hệ điều hành Windows server 2008

hệ điều hành Windows server 2008

Chương 1: Tìm hiểu về hệ điều hành Windows server 2008

1.1 Tổng quan về Windows Server 2008

MS Windows Server 2008 được bổ sung nhiều tính năng mới,nhằm cung cấp nhiều cải thiệntốt hơn cho OS máy chủ so với phiên bản MS Windows Server 2003 Những cải thiện có thểthấy được như: các vấn đề về mạng,công nghệ ảo hóa, quản lý nâng cao với tính năng quản trị từ xa và Powershell, các tính năng bảo mật nâng cao, các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự phòng, cải thiện dịch vụ Active Directory và Group Policy

Những cải thiện này sẽ giúp các tổ chức tối đa được tính linh hoạt, khả năng sẵn có và kiểm soát được hệ thống Servers, đáp ứng được tất cả các nhu cầu xử lý công việc và yêu cầu về

hệ thống phần cứng, giúp khai thác tối đa được hệ thống phần cứng x64 và bộ vi xử lý (CPU) đa nhân

Microsoft Windows Server 2008 là thế hệ kế tiếp của hệ điều hành Windows Server, có thể giúp các chuyên gia công nghệ thông tin có thể kiểm soát tối đa cơ sở hạ tầng của họ và cung cấp khả năng quản lý và hiệu lực chưa từng có, là sản phẩm hơn hẳn trong viện đảm bảo độ an toàn, khả năng tin cậy và môi trường máy chủ vững chắc hơn các phiên bản trước đây

Windows Server 2008 cung cấp những giá trị mới cho các tổ chức bằng việc đảm bảo tất cả người dùng đều có thể có được những thành phần bổ sung từ các dịch vụ từ mạng WindowsServer 2008 cũng cung cấp nhiều tính năng vượt trội bên trong hệ điều hành và khả năng chuẩn đoán, cho phép các quản trị viên tăng được thời gian hộ trợ cho công việc của doanh nghiệp

Windows Server 2008 xây dựng trên sự thành công và sức mạnh của hệ điều hành đã có trước đó là hệ điều hành Windows Server 2003 và những cách tân đã có trong bản Service Pack 1 và Windows Server 2003 R2 Mặc dù vậy Windows Server 2008 hoàn toàn hơn hẳn các hệ điều hành tiền nhiệm Windows Server 2008 được thiết kế để cung cấp cho các tổ chức có được nền tảng sản xuất tốt nhất cho ứng dụng, mạng và các dịch vụ web từ nhóm làm việc đến những trung tâm dữ liệu với tính năng động, tính năng mới có giá trị và những cải thiện mạnh mẽ cho hệ điều hành cơ bản

Cải thiện cho hệ điều hành máy chủ của windows

Thêm vào tính năng mới, Windows Server 2008 cung cấp nhiều cải thiện tốt hơn cho hệ điều hành cơ bản so với Windows Server 2003 Những cải thiện có thể thấy được gồm có các vấn đề về mạng, các tính năng bảo mật nâng cao, truy cập ứng dụng từ xa, quản lý role máy chủ tập trung, các công cụ kiểm tra độ tin cậy và hiệu suất, nhóm chuyển đổi dự

phòng,sự triển khai và hệ thống file Những cải thiện này và rất nhiều cải thiện khác sẽ giúp các tổ chức tối đa được tính linh hoạt, khả năng sẵn có và kiểm soát được các máy chủ của họ

1.2 Tìm hiểu về hệ điều hành Windows

1.2.1 Sơ lược Windows của Microsoft

Hệ điều hành Windows đã có một lịch sử phát triển khá dài, phiên bản đầu tiên của hệ điều hành này đã được phát hành cách đây khoảng 25 năm và quãng thời gian mà Windows chiếm được ưu thế đối với các máy tính cá nhân cũng vào khoảng trên 15 năm Rõ ràng, quarất nhiều thay đổi về kỹ thuật trong 25 năm qua, phiên bản ngày nay của Windows đã được phát triển hơn rất nhiều so với phiên bản Windows 1.0

Phiên bản đầu tiên của Windows này (Windows 1.0) khá sơ đẳng.Sơ đẳng hơn cả hệ điều hành DOS trước đó, tuy nhiên nhược điểm phát sinh là ở chỗ rất khó sử dụng.Vì thực tế khi

đó nếu bạn không có chuột thì việc sử dụng sẽ khó khăn hơn rất nhiều so với giao diện dònglệnh của DOS

