Giáo trình Quản trị mạng nâng cao (Nghề Quản trị mạng Trình độ Cao đẳng)

DỊCH VỤ WINDOWS TERMINAL SERVICES

Tại sao phải dùng Terminal Services

Mục tiêu: Giới thiệu cho người học về chức năng của dịch vụ Terminal Services cùng với các lợi ích đạt được khi sử dụng dịch vụ này

Terminal Services is a remote administration service that enables administrators to perform management tasks from any client device.

Terminal Services requires a robust computer to function as the Terminal Services Server, capable of handling multiple user connections and running client software efficiently Properly purchasing and configuring all necessary licenses is essential for optimal performance when utilizing Terminal Services.

Lợi ích của Terminal Services

Terminal Services cung cấp nhiều lợi ích làm cho nó trở thành giải pháp ưu việt nhất cho mạng:

Sự phát triển của Windows Server đã mở ra khả năng triển khai Terminal Services, cho phép các máy tính có phần cứng không đủ mạnh để cài đặt phiên bản đầy đủ của Windows Server vẫn có thể tận dụng nhiều tính năng của hệ điều hành này.

Sự kết hợp giữa phần mềm thin client và các hệ điều hành độc lập cho phép người dùng mạng tận dụng tối đa hệ thống hiện có trên máy của họ, đồng thời hưởng lợi từ môi trường Windows Server thông qua Terminal Services.

Sự phát triển của các ứng dụng đã trở nên đơn giản hơn, khi người quản trị chỉ cần cài đặt một bản sao trên máy chủ Terminal Services thay vì cài đặt và cập nhật trên từng máy trong mạng Điều này giúp đảm bảo tất cả người dùng đều có thể truy cập phiên bản mới nhất của ứng dụng một cách dễ dàng.

Quản trị từ xa máy chủ thông qua Terminal Services cho phép người quản trị điều khiển server một cách hiệu quả, ngay cả khi không có mặt bên cạnh Tính năng này rất hữu ích khi người quản trị cần rời khỏi máy chủ trong một khoảng thời gian nhất định.

Mô hình xử lý của Terminal Services

Mục tiêu của bài viết là giới thiệu các thành phần của Terminal và chức năng của từng thành phần Bên cạnh đó, người học sẽ hiểu rõ yêu cầu để xác định ứng dụng nào sẽ được chia sẻ và loại phần cứng cần thiết để sử dụng.

2.1 Các thành phần của Terminal Services

Hầu hết các hoạt động của Terminal Services diễn ra trên máy chủ Terminal Services, nơi tất cả ứng dụng chạy trên server Terminal server gửi thông tin màn hình đến client và nhận đầu vào từ chuột và bàn phím Đồng thời, server cần theo dõi các phiên làm việc đang hoạt động.

When installing Terminal Services, the Remote Desktop Protocol (RDP) is automatically set up RDP is the sole connection that must be configured for clients to connect to the Terminal server It is important to note that only one RDP connection can be configured per network card.

Terminal Services client, hay còn gọi là Terminal client, sử dụng công nghệ thin client để phân phối giao diện Windows Server Desktop tới người dùng Người dùng chỉ cần thiết lập kết nối với server để nhận thông tin đồ họa mà server gửi Quá trình này yêu cầu một phần mềm chạy trên máy khách, cho phép hoạt động trên cả những máy tính cũ, thậm chí là những máy không thể cài đặt Windows Server.

2.2 Lập kế hoạch cấu hình Terminal Services

Trước khi triển khai Terminal Services, cần xác định ứng dụng cần chia sẻ và loại phần cứng sử dụng Các yêu cầu này cho Terminal Services quan trọng hơn so với việc chạy Windows Server thông thường, đặc biệt khi người dùng sử dụng chế độ ứng dụng của server.

Yêu cầu đối với Server và Client

Mục tiêu: cho phép xác định các yêu cầu về phần cứng đối với server và client để đảm bảo hiệu suất hoạt động dịch vụ Terminal Services

3.1 Các yêu cầu đối với Terminal Services server

Yêu cầu phần cứng cho một Terminal server phụ thuộc vào số lượng client kết nối đồng thời và nhu cầu sử dụng của từng client Để đảm bảo hiệu suất tối ưu, cần xem xét các yếu tố như CPU, RAM và băng thông mạng.

Nên lựa chọn kiến trúc bus hiệu suất cao như EISA, MCA hoặc PCI, vì bus ISA (AT) không đủ khả năng truyền tải dữ liệu cho lưu lượng mạng phát sinh từ việc cài đặt Terminal Services thông thường.

Khi lựa chọn ổ đĩa cho hệ thống, cần xem xét sử dụng ổ đĩa SCSI, hoặc các loại tiên tiến hơn như FAST SCSI hay SCSI-2 Để tối ưu hóa hiệu suất, việc kết hợp ổ đĩa SCSI với RAID là lựa chọn lý tưởng, giúp cải thiện thời gian truy cập bằng cách phân phối dữ liệu trên nhiều ổ đĩa.

Để đảm bảo nhiều người dùng có thể truy cập vào Terminal server cùng một lúc, việc sử dụng bộ điều hợp mạng tốc độ cao là cần thiết Giải pháp tối ưu là cài đặt hai bộ điều hợp mạng trong máy, trong đó một bộ điều hợp được dành riêng cho lưu thông mạng RDP.

3.2 Các yêu cầu đối với Terminal Services client

The Terminal Services client operates effectively on various machines, including older devices and terminal equipment that cannot install or run Windows Server The client software is compatible with the following systems:

• Các thiết bị đầu cuối nền Windows (nhúng)

• Các máy nền Intel và Alpha chạy Windows

• Các máy Macintosh và Unix (với các phần mềm của các hãng thứ 3)

Cài đặt gỡ bỏ các phần mềm hổ trợ cho Terminal Services

Mục tiêu: Trình bày các thao tác cài đặt Terminal Services Server, thêm người dùng vào danh sách người dùng được phép sử dụng Remote Desktop

4.1 Cài đặt Terminal Services Server

Bước 1: Trên RDS server, từ Server Manager chọn Add roles and feature

Hình 1.1 Hộp thoại Server Manager

Bước 2: Tại màn hình Before you begin, chọn Next

Hình 1.2 Hộp thoại Before you begin

Bước 3: Tại màn hình Select installation type, chọn Remote Desktop Services installatio

Hình 1.3 Chọn cài đặt Remote Desktop

Bước 4: Tại Select deployment type, có 3 lựa chọn

- Standard deployment: Triển khai tiêu chuẩn

- Quick start: Bắt đầu nhanh

- Multipoint services: Dịch vụ đa điểm

Ta chọn Quick Start, và Next để tiếp tục

Hình 1.4 Lựa chọn hình thức cà đặt

Bước 5: Ở màn hình Select deployment scenario, có 2 lựa chọn

- Virtual machine-based desktop deployment: Triển khai máy tính dựa trên máy ảo

- Session-based desktop deployment: Triển khai máy tính dựa trên phiên làm việc

Ta chọn Session-based destop deployment, và nhấn Next tiếp tục

Hình 1.5 Hộp thoại Select deployment

Bước 6: Tiếp theo, ở Select a server, sẽ thấy thông tin hostname, IP và tên miền của server mà đang cài RDS

Bước 7: Confirm selections, chọn vào ô Restart the destination server automaticcally

Hình 1.7 Hộp thoại Confirm selections

Bước 8: Tiếp theo, sẽ thấy các phần đang được cài đặt

Hình 1.8 Hộp thoại đang cài đặt

Bước 9: Server có thể sẽ tự động khởi động lại, sau đó tiếp tục quá trình cài đặt

Bước 1: Đăng nhập vào server muốn cài đặt Terminal Services Server

Hình 1.10 Đăng nhập Server manager

Bước 2: Mở Add roles and Features

Nhấp vào Manage và chọn Add roles and Features

Hình 1.11 Mở Add roles and Features

Bước 3: Thực hiện theo wizard next

Chọn Role-based or feature-based installation Sau đó nhấp vào Next

Hình 1.14 Cửa sổ Before you begin

Bước 4: Chọn loại hình cài đặt

Hình 1.15 Cửa sổ Chọn loại Remote desktop cần cài

Bước 5: Để mặc định, Next cho để tiếp tục

Hình 1.16 Hộp thoại Select Feature

Bước 6: Click vào Install để cài đặt

Hình 1.17 Hộp thoại Intall dịch vụ Remote desktop

Bước 7: Chờ quá trình cài đặt cho đến khi hoàn tất, click Close

Hình 1.18 Hoàn tất đặt dịch vụ Remote desktop

Sau khi cài đặt, khởi động lại hệ thống và đăng nhập với quyền administrator

4.1.2 Cấu hình Remote Desktop trên Server

Bước 1: Chạy Server Manager và chọn Local Server trên bảng điều khiển bên trái, sau đó nhấp vào Disabled cho phần Remote Desktop

Hình 1.19 Hộp thoại Local Server

Bước 2: Chọn hộp Allow remote connections to this compute

Hình 1.20 Hộp thoại cho phép Remote Desktop

Bước 3: Thông báo rằng ngoại lệ tường lửa cho Remote Desktop đã được kích hoạt, hãy nhấp vào nút OK

Bước 4: Chức năng Remote Desktop đã chuyển sang trạng thái Enabled

Hình 1.22 Cấu hình Remote Desktop thành công

4.1.3 Cấu hình Remote Desktop trên Client

Bước 1: Mở Properties, chuột phải vào This PC, Properties

Hình 1.23 Mở Properties của This PC

Hình 1.24 hộp thoại Remote setting

Bước 3: Chọn hộp Allow remote connections to this compute

Hình 1.25 Cho phép Remote Desktop

Bước 4: Click vào OK để cho phép Remote Desktop, sau đó Appky để xác nhận

Hình 1.26 Xác nhận cho phép Remote Desktop Kết nối Remote Desktop: Cài đặt phía client

Bước 5: Nhấp chuột phải vào biểu tượng Windows, mở Run và nhập mstsc

Bước 6: Nhập hostname hoặc địa chỉ IP mà bạn muốn kết nối, sau đó nhấn nút Connect Đối với các phần khác, bạn có thể thay đổi hoặc thiết lập bất kỳ thông số nào theo ý muốn.

Bước 7: Thông báo cho các certificate (chứng chỉ) được hiển thị như sau Nhấp vào

Hình 1.29 Cửa sổ chứng thực

4.2 Thêm người dùng vào nhóm Remote Desktop Users

Mặc định, tất cả thành viên trong nhóm Administration đều có quyền truy cập từ xa Để thêm hoặc xóa người dùng được phép truy cập từ xa, hãy mở Local Server.

Hình 1.30 Cửa sổ Local Server

To enable Remote Desktop, click on "Enable Remote Desktop," then select "Select Users" and click "Add." In the "Remote Desktop Users" dialog box, specify the users you want to add or remove from the list.

Hình 1.31– Hộp thoại liệt kê người dùng được phép truy cập từ xa

Lưu ý: mặc định người dùng với quyền quản trị có thể truy cập từ xa vào máy tính này nên không cần thêm vào danh sách.

Tạo các máy khách Terminal service

Mục tiêu của bài viết là hướng dẫn chi tiết các bước để truy cập vào server qua Remote Desktop và cách thoát khỏi phiên làm việc từ máy client Bài viết cũng giải thích ý nghĩa của các tùy chọn cấu hình liên quan, giúp người dùng hiểu rõ hơn về quy trình và các thiết lập cần thiết.

5.1 Truy cập từ client vào Terminal Server

Sau khi được cài đặt và cấu hình trên server, có thể truy cập từ client vào Terminal Server bằng một trong hai cách:

- Start -> Windows Accessories -> Remote Desktop Connection

Hình 1.32 – Hộp thoại chỉ định tên hay địa chỉ máy server cần kết nối

5.2 Tùy chọn cấu hình máy khách Remote Desktop

Trong hộp thoại Remote Desktop Connection, chọn Options:

- General: Lưu trữ thông tin đăng nhập và thông tin section

- Display: sử dụng các thiết lập trên server với máy client

- Local Resources: chỉ định tài nguyên cục bộ được sử dụng trong suốt phiên

- Programs: cho phép các chương trình cụ thể được tự động kích hoạt mỗi khi một phiên từ xa được thiết lập

Kinh nghiệm: Quản lý các tính năng kích hoạt hoặc vô hiệu hóa trong phiên làm việc từ xa Bài viết cũng đề cập đến các tùy chọn tự động tái lập kết nối khi phiên làm việc bị ngắt.

- Advanced: kích hoạt hoặc vô hiệu hoá xác thực từ xa

5.3 Thoát khỏi phiên truy cập từ xa

Khi bạn nhấn vào biểu tượng “X” trên bảng điều khiển máy client, phiên truy cập từ xa vẫn tiếp tục hoạt động trên server Để kết thúc phiên truy cập từ xa, bạn cần chọn Start và sau đó chọn Log Off để đóng phiên truy cập này.

Điều chỉnh các thiết định của tài khoản kết nối

Mục tiêu của bài viết là hướng dẫn cách quản lý các phiên kết nối đồng thời đến các server qua công cụ Remote Desktop Để thực hiện nhiều kết nối truy cập từ xa trong cùng một cửa sổ, người dùng cần sử dụng MMC Remote Desktops Để bắt đầu, mở cửa sổ Run từ menu Start, gõ "tsmmc.msc", sau đó chọn "Remote Desktops" ở khung bên trái và nhấn "Add a new connection" từ menu.

Hình 1.32 – Thêm kết nối truy cập từ xa (đồng thời)

Sau khi thêm kết nối, phiên kết nối truy cập từ xa sẽ xuất hiện trên cửa sổ chính

Hình 1.33 – Cửa sổ Remote Desktop Để chuyển đổi giữa các phiên, chọn tên của phiên bên cửa sổ trái, giao diện tương ứng sẽ được hiển thị.

Cấp phép sử dụng Terminal services

7.1 Cài đặt máy chủ Remote Desktop Licensing Để cài đặt Remote Desktop Licensing các mở Server Manager và chọn Add Roles and Features Wizard

Chọn Role based or features based installation và Next

Chọn máy chủ để cài đặt Role, do có 1 máy chủ nên đã được chọn sẵn Click Next

Phần Server Roles chọn Remote Desktop Services và Next

Hình 1.34 – Cửa sổ Chọn Remote Desktop Services

Bỏ qua phần Feature và click Next

Phần Role Services chọn Remote Desktop Licensing và click Next

Hình 1.36 – Cửa sổ chọn Remote Desktop Licensing

Xác nhận các thông tin trước khi cài đặt, click Install để tiến hành cài đặt, chờ Cài đặt hoàn tất

Hình 1.36 – Cửa sổ cài đặt hoàn tát

7.2 Kích hoạt máy chủ Remote Desktop License Để sử dụng máy chủ License chúng ta cần kích hoạt máy chủ Máy cần kết nối Internet để tiến hành kích hoạt Để tiến hành kích hoạt chúng ta mở Control Panel => Administrative Tools => Remote Desktop Services => RD License Manager

Hình 1.37 điều khiển TS Licensing Manager

Click chuột phải vào server và chọn Properties

Hình 1.38 – Cửa sổ chọn Properties Ở tab Connection Method chúng ta chọn là Web Browser

Hình 1.39 – Cửa sổ Connection Method Điền các thông tin yêu cầu vào tab Required Information => OK

Hình 1.40 – Cửa sổ Required Information

Chuột phải vào server và chọn Activate server để tiến hành kích hoạt máy chủ

Một hộp thoại xuất hiện, click Next để bắt đầu

Connection Method, chọn Web Browser

Hình 1.41 – Cửa sổ chọn Web Browser Để tiến hành click vào đường link trong hộp thoại, một cửa sổ web sẽ mở ra

Hình 1.42 – Cửa sổ chọn đường link

Chọn ngôn ngữ (English) và check chọn Activate a license server => Next

Hình 1.43 – Cửa sổ chọn ngôn ngữ

Copy và paste Product ID, nhập tên công ty và quốc gia => Next

Hình 1.44 Cửa sổ chọn điền thông tin

Review lại thông tin và Next

Hình 1.45 Cửa sổ chọn xem thông tin

Kích hoạt thành công, copy chuỗi mã kích hoạt

Dán chuỗi mã kích hoạt vào hộp thoại và click Next

Hình 1.47 Điền thông tin mã kích hoạt

Hoàn tất kích hoạt máy chủ Remote Desktop License

Bài tập thực hành của học viên

2 Cấu hình và quản lý Terminal Services

3 Thực hiện Remote Desktop từ client

4 Thêm bản quyền cho máy chủ Remote Desktop License

5 Kích hoạt Remote Desktop Services

- Cài đặt Terminal Services Server

- Cài đặt Terminal Services Licence Server

- Cho phép account có quyền sử dụng Terminal Services

- Cài đặt Terminal Services Client

2 Cấu hình và quản lý Terminal Services

- Khởi động Terminal Services Manager

- Theo dõi và quản lý các user đang connect

3 Thực hiện Remote Desktop từ client

4 – Thêm bản quyền cho máy chủ Remote Desktop License

Sau khi đã kích hoạt máy chủ bản quyền thành công, chúng ta tiến hành thêm bản quyền cho máy chủ này

Click chuột phải vào máy chủ license và chọn Install Licenses

Một hộp thoại xuất hiện, click Next để tiếp tục

Click vào đường link trong hộp thoại, một cửa sổ web sẽ hiện ra

Hình 1.50 Chọn vào đường link

Chọn ngôn ngữ (English) và check chọn Install Client Access Licenses và click Next

Dán license server id, tên công ty và quốc gia

Chọn License Program là Other (*)

Product type chọn Remote Desktop Services (Per device hoặc per user nếu muốn)

Nhập số lượng license vào mục Qualtity

Hình 1.53 Nhập số lượng license

Review lại thông tin trước khi click Next

Hình 1.54 Review lại thông tin

Kích hoạt thành công, copy dòng mã

Hình 1.55 Kích hoạt thành công

Paste dòng mã đã copy vào hộp thoại như ảnh và click Next

Hình 1.56 nhập dòng mã Đã hoàn thành việc thêm license

Hình 1.57 Kích hoạt hoàn thành

5 – Kích hoạt Remote Desktop Services

Sau khi đã có máy chủ license đang vận hành, chúng ta tiến hành kích hoạt cho

In this article, I configure the Remote Desktop Session Host alongside the license server, utilizing localhost for the setup If you are using a different server, be sure to enter the IP address of the license server The image below displays the RD License Diagnoser window prior to activation, specifically for Remote Desktop.

