Các chính sách hạn chế phần mềm có thể được cấu hình để cho phép hoặc từ chối sự sử dụng đối với một số ứng dụng nào đó và vẫn được sử dụng trong các máy tính công cộng, mặc dù vậy chúng[r]
(1)BM/QT10/P.ĐTSV/04/04 Ban hành lần:
UBND TỈNH BÀ RỊA – VŨNG TÀU
TRƯỜNG CAO ĐẲNG KỸ THUẬT CƠNG NGHỆ
GIÁO TRÌNH
MƠ ĐUN :QUẢN TRỊ NÂNG CAO NGHỀ: QUẢN TRỊ MẠNG
TRÌNH ĐỘ: TRUNG CẤP
(2)BÀ RỊA – VŨNG TÀU, NĂM 2020
TUYÊN BỐ BẢN QUYỀN
Nhằm đáp ứng nhu cầu học tập nghiên cứu cho giảng viên sinh viên nghề Công nghệ Thông tin trường Cao đẳng Kỹ thuật Công nghệ Bà Rịa – Vũng Tàu, thực biên soạn tài liệu Quản trị mạng
Tài liệu biên soạn thuộc loại giáo trình phục vụ giảng dạy học tập, lưu hành nội Nhà trường nên nguồn thơng tin phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo
(3)LỜI GIỚI THIỆU
Giáo trình “Quản trị mạng nâng cao” biên soạn dựa khung chương trình đào tạo Cao đẳng nghề Công nghệ Thông tin năm 2019 Trường Cao đẳng Kỹ thuật Công nghê Bà Rịa – Vũng Tàu phê duyệt
Tác giả nghiên cứu số tài liệu, công nghệ đại kết hợp với kinh nghiệm làm việc thực tế để viết nên giáo trình Nội dung tác giả trình giáo trình trang bị cho học viên kiến thức kỹ năng:
- Xây dựng quản trị hạ tầng Active directory - Cài đặt quản trị hạ tầng khóa CA
- Cài đặt cấu hình DHCP relay agent
- Có khả tinh chỉnh giám sát mạng Windows Server; - Triển khai dịch vụ Routing and Remote Access (RRAS); - Có khả phát khơi phục Server bị hỏng;
- Có khả cài đặt quản lý máy tính từ xa thơng qua RAS; - Xây dựng mạng riêng ảo VPN;
- Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall;
- Thực thao tác xuất, nhập sách Firewall thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập
Nội dung giáo trình chia thành bài, đó: Bài 1: Dịch vụ windows terminal services
Bài 2: Tính bảo mật nâng cao server Bài 3: Thực thi distributed ad ds deployments Bài 4: Operations master roles
Bài 5: Dịch vụ routing Bài 6: Dịch vụ nat
Bài 7: Dịch vụ dhcp relay
Bài 8: Dịch vụ virtual private network
Bài : Triển khai dịch vụ dựa certification authority
Mặc dù thân tham khảo tài liệu ý kiến tham gia đồng nghiệp, song giáo trình khơng tránh khỏi thiếu sót Mong bạn đóng góp ý kiến
Tôi xin cảm ơn thầy cô khoa CNTT–Trường Cao đẳng nghề cho ý kiến đóng góp q báu để tơi hồn thiện giáo trình
Bà Rịa – Vũng Tàu, ngày …… tháng …… năm ……… Tham gia biên soạn
1 Vũ Thị Tho – Chủ biên
(4)MỤC LỤC
BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES
1 Tại phải dùng Terminal services
2 Các hình thức máy trạm kết nối đến máy chủ:
3 Cài đặt cấu hình Terminal Service
3.1 Cài đặt Terminal Services:
3.2 Thêm chương trình ứng dụng RemoteApp 13
3.3 Chia sẻ folder chứa file ứng dụng 17
3.4 Kiểm tra máy client 18
4.Triển khai ứng dụng RemoteApp thông qua TS Web Access: 21
4.1 Cài đặt TS Web Access Terminal Server 21
4.2.Kiểm tra Terminal Client 24
5 Bảo mật Terminal Services Windows Server 2008 25
5.1 Sử dụng chứng thực Smart Cards 25
5.2 Cấu hình bảo mật bổ sung Group Policy 25
BÀI 2: TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER Thiết lập Advanced Firewall 32
1.1 Giới thiệu 32
1.2 Cấu hình Advanced FireWall 32
1.2.1 Xác định port 33
1.2.2.Cấu hình Inbound Rule 33
1.2.3.Cấu hình Outbound Rule 35
2 IP SECURITY 38
2.1 Tổng quan IP Sec 38
2.1.1 Khái niệm IP Sec 38
2.1.2 Cấu trúc bảo mật IP SEC 38
2.1.3 Hiện trạng IP SEC 39
2.2 Cấu hình IP Sec 40
2.2.1 Cấu hình IP Sec cho tất kết nối 40
2.2.2 Cấu hình IP Sec cho kết nối định 54
2.2.3 Connection Security Rules 56
2.2.4 Deploy connection Security Rules GPO 59
BÀI 3: THỰC THI DISTRIBUTED AD DS DEPLOYMENTS Các thành phần Active directory 60
2 Thực thi Active directory 62
2.1 Cấu hình Child Domain AD 62
2.2 Thêm domain controller 67
2.3 Cấu hình DNS 71
BÀI 4: OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles 76
1.1 FSMO 76
1.2 Các vai trò FSMO 76
(5)2.1 Transfer FSMO Roles 80
2.2 Size FSMO Roles 80
BÀI 5: DỊCH VỤ ROUTING 1.Giới thiệu Routing 80
2 Cấu hình Routing : 83
2.1 Cài đặt role Routing and Remote Access 84
2.2 Cấu hình Static Route 85
2.3 Cấu hình Dynamic Route 89
BÀI 6: DỊCH VỤ NAT Giới thiệu NAT /PAT 91
2 Cấu hình NAT OUTBOUND & INBOUND ON SERVER 94
2.1 Cấu hình NAT OUTBOUND 95
2.2 Cấu hình NAT INBOUND 99
3 Bài tập nâng cao 101
BÀI 7: DỊCH VỤ DHCP RELAY Giới thiệu DHCP Relay Agent 102
1.1.Tại phải sử dụng DHCP relay agent 102
1.2.Ưu diểm DCHP RELAY 103
1.3.Cơ chế hoạt động DHCP Relay Agent 103
1.4.Cấp phép (authorize) 104
1.5.Level option DHCP server 105
2 Cài đặt cấu hình DHCP Relay Agent 107
2.1.Cài đặt cấu hình DHCP server 107
2.2.Cài đặt cấu hình DHCP Relay 114
BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK Tổng quan VPN 118
1.1.Khái niệm vpn 118
1.2.Lợi ích VPN 119
1.3.Cơ chế hoạt động VPN 119
1.4.Giao thức sử dụng VPN 120
2 Cấu hình VPN Client to Site 123
3 Cấu hình VPN Site to Site 132
BÀI :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY Cơ sở hạ tầng khóa cơng khai 142
1.1 Giới thiệu PKI 142
1.2 Chứng số 142
1.2.1 Giới thiệu 143
1.2.2 Lợi ích chứng số 143
2 Triền khai dịch vụ CA môi trường windows server 2008 145
2.1 Cài Enterprise CA 146
2.2 Cấp phát quản lý CA 147
3 Triền khai số dịch vụ mạng sử dụng CA 157
3.1 Dịch vụ IP Sec 157
(6)3.3 Dịch vụ VPN 176 GIÁO TRÌNH MƠ ĐUN
Tên mơ đun: Quản trị mạng nâng cao Mã môn học/mô đun:MĐ15
VỊ TRÍ, TÍNH CHẤT CỦA MƠ ĐUN:
- Vị trí: Mơ đun bố trí sau sinh viên học xong mơn, mơ đun: Mạng máy tính, Quản trị mạng 1, Quản trị hệ thống WebServer MailServer
- Tính chất: Là mơ đun chun nghành bắt buộc MỤC TIÊU MƠ ĐUN:
- Có khả tinh chỉnh giám sát mạng Windows Server; - Triển khai dịch vụ Routing and Remote Access (RRAS); - Có khả phát khơi phục Server bị hỏng;
- Có khả cài đặt quản lý máy tính từ xa thơng qua RAS; - Xây dựng mạng riêng ảo VPN;
- Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall;
- Thực thao tác xuất, nhập sách Firewall thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập NỘI DUNG MÔ ĐUN:
(7)BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES Mã bài: 15.1
1 Tại phải dùng Terminal services
Terminal Service Remote Application tính Windows Server 2008 Các chương trình ứng dụng cài đặt sẵn Windows Server 2008, máy trạm khơng cài đặt chương trình ứng dụng, khai thác chương trình ứng dụng máy chủ thơng qua Terminal Service Terminal Service có đặc điểm sau:
-Sự truy cập liền mạch Người dùng truy cập vào ứng dụng hosting từ xa cách liền mach ứng dụng cài đặt cục Các ứng dụng hosting cư trú ứng dụng cài đặt cục
- Quản lý ứng dụng tập trung, dễ dàng, đơn giản
-Dễ dàng quản lý văn phịng chi nhánh,phù hợp với cơng ty khơng có nhân viên IT chun nghiệp văn phòng chi nhánh
-Sử dụng ứng dụng khơng tương thích với hệ thống - Các máy trạm khơng cần phải có cấu hình phần cứng mạnh doanh nghiệp khơng phải tốn nhiều chi phí quyền phần mềm sử dụng dịch vụ Tuy nhiên, doanh nghiệp phí quyền cho CAL (Client Access License), chi phí thấp, chấp nhận
- Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải cài đặt Remote Desktop Connection (RDC) 6.0 trở lên
2 Các hình thức máy trạm kết nối đến máy chủ
- Có cách để máy trạm kết nối đến máy chủ khai thác chương trình ứng dụng máy chủ:
Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web Access, máy trạm phải cài đặt Remote Desktop Connection (RDC) 6.1 RDC6.1 có sẵn Windows Vista Service Pack Windows XP Professional Service Pack
Sử dụng Network Access: Máy chủ tạo sẵn file rdp (mỗi chương trình ứng dụng tương ứng file rdp) share máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file để khai thác chương trình ứng dụng máy chủ
Sử dụng Network Access: Máy chủ tạo sẵn file msi (mỗi chương trình ứng dụng tương ứng file msi)và share máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file để cài đặt shortcut liên kết đến chương trình ứng dụng máy chủ Các shortcut cài đặt Start menu máy trạm, cụ thể mục Remote Application Máy trạm chạy shortcut để khai thác chương trình ứng dụng máy chủ
Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc cài đặt shortcut liên kết đến chương trình ứng dụng máy chủ cho nhiều máy trạm
3 Cài đặt cấu hình Terminal Service Chuẩn bị: Hệ thống gồm:
(8)- Server: Windows Server 2008
+ Tạo local user: sv1/123 , sv2/ 123 add vào group remote desktop users + Bật chế độ remote desktop máy server
+ Change password Adminstrator 123 - Client: Windows XP
Thực hiện:
3.1 Cài đặt Terminal Services:
Start –> Programs –> Administrative Tools –> Server Manager Chuột phải Roles –> Add Roles
Before you begin –> Next
(9)Chọn Terminal Services –> Next
Hộp thoại Instruction to Terminal Services –> Next Chọn Terminal Server –> Next
(10)Application Compatibility để mặc định –>Next
Authentication Method –> Chọn Do Not Require Network Level Authentication –> Next
(11)Licensing Mode –> Configure later –> Next
Add user sv1 sv2 vào để access the terminal server
(12)Confirmation Installation –> chọn Install Sau cài đặt xong chọn Restart – > OK
Kiểm tra Remote Connection enable
Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote
(13)3.2 Thêm chương trình ứng dụng RemoteApp:
- Start –> Program –> Administrative Tools ->Terminal Services ->TS RemoteApp Manager
- Menu Action –> Add RemoteApp Programs
Menu Action –> Add RemoteApp Programs
(14)Màn hình Wellcome –> Next
Choose Program to add to RemoteApp Program list –> Chọn ứng dụng cho Client –> Next
(15)Review Setting –> Finish
(16)Trong hình TS remote App –> Cuộn xuống cuối hình –> Phải chuột vào application chọn Create Windows Installer Package
Màn hình Welcome –> Next
Để mặc định thơng số cấu hình –> Next
(17)Chọn Finish
3.3 Chia sẻ folder chứa file ứng dụng:
C:\Program File –> Chuột phải lên Packaged Program –> Properties –> Share Folder –> Everyone Allow-Read –> OK
(18)3.4 Kiểm tra máy client:
Start –> Run –> Nhập địa ip Remote Server Vd: \\192.168.1.38 OK
Hộp thoại yêu cầu khai báo username/password đăng nhập –> Nhập sv1/123 –> OK
(19)Chọn ứng dụng cần dùng
Chọn Connect
(20)Nhập vào user chứng thực –> OK
Quá trình kết nối diễn Ứng dụng cần dùng mờ
(21)4.Triển khai ứng dụng RemoteApp thông qua TS Web Access: 4.1 Cài đặt TS Web Access Terminal Server:
- Server Manager –> Terminal Services –> Add Role Services
Chọn TS Web Acess –> Next
(22)Chọn Add Require Role Services
Để thông số mặc địnhàNextàChọn Install
(23)(24)Start –> Programs –> Administrative Tools –> Terminal Service –> TS RemoteApp Manager
Chuột phải ứng dụng muốn hiển thị –> Chọn Show in TS Web Access
4.2.Kiểm tra Terminal Client
Mở Internet Explorer –> Khung Address nhập vào địa Terminal Server http:// 192.168.1.38/ts –> Enter
Hộp thoại khai báo username password xuất Nhập sv1/123
(25)Sau đăng nhập thành công -> Lựa chọn ứng dụng cần dùng
5 Bảo mật Terminal Services Windows Server 2008 5.1 Sử dụng chứng thực Smart Cards
Sử dụng Smart Cards, người dùng cung cấp tiêu chuẩn đăng nhập hợp lệ mà cịn phải kết nối vật lý với thẻ thông minh đến thiết bị mà họ sử dụng thiết bị đầu cuối xa
(26)Để yêu cầu thẩm định thẻ thông minh, bạn phải tạo Group Policy Object để sử dụng cho Terminal Server Trong GPO, duyệt đến Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options kích hoạt thiết lập Interactive Logon: Require Smart Card Thêm vào bạn cần phải kích hoạt Smart Cards để chuyển hướng đến Terminal Server cách tích vào hộp kiểm Smart Cards tab Local Resources Remote Desktop Connection máy trạm người dùng
Thực thi thẩm định mức mạng tất máy khách
Network Level Authentication (NLA) tính giới thiệu phiên 6.0 Remote Desktop Connection Client, tính cho phép người dùng nhập vào trước tiêu chuẩn đăng nhập họ để hiển thị cửa sổ đăng nhập Windows Server Windows Server 2008 cho phép sử dụng tiện ích yêu cầu tất máy khách kết nối để sử dụng
(27)Để sử dụng NLA, bạn phải sử dụng Windows 2008 Server, máy khách kết nối phải hỗ trợ CredSSP (Windows XP SP3, Windows Vista, Windows 7) chạy Remote Desktop Connection 6.0 cao Bạn cấu hình Terminal Server để yêu cầu máy khách sử dụng NLA cách sau:
Trong suốt trình cài đặt Terminal Services role ban đầu, bạn thấy hìnhSpecify Authentication Method for Terminal Server, chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.
Truy cập Terminal Services Configuration MMC Snap-In, kích chuột phải vào kết nối terminal server sử dụng máy khách chọn properties, sau chọn tùy chọn Allow connections only from computers running Remote Desktop with Network Level Authentication.
