Archive
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 09)
IX. READ-ONLY DOMAIN CONTROLLER
CÁC BƯỚC TRIỂN KHAI:
1. Chuẩn bị trước khi cài RODC
2. Cài đặt RODC
3. Cấu hình Password Replication Policy
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
+ PC02: Stand Alone Windows Server 2016. Cài đặt Routing and Remote Access. Cấu hình LAN Routing
+ PC03: Stand Alone Windows Server 2016, tắt Windows Firewall.
– PC01 ping PC03 à thành công
– Đặt IP cho các máy theo bảng sau:
|
INTERFACE |
PC01 |
PC02 |
PC03 |
|
|
|
IP Address |
DISABLED |
172.16.1.2 |
172.16.1.3 |
|
Subnet Mask |
255.255.0.0 |
255.255.0.0 |
||
|
Default GW |
Bỏ trắng |
172.16.1.2 |
||
|
DNS |
Bỏ trắng |
192.168.1.1 |
||
|
|
IP Address |
192.168.1.1 |
192.168.1.2 |
DISABLED |
|
Subnet Mask |
255.255.255.0 |
255.255.255.0 |
||
|
Default GW |
192.168.1.2 |
Bỏ trắng |
||
|
DNS |
192.168.1.1 |
Bỏ trắng |
B- THỰC HIỆN
1. Chuẩn bị trước khi cài RODC (Thực hiện trên máy PC01)
|
B1 – Mở Active Directory Users and Computers à Chuột phải vào NHATNGHE.LOCAL, chọn Raise domain functional level
B3 – Chuột phải vào Domain Controllers, chọn Pre-create Read-only Domain Controller account
B7 – Màn hình Select a site à giữ nguyên như mặc định à Next
B8 – Màn hình Additional Domain Controller Options àcheck ô DNS server và Global catalog à Next
B10 – Màn hình Summary à Next B11 – Màn hình Completing à Finish |
B2 – Quan sát thấy Current domain functional level là Windows Server 2016 (RODC hỗ trợ tối thiểu là Windows Server 2003) à Close
B4 – Màn hình Welcome à Next B5 – Màn hình Network Credentials à giữ nguyên như mặc định à Next B6 – Màn hình Specify the computer name, nhập vào PC03 à Next
B9 – Màn hình Delegation of RODC Installation and Administration, mục Group of user nhập vào NHATNGHE\Administrator à Next
|
2. Cài đặt RODC (Thực hiện trên máy PC03)
|
B1 – Mở Server Manager, vào menu Manage à chọn Add Roles and Features B2 – Các bước đầu tiên nhấn Next theo mặc định. Màn hình Select server roles à check ô Active Directory Domain Services
B4 – Các bước còn lại nhấn Next theo mặc định. Màn hình Confirmation à nhấn Install
B5 – Màn hình Results à nhấn Promote this server to a domain controller
B7 – Màn hình Domain Controller Options, khai báo password Restore Mode à Next
|
B3 – Nhấn Add Features à Next
B6 – Màn hình Deployment Configuration, chọn Add a domain controller to an existing domain. + Mục Domain, khai báo NHATNGHE.LOCAL + Mục Credentials, khai báo NHATNGHE\Administrator à Next
B8 – Các bước còn lại giữ nguyên như mặc định. Màn hình Prerequisites Checks à nhấn Install để bắt đầu cài đặt. Sau khi cài đặt xong, PC03 sẽ tự động Restart |
3. Cấu hình Password Replication Policy
|
B1 – Trên máy PC01, mở Active Directory Users and Computers à tạo 3 user hn1, hn2 và hn3. Tạo group hanoi, add 3 user vừa tạo vào group này. Add thêm computer PC03 vào group này
B3 – Qua tab Password Replication Policy à nhấn Add
B6 – Nhấn tiếp nút Advanced
B7 – Qua tab Resultant Policy à Nhấn Add
B9 – Qua máy PC03, log on Domain Admin, chỉnh policy Allow log on locally cho Users à Log off B10 – Trên máy PC03, log on user hn1 à Log off B11 – Qua máy PC01, trong cửa sổ Active Directory Users and Computers. Ở khung bên trái chọn Domain Controllers. Chuột phải vào PC03 à chọn Properties. B12 – Qua tab Password Replication Policy à nhấn Advanced B14 – Nhấn vào nút Prepopulate Passwords
B16 – Chọn Yes
B18 – Qua máy PC02, Disable card CROSS B19 – Qua máy PC03, log on lần lượt 2 user hn1 và hn2 à Log on thành công |
B2 – Ở khung bên trái chọn Domain Controllers. Chuột phải vào PC03 à chọn Properties
B4 – Chọn ô Allow passwords for the account to replicate to this RODC à OK
B5 – Nhập vào group hanoi à Check Names à OK à Apply
B8 – Nhập vào user hn1 à Check Names à OK à Close à OK
B13 – Trong phần Display users and computers that meet the following criteria à Chọn Accounts that have been authenticated to this Read-only Domain Controllers. Quan sát thấy password hn1 đã được lưu.
