Đôi khi hạ tầng của doanh nghiệp có một số dòng server không có ổ cứng, và để chạy được hệ điều hành phải boot hệ điều hành qua SAN/iSCSI SAN hoặc SD Card/USB. Bài viết này sẽ hướng dẫn bạn tạo và chạy hệ điều hành Hyper-V Server 2012 R2 trên USB. Giúp bạn có thể chạy Hyper-V Server trên bất kỳ server và ở bất kỳ nơi nào.

Hyper-V Server 2012 R2 là phiên bản miễn phí cho phép tải về và cài đặt. . Là phiên bản Stand-alone và chỉ chứa duy nhất lớp ảo hóa (Hypervisor) để chạy Hyper-V nên ít tiêu tốn tài nguyên CPU/Memory. Hyper-V Server chứa đầy đủ các tính năng (feature) và thành phần (components) giống như role Hyper-V trong Windows Server 2012 R2.

II) Chuẩn bị

• Tải và download Hyper-V Server 2012 R2 tại đây
• Tải và download Windows AIK for Windows 7 tại đây
• Bài lab thực hiện trên Windows 7

III) Thực hiện

1) Cài đặt Windows AIK for Windows 7

• Chạy StartupCD.exe và chọn “Windows AIK Setup” để tiến hành cài đặt

• Chọn “I Agree”

• Chọn đường dẫn cài đặt –> Để mặc định

• Tiến hành cài đặt

2) Copy file Install.WIM của Hyper-V Server 2012 R2 DVD

• Vào DVD –> Sources –> tìm file “Install.WIM” và copy chúng

• Tạo một thư mục tạm trên ổ C và đặt tên “Temp” –> Past file “Install.WIM vào”

3) Tạo một file VHD bằng Diskpart và cho hiển thị ổ VHD

• Vào Windows –> tìm “cmd” và chuột phải “Run as administrator”

• Tạo một thư mục hvboot trên ổ C để chứa file VHD bằng lệnh “mkdir c:hvboot”, gõ Diskpart để dùng tool này tạo file VHD

• • Tạo một vhd với dung lượng 6GB, chứa ở thư mục hvboot:
    • Create vdisk file=c:hvbootHyperV.vhd maximum=6000 type=fixed
  • Tạo một partition và attach file VHD vừa tạo để có thể nhìn thấy ổ đĩa HyperV.vhd(R:)
    • Select vdisk file=c:hvbootHyperV.vhd
    • Attach vdisk
    • create partition primary
    • assign letter=R
  • Format ổ đĩa và đặt tên:
    • format quick fs=ntfs label=HyperV

• Kết quả

4) Đưa Hyper-V Image vào ổ đĩa VHD vừa tạo và detach ổ HyperV (R:)

Sau khi đã tạo file VHD, bước tiếp theo là đưa Hyper-V Image (Install.WIM) vào ổ đĩa VHD này

• Đi tới thư mục Windows AIK và chọn kiến trúc, tùy vào dòng server mà có các loại kiến trúc phù hợp (vd: x86, ADM, IA64)
  • Gõ: cd “C:Program FilesWindows AIKToolsx86”
• Thực hiện ép HyperV Image vào ổ đĩa VHD:
  • Gõ: /Apply C:TempInstall.WIM 1 R:

• Hoàn thành

• Thực hiện detach ổ đĩa HyperV (ổ R:), gõ:
  • Diskpart
  • Select vdisk file=c:hvbootHyperV.vhd
  • detach vdisk
  • exit

5) Cắm USB vào, tiến hành format USB và đưa file VHD vào

• Xác định USB bằng diskpart, gõ:
  • Diskpart
  • List disk –> xác định ổ đĩa nào có kích thước là 8GB

• Format và đặt lại là ổ đĩa Z và tạo một partition để hiển thị USB, gõ:
  • Clean
  • Create partition primary
  • Select partition 1
  • Active
  • Format quick fs=ntfs
  • Assign letter=Z
  • Exit

• Copy file HyperV.vhd và dán vào USB (Z:)

• Kết quả

6) Tạo MBR (Master Boot Record) và sao chép các tập tin khởi động trong thư mục Windows vào USB

• Dùng bootsect tool trong Windows AIK để tạo ra MBR cho USB, tùy vào kiến trúc của server, Gõ:
  • cd “C:Program FilesWindows AIKToolsPEToolsX86”
  • Bootsect /nt60 z: /force /mbr

• Attach lại file VHD để tiến hành tạo bcdboot cho bước sau, gõ:
  • Diskpart
  • Select vdisk file=Z:HyperV.vhd
  • Attach vdisk

• Thực hiện copy một số file hệ thống trong thư mục Windows của HyperV.vhd vào ổ đĩa USB (Z:), gõ:
  • bcdboot R:Windows /s Z:

7) Disable Paging File và detach ổ đĩa HyperV.vhd

• Load Registry, gõ:
  • Reg load HKLMHyperVTemp R:WindowsSystem32ConfigSystem
• Remove paging file bằng cách thay giá trị thành rỗng, gõ:
  • Reg add “HKLMHyperVTempControlSett001ControlSession ManagerMemory Management” /v PagingFiles /t REG_MULTI_SZ /d “” /f
• Delete các Paging File, gõ:
  • Reg delete “HKLMHyperVTempControlSet001ControlSession ManagerMemory Management” /v ExistingPageFiles /f
• Unload Registry, gõ:
  • Reg unload HKLMHyperVTemp

• Detach ổ đĩa HyperV.vhd, gõ:
  • Diskpart
  • Select vdisk file=Z:HyperV.vhd
  • Detach vdisk

8) Kiểm tra và boot bằng USB

Sau khi hoàn tất việc cấu hình, ta tiến hành kiểm tra USB

• Cắm USB vào Server và chọn USB

• Chọn hệ điều hành

• Hệ thống tiến hành nhận diện một số device trong Server và quét Driver

• Lần đầu tiên khởi động, hệ điều hành sẽ kêu bạn đổi password Administrator

• Hoàn tất quá trình Boot, lúc này bạn chỉ việc cấu hình Computer Name, Network, Firewall, Date and Time….

Một trong những vấn đề mà doanh nghiệp quan tâm hàng đầu là dữ liệu, dữ liệu của họ luôn gia tăng từng ngày. Việc cần có các giải pháp mở rộng cũng như tối ưu hệ thống lưu trữ dữ liệu là điều cần thiết. Data deduplication (chống trùng lắp dữ liệu) là một tính năng mới của Microsoft, cho phép quét và tìm kiếm những dữ liệu bị trùng nhau trên ổ đĩa. Giúp tiết kiệm dung lượng ổ đĩa đáng kể, và hoàn toàn không ảnh hưởng đến dữ liệu hoặc khả năng truy xuất dữ liệu.

• Capacity optimization: Lọc và tìm kiếm những dữ liệu trùng lắp trên ổ đĩa, xử lý chúng và thu hồi tài nguyên lãng phí về, giúp cho ổ đĩa luôn được tối ưu và tiết kiệm dung lượng. Hiệu quả hơn các giải pháp khác như Single Instance Storage hoặc NTFS Compression.
• Scale and performance:  Xử lý 50MB/1giây dữ liệu và cho phép xử lý nhiều ổ đĩa cùng một lúc. Việc xử lý không ảnh hưởng đến các công việc truy xuất dữ liệu trên server. Tiêu thụ ít tài nguyên CPU và RAM cho việc này, nếu Server đang hoạt động cao thì việc xử lý có thể dừng lại. Hỗ trợ việc lập lịch (schedule) và các chính sách xử lý dữ liệu (File Policies).
• Reliability and data integrity: luôn kiểm tra và xác minh dữ liệu, để đảm bảo tính toàn vẹn. Đồng thời thực hiện truy vấn và kiểm tra cấu trúc của file và thường xuyên tham chiếu tới các khối dữ liệu.
• Optimization management with familiar tools: cấu hình qua giao diện Server Manager hoặc Windows PowerShell.

Data deduplication tương thích với các tính năng như : Failover Cluster, BranchCache, DFS Replication và File Service Resource Management (FSRM).

Bảng đánh giá quá trình Data Deduplication sau khi quét :

B) Nguyên tắc hoạt động

Ví dụ, nếu Data deduplication phát hiện có 2 file giống nhau về kích thước và nội dung, nó sẽ xóa bớt 1 file. Chúng hoạt động bằng cách tách dữ liệu ra thành nhiều khối (32-128Kb cho một khối), sau đó chúng đem các khối này so sánh với nhau và lọc ra những khối nào bị trùng. Nếu các khối nào bị trùng thì nó sẽ xóa bớt và chỉ lưu duy nhất 1 bản cho khối đó trên ổ đĩa. Các khối này được lưu trên thư mục System Volume Information của ổ đĩa đó.

Sau khi tính năng Data Deduplication được kích hoạt trên ổ đĩa, chúng bắt đầu lọc và xử lý việc trùng lắp dữ liệu. Trong hình, file abc và file def có khối dữ liệu 3MB giống nhau (A, B, C). Chúng sẽ đưa khối dữ liệu này vào một nơi gọi là Chunk Store (kho chứa dữ liệu trùng lắp), đồng thời trong cấu trúc của file abc và file def, hệ thống sẽ tạo một trường gọi là reparse data chứa con trỏ và trỏ về khối dữ liệu chung này. Quá trình chống trùng lắp dữ liệu này không ảnh hưởng việc truy xuất dữ liệu của người dùng.

Khi một ổ đĩa kích hoạt tính năng chống trùng lắp dữ liệu, trong ổ đĩa đó sẽ có các thành phần như :

• Unoptimized File : file không được xử lý, chẳng hạn như những file nhỏ hơn 32KB, file mã hóa, file có thuộc tính mở rộng, file trạng thái hệ thống (system state), SQL Database và Exchange database, những file được ứng dụng xử lý và thay đổi thường xuyên.
• Optimized file: file được xử lý, là những file document, file máy ảo (VHD), file cài đặt Software và những file ít bị thay đổi nội dụng. Trong cấu trúc của chúng sẽ có một trường reparse data (chứa con trỏ)
• Chunk store : là kho chứa các dữ liệu trùng lắp

C) Các công việc chính của Data Deduplication

1. Optimization job

Thực hiện quét và đưa các dữ liệu trùng lặp vào chunk store (kho chứa dữ liệu trùng lặp). Đồng thời nén các dữ liệu chunk này, Những dữ liệu nào đã được quét qua thì chúng được gắn nhãn “policy”, tức đã được kiểm tra và xét duyệt.

