TH CNM - New 2022

Biên soạn: TS.
Nguyễn Việt Hà THỰC HÀNH CÔNG NGHỆ MẠNG (phiên bản 2022)
MỤC LỤC
Trang
Bài 01: Domain Controller ....................................................................................................... 02
Bài 02: Tài khoản domain và forest domain............................................................................. 05
Bài 03: Quản lý chia sẻ dữ liệu ................................................................................................. 10
Bài 04: Quản lý tài khoản người dùng và nhóm - Chính sách hệ thống, chính sách nhóm ..... 15
Bài 05: Bảo mật dữ liệu ............................................................................................................ 19
Bài 06: Quản lý lưu trữ ............................................................................................................. 23
Bài 07: Dịch vụ DNS ................................................................................................................ 26
Bài 08: Mạng riêng ảo .............................................................................................................. 30
Bài 09: Bài tổng hợp ................................................................................................................. 34
Hướng dẫn 1: Mô hình kết nối máy ảo .................................................................................... 36
Bộ môn: Viễn thông và Mạng, Khoa Điện tử - Viễn thông, ĐH KHTN, ĐHQG-HCM 1
Biên soạn: TS. Nguyễn Việt Hà THỰC HÀNH CÔNG NGHỆ MẠNG (phiên bản 2022)
Bài 01:
DOMAIN CONTROLLER
Bài thực hành sử dụng 2 máy ảo kết nối với nhau thông qua card mạng ảo (sử dụng card NET1;
tắt card NET2), máy PC1 sẽ đóng vai trò là máy Domain Controller (Server), máy PC2 sẽ đóng
vai trò là máy trạm (Client) như Hình 1.1.
Hình 1.1. mô hình thực hành.
Lưu ý:
 Tại PC1, sử dụng bản snapshots: initial.
 Tại PC2, sử dụng bản snapshots: initial.
1. Cấu hình máy Server (PC1) thành DC với tên domain là domain1.local.
Hướng dẫn:
Bước 1: Chỉnh Preferred DNS Server về địa chỉ của máy Server (192.168.1.1).
- Settings  Network & Internet  Change adapter options
- Chọn NET1  Properties  Chọn Internet Protocol Version 4 (TCP/IPv4)  Properties.
Bước 2: Cài đặt Active Directory Domain Services
 Mở Server Manager: Start  Server Manager.
 Chọn Manage  Add Roles and Features
o Before You Begin  Next
o Installation Type  Role-based or feature-based installation  Next
o Server Selection  PC1  Next
o Server Roles  Chọn Active Directory Domain Services  Add Features  Next
o Features  Next
o AD CS  Next
o Confirmation  Install  Close
Bước 3: Cấu hình máy PC1 thành Domain Controller
 Chọn hình lá cờ (đang có ghi chú chấm than)  Promote thí server to a domain controller.
o Deployment Configuration  Add a new forest  Root domain name:
“domain1.local”  Next
o Domain Controller Options  Sử dụng mặc định
o Type the Directory Services Restore Mode (DSRM) password (mật khẩu ở chế độ
khôi phục): tùy ý
o DNS Options  Next
o Additional Option  DOMAIN1  Next
o Paths  Sử dụng mặc định  Next
o Review Options  Next
o Prerequisties Check  Install
o Install  Máy tính sẽ tự khởi động lại.
2. Máy Client (hay còn gọi là máy workstation) tiến hành gia nhập (join) vào miền
domain1.local.
Hướng dẫn:
Bước 1: Chỉnh Preferred DNS Server về địa chỉ của máy Server (192.168.1.1).
Bước 2: Chuyển từ thành viên của Workgroup thành thành viên của domain domain1.local
 System Properties (phải chuột My This PC chọn Properties)  Change settings 
Computer Name  Change…
o More…  Primary DNS suffix of this computer  domain1.local  OK
o Domain.  domain1.local  OK
o Xác nhận bằng tài khoản quản trị (administrator/P@ssw0rd).  Khởi động lại máy
tính.
Bước 3: Đăng nhập bằng tài khoản domain:
 Tại giao diện đăng nhập chọn “Other user”.
 Đăng nhập bằng tài khoản quản trị (vì chưa tạo tài khoản người dùng nào khác):
o User name: domain1.local\administrator
o Password: P@ssw0rd
3. Khảo sát chức năng và các thành phần của một số công cụ trong hệ thống Active Directory
tại máy Domain Controller (Server manager  Tools):
o Active Directory Users and Computers.
o Active Directory Domains and Trusts.
o Active Directory Sites and Services.
4. Nâng máy Client thành Additional Domain Controller (ADC) chạy song song với máy DC
(Primary DC - PDC) có sẵn trong domain domain1.local.
Hướng dẫn:
Bước 1: Logon bằng quyền của Domain Admin.
Bước 2: Chỉnh Alternate DNS Server về máy sẽ nâng cấp thành ADC (PC2).
 Start  Control Panel  Network and Internet  Network and Sharing Center  NET1
 Thực hiện giống câu trên.
Bước 3: Cài đặt Active Directory Domain Services
 Thực hiện giống câu 1
Bước 4: Cấu hình máy PC2 thành Additional Domain Controller
 Thực hiện giống câu 1 tuy nhiên tại bước Deployment Configuration chọn “Add a domain
controller to an existing domain”.
Bước 5: Cấu hình để máy PDC đồng bộ thông tin DNS cho máy ADC.
 Trên máy PDC, Server Manager Tools  DNS
 Chọn Properties của DNS/Forward Lookup Zone/<tên miền>).
 Thêm địa chỉ của máy ADC vào Zone Transfer/Only to the following servers.
 Kiểm tra các thông tin cấu hình DNS (trong Server Manager  Tools  DNS) trên máy
ADC phải giống với máy PDC.
Bước 6: Thêm địa chỉ máy ADC vào Alternate DNS (trong phần cấu hình IP), trên tất cả các
máy trong domain.
Bước 7: Kiểm tra Global Catalog:
 Kiểm tra mục Global Catalog (phải được chọn) trong Directory Sites and
Services/Sites/Default-first-site-name/Servers/<tên máy ADC>/NTDS Setting (chọn
properties).
5. Giáng cấp (demote) máy server từ PDC thành Standalone. Sau đó, xem xét sự thay đổi.
Hướng dẫn:
 Gỡ cài đặt Active Directory Domain Services
o Mở Server Manager: Start  Server Manager.
o Chọn Manage  Remove Roles and Features
- Before You Begin  Next
- Server Selection  Chọn máy PC1.domain1.local  Next
- Server Roles  Bỏ chọn Active Directory Domain Services  Remove Features
 Next  Demote this domain controller
- Credentials  Force the remove of this domain controller  Next.
- Warnings  Proceed with removal  Next
- New Administrator Password  Tùy ý
- Review Options  Demote
- Results  Close.
Bài 02:
TÀI KHOẢN DOMAIN VÀ FOREST DOMAIN
Bài thực hành sử dụng 4 máy ảo kết nối với nhau như Hình 2.1 để tạo thành mô hình Forest
domain như Hình 2.2, trong đó:
 PC1 là Domain Controller (DC1) của Forest Root Domain (domain1.local).
 PC2 là máy trạm của domain1.local.
 PC3 là Domain Controller (DC2) của Tree Root Domain (domain2.local).
 PC4 là Domain Controller (DC3) của Child domain (domain3.domain2.local).
Hình 2.1. mô hình kết nối.
Hình 2.2. mô hình luận lý của forest domain1.local.
Lưu ý:
 Từ câu 1 đến câu 4, chỉ sử dụng 2 máy ảo PC1 và PC2.
o Tại PC1, sử dụng bản snapshots: DC-domain1.local with Routing Enabled-RIP.
o Tại PC2, sử dụng bản snapshots: Joined-domain1.local.
 Từ câu 5, sử dụng cả 4 máy ảo.

