Giáo trình quản trị mạng nâng cao (nghề quản trị mạng trình độ cao đẳng)

DỊCH VỤ WINDOWS TERMINAL SERVICES

Tại sao phải dùng Terminal Services

Mục tiêu: Giới thiệu cho người học về chức năng của dịch vụ Terminal Services cùng với các lợi ích đạt được khi sử dụng dịch vụ này

Terminal Services is a remote administration service that allows administrators to perform management tasks from any client device.

Terminal Services require a powerful computer to function as the Terminal Services Server, capable of handling multiple user connections Additionally, client software must be run on this server Proper purchasing and configuration of all necessary licenses are essential when operating Terminal Services.

Lợi ích của Terminal Services

Terminal Services cung cấp nhiều lợi ích làm cho nó trở thành giải pháp ưu việt nhất cho mạng:

Việc triển khai Terminal Services trên Windows Server cho phép sử dụng nhiều tính năng của hệ điều hành này mà không cần cài đặt phiên bản đầy đủ trên từng máy Điều này mang lại lợi ích cho các máy tính có phần cứng không đủ mạnh để chạy Windows Server đầy đủ, giúp mở rộng khả năng phát triển và sử dụng hiệu quả hơn.

Sự hoạt động đồng thời của phần mềm thin client và các hệ điều hành độc lập cho phép người dùng mạng tận dụng hệ thống có sẵn trên máy của họ, đồng thời hưởng lợi từ môi trường Windows Server thông qua Terminal Services.

Sự phát triển ứng dụng được đơn giản hóa bằng cách cài đặt một bản sao trên máy chủ Terminal Services, giúp người quản trị dễ dàng quản lý Điều này đảm bảo rằng tất cả người dùng trong mạng đều có thể truy cập phiên bản mới nhất của ứng dụng mà không cần cài đặt và cập nhật riêng lẻ trên từng máy.

Quản trị từ xa máy chủ thông qua Terminal Services cho phép quản trị viên dễ dàng quản lý server mà không cần phải có mặt tại chỗ Tính năng này rất hữu ích khi người quản trị cần rời xa máy chủ trong một khoảng thời gian nhất định.

Mô hình xử lý của Terminal Services

Mục tiêu của bài viết là giới thiệu các thành phần của Terminal và chức năng của từng phần Bên cạnh đó, người học sẽ hiểu rõ yêu cầu để xác định ứng dụng nào sẽ được chia sẻ và loại phần cứng nào sẽ được sử dụng.

2.1 Các thành ph ầ n c ủ a Terminal Services

Hầu hết các hoạt động của Terminal Services diễn ra trên máy chủ Terminal Services, nơi tất cả ứng dụng hoạt động trong chế độ ứng dụng Terminal server chịu trách nhiệm gửi thông tin màn hình tới client và nhận input từ chuột và bàn phím Đồng thời, server cũng phải theo dõi các session đang hoạt động để đảm bảo hiệu suất và trải nghiệm người dùng.

When installing Terminal Services, the Remote Desktop Protocol (RDP) is automatically set up RDP is the essential connection that must be configured for clients to connect to the Terminal Server It is important to note that only one RDP connection can be configured per network card.

Terminal Services client, hay còn gọi là Terminal client, sử dụng công nghệ thin client để phân phối giao diện Windows Server Desktop tới người dùng Người dùng chỉ cần thiết lập kết nối với server để nhận thông tin đồ họa mà server gửi Quá trình này diễn ra một phần trên máy khách, cho phép chạy trên cả những máy tính cũ, bao gồm cả những máy không hỗ trợ cài đặt Windows Server.

2.2 Lập kế hoạch cấu hình Terminal Services

Trước khi triển khai Terminal Services, việc xác định ứng dụng cần chia sẻ và loại phần cứng sử dụng là rất quan trọng Những yêu cầu này để vận hành Terminal Services cần thiết hơn so với việc chạy Windows Server thông thường, đặc biệt khi người dùng sử dụng chế độ ứng dụng của máy chủ.

Yêu cầu đối với Server và Client

Mục tiêu: cho phép xác định các yêu cầu về phần cứng đối với server và client để đảm bảo hiệu suất hoạt động dịch vụ Terminal Services

3.1 Các yêu c ầ u đố i v ớ i Terminal Services server

Yêu cầu phần cứng cho một Terminal server phụ thuộc vào số lượng client kết nối đồng thời và nhu cầu sử dụng của từng client Để đảm bảo hiệu suất tối ưu, cần xem xét các yếu tố như CPU, RAM và băng thông mạng phù hợp với số lượng người dùng.

Nên lựa chọn kiến trúc bus hiệu suất cao như EISA, MCA hoặc PCI, vì bus ISA (AT) không đủ khả năng truyền tải dữ liệu cho lưu thông mạng phát sinh từ việc cài đặt Terminal Services thông thường.

Khi lựa chọn ổ đĩa cho hệ thống, cần xem xét sử dụng ổ đĩa SCSI, đặc biệt là các loại cao cấp như FAST SCSI hoặc SCSI-2 Để tối ưu hóa hiệu suất, việc kết hợp ổ đĩa SCSI với RAID sẽ giúp cải thiện thời gian truy cập bằng cách phân phối dữ liệu trên nhiều ổ đĩa khác nhau.

Để đảm bảo nhiều người dùng có thể truy cập vào Terminal server đồng thời, việc sử dụng bộ điều hợp mạng tốc độ cao là rất cần thiết Giải pháp tối ưu là lắp đặt hai bộ điều hợp mạng trong máy, trong đó một bộ được dành riêng cho lưu thông mạng RDP.

3.2 Các yêu c ầ u đố i v ớ i Terminal Services client

The Terminal Services client operates effectively on a variety of machines, including older systems and legacy devices that cannot install or run Windows Server The client software is compatible with the following devices:

• Các thiết bịđầu cuối nền Windows (nhúng)

• Các máy nền Intel và Alpha chạy Windows

• Các máy Macintosh và Unix (với các phần mềm của các hãng thứ 3)

Cài đặt gỡ bỏ các phần mềm hổ trợ cho Terminal Services

Mục tiêu: Trình bày các thao tác cài đặt Terminal Services Server, thêm người dùng vào danh sách người dùng được phép sử dụng Remote Desktop.

4.1 Cài đặ t Terminal Services Server

Bước 1: Trên RDS server, từ Server Manager chọn Add roles and feature

Hình 1.1 Hộp thoại Server Manager

Bước 2: Tại màn hình Before you begin, chọn Next

Hình 1.2 Hộp thoại Before you begin

Bước 3: Tại màn hình Select installation type, chọn Remote Desktop Services installatio

Hình 1.3 Chọn cài đặt Remote Desktop

Bước 4: Tại Select deployment type, có 3 lựa chọn

- Standard deployment: Triển khai tiêu chuẩn

- Quick start: Bắt đầu nhanh

- Multipoint services: Dịch vụđa điểm

Ta chọn Quick Start, và Next để tiếp tục

Hình 1.4 Lựa chọn hình thức cà đặt

Bước 5: Ở màn hình Select deployment scenario, có 2 lựa chọn

- Virtual machine-based desktop deployment: Triển khai máy tính dựa trên máy ảo

- Session-based desktop deployment: Triển khai máy tính dựa trên phiên làm việc

Ta chọn Session-based destop deployment, và nhấn Next tiếp tục

Hình 1.5 Hộp thoại Select deployment

Bước 6: Tiếp theo, ở Select a server, sẽ thấy thông tin hostname, IP và tên miền của server mà đang cài RDS

Bước 7: Confirm selections, chọn vào ô Restart the destination server automaticcally if required

Hình 1.7 Hộp thoại Confirm selections

Bước 8: Tiếp theo,sẽ thấy các phần đang được cài đặt

Hình 1.8 Hộp thoại đang cài đặt

Bước 9: Server có thể sẽ tựđộng khởi động lại, sau đó tiếp tục quá trình cài đặt

Bước 1: Đăng nhập vào server muốn cài đặt Terminal Services Server

Hình 1.10 Đăng nhập Server manager

Bước 2: Mở Add roles and Features

Nhấp vào Manage và chọn Add roles and Features

Hình 1.11 Mở Add roles and Features

Bước 3: Thực hiện theo wizard next

Chọn Role-based or feature-based installation Sau đó nhấp vào Next

Hình 1.14 Cửa sổ Before you begin

Bước 4: Chọn loại hình cài đặt

Hình 1.15 Cửa sổ Chọn loại Remote desktop cần cài

Bước 5: Để mặc định, Next cho để tiếp tục

Hình 1.16 Hộp thoại Select Feature

Bước 6: Click vào Install đểcài đặt

Hình 1.17 Hộp thoại Intall dịch vụ Remote desktop

Bước 7: Chờ quá trình cài đặt cho đến khi hoàn tất, click Close

Hình 1.18 Hoàn tất đặt dịch vụ Remote desktop

4.1.2 Cấu hình Remote Desktop trên Server

Bước 1: Chạy Server Manager và chọn Local Server trên bảng điều khiển bên trái, sau đó nhấp vào Disabled cho phần Remote Desktop

Hình 1.19 Hộp thoại Local Server

Bước 2: Chọn hộp Allow remote connections to this compute

Hình 1.20 Hộp thoại cho phép Remote Desktop

Bước 3: Thông báo rằng ngoại lệtường lửa cho Remote Desktop đã được kích hoạt, hãy nhấp vào nút OK

Bước 4: Chức năng Remote Desktop đã chuyển sang trạng thái Enabled

Hình 1.22 Cấu hình Remote Desktop thành công

4.1.3 Cấu hình Remote Desktop trên Client

Bước 1: Mở Properties, chuột phải vào This PC, Properties

Hình 1.23 Mở Properties của This PC

Hình 1.24 hộp thoại Remote setting

Bước 3: Chọn hộp Allow remote connections to this compute

Hình 1.25 Cho phép Remote Desktop

Bước 4: Click vào OK đểcho phép Remote Desktop, sau đó Appky để xác nhận

Hình 1.26 Xác nhận cho phép Remote Desktop

K ế t n ối Remote Desktop: Cài đặ t phía client

Bước 5: Nhấp chuột phải vào biểu tượng Windows, mở Run và nhập mstsc

Bước 6: Nhập tên máy chủ (hostname) hoặc địa chỉ IP cần kết nối, sau đó nhấn nút Kết nối Đối với các phần khác, bạn có thể thay đổi hoặc thiết lập bất kỳ thông số nào theo ý muốn.

Bước 7: Thông báo cho các certificate (chứng chỉ) được hiển thị như sau Nhấp vào

Hình 1.29 Cửa sổ chứng thực

4.2 Thêm người dùng vào nhóm Remote Desktop Users

Mặc định, tất cả các thành viên trong nhóm Administration được phép truy cập từ xa Để quản lý quyền truy cập này, bạn có thể thêm hoặc loại bỏ người dùng bằng cách mở Local Server.

Hình 1.30 Cửa sổ Local Server

To enable Remote Desktop, click on "Enable Remote Desktop," then select "Select Users" and click "Add." In the "Remote Desktop Users" dialog box, specify the users you wish to add or remove from the list.

Hình 1.31– Hộp thoại liệt kê người dùng được phép truy cập từ xa

Lưu ý: mặc định người dùng với quyền quản trị có thể truy cập từ xa vào máy tính này nên không cần thêm vào danh sách.

Tạo các máy khách Terminal service

Mục tiêu của bài viết là hướng dẫn các bước truy cập vào server qua Remote Desktop và cách thoát khỏi phiên làm việc trên server từ máy client Bài viết cũng giải thích ý nghĩa của các tùy chọn cấu hình liên quan, giúp người dùng hiểu rõ hơn về quy trình và các thiết lập cần thiết để tối ưu hóa trải nghiệm làm việc từ xa.

5.1 Truy cập từ client vào Terminal Server

Sau khi được cài đặt và cấu hình trên server, có thể truy cập từ client vào Terminal Server bằng một trong hai cách:

- Start -> Windows Accessories -> Remote Desktop Connection

Hình 1.32 –Hộp thoại chỉ định tên hay địa chỉ máy server cần kết nối

5.2 Tùy chọn cấu hình máy khách Remote Desktop

Trong hộp thoại Remote Desktop Connection, chọn Options:

- General: Lưu trữ thông tin đăng nhập và thông tin section

- Display: sử dụng các thiết lập trên server với máy client

- Local Resources: chỉ định tài nguyên cục bộ được sử dụng trong suốt phiên Remote Desktop

- Programs: cho phép các chương trình cụ thể được tự động kích hoạt mỗi khi một phiên từ xa được thiết lập

Kinh nghiệm: Quản lý các tính năng được kích hoạt hoặc vô hiệu hóa cho phiên làm việc từ xa, đồng thời cung cấp tùy chọn tự động tái lập kết nối khi phiên làm việc bị ngắt.

- Advanced: kích hoạt hoặc vô hiệu hoá xác thực từ xa.

5.3 Thoát khỏi phiên truy cập từ xa

Khi nhấn vào biểu tượng “X” trên máy client, phiên truy cập từ xa vẫn tiếp tục hoạt động trên server Để kết thúc phiên truy cập từ xa, hãy chọn Start và sau đó chọn Log Off để đóng phiên này.

Điều chỉnh các thiết định của tài khoản kết nối

Mục tiêu của bài viết này là hướng dẫn cách quản lý nhiều phiên kết nối đồng thời đến các server thông qua công cụ Remote Desktop Để thực hiện điều này, bạn cần sử dụng MMC Remote Desktops Đầu tiên, mở cửa sổ Run từ menu Start và gõ lệnh tsmmc.msc Sau đó, chọn Remote Desktops ở khung bên trái và nhấn vào Add a new connection từ menu để thêm kết nối mới.

Hình 1.32 –Thêm kết nối truy cập từ xa (đồng thời)

Sau khi thêm kết nối, phiên kết nối truy cập từ xa sẽ xuất hiện trên cửa sổ chính

–Cửa sổ Remote Desktop Để chuyển đổi giữa các phiên, chọn tên của phiên bên cửa sổ trái, giao diện tương ứng sẽ được hiển thị.

Cấp phép sử dụng Terminal services

7.1 Cài đặt máy chủ Remote Desktop Licensing Để cài đặt Remote Desktop Licensing các mở Server Manager và chọn Add Roles and Features Wizard

Chọn Role based or features based installation và Next

Chọn máy chủ để cài đặt Role, do có 1 máy chủ nên đã được chọnsẵn Click Next

Phần Server Roles chọn Remote Desktop Services và Next

Hình 1.34 –Cửa sổ Chọn Remote Desktop Services

Bỏ qua phần Feature và click Next

Phần Role Services chọn Remote Desktop Licensing và click Next

Hình 1.36 – Cửa sổ chọn Remote Desktop Licensing

Xác nhận các thông tin trước khi cài đặt, click Install để tiến hành cài đặt, chờ Cài đặt hoàn tất

Hình 1.36 –Cửa sổ cài đặt hoàn tát

7.2 Kích hoạt máy chủ Remote Desktop License Để sử dụng máy chủ License chúng ta cần kích hoạt máy chủ Máy cần kết nối Internet để tiến hành kích hoạt Để tiến hành kích hoạt chúng ta mở Control Panel => Administrative Tools => Remote Desktop Services => RD License Manager

Hình 1.37 điều khiển TS Licensing Manager

Click chuột phải vào server và chọn Properties

Hình 1.38 – Cửa sổ chọn Properties Ở tab Connection Method chúng ta chọn là Web Browser

Hình 1.39 –Cửa sổ Connection Method Điền các thông tin yêu cầu vào tab Required Information => OK

Hình 1.40 –Cửa sổ Required Information

Chuột phải vào server và chọn Activate server để tiến hành kích hoạt máy chủ

Một hộp thoại xuất hiện, click Next để bắt đầu

Connection Method, chọn Web Browser

Hình 1.41 –Cửa sổ chọn Web Browser Để tiến hành click vào đường link trong hộp thoại, một cửa sổ web sẽ mở ra

Hình 1.42 –Cửa sổ chọn đường link

Chọn ngôn ngữ (English) và check chọn Activate a license server => Next

Hình 1.43 –Cửa sổ chọn ngôn ngữ

Copy và paste Product ID, nhập tên công ty và quốc gia => Next

Hình 1.44 Cửa sổ chọn điền thông tin

Review lại thông tin và Next

Hình 1.45 Cửa sổ chọn xem thông tin

Kích hoạt thành công, copy chuỗi mã kích hoạt

Dán chuỗi mã kích hoạt vào hộp thoại và click Next

Hình 1.47 Điền thông tin mã kích hoạt

Hoàn tất kích hoạt máy chủ Remote Desktop License

Bài tập thực hành của học viên

2 Cấu hình và quản lý Terminal Services.

3 Thực hiện Remote Desktop từ client

4 Thêm bản quyền cho máy chủ Remote Desktop License

5 Kích hoạt Remote Desktop Services

- Cài đặt Terminal Services Server

- Cài đặt Terminal Services Licence Server

- Cho phép account có quyền sử dụng Terminal Services

- Cài đặt Terminal Services Client

2 Cấu hình và quản lý Terminal Services

- Khởi động Terminal Services Manager

- Theo dõi và quản lý các user đang connect

3 Thực hiện Remote Desktop từ client

4 –Thêm bản quyền cho máy chủ Remote Desktop License

Sau khi đã kích hoạt máy chủ bản quyền thành công, chúng ta tiến hành thêm bản quyền cho máy chủ này

Click chuột phải vào máy chủ license và chọn Install Licenses

Một hộp thoại xuất hiện, click Next để tiếp tục

Click vào đường link trong hộp thoại, một cửa sổ web sẽ hiện ra

Hình 1.50 Chọn vào đường link

Chọn ngôn ngữ (English) và check chọn Install Client Access Licenses và click Next

Dán license server id, tên công ty và quốc gia

Chọn License Program là Other (*)

Product type chọn Remote Desktop Services (Per device hoặc per user nếu muốn)

Nhập số lượng license vào mục Qualtity

Hình 1.53 Nhập số lượng license

Review lại thông tin trước khi click Next

Hình 1.54 Review lại thông tin

Kích hoạt thành công, copy dòng mã

Hình 1.55 Kích hoạt thành công

Paste dòng mã đã copy vào hộp thoại như ảnh và click Next

Hình 1.56 nhập dòng mã Đã hoàn thành việc thêm license

Hình 1.57 Kích hoạt hoàn thành

5 –Kích hoạt Remote Desktop Services

Sau khi đã có máy chủ license đang vận hành, chúng ta tiến hành kích hoạt cho

In this article, I configure the Remote Desktop Session Host alongside the license server, using "localhost" for this setup If you are using a different server configuration, you will need to input the IP address of the license server The image below illustrates the RD License Diagnoser window prior to activation, specifically for Remote Desktop services.

Desktop Services chưa kết nối được với máy chủ bản quyền

Hình 1.58 cửa sổ Desktop Services Để cập nhật máy chủ bản quyền cho Remote Desktop Service, chúng ta cần chỉnh một vài tùy chọn trong Group Policy

Chạy lệnh Run => gpedit.msc

Local Computer Policy => Computer Configuration => Administrative Templates => Windows Components => Remote Desktop Services => Remote Desktop Session Host

Nhập IP máy chủ bản quyền vào và OK

Hình 1.60 cửa sổ Nhập IP máy chủ

Select the remote desktop licensing mode

Các có thể tùy chọn Per device hoặc per user (tương ứng với máy chủ bản quyền) và

Hình 1.61 cửa sổ chọn Per device

Chạy lệnh Run => gpupdate /force

Khởi động lại máy, RD Licensing Diagnoser báo như ảnh dưới.

