Kythuatvien attachments 475915192009642861309_lab2k8

TRUNG TÂM ĐÀO TẠO MẠNG MÁY TÍNH NHẤT NGHỆ
ĐỐI TÁC ĐÀO TẠO CỦA MICROSOFT TẠI VIỆT NAM
105 Bà Huyện Thanh Quan, Q3, TP. HCM
Tel: 3.9322.735 – 0913.735.906 Fax: 3.9322.734 www.nhatnghe.com

LỜI MỞ ĐẦU
Hiện nay các doanh nghiệp đều sử dụng máy tính và các ứng dụng trên máy tính như một công cụ làm
việc thiết yếu. Điều đó cũng đồng nghĩa với việc xây dựng, quản trị và phát triển hệ mạng máy tính là một
công tác có ảnh hưởng quan trọng đến hoạt động sản xuất kinh doanh.

Công ty MICROSOFT Việt Nam phối hợp cùng Công Ty Cổ Phần Giáo Dục NHẤT NGHỆ biên soạn bộ
sách “XÂY DỰNG – QUẢN TRỊ - MỞ RỘNG HỆ MẠNG MÁY TÍNH DOANH NGHIỆP TRÊN
NỀN WINDOWS SERVER 2008 VÀ WINDOWS 7” với mong muốn:
- Cung cấp cho các Quí độc giả một tầm nhìn tổng quan và các khuôn mẫu chi tiết trong việc xây
dựng và phát triển hệ mạng doanh nghiệp trên nhiều quy mô khác nhau.
- Giới thiệu hai hệ điều hành Server và Client mới nhất của Microsoft: Windows Server 2008 và
Windows 7 với nhiều tính năng vượt trội so với các phiên bản trước.

Bộ sách này mô phỏng thực tế phát triển hệ mạng máy tính của một doanh nghiệp, từ lúc khởi đầu (mạng
đơn giản tại một văn phòng) cho đến khi lớn mạnh (mạng phức tạp tại nhiều chi nhánh):
Lab 01: Hệ mạng ngang hàng, chia sẻ tài nguyên trên cơ sở Local User.
Lab 02: Triển khai hệ thống Mail Online nhờ dịch vụ miễn phí Windows Live Custom Domains của
Microsoft.
Lab 03: Hệ mạng domain, quản lý tập trung, triển khai các ứng dụng tự động, khả năng bảo mật cao.
Lab 04: Doanh nghiệp mở rộng quy mô dẫn đến nhu cầu tách hệ thống mạng thành nhiều phân đoạn để
có thể hợp lý hóa băng thông, và khống chế truy cập.
Lab 05: Cài đặt và cầu hình Microsoft firewall Forefront Threat Management Gateway (TMG) để bảo vệ
hệ mạng, chống lại các cuộc tấn công từ bên ngoài và kiểm soát truy cập internet của nhân viên.
Lab 06: Xây dựng web server và publish trên TMG server để đáp ứng nhu cầu quảng bá thương hiệu,
giao tiếp đối tác và tạo thuận lợi cho công việc của nhân viên.
Lab 07: Triển khai VPN server trên TMG server để giúp nhân viên từ internet có thể kết nối với mạng
nội bộ một cách bảo mật và kết nối các chi nhánh tại các vị trí địa lý khác nhau với chi phí thấp
nhất.
Lab 08: Tăng khả năng chịu lỗi của hệ mạng bằng cách xây dựng additional domain controller.
Lab 09: Xây dựng child domain để đáp ứng các nhu cầu đa dạng về quản lý và bảo mật.

Hai hệ điều hành Windows Server 2008 và Windows 7 có rất nhiều ưu điểm và chi tiết mà bộ 09 bài lab
này không thể trình bày đầy đủ được. Vì thế, chúng tôi rất mong nhận được phản hồi và góp ý từ Quý độc
giả để các phiên bản sau có thể hoàn thiện hơn. Xin vui lòng liên hệ tại:
- Diễn đàn: http://www.nhatnghe.com/forum
- E-mail: info@nhatnghe.com
- Hot line: 08 393 22735
Chúng tôi xin chân thành cảm ơn Ông Phùng Phước Linh, Partner Strategy & Program Manager -
Microsoft Việt Nam và Ông Trần Văn Huệ, Giám đốc công ty Nhất Nghệ đã có những hỗ trợ thiết thực
trong suốt quá trình biên soạn bộ sách này.
Xin hẹn tái ngộ Quý độc giả trong những bộ sách khác về công nghệ mạng Microsoft.

Những người thực hiện:
1. Nguyễn Trình Khánh Văn – MCITP EA
2. Nguyễn Mạnh Trọng – MCITP EA
3. Lê Ngọc Hiến – MCT

Tp. Hồ Chí Minh, tháng 10 năm 2009.

