Quản trị mạng nâng cao (Trung cấp Quản trị mạng máy tính) - Nguồn: BCTECH

Các chính sách hạn chế phần mềm có thể được cấu hình để cho phép hoặc từ chối sự sử dụng đối với một số ứng dụng nào đó và vẫn được sử dụng trong các máy tính công cộng, mặc dù vậy chúng[r]

BM/QT10/P.ĐTSV/04/04 Ban hành lần:

UBND TỈNH BÀ RỊA – VŨNG TÀU

TRƯỜNG CAO ĐẲNG KỸ THUẬT CƠNG NGHỆ

GIÁO TRÌNH

MƠ ĐUN :QUẢN TRỊ NÂNG CAO NGHỀ: QUẢN TRỊ MẠNG

TRÌNH ĐỘ: TRUNG CẤP

BÀ RỊA – VŨNG TÀU, NĂM 2020

TUYÊN BỐ BẢN QUYỀN

Nhằm đáp ứng nhu cầu học tập nghiên cứu cho giảng viên sinh viên nghề Công nghệ Thông tin trường Cao đẳng Kỹ thuật Công nghệ Bà Rịa – Vũng Tàu, thực biên soạn tài liệu Quản trị mạng

Tài liệu biên soạn thuộc loại giáo trình phục vụ giảng dạy học tập, lưu hành nội Nhà trường nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo

LỜI GIỚI THIỆU

Giáo trình “Quản trị mạng nâng cao” biên soạn dựa khung chương trình đào tạo Cao đẳng nghề Công nghệ Thông tin năm 2019 Trường Cao đẳng Kỹ thuật Công nghê Bà Rịa – Vũng Tàu phê duyệt

Tác giả nghiên cứu số tài liệu, công nghệ đại kết hợp với kinh nghiệm làm việc thực tế để viết nên giáo trình Nội dung tác giả trình giáo trình trang bị cho học viên kiến thức kỹ năng:

- Xây dựng quản trị hạ tầng Active directory - Cài đặt quản trị hạ tầng khóa CA

- Cài đặt cấu hình DHCP relay agent

- Có khả tinh chỉnh giám sát mạng Windows Server; - Triển khai dịch vụ Routing and Remote Access (RRAS); - Có khả phát khơi phục Server bị hỏng;

- Có khả cài đặt quản lý máy tính từ xa thơng qua RAS; - Xây dựng mạng riêng ảo VPN;

- Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall;

- Thực thao tác xuất, nhập sách Firewall thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập

Nội dung giáo trình chia thành bài, đó: Bài 1: Dịch vụ windows terminal services

Bài 2: Tính bảo mật nâng cao server Bài 3: Thực thi distributed ad ds deployments Bài 4: Operations master roles

Bài 5: Dịch vụ routing Bài 6: Dịch vụ nat

Bài 7: Dịch vụ dhcp relay

Bài 8: Dịch vụ virtual private network

Bài : Triển khai dịch vụ dựa certification authority

Mặc dù thân tham khảo tài liệu ý kiến tham gia đồng nghiệp, song giáo trình khơng tránh khỏi thiếu sót Mong bạn đóng góp ý kiến

Tôi xin cảm ơn thầy cô khoa CNTT–Trường Cao đẳng nghề cho ý kiến đóng góp q báu để tơi hồn thiện giáo trình

Bà Rịa – Vũng Tàu, ngày …… tháng …… năm ……… Tham gia biên soạn

1 Vũ Thị Tho – Chủ biên

MỤC LỤC

BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES

1 Tại phải dùng Terminal services

2 Các hình thức máy trạm kết nối đến máy chủ:

3 Cài đặt cấu hình Terminal Service

3.1 Cài đặt Terminal Services:

3.2 Thêm chương trình ứng dụng RemoteApp 13

3.3 Chia sẻ folder chứa file ứng dụng 17

3.4 Kiểm tra máy client 18

4.Triển khai ứng dụng RemoteApp thông qua TS Web Access: 21

4.1 Cài đặt TS Web Access Terminal Server 21

4.2.Kiểm tra Terminal Client 24

5 Bảo mật Terminal Services Windows Server 2008 25

5.1 Sử dụng chứng thực Smart Cards 25

5.2 Cấu hình bảo mật bổ sung Group Policy 25

BÀI 2: TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER Thiết lập Advanced Firewall 32

1.1 Giới thiệu 32

1.2 Cấu hình Advanced FireWall 32

1.2.1 Xác định port 33

1.2.2.Cấu hình Inbound Rule 33

1.2.3.Cấu hình Outbound Rule 35

2 IP SECURITY 38

2.1 Tổng quan IP Sec 38

2.1.1 Khái niệm IP Sec 38

2.1.2 Cấu trúc bảo mật IP SEC 38

2.1.3 Hiện trạng IP SEC 39

2.2 Cấu hình IP Sec 40

2.2.1 Cấu hình IP Sec cho tất kết nối 40

2.2.2 Cấu hình IP Sec cho kết nối định 54

2.2.3 Connection Security Rules 56

2.2.4 Deploy connection Security Rules GPO 59

BÀI 3: THỰC THI DISTRIBUTED AD DS DEPLOYMENTS Các thành phần Active directory 60

2 Thực thi Active directory 62

2.1 Cấu hình Child Domain AD 62

2.2 Thêm domain controller 67

2.3 Cấu hình DNS 71

BÀI 4: OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles 76

1.1 FSMO 76

1.2 Các vai trò FSMO 76

2.1 Transfer FSMO Roles 80

2.2 Size FSMO Roles 80

BÀI 5: DỊCH VỤ ROUTING 1.Giới thiệu Routing 80

2 Cấu hình Routing : 83

2.1 Cài đặt role Routing and Remote Access 84

2.2 Cấu hình Static Route 85

2.3 Cấu hình Dynamic Route 89

BÀI 6: DỊCH VỤ NAT Giới thiệu NAT /PAT 91

2 Cấu hình NAT OUTBOUND & INBOUND ON SERVER 94

2.1 Cấu hình NAT OUTBOUND 95

2.2 Cấu hình NAT INBOUND 99

3 Bài tập nâng cao 101

BÀI 7: DỊCH VỤ DHCP RELAY Giới thiệu DHCP Relay Agent 102

1.1.Tại phải sử dụng DHCP relay agent 102

1.2.Ưu diểm DCHP RELAY 103

1.3.Cơ chế hoạt động DHCP Relay Agent 103

1.4.Cấp phép (authorize) 104

1.5.Level option DHCP server 105

2 Cài đặt cấu hình DHCP Relay Agent 107

2.1.Cài đặt cấu hình DHCP server 107

2.2.Cài đặt cấu hình DHCP Relay 114

BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK Tổng quan VPN 118

1.1.Khái niệm vpn 118

1.2.Lợi ích VPN 119

1.3.Cơ chế hoạt động VPN 119

1.4.Giao thức sử dụng VPN 120

2 Cấu hình VPN Client to Site 123

3 Cấu hình VPN Site to Site 132

BÀI :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY Cơ sở hạ tầng khóa cơng khai 142

1.1 Giới thiệu PKI 142

1.2 Chứng số 142

1.2.1 Giới thiệu 143

1.2.2 Lợi ích chứng số 143

2 Triền khai dịch vụ CA môi trường windows server 2008 145

2.1 Cài Enterprise CA 146

2.2 Cấp phát quản lý CA 147

3 Triền khai số dịch vụ mạng sử dụng CA 157

3.1 Dịch vụ IP Sec 157

3.3 Dịch vụ VPN 176 GIÁO TRÌNH MƠ ĐUN

Tên mơ đun: Quản trị mạng nâng cao Mã môn học/mô đun:MĐ15

VỊ TRÍ, TÍNH CHẤT CỦA MƠ ĐUN:

- Vị trí: Mơ đun bố trí sau sinh viên học xong mơn, mơ đun: Mạng máy tính, Quản trị mạng 1, Quản trị hệ thống WebServer MailServer

- Tính chất: Là mơ đun chun nghành bắt buộc MỤC TIÊU MƠ ĐUN:

- Có khả tinh chỉnh giám sát mạng Windows Server; - Triển khai dịch vụ Routing and Remote Access (RRAS); - Có khả phát khơi phục Server bị hỏng;

- Có khả cài đặt quản lý máy tính từ xa thơng qua RAS; - Xây dựng mạng riêng ảo VPN;

- Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall;

- Thực thao tác xuất, nhập sách Firewall thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập NỘI DUNG MÔ ĐUN:

BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES Mã bài: 15.1

1 Tại phải dùng Terminal services

Terminal Service Remote Application tính Windows Server 2008 Các chương trình ứng dụng cài đặt sẵn Windows Server 2008, máy trạm khơng cài đặt chương trình ứng dụng, khai thác chương trình ứng dụng máy chủ thơng qua Terminal Service Terminal Service có đặc điểm sau:

-Sự truy cập liền mạch Người dùng truy cập vào ứng dụng hosting từ xa cách liền mach ứng dụng cài đặt cục Các ứng dụng hosting cư trú ứng dụng cài đặt cục

- Quản lý ứng dụng tập trung, dễ dàng, đơn giản

-Dễ dàng quản lý văn phịng chi nhánh,phù hợp với cơng ty khơng có nhân viên IT chun nghiệp văn phòng chi nhánh

-Sử dụng ứng dụng khơng tương thích với hệ thống - Các máy trạm khơng cần phải có cấu hình phần cứng mạnh doanh nghiệp khơng phải tốn nhiều chi phí quyền phần mềm sử dụng dịch vụ Tuy nhiên, doanh nghiệp phí quyền cho CAL (Client Access License), chi phí thấp, chấp nhận

- Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải cài đặt Remote Desktop Connection (RDC) 6.0 trở lên

2 Các hình thức máy trạm kết nối đến máy chủ

- Có cách để máy trạm kết nối đến máy chủ khai thác chương trình ứng dụng máy chủ:

Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web Access, máy trạm phải cài đặt Remote Desktop Connection (RDC) 6.1 RDC6.1 có sẵn Windows Vista Service Pack Windows XP Professional Service Pack

Sử dụng Network Access: Máy chủ tạo sẵn file rdp (mỗi chương trình ứng dụng tương ứng file rdp) share máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file để khai thác chương trình ứng dụng máy chủ

Sử dụng Network Access: Máy chủ tạo sẵn file msi (mỗi chương trình ứng dụng tương ứng file msi)và share máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file để cài đặt shortcut liên kết đến chương trình ứng dụng máy chủ Các shortcut cài đặt Start menu máy trạm, cụ thể mục Remote Application Máy trạm chạy shortcut để khai thác chương trình ứng dụng máy chủ

Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc cài đặt shortcut liên kết đến chương trình ứng dụng máy chủ cho nhiều máy trạm

3 Cài đặt cấu hình Terminal Service Chuẩn bị: Hệ thống gồm:

- Server: Windows Server 2008

+ Tạo local user: sv1/123 , sv2/ 123 add vào group remote desktop users + Bật chế độ remote desktop máy server

+ Change password Adminstrator 123 - Client: Windows XP

Thực hiện:

3.1 Cài đặt Terminal Services:

Start –> Programs –> Administrative Tools –> Server Manager Chuột phải Roles –> Add Roles

Before you begin –> Next

Chọn Terminal Services –> Next

Hộp thoại Instruction to Terminal Services –> Next Chọn Terminal Server –> Next

Application Compatibility để mặc định –>Next

Authentication Method –> Chọn Do Not Require Network Level Authentication –> Next

Licensing Mode –> Configure later –> Next

Add user sv1 sv2 vào để access the terminal server

Confirmation Installation –> chọn Install Sau cài đặt xong chọn Restart – > OK

Kiểm tra Remote Connection enable

Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote

3.2 Thêm chương trình ứng dụng RemoteApp:

- Start –> Program –> Administrative Tools ->Terminal Services ->TS RemoteApp Manager

- Menu Action –> Add RemoteApp Programs

Menu Action –> Add RemoteApp Programs

Màn hình Wellcome –> Next

Choose Program to add to RemoteApp Program list –> Chọn ứng dụng cho Client –> Next

Review Setting –> Finish

Trong hình TS remote App –> Cuộn xuống cuối hình –> Phải chuột vào application chọn Create Windows Installer Package

Màn hình Welcome –> Next

Để mặc định thơng số cấu hình –> Next

Chọn Finish

3.3 Chia sẻ folder chứa file ứng dụng:

C:\Program File –> Chuột phải lên Packaged Program –> Properties –> Share Folder –> Everyone Allow-Read –> OK

3.4 Kiểm tra máy client:

Start –> Run –> Nhập địa ip Remote Server Vd: \\192.168.1.38 OK

Hộp thoại yêu cầu khai báo username/password đăng nhập –> Nhập sv1/123 –> OK

Chọn ứng dụng cần dùng

Chọn Connect

Nhập vào user chứng thực –> OK

Quá trình kết nối diễn Ứng dụng cần dùng mờ

4.Triển khai ứng dụng RemoteApp thông qua TS Web Access: 4.1 Cài đặt TS Web Access Terminal Server:

- Server Manager –> Terminal Services –> Add Role Services

Chọn TS Web Acess –> Next

Chọn Add Require Role Services

Để thông số mặc địnhàNextàChọn Install

Start –> Programs –> Administrative Tools –> Terminal Service –> TS RemoteApp Manager

Chuột phải ứng dụng muốn hiển thị –> Chọn Show in TS Web Access

4.2.Kiểm tra Terminal Client

Mở Internet Explorer –> Khung Address nhập vào địa Terminal Server http:// 192.168.1.38/ts –> Enter

Hộp thoại khai báo username password xuất Nhập sv1/123

Sau đăng nhập thành công -> Lựa chọn ứng dụng cần dùng

5 Bảo mật Terminal Services Windows Server 2008 5.1 Sử dụng chứng thực Smart Cards

Sử dụng Smart Cards, người dùng cung cấp tiêu chuẩn đăng nhập hợp lệ mà cịn phải kết nối vật lý với thẻ thông minh đến thiết bị mà họ sử dụng thiết bị đầu cuối xa

Để yêu cầu thẩm định thẻ thông minh, bạn phải tạo Group Policy Object để sử dụng cho Terminal Server Trong GPO, duyệt đến Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options kích hoạt thiết lập Interactive Logon: Require Smart Card Thêm vào bạn cần phải kích hoạt Smart Cards để chuyển hướng đến Terminal Server cách tích vào hộp kiểm Smart Cards tab Local Resources Remote Desktop Connection máy trạm người dùng

Thực thi thẩm định mức mạng tất máy khách

Network Level Authentication (NLA) tính giới thiệu phiên 6.0 Remote Desktop Connection Client, tính cho phép người dùng nhập vào trước tiêu chuẩn đăng nhập họ để hiển thị cửa sổ đăng nhập Windows Server Windows Server 2008 cho phép sử dụng tiện ích yêu cầu tất máy khách kết nối để sử dụng

Để sử dụng NLA, bạn phải sử dụng Windows 2008 Server, máy khách kết nối phải hỗ trợ CredSSP (Windows XP SP3, Windows Vista, Windows 7) chạy Remote Desktop Connection 6.0 cao Bạn cấu hình Terminal Server để yêu cầu máy khách sử dụng NLA cách sau:

 Trong suốt trình cài đặt Terminal Services role ban đầu, bạn thấy hìnhSpecify Authentication Method for Terminal Server, chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.

 Truy cập Terminal Services Configuration MMC Snap-In, kích chuột phải vào kết nối terminal server sử dụng máy khách chọn properties, sau chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.

