Install Active Directory on Windows Server 2016

I/ Giới thiệu Active Directory trên Windows Server 2016

Active Directory (AD) trên Windows Server 2016 cung cấp nhiều tính năng mới cho cả Active Directory Domain Services (AD DS) và Active Directory Federation Service (AD FS). Nhiều tính năng được thêm vào trên Windows Server 2016 để hướng đến các ứng dụng trên nền tảng cloud.

Như các bạn đã biết, Active Directory là dịch vụ quan trọng trong một hệ thống mạng của doanh nghiệp. Nắm vai trò quản lý dữ liệu của người dùng, máy tính, groups, và các chính sách(policy) cũng như rất nhiều các thông tin khác. Việc triển khai một hệ thống Active Directory chuẩn, tránh các sự cố liên quan là một điều cần thiết. Trong loạt những bài viết về Active Directory trên Windows Server 2016 này, QTM sẽ giới thiệu với các bạn từ cài đặt mới một máy chủ Domain Controller(DC) cho một Domain tới cài thêm máy chủ DC khác cho Domain đó. Các doanh nghiệp phát triển cần phải triển khai các Domain con (Domain phụ), và các Domain ngang hàng trong cùng một Forest.

II/ Cài đặt Active Directory trên Windows Server 2016

Đầu tiên chúng ta cần cấu hình Computer Name và Primary DNS suffix cho Windows Server 2016 trước khi tiến hành cài đặt và cấu hình AD cho Windows Server 2016.

Đặt địa chỉ IP tĩnh cho server sẽ xây dựng Domain Controller, chú ý địa chỉ IP Preferred DNS server.

Mở chương trình Server Manager lên , trên menu “Server Manage → Add Roles and Features → Add Roles and Features”.

-Mục  “Before you Begin”
Chọn Next để qua bước cài đặt tiếp theo.

– Mục “Installation Type”.
Chọn “Role-Based or feature-based installation”, sau đó chọn Next.

– “Server Selection”.
Chọn “Select a server from the server pool”. Sau đó chọn server để cài đặt dịch vụ Active Directory trong server pool =>> Click Next.

– “Server Roles”.
Để cài đặt dịch vụ Active Directory trên windows Server 2016 các bạn đánh dấu “Active Directory Domain Services” → sau đó chọn Next.

Sẽ có một cửa sổ popup hiện ra hỏi bạn có muốn cài đặt các tool quản lý kèm theo khi cài dịch vụ Active Directory hay không. Chọn Add Features để cho phép cài đặt các công cụ quản lý dịch vụ Active Directory đi kèm.

Chọn Next để qua bước cài đặt tiếp theo.

– “Features”
Chọn Next.

– “AD DS”
Ở đây nó sẽ ghi chú cho bạn vài điều khi cài đặt dịch vụ Active Directory như:

• Nó khuyên bạn nên cài 2 Domain Controller để đảm bảo khả năng dự phòng cao khi có sự cố xảy ra với 1 Domain Controller thì user domain vẫn logon được và hoạt động bình thường.
• Để cài đặt dịch vụ Active Directory thì nó yêu cầu bạn phải cài đặt dịch vụ DNS trước. Nếu bạn chưa cài dịch vụ DNS trước đó, thì khi bạn cài Active Directory nó sẽ cài luôn dịch vụ DNS cho bạn.
• Ngoài ra, trên Windows Server 2016 cũng cung cấp một dịch vụ mới là Azure Active Directory. Một dịch vụ AD online để quản lý hệ thống user online trên nền tảng điện hóa đám mây.

Sau đó chọn Next để qua bước tiếp theo.

– “Confirmation”.
Nó sẽ hỏi bạn xác nhận chắc chắn cài các dịch vụ, tính năng, công cụ đi kèm khi cài đặt dịch vụ Active Directory phải không.

Bạn có thể không chọn vào menu “Restart the destination server automatically if required” nếu như bạn không muốn server tự động khởi động lại sau khi cài đặt xong dịch vụ.

Chọn Install để xác nhận và tiến hành cài đặt.

– Mục “Results”.
Quá trình cài đặt dịch vụ Active Directory sẽ tiến hành. Các bạn chờ một chút để nó cài đặt dịch vụ Active Directory trên Windows Server 2016 nhé.

Chúc các bạn thành công với hướng dẫn trên!

Bóng Đá Cỏ

Đọc Tiếp…

How to Install Windows Server 2016 – Desktop Experience step by step

Windows Server 2016 là hệ điều hành “sẵn sàng chuyển đổi sang đám mây” với khả năng vừa hỗ trợ xử lý dữ liệu và thông tin công việc hiện tại của doanh nghiệp, giúp tiếp cận các công nghệ mới và việc chuyển đổi sang điện toán đám mây trở nên dễ dàng hơn cho doanh nghiệp. Nối tiếp Windows 10. Microsoft vừa ra mắt phiên bản Windows Server 2016 và System Center 2016. Hệ điều hành mới đã được Microsoft cung cấp tới khách hàng doanh nghiệp bắt đầu từ 1/10/2016.