Trang 1/250


Trang 2/250


MỤC LỤC

LAB 01
THIẾT LẬP HỆ THỐNG MẠNG CHO DOANH NGHIỆP NHỎ ................................................ Trang 05

LAB 02
MAIL ONLINE VỚI WINDOWS LIVE CUSTOM DOMAIN .................................................... Trang 35

LAB 03
GIỚI THIỆU HỆ THỐNG MẠNG DOMAIN DÙNG TRONG QUẢN LÝ DOANH NGHIỆP .. Trang 47

LAB 04
HỆ THỐNG MẠNG NHIỀU NETWORK ................................................................................... Trang 117

LAB 05
CÀI ĐẶT VÀ CẤU HÌNH FOREFRONT THREAT MANAGEMENT GATEWAY (TMG)... Trang 127

LAB 06
PUBLISH WEB SERVER TRÊN FOREFRONT THREAT MANAGEMENT GATEWAY .... Trang 163

LAB 07
VIRTUAL PRIVATE NETWORK (VPN)................................................................................... Trang 183

LAB 08
CHIA SITE CHO DOMAIN NETWORK.................................................................................... Trang 219

LAB 09
XÂY DỰNG CHILD DOMAIN................................................................................................... Trang 237

Trang 3/250


Trang 4/250


LAB 01
THIẾT LẬP HỆ THỐNG MẠNG CHO DOANH NGHIỆP NHỎ
I. MÔ HÌNH

Mô hình dùng 02 máy tính và 01 router ADSL cùng kết nối vào 1 switch:
- Server: Windows 2008
- Client: Windows 7

II. GIỚI THIỆU
Giải pháp cho Doanh nghiệp nhỏ với các yêu cầu cơ bản như:
- Chia sẻ dữ liệu, chia sẻ máy in.
- Truy cập internet với 1 đường truyền ADSL

III. CÁC BƯƠC TRIỂN KHAI
1. Cấu hình IP.
2. Cấu hình Router ADSL – Thử truy cập internet
3. Tạo local user account & group
4. Cấu hình File Server: Thiết lập permission trên tài nguyên chia sẻ.
5. Cấu hình Print Server - Thiết lập độ ưu tiên và permission trên printer.

IV. TRIỂN KHAI CHI TIẾT

1. Cấu hình IP

Server Client
IP address 192.168.1.253 192.168.1.10
Subnet mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferred DNS 203.162.4.190 203.162.4.190

Trang 5/250


- Thực hiện tại Server Start Settings Network Connections

- Click phải LAN Properies

- Chọn Internet Protocol Version 4 (TCP/IPv4) Properties

Trang 6/250


- Nhập thông số IP như hình vẽ OK OK

- Thực hiện tại Client: Start Control Panel Chọn Network and Sharing Center

Trang 7/250


- Chọn Change adapter settings

- Click phải card LAN Properties

- Nhấp kép Internet Protocol Version 4 (TCP/IPv4)

Trang 8/250


- Nhập các thông số IP như trong hình OK OK

2. Cấu hình Router ADSL
- Reset router ADSL. Kiểm tra đường truyền từ Client đến router (IP mặc định của Router là 192.168.1.1)
Phải bảo đảm nhận được phản hồi từ router
- Mở chương trình Internet Explorer (IE) Nhập 192.168.1.1 Go
- Nhập username và password của Router OK

- Chọn Run Wizard

Trang 9/250


- Choose Time Zone Chọn GMT+07:00 (Bangkok, HaNoi, Jakarta) Next

- Select Internet Connection Type (WAN) Chọn PPPoE/PPPoA Next

- Set PPPoE/PPPoA Nhập thông tin do ISP cung cấp Next

Trang 10/250


- Setup Completed Restart.

- Tab Status Quan sát đã nhận Public IP.

- Thử nghiệm truy cập internet

Trang 11/250


3. Tạo các local user & group (thực hiện tại Server)

- Start Run Nhập LUsrMgr.msc OK

- Click phải Users New User…

- Nhập User name: KT1, Password: 123, Confirm password: 123, bỏ chọn “User must change password at
next logon” Create

- Nhập User name: KT2, Password: 123, Confirm password: 123, bỏ chọn “User must change password at
next logon” Create.

Trang 12/250


- Nhập User name: NS1, Password: 123, Confirm password: 123, bỏ chọn “User must change password at
next logon” Create.
- Nhập User name: NS2, Password: 123, Confirm password: 123, bỏ chọn “User must change password at
next logon” Create Close.

- Click phải Groups New Group…

- Nhập Group name: KeToan Add

- Nhập KT1; KT2 Check Names OK

- Hộp thoại New Group Create

Trang 13/250


- Hộp thoại New Group Nhập Group Name: NhanSu Add

- Nhập NS1; NS2 Check Names OK

- Hộp thoại New Group Create Close.

Trang 14/250


4. Cấu hình File Server: Thiết lập permission trên tài nguyên chia sẻ.

a. Trong Windows Explorer, tạo cây thư mục như hình minh họa.

b. Chia sẻ thư mục Data
- Click phải thư mục Data Properties

- Tab Sharing Advanced Sharing

Trang 15/250


- Đánh dấu chọn Share this folder Permissions

- Chọn Full Control tại cột Allow OK OK

Trang 16/250


c. Thiết lập NTFS permission. Mục tiêu: Hồ sơ của phòng ban nào thì phòng ban đó quản lý.
Thiết lập permission trên thư mục DATA: chỉ cho phép KETOAN & NHANSU đọc
- Click phải thư mục DATA Properties
- Tab Security Advanced

- Chọn Edit

Trang 17/250


- Bỏ dấu chọn Include inheritable permission

- Chọn Copy

- Chọn OK 2 lần

- Chọn Edit Chọn Group Users Remove

Trang 18/250


- Chọn Add
- Nhập KETOAN;NHANSU Check Names OK

Kiểm tra thấy Group KETOAN và NHANSU có permission Allow Read

Trang 19/250


Thiết lập permission trên thư mục DATA CHUNG: cho phép KETOAN & NHANSU đọc, ghi, xóa, sửa.
- Click phải thư mục DATA CHUNG Properties
- Tab Security Edit

