Upload
clairsang
View
172
Download
1
Embed Size (px)
Citation preview
Top 10 bài Lab Quản Trị Mạng(Đào Văn Sáng sưu tầm)
1 - Thiết Lập Hệ thống Mạng cho Doanh Nghiệp vừa và nhỏI. Mô hình:
II. Giới Thiệu:- Giải pháp dùng cho Doanh nghiệp nhỏ với các yêu cầu cơ bản như :+ Chia sẻ dữ liệu, chia sẻ máy in+ Truy cập Internet với 1 đường truyền ADSL- Mô hình dùng mạng WorkGroup. Các máy User dùng Windows XP, các máy cung cấp tài nguyên (Files, Printer ) dùng Windows Server 2k3 với các bước thực hiện :+ Đặt IP cho các máy+ Cấu hình Router ADSL+ Cấu hình File server+ Cấu hình Print server2 - Giải pháp Mail Offline cho doanh nghiệpI. Mô hình:
[email protected] Page 1
II. Giới thiệu:Với bài Lab-1 , phát triển thêm nhu cầu sử dụng Mail cho toàn Doanh nghiệp, với yêu cầu giảm tôi đa chi phí và công sức quản lý (không có IP tĩnh, Mail Server không cần Online 24/7)=>Giải pháp đề nghị : sử dụng giải pháp Mail Offline kết hợp sử dụng dịch vụ Mail Relay để không bị xếp loại Spam MailIII. Các bước triển khai:Phát triển từ mô hình hệ thống Workgroup bài Lab-1 trước, kết hợp sử dụng :- Máy Windows Server 2003 dùng làm Mail Server với chương trình Mail Daemon- Kết hợp thêm các bước thực hiện :+ Mua domain tại website DirectNIC+ Đăng ký dịch vụ dùng để RELAY MAIL tại DNSexit+ Cấu hình chức năng POP trên MAILBOX trung gian là YAHOO.COM.VN cho phép MAIL SERVER nội bộ truy cập lên lấy mail về.+ Cài đặt Mdeamon làm MAILSERVER trong nội bộ+ Cấu hình Outlook Express để User nội bộ d tài khoản mail nội bộ+ Kiểm tra gửi mail ra ngoài và từ bên ngoài gửi về3 - Giải pháp Free Mail Online cho doanh nghiệpI. Giới thiệu: Với yêu cầu tương tự bài Lab-2 nhưng sử dụng giải pháp MailOnline với dịch vụ Mail Hosting miễn phí của hệ thống Google . điểm lợi thế là :- Không cần máy làm Mail Server- Không cần Mail Administrator chuyên nghiệp- Online 24/7 - Không bị xếp loại Spam MailII. CÁC BƯỚC TRIỂN KHAI:
- Hướng dẫn cách đăng ký Google Application- Hướng dẫn cách gán tên miền với các dịch vụ của Google App (Web, Mail, FTP,
[email protected] Page 2
Calenda …) và tạo các alias name tương ứng..- Test thử bằng cách gởi mail từ trong ra và từ ngoài vào
4 - Hệ thống Mạng Domain Network Dùng trong Quản lý Doanh NghiệpI. Mô hình:
II. Giới thiệu:Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy mô hình Lab-4 giói thiệu hệ thống Domain Network với các ưu điểm:- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống- Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential- Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chế Replication của AD5 - Hệ thống Domain Network nhiều Networks/SubnetsI. Mô hình:
[email protected] Page 3
II. Giới thiệu:Với các hệ thống Mạng lớn nhiều Tài nguyên và có sự phân cấp trong việc truy cập các loại Tài nguyên, việc phân chia hệ thống mạng Vật lý ra các Network_IDs hoăc Subnets khác nhau sẽ đem lại các lợi thế như :- Tránh hiện tượng nghẽn mạch đường truyền do số Hosts trong Network Logic quá nhiều- Ngăn chặn các hiện tượng lan truyền toàn mạch (broadcast) do sử dụng hoặc do Virus- Dễ dàng thiết lập các bộ lọc (Filter) để định tuyến khi truy cập Tài nguyênIII. Các bước triển khai: Mô hình dưới đây phát triển từ hệ thống Domain của Lab-4 nhưng phân chia các Network_IDs như sau : VIP, USER, SERVER. Sử dụng :+ 01 máy Windows Server 2003 với 04 NICs dùng làm Router+ 01 máy Windows Server 2003 dùng làm Domain Controller tại Network = SERVER+ 01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User VIP+ 01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User USERThiết lập Routing và các bộ lọc (Filter) sao cho:- Tất cà các Networks (VIP, SERVER, USER) đều truy cập Internet được- Network VIP và USER không truy cập lẫn nhau được- Network VIP và USER đều truy cập Network SERVER được.
6 - Xây dựng và cấu hình ISA Server 2006
[email protected] Page 4
I. Mô hình:
II. Giới thiệu:Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như :- Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet- Ngăn chặn các tấn công, thâm nhập trái phép từ InternetGiải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006 (ISA-2K6) III. CÁC BƯỚC TRIỂN KHAI:Phát triển từ hệ thống Domain của bài Lab-5, bài Lab này sử dụng thêm 1 máy tính độc lập ,dùng Windows Server 2003 để triển khai ISA-2K6Các bước triển khai bao gồm :- Cấu hình thông số TCP/IP và cài đặt ISA-2K6- Cấu hình các ISA-Clients trong mạng nội bộ- Khai báo trên ISA-2K6 các thành phần trong mạng nội bộ như :VIP, USER, SERVER- Thiết lập các Access Rules, Application Filer trên ISA-2K6 để kiểm soát các giao dịch- Cấu hình ISA-2K6 để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet - Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K67 - Server Publishing thông qua ISA Server 2006I. Mô hình:
II. Giới thiệu:Mô hình tương tự bài Lab 6, phát sinh thêm yêu cầu sau :- Công ty cần Publish một Web Server trong mạng nội ra ngoài Internet để các Client dù
[email protected] Page 5
trong mạng nội bộ hay từ ngoài Internet đuề có thể truy cập cập- Thiết lập cơ chế điều khiển từ xa với Remote Desktop sao cho Administrator có thể khiển Web Server từ một máy bất kỳ trong mạng nội bộ hoặc từ ngoài InternetIII. CÁC BƯỚC TRIỂN KHAI:
Bài Lab sử dụng các thành phần tương tự Lab-6 với 1 máy trong Network = SERVER dùng Windows Server 2003 để dùng làm Web Server (có thể dùng chung với máy Domain Controller)
Các bước thực hiện gồm :
- Xây dựng Web Server, Website (default) với Internet Information Service (IIS)- Cấu hình cho phép truy cập Remote Desktop trên máy Web Server- Cấu hình Access Rule và Publishing Rule trên ISA cho Web Server- Cấu hình NAT Inbound trên Router ADSL- Tạo Public Hostname bằng giao diện Domain Control Panel của Yahoo
8 - Hệ thống mở rộng & Kết nối WANI. Mô hình:
M1: DC Sài Gòn (card CROSS)M2: ISA Sài Gòn (2 card CROSS & LAN)R1: Router ADSL 1 nối với switch.
AP: Access point nối port WAN với switchM3: Giả lập laptop của nhân viên / khách hàng (card LAN / wireless card )R2: Router ADSL 2 nối card LAN của M3 / M4M4: ISA Hà Nội (2 card CROSS & LAN)M5: Server Hà Nội (card CROSS)
[email protected] Page 6
II. Giới thiệu:
Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh ở Hà Nội. Từ đó, phát sinh một số nhu cầu:
- Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn.
- Trao đổi dữ liệu an toàn giữa 02 hệ mạng Sài Gòn & Hà Nội khi doanh nghiệp không có đường thuê bao riêng.
- Khách hàng đến doanh nghiệp có thể dùng laptop kết nối không dây để truy cập internet.
- Nhân viên có thể dùng laptop kết nối không dây để truy cập internet và truy cập tài nguyên mạng nội bộ.
III- Các bước triển khai:
Bài Lab phát triển từ mô hình của Lab-7 đươc xem như Site Saigon và các máy cho Site Hanoi dùng mô hình mạng Workgroup bao gồm :
- 01 máy Windows Server 2003 dùng làm ISA-2K6 (M4)
- 01 máy Windows Server 2003 dùng làm Server (M5)
Để đáp ứng các yêu cầu nêu trên , các giải pháp đuọc đề nghị bao gồm
- Thiết lập kết nối VPN Client to Gateway qua ISA server.
- Thiết lập kết nối Gateway to Gateway qua ISA server giữa 2 văn phòng Sài Gòn & Hà Nội.
- Thiết lập Wireless Access Point và cấu hình ISA server.
