Chương I: Cài đặt Windows Server 2008 Giới thiệu Windows Server 2008: Window Server 2008 hệ điều hành Windows Server xuất sắc lĩnh vực máy chủ thời điểm nay, thiết kế nhằm tăng sức mạnh cho mạng, ứng dụng dịch vụ Web hệ Với Windows Server 2008, bạn phát triển, cung cấp quản lý trải nghiệm người dùng ứng dụng phong phú, đem tới hạ tầng mạng có tính bảo mật cao, tăng cường hiệu mặt công nghệ giá trị phạm vi tổ chức Windows Server 2008 xây dựng dựa thành công mạnh hệ điều hành giải thưởng Windows Server 2003 đổi công nghệ Service Pack Windows Server 2003 Windows Server 2003 R2 Tuy vậy, Windows Server 2008 không dừng lại tinh chỉnh hệ điều hành nói Windows Server 2008 cung cấp tính có giá trị cải tiến mạnh mẽ cho hệ điều hành lõi, nhờ đó, tổ chức với quy mô khác tăng khả quản lý kiểm soát, nâng cao tính sẵn có linh hoạt để đáp ứng nhu cầu kinh doanh ngày thay đổi Tại nên cài Windows Server 2008 10 lý để cài đặt Windows Server 2008 Hệ điều hành máy chủ Microsoft đưa gần đây: Windows Server 2008 (Windows Longhorn) có thực hệ điều hành tốt nhất, bảo mật hiệu dành cho máy chủ không? Câu trả lời phụ thuộc tùy vào người dùng cụ thể dù 10 lý sau giúp bạn thấy rõ có thực cần cài đặt Windows Server 2008 máy chủ không có tính khác so với hệ điều hành máy chủ trước Microsoft 2.1 Windows Server Virtualization Windows Server 2008 gồm có Windows Server Virtualization (WSv), công nghệ mạnh, hiệu ảo hóa với quản lý mạnh tính bảo mật cao Windows Server Virtualization giúp doanh nghiệp giảm chi phí, tăng khả linh hoạt tính sẵn có hệ thống việc hợp máy chủ, khôi phục thảm họa, kiểm tra phát triển, kết hợp với System Center Virtual Machine Manager quản lý xuyên suốt trung tâm liệu động 2.2 World-Class Web ứng dụng Windows Server 2008 cung cấp bảo mật, tảng dễ quản lý cho việc phát triển khả tin cậy vào ứng dụng chủ dịch vụ cung cấp từ máy chủ Web Các tính gồm đơn giản hóa quản lý, tăng bảo mật, cải thiện hiệu suất khả mở rộng cao, cung cấp tảng hợp cho việc xuất Web có tích hợp Internet Information Services 7.0 (IIS7), ASP.NET, Windows Communication Foundation 2.3 Cải thiện hiệu suất kết nối mạng Windows Server 2008 đưa thay đổi lớn ngăn xếp kết nối mạng kể từ Windows NT 4.0 Các công nghệ Receive Window Auto-tuning, Receive Side Scaling Quality of Service (QOS) cho phép tổ chức có nhiều thuận lợi việc kết nối mạng nhiều Gigabit ngày Integrated IPsec Windows Firewall có tính bảo mật nâng cao cho phép tổ chức bảo đảm kiểm soát toàn lưu lượng mạng 2.4 Bảo mật nâng cao Windows Server 2008 phát triển với mong muốn tạo bảo mật chặt chẽ từ trước đến Nó cài đặt dịch vụ cần thiết cho vai trò mà máy chủ thực Thẩm định nâng cao, mã hóa ổ đĩa, chuyển tiếp kiện Rights Management Services số công nghệ giúp tổ chức tham gia vào chuẩn IT ngày 2.5 Lấy lại kiểm soát chi nhánh văn phòng bạn Các máy chủ quản lý, dịch vụ bảo mật vị trí từ xa thách thức diễn chuyên gia CNTT Windows Server 2008 đơn giản hóa quản trị máy chủ chi nhánh văn phòng với cải tiến Active Directory, cải tiến gồm có Read-Only Domain Controller phân biệt vai trò quản trị Các công nghệ tùy chọn cài đặt BitLocker Server Core tính cụ thể tăng độ bảo mật nhằm vào cần thiết có chi nhánh 2.6 Quản trị máy chủ dễ dàng Đơn giản hóa phức tạp việc quản trị máy chủ chủ đề cải tiến Windows Server 2008 Công cụ quản lý Server Manager Console cung cấp giao diện quản lý đơn giản, hợp cho việc quản lý cấu hình máy chủ, thông tin hệ thống, hiển thị trạng thái máy chủ quản lý tất vai trò 2.7 Nâng cao kịch tự động hóa nhiệm vụ Các công nghệ Windows PowerShell, tiện ích dòng lệnh ngôn ngữ kịch giúp chuyên gia CNTT giải nhiệm vụ chung cách tự động Với ngôn ngữ kịch tập trung quản lý mới, với 120 công cụ dòng lệnh chuẩn, cú pháp tiện ích quán, Windows PowerShell hoàn toàn lý tưởng với chuyên gia CNTT việc quản trị hệ thống 2.8 Truy cập ứng dụng tập trung Với Windows Sever 2008, người dùng an toàn truy cập vào ứng dụng bên thông qua cổng tường lửa thân thiện Với Windows Server Terminal Services RemoteApp, cửa sổ ứng dụng (không phải toàn máy truy cập từ xa) 2.9 Hoạt động tốt với Windows Vista Windows Vista Windows Server 2008 xây dựng có chia sẻ với số công nghệ vấn đề kết nối mạng, lưu trữ, bảo mật quản lý Chính tổ chức thấy ưu điểm chạy Windows Server 2008 Windows Vista giải