Sau đây Quantrimanghd xin hướng dẫn đến các bạn bài hướng dẫn các bạn cài đặt Windows Server 2016.

I. Yêu cầu cài đặt Windows Server 2016.

– Các bạn download Windows Server 2016 tại trang chủ: DOWNLOAD WINDOWS SERVER 2016

– Cấu hình tối thiểu để cài đặt Windows Server 2016

• Processor: 1.4 Ghz 64-bit processor
• RAM: 512 MB (2 GB for Server with Desktop Experience install option)
• Disk Space: 32 GB
• Ethernet: Adapter Gigabit Ethernet (10/100/1000 Base-T)
• Display Resolution: Monitor Super VGA (1024 x 768) or higher resolution

II. Các bước cài đặt Windows Server 2016

Việc cài đặt Windows Server 2016 cũng tương tự như khi cài đặt các Windows khác. Đầu tiên chúng ta phải tạo USB Boot hay DVD cài đặt Windows Server 2016 bằng file iso mà chúng ta đã download ở trên.

Chọn ngôn ngữ, múi giờ và bàn phím cho Windows server 2016.

Sau đó chọn Next để đi qua bước tiếp theo.

Chọn “Install now” để bắt đầu tiến hành cài đặt.

Lựa chọn loại hệ điều hành mà bạn muốn cài đặt.

• Windows Server 2016 Standard Evaluation: Đây là bản Windows Server không có giao diện GUI mà nó sử dụng giao diện dòng lệnh Powershell. Bản này tương tự như bản cài đặt Windows Server Core.
• Windows Server 2016 Standard Evaluation (Desktop Experience) đây là bản Windows Server có giao diện GUI của Windows 10 và giao diện Server Manager được cài đặt thêm.

Lưu ý khi bản chọn bản cài đặt là “Windows Server 2016 Standard Evaluation” hay “Windows Server 2016 Standard Evaluation (Desktop Experience)” bạn không thể chuyển đổi giữa 2 chế độ này. Trừ khi bạn cài lại Windows Server 2016 từ đầu.

Ở đây chúng ta sẽ cài đặt bản “Windows Server 2016 Standard Evaluation (Desktop) Experience”.

Sau đó click “next” để qua bước cài đặt tiếp theo.

Các bạn check vào check box “I accept license terms” để chấp nhận các điều khoản của Microsoft khi cài đặt Windows và chọn “Next”

Chọn kiểu cài đặt mà bạn muốn thực hiện là “upgrade” hay là “Install”. Ở đây mình sẽ tiến hành cài đặt mới nên chọn dòng “Custom: Install Windows Only (advanced)”.

Note: Tính năng Upgrade (nâng cấp) các bạn có thể hiểu là cài đặt hay nâng cấp lại hệ điều hành nhưng không làm mất các chương trình đã cài đặt, bảo lưu thông tin, dữ liệu, môi trường làm việc của người sử dụng… Hạn chế của tính năng này cũng có thể gặp phải một số vấn đề. Đầu tiên, những lỗi xuất hiện ở phiên bản Windows hiện tại trên thiết bị của bạn cũng sẽ được giữ nguyên khi Upgrade. Ngoài ra sau khi Upgrade, một số ứng dụng của bạn có thể sẽ gặp trục trặc dẫn đến hoạt động không mượt mà, thậm chí là không thể sử dụng.

Chọn ổ cứng mà bạn muốn thực hiện cài đặt Windows Server lên. Ở đây mình sẽ tiến hành cài đặt Windows Server trên ổ cứng 60 Gb.

Nếu muốn chia ổ thành nhiều phân vùng, các bạn có thể chọn vào ổ sau đó ấn New để chia ra thành nhiều phân vùng.

Lưu ý: Dung lượng ổ cứng thấp nhất để cài đặt Windows Server 2016 là 32 GB. Tuy nhiên, bạn nên sử dụng ổ cứng nhiều hơn, khoảng 60 GB để đảm bảo Windows có đủ dung lượng ổ cứng để thực hiện các update.

Chọn “next” để qua bước tiếp theo.

Bước này các bạn đợi để Windows Server 2016 tự động chép source Windows Server lên ổ cứng và tự động cài đặt.

Sau khi cài đặt Windows Server 2016 lên ổ cứng thành công thì Server/VPS sẽ khởi động lại và vào bước cuối cùng, đó là bạn sẽ cấu hình password cho user “Administrators”.

Đây là giao diện đăng nhập của Windows Server 2016 sau khi bạn cài đặt xong.