2. Data Scrubbing Job

Thực hiện quét và kiểm tra các metadata (cấu trúc) của dữ liệu. Đảm bảo cấu trúc dữ liệu được toàn vẹn và không bị thay đổi. Đồng thời quét và phát hiện những dữ liệu nào bị lỗi (corrupt), ghi nhận lại vào một file log. Dựa trên file log đó để thực hiện phân tích và sửa lỗi các dữ liệu này. Với các tính năng như:

• Nếu dữ liệu nào được thường xuyên truy cập và hơn 100 lần, các dữ liệu đó sẽ được ưu tiên backup. Nếu dữ liệu có bị lỗi (corrupt) thì sẽ lấy bản backup ra để sử dụng.
• Nếu bạn triển khai tính năng Storage Space để ánh xạ dữ liệu (mirror), thì Data Deduplication sẽ dùng dữ liệu bên ổ đĩa ánh xạ để phục vụ việc truy xuất cũng như thực hiện phục hồi cho những trường hợp dữ liệu bị lỗi.
• Nếu dữ liệu bị hỏng một đoạn nào đó khi đang được xử lý để đưa vào chunk store, đoạn dữ liệu đó sẽ được bỏ đi và tái tạo lại đoạn khác.

3. Garbage collection jobs

Đôi khi những dữ liệu được người dùng xóa hoặc chỉnh sửa, và chúng không còn trùng lặp trên ổ đĩa. Tính năng này giúp quét và xóa những dữ liệu không còn bị trùng lặp trong chunk store. Khi bạn thực hiện lại tính năng optimization job, thì tất cả dữ liệu cũ trong chunk store tự động bị xóa.

D) Lab Data Deduplication

Mô hình triển khai:

• Máy AD : địa chỉ IP 172.1.1.1/24, domain huypd.com
• Máy FS1 : địa chỉ IP 172.1.1.2/24, domain huypd.com, cài tính năng Data Deduplication

Thực hiện:

• Trên FS1, thực hiện cài tính năng Data Deduplication. Server Manager –> Add roles and features

• Chọn role “File and Storage Services –> File and iSCSI Services –> Data Deduplication

• Bài lab này, tôi chép đầy dữ liệu cho ổ E, dữ liệu ở đây là nhạc. Tôi copy 2 lần các dữ liệu này để tạo sự trùng lặp

• Mở Windows PowerShell –> gõ “cd e:” và “Get-ChildItem –Recurse” để xem tất cả các file trong dữ liệu E

• Sau khi đã cài xong tính năng Data Deduplication, bước tiếp theo là kích hoạt tính năng này cho ổ đĩa E –> Vào Server Manager –> chọn “File and Storage services” –> chọn Volumes –> chọn ổ E và chuột phải chọn “ Configure Data Deduplication”

• Deduplicate files older than: thời gian cho là dữ liệu hết hiệu lực và phải thực hiện quét và kiểm tra trùng lặp lại
• Custom file extensions to exclude: những loại dữ liệu trong ổ E mà bạn muốn bỏ qua việc chống trùng lặp (vd : ở đây tôi thử là GHO, loại trừ những dữ liệu ghost). Sau đó nhấn Add
• Set deduplication schedule: chọn thời gian thực hiện việc phân loại và chống trùng lặp.

• Chọn thời gian cho việc quét và chống trùng lặp

• Mở Windows Powershell –> gõ “cd e:” và “get-dedupvolume” để kiểm tra xem ổ đĩa này có được thực hiện Data Deduplication chưa.

• Do là lần đầu tiên cấu hình, nên tối thực hiện kích hoạt cơ chế phân loại và chống trùng lặp bằng tay –> Gõ “Start-Dedupjob –Full –Path E: –Type Optmization”

• Sau khi hệ thống tiến hành quét, ta thực hiện lệnh “Get-dedupstatus | fl” để xem kết quả.

• Lúc này trong Server Manager cũng đã hiện các thông số và kết quả quét.

• Thực hiện tính năng Scrubbing bằng lệnh “Start-Dedupjob –Full –Path E: –Type Scrubbing”

• Thực hiện tính năng Garbage Collection bằng lệnh “Start-Dedupjob –Full –Path E: –Type Garbage Collection”

DFS Replication là tính năng cho phép hai hoặc nhiều server đồng bộ dữ liệu với nhau, theo mô hình Multi-master. Hỗ trợ lập lịch replicate và điều chỉnh băng thông replicate.

Sử dụng giao thức Remote Differential Compression (RDC) để đồng bộ dữ liệu trên đường truyền. Khi có sự thay đổi về dữ liệu, RDC sẽ chỉ replicate những dữ liệu thay đổi, chứ không replicate hoàn toàn một file mới. Gíup tiết kiệm đáng kể băng thông.

2) Cấu trúc của DFS Replication

• Replication group: là một nhóm chứa các thành viên là server, thực hiện replicate một hoặc nhiều folder với nhau.
• Replicate folder: là các folder chứa các dữ liệu sẽ được replicate tới các server trong nhóm, các replicate folder này luôn đồng bộ với nhau giữa các server.
• Trong lần đầu tiên thiết lập việc Replication, ta có một máy làm Primary member, là máy chứa dữ liệu mà bạn muốn thực hiện replicate tới các server khác trong group.
• Trong replication group, ta có thể cấu hình một số thông số như: lập lịch replicate theo định kỳ, băng thông replicate.

3) Quá trình thiết lập DFS Replication

1) Sau khi bạn hoàn thành cấu hình việc replication trên DFS Server, hệ thống sẽ không thiết lập việc replication ngay lập tức. Mà các thông tin cấu hình này sẽ được gửi tới các tất cả các máy Domain Controller, sau đó các thành viên trong nhóm Replication sẽ đi lên máy DC để lấy thông tin này về.

2) Sau khi có thông tin cấu hình, các thành viên khác sẽ đi lên Primary member để lấy dữ liệu về, nếu thành viên nào lấy được đầy đủ dữ liệu từ Primary member trước, thì nó sẽ tự động replicate sang các thành viên khác.

3) Khi tất cả các thành viên đã nhận được đầy đủ dữ liệu của Primary member, thì lúc này quá trình thiết lập replication cũng đã hoàn thành. Lúc này sẽ không còn định nghĩa Primary member nữa, mà tất cả các thành viên là ngang hàng nhau. Nếu có sự thay đổi dữ liệu của thành viên nào, thì lập tức sẽ replicate tới các thành viên khác trong nhóm.

4) Tính năng mới của DFS Replication trên WS 2012 R2

• Database cloning for initial sync (New): Tính năng Database Cloning cho phép người quản trị xuất ra những dữ liệu và cấu trúc lưu trữ vào một file cấu hình .xml (Export-DfsrClone ) trên Primary member sau đó cho phép đem dữ liệu và file .xml này qua các thành viên khác để import vào (Import-DfsrClone). Điều này giúp tối ưu thời gian replicate và thời gian đồng bộ giữa Primary member và các thành viên khác
• Data Corruption recovery (New): ở các phiên bản trước, nếu DFS Replication phát hiện dữ liệu của một thành viên nào đó bị lỗi (corrupt), thì nó sẽ tự động xóa dữ liệu đó trên thành viên và thực hiện việc replicate lại. Trong Windows Server 2012 R2, DFS Replication sẽ phát hiện tự sửa lỗi bằng cách nó quét và phát hiện dữ liệu bị lỗi ở phần nào, sau đó nó chỉ cần nhật lại những phần đó.
• Cross file RDC Disable (New): là tính năng nhằm cải thiện giao thức RDC cho quá trình replicate. Nó lọc ra những thay đổi một cách chi tiết hơn. Giúp tiết kiệm tối đa băng thông replicate, nhưng bù lại thì yêu cầu tính toán CPU và Disk nhiều hơn.
• File Staging Tuning (New): Mỗi thành viên sẽ có một hàng đợi Staging. Hàng đợi này dùng để sắp xếp các dữ liệu replicate cửa mình và thực hiện gửi đi cho các thành viên khác. Mặc định 1 block dữ liệu trong hàng đợi là 256KB, có thể cấu hình cao hơn.Staging cũng hỗ trợ cơ chế nén. Có thể sử dụng lệnh Set-DfsrMembership –MinimumFileStagingSize để cấu hình lại block dữ liệu.
• Preserved file restoration (New): cho phép phục hồi các file trong thư mục Existing, Conflict and Deleted.
• Unexpected shutdown database recovery improvement (Updated): Việc Server xảy ra sự cố đột ngột dẫn tới dữ liệu có thể bị mất và dẫn tới bị lỗi (corrupt). Windows Server 2012 R2 sẽ phát hiện và tự động kiểm tra và phục hồi dữ liệu bị lỗi
• Membership disabling improvements (Updated): khi bạn tách một thành viên ra khỏi group replication thì thành viên này tự động xóa các thư mục nằm trong DfsrPrivate (bao gồm Staging,conflict and deleted, preexisting). Trong Windows Server 2012 R2 cho phép giữ lại những thư mục này

5) Mô hình triển khai Replication

• Hub and Spoke topology: có thể có một hoặc nhiều server làm Hub, và các Server đặt tại chi nhánh sẽ làm Spoke. Những dữ liệu của Hub Server sẽ được replicate xuống các Spoke Server, và ngược lại. Các Spoke server sẽ không được phép replicate dữ liệu được. Mọi thứ phải qua Hub làm trung gian.

• Full mesh topology: các server sẽ được phép replicate cho nhau. Ví dụ, khi có một file trên một server nào đó, nó sẽ replicate file đó cho tất cả các thành viên còn lại.

• Custom topology: có thể tùy biến, có thể kết hợp giữa Full mesh và Hub and Spoke với nhau. Một Server làm Hub tổng và các chi nhánh làm Spoke, sau đó các Spoke Server sẽ cấu hình Full mesh cho nhau.

6) Triển khai lab

Mô hình triển khai:

• AD (172.1.1./24) : máy Domain controller (Huypd.com).
• FS1: máy File Server 1 (172.1.1.2/24), chính là máy Primary Server, thực hiện replicate thư mục có tên “Public Data FS1”.
• FS2: máy File Server 2 (172.1.1.3/24), chứa dữ liệu Replicate trong thư mục “Replication Data Software and New”.
• FS3: máy File Server 3 (172.1.1.4/24), chứa dữ liệu Replicate trong thư mục “Public Data FS1”.
• Mô tả: mô hình triển khai là Full Mesh, cấu hình Replicate giữa FS1 và FS2 bằng giao diện, tiếp tục thực hiện tính năng “Database cloning for initial sync” để export và import dữ liệu từ FS1 qua FS3, sau đó thực hiện add FS3 vào nhóm Replication bằng lệnh shell.

