Professional Documents
Culture Documents
MỤC LỤC
MỤC LỤC.............................................................................................................................................. 1
BÀI 3. TRIỂN KHAI CÀI ĐẶT HỆ ĐIỀU HÀNH WINDOWS SERVER .................................... 13
BÀI 4. QUẢN LÝ NHÓM VÀ TÀI KHOẢN NGƯỜI DÙNG CỤC BỘ (LOCAL USER/GROUP)
TRONG WINDOWS ............................................................................................................................ 39
BÀI 5. QUẢN LÝ CHÍNH SÁCH NHÓM CỤC BỘ (LOCAL GROUP POLICY) TRONG
WINDOWS SERVER .......................................................................................................................... 47
BÀI 8. CHIA SẺ THƯ MỤC VÀ QUẢN LÝ THƯ MỤC CHIA SẺ CỤC BỘ .............................. 64
BÀI 10. CẤU HÌNH CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY............................... 115
BÀI 11. TRIỂN KHAI CHÍNH SÁCH GROUP POLICY TRONG ACTIVE DIRECTORY..... 147
BÀI 12. PHÂN QUYỀN VÀ CHIA SẺ DỮ LIỆU TRONG ACTIVE DIRECTORY ................ 181
BÀI 13. TẠO NHÓM VÀ NGƯỜI DÙNG BẰNG CÔNG CỤ POWERSHELL ....................... 243
BÀI 14. CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ DHCP ................................................................ 255
BÀI 15. CÀI ĐẶT VÀ CẤU HÌNH DỊCH VỤ DNS ................................................................... 286
BÀI 18. SỬ DỤNG PHẦN MỀM SOLARWINDS TRONG QUẢN TRỊ MẠNG ..................... 375
BÀI 19. SỬ DỤNG PHẦN MỀM NETFLOW ANALYZER TRONG QUẢN TRỊ MẠNG ...... 383
BÀI 20. SỬ DỤNG SNMP VERSION 1 TRONG QUẢN TRỊ MẠNG ...................................... 390
BÀI 21. SỬ DỤNG SNMP VERSION 3 TRONG QUẢN TRỊ MẠNG ...................................... 397
BÀI 22. QUẢN TRỊ CHẤT LƯỢNG DỊCH VỤ MẠNG BẰNG MÔ HÌNH INTSERV ........... 403
BÀI 23. QUẢN TRỊ CHẤT LƯỢNG DỊCH VỤ MẠNG BẰNG MÔ HÌNH DIFFSERV ......... 408
BÀI 24. CẤU HÌNH ACCESS CONTROL LIST TRÊN ROUTER CISCO ............................... 412
BÀI 25. CẤU HÌNH THIẾT BỊ JUNIPER VÀ DÙNG SNMP ĐỂ QUẢN TRỊ ......................... 420
BÀI 26. CẤU HÌNH THIẾT BỊ VYATTA VÀ DÙNG SNMP ĐỂ QUẢN TRỊ ......................... 427
14 Bài 27: Cấu hình thiết bị Mikrotik sử dụng Vlan và Trunking 4/7/2023
Bài 28: Cấu hình thiết bị Mikrotik sử dụng giao thức LACP
15 Báo cáo đồ án cuối kì 11/7/2023
2 Bài tập lớn Điểm thi kết thúc Thuyết trình nhóm 60% 60%
học phần
5 Tìm hiểu và xây dựng máy chủ Proxy Server open source trên Linux (Squid, Privoxy,
HAProxy…)
6 Nghiên cứu và triển khai hệ thống chia sẻ dữ liệu giữa hai chi nhánh bằng dịch vụ VPN
Site – Site.
7 Nghiên cứu và triển khai các dịch vụ mạng (Active Directory, DHCP Server, DNS
Server, File Server…) trên Windows Server 2019
8 Nghiên cứu và triển khai xác thực CA cho Website, e-mail
9 Nghiên cứu và triển khai hệ thống Microsoft Office Communicator Server.
10 Nghiên cứu các kiểu định tuyến của router Cisco , mô phỏng trên nền GNS3
11 Nghiên cứu cơ chế bảo mật dữ liệu (VPN) của Cisco , mô phỏng trên nền GNS3
12 Nghiên cứu các kiểu định tuyến của router Mikrotik , mô phỏng trên nền GNS3
Cáp xoắn UTP lại được chia ra làm nhiều tiêu chí (CAT - Category)
khác nhau, nhưng phổ biến nhất trong mạng LAN là 2 loại CAT-5
và CAT-6 (100Mbps và 1000Mbps). CAT-5 gồm có 4 cặp dây = 8
dây với các màu xanh dương, trắng - xanh dương, da cam, trắng -
da cam, xanh lá cây, trắng - xanh lá cây, nâu, trắng - nâu.
Cứ 2 dây có màu giống nhau được xoắn thành 1 cặp và 4 cặp này
lại được xoắn với nhau và xoắn với 1 sợi dây nylon chịu lực kéo, bên ngoài được bọc bằng vỏ nhựa.
1. Dây mạng RJ45.
Số Màu sắc Tác dụng
1 Trắng cam Truyền +
2 Cam Truyền -
3 Trắng xanh lá Nhận +
4 Xanh đậm
5 Trắng xanh đậm
6 Xanh lá Nhận -
7 Trắng nâu
8 Nâu
2. Cách bấm dây cáp thẳng (nối máy tính – Hub, Switch, Router)
Đầu A Màu sắc Tác dụng Đầu B Màu sắc Tác dụng
1 Trắng cam Truyền + 1 Trắng cam Truyền +
2 Cam Truyền - 2 Cam Truyền -
3 Trắng xanh lá Nhận + 3 Trắng xanh lá Nhận +
4 Xanh đậm 4 Xanh đậm
5 Trắng xanh đậm 5 Trắng xanh đậm
6 Xanh lá Nhận - 6 Xanh lá Nhận -
7 Trắng nâu 7 Trắng nâu
8 Nâu 8 Nâu
3. Cách bấm dây cáp chéo (nối máy tính - máy tính, Hub - Hub, Switch – Switch)
Đầu A Màu sắc Tác dụng Đầu B Màu sắc Tác dụng
1 Trắng cam Truyền + 3 Trắng cam Nhận +
2 Cam Truyền - 6 Cam Nhận -
3 Trắng xanh lá Nhận + 1 Trắng xanh lá Truyền +
4 Xanh đậm 4 Xanh đậm
5 Trắng xanh đậm 5 Trắng xanh đậm
6 Xanh lá Nhận - 2 Xanh lá Truyền -
7 Trắng nâu 7 Trắng nâu
8 Nâu 8 Nâu
Mô hình OSI mô tả phương thức truyền tin từ các chương trình ứng dụng của một hệ thống máy tính
đến các chương trình ứng dụng của một hệ thống khác thông qua các phương tiện truyền thông vật lý.
Thông tin từ một ứng dụng trên hệ thống máy tính A sẽ đi xuống các lớp thấp hơn, cuối cùng qua các
thiết bị vật lý đến hệ thống máy tính B. Sau đó ở hệ thống B, thông tin sẽ đi từ lớp thấp nhất đến cao
nhất - chính là ứng dụng của hệ thống máy tính B.
Như vậy mỗi lớp trong hai hệ thống máy tính A, B đều truyền thông với nhau qua một giao thức
(Protocol) nào đó.
Mô hình OSI gồm có 7 lớp:
• Lớp ứng dụng
• Lớp biểu diễn dữ liệu
• Lớp kiểm soát nối
• Lớp vận chuyển
• Lớp mạng
• Lớp liên kết dữ liệu
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/7
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Lớp ứng dụng (Application layer) Lớp ứng dụng trong mô hình OSI là tầng trên cùng trong bộ giao
thức, có chức năng cung cấp các dịch vụ cao cấp (trên cơ sở các giao thức cao cấp) cho người sử dụng
và các chương trình ứng dụng. Lớp này như là giao diện của người sử dụng và các ứng dụng để truy
cập các dịch vụ mạng. Lớp ứng dụng cung cấp các chức năng sau: - Chia sẻ tài nguyên và các thiết bị.
– Truy cập file từ xa. - Truy cập máy in từ xa. - Hỗ trợ RPC. - Quản lý mạng. - Dịch vụ thư mục.
Lớp biểu diễn dữ liệu (Presentation layer) Lớp trình diễn hoạt động như tầng dữ liệu trên mạng. lớp
này trên máy tính truyền dữ liệu làm nhiệm vụ dịch dữ liệu được gửi từ tầng Application sang dạng
Fomat chung. Và tại máy tính nhận, lớp này lại chuyển twf Fomat chung sang định dạng của tầng
Application. Lớp thể hiện thực hiện các chức năng sau: - Dịch các mã kí tự từ ASCII sang EBCDIC. -
Chuyển đổi dữ liệu, ví dụ từ số interger sang số dấu phảy động. - Nén dữ liệu để giảm lượng dữ liệu
truyền trên mạng. - Mã hoá và giải mã dữ liệu để đảm bảo sự bảo mật trên mạng.
Lớp phiên (Session layer) Lớp phiên thành lập một kết nối giữa các tiến trình đang chạy trên các máy
tính khác nhau. Các chức năng của tầng phiên bao gồm: - Cho phép tiến trình ứng dụng đăng kí một địa
chỉ duy nhất như là NetBIOS name. Lớp này lưu các địa chỉ đó để chuyển sang địa chỉ của NIC từ địa
chỉ của tiến trình. - Thành lập, theo dõi, kết thúc Virtual circuit session giữa hai tiến trình dựa trên địa
chỉ duy nhất của nó. - Định danh thông báo, thêm các thông tin xác định bắt đầu và kết thúc thông báo.
- Đồng bộ dữ liệu và kiểm tra lỗi.
Lớp vận chuyển (Transport layer): Ranh giới giữa lớp biểu diễn dữ liệu và lớp vận chuyển cũng có
thể được xem là ranh giới giữa các giao thức thuộc lớp ứng dụng và các giao thức phía dưới. Trong khi
các lớp ứng dụng, lớp biểu diễn dữ liệu và lớp phiên đều có liên quan đến ứng dụng thì 4 lớp ở phía
dưới gắn với việc truyền dữ liệu. Chức năng của lớp vận chuyển là cung cấp các dịch vụ cho việc thực
hiện vận chuyển dữ liệu giữa các chương trình ứng dụng một cách tin cậy, bao gồm cả khắc phục lỗi và
điều khiển lưu thông. Mục đích chính là đảm bảo dữ liệu được truyền đi không bị mất và bị trùng. Các
nhiệm vụ cụ thể của lớp vận chuyển là : - Nhận các thông tin từ tầng trên và chia nhỏ thành các đoạn
dữ liệu nếu cần. - Cung cấp sự vận chuyển tin cậy (End to End) với các thông báo (Acknowledment). -
Chỉ dẫn cho máy tính không truyền dữ liệu khi buffer là không có sẵn.
Lớp mạng (Network layer) Lớp mạng là một lớp phức tạp, cung cấp các dịch vụ về chọn đường đi và
kết nối giữa hai hệ thống, điều khiển và phân phối dòng dữ liệu truyền trên mạng để tránh tắc nghẽn.
Lớp mạng có trách nhiệm địa chỉ hoá, dịch từ địa chỉ logic sang địa chỉ vật lý, định tuyến dữ liệu từ nơi
gửi tới nơi nhận. Nó xác định đường truyền nào tốt trên cơ sở các điều kiện của mạng, quyền ưu tiên
dịch vụ. Nó cũng quản lý các vấn đề giao thông trên mạng như chuyển mạch, định tuyến và điều khiển
sự tắc nghẽn của dữ liệu. Lớp mạng liên quan đến việc truyền thông giữa các thiết bị trên các mạng tách
biệt về logic, được liên kết để trở thành liên mạng. Do các liên mạng có thể rất lớn và có thể được kiến
tạo từ các kiểu mạng khác nhau, nên lớp mạng vận dụng các thuật toán định tuyến để hướng các gói tin
từ các mạng nguồn đến các mạng đích. Thành phần chính của lớp mạng là mỗi mạng trong liên mạng
được gán một địa chỉ, có thể dùng nó để định tuyến một gói tin. Nó đảm nhiệm các nhiệm vụ sau:- Định
địa chỉ - Xây dựng các thuật toán định tuyến - Cung cấp các dịch vụ kiên kết
Lớp liên kết dữ liệu (Data link layer) Lớp này có nhiệm vụ truyền các khung dữ liệu từ máy tính này
sang máy tính khác qua tầng vật lý, đảm bảo tin cậy, gửi các khối dữ liệu với các cơ chế đồng bộ hoá,
kiểm soát lỗi và kiểm soát luồng dữ liệu. Cụ thể lớp dât link thực hiện các chức năng sau: - Thành lập
và kết thúc liên kết logic giữa hai máy tính. - Đóng gói dữ liệu thô từ tầng vật lý thành các Frame. -
Điều khiển các frame dữ liệu: phân tích các tham số của frame dữ liệu, phát hiện lỗi và gửi lại dữ liệu
nếu có lỗi. - Quản lý quyền truy nhập cáp, xác định khi nào thì máy tính có quyền truy nhập cáp.
Lớp vật lý (Physical layer) Lớp vật lý là lớp thấp nhất trong mô hình OSI, đảm nhiệm toàn bộ công
việc truyền dẫn dữ liệu bằng phương tiện vật lý. Nó xác định các giao diện về mặt điện học và cơ học
giữa một trạm thiết bị và môi trường truyền thông cụ thể như sau: - Các chi tiết về cấu trúc mạng (bus,
cây, hình sao,…) - Chuẩn truyền dẫn (RS-485, IEC 1158-2, truyền cáp quang,…) - Phương pháp mã
hóa bit (NRZ, Manchester, FSK,…) - Chế độ truyền tải - Tốc độ truyền dữ liệu - Giao diện cơ học (
phích cắm, giắc cắm,…).
Trong phần này chúng ta sẽ tìm hiểu về TCP/IPv4. IPv4 có 32bit chia thành 4 Octet ( mỗi Octet có 8bit,
tương đương 1 byte ) cách đếm đều từ trái qua phải bít 1 cho đến bít 32, các Octet tách biệt nhau bằng
dấu chấm (.), bao gồm có 3 thành phần chính.
- Class Bit: Bit nhận dạng lớp dùng để phân biệt địa chỉ IP thuộc lớp nào.
- Network ID: Địa chỉ của mạng
- Host ID: Địa chỉ của máy
Như vậy với một IP được viết dưới dạng nhị phân là 11111111.11111111.11111111.11111111 sẽ được
chuyển sang hệ thập phân là 255.255.255.255
Công thức chuyển từ nhị phân về thập phân như sau:
- Lấy các ký tự từ trái qua phải của một số nhị phân nhân cho lũy thừa từ 7 -> 0
- Cuối cùng cộng các kết quả lại sẽ ra số thập phân
Địa chỉ IP chia ra 5 lớp A,B,C, D, E. Hiện tại đã dùng hết lớp A,B và gần hết lớp C, còn lớp D và E tổ
chức Internet thế giới đang để dành cho mục đích khác không phân, nên chúng ta chỉ nghiên cứu 3 lớp
đầu.
Địa chỉ lớp Vùng địa chỉ lý thuyết Số mạng tối đa Số máy tối đa
A Từ 0.0.0.0 đến 126.0.0.0 126 16777214
B Từ 127.0.0.0 đến 191.255.0.0 16382 65534
C Từ 192.0.0.0 đến 223.255.255.0 2097150 254
D Từ 224.0.0.0 đến 240.0.0.0 Không phân
E Từ 241.0.0.0 đến 255.0.0.0 Không phân
Giả sử tôi có một IP là 172.16.1.3 thì trong mạng của tôi có thể có tối đa là 65534 máy.
Nguyên cả mạng này được gọi là Subnet và được biểu diễn bằng dãy số 172.16.0.0/16 trong đó:
- /16 cho biết mạng này có 16 bit đầu tiên làm Network ID các bit còn lại làm Host ID
D Không phân
E Không phân
Windows Server 2019 là phiên bản hệ điều hành máy chủ do Microsoft phát hành vào tháng 10
năm 2018. Phiên bản này được xây dựng dựa trên nền tảng Windows Server 2016. Windows Server
2019 sở hữu nhiều tính năng mới khi nhắc đến môi trường đám mây lai, bảo mật, lưu trữ và quản trị.
Windows Server 2019 gồm 3 phiên bản: Essentials, Datacenter và Standard. Mỗi phiên bản được
thiết kế để phục vụ cho các tổ chức, doanh nghiệp có quy mô khác nhau.
I. Mục tiêu:
- Biết cách cài đặt hệ điều hành Windows Server 2019 Datacenter (GUI)
- Biết cách cài đặt hệ điều hành Windows Server 2019 Datacenter (Server Core)
- Hiểu cách cấu hình NIC Teaming trên Windows Server 2019
- Link tải:
o Windows Server 2019: https://shorturl.at/iGKU8
o Windows 10: https://shorturl.at/avWZ0
o Vmware workstation 17: https://shorturl.at/otCV8
1. Bài thực hành 1: Cài đặt hệ điều hành Windows Server GUI
1.1. Yêu cầu
- Tên máy: BKAP- SRV12-01
- IP Address : 192.168.1.4
- Subnet Mask : 255.255.255.0
- Default gateway : 192.168.1.1
- Preferred DNS Server : 192.168.1.2
1.2. Chuẩn bị:
- Các bạn dùng VMware Workstation tạo các máy ảo.
o Processor architecture: x86-64
o Processor speed: 1.4 GHz
o Memory (RAM): 2 GB
o Hard disk space: 60 GB
o DVD ROM
- Chuẩn bị thêm máy ảo Client là Windows 10 với tên và địa chỉ theo mô hình Lab 1.1.