 Tạo Group Policy Object, duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Security, kích hoạt thiết lập Require user authentication for remote connections by using Network Level Authentication setting sử dụng cho OU gồm có terminal server

Thay đổi cổng RDP mặc định

trường Terminal Server để tránh kẻ xâm nhập thay đổi thỏa thuận cổng mặc định

Để thay đổi cổng RDP mặc định cho Terminal Server, bạn mở regedit duyệt đến

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Termi nal Server\WinStations\RDP-Tcp Tìm key PortNumber thay giá trị hex 00000D3D (tương đương với 3389) thành giá trị khác mà bạn muốn sử dụng

Cách khác, bạn thay đổi số cổng sử dụng Terminal Server kết nối Vẫn sử dụng regedit, duyệt đếnHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection name Tiếp đó, tìm đến key PortNumber thay giá trị hex giá trị khác mà bạn muốn

Cần phải lưu ý thay đổi thiết lập máy chủ này, tất máy khách kết nối cần phải bảo đảm chúng kết nối đến Terminal Server với cổng gắn thẻ địa IP máy chủ Cho ví dụ, việc kết nối đến Terminal Server với địa IP 192.168.0.1 có nghĩa sử dụng cổng non-standard 8888 yêu cầu người dùng nhập 192.168.0.1:8888 vào Remote Desktop Connection

In ấn dễ dàng hạn chế máy in chuyển hướng

Việc in ấn từ thiết bị kết nối nội với máy trạm client yếu điểm Terminal Services trước Windows Server 2008 Để thực điều đó, bạn phải bảo đảm giống xác phiên driver máy in cài đặt máy chủ máy khách, đơi sau khơng có làm việc Từ quan điểm bảo mật, không muốn cài đặt thêm nhiều driver vào hệ thống ngồi bắt buộc Mỗi driver cài đặt vào máy chủ có tiền ẩn khả mở rộng bề mặt cơng

driver Easy Print, thiết lập liệu máy in chuyển đổi thành định dạng phổ biến gửi đến Terminal Server xử lý Thực điều này, sau kích in, hộp thoại máy in khởi chạy từ máy khách, không terminal session Điều có nghĩa khơng driver cài đặt cho Terminal Server để xử lý công việc in từ thiết bị in kết nối nội

Để cấu hình Easy Print, bạn cần phải bảo đảm tất thiết bị in gắn nội phải có máy in logic cấu hình máy khách thiết lập để sử dụng driver Easy Print Tính Easy Print hỗ trợ tất máy khách Windows XP SP3, Windows Vista Windows chạy Remote Desktop Connection 6.1 NET Framework SP1

Khi cấu hình thiết bị gắn nội mức máy trạm, bạn cần bảo đảm máy in chuyển hướng đến Terminal Server máy in sử dụng TS Easy Print, thành phần thiết lập máy in mặc định Bạn thực điều cách tạo Group Policy Object duyệt đến Computer Configuration\ Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection, sau kích hoạt tùy chọn Redirect only the default client printer.

Hạn chế tài khoản người dùng

Chúng ta cần phải biết rằng, người dùng kết nối hay làm việc trực tiếp từ máy chủ vốn có truy cập đến vài thứ mà họ không cần đến, để tạo môi trường an toàn hơn, cần phải hạn chế điều Đây khơng biện pháp để bảo vệ tiêu chuẩn người dùng thỏa hiệp mà cịn bảo vệ người dùng đáng với ý định khơng đáng Một số thứ mà thực là:

Sử dụng tài khoản cụ thể cho người dùng

Người dùng làm việc nội với ứng dụng đó, sau truy cập vào Terminal Server để truy cập đến ứng dụng khác Việc sử dụng tài khoản cho truy cập nội truy cập từ xa đơn giản vấn đề quản lý, nhiên dễ bị thỏa hiệp kẻ cơng thỏa hiệp loạt tiêu chuẩn để truy cập vào ứng dụng Việc tạo tài khoảng người dùng riêng biệt cho truy cập Terminal Server hạn chế quyền cho ứng dụng cần thiết giảm nhẹ ảnh hưởng kiểu thỏa hiệp

Sử dụng sách hạn chế phần mềm

Các sách hạn chế phần mềm cấu hình phép từ chối sử dụng số ứng dụng sử dụng máy tính cơng cộng, chúng tuyệt môi trường Terminal Server

Kiểm tra truy cập người dùng vào máy chủ Terminal Group

Mặc định, có thành viên nhóm Terminal Servers Remote Desktop Users (và Domain/Local Administrators) đăng nhập vào Terminal Server Tuy nhiên bạn cần minh chứng thẩm định thành viên nhóm cách thường xuyên Nếu người dùng không cần đăng nhập vào Terminal Server, remove họ khỏi nhóm người dùng xa

5.2 Cấu hình bảo mật bổ sung Group Policy

Nhiều cải tiến bảo mật cho môi trường Terminal Server cung cấp thông qua Group Policy Đây số ví dụ điển hình mà muốn giới thiệu cho bạn

- Hạn chế người dùng Terminal Services vào Session từ xa

Trong hầu hết trường hợp, người dùng không cần khởi tạo nhiều session Terminal Server Việc cho phép người dùng khởi tạo nhiều session làm cho mơi trường bạn có nhiều lỗ hổng cho công từ chối dịch vụ (DoS), tiêu chuẩn người dùng bị thỏa hiệp Bạn cấu hình thiết lập cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal

Server\Connections bên GPO bạn - Không cho phép chuyển hướng drive

Trừ bạn có nhu cầu thật cần thiết, cho phép người dùng truy cập vào ổ đĩa nội từ Terminal Server session hành động tạo kênh truyền thơng khơng an tồn Với khả này, người dùng không copy liệu vào Terminal Server mà liệu chứa mã độc thực thi máy chủ

Bạn cấu hình thiết lập cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection bên GPO.

Thiết lập hạn chế thời gian cho Session bị hủy kết nối

tình trạng thiết lập hạn chế thời gian mức thấp để hủy kết nối session Khi đến giới hạn thời gian, session bị đóng lại

Bạn cấu hình thiết lập cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Session Time Limits bên GPO

- Vơ hiệu hóa cài Windows

Chỉ quản trị viên có quyền cài đặt ứng dụng vào Terminal Server Trong hầu hết trường hợp, không cho người dùng phép cài đặt ứng dụng họ không đăng nhập với quyền quản trị viên Mặc dù vậy, số người dùng cho cần phải có hành động nâng đặc quyền bạn hạn chế khả cài đặt số chương trình cách vơ hiệu hóa Microsoft Windows Installer

Có thể cấu hình thiết lập cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Windows Installer bên GPO Cần lưu ý bạn phải cấu hình thiết lập Enabled thay cho Always Như bảo đảm bạn publish ứng dụng cho Terminal Server thông qua Group Policy Cịn sử dụng tùy chọn Always khơng cho phép bạn thực điều

- Hạn chế thư mục

Mặc dù (các quản trị viên) có cung cấp nhiều location riêng cơng cho việc lưu trữ bảo mật liệu số người dùng tùy tiện lưu liệu desktop họ Tuy nhiên có cách để tạo tường bảo vệ liệu cho họ chuyển hướng (redirect) desktop họ đến location lưu trữ thích hợp file server

Bạn cấu hình thiết lập cách duyệt đến User Configuration\Windows Settings\Folder Redirection bên GPO Desktop người dùng thư mục mà chuyển hướng

- Chặn truy cập vào Control Panel

Cũng với Microsoft Installer, người thông thường không nên truy cập vào Control Panel nói chung Mặc dù vậy, người cần phải có đặc quyền quản trị viên để thực số thao tác bạn hạn chế truy cập họ vào control panel cách cấu hình thiết lập

Bạn cấu hình thiết lập cách duyệt đến User Configuration\Administrative Templates\Control Panel bên GPO

Kích hoạt log

Các thiết lập log Microsoft khuyên dùng đây:  Audit Account Logon Events - No Auditing

 Audit Account Management - Audit Success and Failure  Audit Directory Services Access - No Auditing

 Audit Logon Events - Audit Success and Failure  Audit Object Access - Audit Failure

 Audit Policy Change - Audit Success and Failure  Audit Privilege Use - Audit Failure

 Audit Process Tracking - Audit Failure

 Audit System Events - Audit Success and Failure

Cùng với thiết lập đó, bạn sử dụng log kết nối Connection Auditing bên Terminal Services Cách thức cho phép bạn ghi lại vài mục cụ thể Terminal Server Để xem cấu hình thiết lập này, bạn mở Terminal Services Configuration snap-in, kích chuột phải vào kết nối mà bạn muốn kích hoạt thẩm định, sau kích Properties Vào tab Security, kích Advanced, đánh tên người dùng tài khoản muốn kích hoạt ghi log Ở bạn chọn tùy chọn liệt kê sẵn

BÀI 2

TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER Mã bài: 15.2

1. Thiết lập ADVANCED FIREWALL 1.1 Giới thiệu

Windows Server 2008 giới thiệu tường lửa có nhiều cải thiện đáng kể; Windows Firewall với Advanced Security Tường lửa Windows có nhiều cải thiện giống với tường lửa giới thiệu Windows Vista Các tính có tường lửa vấn đề bảo mật nâng cao gồm có:

 Nhiều điều khiển truy cập vào  Nhiều điều khiển truy cập gửi

 Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự động tường lửa dịch vụ cài đặt Server Manager

 Cấu hình việc quản lý sách IPsec cải thiện mạnh mẽ, bên cạnh cịn có thay đổi tên Các sách IPsec khai báo rule bảo mật kết nối (Connection Security Rules)

 Kiểm tra sách tường lửa cải thiện

 Kiểm tra sách IPsec cải thiện (giờ gọi Rule bảo mật kết nối)

 Kiểm tra tập trung việc kết hợp chế độ bảo mật Main Quick cải thiện

1.2 Cấu hình Advanced FireWall - Xác định port

- Cấu hình Inbound Rule - Cấu hình Outbound Rule

Chuẩn bị : máy Windows Server 2008 R2

DC2 : turn off firewall, cài đặt IIS tạo trang wed với nội dung tùy ý

1.2.1 Xác định Port: B1 : DC1 truy cập vào trang wed nội DC2 Network Access vào DC2

B2 : DC2 : Mở Command Line đánh lệnh netstat - a quan sát thấy DC1 tạo kết nối đến DC2 port 80 ( wed ) 445 ( network Access)

1.2.2 Cấu hình Inbound Rule :

Thực hiên máy DC2 : cho phép truy cập wed nội Network Access vào DC2

33 ST

T

Tên Máy

IP OS

B1 : Turn On Firewall B2 : Từ DC1 truy cập vào web DC2 : không B3 : DC2: mở Local security Policy mở theo đường hướng dẫn hình  chuột phải lên Inbound Rules  chọn New Rules

B4 : Màn hình Rule Type chọn Port Next

B5 : Chọn TCP và Specific Local Ports : 80  Next

B6 : Chọn Allow The Connection  next

B7 : Next

B8 : Đặt tên rule Allow wed  Next

B9 : Quan sát thấy rule Allow wed tạo

B10 : Làm tương tự từ B1- B9 để tạo thêm rule cho phép truy cập Network Access

- Port :445

- Action : Allow Connection - Name : Allow Network Access

Kiểm tra :

- Ping DC2 : không

- Truy cập thử trang wed DC2 ( http://172.168.1.20 ) truy cập thành công

- Truy cập qua DC2 Network access ( \\172.168.1.20 )  thành công 1.2.3 Cấu hình Outbound rule

Mở CMD  nslookup vnexpress.net thấy kết trả IP là: 111.65.248.132 Thực máy DC2 cấm truy cập trang wed vnexpress.net có địa IP 111.65.248.132

B1 : Chuột phải lên Outbound rules  chọn New Rule

B2 : Chọn Custom  Next

B3 : Chọn Browsechỉ đường hướng dẫn đến: C:\ProgramFiles(x86)\In ternet

Explore\iexplore.exe  Next

B4 : khai báo thông số :

Protocol Type : TCP Local Port : All Ports Remote Ports : Specify Ports  80  Next

B5 :

- Which Local IP addresses does this rule match : any IP address

- Which Remote IP

addresses does this rule match :these IP address chọn add

B6 : điền địa IP : 111.65.248.132 Ok  Next

B7 : Chọn Block The Connection

B8 : Chọn Next B9 : Đặt tên Rule Block vnexpress.net  finish

 Kiểm tra :

- Mở IE truy cập trang wed http://vnexpress.net  không thể truy cập

 Mở Outbound rule  chuột phải lên Rule Deny Wedsite  chọn Disable Rule  mở IE truy cập

http://vnexpress.net  thành công.

2. IP SECURITY 2.1 Tổng quan IP Sec 2.1.1.Khái niệm IP Sec

IPsec (IP security) bao gồm hệ thống giao thức để bảo mật q trình truyền thơng tin tảng Internet Protocol (IP) Bao gồm xác thực và/hoặc mã hố (Authenticating and/or Encrypting) cho gói IP (IP packet) q trình truyền thơng tin IPsec bao gồm giao thức cung cấp cho mã hoá xác thực

mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mơ hình OSI đoạn mã ứng dụng bị thay đổi lớn

2.1.2 Cấu trúc bảo mật IP SEC

Khi IPsec triển khai, cấu trúc bảo mật gồm:

(1) Sử dụng giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) q trình truyền

(2) Cung cấp phương thức xác thực (3) Thiết lập thơng số mã hố

Xây dựng IPsec sử dụng khái niệm bảo mật tảng IP Một kết hợp bảo mật đơn giản kết hợp thuật tốn thơng số (ví khố – keys) tảng việc mã hoá xác thực chiều Tuy nhiên giao tiếp hai chiều, giao thức bảo mật làm việc với đáp ứng trình giao tiếp Thực tế lựa chọn thuật toán mã hoá xác thực lại phụ thuộc vào người quản trị IPsec IPsec bao gồm nhóm giao thức bảo mật đáp ứng mã hố xác thực cho gói tin IP

2.1.3 Hiện trạng

IPsec phần bắt bược IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4

IPsec cung cấp Transport mode (end-to-end) đáp ứng bảo mật máy tính giao tiếp trực tiếp với sử dụng Tunnel mode (portal-to-portal) cho giao tiếp hai mạng với chủ yếu sử dụng kết nối VPN

IPsec sử dụng giao tiếp VPN, sử dụng nhiều giao tiếp Tuy nhiên việc triển khai thực có khác hai mode

Giao tiếp end-to-end bảo mật mạng Internet phát triển chậm phải chờ đợi lâu Một phần bở lý tính phổ thông no không cao, hay không thiết thực, Public Key Infrastructure (PKI) sử dụng phương thức

IPsec giới thiệu cung cấp dịch vụ bảo mật: Mã hố q trình truyền thơng tin

2 Đảm bảo tính ngun vẹn liệu Phải xác thực giao tiếp

4 Chống trình replay phiên bảo mật Modes – Các mode

Có hai mode thực IPsec là: Transport mode tunnel mode Transport mode

Trong Transport mode, liệu bạn giao tiếp gói tin mã hố và/hoặc xác thực Trong q trình routing, IP header khơng bị chỉnh sửa hay mã hố; nhiên authentication header sử dụng, địa IP biết được, thông tin bị hash (băm) Transport application layers thường bảo mật hàm băm (hash), chúng không

thể chỉnh sửa (ví dụ port number) Transport mode sử dụng tình giao tiếp host-to-host