Thực hiện:

• Trên máy FS1, tạo thư mục “Public Data FS1” có chứa dữ liệu. Máy FS2, tạo thư mục “Replication Software and News”.

• Tiến hành cài tính năng DFS Replication cho tất cả 3 máy File Server. (Server Manager –> Add roles and features –> File and Storage Services –> DFS Replication”.

• Sau khi cài tính năng DFS Replication, vào tạo một Replication Group. Chuột phải –> New Replication Group

• Đặt tên cho Replication Group là “Replication News and Projects”

• Khai báo 2 Server, FS1 và FS2.

• Chọn mô hình (bài lab này là Full mesh)

• Chọn băng thông cho việc Replicate

• Chọn server FS1 làm Primary member

• Chọn thư mục replicate trên server FS1. Ở đây là thư mục “Public Data FS1”

• Ở server FS2, nhấn Edit. Chọn thư mục tiếp nhận những dữ liệu replicate, ở đây là thư mục “Replicate Software and New”

• Hoàn tất quá trình cấu hình, lúc này hệ thống sẽ tiến hành quá trình thiết lập Replication

Thực hiện cấu hình DFS Replication cho FS3 bằng tính năng mới “Database Cloning for initial replication”

• Trên máy FS1, mở Windows PowerShell. Gõ lệnh Export-DfsrClone –Volume C: –Path “C:\Dfsrclone” để tiến hành xuất ra file .xml chứa cấu trúc của ổ đĩa và những thông tin về cấu hình DFS Replication.

• Tiếp theo,trên server FS1 ta xuất ra những dữ liệu trong Public Data FS1 bằng lệnhRobocopy.exe “C:\Public Data FS1” “\\fs3\c$\Public Data FS1” /E /B /COPYALL /R:6 /W:5 /MT:64 /XD DfsrPrivate /TEE /LOG+:Preseed.log
• /E : copy cả thư mục con, /Copyall : copy tất cả thông tin và thuộc tính của file, /R: số lần thực hiện copy lại nếu thất bại, /W: thời gian đợi để thực hiện copy lại, /MT: tạo ra nhiều luồng copy,  /TEE : xuất ra kết quả trên console, /LOG : ghi lại quá trình thực thi trong một file Log”.

• Lúc này bên Server FS3 đã có thư mục Public Data FS1 và các dữ liệu.

• Trên Server FS1, thực hiện lệnh Robocopy.exe C:\DfsrClone\\FS3\C$\DfsrClone /B . Thực hiện copy thư mục DfsrClone qua bên FS3.

• Sau khi thực hiện lệnh trên, thư mục DfsrClone đã có ở trên FS3 ở ổ C

• Trên FS3, Tiến hành Import thông tin trong DfsrClone vào role DFS Replication, thực hiện bằng 2 lệnh :
  • RD “C:\System Volume information\dfsr” –Force –Recurse , xóa thư mục Dfsr (nếu tồn tại trong hệ thống) trước khi import vào .
  • Import-DfsrClone –Volume C: –path “C:\DfsrClone” , thực hiện import thông tin trong thư mục DfsrClone vào DFS Replication.

• Tiếp theo là dùng lệnh Shell để Add máy FS3 vào Replication group “Replication News and Projects”.
  • Add-DfsrMember –GroupName “Replication News and Projects” –ComputerName “FS3” | Set-DfsrMembership  -FolderName “Public Data FS1” –ContentPath “C:\Public Data FS1”

• Thực hiện tiếp lệnh Add-DfsrConnection –GroupName “Replication News and Projects” –SourceComputerName “FS1” –DestinationComputerName “FS3” , lệnh này để tạo DFS Replication Connection kết nối FS3 với 2 server còn lại, và khai báo FS1 làm Primary Member để tiến hành cho quá trình thiết lập replication ban đầu.

• Kiểm tra lại, lúc này trong Replication Group đã có đầy đủ kết các thành viên và các kết nối hay chưa. Nếu có đầy đủ, thì lúc này FS3 sẽ thực hiện quá trình thiết lập Replication với FS1.

Nếu trong công ty của bạn có nhiều file server chứa nhiều dữ liệu quan trọng và bạn cần phải giữ các dữ liệu này luôn sẵn sàng hoạt động để phục vụ người dùng. Hơn nữa, sau này công ty mở rộng thêm các site chi nhánh và ở đó cũng có file server, thì dữ liệu sẽ bị phân tán và nằm rời rạc trên các file server. Khi người dùng muốn truy cập một dữ liệu nào đó thì sẽ rất khó khăn, vì phải xác định dữ liệu nằm ở file server nào trong hệ thống mạng.

Distributed File System (DFS) là một giải pháp cho phép người quản trị tập trung các dữ liệu nằm rời rạc trên các file server về một thư mục chung và thực hiện các tính năng replicate nhằm đảm bảo dữ liệu luôn sẵn sang khi có sự cố về file server. Bao gồm 2 tính năng : DFS Namespace và DFS Replication.

Cung cấp 3 giải pháp :

• Sharing File Across banch office : người dùng đi ở site nào cũng có thể truy cập các thư mục trên, và họ lưu dữ liệu trên các thư mục này thì dữ liệu sẽ được replicate qua các site khác, nhờ vào DFS Replication
• Data collection : dữ liệu của các file server ở chi nhánh sẽ được replicate tới văn phòng chính hoặc data center, điều này giúp tập trung các dữ liệu về một nơi duy nhất. Sau đó người quản trị ở văn phòng chính sẽ dùng các giải pháp backup để sao lưu toàn bộ dữ liệu.
• Data distribution : kết hợp DFS Namespace và DFS Replication cho các thư mục như Software, Trainning, Document, Project. Người dùng sẽ dễ dàng truy cập và tăng độ sẵn sàng khi có sự cố xảy ra (nhờ vào tính năng DFS Replication), khi người dùng không truy cập được tới DFS Server trong Site của họ, thì hệ thống sẽ tự redirect người dùng qua DFS Server của Site khác. Dữ liệu vẫn đầy đủ. (Hình dưới)

B) Tổng quan về DFS Namespace

1. Giới thiệu

• DFS Namespace : cho phép người quản trị nhóm các thư mục share nằm rời rạc trên các file server vào một thư mục đại diện trong hệ thống mạng, người dùng chỉ cần truy cập vào thư mục đại diện là thấy được tất cả các thư mục share trên các file server.
• DFS Namespace trong Windows Server 2012 R2 : hỗ trợ Direct Access bằng cách điều hướng người dùng tới DFS Namespace Server gần nhất để họ truy cập DFS Namespace. Sử dụng phiên bản Windows Management Infrastructure mới nhất (WMIv2) để quản lý DFS Namespace
• Các loại triển khai DFS Namespace : Stand-alone namespace và Domain-based namespace
• Cấu trúc DFS Namespace : bao gồm Namespace Server, Namespace Root folder, Folder, Folder Target.

2. Triển khai DFS Namespace :

Mô hình :

• Máy AD (172.1.1.1/24) : là máy DC (huypd.com), cài đặt tính năng DFS và là DFS Namespace Server thứ 1
• Máy ADC (172.1.1.2/24) : là máy sẽ làm DFS Namespace Server thứ 2 (dự phòng) (không cần cài role DFS)
• File Server 1 (172.1.1.3/24) : join domain, chứa 2 thư mục chia sẻ là Software và Trainning
• File Server 1 (172.1.1.4/24) : join domain, chứa 2 thư mục chia sẻ là Project và News.
• Máy client (172.1.1.5/24) : join domain và test DFS

Thực hiện :

• Tạo các thư mục Software, Trainning, Project, News trên máy File Server 1, File Server 2 (như hình). Sau đó tiến hành Share thư mục với quyền Full Control. (Chuột phải Properties thư mục –> Sharing –> Advanced Sharing)

• Máy AD cài đặt role DFS. Server Manager –> Add Roles and Features

• Chọn File and Storage Services –> File and iSCSI Services –> Stick chọn 2 mục “DFS Namespace” và “DFS Replication”

• Sau khi đã cài thành công role DFS, lúc này máy AD đã trở thành DFS Namespace server, lúc này ta vào DFS Management để tạo một Namespace. (Chuột phải chọn New namespace)

• Chọn server làm DFS Namespace server.

• Khai báo tên cho Root Folder

• Chọn mô hình triển khai

• Bước tiếp theo là tạo các thư mục, các thư mục này dùng để chứa Folder Target của các File Server

• Tạo ra thư mục Trainning và khai báo folder targets trỏ tới thư mục Trainning của File Server1

• Tương tự cho thư mục Software

• Sau khi đã khai báo 4 thư mục (News, Project, Software, Trainning). Lúc này ta kiểm tra lại trong Public Folder

• Khai báo thêm Namespace Server cho máy ADC để dự phòng khi máy AD chết thì máy ADC sẽ phục vụ DFS Namespace (Chuột phải chọn Add namespace server)

• Máy Client đăng nhập bằng user và kiểm tra DFS Namespace

• Vào Run gõ “\\huypd.com\Public Folder”

• Lúc này ta đã truy cập thành công. Ta tiếp tục kiểm tra xem tính dự phòng của DFS, bằng cách tắt máy AD đi và truy cập lại đường dẫn trên, lúc này máy ADC sẽ phục vụ việc truy cập DFS của Client.

1) DNS

DNS là một giao thức cho phép phân giải từ host name sang địa chỉ IP và ngược lại. Hoat động trên port 53, cấu trúc của DNS là cơ sở dữ liệu dạng cây thư mục. Bao gồm từ Top Level Domain (TLDs), Second Level Domain (SLDs), Sub Domain (Host).

DNS có 3 zone chính primary zone, secondary zone và stub zone. Dữ liệu của các zone được lưu trong một file gọi là zone file. Trong zone file chứa dữ liệu DNS, được thể hiện qua các record như SOA, A, CNAME, MX, NS, SRV.

2) DNSSEC

Giao thức DNS thiếu hụt tính bảo mật do không có công cụ xác thực nguồn dữ liệu được trao đổi giữa máy chủ (DNS Server) và máy trạm (Client), hoặc quá trình chuyển tiếp (Forwarder) giữa máy chủ này đến máy chủ khác trong Domain. Trước nguy cơ dữ liệu DNS có thể bị giả mạo và làm sai lệch, DNSSEC ra đời để giải quyết vấn đề này.