pháp máy chủ máy khách họ 2.10 Bảo vệ máy tính “không an toàn” truy cập mạng Network Access Protection (NAP) nhằm vào vấn đề máy tính “không an toàn” truy cập gây tổn hại cho mạng tổ chức NAP sử dụng để bảo đảm máy tính kết nối vào mạng phải có sách công ty với yêu cầu “sự an toàn”, điều nhằm hạn chế truy cập máy tính sách định nghĩa trước, cung cấp dịch vụ điều chỉnh lại để đưa máy tính trở trạng thái “an toàn” cung cấp cách thức kiểm tra chặt chẽ Giới thiệu đặc tính Windows Server 2008 Windows Server 2008 cung cấp nhiều tính cải tiến vượt trội điển hình công nghệ ảo hóa, tăng cường bảo mật, công cụ hỗ trợ quản trị hệ thống, tảng web, v.v Từ đó, giúp tiết kiệm thời gian, giảm chi phí, góp phần củng cố hạ tầng công nghệ thông tin tổ chức doanh nghiệp 3.1 Server Manager Advanced Event Viewer: Windows Server 2008 có giao diện quản lý hoàn toàn, Server Manager Server Manager sản phẩm hàng đầu cho việc cấu hình, quản lý kiểm tra máy chủ Trong Server Manager, bạn cài đặt Server Roles (như DNS, DHCP, Active Directory) Role Services (như Terminal Services Gateway RRAS) Khi Server Roles Role Services cài đặt, giao diện quản lý MMC cho dịch vụ cài đặt Server Manager Bạn không cần phải tạo MMC tùy chỉnh cho mình! Trong Windows Server 2008, Event Viewer cải thiện Event Viewer Windows Server 2008 mang đến cho bạn ghi kiện Event Logs Có số ghi kiện Windows thông thường: Application, Security System Nhưng lúc này, bạn hoàn toàn có khả xem kiện cho tất ứng dụng dịch vụ cài đặt máy tính Thêm vào đó, bạn tạo Custom Views Event Logs, để từ tạo mục cho ghi kiện dựa lọc mà bạn chọn Một tính ghi kiện (Event Log) đáng quan tâm khả đăng ký kiện (Events) máy tính khác hệ thống Điều cho phép bạn lấy liệu ghi kiện từ máy tính khác nhờ vào lọc mà bạn cung cấp 3.2 Terminal Services Gateway Một trở ngại để triển khai đầy đủ Terminal Services cho người dùng truy cập từ xa quản trị viên không thực tin tưởng vào trình tự thẩm định mức độ mã hóa RDP (Remote Desktop Protocol) tunnel Một vấn đề khác xuất nhiều tường lửa từ xa không cho phép trao đổi TCP 3389 Microsoft giải vấn đề cách giới thiệu tính Terminal Services Gateway Windows Server 2008 Terminal Services Gateway kiểu SSL (Secure Socket Layer) VPN, tương tự RPC/HTTP cho Microsoft Outlook truy cập vào Exchange Server Terminal Services Gateway làm việc với RDP 6.0 client nhằm cho phép kết nối RDP RDP client đóng gói giao thức RDP hai giao thức khác Đầu tiên, giao thức RDP đóng gói RPC header, sau đóng gói lần thứ hai header HTTP mã hóa (SSL) Giao thức sử dụng để kết nối TS Gateway RDP/RPC/HTTP Microsoft thực điều để họ sử dụng mã RPC/HTTP có từ trước (đã có cho RPC/HTTP proxy họ) Khi kết nối máy đầu cuối TS Gateway, TS Gateway tách header RPC HTTP chuyển tiếp kết nối RDP đến máy Terminal Server tương đương máy trạm điều khiển từ xa Remote Desktop 3.3 Terminal Services RemoteApps Mục đích quản trị viên bảo mật người dùng có quyền hạn Điều kết nối truy cập từ xa Tuy nhiên người dùng thực cần truy cập đầy đủ vào Desktop hay không? Hay họ cần truy cập vào ứng dụng Desktop? Hầu hết, họ cần truy cập vào ứng dụng liệu Trong trường hợp đó, Windows Server 2008 cung cấp cho bạn giải pháp có tên Terminal Services RemoteApp Terminal Services RemoteApp (TS RemoteApps) cho phép bạn cung cấp việc truy cập thực ứng dụng thông qua RDP channel TS RemoteApps tiện ích linh động Nó giúp kiểm soát ứng dụng mà người dùng truy cập cách họ truy cập ứng dụng máy tính họ TS Remote Apps với TS Gateway làm cho Windows Server 2008 Terminal Server trở thành giải pháp đáng quan tâm công ty muốn bảo vệ RDP 3.4 Hỗ trợ IPv6 Windows Server 2008 phiên Windows Server có hỗ trợ IPv6 với tư cách phần ngăn xếp IP Trong phiên trước Windows (trước Vista), hỗ trợ IPv6 thực song song với IPv4 hỗ trợ tích hợp cho IPv6 có dịch vụ sở hạ tầng mạng DNS DHCP Tổng quan IPV6 IPv4 chuẩn hóa kể từ RFC 791 phát hành năm 1981 IPv4 dùng 32bit để biểu diễn địa IP Sử dụng 32 bit này, ta đánh khoảng 4.3 tỷ địa khác Nhưng khoảng 10 năm sau đời, vào nửa đầu thập kỷ 90, nguy thiếu địa IP xuất Để giải vấn đề IPv6 đời Với 128 bit lớn IPv4 gấp lần, bạn đánh khoảng 340 tỷ tỷ tỷ tỷ địa Đây không gian địa cực lớn không dành riêng cho Internet mà cho tất mạng máy tính, hệ thống viễn thông, hệ thống điều khiển chí vật dụng gia đình