B15 – Nhập vào user hn2 à Check Names à OK
B17 – Chọn OK
B20 – Log on user hn3 à thất bại |
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 08)
VIII. CHILD DOMAIN & TRUST RELATIONSHIP
CÁC BƯỚC TRIỂN KHAI:
1. Cấu hình Child Domain
2. Kiểm tra
3. Cấu hình Stub Zone giữa 2 Domain
4. Cấu hình Forest Trusts
5. Kiểm tra bằng cách phân quyền truy cập dữ liệu
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 4 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL). IP: 192.168.1.1/24
+ PC02: Domain Member Windows Server 2016 của NHATNGHE.LOCAL
+ PC03: Windows Server 2016 DC ( Domain: MASTERIT.LOCAL). Chỉnh policy cho phép user được log on locally. IP: 10.0.0.2/8
+ PC04: Stand Alone Windows Server 2012 cài đặt Routing and Remote Access, cấu hình LAN Routing. Ping PC03 đến PC01 à thành công
B- THỰC HIỆN
1. Cấu hình Child Domain
|
B1 – Trên máy PC01, mở DNS. Chuột phải vào Forward Lookup Zones à chọn New Zone
B4 – Màn hình Active Directory Zone Replication Scope à Next B5 – Màn hình Zone Name, đặt tên SG.NHATNGHE.LOCAL à Next
B7 – Màn hình Completing à Finish B8 – Quan sát Zone vừa tạo
B9 – Qua máy PC02, mở Server Manager, vào menu Manage à chọn Add Roles and Features B10 – Các bước đầu tiên nhấn Next theo mặc định. Màn hình Select server roles à check ô Active Directory Domain Services
B12 – Các bước còn lại nhấn Next theo mặc định. Màn hình Confirmation à nhấn Install B13 – Màn hình Results à nhấn Promote this server to a domain controller
B15 – Màn hình Domain Controler Options à check ô DNS và Global Catalog à nhập vào password cho restore mode à Next
|
B2 – Màn hình Welcome à Next B3 – Màn hình Zone Type à chọn Primary Zone à Next
B6 – Màn hình Dynamic Update à chọn Allow only secure dyname updates à Next
B11 – Nhấn Add Features à Next
B14 – Màn hình Deployment Configuration à chọn Add a new domain to an existing forest + Select domain type: Child Domain + Parent domain name: NHATNGHE.LOCAL + New Domain name: nhập vào SG + Credentials: NHATNGHE\Administrator à Next
B16 – Các bước còn lại giữ nguyên như mặc định. Màn hình Prerequisites Check à nhấn Install B17 – Sau khi cài đặt xong, PC02 tự động restart. Log on SG\Administrator |
2. Kiểm tra
B1 – Thực hiện trên PC01:
+ Chỉnh Password Policy: độ dài kí tự là 8
+ Chỉnh Password phức tạp
B2 – Thực hiện trên PC02:
+ Log on bằng account: SG\Administrator, chỉnh password Policy đơn giản
B3 – Kiểm tra
+ Trên domain NHATNGHE.LOCAL: Tạo user account với password: P@ssword à thành công
+ Trên domain SG.NHATNGHE.LOCAL: Tạo user account với password: 123 à thành công
* Kết luận: Child domain có 1 bộ policy độc lập, không phụ thuộc domain cha.
3. Cấu hình Stub Zone giữa 2 Domain
|
B1 – Trên máy PC01, mở DNS. Chuột phải vào Forward Lookup Zones à chọn New Zone
B4 – Check ô To all DNS servers running on domain controllers in this forest: NHATNGHE.LOCAL à Next
B5 – Màn hình Zone name, đặt tên MASTERIT.LOCAL à Next
B7 – Màn hình Completing à Finish B8 – Chuột phải vào zone MASTERIT.LOCAL vừa tạo à chọn Transfer from Master
B10 – Thực hiện tương tự, trên PC03 tạo stub zone NHATNGHE.LOCAL
|
B2 – Màn hình Welcome à Next B3 – Màn hình Zone Type à chọn Stub Zone à Next
B6 – Màn hình Master DNS Server, nhập vào IP máy PC03: 10.0.0.2 à Next
B9 – Nhấn F5
B11 – Trên PC01, mở CMD. Dùng lệnh nslookup, bảo đảm phân giải MASTERIT.LOCAL thành công |
4. Cấu hình Forest Trusts (Thực hiện trên máy PC03)
|
B1 – Mở Server Manager, vào menu Tools à chọn Active Directory Domains and Trusts B2 – Chuột phải vào NHATNGHE.LOCAL à chọn Properties
B4 – Màn hình Welcome à Next B5 – Màn hình Trust Name, đặt tên MASTERIT.LOCAL à Next
B7 – Màn hình Direction of Trust à chọn Two-way à Next
B9 – Khai báo User Name and Password của domain MASTERIT.LOCAL à Next
B12 – Khi nhận được thông báo như bên dưới là quá trình Trust đã thành công à OK à No
|
B3 – Qua tab Trusts à chọn New Trust
B6 – Màn hình Trust Type à chọn Forest Trust
B8 – Màn hình Sides of Trust à chọn Both this domain and the specified domain à Next
B10 – Các bước còn lại chọn Yes và nhấn Next theo mặc định. Màn hình Completing à nhấn Finish B11 – Bên dưới mục Domains trusted by this domain (outgoing trusts) à chọn MASTERIT.LOCAL à Properties
B13 – Qua máy PC03, mở Active Directory Domains and Trust. Quan sát thấy đã được tự động cấu hình trust với NHATNGHE.LOCAL
|
5. Kiểm tra bằng cách phân quyền truy cập dữ liệu
|
B1 – Trên máy PC03, tạo user ti B2 – Trên máy PC01, mở File Explorer. Tạo thư mục DATA. Chuột phải vào thư mục DATA à Chọn Properties B3 – Qua tab Security à chọn Edit à Add
B7 – Phân quyền Full Control à OK
|
B4 – Nhấn vào nút Locations
B5 – Chọn MASTERIT.LOCAL à OK
B6 – Nhập vào user Ti à Check Names thành công
* Kết quả: Phân quyền dữ liệu trên domain NHATNGHE.LOCAL cho User trên domain MASTERIT.LOCAL thành công. |
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 07)
VII. ADDITIONAL DOMAIN CONTROLLER (ADC)
CÁC BƯỚC TRIỂN KHAI:
1. Cài đặt Additional Domain Controller
2. Cấu hình Global Catalog Server
3. Cài đặt Additional Domain Controller bằng IFM
4. Chia site hệ thống
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
+ PC02: Domain Member Windows Server 2016
+ PC03: Domain Member Windows Server 2016
– Trên máy PC01, cài đặt Routing and Remote Access. Cấu hình LAN Routing.