Tạo Group Policy Object, duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Security, kích hoạt thiết lập Require user authentication for remote connections by using Network Level Authentication setting sử dụng cho OU gồm có terminal server
Thay đổi cổng RDP mặc định
(28)trường Terminal Server để tránh kẻ xâm nhập thay đổi thỏa thuận cổng mặc định
Để thay đổi cổng RDP mặc định cho Terminal Server, bạn mở regedit duyệt đến
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Termi nal Server\WinStations\RDP-Tcp Tìm key PortNumber thay giá trị hex 00000D3D (tương đương với 3389) thành giá trị khác mà bạn muốn sử dụng
Cách khác, bạn thay đổi số cổng sử dụng Terminal Server kết nối Vẫn sử dụng regedit, duyệt đếnHKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\connection name Tiếp đó, tìm đến key PortNumber thay giá trị hex giá trị khác mà bạn muốn
Cần phải lưu ý thay đổi thiết lập máy chủ này, tất máy khách kết nối cần phải bảo đảm chúng kết nối đến Terminal Server với cổng gắn thẻ địa IP máy chủ Cho ví dụ, việc kết nối đến Terminal Server với địa IP 192.168.0.1 có nghĩa sử dụng cổng non-standard 8888 yêu cầu người dùng nhập 192.168.0.1:8888 vào Remote Desktop Connection
In ấn dễ dàng hạn chế máy in chuyển hướng
Việc in ấn từ thiết bị kết nối nội với máy trạm client yếu điểm Terminal Services trước Windows Server 2008 Để thực điều đó, bạn phải bảo đảm giống xác phiên driver máy in cài đặt máy chủ máy khách, đơi sau khơng có làm việc Từ quan điểm bảo mật, không muốn cài đặt thêm nhiều driver vào hệ thống ngồi bắt buộc Mỗi driver cài đặt vào máy chủ có tiền ẩn khả mở rộng bề mặt cơng
(29)driver Easy Print, thiết lập liệu máy in chuyển đổi thành định dạng phổ biến gửi đến Terminal Server xử lý Thực điều này, sau kích in, hộp thoại máy in khởi chạy từ máy khách, không terminal session Điều có nghĩa khơng driver cài đặt cho Terminal Server để xử lý công việc in từ thiết bị in kết nối nội
Để cấu hình Easy Print, bạn cần phải bảo đảm tất thiết bị in gắn nội phải có máy in logic cấu hình máy khách thiết lập để sử dụng driver Easy Print Tính Easy Print hỗ trợ tất máy khách Windows XP SP3, Windows Vista Windows chạy Remote Desktop Connection 6.1 NET Framework SP1
Khi cấu hình thiết bị gắn nội mức máy trạm, bạn cần bảo đảm máy in chuyển hướng đến Terminal Server máy in sử dụng TS Easy Print, thành phần thiết lập máy in mặc định Bạn thực điều cách tạo Group Policy Object duyệt đến Computer Configuration\ Administrative Templates\Windows Components\Terminal Services\Terminal Server\Printer Redirection, sau kích hoạt tùy chọn Redirect only the default client printer.
Hạn chế tài khoản người dùng
Chúng ta cần phải biết rằng, người dùng kết nối hay làm việc trực tiếp từ máy chủ vốn có truy cập đến vài thứ mà họ không cần đến, để tạo môi trường an toàn hơn, cần phải hạn chế điều Đây khơng biện pháp để bảo vệ tiêu chuẩn người dùng thỏa hiệp mà cịn bảo vệ người dùng đáng với ý định khơng đáng Một số thứ mà thực là:
Sử dụng tài khoản cụ thể cho người dùng
(30)Người dùng làm việc nội với ứng dụng đó, sau truy cập vào Terminal Server để truy cập đến ứng dụng khác Việc sử dụng tài khoản cho truy cập nội truy cập từ xa đơn giản vấn đề quản lý, nhiên dễ bị thỏa hiệp kẻ cơng thỏa hiệp loạt tiêu chuẩn để truy cập vào ứng dụng Việc tạo tài khoảng người dùng riêng biệt cho truy cập Terminal Server hạn chế quyền cho ứng dụng cần thiết giảm nhẹ ảnh hưởng kiểu thỏa hiệp
Sử dụng sách hạn chế phần mềm
Các sách hạn chế phần mềm cấu hình phép từ chối sử dụng số ứng dụng sử dụng máy tính cơng cộng, chúng tuyệt môi trường Terminal Server
Kiểm tra truy cập người dùng vào máy chủ Terminal Group
Mặc định, có thành viên nhóm Terminal Servers Remote Desktop Users (và Domain/Local Administrators) đăng nhập vào Terminal Server Tuy nhiên bạn cần minh chứng thẩm định thành viên nhóm cách thường xuyên Nếu người dùng không cần đăng nhập vào Terminal Server, remove họ khỏi nhóm người dùng xa
5.2 Cấu hình bảo mật bổ sung Group Policy
Nhiều cải tiến bảo mật cho môi trường Terminal Server cung cấp thông qua Group Policy Đây số ví dụ điển hình mà muốn giới thiệu cho bạn
- Hạn chế người dùng Terminal Services vào Session từ xa
Trong hầu hết trường hợp, người dùng không cần khởi tạo nhiều session Terminal Server Việc cho phép người dùng khởi tạo nhiều session làm cho mơi trường bạn có nhiều lỗ hổng cho công từ chối dịch vụ (DoS), tiêu chuẩn người dùng bị thỏa hiệp Bạn cấu hình thiết lập cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal
Server\Connections bên GPO bạn - Không cho phép chuyển hướng drive
Trừ bạn có nhu cầu thật cần thiết, cho phép người dùng truy cập vào ổ đĩa nội từ Terminal Server session hành động tạo kênh truyền thơng khơng an tồn Với khả này, người dùng không copy liệu vào Terminal Server mà liệu chứa mã độc thực thi máy chủ
Bạn cấu hình thiết lập cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection bên GPO.
Thiết lập hạn chế thời gian cho Session bị hủy kết nối
(31)tình trạng thiết lập hạn chế thời gian mức thấp để hủy kết nối session Khi đến giới hạn thời gian, session bị đóng lại
Bạn cấu hình thiết lập cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Session Time Limits bên GPO
- Vơ hiệu hóa cài Windows
Chỉ quản trị viên có quyền cài đặt ứng dụng vào Terminal Server Trong hầu hết trường hợp, không cho người dùng phép cài đặt ứng dụng họ không đăng nhập với quyền quản trị viên Mặc dù vậy, số người dùng cho cần phải có hành động nâng đặc quyền bạn hạn chế khả cài đặt số chương trình cách vơ hiệu hóa Microsoft Windows Installer
Có thể cấu hình thiết lập cách duyệt đến Computer Configuration\Administrative Templates\Windows Components\Windows Installer bên GPO Cần lưu ý bạn phải cấu hình thiết lập Enabled thay cho Always Như bảo đảm bạn publish ứng dụng cho Terminal Server thông qua Group Policy Cịn sử dụng tùy chọn Always khơng cho phép bạn thực điều
- Hạn chế thư mục
Mặc dù (các quản trị viên) có cung cấp nhiều location riêng cơng cho việc lưu trữ bảo mật liệu số người dùng tùy tiện lưu liệu desktop họ Tuy nhiên có cách để tạo tường bảo vệ liệu cho họ chuyển hướng (redirect) desktop họ đến location lưu trữ thích hợp file server
Bạn cấu hình thiết lập cách duyệt đến User Configuration\Windows Settings\Folder Redirection bên GPO Desktop người dùng thư mục mà chuyển hướng
- Chặn truy cập vào Control Panel
Cũng với Microsoft Installer, người thông thường không nên truy cập vào Control Panel nói chung Mặc dù vậy, người cần phải có đặc quyền quản trị viên để thực số thao tác bạn hạn chế truy cập họ vào control panel cách cấu hình thiết lập
Bạn cấu hình thiết lập cách duyệt đến User Configuration\Administrative Templates\Control Panel bên GPO
Kích hoạt log
Các thiết lập log Microsoft khuyên dùng đây: Audit Account Logon Events - No Auditing
Audit Account Management - Audit Success and Failure Audit Directory Services Access - No Auditing
Audit Logon Events - Audit Success and Failure Audit Object Access - Audit Failure
Audit Policy Change - Audit Success and Failure Audit Privilege Use - Audit Failure
Audit Process Tracking - Audit Failure
Audit System Events - Audit Success and Failure
(32)Cùng với thiết lập đó, bạn sử dụng log kết nối Connection Auditing bên Terminal Services Cách thức cho phép bạn ghi lại vài mục cụ thể Terminal Server Để xem cấu hình thiết lập này, bạn mở Terminal Services Configuration snap-in, kích chuột phải vào kết nối mà bạn muốn kích hoạt thẩm định, sau kích Properties Vào tab Security, kích Advanced, đánh tên người dùng tài khoản muốn kích hoạt ghi log Ở bạn chọn tùy chọn liệt kê sẵn
BÀI 2
TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER Mã bài: 15.2
1. Thiết lập ADVANCED FIREWALL 1.1 Giới thiệu
Windows Server 2008 giới thiệu tường lửa có nhiều cải thiện đáng kể; Windows Firewall với Advanced Security Tường lửa Windows có nhiều cải thiện giống với tường lửa giới thiệu Windows Vista Các tính có tường lửa vấn đề bảo mật nâng cao gồm có:
Nhiều điều khiển truy cập vào Nhiều điều khiển truy cập gửi
Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự động tường lửa dịch vụ cài đặt Server Manager
Cấu hình việc quản lý sách IPsec cải thiện mạnh mẽ, bên cạnh cịn có thay đổi tên Các sách IPsec khai báo rule bảo mật kết nối (Connection Security Rules)
Kiểm tra sách tường lửa cải thiện
Kiểm tra sách IPsec cải thiện (giờ gọi Rule bảo mật kết nối)
Kiểm tra tập trung việc kết hợp chế độ bảo mật Main Quick cải thiện
1.2 Cấu hình Advanced FireWall - Xác định port
- Cấu hình Inbound Rule - Cấu hình Outbound Rule
Chuẩn bị : máy Windows Server 2008 R2
(33)DC2 : turn off firewall, cài đặt IIS tạo trang wed với nội dung tùy ý
1.2.1 Xác định Port: B1 : DC1 truy cập vào trang wed nội DC2 Network Access vào DC2
B2 : DC2 : Mở Command Line đánh lệnh netstat - a quan sát thấy DC1 tạo kết nối đến DC2 port 80 ( wed ) 445 ( network Access)
1.2.2 Cấu hình Inbound Rule :
Thực hiên máy DC2 : cho phép truy cập wed nội Network Access vào DC2
33 ST
T
Tên Máy
IP OS
(34)B1 : Turn On Firewall B2 : Từ DC1 truy cập vào web DC2 : không B3 : DC2: mở Local security Policy mở theo đường hướng dẫn hình chuột phải lên Inbound Rules chọn New Rules
B4 : Màn hình Rule Type chọn Port Next
B5 : Chọn TCP và Specific Local Ports : 80 Next
B6 : Chọn Allow The Connection next
B7 : Next
(35)B8 : Đặt tên rule Allow wed Next
B9 : Quan sát thấy rule Allow wed tạo
B10 : Làm tương tự từ B1- B9 để tạo thêm rule cho phép truy cập Network Access
- Port :445
- Action : Allow Connection - Name : Allow Network Access
Kiểm tra :
- Ping DC2 : không
- Truy cập thử trang wed DC2 ( http://172.168.1.20 ) truy cập thành công
- Truy cập qua DC2 Network access ( \\172.168.1.20 ) thành công 1.2.3 Cấu hình Outbound rule
Mở CMD nslookup vnexpress.net thấy kết trả IP là: 111.65.248.132 Thực máy DC2 cấm truy cập trang wed vnexpress.net có địa IP 111.65.248.132
(36)B1 : Chuột phải lên Outbound rules chọn New Rule
B2 : Chọn Custom Next
B3 : Chọn Browsechỉ đường hướng dẫn đến: C:\ProgramFiles(x86)\In ternet
Explore\iexplore.exe Next
B4 : khai báo thông số :
Protocol Type : TCP Local Port : All Ports Remote Ports : Specify Ports 80 Next
(37)B5 :
- Which Local IP addresses does this rule match : any IP address
- Which Remote IP
addresses does this rule match :these IP address chọn add
B6 : điền địa IP : 111.65.248.132 Ok Next
B7 : Chọn Block The Connection
(38)B8 : Chọn Next B9 : Đặt tên Rule Block vnexpress.net finish
Kiểm tra :
- Mở IE truy cập trang wed http://vnexpress.net không thể truy cập
Mở Outbound rule chuột phải lên Rule Deny Wedsite chọn Disable Rule mở IE truy cập
http://vnexpress.net thành công.