Tính quan trọng IPv6 so sánh với IPv4 không gian địa lớn Địa IPv4 không mở rộng, việc nâng cấp lên IPv6 điều thiết yếu Internet ngày phát triển IPv6 tích hợp Windows XP SP1 Windows Server 2003 bị ẩn Còn Windows Server 2008 Windows Vista, mặc định IPv6 mở Cấu trúc địa IPv6 IPv6 có tổng cộng 128 bit chia làm phần: 64 bit đầu gọi network, 64 bit lại gọi host Địa IPv6 có 128 bit, việc nhớ địa khó khăn Cho nên để viết địa IPv6, người ta chia 128 bit thành nhóm, nhóm chiếm bytes, gồm số viết hệ số 16, nhóm ngăn cách dấu hai chấm Ví dụ: FEDL:8435:7356:EADC:BA98:2010:3280:ABCD Các loại IPv6: IPv6 gồm loại sau đây: + Unicast Address: Unicast Address dùng để xác định Interface phạm vi Unicast Address (Gửi tới địa xác định) + Anycast Address: Anycast Address dùng để xác định nhiều Interfaces Tuy vậy, Packet có đích đến Anycast Address thông qua Routing để chuyển đến Interface số Interface có Anycast Address, thông thường Interface gần Chữ “gần nhất” xác định thông qua giao thức định tuyến sử dụng (Gửi tới thành viên gần nhóm) + Multicast Address: Multicast Address dùng để xác định nhiều Interfaces Packet có đích đến Multicast Address thông qua Routing để chuyển đến tất Interfaces có Multicast Address (Gửi tới tất thành viên nhóm) IPv6 địa Broadcast chức địa bao gồm nhóm địa Multicast 3.5 Network Access Protection (NAP) Network Access Protection (NAP) hệ thống sách thi hành (Health Policy Enforcement) xây dựng hệ điều hành Windows Server 2008, Windows Vista, Windows XP Service Pack NAP cho phép bạn bảo vệ tốt tài nguyên hệ thống mạng việc thi hành số yêu cầu cần thiết cho nhu cầu bảo mật hệ thống Với NAP, bạn tạo sách cần thiết để kiểm tra hợp lệ máy tính trước cho phép truy cập liên lạc với dịch vụ hệ thống, tự động nâng cấp máy tính chưa đủ tiêu chuẩn bảo mật trước cho phép kết nối vào hệ thống, giới hạn truy cập máy tính không an toàn NAP cung cấp sách cho hệ thống sau:      Internet Protocol Security (IPSec) Institute of Electrical and Electronics Engineers (IEEE) 802.1X Virtual Private Network (VPN) Dynamic Host Configuration Protocol (DHCP) Terminal Services Gateway (TS Gateway) Secure Socket Tunneling Protocol (SSTP) Như biết, VPN giải pháp hỗ trợ truy cập từ xa có chi phí hiệu tốt cho hệ thống mạng doanh nghiệp Ta triển khai hệ thống VPN để phục vụ nhu cầu: • • Hỗ trợ truy cập từ xa vào hệ thống mạng nội (VPN Client-to-Gateway) Kết nối hệ thống mạng nằm nhiều vị trí địa lý khác (VPN Site-to-Site) Từ trước đến nay, hệ thống VPN hỗ trợ chế kết nối là: • • Point-to-Point Tunneling Protocol (PPTP) Layer Two Tunneling Protocol (L2TP) Nhưng nay, chế PPTP L2TP Windows Server 2008 Windows Vista Service Pack hỗ trợ thêm chế kết nối là: 3.6 Ảo hóa với Hyper-V Cung cấp công nghệ ảo hóa mang tên Hyper – V cho phép doanh nghiệp tận dụng lợi ích công nghệ ảo hóa mà không cần mua phần mềm hãng thứ ba Giảm chi phí cho CNTT, tập trung hóa việc quản lý mạng, tăng độ bảo mật độ tin cậy cho mạng, cung cấp khả mở rộng để giúp kiểm soát nguồn ngân sách dành cho phần cứng Cung cấp khả chưa có để tận dụng tối đa phần cứng máy chủ, cho phép ảo hóa khối lượng công việc vô lớn: lên tới lõi vi xử lý 32 GB Ram cho máy ảo Sử dụng cấu trúc dựa Hypervisor 64 bit hỗ trợ ảo hóa có trợ giúp phần cứng Hỗ trợ máy ảo 32 64 bit chạy song song Hỗ trợ hệ điều hành Windows Server 2008, Windows Server 2003 R2 SP2, Windows Vista SP1, Windows XP SP3, SUSE Linux Enterprise Server 10 máy ảo Tương thích với nhiều hệ điều hành khách khác , Các tính lưu trữ mới, ví dụ truy cập đĩa theo kiểu pass-through, phương thức cho phép máy ảo truy cập liệu dễ dàng hơn, chương trình dịch vụ bên truy cập liệu 3.7 Hình thức cài đặt Server Core Windows Server 2008 Cho phép triển khai dịch vụ server mà không cần đến giao diện đồ họa Người quản trị lựa chọn chế độ cài đặt tối thiểu, gồm vài dịch vụ cần thiết Từ đó, vừa giảm nhu cầu sử dụng tài nguyên hệ thống (bộ vi xử lý, nhớ Ram, đĩa cứng…), vừa cao tính an toàn 3.8 Tính tăng cường cho Active Directory Domain Services (ADDS) Cung cấp ADDS Installation Wizard để hợp lý hóa đơn giản hóa cấu hình việc cài đặt ADDS Bao gồm lệnh Find (tìm) snap-in Active Directory Sites and Services, nhờ việc định vị domain controller toàn doanh nghiệp trở nên dễ dàng Cung cấp sẵn tuỳ chọn kiểm tra để quản trị viên theo