- Lần lượt cho Group KETOAN và NHANSU quyền Modify OK 2 lần

Trang 20/250


Thiết lập permission trên thư mục KETOAN: chỉ cho phép KETOAN đọc, ghi, xóa, sửa.
- Click phải thư mục KETOAN Properties

- Chọn Edit

Trang 21/250


- Bỏ dấu chọn “Include inheritable permission….” Chọn Copy OK 2 lần

- Chọn Edit

Trang 22/250


- Chọn group NHANSU Remove Chọn group KETOAN chọn Allow Modify OK 2 lần

Thiết lập permission trên thư mục NHANSU: chỉ cho phép NHANSU đọc, ghi, xóa, sửa.
Thực hiện tương tự trên thư mục KETOAN để có kết quả:

Kiểm tra:
- Log on KT1, truy cập vào folder DATA CHUNG và KETOAN, tạo 1 file bất kỳ tạo thành công
- Truy cập thử folder NHANSU, bị báo lỗi

Trang 23/250


d. Thiết lập NTFS permission. Mục tiêu: Các user chỉ có thể xóa tài nguyên do chính mình tạo ra
- Click phải thư mục KETOAN Properties

- Chọn Edit

Trang 24/250


- Chọn KETOAN Chọn Edit

- Bỏ dấu chọn ở 2 ô Delete subfolders and files và Delete OK

- Kiểm tra: Log on KT2, truy cập vào folder KETOAN, xóa thử file do user KT1 tạo không thể xóa

Trang 25/250


5. Cấu hình Print Server
a. Cài đặt Local printer (Thực hiện tại SERVER)
- Start Settings Printers

- Chọn Add Printer

- Chọn Add a local printer

Trang 26/250


- Chọn Next

- Chọn máy in như hình minh họa Next

- Printer name : HP Next

Trang 27/250


- Chọn Next

- Chọn Finish

- Quan sát kết quả

Trang 28/250


b. Cài đặt Network printer (Thực hiện tại CLIENT)
- Start truy cập 192.168.1.253

- Click phải lên máy in HP Connect

Trang 29/250


- Chọn Install driver Start Printer Quan sát thấy đã có máy in HP

c. Độ ưu tiên – Phân quyền (Thực hiện tại SERVER)

Xóa printer HP đã tạo , tạo 2 printer mới : VIP và Member

- Click phải lên printer VIP Properties

Trang 30/250


- Tab Security chọn Everyone Remove

- Chọn Add

Trang 31/250


- Nhập BanGiamDoc Check Names OK

- Chọn group BanGiamDoc chọn thêm Allow Manage printer & Allow Manage documents

- Tab Advanced Nhập giá trị Priority: 99 OK

Kiểm tra :
Trang 32/250


- Truy cập 192.168.1.253

- Click phải printer VIP Connect

Trang 33/250


- Khai báo user name: KT1 (& password) OK

- Chọn Yes

- Báo lỗi không có quyền No

- Kết nối máy in Member với credential KT1 Thành công.

Trang 34/250


LAB 02
MAIL ONLINE VỚI WINDOWS LIVE CUSTOM DOMAIN
I- GIỚI THIỆU

Để triển khai hệ thống e-mail với tên miền riêng, chúng ta có các giải pháp như: Mail Online, Mail
Offline….

Bài lab này sẽ trình bày cách triển khai hệ thống mail nhờ dịch vụ miễn phí Windows Live Custom
Domains của Microsoft. Doanh nghiệp chỉ phải trả chi phí mua public domain name. Trong bài lab sử
dụng public domain name NhatNghe.edu.vn.

II- CÁC BƯƠC TRIỂN KHAI

1. Tạo account trên trang web domains.live.com
2. Cập nhật dữ liệu DNS của public domain để kích hoạt account live
3. Cập nhật bản ghi MX của public domain – Kiểm tra – Tạo mail account
4. Thử nghiệm gửi và nhận mail.

III- TRIỂN KHAI CHI TIẾT

1. Tạo account trên trang web domains.live.com

- Truy cập trang web http://domains.live.com > Chọn Get started

- Khung «Provide your domain name » > Nhập tên của public domain

Trang 35/250


- Đánh dấu chọn mục «No mail for my domain... » > Continue

- Đánh dấu chọn mục «Create a new Windows Live ID...» > Continue

Trang 36/250


- Nhập các thông tin theo yêu cầu > chọn I accept

- Quan sát kết quả > chọn I accept

Trang 37/250


- Ghi nhận các thông tin trong phần Domain Ownership (DNS record type, Host & Value) > Sign out.

2. Cập nhật dữ liệu DNS của public domain để kích hoạt account live

- Đăng nhập trang web quản lý public domain.

Trang 38/250


- Tạo một bản ghi DNS theo thông tin đã ghi nhận trong phần Domain Ownership > Sign out.

3. Cập nhật bản ghi MX của public domain & tạo mail account

- Đăng nhập trang web http://domains.live.com bằng account đã tạo ở phần 1.
- Chọn Domain Settings > chọn Edit mail settings.

Trang 39/250


- Hộp thoại Update mail settings > chọn Windows Live Hotmail > OK

- Trong phần Mail setup (required) > Ghi nhận tên của MX server

Trang 40/250


- Đăng nhập trang web quản lý public domain.

- Tạo bản ghi loại MX trỏ từ public domain name đến tên đã ghi nhận trong phần Mail setup (required) >
Sign out.

Trang 41/250


* Kiểm tra :

- Start > Run > Nhập cmd > OK
- Nhập các câu lệnh như hình minh họa.