Desktop Services chưa kết nối được với máy chủ bản quyền

Hình 1.58 cửa sổ Desktop Services Để cập nhật máy chủ bản quyền cho Remote Desktop Service, chúng ta cần chỉnh một vài tùy chọn trong Group Policy

Chạy lệnh Run => gpedit.msc

Local Computer Policy => Computer Configuration => Administrative Templates => Windows Components => Remote Desktop Services => Remote Desktop Session Host

Nhập IP máy chủ bản quyền vào và OK

Hình 1.60 cửa sổ Nhập IP máy chủ

Select the remote desktop licensing mode

Các có thể tùy chọn Per device hoặc per user (tương ứng với máy chủ bản quyền) và

Hình 1.61 cửa sổ chọn Per device

Chạy lệnh Run => gpupdate /force

Khởi động lại máy, RD Licensing Diagnoser báo như ảnh dưới

Hình 1.62 cửa sổ RD Licensing Diagnoser

Vậy là chúng ta đã hoàn tất việc kích hoạt cho máy chủ Remote Desktop Services

Những trọng tâm cần chú ý:

- Cấu hình máy phải đảm bảo yêu cầu

- Thực hiện đúng các thao tác Cài đặt Terminal Services

- Cấu hình và quản lý Terminal Services

- Thực hiện Remote Desktop từ client

- Thêm bản quyền cho máy chủ Remote Desktop License

- Kích hoạt Remote Desktop Services

- Chọn đúng ngôn ngữ, múi giờ, và bàn phím nhập liệu và mã kích hoạt bản quyền của Microsoft

- Thao tác đúng các bước trên Windows server 2019

Bài mở rộng và nâng cao

Hãy cài đặt nâng cấp tăng số lượng kết nối Remote Desktop trên Windows server 2019

Yêu cầu đánh giá kết quả học tập

 Trình bày được các bước Cài đặt Terminal Services trên Windows Server 2019

 Trình bày được các bước cài đặt, cấu hình Terminal Services

 Trình bày được các bước kích hoạt Remote Desktop Services

+ Thao tác thành thạo các cài đặt Terminal Services trên Windows Server 2019 + Thực hiện đúng các thao tác cài đặt, cấu hình Terminal Services

+ Thực hiện đúng các bước kích hoạt Remote Desktop Services

 Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc

 Về kiến thức: Đánh giá bằng hình thức kiểm tra viết, trắc nghiệm, vấn đáp

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác cài đặt, cấu hình, kích hoạt Terminal Services trên Windows Server 2019

 Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc.

TINH CHỈNH VÀ GIÁM SÁT MẠNG WINDOWS SERVER

Tổng quan về công cụ tinh chỉnh

All system log-related issues on Windows are integrated through two main tools: Event Viewer and Reliability and Performance Monitor.

Quan sát các đường biểu diễn hiệu năng bằng Performance Monitor

The objective of this article is to provide a detailed guide on using the Performance Monitor tool to monitor specific counters of objects and the Reliability Monitor tool to assess the reliability of a system To access these tools, navigate to the Start menu, select Run, and enter "perfmon.msc" in the Run dialog box.

Performance Monitor là một công cụ mạnh mẽ cho việc giám sát các counter, cho phép người dùng dễ dàng thêm hoặc bớt các counter bằng cách nhấn vào dấu + hoặc X Mặc định, hệ thống giám sát ba đối tượng chính: Memory, PhysicalDisk và Processor Mỗi đối tượng có những thuộc tính đặc trưng: Memory với thuộc tính Pages/sec, PhysicalDisk với AVG Disk Queue Length, và Processor với % Processor Time.

Hình 2.1 – Giao diện Performance Monitor

To add counters for a specific object, click the "+" button to open a window Figure 2.2 illustrates the process of adding the %user time property of the Processor.

Hình 2.2 – Thêm các counter vào theo dõi

Sau đó loại bỏ toàn bộ các counter khác của các đối tượng khác và chỉ giám sát mỗi counter % User Time của processor mà thôi – xem hình 2.3

Hình 2.3 – Giám sát counter % User Time của đối tượng Processor

Để lưu lại cài đặt, bạn chỉ cần nhấp chuột phải vào cửa sổ và chọn "Save Settings As…" để lưu dưới định dạng HTML Định dạng này cho phép bạn xem trực tiếp hoặc kiểm tra các quá trình đã được ghi lại trong hệ thống.

Hình 2.6 – Xem lại các thiết lập đã được ghi lại bởi định dạng file html

2.2 Reliability Monitor Độ tin cậy của một hệ thống là thước đo mức độ thường xuyên hệ thống hoạt động như là cấu hình và dự kiến sẽ thực hiện Độ tin cậy có thể giảm khi ứng dụng ngừng đáp ứng, dừng và khởi động lại các dịch vụ, khởi tạo các trình điều khiển bị lỗi, hoặc trong trường hợp xấu nhất, khi hệ điều hành bị lỗi

Reliability Monitor cung cấp thông tin tổng quát một cách nhanh chóng

The Reliability Monitor estimates the System Stability Index, providing a stability chart that quickly identifies potential issues within the system.

Hình 2.7 – Biểu đồ ước tính chỉ số ổn định hệ thống

Ghi lại sự kiện hệ thống bằng công cụ Event Viewer

Event Viewer là công cụ tích hợp trong Windows giúp người dùng xem lại các sự kiện đã xảy ra trong hệ thống với thông tin chi tiết như người dùng, thời gian, máy tính và dịch vụ.

The Event Viewer organizes events into distinct categories for each application, with a default server installation featuring sections such as Application, Security, and System To access the Event Viewer, open the Server Manager by right-clicking on the Computer icon, selecting Manage, and then navigating to the Event Viewer.

Hình 2.8 – Event Viewer chia các vùng log riêng biệt cho các ứng dụng

Application log ghi lại các sự kiện từ các ứng dụng của các nhà sản xuất khác như Symantec và các ứng dụng email Thiết lập mặc định trong application thường chỉ cho phép người dùng đọc mà không thể thay đổi.

Hình 2.9 – các sự kiện được lưu lại trong application log

3.2 Security log Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại toàn bộ các thiết lập audit trong group policy

Hình 2.10 – Thiết lập audit trong group policy

Sau khi logoff ra và login vào sẽ thấy ghi lại trong security log (hình 2.11)

Hình 2.11 – Xem lại event logon vào hệ thống của các user

After logging into the computer and opening the Event Viewer, we can identify that the system has recorded the username "vangtrang," associated with the computer "vnexperts," indicating a successful audit event at 8:10:06 PM.

System log được thiết lập mặc định của hệ thống giúp chúng ta xem lại các sự kiện: Bật, tắt, pause, disable, enable các services của hệ thống

Chẳng hạn, một service bật bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer

Hình 2.12 – Xem một event trong system log (với thông tin là Server đã bị lỗi do trong mạng LAN có máy tính trùng tên hoặc trùng địa chỉ IP)

Log properties giúp chúng ta cấu hình dung lượng file log, cách xoá các event cũ đi như thế nào, và những tính năng lọc các sự kiện

Hình 2.13 – Tab General của Security Properties Đây là thiết lập cho security properties: Với file log tên là gì và ở đâu:

%SystemRoot%\System32\Winevt\Logs\Security.evtx

Dung lượng tối đa cho file log là 20480 KB, nhưng có thể được cấu hình lại để lớn hơn hoặc nhỏ hơn Nếu dung lượng file log vượt quá 20480 KB, hệ thống sẽ tự động xoá các sự kiện cũ theo thuật toán First in - First out (vào trước - ra trước).

Sử dụng Task Manager

Windows Task Manager là công cụ hữu ích cho phép người dùng theo dõi các ứng dụng, quá trình và dịch vụ đang hoạt động trên máy tính Người dùng có thể khởi chạy hoặc dừng các chương trình và quá trình, đồng thời nhận được các thống kê quan trọng về hiệu suất máy tính và mạng Để mở Task Manager, người dùng có thể sử dụng một trong nhiều phương pháp khác nhau.

• Nhắp phải vào vùng trống trong taskbar và chọn Task Manager

• Nhấn Ctrl-Alt-Delete, sau đó nhắp Task Manager

Các tab trong Task Manager sau khi được mở:

Hình 2.14 – Tab Applications - danh sách các chương trình đang chạy

Tab Applications liệt kê danh sách các chương trình đang chạy trên máy tính Các ứng dụng chạy trong System Tray sẽ không xuất hiện trong danh sách này

1 Nếu muốn thoát một chương trình, chọn chương trình và chọn nút End Task Tuy nhiên, cách thoát này có thể làm mất những thông tin chưa được lưu

2 Để mở một chương trình, chọn chương trình và chọn nút Switch To

3 Để khởi chạy một chương trình mới, nhắp New Task Sau đó đánh vào lệnh hoặc nhắp Browse để duyệt đến ứng dụng Chức năng này làm việc tương tự như Run trong menu Start

Tab Processes hiển thị danh sách các quá trình đang hoạt động Khi kết thúc một quá trình, dữ liệu chưa được lưu có thể bị mất Do đó, cần hiểu rõ mục đích của quá trình trước khi quyết định kết thúc; việc này có thể gây ra sự cố cho hệ thống nếu kết thúc các quá trình quan trọng.

Hình 2.15 – Tab Processes - danh sách các quá trình (process) đang chạy

1 Để kết thúc một quá trình của một ứng dụng đang chạy, nhắp phải vào entry ứng dụng trong tab Applications và nhắp Go To Process Quá trình ứng dụng sẽ được đánh dấu trong tab Processes

2 Để kết thúc một quá trình đã được đánh dấu, nhắp End Process

3 Nhắp phải vào quá trình và sau đó nhắp End Process Tree để kết thúc quá trình đó cũng như các quá trình có liên quan

Services là các chương trình hỗ trợ chạy ở chế độ background Hầu hết các chương trình này sẽ khởi chạy tự động ở thời điểm khởi động máy tính

Hình 2.16 – Services là các chương trình hỗ trợ chạy ở chế độ background

1 Để khởi chạy một dịch vụ, nhắp phải vào dịch vụ đã bị dừng và chọn Start

2 Để dừng một dịch vụ, nhắp phải vào dịch vụ đang chạy và chọn Stop Service

3 Để xem quá trình có liên quan với dịch vụ, nhắp phải vào dịch vụ đang chạy và chọn Go To Process Thao tác này sẽ cho phép phát hiện ra dịch vụ có ngốn nhiều tài nguyên hay không

Tab này hiển thị thông tin về hiệu suất hệ thống

1 Trong CPU Usage hiển thị tham số hiệu suất CPU và đồ thị sử dụng CPU CPU đa lõi sẽ có nhiều đường đồ thị hiển thị

2 Memory hiển thị tham số hiệu suất CPU và đồ thị hiệu suất

3 Phía dưới là các thống kê khác nhau về số handle, thread và process đang chạy cũng như hiệu suất sử dụng bộ nhớ

Hình 2.17 – Performance - thông tin về hiệu suất hệ thống

Hình 2.18 – Networking chứa các đồ thị dùng hiển thị hiệu suất sử dụng mạng

Tab Networking chứa các đồ thị dùng hiển thị hiệu suất sử dụng mạng Bên dưới các đồ thị sẽ có những thống kê bổ sung

Hình 2.19 - Users - hiển thị danh sách tất cả user có trạng thái tích cực

Trong tab Users hiển thị danh sách tất cả user có trạng thái tích cực (active) trong hệ thống

1 Đánh dấu user và nhắp Logoff để kết thúc phiên làm việc của người dùng đó

2 Đánh dấu user và nhắp Disconnect để kết thúc phiên làm việc của người dùng nhưng vẫn dự trữ trong bộ nhớ, sau đó người dùng có thể đăng nhập trở lại và tiếp tục công việc của họ

1 Thiết lập giám sát một folder dữ liệu: giám sát toàn bộ các quá trình truy cập các action cụ thể với folder Trong ổ E có thư mục quan trọng (VNEDATA) việc cần thiết là đưa ra các thiết lập giám sát toàn bộ truy cập vào folder này

Khi cần lưu lại quá trình truy nhập trên một folder dữ liệu, cần phải thiết lập auditing trên folder đó Các thiết lập được thực hiện như sau:

- Nhắp phải chuột lên folder cần thiết lập auditing (chẳng hạn folder VNDATA), chọn Property;

- Từ cửa sổ (VNDATA) Properties, chọn tab Security, chọn Advanced;

- Trong cửa sổ Advanced Security Settings for (VNDATA), chọn nút Edit…;

- Khi xuất hiện hộp thoại mới, chọn nút Add…

- Đánh dấu chọn các đối tượng cần thiết lập, chọn OK

Sau khi thiết lập, restart lại máy và thử dùng một user khác để đăng nhập và truy xuất vào folder VNDATA

Sau khi trở lại giao diện quản trị, người dùng cần nhấp đúp chuột vào sự kiện để mở hộp thoại thuộc tính sự kiện Tại đây, các thông tin liên quan đến quá trình truy cập sẽ được hiển thị.

Vào lúc 7:14:56 PM ngày 08/10/2019, người dùng dungtnq đã đăng nhập từ máy tính WWIN-JJOQ9UL2BDG Tính năng audit và xem lại các sự kiện giúp phát hiện những kẻ truy cập trái phép và xác định trách nhiệm của những người phá hoại.

- Trình bày chức năng các công cụ: Counter Log, Trace log, Alert log trong System Monitor

- Ý nghĩa của các phân vùng trong event viewer: Application, Security, System

- Thực hiện các bước thêm, xem Counter Log, Trace log, Alert log trong System Monitor

- Thực hiện các bước giám sát phân vùng trong event viewer: Application,

- Thao tác đúng các bước trên Windows server 2019

Hãy cài đặt nâng cấp tăng số lượng kết nối Remote Desktop trên Windows server 2019

 Trình bày chức năng các công cụ: Counter Log, Trace log, Alert log trong System Monitor

 Trình bày ý nghĩa của các phân vùng trong event viewer: Application, Security, System

 Trình bày cách thực hiện các bước thêm, xem Counter Log, Trace log, Alert log trong System Monitor

 Trình bày cách thực hiện các bước giám sát phân vùng trong event viewer: Application, Security, System

+ Thao tác thành thạo các bước thêm, xem Counter Log, Trace log, Alert log trong System Monitor trên Windows Server 2019

+ Thực hiện đúng các thao tác giám sát phân vùng trong event viewer: Application, Security, System

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác thêm, xem Counter Log, Trace log, Alert log trong System Monitor trên Windows Server 2019

KHÔI PHỤC SERVER KHI BỊ HỎNG

Các biện pháp phòng ngừa

Để bảo vệ server khỏi các rủi ro tiềm ẩn, cần thực hiện một số biện pháp phòng ngừa quan trọng Trước hết, hãy đảm bảo cập nhật thường xuyên các bản vá bảo mật và phần mềm Tiếp theo, sử dụng tường lửa để ngăn chặn các truy cập trái phép Ngoài ra, việc thiết lập các quyền truy cập hợp lý cho người dùng cũng rất cần thiết Cuối cùng, thường xuyên sao lưu dữ liệu và kiểm tra an ninh hệ thống sẽ giúp giảm thiểu nguy cơ mất mát thông tin.

- Duy trì nhiều bản sao đối với dữ liệu quan trọng, các server có vai trò quan trọng (chẳng hạn Domain Controller)

- Bảo vệ mạng về mặt vật lý

- Bảo vệ dữ liệu hệ thống và dữ liệu người dùng bằng chiến lược lưu dự phòng hợp lý

- Chuẩn bị kế hoạch khôi phục từng thời điểm

- Tìm hiểu cách server hoạt động để có thể giải quyết trục trặc và có thể ngăn ngừa phát sinh về sau

- Cài đặt các hotfix, patch, và service pack do nhà cung cấp phát hành

Để bảo vệ dữ liệu quan trọng trên server, cần sử dụng các volume đĩa có tính chịu lỗi, cùng với phần mềm và phần cứng phù hợp Việc này giúp bảo vệ dữ liệu khỏi các hỏng hóc của server, không chỉ giới hạn ở hỏng hóc đĩa, và cho phép sao chép dữ liệu ra nhiều nơi trên mạng để tăng cường độ an toàn.

Nguyên tắc dự phòng có thể áp dụng cho mạng thông qua việc sử dụng nhiều Domain Controller, giúp đơn giản hóa quá trình khôi phục khi một máy bị hỏng Thay vì khôi phục cấu trúc miền từ các bản sao lưu hoặc xây dựng lại hoàn toàn, quy trình sao chép có thể đảm nhận việc khôi phục, tiết kiệm thời gian và công sức cho quản trị viên.

1.2 Bảo vệ điện năng cho server

Sử dụng UPS để bảo vệ điện năng cho server và thiết bị phần cứng mạng là cách hiệu quả để ngăn chặn tổn hại do sự thay đổi điện áp đột ngột Ngoài ra, bảo vệ điện năng còn giúp bảo vệ dữ liệu khỏi nguy cơ mất mát.

1.3 Quan tâm về môi trường

Làm giảm các hỏng hóc do môi trường sinh ra bằng cách tránh xa môi trường

Để đảm bảo hoạt động hiệu quả của server, phòng chứa server cần được điều hòa không khí và tránh ánh nắng trực tiếp Ngoài ra, cần giữ khoảng cách với các yếu tố có thể gây ô nhiễm và ảnh hưởng xấu đến server.

1.4 Hạn chế tiếp cận server

Người dùng thông thường và những cá nhân không có quyền hạn không được phép truy cập vào server Điều này có nghĩa là họ không thể thực hiện các thao tác nào trên server.

- Reboot hoặc tắt các server

- Lấy đĩa cứng có chứa dữ liệu ra khỏi server khi chưa được phép

- Cài đặt lại hệ điều hành máy

- Hạn chế quyền truy cập vào server

1.5 Sử dụng hiệu quả password

- Không cho mạo danh lẫn nhau để sử dụng tài khoản và mật khẩu trên tài khoản

- Sử dụng mật khẩu có độ phức tạp cao - nếu phải crack thì cần phải có nhiều thời gian để thực hiện

- Ngăn ngừa việc tiếp cận tài khoản của người khác

2 - Cài đặt công cụ Backup trên Server 2019

Bước 1: Đăng nhập vào server muốn cài đặt Terminal Services Server

Bước 2: Mở Add roles and Features

Nhấp vào Manage và chọn Add roles and Features

Bước 3: Thực hiện theo wizard next

Chọn Role-based or feature-based installation Sau đó nhấp vào Next

Bước 4: Chọn loại hình cài đặt

Select Feature: check vào Windows Server Backup

Hình 3.1 Cửa sổ chọn Windows Server Backup

Bước 5: Tại Select Feature để mặc định, Next cho để tiếp tục

Bước 6: Click vào Install để cài đặt

Bước 7: Chờ quá trình cài đặt cho đến khi hoàn tất, click Close

Sau khi cài công cụ Windows Server Backup xong, Resatrt hệ thống

Các phương pháp sao lưu dự phòng

Mục tiêu của bài viết này là giới thiệu các phương pháp hiệu quả để phòng chống mất mát dữ liệu thông qua việc sử dụng công cụ Backup và Restore Đây là giải pháp quan trọng giúp khắc phục các sự cố hỏng hóc của server, đảm bảo an toàn cho thông tin và duy trì hoạt động ổn định của hệ thống.

Windows Server Backup cho phép tạo bản sao lưu ứng dụng và dữ liệu, giúp khôi phục hệ thống khi gặp sự cố với server Để thực hiện sao lưu, người dùng cần thực hiện các bước cần thiết để đảm bảo an toàn cho dữ liệu.

Để lưu trữ bản sao, cần xác định vị trí lưu trữ trên đĩa đính kèm hoặc thư mục chia sẻ từ xa Đảm bảo rằng đĩa cứng dùng để lưu trữ bản sao phải có khả năng trực tuyến và có dung lượng lớn hơn ít nhất 2,5 lần so với dung lượng cần lưu trữ.