dõi thay đổi Directory Service, bao gồm việc chỉnh sửa, tạo mới, khôi phục di chuyển đối tượng giá trị thuộc tính trước Kết hợp Restartable Active Directory, nhờ quản trị viên tắt khởi động lại AD DS mà không cần khởi động lại domain controler, thực thao tác ADDS ngoại tuyến nhanh Cho phép xem thiết lập Group Policy với công cụ kiểu dòng lệnh Auditpol.exe 3.9 Các tính tăng cường Active Directory Rights Management Services (AD RMS): Cung cấp dịch vụ giúp tạo giải pháp bảo vệ thông tin cho ứng dụng AD RMS cho phép nhằm xây dựng sách sử dụng lâu dài thông tin nhạy cảm Cho phép quản trị thông qua Microsoft Management Console (MMC) Được tích hợp với Active Directory Federation Services (AD FS) Hỗ trợ tự đăng nhập máy chủ AD RMS Cung cấp uỷ thác trách nhiệm vai trò quản trị AD RMS Cho phép tạo file template bảo vệ quyền Và cho phép cấp phát thông tin bảo vệ quyền tới thực thể tin cậy 3.10 Tính tăng cường cho Failover Clustering: Các trình wizard setup loại bỏ hết lỗi cấu hình setup có khả xảy Sử dụng IPv6, tích hợp hoàn toàn vào failover clusters, hỗ trợ cho truyền thông node heartbeat Dùng DNS dependency NetBIOS kế thừa, không cần WINS broadcast giải pháp tên NetBIOS Cho phép kết hợp tài nguyên tên mạng nhiều địa IP kèm, nhờ đó, tên mạng có có địa IP Sử dụng giao thức Transmission Control Protocol (TCP) đáng tin cậy giao thức User Datagram Protocol (UDP) cho cluster heartbeat Tăng cường bảo mật failover cluster, bao gồm: • Mô hình bảo mật mới- Giờ đây, Cluster Service chạy điều kiện tài khoản có sẵn LocalSystem • Kiểm tra - Quản trị viên sử dụng chức kiểm tra để biết truy cập cluster vào lúc • Mã hóa- Windows Server 2008 cho phép quản trị viên mã hóa truyền thông node 3.11.Tính tăng cường cho Windows Firewall với Advanced Security Hỗ trợ việc lọc lưu lượng vào ra, giúp ngăn không cho máy tính bị nhiễm virus gây hại toàn mạng Tích hợp khả quản lý firewall IPSec vào console MMC nhất, tránh tượng sách bị chống chéo cho phép cấu hình firewall chỗ từ xa (việc cấu hình từ xa thực với phiên Windows Firewall không kết nối với desktop từ xa) 3.12 Terminal Services Windows System Resource Manager đem tới tính tăng cường sau: Cho phép kiểm soát tài nguyên CPU nhớ cấp phát cho ứng dụng, dịch vụ quy trình máy tính Cải thiện hiệu hệ thống Giảm hội chiếm dụng riêng tài nguyên CPU nhớ ứng dụng, dịch vụ quy trình Tạo trải nghiệm người dùng ổn định đoán trước ứng dụng dịch vụ Các phiên Windows server 2008 Windows server 2008 gồm phiên bản: Windows server 2008 Standard hệ điều hành Windows Server mạnh Với khả ảo hóa Web dựng sẵn tăng cường, phiên thiết kế để tăng độ tin cậy linh hoạt sở hạ tầng máy chủ bạn đồng thời giúp tiết kiệm thời gian giảm chi phí Các công cụ mạnh mẽ giúp bạn kiểm soát máy chủ tốt hơn, xếp hợp lý tác vụ cấu hình quản lý Thêm vào đó, tính bảo mật cải tiến làm tăng sức mạnh cho hệ điều hành để giúp bạn bảo vệ liệu mạng, tạo tảng vững đáng tin cậy cho doanh nghiệp bạn Windows Server 2008 Enterprise đem tới tảng cấp doanh nghiệp để triển khai ứng dụng quan trọng hoạt động kinh doanh Phiên giúp cải thiện tính sẵn có nhờ khả clustering cắm nóng xử lý, giúp cải thiện tính bảo mật với đặc tính củng cố để quản lý nhận dạng, giảm bớt chi phí cho sở hạ tầng hệ thống cách hợp ứng dụng với quyền cấp phép ảo hóa Windows Server 2008 Enterprise mang lại tảng cho sở hạ tầng CNTT có độ động khả mở rộng cao Windows servers 2008 Datacenter đem tới tảng cấp doanh nghiệp để triển khai ứng dụng quan trọng hoạt động kinh doanh ảo hóa quy mô lớn máy chủ lớn nhỏ Phiên cải thiện tính sẵn có nhờ khả clustering phân vùng phần cứng động, giảm bớt chi phí cho sở hạ tầng hệ thống cách hợp ứng dụng với quyền cấp phép ảo hóa không hạn chế, mở rộng từ tới 64 xử lý Windows Server 2008 Datacenter mang lại tảng để từ xây dựng giải pháp mở rộng ảo hóa cấp doanh nghiệp Windows Web Server 2008 dành cho hệ thống dựa xử lý Itanium tối ưu hóa cho trung tâm liệu lớn, ứng dụng nghiệp vụ riêng, ứng dụng tùy biến mang lại độ sẵn sàng khả mở rộng cao 64 xử lý để đáp ứng nhu cầu cho giải pháp khắt khe quan trọng Windows Server 2008 for Itanium-Based Systems dành cho hệ thống dựa xử lý Itanium tối ưu hóa cho trung tâm liệu lớn, ứng dụng nghiệp vụ riêng, ứng dụng tùy biến mang lại độ sẵn sàng khả mở rộng cao 64 xử lý để đáp ứng nhu