Archive
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 09)
IX. READ-ONLY DOMAIN CONTROLLER
CÁC BƯỚC TRIỂN KHAI:
1. Chuẩn bị trước khi cài RODC
2. Cài đặt RODC
3. Cấu hình Password Replication Policy
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
+ PC02: Stand Alone Windows Server 2016. Cài đặt Routing and Remote Access. Cấu hình LAN Routing
+ PC03: Stand Alone Windows Server 2016, tắt Windows Firewall.
– PC01 ping PC03 à thành công
– Đặt IP cho các máy theo bảng sau:
INTERFACE |
PC01 |
PC02 |
PC03 |
|
|
IP Address |
DISABLED |
172.16.1.2 |
172.16.1.3 |
Subnet Mask |
255.255.0.0 |
255.255.0.0 |
||
Default GW |
Bỏ trắng |
172.16.1.2 |
||
DNS |
Bỏ trắng |
192.168.1.1 |
||
|
IP Address |
192.168.1.1 |
192.168.1.2 |
DISABLED |
Subnet Mask |
255.255.255.0 |
255.255.255.0 |
||
Default GW |
192.168.1.2 |
Bỏ trắng |
||
DNS |
192.168.1.1 |
Bỏ trắng |
B- THỰC HIỆN
1. Chuẩn bị trước khi cài RODC (Thực hiện trên máy PC01)
B1 – Mở Active Directory Users and Computers à Chuột phải vào NHATNGHE.LOCAL, chọn Raise domain functional level B3 – Chuột phải vào Domain Controllers, chọn Pre-create Read-only Domain Controller account B7 – Màn hình Select a site à giữ nguyên như mặc định à Next
B8 – Màn hình Additional Domain Controller Options àcheck ô DNS server và Global catalog à Next B10 – Màn hình Summary à Next B11 – Màn hình Completing à Finish |
B2 – Quan sát thấy Current domain functional level là Windows Server 2016 (RODC hỗ trợ tối thiểu là Windows Server 2003) à Close B4 – Màn hình Welcome à Next B5 – Màn hình Network Credentials à giữ nguyên như mặc định à Next B6 – Màn hình Specify the computer name, nhập vào PC03 à Next
B9 – Màn hình Delegation of RODC Installation and Administration, mục Group of user nhập vào NHATNGHE\Administrator à Next |
2. Cài đặt RODC (Thực hiện trên máy PC03)
B1 – Mở Server Manager, vào menu Manage à chọn Add Roles and Features B2 – Các bước đầu tiên nhấn Next theo mặc định. Màn hình Select server roles à check ô Active Directory Domain Services B4 – Các bước còn lại nhấn Next theo mặc định. Màn hình Confirmation à nhấn Install
B5 – Màn hình Results à nhấn Promote this server to a domain controller B7 – Màn hình Domain Controller Options, khai báo password Restore Mode à Next |
B3 – Nhấn Add Features à Next
B6 – Màn hình Deployment Configuration, chọn Add a domain controller to an existing domain. + Mục Domain, khai báo NHATNGHE.LOCAL + Mục Credentials, khai báo NHATNGHE\Administrator à Next B8 – Các bước còn lại giữ nguyên như mặc định. Màn hình Prerequisites Checks à nhấn Install để bắt đầu cài đặt. Sau khi cài đặt xong, PC03 sẽ tự động Restart |
3. Cấu hình Password Replication Policy
B1 – Trên máy PC01, mở Active Directory Users and Computers à tạo 3 user hn1, hn2 và hn3. Tạo group hanoi, add 3 user vừa tạo vào group này. Add thêm computer PC03 vào group này
B3 – Qua tab Password Replication Policy à nhấn Add B6 – Nhấn tiếp nút Advanced
B7 – Qua tab Resultant Policy à Nhấn Add B9 – Qua máy PC03, log on Domain Admin, chỉnh policy Allow log on locally cho Users à Log off B10 – Trên máy PC03, log on user hn1 à Log off B11 – Qua máy PC01, trong cửa sổ Active Directory Users and Computers. Ở khung bên trái chọn Domain Controllers. Chuột phải vào PC03 à chọn Properties. B12 – Qua tab Password Replication Policy à nhấn Advanced B14 – Nhấn vào nút Prepopulate Passwords B16 – Chọn Yes B18 – Qua máy PC02, Disable card CROSS B19 – Qua máy PC03, log on lần lượt 2 user hn1 và hn2 à Log on thành công |
B2 – Ở khung bên trái chọn Domain Controllers. Chuột phải vào PC03 à chọn Properties