Trang 42/250


- Tạo mail account : Quay lại trang web http://domains.live.com chọn Member accounts > chọn Add

- Khai báo các thông tin Mail account > OK

- Kiểm tra kết quả : mail account đã được tạo.
Trang 43/250


4. Thử nghiệm gửi và nhận mail.
- Truy cập trang web : Http://Mail.Live.com đặng nhập bằng tài khoản đã tạo trên domain
Nhatnghe.edu.vn

* Kiểm tra :
- Gửi mail tới Gmail thành công

- Nhận mail từ domain bên ngoài thành công

Trang 44/250


Trang 45/250


Trang 46/250


LAB 03
GIỚI THIỆU HỆ THỐNG MẠNG DOMAIN
DÙNG TRONG QUẢN LÝ DOANH NGHIỆP
I. MÔ HÌNH
Mô hình dùng 03 máy tính: 01 Server Windows 2008 (có 02 volume C & F) + 02 Client Windows 7 và
01 router ADSL cùng kết nối vào 1 switch:

II. GIỚI THIỆU
Hệ mạng workgroup (Lab 01) có lợi điểm là đơn giản, dễ triển khai nhưng không thuận lợi cho công tác
quản trị và khả năng bảo mật kém. Lab 03 kế thừa mô hình và các kết quả của lab 01 để nâng cấp thành
hệ thống Domain Network với các ưu điểm:
− Quản lý tập trung mọi thành phần trong hệ thống.
− Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential.
− Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng.
− Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration).
− Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chế
Replication của AD.

III. CÁC BƯƠC TRIỂN KHAI
5. Dựng domain controller trên máy Server với domain là nhatnghe.local.
6. Bổ sung thông số DNS server.
7. Cài đặt và cấu hình DHCP server trên máy Server.
8. Client nhận IP từ DHCP server và gia nhập domain nhatnghe.local.. Client thử truy cập internet.
9. Trên client, cài đặt công cụ quản trị server.
10. Xây dựng cấu trúc OU, phân bổ các user account và group account.
11. Tổ chức hệ thống và phân quyền quản trị (Delegate)
12. Tạo Home Directory cho Domain User
13. Tạo Roamming Profile cho Domain User
14. Cài đặt ứng dụng tự động, hàng loạt (Deploy Software)
15. Kiểm toán (Audit)
16. Ngăn chặn sử dụng ứng dụng (Software restriction)
17. Đổi tên 2 built-in account Administrator & Guest
18. Cài đặt máy in mạng trên hàng loạt máy trạm (Deploy Printer)
19. Sao lưu dữ liệu Domain Controller và phục hồi khi có sự cố.

Trang 47/250


1. Dựng domain controller trên máy Server với domain name là NhatNghe.local.
- Cấu hình IP như hình minh họa

- Start Run nhập “DCPROMO”

Trang 48/250


- Chọn Next

- Chọn Next

Trang 49/250


- Chọn “Create a new domain in a new forest” Next

- Nhập DNS domain name “NhatNghe.local” Next

Trang 50/250


- Chọn Next

- Chọn Forest functional level “Windows Server 2008” Next

Trang 51/250


- Chọn Next

- Chọn Yes

Trang 52/250


- Chọn Next

- Nhập Password và Confirm password: P@ssword Next

Trang 53/250


- Chọn Next

- Đánh dấu chọn Reboot on completion

Trang 54/250


2. Bổ sung thông số DNS server.
a. Tạo reverse lookup zone và pointer
- Start Programs Administrative Tools DNS
- Console DNS Manager Click phải Reverse Lookup Zone New zone

- Chọn Primary zone & bảo đảm có dấu chọn “store the zone in Active Directory… Next

Trang 55/250


- Chọn Next

- chọn Next

- Nhập Network ID: 192.168.11 Next

Trang 56/250


- Chọn Next

- Chọn Finish

- Click phải zone 11.168.192.in-addr.arpa chọn New Pointer (PTR)…

Trang 57/250


- Nhập giá trị host ID: 254 Browse

- Nhấp kép vào đối tượng như hình minh họa

Trang 58/250


- Quay lại hộp thoại New Resource Record OK

b. Cấu hình Forwarder
- Click phải SERVER Properties
- Tab Forwarders Edit

Trang 59/250


- Chọn “Click here to add…” Nhập 203.162.4.190 OK

- Chọn OK

2. Cài đặt và cấu hình DHCP server trên máy Server.
- Start Programs Administrative Tools Server Manager
- Click phải Roles Add Roles

Trang 60/250


- Chọn Next

- Chọn DHCP Server Next

Trang 61/250


- Chọn Next

- Chọn Next

Trang 62/250


- Chọn Validate

- Chọn Next

Trang 63/250


- Chọn Next

- Hộp thoại Add orEdit DHCP Scopes > Chọn Add

Trang 64/250


- Nhập các giá trị thông số như hình minh họa OK

- Chọn Next

Trang 65/250


- Chọn “Disable DHCP v6 stateless mode for this server” Next

- Chọn Next

Trang 66/250


- Chọn Install

- Hoàn tất Close

Trang 67/250


4.Client nhận IP từ DHCP server và gia nhập domain nhatnghe.local. . Client thử truy cập internet.