Hình 1.1
1.4. Bảng địa chỉ IP:
Thông số BKAP-SRV12-01 BKAP-WRK08-01 BKAP-WRK08-02
IP Address 192.168.1.4 192.168.1.10 192.168.1.11
Subnet mask 255.255.255.0 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2
• Chọn File → New Virtual Machine… hoặc ấn Ctrl + N để tạo 1 máy ảo mới.
o Tại cửa sổ New Virtual Machine Wizard, chọn vào Custom (advanced).
o Tại cửa sổ Choose the Virtual Machine Hardware Compatibility, chọn Workstation
12.0 ( phiên bản của VMware).
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/15
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Next.
• Tại cửa sổ Guest Operating System Installation chọn vào Installer disc image file (iso) để
dùng file iso để cài đặt.
• Browse… đến thư mục chứa file iso.
o Tại cửa sổ Name the Virtual Machine, sửa tên máy ảo tại Virtual machine name, và chọn
đường dẫn tới thư mục bạn cần lưu máy ảo đang tạo tại Location/ Browse…
Next.
o Tại cửa sổ Firmware Type, chọn vào BIOS
o Tại cửa sổ Memory for the Virtual Machine, chọn dung lượng bộ nhớ RAM.
o Tại cửa sổ Network Type, bạn chọn các tùy chọn card mạng cho máy ảo.
o Tại cửa sổ Select I/O Controller Types, chọn vào LSI Logic SAS (Recommened)
o Tại cửa sổ Select a Disk, chọn vào Create a new virtual disk để tạo ổ đĩa ảo.
o Tại Specify Disk Capacity, điền vào dung lượng ổ đĩa cứng.
o Tại cửa sổ Specify Disk File, chọn Browse… để chọn thư mục lưu file để mở máy ảo vừa
tạo.
o Tại cửa sổ Ready to Create Virtual Machine, ấn Finish để kết thúc quá trình tạo máy ảo.
o Tại cửa sổ Select the operating system you want to install, chọn phiên bản Windows
Server 2012 Datacenter Evaluation (Server with a GUI)
o Tại cửa sổ License terms, bạn đọc qua các điều khoản chấp thuận của Microsoft, sau đó
click chuột tại I accept the license terms, và ấn Next.
o Tại cửa sổ Which type of installation do you want, chọn vào Custom: Install Windows
only (advanced) để cài đặt HĐH Windows Server 2012 mới.
o Tại cửa sổ Where do you want to install Windows, chọn ổ đĩa cài đặt HĐH, ấn Next.
• Sau khi kết thúc cài đặt, màn hình Settings hiện ra, bạn điền Password cho User
Administratorcủa máy ( có thể đặt password là 123456a@ cho dễ nhớ). Sau đó click vào Finish
để kết thúc .
➔ Sau khi đăng nhập thành công, mặc định màn hình Server Manager hiện ra.
✓ Đặt địa chỉ IP Address cho máy Window Server 2012 vừa tạo.
2. Bài thực hành 2: Cài đặt Hệ điều hành Windows Server CORE
2.1. Yêu cầu:
- Tên máy: BKAP-CORE12-01
- Password Administrator: 123456a@
- IP Address: 192.168.1.9
- Subnet mask: 192.168.1.1
- Default gateway: 192.168.1.1
- Preferred DNS Server: 192.168.1.9
2.2. Chuẩn bị:
Chuẩn bị một máy có cấu hình cơ bản như sau:
- Processor architecture: x86-64
- Processor speed: 1.4 GHz
- Memory (RAM): 512 MB
- Hard disk drive space: 32 GB
- DVD ROM
Chuẩn bị thêm máy Client là Windows 8 với địa chỉ theo mô hình Lab 1.2
2.3. Mô hình lab:
Hình 1.2
2.4. Bảng địa chỉ IP:
Thông số BKAP-CORE12-01 BKAP-WRK08-01
IP address 192.168.1.9 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.9 192.168.1.9
Hình 1.3
3.4. Bảng địa chỉ IP
Thông số BKAP-SRV12-01 BKAP-WRK08-01
IP Address NIC I : 192.168.1.3 192.168.1.10
NIC II: 192.168.1.4
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.2 192.168.1.2
o Tại Virtual Machine Settings, chọn vào Network Adapter, tại Network connection,
chọn vào Custom: Speccific virtual network, chọn xuống VMnet2.
o Tại Network Adapter Type, tại Network connection, chọn vào Custom: Specific
virtual network, chọn xuống Vmnet3 để add thêm card mạng cho máy BKAP-SRV12-
01.
✓ Sau khi add xong 2 card mạng, đổi tên lần lượt 2 card thành NIC I và NIC II.
o Mở Network and Sharing Center, Click vào Change adapter settings, lần lượt đổi
tên 2 card mạng Ethernet0 và Ethernet1 thành NIC I và NIC II.
✓ Đặt địa chỉ IP 2 card NIC I và NIC II lần lượt theo mô hình Lab 1.3.
o Tại Cửa sổ Network Connections, chuột phải tại mỗi card, chọn Properties, tại cửa
sổ NIC I Properties và NIC II Properties, chọn vào Internet Protocol Version 4 (
TCP/IPv4).
o Tại cửa sổ Internet Protocol Version 4 (TCP/IPv4) Properties, chọn vào Use the
following IP address để đặt IP tĩnh cho 2 card mạng NIC I và NIC II.
✓ Kiểm tra ping từ máy Client BKAP-WRK08-01đến 2 card NIC I và NIC II của máy BKAP-
SRV12-01.
✓ Chuyển sang máy Server BKAP-SRV12-01, cấu hình enable NIC Teaming.
o Vào Server Manager / Local Server.
o Tại Properties , kiểm tra tại NIC Teaming : Disable.
o Click chuột vào Disable, tại cửa sổ NIC Teaming, trong Tab ADAPTER AND
INTERFACES, chọn cả 2 card NIC I và NIC II, click vào Tasks / Add to New Team.
o Tại cửa sổ NIC Teaming, tại Team name, điền tên “NIC Teaming”, chọn cả 2 card NIC I và
NIC II, OK.
- Chuyển sang máy Client BKAP-WRK08-01, kiểm tra ping từ máy Client sang card NIC
Teaming của máy BKAP-SRV12-01.
-HẾT-
Thông thường một máy tính không phải lúc nào cũng chỉ có một người nào đó sử dụng duy nhất
mà trên thực tế ngay cả máy trong gia đình chúng ta đôi khi vẫn có ít nhất từ 2-3 người sử dụng. Tuy
nhiên nếu tất cả mọi người đều sử dụng chung một tài khoản thì những dữ liệu riêng tư của người này
người kia hoàn toàn có thể xem được.
Nhưng nếu máy tính là máy chung của công ty và vấn đề đặt ra là ta không muốn tài liệu của người
dùng này người dùng kia có thể xem tùy tiện được. Vậy cách tốt nhất là cấp cho mỗi nhân viên một máy
nhất định và yêu cầu họ đặt password lên máy của mình, nhưng như thế thì rất tốn kém và không được
ưa chuộng.
Chính vì thế người quản trị mạng sẽ sử dụng công cụ Local Users and Groups để tạo các tài khoản
người dùng trên cùng một máy, khi đó dữ liệu của người này người kia không thể truy cập được.
I. MỤC TIÊU
1. Tóm tắt:
- Phần 1: Quản lý tài khoản người dùng cục bộ trên Windows Server
• Tắt User Account Control (UAC)
• Tắt Local User
• Tạo Local Group và thêm Local User vào Group
- Phần 2: Quản lý tài khoản người dùng cục bộ trên Windows 10
• Tạo Local User và Group
• Enabled Account Administrator
• Tham khảo các Option của User Account
• Cho máy tính tự động log on với account định sẵn
2. Chuẩn bị
Mô hình bài lab bao gồm 2 máy ảo
- BKAP-SRV12-01: Windows Server 2012 R2 (Password đăng nhập: 123456a@)
- BKAP-WRK08-01: Windows 10
- 02 máy tắt firewall. Kiểm tra bằng lệnh Ping giữa 2 máy.
3. Thực hiện
3.1. Bài thực hành 1: Tạo Local User và Local Group
Yêu cầu: Trên máy BKAP-SRV12-01, tạo local user u1 và group G1 sau đó thêm u1 vào G1.
3.1.1. Tắt User Account Control (UAC)
B1 – Nhấn tổ hợp phím + X → chọn Control Panel hoặc B3 – Nhấn vào mục Change User Account
nhấn phím P. Control settings
B2 - Ở mục View By → chọn Small icons → chọn User B4 – Cuộn thanh cuộn xuống cùng Never Notify
và nhấn OK. Sau đó khởi động lại máy để thay
đổi có hiệu lực.
Accounts
B4 – Tương tự tạo thêm user U2 với các thông số B5 – Logon user U1. Truy cập vào thư mục C:\Users\U1,
sau: quan sát thấy profile của U1.
+ Username: U2
+ Password và Confirm password: 123456a@
+ Bỏ check User must change password at next
logon.
B5 – Trong Group → Chuột phải trên group G1 chọn B6 - Chọn Find Now → Tìm user U1
Properties → Add → Chọn Advanced… Chọn U1 → OK (lúc này user U1 là thành viên của
group G1)
3.2. Bài thực hành 2: Quản lý tài khoản người dùng trên Windows 10
Yêu cầu: trên máy BKAP-WRK08-01:
- Tạo user u1 và group boss, thêm u1 vào group này.
- Tham khảo các Option khi nhấn Ctrl + Alt + Del / Insert
- Enabled Account Administrator
- Tham khảo các options của User Account
- Cho máy tính tự động log on với account định sẵn.
3.2.1. Tạo Local User và Group
B1 – Mở File Explorer, chuột phải vào
Computer → chọn Manage
B2 - Ở khung bên trái, bung mục Local Users B3 – Chuột phải vào Users → New User
and Groups → chọn Users.
B4 – Trong cửa sổ New User, khai báo các thông B5 – Log Off. Quan sát thấy đã có thêm user
tin: account mới trong phần logon.
+ User name: u1
+ Password 123 B6 – Tiếp theo chuột phải lên mục Groups →
+ Confirm Password: 123 chọn New Group
+ Bỏ dấu check trước dòng “User must Change
password at next logon”, chọn Create.
3.2.2. Tham khảo các Option khi nhấn Ctrl + Alt + Del / Insert
- Nhấn tổ hợp phím Ctrl + Alt + Del / Insert (trên máy ảo nhấn Insert thay cho Del)
OK.
B5 – Log off và quan sát account Administrator đã xuất
hiện trong phần log on.
- User must change password at next logon: User phải đổi password trong lần log on đầu tiên.
- User cannot change password: User không có quyền đổi password.
- Password never expires: Password của user không bao giờ bị hết hạn.
- Account is disabled: Vô hiệu hóa Account.
- Account is locked out: Account tạm thời bị khóa.
3.2.5. Cho máy tính tự động log on với account định sẵn.
B1 – Gõ tổ hợp phím + R, nhập lệnh “control B2 – Bỏ check “Users must enter a username
userpasswords2” and password to use this computer”
B4 – Trong hộp thoại Automatically Log On → B5 – Kiểm tra: Khởi động lại máy. Máy tính tự
OK (do account Administrator không có password động đăng nhập bằng account Administrator,
nên không cần nhập password) không hỏi password.
-HẾT-
BÀI 5. QUẢN LÝ CHÍNH SÁCH NHÓM CỤC BỘ (LOCAL GROUP POLICY) TRONG
WINDOWS SERVER
Group Policy (GPO) là các nhóm chính sách áp dụng dụng cho tài khoản người dùng và máy tính
trong hệ thống mạng Windows, là một thành phần trên họ Microsoft Windows NT cho phép điều khiển
môi trường làm việc của User và Computer. Trong môi trường Active Directory, Group Policy cung
cấp người quản trị khả năng cấu hình và quản lý một cách tập trung về hệ điều hành, ứng dụng, và các
thiết lập trên user. Một phiên bản khác là Local Group Policy, được sử dụng cho các máy độc lập và
không tham gia vào hệ thống Domain Controller.
I. MỤC TIÊU
II. LÝ THUYẾT
Local Group Policy được chia làm hai phần, được áp dụng cho hai đối tượng là User và Computer,
hai phần này là độc lập và không ảnh hưởng đến nhau. Các Local Group Policy áp dụng cho User thì
sẽ không ảnh hưởng đến đối tượng là Computer và ngược lại. Vì vậy, khi bạn triển khai các chính sách
thông qua Local Group Policy, bạn phải nắm rõ là mình đang muốn triển khai trên đối tượng nào.
- Computer configuration: nếu bạn thay đổi giá trị trong nhánh này, nó sẽ áp dụng chính sách đó
lên tất cả các đối tượng của máy tính local. Chủ yếu là thay đổi các thuộc tính về bảo mật.
- User configuration: nếu bạn thay đổi giá trị trong nhánh này, nó sẽ được áp dụng cho đối tượng
user trong máy tính local.
Local Group Policy là Group Policy chỉ có tác dụng trên một máy cục bộ. Mặc đinh, một máy tính
cài các Windows cho client như Windows XP, 7, 8, 10, các Windows Server chưa nâng cấp lên Domain
đều có tính năng này. Local Group Policy này thường được triển khai trên từng máy tính trong các
mạng nhỏ sử dụng mạng ngang hàng Workgroup. Để thiết lập các chính sách trên Local Group Policy
thì user thực hiện phải là user thuộc nhóm Admin trên chính máy tính đó.
1. Tóm tắt
- Cấu hình Local Group Policy
- Điều chỉnh policy Computer Configuration
- Điều chỉnh policy User Configuration
- Cấu hình Local User Policy
2. Chuẩn bị
- Mô hình bài Lab bao gồm 1 máy Windows Server 2019 R2
- Tạo user Teo, Password: 123456a@
3. Thực hiện
3.1. Bài thực hành 1: Cấu hình Local Group Policy
Làm trên máy BKAP-SRV12-01.
3.1.1. Điều chỉnh policy Computer Configuration
Yêu cầu: điều chỉnh policy Computer Configuration để tắt chức năng Shutdown Event Tracker.
B1 – Log on vào máy bằng account B2 – Nhấn tổ hợp phím + R, gõ lệnh gpedit.msc
Administrator. Nhấn phím , chọn biểu B3 – Lần lượt mở theo đường dẫn: Local Computer
tượng Turn Off → Shutdown. Xuất hiện Policy → Computer Configuration → Administrative
bảng Shutdown Event Tracker. Nhấn phím Templates → System. Ở khung bên phải nhấn double
để quay lại màn hình Desktop. click vào Display Shutdown Event Tracker.
B4 – Chọn Disabled → OK
B2 – Lần lượt mở theo đường dẫn: Local Computer Policy B4 – Kiểm tra: Truy cập vào Control Panel, xuất hiện
→ User Configuration → Administrative Templates → thông báo lỗi chặn truy cập.
Control Panel. Ở khung bên phải, nhấn double click vào
Prohibit access to Control Panel and PC Settings. B5 – Quay lại cửa sổ Local Group Policy Editor. Mở
theo đường dẫn Local Computer Policy – User
Configuration → Administrative Templates →
Desktop. Ở khung bên phải, nhấn double click Remove
Recycle Bin icon from Desktop → Enabled.
B10 – Sau khi thực hiện xong, trả các policy vừa thiết
lập về mặc định như lúc đầu.
3.2.1. Chỉnh Local Computer Policy để xóa biểu tượng Recycle Bin trên Desktop
áp dụng cho đối tượng Local Computer
- Mở theo đường dẫn: Local Computer Policy → User Configuration → Administrative
Templates → Desktop. Ở khung bên phải, nhấn double click Remove Recycle Bin icon from
Desktop → Enabled.
- Kiểm tra: Log on user Teo, kiểm tra thấy biểu tượng Recycle Bin bị mất trên Desktop.
3.2.2. Chỉnh Non-Administrators Policy KHÔNG xóa Recycle Bin trên Desktop
- Logon Administrator. Mở theo đường dẫn: Local Computer\Non-Administrators Policy →
User Configuration → Administrative Templates → Desktop. Ở khung bên phải, nhấn double
click Remove Recycle Bin icon from Desktop → Disabled.
- Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recyle Bin KHÔNG bị mất trên Desktop.
3.2.3. Chỉnh Teo Policy để xóa biểu tượng Recycle Bin trên Desktop áp dụng cho
User Teo
- Logon Administrator. Mở theo đường dẫn: Local Computer\teo Policy → User Configuration
→ Administrative Templates → Desktop. Ở khung bên phải, nhấn double click Remove
Recycle Bin icon from Desktop → Enabled.
- Kiểm tra: Log on User Teo, kiểm tra thấy biểu tượng Recycle Bin bị mất trên Desktop.
Bạn có nhận xét gì trong 03 trường hợp trên.
-HỀT-
I. MỤC ĐÍCH:
1. Tóm tắt
- Password Policy
- Account Lockout Policy
- User Right Assignment
- Network Access
2. Chuẩn bị:
- Mô hình bài lab bao gồm 2 máy ảo:
o BKAP-SRV12-01: Windows Server 2019 R2
o BKAP-WRK08-01: Windows 10
- 2 máy tắt Firewall → Kiểm tra đường truyền bằng lệnh PING
3. Thực hiện:
3.1. Bài thực hành 1: Password Policy (Thực hiện trên BKAP-SRV12-01)
Yêu cầu: cho phép tài khoản có thể sử dụng mật khẩu đơn giản
B1 – Log on Administrator → Tạo user U1 bằng B2 – Mở Server Manager, vào menu Tools →
password: 123 → báo lỗi không thể tạo được do không Local Security Policy
thỏa yêu cầu về độ phức tạp của password.