o Tại PC3, sử dụng bản snapshots: Routing Enabled-RIP.
o Tại PC4, sử dụng bản snapshots: Initial.
1. Tạo tài khoản người dùng U1, U2, U3, U4 và tài khoản nhóm Directors trong domain
domain1.local.
Hướng dẫn:
Bước 1: Tạo tài khoản người dùng:
 Chọn Manage  Tools  Active Directory Users and Computers
o Chọn domain1.local  Chọn phải chuột  New  User
o Ví dụ cho tài khoản u1:
- First name: U1
- User logon name: u1
- Những mục khác để mặt định  Next
- Password: U5er@cc
- Bỏ chọn: User must change password at next logon  Next  Finish
Bước 2: Tạo tài khoản nhóm:
o Chọn domain1.local  Chọn phải chuột  New  Group  Tại câu này, để các tùy
chọn mặc định (Global, Security)  OK
Bước 3: Thêm người dùng U3 và U4 vào nhóm Directors:
o Chọn domain1.local  Chọn Properties nhóm Directors  Members  Add… 
nhập u3  Check Names  nhập u4  Check names  OK
2. Tạo OU (IT1 và RD1) trong domain domain1.local, thêm u1 và IT1 và u2 vào RD1.
Hướng dẫn:
Bước 1: Tạo OU:
o Chọn domain1.local  Chọn phải chuột  New  Organization Unit
o Ví dụ cho OU IT1:
- Name: IT1  OK
Bước 2: Thêm người dùng U1 và U2 vào OU IT1 và RD1:

 Kéo U1 thả vào IT1 (Hoặc chọn Properties U1  Move  IT1)
 Kéo U2 thả vào RD1 (Hoặc chọn Properties U2  Move  RD1)
3. Tạo U101 và nhóm DEVs, thêm U101 vào nhóm DEVs, sau đó vô hiệu (disable) U101, và
cuối cùng xóa tài khoản U101 sử dụng lệnh dsadd, dsmod và dsrm.
Cấu trúc câu lệnh đơn giản:
 Tạo tài khoản người dùng: dsadd user <UserDN> -pwd password
 Tạo tài khoản nhóm: dsadd group <GroupDN>
 Thêm tài khoản người dùng vào tài khoản nhóm: dsmod group <GroupDN> -addmbr
<UserDN>
 Vô hiệu hóa tài khoản người dùng: dsmod user <UserDN> -disabled yes
 Xóa tài khoản người dùng: dsrm -u <UserDN>
Hướng dẫn:
Bước 1: Tạo tài khoản U101:
 cmd  “dsadd user cn=U101,dc=domain1,dc=local -pwd U5er@cc”
Bước 2: Tạo nhóm DEVs: Mở RUN command line  nhập lệnh:
 cmd  “dsadd group cn=DEVs,dc=domain1,dc=local”
Bước 3: Thêm tài khoản U101 vào nhóm DEVs:
 cmd  “dsmod group cn=DEVs,dc=domain1,dc=local -addmbr cn=U101,dc=domain1,
dc=local”
Bước 4: Vô hiệu tài khoản U101:
 cmd  “dsmod user cn=U101,dc=domain1,dc=local -disabled yes”
Bước 5: Xóa tài khoản U101:
 cmd  “dsrm cn=U101,dc=domain1,dc=local”  y
4. Tạo tài khoản U201 đến U210 sử dụng công cụ CSVDE.

Hướng dẫn:
Bước 1: Tạo tập tin theo định dạng csv với nội dung (sử dụng Notepad):
objectClass,dn,sAMAccountName,userPrincipalName,userAccountControl
user,“CN=201,DC=domain1,DC=local”,U201,U201@domain1.local,514
Ghi chú: userAccountControl=514 là vô hiệu hóa tài khoản do CSVDE không thể cấu hình mật
khẩu cho tài khoản.
Bước 2: Thực thi tập tin csv sử dụng câu lệnh CSVDE:
 Mở RUN command line  nhập lệnh: “csvde -i -f userlist.csv”
 Kiểm tra lại trong Active Directory Users and Computers.
o Để thấy các tài khoản bị khóa: View  Advance Features.
5. Cấu hình PC3 thành Tree-root domain domain2.local và PC4 thành Child domain
domain3.domain2.local.
Hướng dẫn:
Bước 1: Cấu hình Default Gateway và DNS:
 Chỉnh Default Gateway trên card mạng NET1 tại PC2 và PC4 về địa chỉ của PC1
(192.168.1.1) và địa chỉ của PC3 (172.16.1.3).
 Chỉnh Preferred DNS Server trên card mạng NET1 tại PC2 và PC4 về địa chỉ của PC1
(192.168.1.1) và địa chỉ của PC3 (172.16.1.3)
 Chỉnh Alternate DNS Server trên card mạng NET1 tại PC2 và PC4 về máy DC của Forest
Root domain (PC1: 10.10.10.1 hoặc 192.168.1.1).
Bước 2: Cấu hình PC3 thành DC của Tree-Root mới domain2.local:

 Thực hiện giống bài 1, câu 1, tuy nhiên:
o Chỉnh Preferred DNS Server về máy Forest root domain (PC1: 10.10.10.1).
o Ở Bước 3 chọn “Add a domain to an existing Forest”  “Tree Domain”.
- Forest domain name: domain1.local
- New domain name: domain2.local
 Đăng nhập bằng tài khoản quản trị của DC giữ vai trò “Domain naming”, mặc định chính
là DC của Forest Root domain (PC1, User name: domain1.local\administrator, Password:
P@ssw0rd)
Bước 3: Cấu hình PC4 thành DC của child domain domain3.domain2.local:

 Cấu hình DNS trên PC1 (ý nghĩa sẽ được học trong bài 6):
o Server Manager  Tools  DNS
o Chọn DNS/Forward Lookup Zone  New Zone…  Next  Secondary zone.
- Zone name: domain2.local
- Master Servers: 10.10.10.3 (địa chỉ của PC3)  Finish
o Chọn properties của DNS/Forward Lookup Zone/domain2.local  Zone Transfer.
- Allow zone transfers: To any server.
 Server Manager  Tools  DNS
 Chọn properties của DNS/Forward Lookup Zone/domain2.local  Zone Transfer.
- Allow zone transfers: To any server.
 Trên PC4, thực hiện giống bài 1, câu 1, tuy nhiên:
 Chỉnh Preferred DNS Server về máy Forest root domain (PC1: 10.10.10.1).
 Ở Bước 3 chọn “Add a domain to an existing Forest”  “Child Domain”.
- Parent domain name: domain2.local
- New domain name: domain3
 Đăng nhập bằng tài khoản quản trị của DC giữ vai trò “Domain naming”, mặc định
chính là DC của Forest Root domain (PC1, User name: domain1.local\administrator,
Password: P@ssw0rd)
6. Thử đăng nhập tài khoản domain3.domain2.local\administrator trên máy PC2 (thuộc
domain1.local)
Hướng dẫn:
o Server Manager  Tools  DNS
o Chọn properties của DNS/Forward Lookup Zone/domain2.local  New Delegation.
o Delegated domain: domain3  Next  Add
o FQDN: PC4
o IP address: 172.16.1.4 (địa chỉ của PC4)
o Next  Finish
 Trên máy PC2, đăng nhập tài khoản:
o domain3.domain2.local\administrator
o Mật khẩu: P@ssw0rd
7. Giả sử domain1.local và domain3.domain2.local thường xuyên thực hiện chứng thực cho
các tài khoản của nhau. Cấu hình Shortcut Trust giữa hai domain này.
Hướng dẫn: (cấu hình trên PC1)
Bước 1: Cấu hình Shortcut Trust trên domain1.local.
 Server Manager  Tools  Active Directory Domain and Trust.
 Chọn properties của domain1.local  Trusts  New Trust…
o Name: domain3.domain2.local
o Direction of Trust: Two-way
o Sites of Trust: This Domain only
o Trust Password: tùy ý.
Bước 2: Cấu hình Shortcut Trust trên domain3.domain2.local.
 Chọn properties của domain3.domain2.local  Trusts  New Trust…
o Name: domain1.local
o Direction of Trust: Two-way
o Sites of Trust: This Domain only
o Trust Password: Giống ở bước trên
Bài 03:
QUẢN LÝ CHIA SẺ DỮ LIỆU
Bài thực hành sử dụng 3 máy ảo kết nối với nhau như Hình 3.1 và tạo thành mô hình luận lý
như Hình 3.2:
 PC1 là máy Domain Controller 1 của domain1.local kết nối với PC2 là máy trạm 1 qua card
mạng NET1
 PC1 kết nối với PC3 là Domain Controller 2 của domain2.local qua card mạng NET2
Hình 3.2. mô hình luận lý của forest domain1.local.
Lưu ý:
 Tại PC1, sử dụng bản snapshots: Forest-Root-DC.
 Tại PC2, sử dụng bản snapshots: Joined-domain1.local.
 Tại PC3, sử dụng bản snapshots: DC-domain2.local-forest:domain1.local.
1. Trên máy PC1 tạo cây thư mục như sau ở gốc phân vùng đĩa C:\:
2. Tạo các khoản người dùng:

 Trên máy DC1 (PC1), tạo các tài khoản người dùng: it1, it2, rd1, rd2, dev1
 Trên máy DC2 (PC3), tạo các tài khoản người dùng: it3, rd3, dev2, dev3
3. Tạo các nhóm để cấu hình quyền truy cập (permission) vào các thư mục chia sẻ đang được
lưu trữ ở DC1 (về cấu hình quyền truy cập sẽ làm ở câu 4).
Lưu ý: Phải chọn đúng phạm vi (scope) phù hợp và nhỏ nhất cho từng nhóm.
 Trên DC1: tạo nhóm ITs (thành viên là it1, it2, it3), RDs (thành viên là rd1, rd2, rd3).
 Trên DC2: tạo nhóm DEVs (thành viên là dev1, dev2, dev3).
4. Trên DC1, chia sẻ các thư mục ở câu 1 với quyền Full Control.
Hướng dẫn:
Bước 1: Chia sẻ thư mục Data:
 Chọn Properties thư mục Data  Advanced Sharing…  chọn Share this folder
Bước 2: Phân quyền chia sẻ thư mục Data:
 Permissions  chọn Everyone  chọn Full Control  OK.
Giải thích: quyền truy cập NTFS thường được dùng để cấp quyền truy cập (NTFS
permission) thư mục và tập tin cho các tài khoản. Do đó, quyền chia sẻ (share permission)
thường được cấu hình Full Control. Tuy nhiên, trong một vài điều kiện khác có thể cần sử
dụng các quyền chia sẻ khác (giả sử phân vùng không hổ trợ NTFS).
5. Phân quyền truy cập (permission) “Read” cho cả 3 nhóm ITs, RDs và DEVs chỉ duy nhất
thư mục DATA:
Hướng dẫn:
Bước 1: Xóa quyền thừa kế:
 Chọn Properties thư mục DATA  Security  Advanced  Disable inheritance  chọn
“Convert inherited permission …” (để giữ lại các đối tượng đã phân quyền mặc định)
Bước 2: Xóa các nhóm không cần thiết:
 Chọn từng đối tượng (trừ đối tượng Administrators)  Remove
Bước 3: Thêm và phân quyền cho 3 nhóm ITs, RDs và DEVs:
 Vẫn trong mục Advanced  Add  Select a pricipal  chọn nhóm  OK  Type:
Allow  Applies to: This folder only  Basic permission: Read  OK
Kiểm tra:
Đăng nhập tài khoản it1@domain1.local trên PC2, truy cập vào máy DC1 (RUN 
\\192.168.1.1). it1@domain1.local chỉ truy cập được vào thư mục DATA mà không được
truy cập vào các thư mục con ở trong.
6. Tương tự câu 5, hãy phân quyền truy cập (permission) theo yêu cầu sau:
 Phân quyền truy cập “Modify” cho cả 3 nhóm ITs, RDs và DEVs trên thư mục Sharing.
 Phân quyền truy cập “Modify” cho nhóm ITs trên thư mục IT.
 Phân quyền truy cập “Modify” cho nhóm RDs trên thư mục RD.
 Phân quyền truy cập “Modify” cho nhóm DEVs trên thư mục DEV.
Kiểm tra:
Đăng nhập tài khoản domain1.local\it1 trên PC2, truy cập vào máy DC1 (RUN 
\\192.168.1.1). domain1.local\it1 chỉ truy cập được vào thư mục Sharing và IT mà không
được truy cập vào các thư mục khác. Bên cạnh đó domain1.local\it1 có thể tạo và xóa tập tin
trong 2 thư mục trên. Tương tự, hãy kiểm tra trên các tài khoản khác.
7. Hãy phân quyền truy cập (permission) để các đối tượng it1, rd1 và dev1 có toàn quyền lần
lượt trong các thư mục IT, RD và DEV. Các đối tượng còn lại chỉ được quyền đọc (Read).
8. Hãy phân quyền truy cập (permission) cho thư mục Sharing để chỉ có dữ liệu do ai tạo ra thì
người đó mới được quyền sửa hay xóa, tất cả những người khác chỉ được quyền đọc.
Hướng dẫn: kết hợp phân quyền cho đối tượng Creator Owner (là đối tượng đại diện cho
tài khoản tạo ra dữ liệu).
9. Trong thư mục IT, xóa đối tượng Administrator ra khỏi danh sách phân quyền NTFS, sau đó
dùng quyền Take Ownership để lấy lại quyền cho Administrator
Hướng dẫn: Advandced  Owner  Change.
10. Cấu hình DFS (Distributed File System) để hiết lập các thư mục chia sẻ được lưu trữ trên
những máy chủ khác nhau thành một hoặc nhiều namespace có cấu trúc luận lý.
Bước 1: Trên PC2, tạo và chia sẻ thư mục C:\DATA2. Cấu hình quyền chia sẻ và quyền truy
cập là Full Control cho nhóm Everyone.
Bước 2: Tại PC1 và PC2, cài đặt DFS Namespace
o Server Selection  PCx  Next
o Server Roles  Mở rộng mục File and Storage services  Mở rộng mục File and
iSCSI Services  DFS Namespace  Add Features  Next
o Features  Next
Bước 3: Tại PC1, cấu hình DFS Namespace
 Chọn Tools  DFS Management  Namespaces  New Namespace…
o Server  Browse…  Chọn PC1  Next
o Name  “DATA_DFS”  OK  Next
o Chọn Domain-based namespace  Next  Create  Close
o Chọn namespace vừa tạo (\\domain.local\DATA_DFS)  New Folder…  Name:
DATA_PC1  Add…  Browse…  Chọn PC1  Shared folders: chọn DATA
 OK  OK
o Làm tượng bước 3 để thêm 1 thư mục “DATA_PC2” và chỉ đường dẫn đến thư mục
DATA2 đang lưu trên PC2.
Kiểm tra:
Trên bất cứ máy tính nào chạy RUN  \\domain1.local\DATA_DFS.
11. Cầu hình đồng bộ thư mục giữa PC1 và PC2.

Bước 1: Tại PC1 và PC2, cài đặt DFS Replication
o Server Selection  PCx  Next
o Server Roles  Mở rộng mục File and Storage services  Mở rộng mục File and
iSCSI Services  DFS Replication  Next
o Features  Next
Bước 2: Tại PC1, cấu hình DFS Replication
 Chọn Tools  DFS Management  Replication  New Replication Group…
o Multipurpose replication group  Next
o Name of replication group: PC1PC2  Next  Add…  Thêm cả hai PC1 và PC2
 Next  Full mesh  Next  Next  Primary member: PC1  Next
o Replicated folders: C:\DFSRoots\DATA_DFS  Next  Edit  Enabled  Chọn
thư mục bất kỳ (hoặc tạo 1 thư mục mới)  Next  Create.
Kiểm tra:
Tại PC1, tạo thư mục hoặc tập tin mới trong C:\DFSRoots\DATA_DFS. Kiểm tra thư mục
C:\DATA2 trên PC2 xem có được đồng bộ hay không.
Bài 04:
QUẢN LÝ TÀI KHOẢN NGƯỜI DÙNG VÀ NHÓM
CHÍNH SÁCH HỆ THỐNG, CHÍNH SÁCH NHÓM
Bài thực hành sử dụng 2 máy ảo kết nối với nhau thông qua card mạng ảo (sử dụng card NET1;
tắt card NET2), máy PC1 sẽ đóng vai trò là máy Domain Controller (Server), máy PC2 sẽ đóng
vai trò là máy trạm (Client) như Hình 4.1.
Lưu ý:
 Tại PC1, sử dụng bản snapshots: DC-domain1.local.
 Tại PC2, sử dụng bản snapshots: Joined-domain1.local.
1. Thiết lập chính sách hệ thống cho miền theo yêu cầu:
a. Tất cả các tài khoản phải có mật khẩu từ 5 kí tự trở lên. Không yêu cầu mật khẩu phức
tạp
b. Tự động khóa tài khoản sau 5 lần đánh sai mật khẩu và khóa trong 10 phút.
Hướng dẫn:
- Mở Server Manager: Start  Server Manager.
- Chọn Manage  Tools  Group Policy Management
- Forest: domain1.local  Domains  domain1.local  Group Policy Objects  Chọn
Edit của Default Controller Policy
- Tìm các chính sách phù hợp trong: Computer Configuration  Policies  Window
Settings  Security Settings  Account Policies.
- cmd  gpupdate /force
2. Quản lý tài khoản người dùng và tài khoản nhóm:

a. Tạo tài khoản người dùng và tài khoản nhóm bảo mật:
- Nhóm: Quantri.
 Tài khoản: qt1, qt2.
- Nhóm: Giangvien.
 Tài khoản: gv1, gv2.
- Nhóm: Maytinh.
 Tài khoản: mt1, mt2, mt3.
- Nhóm: Vienthong.
 Tài khoản: vt1, vt2, vt3.
b. Tất cả các thành viên của các nhóm không phải thay đổi mật khẩu khi đăng nhập vào hệ
thống lần đầu tiên.
c. Người dùng vt2 không được phép đổi mật khẩu từ máy trạm.
d. Nhóm Quantri có toàn quyền quản trị mạng.
3. Tạo các Organizational Unit (OU) tương ứng với các nhóm đã tạo ở câu trên (QT, GV, MT,
VT). Thêm nhóm và người dùng vào các OU tương ứng. Phân quyền quản lý (Delegate) OU
cho người đầu tiên trong nhóm (vd: được tạo tài khoản mới).
Hướng dẫn:
- Trên máy DC, trong Active Directory Users and Computers
- Chọn “Delegate Control…” của OU  Next  Add..  chọn tài khoản  Next  Chọn
các phân quyền phù hợp  Next  Finish
Kiểm tra:
- Login bằng tài khoản domain1.local\administrator trên máy client.
- Cài đặt “Remote Server Administration Tools”
 Server Manager  Manage  Add Roles and Features  Next (4 lần đến phần
Features)  mở “Remote Server Administration Tools”  mở “Role
Addministration Tools”  chọn “AD DS and AD LDS Tools”  Next  Install.
- Login bằng tài khoản qt1 trên máy client, kiểm tra các quyền đã được phân.
4. Dựa trên các tài khoản người dùng và tài khoản nhóm của câu 3, hãy cấp quyền hệ thống
cho người dùng theo các yêu cầu sau:
a. Các thành viên trong nhóm Giangvien có quyền shutdown máy DC từ xa.
Kiểm tra:
- Trên máy Client, kiểm tra bằng câu lệnh “shutdown -i”.
- Trên máy DC, để hủy yêu cầu tắt máy bằng câu lệnh “shutdown -a”.
b. Cho phép tất cả các người dùng có thể đăng nhập trên máy DC ngoại trừ người dùng
mt2.
c. Nhóm Maytinh được quyền thay đổi giờ hệ thống trên máy DC.
d. Người dùng vt1 có quyền sao lưu (backup) và khôi phục (restore) tập tin và thư mục trên
máy DC.
Hướng dẫn chung:
- Tìm các chính sách phù hợp trong: Default Domain Controller Policy  Computer
Configuration  Policies  Window Settings  Security Settings  Local Policies 
User Rights Assignment.
5. Hãy cấu hình các thông số bảo mật theo yêu cầu sau:
a. Thay đổi tên tài khoản Administrator thành Quantrimang.
b. Cho phép người dùng shutdown máy mà không cần đăng nhập vào hệ thống.
c. Không cho phép hiển thị username của người đăng nhập trước.
- Tìm các chính sách phù hợp trong: Default Domain Policy  Computer Configuration
 Policies  Window Settings  Security Settings  Local Policies  Security
Options.
6. Dùng Audit Policy để thực hiện chức năng kiểm toán sau:
a. Theo dõi quá trình logon của các người dùng trong miền.
b. Theo dõi các sự kiện xảy ra đối với các tài khoản người dùng.
c. Theo dõi các sự kiện hệ thống.
d. Dùng tiện ích Event Viewer để xem và quản lí các sự kiện xảy ra ở câu a, b, c.
- Tìm các chính sách phù hợp trong: Default Domain Controller Policy  Computer
Configuration  Policies  Window Settings  Security Settings  Local Policies 
Audit Policy.
7. Áp dụng chính sách nhóm cho nhóm maytinh như sau:

a. Không cho các thành viên chạy Command Prompt.
b. Các thành viên chỉ có thể chạy Notepad và Internet Explorer.
c. Gỡ bỏ nút “Change Password” trong hộp thoại Windows Security (trong Windows bấm
tổ hợp phím Ctrl+Alt+Del).
d. Ẩn biểu tượng “Network” trên Desktop.
e. Không cho phép truy cập công cụ Control Panel.
f. Cấu hình để mt1 không chịu các ảnh hưởng trên.

- Sử dụng Group Policy Management.
- Phải chuột vào OU maytinh chọn “Create a GPO in this domain. And Link it here…”.
- Edit GPO vừa tạo.
 Tìm các chính sách phù hợp trong: User Configuration  Policies  Administration
Templates  System, Desktop, và Control Panel.
- Câu f: Không cho mt1 đọc (read) chính sách này.
 Chọn GPO đã tạo  chọn tab “Delegation”  Advanced…  Add..  mt1  chọn
Deny quyền Read  OK
8. Phân phối phần mềm FireFox cho các tài khoản người dùng trong domain và thêm các mẫu
chính sách dành riêng cho FireFox vào hệ thống để cấu hình chính sách (khảo sát các chính
sách có thể cấu hình).
Hướng dẫn:
- Chép tập tin cài đặt FireFox Setup…msi vào C:\SoftwareSharing
- Chia sẻ, phân quyền chia sẻ là Read/Write và phân quyền truy cập là Read cho nhóm
Everyone.
- Group Policy Management Editor  Default Controller Policy  User Configuration 
Policies  Software Settings  Software installation  Phải chuột chọn New 
Package…  Chọn đường dẫn \\192.168.1.1\ SoftwareSharing\ FireFox Setup…msi 
Advanced  Deployment  Deployment options  chọn “Uninstall this application
when it falls out the scope of management” và “Install this application at logon” … 
OK.
- cmd  gpupdate /force
- Chép các mẫu chính sách:
 Chép firefox.admx vào C:\Windows\PolicyDefinitions
 Chéc firefox adml vào C:\Windows\PolicyDefinitions\en-US
Kiểm tra:
- Logout và login lại trên máy PC2
Bài 05
BẢO MẬT DỮ LIỆU
Bài thực hành sử dụng 3 máy ảo kết nối với nhau như Hình 5.1:
 PC1 là máy Domain Controller 1 của domain1.local.
 PC3 là thiết bị trung gian (VD: thiết bị định tuyến) đóng vai trò là máy theo dõi dữ liệu.
 PC4 là máy khách tham gia vào domain1.local.
Lưu ý:
 Tại PC1, sử dụng bản snapshots: DC-domain1.local.
o Tắt card mạng NET1, mở card mạng NET2.
o Cấu hình NET2: Default Gateway: 10.10.10.3, Preferred DNS: 10.10.10.1.
 Tại PC3, sử dụng bản snapshots: Routing Enabled-RIP.
 Tại PC4, sử dụng bản snapshots: Initial.
o Cấu hình NET1: Default Gateway: 172.16.1.3, Prefer DNS: 10.10.10.1
Phần 1: bảo mật dữ liệu web:
1. Cấu hình PC1 thành máy chủ Web và tạo một trang chủ đơn giản:
Hướng dẫn:
- Cài đặt: Từ Server Manager  Thêm vai trò (role): Web Server (IIS).
- Tạo trang web: Từ Server Manager  Mở công cụ (tool): Internet Information Services
(IIS) Manager  PC1 (DOMAIN1\Administrator)  Sites  Default Web Site 
Action: Explore  Tạo tập tin “default.htm” với nội dung:
<HTML>
<HEAD>
<TITLE>THUC HANH CONG NGHE MANG</TITLE>
</HEAD>
<BODY>
<U><I>MAY PC 1</I></u>
<H3>CHAO MUNG CAC BAN</H3>
</BODY>
</HTML>
2. Cài đặt Wireshark để bắt gói tin trên máy trung gian (PC3):
Hướng dẫn:
- Trên PC3, tiến hành cài đặt Wireshark (https://www.wireshark.org/).
- Mở chương trình Wireshark  Capture  Option…  Chỉ chọn card mạng NET1 
Start.
- Trên PC4, mở Internet Explorer (Lưu ý: Nếu xuất hiện bảng thông báo “Set up Internet
Explorer 11”, chọn “Don’t use recommended settings” để không bị cấu hình các bảo mật)
 Nhập địa chỉ “10.10.10.1”
- Trên PC3, bấm nút Stop  Tìm dòng “HTTP/1.1 200 OK (text/html)”  Nhìn vào cửa
sổ chi tiết (bên dưới)  Mở rộng “Line-based text data: text/html  Chúng ta có thể
thấy được nội dung của trang web.
3. Cấu hình PC3 thành Certificate Authority (CA) để cung cấp dịch vụ chứng thực chìa khóa
công khai.
Hướng dẫn:
Bước 1: Cài đặt “Active Directory Certificate Sevices”:
- Từ Server Manager  Thêm chức năng (feature): Active Directory Certificate Sevices.
 Role Services: chọn Certificate Authority và Certification Authority Web Enrollment.
Bước 2: Cấu hình “Active Directory Certificate Sevices”:
- Tại mục thông báo (notification)  chọn: Configure required for Active Directory
Certificate Sevices at PC3”:
o Credentials: PC3\Administrator  Next
o Chọn: Certificate Authority và Certification Authority Web Enrollment  Next
o Chọn Stanalone CA  Next  Chọn Root CA  Next
o Chọn Create a new private key  Next
o Select a cryptographic provider:  chọn mặc định (RSA, SHA256)  Next
o CA Name  tùy ý (hoặc để mặc định)  Next
o Validity Reriod  tùy ý  Next
o Certificate Database  để mặc định  Next  Configure  Close.
4. Cấu hình PC1 sử dụng HTTP bảo mật (HTTPS).