9 - Chia Site logic cho Domain Network
I. Mô hình:
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 648x181
[email protected] Page 7
II. Giới thiệu:
Trong bài Lab 8, chi nhánh Hà Nội sử dụng mô hình Workgroup, nhưng do số lượng nhân viên tại site Hà Nội tăng lên , nên phát sinh nhu cầu
- Tại site Hanoi sử dụng cùng Domain Network với Site Saigon để quản lý tập trung
- Xây dựng thêm Domain Controller tại site Saigon để duy trì quá trình đăng nhập khi Domain Controller hiện tại có sự cố
- Mỗi site duy trì quá trình đăng nhập độc lập khi kết nối VPN bị lỗi
III. Các bước triển khai:
Để đáp ứng các yêu cầu nêu trên , các bước thực hiện bao gồm:
- Xây dựng thêm máy Additional Domain Controller (DC2) tại site Saigon
- Xây dựng thêm máy Additional Domain Controller (DC3) tại site Hanoi
- Cấu hình chia site logic cho Domain Network
10 - Xây dựng Child Domain
I. Mô hình: (như bài lab 9)
Hình ảnh này đã được thay đổi kích thước. Click vào đây để xem hình ảnh gốc với kích thước là 644x215
[email protected] Page 8
II. Giới thiệu:
Do sự phát triển, mở rộng tại Site Saigon và từ đó phát sinh nhu cầu phân cấp trong quản lý, Doanh nghiệp có yêu cầu tạo nên hệ thống Chi Nhánh (Child Domain) trong Site Saigon với mục đích:
- Có thể xây dựng hệ thống Account Policy dộc lập cho Chi Nhánh- Cô lập quyền của Administrator chịu trách nhiệm quản lý Chi Nhánh- Tối ưu hóa quy trình đồng bộ (Replication) giữa các Domain Controller trong toàn Domain
III. Các bước thực hiện:
Xây dựng từ bài Lab-9 với Domain = Nhatnghe.Local, xây dựng thêm hệ thống Chi Nhánh (Child Domain) = SG.Nhatnghe.Local
Các máy cần dùng cho Child Domain gồm : 01 máy Windows Server 2003 dùng làm Domain Controller cho Child Domain SG.Nhatnghe.Local
Các bước tiến hành bao gồm :- Tại Site Saigon, tạo Forward Lookup Zone: sg.nhatnghe.local- Tại Site Saigon, nâng cấp Primary DC cho Domain sg.nhatnghe.local- Cấu hình Global Catalog Server và Secondary DNS Server trên Domain Controller của domain sg.nhatnghe.local- Cấu hình Account Policy cho Domain sg.nhatnghe.local- Tạo User trên domain con, kiểm tra Password Policy- Kiểm tra quyền Domain Admins của Domain sg.nhatnghe.local
[email protected] Page 9
Bài 1 : Thiết lập hệ thống mạng cho Doanh nghiệp nhỏ
I- MÔ HÌNH
- Mô hình sử dụng 2 máy tính
II- GIỚI THIỆU
- Giải pháp dùng cho Doanh nghiệp nhỏ với các yêu cầu cơ bản như :
Chia sẻ dữ liệu, chia sẻ máy in
Truy cập Internet với 1 đường truyền ADSL
III- CÁC BƯƠC TRIỂN KHAI
- Mô hình dùng mạng WorkGroup. Các máy User dùng Windows XP, các máy cung cấp tài nguyên (Files, Printer ) dùng Windows Server 2k3 với các bước thực hiện :
Đặt IP cho các máy
Cấu hình Router ADSL
[email protected] Page 10
Cấu hình File server
Cấu hình Print server
IV- TRIỂN KHAI CHI TIẾT
1. Đặt IP cho các máy
- Chuẩn bị: 1 máy Windows Server 2003 (PC01) và 1 máy Windows XP (PC02)
- Thông số IP của các máy như sau:
PC01 PC02IP address 192.168.1.2 192.168.1.3Subnet mask 255.255.255.0 255.255.255.0Default gateway 192.168.1.1 192.168.1.1Preferred DNS 203.113.131.1 203.113.131.1
- Thực hiện tại PC01 > Click phải My Network Places > Properties
[email protected] Page 11
- Chọn Internet Protocol (TCP/IP) > Properties
- Nhập thông số IP như hình vẽ > OK > OK
- Các máy còn lại > Thực hiện tương tự
[email protected] Page 13
Cấu hình Router ADSL - Thực hiện tại máy bất kỳ > Trong bài Lab này, tôi thực hiện tại PC02 > Reset thiết bị Router ADSL > Kiểm tra đường truyền với Router (IP mặc định của Router là 192.168.1.1) > Bảo đảm phải liên lạc được với Router - Mở Internet Explorer (IE) > Nhập 192.168.1.1 > Go - Nhập username và password của Router > OK
[email protected] Page 14
- Chọn tab Quick Start > RUN WIZARD
- Màn hình Quick Start > Next
- Màn hình Quick Start – Password > Nhập password mới > Next
[email protected] Page 15
- Màn hình Quick Start – Time Zone > Chọn GMT+07:00 > Next
- Màn hình Quick Start – ISP Connection Type > Chọn PPPoE/PPPoA > Next
[email protected] Page 16
- Màn hình Quick Start – PPPoE/PPPoA > Nhập thông tin như hình vẽ > Next
- Màn hình Quick Start Complete > Next > Close
[email protected] Page 17
- Tab Status > Quan sát đã nhận IP Public do ISP cấp
- Mở IE > Nhập google.com.vn > Quan sát đã truy cập web thành công
[email protected] Page 18
3. Cấu hình File server (thực hiện tại PC01)
- Tạo các group BanGiamDoc, KeToan, NhanSu
[email protected] Page 19
- Tạo các user TPKeToan, kt1, kt2, TPNhanSu, ns1, ns2
- Add các user TPKeToan, kt1 và kt2 vào group KeToan
[email protected] Page 20
- Add các user TPNhanSu, ns1 và ns2 vào group NhanSu
- Tạo cây thư mục như hình vẽ
[email protected] Page 21
a. Share folder Data
- Click phải Data > Properties
- Tab Sharing > Chọn Share this folder > Chọn Permissions
[email protected] Page 22
- Chọn Full Control tại cột Allow > OK > OK
b. Hồ sơ của phòng ban nào thì phòng ban đó quản lý
- Màn hình Data Properties > Tab Security > Chọn Advanced
[email protected] Page 23
- Màn hình Advanced Security Settings for Data > Gỡ dấu check All inheritable permissions from … defined here >
[email protected] Page 24
- Màn hình Security > Chọn Copy > Chọn OK
- Trong ACL > Chọn Users (HOUSE\Users) > Remove
[email protected] Page 25
- Quan sát kết quả > OK
- Click phải folder Chung > Properties
- Tab Security > Chọn group KeToan > Chọn Modify tại cột Allow
[email protected] Page 27
- Click phải folder KeToan > Properties > Tab Security > Chọn group KeToan > Chọn Modify tại cột Allow
- Tab Security > Chọn group NhanSu > Chọn Read & Execute tại cột Deny
[email protected] Page 29
- Màn hình Security > Yes > OK
- Click phải folder NhanSu > Properties > Tab Security > Chọn group NhanSu > Chọn Modify tại cột Allow
[email protected] Page 30
- Tab Security > Chọn group KeToan > Chọn Read & Execute tại cột Deny > Màn hình Security > Yes > OK
[email protected] Page 31
- Kiểm tra (thực hiện tại PC02) > Start > Run > Nhập \\192.168.1.2 > OK
- Nhập username và password (vd: kt1 / 123) > OK
[email protected] Page 32
- Trong folder Data > Mở file t1.txt > Nhập nội dung tùy ý
- Chọn menu File > Save
- Màn hình cảnh báo > OK
[email protected] Page 33
- Trong folder Data > Click phải > New > Folder
- Màn hình cảnh báo > OK
- Trong folder Chung > Click phải New > Folder > Đặt tên là kt1
[email protected] Page 34
- Trong folder KeToan > Click phải New > Text Document
- Nhập nội dung tùy ý > Chọn menu File > Save
- Trong folder Data > Click phải folder NhanSu > Open
[email protected] Page 35
- Màn hình thông báo lỗi > OK
c. Các user chỉ có thể xóa tài nguyên do chính mình tạo ra
- Thực hiện tại PC01 > Click phải folder NhanSu > Chọn Properties
[email protected] Page 36
- Gỡ dấu check Delete Subfolders and File và Delete tại cột Allow > Check vào ô Apply these permissions to objects and/or containers within this container only > OK > OK > OK
- Kiểm tra (Thực hiện tại PC02) > Start > Run > Nhập \\192.168.1.2 > OK
- Nhập ns1 / 123 > OK
[email protected] Page 39
- Trong folder NhanSu > Click phải New > Text Document > Đặt tên ns1.txt > Nhập nội dung tùy ý > Chọn menu File > Save
- Start > Run > Nhập \\192.168.1.2 > OK
- Nhập ns2 / 123 > OK
[email protected] Page 40
- Màn hình thông báo lỗi > OK
4. Cấu hình Print server (Máy in hiệu HP 2000C)
a. Cài đặt Local printer (Thực hiện tại PC01)
- Start > Settings > Printers and Faxes > Click phải Add Printer > Add Printer
- Màn hình Wellcome > Next
[email protected] Page 42
- Màn hình Local or Network Printer > Chọn Local printer … computer > Gỡ dấu check Automatically detect … printer > Next
- Màn hình Select a Printer Port > Next
- Màn hình Install Printer Software > Chọn HP 2000C > Next
[email protected] Page 43
- Màn hình Name Your Printer > Nhập NhanVien > Next
- Màn hình Printer Sharing > Chọn Share name > Next
- Màn hình Location and Comment > Next
[email protected] Page 44
- Màn hình Print Test Page > Chọn Yes > Next
- Màn hình Completing > Finish
- Quan sát kết quả
[email protected] Page 45
b. Cài đặt Network printer (Thực hiện tại PC02)
- Start > Run > Nhập \\192.168.1.2 > OK
- Nhập kt2 / 123 > OK
- Click phải NhanVien > Connect
[email protected] Page 46
- Màn hình Connect to Printer > Yes
- Quan sát kết quả
c. Độ ưu tiên – Phân quyền (Thực hiện tại PC01)
- Add TPKeToan và TPNhanSu vào group BanGiamDoc
[email protected] Page 47
- Màn hình Printers and Faxes > Click phải Add Printer > Chọn Add Printer
- Màn hình Welcome > Next
- Màn hình Local or Network Printer > Chọn Local printer > Next
[email protected] Page 48
- Màn hình Select a Printer Port > Next
- Màn hình Install Printer Software > Chọn HP 2000C > Next
- Màn hình Use Existing Driver > Chọn Keep existing driver > Next
[email protected] Page 49
- Màn hình Name Your Printer > Nhập GiamDoc > Next
- Màn hình Printer Sharing > Chọn Share name > Next
- Màn hình Location and Comment > Next
[email protected] Page 50
- Màn hình Print Test Page > Next
- Màn hình Completing > Finish > Quan sát kết quả
- Click phải GiamDoc > Properties
[email protected] Page 51
- Tab Advanced > Nhập 99 tại Priority
- Tab Security > Chọn Everyone > Remove
[email protected] Page 52
- Quan sát kết quả > Chọn Add > Add group BanGiamDoc > OK
- Kiểm tra (Thực hiện tại PC02) > Start > Run > Nhập \\192.168.1.2 > OK
[email protected] Page 53
- Nhập kt2 / 123 > OK
- Click phải GiamDoc > Chọn Connect
- Nhập kt2 / 123 > OK
[email protected] Page 54
II Giới thiệu:
- Với bài Lab-1 , phát triển thêm nhu cầu sử dụng Mail cho toàn Doanh nghiệp, với yêu cầu giảm tôi đa chi phí và công sức quản lý (không co’ IP tĩnh, Mail Server không cần Online 24/7)
- Giải pháp dề nghị : sử dụng giải pháp Mail Offline kết hợp sử dụng dịch vụ Mail Relay để không bị xếp loại Spam Mail
III Các bước triển khai:
Phát triển từ mô hình hệ thống Workgroup bài Lab-1 trước, kết hợp sử dụng :
- Máy Windows Server 2003 dùng làm Mail Server với chương trình Mail Daemon
- Kết hợp thêm các bước thực hiện :
+ Mua domain tại website DirectNIC
+ Đăng ký dịch vụ dùng để RELAY MAIL tại DNSexit
+ Cấu hình chức năng POP trên MAILBOX trung gian là YAHOO.COM.VN cho phép
MAIL SERVER nội bộ truy cập lên lấy mail về.
[email protected] Page 56
+ Cài đặt Mdeamon làm MAILSERVER trong nội bộ
+ Cấu hình Outlook Express để User nội bộ d tài khoản mail nội bộ
+ Kiểm tra gửi mail ra ngoài và từ bên ngoài gửi về
IV Triển khai chi tiết:
1. Mua domain tại website DirectNIC
[email protected] Page 57
B1 : Truy cập vào trang web http://directnic.com
Chọn vào link Need to create an account để đăng ký tài khoản mới.
[email protected] Page 58
Bạn mở mailbox dùng để đăng ký tại DirectNIC sẽ thấy có link active hoặc mã số active.
[email protected] Page 62
Domain hiện tại chưa được hosting vì vậy ta sẽ hosting về 1 free website ảo nào đó
[email protected] Page 72
2. Đăng ký dịch vụ dùng để RELAY MAIL tại DNSexit
B1 : Truy cập vào website http://dnsexit.com chọn vào link Sign Up
[email protected] Page 79
B5 : Đăng nhập vào tài khoản vừa đăng ký và tiến hành mua dịch vụ relay mail phù hợp với nhu cầu.
