1. Thông thường Account bị xoá nó cho vào OU có tên Loss & Found, còn Object và GPO bị xoá thì nó cho vào AD Recycle Bin. 2. Bạn có thể tham khảo: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/retore-deleted-accounts-and-groups-in-ad 3. Bài viết giới thiệu Cách khôi phục tài khoản đã bị xoá ở AD windows Server Lưu ý: Nếu AD bạn đang dùng là Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, và Windows Server 2012, thì có thể dùng Active Directory Administrative Center để bật tính năng AD Recycle Bin. 4 bước Enable the AD Recycle Bin on Windows Server 2016: Bạn có thể sử dụng Active Directory Administrative Center để bật tính năng AD Recycle Bin trên các phiên bản Windows Server như Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 và Windows Server 2012. AD Recycle Bin là một tính năng trong Active Directory cho phép khôi phục lại các đối tượng đã bị xóa, bao gồm cả tài khoản người dùng, nhóm, đơn vị tổ chức và các đối tượng AD khác. Khi tính năng AD Recycle Bin được bật, các đối tượng bị xóa không bị xóa hoàn toàn khỏi AD, mà chỉ được đánh dấu là bị xóa và vẫn có thể khôi phục lại. Để bật tính năng AD Recycle Bin bằng Active Directory Administrative Center, bạn có thể làm theo các bước sau: Bước 1 – Mở Server Manager Bước 2. Mở Active Directory Administrative Center trên máy chủ AD của bạn
Bước 3. Chuột phải vào tên miền trong cây thư mục và chọn “Enable Recycle Bin” (Bật Recycle Bin).
Bước 4. Thử nghiệm tình huống xoá tài khoản trong AD users
Sơ kết:
Phần 1. Mô hình triển khai vCenter Linked Mode: Lỗi cài và cấu hình ở giai đoạn 2 cho máy chủ vcenter Appliance Server 8.0 từ bộ cài VMware-VCSA-all-8.0.0-20920323.iso khi triển khai ở mô hình Linked mode (máy chủ vcenter Join sso domain, máy chủ vcenter Master đang chạy bình thường) Error: Failed to run vdcpromo Resolution: Please search of these symptoms in the VMware Knowledge Base for any known issues and possible workarounds. If none can be found, please collect a support bundle and open a support request. Hoặc nếu mất kết nối DNS server thì bị báo lỗi: Phần 2. Tìm phương hướng giải quyết
“Tôi đã cài thành công vCenter Appliance 8 và có SSO vsphere.local cùng với 1 máy ảo AD làm NTP server và đã cấu hình 02 ESXi chứa 2 vcenter appliance này đồng bộ NTP với AD rồi, nhưng khi thực hiện giai đoạn 2 cấu hình join farm link mode của vcenter appliance thứ 2 thì chỉ được có 4% báo lỗi: Error: Failed to run vdcpromo, Resolution: Please search of these symptoms in the VMware Knowledge Base for any known issues and possible workarounds. If none can be found, please collect a support bundle and open a support request. Bạn có cách nào xử lý lỗi triển khai link mode này ?”
Lưu ý rằng triển khai và cấu hình vCenter Appliance là quá trình phức tạp, và việc xử lý lỗi cụ thể đòi hỏi kiến thức và kỹ năng chuyên sâu. Nếu bạn không tự tin trong việc xử lý lỗi này, tôi khuyên bạn nên tìm sự hỗ trợ từ nhóm chuyên gia hoặc nhà cung cấp hỗ trợ của VMware Sơ bộ như vậy, cho ta thấy khả năng NTP đã không được đồng bộ giữa 2 ESXi với 2 VM vCenter và với cả AD Server đang host NTP server service. Các lỗi phổ biến nhất:
vì vậy trước khi triển khai và cấu hình, hãy kiểm tra 2 điều kiện tiên quyết viết trên. Tham khảo cách xử lý ở vCenter Appliance 7.0: https://polarclouds.co.uk/vcenter-without-dns-ntp/ Phần 3. Cách sửa lại gói cài vCenter Appliance 8.0.0.21560480
Sửa thành
Sau khi kéo thả các Folders, files vào trong UtraISO Premium Chỉnh lại kích thước ISO và đặt lại tên: Sau cùng là save lại thành file:
Phần 4. Cách sửa lại gói cài vCenter Appliance 8.0.1.21560480
Dưới đây là vCenter CLI Installer json được cập nhật để sửa lỗi dcvpromo:
Sửa thành và
Ngay sau khi bất cấu hình SSH và NTP thì chúng ta dùng PuTTy/WINSCP có thể mở kết nối tới VCSA 8: Kết quả sau khi cài thành công VCSA 8 chế độ linked mode Khi truy cập vào 1 vcenter appliance lập tức sẽ thấy 2 vcenter linked mode với nhau Còn vcva1
Phụ lục: các cách lòng vòng để sửa lỗi NTP và DNS không thành công:
Đây là ESXi chứa vCenter Appliance Master:
Lưu ý:
Lại báo lỗi:
Hệ thống cài đặt tiếp giai đoạn 2 sẽ có 3 cách lựa chọn đồng bộ giờ: Cách 1. Sẽ không đồng bộ giờ với ESXi hoặc NTP Server
