BM/QT10/P.ĐTSV/04/04
Ban hành lần: 3

UBND TỈNH BÀ RỊA – VŨNG TÀU
TRƯỜNG CAO ĐẲNG KỸ THUẬT CƠNG NGHỆ

GIÁO TRÌNH
MƠ ĐUN :QUẢN TRỊ NÂNG CAO
NGHỀ: QUẢN TRỊ MẠNG
TRÌNH ĐỘ: TRUNG CẤP
Ban hành kèm theo Quyết định số: ……/QĐ-CĐKTCN, ngày … tháng … năm
20…… của Hiệu trưởng Trường Cao đẳng Kỹ thuật Công nghệ BR-VT)

BÀ RỊA – VŨNG TÀU


TUYÊN BỐ BẢN QUYỀN
Nhằm đáp ứng nhu cầu học tập và nghiên cứu cho giảng viên và sinh
viên nghề Công nghệ Thông tin trong trường Cao đẳng Kỹ thuật Công nghệ
Bà Rịa – Vũng Tàu, chúng tôi đã thực hiện biên soạn tài liệu Quản trị mạng
này.
Tài liệu được biên soạn thuộc loại giáo trình phục vụ giảng dạy và học
tập, lưu hành nội bộ trong Nhà trường nên các nguồn thơng tin có thể được
phép dùng ngun bản hoặc trích dùng cho các mục đích về đào tạo và
tham khảo.
Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích
kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm.


LỜI GIỚI THIỆU
Giáo trình “Quản trị mạng nâng cao” được biên soạn dựa trên khung

chương trình đào tạo Cao đẳng nghề Công nghệ Thông tin năm 2019 đã được
Trường Cao đẳng Kỹ thuật Công nghê Bà Rịa – Vũng Tàu phê duyệt.
Tác giả đã nghiên cứu một số tài liệu, công nghệ hiện đại kết hợp với kinh
nghiệm làm việc thực tế để viết nên giáo trình này. Nội dung được tác giả trình
giáo trình là trang bị cho học viên những kiến thức và kỹ năng:
- Xây dựng và quản trị hạ tầng Active directory
- Cài đặt và quản trị hạ tầng khóa CA
- Cài đặt và cấu hình DHCP relay agent
- Có khả năng tinh chỉnh và giám sát mạng Windows Server;
- Triển khai được dịch vụ Routing and Remote Access (RRAS);
- Có khả năng phát hiện và khơi phục Server bị hỏng;
- Có khả năng cài đặt và quản lý máy tính từ xa thơng qua RAS;
- Xây dựng được một mạng riêng ảo VPN;
- Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiện
chính xác thao tác sao lưu cấu hình mặc định của Firewall;
- Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file;
- Bố trí làm việc khoa học đảm bảo an tồn cho người và phương tiện học tập.
- Bố trí làm việc khoa học đảm bảo an toàn cho người và phương tiện học tập.
Nội dung giáo trình được chia thành 9 bài, trong đó:
Bài 1: Dịch vụ windows terminal services
Bài 2: Tính năng bảo mật nâng cao server
Bài 3: Thực thi distributed ad ds deployments
Bài 4: Operations master roles
Bài 5: Dịch vụ routing
Bài 6: Dịch vụ nat
Bài 7: Dịch vụ dhcp relay
Bài 8: Dịch vụ virtual private network
Bài 9 : Triển khai các dịch vụ dựa trên certification authority
Mặc dù bản thân đã tham khảo các tài liệu và các ý kiến tham gia của các
đồng nghiệp, song cuốn giáo trình vẫn khơng tránh khỏi những thiếu sót.

Mong các bạn đóng góp ý kiến.
Tơi xin cảm ơn các thầy cơ khoa CNTT–Trường Cao đẳng nghề đã cho
tơi các ý kiến đóng góp q báu để tơi hồn thiện giáo trình này.
Bà Rịa – Vũng Tàu, ngày …… tháng …… năm ………
Tham gia biên soạn
1. Vũ Thị Tho – Chủ biên

