(Cài đặt và Cấu hình AD) Installing Active Directory

Triển khai trong cùng vị trí địa lý. 70-294 (Cài đặt và Cấu hình AD) Installing Active Directory Nâng cấp DC Gia nhập Domain Additional DC Global Catalog Sv Secondary DNS Sv DFS (Distributed File System) Đồng bộ dữ liệu giữa các file Server. Chú ý: 1- Khi cài đặt DNS cùng với AD thì phải cấu hình thêm DNS số (Reverse lookup Zone). DNS hỗ trợ Join Domain + Đăng nhập Domain. 2- Multidomain thì phải xem lựa chọn: Đồng bộ đến tất cả DNS trong cùng Forest Đồng bộ đến tất cả DNS trong cùng Domain Tất cả máy DC trong cùng Domain 3- Có nhiều Network thì phải tạo nhiều Reverse Lookup Zone 4- User được chứng thực dựa vào Global Catalog

5- Tạo nhiều Server: Load Balancing và Failover 6- Tạo Additional DC (Máy ADC phải đang logon as Administrator\DomX.local) DC thứ 2 trở lên không phải là Global Calalog Server. Phải cấu hình thêm. 7- Khởi động lại sau khi cài Secondary DNS Server trên ADC. Máy Domain Member chỉnh Prefer DNS và Afternate DNS về máy nào cũng được. 8- DFS (Đồng bộ dữ liệu giữa các file Server) Domain root: Multi domain Stand-alone root: Single Domain

Cấu hình AD ở hai vị trí khác nhau Verifying AD AD Tools Install & Configure Active Directory Nếu Server 2 Join Domain thì mọi thao tác sẽ dễ dàng hơn khi cài đặt ADC. Nếu không Join thì chỉnh Prefer DNS về Server 1. { Để khắc phục tình trạng chập chờn của mạng trong khi cấu hình ADC thì Backup (System State) Server 1 sau đó Restore tại Server 2 (hoặc có thể Copy, Host lên Server trung gian ) } Chỉnh ghi đè lên file có sẵn. Restore ra thư mục C:\ABC (Alternate location)

Nâng cấp DC ở chế độ Advance Run dcpromo /adv

1- Backup AD Administering AD 2- Restore AD Boot DC1 lại nhất F8 vào Directory Services Restore Mode None Authoritative: Phục hồi System State cho một DC mà không làm ảnh hưởng đến AD Database của hệ thống. Khi thực hiện Restore trên 1 DC thì không cần thiết phải tắt DC thứ 2 (tắt thì không chứng thực được cho User khi Logon). Nếu DC1 xóa 1 User thì sau khi Restore User sẽ được tạo lại. Nhưng sau khi khởi động lên DC2 sẽ Replicate qua DC1 là mất User đó Không ảnh hưởng AD Database. Authoritative: Restore cụ thể một đối tượng trong AD Database. Mặc định khi Restore là Non Authoritative. Để thực hiện Authoritative Restore thì sau khi Restore thì không Restart lại. Sau đó vào CMD NTDSutil Authoritative Restore + Phục hồi nguyên Database: Restore Database + Phục hồi một phần Database: Restore subtree (sử dụng cho OU) Ví dụ: Restore Subtree OU=HN,dc=domX,dc=local Quit Quit Exit + Phục hồi một đối tượng: Restore Object (sử dụng cho User) Ví dụ: Restore Object CN=KT2, OU=HN,dc=domX,dc=local