3.1 Cách lưu dự phòng dữ liệu

Bước 1 Mở công cụ Backup:

Server manager -> Tools -> Windows Server Backup hoặc (start -> run -

> wbadmin.msc) hoặc từ cửa sổ Server Manager, chọn Storage, chọn Windows Server Backup

Ta có 2 tùy chọn backup

+ Backup once: chỉ backup 1 lần sau khi ta cấu hình

+ Backup Schdule: chạy theo lịch biểu mà ta thiết lập

Bước 2 Tại khung Actions, chọn Backup Schedule…

Bước 3 Khi hộp thoại Backup Schedule Wizard – Getting started xuất hiện, chọn Next; Bước 4 Trong trang Select backup configuration, chọn kiểu backup, chọn Next

Hình 3.3 - Lựa chọn kiểu backup

+ Full server: sao lưu tất cả các volume trên server Đây là tùy chọn được khuyến cáo nên chọn

Để thực hiện sao lưu volume được chỉ định, bạn cần chọn tùy chọn "Custom" Trên trang "Select Items for Backup", hãy nhấn "Add Items", sau đó trong danh sách "Select Items", chọn volume mà bạn muốn sao lưu và nhấn "OK".

Bước 5: Tại Select Items for server: Chọn Add Items: để chọn nơi muốn backup

Ví dụ chọn folder Data trong ổ đĩa C -> Next

Hình 3.4 - Lựa chọn dũ liệu backup

Bước 6: Chọn loại backup thì sau khi chỉ định nơi backup, ta chọn Advanced setting -> tab VSS Settings

Windows Server Backup có 2 loại backup:

- VSS full backup : backup xong thì xóa luôn thuộc tính A

Sao lưu VSS (Volume Shadow Copy Service) là phương pháp sao lưu dữ liệu mà không xóa thuộc tính A của tệp Loại sao lưu này đặc biệt hữu ích khi máy chủ được sử dụng cùng với các phần mềm sao lưu khác, vì các chương trình sao lưu thường dựa vào thuộc tính A để thực hiện quá trình sao lưu hiệu quả.

Hình 3.5 - Lựa chọn hình thức backup

Bước 7 Trong hộp thoại Specify Backup Time, chọn tần suất và thời điểm thực hiện backup rồi chọn Next;

Hình 3.6 - Tần suất và thời điểm thực hiện backup

+ Once a day: lịch biểu chạy 1 lần backup trong 1 ngày

+ More than once a day: lập lịch để chạy backup nhiều lần trong 1 ngày:

12hPM: backup trong giờ nghỉ trưa

12hAM: backup lần thứ 2 vào rạng sáng

(cần kết hợp với UPS để phòng trường hợp cúp điện (backup sẽ không diễn ra)

Bước 8 Trên trang Specify Destination Type: Chọn nơi lưu trữ file backup

Hình 3.7 Cửa sổ Specify Destination Type ổ

+ Back up to hard disk…: lưu file backup trên 1 ổ cứng khác (nên sử dụng, không nên lưu trên ổ đĩa chứa hệ điều hành)

+ Back up to a volume: lưu trên 1 phân vùng (chung ổ đĩa với HDH => không an toàn)

+ Back up to a shared network volume: lưu trên 1 share folder trong hệ thống mạng (không khuyên dùng)

Lưu ý : Không nên dùng cách thứ 3: do khi lập lịch back up (schedule) thì dữ liệu sẽ bị ghi đè (replace)

Trong khi 2 cách trên thì dữ liệu sẽ được lưu trữ nối tiếp (append) nghĩa là cách

3 chỉ có 1 bản backup trong khi 2 cách trên có bản back up cho từng thời điểm

Ta chọn cách 1 (do mình đã add thêm ổ cứng ảo) -> Next

Bước 9: Select Destination Disk: chọn ổ cứng để lưu file backup -> Next

Hình 3.7 Cửa sổ chọn đĩa lưu trữ

Bước 9 Trên trang Confirmation, xem các thông tin chi tiết rồi chọn nút Finish để hoàn tất

Hình 3.8 Cửa sổ xác nhận

– Chỉ có user trong group Administrators và Backup Operators mới có quyền thực thi chức năng backup

– Có thể tạo VHD file rồi attach vào disk management để lưu file backup (tạo thành ổ đĩa ảo chứa file backup) như bài Lab để tạo máy ảo

Khi làm việc với Windows Server Backup (WSB), mình có nhận xét như sau

WSB sử dụng VSS để tạo snapshot ngay khi phát hiện dữ liệu đang được sử dụng trong quá trình backup, giúp quá trình sao lưu không bị gián đoạn Việc áp dụng backup theo cấp khối (block-level backup) mang lại tốc độ nhanh chóng và tiết kiệm dung lượng lưu trữ Tuy nhiên, WSB cũng tồn tại một số hạn chế cần được lưu ý.

– Khi lập schedule thì mặc định backup sẽ chạy từ thứ 2 đến CN

-Không hỗ trợ lưu file backup ra Tape

Khôi phục dữ liệu

4.1 Khôi phục file và Folder

Có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục các file và Folder từ bản sao lưu Trước khi bắt đầu, cần phải:

- Đảm bảo tồn tại ít nhất một sao lưu trên một đĩa ngoài hoặc trong Folder được chia sẻ từ xa

- Hãy chắc chắn rằng đĩa ngoài hoặc Folder được chia sẻ từ xa đang lưu trữ bản sao lưu là trực tuyến và có sẵn cho máy chủ

Xác định các file hoặc Folder muốn khôi phục Để khôi phục file hoặc Folder, sử dụng giao diện Windows Server Backup:

1 Từ Start menu, chọn Administrative Tools, chọn Windows Server Backup

2 Trong khung Actions chọn Recover để mở Recovery Wizard Trên trang Getting

Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next

3 Trên trang Select Backup Date, chọn thời điểm khôi phục, rồi chọn Next

4 Trên trang Select Recovery Type, chọn Files and folders, chọn Next

5 Chọn thư mục với các nội dung cần khôi phục trong trang Select Items to Recover, chọn Next

6 Trên trang Specify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục

7 Chọn phương thức khôi phục (tạo bản sao / Ghi đè …) rồi chọn Next:

8 Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọn Next

9 Chọn Recover trên trang Confirmation để khôi phục các đối tượng được chỉ định

4.2 Khôi phục ứng dụng và dữ liệu

Có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục ứng dụng và dữ liệu liên quan đến từ bản sao lưu

Trước khi bắt đầu, hãy đảm bảo rằng bạn có ít nhất một bản sao lưu của các ứng dụng trên máy cục bộ hoặc trong thư mục chia sẻ từ xa Đồng thời, kiểm tra xem đĩa chứa file backup có trực tuyến hay không, hoặc thư mục chia sẻ từ xa có sẵn để sử dụng.

4 Trên trang Select Recovery Type, chọn Applications, chọn Next

5 Lựa chọn các thiết lập liên quan đến ứng dụng cần khôi phục, chọn Next

6 Trên trang Specify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục

7 Chọn phương thức khôi phục (tạo bản sao / Ghi đè …) rồi chọn Next:

8 Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọn Next

Bạn có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục lại đĩa Quá trình khôi phục đầy đủ sẽ phục hồi toàn bộ nội dung của đĩa.

4 Trên trang Select Recovery Type, chọn Volumes, chọn Next

5 Lựa chọn các thiết lập liên quan đến đĩa cần khôi phục, chọn Next

4.4 Khôi phục hệ điều hành và server

You can restore a server operating system using the Windows Recovery Environment along with a previously created backup from Windows Server Backup.

Có thể truy cập công cụ phục hồi và xử lý sự cố trong Windows Recovery Environment thông qua hộp thoại System Recovery Options trong Install Windows

Để khởi động công cụ Repair Your Computer trong Windows Server 2019, bạn cần sử dụng đĩa cài đặt Windows hoặc khởi động lại máy tính và nhấn F8, sau đó chọn tùy chọn Repair Your Computer từ danh sách khởi động.

1 Đặt đĩa cài đặt Windows vào khay đĩa, khởi động lại máy, chờ xuất hiện cửa sổ Install Windows Wizard

2 Trong Install Windows, chọn ngôn ngữ cài đặt rồi chọn Next

4 Trên trang System Recovery Options, chọn System Image Recovery sẽ mở trang Re-image your computer

5 Lựa chọn phương thức khôi phục rồi chọn Next

6 Chọn nút Finish để hoàn tất

5.Tìm và quản trị Pan phần cứng bằng công cụ System Information

Mục tiêu: Sử dụng công cụ System Information cho phép xem các thông tin hệ thống bao gồm:

- Tóm tắt thông tin hệ thống

- Tài nguyên về phần cứng hệ thống

- Thông tin cấu hình dành cho phần cứng của Server đối với thiết bị đang được sử dụng

- Phần mềm đang được thực thi trên hệ thống Để sử dụng System Information, mở menu Start -> Run, gõ msinfo32.exe

System Summary hiển thị thông tin về hệ thống một cách tóm lược

Hình 3.3 – Thông tin từ System Summary

Folder Hardware Resources hiển thị thông tin về tài nguyên của hệ thống

Hình 3.4 – Thông tin từ Folder Hardware Resources

Folder Components hiển thị thông tin về tài nguyên của hệ thống cùng với các thiết bị đang được sử dụng

Hình 3.5 – Thông tin từ Folder Components

Folder Software Environment hiển thị thông tin về các phần mềm đang được thực thi trên hệ thống

Hình 3.6 – Thông tin từ Folder Software Environment

Giải quyết các trục trặc trong quá trình khởi động

Yêu cầu khởi động lại phải khởi động lại máy tính sau khi áp dụng bản sửa lỗi này

Thông tin thay thế cập nhật nóng

Phiên bản tiếng Anh của bản cập nhật này bao gồm các thuộc tính tệp mới, được trình bày trong bảng dưới đây Ngày và giờ của các tệp này cũng được ghi rõ.

Giờ Quốc tế Phối hợp (UTC) là hệ thống thời gian tiêu chuẩn mà khi xem thông tin về tệp, ngày và giờ sẽ được chuyển đổi thành giờ địa phương Để xác định sự khác biệt giữa UTC và giờ địa phương, người dùng có thể truy cập tab Múi Giờ trong mục Ngày và Giờ trong Pa-nen điều khiển.

Ghi chú thông tin tệp Windows Server

Để xác định các tệp áp dụng cho một sản phẩm cụ thể, bản gốc (RTM, SPn) và chi nhánh dịch vụ (LDR, GDR), bạn có thể kiểm tra số fileversion như được trình bày trong bảng dưới đây.

Phiên bản Sản phẩm Bản gốc

6.0.6001 18 xxx Windows Vista SP1 và Windows Server

6.0.6001 22 xxx Windows Vista SP1 và Windows Server

 Service Pack 1 được tích hợp vào Windows Server 2008

Tệp MANIFEST (.manifest) và tệp MUM (.mum) được cài đặt riêng cho từng môi trường, với mỗi tệp được liệt kê cụ thể MUM và tệp MANIFEST cùng với các vấn đề bảo mật liên quan là rất quan trọng trong quá trình quản lý và bảo trì hệ thống.

(.cat) các tệp danh mục rất quan trọng để duy trì thestate của cấu phần được Cập

Nhật Tệp danh mục phân loại bảo mật (thuộc tính notlisted) được ký bằng chữ ký số Microsoft

1 Phục hồi dữ liệu System State

2 Khôi phục hệ điều hành và server

3 Lưu dự phòng dữ liệu đĩa C: gồm các thư mục: Documents and Settings, Program Files, Windows (tên file dự phòng: BACKUP, lưu vào đĩa D:\LUUTRU)

4 Khôi phục dữ liệu từ file dự phòng BACKUP

5 Thực hiện lưu dự phòng và khôi phục Active Directory trên server đang quản trị

6 Xem thông tin về hệ thống bằng công cụ System bao gồm:

1 Phục hồi dữ liệu System State

Quá trình phục hồi System State chỉ có thể tiến hành trong chế độ Directory

Services Repair Mode Do đó, cần đăng nhập vào Windows bằng tài khoản này để tiến hành quá trình phục hồi:

1 Khởi động lại server Nhấn F8 để hiện menu Advance Boot Options

Chọn Directory Services Repair Mode

2 Đăng nhập vào Windows bằng tài khoản Directory Services Restore Mode (DSRM)

Sau khi đăng nhập vào Windows ở chế độ Directory Services Repair Mode, sử dụng

Windows Server Backup để phục hồi dữ liệu System State theo các bước sau:

Bước 1 Chạy Windows Backup Server bằng cách vào Start > Administrative

Bước 2 Chọn Local Backup Ở box Actions bên phải, click Recover

Bước 3 Màn hình Getting Started xuất hiện, chọn A backup stored on another location

Bước 4 Ở màn hình Select Location Type, chọn nơi chứa file dữ liệu sao lưu System

State: Local drives hoặc Remote shared folder Click Next Ở màn hình kế tiếp, chọn nơi chứa file sao lưu Click Next

Bước 5 Chọn server cần phục hồi ở màn hình Select Server Click Next

Bước 6 Ở màn hình Select Backup Date, chọn ngày/giờ để Windows Server Backup hiển thị các bản sao lưu có thể sử dụng Click Next

Bước 7 Ở màn hình Select Recovery Type, chọn System state để phục hồi dữ liệu

Bước 8 Ở màn hình Select Location for System State Recovery, chọn Original location để phục hồi đè System state vào server hiện tại Click Next

Bước 9 Ở màn hình Confirmation, click Recover để bắt đầu quá trình phục hồi dữ liệu

2 Khôi phục hệ điều hành và server

Khởi động hệ thống và chọn Boot từ USB (hoặc đĩa) cài đặt Windows Server 2019 Chọn Repair your Computer

Hình 3 Cửa sổ Repair your Computer ổ

Hình 3 Cửa sổ System Image Recover

Tiếp theo Chọn nơi đã lưu Bản Backup -> Chọn Image phiên bản Backup mong muốn để Restore (lưu ý các thông tin về ngày giờ Backup, …)

Hình 3 Cửa sổ Image phiên bản Backup

Chọn bản Backup rồi nhấn Next:

Hình 3 Cửa sổ Chọn bản Backup

Cửa sổ báo: Hệ thống sẽ được Phục hồi theo File lưu trữ như sau:

 Date and Time: ngày giờ File Backup đã được lưu trữ (thời điểm hệ thống sẽ phục hồi trở lại)

 Computer: tên Hệ thống sẽ phục hồi

 Drives to restore: các ổ đĩa sẽ được phục hồi

Sau khi kiểm tra chính xác Thông số: Nhấn nút Finish để hệ thống bắt đầu phục hồi

Hình 3 Cửa sổ xác nhận cho Restore

Cảnh báo: Dữ liệu trên các ổ đĩa trong Danh mục Phục hồi sẽ bị thay thế bởi dữ liệu từ file Image Backup Nếu hệ thống đã được sao lưu cẩn thận, hãy nhấn nút Yes để xác nhận và bắt đầu quá trình Phục hồi.

3 Lưu dự phòng dữ liệu đĩa C: gồm các thư mục: Documents and Settings, Program Files, Windows (tên file dự phòng: BACKUP, lưu vào đĩa D:\LUUTRU)

- Chọn đối tượng cần lưu dự phòng (các thư mục: Documents and Settings, Program Files, Windows)

- Chỉ định vị trí và tên file lưu trữ

4 Khôi phục dữ liệu từ file dự phòng BACKUP

- Mở công cụ backup, chọn Restore files and settings

- Lựa chọn đối tượng để khôi phục dữ liệu (Documents and Settings, Program Files, Windows)

5 Thực hiện lưu dự phòng và khôi phục Active Directory trên server đang quản trị

- Mở công cụ Backup, chọn Back up files and settings

- Trong cửa sổ Items to Back Up đánh dấu vào mục System State

6 Xem thông tin về hệ thống bằng công cụ System bao gồm:

- Tóm tắt thông tin hệ thống

- Tài nguyên về phần cứng hệ thống

- Thông tin cấu hình dành cho phần cứng của Server đối với thiết bị đang được sử dụng

- Phần mềm đang được thực thi trên hệ thống

- Cần phải backup System State vì thành phần quan trọng nhất khi quản lý hệ thống

- Sao lưu dữ liệu theo lịch để đảm bảo hệ thống hoạt động tốt nhất

- Khôi phục dữ liệu một cách nhanh nhất, đầy đủ nhất

- File backup phải được lưu trữ đúng vị trí và an toàn

- Thực hiện đúng tưng thao tác sao lưu cũng như phục hồi

- Chọn đúng ngôn ngữ, múi giờ, và bàn phím nhập liệu

- Thao tác đúng các bước sao lưu, phục hồi dữ liệu, hệ thống trên Windows server 2019

Azure Backup offers a lightweight tool called the Microsoft Azure Recovery Services (MARS) agent, which is installed on Windows Server to protect files, folders, and server configuration information through the Windows Server System State This article will guide users on how to use the MARS agent to back up Windows Server to Azure.

 Trình bày được các bước cài đặt công cụ Backup trên Server 2019

 Trình bày được các bước sao lưu trên hệ thống Windows Server 2019

 Trình bày được các bước phục hồi trên hệ thống

+ Thao tác thành thạo các bước cài đặt công cụ Backup, Restore hệ thống Windows Server 2019

+ Thực hiện đúng các thao tác sao lưu, phục hồi dữ liệu và hệ thống Windows Server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác cài đặt, cấu hình sao lưu và phục hồi dữ liệu, hệ thống Windows Server 2019

CÀI ĐẶT VÀ QUẢN LÝ VIRTUAL PRIVATE NETWWORK (VPN)

Những ứng dụng thường gặp của RAS

Dịch vụ truy cập từ xa cung cấp khả năng kết nối và quản lý hệ thống từ xa, giúp người dùng dễ dàng truy cập dữ liệu và ứng dụng mà không cần có mặt tại chỗ Các phương thức kết nối phổ biến bao gồm VPN, Remote Desktop Protocol (RDP) và các giải pháp đám mây Những giao thức này đảm bảo tính bảo mật và hiệu suất cao trong quá trình truyền tải dữ liệu, mang lại trải nghiệm truy cập mượt mà và an toàn cho người dùng.

1.1 Tổng quan về dịch vụ truy cập từ xa

Dịch vụ truy nhập từ xa (Remote Access Service) cho phép người dùng kết nối từ xa đến mạng riêng qua môi trường mạng truyền dẫn, như mạng điện thoại công cộng, giống như máy tính được kết nối trực tiếp Người dùng thực hiện kết nối thông qua một máy chủ dịch vụ, gọi là máy chủ truy cập (Access server) Khi thiết kế giải pháp truy cập từ xa, cần chú ý đến các yêu cầu quan trọng để đảm bảo tính hiệu quả và an toàn.