Hướng dẫn:
Bước 1: Đăng ký chứng thực:
- Tại PC1, trong IIS, chọn PC1 (Domain1\Administrator)  Server Certificates  Create
Certificate Request…
o Common name: pc1.domain1.local
o Các mục còn lại: tùy ý  Next
o Chọn dịch vụ mã hóa mặc định (RSA, 1024 bit)  Next
o Chọn “…” Lưu lại với tên tùy ý  Finish.
- Tại PC1, truy cập địa chỉ: 10.10.10.3/certsrv (Lưu ý: tại cửa sổ thông báo chọn “Add…”
để thêm 10.10.10.3 vào các trang web tin tưởng).
o Chọn “Request a certificate”  Advanced certificate request  Submit a certificate
request by using...
o Copy nội dung trong file vừa tạo ở trên và mục Base-64-encoded certificate request
 Submit
- Tại PC3, mở Certificate Authority  Pending Requests  Phải chuột vào yêu cầu 
All tasks  Issue
- Tại PC1, truy cập địa chỉ: 10.10.10.3/certsrv  chọn “View the status of a pending
certificate request”  Saved-Request Certificate  chọn “Download certificate”  chọn
“Download certificate chain”.
o Nhấp đôi vào tập tin *.cer  Install  Local Machine  Next  Next  Finish
o Nhấp đôi vào tập tin *.p7b  Certificates  C:\...  Certificates  Nhấp đôi vào
“pc1.domain1.local” và” PC3-CA”  Install  Local Machine  Next  Next 
Finish
- Tại PC1  IIS  chọn PC1 (Domain1\Administrator)  Server Certificates 
Complete Certificate Request  File name containing  chọn tập tin *.cer (tải về ở trên)
 Open  Fiendly name: tùy ý  Select a certificate store  Web Hosting  OK
Bước 2: Tạo trang web bảo mật:

- Tại PC1, trong IIS, chọn Sites  Add Website…
o Site name: tùy ý
o Physical path: tạo thư mục tùy ý và chỉ định đến thư mục này
o Binding  Type: https  Host name: pc1.domain1.local  Chọn “Require Server
Name Indication”  Chọn “Disable HTTP/2  SSL certificate: chọn chứng thực vừa
tạo ở Bước 1  OK
o Chép file default.htm tạo ở câu 1 vào thư mục vừa tạo ở trên.
Bước 3: Thêm máy chủ CA vào danh sách tin tưởng:

- Tại PC4, thử truy cập vào địa chỉ https://pc1.domain1.local”  Cảnh báo bảo mật
- Tại PC4, tiến hành thêm máy chủ CA vào danh sách tin tưởng:
o Truy cập vào địa chỉ “10.10.10.3/certsrv”  Download a CA certificate, certificate
chain, or CRL  Download CA certificate
o Nhấp đôi vào tập tin *.cer vừa tải về  Install  Local Machine  Next  Next 
Finish
- Thử truy cập vào địa chỉ “https://pc1.domain1.local”.
- Thực hiện lại Câu 2 để kiểm tra kết quả.
Phần 2: bảo mật dữ liệu trong mạng doanh nghiệp:
5. Tiến hành gia nhập domain1.local trên PC4.
6. Thực hiện lại câu 2, thay duyệt web bằng ICMP (PC1 ping PC2)  Thấy được loại gói tin
là ICMP (không được mã hóa).
7. Cấu hình bảo mật mã hóa các gói tin ICMP trong mạng sử dụng mã hóa Kerberos.
- Tạo GPO mới trong domain1.local.
- Chỉnh sửa GPO vừa tạo (edit)  Computer Configuration  Policies  Windows
Settings  Security Settings  IP Security Policies on Active Directory  Phải chuột
chọn  Create IP Security Policy  Next  Đặt tên tùy ý  Next  Next  Finish
 Add…  Next  Next  Next  Chọn All ICMP Trafic  Next  Require
Security  Next  Next  Finish
- Phải chuột lên chính sách vừa tạo  Assign.
8. Khởi động lại Máy PC1, sau đó khởi động lại máy PC4. Thực hiện lại câu 6 và kiểm tra kết
quả.
Bài 06
QUẢN LÝ LƯU TRỮ
Bài thực hành sử dụng 3 máy ảo kết nối với nhau như Hình 6.1:
 PC1 là máy sử dụng dịch vụ lưu trữ từ xa (iSCSI initiator).
 PC2 và PC3 là máy chủ iSCSI cung cấp dịch vụ lưu trữ (iSCSI target).
Lưu ý:
o Mở card mạng NET1 và NET2.
o Mở card mạng NET1.
o Mở card mạng NET1 và NET2.
1. Thêm 3 ổ đĩa cứng vào PC2, và cấu hình RAID-5:

Hướng dẫn:
- Tại VirtualBox, tạo 3 ổ đĩa mới với dung lượng 10 GB cho PC2:
 Chọn máy WinSer2019_2  Settings  Stogare  Add new storage control 
LsiLogic SAS  chọn Controller: LsiLogic SAS  Add hard disk  Create  Next
 Next  10 GB  Create
- Mở máy ảo lên  phải chuột lên Start  Chọn Disk Management  Phải chuột lên ổ
đĩa mới  Online  Initialize Disk  GPT  OK
- Phải chuột lên ổ đĩa mới  New RAID-5 volume  Next  Chọn 2 ổ đĩa  Add > 
Next  Assign the following drive letter: Z  Quick format: ReFS  Next  Finish
2. Cấu hình PC2 thành thiết bị iSCSI SAN:
Hướng dẫn:
- Tại Server Manager  cài đặt vai trò mới (role)  Mở rộng File and Storage Services
 Mở rộng File and iSCSI Services  chọn iSCSI Target Server và iSCSI Target
Storage Provider  Next  Install
- Tại Server Manager  iSCSI  TASK  New iSCSI Virtual Disk  Select by volume
 Z:  Next  Name: iSCSI Virtual Disk 1  Next  Size: 10 GB  Next  New
iSCSI  Next  Name: iSCSI-Target-1  Next  Chọn Enter a value for the selected
type  Type: IP address, Value: 192.168.1.1  Next  Để đơn gian, bỏ qua chứng thực
 Next  Create
3. Cấu hình PC1 để kết nối đến iSCSI SAN:

Hướng dẫn:
- Tại Server Manager  Tools  iSCSI Initiator  Yes  Target: 192.168.1.2  Quick
Connect  Done  OK
4. Cấu hình PC3 thành thiết bị iSCSI SAN thứ hai và cấu hình PC1 kết nối đến iSCSI SAN vừa
tạo:
Hướng dẫn:
- Thực hiện giống câu 2 và câu 3.
- Lưu đĩa ảo dung lượng 10 GB ngay trên ổ C.
- Type: IP address, Value: 10.10.10.1
5. Trên PC1, cấu hình cấu hình RAID-1 cho 2 ổ đĩa iSCSI:
Hướng dẫn:
- [Cách 2 – sử dụng Server Manager] Từ Server Manager  File and Storage Services 
Storage Pools  TASKS  New Storage Pool…  Next  Name: tùy ý (VD: Storage
Pool 1)  Next  Chọn tất cả ổ đĩa  Next  Create  Close
- Phải chuột lên Pool vừa tạo (Storage Pool 1)  New Virtual Disk  OK  Next
Name: tùy ý (VD: Virtual Disk 1)  Next  Next  Chọn Mirror  Next  Fixed
 Maximum size  Next  Create
- Tại cửa sổ “Select the server and disk”  Next  Next  Next  NTFS  Next 
Create.
6. Kiểm tra khả năng chịu lỗi.

Hướng dẫn:
- Tạo 1 tập tin trên ổ đĩa vừa tạo ở câu 6.
- Tắt PC2  Kiểm tra tập tin vừa tạo.
- Gỡ bỏ 1 ổ đĩa (trong 3 ổ đĩa cấu hình RAID-5), mở máy 2 lên  Kiểm tra tập tin.
- Tắt PC3  Kiểm tra tập tin vừa tạo.
7. Tại PC1, cấu hình tạo bản lưu (backup) cho thư mục C:/User/Administator/Documents với
loại bản lưu “Incremental” và thực hiện định kỳ hằng ngày lúc 3:00 sáng:
Hướng dẫn:
- Cài đặt Windows Server Backup từ Server Manager.
- Mở Windows Server Backup từ Server Manager.
- Action  Configure Performance Settings  Faster backup performance  OK
- Chọn Backup Schedule…  Next  Custom  Add Items 
C:/User/Administator/Documents  OK  Next  Once a day; 3:00 AM  Next 
Next  Show All Available Disk…  Chọn ổ đĩa tạo ở câu 5  OK  Next  Yes 
Finish.
Bài 7
DỊCH VỤ DNS
Bài thực hành sử dụng 4 máy ảo kết nối với nhau thông qua card mạng ảo (NET1) như Hình
7.1 để xây dựng mô hình hệ thống Internet DNS như Hình 7.2. Vai trò của các máy ảo được chỉ
định trong Bảng 7.1:
Hình 7.1. Mô hình thực hành.
Hình 7.2. Mô hình luận lý hệ thống DNS.
Bảng 7.1. Vai trò của từng máy ảo trong mô hình hệ thống Internet DNS:
Máy PC1 Máy PC2 Máy PC3

pc1.dns1.net pc2.dns2.com pc3.dns3.vn
IP Addr: 67.1.1.1 IP Addr: 68.2.2.2 IP Addr: 69.3.3.3
vienthong.net 1.1.1.1 maytinh.net 3.3.3.1 docbao.vn 5.5.5.1
- www 1.1.1.2 - www 3.3.3.2 - www 5.5.5.2
- mail 1.1.1.3 - mail 3.3.3.3 - mail 5.5.5.3
5giay.vn 2.2.2.1 yahoo.com 4.4.4.1 google.com 6.6.6.1
- www 2.2.2.2 - www 4.4.4.2 - www 6.6.6.2
- mail 2.2.2.3 - mail 4.4.4.3 - mail 6.6.6.3
Ghi chú:
- PC1 là máy DNS server pc1.dns1.net quản lý “vienthong.net” và “5giay.vn”.
- PC2 là máy DNS server pc2.dns2.com quản lý “maytinh.net” và “yahoo.com”.
- PC3 là máy DNS server pc3.dns3.vn quản lý “docbao.vn” và “google.com”.
- PC4 là máy kiểm tra kết quả (tùy chọn).
- Ngoài ra:
 PC3 còn là máy Root-Hint DNS Server đồng thời là máy DNS server quản lý Top
Level DNS “com”.
 PC1 là máy Top Level DNS “net”.
 PC3 là máy Top Level DNS “vn”.
Lưu ý:
 Tại PC1, PC2, PC4 sử dụng bản snapshots: Initial.
 Tại PC3, sử dụng bản snapshots: Routing Enabled-RIP.
 Tại VirtualBox, cấu hình card mạng để 4 máy kết nối với nhau:
o Chọn máy ảo  Settings  Network  Adapter 1  Internal Network: intnet1
1. Cấu hình IP Address và chỉnh DNS suffix để có thể thực hiện yêu cầu của Bảng 7.1.
Hướng dẫn:
- Cấu hình IP Address như bảng bên dưới (Lưu ý: Để cấu hình nhiều địa chỉ IP trên một
Interface: tại nơi cấu hình IP chọn tab Advanced)
PC1 PC2 PC3 PC4 (tùy chọn)

67.1.1.3
IP 68.2.2.3
67.1.1.1 68.2.2.2 70.4.4.4
Address 69.3.3.3
70.4.4.3
Default
67.1.1.3 68.2.2.3 69.3.3.2 70.4.4.3
Gateway
- Trên PC1, PC2, PC3 thay đổi DNS suffix tại: Properties của This PC  Change settings
 Computer Name  Change…  More…  Primary DNS suffix of this computer
2. Cài đặt dịch vụ DNS

Hướng dẫn: Server Manager  Thêm vai trò (Role): DNS Server.
3. Cấu hình các máy PC thành DNS server của các nhà cung cấp tên miền
Hướng dẫn: Server Manager  Tools  DNS
- Tại PC1, chọn Forward Lookup Zones:
 Tạo zone: Forward Lookup Zones  Action  New zone  Next  Primary
zone  Next tạo tuần tự 3 zone: dns1.net, vienthong.net, 5giay.vn  Next 
Next  Finish
 Tạo bản ghi (record): Forward Lookup Zones  vienthong.net  Action  New
Host (A or AAAA)…
o Tạo 3 bảng ghi A
 Name: để trống; IP address: 1.1.1.1; không chọn “Create associated
pointer (PTR) record”.
 Name: www; IP address: 1.1.1.2; không chọn “Create associated
pointer (PTR) record”.
 Name: mail; IP address: 1.1.1.3; khôngchọn “Create associated pointer
(PTR) record”.
 Làm tương tự cho Zone 5giay.vn
- Tại PC1, chọn Reverse Lookup Zones:

 Tạo zone: Reverse Lookup Zones  Action  New zone  Next  Primary zone
 Next IPv4 Reverse Lookup Zone  Next tạo tuần tự 3 zone: 67.1.1. , 1.1.1. ,
2.2.2 Next  Next  Finish
 Tạo Pointer: Reverse Lookup Zones  1.1.67.in-addr.arpa  Action  New
Pointer  Host IP Address: 67.1.1.1  Host name: chỉ về PC1/Forward Lookup
Zone/dns1.net/pc1/pc1  OK
 Làm tương tự cho 1.1.1.in-addr.arpa và 2.2.2.in-addr.arpa
o Tại 1.1.1. : tạo 1.1.1.1, 1.1.1.2, 1.1.1.3 chỉ về các host tương ứng
o Tại 2.2.2. : tạo 2.2.2.1, 2.2.2.2, 2.2.2.3 chỉ về các host tương ứng
- Ghi chú: Để thực hiện nhanh hơn, tạo Reverse Lookup Zones trước (chỉ cần làm 1 bước
đầu) sau đó thực hiện tạo Forward Lookup Zones. Tại bước 2 của tạo Forward Lookup
Zones, chọn “Create associated pointer (PTR) record”, Reverse Lookup Zones sẽ tự tạo
Pointer tương ứng.
- Trên PC2, PC3: thực hiện tương tự
4. Cấu hình các PC thành Top Level DNS Server: net, com, vn
Hướng dẫn:
- Tại PC1:
 Tạo zone NET: Tại Forward Lookup Zones tạo Primary Zone tên net
 Tạo Delegate: Forward Lookup Zones  net  Action  New Delegation… 
Delegated domain: vienthong  Next  Add…  Nhập địa chỉ IP của DNS server
quản lý vienthong.net (trong trường hợp này là: 67.1.1.1)  Resolve  OK  Next
 Finish
 Làm tương tự cho maytinh.net
- Tại PC2, PC3 thực hiện tương tự:

 PC2: tạo Zone com và các Delegate: yahoo.com, google.com
 PC3: tạo Zone vn và các Delegate: 5giay.vn, docbao.vn
5. Cấu hình Root Hint.