cầu cho giải pháp khắt khe quan trọng Giới thiệu Routing và Remote Access Service (RAS) Routing là một khái niệm mô tả tiến trình chọn một tuyến (Route) phù hợp một danh sách các tuyến Mục đích của việc chọn tuyến là để chuyển các gói dữ liệu mạng đến đích mong muốn Để thực hiện chức Routing, người ta thường sử dụng các thiết bị Route Tuy nhiên, bạn cũng có thể sử dụng một máy tính chạy hệ điều hành hỗ trợ Routing để thực hiện chức này Các thiết bị Route dựa vào bảng định tuyến để xác định đường cho các gói tin đến đích Một bảng định tuyến gồm có nhiều bản ghi Mỗi bản ghi chứa các trường thông tin như: NetWork destination, SubnetMask, GateWay, Interface, Metric Remote access Service cho phép máy trạm nối với tài nguyên Windows NT server thông qua đường dây điện thoại RAS cho phép truyền nối với server, điều hành user server, thực chương trình khai thác số liệu, thiết lập an toàn mạng Máy trạm nối với server có dịch vụ RAS thông qua modem hoạc pull modem, cable null modem (RS232) X.25 network Khi cài đặt dịch vụ RAS, cần phải đảm bảo quyền truy nhập từ xa cho người sử dụng tiện ích remote access amind để gán quyền đăng ký người sử dụng remote access server RAS có chế đảm bảo an toàn cho tài nguyên cách kiểm soát yếu tố sau: quyền sử dụng, kiểm tra mã số, xác nhận người sử dụng, đăng ký sử dụng tài nguyên xác nhận quyền gọi lại Ngoài liên kết chỗ với mạng cục (LAN) nối kết từ xa vào mạng LAN yêu cầu cần thiết người sử dụng Việc liên kết cho phép máy từ xa người sử dụng nhà qua đường dây điện thoại thâm nhập vào mạng LAN sử dụng tài nguyên Cách thông dụng dùng modem để truyền đường dây điện thoại Windows NT cung cấp Dịch vụ Remote access Service cho phép máy trạm nối với tài nguyên Windows NT server thông qua đường dây điện thoại RAS cho phép truyền nối với server, điều hành user server, thực chương trình khai thác số liệu, thiết lập an toàn mạng Máy trạm nối với server có dịch vụ RAS thông qua modem pull modem, cable null modem (RS232) X.25 network Khi cài đặt dịch vụ RAS, cần phải đảm bảo quyền truy nhập từ xa cho người sử dụng tiện ích remote access amind để gán quyền đăng ký người sử dụng remote access server RAS có chế đảm bảo an toàn cho tài nguyên cách kiểm soát yếu tố sau: quyền sử dụng, kiểm tra mã số, xác nhận người sử dụng, đăng ký sử dụng tài nguyên xác nhận quyền gọi lại Hình : Mô hình truy cập từ xa dịch vụ RAS Để cài đặt RAS lưa chọn yêu cầu hộp Windows NT server setup lúc cài đặt hệ điều hành Windows NT Với RAS tất ứng dụng thực máy từ xa, thay kết nối với mạng thông qua card mạng đường dây mạng máy xa liên kết qua modem tới RAS Server Tất liệu cần thiết truyền qua đường điện thoại, tốc độ truyền qua modem chậm so với qua card mạng với tác vụ LAN liệu truyền nhiều Cài đặt Network Policy and Access Service - Mở Server Manager từ Administrative Tools, right click Roles chọn Add Roles Trong cửa sổ Before You Begin, chọn Next Trong cửa sổ Select Server Roles, đánh dấu chọn vào ô Network Policy and Access Services, chọn Next Trong cửa sổ Network Policy and Access Services, chọn Next Trong cửa sổ Select Role Services, đánh dấu chọn vào ô Network Policy Server, chọn Next Trong cửa sổ Confirm Installation Selections, chọn Install Trong cửa sổ Installation Results, chọn Close Chương VIII : Windows Firewall Giới thiệu: Windows Firewall with Advanced Security (WS AS) WS 2k8 là một sự kết hợp giữa Personal Firewall (Host Firewall) và IPsec, cho phép bạn cấu hình dể lọc các kết nối vào và hệ thống • Không giống những Firewall những phiên bản Windows trước chỉ sử dụng Windows Firewall Control Panel để thực hiện các thao tác cấu hình ở một mức độ giới hạn • Giờ WS 2k8 bổ sung một thành phần mới có tên gọi là Windows Firewall with Advanced Security Công cụ này cho phép bạn dễ dàng thực hiện các thao tác cấu hình đa dạng và cao cấp firewall, với những điểm mới đáng chú ý là: • Điều khiển kết nối vào hệ thống • Kết hợp chặt chẽ với Server Manager Khi sử dụng Server Manager để cài đặt các dịch vụ, firewall sẽ được cấu hình một cách tự động để phù hợp vói các dịch vụ vừa cài đặt • Những cải tiến tác vụ quản lý và cấu hình các chính sách IPsec Đồng thời, IPsec cũng được thay bằng một khái niệm mới, đó là Connection Sercurity Rules • Những cải tiến hoạt động giám sát các chính sách firewall