2. IP SECURITY 2.1 Tổng quan IP Sec 2.1.1.Khái niệm IP Sec
IPsec (IP security) bao gồm hệ thống giao thức để bảo mật q trình truyền thơng tin tảng Internet Protocol (IP) Bao gồm xác thực và/hoặc mã hố (Authenticating and/or Encrypting) cho gói IP (IP packet) q trình truyền thơng tin IPsec bao gồm giao thức cung cấp cho mã hoá xác thực
(39)mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mơ hình OSI đoạn mã ứng dụng bị thay đổi lớn
2.1.2 Cấu trúc bảo mật IP SEC
Khi IPsec triển khai, cấu trúc bảo mật gồm:
(1) Sử dụng giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) q trình truyền
(2) Cung cấp phương thức xác thực (3) Thiết lập thơng số mã hố
Xây dựng IPsec sử dụng khái niệm bảo mật tảng IP Một kết hợp bảo mật đơn giản kết hợp thuật tốn thơng số (ví khố – keys) tảng việc mã hoá xác thực chiều Tuy nhiên giao tiếp hai chiều, giao thức bảo mật làm việc với đáp ứng trình giao tiếp Thực tế lựa chọn thuật toán mã hoá xác thực lại phụ thuộc vào người quản trị IPsec IPsec bao gồm nhóm giao thức bảo mật đáp ứng mã hố xác thực cho gói tin IP
2.1.3 Hiện trạng
IPsec phần bắt bược IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kết cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4
IPsec cung cấp Transport mode (end-to-end) đáp ứng bảo mật máy tính giao tiếp trực tiếp với sử dụng Tunnel mode (portal-to-portal) cho giao tiếp hai mạng với chủ yếu sử dụng kết nối VPN
IPsec sử dụng giao tiếp VPN, sử dụng nhiều giao tiếp Tuy nhiên việc triển khai thực có khác hai mode
Giao tiếp end-to-end bảo mật mạng Internet phát triển chậm phải chờ đợi lâu Một phần bở lý tính phổ thông no không cao, hay không thiết thực, Public Key Infrastructure (PKI) sử dụng phương thức
IPsec giới thiệu cung cấp dịch vụ bảo mật: Mã hố q trình truyền thơng tin
2 Đảm bảo tính ngun vẹn liệu Phải xác thực giao tiếp
4 Chống trình replay phiên bảo mật Modes – Các mode
Có hai mode thực IPsec là: Transport mode tunnel mode Transport mode
Trong Transport mode, liệu bạn giao tiếp gói tin mã hố và/hoặc xác thực Trong q trình routing, IP header khơng bị chỉnh sửa hay mã hố; nhiên authentication header sử dụng, địa IP biết được, thông tin bị hash (băm) Transport application layers thường bảo mật hàm băm (hash), chúng không
(40)thể chỉnh sửa (ví dụ port number) Transport mode sử dụng tình giao tiếp host-to-host
Điều có nghĩa đóng gói thơng tin IPsec cho NAT traversal định nghĩa thông tin tài liệu RFC NAT-T
Tunnel mode
Trong tunnel mode, tồn gói IP (bao gồm data header) mã hố xác thực Nó phải đóng gói lại dạng IP packet khác trình routing router Tunnel mode sử dụng giao tiếp network-to-network (hay routers với nhau), host-to-network host-to-host internet
2.2 Cấu hình IP Sec
- Cấu hình IP Sec cho tất kết nối - Cấu hình IP Sec cho kết nối định - Connection Security Rules
- Deploy connection Security Rules GPO Chuẩn bị : lab sử dụng máy tính
- Cả máy tắt filewall, kiểm tra đường truyền lệnh PING Thực :
2.2.1 Cấu hình IP Sec cho tất kết nối : thực DC2: - Cài đặt network Monitor, Capture gói tin
B1 : Chạy file cài đặt chọn Yes
B2 : Chọn Next
(41)B3 : Chọn I accept the terms in the Licence Agreement Next
B4 : Chọn I not want to use Microsoft Update next
B5 : Chọn Complete
(42)B6 : Install
B7 : Khởi động chương trình Network Monitor Desktop chọn No
B8 : Chọn capture B9 : Chọn start
(43)B10 : Giữ nguyên chương trình Network Monitor , DC2 command line ping DC3
B11 : Quay trở lại hình Network Monitor quan sát capture gói tin PING - Chọn gói tin ICMP chọn
ImplementationSpecifi cData : Binary Large - Dữ liệu lệnh PING bắt dầu a, b, c, d
Cấu hình IP sec DC2 & DC3 Tạo Policies
B1 : Start run đánh lệnh MMC vào menu File chọn Add/ Remote Snap –ins chọn IP Security Policies
Management chọn add
(44)B2 : Chọn Local Computer Finish OK
B3 : Chuột phải lên IP Sec Policies on Local computer chọn Create IP Sec Policy
B4 : Chọn next
(45)B5 : Đặt tên cho Policies Preshare key Next
B6 : Chọn next
B7 : Chọn finish ok
Cấu hình Policies
(46)B1 : Chuột phải lên Preshare key chọn
Properties
B2 : Chọn Add
B3 : Next
(47)B4 : Chọn This rule does not specify a tunnel next
B5 : Chọn Local area network ( LAN ) next
B6 : Chọn Add
(48)B7 : Chọn Add
B8 : Chọn next
B9 : Chọn next
(49)B10 : Chọn Any IP address next
B11 : Chọn Any IP Address next
B12 : Chọn next
(50)B13 : Chọn finish
B14 : Chọn Ok Chọn New IP Filter List next
B15 : Chọn add
(51)B16 : Chọn next
B17: Đặt tên Filer Action Security Require next
B18 : Chọn Negotiate
Security Next
(52)B19 : Chọn Do not allow unsecures communication Next
B20 : Chọn Integrity and encryption next
B21 : Chọn finish
(53)B22 : Chọn Security require Next
B23 : Chọn Use this string to protect the key exchange điền vào ô trống : khoaviet
B24 : Finish
(54)B25 : OK
B26 : Chuột phải lên Preshare Key chọn Assign
Kiểm tra : - DC2 mở
Network Monitor bật Capture chọn Start - DC2 Ping DC3 - Quan sát
máy tính hình Network Monitor gói tin Ping mã hóa
2.2.2.Cấu hình IP Sec cho kết nối định Thực DC2
(55)B1 : Chuột phải lên policies Preshare Key chọn Properties
B2 : Chọn New IP Filter List Edit
B3 : Trong tab IP Filter List chọn Edit
(56)B4 : Chọn Edit
B5 : Source Address : My IP address
Destination address : A
specific IP address or Subnet
IP address or Subnet : điền IP DC3 OK đóng cửa sổ
B6 : Mở Service
administrative tools chuột phải lên IPsec Policy Agentchọn Restart
(57)Kiểm tra :
- DC2 Ping DC3
2.2.3 Connection security
Cấu hình để nhứng máy có Preshare key tạo kết nối tới DC2 Trên cấu hình DC2 & DC3 xóa Policies IP Sec tạo
Thực DC2 B1 : Mở Start run đánh lệnh Secpol.msc chuột phải lên Connection Security Ruleschọn New Rule
B2 : Chọn Custom next
(58)B3 : Which computers are in EndPoint chọn Add gõ IP DC2Ok Next
B4 : Chọn Require
authentication for inbuond and outbound
connections next
B5 : Chọn Advanced chọn customize
(59)B6 : Trong phần First
authentication chọn add
B7 : Chọn Preshared Keygõ Presharekey mong muốn OK
B8 : Chọn OK Next Next
B9 : Đặt tên rule là Preshare Key ok
B10 : DC1 thử truy cập Network Access qua DC2 không thể truy cập
(60)B11 : DC3 thực lại thao tác từ B1 – B9 DC2
Lưu ý : Preshare key phải giống với Preshare Key khai báo DC2
Kiểm tra : DC3 truy cập Network Access qua DC2 : truy cập thành công
BÀI 3
THỰC THI DISTRIBUTED ACTIVE DIRECTORY DEPLOYMENTS Mã bài: 15.3
1 CÁC THÀNH PHẦN ACTIVE DIRECTORY
Dịch vụ Active Directory kết hợp thành phần logic vật lý cho phép tạo môi trường để lưu trữ quản trị mạnh mẽ Để đơn giản hiệu nên hiểu cách mà thành phần ADDS làm việc với nào, từ giúp cho việc quản lý trở nên hiệu Trong hầu hết trường hợp, ADDS sử dụng để cài đặt, cấu hình cập nhật ứng dụng, quản lý bảo mật, cho phép truy cập từ xa giải vấn đề chứng số…
(61)Một tính quan trọng dịch vụ Active Directory sử dụng phổ biến việc cho phép cấu hình tập trung sách nhóm (Group Policy) giúp cho quản lý đối tượng trở nên dễ dàng Việc hiểu thành phần củaADDS quan trọng việc sử dụng Group Policy cách hiệu
Các thành phần logic:
-Partition: Mặc dù sở liệu dịch vụ Active Directory đơn file ntds.dit nhiên, chất, lại bao gồm nhiều thành phần riêng biệt Mỗi thành phần gọi partition
- Schema: Là tập hợp định nghĩa kiểu thuộc tính đối tượng sử dụng tạo đối tượng ADDS Ví dụ với đối tượng người dùng có thuộc tính như: email, số phone, địa chỉ, phòng ban, tổ chức…
- Domain: Đây hiểu bao chứa đối tượng máy tính người dùng
- DomainTree: Đây tập hợp miền dùng chung miền gốc ví dụ như:linux.vnlab.com.vn vàwindows.vnlab.com.vn
- Forest: Là tập hợp miền chia sẻ cơ sở liệu Active Directory với
- Site: Khái niệm thường sử dụng cho phạm vi địa lý nhiều hơn, ví dụ tập hợp máy tính nằm tầng hay quận site
(62)- OU: Đây hiểu bao chứa đối tượng tài khoản người dùng, nhóm máy tính khả ủy quyền quản trị gán sách nhóm
- Container: Khá giống OU kể trên, nhiên lại khơng sử dụng để gán sách nhóm
Các thành phần vật lý:
- Domain Controller: là máy chủ mạng có khả quản lý máy tính cịn lại Nó thường lưu trữ sở liệu dịch vụ Active Directory đồng tới máy chủ điều khiển miền khác mạng
- Data Store: Chính thư mục C:WindowsNTDS – nơi lưu trữ sở liệu củadịch vụ Active Directory file log tương ứng
- Global Catalog Server: Làm nhiệm vụ xác thực môi trường Active Directory
- Read-only domain controller (RODC): dạng máy chủ điều khiển miền, nhiên để đảm bảo vấn đề bảo mật, máy chủ ghi liệu hay thay đổi đặc tính, thơng số đối tượng mạng
Multi domain : Domain, Tree, Forest Domain xây dựng Forest gọi Forest Root Domain
Xây dựng AD dùng quyền Domain Admin Nếu xây dựng thêm Domain phải sử dụng quyền Enterprise Admin
Domain xây dựng gọi Tree Root Domain – Child Domain – Grandchild Domain, phát triển Domain khơng kế thừa Domain có
Multi Domain đem lợi ích sau : - Sử dụng xây dựng phù hợp sách bảo mật
- Phù hợp với nhu cầu quản lý Admin vị trí quản lý Domain vị trí
- Tối ưu hóa đồng Domain vị trí khác (độc lập với Domain thứ nhất) Repicate Schema (do Domain thứ hai thuộc Forest)
- Có thể triển khai DNS quản lý nhiều Domain xây dựng Domain DNS riêng để quản lý
2 Thực thi Active directory
- Nâng cấp DC1 lên domain controller - Tạo child domain
- Thêm máy domain controller thứ Mơ hình IP LAB
Computer name DC1(Primary domain
controller)
DC4 (secondary Domain
Controller
DC5 (Child domain)
IP address 192.168.3.1 192.168.3.3 192.168.3.2 Subnetmark 255.255.255.0 255.255.255.0 255.255.255.0 Getway
DNS 192.168.3.1 192.168.3.1 192.168.3.1
2.1 Tạo Child Domain
(63)Nâng cấp DC1 lên domain controller tên miền brtvc.edu.vn (tham khảo QTM1)
Tạo child domain khoacntt.brtvc.edu.vn
Xây dựng máy DC5 thành Child Domain quản lý miền khoacntt.brtvc.edu.vn miền brtvc.edu.vn
- Chọn Start > chọn Run > gõ lệnh: DCPROMO Tại cửa sổ “Operating System Compability”, chọn Next
Tại cửa sổ “Choose a Deployment Configuration”, chọn mục Existing forest, chọn “Create a new domain in an existing forest”, chọn Next
- Tại cửa sổ “Network Credentials”, nhập vào thông tin tên miền tồn Domain Forest, khai báo thông tin tài khoản chứng thực, chọn Next
(64)- Tại cửa sổ “Name the New Domain”, nhập vào thông tin miền cha, thông tin tên miền con, chọn Next
- Tại cửa sổ “Set Domain Function Level”, lựa chọn mức độ chức Domain, chọn Next
(65)Tại cửa sổ “Additional Domain Controller Options”, chọn mục DNS Server, chọn Next
(66)- Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next
(67)- Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau chọn Next
Tại cửa sổ “Summary”, chọn Next
- Quá trình nâng cấp Windows Server 2008 thành Domain Controller diễn ra… Sau nâng cấp thành công, chọn Finish để khởi động lại hệ thống
(68)2.2 Thêm máy domain controller thứ 2
Dựng máy DC4 thành domain controller thứ cho domain brtvc.edu.vn Khai báo IP máy DC4
Nhấn Start > Run :gõ lệnh DCPROMO, Hình “Welcome to the Active Directory Domain Services Installation Wizard” xuất hiện, chọn Next:
Tại cửa sổ “Operating System Compability”, chọn Next
Tại cửa sổ “Choose a Deployment Configuration”, chọn mục “Existing forest”, chọn “Add a domain controller to an existing domain”, chọn Next:
(69)Tại cửa sổ “Network Credentials”, nhập vào tên miền cần cho phép máy DC4 gia nhập vào với chức Additional Domain Controller, chọn nút Set để nhập thông tin tài khoản phép cho máy tính DC4 gia nhập vào miền brtvc.edu.vn, chọn Next:
Tại cửa sổ “Select a Domain”, chọn tên miền gia nhập vào, chọn Next:
(70)Tại cửa sổ “Select a Site”, chọn Site cần thiết, chọn Next:
Tại cửa sổ “Additional Domain Controller Options”, chọn mục mục DNS Server Global Catalog, chọn Next:
Tại hộp thoại kế tiếp, Windows cảnh báo liên quan đến dịch vụ DNS, chọn Yes:
Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next:
(71)Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau chọn Next:
Tại cửa sổ “Summary”, chọn Next:
Quá trình nâng cấp Windows Server 2008 thành Additional Domain Controller diễn ra…
(72)Sau nâng cấp thành công, chọn Finish để khởi động lại hệ thống:
Vào Start > Progams > Administrative Tools > Active Directory Users and Computer ( Kiểm tra đồng đối tượng Server )
2.3.Cấu hình DNS cho domain Cấu hình DNS DC1
Parent domain Delegation , child domain stubzone
- B1 : cấu hình DNS primary miền brtvc.edu.vn (xem LAB quản trị mạng 1) - B2: Ủy quyền cho miền khoacntt.brtvc.edu.vn cho
Mở DNS tên miền brtvc.edu.vn > New Delegation, hình Welcome to the New Delegation Wizard xuấthiện, chọn Next
(73)Tại hình Name Servers, chọn nút Add để mô tả thông tin Name Server
Tại hộp thoại New Name Server Record, nhập thông tin Name Server quản lý miền con, nhấp OK, sau chọn Next
(74)Tại hình New Delegation Wizard, nhấp Finish để kết thúc
Tạo Forwarder DC1 để nhờ DC5 phân giải hộ:
Nhấp phải DNS Server, chọn Properties, chọn tab Forwarders
Tại hộp thoại Properties > Forwarder, chọn Edit để nhập vào địa IP máy cần Forwarder
(75) Cấu hình DNS DC5 (child domain)
- B1 : cấu hình DNS primary miền khoacntt.brtvc.edu.vn (xem LAB quản trị mạng 1)