Tuy nhiên Windows được phát triển ngày một tốt hơn và cũng được phổ biến rộng rãi hơn.Microsoft đã nâng cấp Windows trên một cơ sở nhất quán qua hai thập kỷ qua.Phát hành một phiên bản Windows mới sau một vài năm; đôi khi phiên bản mới chỉ là một nâng cấp nhỏ nhưng đôi khi lại là quá trình đại tu toàn bộ

Cho ví dụ, Windows 95 (phát hành năm 1995), phiên bản được viết lại toàn bộ từ Windows 3.X trước đó nhưng trong khi đó phiên bản kế tiếp, Windows 98, lại là một nâng cấp và phiên bản Windows 98 thứ hai (năm 1999) thực sự không khác gì một bản vá lỗi nhỏ và ngày càng hoàn thiện hơn

1.2.2 Các phiên bản Windows

Windows Server là một nhánh của hệ điều hành máy chủ được sản xuất bởi tập đoàn

Microsoft Sau đây là các phiên bản windows của Microsoft:

Windows NT 3.1

Microsoft chính thức phát hành Windows NT Advanced Server 3.1 vào ngày 24 tháng 10 năm 1993 và dự án này được tiếp tục quản lý dưới sự chỉ đạo của Dave Cutler Hệ điều hành này cho phép các công ty có thể sử dụng mạng LAN và được giới thiệu giao diện lập trình (API) Win32.“Windows NT được sinh ra không chỉ để thay đổi cách thức các doanh nhân sử dụng máy tính vào nhu cầu kinh doanh của mình”, Bill Gate phát biểu trong lễ ra mắt hệ điều hành này

Windows for Workgroups 3.11

Được phát triển dựa trên Windows 3.1, hệ điều hành này đã thêm tính năng làm việc theo nhóm ngang hàng (peer-to-peer) và hỗ trợ làm việc theo vùng Máy tính cá nhân dựa trên nền tảng của Windows đã lần đầu tiên được hoạt động trên mạng và dựa trên quan hệ

chủ/khách (Client/Server) Hệ điều hành này cũng được phát triển lên thành Windows NT Workstation 3.5, hệ điều hành được phát triển cho việc hỗ trợ những ứng dụng cao cấp và mạng chia sẻ dữ liệu và máy in Netware

Windows 95

Được phát hành vào tháng Tám năm 1995, hệ điều hành này là sự thay thế cho hai phiên bản

cũ của Windows là 3.1 và DOS Tính năng chính của hệ điều hành này là màn hình, thanh tác vụ và Start Menu được ra mắt, những tính năng này vẫn còn tồn tại đến những phiên bảnhiện nay Hệ điều hành này cũng được tích hợp DOS làm nhiệm vụ liên kết giữa Windows với phần cứng máy tính

Windows NT 4.0

Được giới thiệu vào tháng Bảy năm 1996, hệ điều hành này có 4 phiên bản Workstation, Terminal Server và hai phiên bản dành cho máy chủ Đây là lần đầu tiên Internet Explorer xuất hiện và sử dụng giao diện cải tiến của Windows 95.Những tính năng khác bao gồm hỗ trợ các ứng dụng cho fax, Webserver, và chương trình e-mail

Windows 2000

Được phát hành vào ngày 17 tháng 2 năm 2000, hệ điều hành này làm việc trên cả máy chủ lấn máy để bàn, nhưng với những tinh năng quan trọng như Active Directory, Microsoft lần đầu tiên đã lật đổ sự thống thị của Novell trong quản lý môi trường mạng Windows 2000 cũng là hệ điều hành đầu tiên hỗ trợ Kerberos và tích hợp sẵn Terminal Services

Windows ME

Thường được nhắc đến như một phiên bản hệ điều hành gây thất vọng của Microsoft,

Millennium Edition được tung ra vào tháng Mười Hai năm 2000 và là hệ điều hành cuối cùng sử dụng nhân của hệ điều hành 9.x Đây là hệ điều hành chuyển giao giữa 98 với XP,

và cũng là phiên bản đầu tiên có tính năng System Restore

Windows XP

Được đồng chủ tịch của Microsoft Jim Allchin giới thiệu vào ngày 25 tháng 10 năm

2001.Đây là phiên bản dành cho cả đối tượng doanh nghiệp và gia đình dựa trên nền tảng Windows 2000, với ba phiên bản và lỗi chính, với bản SP2 hướng vào bảo mật Sau hơn 7 năm hoạt động, theo báo cáo của Forrester vào tháng 2 năm 2009 thì XP vẫn là hệ điều hànhđược 71% máy tính cá nhân sử dụng

