Giáo trình nghề Quản trị mạng - Môđun: Quản trị nâng cao
BM/QT10/P.ĐTSV/04/04
Ban hành lần: 3
UBND TỈNH BÀ RỊA – VŨNG TÀU
TRƯỜNG CAO ĐẲNG KỸ THUẬT CÔNG NGHỆ
GIÁO TRÌNH
MÔ ĐUN :QUẢN TRỊ NÂNG CAO
NGHỀ: QUẢN TRỊ MẠNG
TRÌNH ĐỘ: CAO ĐẲNG
Ban hành kèm theo Quyết định số: ……/QĐ-CĐKTCN, ngày … tháng … năm
20…… của Hiệu trưởng Trường Cao đẳng Kỹ thuật Công nghệ BR-VT)
BÀ RỊA – VŨNG TÀU, NĂM 2020
TUYÊN BỐ BẢN QUYỀN
Nhằm đáp ứng nhu cầu học tập và nghiên cứu cho giảng viên và sinh
viên nghề Công nghệ Thông tin trong trường Cao đẳng Kỹ thuật Công nghệ
Bà Rịa – Vũng Tàu, chúng tôi đã thực hiện biên soạn tài liệu Quản trị mạng
này.
Tài liệu được biên soạn thuộc loại giáo trình phục vụ giảng dạy và học
tập, lưu hành nội bộ trong Nhà trường nên các nguồn thông tin có thể được
phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham
khảo.
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh
doanh thiếu lành mạnh sẽ bị nghiêm cấm.
LỜI GIỚI THIỆU
Giáo trình “Quản trị mạng nâng cao” được biên soạn dựa trên khung chương
trình đào tạo Cao đẳng nghề Công nghệ Thông tin năm 2019 đã được Trường Cao
đẳng Kỹ thuật Công nghê Bà Rịa – Vũng Tàu phê duyệt.
Tác giả đã nghiên cứu một số tài liệu, công nghệ hiện đại kết hợp với kinh
nghiệm làm việc thực tế để viết nên giáo trình này. Nội dung được tác giả trình
giáo trình là trang bị cho học viên những kiến thức và kỹ năng:
- Xây dựng và quản trị hạ tầng Active directory
- Cài đặt và quản trị hạ tầng khóa CA
- Cài đặt và cấu hình DHCP relay agent
- Có khả năng tinh chỉnh và giám sát mạng Windows Server;
- Triển khai được dịch vụ Routing and Remote Access (RRAS);
- Có khả năng phát hiện và khôi phục Server bị hỏng;
- Có khả năng cài đặt và quản lý máy tính từ xa thông qua RAS;
- Xây dựng được một mạng riêng ảo VPN;
- Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiện chính
xác thao tác sao lưu cấu hình mặc định của Firewall;
- Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file;
- Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập.
- Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập.
Nội dung giáo trình được chia thành 9 bài, trong đó:
Bài 1: Dịch vụ windows terminal services
Bài 2: Tính năng bảo mật nâng cao server
Bài 3: Thực thi distributed ad ds deployments
Bài 4: Operations master roles
Bài 5: Dịch vụ routing
Bài 6: Dịch vụ nat
Bài 7: Dịch vụ dhcp relay
Bài 8: Dịch vụ virtual private network
Bài 9 : Triển khai các dịch vụ dựa trên certification authority
Mặc dù bản thân đã tham khảo các tài liệu và các ý kiến tham gia của các
đồng nghiệp, song cuốn giáo trình vẫn không tránh khỏi những thiếu sót. Mong
các bạn đóng góp ý kiến.
Tôi xin cảm ơn các thầy cô khoa CNTT–Trường Cao đẳng nghề đã cho tôi
các ý kiến đóng góp quý báu để tôi hoàn thiện giáo trình này.