[email protected] Page 84
3. Cấu hình chức năng POP trên MAILBOX trung gian là YAHOO.COM.VN cho phép MAIL SERVER nội bộ truy cập lên lấy mail về:
B1 : Đăng nhập vào hộp thư yahoo [email protected]
Chọn vào link bên phải phía trên là : Các lựa chọn
[email protected] Page 90
B2 : Trong mục quản lý chọn vào link : Truy cập POP và chuyển tiếp
B3 : Check vào Truy cập qua web và POP sau đó lưu lại
[email protected] Page 92
4. Cài đặt Mdeamon làm MAILSERVER trong nội bộ :
Ở đây ta dùng chương trình làm MAIL SERVER là MDEAMON 10.0.0
B1 : Chạy file md_en.exe và tiến hành cài đặt
[email protected] Page 93
B3 : Please setup your first account
Fullname: admin
Mailbox : admin Password : 123456
Các thành phần còn lại ta cài mặc định
[email protected] Page 99
B6 : Bên phải check vào enable domain POP mail collection engine và nhập thông số sau :
Hostname or IP : pop.mail.yahoo.com.vn
Logon name : nnmailoffline
Password : nhập password của yahoo mail
[email protected] Page 104
B7 : Bên trái chọn Delivery, bên phải nhập thông tin của account dùng làm Relay Mail
Mục delivery option chọn : Send all outbound email to the Server specified below
Server : relay.dnsexit.com
Check vào …requires authentication
Username : nhatnghelab
Password : nhập password lúc đăng kí account để relay
[email protected] Page 107
5. Cấu hình Outlook Express add tài khoản mail nội bộ
B1 : Mở Outlook Express Menu Tool Accounts
B2 : Tab Mail bên phải chọn Add Mail
[email protected] Page 111
Thông tin Email Server Names :
Incoming mail : 192.168.1.3
Outgogin mail : 192.168.1.3
[email protected] Page 115
Account name :
teo
Password :
123456
6. Kiểm tra gửi mail ra ngoài và từ bên ngoài gửi về
B1 : Dùng Outlook Express của mailbox tèo soạn và gửi thư ra 1 hộp thư bất kì bên ngoài internet.
[email protected] Page 116
B2 : Dùng 1 email bên ngoài internet gửi về địa chỉ mail : [email protected]
[email protected] Page 119
Bài 3 : Giải pháp Mail cho Doanh nghiệp nhỏ
Free Mail Online Service
I- MÔ HÌNH: Như bài lab số 1 và số 2
I- GIỚI THIỆU
[email protected] Page 121
Với yêu cầu tương tự bài Lab-2 nhưng sử dụng giải pháp MailOnline với dịch vụ Mail Hosting miễn phí của hệ thống Google . điểm lợi thế là :
- Không cần máy làm Mail Server
- Không cần Mail Administrator chuyên nghiệp
- Online 24/7
- Không bị xếp loại Spam Mail
III- CÁC BƯƠC TRIỂN KHAI
- Hướng dẫn cách đăng ký Google Application
- Hướng dẫn cách gán tên miền với các dịch vụ của Google App (Web, Mail, FTP, Calenda …) và tạo các alias name tương ứng..
- Test thử bằng cách gởi mail từ trong ra và từ ngoài vào
IV- TRIỂN KHAI CHI TIẾT
1. Hướng dẫn cách đăng ký Google Application
a. Vào trang www.google.com/a
b. Trong phần Change Language, chọn tiếng Việt
c. Chọn mục Doanh nghiệp và Nhân viên
[email protected] Page 122
Trong mục Nhận email, công cụ giúp tăng năng suất và cộng tác cho doanh nghiệp, chọn tìm hiểu thêm
d. Chọn So sánh các ấn bản và đăng ký
[email protected] Page 124
f. Bước 1 : Trong màn hình Chào mừng bạn đến với Google Apps, chọn vào ô Quản trị viên. Tôi sở hữu hoặc kiểm soát tên miền này. Nhập vào tên domain trong phần Nhập vào trên miền của bạn Click Bắt đầu
[email protected] Page 126
g. Bước 2 : Điền thông tin về tên công ty của bạn
Trong dòng Số người dùng : nhập vào số người dùng (tùy ý)
Trong phần Quản trị viên Tài khoản, nhập vào thông tin của người quản trị hệ thống domain. Sau khi nhập xong, nhấn Tiếp tục
[email protected] Page 128
h. Bước 3 : Trong phần Tạo tài khoản Quản trị viên đầu tiên, nhập vào UN/PW và 1 số thông tin của người quản trị hệ thống mail. Sau đó, nhấn vào ô Tôi chấp nhận. Tiếp tục thiết lập >>
[email protected] Page 130
i. Màn hình Google App cho it4vns.com xuất hiện
Lưu ý : Lúc này, tất cả các dịch đều đang ở trạng thái không hoạt động
[email protected] Page 131
2. Hướng dẫn cách gán tên miền với các dịch vụ của Google App (Web, Mail, FTP, Calenda …) và tạo các alias name tương ứng..
a. Nhấn vào mục Xác minh quyền sở hữu tên miền
[email protected] Page 132
b. Màn hình Vui long xác minh rằng bạn sở hữu tên miền it4vns.com xuất hiện, nhấn phím mũi tên trong phần Chọn phương pháp xác minh, chọn Thay đổi bản ghi CNAME nhấn Xác minh
[email protected] Page 133
c. Google sẽ cung cấp cho bạn 1 chuỗi số. Bạn logon vào trang web quản trị domain để nhập thông tin theo sự hướng dẫn từ google.
[email protected] Page 134
Trong trang quản trị domain it4vns.com, chọn dòng CNAME – Edit domain aliases records
[email protected] Page 135
Dán chuỗi số được cung cấp từ google (*.it4vn2.com) points to google.com nhấn Continue (2 lần)
[email protected] Page 137
d. Quay về màn hình của bước 2b, nhấn vào ô Xác minh
e. Bạn sẽ nhận được thôg báo Chúng tôi đang kiểm tra quyền sở hữu miền. Viêc này có thể mất đến 48h chọn Đăng xuất (Sau 1 ngày bạn hãy quay lại trang này. Không tới 2 ngày đâu)
[email protected] Page 139
1 ngày sau đó …
f. Logon vào trang web của google : http://www.google.com/a
g. Nhấn chọn lên dòng Returning user, sign in here (ở góc phải trên của màn hình)
h. Trong dòng Enter your domain name: nhập vào tên miền của mình và chọn Go to start page nhấn Go
[email protected] Page 141
i. Màn hình của miền của bạn sẽ xuất hiện. Nhấn tiếp lên Sign in
[email protected] Page 142
j.
k. Nhập vào UN/PW của người quản trị domain Sign in
l. Chọn tiếp phần Manage this domain. Trong màn hình mới này, ngoại trừ phần Email không hoạt động, các dịch vụ khác đều đang ở trạng thái hoạt động
[email protected] Page 143
a. Tạo alias name cho Trang bắt đầu : Chọn Trang bắt đầu
[email protected] Page 146
Chọn http://start.it4vns.com Click Tiếp tục
Lưu trữ 2 thông tin là alias name và địa chỉ của server
[email protected] Page 148
Đưa thông tin vào như trong hình … Click Continue
[email protected] Page 150
Nhấn Continue
Quay lại màn hình quản lý của Google App Chọn Tôi đã hoàn tất các bước này
[email protected] Page 151
b. Tạo alias name cho Email. Trước khi tạo alias cho Email, cần active mail server trước. Trong màn hình
[email protected] Page 153
Trong màn hình Thiết lập gửi email, kéo thanh trượt bên phải xuống dưới. Ghi nhận lại thông tin các MX record của google cho mail server …
[email protected] Page 154
Do MX record của google có 7 records nên bạn phải bổ sung cho đủ “quân số”. Click Add more MX records (3 lần)
[email protected] Page 156
Màn hình tiếp theo như sau : lần lượt copy các địa chỉ máy chủ của google, paste (dán) vào các ô Mail Server bên dưới (Lưu ý : Host name không cần điền thông tin)
[email protected] Page 157
Sau đó quay trở về màn hình Thiết lập gởi mail của google click Tôi đã hoàn tất các bước này
[email protected] Page 160
c. Tạo alias name cho Documents : Làm tương tự như phần a.
Click vào Cài đặt dịch vụ Documents
[email protected] Page 162
… Làm các bước như trong phần tạo alias cho trang bắt đầu. Màn hình sau cùng như sau
[email protected] Page 163
Chọn dòng http://mail.it4vns.com click Tiếp tục
[email protected] Page 166
Quay về màn hình quản lý domain, khai báo các phần giống như khi cấu hình cho Trang bắt đầu. Sau cùng thì click Tôi hoàn tất bước các bước này (trong phần quản lý của Google App). Màn hình nhận được như hình dưới.
[email protected] Page 168
e. Tạo user.
Trong hình trên, chọn tab Tài khoản người dùng
- Nhập vào Họ và Tên
- Click lên Đặt mật khầu … Click Tạo người dùng mới
[email protected] Page 169
3. Test thử bằng cách gởi từ trong ra và từ ngoài vô
a. Test từ internet
- Mở IE, gõ vào http://mail.it4vns.com
[email protected] Page 172
-
- Nhập vào thông tin của user
- Màn hình Welcome … xuất hiện. Bạn chọn Ngôn ngữ và nhập vào chuỗi số được hiển thị. Kéo thanh trượt bên phải màn hình xuống dưới, chọn dòng Tôi chấp nhận. Hãy tạo tài khoản của tôi.
[email protected] Page 173
- Màn hình giao diện tổng quát của mail box user
[email protected] Page 174
-
- Bạn có thể mở email đang có trong mail box
- Tạo New mail, gởi cho 2 người : [email protected] và [email protected]. Sau khi soạn thư xong, nhấn Gửi
[email protected] Page 175
-
Lưu ý : Mail nhận được nằm trong Inbox
- Mở mail đã nhận và reply lại cho user
[email protected] Page 177
- Kiểm tra lại các email mà người khác đã gởi. Logon vào trang http://mail.it4vns.com
[email protected] Page 178
-
Bài 4 : Giới thiệu hệ thống Mạng Domain Network
Dùng trong Quản lý Doanh Nghiệp
I- MÔ HÌNH
[email protected] Page 180
Máy Domain ADSL Printer Client1,Client2 Ip:192.168.1.2
SM:255.255.255.0
GW:192.168.1.1
DNS:192.168.1.2
Ip:192.168.1.1
SM:255.255.255.0
Ip:192.168.1.254
SM:255.255.255.0
Ip: DHCP
II- GIỚI THIỆU
Với các mô hình trước sử dụng mạng Workgroup tuy có lợi điểm là đơn giản , dễ triển khai nhưng không thuận lợi trong công tác quản trị và tính bảo mật kém, do vậy mô hình Lab-4 giói thiệu hệ thống Domain Network với các ưu điểm
- Quản lý tập trung toàn bộ mọi thành phần trong hệ thống
- Khả năng bảo mật cao nhưng thuận lợi nhờ cơ chế Single Set of Credential
- Khả năng co giãn linh động cho mọi quy mô, dễ dàng mở rộng
- Áp dụng cơ chế quản lý dựa trên Policy (Policy-based Administration)
[email protected] Page 181
- Cho phép triển khai các Application tích hợp trong AD Database do vậy tận dụng được cơ chế Replication của AD
III- CÁC BƯƠC TRIỂN KHAI
Mô lab gồm 3 máy : 1 máy dùng Windows Server 2k3 làm Domain Controller, DNS, DHCP server, 2 máy Vista dùng cho User với các bước thực hiện để minh họa khả năng quản lý của Domain Network với các công việc:
- Xây dụng hệ thống Domain bao gồm : nâng cấp Domain Controller
- Triển khai DHCP Server trên máy Domain Controller để cấp thông số cho các máy Workstation kết nối (Join) Domain một cách tự động
- Tổ chức hệ thống và phân quyền quản trị (Delegate)
- Tạo Home Directory, Roamming Profile cho Domain User
- Thiết lập Group Policy Object (GPO) để : triển khai application (deploy software), Script, kiểm soát các sự kiện (Events) xảy ra trong hệ thống