B4 – Chọn ô Allow passwords for the account to replicate to this RODC à OK B5 – Nhập vào group hanoi à Check Names à OK à Apply B8 – Nhập vào user hn1 à Check Names à OK à Close à OK B13 – Trong phần Display users and computers that meet the following criteria à Chọn Accounts that have been authenticated to this Read-only Domain Controllers. Quan sát thấy password hn1 đã được lưu. B15 – Nhập vào user hn2 à Check Names à OK B17 – Chọn OK B20 – Log on user hn3 à thất bại |
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 08)
VIII. CHILD DOMAIN & TRUST RELATIONSHIP
CÁC BƯỚC TRIỂN KHAI:
1. Cấu hình Child Domain
2. Kiểm tra
3. Cấu hình Stub Zone giữa 2 Domain
4. Cấu hình Forest Trusts
5. Kiểm tra bằng cách phân quyền truy cập dữ liệu
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 4 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL). IP: 192.168.1.1/24
+ PC02: Domain Member Windows Server 2016 của NHATNGHE.LOCAL
+ PC03: Windows Server 2016 DC ( Domain: MASTERIT.LOCAL). Chỉnh policy cho phép user được log on locally. IP: 10.0.0.2/8
+ PC04: Stand Alone Windows Server 2012 cài đặt Routing and Remote Access, cấu hình LAN Routing. Ping PC03 đến PC01 à thành công
B- THỰC HIỆN
1. Cấu hình Child Domain
B1 – Trên máy PC01, mở DNS. Chuột phải vào Forward Lookup Zones à chọn New Zone B4 – Màn hình Active Directory Zone Replication Scope à Next B5 – Màn hình Zone Name, đặt tên SG.NHATNGHE.LOCAL à Next B7 – Màn hình Completing à Finish B8 – Quan sát Zone vừa tạo B9 – Qua máy PC02, mở Server Manager, vào menu Manage à chọn Add Roles and Features B10 – Các bước đầu tiên nhấn Next theo mặc định. Màn hình Select server roles à check ô Active Directory Domain Services B12 – Các bước còn lại nhấn Next theo mặc định. Màn hình Confirmation à nhấn Install B13 – Màn hình Results à nhấn Promote this server to a domain controller
B15 – Màn hình Domain Controler Options à check ô DNS và Global Catalog à nhập vào password cho restore mode à Next |
B2 – Màn hình Welcome à Next B3 – Màn hình Zone Type à chọn Primary Zone à Next B6 – Màn hình Dynamic Update à chọn Allow only secure dyname updates à Next
B11 – Nhấn Add Features à Next
B14 – Màn hình Deployment Configuration à chọn Add a new domain to an existing forest + Select domain type: Child Domain + Parent domain name: NHATNGHE.LOCAL + New Domain name: nhập vào SG + Credentials: NHATNGHE\Administrator à Next B16 – Các bước còn lại giữ nguyên như mặc định. Màn hình Prerequisites Check à nhấn Install B17 – Sau khi cài đặt xong, PC02 tự động restart. Log on SG\Administrator |
2. Kiểm tra
B1 – Thực hiện trên PC01:
+ Chỉnh Password Policy: độ dài kí tự là 8
+ Chỉnh Password phức tạp
B2 – Thực hiện trên PC02:
+ Log on bằng account: SG\Administrator, chỉnh password Policy đơn giản
B3 – Kiểm tra
+ Trên domain NHATNGHE.LOCAL: Tạo user account với password: P@ssword à thành công
+ Trên domain SG.NHATNGHE.LOCAL: Tạo user account với password: 123 à thành công
* Kết luận: Child domain có 1 bộ policy độc lập, không phụ thuộc domain cha.
3. Cấu hình Stub Zone giữa 2 Domain
B1 – Trên máy PC01, mở DNS. Chuột phải vào Forward Lookup Zones à chọn New Zone B4 – Check ô To all DNS servers running on domain controllers in this forest: NHATNGHE.LOCAL à Next B5 – Màn hình Zone name, đặt tên MASTERIT.LOCAL à Next B7 – Màn hình Completing à Finish B8 – Chuột phải vào zone MASTERIT.LOCAL vừa tạo à chọn Transfer from Master B10 – Thực hiện tương tự, trên PC03 tạo stub zone NHATNGHE.LOCAL |
B2 – Màn hình Welcome à Next B3 – Màn hình Zone Type à chọn Stub Zone à Next B6 – Màn hình Master DNS Server, nhập vào IP máy PC03: 10.0.0.2 à Next B9 – Nhấn F5 B11 – Trên PC01, mở CMD. Dùng lệnh nslookup, bảo đảm phân giải MASTERIT.LOCAL thành công |
4. Cấu hình Forest Trusts (Thực hiện trên máy PC03)
B1 – Mở Server Manager, vào menu Tools à chọn Active Directory Domains and Trusts B2 – Chuột phải vào NHATNGHE.LOCAL à chọn Properties B4 – Màn hình Welcome à Next B5 – Màn hình Trust Name, đặt tên MASTERIT.LOCAL à Next B7 – Màn hình Direction of Trust à chọn Two-way à Next B9 – Khai báo User Name and Password của domain MASTERIT.LOCAL à Next B12 – Khi nhận được thông báo như bên dưới là quá trình Trust đã thành công à OK à No |