- B2: tạo Stub zone brtvc.edu.vn mà parent domain ủy quyền
Nhập tên miền brtvc.edu.vn muốn stubzone
Nhập IP tên miền brtvc.edu.vn muốn stubzone -> next -> finish
(76)Kiểm tra kết
(77)BÀI 4
OPERATIONS MASTER ROLES Mã bài: 15.4
1. Giới thiệu Operations master roles 1.1 FSMO Role gì?
Trong Windows NT hỗ trợ đa Domain Controller miền, ln có Domain Controller xem quan trọng Người ta gọi Primary Domain Controller (máy điều khiển miền chính) hay PDC Bạn nhớ lại là, Domain Controller bao gồm sở liệu chứa tất thông tin tài khoản người dùng bên miền (tất nhiên nhiều thứ khác) Cơ sở liệu gọi Security Accounts Manager, hay SAM Các Domain Controller khác miền Windows NT gọi Backup Domain Controller (Domain Controller dự trữ), hay BDC Mỗi lần thực thay đổi sở liệu Domain Controller, thay đổi ghi vào PDC Sau PDC chép thay đổi tất BDC khác miền Theo nghĩa thông thường, PDC Domain Controller miền Windows NT, miền mà update sử dụng Nếu PDC bị lỗi, có cách thức điều khiển từ xa BDC tới PDC, cho phép Domain Controller hoạt động theo chức miền, với vai trò PDC
Các miền Active Directory khác chút Active Directory sử dụng mơ hình chép đa chủ, tức Domain Controller miền ghi Ở khơng cịn khái niệm PDC hay BDC Nếu người quản trị cần thực thay đổi sở liệu Active Directory, thay đổi áp dụng Thông thường, Active Directory dành quyền ưu tiên cho thay đổi Nhưng số trường hợp, phương pháp giải xung đột nghiêm trọng Do đó, Microsoft đưa gợi ý tốt hết bạn nên ngăn ngừa xung đột từ chúng chớm xuất chưa xuất hiện, giải chúng sau xảy
Trong trường hợp này, Windows cung cấp cho giải pháp định số Domain Controller thực vai trò Flexible Single Master Operation (FSMO) Về bản, sử dụng FSMO có nghĩa miền Active Directory hỗ trợ đầy đủ mơ hình chép đa chủ, ngoại trừ số trường hợp riêng định, miền khôi phục sử dụng mô hình đơn chủ Có ba vai trị FROM khác gán mức domain, hai vai trò bổ sung gán mức forest
Mặc định, Domain Controller rừng sở hữu role Khi domain bổ sung tạo, Domain Controller mang trực tuyến đến cho miền sở hữu role FSMO mức domain
1.2 Các vai trò FSMO
Các role mức miền bao gồm: Relative identifier, Primary Domain Controller Emulator Infrastructure Master Các role mức rừng gồm Schema Master Domain Naming master Dưới mơ tả tóm tắt chức role này:
(78)Schema Master: quản lý sở liệu Active Directory
Domain Naming Master: quản lý danh sách miền rừng
Relative Identifier Master: chịu trách nhiệm đảm bảo cho tất đối tượng Active Directory miền nhận mã số nhân dạng bảo mật
Primary Domain Controller Emulator: hoạt động Primary Domain Controller miền có Domain Controller chạy Windows NT
Infrastructure Master: Chịu trách nhiệm cập nhật thông tin nhân dạng bảo mật đối tượng phân biệt tên tham chiếu chéo đối tượng miền
Có FSMO role khác Hai role tồn tại mức forest tồn mức miền (domain) Các role mức forest gồm có Schema Master Domain Naming master, role FSMO mức miền lại gồm Relative Identifier Master, Primary Domain Controller (PDC) Emulator Infrastructure Master
Schema Master
Active Directory khơng thực thứ sở liệu, giống sở liệu khác, Active Directory có giản đồ Tuy nhiên lại không giống sở liệu khác, giản đồ Active Directory giản đồ tĩnh Có số hoạt động cần thiết mở rộng giản đồ Ví dụ, việc cài đặt Exchange Server cần giản đồ Active Directory để mở rộng Bất kỳ thời điểm diễn thay đổi giản đồ Active Directory thay đổi áp dụng cho Schema Master
Schema Master thành phần quan trọng FSMO role, Microsoft để ẩn khơng cho nhìn thấy Nếu cần phải tìm máy chủ cấu hình Schema Master role bạn phải đưa đĩa CD cài Windows Server 2003 kích đúp vào file ADMINPAK.MSI thư mục I386 Khi thực điều đó, Windows khởi chạy Administration Tools Pack Setup Wizard Theo cửa sổ wizard để cài đặt gói cơng cụ quản trị
Khi q trình cài đặt hồn tất, bạn đóng Setup wizard mở Microsoft Management Console cách nhập vào dòng lệnh MMC cửa số lệnh RUN Khi cửa sổ mở, chọn Add/Remove từ menu File Sau chọn xong, cửa sổ hiển thị trang thuộc tính thành phần Add/Remove Kích chuột vào nút Add để xuất danh sách có sẵn mơ đun Chọn mơ đun Active Directory Schematrong danh sách kích vào nút Add, sau nhấn Close nút OK
Bây mơ đun tải ra, kích chuột phải vào Active Directory Schema chọn Operations Master từ menu chuột phải Một hộp thoại xuất hiện, hộp thoại thông báo cho bạn biết máy chủ cấu hình với tư cách Schema Master forest
Domain Naming Master
(79)quay trở lại trực tuyến Để xác định máy chủ hoạt động Domain Naming Master cho forest, mở Active Directory Domains and Trusts, cửa sổ mở, kích chuột phải vào Active Directory Domains and Trusts chọn Operations Masters Sau chọn xong, Windows hiển thị Domain Naming master
Relative Identifier (Bộ nhận dạng quan hệ)
Active Directory cho phép quản trị viên tạo đối tượng Active Directory điều khiển miền Mỗi đối tượng phải có số hiệu nhận dạng quan hệ để ngăn chặn nhận dạng quan hệ khỏi bị giống nhau, Relative Identifier Master định nhóm nhận dạng quan hệ cho điều khiển miền Khi đối tượng tạo miền, điều khiển miền mà đối tượng tạo lấy nhận dạng quan hệ khỏi nhóm gán cho đối tượng Khi nhóm khai thác hết điều khiển miền phải liên lạc với Relative Identifier Master để có thêm nhận dạng quan hệ Như vậy, triệu chứng cuối Relative Identifier Master lỗi hoàn toàn bất lực việc tạo đối tượng Active Directory
Để xác định máy chủ thực nhận dạng quan hệ cho miền, mở Active Directory Users and Computers Khi cửa số mở, kích chuột phải vào danh sách miền hành chọn Operations Masters Windows hiển thị trang thuộc tính Operations Masters Trong cửa sổ bạn chọn điều khiển miền thực nhận dạng quan hệ cách quan sát tab RID trang thuộc tính
Primary Domain Controller Emulator
Vai trò Primary Domain Controller (PDC) hoạt động môi trường Windows NT Role PDC emulator tạo phép điều khiển miền Active Directory tồn với điều khiển miền Windows NT Ý tưởng tổ chức nâng cấp từ Windows NT lên Windows 2000 Windows Server 2003 PDC điều khiển miền nâng cấp Ở điểm này, điều khiển miền nâng cấp gần hoạt động điều khiển miền Active Directory PDC cho điều khiển miền chạy Windows NT
Role PDC emulator ngày khơng liên quan nhiều tổ chức sử dụng Windows NT Server Nếu bạn cần định máy chủ miền cấu hình role PDC Emulator bạn thực điều cách mở Active Directory Users and Computers Khi cửa số mở, bạn kích chuột phải vào miền hành chọn Operations Masters Windows hiển thị trang thuột tính Operations Masters Bạn có thể xác định điều khiển miền hành động PDC Emulator cách quan sát tab PDC trang thuộc tính
Infrastructure Master
(80)một đối tượng bên miền, thay đổi truyền cách tự nhiên xuyên suốt miền Vấn đề phần cịn lại forest khơng biết đến thay đổi Đây cơng việc Infrastructure Master, làm phần lại forest biết có thay đổi
Nếu máy chủ Infrastructure Master bị lỗi thay đổi đối tượng khơng thể nhìn thấy đường biên miền Ví dụ, bạn đặt lại tên cho tài khoản người dùng tài khoản người dùng xuất với tên cũ xem từ miền khác forest
Để xác định máy chủ thực với tư cách Infrastructure Master cho miền, mở Active Directory Users and Computers Khi cửa số mở, bạn kích chuột phải vào danh sách miền hành chọn Operations Masters, Windows hiển thị trang thuộc tính Operations Masters Bạn có thể xác định điều khiển miền thực với tư cách Operations Master cách nhìn vào tabInfrastructure trang thuộc tính
2. Cấu hình Operations master roles 2.1 Transfer FSMO Roles
Chuyển vai trò Roles từ domain controller sang domain Controller khác máy server nắm giữ roles FSMO hoạt động
Thao tác transfer Roles đồ họa
Bước Cài đặt Additional Domain Controller từ primary domain controller nắm giữ FSMO roles
Bước Trên Additional Domain Controller, vào Active Directory Users and Computers Chuột phải lên domain cần chuyển đổi FSMO chọn Operations Master
Bước Trong hộp thoại Operations Master, chọn Change tab RID, PDC, Infrastructure để tiến hành chuyển đổi FSMO
Thao tác transfer Roles dòng lệnh
Trước tiên kết nối vào máy Domain Controller nắm roles mà ta muốn chuyển Mở command line nhập dòng lệnh sau :
To summarize ntdsutil commands: ntdsutil (enter)
ntdsutil: roles (enter)
fsmo maintenance: connections (enter)
server connections: connect to server <DC-Name> (enter) server connections: quit (enter)
fsmo maintenance: transfer schema master (enter)
2003 server:fsmo maintenance: transfer domain naming master (enter) 2008 server: fsmo maintenance: transfer naming master (enter)
fsmo maintenance: transfer rid master (enter) fsmo maintenance: transfer pdc (enter)
fsmo maintenance: transfer infrastructure master (enter) fsmo maintenance: quit (enter)
ntdsutil: quit (enter)
(81)2.2. Size FSMO Roles
Khi Domain Controller nắm vai trò FSMO ngừng hoạt động ta phải bình bầu roles cho domain controller khác hoạt động miền cách sử dụng dòng lệnh sau :
Trước tiên kết nối vào máy Domain Controller mà ta muốn size quyền FSMO Mở command line nhập dòng lệnh sau :
To summarize ntdsutil commands: ntdsutil (enter)
ntdsutil: roles (enter)
fsmo maintenance: connections (enter)
server connections: connect to server <DC-Name> (enter) server connections: quit (enter)
fsmo maintenance: Seize schema master (enter)
2003 server:fsmo maintenance: Seize domain naming master (enter) 2008 server: fsmo maintenance: Seize naming master (enter)
fsmo maintenance: Seize rid master (enter) fsmo maintenance: Seize pdc (enter)
fsmo maintenance: Seizei frastructure master (enter) fsmo maintenance: quit (enter)
ntdsutil: quit (enter)
BÀI 5
DỊCH VỤ ROUTING Mã bài: 15.5 1 Giới thiệu Routing:
Định tuyến (Routing) trình mà Router thực thi sử để chuyển gói tin(Packet) từ địa nguồn (soucre)đến địa đích(destination) mạng.Trong q trình Router phải dựa vào thơng tin định tuyến để đưa định nhằm chuyển gói tin đến địa đích đến định trước Có hai loại định tuyến Định tuyến tĩnh (Static Route) Định tuyến động (Dynamic Route)
Định tuyến tĩnh (Static Route) trình định tuyến mà để thực bạn phải cấu hình tay(manually) địa đích cụ thể cho Router Một dạng mặc định định tuyến tĩnh Default Routes, dạng sử dụng cho mạng cụt (Stub Network)
Định tuyến động (Dynamic Route) mà dạng định tuyến mà cấu hình dạng này, Router sử dụng giao thức định tuyến như: RIP(Routing Information Protocol), OSPF(Open Shortest Path Frist),IGRP(Interior Gateway Routing Protocol)… để thực thi việc định tuyến cách tự động (Automatically) mà bạn khơng phải cấu hình trực tiếp tay
(82)Chức định tuyến định hướng cho gói tin truyền tải qua định tuyến Trên sở thuật tốn định tuyến, thơng tin cấu hình chuyển giao, định tuyến định hướng tốt cho gói tin truyền tải qua Bộ định tuyến cịn có vai trị để xử lý nhu cầu truyền tải chuyển đổi giao thức khác
Vai trò định tuyến mạng đảm bảo kết nối liên thông mạng với nhau, tính tốn trao đổi thông tin liên mạng làm cho định tuyến định truyền tải thông tin phù hợp với cấu hình thực tế mạng
Định tuyến (routing)
Chuyển mạch gói tin (packet switching)
Định tuyến chức đảm bảo gói tin chuyển xác tới địa cần đến Chuyển mạch gói tin chức chuyển mạch số liệu, truyền tải gói tin theo hướng định sở định tuyến đặt
Thiết bị có chức định tuyến gọi Router : Router có hai loại Hardware software Software dùng PC có cài hệ điều server hỗ trợ dịch vụ định tuyến Windows 2000, 2003, 2008, 2010 Server …, Linux Hardware thiết bị phần cứng có tích hợp chức routing nhiều hãng sản xuất có tên gọi khác nhau, cách phân loại khác Hãng có thương hiệu tiếng Cisco dòng router Cisco 2501, 1601, 1721, 1751, 2610, 2621, 3620,3661…
Router : Là thiết bị mạng hoạt động tầng thứ mơ hình OSI-tầng network Router chế tạo với hai mục đích chính:
- Phân cách mạng máy tính thành segment riêng biệt để giảm tượng đụng độ, giảm broadcast hay thực chức bảo mật
- Kết nối mạng máy tính hay kết nối user với mạng máy tính khoảng cách xa với thông qua đường truyền thông: điện thoại, ISDN, T1, X.25…
Router chuyển packet theo bước sau:
- Đọc packet
- Gỡ bỏ dạng format quy định protocol nơi gửi
- Thay phần gỡ bỏ dạng format protocol đích đến
- Cập nhật thông tin việc chuyển liệu: địa chỉ, trạng thái nơi gửi, nơi nhận
- Gứi packet đến nơi nhận qua đường truyền tối ưu Nguyên tắc hoạt độngcủa Router –ARP Protocol
(83)phần địa host Cách đánh số địa nhằm giúp cho việc tìm đường kết nối từ hệ thống mạng sang hệ thống mạng khác dễ dàng Các địa thay đổi theo tùy ý người sử dụng Trên thực tế, card mạng kết nối với theo địa MAC, địa cố định phần cứng Do ta phải có phương pháp để chuyển đổi dạng địa qua lại với Từ ta có giao thức phân giải địa chỉ: Address Resolution Protocol (ARP)
ARP protocol dựa nguyên tắc: Khi thiết bị mạng muốn biết địa MAC thiết bị mạng mà biết địa tầng network (IP, IPX…) gửi ARP request bao gồm địa MAC address địa IP thiết bị mà cần biết MAC address tồn miền broadcast Mỗi thiết bị nhận request so sánh địa IP request với địa tầng network Nếu trùng địa thiết bị phải gửi ngược lại cho thiết bị gửi ARP request packet (trong có chứa địa MAC mình)
Trong hệ thống mạng đơn giản hình 1, ví dụ máy A muốn gủi packet đến máy B biết địa IP máy B Khi máy A phải gửi ARP broadcast cho toàn mạng để hỏi xem “địa MAC máy có địa IP gì” Khi máy B nhận broadcast này, có so sánh địa IP packet với địa IP Nhận thấy địa địa mình, máy B gửi lại packet cho máy B có chứa địa MAC B Sau máy A bắt đầu truyền packet cho B
Trong môi trường phức tạp hơn: hai hệ thống mạng gắn với thông qua router C Máy A thuộc mạng A muốn gửi packet đến máy B thuộc mạngB Do broadcast truyền qua router nên máy A xem router C cầu nối để truyền liệu Trước đó, máy A biết địa IP router C (port X) biết để truyền packet tới B phải qua C Tất thông tin chứa bảng gọi bảng routing (routing table) Bảng routing table theo chế lưu giữ máy Routing table chứa thông tin gateway để truy cập vào hệ thống mạng Ví dụ trường hợp bảng để tới LAN B phải qua port X router C Routing table có chứa địa IP port X Quá trình truyền liệu theo bước sau:
Máy A gửi ARP request (broadcast) để tìm địa MAC port X Router C trả lời, cung cấp cho máy A địa MAC port X
Máy A truyền packet đến port X router
(84) Router nhận packet từ máy A, chuyển packet port Y router Trong packet có chứa địa IP máy B
Router gửi ARP request để tìm địa MAC máy B Máy B trả lời cho router biết địa MAC
Sau nhận địa MAC máy B, router C gửi packet A đến B
Trên thực tế dạng routing table người ta cịn dùng phương pháp proxy ARP, có thiết bị đảm nhận nhiệm vụ phân giải địa cho tất thiết bị khác Quá trình trình bày hình sau
Phân giải địa dùng proxy ARP
Theo máy trạm không cần giữ bảng routing table router C có nhiệm vụ thực hiện, trả lời tất ARP request tất máy mạng kết nối với Router có bảng routing table riêng biệt chứa tất thông tin cần thiết để chuyển liệu
2 Cấu hình Routing :
- Cài đặt role Routing and Remote Access - Static Route
- RIP
Chuẩn bị : máy Windows Server 2008 R2
(85)Khai báo IP máy sau:
DC1 DC2 DC3 DC4
IP 172.168.1.10 172.168.1.20 192.168.1.10 192.168.1.20 Subnet Mark 255.255.255 255.255.255 255.255.255 255.255.255 Default Gateway 172.168.1.20 192.168.1.10 DNS
DC1 DC2 DC3 DC4
IP 10.10.10.10 10.10.10.20
Subnet Mark 255.255.255
0 255.255.255 Default Gateway DNS
- Turn off fierwall máy - DC1 ping DC2 : ping OK - DC2 ping DC3 : ping OK - DC3 ping DC4 : ping OK - DC1 ping DC4 : ping OK Thực :
2.1 Cài đặt Role Routing and Remote Access Thực trân máy DC2 DC3
B1 : Mở Server Manager chuột phải lên Roles chọn Add Roles B2 : Chọn Next
(86)B3 : Chọn Network Policy And Access Services Next
B4 : Chọn Next
B5 : Chọn Routing And Remote Access Services Next Install
2.2 Cấu hình Static Route : thực DC2 DC3
B1: Mở Routing And Remote Access chuột phải lên DC2 chọn Configure and enable Routing and remote access
(87)B2 : Chọn Next B3 : Chọn Custom Configuratio n Next
B4 : Chọn NAT & LAN Routing Next
B5 : Finish B6 : Start Service
• Thực DC2 B1 : mở theo hướng dẫn hình chuột phải lên Static Routes New Static route
(88)B2 : điền thơng số IP OK
• Thực DC3 B1 : mở theo hướng dẫn hình chuột phải lên Static Routes New Static route
B2 : điền thông số IP OK
(89)• Kiểm tra : DC1
( 172.16.1.2 ) Ping DC4 (192.168.1.20) : Ping OK
DC4 ( 10.0.0.2 ) Ping DC1 ( 172.16.1.10 ) : Ping OK
Tại DC2 mở command line đánh lệnh Route Print quan sát thấy tồn route
192.168.1.0
Mở Routing and Remote Access mở Static Route chọn Static Route 192.168.1.0 tạo nhấn phím Delete Command line đánh lệnh Route Print khơng có Route 192.168.1.0
- Tại DC3 : thực tương tự : Xóa Route 172.16.1.0
(90)2.3 Cấu hình Dynamic Routing
Dùng giao thức động RIP : thực DC2 DC3 B1 : mở hương dẫn
trong hình chuột phải lên General chọn New Routing Protocol…
B2 : Chọn RIP version for Internet Protocol OK
B3 : chuột phải lên RIP chọn New Interface
(91)B4 : Chọn Local Area Conection OK
B5 : Chọn OK
DC1 Ping DC4 : Ping OK
B6 : Chuột phải lên Static Route chọn Show IP Routing Table…
Quan sát Routing Table
(92)BÀI 6: DỊCH VỤ NAT Mã bài: 15.6
1 Giới thiệu NAT/PAT
NAT (Network Address Translation) NAT phần thiếu triển khai mạng IP diện rộng không gian địa IPv4 bắt đầu cạn kiệt Về bản, NAT cho phép (hay nhiều) địa IP nội miền ánh xạ với (hay nhiều) địa IP ngoại miền Điều cho phép sử dụng dải địa IP riêng theo chuẩn RFC 1918 mạng nội sử dụng địa IP cơng cộng
NAT (Network Address Translation) có nhiệm vụ
NAT (Network Address Translation) giống Router, chuyển tiếp gói tin lớp mạng khác mạng lớn NAT dịch hay thay đổi hai địa bên gói tin gói tin qua Router, hay số thiết bị khác Thông thường NAT thường thay đổi địa thường địa riêng (IP Private) kết nối mạng thành địa công cộng (IP Public)
NAT coi Firewall (tường lửa) NAT trì một bảng thơng tin gói tin gửi qua Khi máy tính mạng kết nối đến website Internet header địa IP nguồn thay địa Public cấu hình sẵn NAT sever, sau có gói tin trở NAT dựa vào bảng record mà lưu gói tin, thay đổi địa IP đích thành địa củaPC mạng chuyển tiếp Thông qua chế đó quản trị mạng có khả lọc gói tin gửi đến hay gửi từ địa IP cho phép hay ngăn truy cập đến port cụ thể.