[email protected] Page 182
IV- TRIỂN KHAI CHI TIẾT
1. Dựng domain controller trên máy Server với domain là nhatnghe.local.
2. Cấu hình lại DNS server (tạo reserve lookup zone..)
3. Cài và cấu hình DHCP server trên máy Server
4. Join tất cả các máy client vào domain nhatnghe.local dùng ip động
5. Cho các máy client dùng Ip động truy cập được internet.
6. Tổ chức các OU và user sau:
a. Trong doamin nhatnghe.local tạo 2 OU : HCM và NhaTrang
b. Trong OU HCM tạo 2 OU con PKthuat , PGvien và user AdminHCM
c. Trong OU PKthuat tạo user AdminPKT và user Nv1,Nv2,Nv3
d. Trong OU PGvien tạo user AdminPgv và user Gv1,Gv2,Gv3
e. Trong OU Nhatrang tạo 2 OU con PKthuat ,PGvien và 2 user AdminNT, NV4
7. Trong OU HCM\PKthuat tạo group GKThuat add AdminNv1,Nv2,Nv3 vào group này. Trong OU HCM\PGvien tạo group Gvien add Gv1,Gv2,Gv3 vào group này. Trong Ou HCM tạo group Admin add AdminPKT, adminPgv vào group này.
8. Cài AdminPAK.msi vào máy Client1và máy client2
9. Ủy quyền cho user AdminHCM có toàn quyền trên OU HCM và user AdminNT có toàn quyền trên Ou NhaTrang (cho 2 user này có quyền tạo policy cho Ou của mình).
10. Cho user AdminHCM, AdminNT, AdminPKT, AdminGVien được phép Remote Desktop. Trên máy client1 logon vào AdminHCM và AdminNT Remote Desktop vào Doamin để kiểm tra.
11. Dùng quyền của AdminHCM ủy quyền cho user AdminPKT có toàn quyền trên OU PKthuat, user AdminPGV toàn quyền trên OU PGvien.
[email protected] Page 183
12. Dùng quyền AdminPKT cấm tất cả các user trong OU PKThuat không được phép chạy Notepad.exe, ngọai trừ user AdminPKT.
13. Trên Server tạo folder FileServer, share foler này cho group GKThuat có quyền read, group Gvien chỉ có quyền xóa file và folder do chính user đó tạo ra, group Admin có full quyền
14. Cài mày in Lexmark trên máy Server và share cho mọi user có quyền in. Dùng quyền AdmimHCM tạo logon script cho OU HCM sao cho khi user logon tự động add network từ Ser1 về máy client.
15. Tạo logon script cho tất cả các user tự động map folder Fileserver về ổ đĩa Y: máy client.
16. Kiểm toán tất cả các user trong ou HCM in trên máy in Lexmark.
17. Kiểm toán tất cả user truy cập vào foleder FileServer.
18. Cho các user dùng Roaming Profile,
19. Làm Home folder cho tất cả các user
20. Deploy office cho tất cả các user.
21. Backup DHCP, Backup domain. Copy các thông tin backup sang PC khác. Ghost lại máy Domain sau đó restore DHCP và domain trở về trạng thái ban đầu.
Thực hiện
1. Dựng domain controller trên máy Ser1với domain là nhatnghe.local
[email protected] Page 184
1. Click phải lên my network place chọn properties, click phải lên cacrd Lan chọn properties, chọn TCP/IP properties, khai báo IP như hình vẽ, OK.
2. Vào Start Run DCPROMO màn hình welcome ấn Next Next chọn option Controller for a new domain ấn Next
3. Chọn option domain in a new forest ấn Next
4. Nhập vào tên domain Nhatnghe.local ấn Next
[email protected] Page 185
5. NetBios name ấn Next 6. Database ấn Next
7. Màn hình SysVol ấn Next, chọn option Install and configure the DNS… ấn Next
8. Tiếp tục ấn Next, Next, Next đến khi hoàn tất, khởi động lại máy
2. Cấu hình lại DNS server (tạo reserve lookup zone..)
[email protected] Page 186
1. Vào card Lan sửa lại Prefer DNS là IP của máy Server
2. Vào Start Run gõ lệnh DNSMGMT.MSC để vào DNS
3. Click phải vào Reverse Lookup Zone, chọn New Zone
4. Màn hình Welcome ấn Next, chọn option Primary Zone ấn Next Next
5. Network ID nhập vào 192.168.1 Next, Next
6. Vào Start Run CMD gõ lệnh IPconfig /registerDNS
[email protected] Page 187
7. Vào DNS kiểm tra xem có PRT chưa, vào Start Run gõ NSLookup để kiểm tra.
8. Click phải PC chọn Properties, chọn Tab Forwarder nhập vào IP của ISP ấn Add, OK. Hoàn tất việc chỉnh sữa DNS.
3. Cài và cấu hình DHCP server trên máy Server
1. Vào Start Run gõ lệnh APPWIZ.CPL để vào Add Remove Program, chọn Add Remove Window Component, chọn Network Services ấn Detail chọn DHCP ấn Next, chỉ source Window2K3, để cài DHCP
2.Vào Start Run gõ lệnh DHCPMGMT.MSC để vào DHCP, click phải lên DHCP chọn Manage authorized servers
[email protected] Page 189
3. Ấn Authorize, nhập vào IP của máy Server, OK, OK.
4. Chọn Server ấn Next, hoàn tất Authorized Server
5. Click phải lên Server chọn New Scope nhập vào Scope Name ấn Next
6. Nhập vào Start IP, End IP, Next
7. Nhập vào dãy IP loại trừ Next, Next 8. Chọn Option Yes, I want… Next.
[email protected] Page 191
9. Nhập IP của ADSL, Next 10. Nhập IP của DNS Server ấn Next
11. Màn hình WinS ấn Next, chọn Option Yes, I want to active… Next, Finish
12. Hoàn tất việc cài DHCP
4. Join tất cả các máy client vào domain nhatnghe.local dùng ip động
1. Tại máy client1 và client2 vào start run gõ cmd ra cửa sổ command gõ ipconfig /renew xin ip từ máy DHCP, ipconfig /all, nslookup để test DNS.
2. Click phải vào computer chọn properties, chọn change settings, ấn change, chọn option Domain, nhập vào nhatnghe.local ok nhập user + pass administrator restart lại máy join domain xong
[email protected] Page 193
1. Sau khi join domain xong, logon vào máy client1 và client2 dùng lệnh nslookup test lại DNS, kiểm tra xem có truy vấn được các trang trang web ngoài internet không. Vì DNS server đã forwarder ra ISP ở bước 8 phần 2 nên việc truy vấn DNS những trang web ngòai Internet sẽ thành công
2. vào IE test thử một số trang web, hoàn tất phần 5
6. Tổ chức các OU và user sau:
a. Trong doamin nhatnghe.local tạo 2 OU : HCM và NhaTrang
b. Trong OU HCM tạo 2 OU con PKthuat , PGvien và user AdminHCM
c. Trong OU PKthuat tạo user AdminPKT và user Nv1,Nv2,Nv3
d. Trong OU PGvien tạo user AdminPgv và user Gv1,Gv2,Gv3
e. Trong OU Nhatrang tạo 2 OU con PKthuat ,PGvien và 2 user AdminNT, NV4
1. Trở về máy domain, vào Run gõ lệnh DSA.MSC, click phải vào nhatnghe.local chọn New Organizational Unit nhập vào tên Ou là HCM, Ok
2. Tương tự tạo OU NhaTrang.
3. Click phải vào OU HCM tạo OU PKthuat, OU PGvien và user AdminHCM.
4. Click phải vào OU PKthuat tạo user AdminPKT, NV1,NV2,NV3.
[email protected] Page 195
5. Click phải vào OU PGvien tạo user adminPgv,Gv1,Gv2,Gv3.
6. Click phải vào OU NhaTrang tạo 2 OU con là PKThuat và PGvien. Tiếp tục click phải vào ou Nhatrang tạo 2 user AdminNT và Nv4.
7. Trong OU HCM\PKthuat tạo group GKThuat add AdminNv1,Nv2,Nv3 vào group này. Trong OU HCM\PGvien tạo group Gvien add Gv1,Gv2,Gv3 vào group này. Trong Ou HCM tạo group Admin add AdminPKT, adminPgv vào group này.
1. Click phải vào OU Pkthuat con Ou HCM chọn New Group nhập vào GPKthuat Ok.
2. Click phải vào GPKthuat vừa tạo chọn Properties chọn Tab Member, Add NV1, NV2, NV3 vào Group
[email protected] Page 197
3. Click phải vào OU HCM\PGvien tạo Group GVien.
4. Click phải vào Group GVien mới vừa tạo chọn Properties chọn Tab Member Add GV1, GV2, GV3 vào Group.
5. Click phải vào OU HCM tạo Group Admin, click phải vào Group Admin chọn Properties chọn Tab Member, add AdminPGV, AdminPKT vào Group
6. Hoàn tất phần 7
8. Cài AdminPAK.msi vào máy Client1và máy client2
1. Trên máy Domain click phải vào ổ đĩa C chọn Search tìm file AdminPAK.MSI, copy file này vào folder share cho máy Client.
2. Tại máy Client1 và Client2 logon vào Administrator của Domain truy cập vào folder share của máy Domain cài AdminPAk.MSI
[email protected] Page 199
9. Ủy quyền cho user AdminHCM có toàn quyền trên OU HCM và user AdminNT có toàn quyền trên Ou NhaTrang (cho 2 user này có quyền tạo policy cho Ou của mình).
[email protected] Page 200
1. Tại máy Domain vào Start Run gõ lệnh DSA.MSC click phải vào OU HCM chọn Delegate Control.
2. Màn hình Welcome ấn Next, add AdminHCM, OK Next
3. Cấp quyền cho user AdminHCM Next hoàn tất cấp quyền cho AdminHCM
4. Vào Menu View chọn Advanced Features
5. Click phải vào OU Nhatrang chọn Properties
6. Chọn Tab Security add AdminNT vào, cấp Full quyền cho User này OK
[email protected] Page 201
7. Click phải vào Group Policy Creator Owner chọn Properties
8. Add AdminHCM và AdminNT vào Group này cho phép 2 User này tạo Policy
10. Cho user AdminHCM, AdminNT, AdminPKT, AdminGVien được phép Remote Desktop. Trên máy client1 logon vào AdminHCM và AdminNT Remote Desktop vào Doamin để kiểm tra.
