Tại sao phải dùng Terminal services
Terminal Service Remote Application là tính năng mới trên Windows Server 2008, cho phép người dùng truy cập các ứng dụng đã được cài đặt trên máy chủ mà không cần cài đặt trực tiếp trên máy trạm Điều này giúp tiết kiệm tài nguyên và quản lý ứng dụng hiệu quả hơn.
Người dùng có thể truy cập các ứng dụng hosting từ xa một cách liền mạch, giống như khi sử dụng các ứng dụng cài đặt cục bộ Các ứng dụng này có thể hoạt động song song với các ứng dụng đã được cài đặt trên thiết bị của người dùng.
- Quản lý ứng dụng tập trung, dễ dàng, và đơn giản.
-Dễ dàng quản lý các văn phòng chi nhánh,phù hợp nhất với những công ty không có nhân viên IT chuyên nghiệp tại các văn phòng chi nhánh.
-Sử dụng các ứng dụng không tương thích cùng với nhau trong cùng 1 hệ thống
Máy trạm không yêu cầu cấu hình phần cứng mạnh mẽ, giúp doanh nghiệp tiết kiệm chi phí bản quyền phần mềm khi sử dụng dịch vụ này Mặc dù vậy, doanh nghiệp vẫn cần chi trả cho giấy phép truy cập khách hàng (CAL), nhưng chi phí này vẫn ở mức thấp và có thể chấp nhận được.
- Máy trạm kết nối đến máy chủ thông qua Terminal Service nên máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.0 trở lên.
Các hình thức máy trạm kết nối đến máy chủ
- Có 4 cách để máy trạm kết nối đến máy chủ khi khai thác chương trình ứng dụng trên máy chủ:
Sử dụng trình duyệt web: Máy chủ phải cài đặt thêm Terminal Service Web
Access, máy trạm phải được cài đặt Remote Desktop Connection (RDC) 6.1. RDC6.1 có sẵn trong Windows Vista Service Pack 1 và Windows XP Professional Service Pack 3.
Sử dụng Network Access cho phép máy chủ tạo và chia sẻ các file rdp, mỗi ứng dụng tương ứng với một file riêng Người dùng tại máy trạm có thể truy cập vào máy chủ và chạy trực tiếp các file này để khai thác các chương trình ứng dụng một cách hiệu quả.
Sử dụng Network Access cho phép máy chủ tạo và chia sẻ các file msi tương ứng với từng ứng dụng Máy trạm có thể truy cập vào máy chủ để chạy trực tiếp các file này, từ đó cài đặt các shortcut liên kết đến ứng dụng trên máy chủ Những shortcut này sẽ xuất hiện trong Start menu của máy trạm, cụ thể là trong mục Remote Application, giúp người dùng dễ dàng khai thác các chương trình ứng dụng từ xa.
Sử dụng chính sách (policy) trong môi trường Domain cho phép triển khai hàng loạt việc cài đặt shortcut liên kết đến các chương trình ứng dụng trên máy chủ cho nhiều máy trạm một cách hiệu quả.
Cài đặt và cấu hình Terminal Service
Cài đặt Terminal Services
Start –> Programs –> Administrative Tools –> Server Manager
Chuột phải Roles –> Add Roles
Hộp thoại Instruction to Terminal Services –> Next
Application Compatibility để mặc định –>Next
Authentication Method –> Chọn Do Not Require Network Level
Licensing Mode –> Configure later –> Next
Add 2 user sv1 và sv2 vào để có thể access the terminal server
Confirmation Installation –> chọn Install Sau khi cài đặt xong thì chọn Restart –
Kiểm tra Remote Connection đã được enable
Phải chuột Computer –> Chọn properties –> Remote Setting –> Tab Remote
Thêm các chương trình ứng dụng RemoteApp
- Start –> Program –> Administrative Tools ->Terminal Services ->TS RemoteApp Manager.
- Menu Action –> Add RemoteApp Programs.
Menu Action –> Add RemoteApp Programs
Choose Program to add to RemoteApp Program list –> Chọn các ứng dụng cho Client –> Next
Trong màn hình TS remote App –> Cuộn xuống cuối màn hình –> Phải chuột vào application và chọn Create Windows Installer Package
15 Để mặc định các thông số cấu hình –> Next
Chia sẻ folder chứa file ứng dụng
C:\Program File –> Chuột phải lên Packaged Program –> Properties –> ShareFolder –> Everyone Allow-Read –> OK
Kiểm tra trên máy client
Start –> Run –> Nhập địa chỉ ip Remote Server
Hộp thoại yêu cầu khai báo username/password đăng nhập –> Nhập sv1/123 –> OK
Chọn ứng dụng cần dùng
Nhập vào user chứng thực –> OK
Quá trình kết nối diễn ra và Ứng dụng cần dùng sẽ mờ ra
4.Triển khai các ứng dụng RemoteApp thông qua TS Web Access:
Cài đặt TS Web Access trên Terminal Server
- Server Manager –> Terminal Services –> Add Role Services.
Chọn TS Web Acess –> Next
Chọn Add Require Role Services
21 Để các thông số mặc địnhàNextàChọn Install
Start –> Programs –> Administrative Tools –> Terminal Service –> TS RemoteApp Manager
Chuột phải các ứng dụng muốn hiển thị –> Chọn Show in TS Web Access
Kiểm tra trên Terminal Client
Mở Internet Explorer –> Khung Address nhập vào địa chỉ Terminal Server http:// 192.168.1.38/ts –> Enter
Hộp thoại khai báo username và password xuất hiện Nhập sv1/123
Sau khi đăng nhập thành công -> Lựa chọn các ứng dụng cần dùng
Bảo mật Terminal Services của Windows Server 2008
Sử dụng chứng thực Smart Cards
Sử dụng thẻ thông minh, người dùng cần cung cấp tiêu chuẩn đăng nhập hợp lệ và kết nối vật lý với thẻ đến thiết bị đầu cuối Để yêu cầu thẩm định thẻ thông minh, cần tạo một Group Policy Object cho Terminal Server và trong GPO, duyệt đến Computer.
To enhance security settings in Windows, navigate to Configuration > Windows Settings > Security Settings > Local Policies > Security Options and enable the "Interactive Logon: Require Smart Card" option Additionally, ensure that Smart Cards are activated for users to connect to the Terminal Server by checking the Smart Cards option in the Local Resources tab of Remote Desktop Connection on user workstations.
