Tài Liệu MCSA 2K8 tiếng việt bao gồm những bài giản căn bản nhất cho người mới bắt đầu hoc, hoặc những người đã đi làm có thể ôn tập lại nhưng kiến thức của giáo trình MCSA 2K8..................................................................................
Trang 1mail server http://www.kerio.com/mailserver/download
* Defualt gateway
- Default gateway la dia chi cua thiet bi ma goi tin se duoc goi den khi destination cua goitin là dia chi khac network
- Default gateway thuong la dia chi cua Router, Modern Router
- Dieu kien lam default gateway cho PC:
+ Cung Net, #Host voi he thong
+ Thong mang voi PC
+ co kha nang Router, share internet (NAT)
* DNS Services:
- Dich vu ho tro quan ly va phan giai nhung ten mien (domain name va IP)
- Ten de nho', IP kho' nho' Nên dùng tên đại diện cho IP
- DNS Server: máy cài DNS Services Máy phân giải địa chỉ
Prefer DNS: chính
ALT DNS: phụ
=> phụ dc sử dụng khi mất tín hiệu với thằng chính, nghĩa là ko kết nối được
Prefer DNS, ALT DNS => Nơi khai báo địa chỉ máy DNS server => hỗ trợ PC phân giải tên - IP
- DNS server thông dụng:
+ Tự cài DNS server
+ DNS Server của ISP
+ Địa chỉ của Router, modern, Wifi
+ Open DNS server
DHCP dịch vụ cấp địa chỉ IP động
command: nslookup lenh truc tiep truy van ten va ip
IP: đại diện liện lạc
SM: phân biệt Net và Host (máy cần liên lạc là cùng net hay khác net)
GW: hỗ trợ liên lạc địa chỉ khác net
DNS: hỗ trợ phân giải tên và IP
thiết bị draytek
* Class IP
- Quản lý IPv4 => phân thành 5 lớp (Class)
- Dựa vào số đầu tiên của IP để xác định lớp
224 -> 239: Class D => dùng triển khai Multicast
240 -> 255: Class E => dùng nghiên cứu, dự phòng
- Số 0: không sử dụng cho trường hợp bình thường
0.0.0.0 : default Route
Trang 2- Số 127: địa chỉ đại diện cho chính máy tính Gọi là local host hoặc loopback
=> Có thể sử dụng khác Default: + Tăng SM : Chia subnet: Tăng Net, giảm Host
+ Giảm SM: supernet: Giảm Net, tăng Host
* IP Public, IP Private
- Thiết bị liên lạc mạng => tối thiểu 1 IP (1 card mạng)
- Thiết bị tăng liên tục, IP chỉ sử dụng trong phạm vi 3 lớp A,B,C
=> Thiếu IP
- Giải pháp : tách IP của 3 lớp A, B, C làm 2 phần
+ IP Public: sử dụng WAN: internet
+ IP Private: sử dụng LAN
- Liên lạc thông qua:
+ LAN - LAN: IP Private
+ WAN - WAN: IP Public
+ WAN - LAN: dùng cơ chế NAT hỗ trợ
đến 172.31.x.x Class C: 192.168.x.x
Trang 3- Khái niệm đơn, cục bộ, độc lập, 1 đối tượng
- Local computer: 1 máy đơn, dữ liệu độc lập
Gồm các local Objects (local users, local groups, local policy, local admin, )
* Local users:
- Sử dụng window => đăng nhập 1 tài khoản người dùng (user account)
- User Acc gồm:
+ username: tên đăng nhập => phân biệt đối tượng
+ Password: mật khẩu => bảo mật
- Local users: 1 tài khoản người dùng lưu trữ thông tin và hoạt động trên 1 máy tính
- Cửa sổ quản lý user và group trên window là
+ local users and groups: Win 7
+ Win 8: server manager
command: lusrmgr.msc : local users and group
- Trên window luôn tồn tại 2 tài khoản
+ Administrator : tài khoản quản trị, rất quan trọng, có quyền cao nhất
+ Guest: tài khoản khách, chỉ sử dụng và có ảnh hưởng đến dịch vụ hệ thống,=> ko nên
sử dụng và thường disable
command: secpol.msc : local security policy
- Custom users: các Users dc admin hế thống tạo thêm => sử dụng Còn gọi là Users thường
- Mục đích tạo custom users:
+ Ko muốn nhân viên sử dụng tài khoản Admin
+ Nhiều users sử dụng trên 1 PC, mỗi Users có 1 môi trường (Profile) và quyền sử dụng
dữ liệu # nhau => dễ quản lý
- Tắt password phức tập
Run: Secpol -> account policies -> password policy -> Password must meet complexity -> disable
-Ngay 07/05/2016
Trang 4- Change Password: đổi mật khẩu, user tự thực hiện User logon vào window => nhấn Ctrl + Alt + Delete => change password
Khai mật khẩu hiện tại
Khai mật khẩu mới
- Set password: Admin thiết lập mật khẩu mới cho user Không cần mật khẩu hiện tại.Lưu ý: không tuỳ tiện thực hiện khi chưa có yêu cầu từ users Có thể mất dữ liệu của Users
compress: file nén: xanh dương
encrypt: file mã hóa: xanh lá
- Swith user : chuyển sang user khác sử dụng, user hiện tại, vẫn đang logon
- Log off: Thoát, tắt hết tất cả ứng dụng đang mở
- Đang nhập tự động: Vào Run gõ control userpasswords2
safe mode: + gỡ driver có vấn đề
+ enable user admin bị disable
- Mục đích: quản lý tập trung => nhanh, gọn
Rights: quyền liên quan hệ thống
permission: quyền dữ liệu
- Users có thể là thành viên của nhiều Group
- Default Group là các group có sẵn Nó chứa các user liên quan đến hoạt động của hệ thống
Ví dụ + Group Administrator chứa các user quản trị Window
+ Group User chứa tất cả user
+ Group Backup Operator chưa các user được quyền back up dữ liệu Window
- Custom Groups: Group được Admin tạo thêm, mục đích chứa User theo nhóm dựa trên nhu cầu của Admin
- Custom Group thường tạo theo phòng ban hoặc vị trí địa lý
Ví dụ Group Kế toán chưa user phòng kế toán
Local Policy - Local Security Policy
* Policy:
- Là chính sách về bảo mật trên window Nó hỗ trợ admin quản lý hoạt động của user trênwindow
- Nó là thành phần được trích từ Registry
- Local policy là policy hoạt động và ảnh hưởng trên 1 máy tính
- Ảnh hưởng cuối cùng của policy là đến user account
- Có 2 phần quản lý:
+ Computer configuration là policy tác động đến computer account
Trang 5+ User Configuration: Policy tác động đến User Acc.
- Cửa sổ quản lý Policy
Cách 1: Run => gpedit.msc
Cách 2: Run => MMC => File => Add/Remove Snap in
* policy cho ALL Users va Computer (ko có chọn lọc)
* Non - Administrators: Tác động user thường
* Administrators: tác động Group Admin
* tiếp tục Local Security Policy
- Thành phần được trích ra từ Local policy
- Can thiệp vào rất nhiều các hoạt động trên hệ thống máy tính => rất cần thiết
- Mở Local Security Policy: secpol.msc Nếu dùng gpedit.msc thì vào Computer configuration => Window setting => Security Setting
- Audit policy => ghi sự kiện
- Trong User Right Assginment: nếu 1 group hoặc user vừa bị Allow vừa Deny thì window ưu tiên Deny
- Take ownership: chiếm dụng quyền
NETWORK ACCESS
* Giới thiệu:
- Quản lý việc truy cập dữ liệu qua mạng giữa 2 máy tính
- Vai trò:
+ Máy A: máy truy cập
+ Máy B: máy nhận truy cập
- Các trường hợp xảy ra:
+ Vô luôn: Do current User trên máy A trùng với User hợp lệ đang tồn tại trên máy B Máy B chứng thực máy A tương ứng với quyền User trùng
Trang 6+ Bật hộp thoại: Do current user không trùng Máy A phải khai báo 1 tài khoản hợp lệ đang tồn tại trên máy B Khai tài khoản nào thì được máy B chứng thực với quyền tài khoản tương ứng.