Windows Server 2003

Được giới thiệu vào ngàu 24 tháng 4 năm 2003, hệ điều hành này đã được cải tiến nhiều tính năng bảo mật và khả năng cấu hình, bao gồm cả khả năng thiết lập các nguyên tắc trongmạng Windows Server 2003 R2 được ra mắt vào tháng Mười Hai năm 2005 thêm nhiều tính năng quản lý như văn phòng chính, máy chủ dữ liệu, máy chủ in ấn và tích hợp nhận dạng

Windows Vista

Sau bảy năm phát triển, Vista được ra mắt vào ngày 30 tháng 3 năm 2007 cho người dùng đơn lẻ và ngày 30 tháng 11 năm 2006 cho người dùng thuộc các doanh nghiệp, đã gặp phải nhiều sự lạnh nhạt của người dùng khi không thể tương thích với rất nhiều các ứng dụng

CEO của Microsoft là Steve Ballmer đã cố gắng thuyết phục người dùng rằng Vista là tươnglai của công nghệ, nhưng khi hé lộ về Windows 7 trong thời gian diễn ra Hội nghị các chuyên gia phát triển năm 2009 đã đánh dấu chấm hết cho “cuộc sống” của Vista.

Windows Server 2008

Được giới thiệu vào ngày 27 tháng 2 năm 2008 và được xây dựng trên nền tảng tương tự như Vista, hệ điều hành này đã có tính năng mới như Server Core, nguyên tắc cho Active Directory, công nghệ ảo hóa Hyper-V, PowerShell, và Server Manager Phiên bản R2 của hệđiều hành này đã được thử nghiệm vào tháng Một năm 2009 với add-on Live Migration của công nghệ Hyper-V

Windows 7

Phiên bản tiếp theo này đã được phát hành năm 2009 Windows 7 khắc phục được các lỗi của vista, hoàn thiện hơn với giao diện trong suốt, bắt mắt, thu hút người dùng cá nhân

Windows 8

Phiên bản mới nhất của Microsoft năm 2012 Được ra vào tháng 10 năm này,

Windows 8 sẽ có nét đặc trưng là khả năng điều hướng và điều khiển bằng màn hình cảm ứng, cũng như hỗ trợ cho máy tính bảng Không phải tất cả các ứng dụng chạy trên

Windows 7 sẽ tương thích với màn hình cảm ứng, nhưng các thiết bị dùng chuột và bàn phím sẽ chạy được tất cả ứng dụng cũ trên Windows 7

Hệ điều hành mới sử dụng năng lượng hiệu quả hơn, bảo mật tốt hơn và tương thích với những chip nền tảng ARM, tất cả những điều này làm Windows 8 hấp dẫn đối với doanh nghiệp

1.2.3 Các dịch vụ trên Windows Server 2008

Active Directory Certificate Services: Là 1 Identity và access control Nó tăng cường sự bảomật bằng cách ràng buộc sự nhận dạng của một người, thiết bị hoặc dịch vụ và cho khóa riêng của mình Và Active directory certificate trở thành địa điểm trung tâm để lấy các thôngtin thích hợp khi 1 ứng dụng đặt 1 yêu cầu

Active Directory Domain Services: Là vị trí trung tâm cho thông tin cấu hình, yêu cầu chứng thực và thông tin về tất cả các đối tượng được lưu trong máy tính của bạn Qua đó chúng ta có thể quản lý hiệu quả người sử dụng máy tính, máy in, ứng dụng và thư mục, kích hoạt các đối tượng khác từ 1 địa điểm an toàn tập trung

Active Directory Federation Services: Là một độ an toàn cao, khả năng mở rộng cao và khả năng mở rộng Internet, giải pháp nhận dạng truy cập cho phép các tổ chức xác thực người dùng của các tổ chức đối tác.

Active Directory Lightweight Directory Services: Dùng để cung cấp dịch vụ thư mục cho thư mục kích hoạt ứng dụng, để lưu trữ dữ liệu, qua đó bạn có thể phân vùng cấu trúc thư mục để các Active directory lightweight directory services chỉ được triển khai đến các máy chủ mà cần hỗ trợ các ứng dụng thư mục cho phép

DHCP Server (Dynamic Host Configuration ): Hổ trợ vấn đề theo dõi và cấp phát địa chỉ IP được chính xác

Active Directory Right Management Services: Giúp bảo đảm rằng chỉ những cá nhân nhữngngười cần xem 1 tập tin có thể làm như vậy, có thể bảo vệ một tập tin bằng cách xác định các quyền mà người dùng đã để tập tin

Application Server: Là 1 mở rộng vai trò máy chủ trong Windows Server 2008 Cung cấp môi trường tích hợp cho việc triển khai và chạy tùy chỉnh, các ứng dụng kinh doanh dựa trên máy chủ