Thực thi thẩm định mức mạng đối với tất cả máy khách
Xác thực Mức Mạng (NLA) là một tính năng được giới thiệu trong phiên bản 6.0 của Remote Desktop Connection Client, cho phép người dùng nhập thông tin đăng nhập trước khi hiển thị cửa sổ đăng nhập của Windows Server Từ Windows Server 2008, tính năng này được yêu cầu cho tất cả các máy khách kết nối, nhằm tăng cường bảo mật và hiệu suất kết nối.
26 Để sử dụng NLA, bạn phải sử dụng Windows 2008 Server, và các máy khách đang kết nối phải hỗ trợ CredSSP (Windows XP SP3, Windows Vista, Windows
7) cũng như đang chạy Remote Desktop Connection 6.0 hoặc cao hơn Bạn có thể cấu hình Terminal Server của mình để yêu cầu các máy khách của nó sử dụng NLA bằng các cách sau:
During the initial installation of the Terminal Services role, when prompted with the "Specify Authentication Method for Terminal Server" screen, select the option to allow connections only from computers running Remote Desktop with Network Level Authentication.
To enhance security for your terminal server, access the Terminal Services Configuration MMC Snap-In, right-click on the active terminal server connection used by clients, select properties, and enable the option to allow connections only from computers running Remote Desktop with Network Level Authentication.
To enhance security for remote connections on terminal servers, create a Group Policy Object and navigate to Computer Configuration > Administrative Templates > Windows Components > Terminal Services > Terminal Server > Security Activate the "Require user authentication for remote connections by using Network Level Authentication" setting and apply it to an Organizational Unit (OU) that includes the terminal server.
Thay đổi cổng RDP mặc định
Mặc định, Terminal Server sử dụng cổng 3389 cho lưu lượng RDP, điều này đã được nhiều hacker biết đến Để bảo vệ môi trường Terminal Server khỏi các cuộc tấn công, một trong những biện pháp nhanh chóng bạn có thể thực hiện là thay đổi cổng mặc định Để thực hiện việc này, hãy mở regedit và duyệt đến vị trí cần thiết để thay đổi cổng RDP.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp Tìm key PortNumber và thay thế giá trị hex
00000D3D (tương đương với 3389) thành một giá trị khác mà bạn muốn sử dụng.
You can modify the port number used by your Terminal Server on a basic connection To do this, use regedit and navigate to HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal.
Server\WinStations\connection name Tiếp đó, tìm đến key PortNumber và thay thế giá trị hex bởi một giá trị khác mà bạn muốn.
Khi thay đổi thiết lập trên máy chủ, cần đảm bảo rằng tất cả các máy khách kết nối đến Terminal Server sử dụng cổng mới được chỉ định trên địa chỉ IP của máy chủ Ví dụ, để kết nối đến Terminal Server với địa chỉ IP 192.168.0.1 qua cổng không chuẩn 8888, người dùng cần nhập 192.168.0.1:8888 vào Remote Desktop Connection.
In ấn dễ dàng và hạn chế máy in được chuyển hướng
Printing from devices connected internally to client workstations has always been a vulnerability of Terminal Services prior to Windows Server 2008 To address this issue, significant improvements have been made in the newer versions of Windows Server.
Để đảm bảo máy in hoạt động hiệu quả, bạn cần phải cài đặt phiên bản driver chính xác trên cả máy chủ và máy khách Tuy nhiên, đôi khi điều này vẫn không đảm bảo cho việc in ấn diễn ra suôn sẻ Từ góc độ bảo mật, việc cài đặt nhiều driver không cần thiết có thể làm tăng nguy cơ tấn công hệ thống, vì mỗi driver mới đều có khả năng mở rộng bề mặt tấn công.
Windows Server 2008 introduced a feature called Easy Print, which revolutionizes the way internal printers are managed and connected Essentially, TS Easy Print acts as a proxy driver, redirecting all print data through it When a client prints to a device using the Easy Print driver, the print settings and data are converted into a common format and sent to the Terminal Server for processing This means that after printing is initiated, the print dialog appears on the client machine rather than within the terminal session, eliminating the need for drivers to be installed on the Terminal Server for handling print jobs from internal devices To configure Easy Print, ensure that all internal printers have logical printers set up on clients using the Easy Print driver This feature is supported by all Windows XP SP3, Windows Vista, and Windows 7 clients running Remote Desktop Connection 6.1 or later, along with NET Framework 3 SP1.
Khi cấu hình các thiết bị gắn nội bộ cho máy trạm, cần đảm bảo rằng chỉ máy in duy nhất được chuyển hướng đến Terminal Server là máy in đang sử dụng.
To set TS Easy Print as the default printer, create a Group Policy Object and navigate to Computer Configuration > Administrative Templates > Windows.
Components\Terminal Services\Terminal Server\Printer Redirection, sau đó kích hoạt tùy chọn Redirect only the default client printer.
Hạn chế các tài khoản người dùng
Cấu hình bảo mật bổ sung bằng Group Policy
Các cải tiến bảo mật cho môi trường Terminal Server được triển khai qua Group Policy mang lại nhiều lợi ích Dưới đây là một số ví dụ tiêu biểu mà chúng tôi muốn giới thiệu.
- Hạn chế người dùng Terminal Services vào một Session từ xa
Trong hầu hết các trường hợp, người dùng không cần khởi tạo nhiều session trên Terminal Server, vì việc này có thể tạo ra lỗ hổng cho tấn công từ chối dịch vụ (DoS) Để bảo vệ môi trường của bạn, hãy cấu hình thiết lập này bằng cách truy cập vào Computer Configuration\Administrative.
Templates\Windows Components\Terminal Services\Terminal
Server\Connections bên trong GPO của bạn.
- Không cho phép sự chuyển hướng drive
Chỉ cho phép người dùng truy cập vào các ổ đĩa nội bộ từ phiên làm việc Terminal Server khi thật sự cần thiết, vì điều này có thể tạo ra một kênh truyền thông không an toàn Khả năng này cho phép người dùng không chỉ sao chép dữ liệu vào Terminal Server mà còn có nguy cơ chứa mã độc, có thể được thực thi trên máy chủ.