+ Lỗi, không thành công:
+ Classic: chứng thực theo user đăng nhập
.bước 1: chứng thực Current User
.bước 2: chứng thực dựa trên hộp thoại
.bước 3: Lỗi => chứng thực dựa trên Guest
+ Guest only: Luôn luôn chứng thực dựa trên User Guest (ko nên sử dụng)
Share
* Giới thiệu:
- Hình thức chia sẽ dữ liệu qua mạng trên máy tính
- Máy share dữ liệu: File server, vai trò là máy B
- Máy truy cập dữ liệu: File Client, vai trò máy A
- Share Name: là tên của dữ liệu được share trực tiếp
- Dữ liệu có thể trực tiếp share là: ổ đĩa, folder
- Tại 1 thời điểm file server hỗ trợ số lượng Client truy cập tối đa
- Quản lý quyền của dữ liệu được share
- Chỉ ảnh hưởng quyền đến user log on From network => gọi là đăng nhập qua mạng, không ảnh hưởng quyền đến user Logon Local (đăng nhập tại chỗ)
- Cửa sổ phân quyền Share: Access Control List (ACL)
- Share có 3 quyền:
+ Full control: tất cả các quyền (đọc, xóa, sửa, tạo, phân quyền)
.quyền sử dụng và quyền quản lý
+ Change: thay đổi: đọc, xóa, sửa, tạo
+ Read: đọc
- Quyền sử dụng: 2 nhóm
+ Cho sử dụng: Add đối tượng vào cửa sổ ACL, sau đó cấp quyền cột Allow
+ Cấm sử dụng:
Trang 7.Cấm ngầm định: ko Add đối tượng vào cửa sổ ACL Chỉ sử dụng khi đối tượng
ko có liên quan
.Cấm tường minh: Add đối tượng vào cửa sổ ACL, rồi sau đó cấp quyền cột Deny
và quyền Deny ưu tiên hơn Allow Được sử dụng khi muốn phủ định quyền Allow của đối tượng
VD: phân quyền DataX theo nhu cầu:
- Administrator => cho Full
- Ketoan => cho Change
- Nhansu => cho Read
- Share dữ liệu mà không muốn Client nhìn thấy Share Name
- Mục đích: chia sẽ dữ liệu bí mật, riêng tư, phục vụ cho 1 nhóm Users
- Thực hiện: Thêm dấu $ vào sau Share Name
- Client muốn sử dụng dữ liệu share ẩn => truy cập trực tiếp đến share Name
\\pcxx\cuong$
* Map Network Drive:
- Lấy Share Name từ file server đem về máy của Client tạo thành ổ đĩa mạng
- Mục đích hỗ trợ Client tiện sử dụng trên File Server mà ko cần truy cập
- Có 2 hình thức Map:
+ Dùng giao diện đồ họa:
+ Dùng lệnh: có thể áp dụng vào policy để thực hiện tự động
Lệnh: + Net view \\192.168.2.28 => xem máy đang share cái gì
+ Net use tên ổ đĩa: \\địa chỉ File Server\ShareName (VD: net use
Y: \\192.168.2.28\Data28)
+ Net use tên ổ đĩa: "\\địa chỉ File Server\ShareName" (VD: net use Y:
"\\192.168.2.28\Data28")
+ Net use * \\địa chỉ File Server\ShareName (dấu * là cho máy tự đặt tên)
+ Net use tên ổ đĩa: "\\địa chỉ File Server\ShareName" /user:tên pass (VD: net use
* \\192.168.2.30\sex /user:administrator P@ssword)
+ Net use tên ổ đĩa: /delete => xóa 1 ổ đĩa Map
+ Net use * /delete => xóa toàn bộ ổ đĩa Map
- Cách tạo câu lệnh tự động áp dụng cho tất cả các user, computer từ policy
=> Tạo file bat => copy các câu lệnh vào
=> Cách 1: Add đến đường dẫn C:\Windows\System32\GroupPolicy\User\Scripts\Logon Cách 2: Vào Run gõ gpedit => User Configuration => Windows Setting => Scripts (logon/logoff) => double click vào logon => chọn Add => brow => copy file bat, pass vào đây Lưu ý: không đưa đường dẫn đến nơi file đang lưu
- Server manager => Roles => File Services => Share and Storage management
+ Default Share: là dữ liệu hệ thống window tự động share Hỗ trợ cho admin quản lý dữ liệu từ xa mà ko cần phải đi share
Trang 8+ Custom share: admin share
VD: Tắt default share =>
http://www.lecuong.info/2008/08/disable-hidden-administrative-shares.html
NTFS Permission
* Giới thiệu:
- Bộ quyền quản lý chi tiết dữ liệu lưu trữ trên máy tính
- Chỉ khả thi trên ổ đĩa được định dạng NTFS
- Ảnh hưởng đến User logon local và Logon from Network
SYSTEM: group quản lý hệ thống
Khi phân quyền NTFS không remove CREATOR OWNER, SYSTEM,
ADMINISTRATOR
Nếu muốn thay đổi quyền, gỡ quyền của dữ liệu ta phải ngăn quyền thừa kế từ dữ liệu cha (bỏ dấu check include)
- Muốn quản lý quyền trên dữ liệu nào thì thực hiện trực tiếp trên dữ liệu tương ứng:
- NTFS per: có tính thừa kế quyền (Read, Write, List Folder độc lập)
Standard Per => FullControl => Modify => + Write
+ Full Read: gồm: Read & exe, List Folder, Read
VD: chỉ có quyền Write, ko có Read: thì kéo thả file vào thư mục, paste vào nhưng ko biết trong thư mục đó có gì
Read & execute bao gồm list folder và Read => Full Read
Muốn biết trong Write, Read, quyền đặc biệt là gì thì vào advanced
VD: thư mục DataX -> Admin/Creator/System
-> Ketoan, nhansu: Read(Full)->Phim: Ketoan, nhansu: Modify-> Nhac: ketoan: Full
-> Hinh: nhansu: FullVD: Cho Folder share kt1, kt2 nhưng file của user nào tạo thì chỉ user đó dc sửa, xóa => thì cho quyền Full sau đó vào special permission bỏ 2 check dấu Delete
- Chỉ có quyền admin có quyền take owner
* Kết hợp Share và NTFS:
- Share là chia sẽ dữ liệu NTFS là phân quyền dữ liệu
- Hỗ trợ Users sử dụng dữ liệu qua mạng, vẫn bị áp đặt quyền quản lý dữ liệu
Trang 9- Kết quả cuối cùng khi User truy cập thành công là lấy giao nhau phần chung của 2 bộ quyền
+ User
+ Quyền
- Để đơn giản trong quản lý quyền người ta thường Share dữ liệu cho everyone:
FullControl, chỉ còn kiểm soát quyền NTFS
* Access Base Enumeration:
Trên File Server User có quyền thì mới nhìn thấy được dữ liệu
> vào Server Manager => Vào Roles => File Services => Share and Storage => chọn thư mục Share => property => Advanced => Enable access-base enumeration
Ngày 14/05/2016
* File Server Resource Manager
Client -> DATA
Dung lượng lớn, File ko có nhu cầu sử dụng
- Quản lý dữ liệu Copy vào File Server
- Hỗ trợ :
+ Quản lý dung lượng của dữ liệu (làm cho thư mục)
+ Quản lý định dạng File
- Triển khai => Add Role Services : File Server Resource Manager
Vào Server Manager => Roles => File Services => click phải chuột Add Role Service =>check File Server Resource Manager
+ Quota: Giới hạn dung lượng của dữ liệu, cho thư mục Hard thì lớn hơn cấm, Soft thì cảnh báo