và IPsec WS AS sử dụng hai loại tập luật để cấu hình, đó là: Firewall Rules và Connection Sercurity Rules • Firewall Rules được dùng để xác định kết nối nào được cho phép hoặc bị cấm • Connection Sercurity Rules phục vụ cho mục đích bảo mật đường truyền giữa máy tính này với máy tính khác Cài đặt: Windows Server 2003 có tường lửa cho phép bảo vệ máy tính chống lại kết nối bên mà bạn không muốn chúng kết nối với máy chủ Vấn đề hữu dụng việc bảo vệ máy Windows Server 2003, nhiên đơn giản không cho phép điều khiển hạt nhân cho truy cập vào gửi máy Windows Server 2003 Thêm vào đó, tường lửa Windows Server 2003 lại không tích hợp chặt chẽ với dịch vụ cài đặt, bạn phải cấu hình tường lửa thêm vào máy chủ dịch vụ Windows Server 2008 giới thiệu tường lửa có nhiều cải thiện đáng kể; Windows Firewall với Advanced Security Tường lửa Windows có nhiều cải thiện giống với tường lửa giới thiệu Windows Vista Các tính có tường lửa vấn đề bảo mật nâng cao gồm có: Nhiều điều khiển truy cập vào Nhiều điều khiển truy cập gửi Tích hợp chặt chẽ với Windows Server 2008 Server Manager, với cấu hình tự động tường lửa dịch vụ cài đặt Server Manager  Cấu hình việc quản lý sách IPsec cải thiện mạnh mẽ, bên cạnh có thay đổi tên Các sách IPsec khai báo rule bảo mật kết nối (Connection Security Rules)  Kiểm tra sách tường lửa cải thiện  Kiểm tra sách IPsec cải thiện (giờ gọi Rule bảo mật kết nối)  Kiểm tra tập trung việc kết hợp chế độ bảo mật Main Quick cải thiện    Có nhiều tùy chọn cấu hình có tường lửa này, chia làm ba phần, phần đầu giới thiệu tùy chọn cấu hình cho tường lửa cho sách IPsec Phần hai tập trung đến cách tạo rule vào gửi đi, phần ba giới thiệu cách tạo rule bảo mật kết nối Giao diện điều khiển Windows Firewall with Advanced Security mở từ menu Administrative Tools Khi mở giao diện điều khiển này, bạn thấy phần panel bên trái thể hình Panel giao diện điều khiển cung cấp cho bạn thông tin profile Domain, Private Public Mặc định giá trị cho profile là:    Windows Firewall “on” Kết nối gửi vào không hợp lệ với rule bị khóa Kết nối gửi không hợp lệ với rule cho phép Với người có quyền quản trị tường lửa thành phần cuối dường có phần lộn xộn tường lửa mạng, rule cho phép kết nối mặc định rule “clean up” kích hoạt kết nối bị khóa Tuy phần nội dung Windows Firewall host với Advanced Security, kết nối gửi không hợp lệ với rule cho phép có nghĩa kiểm soát truy cập gửi thiết lập mặc định Trong phần panel phái bên trái giao diện điều khiển Windows Firewall with Advanced Security, kích chuột phải vào nút Windows Firewall with Advanced Security phần panel trái giao diện điều khiển kích vào Properties Thao tác mở hộp thoại Windows Firewall with Advanced Security Properties Domain Profile tab xuất hộp thoại Windows Firewall with Advanced Security Properties Domain Profile áp dụng máy tính kết nối với mạng công ty liên lạc với miền Vì máy chủ không chuyển từ mạng sang mạng khác nên có Domain Profile áp dụng đại đa số trường hợp Ngoại từ máy chủ thành viên miền, trường hợp Private Profile áp dụng Khung State bạn cấu sau: Firewall state Trạng thái off on Nó mặc định nên để Inbound connections Các thiết lập mặc định để khóa Điều có nghĩa kết nối rule cho phép bị khóa Có hai tùy chọn khác đây: Allow, tùy chọn cho phép tất kết nối gửi đến Block all connections, khóa tất kết nối gửi Bạn nên cẩn thận với hai thiết lập thay đổi này, tùy chọn Block all connections khóa tất kết nối gửi đến, điều làm khó khăn việc quản lý máy tính từ mạng  Outbound connections Thiết lập mặc định Allow (default), cho phép kết nối gửi Một tùy chọn khác khóa kết nối gửi Chúng khuyên bạn nên chọn mặc định không máy tính kết nối với máy tính khác Có số ngoại lệ thiết bị kết nối Internet nên xử lý kết nối gửi đến không nên thiết lập kết nối gửi   Trong khung Settings bạn cấu hình thiết lập để điều khiển số hành vi tường lửa Kích nút Customize Khi hộp thoại Customize Settings for the Domain Profile xuất Trong khung Firewall settings, bạn cấu hình muốn hay không muốn có thông báo hiển thị kết nối gửi đến bị khóa Thiết lập mặc định No bạn nên để lại lựa chọn mặc định Vì chọn yes gặp phải nhiều thông báo cho kết nối gửi đến máy chủ Trong khung Unicast response, bạn cấu hình cách máy tính đáp trả lưu lượng mạng multicast broadcast Giá trị mặc định