BaiTapThucHanhQTM UPT v1.1

fit.upt.edu.
vn Bài tập thực hành Quản trị mạng
MỤC LỤC
MỤC LỤC.............................................................................................................................................. 1
BÀI 1. GIỚI THIỆU MÔN HỌC ....................................................................................................... 3
BÀI 2. ÔN TẬP KIẾN THỨC VỀ HẠ TẦNG MẠNG ..................................................................... 6
BÀI 3. TRIỂN KHAI CÀI ĐẶT HỆ ĐIỀU HÀNH WINDOWS SERVER .................................... 13
BÀI 4. QUẢN LÝ NHÓM VÀ TÀI KHOẢN NGƯỜI DÙNG CỤC BỘ (LOCAL USER/GROUP)
TRONG WINDOWS ............................................................................................................................ 39
BÀI 5. QUẢN LÝ CHÍNH SÁCH NHÓM CỤC BỘ (LOCAL GROUP POLICY) TRONG
WINDOWS SERVER .......................................................................................................................... 47
BÀI 6. THIẾT LẬP CHÍNH SÁCH BẢO MẬT CỤC BỘ .............................................................. 52
BÀI 7. PHÂN QUYỀN THƯ MỤC CỤC BỘ ................................................................................. 56
BÀI 8. CHIA SẺ THƯ MỤC VÀ QUẢN LÝ THƯ MỤC CHIA SẺ CỤC BỘ .............................. 64
BÀI 9. TRIỂN KHAI DỊCH VỤ ACTIVE DIRECTORY ............................................................... 71
BÀI 10. CẤU HÌNH CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY............................... 115
BÀI 11. TRIỂN KHAI CHÍNH SÁCH GROUP POLICY TRONG ACTIVE DIRECTORY..... 147
BÀI 12. PHÂN QUYỀN VÀ CHIA SẺ DỮ LIỆU TRONG ACTIVE DIRECTORY ................ 181
BÀI 13. TẠO NHÓM VÀ NGƯỜI DÙNG BẰNG CÔNG CỤ POWERSHELL ....................... 243
BÀI 14. CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ DHCP ................................................................ 255
BÀI 15. CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ DNS ................................................................... 286
BÀI 16. CẤU HÌNH QUẢN LÝ Ổ ĐĨA ...................................................................................... 315
BÀI 17. GIÁM SÁT LƯU LƯỢNG MẠNG................................................................................ 367
BÀI 18. SỬ DỤNG PHẦN MỀM SOLARWINDS TRONG QUẢN TRỊ MẠNG ..................... 375
BÀI 19. SỬ DỤNG PHẦN MỀM NETFLOW ANALYZER TRONG QUẢN TRỊ MẠNG ...... 383
BÀI 20. SỬ DỤNG SNMP VERSION 1 TRONG QUẢN TRỊ MẠNG ...................................... 390
BÀI 21. SỬ DỤNG SNMP VERSION 3 TRONG QUẢN TRỊ MẠNG ...................................... 397
BÀI 22. QUẢN TRỊ CHẤT LƯỢNG DỊCH VỤ MẠNG BẰNG MÔ HÌNH INTSERV ........... 403
BÀI 23. QUẢN TRỊ CHẤT LƯỢNG DỊCH VỤ MẠNG BẰNG MÔ HÌNH DIFFSERV ......... 408
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/1

fit.upt.edu.vn Bài tập thực hành Quản trị mạng
BÀI 24. CẤU HÌNH ACCESS CONTROL LIST TRÊN ROUTER CISCO ............................... 412
BÀI 25. CẤU HÌNH THIẾT BỊ JUNIPER VÀ DÙNG SNMP ĐỂ QUẢN TRỊ ......................... 420
BÀI 26. CẤU HÌNH THIẾT BỊ VYATTA VÀ DÙNG SNMP ĐỂ QUẢN TRỊ ......................... 427
BÀI 27. VLAN VÀ TRUNKING ................................................... Error! Bookmark not defined.
BÀI 28. GIAO THỨC LACP ....................................................................................................... 444

BÀI 1. GIỚI THIỆU MÔN HỌC
- Tên môn học: Quản Trị Mạng (Network Administration)

- Số tín chỉ: 03
- Học phần tiên quyết: Mạng máy tính
- Khoa/bộ môn phụ trách giảng dạy: Khoa Công Nghệ Thông Tin
I. Mục tiêu của học phần:
Sau khi hoàn tất học phần, sinh viên có thể:

- Nắm vững các kiến thức về quản trị hệ thống mạng.
- Biết chia sẻ và cấp quyền truy cập tài nguyên dùng chung cho người dùng trong hệ thống mạng.
- Triển khai, vận hành và quản trị được hệ thống mạng đối với mô hình LAN vừa và nhỏ.
II. Lịch trình giảng dạy:
Buổi Nội dung Ngày

Phần 1: Quản trị mạng với Window Server 2019
1 Bài 1: Giới thiệu môn học 15/5/2023
Bài 2: Hạ tầng mạng
Bài 3: Triển khai cài đặt hệ điều hành Windows Server
2 Bài 4: Quản lý nhóm và tài khoản người dùng cục bộ 16/5/2023
Bài 5: Quản lý chính sách nhóm cục bộ trong Windows Server
Bài 6: Thiết lập chính sách bảo mật cục bộ
3 Bài 7: Phân quyền thư mục cục bộ 22/5/2023
Bài 8: Chia sẻ thư mục và quản lý thư mục chia sẻ cục bộ
4 Bài 9: Triển khai dịch vụ Active Directory 23/5/2023
Bài 10: Cấu hình các đối tượng trên Active Directory
5 Bài 11: Triển khai chính sách Group Policy 29/5/2023
6 Bài 12: Phân quyền chia sẻ dữ liệu 30/5/2023
7 Bài 13: Sử dụng PowerShell tạo tài khoản người dùng 13/6/2023
Bài 14: Cài đặt và cấu hình dịch vụ DHCP
Bài 15: Cài đặt và cấu hình dịch vụ DNS
8 Bài 16: Cấu hình quản lý ổ đĩa 13/6/2023
Bài 17: Giám sát lưu lượng mạng
9 Bài 18: Sử dụng phần mềm Solarwinds trong quản trị mạng 20/6/2023
Bài 19: Sử dụng phần mềm Netflow Analyzer trong quản trị mạng
Bài 20: Sử dụng SNMP Version 1 trong quản trị mạng
Bài 21: Sử dụng SNMP Version 3 trong quản trị mạng
10 Kiểm tra giữa kỳ 20/6/2023
11 Bài 22: Quản trị chất lượng dịch vụ mạng bằng mô hình INTSERV 27/6/2023
Bài 23: Quản trị chất lượng dịch vụ mạng bằng mô hình DIFSERV
12 Bài 24:Cấu hình Access Control List trên Router Ciso 27/6/2023
13 Bài 25: Cấu hình thiết bị Juniper và dùng SNMP để quản trị 4/7/2023
Bài 26: Cấu hình thiết bị VYATTA và dùng SNMP để quản trị
14 Bài 27: Cấu hình thiết bị Mikrotik sử dụng Vlan và Trunking 4/7/2023
Bài 28: Cấu hình thiết bị Mikrotik sử dụng giao thức LACP
15 Báo cáo đồ án cuối kì 11/7/2023
III. Tài liệu học tập:
1. Giáo trình chính

[1] MCSA Windows Server 2012 R2 Installation and Configuration Study Guide (Exam 70-410),
William Panek, 2014
2. Tài liệu tham khảo
[2] Tập “Bài tập thực hành Quản trị mạng”, Khoa Công nghệ thông tin, 2016
IV. Phương pháp đánh giá học phần:
Sinh viên phải thực hiện các nhiệm vụ như sau:

-
Tham dự tối thiểu 70% giờ thực hành và giải tất cả bài tập.
-
Tham dự kiểm tra thực hành.
-
Tham dự thuyết trình bài tập lớn (3 SV/nhóm).
-
Chủ động tổ chức thực hiện giờ tự học.
-
Sinh viên xem trước các bài tập trong tài liệu [2] ở nhà theo bảng lịch trình giảng dạy phía trên,
-
tham khảo thêm tài liệu [1] các nội dung tương ứng để có thể làm bài tốt hơn.
TT Thành phần Điểm thành phần Quy định Trọng số Trọng
điểm số
thành
1 Thực hành Điểm chuyên cần Tham dự ít nhất 70% số tiết 10% phần
40%
học và số bài tập được giao.
Điểm thi thực Thực hành trên máy 30%

hành
2 Bài tập lớn Điểm thi kết thúc Thuyết trình nhóm 60% 60%
học phần
V. Danh sách đề tài cuối kì:
STT TÊN ĐỀ TÀI GHI

CHÚ
1 Tìm hiểu và xây dựng hệ thống mail server (Postfix, Qmail) doanh nghiệp trên Linux
2 Tìm hiểu và xây dựng hệ thống quản lý hosting trên nền Linux (VestaCP, Cpanel,
Plesk…)
3 Nghiên cứu và triển khai công nghệ ảo hóa Vmware vSphere
4 Nghiên cứu và triển khai công nghệ ảo hóa Hyper-V

5 Tìm hiểu và xây dựng máy chủ Proxy Server open source trên Linux (Squid, Privoxy,
HAProxy…)
6 Nghiên cứu và triển khai hệ thống chia sẻ dữ liệu giữa hai chi nhánh bằng dịch vụ VPN
Site – Site.
7 Nghiên cứu và triển khai các dịch vụ mạng (Active Directory, DHCP Server, DNS
Server, File Server…) trên Windows Server 2019
8 Nghiên cứu và triển khai xác thực CA cho Website, e-mail
9 Nghiên cứu và triển khai hệ thống Microsoft Office Communicator Server.
10 Nghiên cứu các kiểu định tuyến của router Cisco , mô phỏng trên nền GNS3
11 Nghiên cứu cơ chế bảo mật dữ liệu (VPN) của Cisco , mô phỏng trên nền GNS3
12 Nghiên cứu các kiểu định tuyến của router Mikrotik , mô phỏng trên nền GNS3
13 Xây dựng hệ thống mail server doanh nghiệp (Mdaemon, Zimbra…)

14 Nghiên cứu giao thức SNMP và triển khai chương trình giám sát mạng Zabbix, cấu
hình, cài đặt.
15 Trình bày chính sách hệ thống và chính sách phân quyền trên windows server 2019.
Giới thiệu, cài đặt, cấu hình RAID trong windows server 2019. Nghiên cứu thiết lập
hạn ngạch đĩa, phân quyền sử dụng đĩa cho từng người trong nhóm.
16 Cài đặt chương trình Snort để giám sát quá trình đăng nhập và dò tìm đăng nhập trái
phép vào hệ thống.
17 Tìm hiểu và cấu hình Windows Network Load Balancing NLB để cân bằng tải cho các
dịch vụ cung cấp trên Window Server 2019
18 Linux Server: Ubuntu tìm hiểu, cài đặt và cấu hình:
- Tổng quan về Linux
- Quản trị tài khoản và chính sách
Quản trị các dịch vụ mạng (DHCP, DNS, Web và eMail)
19 Linux Server: CentOS tìm hiểu, cài đặt và cấu hình:
20 LinuxServer: Solaris tìm hiểu, cài đặt và cấu hình:
21 LinuxServer: Fedora tìm hiểu, cài đặt và cấu hình:
22 Nghiên cứu và triển khai các dịch vụ NAS mã nguồn mở: Xpenology, FreeNAS,
OpenMediaVault.
Lưu ý:
- Tối đa 03 sinh viên / nhóm.
- Nếu hai nhóm sinh viên cũng tìm hiểu một đề tài, thì ứng dụng demo phải hoàn toàn khác nhau.

BÀI 2. ÔN TẬP KIẾN THỨC VỀ HẠ TẦNG MẠNG
I. CÁP XOẮN UTP
Cáp xoắn UTP lại được chia ra làm nhiều tiêu chí (CAT - Category)
khác nhau, nhưng phổ biến nhất trong mạng LAN là 2 loại CAT-5
và CAT-6 (100Mbps và 1000Mbps). CAT-5 gồm có 4 cặp dây = 8
dây với các màu xanh dương, trắng - xanh dương, da cam, trắng -
da cam, xanh lá cây, trắng - xanh lá cây, nâu, trắng - nâu.
Cứ 2 dây có màu giống nhau được xoắn thành 1 cặp và 4 cặp này
lại được xoắn với nhau và xoắn với 1 sợi dây nylon chịu lực kéo, bên ngoài được bọc bằng vỏ nhựa.
1. Dây mạng RJ45.
Số Màu sắc Tác dụng
1 Trắng cam Truyền +
2 Cam Truyền -
3 Trắng xanh lá Nhận +
4 Xanh đậm
5 Trắng xanh đậm
6 Xanh lá Nhận -
7 Trắng nâu
8 Nâu
2. Cách bấm dây cáp thẳng (nối máy tính – Hub, Switch, Router)
Đầu A Màu sắc Tác dụng Đầu B Màu sắc Tác dụng
1 Trắng cam Truyền + 1 Trắng cam Truyền +
2 Cam Truyền - 2 Cam Truyền -
3 Trắng xanh lá Nhận + 3 Trắng xanh lá Nhận +
4 Xanh đậm 4 Xanh đậm
5 Trắng xanh đậm 5 Trắng xanh đậm
6 Xanh lá Nhận - 6 Xanh lá Nhận -
7 Trắng nâu 7 Trắng nâu
8 Nâu 8 Nâu

3. Cách bấm dây cáp chéo (nối máy tính - máy tính, Hub - Hub, Switch – Switch)
Đầu A Màu sắc Tác dụng Đầu B Màu sắc Tác dụng
1 Trắng cam Truyền + 3 Trắng cam Nhận +
2 Cam Truyền - 6 Cam Nhận -
3 Trắng xanh lá Nhận + 1 Trắng xanh lá Truyền +
4 Xanh đậm 4 Xanh đậm
5 Trắng xanh đậm 5 Trắng xanh đậm
6 Xanh lá Nhận - 2 Xanh lá Truyền -
7 Trắng nâu 7 Trắng nâu
8 Nâu 8 Nâu
II. MÔ HÌNH OSI
Mô hình OSI mô tả phương thức truyền tin từ các chương trình ứng dụng của một hệ thống máy tính
đến các chương trình ứng dụng của một hệ thống khác thông qua các phương tiện truyền thông vật lý.
Thông tin từ một ứng dụng trên hệ thống máy tính A sẽ đi xuống các lớp thấp hơn, cuối cùng qua các
thiết bị vật lý đến hệ thống máy tính B. Sau đó ở hệ thống B, thông tin sẽ đi từ lớp thấp nhất đến cao
nhất - chính là ứng dụng của hệ thống máy tính B.
Như vậy mỗi lớp trong hai hệ thống máy tính A, B đều truyền thông với nhau qua một giao thức
(Protocol) nào đó.
Mô hình OSI gồm có 7 lớp:
• Lớp ứng dụng
• Lớp biểu diễn dữ liệu
• Lớp kiểm soát nối
• Lớp vận chuyển
• Lớp mạng
• Lớp liên kết dữ liệu
• Lớp vật lý.

Sau đây là mô tả các lớp trong mô hình OSI.
Lớp ứng dụng (Application layer) Lớp ứng dụng trong mô hình OSI là tầng trên cùng trong bộ giao
thức, có chức năng cung cấp các dịch vụ cao cấp (trên cơ sở các giao thức cao cấp) cho người sử dụng
và các chương trình ứng dụng. Lớp này như là giao diện của người sử dụng và các ứng dụng để truy
cập các dịch vụ mạng. Lớp ứng dụng cung cấp các chức năng sau: - Chia sẻ tài nguyên và các thiết bị.
– Truy cập file từ xa. - Truy cập máy in từ xa. - Hỗ trợ RPC. - Quản lý mạng. - Dịch vụ thư mục.
Lớp biểu diễn dữ liệu (Presentation layer) Lớp trình diễn hoạt động như tầng dữ liệu trên mạng. lớp
này trên máy tính truyền dữ liệu làm nhiệm vụ dịch dữ liệu được gửi từ tầng Application sang dạng
Fomat chung. Và tại máy tính nhận, lớp này lại chuyển twf Fomat chung sang định dạng của tầng
Application. Lớp thể hiện thực hiện các chức năng sau: - Dịch các mã kí tự từ ASCII sang EBCDIC. -
Chuyển đổi dữ liệu, ví dụ từ số interger sang số dấu phảy động. - Nén dữ liệu để giảm lượng dữ liệu
truyền trên mạng. - Mã hoá và giải mã dữ liệu để đảm bảo sự bảo mật trên mạng.
Lớp phiên (Session layer) Lớp phiên thành lập một kết nối giữa các tiến trình đang chạy trên các máy
tính khác nhau. Các chức năng của tầng phiên bao gồm: - Cho phép tiến trình ứng dụng đăng kí một địa
chỉ duy nhất như là NetBIOS name. Lớp này lưu các địa chỉ đó để chuyển sang địa chỉ của NIC từ địa
chỉ của tiến trình. - Thành lập, theo dõi, kết thúc Virtual circuit session giữa hai tiến trình dựa trên địa
chỉ duy nhất của nó. - Định danh thông báo, thêm các thông tin xác định bắt đầu và kết thúc thông báo.
- Đồng bộ dữ liệu và kiểm tra lỗi.

Lớp vận chuyển (Transport layer): Ranh giới giữa lớp biểu diễn dữ liệu và lớp vận chuyển cũng có
thể được xem là ranh giới giữa các giao thức thuộc lớp ứng dụng và các giao thức phía dưới. Trong khi
các lớp ứng dụng, lớp biểu diễn dữ liệu và lớp phiên đều có liên quan đến ứng dụng thì 4 lớp ở phía
dưới gắn với việc truyền dữ liệu. Chức năng của lớp vận chuyển là cung cấp các dịch vụ cho việc thực
hiện vận chuyển dữ liệu giữa các chương trình ứng dụng một cách tin cậy, bao gồm cả khắc phục lỗi và
điều khiển lưu thông. Mục đích chính là đảm bảo dữ liệu được truyền đi không bị mất và bị trùng. Các
nhiệm vụ cụ thể của lớp vận chuyển là : - Nhận các thông tin từ tầng trên và chia nhỏ thành các đoạn
dữ liệu nếu cần. - Cung cấp sự vận chuyển tin cậy (End to End) với các thông báo (Acknowledment). -
Chỉ dẫn cho máy tính không truyền dữ liệu khi buffer là không có sẵn.
Lớp mạng (Network layer) Lớp mạng là một lớp phức tạp, cung cấp các dịch vụ về chọn đường đi và
kết nối giữa hai hệ thống, điều khiển và phân phối dòng dữ liệu truyền trên mạng để tránh tắc nghẽn.
Lớp mạng có trách nhiệm địa chỉ hoá, dịch từ địa chỉ logic sang địa chỉ vật lý, định tuyến dữ liệu từ nơi
gửi tới nơi nhận. Nó xác định đường truyền nào tốt trên cơ sở các điều kiện của mạng, quyền ưu tiên
dịch vụ. Nó cũng quản lý các vấn đề giao thông trên mạng như chuyển mạch, định tuyến và điều khiển
sự tắc nghẽn của dữ liệu. Lớp mạng liên quan đến việc truyền thông giữa các thiết bị trên các mạng tách
biệt về logic, được liên kết để trở thành liên mạng. Do các liên mạng có thể rất lớn và có thể được kiến
tạo từ các kiểu mạng khác nhau, nên lớp mạng vận dụng các thuật toán định tuyến để hướng các gói tin
từ các mạng nguồn đến các mạng đích. Thành phần chính của lớp mạng là mỗi mạng trong liên mạng
được gán một địa chỉ, có thể dùng nó để định tuyến một gói tin. Nó đảm nhiệm các nhiệm vụ sau:- Định
địa chỉ - Xây dựng các thuật toán định tuyến - Cung cấp các dịch vụ kiên kết
Lớp liên kết dữ liệu (Data link layer) Lớp này có nhiệm vụ truyền các khung dữ liệu từ máy tính này
sang máy tính khác qua tầng vật lý, đảm bảo tin cậy, gửi các khối dữ liệu với các cơ chế đồng bộ hoá,
kiểm soát lỗi và kiểm soát luồng dữ liệu. Cụ thể lớp dât link thực hiện các chức năng sau: - Thành lập
và kết thúc liên kết logic giữa hai máy tính. - Đóng gói dữ liệu thô từ tầng vật lý thành các Frame. -
Điều khiển các frame dữ liệu: phân tích các tham số của frame dữ liệu, phát hiện lỗi và gửi lại dữ liệu
nếu có lỗi. - Quản lý quyền truy nhập cáp, xác định khi nào thì máy tính có quyền truy nhập cáp.
Lớp vật lý (Physical layer) Lớp vật lý là lớp thấp nhất trong mô hình OSI, đảm nhiệm toàn bộ công
việc truyền dẫn dữ liệu bằng phương tiện vật lý. Nó xác định các giao diện về mặt điện học và cơ học
giữa một trạm thiết bị và môi trường truyền thông cụ thể như sau: - Các chi tiết về cấu trúc mạng (bus,
cây, hình sao,…) - Chuẩn truyền dẫn (RS-485, IEC 1158-2, truyền cáp quang,…) - Phương pháp mã
hóa bit (NRZ, Manchester, FSK,…) - Chế độ truyền tải - Tốc độ truyền dữ liệu - Giao diện cơ học (
phích cắm, giắc cắm,…).

III. ĐỊA CHỈ IP
Trong phần này chúng ta sẽ tìm hiểu về TCP/IPv4. IPv4 có 32bit chia thành 4 Octet ( mỗi Octet có 8bit,
tương đương 1 byte ) cách đếm đều từ trái qua phải bít 1 cho đến bít 32, các Octet tách biệt nhau bằng
dấu chấm (.), bao gồm có 3 thành phần chính.
- Class Bit: Bit nhận dạng lớp dùng để phân biệt địa chỉ IP thuộc lớp nào.
- Network ID: Địa chỉ của mạng
- Host ID: Địa chỉ của máy
Như vậy với một IP được viết dưới dạng nhị phân là 11111111.11111111.11111111.11111111 sẽ được
chuyển sang hệ thập phân là 255.255.255.255
Công thức chuyển từ nhị phân về thập phân như sau:
- Lấy các ký tự từ trái qua phải của một số nhị phân nhân cho lũy thừa từ 7 -> 0
- Cuối cùng cộng các kết quả lại sẽ ra số thập phân
Ví dụ thứ hai cho số nhị phân 1000 0000

Địa chỉ IP chia ra 5 lớp A,B,C, D, E. Hiện tại đã dùng hết lớp A,B và gần hết lớp C, còn lớp D và E tổ
chức Internet thế giới đang để dành cho mục đích khác không phân, nên chúng ta chỉ nghiên cứu 3 lớp
đầu.
Địa chỉ lớp Vùng địa chỉ lý thuyết Số mạng tối đa Số máy tối đa
A Từ 0.0.0.0 đến 126.0.0.0 126 16777214
B Từ 127.0.0.0 đến 191.255.0.0 16382 65534
C Từ 192.0.0.0 đến 223.255.255.0 2097150 254
D Từ 224.0.0.0 đến 240.0.0.0 Không phân
E Từ 241.0.0.0 đến 255.0.0.0 Không phân
Giả sử tôi có một IP là 172.16.1.3 thì trong mạng của tôi có thể có tối đa là 65534 máy.
Nguyên cả mạng này được gọi là Subnet và được biểu diễn bằng dãy số 172.16.0.0/16 trong đó:
- /16 cho biết mạng này có 16 bit đầu tiên làm Network ID các bit còn lại làm Host ID

Công thức tính số mạng & máy như sau:

Lớp địa Số lượng subnet tối đa Công thức Số lượng địa chỉ IP Công thức Giải thích
chỉ tối đa
A 126 (126-0)x20 16777214 224-2 1bit làm Net
24bit làm Host
B 16382 (191-127)x28 65534 216-2 8bit làm Net sẽ giao động từ
0 -> 255. Nên có 256 trường
hợp
16bit làm Host
C 2097150 (223-191)x216 254 28-2 16bit làm Net sẽ giao động

từ 0 -> 255. Nên có 256x2
trường hợp
8bit làm Host
D Không phân
E Không phân
Trong đó các IP:

- 127.0.0.1 là IP đặc biệt dùng làm IP Lookback
- Các IP có dạng X.Y.Z.0 & X.Y.Z.255 dùng làm Host ID & Broadcast cho mạng của mình
- Như vậy nếu mạng tôi không quá lớn thì tôi vẫn có thể sử dụng Subnet 192.168.1.0/24 để gán
IP cho các máy trong mạng. Vì với Subnet này tôi có thể gán tối đa là 254 máy.
-HẾT-

BÀI 3. TRIỂN KHAI CÀI ĐẶT HỆ ĐIỀU HÀNH WINDOWS SERVER
Windows Server 2019 là phiên bản hệ điều hành máy chủ do Microsoft phát hành vào tháng 10
năm 2018. Phiên bản này được xây dựng dựa trên nền tảng Windows Server 2016. Windows Server
2019 sở hữu nhiều tính năng mới khi nhắc đến môi trường đám mây lai, bảo mật, lưu trữ và quản trị.
Windows Server 2019 gồm 3 phiên bản: Essentials, Datacenter và Standard. Mỗi phiên bản được
thiết kế để phục vụ cho các tổ chức, doanh nghiệp có quy mô khác nhau.
I. Mục tiêu:
- Biết cách cài đặt hệ điều hành Windows Server 2019 Datacenter (GUI)
- Biết cách cài đặt hệ điều hành Windows Server 2019 Datacenter (Server Core)
- Hiểu cách cấu hình NIC Teaming trên Windows Server 2019
- Link tải:
o Windows Server 2019: https://shorturl.at/iGKU8
o Windows 10: https://shorturl.at/avWZ0
o Vmware workstation 17: https://shorturl.at/otCV8
II. Thực hành:
1. Bài thực hành 1: Cài đặt hệ điều hành Windows Server GUI
1.1. Yêu cầu
- Tên máy: BKAP- SRV12-01
- IP Address : 192.168.1.4
- Subnet Mask : 255.255.255.0
- Default gateway : 192.168.1.1
- Preferred DNS Server : 192.168.1.2
1.2. Chuẩn bị:
- Các bạn dùng VMware Workstation tạo các máy ảo.
o Processor architecture: x86-64
o Processor speed: 1.4 GHz
o Memory (RAM): 2 GB
o Hard disk space: 60 GB
o DVD ROM
- Chuẩn bị thêm máy ảo Client là Windows 10 với tên và địa chỉ theo mô hình Lab 1.1.

1.3. Mô hình lab:
Hình 1.1
1.4. Bảng địa chỉ IP:
Thông số BKAP-SRV12-01 BKAP-WRK08-01 BKAP-WRK08-02
IP Address 192.168.1.4 192.168.1.10 192.168.1.11
Subnet mask 255.255.255.0 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2

1.5. Hướng dẫn chi tiết:

• Mở VMware Workstation.
• Chọn File → New Virtual Machine… hoặc ấn Ctrl + N để tạo 1 máy ảo mới.
o Tại cửa sổ New Virtual Machine Wizard, chọn vào Custom (advanced).
o Tại cửa sổ Choose the Virtual Machine Hardware Compatibility, chọn Workstation
12.0 ( phiên bản của VMware).
Next.
• Tại cửa sổ Guest Operating System Installation chọn vào Installer disc image file (iso) để
dùng file iso để cài đặt.
• Browse… đến thư mục chứa file iso.

o Tại cửa sổ Name the Virtual Machine, sửa tên máy ảo tại Virtual machine name, và chọn
đường dẫn tới thư mục bạn cần lưu máy ảo đang tạo tại Location/ Browse…
Next.
o Tại cửa sổ Firmware Type, chọn vào BIOS

o Tại cửa sổ Processor Configuration, chọn như hình bên dưới.
o Tại cửa sổ Memory for the Virtual Machine, chọn dung lượng bộ nhớ RAM.

o Tại cửa sổ Network Type, bạn chọn các tùy chọn card mạng cho máy ảo.
o Tại cửa sổ Select I/O Controller Types, chọn vào LSI Logic SAS (Recommened)

o Tại Select a Disk Type ,chọn vào SCSI (Recommend).
o Tại cửa sổ Select a Disk, chọn vào Create a new virtual disk để tạo ổ đĩa ảo.

o Tại Specify Disk Capacity, điền vào dung lượng ổ đĩa cứng.
o Tại cửa sổ Specify Disk File, chọn Browse… để chọn thư mục lưu file để mở máy ảo vừa
tạo.

o Tại cửa sổ Ready to Create Virtual Machine, ấn Finish để kết thúc quá trình tạo máy ảo.
➔ Quá trình Load file diễn ra

o Tại cửa sổ Windows Setup, chọn các tùy chọn như hình bên dưới, ấn Next.

➔ Ấn vào Install Now.

o Tại cửa sổ Activate Windows, chọn I don’t have a product key.
o Tại cửa sổ Select the operating system you want to install, chọn phiên bản Windows
Server 2012 Datacenter Evaluation (Server with a GUI)

o Tại cửa sổ License terms, bạn đọc qua các điều khoản chấp thuận của Microsoft, sau đó
click chuột tại I accept the license terms, và ấn Next.

o Tại cửa sổ Which type of installation do you want, chọn vào Custom: Install Windows
only (advanced) để cài đặt HĐH Windows Server 2012 mới.
o Tại cửa sổ Where do you want to install Windows, chọn ổ đĩa cài đặt HĐH, ấn Next.