+ Enforce password history: Số password hệ thống lưu trữ (khuyên dùng 24).
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/52
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
+ Maximum password age: Thời gian sử dụng tối đa của 1 password (khuyên dùng 42).
+ Minimum password age: Thời gian sử dụng tối thiểu của 1 password (khuyên dùng: 1).
+ Password must meet complexity requirements: Yêu cầu password phức tạp (khuyên dùng: Enabled)
➔ Chỉnh Password policy:
B4 – Password must meet complexity requirements → Chọn Disabled
B5 – Các pasword policy còn lại chỉnh giá trị về 0 → OK
B6 – Mở CMD → gõ lệnh gpupdate/force
B7 – Kiểm tra: Tạo account U1 với password: 123 → Tạo thành công.
3.2. Bài thực hành 2: Account Lockout Policy
Yêu cầu: thay đổi chính sách tài khoản sao cho
- Khi user đăng nhập sai mật khẩu từ 03 lần trở lên: không thể đăng nhập tiếp.
- Chờ sau 30 phút: có thể đăng nhập lại.
B1 – Mở Local Security Policy. Truy B2 – Quan sát các policy bên phải
cập theo đường dẫn Account Policies + Account lockout duration: Thời gian account bị khóa.
→ Account Lockout Policy + Account lockout threshold: Số lần nhập sai password trước
khi account bị khóa.
B3- Kiểm tra: Đăng nhập sai + Reset accout lockout counter after: thời gian chuyển bộ
password 3 lần → không thể đăng đếm về giá trị 0.
nhập tiếp. Chờ sau 30 phút → có thể - Điều chỉnh thông số các policy:
đăng nhập lại. + Account lockout duration: 30
+ Account lockout threshold: 3
+ Reset account lockout counter after: 30
3.3. Bài thực hành 3: Quản lý quyền hạn của người dùng (User Rights Assignment)
Yêu cầu:
Cho phép U1 quyền shutdown máy tính
Cho phép U1 quyền thay đổi ngày giờ hệ thống
B1 – Log on Administrator → Mở Local security policy → Local Policies → User Rights Assignment
→ cột bên phải: Quan sát 2 policy
- Change the system time: Cho phép user/group có quyền thay đổi ngày giờ hệ thống.
- Shutdown the system: Cho phép user/group có quyền tắt máy
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/53
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
3.4. Bài thực hành 4: Truy cập máy tính qua mạng nội bộ (Network acces)
Yêu cầu: khảo sát truy cập máy tính qua mạng nội bộ với trường hợp password 02 máy giống nhau và
trường hợp password 02 máy khác nhau.
Mở Local Security Policy → Local Policy → Security Options → Double click Network access: Sharing
and security model for local account. (Mặc định Windows Server chạy Classic).
-HẾT-
I. MỤC TIÊU
Sau khi học xong bài này sinh viên biết được:
- Phân quyền thư mục bằng Standard Permission
- Phân quyền thư mục bằng Special Permission
- Take OwnerShip
- Xét quyền khi di chuyển dữ liệu
1. Chuẩn bị
- Mô hình bài lab bao gồm 1 máy ảo BKAP-SRV12-01
- Trên máy BKAP-SRV12-01, tạo cây thư mục như trong hình:
B7 – Quan sát 2 group KETOAN và NHANSU → có 3 quyền Allow: Read & Excute, List folder
contents, Read.
B2 – Kiểm tra:
+ Lần lượt log on vào bằng KT1, NS1 → truy cập vào thư mục Chung → truy cập thành công
+ Tạo, xóa folder bất kì trong thư mục Chung → thành công
2.1.3. Phân quyền cho thư mục KETOAN
Yêu cầu: Group Ketoan có quyền Full, Group Nhansu không có quyền.
B1 – Chuột phải lên thư mục KETOAN → Chọn Properties → Qua tab Security → Chọn Advanced
B2 – Trong tab Permissions → Chọn Disable Inheritance
B3 – Trong cửa sổ Block Inheritance, chọn Convert inherited permissions into explicit permissions on
this object → OK.
B4 – Cửa sổ KETOAN properties → Chọn Edit.
B7 – Kiểm tra:
- Lần lượt log on vào bằng KT1, NS1 → truy cập vào thư mục KETOAN → chỉ có KT1 truy cập
thành công, còn NS1 không truy cập được.
- User KT1 tạo, xóa file, folder bất kì trong thư mục KETOAN → thành công.
2.1.4. Phân quyền cho thư mục NHANSU
Yêu cầu: Group Nhansu có quyền Full, Group Ketoan không có quyền.
B1 – Chuột phải lên thư mục NHANSU → Chọn Properties → Qua tab Security → Chọn Advanced.
B2 – Trong tab Permissions → Chọn Disable Inheritance
B3 – Trong cửa sổ Block Inheritance, chọn Convert inherited permissions in to explicit permissions on
this object → OK.
B4 – Cửa sổ NHANSU Properties → Chọn Edit.
B5 – Chọn group KETOAN → Remove.
B6 – Chọn Group NHANSU → Chọn Allow Full Control → OK → OK
B7 – Kiểm tra:
+ Lần lượt logon vào bằng KT1, NS1 → truy cập vào thư mục NHANSU → chỉ có NS1 truy cập thành
công, còn KT1 không truy cập được.
+ User NS1 tạo, xóa file, folder bất kì trong thư mục NHANSU → thành công.
2.2. Bài thực hành 2: Phân quyền thư mục bằng Special Permission
Yêu cầu: File do User nào tạo ra thì User đó mới xóa được.
B1 – Chuột phải lên thư mục KETOAN → B3 – Trong cửa sổ Permission Entry for
Chọn Properties → Qua tab Security → nhấn KETOAN, nhấn vào liên kết Show advanced
vào nút Advanced permissions.
B2 – Trong tab Permissions → chọn Group B4 – Ở mục Allow, tắt dấu chọn ở 2 ô Delete
KETOAN → chọn Edit subfolders and files và ô Delete → Chọn OK
B5 – Kiểm tra:
+ Lần lượt log on bằng KT1 và KT2 → truy cập vào thư mục KeToan
+ KT1 tạo file KT1.txt, KT2 tạo file KT2.txt
- Log on bằng KT1 → xóa file KT2.txt → Báo lỗi không có quyền xóa. Xóa file KT1.txt → thành
công.
- Log on bằng KT2 → xóa file KT1.txt → Báo lỗi không có quyền xóa. Xóa file KT2.txt → thành
công.
2.3. Bài thực hành 3: Take Owner Ship
Yêu cầu: cấp quyền cho Administrator có quyền Full Control tại folder KT1file
B1 – Logon KT1, truy cập vào folder KETOAN → tạo folder KT1file
B2 – Phân quyền NTFS trên thư mục KT1file → chọn Properties → qua tab security → chọn Advanced
→ Disable Inheritance
B4 – Log on Administrator, truy cập vào B3 – Tab Security → chọn Edit → Remove tất cả các
folder KETOAN. Truy cập vào folder object, ngoại trừ KT1 (Full Control) → nhấn OK 2 lần.
KT1file bị báo lỗi không thể truy cập →
Chuột phải lên folder KT1file, chọn
Properties → Qua tab Security, chọn
Advanced.
B6 – Nhập vào Administrator → Check B7- Đánh dấu chọn vào ô Replace owner on subcontainers
Names → OK and object → Yes → OK → OK đóng các cửa sổ.
2.4. Bài thực hành 4: Khảo sát quyền NTFS khi sao chép hoặc di chuyển dữ liệu trong
cùng Partition.
- Trường hợp sao chép dữ liệu:
o Trong ổ C tạo 1 folder tên là A
o Chuột phải lên C:\DATA chọn Copy → Mở thư mục A → chuột phải chọn Paste
o Kiểm tra quyền của thư mục C:\A\DATA → các quyền NTFS bị thay đổi
- Trường hợp di chuyển dữ liệu:
o Trong ổ C tạo 1 folder tên là B.
o Chuột phải lên C:\DATA chọn cut → Mở thư mục B → chuột phải chọn Paste
o Kiểm tra quyền của thư mục C:\A\DATA → các quyền NTFS không bị thay đổi.
Nhận xét: Trong cùng Partition thì
- Khi di chuyển dữ liệu trong cùng partition: quyền của data không bị thay đổi.
- Khi sao chép dữ liệu trong cùng partition: quyền của data vừa copy bị thay đổi phụ thuộc vào nơi đến.
-HẾT-
Chia sẽ dữ liệu là một trong những công việc chủ yếu khi quản trị một mạng lớn hay nhỏ. Để tập
trung quản lý dữ liệu thì người quản trị sẽ dùng một máy tính cài đặt Windows 7, 8, 10 hoặc Windows
Server để chia sẻ các thư mục và cho phép người dùng truy cập, ghi chép dữ liệu trên đó.
I. MỤC TIÊU
1. Chuẩn bị:
- Mô hình bài lab bao gồm 2 máy: BKAP-SRV12-01 và BKAP-WRK08-01.
- BKAP-SRV12-01 tạo account U1 với password là 123456a@.
- BKAP-WRK08-01 tạo folder ThucTap trong ổ C. Trong thư mục ThucTap tạo 2 folder DuLieu
và BiMat.
- Trong các folder tạo file abc.txt với nội dung tùy ý.
- Trên 2 máy tắt Firewall, UAC, và kiểm tra đường truyền bằng lệnh Ping.
2. Thực hiện
2.1. Bài thực hành 1: Share Folder
Yêu cầu: chia sẻ folder DULIEU trên máy BKAP-SRV12-01 sao cho có thể truy cập được từ máy
BKAP-WRK08-01
Trên máy BKAP-SRV12-01:
B1 – Chuột phải lên folder DULIEU chọn Properties
B2 - Ở tab Sharing → Nhấn vào nút Advanced Sharing …
B4 – Check vào Allow Full Control → OK → OK B3 – Đánh dấu chọn vào ô Share this folder →
→ Close Click vào Permissions
B4 – Để mặc định các options → Nhấn Finish. B5 – Mở Computer kiểm tra đã có ổ đĩa mạng DuLieu
(Z:)
B6 – Mở CMD, gõ lệnh net use Y: \\BKAP-SRV12- B7 – Kiểm tra trên BKAP-WRK08-01 mở File
01\BIMAT$ Explorer thấy xuất hiện ổ đĩa mạng BIMAT$ (Y: )
B3 – Kiểm tra trong hộp thoại Advanced B5 – Máy BKAP-WRK08-01 truy cập server kiểm
Sharing, phần Share name có 2 tên DuLieu và tra kết quả thấy có 2 folder được share với tên
KeToan KeToan, DuLieu
B6 – Mở Server Management → File and B7 – Chọn Settings → đánh dấu chọn vào ô Enable access-
Storage Services → Shares → Chuột phải lên based enumeration → OK → OK.
C:\DHPT → Properties
B9 – Tương tự từ máy BKAP-WRK08-01 truy B8 – Kiểm tra: từ máy BKAP-WRK08-01 truy cập
cập network Access vào máy BKAP-SRV12-01 network Access vào máy BKAP-SRV12-01 bằng quyền
bằng quyền U2: Truy cập thư mục DHPT quan sát U1: Truy cập thư mục DHPT quan sát chỉ thấy thư mục
thấy chỉ thấy thư mục TroGiang, không thấy thư KyThuat, không thấy thư mục TroGiang.
mục KyThuat.
-HẾT-
I. MỤC TIÊU
- Biết cách nâng cấp máy chủ Windows Server 2019 lên Domain Controller và Join Domain.
- Biết cách nâng cấp máy chủ Windows Server 2019 ( Server Core ) lên Domain Controller và
Join Domain.
- Biết cách cài đặt và cấu hình Additional Domain Controller.
- Biết cài đặt và cấu hình Child Domain.
Hình 2.1
1.3. Sơ đồ địa chỉ như sau:
Thông số BKAP-DC12-01 BKAP-WRK12-01
IP Address 192.168.1.2 192.168.1.10
o Thực hiện cài đặt dịch vụ Active Directory Domain Services trên máy BKAP-
DC12-01:
▪ Click Server Manager / Add Roles and Features . Tại cửa sổ Add
Roles and Features Wizard, Click vào Next.
▪ Tại Select server roles, click chọn vào dịch vụ Active Directory Domain
Services.
▪ Cửa sổ Add Roles and Features Wizard hiện ra, chọn Add Features.
▪ Tiếp tục ấn Next, tại cửa sổ Confirm installation selections, click vào
Install để cài đặt dịch vụ ADDS.
▪ Sau khi chờ đợi 1 khoảng thời gian để dịch vụ Active Directory Domain
Services được cài đặt xong, tại Installation progess , click vào dòng chữ
xanh Promote this server to a domain controller để cấu hình.
▪ Tiếp tục click vào Next, tại Additional Options, đặt tên NetBIOS domain
name là BKAPTECH
▪ Next.
▪ Tại cửa sổ Paths, chính là đường dẫn lưu CSDL của Active Directory trong
máy Domain Controller.
▪ Tại cửa sổ Review Options, tại đây là những thông tin đã cấu hình ở trên.
• Click vào Next.
▪ Tại cửa sổ Prerequisites Check, click vào Install để máy bắt đầu cài đặt.
- Máy chủ sau khi cài đặt sẽ tự động reset lại máy.
o Ấn tổ hợp phím “Alt + Ctrl + Insert” để đăng nhập vào máy chủ.
- Tại màn hình logon, nhập mật khẩu của tài khoản Administrator.(123456a@)
Kiểm tra máy chủ đã nâng cấp lên Domain Controller chưa, vào Compuer / Properties.
o Trong cửa sổ System, kiểm tra tên Domain tại Computer name, domain, and
workgroup settings.
▪ Domain: bkaptech.vn.
- Kiểm tra, sửa lại địa chỉ card mạng, địa chỉ DNS Server phải trùng với địa chỉ IP của máy
Domain Controller.
o Tại cửa sổ System Properties, Tab Computer name, click vào Change.
o Tại cửa sổ Computer Name/Domain Changes, click chọn vào Domain, tại đây
nhập vào tên miền của Domain ( bkaptech.vn)
o Sau khi Join vào Domain thành công, trên máy xuât hiện thông báo Welcome to
the bkaptech.vn domain.
o Ấn vào OK để restart lại máy Client.
o Khởi động lại máy BKAP-WRK08-01, kiểm tra máy đã Join vào Domain.
2. Bài thực hành 2: Nâng cấp máy chủ Server Core lên Domain Controller và Join
Domain.
2.1. Yêu cầu bài lab:
- Nâng cấp máy chủ chạy HĐH Windows Server 2019 (ServerCore) lên Domain Controller để
quản lý miền bkaptech.vn
- Cho phép các máy trạm gia nhập vào miền bkaptech.vn.
- Cài đặt Remote Server Administratiton Tools trên máy BKAP-WRK08-01 để quản trị từ xa.
2.2. Yêu cầu chuẩn bị:
- Chuẩn bị 1 máy Server chạy HĐH Windows Server 2012 (ServerCore) tên là BKAP-CORE12-
01, đặt địa chỉ IP như mô hình lab 2.2.
- Chuẩn bị thêm máy trạm chạy Windows 8.1 có tên là BKAP-WRK08-01, đặt địa chỉ IP như mô
hình lab 2.2
- Tools :Remote Server Administration Tools for Windows 8
Hình 2.2
Sơ đồ địa chỉ như sau:
Thông số BKAP-CORE12-01 BKAP-WRK08-01
IP Address 192.168.1.9 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.9 192.168.1.9
o Đặt địa chỉ IP tĩnh cho card Ethernet0 của máy BKAP-CORE12-01:
▪ Netsh interface ipv4 set address name=Ethernet0 source=static
address=192.168.1.9 mask=255.255.255.0 gateway=192.168.1.1
o Kiểm tra địa chỉ IP của card Ethernet0:
▪ Ipconfig /all
▪ Sau khi nâng cấp xong, máy chủ tự động reset lại máy.
- Chuyển sang máy Client BKAP-WRK08-01 , Join máy Client vào Domain.
o Mở máy ảo BKAP-WRK08-01, snapshot “Begin”
o Đặt cùng VMnet với máy BKAP-CORE12-01
o Tắt firewall trên máy BKAP-WRK08-01, đặt địa chỉ IP tĩnh cho máy.
- Thực hiện cài đặt công cụ Remote Server Administrator Tools trên máy BKAP-WRK08-
01 để quản trị từ xa.
Tại đây, các bạn có thể quản trị Server như trên máy Domain Controller.