Hướng dẫn:
- Tại PC3, cấu hình thành Root-hint server: chọn Forward Lookup Zones.
 Tạo Primary Zone tên “.”.
 Xóa tất cả nhưng bản ghi tại “.(root)” đã tạo sẵn.
 Tạo lại các Delegate: com, vn, net và chỉ về các máy Top Level DNS.
- Tại PC1, PC2, cấu hình thêm PC3 vào danh sách Root Hint.
 Xóa tất cả các Root Hint mặc định sẵn trong hệ thống và thêm vào địa chỉ Root
Hint mới (pc3.dns3.vn: 69.3.3.3)
 Chọn PCx  Action  Properties  Root Hints
6. Tại mỗi máy cấu hình thành Webserver, cấu hình để thêm địa chỉ IP của webserver (PC1:
1.1.1.2, 2.2.2.2, PC2: 3.3.3.2, 4.4.4.2 và PC3: 5.5.5.2, 6.6.6.2). Cấu hình để các máy có thể
kết nối được địa chỉ của nhau. Sau đó truy cập bằng tên vào Website của nhau
Hướng dẫn:
- Tại PC3, cấu hình để thêm vào các địa chỉ:
 1.1.1.200
 2.2.2.200
 3.3.3.200
 4.4.4.200
- Tại PC1 và PC2: cấu hình thêm Default Gateway vào các địa chỉ trên tương ứng với mạng
của mình.
Bài 08:
MẠNG RIÊNG ẢO (VIRTUAL PRIVATE NETWORK - VPN)
A. Client to Gateway VPN (Remote Access VPN)
Ghi chú: Trong phần thực hành này sử dụng 3 máy ảo:
- PC1 và PC2 kết nối với nhau thông qua card mạng NET1.
- PC1 và PC3 kết nối với nhau thông qua card mạng NET2.
Lưu ý:
1. Xây dựng hệ thống mạng sao cho thỏa sơ đồ sau:
Hình 8.1: Sơ đồ mạng.
2. Tạo một tài khoản người dùng mới (VD: vpnclient) và cấp quyền truy cập VPN tại PC1
Hướng dẫn:
- Server Manager  Tools  Computer Management  Local User and Groups  User
 Action  New User  Tạo tài khoản: vpnclient
- Tại Properties của tài khoản chọn thanh Dial-in, đánh dấu vào mục Allow Access trong
phần Remote Access Permission
3. Cấu hình PC1 thành VPN Gateway với loại kết nối là Client to Gateway (Remote Access
VPN)
Hướng dẫn:
- Cài đặt Routing and Remote Access: Server Manager  Thêm vai trò (role): Remote
Access.  Next (3 lần)  DirectAccess and VPN (RAS)  Add Features  Next (3
lần)  Install
- Cấu hình VPN Gateway: Server manager  Routing and Remote Access  Chọn PC1
(local)  Action  Configure and Enable Routing and Remote Access.  Next 
Remote Access (Dial-up or VPN)  VPN  Chọn card mạng kết nối internet (NET2)
 không chọn “Enable security on the selected interface…”  Next  Chọn “From a
specified range of address” để cấp địa chỉ IP cho VPN client từ 192.168.1.100 đến
192.168.1.150  Next  Chọn: “No, use Routing and Remote Access to authenticate
connection requests”  Next  Finish
4. Tại PC3 (là máy Remote Access client) cấu hình kết nối VPN để có thể truy cập vào nội
mạng LAN (192.168.1.0/24)
Hướng dẫn:
- Desktop  Chọn Propertise của Network  Network and Sharing Center  Set up a
connection or network  Connect to a workplace  Next  Use my Internet connection
(VPN)  I’ll set up an Internet connection later  Internet address: 10.10.10.1  Create
- Chọn Change adapter settings  Chọn card mạng VPN vừa tạo  Connect
5. Kiểm tra:
- Tại PC3: cmd  ipconfig /all  Kiểm tra IP trên card mạng VPN.
- Tại PC3: cmd  ping 192.168.1.1
B. Gateway to Gateway VPN (Site to Site VPN)

Ghi chú: Trong phần thực hành này sử dụng 4 máy ảo:
- PC1 và PC2, PC3 và PC4 kết nối với nhau thông qua card mạng LAN1.
- PC1 và PC3 kết nối với nhau thông qua card mạng LAN2.
2. Tạo tài khoản người dùng Local mới và cấp quyền truy cập VPN (dial-in) tại PC1 và PC3
- PC1: username: hcm, password: P@ssw0rd1
- PC3: username: hanoi, password: P@ssw0rd2
3. Cấu hình PC1, PC3 thành VPN Server với loại kết nối Gateway to Gateway
Hướng dẫn: Cấu hình trên PC1 (PC3 thực hiện tương tự)
- (Bước này chỉ làm trên PC1) Routing and Remote Access  PC1 (local)  Action 
Disable Routing and Remote.
- Routing and Remote Access  PC1 (local)  Action  Configure and Enable Routing
and Remote Access  Custom Configuration  Chọn:
 VPN access.
 Demand-dial connections (Used for branch office routing).
 LAN routing.
- Khai báo thông tin kết nối giữa hai VPN Server: Routing and Remote Access  PC1
(local)  Network Interfaces  Action  New Demand-dial Interface.
 Interface name: tùy ý.
 Connection Type: Connect using virtual private networking (VPN).
 VPN Type: Point to Point tunneling protocol (PPTP).
 Destination Address: địa chỉ của máy PC3 (10.10.10.3).
 Protocol and Security: Route IP packet on this interface.
 Static Route for Remote Networks: Network Address PC3 (172.16.1.0/24).
 Dial Out Credentials: thông tin tài khoản người dùng do PC3 tạo ra (Username
“hanoi”, password “P@ssw0rd2”).
- Cấu hình cấp địa chỉ cho các máy kết nối VPN: Routing and Remote Access  PC1
(local)  Action  Propertiese  IPv4  Static Address Pool (192.168.1.100-
192.168.1.150)  Add.
- Tại Network Interfaces  Interface vừa tạo  Action  Connect.
4. Cấu hình sử dụng giao thức L2TP sử dụng chìa khóa chia sẻ trước (Preshared key) giữa 2
VPN server.
Hướng dẫn:
- Tại PC1:
 Trong Routing and Remote Access  PC1 (local)  Action  Properties  Security
 Chọn Allow custom IPSec policy for L2TP connection
 Tại mục Pre-shared Key, nhập mã bất kỳ (VD: P@ss123)
- Tại PC3:
 Interface vừa tạo ở câu trên  Action  Properties  Security  Chỉnh lại giao
thức kết nối (Type of VPN) thành L2TP/IPSec VPN
 Advanced Settings  chọn “Use preshared key for authentication”  nhập mật khẩu
đã tạo ở trên (VD: P@ss123)
- Thực hiện tương tự nhưng đổi vai trò của PC1 và PC3 để cấu hình chứng thực ngược lại.
- Tại PC1, PC3: “Disconnect” interface vừa tạo sau đó “connect” lại thành công.
5. Bật chức năng Remote Desktop trên PC2.
Hướng dẫn:
- Desktop  chọn properties This PC  Remote settings  Remote  chọn “Allow
remote connections to this computer”  OK
6. Từ PC4 truy cập từ xa đến PC2 thông qua dịch vụ Remote desktop.
Hướng dẫn:
- Start  Remotr Desktop  Computer: 192.168.1.2  Connect  Đăng nhập bằng tài
khoản Administator.
Bài 09:
BÀI TỔNG HỢP
Lưu ý:
 PC1 Sử dụng cả 2 card mạng NET1 (Trên VirtualBox, cấu hình tên card mạng Adapter
1 là intnet1) và NET2 (Trên VirtualBox, cấu hình tên card mạng Adapter 2 là intnet2).
 PC3 và PC4: Chỉ sử dụng NET2 (Trên VirtualBox, cấu hình tên card mạng Adapter 2
là intnet2)
 PC2: Chỉ sử dụng NET1 (Trên VirtualBox, cấu hình tên card mạng Adapter 1 là
intnet1)
1. Cấu hình PC1 thành Domain Controller của forest mới domainXX.com (XX được xác định
bằng mã số sinh viên như Hình 9.1).
2. Cấu hình PC2 để gia nhập domainXX.com.
3. Cấu hình PC3 thành Domain Controller của tree mới domainYY.net thuộc forest
domainXX.com (YY được xác định bằng mã số sinh viên như Hình 9.1).
4. Trên domainXX.com tạo tài khoản udomXX và trên domainYY.net tạo tài khoản
udomYY.
5. Cấu hình chính sách để:
 Cho phép udomXX được đăng nhập trên máy PC1 và PC3 (là máy DC).
 Cho phép udomYY được tắt máy PC1 và PC3 từ xa.
6. Trên PC3, thêm 3 ổ đĩa (trên VirtualBox) với dung lượng mỗi ổ đĩa là 10 GB. Cấu hình
RAID-5 cho 3 ổ đĩa này.
7. Trên PC3 tạo thư mục chia sẻ tên SHARING trên ổ đĩa RAID-5 vừa tạo ở trên. Cấu hình
quyền truy cập để chỉ có dữ liệu do ai tạo ra thì người đó mới được quyền sửa hay xóa, tất
cả những người khác chỉ được quyền đọc.
8. Cấu hình PC4 thành internet DNS server đại diện cho 3 server riêng lẻ:
a. Root hint server.
b. Top-Level Domain server quản lý zone com.
c. Top-Level Domain server quản lý zone net.
Cấu hình ủy quyền domainXX.com và domainYY.net về hai máy Domain Controller.
9. Trên PC1, cấu hình để cho phép udomXX được kết nối điều khiển từ xa (remote desktop).
10. Trên PC2, tắt card mạng NET1, bật card mạng NET2, và cấu hình địa chỉ IP: 200.xx.yy.2/24.
Tiến hành truy cập điều khiển từ xa.
Hướng dẫn 1
Mô hình kết nối máy ảo
1. Mô hình thực hành trên 1 máy ảo:
Hình H1.1: Mô hình kết nối trên 1 máy vật lý
Cấu hình trên VirtualBox (Máy ảo WinSer2019_i  Settings  Network):