Các loại NAT
Có ba loại NAT khác gồm có: NAT động, NAT tĩnh NAT vượt tải (NAT overloaded)
Static NAT (NAT tĩnh) :
Là phương thức NAT đôi Một địa IP Private map với địa IP Public NAT tĩnh sử dụng thiết bị cần truy cập từ bên mạng
Trong Static NAT (NAT tĩnh), địa IP máy tính 192.168.32.10 ln đượcRouter biên dịch đến địa IP 213.18.123.110
(93) Dynamic NAT (NAT động)
Một địa IP Private map với địa IP Public nhóm địa chỉ IP Public.
Trong Dynamic NAT (NAT động): máy tính có địa IP 192.168.32.10 ln đượcRouter biên dịch đến địa đầu tiên 213.18.123.100 dãy địa IP từ 213.18.123.100 đến 213.18.123.150
Ở hình trên, hai PC mạng nội cần truyền thông tới máy mạng ngoài, trường hợp Internet NAT cấu hình động để ánh xạ địa nội 192.168.1.25 192.168.1.50 với địa IP tập hợp địa cấu hình NAT Trong hình, máy có địa 192.168.1.50 ánh xạ đến địa 203.0.113.10 máy có địa 192.168.1.25 ánh xạ tới địa 203.0.113.11 Điều có nghĩa máy có địa 192.168.1.50 khởi tạo lưu lượng trước
Overloading NAT
NAT Overloading dạng thức NAT động (Dynamic Overload) Nhiều địa IP Private map với địa IP Public qua Port (cổng) khác nhau.
Cũng giống PAT (Port Address Translation), địa NAT Port có nhiều mức độ NAT khác
(94)Trong Overloading NAT, máy tính mạng nội (Private Network) đượcRouter biên dịch đến địa 213.18.123.100 cổng giao tiếp khác
Overlapping NAT
Khi địa IP hệ thống mạng nội IP Public sử dụng hệ thống mạng khác, Router phải trì bảng tìm kiếm địa để ngăn thay IP Public
Điều quan trọng cần lưu ý NAT router phải biên dịch địa "nội bộ" thành địa IP Public biên dịch địa "ngoài" thành địa chỉIP Private Bạn sử dụng NAT tĩnh sử dụng kết hợp DNS NAT động
Hệ thống mạng nội thông thường LAN (Local Are Network), hay gọi Stub Domain Một Stub Domain LAN sử dụng địa IP nội Hầu hết Network Traffic (là lưu lượng mạng ổn định, không bị gián đoạn q trình truyền) Stub Domain mang tính chất cục bộ, hệ thống mạng nội khơng bị lộ bên
Một Stub Domain bao gồm địa IP Public IP Private Bất kỳ máy tính sử dụng địa IP Private phải dùng NAT (Network Address Translation) để trao đổi thơng tin với máy tính khác.
Với NAT vượt tải (còn gọi biên dịch địa cổng PAT), ánh xạ một NAT động NAT tĩnh không sử dụng Thay địa ngồi gán cho địa IP nội gán cho tất máy nội dựa số cổng (port number) Chỉ số lượng cổng khả dụng sử dụng địa IP bị cạn kiệt địa IP ngồi thứ hai dùng đến với phương pháp tương tự
(95)Ở hình trên, có sáu máy khác truy cập tới máy thuộc mạng ngồi NAT vượt tải cấu hình với tập hợp địa dải 203.0.113.10 đến 203.0.113.14 Giả sử lưu lượng qua NAT router cách loại lưu lượng ánh xạ với địa IP (trong trường hợp địa IP tron dải-203.0.113.10) số cổng định
Với ví dụ, NAT router cấu hình sử dụng địa IP 192.168.1.1 giao diện Fast Ethernet 0/0 đánh dấu giao diện NAT nội 203.0.113.1 giao diện FastEthernet 0/1, đánh dấu giao diện NAT
2 Cấu hình NAT OUTBOUND & INBOUND ON SERVER - Cài đặt Role routing and remote access
- NAT outbound - NAT Inbound
Chuẩn bị : máy Windows Server 2008 R2
Cài đặt Role Routing and Remote Access Thực DC2 :
(96)B1 : Mở Server Manager chuột phải lên Roles chọn Add Roles B2 : Chọn Next
B3 : Chọn Network Policy And Access Services Next
B4 : Chọn Next
B5 : Chọn Routing And Remote Access Services Next Install
2.1 Nat Outbound Thực máy DC2 :
(97)B1: Mở Routing And Remote Access chuột phải lên DC2 chọn Configure and enable Routing and remote access
B2 : Chọn Next B3 : Chọn Custom Configuration Next
B4 : Chọn NAT & LAN Routing Next
B5 : Finish
B6 : Start Service
(98)B7 : Chuột phải lên NAT chọn New Interface
B8 : Chọn VMnet OK
B9 : Chọn Private interface connected to private network OK
Thực tương tự cho Interface: VMnet3
(99)B10 : Chuột phải lên NAT chọn New Interface
B11 : Chọn VMnet4 OK
B12 :Chọn Public interface connected to the interface Enable NAT on this interface OK
2.2 NAT Outbound - Thực
máy DC2
- Mở IE truy cập thử trang wed DC1 :
http://192.168.1.1 truy cập thành công
B1 : Trong phần NAT chuột phải lên card LAN chọn
Properties
(100)B2 : Qua Tab Service and ports đánh dấu check Wed Server ( HTTP )
B3 : Trong phần Private address điền IP DC1 :
192.168.1.10 OK
B4 : chuột phải lên DC3 chọn All Tasks Restart
(101)DC3 truy cập website PC 01 IP card Lan PC 02:
http://172.168.1.1 thành công
3 Bài tập nâng cao
(102)BÀI 7: DỊCH VỤ DHCP RELAY Mã bài: 15.7
1 Giới thiệu DHCP Relay Agent
DHCP Relay Agent trung chuyển DHCP Discover/DHCP Request đến DHCP Server DHCP Relay Agent cho phép forward truy vấn Client đến DHCP server trả lại IP cho Clients Đây giải pháp trường hợp Client DHCP Server không nằm subnet DHCP Relay Agent thực thể trung gian cho phép chuyển tiếp (relay) DHCP Discover (hoặc DHCP Request), mà thường bị chặn router, từ DHCP Client đến DHCP Server
DHCP Replay Agent máy tính Router cấu hình để lắng nghe chuyển tiếp gói tin DHCP Client DHCP Server từ subnet sang subnet khác
1.1 Tại phải sử dụng DHCP relay agent
(103)Khi clients DHCP server có nhiều mạng khác tương ứng với nhiều router khác cần phải cấu hình DHCP relay agent clients sử dụng địa broadcast để quảng bá yêu cầu cấp phát IP, gói tin gửi broadcast đến Router bị loại bỏ, phải có cách router trung gian chấp nhập gói tin broadcast gửi đến DHCP server, cách DHCP relay agent
Nếu mạng dựng lên DHCP Server tốn khơng cần thiết, việc bảo trì quản lý khó khăn
Có thể cấu hình Router để tín hiệu Broadcast qua việc gây rắc rối hệ thống mạng gặp trục trặc Thêm lưu lượng các gói tín Broadcasd q nhiều làm tắt nghẽn hệ thống mạng
1.2 Ưu diểm dchp relay
- Phù hợp với máy tính thường xuyên di chuyển lớp mạng
- Kết hợp với hệ thống mạng không dây ( Wireless) cung cấp điểm – Hotspot như: nhà ga, sân bay, khách sạn, trường học
- Thuận tiện cho việc mở rộng hệ thống mạng 1.3 Cơ chế hoạt động DHCP Relay Agent
Gồm bước hoạt động DHCP relay
2.2 Client Broadcasts gói tin DHCP Discover nội mạng
DHCP Relay Agent mạng với Client nhận gói tin chuyển đến DHCP server tín hiệu Unicast
DHCP server dùng tín hiệu Unicast gởi trả DHCP Relay Agent gói DHCP Offer
DHCP Relay Agent Broadcasts gói tin DHCP Offer đến Client Sau nhận gói tin DHCP Offer, client Broadcasts tiếp gói tin DHCP Request
DHCP Relay Agent nhận gói tin DHCP Request từ Client chuyển đến DHCP server tín hiệu Unicast
7 DHCP server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay Agent gói DHCP ACK
8 DHCP Relay Agent Broadcasts gói tin DHCP ACK đến Client Đến hồn tất quy trình tiếp nhận xử lý chuyển tiếp thông tin DHCP Relay Agent
(104)1.4 Cấp phép (authorize)
Một DHCP service Bạn phải cấp phép (hay gọi ủy quyền) DHCP server trước thực việc cho DHCP client thuê địa IP Việc yêu cầu cấp phép cho DHCP server ngăn chặn việc DHCP server có khả cung cấp địa IP khơng hợp lệ cho client (hay cịn gọi DHCP giả mạo) nội domain Để thực việc bạn phải logon user nằm group Enterprise Admins
Theo mơ hình trên, giả sử có Server chùng chạy dịch vụ DHCP (tạm gọi DHCP Server1 DHCP Server2) nội domain Nhưng có DHCP Server1 cấp phép chạy dịch vụ Đầu tiên dịch vụ DHCP Server1 kích hoạt (start) Server1 kiểm tra xem dịch vụ DHCP có Domain Controller cấp phép hoạt động hay không? Bằng cách gửi yêu cầu đến máy chủ Domain Controller nhờ kiểm tra dùm có phép cấp IP động cho nội domain hay không
Sau nhận yêu cầu kiểm tra từ phía DHCP Server1, Domain Controller tiến hành kiểm tra xem Server1 có cấp phép hoạt động dịch DHCP hay khơng
(105)Vì Server1 cấp phép hoạt động dịch vụ DHCP nên Server1 phép cung cấp địa IP động cho DHCP client nội domain
Ngược lại với Server1, Server2 sau khởi động dịch vụ DHCP tiến hành nhờ Domain Controller kiểm tra Do không cấp phép hoạt động dịch vụ, dịch vụ start Server2 không phép cung cấp địa IP động cho nội domain
Nếu DHCP server khơng authorize DHCP service log (ghi lại) error system log (các bạn tìm thấy Administrative Tools/Event log) Cuối DHCP Client xin IP từ DHCP Server1
1.5 Level option DHCP server
Phân biệt khác level server, scope, class reserved client dịch vụ DHCP
(106)+ Server level : option khai báo cấp độ server áp đặt tới tất DHCP client DHCP Server Đây option có độ ưu tiên thấp
+ Scope level : option khai báo cấp độ scope áp đặt tới tất DHCP client riêng scope mà thơi, scope khác khơng chịu ảnh hưởng Đây option có độ ưu tiên cao option cấp độ server level
+ Class level : Các option khai báo cấp độ class level áp đặt tới thành viên class Độ ưu tiên option cao option cấp độ scope level
(107)+ Reversed client level : Các option cấp độ áp đặt đến DHCP client mà thơi Đây option có độ ưu tiên cao Nó ghi đè tất option khác có conflict (xung đột level) xảy
2.3. Cài đặt cấu hình DHCP Relay Agent 2.1 Cài đặt cấu hình DHCP server
- Cài đặt Role DHCP DHCP Server - Cấu hình tạo Scope DHCP server
- Cấu hình thêm Scope Option DHPC server - Cấu hình để Client nhận IP tự động từ DHPC server - Cấu hình DHPC Resevations
- Server Options
(108)ST T
Tên Máy
IP OS
1 DC1 172.168.1.1
Windows Server 2008 R2
2 PC1 172.168.1.2
Windows - máy turn off firewall
- máy kiểm tra đường truyền lệnh Ping - Máy PC1 tắt UAC
- Máy DC1 cài đặt Wins
Cài đặt Role DHPC DHPC server B1 : Mở Server
Manager chuột phải lên Roles chọn Add roles B2 : Chọn Next
B3 : Chọn DHPC Server Next
B4 : Chọn Next B5 : Chọn 172.16.1.10 ( IPv4 ) Next
(109)B6 : Giữ nguyên mặc định chọn next
B7 : Chọn Next
B8 : Chọn Add Điền thông số Range IP cấp phát cho DHCP Server OK
B9 : Chọn Disable
DHCPv6… Next
(110)B10: Chọn Use current
credentials Next Next Install
Khai báo thông số Scope : B1 : Chuột phải lên
Scope Options chọn Configure Options
B2 : Chọn 003
Router khai báo IP : 172.16.1.10 chọn Add OK
(111)B3 : Thực tương tự để tạo scope
options : 006 DNS server trở 172.16.1.10
B4: tạo scope 015 DNS Domain Name nhập vào String value: khoaviet.edu.vn OK
Quan sát Scope option tạo
Cấu hình để Client nhận IP tự động từ DHPC server
(112)Thực PC1 B1 : Mở Properties card mạng bỏ dấu chọn trước dòng Internet Protocol Version
( TCP\IPv6)
B2 : Chọn - _ Obtain and IP
address automatically
-_ Obtain DNS server address automatically OK đóng cửa sổ properties card mạng lại
B3 : Mở Command Line đánh lệnh ipconfig/ release Enter Đánh tiếp lệnh
Ipconfig/renew
(113)B4 : kiểm tra : - Đánh lệnh
ipconfig/all quan sát thấy PC1 nhận dược IP thông số khác cấp tự động từ Domain
Cấu hình DHPC Resevations B1 : PC1 : Mở
Command Line đánh lệnh ipconfig/ all
Ghi nhận lại thơng số dịng
physical Address: 00-0C-29-AE-98-F0 B2 : PC1 mở DHPC trong Administrate toolschuột phải lên Resevations chọn New
Resevations
(114)B3 : điền thông số hình Lưu ý : MAC address điền thơng số ghi nhận PC1 Ok
Close
B4 : quan sát Resevations tạo
Kiểm tra:
- Tại PC1 đánh lệnh ipconfig/release ipconfig/ renew để xin cấp IP mới, IP PC1 cấp luôn 172.16.1.100
2.2 Cài đặt cấu hình DHCP Relay
Giới thiệu : lab bao gồm nội dung sau - Cấu hình DHCP Relay Agent DC2
- Cấu hình để máy Client nhận IP từ DHCP server Chuẩn bị
ST T
Tên Máy
OS
(115)1 DC1 Windows Server 2008 R2
2 DC2 Windows Server 2008 R2
3 PC Windows
- Đặt IP cho máy theo bảng sau :
DC1 DC1 DC2 PC1
IP 172.168.1.10 192.168.1.10 192.168.1.20 172.168.1.11 Subnet Mark 255.255.255 255.255.255 255.255.255 255.255.255 Default Gateway 192.168.1.10 172.168.1.10 DNS
- DC1 cấu hình Lan routing
- Cả máy tắt Firewall, PC1 ping DC2: OK, DC2 ping PC1 : OK - DC2 : cài đặt DHCP Server tạo scope cấp IP cho range
192.168.1.0/24 với scope options :003 Default gateway 192.168.1.20
Thực :
1 Cấu hình DHCP Relay Agent DC2 B1 : Mở Routing