3. Bài thực hành 3: Cài đặt và cấu hình Additional Domain Controller
3.1. Yêu cầu bài lab:
+ Cài đặt và cấu hình theo mô hình Lab 2.3, có hai máy Domain Controller cùng quản lý một miền
bkaptech.vn
3.2. Yêu cầu chuẩn bị:
+ Nâng cấp máy Server BKAP-DC12-01 thành Domain Controller quản lý miền bkaptech.vn ( Thực
hiện theo bài lab 2.1 )
+ Trên máy BKAP-SRV12-01, đặt địa chỉ IP theo qui định sau:
- IP Address: 192.168.1.3
- Subnet mask: 255.255.255.0
- DNS Server: 192.168.1.2
Hình 2.3
3.4. Sơ đồ địa chỉ IP:
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01
IP Address 192.168.1.2 192.168.1.3 192.168.1.10
Subnet mask 255.255.255.0 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.2 192.168.1.2 192.168.1.2
- Mở máy ảo BKAP-SRV12-01, snapshot “Begin”, đặt cùng VMnet với máy BKAP-DC12-
01.
o Địa chỉ của máy BKAP-SRV12-01:
- Tắt Firewall, tiến hành ping qua lại giữa 2 máy BKAP-DC12-01 và máy BKAP-DC12-01
và máy BKAP-SRV12-01.
o Đứng trên máy BKAP-DC12-01 ping đến BKAP-SRV12-01.
- Tiến hành nâng cấp máy BKAP-SRV12-01 thành Additional Domain Controller.
o Trên máy BKAP-SRV12-01, tiến hành cài đặt dịch vụ Active Directory Domain
Services.
▪ Vào Server Manager / chọn vào Add roles and features.
▪ Tại cửa sổ Select server roles, chọn vào dịch vụ Active Directory
Domain Services.
▪ Next
▪ Tại cửa sổ Confirm installation selections, click vào Install để cài đặt
dịch vụ ADDS.
▪ Quá trình cài đặt hoàn thành, click vào dòng chữ xanh Promo this server
to a domain controller để cấu hình.
▪ Tại cửa sổ Domain Controller Options, nhập mật khẩu của Directory
Services Restore Mode (DSRM) :123456a@
▪ Next.
▪ Tiếp tục click vào Next tại các cửa sổDNS Options, cửa sổ Additional
Options, cửa sổ Paths, và cửa sổ Review Options.
▪ Tại cửa sổ Prerequisites Check, click vào Install để máy bắt đầu nâng cấp
lên Additional Domain Controller.
o Sau khi nâng cấp xong, máy chủ BKAP-SRV12-01 bắt đầu restart lại, nhấn tổ hợp
phím “Ctrl+Alt+Insert” để logon vào máy
o Kiểm tra đồng bộ tài khoản giữa máy BKAP-DC12-01 và máy BKAP-SRV12-01.
▪ Vào Server Manager / Tools / vào dịch vụ Active Directory User and
Computer.
Hình 2.4
4.4. Sơ đồ địa chỉ IP:
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01
IP address 192.168.1.2 192.168.1.3 192.168.1.10
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Preferred DNS Server 192.168.1.2 192.168.1.3 192.168.1.3
Alternate DNS Server 192.168.1.2
- Mở máy ảo BKAP-SRV12-01, snapshot “Begin” thực hiện cấu hình Child Domain.
o Địa chỉ của máy BKAP-SRV12-01:
▪ Tại cửa sổ Select server roles, click chọn vào Active Directory Domain
Services để cài đặt dịch vụ.
▪ Next.
▪ Tại cửa sổ Confirm installation selections, click vào Install để cài đặt
dịch vụ ADDS.
o Sau khi máy chủ BKAP-SRV12-01 cài đặt xong dịch vụ ADDS, ckick vào dòng chữ
xanh “Promo this server to a domain controller” để cấu hình Child Domain.
o Click vào Next tại các cửa sổ DNS options, cửa sổ Additional Options , cửa sổ
Paths , và cửa sổ Review Options.
o Tại cửa sổ Prerequisites Check, click vào Install để máy tiến hành nâng cấp lên
Child Domain.
o Sau khi nâng cấp xong, máy chủ bắt đầu tiền hành restart lại.
o Logon máy chủ bằng tài khoản Administrator và password 123456a@, kiểm tra
máy chủ đã nâng cấp lên child domain có tên miền là hcm.bkaptech.vn.
▪ Máy Client BKAP-WRK08-01 tiến hành restart lại, logon bằng tài khoản
Administrator để kiểm tra.
-HẾT-
BÀI 10. CẤU HÌNH CÁC ĐỐI TƯỢNG TRONG ACTIVE DIRECTORY
I. Mục tiêu
1. Bài thực hành 1: Tạo và cấu hình tài khoản trên Domain Controller.
1.1. Yêu cầu bài lab:
Tạo tài khoản người dùng và tài khoản nhóm trên miền BKAPTECH.VN:
- Nhóm giảng viên: Vũ Văn Cường (cuongvv), Nguyễn Quốc Hưng (hungnq), Chu Hồng Quân
(quanch)
- Nhóm giám đốc: Nguyễn Hoài Duy (duynh)
- Thiết lập thuộc tính cho các đối tượng người dung và nhóm như sau:
o Tất cả các tài khoản người dùng trên là thành viên của nhóm Backup Operators.
o Tài khoản người dùng duynh và cuongvv phải thay đổi mật khẩu (password) khi đăng
nhập vào hệ thống lần đầu tiên.
o Người dùng quanch không được phép đổi mật khẩu từ máy trạm.
o Tạm khóa tài khoản hungnq vì người dùng bận việc bên ngoài.
o Nhân viên nhóm giảng viên được phép đăng nhập vào mạng từ 7h sáng đến 9h tối hàng
ngày, từ thứ 2 đến thứ 7.
o Người dùng quanch hết hạn làm việc vào ngày 10/10/2023
1.2. Yêu cầu chuẩn bị:
- Máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller: BKAPTECH.VN
- Máy trạm BKAP-WRK08-01 đã join vào miền BKAPTECH.VN
Hình 3.1
1.4. Sơ đồ địa chỉ như sau:
Thông số BKAP-DC12-01 BKAP-WRK08-01
IP address 192.168.1.2 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.2 192.168.1.2
o Vào dịch vụ Active Directory User and Computer để tạo OU, Group, User.
▪ Vào Server Manager / Tools / Active Directory User and Computer.
Hoặc
Hoặc
▪ Để tạo User tên là Nguyen Quoc Hung, tại cửa sổ New Object – User,
nhập vào các thông số sau:
• First name: Nguyen Quoc
• Last name: Hung
• Full name: Nguyen Quoc Hung
• User logon name: hungnq ( @BKAPTECH.VN)
▪ Tại cửa sổ tiếp theo, nhập vào mật khẩu ( password ) của tài khoản hungnq:
( 123456a@ )
• Lưu ý:
o User must change password at next logon: tài khoản phải
thay đổi mật khẩu trong lần đăng nhập tiếp theo(khuyển
khích bỏ tùy chọn này).
o User cannot change password : Tài khoản không được
thay đổi password ( khuyến khích dùng tùy chọn này ).
o Password never expires: Mật khẩu không bao giờ hết hạn
( khuyến khích dùng tùy chọn này ).
o Account is disabled : Tài khoản bị khóa
( khuyến khích không dùng tùy chọn này ).
o Quy trình tạo Group và User khác và add các User đã tạo vào Group theo bài lab,
làm tương tự như trên.
▪ Tại cửa số Select Groups tiếp theo, Click vào Find Now.
▪ Tại mục Search results, chọn vào Backup Operators.
▪ Click vào OK để hoàn tất quá trình add tất cả User vào nhóm Backup
Operators.
o Tài khoản duynh và tài khoản cuongvv phải thay đổi password trong lần đăng nhập
đầu tiên.
▪ Chọn vào tài khoản duynh và cuongvv, Click chuột phải, chọn Properties.
▪ Tại cửa sổ Nguyen Hoai Duy Properties và Vu Van Cuong properties,
chuyển sang Tab Account.
▪ Tại Account options, bỏ chọn tại 2 tùy chọn User cannot change
password và Password never expires. Chọn vào tùy chọn đầu tiên ( User
must change password at next logon )
▪ OK.
o Tạm khóa tài khoản hungnq vì người dùng bận bên ngoài :
▪ Tại Cửa sổ Nguyen Quoc Hung Properties , trong Account options, chọn
vào tùy chọn Account is disabled
▪ OK.
o Nhóm GG_S_GV (hungnq, cuongvv, quanch) được phép đăng nhập vào hệ thống
từ 7h đến 21h , từ thứ 2 cho tới thứ 7:
▪ Chọn vào 3 tài khoản quanch, hungnq, cuongvv, Click chuột phải chọn
Properties.
▪ Tại cửa sổ Properties for Multiple Items, chuyển sang tab Account.
▪ Click chọn vào dòng chữ Logon hours, sau đó chọn vào Logon hours…
▪ Tại cửa sổ Logon hours, chỉnh các tùy chỉnh theo yêu cầu.
▪ OK.
- Chuyển qua máy trạm , thực hiện Join máy Client vào Domain, kiểm tra đăng nhập tài
khoản.
o Join máy Client vào Domain, đăng nhập bằng User administrator và Password
123456a@ để kiểm tra Join Domain .
o Đăng nhập tài khoản duynh và cuongvv để kiểm tra. ( User phải thay đổi mật khẩu
trong lần đăng nhập đầu tiên )
▪ Kiểm tra user duynh:
2. Bài thực hành 2: Tạo OU, Group, User và cấu hình ủy quyền quản trị OU
2.1. Yêu cầu bài Lab:
+ Tạo OU, nhóm, và tài khoản người dùng theo mô hình Lab 3.2.
- Công ty đặt ở Hà Nội có các phòng ban :Technical, Sale, Marketing.
- Phòng ban Technical : Nguyễn Quốc Hưng (hungnq) , Chu Hồng Quân (quanch) thuộc
nhóm GG_S_Technicals.
- Phòng ban Sale : Lưu Văn Trưởng (truonglv), Lưu Văn Nghĩa (nghialv) thuộc nhóm
GG_S_Sales.
- Phòng ban Marketing : Nguyễn Tiến Cường (cuongnt) thuộc nhóm GG_S_Marketings.
+ Thiết lập quyền hạn cho các đối tượng người dùng như sau:
- Cấp cho tài khoản hungnq được phép quản lý phòng ban Technical.
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/131
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
+ Kết hợp với Deploy quản trị trên Window 8, Kiểm tra quyền hạn của các đối tượng OU Admin:
- Từ máy Client Windows 8, sử dụng Remote Server Administration Tools để đăng nhập
tài khoản quản trị hungnq, tạo tài khoản Vũ Văn Cường (cuongvv) ở phòng ban Technical.
2.2. Yêu cầu chuẩn bị:
+ Chuẩn bị máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller quản lý miền
BKAPTECH.VN.
+ Máy trạm BKAP-WRK08-01 đã join vào miền BKAPTECH.VN.
2.3. Mô hình Lab:
Hình 3.2
o Để tạo OU HANOI:
▪ Click chuột phải tại tên miền BKAPTECH.VN, chọn New /
Organizational Unit
▪ Tại cửa sổ New Object – Organizational Unit , nhập vào tên Technical
▪ OK.
o Tạo các Group, User trong các OU tương ứng với hình 3.2:
▪ Trong OU Technical, tạo Group GG_S_Technicals , User hungnq , User
quanch.
o Cấu hình ủy quyền cho tài khoản hungnq được phép tạo tài khoản.
▪ Tại OU Technical, Click chuột phải, chọn Delegate Control…
▪ Tại cửa sổ Select Users, Computers, or Groups / mục Enter the object
names to select, nhập tên user hungnq (Click vào Check Names để máy
chủ kiểm tra tên User )
▪ OK.
▪ Sau khi add xong User, tại cửa sổ User or Groups, click vào Next.
▪ Tại cửa sổ Tasks to Delegate, chọn vào quyền hạn đầu tiên :Create, delete,
and manage user accounts.
▪ Finish.
- Kiểm tra: Chuyển qua máy trạm BKAP-WRK08-01, tiến hành Join máy Client vào
Domain, đăng nhập bằng tài khoản Administrator để kiểm tra Join đã thành công chưa.
o Vào Start, tìm Administrative Tools để mở chương trình RSAT vừa cài đặt.
o Vào chương trình RSAT vừa cài đặt, vào dịch vụ Active Directory User and
Computer.
-HẾT-
BÀI 11. TRIỂN KHAI CHÍNH SÁCH GROUP POLICY TRONG ACTIVE
DIRECTORY
I. MỤC TIÊU
Hình 11.1
o Tạo thư mục wallpaper trong ổ C ( thư mục chứa background màn hình nền ) , tiến
hành chia sẻ thư mục.
• Cấu hình GPO trên máy BKAP-DC12-01 :Tạo các chính sách trên phòng ban IT.
o Vào Server Manager / Tools / Group Policy Management.
o Tại cửa sổ Group Policy Management, click chuột phải vào OU IT, chọn Create a
GPO in this domain, and Link it here…
o Click chuột phải tại chính sách set wallpaper vừa tạo, chọn Edit..
o Tại cửa sổ Group Policy Management Editor, click chọn vào User Configuration /
Policies / Administrative Template.. / Desktop / Desktop.
▪ Chọn vào Desktop Wallpaper.
• Chuyển sang máy Client Win10, đăng nhập bằng tài khoản hungnq trong phòng ban IT để
kiểm tra.
o Tại cửa sổ New GPO, nhập vào tên Name : Block registry.
o Click chuột phải vào chính sách Block Registry vừa tạo, chọn Edit.
o Tại cửa sổ Group Policy Managerment Editor, chọn vào mục User Configuration /
Policies / Administrative Templates .. / System ,chọn vào chính sách Prevent access
to registry editing tools., tại đây click chuột phải chọn Edit.
o Tại cửa sổ Prevent access to registry editing tools , click chọn vào Enable , Apply ,
OK.
o Cập nhật chính sách bằng lệnh gpupdate /force trong cmd.
• Chuyển sang máy Client Win 10 đăng nhập bằng tài khoản hungnq trong phòng ban IT để
kiểm tra.
• Chuyển sang máy BKAP-DC12-01, tạo thêm chính sách chặn Task Manager.
o Click chuột phải tại OU IT, chọn Create a GPO in this domain…
o Tại cửa sổ New GPO, nhập vào tên chính sách Name : Chặn Task Manager.
o Click chuột phải vào chính sách vừa tạo, chọn Edit.
o Tại cửa sổ Group Policy Management Editor, chọn vào User Configuration /
Policies / Administrative Template… / System / Ctrl+Alt+Del Options. Chọn vào
chính sách Remove Task Manager.
o Tại cửa sổ Remove Task Manager , click vào Enable , Apply , OK.
o Cập nhật chính sách bằng lệnh gpupdate /force trong cmd.
• Chuyển sang máy Client Win 8 kiểm tra, Task Manager đã bị khóa.
• Chuyển về máy BKAP-DC12-01, tại OU IT, tạo chính sách Block cmd.
o Tại cửa sổ Group Policy Management Editor, click vào User Configuration /…
System , chọn vào chính sách Prevent access to the command prompt.
▪ Tại chính sách này, click chuột phải chọn Edit, Enable , Apply , OK.
o Cập nhật chính sách bằng lệnh gpupdate /force trong cmd.
• Chuyển sang máy Client Win 8 kiểm tra chính sách Block cmd.
2. Bài thực hành 2: Giám sát tệp tin và yêu cầu xóa file.
2.1. Yêu cầu bài lab:
- Tạo OU, tài khoản người dùng và tài khoản nhóm theo miền BKAPTECH.VN
- Tạo lần lượt các thư mục IT , Sale trên máy BKAP-SRV12-01.
- Cấu hình giám sát tệp tin và yêu cầu xóa File
- Kiểm tra sau khi xóa file.
2.2. Yêu cầu chuẩn bị:
- Máy BKAP-DC12-01 dùng để tạo OU, Group, User.
- Máy BKAP-SRV12-01 Join vào miền, dùng để tạo thư mục và phân quyền truy cập thư mục.
- Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra xóa file.
2.3. Mô hình Lab:
Hình 11.2
2.4. Sơ đồ địa chỉ như sau:
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01
IP address 192.168.1.2 192.168.1.3 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1 192.168.1.1
DNS Server 192.168.1.2 192.168.1.2 192.168.1.2
• Chuyển sang máy BKAP-SRV12-01, tiến hành Join vào domain, đăng nhập bằng tài khoản
Administrator.
Vào ổ C của máy SRV12-01. Tạo thư mục HN, trong thư mục HN, tạo 2 thư mục IT
o
và Sale.
o Tiến hành chia sẻ, phân quyền 2 thư mục IT và Sale
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/165
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
▪ Tại cửa sổ Auditing Entry for IT, click vào dòng chữ xanh Select a principal.
▪ Tại cửa sổ Advanced permissions, bỏ chọn các quyền đã được tích dấu, chọn
vào các quyền sau:
• Create file / write data
• Create folders / append data
• Write attributes
• Write extended
• Detele subfolder
• Delete.
▪ OK.
o Trong thư mục IT, tạo các thư mục và các file con để kiểm tra.
• Chuyển sang máy Domain Controller triển khai chính sách ghi lại hoạt động của thư mục.
o Vào dịch vụ Active Directory User and Computer, di chuyển máy BKAP-SRV12-01
vào OU IT.
o Triển khai chính sách xóa File trong các phòng ban:
▪ Vào Group Policy Management.
▪ Tại OU HANOI, tạo 1 chính sách tên “bắt xóa file”.
▪ Click chuột phải tại chính sách vừa tạo, chọn Edit.
o Trong cửa sổ Group policy Management Editor, click vào Compuer Configuration
/ Policies / Windows Settings / Security Settings / Local Policies / Audit Policy.
▪ Chọn chính sách Audit object access.
▪ Click chuột phải tại chính sách này, chọn Properties.
▪ Tại cửa sổ Audit object access Properties, click chọn vào Define these policy
settings và 2 tùy chọn Success , Failure.