- Start Control Panel

- Chọn Network and Sharing Center

Trang 68/250


- Chọn Change adapter settings

- Click phải LAN Properties

- Chọn Obtain an IP address automaticcally và Obtain DNS server address automatically OK

Trang 69/250


- Chọn Cancel

- Start Nhập cmd (như hình minh họa) Enter

Trang 70/250


- Nhập lệnh ipconfig /all Enter

- Quan sát thấy đã nhận được IP từ DHCP server

- Client thử truy cập internet thành công

5. Trên client, cài đặt công cụ quản trị server.
- Kìch hoạt bộ cài đặt Remote Server Administration Tool

- Chọn Yes

Trang 71/250


- Chọn I accept Hoàn tất Close

- Kích hoạt Remote Server Administrative Tool: Start Control Panel Program And Features Turn
On or Off Program and Features đánh dấu chọn các công cụ như hình minh họa OK

Trang 72/250


- Start Administrative Tools Active Directory Users and Computers: kết nối thành công đến cơ sở
dữ liệu của DC.

6. Xây dựng cấu trúc OU, phân bổ các user account và group account
- Start Run DSA.MSC

- Click phải NhatNghe.Local New Organizational Unit

Trang 73/250


- Name : Nhatnghe OK

- Click phải Nhatnghe New Group

- Đặt tên KETOAN OK

- Tương tự, tạo group NHANSU
Trang 74/250


- Click phải lên Nhatnghe New User

- Nhập thông tin như hình minh họa Next

- Nhập Password & Confirm password: Password Next

- Chọn Finish

Trang 75/250


- Tương tự, tạo các user NS1 và Manager
- Kết quả :

- Click phải Group KETOAN Properties

Trang 76/250


- Tab Members Chọn Add

- Nhập KT1 Check Names OK 2 lần

- Làm tương tự để add user NS1 vào group NHANSU OK

Trang 77/250


7. Tổ chức hệ thống và phân quyền quản trị (Delegate)
- Click phải OU NhatNghe Delegate Control

- Welcome Chọn Next

- Chọn Add

- Nhập Manager Check Names OK

Trang 78/250


- Next

- Chọn Full Coltrol Next Finish

Trang 79/250


8. Tạo Home Directory cho Domain User
- Tạo thư mục Home_Folder Click phải Properties

- Tab Sharing Advanced Sharing

Trang 80/250


- Chọn Permission
- Đánh dấu Full Control OK OK

- Tab Security Chọn Edit
- Chọn Users đánh dấu Allow Modify OK Close

Trang 81/250


- Start Run nhập DSA.MSC OK

- Click phải KT1 Properties

- Tab Profile Chọn Connect : Z: Nhập : 192.168.11.254Home_folder%UserName% Apply

Trang 82/250


- Quan sát phần %UserName% đã được đổi thành KT1 OK

Kiểm tra : thực hiện trên client :
User KT1 log on máy client với Mở My computer quan sát thấy có thêm 1 ổ đĩa mạng Z

Trang 83/250


9. Tạo Roamming Profile cho Domain User

- Tạo thư mục Profile Share permission: Everyone Allow Full Control NTFS permission: Users
Allow Modify.
- Mở DSA.MSC Properties KT1

- Profile path : Nhập 192.168.11.254Profile%UserName% Apply

Trang 84/250


- Quan sát thấy phần %UserName% đã đổi thành KT1 OK

Kiểm tra:
- KT1 log on Client 1 Trên desktop tạo thư mục HoSoKT1 Log off
- KT1 log on Client 2 Trên desktop quan sát thấy có thư mục HoSoKT1.

Trang 85/250


10. Cài đặt ứng dụng tự động, hàng loạt (Deploy Software)
- Chép source Office 2003 vào thư mục Office2k3 trong ổ C. Share folder Office2k3.
- Kiểm NTFS Permission: mặc định groups Users Allow Read & Execute.

- Mở DSA.MSC Computers Click phải lên tên PC Client chọn Move

Trang 86/250


- Chọn OU NhatNghe OK

- Mở Group Policy Management

Trang 87/250


- Click phải OU NhatNghe Chọn Create a GPO in this domain , and Link it here…

- Đặt tên : Deploy Software OK

Trang 88/250


- Click phải lên Deploy Software Edit

- Click phải lên Software installation New Package

Trang 89/250


- Trong phần File name Nhập : 192.168.11.254office2k3 Chọn file PRO11.msi Open

- Chọn Assigned OK

- Quan sát kết quả Trên command line nhập lệnh GPUpdate /Force

Kiểm tra : thực hiện trên Client

Trang 90/250


- Restart client log on bằng account KT1 Mở menu Start quan sát thấy Office đã được cài

11. Kiểm toán file (Audit File)
- Mở thư mục DATA click phải thư mục NHANSU Properties

- Tab Security Chọn Advanced

Trang 91/250


- Tab Auditing Chọn Edit

- Chọn Add

- Nhập Everyone Check Names OK

Trang 92/250


- Chọn tất cả các chọn lựa OK

- OK OK OK

Trang 93/250



- Click phải lên Default Domain Policy Edit

Trang 94/250


- Click phải Audit object access Properties

- Chọn Define these policy settings Chọn Success , Failure

- Trên command line nhập lệnh GPUpdate /Force
Trang 95/250


Kiểm tra :
- Trên máy client log on KT1 truy cập vào thư mục NHANSU báo lỗi không có quyền truy cập
- Trên máy Server Mở Event Viewer

- Mở Windows Logs Security Mở các event Audit Failure (& event id 4656)

Trang 96/250


- Quan sát thấy trường hợp truy cập trái phép của KT1 vào thư mục NHANSU đã được ghi nhận lại

12. Ngăn chặn sử dụng ứng dụng (Software restriction): Cấm mọi user thuộc OU Nhất Nghệ không
được dùng Internet Explorer, ngoại trừ user Manager.