+ File Screening: Giới hạn type file
* Disk Quota
- Quản lý hạn ngạch dung lương ổ cứng
- Khả thi khi ổ cứng được định dạng là NTFS
- Giới hạn dung lượng xài của từng User
Domain Network
* Mô hình mạng:
- Triển khai hệ thống mạng
+ Vật lý: mô hình Bus, Ring, Star,
+ Luận lý: WorkGroup, Domain
- WorkGroup là mạng ngang hàng, các máy tính hoạt động độc lập, đơn giản, phù hợp cho hệ thống ít máy tính và quy mô nhỏ
- Domain: là mạng có sự quản lý giữa server và client tất cả dữ liệu tập trung vào Active Directory (AD)
- Quản lý tập trung => phù hợp cho hệ thống nhiều máy tính và quy mô lớn
* Domain Network:
- Là 1 hệ thống mạng được triển khai dựa trên Active Directory
Trang 10- Nó bao gồm các đối tượng sau:
+ Domain Controller (DC) là máy cài đặt và quản lý AD
máy DC đầu tiên là PDC (Primary)
máy DC thứ hai là ADC
+ Member Domain là các máy tham gia vào hệ thống Domain (Join Domain) và sử dụng
dữ liệu và chịu sự quản lý của AD
.Member Server: là member đóng vai trò làm máy chủ (ví dụ 1 máy làm web server, 1 máy làm mail server, )
.Member WorkStation: là member đóng vai trò máy trạm
+ Domain Name: là tên của hệ thống Domain (DNS Name và Netbios Name)
Ví dụ: DomX.local, abc.chao, (X là số máy)
DNS Name: Có 255 ký tự và bắt buộc có dấu chấm, dấu chấm ko được nằm trước chuỗi
ký tự, các ký tự được dùng là chữ Hoa, chữ thường, số, dấu gạch giữa, dấu chấm
Tên miền nội bộ không trùng tên miền internet Phải phân biệt DNS private và public.+ Site: phạm vi hoạt động của mạng domain, nói đến vị trí địa lý
+ Forest: rừng, 1 quy mô phát triển của hệ thống Domain
+ Child Domain: con Domain của Domain Parent
+ TREE Domain: cây Domain
VD: kết hợp 2 cái TREE là 1 Forest
* Xây dựng Domain Controller:
- DC đầu tiên trong hệ thống gọi là Primary DC, rất quan trọng
chứng thực Single Sign On: chỉ đăng nhập 1 lần, chứng thực 1 lần
- Điều kiện để nâng cấp Domain Controller
+ Windows Server
+ Logon Local Administrator
+ Có card mạng, thông mạng, IP tĩnh
+ Điều kiện trong hệ thống mạng phải tồn tại DNS server
(Có thể cài trực tiếp trên DC trong quá trình nâng cấp)
+ Domain Name phải khác Domain public
VD domX.local
- Thực hiện nâng cấp
Trang 11+ B1: chỉnh Refer DNS Server về địa chỉ máy DNS Server
(Chỉnh IP về chính mình nếu cài DNS Services tại máy DC)
+ B2: Vào run gõ dcpromo Nếu hạ về bình thường thì cũng gõ lệnh này
Fully qualified domain name (FQDN): chủ thể duy nhất tồn tại trong hệ thống tên miền được xác định từ domain gốc
Root Domain ==> top level domain (.com, net, vn)==> secondary Domain
(nhatnghe.com, google.com)==> sub Domain
domain đời cũ 16 ký tự, ko có dấu chấm => Domain NetBIOS Name
- functional level: hỏi về những Forest, domain xài window đời cũ
- Global catalog GC domain: làm nhiệm vụ chứng thực, chứa bảng danh sách rút gọn của
AD Khi user đăng nhập sẽ thông qua GC chứng thực
+ SYSVOL folder: chỗ lưu policy để sau này đồng bộ trong domain
+ Service Restore Mode Administrator password: đây là nơi thiết lập mật khẩu của restore mode admin, ko phải là admin đang sử dụng dùng để restore AD, khi có backup AD
+ Export setting (file txt): để nâng cấp domain tự động, đặt tên là unattend.txt
- Sau khi nâng cấp domain xong => start => administrative tool => DNS => new Reverselookup zone gõ IP đang sử dụng Nếu có 2 card mạng thì new 2 lần
- Gõ run dsa.msc (ADUC) : Active directory users and computers
- Domain user: có 2 cách logon + Đời cũ: Net Bios Name\tên user : domX/kt1
+ Đời mới: tên user @domain name: kt1@domX.localNếu máy trạm trùng user với user của Domain thì gõ đầy đủ VD: user Administrator
- Domain Policy:=> Group Policy Objects Editor => gpmc.msc
- DNS => gõ DNSmgmt.msc
- Default Domain Controllers Policy: làm riêng cho máy DC
- Default Domain Policy: làm cho hệ thống Domain => chỉnh password đơn giản user > cmd -> gpupdate /forece
- Máy DC chỉ có Admi được logon, user ko dc mà chỉ dc logon ở máy trạm
* Join Domain:
- Tham gia vào hệ thống Domain => chịu sự quản lý và sử dụng dữ liệu AD
- Điều kiện join domain
+ Window ( ko sử dụng non-win 95, 98)
+ Biết domain Name (Full) hệ thống đang sử dụng
+ Có tài khoản Domain Users
+ Thông mạng với DC và DNS Server
- Thực hiện:
+ B1: chỉnh Pre DNS về địa chỉ máy DNS server
+ B2: Tab Computer Name, => change setting => check * Domain: khai báo Domain Name
Ngày 17/05/2016
Pre DNS: 192.168.2.28 > dùng để khi vào cty sử dụng domain cty
Alter DNS: 8.8.8.8 > để khi về nhà thì sử dụng internet ở nhà
- công cu quản lý AD từ xa
+ XP, 2K3: cài adminpak.msi
Trang 12+ Win7, Win8: Remote Server Admnistrative Tools RSAT > vào control panel > add remove program > Turn window feature on
+ 2K8, 2K12: Add Feature RSAT
* Điều kiện để sử dụng: User có quyền quản lý, quyền Domain Admin
* Domain Users
- Là các user dc tạo trên AD, và nó lưu trữ thông tin trên AD
- Có thể logon trên tất cả các member Domain PC
- Click phải chuột vào User Kt1 vào property đến Tab Account
-> click vào Log on to (trong đây khai báo cho 2 lựa chọn: cho phép vào tất cả các computer hoặc dc chọn máy được vào)
* Domain Groups:
- Mixed mode: Raise Domain Functional Level cấp độ hoạt động của Domain
Trên win 2000 là Native Mode
Dưới win 2000 là Mixed Mode
- Muốn thấy tab objec để bỏ check xóa OU thì vào view chọn advance featuree
Ngày 19/05/2016
Home Folder - User Profile
* Home Folder
- Sử dụng dữ liệu từ file server
- Thư mục cá nhân (nhà) của Users được lưu trữ trên File Server
- Hỗ trợ :
+ Tự động tạo folder tương ứng với tên của User trên File Server
+ Tự động phân quyền Full cho User trên Folder
+ Tự động Map về máy của User khi User logon trên bất kỳ máy tính trên hệ thống