Hình 1.62 cửa sổ RD Licensing Diagnoser

Vậy là chúng ta đã hoàn tất việc kích hoạt cho máy chủ Remote Desktop Services.

Những trọng tâm cần chú ý:

- Cấu hình máy phải đảm bảo yêu cầu

- Thực hiện đúng các thao tác Cài đặt Terminal Services

- Cấu hình và quản lý Terminal Services

- Thực hiện Remote Desktop từ client

- Thêm bản quyền cho máy chủ Remote Desktop License

- Kích hoạt Remote Desktop Services

- Chọn đúng ngôn ngữ, múi giờ, và bàn phím nhập liệu và mã kích hoạt bản quyền của Microsoft

- Thao tác đúng các bước trên Windows server 2019

Bài mở rộng và nâng cao

Hãy cài đặt nâng cấp tăng số lượng kết nối Remote Desktop trên Windows server 2019

Yêu cầu đánh giá kết quả học tập

 Trình bày được các bước Cài đặt Terminal Services trên Windows Server 2019

 Trình bày được các bước cài đặt, cấu hình Terminal Services

 Trình bày được các bước kích hoạt Remote Desktop Services

+ Thao tác thành thạo các cài đặt Terminal Services trên Windows Server 2019 + Thực hiện đúng các thao tác cài đặt, cấu hình Terminal Services

+ Thực hiện đúng các bước kích hoạt Remote Desktop Services

 Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc

 Về kiến thức: Đánh giá bằng hình thức kiểm tra viết, trắc nghiệm, vấn đáp

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác cài đặt, cấu hình, kích hoạt Terminal Services trên Windows Server 2019

 Năng lực tự chủ và trách nhiệm: Tỉ mỉ, cẩn thận, chính xác, linh hoạt và ngăn nắp trong công việc.

TINH CHỈNH VÀ GIÁM SÁT MẠNG WINDOWS SERVER

Tổng quan về công cụ tinh chỉnh

All system log-related issues are integrated within Windows through two main tools: Event Viewer and Reliability and Performance Monitor.

Quan sát các đường biểu diễn hiệu năng bằng Performance Monitor

The article aims to provide a detailed guide on using the Performance Monitor tool to monitor specific counters of objects and the Reliability Monitor tool to assess the reliability of a system To access these tools, navigate to the Start menu, select Run, and enter "perfmon.msc" in the Run dialog box.

Performance Monitor là công cụ mạnh mẽ để giám sát các counter, cho phép người dùng dễ dàng thêm hoặc bớt các counter thông qua các nút + và X Mặc định, hệ thống giám sát ba đối tượng chính: Memory, PhysicalDisk và Processor Các thuộc tính đặc trưng của từng đối tượng bao gồm: Memory với Pages/sec, PhysicalDisk với AVG Disk Queue Length, và Processor với % Processor Time.

Hình 2.1 – Giao diện Performance Monitor

To add counters for a specific object, click the '+' button to open a window Figure 2.2 illustrates the addition of the %user time attribute for the Processor.

Hình 2.2 – Thêm các counter vào theo dõi

Sau đó loại bỏ toàn bộ các counter khác của các đối tượng khác và chỉ giám sát mỗi counter % User Time của processor mà thôi – xem hình 2.3

Hình 2.3 –Giám sát counter % User Time của đối tượng Processor

Để lưu lại cài đặt, bạn chỉ cần nhấp chuột phải vào cửa sổ và chọn "Save Settings As…" với định dạng HTML Định dạng này cho phép bạn xem trực tiếp hoặc kiểm tra các quá trình đã được ghi lại trong hệ thống (hình 2.6).

Hình 2.6 –Xem lại các thiết lập đã được ghi lại bởi định dạng file html

2.2 Reliability Monitor Độ tin cậy của một hệ thống là thước đo mức độ thường xuyên hệ thống hoạt động như là cấu hình và dự kiến sẽ thực hiện Độ tin cậy có thể giảm khi ứng dụng ngừng đáp ứng, dừng và khởi động lại các dịch vụ, khởi tạo các trình điều khiển bị lỗi, hoặc trong trường hợp xấu nhất, khi hệ điều hành bị lỗi

Reliability Monitor cung cấp thông tin tổng quát một cách nhanh chóng

The Reliability Monitor estimates the System Stability Index, providing a stability chart that allows for quick identification of potential issues.

Hình 2.7 –Biểu đồ ước tính chỉ số ổn định hệ thống

Ghi lại sự kiện hệ thống bằng công cụ Event Viewer

Event Viewer là công cụ tích hợp trên Windows, cho phép người dùng theo dõi và xem xét chi tiết các sự kiện đã xảy ra trong hệ thống, bao gồm các thông tin quan trọng như người dùng, thời gian, máy tính và dịch vụ.

The Event Viewer organizes events into distinct categories for each application, with a default server installation featuring sections such as Application, Security, and System To access the Event Viewer, open the Server Manager by right-clicking the Computer icon, selecting Manage, and then navigating to Event Viewer.

Hình 2.8 – Event Viewer chia các vùng log riêng biệt cho các ứng dụng

Application log ghi lại các sự kiện từ các ứng dụng của các nhà sản xuất như Symantec và các ứng dụng email Thông thường, thiết lập trong application log là mặc định của các ứng dụng, do đó người dùng chỉ có thể đọc mà không thể thay đổi cài đặt.

Hình 2.9 – các sự kiện được lưu lại trong application log

3.2 Security log Đây là một trong những log quan trọng nhất trong hệ thống, nó ghi lại toàn bộ các thiết lập audit trong group policy

Hình 2.10 –Thiết lập audit trong group policy

Sau khi logoff ra và login vào sẽ thấy ghi lại trong security log (hình 2.11)

Hình 2.11 – Xem lại event logon vào hệ thống của các user

After logging into the computer and accessing the Event Viewer, we can identify that the system has recorded the username "vangtrang," computer name "vnexperts," event type "success audit," and the timestamp "8:10:06 PM."

System log được thiết lập mặc định của hệ thống giúp chúng ta xem lại các sự kiện: Bật, tắt, pause, disable, enable các services của hệ thống

Chẳng hạn,một service bật bị lỗi trong thời điểm nào nó sẽ ghi lại trong system log của event viewer

Hình 2.12 – Xem một event trong system log (với thông tin là Server đã bị lỗi do trong mạng LAN có máy tính trùng tên hoặc trùng địa chỉ IP)

Log properties giúp chúng ta cấu hình dung lượng file log, cách xoá các event cũ đi như thế nào, và những tính năng lọc các sự kiện

Hình 2.13 – Tab General của Security Properties Đây là thiết lập cho security properties: Với file log tên là gì và ở đâu:

%SystemRoot%\System32\Winevt\Logs\Security.evtx

Dung lượng tối đa cho file log là 20480 KB, nhưng có thể được cấu hình để lớn hơn hoặc nhỏ hơn Nếu dung lượng file log vượt quá 20480 KB, hệ thống sẽ tự động xóa các sự kiện cũ theo thuật toán First in - First out (FIFO).

Sử dụng Task Manager

Windows Task Manager là công cụ hữu ích cho phép người dùng theo dõi các ứng dụng, quá trình và dịch vụ đang hoạt động trên máy tính Người dùng có thể khởi chạy hoặc dừng các chương trình, cũng như dừng các quá trình không cần thiết Ngoài ra, Task Manager cung cấp thông tin thống kê quan trọng về hiệu suất của máy tính và mạng Để mở Task Manager, người dùng có thể sử dụng một trong nhiều phương pháp khác nhau.

• Nhắp phải vào vùng trống trong taskbar và chọn Task Manager

• Nhấn Ctrl-Alt-Delete, sau đó nhắp Task Manager

Các tab trong Task Manager sau khi được mở:

Hình 2.14 – Tab Applications - danh sách các chương trình đang chạy

Tab Applications liệt kê danh sách các chương trình đang chạy trên máy tính Các ứng dụng chạy trong System Tray sẽ không xuất hiện trong danh sách này

1 Nếu muốn thoát một chương trình, chọn chương trình và chọn nút End Task Tuy nhiên, cách thoát này có thể làm mất những thông tin chưa được lưu

2 Để mở một chương trình, chọn chương trình và chọn nút Switch To

3 Để khởi chạy một chương trình mới, nhắp New Task Sau đó đánh vào lệnh hoặc nhắp Browse để duyệt đến ứng dụng Chức năng này làm việc tương tự như Run trong menu Start

Tab Processes hiển thị danh sách các quá trình đang hoạt động trên hệ thống Khi kết thúc một quá trình, dữ liệu chưa được lưu sẽ bị mất, vì vậy cần nắm rõ mục đích của quá trình đó trước khi thực hiện Việc dừng các quá trình hệ thống có thể dẫn đến sự cố và ảnh hưởng đến hoạt động của hệ thống.

Hình 2.15 – Tab Processes - danh sách các quá trình (process) đang chạy

1 Để kết thúc một quá trình của một ứng dụng đang chạy, nhắp phải vào entry ứng dụng trong tab Applications và nhắp Go To Process Quá trình ứng dụng sẽ được đánh dấu trong tab Processes

2 Để kết thúc một quá trình đã được đánh dấu, nhắp End Process

3 Nhắp phải vào quá trình và sau đó nhắp End Process Tree để kết thúc quá trình đó cũng như các quá trình có liên quan

Services là các chương trình hỗ trợ chạy ở chế độ background Hầu hết các chương trình này sẽ khởi chạy tự động ở thời điểm khởi động máy tính.

Hình 2.16 –Services là các chương trình hỗ trợ chạy ở chế độ background

1 Để khởi chạy một dịch vụ, nhắp phải vào dịch vụ đã bị dừng và chọn Start

2 Để dừng một dịch vụ, nhắp phải vào dịch vụ đang chạy và chọn Stop Service

3 Để xem quá trình có liên quan với dịch vụ, nhắpphải vào dịch vụ đang chạy và chọn Go To Process Thao tác này sẽ cho phép phát hiện ra dịch vụ có ngốn nhiều tài nguyên hay không

Tab này hiển thị thông tin về hiệu suất hệ thống

1 Trong CPU Usage hiển thị tham số hiệu suất CPU và đồ thị sử dụng CPU CPU đa lõi sẽ có nhiều đường đồ thị hiển thị

2 Memory hiển thị tham số hiệu suất CPU và đồ thị hiệu suất

3 Phía dưới là các thống kê khác nhau về số handle, thread và process đang chạy cũng như hiệu suất sử dụng bộ nhớ

Hình 2.17 – Performance - thông tin về hiệu suất hệ thống

Hình 2.18 –Networking chứa các đồ thị dùng hiển thị hiệu suất sử dụng mạng

Tab Networking chứa các đồ thị dùng hiển thị hiệu suất sử dụng mạng Bên dưới các đồ thị sẽ có những thống kê bổ sung

Hình 2.19 - Users - hiển thị danh sách tất cả user có trạng thái tích cực

Trong tab Users hiển thị danh sách tất cả user có trạng thái tích cực (active) trong hệ thống

1 Đánh dấu user và nhắp Logoff để kết thúc phiên làm việc của người dùng đó

2 Đánh dấu user và nhắp Disconnect để kết thúc phiên làm việc của người dùng nhưng vẫn dự trữ trong bộ nhớ, sau đó người dùng có thể đăng nhập trở lại và tiếp tục công việc của họ.

1 Thiết lập giám sát một folder dữ liệu: giám sát toàn bộ các quá trình truy cập các action cụ thể với folder Trong ổ E có thư mục quan trọng (VNEDATA) việc cần thiết là đưa ra các thiết lập giám sát toàn bộ truy cập vào folder này

Khi cần lưu lại quá trình truy nhập trên một folder dữ liệu, cần phải thiết lập auditing trên folder đó Các thiết lập được thực hiện như sau:

- Nhắp phải chuột lên folder cần thiết lập auditing (chẳng hạn folder VNDATA), chọn Property;

- Từ cửa sổ (VNDATA) Properties, chọn tab Security, chọn Advanced;

- Trong cửa sổ Advanced Security Settings for (VNDATA), chọn nút Edit…;

- Khi xuất hiện hộp thoại mới, chọn nút Add…

- Đánh dấu chọn các đối tượng cần thiết lập, chọn OK

Sau khi thiết lập, restart lại máy và thử dùng mộtuser khác để đăng nhập và truy xuất vào folder VNDATA

Trở lại giao diện quản trị, nhấp đúp chuột vào sự kiện để mở hộp thoại Event Properties, nơi hiển thị các thông tin liên quan đến quá trình truy nhập.

Vào lúc 7:14:56 PM ngày 08/10/2019, người dùng dungtnq đã đăng nhập từ máy tính WWIN-JJOQ9UL2BDG Tính năng audit và xem lại các sự kiện giúp phát hiện các truy cập bất hợp pháp và xác định trách nhiệm cụ thể cho những kẻ phá hoại.

- Trình bày chức năng các công cụ: Counter Log, Trace log, Alert log trong System Monitor

- Ý nghĩa của các phân vùng trong event viewer: Application, Security, System

- Thực hiện các bước thêm, xem Counter Log, Trace log, Alert log trong System Monitor

- Thực hiện các bước giám sát phân vùng trong event viewer: Application,

- Thao tác đúng các bước trên Windows server 2019

Hãy cài đặt nâng cấp tăng số lượng kết nối Remote Desktop trên Windows server 2019

 Trình bày chức năng các công cụ: Counter Log, Trace log, Alert log trong System Monitor

 Trình bày ý nghĩa của các phân vùng trong event viewer: Application, Security, System

 Trình bày cách thực hiện các bước thêm, xem Counter Log, Trace log, Alert log trong System Monitor

 Trình bày cách thực hiện các bước giám sát phân vùng trong event viewer: Application, Security, System

+ Thao tác thành thạo các bước thêm, xem Counter Log, Trace log, Alert log trong System Monitor trên Windows Server 2019

+ Thực hiện đúng các thao tác giám sát phân vùng trong event viewer: Application, Security, System

 Về kiến thức: Đánh giá bằng hình thức kiểm tra viết, trắc nghiệm, vấn đáp.

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác thêm, xem Counter Log, Trace log, Alert log trong System Monitor trên Windows Server 2019

KHÔI PHỤC SERVER KHI BỊ HỎNG

Các biện pháp phòng ngừa

Để bảo vệ server khỏi các rủi ro, cần áp dụng một số biện pháp phòng ngừa hiệu quả Đầu tiên, hãy đảm bảo cập nhật thường xuyên các phần mềm và hệ điều hành để vá các lỗ hổng bảo mật Thứ hai, triển khai tường lửa và hệ thống phát hiện xâm nhập để giám sát và ngăn chặn các cuộc tấn công Cuối cùng, thực hiện sao lưu dữ liệu định kỳ để đảm bảo an toàn cho thông tin quan trọng trong trường hợp xảy ra sự cố.

- Duy trì nhiều bản sao đối với dữ liệu quan trọng, các server có vai trò quan trọng (chẳng hạn Domain Controller).

- Bảo vệ mạng về mặt vật lý

- Bảo vệdữ liệu hệ thống và dữ liệu người dùng bằng chiến lược lưu dự phòng hợp lý - Chuẩn bị kế hoạch khôi phục từng thời điểm

- Tìm hiểu cách server hoạt động để có thể giải quyết trục trặc và có thể ngăn ngừa phát sinh về sau

- Cài đặt các hotfix, patch,và service pack do nhà cung cấp phát hành.

Để bảo vệ dữ liệu quan trọng trên server, cần sử dụng các volume đĩa có tính chịu lỗi, cùng với phần mềm và phần cứng phù hợp Việc sao chép dữ liệu ra nhiều vị trí trên mạng sẽ giúp bảo vệ dữ liệu khỏi những tổn hại do các hỏng hóc không chỉ ở đĩa mà còn từ các sự cố khác của server.

Nguyên tắc dự phòng có thể áp dụng cho mạng, đặc biệt khi có nhiều Domain Controller, giúp đơn giản hóa quá trình khôi phục cho người quản trị khi một máy bị hỏng Thay vì phải khôi phục cấu trúc miền từ các bản sao lưu hoặc xây dựng lại hoàn toàn, quy trình sao chép có thể đảm nhận việc khôi phục một cách hiệu quả.

1.2 Bảo vệ điện năng cho server

Sử dụng UPS để bảo vệ điện năng cho server và thiết bị phần cứng mạng, giúp ngăn chặn tổn hại do sự thay đổi điện áp đột ngột Bảo vệ điện năng không chỉ bảo vệ thiết bị mà còn giúp ngăn ngừa mất mát dữ liệu.

1.3 Quan tâm về môi trường

Làm giảm các hỏng hóc do môi trường sinh ra bằng cách tránh xa môi trường

Để đảm bảo hiệu suất tối ưu cho phòng chứa server, cần phải duy trì điều hòa không khí và tránh ánh nắng trực tiếp Ngoài ra, cần phải giữ khoảng cách an toàn với các yếu tố có thể gây ô nhiễm và ảnh hưởng tiêu cực đến server.

1.4 Hạn chế tiếp cận server

Người dùng mạng hoặc những người không có quyền hạn không được phép truy cập vào server Điều này có nghĩa là người dùng thông thường không được thực hiện các thao tác nhất định trên server.

- Reboot hoặc tắt các server.

- Lấy đĩa cứng có chứa dữ liệu ra khỏi server khi chưa được phép

- Cài đặt lại hệ điều hành máy

- Hạn chế quyền truy cập vào server

1.5 Sử dụng hiệu quả password

- Không cho mạo danh lẫn nhau để sử dụng tài khoản và mật khẩu trên tài khoản

- Sử dụng mật khẩu có độ phức tạp cao - nếu phải crack thì cần phải có nhiều thời gian để thực hiện.

- Ngăn ngừa việc tiếpcận tài khoản của người khác.

2 - Cài đặt công cụ Backup trên Server 2019

Bước 1: Đăng nhập vào server muốn cài đặt Terminal Services Server

Bước 2: Mở Add roles and Features

Nhấp vào Manage và chọn Add roles and Features

Bước 3: Thực hiện theo wizard next

Chọn Role-based or feature-based installation Sau đó nhấp vào Next

Bước 4: Chọn loại hình cài đặt

Select Feature: check vào Windows Server Backup

Hình 3.1 Cửa sổ chọn Windows Server Backup

Bước 5: Tại Select Feature để mặc định, Next cho để tiếp tục

Bước 6: Click vào Install để cài đặt

Bước 7: Chờ quá trình cài đặt cho đến khi hoàn tất, click Close

Sau khi cài công cụ Windows Server Backup xong, Resatrt hệ thống

Các phương pháp sao lưu dự phòng

Mục tiêu của bài viết này là giới thiệu các phương pháp hiệu quả để phòng chống mất mát dữ liệu thông qua việc sử dụng công cụ Backup và Restore Việc áp dụng các phương pháp này không chỉ giúp bảo vệ dữ liệu mà còn là giải pháp khắc phục các sự cố hỏng hóc của server một cách nhanh chóng và an toàn.

Windows Server Backup cho phép tạo bản sao lưu ứng dụng và dữ liệu, giúp khôi phục hệ thống khi xảy ra sự cố với server Để thực hiện quá trình sao lưu này, cần tuân thủ các bước cụ thể.

