lab 291
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 1
Mục lục
Module 1: Reviewing the Suite of TCP/IP Protocols..................................................................... 2
Module 2: Assigning IP Addresses in a Multiple Subnet Network................................................ 7
Module 3: Configuring a Client IP Address................................................................................... 8
Module 4: Configuring a Client for Name Resolution................................................................. 12
Module 5: Isolating Common Connectivity Issues ...................................................................... 15
Module 6: Managing and Monitoring Domain Name System (DNS).......................................... 75
Module 7: Resolving NetBIOS Names by Using Windows Internet Name Service (WINS)...... 83
Module 8: Securing Network Traffic by Using IPSec and Certificates ....................................... 91
Module 9:Configuring Network Access..................................................................................... 121
Module 10: Managing and Monitoring Network Access ........................................................... 152
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 2
Network Host
Module 1: Reviewing the Suite of TCP/IP Protocols
Hai học viên một nhóm 2 pc ví dụ: PC1 và PC2 sử dụng Windows 2003 server, khai báo IP
cho PC của mình:
ví dụ : PC1: IP : 10.0.0.100
SM: 255.0.0.0
GW:10.0.0.2
DNS:210.245.31.130
PC2: IP: 10.0.0.200
SM: 255.0.0.0
GW:10.0.0.2
DNS:210.245.31.130
Lab1: thực hiện lệnh Ping:
1. Tại PC1, vào Start chọn Run gõ vào lệnh CMD
2. Tại cửa sổ CMD thực hiện lệnh ping IP của PC2 như hình bên dưới
Học viên chú ý các thông số Bytes, Time, TTL của lệnh ping
3. Học viên thử ping IP của PC của nhóm khác trong mạng, thử ping ra internet ví dụ
như ping www.yahoo.com, www.tuoitre.com.vn, www.microsoft.com, chú ý các
thông Byte, Time, TTL của từng lệnh.
4. Học viên thử Ping Ip không tồn tại trên mạng, xem thông báo
5. Làm tương tự tại PC2.
Lap 2: Network Monitor
1. Cài network monitor trên 2 máy PC1 và PC2.
a. Vào menu Start Setting Control Panel chọn Add or Remove Programs
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 3
b. Tại cửa sổ Add or Remove Programs chọn Add Windows Components.
c. Tại cửa sổ Windows Components Wizards chọn Management and Monitoring
Tools
d. Sau đó chọn Details
e. Check vào network monitor tools Ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 4
f. Chỉ vào ổ đỉa chứa source windows 2003 ok
2. Sử dụng network monitor:
a. Tại PC1 vào menu Start Programs Addministrative tools Network
Monitor
b. Chọn card mạng đang sử dụng. Tại cửa sổ Microsoft network Monitor vào menu
Capture chọn networks chọn card mạng dùng để capture
c. Sau khi chọn card mạng xong, vào lại menu capture chọn Start bắt đầu captute.
d. Vào menu Start chọn Run Cmd. Thực hiện lệnh ping ip PC2
e. Trở lại cửa sổ Network monitor vào menu capture chọn Stop and view xuất hiện
cửa sổ sau:
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 5
f. Nhìn vào cột protocol và Description ta thấy protocol ICMP ping từ PC1 đến PC2
(thực hiện tương tự cho Pc2)
g. Vào menu display colors ICMP, chọn màu cần hiển thị làm nổi bậc protocol
cần theo dõi
3. Filter: Chỉ hiển thị các protocol cần thiết
a. Vào menu display chọn filter xuất hiện cửa sổ display filter
b. Chọn expression Chọn tab Protocol, ấn disable all
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 6
c. Chọn protocol ICMP ấn enable ok ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 7
Module 2: Assigning IP Addresses in a Multiple Subnet
Network
Lab 1: Chia Ip
Lab 2: Sử dụng lệnh route
Học viên khai báo ip cho PC của mình sao cho có thể truy cập Internet (có thể khai báo như
Module 1)
1. Để xem bảng route table: vào Start Run gõ CMD
2. Tại cửa sổ CMD gõ lệnh route print
3. Xem thông tin trong bảng route table
4. Dùng lệnh route -f để xóa bảng route table sau đó dùng lệnh route print để xem lại.
5. Học viên thực hành thêm lệnh pathping www.yahoo.com, hay tracert
www.yahoo.com, và một số trang web khác để so sánh kết quả.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 8
Module 3: Configuring a Client IP Address
Để thực hành module này học viên có thể tham khảo lab 1 module 2 phần network services để
dựng DHCP server. Trong bài thực hành này xem như DHCP server đã có rồi (giảng viên đã
dựng sẳn). Mỗi học viên một máy.
Lab 1: Xin IP từ DHCP server, sử dụng lệnh IPCONFIG /RENEW (Xin ip từ DHCP),
IPCONFIG /RELEASE (Xoá IP xin từ DHCP), IPCONFIG /ALL (Xem IP)
1. Xoá Ip tĩnh của PC.
a. Click phải vào My Network Places chọn Properties
b. Click phải vào card mạng cần xóa ip chọn Properties
c. Chọn Internet Protocol trong phần this connection uses the following items, chọn
Properties.
d. Chọn option Obtain an IP address Automatically và Obtain DNS server address
Automatically OK
2. Vaøo start Run CMD
3. Goõ leänh IPCONFIG /RENEW ñeå xin IP töø DHCP
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 9
4. Tieáp tuïc goõ leänh IPCONFIG /ALL ñeå xem thoâng tin Ip vöøa xin
5. Sau đó dùng lệnh IPCONFIG /RELEASE để xóa ip xin từ DHCP rồi dùng lệnh
IPCONFIG /ALL để xem lại kết quả. Thực hiện lại bước 3 để xin lại IP, thực hiện
ping đến ip của máy khác cũng xin từ DHCP, kết nối internet
Lab 2: Địa chỉ APIPA
1. Thực hiện xóa IP tĩnh như bước 1 Lab 1, hay bước 5 Lab 1.
2. Stop DHCP server. Vào DHCP server click phải vào tên PC chọn all task Stop
(giảng viên thực hiện).
