ỦY BAN NHÂN DÂN TỈNH BR – VT TRƯỜNG CAO ĐẲNG NGHỀ GIÁO TRÌNH MƠ ĐUN QUẢN TRỊ NÂNG CAO NGHỀ: QUẢN TRỊ MẠNG TRÌNH ĐỘ CAO ĐẲNG, TRUNG CẤP Ban hành kèm theo Quyết định số: /QĐ-CĐN ngày tháng năm Hiệu trưởng trường Cao đẳng nghề tỉnh BR - VT Bà Rịa – Vũng Tàu TUYÊN BỐ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin phép dùng ngun trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Công nghệ thông tin ngày phát triển nhập vào nhiều lĩnh vực sống Trong Quản trị mạng nâng cao mơn học khơng thể thiếu vô quan trọng đối ngành công nghệ thơng tin Mục đích giáo trình trang bị cho học viên kiến thức kỹ năng: - Xây dựng quản trị hạ tầng Active directory - Cài đặt quản trị hạ tầng khóa CA - Cài đặt cấu hình DHCP relay agent - Có khả tinh chỉnh giám sát mạng Windows Server; - Triển khai dịch vụ Routing and Remote Access (RRAS); - Có khả phát khơi phục Server bị hỏng; - Có khả cài đặt quản lý máy tính từ xa thơng qua RAS; - Xây dựng mạng riêng ảo VPN; - Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall; - Thực thao tác xuất, nhập sách Firewall thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập Mặc dù thân tham khảo tài liệu ý kiến tham gia đồng nghiệp, song giáo trình khơng tránh khỏi thiếu sót Mong bạn đóng góp ý kiến Tơi xin cảm ơn thầy cô khoa CNTT–Trường Cao đẳng nghề cho tơi ý kiến đóng góp q báu để tơi hồn thiện giáo trình BIÊN SOẠN VŨ THỊ THO MỤC LỤC BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES Tại phải dùng Terminal services Các hình thức máy trạm kết nối đến máy chủ: Cài đặt cấu hình Terminal Service 3.1 Cài đặt Terminal Services: 3.2 Thêm chương trình ứng dụng RemoteApp 3.3 Chia sẻ folder chứa file ứng dụng 3.4 Kiểm tra máy client 4.Triển khai ứng dụng RemoteApp thông qua TS Web Access: 4.1 Cài đặt TS Web Access Terminal Server 4.2.Kiểm tra Terminal Client Bảo mật Terminal Services Windows Server 2008 5.1 Sử dụng chứng thực Smart Cards 5.2 Cấu hình bảo mật bổ sung Group Policy BÀI 2: TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER Thiết lập Advanced Firewall Giới thiệu Cấu hình Advanced FireWall Xác định port Cấu hình Inbound Rule Cấu hình Outbound Rule IP SECURITY Tổng quan IP Sec Khái niệm IP Sec Cấu trúc bảo mật IP SEC Hiện trạng IP SEC Cấu hình IP Sec Cấu hình IP Sec cho tất kết nối Cấu hình IP Sec cho kết nối định Connection Security Rules Deploy connection Security Rules GPO BÀI 3: THỰC THI DISTRIBUTED AD DS DEPLOYMENTS Các thành phần Active directory Thực thi Active directory 2.1 Cấu hình Child Domain AD 2.2 Thêm domain controller 2.3 Cấu hình DNS BÀI 4: OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles 1.1 FSMO 1.2 Các vai trị FSMO 2.Cấu hình Operations master roles 2.1 Transfer FSMO Roles 2.2 Size FSMO Roles BÀI 5: DỊCH VỤ ROUTING 1.Giới thiệu Routing Cấu hình Routing : 2.1 Cài đặt role Routing and Remote Access 2.2 Cấu hình Static Route 2.3 Cấu hình Dynamic Route BÀI 6: DỊCH VỤ NAT Giới thiệu NAT /PAT Cấu hình NAT OUTBOUND & INBOUND ON SERVER Cấu hình NAT OUTBOUND Cấu hình NAT INBOUND Bài tập nâng cao BÀI 7: DỊCH VỤ DHCP RELAY Giới thiệu DHCP Relay Agent Tại phải sử dụng DHCP relay agent Ưu diểm DCHP RELAY Cơ chế hoạt động DHCP Relay Agent Cấp phép (authorize) Level option DHCP server Cài đặt cấu hình DHCP Relay Agent Cài đặt cấu hình DHCP server Cài đặt cấu hình DHCP Relay Cấu hình class level option DHCP Server BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK Tổng quan VPN Khái niệm vpn Lợi ích VPN Cơ chế hoạt động VPN Giao thức sử dụng VPN Cấu hình VPN Client to Site Cấu