Access Administrative Tools chuột phải lên General IPv4 chọn New Routing Protocol
(116)B2 : Chọn DHCP Relay Agent OK
B3 : Chuột phải lên DHCP Relay Agent chọn New
Interface
B4 : Chọn card DHCP Relay OK
(117)B5 : Chọn OK
B6 : Chuột phải lên DHCP Relay Agent chọn Properties
B7 : Điền IP DHCP
(192.168.1.20 ) chọn Add OK
2 Cấu hình để máy Client nhận IP từ DHCP server
(118)B1 : Chỉnh chế độ đặt IP obtain ( xem lại DHCP )
B2 : Vào
command line đánh lệnh
- ipconfig /release - ipconfig
/renew
B3 : đánh lệnh ipconfig /all Quan sát thấy Client nhận IP từ DHCP server
BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK Mã bài: 15.8
1 Tổng quan VPN 1.1 Khái niệm
(119)mở rộng phạm vi mạng nội (LAN) cách sử dụng lợi mạng Internet
VPN cho phép tạo mạng riêng ảo mạng Internet để trao đổi liệu khai thác dịch vụ mạng
Dữ liệu truyền qua VPN mã hóa
Cơng nghệ VPN rõ yêu cầu bản:
Cung cấp truy nhập từ xa tới tài nguyên tổ chức lúc, nơi Kết nối chi nhánh văn phịng với
Kiểm sốt truy nhập khách hàng, nhà cung cấp thực thể bên tới tài nguyên tổ chức
Các mơ hình VPN bao gồm:
Truy Cập từ xa (remote-Access)
Hay gọi Mạng quay số riêng ảo (Virtual Private Dial-up Network) hay VPDN, dạng kết nối User-to-Lan áp dụng cho công ty mà nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ địa điểm từ xa thiết bị khác
Khi VPN triển khai, nhân viên việc kết nối Internet thông qua ISPs sử dụng phần mềm VPN phía khách để truy cập mạng cơng ty họ Các công ty sử dụng loại kết nối hãng lớn với hàng trăm nhân viên thương mại Các Truy Cập từ xa VPN đảm bảo kết nối bảo mật, mã hoá mạng riêng rẽ công ty với nhân viên từ xa qua nhà cung cấp dịch vụ thứ ba (third-party)
Site-to-Site
Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, cơng ty tạo kết nối với nhiều site qua mạng công cộng Internet
Site-to-site VPN thuộc hai dạng sau: Intranet VPN
Áp dụng trường hợp cơng ty có nhiều địa điểm xa, địa điểm có mạng cục LAN Khi họ xây dựng mạng riêng ảo để kết nối mạng cục vào mạng riêng thống
Extranet VPN
Khi cơng ty có mối quan hệ mật thiết với cơng ty khác (ví dụ đối tác cung cấp, khách hàng ), họ xây dựng VPN extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác làm việc môi trường chung
(120)1.2 Lợi ích VPN
- Khả linh hoạt cao, kết nối nào, nơi đâu, cần truy cập Internet
- Giá thành rẻ, chi phí truy cập Internet thơng thường
- Không hạn chế số lượng kết nối đồng thời từ xa vào văn phịng cơng ty chi nhánh lớn
- Khả bảo mật cao
- Quản lý kết nối dễ dàng thông qua tên mật truy cập hệ thống mạng riêng ảo mạng nội
1.3. Cơ chế hoạt động VPN:
Server chịu trách nhiệm việc lưu trữ chia sẻ liệu sau mã hóa, giám sát cung cấp hệ thống gateway để giao tiếp xác nhận tài khoản client khâu kết nối, client VPN, tương tự client hệ thống LAN, tiến hành gửi yêu cầu – request tới server để nhận thông tin liệu chia sẻ, khởi tạo kết nối tới client khác hệ thống VPN xử lý trình bảo mật liệu qua ứng dụng cung cấp VPN Tunneling:
Đây điểm khác biệt VPN so với mạng LAN thơng thường Các bạn hình dung dạng đường hầm đám mây Internet mà qua đó, yêu cầu gửi nhận liệu hoạt động
Khi người dùng khởi tạo kết nối gửi liệu qua VPN, giao thức Tunneling sử dụng mạng VPN (ví dụ PPTP, L2TP, IPSec ) “gói” tồn lượng thông tin vào package khác, sau mã hóa chúng tiến hành gửi qua tunnel Ở điểm cuối địa nhận, giao thức hoạt động tương ứng tunneling giải mã package này, say lọc nội dung nguyên bản, kiểm tra nguồn gốc gói tin thông tin, liệu phân loại khác
Việc phân loại Tunneling dựa nguồn gốc bắt đầu kết nối Và qua đó, có loại chính, Compulsory Voluntary Tunneling
- Compulsory Tunneling thường khởi tạo Network Access Server mà khơng u cầu thơng tin từ phía người sử dụng Bên cạnh đó, client VPN khơng phép truy xuất thông tin server VPN, kể từ chúng khơng phải chịu trách nhiệm việc kiểm soát kết nối khởi tạo Compulsory Tunneling hoạt động server client VPN, đảm nhận chức việc xác nhận tính hợp pháp tài khoản client với server VPN
- Voluntary Tunneling khác, khởi tạo, giám sát quản lý người dùng Không giống Compulsory Tunneling – thường quản lý nhà cung cấp dịch vụ, mơ hình u cầu người dùng trực tiếp khởi tạo kết nối với đơn vịISP cách chạy ứng dụng clien VPN Chúng ta sử dụng nhiều phần mềm client VPN khác để tạo tunnel có tính bảo mật cao server VPN riêng Khi chương trình client VPN định thiết lập kết nối, tiến hành xác định server VPN người dùng định Voluntary
(121)Tunneling không yêu cầu nhiều, ngoại trừ việc cài đặt thêm giao thức tunneling hệ thống người dùng
1.4. Giao thức sử dụng VPN
Hầu hết VPN dựa vào kỹ thuật gọi Tunneling để tạo mạng riêng Internet Về chất, q trình đặt tồn gói tin vào lớp header (tiêu đề) chứa thông tin định tuyến truyền qua hệ thống mạng trung gian theo "đường ống" riêng (tunnel)
Khi gói tin truyền đến đích, chúng tách lớp header chuyển đến máy trạm cuối cần nhận liệu Để thiết lập kết nối Tunnel, máy khách máy chủ phải sử dụng chung giao thức (tunnel protocol)
Giao thức gói tin bọc ngồi mạng hai điểm đầu cuối nhận biết Hai điểm đầu cuối gọi giao diện Tunnel (tunnel interface), nơi gói tin vào mạng
Kỹ thuật Tunneling yêu cầu giao thức khác nhau:
- Giao thức truyền tải (Carrier Protocol) giao thức sử dụng mạng có thơng tin qua
- Giao thức mã hóa liệu (Encapsulating Protocol) giao thức (như GRE, IPSec, L2F, PPTP, L2TP) bọc quanh gói liệu gốc
- Giao thức gói tin (Passenger Protocol) giao thức liệu gốc truyền (như IPX, NetBeui, IP)
Người dùng đặt gói tin sử dụng giao thức không hỗ trợ Internet (như NetBeui) bên gói IP gửi an tồn qua Internet Hoặc, họ đặt gói tin dùng địa IP riêng (khơng định tuyến) bên gói khác dùng địa IP chung (định tuyến) để mở rộng mạng riêng Internet
Kỹ thuật Tunneling mạng VPN điểm-nối điểm
(122)mạng VPN truy cập từ xa điểm- nối-điểm Tất nhiên, phải hỗ trợ hai giao diện Tunnel
Trong mô hình này, gói tin chuyển từ máy tính văn phịng qua máy chủ truy cập, tới router (tại giao thức mã hóa GRE diễn ra), qua Tunnel để tới máy tính văn phịng từ xa
Kỹ thuật Tunneling mạng VPN truy cập từ xa
Với loại VPN này, Tunneling thường dùng giao thức điểm-nối-điểm PPP (Point-to-Point Protocol) Là phần TCP/IP, PPP đóng vai trị truyền tải cho giao thức IP khác liên hệ mạng máy chủ máy truy cập từ xa Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP
Các giao thức thiết lập dựa cấu trúc PPP dùng mạng VPN truy cập từ xa
L2F (Layer Forwarding) Cisco phát triển L2 F dùng cơ chế thẩm định quyền truy cập PPP hỗ trợ
PPTP (Point-to-Point Tunneling Protocol) tập đoàn PPTP Forum phát triển Giao thức hỗ trợ mã hóa 40 bit 128 bit, dùng chế thẩm định quyền truy cập PPP hỗ trợ PPTP (Point-to-Point Tunneling Protocol) VPN công nghệ VPN đơn giản nhất, sử dụng kết nối Internet cung cấp ISP để tạo tunnel bảo mật client server client client PPTP ứng dụng dựa hệ thống VPN, bạn biết Windows tích hợp sẵn chức PPTP bên trong, tất cần thiết để kết nối tới hệ thống VPN phần mềm hỗ trợ VPN client Mặc dù PPTP không số chế bảo mật để đảm bảo luồng thông tin, liệu (Point to Point Protocol đảm nhận việc với PPTP), Windows, mặt tiến hành xác nhận mã hóa với PPTP để mã hóa package trước Ưu điểm mơ hình khơng u cầu thêm phần cứng hỗ trợ bên để triển khai, hệ thống client sử dụng phần mềm cung cấp để kết nố tới server VPN Tuy nhiên, nhược điểm hệ thống kiểu dựa giao thức Point to Point để tăng thêm tính bảo mật gói
(123)liệu, trước package bắt đầu “đi qua” tunnel chúng bị xâm nhập từ nguồn gốc bên
L2TP (Layer Tunneling Protocol) sản phẩm hợp tác các thành viên PPTP Forum, Cisco IETF Kết hợp tính PPTP L2F, L2TP hỗ trợ đầy đủ IPSec L2TP sử dụng làm giao thức Tunneling cho mạng VPN điểm-nối-điểm VPN truy cập từ xa Trên thực tế, L2TP tạo tunnel máy khách router, NAS router, router router So với PPTP L2TP có nhiều đặc tính mạnh an toàn -L2TP - Layer to Tunneling Protocol để tích hợp thêm liệu, giống PPTP khơng cung cấp thêm chế mã hóa thơng tin mà dựa vào PPP – Point to Point Protocol để mã hóa lớp liệu khác L2TP tunneling gán thêm liệu L2TP header vào lớp payload nguyên gốc, sau chuyển tới điểm cuối sơ đồ UDP Bên cạnh giao thức Point to Point, tính bảo mật, xác nhận tài khoản thực qua việc áp dụng IPSec tầng network
SSH (Secure Shell) Tunneling sử dụng giao thức shell bảo mật để tạo riêng tunnel để truyền liệu từ điểm tới điểm khác Ưu điểm lớn việc sử dụng tunneling dựa SSH dễ dàng “đi qua” - bypass hệ thống firewallcủa Internet Thơng thường, tổ chức (có nhu cầu bắt buộc nhân viên sử dụng proxy server cố định để truy cập website tài liệu riêng) sử dụng giao thức SSH để điều hướng toàn traffic từ server dedicate Có đơi chút khác biệt so với SSLdựa VPN, giao thức HTTPS bắt đầu có hiệu lực ứng dụng, hệ thống quản lý, trình duyệt web để bảo mật trình truyền liệu thiết bị bên ngồi tới hệ thống mạng VPN thiết lập, có giao thức HTTPS yêu cầu để khởi tạo kết nối điểm đầu cuối với
Các gói liệu “đi qua” IPSec mã hóa AES, DES 3DES Bên cạnh cịn cung cấp thêm chức nén liệu xác nhận tài khoản lớp network khác Kỹ thuật IPsec VPN sử dụng chế độ tunnel thay transport Trước gửi liệu, hệ thống tiến hành “đóng gói” package IP vào package IP mới, sau gán thêm lớp IP header, kèm với ESP header để cải thiện tính bảo mật
2 Cấu hình VPN CLIENT TO SITE (GATEWAY) Giới thiệu : lab bao gồm nội dung sau: Cấu hình VPN Server giao thức PPTP Tạo user để VPN Client kết nối vào VPN Server Cấu hình VPN Client
4 Cấu hình VPN server giao thức L2TP I Chuẩn bị :
(124)- Tắt Firewall máy
- Cài đặt Role Routing and Remote Access DC2 - Đặt IP cho máy theo bảng sau:
DC1 DC2 DC2 DC3
IP 172.168.1.10 172.168.1.20 192.168.1.10 192.168.1.20 Subnet Mark 255.255.255 255.255.255 255.255.255 255.255.255 Default Gateway 172.168.1.20 192.168.1.10 DNS
Thực :
Cấu hình VPN Server giao thức PPTP Máy DC2
B1 : Log on
Administrator Vào Start
Administrative Tools Routing and Remote access, chuột phải lên DC2, chọn Configure and Enable Routing and Remote Access
(125)B2 : Màn hình Welcome next B3 : Màn hình configuration, chọn custom
configurationnex t
B4 : Màn hình Custom
Configuration, đánh dấu chọn vào ô : VPN access & Lan routingNext Finish start servicess
B5 : Chuột phải vào DC2 , chọn
properties
(126)B6 : Qua tab IPv4 , chọn Static Address Pool, bên nhấn Add
B7 : Màn hình New Ipv4 Address Range , nhập vào dãy địa sau : Start IP address : 10.10.10.1
End IP Address : 10.10.10.254 Ok ok
Tạo user để VPN Client kết nối vào VPN Server Thực DC2
B1 : Mở Local Usres Ang Group , tạo user sau : user name : vpn, password : 123456 – lưu ý : bỏ dấu check tùy chọn User must change password at next log on
(127)B2 : Chuột phải lên User vpn
Properties Qua tab Dial-in, bên mục Remote Access
Permission (Dial-in or VPN ), đánh dấu chọn vào ô Allow Access OK
1 Cấu hình VPN Client Thực DC3 B1 : Vào control panel network and sharing center Set up a connection or network
B2 : Màn hình Choose A Connection option Connect to a workplace next
(128)B3 : Màn hình How Do You Want To
Connect Use my internet connection ( VPN ) next
B4 : Màn hình Do You Want To Set Up… I`ll Set Up An
Internet
connection later
B5 : Mục Internet
Address, nhập vào IP Lan DC2 :
192.168.1.10 Destination Name, đặt tên cho kết nối, Vd:VPN connection
(129)B6 : Màn hình tiếp theo, nhập vào user name password user vpn Create
Q trình tạo kết nối thành cơng close
B7 : Chọn Change Adapter Settingchuột phải vào VPN connection vừa tạo, nhấn
Connect
B8 : nhập vào username password vpn Connect Kết nối thành công Kiểm tra : mở CMD, gõ lệnh