- Mục đích triển khai Home Folder là người ta muốn mỗi User có dữ liệu lưu trữ cá nhân trên File Server để Admin quản lý dữ liệu cho an toàn Admin hành động backup
- Triển khai Home Folder
- domain local
- multi domain
- Global
Trang 13+ File Server:
B1: Tạo folder tên là HomeDirs
B2: Share HomeDirs cho everyone full control
B3: Phân quyền NTFS cho HomeDirs là Remove Group Users
+ ADUC: (dsa) Với quyền User Domain Admins
Properties User tương ứng => Tab Profile => Home Folder
Chọn * Connect Y: To \\địa chỉ File server\Share name\%Username%
- Là nơi lưu trữ thông tin và dữ liệu cá nhân của User
- Mỗi User logon vào Windows sử dụng thì bắt buộc phải có profile => môi trường làm việc của User
2.Local User Profile: (Local là chỉ trên 1 máy)
- Profile lưu trữ trên 1 máy tính
- User logon trên máy nào thì máy đó sẽ tạo local user profile tương ứng với user để hỗ trợ user sử dụng
- Local User Profile dc tạo ra lần đầu khi user logon, từ Profile Default User (vào
organize\Foler And Search Option\View\thêm check cho hiện thư mục ẩn)
B1: Tạo Folder Profile
B2: Share Folder Profile cho everyone quyền Full Lưu ý không remove group users+ AUDC: với quyền Domain Admin
Properties User tương ứng => Tab Profile => User Profile
Profile Path: \\đ/c File Server\ShareName\%username%
ví dụ: \\192.168.2.29\Profiles\%username%
- User dc cấu hình Roaming Profile thì
+ Logon vô máy => sẽ truy cập File Server lấy Profile về sử dụng
+ Logoff ra đưa dữ liệu về lưu lại trên file server
Trang 14+ Dùng triển khai áp đặt Policy theo cấp
+ Dùng ủy quyền cho User khác quản lý OU hỗ trợ admin
- Nơi tạo OU:
- là ủy quyền quản lý OU cho Users
- Chỉ ảnh hưởng quyền cho User từ OU tương ứng xuống các Sub OU bên trong, không ảnh hưởng sang OU #
- Mục đích là muốn User hỗ trợ Admin quản lý hệ thống mà ko cấp quyền Admin
- Thường delegate cho User các quyền sau:
+ Quản lý Users
+ Quản lý Groups
+ Quản lý Users và Groups
+ Full Control
- Cách tạo click phải chuột OU chọn delegate control => add user
- Nhưng không tạo dc Policy Domain, muốn có thì vào dsa.msc => vào đòm.local => Users => Group Policy Creator Owners => Property => Member => Add => Users
- Cách gỡ bỏ delegate => vào View => advance Feature => click phải chuột OU => property => Security => remove User
Ngày 21/05/2016
GROUP POLICY MANAGEMENT
- Policy ảnh hưởng trực tiếp trên USER, ko gián tiếp thông qua GROUP, không ảnh hưởng lên GROUP
- GPO là Policy hỗ trợ trực tiếp trên OU
- Ảnh hưởng từ OU tương ứng trở xuống, ko ảnh hưởng ngược lên trên (tính thừa kế) và
*Block Policy Inheritance:
Trang 15- Chọn OU => click phải chuột chọn Block Inheritance Miễn nhiềm, ngưng ko cho thừa
kế policy từ trên đưa xuống
*Enforce GPO:
- Ép tất cả phải chạy, dù cho OU con phía dưới đã khai báo Block Policy
*Deny Read Policy:
- User do đọc dc Policy nên bị ảnh hưởng Policy Để ko bị ảnh hưởng Policy thì deny read User
- Chọn GPO, cửa sổ bên phải chọn Delegate => Advanced => hiện cửa sổ Security => Add User con muốn Deny => Chọn Deny Read
- Lọc lại đối tượng bị ảnh hưởng Policy
- Chọn GPO => cửa sổ bên phải chọn tab Scope => Tìm Security Filering => Remove Anthenticate User => add user cần bị ảnh hưởng
*Modeling Wizard
- Xem 1 OU đã bị bao nhiêu Policy ảnh hưởng
- Dưới Forest => Group policy Modeling => click phải chuột chọn Group Policy
Modeling Wizard
*Disable 1 phần của GPO
*Khảo sát nơi chứa GPO
* Level Item Targetting
- Là Triển khai Policy có điều kiện ảnh hưởng đến đối tượng WMI Filter
- Máy nào thỏa điều kiện thì apply policy
- Chọn GPO => Edit => User Configuration => Prefenrence => Control Panel Setting => Folder Option => New => Folder Option => Finish => click phải chuột cái vừa tạo xong
=> chọn Property => Tab Common => check Item level targeting => chọn nút Targeting
=> New item => Users => click dấu 3 chấm => chọn user => ok
* Deploy Software:
- Tự động cài phần mềm dựa theo GPO cho computer hoặc cho User
- Đuôi file deploy là MSI
- phần mềm Winstle để tạo phần mềm đuôi msi
- Thông dụng là computer, đặc biệt là User
- Thư mục chứa phần mềm share full
- Khi Deloy cho Computer thì trong OU phải có Computer
- Khi Deloy cho User thì trong OU phải có User
- Lưu ý đường dẫn cho file cài là: \\Tên máy share\thư mục share\Tên file cài.msi
+ Published: nó không cài trực tiếp liền, user sẻ chủ động cài, Deploy cho computer cái này sẽ mờ
+ Assigned: vô là cài luôn, ko hỏi
+ Advanced: custom những gì cần cài trong office, và cài Key tự động Chọn cái này thì nút add trong Modifications mới hiện
* Quy trình ảnh hưởng Policy
Trang 16+ Computer Policy: Từ lúc khởi động đến màn hình control + alt + delete => các Policy apply cho Computer Acc đã tác động (nếu có)
+ Khi User Logon => Policy User apply cho User (nếu có)
- Nơi lưu trữ gốc Policy của OU là Group Policy Objects
- Group Policy Objects là nơi tạo sẵn Policy, để sau này phân phối lại Policy
Ngày 24/05/2016
* Folder Redirection:
- Roaming Profile là đem toàn bộ Profile lên server
- Còn Folder Redirection chỉ lấy các thư mục trong Profile, chỉ lấy những cái gì cần thì mới đem lên Server, chỉ lấy dữ liệu quan trọng, để hạn chế chiếm dụng đường truyền
- Dựa vào GPO để áp xuống user
- Tái định hướng vị trí lưu trữ các thư mục Trong Profile User đưa lên File Server
- Triển khai dựa trên GPO Tự động tác động đến User khi Logon
- User Logon trên bất kỳ máy tính trong hệ thống thì đều sử dụng Fold Redirection trên File Server
- Triển khai:
+ File Server:
B1: Tạo thư mục RD
B2: Share cho Everyone = Full
+ Trên AD: logon bằng Domain Admin
B1: Mở gpmc.msc
B2: New GPO trên OU tương ứng
B3: Edit GPO => mở user config => Policies => Window setting => Folder Redirection
=> phải chuột vào "My Document" => chọn Property
Trang 17- Hỗ trợ các Administrator theo dõi các sự kiện trên hệ thống windows.
