 
613 
 Click chuột phải tại Default Domain Policy , chọn Edit 
614 
 Click vào Computer Configuration / Policies / Windows 
Settings / Security Settings / Public key Policies / Encrypting 
File System. Tại đây xóa key Administrator. 
615 
o Gõ lệnh gpupdate /force trong cmd. 
616 
 Chuyển sang máy client BKAP-WRK08-01: 
o Join Client vào Domain. 
o Đăng nhập tài khoản hungnq, truy cập file để kiểm tra. 
617 
o Xin Public key cho User. 
 Cmd / mmc. 
 Tại cửa sổ Console 1 , click vào File / Add,Remove Snap-
in.. 
 Tại cửa sổ Add or Remove Snap-ins , click vào Certificates , 
click vào Add > 
618 
 Tại cửa sổ Console 1 .. click chuột phải vào Personal / All 
Tasks / Request New Cerfiticate 
619 
 Tại cửa sổ Certificate Enrollment , click chọn vào Basic EFS 
=> Enroll. 
620 
621 
622 
o Thực hiện mã hóa file: 
 Click vào file txt / Properties. 
623 
 Tại tab General , click vào Advanced 
624 
 Tại cửa sổ Advanced Attributes , click chọn vào Encrypt 
contents to secure data. 
 Apply / OK. 
625 
o Thay đổi nội dung file và save thành file khác. 
o Đăng nhập bằng tài khoản nghialv để kiểm tra độ bảo mật của file. 
626 
 Tài khoản nghialv ko truy cập được vào file do bị 
mã hóa. 
11.2 Cấu hình Auditing nâng cao. 
1. Yêu cầu bài lab: 
+ Trên BKAP-DC12-01, thực hiện : 
 Tạo OU, Group, User theo miền bkaptech.vn. 
 Kiểm tra phân giải DNS. 
+ Trên BKAP-SRV12-01, thực hiện : 
 Join vào Domain. 
 Tạo folder Data, tạo folder IT ,Sale trong folder Data. 
 Cấu hình phân quyền và chia sẻ dữ liệu. 
 Sử dụng Auditing để giám sát file. 
+ Trên máy BKAP-WRK08-01, thực hiện: 
 Join vào Domain. 
 Tiến hành đăng nhập, truy cập thư mục, xóa file, tạo thư mục mới. 
+ Trên máy BKAP-SRV12-01 , kiểm tra sau khi xóa file. 
2. Yêu cầu chuẩn bị: 
+ Máy BKAP-DC12-01 , quản lý miền bkaptech.vn , dùng để tạo OU, Group, 
User. 
627 
+ Máy BKAP-SRV12-01 , Join vào miền , tạo thư mục và phân quyền chia sẻ thư 
mục. 
+ Máy BKAP-WRK08-01 , Join vào miền dùng để kiểm tra xóa file. 
3. Mô hình Lab: 
Hình 11.2 
Sơ đồ địa chỉ như sau: 
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01 
IP address 192.168.1.2 192.168.1.3 192.168.1.10 
Gateway 192.168.1.1 192.168.1.1 192.168.1.1 
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2 
628 
Hướng dẫn chi tiết: 
 Kết nối các máy ảo theo mô hình trên, thực hiện ping thông giữa các máy 
trong mạng. 
 Trên máy BKAP-DC12-01 thực hiện: 
o Cấu hình DNS Server , kiểm tra phân giải DNS. 
629 
o Tạo OU , Group , User theo mô hình 11.2. 
 Chuyển sang máy Server BKAP-SRV12-01 , thực hiện : 
o Join vào Domain , đăng nhập bằng tài khoản bkaptech\administrator. 
630 
o Trong ổ C , tạo thư mục Data , trong thư mục Data , tạo thư mục IT , 
Sale. 
o Cấu hình phân quyền và chia sẻ dữ liệu: 
631 
632 
o Cấu hình ghi lại hoạt động của thư mục: 
 Trong cửa sổ IT Properties , click vào Advanced. 
633 
 Trong cửa sổ Advanced Security Settings for IT , click sang 
tab Auditing. Click vào Add. 
634 
 Tại cửa sổ Auditing Entry for IT , click vào Select a 
principal. 
635 
 Tại cửa sổ Select User, Computer tiến hành add vào Group 
GG_S_IT. 
636 
 Tại cửa sổ Auditing Entry for IT, click vào Show advanced 
permissions. 
637 
 Bỏ chọn các permissions được tích sẵn , tiến hành chọn vào các 
quyền theo hình sau: 
 OK. 
o Trong thư mục IT, tạo folder và file txt. 
638 
 Chuyển sang máy BKAP-DC12-01 , triển khai chính sách ghi lại hoạt động 
thư mục: 
o Vào Active Directory Users and Computers , thực hiện Move máy 
server BKAP-SRV12-01 vào OU IT. 
639 
o Triển khai chính sách xóa File cho các phòng ban. 
 Vào Group Policy Management , click vào OU HN , chọn 
Create a GPO in this domain.. 
640 
 Tại cửa sổ New GPO , nhập vào tên Bat xoa File. 
641 
 Click vào chính sách vừa tạo, chọn Edit. 
642 
 Tại cửa sổ Group Policy Management Editor , chọn vào 
Computer Configuration / Policies / Windows Settings / 
Security Settings / Local Policies / Audit Policy. Chọn vào 
Audit object access / Properties. 
643 
 Tại cửa sổ Audit object access Properties , click vào Define 
these policy settings , Success / Failure. 
644 
 Gpupdate /force. 
 Chuyển sang máy BKAP-SRV12-01, cập nhật chính sách. 
645 
 Chuyển sang máy Client , thực hiện: 
o Join vào Domain , đăng nhập bằng tài khoản hungnq trong OU IT. 
646 
o Truy cập thư mục IT , xóa file , tạo thư mục mới. 
 Chuyển sang máy BKAP-SRV12-01, vào Tools / Event Viewer. 
o Tại Windows Logs / Security. 
647 
o Click chuột phải tại Security , chọn Filter Current Log 
648 
 Trong cửa sổ Filter Current Log , nhập vào Event IDs 5145. 
o Kiểm tra Event đầu tiên. 
649 
650 
o Tài liệu mới được tạo . 
651 
652 
653 

File đính kèm:

  • pdfgiao_trinh_quan_tri_he_thong_mang_windows_server_2012_phan_2.pdf