Các lý do để nâng cấp lên Windows Server 2008

11:08 21-06-2017BKAP Media

Windows Server 2008 có một giao diện quản lý mới hoàn toàn, đó là Server Manager. Server Manager là một trong những sản phẩm hàng đầu cho việc cấu hình, quản lý và kiểm tra máy chủ.

Windows Server 2008_Hệ điều hành có nhiều sự thay đổi so với Windows Server 2003. Trong đó, một số thay đổi chỉ rất nhỏ nhưng một số thay đổi cũng khá đáng kể. Tuy nhiên câu hỏi đáng quan tâm đối với bất cứ ai là "Windows Server 2008 cung cấp những gì để làm cho nó trở thành một phiên bản đáng phải nâng cấp?

cac-ly-do-de-nang-cap-len-windows-server-2008-01

Windows Server 2008_Hệ điều hành có nhiều sự thay đổi so với Windows Server 2003. Trong đó, một số thay đổi chỉ rất nhỏ nhưng một số thay đổi cũng khá đáng kể. Tuy nhiên câu hỏi đáng quan tâm đối với bất cứ ai là "Windows Server 2008 cung cấp những gì để làm cho nó trở thành một phiên bản đáng phải nâng cấp?". Đây chính là tâm điểm của bài viết này. Trong bài viết này, tôi chỉ chọn một số tính năng lẫn khả năng mà Windows Server 2008 đáng phải nâng cấp bởi những gì mà nó mang lại cho người dùng, như là:

  • Server Manager và Advanced Event Viewer
  • Server Core
  • Terminal Services Gateway
  • Terminal Services RemoteApps
  • Hỗ trợ IPv6
  • Network Access Protection (NAP)
  • Secure Socket Tunneling Protocol (SSTP)

1. Server Manager và Advanced Event Viewer

- Windows Server 2008 có một giao diện quản lý mới hoàn toàn, đó là Server Manager. Server Manager là một trong những sản phẩm hàng đầu cho việc cấu hình, quản lý và kiểm tra máy chủ.

cac-ly-do-de-nang-cap-len-windows-server-2008-03

Trong Server Manager, bạn có thể cài đặt Server Roles (như DNS, DHCP, Active Directory) và Role Services (như Terminal Services Gateway và RRAS). Khi Server Roles và Role Services được cài đặt, giao diện quản lý MMC cho các dịch vụ đó sẽ được cài đặt trong Server Manager. Bạn không cần phải tạo một MMC tùy chỉnh cho chính mình.

cac-ly-do-de-nang-cap-len-windows-server-2008-04

….và

cac-ly-do-de-nang-cap-len-windows-server-2008-05

Trong Windows Server 2008, Event Viewer được cải thiện. Event Viewer của Windows Server 2008 mang đến cho bạn các bản ghi sự kiện Event Logs. Có một số bản ghi sự kiện của Windows thông thường: Application, Security và System. Nhưng lúc này, bạn hoàn toàn có khả năng xem các sự kiện cho tất cả các ứng dụng và dịch vụ đã được cài đặt trên máy tính. Thêm vào đó, bạn có thể tạo Custom Views của Event Logs, để từ đó tạo các mục của chính mình cho các bản ghi sự kiện dựa trên bộ lọc mà bạn chọn. Một trong những tính năng mới của bản ghi sự kiện (Event Log) đáng quan tâm nhất là khả năng đăng ký sự kiện (Events) trên các máy tính khác trong hệ thống. Điều này cho phép bạn có thể lấy dữ liệu bản ghi sự kiện từ các máy tính khác nhờ vào bộ lọc mà bạn đã cung cấp.

cac-ly-do-de-nang-cap-len-windows-server-2008-05

2. Server Core 
- Windows Server 2008 có thể được cài đặt theo một trong hai cách sau: cài đặt đầy đủ hoặc Server Core. Cài đặt Server Core là cài đặt một số thành phần được yêu cầu để chạy hệ điều hành lõi. Không có các dịch vụ tùy chọn được cài đặt hay cho phép ở chế độ này. Không có giao diện người dùng khác nào ngoài dòng lệnh. Không có Windows Explorer shell. Tất cả các cấu hình phải được thực hiện cục bộ tại cửa sổ lệnh, hoặc điều khiển từ xa bằng cách sử dụng giao diện quản lý MMC hoặc Remote Server Administration Tools.