− Số lượng kết nối tối đa có thể để phục vụ người dùng từ xa

− Các nguồn tài nguyên mà người dùng từ xa muốn muốn truy cập

− Công nghệ, phương thức và thông lượng kết nối

− Các phương thức an toàn cho truy cập từ xa, phương thức xác thực người dùng, phương thức mã hoá dữ liệu

− Các giao thức mạng sử dụng để kết nối

1.2 Kết nối truy cập từ xa và các giao thức sử dụng trong truy cập từ xa

1.2.1 Kết nối truy cập từ xa

Tiến trình truy cập từ xa bắt đầu khi người dùng khởi tạo kết nối tới máy chủ truy cập thông qua giao thức truy cập từ xa như PPP (Point to Point Protocol) Máy chủ truy cập hoạt động như một gateway, facilitating việc trao đổi dữ liệu giữa người dùng và mạng nội bộ Qua kết nối này, người dùng từ xa có thể gửi và nhận dữ liệu, với dữ liệu được truyền theo các khuôn dạng do giao thức mạng như TCP/IP quy định, và sau đó được đóng gói bởi các giao thức truy cập từ xa.

Hình 4.1 – Kết nối truy cập từ xa 1.2.2 Các giao thức mạng sử dụng trong truy cập từ xa

Khi triển khai dịch vụ truy cập từ xa, các giao thức mạng thường được sử dụng bao gồm TCP/IP, IPX và NETBEUI TCP/IP, bộ giao thức cơ bản và phổ biến nhất hiện nay, bao gồm giao thức TCP và IP, hỗ trợ truyền thông liên mạng với khả năng định tuyến và mở rộng linh hoạt cho mọi loại mạng IPX (Internet Packet Exchange) là giao thức dành cho mạng Novell NetWare, có khả năng định tuyến và thường được áp dụng cho các hệ thống mạng cũ Trong khi đó, NETBEUI là giao thức của Microsoft dành cho mạng cục bộ LAN, cung cấp nhiều tiện ích mà không yêu cầu cấu hình phức tạp, nhưng chỉ phù hợp với mô hình mạng nhỏ và không có khả năng định tuyến.

Tổng quan về VPN

Khi triển khai một hệ thống đảm bảo an toàn, ổn định và linh hoạt, đáp ứng nhu cầu kết nối từ xa cho doanh nghiệp, việc sử dụng VPN là cần thiết Bài viết này sẽ khám phá chi tiết về Virtual Private Network, kỹ thuật VPN tunneling, các chế độ VPN khác nhau và cách cấu hình một mô hình VPN hoàn chỉnh Đầu tiên, chúng ta cần hiểu khái niệm Private Network, đó là một hệ thống mạng LAN riêng biệt sử dụng các địa chỉ IP trong cùng một dải để chia sẻ dữ liệu, phù hợp cho các văn phòng hoặc công ty có nhiều thiết bị mạng tập trung Nếu triển khai Private Network tại nhiều vị trí khác nhau, bộ phận quản trị mạng cần cấu hình định tuyến để các mạng LAN có thể kết nối với nhau.

Virtual Private Network (VPN) là một mạng riêng biệt cho phép kết nối an toàn giữa các máy tính thông qua Internet.

Dịch vụ mạng ảo (VPN) hoạt động trên cơ sở hạ tầng của mạng công cộng (Internet), cho phép kết nối giữa các văn phòng, chi nhánh và người dùng làm việc từ xa với trụ sở chính Nhờ vào VPN, các máy tính có thể giao tiếp với nhau như trong một mạng LAN, tạo ra môi trường làm việc an toàn và hiệu quả.

A Virtual Private Network (VPN) employs Tunneling Protocols, a technique that encapsulates a data packet within another packet to establish a secure transmission channel.

Hình 4.2 Mô hình Tunneling Protocols

2.2 VPN cung cấp những lợi ích bao gồm:

 Chi phí thiết lập mạng VPN tương đối thấp, do sử dụng chung hạ tầng Internet

 Tính linh hoạt: VPN xóa bỏ mọi rào cản về vị trí địa lý, sẵn sang kết nối các mạng với nhau thông qua Internet

Tính bảo mật của VPN đảm bảo rằng các dữ liệu quan trọng được bảo vệ khỏi những người không có quyền truy cập Bằng cách sử dụng các giao thức và thuật toán mã hóa, cũng như các phương pháp xác thực, VPN giúp bảo mật dữ liệu trong quá trình truyền tải.

Bảo mật địa chỉ IP là một trong những lợi ích lớn của việc sử dụng VPN, khi các thông tin được truyền tải đều được mã hóa, giúp che giấu địa chỉ IP thật trong mạng riêng và chỉ sử dụng các địa chỉ IP bên ngoài trên Internet.

Hình 4.3 Mô hình che giấu IP

VPN là một giải pháp thiết lập kênh truyền ảo, và việc lựa chọn loại thiết kế phù hợp phụ thuộc vào mô hình mạng và nhu cầu sử dụng cụ thể Công nghệ này mang lại sự bảo mật và riêng tư cho người dùng khi truy cập internet.

VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN và Remote Access VPN (

VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, SSTP,IPSec, GRE, MPLS, SSL, TLS

Site to site VPN là giải pháp kết nối các mạng khác nhau thành một hệ thống mạng thống nhất Kết nối này yêu cầu chứng thực ban đầu từ các thiết bị đầu cuối tại các Site, hoạt động như Gateway Tại đây, nhiều chính sách bảo mật được thiết lập để đảm bảo dữ liệu được truyền tải an toàn giữa các Site.

Hình 4.4 Mô hình VPN Site to site

 Remote Access VPN ( Client to site ) cho phép truy cập bất cứ lúc nào bằng

Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức

VPN truy cập từ xa cho phép người dùng ở xa kết nối vào mạng Intranet của công ty thông qua phần mềm VPN và gateway hoặc VPN concentrator, thường được hiểu là một máy chủ Giải pháp này được gọi là mô hình client/server, trong đó người dùng sử dụng các công nghệ WAN truyền thống để tạo các tunnel kết nối về mạng chính của họ.

Loại kết nối này thường được sử dụng cho nhân viên làm việc từ xa hoặc làm việc tại nhà, giúp họ kết nối an toàn với mạng công ty Ngoài ra, nó cũng phù hợp cho các văn phòng nhỏ ở xa muốn kết nối với văn phòng trung tâm của công ty.

 Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server

Một xu hướng mới trong việc phát triển VPN truy cập từ xa là sử dụng VPN không dây, cho phép nhân viên truy cập vào mạng của họ thông qua kết nối không dây Trong thiết kế này, các kết nối không dây cần phải liên kết với một trạm không dây (wireless terminal) trước khi kết nối vào mạng công ty Dù trong trường hợp nào, phần mềm client trên máy tính đều hỗ trợ khởi tạo các kết nối bảo mật, thường được gọi là tunnel.

Một yếu tố quan trọng trong thiết kế hệ thống VPN là quy trình xác thực ban đầu, nhằm đảm bảo rằng yêu cầu truy cập xuất phát từ nguồn tin cậy Giai đoạn này thường dựa trên chính sách bảo mật của công ty, bao gồm các quy trình, kỹ thuật và máy chủ như RADIUS và TACACS+ Để bảo vệ dữ liệu trong hệ thống VPN, có một số giao thức phổ biến được áp dụng trong các mô hình VPN.

PPTP (Point to Point Tunneling Protocol) là giao thức VPN đơn giản nhất với độ bảo mật kém Nó dễ cấu hình và cho phép kết nối nhanh giữa client và server Là sự mở rộng của giao thức PPP, PPTP sử dụng các phương thức xác thực tương tự như PAP, SPAP, CHAP, MS-CHAP và EAP Giao thức này được hỗ trợ rộng rãi trên các máy trạm Windows, tuy nhiên, nó thiết lập đường hầm mà không mã hóa Một trong những ưu điểm của PPTP là không yêu cầu hạ tầng mã khóa công cộng (Public Key Infrastructure).

Hình 4.5 Mô hình VPN áp dụng Protocol

 L2TP ( Layer 2 Tunneling Protocol ) là giao thức kết hợp giữa PPTP của

Microsoft và Cisco đã phát triển L2TP, một giao thức tunneling không giống như PPTP vì không cung cấp cơ chế mã hóa thông tin bổ sung, mà chỉ dựa vào Point to Point Protocol để mã hóa lớp dữ liệu thông qua Preshared Key Kết hợp các tính năng của PPTP và L2F, L2TP hỗ trợ đầy đủ IPSec, cho phép nó được sử dụng hiệu quả cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa Thực tế, L2TP có khả năng tạo ra tunnel giữa máy khách và router, NAS và router, cũng như giữa các router So với PPTP, L2TP mang lại nhiều đặc tính mạnh mẽ và an toàn hơn.

IPSec VPN là một hệ thống bảo mật truyền thông, bao gồm các giao thức được phát triển bởi IETF (Internet Engineering Task Force) IPSec là một phần thiết yếu của IPv6 và có thể được sử dụng tùy chọn trong IPv4 Các tiêu chuẩn này được thiết kế cho các phiên bản IP tương tự, với IPSec hiện đang được áp dụng rộng rãi.

Cách cài đặt VPN trên Windows Server 2019

3.1 Cài đặt Remote Access Role

Bước 1: Đầu tiên, hãy cài đặt Remote Access qua Server Manager hoặc PowerShell

Mở Server Manager và chọn Add Roles and Features

Hình 4.8 Chọn Add Roles and Features

Bước 2: Chọn Remote Access Role và nhấp vào Next

Bước 3: Ở bước Role Services, chọn DirectAccess and VPN (RAS)

Hình 4.10 Chọn RAS và Routing

Bước 4: Ở bước cuối cùng, chọn Install để cài đặt Remote Access role

Hình 4.11 Chọn Close hoàn tất Điều này có thể yêu cầu khởi động lại server

3.2 Cấu hình VPN trên Windows Server 2019

Bước 1 Thực hiện cấu hình dịch vụ VPN Server Mở Tools / Routing and Remote

Hình 4.12 Chọn Routing and Remote Access

Bước 2 Tại cửa sổ Routing and Remote Access, click chuột phải tại tên Server (ví dụ: R2(local)), chọn vào Configure and Enable Routing and Remote Access

.Nhấp chuột phải vào tên server và nhấn vào Configure and Enable Routing and Remote Access

Bước 3 Trên trình hướng dẫn mới, hãy chọn Custom configuration

Bước 4 Chọn VPN Access, NAT và LAN routing

Hình 4.14 Chọn các lựa chọn phù hợp

Bước 5 Tiếp theo chọn card mạng cho phù hợp

Hình 4.15 Chọn Cấu hình dịch vụ NAT

Bước 6 Tiếp theo chọn card mạng làm nội mạng

Hình 4.16 Cấu hình NAT cho cổng trong

Bước 7 Tiếp theo chọn card mạng làm ngoại mạng

Hình 4.17 Cấu hình NAT cho cổng ngoài

Bước 8 Sau khi bấm Finish, bây giờ, có thể khởi động service Routing and Remote

Hình 4.18 Khởi động service Routing and Remote Access

Bước 9 Nhấp chuột phải vào tên máy chủ và chọn Properties

Hình 4.19 Tùy chọn thuộc tính VPN

Bên dưới IPv4 address assignment, kiểm tra Static address pool (khuyến nghị)

Hình 4.20 Tùy chọn nhóm địa chỉ tĩnh máy chủ VPN

- Chỉ định địa chỉ IP bắt đầu

- Chỉ định địa chỉ IP kết thúc

Hình 4.20 Thiết lập dải địa chỉ VPN

Bước 12 Nhấn vào OK, Nhấn vào Apply, Nhấn vào OK

Bước 13 Kích chuột phải Remote Access Logging & Policies và chọn Launch NPS

Hình 4.21 Windows Server 2019 ra mắt NPS

Bước 14 Chọn Network Policies từ ngăn bên trái

Bước 15 Bấm đúp vào Connections to Microsoft Routing and Remote Access server chính sách

Bên dưới Access Permission chọn phần Grant access Grant access if the connection request matches this policy

Hình 4.23 Chính sách kết nối với VPN

Bước 16 Nhấn vào Apply, Nhấn vào OK

Bước 17 Bấm đúp vào Connections to other access servers chính sách

Bên dưới Access Permission chọn phần Grant access Grant access if the connection request matches this policy

Hình 4.24 Chính sách kết nối với máy chủ khác

Bước 18 Nhấn vào Apply, Nhấn vào OK Đóng Network Policy Server bàn điều khiển

3.3 Cấu hình VPN trên Client

Bước 1 Đổi tên Client cho phù hợp

Bước 2 Chỉnh IP theo hệ thống (Ví dụ như hình sau)

Tại cửa sổ Network and Sharing Center, click chọn vào Set up a new connection or network

Tại cửa sổ Set Up a Connection or Network, click chọn vào Connect to a workplace… Next

Tại cửa sổ Connect to a Workplace, click chọn vào Use my Internet connection (VPN)

Tại cửa sổ tiếp theo, chọn vào I’ll set up an Internet connection later

Hình 4.29 Chọn I’ll set up an Internet connection later

Tại cửa sổ tiếp theo, nhập vào địa chỉ Gateway của mạng bên ngoài Internet address: 123.1.1.1

Click vào Create và chờ nó tạo kết nối VPN

Hình 4.30 Nhập IP VPN kết nối

Click chuột phải tại Card mạng VPN Connection vừa tạo, chọn Properties

In the VPN Connection Properties window, navigate to the Security tab and select Point to Point Tunneling Protocol (PPTP) as the VPN connection type Click OK to confirm your selection.

Hình 4.33 kiểu giao thức kết nối VPN

Click chuột phải tại Card mạng VPN Connection, chọn Connect / Disconnect

Click vào Connect tại card mạng VPN Connection

Nhập vào tài khoản VPN (ví dụ vpnanhtt)mà ta đã tạo và cấp quyền truy cập từ xa lúc nãy

Hình 4.36 Nhập vào tài khoản VPN

Kết nối VPN thành công

Hình 4.37 Kết nối VPN thành công

Ping thử về địa chỉ của con W2K19-DC đang làm File Server có địa chỉ 192.168.2.2 ta thấy đã Ping thành công

Mở CMD lên và gõ \\192.168.2.2 để truy cập vào File Server và lấy tài liệu

Hình 4.39 Truy cập máy chủ

Log in vào miền bằng tài khoản VPN nếu được hỏi để truy cập Folder DATA đã tạo trên con SERVER

Hình 4.40 Xác nhận User, Password

Hình 4.41 Truy cập thành công

1 Thực hiện triển khai VPN Site to Site theo mô hình sau

Hình 4.42 Mô hình site to site

2 Hiện nay Công ty có rất nhiều nhân viên làm việc từ xa, ban giám đốc công ty muốn tạo điều kiện thuận lợi nhất cho nhân viên, làm việc ở nhà cũng giống như làm việc tại văn phòng công ty Bạn hãy thực hiện yêu cầu trên

 1 Phải xây dựng một máy VPN Server để tiếp nhận các yêu cầu kết nối mạng từ xa (còn gọi là Remote Access Server)

 Cấp cho người dùng VPN Client một tài khoản có quyền đăng nhập vào VPN Server (gọi là Dial-In User)

 Tại các VPN Clients tạo mới một kết nối mạng riêng ảo đến VPN Server (gọi là VPN Connection) Đăng nhập vào VPN Server bằng Dial-In User

 Chọn giao thức truyền dữ liệu: L2TP, PPTP hay GRE/Ipsec tương ứng tại VPN Server và VPN Clients

 Xác định phương thức mã hoá và chứng thực tương ứng tại VPN Server và VPN Clients

If the VPN server system employs a firewall, it is essential to open the TCP port to allow VPN service data flow from clients into the internal network.

1 Thực hiện triển khai VPN Site to Site

2 Hiện nay Công ty có rất nhiều nhân viên làm việc từ xa, ban giám đốc công ty muốn tạo điều kiện thuận lợi nhất cho nhân viên, làm việc ở nhà cũng giống như làm việc tại văn phòng công ty

Tham khảo phần cài đặt, cấu hình VPN

- Cài đặt và cấu hình VPN đúng các bước

- Tạo các user để cho phép kết nối VPN

- Cấu hình bảng IP cho phép kết nối phù hợp, không ảnh hưởng đến hệ thống

- Giới hạn thời gian, quyền truy cập vào hệ thống cho các user VPN

- Thực hiện các thao tác đúng về việc cài đặt và cấu hình VPN trên Windows server 2019

- Thực hiện các thao tác đúng về việc cài đặt và cấu hình VPN trên Client

Cấu hình phép kết nối VPN thông qua tường lửa trên Windows Server

Khi cấu hình tính năng Định tuyến và Truy cập Từ xa trên Windows Server, hệ thống sẽ tự động mở các cổng Tường lửa cần thiết Tuy nhiên, để đảm bảo tường lửa được thiết lập đúng cách, người dùng cần kiểm tra và cấu hình lại nếu cần thiết.

 Trình bày được các bước cài đặt VPN trên Server và Client

 Trình bày được các bước cấu hình VPN trên Windows Server 2019

+ Thao tác thành thạo các phương tiện Boot để cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

+ Thực hiện đúng các thao tác cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác việc cài đặt và cấu hình VPN cho Server và client

Hiện nay, công ty có nhiều nhân viên làm việc từ xa và ban giám đốc đang nỗ lực tạo điều kiện thuận lợi nhất cho họ Mục tiêu là biến môi trường làm việc tại nhà trở nên tương tự như khi làm việc tại văn phòng.

 1 Phải xây dựng một máy VPN Server để tiếp nhận các yêu cầu kết nối mạng từ xa (còn gọi là Remote Access Server)

 Cấp cho người dùng VPN Client một tài khoản có quyền đăng nhập vào VPN Server (gọi là Dial-In User)

 Tại các VPN Clients tạo mới một kết nối mạng riêng ảo đến VPN Server (gọi là VPN Connection) Đăng nhập vào VPN Server bằng Dial-In User

 Chọn giao thức truyền dữ liệu: L2TP, PPTP hay GRE/Ipsec tương ứng tại VPN Server và VPN Clients

 Xác định phương thức mã hoá và chứng thực tương ứng tại VPN Server và VPN Clients

If a VPN server utilizes a firewall, it is essential to open the TCP port to allow VPN service data streams from clients to access the internal system.

1 Xây dựng một Remote Access Server

2 Cài đặt và cấu hình dịch vụ truy cập từ xa cho phép người dùng từ xa truy cập vào mạng trên hệ điều hành Windows Server

- Cài đặt máy chủ dịch vụ truy cập từ xa

- Thiết đặt tài khoản cho người dùng từ xa Thiết lập một tài khoản có tên RemoteUser

- Kiểm tra cấu hình đã thiết lập

- Cấu hình cho phép tài khoản RemoteUser truy cập vào mạng được điều khiển truy cập bởi các chính sách truy cập từ xa (Remote access policy)

Kiểm tra cấu hình đã thiết lập bằng cách thực hiện kết nối quay số tới máy chủ truy cập từ xa với tài khoản RemoteUser Tuy nhiên, thông báo lỗi xuất hiện cho thấy kết nối không được thiết lập.

Sử dụng RRAS để thiết lập chính sách mới cho người dùng từ xa, được gọi là Allow RemoteGroup Access, cho phép người dùng trong nhóm RemoteGroup truy cập dễ dàng.