Điều có nghĩa đóng gói thơng tin IPsec cho NAT traversal định nghĩa thông tin tài liệu RFC NAT-T

Tunnel mode

Trong tunnel mode, tồn gói IP (bao gồm data header) mã hố xác thực Nó phải đóng gói lại dạng IP packet khác trình routing router Tunnel mode sử dụng giao tiếp network-to-network (hay routers với nhau), host-to-network host-to-host internet

2.2 Cấu hình IP Sec

- Cấu hình IP Sec cho tất kết nối - Cấu hình IP Sec cho kết nối định - Connection Security Rules

- Deploy connection Security Rules GPO Chuẩn bị : lab sử dụng máy tính

- Cả máy tắt filewall, kiểm tra đường truyền lệnh PING Thực :

2.2.1 Cấu hình IP Sec cho tất kết nối : thực DC2: - Cài đặt network Monitor, Capture gói tin

B1 : Chạy file cài đặt  chọn Yes

B2 : Chọn Next

B3 : Chọn I accept the terms in the Licence Agreement Next

B4 : Chọn I not want to use Microsoft Update next

B5 : Chọn Complete

B6 : Install

B7 : Khởi động chương trình Network Monitor Desktop  chọn No

B8 : Chọn capture B9 : Chọn start

B10 : Giữ nguyên chương trình Network Monitor , DC2 command line ping DC3

B11 : Quay trở lại hình Network Monitor quan sát capture gói tin PING - Chọn gói tin ICMP  chọn

ImplementationSpecifi cData : Binary Large - Dữ liệu lệnh PING bắt dầu a, b, c, d

Cấu hình IP sec DC2 & DC3  Tạo Policies

B1 : Start  run  đánh lệnh MMC vào menu File chọn Add/ Remote Snap –ins  chọn IP Security Policies

Management chọn add

B2 : Chọn Local Computer  Finish  OK

B3 : Chuột phải lên IP Sec Policies on Local computer chọn Create IP Sec Policy

B4 : Chọn next

B5 : Đặt tên cho Policies Preshare key  Next

B6 : Chọn next

B7 : Chọn finish  ok

 Cấu hình Policies

B1 : Chuột phải lên Preshare key chọn

Properties

B2 : Chọn Add

B3 : Next

B4 : Chọn This rule does not specify a tunnel  next

B5 : Chọn Local area network ( LAN )  next

B6 : Chọn Add

B7 : Chọn Add

B8 : Chọn next

B9 : Chọn next

B10 : Chọn Any IP address  next

B11 : Chọn Any IP Address  next

B12 : Chọn next

B13 : Chọn finish

B14 : Chọn Ok  Chọn New IP Filter List  next

B15 : Chọn add

B16 : Chọn next

B17: Đặt tên Filer Action Security Require  next

B18 : Chọn Negotiate

Security Next

B19 : Chọn Do not allow unsecures communication Next

B20 : Chọn Integrity and encryption next

B21 : Chọn finish

B22 : Chọn Security require Next

B23 : Chọn Use this string to protect the key exchange  điền vào ô trống : khoaviet

B24 : Finish

B25 : OK

B26 : Chuột phải lên Preshare Key  chọn Assign

Kiểm tra : - DC2 mở

Network Monitor bật Capture chọn Start - DC2 Ping DC3 - Quan sát

máy tính hình Network Monitor  gói tin Ping mã hóa

2.2.2.Cấu hình IP Sec cho kết nối định Thực DC2

B1 : Chuột phải lên policies Preshare Key  chọn Properties

B2 : Chọn New IP Filter List  Edit

B3 : Trong tab IP Filter List chọn Edit

B4 : Chọn Edit

B5 : Source Address : My IP address

Destination address : A

specific IP address or Subnet

IP address or Subnet : điền IP DC3  OK đóng cửa sổ

B6 : Mở Service

administrative tools  chuột phải lên IPsec Policy Agentchọn Restart

Kiểm tra :

- DC2 Ping DC3

2.2.3 Connection security

Cấu hình để nhứng máy có Preshare key tạo kết nối tới DC2 Trên cấu hình DC2 & DC3 xóa Policies IP Sec tạo

Thực DC2 B1 : Mở Start run đánh lệnh Secpol.msc  chuột phải lên Connection Security Ruleschọn New Rule

B2 : Chọn Custom next

B3 : Which computers are in EndPoint  chọn Add  gõ IP DC2Ok  Next

B4 : Chọn Require

authentication for inbuond and outbound

connections next

B5 : Chọn Advanced  chọn customize

B6 : Trong phần First

authentication chọn add

B7 : Chọn Preshared Keygõ Presharekey mong muốn OK

B8 : Chọn OK  Next Next

B9 : Đặt tên rule là Preshare Key ok

B10 : DC1 thử truy cập Network Access qua DC2 không thể truy cập

B11 : DC3 thực lại thao tác từ B1 – B9 DC2

Lưu ý : Preshare key phải giống với Preshare Key khai báo DC2

Kiểm tra : DC3 truy cập Network Access qua DC2 : truy cập thành công

BÀI 3

THỰC THI DISTRIBUTED ACTIVE DIRECTORY DEPLOYMENTS Mã bài: 15.3

1 CÁC THÀNH PHẦN ACTIVE DIRECTORY

Dịch vụ Active Directory kết hợp thành phần logic vật lý cho phép tạo môi trường để lưu trữ quản trị mạnh mẽ Để đơn giản hiệu nên hiểu cách mà thành phần ADDS làm việc với nào, từ giúp cho việc quản lý trở nên hiệu Trong hầu hết trường hợp, ADDS sử dụng để cài đặt, cấu hình cập nhật ứng dụng, quản lý bảo mật, cho phép truy cập từ xa giải vấn đề chứng số…

Một tính quan trọng dịch vụ Active Directory sử dụng phổ biến việc cho phép cấu hình tập trung sách nhóm (Group Policy) giúp cho quản lý đối tượng trở nên dễ dàng Việc hiểu thành phần củaADDS quan trọng việc sử dụng Group Policy cách hiệu

Các thành phần logic:

-Partition: Mặc dù sở liệu dịch vụ Active Directory đơn file ntds.dit nhiên, chất, lại bao gồm nhiều thành phần riêng biệt Mỗi thành phần gọi partition

- Schema: Là tập hợp định nghĩa kiểu thuộc tính đối tượng sử dụng tạo đối tượng ADDS Ví dụ với đối tượng người dùng có thuộc tính như: email, số phone, địa chỉ, phòng ban, tổ chức…

- Domain: Đây hiểu bao chứa đối tượng máy tính người dùng

- DomainTree: Đây tập hợp miền dùng chung miền gốc ví dụ như:linux.vnlab.com.vn vàwindows.vnlab.com.vn

- Forest: Là tập hợp miền chia sẻ cơ sở liệu Active Directory với

- Site: Khái niệm thường sử dụng cho phạm vi địa lý nhiều hơn, ví dụ tập hợp máy tính nằm tầng hay quận site

- OU: Đây hiểu bao chứa đối tượng tài khoản người dùng, nhóm máy tính khả ủy quyền quản trị gán sách nhóm

- Container: Khá giống OU kể trên, nhiên lại khơng sử dụng để gán sách nhóm

Các thành phần vật lý:

- Domain Controller: là máy chủ mạng có khả quản lý máy tính cịn lại Nó thường lưu trữ sở liệu dịch vụ Active Directory đồng tới máy chủ điều khiển miền khác mạng

- Data Store: Chính thư mục C:WindowsNTDS – nơi lưu trữ sở liệu củadịch vụ Active Directory file log tương ứng

- Global Catalog Server: Làm nhiệm vụ xác thực môi trường Active Directory

- Read-only domain controller (RODC): dạng máy chủ điều khiển miền, nhiên để đảm bảo vấn đề bảo mật, máy chủ ghi liệu hay thay đổi đặc tính, thơng số đối tượng mạng

Multi domain : Domain, Tree, Forest Domain xây dựng Forest gọi Forest Root Domain

Xây dựng AD dùng quyền Domain Admin Nếu xây dựng thêm Domain phải sử dụng quyền Enterprise Admin

Domain xây dựng gọi Tree Root Domain – Child Domain – Grandchild Domain, phát triển Domain khơng kế thừa Domain có

Multi Domain đem lợi ích sau : - Sử dụng xây dựng phù hợp sách bảo mật

- Phù hợp với nhu cầu quản lý Admin vị trí quản lý Domain vị trí

- Tối ưu hóa đồng Domain vị trí khác (độc lập với Domain thứ nhất) Repicate Schema (do Domain thứ hai thuộc Forest)

- Có thể triển khai DNS quản lý nhiều Domain xây dựng Domain DNS riêng để quản lý

2 Thực thi Active directory

- Nâng cấp DC1 lên domain controller - Tạo child domain

- Thêm máy domain controller thứ Mơ hình IP LAB

Computer name DC1(Primary domain

controller)

DC4 (secondary Domain

Controller

DC5 (Child domain)

IP address 192.168.3.1 192.168.3.3 192.168.3.2 Subnetmark 255.255.255.0 255.255.255.0 255.255.255.0 Getway

DNS 192.168.3.1 192.168.3.1 192.168.3.1

2.1 Tạo Child Domain

Nâng cấp DC1 lên domain controller tên miền brtvc.edu.vn (tham khảo QTM1)

Tạo child domain khoacntt.brtvc.edu.vn

Xây dựng máy DC5 thành Child Domain quản lý miền khoacntt.brtvc.edu.vn miền brtvc.edu.vn

- Chọn Start > chọn Run > gõ lệnh: DCPROMO Tại cửa sổ “Operating System Compability”, chọn Next

Tại cửa sổ “Choose a Deployment Configuration”, chọn mục Existing forest, chọn “Create a new domain in an existing forest”, chọn Next

- Tại cửa sổ “Network Credentials”, nhập vào thông tin tên miền tồn Domain Forest, khai báo thông tin tài khoản chứng thực, chọn Next

- Tại cửa sổ “Name the New Domain”, nhập vào thông tin miền cha, thông tin tên miền con, chọn Next

- Tại cửa sổ “Set Domain Function Level”, lựa chọn mức độ chức Domain, chọn Next

Tại cửa sổ “Additional Domain Controller Options”, chọn mục DNS Server, chọn Next

- Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next

- Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau chọn Next

Tại cửa sổ “Summary”, chọn Next

- Quá trình nâng cấp Windows Server 2008 thành Domain Controller diễn ra… Sau nâng cấp thành công, chọn Finish để khởi động lại hệ thống

2.2 Thêm máy domain controller thứ 2

Dựng máy DC4 thành domain controller thứ cho domain brtvc.edu.vn Khai báo IP máy DC4

Nhấn Start > Run :gõ lệnh DCPROMO, Hình “Welcome to the Active Directory Domain Services Installation Wizard” xuất hiện, chọn Next:

Tại cửa sổ “Operating System Compability”, chọn Next

Tại cửa sổ “Choose a Deployment Configuration”, chọn mục “Existing forest”, chọn “Add a domain controller to an existing domain”, chọn Next:

Tại cửa sổ “Network Credentials”, nhập vào tên miền cần cho phép máy DC4 gia nhập vào với chức Additional Domain Controller, chọn nút Set để nhập thông tin tài khoản phép cho máy tính DC4 gia nhập vào miền brtvc.edu.vn, chọn Next:

Tại cửa sổ “Select a Domain”, chọn tên miền gia nhập vào, chọn Next:

Tại cửa sổ “Select a Site”, chọn Site cần thiết, chọn Next:

Tại cửa sổ “Additional Domain Controller Options”, chọn mục mục DNS Server Global Catalog, chọn Next:

Tại hộp thoại kế tiếp, Windows cảnh báo liên quan đến dịch vụ DNS, chọn Yes:

Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next:

Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau chọn Next:

Tại cửa sổ “Summary”, chọn Next:

Quá trình nâng cấp Windows Server 2008 thành Additional Domain Controller diễn ra…

Sau nâng cấp thành công, chọn Finish để khởi động lại hệ thống:

Vào Start > Progams > Administrative Tools > Active Directory Users and Computer ( Kiểm tra đồng đối tượng Server )

2.3.Cấu hình DNS cho domain  Cấu hình DNS DC1

Parent domain Delegation , child domain stubzone

- B1 : cấu hình DNS primary miền brtvc.edu.vn (xem LAB quản trị mạng 1) - B2: Ủy quyền cho miền khoacntt.brtvc.edu.vn cho

Mở DNS tên miền brtvc.edu.vn > New Delegation, hình Welcome to the New Delegation Wizard xuấthiện, chọn Next

Tại hình Name Servers, chọn nút Add để mô tả thông tin Name Server

Tại hộp thoại New Name Server Record, nhập thông tin Name Server quản lý miền con, nhấp OK, sau chọn Next

Tại hình New Delegation Wizard, nhấp Finish để kết thúc

Tạo Forwarder DC1 để nhờ DC5 phân giải hộ:

Nhấp phải DNS Server, chọn Properties, chọn tab Forwarders

Tại hộp thoại Properties > Forwarder, chọn Edit để nhập vào địa IP máy cần Forwarder

 Cấu hình DNS DC5 (child domain)

- B1 : cấu hình DNS primary miền khoacntt.brtvc.edu.vn (xem LAB quản trị mạng 1)

- B2: tạo Stub zone brtvc.edu.vn mà parent domain ủy quyền

Nhập tên miền brtvc.edu.vn muốn stubzone

Nhập IP tên miền brtvc.edu.vn muốn stubzone -> next -> finish

Kiểm tra kết

BÀI 4

OPERATIONS MASTER ROLES Mã bài: 15.4

1. Giới thiệu Operations master roles 1.1 FSMO Role gì?

Trong Windows NT hỗ trợ đa Domain Controller miền, ln có Domain Controller xem quan trọng Người ta gọi Primary Domain Controller (máy điều khiển miền chính) hay PDC Bạn nhớ lại là, Domain Controller bao gồm sở liệu chứa tất thông tin tài khoản người dùng bên miền (tất nhiên nhiều thứ khác) Cơ sở liệu gọi Security Accounts Manager, hay SAM Các Domain Controller khác miền Windows NT gọi Backup Domain Controller (Domain Controller dự trữ), hay BDC Mỗi lần thực thay đổi sở liệu Domain Controller, thay đổi ghi vào PDC Sau PDC chép thay đổi tất BDC khác miền Theo nghĩa thông thường, PDC Domain Controller miền Windows NT, miền mà update sử dụng Nếu PDC bị lỗi, có cách thức điều khiển từ xa BDC tới PDC, cho phép Domain Controller hoạt động theo chức miền, với vai trò PDC

Các miền Active Directory khác chút Active Directory sử dụng mơ hình chép đa chủ, tức Domain Controller miền ghi Ở khơng cịn khái niệm PDC hay BDC Nếu người quản trị cần thực thay đổi sở liệu Active Directory, thay đổi áp dụng Thông thường, Active Directory dành quyền ưu tiên cho thay đổi Nhưng số trường hợp, phương pháp giải xung đột nghiêm trọng Do đó, Microsoft đưa gợi ý tốt hết bạn nên ngăn ngừa xung đột từ chúng chớm xuất chưa xuất hiện, giải chúng sau xảy

Trong trường hợp này, Windows cung cấp cho giải pháp định số Domain Controller thực vai trò Flexible Single Master Operation (FSMO) Về bản, sử dụng FSMO có nghĩa miền Active Directory hỗ trợ đầy đủ mơ hình chép đa chủ, ngoại trừ số trường hợp riêng định, miền khôi phục sử dụng mô hình đơn chủ Có ba vai trị FROM khác gán mức domain, hai vai trò bổ sung gán mức forest