3. Học viên vào menu start Run gõ CMD
4. Gõ lệnh IPCONFIG /RENEW thực hiện xin IP
5. Sau đó dùng lệnh IPCONFIG /ALL để xem lại Ip
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 10
6. Thực hiện lệnh ping đến máy sử dụng địa chỉ APIPA trong mạng.
Lab 3: Sử dụng địa chỉ Alternate
1. Học viên thực hiện bước 1 lab 1 để xóa IP
2. Click phải vào My Network Places chọn Properties
3. Click phải vào card mạng chọn Properties
4. Chọn Internet Protocol trong phần this connection uses the following items, chọn
Properties
5. Chọn tab Alternate Configuration, khai báo Ip alternate ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 11
6. Söû duïng leänh Ipconfig /all ñeå xem IP Alternate
7. Thực hiện lệnh ping đến IP Alternate của một máy khác trên mạng, thực hiện kết nối
Internet.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 12
Module 4: Configuring a Client for Name Resolution
Hai học viên một nhóm 2 pc ví dụ: PC1 và PC2 sử dụng Windows 2003 server, khai báo IP
cho PC của mình giống như lab 1 module 1
Lab 1: Lệnh ARP
1. Vào start Run gõ CMD
2. Tại PC1 thực hiện lệnh ping PC2
3. Lệnh ARP -a, để xem cache IP và MAC addrres của PC2
4. Tương tự tại PC2 cũng gõ ARP -a để xem cache IP và MAC address của PC1
5. Lần lượt tại PC1 và PC2 gõ lệnh ARP -d để xóa cache, sau đó gõ lại lệnh ARP -a để
xem lại, lúc này PC1 và PC2 không còn cache nữa.
6. Tại PC1 gõ lệnh ARP -s IP MAC của PC2 (như hình bên dưới) để cache tĩnh, sau đó
gõ ARP -a để xem lại cache
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 13
7. Học viên có thể thực hiện lại bước 6 nhưng cố tình gõ MAC address của PC2 sai, sau
đó thực hiện ping PC2 lúc này sẽ ping không thấy vì PC1 cache sai MAC address của
PC2.
8. Thực hiện lệnh ARP -d, sau đó ping lại PC2 lúc này ta đã ping được PC2
Lab 2: sử dụng lệnh NBTSTAT
1. Tại PC1 hay PC2 gõ lệnh NBTSTAT -n để xem danh sách NetBios Name trên máy
Local
2. Tại PC1 thực ping PC2 sau đó gõ lệnh NBTSTAT -c, để xem danh sách netbios name
mà PC1 đang cache được từ các máy khác.
3. Sau đó gõ lệnh NBTSTAT -R để xóa NetBios Name Cache, rồi dùng lệnh NBTSTAT
-c để xem lại
Lab 3: hiệu chỉnh file lmhost và file host
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 14
1. Vào thư mục %systemroot%\system32\drivers\etc
2. Open file lmhost, thêm vào cuối file ip và pcname của pc2, vào menu file chọn save
3. Tương tự open file host, thêm vào cuối file IP và FQND của PC2
ví dụ: 10.0.0.200 pc200.ctl.net
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 15
Module 5: Isolating Common Connectivity Issues
Mỗi học viên một máy, thực hành gán IP bằng lệnh NETSH
1. Xoá Ip tĩnh của PC.
a. Click phải vào My Network Places chọn Properties
b. Click phải vào card mạng cần xóa ip chọn Properties
c. Chọn Internet Protocol trong phần this connection uses the following items, chọn
Properties.
d. Chọn option Obtain an IP address Automatically và Obtain DNS server address
Automatically OK
2. Vào Start Run gõ CMD rồi thực hiện lệnh sau để gán IP cho PC1
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 16
3. Thực hiện lệnh sau để gán DNS cho PC1
4. Tương tự gán WINS cho PC1
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 17
5. Thêm một WINS nữa cho PC1
6. Thêm DNS cho PC1
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 18
7. Dùng lệnh IPCONIG /ALL để xem lại IP vừa gán
8. Dùng lệnh NETSH INTERFACE IP RESET ALL để xóa tất cả các IP của PC1,
hay lệnh NETSH INTERFACE IP SET ADDRESS "Local area connection"
source=DHCP để xóa ip của một card chỉ định
9. Dùng lệnh Ipconfig /all để xem lại ip.
Network Services
Module 1: Configuring Routing by Using Routing and Remote Access
Mỗi nhóm 4 PC xây dựng mô hình như hình vẽ, cấu hình R1 và R2 sao cho client 1 có thể
ping được client 2.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 19
Lab1: Sử dụng RIP
1. Tại R1, vào Start Programs Administrative Tools Routing and remote
Access, Click phải vào pcname chọn Configure and Enable Routing and Remote
Access next để enable Routing and Remote Access
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 20
2. Tại cửa sổ Configuration chọn option Custom Configuration Next
3. Tại cửa sổ Custom Configuration chọn LAN routing next finish Yes
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 21
4. Để Chọn protocol RIP: Click phải vào General chọn New Routing Protocol
5. Chọn RIP version 2 for Inetrnet protocol Ok
6. Sau đó Click phải RIP chọn New Interface, chọn card external của R1 (card 200) ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 22
7. Thực hiện các bước từ 1 đến 6 cho R2
8. Đứng tại client 1 ping thấy Client 2 và ngược lại
Lab 2: dùng Static Route
1. Tại R1 và R2 Click phải vào Pcname chọn Disable Routing and remote Access.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 23
2. Thực hiện lại các bước từ 1 đến 3 của Lab 1, để enable Routing and Remote Access
3. Tại R1 click phải vào Static Routes chọn New Static Route nhập các thông tin như
hình bên dưới ok .