– Cấu hình IP theo bảng sau:
|
INTERFACE |
PC01 |
PC02 |
PC03 |
|
|
|
IP Address |
172.16.1.1 |
DISABLED |
172.16.1.3 |
|
Subnet Mask |
255.255.0.0 |
255.255.255.0 |
||
|
Default GW |
Bỏ trắng |
Bỏ trắng |
||
|
DNS |
Bỏ trắng |
192.168.1.1 |
||
|
|
IP Address |
192.168.1.1 |
192.168.1.2 |
DISABLED |
|
Subnet Mask |
255.255.255.0 |
255.255.255.0 |
||
|
Default GW |
Bỏ trắng |
Bỏ trắng |
||
|
DNS |
192.168.1.1 |
192.168.1.1 |
B- THỰC HIỆN
1. Cài đặt Additional Domain Controller
|
B1 – Trên máy PC01, mở Server Manager. Ở khung bên trái, chuột phải vào All Servers à chọn Add Servers
B3 – Chuột phải vào PC02 à chọn Add Roles and Features
B5 – Màn hình Server roles à check ô Active Directory Domain Services
B9 – Màn hình Deployment Configuration à chọn ô Add a domain controller to an existing domain. Mục Domain à nhấn Select
B11 – Chọn NHATNGHE.LOCAL à OK à Next
B13 – Các bước còn lại nhấn Next theo mặc định. Màn hình Prerequisites Check à nhấn Install. Sau khi cài đặt xong à nhấn Close B14 – PC02 sẽ tự động restart. |
B2 – Ở khung Names, nhập vào PC02 à Find Now. Nhấn biểu tượng mũi tên để add PC02 vào giao diện quản lý à OK
B4 – Các bước đầu tiên nhấn Next theo mặc định. Màn hình Server Selection, chọn PC02 à Next
B6 – Chọn Add Features à Next B7 – Các bước còn lại nhấn Next theo mặc định. Màn hình Confirm installation selections àcheck ô Restart the destination server automatically if required à Install
B10 – Khai báo username và password của Domain Admin à OK
B12 – Màn hình Domain Controller Options à bỏ check ô Global Catalog (GC) à Khai báo mật khẩu Directory Services Restore Mode à Next
|
2. Cấu hình Global Catalog Server
|
B1 – Trên PC02, log on NHATNGHE\Administrator B2 – Mở Server Manager à menu Tools à chọn Active Direcotry Sites and Services B4 – Tab General à check ô Global Catalog à OK
|
B3 – Mở theo đường dẫn Sites à Default First-Site-Name à PC02. Chuột phải vào NTDS Settings à chọn Properties
|
B5 – Trên PC01, mở Active Directory Users and Computers. Ở khung bên trái chọn Domain Controllers. Quan sát thấy PC01 và PC02 đều có vai trò chứng thực Global Catalog
3. Cài đặt Additional Domain Controller bằng IFM
|
B1 – Trên PC01, mở CMD, gõ lần lượt các lệnh sau: + Ntdsutil + Activate instance ntds + Ifm + Create sysvol full C:\ifm
B3 – Trên PC03, mở Server Manager à menu Manage à chọn Add Roles and Features B4 – Màn hình Before you begin à Next B5 – Các bước còn lại nhấn Next theo mặc định B6 – Màn hình Select Sever Roles à check ô Active Directory Domain Services à Add Features à Next 4 lần à Install B8 – Màn hình Deployment Configuration à Chọn Add a domain controller to an existing domain. Bảo đảm ở mục Domain phải là NHATNGHE.LOCAL à Next
B10 – Màn hình Additional Options à check ô Install from media. Ở mục Path, nhấn Browse và trỏ đường dẫn đến thư mục C:\ifm
|
B2 – Mở File Explorer, quan sát thấy thư mục C:\IFM. Copy toàn bộ thư mục C:\IFM vào ổ C: trên máy PC03
B7 – Màn hình Results à nhấn Promote this server to a domain controller B9 – Màn hình Domain Controller Options à check 2 ô Domain Name System (DNS) Server và Global Catalog (GC). Khai báo mật khẩu Directory Services Restore Mode à Next à Next
B11 – Các bước còn lại nhấn Next theo mặc định. Màn hình Prerequisites Check à nhấn Install. Sau khi cài đặt xong à nhấn Close B12 – Khi hoàn tất, PC03 sẽ tự động Restart |
B13 – Trên PC01, mở Active Diretory Users and Computers. Bên trái chọn Domain Controllers à quan sát thấy lúc này cả 3 PC: PC01, PC02 và PC03 đều có vai trò chứng thực Global Catalog
4. Chia site hệ thống
|
B1 – Trên PC01, mở Server Manager à menu Tools à chọn Active Directory Sites and Services B2 – Chuột phải vào Default-First-Site-Name à chọn Rename