Multi: Domain, Tree, Forest Domain được xây dựng đầu tiên trong một Forest được gọi là Forest Root Domain Child Domain (Enterprise Admin quản lý). Xây dựng AD thì dùng quyền của Domain Admin. Nếu xây dựng thêm 1 Domain mới thì phải sử dụng quyền Enterprise Admin. Domain đầu tiên được xây dựng trong một cây được gọi là Tree Root Domain Child Domain Grandchild Domain, được triển Domain mới không kế thừa Domain đang có. 1- Multi Domain: - Sử dụng xây dựng phù hợp chính sách bảo mật (Vd: Password khác nhau - do Password Policy được chỉnh sửa trong Computer nên không áp dụng được bằng cách gán GPO cho User trong OU). - Phù hợp với nhu cầu quản lý. Admin ở vị trí nào thì quản lý Domain ở vị trí đó. - Tối ưu hóa sự đồng bộ. Domain ở vị trí khác (độc lập với Domain thứ nhất) chỉ Repicate Schema (do Domain thứ hai này thuộc cùng Forest) Đỡ tốn băng thông. - Giữ lại hệ thống Domain chạy trên nền WinNT đời cũ. Không cần phải tốn chi phí để xây dựng hệ thống mới. (WinNT có khả năng nâng cấp thẳng lên Win2003). Có thể triển khai 1 DNS quản lý nhiều Domain hoặc xây dựng trên mỗi Domain 1 DNS riêng để quản lý. VD: Trong trường hợp này sử dụng 1 DNS (Internal Namespace) quản lý nhiều Domain. B1: Vào DNS Tạo New Forward Lookup Zone bỏ check Store the Zone in AD

B2: Nâng cấp Domain sử dụng quyền Enterprise Admin

B3: Logon vào Con04 bằng Administrator password trắng. B4: Thay đổi Dynamic Update thì vào DNS Properties (con04.dom03.local) trên DC1. Trong tab General chọn Change và Check vào Store the Zone in AD. Chức năng: + User của Domain cha có thể Logon tại Domain con và ngược lại (chỉnh Logon theo đúng tên User) + Tài nguyên bên Domain con có thể cấp quyền cho Domain cha.

2- Multi Tree - Thỏa 1 trong 4 điều kiện của Multi Domain ở trên và không kế thừa tên Domain đang có. 3- Multi Forest - Secure data (bảo mật dữ liệu): cần thêm 1 Enterprise Admin mới để quản lý. Dữ liệu trong Domain mới này bị cô lập và chỉ có những người liên quan mới được truy xuất. - Isolate Directory Replication (cách ly đồng bộ AD Database): không đồng bộ bất cứ dữ liệu nào kể cả Schema. - Triển khai môi trường LAB: kiểm tra ứng dụng sắp triển khai có tương thích với môi trường hiện tại hay không.

Sử dụng Windows Support Tool (Win2k3) Rename Domain (70-294 trang 237) 1- Rename DC Điều kiện để đổi được tên là: Domain Functional Level phải là Win2k3 (hệ thống chỉ toàn sử dụng win2k3 trở lên). Active Directory Users and Computers Raise Domain Functional Level Windows Server 2003 + Lệnh sử dụng đổi tên: netdom computername pc03.dom03.local /add:dc03.dom03.local #Không khoảng trắng netdom computername pc03.com03.local /makeprimary: dc03.dom03.local + Kiểm tra: Full Computer Name Netdom computername dc03.dom03.local /enumerate Netdom computername dc03.dom03.local /remove:pc03.dom03.local + Quan trọng nhất là phải tắt domain member rồi sau đó khởi động lại DC. Sau khi DC khởi động xong thì mởi bắt đầu khởi động Domain Member. 2- Rename Domain (http://nhatnghe.com/tailieu/renamedomain.htm) C1: Sử dụng Email Address Policy trong Exchange Server để đổi phần mở rộng email của User. Nhưng hệ thống vẫn sử dụng là DomX.local. C2: Đổi tên Domain. Cần trung gian là Control Station (CS). Mọi thao tác đều thực hiện trên CS. Chuẩn bị:

Bước 1: Backup System State của Domain Controllers ( Đảm bảo việc an toàn hệ thống) Bước 2: Thiết lập máy Control Station. (hầu hết mọi thao tác được thực hiện tại đây) Bước 3: Tạo file mô tả Forest hiện tại. Bước 4: Chỉnh sửa lại file mô tả vừa được tạo mới. Bước 5: Tạo bộ lệnh Rename Domain. Bước 6: Chuyển bộ lệnh Rename vào DC. Bước 7: Kiểm tra lại bộ lệnh Rename sau khi chuyển vào DC. Bước 8: Thực hiện công việc đổi tên Domain bằng bộ lệnh Rename. Bước 9: Thực hiện lệnh kết thúc quá trình cấu hình. Bước 10: Cập nhật Policy (Quan trọng nhất) vd: gpfixup /olddns:dom03.local /newdns:dom03.local.vn /oldnb:dom03 /newnb:dom03 /dc:dc03.dom03.local.vn