Mặc định, Domain Controller rừng sở hữu role Khi domain bổ sung tạo, Domain Controller mang trực tuyến đến cho miền sở hữu role FSMO mức domain

1.2 Các vai trò FSMO

Các role mức miền bao gồm: Relative identifier, Primary Domain Controller Emulator Infrastructure Master Các role mức rừng gồm Schema Master Domain Naming master Dưới mơ tả tóm tắt chức role này:

Schema Master: quản lý sở liệu Active Directory

Domain Naming Master: quản lý danh sách miền rừng

Relative Identifier Master: chịu trách nhiệm đảm bảo cho tất đối tượng Active Directory miền nhận mã số nhân dạng bảo mật

Primary Domain Controller Emulator: hoạt động Primary Domain Controller miền có Domain Controller chạy Windows NT

Infrastructure Master: Chịu trách nhiệm cập nhật thông tin nhân dạng bảo mật đối tượng phân biệt tên tham chiếu chéo đối tượng miền

Có FSMO role khác Hai role tồn tại mức forest tồn mức miền (domain) Các role mức forest gồm có Schema Master Domain Naming master, role FSMO mức miền lại gồm Relative Identifier Master, Primary Domain Controller (PDC) Emulator Infrastructure Master

Schema Master

Active Directory khơng thực thứ sở liệu, giống sở liệu khác, Active Directory có giản đồ Tuy nhiên lại không giống sở liệu khác, giản đồ Active Directory giản đồ tĩnh Có số hoạt động cần thiết mở rộng giản đồ Ví dụ, việc cài đặt Exchange Server cần giản đồ Active Directory để mở rộng Bất kỳ thời điểm diễn thay đổi giản đồ Active Directory thay đổi áp dụng cho Schema Master

Schema Master thành phần quan trọng FSMO role, Microsoft để ẩn khơng cho nhìn thấy Nếu cần phải tìm máy chủ cấu hình Schema Master role bạn phải đưa đĩa CD cài Windows Server 2003 kích đúp vào file ADMINPAK.MSI thư mục I386 Khi thực điều đó, Windows khởi chạy Administration Tools Pack Setup Wizard Theo cửa sổ wizard để cài đặt gói cơng cụ quản trị

Khi q trình cài đặt hồn tất, bạn đóng Setup wizard mở Microsoft Management Console cách nhập vào dòng lệnh MMC cửa số lệnh RUN Khi cửa sổ mở, chọn Add/Remove từ menu File Sau chọn xong, cửa sổ hiển thị trang thuộc tính thành phần Add/Remove Kích chuột vào nút Add để xuất danh sách có sẵn mơ đun Chọn mơ đun Active Directory Schematrong danh sách kích vào nút Add, sau nhấn Close nút OK

Bây mơ đun tải ra, kích chuột phải vào Active Directory Schema chọn Operations Master từ menu chuột phải Một hộp thoại xuất hiện, hộp thoại thông báo cho bạn biết máy chủ cấu hình với tư cách Schema Master forest

Domain Naming Master

quay trở lại trực tuyến Để xác định máy chủ hoạt động Domain Naming Master cho forest, mở Active Directory Domains and Trusts, cửa sổ mở, kích chuột phải vào Active Directory Domains and Trusts chọn Operations Masters Sau chọn xong, Windows hiển thị Domain Naming master

Relative Identifier (Bộ nhận dạng quan hệ)

Active Directory cho phép quản trị viên tạo đối tượng Active Directory điều khiển miền Mỗi đối tượng phải có số hiệu nhận dạng quan hệ để ngăn chặn nhận dạng quan hệ khỏi bị giống nhau, Relative Identifier Master định nhóm nhận dạng quan hệ cho điều khiển miền Khi đối tượng tạo miền, điều khiển miền mà đối tượng tạo lấy nhận dạng quan hệ khỏi nhóm gán cho đối tượng Khi nhóm khai thác hết điều khiển miền phải liên lạc với Relative Identifier Master để có thêm nhận dạng quan hệ Như vậy, triệu chứng cuối Relative Identifier Master lỗi hoàn toàn bất lực việc tạo đối tượng Active Directory

Để xác định máy chủ thực nhận dạng quan hệ cho miền, mở Active Directory Users and Computers Khi cửa số mở, kích chuột phải vào danh sách miền hành chọn Operations Masters Windows hiển thị trang thuộc tính Operations Masters Trong cửa sổ bạn chọn điều khiển miền thực nhận dạng quan hệ cách quan sát tab RID trang thuộc tính

Primary Domain Controller Emulator

Vai trò Primary Domain Controller (PDC) hoạt động môi trường Windows NT Role PDC emulator tạo phép điều khiển miền Active Directory tồn với điều khiển miền Windows NT Ý tưởng tổ chức nâng cấp từ Windows NT lên Windows 2000 Windows Server 2003 PDC điều khiển miền nâng cấp Ở điểm này, điều khiển miền nâng cấp gần hoạt động điều khiển miền Active Directory PDC cho điều khiển miền chạy Windows NT

Role PDC emulator ngày khơng liên quan nhiều tổ chức sử dụng Windows NT Server Nếu bạn cần định máy chủ miền cấu hình role PDC Emulator bạn thực điều cách mở Active Directory Users and Computers Khi cửa số mở, bạn kích chuột phải vào miền hành chọn Operations Masters Windows hiển thị trang thuột tính Operations Masters Bạn có thể xác định điều khiển miền hành động PDC Emulator cách quan sát tab PDC trang thuộc tính

Infrastructure Master

một đối tượng bên miền, thay đổi truyền cách tự nhiên xuyên suốt miền Vấn đề phần cịn lại forest khơng biết đến thay đổi Đây cơng việc Infrastructure Master, làm phần lại forest biết có thay đổi

Nếu máy chủ Infrastructure Master bị lỗi thay đổi đối tượng khơng thể nhìn thấy đường biên miền Ví dụ, bạn đặt lại tên cho tài khoản người dùng tài khoản người dùng xuất với tên cũ xem từ miền khác forest

Để xác định máy chủ thực với tư cách Infrastructure Master cho miền, mở Active Directory Users and Computers Khi cửa số mở, bạn kích chuột phải vào danh sách miền hành chọn Operations Masters, Windows hiển thị trang thuộc tính Operations Masters Bạn có thể xác định điều khiển miền thực với tư cách Operations Master cách nhìn vào tabInfrastructure trang thuộc tính

2. Cấu hình Operations master roles 2.1 Transfer FSMO Roles

Chuyển vai trò Roles từ domain controller sang domain Controller khác máy server nắm giữ roles FSMO hoạt động

Thao tác transfer Roles đồ họa

Bước Cài đặt Additional Domain Controller từ primary domain controller nắm giữ FSMO roles

Bước Trên Additional Domain Controller, vào Active Directory Users and Computers Chuột phải lên domain cần chuyển đổi FSMO chọn Operations Master

Bước Trong hộp thoại Operations Master, chọn Change tab RID, PDC, Infrastructure để tiến hành chuyển đổi FSMO

Thao tác transfer Roles dòng lệnh

Trước tiên kết nối vào máy Domain Controller nắm roles mà ta muốn chuyển Mở command line nhập dòng lệnh sau :

To summarize ntdsutil commands: ntdsutil (enter)

ntdsutil: roles (enter)

fsmo maintenance: connections (enter)

server connections: connect to server <DC-Name> (enter) server connections: quit (enter)

fsmo maintenance: transfer schema master (enter)

2003 server:fsmo maintenance: transfer domain naming master (enter) 2008 server: fsmo maintenance: transfer naming master (enter)

fsmo maintenance: transfer rid master (enter) fsmo maintenance: transfer pdc (enter)

fsmo maintenance: transfer infrastructure master (enter) fsmo maintenance: quit (enter)

ntdsutil: quit (enter)

2.2. Size FSMO Roles

Khi Domain Controller nắm vai trò FSMO ngừng hoạt động ta phải bình bầu roles cho domain controller khác hoạt động miền cách sử dụng dòng lệnh sau :

Trước tiên kết nối vào máy Domain Controller mà ta muốn size quyền FSMO Mở command line nhập dòng lệnh sau :

To summarize ntdsutil commands: ntdsutil (enter)

ntdsutil: roles (enter)

fsmo maintenance: connections (enter)

server connections: connect to server <DC-Name> (enter) server connections: quit (enter)

fsmo maintenance: Seize schema master (enter)

2003 server:fsmo maintenance: Seize domain naming master (enter) 2008 server: fsmo maintenance: Seize naming master (enter)

fsmo maintenance: Seize rid master (enter) fsmo maintenance: Seize pdc (enter)

fsmo maintenance: Seizei frastructure master (enter) fsmo maintenance: quit (enter)

ntdsutil: quit (enter)

BÀI 5

DỊCH VỤ ROUTING Mã bài: 15.5 1 Giới thiệu Routing:

Định tuyến (Routing) trình mà Router thực thi sử để chuyển gói tin(Packet) từ địa nguồn (soucre)đến địa đích(destination) mạng.Trong q trình Router phải dựa vào thơng tin định tuyến để đưa định nhằm chuyển gói tin đến địa đích đến định trước Có hai loại định tuyến Định tuyến tĩnh (Static Route) Định tuyến động (Dynamic Route)

Định tuyến tĩnh (Static Route) trình định tuyến mà để thực bạn phải cấu hình tay(manually) địa đích cụ thể cho Router Một dạng mặc định định tuyến tĩnh Default Routes, dạng sử dụng cho mạng cụt (Stub Network)

Định tuyến động (Dynamic Route) mà dạng định tuyến mà cấu hình dạng này, Router sử dụng giao thức định tuyến như: RIP(Routing Information Protocol), OSPF(Open Shortest Path Frist),IGRP(Interior Gateway Routing Protocol)… để thực thi việc định tuyến cách tự động (Automatically) mà bạn khơng phải cấu hình trực tiếp tay

Chức định tuyến định hướng cho gói tin truyền tải qua định tuyến Trên sở thuật tốn định tuyến, thơng tin cấu hình chuyển giao, định tuyến định hướng tốt cho gói tin truyền tải qua Bộ định tuyến cịn có vai trị để xử lý nhu cầu truyền tải chuyển đổi giao thức khác

Vai trò định tuyến mạng đảm bảo kết nối liên thông mạng với nhau, tính tốn trao đổi thông tin liên mạng làm cho định tuyến định truyền tải thông tin phù hợp với cấu hình thực tế mạng

 Định tuyến (routing)

 Chuyển mạch gói tin (packet switching)

Định tuyến chức đảm bảo gói tin chuyển xác tới địa cần đến Chuyển mạch gói tin chức chuyển mạch số liệu, truyền tải gói tin theo hướng định sở định tuyến đặt

Thiết bị có chức định tuyến gọi Router : Router có hai loại Hardware software Software dùng PC có cài hệ điều server hỗ trợ dịch vụ định tuyến Windows 2000, 2003, 2008, 2010 Server …, Linux Hardware thiết bị phần cứng có tích hợp chức routing nhiều hãng sản xuất có tên gọi khác nhau, cách phân loại khác Hãng có thương hiệu tiếng Cisco dòng router Cisco 2501, 1601, 1721, 1751, 2610, 2621, 3620,3661…

Router : Là thiết bị mạng hoạt động tầng thứ mơ hình OSI-tầng network Router chế tạo với hai mục đích chính:

- Phân cách mạng máy tính thành segment riêng biệt để giảm tượng đụng độ, giảm broadcast hay thực chức bảo mật

- Kết nối mạng máy tính hay kết nối user với mạng máy tính khoảng cách xa với thông qua đường truyền thông: điện thoại, ISDN, T1, X.25…

Router chuyển packet theo bước sau:

- Đọc packet

- Gỡ bỏ dạng format quy định protocol nơi gửi

- Thay phần gỡ bỏ dạng format protocol đích đến

- Cập nhật thông tin việc chuyển liệu: địa chỉ, trạng thái nơi gửi, nơi nhận

- Gứi packet đến nơi nhận qua đường truyền tối ưu Nguyên tắc hoạt độngcủa Router –ARP Protocol

phần địa host Cách đánh số địa nhằm giúp cho việc tìm đường kết nối từ hệ thống mạng sang hệ thống mạng khác dễ dàng Các địa thay đổi theo tùy ý người sử dụng Trên thực tế, card mạng kết nối với theo địa MAC, địa cố định phần cứng Do ta phải có phương pháp để chuyển đổi dạng địa qua lại với Từ ta có giao thức phân giải địa chỉ: Address Resolution Protocol (ARP)

ARP protocol dựa nguyên tắc: Khi thiết bị mạng muốn biết địa MAC thiết bị mạng mà biết địa tầng network (IP, IPX…) gửi ARP request bao gồm địa MAC address địa IP thiết bị mà cần biết MAC address tồn miền broadcast Mỗi thiết bị nhận request so sánh địa IP request với địa tầng network Nếu trùng địa thiết bị phải gửi ngược lại cho thiết bị gửi ARP request packet (trong có chứa địa MAC mình)

Trong hệ thống mạng đơn giản hình 1, ví dụ máy A muốn gủi packet đến máy B biết địa IP máy B Khi máy A phải gửi ARP broadcast cho toàn mạng để hỏi xem “địa MAC máy có địa IP gì” Khi máy B nhận broadcast này, có so sánh địa IP packet với địa IP Nhận thấy địa địa mình, máy B gửi lại packet cho máy B có chứa địa MAC B Sau máy A bắt đầu truyền packet cho B

Trong môi trường phức tạp hơn: hai hệ thống mạng gắn với thông qua router C Máy A thuộc mạng A muốn gửi packet đến máy B thuộc mạngB Do broadcast truyền qua router nên máy A xem router C cầu nối để truyền liệu Trước đó, máy A biết địa IP router C (port X) biết để truyền packet tới B phải qua C Tất thông tin chứa bảng gọi bảng routing (routing table) Bảng routing table theo chế lưu giữ máy Routing table chứa thông tin gateway để truy cập vào hệ thống mạng Ví dụ trường hợp bảng để tới LAN B phải qua port X router C Routing table có chứa địa IP port X Quá trình truyền liệu theo bước sau:

 Máy A gửi ARP request (broadcast) để tìm địa MAC port X  Router C trả lời, cung cấp cho máy A địa MAC port X

 Máy A truyền packet đến port X router

 Router nhận packet từ máy A, chuyển packet port Y router Trong packet có chứa địa IP máy B

 Router gửi ARP request để tìm địa MAC máy B  Máy B trả lời cho router biết địa MAC

 Sau nhận địa MAC máy B, router C gửi packet A đến B

Trên thực tế dạng routing table người ta cịn dùng phương pháp proxy ARP, có thiết bị đảm nhận nhiệm vụ phân giải địa cho tất thiết bị khác Quá trình trình bày hình sau

Phân giải địa dùng proxy ARP

Theo máy trạm không cần giữ bảng routing table router C có nhiệm vụ thực hiện, trả lời tất ARP request tất máy mạng kết nối với Router có bảng routing table riêng biệt chứa tất thông tin cần thiết để chuyển liệu

2 Cấu hình Routing :

- Cài đặt role Routing and Remote Access - Static Route

- RIP

Chuẩn bị : máy Windows Server 2008 R2

Khai báo IP máy sau:

DC1 DC2 DC3 DC4

IP 172.168.1.10 172.168.1.20 192.168.1.10 192.168.1.20 Subnet Mark 255.255.255 255.255.255 255.255.255 255.255.255 Default Gateway 172.168.1.20 192.168.1.10 DNS