DNSSEC (Domain Name System Security Extensions), là một giao thức mở rộng trên nền DNS, cung cấp khả năng chứng thực (Authentication) và đảm bảo dữ liệu được toàn vẹn (Integrity) cho hệ thống DNS.

Gồm 3 mục tiêu chính :

• Sender Authentication : chứng thực dữ liệu cho quá trình gửi đi
• Data Integrity: bảo vệ toàn vẹn dữ liệu trong quá trình truyền, giúp người nhận được đảm bảo dữ liệu không bị thay đổi.
• Authenticated denial of existence: ngăn chặn kẻ tấn công, chúng phá hoại bằng cách tự động gửi xác nhận là không tồn tại dữ liệu mà Client truy vấn.

3) Ưu và nhược điểm của DNS

Giao thức DNS chống lại các loại tấn công như :

• Cache Poisoning or cache pollution : ngăn chặn cố gắng tấn công và đầu độc Cache DNS Server.
• Interference with DNS data on Secondary server : ngăn chặn attacker giả mạo làm DNS Primary Server để gửi các gói Update DNS qua cho các máy DNS Secondary Server để cập nhật.
• Data interception : ngăn chặn kẻ tấn công can thiệp vào dữ liệu, khi dữ liệu đang được gửi đi. (Prevent Spoofing)

Sau đây là đoạn video mô tả về DNS Spoofing :

DNS spoofing (giả mạo) là 1 kiểu tấn nhằm mục đích giả mạo DNS server để dùng các thông tin giả mạo trả lời lại client. Tấn công giả mạo này, kẻ tấn công sẽ cố gắng đoán xem DNS client or DNS server có gửi 1 truy vấn DNS nào không hoặc ngồi đợi 1 DNS response. Từ đó, sau khi lắng nghe thì attacker sẽ insert 1 DNS response giả mạo vào DNS server’s cache, quá trình này được gọi là cache posoining (đầu độc cache DNS server). Việc giả mạo này làm cho các máy chủ DNS server thì không có cách nào chứng thực được DNS data là hợp pháp, và sẽ dùng các thông tin này trả lời (reply) lại cho các client. Một kẻ tấn công cũng có thể set Time-to-Live (TTL) trên dữ liệu DNS giả với 1 con số lớn, vì thế DNS server sẽ cache (lưu lại) đoạn DNS bị đầu độc này với khoảng thời gian dài (nhiều tiếng hoặc nhiều ngày).

Nhược điểm của DNS là chưa giải quyết được các vấn đề như : Packet Sniffing, DDoS Attack, Phishing and Pharming.

4) Cấu trúc của DNSSEC

Thay vì hệ thống DNS có 4 phần tử chính : Delegation, Zone file management, Zone file distribution, resolving. Thì giờ đây sẽ có thêm 2 phần tử đó là Zone File Signing và Verifying để trở thành DNSSEC.

a) Đối với quá trình Zone File Signing

Zone signing là nơi DNSSEC thực hiện ký (signing) cho các zone dữ liệu và các phần tử (record) trong zone dữ liệu đó. Bao gồm 4 loại bản ghi mới và mỗi bản ghi đều có thông số TTL (Time-To-Live) :

• DNS Public Key (DNSKEY) : bằng cách dùng Public Key tạo ra DNSKEY và sử dụng DNSKEY để ký (signed) cho zone.
• DNS Private Key (RRSIG) : sử dụng để ký (signed) cho các record trong zone, bằng cách chúng sẽ dùng private key để tạo ra một chữ ký số (RRSIG) và RRSIG này sẽ được thêm vào mỗi record trong zone.
• NSEC (Next-Secure) : Authenticated denial of existence . Nếu client truy vấn 1 record trong DNS mà nó không có thì DNS server gửi trả lại là không tìm thấy record, nhưng việc này cũng cần phải được xác minh. NSEC record sẽ thực hiện nhiệm vụ này bằng cách tạo ra 1 chuỗi liên kết giữa các tài nguyên record lại với nhau. NSEC record sẽ được tạo ra và trong mỗi NSEC record đều có 1 Pointer chỉ tới NSEC record kế tiếp. NSEC record cuối cùng sẽ được trỏ tới NSEC record đầu tiên. (Như hình trên)
• DS (Delegation Signer) : mỗi child domain (child zone – tphcm.huypd.com) sẽ tạo ra một DS để gửi lên Parent Zone (Forest zone – huypd.com). DS này chứa DNSKEY của child zone đó. Dùng để thiết lập chứng thực giữa các zone trong Forest, thường dùng cho việc forwarder hoặc transfer zone.

b) Đối với quá trình Verifying

1) Khi client gửi truy vấn tìm kiếm địa chỉ www.tphcm.huypd.com tới Local DNS Server.

2) Local Server sẽ đi đến các Root Server để hỏi domain huypd.com và Root Server sẽ hướng dẫn Local Server đi đến trực tiếp Authoritative DNS Server của domain huypd.comcần tìm.

3) Sau đó Local DNS Server sẽ đến Authoritative DNS Server huypd.com để hỏi DNS Server tphcm.huypd.com, DNS Server huypd.com sẽ hướng dẫn Local DNS Server đi đến thẳng Authoritative DNS Server chịu trách nhiệm domain tphcm.huypd.com

4) Local DNS Server abc.com tiếp tục đến DNS Server tphcm.huypd.com để hỏi địa chỉwww.tphcm.huypd.com

5) Lúc này DNS Server sẽ kiểm tra trong zone và thấy có record www, DNS Server sẽ trả lời lại Local DNS Server abc.com bằng gói tin DNS Response bao gồm địa chỉ IP, DNSKEY, RRSIG.

6) Sau khi Local DNS Server nhận được gói DNS Response, lúc này nó cần phải kiểm tra xem dữ liệu DNS Response có phải đúng DNS Server tphcm.huypd.com gửi hay không ? Bằng cách đi lên Parent zone (tức DNS Server huypd.com) để xin số Delegation Signer (DS).

7) DNS Server huypd.com sẽ gửi số DS về cho Local DNS Server abc.com.

8) Sau khi nhận được DS, Local DNS Server abc.com lấy số DNSKEY trong gói tin DNS Response đem đi Hash với DS. Và ra một giá trị Hash 1.

9) Tiếp tục, Local DNS Server lấy DNSKEY và RRSIG đem đi Hash và ra một giá trị Hash 2

10) Lấy HASH 1 so sánh với HASH 2 xem có bằng nhau không, nếu bằng nhau thì dữ liệu là chính xác. Sau đó Local DNS Server sẽ xét các thông tin trong RRSIG (bao gồm thời gian RRSIG, Time To Live).

11) Sau khi đã xác minh, lúc này dữ liệu đã hoàn toàn chính xác, Local DNS Server trả về cho Client truy vấn.

Tham khảo video Verifying :

5) Các thành phần khác của DNSSEC

• Trust anchor : Trust anchor là DNSKEY và DS được cấu hình bằng tay và được ép vào 1 zone cụ thể nào đó. Nếu DNS server đang chạy trên Domain controller, trust anchors sẽ được lưu ở partition trong Active Directory Domain Services (AD DS) và có thể được replicate (nhân) sang tất cả các DC/ADC (Authoritative DNS Server) khác trong domain. Còn nếu trên một máy chủ DNS độc lập, trust anchor sẽ được lưu và đặt tên file là TrustAnchor.dns . Một DNS server chạy trên Windows Server 2012 sẽ cho phép người quản trị cấu hình trust anchor trong DNS Manager (phần Trust Point). Lưu ý : các máy DNS Server nào là Non-authoritative DNS Server thì lúc Re-sign hoặc Re-new DNSKEY (DS), bạn phải update bằng tay lại cho chúng.
• Key rollover :  tạo key, lưu trữ key,gia hạn key, làm mới key được Key rollover quản lý. Trong Windows Server 2012, Active Directory sẽ được lưu trữ và làm nhiệm vụ replicate, và tự động rollover.
• DNS Aware : để có thể dùng tính năng DNSSEC, Client và Server phải kích hoạt tính năng truy vấn DNS bằng giao thức DNSSEC. Thường các Client hỗ trợ DNSSEC (Windows 7/8/8.1), đối với Windows Server là WS 2008 R2/2012/2012 R2.
• Key Master : Public Key Và Private Key là do Key Master tạo ra dựa trên các thuật toán Cryptographic Algorithm. Mỗi một zone sẽ được một Key Master quản lý. Key master có thể nằm bất kỳ máy DC/ADC (Authoritative DNS Server) trong domain.

Phần 2

A) Giới thiệu

Lab “Cấu hình và kiểm tra DNSSEC”. Bài lab bao gồm các bước cấu hình và kiểm tra tính năng DNSSEC, thực hiện sign – unsign zone, kiểm tra Trust Anchors, cấu hình DNSKEY, RRSIG và thiết lập Key Master cho zone.

Mô tả :

• Máy DC (172.1.1.1/24) : Nâng cấp DC với domain “huypd.com”. Cấu hình DNSSEC, tạo một zone có tên là “dnssec.huypd.com”, tạo một record A cho host “dc.dnssec.huypd.com”
• Máy ADC (172.1.1.2/24) : Join domain, nâng cấp lên thành Additional DC. Cấu hình địa chỉ IP và DNS như trong hình.
• Máy DNS (172.1.1.3/24) : Join domain, cài đặt role DNS, đặt địa chỉ IP và DNS như trong hình, cấu hình forwarder cho DNS.
• Máy Client (172.1.1.4/24) : Join domain, đặt địa chỉ IP + DNS như hình trên.

B) Thực hiện

1) Prepare and configure requirement

• Máy DC : đặt IP, DNS trỏ về chính mình. Thực hiện nâng cấp domain tại bài viết này, sau đó tạo zone “dnssec.huypd.com”, vào zone dnssec.huypd.com tạo một record A “dc.dnssec.huypd.com”

• Máy ADC : đặt IP, DNS. Thực hiện nâng cấp Additional Domain Controller

• Máy DNS : đặt IP, DNS (trong hình). Cài đặt role DNS và cấu hình Forwarder

• Máy Client Computer : join domain, đặt IP + DNS như trong hình

2) Query an unsigned zone without DNSSEC validation required (thực hiện truy vấn zone dnssec.huypd.com ở cơ chế DNS thông thường)

• Máy Client : mở Windows Powershell –> gõ “ resolve-dnsname dc.dnssec.huypd.com –server dns –dnssecok”. Ta thấy lúc này không có thông tin gì về RRSIG, TTL, thời gian signed và expiration….