Cách 2. Stop NTP trên ESXi và đồng bộ giờ manual Tóm lại, Kết quả vẫn bị lỗi Ngay ở giải đoạn 2 khi cấu hình tự động sau 4% báo lỗi. Bối cảnh dẫn tới việc phải thay đổi cấu hình RDP: Cài đặt chứng chỉ cho kết nối Remote Desktop Trong bài viết này, chúng tôi sẽ hướng dẫn cách sử dụng chứng chỉ SSL/TLS đáng tin cậy để bảo mật các kết nối RDP tới máy tính hoặc máy chủ Windows trong miền Active Directory. Chúng tôi sẽ sử dụng chứng chỉ SSL đáng tin cậy thay vì chứng chỉ RDP tự ký mặc định (khi đó sử dụng chứng chỉ RDP tự ký, người dùng sẽ nhận được cảnh báo rằng chứng chỉ không đáng tin cậy khi kết nối với máy chủ). Trong ví dụ này, chúng tôi sẽ định cấu hình mẫu chứng chỉ RDP tùy chỉnh trong Cơ quan cấp chứng chỉ và Chính sách nhóm để tự động cấp và liên kết chứng chỉ SSL/TLS với Dịch vụ máy tính từ xa. Cảnh báo chứng chỉ tự ký kết nối máy tính từ xa (RDP) Theo mặc định, để bảo mật phiên RDP, Windows sẽ tạo chứng chỉ tự ký. Trong lần kết nối đầu tiên với máy chủ RDP/RDS bằng ứng dụng khách mstsc.exe, người dùng sẽ thấy cảnh báo sau: Không thể xác thực máy tính từ xa do có vấn đề với chứng chỉ bảo mật của nó. Có thể không an toàn để tiếp tục. Lỗi chứng chỉ: Chứng chỉ không phải từ cơ quan chứng nhận đáng tin cậy. Để tiếp tục và thiết lập kết nối RDP, người dùng phải bấm Có. Để ngăn cảnh báo chứng chỉ RDP xuất hiện mọi lúc, bạn có thể chọn tùy chọn “Đừng hỏi lại tôi về kết nối với máy tính này”. Trong trường hợp này, dấu vân tay chứng chỉ RDP được lưu trong tham số CertHash của khóa đăng ký cùng với lịch sử kết nối RDP trên máy khách (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\). Nếu bạn đã ẩn cảnh báo rằng không thể xác minh máy chủ RDP, hãy xóa dấu vân tay chứng chỉ khỏi sổ đăng ký để đặt lại cài đặt. Cài đặt chứng chỉ cho kết nối Remote Desktop của máy bạn đang dùng mstsc để remote, mở regedit kiểm tra Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers Ở đây ta thấy không có tham số: CertHash, REG_BINARY và value không có Phần 1. Tạo mẫu chứng chỉ RDP trong máy chủ cấp chứng chỉ (CA): Hãy thử sử dụng chứng chỉ SSL/TLS đáng tin cậy do máy chủ cấp chứng chỉ của đơn vị bạn để bảo mật các kết nối RDP. Sử dụng chứng chỉ này, người dùng có thể xác thực máy chủ RDP khi kết nối. Giả sử rằng Máy chủ cấp chứng chỉ Microsoft của công ty đã được triển khai trong miền của bạn. Trong trường hợp này, bạn có thể định cấu hình tự động phát hành và kết nối chứng chỉ với tất cả máy tính và máy chủ Windows trong miền. Bạn phải tạo một loại mẫu chứng chỉ mới cho máy chủ RDP/RDS trong CA của mình: Chạy bảng điều khiển của Tổ chức phát hành chứng chỉ và đi tới phần Mẫu chứng chỉ; Sao chép mẫu chứng chỉ Máy tính (Certificate Templates -> Manage -> Computer -> Duplicate); Trong tab Chung, chỉ định tên của mẫu chứng chỉ mới – RDPTemplate. Đảm bảo rằng giá trị trong trường Tên Mẫu khớp với tên hiển thị Mẫu; Trong tab Tương thích, chỉ định phiên bản máy khách tối thiểu được sử dụng trong miền của bạn (ví dụ: Windows Server 2008 R2 cho CA và Windows 7 cho máy khách của bạn). Do đó, các thuật toán mã hóa mạnh hơn sẽ được sử dụng; Sau đó, trong phần Chính sách ứng dụng của tab Tiện ích mở rộng, hãy giới hạn phạm vi sử dụng của chứng chỉ ở Xác thực máy tính từ xa (nhập mã định danh đối tượng sau – 1.3.6.1.4.1.311.54.1.2). Nhấp vào Thêm -> Mới, tạo chính sách mới và chọn nó; Trong cài đặt mẫu chứng chỉ (Tiện ích mở rộng chính sách ứng dụng), xóa tất cả các chính sách ngoại trừ Xác thực máy tính từ xa; Cài đặt chứng chỉ cho kết nối Remote Desktop Để sử dụng mẫu chứng chỉ RDP này trên bộ điều khiển miền của bạn, hãy mở tab Bảo mật, thêm nhóm Bộ điều khiển miền và bật tùy chọn Đăng ký và Tự động đăng ký cho nó; Lưu mẫu chứng chỉ; Sau đó, trong phần đính vào mmc của Tổ chức phát hành chứng chỉ, nhấp vào thư mục Mẫu chứng chỉ và chọn Mới à Mẫu chứng chỉ cần phát hành chọn mẫu bạn đã tạo (RDPTemplate); Phần 2. Triển khai chứng chỉ SSL/TLS RDP bằng Chính sách nhóm “GPO” trên máy chủ AD-DC: Bây giờ bạn cần cấu hình GPO miền để tự động gán chứng chỉ RDP cho máy tính/máy chủ theo mẫu đã cấu hình.