DC1 DC2 DC3 DC4

IP 10.10.10.10 10.10.10.20

Subnet Mark 255.255.255

0 255.255.255 Default Gateway DNS

- Turn off fierwall máy - DC1 ping DC2 : ping OK - DC2 ping DC3 : ping OK - DC3 ping DC4 : ping OK - DC1 ping DC4 : ping OK Thực :

2.1 Cài đặt Role Routing and Remote Access Thực trân máy DC2 DC3

B1 : Mở Server Manager  chuột phải lên Roles  chọn Add Roles B2 : Chọn Next

B3 : Chọn Network Policy And Access Services  Next

B4 : Chọn Next

B5 : Chọn Routing And Remote Access Services  Next  Install

2.2 Cấu hình Static Route : thực DC2 DC3

B1: Mở Routing And Remote Access  chuột phải lên DC2  chọn Configure and enable Routing and remote access

B2 : Chọn Next B3 : Chọn Custom Configuratio n  Next

B4 : Chọn NAT & LAN Routing  Next

B5 : Finish B6 : Start Service

• Thực DC2 B1 : mở theo hướng dẫn hình chuột phải lên Static Routes  New Static route

B2 : điền thơng số IP  OK

• Thực DC3 B1 : mở theo hướng dẫn hình chuột phải lên Static Routes  New Static route

B2 : điền thông số IP  OK

• Kiểm tra : DC1

( 172.16.1.2 ) Ping DC4 (192.168.1.20) : Ping OK

DC4 ( 10.0.0.2 ) Ping DC1 ( 172.16.1.10 ) : Ping OK

Tại DC2  mở command line  đánh lệnh Route Print  quan sát thấy tồn route

192.168.1.0

Mở Routing and Remote Access  mở Static Route  chọn Static Route 192.168.1.0 tạo  nhấn phím Delete  Command line đánh lệnh Route Print  khơng có Route 192.168.1.0

- Tại DC3 : thực tương tự : Xóa Route 172.16.1.0

2.3 Cấu hình Dynamic Routing

Dùng giao thức động RIP : thực DC2 DC3 B1 : mở hương dẫn

trong hình  chuột phải lên General  chọn New Routing Protocol…

B2 : Chọn RIP version for Internet Protocol  OK

B3 : chuột phải lên RIP  chọn New Interface

B4 : Chọn Local Area Conection  OK

B5 : Chọn OK

DC1 Ping DC4 : Ping OK

B6 : Chuột phải lên Static Route  chọn Show IP Routing Table…

Quan sát Routing Table

BÀI 6: DỊCH VỤ NAT Mã bài: 15.6

1 Giới thiệu NAT/PAT

NAT (Network Address Translation) NAT phần thiếu triển khai mạng IP diện rộng không gian địa IPv4 bắt đầu cạn kiệt Về bản, NAT cho phép (hay nhiều) địa IP nội miền ánh xạ với (hay nhiều) địa IP ngoại miền Điều cho phép sử dụng dải địa IP riêng theo chuẩn RFC 1918 mạng nội sử dụng địa IP cơng cộng

NAT (Network Address Translation) có nhiệm vụ

NAT (Network Address Translation) giống Router, chuyển tiếp gói tin lớp mạng khác mạng lớn NAT dịch hay thay đổi hai địa bên gói tin gói tin qua Router, hay số thiết bị khác Thông thường NAT thường thay đổi địa thường địa riêng (IP Private) kết nối mạng thành địa công cộng (IP Public)

NAT coi Firewall (tường lửa) NAT trì một bảng thơng tin gói tin gửi qua Khi máy tính mạng kết nối đến website Internet header địa IP nguồn thay địa Public cấu hình sẵn NAT sever, sau có gói tin trở NAT dựa vào bảng record mà lưu gói tin, thay đổi địa IP đích thành địa củaPC mạng chuyển tiếp Thông qua chế đó quản trị mạng có khả lọc gói tin gửi đến hay gửi từ địa IP cho phép hay ngăn truy cập đến port cụ thể.

Các loại NAT

Có ba loại NAT khác gồm có: NAT động, NAT tĩnh NAT vượt tải (NAT overloaded)

 Static NAT (NAT tĩnh) :

Là phương thức NAT đôi Một địa IP Private map với địa IP Public NAT tĩnh sử dụng thiết bị cần truy cập từ bên mạng

Trong Static NAT (NAT tĩnh), địa IP máy tính 192.168.32.10 ln đượcRouter biên dịch đến địa IP 213.18.123.110

 Dynamic NAT (NAT động)

Một địa IP Private map với địa IP Public nhóm địa chỉ IP Public.

Trong Dynamic NAT (NAT động): máy tính có địa IP 192.168.32.10 ln đượcRouter biên dịch đến địa đầu tiên 213.18.123.100 dãy địa IP từ 213.18.123.100 đến 213.18.123.150

Ở hình trên, hai PC mạng nội cần truyền thông tới máy mạng ngoài, trường hợp Internet NAT cấu hình động để ánh xạ địa nội 192.168.1.25 192.168.1.50 với địa IP tập hợp địa cấu hình NAT Trong hình, máy có địa 192.168.1.50 ánh xạ đến địa 203.0.113.10 máy có địa 192.168.1.25 ánh xạ tới địa 203.0.113.11 Điều có nghĩa máy có địa 192.168.1.50 khởi tạo lưu lượng trước

 Overloading NAT

NAT Overloading dạng thức NAT động (Dynamic Overload) Nhiều địa IP Private map với địa IP Public qua Port (cổng) khác nhau.

Cũng giống PAT (Port Address Translation), địa NAT Port có nhiều mức độ NAT khác

Trong Overloading NAT, máy tính mạng nội (Private Network) đượcRouter biên dịch đến địa 213.18.123.100 cổng giao tiếp khác

Overlapping NAT

Khi địa IP hệ thống mạng nội IP Public sử dụng hệ thống mạng khác, Router phải trì bảng tìm kiếm địa để ngăn thay IP Public

Điều quan trọng cần lưu ý NAT router phải biên dịch địa "nội bộ" thành địa IP Public biên dịch địa "ngoài" thành địa chỉIP Private Bạn sử dụng NAT tĩnh sử dụng kết hợp DNS NAT động

Hệ thống mạng nội thông thường LAN (Local Are Network), hay gọi Stub Domain Một Stub Domain LAN sử dụng địa IP nội Hầu hết Network Traffic (là lưu lượng mạng ổn định, không bị gián đoạn q trình truyền) Stub Domain mang tính chất cục bộ, hệ thống mạng nội khơng bị lộ bên

Một Stub Domain bao gồm địa IP Public IP Private Bất kỳ máy tính sử dụng địa IP Private phải dùng NAT (Network Address Translation) để trao đổi thơng tin với máy tính khác.

Với NAT vượt tải (còn gọi biên dịch địa cổng PAT), ánh xạ một NAT động NAT tĩnh không sử dụng Thay địa ngồi gán cho địa IP nội gán cho tất máy nội dựa số cổng (port number) Chỉ số lượng cổng khả dụng sử dụng địa IP bị cạn kiệt địa IP ngồi thứ hai dùng đến với phương pháp tương tự

Ở hình trên, có sáu máy khác truy cập tới máy thuộc mạng ngồi NAT vượt tải cấu hình với tập hợp địa dải 203.0.113.10 đến 203.0.113.14 Giả sử lưu lượng qua NAT router cách loại lưu lượng ánh xạ với địa IP (trong trường hợp địa IP tron dải-203.0.113.10) số cổng định

Với ví dụ, NAT router cấu hình sử dụng địa IP 192.168.1.1 giao diện Fast Ethernet 0/0 đánh dấu giao diện NAT nội 203.0.113.1 giao diện FastEthernet 0/1, đánh dấu giao diện NAT

2 Cấu hình NAT OUTBOUND & INBOUND ON SERVER - Cài đặt Role routing and remote access

- NAT outbound - NAT Inbound

Chuẩn bị : máy Windows Server 2008 R2

Cài đặt Role Routing and Remote Access Thực DC2 :

B1 : Mở Server Manager  chuột phải lên Roles  chọn Add Roles B2 : Chọn Next

B3 : Chọn Network Policy And Access Services  Next

B4 : Chọn Next

B5 : Chọn Routing And Remote Access Services  Next  Install

2.1 Nat Outbound Thực máy DC2 :

B1: Mở Routing And Remote Access  chuột phải lên DC2  chọn Configure and enable Routing and remote access

B2 : Chọn Next B3 : Chọn Custom Configuration  Next

B4 : Chọn NAT & LAN Routing  Next

B5 : Finish

B6 : Start Service

B7 : Chuột phải lên NAT  chọn New Interface

B8 : Chọn VMnet  OK

B9 : Chọn Private interface connected to private network  OK

Thực tương tự cho Interface: VMnet3

B10 : Chuột phải lên NAT  chọn New Interface

B11 : Chọn VMnet4  OK

B12 :Chọn Public interface connected to the interface Enable NAT on this interface  OK

2.2 NAT Outbound - Thực

máy DC2

- Mở IE truy cập thử trang wed DC1 :

http://192.168.1.1  truy cập thành công

B1 : Trong phần NAT chuột phải lên card LAN  chọn

Properties

B2 : Qua Tab Service and ports  đánh dấu check Wed Server ( HTTP )

B3 : Trong phần Private address  điền IP DC1 :

192.168.1.10  OK

B4 : chuột phải lên DC3  chọn All Tasks  Restart

DC3 truy cập website PC 01 IP card Lan PC 02:

http://172.168.1.1  thành công

3 Bài tập nâng cao

BÀI 7: DỊCH VỤ DHCP RELAY Mã bài: 15.7

1 Giới thiệu DHCP Relay Agent

DHCP Relay Agent trung chuyển DHCP Discover/DHCP Request đến DHCP Server DHCP Relay Agent cho phép forward truy vấn Client đến DHCP server trả lại IP cho Clients Đây giải pháp trường hợp Client DHCP Server không nằm subnet DHCP Relay Agent thực thể trung gian cho phép chuyển tiếp (relay) DHCP Discover (hoặc DHCP Request), mà thường bị chặn router, từ DHCP Client đến DHCP Server

DHCP Replay Agent máy tính Router cấu hình để lắng nghe chuyển tiếp gói tin DHCP Client DHCP Server từ subnet sang subnet khác

1.1 Tại phải sử dụng DHCP relay agent

Khi clients DHCP server có nhiều mạng khác tương ứng với nhiều router khác cần phải cấu hình DHCP relay agent clients sử dụng địa broadcast để quảng bá yêu cầu cấp phát IP, gói tin gửi broadcast đến Router bị loại bỏ, phải có cách router trung gian chấp nhập gói tin broadcast gửi đến DHCP server, cách DHCP relay agent

Nếu mạng dựng lên DHCP Server tốn khơng cần thiết, việc bảo trì quản lý khó khăn

Có thể cấu hình Router để tín hiệu Broadcast qua việc gây rắc rối hệ thống mạng gặp trục trặc Thêm lưu lượng các gói tín Broadcasd q nhiều làm tắt nghẽn hệ thống mạng

1.2 Ưu diểm dchp relay

- Phù hợp với máy tính thường xuyên di chuyển lớp mạng

- Kết hợp với hệ thống mạng không dây ( Wireless) cung cấp điểm – Hotspot như: nhà ga, sân bay, khách sạn, trường học

- Thuận tiện cho việc mở rộng hệ thống mạng 1.3 Cơ chế hoạt động DHCP Relay Agent

Gồm bước hoạt động DHCP relay

2.2 Client Broadcasts gói tin DHCP Discover nội mạng

 DHCP Relay Agent mạng với Client nhận gói tin chuyển đến DHCP server tín hiệu Unicast

 DHCP server dùng tín hiệu Unicast gởi trả DHCP Relay Agent gói DHCP Offer

 DHCP Relay Agent Broadcasts gói tin DHCP Offer đến Client Sau nhận gói tin DHCP Offer, client Broadcasts tiếp gói tin DHCP Request

 DHCP Relay Agent nhận gói tin DHCP Request từ Client chuyển đến DHCP server tín hiệu Unicast

7 DHCP server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay Agent gói DHCP ACK

8 DHCP Relay Agent Broadcasts gói tin DHCP ACK đến Client Đến hồn tất quy trình tiếp nhận xử lý chuyển tiếp thông tin DHCP Relay Agent

1.4 Cấp phép (authorize)

Một DHCP service Bạn phải cấp phép (hay gọi ủy quyền) DHCP server trước thực việc cho DHCP client thuê địa IP Việc yêu cầu cấp phép cho DHCP server ngăn chặn việc DHCP server có khả cung cấp địa IP khơng hợp lệ cho client (hay cịn gọi DHCP giả mạo) nội domain Để thực việc bạn phải logon user nằm group Enterprise Admins

Theo mơ hình trên, giả sử có Server chùng chạy dịch vụ DHCP (tạm gọi DHCP Server1 DHCP Server2) nội domain Nhưng có DHCP Server1 cấp phép chạy dịch vụ Đầu tiên dịch vụ DHCP Server1 kích hoạt (start) Server1 kiểm tra xem dịch vụ DHCP có Domain Controller cấp phép hoạt động hay không? Bằng cách gửi yêu cầu đến máy chủ Domain Controller nhờ kiểm tra dùm có phép cấp IP động cho nội domain hay không

Sau nhận yêu cầu kiểm tra từ phía DHCP Server1, Domain Controller tiến hành kiểm tra xem Server1 có cấp phép hoạt động dịch DHCP hay khơng

Vì Server1 cấp phép hoạt động dịch vụ DHCP nên Server1 phép cung cấp địa IP động cho DHCP client nội domain

Ngược lại với Server1, Server2 sau khởi động dịch vụ DHCP tiến hành nhờ Domain Controller kiểm tra Do không cấp phép hoạt động dịch vụ, dịch vụ start Server2 không phép cung cấp địa IP động cho nội domain

Nếu DHCP server khơng authorize DHCP service log (ghi lại) error system log (các bạn tìm thấy Administrative Tools/Event log) Cuối DHCP Client xin IP từ DHCP Server1

1.5 Level option DHCP server

Phân biệt khác level server, scope, class reserved client dịch vụ DHCP

+ Server level : option khai báo cấp độ server áp đặt tới tất DHCP client DHCP Server Đây option có độ ưu tiên thấp

+ Scope level : option khai báo cấp độ scope áp đặt tới tất DHCP client riêng scope mà thơi, scope khác khơng chịu ảnh hưởng Đây option có độ ưu tiên cao option cấp độ server level

+ Class level : Các option khai báo cấp độ class level áp đặt tới thành viên class Độ ưu tiên option cao option cấp độ scope level

+ Reversed client level : Các option cấp độ áp đặt đến DHCP client mà thơi Đây option có độ ưu tiên cao Nó ghi đè tất option khác có conflict (xung đột level) xảy

2.3. Cài đặt cấu hình DHCP Relay Agent 2.1 Cài đặt cấu hình DHCP server

- Cài đặt Role DHCP DHCP Server - Cấu hình tạo Scope DHCP server

- Cấu hình thêm Scope Option DHPC server - Cấu hình để Client nhận IP tự động từ DHPC server - Cấu hình DHPC Resevations