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer
Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection bên trong GPO. Thiết lập hạn chế thời gian cho các Session bị hủy kết nối
Chúng ta nên cho phép người dùng thoát khỏi một session mà không cần phải đăng xuất hoàn toàn, nhằm bảo vệ dữ liệu nhạy cảm và thông tin xác thực của họ Để cải thiện bảo mật, nên thiết lập thời gian hạn chế cho các session, tự động hủy kết nối khi đến giới hạn thời gian đã định.
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến Computer
Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Session Time Limits bên trong GPO.
- Vô hiệu hóa bộ cài Windows
Chỉ có quản trị viên mới có quyền cài đặt ứng dụng trên Terminal Server, và người dùng thường không được phép cài đặt nếu không có quyền quản trị viên Tuy nhiên, nếu cần thiết phải nâng quyền cho một số người dùng, bạn có thể hạn chế khả năng cài đặt chương trình bằng cách vô hiệu hóa Microsoft Windows Installer.
Có thể cấu hình thiết lập này bằng cách duyệt đến Computer
Configuration\Administrative Templates\Windows Components\Windows
Installer bên trong GPO Cần lưu ý rằng bạn phải cấu hình thiết lập này là
Để đảm bảo rằng bạn có thể xuất bản các ứng dụng cho Terminal Server qua Group Policy, hãy bật tùy chọn "Always" Việc sử dụng tùy chọn này là cần thiết, vì nếu không, bạn sẽ không thể thực hiện điều đó.
Mặc dù các quản trị viên đã cung cấp nhiều vị trí lưu trữ bảo mật cho dữ liệu, một số người dùng vẫn lưu trữ dữ liệu một cách tùy tiện trên desktop Để bảo vệ dữ liệu hiệu quả hơn, chúng ta có thể chuyển hướng desktop của họ đến một vị trí lưu trữ thích hợp trên máy chủ file.
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User
Configuration\Windows Settings\Folder Redirection bên trong GPO Desktop của người dùng là thư mục mà chúng ta có thể chuyển hướng.
- Chặn truy cập vào Control Panel
Người dùng thông thường không nên truy cập vào Control Panel, nhưng nếu cần cấp quyền quản trị viên cho một số thao tác, bạn có thể hạn chế quyền truy cập vào Control Panel bằng cách cấu hình thiết lập phù hợp.
Bạn có thể cấu hình thiết lập này bằng cách duyệt đến User
Configuration\Administrative Templates\Control Panel bên trong GPO.
Các thiết lập log Microsoft khuyên dùng dưới đây:
• Audit Account Logon Events - No Auditing
• Audit Account Management - Audit Success and Failure
• Audit Directory Services Access - No Auditing
• Audit Logon Events - Audit Success and Failure
• Audit Object Access - Audit Failure
• Audit Policy Change - Audit Success and Failure
• Audit Privilege Use - Audit Failure
• Audit Process Tracking - Audit Failure
• Audit System Events - Audit Success and Failure
In addition to the existing configurations, you can utilize Connection Auditing logs within Terminal Services to record specific entries of the Terminal Server To view and configure these settings, open the Terminal Services Configuration snap-in, right-click on the desired connection to enable auditing, and select Properties Then, navigate to the Security tab.
32 kích Advanced, đánh tên người dùng của tài khoản muốn kích hoạt ghi log Ở đây bạn có thể chọn một trong các tùy chọn được liệt kê sẵn.
TÍNH NĂNG BẢO MẬT NÂNG CAO SERVER
Giới thiệu
Windows Server 2008 introduces a significantly improved firewall known as Windows Firewall with Advanced Security This new firewall shares similarities with the one introduced in Windows Vista and includes enhanced security features.
• Nhiều điều khiển truy cập đi vào
• Nhiều điều khiển truy cập gửi đi
• Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự động của tường lửa khi các dịch vụ được cài đặt bằng Server Manager.
Cấu hình và quản lý chính sách IPsec đã được cải thiện đáng kể, với sự thay đổi trong cách khai báo Hiện nay, các chính sách IPsec được định nghĩa dưới dạng các quy tắc bảo mật kết nối (Connection Security Rules).
• Kiểm tra chính sách tường lửa được cải thiện
• Kiểm tra các chính sách IPsec được cải thiện (giờ đây được gọi là các Rule bảo mật kết nối)
• Kiểm tra tập trung các trong việc kết hợp chế độ bảo mật Main và Quick được cải thiện
Cấu hình Advanced FireWall
Chuẩn bị : 2 máy Windows Server 2008 R2
DC2 : turn off firewall, cài đặt IIS và tạo 1 trang wed với nội dung tùy ý.
B1 : DC1 truy cập vào trang wed nội bộ của
đánh lệnh netstat - a quan sát thấy DC1 đang tạo kết nối đến
Thực hiên máy DC2 : cho phép truy cập wed nội bộ và Network Access vào DC2
B2 : Từ DC1 truy cập vào web
Policy mở theo đường hướng dẫn trong hình chuột phải lên
B8 : Đặt tên rule là Allow wed
B9 : Quan sát thấy rule Allow wed đã được tạo.
B10 : Làm lần lượt tương tự từ B1- B9 để tạo thêm rule cho phép truy cập Network Access
Ping trên DC2 : không được
Truy cập thử trang wed của DC2 ( http://172.168.1.20 ) truy cập thành công. Truy cập qua DC2 bằng Network access ( \\172.168.1.20 ) thành công
Mở CMD nslookup vnexpress.net thấy kết quả trả về IP là: 111.65.248.132
Thực hiện trên máy DC2 cấm truy cập trang wed vnexpress.net có địa chỉ IP là 111.65.248.132
B3 : Chọn Browsechỉ đường hướng dẫn đến:
B4 : khai báo các thông số :
- Which Local IP addresses does this rule match : any IP address
- Which Remote IP addresses does this rule match :these IP address
- Mở IE truy cập trang wed http://vnexpress.net không thể truy cập
• Mở Outbound rule chuột phải lên Rule
Disable Rule mở IE truy cập http://vnexpress.net thành công.
Tổng quan IP Sec
IPsec (Bảo mật IP) là một tập hợp các giao thức nhằm bảo vệ thông tin truyền tải qua Internet Protocol (IP) Hệ thống này bao gồm các phương thức xác thực và mã hóa cho từng gói IP trong quá trình truyền thông Ngoài ra, IPsec còn tích hợp các giao thức hỗ trợ cho việc mã hóa và xác thực, đảm bảo an toàn cho quá trình truyền thông tin.