Để xác nhận cấu hình đã thiết lập, hãy thực hiện kết nối quay số tới máy chủ truy cập từ xa bằng tài khoản RemoteUser Sau khi kết nối thành công, hãy đóng kết nối lại.

- Cấu hình để default policy được thi hành trước

Kiểm tra cấu hình đã thiết lập bằng cách kết nối quay số tới máy chủ truy cập từ xa với tài khoản RemoteUser Tuy nhiên, thông báo lỗi xuất hiện cho thấy kết nối không được thiết lập thành công.

- Cấu hình cho phép truy cập sử dụng Properties của RemoteUser

Kiểm tra cấu hình đã thiết lập bằng cách thực hiện kết nối quay số tới máy chủ truy cập từ xa với tài khoản RemoteUser Sau khi kết nối được thiết lập thành công, hãy đóng kết nối lại.

GROUP POLICY OBJECT

Giới thiệu Group Policy

Mục tiêu: Trình bày các chức năng chính của Group Policy, phân biệt được sự khác nhau cơ bản giữa System Policy và Group Policy

1.1 So sánh giữa System Policy và Group Policy

Trong mô đun Quản trị mạng cơ bản, chúng ta đã khám phá về chính sách hệ thống (System Policy) và bây giờ sẽ chuyển sang tìm hiểu về chính sách nhóm (Group Policy) Sự khác biệt giữa hai chính sách này là điều quan trọng cần nắm rõ để áp dụng hiệu quả trong quản lý mạng.

- Chính sách nhóm chỉ xuất hiện trên miền Active Directory, nó không tồn tại trên miền NT4

Chính sách nhóm vượt trội hơn chính sách hệ thống vì nó không chỉ bao gồm tất cả các chức năng của chính sách hệ thống mà còn cho phép triển khai phần mềm một cách tự động trên một hoặc nhiều máy.

- Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống

Chính sách nhóm được áp dụng thường xuyên hơn chính sách hệ thống, với các chính sách hệ thống chỉ có hiệu lực khi máy tính đăng nhập vào mạng Ngược lại, chính sách nhóm được kích hoạt ngay khi khởi động máy và có thể tự động áp dụng trong suốt cả ngày làm việc.

Chính sách nhóm (Group Policy) là một tập hợp các thiết lập cấu hình cho máy tính và người dùng, nhằm xác định cách thức hoạt động của chương trình, tài nguyên mạng và hệ điều hành trong tổ chức Mục đích chính của GPO là triển khai các chính sách từ máy chủ Domain Controller xuống người dùng Group Policy cho phép tự động triển khai phần mềm cho một hoặc nhiều máy trạm, xác định quyền hạn cho người dùng mạng, giới hạn ứng dụng mà người dùng được phép sử dụng, kiểm soát hạn ngạch sử dụng đĩa, và thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy.

Group Policy is applicable exclusively on Windows Server NT, 2000, 2003, 2008, and 2019, primarily targeting Sites, Domains, and Organizational Units The policies implemented for these entities are referred to as Group Policy Objects (GPOs).

Trên mỗi máy Windows Server 2019, có một bộ công cụ Group Policy được gọi là Local Group Policy, áp dụng riêng cho máy đó khi không tham gia vào miền.

Các Group Policy Objects (GPO) được lưu trữ trong cơ sở dữ liệu của Active Directory Để tạo và chỉnh sửa GPO, người dùng sử dụng công cụ có tên là Group Policy Object Editor.

1 dạng console tên là gpedit.msc, console của Active Directory Users and Computers là dsa.msc)

1.2 Chức năng của Group Policy

Triển khai phần mềm ứng dụng có thể thực hiện bằng cách gom tất cả các tập tin cần thiết vào một gói (package) và đặt lên Server Sau đó, sử dụng chính sách nhóm để hướng dẫn một hoặc nhiều máy trạm đến gói phần mềm đó Hệ thống sẽ tự động cài đặt phần mềm trên tất cả các máy trạm mà không cần sự can thiệp của người dùng.

Gán quyền hệ thống cho người dùng cho phép cấp quyền cho cá nhân hoặc nhóm người thực hiện các thao tác quan trọng như tắt server, thay đổi giờ hệ thống và sao lưu dữ liệu Chức năng này tương tự như các chính sách hệ thống, giúp quản lý và kiểm soát quyền truy cập hiệu quả hơn.

Chúng ta có thể giới hạn các ứng dụng mà người dùng được phép sử dụng trên máy trạm của họ, cho phép họ chỉ chạy một số ứng dụng nhất định như Outlook Express, Word và Internet Explorer.

Người quản trị có thể sử dụng chính sách nhóm để kiểm soát các thiết lập hệ thống, bao gồm việc quy định hạn ngạch đĩa cho từng người dùng Điều này cho phép người dùng chỉ được phép lưu trữ tối đa một số lượng MB nhất định trên đĩa cứng theo quy định.

Trong hệ thống NT4, chỉ hỗ trợ kịch bản đăng nhập, trong khi Windows Server cho phép thiết lập kịch bản cho cả bốn sự kiện: đăng nhập, đăng xuất, khởi động và tắt máy Người quản trị có thể sử dụng GPO để kiểm soát các kịch bản đang chạy, giúp quản lý hiệu quả hơn.

- Đơn giản hóa và hạn chế các chương trình: có thể dùng GPO để gỡ bỏ nhiều tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác

Hạn chế quyền truy cập vào màn hình Desktop của người dùng có thể bao gồm việc gỡ bỏ hầu hết các mục trên menu Start, ngăn chặn người dùng cài đặt thêm máy in và sửa đổi các thông số cấu hình của máy trạm.

Tạo và tổ chức các đối tượng trong Group policy

Mục tiêu: Trình bày cách thức để xem chính sách cục bộ của một máy tính ở xa, tạo và áp dụng các chính sách trên miền

Chúng ta cấu hình và triển khai Group Policy thông qua việc xây dựng các đối tượng chính sách (GPO), là những vật chứa có khả năng áp dụng nhiều chính sách cho người dùng, máy tính hoặc toàn bộ hệ thống mạng Người quản trị có thể sử dụng Group Policy Object Editor để tạo ra các GPO Trong giao diện chính của Group Policy Object Editor, có hai mục chính: cấu hình máy tính và cấu hình người dùng.

Hình 5.1 – Cửa sổ chính của Group Policy Object Editor

2.1 Xem chính sách cục bộ của một máy tính ở xa Để xem một chính sách cục bộ trên các máy tính khác trong miền, người xem phải có quyền quản trị trên máy đó hoặc quản trị miền Lúc đó, có thể dùng lệnh GPEDIT.MSC /gpcomputer:machinename; ví dụ khi muốn xem chính sách trên máy PC01, gõ lệnh GPEDIT.MSC /gpcomputer: PC01

2.2 Tạo các chính sách trên miền

In Active Directory, we utilize the snap-in Group Policy within Active Directory Users and Computers or directly access the Group Policy Object Editor via command line on the Domain Controller to create domain group policies To open Group Policy from Active Directory Users and Computers, right-click on the domain icon (e.g., danavtc.edu) in the main program window and select Properties In the dialog that appears, navigate to the Group Policy tab.

Hình 5.2 – Cửa sổ thuộc tính với chính sách mặc định

Nếu chưa tạo chính sách nào, cửa sổ chỉ hiển thị chính sách Default Domain Policy Cuối hộp thoại có checkbox "Block Policy inheritance", ngăn chặn các thiết lập từ chính sách cấp cao hơn lan truyền xuống Chính sách được áp dụng theo thứ tự: cấp site, cấp miền và cuối cùng là cấp OU Để cấu hình chính sách, chọn Default Domain Policy và nhấp vào nút Option Trong hộp thoại Options, đánh dấu "No Override" để các chính sách khác không thể phủ quyết thiết lập của chính sách này, dù không chọn "Block Policy inheritance" Nếu chọn "Disabled", chính sách sẽ không hoạt động ở cấp này, nhưng không làm vô hiệu hóa đối tượng chính sách.

Để tạo một chính sách mới, nhấp vào nút "New" và nhập tên chính sách Để thêm thông tin cho chính sách, nhấp vào nút "Properties" Hộp thoại sẽ xuất hiện với nhiều tab; trong tab "Links", bạn có thể chỉ định các site, domain hoặc OU liên quan đến chính sách Tab "Security" cho phép cấp quyền cho người dùng hoặc nhóm người dùng trên chính sách đó.

Hình 5.4 – Cấp quyền cho người dùng hoặc nhóm người dùng

Trong Group Policy, các chính sách được áp dụng theo thứ tự từ dưới lên trên, với chính sách nằm ở vị trí cao nhất được ưu tiên áp dụng cuối cùng Điều này có nghĩa là nếu có sự mâu thuẫn giữa các GPO, chính sách ở trên cùng sẽ được thực thi Người dùng có thể sử dụng nút Up và Down để thay đổi thứ tự ưu tiên của các chính sách.

Hình 5.5 – Thứ tự các chính sách

Nút Edit cho phép người dùng thiết lập các cấu hình cho chính sách này, và nhờ vào khả năng của Group Policy, người dùng có thể tùy chỉnh các thiết định theo nhu cầu của mình.

Thiết lập các chính sách trên Domain Controller

Mục tiêu của bài viết này là hướng dẫn cách thiết lập các chính sách nhóm nhằm chặn người dùng cài đặt phần mềm ứng dụng hoặc ngăn chặn việc sử dụng các chương trình được chỉ định.

3.1 Thiết lập chính sách nhóm “chặn người dùng cài đặt phần mềm ứng dụng”

Công cụ này cho phép hạn chế người dùng cài đặt các phần mềm ứng dụng Thực hiện:

- Tạo một Group Policy Object (GPO) độc lập:

+ Start  Administrative Tools  Group Policy Management

+ Tại cửa sổ Group Policy Management, nhấp chuột phải lên mục Group Policy Objects và chọn New

Hình 5.6 - Giao diện cửa sổ quản lý chính sách nhóm

+ Tại hộp thoại Name GPO nhập tên GPO (Chặn Sinh viên cài đặt ứng dụng), chọn OK

To configure the newly created Group Policy Object (GPO), right-click on it in the Group Policy Management window and select "Edit." In the Group Policy Management Editor that appears, specify the policies to be configured for either the computer or user by navigating to Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Installer.

To implement the Prohibit User Installs setting, right-click on Prohibit User Installs in the right panel, select Properties, and configure the settings by choosing Enabled and selecting the corresponding behavior as Hide User Installs Finally, click Apply and OK to close the Prohibit User Installs Properties window.

- Liên kết GPO vào các loại đối tượng trên Active Directory (Lưu ý: mỗi GPO có thể liên kết đến nhiều đối tượng trên Active Directory):

To create objects in Active Directory, navigate to Server Manager, select Roles, then Active Directory Domain Services, and open Active Directory Users and Computers Right-click on the domain name and choose New, followed by Organization Unit.

Hình 5.8 - Tạo các đối tượng trên Active Directory

+ Khi xuất hiện cửa sổ New Object, gõ tên đối tượng vào (Sinh vien)

Hình 5.9 - Tạo mới đối tượng

+ Tạo user và computer trong OU này (user SV1, V2)

+ Liên kết GPO vào OU: Vào Start  Adminitrative Tools  Group Policy Management; Nhấp chuột phải vào OU và chọn Link an Existing GPO

Hình 5.10 - Liên kết GPO vào OU

In the Select GPO dialog, choose the domain name from the "Look in this domain" section, and simultaneously select the corresponding Group Policy Object (GPO) labeled "Chan Sinh vien cai dat ung dung."

Hình 5.11 - Chọn nhóm cần chặn cài đặt ứng dụng

+ Chọn OK để hoàn tất

3.2 Thiết lập chính sách nhóm “chặn người dùng sử dụng Internet Explorer”

Công cụ này cho phép hạn chế người dùng sử dụng các chương trình được chỉ định

- Tạo một Group Policy Object (GPO) độc lập:

+ Start  Administrative Tools  Group Policy Management

+ Tại cửa sổ Group Policy Management, nhấp chuột phải lên mục Group Policy Objects và chọn New

+ Tại hộp thoại Name GPO nhập tên GPO (Chặn người dùng sử dụng Interrnet), chọn OK

To configure the newly created Group Policy Object (GPO), right-click on it in the Group Policy Management window and select 'Edit.' In the Group Policy Management Editor that appears, specify the policies to be configured for either the computer or user by navigating to User Configuration > Policies > Administrative Templates > System.

+ Sử dụng thiết lập Don’t run specified Windows applications: Nhắp phải chuột vào Don’t run specified Windows applications (ở khung phải), chọn Properties rồi thực hiện các thiết lập:

Hình 5.14 - Kích hoạt chính sách Đánh dấu chọn Enabled; Chọn nút Show…

Khi màn hình xuất hiện hộp thoại Show Contents, chọn nút Add… để chỉ định tập tin chương trình ứng dụng không được phép thi hành

Hình 5.15 - Chỉ định ứng dụng không được phép thi hành (tập tin chương trình)

- Liên kết GPO vào các loại đối tượng trên Active Directory (Lưu ý: mỗi GPO có thể liên kết đến nhiều đối tượng trên Active Directory):

To create objects in Active Directory, navigate to Server Manager, then to Roles, and select Active Directory Domain Services From there, open Active Directory Users and Computers, right-click on the domain name, and choose New followed by Organization Unit.

Hình 5.16 - Tạo các đối tượng trên Active Directory

+ Khi xuất hiện cửa sổ New Object, gõ tên đối tượng vào (Sinh vien)

Hình 5.17 - Tạo mới đối tượng

+ Tạo user và computer trong OU này (user SV1, V2)

+ Liên kết GPO vào OU: Vào Start  Adminitrative Tools  Group Policy Management; Nhấp chuột phải vào OU và chọn Link an Existing GPO

Hình 5.18 - Liên kết GPO vào OU

+ Trong hộp thoại Select GPO chọn tên domain ở mục Look in this domain; Đồng thời chọn GPO tương ứng (Chan nguoi dung su dung Internet) ở mục Group Policy objects

Hình 5.19 - Chỉ định Domain và đối tượng cần thiết lập

+ Chọn OK để hoàn tất.

Sử dụng GPO để triển khai MS Office

Để tránh sự nhàm chán khi cài đặt phần mềm MS Office trên từng máy tính, bạn có thể sử dụng GPO để triển khai phần mềm này, bao gồm cả việc cài đặt Product Key, trên Windows Server.

Bước 1: Sao chép đĩa cài đặt MS Office (2019) vào server và share (giả sử server là server1

Bước 2: Tạo file Office2019.bat với nội dung (xem hỗ trợ từ http://technet.microsoft.com/en-us/library/cc179134%28v=office.12%29.aspx):

Bước 3: Mở file config.xml (trong notepad) và sửa các thông tin để cài đặt tự động (xem hỗ trợ từ http://technet.microsoft.com/en-

Bước 4: Triển khai GPO: Start -> Run, gõ gpmc.msc

Tại cửa sổ Group Policy Management, nhấp chuột phải lên mục Group Policy Objects và chọn New

Tại hộp thoại Name GPO nhập tên GPO (Trien khai Office), chọn OK

To configure the newly created Group Policy Object (GPO), right-click on it in the Group Policy Management window and select 'Edit.' In the Group Policy Management Editor that appears, navigate to the Computer Configuration section, then go to Policies, followed by Windows Settings, and finally select Scripts to specify the policies that need to be configured.

Hình 5.22 - Chỉ định chính sách cần cấu hình

Nhắp phải chuột tại Startup (ở khung phải), Properties Khi xuât shieenj cửa sổ Startup Properties, chọn nút Show Files, copy file Office2019.bat, chọn Add

Trong hộp thoại Add a Script, chọn nút Browse để chỉ định Script

* Chỉnh thời gian chờ cho group policy scripts:

Computer Configuration / Administrative Templates / System / Scripts / Maximum wait time for group policy scripts, chọn Enabled và Seconds = 0

Hình 5.24 - Tùy chỉnh thời gian chờ đối với group policy scripts

* Triển khai cài đặt Office cho OU Ketoan:

- Di chuyển các computer cần cài đặt Office 2019 vào OU Ketoan

- Chọn OU Ketoan và Link an Existing GPO…

Hình 5.25 - Chỉ định GPO cần thiết lập

Lúc này, tại cửa sổ Group Policy Management, trong OU Ketoan, sẽ xuất hiện GPO Trien khai Office tương ứng đã thiết lập

Hình 5.26 - GPO Trien khai Office tương ứng đã thiết lập

Deploy Software – Cách cài đặt phần mềm từ xa

- Cài đặt phần mềm từ xa cho nhiều máy tính client

- Microsoft chỉ hỗ trợ các phần mềm có phần mở rộng “.msi”, “.zap”

5.1.1 Khi user logon phần mềm sẽ tự cài

Bước 1 Share thư mục cài đặt cho everyone full quyền

Hình 5.26 – Cửa sổ Share thư mục

Bước 2 test trên u1 thuộc OU CANTHO

Hình 5.27 – test u1 thuộc OU CANTHO Bước 3 cấp quyền cho thư mục COSMO1

Hình 5.28 – cấp quyền cho thư mục

Bước 4 Thực hiện share tiếp thư mục COSMO2, như COSMO1( Bước 1 - Bước 3)

Bước 5 Bắt đầu deploy software Tất cả làm trong Group Policy nhé

Bước 6 Tại User configuration, chọn Software

Bước 7 Lấy link thư mục cài đặt trước nhé

Hình 5.31 Truy cập thư mục bằng đường mạng

Bước 8 đường dẫn nơi chứa thư mục cài đặt

Hình 5.32 nơi chứa thư mục cài đặt

Bước 9 chọn Advance để cho phép user lựa chọn cài hay không

Hình 5.33 cho phép user lựa chọn cài hay không

Bước 10 Quay trở lại Group Policy, right click vào software installation, new, sau đó chọn Packge

Bước 11 Trỏ tới đường dẫn thư mục cài đặt

Hình 5.35 đường dẫn thư mục cài đặt

Bước 12 Tiếp theo chọn lựa hình thức Deploy

- chọn install this application at logon

Hình 5.36 chọn lựa hình thức Deploy

Bước 13 Chọn chương trình cần Deploy

Hình 5.37 chọn chương trình cần Deploy

Bước 14 Cấu hình policy xong nhớ chạy lệnh GPupdate /force trong command line để apply policy mới hoặc khởi động lại máy server (hạn chế)

Hình 5.378 Chạy lệnh GPupdate /force

Bước 15 Bật máy client, đăng nhập bằng u1 để test phần mềm mới đã được tự động cài đặt

Hình 5.39 -phần mềm mới đã được tự động cài đặt 5.1.2 Cách gõ phần mềm đã cài đặt bằng Deploy Software

Bước 1 Mở cửa sổ Deploy

Hình 5.40 Mở cửa sổ Deploy

Bước 2 Right click vào phần mềm đã deploy, All Task, sau đó chon Remove

Hình 5.41 Lựa chọn cách thức xóa phần bằng Deploy Software

Bước 3 Lựa chọn hình thức xoá Deploy Software

Hình 5.42 Lựa chọn hình thức xoá

Bước 4 Login bằng user cấp quyền tự động gỡ cài đặt

Hình 5 43 tự động gỡ cài đặt

Bước 5 Mở Control Panel, mục Progames and Fuater

Hình 5.44 thông báo tự động gỡ cài đặt

5.2 Deploy Software – phương thức Public: user Đây là cách deploy software trong đó phần mềm có sẵn trên PC của client nhưng chưa cài User phải tự cài (ai có nhu cầu người đó cài, ai không có nhu cầu thì không cài)

Bước 1 Tạo một user u3 trong OU DN để test

Bước 2 Tại Control Panel Chon Programs, sau đó Get Programs

Bước 3 Đặt tên cho New GPO

Hình 5.47 nhập tên cho GPO

Bước 4 Right clcik vào ten GPO vừa đặt chọn Link Enable

Bước 5 Right click Sofware install, chọn Properties

Bước 6 Chọn thư mục chứa chương trình theo được mạng, chọn Advanced, sau đó chọn Maximun

Hình 5.50 Chọn thư mục chứa chương trình

Bước 7 Mục Deployment, chọn Published

Bước 8 Tại Client login bằng use đã tạo

Bước 9 Vào server kiểm tra việc login của Client

Figure 5.52 illustrates the client login process It's important to note that the software does not install automatically; instead, it is available within the install program in the control panel for users to select during installation.