B3 – Qua tab Trusts à chọn New Trust B6 – Màn hình Trust Type à chọn Forest Trust B8 – Màn hình Sides of Trust à chọn Both this domain and the specified domain à Next B10 – Các bước còn lại chọn Yes và nhấn Next theo mặc định. Màn hình Completing à nhấn Finish B11 – Bên dưới mục Domains trusted by this domain (outgoing trusts) à chọn MASTERIT.LOCAL à Properties B13 – Qua máy PC03, mở Active Directory Domains and Trust. Quan sát thấy đã được tự động cấu hình trust với NHATNGHE.LOCAL |
5. Kiểm tra bằng cách phân quyền truy cập dữ liệu
B1 – Trên máy PC03, tạo user ti B2 – Trên máy PC01, mở File Explorer. Tạo thư mục DATA. Chuột phải vào thư mục DATA à Chọn Properties B3 – Qua tab Security à chọn Edit à Add B7 – Phân quyền Full Control à OK |
B4 – Nhấn vào nút Locations B5 – Chọn MASTERIT.LOCAL à OK B6 – Nhập vào user Ti à Check Names thành công * Kết quả: Phân quyền dữ liệu trên domain NHATNGHE.LOCAL cho User trên domain MASTERIT.LOCAL thành công. |
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 07)
VII. ADDITIONAL DOMAIN CONTROLLER (ADC)
CÁC BƯỚC TRIỂN KHAI:
1. Cài đặt Additional Domain Controller
2. Cấu hình Global Catalog Server
3. Cài đặt Additional Domain Controller bằng IFM
4. Chia site hệ thống
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
+ PC02: Domain Member Windows Server 2016
+ PC03: Domain Member Windows Server 2016
– Trên máy PC01, cài đặt Routing and Remote Access. Cấu hình LAN Routing.
– Cấu hình IP theo bảng sau:
INTERFACE |
PC01 |
PC02 |
PC03 |
|
|
IP Address |
172.16.1.1 |
DISABLED |
172.16.1.3 |
Subnet Mask |
255.255.0.0 |
255.255.255.0 |
||
Default GW |
Bỏ trắng |
Bỏ trắng |
||
DNS |
Bỏ trắng |
192.168.1.1 |
||
|
IP Address |
192.168.1.1 |
192.168.1.2 |
DISABLED |
Subnet Mask |
255.255.255.0 |
255.255.255.0 |
||
Default GW |
Bỏ trắng |
Bỏ trắng |
||
DNS |
192.168.1.1 |
192.168.1.1 |
B- THỰC HIỆN
1. Cài đặt Additional Domain Controller
2. Cấu hình Global Catalog Server
B1 – Trên PC02, log on NHATNGHE\Administrator B2 – Mở Server Manager à menu Tools à chọn Active Direcotry Sites and Services B4 – Tab General à check ô Global Catalog à OK |
B3 – Mở theo đường dẫn Sites à Default First-Site-Name à PC02. Chuột phải vào NTDS Settings à chọn Properties |
B5 – Trên PC01, mở Active Directory Users and Computers. Ở khung bên trái chọn Domain Controllers. Quan sát thấy PC01 và PC02 đều có vai trò chứng thực Global Catalog
3. Cài đặt Additional Domain Controller bằng IFM
B1 – Trên PC01, mở CMD, gõ lần lượt các lệnh sau: + Ntdsutil + Activate instance ntds + Ifm + Create sysvol full C:\ifm B3 – Trên PC03, mở Server Manager à menu Manage à chọn Add Roles and Features B4 – Màn hình Before you begin à Next B5 – Các bước còn lại nhấn Next theo mặc định B6 – Màn hình Select Sever Roles à check ô Active Directory Domain Services à Add Features à Next 4 lần à Install B8 – Màn hình Deployment Configuration à Chọn Add a domain controller to an existing domain. Bảo đảm ở mục Domain phải là NHATNGHE.LOCAL à Next B10 – Màn hình Additional Options à check ô Install from media. Ở mục Path, nhấn Browse và trỏ đường dẫn đến thư mục C:\ifm |
B2 – Mở File Explorer, quan sát thấy thư mục C:\IFM. Copy toàn bộ thư mục C:\IFM vào ổ C: trên máy PC03 B7 – Màn hình Results à nhấn Promote this server to a domain controller B9 – Màn hình Domain Controller Options à check 2 ô Domain Name System (DNS) Server và Global Catalog (GC). Khai báo mật khẩu Directory Services Restore Mode à Next à Next B11 – Các bước còn lại nhấn Next theo mặc định. Màn hình Prerequisites Check à nhấn Install. Sau khi cài đặt xong à nhấn Close B12 – Khi hoàn tất, PC03 sẽ tự động Restart |