Giao thức IPsec hoạt động tại tầng Network Layer (tầng 3) của mô hình OSI, trong khi các giao thức bảo mật như SSL, TLS và SSH hoạt động từ tầng Transport Layer trở lên (tầng 4 đến tầng 7) Điều này mang lại tính linh hoạt cho IPsec, cho phép nó tương tác với các giao thức tại tầng 4 như TCP và UDP IPsec có khả năng vượt trội hơn so với SSL và các phương thức bảo mật khác ở các tầng cao hơn, vì ứng dụng sử dụng IPsec không cần thay đổi mã nguồn Ngược lại, nếu ứng dụng yêu cầu sử dụng SSL và các giao thức bảo mật ở các tầng trên, mã nguồn của ứng dụng sẽ phải thay đổi đáng kể.
2.1.2 Cấu trúc bảo mật của IP SEC
Khi IPsec được triển khai, cấu trúc bảo mật của nó gồm:
(1) Sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền
(2) Cung cấp phương thức xác thực
(3) Thiết lập các thông số mã hoá.
IPsec được xây dựng dựa trên khái niệm bảo mật trên nền tảng IP, kết hợp các thuật toán và thông số như khóa để thực hiện mã hóa và xác thực một chiều Trong giao tiếp hai chiều, các giao thức bảo mật sẽ tương tác với nhau để đảm bảo an toàn thông tin.
IPsec bao gồm một tập hợp các giao thức bảo mật, cho phép mã hóa và xác thực mỗi gói tin IP Quyết định về các thuật toán mã hóa và xác thực lại phụ thuộc vào người quản trị IPsec, nhằm đảm bảo quá trình giao tiếp an toàn và hiệu quả.
IPsec là một thành phần bắt buộc trong IPv6 và có thể được lựa chọn khi sử dụng IPv4 Mặc dù các tiêu chuẩn đã được thiết kế cho các phiên bản IP tương tự, nhưng việc áp dụng và triển khai IPsec chủ yếu hiện nay vẫn diễn ra trên nền tảng IPv4.
IPsec cung cấp hai chế độ bảo mật: chế độ Transport (điểm-điểm) cho các máy tính giao tiếp trực tiếp và chế độ Tunnel (cổng-cổng) cho kết nối giữa hai mạng Chế độ Tunnel thường được sử dụng trong kết nối VPN để đảm bảo an toàn cho dữ liệu truyền tải.
IPsec là một giao thức quan trọng trong việc thiết lập các kết nối VPN, được sử dụng phổ biến trong giao tiếp mạng Tuy nhiên, khi triển khai, có sự khác biệt rõ rệt giữa hai chế độ hoạt động của nó.
Giao tiếp end-to-end bảo mật trên Internet đã phát triển chậm và cần thời gian dài để hoàn thiện Một trong những nguyên nhân chính là do tính phổ biến của nó còn hạn chế và không thực tế, cùng với việc Public Key Infrastructure (PKI) được áp dụng trong phương thức này.
IPsec đã được giới thiệu và cung cấp các dịch vụ bảo mật:
1 Mã hoá quá trình truyền thông tin
2 Đảm bảo tính nguyên vẹn của dữ liệu
3 Phải được xác thực giữa các giao tiếp
4 Chống quá trình replay trong các phiên bảo mật.
Có hai mode khi thực hiện IPsec đó là: Transport mode và tunnel mode. Transport mode
Trong chế độ Transport, chỉ dữ liệu trong các gói tin được mã hóa và/hoặc xác thực, trong khi IP header không bị chỉnh sửa hay mã hóa Tuy nhiên, khi sử dụng authentication header, địa chỉ IP không thể xác định được do thông tin đã bị băm Các lớp Transport và application thường được bảo vệ bằng hàm băm và không thể chỉnh sửa, chẳng hạn như số cổng Chế độ Transport thường được áp dụng trong các tình huống giao tiếp giữa các máy chủ.
40 Điều này có nghĩa là đóng gói các thông tin trong IPsec cho NAT traversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T.
Trong chế độ tunnel, toàn bộ gói IP, bao gồm cả dữ liệu và header, sẽ được mã hóa và xác thực, sau đó được đóng gói lại trong một gói IP khác trong quá trình định tuyến Chế độ tunnel thường được sử dụng cho giao tiếp giữa các mạng (network-to-network), giữa các router, hoặc giữa host với mạng và host với host trên internet.