IPCONFIG/ ALL, thấy nhận IP từ VPN server
Lần lượt ping đến địa mạng nội :
Ping 172.16.1.1 Ping 172.16.1.2 Ping thành công
(130) Nhận xét : Máy DC3 VPN server cấp địa Ip nằm dãy
10.10.10.1 đến 10.10.10.254 Máy DC3 DC1
liên lạc với
B9: Chuột phải vào connection VPN connection , chọn satus B10 : Qua tab Details, thấy mục Device name : PPTP, VPN đang kết nối bằng giao thức PPTP
Cấu hình VPN Server giao thức L2TP Thực tên DC2
B1 : Mở Routing And Remote Access chuột phải vào DC2 chọn Properties
(131)B2 : Qua Tab Security, đánh dấu chọn vào mục Allow custom IPsec policy for L2TP connection, mục Preshered key Nhập vào
123456 OK OK
B3 : Chuột phải vào DC2, chọn All taskRestart
Thực máy DC3 - Mở Network
Connection, chuột phải vào VPN connection, chọn Properties
- Qua Tab Security bên mục Type Of VPN chọn L2TP/IPsec VPN, bên chọn Advanced Settings
(132)- Mục IPsec Settings, chọn Use preshared key for
authentication - Mục key nhập vào :
123456 OK OK
Chuột phải vào VPN connection, chọn Connect
- Kiểm tra status,lúc VPN kết nối giao thức L2TP
3. Cấu hình VPN site to site ( Gateway to Gateway) Giới thiệu : lab bao gồm nội dung sau: - Cấu hình VPN server dùng giao thức PPTP
- Cấu hình VPN server dùng giao thức L2TP Chuẩn bị : máy Windows Server 2008 R2
(133)- Đặt IP cho máy tính theo bảng sau :
DC1 DC2 DC3 DC4
IP 172.168.1.10 172.168.1.20 192.168.1.20 172.168.100.2 Subnet Mark 255.255.255 255.255.255 255.255.255 255.255.255.0 Default Gateway 172.168.1.20 192.168.1.10 DC2 DC3
IP 192.168.1.10 172.168.100.1
0
Subnet Mark 255.255.255
0
255.255.255.0 - Tắt Firewal máy
- Cài đặt rule routing and remote access, DC2 DC3
- Trên máy DC2 , tạo User : saigon, Password :saigon Chuột phải vào user saigon , chọn properties qua tab Dial –in, bên mục Remote Access đánh dấu chọn vào ô Allow access OK
- Tương tự máy DC3, tạo user : vungtau , password : vungtau, chuột phải vào user vungtau, chọn propertiesqua tab Dial –in mục Remote Access Permission ( Dial –in or VPN ) , đánh dấu chọn vào ô Allow access OK
Thực :
Cấu hình VPN server dùng giao thức PPTP A Máy DC2:
(134)B1 : Log on
Administrator Vào start chọn
Administrative Tools Routing And Remote Access, chuột phải lên DC2 , chọn Configure and enable routing and remote access
B2: Màn hình Welcome next
B3 : Màn hình Configuration, chọn Custom Configuration Next
B4 : Màn hình Custom
Configuration, đánh dấu chọn vào ô :
VPN Access Demand –Dial
Connections LAN Routing
Next Finish Start Service Finish
(135)B5 : Chuột phải vào Network
Interface , chọn New Demand – Dial Interfeace
B6 : Màn hình Welcomenext Trong cửa sổ
Interface Name gõ “ vungtau” vào ô Interface name Next
Lưu ý : interface name phải trùng với username tạo phần chuẩn bị
B7 : Màn hình connection Type đánh dấu chọn vào Connect using virtual PRIVATE network (VPN) Next
(136)B8 : Màn hình VPN type, chọn Point to Point tunneling Protocol ( PPTP ) Next
B9 : Màn hình Destination
Address gõ địa IP máy DC3 192.168.1.20 vào ô Host name or IP address
B10: Màn hình Ptotocol and security, giữ nguyên mặc định next
(137)B11 : Màn hình Static Routes For Remote Networks Add
B12 : Màn hình Static Route, cấu sau : Destination : 172.16.100.0 Network mask : 255.255.255.0 Metric :1 Ok Next
B13 : Màn hình Dial out
Credentials, nhập vào thông tin sau :
User name : saigon Domain : để trống Password : saigon Confirm
password : saigon Sau nhấn Next Finish
(138)B14 : Quay lại hình Routing And Remote Access, chuột phải vào DC2, chọn Properties
B15 : Qua tab IPv4, chọn Static
Address Pool Nhấn Add
B16 : Trong cửa sổ New Ipv4 address rangs nhập vào dãy IP sau :
Start IP address : 10.10.10.1
End IP address : 10.10.10.254 OK OK
(139)B17 : Màn hình Routing and remote access, chuột phải lên DC2 All Tasks Restart
B Máy DC3 : lặp lại bước phần A cấu hình VPN server máy DC2 cho máy DC3, thay đồi thông tin sau:
- Tại bước khai báo Interface, Interface Name : saigon - Tại bước khai báo Dial Out Credentials :
User name : vungtau Domani : để trống Password : vungtau
Confirm password : vungtau - Tại bước tạo Static Routes : Interface : saigon
Destination : 172.16.1.0
Network Mask : 255.255.255.0 Metric :
- Tại bước tạo Static address pool : Start Ip name : 10.10.20.1
End IP address : 10.10.20.254 C Kiểm tra :
Máy DC1 - Log on Administrator vào CMD gõ lệnh Ping địa IP máy DC4
172.168.100.2 ) thấy Reply
(140)Máy DC2 : - Quan sát Routing And Remote Access, Connection
vungtau , thấy Connected
Qua mục Ports , thấy kết nối dạng PPTP Status Active
- Nhận xét : site saingon
vungtau kết nối thành cơng
Cấu hình VPN server giao thức L2TP A Máy DC2:
B1 : Chuột phải vào connection vungtau, chọn Properties Qua tab Security chọn Layer
tunneling … Advanced Settings Chọn tùy chọn : Use Preshared Key For Suthentication, khung key : nhập vào 123456 OK OK
B2 : Quay lại hình Routing And Remote Access, chuột phải vào DC2, chọn Properties
(141)B3 : Qua tab
Security, bên đánh dấu chọn vào mục Allow custom Ip sec policy for L2TP connection Mục Preshered Key : nhập vào 123456 Apply ok
B4 : Màn hình Routing And Remote Access chuột phải lên DC2 All tasks Restart
B Máy DC3 : thực lại thao tác DC2 C Kiểm tra :
A Máy DC1 : Log On Administrator vào CMD, gõ lệnh Ping địa IP máy DC4 172.168.100.2 máy thấy reply
B Quan sát
Routing And Remote Access, Connection vungtau , thấy connected
(142)C Qua mục Ports, thấy kết nối dạng L2TP Status Active
BÀI :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY
Mã bài: 15.9 1 Cơ sở hạ tầng khóa cơng khai
I.1. Giới thiệu PKI
Dựa tảng mật mã khóa cơng khai, PKI hệ thống bao gồm phần mềm, dịch vụ, chuẩn định dạng, giao thức, quy trình, sách để giúp đảm bảo an tồn, tin cậy cho phiên truyền thông
PKI đáp ứng yêu cầu xác thực, bảo mật, toàn vẹn, chống chối từ cho thông điệp trao đổi
I.2 Các thành phần PKI
Ngoài thành phần chứng số, chữ ký số mật mã PKI tạo nên thành phần chức chuyên biệt sau:
Certificate Authority Registration Authority
Certificate Repository Archive Security Server
PKI-enabled applications PKI users
Certificate Authority (CA): bên thứ tin cậy có trách nhiệm tạo, quản lý, phân phối, lưu trữ thu hồi chứng số CA nhận yêu cầu cấp chứng số cấp cho xác minh nhận dạng họ
Registration Authority (RA): đóng vai trị trung gian CA người dùng. Khi người dùng cần chứng số mới, họ gửi yêu cầu tới RA RA xác nhận tất thông tin nhận dạng cần thiết trước chuyển tiếp yêu cầu tới CA để CA thực tạo ký số lên chứng gửi cho RA gửi trực tiếp cho người dùng
Certificate Repository Archive: có kho chứa quan trọng kiến trúc PKI Đầu tiên kho công khai lưu trữ phân phối chứng CRL (chứa danh sách chứng khơng cịn hiệu lực) Cái thứ sở
(143)liệu CA dùng để lưu khóa sử dụng lưu trữ khóa hết hạn, kho cần bảo vệ an toàn CA
Security Server: máy chủ cung cấp dịch vụ quản lý tập trung tất cả tài khoản người dùng, sách bảo mật chứng số, mối quan hệ tin cậy (trusted relationship) CA PKI, lập báo cáo nhiều dịch vụ khác
PKI-enabled applications PKI users: bao gồm người dùng sử dụng dịch vụ PKI phần mềm có hỗ trợ cài đặt sử dụng chứng số trình duyệt web, ứng dụng email chạy phía máy khách
2 Chứng số
Giới thiệu
Chứng số tệp tin điện tử dùng để xác minh danh tính cá nhân, máy chủ, cơng ty Internet Nó giống lái xe, hộ chiếu, chứng minh thư hay giấy tờ xác minh cá nhân Để có chứng minh thư, bạn phải quan Công An sở cấp
Chứng số vậy, phải tổ chức đứng chứng nhận thông tin bạn xác, gọi Nhà cung cấp chứng thực số (CA -Certificate Authority) CA phải đảm bảo độ tin cậy, chịu trách nhiệm độ xác chứng số mà cấp
Trong chứng số có ba thành phần chính: + Dữ liệu cá nhân người cấp
+ Khố cơng khai (Public key) người cấp + Chữ ký số CA cấp chứng
Dữ liệu cá nhân:
Bao gồm tên, quốc tịch, địa chỉ, điện thoại, email, tên tổ chức Phần giống thông tin chứng minh thư người
Khố cơng khai:Public key
Là giá trị nhà cung cấp chứng thực đưa khóa mã hố, kết hợp với khoá cá nhân tạo từ khố cơng khai để tạo thành cặp mã khoá bất đối xứng
Nguyên lý hoạt động khố cơng khai chứng số hai bên giao dịch phải biết khố cơng khai Bên A muốn gửi cho bên B phải dùng khố cơng khai bên B để mã hố thơng tin Bên B dùng khố cá nhân để mở thơng tin
Tính bất đối xứng mã hoá thể chỗ khoá cá nhân giải mã liệu mã hố khóa cơng khai, khố cơng khai khơng có khả giải mã lại thông tin, kể thơng tin khố cơng khai mã hoá
Nếu chứng số chứng minh thư nhân dân, khố cơng khai đóng vai trị danh tính bạn giấy chứng minh thư (gồm tên địa chỉ, ảnh ), cịn khố cá nhân gương mặt dấu vân tay bạn
(144)Nếu coi bưu phẩm thông tin truyền đi, "mã hoá" địa tên người nhận bạn, dù có dùng chứng minh thư bạn với mục đich lấy bưu phẩm này, họ không nhân viên bưu điện giao bưu kiện ảnh mặt dấu vân tay không giống
Chữ ký số CA cấp chứng chỉ:
Còn gọi chứng gốc Đây xác nhận CA, bảo đảm tính xác hợp lệ chứng Muốn kiểm tra chứng số, trước tiên phải kiểm tra chữ ký số CA có hợp lệ hay khơng Trên chứng minh thư, dấu xác nhận Công An Tỉnh Thành phố mà bạn trực thuộc Về nguyên tắc, kiểm tra chứng minh thư, phải xem dấu này, để biết chứng minh thư có bị làm giả hay khơng
Lợi ích chứng số
Mã hoá - Bảo mật: Khi người gửi mã hố thơng tin khố cơng khai của bạn, chắn có bạn giải mã thơng tin để đọc Trong q trình truyền qua Internet, dù có đọc gói tin mã hố này, kẻ xấu khơng thể biết gói tin có thơng tin Đây tính quan trọng, giúp người sử dụng hoàn toàn tin cậy khả bảo mật thông tin
Những liệu cần bảo mật cao, chẳng hạn giao dịch liên ngân hàng, ngân hàng điện tử, tốn thẻ tín dụng, cần phải có chứng số để đảm bảo an toàn
Chống giả mạo:Khi bạn gửi thơng tin, liệu một email, có sử dụng chứng số, người nhận kiểm tra thơng tin bạn có bị thay đổi hay không Bất kỳ sửa đổi hay thay nội dung thông điệp gốc bị phát
Địa mail bạn, tên domain bị kẻ xấu làm giả để đánh lừa người nhận để lây lan virus, ăn cắp thơng tin quan trọng Chứng số làm giả, nên việc trao đổi thông tin có kèm chứng số ln đảm bảo an tồn
Xác thực :Khi bạn gửi thông tin kèm chứng số, người nhận xác định rõ danh tính bạn Có nghĩa dù khơng nhìn thấy bạn, qua hệ thống chứng số mà bạn người nhận sử dụng, người nhận biết chắn bạn khơng phải người khác
Xác thực tính quan trọng việc thực giao dịch điện tử qua mạng, thủ tục hành với quan pháp quyền Các hoạt động cần phải xác minh rõ người gửi thông tin để sử dụng tư cách pháp nhân
Đây tảng Chính phủ điện tử, mơi trường cho phép cơng dân giao tiếp, thực cơng việc hành với quan nhà nước hồn tồn qua mạng Có thể nói, chứng số phần thiếu, phần cốt lõi Chính phủ điện tử
(145)hợp chối cãi, CA cung cấp chứng số cho hai bên chịu trách nhiệm xác minh nguồn gốc thông tin, chứng tỏ nguồn gốc thông tin gửi
Chữ ký điện tử :Email đóng vai trị quan trọng trao đổi thơng tin hàng ngày ưu điểm nhanh, rẻ dễ sử dụng Tuy nhiên, email dễ bị tổn thương hacker Những thơng điệp bị đọc hay bị giả mạo trước đến người nhận Bằng việc sử dụng chứng số cá nhân, bạn ngăn ngừa nguy mà không làm giảm lợi email Với chứng số cá nhân, bạn tạo thêm chữ ký điện tử vào email chứng xác nhận Chữ ký điện tử có tính xác thực thơng tin, tồn vẹn liệu chống chối cãi nguồn gốc
Chứng số cá nhân cịn cho phép người dùng chứng thực với web server thơng qua giao thức bảo mật SSL Phương pháp chứng thực dựa chứng số đánh giá tốt, an toàn bảo mật phương pháp chứng thực truyền thống dựa mật
Bảo mật Website: Khi Website bạn sử dụng cho mục đích thương mại điện tử hay cho mục đích quan trọng khác, thông tin trao đổi bạn khách hàng bạn bị lộ