Yes (default), giá trị cho phép máy chủ cung cấp đáp trả unicast (đơn) với yêu cầu multicast (đa) Nếu bạn môi trường không phụ thuộc vào thư tín multicast broadcast (bạn ứng dụng multicast máy chủ máy chủ không phụ thuộc vào giao thức dựa broadcast NetBIOS TCP/IP), sau bạn điều chỉnh No Khung cuối cấu hình thông qua giao diện phải cấu hình thông qua Group Policy Khung Merging thể cho bạn cách client xử lý với rule đến từ tập rule tường lửa nội rule tường lửa cấu hình thông qua Group Policy Các thiết lập mặc định Group Policy áp dụng hai rule tường lửa nội rule bảo mật kết nối nội Như với thiết lập Group Policy khác, thứ tự ưu tiên xác định LSDOU Trên hộp thoại Windows Firewall with Advanced Security Properties, khung Logging bạn cấu hình số tùy chọn cho việc Logging cho Windows Firewall Kích Customize Khi hộp thoại Customize Logging Settings for the Domain Profile xuất Tên file ghi mặc định pfireall.log lưu vị trí mặc định đĩa cứng nội Bạn thay đổi vị trí thích cách đánh vào đường dẫn vào hộp Name kích vào nút Browse Giá trị Size limit (KB) mặc định cho kích thước file ghi MB (4096 KB) Bạn giảm tăng kích thước muốn Sau ghi điền, entry cũ bị xóa entry bổ sung Mặc định, Log dropped packets Log successful connections thiết lập No (default) Lưu ý bạn cấu hình hai thiết lập để ghi cho file ghi Trong tab, bạn cấu hình thiết lập tường lửa giống với thiết lập mà bạn thực tab, nhiên thiết lập ảnh hưởng máy tính bạn kết nối với mạng riêng, mạng riêng không kết nối với miền Các thiết lập không áp dụng máy chủ thành viên miền thành viên miền, không xóa on off cho mạng, miền kết nối, không không thực tất chức Trong tab Public Profile, bạn cấu hình thiết lập áp dụng máy tính kết nối với mạng công cộng Các cấu hình không áp dụng cho máy chủ chúng sử dụng máy tính kết nối với mạng công cộng Tài Liệu Tham Khảo • • • • • • • http://www.quantrimang.com http://www.nhatnghe.com http://www.ebook.edu.vn http://www.echip.com.vn http://www.vn-zoom.com http://ddth.com Quản trị Windows Server 2008, tập 1+2, Tô Thanh Hải, NXB Phương Đông Kết Luận Windows Server 2008 bao gồm tính Windows Server Virtualization (WSV), công cụ đầy hứa hẹn, đáp ứng yêu cầu tận dụng hiệu xử lý thiết bị phần cứng, quản lý công nghệ ảo hoá dễ dàng, nhằm giảm thời gian chi phí cho ứng dụng Nâng cao khả đáp ứng hệ thống Đặc biệt với nhà nghiên cứu công nghệ thực công cụ hữu dụng nghiên cứu, thử nghiệm Datacenters Windows Server 2008 đáp ứng yêu cầu bảo mật, dễ dàng quản lý, phát triển độ tin cậy lớn hosting ứng dụng, dịch vụ Web Các tính ao gồm: Đơn giản quản lý, nâng cao bảo mật, hiệu xử lý hỗ trợ Web với Internet Information Service 7.0 (IIS7), ASP.NET, Windows Communication Foundation Microsoft Windows SharePoint Services Windows Server 2008 giới thiệu mang lại cải tiến lớn mạng từ đời Windows NT 4.0 Các công nghệ Receive Windows Autotuning, Receive Side Scaling, Quality of Service (QOS) cho phép tổ chức khai thác hết tính từ công nghệ mạng Gigabit Network Kết hợp với IPSec tính Windows Firewall với Advanced Security đáp ứng yêu cầu bảo mật hệ thống trình truyền thông tin mạng Windows Server 2008 phát triển thời điểm yêu cầu bảo mật hệ thống vô quan trọng Luôn bảo vệ, Windows Server 2008 cài đặt services cần thiết cho máy chủ đáp ứng yêu cầu nhằm nâng cao hiệu tính bảo mật Ghi lại trình xảy hệ thống (System Auditing) mã hoá ổ cứng, Right Management Service đáp ứng yêu cầu bảo mật ngày cao, tính tiện lợi cho doanh nghiệp sử dụng Việc quản lý máy chủ, dịch vụ, bảo mật truy cập từ xa yêu cầu nhà quản trị chuyên nghiệp Windows Server 2008 với tính cao cấp cải thiện đáng kể việc quản trị, mang đến công cụ đơn giản hiệu quản lý, bảo dưỡng hệ thống Cac dịch vụ Active Directory, bao gồm ReadOnly Domain Controllers Administrative role Các công nghệ BitLocker, Server Core cung cấp khả bảo mật vai trò cần thiết cho văn phòng chi nhánh [...].. .Windows Server 2008 Standard không có Hyper-V là Windows Server 2008 Standard không có Hyper-V không bao gồm Windows Server Hyper-V Windows Server 2008 Enterprise không có Hyper-V là Windows Server 2008 Enterprise không có Hyper-V không bao gồm Windows Server Hyper-V Windows Server 2008 Datacenter không có Hyper-V là Windows Server 2008 Datacenter không có Hyper-V không bao gồm Windows Server. .. màn hình