# Nếu bạn có 5h để thực hiện bài lab này bạn có làm xong không? 🚀 **Khám phá ngay!** 👉
Bài Lab này được thiết kế nhằm cung cấp **một cái nhìn tổng quan và thực hành đầy đủ về quản trị hệ thống Windows Server và mạng doanh nghiệp** theo chương trình MCSA (mà cá nhân tôi đã được học).
Nội dung Lab bao gồm:
- **Cấu hình Domain Controller (DC1)**: tạo Domain, quản lý User/Group, phân quyền, bật Recycle Bin và thiết lập Group Policy.
- **Quản lý File Server**: tạo cây thư mục, phân quyền dữ liệu theo User và phòng ban, ánh xạ ổ đĩa mạng, cấu hình hạn ngạch lưu trữ.
- **Thiết lập Web Server (SVR1)**: cài IIS, tạo hai website, cấu hình hostname, quản lý quyền truy cập nội bộ và public.
- **Cấu hình Firewall Sophos**: mô hình 3-Leg Firewall, NAT, rule truy cập Internet và nội bộ, Web Protection với lọc nội dung web.
- **Cấu hình VPN và backup**: thiết lập Client-to-Site VPN, chứng thực qua RADIUS, phân phát IP cho client và sao lưu cấu hình Firewall.
Mục tiêu của bài Lab là giúp người học **thực hành toàn diện các thao tác quản trị hệ thống**, từ việc triển khai Domain Controller, quản lý User/Group, File Server, đến thiết lập Web Server và Firewall, qua đó củng cố kiến thức và kỹ năng vận hành môi trường mạng doanh nghiệp.
## Mục lục
1. [Cấu hình trên máy DC1](#cấu-hình-trên-máy-dc1)
2. [Cấu hình trên máy SVR1](#cấu-hình-trên-máy-svr1)
3. [Cấu hình trên Firewall](#cấu-hình-trên-firewall)
---
## Đây là mô hình bài LAB
## I. CẤU HÌNH TRÊN MÁY DC1
### 1. Xây dựng Domain-Join máy trạm
- Máy **DC1** là **Domain Controller** quản lý miền `Cty.net`.
#### Hình minh họa quá trình:
- Setup: Add Roles
- Nâng cấp lên DC: Promote this server
- Cài đặt DNS tự động trong quá trình nâng cấp DC
- Gia nhập máy trạm Windows10 (CL) vào Domain
- Tạo **Global Groups** và User:
| Nhóm | User |
|------------|----------------------------|
| kinhdoanh | tpkd, kd01, kd02 |
| ketoan | tpkt, kt01, kt02 |
| IT | administrator, it01, it02 |
- Có thể sử dụng `user.bat` để tạo nhanh user/group
### 2. Phân quyền, cấu hình thuộc tính User
- **it01**: Quản lý Account trong Domain
- **it02**: Backup dữ liệu
- **kd01**: Chỉ đăng nhập trên máy `PC-KD01`
- **kt01**: Chỉ đăng nhập trong giờ hành chính (9:00 – 16:00)
- Enable **Recycle Bin** trong Active Directory
### 3. Cấu hình Group Policy
- **Password Policy**: tối thiểu 3 ký tự, không yêu cầu phức tạp, tối đa 45 ngày
- **Cấm nhóm Ketoan** sử dụng Firefox, Chrome, truy cập Control Panel, ghi dữ liệu ra USB (trừ tpkt)
- Đến đây chúng ta cần **filter** lại các đối tượng sẽ bị áp dụng **GPO** này
### Lọc đối tượng áp dụng GPO – Cấu hình nâng cao
- Xác định các **Users/Groups** sẽ áp dụng GPO.
- **Ngoại lệ:** user `tpkt` **không bị áp dụng GPO**.
- Thao tác trên GPO:
1. Mở **Group Policy Management**.
2. Chọn GPO cần cấu hình.
3. Vào **Delegation** -> **Advanced**.
4. Chọn user `tpkt`.
5. Tick **Deny Apply Group Policy**.
### 4. Cấu hình lưu trữ - phân quyền truy cập dữ liệu
- **Tạo Volume RAID5** từ 4 ổ 20GB, đặt tên `DuLieu`, ký tự `G:`, FS = NTFS
- Xây dựng DC1 là File Server quản lý dữ liệu tập trung theo yêu cầu sau:
- **Tạo cây thư mục trên G:**
**Share Data** với `data`, quyền Everyone: Full
> **Lưu ý:**
> - Quyền **Share** xác định ai có thể **thấy được file/thư mục được chia sẻ** trên mạng.
> - Quyền **Truy cập (Read/Write/Execute)** được quản lý ở tab **Security**, quyết định **mức độ thao tác** trên file/thư mục đó.
- Phân quyền trên Data:
- Mỗi User toàn quyền trên thư mục của mình
### Tự động tạo thư mục cho user trên File Server
- Thay vì **tạo thủ công thư mục** cho từng user, ta có thể cấu hình để **mỗi user mới được tạo tự động có một thư mục trên File Server**.
- Thao tác:
1. Vào **User Properties** → **Profile** tab.
2. Tại **Home folder**, chọn **Connect** và gán ổ mạng tương ứng (ví dụ: `Z:`) tới đường dẫn trên File Server.
3. Sau khi Apply, để tránh lỗi, kiểm tra lại và đổi về **Local Path** → bấm **OK**.
- Kết quả: Khi user đăng nhập lần đầu, **thư mục cá nhân sẽ tự động được tạo trên File Server**.