Bà Rịa – Vũng Tàu, ngày …… tháng …… năm ………
Tham gia biên soạn
1. Vũ Thị Tho – Chủ biên
3
MỤC LỤC
BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES
1. Tại sao phải dùng Terminal services.............................................................7
2. Các hình thức máy trạm kết nối đến máy chủ:..............................................7
3. Cài đặt và cấu hình Terminal Service............................................................7
3.1. Cài đặt Terminal Services: .........................................................................8
3.2. Thêm các chương trình ứng dụng RemoteApp ........................................13
3.3. Chia sẻ folder chứa file ứng dụng ............................................................17
3.4. Kiểm tra trên máy client...........................................................................18
4.Triển khai các ứng dụng RemoteApp thông qua TS Web Access: ..............21
4.1. Cài đặt TS Web Access trên Terminal Server..........................................21
4.2.Kiểm tra trên Terminal Client ...................................................................24
5. Bảo mật Terminal Services của Windows Server 2008..............................25
5.1. Sử dụng chứng thực Smart Cards.............................................................25
5.2. Cấu hình bảo mật bổ sung bằng Group Policy.........................................25
BÀI 2: TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER
1. Thiết lập Advanced Firewall......................................................................32
1.1. Giới thiệu .................................................................................................32
1.2. Cấu hình Advanced FireWall..................................................................32
1.2.1. Xác định port.........................................................................................33
1.2.2.Cấu hình Inbound Rule...........................................................................33
1.2.3.Cấu hình Outbound Rule........................................................................35
2. IP SECURITY...........................................................................................38
2.1. Tổng quan IP Sec......................................................................................38
2.1.1. Khái niệm IP Sec...................................................................................38
2.1.2. Cấu trúc bảo mật của IP SEC................................................................38
2.1.3. Hiện trạng IP SEC.................................................................................39
2.2. Cấu hình IP Sec.....................................................................................40
2.2.1. Cấu hình IP Sec cho tất cả các kết nối ..................................................40
2.2.2. Cấu hình IP Sec cho kết nối được chỉ định ..........................................54
2.2.3. Connection Security Rules....................................................................56
2.2.4. Deploy connection Security Rules bằng GPO ......................................59
BÀI 3: THỰC THI DISTRIBUTED AD DS DEPLOYMENTS
1. Các thành phần Active directory ................................................................60
2. Thực thi Active directory ............................................................................62
2.1. Cấu hình Child Domain trong AD ...........................................................62
2.2. Thêm domain controller ..........................................................................67
2.3. Cấu hình DNS...........................................................................................71
BÀI 4: OPERATIONS MASTER ROLES
1.Giới thiệu Operations master roles ..............................................................76
1.1. FSMO là gì ...............................................................................................76
1.2. Các vai trò của FSMO..............................................................................76
2.Cấu hình Operations master roles ...............................................................79
2.1. Transfer FSMO Roles ..............................................................................80
4
2.2. Size FSMO Roles .....................................................................................80
BÀI 5: DỊCH VỤ ROUTING
1.Giới thiệu Routing .......................................................................................80
2. Cấu hình Routing :.......................................................................................83
2.1. Cài đặt role Routing and Remote Access.................................................84
2.2. Cấu hình Static Route...............................................................................85
2.3. Cấu hình Dynamic Route .........................................................................89
BÀI 6: DỊCH VỤ NAT
1. Giới thiệu NAT /PAT.................................................................................91
2. Cấu hình NAT OUTBOUND & INBOUND ON SERVER......................94
2.1. Cấu hình NAT OUTBOUND...................................................................95
2.2. Cấu hình NAT INBOUND.......................................................................99
3. Bài tập nâng cao ......................................................................................101
BÀI 7: DỊCH VỤ DHCP RELAY
1. Giới thiệu DHCP Relay Agent.................................................................102
1.1.Tại sao phải sử dụng DHCP relay agent .................................................102
1.2.Ưu diểm của DCHP RELAY ..................................................................103
1.3.Cơ chế hoạt động DHCP Relay Agent ...................................................103
1.4.Cấp phép (authorize) ...............................................................................104
1.5.Level option của DHCP server................................................................105
2. Cài đặt và cấu hình DHCP Relay Agent .................................................107
2.1.Cài đặt và cấu hình DHCP server ...........................................................107
2.2.Cài đặt cấu hình DHCP Relay.................................................................114
BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK
1. Tổng quan về VPN ...................................................................................118
1.1.Khái niệm vpn ........................................................................................118
1.2.Lợi ích của VPN .....................................................................................119
1.3.Cơ chế hoạt động của VPN .....................................................................119
1.4.Giao thức sử dụng VPN ..........................................................................120
2. Cấu hình VPN Client to Site ....................................................................123
3. Cấu hình VPN Site to Site ........................................................................132
BÀI 9 :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION
AUTHORITY
1. Cơ sở hạ tầng khóa công khai ..................................................................142
1.1. Giới thiệu về PKI...................................................................................142
1.2. Chứng chỉ số...........................................................................................142
1.2.1 Giới thiệu .............................................................................................143
1.2.2. Lợi ích của chứng chỉ số......................................................................143
2. Triền khai dịch vụ CA trên môi trường windows server 2008.................145
2.1. Cài Enterprise CA ...............................................................................146
2.2. Cấp phát quản lý CA...........................................................................147
3. Triền khai một số dịch vụ mạng sử dụng CA...........................................157
3.1. Dịch vụ IP Sec.....................................................................................157
3.2. Dịch vụ Web sử dụng SSL..................................................................170
3.3. Dịch vụ VPN.......................................................................................176
5
GIÁO TRÌNH MÔ ĐUN
Tên mô đun: Quản trị mạng nâng cao
Mã môn học/mô đun:MĐ14
VỊ TRÍ, TÍNH CHẤT CỦA MÔ ĐUN:
- Vị trí: Mô đun được bố trí sau khi sinh viên học xong môn, mô đun: Mạng máy
tính, Quản trị mạng 1, Quản trị hệ thống WebServer và MailServer
- Tính chất: Là mô đun chuyên nghành bắt buộc.