B5 – Ở mục Name, đặt tên HANOI à OK à OK
B8 – Ở mục Select a site object for this prefix à chọn Site SaiGon. Ở mục Prefix đặt tên lớp mạng ở Site SaiGon: 192.168.1.0/24 à OK
B10 – Quan sát các Subnet vừa tạo
B13 – Quan sát thấy PC03 đã được move vào Site HANOI
|
B3 – Đổi tên thành SAIGON
B4 – Chuột phải vào Sites à chọn New Site
B6 – Quan sát 2 site SAIGON và HANOI vừa tạo
B7 – Chuột phải Subnets à New Subnet
B9 – Thực hiện tương tự tạo subnet cho Site Hanoi
B11 – Ở khung bên trái mở theo đường dẫn Sites à SAIGON à Servers. Chuột phải PC03 à Move
B12 – Chọn Site HANOI à OK
* KL: Kế từ bây giờ user log on trên 1 Client nào đó, hệ thống sẽ xác định IP của Client để xác định Subnet, từ đó xác định Site. Client sẽ chứng thực tại Global Catalog Server cùng Site. |
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 06)
VI. CLONING DOMAIN CONTROLLER
CÁC BƯỚC TRIỂN KHAI:
1. Kiểm tra trước khi Clone DC
2. Cấu hình Domain Controller Cloning
3. Kiểm tra
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ 1 máy host Windows Server 2016
+ Trên máy host, mở Hyper-V tạo NN-DC1: Windows Server 2016 Domain Controller
B- THỰC HIỆN
1. Kiểm tra trước khi Clone DC
|
B1 – Trên máy NN-DC1, mở Server Manager à vào menu Tools à chọn Active Directory Users and Computers B2 – Ở khung bên trái chọn Users. Chuột phải vào Cloneable Domain Controllers à chọn Properties
B5 – Nhập vào PC01 à Check Names à OK à OK |
B3 – Qua tab Members à nhấn Add à nhấn Object Types
B4 – Chọn Computers
|
B6 – Mở Windows Powershell, gõ lệnh:
+ Get-ADDCCloningExcludedApplicationList -Generatexml
Quan sát thấy file CustomDCCloneAllowList.xml được trích xuất ở thư mục C:\Windows\NTDS
B7 – Mở file CustomDCCloneAllowList.xml, quan sát thấy các ứng dụng được cài đặt trên máy DC
B8 – Nhập vào lệnh sau để tạo file DCCloneConfig.xml
New-ADDCCloneConfigFile -CloneComputerName PC02 -IPv4Address 192.168.1.2 -IPv4DefaultGateway 192.168.1.100 -IPv4DNSResolver 192.168.1.1 -IPv4SubnetMask 255.255.255.0 -Static -SiteName Default-First-Site-Name
B9 – Quan sát file DCCloneConfig.xml đã được tạo nằm trong đường dẫn C:\Windows\NTDS
2. Cấu hình Domain Controller Cloning (Thực hiện trên máy Host)
|
B1 – Chuột phải vào NN-DC1 à chọn Shutdown à Shutdown
B3 – Nhấn Browse à lưu vào thư mục C:\NN-DC2 à Export
B5 – Màn hình Before you begin à Next B6 – Màn hình Locate Folder à Nhấn Browse và trỏ đường dẫn đến thư mục đã export à Next
B8 – Màn hình Choose Import Type à chọn Copy the virtual machine (create a new unique ID) à Next
B10 – Chuột phải vào máy ảo vừa tạo à chọn Settings
|
B2 – Chuột phải vào NN-DC1 à chọn Export
B4 – Sau khi export xong, chuột phải vào máy Host à chọn Import Virtual Machines
B7 – Màn hình Select Virtual Machine à chọn NN-DC1 à Next
B9 – Các bước còn lại giữ nguyên như mặc định và nhấn Next. Màn hình Completing à Finish B11 – Trong nhóm Management, chọn Name à đổi tên thành NN-DC2 à OK
|
3. Kiểm tra
|
B1 – Chuột phải vào NN-DC1 à chọn Start B2 – Sau khi máy NN-DC1 khởi động xong, chuột phải vào NN-DC2 à chọn Start |
B3 – Trên máy NN-DC2, quan sát thấy quá trình Cloning diễn ra
|
B4 – Qua máy NN-DC1, mở Active Directory Users and Computers à chọn Domain Controllers. Quan sát thấy 2 máy PC01 và PC02 đều giữ vai trò Global Catalog
B5 – Mở DNS, qua sát hostname PC02 đã được cập nhật
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 05)
V. ACTIVE DIRECTORY RECYCLE BIN
CÁC BƯỚC TRIỂN KHAI:
1. Kích hoạt tính năng Active Directory Recycle Bin
2. Kiểm tra xóa và khôi phục user
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 1 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
– Tạo 2 user u1, u2
B- THỰC HIỆN
1. Kích hoạt tính năng Active Directory Recycle Bin
|