Bước 10 Đã triển khai, nhưng chưa cài để cho user lựa chọn khi cài đặt

Hình 5.52 đã có phần mềm chờ cài

5.3 Deploy Software – Phương thức Assign: computer

Chú ý: muốn áp đặt policy cho computer thì tại nơi áp đặt policy phải có computer → khởi động máy ảo, (client) để apply policy cho computer

Bước 1 Di chuyển computer qua ou PY để test cách deploy software theo kiểu phân cho computer

Hình 5.53 Di chuyển computer qua ou PY

Bước 2 Tạo GPO trên OU PY

Bước 3 Tại Computer Configuation, right click Software install, chọn Properties

Bước 4 Chọn đường mạng đến chương trình, chọn Advanced

Bước 5 Tại Deployment chọn Asigned

Bước 6 Khi mở computer lên, tự động nó sẽ được cài đặt phần mềm

Hình 5.57 tự động cài phần mềm

Bước 7 Kết quả sau khi Deploy

Hình 5.58 kết quả triển khai

1 Xem chính sách cục bộ của một máy tính ở xa (PC01)

2 Khai báo logon script dùng chính sách nhóm

3 Hạn chế chức năng của Internet Explorer

4 Chỉ cho phép một số ứng dụng được thi hành

1 Xem chính sách cục bộ của một máy tính ở xa (PC01) Để xem một chính sách cục bộ trên các máy tính khác trong miền, người xem phải có quyền quản trị trên máy đó hoặc quản trị miền

- Xem chính sách trên máy PC01, gõ lệnh GPEDIT.MSC /gpcomputer: PC01

2 Khai báo logon script dùng chính sách nhóm

- Mở Group Policy Object Editor, vào User Configuration\ Windows Setttings\ Scripts

Để thiết lập kịch bản đăng nhập, hãy nhấp đúp chuột vào mục Logon trong cửa sổ bên phải Trong hộp thoại xuất hiện, nhấn nút Add để chỉ định tên tập tin kịch bản cần thực thi khi đăng nhập Lưu ý rằng tập tin kịch bản phải nằm trong thư mục c:\windows\system32\grouppolicy\user\script\logon Thư mục này có thể thay đổi, vì vậy tốt nhất bạn nên nhấn nút Show Files ở dưới hộp thoại để kiểm tra thư mục chứa các tập tin kịch bản cụ thể (nội dung tập tin kịch bản có thể thay đổi tùy theo yêu cầu).

Để kiểm soát quá trình thi hành tập tin kịch bản, cần hiệu chỉnh chính sách "Run logon scripts visible" ở trạng thái Enable Trạng thái này giúp phát hiện lỗi phát sinh trong quá trình thi hành tập tin kịch bản, từ đó cho phép sửa chữa kịp thời Để thay đổi chính sách này, hãy nhấp vào mục User Configuration \ Administrative Templates \ System.

\ Scripts, sau đó nhấp đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái

3 Hạn chế chức năng của Internet Explorer Để người dùng máy trạm không được phép thay đổi bất kì thông số nào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options của công cụ Internet Explorer

In the Group Policy Object Editor, navigate to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel to access the features of Internet Explorer that can be restricted Here, you can select and lock the necessary functionalities as needed.

4 Chỉ cho phép một số ứng dụng được thi hành

In the Group Policy Object Editor, navigate to User Configuration > Administrative Templates Then, double-click on the "Run only allowed Windows applications" option to specify which software is permitted to execute.

- Cài đặt phần mềm từ xa cho nhiều máy tính client

- Chuyển các file exe sang.msi, zap

- Các cách triển khai, Assign → user, Assign → computer và Public → user

- Tạo GPO tắt các dịch vụ và phần mềm hệ thống

- Thao tác đúng các bước triển khai GPO trên Windows server 2019

Triển khai các GPO theo yêu cầu sau:

 Ẩn icon trên màn hình Desktop

 Ẩn item trong control panel

 Không cho sửa địa chỉ IP

 Khóa start menu and taskbar

 Không cho sử dụng ứng dụng

 Hiển thị câu chào khi đăng nhập

+ triển khai máy in tren hệ thống theo từng phòng ban

 Trình bày được các bước Deploy Office, Deploy phần mềm

 Trình bày được các bước Tạo GPO tắt các dịch vụ và phần mềm hệ thống

 So sánh giữa System Policy và Group Policy

Master the essential steps for deploying Office on Windows Server 2019, including the deployment of system software Ensure the correct execution of tasks to create Group Policy Objects (GPO) to disable system services and software effectively.

Kỹ năng đánh giá thực hành là rất quan trọng, bao gồm khả năng triển khai Office, cài đặt phần mềm, và tạo Group Policy Object (GPO) để tắt các dịch vụ cùng phần mềm hệ thống.

CẤU HÌNH ADDITIONAL DOMAIN CONTROLLER TRÊN

Khái niệm Additional Domain Controller

An Additional Domain Controller (ADC) serves as a solution for load balancing and failover within a Domain Controller system In a network, there can be one or multiple Additional Domains User authentication data and DNS information are synchronized between the Primary Domain Controller (PDC) and the Additional Domain Controllers (ADC).

Cả ADC và PDC đều có khả năng chứng thực và phân giải DNS tương tự nhau nhờ vào việc đồng bộ dữ liệu giữa các server Khi một trong các server gặp sự cố, hoạt động của domain vẫn không bị ảnh hưởng Hệ thống cũng có khả năng phân bổ công việc chứng thực cho các server khác.

Bộ điều khiển miền AD bổ sung được sử dụng để cân bằng tải giữa các bộ điều khiển miền hiện có Nếu bộ điều khiển miền AD gặp sự cố, bộ điều khiển miền AD bổ sung có thể được sử dụng để xác thực, từ đó đảm bảo tính liên tục của hoạt động kinh doanh.

Each Domain Controller maintains its own database, and adding an Additional Domain Controller creates another database However, these two databases are always synchronized, ensuring that if the Primary Domain Controller fails, the Additional one is ready to take over, thereby maintaining performance.

Trong các hệ thống Active Directory lớn, việc chỉ có một Domain Controller có thể dẫn đến quá tải khi nhiều người dùng đồng thời yêu cầu chứng thực Nếu Domain Controller này gặp sự cố, toàn bộ hệ thống sẽ ngừng hoạt động và người dùng sẽ không thể được chứng thực Để khắc phục tình trạng này, bài viết sẽ hướng dẫn triển khai Additional Domain Controller hoạt động song song với Domain Controller chính, nhằm đảm bảo hệ thống luôn sẵn sàng và hoạt động liên tục.

Trường hợp sử dụng Additional Domain Controller

Trường hợp1: Hệ thống có nhiều site chi nhánh

Công ty có trụ sở chính tại Cần Thơ và các chi nhánh ở Kiên Giang đã triển khai đường truyền kết nối cơ sở hạ tầng như Lease Line và VPN để đảm bảo hệ thống mạng giữa hai địa điểm có thể liên lạc hiệu quả.

Hiện nay, hệ thống mạng tại trụ sở chính được quản lý theo mô hình Active Directory với domain CDNCT.COM Để đồng bộ hóa, bạn muốn hệ thống mạng tại Kiên Giang cũng sử dụng mô hình Active Directory thuộc domain này, vì vậy đã thực hiện việc kết nối các máy tại Kiên Giang vào domain CDNCT.COM.

Để đảm bảo hệ thống chứng thực tại Kiên Giang hoạt động ổn định, cần cấu hình thêm một máy Domain Controller (Global Catalog Server) tại đây Giải pháp là thiết lập thêm một ADC tại Site Kiên Giang nhằm hỗ trợ chứng thực cho người dùng, giúp quá trình đăng nhập không phụ thuộc vào đường truyền WAN và tăng tốc độ truy cập.

Hệ thống chỉ có 1 site Cần Thơ nhưng có số lượng user lớn Khi log on, DC sẽ bị quá tải và gây ra tình trạng nghẽn mạng

Hệ thống hiện tại chỉ có một Site tại Cần Thơ và một Data Center (DC), do đó quy mô hệ thống tương đối nhỏ Mặc dù hệ thống đang hoạt động ổn định, nhưng nếu DC gặp sự cố, toàn bộ hệ thống công ty sẽ bị ảnh hưởng nghiêm trọng và thời gian khôi phục sẽ kéo dài.

Mô hình

Hình 6.1 Mô hình Additional Domain Controller

Cấu hình Additional Domain Controller

4.1 Triển khai IP cho các máy Đặt IP trên máy DC:

Hình 6.2- IP trên DC Đặt IP trên máy Additional DC

Hình 6.3- IP trên Additional DC

Kiểm tra kết nối từ máy ADC đến máy PDC bằng lệnh Ping

Hình 6.4 – kiểm tra thông mạng Đặt IP trên máy Client

4.2 Cài dịch vụ Active Directory Domain Additional

Trên máy Additional Domain Controller vào Server Manager chọn Add roles and feature

To begin the installation process, select "Add roles and features" in the Before You Begin section Next, choose the installation type and select the destination server, then click Next In the Select Server Roles section, choose "Active Directory Domain Services," add the required features, and proceed by clicking Next.

Hình 6.7- chọn Active Directory Domain serveices Ở các mục còn lại next đến hết và ấn Install để cài đặt

4.3 Cấu hình Additional Domain Controller (ADC)

Bước 1: Tiến hành cài Additional Domain Controler o Cách 1: Chọn -> Promote This Server to a Domain Controller theo hình

Hình 6.8 Cửa sổ chọn Promote This Server to a Domain Controller

- Cách 2: Chọn -> Promote This Server to a Domain Controller từ Server

Hình 6.9 Cửa sổ cài đặt từ Server Manager

- Cách 3 Chọn start-> run->dcpromo.exe

- Ở mục Deployment configuration chọn add a new forest

- Nhập tên Domain Controller vào Root domain name

Hình 6.10 Cửa sổ Deployment configuation

Bước 3: Sau đó nó bắt chúng ta nhập tài khoản Administrator trong domain

Hình 6.11 Xác nhận Administrator trong domain

Bước 4: Ở mục Select a domain from the forest chọn cdnct.com và ấn OK

Hình 6.11 Xác nhận tên Domain

Bước 5:Tại Domain Controller Options, bạn có thể đánh dấu chọn vào ô Domain

Name System (DNS) server để cài đặt thêm DNS cho ADC Mục này không bắt buộc Tuy nhiên bạn nên cài để tăng tính chịu lỗi cho DNS

Bước 6: Ở mục domain controller option nhập password để khi AD lỗi có thể truy cập chế độ restore DSRM

Hình 6.12 Cửa sổ đặt Password

Bước 7: Ở mục DNS Option, Additional option chúng ta ấn next và chọn install để tiến hành nâng cấp lên Domain controller

Hình 6.13 Cửa sổ DNS Option

Bước 8: Tiếp theo ở màn hình Additional Options, mục Replicate from, bạn lựa chọn Domain mà bạn muốn đồng bộ

Chọn Replicate là máy PDC sau đó click Next,

Hình 6.14 Cửa sổ Additional option

Bước 9: Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của

AD, log files và SYSVOL click Next,

Bước 10: Thông báo của Additional Domain Controler

Hình 6.16 Màn hình Review option

Step 11: On the Prerequisites Check screen, receiving the message "All prerequisites check passed successfully" indicates that the conditions for installing the ADC have been met Click Install to begin the installation process.

Hình 6.17 Màn hình Prerequisites Check

Bước 12: Sau khi hoàn tất, máy tính sẽ khởi động lại

Hình 6.18 Màn hình xác nhận khởi động lại

Bước 13: Sau khi khởi động, mở Server Manager kiểm tra

Hình 6.19 Màn hình Server Manager

Vào Server manager trên con Additional DC chọn Active directory user computer ta thấy các OU, group, user trên máy DC chính đã được đồng bộ sang máy ADC

Hình 6.20 Kết quả Additional Domain Controler

Cài đặt và cấu hình Additional Domain Controler theo mô hình sau:

Hình 6.21 mô hình Additional Domain Controler (cntt.cdnct.com)

Triển khai IP cho các máy Đặt IP trên máy DC:

• Prefered DNS: 172.10.1.10 Đặt IP trên máy Additional DC

• Prefered DNS: 172.10.1.10 Đặt IP trên máy Client

Cài dịch vụ Active Directory Domain Additional, tham khảo các bước thưc hiện mục 4.2 ở bài 6 của giáo trình

Cấu hình Additional Domain Controller (ADC), tham khảo các bước thưc hiện mục 4.3 ở bài 6 của giáo trình

- Đặt IP cho đúng yêu cầu của hệ thống

- Cài đặt Cài dịch vụ Active Directory Domain Additional

- Cấu hình Additional Domain Controller (ADC)

- Hệ thống mạng đảm bảo để các máy truy cập ổn định

- Thao tác đúng các bước triển khai Active Directory Domain Additional trên hệ thống Windows server 2019

Để đảm bảo việc chứng thực người dùng và phân giải DNS cho hệ thống liên tục và hiệu quả, cần xây dựng ít nhất một Additional Domain Controller theo mô hình đã đề xuất.

 Trình bày được tầm quan trọng của Active Directory Domain Additional trên hệ thống

 Trình bày được các bước Tạo GPO tắt các dịch vụ và phần mềm hệ thống

 So sánh giữa System Policy và Group Policy

+ Thao tác thành thạo các bước Deploy Office trên Windows Server 2019 Thao tác thành thạo các bước cài đặt, cấu hình Active Directory Domain Additional

+ Thực hiện đúng các thao tác cài đặt, cấu hình Active Directory Domain Additional trên hệ thống windows server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác cài đặt, cấu hình Active Directory Domain Additional trên hệ thống windows server 2019

CẤU HÌNH READ-ONLY DOMAIN CONTROLLER TRÊN

Giới thiệu Read – Only Domain Controller (RODC)

The Read-Only Domain Controller (RODC) is a new type of Domain Controller introduced with Windows Server 2008 It enables businesses to easily deploy a domain controller in locations with inadequate security.

Unlike Domain Controllers and Additional Domain Controllers, which are considered Fully Writable Domain Controllers capable of writing data to the Active Directory Domain Services (AD DS) database, Read-Only Domain Controllers (RODC) only maintain a read-only copy of the AD DS database from Fully Writable Domain Controllers By default, user and computer credentials are not replicated to RODCs To enhance user authentication with an RODC, you must configure the Password Replication Policy (PRP) to specify which user credentials are allowed to be cached on the RODC.

 Chức năng của RODC là để củng cố an ninh tại các phòng ban chi nhánh đặt tại trụ sở chính

Hình 7.1 Mô hình Read- Only Domain Controller

Một số khó khăn trong việc quản lý phòng ban chi nhánh

Máy chủ được đặt tại trụ sở chính, cho phép người dùng kết nối qua liên kết WAN (Internet) Tuy nhiên, nhược điểm của phương thức này là nếu liên kết WAN gặp sự cố, các phòng ban và chi nhánh sẽ không thể truy cập vào máy chủ, dẫn đến việc bị cách ly khỏi hệ thống tài nguyên mạng.

Nếu liên kết WAN vẫn hoạt động nhưng hiệu suất kém do tốc độ chậm hoặc tắc nghẽn băng thông, việc kết nối sẽ gặp nhiều khó khăn.

Để đảm bảo truy cập vào Server khi có sự cố liên kết WAN, cần đặt tối thiểu một Domain Controller (DC) tại chi nhánh Tuy nhiên, giải pháp này có nhược điểm về chi phí, bao gồm việc mua thêm Server, bản quyền hệ điều hành và thuê thêm quản trị viên cho Server.

 Các máy chủ đặt xa trung tâm dữ liệu thường không có tính giám sát cao, tính bảo mật không cao

Vậy nên Read-Only Domain Controller sẽ giải quyết những vấn đề này RODC giống các DC khác ngoại trừ CSDL của AD không thể ghi trực tiếp

Việc triển khai RODC tại các chi nhánh giúp giảm tải cho máy chủ chính ở trung tâm, vì chỉ có lưu lượng bản sao được phép gửi đến.

– RODC cải thiện vấn đề bảo mật vì người dùng tại chi nhánh không thể thay đổi bất kỳ thứ gì trong CSDL của AD

– Không có bất kỳ thông tin nào được tạo ra trên RODC (các thông tin tài khoản người dùng được lưu trên miền chỉ đọc)

– Nếu có ai đó đánh cắp RODC thì họ cũng không sử dụng được Server này – Chức năng của người quản trị RODCs:

Bạn có thể chỉ định bất kỳ ai làm quản trị viên RODC để quản lý nội bộ trên máy chủ mà không cần can thiệp vào Active Directory (AD).

+ Người này chỉ được phép cài đặt, vá lỗi những phần mềm, thực hiện nhiệm vụ bảo dưỡng định kỳ

+ Việc chỉ định ai đó làm quản trị RODC giống như bổ nhiệm ai đó quản trị nội bộ 1 số lượng người nhất định.

Cấu hình Read-Only Domain Controller trên Windows Server 2019148

Nếu công ty bạn có trụ sở chính tại thành phố Hồ Chí Minh và một chi nhánh tại Hà Nội, việc triển khai đường truyền kết nối cơ sở hạ tầng như Lease Line hoặc VPN sẽ giúp hai hệ thống mạng ở hai địa điểm này liên lạc hiệu quả với nhau.

Hiện nay, hệ thống mạng tại trụ sở chính được quản lý theo mô hình Active Directory với domain CDNCT.COM Để đồng bộ hóa, bạn đã kết nối các máy tại Hà Nội vào cùng domain CDNCT.COM, nhằm quản lý hệ thống mạng tại đây theo mô hình Active Directory.

Để đảm bảo sự ổn định cho hệ thống chứng thực tại Hà Nội, cần cấu hình thêm một máy Domain Controller (Global Catalog Server) tại đây Tuy nhiên, do chi nhánh Hà Nội không có bộ phận IT và không đảm bảo an ninh cho Domain Controller, chúng ta chỉ muốn máy này lưu trữ mật khẩu và chứng thực cho các tài khoản người dùng tại Hà Nội Giải pháp cho nhu cầu này là triển khai một Read-Only Domain Controller tại Hà Nội, một chức năng đã bị loại bỏ sau Windows Server NT nhưng đã trở lại từ Windows Server 2008.