3


MỤC LỤC
BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES
1. Tại sao phải dùng Terminal services.............................................................7
2. Các hình thức máy trạm kết nối đến máy chủ:..............................................7
3. Cài đặt và cấu hình Terminal Service............................................................7
3.1. Cài đặt Terminal Services:..........................................................................8
3.2. Thêm các chương trình ứng dụng RemoteApp........................................13
3.3. Chia sẻ folder chứa file ứng dụng............................................................17
3.4. Kiểm tra trên máy client...........................................................................18
4.Triển khai các ứng dụng RemoteApp thông qua TS Web Access:...............21
4.1. Cài đặt TS Web Access trên Terminal Server...........................................21
4.2.Kiểm tra trên Terminal Client....................................................................24
5. Bảo mật Terminal Services của Windows Server 2008...............................25
5.1. Sử dụng chứng thực Smart Cards.............................................................25
5.2. Cấu hình bảo mật bổ sung bằng Group Policy.........................................25
BÀI 2: TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER
1 Thiết lập Advanced Firewall......................................................................32
1.1. Giới thiệu .................................................................................................32
1.2. Cấu hình Advanced FireWall...................................................................32
1.2.1. Xác định port.........................................................................................33

1.2.2.Cấu hình Inbound Rule...........................................................................33
1.2.3.Cấu hình Outbound Rule........................................................................35
2 IP SECURITY...........................................................................................38
2.1. Tổng quan IP Sec......................................................................................38
1
Khái niệm IP Sec...................................................................................38
2
Cấu trúc bảo mật của IP SEC................................................................38
3
Hiện trạng IP SEC.................................................................................39
2
Cấu hình IP Sec.....................................................................................40
1
Cấu hình IP Sec cho tất cả các kết nối..................................................40
2
Cấu hình IP Sec cho kết nối được chỉ định ..........................................54
3
Connection Security Rules....................................................................56
4
Deploy connection Security Rules bằng GPO......................................59
BÀI 3: THỰC THI DISTRIBUTED AD DS DEPLOYMENTS
1. Các thành phần Active directory ................................................................60
2. Thực thi Active directory.............................................................................62
2.1. Cấu hình Child Domain trong AD ...........................................................62
2.2. Thêm domain controller ..........................................................................67
2.3. Cấu hình DNS...........................................................................................71
BÀI 4: OPERATIONS MASTER ROLES
1.Giới thiệu Operations master roles ..............................................................76
1.1. FSMO là gì...............................................................................................76
1.2. Các vai trị của FSMO..............................................................................76

2.Cấu hình Operations master roles ...............................................................79
4


2.1. Transfer FSMO Roles ..............................................................................80
2.2. Size FSMO Roles.....................................................................................80
BÀI 5: DỊCH VỤ ROUTING
1.Giới thiệu Routing .......................................................................................80
2. Cấu hình Routing :.......................................................................................83
2.1. Cài đặt role Routing and Remote Access.................................................84
2.2. Cấu hình Static Route...............................................................................85
2.3. Cấu hình Dynamic Route.........................................................................89
BÀI 6: DỊCH VỤ NAT
1 Giới thiệu NAT /PAT..................................................................................91
2 Cấu hình NAT OUTBOUND & INBOUND ON SERVER.......................94
2.1. Cấu hình NAT OUTBOUND...................................................................95
2.2. Cấu hình NAT INBOUND.......................................................................99
3 Bài tập nâng cao ......................................................................................101
BÀI 7: DỊCH VỤ DHCP RELAY
1 Giới thiệu DHCP Relay Agent.................................................................102
1.1.Tại sao phải sử dụng DHCP relay agent..................................................102
1.2.Ưu diểm của DCHP RELAY...................................................................103
1.3.Cơ chế hoạt động DHCP Relay Agent ...................................................103
1.4.Cấp phép (authorize)...............................................................................104
1.5.Level option của DHCP server................................................................105
2 Cài đặt và cấu hình DHCP Relay Agent ..................................................107
2.1.Cài đặt và cấu hình DHCP server ...........................................................107
2.2.Cài đặt cấu hình DHCP Relay.................................................................114
BÀI 8: DỊCH VỤ VIRTUAL PRIVATE NETWORK
1. Tổng quan về VPN ...................................................................................118

1 Khái niệm vpn ........................................................................................118
2 Lợi ích của VPN .....................................................................................119
3 Cơ chế hoạt động của VPN.....................................................................119
4 Giao thức sử dụng VPN..........................................................................120
2. Cấu hình VPN Client to Site ....................................................................123
3. Cấu hình VPN Site to Site ........................................................................132
BÀI 9 :TRIỂN KHAI CÁC DỊCH VỤ DỰA TRÊN CERTIFICATION
AUTHORITY
1 Cơ sở hạ tầng khóa cơng khai..................................................................142
1.1. Giới thiệu về PKI...................................................................................142
1.2. Chứng chỉ số...........................................................................................142
1.2.1 Giới thiệu .............................................................................................143
1.2.2. Lợi ích của chứng chỉ số......................................................................143
2 Triền khai dịch vụ CA trên môi trường windows server 2008.................145
1
Cài Enterprise CA...............................................................................146
2
Cấp phát quản lý CA...........................................................................147
3 Triền khai một số dịch vụ mạng sử dụng CA...........................................157
1
Dịch vụ IP Sec.....................................................................................157
2
Dịch vụ Web sử dụng SSL..................................................................170
5