• Quá trình cài đặt diễn ra.
• Sau khi kết thúc cài đặt, màn hình Settings hiện ra, bạn điền Password cho User
Administratorcủa máy ( có thể đặt password là 123456a@ cho dễ nhớ). Sau đó click vào Finish
để kết thúc .

✓ Tại đây, bấm tổ hợp phím “Alt+Ctrl+Insert” để Login.
✓ Điền mật khẩu vừa tạo để đăng nhập.

➔ Sau khi đăng nhập thành công, mặc định màn hình Server Manager hiện ra.
✓ Đặt địa chỉ IP Address cho máy Window Server 2012 vừa tạo.

2. Bài thực hành 2: Cài đặt Hệ điều hành Windows Server CORE
2.1. Yêu cầu:
- Tên máy: BKAP-CORE12-01
- Password Administrator: 123456a@
- IP Address: 192.168.1.9
- Subnet mask: 192.168.1.1
- Default gateway: 192.168.1.1
- Preferred DNS Server: 192.168.1.9
2.2. Chuẩn bị:
Chuẩn bị một máy có cấu hình cơ bản như sau:
- Processor architecture: x86-64
- Processor speed: 1.4 GHz
- Memory (RAM): 512 MB
- Hard disk drive space: 32 GB
- DVD ROM
Chuẩn bị thêm máy Client là Windows 8 với địa chỉ theo mô hình Lab 1.2
2.3. Mô hình lab:

Hình 1.2
2.4. Bảng địa chỉ IP:
Thông số BKAP-CORE12-01 BKAP-WRK08-01
IP address 192.168.1.9 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.9 192.168.1.9

+ Các bước tạo máy ảo tương tự như bài Lab 1.1
+ Một số câu lệnh cơ bản trên ServerCore:
✓ Kiểm tra Server có bao nhiêu card mạng:
- Netsh interface ipv4 show interfaces
✓ Đặt địa chỉ IP tĩnh cho card Ethernet0 của Server:
- Netsh interface ipv4 set address name=Ethernet0 source=static address=192.168.1.9
mask=255.255.255.0 gateway=192.168.1.1
✓ Đặt địa chỉ IP DNS Server:
- Netsh interface ipv4 add dnsserver name=Ethernet0 address=192.168.1.9 index=1
✓ Kiểm tra tên máy Server:
- Hostname
✓ Thay đổi múi giờ:
- Control timedate.cpl
✓ Thay đổi tên Server thành BKAP-CORE12-01:
- Netdom renamecomputer %computername% /newname:BKAP-CORE12-01
/userd:Administrator /password /reboot:0
3. Bài thực hành 3: Cấu hình NIC Teaming trên Windows Server
3.1. Yêu cầu:
+ Thực hiện cấu hình NIC Teaming trên máy Server có tên là BKAP-SRV12-01, sau đó đặt địa chỉ IP
cho card NIC Teaming vừa tạo ra với thông số sau:
- IP Address: 192.168.1.100
- Subnet Mask: 255.255.255.0
- Default Gateway: 192.168.1.1
- DNS Server: 192.168.1.2
+ Kiểm tra: đứng trên máy trạm (BKAP-WRK08-01) thực hiện ping tới địa chỉ IP của card NIC
Teaming: 192.168.1.100
3.2. Chuẩn bị:

+ Chuẩn bị 1 Server chạy HĐH Windows Server 2012 có tên là BKAP-SRV12-01 và có 2 card mạng:
✓ Card 1 (VM2): 192.168.1.3/24
✓ Card 2 (VM2): 192.168.1.4/24
+ Chuẩn bị thêm máy trạm có tên là BKAP-WRK08-01 và đặt địa chỉ theo mô hình Lab 1.3
3.3. Mô hình lab:
Hình 1.3
3.4. Bảng địa chỉ IP
Thông số BKAP-SRV12-01 BKAP-WRK08-01
IP Address NIC I : 192.168.1.3 192.168.1.10
NIC II: 192.168.1.4
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1


✓ Thực hiện trên máy SRV12-01:
o Click Chuột phải tại tên máy BKAP-SRV12-01, chọn Settings.
o Tại Virtual Machine Settings, chọn vào Network Adapter, tại Network connection,
chọn vào Custom: Speccific virtual network, chọn xuống VMnet2.

✓ Add thêm card mạng cho máy BKAP-SRV12-01:

o Tại Virtual Machine Settings, chọn vào Add… , tại Add Hardware Wizard, chọn
vào Network Adapter, Next.
o Tại Network Adapter Type, tại Network connection, chọn vào Custom: Specific
virtual network, chọn xuống Vmnet3 để add thêm card mạng cho máy BKAP-SRV12-
01.

✓ Sau khi add xong 2 card mạng, đổi tên lần lượt 2 card thành NIC I và NIC II.
o Mở Network and Sharing Center, Click vào Change adapter settings, lần lượt đổi
tên 2 card mạng Ethernet0 và Ethernet1 thành NIC I và NIC II.
✓ Đặt địa chỉ IP 2 card NIC I và NIC II lần lượt theo mô hình Lab 1.3.
o Tại Cửa sổ Network Connections, chuột phải tại mỗi card, chọn Properties, tại cửa
sổ NIC I Properties và NIC II Properties, chọn vào Internet Protocol Version 4 (
TCP/IPv4).
o Tại cửa sổ Internet Protocol Version 4 (TCP/IPv4) Properties, chọn vào Use the
following IP address để đặt IP tĩnh cho 2 card mạng NIC I và NIC II.
IP Address của NIC I

IP Address của NIC II

✓ Thực hiện tắt Firewall, kiểm tra ping từ máy Server sang máy Client bằng 2 card NIC I và NIC
II.
o Tại cửa sổ Windows Firewall, chọn vào Turn Windows Firewall on or off, chọn
Turn off Windows Firewall ( not recommended ) tại Private network settings và
Public network settings.

✓ Kiểm tra ping từ máy Client BKAP-WRK08-01đến 2 card NIC I và NIC II của máy BKAP-
SRV12-01.
✓ Chuyển sang máy Server BKAP-SRV12-01, cấu hình enable NIC Teaming.
o Vào Server Manager / Local Server.
o Tại Properties , kiểm tra tại NIC Teaming : Disable.

o Click chuột vào Disable, tại cửa sổ NIC Teaming, trong Tab ADAPTER AND
INTERFACES, chọn cả 2 card NIC I và NIC II, click vào Tasks / Add to New Team.
o Tại cửa sổ NIC Teaming, tại Team name, điền tên “NIC Teaming”, chọn cả 2 card NIC I và
NIC II, OK.

• Đặt địa chỉ IP cho card NIC Teaming.

o Vào Network and Sharing Center / Change adapter settings.
o Tại cửa sổ Network Connections, chuột phải tại card NIC Teaming, chọn Properties.
o Đăt địa chỉ IP address cho card NIC Teaming.
- Chuyển sang máy Client BKAP-WRK08-01, kiểm tra ping từ máy Client sang card NIC
Teaming của máy BKAP-SRV12-01.
-HẾT-

BÀI 4. QUẢN LÝ NHÓM VÀ TÀI KHOẢN NGƯỜI DÙNG CỤC BỘ (LOCAL

USER/GROUP) TRONG WINDOWS
Thông thường một máy tính không phải lúc nào cũng chỉ có một người nào đó sử dụng duy nhất
mà trên thực tế ngay cả máy trong gia đình chúng ta đôi khi vẫn có ít nhất từ 2-3 người sử dụng. Tuy
nhiên nếu tất cả mọi người đều sử dụng chung một tài khoản thì những dữ liệu riêng tư của người này
người kia hoàn toàn có thể xem được.
Nhưng nếu máy tính là máy chung của công ty và vấn đề đặt ra là ta không muốn tài liệu của người
dùng này người dùng kia có thể xem tùy tiện được. Vậy cách tốt nhất là cấp cho mỗi nhân viên một máy
nhất định và yêu cầu họ đặt password lên máy của mình, nhưng như thế thì rất tốn kém và không được
ưa chuộng.
Chính vì thế người quản trị mạng sẽ sử dụng công cụ Local Users and Groups để tạo các tài khoản
người dùng trên cùng một máy, khi đó dữ liệu của người này người kia không thể truy cập được.
I. MỤC TIÊU
II. THỰC HÀNH
1. Tóm tắt:
- Phần 1: Quản lý tài khoản người dùng cục bộ trên Windows Server
• Tắt User Account Control (UAC)
• Tắt Local User
• Tạo Local Group và thêm Local User vào Group
- Phần 2: Quản lý tài khoản người dùng cục bộ trên Windows 10
• Tạo Local User và Group
• Enabled Account Administrator
• Tham khảo các Option của User Account
• Cho máy tính tự động log on với account định sẵn
2. Chuẩn bị
Mô hình bài lab bao gồm 2 máy ảo
- BKAP-SRV12-01: Windows Server 2012 R2 (Password đăng nhập: 123456a@)
- BKAP-WRK08-01: Windows 10
- 02 máy tắt firewall. Kiểm tra bằng lệnh Ping giữa 2 máy.

3. Thực hiện
3.1. Bài thực hành 1: Tạo Local User và Local Group
Yêu cầu: Trên máy BKAP-SRV12-01, tạo local user u1 và group G1 sau đó thêm u1 vào G1.
3.1.1. Tắt User Account Control (UAC)
B1 – Nhấn tổ hợp phím  + X → chọn Control Panel hoặc B3 – Nhấn vào mục Change User Account
nhấn phím P. Control settings
B2 - Ở mục View By → chọn Small icons → chọn User B4 – Cuộn thanh cuộn xuống cùng Never Notify
và nhấn OK. Sau đó khởi động lại máy để thay
đổi có hiệu lực.
Accounts
3.1.2. Tạo Local User

B1 – Mở chương trình Local User and Groups bằng cách nhấn tổ hợp phím  + R → gõ lệnh
lusrmgr.msc
B2 – Chuột phải vào mục Users → chọn New B3 – Điền vào các thông tin sau:
Users. + Username: U1
+ Password và Confirm password: 123456a@
+ Bỏ check User must change password at next logon.
Sau đó nhấn vào nút Create

B4 – Tương tự tạo thêm user U2 với các thông số B5 – Logon user U1. Truy cập vào thư mục C:\Users\U1,
sau: quan sát thấy profile của U1.
+ Username: U2
+ Password và Confirm password: 123456a@
+ Bỏ check User must change password at next
logon.
B6 – Tiếp theo thử truy cập thư mục

C:\Users\Administrator, sẽ thấy báo lỗi không có
quyền truy cập vào profile của user khác → Cancel
3.1.3. Tạo Local Group và thêm Local User vào Group

B1- Nhấn tổ hợp phím  + R, gõ lệnh lusrmgr.msc
B2 – Chuột phải vào mục Group → chọn New Group. B3 – Điền vào các thông tin sau:
+ Group name: G1
Sau đó nhấn vào nút Create

B5 – Trong Group → Chuột phải trên group G1 chọn B6 - Chọn Find Now → Tìm user U1
Properties → Add → Chọn Advanced… Chọn U1 → OK (lúc này user U1 là thành viên của
group G1)
B7 – Tương tự tạo thêm group G2 với các thông số sau:

+ Group name: G2
➔ Thêm user U2 vào group G2.
3.2. Bài thực hành 2: Quản lý tài khoản người dùng trên Windows 10
Yêu cầu: trên máy BKAP-WRK08-01:
- Tạo user u1 và group boss, thêm u1 vào group này.
- Tham khảo các Option khi nhấn Ctrl + Alt + Del / Insert
- Enabled Account Administrator
- Tham khảo các options của User Account
- Cho máy tính tự động log on với account định sẵn.
3.2.1. Tạo Local User và Group
B1 – Mở File Explorer, chuột phải vào
Computer → chọn Manage
B2 - Ở khung bên trái, bung mục Local Users B3 – Chuột phải vào Users → New User
and Groups → chọn Users.

B4 – Trong cửa sổ New User, khai báo các thông B5 – Log Off. Quan sát thấy đã có thêm user
tin: account mới trong phần logon.
+ User name: u1
+ Password 123 B6 – Tiếp theo chuột phải lên mục Groups →
+ Confirm Password: 123 chọn New Group
+ Bỏ dấu check trước dòng “User must Change
password at next logon”, chọn Create.

B7 – Trong cửa sổ New Group, ở mục Group

Name, đặt tên group là: Boss → Add
B8 – Nhập vào u1 → Checks Name → OK
B9 – Quan sát thấy user u1 đã được thêm vào

group Boss → Create.
3.2.2. Tham khảo các Option khi nhấn Ctrl + Alt + Del / Insert
- Nhấn tổ hợp phím Ctrl + Alt + Del / Insert (trên máy ảo nhấn Insert thay cho Del)
- Quan sát thấy các tùy chọn:

o Lock this computer: Khóa máy tính
o Switch User: chuyển qua môi trường làm việc của user khác mà không tắt session hiện
tại.
o Log off: chuyển qua môi trường làm việc của user khác và tắt session hiện tại.
o Change a password: thay đổi mật khẩu của user.
o Start Task Manager: dùng để xem các thông số performance của máy tính
3.2.3. Enabled Account Administrator
B1 – Mở File Explorer, chuột phải vào This PC → chọn Manage
B2 - Ở khung bên trái, bung mục Local Users and Groups → chọn Users.

B3 – Chuột phải lên account “Administrator” → chọn B4 – Bỏ check “Account is disabled” →

Properties.
OK.
B5 – Log off và quan sát account Administrator đã xuất
hiện trong phần log on.
3.2.4. Tham khảo các options của User Account
- User must change password at next logon: User phải đổi password trong lần log on đầu tiên.
- User cannot change password: User không có quyền đổi password.
- Password never expires: Password của user không bao giờ bị hết hạn.
- Account is disabled: Vô hiệu hóa Account.
- Account is locked out: Account tạm thời bị khóa.

3.2.5. Cho máy tính tự động log on với account định sẵn.
B1 – Gõ tổ hợp phím  + R, nhập lệnh “control B2 – Bỏ check “Users must enter a username
userpasswords2” and password to use this computer”
B3 - Ở mục “Users for this computer” → chọn

Administrator
B4 – Trong hộp thoại Automatically Log On → B5 – Kiểm tra: Khởi động lại máy. Máy tính tự
OK (do account Administrator không có password động đăng nhập bằng account Administrator,
nên không cần nhập password) không hỏi password.
-HẾT-

BÀI 5. QUẢN LÝ CHÍNH SÁCH NHÓM CỤC BỘ (LOCAL GROUP POLICY) TRONG
WINDOWS SERVER
Group Policy (GPO) là các nhóm chính sách áp dụng dụng cho tài khoản người dùng và máy tính
trong hệ thống mạng Windows, là một thành phần trên họ Microsoft Windows NT cho phép điều khiển
môi trường làm việc của User và Computer. Trong môi trường Active Directory, Group Policy cung
cấp người quản trị khả năng cấu hình và quản lý một cách tập trung về hệ điều hành, ứng dụng, và các
thiết lập trên user. Một phiên bản khác là Local Group Policy, được sử dụng cho các máy độc lập và
không tham gia vào hệ thống Domain Controller.
I. MỤC TIÊU
- Hiểu được khái niệm Group Policy và Local Group Policy.

- Phân biệt được User Policy và Computer Policy.
II. LÝ THUYẾT
Local Group Policy được chia làm hai phần, được áp dụng cho hai đối tượng là User và Computer,
hai phần này là độc lập và không ảnh hưởng đến nhau. Các Local Group Policy áp dụng cho User thì
sẽ không ảnh hưởng đến đối tượng là Computer và ngược lại. Vì vậy, khi bạn triển khai các chính sách
thông qua Local Group Policy, bạn phải nắm rõ là mình đang muốn triển khai trên đối tượng nào.
- Computer configuration: nếu bạn thay đổi giá trị trong nhánh này, nó sẽ áp dụng chính sách đó
lên tất cả các đối tượng của máy tính local. Chủ yếu là thay đổi các thuộc tính về bảo mật.
- User configuration: nếu bạn thay đổi giá trị trong nhánh này, nó sẽ được áp dụng cho đối tượng
user trong máy tính local.
Local Group Policy là Group Policy chỉ có tác dụng trên một máy cục bộ. Mặc đinh, một máy tính
cài các Windows cho client như Windows XP, 7, 8, 10, các Windows Server chưa nâng cấp lên Domain
đều có tính năng này. Local Group Policy này thường được triển khai trên từng máy tính trong các
mạng nhỏ sử dụng mạng ngang hàng Workgroup. Để thiết lập các chính sách trên Local Group Policy
thì user thực hiện phải là user thuộc nhóm Admin trên chính máy tính đó.
III. THỰC HÀNH
1. Tóm tắt
- Cấu hình Local Group Policy
- Điều chỉnh policy Computer Configuration
- Điều chỉnh policy User Configuration
- Cấu hình Local User Policy

2. Chuẩn bị
- Mô hình bài Lab bao gồm 1 máy Windows Server 2019 R2
- Tạo user Teo, Password: 123456a@
3. Thực hiện
3.1. Bài thực hành 1: Cấu hình Local Group Policy
Làm trên máy BKAP-SRV12-01.
3.1.1. Điều chỉnh policy Computer Configuration
Yêu cầu: điều chỉnh policy Computer Configuration để tắt chức năng Shutdown Event Tracker.
B1 – Log on vào máy bằng account B2 – Nhấn tổ hợp phím  + R, gõ lệnh gpedit.msc
Administrator. Nhấn phím , chọn biểu B3 – Lần lượt mở theo đường dẫn: Local Computer
tượng Turn Off → Shutdown. Xuất hiện Policy → Computer Configuration → Administrative
bảng Shutdown Event Tracker. Nhấn phím Templates → System. Ở khung bên phải nhấn double
 để quay lại màn hình Desktop. click vào Display Shutdown Event Tracker.
B4 – Chọn Disabled → OK
B5 – Thử kiểm tra nhấn phím , chọn

biểu tượng Turn Off → Shut down →
Không thấy xuất hiện bảng Shutdown
Event Tracker nữa.

3.1.2. Điều chỉnh policy User Configuration

Yêu cầu: điều chỉnh policy User Configuration để
- Cấm user truy cập vào Control panel
- Xóa biểu tượng Recycle Bin trên desktop
- Không cho user sử dụng CMD.
B1 – Mở Control Panel → Truy cập thành công. B3 – Chọn Enabled → OK
B2 – Lần lượt mở theo đường dẫn: Local Computer Policy B4 – Kiểm tra: Truy cập vào Control Panel, xuất hiện
→ User Configuration → Administrative Templates → thông báo lỗi chặn truy cập.
Control Panel. Ở khung bên phải, nhấn double click vào
Prohibit access to Control Panel and PC Settings. B5 – Quay lại cửa sổ Local Group Policy Editor. Mở
theo đường dẫn Local Computer Policy – User
Configuration → Administrative Templates →
Desktop. Ở khung bên phải, nhấn double click Remove
Recycle Bin icon from Desktop → Enabled.
B6 – Mở CMD, gõ lệnh gpupdate/force
B7 – Kiểm tra: Log off và log on lại máy sẽ thấy mất

biểu tượng Recycle Bin trên Desktop
B8 – Quay lại cửa sổ Local Group Policy Editor. Mở theo

B9 – Truy cập thử vào CMD sẽ thấy bị báo lỗi.
đường dẫn Local Computer Policy → User Configuration
→ Administrative Templates → System. Ở khung bên
phải, nhấn double click vào Prevent access to the
command prompt → Enabled.

B10 – Sau khi thực hiện xong, trả các policy vừa thiết
lập về mặc định như lúc đầu.
3.2. Bài thực hành 2: Cấu hình Group Policy Object

- Làm trên máy BKAP-SRV12-01
- Thêm Snap-in Group Policy Object áp dụng cho các đối tượng Local Computer, Non-
Administrators và Teo .
- Chỉnh các Policy theo yêu cầu:
o Chỉnh Local Computer Policy sao choxóa biểu tượng Recycle Bin trên Desktop
o Chỉnh Non-Administrators Policy sao cho KHÔNG xóa Recycle Bin trên Desktop
o Chỉnh Teo Policy để xóa biểu tượng Recycle Bin trên Desktop
B1 – Nhấn tổ hợp phím  + R, gõ lệnh MMC B3 - Ở khung Available snap-ins bên trái, chọn
Group Policy Object Editor → Add
B2 – Cửa sổ Console 1, vào menu File →
Add/Remove Snap-in… hoặc nhấn tổ hợp
phím Ctrl + M.
B4 – Nhấn Browse B6 – Nhấn Finish

B5 – Qua tab Users → chọn Non- B7 – Tiếp tục lặp lại các bước trên áp dụng cho các
Administrators → OK đối tượng: Local Computer Policy và Teo Policy.

3.2.1. Chỉnh Local Computer Policy để xóa biểu tượng Recycle Bin trên Desktop
áp dụng cho đối tượng Local Computer
- Mở theo đường dẫn: Local Computer Policy → User Configuration → Administrative
Templates → Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from
Desktop → Enabled.
- Kiểm tra: Log on user Teo, kiểm tra thấy biểu tượng Recycle Bin bị mất trên Desktop.
3.2.2. Chỉnh Non-Administrators Policy KHÔNG xóa Recycle Bin trên Desktop
- Logon Administrator. Mở theo đường dẫn: Local Computer\Non-Administrators Policy →
User Configuration → Administrative Templates → Desktop. Ở khung bên phải, nhấn double
click Remove Recycle Bin icon from Desktop → Disabled.
- Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recyle Bin KHÔNG bị mất trên Desktop.
3.2.3. Chỉnh Teo Policy để xóa biểu tượng Recycle Bin trên Desktop áp dụng cho
User Teo
- Logon Administrator. Mở theo đường dẫn: Local Computer\teo Policy → User Configuration
→ Administrative Templates → Desktop. Ở khung bên phải, nhấn double click Remove
Recycle Bin icon from Desktop → Enabled.
- Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recycle Bin bị mất trên Desktop.
Bạn có nhận xét gì trong 03 trường hợp trên.
-HỀT-

BÀI 6. THIẾT LẬP CHÍNH SÁCH BẢO MẬT CỤC BỘ
I. MỤC ĐÍCH:
- Thiết lập chính sách bảo mật trên máy trạm
II. THỰC HÀNH
1. Tóm tắt
- Password Policy
- Account Lockout Policy
- User Right Assignment
- Network Access
2. Chuẩn bị:
- Mô hình bài lab bao gồm 2 máy ảo:
o BKAP-SRV12-01: Windows Server 2019 R2
o BKAP-WRK08-01: Windows 10
- 2 máy tắt Firewall → Kiểm tra đường truyền bằng lệnh PING
3. Thực hiện:
3.1. Bài thực hành 1: Password Policy (Thực hiện trên BKAP-SRV12-01)
Yêu cầu: cho phép tài khoản có thể sử dụng mật khẩu đơn giản
B1 – Log on Administrator → Tạo user U1 bằng B2 – Mở Server Manager, vào menu Tools →
password: 123 → báo lỗi không thể tạo được do không Local Security Policy
thỏa yêu cầu về độ phức tạp của password.
B3 – Mở Account Policies → Password Policy. Quan

sát cột bên phải
+ Enforce password history: Số password hệ thống lưu trữ (khuyên dùng 24).
+ Maximum password age: Thời gian sử dụng tối đa của 1 password (khuyên dùng 42).
+ Minimum password age: Thời gian sử dụng tối thiểu của 1 password (khuyên dùng: 1).
+ Password must meet complexity requirements: Yêu cầu password phức tạp (khuyên dùng: Enabled)
➔ Chỉnh Password policy:
B4 – Password must meet complexity requirements → Chọn Disabled
B5 – Các pasword policy còn lại chỉnh giá trị về 0 → OK
B6 – Mở CMD → gõ lệnh gpupdate/force
B7 – Kiểm tra: Tạo account U1 với password: 123 → Tạo thành công.
3.2. Bài thực hành 2: Account Lockout Policy
Yêu cầu: thay đổi chính sách tài khoản sao cho
- Khi user đăng nhập sai mật khẩu từ 03 lần trở lên: không thể đăng nhập tiếp.
- Chờ sau 30 phút: có thể đăng nhập lại.
B1 – Mở Local Security Policy. Truy B2 – Quan sát các policy bên phải
cập theo đường dẫn Account Policies + Account lockout duration: Thời gian account bị khóa.
→ Account Lockout Policy + Account lockout threshold: Số lần nhập sai password trước
khi account bị khóa.
B3- Kiểm tra: Đăng nhập sai + Reset accout lockout counter after: thời gian chuyển bộ
password 3 lần → không thể đăng đếm về giá trị 0.
nhập tiếp. Chờ sau 30 phút → có thể - Điều chỉnh thông số các policy:
đăng nhập lại. + Account lockout duration: 30
+ Account lockout threshold: 3
+ Reset account lockout counter after: 30
3.3. Bài thực hành 3: Quản lý quyền hạn của người dùng (User Rights Assignment)
Yêu cầu:
Cho phép U1 quyền shutdown máy tính
Cho phép U1 quyền thay đổi ngày giờ hệ thống
B1 – Log on Administrator → Mở Local security policy → Local Policies → User Rights Assignment
→ cột bên phải: Quan sát 2 policy
- Change the system time: Cho phép user/group có quyền thay đổi ngày giờ hệ thống.
- Shutdown the system: Cho phép user/group có quyền tắt máy
B2 – Điều chỉnh thông số policy

- Change the system time: Đưa user U1 vào.
- Shutdown the system: Đưa user U1 vào.
B3 – Kiểm tra: Logon U1 → Shutdown thử → thành công. Thay đổi ngày giờ hệ thống → thành công.
3.4. Bài thực hành 4: Truy cập máy tính qua mạng nội bộ (Network acces)
Yêu cầu: khảo sát truy cập máy tính qua mạng nội bộ với trường hợp password 02 máy giống nhau và
trường hợp password 02 máy khác nhau.
Mở Local Security Policy → Local Policy → Security Options → Double click Network access: Sharing
and security model for local account. (Mặc định Windows Server chạy Classic).

3.4.1. Trường hợp 02 máy cùng password

- Đổi password Administrator BKAP-SRV12-01 và BKAP-WRK08-01 là 123.
- Thực hiện truy cập bằng URL từ máy BKAP-SRV12-01 qua máy BKAP-WRK08-01.
- Kiểm tra: Tại BKAP-SRV12-01: Nhấn tổ hợp phím  + R, gõ \\BKAP-WRK08-01 → truy
cập thành công mà không hỏi username và password.
3.4.2. Trường hợp 02 máy khác password
- Đổi password Administrator Máy BKAP-WRK08-01 thành 456 → Logon vào BKAP-SRV12-
01 bằng account Administrator.
- Thực hiện truy cập bằng URL từ máy BKAP-SRV12-01 qua máy BKAP-WRK08-01 và ngược
lại.
- Kiểm tra: Tại BKAP-SRV12-01: Nhấn tổ hợp phím  + R, gõ \\BKAP-WRK08-01 → Hiện
thông báo yêu cầu nhập Username và password → Khai báo username và password máy BKAP-
WRK08-01 → OK → Truy cập thành công qua BKAP-WRK08-01.
Nhận xét:
- Khi truy cập vào BKAP-WRK08-01 nếu account dùng để logon trên máy BKAP-SRV12-01
trùng username và password với 1 account trên máy BKAP-WRK08-01, thì khi network access
sẽ không bị hỏi username và password.
- Trường hợp 02 máy khác password thì phải nhập đúng mới có thể truy cập được.
-HẾT-

BÀI 7. PHÂN QUYỀN THƯ MỤC CỤC BỘ
I. MỤC TIÊU
Sau khi học xong bài này sinh viên biết được:
- Phân quyền thư mục bằng Standard Permission
- Phân quyền thư mục bằng Special Permission
- Take OwnerShip
- Xét quyền khi di chuyển dữ liệu
II. THỰC HÀNH
1. Chuẩn bị
- Mô hình bài lab bao gồm 1 máy ảo BKAP-SRV12-01
- Trên máy BKAP-SRV12-01, tạo cây thư mục như trong hình:
- Tạo 2 group: KeToan, NhanSu

- Tạo 2 user: KT1, KT2, Add 2 user này vào Group KeToan
- Tạo 2 user: NS1, NS2. Add 2 user này vào Group NhanSu
2. Thực hiện
2.1. Bài thực hành 1: Phân quyền thư mục bằng Standard Permission
Phân quyền thư mục sao cho:
- Trên thư mục Data: Group Ketoan và Nhansu có quyền Read
- Trên thư mục Chung: Group Ketoan và Nhansu có quyền Full
- Trên thư mục Ketoan: Group Ketoan có quyền Full, Group Nhansu không có quyền.
- Trên thư mục Nhansu: Group Nhansu có quyền Full, Group Ketoan không có quyền.

2.1.1. Phân quyền trên thư mục DATA

Yêu cầu: Group Ketoan và Nhansu chỉ có quyền Read
B1 – Chuột phải lên thư mục DATA → B2 – Trong tab Permissions → Chọn Disable Inheritance
Chọn Properties → Qua tab Security →
Nhấn Advanced.
B3 – Trong cửa sổ Block Inheritance, chọn Convert

inherited permissions into explicit permissions on this
object → OK
B4 – Quay lại cửa sổ DATA Properties →

Qua tab Security → nhấn nút Edit.
B5 – Cửa sổ Permissions for DATA → nhấn nút Add
B6 – Nhập vào: ketoan; nhansu → chọn Check Names →

OK.