DNS (Domain Name System ): Là máy chủ được dùng để phân giải domain thành được IP

và ngược lại

Fax Server: Làm nhiệm vụ gửi và nhận Fax tự động dựa trên nền TCP/IP sẵn có của công ty.Đầu nối Server song song với máy Fax hiện có của công ty, máy Fax của công ty sẽ được dùng làm Backup

Network Policy and Access Services: Ngoài các chức năng: định tuyến lưu lượng cho LAN

và WAN; cho phép truy cập vào các tài nguyên nội bộ thông qua kết nối VPN hoặc dial-up; tạo và ép buộc sự truy cập mạng thông qua các kêt nối VPN hoặc dial-up Network Policy and Access Services còn có: dịch vụ VPN; dịch vụ dial-up; truy cập được bảo vệ 802,11; routing & remote access (RRAS); cung cấp xác thực thông qua Windows Active Directory; kiểm soát truy cập mạng với các chính sách

Print Server: Windows Server 2008 in Dịch vụ cho phép máy in được chia sẻ qua mạng và cung cấp một cơ sở hạ tầng quản lý tập trung cho phép máy in in nhiều máy chủ và máy in được quản lý từ bên trong công cụ quản lý Print.

Terminal Services: Ngoài các chức năng: dữ liệu có thể tập trung tại 1 địa điểm để cải thiện

an ninh và sẵn có; quản lý chi phí có thể được giảm bằng cách chỉ phải quản lý một bản duy nhất của ứng dụng trên máy chủ; thêm cơ bản đầu cuối phần cứng và máy trạm mỏng có thểđược sử dụng trong các hệ thống máy tính để bàn đặt hoàn tất, giúp giảm chi phí thấp hơn; băng thông có thể được sử dụng hiệu quả hơn, dẫn đến những cải tiến hiệu suất tiềm năng Terminal Services còn có tính năng: triển khai các ứng dụng tích hợp liền mạch với máy tính để bàn địa phương của người dùng; cung cấp quyền truy cập vào Trung Ương quản lý máy tính để bàn Windows; kích hoạt tính năng truy cập từ xa cho hiện tại “_WAN không thân thiện” các ứng dụng; độ an toàn cao các ứng dụng và dữ liệu bên trong trung tâm dữ liệu không cần phải lo lắng máy tính xách tay về mất

UDDI Services: Universal mô tả, Discovery, và hội nhập (UDDI) là một đặc tả công nghiệp cho xuất bản và tìm thông tin về các dịch vụ Web

Web Server: Là một ứng dụng Web mạnh mẽ và nền tảng dịch vụ

Windows Deployment Services: Các máy chủ Windows Deployment Services vai trò trong Windows Server 2008 là phiên bản được thiết kế lại và từ xa (dịch vụ cài đặt RIS)

File Server: Đảm nhận trách nhiệm lưu trữ dữ liệu, chia sẻ dữ liệu cho người dùng trong công ty Việc lưu trữ dữ liệu tập trung giúp cho việc quản lý, chia sẻ, backup dữ liệu dễ dàng hơn.Tại đây sẽ phân quyền, giám sát sự truy xuất dữ liệu của người dùng đến Server

Active Directory Certificate Services(ADCS)

Active Directory Certificate Services(AD CS) trong Windows Server 2008 R2 giới thiệu cáctính năng và dịch vụ cho phép linh hoạt hơn trong việc triển khai PKI,giảm chi phí và cung cấp hỗ trợ tốt hơn cho việc triển khai Network Acces Protection (NAP)

Hình 1.1 Mô hình ADCS

Tính năng và dịch vụ mới của AD CS trong bảng sau đây là trong Windows Server 2008

Certificate Enrollment Wed Service và

Certificate Enrollment Policy Wed

Cải tiến hỗ trợ high-volume CAS Giảm kích cỡ cơ sở dữ liệu CA cho

một số triển khai NAP và high-volume CAS

Certificate Enrollment Wed Server là vai trò mới trong AD CS dịch vụ này cho phép chính sách dựa trên giấy chứng nhận qua HTTP bằng cách sử dụng các phương pháp hiện tại như autoenrollment Dịch vụ Wed hoạt động như một proxy giữa một máy clien và một CA ,mà làm cho giao tiếp giữa máy client và CA không cần thiết và cho phép chứng nhận ghi danh qua internet và qua Forest

Các tính năng cần quan tâm

Các tổ chức với PKI mới và hiện tại có thể được lợi từ việc mở rộng khả năng tiếp cận của giấy chứng nhận ghi danh bằng cách cunh cáp giấy chứng nhận ghi danh các dịch vụ Wed trong kịch bản triển khai:

- Triển khai nhiều Forest ,máy tính client có thể ghi danh cho giấy chứng nhận từ CA trong một Forest khác nhau

- Trong triển khai extranet ,công nhân di động và các đối tác kinh doanh có thể ghi danh qua internet

Có cân nhắc gì đặc biệt?