B13 – Trên PC01, mở Active Diretory Users and Computers. Bên trái chọn Domain Controllers à quan sát thấy lúc này cả 3 PC: PC01, PC02 và PC03 đều có vai trò chứng thực Global Catalog
4. Chia site hệ thống
B1 – Trên PC01, mở Server Manager à menu Tools à chọn Active Directory Sites and Services B2 – Chuột phải vào Default-First-Site-Name à chọn Rename B5 – Ở mục Name, đặt tên HANOI à OK à OK B8 – Ở mục Select a site object for this prefix à chọn Site SaiGon. Ở mục Prefix đặt tên lớp mạng ở Site SaiGon: 192.168.1.0/24 à OK B10 – Quan sát các Subnet vừa tạo B13 – Quan sát thấy PC03 đã được move vào Site HANOI |
B3 – Đổi tên thành SAIGON B4 – Chuột phải vào Sites à chọn New Site B6 – Quan sát 2 site SAIGON và HANOI vừa tạo B7 – Chuột phải Subnets à New Subnet B9 – Thực hiện tương tự tạo subnet cho Site Hanoi B11 – Ở khung bên trái mở theo đường dẫn Sites à SAIGON à Servers. Chuột phải PC03 à Move B12 – Chọn Site HANOI à OK * KL: Kế từ bây giờ user log on trên 1 Client nào đó, hệ thống sẽ xác định IP của Client để xác định Subnet, từ đó xác định Site. Client sẽ chứng thực tại Global Catalog Server cùng Site. |
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 06)
VI. CLONING DOMAIN CONTROLLER
CÁC BƯỚC TRIỂN KHAI:
1. Kiểm tra trước khi Clone DC
2. Cấu hình Domain Controller Cloning
3. Kiểm tra
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ 1 máy host Windows Server 2016
+ Trên máy host, mở Hyper-V tạo NN-DC1: Windows Server 2016 Domain Controller
B- THỰC HIỆN
1. Kiểm tra trước khi Clone DC
B1 – Trên máy NN-DC1, mở Server Manager à vào menu Tools à chọn Active Directory Users and Computers B2 – Ở khung bên trái chọn Users. Chuột phải vào Cloneable Domain Controllers à chọn Properties B5 – Nhập vào PC01 à Check Names à OK à OK |
B3 – Qua tab Members à nhấn Add à nhấn Object Types B4 – Chọn Computers |
B6 – Mở Windows Powershell, gõ lệnh:
+ Get-ADDCCloningExcludedApplicationList -Generatexml
Quan sát thấy file CustomDCCloneAllowList.xml được trích xuất ở thư mục C:\Windows\NTDS
B7 – Mở file CustomDCCloneAllowList.xml, quan sát thấy các ứng dụng được cài đặt trên máy DC
B8 – Nhập vào lệnh sau để tạo file DCCloneConfig.xml
New-ADDCCloneConfigFile -CloneComputerName PC02 -IPv4Address 192.168.1.2 -IPv4DefaultGateway 192.168.1.100 -IPv4DNSResolver 192.168.1.1 -IPv4SubnetMask 255.255.255.0 -Static -SiteName Default-First-Site-Name
B9 – Quan sát file DCCloneConfig.xml đã được tạo nằm trong đường dẫn C:\Windows\NTDS
2. Cấu hình Domain Controller Cloning (Thực hiện trên máy Host)
B1 – Chuột phải vào NN-DC1 à chọn Shutdown à Shutdown B3 – Nhấn Browse à lưu vào thư mục C:\NN-DC2 à Export B5 – Màn hình Before you begin à Next B6 – Màn hình Locate Folder à Nhấn Browse và trỏ đường dẫn đến thư mục đã export à Next B8 – Màn hình Choose Import Type à chọn Copy the virtual machine (create a new unique ID) à Next B10 – Chuột phải vào máy ảo vừa tạo à chọn Settings |
B2 – Chuột phải vào NN-DC1 à chọn Export B4 – Sau khi export xong, chuột phải vào máy Host à chọn Import Virtual Machines B7 – Màn hình Select Virtual Machine à chọn NN-DC1 à Next B9 – Các bước còn lại giữ nguyên như mặc định và nhấn Next. Màn hình Completing à Finish B11 – Trong nhóm Management, chọn Name à đổi tên thành NN-DC2 à OK |
3. Kiểm tra
B1 – Chuột phải vào NN-DC1 à chọn Start B2 – Sau khi máy NN-DC1 khởi động xong, chuột phải vào NN-DC2 à chọn Start |
B3 – Trên máy NN-DC2, quan sát thấy quá trình Cloning diễn ra |
B4 – Qua máy NN-DC1, mở Active Directory Users and Computers à chọn Domain Controllers. Quan sát thấy 2 máy PC01 và PC02 đều giữ vai trò Global Catalog
B5 – Mở DNS, qua sát hostname PC02 đã được cập nhật
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 05)
V. ACTIVE DIRECTORY RECYCLE BIN
CÁC BƯỚC TRIỂN KHAI:
1. Kích hoạt tính năng Active Directory Recycle Bin
2. Kiểm tra xóa và khôi phục user