4. Thực hiện tương tư cho R2 với các thông số sau:
Interface : chọn card external (Card 200)
Destination: 192.168.2.0
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 24
Network mask: 255.255.255.0
Gateway: 200.200.200.2
Metric :1
5. Tại client 2 ping client 1 và ngược lại
Lab 3: dùng lệnh Route Add
1. Thực hiện lại bước 1 và 2 của lab 2 trên R1 và R2
2. Vào start Run CMD
3. Tại R1 gõ lệnh: route add 10.0.0.0 mask 255.0.0.0 200.200.200.1 metric 1
4. Tại R2 gõ lệnh: route add 192.168.2.0 mask 255.255.255.0 200.200.200.2 metric 1
5. Tại R1 và R2 gõ lệnh Route print để xim bảng route table.
6. Thực hiện lệnh ping từ Client 2 đến Client 1 và ngược lại
7. Sau đó dùng lệnh Route -f để xóa bảng route table
8. Thực hiện lệnh ping từ Client 2 đến Client 1 và ngược lại, lúc này sẽ không ping được
nữa
Lab 4: Filter inbound chỉ cho client 1 truy cập web của client 2
1. Tại R1 và R2 thực hiện lại lab1 trong module này
2. Xây dựng web server trên client 2 (tham khảo phụ lục 1)
3. Tại R1 chọn general, tại cửa sổ bên phải, click phải vào card external (card 200)
properties Inbound filter new, nhập các thông số như hình bên dưới ok
4. Chọn Drop all pakets except those that meet the criteria bellow ok ok
5. Lúc này Client 1 không thể ping client 2 nhưng vẫn truy cập web được từ client 2
6. Có thể thực hiện lại bước 4 nhưng chọn Recieve all pakets except those that meet
the criteria bellow khi không muốn cho client 1 truy cập web từ Client 2
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 25
Module 2: Allocating IP Addressing by Using Dynamic Host Configuration Protocol
(DHCP)
Một nhóm 6 pc xây dựng mô hình như hình vẽ
Lab1: cài đặt DHCP tại Client 2
1. Thực hiện lại lab1 module 1
2. Vào Start Settings Control Panel Add or Remove Programs Chọn
add/remove Windows components chọn Network Services An details
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 26
3. Check vào Dynamic Host Cofiguration (DHCP) ok next chỉ vào source
windows 2003.
Lab 2: Authorized DHCP ( Nếu trong mạng có domain controller nếu không có domain có thể
bỏ qua lab này)
1. Vào Start Programs Administrative Tools DHCP
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 27
2. Click Phải vào DHCP chọn Manage authorized servers
3. An Authorize nhập vào IP của DHCP server ok ok
4. Chọn server DHCP ok
Lab 3: cấu hình Scope
1. Tại DHCP click phải vào server chọn New Scope đặt tên cho scope next
2. Nhập vào dãy IP cho DHCP server next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 28
3. Nhập vào đoạn IP loại trừ không cho DHCP cấp trong khoảng IP này add next
next
4. Chọn Yes, nếu cấu hình gateway, DNS, WINS. Chọn NO nếu không muốn cấu hình
những tham số này next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 29
5. Nếu chọn Yes thực hiện các bước từ 6-8 nếu chọn No thì thực hiện bước 9
6. Nhập vào gateway: 192.168.2.1 là IP internal của R1 add next
7. Nhập vào IP của DNS server ví dụ: 210.245.31.130 next
8. Nhập vào IP của WINS server ví dụ: 192.168.2.55 next
9. Chọn yes để kích hoạt DHCP next finish
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 30
10. Tại Client 4 dùng lệnh Ipconfig /renew để xin thử IP từ DHCP
Lab 4: Cấu hình Reservation
1. Click phải vào Reservations chọn New Reservation
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 31
2. Nhập vào Reservation name, IP address, vào MAC address của client 4 add
3. Tại client4 gõ lệnh Ipconfig /release, sau đó gõ Ipconfig /renew để xin lại IP xem có
xin được IP 192.168.2.200 không?
Lab 5: Cấu hình scope option
1. Tại DHCP server click phải Scope options chọn Configure Option
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 32
2. Chọn Tab General, chọn available option cần thêm ví dụ 044 WINS/NBNS servers
add ok.
3. Kiểm tra trong scope option xem có wins server là 192.168.2.30 không
Lab 6: Cấu hình DHCP server Relay agent trên client1
1. Trên client2 (DHCP server) thực hiện lại lab 3 module này để tạo thêm scope 10.x.x.x
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 33
2. Tại Client1 (DHCP relay agent)Vào Start Programs Administrative Tools
Routing adnh Remote Access
3. Tại Routing remote access click phải vào pcname chọn Configure and Enable and
Remote access next
4. Tại cửa sổ Configuration chọn Custom configuration next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 34
5. Chọn LAN routing next finish
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 35
6. Trong cửa sổ Routing and Remote Access click phải vào General chọn new Routing
protocol
7. Chọn DHCP relay Agent OK
8. Click phải vào DHCP relay agent chọn New Interface
9. Chọn card mạng làm Relay agent (card 10.0.0.200 của client1) next
10. Chấp nhận giá trị default của Hop-count threshold và boot threshold next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 36
11. Click chọn Phải vào DHCP Relay Agent chọn properties, nhập vào địa chỉ IP của
DHCP server: 192.168.2.2 add ok
12. Tại client3 dùng lệnh Ipconfig /renew xem có xin được IP từ DHCP server thông qua
Relay agent hay không, dùng lệnh Ipconfig /all
Module 3: Managing and Monitoring Dynamic Host Configuration Protocol (DHCP)
Tiếp tục lab của module 2
Lab 1: Quản lý database và backup DHCP
1. Data base của DHCP được lưu trong %systemroot%\system32\DHCP
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 37
2. Open file DhcpSrvLog-Fri.log
3. Backup DHCP: vào start programs Administrative Tools DHCP
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 38
4. Click phải vào server name của DHCP chọn backup
5. Chọn ổ đỉa và tạo folder chứa file backup: ví dụ tạo folder backupDHCP ok
6. Sau khi backup xong, xóa các scope 192 và 10 đã tạo trong module 2
7. Restrore DHCP: click phải vào server name của DHCP chọn restore chọn folder
backupDHCP ok yes DHCP sẽ tự stop, start lại và phục hồi lại database như lúc
đầu.