Certificate Enrollment Wed Service gửi yêu cầu thay mặt cho máy tính client và phải được tin cậy cho các đoàn đại biểu.Triển khai Extranet của dịch vụ Wed này làm tăng mối đe dọa tấn công mạng và một số tổ chức có thể không tin tưởng các dịch vụ.Trong những trường hợp này ,Certificate Enrollment Wed Service và cấp CA có thể được cấu hình để chấp nhận các yêu cầu đổi mới chỉ kí kết với các chứng chỉ hiện tại,mà không yêu cầu đoàn

Chứng chỉ ghi danh các dịch vụ Wed có các yêu cầu sau:

- Active Directory forest với Windows Server 2008 R2 schema

- Enterprise CA chạy Windows Server 2008 R2 ,Windows Server 2008 hoặc WindowsServer 2003

- Certificate enrollment qua Forest yêu cầu CA chạy phiên bản Windows Server

Enterprise hoặc Datacenter

- Máy tính client chạy Windows®7

Active Directory Domain Services

Dịch vụ này có một số tính năng và nâng cao mới so với Windows Server 2003.Có nhiều chức năng và tính năng mới được thêm vào Actice Diretory của Windows 2008.Những thay đổi chính và chức năng mới của Domain Service:

- Active Directory Domain Sevices –Read-Only Domain controller

- Active Directory Domain Sevices –Restarttable Actice Directory Domain Services

- Active Directory Domain Sevices –Fine –Grained Password Policies

Chức năng Domain Services được đưa vào và nâng cấp trong Windows Server 2008, cùng một số tiện ích cài đặt đã được cải thiện (Server Manager).Dịch vụ này cung cấp một số tùy chọn mới cho các tính năng AD DS như Read-Only Domain controller (ROCD)

Read-Only Domain controller(RODC) của Active Directory là một kiểu domain controller mới trong Windows Server 2008 Với mỗi RODC, các tổ chức có thể triển khai dễ dàng mộtdomain controller trong các vị trí mà sư bảo mật về mặt vật lý không được bảo đảm.

Mục đích chính của RODC là cải thiện độ bảo mật tại các chi nhánh văn phòng.Tại các văn phòng chi nhánh thường gặp rất nhiều khó khăn trong việc bảo mật vật lý đối với cơ sở hạ tầng CNTT, đặc biệt cho Domain controller có bên trong các dữ liệu nhạy cảm.Thông thường một DC có thể tìm thấy ở đâu đó trong văn phòng (có thể dưới bàn làm việc).Nếu ai

đó có sự truy cập vật lý vào DC thì họ có thể dẽ dàng thao túng hệ thống và có thể truy cập vào dữ liệu RODC được giới thiệu để giải quyết vấn đề này

Bản chất của RODC:

- Read –Only Domain controller

- Administrative Role Separation

- Credential Caching

- Read-Only DNS

- Read –Only Domain controller

RODC giữ một copy cơ sở dữ liệu Active Directory chỉ đọc, không cho phép ghi, gồm tất cảcác đối tượng và thuộc tính RODC chỉ hỗ trợ bản sao một hướng (uni-directional) đối với các thay đổi của Active Directory, điều đó có nghĩa rằng RODC luôn sao chép ngay lập tức các Domain controller trong HUB

Hình 1.2: Bản sao đối với RODCRODC sẽ thực hiện sao chép gửi về từ hub đối với các thay đổi của Active Directory và DFS, RODC sẽ nhận mọi thứ từ Active Diretory nhưng các thông tin nhạy cảm, mặc định các tài khoản như Domain Admins, Enterprise và Schema Admins đều bị loại trừ khỏi việc sao chép đối với RODC.

Nếu một ứng dụng cần phải ghi vào Active Directory thì RODC sẽ gửi một thông tin chỉ dẫnLDAP để tự động gửi chuyển tiếp ứng dụng đến Domain controller có thể ghi, Domain controller này nằm trên HUB chính RODC cũng có khả năng chạy Global Catalog Role để

có thể đăng nhập nhanh hơn nếu cần

Đây thực sự là một ưu điểm tuyệt vời dành cho các văn phòng chi nhánh, vì nếu một ai đó

có thể truy cập vật lý vào máy chủ hoặc thậm chí lấy cắp máy chủ thì người này có thể bẻ khóa mật khẩu của các tài khoản trong Active Diretory, tuy nhiên không phải các tài khoản nhạy cảm –vì chúng không nằm trong RODC

Điều này cũng có nghĩa rằng các tài khoản quản trị nhạy cảm đó là không thể đăng nhập vàoRODC nếu liên kết WAN đến HUB chính không thể thiết lập

Để bổ sung RODC trong môi trường của bạn, bạn cần domain và forest ở chế độ Windows Server 2003 và DC đang chạy PDC emulator cần thiết để chạy Windows Server 2008.