3

Dịch vụ VPN.......................................................................................176
GIÁO TRÌNH MƠ ĐUN


Tên mơ đun: Quản trị mạng nâng cao
Mã mơn học/mơ đun:MĐ15
VỊ TRÍ, TÍNH CHẤT CỦA MƠ ĐUN:
- Vị trí: Mơ đun được bố trí sau khi sinh viên học xong mơn, mơ đun: Mạng máy
tính, Quản trị mạng 1, Quản trị hệ thống WebServer và MailServer
- Tính chất: Là mơ đun chun nghành bắt buộc.
MỤC TIÊU MƠ ĐUN:
- Có khả năng tinh chỉnh và giám sát mạng Windows Server;
- Triển khai được dịch vụ Routing and Remote Access (RRAS);
- Có khả năng phát hiện và khơi phục Server bị hỏng;
- Có khả năng cài đặt và quản lý máy tính từ xa thơng qua RAS;
- Xây dựng được một mạng riêng ảo VPN;
- Cài đặt và cấu hình được các chính sách mặc định của Firewall, thực hiện
chính xác thao tác sao lưu cấu hình mặc định của Firewall;
- Thực hiện được thao tác xuất, nhập các chính sách của Firewall ra thành file;
- Bố trí làm việc khoa học đảm bảo an tồn cho người và phương tiện học tập.
NỘI DUNG MÔ ĐUN:

6


BÀI 1: DỊCH VỤ WINDOWS TERMINAL SERVICES
Mã bài: 15.1
1. Tại sao phải dùng Terminal services

Terminal Service Remote Application là một tính năng mới trên Windows
Server 2008. Các chương trình ứng dụng sẽ được cài đặt sẵn trên Windows
Server 2008, các máy trạm tuy khơng cài đặt chương trình ứng dụng, nhưng vẫn
có thể khai thác các chương trình ứng dụng đó trên máy chủ thơng qua Terminal

Service. Terminal Service có đặc điểm như sau:
-Sự truy cập liền mạch . Người dùng truy cập vào các ứng dụng hosting từ xa
một cách liền mach như các ứng dụng đang được cài đặt cục bộ. Các ứng dụng
hosting có thể cư trú trên các ứng dụng được cài đặt cục bộ.
- Quản lý ứng dụng tập trung, dễ dàng, và đơn giản.
-Dễ dàng quản lý các văn phòng chi nhánh,phù hợp nhất với những cơng ty
khơng có nhân viên IT chun nghiệp tại các văn phòng chi nhánh.
-Sử dụng các ứng dụng khơng tương thích cùng với nhau trong cùng 1 hệ thống
- Các máy trạm khơng cần phải có cấu hình phần cứng mạnh và doanh nghiệp
không phải tốn nhiều chi phí về bản quyền phần mềm khi sử dụng dịch vụ này.
Tuy nhiên, doanh nghiệp vẫn phải mất chi phí bản quyền cho CAL (Client
Access License), và chi phí này vẫn thấp, có thể chấp nhận được .
- Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải
được cài đặt Remote Desktop Connection (RDC) 6.0 trở lên.
2. Các hình thức máy trạm kết nối đến máy chủ
- Có 4 cách để máy trạm kết nối đến máy chủ khi khai thác chương trình ứng
dụng trên máy chủ:
Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web
Access, máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.1.
RDC6.1 có sẵn trong Windows Vista Service Pack 1 và Windows XP
Professional Service Pack 3.
Sử dụng Network Access: Máy chủ tạo sẵn file .rdp (mỗi chương trình ứng
dụng tương ứng 1 file .rdp) và được share trên máy chủ, máy trạm truy cập vào
máy chủ, chạy trực tiếp file đó để khai thác chương trình ứng dụng trên máy
chủ.
Sử dụng Network Access: Máy chủ tạo sẵn file .msi (mỗi chương trình ứng
dụng tương ứng 1 file .msi)và được share trên máy chủ, máy trạm truy cập vào
máy chủ, chạy trực tiếp file đó để cài đặt các shortcut liên kết đến chương trình
ứng dụng trên máy chủ. Các shortcut này được cài đặt trong Start menu của máy
trạm, cụ thể là mục Remote Application. Máy trạm chạy các shortcut đó để khai

thác chương trình ứng dụng trên máy chủ.
Sử dụng policy (áp dụng cho môi trường Domain) để triển khai hàng loạt việc
cài đặt shortcut liên kết đến chương trình ứng dụng trên máy chủ cho nhiều máy
trạm.
3. Cài đặt và cấu hình Terminal Service
Chuẩn bị: Hệ thống gồm:
7