Để lưu trữ bản sao, cần xác định vị trí phù hợp, như đĩa đính kèm hoặc thư mục chia sẻ từ xa Đảm bảo rằng đĩa cứng dùng để lưu trữ bản sao có kết nối trực tuyến và có dung lượng lớn hơn ít nhất 2,5 lần so với dung lượng cần lưu trữ.

3.1 Cách lưu dự phòngdữ liệu

Bước 1 Mở công cụ Backup:

Server manager -> Tools -> Windows Server Backup hoặc (start -> run -

> wbadmin.msc) hoặc từ cửa sổ Server Manager, chọn Storage, chọn Windows Server Backup

Ta có 2 tùy chọn backup

+ Backup once: chỉ backup 1 lần sau khi ta cấu hình

+ Backup Schdule: chạy theo lịch biểu mà ta thiết lập

Bước 2 Tại khung Actions, chọn Backup Schedule…

Bước 3 Khi hộp thoại Backup Schedule Wizard – Getting started xuất hiện, chọn Next;

Bước 4 Trong trang Select backup configuration, chọn kiểu backup, chọn Next

Hình 3.3 - Lựa chọn kiểu backup

+ Full server: sao lưu tất cả các volume trên server Đây là tùy chọn được khuyến cáo nên chọn

Để thực hiện sao lưu volume được chỉ định, bạn cần chọn tùy chọn "Custom" Trên trang "Select Items for Backup", hãy nhấn "Add Items" Tiếp theo, trong danh sách "Select Items", chọn volume mà bạn muốn sao lưu và nhấn "OK" để hoàn tất.

Bước 5: Tại Select Items for server: Chọn Add Items: để chọn nơi muốn backup

Ví dụ chọn folder Data trong ổ đĩa C -> Next

Hình 3.4 - Lựa chọn dũ liệu backup

Bước 6: Chọn loại backup thì sau khi chỉ định nơi backup, ta chọn Advanced setting -> tab VSS Settings

Windows Server Backup có 2 loại backup:

- VSS full backup : backup xong thì xóa luôn thuộc tính A.

VSS copy backup là phương pháp sao lưu dữ liệu mà không xóa thuộc tính A, phù hợp cho các máy chủ có phần mềm sao lưu khác đi kèm Điều này đặc biệt quan trọng vì các chương trình sao lưu thường dựa vào thuộc tính A để thực hiện quá trình sao lưu hiệu quả.

Hình 3.5 - Lựa chọn hình thức backup

Bước 7 Trong hộp thoại Specify Backup Time, chọn tần suất và thời điểm thực hiện backup rồi chọn Next;

Hình 3.6 - Tần suất và thời điểm thực hiện backup

+ Once a day: lịch biểu chạy 1 lần backup trong 1 ngày

+ More than once a day: lập lịch để chạy backup nhiều lần trong 1 ngày:

12hPM: backup trong giờ nghỉ trưa

12hAM: backup lần thứ 2 vào rạng sáng

(cần kết hợp với UPS để phòng trường hợp cúp điện (backup sẽ không diễn ra)

Bước 8 Trên trang Specify Destination Type: Chọn nơi lưu trữ file backup

Hình 3.7 Cửa sổSpecify Destination Type ổ

+ Back up to hard disk…: lưu file backup trên 1 ổ cứng khác (nên sử dụng, không nên lưu trên ổ đĩa chứa hệ điều hành)

+ Back up to a volume: lưu trên 1 phân vùng (chung ổ đĩa với HDH => không an toàn)

+ Back up to a shared network volume: lưu trên 1 share folder trong hệ thống mạng (không khuyên dùng)

Lưu ý : Không nên dùng cách thứ 3: do khi lập lịch back up (schedule) thì dữ liệu sẽ bị ghi đè (replace)

Trong khi 2 cách trên thì dữ liệu sẽ được lưu trữ nối tiếp (append) nghĩa là cách

3 chỉ có 1 bản backup trong khi 2 cách trên có bản back up cho từng thời điểm

Ta chọn cách 1 (do mình đã add thêm ổ cứng ảo) -> Next

Bước 9: Select Destination Disk: chọn ổ cứng để lưu file backup -> Next

Hình 3.7 Cửa sổ chọn đĩa lưu trữ

Bước 9 Trên trang Confirmation, xem các thông tin chi tiết rồi chọn nút Finish để hoàn tất

Hình 3.8 Cửa sổ xác nhận

– Chỉ có user trong group Administrators và Backup Operators mới có quyền thực thi chức năng backup

–Có thể tạo VHD file rồi attach vào disk management để lưu file backup (tạo thành ổ đĩa ảo chứa file backup) như bài Lab để tạo máy ảo

Khi làm việc với Windows Server Backup (WSB), mình có nhận xét như sau

WSB sử dụng VSS để tạo snapshot ngay khi phát hiện dữ liệu đang được sử dụng trong quá trình backup, đảm bảo rằng quá trình này không bị ảnh hưởng Việc áp dụng backup theo cấp độ khối giúp tăng tốc độ backup và tiết kiệm dung lượng lưu trữ Tuy nhiên, WSB cũng gặp phải một số hạn chế nhất định.

– Khi lập schedule thì mặc định backup sẽ chạy từ thứ 2 đến CN

-Không hỗ trợ lưu file backup ra Tape.

Khôi phục dữ liệu

4.1 Khôi phục file và Folder

Có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục các file và Folder từ bản sao lưu Trước khi bắt đầu, cần phải:

- Đảm bảo tồn tại ít nhất một sao lưu trên một đĩa ngoài hoặc trong Folder được chia sẻ từ xa

- Hãy chắc chắn rằng đĩa ngoài hoặc Folder được chia sẻ từ xa đang lưu trữ bản sao lưu là trực tuyến và có sẵn cho máy chủ

Xác định các file hoặc Folder muốn khôi phục Để khôi phục file hoặc Folder, sử dụng giao diện Windows Server Backup:

1 Từ Start menu, chọn Administrative Tools, chọn Windows Server Backup

2 Trong khung Actions chọn Recover để mở Recovery Wizard Trên trang Getting

Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next

3 Trên trang Select Backup Date, chọn thời điểm khôi phục, rồi chọn Next

4 Trên trang Select Recovery Type, chọn Files and folders, chọn Next

5 Chọn thư mục với các nội dung cần khôi phục trong trang Select Items to Recover, chọn Next

6 Trên trang Specify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục

7 Chọn phương thức khôi phục (tạo bản sao / Ghi đè …) rồi chọn Next:

8 Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọn Next

9 Chọn Recover trên trang Confirmation để khôi phục các đối tượng được chỉ định

4.2 Khôi phục ứng dụng và dữ liệu

Có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục ứng dụng và dữ liệu liên quan đến từ bản sao lưu.

Trước khi tiến hành, hãy đảm bảo rằng ít nhất một bản sao lưu của các ứng dụng đã được lưu trữ trên máy tính cục bộ hoặc trong một thư mục chia sẻ từ xa, và rằng đĩa chứa file backup đang trực tuyến hoặc thư mục chia sẻ từ xa có sẵn.

2 Trong khung Actions chọn Recover để mở Recovery Wizard Trên trang Getting Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next

4 Trên trang Select Recovery Type, chọn Applications, chọn Next

5 Lựa chọn các thiết lập liên quan đến ứng dụng cần khôi phục, chọn Next

6 Trên trang Specify Recovery Options, chọn vị trí để chứa các đối tượng khôi phục

8 Lựa chọn các thiết lập liên quan đến file hay Folder được khôi phục, chọn Next

Bạn có thể sử dụng Recovery Wizard trong Windows Server Backup để khôi phục lại đĩa Khi thực hiện khôi phục đầy đủ một đĩa, tất cả nội dung của đĩa sẽ được khôi phục.

2 Trong khung Actions chọn Recover để mở Recovery Wizard Trên trang Getting Started chọn một trong các tùy chọn This server hoặc Another server để chỉ định vị trí nguồn, sau đó chọn Next

4 Trên trang Select Recovery Type, chọn Volumes, chọn Next

5 Lựa chọn các thiết lập liên quan đến đĩa cần khôi phục, chọn Next

4.4 Khôi phục hệ điều hành và server

You can restore a server or its operating system using the Windows Recovery Environment along with a previously created backup from Windows Server Backup.

Có thể truy cập công cụ phục hồi và xử lý sự cố trong Windows Recovery Environment thông qua hộp thoại System Recovery Options trong Install Windows

Để khởi động công cụ Wizard trong Windows Server 2019, bạn cần sử dụng đĩa cài đặt Windows hoặc khởi động lại máy tính, nhấn F8 và chọn tùy chọn "Repair Your Computer" từ danh sách khởi động.

1 Đặt đĩa cài đặt Windows vào khay đĩa, khởi động lại máy, chờ xuất hiện cửa sổ Install Windows Wizard

2 Trong Install Windows, chọn ngôn ngữ cài đặt rồi chọn Next

4 Trên trang System Recovery Options, chọn System Image Recovery sẽ mở trang Re-image your computer

5 Lựa chọn phương thức khôi phục rồi chọn Next

6 Chọn nút Finish để hoàn tất.

5.Tìm và quản trị Pan phần cứng bằng công cụ System Information

Mục tiêu: Sử dụng công cụ System Information cho phép xem các thông tin hệ thống bao gồm:

- Tóm tắt thông tin hệ thống

- Tài nguyên về phần cứng hệ thống

- Thông tin cấu hình dành cho phần cứng của Server đối với thiết bị đang được sử dụng.

- Phần mềm đang được thực thi trên hệ thống Để sử dụng System Information, mở menu Start -> Run, gõ msinfo32.exe

System Summary hiển thị thông tin về hệ thống một cách tóm lược

Hình 3.3 – Thông tin từ System Summary

Folder Hardware Resources hiển thị thông tin về tài nguyên của hệ thống

Hình 3.4 – Thông tin từ Folder Hardware Resources

Folder Components hiển thị thông tin về tài nguyên của hệ thống cùng với các thiết bị đang được sử dụng.

Hình 3.5 – Thông tin từ Folder Components

Folder Software Environment hiển thị thông tin về các phần mềm đang được thực thi trên hệ thống

Hình 3.6 – Thông tin từ Folder Software Environment

Giải quyết các trục trặc trong quá trình khởi động

Yêu cầu khởi động lại phải khởi động lại máy tính sau khi áp dụng bản sửa lỗi này.

Thông tin thay thế cập nhật nóng

Hotfix này không thay thế bất kỳ hotfix nào khác.

Phiên bản tiếng Anh của bản cập nhật này trình bày các thuộc tính tệp mới, được liệt kê trong bảng dưới đây Ngày và giờ của các tệp này cũng được ghi rõ.

Giờ Quốc tế Phối hợp (UTC) là chuẩn thời gian được sử dụng toàn cầu Khi xem thông tin tệp, ngày và giờ sẽ được chuyển đổi sang giờ địa phương Để so sánh sự khác biệt giữa UTC và giờ địa phương, bạn có thể sử dụng tab Múi Giờ trong phần Ngày và Giờ của Pa-nen điều khiển.

Ghi chú thông tin tệp Windows Server

Các tệp liên quan đến một sản phẩm cụ thể, bao gồm bản gốc (RTM, SPn) và các chi nhánh dịch vụ (LDR, GDR), có thể được xác định thông qua việc kiểm tra số phiên bản tệp, như được trình bày trong bảng dưới đây.

Phiên bản Sản phẩm Bản gốc Chi nhánh dịch vụ

6.0.6001 18 xxx Windows Vista SP1 và Windows Server

6.0.6001 22 xxx Windows Vista SP1 và Windows Server

 Service Pack 1 được tích hợp vào Windows Server 2008

 Tệp MANIFEST (.manifest) và các tệp MUM (.mum) được cài đặt cho từng môi trường làliệt kê riêng MUM và tệp MANIFEST cũng như các bảo mật liên quan

(.cat) các tệp danh mục rất quan trọng để duy trì thestate của cấu phần được Cập

Nhật Tệp danh mục phân loại bảo mật (thuộc tính notlisted) được ký bằng chữ ký số Microsoft

1 Phục hồi dữ liệu System State

2 Khôi phục hệ điều hành và server

3 Lưu dự phòng dữ liệu đĩa C: gồm các thư mục: Documents and Settings, Program Files, Windows (tên file dự phòng: BACKUP, lưu vào đĩa D:\LUUTRU)

4 Khôi phục dữ liệu từ file dự phòng BACKUP

5 Thực hiện lưu dự phòng và khôi phục Active Directory trên server đang quản trị

6 Xem thông tin về hệ thống bằng công cụ System bao gồm:

1 Phục hồi dữ liệu System State

Quá trình phục hồi System State chỉ có thể tiến hành trong chế độ Directory

Services Repair Mode Do đó, cần đăng nhập vào Windows bằng tài khoản này để tiến hành quá trình phục hồi:

1 Khởi động lại server Nhấn F8 để hiện menu Advance Boot Options

Chọn Directory Services Repair Mode

2 Đăng nhập vào Windows bằng tài khoản Directory Services Restore Mode (DSRM)

Sau khi đăng nhập vào Windows ở chế độ Directory Services Repair Mode, sử dụng

Windows Server Backup để phục hồi dữ liệu System State theo các bước sau:

Bước 1 Chạy Windows Backup Server bằng cách vào Start > Administrative

Bước 2 Chọn Local Backup Ở box Actions bên phải, click Recover

Bước 3 Màn hình Getting Started xuất hiện, chọn A backup stored on another location

Bước 4 Ở màn hình Select Location Type, chọn nơi chứa file dữ liệu sao lưu System

State: Local drives hoặc Remote shared folder Click Next Ở màn hình kế tiếp, chọn nơi chứa file sao lưu Click Next

Bước 5 Chọn server cần phục hồi ở màn hình Select Server Click Next

Bước 6 Ở màn hình Select Backup Date, chọn ngày/giờ để Windows Server Backup hiển thị các bản sao lưu có thể sử dụng Click Next

Bước 7 Ở màn hình Select Recovery Type, chọn System state để phục hồi dữ liệu

Bước 8 Ở màn hình Select Location for System State Recovery, chọn Original location để phục hồi đè System state vào server hiện tại Click Next

Bước 9 Ở màn hình Confirmation, click Recover để bắt đầu quá trình phục hồi dữ liệu

2 Khôi phục hệ điều hành và server

Khởi động hệ thống và chọn Boot từ USB (hoặc đĩa) cài đặt Windows Server 2019 Chọn Repair your Computer

Hình 3 Cửa sổ Repair your Computer ổ

Hình 3 Cửa sổ System Image Recover

Tiếp theo Chọn nơi đã lưu Bản Backup -> Chọn Image phiên bản Backup mong muốn để Restore (lưu ý các thông tin về ngày giờ Backup, …)

Hình 3 Cửa sổ Image phiên bản Backup

Chọn bản Backup rồi nhấn Next:

Hình 3 Cửa sổ Chọn bản Backup

Cửa sổ báo: Hệ thống sẽ được Phục hồi theo File lưu trữ như sau:

 Date and Time: ngày giờ File Backup đã được lưu trữ (thời điểm hệ thống sẽ phục hồi trở lại)

 Computer: tên Hệ thống sẽ phục hồi

 Drives to restore: các ổ đĩa sẽ được phục hồi

Sau khi kiểm tra chính xác Thông số: Nhấn nút Finish để hệ thống bắt đầu phục hồi

Hình 3 Cửa sổ xác nhận cho Restore

Cảnh báo: Dữ liệu trên các ổ đĩa trong Danh mục Phục hồi sẽ bị thay thế bởi dữ liệu từ file Image Backup Nếu hệ thống đã được sao lưu cẩn thận, hãy nhấn nút Yes để xác nhận và bắt đầu quá trình Phục hồi.

3 Lưu dự phòng dữ liệu đĩa C: gồm các thư mục: Documents and Settings, Program Files, W indows (tên file dự phòng: BACKUP, lưu vào đĩa D: \LUUTRU)

- Mở công cụ Backup, chọn Back up files and settings

- Chọn đối tượng cần lưu dự phòng (các thư mục: Documents and Settings, Program Files, Windows)

- Chỉ định vị trí và tên file lưu trữ

4 Khôi ph ụ c d ữ li ệ u t ừ file d ự phòng BACKUP

- Mở công cụ backup, chọn Restore files and settings

- Lựa chọn đối tượng để khôi phục dữ liệu (Documents and Settings, Program Files, Windows)

5 Th ự c hi ện lưu dự phòng và khôi ph ục Active Directory trên server đang quả n tr ị

- Mở công cụ Backup, chọn Back up files and settings

- Trong cửa sổ Items to Back Up đánh dấu vào mục System State

6 Xem thông tin v ề h ệ th ố ng b ằ ng công c ụ System bao g ồ m:

- Tóm tắt thông tin hệ thống

- Tài nguyên về phần cứng hệ thống.

- Thông tin cấu hình dành cho phần cứng của Server đối với thiết bị đang được sử dụng

- Phần mềm đang được thực thi trên hệ thống

- Cần phải backup System Statevì thành phần quan trọng nhất khi quản lý hệ thống

-Sao lưu dữ liệu theo lịch để đảm bảo hệ thống hoạt động tốt nhất

-Khôi phục dữ liệu một cách nhanh nhất, đầy đủ nhất

- File backup phải được lưu trữ đúng vị trí và an toàn

- Thực hiện đúng tưng thao tác sao lưu cũng như phục hồi.

- Chọn đúng ngôn ngữ, múi giờ, và bàn phím nhập liệu

- Thao tác đúng các bước sao lưu, phục hồi dữ liệu, hệ thống trên Windows server 2019

Azure Backup offers a lightweight tool known as the Microsoft Azure Recovery Services (MARS) agent, which is installed on Windows Server to safeguard files, folders, and server configuration information via the Windows Server System State This article will guide users on how to utilize the MARS agent to back up Windows Server to Azure.

 Trình bày được các bước cài đặt công cụ Backup trên Server 2019

 Trình bày được các bước sao lưu trên hệ thống Windows Server 2019

 Trình bày được các bước phục hồi trên hệ thống

+ Thao tác thành thạo các bước cài đặt công cụ Backup, Restore hệ thống Windows Server 2019

+ Thực hiện đúng các thao tác sao lưu, phục hồi dữ liệu và hệ thống Windows Server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác cài đặt, cấu hình sao lưu và phục hồi dữ liệu, hệ thống Windows Server 2019

CÀI ĐẶT VÀ QUẢN LÝ VIRTUAL PRIVATE NETWWORK (VPN)

Những ứng dụng thường gặp của RAS

Dịch vụ truy cập từ xa cho phép người dùng kết nối và quản lý hệ thống từ xa, mang lại sự linh hoạt và tiện lợi Các phương thức kết nối phổ biến bao gồm VPN, Remote Desktop Protocol (RDP) và các ứng dụng truy cập từ xa khác Việc sử dụng các giao thức bảo mật như SSL/TLS đảm bảo an toàn cho dữ liệu trong quá trình truyền tải Tổng quan về dịch vụ này giúp người dùng hiểu rõ hơn về cách thức hoạt động và lợi ích của việc truy cập từ xa trong môi trường làm việc hiện đại.

1.1 Tổng quan về dịch vụ truy cập từ xa

Dịch vụ truy nhập từ xa cho phép người dùng kết nối từ xa đến mạng riêng qua môi trường mạng truyền dẫn, như mạng điện thoại công cộng, tạo cảm giác như máy tính được kết nối trực tiếp Người dùng thực hiện kết nối thông qua một máy chủ dịch vụ gọi là máy chủ truy cập Khi thiết kế giải pháp truy cập từ xa, cần chú ý đến các yêu cầu quan trọng để đảm bảo hiệu quả và an toàn.