B7 – Quan sát 2 group KETOAN và NHANSU → có 3 quyền Allow: Read & Excute, List folder
contents, Read.
B8 – Chọn Group Users → Remove → OK → OK B9 – Kiểm tra:

+ Lần lượt log on và máy bằng quyền KT1, NS1
→ Mở thư mục C:\DATA → truy cập thành
công.
+ Tạo Folder bất kì → Xuất hiện báo lỗi không
có quyền.

2.1.2. Phân quyền cho thư mục Chung

Yêu cầu: Group Ketoan và Nhansu có quyền Full
B1 – Log on Administrator → Chuột phải lên thư mục Chung, chọn Properties → Tab Security → Chọn
Edit → Lần lượt chọn từng group KeToan và NhanSu → Cho quyền Allow Full Control → OK → OK.
B2 – Kiểm tra:
+ Lần lượt log on vào bằng KT1, NS1 → truy cập vào thư mục Chung → truy cập thành công
+ Tạo, xóa folder bất kì trong thư mục Chung → thành công
2.1.3. Phân quyền cho thư mục KETOAN
Yêu cầu: Group Ketoan có quyền Full, Group Nhansu không có quyền.
B1 – Chuột phải lên thư mục KETOAN → Chọn Properties → Qua tab Security → Chọn Advanced
B2 – Trong tab Permissions → Chọn Disable Inheritance
B3 – Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on
this object → OK.
B4 – Cửa sổ KETOAN properties → Chọn Edit.

B5 – Chọn group NHANSU → Remove B6 – Chọn Group KETOAN → Chọn Allow

Full Control → OK → OK
B7 – Kiểm tra:
- Lần lượt log on vào bằng KT1, NS1 → truy cập vào thư mục KETOAN → chỉ có KT1 truy cập
thành công, còn NS1 không truy cập được.
- User KT1 tạo, xóa file, folder bất kì trong thư mục KETOAN → thành công.
2.1.4. Phân quyền cho thư mục NHANSU
Yêu cầu: Group Nhansu có quyền Full, Group Ketoan không có quyền.
B1 – Chuột phải lên thư mục NHANSU → Chọn Properties → Qua tab Security → Chọn Advanced.
B2 – Trong tab Permissions → Chọn Disable Inheritance
B3 – Trong cửa sổ Block Inheritance, chọn Convert inherited permissions in to explicit permissions on
this object → OK.
B4 – Cửa sổ NHANSU Properties → Chọn Edit.
B5 – Chọn group KETOAN → Remove.
B6 – Chọn Group NHANSU → Chọn Allow Full Control → OK → OK
B7 – Kiểm tra:
+ Lần lượt logon vào bằng KT1, NS1 → truy cập vào thư mục NHANSU → chỉ có NS1 truy cập thành
công, còn KT1 không truy cập được.
+ User NS1 tạo, xóa file, folder bất kì trong thư mục NHANSU → thành công.

2.2. Bài thực hành 2: Phân quyền thư mục bằng Special Permission
Yêu cầu: File do User nào tạo ra thì User đó mới xóa được.
B1 – Chuột phải lên thư mục KETOAN → B3 – Trong cửa sổ Permission Entry for
Chọn Properties → Qua tab Security → nhấn KETOAN, nhấn vào liên kết Show advanced
vào nút Advanced permissions.
B2 – Trong tab Permissions → chọn Group B4 – Ở mục Allow, tắt dấu chọn ở 2 ô Delete
KETOAN → chọn Edit subfolders and files và ô Delete → Chọn OK
B5 – Kiểm tra:
+ Lần lượt log on bằng KT1 và KT2 → truy cập vào thư mục KeToan
+ KT1 tạo file KT1.txt, KT2 tạo file KT2.txt
- Log on bằng KT1 → xóa file KT2.txt → Báo lỗi không có quyền xóa. Xóa file KT1.txt → thành
công.
- Log on bằng KT2 → xóa file KT1.txt → Báo lỗi không có quyền xóa. Xóa file KT2.txt → thành
công.
2.3. Bài thực hành 3: Take Owner Ship
Yêu cầu: cấp quyền cho Administrator có quyền Full Control tại folder KT1file
B1 – Logon KT1, truy cập vào folder KETOAN → tạo folder KT1file
B2 – Phân quyền NTFS trên thư mục KT1file → chọn Properties → qua tab security → chọn Advanced
→ Disable Inheritance

B4 – Log on Administrator, truy cập vào B3 – Tab Security → chọn Edit → Remove tất cả các
folder KETOAN. Truy cập vào folder object, ngoại trừ KT1 (Full Control) → nhấn OK 2 lần.
KT1file bị báo lỗi không thể truy cập →
Chuột phải lên folder KT1file, chọn
Properties → Qua tab Security, chọn
Advanced.
B5 – Ở mục Owner, chọn Change
B6 – Nhập vào Administrator → Check B7- Đánh dấu chọn vào ô Replace owner on subcontainers
Names → OK and object → Yes → OK → OK đóng các cửa sổ.
B8 – Kiểm tra: Chuột phải vào folder

KT1file, quan sát thấy Administrator đã có
quyền Full Control

2.4. Bài thực hành 4: Khảo sát quyền NTFS khi sao chép hoặc di chuyển dữ liệu trong
cùng Partition.
- Trường hợp sao chép dữ liệu:
o Trong ổ C tạo 1 folder tên là A
o Chuột phải lên C:\DATA chọn Copy → Mở thư mục A → chuột phải chọn Paste
o Kiểm tra quyền của thư mục C:\A\DATA → các quyền NTFS bị thay đổi
- Trường hợp di chuyển dữ liệu:
o Trong ổ C tạo 1 folder tên là B.
o Chuột phải lên C:\DATA chọn cut → Mở thư mục B → chuột phải chọn Paste
o Kiểm tra quyền của thư mục C:\A\DATA → các quyền NTFS không bị thay đổi.
Nhận xét: Trong cùng Partition thì
- Khi di chuyển dữ liệu trong cùng partition: quyền của data không bị thay đổi.
- Khi sao chép dữ liệu trong cùng partition: quyền của data vừa copy bị thay đổi phụ thuộc vào nơi đến.
-HẾT-

BÀI 8. CHIA SẺ THƯ MỤC VÀ QUẢN LÝ THƯ MỤC CHIA SẺ CỤC BỘ
Chia sẽ dữ liệu là một trong những công việc chủ yếu khi quản trị một mạng lớn hay nhỏ. Để tập
trung quản lý dữ liệu thì người quản trị sẽ dùng một máy tính cài đặt Windows 7, 8, 10 hoặc Windows
Server để chia sẻ các thư mục và cho phép người dùng truy cập, ghi chép dữ liệu trên đó.
I. MỤC TIÊU
- Share một Folder.

- Thực hiện Share Ẩn.
- Map Network Drive
- Share 1 folder với nhiều tên
- Quản lý các Shared Resources
- Access Base Emulation
II. THỰC HÀNH
1. Chuẩn bị:
- Mô hình bài lab bao gồm 2 máy: BKAP-SRV12-01 và BKAP-WRK08-01.
- BKAP-SRV12-01 tạo account U1 với password là 123456a@.
- BKAP-WRK08-01 tạo folder ThucTap trong ổ C. Trong thư mục ThucTap tạo 2 folder DuLieu
và BiMat.
- Trong các folder tạo file abc.txt với nội dung tùy ý.
- Trên 2 máy tắt Firewall, UAC, và kiểm tra đường truyền bằng lệnh Ping.
2. Thực hiện
2.1. Bài thực hành 1: Share Folder
Yêu cầu: chia sẻ folder DULIEU trên máy BKAP-SRV12-01 sao cho có thể truy cập được từ máy
BKAP-WRK08-01
Trên máy BKAP-SRV12-01:
B1 – Chuột phải lên folder DULIEU chọn Properties
B2 - Ở tab Sharing → Nhấn vào nút Advanced Sharing …

B4 – Check vào Allow Full Control → OK → OK B3 – Đánh dấu chọn vào ô Share this folder →
→ Close Click vào Permissions
B5 – Qua máy BKAP-WRK08-01, nhấn tổ hợp

phím  + R, gõ: \\BKAP-SRV12-01→ OK
B6 – Hộp thoại yêu cầu chứng thực khi đăng nhập

→ Điền vào u1/123456a@
B7 – Truy cập thành công thấy Folder DULIEU

2.2. Bài thực hành 2: Share ẩn một folder

Yêu cầu: chia sẻ folder BIMAT trên máy BKAP-SRV12-01 dưới dạng ẩn
B1 – Chuột phải thư mục BiMat → Chọn B3 – Đánh dấu chọn vào ô Share this folder. Ở mục
Properties Share Name, nhập vào BiMat$ → Nhấn vào nút
Permissions
B2 - Ở tab Sharing → Nhấn vào nút
Advanced Sharing …
B4 – Check vào Allow Full Control → OK

→ OK → Close
B5 – Tại máy BKAP-WRK08-01 nhấn tổ

hợp phím  + R, gõ : \\BKAP-SRV12-01 →
OK → Truy cập thành công và không thấy
folder BiMat
B6 – Tắt cửa sổ File Explore → Truy cập lại

\\BKAP-SRV12-01\BIMAT$
B7 – Truy cập vào thư mục BiMat thành công

2.3. Bài thực hành 3: Map Network Drive

Yêu cầu: thực hiện tạo ổ đĩa mạng trên máy BKAP-WRK08-01 đối với folder DULIEU và BIMAT
Trên máy BKAP-WRK08-01:
B1 – Qua máy BKAP-WRK08-01 → truy cập network B2 – Hộp thoại yêu cầu chứng thực khi đăng nhập →
access vào máy BKAP-SRV12-01. Điền vào Username và Password của U1 → OK.
B3 – Tại màn hình truy cập, chuột phải lên folder

DULIEU → Chọn Map Network Drive…
B4 – Để mặc định các options → Nhấn Finish. B5 – Mở Computer kiểm tra đã có ổ đĩa mạng DuLieu
(Z:)

B6 – Mở CMD, gõ lệnh net use Y: \\BKAP-SRV12- B7 – Kiểm tra trên BKAP-WRK08-01 mở File
01\BIMAT$ Explorer thấy xuất hiện ổ đĩa mạng BIMAT$ (Y: )
2.4. Bài thực hành 4: Share 1 folder với nhiều tên

Yêu cầu: chia sẻ folder DULIEU trên máy BKAP-SRV12-01 dưới tên chia sẻ là KeToan.
Trên máy BKAP-SRV12-01
B1 – Chuột phải lên folder DULIEU → Chọn B2 – Khung Share name nhập vào KeToan → OK
Properties → Chọn Tab Sharing → Advanced
sharing → Nhấn vào nút Add.
B3 – Kiểm tra trong hộp thoại Advanced B5 – Máy BKAP-WRK08-01 truy cập server kiểm
Sharing, phần Share name có 2 tên DuLieu và tra kết quả thấy có 2 folder được share với tên
KeToan KeToan, DuLieu
B4 – Nhấn vào nút Permission → Phân quyền

lại với Everyone → Full Control → OK →
Close

2.5. Bài thực hành 5: Quản lý các Share Resources

Yêu cầu: khảo sát nơi quản lý các thư mục được chia sẻ trên máy BKAP-SRV12-01
B1 – Mở Server Manager → B2 - Ở khung bên trái chọn Shares → Quan sát bên tay phải: các dữ liệu
chọn File and Storage Services hiện đang được chia sẻ trên máy tính.
2.6. Bài thực hành 6: Access Base Emulation

Yêu cầu: phân quyền sao cho
- Người dùng U1 có toàn quyền trên thư mục KyThuat, người dùng U2 không có quyền.
- Người dùng U2 có toàn quyền trên thư mục TroGiang, người dùng U1 không có quyền
B1 – Tạo Folder C:\DHPT
B2 – Trong C:\DHPT tạo 2 thư mục KyThuat và TroGiang
B3 – Share Full thư mục C:\DHPT
B4 – Tạo User u2/password: 123456a@
B5 – Phân quyền NTFS sao cho:
+ U1 có toàn quyền trên thư mục KyThuat, U2 không có quyền.
+ U2 có toàn quyền trên thư mục TroGiang, U1 không có quyền

B6 – Mở Server Management → File and B7 – Chọn Settings → đánh dấu chọn vào ô Enable access-
Storage Services → Shares → Chuột phải lên based enumeration → OK → OK.
C:\DHPT → Properties
B9 – Tương tự từ máy BKAP-WRK08-01 truy B8 – Kiểm tra: từ máy BKAP-WRK08-01 truy cập
cập network Access vào máy BKAP-SRV12-01 network Access vào máy BKAP-SRV12-01 bằng quyền
bằng quyền U2: Truy cập thư mục DHPT quan sát U1: Truy cập thư mục DHPT quan sát chỉ thấy thư mục
thấy chỉ thấy thư mục TroGiang, không thấy thư KyThuat, không thấy thư mục TroGiang.
mục KyThuat.
-HẾT-

BÀI 9. TRIỂN KHAI DỊCH VỤ ACTIVE DIRECTORY
I. MỤC TIÊU
- Biết cách nâng cấp máy chủ Windows Server 2019 lên Domain Controller và Join Domain.
- Biết cách nâng cấp máy chủ Windows Server 2019 ( Server Core ) lên Domain Controller và
Join Domain.
- Biết cách cài đặt và cấu hình Additional Domain Controller.
- Biết cài đặt và cấu hình Child Domain.
II. THỰC HÀNH
1. Bài thực hành 1: Nâng cấp BKAP-DC12-01 lên Domain Controller.

o
1.1. Chuẩn bị:
- Chuẩn bị 1 máy Server chạy HĐH Windows Server 2019 có tên là BKAP-DC12-01, đặt địa chỉ
IP như mô hình lab 2.1.
- Chuẩn bị thêm máy trạm chạy HĐH Windows 8 có tên là BKAP-WRK08-01, đặt địa chỉ IP như
mô hình lab 2.1.
1.2. Mô hình Lab:
Hình 2.1
1.3. Sơ đồ địa chỉ như sau:
Thông số BKAP-DC12-01 BKAP-WRK12-01
IP Address 192.168.1.2 192.168.1.10

Subnet Mask 255.255.255.0 255.255.255.0

Default gateway 192.168.1.1 192.168.1.1
1.4. Thực hiện

o Cấu hình đặt địa chỉ IP cho các máy tương ứng với hình 2.1

o Thực hiện cài đặt dịch vụ Active Directory Domain Services trên máy BKAP-
DC12-01:
▪ Click Server Manager / Add Roles and Features . Tại cửa sổ Add
Roles and Features Wizard, Click vào Next.
▪ Tại Select installation type, click vào Next.

▪ Tại Select destination server, Click vào Next.
▪ Tại Select server roles, click chọn vào dịch vụ Active Directory Domain
Services.

▪ Cửa sổ Add Roles and Features Wizard hiện ra, chọn Add Features.
▪ Tiếp tục ấn Next, tại cửa sổ Confirm installation selections, click vào
Install để cài đặt dịch vụ ADDS.

▪ Sau khi chờ đợi 1 khoảng thời gian để dịch vụ Active Directory Domain
Services được cài đặt xong, tại Installation progess , click vào dòng chữ
xanh Promote this server to a domain controller để cấu hình.
▪ Tại cửa sổ Deployment Configuration:

• Select the deployment operation , click chọn vào Add a new
forest để tạo 1 domain mới.
• Tại Root domain name, nhập vào tên miền “bkaptech.vn”
• Next.

▪ Tại Domain Controller Options, lựa chọn “Forest functional level” và

“Domain functional level” phù hợp với hệ thống đang có.
▪ Nhập mật khẩu của Directory Services Restore Mode (DSRM) password.
(123456a@)
▪ Next.
▪ Tiếp tục click vào Next, tại Additional Options, đặt tên NetBIOS domain
name là BKAPTECH
▪ Next.

▪ Tại cửa sổ Paths, chính là đường dẫn lưu CSDL của Active Directory trong
máy Domain Controller.
▪ Tại cửa sổ Review Options, tại đây là những thông tin đã cấu hình ở trên.
• Click vào Next.

▪ Tại cửa sổ Prerequisites Check, click vào Install để máy bắt đầu cài đặt.
- Máy chủ sau khi cài đặt sẽ tự động reset lại máy.
o Ấn tổ hợp phím “Alt + Ctrl + Insert” để đăng nhập vào máy chủ.

- Tại màn hình logon, nhập mật khẩu của tài khoản Administrator.(123456a@)
Kiểm tra máy chủ đã nâng cấp lên Domain Controller chưa, vào Compuer / Properties.
o Trong cửa sổ System, kiểm tra tên Domain tại Computer name, domain, and
workgroup settings.
▪ Domain: bkaptech.vn.

- Kiểm tra, sửa lại địa chỉ card mạng, địa chỉ DNS Server phải trùng với địa chỉ IP của máy
Domain Controller.
- Thực hiện Join máy Client BKAP-WRK08-01 vào Domain.

o Mở máy BKAP-WRK08-01, snapshot “Begin”.
o Đặt cùng VMnet với máy BKAP-DC12-01.
o Sửa lại địa chỉ IP của máy BKAP-WRK08-01 như sau:

o Thực hiện ping từ máy BKAP-WRK08-01 đên máy BKAP-DC12-01.
o Để Join máy Client BKAP-WRK08-01 vào Domain, vào This PC / Properties /

Change Settings.

o Tại cửa sổ System Properties, Tab Computer name, click vào Change.
o Tại cửa sổ Computer Name/Domain Changes, click chọn vào Domain, tại đây
nhập vào tên miền của Domain ( bkaptech.vn)

o Cửa sổ Windows Security, nhập User và Password của Administrator./ OK
o Sau khi Join vào Domain thành công, trên máy xuât hiện thông báo Welcome to
the bkaptech.vn domain.
o Ấn vào OK để restart lại máy Client.

o Khởi động lại máy BKAP-WRK08-01, kiểm tra máy đã Join vào Domain.
2. Bài thực hành 2: Nâng cấp máy chủ Server Core lên Domain Controller và Join
Domain.
2.1. Yêu cầu bài lab:
- Nâng cấp máy chủ chạy HĐH Windows Server 2019 (ServerCore) lên Domain Controller để
quản lý miền bkaptech.vn
- Cho phép các máy trạm gia nhập vào miền bkaptech.vn.
- Cài đặt Remote Server Administratiton Tools trên máy BKAP-WRK08-01 để quản trị từ xa.
2.2. Yêu cầu chuẩn bị:
- Chuẩn bị 1 máy Server chạy HĐH Windows Server 2012 (ServerCore) tên là BKAP-CORE12-
01, đặt địa chỉ IP như mô hình lab 2.2.
- Chuẩn bị thêm máy trạm chạy Windows 8.1 có tên là BKAP-WRK08-01, đặt địa chỉ IP như mô
hình lab 2.2
- Tools :Remote Server Administration Tools for Windows 8

2.3. 3. Mô hình lab:
Hình 2.2
Sơ đồ địa chỉ như sau:
Thông số BKAP-CORE12-01 BKAP-WRK08-01
IP Address 192.168.1.9 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1


- Thực hiện trên máy BKAP-CORE12-01, bật máy ảo, snapshot “Begin”
o Kiểm tra Server có bao nhiêu card mạng.
▪ Netsh interface ipv4 show interfaces
o Đặt địa chỉ IP tĩnh cho card Ethernet0 của máy BKAP-CORE12-01:
▪ Netsh interface ipv4 set address name=Ethernet0 source=static
address=192.168.1.9 mask=255.255.255.0 gateway=192.168.1.1
o Kiểm tra địa chỉ IP của card Ethernet0:
▪ Ipconfig /all

o Đặt địa chỉ của DNS Server.

▪ Netsh interface ipv4 add dnsserver name=Ethernet0
address=192.168.1.9 index=1
o Thực hiện nâng cấp máy BKAP-CORE12-01 lên Domain Controller:

▪ Gõ lệnh “powershell.exe” để vào chế độ PowerShell.

o Gõ lệnh “cd c:\” để chuyển vào ổ C của máy chủ.

▪ Cd c:\
o Sau khi vào đường dẫn C:\> , ta gõ lệnh sau:

▪ Install-WindowsFeature AD-Domain-Services -
IncludeManagementTools.

o Máy chủ cài đặt dịch vụ ADDS:
o Câu lệnh nâng cấp lên Domain Controller.

▪ Install-ADDSForest -DomainName <tên miền>
▪ Nhập mật khẩu SafeModeAdministrator: 123456a@
▪ Máy chủ tiến hành nâng cấp lên Domain Controller

▪ Sau khi nâng cấp xong, máy chủ tự động reset lại máy.
o Nhấn tổ hợp phím “Ctrl + Alt + Insert” để logon vào máy.

o Nhập mật khẩu của tài khoản Administrator để đăng nhập.
o Tắt Firewall trên máy BKAP-CORE12-01.

▪ Netsh firewall set opmode mode=disable

- Chuyển sang máy Client BKAP-WRK08-01 , Join máy Client vào Domain.
o Mở máy ảo BKAP-WRK08-01, snapshot “Begin”
o Đặt cùng VMnet với máy BKAP-CORE12-01
o Tắt firewall trên máy BKAP-WRK08-01, đặt địa chỉ IP tĩnh cho máy.
o Tiến hành ping từ máy BKAP-WRK08-01 sang máy BKAP-CORE12-01:

o Tiến hành Join máy BKAP-WRK08-01 vào Domain.
- Thực hiện cài đặt công cụ Remote Server Administrator Tools trên máy BKAP-WRK08-
01 để quản trị từ xa.
o Start / Search Administrative Tools để vào Remote Server Administrator Tools

Tại đây, các bạn có thể quản trị Server như trên máy Domain Controller.
3. Bài thực hành 3: Cài đặt và cấu hình Additional Domain Controller
+ Cài đặt và cấu hình theo mô hình Lab 2.3, có hai máy Domain Controller cùng quản lý một miền
bkaptech.vn
+ Nâng cấp máy Server BKAP-DC12-01 thành Domain Controller quản lý miền bkaptech.vn ( Thực
hiện theo bài lab 2.1 )
+ Trên máy BKAP-SRV12-01, đặt địa chỉ IP theo qui định sau:
- IP Address: 192.168.1.3
- Subnet mask: 255.255.255.0
- DNS Server: 192.168.1.2

3.3. Mô hình lab:
Hình 2.3
3.4. Sơ đồ địa chỉ IP:
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01
IP Address 192.168.1.2 192.168.1.3 192.168.1.10
Subnet mask 255.255.255.0 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.2 192.168.1.2 192.168.1.2


- Mở máy ảo BKAP-DC12-01, snapshot “DC” để quản trị miền bkaptech.vn.
o Địa chỉ của máy BKAP-DC12-01:

- Mở máy ảo BKAP-SRV12-01, snapshot “Begin”, đặt cùng VMnet với máy BKAP-DC12-
01.
o Địa chỉ của máy BKAP-SRV12-01:
- Tắt Firewall, tiến hành ping qua lại giữa 2 máy BKAP-DC12-01 và máy BKAP-DC12-01
và máy BKAP-SRV12-01.
o Đứng trên máy BKAP-DC12-01 ping đến BKAP-SRV12-01.

o Đứng trên máy BKAP-SRV12-01 ping sang máy BKAP-DC12-01:
- Tiến hành nâng cấp máy BKAP-SRV12-01 thành Additional Domain Controller.
o Trên máy BKAP-SRV12-01, tiến hành cài đặt dịch vụ Active Directory Domain
Services.
▪ Vào Server Manager / chọn vào Add roles and features.
▪ Tại cửa sổ Select server roles, chọn vào dịch vụ Active Directory
Domain Services.
▪ Next

▪ Tại cửa sổ Confirm installation selections, click vào Install để cài đặt
dịch vụ ADDS.
▪ Quá trình cài đặt hoàn thành, click vào dòng chữ xanh Promo this server
to a domain controller để cấu hình.

▪ Tại cửa sổ Deployment Configuration, chọn vào “Add a domain

controller to an existing domain”.
• Tại dòng Specify the domain information for this operation, nhập
vào Domain: bkaptech.vn
• Tại dòng Supply the credentials to …, click vào Change… và
điền vào User và Password của tài khoản Administrator: User:
bkaptech.vn\administrator, password: 123456a@
• Next.
▪ Tại cửa sổ Domain Controller Options, nhập mật khẩu của Directory
Services Restore Mode (DSRM) :123456a@
▪ Next.

▪ Tiếp tục click vào Next tại các cửa sổDNS Options, cửa sổ Additional
Options, cửa sổ Paths, và cửa sổ Review Options.
▪ Tại cửa sổ Prerequisites Check, click vào Install để máy bắt đầu nâng cấp
lên Additional Domain Controller.
o Sau khi nâng cấp xong, máy chủ BKAP-SRV12-01 bắt đầu restart lại, nhấn tổ hợp
phím “Ctrl+Alt+Insert” để logon vào máy

o Kiểm tra đồng bộ tài khoản giữa máy BKAP-DC12-01 và máy BKAP-SRV12-01.
▪ Vào Server Manager / Tools / vào dịch vụ Active Directory User and
Computer.
o Tạo thêm một số User và OU trên máy BKAP-SRV12-01.

o Chuyển sang máy BKAP-DC12-01, kiểm tra đồng bộ từ máy BKAP-SRV12-01.
4. Bài thực hành 4: Cài đặt và cấu hình Child Domain.

- Cài đặt và cấu hình theo mô hình lab 2.4 sao cho:
o Server BKAP-DC12-01 quản lý miền bkaptech.vn
o Server BKAP-SRV12-01 quản lý Child Domain: hcm.bkaptech.vn
- Cấu hình máy BKAP-DC12-01 nâng cấp lên Domain Controller quản lý miền bkaptech.vn
(xem lại bài lab 2.1 )
- Trên máy Server BKAP-SRV12-01 đặt địa chỉ IP theo qui định sau:
o IP address: 192.168.1.3
o Subnet mask: 255.255.255.0
o PreferredDNS Server: 192.168.1.3
o Alternate DNS: 192.168.1.2

4.3. Mô hình lab:
Hình 2.4
IP address 192.168.1.2 192.168.1.3 192.168.1.10
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Alternate DNS Server 192.168.1.2


- Mở máy ảo BKAP-DC12-01, snapshot “DC” để quản trị miền bkaptech.vn
o Địa chỉ của máy BKAP-DC12-01:

- Mở máy ảo BKAP-SRV12-01, snapshot “Begin” thực hiện cấu hình Child Domain.
o Địa chỉ của máy BKAP-SRV12-01:
o Cài đặt dịch vụ Active Directory Domain Services:

▪ Server Manager / Add roles and features

▪ Tại cửa sổ Select server roles, click chọn vào Active Directory Domain
Services để cài đặt dịch vụ.
▪ Next.
▪ Tại cửa sổ Confirm installation selections, click vào Install để cài đặt
dịch vụ ADDS.

o Sau khi máy chủ BKAP-SRV12-01 cài đặt xong dịch vụ ADDS, ckick vào dòng chữ
xanh “Promo this server to a domain controller” để cấu hình Child Domain.
o Tại cửa sổ Deployment Configuration, dòng Select the deployment operation,

chọn “Add a new domain to an existing forest” ( cấu hình Child Domain )
▪ Tại dòng Specify the domain information… nhập vào:
• Parent domain name : bkaptech.vn
• New domain name : hcm
▪ Tại dòng Supply the credentials to perform this operation, nhập User và
Password của tài khoản administrator.
• Nhập vào : bkaptech.vn\administrator , password:123456a@
▪ Next.

o Tại cửa sổ Domain Controller Options:

▪ Dòng Domain functional level: Windows Server 2008 R2
( chọn HĐH phù hợp với hệ thống mạng )
▪ Nhập mật khẩu của DSRM: 123456a@
o Click vào Next tại các cửa sổ DNS options, cửa sổ Additional Options , cửa sổ
Paths , và cửa sổ Review Options.
o Tại cửa sổ Prerequisites Check, click vào Install để máy tiến hành nâng cấp lên
Child Domain.

o Sau khi nâng cấp xong, máy chủ bắt đầu tiền hành restart lại.
o Logon máy chủ bằng tài khoản Administrator và password 123456a@, kiểm tra
máy chủ đã nâng cấp lên child domain có tên miền là hcm.bkaptech.vn.

o Thực hiện Join máy Client vào Domain hcm.bkaptech.vn:

▪ Đặt địa chỉ máy Client BKAP-WRK08-01 đặt địa chỉ IP theo hình sau:
▪ Tiến hành Join máy Client vào Domain hcm.bkaptech.vn:

▪ Máy Client BKAP-WRK08-01 tiến hành restart lại, logon bằng tài khoản
Administrator để kiểm tra.
-HẾT-

BÀI 10. CẤU HÌNH CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY
I. Mục tiêu
- Tạo và cấu hình tài khoản trên Domain Controller.