MỤC TIÊU MÔ ĐUN:
- Có khả năng tinh chỉnh và giám sát mạng Windows Server;
- Triển khai được dịch vụ Routing and Remote Access (RRAS);
- Có khả năng phát hiện và khôi phục Server bị hỏng;
- Có khả năng cài đặt và quản lý máy tính từ xa thông qua RAS;
- Xây dựng được một mạng riêng ảo VPN;
- Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiện chính
xác thao tác sao lưu cấu hình mặc định của Firewall;
- Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file;
- Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập.
NỘI DUNG MÔ ĐUN:
6
BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES
Mã bài: 14.1
1. Tại sao phải dùng Terminal services
Terminal Service Remote Application là một tính năng mới trên Windows
Server 2008. Các chương trình ứng dụng sẽ được cài đặt sẵn trên Windows Server
2008, các máy trạm tuy không cài đặt chương trình ứng dụng, nhưng vẫn có thể
khai thác các chương trình ứng dụng đó trên máy chủ thông qua Terminal Service.
Terminal Service có đặc điểm như sau:
-Sự truy cập liền mạch . Người dùng truy cập vào các ứng dụng hosting từ xa một
cách liền mach như các ứng dụng đang được cài đặt cục bộ. Các ứng dụng hosting
có thể cư trú trên các ứng dụng được cài đặt cục bộ.
- Quản lý ứng dụng tập trung, dễ dàng, và đơn giản.
-Dễ dàng quản lý các văn phòng chi nhánh,phù hợp nhất với những công ty không
có nhân viên IT chuyên nghiệp tại các văn phòng chi nhánh.
-Sử dụng các ứng dụng không tương thích cùng với nhau trong cùng 1 hệ thống
- Các máy trạm không cần phải có cấu hình phần cứng mạnh và doanh nghiệp
không phải tốn nhiều chi phí về bản quyền phần mềm khi sử dụng dịch vụ này.
Tuy nhiên, doanh nghiệp vẫn phải mất chi phí bản quyền cho CAL (Client Access
License), và chi phí này vẫn thấp, có thể chấp nhận được .
- Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải
được cài đặt Remote Desktop Connection (RDC) 6.0 trở lên.
2. Các hình thức máy trạm kết nối đến máy chủ
- Có 4 cách để máy trạm kết nối đến máy chủ khi khai thác chương trình ứng dụng
trên máy chủ:
Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web
Access, máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.1.
RDC6.1 có sẵn trong Windows Vista Service Pack 1 và Windows XP Professional
Service Pack 3.
Sử dụng Network Access: Máy chủ tạo sẵn file .rdp (mỗi chương trình ứng dụng
tương ứng 1 file .rdp) và được share trên máy chủ, máy trạm truy cập vào máy
chủ, chạy trực tiếp file đó để khai thác chương trình ứng dụng trên máy chủ.
Sử dụng Network Access: Máy chủ tạo sẵn file .msi (mỗi chương trình ứng dụng
tương ứng 1 file .msi)và được share trên máy chủ, máy trạm truy cập vào máy
chủ, chạy trực tiếp file đó để cài đặt các shortcut liên kết đến chương trình ứng
dụng trên máy chủ. Các shortcut này được cài đặt trong Start menu của máy trạm,
cụ thể là mục Remote Application. Máy trạm chạy các shortcut đó để khai thác
chương trình ứng dụng trên máy chủ.
Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc
cài đặt shortcut liên kết đến chương trình ứng dụng trên máy chủ cho nhiều máy
trạm.
3. Cài đặt và cấu hình Terminal Service
Chuẩn bị: Hệ thống gồm:
- Server: Windows Server 2008
7
+ Tạo local user: sv1/123 , sv2/ 123 và add vào group remote desktop users
+ Bật chế độ remote desktop trên máy server.
+ Change password Adminstrator là 123
- Client: Windows XP.
Thực hiện:
3.1. Cài đặt Terminal Services:
Start –> Programs –> Administrative Tools –> Server Manager
Chuột phải Roles –> Add Roles
Before you begin –> Next
8
Chọn Terminal Services –> Next
Hộp thoại Instruction to Terminal Services –> Next
Chọn Terminal Server –> Next
Application Compatibility để mặc định –>Next
9
Authentication Method –> Chọn Do Not Require Network Level
Authentication –> Next
Licensing Mode –> Configure later –> Next
10
Add 2 user sv1 và sv2 vào để có thể access the terminal server
Confirmation Installation –> chọn Install. Sau khi cài đặt xong thì chọn Restart –
> OK
11
Kiểm tra Remote Connection đã được enable
Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote
3.2. Thêm các chương trình ứng dụng RemoteApp:
- Start –> Program –> Administrative Tools ->Terminal Services ->TS
RemoteApp Manager.
- Menu Action –> Add RemoteApp Programs.
12
Menu Action –> Add RemoteApp Programs
Màn hình Wellcome –> Next
13