- Cấu hình IP Sec cho tất cả các kết nối
- Cấu hình IP Sec cho kết nối được chỉ định
- Deploy connection Security Rules bằng GPO
Chuẩn bị : bài lab sử dụng 3 máy tính
- Cả 3 máy tắt filewall, kiểm tra đường truyền lệnh PING
2.2.1 Cấu hình IP Sec cho tất cả các kết nối : thực hiện trên DC2:
- Cài đặt network Monitor, Capture gói tin
B1 : Chạy file cài đặt chọn Yes
B3 : Chọn I accept the terms in the Licence
B4 : Chọn I do not want to use Microsoft Update
B7 : Khởi động chương trình Network Monitor trên Desktop chọn No
B10 : Giữ nguyên chương trình Network Monitor ,
DC2 ra command line ping DC3
B11 : Quay trở lại màn hình Network Monitor quan sát đã capture được gói tin PING
- Chọn gói tin ICMP chọn
- Dữ liệu các lệnh PING đã bắt dầu bằng a, b, c, d
Cấu hình IP sec trên DC2 & DC3
B1 : Start run đánh lệnh MMC vào menu File chọn
Add/ Remote Snap – ins chọn IP Security
Sec Policies on Local computer chọn
Policies là Preshare key Next
B4 : Chọn This rule does not specify a tunnel next
B10 : Chọn Any IP address next
B19 : Chọn Do not allow unsecures communication
B23 : Chọn Use this string to protect the key exchange điền vào ô trống : khoaviet
Capture mới và chọn Start
- Quan sát trên máy tính màn hình
gói tin Ping đã được mã hóa
2.2.2.Cấu hình IP Sec cho kết nối được chỉ định
B1 : Chuột phải lên policies Preshare
DC3 OK đóng các cửa sổ
B6 : Mở Service trong administrative tools chuột phải lên
Cấu hình để nhứng máy nào có Preshare key mới có thể tạo kết nối tới DC2 Trên cấu hình DC2 & DC3 xóa các Policies IP Sec đã tạo
Secpol.msc chuột phải lên
B4 : Chọn Require authentication for inbuond and outbound connections next
B10 : DC1 thử truy cập Network
B11 : DC3 thực hiện lại các thao tác từ B1 – B9 của
Lưu ý : Preshare key phải giống với
Preshare Key đã khai báo trên DC2
Kiểm tra : DC3 truy cập Network
Access qua DC2 : truy cập thành công
THỰC THI DISTRIBUTED AD DS DEPLOYMENTS 1 Các thành phần Active directory
Thực thi Active directory
- Nâng cấp DC1 lên domain controller
- Thêm máy domain controller thứ 2
Mô hình IP bài LAB
Computer name DC1(Primary domain controller)
Nâng cấp DC1 lên domain controller tên miền brtvc.edu.vn (tham khảo QTM1)
Tạo child domain khoacntt.brtvc.edu.vn
Xây dựng máy DC5 thành Child Domain quản lý miền khoacntt.brtvc.edu.vn là miền con của brtvc.edu.vn
- Chọn Start > chọn Run > gõ lệnh: DCPROMO Tại cửa sổ “Operating
Tại cửa sổ “Choose a Deployment Configuration”, chọn mục Existing forest, chọn “Create a new domain in an existing forest”, chọn Next
- Tại cửa sổ “Network Credentials”, nhập vào thông tin tên miền tồn tại trong
Domain Forest, khai báo thông tin về tài khoản chứng thực, chọn Next
- Tại cửa sổ “Name the New Domain”, nhập vào thông tin về miền cha, thông tin về tên miền con, chọn Next
- Tại cửa sổ “Set Domain Function Level”, lựa chọn mức độ chức năng trên
- Tại cửa sổ “Select a Site”, chọn mục “Default First Site Name”, chọn Next
Tại cửa sổ “Additional Domain Controller Options”, chọn mục DNS Server, chọn Next
- Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next
- Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau đó chọn Next
Tại cửa sổ “Summary”, chọn Next
- Quá trình nâng cấp Windows Server 2008 thành Domain Controller diễn ra… Sau khi nâng cấp thành công, chọn Finish để khởi động lại hệ thống.
2.2 Thêm máy domain controller thứ 2
Dựng máy DC4 thành domain controller thứ 2 cho domain brtvc.edu.vn Khai báo IP máy DC4
Nhấn Start > Run :gõ lệnh DCPROMO, màn Hình “Welcome to the
Active Directory Domain Services Installation Wizard” xuất hiện, chọn Next:
Tại cửa sổ “Operating System Compability”, chọn Next
Tại cửa sổ “Choose a Deployment Configuration”, chọn mục “Existing forest”, chọn “Add a domain controller to an existing domain”, chọn Next:
Tại cửa sổ “Network Credentials”, nhập vào tên miền cần cho phép máy
DC4 được cấu hình làm Additional Domain Controller bằng cách chọn nút Set để nhập thông tin tài khoản được phép cho máy tính này gia nhập vào miền brtvc.edu.vn, sau đó nhấn Next.
Tại cửa sổ “Select a Domain”, chọn tên miền sẽ gia nhập vào, chọn Next:
Tại cửa sổ “Select a Site”, chọn Site cần thiết, chọn Next:
Tại cửa sổ “Additional Domain Controller Options”, chọn mục 2 mục DNS
Server và Global Catalog, chọn Next:
Tại hộp thoại kế tiếp, Windows sẽ cảnh báo liên quan đến dịch vụ DNS, chọn
Tại cửa sổ “Location for Database, Log Files, and SYSVOL”, chọn Next:
Tại cửa sổ “Directory Services Restore Mode Administrator Password”, nhập vào mật khẩu, sau đó chọn Next:
Tại cửa sổ “Summary”, chọn Next:
Quá trình nâng cấp Windows Server 2008 thành Additional Domain
Sau khi nâng cấp thành công, chọn Finish để khởi động lại hệ thống:
Vào Start > Progams > Administrative Tools > Active Directory Users and
Computer ( Kiểm tra đồng bộ các đối tượng trên cả 2 Server )
2.3 Cấu hình DNS cho các domain
• Cấu hình DNS tại DC1
Parent domain Delegation , child domain stubzone
- B1 : cấu hình DNS primary miền brtvc.edu.vn (xem LAB quản trị mạng 1)
- B2: Ủy quyền cho miền khoacntt.brtvc.edu.vn cho
Mở DNS tại tên miền brtvc.edu.vn > New Delegation, màn hình Welcome to the New Delegation Wizard xuấthiện, chọn Next.
Tại màn hình Name Servers, chọn nút Add để mô tả thông tin Name Server.
Tại hộp thoại New Name Server Record, nhập thông tin của Name Server quản lý miền con, nhấp OK, sau đó chọn Next.
Tại màn hình New Delegation Wizard, nhấp Finish để kết thúc.
Tạo Forwarder trên DC1 để nhờ DC5 phân giải hộ:
Nhấp phải trên DNS Server, chọn Properties, chọn tab Forwarders.
Tại hộp thoại Properties > Forwarder, chọn Edit để nhập vào địa chỉ IP của máy cần Forwarder
• Cấu hình DNS tại DC5 (child domain)
- B1 : cấu hình DNS primary miền khoacntt.brtvc.edu.vn (xem LAB quản trị mạng 1)
- B2: tạo Stub zone brtvc.edu.vn mà parent domain đã ủy quyền
Nhập tên miền brtvc.edu.vn muốn stubzone
Nhập IP tên miền brtvc.edu.vn muốn stubzone -> next -> finish
OPERATIONS MASTER ROLES 1.Giới thiệu Operations master roles
Transfer FSMO Roles
Chuyển vai trò Roles từ domain controller này sang domain Controller khác khi máy server nắm giữ roles FSMO còn hoạt động
Thao tác transfer Roles bằng đồ họa
Bước 1 Cài đặt Additional Domain Controller từ primary domain controller đang nắm giữ FSMO roles.