Nhấn tổ hợp phím “Ctrl + Alt + del” để vào màn hình login của Windows.

Đây là giao diện hiển thị của Windows Server 2016 bản Desktop Experience sau khi login thành công. Giao diện rất giống với Windows 10.

CHÚC CÁC BẠN THÀNH CÔNG VỚI BÀI HƯỚNG DẪN CÀI ĐẶT WINDOWS TRÊN!

Bóng Đá Cỏ

Đọc Tiếp…

Nói thêm về các lệnh trong Windows để phân tích hệ thống trong trường hợp bị tấn công.

Trong bài trước, chúng ta đã xem xét một số công cụ dòng lệnh hữu ích trong Windows, bao gồm WMIC, net, openfiles, netstat và find. Lần này, chúng ta sẽ làm tròn số lên một danh sách 10 thứ tốt nhất bằng cách chỉ ra thêm 5 lệnh hữu ích và phân tích xem bằng cách nào các chuyên gia an toàn thông tin có thể sử dụng các lệnh này để làm tốt hơn công việc của mình.

Tương tác với các tiến trình bằng tasklist

Trong bài trước, chúng ta đã thấy lệnh WMIC có thể cho ta nhìn thấy những  thú vị  bên trong các tiến trình (processes) đang hoạt động. Lệnh tasklist cũng có một số tính năng hay có thể xem xét, tách ra một số thuộc tính của tiến trình mà WMIC không làm được.

Khi chạy nó không kèm tham số, lệnh tasklist chỉ ra danh sách toàn bộ các tiến trình đang chạy, hiển thị tên của chúng, số hiệu PID và các thông kê khác. Để có một đầu ra phong phú hơn nữa, ta có thể chạy như sau:

C:\> tasklist /svc 

Lệnh này cho ta thấy những dịch vụ nào đang chạy bên trong mỗi tiến trình (process). Nhiều người dùng windows không hiểu mối quan hệ giữa các dịch vụ và các tiến trình, cho rằng chúng hoàn toàn khác nhau trong khi thực chất chúng là một thực thể liên quan. Trong thực tế, mỗi dịch vụ trên máy chạy Windows đều chạy  bên trong một tiến trình, và một số tiến trình  còn có nhiều dịch vụ sống bên trong. Bởi thế, có một tới nhiều mối quan hệ giữa các tiến trình và dịch vụ mà lệnh tasklist có thể khám phá

Một câu thần chú hữu ích khác của lệnh tasklist là:

C:\> tasklist /m 

Tham số “m” ở đây có nghĩa “modules”, hay là cách mà tasklist chỉ ra các DLLs, các thư viện mã lệnh được tải bởi các tiến trình khi chúng thực thi mệnh lệnh trên máy. Khi được khởi động theo cách này, tasklist chỉ ra từng DLL đang được tải vào tất cả các tiến trình đang chạy. Nó cung cấp cho người dùng một lượng lớn thông tin về những gì đang xảy ra trên máy của họ tại một thời điểm cho trước. Trong khi phân tích đầu ra  là một công việc đáng nản lòng, thì những thông tin này rất hữu ích cho những nhà nghiên cứu malware để xác định bản chất các tiến trình đang chạy trên máy. Khi sử dụng Google search đối với những processes và DLLs cụ thể, có thể nhận được các mô tả malware từ các  trang của nhà sản xuất phần mềm chống virus, mà trong đó chỉ ra các động cơ tấn công cùng các mẫu vật malware đó.

Lệnh reg để phân tích chi tiết registry.

Lệnh reg cho chúng ta tương tác với registry của máy bằng dòng lệnh. Thay vì sử dụng lệnh giao diện đồ họa cồng kềnh regedit để định vị thanh ghi registry, người chuyên nghiệp chỉ cần mở giao diện dòng lệnh Windows và dùng lệnh reg để đọc và cập nhật thanh ghi registry. Tuy thế, lệnh reg không cho phép duyệt thanh ghi registry một cách tương tác, người dùng cần phải biết đường dẫn đầy đủ tới các registry keys mà họ muốn xem hay thay đổi. Dù vậy, khi có đường dẫn thì sử dụng lệnh reg là cách dễ nhất để thay đổi nội dung registry.

Để xem thiết lập của một reistry key cho trước, ta dùng lựa chọn “query” của lệnh reg như sau:

C:\> reg query hklm\software\microsoft\windows\currentversion\run

Khóa thanh ghi này kiểm soát các phần mềm tự khởi động khác nhau của Windows tại thời điểm boot máy và tiếp sau khi người dùng đăng nhập vào hệ thống. Nhiều loại malware thay đổi khóa này để chắc chắn rằng chúng sẽ được khởi động khi máy khởi động lại

Để xuất ra những khóa (keys) riêng biệt hoặc toàn bộ một phân khúc của thanh ghi ra thành tệp để phân tích hoặc cài đặt trên hệ thống riêng biệt, lệnh reg hỗ trợ chức năng “reg export”   Ngoài khả năng đọc và xuất các thiết lập thanh ghi, lệnh reg có thể cập nhật các thiết lập này. Lệnh “reg add” sẽ cập nhật giá trị của các khóa đang có, hoặc tạo khóa mới nếu chúng chưa tồn tại. Lệnh “reg import” có thể nhập nhiều khóa cùng lúc.