Server Manager tự động được kích hoạt Tại đây, bạn có thể thực hiện hầu hết các thao tác cấu hình trên server Chương II: Cấu hình mạng Server/ Client trên Windows Server 2008 1 Chuẩn bị - Máy Server: Windows Server 2008 - Máy Client: Windows Server 2008 hoặc Windows 7 Cài đặt các dịch vụ trên máy server như sau: • • • • • • • Cấu hình TCP/IPv6 Cài đặt DNS Server role Cấu hình DNS Server Cài... /all, kiểm tra thông tin như trong hình bên dưới 2.2 Cài đặt DNS Server role Tại máy Server, log on Administrator, mở Server Manager từ Administrative Tools Trong cửa sổ Server Manager, chuột phải Roles chọn Add Roles Hộp thoại Before You Begin, chọn Next Trong hộp thoại Select Server Roles, đánh dấu chọn DNS Server, chọn Next Hộp thoại DNS Server, chọn Next Hộp thoại Confirm Installation Selections, chọn... Cài đặt DHCP Server role Tại máy Server, mở Server Manager từ Administrative Tools, chuột phải Roles chọn Add Roles Hộp thoại Before You Begin, chọn Next Trong hộp thoại Select Server Roles, đánh dấu chọn DHCP Server, chọn Next Hộp thoại DHCP Server, chọn Next Hộp thoại Select Network Connection Bindings , kiểm tra có đánh dấu chọn fc00:192:168:5::25, chọn Next Hộp thoại Specify IPv4 DNS Server Settings,... chức năng Add/Remove Windows Components trong Control Panel của các phiên bản trước đó Add features đem đến sự đơn giản và nahnh chóng trong việc bổ sung các thành phần của Windows  Enable Remote Destkop: chp phép bạn cấu hình chức năng remote destkop trên server  Configure Windows Firewall: bật hoặc tắt và thực hiện các thao tác cấu hình mở rộng trên Windows Firewal 5.2.2 Màn hình Server Manager Ngay... Windows Server Hyper-V Windows Server 2008 Datacenter không có Hyper-V là Windows Server 2008 Datacenter không có Hyper-V không bao gồm Windows Server Hyper-V 5 Cài đặt Windows Server 2008 5.1 Yêu cầu hệ thống Để cài đặt Windows Server 2008, bạn cần đảm bảo cấu hình phần cứng của mình thỏa mãn các yêu cầu sau: Cấu hình tối thiểu: 1GHz (x86 processor) hoặc 1.4GHz (x64 processor) Khuyến cáo: 2GHz hoặc... là bạn đã cài đặt xong phần Windows Server 2008 5.2.1 Màn hình Initial Configration Tasks Ngay khi đăng nhập thành công, hệ thống hiển thị màn hình yêu cầu thực hiện các thao tác cấu hình ban đầu cho Windows (Initial Configration Tasks) Trong đó bao gồm:  Set time zone: thiết lập time zone cho server  Configure network connections và tương tác các kết nối hiện có trên server  Provide computer name... này để cho phép bạn cấu hình Windows automatic updating, Windows Error Reporting và Customer Experience Improvement Program  Dowload and install updates: cho phép bạn cấu hình để hệ htoongs dowload và cài đặt các gói cập nhật  Add roles: cho phép bạn triển khai cá dịch vụ máy chủ trên server này Bao gồm: Active Directory Domain Services, DHCP Server, DNS Server , Print server, …  Add features: công... Specify IPv4 WINS Server Settings, chọn WINS is not required for applications on the network, chọn Next Hộp thoại Add or Edit DHCP Scopes, chọn Next Trong hộp thoại Configure DHCPv6 Stateless Mode, chọn Enable DHCPv6 stateless mode for this server, chọn Next Trong hộp thoại Specify IPv6 DNS Server Settings, nhập netTHK31.edu.vn vào ô Parent Domain, nhập fc00:192:168:5::25 vào ô Preferred DNS Server IPv6... Internet Protocol Version 6 (TCP/IPv6) Properties, nhập thông số TCP/IP như sau: IPv6 address: fc00:192:168:5::25 Subnet prefix length: 64 Preferred DNS server: fc00:192:168:5::25 Mở Windows Firewall từ Control Panel, chọn Change settings Trong hộp thoại Windows Firewall Settings, chọn Off, chọn OK Mở System từ Control Panel, trong cửa sổ System chọn Change settings Trong hộp thoại System Properties, vào ... khe quan trọng Windows Server 2008 Standard Hyper-V Windows Server 2008 Standard Hyper-V không bao gồm Windows Server Hyper-V Windows Server 2008 Enterprise Hyper-V Windows Server 2008 Enterprise... Hyper-V không bao gồm Windows Server Hyper-V Windows Server 2008 Datacenter Hyper-V Windows Server 2008 Datacenter Hyper-V không bao gồm Windows Server Hyper-V Cài đặt Windows Server 2008 5.1 Yêu cầu... định đoán trước ứng dụng dịch vụ Các phiên Windows server 2008 Windows server 2008 gồm phiên bản: Windows server 2008 Standard hệ điều hành Windows Server mạnh Với khả ảo hóa Web dựng sẵn tăng