BM/QT10/P.ĐTSV/04/04 Ban hành lần: UBND TỈNH BÀ RỊA – VŨNG TÀU TRƯỜNG CAO ĐẲNG KỸ THUẬT CÔNG NGHỆ GIÁO TRÌNH MƠ ĐUN :QUẢN TRỊ NÂNG CAO NGHỀ: QUẢN TRỊ MẠNG TRÌNH ĐỘ: TRUNG CẤP Ban hành kèm theo Quyết định số: ……/QĐ-CĐKTCN, ngày … tháng … năm 20…… Hiệu trưởng Trường Cao đẳng Kỹ thuật Công nghệ BR-VT) BÀ RỊA – VŨNG TÀU TUYÊN BỐ BẢN QUYỀN Nhằm đáp ứng nhu cầu học tập nghiên cứu cho giảng viên sinh viên nghề Công nghệ Thông tin trường Cao đẳng Kỹ thuật Công nghệ Bà Rịa – Vũng Tàu, thực biên soạn tài liệu Quản trị mạng Tài liệu biên soạn thuộc loại giáo trình phục vụ giảng dạy học tập, lưu hành nội Nhà trường nên nguồn thơng tin phép dùng ngun trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Giáo trình “Quản trị mạng nâng cao” biên soạn dựa khung chương trình đào tạo Cao đẳng nghề Công nghệ Thông tin năm 2019 Trường Cao đẳng Kỹ thuật Công nghê Bà Rịa – Vũng Tàu phê duyệt Tác giả nghiên cứu số tài liệu, công nghệ đại kết hợp với kinh nghiệm làm việc thực tế để viết nên giáo trình Nội dung tác giả trình giáo trình trang bị cho học viên kiến thức kỹ năng: - Xây dựng quản trị hạ tầng Active directory - Cài đặt quản trị hạ tầng khóa CA - Cài đặt cấu hình DHCP relay agent - Có khả tinh chỉnh giám sát mạng Windows Server; - Triển khai dịch vụ Routing and Remote Access (RRAS); - Có khả phát khơi phục Server bị hỏng; - Có khả cài đặt quản lý máy tính từ xa thơng qua RAS; - Xây dựng mạng riêng ảo VPN; - Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall; - Thực thao tác xuất, nhập sách Firewall thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập Nội dung giáo trình chia thành bài, đó: Bài 1: Dịch vụ windows terminal services Bài 2: Tính bảo mật nâng cao server Bài 3: Thực thi distributed ad ds deployments Bài 4: Operations master roles Bài 5: Dịch vụ routing Bài 6: Dịch vụ nat Bài 7: Dịch vụ dhcp relay Bài 8: Dịch vụ virtual private network Bài : Triển khai dịch vụ dựa certification authority Mặc dù thân tham khảo tài liệu ý kiến tham gia đồng nghiệp, song giáo trình khơng tránh khỏi thiếu sót Mong bạn đóng góp ý kiến Tơi xin cảm ơn thầy khoa CNTT–Trường Cao đẳng nghề cho ý kiến đóng góp q báu để tơi hồn thiện giáo trình Bà Rịa – Vũng Tàu, ngày …… tháng …… năm ……… Tham gia biên soạn Vũ Thị Tho – Chủ biên MỤC LỤC BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES Tại phải dùng Terminal services Các hình thức máy trạm kết nối đến máy chủ: Cài đặt cấu hình Terminal Service 3.1 Cài đặt Terminal Services: 3.2 Thêm chương trình ứng dụng RemoteApp 13 3.3 Chia sẻ folder chứa file ứng dụng 17 3.4 Kiểm tra máy client 18 4.Triển khai ứng dụng RemoteApp thông qua TS Web Access: .21 4.1 Cài đặt TS Web Access Terminal Server 21 4.2.Kiểm tra Terminal Client 24 Bảo mật Terminal Services Windows Server 2008 .25 5.1 Sử dụng chứng thực Smart Cards 25 5.2 Cấu hình bảo mật bổ sung Group Policy .25 BÀI 2: TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER Thiết lập Advanced Firewall 32 1.1 Giới thiệu 32 1.2 Cấu hình Advanced FireWall 32 1.2.1 Xác định port .33 1.2.2.Cấu hình Inbound Rule 33 1.2.3.Cấu hình Outbound Rule 35 IP SECURITY 38 2.1 Tổng quan IP Sec 38 Khái niệm IP Sec 38 Cấu trúc bảo mật IP SEC 38 Hiện trạng IP SEC .39 Cấu hình IP Sec 40 Cấu hình IP Sec cho tất kết nối 40 Cấu hình IP Sec cho kết nối định 54 Connection Security Rules 56 Deploy connection Security Rules GPO 59 BÀI 3: THỰC THI DISTRIBUTED AD DS DEPLOYMENTS Các