- Cửa sổ Event Viewer => Hỗ trợ xem các thông tin được Audit
- Policy Audit:
+ Local Computer: Local Policy (gpedit.msc)
+ Domain Controller: Default Domain Controller Policy (gpmc.msc)
- Trạng thái của Policy Audit
+ Not Defined là mặc định của Windows
+ No Audit là ko ghi nhận
+ Success là ghi sự kiện thành công
+ Failure là ghi sự kiện thất bại
- VD: + ghi nhận đăng nhập Domain user trái phép => DC Policy
+ ghi nhận trên File Sever
File Server là làm trực tiếp Policy của File Server Máy File Server có thể
ko phải DC File Server là máy nào thì làm policy trên máy đó
P1: thực hiện Policy Audit => Audit Object Access
P2: làm trực tiếp trên Folder đang share Dữ liệu cần Audit
Ngày 26/05/2016
Security Template
- Các mẫu về Local Security Policy được Windows tích hợp sẵn
- Hỗ trợ sử dụng trên Windows khi có các nhu cầu liên quan đến hệ thống và người quản trị
- Vào ổ C:\Windows\INF tìm file (Đây là những template mẫu)
+ defltbase: căn bản, chưa lên server thì local xài cái này
+ defltdc: khi nâng lên domain
+ defltsv: khi là server
- Sử dụng Security Template
+ Security Configuration and Analysis trong mmc => để so sánh templat0065
+ Security Template trong mmc : để cấu hình policy
B1: add 2 công cụ vào MMC
=> ctrl run => mmc => menu file => add/remove snap-in => add 2 cái này
B2: Bung va Click phải Security Template => chọn new template search path => chọn thư mục đã copy 3 file template ở trên vào, nơi đang chứa Template ( đang còn zin)Copy cái template muốn sử dụng thành 1 template mới => chỉnh sửa theo yêu cầu
B3: Đưa template vào database So sánh Template và hiện tại
+ Hợp lý => đưa vào máy sử dụng
+ ko hợp lý => chỉnh sửa lại => sau đó đưa vào máy
- Click phải chuột Security Configuration and Analysis => chọn open database => gõ đại cái tên, ko thay đổi đường dẫn => ok => chọn file template trong thư mục lưu template
Remote Desktop Services
* Giới thiệu:
- Là dịch vụ hỗ trợ điều khiển màn hình máy tính khác từ xa thông qua môi trường mạng
Trang 18+ RDP Server: máy hỗ trợ Remote
+ RDP Client: máy thực hiện remote
* RDP Server:
+ Windows 2000 trờ về sau
+ Tắt Firewall
+ User muốn Remote phải thuộc Group Remote Desktop User
N-Computing : thiết bị chỉ thể hiện màn hình, ko có ổ cứng, đại diện 1 máy tính cho nhânviên (2 triệu)
- 1 số phần mềm remote bên thứ 3: ammy, remotedestopmanager
+ User phải có thể dùng pass trắng
+ Nếu RDP server là máy DC => muốn User thường được Remote vào => ta phải add user và Policy: Allow log on through Remote Deskop Services
=> vào Default Domain Controllers Policy => Edit => Computer configuration => Policis => Window setting => security setting => Local Policis => User Right
Assignment => Allow log on through Remote Desktop Service => add user
+ 1 thời điềm chỉ 1 user sử dụng
+ Hỗ trợ tối đa 2 Session (default)
+ 1 thời điểm, 1 tài khoản xài nhiều session => vào default Domain Controller policy => computer configuration => polices => Administrative template => Window component
=> remote desktop serivece => remote destop session host => connections => retrist remote destop service user to a single remote destop => chọn disable
+ Trạng thái sử dụng => active
+ trạng thái thoát khỏi session:
.Disconnect: tạm thoát phiên làm việc vẫn hoạt động => kết nối lại => như ban đầu
.Log off: thoát hoàn toàn
* RDP Client:
- Điều kiện:
+ có cộng cụ hỗ trợ Remote Destop (windows: remote Desktop Connection - mstsc)+ Biết địa chỉ của Remote desktop Server
+ Khai báo tài khoản được quyền Remote
- Có quá nhiều Server, cần 1 công cụ quản lý nhiều remote server
=> vào mmc => chọn add/remove snap-in => chọn remote desktop (chỉ có 2 chữ) => add
* Remote Web Access
Trang 19* Remote Application: chỉ Remote phần mềm, Remote 1 phần của Client về xài Remoteapp manager.
- https://d/c IP/RDweb
Vào Config IE ESC off
Ngày 28/05/2016
Cài Virtual PC => phần mềm máy ảo
- Giả lập 1 máy tính như thật
- Tạo máy ảo (File *.vmc)
+ Ram (memory)
+ HDD (File *.vhd)
- Cài HDH cho máy ảo
+ Đĩa Source Windows
+ File *.iso chưa Source Windows
- Cài virtual PC
- Tạo máy ảo lấy HDD windows2k8.vhd sử dụng
- Khởi động máy ảo:
+ Đổi computer name MA: mayaoxx => khởi động
+ chỉnh IP cho máy ảo
TP: 192.168.2.100+X/24
GW: 192.168.2.200
DNS: 192.168.2.X
Ping 192.168.2.x => reply
- Join Domain vào máy thật domX.loca
- Khởi động máy ảo logon Domain Admin
- Tạo OU: ketoan => kt1, kt2, group kt
=> ketoancon (OU)
=>ktc1,ktc2, group ktc
=>ketoanchay (OU)
=> ktch1, ktch2, group ktch OU:nhansu => ns1, ns2, group: ns
- Mở C:\tạo cây thư mục
+ Tất cả Users mở DataX với quyền Read (Full)
+ Thư mục Chung: cho group ke, ktc,ns => Modify
+ Thư mục ketoan: cho kt => Full, ktc và ktch => Read (F)
=>ketoancon: cho ktc => Full, ktch => Read(F)
=>ketoanchau: cho ktch =>Full+ thư mục Nhansu: cho group ns => Full
Trang 20+ Phân quyền trên thư mục Chung sao cho tất cả Users ko dc xóa dữ liệu cho Users # tạo
ra Chỉ xóa dc dữ liệu do chính mình tạo ra => vào special permission bỏ dấu check delete
+ cấm kt1 mở thư mục ketoanchau
- Share thư mục DataX sao cho các Users truy cập qua mạng vẫn giữ nguyên bộ quyền NTFS (Test : Trên máy ảo logon từng Users truy cập Networdk Access qua máy thật +> kiểm tra quyền) => vào server manager => role => file service => chọn thư mục share datax => vào property => advance => check enable access-based enumeration
- Dùng Script Policy => Map tự động ổ đĩa K: cho tất cả Users sử dụng thư mục DataX
- Cấu hình Home Folder cho User kt1, kt2
- Cấu hình Roaming Profile cho User ns1, ns2
- Delegate cho User kt1 dc quyền quản lý OU ketoan => Full control
- Delegate cho User ns1 dc quyền quản lý OU nhansu => Users và Groups
- Cấu hình trên DataX sao cho User ko có quyền NTFS sẽ ko thấy dc thư mục
- Cấu hình thư mục DataX sao cho User ko copy File *.exe vào dc Và giới hạn dung lượng cho Users sử dụng tối đa 5GB
- Triển khai GPO trên các OU sau
+ Cấm OU ketoan mở internet explorer
+ cấm OU ketoancon mở control panel
+ Cấu hình sao cho OU ketoanchau ko bị ảnh hưởng bất kì Policy nào từ OU ketoan và
OU ketoancon