− Số lượng kết nối tối đa có thể để phục vụ người dùng từ xa

− Các nguồn tài nguyên mà người dùng từ xa muốn muốn truy cập.

− Công nghệ, phương thức và thông lượng kết nối

− Các phương thức an toàn cho truy cập từ xa, phương thức xác thực người dùng, phương thức mã hoá dữ liệu

− Các giao thức mạng sử dụng để kết nối

1.2 Kết nối truy cập từ xa và các giao thức sử dụng trong truy cập từ xa

1.2.1 Kết nối truy cập từ xa

Tiến trình truy cập từ xa bắt đầu khi người dùng khởi tạo kết nối tới máy chủ truy cập thông qua một giao thức như PPP (Point to Point Protocol) Máy chủ truy cập hoạt động như một gateway, facilitating việc trao đổi dữ liệu giữa người dùng và mạng nội bộ Qua kết nối này, người dùng gửi và nhận dữ liệu, với dữ liệu được truyền theo các khuôn dạng mà các giao thức mạng như TCP/IP định nghĩa và được đóng gói bởi các giao thức truy cập từ xa.

Hình 4.1 –Kết nối truy cập từ xa 1.2.2 Các giao thức mạng sử dụng trong truy cập từ xa

Khi triển khai dịch vụ truy cập từ xa, các giao thức mạng thường được sử dụng bao gồm TCP/IP, IPX và NETBEUI TCP/IP là bộ giao thức cơ bản, bao gồm giao thức TCP và IP, được sử dụng phổ biến nhất hiện nay nhờ khả năng định tuyến và mở rộng linh hoạt cho mọi loại mạng IPX (Internet Packet Exchange) là giao thức dành cho mạng Novell NetWare, có khả năng định tuyến và thường được sử dụng trong các hệ thống mạng cũ Trong khi đó, NetBEUI là giao thức của Microsoft cho mạng cục bộ LAN, cung cấp tiện ích dễ sử dụng nhưng không có khả năng định tuyến, phù hợp cho các mô hình mạng nhỏ và đơn giản.

Tổng quan về VPN

Khi triển khai một hệ thống đảm bảo tính an toàn, ổn định và linh hoạt cho doanh nghiệp, việc sử dụng VPN là cần thiết để đáp ứng nhu cầu kết nối từ xa và bảo vệ thông tin Bài viết này sẽ khám phá chi tiết về Virtual Private Network, kỹ thuật VPN tunneling, các chế độ VPN khác nhau, cũng như hướng dẫn cấu hình và thiết lập mô hình VPN hoàn chỉnh Đầu tiên, chúng ta cần hiểu khái niệm về Private Network, là một hệ thống mạng LAN riêng biệt sử dụng địa chỉ IP cùng dải để chia sẻ dữ liệu, phù hợp cho các văn phòng và công ty có nhiều thiết bị mạng Khi triển khai Private Network ở nhiều vị trí khác nhau, bộ phận quản trị mạng cần cấu hình định tuyến để các mạng LAN có thể kết nối với nhau.

Virtual Private Network (VPN) là một mạng riêng, cho phép kết nối an toàn giữa các máy tính qua Internet.

Dịch vụ mạng ảo (VPN) được triển khai trên hạ tầng của mạng công cộng (Internet), cho phép kết nối giữa các văn phòng, chi nhánh và người dùng làm việc từ xa với trụ sở chính Qua mạng riêng ảo, các máy tính sẽ nhận diện nhau như một mạng LAN, tạo điều kiện thuận lợi cho việc chia sẻ dữ liệu và tài nguyên.

A Virtual Private Network (VPN) employs Tunneling Protocols, which encapsulate a data packet within another packet to establish a secure transmission channel.

Hình 4.2 Mô hình Tunneling Protocols

2.2 VPN cung cấp những lợi ích bao gồm:

 Chi phí thiết lập mạng VPN tương đối thấp, do sử dụng chung hạ tầng Internet

 Tính linh hoạt: VPN xóa bỏ mọi rào cản về vị trí địa lý, sẵn sang kết nối các mạng với nhau thông qua Internet

Bảo mật dữ liệu là yếu tố quan trọng khi sử dụng VPN, vì nó giúp che giấu thông tin nhạy cảm khỏi những người không có quyền truy cập VPN áp dụng các giao thức và thuật toán mã hóa, cùng với các phương pháp xác thực, để đảm bảo an toàn cho dữ liệu trong quá trình truyền tải.

Bảo mật địa chỉ IP là một trong những lợi ích quan trọng của VPN, khi thông tin được truyền tải đã được mã hóa, giúp che giấu địa chỉ IP thực của người dùng trong mạng riêng Điều này đảm bảo rằng chỉ có các địa chỉ IP bên ngoài Internet được sử dụng, tăng cường tính riêng tư và an toàn cho người dùng.

Hình 4.3 Mô hình che giấu IP

VPN là công nghệ tạo ra kênh truyền ảo, và việc lựa chọn loại thiết kế phù hợp phụ thuộc vào mô hình mạng cũng như nhu cầu sử dụng của người dùng.

VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN và Remote Access VPN (

VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, SSTP,IPSec, GRE, MPLS, SSL, TLS

VPN site-to-site là giải pháp kết nối các mạng khác nhau, tạo thành một hệ thống mạng thống nhất Trong mô hình này, việc xác thực ban đầu được thực hiện qua thiết bị đầu cuối tại các Site, hoạt động như Gateway Các thiết bị này thiết lập nhiều chính sách bảo mật nhằm đảm bảo việc truyền dữ liệu an toàn giữa các Site.

Hình 4.4 Mô hình VPN Site to site

 Remote Access VPN ( Client to site ) cho phép truy cập bất cứ lúc nào bằng

Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức

Remote Access VPN cho phép người dùng từ xa truy cập vào mạng Intranet của công ty thông qua phần mềm VPN, sử dụng gateway hoặc VPN concentrator (một loại server) Giải pháp này thường được gọi là client/server, nơi người dùng kết nối bằng các công nghệ WAN truyền thống để thiết lập các tunnel về mạng chính của họ.

Loại kết nối này thường được sử dụng cho nhân viên làm việc từ xa hoặc làm việc tại nhà, giúp họ kết nối an toàn vào mạng công ty Nó cũng phù hợp cho các văn phòng nhỏ ở xa khi cần kết nối với văn phòng trung tâm của công ty.

 Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server

Một xu hướng mới trong phát triển VPN truy cập từ xa là sử dụng VPN không dây, cho phép nhân viên truy cập mạng của họ qua kết nối không dây Trong thiết kế này, các kết nối không dây phải kết nối với một trạm không dây (wireless terminal) trước khi truy cập vào mạng công ty Phần mềm client trên máy PC hỗ trợ việc khởi tạo các kết nối bảo mật, còn được gọi là tunnel.

Một phần quan trọng của thiết kế hệ thống VPN là quy trình xác thực ban đầu, nhằm đảm bảo yêu cầu xuất phát từ nguồn tin cậy Giai đoạn này thường dựa trên chính sách bảo mật của công ty, bao gồm các quy trình, kỹ thuật và máy chủ như RADIUS và TACACS+ Để bảo vệ dữ liệu trong hệ thống VPN, có một số giao thức phổ biến được áp dụng.

PPTP (Point to Point Tunneling Protocol) là một giao thức VPN đơn giản và dễ cấu hình, nhưng có độ bảo mật kém Giao thức này là một sự mở rộng của Point-to-Point Protocol (PPP) và sử dụng các phương pháp xác thực tương tự như PPP, bao gồm PAP, SPAP, CHAP, MS-CHAP và EAP PPTP được hỗ trợ rộng rãi trên các máy trạm chạy Windows và thiết lập đường hầm mà không mã hóa Một trong những ưu điểm nổi bật của PPTP là không yêu cầu hạ tầng mã khóa công cộng (Public Key Infrastructure), giúp người dùng dễ dàng kết nối nhanh chóng đến máy chủ.

Hình 4.5 Mô hình VPN áp dụng Protocol

L2TP (Layer 2 Tunneling Protocol) là giao thức kết hợp giữa PPTP của Microsoft và Cisco, không cung cấp cơ chế mã hóa thông tin riêng mà dựa vào Point to Point Protocol để mã hóa dữ liệu thông qua Preshared Key Kết hợp tính năng của PPTP và L2F, L2TP hỗ trợ đầy đủ IPSec, cho phép tạo tunnel cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa Thực tế, L2TP có khả năng tạo tunnel giữa máy khách và router, NAS và router, cũng như giữa các router So với PPTP, L2TP có nhiều đặc tính mạnh mẽ và an toàn hơn.

IPSec VPN là một hệ thống giao thức nhằm bảo mật quá trình truyền tin, được phát triển bởi IETF (Internet Engineering Task Force) IPSec là một phần bắt buộc của IPv6 và có thể được lựa chọn khi sử dụng IPv4 Các tiêu chuẩn của IPSec đã được thiết kế cho các phiên bản IP tương thích, với việc áp dụng ngày càng phổ biến trong các mạng hiện nay.

Cách cài đặ t VPN trên Windows Server 2019

3.1 Cài đặt Remote Access Role

Bước1: Đầu tiên, hãy cài đặt Remote Access qua Server Manager hoặc PowerShell

Mở Server Manager và chọn Add Roles and Features

Hình 4.8 Chọn Add Roles and Features

Bước 2: Chọn Remote Access Role và nhấp vào Next

Bước 3: Ở bước Role Services, chọn DirectAccess and VPN (RAS)

Hình 4.10 Chọn RAS và Routing

Bước 4: Ở bước cuối cùng, chọn Install để cài đặt Remote Access role

Hình 4.11 Chọn Close hoàn tất Điều này có thể yêu cầu khởi động lại server

3.2 Cấu hình VPN trên Windows Server 2019

Bước 1 Thực hiện cấu hình dịch vụ VPN Server Mở Tools / Routing and Remote

Hình 4.12 Chọn Routing and Remote Access

Bước 2 Tại cửa sổ Routing and Remote Access, click chuột phải tại tên Server (ví dụ: R2(local)), chọn vào Configure and Enable Routing and Remote Access

.Nhấp chuột phải vào tên server và nhấn vào Configure and Enable Routing and Remote Access

Bước 3 Trên trình hướng dẫn mới, hãy chọn Custom configuration

Bước 4 Chọn VPN Access, NAT và LAN routing

Hình 4.14 Chọn các lựa chọn phù hợp

Bước 5 Tiếp theo chọn card mạng cho phù hợp

Hình 4.15 Chọn Cấu hình dịch vụ NAT

Bước 6 Tiếp theo chọn card mạng làm nội mạng

Hình 4.16 Cấu hình NAT cho cổng trong

Bước 7 Tiếp theo chọn card mạng làm ngoại mạng

Hình 4.17 Cấu hình NAT cho cổng ngoài

Bước 8 Sau khi bấm Finish, bây giờ, có thể khởi động service Routing and Remote

Hình 4.18 Khởi động service Routing and Remote Access

Bước 9 Nhấp chuột phải vào tên máy chủ và chọn Properties

Hình 4.19 Tùy chọn thuộc tính VPN

Bên dưới IPv4 address assignment, kiểm tra Static address pool (khuyến nghị)

Hình 4.20 Tùy chọn nhóm địa chỉ tĩnh máy chủ VPN

- Chỉ định địa chỉ IP bắt đầu.

- Chỉ định địa chỉ IP kết thúc

Hình 4.20 Thiết lập dải địa chỉ VPN

Bước 12 Nhấn vào OK, Nhấn vào Apply, Nhấn vào OK

Bước 13 Kích chuột phải Remote Access Logging & Policies và chọn Launch NPS

Hình 4.21 Windows Server 2019 ra mắt NPS

Bước 15 Bấm đúp vào Connections to Microsoft Routing and Remote Access server chính sách

Bên dưới Access Permission chọn phần Grant access Grant access if the connection request matches this policy

Hình 4.23 Chính sách kết nối với VPN

Bước 16 Nhấn vào Apply, Nhấn vào OK

Bước 17 Bấm đúp vào Connections to other access servers chính sách

Bên dưới Access Permission chọn phần Grant access Grant access if the connection request matches this policy

Hình 4.24 Chính sách kết nối với máy chủ khác

Bước 18 Nhấn vào Apply, Nhấn vào OK Đóng Network Policy Server bàn điều khiển

3.3 Cấu hình VPN trên Client

Bước 1 Đổi tên Client cho phù hợp

Bước 2 Chỉnh IP theo hệ thống (Ví dụ như hình sau)

Tại cửa sổ Network and Sharing Center, click chọn vào Set up a new connection or network

Tại cửa sổ Set Up a Connection or Network, click chọn vào Connect to a workplace… Next.

Tại cửa sổ Connect to a Workplace, click chọn vào Use my Internet connection (VPN)

Tại cửa sổ tiếp theo, chọn vào I’ll set up an Internet connection later

Hình 4.29 Chọn I’ll set up an Internet connection later

Tại cửa sổ tiếp theo, nhập vào địa chỉ Gateway của mạng bên ngoài Internet address:

Click vào Create và chờ nó tạo kết nối VPN

Hình 4.30 Nhập IP VPN kết nối

Click chuột phải tại Card mạng VPN Connection vừa tạo, chọn Properties

In the VPN Connection Properties window, navigate to the Security tab and select Point to Point Tunneling Protocol (PPTP) as the VPN connection protocol type Click OK to confirm your selection.

Hình 4.33 kiểu giao thức kết nối VPN

Click chuột phải tại Card mạng VPN Connection, chọn Connect / Disconnect

Click vào Connect tại card mạng VPN Connection

Nhập vào tài khoản VPN (ví dụ vpnanhtt)mà ta đã tạo và cấp quyền truy cập từ xa lúc nãy

Hình 4.36 Nhập vào tài khoản VPN

Kết nối VPN thành công

Hình 4.37 Kết nối VPN thành công

Ping thử về địa chỉ của con W2K19-DC đang làm File Server có địa chỉ 192.168.2.2 ta thấy đã Ping thành công

Mở CMD lên và gõ \\192.168.2.2 để truy cập vào File Server và lấy tài liệu

Hình 4.39 Truy cập máy chủ

Log in vào miền bằng tài khoản VPN nếu được hỏi để truy cập Folder DATA đã tạo trên con SERVER

Hình 4.40 Xác nhận User, Password

Hình 4.41 Truy cập thành công

1 Thực hiện triển khai VPN Site to Site theo mô hình sau

Hình 4.42 Mô hình site to site

2 Hiện nay Công ty có rất nhiều nhân viên làm việc từ xa, ban giám đốc công ty muốn tạo điều kiện thuận lợi nhất cho nhân viên, làm việc ở nhà cũng giống như làm việc tại văn phòng công ty Bạn hãy thực hiện yêu cầu trên

 1 Phải xây dựng một máy VPN Server để tiếp nhận các yêu cầu kết nối mạng từ xa (còn gọi là Remote Access Server)

 Cấp cho người dùng VPN Client một tài khoản có quyền đăng nhập vào VPN Server (gọi là Dial-In User)

 Tại các VPN Clients tạo mới một kết nối mạng riêng ảo đến VPN Server (gọi là VPN Connection) Đăng nhập vào VPN Server bằng Dial-In User

 Chọn giao thức truyền dữ liệu: L2TP, PPTP hay GRE/Ipsec tương ứng tại VPN Server và VPN Clients

 Xác định phương thức mã hoá và chứng thực tương ứng tại VPN Server và VPN Clients

If a VPN server's system utilizes a firewall, it is essential to open the TCP port to allow VPN service data flow from clients into the internal network.

1 Thực hiện triển khai VPN Site to Site

2 Hiện nay Công ty có rất nhiều nhân viên làm việc từ xa, ban giám đốc công ty muốn tạo điều kiện thuận lợi nhất cho nhân viên, làm việc ở nhà cũng giống như làm việc tại văn phòng công ty

Tham khảo phần cài đặt, cấu hình VPN

- Cài đặt và cấu hình VPN đúng các bước

- Tạo các user để cho phép kết nối VPN

- Cấu hình bảng IP cho phép kết nối phù hợp, không ảnh hưởng đến hệ thống

- Giới hạn thời gian, quyền truy cập vào hệ thống cho các user VPN

- Thực hiện các thao tác đúng về việc cài đặt và cấu hình VPN trên Windows server 2019

- Thực hiện các thao tác đúng về việc cài đặt và cấu hình VPN trên Client

Cấu hình phép kết nối VPN thông qua tường lửa trên Windows Server

Khi cấu hình tính năng Định tuyến và Truy cập Từ xa trên Windows Server, hệ thống sẽ tự động mở các cổng Tường lửa cần thiết Tuy nhiên, để đảm bảo tường lửa hoạt động đúng cách, cần kiểm tra và cấu hình lại các thiết lập của nó.

 Trình bày được các bước cài đặt VPN trên Server và Client

 Trình bày được các bước cấu hình VPN trên Windows Server 2019

+ Thao tác thành thạo các phương tiện Boot để cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

+ Thực hiện đúng các thao tác cài đặt nâng cấp từ phiên bản Standard lên Datacenter cho Windows Server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác việc cài đặt và cấu hình VPN cho Server và client

Hiện nay, nhiều nhân viên của công ty làm việc từ xa, và ban giám đốc mong muốn tạo điều kiện thuận lợi nhất cho họ Mục tiêu là đảm bảo rằng việc làm tại nhà cũng mang lại trải nghiệm tương tự như khi làm việc tại văn phòng.

 1 Phải xây dựng một máy VPN Server để tiếp nhận các yêu cầu kết nối mạng từ xa (còn gọi là Remote Access Server)

 Cấp cho người dùng VPN Client một tài khoản có quyền đăng nhập vào VPN Server (gọi là Dial-In User)

 Tại các VPN Clients tạo mới một kết nối mạng riêng ảo đến VPN Server (gọi là VPN Connection) Đăng nhập vào VPN Server bằng Dial-In User

 Chọn giao thức truyền dữ liệu: L2TP, PPTP hay GRE/Ipsec tương ứng tại VPN Server và VPN Clients

 Xác định phương thức mã hoá và chứng thực tương ứng tại VPN Server và VPN Clients

If the VPN server system utilizes a firewall, it is essential to open the TCP port to allow VPN service data flow from clients into the internal network.

1 Xây dựng một Remote Access Server

2 Cài đặt và cấu hình dịch vụ truy cập từ xa cho phép người dùng từ xa truy cập vào mạng trên hệ điều hành Windows Server

- Cài đặt máy chủ dịch vụ truy cập từ xa

- Thiết đặt tài khoản cho người dùng từ xa Thiết lập một tài khoản có tên RemoteUser

- Kiểm tra cấu hình đã thiết lập

- Cấu hình cho phép tài khoản RemoteUser truy cập vào mạng được điều khiển truy cập bởi các chính sách truy cập từ xa (Remote access policy)

Kiểm tra cấu hình đã thiết lập bằng cách thực hiện kết nối quay số tới máy chủ truy cập từ xa với tài khoản RemoteUser Tuy nhiên, thông báo lỗi xuất hiện cho thấy kết nối không thành công.

Sử dụng RRAS để thiết lập chính sách mới cho người dùng từ xa, với tên gọi Allow RemoteGroup Access, cho phép người dùng trong nhóm RemoteGroup truy cập dễ dàng.

Kiểm tra cấu hình đã thiết lập bằng cách thực hiện kết nối quay số tới máy chủ truy cập từ xa với tài khoản RemoteUser Sau khi kết nối được thiết lập thành công, tiến hành đóng kết nối lại.

