HIEU’S BLOG

I. GIỚI THIỆU:

Trong các doanh nghiệp, đối với những người dùng có nhu cầu kết nối từ xa để truy cập mạng nội bộ, người quản trị thường cấu hình Virtual Private Network (VPN) cho phép người dung có thể kết nối vào mạng nội bộ từ một máy Client nào đó thông qua đường truyền Internet công cộng. Kỹ thuật VPN thông thường sử dụng Point to Point Tunneling Protocol (PPTP) hoặc Layer two Tunnneling Protocol (L2TP) kết hợp IPSEC. Tuy nhiên trong trường hợp người dùng ngồi trên 1 Client thuộc một mạng nội bộ khác truy cập Internet thông qua một Firewall, Firewall này không cho phép thiết lập kết nối PPTP hoặc L2TP thì người dùng sẽ không thể kết nối VPN vào mạng doanh nghiệp. Giải pháp trong tình huống này là sử dụng Secure Socket Tunneling Protocol (SSTP).

SSTP được giới thiệu từ Windows Server 2008 cho phép thiết lập kết nối VPN thông qua kênh mã hóa SSL của HTTPS, có nghĩa là kết nối sẽ chạy port 443, trong trường hợp này có thể thông qua các firewall cho phép truy cập Web.

Trong bài viết này tôi sẽ giới thiệu kỹ thuật kết nối VPN bằng SSTP trong môi trường Windows Server 2012

II. CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 3 máy:

+ DC2012: Domain Controller chạy Windows Server 2012 (domain mcthub.local.

+ Router: Windows Server 2012 đã join domain.

+ Client1: Windows 8 chưa join domain

Continue reading “CẤU HÌNH VPN – SSTP (SECURE SOCKET TUNNELING PROTOCOL) TRÊN WINDOWS SERVER 2012”

I- GIỚI THIỆU:

Để tự động hóa quá trình cài đặt, Windows Deployment Services cần kết hợp với Unattend File. Trong phần 2 này, tôi sẽ trình bày các bước chi tiết để tạo Unattend File bằng chương trình Windows System Image Manager, chương trình này tích hợp trong bộ phần mềm Windows Assessment and Deployment Kit (ADK)

Hoàn tất bài lab này, bạn sẽ thực hiện được:

+ Triển khai cài đặt Windows 8 Professional cho các Client tự động.

+ Client sau khi cài đặt xong sẽ tự động join vào domain do bạn qui định, tự động log on vào Windows đồng thời Client cũng tự động kích hoạt key bản quyền.

II- CÁC BƯỚC TRIỂN KHAI:

* Chuẩn bị:

– Bạn phải thực hiện xong Phần 1: Cài đặt và cấu hình Windows Deployment Services.

– Tạo thư mục E:\Images\Windows 8 Pro. Copy file installs.wim trong đĩa cài đặt Windows 8 vào thư mục này.

– Download source cài đặt Windows Assessment and Deployment Kit (ADK) dành cho Windows 8: http://www.microsoft.com/en-us/download/details.aspx?id=30652

* Quy trình thực hiện:

1/ Cài đặt Windows ADK trên máy SERVER 1

2/ Cấu hình Windows System Image Manager

          a. Tạo Unattend dành cho WDS (WDSClientUnattend.xml)

          b. Đính kèm WDSClientUnattend.xml vừa tạo vào WDS Server

          c. Tạo Unattend cho hệ điều hành Windows 8 (AutoAttend.xml)

          d. Đính kèm AutoAttend.xml vào Windows 8 Image

3/ Kiểm tra Client

Continue reading “WINDOWS DEPLOYMENT SERVICES 2012- PHẦN 2: TỰ ĐỘNG HÓA WDS BẰNG UNATTEND FILE”

I- GIỚI THIỆU:

Windows Deployment Services (WDS) là dịch vụ tích hợp trong Windows Server 2012 cho phép cái đặt hệ điều hành từ xa cho các máy Client thông qua môi trường mạng. Trong bài lab này, tôi sẽ hướng dẫn bạn cách cài đặt và cấu hình Windows Deployment Services.

II- CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 3 máy:

+ DC2012: Domain Controller chạy Windows Server 2012 (domain mcthub.local) và đóng vai trò DHCP Server

+ SERVER1: Máy đã join domain (mcthub.com) đóng vai trò WDS Server

+ CLIENT: chưa cài hệ điều hành nào

* Chuẩn bị:

– DC2012 cài đặt DHCP Server (Tham khảo bài viết Cấu hình DHCP Failover trên Windows Server 2012)

* Quy trình thực hiện:

1/ Tạo Image trên máy SERVER1

2/ Mount Image install.wim vào thư mục

3/ Add role Web Server (IIS) vào Image

4/ Cài đặt và cấu hình Windows Deployment Services

          a. Cài đặt Windows Deployment Services

          b. Cấu hình Windows Deployment Services

          c. Tạo Boot Image

          d. Tạo Image Group

          e. Tạo Install Image

5/ Kiểm tra trên máy Client

Continue reading “WINDOWS DEPLOYMENT SERVICES 2012- PHẦN 1: CÀI ĐẶT VÀ CẤU HÌNH WDS”

I- GIỚI THIỆU:

Direct Access là chức năng được Microsoft giới thiệu từ Windows Server 2008 R2 hỗ trợ các máy tính Client chạy Windows 7 kết nối vào hệ thống mạng nôi bộ mà không cần thiết lập kết nối VPN. Direct Access giúp người dùng có thể kết nối vào mạng nội bộ từ Internet mà không cần thực hiện bất cứ thao tác cấu hình nào và giúp người quản trị có thể quản lý các máy tính Client khi các máy tính này ở ngoài Internet.

Direct Access Client sử dụng Ipv6 để kết nối đến Direct Access Server phục vụ cho việc truy cập mạng nội bộ, tuy nhiên nếu hệ thống mạng nội bộ đang sử dụng Ipv4, Direct Access sẽ dùng các phương pháp để chuyển đổi Ipv6, giúp các gói tin Ipv6 có thể truyền trong hệ thống mạng nội bộ sử dụng Ipv4 sau đây:

– ISATAP: Được sử dụng trong mạng nội bộ để các máy tính liên lạc với nhau bằng Ipv6. Protocol này sẽ tạo một adapter ISATAP tunnel có địa chỉ IPv6, đóng gói dữ liệu trong IPv4 header và truyền trong mạng nội bộ. Khi đến đích sẽ giải mã gói tin và sử dụng Ipv6.

– 6to4 Protocol: Hỗ trợ các máy Direct Access Client sử dụng địa chỉ IP Public. Protocol này cũng sử dụng 1 adapter 6to4 tunnel để đưa gói tin Ipv6 vào bên trong gói tin Ipv4 cho phép truyền gói tin trong mạng nội bộ sử dụng Ipv4.

– Teredo Protocol: Teredo đóng gói các gói tin IPv6 theo dạng gói tin IPv4 để chuyển tiếp qua các NAT Server chạy IPv4 và mạng nội bộ IPv4. Các gói tin IPv6 này sẽ được gửi bằng giao thức UDP (User Datagram Protocol) port 3544. Windows Vista, Windows 7 và Windoww 8 mặc định đã được hỗ trợ sử dụng Teredo

– IP-HTTPS Protocol: Đây là protocol do Microsoft phát triển cho phép các Direct Access Client kết nối với Direct Access Server bằng port 443 (nếu port này được mở trên Server)

Để triển khai dịch vụ Direct Access có 2 cách:

a. Simplified Direct Access: Theo cách này Direct Access Server và Network Location Server sẽ tích hợp chung trên 1 Server và sử dụng Certificate tự phát sinh (Self-Signed Certificate), do đó bạn không cần triển khai dịch vụ Active Directory Certificate Service (ADCS) trong hệ thống. Tuy nhiên cách triển khai này chỉ không hỗ trợ dịch vụ NAP và các phương pháp chứng thực two-factor như smartcard…

b. Full PKI Direct Access:  Theo cách này thì việc cấu hình sẽ phức tạp hơn, bạn cần triển khai cơ sở hạ tầng PKI trong hệ thống bằng cách cài đặt và cấu hình dịch vụ Active Directory Certificate Service (ADCS) để cấp các Certificate cần thiết cho các Server và Client.