hình VPN Site to Site BÀI :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION AUTHORITY Cơ sở hạ tầng khóa công khai Giới thiệu PKI Chứng số Giới thiệu Lợi ích chứng số Triền khai dịch vụ CA môi trường windows server 2008 Cài Enterprise CA Cấp phát quản lý CA Triền khai số dịch vụ mạng sử dụng CA Dịch vụ IP Sec Dịch vụ Web sử dụng SSL Dịch vụ VPN CHƯƠNG TRÌNH MƠ ĐUN QUẢN TRỊ MẠNG NÂNG CAO (QUẢN TRỊ MẠNG ) Mã số mô đun: MĐ20 Thời gian mô đun: 120 giờ; ( Lý thuyết: 30 giờ; Thực hành: 90 giờ) I.VỊ TRÍ, TÍNH CHẤT CỦA MƠ ĐUN: - Vị trí: Mơ đun bố trí sau sinh viên học xong môn, mô đun: Mạng máy tính, Quản trị mạng 1, Quản trị hệ thống WebServer MailServer - Tính chất: Là mơ đun chun nghành bắt buộc II MỤC TIÊU MƠ ĐUN: - Có khả tinh chỉnh giám sát mạng Windows Server; - Triển khai dịch vụ Routing and Remote Access (RRAS); - Có khả phát khơi phục Server bị hỏng; - Có khả cài đặt quản lý máy tính từ xa thơng qua RAS; - Xây dựng mạng riêng ảo VPN; - Cài đặt cấu hình sách mặc định Firewall, thực xác thao tác lưu cấu hình mặc định Firewall; - Thực thao tác xuất, nhập sách Firewall thành file; - Bố trí làm việc khoa học đảm bảo an toàn cho người phương tiện học tập III NỘI DUNG MÔ ĐUN: Nội dung tổng quát phân phối thời gian : Số TT Dịch vụ Windows terminal services Tính bảo mật nâng cao server 15 Hình thức giảng dạy Tích hợp Tích hợp Thực thi Distributed AD DS Deployments Operations master roles 20 Tích hợp 10 Tích hợp Kiểm tra 1,2,3,4 Thực hành Dịch vụ định tuyến Routing 10 Tích hợp Dịch vụ NAT 10 Tích hợp Dịch vụ DHCp Relay Agent 10 Dịch vụ Virtual Private Network 15 Tên mô đun Triển khai dịch vụ dựa Certification Authority Kiểm tra 5,6,7,8,9 Cộng Thời gian 15 Tích hợp Tích hợp Thực hành 120 BÀI DỊCH VỤ WINDOWS TERMINAL SERVICES Tại phải dùng Terminal services Terminal Service Remote Application tính Windows Server 2008 Các chương trình ứng dụng cài đặt sẵn Windows Server 2008, máy trạm khơng cài đặt chương trình ứng dụng, khai thác chương trình ứng dụng máy chủ thơng qua Terminal Service Terminal Service có đặc điểm sau: -Sự truy cập liền mạch Người dùng truy cập vào ứng dụng hosting từ xa cách liền mach ứng dụng cài đặt cục Các ứng dụng hosting cư trú ứng dụng cài đặt cục - Quản lý ứng dụng tập trung, dễ dàng, đơn giản -Dễ dàng quản lý văn phịng chi nhánh,phù hợp với cơng ty khơng có nhân viên IT chun nghiệp văn phịng chi nhánh -Sử dụng ứng dụng khơng tương thích với hệ thống - Các máy trạm khơng cần phải có cấu hình phần cứng mạnh doanh nghiệp tốn nhiều chi phí quyền phần mềm sử dụng dịch vụ Tuy nhiên, doanh nghiệp phí quyền cho CAL (Client Access License), chi phí thấp, chấp nhận - Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải cài đặt Remote Desktop Connection (RDC) 6.0 trở lên Các hình thức máy trạm kết nối đến máy chủ - Có cách để máy trạm kết nối đến máy chủ khai thác chương trình ứng dụng máy chủ: Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web Access, máy trạm phải cài đặt Remote Desktop Connection (RDC) 6.1 RDC6.1 có sẵn Windows Vista Service Pack Windows XP Professional Service Pack Sử dụng Network Access: Máy chủ tạo sẵn file rdp (mỗi chương trình ứng dụng tương ứng file rdp) share máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file để khai thác chương trình ứng dụng máy chủ Sử dụng Network Access: Máy chủ tạo sẵn file msi (mỗi chương trình ứng dụng tương ứng file msi)và share máy chủ, máy trạm truy cập vào máy chủ, chạy trực tiếp file để cài đặt shortcut liên kết đến chương trình ứng dụng máy chủ Các