1. Tại máy Domain click phải vào My computer chọn Properties, chọ tab Remote, chọn check box enable remote desktop…
2. Ấn Select Remote User ấn Add chọn user AdminHCM, AdminNT, AdminPGV, AdminPKT, cho phép các user này Remote Desktop, OK
3. Start Programs Administrative Tools Domain Controller Security Policy Double Click Security Setting\Local Policy \UserRightsAssigment\
4. Ấn nút Add chọn user AdminHCM, AdminNT, AdminPGV, AdminPKT cho các user này Logon locally, OK
[email protected] Page 202
5. Double Click Security Setting\Local Policy\User Rights Assigment\Allow Logon Through Terminal services
6. Ấn nút Add chọn user AdminHCM, AdminNT, AdminPGV, AdminPKT cho các user này Logon bằng Terminal services
7. Vào Start Run gõ lệnh GPUpdate /Force
8. Trên máy Client1 và Client2 Logon bằng quyền AdminHCM, vào Start Run gõ lệnh MSTSC để Remote vào Doamin thử
11. Dùng quyền của AdminHCM ủy quyền cho user AdminPKT có toàn quyền trên OU PKthuat, user AdminPGV toàn quyền trên OU PGvien.
1. Tại máy Client1 đăng nhập bằng quyền AdminHCM, vào Srtart Run gõ lệnh DSA.MSC click phải lên OU PKThuat chọn Properties chọn Tab Security, add user AdminPKT, cấp full quyền cho user này, ấn Advance
2. Bỏ checkbox Allow inheritable, chọn AdminPKT ấn Edit,
[email protected] Page 204
3. Trong phần Apply onto chọn This object and all child objects, OK, OK, OK
4. Tương tự click phải vào Ou PGVien chọn Properties chọn Tab Security add AdminPGV cấp full quyền cho user này, ấn Advanced
5. Trong phần Apply onto chọn This object and all child objects, OK, OK, OK
6. Trên mày Client1 lần lượt Logon vào AdminPGV và AdminPKT để kiểm tra
[email protected] Page 206
12. Dùng quyền AdminPKT cấm tất cả các user trong OU PKThuat không được phép chạy Notepad.exe, ngọai trừ user AdminPKT.
[email protected] Page 207
1. Tại máy Client1 logon bằng quyền AdminPKT, Remote Desktop lên máy Domain, vào DSA.MSC, click phải lên OU PKThuat chọn Tab Group Policy ấn nút New gõ tên PolicyPKThuat ấn Edit
2. Trong user Configuration\Administrative Templates\ System double click vào Don’t run specified Windows application.
3. Chọn Enabled ấn Show
4. Ấn Add nhập vào Notepad.exe, OK, OK, OK
[email protected] Page 208
5. Trở về Tab Group Policy chọn Properties.
6. Chọn Tab Security, ấn Add add user AdminPKT, OK, check vào ô Deny apply group policy, OK, OK
7. Vào Start Run gõ lệnh GPupdate /force
8. Lần lượt logon bằng quyền NV1, NV2,NV3 để kiểm tra có chạy Notepad được hay không. NV1, NV2, NV3 không chạy được, AdminPKT chạy được.
13. Trên Server tạo folder FileServer, share foler này cho group GKThuat có quyền read, group Gvien quyền xóa file và folder do chính user đó tạo ra, group Admin full quyền
1. Trên máy Domain tạo folder C:\FileServer, click phải lên folder này chọn Share, chọn option Share this folder ấn Permissions
2. Cho Everyone allow full control, OK
[email protected] Page 210
3. Chọn Tab Security add group Admin, GKThuat, GVien, Chọn Group Admin, GVien cấp full control, GKThuat quyền Read, ấn Advanced.
4. Bỏ check Allow Inheritable, chọn group GVien ấn Edit
5. Bỏ 2 check box của Delete Subfolders and file và Delete OK, OK
6. Tại Tab Security remove Group users, OK. Tại máy Client1 logon vào NV1, GV1 và AdminPKT truy cập lên folder FileSever để kiểm tra quyền.
[email protected] Page 212
14. Cài mày in Lexmark trên máy Server và share cho mọi user có quyền in. Dùng quyền AdmimHCM tạo logon script cho OU HCM sao cho khi user logon tự động add network từ Server về máy client.
[email protected] Page 213
1. Tại máy Domain vào Start Settings Printer and Fax, double click vào Add printer, chọn option Local Printer
2. Chọn option Create a new port, trong phần Type of port chọn Standard TCP/IP port Next
3. Nhập vào IP của máy in Lexmark, Next
4. Ấn Next, chọn option Share name, Next, Next hoàn tất cài Driver máy in Lexmark
5. Vào DSA.MSC click phải vào OU HCM chọn Properties chọn Tab Group Policy, ấn New gõ HCM OK, ấn Edit
6. Trong phần user Configuration\Windows Settings\Scripts(Logon/Logoff) double click vào Logon
[email protected] Page 214
7. Ấn Show file 8. Tạo file Print.vbs có nội dung sau:
Set WshNetwork =createObject("WScript.Network")
WshNetwork.AddWindowsPrinterConnection "\\PC20\Lexmark"
WshNetwork.SetDefaultPrinter "\\ PC20\Lexmark "
9. Trở về cửa sổ Logon properties ấn add ấn Browser chọn file Printer.vbs, OK, OK
10. Vào Start Run GPupdate /force, tại máy Client1 logon vào NV1, GV1 để kiểm tra xem có máy in chưa.
15. Tạo logon script cho tất cả các user tự động map folder Fileserver về ổ đĩa Y: máy client.
[email protected] Page 216
1. Tại máy Domain vào Start Run gõ lệnh DSA.MSC click phải vào Nhatnghe.local chọn Properties, chọn Tab Group Policy ấn Edit
2. Trong phần user Configuration\Windows Settings\Scripts(Logon/Logoff) double click vào Logon, ấn Show file rồi tạo file Map.bat có nội dung sau:
Net use y: \\192.168.1.2\FileServer
[email protected] Page 217
3. Trở về cửa sổ logon Properties ấn Add ấn browse chọn file Map.bat OK, OK
4. Vào Start Run GPupdate /force, tại máy Client1 logon vào NV1, GV1 để kiểm tra xem có ổ đĩa Y chưa
16. Kiểm toán tất cả các user trong OU HCM in trên máy in Lexmark.
1. Tại máy Domain vào Start Program Administrative Tools Domain controller security policy, trong phần Audit policy chọn Audit object access, chọn success and failure. Vào Run gõ Gpupdate /force
2. Click phải vào máy in Lexmark chọn properties tab security ấn advanced chọn tab Auditing, ấn Add lần lượt add user AdminHCM, group admin, group Gkthuat, Gvien vào.
3. Kiểm toán tất cả các quyền của máy in Successful và Failed
4. Làm lại bước 3 tương tự cho các group khác và user AdminHCM. Vào StartRun gõ lệnh GPupdate /force. Hoàn tất kiểm toán máy in trong OU HCM
[email protected] Page 218
1. Tại máy Domain click phải lên folder C:\FileServer chọn Properties Tab security ấn Advanced Tab Auditing ấn Add rồi add group user vào kiểm tóan tất cà các quyền Successful and Failed
2. Trên máy Client1 và Client2 logon bằng quyền user AdminPKT, AdminPGV truy cập lên folder FileServer trên Domain tạo thử file folder trong đó. Trở về máy Domain, click phải lên My computer chọn Manage. Trong phần Event viewer\ Security sẽ thấy tất cả các Audit ở đây
3. Click phải lên Security chọn Properties Tab Fillter, nhập vào Event ID là 560, user AdminPKT, OK
4. Sẽ thấy AdminPKT đã làm gì trên FileServer và Printer Lexmark
[email protected] Page 220
Cho các user dùng Roaming Profile.
1. Trên C: của máy Domain tạo thư mục Roaming, click phải lên folder chọn Share full quyền cho Everyone, OK
2. Tab Security ấn Advanced Tab permission bỏ checkbox Allow inheritable chọn Copy, OK
3. Tại Tab Security cấp full quyền cho group users, OK
4. Vào Start Run gõ DSA.MSC lần lượt click phải lên các user chọn Properties Tab Profile trong profile path gõ \\192.168.1.2\roaming\%username%, OK
[email protected] Page 222
5. Tại máy Client1 logon vào user GV1 thay đổi hình trên desktop, logoff
6. Tại máy Client2 logon vào GV1 sẽ thấy hình nền của máy Client1. Hoàn tất làm Roaming profile.
[email protected] Page 223
Làm Home folder cho tất cả các user
1. Tại máy Domain tạo folder C:\Common click phải folder chọn share cho Everyone full quyền, bỏ quyền thừa hưởng, cấp cho users full quyền tương tự như câu 18
2. Vào DSA.MSC lần lượt click phải lên các user chọn Properties chọn tab Profile chọn option Connect chọn ổ đĩa Z: trong phần To gõ \\192.168.1.2\common\%username%
3. Tại máy Client1 logon bằng quyền GV1 xem đã có ổ đĩa Z chưa, tạo vài folder trên đó Logoff
4. Tại máy Client2 logon bằng quyền GV1 xem các folder đã tạo trên Client1 có trong ổ Z không. Hoàn tất việc tạo Home folder cho tất cả các user
18. Deploy office cho tất cả các user.
1. Tại máy Domain copy source Office 2003. vào C:\Office share folder này cho user có quyền Read. Chạy file ORK.MSI để cài Microsoft Office Resource Kit
2. Vào Start Program Microsoft Office Microsoft Office Tools Microsoft Office 2003 Resource Kit Custom Installation Wizard, Next
[email protected] Page 224
3. Ấn Browse chọn C:\Office\Pro11.MSI, Next
4. Chọn Create a new MST file, Next
5. Tạo file C:\Office\Auto.MST, Next 6. Đường dẫn mặc định, Next
7. Tiếp tục ấn Next 8. Chọn những ứng dụng cần cài, Next
9. Nhập vào Product key của Office, check vào I accept…., Finish
10. Hoàn tất file Auto.MST
11. Trong folder C:\Office tạo file Setup.ZAP có nội dung sau:
[Application]FriendlyName=”Microsoft office 2003”SetupComand=”\\192.168.1.2\office\setup.exe Transforms=\\192.168.1.2\office\auto.mst /qb-“Displayversion=11.0[ext]
12. Vào DSA.MSC click phải lên nhatnghe.local chọn properties Tab group policy ấn Edit
[email protected] Page 226
13. Trong user Configuration\software setting click phải Software installation chọn properties gõ \\PC20\office, OK
14. Click phải lên Software installation chọn New Package chọn file Setup.zap
15. Vào Start Run gõ lệnh Gpupdate /force
16. Tại máy Client1, Client2 logon bằng quyền AdminPKT, vào control panel chọn program and feature, chọn Install a program from network sẽ thấy Office ấn Add để cài
19. Backup DHCP, Backup domain. Copy các thông tin backup sang PC khác. Ghost lại máy Domain sau đó restore DHCP và domain trở về trạng thái ban đầu.
1. Tại máy Domain vào DHCP click phải vào Scope chọn Backup
2. Ấn Make new folder tạo C:\backup OK, backup xong DHCP.