- Cấu hình để default policy được thi hành trước

Kiểm tra cấu hình đã thiết lập bằng cách kết nối quay số tới máy chủ truy cập từ xa với tài khoản RemoteUser Tuy nhiên, thông báo lỗi xuất hiện cho thấy kết nối không thành công.

- Cấu hình cho phép truy cập sử dụng Properties của RemoteUser

Kiểm tra cấu hình đã thiết lập bằng cách kết nối quay số tới máy chủ truy cập từ xa với tài khoản RemoteUser Sau khi kết nối thành công, hãy đóng kết nối lại.

GROUP POLICY OBJECT

Giới thiệu Group Policy

Mục tiêu: Trình bày các chức năng chính của Group Policy, phân biệt được sự khác nhau cơ bản giữa System Policy và Group Policy.

1.1 So sánh giữa System Policy và Group Policy

Trong mô đun Quản trị mạng cơ bản, chúng ta đã khám phá khái niệm về chính sách hệ thống (System Policy) và giờ đây sẽ chuyển sang tìm hiểu về chính sách nhóm (Group Policy) Sự khác biệt giữa hai loại chính sách này là một chủ đề quan trọng cần được làm rõ.

- Chính sách nhóm chỉ xuất hiện trên miền Active Directory, nó không tồn tại trên miền NT4

Chính sách nhóm vượt trội hơn chính sách hệ thống bởi vì nó không chỉ bao gồm tất cả các chức năng của chính sách hệ thống mà còn cho phép triển khai phần mềm tự động cho một hoặc nhiều máy.

- Chính sách nhóm tự động hủy bỏ tác dụng khi được gỡ bỏ, không giống như các chính sách hệ thống.

Chính sách nhóm thường xuyên được áp dụng hơn so với chính sách hệ thống Trong khi chính sách hệ thống chỉ có hiệu lực khi máy tính kết nối vào mạng, chính sách nhóm được kích hoạt ngay khi khởi động máy và tự động áp dụng trong suốt cả ngày làm việc.

Chính sách nhóm (Group Policy) cho phép thiết lập cấu hình cho máy tính và người dùng trong tổ chức, xác định cách thức hoạt động của chương trình, tài nguyên mạng và hệ điều hành Mục đích chính của Group Policy là triển khai các chính sách từ máy chủ Domain Controller xuống người dùng Nó có thể tự động triển khai phần mềm cho nhiều máy trạm, xác định quyền hạn của người dùng, giới hạn ứng dụng được phép chạy, kiểm soát hạn ngạch sử dụng đĩa, và thiết lập các kịch bản đăng nhập, đăng xuất, khởi động và tắt máy.

Group Policy is applicable only on Windows Server NT, 2000, 2003, 2008, and 2019, primarily targeting Sites, Domains, and Organizational Units The policies implemented for these entities are referred to as Group Policy Objects (GPO).

Trên mỗi máy Windows Server 2019, có một bộ công cụ Group Policy gọi là Local Group Policy, áp dụng riêng cho máy đó khi không tham gia vào miền.

Các Group Policy Objects (GPO) được lưu trữ trong cơ sở dữ liệu của Active Directory Để tạo và chỉnh sửa GPO, người dùng sử dụng công cụ có tên là Group Policy Object Editor.

1 dạng console tên là gpedit.msc, console của Active Directory Users and Computers là dsa.msc)

1.2 Chức năng của Group Policy

Triển khai phần mềm ứng dụng có thể được thực hiện bằng cách gom tất cả các tập tin cần thiết vào một gói (package) và đặt lên Server Sau đó, sử dụng chính sách nhóm để hướng dẫn một hoặc nhiều máy trạm tới gói phần mềm đó Hệ thống sẽ tự động cài đặt phần mềm trên tất cả các máy trạm mà không cần sự can thiệp của người dùng.

Gán quyền hệ thống cho người dùng cho phép cấp quyền cho cá nhân hoặc nhóm người thực hiện các thao tác quan trọng như tắt server, thay đổi giờ hệ thống và sao lưu dữ liệu, tương tự như chức năng của chính sách hệ thống.

Chúng ta có thể giới hạn các ứng dụng mà người dùng được phép sử dụng trên máy trạm của họ, cho phép họ chỉ chạy một số ứng dụng nhất định như Outlook Express, Word và Internet Explorer.

Người quản trị có thể sử dụng chính sách nhóm để kiểm soát các thiết lập hệ thống và quy định hạn ngạch đĩa cho từng người dùng Điều này cho phép xác định dung lượng tối đa mà người dùng được phép lưu trữ trên đĩa cứng, đảm bảo quản lý tài nguyên hiệu quả.

Trong hệ thống NT4, chỉ hỗ trợ kịch bản đăng nhập, trong khi Windows Server cho phép thiết lập kịch bản cho cả bốn sự kiện: đăng nhập, đăng xuất, khởi động và tắt máy Người quản trị có thể sử dụng các GPO để kiểm soát và quản lý các kịch bản đang chạy.

- Đơn giản hóa và hạn chế các chương trình: có thể dùng GPO để gỡ bỏ nhiều tính năng khỏi Internet Explorer, Windows Explorer và những chương trình khác

Hạn chế quyền truy cập vào màn hình Desktop của người dùng có thể bao gồm việc xóa hầu hết các mục trên menu Start, ngăn chặn người dùng cài đặt thêm máy in và không cho phép sửa đổi các thông số cấu hình của máy trạm.

Tạo và tổ chức các đối tượng trong Group policy

Mục tiêu: Trình bày cách thức để xem chính sách cục bộ của một máy tính ở xa, tạo và áp dụng các chính sách trên miền.

Chúng ta có thể cấu hình và triển khai Group Policy thông qua việc tạo ra các đối tượng chính sách (GPO), là những vật chứa cho nhiều chính sách áp dụng cho người dùng, máy tính hoặc toàn bộ hệ thống mạng Người quản trị sử dụng Group Policy Object Editor để tạo các GPO, trong đó bao gồm hai mục chính: cấu hình máy tính và cấu hình người dùng.

Hình 5.1 –Cửa sổ chính của Group Policy Object Editor

2.1 Xem chính sách cục bộ của một máy tính ở xa Để xem một chính sách cục bộ trên các máy tính khác trong miền, người xem phải có quyền quản trị trên máy đó hoặc quản trị miền Lúc đó, có thể dùng lệnh GPEDIT.MSC /gpcomputer:machinename; ví dụ khi muốn xem chính sách trên máy PC01, gõ lệnh GPEDIT.MSC /gpcomputer: PC01

2.2 Tạo các chính sách trên miền

We utilize the snap-in Group Policy within Active Directory Users and Computers or directly access the Group Policy Object Editor via the command line on the Domain Controller to create group policies for the domain To open Group Policy from Active Directory Users and Computers, right-click on the domain icon (e.g., danavtc.edu) in the main program window and select Properties In the dialog that appears, navigate to the Group Policy tab.

Hình 5.2 – Cửa sổ thuộc tính với chính sách mặc định

Nếu chưa có chính sách nào được tạo, cửa sổ sẽ chỉ hiển thị chính sách Default Domain Policy Cuối hộp thoại có một checkbox mang tên Block Policy inheritance, có chức năng ngăn chặn việc lan truyền các thiết lập của chính sách ở cấp cao hơn xuống cấp hiện tại Chính sách được áp dụng theo thứ tự: cấp site, sau đó đến cấp miền và cuối cùng là cấp OU Để cấu hình các lựa chọn áp dụng chính sách, chọn Default Domain Policy và nhấp vào nút Option Trong hộp thoại Options, nếu chọn No Override, các chính sách khác sẽ không thể phủ quyết thiết lập của chính sách này, ngay cả khi chúng không chọn Block Policy inheritance Nếu chọn Disabled, chính sách này sẽ không hoạt động ở cấp này, nhưng việc vô hiệu hóa chính sách ở một cấp không làm mất hiệu lực bản thân đối tượng chính sách.

Để tạo một chính sách mới, nhấp vào nút New và nhập tên chính sách Để thêm thông tin cho chính sách, nhấp vào nút Properties, sau đó chọn Tab Links để chỉ định các site, domain hoặc OU liên quan Tab Security cho phép cấp quyền cho người dùng hoặc nhóm người dùng trên chính sách này.

Hình 5.4 –Cấp quyền cho người dùng hoặc nhóm người dùng

Trong Group Policy, các chính sách được áp dụng theo thứ tự từ dưới lên trên, với chính sách ở vị trí cao nhất được áp dụng cuối cùng Điều này có nghĩa là các GPO càng nằm cao trong danh sách thì càng có độ ưu tiên cao hơn Khi có các thiết định mâu thuẫn, chính sách ở vị trí trên sẽ được ưu tiên Người dùng có thể sử dụng nút Up và Down để thay đổi thứ tự của các chính sách.

Hình 5.5 –Thứ tự các chính sách

Nút Edit cho phép thiết lập các cấu hình cho chính sách này; dựa trên khả năng của Group Policy, người dùng có thể tùy chỉnh các thiết định theo nhu cầu.

Thiết lập các chính sách trên Domain Controller

Mục tiêu của bài viết này là hướng dẫn cách thiết lập các chính sách nhóm nhằm chặn người dùng cài đặt phần mềm ứng dụng hoặc ngăn chặn việc sử dụng các chương trình được chỉ định Việc triển khai các chính sách này sẽ giúp bảo vệ hệ thống và dữ liệu của tổ chức, đồng thời đảm bảo rằng người dùng chỉ truy cập vào các ứng dụng cần thiết cho công việc.

3.1 Thiết lập chính sách nhóm “chặn người dùng cài đặt phần mềm ứng dụng”

Công cụ này cho phép hạn chế người dùng cài đặt các phần mềm ứng dụng Thực hiện:

- Tạo một Group Policy Object (GPO) độc lập:

+ Start  Administrative Tools  Group Policy Management

+ Tại cửa sổ Group Policy Management, nhấp chuột phải lên mục Group Policy Objects và chọn New

Hình 5.6 - Giao diện cửa sổ quản lý chính sách nhóm

+ Tại hộp thoại Name GPO nhập tên GPO (Chặn Sinh viên cài đặt ứng dụng), chọn OK

To configure the newly created Group Policy Object (GPO), right-click on it in the Group Policy Management window and select 'Edit.' In the Group Policy Management Editor that appears, specify the policies to be configured for either the computer or user by navigating to Computer Configuration > Policies > Administrative Templates > Windows Components > Windows Installer.

To configure the Prohibit User Installs setting, right-click on Prohibit User Installs in the right pane, select Properties, and then set it to Enabled Choose the corresponding behavior as Hide User Installs, and click Apply, followed by OK to close the Prohibit User Installs Properties window.

- Liên kết GPO vào các loại đối tượng trên Active Directory (Lưu ý: mỗi GPO có thể liên kết đến nhiều đối tượng trên Active Directory):

To create objects in Active Directory, navigate to Server Manager, select Roles, then Active Directory Domain Services, and open Active Directory Users and Computers Right-click on the domain name and choose New, followed by Organization Unit.

Hình 5.8 - Tạo các đối tượng trên Active Directory

+ Khi xuất hiện cửa sổ New Object, gõ tên đối tượng vào (Sinh vien)

Hình 5.9 - Tạo mới đối tượng

+ Tạo user và computer trong OU này (user SV1, V2)

+ Liên kết GPO vào OU: Vào Start  Adminitrative Tools  Group Policy Management; Nhấp chuột phải vào OU và chọn Link an Existing GPO

Hình 5.10 - Liên kết GPO vào OU

In the Select GPO dialog, choose the domain name under the "Look in this domain" section and simultaneously select the corresponding Group Policy Object (GPO) titled "Chan Sinh vien cai dat ung dung" from the Group Policy objects list.

Hình 5.11 - Chọn nhóm cần chặn cài đặt ứng dụng

+ Chọn OK để hoàn tất.

3.2 Thiết lập chính sách nhóm “chặn người dùng sử dụng Internet Explorer”

Công cụ này cho phép hạn chế người dùng sử dụng các chương trình được chỉ định

- Tạo một Group Policy Object (GPO) độc lập:

+ Start  Administrative Tools  Group Policy Management

+ Tại cửa sổ Group Policy Management, nhấp chuột phải lên mục Group Policy Objects và chọn New

+ Tại hộp thoại Name GPO nhập tên GPO (Chặn người dùng sử dụng Interrnet), chọn OK

In the Group Policy Management window, right-click on the newly created GPO and select Edit When the Group Policy Management Editor opens, specify the policies to configure for either the computer or user by navigating to User Configuration > Policies > Administrative Templates > System.

+ Sử dụng thiết lập Don’t run specified Windows applications: Nhắp phải chuột vào Don’t run specified Windows applications (ở khung phải), chọn Properties rồi thực hiện các thiết lập:

Hình 5.14 - Kích hoạt chính sách Đánh dấu chọn Enabled; Chọn nút Show…

Khi màn hình xuất hiện hộp thoại Show Contents, chọn nút Add… để chỉ định tập tin chương trình ứng dụng không được phép thi hành

Hình 5.15 - Chỉ định ứng dụng không được phép thi hành (tập tin chương trình)

- Liên kết GPO vào các loại đối tượng trên Active Directory (Lưu ý: mỗi GPO có thể liên kết đến nhiều đối tượng trên Active Directory):

To create objects in Active Directory, navigate to Server Manager, then go to Roles, and select Active Directory Domain Services From there, access Active Directory Users and Computers, right-click on the domain name, and choose New followed by Organization Unit.

Hình 5.16 - Tạo các đối tượng trên Active Directory

+ Khi xuất hiện cửa sổ New Object, gõ tên đối tượng vào (Sinh vien)

Hình 5.17 - Tạo mới đối tượng

+ Tạo user và computer trong OU này (user SV1, V2)

+ Liên kết GPO vào OU: Vào Start  Adminitrative Tools  Group Policy Management; Nhấp chuột phải vào OU và chọn Link an Existing GPO

Hình 5.18 - Liên kết GPO vào OU

+ Trong hộp thoại Select GPO chọn tên domain ở mục Look in this domain; Đồng thời chọn GPO tương ứng (Chan nguoi dung su dung Internet) ở mục Group Policy objects

Hình 5.19 - Chỉ định Domain và đối tượng cần thiết lập

+ Chọn OK để hoàn tất.

Sử dụng GPO để triển khai MS Office

Mục tiêu của việc sử dụng GPO để triển khai phần mềm MS Office trên Windows Server là để tránh sự nhàm chán khi cài đặt lặp đi lặp lại trên từng máy Phương pháp này không chỉ giúp tiết kiệm thời gian mà còn cho phép cài đặt cả Product Key một cách tự động.

Bước 1: Sao chép đĩa cài đặt MS Office (2019) vào server và share (giả sử server là server1

Bước 2:Tạo file Office2019.bat với nội dung (xem hỗ trợ từ http://technet.microsoft.com/en-us/library/cc179134%28v=office.12%29.aspx):

Bước 3: Mở file config.xml (trong notepad) và sửa các thông tin để cài đặt tự động

(xem hỗ trợ từ http://technet.microsoft.com/en- us/library/cc179134%28v=office.12%29.aspx):

Bước 4: Triển khai GPO: Start -> Run, gõ gpmc.msc

Tại cửa sổ Group Policy Management, nhấp chuột phải lên mục Group Policy Objects và chọn New

Tại hộp thoại Name GPO nhập tên GPO (Trien khai Office), chọn OK

To configure the newly created Group Policy Object (GPO), right-click on the GPO in the Group Policy Management window and select "Edit." In the Group Policy Management Editor that appears, navigate to the policies you need to configure under Computer settings by selecting Computer Configuration, then Policies, followed by Windows Settings, and finally Scripts.

Hình 5.22 - Chỉ định chính sách cần cấu hình

Nhắp phải chuột tại Startup (ở khung phải), Properties Khi xuât shieenj cửa sổ Startup Properties, chọn nút Show Files, copy file Office2019.bat, chọn Add

Trong hộp thoại Add a Script, chọn nút Browse để chỉ định Script

* Chỉnh thời gian chờ cho group policy scripts:

Computer Configuration / Administrative Templates / System / Scripts / Maximum wait time for group policy scripts, chọn Enabled và Seconds = 0

Hình 5.24 - Tùy chỉnh thời gian chờ đối với group policy scripts

* Triển khai cài đặt Office cho OU Ketoan:

- Di chuyển các computer cần cài đặt Office 2019 vào OU Ketoan

- Chọn OU Ketoan và Link an Existing GPO…

Hình 5.25 - Chỉ định GPO cần thiết lập

Lúc này, tại cửa sổ Group Policy Management, trong OU Ketoan, sẽ xuất hiện GPO Trien khai Office tương ứng đã thiết lập

Hình 5.26 - GPO Trien khai Office tương ứng đã thiết lập

Deploy Software – Cách cài đặt phần mềm từ xa

- Cài đặt phần mềm từ xa cho nhiều máy tính client

- Microsoft chỉ hỗ trợ các phần mềm có phần mở rộng “.msi”, “.zap”

5.1.1 Khi user logon phần mềm sẽ tự cài

Bước 1 Share thư mục cài đặt cho everyone full quyền

Hình 5.26 – Cửa sổ Share thư mục

Bước 2 test trên u1 thuộc OU CANTHO

Hình 5.27 –test u1 thuộc OU CANTHO Bước 3 cấp quyền cho thư mục COSMO1

Hình 5.28 – cấp quyền cho thư mục

Bước 4 Thực hiện share tiếp thư mục COSMO2, như COSMO1( Bước 1 - Bước 3)

Bước 5 Bắt đầu deploy software Tất cả làm trong Group Policy nhé.

Bước 6 Tại User configuration, chọn Software

Bước 7 Lấy link thư mục cài đặt trước nhé

Hình 5.31 Truy cập thư mục bằng đường mạng

Bước 8 đường dẫn nơi chứa thư mục cài đặt

Hình 5.32 nơi chứa thư mục cài đặt

Bước 9 chọn Advance để cho phép user lựa chọn cài hay không

Hình 5.33 cho phép user lựa chọn cài hay không

Bước 10 Quay trở lại Group Policy, right click vào software installation, new, sau đó chọn Packge

Bước 11 Trỏ tới đường dẫn thư mục cài đặt

Hình 5.35 đường dẫn thư mục cài đặt

Bước 12 Tiếp theo chọn lựa hình thức Deploy

- chọn install this application at logon

Hình 5.36 chọn lựa hình thức Deploy

Bước 13 Chọn chương trình cần Deploy

Hình 5.37 chọn chương trình cần Deploy

Bước 14 Cấu hình policy xong nhớ chạy lệnh GPupdate /force trong command line để apply policy mới hoặc khởi động lại máy server (hạn chế)

Hình 5.378 Chạy lệnh GPupdate /force

Bước 15 Bật máy client, đăng nhập bằng u1 để test phần mềm mới đã được tự động cài đặt.