shortcut cài đặt Start menu máy trạm, cụ thể mục Remote Application Máy trạm chạy shortcut để khai thác chương trình ứng dụng máy chủ Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc cài đặt shortcut liên kết đến chương trình ứng dụng máy chủ cho nhiều máy trạm Cài đặt cấu hình Terminal Service Chuẩn bị: Hệ thống gồm: - Server: Windows Server 2008 + Tạo local user: sv1/123 , sv2/ 123 add vào group remote desktop users + Bật chế độ remote desktop máy server + Change password Adminstrator 123 - Client: Windows XP Thực hiện: 3.1 Cài đặt Terminal Services: Start –> Programs –> Administrative Tools –> Server Manager Chuột phải Roles –> Add Roles Before you begin –> Next Chọn Terminal Services –> Next Hộp thoại Instruction to Terminal Services –> Next Chọn Terminal Server –> Next Application Compatibility để mặc định –>Next Authentication Method Authentication –> Next –> Chọn Do Not Require Network Level Licensing Mode –> Configure later –> Next 10 B19 : Next B 20 : Chọn Next  Finish B21 : Chọn Filter Action vừa tạo  Next B22 : Chọn Use Acertificate From This Certification Authority Chọn Browse Chọn Certificate Khoa Viet  Next Finish 172 B23 : OK B24 : Chuột phải lên Policy vừa tạochọn Asign Kiểm tra : - DC1 mở Network Monitor  Start capture - DC1 Ping DC2  Ping thành công - DC1 mở Network Monitor quan sát thấy gói tin Ping mã hóa - DC1 DC2 xóa Policy IP Sec tạo 1.2 Dịch vụ Web sử dụng SSL • Yêu cầu Install Web Certificate • Biding Certificate cho website Bước 1: Yêu cầu install Web Certificate - Thực máy : Sửa File Host * IP DC1 : 172.168.1.10 * IP DC2 : 172.168.1.20 - Thực DC1: 173 B1 : Mở IE truy cập http://DC1/certsrv Chọn Request A Certificate B2 : Chọn Advanced Certificates Request B3 : Chọn Create and submite arequest to this CA B4 : Chọn Yes 174 B5 : Name : DC1.khoaviet.edu.vn Type of Certificate Needed : Server Authentication Certificate B6 : Cuộn xuống trang  chọn Mark key as exportable  Friendly Name : Web Certificate  Submit  Yes B7 : Mở Certificate Authority Administrative Tools  Chọn Issue Certificate vừa yêu cầu B8 : Mở IE  truy cập http://DC1/certsrv-Install Certificate vừa yêu cầu 175 B9 : Mở Console – Certificate ( Current User ) Personal  Certificate  Export certificate vừa install với password 123456, lưu lên desktop với tên Web Cert Bước 2: Import Certificate vào website Thực DC1: B1 : Mở ISS  Khung bên trái chọn DC1  Khung bên phải Double click vào mục Server Certificate B2 : Chuột phải vào cửa sổ  Chọn Import 176 B3 : Chỉ đường dẫn đến file Web Cert.pfx export Desktop với password 123456  OK B4 : Cửa sổ bên trái  Chuột phải lên Default Website Chọn Edit Bindings B5 : Chọn Add B6 : Chọn thông số hình  OK 177 Kiểm tra : - DC2 mở IE truy cập httpS://dc1.khoaviet.edu.vn  truy cập thành công - DC2 truy cập https:// DC1  báo lỗi certificate  chọn Continue to this website để xem nội dung trang Web - DC2 mở Console  Certificates ( local Computer ) Trusted Root Certification Authorities  Xóa Certificate Khoa Viet 178 - DC2 mở IE truy cập Https://DC1.khoaviet.edu.v n  báo lỗi Certificate  Chọn Continue to this website để xem nội dung trang web 3.2 Dịch vụ VPN – SSTP Bài lab bao gồm nội dung : - B1: VPN Server xin cài đặt Certificate vào Local Computer - B2: Cấu hình VPN Server - B3: Client tạo kết nối VPN Chuẩn bị : - Bài lab sử dụng máy Windows Server 2008 R2 : - Đồng thời gian máy - DC1 : cài đặt Stand alone root CA tên Nhat Nghe , tắt firewall - DC2 : Cài đặt Routing and remote Access , tắt IE ECS - DC2 DC3 : truy cập