Trong bài viết này, chúng tôi giả định rằng máy chủ PDC và RODC đã kết nối thành công Tuy nhiên, để các Site Hồ Chí Minh và Hà Nội có thể giao tiếp, bạn cần cấu hình kết nối qua VPN hoặc Lease line Các bài viết tiếp theo sẽ hướng dẫn chi tiết cách cấu hình VPN giữa các Site.

Cấu hình server W2K19-DC làm Primary Domain Controller quản lý tên miền CDNCT.COM, W2K19-SRV01 làm Read-Only Domain Controller Trên con Primary

DC tạo các OU, Group và User tương ứng với các phòng ban Trên máy DC, đã có sẵn OU Hà Nội, không phải là CANTHO trên con PDC Các bạn có thể tùy ý chỉnh sửa theo nhu cầu.

Nâng cấp W2K19-SRV01 thành RODC thuộc miền CDNCT.COM ( join vào domain )

Sau khi cấu hình xong RODC ngắt kết nối với PDC và sử dụng máy IT4VNWIN10CLIENT-01 để kiểm tra

3.1 Triển khai IP cho các máy Đặt IP trên máy DC:

Hình 6.2- IP trên DC Đặt IP trên máy Read-Only DC

Hình 6.3- IP trên Additional DC

Kiểm tra kết nối từ máy ADC đến máy PDC bằng lệnh Ping

Hình 6.4 – kiểm tra thông mạng Đặt IP trên máy Client

Tạo OU, Group, User như hình trên

Hình 7.2 Tạo OU, Group, User

Thực hiện Join vào Domain, đăng nhập bằng tài khoản CDNCT\administrator

Hình 7.3 Join vào Domain CDNCT

3.2 Cài đặt Read-Only Domain Controller

Trên máy W2K19-SRV01 cài đặt dịch vụ Active Directory Domain Services

Hình 7.5 Cài đặt DC trên W2K19-SRV01

Click vào Promote this server to a domain controller

Hình 7.6 cửa sổ Promote this server to a domain controller

Tại cửa sổ Deployment Configuration, click chọn vào Add a domain controller to an existing domain

Hình 7.7 Add a domain controller to an existing domain

Tại cửa sổ Domain Controller Options, click chọn vào Read only domain controller (RODC) và đặt mật khẩu DSRM

Hình 7.8 Cấu hình Read only domain controller (RODC)

Tại cửa sổ RODC Options, tại mục Delegated administrator account, click chọn vào Select…

Hình 7.9 Cửa sổ Delegated administrator account

Add vào tài khoản anhtt trong miền, ta sẽ ủy quyền quản trị cho user này

Hình 7.10 Chọn User ủy quyền quản trị cho user

Click vào Add tại mục Accounts that are allowed to replicate passwords to the

RODC, add tài khoản anhtt

Hình 7.11 Chọn User quản lý password

Tại cửa sổ Additional Options, click vào Next

Hình 7.12 cửa sổ Additional Options

Click vào Install để cài đặt

Hình 7.13 cửa sổ cài đặt

Máy chủ tự động reset, đăng nhập lại bằng tài khoản CDNCT\administrator Vào lại dịch vụ Active Directory User and Computer

Hình 7.14 cửa sổ Active Directory User and Computer

Tại mục Domain Controllers, click chuột phải tại đây chọn Precreate RODC account…

Hình 7.15 cửa sổ Precreate RODC accoun

Tại cửa sổ Welcome to the Active Directory…., click chọn vào Use advanced mode installation

Hình 7.16 cửa sổ chào mừng

Tại cửa sổ Network Credentials, click vào Next

Hình 7.17 cửa sổ Network Credentials

Tại cửa sổ Specify the Computer Name, nhập vào tại mục Computer name: RODC

Hình 7.18 cửa sổ nhập tên máy tính

Hiện ra cửa sổ Select a Site, click vào Next

Hình 7.19 cửa sổ Select a Site

Tại cửa sổ Additional Domain Controller Options, click vào Next

Hình 7.20 cửa sổ lựa chọn thêm DC

Tại cửa sổ Specify the Password Replication Policy, click vào Add…

Hình 7.21 cửa sổ Specify the Password Replication Policy

Chọn vào Allow passwords for the account to replicate to this RODC

Hình 7.22 cửa sổ cho phép RODC

Add vào tài khoản anhtt

Hình 7.23 cửa sổ thêm User

Tại cửa sổ Delegation of RODC Installation and Administration, click vào Next

Hình 7.24 cửa sổ Delegation of RODC Installation and Administration

Tại cửa sổ Summary, click vào Next

Tại cửa sổ Active Directory Users and Computers, trong mục Domain Controllers, click chuột phải tại W2K19-SRV01, chọn Properties

Trong cửa sổ W2K19-SRV01 Properties, chuyển sang tab Password Replication

Hình 7.28 cửa sổ Password Replication Policy

Thực hiện add thêm máy WIN10CLIENT-01 vào

Hình 7.29 cửa sổ thêm Client

Chuyển sang máy WIN10CLIENT-01 join vào domain CDNCT.COM

Hình 7.30 cửa sổ join DC

Sau khi máy WIN10 CLIENT khởi động lại log in vào tài khoản CDNCT\anhtt đã được ủy quyền

Hình 7.31 cửa sổ đăng nhập

Chuyển sang máy W2K19-DC ngắt kết nối card mạng với RODC

Hình 7.32 cửa sổ ngắt kết nối card mạng với RODC

Và ta thấy server RODC vẫn hoạt động độc lập mà không phụ thuộc vào PDC nữa

Cài đặt và cấu hình Additional Domain Controler theo mô hình sau:

Hình 7.21 mô hình Additional Domain Controler (cntt.cdnct.com)

Triển khai IP cho các máy Đặt IP trên máy DC:

• Prefered DNS: 172.10.1.10 Đặt IP trên máy Additional DC

• Prefered DNS: 172.10.1.10 Đặt IP trên máy Client

Cài dịch vụ Active Directory Domain Additional, tham khảo các bước thưc hiện mục 4.2 ở bài 6 của giáo trình

Cấu hình Additional Domain Controller (ADC), tham khảo các bước thưc hiện mục 4.3 ở bài 6 của giáo trình

- Đặt IP cho đúng yêu cầu của hệ thống

- Cài đặt Cài dịch vụ Active Directory Domain Additional

- Cấu hình Additional Domain Controller (ADC)

- Hệ thống mạng đảm bảo để các máy truy cập ổn định

- Thao tác đúng các bước triển khai Active Directory Domain Additional trên hệ thống Windows server 2019

Để duy trì tính liên tục và hiệu quả cao trong việc chứng thực người dùng và phân giải DNS, cần xây dựng ít nhất một Domain bổ sung theo mô hình Read-Only Domain Controller.

 Trình bày được tầm quan trọng của Read-Only Domain Controller trên hệ thống

 Trình bày được các bước đặt IP cho hệ thống hệ thống

 Trình bày thạo các bước cài đặt, cấu hình Read-Only Domain Controller

+ Thao tác thành thạo các bước đặt IP cho hệ thống

Thao tác thành thạo các bước cài đặt, cấu hình Active Directory Domain Additional

+ Thực hiện đúng các thao tác cài đặt, cấu hình Read-Only Domain Controller trên hệ thống windows server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác cài đặt, cấu hình Read-Only Domain Controller trên hệ thống windows server 2019

LOAD BALANCING TRÊN WINDOWS SERVER 2019

về load balancing

Cân bằng tải, hay còn gọi là thiết bị cân bằng tải internet và server, là phương pháp phổ biến nhằm tối ưu hóa nguồn lực, tối đa hóa thông lượng và giảm thời gian phản hồi Phương pháp này giúp ngăn chặn tình trạng quá tải trên các máy chủ và đường truyền internet.

Thiết bị cân hàng tải load balancing internet và server đều được sử dụng với mục đích hỗ trợ cho hệ thống máy chủ server và internet

Giải pháp cân bằng tải (Network Load Balancing) giúp phân bổ lưu lượng truy cập đồng đều giữa nhiều máy chủ trong cùng một hệ thống, từ đó giảm thiểu tình trạng quá tải và ngưng hoạt động của máy chủ Khi một máy chủ gặp sự cố, hệ thống sẽ tự động chuyển giao công việc sang các máy chủ còn lại, nâng cao thời gian hoạt động (uptime) và cải thiện năng suất tổng thể.

1.2 Lợi ích của Load balancing

Nâng cao khả năng đáp ứng, hạn chế trạng thái quá tải trên máy chủ, đảm bảo tính linh hoạt và mở rộng cho hệ thống

Tăng cường độ tin cậy và khả năng dự phòng cho hệ thống là rất quan trọng Thiết bị này hỗ trợ nâng cao tính khả dụng cao (High Availability - HA) cho hệ thống, đồng thời đảm bảo rằng khách hàng không gặp gián đoạn dịch vụ khi xảy ra sự cố tại một điểm sản xuất của nhà cung cấp.

Tăng cường bảo mật cho hệ thống bằng cách xử lý yêu cầu qua bộ cân bằng tải, giúp ngăn chặn người dùng giao tiếp trực tiếp với máy chủ Điều này không chỉ ẩn thông báo và cấu trúc mạng nội bộ mà còn ngăn ngừa các cuộc tấn công mạng và các nhà sản xuất không phù hợp hoạt động trên các cổng khác.

Tăng tính bảo mật thiết bị cân bằng tải sẽ tiếp nhận và xử lí thông tin được gửi đến sau đó chuyển chúng tới hệ thống máy chủ

Các thiết bị cân bằng tải không chỉ giúp tối ưu hóa hiệu suất mạng mà còn có khả năng ngăn chặn người dùng truy cập trực tiếp vào máy chủ, từ đó bảo vệ thông tin nội bộ quan trọng khỏi sự xâm nhập trái phép của hacker.

Khả năng mở rộng là yếu tố quan trọng giúp xử lý sự gia tăng đột biến lượng traffic, ảnh hưởng lớn đến hiệu suất của server Cân bằng tải cho phép thêm nhiều server vào nhóm, đáp ứng hiệu quả với số lượng request ngày càng tăng cao.

Tăng cường khả năng đáp ứng và ngăn ngừa tình trạng quá tải cho hệ thống máy chủ và đường truyền internet, đồng thời đảm bảo tính linh hoạt và khả năng mở rộng của hệ thống.

Thiết bị cân bằng tải trang bị tính năng hiện đại, giúp tăng cường khả năng dự phòng cho hệ thống, nâng cao tính High Availability và ngăn chặn sự cố gián đoạn dịch vụ tại các điểm cung cấp.

1.3 Nguyên lí hoạt động hiết bị cân bằng tải load balancing

Thiết bị cân bằng tải tạo ra một địa chỉ IP ảo cho mạng bên ngoài, địa chỉ này được ánh xạ với các địa chỉ máy chủ nội bộ.

Lớp IP này giúp ngăn chặn các thiết bị bên ngoài truy cập trực tiếp vào máy chủ nội bộ, cho phép chỉ truy cập vào cấu hình ảo đã được thiết lập.

Các hệ thống cân bằng tải lựa chọn máy chủ đám mây để chuyển tiếp yêu cầu dựa trên hai yếu tố chính: khả năng phản hồi chính xác của các máy chủ và quy tắc đã được cấu hình sẵn để lựa chọn một hoặc nhiều máy chủ phù hợp.

Hệ thống cân bằng tải chỉ chuyển tiếp dữ liệu đến các server backend "khỏe mạnh" bằng cách thường xuyên kiểm tra sức khỏe của chúng thông qua các giao thức và cổng được thiết lập Nếu một server không đáp ứng yêu cầu kiểm tra sức khỏe, nó sẽ tự động bị loại bỏ khỏi hệ thống cho đến khi có thể phản hồi lại.

1.4 Cân bằng tải có thể xử lý loại giao thức dữ liệu nào?

Quản trị viên của hệ thống cân bằng tải có thể tạo các quy định chuyển tiếp đối với bốn loại giao thức chính:

- HTTP – Chuẩn cân bằng HTTP trực tiếp yêu cầu dựa trên cơ chế HTTP chuẩn

Bộ cân bằng tải thiết lập các tiêu đề X-Forwarded-For, X-Forwarded-Proto và X-Forwarded-Port để truyền đạt thông tin về các yêu cầu gốc đến hệ thống backend.

HTTPS hoạt động tương tự như HTTP nhưng có thêm mã hóa để bảo mật dữ liệu Mã hóa có thể được duy trì từ đầu đến cuối qua SSL, hoặc có thể sử dụng bộ giải mã trên hệ thống cân bằng tải để gửi dữ liệu không mã hóa đến cuối hệ thống.

TCP có thể được cân bằng cho các ứng dụng không sử dụng HTTP hoặc HTTPS, ví dụ như lưu lượng truy cập vào một cụm cơ sở dữ liệu có thể được phân phối đều trên tất cả các máy chủ.

- UDP – Gần đây, một số hệ thống đã hỗ trợ cân bằng tải cho giao thức Internet cốt lõi như DNS và syslogd sử dụng UDP

Cấu hình NIC Teaming trên Windows

NIC Teaming là tính năng cho phép kết nối nhiều Card mạng (NIC) vật lý thành một NIC logic, mang lại khả năng cân bằng tải (Load-Balancing) và độ sẵn sàng cao (High Availability) cho hệ thống mạng doanh nghiệp Khi một trong các Card mạng gặp sự cố, các Card còn lại sẽ tự động đảm nhận kết nối mà không cần phần mềm bên thứ ba.

NIC Teaming là một tính năng tích hợp trong Windows Server 2019, tương tự như Bonding trên Linux Khi sử dụng NIC Teaming, bạn cần tắt Firewall để đảm bảo hoạt động hiệu quả Tính năng này cho phép chuyển đổi lưu lượng mạng sang card NIC Teaming khi các card mạng khác bị quá tải, giúp cân bằng tải một cách hiệu quả.

NIC Teaming trên Windows Server 2019 hỗ trợ tất cả các loại NIC và cho phép kết hợp các hãng khác nhau trong cùng một nhóm Ngoài tính năng Load Balancing, NIC Teaming còn cung cấp khả năng Fault Tolerance, giúp tăng cường độ tin cậy cho hệ thống mạng.

Ta có sơ đồ bài Lab như sau:

Hình 8 1 Mô hình NIC Teaming

Trên con Server 2016 ta mở Server Manager lên

In the Local Server section, we observe that NIC Teaming is currently disabled on this server, which displays three network cards designated for configuration: VM Network, WAN, and DMZ.

Hình 8 3 Cửa sổ Local Server

To configure NIC Teaming, click on the "Disable" option In the "Adapters and Interfaces" section, hold the Ctrl key and select all three network cards, then choose "Task" and click on "Add to new team."

Trong cửa sổ chọn card mạng, tại bảng New team, hãy điền tên cho card mạng mới, bao gồm tất cả các card mạng cũ (tên có thể tùy ý, ở đây mình sẽ đặt là NIC Teaming) Sau đó, hãy đánh dấu chọn vào 3 card mạng mà bạn cần cấu hình.

Team name:điền tên của Team cần tạo – trường hợp này là NIC Teaming

Member adapters: chọn NIC cần thêm vào team – trường hợp này chọn 3 NIC đầu Addional properties: Lựa chọn những thuộc tính đi kèm

Cấu hình Static Teaming yêu cầu thiết lập trên cả switch và host để xác định các liên kết tham gia vào card mạng gộp Do được cấu hình thủ công, kiểu này không cần giao thức bổ sung để hỗ trợ việc xác định đường truyền và phát hiện lỗi trong quá trình thiết lập Static Teaming thường được hỗ trợ bởi các switch server-class và được sử dụng phổ biến để chia tải giữa các card mạng trong hệ thống.

 Switch Independent: các card mạng được kết nối vào các switch khác nhau, cung cấp các đường truyền dự phòng cho hệ thống mạng

 LACP: giao thức để tạo EthernetChanel

Dynamic teaming, hay còn gọi là IEEE 802.3ad, là một phương pháp hoạt động dựa trên giao thức Link Aggregation Control Protocol (LACP) theo tiêu chuẩn IEEE 802.1ax Giao thức LACP tự động xây dựng và điều chỉnh các card mạng gộp, đồng thời xác định các kết nối giữa switch và host sẽ tham gia vào card mạng gộp Để sử dụng tính năng này, yêu cầu các thiết bị phải hỗ trợ LACP.

 Address Hash: dùng cho máy thật

 Hyper-V Port: dùng cho máy ảo

+Standby Adapter: đây là chức năng Fault Tolerance

 Non (all adapters Active): tất cả đều active và chạy LoadBalancing ( k có Fault Tolerance )

 Tên adapter 1… : nếu chọn Adapter 1, thì adapter 1 sẽ về chế độ standby, nếu có NIC nào fail nó sẽ lên làm active

 Tên adapter 2…: tương tự như trên

Mình sẽ setup cấu hình NIC Teaming như sau,vì 3 card mạng này không nằm cùng dải nên mình sẽ sử dụng Switch Independent

Hình 8.5 Cửa sổ Switch Independent

Ta thấy sau khi cấu hình nó báo bị faulted các bạn đợi 1 lúc thì card mạng sẽ active lên

Hình 8.6 Cửa sổ card mạng active

Như vậy là chúng ta đã thành công

Hình 8.7 Cửa sổ card mạng active thành công

Chúng ta đã có một card mạng mới mang tên Nic teaming Hãy thiết lập IP cho card mạng này giống như card LAN, với card DMZ có IP là 2, để nó có thể trỏ DNS về Domain Controller và phân giải tên miền CDNCT.vcode.ovh.

Hình 8.8 Cửa sổ đặt IP

Tất cả các card mạng còn lại đã bị vô hiệu hóa mọi tính năng, ngoại trừ tính năng Multiplexor để hỗ trợ gộp card mạng NIC Teaming Hiện tại, chỉ còn một card NIC Teaming hoạt động, đảm nhận toàn bộ chức năng cho các card còn lại, coi như chúng vẫn đang chạy.

Hình 8.8 Cửa sổ card mạng Nic Teaming

Chúng ta đã mix 3 card mạng ở 3 dải khác nhau, dẫn đến việc thử Ping giữa Server và Client bị fail Nguyên nhân là do Client không kết nối với dải VM Network và WAN Để khắc phục, chúng ta cần disable 2 card mạng này và chỉ giữ lại card DMZ.

Hình 8.10 Cửa sổ Disable card mạng

Và kết quả nó đã Ping thông với nhau

Hình 8.10 Cửa sổ Ping thông mạng

Để tránh việc phải tắt bất kỳ card mạng nào, chúng ta nên cấu hình NIC Teaming cho ba card mạng LAN, giúp chạy một số dịch vụ hiệu quả hơn Cấu hình NIC Teaming cho ba card mạng LAN tương tự như khi kết hợp ba card mạng khác dải, và phương pháp này hoàn toàn khả thi.