Hình 5.39 -phần mềm mới đã được tự động cài đặt 5.1.2 Cách gõ phần mềm đã cài đặt bằng Deploy Software

Bước 1 Mở cửa sổ Deploy

Hình 5.40 Mở cửa sổ Deploy

Bước 2 Right click vào phần mềm đã deploy, All Task, sau đó chon Remove

Hình 5.41 Lựa chọn cách thức xóa phần bằng Deploy Software

Bước 3 Lựa chọn hình thức xoá Deploy Software

Hình 5.42 Lựa chọn hình thức xoá

Bước 4 Login bằng user cấp quyền tự động gỡ cài đặt

Hình 5 43 tự động gỡ cài đặt

Bước 5 Mở Control Panel, mục Progames and Fuater

Hình 5.44 thông báo tự động gỡ cài đặt

5.2 Deploy Software –phương thức Public: user Đây là cách deploy software trong đó phần mềm có sẵn trên PC của client nhưng chưa cài User phải tự cài (ai có nhu cầu người đó cài, ai không có nhu cầu thì không cài)

Bước 1 Tạo một user u3 trong OU DN để test

Bước 2 Tại Control Panel Chon Programs, sau đó Get Programs

Bước 3 Đặt tên cho New GPO

Hình 5.47 nhập tên cho GPO

Bước 4 Right clcik vào ten GPO vừa đặt chọn Link Enable

Bước 5 Right click Sofware install, chọn Properties

Bước 6 Chọn thư mục chứa chương trình theo được mạng, chọn Advanced, sau đó chọn Maximun

Hình 5.50 Chọn thư mục chứa chương trình

Bước 7 Mục Deployment, chọn Published

Bước 8 Tại Client login bằng use đã tạo

Bước 9 Vào server kiểm tra việc login của Client

Figure 5.52 illustrates the client login process It is important to note that the software does not install automatically; instead, it is available in the install program within the control panel for users to select during installation.

Bước 10 Đã triển khai, nhưng chưa cài để cho user lựa chọn khi cài đặt

Hình 5.52 đã có phần mềm chờ cài

5.3 Deploy Software –Phương thức Assign: computer

Chú ý: muốn áp đặt policy cho computer thì tại nơi áp đặt policy phải có computer → khởi động máy ảo, (client) để apply policy cho computer

Bước 1 Di chuyển computer qua ou PY để test cách deploy software theo kiểu phân cho computer

Hình 5.53 Di chuyển computer qua ou PY

Bước 2 Tạo GPO trên OU PY

Bước 3 Tại Computer Configuation, right click Software install, chọn Properties

Bước 4 Chọn đường mạng đến chương trình, chọn Advanced

Bước 5 Tại Deployment chọn Asigned

Bước 6 Khi mở computer lên, tự động nó sẽ được cài đặt phần mềm

Hình 5.57 tự động cài phần mềm

Bước 7 Kết quả sau khi Deploy

Hình 5.58 kết quả triển khai

1 Xem chính sách cục bộ của một máy tính ở xa (PC01)

2 Khai báo logon script dùng chính sách nhóm

3 Hạn chế chức năng của Internet Explorer

4 Chỉ cho phép một số ứng dụng được thi hành

1 Xem chính sách cục bộ của một máy tính ở xa (PC01) Để xem một chính sách cục bộ trên các máy tính khác trong miền, người xem phải có quyền quản trị trên máy đó hoặc quản trị miền

- Xem chính sách trên máy PC01, gõ lệnh GPEDIT.MSC /gpcomputer: PC01

2 Khai báo logon script dùng chính sách nhóm

- Mở Group Policy Object Editor, vào User Configuration\ Windows Setttings\ Scripts

Để thêm kịch bản đăng nhập, nhấp đúp vào mục Logon trong bảng điều khiển bên phải Trong hộp thoại hiện ra, nhấn nút Add để chỉ định tên tập tin kịch bản cần thực thi khi người dùng đăng nhập Lưu ý rằng tập tin kịch bản này phải nằm trong thư mục c:\windows\system32\grouppolicy\user\script\logon Thư mục này có thể thay đổi, vì vậy tốt nhất là nhấn nút Show Files bên dưới hộp thoại để kiểm tra thư mục chứa các tập tin kịch bản cụ thể (Nội dung tập tin kịch bản có thể thay đổi tùy theo yêu cầu).

Để kiểm soát quá trình thi hành tập tin kịch bản, cần hiệu chỉnh chính sách "Run logon scripts visible" ở trạng thái "Enable" Trạng thái này giúp phát hiện lỗi phát sinh trong quá trình thi hành tập tin kịch bản, từ đó cho phép sửa chữa kịp thời Để thay đổi chính sách này, người dùng cần nhấp vào mục "User Configuration \ Administrative Templates \ System".

\ Scripts, sau đó nhấp đúp chuột vào mục Run logon scripts visible để thay đổi trạng thái

3 Hạn chế chức năng của Internet Explorer Để người dùng máy trạm không được phép thay đổi bất kì thông số nào trong Tab Security, Connection và Advanced trong hộp thoại Internet Options của công cụ Internet Explorer

In the Group Policy Object Editor, navigate to User Configuration > Administrative Templates > Windows Components > Internet Explorer > Internet Control Panel to access various Internet Explorer features that can be restricted Select the necessary functions to lock down for enhanced control.

4 Chỉ cho phép một số ứng dụng được thi hành

In the Group Policy Object Editor, navigate to User Configuration > Administrative Templates, then double-click on "Run only allowed Windows applications" to specify the applications that are permitted to run.

- Cài đặt phần mềm từ xa cho nhiều máy tính client

- Chuyển các file exe sang.msi, zap

- Các cách triển khai, Assign → user, Assign → computer và Public → user

- Tạo GPO tắt các dịch vụ và phần mềm hệ thống

- Thao tác đúng các bước triển khai GPO trên Windows server 2019

Triển khai các GPO theo yêu cầu sau:

 Ẩn icon trên màn hình Desktop

 Ẩn item trong control panel

 Không cho sửa địa chỉ IP

 Khóa start menu and taskbar

 Không cho sử dụng ứng dụng

 Hiển thị câu chào khi đăng nhập

+ triển khai máy in tren hệ thống theo từng phòng ban

 Trình bày được các bước Deploy Office, Deploy phần mềm

 Trình bày được các bước Tạo GPO tắt các dịch vụ và phần mềm hệ thống

 So sánh giữa System Policy và Group Policy

Master the steps to deploy Office on Windows Server 2019, ensuring proficiency in both Office and system software deployment Accurately execute the process of creating Group Policy Objects (GPO) to disable system services and software effectively.

Kỹ năng thực hành trong việc triển khai Office và các phần mềm khác là rất quan trọng Đánh giá khả năng thực hiện các thao tác Deploy phần mềm, cũng như tạo GPO để tắt các dịch vụ và phần mềm hệ thống, giúp nâng cao hiệu quả quản lý và bảo mật hệ thống.

CẤU HÌNH ADDITIONAL DOMAIN CONTROLLER TRÊN

Khái niệm Additional Domain Controller

An Additional Domain Controller (ADC) serves as a solution for load balancing and failover within a Domain Controller system In a network, there can be one or multiple Additional Domains User authentication data and DNS information are synchronized between the Primary Domain Controller (PDC) and the Additional Domain Controllers (ADC).

Cả ADC và PDC đều có khả năng chứng thực và phân giải DNS tương đương nhờ vào việc đồng bộ dữ liệu giữa các server Khi một trong những server gặp sự cố, hoạt động của domain vẫn không bị ảnh hưởng Hệ thống cũng có thể phân bổ việc chứng thực cho nhiều server khác nhau.

Bộ điều khiển miền bổ sung (AD DC) được sử dụng để cân bằng tải giữa các bộ điều khiển miền hiện có Nếu một AD DC gặp sự cố, bộ điều khiển miền bổ sung có thể đảm nhận vai trò xác thực, từ đó đảm bảo tính liên tục trong hoạt động kinh doanh.

Each Domain Controller maintains its own database, and when an Additional Domain Controller is added, it creates another database However, these two databases are always synchronized, ensuring that if the Primary Domain Controller fails, the Additional Domain Controller is ready to take over, thereby maintaining performance.

Trong các hệ thống Active Directory lớn, việc chỉ có một Domain Controller có thể dẫn đến quá tải khi nhiều người dùng cùng yêu cầu chứng thực Nếu Domain Controller này gặp sự cố, toàn bộ hệ thống sẽ ngừng hoạt động và người dùng sẽ không thể được chứng thực Để khắc phục tình trạng này, bài viết sẽ hướng dẫn cách triển khai Additional Domain Controller hoạt động song song với Domain Controller chính, nhằm đảm bảo hệ thống luôn sẵn sàng và ổn định.

Trường hợp sử dụng Additional Domain Controller

Trường hợp1: Hệ thống có nhiều site chi nhánh

Công ty có trụ sở chính tại Cần Thơ và các chi nhánh ở Kiên Giang đã triển khai đường truyền kết nối cơ sở hạ tầng như Lease Line và VPN để hai hệ thống mạng ở hai địa điểm có thể liên lạc hiệu quả với nhau.

Hiện tại, hệ thống mạng tại trụ sở chính được quản lý theo mô hình Active Directory với domain CDNCT.COM Để đồng bộ hóa, bạn đã quyết định quản lý hệ thống mạng tại Kiên Giang theo cùng mô hình Active Directory thuộc domain CDNCT.COM và đã tiến hành kết nối các máy tính ở Kiên Giang vào domain này.

Để đảm bảo hệ thống chứng thực tại Kiên Giang ổn định, cần cấu hình thêm một máy Domain Controller (Global Catalog Server) tại đây Giải pháp là thiết lập thêm ADC tại Site Kiên Giang, nhằm chứng thực cho người dùng tại địa phương, giúp quá trình đăng nhập không phụ thuộc vào đường truyền WAN và tăng tốc độ truy cập.

Hệ thống chỉ có 1 site Cần Thơ nhưng có số lượng user lớn Khi log on, DC sẽ bị quá tải và gây ra tình trạng nghẽn mạng

Hệ thống chỉ có một Site tại Cần Thơ và một Data Center (DC), do đó quy mô hệ thống khá nhỏ Hiện tại, toàn bộ hệ thống đang hoạt động ổn định Tuy nhiên, nếu DC gặp sự cố, hệ thống của công ty sẽ bị tê liệt và thời gian khôi phục sẽ kéo dài.

Mô hình

Hình 6.1 Mô hình Additional Domain Controller

Cấu hình Additional Domain Controller

4.1 Triển khai IP cho các máy Đặt IP t rên máy DC:

Hình 6.2- IP trên DC Đặt IP trên máy Additional DC

Hình 6.3- IP trên Additional DC

Kiểm tra kết nối từ máy ADC đến máy PDC bằng lệnh Ping

Hình 6.4 –kiểm tra thông mạng Đặt IP trên máy Client

4.2 Cài dịch vụ Active Directory Domain Additional

Trên máy Additional Domain Controller vào Server Manager chọn Add roles and feature

In the setup process, begin by selecting "Add roles and features." Under "Before you begin" and "Select installation type," choose the destination server and click "Next." Then, in the "Select server roles" section, select "Active Directory Domain Services," add the necessary features, and proceed by clicking "Next."

Hình 6.7- chọn Active Directory Domain serveices Ở các mục còn lại next đến hết và ấn Install để cài đặt

4.3 Cấu hình Additional Domain Controller (ADC)

Bước 1: Tiến hành cài Additional Domain Controler o Cách 1: Chọn -> Promote This Server to a Domain Controller theo hình

Hình 6.8 Cửa sổ chọn Promote This Server to a Domain Controller

- Cách 2: Chọn -> Promote This Server to a Domain Controller từ Server

Hình 6.9 Cửa sổ cài đặt từ Server Manager

- Cách 3 Chọn start-> run->dcpromo.exe

- Ở mục Deployment configuration chọn add a new forest

- Nhập tên Domain Controller vào Root domain name

Hình 6.10 Cửa sổ Deployment configuation

Bước 3: Sau đó nó bắt chúng ta nhập tài khoản Administrator trong domain

Hình 6.11 Xác nhận Administrator trong domain

Bước 4:Ở mục Select a domain from the forest chọn cdnct.com và ấn OK

Hình 6.11 Xác nhận tên Domain

Bước 5:Tại Domain Controller Options, bạn có thể đánh dấu chọn vào ô Domain

Name System (DNS) server để cài đặt thêm DNS cho ADC Mục này không bắt buộc Tuy nhiên bạn nên cài để tăng tính chịu lỗi cho DNS

Bước 6: Ở mục domain controller option nhập password để khi AD lỗi có thể truy cập chế độ restore DSRM

Hình 6.12 Cửa sổ đặt Password

Bước 7: Ở mục DNS Option, Additional option chúng ta ấn next và chọn install để tiến hành nâng cấp lên Domain controller

Hình 6.13 Cửa sổ DNS Option

Bước 8: Tiếp theo ở màn hình Additional Options, mục Replicate from, bạn lựa chọn Domain mà bạn muốn đồng bộ.

Chọn Replicate là máy PDC sau đó click Next,

Hình 6.14 Cửa sổ Additional option

Bước 9: Màn hình Paths, bạn trỏ đường dẫn đến nơi cần lưu cơ sở dữ liệu của

AD, log files và SYSVOL click Next,

Bước 10: Thông báo của Additional Domain Controler

Hình 6.16 Màn hình Review option

Step 11: In the Prerequisites Check screen, receiving the message "All prerequisites check passed successfully" indicates that the conditions for installing ADC have been met Click "Install" to begin the installation process.

Hình 6.17 Màn hình Prerequisites Check

Bước 12: Sau khi hoàn tất, máy tính sẽ khởi động lại

Hình 6.18 Màn hình xác nhận khởi động lại

Bước 13: Sau khi khởi động, mở Server Manager kiểm tra

Hình 6.19 Màn hình Server Manager

Vào Server manager trên con Additional DC chọn Active directory user computer ta thấy các OU, group, user trên máy DC chính đã được đồng bộ sang máy ADC

Hình 6.20 Kết quả Additional Domain Controler

Cài đặt và cấu hình Additional Domain Controler theo mô hình sau:

Triển khai IP cho các máy Đặt IP t rên máy DC:

• Prefered DNS: 172.10.1.10 Đặt IP trên máy Additional DC

• Prefered DNS: 172.10.1.10 Đặt IP trên máy Client

Cài dịch vụ Active Directory Domain Additional, tham khảo các bước thưc hiện mục 4.2 ở bài 6 của giáo trình

Cấu hình Additional Domain Controller (ADC), tham khảo các bước thưc hiện mục 4.3 ở bài 6 của giáo trình

- Đặt IP cho đúng yêu cầu của hệ thống

- Cài đặt Cài dịch vụ Active Directory Domain Additional

- Cấu hình Additional Domain Controller (ADC)

- Hệ thống mạng đảm bảo để các máy truy cập ổn định

- Thao tác đúng các bước triển khai Active Directory Domain Additional trên hệ thống Windows server 2019

Để duy trì hiệu quả và liên tục trong việc chứng thực người dùng cũng như phân giải DNS cho hệ thống, việc xây dựng ít nhất một Additional Domain Controller là rất cần thiết.

 Trình bày được tầm quan trọng của Active Directory Domain Additional trên hệ thống

 Trình bày được các bước Tạo GPO tắt các dịch vụ và phần mềm hệ thống

 So sánh giữa System Policy và Group Policy

+ Thao tác thành thạo các bước Deploy Office trên Windows Server 2019 Thao tác thành thạo các bước cài đặt, cấu hình Active Directory Domain Additional

+ Thực hiện đúng các thao tác cài đặt, cấu hình Active Directory Domain Additional trên hệ thống windows server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác cài đặt, cấu hình Active Directory Domain Additional trên hệ thống windows server 2019

CẤU HÌNH READ -ONLY DOMAIN CONTROLLER TRÊN

Giới thiệu Read – Only Domain Controller (RODC)

A Read-Only Domain Controller (RODC) is a new type of Domain Controller introduced with Windows Server 2008 It allows businesses to easily deploy a domain controller in less secure locations, enhancing security while maintaining functionality.

Unlike Domain Controllers and Additional Domain Controllers, which are considered Fully Writable Domain Controllers capable of writing to the Active Directory Domain Services (AD DS) database, Read-Only Domain Controllers (RODC) only maintain a copy of the AD DS database from Fully Writable Domain Controllers By default, user and computer credentials are not replicated to RODCs To enhance user authentication with an RODC, it is necessary to configure the Password Replication Policy (PRP) to specify which user credentials are allowed to be stored in the RODC's cache.

 Chức năng của RODC là để củng cố an ninh tại các phòng ban chi nhánh đặt tại trụ sở chính.

Một số khó khăn trong việc quản lý phòng ban chi nhánh

Máy chủ được đặt tại trụ sở chính, cho phép người dùng kết nối qua liên kết WAN (Internet) Tuy nhiên, nhược điểm của phương pháp này là nếu liên kết WAN gặp sự cố, các phòng ban và chi nhánh sẽ không thể kết nối đến máy chủ, dẫn đến việc bị cách ly khỏi hệ thống tài nguyên mạng.

Nếu liên kết WAN vẫn hoạt động nhưng hiệu suất kém do tốc độ chậm hoặc tắc nghẽn băng thông, việc kết nối sẽ trở nên khó khăn.

Để đảm bảo truy cập liên tục vào Server, cần đặt tối thiểu một Domain Controller (DC) tại chi nhánh Biện pháp này giúp người dùng vẫn có thể truy cập bình thường ngay cả khi có sự cố với kết nối WAN Tuy nhiên, giải pháp này có nhược điểm về chi phí, vì cần phải đầu tư thêm vào Server, bản quyền hệ điều hành và thuê thêm quản trị viên cho Server.

 Các máy chủ đặt xa trung tâm dữ liệu thường không có tính giám sát cao, tính bảo mật không cao.

Vậy nên Read-Only Domain Controller sẽ giải quyết những vấn đề này RODC giống các DC khác ngoại trừ CSDL của AD không thể ghi trực tiếp.

Việc triển khai RODC tại các chi nhánh giúp giảm tải cho máy chủ chính ở trung tâm, vì chỉ có lưu lượng bản sao được phép gửi đến.

– RODC cải thiện vấn đề bảo mật vì người dùng tại chi nhánh không thể thay đổi bất kỳ thứ gì trong CSDL của AD

– Không có bất kỳ thông tin nào được tạo ra trên RODC (các thông tin tài khoản người dùng được lưu trên miền chỉ đọc)

–Nếu có ai đó đánh cắp RODC thì họ cũng không sử dụng được Server này. – Chức năng của người quản trị RODCs:

Bạn có thể chỉ định bất kỳ ai làm người quản trị RODC để quản lý nội bộ trên máy chủ mà không cần can thiệp vào Active Directory (AD).

+ Người này chỉ được phép cài đặt, vá lỗi những phần mềm, thực hiện nhiệm vụ bảo dưỡng định kỳ.

+ Việc chỉ định ai đó làm quản trị RODC giống như bổ nhiệm ai đó quản trị nội bộ 1 số lượng người nhất định.

Cấu hình Read -Only Domain Controller trên Windows Server 2019148

Nếu công ty bạn đặt trụ sở chính tại thành phố Hồ Chí Minh và có chi nhánh tại Hà Nội, việc triển khai đường truyền kết nối cơ sở hạ tầng như Lease Line hoặc VPN là cần thiết để hai hệ thống mạng ở hai địa điểm này có thể liên lạc hiệu quả với nhau.

Hiện nay, hệ thống mạng tại trụ sở chính được quản lý theo mô hình Active Directory với domain CDNCT.COM Để mở rộng quản lý cho hệ thống mạng tại Hà Nội, bạn đã kết nối các máy tính ở đây vào cùng domain CDNCT.COM.