- Server Core hỗ trợ các Roles:

  • Active Directory Domain Services
  • Active Directory Lightweight Directory Services (AD LDS)
  • Dynamic Host Configuration Protocol (DHCP) Server
  • DNS Server
  • File Services
  • Print Server
  • Streaming Media Services
  • Web Server (IIS)

 - Server Core hỗ trợ các Features:

  • Microsoft Failover Cluster
  • Network Load Balancing
  • Subsystem for UNIX-based Applications
  • Windows Server Backup
  • Multipath I/O
  • Removable Storage Management
  • Windows Bitlocker Drive Encryption
  • Simple Network Management Protocol (SNMP)
  • Windows Internet Naming Service (WINS)
  • Telnet client
  • Quality of Service (QoS)


- Mục đích của cài đặt Server Core là không làm cho nó khó khăn trong việc quản lý (mặc dù nó được thực hiện cho một nội dung nào đó, vì nhiều nhiệm vụ phải được thực hiện từ cửa sổ lệnh và không được thực hiện từ xa từ một giao diện quản lý MMC). Mục đích thực sự của Server Core là nhằm để giảm bề mặt tấn công và giảm số lượng thành phần nâng cấp được yêu cầu cho máy chủ. Vì hầu hết các nâng cấp bảo mật của Windows thường liên quan đến các dịch vụ và ứng dụng mà bạn thường không sử dụng (như Windows Media Player hay Internet Explorer) trên máy chủ, bạn không cần phải nâng cấp các thành phần này.

- Server Core có một số hạn chế các Server Roles. Vì vậy, bạn cần phải bảo đảm rằng Role máy chủ mà bạn quan tâm phải được hỗ trợ trong chế độ cài đặt Server Core. Một số Server Roles cũng không được hỗ trợ đầy đủ, như Web Server role chẳng hạn. Server Core cũng không hỗ trợ mã .NET và chính vì vậy bạn sẽ không thể chạy giao diện điều khiển IIS như một MMC điều khiển từ xa. Điều này tạo một vấn đề đau đầu trong việc quản lý, vì tất cả cấu hình IIS trên máy tính Server Core phải được thực hiện tại cửa sổ dòng lệnh bằng appcmd.exe. Nếu bạn là một quản trị viên Apache thì sẽ khá hạnh phúc về điều này. Còn nếu bạn là một quản trị viên IIS thì hầu như chắc chắn cần phải đợi Microsoft đưa ra phiên bản Server Core kế tiếp.

cac-ly-do-de-nang-cap-len-windows-server-2008-05

3. Terminal Services Gateway 
 - Một trong những trở ngại để triển khai đầy đủ Terminal Services cho người dùng truy cập từ xa là quản trị viên không thực sự tin tưởng vào trình tự thẩm định và mức độ mã hóa của RDP (Remote Desktop Protocol) tunnel. Một vấn đề khác cũng xuất hiện ở đây đó là nhiều tường lửa từ xa không cho phép trao đổi ra ngoài TCP 3389. Microsoft đã giải quyết vấn đề này bằng 
cách giới thiệu tính năng Terminal Services Gateway trong Windows Server 2008. 

- Terminal Services Gateway là một kiểu SSL (Secure Socket Layer) VPN, cũng tương tự như RPC/HTTP cho Microsoft Outlook truy cập vào Exchange Server. Terminal Services Gateway làm việc với RDP 6.0 client nhằm cho phép các kết nối RDP đã được đóng gói đối với máy đầu cuối TS Gateway. 