Lab 2: Cấu hình server Option
1. Click phải vào server options chọn Configure Option
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 39
2. Ví dụ Chọn 046 WINS/NBT note type, trong data entry nhập 0x8
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 40
3. Kiểm tra lại Scope option củascope 10 và scope 192 đều có 046 WINS/NBT Note
Type
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 41
Lab 3: Define user Classes
1. Click phải vào Scope cần tạo user classes chọn Define user Classes
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 42
2. Trong của sổ New Class: gõ vào Display name, và ASCII cho user class ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 43
3. Click phải scope options chọn configure Option chọn tab Advanced, trong User
class chọn user class mà ta đã tạo ở bước 2 ví dụ chọn 003 route, nhập thêm
gateway cho scope này ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 44
4. Xem lại kết quả:
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 45
5. Muốn cho client 4 khi xin ip nhận được gateway này, trước khi gõ lệnh Ipconfig
/renew ta thực hiện lệnh Ipconfig /setclassid "local area connection" GW
- Với "local area connection" là tên của card mạng
6. Sau đó dùng lệnh ipconfig /all để xem lại lúc này client 4 xin được gateway là
10.0.0.115 thay vì là 10.0.0.111
Module 4: Resolving Names
Mỗi học viên một PC. Khai báo ip cho pc của mình sao cho có thể kết nối được Internet, nối
thực hiện kết đến vài URL mà học viên biết
Lab 1: Xem và xóa cache DNS
1. Gõ lệnh Ipconfig /displaydns để xem cache DNS trên pc của mình
2. Sau đó dùng lệnh Ipconfig /flushdns để xóa cache DNS.
3. Dùng lệnh Ipconfig /displaydns để xem lại, lúc này pc không còn cache DNS, học
viên thực hiện kết nối vào một số URL và dùng lại lệnh Ipconfig /displaydns lúc này
ta thấy PC đã cache lại DNS
Lab 2 : Thực hiện lại lab 2 và lab 3 module 4 phần network host
Module 5 : Resolving Host Names by Using Domain Name System (DNS)
Một nhóm 6 PC xây dựng mô hình như hình vẽ, thực hiện lại lab 1 module 1 phần network
host trước khi thực hiện lab này.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 46
Lab 1: Cài DNS
1. Khai báo Ip cho máy client 2
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 47
2. Đặt tên PC name và DNS suffix: Click phải vào My Computer Properties Chọn
tab Computer name ấn nút change: gõ tên cho Pcname,
Sau đó ấn More gõ vào DNS suffix ok ok reboot lại.
3. Vào Start Settings Control Panel Add or Remove Programs Chọn
add/remove Windows components chọn Network Services ấn details
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 48
4. Chọn Domain Name System (DNS) Ok next chỉ vào source windows 2003
Lab 2: Cấu hình DNS primary
1. Start Programs Administrative Tools chọn DNS (hay có thể vào Start Run:
gõ lệnh DNSMGMT.MSC)
2. Tạo Forward lookup zone: Click phải vào Forward Lookup Zones New Zone
next chọn Primary zone Next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 49
3. Gõ vào Zone name next
4. Chọn Option Create a new file with this file name next
5. Chọn Option Allow both nonsecure and secure dynamic updates next finish
6. Tạo Reserve lookup zone: click phải Reserve lookup zone chọn new zone next
chọn primary zone next
7. Nhập vào network ID next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 50
8. Chọn Create a new file with this file name next
9. Chọn Option Allow both nonsecure and secure dynamic updates next finish
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 51
10. Lúc này trong Reverve lookup zone chỉ có 2 record, chưa có PTR, vào Start Run
cmd gõ lệnh Ipconfig /registerdns, sau đó trở lại DNS ấn F5 nhiều lần sẽ thấy trong
reverse lookup zone có 3 record như sau:
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 52
11. Tạo alias www: Click phải vào zone name (CTL.NET) chọn New Alias (CNAME)
12. Trong phần Alias name nhập vào www, trong phần fully qualified domain name gõ
vào tên đầy đủ của client 2 ok
13. Ta có một alias như sau:
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 53
14. Vào Start run cmd gõ lệnh NSLOOKUP, để kiểm tra DNS
15. Cài web server trên Client 2 (trên DNS server) (xem phụ lục 1)
16. Tại client 4 dùng lệnh Nslookup để test DNS trên Client 2 và dùng IE truy cập web
bằng http://www.ctl.net
Lab 3: cài secondary DNS
1. Trên DNS primary ( client 2)thực hiện các bước sau:
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 54
a. Tạo name server cho client 1(secondary): Chọn forward lookup zone, click phải
vào Zone name (CTL.NET) Properties chọn tab Name server add: nhập
vào tên đầy đủ của client 1 và IP của client 1 ok ok
b. Tương tự tạo name server cho reserve lookup zone, click phải vào zone
192.168.2.x properties làm các bước như 1a
c. Thực hiện lại từ bước 6 đến 9 lab 2 đển tạo thêm tạo thêm reserve lookup zone
10.x.x.x cho nhánh mạng client 1 và thực hiện bước 1b để tạo name server
2. Tại Client 1 cài DNS server (xem lab1 module này)
a. Khai báo IP
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 55
b. Đổi Pcname và DNS suffix
3. Vào Start Run : DNSMGMT.MSC
4. Click phải vào Forward lookup zone new zone next secondary zone
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 56
5. Nhập vào zone name --next
6. Nhập vào Ip của primary add next finish
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 57
7. Tương tư tạo secondary cho Reserve lookup zone cho cả 2 zone 192.168.2.x và
10.x.x.x
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 58
8. Sau đó click phải vào từng zone chọn transfer from master. Ta thấy tất cả các record
ôû primary DNS đã transfer qua Secondary DNS
9. Dùng Nslookup để kiểm tra lại DNS
10. Đứng tại client 3 dùng Nslookup kiểm tra DNS tại Client 1 và truy cập web từ client 2
(http://www.ctl.net)
11. Tại primary DNS tạo thêm alias là Mail cho pc100.ctl.net, trở về Secondary DNS sẽ
thấy ngay record này.