Trang 97/250


- Click phải lên OU NhatNghe Chọn Create a GPO in this domain , and Link it here

- Đặt tên Deny_IE

- Click phải lên Deny_IE chọn Edit

Trang 98/250


- Click phải lên New Software Restriction Policies New Software Restriction Policies

- Click phải lên Additional Rule New Hash Rule

Trang 99/250


- Chọn Browse

- Trỏ đến C:Program Filesiexplore.exe Open

Trang 100/250


- OK Đóng console Group Policy Management Editor

- Chọn Deny_IE tab Delegation Chọn Advanced

Trang 101/250


- Chọn Add

- Nhập Manager Check Names OK

- Chọn Deny Read OK

Trang 102/250


- Yes

- Trên command line nhập lệnh Gpupdate /Force

- Kiểm tra (thực hiện trên client)
- Log on KT1 : Mở chương trình Internet Explorer không truy cập được
- Log on Manager : Mở chương trình Internet Explorer truy cập thành công

13. Đổi tên 2 built-in account Administrator & Guest

Trang 103/250


- Click phải lên NhatNghe Create a GPO in this domain , and link it here

- Đặt tên như trong hình OK

- Click phải lên GPO vừa tạo Edit

Trang 104/250


- Click phải lên policy như trong hình Properties

- Chọn Define this policy settings Đặt tên mới NguoiQuanTri OK

Trang 105/250


- Click phải lên Policy trong hình Properties

- Chọn Define this policy setting Nhập vào : Khach OK Đóng các chương trình

- Trên command line nhập lệnh GPUpdate /Force OK

Trang 106/250


Kiểm tra : Thực hiện trên client
- Restart Client Log on Domain Admins
- Start nhập vào ô search : LUsrMgr.MSC
Quan sát thấy 2 account Built-in Administrator và Guest đã được đổi tên.

Trang 107/250


14. Cài đặt máy in mạng trên hàng loạt máy trạm (Deploy Printer)

- Click phải lên OU Nhatnghe Chọn Create a GPO in this domain, and link it here

Trang 108/250


- Đặt tên GPO OK

- Click phải Deploy Printer Edit

Trang 109/250


- Click phải lên Printers New Shared Printer

- Khai báo như trong hình OK

Trang 110/250


- Kiểm tra trên client : Log on KT1 Start Devices and Printers Quan sát thấy máy in (HP on
192.168.11.254) đã tự động connect về client

15.Sao lưu dữ liệu Domain Controller và phục hồi khi có sự cố.
A. BACKUP SYSTEM STATE
- Vào cmd, Nhập lệnh: wbadmin start systemstatebackup –backuptarget:F: Nhập “Y” để tiến hành việc
Backup

- Quá trình Backup diễn ra khoảng 30 phút

Trang 111/250


- Mở Active Directory Users and Computers, vào menu View Advanced Features

Trang 112/250


- Click phải OU KYTHUAT Properties. Tab Object, bỏ dấu check ở mục Protect object from
accidental deletion OK

- Thực hiện tương tự cho OU GIANGVIEN.
- Click phải vào 2 OU KYTHUAT và GIANGVIEN Delete

Trang 113/250


B. Restore System Sate:
- Trên command line, Nhập lệnh: bcdedit /set safeboot dsrepair

- Hệ thống tự động khởi động lại Đăng nhập bằng username và password của Directory Service
Restore Mode (đã khai báo khi nâng cấp DC)

- Xem danh sách các file backup, Nhập lệnh : wbadmin get versions

Trang 114/250


- Chọn phiên bản backup gần nhất, nhập lệnh: wbadmin start systemstaterecovery –version:02/17/2009-
21:17

Tham số version tương ứng với Version identifier

Nhấn “Y” để bắt đầu quá trình restore

- Chờ khoảng 30 phút quá trình restore thành công.

- Để trở về chế độ boot bình thường, nhập lệnh: bcdedit /deletevalue safeboot

- Hệ thống khởi động lại Đăng nhập bằng Domain Admin và Password. Hộp thoại thông báo System
State được khôi phục thành công Enter

Trang 115/250


- Mở Active Directory Users and Computers lên kiểm tra, thấy các OU đã được khôi phục lại như cũ

Trang 116/250


LAB 04
HỆ THỐNG MẠNG NHIỀU NETWORK
I. MÔ HÌNH

II. GIỚI THIỆU

Trên một hệ thống mạng có nhiều tài nguyên và có sự phân cấp trong việc truy cập các loại tài nguyên,
việc phân chia hệ thống mạng vật lý ra các Network_IDs hoăc Subnets khác nhau sẽ đem lại các lợi thế:
− Tránh hiện tượng nghẽn đường truyền do số Hosts trong Logical Network quá nhiều.
− Ngăn chặn các hiện tượng lan truyền toàn mạch (broadcast)
− Dễ dàng thiết lập các bộ lọc (Filter) để định tuyến khi truy cập tài nguyên.

III. CÁC BƯỚC TRIỂN KHAI

Mô hình dưới đây phát triển từ hệ thống Domain của Lab 03, phân chia thành 03 Network_IDs: VIP,
USER, SERVER. Sử dụng :
01 máy Windows Server 2008 dùng làm Domain Controller tại Network SERVER
01 máy Windows 7: dùng làm máy User VIP
01 máy Windows 7: dùng làm máy User USER
01 máy Windows Server 2008 dùng làm ROUTER, có 04 NICs:
− LAN1: nối trực tiếp router ADSL
− LAN11: nối switch 1 (subnet 1) gồm các SERVER
− LAN12: nối switch 2 (subnet 2) gồm các máy VIP
− LAN13: nối switch 3 (subnet 3) gồm các máy USER

Trang 117/250


Cấu hình Router và các bộ lọc (Filter) sao cho:
− Tất cả các Networks (VIP, SERVER, USER) có thể truy cập Internet.
− Network VIP và USER đều có thể truy cập Network SERVER.
− Network VIP và USER không thể truy cập nhau.