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 1 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
– Tạo 2 user u1, u2
B- THỰC HIỆN
1. Kích hoạt tính năng Active Directory Recycle Bin
B1 – Mở Server Manager à vào menu Tools à chọn Active Directory Administrative Center B2 – Chuột phải vào Nhatnghe (Local) à chọn Enable Recycle Bin |
B3 – Hộp thoại xuất hiện à nhấn OK B4 – Nhấn OK |
2. Kiểm tra xóa và khôi phục user
B1 – Ở khung bên trái chọn Nhatnghe(local). Chuột phải vào user u1 à chọn Delete à OK B2 – Thực hiện tương tự, xóa user u2 B5 – Quan sát thấy các user đã được khôi phục |
B3 – Ở khung bên trái chọn Nhatnghe (local) à Double click vào Deleted objects B4 – Quan sát thấy 2 user vừa bị xóa. Quét chọn 2 user à Chuột phài chọn Restore |
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 04)
IV. ACTIVE DIRECTORY DOMAIN SERVICES SNAPSHOT
CÁC BƯỚC TRIỂN KHAI:
1. Tạo AD DS Snapshot
2. Thay đổi AD DS
3. Mount AD DS
4. Unmount AD DS
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 1 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
– Trên PC01, tạo group Hanoi và 3 user hn1, hn2, hn3. Add các user này vào group Hanoi
B- THỰC HIỆN
1. Tạo AD DS Snapshot
– Mở CMD, lần lượt nhập vào các lệnh sau:
+ ntdsutil
+ snapshot
+ active instance ntds
+ create
Copy GUID được sinh ra. Sau đó gõ lệnh quit 2 lần để thoát khỏi NTDS
2. Thay đổi AD DS
– Mở Active Directory Users and Computers, quét chọn 3 user hn1, hn2, hn3 à Chuột phải chọn Delete à Yes
3. Mount AD DS
B1 – Mở CMD, lần lượt nhập vào các lệnh sau:
+ ntdsutil
+ Snapshot
+ active instance ntds
+ mount GUID (GUID: số đã tạo ra snapshot ở mục 1)
+ quit
+ quit
Chương trình sẽ mount snapshot vào thư mục C:\$SNAP_datetime_volumec$. Copy lại thư mục này
B2 – Gõ tiếp lệnh sau:
+ dsamain /dbpath C:\$SNAP_datetime_volumec$\windows\ntds\ntds.dit /ldapport 30000
B3 – Mở Active Directory Users and Computers à Chuột phải vào root, chọn Change Domain Controller
B4 – Nhấn vào mục <Type a Directory Server name[:port] here, nhập vào PC01:30000
B5 – Quan sát thấy các user hn1, hn2 và hn3 đã xuất hiện
4. Unmount AD DS
B1 – Nhấn Ctrl + C để dừng DSAMAIN.EXE
B2 – Nhập tiếp các lệnh sau:
+ ntdsutil
+ snapshot
+ activate instance ntds
+ list all
+ unmount guid
+ list all
+ quit
+ quit
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 03)
III. GPO LOOPBACK PROCESSING – RESULTANT SET OF POLICY – BACKUP & RESTORE POLICY
CÁC BƯỚC TRIỂN KHAI:
1. Cấu hình GPO Loopback Processing
2. Triển khai Resultant Set of Policy
3. Backup & Restore policy
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
+ PC05: Domain Member Windows 10
– Trên PC01, tạo user Teo. Tạo OU Hocvien. Move PC05 trong Container Computers vào OU Hocvien
– Trên PC05, tắt Windows Firewall.
B- THỰC HIỆN
1. Cấu hình GPO Loopback Processing
B1 – Trên PC01, mở Server Manager à Vào menu Tools à chọn Group Policy Management B2 – Chuột phải vào OU HOCVIEN à chọn Create a GPO in this domain, and Link it here B5 – Mở theo đường dẫn User Configuration à Policies à Administrative Templates à Control Panel. Double click vào policy Prohibit access to Control Panel and PC Settings à chọn Enabled à OK B7 – Chọn Enabled à Khung Mode, chọn Merge à OK |
B3 – Ở khung Name, đặt tên Hocvien Policies B4 – Chuột phải vào policy vừa tạo à chọn Edit B6 – Mở theo đường dẫn Computer Configuration à Policies à Administrative Templates à System à Group Policy. Double click vào policy Configure user Group Policy loopback processing mode |
2. Triển khai Resultant Set of Policy
B1 – Trên PC05, log on NHATNGHE\teo. Chuột phải vào biểu tượng ÿ, chọn Command Prompt (Admin) B2 – Hộp thoại User Account Control, khai báo NHATNGHE\Administrator và password B5 – Màn hình Welcome à Next B7 – Màn hình User Selection à chọn Select a specific user à chọn user Teo à Next B11 – Trên máy PC05, log on NHATNGHE\teo. Kiểm tra, thử truy cập Control Panel à bị báo lỗi không truy cập được |