- Tạo OU , Group , User và cấu hình ủy quyền quản trị OU.
II. THỰC HÀNH
1. Bài thực hành 1: Tạo và cấu hình tài khoản trên Domain Controller.
Tạo tài khoản người dùng và tài khoản nhóm trên miền BKAPTECH.VN:
- Nhóm giảng viên: Vũ Văn Cường (cuongvv), Nguyễn Quốc Hưng (hungnq), Chu Hồng Quân
(quanch)
- Nhóm giám đốc: Nguyễn Hoài Duy (duynh)
- Thiết lập thuộc tính cho các đối tượng người dung và nhóm như sau:
o Tất cả các tài khoản người dùng trên là thành viên của nhóm Backup Operators.
o Tài khoản người dùng duynh và cuongvv phải thay đổi mật khẩu (password) khi đăng
nhập vào hệ thống lần đầu tiên.
o Người dùng quanch không được phép đổi mật khẩu từ máy trạm.
o Tạm khóa tài khoản hungnq vì người dùng bận việc bên ngoài.
o Nhân viên nhóm giảng viên được phép đăng nhập vào mạng từ 7h sáng đến 9h tối hàng
ngày, từ thứ 2 đến thứ 7.
o Người dùng quanch hết hạn làm việc vào ngày 10/10/2023
- Máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller: BKAPTECH.VN
- Máy trạm BKAP-WRK08-01 đã join vào miền BKAPTECH.VN

1.3. Mô hình Lab:
Hình 3.1
IP address 192.168.1.2 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1


- Thực hiện trên máy BKAP-DC12-01, tạo nhóm và tài khoản người dùng.
o Mở máy ảo BKAP-DC12-01, snapshot “DC” để quản lý miền BKAPTECH.VN.
o Vào dịch vụ Active Directory User and Computer để tạo OU, Group, User.
▪ Vào Server Manager / Tools / Active Directory User and Computer.

o Tiến hành tạo các đối tượng group:

▪ Tại Users , chuột phải chọn New / Group.
▪ Hoặc Click vào biểu tượng tạo Group trên thanh công cụ.
Hoặc
▪ Tại cửa sổ New object – Group, nhập vào tên Group.

• Group scope : Global
• Group Type : Security
▪ OK.

o Tiến hành tạo tài khoản người dùng ( User ) :

▪ Tại Users, click chuột phải chọn New / User
▪ Hoặc click vào biểu tượng tạo User trên thanh công cụ.
▪ OK.
Hoặc

▪ Để tạo User tên là Nguyen Quoc Hung, tại cửa sổ New Object – User,
nhập vào các thông số sau:
• First name: Nguyen Quoc
• Last name: Hung
• Full name: Nguyen Quoc Hung
• User logon name: hungnq ( @BKAPTECH.VN)

▪ Tại cửa sổ tiếp theo, nhập vào mật khẩu ( password ) của tài khoản hungnq:
( 123456a@ )
• Lưu ý:
o User must change password at next logon: tài khoản phải
thay đổi mật khẩu trong lần đăng nhập tiếp theo(khuyển
khích bỏ tùy chọn này).
o User cannot change password : Tài khoản không được
thay đổi password ( khuyến khích dùng tùy chọn này ).
o Password never expires: Mật khẩu không bao giờ hết hạn
( khuyến khích dùng tùy chọn này ).
o Account is disabled : Tài khoản bị khóa
( khuyến khích không dùng tùy chọn này ).

o Tiến hành Add User vào Group:

▪ Click chuột phải tại Group GG_S_GV, chọn Properties
▪ Tại cửa sổ GG_S_GV Properties, chuyển sang tab Members.
▪ Click vào Add…, Tại cửa sổ Select Users, Contacts, Computers ,

Service Accounts…. / Enter the object names to select , nhập vào User
cần add vào Group ( VD: nhập vào User hungnq@BKAPTECH.VN ) ( click
vào Check Names khi nhập tên User )
▪ OK.

o Add User vào Group thành công !!
o Quy trình tạo Group và User khác và add các User đã tạo vào Group theo bài lab,
làm tương tự như trên.

o Thêm tất cả người dùng vào nhóm Backup Operators:

▪ Chọn (bôi đen) tất cả user vừa lập ở trên. (hungnq, duynh, cuongvv,
quanch )
▪ Click chuột phải , chọn Add to a group…

▪ Tại cửa sổ Select Groups, Click vào Advanced…
▪ Tại cửa số Select Groups tiếp theo, Click vào Find Now.
▪ Tại mục Search results, chọn vào Backup Operators.

▪ Click vào OK để hoàn tất quá trình add tất cả User vào nhóm Backup
Operators.
o Tài khoản duynh và tài khoản cuongvv phải thay đổi password trong lần đăng nhập
đầu tiên.
▪ Chọn vào tài khoản duynh và cuongvv, Click chuột phải, chọn Properties.
▪ Tại cửa sổ Nguyen Hoai Duy Properties và Vu Van Cuong properties,
chuyển sang Tab Account.
▪ Tại Account options, bỏ chọn tại 2 tùy chọn User cannot change
password và Password never expires. Chọn vào tùy chọn đầu tiên ( User
must change password at next logon )
▪ OK.

o Tạm khóa tài khoản hungnq vì người dùng bận bên ngoài :
▪ Tại Cửa sổ Nguyen Quoc Hung Properties , trong Account options, chọn
vào tùy chọn Account is disabled
▪ OK.

o Nhóm GG_S_GV (hungnq, cuongvv, quanch) được phép đăng nhập vào hệ thống
từ 7h đến 21h , từ thứ 2 cho tới thứ 7:
▪ Chọn vào 3 tài khoản quanch, hungnq, cuongvv, Click chuột phải chọn
Properties.
▪ Tại cửa sổ Properties for Multiple Items, chuyển sang tab Account.
▪ Click chọn vào dòng chữ Logon hours, sau đó chọn vào Logon hours…
▪ Tại cửa sổ Logon hours, chỉnh các tùy chỉnh theo yêu cầu.
▪ OK.
- Chuyển qua máy trạm , thực hiện Join máy Client vào Domain, kiểm tra đăng nhập tài
khoản.
o Join máy Client vào Domain, đăng nhập bằng User administrator và Password
123456a@ để kiểm tra Join Domain .

o Đăng nhập tài khoản duynh và cuongvv để kiểm tra. ( User phải thay đổi mật khẩu
trong lần đăng nhập đầu tiên )
▪ Kiểm tra user duynh:

▪ Kiểm tra user cuongvv:

o User hungnq bị khóa tài khoản do bận việc bên ngoài :
2. Bài thực hành 2: Tạo OU, Group, User và cấu hình ủy quyền quản trị OU
2.1. Yêu cầu bài Lab:
+ Tạo OU, nhóm, và tài khoản người dùng theo mô hình Lab 3.2.
- Công ty đặt ở Hà Nội có các phòng ban :Technical, Sale, Marketing.
- Phòng ban Technical : Nguyễn Quốc Hưng (hungnq) , Chu Hồng Quân (quanch) thuộc
nhóm GG_S_Technicals.
- Phòng ban Sale : Lưu Văn Trưởng (truonglv), Lưu Văn Nghĩa (nghialv) thuộc nhóm
GG_S_Sales.
- Phòng ban Marketing : Nguyễn Tiến Cường (cuongnt) thuộc nhóm GG_S_Marketings.
+ Thiết lập quyền hạn cho các đối tượng người dùng như sau:
- Cấp cho tài khoản hungnq được phép quản lý phòng ban Technical.
+ Kết hợp với Deploy quản trị trên Window 8, Kiểm tra quyền hạn của các đối tượng OU Admin:
- Từ máy Client Windows 8, sử dụng Remote Server Administration Tools để đăng nhập
tài khoản quản trị hungnq, tạo tài khoản Vũ Văn Cường (cuongvv) ở phòng ban Technical.
+ Chuẩn bị máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller quản lý miền
BKAPTECH.VN.
+ Máy trạm BKAP-WRK08-01 đã join vào miền BKAPTECH.VN.
2.3. Mô hình Lab:
Hình 3.2
Sơ đồ địa chỉ như sau:

IP address 192.168.1.2 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferrred DNS Server 192.168.1.2 192.168.1.2


- Thực hiện trên máy BKAP-DC12-01, tạo OU, Group, User:
o Vào Server Manager / Tools.
o Mở dịch vụ Active Directory User and Computer để tạo các thuộc tính.
o Để tạo OU HANOI:
▪ Click chuột phải tại tên miền BKAPTECH.VN, chọn New /
Organizational Unit

▪ Tại cửa sổ New Object – Organizational Unit , nhập tên HANOI.

▪ OK.
o Tạo OU Technical trong OU HANOI:

▪ Click chuột phải tại OU HANOI, New / Organizational Unit.

▪ Tại cửa sổ New Object – Organizational Unit , nhập vào tên Technical
▪ OK.
o Tạo các OU Sale và OU Marketing tương tự OU Technical.

▪ Ta được kết quả sau:

o Tạo các Group, User trong các OU tương ứng với hình 3.2:
▪ Trong OU Technical, tạo Group GG_S_Technicals , User hungnq , User
quanch.
▪ Add 2 User hungnq và quanch vào Group GG_S_Technicals

▪ OK.

▪ Trong OU Sale, tạo Group GG_S_Sales , User truonglv, User nghialv.
▪ Add 2 User truonglv và nghialv vào Group GG_S_Sales.

▪ OK.

▪ Trong OU Marketing, tạo Group GG_S_Marketings, và User cuongnt.
▪ Add User cuongnt vào Group GG_S_Marketings.

▪ OK.

o Cấu hình ủy quyền cho tài khoản hungnq được phép tạo tài khoản.
▪ Tại OU Technical, Click chuột phải, chọn Delegate Control…
▪ Tại cửa sổ Delegation of Control Wizard, chọn vào Add…

▪ Tại cửa sổ Select Users, Computers, or Groups / mục Enter the object
names to select, nhập tên user hungnq (Click vào Check Names để máy
chủ kiểm tra tên User )
▪ OK.
▪ Sau khi add xong User, tại cửa sổ User or Groups, click vào Next.

▪ Tại cửa sổ Tasks to Delegate, chọn vào quyền hạn đầu tiên :Create, delete,
and manage user accounts.
▪ Finish.
- Kiểm tra: Chuyển qua máy trạm BKAP-WRK08-01, tiến hành Join máy Client vào
Domain, đăng nhập bằng tài khoản Administrator để kiểm tra Join đã thành công chưa.

o Cài đặt tool : Remote Server Administration Tools Window 8
o Chạy file Window 8.1 RSAT x64.

o Vào Start, tìm Administrative Tools để mở chương trình RSAT vừa cài đặt.

o Giao diện của chương trình RSAT:
o Chuyển qua tài khoản hungnq để kiểm tra.

o Vào chương trình RSAT vừa cài đặt, vào dịch vụ Active Directory User and
Computer.
o Tạo tài khoản Vũ Văn Cường (cuongvv)

o Tạo thành công User cuongvv
- Chuyển qua server BKAP-DC12-01 để kiểm tra.

o User cuongvv đã được đồng bộ sang DC
-HẾT-

BÀI 11. TRIỂN KHAI CHÍNH SÁCH GROUP POLICY TRONG ACTIVE
DIRECTORY
I. MỤC TIÊU
- Biết cách triển khai chính sách GPO cơ bản.

- Biết cách giám sát tệp tin và bắt xóa file.
- Biết cách triển khai chính sách giới hạn phần mềm.
II. THỰC HÀNH
1. Bài thực hành 1: Triển khai chính sách GPO cơ bản.

- Đặt màn hình nền Desktop tất cả các máy tính.
- Khóa Registry.
- Không hiển thị Last Logon.
- Khóa Task Manager.
- Cấm DOS Command.
- Remove RUN.
- Sao lưu phục hồi Group Policy.
1.2. Chuẩn bị:
- Một máy Windows Server 2019 Datacenter đã nâng cấp lên Domain Controller
:BKAPTECH.VN.
- Tạo các OU và user tương ứng:
o Nguyễn Quốc Hùng (hungnq) thuộc phòng ban IT (GG_S_IT)
o Lưu Văn Nghĩa (nghialv) thuộc phòng ban Sale (GG_S_Sale)
- Triển khai các chính sách trên phòng ban IT.
- Kiểm tra các chính sách khi áp dụng cho phòng ban IT bằng cách đăng nhập tài khoản thuộc
phòng ban IT trên máy BKAP-WRK08-01.

1.3. 3. Mô hình Lab:
Hình 11.1

IP address 192.168.1.2 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1
DNS server 192.168.1.2 192.168.1.2


• Thực hiện trên máy BKAP-DC12-01,tạo OU, group, User như mô hình, add user vào Group.
o Tạo thư mục wallpaper trong ổ C ( thư mục chứa background màn hình nền ) , tiến
hành chia sẻ thư mục.

• Cấu hình GPO trên máy BKAP-DC12-01 :Tạo các chính sách trên phòng ban IT.
o Vào Server Manager / Tools / Group Policy Management.
o Tại cửa sổ Group Policy Management, click chuột phải vào OU IT, chọn Create a
GPO in this domain, and Link it here…

o Tại cửa sổ New GPO, nhập vào :

▪ Name : set wallpaper
OK.
o Click chuột phải tại chính sách set wallpaper vừa tạo, chọn Edit..

o Tại cửa sổ Group Policy Management Editor, click chọn vào User Configuration /
Policies / Administrative Template.. / Desktop / Desktop.
▪ Chọn vào Desktop Wallpaper.
▪ Click vào Desktop Wallpaper, chọn Edit.

o Tại cửa sổ Desktop Wallpaper, click vào Enable.

▪ Tại Wallpaper Name : đưa vào đường dẫn folder wallpaper vừa share ở trên.
▪ Wallpaper Name : \\192.168.1.2\wallpaper\abc.jpg
o Cập nhật GPO:

▪ Cmd / gõ lệnh gpupdate /force

• Chuyển sang máy Client Win10, đăng nhập bằng tài khoản hungnq trong phòng ban IT để
kiểm tra.
o Client đã câp nhật màn hình nền thành công.

• Chuyển về máy BKAP-DC12-01, tạo chính sách Block Registry.

o Click chuột phải tại OU IT, chọn Create a GPO in this domain…
o Tại cửa sổ New GPO, nhập vào tên Name : Block registry.

o Click chuột phải vào chính sách Block Registry vừa tạo, chọn Edit.
o Tại cửa sổ Group Policy Managerment Editor, chọn vào mục User Configuration /
Policies / Administrative Templates .. / System ,chọn vào chính sách Prevent access
to registry editing tools., tại đây click chuột phải chọn Edit.

o Tại cửa sổ Prevent access to registry editing tools , click chọn vào Enable , Apply ,
OK.
o Cập nhật chính sách bằng lệnh gpupdate /force trong cmd.
• Chuyển sang máy Client Win 10 đăng nhập bằng tài khoản hungnq trong phòng ban IT để
kiểm tra.

• Chuyển sang máy BKAP-DC12-01, tạo thêm chính sách chặn Task Manager.
o Click chuột phải tại OU IT, chọn Create a GPO in this domain…
o Tại cửa sổ New GPO, nhập vào tên chính sách Name : Chặn Task Manager.
o Click chuột phải vào chính sách vừa tạo, chọn Edit.

o Tại cửa sổ Group Policy Management Editor, chọn vào User Configuration /
Policies / Administrative Template… / System / Ctrl+Alt+Del Options. Chọn vào
chính sách Remove Task Manager.
o Tại cửa sổ Remove Task Manager , click vào Enable , Apply , OK.

• Chuyển sang máy Client Win 8 kiểm tra, Task Manager đã bị khóa.

• Chuyển về máy BKAP-DC12-01, tại OU IT, tạo chính sách Block cmd.
o Tại cửa sổ Group Policy Management Editor, click vào User Configuration /…
System , chọn vào chính sách Prevent access to the command prompt.
▪ Tại chính sách này, click chuột phải chọn Edit, Enable , Apply , OK.

• Chuyển sang máy Client Win 8 kiểm tra chính sách Block cmd.

2. Bài thực hành 2: Giám sát tệp tin và yêu cầu xóa file.
- Tạo OU, tài khoản người dùng và tài khoản nhóm theo miền BKAPTECH.VN
- Tạo lần lượt các thư mục IT , Sale trên máy BKAP-SRV12-01.
- Cấu hình giám sát tệp tin và yêu cầu xóa File
- Kiểm tra sau khi xóa file.
- Máy BKAP-DC12-01 dùng để tạo OU, Group, User.
- Máy BKAP-SRV12-01 Join vào miền, dùng để tạo thư mục và phân quyền truy cập thư mục.
- Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra xóa file.
2.3. Mô hình Lab:
Hình 11.2
IP address 192.168.1.2 192.168.1.3 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1 192.168.1.1
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2


• Trên máy BKAP-DC12-01, thực hiện tạo OU, Group, User, add User vào Group.

o Kiểm tra phân giải địa chỉ IP :
• Chuyển sang máy BKAP-SRV12-01, tiến hành Join vào domain, đăng nhập bằng tài khoản
Administrator.
Vào ổ C của máy SRV12-01. Tạo thư mục HN, trong thư mục HN, tạo 2 thư mục IT
o
và Sale.
o Tiến hành chia sẻ, phân quyền 2 thư mục IT và Sale
o Cấu hình ghi lại hoạt động của thư mục:

▪ Trong cửa sổ Advanced Security Settings for IT, chuyển sang tab Auditing,
tại đây click vào Add.

▪ Tại cửa sổ Auditing Entry for IT, click vào dòng chữ xanh Select a principal.
▪ Tại cửa sổ Select User, Computer … thêm vào group GG_S_IT.

▪ Chọn vào dòng chữ xanh Show advanced permissions.
▪ Tại cửa sổ Advanced permissions, bỏ chọn các quyền đã được tích dấu, chọn
vào các quyền sau:
• Create file / write data
• Create folders / append data
• Write attributes
• Write extended
• Detele subfolder
• Delete.
▪ OK.

o Trong thư mục IT, tạo các thư mục và các file con để kiểm tra.
• Chuyển sang máy Domain Controller triển khai chính sách ghi lại hoạt động của thư mục.
o Vào dịch vụ Active Directory User and Computer, di chuyển máy BKAP-SRV12-01
vào OU IT.

o Triển khai chính sách xóa File trong các phòng ban:
▪ Vào Group Policy Management.
▪ Tại OU HANOI, tạo 1 chính sách tên “bắt xóa file”.
▪ Click chuột phải tại chính sách vừa tạo, chọn Edit.
o Trong cửa sổ Group policy Management Editor, click vào Compuer Configuration
/ Policies / Windows Settings / Security Settings / Local Policies / Audit Policy.
▪ Chọn chính sách Audit object access.
▪ Click chuột phải tại chính sách này, chọn Properties.

▪ Tại cửa sổ Audit object access Properties, click chọn vào Define these policy
settings và 2 tùy chọn Success , Failure.
▪ Apply / OK.
o Sử dụng lệnh gpupdate /force trong cmd để áp dụng chính sách.

• Chuyển sang máy Client Win 8, Join vào Domain, đăng nhập bằng tài khoản hungnq trong
phòng ban IT, truy cập vào thư mục IT ,xóa File cũ, tạo File mới.
o Xóa file cũ, tạo File mới.

• Chuyển sang máy BKAP-SRV12-01 kiểm tra xóa file:

o Vào Event Viewer.
o Trong cửa sổ Event Viewer, click chọn Windows Log / Security
o Click chuột phải tại Security / chọn Filter Current Log.
o Tại cửa sổ Filter Current Log , nhập vào ID 5145, tiến hành kiểm tra.

3. Bài thực hành 3: Triển khai chính sách (GPO) giới hạn sử dụng phần mềm.
- Tạo OU, tài khoản người dùng và Group theo miền.
- Triển khai chính sách chặn phần mềm Firefox.
- Sử dụng tài khoản trong miền kiểm tra truy cập sau khi chặn dịch vụ.
- Máy BKAP-DC12-01 dùng để tạo OU, Group, User, quản lý miền BKAPTECH.VN
- Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra.
3.3. Mô hình Lab:
Hình 11.3
Thông số BKAP-DC12-01 BKAP-SRV12-01
IP address 192.168.1.2 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1
DNS Server 192.168.1.2 192.168.1.2


• Trên máy BKAP-DC12-01, tạo OU, Group, User , Add User vào Group
o Di chuyển máy Client vào OU IT
o Tạo chính sách chặn phần mềm Firefox.

▪ Tại cửa sổ Group Policy Management , tạo chính sách “Chặn Firefox” cho
phòng ban IT.

o Click chuột phải tại chính sách vừa tạo, chọn Edit.
o Tại cửa sổ Group Policy Management Editor , chọn vào Computer Configuration
/ Policies / Windows Settings / Security Settings / Application Control Policies /
Applocker
▪ Click chuột phải tại Applocker chọn Properties.

o Tại cửa sổ Applocker Properties / Tab Enfocement , Tích vào Configured tại
Executable rules / OK.
o Click vào Applocker / Executable Rules , click chuột phải chọn Create New Rule…

o Tại cửa sổ Create Executable Rules / Permissions :

▪ Action : Deny
o Tại cửa sổ Publisher ,Browse đến “firefox” trong ổ C
▪ Kéo con trỏ ở dưới lên phần Any publisher.
▪ Next.
o Tại cửa sổ Name and Description nhập vào:
▪ Name : Chan Firefox.
▪ Create.
o Xóa Rule BULTIN\Administrator …

o Tại Group Policy Management / Computer Configuration / … Secutiry Settings /

System Services , chọn vào Application Identity.
▪ Click chuột phải tại Application Identity, chọn Properties.
o Tại cửa sổ Application Identity Properties , chọn vào Automatic.

o Sử dụng câu lệnh gpupdate /force trong cmd để áp dụng chính sách.
• Chuyển sang máy Client Win 8, đăng nhập bằng tài khoản hungnq trong phòng ban IT để kiểm
tra

BÀI 12. PHÂN QUYỀN VÀ CHIA SẺ DỮ LIỆU TRONG ACTIVE DIRECTORY
I. MỤC TIÊU
- Cấu hình và phân quyền chia sẻ dữ liệu.

- Cấu hình Shadow Copies và Windows Server Backup.
- Cấu hình Offline Files.
II. THỰC HÀNH
1. Bài thực hành 1: Cấu hình và phân quyền chia sẻ dữ liệu.

1.1. 1. Yêu cầu bài lab:
- Tạo OU, tài khoản người dùng và tài khoản nhóm theo miền BKAPTECH.VN.
- Tạo lần lượt các thư mục tương ứng trên máy BKAP-SRV12-01 theo bảng:
Thư mục Group NTFS Permission
IT GG_S_IT Modify
Sale GG_S_Sale Modify
1.2. 2. Yêu cầu chuẩn bị:

- Máy BKAP-DC12-01 dùng để tạo OU, Group, User.
- Máy BKAP-SRV12-01 Join vào miền dùng để tạo thư mục và phân quyền truy cập thư mục.
- Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra thư mục sau khi phân quyền.

1.3. 3. Mô hình Lab:
Hình 10.1
IP address 192.168.1.2 192.168.1.3 192.168.1.10
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0

1.5. Hướng dẫn chi tiết :

• Thực hiện trên máy BKAP-DC12-01, tạo OU, Group, User.
o Tạo OU HN.
o Trong OU HN, tạo OU Sale và OU IT.
o Trong OU IT, tạo Group GG_S_IT, và User hungnq, add User hungnq vào group
GG_S_IT.

o Trong OU Sale, tạo Group GG_S_Sale và User nghialv, Add user nghialv vào Group
GG_S_Sale.

• Chuyển sang máy BKAP-SRV12-01 để cấu hình chia sẻ tài nguyên cho các phòng ban.
o Join máy BKAP-SRV12-01 vào Domain.

o Vào ổ C, tiến hành tạo Folder “Data” , trong folder Data, tạo 2 Folder IT và Sale.
o Tiến hành Share thư mục IT( các tài khoản trong nhóm GG_S_IT được phép đọc và
sửa tài liệu trong thư mục IT ).
▪ Click chuột phải vào thư mục IT, chọn Properties.
▪ Tại cửa sổ IT Properties, chuyển sang tab Sharing.

▪ Tại tab Sharing, click vào Advanced Sharing…

▪ Tại cửa sổAdvanced Sharing , click tích vào Share this folder.
▪ Click vào Permissions,tại cửa sổ Permissions for IT, thực hiện

RemoveGroup Everyone, Add group GG_S_IT tại khung Group or user
name.
▪ Tại khung Permissions bên dưới, click chọn 2 quyền Change và Read.

▪ Apply / OK.
o Tại cửa sổ IT Properties,chuyển sang Tab Security, click chọn vào Advanced
▪ Tại cửa sổ Advanced Security Settings for IT, click vào Disable
inheritance( bỏ quyền kế thừa ).

▪ Tại cửa sổ Block Inheritance , chọn vào Remove all inherited permissions
from this object.
▪ OK.
o Tại cửa sổ IT Properties, tab Security, click vào Edit, tại cửa sổ Permissions for IT,
click vào Add..

▪ Tại cửa sổ Select Users, Computers, Service Accounts, or Groups, nhập vào
tên User Administrator và Group GG_S_IT.
▪ Phân quyền tương ứng như sau:
• Administrator : Full control
• GG_S_IT : Modify

o Thực hiện tương tự đối với thư mục Sale. Kết quả như sau:

• Chuyển sang máy Client Win 8 đăng nhập bằng tài khoản người dùng để kiểm tra.
o Join máy Client BKAP-WRK08-01 vào Domain.

o Đăng nhập bằng tài khoản hungnq của phòng ban IT.
o Truy cập vào địa chỉ của máy BKAP-SRV12-01 để lấy dữ liệu.

▪ Tài khoản hungnq ở trong phòng ban IT nên truy cập được vào thư mục IT.
▪ Tài khoản hungnq ko thuộc phòng ban Sale nên ko truy cập được vào thư mục
Sale.

o Tương tự,kiểm tra tài khoản nghialv.
2. Bài thực hành 2: Cấu hình Shadow Copies và Windows Server Backup
- Cấu hình Shadow Copies: Tạo Shadow Copies sau đó xóa File trên ổ để kiểm tra.
- Cấu hình Windows Server Backup : Đặt lịch, tạo Backup, xóa File để kiểm tra.
- Chuẩn bị một máy Server Windows Server 2012 Datacenter (BKAP-SRV12-01)
- Chuẩn bị thêm một ổ cứng trên máy BKAP-SRV12-01
2.3. Mô hình Lab:
Hình 10.2
Thông số BKAP-DC12-01 BKAP-SRV12-01
IP address 192.168.1.2 192.168.1.3
Subnet Mask 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1

• Thực hiện trên máy BKAP-SRV12-01, add thêm ổ cứng vật lý.

o Cấu hình tạo thêm ổ cứng E, F, môi ổ cứng có dung lượng 5 G :

o Cấu hình Shadow Copies:

▪ Tạo các thư mục , các file trong ổ F :

▪ Tại cửa sổ Computer, click chuột phải tại ổ F, chọn Properties.
▪ Tại cửa sổ Data02 (F:) Properties , chuyển sang tab Shadow Copies.

▪ Tại Tab Shadow Copies, click vào Enable.
▪ Tại cửa sổ Enable Shadow Copies, click vào Yes.

▪ Tại Shadow copies of selected volume, click vào thời gian trong khung bên
dưới, sau đó click chọn vào Create Now.

▪ Vào ổ F, xóa toàn bộ các file , thư mục vừa tạo.
▪ Tại Computer, click chuột phải vào ổ F, chọn Properties.

▪ Tại cửa sổ Data02 (F:) Properties , click vào dòng thời gian vừa tạo bên trên,
sau đó click vào Revert…

▪ Tại cửa sổ Volume Revert , click chọn vào dòng Check here if you want to
revert this volume , sau đó click vào Revert Now.
▪ OK.
o Cấu hình Shadow Copies đã thành công.

o Vào ổ C, tạo thư mục HN, trong thư mục HN, tạo các thư mục IT và Sale.
▪ Trong thư mục IT, tạo các thư mục tài liệu con như sau :

o Cài đặt công cụ Windows Server Backup:

▪ Server Manager / Add Roles and Features.
▪ Tại cửa sổ Select features , click chọn vào Windows Server Backup.
▪ Tại các cửa sổ tiếp theo, click vào Install để máy chủ tiến hành cài đặt.

▪ Cấu hình dịch vụ Windows Server Backup:

• Vào Tools / Windows Server Backup.
o Tại cửa sổ wbadmin – [Windows Server Backup(Local)\Local Backup] , click chọn

vào Local Backup.

o Click vào Backup Once… tại khung Local Backup bên phải.
o Tại cửa sổ Backup Options , click vào Next.
o Tại cửa sổ Select Backup Configuration ,click chọn vào Custom, sau đó click vào
Next.

▪ Tại cửa sổ Select Item for Backup, click vào Add Items
▪ Tại cửa sổ Select Items , click chọn vào thư mục HN trong ổ C.

▪ Click vào Next tại cửa sổ Select Item for Backup.
▪ Tại cửa sổ Specify Destination Type, chọn Local drives , click vào Next.

▪ Tại cửa sổ Select backup Destination, chọn ổ đĩa Data01 (E:) tại dòng
Backup destination.
▪ Tại cửa sổ Confirmation, click vào Backup.

o Máy chủ tiến hành backup.
o Vào ổ C, tiến hành xóa thư mục HN.

o Vào cửa sổ wbadmin – [Windows Server Backup (Local)\Local Backup] , click vào
Recover…
o Tại cửa sổ Getting Started, click vào Next (Chọn This server (BKAP-SRV12-01) )

o Tại cửa sổ Select Backup Date , (chọn ngày) click vào Next.
o Tại cửa sổ Select Recovery Type , chọn vào File and folders, click vào Next.

o Tại cửa sổ Select Items to Recover, chọn vào thư mục HN. Click vào Next.
o Tại cửa sổ Specify Recovery Options , click vào Next.

o Tại cửa sổ Confirmation, click vào Recover.
o Tại cửa sổ Recovery Progress , chờ máy chủ Recover xong, click vào Close để kết
thúc tiến trình.

o Khôi phục lại thành công.
• Đặt lịch Backup:

o Tại cửa sổ wbadmin – [Windows Server Backup (Local)\(Local Backup] ,click chọn
vào Backup Schedule…

o Tại cửa sổ Select Backup Configuration , cick chọn vào Custom, Next.
o Tại cửa sổ Select Items for Backup, click vào Add Items.

o Tại cửa sổ Select Items, chọn vào thư mục HN.
o Tại cửa sổ Specify Backup Time , chọn thời gian để máy chủ Backup.

o Tại cửa sổ Specify Destination Type , click chọn vào Back up to a volume.Next.
o Tại cửa sổ Select Destination Volume ,click vào Add, tại cửa sổ Add Volume , click
chọn vào ổ Data2 (F:) , OK.

o Tại các cửa sổ tiếp theo, click vào Next và Finish để kết thúc tiến trình.