12. Vào phải vào Zone name (CTL.NET) chọn properties chọn tab Zone Transfers
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 59
13. An Notify bỏ chọn Automatically notify OK ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 60
14. Tại Primary DNS tạo thêm một alias là FPT cho máy pc100.ctl.net. Lúc này
Secondary DNS sẽ không có record này
Lab 4: Integrate DNS
Xây dựng mô hình như hình vẽ
1. Tại client 2, thực hiện lại lab1 và lab2 trong module (tạo forward lookup zone ctl.net,
tạo 2 reserve lookup zone là: 10.x.x.x và 192.168.2.x)
2. Tích hợp DNS vào AD: lần lượt click phải vào các zone chọn properties chọn tab
General ấn nút change
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 61
3. Check vaøo check box Store the zone in Active Directory ok
4. Làm tương tự cho Zone 10.x.x.x, và 192.168.2.x
5. Tại client 2: vào start run: gõ DCPROMO next
6. Chọn Option Domain controller for a new domain next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 62
7. Chọn option Domain in a new forest next
8. Nhập vào tên domain next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 63
9. Tại cửa sổ NetBios Domain name next
10. Taïi cöûa soå database and Log Folders next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 64
11. Các cửa sổ còn lại ấn next đến khi hoàn tất reboot lại máy
12. Sau khi máy khởi động lại vào DNS sẽ có thêm những record sau
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 65
13. Tại client 1: thực hiện các bước của lab1 module này để cài DNS nhưng không cấu
hình DNS
14. Tại client 1: vào start run gõ DCPROMO /ADV next next
15. Chọn Option Additional domain controller for an existing domain next
16. Chọn Option Over the network from a domain controller next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 66
17. Nhập vào tên và password của administrator và tên domain next
18. Các cửa sổ khác để mặc định next đến khi hoàn tất và reboot lại client 1
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 67
19. Sau khi khởi động lại, tại client 1 vào DNS sẽ thấy đầy đủ các record giống nhưng
client 2. Và Client 1 cũng có thể tạo ra các record như client 2. DNS đã tích hợp vào
AD
Lab 5: Root DNS
Một nhóm 3 pc thực hiện như hình vẽ
1. Tại cả 3 pc thực hiện Lab1 và lab2 module này
2. Làm web server trên cả 3 PC và tạo alias lần lượt là www.ctl.net, www.tnt.com,
www.vsic.edu
3. Chọn một máy làm Root ở đây chọn máy VSIC.EDU làm Root: click phải vào
Forward Lookup Zone chọn new zone next chọn Primary Zone next
4. Nhập vào zone name là dấu chấm (.) next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 68
5. Chọn Option Create a new file with this file name next
6. Chọn Allow both nonsecure and secure dynamic updates next finish
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 69
7. Click phải vào Zone root mới tại chọn new domain, nhập vào tên domain là: NET
ok
8. Thực hiện lại bước 7, tạo tên domain là: COM
9. Click phải vào domain NET mới tại chọn New Delegation, trong phần delegated
domain nhập vào CTL next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 70
10. Trong cửa sổ Name server ấn ADD
11. Nhập vào tên đầy đủ và Ip của máy CTL.NET ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 71
12. Thực hiện lại bước 9-11 cho domain TNT.COM
13. Sau khi tạo xong có kết quả sau:
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 72
14. Qua máy CTL.NET: vào DNS click phải vào Pcname Properties Chọn tab Root
hints
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 73
15. An nút remove nhiều lần để remove tất cả các root hiện co(.
16. Sau đó ấn nút add Nhập vào tên đầy đủ và ip của máy làm root
17. Làm tương tự từ bước 13-15 cho TNT.com
18. Đứng tại cả 3 máy
19. test thử DNS của cả 3 domain
a. tại máy CTL.NET
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 74
b. Tại máy làm root
20. Lần lượt tại cả 3 máy truy cập web của nhau
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 75
Module 6: Managing and Monitoring Domain Name System
(DNS)
Mỗi học viên một máy cài và cấu hình DNS như lab 1 và lab 2 module 5
Lab 1: Backup DNS
1. Copy database của DNS sang thư mục backupDNS
a. Copy các file trong %systemroot%\system32\DNS
b. Paste vào thư mục backupDNS
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 76
2. Export 2 key trong regedit: Vào Start Run gõ Regedit
a. Tìm đến key sau:
Click phải vào key DNS server chọn export vào lưu key này với tên là: key1.reg
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 77
b. Tìm tiếp key thứ 2 lưu lại với tên là key2.reg
3. Vào DNS xóa tất cả các Zone hiện có (xem như DNS bị lỗi)
4. Restore DNS: click phải vào pcname trong dns chọn all tasks stop
5. Copy tất cả các file trong thư mục backupdns vào %systemroot\system32\dns
6. Double click vào key1.reg và key2.reg
7. Vào DNS click phải vào Pcname chọn All Tasks Start. DNS đã được phục hồi.
Lab 2: thực hành các lệnh DNScmd, DNSlint, Nslookup
1. Cài Support Tool
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 78
2. Thực hành lệnh DNScmd: Vào Start Programs Windows Support tools
Command prompt.
a. Dùng lệnh DNSCMD /enumzones để xem số zone của DNS
b. Xem thông tin về zone: DNScmd 10.0.0.102 /zoneinfo vsic.edu
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 79
c. Tạo MX record
d. Học viên tự tạo thêm alias và A record
3. Thực hành lệnh DNSlint để tạo report
a. Dùng lệnh DNSlint /ql autocreate tạo file in-dnslint.txt
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 80
b. Dùng lệnh Notepad để open file in-dnslint.txt
c. Hiệu chỉnh lại các thông số liên quan đến domain vsic.edu