Mở máy chủ CA Server > Certification Authority Server: Một hướng dẫn trên mạng, tôi có thử nghiệm và thấy chúng không có giá trị nhưng vẫn viết ra đây để các bạn thấy:
Get-Service TermService -ComputerName AD_BDC| Restart-Service –force –verbose Sau đó, khi kết nối với máy chủ bằng RDP, bạn sẽ không thấy yêu cầu xác nhận rằng chứng chỉ là đáng tin cậy (để xem yêu cầu, hãy kết nối với máy chủ, chứng chỉ được cấp để sử dụng địa chỉ IP của nó thay vì FQDN). Nhấp vào Xem chứng chỉ, chuyển đến tab Chi tiết và sao chép giá trị trong trường Dấu vân tay Thumbprint Tiếp tục dùng mmc > Certificate của chính máy cần remote bằng RDP Phần 3. Cấu hình Remote Desktop bật NLA ở máy chủ cần remote tới: Ví dụ 1: Win 7 x64 Professional Như vậy, kết quả việc cấu dùng mstsc /admin trên máy Win7 x64:
Tham khảo: https://learn.microsoft.com/en-us/troubleshoot/azure/virtual-machines/credssp-encryption-oracle-remediation
Ví dụ 2: Windows 10 x64 Hoặc Như vậy, kết quả dùng mstsc /admin Và kết nối thành công Muốn bỏ được màn thông báo này, thì máy PC đang được remote này cần phải được cấu hình mmc /admin Chúng ta sẽ copy /paste lại Certhash ở mục Thumbprint này và dán vào Regedit của máy bạn đang dùng mstsc remote Tóm lại: ở phía máy PC có dùng mstsc Thực tế, các bước dài dòng ở phần trên: xem chữ ký số và sao chép thumbprint chỉ liên quan tới phần mềm mstsc /admin remote của client. Chúng ta không nhất thiết dùng những loại phần mềm công cụ này, có thể thay sang mRemoteNG client hoặc dùng HTML5 Web, máy chủ Guacamole, Cloud Edge để cấu hình kiểu PAM ấn định kết nối RDP 3389 và kiểu NLA là gọn nhẹ đơn giản cho người dùng cũng như quản trị Admin. Ví dụ 1: Quản trị sẽ cấu hình PAM kết nối RDP tới máy vật lý hoặc máy ảo Windows 10 Pro x64 như sau Và người dùng chỉ cần có Tài khoản và quyền ACL để truy cập qua Web HTML5 Ví dụ 2: cấu hình mRemoteNG (có tham số: Use CredSSP: yes) Phần 1. Một số khái niệm căn bản:
Tham khảo: https://docs.microsoft.com/en-us/windows-server/get-started/kms-client-activation-keys Phần 2. Các bước dựng máy chủ KMS Server trong nội bộ mạng của bạn:
wget https://raw.githubusercontent.com/PhDLeToanThang/kms/master/kms_server.sh && bash sh kms_server.sh
Phần 3. Chuyển sang máy trạm Windows / Office desktop cần Active: Ví dụ 1: tại máy chạy windows 10 / 11: Bước 1. Mở Windows Power Shell hoặc Command Line: cmd /admin
Giải thích lệnh số 3: Máy chủ IP4_KMS_Server sau khi dựng ở phần 2 sẽ có IPv4 nội mạng và port 1688 được mở thông trong mạng LAN,Ví dụ: máy chủ tôi dựng thành Ubuntu 20.04 thành công có Ipv4: 192.168.100.79:1688,
Ví dụ 2: tại máy chủ chạy windows 2019 Data Center License:
Ví dụ 3: Active Office 2016 trên Win 7 Pro x64: Khi login vào máy win 7×64 pro
hoặc CD C:\Program Files (x86)\Microsoft Office\Office16 # Giải thích lệnh số 1: do tôi cái Microsoft Office 2016 x64 bit trên bản OS Windows 7 x64 Pro nên thư mục vẫn được cài chính trên Program Files (x86)
# Giải thích lệnh số 4: vì chúng ta đã dựng 1 máy chủ kms server trong nội bộ, nên tôi sẽ nhập là: cscript ospp.vbs /sethst:192.168.100.79
# Giải thích lệnh số 5: mở trang web của Microsoft GVLKs để lấy đúng key Microsoft Office 2016, nên tôi sẽ nhập là: cscript ospp.vbs /inpkey:XQNVK-8JYDB-WJ9W3-YJ8YR-WFG99
# Giải thích lệnh số 7: option to check the license state for all Office clients hoặc cscript ospp.vbs /dstatus ( option to check the status of the local client).Kết quả Activated: Phần 1. Các bước cài Windows 2019 core và thêm RRAS Để cài Windows 2019 Core và thêm RRAS, bạn cần thực hiện các bước sau:
Tham khảo ý kiến: Câu hỏi: Có nên cài Windows 2019 core và cấu hình Secondary Domain Controller với RRAS và File Server Witness? AI trả lời: một câu hỏi có tính chất ý kiến và không có câu trả lời chính xác. Tuy nhiên, chúng ta có thể cung cấp một số thông tin có thể quyết định. Windows 2019 Core là phiên bản Windows Server không có giao diện người dùng đồ họa. Điều này mang lại một số lợi ích như:
Secondary Domain Controller là một máy chủ Active Directory dự phòng cho Primary Domain Controller. Nó giúp duy trì tính sẵn sàng cao và khả năng phục hồi của dịch vụ xác thực và phân quyền trong mạng. Nó cũng giúp cân bằng tải và giảm thiểu rủi ro mất dữ liệu. RRAS (Routing and Remote Access Service) là một dịch vụ cho phép bạn cấu hình các chức năng định tuyến và truy cập từ xa trên máy chủ Windows. Nó giúp bạn kết nối các mạng khác nhau, tạo các kết nối VPN, NAT, DHCP Relay Agent và các giao thức định tuyến khác. File Server Witness là một chia sẻ SMB mà Failover Cluster sử dụng như một phiếu bầu trong quorum của cluster. Nó giúp duy trì tính nhất quán và liên tục của cluster khi có sự cố xảy ra với các node hoặc đĩa chứa dữ liệu. Việc cài Windows 2019 Core và cấu hình Secondary Domain Controller với RRAS và File Server Witness có thể phù hợp với một số trường hợp như:
Tuy nhiên, việc này cũng có thể gặp một số khó khăn như:
Mục đích:
Hạn chế: Tùy thuộc vào các mục đích và yêu cầu của bạn, bạn có thể lựa chọn giải pháp phù hợp cho môi trường của bạn. Tuy nhiên, bạn cũng cần lưu ý các điều kiện và hạn chế sau: • Windows 2019 core là phiên bản nhẹ của Windows Server 2019, chỉ có giao diện dòng lệnh và PowerShell. Bạn sẽ không có sự hỗ trợ của các công cụ quản trị đồ họa như Server Manager hay MMC. Bạn cũng sẽ không thể chạy các ứng dụng GUI trên Windows 2019 core. Bạn sẽ phải quản lý Windows 2019 core từ xa bằng các công cụ như Windows Admin Center, Remote Server Administration Tools (RSAT), hoặc Remote Desktop Services (RDS). • Secondary Domain Controller là một máy chủ Active Directory dự phòng cho Primary Domain Controller. Nó sẽ đồng bộ hóa dữ liệu và cài đặt với Primary Domain Controller và có thể thay thế nó trong trường hợp xảy ra sự cố. Tuy nhiên, để cấu hình Secondary Domain Controller, bạn cần có kết nối mạng ổn định và an toàn với Primary Domain Controller. Bạn cũng cần phải thực hiện các bước sau:
• RRAS là Routing and Remote Access Service: một vai trò của Windows Server cho phép kết nối các mạng con và cho phép truy cập từ xa. RRAS có thể cấu hình các chức năng như VPN, NAT, DHCP Relay Agent, v.v. Tuy nhiên, để cấu hình RRAS trên Windows 2019 core, bạn cần phải thực hiện các bước sau:
• File Server Witness là một chia sẻ tệp SMB mà Failover Cluster sử dụng như một phiếu bầu trong quorum. File Server Witness có thể giúp giải quyết tình huống phân chia não khi có sự cố mạng giữa các nút trong cluster. Tuy nhiên, để cấu hình File Server Witness trên Windows 2019 core, bạn cần phải thực hiện các bước sau:
Phần 2. Các bước cài Windows 2019 Core, AD-DC Secondary Domain Controller-DNS-DHCP, RRAS, FSW: Bước 1. Cấu hình VM và thiết lập tài nguyên cho Windows 2019 core:
Chọn PCIV amd64 và load Driver, sau đó Format ổ VD0 Sau khi cài mật khẩu cho Account Admin Local, chúng ta sẽ cấu hình máy chủ Windows core 2019 thông qua CMD /Admin Dùng lệnh sconfig để cấu hình: Network, NTP time, Join Domain, Đổi tên Computer Name. Cấu hình Card mạng số 1: Cấu hình Card mạng số 2: Cấu hình Data and Time theo NTP server (172.20.10.10)
Set-ItemProperty -Path ‘HKLM:\Software\Microsoft\Windows NT\CurrentVersion\WinLogon’ -Name Shell -Value ‘PowerShell.exe’. Kiểm tra phiên bản: Dùng lệnh: Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer. Kiểm tra nhóm Administrators của máy Local phải có thành viên Admin của Domain: Gõ lệnh: Get-LocalGroupMember “Administrators”. Gõ lệnh: Add-LocalGroupMember -Group “Administrators” -Member “vclass\Administrator” Bước 2. Cài đặt vai trò Active Directory Domain Services (AD DS) trên Windows 2019 core.