- RDP client đóng gói giao thức RDP trong hai giao thức khác. Đầu tiên, giao thức RDP được đóng gói trong RPC header, sau đó nó được đóng gói lần thứ hai bằng một header HTTP đã được mã hóa (SSL). Giao thức đã sử dụng để kết nối TS Gateway là RDP/RPC/HTTP. Microsoft đã thực hiện điều đó để họ sử dụng mã RPC/HTTP đã có từ trước (đã có cho RPC/HTTP proxy của họ). Khi kết nối được máy đầu cuối TS Gateway, TS Gateway sẽ tách các header RPC và HTTP và chuyển tiếp các kết nối RDP đến một máy Terminal Server tương đương hoặc một máy trạm điều khiển từ xa Remote Desktop.

4. Terminal Services RemoteApps 
    - Mục đích của các quản trị viên bảo mật là làm sao người dùng có được quyền hạn ít nhất. Điều đó đúng đối với các kết nối truy cập từ xa. Tuy nhiên người dùng thực sự cần sự truy cập đầy đủ vào một Desktop hay không? Hay họ chỉ cần truy cập vào các ứng dụng trên Desktop? Hầu hết, họ chỉ cần truy cập vào các ứng dụng và dữ liệu. Trong trường hợp đó, Windows Server 2008 sẽ cung cấp cho bạn một giải pháp có tên là Terminal Services RemoteApp. Terminal Services RemoteApp (TS RemoteApps) cho phép bạn có thể cung cấp việc truy cập chỉ được thực hiện đối với các ứng dụng nào đó thông qua RDP channel. 
    - TS RemoteApps là một tiện ích linh động. Nó giúp kiểm soát các ứng dụng mà người dùng có thể truy cập và cách họ truy cập các ứng dụng như thế nào trên các máy tính của chính họ. TS Remote Apps cùng với TS Gateway làm cho Windows Server 2008 Terminal Server trở thành một giải pháp đáng quan tâm đối với các công ty muốn bảo vệ RDP dựa trên giải pháp truy cập từ xa. 

5. Hỗ trợ IPv6 
    - Windows Server 2008 là phiên bản đầu tiên của Windows Server có hỗ trợ IPv6 với tư cách là một phần của ngăn xếp IP. Trong các phiên bản trước của Windows (trước Vista), sự hỗ trợ IPv6 được thực hiện song song với IPv4 và không có sự hỗ trợ tích hợp cho IPv6 có trong các dịch vụ cơ sở hạ tầng mạng như DNS và DHCP. 

6. Network Access Protection (NAP) 
- Network Access Protection (NAP) là một hệ thống chính sách thi hành (Health Policy Enforcement) được xây dựng trong các hệ điều hành Windows Server 2008, Windows Vista, và Windows XP Service Pack 3. NAP cho phép bạn có thể bảo vệ tốt hơn các tài nguyên trong hệ thống mạng bằng việc thi hành một số yêu cầu cần thiết cho nhu cầu bảo mật hệ thống. Với NAP, bạn có thể tạo ra các chính sách cần thiết để kiểm tra sự hợp lệ của một máy tính trước khi cho phép truy cập và liên lạc với các dịch vụ trong hệ thống, tự động nâng cấp các máy tính chưa đủ tiêu chuẩn bảo mật trước khi cho phép kết nối vào hệ thống, và giới hạn truy cập đối với những máy tính không an toàn.

- NAP cung cấp chính sách cho các hệ thống sau:

  • Internet Protocol Security (IPSec)
  • Institute of Electrical and Electronics Engineers (IEEE) 802.1X
  • Virtual Private Network (VPN)
  • Dynamic Host Configuration Protocol (DHCP)
  • Terminal Services Gateway (TS Gateway)

- Sử dụng NAP cho các nhu cầu cụ thể sau:

  • Kiểm tra tình trạng an toàn của các máy Laptop.
  • Kiểm tra tình trạng an toàn của các máy Desktop.
  • Kiểm tra tình trạng an toàn của các máy gia đình không được quản lý.