network access vào DC1 copy thư mục CertEnroll máy, Import certificate DC1 – KhoaViet.crt thư mục CertEnroll vào Trusted root CA Local computer Import file KhoaViet.crl vào Imtermedate Certification Authorities - DC2 : Tạo User u1 , mở properties account user u1 – qua tab Dial-in – Chọn Allow Access - Chỉnh IP máy theo bảng sau : DC1 DC2 DC2 DC3 IP 172.168.1.10 172.168.1.20 192.168.1.10 192.168.1.20 Subnet 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Mark Default 172.168.1.20 Gateway 179 - DC3 : sửa file Hosts : 192 168 10 VPNserver.khoaviet.edu.vn Bước 1:: VPN Server xin cài đặt Certificate vào Local Computer - Thực DC2 B1 : Mở IE : add http://172.16.1.10 vào Trusted Site  Chỉnh IE security mức thấp B2 : truy cập Http://172.16.1.10/certsr v chọn Request a certificate B3 : Chọn Advanced Certificate Request B4 : Chọn Create and submit a request to this CA 180 B5 : Name: VPN server.khoaviet.edu.vn , Type of Certificate Needed : Server Authentication Certificate B6 : Cuộn xuống cuối trang chọn Mark keys as exportable  Submit B7 : DC1 : Mở Certificate Authority Administrative Tools  Issue certificate vừa xin B8 :DC2 : truy cập http://172.16.1.10/certsrv  cài đặt Certicate vừa xin 181 B9: DC2: Export Certificate từ Certificate ( Current User )  Personal  Certificate B10: DC2: Mở Certificates ( Local Computer )  Import certificate vừa export từ Certificate ( Current User ) Bước 2: Cấu hình VPN Server Thực DC2 B1: Mở Routing And Remote Access Administrative Tools  Chuột phải DC2 chọn Configure and Enable Routing and Remote Access B2: chọn Custom Configuration  Next 182 B3: Chọn VPN acess LAN routing  Next B4: Chọn Finish  Start Services B5: chuột phải lên DC2  Chọn Properties B6: Qua tab IPv4  Chọn Static Address pool  chọn Add  điền dãy IP: 10.10.10.1  10.10.10.254  OK Bước 3: Client tạo kết nối VPN Thực DC3 183 B1 : Mở Network and Sharing Center Control Panel  Chọn setup a connection or network B2 : Chọn Connect to a workplace B3 : Chọn Use my Internet connection ( VPN ) B4 : Internet address : VPNserver.khoaviet.edu   Next Khai báo use name password u1 Create  Close 184 B5 : Start Control Panel Nextwork and Sharing center  Change adapter setting  Chuột phải lên VPN Connection  Properties B6 : Qua tab Security - Type of VPN : Secure Socket Tunneling Protocol ( SSTP ) - Qua tab Networking  Bỏ chọn Internet Protocol Version (TCP/IPv6 )OK Kiểm tra : - Double click vào VPN connection  Chọn connect  kết nối VPN thành công 185 -Truy cập network access vào DC1 :\\172.168.1.10  truy cập thành công - Mở command line  Đánh lệnh Netstat-an : Quan sát thấy kết nối VPN chạy port 443 - Double click vào VPN connection  qua tab Details  quan sát thấy kết nối VPN SSTP TÀI LIỆU CẦN THAM KHẢO [1] Phạm Hoàng Dũng-Hoàng Đức Hải, Làm chủ Windows 2008 server [2] Hướng Dẫn Quản Trị Mạng Microsoft Windows Server 2008-2010 [3] Hoàng Hải Phương, www.giaiphapantoan.com 186 ... Enterprise CA Cấp phát quản lý CA Triền khai số dịch vụ mạng sử dụng CA Dịch vụ IP Sec Dịch vụ Web sử dụng SSL Dịch vụ VPN CHƯƠNG TRÌNH MƠ ĐUN QUẢN TRỊ MẠNG NÂNG CAO (QUẢN TRỊ MẠNG ) Mã số mô đun:... lĩnh vực sống Trong Quản trị mạng nâng cao mơn học thiếu vô quan trọng đối ngành cơng nghệ thơng tin Mục đích giáo trình trang bị cho học viên kiến thức kỹ năng: - Xây dựng quản trị hạ tầng Active... mơn, mơ đun: Mạng máy tính, Quản trị mạng 1, Quản trị hệ thống WebServer MailServer - Tính chất: Là mơ đun chuyên nghành bắt buộc II MỤC TIÊU MÔ ĐUN: - Có khả tinh chỉnh giám sát mạng Windows