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 81
d. Sau khi hiệu chỉnh xong lưu file
e. Dùng lệnh DNSlint /ql in-dnslint.txt /v để tạo report
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 82
4. Lệnh NSLOOKUP
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 83
Module 7: Resolving NetBIOS Names by Using Windows
Internet Name Service (WINS)
Một nhóm 2 pc khái báo ip cho máy của mình ví dụ:
P C1: IP:10.0.0.102 PC2: IP:10.0.0.101
SM:255.0.0.0 SM:255.0.0.0
GW: No GW: No
DNS: no DNS: No
WINS: 10.0.0.102 WINS: 10.0.0.101
Lab1 : Cài WINS và cấu hình WINS trên cả 2 PC
1. Vào Start Settings Control Panel Add or Remove Programs
2. Chọn add/remove 2. Windows components Network services details
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 84
3. Chọn add/remove 2. Windows components Network services details
4. Tại PC1 vào Start Programs Administrator Tools WINS
5. Click phải vào Active Registrations Display Record find Now
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 85
6. Có được các mẫu tin sau
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 86
7. Tạo static record: click phải vào Active registrations New Static Mapping nhập
các thông tin sau
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 87
8. Sau đó thực hiện lại bước 5 có kết quả sau
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 88
9. Thực hiện lại bước 4 dến bước 8 cho PC2
10. Tạo Replication partner: Tại PC1 Click phải vào Replication Partners new
replication partner nhập vào IP của PC2 ok
11. Tại PC2 thực hiện lại bước 10
12. Tại PC1 chọn Replication partners, Click phải vào partner cần replication chọn
start full replication và start push replication
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 89
13. Thực hiện lại bước 12 cho PC2
Lab 2: Backup WINS
1. Vào WINS click phải vào Pcname backup database chọn thư mục lưu file
backup WINS Ok
2. Xóa hết tất cả các record trong Active registrations
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 90
3. Click phải vào Pcname chọn All tasks stop
4. Click phải vào Pcname chọn Restore Database chỉ vào thư mục backupwins ok
5. Database đã được phục hồi
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 91
Module 8: Securing Network Traffic by Using IPSec and
Certificates
Một nhóm 2 pc khái báo ip cho máy của mình ví dụ:
P C1: Pcname: PC102 Pcname: PC101
IP:10.0.0.102 PC2: IP:10.0.0.101
SM:255.0.0.0 SM:255.0.0.0
GW: No GW: No
DNS: no DNS: No
Lab 1: Ipsec dùng preshare key
1. Tại PC101 vào Start Run MMC
2. Vào menu file add remove snap-in add chọn IP Security Policy management
add
3. Chọn Local computer finish close ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 92
4. Click phải vào Ip Security policies on local computer chọn Create IP security policy.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 93
5. Nhập vào tên policy mới next
6. Bỏ chọn checkbox Activate the default response rule next finish
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 94
7. Bỏ chọn use add Wizard add
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 95
8. Tại tab IP filter list chọn all ip traffic
9. Tại tab Filter Action chọn Require Security
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 96
10. Tại tab Authentication Methods chọn kerberos ấn remove, sau đó ấn nút add chọn
option use this string, nhập vào string 123456 ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 97
11. An Ok ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 98
12. Click phải vào tên policy vừa tạo chọn Assign
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 99
13. Tại PC102 thực hiện tương tự từ bước 1 đến bước 12
14. Tại PC101 thực hiện lệnh ping IP PC102
15. Cài network monitor ( Xem Lab2 module 1 Phần Network host)
16. Thực hiện capture thấy protocol ESP
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 100
17. Double click vào ESP
Lab 2: Ipsec dùng certificate
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 101
1. Tiếp lab1, tại 2 pc click phải vào tên policy vừa tạo chọn Un-assign
2. Cài Stand alone CA trên PC101 (xem phụ lục 3)
3. Xin CA cho PC101, tại PC101 vào IE: gõ địa chỉ http://10.0.0.101/certsrv Chọn
Request a certificate
4. Chọn Advanced certificate request.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 102
5. Chọn Advanced certificate request.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 103
6. Nhập vào pcname pc101
Kết thanh trượt xuống dưới, cleck vào Store Certificate in local computer ...
submit
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 104
7. Xin certificate cho PC102: thực hiện lại từ bước 3 đến bước 6, nhớ nhập vào PC102
ở bước 6
8. Trở về máy pc101, vào Start Programs addministrative tools Certification
Authority chọn Pending Requests click phải vào 2 certificate chọn all tasks
Issue: để cấp CA
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 105
9. Tại cả 2 pc: pc101 và pc102 vào http://10.0.0.101/certsrv chọn View the status of a
pending certificate request để lấy certificate về máy mình
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 106
10. Chọn Client Authentication certificate
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 107
11. Chọn install this certificate
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 108
12. Kiểm tra sự tin cậy của certificate trên cả 2 pc: vào Run gõ mmc
13. Vào menu file add remove snap-in add chọn certificates add chọn
Computer account next Local computer finish close ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 109