Administrative Role Separation –chia cắt vai trò quản trị

Bạn có thể ủy nhiệm các điều khoản quản trị viên cho một máy chủ RODC nào đó đối với người dung trong Active Directory Tài khoản của người dung được ủy nhiệm sẽ có thể đăng nhập vào máy chủ và thực hiện các nhiệm vụ bảo trì máy chủ mà không cần bất cứ điều khoản AD DS nào và người dung không có quyền truy cập vào Domain Controller khác trong Active Directory, đây là cách bảo mật không được thỏa hiệp đối với miền

Creadential Caching –Lưu trữ các thông tin quan trọng

Mặc định, RODC không lưu các thông tin máy tính hoặc của người dùng, ngoại trừ tài khoản máy tính của bản thân RODC và tài khoản đặc biệt nào đó mà mỗi RODC có

Tuy vậy RODC có thể được cấu hình để lưa trữ mật khẩu, cấu hình này được quản lý bởi password Replication Policy, Password Replication Plicy xác định xem bản sao từ DC cho phép ghi vào RODC có được phép đối với các thông tin quan trọng của máy tính hoặc ngườidung hay không Nếu một người dung nào đó được phép thì các thông tin quan trọng của họ

sẽ được lưu trên RODC lúc đăng nhập

Khi một tài khoản nào đó đã được chứng thực thành công với RODC thì RODC sẽ cố gắng liên lạc với Domain Controller có khả năng ghi tại HUB.Nếu một mật khẩu nào đó không được lưu trữ thì RODC sẽ chuyển tiếp yêu cầu chứng thực vào DC có thể ghi DC nhận yêu cầu sẽ nhận ra rằng yêu cầu đang gửi đến từ RODC và các check với Password Replication Policy

Ưu điểm của các việc lưu trữ các thông tin quan trọng này sẽ bảo vệ được mật khẩu của bạn tại các văn phòng chi nhánh và tối thiểu hóa nguy cơ lộ thông tin quan trọng này trong trường hợp RODC bị thỏa hiệp Khi sử dụng Credential Caching và trong trường hợp nếu cómột RODC bị đánh cắp thì tài khoản người dùng và tài khoản máy tính có thể thiết lập lại mật khẩu của chính chúng, việc thiết lập này dựa vào RODC mà chúng thuộc về

Credential Caching có thể bị vô hiệu hóa, tính năng này sẽ hạn chế việc bị lộ thông tin, tuy nhiên nó cũng sẽ tăng lưu lượng Wan vì tất cả các yêu cầu cứng thực sẽ được chuyển tiếp đến DC có khả năng ghi trong HUB chính.

Read –Only DNS

Bổ sung thêm vào RODC, chức năng này cũng có thể cài đặt dịch vụ DNS Máy chủ DNS đang chạy trên RODC không hỗ trợ các nâng cấp động.Tuy nhiên các máy khách lại có thể

sử dụng máy chủ DNS để truy vấn về tên

Do DNS ở chế độ chỉ đọc (Read –Only) nên các máy khách (client) không thể nâng cấp các bản ghi tren nó Tuy nhiên nếu một máy khách nào đó muốn cập nhập bản thân các bản ghi DNS của chính nó thì RODC sẽ gửi một thông tin chuyển tiếp đến DNS cho phép ghi.Bản ghi cập nhật này sẽ được sao chép từ máy chủ DNS này vào máy chủ DNS trên RODC Đây

là một bản sao đối tượng đặc biệt (DNS record), để giữ các máy chủ RODC DNS được cập nhật một cách kịp thời và mang đến các máy khách tại văn phòng chi nhánh một giải pháp tên thích hợp hơn

Các dịch vụ miền Active Directory có khả năng khởi động lại

Với Windows Server 2008, Active Directory Domain Services (AD DS) lúc này có khả năng stop và start trở lại Điều này có nghĩa rằng bạn có thể stop ADDS để thực hiện các nhiệm vụ và bảo trì, việc mà trong các phiên bản trước đây của Windows Server cần phải khởi động lại trong Directory Services Restore Mode (DSRM) Đây quả là một tính năng tuyệt vời cho việc viết mã và tự động hóa các nhiệm vụ đó

Các trạng thái có thể cho ADDS là:

AD DS –(đã được khởi động)

AD DS –(đã được tạm dừng)

AD DS Restore Mode (DSRM) (chế độ khôi phục)

Có một số lợi ích ở đây đó là nhiệm vụ đã sử dụng để yêu cầu khởi động lại cần đến ADDS ofline hiện được cung cấp một cách trực tiếp từ giao diện điều khiển Điều này cho phép các

quản trị viên có thể linh động trong việc bảo trì và thực hiện các hoạt động ADDS offine được nhanh hơn.