Operation Master Role WinNT: Primary DC (máy Master), Backup DC Win2k: Multi Master, 1 in 5 roles 1- Giới thiệu OMR Forest-Wide Operation Master Roles + Schema Master: quản lý Schema (định nghĩa và thuộc tính của các đối tượng) trong Forest. Mỗi Forest chỉ có một Schema Master Role. Mặc định được lưu trữ trong DC đầu tiên trong Forest Root Domain (Domain đầu tiên trong một Forest). AD Schema. + Domain naming Master: quản lý các Domain Name trong Forest. Mỗi Forest chỉ có một Domain naming Master. Mặc định được lưu trữ trong DC đầu tiên trong Forest Root Domain. AD Domain & Trust + RID Master Role: quản lý các số ID (SID: đại diện cho các đối trượng trong AD; RID: ID đại diện cho Domain) trong Domain. Mỗi Domain chỉ có một RID Master Role. Mặc định được lưu trữ trong DC đầu tiên trong Forest Root Domain. AD UC + PDC Emulator Role: đóng giả lập một PDC (Primary Domain Controller) chạy trên nền WinNT. Mỗi Domain chỉ có một PDC Emulator Role. Mặc định được lưu trữ trong DC đầu tiên trong Forest Root Domain. AD UC + Infrastructure Master Role: đồng bộ thông tin từ Domain này sang Domain kia. (Vd: xóa hoặc thêm đối tượng trong Domain). Mỗi Domain chỉ có một Infrastructure Master Role. Mặc định được lưu trữ trong DC đầu tiên trong Forest Root Domain. AD UC Cài AdminPack.msi để sử dụng các công cụ trên. Muốn biết máy nào là máy chính thì xem trong Operations Master (Run MMC Add Schema Master ). 2- Triển khai

Thực hiện khi số lượng WorkStation quá lớn hoặc DC quá cũ. + Tranfer OMR: điều kiện là DC cũ phải đang hoạt động bình thường. Mua máy DC mới Join Domain Nâng cấp lên ADC (cấu hình GC). DC1: Change Domain Controller Operations Master Change OK

+ Seizing OMR (chiếm đoạt OMR) Trường hợp máy DC chính bị chết (hư ổ cứng) bất đắc kỳ tử. Nhưng xác chết vẫn còn (trong DNS). Dọn xác chết bằng lệnh (trang 207 70.294) B1: Chiếm OMR Run CMD Ntdsutil

Tương tự với Seize domain naming master Seize RID Master Seize PDC Seize Infrastructure Master Bước cuối cùng là quit B2: Dọn xác chết (207 70.294) Run CMD Ntdsutil

Quit

Trust Relationship Khi trong môi trường mạng triển khai Multi Domain thì phải chú ý đến Trust Domain. Khi hai Domain Trust với nhau thì User có thể sử dụng tài nguyên của nhau. Các Domain nằm trong cùng Forest thì tự động Trust với nhau. 1- Giới thiệu Sử dụng công cụ AD Domain & Trust để xem và cấu hình. Hai cơ chế (two-way): Outgoing và Incoming. User được sử dụng tài nguyên của nhau. Một cơ chế (one-way): một trong hai. Chỉ được sử dụng tài nguyên của một bên. Ví dụ: khi mua them công ty. Trust Protocol: Win2k3 sử dụng Kerberos v.5 (default) hoặc NTLM Trust Type: + Tree-root trust: Trust giữa Forest Root Domain và Tree Root domain (2-way) + Parent-child trust: 2-way (vd: Microsoft.com và uk.microsoft.com) + Shortcut trust: hai domain tự động Trust thong qua Cross-link (vd: us.microsoft.com và sls.uk.msn.com) nhưng thời gian đăng nhập quá lâu nên cấu hình Shorcut Trust (1-way hoặc 2-way)