Bước 2 Trên Additional Domain Controller, vào Active Directory Users and Computers Chuột phải lên domain cần chuyển đổi FSMO chọn Operations Master
Bước 3 Trong hộp thoại Operations Master, lần lượt chọn Change tại 3 tab RID, PDC, Infrastructure để tiến hành chuyển đổi FSMO.
Thao tác transfer Roles bằng dòng lệnh
Trước tiên kết nối vào máy Domain Controller đang nắm giữa roles mà ta muốn chuyển Mở command line nhập các dòng lệnh sau :
The ntdsutil commands can be summarized as follows: first, enter "ntdsutil" to access the utility Next, type "roles" and then "fsmo maintenance" to enter the FSMO maintenance mode From there, navigate to "connections" and use "connect to server " to establish a connection to your desired domain controller After connecting, type "quit" to exit the connection menu, and finally, execute "transfer schema master" to transfer the schema master role.
2003 server:fsmo maintenance: transfer domain naming master (enter)
To transfer FSMO roles on a Windows Server 2008, access the FSMO maintenance tool by entering commands sequentially: first, type "fsmo maintenance: transfer naming master" and press enter Next, execute "fsmo maintenance: transfer rid master," followed by "fsmo maintenance: transfer pdc." Then, enter "fsmo maintenance: transfer infrastructure master" and conclude the session with "fsmo maintenance: quit." Finally, exit the tool by typing "ntdsutil: quit."
Size FSMO Roles
Khi Domain Controller đảm nhiệm vai trò FSMO ngừng hoạt động, cần bình bầu các vai trò cho một Domain Controller khác đang hoạt động trong cùng miền bằng cách sử dụng dòng lệnh phù hợp.
Trước tiên kết nối vào máy Domain Controller mà ta muốn size quyền FSMO Mở command line nhập các dòng lệnh sau :
The ntdsutil commands can be summarized as follows: First, enter the ntdsutil tool, then access the roles section Next, navigate to fsmo maintenance and establish server connections by using the command to connect to the desired domain controller (DC-Name) After connecting, exit the server connections section and proceed to fsmo maintenance to seize the schema master role.
2003 server:fsmo maintenance: Seize domain naming master (enter)
To perform FSMO maintenance on a 2008 server, enter the command to seize the naming master, followed by seizing the RID master, PDC, and infrastructure master in sequence Finally, exit the FSMO maintenance tool and then quit the ntdsutil.
DỊCH VỤ ROUTING 1.Giới thiệu Routing
Cấu hình Routing
- Cài đặt role Routing and Remote Access
Chuẩn bị : 4 máy Windows Server 2008 R2
Khai báo IP 4 máy như sau:
- Turn off fierwall trên 4 máy
- DC1 ping DC2 : ping OK
- DC2 ping DC3 : ping OK
- DC3 ping DC4 : ping OK
- DC1 ping DC4 : ping OK
2.1 Cài đặt Role Routing and Remote Access
Thực hiện trân máy DC2 và DC3
Manager chuột phải lên Roles chọn Add Roles
2.2 Cấu hình Static Route : thực hiện DC2 và DC3
Configure and enable Routing and remote access
B1 : mở theo hướng dẫn trong hình chuột phải lên Static
B2 : điền thông số IP OK
B1 : mở theo hướng dẫn trong hình chuột phải lên Static
B2 : điền thông số IP OK
Tại DC2 mở command line đánh lệnh
Route Print quan sát thấy tồn tại route
Mở Routing and Remote Access mở Static Route chọn Static Route
192.168.1.0 đã tạo nhấn phím Delete ra Command line đánh lệnh Route Print không có Route 192.168.1.0
- Tại DC3 : thực hiện tương tự : Xóa Route 172.16.1.0
Dùng giao thức động RIP : thực hiện DC2 và DC3
B1 : mở hương dẫn trong hình chuột phải lên General chọn New
B2 : Chọn RIP version 2 for Internet Protocol
DỊCH VỤ NAT
Cấu hình NAT INBOUND
1 Giới thiệu DHCP Relay Agent
DHCP Relay Agent là một thành phần quan trọng trong mạng, có chức năng chuyển tiếp các yêu cầu DHCP Discover và DHCP Request từ Client đến DHCP Server Nó cho phép các truy vấn của Client được gửi đến DHCP Server và nhận lại địa chỉ IP, đặc biệt hữu ích khi Client và DHCP Server không nằm trong cùng một subnet Với vai trò như một thực thể trung gian, DHCP Relay Agent giúp vượt qua các rào cản mà thường bị chặn bởi router, đảm bảo rằng các yêu cầu DHCP của Client được xử lý một cách hiệu quả.
A DHCP Replay Agent is a device, such as a computer or router, configured to listen for and forward packets between DHCP Clients and DHCP Servers across different subnets.
DỊCH VỤ DHCP RELAY
Tại sao phải sử dụng DHCP relay agent
Khi có nhiều mạng và router giữa clients và DHCP server, việc cấu hình DHCP relay agent là cần thiết Clients sử dụng địa chỉ broadcast để yêu cầu cấp phát IP, nhưng các gói tin broadcast sẽ bị router loại bỏ Do đó, cần có DHCP relay agent để các router trung gian có thể chấp nhận và chuyển tiếp các gói tin broadcast đến DHCP server.
Nếu mỗi mạng chúng ta dựng lên 1 DHCP Server thì tốn kém và không cần thiết, việc bảo trì cũng như quản lý rất khó khăn.
Cấu hình Router cho phép tín hiệu Broadcast đi qua, nhưng điều này có thể gây ra rắc rối khi mạng gặp sự cố Hơn nữa, lưu lượng gói tín hiệu Broadcast quá lớn có thể dẫn đến tình trạng tắc nghẽn mạng.
Ưu diểm của DCHP RELAY
- Phù hợp với các máy tính thường xuyên di chuyển giữa các lớp mạng.
- Kết hợp với hệ thống mạng không dây ( Wireless) cung cấp tại các điểm – Hotspot như: nhà ga, sân bay, khách sạn, trường học.
- Thuận tiện cho việc mở rộng hệ thống mạng.
Cơ chế hoạt động DHCP Relay Agent
Gồm 8 bước hoạt động DHCP relay
2.2 Client Broadcasts gói tin DHCP Discover trong nội bộ mạng.
• DHCP Relay Agent trên cùng mạng với Client sẽ nhận gói tin đó và chuyển đến DHCP server bằng tín hiệu Unicast.