Dùng powershell gõ lệnh: Install-WindowsFeature -Name AD-Domain-Services –IncludeManagementTools -Verbose
Tham khảo: https://learn.microsoft.com/en-us/windows-server/administration/server-core/server-core-administer
Install-ADDSDomainController -DomainName vclass.local -Credential (Get-Credential) -SiteName Default-First-Site-Name -InstallDns:$true
Kiểm tra hoạt động của vai trò AD-DC bằng lệnh PowerShell: Test-ADDSDomainControllerInstallation
Để xem máy chủ nào là PDC trong miền hiện tại, bạn có thể sử dụng lệnh PowerShell: Get-ADDomain | Select-Object PDCEmulator hoặc cmdlet: netdom query fsmo Hoặc • Để xem danh sách các máy chủ BDC trong miền hiện tại, bạn có thể sử dụng lệnh PowerShell: Get-ADDomainController -Filter * | Select-Object Name hoặc cmdlet: nltest /dclist:<domain_name> • Để xem danh sách các máy chủ GC trong rừng hiện tại, bạn có thể sử dụng lệnh PowerShell: Get-ADForest | Select-Object GlobalCatalogs hoặc cmdlet: nltest /dsgetdc:<domain_name> /GC • Để kiểm tra tình trạng sao lưu và phục hồi của cơ sở dữ liệu AD-DC trên một máy chủ, bạn có thể sử dụng lệnh PowerShell: Get-ADDatabaseMountStatus -Identity <server_name> hoặc cmdlet: ntdsutil “activate instance ntds” “snapshot” “list all” Bước 3. Cài RRAS trên máy chủ Windows 2019 core: • Cài đặt vai trò RRAS trên Windows 2019 core Install-WindowsFeature RemoteAccess -IncludeManagementTools • Cấu hình các thiết lập về giao thức, giao diện, bảo mật, xác thực, v.v. bằng PowerShell hoặc RSAT Install-WindowsFeature RSAT-RemoteAccess-PowerShell No need to restart the computer Install the Routing feature by: Install-WindowsFeature Routing Gõ Restart-Computer hoặc shutdown -r -f -t 0 để restart the computer. – Cấu hình dịch vụ RRAS bằng lệnh PowerShell: Install-RemoteAccess -VpnType RoutingOnly – Cài đặt các giao thức định tuyến mà bạn muốn sử dụng bằng lệnh PowerShell, ví dụ: Install-WindowsFeature Routing -IncludeManagementTools để cài đặt giao thức RIP – Kiểm tra và giám sát hoạt động của RRAS bằng PowerShell hoặc RSAT Dùng PC Windows 10/11 hoặc AD-DC PDC có giao diện để kiểm tra cTham khảo: File Server Witness là một chia sẻ SMB mà Failover Cluster sử dụng như một phiếu bầu trong quorum của cluster https://learn.microsoft.com/en-us/windows-server/failover-clustering/file-share-witness . Để cài File Server Witness trên nền Windows 2019 Core, bạn cần thực hiện các bước sau: • Cài đặt File Services Role trên máy chủ Windows 2019 Core bằng lệnh PowerShell: Install-WindowsFeature -Name FS-FileServer https://4sysops.com/archives/how-to-install-file-services-on-server-core/ • Tạo một tài khoản người dùng cục bộ trên máy chủ Windows 2019 Core (ví dụ: FSW-ACCT) và đặt mật khẩu cho nó https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149 • Tạo một thư mục trên máy chủ Windows 2019 Core và chia sẻ nó ra (ví dụ: SHARE) https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149 • Cấp quyền đầy đủ cho tài khoản người dùng cục bộ (FSW-ACCT) trên chia sẻ này https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149 • Kết nối cluster với chia sẻ này bằng lệnh PowerShell: Set-ClusterQuorum -FileShareWitness \\Server\Share -Credential $(Get-Credential) https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149 Tham khảo: https://www.eve-ng.net/index.php/documentation/howtos/howto-create-own-windows-server-on-the-eve/ Chúng tôi đang sử dụng: SERVER_2019_EVAL_x64FRE_en-us_1.iso. Đảm bảo rằng tên bản phân phối không có khoảng trắng trong tên tệp! Quy trình này giống với mọi máy chủ Windows Server phiên bản 2008, 2012, 2016, 2019 khác. Bước 1. Tạo một thư mục mới cho hình ảnh này theo quy ước đặt tên: mkdir /opt/unetlab/addons/qemu/winserver-2019/ Bước 2. Use WinSCP kết nối tới EVE-NG và sao chép distro ISO image into the newly created directory path: /opt/unetlab/addons/qemu/winserver-2019/ Bước 3. Chuyển đến thư mục đó qua CLI cd /opt/unetlab/addons/qemu/winserver-2019/ Bước 4. Đổi tên tệp ISO này thành cdrom.iso mv SERVER_2019_EVAL_x64FRE_en-us_1.iso cdrom.iso Bước 5. Tạo một đĩa cứng ảo mới có tên virtioa.qcow2. Kích thước bạn có thể chọn theo nhu cầu của bạn. Ví dụ này được sử dụng ổ cứng 64Gb. /opt/qemu/bin/qemu-img create -f qcow2 virtioa.qcow2 64G Bước 6. Tạo một phòng thí nghiệm mới và thêm nút winserver-2019 mới được tạo Bước 7. Kết nối nút với đám mây/internet mạng LAN tại nhà của bạn để nút có thể nhận các bản cập nhật từ internet. Bước 8. Bắt đầu nút bên trong phòng thí nghiệm và tùy chỉnh cài đặt Windows Server của bạn theo ý muốn, vì bạn đã kết nối nó với mạng LAN và internet tại nhà, quá trình cài đặt này sẽ giống như bất kỳ cài đặt Windows thông thường nào. Bước 9. QUAN TRỌNG: Khi cài