+ Realm Trust: cấu hình cho Windows và non-windows (1-way hoặc 2-way) + External Trust: Hai domain trong hai Forest (vd: Microsoft.com và Intel.com). + Forest Trust: cấu hình cho hai Forest Root Domain trust với nhau. (1 way và 2 way). 2- Triển khai External trust (274 294): điều kiện + Các domain phải phân giải được tên của nhau (sử dụng VPN hoặc Lease Line). Cấu hình DNS Forwarder. Sau khi cấu hình thì Restart DNS. + Đồng bộ thời gian giữa hai hệ thống (quan trọng) Cách làm: Mở AD Domain & Trust (nhớ check kiểm tra incoming và outgoing)

Kiểm tra: Log off sẽ thấy thêm Domain của Forest bên kia. Chỉ có Domain của máy được cấu hình mới thấy được nhau. Forest Trust: điều kiện Ngoài hai điều kiện trên thì Forest Functional Level phải là Windows Server 2003.

Domain Functional Level: các cơ chế hoạt động trong Domain + Mixed Mode: Hỗ trợ Win trước Win2k + 2000: Chỉ hỗ trợ từ Win2k trở lên + 2003: Chỉ hỗ trợ Win2k3 trở lên + 2003 Interrim: nâng cấp từ NT lên 2003 mới có. Chỉ hỗ trợ NT và 2k3. Cách làm: Mở AD Domain & Trust Raise Forest Functional Level Nếu đã cấu hình External Trust thì Remove rồi thực hiện cấu hình lại. Kiểm tra:

1- Giới thiệu AD Site Chapter 5: Site: đối tượng thuộc cấu trúc vật lý. Domain: đối tượng thuộc cấu trúc luận lý của AD. Cấu hình thứ tự chứng thực của USER để quá trình chứng thực nhanh hơn và quản lý được việc đồng bộ AD Database. User ở Site nào thì Site đó chứng thực Chia Site (AD Site & Services). B1: Tạo một Site mới B2: Di chuyển DC sang Site mới.

B3: Thực hiện việc Chia Subnet cho Saigon và Hanoi

2- Triển khai M1: DC (giả lập HCM) M2: Join DC Cross: 172.16.1.2/24 Cấu hình RARS (LAN Routing) M3: Tắt LAN (giả lập ở HN) Cross: 172.16.1.1/24 M1& M3: chỉnh DG về M2 (192.168.1.2 & 172.16.1.2 Router) Hai máy liên lạc được với nhau. { Muốn quản lý tập trung User ở HN thì Join Domain tất cả các máy vào M1 (nhớ tạo thêm Reverse Lookup Zone cho M3 172.16.1.x). Không bỏ check Store the zone in AD. Triển khai thêm DC (cấu hình Global Catalog và DNS Server) ở HN nhằm Load Balancing và Failover }

. Xây dựng thêm Domain con (ví dụ cho nhóm nhân viên thường xuyên làm việc bên ngoài chính sách password bảo mật). B1: Tạo New Forward Lookup Zone (M1) B2: Nâng Cấp DC (M2) B3: Chỉnh Policy B4: Tích hợp vào trong AD

Đồng bộ giữa Các DC bằng tay.

Configure Site Site Policy Các cấp độ Policy: Local Policy: ảnh hưởng máy tính đơn Domain policy: ảnh hưởng đến tất cả máy có trong hệ thống trong Domain OU policy: ảnh hưởng trên OU triển khai Site Policy: ảnh hưởng đến Site đang triển khai. Chia Site trước khi cấu hình.

Replication (302 294) + Schema Partition: định nghĩa và thuộc tính của các đối tượng trong Forest + Configuration Partition: các đối tượng đại diện cấu trúc luận lý đại diện cho Forest. + Domain Partition: đối tượng được lưu trữ trong một Domain. + Application Directory Partition: chỉ tồn tại trên DC 2k3. Ứng dụng và dịch vụ (tích hợp Zone trong AD) đặc biệt mà có thể bao gồm tất cả ngoại trừ quyền hạn hiện có.

Chapter 6 & 8 (OU & GROUP) Ba lý do định nghĩa một OU + Ủy quyền Admin + Administer Group Policy (473) + Ẩn đối tượng Group + Type: Mail, File, Driver + Security Có khả năng phân quyền + Distribution Không có khả năng phân quyền 1- Group Scope thuộc Universal (Distribution type & Functional Level Domain 2k3) Win2k3 hỗ trợ bốn loại Group + Group nesting: Group trong Group member này có thể là member của Group khác.