thành phần Active directory 60 Thực thi Active directory 62 2.1 Cấu hình Child Domain AD 62 2.2 Thêm domain controller 67 2.3 Cấu hình DNS 71 BÀI 4: OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles 76 1.1 FSMO .76 1.2 Các vai trò FSMO 76 2.Cấu hình Operations master roles .79 2.1 Transfer FSMO Roles 80 2.2 Size FSMO Roles 80 BÀI 5: DỊCH VỤ ROUTING 1.Giới thiệu Routing .80 Cấu hình Routing : .83 2.1 Cài đặt role Routing and Remote Access .84 2.2 Cấu hình Static Route .85 2.3 Cấu hình Dynamic Route .89 BÀI 6: DỊCH VỤ NAT Giới thiệu NAT /PAT 91 Cấu hình NAT OUTBOUND & INBOUND ON SERVER .94 2.1 Cấu hình NAT OUTBOUND 95 2.2 Cấu hình NAT INBOUND .99 Bài tập nâng cao 101 BÀI 7: DỊCH VỤ DHCP RELAY Giới thiệu DHCP Relay Agent .102 1.1.Tại phải sử dụng DHCP relay agent 102 1.2.Ưu diểm DCHP RELAY 103 1.3.Cơ chế hoạt động DHCP Relay Agent 103 1.4.Cấp phép (authorize) .104 1.5.Level option DHCP server 105 Cài đặt cấu hình DHCP Relay Agent 107 2.1.Cài đặt cấu hình DHCP server 107 2.2.Cài đặt cấu hình DHCP Relay .114 BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK Tổng quan VPN 118 Khái niệm vpn 118 Lợi ích VPN .119 Cơ chế hoạt động VPN 119 Giao thức sử dụng VPN 120 Cấu hình VPN Client to Site 123 Cấu hình VPN Site to Site 132 BÀI :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY Cơ sở hạ tầng khóa cơng khai 142 1.1 Giới thiệu PKI 142 1.2 Chứng số 142 1.2.1 Giới thiệu .143 1.2.2 Lợi ích chứng số 143 Triền khai dịch vụ CA môi trường windows server 2008 .145 Cài Enterprise CA .146 Cấp phát quản lý CA 147 Triền khai số dịch vụ mạng sử dụng CA 157 Dịch vụ IP Sec 157 Dịch vụ Web sử dụng SSL 170 Dịch vụ VPN .176 GIÁO TRÌNH MƠ ĐUN Tên mơ đun: Quản trị mạng nâng cao Mã mơn học/mơ đun:MĐ15 VỊ TRÍ, TÍNH CHẤT CỦA MƠ ĐUN: - Vị trí: Mơ đun bố trí sau sinh viên học xong mơn, mơ đun: Mạng máy tính, Quản trị mạng 1, Quản trị hệ thống WebServer MailServer - Tính chất: Là mơ đun chuyên nghành bắt buộc MỤC TIÊU MÔ ĐUN: - Có khả tinh chỉnh giám sát mạng Windows Server; - Triển khai dịch vụ Routing and Remote Access (RRAS); - Có khả phát khơi phục Server bị hỏng; - Có khả cài đặt quản lý máy tính từ xa thơng qua RAS; - Xây dựng mạng riêng ảo VPN; - Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall; - Thực thao tác xuất, nhập sách Firewall thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập NỘI DUNG MÔ ĐUN: BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES Mã bài: 15.1 Tại phải dùng Terminal services Terminal Service Remote Application tính Windows Server 2008 Các chương trình ứng dụng cài đặt sẵn Windows Server 2008, máy trạm khơng cài đặt chương trình ứng dụng, khai thác chương trình ứng dụng máy chủ thơng qua Terminal Service Terminal Service có đặc điểm sau: -Sự truy cập liền mạch Người dùng truy cập vào ứng dụng hosting từ xa cách liền mach ứng dụng cài đặt cục Các ứng dụng hosting cư trú ứng dụng cài đặt cục - Quản lý ứng dụng tập trung, dễ dàng, đơn giản -Dễ dàng quản lý văn phòng chi nhánh,phù hợp với cơng ty khơng có nhân viên IT chun nghiệp văn phòng chi nhánh -Sử dụng ứng dụng khơng tương thích với hệ thống - Các máy trạm khơng cần phải có cấu hình phần cứng mạnh doanh nghiệp khơng phải tốn nhiều chi phí quyền phần mềm sử dụng dịch vụ Tuy nhiên, doanh nghiệp phí quyền cho CAL (Client Access License), chi phí thấp, chấp nhận - Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải cài đặt Remote Desktop Connection (RDC) 6.0 trở lên Các hình thức máy trạm kết nối đến máy chủ - Có cách để máy trạm kết nối đến máy chủ khai thác chương trình ứng dụng máy chủ: Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web Access, máy trạm phải cài đặt Remote Desktop Connection (RDC) 6.1 RDC6.1 có sẵn Windows Vista Service Pack Windows XP Professional Service Pack Sử dụng Network Access: Máy chủ tạo sẵn file rdp (mỗi chương trình ứng dụng tương ứng file rdp) share máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file để khai thác chương trình ứng dụng máy chủ Sử dụng Network Access: Máy chủ tạo sẵn file msi (mỗi chương trình ứng dụng tương ứng file msi)và share máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file để cài đặt shortcut liên kết đến chương trình ứng dụng máy chủ Các shortcut cài đặt Start menu máy trạm, cụ thể mục Remote Application Máy trạm chạy shortcut để khai thác chương trình ứng dụng máy chủ Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc cài đặt shortcut liên kết đến chương trình ứng dụng máy chủ cho nhiều máy trạm Cài đặt cấu hình Terminal Service Chuẩn bị: Hệ thống gồm: - Server: Windows Server 2008 + Tạo local user: sv1/123 , sv2/ 123 add vào group remote desktop users + Bật chế độ remote desktop máy server + Change password Adminstrator 123 - Client: Windows XP Thực hiện: 3.1 Cài đặt Terminal Services: Start –> Programs –> Administrative Tools –> Server Manager Chuột phải Roles –> Add Roles Before you begin –> Next Chọn Terminal Services –> Next Hộp thoại Instruction to Terminal Services –> Next Chọn Terminal Server –> Next Application Compatibility để mặc định –>Next Authentication Method Authentication –> Next –> Chọn Do Not Require Network Level Licensing Mode –> Configure later –> Next 10 B3 : Chọn Next B4 : Finish B5 : Chọn Add B6 : Chọn Next 170 B7 : Next B8 : Next B9 : Chọn Add B10: Trong phần Name : All  Add 171 B11: Next B12 : Để mặc định  Next B13 : Next B14 : Next  Finish  OK 172 B15 : Chọn IP Filter List vừa tạo  Next B16 : Chọn Add  Next B17 : Chọn Next B18 : Chọn Next 173 B19 : Next B 20 : Chọn Next  Finish B21 : Chọn Filter Action vừa tạo  Next B22 : Chọn Use Acertificate From This Certification Authority Chọn Browse Chọn Certificate Khoa Viet  Next Finish 174 B23 : OK B24 : Chuột phải lên Policy vừa tạochọn Asign Kiểm tra : - DC1 mở Network Monitor  Start capture - DC1 Ping DC2  Ping thành công - DC1 mở Network Monitor quan sát thấy gói tin Ping mã hóa - DC1 DC2 xóa Policy IP Sec tạo 1.2 Dịch vụ Web sử dụng SSL • Yêu cầu Install Web Certificate • Biding Certificate cho website Bước 1: Yêu cầu install Web Certificate - Thực máy : Sửa File Host * IP DC1 : 172.168.1.10 * IP DC2 : 172.168.1.20 - Thực DC1: 175 B1 : Mở IE truy cập http://DC1/certsrv Chọn Request A Certificate B2 : Chọn Advanced Certificates Request B3 : Chọn Create and submite arequest to this CA B4 : Chọn Yes 176 B5 : Name : DC1.khoaviet.edu.vn Type of Certificate Needed : Server Authentication Certificate B6 : Cuộn xuống trang  chọn Mark key as exportable  Friendly Name : Web Certificate  Submit  Yes B7 : Mở Certificate Authority Administrative Tools  Chọn Issue Certificate vừa yêu cầu B8 : Mở IE  truy cập http://DC1/certsrv-Install Certificate vừa yêu cầu 177 B9 : Mở Console – Certificate ( Current User ) Personal  Certificate  Export certificate vừa install với password 123456, lưu lên desktop với tên Web Cert Bước 2: Import