Các chính sách mật khẩu chi tiết

Trước Windows Server 2008, bạn chỉ có một mật khẩu và một chính sách khóa tài khoản trên mỗi miền, mật khẩu này được áp dụng đối với tất cả người dung trong miền Trong AD

DS của Windows Server 2008 có một điểm mới đó là nó có thể điều chỉnh một cách chi tiết hơn các chính sách mật khẩu để định nghĩa các tập mật khẩu khác hoặc chính sách khóa chonhóm người dung khác trong cùng một miền

Các chính sách mật khẩu chi tiết này có các thiết lập dưới đây:

Chính sách mật khẩu:

- Áp đặt histoty của mật khẩu

- Tuổi thọ tối đa của mật khẩu

- Tuổi tho tối thiểu

- Chiều dài tối thiểu

- Mật khẩu phải có các yêu cầu cần thiết về độ phức tạp

- Lưu các mật khẩu bằng sử dụng mã hóa đảo ngược

Chính sách khóa:

- Khoảng thời gian khóa tài khoản

- Ngưỡng khóa

- Thiết lập lại tài khoản sau khi khóa

Chính sách mật khẩu chi tiết hơn có thể được áp dụng cho các đối tượng người dùng và các nhóm bảo mật toàn cục nhưng không thể áp dụng cho OU

Để sử dụng chức năng này, mức chức năng miền phải ở Windows Server 2008

Kết luận

Windows Server 2008 Active Directory Domain Services (AD DS) có một số tính năng và chức năng tuyệt vời như vừa giới thiệu ở trên, các tính năng này có thể tối ưu rất nhiều trongvấn đề quản lý miền

Với các văn phong chi nhánh, Read –Only Domain Controller (RODC) cho thấy là một tính năng tuyệt vời của Windows Server 2008, nó là một nâng cao về góc độ bảo mật cho các tổ chức đang sử dụng Domain Controller trong ở các địa điểm từ xa.

Chính sách mật khẩu chi tiết cũng là một tính năng mới tạo khả năng linh động trong mọi miền với khả năng cho phép nhiều chính sách mật khẩu và khóa

Cùng với đó có nhiều tính năng mới, tất cả chúng đều làm tăng tính bảo mật và độ linh độngtrong Active Directory

Active Directory Lightweight Directory Services

Active Directory Lightweight Directory Services (AD LDS) trước đây được biết đến với tênActive Directory Application Mode (ADAM), là một chế độ đặc biệt của AD trong đó, các dịch vụ thư mục được cấu hình chỉ một cho các ứng dụng Chế độ này cung cấp khả năng lưu trữ và truy cập cho các ứng dụng, sử dụng các giao diện quản trị viên và các chuyên gia phát triển đã thân thuộc

AD LDS là một tính năng lưu trữ và truy vấn dữ liệu dich vụ thư mục của LDAP cho các ứng dụng đã thư mục, không phụ thuộc vào những yêu cầu cho AD DS Nó cũng không lưu trữ các nguyên lý bảo mật vẫn có trong AD DS

Các chuyên gia phát triển có thể sử dụng AD LDS để làm việc với các thông tin của Active Directory trong các ứng dụng của họ, AD FS là một trong những ứng dụng sử dụng AD LDS để lưu các thông tin quan trọng này

Chương 2: Cài đặt và cấu hình Windows Server 2008

2.1 Thao tác chuẩn bị

Tiềm hiểu các thông tin cần thiết trước khi cài đặt bất cứ bản phát hành Windows server

2008

Gồm có 4 phiên bản cho Windows server 2008:

- Windows Server 2008 Standard Edition

- Windows Server 2008 Enterprise Edition

- Windows Server 2008 Datacenter Edition

- Windows Web Server 2008

Để sử dụng Windows Server 2008, cần đáp ứng các yêu cầu chung sau:*

Bộ xử lý

Tối thiểu: 1 GHz (bộ xử lý x86 ) hoặc 1.4 GHz (bộ xử lý x64)

Khuyến nghị: Tốc độ xử lý 2 GHz hoặc nhanh hơn

Chú ý: Cần bộ xử lý Intel Itanium 2 cho Windows Server đối với các Hệ thống dựa trên kiến trúc Itanium.