Chapter 7 I. Công cụ tạo nhiều User + DSadd + CSvde + Ldifde + Script 1- DSadd B1: dsadd B2: dsadd OU ou=hn,dc=dom12,dc=dom12,dc=local B3: dsadd user cn=u1,ou=sg,dc=dom12,dc=local pwd 123 2- CSvde Tạo User: csvde i f c:\vd1.txt # I (AD), f (file) Xuất thông tin: csvde d cn=u100,ou=hn,dc=dom12,dc=local f C:\vd2.txt 3- Ldifde Ldifde i f c:\vd3.txt \\pcnn\msresource\techdocs\chbidomain2.vbs II. Move User ĐK: Forest Functional Level 2003 Trust Relationship Tool: AD Migration Tool B1: Mở DNS tạo Zone (máy join Domain nâng cấp DC) B2: Raise Level B3: Cài I386/ADMT B4: Vào AD Migration Tool III. Limit Logon Backup System State trước khi LimitLogon

Group Policy Object 1- Giới thiệu GPO Policy là một công cụ chỉnh Registry (thuộc regedit) trực quan có từ Windows 2000 Apply Security Setting (trước khi hiện Ctrl+Alt+Del) Computer Policy Apply Security Setting (sau khi nhập User & Pass) User Policy Điều kiện để ảnh hưởng Policy: + Thuộc phạm vi ảnh hưởng (OU) + Có quyền Read & Apply Group Policy + Thỏa WMI Filter 2- Triển khai Khi triển khai GPO thì nên cấu hình riêng lẻ Dễ quản lý (có thể Link mỗi cái đến OU khác) A - Thuộc phạm vi ảnh hưởng. Để User hoặc OU không bị ảnh hưởng thì có các cách sau: + Di chuyển User sang OU khác + Block Policy Inherity (không cần Update) + Tạo GPO phủ định lại (thực tế sử dụng)

B- Read & Apply GPO. + Bỏ quyền Read của User + Tạo Group cho nhóm Users và Deny quyền Read của Group C- WMI Filter (http://www.computerperformance.co.uk/vbscript) Đổi tên ổ đĩa C trên máy lẻ thành abc Policy chỉ ảnh hưởng trên máy lẻ.

Lookback Policy: lấy Policy trong User áp cho Computer Replace: Ghi đè lên Policy cũ Merge: kết hợp với Policy cũ Khởi động lại máy tính sau khi chỉnh Policy Lookback. 3- Deploy Software (Chương 11-12) Điều kiện sử dụng công cụ Deploy Software + Sử dụng *.msi hoặc *.zap (Winstle giúp chuyển EXE sang MSI) http://www.nhatnghe.com/forum/showthread.php?t=1817 + User được cấp quyền cài *.MSI (Chỉnh Registry) http://support.microsoft.com/kb/259459 Khi chỉnh Registry nhớ đường dẫn và Key Tạo Key mới AlwaysInstallElevated có giá trị "1" HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Installer HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\Installer Để có thể chỉnh sửa được Registry nằm ngoài Polciy thì tạo file ADM. + (Optional) tạo file *.MST giúp tự động nhập Product key Sử dụng Windows Resource Kit (ORK.EXE\Custom Installation Wizard) để tạo file MST. Computer Account B1: Tạo OU > Move Computer Accout vào OU tương ứng B2: Copy phần mềm vào File Server > Share ra B3: Deploy Software cho Computer Account

User Account B1: tạo OU > Move User B2: Copy phần mềm vào File Server > Share ra Public nằm trong Control Panel (tự cài) Assign là tự động cài luôn B3: Deploy Software cho Computer Account

1- Chuyển đổi thập phân sang nhị phân 70 293 TCP/IP 2- Địa chỉ IP Giao thức (TCP/IP) phổ biến nhất để giao tiếp giữa các máy tính với nhau. 3- Các phương pháp truyền tin 4- Chia Subnet 5- Lab Multicast (Class D: 224-239) Sử dụng cho Chat Room, hội nghị truyền hình