B3 – Gõ lệnh gpupdate /force, sau đó restart lại PC05. Sau khi PC05 restart xong, giữ nguyên màn hình log on B4 – Trên PC01, mở Group Policy Management. Chuột phải vào Group Policy Results à chọn Group Policy Results Wizard B6 – Màn hình Computer Selection à chọn Another Computer à nhấn Browse và trỏ tới PC05 à Next B8 – Màn hình Summary of selections à Next B9 – Màn hình Completing à Finish B10 – Qua tab Details à quan sát thấy policy cấm truy cập Control Panel được áp dụng cho user teo * Kết luận: Group Policy Loopback áp đặt các Policy của Computer cho bất kỳ User nào sử dụng trên máy đó. Có 2 chế độ : + Merge = kết hợp với Policy của User sử dụng + Replace = thay thế Policy của User sử dụng |
3. Backup & Restore policy
B1 – Trên PC01, mở Group Policy Management. Chuột phải vào Group Policy Objects à chọn Back Up All B3 – Quá trình sao lưu thành công à nhấn OK B5 – Quan sát thấy Policy đã bị xóa B7 – Chọn Policy muốn khôi phục à nhấn Restore à OK à OK |
B2 – Mục Location, lưu vào thư mục C:\Backup Policies à Nhấn Backup để sao lưu B4 – Chuột phải vào Hocvien Policies à Delete à Yes B6 – Chuột phải vào Group Policy Objects à chọn Manage Backups B8 – Quan sát thấy Policy đã được khôi phục |
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 02)
II. AUTOMATING ACTIVE DIRECTORY DOMAIN SERVICES ADMINISTRATION
CÁC BƯỚC TRIỂN KHAI:
1. Tạo hàng loạt user và đặt thuộc tính Deparment cho user
2. Tạo cấu trúc OU
3. Di chuyển các User vào OU tương ứng
4. Add user vào group tương ứng
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 1 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
– Chỉnh policy cho phép đặt password đơn giản
– Tạo các Group ketoan, nhansu, tochuc, kinhdoanh và hanhchinh bên dưới domain NHATNGHE.LOCAL
B- THỰC HIỆN
1. Tạo hàng loạt user và đặt thuộc tính Deparment cho user
B1 – Mở Server Manager à vào menu Tools à Chọn Windows Powershell ISE
B2 – Soạn đoạn Script bên dưới để tạo 2 User u1 và u2 trong Domain NHATNGHE.LOCAL. Đặt password là 123, khai báo thuộc tính ketoan cho Deparment
à Sau đó nhấn nút Run Script (hoặc nhấn F5) để chạy thử đoạn Script
B3 – Mở Active Directory Users and Computers, quan sát thấy user u1 và u2 đã được tạo. Kiểm tra thuộc tính cho từng user, bảo đảm thấy Department là ketoan
B4 – Soạn đoạn Script tương tự như bên dưới để tạo các User từ u3 đến u10
B5 – Vào menu File à Save, đặt tên TaoUser.ps1
B6 – Mở File Explorer, chuột phải vào file TaoUser à chọn Run with Powershell
B7 – Quay lại Active Directory Users and Computers, kiểm tra đã tạo thành công các user từ u3 đến u10. Kiểm tra thuộc tính Department của các user này
2. Tạo cấu trúc OU
B1 – Nhập 2 lệnh bên dưới vào dòng lệnh để tạo 2 OU SaiGon và HaNoi nằm bên dưới domain NHATNGHE.LOCAL.
New-ADOrganizationalUnit -Name “SaiGon” -Path “dc=Nhatnghe,dc=local”
New-ADOrganizationalUnit -Name “HaNoi” -Path “dc=Nhatnghe,dc=local”
Kiểm tra Active Directory Users and Computers, bảo đảm tạo thành công 2 OU.
B2 – Soạn đoạn Script như hình bên dưới để tạo các OU Ketoan, NhanSu và ToChuc nằm trong OU SaiGon. OU KinhDoanh, HanhChinh nằm trong OU HaNoi.
B3 – Lưu đoạn Script vào trong ổ C: với tên TaoOUCon.ps1
B4 – Chạy đoạn script vừa tạo, sau đó kiểm tra đã tạo xong cấu trúc OU
3. Di chuyển các User vào OU tương ứng
B1 – Tìm hiểu lệnh Get-ADUser bằng cách thực hiện lệnh bên dưới. Lệnh này sẽ tìm kiếm các User có thuộc tính Department là Ketoan
Get-ADUser -Filter {Deparment -eq “Ketoan”}
B2 – Kết hợp lệnh Get-ADUser và lệnh Move-ADObject
Get-ADUser – Filter {Deparment -eq “Ketoan”} | Move-ADObject -TargetPath “ou=KeToan,ou=SaiGon,dc=Nhatnghe,dc=Local”
Thực hiện lệnh trên để di chuyển các User có thuộc tính Department là ketoan vào OU KeToan.