Triển khai cân bằng tải Web

3.1 Giới thiệu cân bằng tải Web

Một website với khả năng mở rộng cho phép đáp ứng nhu cầu người dùng tăng nhanh chóng và dễ dàng nâng cấp theo tình hình mới Ban đầu, các website này được thiết kế để phục vụ hàng triệu yêu cầu mỗi ngày và có thể mở rộng thêm khi cần thiết Để xử lý hàng chục triệu lượt truy cập mỗi ngày, website cần đảm bảo khả năng mở rộng, tính linh hoạt, tính đáp ứng, và tính sẵn sàng cao, đồng thời giảm thiểu thời gian chết của hệ thống, bảo trì hiệu quả và xây dựng với chi phí hợp lý.

Khả năng mở rộng là khả năng của một ứng dụng hỗ trợ lượng người truy cập ngày càng tăng Nếu một ứng dụng cần 10ms để đáp trả một yêu cầu, thì thời gian đáp trả cho 10.000 yêu cầu cùng lúc sẽ là bao lâu? Với khả năng mở rộng vô hạn, ứng dụng có thể đáp trả tất cả các yêu cầu này trong chỉ 10ms Do đó, khả năng mở rộng được đo bằng số lượng người dùng đồng thời mà một cụm server có thể hỗ trợ và thời gian cần thiết để xử lý một yêu cầu.

Thiết kế website với khả năng mở rộng cao là yếu tố quan trọng cho các công ty dịch vụ web hiện nay Để tồn tại và phát triển, website cần đáp ứng kịp thời các yêu cầu của người dùng.

Hiệu năng của hệ thống được xác định bởi khả năng sử dụng tài nguyên một cách hiệu quả Chẳng hạn, trong trường hợp hai server có cấu hình giống nhau, server nào có thể phục vụ nhiều người dùng hơn (khi người dùng chạy các ứng dụng tương tự) sẽ được coi là có hiệu năng cao hơn.

Khả năng có sẵn cao đề cập đến tình trạng dư thừa trong hệ thống máy chủ Khi một máy chủ không thể xử lý một yêu cầu, các máy chủ khác trong cùng một cluster sẽ đảm nhận nhiệm vụ đó, đảm bảo tính liên tục và ổn định của dịch vụ.

Trong một hệ thống có tính sẵn sàng cao, khi một web server gặp sự cố, một server khác sẽ ngay lập tức tiếp quản để xử lý yêu cầu Điều này đảm bảo rằng nếu người dùng đang làm việc với một server bị lỗi, toàn bộ thông tin làm việc của họ sẽ được chuyển giao cho server khác để tiếp tục hoạt động mà không bị gián đoạn.

Người dùng luôn được phục vụ tốt nhất khi truy cập vào các dịch vụ của hệ thống, đảm bảo rằng mọi trường hợp đều được đáp ứng đầy đủ.

Tính đáp ứng là khả năng của hệ thống trong việc phục vụ người dùng mọi lúc mọi nơi, đồng thời xác định thời gian phản hồi của hệ thống là bao lâu.

Tính đáp ứng của hệ thống tỉ lệ thuận với tốc độ gửi phản hồi; khi thời gian trì hoãn tăng lên, khả năng đáp ứng sẽ giảm đi.

Khi người dùng truy cập vào một trang web mà phải chờ đợi lâu để tải dữ liệu, họ có thể sẽ tìm việc khác để làm và quên mất dịch vụ web đó, dẫn đến việc đóng trình duyệt hoặc quay lại sau một thời gian dài Điều này gây lãng phí lớn, vì hệ thống vẫn hoạt động và giữ phiên session mà không phục vụ cho ai Tính đáp ứng và hiệu năng là hai yếu tố độc lập; một hệ thống có hiệu năng tốt vẫn có thể có khả năng đáp ứng kém.

Tác động của thời gian ngừng hoạt động là một vấn đề phổ biến mà mọi hệ thống đều phải đối mặt, khi mà hệ thống không hoạt động và các chức năng chính bị gián đoạn Đây là một thách thức lặp đi lặp lại đối với các nhà phát triển hệ thống.

Một hệ thống hiệu quả giúp người dùng truy cập nhanh chóng, từ đó tăng cường sự hài lòng và số lượng người dùng Khi số lượng người dùng gia tăng, hệ thống có thể gặp phải tình trạng tắc nghẽn, buộc quản trị mạng phải giải quyết vấn đề này để duy trì hiệu suất tối ưu Điều quan trọng là kéo dài chu kỳ hoạt động của hệ thống, đảm bảo nó hoạt động tốt trong thời gian dài trước khi cần nâng cấp, đồng thời xây dựng một hệ thống có khả năng mở rộng lớn.

Hệ thống web cần dễ dàng bảo trì và có giá thành hợp lý Việc xây dựng một hệ thống như vậy gặp nhiều thách thức, đặc biệt là trong việc thiết kế website có khả năng mở rộng Các vấn đề quan trọng mà nhà phát triển phải giải quyết bao gồm cân bằng tải cho application server, database server, tổ chức lưu trữ dữ liệu trên đĩa cứng và cân bằng tải cho cache.

3.2 Cấu hình cân bằng tải Web

Hình 8.11 Mô hình cân bằng tải Web

3.2.1 Cài đặt Network Load Balancing

Từ giao diện Server Manager

Hình 8.12 Giao diện quản lý Server Manager

Click chọn Add roles and features -> next…->

Hình 8.13: Cài network Policy and Access Services

Hình 8.14: Cài network load balancing Click chọn network load balancing => install => Close => Restart lại máy

Trên máy Webserver 2 (tương tự như Webserver 1)

Quá trình tạo ra website thứ 2 trên Server 2 cũng tương tự như trên Server 1 Đã phân giải thành công website 2

Trong quá trình thiết lập cân bằng tải, một địa chỉ IP ảo được tạo ra, đại diện cho cả hai trang web Địa chỉ IP này nằm trong cùng một mạng với địa chỉ IP của hai máy chủ web.

Triển khai cấu hình trên máy Webserver 1

Hình 8.17: Giao diện newtwork Load Balancing Manager

Từ giao diện Server Manager -> Chọn Tools -> click chọn Network Load Balancing -> Right click chọn -> new Cluster

Host: nhập 192.168.4.90 (IP Webserver 1) -> Connect

Hình 8.18: Chọn Server web chính

Next -> next -> Add IPv4 address: 192.168.4.99 (Virtual IP) SM: 255.255.255.0

Ok -> next Full internet name: gõ www.ntbh.np-ip.org Click chọn Muticast

Tiếp theo Port Rules -> click Edit -> port Range

Giao diện Network Load Balancing -> www.ntbh.no-ip.org(192.168.4.99) ->

Right Click Chọn Add Host To Cluster -> Host: 192.168.4.91 (IP Webserver 2) ->

Hình 8.22: Tạo 1 host cluster IP Webserver 2

Thêm server web 2 vào sau đó trong load balancing sẽ có 2 server web

Hình 8.23: Network load balancing nhận 2 web Server

Trên máy client truy cập vào địa chỉ IP ảo sẽ vào server web2

Hình 8.24: Client truy cập vào Server web 2

Disible card mạng server web 2

Hình 8.25: Disbile card mạng Server 2

Truy cập vào lại IP ảo sẽ truy cập vào server web1

Hình 8.26: Truy cập vào Web 1

Disible card mạng server web1 đồng thời enable server web2

Hình 8.27: Disable card mạng Server 1

Hình 8.28: Máy client truy cập Web 2 khi enable card server 2

Cài thêm dịch vụ DNS để phân giải ip ảo cho tên CDNCT.COM / TENSV, sau đó truy cập vào tên CDNCT.COM / TENSV sẽ vào server web1

Hình 8.29: Máy client truy cập vào Web1 khi enable Server 1

Triển khai cân bằng tải File

Hiện nay, nhu cầu truy cập mạng ngày càng tăng cao, dẫn đến tình trạng quá tải cho các server cung cấp dịch vụ Việc đầu tư vào một server đơn lẻ với cấu hình mạnh mẽ sẽ tốn kém chi phí đáng kể Giải pháp hiệu quả là sử dụng một nhóm server hoạt động đồng thời dưới sự quản lý của một công cụ phân phối tải, giúp tối ưu hóa hiệu suất và giảm chi phí.

4.2 Cấu hình cân bằng tải cho File

Bước 1: Trên Namespace Server và File Server

Mở Server Manager ->Manage -> Add Roles and Features -> Next đến

Select Server Roles: Bung File and Storage Service -> Check vào DFS Namespace và DFS Replication

( Nếu File Server và Namespace Server riêng thì File Server cài DFS Replication, Namespace Server cài DFS Namespace)

Hình 8.30 cửa sổ Add Roles DFS

Next mặc định và Install

Làm tương tự cho 2019may2

Bước 2: Thực hiện trên File Server

Trên File Server: tạo và phân quyền các thư mục chứa dữ liệu

Trên máy 2019may1: tạo folder Data chứa 2 folder con (subfolder) là NhanSu(xóa group Users, Group Nhansu: Modify) và KeToan (xóa group Users, Group KeToan: Modify)

Trên máy 2019may2: tạo folder Data.bak chứa 2 subfolder: NhanSu.bak và KeToan.bak, phân quyền như trên

Lưu ý: 2019may2 có thể đặt tên folder giống như 2019may1 (tùy ý đặt tên)

Bước 3: Thực hiện trên Namespace Server

Tạo Namespace (khi tạo namespace phải chỉ định Namespace server)

Kiểm tra DFS Namespace service và DFS Replication service trên 2 máy phải ở trạng thái “ running”

Vào Server Manager -> Tools -> DFS Management

Hình 8.31 cửa sổ DFS Management

Chọn vào Namespace -> New Namespace

Namespace Server > Server: chỉ định namespace server, ta browse về máy 2019may1

Ta thấy cấu trúc namespace “ DataCongTy” được lưu trong folder DFS root

When sharing folder permissions within a namespace structure, it is essential to select the appropriate access level Administrators are granted full access, while other users are assigned read-only permissions, allowing them to view the structure without modifying it.

Hoặc ta co thể chọn use custom permissions: để phân quyền tùy nhu cầu -> NEXT Namespace Type: Domain-based namespace: (vì đang làm trên môi trường domain)

Sau đó bung Namespaces -> hiện ra đường dẫn luận lý: \\tuhocmang.local\DataCongTy Đường dẫn này chưa chứa dữ liệu nào Đây mới chỉ là yếu tố luận lý

Chọn vào đường dẫn -> Add Namespace Server

Ta Browse về server 2019may2 ( cấu hình 2 namespace để đảm bảo 1 trong 2 namespace bị failed thì người dùng vẫn có thể truy xuất dữ liệu)

Phần Edit Settings ta cũng phân quyền như trên -> OK

Qua tab Namespace Server, xuất hiện 2 Namespace Server

( 2 Namespace server sẽ tự đồng bộ namespace)

Bước 4: Tại File Server tạo Replicaiton group

Mở cửa sổ DFS Management

Chọn Namespaces -> Add Namespace to display: để đồng bộ với namespace server khác (nếu chưa tự đồng bộ) -> Browse về 2019may2

Chọn Replication -> New Replication Group

Do ta đang muốn cấu hình file server hướng đến mục tiêu thứ 1: chia tải và chịu lỗi nên chọn Multipurpose replicatiton group -> Next

Name of replication: DongBoDaTaCongTy -> Next

Add các máy làm File Server: ta add 2019may1 và 2019may2 -> Next

Hình 8.33 cửa sổ Replication Group Member

Topology Selection: Chọn Full Mesh -> Next

Replication Group Schedule and Bandwidth (đã nói ở đầu bài) Ta chọn 64MB Primary Member: chọn 2019may1

Folders to Replicate: Đồng bộ những folder nào

Local Path of folder to replicate: ta Browse về folder KeToan

Folder KeToan ta đã phân quyền NTFS rồi (mặc định là giữ lại các quyền NTFS trên folder )

Nếu muốn chỉnh quyền lại thì ta chọn Permissions

Ta thấy rằng, ta cần đồng bộ thêm folder NhanSu Nhưng ta chỉ cần add 1 folder KeToan thôi Các folder còn lại thì nên Add sau

Local Path Of KeToan on Other Member: Chỉ định folder sẽ đồng bộ với folder

KeToan Ta muốn folder KeToan trên 2019may1 sẽ đồng bộ với folder KeToan.bak trên 2019may2

Chọn Edit ->Enable ->Browse về folder KeToan.bak

Hình 8.35 cửa sổ folder KeToan.bak

To make the selected replicated folder on this member read-only, checking this option will ensure that the permissions on the folder KeToan.bak match those of the folder KeToan, aligning with the Primary Server's permissions At this stage, the system allows the selection of only one folder, which is why the Local Path for the folder to replicate is limited to a single folder on the server 2019may1.

Còn việc đồng bộ giữa NhanSu trên 2019may1 và NhanSu.bak trên 2019may2 ta sẽ làm sau

Hình 8.36 cửa sổ đồng bộ

Ta tiếp tục chọn New Replicated Folder để cấu hình cho folder NhanSu đồng bộ với folder NhanSu.bak

Mở DFS Management -> Namespace -> phải chuột \\tuhocmang.local\DataCongTy

Folder Target: Không khai báo gì cả -> OK

Data: là 1 thư mục mang tính cấu trúc (Loại 1) Bây giờ ta đi share và publish

Chọn Replication -> Add Replication to Display -> Chọn DongBoDataCongTy

Hình 8.37 cửa sổ dữ liệu đòng bộ

 Chọn vào DongBoDataCongTy -> Bên phải chọn Tab Replicated Folder -> Phải chuột KeToan -> Share and Publish in Namespace

 Publishing Method: Chọn Share and publish the replicated folder in a namespace -> Next

 Share Replicated Folder: chọn 2019may1

Nó yêu cầu ta share folder KeToan và share với quyền gì Ta chọn Edit Permission -

> cho everyone Full control (vì ta đã phân quyền NTFS rồi)

Sau đó chọn tiếp 2019may2 -> Edit

New: share name đặt là KeToan.bak cho dễ quản lý (share name đặt giống 2019may1 khó quản lý)

Namespace Path: Ta sẽ publish folder này ở cấp nào:

Ta Browse về Data => đường dẫn để truy xuất dữ liệu sẽ bắt đầu bằng:

New folder name: có thể tạo tên mới để che cấu trúc folder đi ( thay vì mặc định là

 Ta thấy KeToan đại diện cho KeToan và KeToan.bak

 Nếu muốn thay đổi đường dẫn ta vào Data -> KeToan -> Move Folder để đổi tên lại ( giả sử đổi lại như hình)

 Làm tương tự cho folder NhanSu (Share and Publish)

\\tuhocmang.local\DataCongTy\Data\KeToan -> tạo folder KT1

Trên folder KeToan và KeToan.bak xuất hiện folder KT1 ( đồng bộ)

Để khắc phục sự cố với card mạng 2019may2, bạn cần truy cập vào đường dẫn bình thường và xóa thư mục KT1 Sau đó, hãy kích hoạt lại card mạng 2019may2 Khi kiểm tra trong KeToan.bak, bạn sẽ nhận thấy thư mục KT1 đã bị mất do quá trình đồng bộ.

 Primary Server và Secondary Server là như nhau, chỉ khác là đường dẫn mặc định lấy tên folder của primary Server

 DFS Replication chỉ làm việc trên Domain

 DFS xây dựng trên môi trường workgroup chỉ hỗ trợ Load Balacing, không hỗ trợ Failover

 Triển khai cân bằng tải cho Webserver trên hệ thống Windows servver 2019

 Triển khai cân bằng tải cho Fle trên hệ thống Windows servver 2019

 Triển khai cân bằng tải cho NIC Teaming trên hệ thống Windows servver 2019

 Triển khai cân bằng tải cho Webserver trên hệ thống Windows servver 2019, tham khảo mục 4 ở bài 8 của giáo trình

 Triển khai cân bằng tải cho Fle trên hệ thống Windows servver 2019, tham khảo mục 3 ở bài 8 của giáo trình

 Triển khai cân bằng tải cho NIC Teaming trên hệ thống Windows servver 2019, tham khảo mục 2 ở bài 8 của giáo trình

- Đặt IP cho đúng yêu cầu của hệ thống, cho từng phần cân bằng tải

- Cài đặt và cấu hình NIC Teaming trên hệ thống

- Cài đặt và cấu hình Webserver trên hệ thống

- Cài đặt và cấu hình File trên hệ thống

- Thao tác đúng các bước triển khai cân bằng tải trên hệ thống Windows server

Hình 8.39 cân bằng tải cho Webserver

 Trình bày được tầm quan trọng của Load balancing trên hệ thống

 Trình bày được các bước triển khai Load Balancing NIC Teaming

 Trình bày được các bước triển khai Load Balancing Webserver

 Trình bày được các bước triển khai Load Balancing File

+ Thực hiện các tao tác thành thạo về Load Balancing NIC Teaming trên Windows Server 2019

+ Thao tác thành thạo các bước cài đặt, cấu hình Load Balancing Webserver + Thực hiện đúng các thao tác triển khai Load Balancing File trên hệ thống windows server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác triển khai Load Balancing Webserver, File, NIC Teaming trên hệ thống windows server 2019

PHUƠNG PHÁP VÀ NỘI DUNG ĐÁNH GIÁ

+ Có khả năng phát hiện các sự cố

+ Trình bày được các biện pháp sao lưu dự phòng

+ Đánh giá được các thông lượng đường truyền

+ Trình bày được việc cài đặt, cấu hình kết nối Internet

+ Có khả năng phát hiện và khôi phục Server bị hỏng

+ Có khả năng tinh chỉnh và giám sát mạng Windows Server

+ Triển khai được dịch vụ Routing and Remote Access (RRAS)

+ Có khả năng cài đặt và quản lý máy tính từ xa thông qua RAS

+ Xây dựng được một mạng riêng ảo VPN

+ Trình bày cấu hình additional domain controller trên windows server 2019 + Trình bày cấu hình read-only domain controller trên windows server 2019 + Trình bày load balancing trên windows server 2019

+ Cài đặt, gỡ bỏ được các phần mềm yểm trợ Terminal service

+ Thực hiện được việc tinh chỉnh và giám sát mạng Windows Server

+ Triển khai được dịch vụ Routing and Remote Access (RRAS)

+ Thực hiện được cài đặt và quản lý máy tính từ xa thông qua RAS

+ Xây dựng được một mạng riêng ảo VPN

+ Cài đặt và cấu hình được trên Windows Server

+ Thực hiện được các Rule theo yêu cầu

+ Triển khai cấu hình additional domain controller trên windows server 2019 + Triển khai cấu hình read-only domain controller trên windows server 2019 + Triển khai load balancing trên windows server 2019

 Cẩn thận, thao tác nhanh, chuẩn xác, tự giác trong học tập.

Tiêu đề	Giáo trình Quản trị mạng nâng cao
Tác giả	Nguyễn Hoàng Vũ
Trường học	Cần Thơ
Chuyên ngành	Quản trị mạng
Thể loại	sách giáo trình
Năm xuất bản	2021
Thành phố	Cần Thơ

Định dạng
Số trang	198
Dung lượng	12,66 MB