- Cơ chế thực thi của NAP:

  1. Kiểm tra tình trạng an toàn của client.
  2. Giới hạn truy cập đối với các máy client không an toàn.
  3. NAP sẽ cập nhật những thành phần cần thiết cho các máy client không an toàn, cho đến khi client đủ điều kiện an toàn.
  4. Cho phép client kết nối nếu client đã thỏa điều kiện.

7. Secure Socket Tunneling Protocol (SSTP) 
- Như chúng ta đã được biết, VPN là một giải pháp hỗ trợ truy cập từ xa có chi phí và hiệu quả tốt nhất hiện nay cho một hệ thống mạng doanh nghiệp. Ta có thể triển khai hệ thống VPN để phục vụ các nhu cầu:

  • Hỗ trợ truy cập từ xa vào hệ thống mạng nội bộ (VPN Client-to-Gateway)
  • Kết nối các hệ thống mạng nằm ở nhiều vị trí địa lý khác nhau (VPN Site-to-Site)

- Từ trước đến nay, hệ thống VPN hỗ trợ 2 cơ chế kết nối là:

  • Point-to-Point Tunneling Protocol (PPTP)
  • Layer Two Tunneling Protocol (L2TP)

- Nhưng hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 và Windows Vista Service Pack 1 còn hỗ trợ thêm một cơ chế kết nối mới là:

  • Secure Socket Tunneling Protocol (SSTP)

- Quá trình kết nối SSTP
1. SSTP VPN client thiết lập một kết nối TCP với SSTP VPN gateway giữa một cổng nguồn TCP ngẫu nhiên trên SSTP VPN client và TCP port 443 trên SSTP VPN gateway. 

2. SSTP VPN client gửi một thông báo SSL Client-Hello, thông báo này chỉ thị rằng SSTP VPN client muốn thiết lập một SSL session với SSTP VPN gateway. 

3. SSTP VPN gateway gửi một chứng chỉ máy tính của nó đến SSTP VPN client. 

4. SSTP VPN client hợp lệ hóa chứng chỉ này bằng cách kiểm tra kho lưu trữ các chứng chỉ thẩm định chứng chỉ gốc tin cậy của nó để xem xem chứng chỉ CA có được đặt trong kho lưu trữ đó không. Sau đó SSTP VPN client xác định phương pháp mã hóa cho SSL session, tạo khóa SSL session và mã hóa nó với khóa cổng của SSTP VPN gateway, và sau đó gửi biểu mẫu đã mã hóa của khóa SSL session đến SSTP VPN gateway. 

5. SSTP VPN gateway giải mã khóa SSL session đã mã hóa bằng một khóa riêng của nó. Tất cả truyền thông sau này giữa SSTP VPN client và SSTP VPN gateway đều được mã hóa bằng phương pháp mã hóa đã được dàn xếp và khóa SSL session. 

6. SSTP VPN client gửi một thông báo thỉnh cầu HTTP trên SSL (HTTPS) đến SSTP VPN gateway. 

7. SSTP VPN client thương lượng một đường hầm SSTP với SSTP VPN gateway. 

8. SSTP VPN client thương lượng kết nối PPP với máy chủ SSTP. Sự thương lượng này gồm có việc thẩm định các chứng chỉ của người dùng bằng phương pháp chứng thực PPP chuẩn (hoặc thậm chí là chứng thực EAP) và cấu hình các thiết lập cho lưu lượng Internet Protocol version 4 (IPv4) hoặc Internet Protocol version 6 (IPv6). 

9. Lúc này SSTP VPN client bắt đầu gửi lưu lượng IPv4 hoặc IPv6 trên liên kết PPP.

Nguồn: Sưu tầm

   0968276996