Kết quả lệnh Get-ADUser sẽ được truyền vào để làm tham số cho lệnh Move-ADObject
B3 – Kiểm tra thấy user u1 và u2 đã được di chuyển vào OU Ketoan
B4 – Để di chuyển nhiều đối tượng, thực hiện các lệnh sau:
("Ketoan","Nhansu","ToChuc") | %{Get-ADObject -Filter {Department -eq $_} | Move-ADObject -TargetPath "ou=$_,ou=SaiGon,dc=Nhatnghe,dc=Local"}
("Kinhdoanh”,”Hanhchinh") | %{Get-ADObject -Filter {Department -eq $_} | Move-ADObject -TargetPath "ou=$_,ou=Hanoi,dc=Nhatnghe,dc=Local"}
B5 – Kiểm tra các user đã được di chuyển vào các OU tương ứng
4. Add user vào group tương ứng
B1 – Lệnh bên dưới sẽ Add user u1 và u2 vào group KeToan
Add-AdGroupMember – Identity Ketoan -Members u1
Add-AdGroupMember – Identity Ketoan -Members u2
B2 – Quan sát thấy user u1 và u2 là thành viên của Group Ketoan
B3 – Để add hàng loạt các user làm thành viên của các group phù hợp dựa vào thuộc tính của từng user, soạn đoạn script như bên dưới
B4 – Lưu đoạn Script trên vào ổ C:, sau đó chạy đoạn Script vừa tạo
B5 – Kiểm tra danh sách thành viên của từng group
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 01)
I. DHCP FAILOVER
CÁC BƯỚC TRIỂN KHAI:
1. Cài đặt DHCP Server thứ 1
2. Tạo Scope để cấp IP cho Client
3. Cài đặt DHCP Server thứ 2
4. Cấu hình DHCP Failover
5. Kiểm tra
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
+ PC02: Domain Member Windows Server 2016
+ PC03: Domain Member Windows 10
B- THỰC HIỆN
1. Cài đặt DHCP Server thứ 1 (Thực hiện trên máy PC01)
B1 – Mở Server Manager, vào menu Manage à chọn Add Roles and Features B2 – Các bước đầu tiên nhấn Next theo mặc định. Màn hình Server Roles à chọn DHCP Server à Add Features à Next |
B3 – Màn hình Features à giữ nguyên như mặc định à Next B4 – Màn hình DHCP Server à Next B5 – Màn hình Confirmation, check ô Restart the destination server automatically if required à Install à Close |
2. Tạo Scope để cấp IP cho Client (Thực hiện trên máy PC01)
B1 – Mở Server Manager, vào menu Tools à chọn DHCP B2 – Chuột phải IPv4 à chọn New Scope B5 – Màn hình IP Address Range, điền các thông số như trong hình à Next B8 – Màn hình Configure DHCP Options à chọn Yes, I want to configure these options now à Next B10 – Màn hình Domain Name and DNS Servers, mục Parent Domain: NHATNGHE.LOCAL, khai báo IP 192.168.1.1 à Next à Next
B11 – Màn hình Activate Scope, chọn Yes, I want to activate this scope now à Next
|
B3 – Màn hình Welcome à Next B4 – Màn hình Scope Name, đặt tên: Network Client à Next B6 – Màn hình Add Exclusions and Delay à Next
B7 – Màn hình Lease Duration, giữ nguyên như mặc định à Next
B9 – Màn hình Router, nhập vào địa chỉ 192.168.1.200 cho Default gateway à Next B12 – Màn hình Completing à Finish
B13 – Quan sát thấy Scope đã được tạo |
3. Cài đặt DHCP Server thứ 2
B1 – Trên máy PC02, cài đặt dịch vụ DHCP và đăng ký dịch vụ DHCP vào Active Directory tương tự như trên PC01.
B2 – Sau khi cài đặt, mở DHCP console kiểm tra trên DHCP Server này chưa có Scope nào
4. Cấu hình DHCP Failover
B1 – Trên máy PC01, mở DHCP Console. Chuột phải vào IPv4 à chọn Configure DHCP B4 – Màn hình Create a new failover relationship, cấu hình như sau: + Maximum Client Lead Time: 5 minutes + Mode: Load balance + Shared Secret: 123 à Next B7 – Qua máy PC02, mở DHCP Console à Quan sát thấy Scope mới đã tự động được tạo B9 – Qua tab Failover, quan sát thấy mục Partner Server đồng bộ hóa Scope từ PC01 à OK |
B2 – Màn hình Introduction to DHCP Failover à Next B3 – Màn hình Specfiy the partner server to use for failover à Mục Partner Server, nhập IP Address của máy PC02 à Next B5 – Màn hình Completing à Finish B6 – Kiểm tra trạng thái cấu hình là Successful à nhấn Close B8 – Chuột phải vào Scope à chọn Properties |
5. Kiểm tra
B1 – Trên máy PC03, chuyển sang chế độ IP động B4 – Nhập lệnh ipconfig /release để trả thông số IP B5 – Qua máy PC02, mở DHCP. Chuột phải vào scope à chọn Deactivate B7 – Qua máy PC03, nhập lệnh ipconfig /renew để nhận IP mới |