- Server Options

ST T

Tên Máy

IP OS

1 DC1 172.168.1.1

Windows Server 2008 R2

2 PC1 172.168.1.2

Windows - máy turn off firewall

- máy kiểm tra đường truyền lệnh Ping - Máy PC1 tắt UAC

- Máy DC1 cài đặt Wins

Cài đặt Role DHPC DHPC server B1 : Mở Server

Manager  chuột phải lên Roles  chọn Add roles B2 : Chọn Next

B3 : Chọn DHPC Server Next

B4 : Chọn Next B5 : Chọn 172.16.1.10 ( IPv4 )  Next

B6 : Giữ nguyên mặc định  chọn next

B7 : Chọn Next

B8 : Chọn Add  Điền thông số Range IP cấp phát cho DHCP Server  OK

B9 : Chọn Disable

DHCPv6… Next

B10: Chọn Use current

credentials  Next  Next  Install

Khai báo thông số Scope : B1 : Chuột phải lên

Scope Options chọn Configure Options

B2 : Chọn 003

Router  khai báo IP : 172.16.1.10  chọn Add OK

B3 : Thực tương tự để tạo scope

options : 006 DNS server trở 172.16.1.10

B4: tạo scope 015 DNS Domain Name  nhập vào String value: khoaviet.edu.vn  OK

Quan sát Scope option tạo

Cấu hình để Client nhận IP tự động từ DHPC server

Thực PC1 B1 : Mở Properties card mạng bỏ dấu chọn trước dòng Internet Protocol Version

( TCP\IPv6)

B2 : Chọn - _ Obtain and IP

address automatically

-_ Obtain DNS server address automatically  OK  đóng cửa sổ properties card mạng lại

B3 : Mở Command Line  đánh lệnh ipconfig/ release  Enter Đánh tiếp lệnh

Ipconfig/renew

B4 : kiểm tra : - Đánh lệnh

ipconfig/all quan sát thấy PC1 nhận dược IP thông số khác cấp tự động từ Domain

Cấu hình DHPC Resevations B1 : PC1 : Mở

Command Line  đánh lệnh ipconfig/ all

Ghi nhận lại thơng số dịng

physical Address: 00-0C-29-AE-98-F0 B2 : PC1 mở DHPC trong Administrate toolschuột phải lên Resevations  chọn New

Resevations

B3 : điền thông số hình Lưu ý : MAC address điền thơng số ghi nhận PC1  Ok

Close

B4 : quan sát Resevations tạo

 Kiểm tra:

- Tại PC1 đánh lệnh ipconfig/release ipconfig/ renew để xin cấp IP mới, IP PC1 cấp luôn 172.16.1.100

2.2 Cài đặt cấu hình DHCP Relay

Giới thiệu : lab bao gồm nội dung sau - Cấu hình DHCP Relay Agent DC2

- Cấu hình để máy Client nhận IP từ DHCP server Chuẩn bị

ST T

Tên Máy

OS

1 DC1 Windows Server 2008 R2

2 DC2 Windows Server 2008 R2

3 PC Windows

- Đặt IP cho máy theo bảng sau :

DC1 DC1 DC2 PC1

IP 172.168.1.10 192.168.1.10 192.168.1.20 172.168.1.11 Subnet Mark 255.255.255 255.255.255 255.255.255 255.255.255 Default Gateway 192.168.1.10 172.168.1.10 DNS

- DC1 cấu hình Lan routing

- Cả máy tắt Firewall, PC1 ping DC2: OK, DC2 ping PC1 : OK - DC2 : cài đặt DHCP Server tạo scope cấp IP cho range

192.168.1.0/24 với scope options :003 Default gateway 192.168.1.20

Thực :

1 Cấu hình DHCP Relay Agent DC2 B1 : Mở Routing

Access Administrative Tools  chuột phải lên General IPv4  chọn New Routing Protocol

B2 : Chọn DHCP Relay Agent  OK

B3 : Chuột phải lên DHCP Relay Agent  chọn New

Interface

B4 : Chọn card DHCP Relay  OK

B5 : Chọn OK

B6 : Chuột phải lên DHCP Relay Agent  chọn Properties

B7 : Điền IP DHCP

(192.168.1.20 ) chọn Add  OK

2 Cấu hình để máy Client nhận IP từ DHCP server

B1 : Chỉnh chế độ đặt IP obtain ( xem lại DHCP )

B2 : Vào

command line đánh lệnh

- ipconfig /release - ipconfig

/renew

B3 : đánh lệnh ipconfig /all Quan sát thấy Client nhận IP từ DHCP server

BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK Mã bài: 15.8

1 Tổng quan VPN 1.1 Khái niệm

mở rộng phạm vi mạng nội (LAN) cách sử dụng lợi mạng Internet

VPN cho phép tạo mạng riêng ảo mạng Internet để trao đổi liệu khai thác dịch vụ mạng

Dữ liệu truyền qua VPN mã hóa

Cơng nghệ VPN rõ yêu cầu bản:

 Cung cấp truy nhập từ xa tới tài nguyên tổ chức lúc, nơi  Kết nối chi nhánh văn phịng với

 Kiểm sốt truy nhập khách hàng, nhà cung cấp thực thể bên tới tài nguyên tổ chức

Các mơ hình VPN bao gồm:

 Truy Cập từ xa (remote-Access)

Hay gọi Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, dạng kết nối User-to-Lan áp dụng cho công ty mà nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ địa điểm từ xa thiết bị khác

Khi VPN triển khai, nhân viên việc kết nối Internet thông qua ISPs sử dụng phần mềm VPN phía khách để truy cập mạng cơng ty họ Các công ty sử dụng loại kết nối hãng lớn với hàng trăm nhân viên thương mại Các Truy Cập từ xa VPN đảm bảo kết nối bảo mật, mã hoá mạng riêng rẽ công ty với nhân viên từ xa qua nhà cung cấp dịch vụ thứ ba (third-party)

Site-to-Site

Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, cơng ty tạo kết nối với nhiều site qua mạng công cộng Internet

Site-to-site VPN thuộc hai dạng sau:  Intranet VPN

Áp dụng trường hợp cơng ty có nhiều địa điểm xa, địa điểm có mạng cục LAN Khi họ xây dựng mạng riêng ảo để kết nối mạng cục vào mạng riêng thống

 Extranet VPN

Khi cơng ty có mối quan hệ mật thiết với cơng ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung

1.2 Lợi ích VPN

- Khả linh hoạt cao, kết nối nào, nơi đâu, cần truy cập Internet

- Giá thành rẻ, chi phí truy cập Internet thơng thường

- Không hạn chế số lượng kết nối đồng thời từ xa vào văn phịng cơng ty chi nhánh lớn

- Khả bảo mật cao

- Quản lý kết nối dễ dàng thông qua tên mật truy cập hệ thống mạng riêng ảo mạng nội

1.3. Cơ chế hoạt động VPN:

Server chịu trách nhiệm việc lưu trữ chia sẻ liệu sau mã hóa, giám sát cung cấp hệ thống gateway để giao tiếp xác nhận tài khoản client khâu kết nối, client VPN, tương tự client hệ thống LAN, tiến hành gửi yêu cầu – request tới server để nhận thông tin liệu chia sẻ, khởi tạo kết nối tới client khác hệ thống VPN xử lý trình bảo mật liệu qua ứng dụng cung cấp VPN Tunneling:

Đây điểm khác biệt VPN so với mạng LAN thơng thường Các bạn hình dung dạng đường hầm đám mây Internet mà qua đó, yêu cầu gửi nhận liệu hoạt động

Khi người dùng khởi tạo kết nối gửi liệu qua VPN, giao thức Tunneling sử dụng mạng VPN (ví dụ PPTP, L2TP, IPSec ) “gói” tồn lượng thông tin vào package khác, sau mã hóa chúng tiến hành gửi qua tunnel Ở điểm cuối địa nhận, giao thức hoạt động tương ứng tunneling giải mã package này, say lọc nội dung nguyên bản, kiểm tra nguồn gốc gói tin thông tin, liệu phân loại khác

Việc phân loại Tunneling dựa nguồn gốc bắt đầu kết nối Và qua đó, có loại chính, Compulsory Voluntary Tunneling

- Compulsory Tunneling thường khởi tạo Network Access Server mà khơng u cầu thơng tin từ phía người sử dụng Bên cạnh đó, client VPN khơng phép truy xuất thông tin server VPN, kể từ chúng khơng phải chịu trách nhiệm việc kiểm soát kết nối khởi tạo Compulsory Tunneling hoạt động server client VPN, đảm nhận chức việc xác nhận tính hợp pháp tài khoản client với server VPN

- Voluntary Tunneling khác, khởi tạo, giám sát quản lý người dùng Không giống Compulsory Tunneling – thường quản lý nhà cung cấp dịch vụ, mơ hình u cầu người dùng trực tiếp khởi tạo kết nối với đơn vịISP cách chạy ứng dụng clien VPN Chúng ta sử dụng nhiều phần mềm client VPN khác để tạo tunnel có tính bảo mật cao server VPN riêng Khi chương trình client VPN định thiết lập kết nối, tiến hành xác định server VPN người dùng định Voluntary

Tunneling không yêu cầu nhiều, ngoại trừ việc cài đặt thêm giao thức tunneling hệ thống người dùng

1.4. Giao thức sử dụng VPN

Hầu hết VPN dựa vào kỹ thuật gọi Tunneling để tạo mạng riêng Internet Về chất, q trình đặt tồn gói tin vào lớp header (tiêu đề) chứa thông tin định tuyến truyền qua hệ thống mạng trung gian theo "đường ống" riêng (tunnel)

Khi gói tin truyền đến đích, chúng tách lớp header chuyển đến máy trạm cuối cần nhận liệu Để thiết lập kết nối Tunnel, máy khách máy chủ phải sử dụng chung giao thức (tunnel protocol)

Giao thức gói tin bọc ngồi mạng hai điểm đầu cuối nhận biết Hai điểm đầu cuối gọi giao diện Tunnel (tunnel interface), nơi gói tin vào mạng

Kỹ thuật Tunneling yêu cầu giao thức khác nhau:

- Giao thức truyền tải (Carrier Protocol) giao thức sử dụng mạng có thơng tin qua

- Giao thức mã hóa liệu (Encapsulating Protocol) giao thức (như GRE, IPSec, L2F, PPTP, L2TP) bọc quanh gói liệu gốc

- Giao thức gói tin (Passenger Protocol) giao thức liệu gốc truyền (như IPX, NetBeui, IP)

Người dùng đặt gói tin sử dụng giao thức không hỗ trợ Internet (như NetBeui) bên gói IP gửi an tồn qua Internet Hoặc, họ đặt gói tin dùng địa IP riêng (khơng định tuyến) bên gói khác dùng địa IP chung (định tuyến) để mở rộng mạng riêng Internet

Kỹ thuật Tunneling mạng VPN điểm-nối điểm

mạng VPN truy cập từ xa điểm- nối-điểm Tất nhiên, phải hỗ trợ hai giao diện Tunnel

Trong mô hình này, gói tin chuyển từ máy tính văn phịng qua máy chủ truy cập, tới router (tại giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính văn phịng từ xa

Kỹ thuật Tunneling mạng VPN truy cập từ xa

Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) Là phần TCP/IP, PPP đóng vai trị truyền tải cho giao thức IP khác liên hệ mạng máy chủ máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP

Các giao thức thiết lập dựa cấu trúc PPP dùng mạng VPN truy cập từ xa

L2F (Layer Forwarding) Cisco phát triển L2 F dùng cơ chế thẩm định quyền truy cập PPP hỗ trợ

PPTP (Point-to-Point Tunneling Protocol) tập đoàn PPTP Forum phát triển Giao thức hỗ trợ mã hóa 40 bit 128 bit, dùng chế thẩm định quyền truy cập PPP hỗ trợ PPTP (Point-to-Point Tunneling Protocol) VPN công nghệ VPN đơn giản nhất, sử dụng kết nối Internet cung cấp ISP để tạo tunnel bảo mật client server client client PPTP ứng dụng dựa hệ thống VPN, bạn biết Windows tích hợp sẵn chức PPTP bên trong, tất cần thiết để kết nối tới hệ thống VPN phần mềm hỗ trợ VPN client Mặc dù PPTP không số chế bảo mật để đảm bảo luồng thông tin, liệu (Point to Point Protocol đảm nhận việc với PPTP), Windows, mặt tiến hành xác nhận mã hóa với PPTP để mã hóa package trước Ưu điểm mơ hình khơng u cầu thêm phần cứng hỗ trợ bên để triển khai, hệ thống client sử dụng phần mềm cung cấp để kết nố tới server VPN Tuy nhiên, nhược điểm hệ thống kiểu dựa giao thức Point to Point để tăng thêm tính bảo mật gói

liệu, trước package bắt đầu “đi qua” tunnel chúng bị xâm nhập từ nguồn gốc bên

L2TP (Layer Tunneling Protocol) sản phẩm hợp tác các thành viên PPTP Forum, Cisco IETF Kết hợp tính PPTP L2F, L2TP hỗ trợ đầy đủ IPSec L2TP sử dụng làm giao thức Tunneling cho mạng VPN điểm-nối-điểm VPN truy cập từ xa Trên thực tế, L2TP tạo tunnel máy khách router, NAS router, router router So với PPTP L2TP có nhiều đặc tính mạnh an toàn -L2TP - Layer to Tunneling Protocol để tích hợp thêm liệu, giống PPTP khơng cung cấp thêm chế mã hóa thơng tin mà dựa vào PPP – Point to Point Protocol để mã hóa lớp liệu khác L2TP tunneling gán thêm liệu L2TP header vào lớp payload nguyên gốc, sau chuyển tới điểm cuối sơ đồ UDP Bên cạnh giao thức Point to Point, tính bảo mật, xác nhận tài khoản thực qua việc áp dụng IPSec tầng network

SSH (Secure Shell) Tunneling sử dụng giao thức shell bảo mật để tạo riêng tunnel để truyền liệu từ điểm tới điểm khác Ưu điểm lớn việc sử dụng tunneling dựa SSH dễ dàng “đi qua” - bypass hệ thống firewallcủa Internet Thơng thường, tổ chức (có nhu cầu bắt buộc nhân viên sử dụng proxy server cố định để truy cập website tài liệu riêng) sử dụng giao thức SSH để điều hướng toàn traffic từ server dedicate Có đơi chút khác biệt so với SSLdựa VPN, giao thức HTTPS bắt đầu có hiệu lực ứng dụng, hệ thống quản lý, trình duyệt web để bảo mật trình truyền liệu thiết bị bên ngồi tới hệ thống mạng VPN thiết lập, có giao thức HTTPS yêu cầu để khởi tạo kết nối điểm đầu cuối với

Các gói liệu “đi qua” IPSec mã hóa AES, DES 3DES Bên cạnh cịn cung cấp thêm chức nén liệu xác nhận tài khoản lớp network khác Kỹ thuật IPsec VPN sử dụng chế độ tunnel thay transport Trước gửi liệu, hệ thống tiến hành “đóng gói” package IP vào package IP mới, sau gán thêm lớp IP header, kèm với ESP header để cải thiện tính bảo mật

2 Cấu hình VPN CLIENT TO SITE (GATEWAY) Giới thiệu : lab bao gồm nội dung sau: Cấu hình VPN Server giao thức PPTP Tạo user để VPN Client kết nối vào VPN Server Cấu hình VPN Client

4 Cấu hình VPN server giao thức L2TP I Chuẩn bị :

- Tắt Firewall máy

- Cài đặt Role Routing and Remote Access DC2 - Đặt IP cho máy theo bảng sau:

DC1 DC2 DC2 DC3

IP 172.168.1.10 172.168.1.20 192.168.1.10 192.168.1.20 Subnet Mark 255.255.255 255.255.255 255.255.255 255.255.255 Default Gateway 172.168.1.20 192.168.1.10 DNS

Thực :

Cấu hình VPN Server giao thức PPTP Máy DC2

B1 : Log on

Administrator Vào Start 

Administrative Tools  Routing and Remote access, chuột phải lên DC2, chọn Configure and Enable Routing and Remote Access

B2 : Màn hình Welcome next B3 : Màn hình configuration, chọn custom

configurationnex t

B4 : Màn hình Custom

Configuration, đánh dấu chọn vào ô : VPN access & Lan routingNext Finish  start servicess

B5 : Chuột phải vào DC2 , chọn

properties

B6 : Qua tab IPv4 , chọn Static Address Pool, bên nhấn Add

B7 : Màn hình New Ipv4 Address Range , nhập vào dãy địa sau : Start IP address : 10.10.10.1

End IP Address : 10.10.10.254 Ok ok

Tạo user để VPN Client kết nối vào VPN Server Thực DC2

B1 : Mở Local Usres Ang Group , tạo user sau : user name : vpn, password : 123456 – lưu ý : bỏ dấu check tùy chọn User must change password at next log on

B2 : Chuột phải lên User vpn 

Properties Qua tab Dial-in, bên mục Remote Access

Permission (Dial-in or VPN ), đánh dấu chọn vào ô Allow Access OK

1 Cấu hình VPN Client Thực DC3 B1 : Vào control panel  network and sharing center  Set up a connection or network

B2 : Màn hình Choose A Connection option  Connect to a workplace  next

B3 : Màn hình How Do You Want To

Connect  Use my internet connection ( VPN ) next

B4 : Màn hình Do You Want To Set Up…  I`ll Set Up An

Internet

connection later

B5 : Mục Internet

Address, nhập vào IP Lan DC2 :

192.168.1.10 Destination Name, đặt tên cho kết nối, Vd:VPN connection

B6 : Màn hình tiếp theo, nhập vào user name password user vpn Create

Q trình tạo kết nối thành cơng  close

B7 : Chọn Change Adapter Settingchuột phải vào VPN connection vừa tạo, nhấn

Connect

B8 : nhập vào username password vpn  Connect Kết nối thành công Kiểm tra : mở CMD, gõ lệnh

IPCONFIG/ ALL, thấy nhận IP từ VPN server

Lần lượt ping đến địa mạng nội :

Ping 172.16.1.1 Ping 172.16.1.2 Ping thành công

 Nhận xét : Máy DC3 VPN server cấp địa Ip nằm dãy

10.10.10.1 đến 10.10.10.254  Máy DC3 DC1

liên lạc với



B9: Chuột phải vào connection VPN connection , chọn satus B10 : Qua tab Details, thấy mục Device name : PPTP, VPN đang kết nối bằng giao thức PPTP



Cấu hình VPN Server giao thức L2TP Thực tên DC2

B1 : Mở Routing And Remote Access chuột phải vào DC2 chọn Properties

B2 : Qua Tab Security, đánh dấu chọn vào mục Allow custom IPsec policy for L2TP connection, mục Preshered key  Nhập vào

123456  OK OK

B3 : Chuột phải vào DC2, chọn All taskRestart

 Thực máy DC3 - Mở Network

Connection, chuột phải vào VPN connection, chọn Properties

- Qua Tab Security bên mục Type Of VPN chọn L2TP/IPsec VPN, bên chọn Advanced Settings

- Mục IPsec Settings, chọn Use preshared key for

authentication - Mục key nhập vào :

123456  OK OK

Chuột phải vào VPN connection, chọn Connect

- Kiểm tra status,lúc VPN kết nối giao thức L2TP

3. Cấu hình VPN site to site ( Gateway to Gateway) Giới thiệu : lab bao gồm nội dung sau: - Cấu hình VPN server dùng giao thức PPTP

- Cấu hình VPN server dùng giao thức L2TP Chuẩn bị : máy Windows Server 2008 R2

- Đặt IP cho máy tính theo bảng sau :

DC1 DC2 DC3 DC4

IP 172.168.1.10 172.168.1.20 192.168.1.20 172.168.100.2 Subnet Mark 255.255.255 255.255.255 255.255.255 255.255.255.0 Default Gateway 172.168.1.20 192.168.1.10 DC2 DC3

IP 192.168.1.10 172.168.100.1

0

Subnet Mark 255.255.255

0

255.255.255.0 - Tắt Firewal máy

- Cài đặt rule routing and remote access, DC2 DC3

- Trên máy DC2 , tạo User : saigon, Password :saigon Chuột phải vào user saigon , chọn properties  qua tab Dial –in, bên mục Remote Access  đánh dấu chọn vào ô Allow access OK

- Tương tự máy DC3, tạo user : vungtau , password : vungtau, chuột phải vào user vungtau, chọn propertiesqua tab Dial –in mục Remote Access Permission ( Dial –in or VPN ) , đánh dấu chọn vào ô Allow access OK

Thực :

Cấu hình VPN server dùng giao thức PPTP A Máy DC2:

B1 : Log on

Administrator Vào start  chọn

Administrative Tools Routing And Remote Access, chuột phải lên DC2 , chọn Configure and enable routing and remote access

B2: Màn hình Welcome next

B3 : Màn hình Configuration, chọn Custom Configuration  Next

B4 : Màn hình Custom

Configuration, đánh dấu chọn vào ô :

 VPN Access  Demand –Dial

Connections  LAN Routing

 Next  Finish Start Service  Finish

B5 : Chuột phải vào Network

Interface , chọn New Demand – Dial Interfeace

B6 : Màn hình Welcomenext Trong cửa sổ

Interface Name gõ “ vungtau” vào ô Interface name  Next

Lưu ý : interface name phải trùng với username tạo phần chuẩn bị

B7 : Màn hình connection Type đánh dấu chọn vào Connect using virtual PRIVATE network (VPN) Next

B8 : Màn hình VPN type, chọn Point to Point tunneling Protocol ( PPTP )  Next

B9 : Màn hình Destination

Address  gõ địa IP máy DC3 192.168.1.20 vào ô Host name or IP address

B10: Màn hình Ptotocol and security, giữ nguyên mặc định next

B11 : Màn hình Static Routes For Remote Networks Add

B12 : Màn hình Static Route, cấu sau : Destination : 172.16.100.0 Network mask : 255.255.255.0 Metric :1 Ok  Next

B13 : Màn hình Dial out

Credentials, nhập vào thông tin sau :

User name : saigon Domain : để trống Password : saigon Confirm

password : saigon Sau nhấn Next Finish

B14 : Quay lại hình Routing And Remote Access, chuột phải vào DC2, chọn Properties

B15 : Qua tab IPv4, chọn Static

Address Pool Nhấn Add

B16 : Trong cửa sổ New Ipv4 address rangs nhập vào dãy IP sau :

Start IP address : 10.10.10.1

End IP address : 10.10.10.254 OK  OK

B17 : Màn hình Routing and remote access, chuột phải lên DC2  All Tasks  Restart

B Máy DC3 : lặp lại bước phần A cấu hình VPN server máy DC2 cho máy DC3, thay đồi thông tin sau:

- Tại bước khai báo Interface, Interface Name : saigon - Tại bước khai báo Dial Out Credentials :

User name : vungtau Domani : để trống Password : vungtau

Confirm password : vungtau - Tại bước tạo Static Routes : Interface : saigon

Destination : 172.16.1.0

Network Mask : 255.255.255.0 Metric :

- Tại bước tạo Static address pool : Start Ip name : 10.10.20.1

End IP address : 10.10.20.254 C Kiểm tra :

Máy DC1 - Log on Administrator vào CMD gõ lệnh Ping địa IP máy DC4

172.168.100.2 )  thấy Reply

Máy DC2 : - Quan sát Routing And Remote Access, Connection

vungtau , thấy Connected

Qua mục Ports , thấy kết nối dạng PPTP Status Active

- Nhận xét : site saingon

vungtau kết nối thành cơng

Cấu hình VPN server giao thức L2TP A Máy DC2:

B1 : Chuột phải vào connection vungtau, chọn Properties Qua tab Security  chọn Layer

tunneling …  Advanced Settings Chọn tùy chọn : Use Preshared Key For Suthentication, khung key : nhập vào 123456  OK  OK

B2 : Quay lại hình Routing And Remote Access, chuột phải vào DC2, chọn Properties

B3 : Qua tab

Security, bên đánh dấu chọn vào mục Allow custom Ip sec policy for L2TP connection Mục Preshered Key : nhập vào 123456 Apply ok

B4 : Màn hình Routing And Remote Access chuột phải lên DC2 All tasks  Restart

B Máy DC3 : thực lại thao tác DC2 C Kiểm tra :

A Máy DC1 : Log On Administrator  vào CMD, gõ lệnh Ping địa IP máy DC4 172.168.100.2  máy thấy reply

B Quan sát

Routing And Remote Access, Connection vungtau , thấy connected

C Qua mục Ports, thấy kết nối dạng L2TP Status Active

BÀI :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY

Mã bài: 15.9 1 Cơ sở hạ tầng khóa cơng khai

I.1. Giới thiệu PKI

Dựa tảng mật mã khóa cơng khai, PKI hệ thống bao gồm phần mềm, dịch vụ, chuẩn định dạng, giao thức, quy trình, sách để giúp đảm bảo an tồn, tin cậy cho phiên truyền thông

PKI đáp ứng yêu cầu xác thực, bảo mật, toàn vẹn, chống chối từ cho thông điệp trao đổi

I.2 Các thành phần PKI

Ngoài thành phần chứng số, chữ ký số mật mã PKI tạo nên thành phần chức chuyên biệt sau:

 Certificate Authority  Registration Authority

 Certificate Repository Archive  Security Server

 PKI-enabled applications PKI users

Certificate Authority (CA): bên thứ tin cậy có trách nhiệm tạo, quản lý, phân phối, lưu trữ thu hồi chứng số CA nhận yêu cầu cấp chứng số cấp cho xác minh nhận dạng họ

Registration Authority (RA): đóng vai trị trung gian CA người dùng. Khi người dùng cần chứng số mới, họ gửi yêu cầu tới RA RA xác nhận tất thông tin nhận dạng cần thiết trước chuyển tiếp yêu cầu tới CA để CA thực tạo ký số lên chứng gửi cho RA gửi trực tiếp cho người dùng

Certificate Repository Archive: có kho chứa quan trọng kiến trúc PKI Đầu tiên kho công khai lưu trữ phân phối chứng CRL (chứa danh sách chứng khơng cịn hiệu lực) Cái thứ sở

liệu CA dùng để lưu khóa sử dụng lưu trữ khóa hết hạn, kho cần bảo vệ an toàn CA

Security Server: máy chủ cung cấp dịch vụ quản lý tập trung tất cả tài khoản người dùng, sách bảo mật chứng số, mối quan hệ tin cậy (trusted relationship) CA PKI, lập báo cáo nhiều dịch vụ khác

PKI-enabled applications PKI users: bao gồm người dùng sử dụng dịch vụ PKI phần mềm có hỗ trợ cài đặt sử dụng chứng số trình duyệt web, ứng dụng email chạy phía máy khách

2 Chứng số

 Giới thiệu

Chứng số tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, cơng ty Internet Nó giống lái xe, hộ chiếu, chứng minh thư hay giấy tờ xác minh cá nhân Để có chứng minh thư, bạn phải quan Công An sở cấp

Chứng số vậy, phải tổ chức đứng chứng nhận thông tin bạn xác, gọi Nhà cung cấp chứng thực số (CA -Certificate Authority) CA phải đảm bảo độ tin cậy, chịu trách nhiệm độ xác chứng số mà cấp

Trong chứng số có ba thành phần chính: + Dữ liệu cá nhân người cấp

+ Khố cơng khai (Public key) người cấp + Chữ ký số CA cấp chứng

Dữ liệu cá nhân:

Bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức Phần giống thông tin chứng minh thư người

Khố cơng khai:Public key

Là giá trị nhà cung cấp chứng thực đưa khóa mã hố, kết hợp với khoá cá nhân tạo từ khố cơng khai để tạo thành cặp mã khoá bất đối xứng

Nguyên lý hoạt động khố cơng khai chứng số hai bên giao dịch phải biết khố cơng khai Bên A muốn gửi cho bên B phải dùng khố cơng khai bên B để mã hố thơng tin Bên B dùng khố cá nhân để mở thơng tin

Tính bất đối xứng mã hoá thể chỗ khoá cá nhân giải mã liệu mã hố khóa cơng khai, khố cơng khai khơng có khả giải mã lại thông tin, kể thơng tin khố cơng khai mã hoá

Nếu chứng số chứng minh thư nhân dân, khố cơng khai đóng vai trị danh tính bạn giấy chứng minh thư (gồm tên địa chỉ, ảnh ), cịn khố cá nhân gương mặt dấu vân tay bạn

Nếu coi bưu phẩm thông tin truyền đi, "mã hoá" địa tên người nhận bạn, dù có dùng chứng minh thư bạn với mục đich lấy bưu phẩm này, họ không nhân viên bưu điện giao bưu kiện ảnh mặt dấu vân tay không giống

Chữ ký số CA cấp chứng chỉ:

Còn gọi chứng gốc Đây xác nhận CA, bảo đảm tính xác hợp lệ chứng Muốn kiểm tra chứng số, trước tiên phải kiểm tra chữ ký số CA có hợp lệ hay khơng Trên chứng minh thư, dấu xác nhận Công An Tỉnh Thành phố mà bạn trực thuộc Về nguyên tắc, kiểm tra chứng minh thư, phải xem dấu này, để biết chứng minh thư có bị làm giả hay khơng

 Lợi ích chứng số

Mã hoá - Bảo mật: Khi người gửi mã hố thơng tin khố cơng khai của bạn, chắn có bạn giải mã thơng tin để đọc Trong q trình truyền qua Internet, dù có đọc gói tin mã hố này, kẻ xấu khơng thể biết gói tin có thơng tin Đây tính quan trọng, giúp người sử dụng hoàn toàn tin cậy khả bảo mật thông tin

Những liệu cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, tốn thẻ tín dụng, cần phải có chứng số để đảm bảo an toàn

Chống giả mạo:Khi bạn gửi thơng tin, liệu một email, có sử dụng chứng số, người nhận kiểm tra thơng tin bạn có bị thay đổi hay không Bất kỳ sửa đổi hay thay nội dung thông điệp gốc bị phát

Địa mail bạn, tên domain bị kẻ xấu làm giả để đánh lừa người nhận để lây lan virus, ăn cắp thơng tin quan trọng Chứng số làm giả, nên việc trao đổi thông tin có kèm chứng số ln đảm bảo an tồn

Xác thực :Khi bạn gửi thông tin kèm chứng số, người nhận xác định rõ danh tính bạn Có nghĩa dù khơng nhìn thấy bạn, qua hệ thống chứng số mà bạn người nhận sử dụng, người nhận biết chắn bạn khơng phải người khác

Xác thực tính quan trọng việc thực giao dịch điện tử qua mạng, thủ tục hành với quan pháp quyền Các hoạt động cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân

Đây tảng Chính phủ điện tử, mơi trường cho phép cơng dân giao tiếp, thực cơng việc hành với quan nhà nước hồn tồn qua mạng Có thể nói, chứng số phần thiếu, phần cốt lõi Chính phủ điện tử

hợp chối cãi, CA cung cấp chứng số cho hai bên chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin gửi