Certificate vào website Thực DC1: B1 : Mở ISS  Khung bên trái chọn DC1  Khung bên phải Double click vào mục Server Certificate B2 : Chuột phải vào cửa sổ  Chọn Import 178 B3 : Chỉ đường dẫn đến file Web Cert.pfx export Desktop với password 123456  OK B4 : Cửa sổ bên trái  Chuột phải lên Default Website Chọn Edit Bindings B5 : Chọn Add B6 : Chọn thông số hình  OK 179 Kiểm tra : - DC2 mở IE truy cập httpS://dc1.khoaviet.edu.vn  truy cập thành công - DC2 truy cập https:// DC1  báo lỗi certificate  chọn Continue to this website để xem nội dung trang Web - DC2 mở Console  Certificates ( local Computer ) Trusted Root Certification Authorities  Xóa Certificate Khoa Viet 180 - DC2 mở IE truy cập Https://DC1.khoaviet.edu.v n  báo lỗi Certificate  Chọn Continue to this website để xem nội dung trang web 3.2 Dịch vụ VPN – SSTP Bài lab bao gồm nội dung : - B1: VPN Server xin cài đặt Certificate vào Local Computer - B2: Cấu hình VPN Server - B3: Client tạo kết nối VPN Chuẩn bị : - Bài lab sử dụng máy Windows Server 2008 R2 : - Đồng thời gian máy - DC1 : cài đặt Stand alone root CA tên Nhat Nghe , tắt firewall - DC2 : Cài đặt Routing and remote Access , tắt IE ECS - DC2 DC3 : truy cập network access vào DC1 copy thư mục CertEnroll máy, Import certificate DC1 – KhoaViet.crt thư mục CertEnroll vào Trusted root CA Local computer Import file KhoaViet.crl vào Imtermedate Certification Authorities - DC2 : Tạo User u1 , mở properties account user u1 – qua tab Dial-in – Chọn Allow Access - Chỉnh IP máy theo bảng sau : DC1 DC2 DC2 DC3 IP 172.168.1.10 172.168.1.20 192.168.1.10 192.168.1.20 Subnet 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Mark Default 172.168.1.20 Gateway 181 - DC3 : sửa file Hosts : 192 168 10 VPNserver.khoaviet.edu.vn Bước 1:: VPN Server xin cài đặt Certificate vào Local Computer - Thực DC2 B1 : Mở IE : add http://172.16.1.10 vào Trusted Site  Chỉnh IE security mức thấp B2 : truy cập Http://172.16.1.10/certsr v chọn Request a certificate B3 : Chọn Advanced Certificate Request B4 : Chọn Create and submit a request to this CA 182 B5 : Name: VPN server.khoaviet.edu.vn , Type of Certificate Needed : Server Authentication Certificate B6 : Cuộn xuống cuối trang chọn Mark keys as exportable  Submit B7 : DC1 : Mở Certificate Authority Administrative Tools  Issue certificate vừa xin B8 :DC2 : truy cập http://172.16.1.10/certsrv  cài đặt Certicate vừa xin 183 B9: DC2: Export Certificate từ Certificate ( Current User )  Personal  Certificate B10: DC2: Mở Certificates ( Local Computer )  Import certificate vừa export từ Certificate ( Current User ) Bước 2: Cấu hình VPN Server Thực DC2 B1: Mở Routing And Remote Access Administrative Tools  Chuột phải DC2 chọn Configure and Enable Routing and Remote Access B2: chọn Custom Configuration  Next 184 ... GIÁO TRÌNH MƠ ĐUN Tên mô đun: Quản trị mạng nâng cao Mã môn học /mô đun: MĐ15 VỊ TRÍ, TÍNH CHẤT CỦA MƠ ĐUN: - Vị trí: Mơ đun bố trí sau sinh viên học xong mơn, mơ đun: Mạng máy tính, Quản trị mạng. .. mạnh bị nghiêm cấm LỜI GIỚI THIỆU Giáo trình ? ?Quản trị mạng nâng cao? ?? biên soạn dựa khung chương trình đào tạo Cao đẳng nghề Công nghệ Thông tin năm 2019 Trường Cao đẳng Kỹ thuật Công nghê Bà Rịa... việc thực tế để viết nên giáo trình Nội dung tác giả trình giáo trình trang bị cho học viên kiến thức kỹ năng: - Xây dựng quản trị hạ tầng Active directory - Cài đặt quản trị hạ tầng khóa CA - Cài