▪ Apply / OK.
• Chuyển sang máy Client Win 8, Join vào Domain, đăng nhập bằng tài khoản hungnq trong
phòng ban IT, truy cập vào thư mục IT ,xóa File cũ, tạo File mới.
o Tại cửa sổ Filter Current Log , nhập vào ID 5145, tiến hành kiểm tra.
3. Bài thực hành 3: Triển khai chính sách (GPO) giới hạn sử dụng phần mềm.
3.1. Yêu cầu bài Lab:
- Tạo OU, tài khoản người dùng và Group theo miền.
- Triển khai chính sách chặn phần mềm Firefox.
- Sử dụng tài khoản trong miền kiểm tra truy cập sau khi chặn dịch vụ.
3.2. Yêu cầu chuẩn bị:
- Máy BKAP-DC12-01 dùng để tạo OU, Group, User, quản lý miền BKAPTECH.VN
- Máy BKAP-WRK08-01 Join vào miền dùng để kiểm tra.
3.3. Mô hình Lab:
Hình 11.3
3.4. Sơ đồ địa chỉ như sau:
Thông số BKAP-DC12-01 BKAP-SRV12-01
IP address 192.168.1.2 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1
DNS Server 192.168.1.2 192.168.1.2
o Click chuột phải tại chính sách vừa tạo, chọn Edit.
o Tại cửa sổ Group Policy Management Editor , chọn vào Computer Configuration
/ Policies / Windows Settings / Security Settings / Application Control Policies /
Applocker
▪ Click chuột phải tại Applocker chọn Properties.
o Tại cửa sổ Applocker Properties / Tab Enfocement , Tích vào Configured tại
Executable rules / OK.
o Click vào Applocker / Executable Rules , click chuột phải chọn Create New Rule…
o Sử dụng câu lệnh gpupdate /force trong cmd để áp dụng chính sách.
• Chuyển sang máy Client Win 8, đăng nhập bằng tài khoản hungnq trong phòng ban IT để kiểm
tra
I. MỤC TIÊU
Hình 10.1
1.4. Sơ đồ địa chỉ IP:
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01
IP address 192.168.1.2 192.168.1.3 192.168.1.10
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Preferred DNS Server 192.168.1.2 192.168.1.2 192.168.1.2
o Trong OU IT, tạo Group GG_S_IT, và User hungnq, add User hungnq vào group
GG_S_IT.
o Trong OU Sale, tạo Group GG_S_Sale và User nghialv, Add user nghialv vào Group
GG_S_Sale.
• Chuyển sang máy BKAP-SRV12-01 để cấu hình chia sẻ tài nguyên cho các phòng ban.
o Join máy BKAP-SRV12-01 vào Domain.
o Vào ổ C, tiến hành tạo Folder “Data” , trong folder Data, tạo 2 Folder IT và Sale.
o Tiến hành Share thư mục IT( các tài khoản trong nhóm GG_S_IT được phép đọc và
sửa tài liệu trong thư mục IT ).
▪ Click chuột phải vào thư mục IT, chọn Properties.
▪ Tại cửa sổ IT Properties, chuyển sang tab Sharing.
▪ Apply / OK.
o Tại cửa sổ IT Properties,chuyển sang Tab Security, click chọn vào Advanced
▪ Tại cửa sổ Advanced Security Settings for IT, click vào Disable
inheritance( bỏ quyền kế thừa ).
▪ Tại cửa sổ Block Inheritance , chọn vào Remove all inherited permissions
from this object.
▪ OK.
o Tại cửa sổ IT Properties, tab Security, click vào Edit, tại cửa sổ Permissions for IT,
click vào Add..
▪ Tại cửa sổ Select Users, Computers, Service Accounts, or Groups, nhập vào
tên User Administrator và Group GG_S_IT.
▪ Phân quyền tương ứng như sau:
• Administrator : Full control
• GG_S_IT : Modify
o Thực hiện tương tự đối với thư mục Sale. Kết quả như sau:
• Chuyển sang máy Client Win 8 đăng nhập bằng tài khoản người dùng để kiểm tra.
o Join máy Client BKAP-WRK08-01 vào Domain.
o Đăng nhập bằng tài khoản hungnq của phòng ban IT.
o Truy cập vào địa chỉ của máy BKAP-SRV12-01 để lấy dữ liệu.
▪ Tài khoản hungnq ở trong phòng ban IT nên truy cập được vào thư mục IT.
▪ Tài khoản hungnq ko thuộc phòng ban Sale nên ko truy cập được vào thư mục
Sale.
2. Bài thực hành 2: Cấu hình Shadow Copies và Windows Server Backup
2.1. Yêu cầu bài lab:
- Cấu hình Shadow Copies: Tạo Shadow Copies sau đó xóa File trên ổ để kiểm tra.
- Cấu hình Windows Server Backup : Đặt lịch, tạo Backup, xóa File để kiểm tra.
2.2. Yêu cầu chuẩn bị:
- Chuẩn bị một máy Server Windows Server 2012 Datacenter (BKAP-SRV12-01)
- Chuẩn bị thêm một ổ cứng trên máy BKAP-SRV12-01
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/195
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Hình 10.2
2.4. Sơ đồ địa chỉ như sau:
Thông số BKAP-DC12-01 BKAP-SRV12-01
IP address 192.168.1.2 192.168.1.3
Subnet Mask 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.2 192.168.1.2
▪ Tại cửa sổ Data02 (F:) Properties , chuyển sang tab Shadow Copies.
▪ Tại Shadow copies of selected volume, click vào thời gian trong khung bên
dưới, sau đó click chọn vào Create Now.
▪ Tại cửa sổ Volume Revert , click chọn vào dòng Check here if you want to
revert this volume , sau đó click vào Revert Now.
▪ OK.
o Cấu hình Shadow Copies đã thành công.
o Vào ổ C, tạo thư mục HN, trong thư mục HN, tạo các thư mục IT và Sale.
▪ Trong thư mục IT, tạo các thư mục tài liệu con như sau :
▪ Tại các cửa sổ tiếp theo, click vào Install để máy chủ tiến hành cài đặt.
o Click vào Backup Once… tại khung Local Backup bên phải.
o Tại cửa sổ Backup Options , click vào Next.
o Tại cửa sổ Select Backup Configuration ,click chọn vào Custom, sau đó click vào
Next.
▪ Tại cửa sổ Select Item for Backup, click vào Add Items
▪ Tại cửa sổ Select Items , click chọn vào thư mục HN trong ổ C.
▪ Tại cửa sổ Specify Destination Type, chọn Local drives , click vào Next.
▪ Tại cửa sổ Select backup Destination, chọn ổ đĩa Data01 (E:) tại dòng
Backup destination.
o Vào cửa sổ wbadmin – [Windows Server Backup (Local)\Local Backup] , click vào
Recover…
o Tại cửa sổ Getting Started, click vào Next (Chọn This server (BKAP-SRV12-01) )
o Tại cửa sổ Select Backup Date , (chọn ngày) click vào Next.
o Tại cửa sổ Select Recovery Type , chọn vào File and folders, click vào Next.
o Tại cửa sổ Select Items to Recover, chọn vào thư mục HN. Click vào Next.
o Tại cửa sổ Recovery Progress , chờ máy chủ Recover xong, click vào Close để kết
thúc tiến trình.
o Tại cửa sổ Select Backup Configuration , cick chọn vào Custom, Next.
o Tại cửa sổ Select Items for Backup, click vào Add Items.
o Tại cửa sổ Specify Backup Time , chọn thời gian để máy chủ Backup.
o Tại cửa sổ Specify Destination Type , click chọn vào Back up to a volume.Next.
o Tại cửa sổ Select Destination Volume ,click vào Add, tại cửa sổ Add Volume , click
chọn vào ổ Data2 (F:) , OK.
o Tại các cửa sổ tiếp theo, click vào Next và Finish để kết thúc tiến trình.
Hình 10.3
3.4. Sơ đồ địa chỉ IP:
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01
IP address 192.168.1.2 192.168.1.3 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Gateway 192.168.1.1 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.2 192.168.1.2 192.168.1.2
• Chuyển sang máy BKAP-SRV12-01, Join vào Domain, đăng nhập bằng tài khoản Administrator
của miền.
o Tạo thư mục chia sẻ và cấu hình Offline cho phòng ban IT.
▪ Vào ổ C, tạo thư mục HN , trong thư mục HN, tạo 2 thư mục con là IT và
Sale.
o Click chuột phải vào thư mục IT. Chọn Properties, tại cửa sổ IT Properties, click
chọn vào Advanced Sharing…
▪ Tại cửa sổ Advanced Sharing, click chuột vào Permissions.
o Tại cửa sổ Permissions fot IT, thực hiện xóa group Everyone, sau đó tiến hành Add
vào Group GG_S_IT( GG_S_IT có quyền Change và Read ).
▪ Tại cửa sổ Offline Settings, click chuột vào dòng Add files and programs that
users open form the shared folder are automatically available offline. OK.
o Tại cửa sổ IT Properties, chuyển sang tab Security , sau đó click vào Advanced.
o Tại cửa sổ Advanced Security Setting for IT, click vào Disable inheritance.
o Tại cửa sổ Block Inheritance, click chọn vào dòng Remove all inherited permissions
from this object. OK.
o Tại cửa sổ Permissions for IT, click vào Add, tiến hành add User Administrator và
Group GG_S_IT vào khung Group or user names.Phân quyền như sau:
▪ Administrator : Full control
▪ GG_S_IT : Modify
• Thư mục Sale tiến hành Share bình thường, ko cấu hình Offline file.
• Chuyển sang máy Clien Win 8 thực hiện Join vào domain để kiểm tra.
o Đăng nhập bằng User hungnq trong phòng ban IT.
▪ User hungnq không thuộc phòng ban Sale nên ko truy cập được vào thư mục
Sale.
▪ User hungnq thuộc phòng ban IT nên được phép truy cập vào thư mục IT.
o Logout tài khoản hungnq, đăng nhập bằng tài khoản nghialv.
▪ Click vào thư mục Sale đã được share, chọn Map network Drive…
• Chuyển sang máy BKAP-SRV12-01 , tiến hành tắt card mạng để kiểm tra Offline.
o Kiểm tra truy cập thư mục Sale bằng tài khoản nghialv, ko truy cập được thư mục, do
tài khoản này ko được cấu hình offline file.
B3 – Màn hình Before you begin → Next B4 – Màn hình Server and path → Enter a local
path, nhập C:\SaleShared → Next
B6 – Chọn User Alias → Next B7 – Màn hình Sync Share Name → giữ nguyên
như mặc định → Next
B8 – Màn hình Sync Access → nhấn Add → Chọn
thêm group Sales → Check Names → OK → Next
B6 – Kiểm tra thấy có đường dẫn Work Folders của user teo
→ Next
B10 – Quan sát trong File Explorer thấy có thêm B11 – Dữ liệu được đồng bộ hóa. User teo ngồi ở bất kì máy
Work Folder nào cũng sẽ thấy Work Folder này.
-HẾT-
I. MỤC TIÊU
- Tạo OU, tài khoản người dùng và nhóm thông qua PowerShell.
- Sử dụng PowerShell Script để tạo tài khoản người dùng với số lượng lớn.
II. THỰC HÀNH
1. Bài thực hành 1: Tạo OU, tài khoản người dùng và nhóm thông qua PowerShell.
1.1. Yêu cầu bài lab:
Tạo OU, tài khoản người dùng và nhóm trên miền BKAPTECH.VN sử dụng tập lệnh trên PowerShell:
- Công ty đặt ở Hà Nội có các phòng ban: Technical, Sale, Marketing
- Phòng ban Technical: User Nguyễn Quốc Hưng (hungnq), Chu Hồng Quân (quanch) thuộc
nhóm Technicals.
- Phòng ban Sale :User Lưu Văn Trưởng (truonglv) , Lưu Văn Nghĩa (nghialv) thuộc nhóm
Sales.
- Phòng ban Marketing: User Nguyễn Tiến Cường (cuongnt) thuộc nhóm Marketings.
1.2. Yêu cầu chuẩn bị:
- Chuẩn bị 1 máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller quản lý miền
BKAPTECH.VN.
- Chuẩn bị máy trạm BKAP-WRK08-01 đã Join vào miền BKAPTECH.VN.
1.3. Mô hình lab:
Hình 4.1
o Các user còn lại dùng câu lệnh trên tạo tương tự.
- Thực hiện câu lệnh đặt mật khẩu cho tài khoản người dùng:
o Đặt mật khẩu cho tài khoản hungnq.
▪ Set-ADAccountPassword hungnq
- Thực hiện câu lệnh gán tài khoản người dùng vào nhóm tương ứng:
o Gán tài khoản hungnq vào nhóm Technicals:
▪ Add-ADGroupMember Technicals -Members hungnq
▪ Làm tương tự đối với các tài khoản và nhóm khác.
- Thực hiện câu lệnh kiểm tra thông tin nhóm tài khoản:
o Kiểm tra thông tin nhóm Technicals:
▪ Get-ADGroup Technicals
2. Bài thực hành 2: Sử dụng Powershell Script để tạo tài khoản người dùng với số lượng
lớn.
2.1. Yêu cầu bài Lab:
- Cho sẵn file Excel có sẵn với nội dung như bảng sau :
- Sử dụng PowerShell Script để tạo tài khoản người dùng với số lượng lớn.
2.2. Yêu cầu chuẩn bị :
- Trên máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller quản lý miền
BKAPTECH.VN. Máy DC đã cài đặt Microsoft Excel 2010 hoặc Microsoft Excel 2013.
- Máy trạm BKAP-WRK08-01 đã join vào miền BKAPTECH.VN.
- Chuẩn bị tools : Quest ActiveRoles Mangement Shell Version 1.5.1
- Đoạn mã: PowerShell Script.
2.3. Mô hình Lab :
Hình 4.2
o Mở đoạn Code PowerShell Script và sửa cho phù hợp với hệ thống.
I. MỤC TIÊU
- Cài đặt và cấu hình quản lý DHCP Server kết hợp với AD.
- Cài đặt và cấu hình DHCP Relay Agent.
- Sao lưu và khôi phục DHCP Server.
1. Bài thực hành 1: Cài đặt và cấu hình quản lý DHCP Server kết hợp với AD
1.1. Yêu cầu bài lab:
Cài đặt và cấu hình dịch vụ DHCP Server trên máy Server BKAP-SRV12-01 với yêu cầu sau:
- Tạo một Scope có tên là [192.168.1.0] DHCP – LANA.
- Trừ ra các địa chỉ dành cho Gateway và các máy Server, Print là : 192.168.1.1 – 192.168.1.20.
- Cho phép các máy trạm nhận địa chỉ từ : 192.168.1.21 – 192.168.1.254
- Domain :BKAPTECH.VN.
- Router :192.168.1.1.
- DNS Server :192.168.1.2.
- Thiết lập địa chỉ IP cố định cho máy trạm có tên là BKAP-WRK08-02.
1.2. Yêu cầu chuẩn bị:
- Chuẩn bị máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller để quản lý miền
BKAPTECH.VN.
- Chuẩn bị máy Server BKAP-SRV12-01 đã Join vào Domain BKAPTECH.VN.
- Máy trạm BKAP-WRK08-01 , BKAP-WRK08-02 đã Join vào miền BKAPTECH.VN.
Hình 6.1
1.4. Sơ đồ địa chỉ IP:
Thông số BKAP-DC12-01 BKAP-SRV12-01 BKAP-WRK08-01
IP address 192.168.1.2 192.168.1.3 DHCP Client
Subnet Mask 255.255.255.0 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.2 192.168.1.2 192.168.1.2
▪ Tại cửa sổ Select server roles , click chọn vào dịch vụ DHCP Server. Sau đó
nhấn vào Next.
▪ Tại cửa sổ Confirm installation selections, click vào Install để Server bắt đầu
cài đặt dịch vụ DHCP.
▪ Sau khi máy chủ cài đặt xong, click vào Close để kết thúc quá trình cài đặt.
▪ Trong cửa sổ DHCP, chuột phải tại IPv4, chọn New Scope…
▪ Tại cửa sổ Scope Name, nhập tên của scope: DHCP – LANA, sau đó click vào
Next.
▪ Tại cửa sổ IP Address Range / Start IP address và End IP address, nhập dải
địa chỉ IP DHCP server cấp phát cho toàn mạng. (192.168.1.1 – 192.168.1.254)
▪ Tại cửa sổ Add Exclusions and Delay / Start IP address và End IP address
nhập dải địa chỉ DHCP server trừ ra không cấp phát cho các máy Client.
(192.168.1.1 – 192.168.1.20 ), sau đó click vào Add.
▪ Tại cửa sổ Lease Duration, đây là thời gian hiệu lực của 1 địa chỉ IP do DHCP
server cấp phát xuống máy Client.
▪ Tại cửa sổ Configure DHCP Options, chọn Yes, I want to configure these
options now.
▪ Tại cửa sổ Router (Default Gateway) / IP address, nhập địa chỉ 192.168.1.1,
sau đó click vào Add.
▪ Tiếp tục click vào Next tại các cửa sổ Domain Name and DNS Servers và
cửa sổ WINS Servers.
▪ Tại cửa sổ Activate Scope, chọn Yes, I want to activate this scope now.
▪ Tại cửa sổ tiếp theo, click vào Finish để kết thúc quá trình cấu hình dịch vụ
DHCP Server.