1. Cấu hình router ADSL

− Cấu hình IP port LAN: 192.168.1.1/24
− Cấu hình ADSL để kết nối ra Internet

2. Cấu hình IP các thành phần trong hệ thống mạng

ADSL router SERVER VIP USER
IP address 192.168.1.1 192.168.11.254 192.168.12.10 192.168.13.10
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0
Default Gateway 192.168.11.250 192.168.12.250 192.168.13.250
Preferred DNS 192.168.11.254 192.168.11.254 192.168.11.254

ROUTER
NIC LAN1 LAN11 LAN12 LAN13
IP address 192.168.1.250 192.168.11.250 192.168.12.250 192.168.13.250
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0
Default Gateway 192.168.1.1

3. Kích hoạt router

a. Add role Routing and Remote Access
- Start Programs Administrative Tools Server Manager
- Click phải Roles Add Roles

Trang 118/250


- Hộp thoại Before You Begin Next

- Hộp thoại Select Server Roles Đánh dấu chọn Network Policy and Access Services Next

Trang 119/250


- Hộp thoại Network Policy and Access Services Next

- Hộp thoại Select Role Services Đánh dấu chọn Routing and Remote Access Next

Trang 120/250


- Hộp thoại Confirm Installation Selections Next

- Hộp thoại Installation Results Close

Trang 121/250


b. Kích hoạt router
- Start Programs Administrative Tools Routing and Remote Access

- Click phải server (local) Configure and Enable Routing and Remote Access

- Next

Trang 122/250


- Chọn Custom configuration Next

- Chọn NAT & chọn LAN routing Next

- Finish

Trang 123/250


- Chọn Start service

4. Cấu hình NAT outbound

- Start Programs Administrative Tools Routing and Remote Access
- Click phải NAT chọn New Interface

- Chọn LAN11 OK Chọn Private interface OK

- Thực hiện tương tự với LAN12 và LAN13. Chú ý: chọn private interface
- Click phải NAT chọn New Interface
- Chọn LAN1 OK Chọn Public interface & Đánh dấu Enable NAT… OK

Trang 124/250


5. Cấu hình IP packet filter để chặn thông tin giữa network VIP (LAN12) và USER (LAN13)

- Chọn General Click phải LAN13 Properties

Trang 125/250


- Chọn Inbound Filter chọn New

- Chọn Destination network Nhập IP address: 192.168.12.0 & Subnet mask: 255.255.255.0 OK
- Chọn Receive all except… OK 2 lần.

6. Kiểm tra kết quả

- Các PC VIP và USER truy cập SERVER: Start Run Nhập: 192.168.11.253 thành công.
- PC VIP truy cập USER: Start Run Nhập: 192.168.13.10 thất bại.
- PC USER truy cập VIP: Start Run Nhập: 192.168.12.10 thất bại.

Trang 126/250


LAB 05
CÀI ĐẶT VÀ CẤU HÌNH
FOREFRONT THREAT MANAGEMENT GATEWAY (TMG)
I. MÔ HÌNH

II. GIỚI THIỆU

Khi kết nối hệ thống mạng nội bộ với Internet, tất yếu phát sinh nhu cầu kiểm soát các giao dịch thực hiện
giữa mạng nội bộ và Internet.

Giải pháp thích hợp là sử dụng các Firewall. Bài lab này giới thiệu việc cài đặt phần mềm Firewall của
Microsoft: Forefront Threat Management Gateway (TMG) và một số cấu hình thể hiện ý đố quản trị.

Mô hình lab này kế thừa và phát triển từ mô hình lab 04. Server firewall TMG dùng hệ điều hành
Windows Server 2008 64 bit được bố trí giữa software router và router ADSL. Interface LAN kết nối trực
tiếp với software router, Interface WAN kết nối trực tiếp với router ADSL.

III. CÁC BƯỚC TRIỂN KHAI

1. Cấu hình thông số IP của software router và TMG firewall. Bổ sung route trên TMG server. TMG
server join domain.
2. Cài đặt Forefront TMG trên TMG Server.
3. Cài đặt Forefront Client trên TMG Client.
4. Thiết lập các Access Rule để cho phép truy cập.
5. Cấu hình chặn download file.

Trang 127/250


IV. THỰC HIỆN
1. Cấu hình thông số IP – Join domain
a. Điều chỉnh IP của software router và cấu hình IP của TMG server theo bảng sau:
Software router TMG
Interface LAN1 LAN WAN
IP address 10.0.1.250 10.0.1.2 192.168.1.2
Subnet mask 255.255.255.0 255.255.255.0 255.255.255.0
Default gateway 10.0.1.2 192.168.1.1
Preferred DNS 192.168.11.254
b. Bổ sung route trên TMG server
- Start Run Nhập cmd OK Trên Command line lần lượt nhập các câu lệnh:
route add 192.168.11.0 mask 255.255.255.0 10.0.1.250 –p
route add 192.168.12.0 mask 255.255.255.0 10.0.1.250 –p
route add 192.168.13.0 mask 255.255.255.0 10.0.1.250 –p

- Trên Command line nhập câu lệnh hiển thị routing table: route print Các route đã được bổ sung.

c. TMG server join domain NhatNghe.Local

Trang 128/250


2. Cài đặt Forefront TMG trên TMG Server
- Log on TMG server bằng user Domain Admins Kích hoạt tập tin cài đặt: ISAAutoRun.exe

- Chọn Install Forefront TMG

- Màn hình Welcome Next

Trang 129/250


- Màn hình License Agreement, chọn I Accept the term… Next

- Màn hình Customer Information Next

- Chọn Install Forefront Threat Management Gateway Next

- Màn hình Component Selection Next
Trang 130/250


- Màn hình Internal Network Add.