Dùng ipconfig để phân tích DNS.

Phần lớn những người dùng Windows thực sự đều quen biết lệnh ipconfig, thường được dùng để chỉ ra các thiết lập về Mạng của máy chạy Windows. Tuy nhiên, có những tính năng hữu ích cụ thể của ipconfig mà khá nhiều người không biết –  là chức năng rất có ích để những người chuyên về an ninh biết về những năng lực của botnets hôm nay. Lệnh ipconfig có thể hiển thị DNS cache của máy tại chỗ như sau:

C:\> ipconfig /displaydns 

Kết xuất của lệnh cho ta một loạt những tên miền được cache tạm, các địa chỉ ip của chúng và time to live (tính bằng giây) của các bản ghi DNS. Nếu người dùng chạy lặp lệnh này, họ có thể thấy time to live giảm dần cho tới khi các bản ghi (records) quá hạn, hoặc được làm tươi lại. Giám sát DNS cache và giá trị time to live (TTL)  đóng một vai trò quan trọng khi điều tra fast-flux botnets, bởi botnets này sẽ sử dụng các DNS records với TTLs nhỏ để buộc phải thường xuyên cập nhật và gây rối người điều tra khi xác định vị trí server back-end quan trọng của hacker Phải thừa nhận rằng, ipconfig không có nhiều lựa chọn thú vị như những lệnh khác được giới thiệu trong bài này như tasklist và reg. Tuy nhiên việc sử dụng lệnh này là cực kỳ hữu ích.

Chạy lặp với vòng lặp FOR /R.

Đôi khi người quản trị hay chuyên gia an ninh muốn chạy một lệnh lặp đi lặp lại, có thể với khoảng cách thời gian 5 giây để có thể quan sát sự thay đổi kết xuất. Để đạt mục đích này, chúng ta có thể trông chờ vào lòng lặp FOR của Windows. Windows hỗ trợ 5 loại vòng lặp khác nhau, có thể thay đổi thông qua file integers, tên file, tên thư mục, nội dung của file và chuỗi. Chúng ta sẽ tập trung vào những vòng lặp đơn giản nhất, đặc biệt là biến FOR /L, với các vòng lặp được chỉ ra thông qua integer vì chúng có thể được dùng để tạo các lệnh chạy liên tục. Cú pháp của vòng lặp FOR /R như sau:

C:\> for /L %[var] in ([start],[step],[stop]) do [command] 

Biến [var] là biến iterator, là một ký tự đơn có thể nhận các giá trị nguyên khác nhau  tại mỗi bước của vòng lặp ,  Bạn sẽ gán giá trị ban đầu của biến, giá trị tăng dần của từng bước trong toàn bộ vòng lặp, và giá trị tối đa của nó. Cũng cần chỉ ra lệnh cần chạy tại từng bước của vòng lặp. Để minh họa, ta sẽ xem dòng lệnh sau:

C:\> for /L %i in (1,1,10) do @echo %i 

Vòng lặp này sử dụng %i là biến với giá trị ban đầu là 1. Cứ mỗi lần lặp lại của vòng lặp, %i sẽ tăng thêm 1, cho tới khi bằng 10. Khi đó, trong quá trình lặp, ta có thể in giá trị của biến thay đổi ra màn hình bằng lệnh echo. Ký hiệu @ báo cho hệ thống biết là không in bản thân câu lệnh (command) ra màn hình, như thế ta sẽ có kết xuất đẹp hơn. Chúng ta chỉ cần bảo hệ thống đếm từ 1 đến 10.

Giờ chúng ta sẽ cùng xem cách thức dùng lệnh này để làm cho lệnh tasklist chạy liên tục:

C:\> for /L %i in (1,0,2) do @tasklist

Với lệnh này, chúng ta lệnh cho máy khởi động vòng lặp với biến bắt đầu bằng 1, số đếm bằng không, cho tới khi đạt giá trị bằng 2. Vòng lặp này sẽ đếm hoài không ngừng nghỉ, cho tới khi chúng ta gỏ CTRL-C để dừng nó lại. Như vậy chúng ta chỉ việc chạy lệnh tasklist tại mỗi lần lặp.