B2 – Nhập lệnh ipconfig /renew để xin IP mới B3 – Nhập lệnh ipconfig /all để xem thông số TCP/IP đã nhận, trong hình dưới là DHCP của PC02 cấp IP cho client B6 – Hộp thoại xác nhận à chọn Yes B8 – Kiểm tra kết quả thành công và PC03 sẽ nhận IP từ DHCP Server còn lại. |
ADMINISTERING WINDOWS SERVER 2016 (Part 07)
VII. VIRTUAL PRIVATE NETWORK (VPN)
PHẦN 1: VPN CLIENT TO GATEWAY
CÁC BƯỚC TRIỂN KHAI:
1. Cấu hình VPN Server bằng giao thức PPTP
2. Tạo user để VPN Client kết nối vào VPN Server
3. Cấu hình VPN Client
4. Cấu hình VPN Server bằng giao thức L2TP
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy Windows Server 2016
– Đặt IP cho các máy theo bảng sau:
– Tắt Firewall trên cả 3 máy
– PC02: Cài đặt Role Routing and Remote Access
B- THỰC HIỆN
1. Cấu hình VPN Server bằng giao thức PPTP (Thực hiện trên máy PC02)
B1 – Mở Server Manager -> menu Tools -> chọn Routing and Remote Access B2 – Chuột phải vào tên PC -> Chọn Configure and Enable Routing and Remote Access B3 – Màn hình Welcome -> Next B4 – Màn hình Configuration -> chọn Custom Configuration -> Next B5 – Check ô VPN access và LAN routing -> Next B6 – Màn hình Completing -> Finish B7 – Chọn Start service -> Finish |
B8 – Chuột phải vào PC02 -> chọn Properties
B9 – Qua tab IPv4 -> chọn ô Static address pool -> Add B10 – Cửa sổ New IPv4 Address Range, nhập vào dãy địa chỉ như sau: + Start IP Address: 10.0.0.1 + End IP Address: 10.0.0.254 OK -> OK |
2. Tạo user để VPN Client kết nối vào VPN Server (Thực hiện trên máy PC02)
B1 – Mở Local Users and Groups, tạo user sau: User name: teo Password: P@ssword -> Lưu ý: Bỏ dấu check ở tùy chọn User must change password at next log on |
B2 – Chuột phải lên user teo -> chọn Properties. Qua tab Dial-in, bên dưới mục Network Access Permission -> chọn ô Allow Access -> OK |
3. Cấu hình VPN Client (Thực hiện trên máy PC03)
B1 – Mở Control Panel -> chọn Network and Sharing Center -> Set up a connection or network B3 – Chọn Use my Internet Connection (VPN) B5 – Mục Internet address, nhập vàp IP LAN của PC02: 192.168.1.1. Mục Destination Name, đặt tên cho kết nối, vd: VPN Connection -> Create B7 – Thanh Charmbar ở góc bên phải xuất hiện, chọn VPN Connection -> Connect B9 – Kết nối thành công. Kiểm tra: mở CMD, gõ lệnh IPCONFIG /ALL, thấy đã nhận IP từ VPN Server Nhận xét: Máy PC03 đã được VPN Server cấp 1 địa chỉ IP nằm trong dãy 10.0.0.1 đến 10.0.0.254. Máy PC03 và PC01 liên lạc được với nhau. B11 – Chuột phải vào Connecion VPN Connection, chọn Status. |
B2 – Màn hình Choose a connection option -> Chọn Connect to a workplace -> Next B4 – Chọn I’ll setup an Internet connection later B6 – Chọn Change Adapter Settings -> Chuột phải vào VPN Connection vừa tạo, nhấn Connect/Disconnect B8 – Hộp thoại Network Authentication, khai báo user name và password của teo. B10 – Lần lượt ping đến các địa chỉ trong mạng nội bộ: Ping 172.16.1.1 Ping 172.16.1.2 -> Ping thành công B12 – Qua tab Details, thấy mục Device Name: PPTP. Như vậy VPN đang kết nối bằng giao thức PPTP |
4. Cấu hình VPN Server bằng giao thức L2TP (Thực hiện trên máy PC02)
B1 – Mở Routing and Remote Access, chuột phải vào PC02 -> chọn Properties B3 – Nhấn OK B4 – Chuột phải vào PC02 -> All Tasks -> Restart B5 – Trên PC03, mở Network Connection, chuột phải vào VPN Connection, chọn Properties B8 – Chuột phải vào VPN Connection vừa tạo, nhấn Connect/Disconnect. B9 – Chuột phải vào Connecion VPN Connection, chọn Status. |
B2 – Qua tab Security, check ô Allow custom Ipsec policy for L2TP/IKEv2 connection. Mục Preshared key, nhập vào 123456 -> OK -> OK B6 – Qua tab Security, bên dưới mục Type of VPN, chọn L2TP/Ipsec VPN -> nhấn Advanced settings B7 – Chọn Use preshared key for authentication, mục Key nhập vào: 123456 -> OK -> OK B10 – Qua tab Details, thấy mục Device Name: L2TP. Lúc này VPN kết nối bằng giao thức L2TP |