Chữ ký điện tử :Email đóng vai trị quan trọng trao đổi thơng tin hàng ngày ưu điểm nhanh, rẻ dễ sử dụng Tuy nhiên, email dễ bị tổn thương hacker Những thơng điệp bị đọc hay bị giả mạo trước đến người nhận Bằng việc sử dụng chứng số cá nhân, bạn ngăn ngừa nguy mà không làm giảm lợi email Với chứng số cá nhân, bạn tạo thêm chữ ký điện tử vào email chứng xác nhận Chữ ký điện tử có tính xác thực thơng tin, tồn vẹn liệu chống chối cãi nguồn gốc

Chứng số cá nhân cịn cho phép người dùng chứng thực với web server thơng qua giao thức bảo mật SSL Phương pháp chứng thực dựa chứng số đánh giá tốt, an toàn bảo mật phương pháp chứng thực truyền thống dựa mật

Bảo mật Website: Khi Website bạn sử dụng cho mục đích thương mại điện tử hay cho mục đích quan trọng khác, thông tin trao đổi bạn khách hàng bạn bị lộ

Để tránh nguy này, bạn dùng chứng số SSL Server để bảo mật cho Website Chứng số SSL Server cho phép bạn lập cấu hình Website theo giao thức bảo mật SSL (Secure Sockets Layer)

Loại chứng số cung cấp cho Website bạn định danh nhằm đảm bảo với khách hàng bạn tính xác thực tính hợp pháp Website Chứng số SSL Server cho phép trao đổi thông tin an toàn bảo mật Website với khách hàng nhân viên

Cơng nghệ SSL có tính bật như: + Thực mua bán thẻ tín dụng

+ Bảo vệ thơng tin cá nhân nhạy cảm khách hàng + Đảm bảo hacker khơng thể dị tìm mật

Xác thực phần mềm: Nếu bạn nhà sản xuất phần mềm, chắn bạn sẽ cần ''con tem chống hàng giả'' cho sản phẩm Đây công cụ thiếu việc áp dụng hình thức sở hữu quyền Chứng số Nhà phát triển phần mềm cho phép bạn ký vào applet, script, Java software, ActiveX control, file dạng EXE, CAB, DLL

 Triền khai dịch vụ CA môi trường windows server 2008 Giới thiệu : lab bao gồm nội dung sau:

- Cài Enterprise CA

- User yêu cầu install Certificate

- User cấu hình Windows Mail gửi mail cho có Sign Encrypt

- Export Certificate - Import Centificate I Chuẩn bị :

Tên Máy

IP OS Funtion

Domain 172.168.1.1

Windows Server 2008 R2

Domain Controller - Tắt IE ECS , UAC

- Cài Windows Live Mail , chỉnh password policy đơn giản - Tạo user U 1/ password : 123456 khai báo địa email : u1@khoaviet.edu.vn properties account u1

- Chỉnh policy Allow Log on locally cho group Users có quyền đăng nhập máy DC

Thực :

1 Cài Enterprise CA : B1 : Log on

Administrator  Mở Server Manager  Chuột phải lên  Add Roles

B4 : Chọn Next B5 : Chọn Certification Authority Web

Enrollment B6 : Chọn Add Require Role ServicesNex t

B7 : Chọn Enterprise Next

B8 : Chọn Root CA Next

B9 : Chọn Next

B10: Chọn Next

B11: Common name for this CA : Khoa Viet  Next

B12: Các bước lại để mặc định Install Close

2 User yêu cầu Install Certificate B1 : Log on u1 Mở

IE add

http:/localhost vào trusted site  Chỉnh IE security

B2 : Mở IE truy cập http://localhost/certsr v  Chọn Request a certificate

B3 : Chọn Advanced Certificate Request

B4 : Chọn Create And Submit Request To This CA

B5 : Certificate  Chọn User

B6 : Cuộn xuống cuối trang phần Friendly Name : Multi

Purpose  Submit

B7 : Chọn Yes

B8 : Yes

B9 : Chọn Install this Certificate  Yes

3 User cấu hình Windows Mail cho có Sign Encrypt Log on u1

B1 : Mở

Windows Live Mail  khai báo account hình  Next

B2 : Khai báo hình Next

B3 : Chọn Properties

B4 : Phần Signing certificate  Chọn Select

B5 : Chọn OK

B6 : Thực tương tự phần Encrypting Preferences  OK

B9 : Gửi mail cho có Sign Encrypt

B10: không quan tâm báo lỗi  Chọn Continue B11: Mail chuyển Outbox đọc mail

Export Certificate B1 : Start  Run  CertMgr.msc

B2 : Mở theo đường dẫn hìnhchuột phải lên certificate u1  Chọn All Task 

Export

B3 : Chọn Next

B4 : Chọn Yes, Export the private key Next

B5 : Chọn Next

B6 : Điền password : 123456  Next

B7 : Chọn

BrowseChọn nơi lưu certificateNextFinis h  OK

4 Import Certificate B1 : Log on u1  Run  Mở CertMgr.msc  Mở theo đường dẫn hình  Chuột phải lên Certificate u1Chọn Delete  Yes

B2 : Mở Windows Mail  Outbox  Mở Email Khơng thể đọc mail

B3 : Mở

CertMgr.mscMở Personal  Chuột phải lên Certificate  All TasksImport

B4 : Chọn Next

B5 : Chọn Browse  đường dẫn đến nơi certificate Export Next

B6 : Điền password : 123456  Next

B7 : Chọn Next

B8 : Finish OK

Kiểm tra : Mở Windows Mail  Outbox  Mở mail gửi cho mình- đọc lại nội dung mail

 Triền khai số dịch vụ mạng sử dụng CA 1. Dịch vụ IPsec SSL

Giới thiệu : Bài lab bao gồm nội dung : - Add CA ( nội ) vào Trusted Root CA

- Yêu cầu Install IP Sec Certificate

Chuẩn bị : máy windows Server 2008 R2

- Cài Stand-alone CA DC1 ( Common name : Khoa Viet ) - máy tắt firewall , kiểm tra lệnh PING

- máy tắt IE ECS , Mở IE add địa IP DC1 : Http://DC1 vào Trusted Site – chỉnh IE security

- máy mở MMC  add snap-in : IP Security Policy Management , Certificate ( My user cacount ) , Certificate ( Computer account ) Lưu lại desktop với tên Console1

- Cài netword Monitor lên DC1 Thực :

Bước 1: Add CA ( nội ) vào Trusted Root CA

Thực DC2

- DC2 truy cập web http://DC1/CertSrv  Chọn Download a CA certificate  Download CA certificate Lưu Certificate DC1 Desktop

B1 : Mở Console1 Certificates ( local computer )  Trusted Root Certification Authorities  Chuột phải lên Certificaties  All TaskImport

B2 : Màn hình Welcome  Chọn Next

B3 : Chỉ đường dẫn đến Certificate DC1 lưu DesktopNext  Nextnext  Finish OK

Bước 2: Yêu cầu Install certificate : Thực máy

B1 : Mở IE truy cập

http://DC1/Certsr v  Chọn Request a certificate

B2 : Chọn Advanced Certificate Request

B3 : Chọn Create and submite a request to this CA

B4 : Chọn Yes

B5 : Name : điền tên máy Type of Certificate Needed : IPSEC Certificate

B6 : Cuộn xuống cuối trang  Chọn Mark key as exportable  Submit.

Thực tương đương DC2

B7 : Trên DC1  Mở Certificate authority Administrative Tool  Issue certificate vừa yêu cầu

B8 : máy truy cập http:// DC1/certsrv  install Certificate vừa yêu cầu

B9 : Mở Console 1 Certificates  Current User

Personal

Certificates  khung bên phải chuột phải vào certificate tên máy All

TaskExport

B10: Màn hình Welcome  Next  Chọn Yes, Export The Private Key Next

B11: Next

B12: Password : 123456  Next

B13: Chọn lưu certificate Desktop Next  Finish  OK

B14: Mở

Certificate ( local Computer )  Personal  Chuột phải lên Personal All Task

Import

B15: Màn hình Welcome  Chọn Next  đường dẫn đến certificate lưu DesktopNext

B16: Điền

password : 123456  Next Next Finish OK Thực tương tự DC2 :

Bước 3: Tạo Rule Policy IP Sec

Thực máy B1 : Mở Console  chuột phải lên IP Security Policies on Local Computer  Chọn Create IP Security Policy

B2 : Đặt tên Policy  Next

B3 : Chọn Next

B4 : Finish

B5 : Chọn Add

B6 : Chọn Next

B7 : Next

B8 : Next

B9 : Chọn Add

B10: Trong phần Name : All  Add

B11: Next

B12 : Để mặc định  Next

B13 : Next

B14 : Next  Finish  OK

B15 : Chọn IP Filter List vừa tạo  Next

B16 : Chọn Add  Next

B17 : Chọn Next

B18 : Chọn Next

B19 : Next

B 20 : Chọn Next  Finish

B21 : Chọn Filter Action vừa tạo  Next

B22 : Chọn Use Acertificate From This Certification Authority Chọn Browse Chọn Certificate Khoa Viet  Next Finish

B23 : OK

B24 : Chuột phải lên Policy vừa tạochọn Asign

Kiểm tra :

- DC1 mở Network Monitor  Start capture - DC1 Ping DC2  Ping thành công

- DC1 mở Network Monitor quan sát thấy gói tin Ping mã hóa

- DC1 DC2 xóa Policy IP Sec tạo 1.2 Dịch vụ Web sử dụng SSL

 Yêu cầu Install Web Certificate  Biding Certificate cho website

Bước 1: Yêu cầu install Web Certificate

- Thực máy : Sửa File Host * IP DC1 : 172.168.1.10

* IP DC2 : 172.168.1.20 - Thực DC1:

B1 : Mở IE truy cập http://DC1/certsrv Chọn Request A Certificate

B2 : Chọn Advanced Certificates Request

B3 : Chọn Create and submite

arequest to this CA

B4 : Chọn Yes

B5 : Name :

DC1.khoaviet.edu.vn Type of Certificate Needed : Server Authentication

Certificate

B6 : Cuộn xuống trang  chọn Mark key as exportable  Friendly Name : Web Certificate  Submit  Yes

B7 : Mở Certificate Authority Administrative Tools  Chọn Issue

Certificate vừa yêu cầu

B8 : Mở IE  truy cập

http://DC1/certsrv Install Certificate vừa yêu cầu

B9 : Mở Console – Certificate

( Current User ) Personal 

Certificate  Export certificate vừa install với password

123456, lưu lên desktop với tên Web Cert

Bước 2: Import Certificate vào website

Thực DC1: B1 : Mở ISS  Khung bên trái chọn DC1  Khung bên phải Double click vào mục Server Certificate.

B2 : Chuột phải vào cửa sổ  Chọn Import

B3 : Chỉ đường dẫn đến file Web Cert.pfx export Desktop với password 123456  OK

B4 : Cửa sổ bên trái  Chuột phải lên Default Website Chọn Edit Bindings

B5 : Chọn Add

B6 : Chọn thông số hình  OK

Kiểm tra :

- DC2 mở IE truy cập httpS://dc1.khoaviet.edu  truy cập thành công

- DC2 truy cập https:// DC1  báo lỗi

certificate  chọn Continue to this website để xem nội dung trang Web

- DC2 mở Console  Certificates ( local Computer ) Trusted Root Certification Authorities  Xóa Certificate Khoa Viet

- DC2 mở IE truy cập Https://DC1.khoaviet.edu  báo lỗi Certificate  Chọn Continue to this website để xem nội dung trang web

3.2. Dịch vụ VPN – SSTP Bài lab bao gồm nội dung :

- B1: VPN Server xin cài đặt Certificate vào Local Computer - B2: Cấu hình VPN Server

- B3: Client tạo kết nối VPN Chuẩn bị :

- Bài lab sử dụng máy Windows Server 2008 R2 :

- Đồng thời gian máy

- DC1 : cài đặt Stand alone root CA tên Nhat Nghe , tắt firewall - DC2 : Cài đặt Routing and remote Access , tắt IE ECS

- DC2 DC3 : truy cập network access vào DC1 copy thư mục CertEnroll máy, Import certificate DC1 – KhoaViet.crt thư mục CertEnroll vào Trusted root CA Local computer Import file KhoaViet.crl vào Imtermedate Certification Authorities

- DC2 : Tạo User u1 , mở properties account user u1 – qua tab Dial-in – Chọn Allow Access

- Chỉnh IP máy theo bảng sau :

DC1 DC2 DC2 DC3

y

- DC3 : sửa file Hosts :

192 168 10 VPNserver.khoaviet.edu.vn

Bước 1:: VPN Server xin cài đặt Certificate vào Local Computer

- Thực DC2

B1 : Mở IE : add http://172.16.1.10 vào Trusted Site  Chỉnh IE security mức thấp

B2 : truy cập

Http://172.16.1.10/certsr v chọn Request a certificate.

B3 : Chọn Advanced Certificate Request.

B4 : Chọn Create and submit a request to this CA.

B5 : Name: VPN

server.khoaviet.edu.vn , Type of Certificate Needed : Server Authentication Certificate.

B6 : Cuộn xuống cuối trang chọn Mark keys as exportable  Submit.

B7 : DC1 : Mở

Certificate Authority Administrative Tools  Issue

certificate vừa xin

B8 :DC2 : truy cập http://172.16.1.10/certsr v  cài đặt Certicate vừa xin

B9: DC2: Export

Certificate từ Certificate ( Current User )  Personal  Certificate

B10: DC2: Mở Certificates ( Local Computer )  Import certificate vừa export từ Certificate

( Current User )

Bước 2: Cấu hình VPN Server

Thực DC2 B1: Mở Routing And Remote Access Administrative Tools  Chuột phải DC2 chọn Configure and Enable Routing and Remote Access.

B2: chọn Custom Configuration  Next

B3: Chọn VPN acess và LAN routing  Next

B4: Chọn Finish  Start Services

B5: chuột phải lên DC2  Chọn Properties

B6: Qua tab IPv4  Chọn Static Address pool  chọn Add  điền dãy IP:

10.10.10.1 

10.10.10.254  OK.

Bước 3: Client tạo kết nối VPN

Thực DC3

B1 : Mở Network and Sharing Center Control Panel  Chọn setup a connection or network.

B2 : Chọn Connect to a workplace

B3 : Chọn Use my Internet connection ( VPN )

B4 : Internet address : VPNserver.khoaviet.ed u.vn   Next Khai báo use name

password u1 Create  Close

B5 : Start Control Panel Nextwork and Sharing center  Change adapter setting  Chuột phải lên VPN Connection  Properties

B6 : Qua tab Security - Type of VPN : Secure Socket Tunneling Protocol ( SSTP )

- Qua tab Networking  Bỏ chọn Internet Protocol Version (TCP/IPv6 )OK

Kiểm tra :

- Double click vào VPN connection  Chọn connect  kết nối VPN thành công

-Truy cập network access vào

DC1 :\\172.168.1.10  truy cập thành công

- Mở command line  Đánh lệnh Netstat-an : Quan sát thấy kết nối VPN chạy port 443

- Double click vào VPN connection  qua tab Details  quan sát thấy kết nối VPN SSTP

TÀI LIỆU CẦN THAM KHẢO

[1] Phạm Hoàng Dũng-Hoàng Đức Hải, Làm chủ Windows 2008 server [2] Hướng Dẫn Quản Trị Mạng Microsoft Windows Server 2008-2010 [3] Hoàng Hải Phương, www.giaiphapantoan.com