Để thêm vào một đoạn chờ vài giây giữa từng lần lặp, chúng ta chỉ cần ping chính máy của mình (172.0.0.1) nhiều lần tại mỗi lần lặp của toàn bộ vòng lặp, bằng cách thêm dòng “& ping –n 6 127.0.0.1 >nul” như sau:

C:\> for /L %i in (1,0,2) do @tasklist & ping –n 6 127.0.0.1 > nul

Do dòng lệnh của Windows không có chức năng cài sẵn là “ngủ” để chờ một khoảng trễ cho trước, chúng ta có thể dùng lệnh ping để tạo khỏng trễ này. Lệnh trên đây sẽ ping địa chỉ localhost sáu lần (-n 6), tạo ra một quãng trễ 5 giây ( cú ping đầu tiên sẽ xảy ra ngay lập tức, các lần ping sau sẽ lần lượt thực hiện cứ 1 giây một lần ping cho hết 5 lần là 5 giây). Chúng ta hướng kết xuất của lệnh ping ra nul để chúng không xuất hiện trên màn hình. Kết quả là ta có lệnh tasklist chạy cứ 5 giây một lần. Kỹ thuật này có thể được áp dụng để chạy lặp tất cả những lệnh mà chúng ta đã xem xét , giúp người dùng có thể khảo sát kỹ lưỡng hơn kết xuất. Có những cú pháp phức tạp hơn có thể thậm chí phân tích kết xuất của lệnh nhằm cho phép tạo các scripts phân tích hệ thống chi tiết, tuy nhiên những cú pháp này nằm ngoài giới hạn của loại bài viết này.

Khởi động giao diện đồ họa Quản trị bằng dòng lệnh.

Trong khi chế độ dòng lệnh của Windows có nhiều công cụ mạnh mẽ, thì đôi khi công cụ giao diện đồ họa GUI có thể làm tốt hơn dòng lệnh. Tuy nhiên, nhớ lại những vùng tối tăm nơi mà Microsoft đã chôn vùi những controls khác nhau trong GUI của nó là một công việc khiến ta hoang mang .

May thay, người dùng không cần thiết đào bới  toàn bộ GUI để tìm những gì họ cần, thay vào đó họ có thể dựa vào các command-line shortcuts. Ví dụ như, thay vì chuẩn bị khởi động menu để tìm và chạy GUI quản trị người dùng tại chỗ, ta có thể nhảy về dấu nhắc lệnh gần nhất và gõ:

C:\> lusrmgr.msc

Có một loạt các GUI controls có thể được chạy trực tiếp từ dòng lệnh theo cách này, chúng giúp tiết kiệm nhiều thời gian. Đây là một vài controls yêu thích:

• Secpol.msc: Đây là hệ quản trị chính sách an ninh tại chỗ, được dùng để cấu hình hàng trăm thiết lập an ninh cho máy.
• Services.msc: Đây là lệnh chạy các dịch vụ bàn điều khiển GUI (control panel)
• Control: Lệnh này xổ lên toàn bộ các công cụ có trên bàn điều khiển control panel
• Taskmgr.exe: Lệnh này khởi động Task Manager
• Explorer.exe: Để kích hoạt trình duyệt tệp Windows bằng tay, ta chạy lệnh này.
• Eventvwr.msc: Lệnh này chạy Windows Event Viewer, rất tiện cho phân tích log.

Kết luận:

Đầu tiên, có vẻ như những lệnh Windows được trình bày trong bài tối nghĩa và khó nhớ. Tuy vậy, nếu thực hành siêng năng, những công cụ dòng lệnh Windows có thể giúp những người quản trị và chuyên viên an ninh vận dụng thêm nhiều quyền năng với máy tính chạy Windows của họ, cấu hình chúng an toàn hơn và phân tích chúng chi tiết hơn khi bị tấn công.

Đọc Tiếp…

Tìm Hiểu VLAN

Đã bao giờ bạn tự đặt cho mình những câu hỏi như: mạng LAN ảo (hay VLAN) là gì? Khi nào và tại sao bạn cần có một VLAN? 

LAN là gì?

Chắc hẳn phần lớn các bạn đều hiểu thế nào là một mạng LAN. Tuy nhiên chúng ta vẫn nên nhắc lại một chút, bởi lẽ nếu bạn không nắm được mạng LAN là gì, bạn sẽ không thể có khái niệm về VLAN.

LAN là một mạng cục bộ (viết tắt của Local Area Network), được định nghĩa là tất cả các máy tính trong cùng một miền quảng bá (broadcast domain). Cần nhớ rằng các router (bộ định tuyến) chặn bản tin quảng bá, trong khi switch (bộ chuyển mạch) chỉ chuyển tiếp chúng.

VLAN là gì?

