Cách sửa lỗi microsoft failed to creat the basic module năm 2024

Question

1. Thông thường Account bị xoá nó cho vào OU có tên Loss & Found, còn Object và GPO bị xoá thì nó cho vào AD Recycle Bin.

2. Bạn có thể tham khảo: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/retore-deleted-accounts-and-groups-in-ad

3. Bài viết giới thiệu Cách khôi phục tài khoản đã bị xoá ở AD windows Server

Lưu ý: Nếu AD bạn đang dùng là Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, và Windows Server 2012, thì có thể dùng Active Directory Administrative Center để bật tính năng AD Recycle Bin.

4 bước Enable the AD Recycle Bin on Windows Server 2016:

Bạn có thể sử dụng Active Directory Administrative Center để bật tính năng AD Recycle Bin trên các phiên bản Windows Server như Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 và Windows Server 2012.

AD Recycle Bin là một tính năng trong Active Directory cho phép khôi phục lại các đối tượng đã bị xóa, bao gồm cả tài khoản người dùng, nhóm, đơn vị tổ chức và các đối tượng AD khác. Khi tính năng AD Recycle Bin được bật, các đối tượng bị xóa không bị xóa hoàn toàn khỏi AD, mà chỉ được đánh dấu là bị xóa và vẫn có thể khôi phục lại.

Để bật tính năng AD Recycle Bin bằng Active Directory Administrative Center, bạn có thể làm theo các bước sau:

Bước 1 – Mở Server Manager

Bước 2. Mở Active Directory Administrative Center trên máy chủ AD của bạn

Quay lại màn Active Directory Administrative > chọn vclass (local) bấm chuột phải chọn menu > Enable Recycle Bin…

Bước 3. Chuột phải vào tên miền trong cây thư mục và chọn “Enable Recycle Bin” (Bật Recycle Bin).

Xác nhận việc bật tính năng AD Recycle Bin trên hộp thoại xác nhận.

Sau khi bật Enabling Recycle Bin thì đóng lại phần mềm Active Directory Administrative Center.
Sau khi tính năng AD Recycle Bin được bật, bạn có thể sử dụng Active Directory Administrative Center để khôi phục các đối tượng đã bị xóa bằng cách tìm kiếm và chọn đối tượng, sau đó chọn “Restore” (Khôi phục) từ menu hoặc chuột phải trên đối tượng.

Bước 4. Thử nghiệm tình huống xoá tài khoản trong AD users

Sau khi xoá 1 account.
Account đã xoá trước đó sẽ không khôi phục được.
Bây giờ mình xoá user3.

Xác nhận xoá user3.

Mở lại Active Directory Administrative Center:

Chọn vclass (local) > bấm mũi tên > chọn phải chuột tìm mục: Deleted Objects.

Như vậy, cứ mở lại Active Directory Administrative Center và chọn Domain(local) và chọn Deleted Objects.
Sẽ thấy user3 bị xoá.

Chọn user3 > bấm chuột phải chọn menu Restore.

User3 đã được khôi phục.
Riêng user4 đã bị xoá trước khi bật cấu hình Enabling Recycle Bin trong Active Directory Administrative Center thì không có để khôi phục.

Sơ kết:

Chúng ta nên bật cấu hình Enabling Recycle Bin trên Active Directory Administrative Center ngay sau khi cấu hình thành công Domain Controller, tổ chức GPO hoặc trước khi cập nhật Tài khoản AD User người dùng.

Phần 1. Mô hình triển khai vCenter Linked Mode:

Lỗi cài và cấu hình ở giai đoạn 2 cho máy chủ vcenter Appliance Server 8.0 từ bộ cài VMware-VCSA-all-8.0.0-20920323.iso khi triển khai ở mô hình Linked mode (máy chủ vcenter Join sso domain, máy chủ vcenter Master đang chạy bình thường)

Error: Failed to run vdcpromo

Resolution:

Please search of these symptoms in the VMware Knowledge Base for any known issues and possible workarounds. If none can be found, please collect a support bundle and open a support request.

Hoặc nếu mất kết nối DNS server thì bị báo lỗi:

Phần 2. Tìm phương hướng giải quyết

Tôi có dùng AI/ML để đặt câu hỏi tổng quát và tìm phương hướng xử lý lỗi:

“Tôi đã cài thành công vCenter Appliance 8 và có SSO vsphere.local cùng với 1 máy ảo AD làm NTP server và đã cấu hình 02 ESXi chứa 2 vcenter appliance này đồng bộ NTP với AD rồi, nhưng khi thực hiện giai đoạn 2 cấu hình join farm link mode của vcenter appliance thứ 2 thì chỉ được có 4% báo lỗi: Error: Failed to run vdcpromo, Resolution: Please search of these symptoms in the VMware Knowledge Base for any known issues and possible workarounds. If none can be found, please collect a support bundle and open a support request. Bạn có cách nào xử lý lỗi triển khai link mode này ?”

AI trả lời: Xin lỗi, như một trợ lý ảo, tôi không thể cung cấp hỗ trợ cụ thể trong việc xử lý lỗi triển khai link mode của vCenter Appliance. Tuy nhiên, dưới đây là một số gợi ý tổng quát để giúp bạn xử lý vấn đề này:
Kiểm tra lại cấu hình mạng: Đảm bảo rằng cấu hình mạng trên cả hai vCenter Appliance và máy chủ AD đang hoạt động chính xác và có thể giao tiếp với nhau.
Kiểm tra cài đặt NTP: Đảm bảo rằng cài đặt NTP trên cả hai vCenter Appliance và máy chủ AD được cấu hình chính xác và đồng bộ thời gian.
Kiểm tra tường lửa và phần mềm bảo mật: Đảm bảo rằng không có tường lửa hoặc phần mềm bảo mật gây trở ngại trong việc thiết lập kết nối giữa hai vCenter Appliance.
Tìm hiểu trong VMware Knowledge Base: Tìm kiếm trong VMware Knowledge Base để tìm hiểu về các vấn đề tương tự và các giải pháp khắc phục có thể đã được cung cấp.
Thu thập thông tin hỗ trợ: Nếu không tìm thấy giải pháp hoặc giải quyết vấn đề, hãy thu thập thông tin hỗ trợ như ghi nhật ký, thông tin cấu hình và tạo yêu cầu hỗ trợ từ VMware để nhận được sự hỗ trợ từ nhóm hỗ trợ chuyên môn của họ.

Lưu ý rằng triển khai và cấu hình vCenter Appliance là quá trình phức tạp, và việc xử lý lỗi cụ thể đòi hỏi kiến thức và kỹ năng chuyên sâu. Nếu bạn không tự tin trong việc xử lý lỗi này, tôi khuyên bạn nên tìm sự hỗ trợ từ nhóm chuyên gia hoặc nhà cung cấp hỗ trợ của VMware

Sơ bộ như vậy, cho ta thấy khả năng NTP đã không được đồng bộ giữa 2 ESXi với 2 VM vCenter và với cả AD Server đang host NTP server service.

Các lỗi phổ biến nhất:

Lỗi thời gian (Thời gian không khớp với các máy chủ PSC khác đang khiến quá trình triển khai của bạn bị ảnh hưởng)
Lỗi DNS (Bản ghi dns phải được tạo trước khi thực hiện cấu hình)

vì vậy trước khi triển khai và cấu hình, hãy kiểm tra 2 điều kiện tiên quyết viết trên.

Tham khảo cách xử lý ở vCenter Appliance 7.0: https://polarclouds.co.uk/vcenter-without-dns-ntp/

Phần 3. Cách sửa lại gói cài vCenter Appliance 8.0.0.21560480

Bước 1. Tôi dùng UltraISO Premium mở file VMware-VCSA-all-8.0.0-20920323.iso (thạm khảo: https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-80a-release-notes.html )

Bước 2. Extract ra thư mục setup. Ví dụ: D:\Setup\VMware-VCSA-all-8.0.0-20920323

Đành phải xoá thư mục vcsa-cli-installer và tạo manual từng thư mục con và kéo thả vào để xác định đúng vị trí lỗi

Bước 3. Dùng Notepad++ mở file json, chọn đến thư mục \vcsa-cli-installer\templates\install\ có trong file cài vcenter installer iso file đã được extract.
Tôi sẽ mở và sửa hết 5 files .json nói trên:

Sửa thành

127.0.0.1 làm máy chủ DNS vCenter thông qua “dns_servers”: [“127.0.0.1”],
Sử dụng VMtools để đồng bộ hóa thời gian thông qua “time_tools_sync”: true,
Xoá dòng cấu hình máy chủ NTP “ntp_servers”: “time.nist.gov”,

Bước 4. Sau khi lưu lại, chúng ta dùng UltraISO Premium để tạo lại file iso đã được sửa json.

Sau khi kéo thả các Folders, files vào trong UtraISO Premium

Chỉnh lại kích thước ISO và đặt lại tên:

Sau cùng là save lại thành file:

Bước 5. Mount trở lại ISO/CD ROM và cài VCSA 8.0.0.20920323.
Bước 6. Kiểm tra việc mở SSH /Bash shell của vCenter vCSA 8 ngay khi đang cấu hình.

Phần 4. Cách sửa lại gói cài vCenter Appliance 8.0.1.21560480

Bước 1. Tôi dùng UltraISO Premium mở file VMware-VCSA-all-8.0.1-21560480.iso (tham khảo https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-801-release-notes/index.html )

Bước 2. Extract ra thư mục setup.

DNS cần phải được sửa trong gói cài \vcsa-cli-installer\templates\install\embedded_vCSA_on_ESXi.json (GUI Installer)
Bước 3. Dùng Notepad++ mở file json , chọn đến thư mục \vcsa-cli-installer\templates\install\ có trong file cài vcenter installer iso file đã được extract.

Dưới đây là vCenter CLI Installer json được cập nhật để sửa lỗi dcvpromo:

127.0.0.1 làm máy chủ DNS vCenter thông qua “dns_servers”: [“127.0.0.1”],
Sử dụng VMtools để đồng bộ hóa thời gian thông qua “time_tools_sync”: true,
Xoá dòng cấu hình máy chủ NTP “ntp_servers”: “time.nist.gov”,

Sửa thành

và

Bước 4. Sau khi lưu lại, chúng ta dùng UltraISO Premium để tạo lại file iso đã được sửa json

Bước 5. Mount trở lại ISO/CD ROM và cài VCSA

Bước 6. Kiểm tra việc mở SSH /Bash shell của vCenter vCSA 8 ngay khi đang cấu hình

Ngay sau khi bất cấu hình SSH và NTP thì chúng ta dùng PuTTy/WINSCP có thể mở kết nối tới VCSA 8:

Kết quả sau khi cài thành công VCSA 8 chế độ linked mode

Khi truy cập vào 1 vcenter appliance lập tức sẽ thấy 2 vcenter linked mode với nhau

Còn vcva1

Kết luận sơ bộ qua 2 phần 3,4 trình bày trên cho ta thấy cách xử lý này là phải sửa lại cấu hình file cài ISO, và cách sửa đó áp dụng cho cả tính huống VCSA 8 dựng cho Master là bản cũ 8.0 và bản sửa cho vCSA linked mode 8.0u1 và thực tế ở phiên bản vcenter Appliance 7 cũng gặp lỗi này.

Phụ lục: các cách lòng vòng để sửa lỗi NTP và DNS không thành công:

Trình cài đặt vCenter sẽ cho phép sử dụng máy chủ ESXi làm nguồn thời gian. Nó đạt được điều này thông qua gói VMtools đi kèm với vCenter. Đơn giản. Dễ dàng sửa chữa.
Tôi sẽ kiểm tra từng cấu hình của ESXi để đồng bộ giờ với AD Server có NTP server Service start

Đây là ESXi chứa vCenter Appliance Master:

Tôi cũng sẽ kiểm tra cấu hình ESXi nơi sẽ chứa vCenter Slave sẽ cấu hình Link mode

Tiếp theo mở cổng https://vcenter master:5480 và fix múi giờ GMT+7

Tiếp theo tôi sẽ xoá VM đã cài vcenter appliance kiểu link mode bị lỗi

Mount lại bộ cài vcenter 8 và thực hiện lại 2 giai đoạn cài và cấu hình

Tiếp tục chọn Install và cấu hình cài lên ESXi theo đúng kịch bản cấu hình giai đoạn 1:

Lưu ý:

Nếu DNS server nhập là 127.0.01 thì bị báo lỗi Invalid IP DNS ngay ở cấu hình giai đoạn 1:

Nếu DNS server nhập là IPv4 của chính máy chủ vCenter Appliance ở giai đoạn 1: 172.20.10.93 ở giai đoạn 1 hệ thống cài vẫn cho qua nhưng ở giai đoạn 2 thì bị báo lỗi:

Nếu DNS khai báo ở giai đoạn 1 là IPv4 của vCenter Master: 172.20.10.94 thì ở giai đoạn 2 bị báo lỗi:

Lại báo lỗi:

Kết thúc giai đoạn 1, VM vcenter đã bật chạy cổng https://ipvcenter:5480

Hệ thống cài đặt tiếp giai đoạn 2 sẽ có 3 cách lựa chọn đồng bộ giờ:

Cách 1. Sẽ không đồng bộ giờ với ESXi hoặc NTP Server

Tiếp theo chọn Join an existing SSO domain:

Bỏ chọn khảo sát

Bấm bước 5 Finish

Cách 2. Stop NTP trên ESXi và đồng bộ giờ manual

Tóm lại, Kết quả vẫn bị lỗi

Ngay ở giải đoạn 2 khi cấu hình tự động sau 4% báo lỗi.

Bối cảnh dẫn tới việc phải thay đổi cấu hình RDP:

Cài đặt chứng chỉ cho kết nối Remote Desktop

Trong bài viết này, chúng tôi sẽ hướng dẫn cách sử dụng chứng chỉ SSL/TLS đáng tin cậy để bảo mật các kết nối RDP tới máy tính hoặc máy chủ Windows trong miền Active Directory. Chúng tôi sẽ sử dụng chứng chỉ SSL đáng tin cậy thay vì chứng chỉ RDP tự ký mặc định (khi đó sử dụng chứng chỉ RDP tự ký, người dùng sẽ nhận được cảnh báo rằng chứng chỉ không đáng tin cậy khi kết nối với máy chủ). Trong ví dụ này, chúng tôi sẽ định cấu hình mẫu chứng chỉ RDP tùy chỉnh trong Cơ quan cấp chứng chỉ và Chính sách nhóm để tự động cấp và liên kết chứng chỉ SSL/TLS với Dịch vụ máy tính từ xa.

Cảnh báo chứng chỉ tự ký kết nối máy tính từ xa (RDP)

Theo mặc định, để bảo mật phiên RDP, Windows sẽ tạo chứng chỉ tự ký. Trong lần kết nối đầu tiên với máy chủ RDP/RDS bằng ứng dụng khách mstsc.exe, người dùng sẽ thấy cảnh báo sau:

Không thể xác thực máy tính từ xa do có vấn đề với chứng chỉ bảo mật của nó. Có thể không an toàn để tiếp tục. Lỗi chứng chỉ: Chứng chỉ không phải từ cơ quan chứng nhận đáng tin cậy.

Để tiếp tục và thiết lập kết nối RDP, người dùng phải bấm Có. Để ngăn cảnh báo chứng chỉ RDP xuất hiện mọi lúc, bạn có thể chọn tùy chọn “Đừng hỏi lại tôi về kết nối với máy tính này”.

Trong trường hợp này, dấu vân tay chứng chỉ RDP được lưu trong tham số CertHash của khóa đăng ký cùng với lịch sử kết nối RDP trên máy khách (HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers\). Nếu bạn đã ẩn cảnh báo rằng không thể xác minh máy chủ RDP, hãy xóa dấu vân tay chứng chỉ khỏi sổ đăng ký để đặt lại cài đặt.

Cài đặt chứng chỉ cho kết nối Remote Desktop của máy bạn đang dùng mstsc để remote, mở regedit kiểm tra

Computer\HKEY_CURRENT_USER\SOFTWARE\Microsoft\Terminal Server Client\Servers

Ở đây ta thấy không có tham số: CertHash, REG_BINARY và value không có

Phần 1. Tạo mẫu chứng chỉ RDP trong máy chủ cấp chứng chỉ (CA):

Hãy thử sử dụng chứng chỉ SSL/TLS đáng tin cậy do máy chủ cấp chứng chỉ của đơn vị bạn để bảo mật các kết nối RDP. Sử dụng chứng chỉ này, người dùng có thể xác thực máy chủ RDP khi kết nối. Giả sử rằng Máy chủ cấp chứng chỉ Microsoft của công ty đã được triển khai trong miền của bạn. Trong trường hợp này, bạn có thể định cấu hình tự động phát hành và kết nối chứng chỉ với tất cả máy tính và máy chủ Windows trong miền.

Bạn phải tạo một loại mẫu chứng chỉ mới cho máy chủ RDP/RDS trong CA của mình:

Chạy bảng điều khiển của Tổ chức phát hành chứng chỉ và đi tới phần Mẫu chứng chỉ;

Sao chép mẫu chứng chỉ Máy tính (Certificate Templates -> Manage -> Computer -> Duplicate);

Trong tab Chung, chỉ định tên của mẫu chứng chỉ mới – RDPTemplate. Đảm bảo rằng giá trị trong trường Tên Mẫu khớp với tên hiển thị Mẫu;

Trong tab Tương thích, chỉ định phiên bản máy khách tối thiểu được sử dụng trong miền của bạn (ví dụ: Windows Server 2008 R2 cho CA và Windows 7 cho máy khách của bạn). Do đó, các thuật toán mã hóa mạnh hơn sẽ được sử dụng;

Sau đó, trong phần Chính sách ứng dụng của tab Tiện ích mở rộng, hãy giới hạn phạm vi sử dụng của chứng chỉ ở Xác thực máy tính từ xa (nhập mã định danh đối tượng sau – 1.3.6.1.4.1.311.54.1.2). Nhấp vào Thêm -> Mới, tạo chính sách mới và chọn nó;

Trong cài đặt mẫu chứng chỉ (Tiện ích mở rộng chính sách ứng dụng), xóa tất cả các chính sách ngoại trừ Xác thực máy tính từ xa; Cài đặt chứng chỉ cho kết nối Remote Desktop

Để sử dụng mẫu chứng chỉ RDP này trên bộ điều khiển miền của bạn, hãy mở tab Bảo mật, thêm nhóm Bộ điều khiển miền và bật tùy chọn Đăng ký và Tự động đăng ký cho nó;

Lưu mẫu chứng chỉ;

Sau đó, trong phần đính vào mmc của Tổ chức phát hành chứng chỉ, nhấp vào thư mục Mẫu chứng chỉ và chọn Mới à

Mẫu chứng chỉ cần phát hành chọn mẫu bạn đã tạo (RDPTemplate);

Phần 2. Triển khai chứng chỉ SSL/TLS RDP bằng Chính sách nhóm “GPO” trên máy chủ AD-DC:

Bây giờ bạn cần cấu hình GPO miền để tự động gán chứng chỉ RDP cho máy tính/máy chủ theo mẫu đã cấu hình.

Mở bảng điều khiển Quản lý chính sách nhóm miền (gpmc.msc), tạo một đối tượng GPO mới và liên kết nó với OU chứa máy chủ hoặc máy tính RDP/RDS để tự động cấp chứng chỉ TLS nhằm bảo mật các kết nối RDP;
Đi tới phần GPO sau Cấu hình máy tính -> Chính sách -> Mẫu quản trị -> Cấu phần Windows -> Dịch vụ máy tính từ xa -> Máy chủ phiên máy tính từ xa -> Bảo mật. Kích hoạt chính sách Mẫu chứng chỉ xác thực máy chủ. Chỉ định tên của mẫu CA bạn đã tạo trước đó (RDPTemplate);

Để tự động gia hạn chứng chỉ RDP, hãy đi tới phần Computer configuration Cấu hình máy tính -> Windows settings cài đặt Windows -> Security Settings Cài đặt bảo mật -> Public Key Policies Chính sách khóa công khai của GPO và bật chính sách Certificate Services Client – Auto-Enrollment Properties Máy khách dịch vụ chứng chỉ – Thuộc tính đăng ký tự động. Kiểm tra các tùy chọn Renew expired certificates, update pending certificates and remove revoked certificates “Gia hạn chứng chỉ đã hết hạn, cập nhật chứng chỉ đang chờ xử lý và xóa chứng chỉ đã bị thu hồi” và Update certificates that use certificate templates “Cập nhật chứng chỉ sử dụng mẫu chứng chỉ”;

Nếu bạn muốn máy khách của mình luôn xác minh chứng chỉ máy chủ RDP, bạn phải định Configure Authentication for Client = Warn me if authentication fails policy cấu hình chính sách Định cấu hình xác thực cho máy khách = Cảnh báo tôi nếu xác thực không thành công (Computer Configuration à Policies à Administrative Templates à Windows Components à Remote Desktop Settings à Remote Desktop Connection Client Cấu hình máy tính à Chính sách à Mẫu quản trị -> Cấu phần Windows -> Cài đặt máy tính từ xa -> Máy khách kết nối máy tính từ xa);
Nếu cần, hãy mở Cổng RDP TCP/UDP 3389 đến bằng chính sách tường lửa;
Sau đó cập nhật cài đặt chính sách nhóm trên máy khách, khởi chạy bảng điều khiển chứng chỉ máy tính (Certlm.msc) và đảm bảo rằng Remote Desktop Authentication certificate issued chứng chỉ Xác thực Máy tính Từ xa do CA của bạn cấp đã xuất hiện trong phần Personal Cá nhân -> Certificates Chứng chỉ.

Mở máy chủ CA Server > Certification Authority Server:

Một hướng dẫn trên mạng, tôi có thử nghiệm và thấy chúng không có giá trị nhưng vẫn viết ra đây để các bạn thấy:

Để áp dụng chứng chỉ RDP mới, hãy khởi động lại Dịch vụ máy tính từ xa:

Get-Service TermService -ComputerName AD_BDC| Restart-Service –force –verbose

Sau đó, khi kết nối với máy chủ bằng RDP, bạn sẽ không thấy yêu cầu xác nhận rằng chứng chỉ là đáng tin cậy (để xem yêu cầu, hãy kết nối với máy chủ, chứng chỉ được cấp để sử dụng địa chỉ IP của nó thay vì FQDN). Nhấp vào Xem chứng chỉ, chuyển đến tab Chi tiết và sao chép giá trị trong trường Dấu vân tay Thumbprint

Tiếp tục dùng mmc > Certificate của chính máy cần remote bằng RDP

Phần 3. Cấu hình Remote Desktop bật NLA ở máy chủ cần remote tới:

Ví dụ 1: Win 7 x64 Professional

Như vậy, kết quả việc cấu dùng mstsc /admin trên máy Win7 x64:

Công cụ mstsc /admin là không điều khiển được nữa:

Tham khảo: https://learn.microsoft.com/en-us/troubleshoot/azure/virtual-machines/credssp-encryption-oracle-remediation

Màn VMware Console / Web vSphere Remote console vẫn bình thường

Cấu hình Cloud Edge remote RDP 3389 vẫn bình thường:

Ví dụ 2: Windows 10 x64

Hoặc

Như vậy, kết quả dùng mstsc /admin

Và kết nối thành công

Muốn bỏ được màn thông báo này, thì máy PC đang được remote này cần phải được cấu hình mmc /admin

Chúng ta sẽ copy /paste lại Certhash ở mục Thumbprint này và dán vào Regedit của máy bạn đang dùng mstsc remote

Tóm lại: ở phía máy PC có dùng mstsc

Thực tế, các bước dài dòng ở phần trên: xem chữ ký số và sao chép thumbprint chỉ liên quan tới phần mềm mstsc /admin remote của client. Chúng ta không nhất thiết dùng những loại phần mềm công cụ này, có thể thay sang mRemoteNG client hoặc dùng HTML5 Web, máy chủ Guacamole, Cloud Edge để cấu hình kiểu PAM ấn định kết nối RDP 3389 và kiểu NLA là gọn nhẹ đơn giản cho người dùng cũng như quản trị Admin.

Ví dụ 1: Quản trị sẽ cấu hình PAM kết nối RDP tới máy vật lý hoặc máy ảo Windows 10 Pro x64 như sau

Và người dùng chỉ cần có Tài khoản và quyền ACL để truy cập qua Web HTML5

Ví dụ 2: cấu hình mRemoteNG (có tham số: Use CredSSP: yes)

Phần 1. Một số khái niệm căn bản:

KMS – Key Management Server:
Dùng để quản lý Key Active licensing của OS Windows:
Dùng để quản lý Key license của MS Office
Dùng để quản lý, cấp phép, thu hồi, xoá, sửa và tham chiếu các trường thông tin như:
- Datetime expired
- Time Stamp Begin (ngày giờ phút giây đã active, đã bắt đầu sử dụng/ download/upload/review/view/edit…)
- Email (Địa chỉ email người được cấp phép/ địa chỉ email nhóm được cấp phép),
- Common Name (DNS/URL người/nhóm tên được cấp phép)
- Tên Tác giả (tuỳ chọn)
- Địa chỉ Email tác giả (tuỳ chọn)
- Mobile tác giả (tuỳ chọn)
Nơi cung cấp các Key license chuẩn của hãng Microsoft:

Tham khảo: https://docs.microsoft.com/en-us/windows-server/get-started/kms-client-activation-keys

Phần 2. Các bước dựng máy chủ KMS Server trong nội bộ mạng của bạn:

Dựng 1 máy chủ Ubuntu 20.04 có cấu hình máy ảo:
2 – 4 vCPU,
4 GRAM,
VD0: 16 GB,
SCSI controller 0: VMware Paravirtual,
1 vmNIC VMXnet3.
CD/DVD drive 1: Ubuntu 20.04 iso
CD/DVD drive 2: VMware Tools Installer image iso
Cài Ubuntu 20.04 có một số bước lưu ý sau:
Có 1 ổ cứng ảo VD0 16GB sẽ cần phân vùng thành 5 vùng chính:
- /boot ext4 1.5 GB
- /boot/efi MSDOS 600MB (nếu cấu hình kiểu BIOS boot là UEFI)
- /swap swap 1.9 GB
- /home ext4 1.9 GB
- /root ext4 LV-VG 9.8GB
Sau khi cài gói Ubuntu 20.04 không có giao diện,cấu hình Network mạng eth0 ipv4 chạy ổn định, Chúng ta sẽ dùng PuTTy/ Terminal Console để download gói source github từ nguồn code:

wget https://raw.githubusercontent.com/PhDLeToanThang/kms/master/kms_server.sh && bash sh kms_server.sh

Sau khi chạy xong đoạn code sh trên hệ thống sẽ tự động tạo máy chủ KMS dịch vụ TCP port ngầm định 1688 (IP_KMS_Server:1688) Khi đó các máy trạm windows hoặc MS Office client desktop sẽ truy cập với tham số ipv4:1688 (ví dụ: slmgr /skms 192.168.1.10:1688)

Phần 3. Chuyển sang máy trạm Windows / Office desktop cần Active:

Ví dụ 1: tại máy chạy windows 10 / 11:

Bước 1. Mở Windows Power Shell hoặc Command Line: cmd /admin

Nhập lệnh 1: slmgr /upk
Nhập lệnh 2: slmgr /ipk [nhập giá trị chuỗi Hex KMS Client Product key]
# Giải thích lệnh số 2: mở trang web: https://docs.microsoft.com/en-us/windows-server/get-started/kms-client-activation-keys tìm tới bảng sheet ở mục: Windows 11 and Windows 10 (Semi-Annual Channel versions) chọn đúng Key theo versions để điền key license. Ví dụ máy của tôi:
Bạn cũng có thể dùng lệnh cmd /admin gõ lệnh: winver
Lúc đó ta sẽ thấy Key license cho win 10 / 11 pro
- Tôi xác định key là: W269N-WFGWX-YVC9B-4J6C9-T83GX
- Dòng lệnh 2 sẽ là: slmgr /ipk W269N-WFGWX-YVC9B-4J6C9-T83GX
Nhập lệnh 3: slmgr /skms [IP4_KMS_Server:1688]

Giải thích lệnh số 3: Máy chủ IP4_KMS_Server sau khi dựng ở phần 2 sẽ có IPv4 nội mạng và port 1688 được mở thông trong mạng LAN,

Ví dụ: máy chủ tôi dựng thành Ubuntu 20.04 thành công có Ipv4: 192.168.100.79:1688,

Dòng lệnh số 3 sẽ là: slmgr /skms 192.168.100.79:1688
- Nhập lệnh 4: slmgr /ato

Ví dụ 2: tại máy chủ chạy windows 2019 Data Center License:

Về cơ bản là thao tác, các dòng lệnh tương tự ví dụ 1, chỉ lưu ý về Key license xác định lấy từ trang web Microsoft phải chọn đúng versions
Tôi đang chạy 1 máy chủ Windows 2019 DC dịch vụ tOTP chưa kích hoạt license

Chạy lệnh: winver

Truy cập trang Microsoft https://docs.microsoft.com/en-us/windows-server/get-started/kms-client-activation-keys xác định đúng key

Chạy lệnh tiếp theo để active kms

Nhập lệnh: slmgr /ato

Ví dụ 3: Active Office 2016 trên Win 7 Pro x64:

Khi login vào máy win 7×64 pro

Phần mềm MS Office 2016 Pro Plus báo cần active license

Lưu ý: vì còn 17 ngày nữa mới hết hạn nên vẫn có thể chạy Power Point Slider demo, edit được

Phần Windows Active License đã được thực hiện tương tự như ở các phần trên

Tìm xác định đúng key license của phiên bản Microsoft Office bạn cần Ví dụ tôi dùng Microsoft Office 2016 Profession Plus
Bước 2. Mở cmd /admin
Nhập lệnh 1: CD C:\Program Files\Microsoft Office\Office16

hoặc

CD C:\Program Files (x86)\Microsoft Office\Office16

# Giải thích lệnh số 1: do tôi cái Microsoft Office 2016 x64 bit trên bản OS Windows 7 x64 Pro nên thư mục vẫn được cài chính trên Program Files (x86)

Nhập lệnh 2: cscript ospp.vbs /rearm
Nhập lệnh 3: cscript ospp.vbs /cachst:TRUE
Nhập lệnh 4: cscript ospp.vbs /sethst:[Your_IP_OR_HOSTNAME_URL]

# Giải thích lệnh số 4: vì chúng ta đã dựng 1 máy chủ kms server trong nội bộ, nên tôi sẽ nhập là: cscript ospp.vbs /sethst:192.168.100.79

Nhập lệnh 5: cscript ospp.vbs /inpkey:xxxx-xxxx-xxxx-xxxx-xxxx

# Giải thích lệnh số 5: mở trang web của Microsoft GVLKs để lấy đúng key Microsoft Office 2016, nên tôi sẽ nhập là: cscript ospp.vbs /inpkey:XQNVK-8JYDB-WJ9W3-YJ8YR-WFG99

Nhập lệnh 6: cscript ospp.vbs /act

Nhập lệnh 7: cscript ospp.vbs /dstatusall

# Giải thích lệnh số 7: option to check the license state for all Office clients hoặc cscript ospp.vbs /dstatus (

option to check the status of the local client).

Kết quả Activated:

Phần 1. Các bước cài Windows 2019 core và thêm RRAS

Để cài Windows 2019 Core và thêm RRAS, bạn cần thực hiện các bước sau:

Cài đặt Windows 2019 Core bằng cách chọn phiên bản Windows Server 2019 Standard hoặc Datacenter và chọn tùy chọn Server Core Installation https://learn.microsoft.com/en-us/windows-server/administration/server-core/server-core-administer
Cấu hình các thiết lập mạng cho máy chủ Windows 2019 Core, bao gồm đặt địa chỉ IP tĩnh, tham gia miền, cấu hình DNS và tường lửa https://learn.microsoft.com/en-us/answers/questions/1053130/instal-and-configure-rras-on-windows-2019-server
RRAS là một dịch vụ cho phép bạn cấu hình các chức năng định tuyến và truy cập từ xa trên máy chủ Windows https://learn.microsoft.com/en-us/windows-server/remote/remote-access/ras/manage-remote-clients/install/step-1-configure-the-remote-access-infrastructure
Cài đặt dịch vụ RRAS bằng lệnh PowerShell: Install-WindowsFeature -Name RemoteAccess -IncludeManagementTools.
Cấu hình dịch vụ RRAS bằng lệnh PowerShell hoặc sử dụng công cụ quản lý từ xa như Server Manager hoặc Routing and Remote Access Console.
Kiểm tra hoạt động của dịch vụ RRAS bằng lệnh PowerShell hoặc sử dụng công cụ quản lý từ xa.

Tham khảo ý kiến:

Câu hỏi: Có nên cài Windows 2019 core và cấu hình Secondary Domain Controller với RRAS và File Server Witness?

AI trả lời: một câu hỏi có tính chất ý kiến và không có câu trả lời chính xác. Tuy nhiên, chúng ta có thể cung cấp một số thông tin có thể quyết định.

Windows 2019 Core là phiên bản Windows Server không có giao diện người dùng đồ họa. Điều này mang lại một số lợi ích như:

Tiết kiệm tài nguyên hệ thống
Tăng cường bảo mật và ổn định
Giảm thiểu các bản cập nhật và khởi động lại
Tuy nhiên, Windows 2019 Core cũng có một số hạn chế như:
Khó khăn trong việc quản lý và cấu hình
Không hỗ trợ một số tính năng và vai trò của Windows Server
Yêu cầu kỹ năng cao về PowerShell và công cụ quản lý từ xa

Secondary Domain Controller là một máy chủ Active Directory dự phòng cho Primary Domain Controller. Nó giúp duy trì tính sẵn sàng cao và khả năng phục hồi của dịch vụ xác thực và phân quyền trong mạng. Nó cũng giúp cân bằng tải và giảm thiểu rủi ro mất dữ liệu.

RRAS (Routing and Remote Access Service) là một dịch vụ cho phép bạn cấu hình các chức năng định tuyến và truy cập từ xa trên máy chủ Windows. Nó giúp bạn kết nối các mạng khác nhau, tạo các kết nối VPN, NAT, DHCP Relay Agent và các giao thức định tuyến khác.

File Server Witness là một chia sẻ SMB mà Failover Cluster sử dụng như một phiếu bầu trong quorum của cluster. Nó giúp duy trì tính nhất quán và liên tục của cluster khi có sự cố xảy ra với các node hoặc đĩa chứa dữ liệu.

Việc cài Windows 2019 Core và cấu hình Secondary Domain Controller với RRAS và File Server Witness có thể phù hợp với một số trường hợp như:

Bạn muốn tiết kiệm chi phí cho phần cứng và bản quyền.
Bạn muốn tận dụng tối đa tài nguyên hệ thống cho các dịch vụ quan trọng.
Bạn muốn tăng cường bảo mật và ổn định cho máy chủ.
Bạn muốn duy trì tính sẵn sàng cao và khả năng phục hồi cho Active Directory.
Bạn muốn kết nối các mạng khác nhau và cho phép truy cập từ xa an toàn.
Bạn muốn hỗ trợ Failover Cluster trong các môi trường không có Internet hoặc không có đĩa chia sẻ.

Tuy nhiên, việc này cũng có thể gặp một số khó khăn như:

Bạn phải có kỹ năng cao về PowerShell và công cụ quản lý từ xa để cài đặt và quản lý máy chủ.
Bạn phải kiểm tra kỹ tính tương thích của các tính năng và vai trò của Windows Server với Windows 2019 Core.
Bạn phải lưu ý đến các yêu cầu về bảo mật, xác thực, cấp phát địa chỉ IP, định tuyến và tường lửa khi cấu hình RRAS.
Bạn phải lưu ý đến các yêu cầu về quyền truy cập, dung lượng, độ tin cậy và vị trí của File Server Witness
Trong một số trường hợp, bạn có thể cân nhắc sử dụng các giải pháp khác như:
Sử dụng Windows Server với giao diện người dùng đồ họa để dễ dàng quản lý và cấu hình
Sử dụng Cloud Witness hoặc Disk Witness thay cho File Server Witness nếu có Internet hoặc đĩa chia sẻ
Sử dụng các dịch vụ đám mây hoặc ảo hóa để tạo các máy chủ riêng biệt cho các dịch vụ khác nhau

Mục đích:

Mục đích của việc cài Windows 2019 core là gì? Bạn có muốn tiết kiệm tài nguyên hệ thống, tăng bảo mật, hay đơn giản là thử nghiệm tính năng mới của Windows Server 2019?
Mục đích của việc cấu hình Secondary Domain Controller là gì? Bạn có muốn cải thiện khả năng chịu lỗi, cân bằng tải, hay đồng bộ hóa dữ liệu giữa các vị trí địa lý khác nhau?
Mục đích của việc cấu hình RRAS là gì? Bạn có muốn kết nối các mạng con, cho phép truy cập từ xa, hay bảo vệ mạng nội bộ khỏi các mối đe dọa bên ngoài?
Mục đích của việc cấu hình File Server Witness là gì? Bạn có muốn sử dụng một chia sẻ tệp như một phiếu bầu trong quorum của Failover Cluster, hay bạn không có các tùy chọn khác như Cloud Witness hay Disk Witness?

Hạn chế:

Tùy thuộc vào các mục đích và yêu cầu của bạn, bạn có thể lựa chọn giải pháp phù hợp cho môi trường của bạn. Tuy nhiên, bạn cũng cần lưu ý các điều kiện và hạn chế sau:

• Windows 2019 core là phiên bản nhẹ của Windows Server 2019, chỉ có giao diện dòng lệnh và PowerShell. Bạn sẽ không có sự hỗ trợ của các công cụ quản trị đồ họa như Server Manager hay MMC. Bạn cũng sẽ không thể chạy các ứng dụng GUI trên Windows 2019 core. Bạn sẽ phải quản lý Windows 2019 core từ xa bằng các công cụ như Windows Admin Center, Remote Server Administration Tools (RSAT), hoặc Remote Desktop Services (RDS).

• Secondary Domain Controller là một máy chủ Active Directory dự phòng cho Primary Domain Controller. Nó sẽ đồng bộ hóa dữ liệu và cài đặt với Primary Domain Controller và có thể thay thế nó trong trường hợp xảy ra sự cố. Tuy nhiên, để cấu hình Secondary Domain Controller, bạn cần có kết nối mạng ổn định và an toàn với Primary Domain Controller. Bạn cũng cần phải thực hiện các bước sau:

Tham gia Windows 2019 core vào miền Active Directory.
Cài đặt vai trò Active Directory Domain Services (AD DS) trên Windows 2019 core.
Chạy lệnh dcpromo.exe để nâng cấp Windows 2019 core thành Secondary Domain Controller.
Cấu hình các thiết lập về vùng DNS, Global Catalog, Site Link, Replication Interval, v.v.

• RRAS là Routing and Remote Access Service: một vai trò của Windows Server cho phép kết nối các mạng con và cho phép truy cập từ xa. RRAS có thể cấu hình các chức năng như VPN, NAT, DHCP Relay Agent, v.v. Tuy nhiên, để cấu hình RRAS trên Windows 2019 core, bạn cần phải thực hiện các bước sau:

Cài đặt vai trò RRAS trên Windows 2019 core.
Cấu hình các thiết lập về giao thức, giao diện, bảo mật, xác thực, v.v. bằng PowerShell hoặc RSAT.
Kiểm tra và giám sát hoạt động của RRAS bằng PowerShell hoặc RSAT.

• File Server Witness là một chia sẻ tệp SMB mà Failover Cluster sử dụng như một phiếu bầu trong quorum. File Server Witness có thể giúp giải quyết tình huống phân chia não khi có sự cố mạng giữa các nút trong cluster. Tuy nhiên, để cấu hình File Server Witness trên Windows 2019 core, bạn cần phải thực hiện các bước sau:

Tạo một tài khoản người dùng cục bộ trên Windows 2019 core (không phải là quản trị viên).
Tạo một thư mục trên Windows 2019 core và chia sẻ nó ra.
Gán quyền đầy đủ cho tài khoản người dùng cục bộ trên chia sẻ tệp.
Kết nối cluster với chia sẻ tệp bằng lệnh Set-ClusterQuorum -Credential trong PowerShell.

Phần 2. Các bước cài Windows 2019 Core, AD-DC Secondary Domain Controller-DNS-DHCP, RRAS, FSW:

Bước 1. Cấu hình VM và thiết lập tài nguyên cho Windows 2019 core:

Boot và cài VM, chọn bộ cài máy chủ Windows Core 2019 (không có giao diện).

Chọn PCIV amd64 và load Driver, sau đó Format ổ VD0

Sau khi cài mật khẩu cho Account Admin Local, chúng ta sẽ cấu hình máy chủ Windows core 2019 thông qua CMD /Admin

Dùng lệnh sconfig để cấu hình: Network, NTP time, Join Domain, Đổi tên Computer Name.

Cấu hình Card mạng số 1:

Cấu hình Card mạng số 2:

Cấu hình Data and Time theo NTP server (172.20.10.10)

Join Domain: vclass.local

Cấu hình set ngầm định PowerShell tự động bật sau khi reboot máy chủ Windows Core:

Set-ItemProperty -Path ‘HKLM:\Software\Microsoft\Windows NT\CurrentVersion\WinLogon’ -Name Shell -Value ‘PowerShell.exe’.

Kiểm tra phiên bản:

Dùng lệnh: Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer.

Kiểm tra nhóm Administrators của máy Local phải có thành viên Admin của Domain:

Gõ lệnh: Get-LocalGroupMember “Administrators”.

Gõ lệnh: Add-LocalGroupMember -Group “Administrators” -Member “vclass\Administrator”

Bước 2. Cài đặt vai trò Active Directory Domain Services (AD DS) trên Windows 2019 core.

Cấu hình các thiết lập về vùng DNS, Global Catalog, Site Link, Replication Interval, v.v.

Dùng powershell gõ lệnh:

Install-WindowsFeature -Name AD-Domain-Services –IncludeManagementTools -Verbose

Cấu hình Administrator

Tham khảo: https://learn.microsoft.com/en-us/windows-server/administration/server-core/server-core-administer

Cấu hình vai trò AD-DC bằng lệnh PowerShell:

Install-ADDSDomainController -DomainName vclass.local -Credential (Get-Credential) -SiteName Default-First-Site-Name -InstallDns:$true

Máy chủ BDC khởi động lại, ta gõ lệnh kiểm tra trên PowerShell:

Kiểm tra hoạt động của vai trò AD-DC bằng lệnh PowerShell: Test-ADDSDomainControllerInstallation

Kiểm tra tình trạng và vị trí dữ liệu GC, PDC, BDC, dùng lệnh PowerShell hoặc cmdlet:

Để xem máy chủ nào là PDC trong miền hiện tại, bạn có thể sử dụng lệnh PowerShell: Get-ADDomain | Select-Object PDCEmulator hoặc cmdlet: netdom query fsmo

Hoặc

• Để xem danh sách các máy chủ BDC trong miền hiện tại, bạn có thể sử dụng lệnh PowerShell: Get-ADDomainController -Filter * | Select-Object Name hoặc cmdlet: nltest /dclist:<domain_name>

• Để xem danh sách các máy chủ GC trong rừng hiện tại, bạn có thể sử dụng lệnh PowerShell: Get-ADForest | Select-Object GlobalCatalogs hoặc cmdlet: nltest /dsgetdc:<domain_name> /GC

• Để kiểm tra tình trạng sao lưu và phục hồi của cơ sở dữ liệu AD-DC trên một máy chủ, bạn có thể sử dụng lệnh PowerShell: Get-ADDatabaseMountStatus -Identity <server_name> hoặc cmdlet: ntdsutil “activate instance ntds” “snapshot” “list all”

Bước 3. Cài RRAS trên máy chủ Windows 2019 core:

• Cài đặt vai trò RRAS trên Windows 2019 core

Install-WindowsFeature RemoteAccess -IncludeManagementTools

• Cấu hình các thiết lập về giao thức, giao diện, bảo mật, xác thực, v.v. bằng PowerShell hoặc RSAT

Install-WindowsFeature RSAT-RemoteAccess-PowerShell

No need to restart the computer

Install the Routing feature by:

Install-WindowsFeature Routing

Gõ Restart-Computer hoặc shutdown -r -f -t 0 để restart the computer.

– Cấu hình dịch vụ RRAS bằng lệnh PowerShell: Install-RemoteAccess -VpnType RoutingOnly

– Cài đặt các giao thức định tuyến mà bạn muốn sử dụng bằng lệnh PowerShell, ví dụ: Install-WindowsFeature Routing -IncludeManagementTools để cài đặt giao thức RIP

– Kiểm tra và giám sát hoạt động của RRAS bằng PowerShell hoặc RSAT

Dùng PC Windows 10/11 hoặc AD-DC PDC có giao diện để kiểm tra

c

Tham khảo:

File Server Witness là một chia sẻ SMB mà Failover Cluster sử dụng như một phiếu bầu trong quorum của cluster https://learn.microsoft.com/en-us/windows-server/failover-clustering/file-share-witness .

Để cài File Server Witness trên nền Windows 2019 Core, bạn cần thực hiện các bước sau:

• Cài đặt File Services Role trên máy chủ Windows 2019 Core bằng lệnh PowerShell: Install-WindowsFeature -Name FS-FileServer https://4sysops.com/archives/how-to-install-file-services-on-server-core/

• Tạo một tài khoản người dùng cục bộ trên máy chủ Windows 2019 Core (ví dụ: FSW-ACCT) và đặt mật khẩu cho nó https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149

• Tạo một thư mục trên máy chủ Windows 2019 Core và chia sẻ nó ra (ví dụ: SHARE) https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149

• Cấp quyền đầy đủ cho tài khoản người dùng cục bộ (FSW-ACCT) trên chia sẻ này https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149

• Kết nối cluster với chia sẻ này bằng lệnh PowerShell: Set-ClusterQuorum -FileShareWitness \\Server\Share -Credential $(Get-Credential) https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149

Tham khảo: https://www.eve-ng.net/index.php/documentation/howtos/howto-create-own-windows-server-on-the-eve/

Chúng tôi đang sử dụng: SERVER_2019_EVAL_x64FRE_en-us_1.iso. Đảm bảo rằng tên bản phân phối không có khoảng trắng trong tên tệp!

Quy trình này giống với mọi máy chủ Windows Server phiên bản 2008, 2012, 2016, 2019 khác.

Bước 1. Tạo một thư mục mới cho hình ảnh này theo quy ước đặt tên:

mkdir /opt/unetlab/addons/qemu/winserver-2019/

Bước 2. Use WinSCP kết nối tới EVE-NG và sao chép distro ISO image into the newly created directory path:

/opt/unetlab/addons/qemu/winserver-2019/

Bước 3. Chuyển đến thư mục đó qua CLI

cd /opt/unetlab/addons/qemu/winserver-2019/

Bước 4. Đổi tên tệp ISO này thành cdrom.iso

mv SERVER_2019_EVAL_x64FRE_en-us_1.iso cdrom.iso

Bước 5. Tạo một đĩa cứng ảo mới có tên virtioa.qcow2. Kích thước bạn có thể chọn theo nhu cầu của bạn. Ví dụ này được sử dụng ổ cứng 64Gb.

/opt/qemu/bin/qemu-img create -f qcow2 virtioa.qcow2 64G

Bước 6. Tạo một phòng thí nghiệm mới và thêm nút winserver-2019 mới được tạo

Bước 7. Kết nối nút với đám mây/internet mạng LAN tại nhà của bạn để nút có thể nhận các bản cập nhật từ internet.

Bước 8. Bắt đầu nút bên trong phòng thí nghiệm và tùy chỉnh cài đặt Windows Server của bạn theo ý muốn, vì bạn đã kết nối nó với mạng LAN và internet tại nhà, quá trình cài đặt này sẽ giống như bất kỳ cài đặt Windows thông thường nào.

Bước 9. QUAN TRỌNG: Khi cài đặt windows yêu cầu bạn chọn ổ cứng HDD để cài đặt Windows Server, chọn Tải trình điều khiển, Duyệt, chọn FDD B/storage/2003R2/AMD64, (AMD64 nếu bạn đang cài đặt 64 bit), nhấp vào tiếp theo và bạn sẽ thấy HDD RedHat VIRTIO SCSI HDD bây giờ.

Bước 10. Chọn HDD này và tiếp tục cài đặt Windows Server như bình thường.

Bước 11. Tùy chọn: nếu bạn muốn sử dụng hình ảnh này với bảng điều khiển EVE RDP, thì bạn phải cho phép RDP trên máy Windows này và tạo người dùng và mật khẩu. Trong ví dụ này, chúng tôi sử dụng quản trị viên/Test123. Đảm bảo rằng trong Tường lửa của Windows, các quy tắc gửi đến Truy cập từ xa được phép truy cập Công khai. administrator/Test123.

Bước 12. Hoàn tất cài đặt và tắt máy ảo đúng cách từ bên trong VM OS. Bắt đầu/tắt máy

QUAN TRỌNG: Cam kết cài đặt để đặt nó làm hình ảnh mặc định để sử dụng thêm trong EVE-NG:

Bước 13. Trên thanh bên trái trong phòng thí nghiệm trong Giao diện người dùng web EVE, chọn “Chi tiết phòng thí nghiệm” để nhận chi tiết UUID của phòng thí nghiệm của bạn: Trong ví dụ này: UUID: 3491e0a7-25f8-46e1-b697-ccb4fc4088a2

Bước 14. Tìm ra POD ID của nút đã sử dụng và ID nút của nút mới được cài đặt của bạn.

Số POD được gán cho tên người dùng của bạn và có thể tìm thấy trong GUI EVE, Quản lý/Quản lý người dùng. Người dùng Quản trị sử dụng POD số 0 theo mặc định.

Có thể lấy ID nút bằng cách nhấp chuột phải vào nút trên cấu trúc liên kết. Trong ví dụ này là 8

Bước 15. Từ EVE CLI, định vị hình ảnh đã cài đặt và cam kết các thay đổi của bạn sẽ được sử dụng làm mặc định để sử dụng thêm trong EVE-NG:

cd /opt/unetlab/tmp/0/3491e0a7-25f8-46e1-b697-ccb4fc4088a2/8/

/opt/qemu/bin/qemu-img commit virtioa.qcow2

Bước 16. Xóa cdrom.iso khỏi thư mục: /opt/unetlab/addons/qemu/ winserver-2019/

cd /opt/unetlab/addons/qemu/winserver-2019/

rm -f cdrom.iso

Bước 17. Kiểm tra máy chủ Windows 2019 đã cài AD-DC

DNS, DHCP, CA…

Bài 1. Phân tích sơ bộ mô hình triển khai ADFS 2019 và CA 2019 làm SSO với Ứng dụng MFA, tOTP:

Các thành phần để triển khai hệ thống MS-ADFS làm hệ thống xác thực định danh, đăng nhập 1 lần, dùng trung AD Users, cấp chữ ký số Domain Trusted CA và thêm MFA, tOTP, QRcode Local cho các thiết bị di động làm xác thực 2 yếu tố sẽ gồm:

01 máy chủ ADFS 2019.
01 máy chủ CA 2019:
- Request SSL certificate from Internal CA Server.
- ACME/ Certbot tool tại CA Publish Internet riêng (nếu muốn làm Public ADFS).
- Request SSL/TLS certificate from Internet 3rd (nếu không muốn dùng ACME).
- Cài và cấu hình CA Server kiểu Enterprise Root-CA thông qua AD-CS services Role.
01 máy chủ AD-DC1 (master PDC).
01 AD-DC2 (Backup DC).

Lưu ý: không nên cài AD-RMS hoặc AD-DC cùng với ADFS và càng không nên cài cùng CA2019, do khi cài ADFS hoặc CA server vào cùng sẽ khoá việc thay đổi chỉnh sửa Domain Controller hoặc các dịch vụ có liên quan như: RMS, DHCP, DNS, RRAS, VPN …

Sơ đồ hệ thống:

Bài 2. Triển khai máy chủ CA 2019 và Export Cert Trusted Root CA cho MS-ADFS

Máy chủ CA2019 dựng mới tách riêng khỏi AD2016/AD-BDC:
Mở Server Manager của máy chủ CA2019

Add Roles and Features Wizard: chọn Installation Type: Role-based or Feature-based installation

Chọn Server Roles: Active Directory Certificate Services Tools

Thêm cấu hình Features: .NET Framework 3.5 Features,
Chọn .NET Framework 3.5 (includes .NET 2.0 and 3.0)

Chọncấu hình Certification Authority

Chọn thư mục chứa bộ cài D:\sources\sxs

Sau khi cài xong .NET Framework 3.5

Chọn tiếp tục cấu hình AD-CS

Chọn cấu hình Certification Authority

Cần bổ sung Certification Authority Web Enrollment:

Cấu hình Web Server Role IIS để cho phép cấp đăng ký và duyệt Cert Enroll qua web.

Chọn cho phép Web Server

Chọn Certification Authority Web Enrollment

Chọn cấu hình Setup Type: Enterprise CA

Chọn CA Type: Root CA

Chọn Private Key: Tạo mới

Chọn kiểu mã hoá Cryptography SHA256, Key length: 2048

Nhập tên CA Name: cloud-CA2019-CA, DN suffix: DC= company, DC=vn

Nhập thời gian có giá trị của Trusted Root CA: 10 năm

Chọn thư mục ngầm định lưu Log nhật ký và nơi chứa cer, Crt, crl:

Tạo Certificate Template và Issue cho ADFS2019 riêng:
Mở máy chủ CA 2019 và chạy Certification Authority

Chọn menu phải chuột: Certificate Templates > Manage

Chọn Template: Computer > Phải chuột chọn Pop menu: Duplicate Template
Khai báo các thông số cho template mới này:

Chú ý: chọn Subject Name, Format: Common name, DNS name

Lưu lại Template mới này với tên adfs2019

Chọn phải chuột ở mục Certificate Templates > Popbar: New > chọn Certificate Template to Issue

Chọn đúng Template mới tạo để bật Enable Certificate Templates

Đã chọn mẫu Template này cho việc tạo các bản đăng ký xin và cấp chữ ký số chuẩn cho Devices auth, client auth, server auth

Bài 3. Cấu hình ADFS2019 1 lần duy nhất để kiểm tra:

Mở PowerShell dùng lệnh:

PS C:\Windows\system32>Get-AdfsEndpoint | select FullUrl | clip

Sửa một số cấu hình

https://adfs2019.company.vn/adfs/ls/idpinitiatedsignon.aspx

Màn login

Như vậy chúng ta vừa kiểm tra tính năng Weblogin

https://adfs2019.company.vn/adfs/ls/idpinitiatedsignon?client-request-id=abbyy-ccf1-23400-0000-0010070000cd

Phải kích hoạt các gói Claim cho chính máy chủ ADFS, FS, LS, SAML2:

Truy cập lại trang web:

https://adfs2019.company.vn/adfs/ls/idpinitiatedsignon.aspx

Tham khảo: https://learn.microsoft.com/en-us/powershell/module/adfs/get-adfssslcertificate?view=windowsserver2022-ps

Get-AdfsSslCertificate

PS C:\> Set-AdfsAlternateTlsClientBinding -Member "certauth.adfs2019.company.vn" -Thumbprint "B3A8ABD3XXXXXXXXXXXXXXXXXXXXXX"

Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

Copy the URL that is returned (select only the URL itself, not the closing bracket or the initial “@{FullUrl=” part)

Use this URL whenever vCenter asks for the OpenID Address

Bài 4. Cấu hình xuất và nhập CA Trusted Root của CA2019 cho vCenter 7x:

Mở lại máy chủ CA2019
Chọn mở thư mục C:\Windows\system32\CertSrv\CertEnroll sẽ tìm thấy file Cert dạng Trusted Root CA cảu CA 2019 server.

Hãy copy file này để Import Add thẳng vào mục Certificate Management của vCenter 7x hoặc 8x:

Màn hình vCenter 7x nguyên gốc sau khi cài và cấu hình chạy vCenter Appliance 7x chỉ có 4 mẫu chứ ký số issue, chưa có chữ ký số của CA 2019

Bây giờ chúng ta sẽ bấm nút “ADD” để thêm CA Trusted Root CA của CA2019 Server tạo ra:

Lúc đó sẽ có thể bấm detail để xem chi tiết chữ ký số mới

Lưu ý:

Việc cấu hình ADFS tích hợp thành công với vCenter 7x không liên quan tới License Evaluation.

Không nên dùng cách Import Cert Trusted Root CA thông qua KeyStore Java vì khi nâng cấp vSphere và vCenter Appliance có thể gây lỗi mất cấu hình ADFS.

Bài 5. Cấu hình vCenter 7x ADFS với máy chủ ADFS 2019 server:

Mở 2 màn hình trình duyệt web:
- https://192.168.100.42
- Màn điều khiển AD FS máy chủ 192.168.100.43

Sau khi cấu hình thành công phần bên vCenter 7x và bên ADFS 2019, bên ADFS 2019 tiếp tục edit

Bên ADFS 2019 sẽ cấu hình thêm các rules để gửi Account, UPN, Email, Device code… để gửi cho vcenter 7x khi login thành công

Tạo nhóm:

Tạo tiếp

Kết thúc phần tạo Rules cho vCenter 7x MFA – Web API Properties:

Bài 6. Kiểm tra cấu hình và phân quyền truy cập qua ADFS

Hệ thống thông báo re-direct to URL ADFS server

Nếu Account bạn đăng nhập lại chưa được phân quyền truy cập vào vcenter 7x thì sẽ có báo lỗi

Nếu bạn đăng nhập bằng Account có domain SSO của vSphere, ví dụ: [email protected]

Hệ thống tự động đổi sang dạng xác thực SAML2 của VMware vSphere.

P.S: Khi truy cập được vCenter bằng Account [email protected] thì chúng ta phân quyền để cho các Groups hoặc User AD cụ thể được quyền truy cập thì việc

SSO, ADFS và cấp quyền xác thực qua MFA, tOTP sẽ dễ dàng thực hiện được tiếp theo.

Yêu cầu trong hệ thống Labs Emulator:
Hệ thống EVE-NG sử dụng kiểu Ảo hoá KVM trên nền linux Ubuntu thường là dạng Format file qcow2
Các hệ thống KVM này bị giới hạn các USB device, CDROM không cho phép mount từ VM mà phải cấu hình từ lớp NBD của Host service (tham khảo: https://unix.stackexchange.com/questions/268460/how-to-mount-qcow2-image )
Ngoài ra phải cấu hình can thiệp vào VM cấu hình để cho phép Mount vào 1 phân vùng /dev/media của máy ảo … (tham khảo: https://serverfault.com/questions/373372/how-to-connect-a-cdrom-device-to-a-kvm-qemu-domain-using-command-line-tools )

Mong muốn đơn giản là làm sao khi các VMs đã được dựng chạy sẽ cần bổ sung các phần mềm hỗ trợ cài thêm trong Labs (Admin quản trị sẽ không muốn người dùng cài, cấu hình tuỳ chỉnh nhưng phần mềm này nữa, trong các bài Labs thực hành online giảng dạy càng cần vấn đề này).

Cách xử lý yêu cầu cho Labs Emulator:
Cách mình tư duy là cho luôn các công cụ, phần mềm còn thiếu trong các bộ cài boot OS như: Windows 2016, 2019, 2022, hoặc các hệ điều hành cho Redhat, Ubuntu, Debian…
Cách xử lý cho phần mềm cần bổ sung luôn vào trong các files iso cài đặt có Boot Bank OS sẽ áp dụng luôn cho tất cả các dạng OVA/OVF, VHDX, qcow2 .. của các sản phẩm đóng gói khác như:

Hình mình hoạ về việc bổ sung các phần mềm vào ISO boot của các Node có trong EVE-NG

Một số danh sách các hãng có VM Appliance làm Emulator trên EVE-NG, tất nhiên còn rất nhiều không thể nêu hết:

Apple OSX, Apple MacOS Simple KVM, Android VM, CheckPoint Security Gateway VE, Cisco ACS, Cisco AMP Cloud, Cisco ASA, Baraccuda NGIPS, Cisco IPS, Cisco UCCX,

F5 BIG-IP LTM VE, Fortinet Fortigate, Dell OS10 Virtualization, Cyberoam FW, Citrix Netscaler, Citrix SD-WAN, Forcepoint NGFW, Forcepoint SMC, FreeBSD, FreeNAS NAS, HP VSR1000,

Juniper 128T, Juniper vMX CVP, Juniper vMX, Juniper vSRX NextGen, Kemp LoadMaster, Kerio Control FW, Linux, MikroTik RouterOS, NewImage, Nokia 7750 VSR NG, OPNsense,

Netropy Network Emulator, Ostinato, Palo Alto, Palo Alto Panorama, pfSense Firewall, Pulse Secure, Radware AlteonVA, S-Terra, Silver Peak Unity Edge, IoT Hub , Frog Network, Cloud Edge ATC, Sonic Switch, SonicWall FW, Sophos UTM, Sophos XG, Stormshield UTM FW, TrenMicro vTPS, Velocloud Edge, Velocloud Gateway, Velocloud Orchestrator, Versa Analytics, Versa Director, Versa FlexVNF, VMware ESXi, VMware vCenter, VMware NSX, VMware Cloud Foundation SDC, VMware vRealize Automation, VMware vSAN, VyOS, WatchguardFW. Windows, Windows Server, Zabbix Monitoring, VMTurbonomic, Veeam ONE, VeeamBackupFarm, Z-Scaler vZEN Edge, Viptela vSmart, Viptela vManage…

Các bước thực hiện:

Bước 1. Mở thư mục chưa Files ISO cài windows 2019:

Bước 2. Giải nén ra 1 thư mục file ISO (bằng 7.zip là chắc chắn nhất)

Bước 3. Giải nén và thêm thư mục cũng như đưa các phần mềm bổ sung vào thư mục này

Sau khi cho thêm các phần mềm cần thiết

Bước 4. Download, cài đặt phần mềm ImgBurn

(download: https://download.imgburn.com/SetupImgBurn_2.5.8.0.exe )

Bước 5. Chạy phần mềm ImgBurn và click tạo Image File từ thư mục đã giải nén bước 1,2

Máy laptop của tôi không có CDR/W physical nên báo lỗi, bấm Cancel bỏ qua

Bấm tiếp nút Create image file from files/folders

Bước 6: Chuyển sang Advanced tab. Tiếp theo bấm vào tab Bootable Disc ở phía dưới sau khi bấm được Advanced tab.

Bước 7: Tiếp theo bấm vào biểu tượng Browser “thư mục và kính lúp) ở dưới phần Source và duyệt qua thư mục mới chứa nội dung của tệp ISO đã giải nén bằng 7.zip cùng với các tệp/ thư mục mới được thêm vào.

Sau khi hoàn tất, hãy chọn một vị trí để lưu tệp ISO có thể khởi động mà bạn sẽ tạo trong vài phút. Để làm như vậy, chỉ cần nhấp vào biểu tượng duyệt bên cạnh hộp Đích đến rồi chọn thư mục vị trí cần lưu file ISO và nhập tên File iso mới này (luôn nhập là: cdrom.iso).

Bước 8: Ở Bootable Disc tab, chọn tuỳ chọn nhãn Make Image Bootable, chọn loại mô phỏng Emulation type là None (Custom), và nhập vào Ô Sectors To Load là 8 “kiểu Server”.

Nếu trong trường hợp bạn định làm Bootable iso cho windows client ví dụ như Win VISTA, 8.1, 10/11 chúng ta sẽ nhập: 4.

Bước 9: Cuối cùng, bấm vào biểu tượng duyệt ở phía cạnh hộp Boot Image và chọn thư mục Boot nằm trong thư mục mới tạo mà bạn đã lưu nội dung ở tệp ISO đã giải nén. Chọn tệp có tên tệp etfsboot.com rồi nhấp vào nút Mở.

Bước 10: Nhấp vào nút Build để bắt đầu quá trình tạo lại tệp Image Bootable ISO có thể khởi động Windows. Nhấp vào Yes hoặc OK khi bạn thấy ba hộp thoại sau để tiếp tục xây dựng tệp ISO.

Kết quả sau khi dùng ImgBurn đóng gọi lại File ISO bootable cài windows 2019 cùng bổ sung các phần mềm cần thêm cho Tool Training Labs

Bước 11. Giờ thì mình dùng WINSCP kết nối SSH tới máy chủ EVE-NG

Mở thư mục /opt/unetlab/addons/qemu/winserver-2019.
Upload file cdrom.iso vào đúng thư mục trên

Sau khi đẩy hoàn chỉnh file cdrom.iso lên máy chủ EVE

Bước 12. Khởi động lại VM Windows 2019 để nhận lại mount cdrom.iso

Đăng nhập bằng cách bấm tổ hợp: Ctrl + Alt và phím Delete và gõ mật khẩu trực tiếp vào thanh Input keyboard

Vào ổ CDrom và bắt đầu cài các ứng dụng đã được bổ sung trong file cdrom.iso

Phần 1. Cách chuyển bộ cài máy chủ vCenter Appliance 7x/8x thành Template VMs trong EVE-NG:

Các bước bên dưới dựa trên việc tạo VMWare vCenter 7x/ 8x, để triển khai hình ảnh khác, hãy sử dụng tên riêng tương ứng với Model Labs của bạn.

Lưu ý trước khi thực hiện:

Dùng 7.zip mở file VMware-VCSA-all-7.0.0-15952498.iso và tìm tới source file VMware-vCenter-Server-Appliance-7.0.0.10100-15952498_OVF10.ova.
Vị trí file OVA có trong file ISO sau khi được 7.zip mở thường là: \VMware-VCSA-all-7.0.0-15952498\vcsa\
Dùng WINSCP/PuTTy kết nối SSH tới EVE-NG và đăng nhập bằng user: root, tạo thư mục có trong /root/ với tên tương ứng ví dụ: /vcva8.

Tham khảo: https://www.eve-ng.net/index.php/documentation/howtos/howto-add-vm-ware-vcenter/

Bước 1. Dùng 7.zip mở file vcenter Appliance 7.x hoặc 8.x .iso

Mở đến thư mục vcsa\

Bước 2. Mở WINSCP kết nối máy chủ EVE-NG và tạo thư mục /root/vcva7

Hoặc dùng lệnh SSH login user: root tạo lệnh cli thư mục chưa vCenter Appliance 7 ova hoặc vcenter 8 ova

Bước 3. Giải nến file OVA image.

Bước 4. Tạo thư mục chứa VM templates của vCenter appliance 7.x/8.x

Bước 5. Convert first 3 vmdk HDDs to the qcow2 format.

qemu-img convert -O qcow2 -c VMware-vCenter-Server-Appliance-8.0.0.10100-20920323_OVF10-disk1.vmdk /opt/unetlab/addons/qemu/vcenter-8.0/sataa.qcow2

qemu-img convert -O qcow2 -c VMware-vCenter-Server-Appliance-8.0.0.10100-20920323_OVF10-disk2.vmdk /opt/unetlab/addons/qemu/vcenter-8.0/satab.qcow2

qemu-img convert -O qcow2 -c VMware-vCenter-Server-Appliance-8.0.0.10100-20920323_OVF10-disk3.vmdk /opt/unetlab/addons/qemu/vcenter-8.0/satac.qcow2

Bước 6. Truy cập về thư mục /vcenter8 và tạo thêm 14 ổ VD / tổng 17 ổ VD (lưu ý: vCenter 7 có 16 ổ VD, vCenter 6.5: 13 ổ VD)

cd /opt/unetlab/addons/qemu/vcenter-8.0/

qemu-img create -f qcow2 satac.qcow2 25G

qemu-img create -f qcow2 satad.qcow2 25G

qemu-img create -f qcow2 satae.qcow2 10G

qemu-img create -f qcow2 sataf.qcow2 10G

qemu-img create -f qcow2 satag.qcow2 15G

qemu-img create -f qcow2 satah.qcow2 10G

qemu-img create -f qcow2 satai.qcow2 1G

qemu-img create -f qcow2 sataj.qcow2 10G

qemu-img create -f qcow2 satak.qcow2 10G

qemu-img create -f qcow2 satal.qcow2 100G

qemu-img create -f qcow2 satam.qcow2 50G

qemu-img create -f qcow2 satan.qcow2 10G

qemu-img create -f qcow2 satao.qcow2 5G

qemu-img create -f qcow2 satap.qcow2 100G

qemu-img create -f qcow2 sataq.qcow2 150G

Lưu ý: cấu hình, thứ tự, số lượng và kích thước các ổ cứng ảo tuân theo cấu trúc vSphere vCenter version 7.x hoặc 8.x

Sau khi thực hiện các lệnh trên

Bước 8. Xoá thư mục temporary và ấn định quyền

cd

rm -rf vcva8

/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

Bước 9. Truy cập Web EVE-NG để sử dụng vCenter 8 Appliance qcow2

Bước 10. Vẽ mô hình, cấu hình network và chạy vCenter 8x

Bước 11. Sửa cấu hình vCenter 7x/8x

Set password mới: VMware1!

Sau khi ấn Esc để lưu lại cấu hình vCenter

Phần 2. Sau khi đã cài và cấu hình thành AD Server windows 2019 trên EVE 5x làm thế nào có thể lưu máy ảo này thành qcow2

Chúng ta có thể đóng gói máy chủ AD-DC server windows 2019 thành 1 máy ảo Template để dùng lại cho các bài Labs khác nhau sau này.

Bước 1. Bắt đầu nút “Node” mà bạn muốn chỉnh sửa và thực hiện các thay đổi.

Bước 2. Hoàn thành và tắt máy ADDC1 đúng cách.

Bước 3. Trên thanh bên trái trong phòng thí nghiệm trong Giao diện người dùng web EVE, chọn Chi tiết phòng thí nghiệm “Detail Lab” để nhận chi tiết UUID của mô hình thí nghiệm.

ID: ab612b07-7d22-4ef0-97db-e381f2244052

Bước 4. Tìm ra ID POD của nút đã sử dụng và ID nút của nút mới được cài đặt của bạn. Số POD được gán cho tên người dùng của bạn và có thể tìm thấy trong GUI EVE, Quản lý/Quản lý người dùng. Người dùng Quản trị sử dụng POD số 1 theo mặc định. Có thể lấy ID nút bằng cách nhấp chuột phải vào nút trên cấu trúc liên kết. Ví dụ: đó là 2

Và Node ID

Bước 5. Theo cấu trúc trên dùng WINSCP mở thư mục

Như vậy, chúng ta đã tìm ra file had.qcow2 là file đã dựng đầy đủ VM Microsoft Active Directory trên windows DC 2019

Bước 6. Copy file had.qcow2 về thư mục mới được tạo ở

mkdir /opt/unetlab/addons/qemu/addc2019

cp /opt/unetlab/tmp/1/ab612b07-7d22-4ef0-97db-e381f2244052/2/hda.qcow2 /opt/unetlab/addons/qemu/addc2019

Bước 7. Chạy lệnh committed để xác định vị trí ổ cứng ảo qcow2:

Bước 8. Mở lại EVE Web, thêm ADDC2 trên sơ đồ mô hình

Bước 9. Triển khai các VMs mới dạng Windows Server 2019

Và tự động tạo ra các ADDC1 được sao chép giống hệt

Phần 3. Tăng dung lượng của EVE-NG server:

Ngầm định EVE-CE chỉ có kích thước 60GB, nếu dựng các VM KVM templates và các bộ ISO cài đặt cho tới cấu hình deploy các VMs cho Labs online là thiếu dung lượng.
Mình có quyết định thử việc tăng dung lượng EVE-NG từ 60- 80GB từ vSphere.
Có 2 cách để tăng dung lượng:
- Cách 1: sửa chính ổ sda (virtual disk 1) à cách này khó chỉnh sửa tăng, tôi khuyên không nên dùng.
- Cách 2: thêm 1 ổ cứng ảo khác (virtual disk 2) à Cách này dễ tăng và tự động, tôi khuyên dùng.

Cách 2. Thêm ổ cứng Hard disk 2…