Để đảm bảo tính ổn định cho hệ thống chứng thực tại Hà Nội, cần cấu hình thêm một máy Domain Controller (Global Catalog Server) tại đây Tuy nhiên, do chi nhánh Hà Nội không có bộ phận IT và không đảm bảo an ninh cho Domain Controller, chúng ta chỉ muốn Domain Controller tại Hà Nội lưu trữ mật khẩu và chứng thực cho các tài khoản người dùng của hệ thống ở Hà Nội Giải pháp cho nhu cầu này là triển khai một Read-Only Domain Controller tại Hà Nội, tính năng này đã xuất hiện trở lại từ Windows Server 2008 sau khi bị loại bỏ trong các phiên bản trước đó.

Trong bài viết này, chúng tôi giả định rằng máy PDC và RODC đã kết nối thành công Tuy nhiên, để đảm bảo Site Hồ Chí Minh và Site Hà Nội có thể giao tiếp, bạn cần cấu hình kết nối qua VPN hoặc Lease line Các bài viết tiếp theo sẽ hướng dẫn chi tiết cách cấu hình VPN giữa các Site.

Cấu hình server W2K19-DC làm Primary Domain Controller quản lý tên miền CDNCT.COM, W2K19-SRV01 làm Read-Only Domain Controller Trên con Primary

DC tạo ra các OU, Group và User tương ứng với từng phòng ban Ví dụ, trên máy DC đã có sẵn OU Hà Nội, không phải CANTHO trên PDC, do đó bạn có thể điều chỉnh theo nhu cầu của mình.

Nâng cấp W2K19-SRV01 thành RODC thuộc miền CDNCT.COM ( join vào domain )

Sau khi cấu hình xong RODC ngắt kết nối với PDC và sử dụng máy IT4VNWIN10CLIENT-01 để kiểm tra

3.1 Triển khai IP cho các máy Đặt IP t rên máy DC:

Hình 6.2- IP trên DC Đặt IP trên máy Read-Only DC

Hình 6.3- IP trên Additional DC

Kiểm tra kết nối từ máy ADC đến máy PDC bằng lệnh Ping

Hình 6.4 –kiểm tra thông mạng Đặt IP trên máy Client

Tạo OU, Group, User như hình trên.

Hình 7.2 Tạo OU, Group, User Trên máy W2K19-SRV01,

Thực hiện Join vào Domain, đăng nhập bằng tài khoản CDNCT\administrator

Hình 7.3 Join vào Domain CDNCT

3.2 Cài đặt Read-Only Domain Controller

Trên máy W2K19-SRV01 cài đặt dịch vụ Active Directory Domain Services

Hình 7.5 Cài đặt DC trên W2K19-SRV01

Click vào Promote this server to a domain controller

Hình 7.6 cửa sổ Promote this server to a domain controller

Tại cửa sổ Deployment Configuration, click chọn vào Add a domain controller to an existing domain

Hình 7.7 Add a domain controller to an existing domain

Tại cửa sổ Domain Controller Options, click chọn vào Read only domain controller (RODC) và đặt mật khẩu DSRM

Hình 7.8 Cấu hình Read only domain controller (RODC)

Tại cửa sổ RODC Options, tại mục Delegated administrator account, click chọn vào Select…

Hình 7.9 Cửa sổ Delegated administrator account

Add vào tài khoản anhtt trong miền, ta sẽ ủy quyền quản trị cho user này

Hình 7.10 Chọn User ủy quyền quản trị cho user

Click vào Add tại mục Accounts that are allowed to replicate passwords to the

RODC, add tài khoản anhtt

Hình 7.11 Chọn User quản lý password

Tại cửa sổ Additional Options, click vào Next

Hình 7.12 cửa sổ Additional Options

Click vào Install để cài đặt

Hình 7.13 cửa sổ cài đặt

Máy chủ tự động reset, đăng nhập lại bằng tài khoản CDNCT\administrator Vào lại dịch vụ Active Directory User and Computer

Hình 7.14 cửa sổ Active Directory User and Computer

Tại mục Domain Controllers, click chuột phải tại đây chọn Precreate RODC account…

Hình 7.15 cửa sổ Precreate RODC accoun

Tại cửa sổ Welcome to the Active Directory…., click chọn vào Use advanced mode installation

Hình 7.16 cửa sổ chào mừng

Tại cửa sổ Network Credentials, click vào Next

Hình 7.17 cửa sổ Network Credentials

Tại cửa sổ Specify the Computer Name, nhập vào tại mục Computer name: RODC

Hình 7.18 cửa sổ nhập tên máy tính

Hiện ra cửa sổ Select a Site, click vào Next

Hình 7.19 cửa sổ Select a Site

Tại cửa sổ Additional Domain Controller Options, click vào Next

Hình 7.20 cửa sổ lựa chọn thêm DC

Tại cửa sổ Specify the Password Replication Policy, click vào Add…

Hình 7.21 cửa sổ Specify the Password Replication Policy

Chọn vào Allow passwords for the account to replicate to this RODC

Hình 7.22 cửa sổ cho phép RODC

Add vào tài khoản anhtt

Hình 7.23 cửa sổ thêm User

Tại cửa sổ Delegation of RODC Installation and Administration, click vào Next

Hình 7.24 cửa sổ Delegation of RODC Installation and Administration

Tại cửa sổ Summary, click vào Next

Tại cửa sổ Active Directory Users and Computers, trong mục Domain Controllers, click chuột phải tại W2K19-SRV01, chọn Properties

Trong cửa sổ W2K19-SRV01 Properties, chuyển sang tab Password Replication

Hình 7.28 cửa sổ Password Replication Policy

Thực hiện add thêm máy WIN10CLIENT-01 vào

Hình 7.29 cửa sổ thêm Client

Chuyển sang máy WIN10CLIENT-01 join vào domain CDNCT.COM

Hình 7.30 cửa sổ join DC

Sau khi máy WIN10 CLIENT khởi động lại log in vào tài khoản CDNCT\anhtt đã được ủy quyền

Hình 7.31 cửa sổ đăng nhập

Chuyển sang máy W2K19-DC ngắt kết nối card mạng với RODC

Hình 7.32 cửa sổngắt kết nối card mạng với RODC

Và ta thấy server RODC vẫn hoạt động độc lập mà không phụ thuộc vào PDC nữa

Cài đặt và cấu hình Additional Domain Controler theo mô hình sau:

Hình 7.21 mô hình Additional Domain Controler (cntt.cdnct.com)

Triển khai IP cho các máy Đặt IP t rên máy DC:

• Prefered DNS: 172.10.1.10 Đặt IP trên máy Additional DC

• Prefered DNS: 172.10.1.10 Đặt IP trên máy Client

Cài dịch vụ Active Directory Domain Additional, tham khảo các bước thưc hiện mục 4.2 ở bài 6 của giáo trình

Cấu hình Additional Domain Controller (ADC), tham khảo các bước thưc hiện mục 4.3 ở bài 6 của giáo trình

- Đặt IP cho đúng yêu cầu của hệ thống

- Cài đặt Cài dịch vụ Active Directory Domain Additional

- Cấu hình Additional Domain Controller (ADC)

- Hệ thống mạng đảm bảo để các máy truy cập ổn định

- Thao tác đúng các bước triển khai Active Directory Domain Additional trên hệ thống Windows server 2019.

Để duy trì hiệu quả trong việc chứng thực người dùng và phân giải DNS, cần thiết lập ít nhất một Domain Controller bổ sung theo mô hình Read-Only Domain Controller Điều này sẽ giúp đảm bảo hệ thống hoạt động liên tục và ổn định.

 Trình bày được tầm quan trọng của Read-Only Domain Controller trên hệ thống

 Trình bày được các bước đặt IP cho hệ thốnghệ thống

 Trình bày thạo các bước cài đặt, cấu hình Read-Only Domain Controller

+ Thao tác thành thạo các bước đặt IP cho hệ thống

Thao tác thành thạo các bước cài đặt, cấu hình Active Directory Domain Additional

+ Thực hiện đúng các thao tác cài đặt, cấu hình Read-Only Domain Controller trên hệ thống windows server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác cài đặt, cấu hình Read-Only Domain Controller trên hệ thống windows server 2019

LOAD BALANCING TRÊN WINDOWS SERVER 2019

về load balancing

Cân bằng tải, hay thiết bị cân bằng tải internet và server, là một phương pháp hiệu quả để tối ưu hóa nguồn lực, tối đa hóa thông lượng và giảm thời gian phản hồi Phương pháp này giúp ngăn chặn tình trạng quá tải trên máy chủ và đường truyền internet.

Thiết bị cân hàng tải load balancing internet và server đều được sử dụng với mục đích hỗ trợ cho hệ thống máy chủ server và internet

Giải pháp cân bằng tải (Network Load Balancing) phân bổ lưu lượng truy cập đồng đều giữa nhiều máy chủ trong cùng một hệ thống, giúp giảm thiểu tình trạng quá tải và ngưng hoạt động của một máy chủ Khi một máy chủ gặp sự cố, hệ thống sẽ tự động phân phối công việc sang các máy chủ khác, nâng cao thời gian uptime và cải thiện năng suất hoạt động tổng thể.

1.2 Lợi ích của Load balancing

Nâng cao khả năng đáp ứng, hạn chế trạng thái quá tải trên máy chủ, đảm bảo tính linh hoạt và mở rộng cho hệ thống

Tăng cường độ tin cậy và khả năng dự phòng cho hệ thống là rất quan trọng Thiết bị này giúp nâng cao tính sẵn sàng cao (High Availability - HA) cho hệ thống, đồng thời đảm bảo rằng khách hàng không bị gián đoạn dịch vụ khi nhà cung cấp gặp sự cố tại một điểm sản xuất.

Tăng cường bảo mật cho hệ thống bằng cách xử lý yêu cầu qua bộ cân bằng tải, giúp ngăn chặn người dùng giao tiếp trực tiếp với máy chủ nội bộ Điều này không chỉ ẩn thông tin và cấu trúc mạng mà còn bảo vệ hệ thống khỏi các cuộc tấn công mạng và các nhà sản xuất không phù hợp hoạt động trên các cổng khác.

Tăng tính bảo mật thiết bị cân bằng tải sẽ tiếp nhận và xử lí thông tin được gửi đến sau đó chuyển chúng tới hệ thống máy chủ

Các thiết bị cân bằng tải không chỉ giúp phân phối lưu lượng truy cập mà còn có khả năng ngăn chặn người dùng giao tiếp trực tiếp với máy chủ Điều này giúp bảo vệ hệ thống khỏi sự xâm nhập trái phép của hacker, từ đó bảo vệ thông tin nội bộ quan trọng.

Khả năng mở rộng là yếu tố quan trọng khi đối mặt với sự gia tăng đột biến của lưu lượng truy cập, ảnh hưởng lớn đến hiệu suất của máy chủ Việc cân bằng tải cho phép thêm nhiều máy chủ vào hệ thống, giúp xử lý hiệu quả hơn các yêu cầu ngày càng tăng.

Tăng cường khả năng đáp ứng và ngăn ngừa tình trạng quá tải cho hệ thống máy chủ và đường truyền internet, đồng thời đảm bảo tính linh hoạt và khả năng mở rộng của hệ thống.

Thiết bị cân bằng tải được trang bị tính năng hiện đại, giúp nâng cao khả năng dự phòng cho hệ thống, tăng cường tính High Availability và ngăn chặn các sự cố gây gián đoạn dịch vụ tại các điểm cung cấp.

1.3 Nguyên lí hoạt động hiết bị cân bằng tải load balancing

Thiết bị cân bằng tải tạo ra một địa chỉ IP ảo cho mạng bên ngoài, địa chỉ này được ánh xạ với các địa chỉ máy chủ nội bộ.

Lớp IP này giúp ngăn chặn các thiết bị bên ngoài truy cập vào máy chủ nội bộ, chỉ cho phép truy cập vào cấu hình ảo đã được thiết lập.

Hệ thống cân bằng tải lựa chọn máy chủ đám mây để chuyển tiếp yêu cầu dựa trên hai yếu tố chính Đầu tiên, cần đảm bảo rằng các máy chủ đám mây đã được chọn có khả năng phản hồi chính xác các yêu cầu Sau đó, hệ thống sử dụng một quy tắc đã được cấu hình sẵn để lựa chọn một hoặc nhiều máy chủ đám mây phù hợp.

Hệ thống cân bằng tải chỉ chuyển dữ liệu đến các server backend có hiệu suất tốt Để đảm bảo sức khỏe của server backend, hệ thống thường xuyên kiểm tra thông qua các giao thức và cổng được quy định Nếu server không đáp ứng yêu cầu kiểm tra sức khỏe, chúng sẽ tự động bị loại khỏi hệ thống cho đến khi có khả năng phản hồi lại.

1.4 Cân bằng tải có thể xử lý loại giao thức dữ liệu nào?

Quản trị viên của hệ thống cân bằng tải có thể tạo các quy định chuyển tiếp đối với bốn loại giao thức chính:

- HTTP – Chuẩn cân bằng HTTP trực tiếp yêu cầu dựa trên cơ chế HTTP chuẩn

Bộ cân bằng tải thiết lập các tiêu đề X-Forwarded-For, X-Forwarded-Proto và X-Forwarded-Port nhằm cung cấp thông tin chi tiết về các yêu cầu gốc gửi đến hệ thống backend.

HTTPS hoạt động tương tự như HTTP nhưng có thêm mã hóa để bảo mật dữ liệu Mã hóa có thể được thực hiện theo hai cách: một là duy trì mã hóa từ đầu đến cuối thông qua SSL, hoặc hai là sử dụng bộ giải mã trên hệ thống cân bằng tải, cho phép dữ liệu không mã hóa được gửi đến điểm cuối.

TCP có thể được cân bằng cho các ứng dụng không sử dụng HTTP hoặc HTTPS Ví dụ, lưu lượng truy cập vào một cụm cơ sở dữ liệu có thể được phân phối đều trên tất cả các máy chủ.

- UDP – Gần đây, một số hệ thống đã hỗ trợ cân bằng tải cho giao thức Internet cốt lõi như DNS và syslogd sử dụng UDP

Cấu hình NIC Teaming trên Windows

NIC Teaming là chức năng kết hợp nhiều Card mạng (NIC) vật lý thành một NIC logic, giúp cải thiện khả năng cân bằng tải và độ sẵn sàng cao cho hệ thống mạng doanh nghiệp Khi một trong các Card mạng gặp sự cố, các Card mạng còn lại sẽ tự động đảm nhận kết nối mà không cần sử dụng phần mềm bên thứ ba.

NIC Teaming là một tính năng có sẵn trong Windows Server 2019, tương tự như Bonding trên Linux Khi sử dụng NIC Teaming, bạn cần đảm bảo tắt Firewall để tránh xung đột Tính năng này cho phép chuyển đổi giữa các card mạng khác nhau khi có sự cố, giúp cân bằng tải hiệu quả.

NIC Teaming trên Windows Server 2019 hỗ trợ tất cả các loại NIC và cho phép kết hợp nhiều hãng khác nhau trong cùng một nhóm Bên cạnh khả năng cân bằng tải (Load Balancing), NIC Teaming còn cung cấp tính năng chịu lỗi (Fault Tolerance).

Ta có sơ đồ bài Lab như sau:

Hình 8 1 Mô hình NIC Teaming

Trên con Server 2016 ta mở Server Manager lên

In the Local Server section, we observe that NIC Teaming is currently disabled on this server, displaying three network cards that we will configure for NIC Teaming: VM Network, WAN, and DMZ.

Hình 8 3 Cửa sổ Local Server

To configure NIC Teaming, click on the "Disable" option In the "Adapters and Interfaces" section, hold down the Ctrl key and select all three network cards Then, choose "Task" and click on "Add to new team."

Trong bảng New team, chúng ta sẽ nhập tên cho card mạng mới, bao gồm tất cả các card mạng cũ, và có thể đặt tên tùy ý (mình sẽ đặt là NIC Teaming) Tiếp theo, hãy tích chọn vào 3 card mạng mà bạn cần cấu hình.

Team name:điền tên của Team cần tạo – trường hợp này là NIC Teaming

Member adapters: chọn NIC cần thêm vào team – trường hợp này chọn 3 NIC đầu Addional properties: Lựa chọn những thuộc tính đi kèm

Static Teaming là một cấu hình yêu cầu thiết lập trên cả switch và host để xác định các liên kết tham gia vào card mạng gộp Do được cấu hình thủ công, nên không cần thêm giao thức hỗ trợ cho việc xác định đường truyền và phát hiện lỗi trong quá trình thiết lập Cấu hình này thường được hỗ trợ bởi các switch lớp server và được sử dụng phổ biến trong việc phân chia tải giữa các card mạng trong hệ thống.

 Switch Independent: các card mạng được kết nối vào các switch khác nhau, cung cấp các đường truyềndự phòng cho hệthốngmạng

 LACP: giao thức để tạo EthernetChanel

Dynamic teaming, hay còn gọi là IEEE 802.3ad, là một phương thức hoạt động dựa trên giao thức Link Aggregation Control Protocol (LACP) theo tiêu chuẩn IEEE 802.1ax Giao thức này tự động xây dựng và điều chỉnh các card mạng gộp, đồng thời xác định các kết nối giữa switch và host nào sẽ tham gia vào card mạng gộp Để áp dụng phương thức này, các thiết bị cần phải hỗ trợ LACP.

 Address Hash: dùng cho máy thật

 Hyper-V Port: dùng cho máy ảo

+Standby Adapter: đây là chức năng Fault Tolerance

 Non (all adapters Active): tất cả đều active và chạy LoadBalancing ( k có Fault Tolerance )

 Tên adapter 1… : nếu chọn Adapter 1, thì adapter 1 sẽ về chế độ standby, nếu có NIC nào fail nó sẽ lên làm active

 Tên adapter 2…: tương tự như trên

Mình sẽ setup cấu hình NIC Teaming như sau,vì 3 card mạng này không nằm cùng dải nên mình sẽ sử dụng Switch Independent

Hình 8.5 Cửa sổ Switch Independent

Ta thấy sau khi cấu hình nó báo bị faulted các bạn đợi 1 lúc thì card mạng sẽ active lên

Hình 8.6 Cửa sổ card mạng active

Như vậy là chúng ta đã thành công

Hình 8.7 Cửa sổ card mạng active thành công

Chúng tôi vừa giới thiệu một card mạng mới mang tên Nic teaming Để cấu hình card mạng này, bạn cần đặt IP giống như card LAN, với IP là 2 để trỏ DNS về Domain Controller, giúp phân giải tên miền CDNCT.vcode.ovh.

Hình 8.8 Cửa sổ đặt IP

Tất cả các card mạng còn lại đã bị vô hiệu hóa các tính năng ngoại trừ tính năng Multiplexor, nhằm hỗ trợ gộp card mạng NIC Teaming Hiện tại, chỉ còn một card NIC Teaming hoạt động, đảm nhận toàn bộ chức năng cho các card mạng còn lại, giúp chúng vẫn hoạt động hiệu quả.

Hình 8.8 Cửa sổ card mạng Nic Teaming

Khi chúng ta sử dụng 3 card mạng ở 3 dải khác nhau, việc thử Ping giữa Server và Client thường thất bại do Client không kết nối với dải VM Network và WAN Để khắc phục vấn đề này, chúng ta cần vô hiệu hóa 2 card mạng không cần thiết và giữ lại card DMZ.

Hình 8.10 Cửa sổ Disable card mạng

Và kếtquả nó đã Ping thông với nhau

Hình 8.10 Cửa sổ Ping thông mạng

Để tránh việc phải vô hiệu hóa bất kỳ card mạng nào, việc cấu hình NIC Teaming cho ba card mạng LAN sẽ mang lại hiệu quả cao hơn cho các dịch vụ Cách cấu hình NIC Teaming cho ba card mạng LAN tương tự như việc kết hợp ba card mạng khác dải, và đều có thể thực hiện dễ dàng trong bài lab này.