• DHCP server dùng tín hiệu Unicast gởi trả DHCP Relay Agent một gói DHCP Offer
• DHCP Relay Agent Broadcasts gói tin DHCP Offer đó đến các Client Sau khi nhận được gói tin DHCP Offer, client Broadcasts tiếp gói tin DHCP Request.
• DHCP Relay Agent nhận gói tin DHCP Request đó từ Client và chuyển đến DHCP server cũng bằng tín hiệu Unicast.
7 DHCP server dùng tín hiệu Unicast gởi trả lời cho DHCP Relay Agent một gói DHCP ACK.
8 DHCP Relay Agent Broadcasts gói tin DHCP ACK đến Client Đến đây là hoàn tất quy trình tiếp nhận xử lý và chuyển tiếp thông tin của DHCP RelayAgent.
Cấp phép (authorize)
Để DHCP server có thể cung cấp địa chỉ IP cho DHCP client, bạn cần phải cấp phép (hay ủy quyền) cho nó Việc này giúp ngăn chặn các DHCP server không hợp lệ (hay DHCP giả mạo) cung cấp địa chỉ IP trong nội bộ domain Để thực hiện quá trình cấp phép, bạn cần đăng nhập bằng tài khoản thuộc nhóm Enterprise Admins.
Trong mô hình này, giả sử có hai máy chủ DHCP (gọi là DHCP Server1 và DHCP Server2) trong nội bộ của domain Tuy nhiên, chỉ có DHCP Server1 được cấp phép để cung cấp dịch vụ DHCP Khi dịch vụ DHCP trên Server1 được khởi động, máy chủ này sẽ kiểm tra xem có được Domain Controller cấp phép hoạt động hay không bằng cách gửi yêu cầu đến Domain Controller để xác nhận quyền cấp phát địa chỉ IP động cho nội bộ domain.
Sau khi nhận yêu cầu kiểm tra từ DHCP Server1, Domain Controller sẽ xác minh xem Server1 có được cấp phép hoạt động dịch vụ DHCP hay không.
Vì Server1 đã được cấp phép hoạt động dịch vụ DHCP nên Server1 được phép cung cấp địa chỉ IP động cho các DHCP client trong nội bộ domain
Khác với Server1, Server2 sau khi khởi động dịch vụ DHCP đã yêu cầu kiểm tra từ Domain Controller Tuy nhiên, do không được cấp phép hoạt động, Server2 không thể cung cấp địa chỉ IP động cho nội bộ domain dù dịch vụ đã được khởi động.
If the DHCP server is not authorized, the DHCP service will log an error in the system log, which can be found in the Administrative Tools/Event log Ultimately, the DHCP Client requests an IP address from DHCP Server1.
Level option của DHCP server
Phân biệt sự khác nhau giữa các level như server, scope, class và reserved client trong dịch vụ DHCP
Server-level options are settings applied to all DHCP clients of a DHCP Server, representing the lowest priority option available.
Các tùy chọn khai báo ở cấp độ scope chỉ áp dụng cho các DHCP client trong phạm vi đó, không ảnh hưởng đến các scope khác Điều này cho thấy rằng tùy chọn ở cấp độ scope có độ ưu tiên cao hơn so với tùy chọn ở cấp độ server.
Các tùy chọn được khai báo ở cấp độ class level sẽ ảnh hưởng đến tất cả các thành viên trong lớp Độ ưu tiên của những tùy chọn này cao hơn so với các tùy chọn ở cấp độ scope level.
The reversed client level options are specifically applied to a single DHCP client, making them the highest priority These options will override any conflicting options from other levels, ensuring that the designated client receives the correct configuration.
2.3 Cài đặt và cấu hình DHCP Relay Agent
Cài đặt và cấu hình DHCP server
- Cài đặt Role DHCP trên DHCP Server
- Cấu hình tạo Scope trên DHCP server
- Cấu hình thêm Scope Option trên DHPC server
- Cấu hình để Client nhận IP tự động từ DHPC server
- 2 máy kiểm tra đường truyền bằng lệnh Ping
- Máy DC1 cài đặt Wins
Cài đặt Role DHPC trên DHPC server
Manager chuột phải lên Roles chọn Add roles
B6 : Giữ nguyên mặc định chọn next
B8 : Chọn Add Điền thông số về
Range IP sẽ cấp phát cho DHCP
B10: Chọn Use current credentials Next
Khai báo các thông số trong Scope :
B2 : Chọn 003 Router khai báo IP :
B3 : Thực hiện tương tự để tạo scope options :
Domain Name nhập vào tại String value: khoaviet.edu.vn OK
Quan sát Scope option đã được tạo
Cấu hình để Client nhận IP tự động từ DHPC server
B1 : Mở Properties card mạng bỏ dấu chọn trước dòng Internet
- _ Obtain and IP address automatically
_ Obtain DNS server address automatically OK
đóng cửa sổ properties của card mạng lại.