B1 – Mở Server Manager à vào menu Tools à chọn Active Directory Administrative Center B2 – Chuột phải vào Nhatnghe (Local) à chọn Enable Recycle Bin
|
B3 – Hộp thoại xuất hiện à nhấn OK
B4 – Nhấn OK
|
2. Kiểm tra xóa và khôi phục user
|
B1 – Ở khung bên trái chọn Nhatnghe(local). Chuột phải vào user u1 à chọn Delete à OK
B2 – Thực hiện tương tự, xóa user u2 B5 – Quan sát thấy các user đã được khôi phục
|
B3 – Ở khung bên trái chọn Nhatnghe (local) à Double click vào Deleted objects
B4 – Quan sát thấy 2 user vừa bị xóa. Quét chọn 2 user à Chuột phài chọn Restore
|
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 04)
IV. ACTIVE DIRECTORY DOMAIN SERVICES SNAPSHOT
CÁC BƯỚC TRIỂN KHAI:
1. Tạo AD DS Snapshot
2. Thay đổi AD DS
3. Mount AD DS
4. Unmount AD DS
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 1 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
– Trên PC01, tạo group Hanoi và 3 user hn1, hn2, hn3. Add các user này vào group Hanoi
B- THỰC HIỆN
1. Tạo AD DS Snapshot
– Mở CMD, lần lượt nhập vào các lệnh sau:
+ ntdsutil
+ snapshot
+ active instance ntds
+ create
Copy GUID được sinh ra. Sau đó gõ lệnh quit 2 lần để thoát khỏi NTDS
2. Thay đổi AD DS
– Mở Active Directory Users and Computers, quét chọn 3 user hn1, hn2, hn3 à Chuột phải chọn Delete à Yes
3. Mount AD DS
B1 – Mở CMD, lần lượt nhập vào các lệnh sau:
+ ntdsutil
+ Snapshot
+ active instance ntds
+ mount GUID (GUID: số đã tạo ra snapshot ở mục 1)
+ quit
+ quit
Chương trình sẽ mount snapshot vào thư mục C:\$SNAP_datetime_volumec$. Copy lại thư mục này
B2 – Gõ tiếp lệnh sau:
+ dsamain /dbpath C:\$SNAP_datetime_volumec$\windows\ntds\ntds.dit /ldapport 30000
B3 – Mở Active Directory Users and Computers à Chuột phải vào root, chọn Change Domain Controller
B4 – Nhấn vào mục <Type a Directory Server name[:port] here, nhập vào PC01:30000
B5 – Quan sát thấy các user hn1, hn2 và hn3 đã xuất hiện
4. Unmount AD DS
B1 – Nhấn Ctrl + C để dừng DSAMAIN.EXE
B2 – Nhập tiếp các lệnh sau:
+ ntdsutil
+ snapshot
+ activate instance ntds
+ list all
+ unmount guid
+ list all
+ quit
+ quit
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 03)
III. GPO LOOPBACK PROCESSING – RESULTANT SET OF POLICY – BACKUP & RESTORE POLICY
CÁC BƯỚC TRIỂN KHAI:
1. Cấu hình GPO Loopback Processing
2. Triển khai Resultant Set of Policy
3. Backup & Restore policy
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 2 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
+ PC05: Domain Member Windows 10
– Trên PC01, tạo user Teo. Tạo OU Hocvien. Move PC05 trong Container Computers vào OU Hocvien
– Trên PC05, tắt Windows Firewall.
B- THỰC HIỆN
1. Cấu hình GPO Loopback Processing
|
B1 – Trên PC01, mở Server Manager à Vào menu Tools à chọn Group Policy Management B2 – Chuột phải vào OU HOCVIEN à chọn Create a GPO in this domain, and Link it here
B5 – Mở theo đường dẫn User Configuration à Policies à Administrative Templates à Control Panel. Double click vào policy Prohibit access to Control Panel and PC Settings à chọn Enabled à OK
B7 – Chọn Enabled à Khung Mode, chọn Merge à OK
|
B3 – Ở khung Name, đặt tên Hocvien Policies
B4 – Chuột phải vào policy vừa tạo à chọn Edit
B6 – Mở theo đường dẫn Computer Configuration à Policies à Administrative Templates à System à Group Policy. Double click vào policy Configure user Group Policy loopback processing mode
|
2. Triển khai Resultant Set of Policy
|
B1 – Trên PC05, log on NHATNGHE\teo. Chuột phải vào biểu tượng ÿ, chọn Command Prompt (Admin) B2 – Hộp thoại User Account Control, khai báo NHATNGHE\Administrator và password
B5 – Màn hình Welcome à Next B7 – Màn hình User Selection à chọn Select a specific user à chọn user Teo à Next
B11 – Trên máy PC05, log on NHATNGHE\teo. Kiểm tra, thử truy cập Control Panel à bị báo lỗi không truy cập được