Trong bài viết này tôi sẽ trình bày thao tác cấu hình Direct Access theo cách Full PKI Deployment trên Windows Server 2012 hỗ trợ các máy Client chạy Windows 8 kết nối vào mạng nội bộ từ bên ngoài Internet.

Continue reading “CẤU HÌNH DIRECT ACCESS TRÊN WINDOWS SERVER 2012”

I- GIỚI THIỆU:

Trong hệ thống mạng hiện nay, dịch vụ DHCP có vai trò rất quan trọng, dịch vụ này bảo đảm cho các Client trong hệ thống luôn có bộ thông số TCP/IP chính xác và phù hợp với hệ thống. Việc cài đặt và cấu hình dịch vụ DHCP khá đơn giản. Tuy nhiên bạn cần bảo đảm dịch vụ này có tính sẵn sàng cao (High Availability). Trong bài viết này tôi sẽ trình bày cách cài đặt và cấu hình DHCP Failover với hai DHCP Server hoạt động song song nhằm tăng tính sẵn sàng cho dịch vụ.

II- CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 3 máy:

– DC2012: Domain Controller (domain mcthub.local) chạy Windows Server 2012

– SERVER1: Domain Member chạy Windows Server 2012

– CLIENT: Domain Member chạy Windows 8

* Quy trình thực hiện:

1/ Cài đặt DHCP Server thứ 1

2/ Tạo Scope để cấp IP cho Client

3/ Cài đặt DHCP Server thứ 2

4/ Cấu hình DHCP Failover

5/ Kiểm tra kết quả

Continue reading “CẤU HÌNH DHCP FAILOVER TRÊN WINDOWS SERVER 2012”

I- GIỚI THIỆU:

Các dịch vụ mới hiện nay đều cần khả năng lưu trữ lớn, tốc độ và khả năng chịu lỗi cao. Khi lập kế hoạch lưu trữ cho các dịch vụ trong toàn bộ hệ thống mạng của doanh nghiệp, điều đầu tiên bạn phải xem xét, lựa chọn công nghệ lưu trữ phù hợp, bao gồm các giải pháp lưu trữ trong nội bộ và nhiều chi nhánh.

Tổng quát có các mô hình lưu trữ sau:

a. Mô hình 1: DAS – (Direct Attached Storage) – Hệ thống lưu trữ kết nối trực tiếp vào Server

DAS là hệ thống lưu trữ mà trên đó các HDD, thiết bị nhớ (tape, DVD…) được gắn trực tiếp vào Server , nó thích hợp cho mọi nhu cầu nhỏ đến cao cấp nhất và cung cấp hiệu suất truy cập cao.

DAS thường đáp ứng cho các doanh nghiệp vừa và nhỏ.

* Ưu điểm: chi phí thấp, dễ lắp đặt,  tốc độ truy xuất tương đối tốt.

* Nhược điểm: khó mở rộng, và không có tính linh hoạt.

b. Mô hình 2: NAS – (Network Attached Storage) – Hệ thống lưu trữ qua mạng

NAS là thiết bị có thể gắn ổ cứng và có thể truy xuất qua mạng bằng IP

* Ưu điểm: khả năng mở rộng tương đối dễ dàng

* Nhược điểm:

– Việc truy xuất dữ liệu phụ thuộc vào đường truyền mạng nội bộ. Nếu dữ liệu lớn sẽ làm nghẽn đường truyền.