đặt windows yêu cầu bạn chọn ổ cứng HDD để cài đặt Windows Server, chọn Tải trình điều khiển, Duyệt, chọn FDD B/storage/2003R2/AMD64, (AMD64 nếu bạn đang cài đặt 64 bit), nhấp vào tiếp theo và bạn sẽ thấy HDD RedHat VIRTIO SCSI HDD bây giờ. Bước 10. Chọn HDD này và tiếp tục cài đặt Windows Server như bình thường. Bước 11. Tùy chọn: nếu bạn muốn sử dụng hình ảnh này với bảng điều khiển EVE RDP, thì bạn phải cho phép RDP trên máy Windows này và tạo người dùng và mật khẩu. Trong ví dụ này, chúng tôi sử dụng quản trị viên/Test123. Đảm bảo rằng trong Tường lửa của Windows, các quy tắc gửi đến Truy cập từ xa được phép truy cập Công khai. administrator/Test123. Bước 12. Hoàn tất cài đặt và tắt máy ảo đúng cách từ bên trong VM OS. Bắt đầu/tắt máy QUAN TRỌNG: Cam kết cài đặt để đặt nó làm hình ảnh mặc định để sử dụng thêm trong EVE-NG: Bước 13. Trên thanh bên trái trong phòng thí nghiệm trong Giao diện người dùng web EVE, chọn “Chi tiết phòng thí nghiệm” để nhận chi tiết UUID của phòng thí nghiệm của bạn: Trong ví dụ này: UUID: 3491e0a7-25f8-46e1-b697-ccb4fc4088a2 Bước 14. Tìm ra POD ID của nút đã sử dụng và ID nút của nút mới được cài đặt của bạn. Số POD được gán cho tên người dùng của bạn và có thể tìm thấy trong GUI EVE, Quản lý/Quản lý người dùng. Người dùng Quản trị sử dụng POD số 0 theo mặc định. Có thể lấy ID nút bằng cách nhấp chuột phải vào nút trên cấu trúc liên kết. Trong ví dụ này là 8 Bước 15. Từ EVE CLI, định vị hình ảnh đã cài đặt và cam kết các thay đổi của bạn sẽ được sử dụng làm mặc định để sử dụng thêm trong EVE-NG: cd /opt/unetlab/tmp/0/3491e0a7-25f8-46e1-b697-ccb4fc4088a2/8/ /opt/qemu/bin/qemu-img commit virtioa.qcow2 Bước 16. Xóa cdrom.iso khỏi thư mục: /opt/unetlab/addons/qemu/ winserver-2019/ cd /opt/unetlab/addons/qemu/winserver-2019/ rm -f cdrom.iso Bước 17. Kiểm tra máy chủ Windows 2019 đã cài AD-DC DNS, DHCP, CA… Bài 1. Phân tích sơ bộ mô hình triển khai ADFS 2019 và CA 2019 làm SSO với Ứng dụng MFA, tOTP: Các thành phần để triển khai hệ thống MS-ADFS làm hệ thống xác thực định danh, đăng nhập 1 lần, dùng trung AD Users, cấp chữ ký số Domain Trusted CA và thêm MFA, tOTP, QRcode Local cho các thiết bị di động làm xác thực 2 yếu tố sẽ gồm:
Lưu ý: không nên cài AD-RMS hoặc AD-DC cùng với ADFS và càng không nên cài cùng CA2019, do khi cài ADFS hoặc CA server vào cùng sẽ khoá việc thay đổi chỉnh sửa Domain Controller hoặc các dịch vụ có liên quan như: RMS, DHCP, DNS, RRAS, VPN … Sơ đồ hệ thống: Bài 2. Triển khai máy chủ CA 2019 và Export Cert Trusted Root CA cho MS-ADFS
Sau khi cài xong .NET Framework 3.5
Chú ý: chọn Subject Name, Format: Common name, DNS name
Bài 3. Cấu hình ADFS2019 1 lần duy nhất để kiểm tra:
PS C:\Windows\system32>Get-AdfsEndpoint | select FullUrl | clip
https://adfs2019.company.vn/adfs/ls/idpinitiatedsignon.aspx Màn login Như vậy chúng ta vừa kiểm tra tính năng Weblogin https://adfs2019.company.vn/adfs/ls/idpinitiatedsignon?client-request-id=abbyy-ccf1-23400-0000-0010070000cd
https://adfs2019.company.vn/adfs/ls/idpinitiatedsignon.aspx Tham khảo: https://learn.microsoft.com/en-us/powershell/module/adfs/get-adfssslcertificate?view=windowsserver2022-ps Get-AdfsSslCertificate Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration
Use this URL whenever vCenter asks for the OpenID Address Bài 4. Cấu hình xuất và nhập CA Trusted Root của CA2019 cho vCenter 7x:
Màn hình vCenter 7x nguyên gốc sau khi cài và cấu hình chạy vCenter Appliance 7x chỉ có 4 mẫu chứ ký số issue, chưa có chữ ký số của CA 2019
Lưu ý:
Bài 5. Cấu hình vCenter 7x ADFS với máy chủ ADFS 2019 server:
Sau khi cấu hình thành công phần bên vCenter 7x và bên ADFS 2019, bên ADFS 2019 tiếp tục edit Bên ADFS 2019 sẽ cấu hình thêm các rules để gửi Account, UPN, Email, Device code… để gửi cho vcenter 7x khi login thành công Tạo nhóm: Tạo tiếp Kết thúc phần tạo Rules cho vCenter 7x MFA – Web API Properties: Bài 6. Kiểm tra cấu hình và phân quyền truy cập qua ADFS Hệ thống thông báo re-direct to URL ADFS server Nếu Account bạn đăng nhập lại chưa được phân quyền truy cập vào vcenter 7x thì sẽ có báo lỗi
Hệ thống tự động đổi sang dạng xác thực SAML2 của VMware vSphere. P.S: Khi truy cập được vCenter bằng Account [email protected] thì chúng ta phân quyền để cho các Groups hoặc User AD cụ thể được quyền truy cập thì việc SSO, ADFS và cấp quyền xác thực qua MFA, tOTP sẽ dễ dàng thực hiện được tiếp theo.
Mong muốn đơn giản là làm sao khi các VMs đã được dựng chạy sẽ cần bổ sung các phần mềm hỗ trợ cài thêm trong Labs (Admin quản trị sẽ không muốn người dùng cài, cấu hình tuỳ chỉnh nhưng phần mềm này nữa, trong các bài Labs thực hành online giảng dạy càng cần vấn đề này).
Hình mình hoạ về việc bổ sung các phần mềm vào ISO boot của các Node có trong EVE-NG
Apple OSX, Apple MacOS Simple KVM, Android VM, CheckPoint Security Gateway VE, Cisco ACS, Cisco AMP Cloud, Cisco ASA, Baraccuda NGIPS, Cisco IPS, Cisco UCCX, F5 BIG-IP LTM VE, Fortinet Fortigate, Dell OS10 Virtualization, Cyberoam FW, Citrix Netscaler, Citrix SD-WAN, Forcepoint NGFW, Forcepoint SMC, FreeBSD, FreeNAS NAS, HP VSR1000, Juniper 128T, Juniper vMX CVP, Juniper vMX, Juniper vSRX NextGen, Kemp LoadMaster, Kerio Control FW, Linux, MikroTik RouterOS, NewImage, Nokia 7750 VSR NG, OPNsense, Netropy Network Emulator, Ostinato, Palo Alto, Palo Alto Panorama, pfSense Firewall, Pulse Secure, Radware AlteonVA, S-Terra, Silver Peak Unity Edge, IoT Hub , Frog Network, Cloud Edge ATC, Sonic Switch, SonicWall FW, Sophos UTM, Sophos XG, Stormshield UTM FW, TrenMicro vTPS, Velocloud Edge, Velocloud Gateway, Velocloud Orchestrator, Versa Analytics, Versa Director, Versa FlexVNF, VMware ESXi, VMware vCenter, VMware NSX, VMware Cloud Foundation SDC, VMware vRealize Automation, VMware vSAN, VyOS, WatchguardFW. Windows, Windows Server, Zabbix Monitoring, VMTurbonomic, Veeam ONE, VeeamBackupFarm, Z-Scaler vZEN Edge, Viptela vSmart, Viptela vManage…
Bước 1. Mở thư mục chưa Files ISO cài windows 2019: Bước 2. Giải nén ra 1 thư mục file ISO (bằng 7.zip là chắc chắn nhất) Bước 3. Giải nén và thêm thư mục cũng như đưa các phần mềm bổ sung vào thư mục này Sau khi cho thêm các phần mềm cần thiết Bước 4. Download, cài đặt phần mềm ImgBurn (download: https://download.imgburn.com/SetupImgBurn_2.5.8.0.exe ) Bước 5. Chạy phần mềm ImgBurn và click tạo Image File từ thư mục đã giải nén bước 1,2 Máy laptop của tôi không có CDR/W physical nên báo lỗi, bấm Cancel bỏ qua Bấm tiếp nút Create image file from files/folders Bước 6: Chuyển sang Advanced tab. Tiếp theo bấm vào tab Bootable Disc ở phía dưới sau khi bấm được Advanced tab. Bước 7: Tiếp theo bấm vào biểu tượng Browser “thư mục và kính lúp) ở dưới phần Source và duyệt qua thư mục mới chứa nội dung của tệp ISO đã giải nén bằng 7.zip cùng với các tệp/ thư mục mới được thêm vào. Sau khi hoàn tất, hãy chọn một vị trí để lưu tệp ISO có thể khởi động mà bạn sẽ tạo trong vài phút. Để làm như vậy, chỉ cần nhấp vào biểu tượng duyệt bên cạnh hộp Đích đến rồi chọn thư mục vị trí cần lưu file ISO và nhập tên File iso mới này (luôn nhập là: cdrom.iso). Bước 8: Ở Bootable Disc tab, chọn tuỳ chọn nhãn Make Image Bootable, chọn loại mô phỏng Emulation type là None (Custom), và nhập vào Ô Sectors To Load là 8 “kiểu Server”.
Bước 9: Cuối cùng, bấm vào biểu tượng duyệt ở phía cạnh hộp Boot Image và chọn thư mục Boot nằm trong thư mục mới tạo mà bạn đã lưu nội dung ở tệp ISO đã giải nén. Chọn tệp có tên tệp etfsboot.com rồi nhấp vào nút Mở. Bước 10: Nhấp vào nút Build để bắt đầu quá trình tạo lại tệp Image Bootable ISO có thể khởi động Windows. Nhấp vào Yes hoặc OK khi bạn thấy ba hộp thoại sau để tiếp tục xây dựng tệp ISO. Kết quả sau khi dùng ImgBurn đóng gọi lại File ISO bootable cài windows 2019 cùng bổ sung các phần mềm cần thêm cho Tool Training Labs Bước 11. Giờ thì mình dùng WINSCP kết nối SSH tới máy chủ EVE-NG
Sau khi đẩy hoàn chỉnh file cdrom.iso lên máy chủ EVE Bước 12. Khởi động lại VM Windows 2019 để nhận lại mount cdrom.iso Đăng nhập bằng cách bấm tổ hợp: Ctrl + Alt và phím Delete và gõ mật khẩu trực tiếp vào thanh Input keyboard Vào ổ CDrom và bắt đầu cài các ứng dụng đã được bổ sung trong file cdrom.iso Phần 1. Cách chuyển bộ cài máy chủ vCenter Appliance 7x/8x thành Template VMs trong EVE-NG: Các bước bên dưới dựa trên việc tạo VMWare vCenter 7x/ 8x, để triển khai hình ảnh khác, hãy sử dụng tên riêng tương ứng với Model Labs của bạn. Lưu ý trước khi thực hiện:
Tham khảo: https://www.eve-ng.net/index.php/documentation/howtos/howto-add-vm-ware-vcenter/ Bước 1. Dùng 7.zip mở file vcenter Appliance 7.x hoặc 8.x .iso
Bước 2. Mở WINSCP kết nối máy chủ EVE-NG và tạo thư mục /root/vcva7 Hoặc dùng lệnh SSH login user: root tạo lệnh cli thư mục chưa vCenter Appliance 7 ova hoặc vcenter 8 ova Bước 3. Giải nến file OVA image. Bước 4. Tạo thư mục chứa VM templates của vCenter appliance 7.x/8.x Bước 5. Convert first 3 vmdk HDDs to the qcow2 format. qemu-img convert -O qcow2 -c VMware-vCenter-Server-Appliance-8.0.0.10100-20920323_OVF10-disk1.vmdk /opt/unetlab/addons/qemu/vcenter-8.0/sataa.qcow2 qemu-img convert -O qcow2 -c VMware-vCenter-Server-Appliance-8.0.0.10100-20920323_OVF10-disk2.vmdk /opt/unetlab/addons/qemu/vcenter-8.0/satab.qcow2 qemu-img convert -O qcow2 -c VMware-vCenter-Server-Appliance-8.0.0.10100-20920323_OVF10-disk3.vmdk /opt/unetlab/addons/qemu/vcenter-8.0/satac.qcow2 Bước 6. Truy cập về thư mục /vcenter8 và tạo thêm 14 ổ VD / tổng 17 ổ VD (lưu ý: vCenter 7 có 16 ổ VD, vCenter 6.5: 13 ổ VD) cd /opt/unetlab/addons/qemu/vcenter-8.0/ qemu-img create -f qcow2 satac.qcow2 25G qemu-img create -f qcow2 satad.qcow2 25G qemu-img create -f qcow2 satae.qcow2 10G qemu-img create -f qcow2 sataf.qcow2 10G qemu-img create -f qcow2 satag.qcow2 15G qemu-img create -f qcow2 satah.qcow2 10G qemu-img create -f qcow2 satai.qcow2 1G qemu-img create -f qcow2 sataj.qcow2 10G qemu-img create -f qcow2 satak.qcow2 10G qemu-img create -f qcow2 satal.qcow2 100G qemu-img create -f qcow2 satam.qcow2 50G qemu-img create -f qcow2 satan.qcow2 10G qemu-img create -f qcow2 satao.qcow2 5G qemu-img create -f qcow2 satap.qcow2 100G qemu-img create -f qcow2 sataq.qcow2 150G Lưu ý: cấu hình, thứ tự, số lượng và kích thước các ổ cứng ảo tuân theo cấu trúc vSphere vCenter version 7.x hoặc 8.x Sau khi thực hiện các lệnh trên Bước 8. Xoá thư mục temporary và ấn định quyền cd rm -rf vcva8 /opt/unetlab/wrappers/unl_wrapper -a fixpermissions Bước 9. Truy cập Web EVE-NG để sử dụng vCenter 8 Appliance qcow2 Bước 10. Vẽ mô hình, cấu hình network và chạy vCenter 8x Bước 11. Sửa cấu hình vCenter 7x/8x Set password mới: VMware1! Sau khi ấn Esc để lưu lại cấu hình vCenter Phần 2. Sau khi đã cài và cấu hình thành AD Server windows 2019 trên EVE 5x làm thế nào có thể lưu máy ảo này thành qcow2 Chúng ta có thể đóng gói máy chủ AD-DC server windows 2019 thành 1 máy ảo Template để dùng lại cho các bài Labs khác nhau sau này. Bước 1. Bắt đầu nút “Node” mà bạn muốn chỉnh sửa và thực hiện các thay đổi. Bước 2. Hoàn thành và tắt máy ADDC1 đúng cách. Bước 3. Trên thanh bên trái trong phòng thí nghiệm trong Giao diện người dùng web EVE, chọn Chi tiết phòng thí nghiệm “Detail Lab” để nhận chi tiết UUID của mô hình thí nghiệm. ID: ab612b07-7d22-4ef0-97db-e381f2244052 Bước 4. Tìm ra ID POD của nút đã sử dụng và ID nút của nút mới được cài đặt của bạn. Số POD được gán cho tên người dùng của bạn và có thể tìm thấy trong GUI EVE, Quản lý/Quản lý người dùng. Người dùng Quản trị sử dụng POD số 1 theo mặc định. Có thể lấy ID nút bằng cách nhấp chuột phải vào nút trên cấu trúc liên kết. Ví dụ: đó là 2 Và Node ID Bước 5. Theo cấu trúc trên dùng WINSCP mở thư mục Như vậy, chúng ta đã tìm ra file had.qcow2 là file đã dựng đầy đủ VM Microsoft Active Directory trên windows DC 2019 Bước 6. Copy file had.qcow2 về thư mục mới được tạo ở mkdir /opt/unetlab/addons/qemu/addc2019 cp /opt/unetlab/tmp/1/ab612b07-7d22-4ef0-97db-e381f2244052/2/hda.qcow2 /opt/unetlab/addons/qemu/addc2019 Bước 7. Chạy lệnh committed để xác định vị trí ổ cứng ảo qcow2: Bước 8. Mở lại EVE Web, thêm ADDC2 trên sơ đồ mô hình Bước 9. Triển khai các VMs mới dạng Windows Server 2019 Và tự động tạo ra các ADDC1 được sao chép giống hệt Phần 3. Tăng dung lượng của EVE-NG server:
Cách 2. Thêm ổ cứng Hard disk 2…
Nên thêm ổ cứng mới từ VMware vSphere hoặc Workstation Pro: Thêm Đĩa mới với kích thước mong muốn. Bật máy EVE-NG VM Kết nối với EVE SSH bằng PuTTy: ENE-NG sẽ tự động thêm kích thước và ổ cứng mới thuộc chuẩn LVM Group theo thư mục root Filesystem “/”. |