1- Share Internet (NAT OutBound) 2- VPN (L2TP/IPSec) Internet Connectivity Proxy (ISA, Paros ) + Có Cache + Kiểm soát thông tin truy cập + Web, Ftp + Phụ thuộc ứng dụng + Chỉnh thông số Proxy trên ứng dụng NAT (ISA, RRAS ) + Không Cache + Không kiểm soát thông tin + Tất cả dịch vụ + Không phụ thuộc ứng dụng + Chỉnh Default Gateway Sử dụng ISA để kết hợp ưu điểm của cả hai dịch vụ. ISA mặc địch Disable Cache và kiểm soát thông tin cần cấu hình Proxy Client

Proxy Server

Internet Connectivity 1- VPN (L2TP-1701/IPSec) Cơ chế hoạt động của VPN là IP trong IP (gói tin trong gói tin) PPTP: NAT Inbound port 1723 vào IP Private của Server (IP mặt ngoài của ISA) L2TP: + IPSec: Presharekey, Keberos (mô hình Domain), CA (CA Server). Chức năng mã hóa dữ liệu, mọi giao thức chuyển thành ESP (Entrust Security Pilot). Bước cuối cùng là thực hiện NAT Inbound port 1701 (cho phép Client Access từ bên ngoài). Ngoài ra còn phải thực hiện NAT-T (đòi hỏi thiết bị, phần mềm và hệ điều hành phải hỗ trợ). Nếu Router không hỗ trợ NAT-T thì giải quyết bằng cách cấu hình Bridge Mode (IP Public sẽ nằm ở mặt ngoài của ISA). Tuy nhiên, sẽ giảm khả năng bảo mật cho hệ thống. http://nhatnghe.com/tailieu/adslbridge/adslbridge.htm Cấu hình VPN 1- Tạo User và cấp quyền (Dial-in Allow Access) 2- Tạo folder DATAX Share Nhớ thêm 1 vào số VPN Client vì Server đã chiếm một địa chỉ IP

ISA tự Enable RRAS

Trong trường hợp ISA không Join Domain hoặc sử dụng VPN Hardware thì cần Server trung gian để chứng thực User (RADIUS Server).

Client kết nối VPN Server:

Name Resolution 1- NetBios Name: chuỗi dài 16 ký tự + 15 ký tự đầu: tên tài nguyên (a-z;a-z;0-9) + Ký tự còn lại: loại tài nguyên (hệ 16) Các cơ chế phân giải: + Master Browser: tự động + Lmhosts File: C:\WINDOWS\system32\drivers\etc + WINS: cài WINS Clients cho User. 2- Internet Name (DNS Name) có từ Windows 2k

Chuỗi dài 255 ký tự (a-z;a-z;0-9;.;-). Bao gồm hai phần (Fully Quanlify Domain Name - FQDN): + Có thể có Host name + Domain name Cơ chế phân giải: + Host file: C:\WINDOWS\system32\drivers\etc + DNS: Internal Name Space: Internet Name Space: + Nếu nhà cung cấp (NCC) dịch vụ quản lý thì những dữ liệu tạo trong DNS nằm trên Server vật lý của nhà cung cấp (New Domain). Muốn tạo mới thì Alo cho NCC hoặc sử dụng giao diện trang Web (Pointer ALO). + Khi mình quản lý thì những dữ liệu đó sẽ nằm trên server vật lý của mình (Mắc tiền hơn sử dụng cho hệ thống lớn). Đầu tiên phải dựng DNS Server (Server chuyên dụng, bản quyền Windows, khai báo DNS, đắng ký đường truyền tốt, IP tĩnh, NAT ) New Delegation máy DNS mình quản lý.

Mô hình mẫu: Máy 3: info

Doi voi External thi Donot allow dynamic Updates

Thao tac cau hinh Root Máy Root

Sau đó thực hiện tạo New Domain New Delegation cho may1.com và may3.info Máy 2 bên cấu hình

Clustering Server 1- Giới thiệu: xây dựng nhiều Server chạy cùng một dich vụ Load Balancing và Failover Điều kiện thực hiện + Clustering: Hardware, Software và OS phải hỗ trợ. + NLB: OS phải hỗ trợ (Win Server). Khi triển khai cân bằng tải trên thực tế thì có hai chiều: ra và vào. Để triển khai chiều ra thì có thể sử dụng Hardware (Dlink, Linksys, Draytek ) hoặc Software (WinRoute, ISA Array, PfSense..). Cân bằng tải chiều vào là các dịch vụ còn lại (Web, VPN ). 2- Triển khai + Clustering: Sử dụng chung Database (SQL, Ex2007, File Server, Print Server ). Khi máy bị lỗi thì loại node bị hỏng ra khỏi hệ thống.