14. Chọn certificates\personal\certificate double click vào certificate vừa xin
a. Trên PC101 certificate đã được tin cậy vì là máy cài CA
b. Trên PC102 certificate không tin cậy
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 110
15. Chỉ làm trên Pc102: chọn Trusted Root certification Authorities, Click phải vào
certificates chọn All tasks import
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 111
16. An Nút Browse vào 10.0.0101\certconfig chọn file *.crt next
17. Kiểm tra lại certificate trên PC102 lúc này đã tin cậy
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 112
18. Trên cả 2 PC101 và PC102 :Trở lại Policy đã tạo ở lab 1, click phải vào policy tạo ở
Lab 1 chọn Properties chọn All IP traffic edit
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 113
19. Chọn preshared key ấn Remove sau đó ấn Add
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 114
20. Chọn Option Use a Certificate .. Browse
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 115
21. Chọn certificate vừa xin OK
22. OK
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 116
23. Trên cả 2 PC : click phải vào policy vừa edit chọn Assign
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 117
24. Tại PC101 thực hiện lệnh ping IP
Pc102
Lab 3: Monitor Ipsec dùng IP security Monitor
1. Vào MMC file add remove snap-in add chọn IP security monitor add
close ok
2. Chọn main Mode\Generic filter
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 118
3. Chọn main Mode\Specific\Filters
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 119
Lab 4: Ipsec dùng kerberos
1. Un-assign policy trên PC102 và PC101
2. Sử dụng thêm một máy PC100 làm Domain controller
3. Thực hiện join PC101 và PC102 vào domain
4. Tại PC101 và PC102 thực hiện lại bước 18 lab 2 và chọn Option Active directory
default ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 120
5. Tại cả 2 pc101 và pc102 click phải vào policy chọn Assign
6. Thực hiện lệnh ping ip pc102, lúc này negotiating IP sercurity hơi lâu
7. Thực hiện monitor lại...
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 91
Module 8: Securing Network Traffic by Using IPSec and
Certificates
Một nhóm 2 pc khái báo ip cho máy của mình ví dụ:
P C1: Pcname: PC102 Pcname: PC101
IP:10.0.0.102 PC2: IP:10.0.0.101
SM:255.0.0.0 SM:255.0.0.0
GW: No GW: No
DNS: no DNS: No
Lab 1: Ipsec dùng preshare key
1. Tại PC101 vào Start Run MMC
2. Vào menu file add remove snap-in add chọn IP Security Policy management
add
3. Chọn Local computer finish close ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 92
4. Click phải vào Ip Security policies on local computer chọn Create IP security policy.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 93
5. Nhập vào tên policy mới next
6. Bỏ chọn checkbox Activate the default response rule next finish
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 94
7. Bỏ chọn use add Wizard add
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 95
8. Tại tab IP filter list chọn all ip traffic
9. Tại tab Filter Action chọn Require Security
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 96
10. Tại tab Authentication Methods chọn kerberos ấn remove, sau đó ấn nút add chọn
option use this string, nhập vào string 123456 ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 97
11. An Ok ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 98
12. Click phải vào tên policy vừa tạo chọn Assign
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 99
13. Tại PC102 thực hiện tương tự từ bước 1 đến bước 12
14. Tại PC101 thực hiện lệnh ping IP PC102
15. Cài network monitor ( Xem Lab2 module 1 Phần Network host)
16. Thực hiện capture thấy protocol ESP
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 100
17. Double click vào ESP
Lab 2: Ipsec dùng certificate
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 101
1. Tiếp lab1, tại 2 pc click phải vào tên policy vừa tạo chọn Un-assign
2. Cài Stand alone CA trên PC101 (xem phụ lục 3)
3. Xin CA cho PC101, tại PC101 vào IE: gõ địa chỉ http://10.0.0.101/certsrv Chọn
Request a certificate
4. Chọn Advanced certificate request.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 102
5. Chọn Advanced certificate request.
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 103
6. Nhập vào pcname pc101
Kết thanh trượt xuống dưới, cleck vào Store Certificate in local computer ...
submit
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 104
7. Xin certificate cho PC102: thực hiện lại từ bước 3 đến bước 6, nhớ nhập vào PC102
ở bước 6
8. Trở về máy pc101, vào Start Programs addministrative tools Certification
Authority chọn Pending Requests click phải vào 2 certificate chọn all tasks
Issue: để cấp CA
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 105
9. Tại cả 2 pc: pc101 và pc102 vào http://10.0.0.101/certsrv chọn View the status of a
pending certificate request để lấy certificate về máy mình
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 106
10. Chọn Client Authentication certificate
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 107
11. Chọn install this certificate
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 108
12. Kiểm tra sự tin cậy của certificate trên cả 2 pc: vào Run gõ mmc
13. Vào menu file add remove snap-in add chọn certificates add chọn
Computer account next Local computer finish close ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 109
14. Chọn certificates\personal\certificate double click vào certificate vừa xin
a. Trên PC101 certificate đã được tin cậy vì là máy cài CA
b. Trên PC102 certificate không tin cậy
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 110
15. Chỉ làm trên Pc102: chọn Trusted Root certification Authorities, Click phải vào
certificates chọn All tasks import
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 111
16. An Nút Browse vào 10.0.0101\certconfig chọn file *.crt next
17. Kiểm tra lại certificate trên PC102 lúc này đã tin cậy
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 112
18. Trên cả 2 PC101 và PC102 :Trở lại Policy đã tạo ở lab 1, click phải vào policy tạo ở
Lab 1 chọn Properties chọn All IP traffic edit
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 113
19. Chọn preshared key ấn Remove sau đó ấn Add
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 114
20. Chọn Option Use a Certificate .. Browse
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 115
21. Chọn certificate vừa xin OK
22. OK
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 116
23. Trên cả 2 PC : click phải vào policy vừa edit chọn Assign
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 117
24. Tại PC101 thực hiện lệnh ping IP
Pc102
Lab 3: Monitor Ipsec dùng IP security Monitor
1. Vào MMC file add remove snap-in add chọn IP security monitor add
close ok
2. Chọn main Mode\Generic filter
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 118
3. Chọn main Mode\Specific\Filters
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 119
Lab 4: Ipsec dùng kerberos
1. Un-assign policy trên PC102 và PC101
2. Sử dụng thêm một máy PC100 làm Domain controller
3. Thực hiện join PC101 và PC102 vào domain
4. Tại PC101 và PC102 thực hiện lại bước 18 lab 2 và chọn Option Active directory
default ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 120
5. Tại cả 2 pc101 và pc102 click phải vào policy chọn Assign
6. Thực hiện lệnh ping ip pc102, lúc này negotiating IP sercurity hơi lâu
7. Thực hiện monitor lại...
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 136
Lab 2: VPN with Radius (chứng thực user trên Domain)
Một nhóm 4 pc xây dựng mô hình như hình vẽ
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 137
1. Tại máy Domain Controller (máy đã được DCPromo) vào Run gõ DSA.MSC click
phải domain chọn Raise Domain Functional Level
2. Chọn Windows 2000 native ấn Raise OK Ok . Khởi động lại domain
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 138
3. Tạo 2 user là u1 và u2, click phải vào từng user chọn Properties chọn tab Dial-in
chọn option Control access through remote access policy ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 139
4. Tạo group VPN add 2 user u1 và u2 vào group này (chỉ cho những user trong group
VPN kết nốt VPN thôi)
5. Tại máy Radius: Join máy radius vào domain, Logon vào máy Radius bằng quyền
Administrator của domain controller, cài IAS
a. Vào Control panel add or remove Programs Add/Remove windows
components chọn Network services ấn Details
b. Chọn Internet Authentication Services OK OK chỉ source windows
2003
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 140
c. Vào Start Programs Administrative Tools Internet Authentication
Services. Click phải vào RADIUS Client chọn New RADIUS Client
d. Nhấp vào Ip internal của VPN server next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 141
e. Chọn Radius standard, nhập vào Shared secrec và check vào Request must contain
... finish
f. Tạo Policy: Click phải vào remote Access policies chọn New Remote Access
Policy next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 142
g. Nhập Policy name next
h. Chọn Option VPN next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 143
i. Chọn Group add
j. Ấn nút Locations chọn Domain, Ấn Advanced find now chọn group VPN Ok
ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 144
k. Next tham số còn lại để default next finish
l. Accounting: Chọn Remote access Logging, cửa sổ bên phải double click vào local
file chọn tab Settings, check vào check box Accounting requests
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 145
m. Trong phần Directory nhập vào nơi lưu trữ log file ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 146
n. Hoàn tất cấu hình Radius
6. Đến máy VPN server thực hiện lại từ bước 5 đến bước 9 của lab 1 module này
7. Click phải vào VPNserver chọn Properties
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 147
8. Chọn Tab Security, Trong phần Authentication provider chọn Radius Authentication
ấn configure nhập vào IP của máy Radius server, Ấn nút change nhập vào chuỗi
giống như chuỗi đã nhập ở bước 5e, check vào check box Always use ..., làm tương
tự cho Account provider
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 148
9. Tại máy Client VPN thực hiện lại các bước từ bước10 đến bước15 lab 1 module này
10. Thực hiện kết nối VPN bằng user và password trên domain bằng PPTP và
L2TP/IPSec.