|
B3 – Gõ lệnh gpupdate /force, sau đó restart lại PC05. Sau khi PC05 restart xong, giữ nguyên màn hình log on B4 – Trên PC01, mở Group Policy Management. Chuột phải vào Group Policy Results à chọn Group Policy Results Wizard
B6 – Màn hình Computer Selection à chọn Another Computer à nhấn Browse và trỏ tới PC05 à Next
B8 – Màn hình Summary of selections à Next B9 – Màn hình Completing à Finish B10 – Qua tab Details à quan sát thấy policy cấm truy cập Control Panel được áp dụng cho user teo
* Kết luận: Group Policy Loopback áp đặt các Policy của Computer cho bất kỳ User nào sử dụng trên máy đó. Có 2 chế độ : + Merge = kết hợp với Policy của User sử dụng + Replace = thay thế Policy của User sử dụng |
3. Backup & Restore policy
|
B1 – Trên PC01, mở Group Policy Management. Chuột phải vào Group Policy Objects à chọn Back Up All
B3 – Quá trình sao lưu thành công à nhấn OK
B5 – Quan sát thấy Policy đã bị xóa
B7 – Chọn Policy muốn khôi phục à nhấn Restore à OK à OK
|
B2 – Mục Location, lưu vào thư mục C:\Backup Policies à Nhấn Backup để sao lưu
B4 – Chuột phải vào Hocvien Policies à Delete à Yes
B6 – Chuột phải vào Group Policy Objects à chọn Manage Backups
B8 – Quan sát thấy Policy đã được khôi phục
|
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 02)
II. AUTOMATING ACTIVE DIRECTORY DOMAIN SERVICES ADMINISTRATION
CÁC BƯỚC TRIỂN KHAI:
1. Tạo hàng loạt user và đặt thuộc tính Deparment cho user
2. Tạo cấu trúc OU
3. Di chuyển các User vào OU tương ứng
4. Add user vào group tương ứng
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 1 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
– Chỉnh policy cho phép đặt password đơn giản
– Tạo các Group ketoan, nhansu, tochuc, kinhdoanh và hanhchinh bên dưới domain NHATNGHE.LOCAL
B- THỰC HIỆN
1. Tạo hàng loạt user và đặt thuộc tính Deparment cho user
B1 – Mở Server Manager à vào menu Tools à Chọn Windows Powershell ISE
B2 – Soạn đoạn Script bên dưới để tạo 2 User u1 và u2 trong Domain NHATNGHE.LOCAL. Đặt password là 123, khai báo thuộc tính ketoan cho Deparment
à Sau đó nhấn nút Run Script (hoặc nhấn F5) để chạy thử đoạn Script
B3 – Mở Active Directory Users and Computers, quan sát thấy user u1 và u2 đã được tạo. Kiểm tra thuộc tính cho từng user, bảo đảm thấy Department là ketoan
B4 – Soạn đoạn Script tương tự như bên dưới để tạo các User từ u3 đến u10
B5 – Vào menu File à Save, đặt tên TaoUser.ps1
B6 – Mở File Explorer, chuột phải vào file TaoUser à chọn Run with Powershell
B7 – Quay lại Active Directory Users and Computers, kiểm tra đã tạo thành công các user từ u3 đến u10. Kiểm tra thuộc tính Department của các user này
2. Tạo cấu trúc OU
B1 – Nhập 2 lệnh bên dưới vào dòng lệnh để tạo 2 OU SaiGon và HaNoi nằm bên dưới domain NHATNGHE.LOCAL.
New-ADOrganizationalUnit -Name “SaiGon” -Path “dc=Nhatnghe,dc=local”
New-ADOrganizationalUnit -Name “HaNoi” -Path “dc=Nhatnghe,dc=local”
Kiểm tra Active Directory Users and Computers, bảo đảm tạo thành công 2 OU.
B2 – Soạn đoạn Script như hình bên dưới để tạo các OU Ketoan, NhanSu và ToChuc nằm trong OU SaiGon. OU KinhDoanh, HanhChinh nằm trong OU HaNoi.
B3 – Lưu đoạn Script vào trong ổ C: với tên TaoOUCon.ps1
B4 – Chạy đoạn script vừa tạo, sau đó kiểm tra đã tạo xong cấu trúc OU
3. Di chuyển các User vào OU tương ứng
B1 – Tìm hiểu lệnh Get-ADUser bằng cách thực hiện lệnh bên dưới. Lệnh này sẽ tìm kiếm các User có thuộc tính Department là Ketoan
Get-ADUser -Filter {Deparment -eq “Ketoan”}
B2 – Kết hợp lệnh Get-ADUser và lệnh Move-ADObject
Get-ADUser – Filter {Deparment -eq “Ketoan”} | Move-ADObject -TargetPath “ou=KeToan,ou=SaiGon,dc=Nhatnghe,dc=Local”
Thực hiện lệnh trên để di chuyển các User có thuộc tính Department là ketoan vào OU KeToan.