+ cấu hình sao cho Policy cấm mở IE vẫn ảnh hưởng đến OU ketoanchau (Ép nó)
+ cấu hình sao cho ktch1 ko bị ảnh hưởng GPO cấm mở IE (Deny read)
+ Deploy phần mềm Adobe cho User nhansu
+ Deploy office2k3 cho MayApXX
+ Cấu hình Folder Redirection thư mục Desktop và MyDocument cho tất cả User kế toán
- Cấu hình Audit Policy trên thư mục Data ghi nhận các đối tượng xóa và sửa dữ liệu thành công
- Cấu hình Audit Policy ghi nhận việc User Domain Logon ko thành công trong hệ thống
- Enable Remote Desktop trên máy DC
- cấu hình sao cho User Remote dc qua web
Trang 21+ WorkGroup
+ Domain
- Các File Server tham gia DFS
+ Window Server
+ Cài Role Services DFS
+ User quản lý DFS phải có quyền Admin trên tất cả File Server
- Name Space: không gian tên hoạt động trên DFS và hỗ trợ Client truy cập Khai báo cácDFS Server tham gia vào Name Space
- Replication Group: nhóm đồng bộ dữ liệu trong Name Space Chỉ định Folder được đồng bộ giữa các DFS Server
Ví dụ:
DomX.local
NS: DataX => đại diện dữ liệu đồng bộ
RG: abc => đây là dữ liệu đồng bộ
* Lab DFS:
B1: Cài DFS Role Services trong File Server
Thực hiện: vào Server Management => Role => Phải chuột chọn File Service => chọn DFS
B2: Cấu hình Name Space (1 server thực hiện)
B3: Add Server vào Namespace
B4: Tạo Replication Group và chỉ định Folder sẽ dc đồng bộ
B5: Public Replication Folder
B6: Vào service.msc => restart 2 Service: DFS Namespace và DFS Replication
Print Services
* Giới thiệu:
- Quản lý dịch vụ in ấn trong hệ thống mạng
- Khái niệm:
+ Print devices (Physical Devices): máy in vật lý
+ Printer (Logical Devices): máy in luận lý
+ Local Printer: hình thức kết nối trực tiếp từ máy tính đến máy in Kết nối: USB, COM, LPT, LAN
+ NetWork Printer: là máy tính kết nối với máy in thông qua Print Server
+ Print Server là máy quản lý và chia sẽ Local Printer
+ Print Client: là máy sử dụng Printer từ Print Server
- Phân loại máy in:
+ Máy in phun
+ Máy in kim
+ Máy in laser
* Cài Local Printer:
- B1: kết nối máy tính với máy in (cổng USB, Com, LPT), Printer (Lan): chỉnh IP cho máy in
+ Bảng điện tử
+ Web/Software
Trang 22- B2: Cài driver
Printer Lan: tạo port TCP/IP tương ứng với IP máy in => cài Driver
hoặc cài driver + tool của máy in
- xét độ ưu tiên sư dụng job in
- thực hiện: tạo nhiều printer luận lý dựa trên 1 device (port) Vào properties máy in tương ứng => tab advanced dùng Priority => định số : Min 1 => Max 99 Máy nào số caothì ưu tiên trước
- Share và phân quyền sử dụng máy in
+ Tab Security
.Print: in
.Manage Document: quản lý job in
.Manage Printer: quản lý máy in
Ngày 02/06/2016
* Cài Local Printer
- Com, Usb, LPT: kết nối vào PC => Cài Driver
- Lan (TCP/IP); Đặt IP cho Printer => máy tính thiết lập Port TCP/IP tương ứng với IP
=> cài Driver
* Map Network Printer
- Print Client Network Access tối Print Server Connect Printer muốn sử dụng về máy
- Client cài Driver trực tiếp hoặc được hỗ trợ Driver từ Print Server (Additional Driver)
* Security Printer
- Phân quyền sử dụng máy in
- Quyền của Print Services:
+ Print: in
+ Manage Document: quản lý Job in
+ Manage Printer: quản lý máy in
- Add đối tượng vào cửa sổ ACL => phân quyền cột Allow => cho sử dụng
- Ko add đối tượng hoặc add đối tượng vào ACL => phân quyền cột Deny => ko cho sử dụng
* Print Priority:
- Độ ưu tiên khi nhiều Users sử dụng chung 1 Printer
- Trên mỗi Printer ta thiết lập Priority khác nhau Giá trị Priority từ 1 -> 99 Giá trị càng cao càng ưu tiên
- Thực hiện:
B1: Tạo Logical Printer dựa trên 1 Printer Devices
B2: Thực hiện tương tự B1 tạo Logical Print thứ n
(n: phụ thuộc số lượng nhóm User sử dụng)
Lưu ý: chọn Port tương ứng 1 Print Device
B3: Phân quyền cho nhóm Users được sử dụng trên từng Logical Printer (Tab Security)
Trang 23B4: Set Priority cho từng Logical Printer tùy theo độ ưu tiên của nhóm User (Tab advanced)
B5: Share tất cả Logical Print mình thiết lập ở các bước trên
B6: Client thuộc từng nhóm User truy cập đến Print Server Map Printer về sử dụng
* Printer Spooling
- Triển khai Load Balancing sử dụng máy in
- Nhiều máy in vật lý kết hợp tạo thành 1 máy in luận lý Khi Client in máy in luận lý tương ứng => job in sẽ xuất ra 1 trong các máy in vật lý
- Điều kiện:
+ Đặt 1 vị trí
+ Cùng nhà sản xuất
- Thực hiện:
B1: Cài logical Printer tương ứng với Print Device
B2: Thực hiện tương tự B1 => cài n lần (n: Print Devices)
B3: Property 1 local Printer trong số n Printer
B4: Share 1 Logical Printer trong số n Printer
B5: Client Connect tới Server Map máy in tương ứng về
- Triển khai Policy Map máy in tự động xuống Client
B1: vào server manager => Role => add Role => check chọn Print and document Service Sau khi cài xong => start => administrative tool => print management
Windows Server Backup
* Giới thiệu:
- Dịch vụ hỗ trợ trên Windows 2k8 phục vụ nhu cầu Backup và Restore dữ liệu lưu trữ trên Windows
Ví dụ phần mềm bên thứ 3: data protection manager, tivoli,
- Yêu cầu khi lưu trữ backup:
Trang 24+ Backup và Restore Data: dữ liệu File
+ Backup và Restore System State: Hệ thống Windows
+ Backup và Restore Volume: Toàn bộ 1 ổ đĩa
* Backup/Restore System State
- System State: dữ liệu hệ thống của Windows
(Bao gồm các Users/Groups, AD Database, SysVol, trên Windows)
- System State: rất quan trọng (AD Database quan trọng nhất)
- Restore System State của AD
+ Phải vào giao diện Active Directory Service Restore Mode bằng quyền Restore Mode Admin lúc nâng cấp DC (F8 lúc khởi động vào window)
+ Có 2 chế độ Restore
.None-Authoritative: thường sử dụng sau khi Restore dữ liệu trên DC tương ứng
sẽ dc phục hồi ở trạng thái lúc backup Nếu hệ thống có nhiều DC thì dữ liệu các DC khác sẽ cập nhật vào DC hiện tại đang restore
=> sử dụng khi muốn phục hồi dữ liệu AD trên DC muốn restore (về hệ thống, HDH, )
=> tham khảo đường dẫn https://mabdelhamid.wordpress.com/tag/activate-instance-ntds/Sau khi restore xong gõ ntdsutil
Activate instance ntds,
"cn="
.Authoritative: Khi muốn Restore 1 object từ DC restore cập nhật qua các DC cònlại => sử dụng trong tình huống muốn giữ lại dữ liệu gốc trên DC restore Phải thực hiện chỉ định đối tượng muốn giữ lại