Line đánh lệnh ipconfig/ release
quan sát thấy PC1 đã nhận dược IP và các thông số khác được cấp tự động từ
Command Line đánh lệnh ipconfig/ all
Ghi nhận lại thông số của dòng physical
B2 : PC1 mở DHPC trong Administrate toolschuột phải lên
B3 : điền thông số như trong hình
Lưu ý : MAC address điền thông số đã ghi nhận trên PC1
- Tại PC1 đánh lệnh ipconfig/release và ipconfig/ renew để xin cấp IP mới, IP của PC1 được cấp luôn luôn là 172.16.1.100
Cài đặt cấu hình DHCP Relay
Giới thiệu : bài lab bao gồm nội dung chính sau
- Cấu hình DHCP Relay Agent trên DC2
- Cấu hình để máy Client nhận IP từ DHCP server
- Đặt IP cho 3 máy theo bảng sau :
- DC1 cấu hình Lan routing
- Cả 3 máy tắt Firewall, PC1 ping DC2: OK, DC2 ping PC1 : OK
- DC2 : cài đặt DHCP Server và tạo scope cấp IP cho range
192.168.1.0/24 với scope options :003 Default gateway chỉ về
1 Cấu hình DHCP Relay Agent trên DC2
General trong IPv4 chọn New Routing
DHCP Relay Agent chọn New Interface
DHCP Relay Agent chọn Properties
2 Cấu hình để máy Client nhận IP từ DHCP server
B1 : Chỉnh chế độ đặt IP về obtain
B2 : Vào command line đánh lệnh
Client đã nhận được IP từ DHCP server
DỊCH VỤ VIRTUAL PRIVATE NETWORK 1 Tổng quan về VPN
Cấu hình VPN Client to Site
Giới thiệu : bài lab bao gồm những nội dung chính sau:
1 Cấu hình VPN Server bằng giao thức PPTP
2 Tạo user để VPN Client kết nối vào VPN Server
4 Cấu hình VPN server bằng giao thức L2TP
- Cài đặt Role Routing and Remote Access trên DC2
- Đặt IP cho các máy theo bảng sau:
Cấu hình VPN Server bằng giao thức PPTP
Remote access, chuột phải lên DC2, chọn
B3 : Màn hình configuration, chọn custom configurationnext
Configuration, đánh dấu chọn vào 2 ô :
VPN access & Lan routingNext Finish
B6 : Qua tab IPv4 , chọn Static Address
Ipv4 Address Range , nhập vào dãy địa chỉ sau :
Tạo user để VPN Client kết nối vào VPN Server
Ang Group , tạo user sau : user name : vpn, password : 123456 – lưu ý : bỏ dấu check ở tùy chọn User must change password at next log on
B2 : Chuột phải lên User vpn Properties Qua tab Dial-in, bên dưới mục Remote Access
VPN ), đánh dấu chọn vào ô Allow Access OK
B1 : Vào control panel network and sharing center
Set up a connection or network
To Connect Use my internet connection
Name, đặt tên cho kết nối, Vd:VPN connection
B6 : Màn hình tiếp theo, nhập vào user name và password của user vpn
Quá trình tạo kết nối thành công close
Settingchuột phải vào VPN connection vừa tạo, nhấn Connect
B8 : nhập vào username và password của vpn
Kết nối thành công Kiểm tra : mở CMD, gõ lệnh
IPCONFIG/ ALL, thấy đã nhận IP từ
Lần lượt ping đến các địa chỉ trong mạng nội bộ :
DC3 đã được VPN server cấp 1 địa chỉ
• Máy DC3 và DC1 liên lạc được với
B9: Chuột phải vào connection VPN connection , chọn satus
VPN đang kết nối bằng giao thức
Cấu hình VPN Server bằng giao thức L2TP
Remote Access chuột phải vào DC2 chọn
Security, đánh dấu chọn vào mục Allow custom IPsec policy for L2TP connection, mục Preshered key
DC2, chọn All taskRestart
• Thực hiện tại máy DC3
Connection, chuột phải vào VPN connection, chọn Properties
- Qua Tab Security bên dưới mục Type Of
L2TP/IPsec VPN, bên dưới chọn Advanced
- Mục IPsec Settings, chọn Use preshared key for authentication
- Chuột phải vào VPN connection, chọn
- Kiểm tra status,lúc này
VPN kết nối bằng giao thức L2TP
Cấu hình VPN Site to Site
Giới thiệu : bài lab bao gồm những nội dung chính sau:
- Cấu hình VPN server dùng giao thức PPTP
- Cấu hình VPN server dùng giao thức L2TP
Chuẩn bị : 4 máy Windows Server 2008 R2
- Đặt IP cho các máy tính theo bảng sau :
- Cài đặt rule routing and remote access, trên DC2 và DC3
To create a user on the DC2 machine, set the username as "saigon" and the password as "saigon." Right-click on the "saigon" user, select properties, and navigate to the Dial-in tab Under the Remote Access section, check the box for "Allow access," and then click OK to save the changes.
- Tương tự trên máy DC3, tạo user : vungtau , password : vungtau, chuột phải vào user vungtau, chọn propertiesqua tab Dial –in dưới mục
Remote Access Permission ( Dial –in or VPN ) , đánh dấu chọn vào ô
Cấu hình VPN server dùng giao thức PPTP
Remote Access, chuột phải lên DC2 , chọn
Configure and enable routing and remote access
Configuration, đánh dấu chọn vào 3 ô :
Network Interface , chọn New Demand –
Name gõ “ vungtau” vào ô Interface name
Lưu ý : interface name phải trùng với username đã tạo ra ở phần chuẩn bị
Connect using virtual PRIVATE network (VPN)
B8 : Màn hình VPN type, chọn Point to
gõ địa chỉ IP của máy DC3 là
Host name or IP address
Ptotocol and security, giữ nguyên như mặc định next
Route, cấu hình như sau :
B13 : Màn hình Dial out Credentials, nhập vào những thông tin sau :
B14 : Quay lại màn hình Routing And
Remote Access, chuột phải vào DC2, chọn
B15 : Qua tab IPv4, chọn Static Address
New Ipv4 address rangs nhập vào dãy IP sau :
Routing and remote access, chuột phải lên
B Máy DC3 : lặp lại các bước của phần A cấu hình VPN server trên máy DC2 cho máy DC3, thay đồi các thông tin sau:
- Tại bước khai báo Interface, Interface Name : saigon
- Tại bước khai báo Dial Out Credentials :
- Tại bước tạo Static Routes :
- Tại bước tạo Static address pool :
CMD gõ lệnh Ping địa chỉ IP máy DC4 là
Qua mục Ports , sẽ thấy kết nối dạng
- Nhận xét : 2 site saingon và vungtau đã kết nối thành công
Cấu hình VPN server bằng giao thức L2TP
B1 : Chuột phải vào connection vungtau, chọn Properties
Qua tab Security chọn Layer 2 tunneling …
Suthentication, khung key : nhập vào 123456
B2 : Quay lại màn hình Routing And
Remote Access, chuột phải vào DC2, chọn
B3 : Qua tab Security, bên dưới đánh dấu chọn vào mục Allow custom Ip sec policy for L2TP connection
Mục Preshered Key : nhập vào 123456
B Máy DC3 : thực hiện lại thao tác như trên DC2
CMD, gõ lệnh Ping địa chỉ IP máy DC4 là
Access, Connection vungtau , sẽ thấy connected
C Qua mục Ports, sẽ thấy kết nối dạng L2TP và Status là Active