3. Bài thực hành 3: Cấu hình Offline Files.

- Cấu hình Offline Files.
- Kiểm tra sau khi cấu hình.
- Máy BKAP-DC12-01 quản lý miền BKAPTECH.VN, dùng để tạo OU, Group, User.
- Máy BKAP-SRV12-01 Join vào miền dùng để cấu hình Offline File.
- Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra sau khi cấu hình.
3.3. Mô hình Lab:
Hình 10.3
IP address 192.168.1.2 192.168.1.3 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1 192.168.1.1


• Trên máy BKAP-DC12-01, thực hiện tạo OU, Group, User. Add User vào Group.
• Chuyển sang máy BKAP-SRV12-01, Join vào Domain, đăng nhập bằng tài khoản Administrator
của miền.

o Tạo thư mục chia sẻ và cấu hình Offline cho phòng ban IT.
▪ Vào ổ C, tạo thư mục HN , trong thư mục HN, tạo 2 thư mục con là IT và
Sale.
o Click chuột phải vào thư mục IT. Chọn Properties, tại cửa sổ IT Properties, click
chọn vào Advanced Sharing…
▪ Tại cửa sổ Advanced Sharing, click chuột vào Permissions.

o Tại cửa sổ Permissions fot IT, thực hiện xóa group Everyone, sau đó tiến hành Add
vào Group GG_S_IT( GG_S_IT có quyền Change và Read ).

o Cấu hình Offline trên thư mục IT:

▪ Tại cửa sổ Advanced Sharing, click chuột vào Caching.
▪ Tại cửa sổ Offline Settings, click chuột vào dòng Add files and programs that
users open form the shared folder are automatically available offline. OK.

o Tại cửa sổ IT Properties, chuyển sang tab Security , sau đó click vào Advanced.
o Tại cửa sổ Advanced Security Setting for IT, click vào Disable inheritance.

o Tại cửa sổ Block Inheritance, click chọn vào dòng Remove all inherited permissions
from this object. OK.
o Tại cửa sổ IT Properties / Tab Security. Click vào Edit.

o Tại cửa sổ Permissions for IT, click vào Add, tiến hành add User Administrator và
Group GG_S_IT vào khung Group or user names.Phân quyền như sau:
▪ Administrator : Full control
▪ GG_S_IT : Modify

• Thư mục Sale tiến hành Share bình thường, ko cấu hình Offline file.

o Trong folder IT tạo các tài liệu IT
o Trong folder Sale tạo các tài liệu Sale :

• Chuyển sang máy Clien Win 8 thực hiện Join vào domain để kiểm tra.
o Đăng nhập bằng User hungnq trong phòng ban IT.
▪ User hungnq không thuộc phòng ban Sale nên ko truy cập được vào thư mục
Sale.

▪ User hungnq thuộc phòng ban IT nên được phép truy cập vào thư mục IT.
o Cấu hình Offline trên máy Client:

▪ Tại cửa sổ Network , click vào thư mục IT đã được share, chọn Always
available offline.

▪ Tiếp theo click vào Map Network Drive…

o Logout tài khoản hungnq, đăng nhập bằng tài khoản nghialv.
▪ Click vào thư mục Sale đã được share, chọn Map network Drive…

o Đăng nhập lại tài khoản hungnq.

• Chuyển sang máy BKAP-SRV12-01 , tiến hành tắt card mạng để kiểm tra Offline.
• Chuyển sang máy Client Win 8, tiến hành kiểm tra.

o Đăng nhập bằng tài khoản hungnq đã cấu hình offline file , truy cập vào ổ đĩa Z thành
công.

o Kiểm tra truy cập thư mục Sale bằng tài khoản nghialv, ko truy cập được thư mục, do
tài khoản này ko được cấu hình offline file.
4. Bài thực hành 4: Cấu hình thư mục làm việc

4.1. Yêu cầu bài Lab
1. Cài đặt Role Work Folders
2. Tạo Sync Share
3. Enable SMB Access
4. Kiểm tra
4.2. Chuẩn bị
Mô hình bài lab bao gồm 2 máy:
- BKAP-DC12-01: Windows Server 2012 R2 DC (Domain: BKAPTECH.VN)
- Windows 10 Pro đã join domain.
B1 – Trên BKAP-SRV12-01, tạo OU Member. Move B2 – Add 2 user teo, ti vào group Sales
BKAP-WRK08-01 vào OU Member. Trong OU
Member, tạo user teo, ti và group Sales.

B3 – Chuột phải user teo, chọn Properties.

Tab General → Mục Email, điền vào
teo@bkaptech.vn
B4 – Thực hiện tương tự khai báo email cho user ti.
4.3. THỰC HÀNH

4.3.1. Cài đặt Role Work Folders
Trên máy BKAP-DC12-01
B1 – Mở Server Manager → menu Manage → B3 – Chọn Add Features → Next
chọn Add Roles and Features
B4 – Nhấn Install để cài đặt → Close
B2 – Các bước đầu tiên nhấn Next theo mặc
định. Màn hình Select Server Roles → chọn
Work Folders → Next.

4.3.2. Tạo Sync Share

Trên máy BKAP-SRV12-01
B1 – Quay lại Server Manager → chọn File and B2 – Chọn Work Folders → To create a sync share
Storage Services for Work Folders, start the New Sync Share
Wizard.
B3 – Màn hình Before you begin → Next B4 – Màn hình Server and path → Enter a local
path, nhập C:\SaleShared → Next
B5 – Nhấn OK để tạo mới thư mục
B6 – Chọn User Alias → Next B7 – Màn hình Sync Share Name → giữ nguyên
như mặc định → Next
B8 – Màn hình Sync Access → nhấn Add → Chọn
thêm group Sales → Check Names → OK → Next
B9 – Chọn ô Encrypt Work Folders → Next
B10 – Màn hình Confirmation → Create → Close

B11 – Quan sát thấy Sync Share vừa tạo.

4.3.3. Enable SMB Access (Thực hiện trên máy BKAP-SRV12-01)

B1 – Mở File Explorer → Chuột phải vào B3 – Nhấn Done
C:\SaleShared → Share with → Specific people
B2 – Add group Sales → Phân quyền Read/Wrire

→ Share → Done
4.3.4. Kiểm tra

Trên máy BKAP-WRK08-01
B1 – Log on user ti, trong mục search, nhập vào B2 – Trong cửa sổ CMD, nhập vào đoạn script sau:
CMD → nhấp chuột phải lên Command Prompt chọn Reg add
Run as administrator HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\
WorkFolders /v AllowUnsecureConnection /t
REG_DWORD /d 1
→ Enter.
B3 – Mở Control Panel, chọn Work Folder → Set up Work

Folders

B5 – Trong phần Work Folders URL: nhập vào http://BKAP-

SRV12-01.bkaptech.vn
B4 – Chọn dòng Enter a Work Folders URL instead
B6 – Kiểm tra thấy có đường dẫn Work Folders của user teo
→ Next
B7 – Check vào ô I accpet these policies on my PC

→ Setup Work Folders

B9 – Quan sát thấy dữ liệu.
B8 – Màn hình User Account Control → Nhập vào

username và password của account administrator của
máy Domain → Yes → Close
B10 – Quan sát trong File Explorer thấy có thêm B11 – Dữ liệu được đồng bộ hóa. User teo ngồi ở bất kì máy
Work Folder nào cũng sẽ thấy Work Folder này.
B12 – Thực hiện lại với user ti.
-HẾT-

BÀI 13. TẠO NHÓM VÀ NGƯỜI DÙNG BẰNG CÔNG CỤ POWERSHELL
I. MỤC TIÊU
- Tạo OU, tài khoản người dùng và nhóm thông qua PowerShell.
- Sử dụng PowerShell Script để tạo tài khoản người dùng với số lượng lớn.
II. THỰC HÀNH
1. Bài thực hành 1: Tạo OU, tài khoản người dùng và nhóm thông qua PowerShell.
Tạo OU, tài khoản người dùng và nhóm trên miền BKAPTECH.VN sử dụng tập lệnh trên PowerShell:
- Công ty đặt ở Hà Nội có các phòng ban: Technical, Sale, Marketing
- Phòng ban Technical: User Nguyễn Quốc Hưng (hungnq), Chu Hồng Quân (quanch) thuộc
nhóm Technicals.
- Phòng ban Sale :User Lưu Văn Trưởng (truonglv) , Lưu Văn Nghĩa (nghialv) thuộc nhóm
Sales.
- Phòng ban Marketing: User Nguyễn Tiến Cường (cuongnt) thuộc nhóm Marketings.
- Chuẩn bị 1 máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller quản lý miền
BKAPTECH.VN.
- Chuẩn bị máy trạm BKAP-WRK08-01 đã Join vào miền BKAPTECH.VN.
1.3. Mô hình lab:
Hình 4.1


IP Address 192.168.1.2 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Prefferred DNS Server 192.168.1.2 192.168.1.2

- Thực hiện trên máy BKAP-DC12-01:
o Mở công cụ PowerShell trên thanh Taskbar.
- Thực hiện các câu lệnh tạo OU:

o Di chuyển vào trong ổ C:
▪ cd c:\
o Tạo OU HANOI:
▪ New-ADOrganizationalUnit HANOI
o Tạo OU Technical thuộc OU HANOI.
▪ Dsadd ou “ou=Technical,ou=HANOI,dc=bkaptech,dc=vn”
o Tạo OU Sale thuộc OU HANOI.
▪ Dsadd ou “ou=Sale,ou=HANOI,dc=bkaptech,dc=vn”
o Tạo OU Marketing thuộc OU HANOI.
▪ Dsadd ou “ou=Marketing,ou=HANOI,dc=bkaptech,dc=vn”

▪ Ta được kết quả dưới đây:

- Thực hiện các câu lệnh tạo user:

o Di chuyển vào trong ổ C:
▪ Cd c:\
o Tạo User hungnq, quanch trong OU Technical:
▪ New-ADUser -Name hungnq -DisplayName “Nguyen Quoc Hung” -
GivenName “Nguyen Quoc” -Surname “Hung” -Path
“ou=Technical,ou=HANOI,dc=bkaptech,dc=vn”
▪ New-ADUser -Name quanch -DisplayName “Chu Hong Quan” -
GivenName “Chu Hong” -Surname “Quan” -Path
“ou=Technical,ou=HANOI,dc=bkaptech,dc=vn”
o Các user còn lại dùng câu lệnh trên tạo tương tự.
- Thực hiện câu lệnh đặt mật khẩu cho tài khoản người dùng:
o Đặt mật khẩu cho tài khoản hungnq.
▪ Set-ADAccountPassword hungnq
▪ Làm tương tự đối với các tài khoản khác.

- Thực hiện câu lệnh Enable tài khoản người dùng:
o Enable tài khoản hungnq:
▪ Enable-ADAccount hungnq
▪ Làm tương tự đối với các tài khoản khác.
- Thực hiện câu lệnh tạo Group:

o Tạo Group Technicals trong OU Technical:
▪ New-ADgroup Technicals -Path
“ou=Technical,ou=HANOI,dc=bkaptech,dc=vn” Global -
GroupCategory Security
▪ Làm tương tự đối với các Group còn lại.
- Thực hiện câu lệnh gán tài khoản người dùng vào nhóm tương ứng:
o Gán tài khoản hungnq vào nhóm Technicals:
▪ Add-ADGroupMember Technicals -Members hungnq
▪ Làm tương tự đối với các tài khoản và nhóm khác.
- Thực hiện câu lệnh kiểm tra thông tin nhóm tài khoản:
o Kiểm tra thông tin nhóm Technicals:
▪ Get-ADGroup Technicals
- Chuyển sang máy Client BKAP-WRK08-01:

o Tiến hành Join máy Client vào Domain.
o Kiểm tra đăng nhập tài khoản.

2. Bài thực hành 2: Sử dụng Powershell Script để tạo tài khoản người dùng với số lượng
lớn.
- Cho sẵn file Excel có sẵn với nội dung như bảng sau :
- Sử dụng PowerShell Script để tạo tài khoản người dùng với số lượng lớn.
2.2. Yêu cầu chuẩn bị :
- Trên máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller quản lý miền
BKAPTECH.VN. Máy DC đã cài đặt Microsoft Excel 2010 hoặc Microsoft Excel 2013.
- Máy trạm BKAP-WRK08-01 đã join vào miền BKAPTECH.VN.
- Chuẩn bị tools : Quest ActiveRoles Mangement Shell Version 1.5.1
- Đoạn mã: PowerShell Script.
2.3. Mô hình Lab :
Hình 4.2

2.4. Sơ đồ địa chỉ IP :

IP address 192.168.1.2 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1
DNS Server 192.168.1.2 192.168.1.2
2.5. Hướng dẫn chi tiết :
• Thực hiện trên máy BKAP-DC12-01, thực hiện tạo sẵn các OU, Group như mô hình.
o Soạn 1 file Excel với nội dung sau :
o Lưu file ở dạng đuôi mở rộng là CSV ( Comma Delimited) (*.csv)

▪ Đặt tên file là NewUsers.csv
o Mở đoạn Code PowerShell Script và sửa cho phù hợp với hệ thống.
o Cài đặt .Net Framework 3.5 :

o Cài đặt tool : ActiveRoleManagementShell_x64_1.6.0
o Vào PowerShell, gõ lệnh Set-ExecutionPolicy Unrestricted.
o Tiếp theo gõ lệnh Add-PSSnapin quest.activeroles.admanagement

o Vào ổ C, tạo thư mục “bin”.

o Copy file Excel và file PowerShell vào thư mục “bin” .
o Vào PowerShell, gõ lệnh di chuyển đến ổ C

▪ Cd c:\
▪ Gõ lệnh dir để liệt kê các thư mục trong ổ C.
▪ Gõ lệnh cd bin để di chuyển vào thư mục bin

▪ Lệnh dir để liệt kê các file trong thư mục bin.
o Gõ lệnh .\NewUsers.ps1 để chạy file Powershell trong thư mục bin.

▪ Kết quả như sau:
o Vào Active Directory User and Computer để kiểm tra.

BÀI 14. CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ DHCP
I. MỤC TIÊU
- Cài đặt và cấu hình quản lý DHCP Server kết hợp với AD.
- Cài đặt và cấu hình DHCP Relay Agent.
- Sao lưu và khôi phục DHCP Server.
II. THỰC HÀNH
1. Bài thực hành 1: Cài đặt và cấu hình quản lý DHCP Server kết hợp với AD
Cài đặt và cấu hình dịch vụ DHCP Server trên máy Server BKAP-SRV12-01 với yêu cầu sau:
- Tạo một Scope có tên là [192.168.1.0] DHCP – LANA.
- Trừ ra các địa chỉ dành cho Gateway và các máy Server, Print là : 192.168.1.1 – 192.168.1.20.
- Cho phép các máy trạm nhận địa chỉ từ : 192.168.1.21 – 192.168.1.254
- Domain :BKAPTECH.VN.
- Router :192.168.1.1.
- DNS Server :192.168.1.2.
- Thiết lập địa chỉ IP cố định cho máy trạm có tên là BKAP-WRK08-02.
- Chuẩn bị máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller để quản lý miền
BKAPTECH.VN.
- Chuẩn bị máy Server BKAP-SRV12-01 đã Join vào Domain BKAPTECH.VN.
- Máy trạm BKAP-WRK08-01 , BKAP-WRK08-02 đã Join vào miền BKAPTECH.VN.

1.3. Mô hình Lab:
Hình 6.1
IP address 192.168.1.2 192.168.1.3 DHCP Client
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1


• Thực hiện trên máy server BKAP-SRV12-01:
o Cài đặt dịch vụ DHCP Server.
▪ Mở Server Manager / Add roles and features.
▪ Tại cửa sổ Select server roles , click chọn vào dịch vụ DHCP Server. Sau đó
nhấn vào Next.

▪ Tại cửa sổ Confirm installation selections, click vào Install để Server bắt đầu
cài đặt dịch vụ DHCP.
▪ Sau khi máy chủ cài đặt xong, click vào Close để kết thúc quá trình cài đặt.
o Thực hiện cấu hình dịch vụ DHCP Server:

▪ Vào Server Manager / Tools ,chọn vào DHCP.
▪ Trong cửa sổ DHCP, chuột phải tại IPv4, chọn New Scope…

▪ Tại cửa sổ Scope Name, nhập tên của scope: DHCP – LANA, sau đó click vào
Next.
▪ Tại cửa sổ IP Address Range / Start IP address và End IP address, nhập dải
địa chỉ IP DHCP server cấp phát cho toàn mạng. (192.168.1.1 – 192.168.1.254)

▪ Tại cửa sổ Add Exclusions and Delay / Start IP address và End IP address
nhập dải địa chỉ DHCP server trừ ra không cấp phát cho các máy Client.
(192.168.1.1 – 192.168.1.20 ), sau đó click vào Add.
▪ Tại cửa sổ Lease Duration, đây là thời gian hiệu lực của 1 địa chỉ IP do DHCP
server cấp phát xuống máy Client.

▪ Tại cửa sổ Configure DHCP Options, chọn Yes, I want to configure these
options now.
▪ Tại cửa sổ Router (Default Gateway) / IP address, nhập địa chỉ 192.168.1.1,
sau đó click vào Add.

▪ Tiếp tục click vào Next tại các cửa sổ Domain Name and DNS Servers và
cửa sổ WINS Servers.
▪ Tại cửa sổ Activate Scope, chọn Yes, I want to activate this scope now.
▪ Tại cửa sổ tiếp theo, click vào Finish để kết thúc quá trình cấu hình dịch vụ
DHCP Server.

• Chuyển qua máy trạm BKAP-WRK08-01, cấu hình chế độ nhận IP động.
o Vào card mạng của máy BKAP-WRK08-01, chỉnh card mạng ở chế độ Obtain an IP
address automatically.
o Mở cmd, gõ lệnh ipconfig /all để kiểm tra DHCP Server cấp địa chỉ IP động.

• Chuyển về máy BKAP-SRV12-01, thiết lập địa chỉ cố định cho máy trạm BKAP-WRK08-02.
o Mở dịch vụ DHCP, tại Reservations, click chuột phải chọn New Reservation.
o Trong cửa sổ New Reservation, nhập vào các thông số sau:
▪ Reservation name : BKAP-WRK08-02
▪ IP address : 192.168.1.50
▪ MAC address : ( nhập địa chỉ Physical Address của máy BKAP-WRK08-02 )
Địa chỉ MAC của máy WRK08-02

• Chuyển sang máy Client BKAP-WRK08-02 kiểm tra:

2. Bài thực hành 2: Cài đặt và cấu hình DHCP Relay Agent.
- Trên máy BKAP-DC12-01 thực hiện các công việc sau:
o Tạo Scope 1 [192.168.1.0] DHCP – LAN A
o Và Scope 2 [ 131.107.1.0] DHCP – LAN B
o Sử dụng DNS Server : BKAPTECH.VN, IP là 192.168.1.2
- Trên máy Server BKAP-SRV12-01 thực hiện các công việc sau:
o Thiết lập tính năng Routing and Remote Access Server để nối thông 2 dải mạng.
o Thiết lập DHCP Relay Agent nhận địa chỉ IP từ dải: 131.107.1.0/24
- Chuẩn bị 1 máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller để quản lý miền
BKAPTECH.VN
- Máy Server BKAP-SRV12-01 gắn 2 card mạng ( VMnet2 và VMnet3)
- Máy trạm BKAP-WRK08-01 trong dải mạng VMnet2 nhận IP động từ dải 192.168.1.0/24
- Máy trạm BKAP-WRK08-02 trong dải mạng VMnet3 nhận IP động từ DHCP Relay Agent với
dải 131.107.1.0/24
2.3. Mô hình lab:
Hình 6.2


IP address 192.168.1.2 VMnet 2: 192.168.1.1 DHCP Client
VMnet 3: 131.107.1.1
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 131.107.1.1
• Thực hiện trên máy BKAP-DC12-01, cài đặt và cấu hình dịch vụ DHCP Server. ( bài lab 6.1 )
o Mở dịch vụ DHCP Server, tạo 2 scope:
▪ Scope 1 : DHCP – LANA [192.168.1.0/24]
▪ Scope 2 : DHCP – LANB [131.107.1.0/24]

• Chuyển sang máy Client BKAP-WRK08-01 kiểm tra cấp phát IP động từ máy DHCP Server.
• Chuyển sang máy BKAP-SRV12-02,cấu hình DHCP Relay Agent:

o Kiểm tra card mạng của máy BKAP-SRV12-02 (có 2 card mạng VMnet2 và VMnet3 )

o Kiểm tra đặt IP address cho card VMnet2 và VMnet3.
▪ IP address của card VMnet 2:

▪ IP address của card VMnet3:
o Thực hiện cài đặt dịch vụ Routing and Remote Access Services lên máy BKAP-SRV12-
01.
▪ Vào Server Manager / Add roles and features.
▪ Tại cửa sổ Select server roles, click chọn vào Remote Access.

▪ Tại cửa sổ Select role services, click chọn vào Rouing.
▪ Click vào Next, tại cửa sổ Confirm installation selections, click vào Install
để Server tiến hành cài đặt dịch vụ.

▪ Click vào Close để kết thúc tiến trình cài đặt.
o Cấu hình dịch vụ RRAS:

▪ Mở Server Manager / Tools.
▪ Chọn vào dịch vụ Routing and Remote Access

▪ Click chuột phải tại BKAP-SRV12-01 (local), chọn Configure and Enable
Routing and Remote Access.
▪ Tại cửa sổ Configuration, click chọn vào Custom configuration.

▪ Tại cửa sổ Custom Configuration, click chọn vào LAN routing.
▪ Tại cửa sổ tiếp theo, click vào Finish, chọn vào Start service để máy chủ kết
thúc tiến trình cài đặt và Enable dịch vụ.

o Tại cửa sổ Routing and Remote Access, click chuột phải tại General, chọn New
Routing Protocol…
▪ Tại cửa sổ New Routing Protocol, click chọn vào DHCP Relay Agent. OK.

o Tại cửa sổ Routing and Remote Access, click chuột phải tại DHCP Relay Agent
chọn New Interface…
▪ Tại cửa sổ New Interface for DHCP Relay Agent, chọn card bên ngoài của
hệ thống mạng (VMnet3), OK.

o Tại cửa sổ Routing and Remote Access, click chuột phải tại DHCP Relay Agent,
chọn Properties.
o Tại cửa sổ DCHP Relay Agent Properties, nhập IP address của DHCP Server.
▪ Server address : 192.168.1.2
▪ Click vào Add.
▪ OK.

o Tại cửa sổ Routing and Remote Access, click chuột phải tại BKAP-SRV12-01 (local)
/ All Tasks / Restart để khởi động lại dịch vụ
• Chuyển sang máy Client BKAP-WRK08-02, cấu hình DHCP Client.

o Đặt card mạng của máy BKAP-WRK08-02 là VMnet3
o Đặt chế độ IP động.

o Kiểm tra máy Client nhận địa chỉ từ DHCP Relay Agent.
3. Bài thực hành 3: Sao lưu và khôi phục DHCP Server.

- Cấu hình sao lưu máy chủ DHCP để khắc phục sự cố hoặc di chuyển DHCP.
o Sao lưu DHCP Database
o Khôi phục DHCP Server
- Chuẩn bị máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller quản lý miền
bkaptech.com, cài đặt và cấu hình DHCP Server.
- Máy trạm BKAP-WRK08-01 nhận IP động từ DHCP Server với dải 192.168.1.0/24.

3.3. Mô hình lab:
Hình 6.3
Hướng dẫn chi tiết :
• Trên máy BKAP-DC12-01, cài đặt và cấu hình dịch vụ DHCP Server.

• Chuyển sang máy Client BKAP-WRK08-01 kiểm tra nhận IP động từ DHCP Server.
• Chuyển qua máy BKAP-DC12-01, triển khai sao lưu và khôi phục dịch vụ DHCP Server.
o Trong ổ C, tạo 1 thư mục tên là “Backup DHCP”.
o Trong cửa sổ DHCP, tạo bản sao lưu các Scope của dịch vụ DHCP.
▪ Click chuột phải tại bkap-dc12-01.BKAPTECH.VN , chọn Backup…

▪ Tại cửa sổ Browse For Folder, chọn đến thư mục Backup DHCP.
▪ OK.
o Vào lại dịch vụ DHCP, tiến hành xóa 2 Scope “DHCP - LAN A” và “DHCP LAN –
B”.
• Chuyển sang máy Client BKAP-WRK08-01, kiểm tra cấp phát IP động từ máy DHCP Server. (
mất IP do DHCP cấp ).

• Chuyển sang máy BKAP-DC12-01, tiến hành khôi phục lại scope đã bị xóa.
o Tại cửa sổ DHCP, click chuột phải tại bkap-dc12-01.BKAPTECH.VN, chọn
Restore…
▪ Tại cửa sổ Browsw For Forlder, chọn đến thư mục “Backup DHCP”.
▪ OK.

▪ Tại cửa sổ tiếp theo, chọn Yes.
o Dịch vụ DHCP đã được khôi phục.

• Chuyển sang máy Client BKAP-WRK08-01, kiểm tra nhận IP động từ DHCP Server.
-HẾT-

BÀI 15. CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ DNS
I. MỤC TIÊU
- Cài đặt và cấu hình DNS Server.

- Cấu hình dịch vụ Backup DNS.
II. THỰC HÀNH
1. Bài thực hành 1: Cài đặt và cấu hình DNS Server.

- Cài đặt dịch vụ DNS trên máy BKAP-SRV12-01.
- Cấu hình dịch vụ DNS:
o Cấu hình Primary Zone trong Forward Lookup Zone với tên: BKAPTECH.VN.
o Cấu hình Reverse Zone trong Reverse Lookup Zone với dải :192.168.1.0.
o Cấu hình các bản ghi : A, PTR, CNAME, MX….
- Khai báo DNS client và kiểm tra:
o Khai báo tên máy :BKAP-SRV12-01.
o Dùng nslookup để kiểm tra phân giải.
- Chuẩn bị 1 máy Server BKAP-SRV12-01 để cài đặt dịch vụ DNS.
- Chuẩn bị 1 máy Client BKAP-WRK08-01 để kiểm tra phân giải.

Mô hình lab:
Hình 7.1
Thông số BKAP-SRV12-01 BKAP-WRK08-01
IP address 192.168.1.5 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1


• Thực hiện trên máy BKAP-SRV12-01:
o Cài đặt dịch vụ DNS và tạo các bản ghi:
▪ Địa chỉ của máy BKAP-SRV12-01:
o Cài đặt dịch vụ DNS:

▪ Vào Server Manager /Add roles and features
▪ Tại cửa sổ Select server roles , click chọn vào dịch vụ DNS

▪ Tiếp tục click vào Next, tại cửa sổ Confirm installation selections, click vào
Install để Server cài đặt dịch vụ DNS.
▪ Tại cửa sổ Installation progress, click vào Close để kết thúc quá trình cài đặt.
o Cấu hình dịch vụ DNS:
▪ Vào Server Manager / Tools / chọn vào dịch vụ DNS.

▪ Cửa sổ DNS:
▪ Click chuột phải tại Forward Lookup Zones chọn New Zone…

▪ Tại cửa sổ Zone Type, chọn vào Primary zone.
▪ Tại cửa sổ Zone Name, nhập vào tên miền : BKAPTECH.VN

▪ Tiếp tục click vào Next, tại cửa sổ Dynamic Update, chọn vào Allow both
nonsecure and secure dynamic updates.
▪ Click vào Finish để kết thúc quá trình cài đặt.

▪ Click chuột phải tại Reverse Lookup Zones, chọn vào New Zone.
▪ Tại cửa sổ Zone Type, click chọn vào Primary zone

▪ Tại cửa sổ Reverse Lookup Zone Name, click chọn vào IPv4 Reverse
Lookup Zone.
▪ Tại cửa sổ Reverse Lookup Zone Name, nhập vào Network ID :192.168.1.

▪ Tại cửa sổ Dynamic Update, chọn vào Allow both nonsecure and secure
dynamic updates.
▪ Tại cửa số tiếp theo, click chọn vào Finish để kết thúc quá trình cấu hình dịch
vụ DNS.

o Cấu hình tạo bản ghi cho máy BKAP-SRV12-01:

▪ Click vào tên miền BKAPTECH.VN
▪ Click chuột phải chọn New Host (A or AAAA)
▪ Tại cửa sổNew Host:

• Name (users parent domain name if blank):BKAP-SRV12-01
• IP address : 192.168.1.5
• Click tại Create associated pointer (PTR) record. (để máy tự động
tạo bản ghi PTR)

o Tạo bản ghi host A cho máy BKAP-SRV12-02:
o Tạo bản ghi host A cho máy BKAP-SRV12-03:

o Tạo bản ghi CNAME:
o Tạo bản ghi Mail Exchanger (MX):

• Chuyển sang máy BKAP-WRK08-01, kiểm tra phân giải IP sang tên miền.
o Địa chỉ của máy BKAP-WRK08-01.
o Vào cmd, gõ lệnh nslookup :

2. Bài thực hành 2: Cấu hình dịch vụ Backup DNS.

- Xây dựng một hệ thống mạng có tên miền BKAPTECH.VN.
o Máy BKAP-SRV12-01 làm Primary Zone quản lý miền BKAPTECH.VN.
- Xây dựng chế độ Backup cho miền :BKAPTECH.VN trên máy BKAP-SRV12-02.
- Chuẩn bị 2 máy Windows Server 2012 Datacenter thực hiện cài đặt theo mô hình sơ đồ lab
7.2.
2.3. Mô hình Lab:
Hình 7.2
Thông số BKAP-SRV12-01 BKAP-SRV12-02
IP address 192.168.1.2 192.168.1.3
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1


• Thực hiện trên máy BKAP-SRV12-01, cấu hình DNS Server và tạo các bản ghi (bài lab 7.1).
• Chuyển qua máy Server BKAP-SRV12-02, thực hiện cấu hình Backup DNS Server.
o Cài đặt dịch vụ DNS trên máy BKAP-SRV12-02.
o Cấu hình dịch vụ Backup DNS :
▪ Tại Forward Lookup Zones, click chuột phải chọn New Zone.

▪ Tại cửa sổ Zone Type, click chọn vào Secondary zone.
▪ Tại cửa sổ Zone Name, nhập vào tên miền BKAPTECH.VN

▪ Tại cửa sổ Master DNS Servers , nhập địa chỉ máy BKAP-SRV12-01.
▪ Click vào Next và Finish ở các cửa số tiếp theo.

▪ Click chuột phải tại Reverse Lookup Zone, chọn New Zone…
▪ Tại cửa sổ Zone Type, chọn vào Secondary zone.

▪ Tại cửa sổ Reverse Lookup Zone Name, click chọn vào IPv4 Reverse
Lookup Zone.
▪ Tại cửa sổ Reverse Lookup Zone Name, nhập vào Network ID : 192.168.1

▪ Tại cửa sổ Master DNS Servers, nhập vào địa chỉ của máy BKAP-SRV12-
01 (192.168.1.2)
▪ Tại cửa số tiếp theo, click vào Finish để kết thúc quá trình cấu hình.

• Chuyển về Server BKAP-SRV12-01 cấu hình backup DNS.

o Vào dịch vụ DNS, click chuột phải tại tên miền BKAPTECH.VN / Properties.
▪ Tại cửa sổ BKAPTECH.VN Properties , chuyển sang Tab Zone Transfers

, click chọn vào Allow zone transfers / Only to the following servers.

▪ Tại đây, tiếp tục chọn vào Edit.Tại cửa sổ Allow Zone Transfers , điền địa
chỉ máy BKAP-SRV12-02 (192.168.1.3) tại IP addresses of the secondary
servers
▪ Apply / OK.
▪ Click chuột phải tại 1.168.192.in-addr.arpa / Properties.

▪ Tại cửa sổ 1.168.192.in-addr-arpa Properties , chuyển sang Tab Zone

Transfers, click chọn vào Allow zone transfers / Only to the following
servers.
▪ Tại đây , tiếp tục chọn vào Edit , Tại cửa sổ Allow Zone Transfers , điền vào
địa chỉ của máy BKAP-SRV12-02 (192.168.1.3)
▪ Apply / OK.

• Chuyển sang máy BKAP-SRV12-02, vào dịch vụ DNS.

o Click chuột phải tại tên miền BKAPTECH.VN . / Properties.
o Tại cửa sổ BKAPTECH.VN Properties ,chuyển sang tab Zone Transfers, chọn vào
Allow zone transfers / Only to the following servers.
▪ Tại đây, tiếp tục click chọn vào Edit, tại cửa sổ Allow Zone Transfers , nhập
vào địa chỉ của máy BKAP-SRV12-01.(192.168.1.2)

▪ Thực hiện tương tự đối với “1.168.192.in-addr.arpa”.

▪ Click chuột phải tại BKAPTECH.VNvà 1.168.192.in-addr.arpa , chọn vào

Transfer from Master.

o Click vào BKAP-SRV12-02, chọn Refersh.
o DNS Server đã được Backup thành công.

-HẾT-

BÀI 16. CẤU HÌNH QUẢN LÝ Ổ ĐĨA
I. MỤC TIÊU
- Cài đặt và cấu hình quản lý đĩa.

- Cấu hình RAID mềm.
- Cấu hình Redundant Storage Space.
II. THỰC HÀNH
1. Bài thực hành 1: Cài đặt và cấu hình ổ đĩa cứng.

- Cấu hình theo kiểu Master Boot Record ( MBR) .
o Kiểu Basic: Tạo 3 Primary Partition, 1 Extended Partition.
o Kiểu Dinamic : Mirrored Volume, Striped Volume, Spanned volume.
- Cấu hình theo kiểu GUID Partition Table ( GPT ).
o Tạo các Primary Partition.
- Chuẩn bị 1 máy Server Windows Server 2012 Datacenter (BKAP-SRV12-01)
- Gắn thêm 3 ổ cứng.
1.3. Mô hình lab:
Hình 9.1

• Cấu hình quản lý đĩa trên máy BKAP-SRV12-01:
o Thực hiện gắn thêm 3 ổ đĩa ảo:
▪ Click chuột phải tại tên máy BKAP-SRV12-01, chọn vào Settings…
▪ Tại cửa sổ Virtual Machine Settings, click chọn vào Hard Disk (SCSI),
Click vào Add…

▪ Tại cửa sổ Hardware Type, click chọn vào Hard Disk , tiếp theo click vào
Next.
▪ Tại cửa sổ Select a Disk ,chọn vào Create a new virtual disk, sau đó click
vào Next.

▪ Tại cửa sổ Specify Disk Capacity, nhập vào dung lượng ổ đĩa, click vào Next.
▪ Tại cửa sổ tiếp theo, click vào Finish để kết thúc quá trình tạo ổ đĩa mới.

o Tiến hành add thêm 2 ổ đĩa cứng , các bước thực hành tương tự như trên.
o Ta được kết quả sau:
o Cấu hình quản lý đĩa:

▪ Vào Server Manager / Tools / Computer Management.
▪ Tại cửa sổ Computer Management , click chuột phải tại Disk 1, Disk 2, Disk
3, chọn Online.

o Cấu hình MBR:

o Click chuột phải tại Disk 1 , chọn Initialize Disk

▪ Tại cửa sổ Initialize Disk , chọn vào kiểu MBR (Master Boot Record).
o Click chuột phải tại phân vùng đĩa Disk 1, chọn New Simple Volume…

o Tại cửa sổ Specify Volume Size, nhập dung lượng ổ đĩa mới ( 15000 MB ) tại Simple
volume size in MB.
o Click vào Next, tại cửa sổ Format Partition:

▪ Volume label : DATA1

▪ Tại cửa sổ tiếp theo, click vào Finish.

o Click chuột phải tại phân vùng đĩa “Unalocated” chọn New Simple Volume…
▪ Tại cửa sổ Specify Volume Size, nhập dung lượng ổ đĩa (15000MB) tại Simple
volume size in MB.

▪ Tại cửa sổ Format Partition, nhập vào tên ổ đĩa.(DATA2)
o Tiếp tục chuột phải tại phân vùng đĩa chống “Unallocated” tạo thêm ổ đĩa mới tương
tự như trên, kết quả thu được như sau:

o Click chuột phải tại Disk 2 , chọn Convert to Dynamic Disk.
o Tại cửa sổ Convert to Dynamic Disk, click chọn Disk 2 và Disk 3 , sau đó click chọn
vào OK.
▪ Click chuột phải tại phân vùng “Unallocated” của Disk 2, , chọn xuống New
Mirrored Volume…
▪ Tại cửa sổ Select Disks ,click chọn vào Disk 3 61437 MB(khung Available
bên trái), sau đó chọn vào Add >

▪ Tại dòng Select the amount of space in MB, nhập vào dung lượng 15000MB.
▪ Next.
▪ Tại cửa sổ Format Volume, Nhập vào tên ổ cứng tại Volume label :DATA 5.
▪ Next , Finish.

o Click chuột phải tại phân vùng ổ đĩa chống “Unallocated” chọn New Striped Volume.
▪ Tại cửa sổ Select Disks, click chọn vào Disk 3 46437MB tại khung Available
bên trái, sau đó click chọn vào Add >

▪ Tại dòng Select the amount of space in MB, nhập vào dung lượng ổ đĩa
15000MB.
▪ Next.
▪ Nhập tên ổ đĩa tại Volume label : DATA6

• Click chuột phải tại phân vùng ổ đĩa chống “Unallocated” , chọn “New Spanned Volume”
o Tại cửa sổ Select Disks, click chọn vào Disk 3 31437 MB tại khung Available bên
trái, sau đó click vào Add >

▪ Select the amount of space in MB: 15000 MB

▪ Next.
o Tại cửa sổ Format Volume, nhập vào tên ổ đĩa tại Volume label: DATA 7.
▪ Next, Finish.
o Sau khi cấu hình xong ta được kết quả như sau:

• Cấu hình ổ đĩa theo dạng GPT:

o Click chuột phải tại 3 ổ DATA 5, DATA 6, DATA 7. Chọn vào Delete Volume… để
xóa 3 ổ cứng trên
o Click chuột phải tại Disk 2 , chọn Convert to GPT Disk.

o Click vào phân vùng đĩa chống “Unallocated” , chọn vào New Simple Volume…
▪ Tại Specify Volume Size. Nhập vào dung lượng ổ đĩa :15000 MB.

▪ Tại Format Partition , nhập vào tên ổ đĩa tại Volume label: DATA 5.
▪ Next, Finish.
o Tiếp tục tạo ra các ổ đĩa Simple Volume với tên là DATA 6 , DATA 7, DATA 8, và có
dung lượng 15000 MB tương tự như trên.
o Kết quả thu được như sau:

2. Bài thực hành 2: Cấu hình RAID 0 , 1 , 5.

- Trên máy BKAP-SRV12-01:
o Thêm 3 ổ đĩa mới và cài đặt là ổ đĩa Dynamic.
o Cấu hình RAID 0 và RAID 1 với ổ đĩa thứ nhất và thứ hai.
o Cấu hình RAID 5 trên cả 3 ổ đĩa.
o Gỡ bỏ ổ đĩa thứ hai và tiến hành kiểm tra.
o Cấu hình thêm ổ đĩa mới.
- Máy Server BKAP-SRV12-01: lắp thêm 3 ổ cứng mới và chuẩn bị một ổ cứng để cấu hình lại
sau khi đã gỡ bỏ ổ cứng thứ hai.
2.3. Mô hình Lab:
Hình 9.2
• Thực hiện trên máy BKAP-SRV12-01:
o Cài đặt 3 ổ đĩa mới và convert sang dynamic.

▪ Click chuột phải tại Disk 1, chọn Online.

▪ Làm tương tự đối với các ổ đĩa còn lại.

▪ Click chuột phải tại Disk 1 chọn Initialize Disk
▪ Tại cửa sổ Initialize Disk , click chọn cả 3 ổ đĩa Disk 1, Disk 2, Disk 3, chọn
vào kiểu định dạng MBR (Master Boot Record)
▪ OK.

▪ Tiếp tục Click chuột phải tại Disk 1, chọn Convert to Dynamic Disk.
▪ Tại cửa sổ Convert to Dynamic Disk, click chọn cả 3 ổ đĩa, OK.

o Cài đặt RAID 0 trên ổ đĩa 1 và 2 với nội dung 30 GB.

▪ Click chuột phải tại phân vùng “Unallocated” của Disk 1, chọn New Striped
Volume…
▪ Tại cửa sổ Select Disks, click chọn vào Disk 2 61437 MB tại khung Available
bên trái, sau đó click vào Add >

▪ Nhập vào dung lượng ổ đĩa tại Select the amount of space in MB: 30000 MB.
▪ Next.
▪ Tại cửa sổ Format Volume , click vào Next , Finish.

o Cài đặt RAID 1 ổ đĩa 1 và 2 với dung lượng là 15 GB.

▪ Click chuột phải tại phân vùng ổ đĩa chống “Unallocated”, chọn vào New
Mirrored Volume…
▪ Tại cửa sổ Select Disks, click chọn vào Disk 2 31437 MB tại khung Available
bên trái, sau đó click vào Add >

▪ Nhập vào dung lượng ổ đĩa 15000 MB tại Select the amount of space in MB.
▪ Tại cửa sổ Format Volume, click vào Next. Finish.

o Cài đặt RAID 5 trên 3 ổ đĩa với dung lượng 15 GB.

▪ Click chuột phải tại phân vùng đĩa chống “Unallocated”, chọn New RAID-5
Volume…
▪ Tại cửa sổ Select Disks, click chọn vào Disk 2 16437 MB và Disk 3 61437
MB tại khung Available bên trái, sau đó click vào Add >

▪ Tại cửa sổ Forrmat Volume, click vào Next.Finish.
o Kết quả thu được sau khi ta cấu hình xong RAID 0, 1 ,5.

3. Bài thực hành 3: Cấu hình Redundant Storage Space.

- Cấu hình một Pool mới với 5 ổ đĩa.
- Tạo 2 phân vùng để kiểm tra.
o Phân vùng 1 là Three-way Mirror
o Phân vùng 2 là Two-way Mirror
- Gỡ bỏ 2 ổ cứng để kiểm tra.
- Chuẩn bị 1 máy Server Windows Server 2012 Datacenter ( BKAP-SRV12-01 )
- Gắn thêm 5 ổ cứng.
3.3. Mô hình Lab:
Hình 9.3


• Thực hiện trên máy BKAP-SRV12-01, add thêm 5 ổ đĩa .
o Kiểm tra ổ cứng sau khi lắp: vào Computer Management / Disk Management.

o Click chuột phải tại Disk 1, chọn vào Online.
o Làm tương tự đối với Disk 2 , 3 , 4 , 5.

o Click chuột phải tại Disk 1 , chọn Initialize Disk.

o Tại cửa sổ Initialize Disk , click chọn vào tất cả ổ đĩa, chọn vào MBR (Master Boot
Record), OK.
o Vào Server Manager / File and Storage Services

o Tại File and Storage Services / Servers , click chọn vào Storage Pools.
o Tại cửa sổ STORAGE POOLS , click chọn vào TASKS / New Storage Pool…

o Tạo 1 Pool mới bao gồm 5 ổ đĩa:

▪ Tại cửa sổ Specify a storage pool name and subsystem, nhập vào :
• Name: BKAP
▪ Next.
o Tại cửa sổ Select physical disks for the storage pool , click chọn vào cả 5 ổ đĩa.

▪ Click vào Next , Create tại cửa sổ tiếp theo.
o Tại cửa sổ View results , click vào Close để kết thúc tiến trình.

o Tạo phân vùng ổ đĩa mới có dung lượng 10 GB.

▪ Click vào BKAP vừa tạo.
▪ Tại cửa sổ VIRTUAL DISKS , click vào To create a virtual disk , start the
New Virtual Disk Wizard.
o Tại cửa sổ Select the storage pool, click vào Next

o Tại cửa sổ Specify the virtual disk name, nhập vào:

▪ Name: Data 1
▪ Next.
o Tại cửa sổ Select the storage layout, chọn Mirror , Next.

o Tại cửa sổ Configure the resiliency settings , click chọn vào Three-way mirror. (
khi hỏng 2 ổ cứng vẫn duy trì dữ liệu )
o Tại Provisioning, click chọn vào Thin.

o Tại cửa sổ Specify the size of the virtual disk,nhập vào :

▪ Virtual disk size : 10 GB
▪ Next.
o Tại cửa sổ Confirm selections, click vào Create.

o Tại cửa sổ View results , click vào Close để kết thúc tiến trình.
o Tiếp theo, tại cửa sổ New Volume Wizard, click vào Next.

o Tại cửa sổ Select the server and disk , click vào Next.
o Tại cửa sổ Specify the size of the volume ,volume size : 9.97 GB , click vào Next.

o Tại cửa sổ Assign to a drive letter or folder, Drive letter : H
o Tại cửa sổ Select file system settings , nhập vào :

▪ Volume label : Data1.

o Tại cửa sổ Confirm selections , click chọn vào Create.
o Tại cửa sổ Completion , click vào Close.

o Ổ H sau khi được tạo:
o Tạo dữ liệu trong ổ H.

o Tạo thêm ổ mới để so sánh và kiểm tra.

▪ Tại cửa sổ VIRTUAL DISKS /TASKS , click chọn vào New Virtual Disks…
o Tại cửa sổ Specify the virtual disk name , nhập vào :

▪ Name: Data 2.

o Tại cửa sổ Select the storage layout, click chọn vào Mirror.
o Tại cửa sổ Configure the resilience settings, click chọn vào Two-way mirror.

o Tại cửa sổ Specify the provisioning type, click chọn vào Thin.

o Tại cửa sổ Assign to a drive letter or folder, Drive letter : K
o Tại cửa sổ Select file system settings, Volume label : Data2.

o Ổ đĩa K sau khi được tạo:

o Gỡ bỏ 2 ổ cứng để kiểm tra: gỡ bỏ ổ cứng 3 và ổ cứng 4.
o Chỉ còn ổ H là đang hoạt động.
-HẾT-

BÀI 17. GIÁM SÁT LƯU LƯỢNG MẠNG
I. MỤC TIÊU:
- Sử dụng Network Monitor 3.4 và giám sát lưu lượng mạng.

II. THỰC HÀNH:
1. Bài thực hành 1: Cài đặt Tool Network Monitor 3.4 & Giám sát lưu lượng mạng.
- Cài đặt Tool Network Monitor 3.4 trên máy Server BKAP-SRV12-01.
o Chụp lưu lượng mạng bằng Network Monitor.
o Phân tích lưu lượng mạng mà chúng ta vừa bắt.
o Lọc lưu lượng mạng.
- Trên máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller: BKAPTECH.VN.
- Máy Server BKAP-SRV12-01 đã Join vào miền BKAPTECH.VN.
- Máy trạm BKAP-WRK08-01 đã Join vào miền BKAPTECH.VN.
1.3. Mô hình Lab:
Hình 5.1


IP address 192.168.1.2 192.168.1.3 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1

• Thực hiện trên máy BKAP-DC12-01:
o Tạo OU IT, trong OU IT tạo User hungnq.
• Chuyển sang máy Client BKAP-WRK08-01, thực hiện Join vào Domain, đăng nhập bằng tài
khoản hungnq.


• Chuyển sang máy BKAP-SRV12-01, tiến hành Join máy Server vào Domain, đăng nhập bằng
tài khoản Administrator.

o Thực hiện trên máy BKAP-SRV12-01, cài đặt công cụ Network Monitor 3.4
▪ Click vào Finish để hoàn tất quá trình cài đặt.

o Mở công cụ Network Monitor 3.4 , Click chọn vào New capture tab để mở tab mới.
o Click chọn vào Start( hoặc ấn F5) để công cụ bắt đầu quá trình làm việc.
• Chuyển sang máy Client BKAP-WRK08-01, thực hiện ping sang máy BKAP-SRV12-01 và
BKAP-DC12-01.
o Ping đến máy BKAP-SRV12-01.

o Ping đến máy BKAP-DC12-01.

• Trên máy BKAP-SRV12-01, bắt được gói tin khi máy trạm thực hiện ping đến máy DC.
-HẾT-

BÀI 18. SỬ DỤNG PHẦN MỀM SOLARWINDS TRONG QUẢN TRỊ MẠNG
I. MỤC TIÊU
- Ôn tập các lệnh cấu hình cơ bản trên thiết bị Router Cisco.
- Ôn tập các lệnh cấu hình định tuyến cơ bản.
- Kiểm tra các công cụ của phần mềm Solarwind trong quản trị mạng.
II. THỰC HÀNH
1. Mô hình thực hiện:
Hình 1. Mô hình thực hiện của bài thực hành số 1
Hình 1 là mô hình giả lập của một công ty có 2 chi nhánh. R1 và R2 là 2 router biên của 2 chi nhánh.
Chi nhánh bên router R2 có triển khai hệ thống server. Máy tính Window XP chạy phần mềm
Solarwinds để quản trị các router R1, R2 và máy server.
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
Router R1 Interface fastEthernet 1/0 Interface serial 0/0
10.0.0.1/8 192.168.12.1/24
20.0.0.2/8 192.168.12.2/24
Máy tính XP IP: 10.0.0.10/8
SM: 255.0.0.0
DG: 10.0.0.1
Máy tính Window server 2003 IP: 20.0.0.10/8
SM: 255.0.0.0
DG: 20.0.0.1
2. Công cụ thực hiện:

+ Sử dụng phần mềm Vmware để 10.0.4 giả lập 2 máy tính: máy tính Window XP và máy tính Window
server 2003.
+ Sử dụng phần mềm GNS3 0.8.6 để giả lập 2 router R1 và R2.
+ Phần mềm SolarWinds-Engineers-Toolset-V9 để quản trị.
3. Các bước thực hiện:
Bước 1: Cài đặt 2 phần mềm GNS3 và Vmware (sinh viên xem lại cách sử dụng trong môn mạng máy
tính). Hình 2 là giao diện chính của phần mềm GNS3. Hình 3 là giao diện chính của phần phầm Vmware.
Hình 2. Giao diện của phần mềm GNS3
Hình 3. Giao diện của phần mềm Vmware

Bước 2: sử dụng 2 phần mềm mềm GNS3 và Vmware để giả lập mô hình mạng như trong Hình 1.

Bước 3: cài đặt phần mềm SolarWinds-Engineers-Toolset-V9 trên máy tính Window XP. Chạy file cài
đặt phần mềm sẽ được giao diện như Hình 4. Nhấn next liên tục cho đến khi cài đặt hoàn thành sẽ xuất
hiện giao diện như Hình 5.
Hình 4. Giao diện khi bắt đầu cài đặt phần mềm Solarwinds
Hình 5. Giao diện của Solarwinds sau khi đã cài đặt xong

Bước 4: cấu hình địa chỉ IP của máy tính Window XP và máy tinh Window server 2003. Từ menu start,
chọn Settings, chọn Network Connections, chuột phải lên tên card mạng muốn đặt địa chỉ IP, chọn
Properties, nhấp đúp chuột Internet Protocol TCP/IP. Tại đây, sinh viên đặt IP theo Bảng cho ở trên.
Hình 6. Đặt IP cho máy tính Window XP và máy tính Window server 2003
Bước 5: cấu hình địa chỉ IP và cấu hình định tuyến trên router R1 và router R2.
- Cấu hình địa chỉ IP:
R1(config)#interface fastEthernet 1/0

R1(config-if)#ip address 10.0.0.1 255.0.0.0
R1(config-if)#no shutdown
R1(config-if)#exit
R1(config)#interface serial 1/0

R2(config-if)#exit
Thực hiện lệnh "show ip interface brief" trên 2 router. Đảm bảo các cổng đã ở trạng thái up/up.

- Cấu hình định tuyến OSPF trên 2 router R1 và R2.
R1(config)#router ospf 1
R1(config-router)#network 192.168.12.0 0.0.0.255 area 0
Thực hiện lệnh "show ip route" trên 2 router để kiểm tra bảng định tuyến. Đảm bảo 2 router học đầy đủ
các lớp mạng.
Bước 6: sử dụng lệnh ping để kiểm tra. Đảm bảo mạng hội tụ.
Bước 7: sử dụng phần mềm Solarwinds để quản trị 2 router R1, R2 và server.
- Kiểm chứng các công cụ của Solarwinds. Để mở công cụ nào thì chỉ cần nhấp chuột vào tính
năng đó.
Quan sát lại Hình 5, để xem lại các công cụ mà phần mềm Solarwinds hỗ trợ trong quản trị hệ thống
mạng. Cần chú ý rằng, đa số những công cụ này cần có sự hỗ trợ của SNMP. Do đó, trong bài thực
hành số 1 thì sinh viên chỉ có thể kiểm chứng các tính năng của Solarwind mà không có sự hỗ trợ của
SNMP. Các tính năng liên quan đến SNMP sẽ được trình bày trong các bài thực hành sau.
Sinh viên lần lượt kiểm chứng các công cụ sau:

+ IP address management: giao diện của công cụ này được thể hiện như Hình 7.
Hình 7. Công cụ IP address management

Chọn biểu tượng New trong giao diện của Hình 7. Xuất hiện hộp thoại, nhập địa chỉ mạng cần xem vào
ô Subnet Address và Mask tương ứng, sau đó nhấn ok như trong Hình 8. Kết quả được cho như trong
Hình 9.
Hình 8. Tạo một IP address management
Hình 9. Kết quả của công cụ IP address management

Theo Hình 9 và quan sát lại mô hình trong Hình 1 thì lớp mạng 192.168.12.0/24 chỉ có 2 địa chỉ được
sử dụng là 192.168.12.1 (IP của Router R1) và 192.168.12.2 (IP của Router R2). Vậy người quản trị
ngồi ở xa vẫn có thể kiểm chứng được IP nào trên mạng đang hoạt động bình thường. Bên cạnh đó thì
người quả trị có thể thực hiện ping hoặc telnet đến IP mong muốn. Có thể thực hiện được điều này bằng

cách, chuột phải lên IP 192.168.12.1, chọn tool, chọn ping. Do IP 192.168.12.1 là đang sử dụng nên kết
quả ping là thành công. Điều này được thể hiện như trong Hình 10 và Hình 11.
Hình 10. Kiểm tra ping bằng IP address management
Hình 11. Kết quả ping bằng IP address management

+ Công cụ TraceRoute: giao diện của công cụ này được thể hiện như Hình 12.
Hình 12. Giao diện của công cụ TraceRoute

Nhập địa chỉ IP cần TraceRoute đến, sau đó nhấn Trace. Kết quả được cho trong Hình 13.

Hình 13. Kết quả của công cụ TraceRoute

Theo kết quả trong Hình 13, từ máy tính Window XP traceroute đến máy tính Window server 2003 sẽ
đi qua 3 hop với giá trị Response Time tương ứng với các IP như trong hình.
+ Sinh viên tự thực hiện kiểm tra các công cụ khác và đưa kết quả về cho giảng viên dạy thực hành.

BÀI 19. SỬ DỤNG PHẦN MỀM NETFLOW ANALYZER TRONG QUẢN TRỊ MẠNG
I. MỤC TIÊU:
+ Ôn tập các lệnh cấu hình cơ bản trên thiết bị Router Cisco.
+ Ôn tập các lệnh cấu hình định tuyến cơ bản.
+ Kiểm tra tính năng của phần mềm Netflow Analyzer trong quản trị mạng.
II. THỰC HÀNH
Hình 14. Mô hình của bài thực hành số 2
Chi nhánh bên router R2 có triển khai hệ thống server. Máy tính Window XP cài đặt phần mềm Netflow
Analyzer để thu thập các thông tin giúp giải quyết các vấn đề trong quản trị mạng.
10.0.0.1/8 192.168.12.1/24
20.0.0.2/8 192.168.12.2/24
SM: 255.0.0.0
DG: 10.0.0.1
SM: 255.0.0.0
DG: 20.0.0.1

+ Sử dụng phần mềm Vmware 10.0.4 để giả lập 2 máy tính: máy tính Window XP và máy tính Window
server 2003.
+ Phần mềm ManageEngine_NetFlowAnalyze để quản trị.
Bước 1: Cài đặt 2 phần mềm GNS3 và Vmware (Xem bài thực hành số 1)
Bước 2: sử dụng 2 phần mềm GNS3 và Vmware để giả lập mô hình mạng như trong Hình 14. (Xem
bài thực hành số 1)
Bước 3: cài đặt phần mềm ManageEngine_NetFlowAnalyze trên máy tính Window XP.
Chạy file cài đặt phần mềm sẽ được giao diện như Hình 15.
Nhấn next liên tục cho đến khi cài đặt hoàn thành sẽ xuất hiện giao diện như Hình 17.
Trong các giai đoạn cài đặt cần chú ý port mặc định của Netflow Analyzer là 9996 như thể hiện trong
Hình 16.
Hình 15. Bước đầu cài đặt phần mềm Netflow Analyzer

Hình 16. Cài đặt port mặc định của Netflow Analyzer là 9996
Hình 17. Cài đặt phần mềm Netflow Analyzer hoàn tất
Nhấp finish từ Hình 17 để hoàn thành cài đặt. Netflow sẽ được khởi động như Hình 18.

Hình 18. Quá trình khởi động Netflow Analyzer

Sau khi khởi động xong, Netflow Analyzer được chạy trên nền của một Web Browser. Đăng nhập bằng
Username là "admin" và password là "admin" như trong Hình 19. Hình 20 là giao diện chính của phần
mềm Netflow Analyzer.
Hình 19. Đăng nhập vào Netfow Analyzer

Hình 20. Giao diện chính của phần mềm Netflow Analyzer
Bước 4: cấu hình địa chỉ IP của máy tính Window XP và máy tinh Window server 2003. (Xem bài thực
hành số 1).
Bước 5: cấu hình địa chỉ IP và cấu hình định tuyến trên router R1 và router R2. (Xem bài thực hành số
1).
Bước 6: sử dụng lệnh ping để kiểm tra. Đảm bảo mạng hội tụ. (Xem bài thực hành số 1).
Bước 7: Cấu hình Netflow trên Router R2.
Thực hiện cấu hình Netflow trên Router R2 để các traffic mạng đi ra và vào hai cổng của Router này
đều được gửi về máy tính có cài đặt phần mềm Netflow (máy tính Window XP). Dựa trên những thông
tin thu thập được người quản trị mạng biết được chính xác có những traffic nào ra vô mạng với mức sử
dụng băng thông tương ứng. Từ đó, người quản trị mạng sẽ đưa ra được các giải pháp tương ứng.
Các lệnh cấu hình Netflow trên Router R2 như sau:
R2#configure terminal
R2(config)#interface FastEthernet 1/0

R2(config-if)#ip route-cache flow
R2(config-if)#exit
R2(config-if)#ip route-cache flow
R2(config-if)#exit
R2(config)#ip flow-export destination 10.0.0.10 9996

R2(config)#ip flow-export source serial 0/0
R2(config)#ip flow-export version 5
R2(config)#ip flow-cache timeout active 1
R2(config)#ip flow-cache timeout inactive 15

R2(config)#snmp-server ifindex persist
Các bạn sinh viên coi lại ý nghĩa của các lệnh này trong phần 3.3.2 của giáo trình.
Bước 8: Sau khi cấu hình xong trên Router R2, quay lại màn hình của phần mềm Netflow Analyzer,
chuột phải lên vùng trống, chọn refresh. Lúc này, phần mềm đã nhận ra được IP cổng serial 0/0
(192.168.12.2) của router R2 như Hình 21 bên dưới. Điều này có được là do câu lệnh "ip flow-export
source serial 0/0". Tiếp tục nhấp vô Ifindex muốn xem để xem traffic ra và vào mạng.
Hình 21. Kết quả khi cấu thành netflow trên Router R2
Để phần mềm netflow analyzer thống kê được những traffic nào ra và vào mạng, cần tạo một lưu lượng
mạng để kiểm tra. Từ máy tính Window XP "ping 20.0.0.10 -t" để tạo lưu lượng ICMP.

Hình 22. Ping 20.0.0.10 -t

Tiếp tục quan sát về sự thống kê trên phần mềm Netdlow Analyzer.
Theo kết quả trong Hình 23, 24 và 25 thì Traffic ra và vào mạng chính là ICMP.
Hình 23. Traffic ICMP vào
Hình 24. Traffic ICMP ra
Hình 25. Phần trăm Traffic ICMP thu thập được

Bước 9:
Bước 9.1 Sinh viên tự cấu hình Web và FTP trên máy tính Window server 2003 để thu thập được thông
tin về 2 traffic là HTTP và FTP.
Bước 9.2 Sinh viên cài phần mềm wireshark trên máy tính Window XP để bắt và phân tích các gói tin
Netfow.
Netflow là phần mềm hỗ trợ tốt cho vấn đề cấu hình quản trị chất lượng dịch vụ cho một hệ thống mạng.

BÀI 20. SỬ DỤNG SNMP VERSION 1 TRONG QUẢN TRỊ MẠNG
I. MỤC TIÊU
+ Cấu hình SNMP version 1 và sử dụng giao thức này trong quản trị mạng.
+ Xét tính bảo mật của SNMP version 1.
II. THỰC HÀNH
Chi nhánh bên router R2 có triển khai hệ thống server. Máy tính Window XP cài đặt phần mềm
Solarwind quản trị router R1 và máy tính Window server 2003 thông qua giao thức SNMP version 1.
10.0.0.1/8 192.168.12.1/24
20.0.0.1/8 192.168.12.2/24
SM: 255.0.0.0
DG: 10.0.0.1
SM: 255.0.0.0
DG: 20.0.0.1
- Công cụ thực hiện:
server 2003.
+ Phần mềm Solarwinds để quản trị.
+ Phần mềm wireshark để bắt các gói tin.
+ Cài đặt SNMP version 1 trên máy tính Window server 2003.
Bước 1: Cài đặt 2 phần mềm GNS3 và Vmware. (Xem bài thực hành số 1).
bài thực hành số 1).
Bước 3: cài đặt phần mềm Solarwinds trên máy tính Window XP. (Xem bài thực hành số 2). Máy tính
Window XP trở thành SNMP Server.
Bước 4: Cài đặt phần mềm wireshark trên máy tính Window XP.
hành số 1).
1).
Bước 8: cấu hình SNMP version 1 trên Router R1
Sử dụng các lệnh cấu hình sau đây:
R1(config)#snmp-server community abc rw
R1(config)#snmp-server community xyz ro
Sau khi thực hiện 2 câu lệnh trên thì Router R1 trở thành SNMP Agent. Trong 2 câu lệnh này thì chuỗi
community "abc" và "xyz" như là password được trao đổi giữa SNMP Server và SNMP Agent.
Bước 9: cấu hình SNMP version 1 trên máy tính Window server 2003.
Bước 9.1: Cài đặt SNMP trên máy tính Window server 2003.
Từ menu start, chọn Settings, chọn Control Pannel, chọn Add or Remove Programs, chọn Add/remove
Windows Components. Xuất hiện giao diện như Hình 27.

Hình 27. Bước đầu cài đặt SNMP trên Window server 2003
Từ giao diện như Hình 27, tìm đến phần Management and Monitoring Tools, nhấp Detail, chọn Simple
network Management Protocol, nhấp OK để tiến hành cài đặt như thể hiện trong Hình 28. Nhấp finish
khi quá trình cài đặt đã thực hiện xong.
Hình 28. Cài đặt SNMP trên Window server 2003

Bước 9.2: Cấu hình SNMP cho Window server 2003
Quá trình cấu hình ở đây chính là sự đặt giá trị cho chuỗi community. Từ menu start, chọn Programs,
chọn Administrative Tools, chọn Services, kéo xuống đến phần SNMP service. Chuột phải lên SNMP
service, chọn Properties như Hình 29. Xuất hiện giao diện như Hình 30.
Hình 29. Cấu hình SNMP service
Hình 30. Properties của SNMP service

Tại giao diện của Hình 30, chọn tab Security, chọn Add, tại đây cài đặt chuỗi community mà người
quản trị muốn. Điều này được thể hiện như Hình 31.

Hình 31. Cấu hình chuỗi community trên Window server 2003
Bước 10: kiểm tra kết quả cấu hình.
Bật phần mềm Solarwinds Wireshark trên máy tính Window XP để tiến hành kiểm tra.
Bước 10.1: dùng SNMP version 1 quản trị Router R2.
Sử dụng công cụ CPU Gauge trong Solarwinds. Công cụ này để đo hiệu suất của CPU. Tiến hành mở
công cụ này thì được giao diện như Hình 31.
Hình 31. Công cụ CPU Gauge trong Solarwinds

Nhấp vào hình tròn góc trên bên phải của công cụ, chọn Setup Gauge... Xuất hiện giao diện như Hình
32.
Hình 32. Setup Gauge cho CPU Gauge

Nhập các thông số sau:
Địa chỉ IP của Router R1 là 192.168.12.1
Chuỗi community tương ứng đã được cấu hình là "abc".
Chọn ok.
Kết quả sẽ xuất hiện như Hình 33.
Hình 33. Kết quả của công cụ CPU Gauge khi đo CPU của Router R1
Vậy với SNMP thì nhà quản trị mạng có thể quan sát được hoạt động của hệ thống mạng của mình đang
quản lý. Nhưng SNMP version 1 ở đây là không được bảo mật. Sử dụng phần mềm wireshark để bắt
các gói tin SNMP trong trường hợp này thì đã có thể thấy được các chuỗi Community. Những ai có
được chuỗi này thì đã có thể quản lý được cả các thiết bị trong mô hình mạng. Bật phần mềm wireshark
đã được khởi động từ trước trên máy tính Window XP và Hình 34 và Hình 35 là để chứng minh cho
điều này.
Hình 34. Wireshark cho SNMP trên Router R1
Hình 35. Chuỗi community bắt được là abc

Bước 10.2: dùng SNMP version 1 quản trị máy tính Window server 2003.
Sinh viên thực hiện tương tự với công cụ CPU gauge với IP là 20.0.0.10 và chuỗi community là
"ngocdai". Hình 36 và Hình 37 là các kết quả của wireshark.

Hình 36. Wireshark cho SNMP trên máy tính Window server 2003
Hình 37. Chuỗi community bắt được là ngocdai

Bước 11:
Sinh viên thực hiện thêm các yêu cầu sau đây:
Câu 1. Đọc 2 cấu trúc MIB của 2 wireshark bắt được ở trên.
Câu 2. Sinh viên sử dụng các phần mềm khác được trình bày trong Chương 1 để thay cho Solarwinds
để quản trị hệ thống mạng.

BÀI 21. SỬ DỤNG SNMP VERSION 3 TRONG QUẢN TRỊ MẠNG
I. MỤC TIÊU
- Cấu hình SNMP version 3 và sử dụng giao thức này trong quản trị mạng.
- Xét tính bảo mật của SNMP version 3.
II. THỰC HÀNH
Chi nhánh bên router R2 có triển khai hệ thống server. Máy tính Window XP cài đặt phần mềm
Solarwind quản trị router R1 thông qua giao thức SNMP version 3.
10.0.0.1/8 192.168.12.1/24
20.0.0.2/8 192.168.12.2/24
SM: 255.0.0.0
DG: 10.0.0.1
SM: 255.0.0.0
DG: 20.0.0.1


server 2003.
+ Phần mềm Solarwinds để quản trị.
Bước 1: cài đặt 2 phần mềm GNS3 và Vmware. (Xem bài thực hành số 1).
Bước 3: cài đặt phần mềm Solarwinds trên máy tính Window XP. (Xem bài thực hành số 2). Máy tính
Window XP trở thành SNMP Server.
Bước 4: cài đặt phần mềm wireshark trên máy tính Window XP.
hành số 1).
1).
Bước 8: cấu hình SNMP version 3 trên Router R1.
R1(config)#snmp-server group snmp v3 priv
R1(config)#snmp-server user ngocdai ngocdai v3 auth md5 123456789 priv des56 123456789
SNMP version 1 hay version 2 chỉ dử dụng chuỗi community để thực hiện quá trình quản lý giữa SNMP
Server và SNMP Agent. Do đó, SNMP version 1 và SNMP version 2 không bảo mật bằng SNMP
version 3. Theo các câu lệnh ở trên thì SNMP version 3 yêu cầu tạo user trong một group, sau đó thực
hiện chứng thực bằng MD5 và mã hóa bằng thuật toán DES. Từ khóa "priv" được hiểu là vừa yêu cầu
mã hóa và chứng thực. Ngoài tử khóa "priv", người quản trị còn có thể sử dụng từ khóa "auth" mang ý
nghĩa chứng thực nhưng không mã hóa hoặc từ khóa "noauth" mang ý nghĩa không chứng thực và
không mã hóa.
Bước 9: sử dụng phần mềm Solarwinds và wireshark trên máy Window XP để kiểm tra.
Sử dụng công cụ Bandwidth Gauge của Solarwinds. Sau khi được mở thì công cụ này có giao diện như
Hình 39.

Hình 39. Công cụ Bandwidth Gauge của Solarwinds

Để khởi động, nhấp vào biểu tượng Bandwidth Gauge như trong Hình 39. Lúc này sẽ xuất hiện giao
diện như Hình 40.
Hình 40. Thông tin của Bandwidth Gauge

Từ Hình 40, thực hiện nhập các thông số như sau:
Device or IP address: Nhập địa chỉ của Router cần quản lý (ở đây địa chỉ của Router R1 là 192.168.12.1).
Credentials: chọn SNMP version 3, nhấp Add...và nhập các thông số như Hình 41. Các thông số này
cần phải giống với thông số trong các câu lệnh cấu hình SNMP version 3 trên Router R1 ở trên. Chú ý,
hai thông số quan trọng là:
Username: ngocdai
MD5: pass là 123456789
DES-56bit: pass là 123456789
Sau cùng nhấp ok.
Hình 41. Nhập các thông tin vào Bandwidth Gauge

Sau khi nhấp ok từ Hình 41, công cụ sẽ quay về giao diện như Hình 40. Để kiểm tra các câu lệnh và
thông số đã nhập đúng, nhấp vào "test" và sẽ được thông báo như Hình 42.
Hình 42. Thông báo khi đã nhập đúng thông số của Bandwidth Gauge

Hình 43. Kết quả kiểm tra của Bandwidth Gauge

Nhấp "next" để làm xuất hiện thông số về băng thông của các traffic mà người quản trị muốn xem của
Router R1. Kết quả được thể hiện như Hình 43.
Mở phần mềm wireshark đã mở từ trước đó trên máy tính Window XP để xem các gói tin SNMP version
3 bắt được.
Hình 44. Giao thức SNMP trong bài thực hành số 4
Hình 45. SNMP được sử dụng với version 3

Chuột phải lên một gói tin SNMP bất kỳ, chọn Follow UDP Stream sẽ thông thể thấy được các password
của md5 và DES trao đổi giữa SNMP Sserver và SNMP Agent.

Hình 46. Follow UDP Stream của gói SNMP verison 3

Bước 10: Sinh viên cấu hình thêm SNMP verison trên Window server 2003 và trên Linux. Gợi ý:
Trên Window server 2003: cài phần mềm SNMP version 3 agent
Trên Linux: cài đặt gói bằng lệnh "yum install net-snmp-utils net-snmp-devel".
Bước 11: Yêu cầu sinh viên thay thế phần phần Solarwind trên máy tính Window XP bằng các phần
mềm quản trị khác như được trình bày trong Chương 1 của giáo trình.

BÀI 22. QUẢN TRỊ CHẤT LƯỢNG DỊCH VỤ MẠNG BẰNG MÔ HÌNH INTSERV
I. MỤC TIÊU
+ Sử dụng mô hình Intserv để đảm bảo chất lượng dịch vụ trong mạng.
+ Tìm hiểu các gói tin của giao thức RSVP.
II. THỰC HÀNH
Mô hình trong Hình 47 gồm 3 Router R1, R2, R3 và 2 máy tính A, B. Giao thức RSVP được cấu hình
trên cả 3 Router để dành các tài nguyên mạng cho lưu lượng được thực hiện giữa 2 máy tính.
172.32.0.1/16 50.0.0.1/8
Router R2 Interface serial 0/0 Interface serial 0/1
50.0.0.2/8 70.0.0.1/8
192.168.1.1/24 70.0.0.2/8
Máy tính A IP: 172.32.0.2/16
SM: 255.255.0.0
DG: 172.32.0.1
Máy tính B IP: 192.168.1.2/24
SM: 255.255.255.0
DG: 192.168.1.1


+ Sử dụng phần mềm Vmware 10.0.4 để giả lập 2 máy tính: máy tính A (sử dụng hệ điều hành Window
bất kỳ) và máy tính B (sử dụng hệ điều hành Window bất kỳ).
Bước 3: cài đặt phần mềm wireshark trên thật (máy tính đang sử dụng để cài đặt các phần mềm GNS3
và Vmware).
Bước 4: cấu hình địa chỉ IP của máy tính A và máy tính B. (Xem bài thực hành số 1).
Bước 5: cấu hình địa chỉ IP và cấu hình định tuyến trên router R1 và router R2. Sinh viên ôn lại cách
cấu hình địa chỉ IP như bài thực hành số 1.
Các lệnh cấu hình định tuyến OSPF trên các Router R1, R2 và R3 như sau:
R3(config-router)# network 192.168.1.0 0.0.0.255 area 0
Thực hiện các lệnh "show ip interface brief" và "show ip route" để kiểm tra trạng thái các cổng và bảng
định tuyến của các Router. Đảm bảo các cổng đạt được trạng thái up/up và bảng định tuyến học được
đầy đủ các lớp mạng trong mô hình.
Thực hiện kiểm tra ping từ máy tính A sang máy tính B. Đảm bảo 2 máy tính phải liên lạc được với
nhau thành công.
Bước 5: Cấu hình giao thức RSVP trong mô hình Intserv
Bước 5.1: Cho phép RSVP hoạt động trên tất cả các cổng của 3 Router.
R1(config-if)#ip rsvp bandwidth
R1(config-if)#exit


R2(config)# interface serial 0/0
R2(config-if)#exit
R3(config-if)#exit
Bước 5.2: Cấu hình R1 là RSVP-Sender thay thế máy tính A gửi thông điệp PATH.
R1(config)#ip rsvp sender 192.168.1.2 172.32.0.2 tcp 0 0 172.32.0.2 fastEthernet 0/1 10 5
Bước 5.3: Cấu hình R3 là RSVP-Reservation thay thế PC2 gửi thông điệp RESV.
R3(config)#ip rsvp reservation 192.168.1.2 172.32.0.2 tcp 0 0 192.168.1.2 fastEthernet 0/1 ff rate 10 5
Sinh viên tự thực hiện lệnh "show ip rsvp interface interface_name" để kiểm tra các thông số cấu hình
đã tương thích với 2 câu lệnh trong Bước 5.2 và Bước 5.3 hay chưa. Ví dụ để kiểm tra cổng serial 0/0
của Router R1 thì thực hiện lệnh sau:
R1#show ip rsvp interface serial 0/0
Bước 6: Thực hiện lệnh "ping 192.168.1.2 -t" từ máy tính A sang máy tính B để tạo lưu lượng mạng
ICMP.
Lúc này, một luồng (flow) sẽ được thiết lập. Các Router R1, R2, R3 sẽ sử dụng giao thức RSVP (giao
thức này đã được kích hoạt nhờ các lệnh cấu hình trong Bước 5) để ưu tiên tài nguyên mạng (băng
thông, độ trễ) cho các gói ICMP. Để thực hiện được việc ưu tiên tài nguyên mạng, Router R1 sẽ gửi ra
gói tin PATH để yêu cầu tài nguyên. Nếu chấp nhận các tài nguyên yêu cầu thìn Router R3 sẽ gửi về
gói tin RESV.
Bước 7: sử dụng phần mềm wireshark để bắt hai hói tin PATH và RESV để kiểm chứng hoạt động của
giao thức RSVP.
Do các gói tin PATH được gửi đi và các gói tin RESV nhận về đều phải chạy trên interface serial nối
giữa Router R1 và Router R2 nên để bắt được 2 gói tin này bằng wireshark thực hiện chuột phải lên
dây serial, chọn Start capturing như Hình 47. Lúc này sẽ xuất hiện giao diện như Hình 48 yêu cầu chọn
cổng để bắt gói tin (interface serial 0/0 của Router R1 hoặc interface serial 0/0 của Router R2). Chọn
ok từ Hình 48.

Hình 47. Bắt wireshark trên serial giữa R1 và R2.
Hình 48. Chọn cổng để bắt wireshark

Sau khi chọn ok từ Hình 48, để khởi động được wireshark, chuột phải lên dây serial một lần nữa và
chọn Start Wireshark như Hình 49.
Hình 49. Khởi động wireshark

Bước 8: xem kết quả wireshark như trong Hình 50 và Hình 51. Chú ý về Source và Destination của gói
tin.
Hình 50. Gói tin PATH
Hình 51. Gói tin RESV

Bước 9: Trong hoạt động của RSVP bao gồm 6 gói tin là PATH, RESV, PATHerr, RESVerr, PATH
tear, RESV tear. Sinh viên thực hiện bắt 4 gói tin còn lại theo sự hướng dẫn của giảng viên.
Gợi ý: thay đổi các thông số cấu hình (các thông số yêu cầu việc ưu tiên tài nguyên như băng thông, độ
trễ) trong Bước 5.

BÀI 23. QUẢN TRỊ CHẤT LƯỢNG DỊCH VỤ MẠNG BẰNG MÔ HÌNH DIFFSERV
I. MỤC TIÊU
- Sử dụng mô hình Diffserv để đảm bảo chất lượng dịch vụ trong mạng.
- Tìm hiểu giá trị DSCP trong đánh dấu độ ưu tiên của gói tin.
II. THỰC HÀNH
Mô hình trong Hình 52 gồm 3 Router R1, R2, R3 và 2 máy tính A, B. trên máy tính B dựng một HHTP
server. Máy tính A thực hiện ping và truy cập Web vào máy tính B. Do đó, trong mô hình mạng sẽ có
2 traffic là ICMP và HTTP. Diffserv được sử dụng vào mô hình này để ưu tiên cho traffic HHTP hơn
là traffic ICMP.
20.0.0.1/8 100.0.0.1/8
Router R2 Interface serial 0/0 Interface serial 0/1
100.0.0.2/8 200.0.0.1/24
200.0.0.2/24 10.0.0.1/8
Máy tính A IP: 20.0.0.2/8
SM: 255.255.0.0
DG: 20.0.0.1
Máy tính B IP: 10.0.0.2/8
SM: 255.255.255.0

DG: 10.0.0.1
+ Sử dụng phần mềm Vmware 10.0.4 để giả lập 2 máy tính: máy tính A (sử dụng hệ điều hành Window
bất kỳ) và máy tính B (sử dụng hệ điều hành Window server 2003).
Bước 3: cài đặt phần mềm wireshark trên thật (máy tính đang sử dụng để cài đặt các phần mềm GNS3
và Vmware).
Bước 4: cấu hình địa chỉ IP của máy tính A và máy tính B. (Xem bài thực hành số 1).
Bước 5: cấu hình địa chỉ IP và cấu hình định tuyến trên router R1 và router R2. Sinh viên ôn lại cách
cấu hình địa chỉ IP như bài thực hành số 1.
Các lệnh cấu hình định tuyến OSPF trên các Router R1, R2 và R3 như sau:
R3(config-router)# network 10.0.0.0 0.255.255.255 area 0
Thực hiện kiểm tra ping từ máy tính A sang máy tính B. Đảm bảo 2 máy tính phải liên lạc được với
nhau thành công.
Bước 5: cài đặt IIS và cấu hình Web server trên máy tính B (Xem lại môn mạng máy tính).
Kiểm tra đảm bảo từ máy tính A truy cập Web thành công sang máy tính B.
Bước 6: cấu hình ưu tiên lưu lượng HHTP hơn so với ICMP bằng Diffserv
Bước 6.1: phân lớp lưu lượng bằng Access Control Lists. Điều này giúp phân rõ 2 lưu lượng ICMP và
HHTP.
R1(config)# access-list 100 permit tcp any any eq www

R1(config)# access-list 101 permit icmp any any echo
Theo 2 câu lệnh trên thì danh sách 100 là cho lưu lượng HTTP. Còn danh sách 101 là cho lưu lượng
ICMP.
Bước 6.2: Tạo lớp lưu lượng tương ứng với Access Control Lists.
* Dành cho HTTP:
R1(config)#class-map HTTP
R1(config-cmap)#match access-group 100
* Dành cho ICMP:
R1(config)#class-map ICMP
R1(config-cmap)#match access-group 101
Bước 6.3: tạo chính sách lưu lượng Class-based Marking với tên baithuchanh6
R1(config)#policy-map baithuchanh6
R1(config-pmap)#class HTTP
R1(config-pmap-c)#set dscp af31
R1(config-pmap-c)#exit
R1(config-pmap)#class ICMP
R1(config-pmap-c)#set dscp af21
Trong Bước 6.3, HTTP được đánh dấu ưu tiên là af31, còn ICMP được đánh dấu là af21. Giá trị af31
là ưu tiên hơn so với af21 (xem lại phần lý thuyết 5.3.2).
Bước 6.4: chỉ định Class-based Marking trên interface f1/0 teo chiều vào Fa2/0 của R1

R1(config-if)#service-policy input baithuchanh6
Bước 6.5: Cấu hình chính sách lưu lượng
R2(config)#class-map HTTP
R2(config-cmap)#match ip dscp af31
R2(config-cmap)#exit
R2(config)#class-map ICMP
R2(config-cmap)#match ip dscp af21
Bước 6.6: chỉ định chính sách băng thông theo ý của người quản trị sao cho HTTP được ưu tiên hơn so
với ICMP. Chính sách được đặt tên là chinhsach.
R2(config)#policy-map chinhsach
R2(config-pmap)#class HTTP
R2(config-pmap-c)#priority percent 50
R2(config-pmap-c)#exit
R2(config-pmap)# class ICMP
R2(config-pmap-c)#priority percent 10
Bước 6.7: chỉ định chính sách trên interface serial 0/1 của R2

R2(config-if)# service-policy output chinhsach
Bước 7: thực hiện truy cập web và ping từ máy tính A sang máy tính B để kiểm tra kết quả cấu hình.
Sử dụng phần mềm wireshark tương tự như bài thực hành số 5 để bắt các gói tin đã cấu hình đánh dấu
sự ưu tiên bằng mô hình Diffserv. Hình 53 là gói tin bình thường không có đánh dấu sự ưu tiên nên kết
quả của wireshark là "default". Còn gói tin HTTP có đánh dấu là af31 nên trong wireshark sẽ phản ánh
được điều này, như thể hiện trong Hình 54.
Hình 53. Gói tin bình thường không có đánh dấu ưu tiên
Hình 54. Gói tin HTTP được đánh dấu ưu tiên với giá trị là af31
Sinh viên tự kiểm tra gói tin ICMP bằng cách tương tự.
Bước 8: chứng minh lưu lượng HHTP được ưu tiên hơn so với lưu lượng ICMP
Phần này, sinh viên tự thực hiện và báo kết quả về cho giảng viên dạy thực hành.
Gợi ý: sử dụng phần mềm netflow analyzer. Phần mềm này giúp thống kê các lưu lượng vào và ra mạng.
Bước 8.1: cài đặt netflow analyzer trên máy tính A (Xem bài thực hành số 2).
Bước 8.2: cấu hình netflow trên Router R2 (Xem bài thực hành số 2).
Bước 8.3: phân tích bằng phần mềm netflow analyzer.

BÀI 24. CẤU HÌNH ACCESS CONTROL LIST TRÊN ROUTER CISCO
I. MỤC TIÊU
+ Tìm hiểu cách cấu hình Access Control List (ACL) trên Router Cisco.
+ Ứng dụng ACL để lọc các lưu lượng trong vấn đề quản trị mạng.
II. THỰC HÀNH
Chi nhánh bên router R2 có triển khai hệ thống server gồm HHTP và FTP. Máy tính Window XP thực
hiện truy cập HTTP và FTP vào máy tính Window server 2003. ACL được cấu hình trên Router R1 và
R2 để hạn chế việc truy cập. Nguyên tắc hoạt động của ACL giống như hoạt động của các dạng firewall
(ISA, TMG, ASA...), sử dụng trong cấu hình NAT, VPN, lọc lưu lượng trong quản trị chất lượng mạng...
10.0.0.1/8 192.168.12.1/24
20.0.0.2/8 192.168.12.2/24
SM: 255.0.0.0
DG: 10.0.0.1
SM: 255.0.0.0
DG: 20.0.0.1

+ Sử dụng phần mềm Vmware 10.0.4 để giả lập 2 máy tính.
Bước 3: cấu hình địa chỉ IP của 2 máy tính. (Xem bài thực hành số 1).
1).
1).
Thực hiện kiểm tra ping từ máy tính Window XP sang máy tính Window server 2003. Đảm bảo 2 máy
tính phải liên lạc được với nhau thành công.
Bước 6: trên máy tính B cài đặt IIS và FTP để cấu hình Web server và FTP server (Xem lại môn mạng
máy tính). Kiểm tra đảm bảo từ máy tính Window XP truy cập Web và file thành công trên máy tính
Window server 2003 như thể hiện trong Hình 56 và Hình 57.
Hình 56. Truy cập FTP thành công

Hình 57. Truy cập Web thành công

Bước 7: cấu hình ACL. Sinh viên thực hiện các yêu cầu sau đây:
Câu 1. Cấm máy tính Window XP ping đến máy tính Window server 2003. (lọc ra được lưu lượng
ICMP).
Câu 2. Cấm máy tính Window XP truy cập vào HTTP trên máy tính Window server 2003 (lọc ra được
lưu lượng HTTP).
Cần chú ý trong Câu 2 chỉ cấm truy cập HTTP chứ không cấm truy cập FTP
Câu 3. Cấm máy tính Window XP truy cập vào FTP trên máy tính Window server 2003 (lọc ra được
lưu lượng FTP).
ACL là một danh sách điều khiển việc truy cập trong hệ thống mạng. ACL thường được cấu hình trên
Router và Firewall. Nếu ACL được cấu hình trên Switch (chỉ Switch layer 3) thì được gọi là VLAN
ACL.
Nguyên tắc hoạt động của ACL như sau: ACL là một danh sách gồm nhiều dòng. Khi được truy xuất,
ACL sẽ được đọc và thi hành từng dòng một từ trên xuống dưới, dòng nào chứa thông tin khớp với
thông tin của gói tin đang được xem xét, dòng ấy sẽ được thi hành ngay và các dòng còn lại sẽ được bỏ
qua. Các dòng mới được khai báo sẽ được tự động thêm vào cuối ACL, tuy nhiên dòng cuối cùng thực
sự của một ACL luôn là một dòng ngầm định deny tất cả, có nghĩa là nếu gói tin không khớp bất cứ
dòng nào đã khai báo của ACL sẽ bị deny.
ACL có 2 dạng là dạng số và dạng theo tên. Thông thường thì chỉ cần cấu hình theo dạng số. ACL theo
dạng số được chia thành 2 loại là Standard ACL và Extended ACL. Mỗi ACL được cấu hình bởi 1 số.
Standard ACL sử dụng các số thông thường từ 1 đến 99. Extended ACL sử dụng các số thông thường
từ 100 đến 199. Ngoài ra, ACL còn có các số mở rộng khác.
Standard ACL lọc các gói tin chỉ dựa trên nguồn của gói tin. Còn Extended lọc các gói tin dựa trên
nhiều thông số bao gồm địa chỉ nguồn, địa chỉ đích, cổng giao thức, loại giao thức (TCP, UDP, IP)...
Định dạng chung của câu lệnh Standard ACL:
Router(config)#access-list n permit|deny địa_chỉ wildcard_mask (n là số từ 1 đến 99).
Định dạng chung của câu lệnh Extended ACL:

Router(config)#access-list n permit|deny tcp|udp|ip|icmp địa_chỉ_nguồn wildcard_mask địa_chỉ_đích

wildcard_mask eq|gt|lt port
Áp dụng ACL để cấu hình các câu yêu cầu ở trên. (cần kiểm tra lại máy tính Window XP vẫn truy cập
HTTP và FTP thành công).
Câu 1. Sử dụng dạng standard ACL
Thực hiện cấu hình trên Router R1:
R1(config)#access-list 1 deny 10.0.0.10 0.0.0.0

R1(config)#access-list 1 permit any
R1(config-if)#ip access-group 1 in
Ý nghĩa của 4 câu lệnh trên: tạo một danh sách số 1, danh sách này cấm địa chỉ 10.0.0.10 (địa chỉ IP
của máy Window XP), danh sách số 1 được áp theo chiều vào của cổng fastEthernet 1/0 của Router R1.
Kết quả là máy tính Window XP không ping được đến máy tính Window server 2003 như thể hiện
trong Hình 58.
Hình 58. Cấm ping thành công từ 10.0.0.10 đến 20.0.0.10

Thực hiện đổi IP của máy tính Window XP thành 10.0.0.11 thì kết quả là ping thành công như thể hiện
trong Hình 59 và Hình 60.
Hình 59. Đổi IP thành 10.0.0.11

Hình 60. Ping thành công từ 10.0.0.11 đến 20.0.0.10

Thực hiện đổi IP của máy tính Window XP lại thành 10.0.0.10 và thực hiện ping đến 192.168.12.2 (IP
của Router R2) thì kết quả cũng là ping không thành công như thể hiện trong Hình 61.
Hình 61. Ping không thành công từ 10.0.0.10 đến 192.168.12.2

Nguyên nhân ở đây là dạng standard ACL chỉ lọc các gói tin dựa trên địa chỉ IP nguồn. Các gói tin ở
trên có nguồn là 10.0.0.10 thì đều bị deny. Do đó, cấu hình trên R1 là không tối ưu. Cách cấu hình theo
dạng standard ACL tối ưu cho câu 1 là cấu hình trên Router R2 như sau (cần bỏ các cấu hình ACL trên
R1 thì mối kiểm tra được):
Thực hiện cấu hình trên Router R1:
R2(config)#access-list 1 deny 10.0.0.10 0.0.0.0

R2(config)#access-list 1 permit any
R2(config-if)#ip access-group 1 out
Sinh viên tự kiểm tra kết quả các lệnh cấu hình ở trên. Đảm bảo chỉ không ping đến được 20.0.0.10 và
vẫn ping đến được 192.168.12.2.
Câu 2. Sử dụng dạng extended ACL

Giữ nguyên cấu hình ở câu 1 và thử truy cập đến HTTP và FTP từ máy tính Window XP. Kết quả truy
cập vẫn là không thành công như thể hiện trong Hình 62 và Hình 63.
Hình 62. Truy cập Web không thành công
Hình 63. Truy cập FTP không thành công

Kết quả của các câu lệnh ở câu 1 đã cấm luôn không cho truy cập HTTP và FTP. Do đó, ở câu 2 chỉ
muốn cấm truy cập HTTP trên máy tính Window server 2003 thì phải dùng đến dạng extended ACL
(lúc này chú ý là cần bỏ cấu hình các câu lệnh standard ACL trên R2 ở trên).
Thực hiện cấu hình extended ACL trên Router R1 như sau
R1(config)#access-list 100 deny tcp 10.0.0.10 0.0.0.0 20.0.0.10 0.0.0.0 eq 80

R1(config)#access-list 100 permit ip any any
R1(config-if)#ip access-group 100 in
Kiểm tra kết quả cấu hình, đảm bảo chỉ cấm truy cập Web nhưng FTP và ping vẫn truy cập và kết nối
bình thường như thể hiện trong Hình 64, Hình 65 và Hình 66.

Hình 64. Truy cập Web không thành công ở câu 2
Hình 65. Truy cập FTP thành công ở câu 2
Hình 66. Ping thành công ở câu 2

Điều này thực hiện được là do extended ACL thực hiện lọc được trên các thông số: IP nguồn, IP đích,
cổng và giao thức.
Câu 3. sử dụng Extended ACL. Sinh viên tự thực hiện câu này.
Bước 8: Sinh viên thực hiện thêm yêu cầu, cấm 10.0.0.10 telnet đến Router R2 nhưng vẫn SSH bình
thường.
Gợi ý: Telnet sử dụng port 23, SSH sử dụng port 22.

BÀI 25. CẤU HÌNH THIẾT BỊ JUNIPER VÀ DÙNG SNMP ĐỂ QUẢN TRỊ
I. MỤC TIÊU
+ Tìm hiểu cách cấu hình thiết bị Juniper.

+ Tìm hiểu cách cấu hình cơ bản và cấu hình định tuyến trên thiết bị Juniper.
+ Các câu lệnh SNMP trong quản trị các thiết bị Juniper.
+ So sánh cách cấu hình trên Cisco với Juniper.
II. THỰC HÀNH
Trong mô hình Hình 67, các Router JUNOS 1, JUNOS 2 và JUNOS 3 là các thiết bị của Juniper. Trên
thị trường các thiết bị mạng thì thiết bị Cisco được xem là hoạt độmg tốt như chi phí là tương đối cao.
Do đó, các công ty có thể sử dụng sang thiết bị của các hãng khác. Juniper có thể được xem là thiết bị
nhiều thứ 2 được sử dụng. Do đó, bài thực hành này sẽ cho các bạn sinh viên một cách cấu hình mới.
Tuy nhiên, việc quản trị các thiết bị này cũng chung một nguyên lý. Đó là sử dụng giao thức SNMP.
JUNOS 1 Interface em0
192.168.12.1/24
JUNOS 2 Interface em0 Interface em1
192.168.12.1/24 192.168.23.2/24
JUNOS 3 Interface em0
192.168.23.3/24
+ Sử dụng hệ điều hành "Olive.img" được cung cấp bời giảng viên dạy thực hành.
Bước 1: cài đặt phần mềm GNS3 (Xem bài thực hành số 1).
Bước 2: sử dụng phần mềm GNS3 để giả lập mô hình mạng như trong Hình 67.
Tại màn hình chính của phần mềm GNS3 (Hình 2 thuộc bài thực hành số 1), chọn menu edit, chọn
Preferences...sẽ xuất hiện giao diện như Hình 68.
Hình 68. GNS3 Preferences

Từ hình 68, chọn phần Qemu, chọn tab JunOS. Tìm đến dòng Identifier name nhập Junos, tìm đến dòng
Binary imane thì browse đền nơi chứa file "Olive.img" trên máy tính, sau đó nhấp ok như Hình 69.

Hình 69. Tab Junos của Qemu

Sau khi nhấp ok thì quay lại màn hình, tìm ở phần danh sách các thiết bị thấy xuất hiện thêm thiết bị
Juniper router là thành công như thể hiện trong Hình 70.
Hình 70. Thêm thành công file Olive.img

Bước 3: dùng Juniper router vừa thêm vào danh sách các thiết bị để thiết kế mô hình như Hình 67.
Bước 4: bắt đầu cấu hình thiết bị Juniper.
Chuột phải lên từng thiết bị, chọn start. Chuột phải lên thiết bị thêm lần nữa chọn console như Hình 71.
Hình 71. Bước đầi cấu hình Juniper

Sau khi chọn console thì xuất hiện giao diện cấu hình như Hình 72. Nhập username là "root" và Juniper
sẽ khởi động thành công với dấu nhắc hệ thống là "root@%".

Hình 72. Khởi động thành công Juniper

Hình 72 là của JUNOS 1, sinh viên thực hiện tương tự cho JUNOS 2 và JUNOS 3.
Bước 5: các lệnh vào ra các mode của thiết bị juniper
Thực hiện các lệnh sau để vào ra các mode cấu hình của thiết bị juniper:
root@% cli
root> configure
root#exit
root>exit
root@%
Hai mode root@% và root> chỉ dùng để kiểm tra cấu hình. Mode root# mới chính là nơi cấu hình chính
của Router Juniper.
Sinh viên thực hiện tương tự trên cả 3 Router.
Bước 5: Cấu hình địa chỉ IP
Trước khi cấu hình cần phải đặt lại password cho "root" (mặc định khi đăng nhập vào Juniper thì user
là "root", user có quyền cao nhất trong Juniper). Thực hiện như sau:
root#load factory-default
root#set system root-authentication plain-text-password
New password: "nhập password mới"
Retype new password: "nhập lại password mới"
root#commit
Sinh viên thực hiện tương tự trên cả 3 Router.
Tại mode root# hỗ trợ 2 từ khóa quan trọng để cấu hình. Đó là "set" để cấu hình và "delete" để xóa cấu
hình. Điểm đặt biệt là các lệnh cấu hình xong thì phải thực hiện thêm lệnh "commit", lúc này các lệnh
cấu hình mới được thi hành.
Thực hiện cấu hình địa chỉ IP như sau:
+ Trên JUNOS 1:
root#set interfaces em0 unit 0 family inet address 192.168.12.1/24
root# commit
+ Trên JUNOS 2:
root# set interfaces em0 unit 0 family inet address 192.168.12.2/24
root# commit
+ Trên JUNOS 3:
root# commit
Thực hiện lệnh "show interface" để kiểm tra cấu hình IP các cổng của 3 Router.
Hình 73. Show interface trên JUNOS 1


Thực hiện kiểm tra ping các địa chỉ kết nối trực tiếp. Đảm bảo ping thành công.
Hình 76. Ping thành công từ JUNOS 1 sang JUNOS 2
Hình 77. Ping thành công từ JUNOS 2 sang JUNOS 3

Bước 6: cấu hình định tuyến OSPF.
Muốn JUNOS 1 ping thành công sang JUNOS 3 thì cần cấu hình thêm định tuyến.
Thực hiện cấu hình như sau:
+ Trên JUNOS 1:
root#set protocols ospf area 0.0.0.0 interface em0
root# commit
+ Trên JUNOS 2:
root#commit
+ Trên JUNOS 3:
root#commit
Sinh viên tự kiểm tra ping từ JUNOS 1 sang JUNOS 3 thành công.
Bước 7: cấu hình SNMP để quản trị các thiết bị Juniper.
SNMP version 1 và SNMP version 2 hoạt động dựa trên các chuỗi community. Do đó, cấu hình SNMP
để quản trị thiết bị Juniper cũng tương tự như Cisco. Các lệnh cấu hình như sau (đánh lệnh trên thiết bị
nào thì thiết bị đó sẽ trở thành SNMP Agent):
root# set snmp community ngocdai authorization read-only
root# set snmp community ngocdai authorization read-write
root# commit
Tương tự như các bài thực hành ở trên, sinh viên tự kiểm tra việc quản lý các thiết bị bằng SNMP.
Bước 7: sinh viên lập ra bảng so sánh sự giống nhau và khác nhau trong các câu lệnh cấu hình giữa
Juniper và Cisco.

BÀI 26. CẤU HÌNH THIẾT BỊ VYATTA VÀ DÙNG SNMP ĐỂ QUẢN TRỊ
I. MỤC TIÊU
- Tìm hiểu cách cấu hình thiết bị Vyatta.

- Tìm hiểu cách cấu hình cơ bản và cấu hình định tuyến trên thiết bị Vyatta.
- Các câu lệnh SNMP trong quản trị các thiết bị Vyatta.
- So sánh cách cấu hình trên Cisco với Vyatta.
II. THỰC HÀNH
Trên thị trường các thiết bị mạng thì thiết bị Cisco được xem là hoạt độmg tốt như chi phí là tương đối
cao. Juniper có thể được xem là thiết bị nhiều thứ 2 được sử dụng. Tuy nhiên có những dạng "router
mềm" miễn phí chạy trên phần cứng của một máy tính. Hình 78, các Router Vyatta 1 và Vyatta 2 là các
"router mềm" được giả lập bằng phần mềm Vmware.
Chi nhánh bên router R2 có triển khai hệ thống server. Cấu hình định tuyến bằng Vyatta đảm bảo mạng
hội tụ. Bên cạnh đó là cấu hình SNMP để quản trị các thiết bị này.
Vyatta1 Interface nối xuống máy tính A Interface nối với Vyatta2
10.0.0.1/8 192.168.12.1/24
Vyatta2 Interface nối xuống máy tính B nterface nối với Vyatta1
20.0.0.2/8 192.168.12.2/24
Máy tính A IP: 10.0.0.10/8
SM: 255.0.0.0
DG: 10.0.0.1
Máy tính B IP: 20.0.0.10/8
SM: 255.0.0.0
DG: 20.0.0.1
+ Sử dụng phần mềm Vmware 10.0.4 để tạo ra Vyatta1 và Vyatta2.
+ Sử dụng hệ điều hành "vyatta-livecd_VC6.5R1_i386.iso" được cung cấp bời giảng viên dạy thực
hành.
Bước 1: cài đặt phần mềm Vmware (Xem bài thực hành số 1).
Bước 2: sử dụng phần mềm Vmware để giả lập mô hình mạng như trong Hình 78.
Bước 2.1: Tạo máy ảo Vyatta
Từ giao diện chính của phần mềm Vmware ở Hình 3 (bài thực hành số 1), tab Home, chọn Create a
New Virtual Machine, lúc này sẻ xuất hiện giao diện như Hình 79.
Chọn Custom và sau đó chọn next 2 lần từ Hình 79, được giao diện như Hình 80.
Hình 79. Bắt đầu tạo Router ảo

Hình 80. Chọn Custom

Tại Hình 80, chọn "I will install the operating system later" và chọn next, sẽ xuất hiện giao diện như
Hình 81, tại Guest Operation System chọn linux, tại verion chọn Other Linux3.x kernel.

Hình 81. Chọn Linux

Ở các bước tiếp theo, chỉ cần nhấp next cho đến khi hiện giao diện như Hình 82, nhấp finish.
Hình 82. Cài đặt xong máy ảo để tạo vyatta

Lúc này quay lại được màn hình chính của Vmware, chuột phải lên trên máy ảo vừa tạo, chọn Settings...
như Hình 82. Sau đó, sẽ xuất hiện giao diện như Hình 83.
Hình 82. Chọn Settings...

Hình 83. Chọn ISO image

Theo Hình 83 ở trên, tại phần Hardware chọn CD/DVD (IDE), tại phần Connection chọn Use ISO
image file, sau đó Browse.. đến nơi chứa file "vyatta-livecd_VC6.5R1_i386.iso" trên máy tính. Sau đó,
nhấp ok để hoàn thành.
Lúc này tiếp tục quay lại màn hình chính của Vmware. Tại đây đã xong máy ảo dành cho Vyatta1. Để
tạo máy Vyatta 2, sinh viên thực hiện tương tự như trên hoặc có thể làm theo cách sau đây. Chuột phải
lên tên máy ảo vừa tạo ở trên, chọn Manage, chọn Clone...sẽ xuất hiện giao diện như Hình 84.
Hình 84. Tạo Clone

Tại Hình 84, nhấp next liên tục cho đến khi xuất hiện giao diện như Hình 85, chọn Finish.

Hình 85. Finish Clone

Tiếp tục quay lại màn hình chính của Vmware.
Bước 2.2: Thiết kế mô hình mạng như Hình 78.
Xem lại mô hình thì mỗi Vyatta đều có 2 card mạng. Tiến hành remove card mạng cũ và thêm 2 card
mạng mới cho mỗi Vyatta bằng cách như sau:
Chuột phải lên tên máy ảo, chọn Settings... (như Hình 82), xuất hiện giao diện như Hình 83, nhưng lúc
này chọn Network Adapter, nhấn remove để bỏ đi card mạng này (cần phải bỏ đi bởi vì Vyatta 2 là
Clone của Vyatta 1 nên 2 card mạng của 2 Vyatta sẽ trùng địa chỉ MAC). Sau đó chọn Add, sẽ được
giao diện như Hình 86.

Hình 86. Add thêm Card mạng mới

Nhấp next và sau đó chọn Host-only như Hình 87.
Nhấp Finish để hoàn thành.
Hình 87. Chọn Host-only

Tiếp tục thực hiện tương tự để mỗi Vyatta có 2 card mạng.
Đối với card mạng của máy tính A và máy tính B cũng chọn là Host-only. Lúc này chỉ cần đặt địa chỉ
IP cùng lớp mạng là có thể ping thấy nhau.
Tới đây là hoàn thành xong bước thiết kế mô hình mạng.
Tiến hành power on các máy tính A, B và 2 Vyatta để cấu hình.
Bước 3: cấu hình địa chỉ IP.
Bước 3.1: cấu hình địa chỉ IP cho 2 máy tính A và B.
Cấu hình địa chỉ IP cho 2 máy tính A và B như Hình 88 và Hình 89.
Hình 88. IP của máy tính A

Hình 89. IP của máy tính B

Bước 3.2: Khởi động Vyatta
Sau khi Vyatta khởi động xong, thì hiện màn hình đăng nhập yêu cầu username và password. Tiến hành
nhập như sau: Vyatta Login: vyatta, Password: vyatta.
Sau khi nhập username và password sẽ xuất hiện dấu nhắc cấu hình Vyatta như sau: vyatta@vyatta:~$
Để vào mode cấu hình chính cần thực hiện như sau:
vyatta@vyatta:~$configure
vyatta@vyatta#exit
vyatta@vyatta:~$configure
Đối với thiết bị Vyatta chỉ có 2 mode cấu hình chính là vyatta@vyatta:~$ (chỉ nhập được các lệnh kiểm
tra cấu hình) và vyatta@vyatta# (mode cấu hình chính với 2 từ khóa "set" cho cài đặt lệnh và "delete"
cho xóa cài đặt lệnh). Tương tự như Juniper thì đối với mỗi muốn thực thi mỗi câu lệnh thì cần thêm từ
khóa "commit".
Bước 3.2: Đặt IP cho 2 Vyataa
+ Trên Vyatta1:
Thực hiện lệnh "show interface" để kiểm tra tên các cổng.
vyatta@vyatta#show interface
Tên 2 cổng là eth0 và eth1.
Tiến hành đặt IP như Hình 78.
vyatta@vyatta#set interface ethernet eth0 address 10.0.0.1/8
vyatta@vyatta#commit
+ Trên Vyatta2:
Thực hiện lệnh "show interface" để kiểm tra tên các cổng.
vyatta@vyatta#show interface
Tên 2 cổng cũng là eth0 và eth1.
Tiến hành đặt IP như Hình 78.
Bước 3.3: kiểm tra các địa chỉ kết nối trực tiếp là ping thành công.
Sinh viên tự kiểm tra ở bước này.
Bước 4: Cấu hình định tuyến OSPF.
Để máy tính A và máy tính B liên lạc được với nhau thành công, cần cấu hình định tuyến trên vyatta1
và vyatta2.
Thực hiện các lệnh như sau:
+ Trên Vyatta1:
vyatta@vyatta#set protocol ospf area 0 network 10.0.0.0/8
+ Trên Vyatta2:
Thực hiện lệnh vyatta@vyatta:~$show ip route để kiểm tra bảng định tuyến.
Bước 5: kiểm tra 2 máy tính A và B đã liên lạc với nhau thành công.
Sinh viên tự kiểm tra ở bước này.
Bước 5: cấu hình snmp trên cả 2 vyatta để quản trị.
vyatta@vyatta#set service snmp community ngocdai authorization ro
vyatta@vyatta#set service snmp community ngocdai authorization rw
Sinh viên tự sử dụng các phần mềm quản trị trong các bài thực hành trước để quản lý 2 thiết bị vyatta
này.
Do đó, chỉ cần thiết bị có hỗ trợ SNMP là người quả trị luôn có thể quản lý được chúng.

BÀI 27. CẤU HÌNH THIẾT BỊ MIKROTIK SỬ DỤNG VLAN VÀ TRUNKING
I. MỤC TIÊU:
- Tìm hiểu và cấu hình VLAN, Trunking trên thiết bị Mikrotik.
II. THỰC HÀNH:
Hình 27.1. Mô hình mạng vlan và trunking trên mikrotik

2. Các bước thực hiện
2.1. Thực hiện trên Router:
- Bước 1: Vào Bridge, tạo bridge-vlan

Hình 27.2. Tạo bridge-vlan

- Bước 2: Trong cửs sổ Bridge, vào tab Ports, thêm port ether 1 làm port trunk vào bridge-vlan.
Hình 27.3. Thêm port ether1 làm port trunk vào bridge-vlan
- Bước 3: Vào Interfaces >> VLAN, tạo ra các VLAN và gán các VLAN này vào Interface
bridge-vlan đã tạo ở bước 1.
o Name: nhập tên đại diện vlan
o VLAN ID: nhập số ID của vlan
o Interface: bridge-vlan

Hình 27.4. Tạo ra các vlan và gán vào Interface bridge-vlan

- Bước 4: Vào IP >> Address, gán địa chỉ IP cho các VLAN vừa tạo.
o Address: địa chỉ ip của vlan
o Network: lớp mạng
o Interface: chọn vlan
Hình 27.5. Gán địa chỉ IP cho VLAN

Hình 27.6. Tạo địa chỉ ip của vlan và gán vào interface vlan tương ứng.

- Bước 5: Vào IP >> DHCP Server, bấm vào nút DHCP Setup, lần lượt tạo DHCP Server cấp
địa chỉ IP cho các vlan.
Hình 27.7. Tạo DHCP Server cấp địa chỉ IP cho các vlan
2.2. Thực hiện trên Switch:
- Bước 1: Vào Bridge, tạo bridge-sw.
Hình 27.8. Tạo bridge-sw

- Bước 2: Bấm kép vào bridge-sw vừa tạo, vào tab VLAN, check vào ô “VLAN Filtering”. Các
mục còn lại để mặc định.
Hình 27.9. Check vào ô “VLAN Filtering”

- Bước 3: Trong cửa sổ Bridge, vào tab Ports, thêm vào các port có liên quan đến VLAN, kể cả
port ether1 là port trunk
Hình 27.10. Thêm các port có liên quan đến vlan

- Bước 4: Vẫn trong tab Ports, gán vlan vào port bằng cách bấm kép vào từng port. Đối với port
ether 1 là port trunk, tại tab VLAN của port này, ta để mặc định và không chỉnh sửa.
Hình 27.11. Port trunk ether1, trong tab VLAN để mặc định.
- Bước 5: Vẫn trong tab Ports, tiếp tục bấm kép vào các port còn lại, vào tab VLAN của port đó:
o Mục PVID: gán vlan tương ứng.
o Mục Frame Types: chọn admit only untagged and priority tagged.
o Check vào ô Ingress Filtering
Hình 27.12. Cấu hình cho port access (port giải mã vlan)
- Bước 6: Trong cửa sổ Bridge, vào tab VLANs,
o Bridge: bridge-sw
o VLAN IDs: nhập vào ID của vlan
o Tagged: port làm port trunk
o Untagged: port giải mã vlan
Hình 27.13. Cấu hình cho vlan đi qua port trunk và port access
Tiếp tục thực hiện với các vlan còn lại. Sau khi làm xong ta có bảng VLANs như sau:
Hình 27.14. Bảng VLANs

2.3. Kiểm tra:
Trên Pc1, vào web console gõ lệnh ip dhcp, nếu nhận được ip thì thành công.

Hình 27.15. Kiểm tra trên Pc1

Trong Core Router, cửa sổ DHCP Server tại tab Leases, sẽ thấy có IP cấp cho PC1.
Hình 27.16. IP cấp cho Pc1

BÀI 28. CẤU HÌNH THIẾT BỊ MIKROTIK SỬ DỤNG GIAO THỨC LACP
I. MỤC TIÊU
- Tìm hiểu cách cấu hình giao thức LACP (Link Aggregation Control Protocol) trên thiết bị
Mikrotik
II. THỰC HÀNH
1. Mô hình mạng:
Hình 28.1. Mô hình mạng kết hợp bonding và vlan trunking trên mikrotik
2.1. Thực hiện trên Router
- Bước 1: Vào Interfaces >> Bonding, tạo bonding-router, thêm port ether1 và ether 2 vào
bonding-router.
o Slaves: ether1 và ether 2
o Mode: 802.3ad
o Transmit Hash Policy: layer 2 and 3

Hình 28.2. Thêm port vào bonding

Kết quả sau khi tạo bonding-router:
Hình 28.3. Bảng bonding

- Bước 2: Trong cửa sổ Bridge, tạo bridge-vlan. Vào tab Ports, thêm port bonding-router làm
port trunk vào bridge-vlan.
Hình 28.4. Thêm port bonding-trunk làm port trunk vào bridge-vlan
- Bước 3: Vào Interfaces >> VLAN, tạo ra các VLAN và gán các VLAN này vào Interface
bridge-vlan đã tạo ở bước 1.
o Name: nhập tên đại diện vlan
o MTU: 1496 (đối với GNS3)
o VLAN ID: nhập số ID của vlan
o Interface: bridge-vlan

Hình 28.5. Tạo ra các vlan và gán vào Interface bridge-vlan

- Bước 4: Vào IP >> Address, tạo địa chỉ IP cho các VLAN. Gán địa chỉ IP này cho Interface
vlan tương ứng.
Hình 28.6. Tạo địa chỉ ip của vlan và gán vào interface vlan tương ứng.
- Bước 5: Vào IP >> DHCP Server, bấm vào nút DHCP Setup, lần lượt tạo DHCP Server cấp
địa chỉ IP cho các vlan.

Hình 28.7. Tạo DHCP Server cấp địa chỉ IP cho các vlan
2.2. Thực hiện trên Switch:
- Bước 1: tạo bonding: tương tự như trên router, tạo bonding-sw chứa port ether1 và ether2.
Hình 28.8. Bonding trên switch

- Bước 2: Vào Bridge, tạo bridge-sw.
Hình 28.9. Tạo bridge-sw
- Bước 2: Bấm kép vào bridge-sw vừa tạo, vào tab VLAN, check vào ô “VLAN Filtering”. Các
mục còn lại để mặc định.
Hình 28.10. Check vào ô “VLAN Filtering”

- Bước 3: Trong cửa sổ Bridge, vào tab Ports, thêm vào các port có liên quan đến VLAN, kể cả
port bonding-sw là port trunk
Hình 28.11. Thêm các port có liên quan đến vlan vào bridge-sw
- Bước 4: Vẫn trong tab Ports, gán vlan vào port bằng cách bấm kép vào từng port. Đối với port
bonding-sw là port trunk, tại tab VLAN của port này, ta để mặc định và không chỉnh sửa.
Hình 28.12. Port trunk ether1, trong tab VLAN để mặc định.
- Bước 5: Vẫn trong tab Ports, tiếp tục bấm kép vào các port còn lại, vào tab VLAN của port đó:
o Mục PVID: gán vlan tương ứng.
o Mục Frame Types: admit all.
Hình 28.13. Cấu hình cho port access (port giải mã vlan)
- Bước 6: Sau cùng ta có bảng VLANs như sau:
Hình 28.14. Bảng VLANs

BaiTapThucHanhQTM UPT v1.1

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

BaiTapThucHanhQTM UPT v1.1

Uploaded by

Copyright:

Available Formats

fit.upt.edu.

vn Bài tập thực hành Quản trị mạng

BÀI 1. GIỚI THIỆU MÔN HỌC ....................................................................................................... 3

BÀI 2. ÔN TẬP KIẾN THỨC VỀ HẠ TẦNG MẠNG ..................................................................... 6

BÀI 6. THIẾT LẬP CHÍNH SÁCH BẢO MẬT CỤC BỘ .............................................................. 52

BÀI 7. PHÂN QUYỀN THƯ MỤC CỤC BỘ ................................................................................. 56

BÀI 9. TRIỂN KHAI DỊCH VỤ ACTIVE DIRECTORY ............................................................... 71

BÀI 16. CẤU HÌNH QUẢN LÝ Ổ ĐĨA ...................................................................................... 315

BÀI 17. GIÁM SÁT LƯU LƯỢNG MẠNG................................................................................ 367

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/1

BÀI 27. VLAN VÀ TRUNKING ................................................... Error! Bookmark not defined.

BÀI 28. GIAO THỨC LACP ....................................................................................................... 444

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/2

BÀI 1. GIỚI THIỆU MÔN HỌC

- Tên môn học: Quản Trị Mạng (Network Administration)

I. Mục tiêu của học phần:

Sau khi hoàn tất học phần, sinh viên có thể:

Buổi Nội dung Ngày

III. Tài liệu học tập:

1. Giáo trình chính

IV. Phương pháp đánh giá học phần:

Sinh viên phải thực hiện các nhiệm vụ như sau:

Điểm thi thực Thực hành trên máy 30%

V. Danh sách đề tài cuối kì:

STT TÊN ĐỀ TÀI GHI

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/4

13 Xây dựng hệ thống mail server doanh nghiệp (Mdaemon, Zimbra…)

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/5

BÀI 2. ÔN TẬP KIẾN THỨC VỀ HẠ TẦNG MẠNG

I. CÁP XOẮN UTP

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/6

II. MÔ HÌNH OSI

• Lớp vật lý.

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/8

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/9

III. ĐỊA CHỈ IP

Ví dụ thứ hai cho số nhị phân 1000 0000

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/10

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/11

Công thức tính số mạng & máy như sau:

C 2097150 (223-191)x216 254 28-2 16bit làm Net sẽ giao động

Trong đó các IP:

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/12

BÀI 3. TRIỂN KHAI CÀI ĐẶT HỆ ĐIỀU HÀNH WINDOWS SERVER

II. Thực hành:

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/13

1.3. Mô hình lab:

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/14

1.5. Hướng dẫn chi tiết:

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/16

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/17

o Tại cửa sổ Processor Configuration, chọn như hình bên dưới.

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/18

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/19

o Tại Select a Disk Type ,chọn vào SCSI (Recommend).

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/20

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/21

➔ Quá trình Load file diễn ra

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/22

➔ Ấn vào Install Now.

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/23

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/24

KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/25

• Quá trình cài đặt diễn ra.