• Chuyển qua máy trạm BKAP-WRK08-01, cấu hình chế độ nhận IP động.
o Vào card mạng của máy BKAP-WRK08-01, chỉnh card mạng ở chế độ Obtain an IP
address automatically.
o Mở cmd, gõ lệnh ipconfig /all để kiểm tra DHCP Server cấp địa chỉ IP động.
• Chuyển về máy BKAP-SRV12-01, thiết lập địa chỉ cố định cho máy trạm BKAP-WRK08-02.
o Mở dịch vụ DHCP, tại Reservations, click chuột phải chọn New Reservation.
o Trong cửa sổ New Reservation, nhập vào các thông số sau:
▪ Reservation name : BKAP-WRK08-02
▪ IP address : 192.168.1.50
▪ MAC address : ( nhập địa chỉ Physical Address của máy BKAP-WRK08-02 )
2. Bài thực hành 2: Cài đặt và cấu hình DHCP Relay Agent.
2.1. Yêu cầu bài lab:
- Trên máy BKAP-DC12-01 thực hiện các công việc sau:
o Tạo Scope 1 [192.168.1.0] DHCP – LAN A
o Và Scope 2 [ 131.107.1.0] DHCP – LAN B
o Sử dụng DNS Server : BKAPTECH.VN, IP là 192.168.1.2
- Trên máy Server BKAP-SRV12-01 thực hiện các công việc sau:
o Thiết lập tính năng Routing and Remote Access Server để nối thông 2 dải mạng.
o Thiết lập DHCP Relay Agent nhận địa chỉ IP từ dải: 131.107.1.0/24
2.2. Yêu cầu chuẩn bị:
- Chuẩn bị 1 máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller để quản lý miền
BKAPTECH.VN
- Máy Server BKAP-SRV12-01 gắn 2 card mạng ( VMnet2 và VMnet3)
- Máy trạm BKAP-WRK08-01 trong dải mạng VMnet2 nhận IP động từ dải 192.168.1.0/24
- Máy trạm BKAP-WRK08-02 trong dải mạng VMnet3 nhận IP động từ DHCP Relay Agent với
dải 131.107.1.0/24
2.3. Mô hình lab:
Hình 6.2
• Chuyển sang máy Client BKAP-WRK08-01 kiểm tra cấp phát IP động từ máy DHCP Server.
o Thực hiện cài đặt dịch vụ Routing and Remote Access Services lên máy BKAP-SRV12-
01.
▪ Vào Server Manager / Add roles and features.
▪ Tại cửa sổ Select server roles, click chọn vào Remote Access.
▪ Click vào Next, tại cửa sổ Confirm installation selections, click vào Install
để Server tiến hành cài đặt dịch vụ.
▪ Click chuột phải tại BKAP-SRV12-01 (local), chọn Configure and Enable
Routing and Remote Access.
▪ Tại cửa sổ tiếp theo, click vào Finish, chọn vào Start service để máy chủ kết
thúc tiến trình cài đặt và Enable dịch vụ.
o Tại cửa sổ Routing and Remote Access, click chuột phải tại General, chọn New
Routing Protocol…
▪ Tại cửa sổ New Routing Protocol, click chọn vào DHCP Relay Agent. OK.
o Tại cửa sổ Routing and Remote Access, click chuột phải tại DHCP Relay Agent
chọn New Interface…
▪ Tại cửa sổ New Interface for DHCP Relay Agent, chọn card bên ngoài của
hệ thống mạng (VMnet3), OK.
o Tại cửa sổ Routing and Remote Access, click chuột phải tại DHCP Relay Agent,
chọn Properties.
o Tại cửa sổ DCHP Relay Agent Properties, nhập IP address của DHCP Server.
▪ Server address : 192.168.1.2
▪ Click vào Add.
▪ OK.
o Tại cửa sổ Routing and Remote Access, click chuột phải tại BKAP-SRV12-01 (local)
/ All Tasks / Restart để khởi động lại dịch vụ
o Kiểm tra máy Client nhận địa chỉ từ DHCP Relay Agent.
Hình 6.3
Hướng dẫn chi tiết :
• Trên máy BKAP-DC12-01, cài đặt và cấu hình dịch vụ DHCP Server.
• Chuyển sang máy Client BKAP-WRK08-01 kiểm tra nhận IP động từ DHCP Server.
• Chuyển qua máy BKAP-DC12-01, triển khai sao lưu và khôi phục dịch vụ DHCP Server.
o Trong ổ C, tạo 1 thư mục tên là “Backup DHCP”.
o Trong cửa sổ DHCP, tạo bản sao lưu các Scope của dịch vụ DHCP.
▪ Click chuột phải tại bkap-dc12-01.BKAPTECH.VN , chọn Backup…
▪ Tại cửa sổ Browse For Folder, chọn đến thư mục Backup DHCP.
▪ OK.
o Vào lại dịch vụ DHCP, tiến hành xóa 2 Scope “DHCP - LAN A” và “DHCP LAN –
B”.
• Chuyển sang máy Client BKAP-WRK08-01, kiểm tra cấp phát IP động từ máy DHCP Server. (
mất IP do DHCP cấp ).
• Chuyển sang máy BKAP-DC12-01, tiến hành khôi phục lại scope đã bị xóa.
o Tại cửa sổ DHCP, click chuột phải tại bkap-dc12-01.BKAPTECH.VN, chọn
Restore…
▪ Tại cửa sổ Browsw For Forlder, chọn đến thư mục “Backup DHCP”.
▪ OK.
• Chuyển sang máy Client BKAP-WRK08-01, kiểm tra nhận IP động từ DHCP Server.
-HẾT-
I. MỤC TIÊU
Mô hình lab:
Hình 7.1
1.3. Sơ đồ địa chỉ như sau:
Thông số BKAP-SRV12-01 BKAP-WRK08-01
IP address 192.168.1.5 192.168.1.10
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.5 192.168.1.5
▪ Tiếp tục click vào Next, tại cửa sổ Confirm installation selections, click vào
Install để Server cài đặt dịch vụ DNS.
▪ Tại cửa sổ Installation progress, click vào Close để kết thúc quá trình cài đặt.
o Cấu hình dịch vụ DNS:
▪ Vào Server Manager / Tools / chọn vào dịch vụ DNS.
▪ Cửa sổ DNS:
▪ Click chuột phải tại Forward Lookup Zones chọn New Zone…
▪ Tiếp tục click vào Next, tại cửa sổ Dynamic Update, chọn vào Allow both
nonsecure and secure dynamic updates.
▪ Click chuột phải tại Reverse Lookup Zones, chọn vào New Zone.
▪ Tại cửa sổ Reverse Lookup Zone Name, click chọn vào IPv4 Reverse
Lookup Zone.
▪ Tại cửa sổ Reverse Lookup Zone Name, nhập vào Network ID :192.168.1.
▪ Tại cửa sổ Dynamic Update, chọn vào Allow both nonsecure and secure
dynamic updates.
▪ Tại cửa số tiếp theo, click chọn vào Finish để kết thúc quá trình cấu hình dịch
vụ DNS.
• Chuyển sang máy BKAP-WRK08-01, kiểm tra phân giải IP sang tên miền.
o Địa chỉ của máy BKAP-WRK08-01.
Hình 7.2
2.4. Sơ đồ địa chỉ IP:
Thông số BKAP-SRV12-01 BKAP-SRV12-02
IP address 192.168.1.2 192.168.1.3
Subnet Mask 255.255.255.0 255.255.255.0
Default gateway 192.168.1.1 192.168.1.1
Preferred DNS Server 192.168.1.2 192.168.1.2
• Chuyển qua máy Server BKAP-SRV12-02, thực hiện cấu hình Backup DNS Server.
o Cài đặt dịch vụ DNS trên máy BKAP-SRV12-02.
o Cấu hình dịch vụ Backup DNS :
▪ Tại Forward Lookup Zones, click chuột phải chọn New Zone.
▪ Tại cửa sổ Master DNS Servers , nhập địa chỉ máy BKAP-SRV12-01.
▪ Click chuột phải tại Reverse Lookup Zone, chọn New Zone…
▪ Tại cửa sổ Reverse Lookup Zone Name, click chọn vào IPv4 Reverse
Lookup Zone.
▪ Tại cửa sổ Reverse Lookup Zone Name, nhập vào Network ID : 192.168.1
▪ Tại cửa sổ Master DNS Servers, nhập vào địa chỉ của máy BKAP-SRV12-
01 (192.168.1.2)
▪ Tại cửa số tiếp theo, click vào Finish để kết thúc quá trình cấu hình.
▪ Tại đây, tiếp tục chọn vào Edit.Tại cửa sổ Allow Zone Transfers , điền địa
chỉ máy BKAP-SRV12-02 (192.168.1.3) tại IP addresses of the secondary
servers
▪ Apply / OK.
▪ Tại đây , tiếp tục chọn vào Edit , Tại cửa sổ Allow Zone Transfers , điền vào
địa chỉ của máy BKAP-SRV12-02 (192.168.1.3)
▪ Apply / OK.
▪ Tại đây, tiếp tục click chọn vào Edit, tại cửa sổ Allow Zone Transfers , nhập
vào địa chỉ của máy BKAP-SRV12-01.(192.168.1.2)
-HẾT-
I. MỤC TIÊU
Hình 9.1
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/315
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
▪ Tại cửa sổ Virtual Machine Settings, click chọn vào Hard Disk (SCSI),
Click vào Add…
▪ Tại cửa sổ Hardware Type, click chọn vào Hard Disk , tiếp theo click vào
Next.
▪ Tại cửa sổ Select a Disk ,chọn vào Create a new virtual disk, sau đó click
vào Next.
▪ Tại cửa sổ Specify Disk Capacity, nhập vào dung lượng ổ đĩa, click vào Next.
▪ Tại cửa sổ tiếp theo, click vào Finish để kết thúc quá trình tạo ổ đĩa mới.
o Tiến hành add thêm 2 ổ đĩa cứng , các bước thực hành tương tự như trên.
o Ta được kết quả sau:
▪ Tại cửa sổ Initialize Disk , chọn vào kiểu MBR (Master Boot Record).
o Click chuột phải tại phân vùng đĩa Disk 1, chọn New Simple Volume…
o Tại cửa sổ Specify Volume Size, nhập dung lượng ổ đĩa mới ( 15000 MB ) tại Simple
volume size in MB.
▪ Tại cửa sổ Specify Volume Size, nhập dung lượng ổ đĩa (15000MB) tại Simple
volume size in MB.
o Tiếp tục chuột phải tại phân vùng đĩa chống “Unallocated” tạo thêm ổ đĩa mới tương
tự như trên, kết quả thu được như sau:
o Tại cửa sổ Convert to Dynamic Disk, click chọn Disk 2 và Disk 3 , sau đó click chọn
vào OK.
▪ Click chuột phải tại phân vùng “Unallocated” của Disk 2, , chọn xuống New
Mirrored Volume…
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/325
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
▪ Tại cửa sổ Select Disks ,click chọn vào Disk 3 61437 MB(khung Available
bên trái), sau đó chọn vào Add >
▪ Tại dòng Select the amount of space in MB, nhập vào dung lượng 15000MB.
▪ Next.
▪ Tại cửa sổ Format Volume, Nhập vào tên ổ cứng tại Volume label :DATA 5.
▪ Next , Finish.
o Click chuột phải tại phân vùng ổ đĩa chống “Unallocated” chọn New Striped Volume.
▪ Tại cửa sổ Select Disks, click chọn vào Disk 3 46437MB tại khung Available
bên trái, sau đó click chọn vào Add >
▪ Tại dòng Select the amount of space in MB, nhập vào dung lượng ổ đĩa
15000MB.
▪ Next.
• Click chuột phải tại phân vùng ổ đĩa chống “Unallocated” , chọn “New Spanned Volume”
o Tại cửa sổ Select Disks, click chọn vào Disk 3 31437 MB tại khung Available bên
trái, sau đó click vào Add >
▪ Next, Finish.
o Sau khi cấu hình xong ta được kết quả như sau:
o Click vào phân vùng đĩa chống “Unallocated” , chọn vào New Simple Volume…
▪ Tại Specify Volume Size. Nhập vào dung lượng ổ đĩa :15000 MB.
▪ Tại Format Partition , nhập vào tên ổ đĩa tại Volume label: DATA 5.
▪ Next, Finish.
o Tiếp tục tạo ra các ổ đĩa Simple Volume với tên là DATA 6 , DATA 7, DATA 8, và có
dung lượng 15000 MB tương tự như trên.
o Kết quả thu được như sau:
Hình 9.2
2.4. Hướng dẫn chi tiết:
• Thực hiện trên máy BKAP-SRV12-01:
o Cài đặt 3 ổ đĩa mới và convert sang dynamic.
▪ Tại cửa sổ Initialize Disk , click chọn cả 3 ổ đĩa Disk 1, Disk 2, Disk 3, chọn
vào kiểu định dạng MBR (Master Boot Record)
▪ OK.
▪ Tiếp tục Click chuột phải tại Disk 1, chọn Convert to Dynamic Disk.
▪ Tại cửa sổ Select Disks, click chọn vào Disk 2 61437 MB tại khung Available
bên trái, sau đó click vào Add >
▪ Nhập vào dung lượng ổ đĩa tại Select the amount of space in MB: 30000 MB.
▪ Next.
▪ Tại cửa sổ Select Disks, click chọn vào Disk 2 31437 MB tại khung Available
bên trái, sau đó click vào Add >
▪ Nhập vào dung lượng ổ đĩa 15000 MB tại Select the amount of space in MB.
▪ Tại cửa sổ Select Disks, click chọn vào Disk 2 16437 MB và Disk 3 61437
MB tại khung Available bên trái, sau đó click vào Add >
o Kết quả thu được sau khi ta cấu hình xong RAID 0, 1 ,5.
Hình 9.3
o Kiểm tra ổ cứng sau khi lắp: vào Computer Management / Disk Management.
o Tại cửa sổ Initialize Disk , click chọn vào tất cả ổ đĩa, chọn vào MBR (Master Boot
Record), OK.
o Tại File and Storage Services / Servers , click chọn vào Storage Pools.
o Tại cửa sổ STORAGE POOLS , click chọn vào TASKS / New Storage Pool…
o Tại cửa sổ Select physical disks for the storage pool , click chọn vào cả 5 ổ đĩa.
o Tại cửa sổ View results , click vào Close để kết thúc tiến trình.
o Tại cửa sổ Configure the resiliency settings , click chọn vào Three-way mirror. (
khi hỏng 2 ổ cứng vẫn duy trì dữ liệu )
o Tại cửa sổ View results , click vào Close để kết thúc tiến trình.
o Tiếp theo, tại cửa sổ New Volume Wizard, click vào Next.
o Tại cửa sổ Select the server and disk , click vào Next.
o Tại cửa sổ Specify the size of the volume ,volume size : 9.97 GB , click vào Next.
o Tại cửa sổ Select the storage layout, click chọn vào Mirror.
o Tại cửa sổ Configure the resilience settings, click chọn vào Two-way mirror.
o Tại cửa sổ Specify the provisioning type, click chọn vào Thin.
-HẾT-
I. MỤC TIÊU:
1. Bài thực hành 1: Cài đặt Tool Network Monitor 3.4 & Giám sát lưu lượng mạng.
1.1. Yêu cầu bài lab:
- Cài đặt Tool Network Monitor 3.4 trên máy Server BKAP-SRV12-01.
o Chụp lưu lượng mạng bằng Network Monitor.
o Phân tích lưu lượng mạng mà chúng ta vừa bắt.
o Lọc lưu lượng mạng.
1.2. Yêu cầu chuẩn bị:
- Trên máy Server BKAP-DC12-01 đã nâng cấp lên Domain Controller: BKAPTECH.VN.
- Máy Server BKAP-SRV12-01 đã Join vào miền BKAPTECH.VN.
- Máy trạm BKAP-WRK08-01 đã Join vào miền BKAPTECH.VN.
1.3. Mô hình Lab:
Hình 5.1
• Chuyển sang máy Client BKAP-WRK08-01, thực hiện Join vào Domain, đăng nhập bằng tài
khoản hungnq.
• Chuyển sang máy BKAP-SRV12-01, tiến hành Join máy Server vào Domain, đăng nhập bằng
tài khoản Administrator.
o Thực hiện trên máy BKAP-SRV12-01, cài đặt công cụ Network Monitor 3.4
▪ Click vào Finish để hoàn tất quá trình cài đặt.
o Mở công cụ Network Monitor 3.4 , Click chọn vào New capture tab để mở tab mới.
o Click chọn vào Start( hoặc ấn F5) để công cụ bắt đầu quá trình làm việc.
• Chuyển sang máy Client BKAP-WRK08-01, thực hiện ping sang máy BKAP-SRV12-01 và
BKAP-DC12-01.
o Ping đến máy BKAP-SRV12-01.
• Trên máy BKAP-SRV12-01, bắt được gói tin khi máy trạm thực hiện ping đến máy DC.
-HẾT-
BÀI 18. SỬ DỤNG PHẦN MỀM SOLARWINDS TRONG QUẢN TRỊ MẠNG
I. MỤC TIÊU
- Ôn tập các lệnh cấu hình cơ bản trên thiết bị Router Cisco.
- Ôn tập các lệnh cấu hình định tuyến cơ bản.
- Kiểm tra các công cụ của phần mềm Solarwind trong quản trị mạng.
Hình 1 là mô hình giả lập của một công ty có 2 chi nhánh. R1 và R2 là 2 router biên của 2 chi nhánh.
Chi nhánh bên router R2 có triển khai hệ thống server. Máy tính Window XP chạy phần mềm
Solarwinds để quản trị các router R1, R2 và máy server.