 WinSer2019_1:
o Adapter 1: (kết nối với PC2 – card mạng hiển thị trong máy ảo là LAN1)
 Attached to:  Internal Network
 Name:  intnet1
 WinSer2019_2:
o Adapter 2: (Không sử dụng trong bài thực hành)
 WinSer2019_3:
 WinSer2019_4:
 Mô hình thực hành trên 1 máy ảo:
2. Mô hình thực hành trên 2 máy ảo:
Hình H1.2: Mô hình kết nối trên 1 máy vật lý
Lưu ý:
 Địa chỉ IP của card mạng LAN2 của máy ảo 1 (WinSer2019_1) và máy ảo 3
(WinSer2019_3) phải được cấu hình lại như sau:
o WinSer2019_1: 10.xx.yy.1/24
o WinSer2019_3: 10.xx.yy.3/24
o Trong đó xx và yy được là 4 số cuối của mã số sinh viên.
 VD: Mã số sinh viên là 20212345
 xx = 23
 yy = 45
Trên máy vật lý 1: Cấu hình trên VirtualBox (Máy ảo WinSer2019_i  Settings  Network):
 WinSer2019_1:
 Attached to:  Bridged Adapter
 Name:  Chọn card mạng vật lý đang được sử dụng để kết nối mạng.
 WinSer2019_2:
Trên máy vật lý 2: Cấu hình trên VirtualBox (Máy ảo WinSer2019_i  Settings  Network):
 WinSer2019_3:
 Attached to:  Bridged Adapter
 Name:  Chọn card mạng vật lý đang được sử dụng để kết nối mạng.
 WinSer2019_4:

TH CNM - New 2022

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

TH CNM - New 2022

Uploaded by

Copyright:

Available Formats

Biên soạn: TS.

Bài 01: Domain Controller ....................................................................................................... 02

Bài 02: Tài khoản domain và forest domain............................................................................. 05

Bài 03: Quản lý chia sẻ dữ liệu ................................................................................................. 10

Bài 05: Bảo mật dữ liệu ............................................................................................................ 19

Bài 06: Quản lý lưu trữ ............................................................................................................. 23

Bài 07: Dịch vụ DNS ................................................................................................................ 26

Bài 08: Mạng riêng ảo .............................................................................................................. 30

Bài 09: Bài tổng hợp ................................................................................................................. 34

Hướng dẫn 1: Mô hình kết nối máy ảo .................................................................................... 36

Hình 1.1. mô hình thực hành.

Hình 2.1. mô hình kết nối.

Hình 2.2. mô hình luận lý của forest domain1.local.

 Từ câu 5, sử dụng cả 4 máy ảo.

Bước 2: Thêm người dùng U1 và U2 vào OU IT1 và RD1:

4. Tạo tài khoản U201 đến U210 sử dụng công cụ CSVDE.

Bước 2: Cấu hình PC3 thành DC của Tree-Root mới domain2.local:

Bước 3: Cấu hình PC4 thành DC của child domain domain3.domain2.local:

Hình 3.1. mô hình thực hành.

Hình 3.2. mô hình luận lý của forest domain1.local.

2. Tạo các khoản người dùng:

11. Cầu hình đồng bộ thư mục giữa PC1 và PC2.

Hình 4.1. mô hình thực hành.

2. Quản lý tài khoản người dùng và tài khoản nhóm:

7. Áp dụng chính sách nhóm cho nhóm maytinh như sau:

Hướng dẫn chung:

Hình 5.1. mô hình thực hành.

Phần 1: bảo mật dữ liệu web:

4. Cấu hình PC1 sử dụng HTTP bảo mật (HTTPS).

Bước 2: Tạo trang web bảo mật:

Bước 3: Thêm máy chủ CA vào danh sách tin tưởng:

Phần 2: bảo mật dữ liệu trong mạng doanh nghiệp:

5. Tiến hành gia nhập domain1.local trên PC4.

Hình 6.1. mô hình thực hành.

1. Thêm 3 ổ đĩa cứng vào PC2, và cấu hình RAID-5:

3. Cấu hình PC1 để kết nối đến iSCSI SAN:

6. Kiểm tra khả năng chịu lỗi.

Hình 7.1. Mô hình thực hành.

Hình 7.2. Mô hình luận lý hệ thống DNS.

Máy PC1 Máy PC2 Máy PC3

PC1 PC2 PC3 PC4 (tùy chọn)

2. Cài đặt dịch vụ DNS

- Tại PC1, chọn Reverse Lookup Zones:

- Trên PC2, PC3: thực hiện tương tự

- Tại PC2, PC3 thực hiện tương tự:

5. Cấu hình Root Hint.

1. Xây dựng hệ thống mạng sao cho thỏa sơ đồ sau:

Hình 8.1: Sơ đồ mạng.

B. Gateway to Gateway VPN (Site to Site VPN)

1. Xây dựng hệ thống mạng sao cho thỏa sơ đồ sau:

Hình 8.2: Sơ đồ mạng.

0. Xây dựng hệ thống mạng sao cho thỏa sơ đồ sau:

Hình 9.1: Sơ đồ mạng.

2. Cấu hình PC2 để gia nhập domainXX.com.

Cấu hình ủy quyền domainXX.com và domainYY.net về hai máy Domain Controller.

1. Mô hình thực hành trên 1 máy ảo:

Hình H1.1: Mô hình kết nối trên 1 máy vật lý

Cấu hình trên VirtualBox (Máy ảo WinSer2019_i  Settings  Network):

2. Mô hình thực hành trên 2 máy ảo:

Hình H1.2: Mô hình kết nối trên 1 máy vật lý

You might also like