Như đã giới thiệu phía trên, VLAN là một mạng LAN ảo. Về mặt kỹ thuật, VLAN là một miền quảng bá được tạo bởi các switch. Bình thường thì router đóng vai trò tạo ra miền quảng bá. Đối với VLAN, switch có thể tạo ra miền quảng bá.

Ảnh minh họa: thebryantadvantage.com

Việc này được thực hiện khi bạn – quản trị viên – đặt một số cổng switch trong VLAN ngoại trừ VLAN 1 – VLAN mặc định. Tất cả các cổng trong một mạng VLAN đơn đều thuộc một miền quảng bá duy nhất.

Vì các switch có thể giao tiếp với nhau nên một số cổng trên switch A có thể nằm trong VLAN 10 và một số cổng trên switch B cũng có thể trong VLAN 10. Các bản tin quảng bá giữa những máy tính này sẽ không bị lộ trên các cổng thuộc bất kỳ VLAN nào ngoại trừ VLAN 10. Tuy nhiên, tất cả các máy tính này đều có thể giao tiếp với nhau vì chúng thuộc cùng một VLAN. Nếu không được cấu hình bổ sung, chúng sẽ không thể giao tiếp với các máy tính khác nằm ngoài VLAN này.

VLAN có cần thiết không?

Có một điều quan trọng mà tôi cần nhấn mạnh, đó là bạn không cần cấu hình một mạng LAN ảo trừ khi mạng máy tính của bạn quá lớn và có lưu lượng truy cập quá nhiều. Nhiều khi người ta dùng VLAN chỉ đơn giản vì lý do mạng máy tính mà họ đang làm việc đã sử dụng chúng rồi.

Thêm một vấn đề quan trọng nữa, đó là trên switch Cisco, VLAN được kích hoạt mặc định và tất cả các máy tính đã nằm trong một VLAN. VLAN đó chính là VLAN 1. Bởi thế mà theo mặc định, bạn có thể sử dụng tất cả các cổng trên switch và tất cả các máy tính đều có khả năng giao tiếp với nhau.

Khi nào bạn cần một VLAN?

Bạn cần cân nhắc việc sử dụng VLAN trong các trường hợp sau:

• Bạn có hơn 200 máy tính trong mạng LAN
• Lưu lượng quảng bá (broadcast traffic) trong mạng LAN của bạn quá lớn
• Các nhóm làm việc cần gia tăng bảo mật hoặc bị làm chậm vì quá nhiều bản tin quảng bá.
• Các nhóm làm việc cần nằm trên cùng một miền quảng bá vì họ đang dùng chung các ứng dụng. Ví dụ như một công ty sử dụng điện thoại VoIP. Một số người muốn sử dụng điện thoại có thể thuộc một mạng VLAN khác, không cùng với người dùng thường xuyên.
• Hoặc chỉ để chuyển đổi một switch đơn thành nhiều switch ảo.

---

Tại sao không chia subnet?

Một câu hỏi thường gặp đó là tại sao không chia subnet (mạng con) thay vì sử dụng VLAN? Mỗi VLAN nên ở subnet của riêng mình. VLAN có ưu điểm hơn subnet ở chỗ các máy tính tại những vị trí vật lý khác nhau (không quay lại cùng một router) có thể nằm trong cùng một mạng. Hạn chế của việc chia subnet với một router đó là tất cả máy tính trên subnet đó phải được kết nối tới cùng một switch và switch đó phải được kết nối tới một cổng trên router.

Với VLAN, một máy tính có thể được kết nối tới switch này trong khi máy tính khác có thể kết nối tới switch kia mà tất cả các máy tính vẫn nằm trên VLAN chung (miền quảng bá).

Làm thế nào các máy tính trên VLAN khác nhau có thể giao tiếp với nhau?

Các máy tính trên VLAN khác nhau có thể giao tiếp với một router hoặc một switch Layer 3. Do mỗi VLAN là subnet của riêng nó, router hoặc switch Layer 3 phải được dùng để định tuyến giữa các subnet.

Cổng trunk là gì?

Khi một liên kết giữa hai switch hoặc giữa một router và một switch truyền tải lưu lượng của nhiều VLAN thì cổng đó gọi là cổng trunk.

Cổng trunk phải chạy giao thức đường truyền đặc biệt. Giao thức được sử dụng có thể là giao thức độc quyền ISL của Cisco hoặc IEEE chuẩn 802.1q.

Làm thế nào để tạo VLAN?