Lab 3: Cấu hình Access Point (Wireless)
1. Khai báo IP của máy PC cùng lớp mạng với Access Point (tùy theo loại Access point
có lớp mạng khác nhau), hay có thể dùng card wireless kết nối với Access point để xin
được địa chỉ động cấp từ Acess Point.
2. Sau khi có IP, vào IE gõ http://IP của AP trong trường hợp này là http://192.168.1.1
nhập vào user name và password tùy theo loại access point mà có username và
password default khác nhau, trong trường hợp này user:admin, password:admin
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 149
3. Có thể khai báo lại IP cho AP rồi chọn save setting. Nếu khai báo IP mới sau khi save
setting phải vào lại AP với IP mới
4. Có thể đổi tên SSID của Access point save setting
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 150
5. Có thể cấu hình security cho wireless
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 151
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 152
Module 10: Managing and Monitoring Network Access
Lab 1: Quản lý VPN client
1. Thực hiện lại lab 1 module 9
2. Sau khi client kết nối VPN thành công, trở về máy VPN server, vào Routing and
remote access, chọn Remote access Client sẽ thấy user nào đang kết nối VPN
3. Click phải vào Client đang kết nối ta có thể gữi tin nhắn đến cho client (máy client đã
start services message mới gữi tin nhắn được), hay có thể disconnect client đang kết
nối.
4. Gữi tin nhắn Ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 153
5. Nếu có thực hiện lab 2 module 9 (bước 5L và 5m)ta có thể mở file log để xem ngày
giờ client kết nối VPN. Vào ổ đĩa C: thư mục lognew open logfile.log
Phụ lục 1: Web server
14. Vào Start Settings Control Panel Add or Remove Programs
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 154
15. Chọn add/remove Windows components chọn Application server details
16. Chọn Internet Information Service và ASP.NET ok ok chỉ đường dẫn vào
source windows 2003
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 155
17. Dùng Notpad hay Word gõ nội dung của web và save file này với tên là Default.htm
vào trong %systemroot%\Inetpub\wwwroot
18. Mở Internet explorer gõ vào http://địa chỉ Ip của máy mình ví dụ: http://192.168.2.2
hay http://www.ctl.net nếu đã có DNS
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 156
Phụ lục 2: Cài mail Pop3
1. Vào Start Settings Control Panel Add or Remove Programs Add/Remove
Windows Components
2. Chọn Email service OK chỉ đường dẫn vào source windows 2003
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 157
3. Vào Start Programs Administrative Tools POP3 Services
4. Tại cửa sổ POP3 Services click phải vào Pcname chọn New Domain gõ vào tên
domain ví dụ CTL.NET OK
5. Click phải vào domain mới tạo chọn New Mailbox nhập vào username và
password ví dụ: user: u1 password: 123 OK
6. Tương tự bước 5 tạo thêm u2, u3, u4, ....
7. Check mail dùng outlook express:
a. Vào Start Programs Outlook Express nhập vào username next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 158
b. Nhập vào địa chỉ mail: ví dụ [email protected] next
c. Tại cửa sổ E-Mail Server Name nhập thông tin như hình bên dưới với:
Incoming mail POP3 và Outgoing mail SMTP là địa chỉ IP hay FQDN của mail
server Next next finish
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 159
d. Tạo new mail và gữi mail thử cho chính u1 và u2.
e. Tương tự tạo mail cho U2.
Phụ Lục 3: Cài Stand alone CA
1. Khái báo ip cho máy làm CA, máy này không tham gia vào domain
2. Vào Start Settings Control Panel Add or Remove Programs Add/Remove
Windows Components
3. Cài IIS trước: Chọn Application Server Details
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 160
4. Chọn ASP.NET và IIS OK next chỉ source windows 2003
5. Sau đó vào lại Add/Remove Windows Components chọn Certificate Services Yes
next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 161
6. Chọn Stand-alone root CA next
7. Gõ vào tên của CA next next chỉ source windows 2003
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 162
8. Hoàn tất cài CA Stand alone
Phụ Lục 4: Cài Enterprise CA
1. Khái báo ip cho máy làm CA, máy này phải tham gia vào domain, hay là máy domain
( Trong bài lab này được thực hiện trên máy domain)
2. Vào Start Settings Control Panel Add or Remove Programs Add/Remove
Windows Components
3. Chọn ASP.NET v IIS OK next chỉ source windows 2003
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 163
4. Chọn ASP.NET và IIS OK next chỉ source windows 2003
5. Sau đó vào lại Add/Remove Windows Components chọn Certificate Services Yes
next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 164
6. Chọn Rnterprise root CA next (Option này chỉ sáng lên khi máy CA tham gia vào
domain hay là máy domain)
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 165
7. Gõ vào tên của CA next next chỉ source windows 2003
8. Check vào checkbox Store configuration information in a share folder next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 166
9. Hoàn tất cài Enterprise CA
Phụ lục 5: HTTPS
1. Dựng web server như phụ lục 1
2. Cài CA enterprise như phụ lục 3
3. Vào Start Programs Administrative Tools Internet information services (IIS)
Manager
4. Click phải vào default web site chọn properties
5. Chọn tab Directory Security
6. Ấn Server certificate chọn Create a new certificate next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 167
7. Chọn option Send the request immediately to an online certification authority
next
8. Tại cửa sổ name and security setting để giá trị default next
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 168
9. Nhập vào common name :www.vsic.edu (ở đây phải nhập đúng tên web site) next
10. Nhập thông tin cho các yêu cầu sau next next next finish
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 169
11. Ấn View certificate để xem lại certificate vừa xin
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 170
12. Trong phần Secure communications chọn edit check vào các check box như hình
bên dưới ok
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 171
13. Trong phần Authentication and access control ấn Edit check vào các check box như
hình bên dưới ok OK
70-291 Tài liệu dành cho học viên
VSIC Education Corporation Trang 172
14. Vào IE gõ vào https://www.vsic.edu test thử web SSL
Chúc các Bạn Thành Công
Bạn đang đọc truyện trên: AzTruyen.Top