Kết quả lệnh Get-ADUser sẽ được truyền vào để làm tham số cho lệnh Move-ADObject
B3 – Kiểm tra thấy user u1 và u2 đã được di chuyển vào OU Ketoan
B4 – Để di chuyển nhiều đối tượng, thực hiện các lệnh sau:
("Ketoan","Nhansu","ToChuc") | %{Get-ADObject -Filter {Department -eq $_} | Move-ADObject -TargetPath "ou=$_,ou=SaiGon,dc=Nhatnghe,dc=Local"}
("Kinhdoanh”,”Hanhchinh") | %{Get-ADObject -Filter {Department -eq $_} | Move-ADObject -TargetPath "ou=$_,ou=Hanoi,dc=Nhatnghe,dc=Local"}
B5 – Kiểm tra các user đã được di chuyển vào các OU tương ứng
4. Add user vào group tương ứng
B1 – Lệnh bên dưới sẽ Add user u1 và u2 vào group KeToan
Add-AdGroupMember – Identity Ketoan -Members u1
Add-AdGroupMember – Identity Ketoan -Members u2
B2 – Quan sát thấy user u1 và u2 là thành viên của Group Ketoan
B3 – Để add hàng loạt các user làm thành viên của các group phù hợp dựa vào thuộc tính của từng user, soạn đoạn script như bên dưới
B4 – Lưu đoạn Script trên vào ổ C:, sau đó chạy đoạn Script vừa tạo
B5 – Kiểm tra danh sách thành viên của từng group
|
|
|
CONFIGURING ADVANCED WINDOWS SERVER 2016 SERVICES (Part 01)
I. DHCP FAILOVER
CÁC BƯỚC TRIỂN KHAI:
1. Cài đặt DHCP Server thứ 1
2. Tạo Scope để cấp IP cho Client
3. Cài đặt DHCP Server thứ 2
4. Cấu hình DHCP Failover
5. Kiểm tra
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy:
+ PC01: Windows Server 2016 DC ( Domain: NHATNGHE.LOCAL)
+ PC02: Domain Member Windows Server 2016
+ PC03: Domain Member Windows 10
B- THỰC HIỆN
1. Cài đặt DHCP Server thứ 1 (Thực hiện trên máy PC01)
|
B1 – Mở Server Manager, vào menu Manage à chọn Add Roles and Features B2 – Các bước đầu tiên nhấn Next theo mặc định. Màn hình Server Roles à chọn DHCP Server à Add Features à Next
|
B3 – Màn hình Features à giữ nguyên như mặc định à Next B4 – Màn hình DHCP Server à Next B5 – Màn hình Confirmation, check ô Restart the destination server automatically if required à Install à Close |
2. Tạo Scope để cấp IP cho Client (Thực hiện trên máy PC01)
|
B1 – Mở Server Manager, vào menu Tools à chọn DHCP B2 – Chuột phải IPv4 à chọn New Scope
B5 – Màn hình IP Address Range, điền các thông số như trong hình à Next
B8 – Màn hình Configure DHCP Options à chọn Yes, I want to configure these options now à Next
B10 – Màn hình Domain Name and DNS Servers, mục Parent Domain: NHATNGHE.LOCAL, khai báo IP 192.168.1.1 à Next à Next
B11 – Màn hình Activate Scope, chọn Yes, I want to activate this scope now à Next
|
B3 – Màn hình Welcome à Next B4 – Màn hình Scope Name, đặt tên: Network Client à Next
B6 – Màn hình Add Exclusions and Delay à Next
B7 – Màn hình Lease Duration, giữ nguyên như mặc định à Next
B9 – Màn hình Router, nhập vào địa chỉ 192.168.1.200 cho Default gateway à Next
B12 – Màn hình Completing à Finish
B13 – Quan sát thấy Scope đã được tạo
|
3. Cài đặt DHCP Server thứ 2
B1 – Trên máy PC02, cài đặt dịch vụ DHCP và đăng ký dịch vụ DHCP vào Active Directory tương tự như trên PC01.
B2 – Sau khi cài đặt, mở DHCP console kiểm tra trên DHCP Server này chưa có Scope nào
4. Cấu hình DHCP Failover
|
B1 – Trên máy PC01, mở DHCP Console. Chuột phải vào IPv4 à chọn Configure DHCP
B4 – Màn hình Create a new failover relationship, cấu hình như sau: + Maximum Client Lead Time: 5 minutes + Mode: Load balance + Shared Secret: 123 à Next
B7 – Qua máy PC02, mở DHCP Console à Quan sát thấy Scope mới đã tự động được tạo
B9 – Qua tab Failover, quan sát thấy mục Partner Server đồng bộ hóa Scope từ PC01 à OK
|
B2 – Màn hình Introduction to DHCP Failover à Next B3 – Màn hình Specfiy the partner server to use for failover à Mục Partner Server, nhập IP Address của máy PC02 à Next
B5 – Màn hình Completing à Finish B6 – Kiểm tra trạng thái cấu hình là Successful à nhấn Close
B8 – Chuột phải vào Scope à chọn Properties
|
5. Kiểm tra
|
B1 – Trên máy PC03, chuyển sang chế độ IP động
B4 – Nhập lệnh ipconfig /release để trả thông số IP
B5 – Qua máy PC02, mở DHCP. Chuột phải vào scope à chọn Deactivate
B7 – Qua máy PC03, nhập lệnh ipconfig /renew để nhận IP mới
|
B2 – Nhập lệnh ipconfig /renew để xin IP mới
B3 – Nhập lệnh ipconfig /all để xem thông số TCP/IP đã nhận, trong hình dưới là DHCP của PC02 cấp IP cho client
B6 – Hộp thoại xác nhận à chọn Yes
B8 – Kiểm tra kết quả thành công và PC03 sẽ nhận IP từ DHCP Server còn lại.