Cách cấu hình một mạng VLAN có thể thay đổi tùy từng mẫu switch Cisco khác nhau. Mục tiêu của bạn là:

• Tạo VLAN mới
• Đặt mỗi cổng vào VLAN thích hợp

Giả dụ chúng ta muốn tạo VLAN 5 và 10. Chúng ta muốn đặt cổng 2 và 3 vào VLAN 5 (Marketing) và cổng 4 và 5 vào VLAN 10 (Nhân sự). Sau đây là cách thực hiện trên switch Cisco 2950:

Tại thời điểm này, chỉ có cổng 2 và 3 là có thể giao tiếp với nhau cũng như chỉ có cổng 4 và 5 có thể giao tiếp với nhau. Lý do là vì chúng nằm trên cùng VLAN. Để máy tính ở cổng 2 có thể giao tiếp với máy tính ở cổng 4, bạn cần phải cấu hình cổng trunk tới router nhằm giúp nó có thể tháo gỡ thông tin VLAN, định tuyến gói dữ liệu và bổ sung lại thông tin VLAN.

VLAN cung cấp những gì?

VLAN giúp tăng hiệu suất mạng LAN cỡ trung bình và lớn vì nó hạn chế bản tin quảng bá. Khi số lượng máy tính và lưu lượng truyền tải tăng cao, số lượng gói tin quảng bá cũng gia tăng. Bằng cách sử dụng VLAN, bạn sẽ hạn chế được bản tin quảng bá.

VLAN cũng tăng cường tính bảo mật bởi vì thực chất bạn đặt một nhóm máy tính trong một VLAN vào mạng riêng của chúng.

Tổng kết

Dưới đây là tổng kết những ý chính trong bài:

• VLAN là một miền quảng bá tạo bởi các switch.
• Quản trị viên phải tạo VLAN sau đó chỉ định cổng nào vào VLAN nào một cách thủ công.
• VLAN giúp tăng hiệu suất cho mạng LAN cỡ vừa và lớn.
• Tất cả các máy tính đều nằm trong VLAN 1 theo mặc định.
• Cổng trunk là cổng đặc biệt sử dụng giao thức ISL hoặc 802.1q, nhờ thế nó có thể truyền tải lưu lượng của nhiều VLAN.
• Để các máy tính thuộc các VLAN khác nhau giao tiếp với nhau, bạn cần dùng một router hoặc switch Layer 3.

Quản Trị Mạng HD

Đọc Tiếp…

Windows Server 2012 Backup (Restore Data, System State)

Windows Server Backup

 Restore Data, System State

Mục đích chính của backup:

+ Nếu hệ thống gặp sự cố còn có cơ sở để phục hồi dữ liệu.

+Khôi phục dữ liệu một cách nhanh nhất, đầy đủ nhất.

Đây là công việc hàng đầu, quan trọng nhất khi quản lý hệ thống.

Đầu tiên ta cần tìm hiểu: thành phần quan trọng khi backup (ngoài Data) là System State

System State là Database của hệ thống, bao gồm:

+ Boot files: các file liên quan đến quá trình khởi động.

+ Registry (theo mình thì đây là thành phần quan trọng nhất).

+ Com+ ( thư viện liên kết động – Component Service – môi trường để phát triển phần mềm).

+ Chứa tất cả đối tượng (object) của windows (user, group, local group policy, v.v).

+ Certificate Services (nếu có cài đặt).

+ Cluster Database (nếu có). v.v

Trong domain network thì system state còn là nơi lưu trữ

+ AD Database

+ Sysvol

• mình sẽ đi vào cách cấu hình

Chuẩn bị: Máy ảo chạy server 2012, ổ cứng ảo phải có 2 phân vùng, nếu chỉ có 1 thì add thêm ổ cứng

Triển khai: Bước 1:

Mở Server Manager ->Manage -> Add Roles and Features -> Ta next mặc định đến cửa sổ

Select Feature: check vào Windows Server Backup. Rồi Next mặc định -> Install.

Bước 2: Mở chương trình Windows Server Backup:

Server manager -> Tools -> Windows Server Backup hoặc (start -> run -> wbadmin.msc)

Ta có 2 tùy chọn backup

+ Backup once: chỉ backup 1 lần sau khi ta cấu hình.

+ Backup Schdule: chạy theo lịch biểu mà ta thiết lập

Ta chọn Backup Schedule

Getting Started: -> Next

Select Backup Configuration:

Full Server (bare metal backup): sao lưu tất cả các ổ đĩa có trên server.

Custom: tùy chọn folder, ổ đĩa để sao lưu. Ta chọn Custom -> Next

Select Items for server: Chọn Add Items: để chọn nơi muốn backup

Ở đây ta chọn folder Data trong ổ đĩa C -> Next

(lưu ý: để chỉnh loại backup thì sau khi chỉ định nơi backup, ta chọn Advanced setting -> tab VSS Settings)

Windows Server Backup có 2 loại backup:

– VSS full backup

– VSS Copy backup (mặc định là loại này)

VSS full backup: backup xong thì xóa luôn thuộc tính A.