– Hỗ trợ lưu trữ theo dạng file chứ không phải dạng block nên không đáp ứng được các dịch vụ cần cấu trúc lưu trữ theo block

c. Kiểu 3: SAN – (Storage Area Network): là 1 mạng dành riêng cho các thiết bị lưu trữ

* Ưu điểm: Tốc độ cao, linh hoạt, khả năng mở rộng rất dễ, khả năng chịu lỗi cao

* Nhược điểm: Giá thành đắt, sự tương thích không cao

Windows Server 2012 giới thiệu dịch vụ iSCSI dùng giao thức SCSI và TCP/IP để giả lập một mạng SAN. Các Server sẽ kết nối vào hệ thống đĩa trong mạng SAN. Khi kết nối thành công, hệ thống đĩa này sẽ nằm trên các Server giống như là hệ thống đĩa gắn trực tiếp vào Server. Các Server có thể sử dụng hệ thống đĩa này để chứa dữ liệu của các dịch vụ.  Trong bài viết này, tôi sẽ giới thiệu các khái niệm và thao tác đơn giản để xây dựng một mạng lưu trữ bằng dịch vụ iSCSI của Windows Server 2012

Continue reading “CẤU HÌNH iSCSI SAN – STORAGE SERVICES TRÊN WINDOWS SERVER 2012 – PHẦN 1: CĂN BẢN”

I- GIỚI THIỆU:

Trong phần này tôi sẽ trình bày thao tác tích hợp DAC với File Server Resource Manager để phân loại dữ liệu và phân quyền dựa theo dữ liệu đã được phân loại

Để thực hiện bài LAB này bạn phải thực hiện xong phần 1

 

II. CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 3 máy:
– DC2012: Domain Controller chạy Windows Server 2012 (domain mcthub.local)

– SERVER1: File Server chạy Windows Server 2012

– CLIENT1: Client chạy Windows 8
SERVER1 và CLIENT1 là 2 máy đã join domain mcthub.local

Continue reading “CẤU HÌNH DYNAMIC ACCESS CONTROL (DAC) TRÊN WINDOWS SERVER 2012 – PHẦN 2: PHÂN LOẠI DỮ LIỆU”

I- GIỚI THIỆU:

Dynamic Access Control được giới thiệu từ Windows Server 2012 với những tính năng ưu việt cho phép hỗ trợ hoạt động của hệ thống File Server. Với Dynamic Access Control bạn có thể:

– Phân quyền truy cập trên các Folder/File với những điều kiện dựa vào User Claim, Device Claim hay Resoure Claim cho phép điều khiển quyền hạn truy cập chi tiết hơn nhiều so với cách phân quyền NTFS truyền thống.

– Giám sát, theo dõi việc truy cập dữ liệu một cách tập trung.

– Hỗ trợ File Server Resource Manager phân loại dữ liệu và điều khiển việc truy cập dựa vào dữ liệu đã phân loại một cách hiệu quả.

– Tích hợp Rights Management Service để tự động hóa việc bảo vệ các dữ liệu nhạy cảm trong doanh nghiệp.

Trong bài viết này tôi sẽ giới thiệu chi tiết cách cấu hình Dynamic Access Control để điều khiển việc phân quyền cho dữ liệu trên hệ thống File Server

II. CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 3 máy

– DC2012: Domain Controller chạy Windows Server 2012 (domain mcthub.local)

– SERVER1: File Server chạy Windows Server 2012

– CLIENT1: Client chạy Windows 8

SERVER1 và CLIENT1 là 2 máy đã join domain mcthub.local

Continue reading “CẤU HÌNH DYNAMIC ACCESS CONTROL (DAC) TRÊN WINDOWS SERVER 2012 – PHẦN 1: PHÂN QUYỀN TRUY CẬP DỮ LIỆU”

I- GIỚI THIỆU:

Hiện nay vẫn còn đa số các hệ thống mạng hoạt động trong môi trường domain trên nền Windows Server 2008 R2 hoặc Windows 2003 Server. Nhưng do hoạt động của hệ thống vẫn được duy trì ổn định nên những người quản trị viên rất ngại khi đề cập đến việc nâng cấp hệ thống mới và áp dụng công nghệ mới vào môi trường doanh nghiệp. Nhưng tính đến hiện nay thì thời gian sử dụng cho các hệ điều hành Windows Server này đã đến ngưỡng 10 năm, sắp hết được hỗ trợ từ microsoft (Windows 2000 đã ngưng support) và nguy cơ bị tấn công từ lỗ hổng bảo mật là rất cao.

Thêm vào đó trong năm 2013 này một loạt những sản phẩn mới được Microsoft tung ra thị trường như Exchange 2013, SharePoint 2013, SQL 2012, Windows 8… Do đó ta cần nâng cấp hệ thống cho phù hợp.

Với những lý do kể trên thì việc nâng cấp hệ thống sẵn sàng cho hoạt động CNTT trong môi trường doanh nghiệp hiện nay là cần thiết và nên được xem xét nghiêm túc. Trong bài viết này sẽ giới thiệu giải pháp nâng cấp hệ thống AD trên nền Windows Server 2008 R2 lên Windows Server 2012.

II- CÁC BƯỚC TRIỂN KHAI:

– Mô hình bài lab bao gồm 2 máy:

+ 1 server Windows Server 2008 R2 (MCTHUB-DC2008) làm Domain Controller. (Domain: mcthub.local).

+ 1 server Windows Server 2012(MCTHUB-DC2012) đã Join Domain.

Hệ thống của bạn có 1 DC chạy Windows Server 2008 R2, bạn đang có nhu cầu nâng cấp hệ thống AD lên Windows Server 2012. Tuy nhiên cấu hình phần cứng của DC-2K8 hiện thời không phù hợp để cài Win2K12. Vì vậy giải pháp tốt nhất là bạn sẽ cài đặt thêm 1 Additional DC sử dụng hệ điều hành Windows Server 2012.

* Quy trình thực hiện:

1/ Nâng cấp Forest Functional Level

2/ Mở rộng Schema (Forestprep – Domainprep)

3/ Nâng cấp Server MCTHUB-DC2012 làm Additional Domain Controller.

4/ Chuyển Operation Master Roles sang Server MCTHUB-DC2012

5/ Remove MCTHUB-DC2008 và dis-join

Continue reading “NÂNG CẤP ACTIVE DIRECTORY DOMAIN CONTROLLER TỪ WINDOWS SERVER 2008 R2 LÊN WINDOWS SERVER 2012”

I- GIỚI THIỆU:

Windows Server Migration Tools được giới thiệu từ Windows Server 2008 R2 và tiếp tục phát triển trên Windows Server 2012. Với công cụ này, bạn không những di chuyển được user và group từ server này sang server khác mà còn di chuyển được các thiết lập phân quyền trên tập tin và thư mục.

Trong phần này, chúng tôi sẽ hướng dẫn các bạn di chuyển dữ liệu từ Windows Server 2008 R2 sang Windows Server 2012

II- CÁC BƯỚC TRIỂN KHAI:

Mô hình bài lab bao gồm 2 máy:

+ FILE SERVER: File Server chạy HĐH Windows Server 2008 R2 (Source Server).

+ SERVER1: File Server chạy HĐH Windows Server 2012 (Target Server).

* Chuẩn bị:

– Trên DC2012, mở Active Directory Users and Computers.

– Tạo OU HCM, tạo 2 group Ketoan và Nhansu. Sau đó bạn tạo 2 user kt1 và ns1.

– Bạn add user kt1 vào group Ketoan.

– Tương tự, bạn add user ns1 vào group Nhansu.

Continue reading “WINDOWS MIGRATION TOOLS ON WINDOWS SERVER 2012”