|
ADMINISTERING WINDOWS SERVER 2016 (Part 07)
VII. VIRTUAL PRIVATE NETWORK (VPN)
PHẦN 1: VPN CLIENT TO GATEWAY
CÁC BƯỚC TRIỂN KHAI:
1. Cấu hình VPN Server bằng giao thức PPTP
2. Tạo user để VPN Client kết nối vào VPN Server
3. Cấu hình VPN Client
4. Cấu hình VPN Server bằng giao thức L2TP
A- CHUẨN BỊ
– Mô hình bài lab bao gồm 3 máy Windows Server 2016
– Đặt IP cho các máy theo bảng sau:
– Tắt Firewall trên cả 3 máy
– PC02: Cài đặt Role Routing and Remote Access
B- THỰC HIỆN
1. Cấu hình VPN Server bằng giao thức PPTP (Thực hiện trên máy PC02)
|
B1 – Mở Server Manager -> menu Tools -> chọn Routing and Remote Access B2 – Chuột phải vào tên PC -> Chọn Configure and Enable Routing and Remote Access
B3 – Màn hình Welcome -> Next B4 – Màn hình Configuration -> chọn Custom Configuration -> Next B5 – Check ô VPN access và LAN routing -> Next
B6 – Màn hình Completing -> Finish B7 – Chọn Start service -> Finish |
B8 – Chuột phải vào PC02 -> chọn Properties
B9 – Qua tab IPv4 -> chọn ô Static address pool -> Add
B10 – Cửa sổ New IPv4 Address Range, nhập vào dãy địa chỉ như sau: + Start IP Address: 10.0.0.1 + End IP Address: 10.0.0.254 OK -> OK
|
![clip_image002[4]](https://daoduyhieu.files.wordpress.com/2020/03/clip_image0024-1.jpg "clip_image002[4]")
2. Tạo user để VPN Client kết nối vào VPN Server (Thực hiện trên máy PC02)
|
B1 – Mở Local Users and Groups, tạo user sau: User name: teo Password: P@ssword -> Lưu ý: Bỏ dấu check ở tùy chọn User must change password at next log on
|
B2 – Chuột phải lên user teo -> chọn Properties. Qua tab Dial-in, bên dưới mục Network Access Permission -> chọn ô Allow Access -> OK
|
3. Cấu hình VPN Client (Thực hiện trên máy PC03)
|
B1 – Mở Control Panel -> chọn Network and Sharing Center -> Set up a connection or network
B3 – Chọn Use my Internet Connection (VPN)
B5 – Mục Internet address, nhập vàp IP LAN của PC02: 192.168.1.1. Mục Destination Name, đặt tên cho kết nối, vd: VPN Connection -> Create
B7 – Thanh Charmbar ở góc bên phải xuất hiện, chọn VPN Connection -> Connect
B9 – Kết nối thành công. Kiểm tra: mở CMD, gõ lệnh IPCONFIG /ALL, thấy đã nhận IP từ VPN Server
Nhận xét: Máy PC03 đã được VPN Server cấp 1 địa chỉ IP nằm trong dãy 10.0.0.1 đến 10.0.0.254. Máy PC03 và PC01 liên lạc được với nhau. B11 – Chuột phải vào Connecion VPN Connection, chọn Status.
|
B2 – Màn hình Choose a connection option -> Chọn Connect to a workplace -> Next
B4 – Chọn I’ll setup an Internet connection later B6 – Chọn Change Adapter Settings -> Chuột phải vào VPN Connection vừa tạo, nhấn Connect/Disconnect
B8 – Hộp thoại Network Authentication, khai báo user name và password của teo.
B10 – Lần lượt ping đến các địa chỉ trong mạng nội bộ: Ping 172.16.1.1 Ping 172.16.1.2 -> Ping thành công
B12 – Qua tab Details, thấy mục Device Name: PPTP. Như vậy VPN đang kết nối bằng giao thức PPTP
|
4. Cấu hình VPN Server bằng giao thức L2TP (Thực hiện trên máy PC02)
|
B1 – Mở Routing and Remote Access, chuột phải vào PC02 -> chọn Properties
B3 – Nhấn OK
B4 – Chuột phải vào PC02 -> All Tasks -> Restart B5 – Trên PC03, mở Network Connection, chuột phải vào VPN Connection, chọn Properties
B8 – Chuột phải vào VPN Connection vừa tạo, nhấn Connect/Disconnect. B9 – Chuột phải vào Connecion VPN Connection, chọn Status.
|
B2 – Qua tab Security, check ô Allow custom Ipsec policy for L2TP/IKEv2 connection. Mục Preshared key, nhập vào 123456 -> OK -> OK
B6 – Qua tab Security, bên dưới mục Type of VPN, chọn L2TP/Ipsec VPN -> nhấn Advanced settings
B7 – Chọn Use preshared key for authentication, mục Key nhập vào: 123456 -> OK -> OK
B10 – Qua tab Details, thấy mục Device Name: L2TP. Lúc này VPN kết nối bằng giao thức L2TP
|
About me
My name is Hieu Dao (Kevin), I have been working as an IT Director/ERP Manager. I have had 15 years of experience in these fields networking, security, and Microsoft Technologies. Skill in multiple Operation Systems, Virtualization, ERP (MS Dynamics AX, Oracle EBS, OpenERP), and leading software application. I have gained a lot certified of engineers, system/network security, audit, and instructor/trainer of the major and prestigious technology firms in the world. I am honoured that MICROSOFT Corporation has selected and offered a Microsoft Most Valuable Professional (MVP) Award title to me.