Bộ nhớ

Tối thiểu: RAM 512 MB

Khuyến nghị: RAM 2 GB hoặc lớn hơn

Tối ưu: RAM 2 GB (Cài đặt toàn bộ) or RAM 1 GB (Cài Server Core) hoặc hơn

Tối đa (hệ thống 32 bit): 4 GB (Bản Standard) hoặc 64 GB (Bản Enterprise và Datacenter)

Tối đa (các hệ thống 64 bit): 32 GB (Bản Standard) hoặc 2 TB (Bản Enterprise, Datacenter, và Các hệ thống dựa trên kiến trúc Itanium)

Không gian ổ đĩa

còn trống

Tối thiểu: 10 GB

Khuyến nghị : 40 GB hoặc lớn hơn

Chú ý: Các máy tính có RAM lớn hơn 16 GB sẽ cần nhiều không gian ổ đĩa trống hơn dành cho paging, hibernation, and dump files

Ổ đĩa Ổ DVD-ROM

Màn hình Super VGA (800 × 600) hoặc màn hình có độ phân giải cao hơn

Thành phần khác Bàn phím, Chuột của Microsoft hoặc thiết bị trỏ tương thích

2.2 Cài đặt windows server 2008

Khởi động từ đĩa DVD cài đặt Windows Server 2008

Hình 2.1: Khởi động Windows Server 2008 từ DVD Chọn các thông số về ngôn ngữ, định dạng ngày giờ và bàn phím

Hình 2.2: Lựa chọn ngôn ngữ

Nhấn nút Install Now

Hình 2.3: Install now

Bỏ dấu Check Automatically activate Windows when I’m online > Next

Hình 2.4 Giao diện nhập key

Nhấn No

Hình 2.5 Lựa chọn không nhập key Chọn Windows Server 2008 Enterprise (Server Core Installation) > I have selectedthe edition of Windows that I purchased > Next

Hình 2.6 Chọn phiên bản Server 2008 Chọn I accept the license term

Hình 2.7 Thông tin Microsoft Windows Server 2008

Chọn Partition muốn cài đặt Windows > Next

Hình 2.8 Chọn ổ đĩa cài đặt

Quá trình sao chép các file cần thiết và cài đặt bắt đầu

Hình 2.9 Quy trình sao chép file cần thiết

Sau khi cài đặt, bạn cần Restart máy, nhấn nút Restart Now

Hình 2.10 Tiến trình cài đặt

Sau khi Restart máy, bạn nhấn Other User và nhập UserName: Administrator để log on

Hình 2.11 Màn hình đăng nhập user Server 2008

Hệ thống sẽ yêu cần đổi Password ở lần Logon này > Nhấn OK

Hình 2.12 Yêu cầu password đăng nhập

Nhập Password mới là 123 ở khung New Password và Confirm New Password

Hình 2.13 Changing password

Hệ thống thông báo: Password đã được thay đổi > OK

Hình 2.14 Password đã được chèn

Giao diện Windows Server Core 2008:

Hình 2.15 Giao diện Server 2008

3 Tạo các local user & group (thực hiện tại Server)

- Start -> Run -> Nhập LUsrMgr.msc -> OK

Hình 2.16 Vào Localuser & Group

- Click phải Users -> New User…

Hình 2.17 Giao diện Local user & Group Nhập User name: SV1, Password: 123, Confirm password: 123, bỏ chọn “User must change password at next logon” -> Create

Hình 2.18 Tạo User SV1 Nhập User name: SV2, Password: 123, Confirm password: 123, bỏ chọn “User must change password at

next logon” -> Create.

Nhập User name: GV1, Password: 123, Confirm password: 123, bỏ chọn “User must change password at

next logon” -> Create

- Nhập User name: GV2, Password: 123, Confirm password: 123, bỏ chọn “User must change password at

next logon” -> Create -> Close.

Click phải Groups -> New Group…

SV1

Hình 2.19 Tạo Group

- Nhập Group name: SinhVien -> Add

Hình 2.20 Tạo Group SinhVien

- Nhập SV1; SV2 -> Check Names -> OK

SinhVien

Hình 2.21 Add user vào Group

- Hộp thoại New Group -> Create

- Tương tự tạo Group GiaoVien cho giáo viên

- Hộp thoại New Group -> Nhập Group Name: GiaoVien -> Add

Hình 2.22 Tạo Group GiaoVien

- Nhập GV1; GV2 -> Check Names -> OK

PC10\SV1:PC10\SV2

GiaoVien PC10