Để tránh nguy này, bạn dùng chứng số SSL Server để bảo mật cho Website Chứng số SSL Server cho phép bạn lập cấu hình Website theo giao thức bảo mật SSL (Secure Sockets Layer)
Loại chứng số cung cấp cho Website bạn định danh nhằm đảm bảo với khách hàng bạn tính xác thực tính hợp pháp Website Chứng số SSL Server cho phép trao đổi thông tin an toàn bảo mật Website với khách hàng nhân viên
Cơng nghệ SSL có tính bật như: + Thực mua bán thẻ tín dụng
+ Bảo vệ thơng tin cá nhân nhạy cảm khách hàng + Đảm bảo hacker khơng thể dị tìm mật
Xác thực phần mềm: Nếu bạn nhà sản xuất phần mềm, chắn bạn sẽ cần ''con tem chống hàng giả'' cho sản phẩm Đây công cụ thiếu việc áp dụng hình thức sở hữu quyền Chứng số Nhà phát triển phần mềm cho phép bạn ký vào applet, script, Java software, ActiveX control, file dạng EXE, CAB, DLL
Triền khai dịch vụ CA môi trường windows server 2008 Giới thiệu : lab bao gồm nội dung sau:
- Cài Enterprise CA
- User yêu cầu install Certificate
(146)- User cấu hình Windows Mail gửi mail cho có Sign Encrypt
- Export Certificate - Import Centificate I Chuẩn bị :
Tên Máy
IP OS Funtion
Domain 172.168.1.1
Windows Server 2008 R2
Domain Controller - Tắt IE ECS , UAC
- Cài Windows Live Mail , chỉnh password policy đơn giản - Tạo user U 1/ password : 123456 khai báo địa email : u1@khoaviet.edu.vn properties account u1
- Chỉnh policy Allow Log on locally cho group Users có quyền đăng nhập máy DC
Thực :
1 Cài Enterprise CA : B1 : Log on
Administrator Mở Server Manager Chuột phải lên Add Roles
(147)B4 : Chọn Next B5 : Chọn Certification Authority Web
Enrollment B6 : Chọn Add Require Role ServicesNex t
B7 : Chọn Enterprise Next
B8 : Chọn Root CA Next
B9 : Chọn Next
B10: Chọn Next
B11: Common name for this CA : Khoa Viet Next
(148)B12: Các bước lại để mặc định Install Close
2 User yêu cầu Install Certificate B1 : Log on u1 Mở
IE add
http:/localhost vào trusted site Chỉnh IE security
B2 : Mở IE truy cập http://localhost/certsr v Chọn Request a certificate
(149)B3 : Chọn Advanced Certificate Request
B4 : Chọn Create And Submit Request To This CA
B5 : Certificate Chọn User
(150)B6 : Cuộn xuống cuối trang phần Friendly Name : Multi
Purpose Submit
B7 : Chọn Yes
B8 : Yes
B9 : Chọn Install this Certificate Yes
3 User cấu hình Windows Mail cho có Sign Encrypt Log on u1
(151)B1 : Mở
Windows Live Mail khai báo account hình Next
B2 : Khai báo hình Next
B3 : Chọn Properties
(152)B4 : Phần Signing certificate Chọn Select
B5 : Chọn OK
B6 : Thực tương tự phần Encrypting Preferences OK
(153)B9 : Gửi mail cho có Sign Encrypt
B10: không quan tâm báo lỗi Chọn Continue B11: Mail chuyển Outbox đọc mail
(154)Export Certificate B1 : Start Run CertMgr.msc
B2 : Mở theo đường dẫn hìnhchuột phải lên certificate u1 Chọn All Task
Export
B3 : Chọn Next
(155)B4 : Chọn Yes, Export the private key Next
B5 : Chọn Next
B6 : Điền password : 123456 Next
(156)B7 : Chọn
BrowseChọn nơi lưu certificateNextFinis h OK
4 Import Certificate B1 : Log on u1 Run Mở CertMgr.msc Mở theo đường dẫn hình Chuột phải lên Certificate u1Chọn Delete Yes
B2 : Mở Windows Mail Outbox Mở Email Khơng thể đọc mail
B3 : Mở
CertMgr.mscMở Personal Chuột phải lên Certificate All TasksImport
(157)B4 : Chọn Next
B5 : Chọn Browse đường dẫn đến nơi certificate Export Next
B6 : Điền password : 123456 Next
(158)B7 : Chọn Next
B8 : Finish OK
Kiểm tra : Mở Windows Mail Outbox Mở mail gửi cho mình- đọc lại nội dung mail
Triền khai số dịch vụ mạng sử dụng CA 1. Dịch vụ IPsec SSL
Giới thiệu : Bài lab bao gồm nội dung : - Add CA ( nội ) vào Trusted Root CA
- Yêu cầu Install IP Sec Certificate
Chuẩn bị : máy windows Server 2008 R2
- Cài Stand-alone CA DC1 ( Common name : Khoa Viet ) - máy tắt firewall , kiểm tra lệnh PING
(159)- máy tắt IE ECS , Mở IE add địa IP DC1 : Http://DC1 vào Trusted Site – chỉnh IE security
- máy mở MMC add snap-in : IP Security Policy Management , Certificate ( My user cacount ) , Certificate ( Computer account ) Lưu lại desktop với tên Console1
- Cài netword Monitor lên DC1 Thực :
Bước 1: Add CA ( nội ) vào Trusted Root CA
Thực DC2
- DC2 truy cập web http://DC1/CertSrv Chọn Download a CA certificate Download CA certificate Lưu Certificate DC1 Desktop
B1 : Mở Console1 Certificates ( local computer ) Trusted Root Certification Authorities Chuột phải lên Certificaties All TaskImport
B2 : Màn hình Welcome Chọn Next
(160)B3 : Chỉ đường dẫn đến Certificate DC1 lưu DesktopNext Nextnext Finish OK
Bước 2: Yêu cầu Install certificate : Thực máy
B1 : Mở IE truy cập
http://DC1/Certsr v Chọn Request a certificate
B2 : Chọn Advanced Certificate Request
(161)B3 : Chọn Create and submite a request to this CA
B4 : Chọn Yes
B5 : Name : điền tên máy Type of Certificate Needed : IPSEC Certificate
B6 : Cuộn xuống cuối trang Chọn Mark key as exportable Submit.
Thực tương đương DC2
(162)B7 : Trên DC1 Mở Certificate authority Administrative Tool Issue certificate vừa yêu cầu
B8 : máy truy cập http:// DC1/certsrv install Certificate vừa yêu cầu
B9 : Mở Console 1 Certificates Current User
Personal
Certificates khung bên phải chuột phải vào certificate tên máy All
TaskExport
(163)B10: Màn hình Welcome Next Chọn Yes, Export The Private Key Next
B11: Next
B12: Password : 123456 Next
(164)B13: Chọn lưu certificate Desktop Next Finish OK
B14: Mở
Certificate ( local Computer ) Personal Chuột phải lên Personal All Task
Import
B15: Màn hình Welcome Chọn Next đường dẫn đến certificate lưu DesktopNext
(165)B16: Điền
password : 123456 Next Next Finish OK Thực tương tự DC2 :
Bước 3: Tạo Rule Policy IP Sec
Thực máy B1 : Mở Console chuột phải lên IP Security Policies on Local Computer Chọn Create IP Security Policy
B2 : Đặt tên Policy Next
(166)B3 : Chọn Next
B4 : Finish
B5 : Chọn Add
B6 : Chọn Next
(167)B7 : Next
B8 : Next
B9 : Chọn Add
B10: Trong phần Name : All Add
(168)B11: Next
B12 : Để mặc định Next
B13 : Next
B14 : Next Finish OK
(169)B15 : Chọn IP Filter List vừa tạo Next
B16 : Chọn Add Next
B17 : Chọn Next
B18 : Chọn Next
(170)B19 : Next
B 20 : Chọn Next Finish
B21 : Chọn Filter Action vừa tạo Next
B22 : Chọn Use Acertificate From This Certification Authority Chọn Browse Chọn Certificate Khoa Viet Next Finish
(171)B23 : OK
B24 : Chuột phải lên Policy vừa tạochọn Asign
Kiểm tra :
- DC1 mở Network Monitor Start capture - DC1 Ping DC2 Ping thành công
- DC1 mở Network Monitor quan sát thấy gói tin Ping mã hóa
- DC1 DC2 xóa Policy IP Sec tạo 1.2 Dịch vụ Web sử dụng SSL
Yêu cầu Install Web Certificate Biding Certificate cho website
Bước 1: Yêu cầu install Web Certificate
- Thực máy : Sửa File Host * IP DC1 : 172.168.1.10
* IP DC2 : 172.168.1.20 - Thực DC1:
(172)B1 : Mở IE truy cập http://DC1/certsrv Chọn Request A Certificate
B2 : Chọn Advanced Certificates Request
B3 : Chọn Create and submite
arequest to this CA
B4 : Chọn Yes
(173)B5 : Name :
DC1.khoaviet.edu.vn Type of Certificate Needed : Server Authentication
Certificate
B6 : Cuộn xuống trang chọn Mark key as exportable Friendly Name : Web Certificate Submit Yes
B7 : Mở Certificate Authority Administrative Tools Chọn Issue
Certificate vừa yêu cầu
B8 : Mở IE truy cập
http://DC1/certsrv Install Certificate vừa yêu cầu
(174)B9 : Mở Console – Certificate
( Current User ) Personal
Certificate Export certificate vừa install với password
123456, lưu lên desktop với tên Web Cert
Bước 2: Import Certificate vào website
Thực DC1: B1 : Mở ISS Khung bên trái chọn DC1 Khung bên phải Double click vào mục Server Certificate.
B2 : Chuột phải vào cửa sổ Chọn Import
(175)B3 : Chỉ đường dẫn đến file Web Cert.pfx export Desktop với password 123456 OK
B4 : Cửa sổ bên trái Chuột phải lên Default Website Chọn Edit Bindings
B5 : Chọn Add
B6 : Chọn thông số hình OK
(176)Kiểm tra :
- DC2 mở IE truy cập httpS://dc1.khoaviet.edu truy cập thành công
- DC2 truy cập https:// DC1 báo lỗi
certificate chọn Continue to this website để xem nội dung trang Web
- DC2 mở Console Certificates ( local Computer ) Trusted Root Certification Authorities Xóa Certificate Khoa Viet
(177)- DC2 mở IE truy cập Https://DC1.khoaviet.edu báo lỗi Certificate Chọn Continue to this website để xem nội dung trang web
3.2. Dịch vụ VPN – SSTP Bài lab bao gồm nội dung :
- B1: VPN Server xin cài đặt Certificate vào Local Computer - B2: Cấu hình VPN Server
- B3: Client tạo kết nối VPN Chuẩn bị :
- Bài lab sử dụng máy Windows Server 2008 R2 :
- Đồng thời gian máy
- DC1 : cài đặt Stand alone root CA tên Nhat Nghe , tắt firewall - DC2 : Cài đặt Routing and remote Access , tắt IE ECS
- DC2 DC3 : truy cập network access vào DC1 copy thư mục CertEnroll máy, Import certificate DC1 – KhoaViet.crt thư mục CertEnroll vào Trusted root CA Local computer Import file KhoaViet.crl vào Imtermedate Certification Authorities
- DC2 : Tạo User u1 , mở properties account user u1 – qua tab Dial-in – Chọn Allow Access
- Chỉnh IP máy theo bảng sau :
DC1 DC2 DC2 DC3
(178)y
- DC3 : sửa file Hosts :
192 168 10 VPNserver.khoaviet.edu.vn
Bước 1:: VPN Server xin cài đặt Certificate vào Local Computer
- Thực DC2
B1 : Mở IE : add http://172.16.1.10 vào Trusted Site Chỉnh IE security mức thấp
B2 : truy cập
Http://172.16.1.10/certsr v chọn Request a certificate.
B3 : Chọn Advanced Certificate Request.
B4 : Chọn Create and submit a request to this CA.
(179)B5 : Name: VPN
server.khoaviet.edu.vn , Type of Certificate Needed : Server Authentication Certificate.
B6 : Cuộn xuống cuối trang chọn Mark keys as exportable Submit.
B7 : DC1 : Mở
Certificate Authority Administrative Tools Issue
certificate vừa xin
B8 :DC2 : truy cập http://172.16.1.10/certsr v cài đặt Certicate vừa xin
(180)B9: DC2: Export
Certificate từ Certificate ( Current User ) Personal Certificate
B10: DC2: Mở Certificates ( Local Computer ) Import certificate vừa export từ Certificate
( Current User )
Bước 2: Cấu hình VPN Server
Thực DC2 B1: Mở Routing And Remote Access Administrative Tools Chuột phải DC2 chọn Configure and Enable Routing and Remote Access.
B2: chọn Custom Configuration Next
(181)B3: Chọn VPN acess và LAN routing Next
B4: Chọn Finish Start Services
B5: chuột phải lên DC2 Chọn Properties
B6: Qua tab IPv4 Chọn Static Address pool chọn Add điền dãy IP:
10.10.10.1
10.10.10.254 OK.
Bước 3: Client tạo kết nối VPN
Thực DC3
(182)B1 : Mở Network and Sharing Center Control Panel Chọn setup a connection or network.
B2 : Chọn Connect to a workplace
B3 : Chọn Use my Internet connection ( VPN )
B4 : Internet address : VPNserver.khoaviet.ed u.vn Next Khai báo use name
password u1 Create Close
(183)B5 : Start Control Panel Nextwork and Sharing center Change adapter setting Chuột phải lên VPN Connection Properties
B6 : Qua tab Security - Type of VPN : Secure Socket Tunneling Protocol ( SSTP )
- Qua tab Networking Bỏ chọn Internet Protocol Version (TCP/IPv6 )OK
Kiểm tra :
- Double click vào VPN connection Chọn connect kết nối VPN thành công
(184)-Truy cập network access vào
DC1 :\\172.168.1.10 truy cập thành công
- Mở command line Đánh lệnh Netstat-an : Quan sát thấy kết nối VPN chạy port 443
- Double click vào VPN connection qua tab Details quan sát thấy kết nối VPN SSTP
TÀI LIỆU CẦN THAM KHẢO
[1] Phạm Hoàng Dũng-Hoàng Đức Hải, Làm chủ Windows 2008 server [2] Hướng Dẫn Quản Trị Mạng Microsoft Windows Server 2008-2010 [3] Hoàng Hải Phương, www.giaiphapantoan.com
Http://DC1 vào eb http://DC1/CertSrv http://DC1/certsrv Https://DC1.khoaviet.edu.vn add http://172.16.1.10 vào T Http://172.16.1.10/certsrv