- Server: Windows Server 2008
+ Tạo local user: sv1/123 , sv2/ 123 và add vào group remote desktop users
+ Bật chế độ remote desktop trên máy server.
+ Change password Adminstrator là 123
- Client: Windows XP.
Thực hiện:
3.1. Cài đặt Terminal Services:
Start –> Programs –> Administrative Tools –> Server Manager
Chuột phải Roles –> Add Roles

Before you begin –> Next

8


Chọn Terminal Services –> Next

Hộp thoại Instruction to Terminal Services –> Next
Chọn Terminal Server –> Next

Application Compatibility để mặc định –>Next


9


Authentication Method
Authentication –> Next

–>

Chọn Do

Not

Require

Network

Level

Licensing Mode –> Configure later –> Next

10


Add 2 user sv1 và sv2 vào để có thể access the terminal server

Confirmation Installation –> chọn Install. Sau khi cài đặt xong thì chọn Restart –
> OK

11



Kiểm tra Remote Connection đã được enable
Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote

3.2. Thêm các chương trình ứng dụng RemoteApp:
- Start –> Program –> Administrative Tools ->Terminal Services ->TS
RemoteApp Manager.
- Menu Action –> Add RemoteApp Programs.

12


Menu Action –> Add RemoteApp Programs

Màn hình Wellcome –> Next

13


Choose Program to add to RemoteApp Program list –> Chọn các ứng dụng cho
Client –> Next

Review Setting –> Finish

14


Trong màn hình TS remote App –> Cuộn xuống cuối màn hình –> Phải chuột
vào application và chọn Create Windows Installer Package


Màn hình Welcome –> Next

15


Để mặc định các thơng số cấu hình –> Next

Chọn Finish

16


3.3. Chia sẻ folder chứa file ứng dụng:
C:\Program File –> Chuột phải lên Packaged Program –> Properties –> Share
Folder –> Everyone Allow-Read –> OK

3.4. Kiểm tra trên máy client:
Start –> Run –> Nhập địa chỉ ip Remote Server
Vd: \\192.168.1.38 OK

17


Hộp thoại yêu cầu khai báo username/password đăng nhập –> Nhập sv1/123 –>
OK

Chọn ứng dụng cần dùng

18



Chọn Connect

Nhập vào user chứng thực –> OK

19


Quá trình kết nối diễn ra và Ứng dụng cần dùng sẽ mờ ra

4.Triển khai các ứng dụng RemoteApp thông qua TS Web Access:
4.1. Cài đặt TS Web Access trên Terminal Server:
- Server Manager –> Terminal Services –> Add Role Services.

20


Chọn TS Web Acess –> Next

Chọn Add Require Role Services

21


Để các thông số mặc địnhàNextàChọn Install

22



Start –> Programs –> Administrative Tools –> Terminal Service –> TS
RemoteApp Manager
Chuột phải các ứng dụng muốn hiển thị –> Chọn Show in TS Web Access

23


4.2.Kiểm tra trên Terminal Client
Mở Internet Explorer –> Khung Address nhập vào địa chỉ Terminal Server
http:// 192.168.1.38/ts –> Enter
Hộp thoại khai báo username và password xuất hiện. Nhập sv1/123

Sau khi đăng nhập thành công -> Lựa chọn các ứng dụng cần dùng

24


5. Bảo mật Terminal Services của Windows Server 2008
5.1. Sử dụng chứng thực Smart Cards
Sử dụng Smart Cards, người dùng không chỉ phải cung cấp các tiêu chuẩn
đăng nhập hợp lệ mà cịn phải có thể kết nối vật lý với thẻ thông minh đến thiết
bị mà họ đang sử dụng như một thiết bị đầu cuối ở xa.
Để yêu cầu thẩm định thẻ thông minh, bạn phải tạo một Group Policy
Object để sử dụng cho Terminal Server. Trong GPO, duyệt đến Computer
Configuration\Windows Settings\Security Settings\Local Policies\Security
Options và kích hoạt thiết lập Interactive Logon: Require Smart Card. Thêm vào
đó bạn cũng cần phải kích hoạt Smart Cards để có thể chuyển hướng đến
Terminal Server bằng cách tích vào hộp kiểm Smart Cards trên tab Local
Resources của Remote Desktop Connection trên các máy trạm của người dùng.


25