Lưu ý:
+ Sau khi backup những file dc thêm mới hoặc sửa thì sẽ biến mất thuộc tính A
(archiving) => nếu chọn backup incremental
+ Còn full backup thì sao lưu lại tất cả
-Ngày 04/06/2016
Quản lý đĩa cứng
Lệnh vào xem diskmgmt.msc
*Giới thiệu:
- Khái niệm đĩa cứng:
+ Physical Disk: đĩa cứng vật lý
+ Logical Disk: đĩa cứng luận lý
Mối quan hệ 1 - nhiều
1 vật lý => chia => nhiều luận lý
nhiều vật lý => gom => 1 luận lý => làm Raid => chia 2 nhóm => Sofware: hư HDH thì
hư toàn bộ
Trang 25=>Hardware => dùng thiết
bị Raid
gắn vào mainboard) Ổ cứng lưu trữ thông tin Raid, chứ ko lưu trên card Raid => hư 1 ổ cứng thì hư hết
- Trên window nhận dạng ố cứng:
+ Basic Disk: Default
+ Dynamic Disk: convert từ Basic
- 1 đĩa cứng luận lý muốn lưu trữ dữ liệu => Format
+ Primary: Boot dc, set active, Max 4 Primary => 4 đĩa luận lý
+ Extended: ko Boot, Max 1 Tạo Ext chỉ có vùng trống dc quy hoạch, phải tạo Logical trong Ext, ko hạn chế số lượng Logical dc tạo
* Dynamic Disk: Hỗ trợ làm Raid => click vào ổ basic để chọn convert qua Dynamic
- Gọi các phân vùng là volume => có 5 loại volumne
- Trung gian nhận dạng các ổ đĩa luận lý khi dc chuyển từ basic sang dynamic
- Không hỗ trợ các khả năng đặc biệt
- Có hỗ trợ Extended dung lượng => tăng vùng lưu trữ
Trang 26Dung lượng thành phần ko cần bằng nhau => mỗi đĩa đưa bao nhiêu cũng dc
b/Dung lượng tổng = tổng dung lượng thành phần: mỗi HDD vật lý hùn lại
Dung lượng thành phần phải bằng nhau
c/ Đọc: ngược với ghi gom nHDD về 1 rồi đọc
d/ Ghi: tách data thành n bit, rồi ghi n bit lên n HDD
e/ Tốc độ xử lý nhanh nhất trong các loại và phụ thuộc số lượng HDD, số lượng càng nhiều thì càng nhanh
f/ Khả năng chịu lỗi: ko hỗ trợ, 1 disk hư, các disk còn lại hư theo dữ liệu, vật lý ko bị hưg/ Tận dụng dung lượng đĩa cứng trống: dùng để chứa dữ liệu, làm File Server, làm Database Server
4 Mirror: Raid 1
a/ n HDD vật lý (n = 2)
b/Dung lượng tổng = tổng dung lượng thành phần - 1 dung lượng thành phần (tuy 2 xài 1)Dung lượng thành phần phải bằng nhau
c/ Đọc: đọc từ HDD đang boot Mirror
d/ Ghi: ghi dữ liệu vào HDD đang boot, sau đó đồng bộ sang HDD còn lại
c/ Đọc: xét theo Parity để đọc dữ liệu
d/ Ghi: tách data thành n bit 1 (gọi là X) sau đó set tính chẵn lẻ (gọi là Parity) của n bit
-1 Nếu X mà là chẵn thì Parity thêm bit 0 Nếu X lẻ thì Parity thêm bit 1 (để về chẵn)Sau đó ghi X lẻ + 1 lên n HDD hoặc X chẵn + 0 lên n HDD
e/ Tốc độ bình thường nhanh thua Striped, phụ thuộc vào số lượng HDD vật lý, càng nhiều HDD thì càng nhanh
f/ Khả năng chịu lỗi: có hỗ trợ, 1 HDD hư, dữ liệu vẫn bình thường, 2 ổ hư trở lên thì ko phục hồi dc
g/ ứng dụng chứa dữ liệu + an toàn
Công ty thường phải 5 ổ: 2 ổ Raid 1, 3 ổ Raid 5
Trang 27B4: Repair Raid 5
B5: remove Mirror, add Mirror lại
B6: sau đó remove các ổ Faile
Monitor
- Hỗ trợ giám sát hiệu suất, hoạt động về phần cứng của Server
- Phát hiện sự cố => khắc phục
- Thực tế có rất nhiều hạng mục của thiết bị cần kiểm tra
=> Tuy nhiên Microsoft đề xuất tập trung Monitor 4 thiết bị
- Ipv4: Số Số Số.Số => người dùng => thập phân
Byte.Byte.Byte.Byte => máy tính => nhị phân
8bits.8bits.8bits.8bits => máy tính => nhị phân
Gồm: 32 bits
Min: 0.0.0.0 <=> 32 bits 0
Max: 255.255.255.255 <=> 32 bits 1
- Ipv4 chia làm 2 phần: Net - Host
- Dựa vào giá trị Subnet Mask (SM) để phân biệt Net - Host
- SM thông dụng: 255.0.0.0 => 1 số làm Net - 3 số làm Host
255.255.0.0 => 2 số làm Net - 2 số làm Host 255.255.255.0 => => 3 số làm Net - 1 số làm Host
Trang 28Ví dụ nếu là 192.168.3.0/26 thì có 4 subnet, 192.168.3.0/27 thì có 8 subnet
- Càng chia nhiều Subnet thì càng mất Host do bi chiếm dụng bít đầu và bit cuối của từngsubnet
Ngày 09/06/2016
* Chia Subnet:
- Từ 1 network Default => chia làm nhiều network con
=> chia subnet
- 3 Subnet Mask Default
Class A: 8 bits 1 tương 255.0.0.0/8
9 => 15 => chia Subnet Class A => net thay đổi vị trí thứ 2
17 => 23 => chia Subnet Class B => net thay đổi vị trí thứ 3
25 => 32 => chia Subnet Class C => net thay đổi vị trí thứ 4
Trang 29Class B: 16 bits 1 tương 255.255.0.0/16
17 => 23 => chia Subnet Class B => net thay đổi vị trí thứ 3
24 => 32 => chia Subnet Class C => net thay đổi vị trí thứ 4Class C: 24 bits 1 tương 255.255.255.0/24
25 => 32 => chia Subnet Class C => net thay đổi vị trí thứ 4
Trang 30- Gom nhiều Network default thành 1 Network lớn
- Nguyên lý giảm (lùi) bit 1 ở Subnet Mask
Ví dụ: lớp C muốn có 1000 host thì có 2^10 = 1024 đáp ứng
mượn 2 bit thì còn 192.168.0.0/22 (24bit-2bit=22bit) vậy tăng (22 -16 = 6bit)
6 bit = 2^6 = 32 => 256/32 = 8 host vậy network là 192.168.8.0 vậy có từ 192.168.0.1 đến 192.168.7.254
* Variable Length Subnet Mask (VLSM)
- Ở Việt Nam phát sinh thêm 1 vị trí :
Host trên 1 Net > 100 Host
Mượn 1 có 2 sub => 1 Sub 126 host
2 có 4 sub => 2 sub 62 host
+ SG: 192.168.3.1 => 192.168.3.126/25
+ HN: 192.168.3.129 => 192.168.3.190/26
+ ĐN: 192.168.3.193 => 192.168.3.254/26
- Sử dụng SM ko đồng đều khi chia SubNet
- Mục đích thỏa nhu cầu đủ số lượng Net và Host trong 1 Network Default
* Lưu ý:
-Trong 1 Network: ko sử dụng Host nhỏ nhất (All Zero) và Host lớn nhất (All One)
=> Bỏ IP nhỏ và lớn nhất
- Các thiết bị của ISP hỗ trợ sử dụng IP nhỏ nhất và lớn nhất
- IP 0.0.0.0 gọi là SuperNet của tất cả các net => còn gọi là Default Route => còn gọi là Default Gateway
- Dựng mô hình Routing
B1: disable Cross, Firewall
B2: Tạo Card Loopback
- Đặt tên : Diep
Trang 31- IP: 172.16.XX.1/24
- Lệnh devmgmt.msc => chọn tên máy => click phải chuột chọn Add legacy hardware =>chọn dòng 2 =>Network Adapter => chọn Microsoft => Microsoft Loopback
- Run=> NCPA.CPL
B3: Tạo máy ảo => vào window 2k8
vô window đổi ComputerName là mayaoX
đặt IP 172.16.X.2/24
Gateway 172.16.X.1
DNS: 8.8.8.8
- Tắt máy ảo : vào Setting chọn Networking : chọn card Loopback
- Mở máy áo ping máy ảo bên kia
Ngày 14/06/2016
ROUTING
*Giới thiệu:
- Trong hệ thống mạng => số lượng thiết bị và máy tính nhiều => dễ bị ảnh hưởng toàn
hệ thống => vì broadcast, làm giảm băng thông mạng, làm chậm