Trang 131/250


- Chọn Add Range…

- Nhập vào dãy địa chỉ:
Start Address: 192.168.11.0
End Address: 192.168.11.255 OK

- Tương tự nhập lần lượt các dãy sau:
192.168.12.0 – 192.168.12.255
192.168.13.0 – 192.168.13.255
10.0.1.0 – 10.0.1.255 OK

Trang 132/250


- Chọn Next

- Màn hình Service Warning Next

- Màn hình Ready To Install Install

Trang 133/250


- Quá trình cài đặt

- Màn hình Complete Finish

- Chọn Exit

- Start Programs Microsoft Forefront TMG Forefront TMG Management

Trang 134/250


- Chọn Configure Network Settings

Trang 135/250



- Chọn Edge Firewall Next

Trang 136/250


- Màn hình LAN Settings Chọn network adapter LAN Add…

- Nhập vào các thông số sau:
IP Address: 192.168.11.0
Subnet mask: 255.255.255.0
Gateway: 10.0.1.250

- Tương tự, nhập thêm các dãy IP sau

IP Address: 192.168.12.0
Subnet mask: 255.255.255.0
Gateway: 10.0.1.250

IP Address: 192.168.13.0
Subnet mask: 255.255.255.0
Gateway: 10.0.1.250

Trang 137/250


- Kết quả Next

- Màn hình Internet Settings chọn network adapter WAN Next

Trang 138/250


- Chọn Configure System Settings


Trang 139/250


- Màn hình Host Identification Next


Trang 140/250


- Chọn Define deployment options


Trang 141/250


- Màn hình Microsoft Update Setup, chọn Use the Microsoft Update service… Next

- Màn hình Define Upadte Settings, chọn thời gian Update Next

Trang 142/250


- Màn hình Customer Feedback, chọn Yes, I am willing… Next

- Màn hình Microsoft Telemetry Service, chọn Join with a basic membership Next

Trang 143/250



- Chọn Close

Trang 144/250


3. Cài đặt Forefront Client trên TMG Client
- Kích hoạt tập tin MS_FWC.msi


- Màn hình License Agreement, chọn I accept the term… Next

Trang 145/250


- Màn hình Destination Folder Next

- Màn hình ISA Server Computer Selection, chọn Connect to this ISA Server computer, nhập vào tên ISA
Server: TMG.NHATNGHE.LOCAL Next

Trang 146/250


- Màn hình Ready to Install Next

Trang 147/250



- Chọn Yes để khởi động lại máy

- Mở chương trình Microsoft Firewall Client Management

Trang 148/250


- Tab Settings chọn Test Server

- Quá trình kiểm tra kết nối đến ISA Server thành công

- Mở IE, truy cập trang web bất kỳ Không thành công

Trang 149/250


3. Thiết lập các Access Rule để kiểm soát giao dịch
- Click phải Firewall Policy New Access Rule…

- Màn hình New Access Rule, nhập DNS Outbound Next

- Màn hình Rule Action, chọn Allow Next

Trang 150/250


- Màn hình Protocols, chọn Selected Protocols Add…

- Chọn DNS Add Close

Trang 151/250


- Màn hình Access Rule Source Add

- Chọn Internal Add Close

Trang 152/250


- Màn hình Access Rule Destination Add

- Chọn External Add Close

Trang 153/250


- Màn hình User Sets Next


Trang 154/250


- Tương tự, tạo thêm 1 Access Rule, đặt tên là Web Access

Trang 155/250


- Màn hình Protolcols Add

- Chọn HTTP và HTTPS Add Close

Trang 156/250


- Next

- Màn hinh Malware Inspection, chọn Enable malware inspection… Next

- Màn hình Access Rule Sources Add Internal

Trang 157/250


- Màn hình Access Rule Desninations Add External

- Màn hình User Sets Next


Trang 158/250


- Chọn Apply

Kiểm tra trên máy Client: mở IE truy cập vào trang web bất kỳ Truy cập thành công

Trang 159/250


4. Cấu hình chặn download file

- Mở Forefront TMG, ở khung bên trái chọnWeb Acess Policy. Trong Action Pane bên phải, chọn
Configure Malware Inspection

- Qua tab Inspection Settings, ở mục Block file larger than (MB), nhập vào: 1 Apply OK

Trang 160/250


- Chọn Apply

Kiểm tra trên Client: Truy cập web download 1 tập tin dung lượng lớn hơn 1 MB thông báo lỗi.

Trang 161/250


Trang 162/250

Kythuatvien attachments 475915192009642861309_lab2k8

Kythuatvien attachments 475915192009642861309_lab2k8

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Andere mochten auch

Andere mochten auch (10)

Ähnlich wie Kythuatvien attachments 475915192009642861309_lab2k8

Ähnlich wie Kythuatvien attachments 475915192009642861309_lab2k8 (20)

Kürzlich hochgeladen

Kürzlich hochgeladen (20)

Kythuatvien attachments 475915192009642861309_lab2k8