Triển khai cân bằng tải Web

3.1 Giới thiệu cân bằng tải Web

Một website có khả năng mở rộng cho phép đáp ứng nhanh chóng nhu cầu của người dùng khi số lượng tăng lên đáng kể trong thời gian ngắn Hơn nữa, website này có thể dễ dàng nâng cấp để phù hợp với các yêu cầu và tình hình mới.

Các website hiện đại cần thiết kế với khả năng mở rộng lớn để phục vụ hàng triệu yêu cầu mỗi ngày và có thể nâng cấp khi cần thiết Để đáp ứng hàng chục triệu lượt truy cập, website phải đảm bảo khả năng mở rộng, tính linh hoạt, tính phản hồi nhanh, sẵn sàng cao, giảm thiểu thời gian chết, khả năng bảo trì hiệu quả và chi phí xây dựng hợp lý.

Khả năng mở rộng là yếu tố quan trọng của một ứng dụng, cho phép nó hỗ trợ số lượng người truy cập ngày càng tăng Nếu một ứng dụng mất 10ms để đáp trả một yêu cầu, thì khả năng mở rộng vô hạn cho phép nó xử lý 10.000 yêu cầu cùng lúc trong cùng khoảng thời gian 10ms Do đó, khả năng mở rộng được đo bằng số lượng người dùng đồng thời mà một cụm server có thể hỗ trợ và thời gian cần thiết để xử lý mỗi yêu cầu.

Thiết kế website với khả năng mở rộng cao là điều kiện thiết yếu cho các công ty dịch vụ web hiện nay Để tồn tại và phát triển, một website cần đáp ứng nhanh chóng và hiệu quả các yêu cầu của người dùng trong thời gian họ mong muốn.

Hiệu năng của hệ thống thể hiện khả năng sử dụng tài nguyên một cách tối ưu Chẳng hạn, trong trường hợp hai server có cấu hình giống nhau, server nào có khả năng phục vụ nhiều người dùng hơn (với các ứng dụng tương đương) sẽ được coi là có hiệu năng cao hơn.

Khả năng có sẵn cao đề cập đến tình trạng dư thừa trong hệ thống Điều này có nghĩa là nếu một máy chủ không thể xử lý một yêu cầu, các máy chủ khác trong cụm (cluster) có thể đảm nhận và quản lý yêu cầu đó một cách hiệu quả.

Trong một hệ thống có khả năng sẵn sàng cao, khi một web server gặp sự cố, một web server khác sẽ ngay lập tức tiếp quản để xử lý yêu cầu Điều này đảm bảo rằng nếu người dùng đang làm việc với một server bị lỗi, toàn bộ thông tin và tiến trình làm việc của họ sẽ được chuyển giao cho server khác một cách liền mạch.

Trong mọi tình huống, người dùng luôn được đáp ứng khi truy cập vào các dịch vụ của hệ thống, điều này giúp họ cảm thấy được phục vụ tốt nhất Tính đáp ứng của hệ thống thể hiện khả năng phục vụ người dùng mọi lúc, đồng thời đảm bảo thời gian phản hồi nhanh chóng.

Hệ thống có khả năng gửi phản hồi nhanh chóng sẽ có tính đáp ứng cao, trong khi đó, nếu thời gian trì hoãn lớn, tính đáp ứng sẽ giảm xuống.

Khi người dùng truy cập vào một trang web và phải chờ đợi lâu để tải dữ liệu, họ có thể tìm công việc khác để làm, thậm chí quên mất dịch vụ web và đóng trình duyệt Hành động này gây lãng phí lớn vì hệ thống vẫn giữ phiên session mà không phục vụ ai Tính đáp ứng và hiệu suất của hệ thống là hai yếu tố độc lập; một hệ thống có hiệu năng tốt vẫn có thể có khả năng đáp ứng kém.

Ảnh hưởng của thời gian ngừng hoạt động là một vấn đề phổ biến mà mọi hệ thống đều phải đối mặt, khi hệ thống gặp sự cố và không thể hoạt động, dẫn đến việc các chức năng chính bị tê liệt Đây là một thách thức thường xuyên đối với các nhà phát triển hệ thống.

Một hệ thống hiệu quả giúp người dùng truy cập nhanh chóng, từ đó gia tăng sự hài lòng và số lượng người dùng Khi số lượng người dùng tăng, hệ thống có thể gặp tình trạng tắc nghẽn, buộc quản trị mạng phải xử lý vấn đề này để duy trì hiệu suất tối ưu Điều quan trọng là kéo dài chu kỳ hoạt động của hệ thống, đảm bảo nó hoạt động hiệu quả trong thời gian dài trước khi cần nâng cấp, đồng thời xây dựng một hệ thống có khả năng mở rộng tốt.

Hệ thống web cần dễ dàng bảo trì và có chi phí hợp lý Việc xây dựng một hệ thống như vậy gặp nhiều thách thức, trong đó quan trọng nhất là cân bằng tải cho application server, database server, tổ chức lưu trữ dữ liệu trên đĩa cứng và cân bằng tải cho cache.

3.2 Cấu hình cân bằng tải Web

Hình 8.11 Mô hình cân bằng tải Web

3.2.1 Cài đặt Network Load Balancing

Từ giao diện Server Manager

Hình 8.12 Giao diện quản lý Server Manager

Click chọn Add roles and features -> next…->

Hình 8.13: Cài network Policy and Access Services

Hình 8.14: Cài network load balancing

Click chọn network load balancing => install => Close => Restart lại máy.

Trên máy Webserver 2 (tương tự như Webserver 1)

Quá trình tạo ra website thứ 2 trên Server 2 cũng tương tự như trên Server 1 Đã phân giải thành công website 2

Trong quá trình thiết lập cân bằng tải, một địa chỉ IP ảo sẽ được tạo ra, đại diện cho cả hai website Địa chỉ IP ảo này nằm trong cùng một mạng với địa chỉ IP của hai máy chủ web.

Triển khai cấu hình trên máy Webserver 1.

Hình 8.17: Giao diện newtwork Load Balancing Manager

Từ giao diện Server Manager -> Chọn Tools -> click chọn Network Load Balancing -> Right click chọn -> new Cluster

Hình 8.17: Tạo New Cluster Host: nhập 192.168.4.90 (IP Webserver 1) -> Connect

Hình 8.18: Chọn Server web chính

Next -> next -> Add IPv4 address: 192.168.4.99 (Virtual IP) SM: 255.255.255.0

Ok -> next Full internet name: gõ www.ntbh.np-ip.org Click chọn Muticast

Tiếp theo Port Rules -> click Edit -> port Range

Hình 8.21: Chọn Port Giao diện Network Load Balancing -> www.ntbh.no-ip.org(192.168.4.99) -> Right Click Chọn Add Host To Cluster -> Host: 192.168.4.91 (IP Webserver 2) ->

Hình 8.22: Tạo 1 host cluster IP Webserver 2

Thêm server web 2 vào sau đó trong load balancing sẽ có 2 server web

Hình 8.23: Network load balancing nhận 2 web Server

Trên máy client truy cập vào địa chỉ IP ảo sẽ vào server web2

Hình 8.24: Client truy cập vào Server web 2 Disible card mạng server web 2

Hình 8.25: Disbile card mạng Server 2 Truy cập vào lại IP ảo sẽ truy cập vào server web1

Hình 8.26: Truy cập vào Web 1 Disible card mạng server web1 đồng thời enable server web2

Hình 8.27: Disable card mạng Server 1

Hình 8.28: Máy client truy cập Web 2 khi enable card server 2

Cài thêm dịch vụ DNS để phân giải ip ảo cho tên CDNCT.COM / TENSV, sau đó truy cập vào tên CDNCT.COM / TENSV sẽ vào server web1

Hình 8.29: Máy client truy cập vào Web1 khi enable Server 1

Triển khai cân bằng tải File

Hiện nay, nhu cầu truy cập mạng ngày càng tăng cao, dẫn đến tình trạng quá tải cho các server cung cấp dịch vụ Việc đầu tư vào một server đơn lẻ có cấu hình mạnh mẽ sẽ tốn kém chi phí Giải pháp hiệu quả là sử dụng một nhóm server hoạt động đồng thời dưới sự quản lý của công cụ phân phối tải.

4.2 Cấu hình cân bằng tải cho File

Bước 1: Trên Namespace Server và File Server

Mở Server Manager ->Manage -> Add Roles and Features -> Next đến

Select Server Roles: Bung File and Storage Service -> Check vào DFS Namespace và DFS Replication

( Nếu File Server và Namespace Server riêng thì File Server cài DFS Replication, Namespace Server cài DFS Namespace)

Hình 8.30 cửa sổ Add Roles DFS

Next mặc định và Install

Làm tương tự cho 2019may2

Bước 2: Thực hiện trên File Server

Trên File Server: tạo và phân quyền các thư mục chứa dữ liệu

Trên máy 2019may1: tạo folder Data chứa 2 folder con (subfolder) là NhanSu(xóa group Users, Group Nhansu: Modify) và KeToan (xóa group Users, Group KeToan: Modify)

Trên máy 2019may2: tạo folder Data.bak chứa 2 subfolder: NhanSu.bak và KeToan.bak, phân quyền như trên

Lưu ý: 2019may2 có thể đặt tên folder giống như 2019may1 (tùy ý đặt tên).

Bước 3: Thực hiện trên Namespace Server

Tạo Namespace (khi tạo namespace phải chỉ định Namespace server)

Kiểm tra DFS Namespace service và DFS Replication service trên 2 máy phải ở trạng thái “ running”

Vào Server Manager -> Tools -> DFS Management

Hình 8.31 cửa sổ DFS Management

Chọn vào Namespace -> New Namespace

Namespace Server > Server: chỉ định namespace server, ta browse về máy 2019may1

Ta thấy cấu trúc namespace “ DataCongTy” được lưu trong folder DFS root

When sharing folder permissions within a namespace structure, it's essential to select the appropriate access level Administrators are granted full access, while other users receive read-only permissions This setup allows users to view the namespace structure without the ability to modify it, ensuring that the integrity of the system is maintained.

Hoặcta co thể chọn use custom permissions: để phân quyền tùy nhu cầu -> NEXT

Namespace Type: Domain-based namespace: (vì đang làm trên môi trường domain)

Sau đó bung Namespaces -> hiện ra đường dẫn luận lý: \\tuhocmang.local\DataCongTy Đường dẫn này chưa chứa dữ liệu nào Đây mới chỉ là yếu tố luận lý

Chọn vào đường dẫn -> Add Namespace Server

Ta Browse về server 2019may2 ( cấu hình 2 namespace để đảm bảo 1 trong 2 namespace bị failed thì người dùng vẫn có thể truy xuất dữ liệu)

Phần Edit Settings ta cũng phân quyền như trên -> OK

Qua tab Namespace Server, xuất hiện 2 Namespace Server

( 2 Namespace server sẽ tự đồng bộ namespace)

Bước 4: Tại File Server tạo Replicaiton group

Mở cửa sổ DFS Management

Chọn Namespaces -> Add Namespace to display: để đồng bộ với namespace server khác (nếu chưa tự đồng bộ) -> Browse về 2019may2

Chọn Replication -> New Replication Group

Do ta đang muốn cấu hình file server hướng đến mục tiêu thứ 1: chia tải và chịu lỗi nên chọn Multipurpose replicatiton group -> Next

Name of replication: DongBoDaTaCongTy -> Next

Add các máy làm File Server: ta add 2019may1 và 2019may2 -> Next

Hình 8.33 cửa sổ Replication Group Member

Topology Selection: Chọn Full Mesh -> Next

Replication Group Schedule and Bandwidth (đã nói ở đầu bài) Ta chọn 64MB Primary Member: chọn 2019may1

Folders to Replicate: Đồng bộ những folder nào

Local Path of folder to replicate: ta Browse về folder KeToan

Folder KeToan ta đã phân quyền NTFS rồi (mặc định là giữ lại các quyền NTFS trên folder )

Nếu muốn chỉnh quyền lại thì ta chọn Permissions

Ta thấy rằng, ta cần đồng bộ thêm folder NhanSu Nhưng ta chỉ cần add 1 folder KeToan thôi Các folder còn lại thì nên Add sau.

Local Path Of KeToan on Other Member: Chỉ định folder sẽ đồng bộ với folder

KeToan Ta muốn folder KeToan trên 2019may1 sẽ đồng bộ với folder KeToan.bak trên 2019may2

Chọn Edit ->Enable ->Browse về folder KeToan.bak

Hình 8.35 cửa sổ folder KeToan.bak

To make the selected replicated folder on this member read-only, checking this option will ensure that the permissions on the folder KeToan.bak mirror those of the folder KeToan, aligning with the Primary Server's settings At this stage, the system allows the selection of only one folder, which is why the Local Path for the folder to replicate is limited to a single folder on the server 2019may1.

Còn việc đồng bộ giữa NhanSu trên 2019may1 và NhanSu.bak trên 2019may2 ta sẽ làm sau

Hình 8.36 cửa sổ đồng bộ

Ta tiếp tục chọn New Replicated Folder để cấu hình cho folder NhanSu đồng bộ với folder NhanSu.bak

Mở DFS Management -> Namespace -> phải chuột \\tuhocmang.local\DataCongTy

Folder Target: Không khai báo gì cả -> OK

Data: là 1 thư mục mang tính cấu trúc (Loại 1) Bây giờ ta đi share và publish

Chọn Replication -> Add Replication to Display -> Chọn DongBoDataCongTy

Hình 8.37 cửa sổ dữ liệu đòng bộ

 Chọn vào DongBoDataCongTy -> Bên phải chọn Tab Replicated Folder -> Phải chuột KeToan -> Share and Publish in Namespace

 Publishing Method: Chọn Share and publish the replicated folder in a namespace -> Next

 Share Replicated Folder: chọn 2019may1

Nó yêu cầu ta share folder KeToan và share với quyền gì Ta chọn Edit Permission -

> cho everyone Full control (vì ta đã phân quyền NTFS rồi)

Sau đó chọn tiếp 2019may2 -> Edit

New: share name đặt là KeToan.bak cho dễ quản lý (share name đặt giống 2019may1 khó quản lý)

Namespace Path: Ta sẽ publish folder này ở cấp nào:

Ta Browse về Data => đường dẫn để truy xuất dữ liệu sẽ bắt đầu bằng:

New folder name: có thể tạo tên mới để che cấu trúc folder đi ( thay vì mặc định là

 Ta thấy KeToan đại diện cho KeToan và KeToan.bak

 Nếu muốn thay đổi đường dẫn ta vào Data -> KeToan -> Move Folder để đổi tên lại ( giả sử đổi lại như hình)

 Làm tương tự cho folder NhanSu (Share and Publish)

\\tuhocmang.local\DataCongTy\Data\KeToan -> tạo folder KT1

Trên folder KeToan và KeToan.bak xuất hiện folder KT1 ( đồng bộ)

Để khắc phục sự cố với card mạng 2019may2, người dùng cần truy cập vào đường dẫn bình thường và xóa folder KT1 Sau khi thực hiện thao tác này, hãy kích hoạt lại card mạng 2019may2 và kiểm tra trong KeToan.bak để xác nhận rằng folder KT1 đã bị mất do quá trình đồng bộ.

 Primary Server và Secondary Server là như nhau, chỉ khác là đường dẫn mặc định lấy tên folder của primary Server

 DFS Replication chỉ làm việc trên Domain

 DFS xây dựng trên môi trường workgroup chỉ hỗ trợ Load Balacing, không hỗ trợ Failover

 Triển khai cân bằng tải cho Webserver trên hệ thống Windows servver 2019

 Triển khai cân bằng tải cho Fle trên hệ thống Windows servver 2019

 Triển khai cân bằng tải cho NIC Teaming trên hệ thống Windows servver 2019

 Triển khai cân bằng tải cho Webserver trên hệ thống Windows servver 2019, tham khảo mục 4 ở bài 8 của giáo trình

 Triển khai cân bằng tải cho Fle trên hệ thống Windows servver 2019, tham khảo mục 3 ở bài 8 của giáo trình

 Triển khai cân bằng tải cho NIC Teaming trên hệ thống Windows servver 2019, tham khảo mục 2 ở bài 8 của giáo trình

- Đặt IP cho đúng yêu cầu của hệ thống, cho từng phần cân bằng tải

- Cài đặt và cấu hình NIC Teaming trên hệ thống

- Cài đặt và cấu hình Webserver trên hệ thống

- Cài đặt và cấu hình File trên hệ thống

- Thao tác đúng các bước triển khai cân bằng tải trên hệ thống Windows server

Hình 8.39 cân bằng tải cho Webserver

 Trình bày được tầm quan trọng của Load balancing trên hệ thống

 Trình bày được các bước triển khai Load Balancing NIC Teaming

 Trình bày được các bước triển khai Load Balancing Webserver

 Trình bày được các bước triển khai Load Balancing File

+ Thực hiện các tao tác thành thạo về Load Balancing NIC Teaming trên Windows Server 2019

+ Thao tác thành thạo các bước cài đặt, cấu hình Load Balancing Webserver + Thực hiện đúng các thao tác triển khai Load Balancing File trên hệ thống windows server 2019

 Về kỹ năng: Đánh giá kỹ năng thực hành thực hiện các thao tác triển khai Load Balancing Webserver, File, NIC Teaming trên hệ thống windows server 2019

PHUƠNG PHÁP VÀ NỘI DUNG ĐÁNH GIÁ

+ Có khả năng phát hiện các sự cố

+ Trình bày được các biện pháp sao lưu dự phòng

+ Đánh giá được các thông lượng đường truyền.

+ Trình bày được việc cài đặt, cấu hình kết nối Internet

+ Có khả năng phát hiện và khôi phục Server bị hỏng

+ Có khả năng tinh chỉnh và giám sát mạng Windows Server

+ Triển khai được dịch vụ Routing and Remote Access (RRAS)

+ Có khả năng cài đặt và quản lý máy tính từ xa thông qua RAS

+ Xây dựng được một mạng riêng ảo VPN

+ Trình bày cấu hình additional domain controller trên windows server 2019. + Trình bày cấu hình read-only domain controller trên windows server 2019 + Trình bày load balancing trên windows server 2019

+ Cài đặt, gỡ bỏ được các phần mềm yểm trợ Terminal service

+ Thực hiện được việc tinh chỉnh và giám sát mạng Windows Server

+ Triển khai được dịch vụ Routing and Remote Access (RRAS)

+ Thực hiện được cài đặt và quản lý máy tính từ xa thông qua RAS

+ Xây dựng được một mạng riêng ảo VPN

+ Cài đặt và cấu hình được trên Windows Server

+ Thực hiện được các Rule theo yêu cầu

+ Triển khai cấu hình additional domain controller trên windows server 2019 + Triển khai cấu hình read-only domain controller trên windows server 2019 + Triển khai load balancing trên windows server 2019

 Cẩn thận, thao tác nhanh, chuẩn xác, tự giác trong học tập.

Tiêu đề	Giáo Trình Quản Trị Mạng Nâng Cao
Tác giả	Nguyễn Hoàng Vũ
Trường học	Cần Thơ
Chuyên ngành	Quản trị mạng
Thể loại	giáo trình
Năm xuất bản	2021
Thành phố	Cần Thơ

Định dạng
Số trang	198
Dung lượng	9,2 MB