VSS copy backup: backup dữ liệu nhưng không xóa thuộc tính A. Ta nên dùng  loại này khi server có kèm theo phần mềm backup khác (vì như đã biết các chương trình backup phải dựa vào thuộc tính A)

Next

Specify Backup Time: lập lịch để backup chạy

Ta có 2 option

+ Once a day: lịch biểu chạy 1 lần backup trong 1 ngày

+ More than once a day: lập lịch để chạy backup nhiều lần trong 1 ngày:

12hPM: backup trong giờ nghỉ trưa.

12hAM: backup lần thứ 2 vào rạng sáng.

(cần kết hợp với UPS để phòng trường hợp cúp điện (backup sẽ không diễn ra).

-> Next.

Specify Destination File: Chọn nơi lưu trữ file backup

+ Back up to hard disk… : lưu file backup trên 1 ổ cứng khác (nên sử dụng, không nên lưu trên ổ đĩa chứa hệ điều hành).

+ Back up to a volume: lưu trên 1 phân vùng  ( chung ổ đĩa với HDH => không an toàn)

+ Back up to a shared network volume: lưu trên 1 share folder trong hệ thống mạng (không khuyên dùng)

Không nên dùng cách thứ 3 : do khi lập lịch back up (schedule) thì dữ liệu sẽ bị ghi đè (replace). Trong khi 2 cách trên thì  dữ liệu sẽ được lưu trữ nối tiếp (append) nghĩa là cách 3 chỉ có 1 bản backup trong khi 2 cách trên có bản back up cho từng thời điểm.

Ta chọn cách 1 (do mình đã add thêm ổ cứng ảo) -> Next

Select Destination Disk: chọn ổ cứng để lưu file backup -> Next

Xuất hiện thông báo: format ổ cứng và lúc này ổ cứng chỉ có tác dụng chứa file backup ( ổ cứng sẽ bị ẩn và chúng ta không thể truy cập, lưu trữ các file khác) -> Ok

-> Finsish

Vậy là đã lập lịch thành công. Mặc định file backup sẽ được ghi đè vào từng thời điểm backup. Khi restore thì chỉ cần chọn thời điểm cần  restore trên file back up.

Lưu ý

– Chỉ có user trong group Administrators và Backup Operators mới có quyền thực thi chức năng backup.

– Có thể tạo VHD file rồi attach vào disk management để lưu file backup (tạo thành ổ đĩa ảo chứa file backup) như bài Lab để tạo máy ảo.

Chuẩn bị:

Lấy kết quả từ 2 phần trước.

Khi hệ thống bị sự cố, nếu chúng ta có chiến lược backup phù hợp thì việc khôi phục dữ liệu rất dễ dàng. Sau đây mình sẽ hướng dẫn các bạn restore data bằng Windows Server Backup

Mở Windows Server Backup (wbadmin.msc)

Chọn Recover…

Chọn nơi lưu trữ file Backup, do mình lưu ở ổ cứng trong server nên chọn This server.

Select Backup Date: Chọn thời điểm để restore

Recovery Type: Muốn restore từng file hay folders thì chọn option đầu tiên. Nếu muốn restore cả ổ C thì chọn Volumes (dĩ nhiên để restore cả volume thì bạn phải backup nó trước).

Chọn file, folder cần restore. Bạn có thể chọn 1 hay nhiều file để restore ( đây là 1 trong những điểm hay của windows server backup)

Ở trường hợp này mình chọn Restore cả folder Data.

Recovery Options: các tùy chọn khôi phục file.

Recovery destination: bạn có thể chọn nơi khôi phục  file gốc (không nhất thiết là phải ở vị trí lúc backup)

Có 3 option:

Create copies….: tạo ra 1 bản copy – tức là không chép đè lên file cũ (lúc này ta có 2 version: 1 version lúc chưa restore và 1 version backup)

Overwrite: khôi phục đè, lúc này chỉ còn lại 1 bản (lúc backup)

Do not Recover…: Tại nơi restore (recovery destination), nếu tồn tại file, folder trùng tên với các file, folder của bản backup thì sẽ giữ nguyên,

không restore nữa. Chỉ restore những file, folder không có trong recovery destination

Nên chọn Option 1, nó giúp ta so sánh, chọn lựa (theo mình thì đây là điểm cải tiến hay của Windows Server Backup).

Quá trình khôi phục bắt đầu

Do mình chọn Option 1 nên hệ thống sẽ tạo 1 bản copy ( 2 thời điểm giúp ta dễ dàng chọn lựa)

Cách khôi phục system state trên Domain Controller

Ta backup System State như hình

Đối với Domain Controller, khi restore system state phải vào Directory Services Repair Mode (Mode này sẽ stop AD service, giúp ta có thể khôi phục system state)

Và phải đăng nhập bằng quyền của built-in Administrator với password là pass lúc ta nâng cấp DC.

Cảm ơn các bạn đã theo dõi

Quản Trị Mạng HD

Đọc Tiếp…