3) Sign zone dnssec.huypd.com on DC and distribute trust anchors (Thực hiện ký zone dnssec.huypd.com và phân phối Trust anchors – DNSKEY cho máy DNS và ADC)

• Máy DC vào DNS –> Chuột phải zone “dnssec.huypd.com” và chọn DNSSEC –> Sign the zone

• Chọn “Use default settings to sign the zone” : theo tùy chọn mặc định của hệ thống

• Tiếp theo ta phân phối trust anchor cho máy DNS. Bằng cách trên máy DC, vào đường dẫn “C:\Windows\System32”. Tìm thư mục “dns”

• Thực hiện share thư mục này với quyền Full Control

• Qua máy DNS, thực hiện Import DNSKEY vào –> Chuột phải Trust point, chọn Import –> DNSKEY

• Trỏ tới thư mục share –> chọn “ketset-dnssec.huypd.com”

• Lúc này ta đã import 2 DNSKEY vào, 1 key Active và 1 key Standby

• Máy DNS, mở PowerShell, thực hiện 2 lệnh “resolve-dnsname –namednssec.huypd.com.trustanchors –type dnskey-server dns” và lệnh “ get-dnsservertrustanchor dnssec.huypd.com” để kiểm tra xem key đã import chưa.

• Thực hiện distribute Trust Anchors (tức phân phối DNSKEY) cho máy ADC. Trên máy DC, chuột phải vào zone và chọn DNSSEC –> Properties

• Qua thẻ “Trust Anchor” : check vào ô đầu tiên, để thực hiện phân phối cho tất cả các máy DC/ADC (Authoritative DNS Server) trong domain

• Kiểm tra và ta thấy lúc này đã replicate qua cho máy ADC

4) Query a signed zone without DNSSEC validation required (Client chưa cấu hình tính năng DNSSEC, kiểm tra DNSSEC bằng cách dùng lệnh truy vấn thửdnssec.huypd.com)

• Máy Client gõ “resolve-dnsname dc.dnssec.huypd.com –server dns –dnssecok” . Lệnh này để test thử tính năng truy vấn bằng DNSSEC. Lúc này ta đã thấy các thông số của DNSSEC
• Lệnh “get-dnsclientnrptpolicy” là lệnh kiểm tra máy client có enable tính năng DNSSEC hay chưa.

5) Query a signed zone with DNSSEC validation required (Thực hiện enable tính năng DNSSEC cho các Client bằng Policy, sau đó kiểm tra lại việc truy vấn)

• Máy DC, vào Group Policy –> Cấu hình chính sách “Default Domain Policy” –> Chuột phải chọn “Edit”

• Chọn “Computer Configuration –> Policies –> Windows Settings –> Name Resolution Table” –> Stick vào 2 dấu “Enable DNSSEC in the rule” và “Require DNS clients to check that name and address data….”. Trên cùng chọn Suffix và khai báo zone DNSSEC vào “dnssec.huypd.com” –> Cuối cùng là chọn “Create” và “Apply”

• Máy DC, thực hiện “gpupdate /force” và “get-dnsclientnrptpolicy” để xem thông số cấu hình tính năng DNSSEC.

• Máy Client cũng thực hiện “gpupdate /force” và  lệnh “get-dnsclientnrptpolicy”. Thông số “DNSSecValidationRequired” mà là True thì lúc này tất cả các client trong domain đều áp dụng tính năng truy vấn bằng DNSSEC.

6) Un-sign the zone and then re-sign the zone with custom parameters (Thực hiện Un-Sign và Re-sign lại zone)

• Chuột phải zone –> DNSSEC chọn Unsign the zone

• Re-sign lại zone

• Chọn “Customize zone signing parameters” để ta tiến hành cấu hình thông số cho việc Sign zone

• Chọn Key Master cho zone

• Tiếp theo ta sẽ cấu hình KSK, KSK là nơi quản lý và tạo ra các DNSKEY.

• Remove Key đang sẵn có, Add một key mới với thông số : thuật mã hóa RSA/SHA-512 và số bits là 2048. Nhấn OK

• Tiếp tục với ZKS, ZKS là nơi quản lý và tạo ra Private Key – RRSIG.

• Remove Key đang sẵn có, Add một key mới với thông số : thuật mã hóa RSA/SHA-512 và số bits là 1024. Nhấn OK

• Cấu hình NSEC, có thể để mặc định

• Enable tính năng tự động distribute trust anchor cho các máy AD/ADC khác trong domain

• Lúc này ta đã có các Record DNSSEC

• Key lúc này là RSA/SHA-512

• Thực hiện “get-dnsservertrustanchor –name dnssec.huypd.com –computer dns” . Ta thấy máy DNS vẫn dùng Trust Anchor cũ.

• Do ta Re-sign lại nên máy DNS sẽ không tự động cập nhật Trust Anchor mới được, và lúc này nó vẫn dùng Trust Anchor cũ. Ta cần phải cấu hình bằng tay lại. Ta thực hiện 2 lệnh bên dưới để xóa Trust Anchor cũ, “remove-dnsservertrustanchor” và “remove-dnsserverzone”

• Thực hiện import key mới vào

• Lúc này ta đã có Trust Anchor mới nhất

7) Transfer the Key Master role for dnssec.huypd.com to ADC (Thực hiện chuyển Key Master của zone sang máy ADC)

• Trên máy DC, chuột phải zone dnssec.huypd.com –> DNSSEC –> Properties

• Chọn thẻ Key Master –> Sau đó chọn “Use the following DNS Server as the Key Master”, chọn máy ADC.

iSCSI (Internet Small Computer System Interface) là một giao thức chạy trên nền TCP/IP, cho phép kết nối tới Storage bằng đường Network (LAN/WAN). Được định nghĩa bởi IETF, giao thức cho phép các lệnh SCSI truyền trên đường Network, giúp ta có thể truy xuất và truyền tải dữ liệu từ khoảng cách xa.

Khi một người dùng hoặc một ứng dụng gửi một request yêu cầu truy xuất dữ liệu trong Storage, hệ thống sẽ tạo ra một số lệnh SCSI tương ứng với yêu cầu, sau đó đóng gói (Encapsulate) và mã hóa (Encrypt) và gửi đi trên đường Network. Khi Server nhận được, nó sẽ tháo (De-Encapsulate) và giải mã (Decrypt) để cuối cùng nhận được các lệnh SCSI. Các lệnh SCSI sẽ được đưa vào SCSI Controller để thực thi và xử lý theo yêu cầu.

Trong hệ thống Storage, LUN (Logical Unit Number), là một con số logic dùng để tập hợp các ổ đĩa chạy bằng các loại giao thức SCSI, iSCSI và Fibre Channel. Nói một cách khác, LUN là nơi quản lý tập trung các các ổ đĩa trong hệ thống lưu trữ Network (Storage Area Network – SAN).

Các ổ đĩa iSCSI được tạo ra từ các Server chạy các hệ điều hành như Windows/Linux. Và LUNS sẽ gắn cho iSCSI một con số logic và gọi là “Target”. Khi một server hoặc một thiết bị nào đó muốn kết nối tới hệ thống iSCSI SAN, chúng sẽ dùng một software gọi là iSCSI Initiator để kết nối tới con số “Target” này. Và con số này sẽ quản lý kết nối giữa iSCSI Target và iSCSI Initiator

Từ Windows Server 2008 trở về sau, Microsoft hỗ trợ tính năng tạo ra hệ thống lưu trữ iSCSI SAN và chúng được gọi là “iSCSI Targets Server”. Nó cho phép triển khai các hệ thống lưu trữ SAN dựa trên giao thức iSCSI mà không cần đầu tư các hệ thống SAN mắc tiền và chi phí cao như Fibre Channel. Hỗ trợ cho các doanh nghiệp vừa và nhỏ.

B) Lợi ích của ISCSI Target Server (Benefits)

• iSCSI Target Server cho phép kết nối tới iSCSI SAN mà không cần dùng software iSCSI Initiator của Microsoft (Ví dụ như nền tảng Linux)
• Được xem là nền tảng Block Storage cho nên nó hỗ trợ trợ các ứng dụng yêu cầu chạy trên nền tảng Block Storage, tương thích và tích hợp với tính năng Failover Clustering để tăng độ sẵn sàng cho các ứng dụng.
• Đối với sử dụng tính năng Hyper-V, iSCSI SAN cho phép lưu trữ các máy ảo (Virtual Machine), đồng thời hỗ trợ một số tính năng High Availability như (Live Migration, Storage Migration, Failover Clustering).

C) ISCSI Target Server trong Windows Server 2012 R2

• Virtual Disk Enhancement : VHDX là một chuẩn lưu trữ mới, cho phép lưu trữ nhiều hơn, tăng khả năng chịu lỗi khi có sự cố xảy ra, tối ưu hóa cấu trúc sắp xếp và lưu trữ, cho phép tăng hiệu suất đáng kể.
• Scalability : cho phép 544 kết nối từ các Initiator tới Target Server, đồng thời hỗ trợ lên đến 256 iSCSI Disk trong Target Server đó.

D) Hướng dẫn cấu hình và tạo một iSCSI SAN trên Windows Server 2012 R2

Mô hình :

• Máy Domain Controller (172.1.1.1/24) : cài tính năng iSCSI Target Server
• Máy Hyper-V1 (172.1.1.2/24) : dùng tính năng iSCSI Initiator kết nối tới iSCSI Target Server
• Máy Hyper-V2 (172.1.1.3/24) : dùng tính năng iSCSI Initiator kết nối tới iSCSI Target Server

Thực hiện :

• Trên máy Domain Controller : vào Server Manager và nhấn “Add Roles and Features”

1. Vào mục File and Storage Services –> File and iSCSI Services –> iSCSI Target Server

• Sau khi cài đặt xong thì vào : Server Manager –> File and Storage Services –> Volume –> Click vào Task –> “New iSCSI Virtual Disk”.

• Chọn ổ đĩa F để tạo (vì ổ đĩa F trong bài Lab còn trống 31,2GB)

• Đặt tên cho iSCSI Virtual Disk

• Ở đây tôi tạo ra một iSCSI Virtual Disk với dung lượng 20GB và cơ chế Fixed Size

• Những bước trên chỉ mới tạo ra một iSCSI Virtual Disk, việc tiếp theo là tạo ra một iSCSI Target (LUNs) và gắn iSCSI Virtual Disk vừa tạo vào Target.

• Đặt tên cho iSCSI Target

• Bước này cho phép khai báo những server nào được kết nối tới iSCSI Target. Nhấn Add và thêm 2 địa chỉ của 2 Server Hyper-V vào.

• Confirm và create để tiến hành tạo.