- Cần chia hệ thống thành nhiều network để giảm broadcast và Bandwidth mạng
- Để kết nối các network thông mạng với nhau => dùng Router
- Router là thiết bị hỗ trợ:
+ Định tuyến gói tin liên lạc
+ Vận chuyển gói tin IP
+ Kết nối các Network khác net
+ Routing Table: bảng danh sách chứa các đường Route
+ Route là đường đi cụ thể đến các network, host,
+ Routing là công tác lên Router tạo các đường Route
lý => New Routing Protocol => RIP => tự động Router học các Route trong mạng
Lệnh: Route Print => xem bảng Routing table
- Thông tin trên 1 Route
+ Network Destination: nơi đến
+ NetMask: bộ lọc => ra nơi đến cụ thể
+ Interface: cổng giao tiếp trên Router => chuyển gói tin ra
Trang 32+ Gateway: điạ chỉ Router kế tiếp nhận chuyển tiếp gói tín
+ Metric: độ ưu tiên của đường Route Số càng nhỏ càng ưu tiên
- Xác định nơi đến:
+ Route to Host: đến 1 trạm, 1 đối tượng
.Network Destination là 1 IP cụ thể
.NetMask: /32
+ Route to Net: đến 1 Network => bao gồm tất cả các Host trong Net
.Network Destination là 1 Network
.NetMask: phụ thuộc vào Network
Ví dụ: Net Des: 172.16.0.0
NetMask: 255.255.0.0+ Route to Default Route: đến tất cả các Network còn lại ko có trong Routing table Default Route còn gọi Default Gateway của Router Có thông tin
+ Các máy Client phải Default Getway về IP Router
+ Các Network đang nối trực tiếp với Router thì ko cần tạo Route, nó tự có
+ Không cần khai báo Default Getway trên card mạng của Route Vì thằng Default Route
- Cài Role Service Routing and Remote Access Service
- Mở RRAS => Enable Ran Routing
Trang 34* IP Package Filer:
- Quản lý lọc gói tin IP đi ngang Router
- Dựa trên 4 yếu tố của gói tin IP:
+ IP Source: địa chỉ nguồn
+ Port Source: Port bất kỳ, tự phát sinh > 1024
xem trong file C:\Windows\System32\drivers\etc\services
POP3, POP3S, IMAP, IMAPS, SMTP, SMTPS, DHCP, DNS, RDP, FTP, PPTP, L2TP, HTTP, HTTPS,Telnet
Lệnh: netstat -a => để xem port các dịch vụ đang xài
Ngày 16/06/2016
* IP Package Filter:
- Lọc gói tin IP đi qua Router
- IP Source
Lưu ý: khi thực hiện Filter
+ Chiều của gói tin liên lạc
.Từ ngoài đi vào
.Từ trong đi ra
+ Card mạng trên Router
.Ngoài đi vào: Card X: Inbound
Card Y: Outbound.Trong đi ra: Card X: Outbound
Card Y: Inboundlệnh: tracert 103.27.60.40
Network Address Translation NAT
- Lan - Lan: IP Private
- WAN - WAN: IP Public
- Lan - WAN hoặc WAN - Lan: đổi IP Private thành IP public và ngược lại => bằng cáchNAT => dựa trên cơ chế NAT => cơ chế chuyển đổi địa chỉ giữa các Network
- NAT có 2 chiều:
Trang 35+ Inbound: từ IP public thành IP Private => mục đích cho các đối tượng ngoài Internet sửdụng dc dịch vụ đang cung cấp trong mạng Lan (Server Publishing)
+ Outbound: từ IP Private thành IP public => mục đích cho các máy tính trong mạng Lan
có thể truy cập ra internet => share internet
* NAT Outbound:
- Default Moderm hỗ trợ NAT Outbound
- Cơ chế hoạt động của NAT Outbound
Client xài IPx NAT Server IPy (IP private) Dest: IPz (1 trang web)
IPg (IP public)IPy là Gateway của IPx
B1: máy Client tạo ra gói tin
Source Port: m (1 số port bất kỳ > 1024) Dest Port:80
=> gói tin chuyển đến Moderm (NAT Server)
B2: Moderm nhận gói tin: NAT Server
- Xét Source IPx => đổi thành port n bất kỳ
Source port: m
- Tạo gói tin:
Sourcer port: n Dest Port:80
=> chuyển đến ISP của moderm => chuyển đển IPz
B3: Web Server nhận gói tin => trả lời
Source port:80 Dest port: n
=> chuyển đến ISP => chuyển đến IPg
B4: Moderm nhận gói tin
- Xét n => IPx
Port m
- Đổi gói tin:
Source port: 80 Dest port: m
VD: 1 máy Ảo trong Net khác muốn kết nối đến Moderm thông qua Route IPx thì
Giải quyết với cách Route
- Cách 1: Lên Moderm tạo Static Route đến Network IPk
Khi là NAT Server thì
B2: PCX SERVER Xét SIPk => e Tạo gói tin: SIPx D: IPz
Source Port: m Sourcer Port e D port: 80
- Muốn NAT trên RRAS (Outbound)
+ B1: New Routing Protocol (click phải chuột General trong IPv4)
+ B2: Click phải NAT chọn new interface
Trang 36- Chỉ định Card Public => enable NAT
- Chỉ định các card Private nếu có
* NAT Inbound
- Hỗ trợ cho các đối tượng ngoài internet có thể truy cập vào các dịch vụ đang sử dụng trong mạng Lan
- Dựa trên 2 yếu tố:
+ IP máy đang cung cấp dịch vụ trong mạng Lan
+ Port tương ứng của dịch vụ
- Default Moderm ko hỗ trợ NAT Inbound trực tiếp => phải thực hiện NAT Inbound thủ công trên Moderm
- muốn remote vào máy phía trong thì vào PC Server NAT, NAT thêm 1 lần nữa, nếu remote nhiều thì đổi port dịch vụ Add thêm vào theo port mới
- Gói tin IP Private sẽ dc hoạt động Over gói tin IP public
- Tạo cảm giác như đang hoạt động trong 1 mạng Lan
- Protocol hoạt động của VPN
+ L2TP: (port 1701) chạy kèm với IP Sec (là IP Security)
Moderm mà có hỗ trợ NAT-T là có mã hóa L2TP
=> vào tab dial in => allow access
B2: Enable RRAS với:
- Lan Routing (Dẫn đường)
- NAT (Share Inf/Nat Inbound)
- VPN Client Access (VPN Server)
- Demand-dial connections (VPN Client) (chỉ xài khi làm Gateway to Gateway)
B3: Khai báo Range IP tunnel (IP hoạt động ảo) (khi client từ bên ngoài internet kết nối vào server sẽ cho IP ảo)
10.10.X.10
10.10.X.200
Trang 37=> trong Routing and Remote Access => click phải chuột Tên máy => chọn Property =>vào IPv4 => chọn Static address pool => Add dãy IP
B4: Vào Moderm Nat Inbound Port 1723 về IP Ext vủa VPN Server
2 VPN Client:
B1: Tạo kết nối VPN
+ Khai báo địa chỉ VPN Server (IP hoặc tên) (IP Public)
Set up a new connection or network => Connect to a Workplace => use my internet connetion VPN => Internet address (là IP public bên VPN server)
+ Khai tài khoản VPN client => lưu ý user là user đã dc tạo trên Server
B2: đưa Connection ra Desktop => click phải chuột Connection VPN => chọn Property
=> chọn IPv4 => chọn Advance => tab IP Settings (thường khi kết nối VPN sẽ ko vào dc internet nên cần vào đây ra internet) => bỏ dấu check Use default
=> vào tab Sercurity => type of VPN để auto
Trang 38gõ tracert IP => sẽ thấy đường đi qua 10.10.X.10Khi VPN thành công thì Routing tự động hiểuScreenHunter (phần mềm chụp)
Trang 39Cầu hình L2TP