[email protected] Page 228
3. Vào Start Run gõ lệnh NTbackup, Welcome ấn Next
4. Chọn option Let me choose…, Next
5. Check vào System State, Next 6. Ấn browse chọn ồ C:\backup, lưu file với tên system.bkf, Next
7. Ấn Finish 8. Hoàn tất quá trình backup System state data
9. Lưu folder backup sang máy khác, giả sử máy Domain hư ghost laị máy Domain (ghost P1-2K3). Khai báo lại IP của máy Domain, cài DHCP
10. Restore DHCP. Vào Run gõ lệnh DHCPMRMT.MSC, click phải lên PC chọn Restore
[email protected] Page 230
11. Chọn thư mục C:\backup, OK 12. Hoàn tất Restore DHCP
13. Vào Start Run gõ Ntbackup, Welcome ấn Next, chọn Restore file… Next
14. Ấn Browse chọn C:\backup\system.bkf, OK, check vào System state, Next
15. Ấn Advanced 16. Chọn Original location, Next
17. Tiếp tục Next và Finish hoàn tất việc restore domain controller, khởi động lại máy
18. Cài Adminpak.msi trên máy Domain mới restore, kiểm tra lại DNS và các user trên Domain.
[email protected] Page 232
Lab5:
Hệ thống Domain Network nhiều Networks / Subnets
***
I. Mô hình
II. Giới thiệu
Với các hệ thống Mạng lớn nhiều Tài nguyên và có sự phân cấp trong việc truy cập các loại Tài nguyên, việc phân chia hệ thống mạng Vật lý ra các Network_IDs hoăc Subnets khác nhau sẽ đem lại các lợi thế như :
- Tránh hiện tượng nghẽn mạch đường truyền do số Hosts trong Network Logic quá nhiều
- Ngăn chặn các hiện tượng lan truyền toàn mạch (broadcast) do sử dụng hoặc do Virus
- Dễ dàng thiết lập các bộ lọc (Filter) để định tuyến khi truy cập Tài nguyên
[email protected] Page 233
III. Các bước triển khaiMô hình dưới đây phát triển từ hệ thống Domain của Lab-4 nhưng phân chia các Network_IDs như sau : VIP, USER, SERVER. Sử dụng :
01 máy Windows Server 2003 với 04 NICs dùng làm Router
01 máy Windows Server 2003 dùng làm Domain Controller tại Network = SERVER
01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User VIP
01 máy Windows Server 2003 hoăc Windows XP : dùng làm máy User USER
Thiết lập Routing và các bộ lọc (Filter) sao cho
- Tất cà các Networks (VIP, SERVER, USER) đều truy cập Internet được
- Network VIP và USER không truy cập lẫn nhau được
- Network VIP và USER đều truy cập Network SERVER được
IV. Triển khai chi tiết
1. ADSL - đặt IP port LAN: 192.168.1.1/24
- cấu hình ADSL để kết nối ra Internet
2. RouterRouter (cài W2K3) có 4 interface:
- WAN: nối vào ADSL để ra Internet
- LAN1: nối vào switch 1 (subnet 1) gồm các máy của VIP
- LAN2: nối vào switch 2 (subnet 2) gồm các server DC/DNS, File, Print,...
- LAN3: nối vào switch 3 (subnet 3) gồm các máy của nhân viên
Đặt địa chỉ IP cho router:
Interface
WAN IP/SM: 192.168.1.2/24
DG: 192.168.1.1
DNS: trống
LAN 1 IP/SM: 192.168.2.1/24
DG: trống
DNS: trống
LAN 2 IP/SM: 192.168.3.1/24
DG: trống
DNS: trống
LAN 3 IP/SM: 192.168.4.1/24
[email protected] Page 234
DG: trống
DNS: trống
Bật Rouring and Remote Access
B1: Start -> Programs -> Administrative Tools -> Routing and Remote Access
B2: Right click server (local) -> Configure and Enable Routing and Remote Access
B3: Next
B4: Chọn Custom configuration -> Next
- B5: Chọn NAT and basic firewall và LAN routing -> Next
[email protected] Page 235
B3: Chọn Public interface connected to the Internet, Enable NAT on this interface và Enable a basic firewall on this interface -> OK
B4: Right click NAT/Basic Firewall -> New Interface
B5: Chọn LAN 1 -> OK
[email protected] Page 239
B7: Tương tự chọn LAN 2 và LAN 3 làm Private interface
Tạo IP packet filter cấm VIP (LAN 1) và USER (LAN 3) truy cập lẫn nhau
B1: Right click LAN 1 -> Properties
[email protected] Page 241
B4: Nhập thông tin như trong hình -> OK
B5: Chọn Transmit all packets except those that meet the criteria below -> OK -> OK
[email protected] Page 244
3. Các net còn lại
3.1 Máy SERVER (subnet 2)
- Máy SERVER (cài W2K3) làm DC/DNS, File, Print,..
- Địa chỉ IP:
IP/SM: 192.168.3.2/24
DG: 192.168.3.1
DNS: 127.0.0.1
- Nâng cấp lên DC (domain name = nhatnghe.local)
- Cấu hình DNS: FLZ (nhatnghe.local), các RLZ (192.168.2.0/24, 192.168.3.0/24, 192.168.4.0/24)
- Tạo user vip1, nv1 (pass = 123)
- Tạo folder Data, share, gán permission
- Share máy in
3.2 Máy VIP (subnet 1)
- Máy VIP (cài WXP hoặc W2K3) là máy của user vip1
- Địa chỉ IP:
[email protected] Page 245
IP/SM: 192.168.2.2/24
DG: 192.168.2.1
DNS: 192.168.3.2
- Join domain
3.3 Máy USER (net 3)
- Máy USER (cài WXP hoặc W2K3) là máy của user u1
- Địa chỉ IP:
IP/SM: 192.168.4.2/24
DG: 192.168.4.1
DNS: 192.168.3.2
- Join domain
3.4 Test
a. Máy VIP
- truy cập Internet: ping 203.162.4.191 thành công
- truy cập SERVER: ping 192.168.3.2 thành công
- truy cập USER: ping 192.168.4.2 không thành công
b. Máy USER
- truy cập Internet: ping 203.162.4.191 thành công
- truy cập SERVER: ping 192.168.3.2 thành công
- truy cập VIP: ping 192.168.2.2 không thành công
c. Máy SERVER
- truy cập Internet: ping 203.162.4.191 thành công
- truy cập VIP: ping 192.168.2.2 thành công
- truy cập USER: ping 192.168.4.2 thành công
Châu Tuấn
Lab 6
XÂY DỰNG VÀ CẤU HÌNH ISA 2006
A - MÔ HÌNH
[email protected] Page 246
B- GIỚI THIỆU
Khi kết nối hệ thống mạng nội bộ để giao dịch với Internet ,các Công ty thường có yêu cầu như :
- Kiểm soát các giao dịch thực hiện giữa mạng nội bộ và Internet
- Ngăn chặn các tấn công, thâm nhập trái phép từ Internet
Giải pháp thích hợp cho các nhu cầu trên là sử dụng các Firewall (bức tường lửa). Bài Lab này giới thiệu việc cài đặt và triển khai phần mềm Firewall của Microsoft : Internet Security and Acceleration 2006 (ISA-2K6)
C- CÁC BƯỚC TRIỂN KHAI
Phát triển từ hệ thống Domain của bài Lab-5, bài Lab này sử dụng thêm 1 máy tính độc lập ,dùng Windows Server 2003 để triển khai ISA-2K6
Các bước triển khai bao gồm :
- Cấu hình thông số TCP/IP và cài đặt ISA-2K6
- Cấu hình các ISA-Clients trong mạng nội bộ
[email protected] Page 247
- Khai báo trên ISA-2K6 các thành phần trong mạng nội bộ như :VIP, USER, SERVER
- Thiết lập các Access Rules, Application Filer trên ISA-2K6 để kiểm soát các giao dịch
- Cấu hình ISA-2K6 để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet
- Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6
D- TRIỂN KHAI CHI TIẾT
I. Chuẩn bị
Bài lab gồm 5 PC:
Server,VIP,Users,Router và ISA
1. Nâng cấp Domain Controller trên máy Server
B1.Đặt IP Address
Interface Name
IP Address Subnet Mark Default Gateway
Preferred DNS
Lan-3 192.168.3.2 255.255.255.0 192.168.3.1 192.168.3.2
B2.StartRun:DCPROMO
[email protected] Page 248
Domain Name:nhatnghe.local
2. Cấu hình Routing trên máy Router
B1.Đặt IP Address cho các Interface
Interface Name
IP Address Subnet Mark Default Gateway
Preferred DNS
Cross 192.168.5.2 255.255.255.0 Trắng TrắngLan-2 192.168.2.1 255.255.255.0 Trắng TrắngLan-3 192.168.3.1 255.255.255.0 Trắng TrắngLan-4 192.168.4.1 255.255.255.0 Trắng Trắng
B2.Enable Lan Routing
StartProgramsAdministrative ToolsRouting and Remote Access
[email protected] Page 249
3. Join domain các máy VIP,USERS vào nhatnghe.local
B1. IP Address
PC IP Address Subnet Mark Default Gateway
Preferred DNS
VIP 192.168.2.2 255.255.255.0 192.168.2.1 192.168.3.2Users 192.168.4.2 255.255.255.0 192.168.4.1 192.168.3.2
B2.My ComputerPropertiesTab Computer NameClick Change
Member Of Domain: nhatnghe.local
II. Cài đặt ISA Server 2006 trên máy ISA
1.Cấu hình Route trên máy ISA
B1.Đặt IP Address
[email protected] Page 253
Interface Name
IP Address Subnet Mark Default Gateway
Preferred DNS
Cross 192.168.5.1 255.255.255.0 Trắng 192.168.3.2Lan 192.168.1.2 255.255.255.0 Trắng Trắng
B2. Tạo các route
Start\Run:CMD.
*Nhập các lệnh tạo route sau:
Route add –p 192.168.2.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 192.168.3.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 192.168.4.0 mask 255.255.255.0 192.168.5.2 metric 1
Route add –p 0.0.0.0 mask 0.0.0.0 192.168.1.1 metric 1
*Để xem Routing Table, nhập lệnh
route print
[email protected] Page 254
3.Cài đặt Firewall client trên cácmáy SERVER,VIP,USERS
Từ source ISA2006ClientChạy file: ISACient.exe
[email protected] Page 269
2. Cho PC VIP và Users được gửi nhận mail từ internet
B1.Định nghĩa VIP,Users
[email protected] Page 283
3. Cho PC Users đựoc truy cập trang nhatnghe.com trong giờ làm việc (8hAM-4hPM từ Thứ 2 đến Thứ 6)
B1.Định nghĩa “Trang nhatnghe.com”
[email protected] Page 294
5. Cho Users truy cập internet không hạn chế trong giờ giải lao(10hAM-2hPM)
B1.Định nghĩa “Giờ giải lao”