VD: Mô hình bán vé máy bay. Khi vé được bán ra thì sẽ bị loại ra khỏi hệ thống của các đại lý khác. Ex2007: Mailbox sử dụng Clustering còn các role còn lại sử dụng NLB. + Network Load Balancing (NLB): Không sử dụng chung Database (Web, Ftp, VPN ). Khi hỏng thì không loại node lỗi ra hệ thống. Notes: Cài Driver cho Card mạng trước khi làm. Khi chưa cấu hình NLB

Để truy cập bằng tên vào DNS khai báo Host B1: Tạo Cluster Server (Network Load Balancing Manager) tại Web Server (PC01 & PC03).

Tương tự khi tạo cho PC03. Sau khi cấu hình xong thì NLB tự động bật lên

Public Key Infrastruture (Chapter 8-12 70-293) (Tr 151 Windows 2003 Security Guide) Phương thức chứng thực IPSEC: có chức năng mã hóa dữ liệu nhưng không quan tâm đến giao thức đang thực hiện. Mọi giao thức đều chuyển thành ESP. 1- Pre-share key 2- Keberos (mô hình Domain) 3- Certificate Phương thức SSL (Secure Socket Layer): mã hóa dữ liệu. Quan tâm đến giao thức đang thực hiện. (Vd: web https, mail smtps ). Khi SSL hoạt động thì thực hiện theo trình tự như sau: B1: Client K B2: Server Client (P) B3: Kiểm tra P của Server (thật B4, giả Stop) B4: K (E) Psv X B5: X (D) Qsv K (chỉ có Server mới giải mã được X K) B6: Dùng K để giao dịch Muốn triển khai SSL thì phải có Certificate. Quá trình triển khai mô hình Stand Alone. Thông tin các nhà cung cấp tin cậy:

Đối tượng được cấp Certificate là User Account, Computer Account và Services Account. Các bước thực hiện:

B1: Cài ASP.NET B2: Cài CA

B3: Kiểm tra (Active Server Pages Allow)

Radius (Remote Authentication Dial In User Service) 1- Giới thiệu RADIUS là chuẩn mở trong đó một giao tiếp kết nối độc lập với HĐH với và một giao tiếp kết nối với HĐH Áp dụng RADIUS phần cứng hoặc phần mềm (Firewall - ISA) dùng chứng thực USER trong Domain. 2- Triển khai (http://tuantt.nhatnghe.vn/radius.htm) Bonus: http://www.nhatnghe.com/forum/showthread.php?t=4330 (Wireless chứng thực RADIUS) http://www.nhatnghe.com/forum/showthread.php?t=11960 (Chứng thực qua ISA) M1: DC, Radius SV, File SV (Dis LAN, 172.16.2.1) M2: VPN SV, Radius Client (172.16.2.2; 192.168.1.2) M3: VPN Client (Dis Cross; 192.168.1.3) M1: Tạo folder Data1 (Share Full) File Server Nâng cấp lên DC (dcpromo) Chỉnh Policy Tạo User teo\123 All Access (Dial in) Raise Domain Windows 2000 Native hoặc Windows 2003 Cài Radius Server: Control Panel Networking Service Cài IAS

Mởi IAS Register vào AD Khai báo Client: Radius Client New 172.16.2.1 Radius Standard

Cấu hình File log: RA Logging Local Files Properties Check All (Chỉnh lại đường dẫn Log Files C:\) Mở file Log Format Word Wrap M2: Cấu hình VPN Server (Disable Firewall Services) Mở RRAS Enable Custom Configuration LAN & VPN PC02 Properties IP Static Adress Pool 10.10.2.1 10.10.2.200 Restart RRAS Cấu hình Radius Client: RRAS PC02 (Properties) Security Radius Authentication Configure Check Always user message authentication. Check Accounting ON/OFF.

M3: Tạo VPN Client