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
Router R1 Interface fastEthernet 1/0 Interface serial 0/0
10.0.0.1/8 192.168.12.1/24
Router R2 Interface fastEthernet 1/0 Interface serial 0/0
20.0.0.2/8 192.168.12.2/24
Máy tính XP IP: 10.0.0.10/8
SM: 255.0.0.0
DG: 10.0.0.1
Máy tính Window server 2003 IP: 20.0.0.10/8
SM: 255.0.0.0
DG: 20.0.0.1
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/375
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Bước 3: cài đặt phần mềm SolarWinds-Engineers-Toolset-V9 trên máy tính Window XP. Chạy file cài
đặt phần mềm sẽ được giao diện như Hình 4. Nhấn next liên tục cho đến khi cài đặt hoàn thành sẽ xuất
hiện giao diện như Hình 5.
Hình 4. Giao diện khi bắt đầu cài đặt phần mềm Solarwinds
Hình 5. Giao diện của Solarwinds sau khi đã cài đặt xong
Bước 4: cấu hình địa chỉ IP của máy tính Window XP và máy tinh Window server 2003. Từ menu start,
chọn Settings, chọn Network Connections, chuột phải lên tên card mạng muốn đặt địa chỉ IP, chọn
Properties, nhấp đúp chuột Internet Protocol TCP/IP. Tại đây, sinh viên đặt IP theo Bảng cho ở trên.
Hình 6. Đặt IP cho máy tính Window XP và máy tính Window server 2003
Bước 5: cấu hình địa chỉ IP và cấu hình định tuyến trên router R1 và router R2.
R1(config-if)#no shutdown
R1(config)#router ospf 1
R1(config-router)#network 192.168.12.0 0.0.0.255 area 0
R1(config-router)#network 10.0.0.0 0.255.255.255 area 0
R2(config)#router ospf 1
R2(config-router)#network 192.168.12.0 0.0.0.255 area 0
R2(config-router)#network 20.0.0.0 0.255.255.255 area 0
Thực hiện lệnh "show ip route" trên 2 router để kiểm tra bảng định tuyến. Đảm bảo 2 router học đầy đủ
các lớp mạng.
Bước 6: sử dụng lệnh ping để kiểm tra. Đảm bảo mạng hội tụ.
Bước 7: sử dụng phần mềm Solarwinds để quản trị 2 router R1, R2 và server.
- Kiểm chứng các công cụ của Solarwinds. Để mở công cụ nào thì chỉ cần nhấp chuột vào tính
năng đó.
Quan sát lại Hình 5, để xem lại các công cụ mà phần mềm Solarwinds hỗ trợ trong quản trị hệ thống
mạng. Cần chú ý rằng, đa số những công cụ này cần có sự hỗ trợ của SNMP. Do đó, trong bài thực
hành số 1 thì sinh viên chỉ có thể kiểm chứng các tính năng của Solarwind mà không có sự hỗ trợ của
SNMP. Các tính năng liên quan đến SNMP sẽ được trình bày trong các bài thực hành sau.
Sinh viên lần lượt kiểm chứng các công cụ sau:
+ IP address management: giao diện của công cụ này được thể hiện như Hình 7.
cách, chuột phải lên IP 192.168.12.1, chọn tool, chọn ping. Do IP 192.168.12.1 là đang sử dụng nên kết
quả ping là thành công. Điều này được thể hiện như trong Hình 10 và Hình 11.
BÀI 19. SỬ DỤNG PHẦN MỀM NETFLOW ANALYZER TRONG QUẢN TRỊ MẠNG
I. MỤC TIÊU:
+ Ôn tập các lệnh cấu hình cơ bản trên thiết bị Router Cisco.
+ Kiểm tra tính năng của phần mềm Netflow Analyzer trong quản trị mạng.
Hình 14 là mô hình giả lập của một công ty có 2 chi nhánh. R1 và R2 là 2 router biên của 2 chi nhánh.
Chi nhánh bên router R2 có triển khai hệ thống server. Máy tính Window XP cài đặt phần mềm Netflow
Analyzer để thu thập các thông tin giúp giải quyết các vấn đề trong quản trị mạng.
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
Router R1 Interface fastEthernet 1/0 Interface serial 0/0
10.0.0.1/8 192.168.12.1/24
Router R2 Interface fastEthernet 1/0 Interface serial 0/0
20.0.0.2/8 192.168.12.2/24
Máy tính XP IP: 10.0.0.10/8
SM: 255.0.0.0
DG: 10.0.0.1
Máy tính Window server 2003 IP: 20.0.0.10/8
SM: 255.0.0.0
DG: 20.0.0.1
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/383
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Hình 15. Bước đầu cài đặt phần mềm Netflow Analyzer
Hình 16. Cài đặt port mặc định của Netflow Analyzer là 9996
Hình 17. Cài đặt phần mềm Netflow Analyzer hoàn tất
Nhấp finish từ Hình 17 để hoàn thành cài đặt. Netflow sẽ được khởi động như Hình 18.
Hình 20. Giao diện chính của phần mềm Netflow Analyzer
Bước 4: cấu hình địa chỉ IP của máy tính Window XP và máy tinh Window server 2003. (Xem bài thực
hành số 1).
Bước 5: cấu hình địa chỉ IP và cấu hình định tuyến trên router R1 và router R2. (Xem bài thực hành số
1).
Bước 6: sử dụng lệnh ping để kiểm tra. Đảm bảo mạng hội tụ. (Xem bài thực hành số 1).
Bước 7: Cấu hình Netflow trên Router R2.
Thực hiện cấu hình Netflow trên Router R2 để các traffic mạng đi ra và vào hai cổng của Router này
đều được gửi về máy tính có cài đặt phần mềm Netflow (máy tính Window XP). Dựa trên những thông
tin thu thập được người quản trị mạng biết được chính xác có những traffic nào ra vô mạng với mức sử
dụng băng thông tương ứng. Từ đó, người quản trị mạng sẽ đưa ra được các giải pháp tương ứng.
Các lệnh cấu hình Netflow trên Router R2 như sau:
R2#configure terminal
Hình 21. Kết quả khi cấu thành netflow trên Router R2
Để phần mềm netflow analyzer thống kê được những traffic nào ra và vào mạng, cần tạo một lưu lượng
mạng để kiểm tra. Từ máy tính Window XP "ping 20.0.0.10 -t" để tạo lưu lượng ICMP.
I. MỤC TIÊU
+ Cấu hình SNMP version 1 và sử dụng giao thức này trong quản trị mạng.
Hình 26 là mô hình giả lập của một công ty có 2 chi nhánh. R1 và R2 là 2 router biên của 2 chi nhánh.
Chi nhánh bên router R2 có triển khai hệ thống server. Máy tính Window XP cài đặt phần mềm
Solarwind quản trị router R1 và máy tính Window server 2003 thông qua giao thức SNMP version 1.
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
Router R1 Interface fastEthernet 1/0 Interface serial 0/0
10.0.0.1/8 192.168.12.1/24
Router R2 Interface fastEthernet 1/0 Interface serial 0/0
20.0.0.1/8 192.168.12.2/24
Máy tính XP IP: 10.0.0.10/8
SM: 255.0.0.0
DG: 10.0.0.1
Máy tính Window server 2003 IP: 20.0.0.10/8
SM: 255.0.0.0
DG: 20.0.0.1
- Công cụ thực hiện:
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/390
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
+ Sử dụng phần mềm Vmware 10.0.4 để giả lập 2 máy tính: máy tính Window XP và máy tính Window
server 2003.
+ Sử dụng phần mềm GNS3 0.8.6 để giả lập 2 router R1 và R2.
+ Phần mềm Solarwinds để quản trị.
+ Phần mềm wireshark để bắt các gói tin.
+ Cài đặt SNMP version 1 trên máy tính Window server 2003.
2. Các bước thực hiện:
Bước 1: Cài đặt 2 phần mềm GNS3 và Vmware. (Xem bài thực hành số 1).
Bước 2: sử dụng 2 phần mềm GNS3 và Vmware để giả lập mô hình mạng như trong Hình 26. (Xem
bài thực hành số 1).
Bước 3: cài đặt phần mềm Solarwinds trên máy tính Window XP. (Xem bài thực hành số 2). Máy tính
Window XP trở thành SNMP Server.
Bước 4: Cài đặt phần mềm wireshark trên máy tính Window XP.
Bước 5: cấu hình địa chỉ IP của máy tính Window XP và máy tinh Window server 2003. (Xem bài thực
hành số 1).
Bước 6: cấu hình địa chỉ IP và cấu hình định tuyến trên router R1 và router R2. (Xem bài thực hành số
1).
Bước 7: sử dụng lệnh ping để kiểm tra. Đảm bảo mạng hội tụ. (Xem bài thực hành số 1).
Bước 8: cấu hình SNMP version 1 trên Router R1
Sử dụng các lệnh cấu hình sau đây:
R1(config)#snmp-server community abc rw
R1(config)#snmp-server community xyz ro
Sau khi thực hiện 2 câu lệnh trên thì Router R1 trở thành SNMP Agent. Trong 2 câu lệnh này thì chuỗi
community "abc" và "xyz" như là password được trao đổi giữa SNMP Server và SNMP Agent.
Bước 9: cấu hình SNMP version 1 trên máy tính Window server 2003.
Bước 9.1: Cài đặt SNMP trên máy tính Window server 2003.
Từ menu start, chọn Settings, chọn Control Pannel, chọn Add or Remove Programs, chọn Add/remove
Windows Components. Xuất hiện giao diện như Hình 27.
Hình 27. Bước đầu cài đặt SNMP trên Window server 2003
Từ giao diện như Hình 27, tìm đến phần Management and Monitoring Tools, nhấp Detail, chọn Simple
network Management Protocol, nhấp OK để tiến hành cài đặt như thể hiện trong Hình 28. Nhấp finish
khi quá trình cài đặt đã thực hiện xong.
Quá trình cấu hình ở đây chính là sự đặt giá trị cho chuỗi community. Từ menu start, chọn Programs,
chọn Administrative Tools, chọn Services, kéo xuống đến phần SNMP service. Chuột phải lên SNMP
service, chọn Properties như Hình 29. Xuất hiện giao diện như Hình 30.
Hình 31. Cấu hình chuỗi community trên Window server 2003
Bước 10: kiểm tra kết quả cấu hình.
Bật phần mềm Solarwinds Wireshark trên máy tính Window XP để tiến hành kiểm tra.
Bước 10.1: dùng SNMP version 1 quản trị Router R2.
Sử dụng công cụ CPU Gauge trong Solarwinds. Công cụ này để đo hiệu suất của CPU. Tiến hành mở
công cụ này thì được giao diện như Hình 31.
Hình 33. Kết quả của công cụ CPU Gauge khi đo CPU của Router R1
Vậy với SNMP thì nhà quản trị mạng có thể quan sát được hoạt động của hệ thống mạng của mình đang
quản lý. Nhưng SNMP version 1 ở đây là không được bảo mật. Sử dụng phần mềm wireshark để bắt
các gói tin SNMP trong trường hợp này thì đã có thể thấy được các chuỗi Community. Những ai có
được chuỗi này thì đã có thể quản lý được cả các thiết bị trong mô hình mạng. Bật phần mềm wireshark
đã được khởi động từ trước trên máy tính Window XP và Hình 34 và Hình 35 là để chứng minh cho
điều này.
Hình 36. Wireshark cho SNMP trên máy tính Window server 2003
I. MỤC TIÊU
- Cấu hình SNMP version 3 và sử dụng giao thức này trong quản trị mạng.
Hình 38 là mô hình giả lập của một công ty có 2 chi nhánh. R1 và R2 là 2 router biên của 2 chi nhánh.
Chi nhánh bên router R2 có triển khai hệ thống server. Máy tính Window XP cài đặt phần mềm
Solarwind quản trị router R1 thông qua giao thức SNMP version 3.
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
Router R1 Interface fastEthernet 1/0 Interface serial 0/0
10.0.0.1/8 192.168.12.1/24
Router R2 Interface fastEthernet 1/0 Interface serial 0/0
20.0.0.2/8 192.168.12.2/24
Máy tính XP IP: 10.0.0.10/8
SM: 255.0.0.0
DG: 10.0.0.1
Máy tính Window server 2003 IP: 20.0.0.10/8
SM: 255.0.0.0
DG: 20.0.0.1
Username: ngocdai
MD5: pass là 123456789
DES-56bit: pass là 123456789
Sau cùng nhấp ok.
Hình 42. Thông báo khi đã nhập đúng thông số của Bandwidth Gauge
BÀI 22. QUẢN TRỊ CHẤT LƯỢNG DỊCH VỤ MẠNG BẰNG MÔ HÌNH INTSERV
I. MỤC TIÊU
+ Sử dụng mô hình Intserv để đảm bảo chất lượng dịch vụ trong mạng.
Mô hình trong Hình 47 gồm 3 Router R1, R2, R3 và 2 máy tính A, B. Giao thức RSVP được cấu hình
trên cả 3 Router để dành các tài nguyên mạng cho lưu lượng được thực hiện giữa 2 máy tính.
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
Router R1 Interface fastEthernet 1/0 Interface serial 0/0
172.32.0.1/16 50.0.0.1/8
Router R2 Interface serial 0/0 Interface serial 0/1
50.0.0.2/8 70.0.0.1/8
Router R3 Interface fastEthernet 1/0 Interface serial 0/0
192.168.1.1/24 70.0.0.2/8
Máy tính A IP: 172.32.0.2/16
SM: 255.255.0.0
DG: 172.32.0.1
Máy tính B IP: 192.168.1.2/24
SM: 255.255.255.0
DG: 192.168.1.1
Bước 8: xem kết quả wireshark như trong Hình 50 và Hình 51. Chú ý về Source và Destination của gói
tin.
BÀI 23. QUẢN TRỊ CHẤT LƯỢNG DỊCH VỤ MẠNG BẰNG MÔ HÌNH DIFFSERV
I. MỤC TIÊU
- Sử dụng mô hình Diffserv để đảm bảo chất lượng dịch vụ trong mạng.
- Tìm hiểu giá trị DSCP trong đánh dấu độ ưu tiên của gói tin.
Mô hình trong Hình 52 gồm 3 Router R1, R2, R3 và 2 máy tính A, B. trên máy tính B dựng một HHTP
server. Máy tính A thực hiện ping và truy cập Web vào máy tính B. Do đó, trong mô hình mạng sẽ có
2 traffic là ICMP và HTTP. Diffserv được sử dụng vào mô hình này để ưu tiên cho traffic HHTP hơn
là traffic ICMP.
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
Router R1 Interface fastEthernet 1/0 Interface serial 0/0
20.0.0.1/8 100.0.0.1/8
Router R2 Interface serial 0/0 Interface serial 0/1
100.0.0.2/8 200.0.0.1/24
Router R3 Interface fastEthernet 1/0 Interface serial 0/0
200.0.0.2/24 10.0.0.1/8
Máy tính A IP: 20.0.0.2/8
SM: 255.255.0.0
DG: 20.0.0.1
Máy tính B IP: 10.0.0.2/8
SM: 255.255.255.0
DG: 10.0.0.1
2. Công cụ thực hiện:
+ Sử dụng phần mềm Vmware 10.0.4 để giả lập 2 máy tính: máy tính A (sử dụng hệ điều hành Window
bất kỳ) và máy tính B (sử dụng hệ điều hành Window server 2003).
+ Sử dụng phần mềm GNS3 0.8.6 để giả lập 2 router R1 và R2.
+ Phần mềm wireshark để bắt các gói tin.
3. Các bước thực hiện:
Bước 1: cài đặt 2 phần mềm GNS3 và Vmware. (Xem bài thực hành số 1).
Bước 2: sử dụng 2 phần mềm GNS3 và Vmware để giả lập mô hình mạng như trong Hình 52. (Xem
bài thực hành số 1).
Bước 3: cài đặt phần mềm wireshark trên thật (máy tính đang sử dụng để cài đặt các phần mềm GNS3
và Vmware).
Bước 4: cấu hình địa chỉ IP của máy tính A và máy tính B. (Xem bài thực hành số 1).
Bước 5: cấu hình địa chỉ IP và cấu hình định tuyến trên router R1 và router R2. Sinh viên ôn lại cách
cấu hình địa chỉ IP như bài thực hành số 1.
Các lệnh cấu hình định tuyến OSPF trên các Router R1, R2 và R3 như sau:
R1(config)#router ospf 1
R1(config-router)#network 20.0.0.0 0.255.255.255 area 0
R1(config-router)#network 100.0.0.0 0.255.255.255 area 0
R2(config)#router ospf 1
R2(config-router)#network 100.0.0.0 0.255.255.255 area 0
R2(config-router)#network 200.0.0.0 0.0.0.255 area 0
R3(config)#router ospf 1
R3(config-router)#network 200.0.0.0 0.0.0.255 area 0
R3(config-router)# network 10.0.0.0 0.255.255.255 area 0
Thực hiện các lệnh "show ip interface brief" và "show ip route" để kiểm tra trạng thái các cổng và bảng
định tuyến của các Router. Đảm bảo các cổng đạt được trạng thái up/up và bảng định tuyến học được
đầy đủ các lớp mạng trong mô hình.
Thực hiện kiểm tra ping từ máy tính A sang máy tính B. Đảm bảo 2 máy tính phải liên lạc được với
nhau thành công.
Bước 5: cài đặt IIS và cấu hình Web server trên máy tính B (Xem lại môn mạng máy tính).