• Lúc này đã tạo thành công và xuất hiện một iSCSI SAN

• Vào ổ F và thấy hệ thống tạo ra một file VHDX để chứa iSCSI SAN

Bước này là bước khai báo iSCSI Target cho 2 máy Server Hyper-V. Thực hiện trên cả 2 máy

• Vào Server Manager –> Tools –> iSCSI Initiator

• Hệ thống sẽ báo là bạn chưa khởi động service “Microsoft iSCSI”. Chọn Yes để khởi động dịch vụ này lên.

• Khai báo IP của iSCSI Target Server –> Sau đó chọn “Quick Connect” để tiến hành kết nối.

• Kết nối thành công

• Bước tiếp theo bạn cần làm là khởi động ổ đĩa iSCSI SAN này lên. Vào Start –> Run –> gõ “Diskmgmt.msc” (Thực hiện trên cả 2 máy Server Hyper-V)

• Chuột phải chọn “Online”

• Tiếp theo chuột phải chọn “Initilize Disk”

• New Volume cho Virtual Disk

• Chọn GPT (GUID Partition Table) : là phiên bản nâng cấp từ MBR, cho phép hỗ trợ nhiều dung lượng hơn cơ chế MBR

• Sau đó format (lưu ý : có thể bỏ chọn “Quick Format” để tiến hành Format chi tiết hơn)

• Lúc này ta đã có một iSCSI SAN dùng chung.

Policy Based Assignment là một tính năng mới trong DHCP (Windows Server 2012). Cho phép cấp phát địa chỉ IP dựa trên chính sách. Policy Based Assignment (PBA) cho phép nhóm và phân loại các Client Device lại với nhau dựa trên một số thuộc tính trong gói tin Client Request, sau đó cấp phát IP theo chính sách mà người quản trị định nghĩa.

Mục đích của việc triển khai PBA là để dễ dàng phân loại các thiết bị và sắp xếp chúng vào một range IP nhất định , từ đó có thể dễ dàng quản trị và thiết lập một số tính năng tối ưu.

Nguyên tắc hoạt động của PBA dựa trên các trường (fields) trong gói tin Client Request :

• Vendor Class
• User Class
• MAC address
• Client Identifier
• Relay Agent Information

Multiple Device Type : phân loại các thiết bị quan trọng dựa trên thuộc tính của thiết bị (Vendor Class : IP Phone, Printer, Desktop) và sắp xếp chúng vào một range IP nhất định, tiếp theo người quản trị có thể thiết lập QoS (Quality of Service) cho range IP đó.

Multiple Role : có thể phân loại và tách rời các client device (Laptop, desktop, server) sang một range IP riêng biệt (range IP dành cho server, range IP dành cho desktop). Hơn nữa, nếu công ty có các client là laptop và chúng kết nối bằng Wireless trong công ty. Và nếu cấu hình cấp phát IP cho các thiết bị kết nối Wireless này ở dạng Relay Agent. Thì bạn có thể dùng trường Relay Agent Information để phân loại các thiết bị wireless này sang một range IP nhất định và cấu hình thời gian Lease Duration (thời gian mà địa chỉ IP tồn tại) là 4 tiếng. Ngoài ra còn có thể tắt (disable) tính năng Dynamic Update DNS cho các thiết bị này (đơn giản vì chúng không cần thiết)

Virtualization : đa số các máy ảo (Virtual machine) bạn tạo ra trong môi trường ảo hóa đều dùng một dãy Prefix MAC nhất định (ví dụ : Prefix MAC với 6 số đầu là 00-15-5D). Dựa trên Prefix MAC này, bạn có thể cấu hình PBA cho phép các máy ảo nằm trong một range IP nhất định, để từ đó có thể thiết lập các Option DHCP như : Default Gateway, DNS, Lease Duration.

B) Mô tả

Cấp phát địa chỉ :

1) Sau khi DHCP Server nhận được gói tin Client Request, nó sẽ xét Default Gateway để xác định gói tin đến từ Subnet nào, sau đó sẽ dò trong danh sách Scope để tìm ra Scope phù hợp với subnet đó.

2) Tiếp theo, DHCP Server sẽ kiểm tra trong Scope có cấu hình Policy Based Assignment hay không, và nếu có thì ưu tiên xét các chính sách trong PBA.

3) Nếu xét các policy trong PBA mà không phù hợp (match) với tất cả policy nào, thì DHCP Server sẽ cấp IP bình thường theo định nghĩa trong Scope. Nếu phù hợp thì tiến hành cấp IP trong chính sách mà ta qui định.

4) Một client request có thể match nhiều điều kiện trong chính sách đó. Và sẽ cấp địa chỉ IP thấp nhất trong range IP đó (172.1.1.31) , nếu địa chỉ IP thấp nhất đã được cấp thì sẽ lấy địa chỉ IP thứ 2 để cấp (172.1.1.32). Ngoài ra, trong một chính sách có thể cấu hình nhiều range IP (ví dụ : có 2 range, range 1 là 172.1.1.30 – 172.1.1.40 và range 2 là 172.1.1.70 – 172.1.1.80), thì hệ thống sẽ dùng range 1 trước, nếu range 1 hết thì lấy range 2 ra cấp). Trong trường hợp 2 range đã đầy và không còn địa chỉ IP nào để cấp, thì gói tin client request sẽ được DHCP Server hủy (drop).

Cấp phát Option : mỗi chính sách trong Scope sẽ có một Option (DNS, Default Gateway, Lease Duration) riêng biệt. Nếu client match với chính sách nào thì sẽ nhận IP và các Option trong chính sách đó.

C) Triển khai Policy Based Assignment

Mô hình :

• Máy AD (172.1.1.1/24) : Cài role DHCP và cấu hình PBA. Với 2 chính sách, một cho Client Computer (xét theo MAC Address), một cho các máy ảo trong Hyper-V1 Server (xét theo MAC Prefix).
• Máy Client Computer : Windows 8.1, xin cấp địa chỉ IP trong khoảng 172.1.1.34 – 172.1.1.35
• Hyper-V1 : có 2 máy ảo VM1 và VM2 xin cấp địa chỉ IP trong khoảng 172.1.1.37 – 172.1.1.39, tạo máy ảo có thể tham khảo tại đây.

Thực hiện :

1) Cài đặt DHCP trên máy AD

• Kích hoạt và cấp phép cho DHCP Server trong Domain

2) Tạo một Scope (IP Range, Default Gateway, DNS)

• Range IP từ : 172.1.1.30 – 172.1.1.40

• Default Gateway : 172.1.1.1 (AD.huypd.com)

• DNS : 172.1.1.1

• Tạo và kích hoạt cho phép sử dụng Scope.

3) Tạo chính sách cấp phát cho Client Computer

• Trước tiên, ta phải qua máy Client Computer, vào Run –> CMD –> gõ “Ipconfig /all” để xem địa chỉ MAC Address

• Tiếp theo, trên máy DHCP Server tạo một Policy

• Cơ chế : AND nếu match tất cả các điều kiện yêu cầu thì mới cấp | OR : chỉ cần match một trong các điều kiện yêu cầu ta cấu hình

• Critera : chọn MAC Address, sau đó nhập vào MAC Address ở ô Value và nhấn Add

• Nếu thỏa chính sách thì khai báo cấp IP ở từ khoản nào tới khoản nào trong Scope ta vừa tạo

• Tiếp theo cấu hình Default Gateway ở Option số “003 Router”

• Cấu hình DNS ở Option “006 DNS Server”

• Nhấn Finish để kết thúc

• Vào Client Computer gõ “Ipconfig /renew” và kiểm tra xem có cấp đúng theo Policy ta vừa tạo ra.

4) Cấp phát theo IP Prefix MAC Address cho các máy ảo

• Sau khi tạo 2 máy ảo, ta start 2 máy ảo lên

• Vào máy ảo 1 để coi địa chỉ MAC Address : 00-15-5D-01-02-0b

• Vào máy ảo 2 để coi địa chỉ MAC Address : 00-15-5D-01-02-0C

• Tiến hành New Policy trong DHCP Server

• So sánh 2 địa chỉ MAC Address của 2 máy ảo trên ta thấy chúng dùng chung một rang MAC Prefix (cố định) và bắt đầu từ : 00-15-5D-01 . Tiến hành khai báo vào với giá trị là “00155D01*” và stick vào ô Appen Wildcard (*) –> Nhấn Add

• Nếu thỏa chính sách thì khai báo cấp IP ở từ khoản nào tới khoản nào trong Scope

• Bước cuối cùng là vào máy ảo và gõ “Ipconfig /renew” để kiểm nghiệm lại quá trình cấu hình

A) Giới thiệu

DHCP Failover trong Windows Server 2012 là tính năng mới cho phép 2 DHCP Server cùng chia sẻ chung dịch vụ DHCP , tăng độ sẵn sàng (High Availability) và phục vụ liên tục trong mạng.

Khi 2 DHCP Server được cấu hình tính năng Failover, 2 bên sẽ replicate các scope và các thông tin cho nhau như DHCP Option, Reservations, Policies  và Active Lease (những IP đã được cấp và đang sử dụng). Và các DHCP Server này sẽ giao tiếp được với nhau là nhờ vào Failover Relationships

Thay vì replicate tất cả các Scope mà Primary DHCP Server có được qua cho Partner DHCP Server. Bạn cũng có thể định nghĩa cho phép một số scope được replicate với nhau.

B)  Đặc tính của DHCP Failover

• Tính năng DHCP Failover chỉ hỗ trợ từ Windows Server 2012
• DHCP Failover chỉ hỗ trợ DHCPv4.
• 2 DHCP Server sẽ duy trì liên lạc với nhau thông qua TCP/IP
• Có thể cấu hình trực tiếp DHCP Failover mà không cần stop hoặc restart dịch vụ DHCP
• 1 Scope chỉ cho hỗ trợ  tối đa 2 DHCP Server chạy Failover với nhau.
• 1 trong 2 máy DHCP Server có thể tự động thiết lập việc replicate và synchronize cho nhau.
• Client phải giao tiếp được cả 2 DHCP Server, có thể là trực tiếp hoặc có thể nhờ DHCP Relay.

C) DHCP Failover Relationships

DHCP 1 và DHCP 2 có thể thiết lập failover là nhờ vào Failover Relationships. Nó giống như là một kênh để 2 DHCP Server giao tiếp với nhau. Thuộc tính của Failover Relationships gồm :

• 1 mối quan hệ (Failover Relationship) chỉ hỗ trợ tối đa 2 DHCP Server
• DHCP Server A cho phép tạo tối đa 31 mối quan hệ (Failover Relationship) với một DHCP Server B. Nhưng DHCP Server A cũng có thể tạo nhiều mối quan hệ giữa các DHCP Server khác trong mạng như C,D,E,F.
• Trên failover relationship có thể chứa một hoặc nhiều scope (tùy thuộc ta cấu hình)

Mô hình trên mô tả mối quan hệ giữa các DHCP Server với nhau :

• DHCP 1 – DHCP 2 : giao tiếp với nhau nhờ vào kênh Failover Relationship 1, và kênh này có tên là DHCP1-DHCP2. Trên kênh này chứa 2 Scope là A và B, 2 bên sẽ định nghĩa một shared secret để trao đổi với nhau. Và chạy cơ chế Load-Balancing (50-50).
• DHCP 2 – DHCP 3 : giao tiếp với nhau nhờ vòa kênh Failover Relationship 2, và có tên là DHCP3-DHCP2. Trên kênh này dùng Scope B để phục vụ, 2 bên cũng định nghĩa một shared secret key để giao tiếp với nhau. Chạy cơ chế Hot Standby ( DHCP 3 là active, DHCP 2 là standby).

 D) DHCP Failover Mode

Có 2 cơ chế chạy trong DHCP Failover là Hot Standby và Load Balancing

1. Hot Standby (Active – Passive)

• Sẽ có một server là active và server còn lại là standby. Server chạy active sẽ chịu trách nhiệm phục vụ cấp địa chỉ IP trong mạng khi client request. Server chạy standby còn lại là để dự phòng và không phục vụ, chỉ khi DHCP Server Active chết thì nó mới đứng ra thay thế.

• Một DHCP Server có thể là active của Failover Relationship 1 (Hot Standby) nhưng cũng có thể là standby của Failover Relationship 2 (Hot Standby)
• Khi bạn cấu hình Hot standby mode, có một thông số là Reserved IP address, mặc định là 5%. Thông số này có nghĩa là Standby server sẽ giữ 5% lượng IP trong Scope để nhằm phục vụ cho client trong trường hợp client không liên lạc được với Active server để nhờ cấp IP (trong khi Active server vẫn tồn tại trong mạng).
• Thông số Maximum Client Lead Time (MCLT) là thời gian mà Standby server gia hạn IP cho client. Trường hợp này xảy ra khi client đã được cấp IP và đến lúc gia hạn lại mà không liên lạc được với Active server, thì lúc này Standby server đứng ra gia hạn cho client và áp dụng thời gian gia hạn tạm thời (MCLT).
• Sau khi gia hạn cho client với một thời gian MCLT. Khi client hết hạn mà vẫn không liên lạc được với Active server, lúc này Standby server sẽ tiếp tục gia hạn chứ không cấp IP mới cho client.

 2. Load Balance :

• 2 DHCP Server failover sẽ cùng phục vụ việc cấp địa chi IP trong mạng cho client. Mặc định tỷ lệ phục vụ là 50% – 50%, bạn có thể tùy chỉnh 70 % – 30 %.

• Thuật toán sẽ dựa trên RFC 3074, tức là lấy địa chỉ MAC của client đem đi hash (băm). Sau đó so sánh với Hash bucket. Ví dụ cấu hình load balancing 50% – 50%, thì lúc này Hash bucket của DHCP Server 1 là từ 1 đến 128, hash bucket của DHCP Server 2 là từ 129 đến 256. Nếu hash của client nằm trong range 1 à 128 thì DHCP Server 1 sẽ phục vụ request của client này, nếu client nằm trong 129 à 256 thì DHCP Server 2 sẽ phục vụ.

Về việc phân bổ địa chỉ IP cho 2 DHCP Server tùy thuộc vào tỷ lệ phần trăm. Ví dụ, ta có một scope 10.0.0.0/24, từ 10.0.0.1 đến 10.0.0.200 và tỷ lệ là 50 % – 50 %. Thì DHCP Server 1 sẽ giữ resource IP từ 10.0.0.1 đến 10.0.0.100 và DHCP 2 sẽ giữ từ 10.0.0.101 đến 10.0.0.200. Nếu client request và được DHCP 1 phục vụ thì sẽ bắt đầu từ 10.0.0.1, còn client request mà được DHCP 2 phục vụ thì bắt đầu từ 10.0.0.101.

E)     DHCP Failover Communication

Phần 2

Phần này sẽ hướng dẫn cấu hình DHCP Failover theo 2 cơ chế : Load Balancing và Hot Standby

A) Mô hình như sau :

• Máy DHCP Server 1 : là máy Domain Controller với domain “Huypd.com”, cài tính năng DHCP Server
• Máy DHCP Server 2 :  join domain + đặt IP + cài tính năng DHCP để làm DHCP Server thứ 2
• Client : Windows 8.1 + Test

B) Cấu hình

1) Cài đặt tính năng DHCP cho cả 2 Server (thực hiện trên cả 2 máy)

• Tiến hành Authorize để xác minh DHCP Server này là “tin tưởng” trong Domain.

2) Tạo một Scope cho DHCP Server (bước này bạn muốn cấu hình trên DHCP Server 1 hoặc 2 cũng được), ở đây tôi tạo một Scope 172.1.1.0 có thông số như sau :

• IP Range từ 172.1.1.150 đến 172.1.1.200
• Exclusive IP : loại trừ những IP trong 172.1.1.150 đến 172.1.1.160
• Default Gateway : 172.1.1.1
• DNS : 172.1.1.1

• Hoàn thành cấu hình và đồng thời kích hoạt Scope này.

3) Tiếp theo là cấu hình tính năng Failover DHCP

1. Cấu hình cơ chế Load-Balancing

• Chọn Scope mà cả 2 DHCP Server sẽ dùng để chạy Failover (bước này tương đương tạo 1 Failover Relationships)

• Nếu bạn có nhiều scope, bước này sẽ cho bạn lựa chọn thêm

• Khai báo Partner Server (DHCP Server thứ 2) của mình.

• Bước này chọn cơ chế Failover, chọn Load-Balancing. Thông số phần trăm (%) là tỷ lệ phục vụ, đồng thời cũng dựa trên thông số này mà Split scope (chia range IP) theo tỷ lệ tương ứng. Ở đây tôi để mặc định 50-50, tức DHCP Server 1 sẽ giữ 50% lượng IP (từ 172.1.1.161 đến 172.1.1.180) và DHCP Server 2 sẽ giữ range IP từ (172.1.1.181 đến 172.1.1.200)
• Stick vào “Enable Message Authentication” và khai báo một shared secret. Key này dùng chung để trao đổi và chứng thực cho 2 bên . Key này sẽ được dùng để Hash (băm) nội dung trong gói tin, trước khi gửi đi. Ví dụ, nếu DHCP Server nhận được một gói tin  cập nhật (trong gói tin gồm data, giá trị băm)  nó sẽ lấy key của mình đem băm với data của gói tin sau đó so sánh với giá tri băm của trong gói tin. Nếu match (đúng) thì cho là DHCP Server gửi đến thuộc Failover Relationship với mình và tiến hành cập nhật những gì trong gói tin nhận được đó, nếu sai thì sẽ hủy gói tin và gửi gói tin thông báo lý do cho bên kia biết.
• State Switchover Interval : thông số này có ở 2 bên. Nếu trong một khoảng thời gian 60 phút (tùy thuộc cấu hình) mà  Partner của mình không liên lạc, thì DHCP Server sẽ cho là Partner Server của mình chết.

• Hoàn tất việc cấu hình

• Xem thống kê và thông tin chi tiết về Scope

• Lúc này qua bên DHCP Server thứ 2 để kiểm tra sẽ thấy trong DHCP có scope

• Test tính năng Load-Balancing : trên máy client vào Run –> CMD –> để thực hiện các lệnh IPCONFIG

• Gõ Ipconfig /release để xóa IP đang dùng

• Dùng lệnh Ipconfig /renew để xin địa chỉ IP mới

• Gõ Ipconfig /all để xem chi tiết thông tin về IP, lúc này ta thấy DHCP Server cấp IP là DHCP Server 2 (172.1.1.2)

• Tiếp theo, ta giả sử DHCP Server 2 (172.1.1.2) chết (có thể shutdown), gõ lại Ipconfig /release và ipconfig /renew lại

• Gõ Ipconfig /all để xem thông tin IP được cấp, lúc này DHCP Server 1 sẽ phục vụ cấp địa chỉ IP cho client

 2. Cấu hình cơ chế Hot-Standby 

• Thực hiện như các bước bên Load-Balancing, nhưng đến bước chọn cơ chế thì chọn Hot standby.
• Partner Server sẽ là DHCP Server 2 và cho nó là Standby (Passive) – dự phòng. Và hiển nhiên DHCP Server 1 là Hot Standby (Active)
• MCLT : là thời gian mà Standby server gia hạn IP cho client. Trường hợp này xảy ra khi client đã được cấp IP và đến lúc gia hạn lại mà không liên lạc được với Active server, thì lúc này Standby server đứng ra gia hạn cho client và áp dụng thời gian gia hạn tạm thời (MCLT).
• Address Reserved : là phần trăm (%) lượng IP mà DHCP Server 2 sẽ giữ để cấp cho Client trong trường hợp Client không liên lạc được với DHCP Server 1 (Active)

• 10% địa chỉ IP tương đương với 4 địa chỉ.

• Test : trên client gõ Ipconfig /release và ipconfig /renew . Sau đó gõ tiếp Ipconfig /all để xem thông tin. Lúc này DHCP Server 1 (Active) sẽ chịu trách nhiệm cấp địa chỉ IP cho Client.

• Cho DHCP Server 1 chết (shutdown), và thực hiện lại các lệnh Ipconfig /release, /renew, /all . Lúc này thông tin cho thấy DHCP Server 2 thực hiện cấp IP cho Client

A) Giới thiệu 

Windows Deployment Services (WDS) là một role đã có từ các phiên bản Windows Server trước, cho phép triển khai và cài đặt từ xa hệ điều hành, thay thế cho các phương pháp cài đặt truyền thống như DVD/USB. Có 2 cách triển khai :

• Active Directory Integrated: là thành viên trong môi trường Domain  (cần các service chạy cùng như : DHCP, DNS, AD DS)
• Stand-alone: chạy riêng biệt với môi trường Domain

Windows Server 2012 R2, WDS có những đổi mới như :

• Operating System Deployed: cho phép triển khai các hệ điều hành như Windows 8.1, Windows 8, Windows Server 2012/2012 R2, Windows 7, Windows 2008/2008 R2
• Image Type Deployed: những file image dùng để triển khai là file có đuôi “.wim”, “.vhd”,”.vhdx”. Muốn triển khai bằng 2 đuôi .vhd và .vhdx bạn phải dùng lệnh.
• Boot Environments: môi trường boot vẫn dùng Windows PE (là một tính năng cho phép cài đặt Windows từ một nguồn có sẵn)
• Driver Provisioning: tự động detect và hỗ trợ nhiều driver cho máy hơn.
• Multicasting (New): nếu có nhiều kết nối client cùng lúc, WDS sẽ gộp chúng lại thành 1 phiên (session), lúc này chỉ đọc duy nhất 1 lần file .wim từ WDS Server, sau đó sẽ dùng nó để phân phối cho các client trong mạng. Việc này cải thiện đáng kể về performance cho WDS Server (không có nhiều session client nên không read file .wim nhiều lần), và giảm tải gói tin và quá trình xử lý MTU cho phần cứng (Switch hoặc Router).
• Extensibility : hỗ trợ môi trường boot PXE
• Extensible Firmware Interface (EFI) : cho phép giao tiếp với các BIOS UEFI trong môi trường network.

B) Lab cơ bản về Windows Deployment Services

Mô hình :

• Máy Domain Controller (Domain : huypd.com) : cài thêm role DHCP, DNS, và Windows Deployment Services)
• Hyper-V1 : tạo máy ảo và dùng máy ảo boot bằng network (PXE) để triển khai cài đặt Windows 8.1 từ xa. (Hướng dẫn cài đặt Hyper-V và tạo máy ảo tại đây)

• Trên máy DC : cài 2 role DHCP và DNS trước.

• Vào DHCP tạo 1 scope: có IP Range từ 172.1.1.1.50 –> 172.1.1.100, Default Gateway là : 172.1.1.1

• Kiểm tra Reverse Lookup Zones trong DNS đã tạo chưa ? Nếu chưa thì hãy cấu hình nó và  tạo các PTR cho các máy trong AD.

• Sau đó tiến hành cài đặt role Windows Deployment Services

• Deployment Server: là service chính trong WDS, nó cho phép cài đặt từ xa các máy ảo.
• Transport Server: là service cho phép triển khai tính năng Multicasting để truyền data.

• Vào Windows Deployment Services và tiến hành cấu hình cho nó

• Chọn Active Directory Integrated, chỉ triển khai trong môi trường Domain

• Chọn đường dẫn chứa file boot image, install image, PXE boot file bạn sẽ cấu hình sắp tới. Lưu ý : không nên chứa trên ổ C (System Drive), có thể ảnh hưởng tới hiệu suất của máy DC cũng như tính năng WDS.

• Nếu bạn cài DHCP và WDS trên cùng một server thì stick cả 2.  WDS sẽ tự động giúp bạn enable tính năng Boot PXE cho các scope trong DHCP. Nếu không thì chỉ stick duy nhất vào “Do not listen on DHCP and DHCPv6 ports” và cấu hình bằng tay (Manually)

• Do not respond to any client computers: khi client boot bằng PXE thì  không trả lời và phục vụ client. Thường chọn option này khi bạn đang triển khai và cấu hình dịch vụ WDS, và tạm thời không phục vụ dịch vụ WDS.
• Respond only to know client computers: chỉ trả lời và phục vụ các client có trong AD (Computer account), bạn có thể tạo trước computer trong ADUC và khai báo GUID, sau đó qua bên WDS để cấu hình và add computer này vào. Khi client boot lên sẽ quét GUID có phù hợp hay không, nếu phù hợp thì cho phép cài đặt.
• Respond to all client computers (known and unknown): trả lời và phục vụ cho tất cả các client trong mạng.

• Đầu tiên : tạo boot image để tạo một file boot phục vụ cho client khi chúng request

• Chọn file boot.vim trong source ISO của Windows 8.1

• Đặt tên

• Tiếp theo tạo một Image group để chứa các image cài đặt (install.vim).

• Sau đó đưa add image vào group này

• Chọn file install.wim trong source cài đặt ISO Windows 8.1

• Trong source sẽ liệt kê các phiên bản cài đặt, ở đây tôi chọn phiên bản cài Windows 8.1 PRO

• Trong lúc cấu hình WDS Server, tôi tạm thời chọn “Do not respond to any client computers“ nhằm không phục vụ client trong quá trình đang triển khai. Sau khi triển khai xong tôi vào lại và chọn lại “Respond to all client computers“ để bắt đầu phục vụ.

• Tab này để cấu hình : sau khi môi trường boot được thiết lập, Client muốn boot PXE thì có yêu cầu nhấn F12 hay không ? Điều này là tùy bạn chọn

Máy Hyper-V1 tạo một máy ảo :

• Cho boot bằng network

• Vào Settings của máy ảo đó để bỏ “Enable Secure Boot”

• Start máy ảo lên

• Xác thực bằng tài khoản trong AD mới có thể cài đặt (WDS with AD Integrated)

Phần 2

A) Giới thiệu

Phương pháp cài đặt từ xa bằng Windows Deployment Services của bài trước là cài đặt Windows 8.1 ở dạng “Fresh – mới hoàn toàn” từ file ISO Windows 8.1. Trong phần này tôi sẽ hướng dẫn bạn cài đặt Windows 8.1 ở dạng “Customize”. Ví dụ, bạn có thể tạo ra một Install Image mà trong đó chứa sẵn các software như : Adobe Reader, VLC, Office 2010 và một số ứng dụng văn phòng khác. Nhờ vào tính năng “Capture Image”.

Capture Image (chụp lại image – nôm na giống ghost) là một tính năng đã có trong Windows Server 2008 R2 cho phép tạo một Install Image dạng “Custom” – tức có sẵn các chương trình, phần mềm, ứng dụng client/server của công ty. Việc này giúp người quản trị tiết kiệm thời gian rất nhiều và linh hoạt hơn trong việc cài đặt từ xa mà không cần đến trực tiếp để cài đặt thêm software. Bài này sẽ hướng dẫn bạn thực hiện Capture Image trong Windows Server 2012 R2

B) Các bước thực hiện

Mô hình như sau :

Bước 1) Cấu hình tính năng Capture Image trên WDS Server

Bước 2) Lấy một máy trạm cài đặt mới hoàn toàn Windows 8.1 và các software (Office 2010, VLC, Unikey)

Bước 3) Hoàn tất cài đặt ta thực hiện chạy Sysprep cho máy trạm đó

Bước 4) Sau khi chạy Sysprep thành công, hệ thống sẽ khởi động lại, đúng lúc này ta thực hiên Boot Network cho máy trạm. Sau đó chọn cơ chế Capture Image và tiến hành Capture.

Bước 5) Import Image vừa Capture được vào WDS Server

Bước 6) Test – Tiến hành triển khai cài đặt từ xa cho máy VM1 (Test Machine) trong Hyper-V1 bằng Image vừa Capture. (Tạo máy ảo đã có ở bài trước tại đây )

C) Thực hiện

1) Cấu hình tính năng Capture Image trên WDS Server :

Trước tiên ta phải tạo một file Boot mặc định , ta lấy file boot.vim từ ISO Windows 8.1

• Sau khi đã có file boot mặc định, ta dùng file boot mặc định này để  tạo ra một file boot có tính năng Capture Image

• Lưu file boot capture image này lại

 2) Lấy một máy trạm cài đặt mới hoàn toàn Windows 8.1 và các software (Office 2010, VLC, Unikey)

Tôi lấy một máy mới và cài đặt Windows 8.1 bình thường, sau đó cài Office 2010, VLC.

3) Hoàn tất cài đặt ta thực hiện chạy Sysprep cho máy trạm đó

Sau khi hoàn tất cài đặt, nên khởi động lại, và tiếp tục vào chạy Sysprep. Vào CMD gõ“Sysprep”

4) Sau khi chạy Sysprep thành công, hệ thống sẽ khởi động lại, đúng lúc này ta thực hiên Boot Network cho máy trạm (ngay lập tức). Sau đó chọn cơ chế Capture Image và tiến hành Capture. (Vào BIOS : chỉnh ưu tiên Boot bằng Network trước)

• Chọn Capture để tiến hành “Chụp” lại Image của máy

• Chọn ổ đĩa cần Capture : ổ D để capture lại (C là Boot Drive, D thực chất là ổ C trong Windows)

• Chọn đường dẫn để lưu Capture Image này trên máy.

5) Import Image vừa Capture được vào WDS Server

• Sau khi Capture, vào đường dẫn lưu file capture trên máy và ta sẽ thấy hệ thống đã tạo ra một file Image .vim , việc cần làm lúc này là chép nó qua thư mục RemoteInstall bên WDS Server

• Ở đây tôi thực hiện Share thư mục trên máy trạm và đứng bên Server gõ :“\\IPmáytrạm” copy file .vim này về Server (bỏ nó vào thư mục RemoteInstall)

• Lúc này tiến hành Import file Install này vào WDS Server.

6) Tiến hành triển khai cho máy VM1 (Test Machine) trong Hyper-V1 bằng Image vừa Capture.

• Boot máy ảo

• Chọn Image Capture

• Bước này bước cấu hình sau khi chạy Sysprep

• Đặt Computer Name

• Tạo một account

• Sau khi vào trong, Search thử “Word” để kiểm tra.

Lúc này đã hoàn tất, việc cần làm của bạn là đặt lại Computer Name và tiến hành Join vào Domain nếu cần thiết.

Sau khi đã cài đặt Windows Server 2012 R2 ở phiên bản trước, bước tiếp theo ta nâng cấp máy này thành Domain Controller (DC).

• Forest tên : huypd.com
• IP máy DC +DNS : 192.168.1.1/24

1) Change Computer Name của máy

2) Đặt IP kèm DNS trỏ về máy DC

3) Từ Windows Server 2012 đã bỏ cơ chế dcpromo.exe, thay vào đó ta phải cài role “Active Directory Domain Service” mới có thể nâng cấp máy lên thành máy DC

4) Sau khi đã cài xong, chọn “Promote this server to a domain controller” để khai báo thông tin AD

5) Khai báo tên Forest

6) Đặt password cho Enterprise Admin và chọn cấp độ schema cho Forest functional level và Domain Functional Level

7) Hệ thống sẽ tiến hành kiểm tra một cách chi tiết và an toàn, xem bạn có đầy đủ thông số phù hợp để nâng cấp lên AD hay không.

8) Sau khi nâng cấp thì hệ thống sẽ restart lại và lúc này chúng ta dùng tài khoản Enterprise Admin để logon vào máy.