[email protected] Page 316
7. Cấm tất cả users truy cập trang ngoisao.net,nếu users truy cập trang này thì redirect về trang nhatnghe.com.
B1.Định nghĩa URL “ngoisao.net
ToolboxNetwork ObjectNew URL Set
[email protected] Page 330
IV.Cấu hình HTTP Filter
Nhằm cấm user chat YM,cấm gởi mail bằng phương thức POST,cấm download file exe,vbs
[email protected] Page 343
V.Cấu hình Intrusion Detection
Để nhận biết và ngăn chặn các tấn công từ bên ngoài Internet
B1.Enable Intrusion Detection
[email protected] Page 349
VI.Report
-Thực hiện thống kê, báo cáo về các giao dịch thông qua ISA-2K6
Chọn MonitoringTab ReportsClick “Generate a New Report”
[email protected] Page 354
Bài 7 : Server Publishing thông qua ISA-2K6
I- MÔ HÌNH
Hình vẽ
II- GIỚI THIỆU
Mô hình tương tự bài Lab 6, phát sinh thêm yêu cầu sau :
[email protected] Page 362
- Công ty cần Publish một Web Server trong mạng nội ra ngoài Internet để các Client dù trong mạng nội bộ hay từ ngoài Internet đuề có thể truy cập cập
- Thiết lập cơ chế điều khiển từ xa với Remote Desktop sao cho Administrator có thể khiển Web Server từ một máy bất kỳ trong mạng nội bộ hoặc từ ngoài Internet
III- CÁC BƯỚC TRIỂN KHAI
Bài Lab sử dụng các thành phần tương tự Lab-6 với 1 máy trong Network = SERVER dùng Windows Server 2003 để dùng làm Web Server (có thể dùng chung với máy Domain Controller)
Các bước thực hiện gồm :
- Xây dựng Web Server, Website (default) với Internet Information Service (IIS)- Cấu hình cho phép truy cập Remote Desktop trên máy Web Server
- Cấu hình Access Rule và Publishing Rule trên ISA cho Web Server
- Cấu hình NAT Inbound trên Router ADSL- Tạo Public Hostname bằng giao diện Domain Control Panel của Yahoo
[email protected] Page 363
IV- TRIỂN KHAI CHI TIẾT
Chuẩn bị: Đặt thông số IP cho các máy theo bảng sau:
LAN CROSSMáy Web Server Disable IP Address: 192.168.2.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.2.1
Prefered DNS Server: 203.162.4.191
Máy ISA IP Address: 192.168.1.2
Subnet Mask: 255.255.255.0
Default Gateway: 192.168.1.1
Prefered DNS Server: 203.162.4.191
IP Address: 192.168.2.1
Subnet Mask: 255.255.255.0
Default Gateway: (để trống)
Prefered DNS Server: (để trống)
Bước 1: Cài đặt Internet Information Service (IIS) và thiết kế Web Site
- Mở Control Panel Add Remove Programs Add Remove Windows Components Application Server Nhấn Detail
[email protected] Page 364
- Đánh dấu chọn Internet Information Services (IIS) Next
- Mở thư mục C:\Inetpub\wwwroot
- Tạo một File Text Document có tên default.htm
- Soạn thảo nội dung tùy ý cho File này
Bước 2: Bật chức năng Remote Desktop trên máy Web Server
[email protected] Page 365
- Click phải My Computer Properties- Đánh dấn mục chọn Enable Remote Desktop in this computer OK OK
Bước 3: Cấu hình Access Rule và Publishing Rule trên ISA
Tạo Access Rule cho phép Localhost và Internal truy cập lẫn nhau:
- Giao diện ISA Management: Click phải Firewall Policy New Access Rule
[email protected] Page 366
- Nhấn Add
- Double Click vào Internal
- Double Click vào Localhost
- Next
[email protected] Page 369
- Nhấn Add
- Double Click vào Internal
- Double Click vào Localhost
- Next
- Next
[email protected] Page 370
- Mở Internet Explorer Nhập IP máy Web Server 192.168.2.2 Kiểm tra truy cập thành công vào trang Web
- Start Proprams Accessories Comunication Remote Desktop Connection Nhập 192.168.2.2 Kiểm tra Remote thành công vào máy Web Server
Tạo Publishing Rule để Publish Web Server:
- Giao diện ISA Management: Firewall Policy Toolbox Network Objects Click phải Web Listeners New Web Listener
[email protected] Page 372
- Đặt tên Web Listener là Web80 Next
- Chọn Do not require SSL secured connetions with clients Next
[email protected] Page 373
- Click phải Firewall Policy New Web Site Publishing Rule
[email protected] Page 376
- Chọn Publish a single Web site or load balancer Next
- Chọn Use non-secured connections to connect the published Web server or server farm Next
[email protected] Page 378
- Internal site name: đánh FQDN của máy Web Server (pc14.nhatnghe.local)
- Đánh dấu chọn Use a computer name or IP address to connect to the published server
- Computer name or IP address: đánh IP Web server (192.168.2.2)
- Next
- Next
[email protected] Page 379
- Accept request for: chọn Any domain name Next
- Web Listener: Chọn Web80 Next
[email protected] Page 380
- Chọn No delegation, and client cannot authenticate directly Next
- Next
[email protected] Page 381
- Finish Apply OK
Tạo Publishing Rule để Publish RDP:
- Click phải Firewall Policy New Non-Web Server Protocol Publishing Rule
[email protected] Page 382
- Nhập IP Web Server (192.168.2.2) Next
- Seleted Protocol: Chọn RDP (Terminal Services) Server Next
[email protected] Page 384
- Finish Apply OK
Bước 4: Cấu hình NAT Inbound trên Router ADSL (Thực hiện trên máy ISA)
- Mở Internet Explorer Nhập IP Router là 192.168.1.1- Đăng nhập vào giao diện cấu hình Router ADSL (Username: admin, password: admin) OK
[email protected] Page 386
- Chọn tab Advanced Nhấn nút Lan Clients
- IP Address: Nhập IP máy ISA là 192.168.1.2
- Host Name: Nhập tên tùy ý
- Nhấn nút Add
[email protected] Page 387
- Ghi nhận IP Public mặt ngoài Router (vd: 222.254.188.60)
Kiểm tra truy cập bằng IP Address trên máy Client:
- Mở Internet Explorer Nhập IP Public (222.254.188.60) Kiểm tra truy cập thành công vào trang Web
[email protected] Page 390
- Mở Remote Desktop Connection Nhập IP Public (222.254.188.60) Kiểm tra Remote thành công vào m áy Web Server
Bước 5: Tạo Public Hostname bằng giao diện Domain Control Panel của Yahoo (Thực hiện trên máy tùy ý)
[email protected] Page 391
- Mở Internet Explorer truy cập trang web smallbusiness.yahoo.com/services- Đăng nhập bằng username và password đã đăng ký
- Chọn Domain Control Panel
[email protected] Page 392
- Nhấn nút Edit
- Nhập IP Public mặt ngoài Router ADSL (222.254.188.60)- Nhấn nút Submit
- Kết quả: Đã thay đổi IP cho Publish Hostname www.nhatnghe.info
[email protected] Page 394
- Kiểm tra: Chuyển ra Command Line
- NSLOOKUP
- Nhập www.nhatnghe.info Kiểm tra Public Hostname chưa được cập nhật IP
- Chờ khoảng 15 30 phút để IP mới được cập nhật
[email protected] Page 395
- Kiểm tra lại kết quả
Kiểm tra truy cập bằng Public Hostname trên máy Client:
- Mở Internet Explorer Nhập Public Hostname (www.nhatnghe.info) Kiểm tra truy cập thành công vào trang Web
- Mở Remote Desktop Connection Nhập Public Hostname (www.nhatnghe.info) Kiểm tra Remote thành công vào m áy Web Server
[email protected] Page 396
Bài 8 : Hệ thống mở rộng & Kết nối WAN
I- MÔ HÌNH
M1: DC Sài Gòn (card CROSS)M2: ISA Sài Gòn (2 card CROSS & LAN)R1: Router ADSL 1 nối với switch.
AP: Access point nối port WAN với switch
M3: Giả lập laptop của nhân viên / khách hàng (card LAN / wireless card )
R2: Router ADSL 2 nối card LAN của M3 / M4M4: ISA Hà Nội (2 card CROSS & LAN)
M5: Server Hà Nội (card CROSS)
II- GIỚI THIỆU
Doanh nghiệp mở rộng hoạt động kinh doanh và mở thêm chi nhánh ở Hà Nội. Từ đó, phát sinh một số nhu cầu:
- Nhân viên làm việc ngoài công ty cần kết nối an toàn đến hệ mạng Sài Gòn.
[email protected] Page 397
- Trao đổi dữ liệu an toàn giữa 02 hệ mạng Sài Gòn & Hà Nội khi doanh nghiệp không có đường thuê bao riêng.
- Khách hàng đến doanh nghiệp có thể dùng laptop kết nối không dây để truy cập internet.
- Nhân viên có thể dùng laptop kết nối không dây để truy cập internet và truy cập tài nguyên mạng nội bộ.
III- CÁC BƯỚC TRIỂN KHAI
Bài Lab phát triển từ mô hình của Lab-7 đươc xem như Site Saigon và các máy cho Site Hanoi dùng mô hình mạng Workgroup bao gồm :
- 01 máy Windows Server 2003 dùng làm ISA-2K6 (M4)
- 01 máy Windows Server 2003 dùng làm Server (M5)
Để đáp ứng các yêu cầu nêu trên , các giải pháp đuọc đề nghị bao gồm
- Thiết lập kết nối VPN Client to Gateway qua ISA server.
- Thiết lập kết nối Gateway to Gateway qua ISA server giữa 2 văn phòng Sài Gòn & Hà Nội.
- Thiết lập Wireless Access Point và cấu hình ISA server.
IV- TRIỂN KHAI CHI TIẾT
Chuẩn bị:
- Thông số IP:
[email protected] Page 398
Thành phần
Card IP address S.Mask D. Gateway P. DNS
M1 Cross 192.168.2.2 255.255.255.0 192.168.2.1 192.168.2.2
M2Cross 192.168.2.1 255.255.255.0 Không 192.168.2.2
Lan 192.168.1.2 255.255.255.0 192.168.1.1 Không
R1 Lan 192.168.1.1 255.255.255.0 Không Không
AP Lan 192.168.1.3 255.255.255.0 192.168.1.1 Không
M3Wireless Obtain automatically
Lan 192.168.1.200 255.255.255.0 192.168.1.1 203.162.4.191
R2 Lan 192.168.1.1 255.255.255.0 Không Không
M4Lan 192.168.1.2 255.255.255.0 192.168.1.1 203.162.4.191
Cross 172.16.2.1 255.255.255.0 Không Không
M5 Lan 172.16.2.2 255.255.255.0 172.16.2.1 203.162.4.191
- Dùng M3 kết nối lần lượt R1 & R2 để setup và thử truy cập internet.
- Dùng M3 kết nối port LAN của AP và đặt lại tên, địa chỉ IP LAN cho AP.
1. Cấu hình VPN client to Gateway:
1.1. Thực hiện tại M1: Log on Administrator
b1. Chỉnh password policies: tất cả giá trị = 0 và disable.
b2. Đổi password domain administrator: 123
b3. Tạo thư mục C:\DuLieuSaiGon & share Everyone allow full control
b4. Tạo user NV1, password 123. Cấp quyền allow access.
[email protected] Page 399
1.2. Thực hiện tại M2: Log on Domain Administrator
b1. Define Address assigment: 192.168.20.1 – 192.168.20.200
[email protected] Page 401
b3. Tạo access rule:
1. “DNS outbound”: action: Allow – protocol: DNS – from: Internal – to: External – Users: All Users
2. “HTTP outbound”: action: Allow – protocol: HTTP, HTTPS – from: Internal, LocalHost – to: External – Users: All Users
3. “VPN Clients access”: action: Allow – protocol: All outbound traffic – from: VPN Clients – to: Internal – Users: All Users
[email protected] Page 408
b5. Cập nhật public host name – public IP address.
1.3. Thực hiện tại M3: Log on Administrator
b1. Kết nối R2, phân giải tên của public host name Sài Gòn
[email protected] Page 415
2. Cấu hình VPN Gateway to Gateway:
2.1. Thực hiện tại M1: Log on Administrator
Tạo user HN, password 123. Cấp quyền allow access.
[email protected] Page 426
2.2. Thực hiện tại M2: Log on Domain Administrator
Tạo VPN site-to-site connection:
[email protected] Page 428
- Remote site VPN server: public host name Hà Nội.
- Remote authentication: user name: SG, password: 123.
[email protected] Page 432
2.3. Thực hiện tại M4: Log on Administrator
b1. Cài đặt ISA. Internal network: 172.16.2.0 – 172.16.2.255
b2. Tạo user SG, password 123. Cấp quyền allow access.
b3. Tạo access rule:
1. “DNS outbound”: action: Allow – protocol: DNS – from: Internal, LocalHost – to: External – Users: All Users
2. “HTTP outbound”: action: Allow – protocol: HTTP, HTTPS – from: Internal, LocalHost – to: External – Users: All Users
[email protected] Page 441
- Network address:
o 192.168.2.0 – 192.168.2.255.
o 192.168.3.0 – 192.168.3.255.
o 192.168.4.0 – 192.168.4.255.
[email protected] Page 454
b7. Kết nối R2, cấu hình virtual server 192.168.1.2 – protocol PPTP.
b8. Cập nhật public host name – public IP address.
2.4. Thực hiện tại M5: Log on Administrator
b1. Tạo thư mục C:\HoSoHaNoi & share Everyone allow full control
b2. Truy cập dữ liệu trên M1 (DC Sài Gòn).
3. Cấu hình Accesspoint & ISA server để:
- Cấp quyền truy cập internet cho khách hàng.
- Cấp quyền truy cập internet và tài nguyên nội bộ cho nhân viên.
3.1. Cấu hình DHCP của AP: Dùng M2 truy cập web cấu hình AP (http://192.168.1.1)
- Wan: Automatic
[email protected] Page 460
- Lan: IP address: 192.168.1.3, s.mask: 255.255.255.0, d.gateway: 192.168.1.1
- DHCP: start IP: 192.168.1.11 – end IP: 192.168.1.100
[email protected] Page 461
3.2. Thực hiện tại M2: Log on Domain Administrator. Điều chỉnh access rule “HTTP outbound”, tab “From”: thêm network “VPN Clients”
[email protected] Page 464
3.2. Thực hiện tại M3: Log on Administrator.
Giả lập laptop khách hàng:
b1. Disable card LAN.
b2. Kết nối wireless card và cài driver.
b2. Kết nối AP.
b3. Truy cập internet.
Giả lập laptop nhân viên:
b1. Ngắt kết nối AP.
b2. Tạo conection VPN kết nối server 192.168.1.2 (ISA Sài Gòn)
b3. Kết nối AP.
b4. Kết nối VPN. Username: NV1, password: 123
[email protected] Page 468
b5. Truy cập dữ liệu trên M1 (DC Sài Gòn).
b6. Truy cập internet.
Giảng viên trung tâm NHẤT NGHỆ
LÊ NGỌC HIẾN
Bài 9 : Chia Site logic cho Domain Network
I- MÔ HÌNH
II- GIỚI THIỆU
Trong bài Lab 8, chi nhánh Hà Nội sử dụng mô hình Workgroup, nhưng do số lượng nhân viên tại site Hà Nội tăng lên , nên phát sinh nhu cầu
- Tại site Hanoi sử dụng cùng Domain Network với Site Saigon để quản lý tập trung
- Xây dựng thêm Domain Controller tại site Saigon để duy trì quá trình đăng nhập khi Domain Controller hiện tại có sự cố
- Mỗi site duy trì quá trình đăng nhập độc lập khi kết nối VPN bị lỗi
[email protected] Page 469
III- CÁC BƯỚC TRIỂN KHAI
Để đáp ứng các yêu cầu nêu trên , các bước thực hiện bao gồm:
- Xây dựng thêm máy Additional Domain Controller (DC2) tại site Saigon
- Xây dựng thêm máy Additional Domain Controller (DC3) tại site Hanoi
- Cấu hình chia site logic cho Domain Network
FW1: ISA ở Sài GònFW2: ISA ở Hà Nội
DC1: Domain Controller chính ở Sài Gòn (card LAN)DC2: Additional DC ở Sài Gòn (card LAN)R1: Router ADSL 1 nối card CROSS FW1.
R2: Router ADSL 2 nối card CROSS FW2.DC3: Additional DC ở Hà Nội (card LAN)WS: Workstation ở Hà Nội
Cấu hình IP
[email protected] Page 470
Thành phần
Card IP address S.Mask D. Gateway P. DNS
FW1Lan 192.168.2.1 255.255.255.0 Không
P.DNS:192.168.2.2Alt.DNS:192.168.2.3
Cross 192.168.1.2 255.255.255.0 192.168.1.1 Không
DC1 Lan 192.168.2.2 255.255.255.0 192.168.2.1 P.DNS: 192.168.2.2
DC2 Lan 192.168.2.3 255.255.255.0 192.168.2.1P.DNS:192.168.2.2Alt.DNS:192.168.2.3
R1 Lan 192.168.1.1 255.255.255.0 Không Không
FW2Cross 192.168.1.2 255.255.255.0 192.168.1.1 Không
Lan 172.16.2.1 255.255.255.0 Không P.DNS: 172.16.2.2
DC3 Lan 172.16.2.2 255.255.255.0 172.16.2.1P.DNS: 192.168.2.2Alt.DNS: 172.16.2.2
WS1 Lan 172.16.2.3 255.255.255.0 172.16.2.1 P.DNS: 172.16.2.2
R2 Lan 192.168.1.1 255.255.255.0 Không Không
Trước khi triển khai LAB, yêu cầu đã thực hiện những bước sau:
- Máy DC1 là Domain Controller (NhatNghe.Local)
- Đã cấu hình VPN Site-To-Site giữa 2 hệ thống
- Trong DNS của DC1, đã tạo thêm zone số 172.16.2, zone integrated AD
[email protected] Page 471
IV- TRIỂN KHAI CHI TIẾT
1) Nâng cấp DC2 thành Additional Domain Controller
Bước 1: DC2 join domain NhatNghe.Local. Logon vào local Admin, Click phải vào My Computer Properties
Chọn Tab Computer Name Click Change
Chọn Domain, nhập vào NhatNghe.Local OK
Nhập Username và Password của Domain Admin OK OK Yes Restart lại máy
[email protected] Page 472
Bước 2: Nâng cấp DC2 thành Additional Domain Controller
Đăng nhập máy tính bằng quyền Domain Admin
Vào Start Run, nhập DCPROMO. Màn hình Welcome Next
[email protected] Page 473
Hộp thoại Operating System Compatibility Next
Hộp thoại Domain Controller Type Chọn Additional Domain Controller for an existing domain Next
[email protected] Page 474
Hộp thoại Network Credentials Nhập vào User và Pass của Domain Admin
Hộp thoại Additional Domain Controller Next
[email protected] Page 475
Hộp thoại Database and Log Folders Next
Hộp thoại Shared System Volume Next
[email protected] Page 476
Hộp thoại Directory Services Restore Mode… Nhập vào password Restore Mode (Trong bài Lab này bỏ trắng)
[email protected] Page 477
Bước 3: DC2 Cài dịch vụ DNS server, không cấu hình và kiểm tra đã đồng bộ database DNS từ DC1
Bước 4: Chỉnh Preferred DNS Server DC2 về 192.168.2.3 và Alternate DNS Server về 192.168.2.2
2) Nâng cấp DC3 thành Additional Domain Controller
Bước 1: DC3 join domain NhatNghe.Local
Bước 2: Nâng cấp DC3 thành Additional Domain Controller
Bước 3: DC3 Cài dịch vụ DNS server, kiểm tra đã đồng bộ database DNS từ DC1
Bước 4: Chỉnh Preferred DNS server DC3 về 172.16.2.2 và Alternate DNS server 192.168.2.2
Triển khai tương tự các bước như phần Nâng cấp DC2 thành Additional Domain Controller
- Tiến hành WS1 join domain NhatNghe.Local
[email protected] Page 479
3) Chia site (thực hiện trên máy DC1)
Vào Administrative Tools Active Directory Sites and Services
Click phải vào Default-First-Site-Name Rename
Nhập vào SaiGon
[email protected] Page 480
Click phải vào Sites New Site
Tạo site mới tên HaNoi OK
Nhấn OK để hoàn tất việc tạo site HaNoi
[email protected] Page 481
Chọn site HaNoi OK
Click vào HaNoi Server DC3
Click phải vào NTDS Settings Properties
[email protected] Page 485
4) Kiểm tra
- Tại DC1, tạo User hn/P@ssword
- Kiểm tra tại DC2 và DC3 đều có user hn- Tắt router, giả lập kết nối VPN lỗi, user hn vẫn login tại WS thành công
Giảng Viên Trung Tâm Nhất Nghệ
SỬ TRÍ THỨC VÀ PHAN MINH TUYÊN
LAB 10
I. Mô hình: (dựa theo mô hình bài lab 9)
II. Giới thiệu:Do sự phát triển, mở rộng tại Site Saigon và từ đó phát sinh nhu cầu phân cấp trong quản lý, Doanh nghiệp có yêu cầu tạo nên hệ thống Chi Nhánh (Child Domain) trong Site Saigon với mục đích:
- Có thể xây dựng hệ thống Account Policy dộc lập cho Chi Nhánh- Cô lập quyền của Administrator chịu trách nhiệm quản lý Chi Nhánh
[email protected] Page 488
- Tối ưu hóa quy trình đồng bộ (Replication) giữa các Domain Controller trong toàn Domain
III. Các bước thực hiện:Xây dựng từ bài Lab-9 với Domain = Nhatnghe.Local, xây dựng thêm hệ thống Chi Nhánh (Child Domain) = SG.Nhatnghe.Local
Các máy cần dùng cho Child Domain gồm : 01 máy Windows Server 2003 dùng làm Domain Controller cho Child Domain SG.Nhatnghe.Local
Các bước tiến hành bao gồm :- Tại Site Saigon, tạo Forward Lookup Zone: sg.nhatnghe.local- Tại Site Saigon, nâng cấp Primary DC cho Domain sg.nhatnghe.local- Cấu hình Global Catalog Server và Secondary DNS Server trên Domain Controller của domain sg.nhatnghe.local- Cấu hình Account Policy cho Domain sg.nhatnghe.local- Tạo User trên domain con, kiểm tra Password Policy- Kiểm tra quyền Domain Admins của Domain sg.nhatnghe.local
IV. Triển khai chi tiết:
B1: Tại Site SÀI GÒN, tạo FLZ: sg.nhatnghe.localTrên PC02, mở DNS tạo zone mới với các bước như hình bên dưới:
[email protected] Page 489
B2: Nâng Cấp PC04 lên Domain Controller của domain con sg.nhatnghe.localTrên PC04 thực hiện nâng cấp với các bước như hình bên dưới:
[email protected] Page 494
B3: Cấu hình Global Catalog Server và Secondary DNS ServerTrên PC04 đăng nhập với quyền domain admin vào Child Domain. Cầu hình Global Catalog Server:
[email protected] Page 502
Trên PC02 cấu hình cho phép zone sg.nhatnghe.local có thể transfer qua PC04:
[email protected] Page 509
B4: Cấu hình Account Policy (Password Policy) trên domain con
Thực hiện trên PC04 như các hình bên dưới:
[email protected] Page 512
B6: Kiểm tra quyền Domain Admin của Domain con
Domain Admin của Domain con không thể đăng nhập vào domain cha mà chỉ có quyền trên domain con sg.nhatnghe.local
[email protected] Page 517