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/409
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Kiểm tra đảm bảo từ máy tính A truy cập Web thành công sang máy tính B.
Bước 6: cấu hình ưu tiên lưu lượng HHTP hơn so với ICMP bằng Diffserv
Bước 6.1: phân lớp lưu lượng bằng Access Control Lists. Điều này giúp phân rõ 2 lưu lượng ICMP và
HHTP.
R1(config)#class-map HTTP
R1(config-cmap)#match access-group 100
* Dành cho ICMP:
R1(config)#class-map ICMP
R1(config-cmap)#match access-group 101
Bước 6.3: tạo chính sách lưu lượng Class-based Marking với tên baithuchanh6
R1(config)#policy-map baithuchanh6
R1(config-pmap)#class HTTP
R1(config-pmap-c)#set dscp af31
R1(config-pmap-c)#exit
R1(config-pmap)#class ICMP
R1(config-pmap-c)#set dscp af21
Trong Bước 6.3, HTTP được đánh dấu ưu tiên là af31, còn ICMP được đánh dấu là af21. Giá trị af31
là ưu tiên hơn so với af21 (xem lại phần lý thuyết 5.3.2).
Bước 6.4: chỉ định Class-based Marking trên interface f1/0 teo chiều vào Fa2/0 của R1
R2(config)#class-map HTTP
R2(config-cmap)#match ip dscp af31
R2(config-cmap)#exit
R2(config)#class-map ICMP
R2(config-cmap)#match ip dscp af21
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/410
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Bước 6.6: chỉ định chính sách băng thông theo ý của người quản trị sao cho HTTP được ưu tiên hơn so
với ICMP. Chính sách được đặt tên là chinhsach.
R2(config)#policy-map chinhsach
R2(config-pmap)#class HTTP
R2(config-pmap-c)#priority percent 50
R2(config-pmap-c)#exit
R2(config-pmap)# class ICMP
R2(config-pmap-c)#priority percent 10
Bước 6.7: chỉ định chính sách trên interface serial 0/1 của R2
Hình 53. Gói tin bình thường không có đánh dấu ưu tiên
Hình 54. Gói tin HTTP được đánh dấu ưu tiên với giá trị là af31
Sinh viên tự kiểm tra gói tin ICMP bằng cách tương tự.
Bước 8: chứng minh lưu lượng HHTP được ưu tiên hơn so với lưu lượng ICMP
Phần này, sinh viên tự thực hiện và báo kết quả về cho giảng viên dạy thực hành.
Gợi ý: sử dụng phần mềm netflow analyzer. Phần mềm này giúp thống kê các lưu lượng vào và ra mạng.
Bước 8.1: cài đặt netflow analyzer trên máy tính A (Xem bài thực hành số 2).
Bước 8.2: cấu hình netflow trên Router R2 (Xem bài thực hành số 2).
Bước 8.3: phân tích bằng phần mềm netflow analyzer.
BÀI 24. CẤU HÌNH ACCESS CONTROL LIST TRÊN ROUTER CISCO
I. MỤC TIÊU
+ Tìm hiểu cách cấu hình Access Control List (ACL) trên Router Cisco.
+ Ứng dụng ACL để lọc các lưu lượng trong vấn đề quản trị mạng.
Hình 55 là mô hình giả lập của một công ty có 2 chi nhánh. R1 và R2 là 2 router biên của 2 chi nhánh.
Chi nhánh bên router R2 có triển khai hệ thống server gồm HHTP và FTP. Máy tính Window XP thực
hiện truy cập HTTP và FTP vào máy tính Window server 2003. ACL được cấu hình trên Router R1 và
R2 để hạn chế việc truy cập. Nguyên tắc hoạt động của ACL giống như hoạt động của các dạng firewall
(ISA, TMG, ASA...), sử dụng trong cấu hình NAT, VPN, lọc lưu lượng trong quản trị chất lượng mạng...
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
Router R1 Interface fastEthernet 1/0 Interface serial 0/0
10.0.0.1/8 192.168.12.1/24
Router R2 Interface fastEthernet 1/0 Interface serial 0/0
20.0.0.2/8 192.168.12.2/24
Máy tính XP IP: 10.0.0.10/8
SM: 255.0.0.0
DG: 10.0.0.1
Máy tính Window server 2003 IP: 20.0.0.10/8
SM: 255.0.0.0
DG: 20.0.0.1
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/412
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Giữ nguyên cấu hình ở câu 1 và thử truy cập đến HTTP và FTP từ máy tính Window XP. Kết quả truy
cập vẫn là không thành công như thể hiện trong Hình 62 và Hình 63.
Điều này thực hiện được là do extended ACL thực hiện lọc được trên các thông số: IP nguồn, IP đích,
cổng và giao thức.
Câu 3. sử dụng Extended ACL. Sinh viên tự thực hiện câu này.
Bước 8: Sinh viên thực hiện thêm yêu cầu, cấm 10.0.0.10 telnet đến Router R2 nhưng vẫn SSH bình
thường.
Gợi ý: Telnet sử dụng port 23, SSH sử dụng port 22.
BÀI 25. CẤU HÌNH THIẾT BỊ JUNIPER VÀ DÙNG SNMP ĐỂ QUẢN TRỊ
I. MỤC TIÊU
Trong mô hình Hình 67, các Router JUNOS 1, JUNOS 2 và JUNOS 3 là các thiết bị của Juniper. Trên
thị trường các thiết bị mạng thì thiết bị Cisco được xem là hoạt độmg tốt như chi phí là tương đối cao.
Do đó, các công ty có thể sử dụng sang thiết bị của các hãng khác. Juniper có thể được xem là thiết bị
nhiều thứ 2 được sử dụng. Do đó, bài thực hành này sẽ cho các bạn sinh viên một cách cấu hình mới.
Tuy nhiên, việc quản trị các thiết bị này cũng chung một nguyên lý. Đó là sử dụng giao thức SNMP.
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
JUNOS 1 Interface em0
192.168.12.1/24
JUNOS 2 Interface em0 Interface em1
192.168.12.1/24 192.168.23.2/24
JUNOS 3 Interface em0
192.168.23.3/24
2. Công cụ thực hiện:
+ Sử dụng phần mềm GNS3 0.8.6 để giả lập 2 router R1 và R2.
+ Sử dụng hệ điều hành "Olive.img" được cung cấp bời giảng viên dạy thực hành.
3. Các bước thực hiện:
Bước 1: cài đặt phần mềm GNS3 (Xem bài thực hành số 1).
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/420
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Bước 2: sử dụng phần mềm GNS3 để giả lập mô hình mạng như trong Hình 67.
Tại màn hình chính của phần mềm GNS3 (Hình 2 thuộc bài thực hành số 1), chọn menu edit, chọn
Preferences...sẽ xuất hiện giao diện như Hình 68.
root# commit
+ Trên JUNOS 2:
root# set interfaces em0 unit 0 family inet address 192.168.12.2/24
root# set interfaces em1 unit 0 family inet address 192.168.23.2/24
root# commit
+ Trên JUNOS 3:
root# set interfaces em0 unit 0 family inet address 192.168.23.3/24
root# commit
Thực hiện lệnh "show interface" để kiểm tra cấu hình IP các cổng của 3 Router.
+ Trên JUNOS 1:
root#set protocols ospf area 0.0.0.0 interface em0
root# commit
+ Trên JUNOS 2:
root#set protocols ospf area 0.0.0.0 interface em0
root#set protocols ospf area 0.0.0.0 interface em1
root#commit
+ Trên JUNOS 3:
root#set protocols ospf area 0.0.0.0 interface em0
root#commit
Sinh viên tự kiểm tra ping từ JUNOS 1 sang JUNOS 3 thành công.
Bước 7: cấu hình SNMP để quản trị các thiết bị Juniper.
SNMP version 1 và SNMP version 2 hoạt động dựa trên các chuỗi community. Do đó, cấu hình SNMP
để quản trị thiết bị Juniper cũng tương tự như Cisco. Các lệnh cấu hình như sau (đánh lệnh trên thiết bị
nào thì thiết bị đó sẽ trở thành SNMP Agent):
root# set snmp community ngocdai authorization read-only
root# set snmp community ngocdai authorization read-write
root# commit
Tương tự như các bài thực hành ở trên, sinh viên tự kiểm tra việc quản lý các thiết bị bằng SNMP.
Bước 7: sinh viên lập ra bảng so sánh sự giống nhau và khác nhau trong các câu lệnh cấu hình giữa
Juniper và Cisco.
BÀI 26. CẤU HÌNH THIẾT BỊ VYATTA VÀ DÙNG SNMP ĐỂ QUẢN TRỊ
I. MỤC TIÊU
Trên thị trường các thiết bị mạng thì thiết bị Cisco được xem là hoạt độmg tốt như chi phí là tương đối
cao. Juniper có thể được xem là thiết bị nhiều thứ 2 được sử dụng. Tuy nhiên có những dạng "router
mềm" miễn phí chạy trên phần cứng của một máy tính. Hình 78, các Router Vyatta 1 và Vyatta 2 là các
"router mềm" được giả lập bằng phần mềm Vmware.
Hình 78 là mô hình giả lập của một công ty có 2 chi nhánh. R1 và R2 là 2 router biên của 2 chi nhánh.
Chi nhánh bên router R2 có triển khai hệ thống server. Cấu hình định tuyến bằng Vyatta đảm bảo mạng
hội tụ. Bên cạnh đó là cấu hình SNMP để quản trị các thiết bị này.
Địa chỉ IP được quy định như trong Bảng sau đây:
Thiết bị Địa chỉ IP
Vyatta1 Interface nối xuống máy tính A Interface nối với Vyatta2
10.0.0.1/8 192.168.12.1/24
Vyatta2 Interface nối xuống máy tính B nterface nối với Vyatta1
20.0.0.2/8 192.168.12.2/24
Máy tính A IP: 10.0.0.10/8
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/427
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
SM: 255.0.0.0
DG: 10.0.0.1
Máy tính B IP: 20.0.0.10/8
SM: 255.0.0.0
DG: 20.0.0.1
2. Công cụ thực hiện:
+ Sử dụng phần mềm Vmware 10.0.4 để tạo ra Vyatta1 và Vyatta2.
+ Sử dụng hệ điều hành "vyatta-livecd_VC6.5R1_i386.iso" được cung cấp bời giảng viên dạy thực
hành.
3. Các bước thực hiện:
Bước 1: cài đặt phần mềm Vmware (Xem bài thực hành số 1).
Bước 2: sử dụng phần mềm Vmware để giả lập mô hình mạng như trong Hình 78.
Bước 2.1: Tạo máy ảo Vyatta
Từ giao diện chính của phần mềm Vmware ở Hình 3 (bài thực hành số 1), tab Home, chọn Create a
New Virtual Machine, lúc này sẻ xuất hiện giao diện như Hình 79.
Chọn Custom và sau đó chọn next 2 lần từ Hình 79, được giao diện như Hình 80.
Bước 3.3: kiểm tra các địa chỉ kết nối trực tiếp là ping thành công.
Sinh viên tự kiểm tra ở bước này.
Bước 4: Cấu hình định tuyến OSPF.
Để máy tính A và máy tính B liên lạc được với nhau thành công, cần cấu hình định tuyến trên vyatta1
và vyatta2.
Thực hiện các lệnh như sau:
+ Trên Vyatta1:
vyatta@vyatta#set protocol ospf area 0 network 10.0.0.0/8
vyatta@vyatta#set protocol ospf area 0 network 192.168.12.0/24
vyatta@vyatta#commit
+ Trên Vyatta2:
vyatta@vyatta#set protocol ospf area 0 network 20.0.0.0/8
vyatta@vyatta#set protocol ospf area 0 network 192.168.12.0/24
vyatta@vyatta#commit
Thực hiện lệnh vyatta@vyatta:~$show ip route để kiểm tra bảng định tuyến.
Bước 5: kiểm tra 2 máy tính A và B đã liên lạc với nhau thành công.
Sinh viên tự kiểm tra ở bước này.
Bước 5: cấu hình snmp trên cả 2 vyatta để quản trị.
vyatta@vyatta#set service snmp community ngocdai authorization ro
vyatta@vyatta#set service snmp community ngocdai authorization rw
vyatta@vyatta#commit
Sinh viên tự sử dụng các phần mềm quản trị trong các bài thực hành trước để quản lý 2 thiết bị vyatta
này.
Do đó, chỉ cần thiết bị có hỗ trợ SNMP là người quả trị luôn có thể quản lý được chúng.
I. MỤC TIÊU:
Hình 27.3. Thêm port ether1 làm port trunk vào bridge-vlan
- Bước 3: Vào Interfaces >> VLAN, tạo ra các VLAN và gán các VLAN này vào Interface
bridge-vlan đã tạo ở bước 1.
o Name: nhập tên đại diện vlan
o VLAN ID: nhập số ID của vlan
o Interface: bridge-vlan
- Bước 5: Vào IP >> DHCP Server, bấm vào nút DHCP Setup, lần lượt tạo DHCP Server cấp
địa chỉ IP cho các vlan.
Hình 27.7. Tạo DHCP Server cấp địa chỉ IP cho các vlan
2.2. Thực hiện trên Switch:
- Bước 1: Vào Bridge, tạo bridge-sw.
- Bước 2: Bấm kép vào bridge-sw vừa tạo, vào tab VLAN, check vào ô “VLAN Filtering”. Các
mục còn lại để mặc định.
- Bước 4: Vẫn trong tab Ports, gán vlan vào port bằng cách bấm kép vào từng port. Đối với port
ether 1 là port trunk, tại tab VLAN của port này, ta để mặc định và không chỉnh sửa.
Hình 27.11. Port trunk ether1, trong tab VLAN để mặc định.
- Bước 5: Vẫn trong tab Ports, tiếp tục bấm kép vào các port còn lại, vào tab VLAN của port đó:
o Mục PVID: gán vlan tương ứng.
o Mục Frame Types: chọn admit only untagged and priority tagged.
o Check vào ô Ingress Filtering
Hình 27.12. Cấu hình cho port access (port giải mã vlan)
- Bước 6: Trong cửa sổ Bridge, vào tab VLANs,
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/441
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
o Bridge: bridge-sw
o VLAN IDs: nhập vào ID của vlan
o Tagged: port làm port trunk
o Untagged: port giải mã vlan
Hình 27.13. Cấu hình cho vlan đi qua port trunk và port access
Tiếp tục thực hiện với các vlan còn lại. Sau khi làm xong ta có bảng VLANs như sau:
BÀI 28. CẤU HÌNH THIẾT BỊ MIKROTIK SỬ DỤNG GIAO THỨC LACP
I. MỤC TIÊU
- Tìm hiểu cách cấu hình giao thức LACP (Link Aggregation Control Protocol) trên thiết bị
Mikrotik
1. Mô hình mạng:
Hình 28.1. Mô hình mạng kết hợp bonding và vlan trunking trên mikrotik
2. Các bước thực hiện:
2.1. Thực hiện trên Router
- Bước 1: Vào Interfaces >> Bonding, tạo bonding-router, thêm port ether1 và ether 2 vào
bonding-router.
o Slaves: ether1 và ether 2
o Mode: 802.3ad
o Transmit Hash Policy: layer 2 and 3
- Bước 2: Trong cửa sổ Bridge, tạo bridge-vlan. Vào tab Ports, thêm port bonding-router làm
port trunk vào bridge-vlan.
Hình 28.4. Thêm port bonding-trunk làm port trunk vào bridge-vlan
- Bước 3: Vào Interfaces >> VLAN, tạo ra các VLAN và gán các VLAN này vào Interface
bridge-vlan đã tạo ở bước 1.
o Name: nhập tên đại diện vlan
o MTU: 1496 (đối với GNS3)
o VLAN ID: nhập số ID của vlan
o Interface: bridge-vlan
Hình 28.6. Tạo địa chỉ ip của vlan và gán vào interface vlan tương ứng.
- Bước 5: Vào IP >> DHCP Server, bấm vào nút DHCP Setup, lần lượt tạo DHCP Server cấp
địa chỉ IP cho các vlan.
Hình 28.7. Tạo DHCP Server cấp địa chỉ IP cho các vlan
2.2. Thực hiện trên Switch:
- Bước 1: tạo bonding: tương tự như trên router, tạo bonding-sw chứa port ether1 và ether2.
- Bước 2: Bấm kép vào bridge-sw vừa tạo, vào tab VLAN, check vào ô “VLAN Filtering”. Các
mục còn lại để mặc định.
- Bước 3: Trong cửa sổ Bridge, vào tab Ports, thêm vào các port có liên quan đến VLAN, kể cả
port bonding-sw là port trunk
Hình 28.11. Thêm các port có liên quan đến vlan vào bridge-sw
- Bước 4: Vẫn trong tab Ports, gán vlan vào port bằng cách bấm kép vào từng port. Đối với port
bonding-sw là port trunk, tại tab VLAN của port này, ta để mặc định và không chỉnh sửa.
Hình 28.12. Port trunk ether1, trong tab VLAN để mặc định.
- Bước 5: Vẫn trong tab Ports, tiếp tục bấm kép vào các port còn lại, vào tab VLAN của port đó:
o Mục PVID: gán vlan tương ứng.
o Mục Frame Types: admit all.
KHOA CNTT – UPT LƯU HÀNH NỘI BỘ lthanh@upt.edu.vn/450
fit.upt.edu.vn Bài tập thực hành Quản trị mạng
Hình 28.13. Cấu hình cho port access (port giải mã vlan)
- Bước 6: Sau cùng ta có bảng VLANs như sau: