Lab 7. Cấu hình Enabling Recycle Bin chính là cách khôi phục tài khoản khi đã bị xoá trong AD Users

 

Có học viên hỏi account trong AD user nếu xóa nhầm thì có khôi phục lại được không?

Mình có 1 bài viết trước đây viết giới thiệu cách của

1. Thông thường Account bị xoá nó cho vào OU có tên Loss & Found, còn Object và GPO bị xoá thì nó cho vào AD Recycle Bin.

2. Bạn có thể tham khảo: https://learn.microsoft.com/en-us/troubleshoot/windows-server/identity/retore-deleted-accounts-and-groups-in-ad

3. Bài viết giới thiệu Cách khôi phục tài khoản đã bị xoá ở AD windows Server

Lưu ý: Nếu AD bạn đang dùng là Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, và Windows Server 2012, thì có thể dùng Active Directory Administrative Center để bật tính năng AD Recycle Bin.

 

4 bước Enable the AD Recycle Bin on Windows Server 2016:

Bạn có thể sử dụng Active Directory Administrative Center để bật tính năng AD Recycle Bin trên các phiên bản Windows Server như Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 và Windows Server 2012.

AD Recycle Bin là một tính năng trong Active Directory cho phép khôi phục lại các đối tượng đã bị xóa, bao gồm cả tài khoản người dùng, nhóm, đơn vị tổ chức và các đối tượng AD khác. Khi tính năng AD Recycle Bin được bật, các đối tượng bị xóa không bị xóa hoàn toàn khỏi AD, mà chỉ được đánh dấu là bị xóa và vẫn có thể khôi phục lại.

Để bật tính năng AD Recycle Bin bằng Active Directory Administrative Center, bạn có thể làm theo các bước sau:

Bước 1 – Mở Server Manager

Bước 2. Mở Active Directory Administrative Center trên máy chủ AD của bạn

• Quay lại màn Active Directory Administrative > chọn vclass (local) bấm chuột phải chọn menu > Enable Recycle Bin…

Bước 3. Chuột phải vào tên miền trong cây thư mục và chọn “Enable Recycle Bin” (Bật Recycle Bin).

• Xác nhận việc bật tính năng AD Recycle Bin trên hộp thoại xác nhận.

• Sau khi bật Enabling Recycle Bin thì đóng lại phần mềm Active Directory Administrative Center.
• Sau khi tính năng AD Recycle Bin được bật, bạn có thể sử dụng Active Directory Administrative Center để khôi phục các đối tượng đã bị xóa bằng cách tìm kiếm và chọn đối tượng, sau đó chọn “Restore” (Khôi phục) từ menu hoặc chuột phải trên đối tượng.

Bước 4. Thử nghiệm tình huống xoá tài khoản trong AD users

• Sau khi xoá 1 account.
• Account đã xoá trước đó sẽ không khôi phục được.
• Bây giờ mình xoá user3.

• Xác nhận xoá user3.

• Mở lại Active Directory Administrative Center:

• Chọn vclass (local) > bấm mũi tên > chọn phải chuột tìm mục: Deleted Objects.

• Như vậy, cứ mở lại Active Directory Administrative Center và chọn Domain(local) và chọn Deleted Objects.
• Sẽ thấy user3 bị xoá.

• Chọn user3 > bấm chuột phải chọn menu Restore.

• User3 đã được khôi phục.
• Riêng user4 đã bị xoá trước khi bật cấu hình Enabling Recycle Bin trong Active Directory Administrative Center thì không có để khôi phục.

Sơ kết:

• Chúng ta nên bật cấu hình Enabling Recycle Bin trên Active Directory Administrative Center ngay sau khi cấu hình thành công Domain Controller, tổ chức GPO hoặc trước khi cập nhật Tài khoản AD User người dùng.

Xử lý lỗi DNS và đồng bộ NTP khi triển khai vCenter Appliance 8.0 mô hình Linked Mode

Phần 1. Mô hình triển khai vCenter Linked Mode:

Lỗi cài và cấu hình ở giai đoạn 2 cho máy chủ vcenter Appliance Server 8.0 từ bộ cài VMware-VCSA-all-8.0.0-20920323.iso khi triển khai ở mô hình Linked mode (máy chủ vcenter Join sso domain, máy chủ vcenter Master đang chạy bình thường)

Error: Failed to run vdcpromo

Resolution:

Please search of these symptoms in the VMware Knowledge Base for any known issues and possible workarounds. If none can be found, please collect a support bundle and open a support request.

Hoặc nếu mất kết nối DNS server thì bị báo lỗi:

 

Phần 2. Tìm phương hướng giải quyết

• Tôi có dùng AI/ML để đặt câu hỏi tổng quát và tìm phương hướng xử lý lỗi:

“Tôi đã cài thành công vCenter Appliance 8 và có SSO vsphere.local cùng với 1 máy ảo AD làm NTP server và đã cấu hình 02 ESXi chứa 2 vcenter appliance này đồng bộ NTP với AD rồi, nhưng khi thực hiện giai đoạn 2 cấu hình join farm link mode của vcenter appliance thứ 2 thì chỉ được có 4% báo lỗi: Error: Failed to run vdcpromo, Resolution: Please search of these symptoms in the VMware Knowledge Base for any known issues and possible workarounds. If none can be found, please collect a support bundle and open a support request. Bạn có cách nào xử lý lỗi triển khai link mode này ?”

• AI trả lời: Xin lỗi, như một trợ lý ảo, tôi không thể cung cấp hỗ trợ cụ thể trong việc xử lý lỗi triển khai link mode của vCenter Appliance. Tuy nhiên, dưới đây là một số gợi ý tổng quát để giúp bạn xử lý vấn đề này:
• Kiểm tra lại cấu hình mạng: Đảm bảo rằng cấu hình mạng trên cả hai vCenter Appliance và máy chủ AD đang hoạt động chính xác và có thể giao tiếp với nhau.
• Kiểm tra cài đặt NTP: Đảm bảo rằng cài đặt NTP trên cả hai vCenter Appliance và máy chủ AD được cấu hình chính xác và đồng bộ thời gian.
• Kiểm tra tường lửa và phần mềm bảo mật: Đảm bảo rằng không có tường lửa hoặc phần mềm bảo mật gây trở ngại trong việc thiết lập kết nối giữa hai vCenter Appliance.
• Tìm hiểu trong VMware Knowledge Base: Tìm kiếm trong VMware Knowledge Base để tìm hiểu về các vấn đề tương tự và các giải pháp khắc phục có thể đã được cung cấp.
• Thu thập thông tin hỗ trợ: Nếu không tìm thấy giải pháp hoặc giải quyết vấn đề, hãy thu thập thông tin hỗ trợ như ghi nhật ký, thông tin cấu hình và tạo yêu cầu hỗ trợ từ VMware để nhận được sự hỗ trợ từ nhóm hỗ trợ chuyên môn của họ.

Lưu ý rằng triển khai và cấu hình vCenter Appliance là quá trình phức tạp, và việc xử lý lỗi cụ thể đòi hỏi kiến thức và kỹ năng chuyên sâu. Nếu bạn không tự tin trong việc xử lý lỗi này, tôi khuyên bạn nên tìm sự hỗ trợ từ nhóm chuyên gia hoặc nhà cung cấp hỗ trợ của VMware

Sơ bộ như vậy, cho ta thấy khả năng NTP đã không được đồng bộ giữa 2 ESXi với 2 VM vCenter và với cả AD Server đang host NTP server service.

Các lỗi phổ biến nhất:

• Lỗi thời gian (Thời gian không khớp với các máy chủ PSC khác đang khiến quá trình triển khai của bạn bị ảnh hưởng)
• Lỗi DNS (Bản ghi dns phải được tạo trước khi thực hiện cấu hình)

vì vậy trước khi triển khai và cấu hình, hãy kiểm tra 2 điều kiện tiên quyết viết trên.

 

Tham khảo cách xử lý ở vCenter Appliance 7.0: https://polarclouds.co.uk/vcenter-without-dns-ntp/

 

Phần 3. Cách sửa lại gói cài vCenter Appliance 8.0.0.21560480

• Bước 1.
  Tôi dùng UltraISO Premium mở file VMware-VCSA-all-8.0.0-20920323.iso (thạm khảo: https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-80a-release-notes.html )

• Bước 2. Extract ra thư mục setup. Ví dụ: D:\Setup\VMware-VCSA-all-8.0.0-20920323

• Đành phải xoá thư mục vcsa-cli-installer và tạo manual từng thư mục con và kéo thả vào để xác định đúng vị trí lỗi

• Bước 3. Dùng Notepad++ mở file json, chọn đến thư mục \vcsa-cli-installer\templates\install\ có trong file cài vcenter installer iso file đã được extract.
• Tôi sẽ mở và sửa hết 5 files .json nói trên:

Sửa thành

• 127.0.0.1 làm máy chủ DNS vCenter thông qua “dns_servers”: [“127.0.0.1”],
  
• Sử dụng VMtools để đồng bộ hóa thời gian thông qua “time_tools_sync”: true,
  
• Xoá dòng cấu hình máy chủ NTP “ntp_servers”: “time.nist.gov”,
  

• Bước 4. Sau khi lưu lại, chúng ta dùng UltraISO Premium để tạo lại file iso đã được sửa json.

Sau khi kéo thả các Folders, files vào trong UtraISO Premium

Chỉnh lại kích thước ISO và đặt lại tên:

Sau cùng là save lại thành file:

• Bước 5. Mount trở lại ISO/CD ROM và cài VCSA 8.0.0.20920323.
• Bước 6. Kiểm tra việc mở SSH /Bash shell của vCenter vCSA 8 ngay khi đang cấu hình.

 

Phần 4. Cách sửa lại gói cài vCenter Appliance 8.0.1.21560480

• Bước 1.
  Tôi dùng UltraISO Premium mở file VMware-VCSA-all-8.0.1-21560480.iso (tham khảo https://docs.vmware.com/en/VMware-vSphere/8.0/rn/vsphere-vcenter-server-801-release-notes/index.html )

• Bước 2. Extract ra thư mục setup.

• DNS cần phải được sửa trong gói cài \vcsa-cli-installer\templates\install\embedded_vCSA_on_ESXi.json (GUI Installer)
• Bước 3. Dùng Notepad++ mở file json , chọn đến thư mục \vcsa-cli-installer\templates\install\ có trong file cài vcenter installer iso file đã được extract.

Dưới đây là vCenter CLI Installer json được cập nhật để sửa lỗi dcvpromo:

• 127.0.0.1 làm máy chủ DNS vCenter thông qua “dns_servers”: [“127.0.0.1”],
  
• Sử dụng VMtools để đồng bộ hóa thời gian thông qua “time_tools_sync”: true,
  
• Xoá dòng cấu hình máy chủ NTP “ntp_servers”: “time.nist.gov”,
  

Sửa thành

và

• Bước 4. Sau khi lưu lại, chúng ta dùng UltraISO Premium để tạo lại file iso đã được sửa json

• Bước 5. Mount trở lại ISO/CD ROM và cài VCSA
  

• Bước 6. Kiểm tra việc mở SSH /Bash shell của vCenter vCSA 8 ngay khi đang cấu hình
  

 

Ngay sau khi bất cấu hình SSH và NTP thì chúng ta dùng PuTTy/WINSCP có thể mở kết nối tới VCSA 8:

Kết quả sau khi cài thành công VCSA 8 chế độ linked mode

Khi truy cập vào 1 vcenter appliance lập tức sẽ thấy 2 vcenter linked mode với nhau

Còn vcva1

• Kết luận sơ bộ qua 2 phần 3,4 trình bày trên cho ta thấy cách xử lý này là phải sửa lại cấu hình file cài ISO, và cách sửa đó áp dụng cho cả tính huống VCSA 8 dựng cho Master là bản cũ 8.0 và bản sửa cho vCSA linked mode 8.0u1 và thực tế ở phiên bản vcenter Appliance 7 cũng gặp lỗi này.

 

Phụ lục: các cách lòng vòng để sửa lỗi NTP và DNS không thành công:

• Trình cài đặt vCenter sẽ cho phép sử dụng máy chủ ESXi làm nguồn thời gian. Nó đạt được điều này thông qua gói VMtools đi kèm với vCenter. Đơn giản. Dễ dàng sửa chữa.
  
• Tôi sẽ kiểm tra từng cấu hình của ESXi để đồng bộ giờ với AD Server có NTP server Service start

Đây là ESXi chứa vCenter Appliance Master:

• Tôi cũng sẽ kiểm tra cấu hình ESXi nơi sẽ chứa vCenter Slave sẽ cấu hình Link mode

• Tiếp theo mở cổng https://vcenter master:5480 và fix múi giờ GMT+7

• Tiếp theo tôi sẽ xoá VM đã cài vcenter appliance kiểu link mode bị lỗi

• Mount lại bộ cài vcenter 8 và thực hiện lại 2 giai đoạn cài và cấu hình

• Tiếp tục chọn Install và cấu hình cài lên ESXi theo đúng kịch bản cấu hình giai đoạn 1:

Lưu ý:

• Nếu DNS server nhập là 127.0.01 thì bị báo lỗi Invalid IP DNS ngay ở cấu hình giai đoạn 1:
  

• Nếu DNS server nhập là IPv4 của chính máy chủ vCenter Appliance ở giai đoạn 1: 172.20.10.93 ở giai đoạn 1 hệ thống cài vẫn cho qua nhưng ở giai đoạn 2 thì bị báo lỗi:
  

• Nếu DNS khai báo ở giai đoạn 1 là IPv4 của vCenter Master: 172.20.10.94 thì ở giai đoạn 2 bị báo lỗi:
  

Lại báo lỗi:

 

• Kết thúc giai đoạn 1, VM vcenter đã bật chạy cổng https://ipvcenter:5480

Hệ thống cài đặt tiếp giai đoạn 2 sẽ có 3 cách lựa chọn đồng bộ giờ:

Cách 1. Sẽ không đồng bộ giờ với ESXi hoặc NTP Server

• Tiếp theo chọn Join an existing SSO domain:

 

• Bỏ chọn khảo sát

• Bấm bước 5 Finish

 

Cách 2. Stop NTP trên ESXi và đồng bộ giờ manual

 

 

 

Tóm lại, Kết quả vẫn bị lỗi

Ngay ở giải đoạn 2 khi cấu hình tự động sau 4% báo lỗi.

Lab 2. máy chủ Windows Core 2019 DC license và thêm RRAS, File Server Witness làm Cluster Storage Routing

Phần 1. Các bước cài Windows 2019 core và thêm RRAS

Để cài Windows 2019 Core và thêm RRAS, bạn cần thực hiện các bước sau:

• Cài đặt Windows 2019 Core bằng cách chọn phiên bản Windows Server 2019 Standard hoặc Datacenter và chọn tùy chọn Server Core Installation https://learn.microsoft.com/en-us/windows-server/administration/server-core/server-core-administer
• Cấu hình các thiết lập mạng cho máy chủ Windows 2019 Core, bao gồm đặt địa chỉ IP tĩnh, tham gia miền, cấu hình DNS và tường lửa
  https://learn.microsoft.com/en-us/answers/questions/1053130/instal-and-configure-rras-on-windows-2019-server
• RRAS là một dịch vụ cho phép bạn cấu hình các chức năng định tuyến và truy cập từ xa trên máy chủ Windows https://learn.microsoft.com/en-us/windows-server/remote/remote-access/ras/manage-remote-clients/install/step-1-configure-the-remote-access-infrastructure
• Cài đặt dịch vụ RRAS bằng lệnh PowerShell: Install-WindowsFeature -Name RemoteAccess -IncludeManagementTools.
• Cấu hình dịch vụ RRAS bằng lệnh PowerShell hoặc sử dụng công cụ quản lý từ xa như Server Manager hoặc Routing and Remote Access Console.
• Kiểm tra hoạt động của dịch vụ RRAS bằng lệnh PowerShell hoặc sử dụng công cụ quản lý từ xa.

Tham khảo ý kiến:

Câu hỏi: Có nên cài Windows 2019 core và cấu hình Secondary Domain Controller với RRAS và File Server Witness?

AI trả lời: một câu hỏi có tính chất ý kiến và không có câu trả lời chính xác. Tuy nhiên, chúng ta có thể cung cấp một số thông tin có thể quyết định.

Windows 2019 Core là phiên bản Windows Server không có giao diện người dùng đồ họa. Điều này mang lại một số lợi ích như:

• Tiết kiệm tài nguyên hệ thống
• Tăng cường bảo mật và ổn định
• Giảm thiểu các bản cập nhật và khởi động lại
• Tuy nhiên, Windows 2019 Core cũng có một số hạn chế như:
• Khó khăn trong việc quản lý và cấu hình
• Không hỗ trợ một số tính năng và vai trò của Windows Server
• Yêu cầu kỹ năng cao về PowerShell và công cụ quản lý từ xa

Secondary Domain Controller là một máy chủ Active Directory dự phòng cho Primary Domain Controller. Nó giúp duy trì tính sẵn sàng cao và khả năng phục hồi của dịch vụ xác thực và phân quyền trong mạng. Nó cũng giúp cân bằng tải và giảm thiểu rủi ro mất dữ liệu.

RRAS (Routing and Remote Access Service) là một dịch vụ cho phép bạn cấu hình các chức năng định tuyến và truy cập từ xa trên máy chủ
Windows. Nó giúp bạn kết nối các mạng khác nhau, tạo các kết nối VPN, NAT, DHCP Relay Agent và các giao thức định tuyến khác.

File Server Witness là một chia sẻ SMB mà Failover Cluster sử dụng như một phiếu bầu trong quorum của cluster. Nó giúp duy trì tính nhất quán và liên tục của cluster khi có sự cố xảy ra với các node hoặc đĩa chứa dữ liệu.

Việc cài Windows 2019 Core và cấu hình Secondary Domain Controller với RRAS và File Server Witness có thể phù hợp với một số trường hợp như:

• Bạn muốn tiết kiệm chi phí cho phần cứng và bản quyền.
• Bạn muốn tận dụng tối đa tài nguyên hệ thống cho các dịch vụ quan trọng.
• Bạn muốn tăng cường bảo mật và ổn định cho máy chủ.
• Bạn muốn duy trì tính sẵn sàng cao và khả năng phục hồi cho Active Directory.
• Bạn muốn kết nối các mạng khác nhau và cho phép truy cập từ xa an toàn.
• Bạn muốn hỗ trợ Failover Cluster trong các môi trường không có Internet hoặc không có đĩa chia sẻ.

Tuy nhiên, việc này cũng có thể gặp một số khó khăn như:

• Bạn phải có kỹ năng cao về PowerShell và công cụ quản lý từ xa để cài đặt và quản lý máy chủ.
• Bạn phải kiểm tra kỹ tính tương thích của các tính năng và vai trò của Windows Server với Windows 2019 Core.
• Bạn phải lưu ý đến các yêu cầu về bảo mật, xác thực, cấp phát địa chỉ IP, định tuyến và tường lửa khi cấu hình RRAS.
• Bạn phải lưu ý đến các yêu cầu về quyền truy cập, dung lượng, độ tin cậy và vị trí của File Server Witness
• Trong một số trường hợp, bạn có thể cân nhắc sử dụng các giải pháp khác như:
• Sử dụng Windows Server với giao diện người dùng đồ họa để dễ dàng quản lý và cấu hình
• Sử dụng Cloud Witness hoặc Disk Witness thay cho File Server Witness nếu có Internet hoặc đĩa chia sẻ
• Sử dụng các dịch vụ đám mây hoặc ảo hóa để tạo các máy chủ riêng biệt cho các dịch vụ khác nhau

Mục đích:

• Mục đích của việc cài Windows 2019 core là gì? Bạn có muốn tiết kiệm tài nguyên hệ thống, tăng bảo mật, hay đơn giản là thử nghiệm tính năng mới của Windows Server 2019?
• Mục đích của việc cấu hình Secondary Domain Controller là gì? Bạn có muốn cải thiện khả năng chịu lỗi, cân bằng tải, hay đồng bộ hóa dữ liệu giữa các vị trí địa lý khác nhau?
• Mục đích của việc cấu hình RRAS là gì? Bạn có muốn kết nối các mạng con, cho phép truy cập từ xa, hay bảo vệ mạng nội bộ khỏi các mối đe dọa bên ngoài?
• Mục đích của việc cấu hình File Server Witness là gì? Bạn có muốn sử dụng một chia sẻ tệp như một phiếu bầu trong quorum của Failover Cluster, hay bạn không có các tùy chọn khác như Cloud Witness hay Disk Witness?

Hạn chế:

Tùy thuộc vào các mục đích và yêu cầu của bạn, bạn có thể lựa chọn giải pháp phù hợp cho môi trường của bạn. Tuy nhiên, bạn cũng cần lưu ý các điều kiện và hạn chế sau:

• Windows 2019 core là phiên bản nhẹ của Windows Server 2019, chỉ có giao diện dòng lệnh và PowerShell. Bạn sẽ không có sự hỗ trợ của các công cụ quản trị đồ họa như Server Manager hay MMC. Bạn cũng sẽ không thể chạy các ứng dụng GUI trên Windows 2019 core. Bạn sẽ phải quản lý Windows 2019 core từ xa bằng các công cụ như Windows Admin Center, Remote Server Administration Tools (RSAT), hoặc Remote Desktop Services (RDS).

• Secondary Domain Controller là một máy chủ Active Directory dự phòng cho Primary Domain Controller. Nó sẽ đồng bộ hóa dữ liệu và cài đặt với Primary Domain Controller và có thể thay thế nó trong trường hợp xảy ra sự cố. Tuy nhiên, để cấu hình Secondary Domain Controller, bạn cần có kết nối mạng ổn định và an toàn với Primary Domain Controller. Bạn cũng cần phải thực hiện các bước sau:

• Tham gia Windows 2019 core vào miền Active Directory.
• Cài đặt vai trò Active Directory Domain Services (AD DS) trên Windows 2019 core.
• Chạy lệnh dcpromo.exe để nâng cấp Windows
  2019
  core thành Secondary Domain Controller.
• Cấu hình các thiết lập về vùng DNS, Global Catalog, Site Link, Replication Interval, v.v.

• RRAS là Routing and Remote Access Service: một vai trò của Windows Server cho phép kết nối các mạng con và cho phép truy cập từ xa. RRAS có thể cấu hình các chức năng như VPN, NAT, DHCP Relay Agent, v.v. Tuy nhiên, để cấu hình RRAS trên Windows 2019 core, bạn cần phải thực hiện các bước sau:

• Cài đặt vai trò RRAS trên Windows 2019 core.
• Cấu hình các thiết lập về giao thức, giao diện, bảo mật, xác thực, v.v. bằng PowerShell hoặc RSAT.
• Kiểm tra và giám sát hoạt động của RRAS bằng PowerShell hoặc RSAT.

• File Server Witness là một chia sẻ tệp SMB mà Failover Cluster sử dụng như một phiếu bầu trong quorum. File Server Witness có thể giúp giải quyết tình huống phân chia não khi có sự cố mạng giữa các nút trong cluster. Tuy nhiên, để cấu hình File Server Witness trên Windows 2019 core, bạn cần phải thực hiện các bước sau:

• Tạo một tài khoản người dùng cục bộ trên Windows 2019 core (không phải là quản trị viên).
• Tạo một thư mục trên Windows
  2019
  core và chia sẻ nó ra.
• Gán quyền đầy đủ cho tài khoản người dùng cục bộ trên chia sẻ tệp.
• Kết nối cluster với chia sẻ tệp bằng lệnh Set-ClusterQuorum -Credential trong PowerShell.

 

Phần 2. Các bước cài Windows 2019 Core, AD-DC Secondary Domain Controller-DNS-DHCP, RRAS, FSW:

Bước 1. Cấu hình VM và thiết lập tài nguyên cho Windows 2019 core:

• Boot và cài VM, chọn bộ cài máy chủ Windows Core 2019 (không có giao diện).

Chọn PCIV amd64 và load Driver, sau đó Format ổ VD0

Sau khi cài mật khẩu cho Account Admin Local, chúng ta sẽ cấu hình máy chủ Windows core 2019 thông qua CMD /Admin

Dùng lệnh sconfig để cấu hình: Network, NTP time, Join Domain, Đổi tên Computer Name.

Cấu hình Card mạng số 1:

Cấu hình Card mạng số 2:

Cấu hình Data and Time theo NTP server (172.20.10.10)

• Join Domain: vclass.local

• Cấu hình set ngầm định PowerShell tự động bật sau khi reboot máy chủ Windows Core:

Set-ItemProperty -Path ‘HKLM:\Software\Microsoft\Windows NT\CurrentVersion\WinLogon’ -Name Shell -Value ‘PowerShell.exe’.

Kiểm tra phiên bản:

Dùng lệnh: Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer.

Kiểm tra nhóm Administrators của máy Local phải có thành viên Admin của Domain:

Gõ lệnh: Get-LocalGroupMember “Administrators”.

Gõ lệnh: Add-LocalGroupMember -Group “Administrators” -Member “vclass\Administrator”

 

Bước 2.
Cài đặt vai trò Active Directory Domain Services (AD DS) trên Windows 2019 core.

• Cấu hình các thiết lập về vùng DNS, Global Catalog, Site Link, Replication Interval, v.v.

Dùng powershell gõ lệnh:

Install-WindowsFeature -Name AD-Domain-Services –IncludeManagementTools -Verbose

• Cấu hình Administrator

Tham khảo: https://learn.microsoft.com/en-us/windows-server/administration/server-core/server-core-administer

• Cấu hình vai trò AD-DC bằng lệnh PowerShell:

Install-ADDSDomainController -DomainName vclass.local -Credential (Get-Credential) -SiteName Default-First-Site-Name -InstallDns:$true

• Máy chủ BDC khởi động lại, ta gõ lệnh kiểm tra trên PowerShell:

Kiểm tra hoạt động của vai trò AD-DC bằng lệnh PowerShell: Test-ADDSDomainControllerInstallation

• Kiểm tra tình trạng và vị trí dữ liệu GC, PDC, BDC, dùng lệnh PowerShell hoặc cmdlet:

Để xem máy chủ nào là PDC trong miền hiện tại, bạn có thể sử dụng lệnh PowerShell: Get-ADDomain | Select-Object PDCEmulator hoặc cmdlet: netdom query fsmo

Hoặc

• Để xem danh sách các máy chủ BDC trong miền hiện tại, bạn có thể sử dụng lệnh PowerShell: Get-ADDomainController -Filter * | Select-Object Name hoặc cmdlet: nltest /dclist:<domain_name>

• Để xem danh sách các máy chủ GC trong rừng hiện tại, bạn có thể sử dụng lệnh PowerShell: Get-ADForest | Select-Object GlobalCatalogs hoặc cmdlet: nltest /dsgetdc:<domain_name> /GC

• Để kiểm tra tình trạng sao lưu và phục hồi của cơ sở dữ liệu AD-DC trên một máy chủ, bạn có thể sử dụng lệnh PowerShell: Get-ADDatabaseMountStatus -Identity <server_name> hoặc cmdlet: ntdsutil “activate instance ntds” “snapshot” “list all”

 

Bước 3. Cài RRAS trên máy chủ Windows 2019 core:

• Cài đặt vai trò RRAS trên Windows 2019 core

Install-WindowsFeature RemoteAccess -IncludeManagementTools

• Cấu hình các thiết lập về giao thức, giao diện, bảo mật, xác thực, v.v. bằng PowerShell hoặc RSAT

Install-WindowsFeature RSAT-RemoteAccess-PowerShell

 

 

No need to restart the computer

Install the Routing feature by:

Install-WindowsFeature Routing

 

Gõ Restart-Computer hoặc shutdown -r -f -t 0 để restart the computer.

– Cấu hình dịch vụ RRAS bằng lệnh PowerShell: Install-RemoteAccess -VpnType RoutingOnly

– Cài đặt các giao thức định tuyến mà bạn muốn sử dụng bằng lệnh PowerShell, ví dụ: Install-WindowsFeature Routing -IncludeManagementTools để cài đặt giao thức RIP

 

– Kiểm tra và giám sát hoạt động của RRAS bằng PowerShell hoặc RSAT

Dùng PC Windows 10/11 hoặc AD-DC PDC có giao diện để kiểm tra

 

c

 

Tham khảo:

File Server Witness là một chia sẻ SMB mà Failover Cluster sử dụng như một phiếu bầu trong quorum của cluster https://learn.microsoft.com/en-us/windows-server/failover-clustering/file-share-witness .

Để cài File Server Witness trên nền Windows 2019 Core, bạn cần thực hiện các bước sau:

• Cài đặt File Services Role trên máy chủ Windows 2019 Core bằng lệnh PowerShell: Install-WindowsFeature -Name FS-FileServer https://4sysops.com/archives/how-to-install-file-services-on-server-core/

• Tạo một tài khoản người dùng cục bộ trên máy chủ Windows 2019 Core (ví dụ: FSW-ACCT) và đặt mật khẩu cho nó https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149

• Tạo một thư mục trên máy chủ Windows 2019 Core và chia sẻ nó ra (ví dụ: SHARE) https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149

• Cấp quyền đầy đủ cho tài khoản người dùng cục bộ (FSW-ACCT) trên chia sẻ này https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149

• Kết nối cluster với chia sẻ này bằng lệnh PowerShell: Set-ClusterQuorum -FileShareWitness \\Server\Share -Credential $(Get-Credential) https://techcommunity.microsoft.com/t5/failover-clustering/new-file-share-witness-feature-in-windows-server-2019/ba-p/372149

Dựng AD-DC windows 2019 DC KVM và chuyển qcow2 format vào EVE-NG

Tham khảo: https://www.eve-ng.net/index.php/documentation/howtos/howto-create-own-windows-server-on-the-eve/

Chúng tôi đang sử dụng: SERVER_2019_EVAL_x64FRE_en-us_1.iso. Đảm bảo rằng tên bản phân phối không có khoảng trắng trong tên tệp!

Quy trình này giống với mọi máy chủ Windows Server phiên bản 2008, 2012, 2016, 2019 khác.

Bước 1. Tạo một thư mục mới cho hình ảnh này theo quy ước đặt tên:

mkdir /opt/unetlab/addons/qemu/winserver-2019/

 

Bước 2. Use WinSCP kết nối tới EVE-NG và sao chép distro ISO image into the newly created directory path:

/opt/unetlab/addons/qemu/winserver-2019/

Bước 3. Chuyển đến thư mục đó qua CLI

cd /opt/unetlab/addons/qemu/winserver-2019/

 

Bước 4. Đổi tên tệp ISO này thành cdrom.iso

mv SERVER_2019_EVAL_x64FRE_en-us_1.iso cdrom.iso

 

Bước 5. Tạo một đĩa cứng ảo mới có tên virtioa.qcow2. Kích thước bạn có thể chọn theo nhu cầu của bạn. Ví dụ này được sử dụng ổ cứng 64Gb.

/opt/qemu/bin/qemu-img create -f qcow2 virtioa.qcow2 64G

 

Bước 6. Tạo một phòng thí nghiệm mới và thêm nút winserver-2019 mới được tạo

Bước 7. Kết nối nút với đám mây/internet mạng LAN tại nhà của bạn để nút có thể nhận các bản cập nhật từ internet.

Bước 8. Bắt đầu nút bên trong phòng thí nghiệm và tùy chỉnh cài đặt Windows Server của bạn theo ý muốn, vì bạn đã kết nối nó với mạng LAN và internet tại nhà, quá trình cài đặt này sẽ giống như bất kỳ cài đặt Windows thông thường nào.

Bước 9.
QUAN TRỌNG: Khi cài đặt windows yêu cầu bạn chọn ổ cứng HDD để cài đặt Windows Server, chọn Tải trình điều khiển, Duyệt, chọn FDD B/storage/2003R2/AMD64, (AMD64 nếu bạn đang cài đặt 64 bit), nhấp vào tiếp theo và bạn sẽ thấy HDD RedHat VIRTIO SCSI HDD bây giờ.

Bước 10. Chọn HDD này và tiếp tục cài đặt Windows Server như bình thường.

Bước 11.
Tùy chọn: nếu bạn muốn sử dụng hình ảnh này với bảng điều khiển EVE RDP, thì bạn phải cho phép RDP trên máy Windows này và tạo người dùng và mật khẩu. Trong ví dụ này, chúng tôi sử dụng quản trị viên/Test123. Đảm bảo rằng trong Tường lửa của Windows, các quy tắc gửi đến Truy cập từ xa được phép truy cập Công khai. administrator/Test123.

Bước 12. Hoàn tất cài đặt và tắt máy ảo đúng cách từ bên trong VM OS. Bắt đầu/tắt máy

QUAN TRỌNG: Cam kết cài đặt để đặt nó làm hình ảnh mặc định để sử dụng thêm trong EVE-NG:

Bước 13. Trên thanh bên trái trong phòng thí nghiệm trong Giao diện người dùng web EVE, chọn “Chi tiết phòng thí nghiệm” để nhận chi tiết UUID của phòng thí nghiệm của bạn: Trong ví dụ này: UUID: 3491e0a7-25f8-46e1-b697-ccb4fc4088a2

Bước 14. Tìm ra POD ID của nút đã sử dụng và ID nút của nút mới được cài đặt của bạn.

Số POD được gán cho tên người dùng của bạn và có thể tìm thấy trong GUI EVE, Quản lý/Quản lý người dùng. Người dùng Quản trị sử dụng POD số 0 theo mặc định.

Có thể lấy ID nút bằng cách nhấp chuột phải vào nút trên cấu trúc liên kết. Trong ví dụ này là 8

Bước 15. Từ EVE CLI, định vị hình ảnh đã cài đặt và cam kết các thay đổi của bạn sẽ được sử dụng làm mặc định để sử dụng thêm trong EVE-NG:

cd /opt/unetlab/tmp/0/3491e0a7-25f8-46e1-b697-ccb4fc4088a2/8/

/opt/qemu/bin/qemu-img commit virtioa.qcow2

 

Bước 16. Xóa cdrom.iso khỏi thư mục: /opt/unetlab/addons/qemu/ winserver-2019/

cd /opt/unetlab/addons/qemu/winserver-2019/

rm -f cdrom.iso

 

Bước 17. Kiểm tra máy chủ Windows 2019 đã cài AD-DC

DNS, DHCP, CA…

Labs 5. Cấu hình vCenter Appliance 7x với ADFS 2019 làm SSO thông qua CA2019 Enterprise Trusted Root-CA

Bài 1. Phân tích sơ bộ mô hình triển khai ADFS 2019 và CA 2019 làm SSO với Ứng dụng MFA, tOTP:

Các thành phần để triển khai hệ thống MS-ADFS làm hệ thống xác thực định danh, đăng nhập 1 lần, dùng trung AD Users, cấp chữ ký số Domain Trusted CA và thêm MFA, tOTP, QRcode Local cho các thiết bị di động làm xác thực 2 yếu tố sẽ gồm:

• 01 máy chủ ADFS 2019.
• 01 máy chủ CA 2019:
  • Request SSL certificate from Internal CA Server.
  • ACME/ Certbot tool tại CA Publish Internet riêng (nếu muốn làm Public ADFS).
  • Request SSL/TLS certificate from Internet 3^rd (nếu không muốn dùng ACME).
  • Cài và cấu hình CA Server kiểu Enterprise Root-CA thông qua AD-CS services Role.
• 01 máy chủ AD-DC1 (master PDC).
• 01 AD-DC2 (Backup DC).

Lưu ý: không nên cài AD-RMS hoặc AD-DC cùng với ADFS và càng không nên cài cùng CA2019, do khi cài ADFS hoặc CA server vào cùng sẽ khoá việc thay đổi chỉnh sửa Domain Controller hoặc các dịch vụ có liên quan như: RMS, DHCP, DNS, RRAS, VPN …

Sơ đồ hệ thống:

 

Bài 2. Triển khai máy chủ CA 2019 và Export Cert Trusted Root CA cho MS-ADFS

1. Máy chủ CA2019 dựng mới tách riêng khỏi AD2016/AD-BDC:
   

• Mở Server Manager của máy chủ CA2019
  

• Add Roles and Features Wizard: chọn Installation Type: Role-based or Feature-based installation
  

• Chọn Server Roles: Active Directory Certificate Services Tools
  

• Thêm cấu hình Features: .NET Framework 3.5 Features,
  
• Chọn .NET Framework 3.5 (includes .NET 2.0 and 3.0)
  

• Chọncấu hình Certification Authority
  

• Chọn thư mục chứa bộ cài D:\sources\sxs
  

Sau khi cài xong .NET Framework 3.5

• Chọn tiếp tục cấu hình AD-CS
  

• Chọn cấu hình Certification Authority
  

• Cần bổ sung Certification Authority Web Enrollment:
  

• Cấu hình Web Server Role IIS để cho phép cấp đăng ký và duyệt Cert Enroll qua web.
  

• Chọn cho phép Web Server
  

• Chọn Certification Authority Web Enrollment
  

• Chọn cấu hình Setup Type: Enterprise CA
  

• Chọn CA Type: Root CA
  

• Chọn Private Key: Tạo mới
  

• Chọn kiểu mã hoá Cryptography SHA256, Key length: 2048
  

• Nhập tên CA Name: cloud-CA2019-CA, DN suffix: DC= company, DC=vn
  

• Nhập thời gian có giá trị của Trusted Root CA: 10 năm
  

• Chọn thư mục ngầm định lưu Log nhật ký và nơi chứa cer, Crt, crl:
  

 

1. Tạo Certificate Template và Issue cho ADFS2019 riêng:
   

• Mở máy chủ CA 2019 và chạy Certification Authority
  

• Chọn menu phải chuột: Certificate Templates > Manage
  

• Chọn Template: Computer > Phải chuột chọn Pop menu: Duplicate Template
  
• Khai báo các thông số cho template mới này:
  

Chú ý: chọn Subject Name, Format: Common name, DNS name

• Lưu lại Template mới này với tên adfs2019
  

• Chọn phải chuột ở mục Certificate Templates > Popbar: New > chọn Certificate Template to Issue
  

• Chọn đúng Template mới tạo để bật Enable Certificate Templates
  

• Đã chọn mẫu Template này cho việc tạo các bản đăng ký xin và cấp chữ ký số chuẩn cho Devices auth, client auth, server auth
  

 

Bài 3. Cấu hình ADFS2019 1 lần duy nhất để kiểm tra:

• Mở PowerShell dùng lệnh:
  

PS C:\Windows\system32>Get-AdfsEndpoint | select FullUrl | clip

• Sửa một số cấu hình
  

https://adfs2019.company.vn/adfs/ls/idpinitiatedsignon.aspx

Màn login

Như vậy chúng ta vừa kiểm tra tính năng Weblogin

https://adfs2019.company.vn/adfs/ls/idpinitiatedsignon?client-request-id=abbyy-ccf1-23400-0000-0010070000cd

• Phải kích hoạt các gói Claim cho chính máy chủ ADFS, FS, LS, SAML2:
  

• Truy cập lại trang web:
  

https://adfs2019.company.vn/adfs/ls/idpinitiatedsignon.aspx

Tham khảo:
https://learn.microsoft.com/en-us/powershell/module/adfs/get-adfssslcertificate?view=windowsserver2022-ps

Get-AdfsSslCertificate

PS C:\> Set-AdfsAlternateTlsClientBinding -Member "certauth.adfs2019.company.vn" -Thumbprint "B3A8ABD3XXXXXXXXXXXXXXXXXXXXXX"

Get-AdfsEndpoint | Select FullUrl | Select-String openid-configuration

1. Copy the URL that is returned (select only the URL itself, not the closing bracket or the initial “@{FullUrl=” part)
   

Use this URL whenever vCenter asks for the OpenID Address

 

Bài 4. Cấu hình xuất và nhập CA Trusted Root của CA2019 cho vCenter 7x:

• Mở lại máy chủ CA2019
  
• Chọn mở thư mục C:\Windows\system32\CertSrv\CertEnroll sẽ tìm thấy file Cert dạng Trusted Root CA cảu CA 2019 server.
  

• Hãy copy file này để Import Add thẳng vào mục Certificate Management của vCenter 7x hoặc 8x:
  

Màn hình vCenter 7x nguyên gốc sau khi cài và cấu hình chạy vCenter Appliance 7x chỉ có 4 mẫu chứ ký số issue, chưa có chữ ký số của CA 2019

• Bây giờ chúng ta sẽ bấm nút “ADD” để thêm CA Trusted Root CA của CA2019 Server tạo ra:
  

• Lúc đó sẽ có thể bấm detail để xem chi tiết chữ ký số mới
  

 

Lưu ý:

• Việc cấu hình ADFS tích hợp thành công với vCenter 7x không liên quan tới License Evaluation.
  

• Không nên dùng cách Import Cert Trusted Root CA thông qua KeyStore Java vì khi nâng cấp vSphere và vCenter Appliance có thể gây lỗi mất cấu hình ADFS.
  

 

 

Bài 5. Cấu hình vCenter 7x ADFS với máy chủ ADFS 2019 server:

• Mở 2 màn hình trình duyệt web:
  
  • https://192.168.100.42
    
  • Màn điều khiển AD FS máy chủ 192.168.100.43
    

 

Sau khi cấu hình thành công phần bên vCenter 7x và bên ADFS 2019, bên ADFS 2019 tiếp tục edit

Bên ADFS 2019 sẽ cấu hình thêm các rules để gửi Account, UPN, Email, Device code… để gửi cho vcenter 7x khi login thành công

Tạo nhóm:

Tạo tiếp

Kết thúc phần tạo Rules cho vCenter 7x MFA – Web API Properties:

 

Bài 6. Kiểm tra cấu hình và phân quyền truy cập qua ADFS

Hệ thống thông báo re-direct to URL ADFS server

 

Nếu Account bạn đăng nhập lại chưa được phân quyền truy cập vào vcenter 7x thì sẽ có báo lỗi

• Nếu bạn đăng nhập bằng Account có domain SSO của vSphere, ví dụ: administrator@vsphere.local
  

Hệ thống tự động đổi sang dạng xác thực SAML2 của VMware vSphere.

P.S: Khi truy cập được vCenter bằng Account Administrator@vsphere.local thì chúng ta phân quyền để cho các Groups hoặc User AD cụ thể được quyền truy cập thì việc

SSO, ADFS và cấp quyền xác thực qua MFA, tOTP sẽ dễ dàng thực hiện được tiếp theo.

Cách nâng cấp vá lỗi vCenter Appliance 8.x đã cấu hình với ADFS 2019 làm SSO iAM

Truy cập Web vSphere của vcenter 8x:

 

Khi đó, ta có thể truy cập vào trang

https://esxi-patches.v-front.de/vm-8.0.0.html

Hoặc

https://customerconnect.vmware.com/patch

Chúng ta đối chiếu bản yêu cầu vá lỗi với trang patch:

Sau khi download được File vá lỗi vcenter appliance theo VMware-vCenter-Server-Appliance-8.0.1.00200-21860503-patch-FP.iso

Nếu lưu tại máy PC / VM client windows, thì bạn sẽ dùng VMRC đã cài hỗ trợ theo trình duyệt web như: Firefox, chrome / opera và mở

Sau khi bấm nút OK, chúng ta giữ nguyên hoặc thu nhỏ màn VMRC

Chúng ta mở thêm 1 tab menu của trình duyệt và nhập địa chỉ https://[ipv4 của máy chủ vcenter8x] và nhập thêm [:5480] là port web appliance

Chọn mục Update và bấm chọn đúng version đã download file iso rồi bấm STAGE AND INSTALL

Ghi chú: Các bản cập nhật và bản vá được tích lũy. Bản cập nhật hoặc bản vá gần đây nhất trong bảng bên dưới sẽ chứa tất cả các bản vá trước đó.

 

Cửa sổ bước 1

Bấm nút Next

 

Với trường hợp máy chủ vCenter Appliance 8x tôi đã và đang dùng ADFS 2019 thì sẽ báo

https://kb.vmware.com/s/article/81807

To resolve this issue, import the AD FS server root certificate into the Trusted Root Certificates Store (VECS); the certificate requires to be a Base64 encoded certificate. This can be done at any time before or after the upgrade. As soon as the certificate is added to VECS, vSphere will begin using that certificate to establish secure communication with the AD FS server. For more information about adding the AD FS root certificate to VECS, see Use the Trusted Root Certificates Store Instead of the JRE truststore

https://docs.vmware.com/en/VMware-vSphere/7.0/com.vmware.vsphere.authentication.doc/GUID-63C74336-04DF-426A-9B80-BA078DF1E20F.html

Mình sẽ bấm IGNORE AND CONTINUE

Mình đã vào cổng 5480 và đã backup toàn bộ cấu hình vcenter Appliance, vcenter link mode, vcenter vDS … trước khi nâng cấp vá lỗi này

Như vậy, sau khi bấm nút FINISH

Đợi thời gian khá lâu thì vcva8x sẽ tự động load lên phiên bản mới

Khi chúng ta mở lại https:// vcenter appliance cổng 5480 mục update sẽ không còn yêu cầu bản vá lỗi.

Màn hình yêu cầu đăng nhập ADFS và tOTP cấu hình cũ vẫn dùng bình thường

Thêm các phần mềm vào file ISO bootable cài windows 2019 cho EVE-NG và qemu

1. Yêu cầu trong hệ thống Labs Emulator:
   

• Hệ thống EVE-NG sử dụng kiểu Ảo hoá KVM trên nền linux Ubuntu thường là dạng Format file qcow2
• Các hệ thống KVM này bị giới hạn các USB device, CDROM không cho phép mount từ VM mà phải cấu hình từ lớp NBD của Host service (tham khảo: https://unix.stackexchange.com/questions/268460/how-to-mount-qcow2-image )
• Ngoài ra phải cấu hình can thiệp vào VM cấu hình để cho phép Mount vào 1 phân vùng /dev/media của máy ảo … (tham khảo: https://serverfault.com/questions/373372/how-to-connect-a-cdrom-device-to-a-kvm-qemu-domain-using-command-line-tools )

Mong muốn đơn giản là làm sao khi các VMs đã được dựng chạy sẽ cần bổ sung các phần mềm hỗ trợ cài thêm trong Labs (Admin quản trị sẽ không muốn người dùng cài, cấu hình tuỳ chỉnh nhưng phần mềm này nữa, trong các bài Labs thực hành online giảng dạy càng cần vấn đề này).

 

1. Cách xử lý yêu cầu cho Labs Emulator:
   

• Cách mình tư duy là cho luôn các công cụ, phần mềm còn thiếu trong các bộ cài boot OS như: Windows 2016, 2019, 2022, hoặc các hệ điều hành cho Redhat, Ubuntu, Debian…
• Cách xử lý cho phần mềm cần bổ sung luôn vào trong các files iso cài đặt có Boot Bank OS sẽ áp dụng luôn cho tất cả các dạng OVA/OVF, VHDX, qcow2 .. của các sản phẩm đóng gói khác như:

Hình mình hoạ về việc bổ sung các phần mềm vào ISO boot của các Node có trong EVE-NG

• Một số danh sách các hãng có VM Appliance làm Emulator trên EVE-NG, tất nhiên còn rất nhiều không thể nêu hết:

Apple OSX, Apple MacOS Simple KVM, Android VM, CheckPoint Security Gateway VE, Cisco ACS, Cisco AMP Cloud, Cisco ASA, Baraccuda NGIPS, Cisco IPS, Cisco UCCX,

F5 BIG-IP LTM VE, Fortinet Fortigate, Dell OS10 Virtualization, Cyberoam FW, Citrix Netscaler, Citrix SD-WAN, Forcepoint NGFW, Forcepoint SMC, FreeBSD, FreeNAS NAS, HP VSR1000,

Juniper 128T, Juniper vMX CVP, Juniper vMX, Juniper vSRX NextGen, Kemp LoadMaster, Kerio Control FW, Linux, MikroTik RouterOS, NewImage, Nokia 7750 VSR NG, OPNsense,

Netropy Network Emulator, Ostinato, Palo Alto, Palo Alto Panorama, pfSense Firewall, Pulse Secure, Radware AlteonVA, S-Terra, Silver Peak Unity Edge, IoT Hub , Frog Network, Cloud Edge ATC, Sonic Switch, SonicWall FW, Sophos UTM, Sophos XG, Stormshield UTM FW, TrenMicro vTPS, Velocloud Edge, Velocloud Gateway, Velocloud Orchestrator, Versa Analytics, Versa Director, Versa FlexVNF, VMware ESXi, VMware vCenter, VMware NSX, VMware Cloud Foundation SDC, VMware vRealize Automation, VMware vSAN, VyOS, WatchguardFW. Windows, Windows Server, Zabbix Monitoring, VMTurbonomic, Veeam ONE, VeeamBackupFarm, Z-Scaler vZEN Edge, Viptela vSmart, Viptela vManage…

 

1. Các bước thực hiện:
   

Bước 1. Mở thư mục chưa Files ISO cài windows 2019:

Bước 2. Giải nén ra 1 thư mục file ISO (bằng 7.zip là chắc chắn nhất)

Bước 3. Giải nén và thêm thư mục cũng như đưa các phần mềm bổ sung vào thư mục này

Sau khi cho thêm các phần mềm cần thiết

Bước 4. Download, cài đặt phần mềm ImgBurn

(download: https://download.imgburn.com/SetupImgBurn_2.5.8.0.exe )

Bước 5. Chạy phần mềm ImgBurn và click tạo Image File từ thư mục đã giải nén bước 1,2

Máy laptop của tôi không có CDR/W physical nên báo lỗi, bấm Cancel bỏ qua

Bấm tiếp nút Create image file from files/folders

Bước 6: Chuyển sang Advanced tab. Tiếp theo bấm vào tab Bootable Disc ở phía dưới sau khi bấm được Advanced tab.

Bước 7: Tiếp theo bấm vào biểu tượng Browser “thư mục và kính lúp) ở dưới phần Source và duyệt qua thư mục mới chứa nội dung của tệp ISO đã giải nén bằng 7.zip cùng với các tệp/ thư mục mới được thêm vào.

Sau khi hoàn tất, hãy chọn một vị trí để lưu tệp ISO có thể khởi động mà bạn sẽ tạo trong vài phút. Để làm như vậy, chỉ cần nhấp vào biểu tượng duyệt bên cạnh hộp Đích đến rồi chọn thư mục vị trí cần lưu file ISO và nhập tên File iso mới này (luôn nhập là: cdrom.iso).

Bước 8: Ở Bootable Disc tab, chọn tuỳ chọn nhãn Make Image Bootable, chọn loại mô phỏng Emulation type là None (Custom), và nhập vào Ô Sectors To Load là 8 “kiểu Server”.

• Nếu trong trường hợp bạn định làm Bootable iso cho windows client ví dụ như Win VISTA, 8.1, 10/11 chúng ta sẽ nhập: 4.
  

Bước 9: Cuối cùng, bấm vào biểu tượng duyệt ở phía cạnh hộp Boot Image và chọn thư mục Boot nằm trong thư mục mới tạo mà bạn đã lưu nội dung ở tệp ISO đã giải nén. Chọn tệp có tên tệp etfsboot.com rồi nhấp vào nút Mở.

Bước 10: Nhấp vào nút Build để bắt đầu quá trình tạo lại tệp Image Bootable ISO có thể khởi động Windows. Nhấp vào Yes hoặc OK khi bạn thấy ba hộp thoại sau để tiếp tục xây dựng tệp ISO.

 

Kết quả sau khi dùng ImgBurn đóng gọi lại File ISO bootable cài windows 2019 cùng bổ sung các phần mềm cần thêm cho Tool Training Labs

Bước 11. Giờ thì mình dùng WINSCP kết nối SSH tới máy chủ EVE-NG

• Mở thư mục /opt/unetlab/addons/qemu/winserver-2019.
• Upload file cdrom.iso vào đúng thư mục trên

 

Sau khi đẩy hoàn chỉnh file cdrom.iso lên máy chủ EVE

Bước 12. Khởi động lại VM Windows 2019 để nhận lại mount cdrom.iso

Đăng nhập bằng cách bấm tổ hợp: Ctrl + Alt và phím Delete và gõ mật khẩu trực tiếp vào thanh Input keyboard

Vào ổ CDrom và bắt đầu cài các ứng dụng đã được bổ sung trong file cdrom.iso

Cách tải xuống vCenter Appliance 7.x/8.x OVA để đưa vào EVE-NG Cloud Edge và Labs Online

Phần 1. Cách chuyển bộ cài máy chủ vCenter Appliance 7x/8x thành Template VMs trong EVE-NG:

Các bước bên dưới dựa trên việc tạo VMWare vCenter 7x/ 8x, để triển khai hình ảnh khác, hãy sử dụng tên riêng tương ứng với Model Labs của bạn.

Lưu ý trước khi thực hiện:

• Dùng 7.zip mở file VMware-VCSA-all-7.0.0-15952498.iso và tìm tới source file VMware-vCenter-Server-Appliance-7.0.0.10100-15952498_OVF10.ova.
• Vị trí file OVA có trong file ISO sau khi được 7.zip mở thường là: \VMware-VCSA-all-7.0.0-15952498\vcsa\
• Dùng WINSCP/PuTTy kết nối SSH tới EVE-NG và đăng nhập bằng user: root, tạo thư mục có trong /root/ với tên tương ứng ví dụ: /vcva8.

Tham khảo: https://www.eve-ng.net/index.php/documentation/howtos/howto-add-vm-ware-vcenter/

 

Bước 1. Dùng 7.zip mở file vcenter Appliance 7.x hoặc 8.x .iso

• Mở đến thư mục vcsa\

Bước 2. Mở WINSCP kết nối máy chủ EVE-NG và tạo thư mục /root/vcva7

Hoặc dùng lệnh SSH login user: root tạo lệnh cli thư mục chưa vCenter Appliance 7 ova hoặc vcenter 8 ova

Bước 3. Giải nến file OVA image.

Bước 4. Tạo thư mục chứa VM templates của vCenter appliance 7.x/8.x

Bước 5. Convert first 3 vmdk HDDs to the qcow2 format.

qemu-img convert -O qcow2 -c VMware-vCenter-Server-Appliance-8.0.0.10100-20920323_OVF10-disk1.vmdk /opt/unetlab/addons/qemu/vcenter-8.0/sataa.qcow2

qemu-img convert -O qcow2 -c VMware-vCenter-Server-Appliance-8.0.0.10100-20920323_OVF10-disk2.vmdk /opt/unetlab/addons/qemu/vcenter-8.0/satab.qcow2

qemu-img convert -O qcow2 -c VMware-vCenter-Server-Appliance-8.0.0.10100-20920323_OVF10-disk3.vmdk /opt/unetlab/addons/qemu/vcenter-8.0/satac.qcow2

Bước 6. Truy cập về thư mục /vcenter8 và tạo thêm 14 ổ VD / tổng 17 ổ VD (lưu ý: vCenter 7 có 16 ổ VD, vCenter 6.5: 13 ổ VD)

cd /opt/unetlab/addons/qemu/vcenter-8.0/

qemu-img create -f qcow2 satac.qcow2 25G

qemu-img create -f qcow2 satad.qcow2 25G

qemu-img create -f qcow2 satae.qcow2 10G

qemu-img create -f qcow2 sataf.qcow2 10G

qemu-img create -f qcow2 satag.qcow2 15G

qemu-img create -f qcow2 satah.qcow2 10G

qemu-img create -f qcow2 satai.qcow2 1G

qemu-img create -f qcow2 sataj.qcow2 10G

qemu-img create -f qcow2 satak.qcow2 10G

qemu-img create -f qcow2 satal.qcow2 100G

qemu-img create -f qcow2 satam.qcow2 50G

qemu-img create -f qcow2 satan.qcow2 10G

qemu-img create -f qcow2 satao.qcow2 5G

qemu-img create -f qcow2 satap.qcow2 100G

qemu-img create -f qcow2 sataq.qcow2 150G

 

Lưu ý: cấu hình, thứ tự, số lượng và kích thước các ổ cứng ảo tuân theo cấu trúc vSphere vCenter version 7.x hoặc 8.x

Sau khi thực hiện các lệnh trên

Bước 8. Xoá thư mục temporary và ấn định quyền

cd

rm -rf vcva8

/opt/unetlab/wrappers/unl_wrapper -a fixpermissions

Bước 9. Truy cập Web EVE-NG để sử dụng vCenter 8 Appliance qcow2

Bước 10. Vẽ mô hình, cấu hình network và chạy vCenter 8x

Bước 11. Sửa cấu hình vCenter 7x/8x

Set password mới: VMware1!

Sau khi ấn Esc để lưu lại cấu hình vCenter

 

Phần 2. Sau khi đã cài và cấu hình thành AD Server windows 2019 trên EVE 5x làm thế nào có thể lưu máy ảo này thành qcow2

Chúng ta có thể đóng gói máy chủ AD-DC server windows 2019 thành 1 máy ảo Template để dùng lại cho các bài Labs khác nhau sau này.

Bước 1. Bắt đầu nút “Node” mà bạn muốn chỉnh sửa và thực hiện các thay đổi.

Bước 2. Hoàn thành và tắt máy ADDC1 đúng cách.

Bước 3. Trên thanh bên trái trong phòng thí nghiệm trong Giao diện người dùng web EVE, chọn Chi tiết phòng thí nghiệm “Detail Lab” để nhận chi tiết UUID của mô hình thí nghiệm.

ID: ab612b07-7d22-4ef0-97db-e381f2244052

Bước 4. Tìm ra ID POD của nút đã sử dụng và ID nút của nút mới được cài đặt của bạn. Số POD được gán cho tên người dùng của bạn và có thể tìm thấy trong GUI EVE, Quản lý/Quản lý người dùng. Người dùng Quản trị sử dụng POD số 1 theo mặc định. Có thể lấy ID nút bằng cách nhấp chuột phải vào nút trên cấu trúc liên kết. Ví dụ: đó là 2

Và Node ID

Bước 5. Theo cấu trúc trên dùng WINSCP mở thư mục

Như vậy, chúng ta đã tìm ra file had.qcow2 là file đã dựng đầy đủ VM Microsoft Active Directory trên windows DC 2019

Bước 6. Copy file had.qcow2 về thư mục mới được tạo ở

mkdir /opt/unetlab/addons/qemu/addc2019

cp /opt/unetlab/tmp/1/ab612b07-7d22-4ef0-97db-e381f2244052/2/hda.qcow2 /opt/unetlab/addons/qemu/addc2019

Bước 7. Chạy lệnh committed để xác định vị trí ổ cứng ảo qcow2:

Bước 8. Mở lại EVE Web, thêm ADDC2 trên sơ đồ mô hình

Bước 9. Triển khai các VMs mới dạng Windows Server 2019

Và tự động tạo ra các ADDC1 được sao chép giống hệt

 

 

Phần 3. Tăng dung lượng của EVE-NG server:

• Ngầm định EVE-CE chỉ có kích thước 60GB, nếu dựng các VM KVM templates và các bộ ISO cài đặt cho tới cấu hình deploy các VMs cho Labs online là thiếu dung lượng.
• Mình có quyết định thử việc tăng dung lượng EVE-NG từ 60- 80GB từ vSphere.
• Có 2 cách để tăng dung lượng:
  • Cách 1: sửa chính ổ sda (virtual disk 1) à cách này khó chỉnh sửa tăng, tôi khuyên không nên dùng.
  • Cách 2: thêm 1 ổ cứng ảo khác (virtual disk 2) à Cách này dễ tăng và tự động, tôi khuyên dùng.

 

Cách 2. Thêm ổ cứng Hard disk 2…

• Shut down máy EVE vm bằng lệnh CLI: shutdown -h now
  

Nên thêm ổ cứng mới từ VMware vSphere hoặc Workstation Pro:

Thêm Đĩa mới với kích thước mong muốn.

Bật máy EVE-NG VM

Kết nối với EVE SSH bằng PuTTy:

ENE-NG sẽ tự động thêm kích thước và ổ cứng mới thuộc chuẩn LVM Group theo thư mục root Filesystem “/”.

Tạo máy chủ Windows 2019 AD-DC KVM trên nền EVE-NG của Linux Ubuntu và Cloud Edge

 

mkdir /opt/unetlab/addons/qemu/winserver-2019/

 

 

Then ‘upload’ a copy of the Windows Server 2019 installation iso into that folder with WinSCP or FileZilla.

 

Now rename the ISO image file to cdrom.iso, then create a new, (empty) hard drive file, that we will install windows onto. (Note: below I’m setting it to 60GB in size).

mv en_windows_server_2019_updated_nov_2019_x64_dvd_56432a3e.iso cdrom.iso

cd /opt/unetlab/addons/qemu/winserver-2019

/opt/qemu/bin/qemu-img create -f qcow2 virtioa.qcow2 60G

 

 

In EVE-NG create a new Lab and add in your Windows 2019 Server, then power it on.

 

Chúng ta bắt đầu bật VM trên Web Design EVE:

 

Double click chuột

Cloud Edge bắt đầu bật HTML5 để chúng ta có thể cài đặt, console

 

It wont find the hard drive, because it has not got the controller driver, click 'Load Driver'.

 

Navigate to B:\Storage\2003R2\amd64 OK > Next > It will detect and load the ‘Red Hat Virtio‘ driver and install Windows. Once done shut the Windows server down.

 

 

 

Phần 2. Sao lưu các Project EVE

1. Do the backup of your EVE-NG community folders: /opt/unetlab/addons/, /opt/unetlab/tmp/, /opt/unetlab/labs/
   

1. Download and install newest EVE Community 5.0.1-XX.
   

3. Copy contents from your backup folders to the same location in the new EVE Community. DO NOT overwrite whole backup directory on the new EVE Community!

Qemu version: 2.4.0

Current API version: 5.0.1-19

Như vậy sau khi nâng cấp và đồng bộ lại các bản backup của Labs cũ, chúng ta sẽ có thêm HTML5 (chính là Guacamole phiên bản mới 1.5 tích hợp cùng)

Với địa chỉ truy cập: https://ip của EVE-CE/html5/#/

 

Chúng ta có thể dễ dàng đóng gói POD cho LAB online, sửa chữa kết nối RDP, VNC, SSH, Telnet, K8s , PCoIP , HTTPS … hoặc chỉ đơn giản là Share Console Readonly…

Người dùng là các học viên, Quản trị hạ tầng sẽ điều khiển dễ dàng trên nền HTML5 design web và console, deploy các bài Labs…

 

Bonus: Nếu các bạn gặp trường hợp sự cố sau khi cài windows Server xong, và phải reboot lại thì màn hình đăng nhập Windows yêu cầu gõ tổ hợp phím : Ctrl + Alt + Delete

Nó sẽ là vấn đề khi ta đang điều khiển Labs qua Web browser Html5 nó bị trùng bàn phím với máy PC windows của bạn.

Có cách đơn gian sau đây:

• Truy cập web: https://ip- eve-ng server/html5/#/ và dùng user admin (mật khẩu ngầm định: eve, tôi đã đổi )
  

Truy cập vào menu Settings > Preferences > và chọn mục Default input method

Khi chuyển sang trạng thái Text input chúng ta sẽ có thêm 1 thanh gõ/nhập từ bàn phím “bàn phím ảo” vào trực tiếp các VMs cần điều khiển.

Lab 6.3. Cài và cấu hình File Share Witness – FSW trên Windows Server Core 2019

Giới thiệu về công nghệ Lưu trữ VSA áp dụng cho EXCHANGE DAG 2019:

Giờ đây, chúng ta có thể tạo FSW không sử dụng CNO, nhưng trên thực tế, chỉ cần sử dụng tài khoản người dùng cục bộ trên máy chủ mà FSW được kết nối.

Điều này có nghĩa là KHÔNG cần kerberos, KHÔNG cần bộ điều khiển miền, KHÔNG cần chứng chỉ và KHÔNG cần Đối tượng tên cụm. Trong khi chúng tôi đang ở đó, KHÔNG cần tài khoản trên các nút, không cần Join domain.

Có nhiều tình huống mà điều này có thể được sử dụng, chẳng hạn như thiết bị NAS, cài đặt Windows không tham gia miền, v.v.

Cách thức hoạt động là trên Windows Server, bạn muốn đặt FSW, tạo tài khoản người dùng cục bộ (không phải quản trị), cấp cho tài khoản cục bộ đó toàn quyền đối với chia sẻ, kết nối cụm với chia sẻ.

Ví dụ: tôi có một máy chủ tên là SERVER và một phần chia sẻ có tên SHARE mà tôi muốn sử dụng làm FSW. Để tạo loại File Share Witness này chỉ có thể được thực hiện thông qua PowerShell. Các bước để thiết lập điều này là:

Ví dụ: tôi có một máy chủ tên là SERVER và một phần chia sẻ có tên SHARE mà tôi muốn sử dụng làm FSW. Để tạo loại File Share Witness này chỉ có thể được thực hiện thông qua PowerShell. Các bước để thiết lập điều này là:

• Đăng nhập vào MÁY CHỦ và tạo tài khoản người dùng cục bộ (tức là FSW)
  
• Tạo một thư mục trên MÁY CHỦ và chia sẻ nó ra ngoài
  
• Cấp cho tài khoản người dùng cục bộ (FSW) toàn quyền chia sẻ
  
• Đăng nhập vào một trong các nút cụm của bạn và chạy lệnh PowerShell:
  

Set-ClusterQuorum -FileShareWitness SERVERSHARE -Credential $(Get-Credential)

• Bạn sẽ được nhắc nhập tài khoản và mật khẩu mà bạn nên nhập SERVERFSW và mật khẩu.
  

Viola!! Bạn đã hoàn thành vì chúng tôi vừa xử lý tất cả các tình huống trên. Cụm sẽ giữ tên và mật khẩu được mã hóa và không ai có thể truy cập được.

Đối với những trường hợp không có máy chủ bổ sung, bạn có thể sử dụng ổ USB được kết nối với bộ định tuyến không? Có, chúng tôi có khả năng đó và đơn giản như việc thiết lập nó trên máy chủ.

Chỉ cần cắm ổ USB của bạn vào cổng trong bộ định tuyến và truy cập vào giao diện của bộ định tuyến. Trong đó, bạn có thể thiết lập tên chia sẻ, tên người dùng và mật khẩu để truy cập. Sử dụng lệnh PowerShell ở trên trỏ nó tới bộ định tuyến và chia sẻ, và bạn đã sẵn sàng để sử dụng. Để trả lời câu hỏi tiếp theo của bạn, điều này hoạt động với SMB 2.0 trở lên. SMB 3.0 không bắt buộc đối với loại FSW.

 

Mô hình FSW và các giao thức chuẩn như sau:

Các bước thực hành dựng hệ thống FSW trên nền Windows Core server 2019:

Với máy chủ File Server Witness (viết tắt FSW) cho Exchange 2019 chi tiết cần:

1. Máy chủ FSW cần cài tuần tự các bước cho Windows Core 2019 (không có giao diện) là 1 hoặc nhiều máy chủ tuỳ theo mô hình Exchange 2019 là Enterprise License 1 máy, DAG là 2 – 16 máy chủ.
   
2. Các bước cài Windows core Server, sẽ giúp khâu chuẩn bị cài máy chủ FSW chạy tối ưu, bảo mật và ổn định gồm:
   

• Bước 1. Cấu hình tối thiểu 2 ổ cứng C, D, trong đó C: format kiểu NTFS 4K (ngầm định của Microsoft x64bit), ổ D format kiểu ReFS 64K (thao tác thủ công trên Disk manager hoặc thông qua máy client Admin có cài tool Windows Admin Center).
  
• Bước 2. Dùng sconfig lệnh để Đổi tên System Name
  
• Bước 3: cấu hình IPv4 tĩnh
  
• Bước 4: Cấu hình bật/tắt Remote Desktop
  
• Bước 5: Join Domain. (nếu FSW nằm vùng DMZ thì không cần Join Domain, chỉ chạy Workgroup).
  

   

Chi tiết các bước thực hiện:

Nhập lệnh: Start PowerShell

Sau đó dùng tiếp lệnh trên PS:

Set-ItemProperty -Path ‘HKLM:\Software\Microsoft\Windows NT\CurrentVersion\WinLogon’ -Name Shell -Value ‘PowerShell.exe’

Chúng ta sẽ sử dụng lệnh sconfig để thay đổi tất cả các tên theo thiết lập của bạn:

Trình tự cấu hình máy chủ FSW có thể là:

Cấu hình network:

Đổi tên máy thành: FSW

Join domain bằng lệnh sconfig

Bấm nút “No” và hệ thống yêu cầu restart , bấm nút Yes

cuối cùng đã hoàn thành

Kiểm tra phiên bản:

Dùng lệnh: Get-ComputerInfo | select WindowsProductName, WindowsVersion, OsHardwareAbstractionLayer

Kiểm tra nhóm Administrators của máy Local phải có thành viên Admin của Domain:

Gõ lệnh: Get-LocalGroupMember “Administrators”

Gõ lệnh: Add-LocalGroupMember -Group “Administrators” -Member “Adatum\Administrator”

 

 

Bước 1: Thiết lập Máy chủ FSW:

Để định cấu hình và thiết lập Máy chủ tệp nhân chứng (FSW), hãy triển khai máy chủ FSW là vật lý hoặc Máy chủ Ảo được Join Domain và Vai trò Active Directory. Không sử dụng Bộ điều khiển miền (DC) của bạn làm máy chủ FSW.

Các bước như sau:

Trường hợp 1. máy chủ FSW có giao diện Windows Server 2019:

• Truy cập máy chủ FSW và mở Administrative Tools và chọn Computer Management..
  

• Tìm và nhấp đúp vào Administrators Group để mở thuộc tính.
  
• Chuyển đến thành viên rồi nhấp vào Add.
  
• Sau đó tìm kiếm và thêm Group Exchange Trusted Subsystem và nhấp vào Apply > OK.
  

 

Trường hợp 2. Máy chủ FSW cài trên Windows Server Core 2019 không có giao diện:

Chúng ta sẽ gõ lệnh trên PowerShell của máy chủ FSW:

Add-LocalGroupMember -Group “Administrators” -Member “Adatum\Exchange Trusted Sybsystem”

 

Tiếp theo, chúng ta cần tạo DAG để sau đó thêm các máy chủ thành viên.

Bước 2: Tạo Nhóm cơ sở dữ liệu Email dùng chung (DAG):

Để tạo Nhóm cơ sở dữ liệu Email dùng chung (DAG), bạn có thể sử dụng Trung tâm quản trị Exchange (EAC) hoặc Exchange Management Shell (EMS). Các bước như sau:

• Đăng nhập vào Exchange Server và mở Exchange Admin Center (EAC).
  
• Chuyển đến Servers> Database Availability Groups và nhấp vào +.
  

• Nhập tên DAG1, địa chỉ Máy chủ FSW và đường dẫn thư mục FSW vào các trường tương ứng. Bạn có thể nhập 255.255.255.0 hoặc để trống địa chỉ IP và nhấp vào Lưu.
  

• Nhóm cơ sở dữ liệu Email dùng chung sẽ được tạo.
  

Để tạo DAG bằng Exchange Management Shell (EMS), bạn có thể làm theo các bước sau:

• Mở EMS và sau đó thực hiện cấu trúc lệnh sau:
  

New-DatabaseAvailabilityGroup -Name “DAGNAME” -WitnessServer “WitnessServerNameOrAddress” -WitnessDirectory “PathcToWitnessServerDirectory”

“dagname” “witnessservernameoraddress” “pathctowitnessserverdirectory” “/pathctowitnessserverdirectory” “/witnessservernameoraddress” “/dagname”

Ví dụ: New-DatabaseAvailabilityGroup -Name DAG1 -WitnessServer FSW.ADATUM.COM -WitnessDirectory E:\DAG1

Để kiểm tra xem DAG có được tạo thành công hay không, bạn có thể chạy lệnh sau trong EMS hoặc đăng nhập vào EAC và điều hướng đến Servers > Database Availability Groups.

Get-DatabaseAvailabilityGroup “dagname” | Format-List “/dagname”.

Ví dụ: Get-DatabaseAvailabilityGroup “DAG1 ” | Format-List “/DAG1“.

Bước 3: Thêm máy chủ thành viên vào DAG:

Bây giờ bạn đã tạo DAG, đã đến lúc thêm thành viên Exchange Server 2019 vào DAG. Các bước như sau:

• Trong Trung tâm quản trị Exchange (EAC), điều hướng đến Servers> Database Availability Groups và nhấp vào Manage DAG Membership.
  

• Sau đó bấm vào biểu tượng +.
  
• Chọn Máy chủ Exchange 2019 mà bạn muốn thêm vào DAG bằng nút add-> rồi nhấp vào OK.
  

• Sau khi thêm, nhấp vào Lưu.
  
• Thao tác này sẽ bắt đầu cài đặt Windows Failover Clustering trong Máy chủ Exchange 2019 thành viên đã chọn.
  

Nếu chúng ta gặp lỗi dừng ở đây:

Thì phải quay lại lệnh cmdlet của máy chủ EX1

check if the Windows Failover Clustering is installed on EX1.xyz.com.bd, and make sure you have reboot the server to complete the installation:

get-WindowsFeature Failover-Clustering

Install-WindowsFeature Failover-Clustering

Chú ý: không cần reboot?

Nguyên nhận: Ipv6 đang được bật ở các máy chủ EX thành viên.

Cách xử lý:

Chúng ta cần cấu hình trong Regedit của các máy chủ EX, disable IPv6 bằng cách tạo thêm tham số và giá trị kiểu: 32-bit DWORD registry value name: DisabledComponents thông qua Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters và giá trị là: ffffffff. Sau khi hoàn thành ở tất cả các máy chủ EX, ta sẽ khởi động từng máy chủ.

Máy chủ EX1:

Sau đó khởi động máy chủ EX1.

và tiếp theo máy chủ EX2:

Khởi động lại EX2.

• Sau khi hoàn tất, Máy chủ Exchange 2019 sẽ được thêm vào DAG.
  

• Nhấp vào Đóng. Bạn sẽ thấy nhóm khả dụng của cơ sở dữ liệu với tên của máy chủ FSW và máy chủ thành viên trong Trung tâm quản trị Exchange bên dưới Servers> Database Availability Groups.
  

Bước 4: Thêm bản sao cơ sở dữ liệu Email:

Cuối cùng, bạn có thể thêm các bản sao cơ sở dữ liệu hộp thư vào máy chủ hộp thư thành viên để cho phép sao chép liên tục và đảm bảo cơ sở dữ liệu vẫn hoạt động ngay cả khi máy chủ thành viên bị lỗi. Các bước như sau:

• Mở EAC và điều hướng đến Servers> Databases.
  
• Chọn cơ sở dữ liệu bạn muốn thêm vào máy chủ thành viên và nhấp vào biểu tượng … (ba dấu chấm).
  
• Chọn Thêm Add database copy.
  
• Nhấp vào Duyệt, chọn Exchange Server và nhấp vào OK.
  
• Nhấp vào để lưu. Thao tác này sẽ tạo cơ sở dữ liệu hộp thư và các bản sao tệp nhật ký trên máy chủ thành viên đã chọn.
  
• Sau khi quá trình hoàn tất, bấm Đóng.
  
• Để kiểm tra xem các bản sao cơ sở dữ liệu có được thêm vào máy chủ thành viên hay không, hãy nhấp vào biểu tượng làm mới bên dưới Servers> Databases.
  
• Cột Máy chủ có bản sao sẽ hiển thị máy chủ Exchange 2019 (máy chủ thành viên) nơi các bản sao cơ sở dữ liệu được thêm vào.
  

Tương tự với EX2

Ở giai đoạn này, bạn đã triển khai và định cấu hình thành công Exchange 2019 DAG từ đầu.

 

Xác minh thư mục File Share Witness:

Chuyển đến ổ đĩa E:\ của máy chủ FSW và xác minh rằng thư mục DAG1 đã được tạo. Sau khi mở thư mục, bạn sẽ tìm thấy thư mục GUID và trong đó bạn sẽ thấy hai tệp có tên:

• VerifyShareWriteAccess.txt
  
• Witness.log
  

Có thể mất vài phút trước khi cả hai tệp hiển thị. Kích thước nhỏ, và nó sẽ giữ nguyên như vậy.

Ghi chú: Loại trừ thư mục File Share Witness khỏi sản phẩm Chống vi-rút/Bảo mật của bạn.

Tóm lại:

Trong bài Labs này, chúng ta đã chia sẻ các bước đơn giản để triển khai và định cấu hình các nhóm cơ sở dữ liệu Email dùng chung cho Exchange Server 2019 từ đầu. Mặc dù Exchange 2019 DAG cung cấp khả năng phục hồi và bảo vệ trang khỏi sự cố cơ sở dữ liệu và máy chủ nhưng chừng đó không phải là giải pháp thay thế cho sao lưu/khôi phụ hệ thống.

Bạn vẫn cần duy trì sao lưu cơ sở dữ liệu dựa trên VSS thường xuyên để tránh mất dữ liệu vĩnh viễn, bị mã hoá dữ liệu do Ransomware hoặc khi thảm họa xảy ra.

Bên cạnh đó, việc giữ một phần mềm khôi phục máy chủ Exchange, chẳng hạn như: Commvault Backup, Veeam Backup, Stellar Repair for Exchange, rất được khuyến khích. Nó rất hữu ích khi bạn cần khôi phục hộp thư từ cơ sở dữ liệu Exchange bị hỏng hoặc cả hệ thống Exchange Server bị hỏng. Nó lưu các hộp thư được trích xuất từ cơ sở dữ liệu đã sửa sang định dạng PST và cung cấp các tùy chọn để xuất chúng trực tiếp sang Office 365 hoặc Live Exchange Server khác.