- Thư mục **PUBLIC-CTY, PUBLIC-PKD, PUBLIC-PKT**: mọi người ghi dữ liệu, chỉ chủ sở hữu có toàn quyền
### Phân quyền trên thư mục Public Phòng Ban
- Tương tự như **PUBLIC-CTY**, cấu hình **PUBLIC-PKD** và **PUBLIC-PKT**:
- Chỉ xét quyền cho **User của Phòng Ban tương ứng**.
- Lưu ý đặc biệt (**Special Permissions**):
- **User khác không được phép xoá hoặc sửa file của user khác**.
- Chỉ chủ sở hữu file mới có toàn quyền trên file đó.
### 5. Tối ưu File Server
- **Ánh xạ ổ đĩa mạng tự động qua GPO:**
| Thư mục | Ổ đĩa | Tên |
|------------------|-------|-----------|
| Riêng | H: | CaNhan |
| Public Phòng Ban | K: | PhongBan |
| Public Cty | P: | CongTy |
### Kiểm tra ổ đĩa mạng được ánh xạ
- Sau khi ánh xạ ổ đĩa mạng cho user, kiểm tra trên máy tính của user:
- Các ổ được ánh xạ đều có dung lượng **30GB**, bằng với dung lượng của **ổ G:** trên File Server.
- **Hạn ngạch lưu trữ:** Public = 3GB, Thư mục riêng = 2GB
- Kiểm tra lại thấy dung lượng các ổ ánh xạ về user đã được hạn gạch
- **Chặn lưu các file Media/Executable trên Public**
## II. CẤU HÌNH TRÊN MÁY SVR1
### 1. Cài IIS và Website
- Cài IIS, tạo 2 website (SVR1 không join domain)
- Thư mục trên G: DC1: `WEB-CTY.VN`, `WEB-CTY.NET`
- Tạo homepage: `webnet.htm` (NET), `webgov.htm` (GOV)
- Share thư mục WEBSITE với `userweb` Full
### 2. IIS Host
- Host 2 site theo Hostname:
- `www.cty.vn` → `WEB-CTY.VN`
- `www.cty.net` → `WEB-CTY.NET`
### Lưu trữ dữ liệu website trên File Server
Nội dung website sẽ được **lưu trữ trên File Server**, do đó Web Server cần **kết nối tới File Server** để lấy dữ liệu.
Trên File Server, cần **share thư mục dữ liệu** cho Web Server.
Trên cả 2 máy chủ (Web Server và File Server) phải có **user giống nhau về username và password**.
- Ví dụ trong lab: `userweb` / `abc123!`
- Sau khi cấu hình, cần **Test Connect** từ Web Server tới File Server để đảm bảo Web Server có thể truy cập dữ liệu.
- Cho phép mọi người duyệt web.
- Lưu ý: Để truy cập các trang web theo **tên miền**, cần cấu hình **DNS** trên hệ thống:
- Tạo các **bản ghi (A/Host Record)** trỏ về **IP của Web Server**.
- Truy cập web thành công
### Tạo thư mục nội bộ trên Web Server
- Trong thư mục `WEB-CTYXX.GOV`:
- Tạo thư mục **noibogov**, chứa các tập tin/văn bản nội bộ.
- Cấu hình để **cho phép duyệt thư mục này**.
- Trong thư mục `WEB-CTYXX.NET`:
- Tạo thư mục **noibonet**, chứa tập tin `noibonet.htm` là trang tin nội bộ.
- Cấu hình để **cho phép truy cập thư mục này**.
- Sau khi cấu hình xong, tiến hành **truy cập web nội bộ** hoặc các thư mục được chia sẻ qua web để kiểm tra.
## III. CẤU HÌNH TRÊN FIREWALL
### 1. Cài Firewall – Thiết lập NIC – Firewall Rule
- Cài Firewall Sophos UTM
- Mô hình 3-Leg Firewall: Nic1-Internal, Nic2-DMZ, Nic3-External
- NAT tất cả các vùng ra External
- Firewall Rules:
- Internal truy cập Web, Mail, FTP
- Chỉ DC1 truy vấn DNS ngoài Internet, các máy khác truy vấn DNS nội bộ
- Web Server truy cập dữ liệu (CIFS) và DNS trên DC1
### 2. Cấu hình Web Protection – Publish Server
- Bật Filter Web theo chế độ **Transparent Mode** (không cần chứng thực user)
> Khi bật chế độ Filter Web, Sophos sẽ hoạt động như **Forward Proxy**
- Cấu hình Policy cho vùng **Internal**:
- Chặn website `GAMES` và `NUDE`
- Chặn `youtube.com` và `facebook.com`
- Chặn`Download>300 MB`
- Bật `Single Scan Antivirus`
- Policy áp dụng **toàn thời gian**
- Publish Web Server theo yêu cầu sau:
- Publish Web Server:
- Cho phép từ **ngoài Internet** truy cập 2 Website trên SVR1
- Sophos làm **Reverse Proxy**
> Reverse Proxy hỗ trợ nhiều trang web cùng chạy trên 1 port
- Join Sophos vào Domain `Cty.net`
### 3. Cấu hình VPN – Backup cấu hình
- Cấu hình VPN Server trên Sophos (Client to Site)
- Xác thực User qua **RADIUS** (Server là DC, Sophos là client)
- IP cấp phát cho client: **192.168.100.0/24**
- Giao thức: **L2TP/IPSec**, Preshare Key: `11223344`
- Cho phép user **tpkd** và **tpkt** sử dụng VPN
- Cho phép VPN Client kết nối đến **mọi vùng mạng**
- DNS cho VPN Client: IP của **máy DC**
- **Sao lưu cấu hình** Sophos Firewall vào máy DC1
Sign in with Wallet
Connect another wallet