Windows Server 2008: TOP 10 lý do để nâng cấp (phần cuối)
Hàng ngàn thay đổi đã được thực hiện trong Windows Server 2008 khi mang ra so với Windows Server 2003 một số thay đổi chỉ rất nhỏ, nhưng một số thay đổi cũng khá đáng kể. Tuy nhiên câu hỏi đáng quan tâm đối với bất cứ ai là Windows Server 2008 cung cấp những gì để làm cho nó trở thành một phiên bản đáng phải nâng cấp? Đây chính là tâm điểm của bài báo này. Quả thực có quá nhiều những thay đổi để chúng tôi có thể giới thiệu đến các bạn trong một bài báo, chính vì vậy chúng tôi sẽ chia thành loạt bài và chọn ra một số tính năng lẫn khả năng mà Windows Server 2008 đáng được nâng cấp bởi những gì mà nó mang lại cho người dùng.
Bộ kiểm soát miền chỉ đọc
Với sự phát triển nhanh của các chi nhánh văn phòng trong nhiều tổ chức, nhiều vấn đề đã được nhận ra có liên quan đến việc thẩm định. Các văn phòng chi nhánh thường được cung cấp một bộ kiểm soát miền mà người dùng có thể thẩm định một DC cục bộ thay vì phải chạy trên liên kết WAN chậm chạp, điều đó có thể gây ra các lỗi thẩm định và sự bất lực trong việc truy cập đến tài nguyên cục bộ.
Giải pháp ở đây là đặt các bộ kiểm soát miền trong các văn phòng chi nhánh. Điều này đã giải quyết được vấn đề thẩm định, tuy nhiên nó lại xuất hiện vấn đề về bảo mật. Lý do cho điều đó là vì hầu hết các văn phòng chi nhánh đều không có trình độ về CNTT như văn phòng chính, và hầu hết đều không có được sự bảo mật về mặt vật lý tốt bằng văn phòng chính, chính vì vậy bộ kiểm soát miền văn phòng chi nhánh trở thành một liên kết yếu trong toàn bộ cơ sở hạ tầng Active Directory. Các thay đổi đã thực hiện bởi những người dùng không có chuyên môn tại văn phòng chi nhánh có thể ảnh hưởng đến toàn bộ tổ chức và nếu DC tại một văn phòng chi nhánh nào đó bị đánh cắp thì nó có thể thỏa hiệp tất cả các tài khoản trong tổ chức.
Giải pháp của Windows Server 2008 là Read Only Domain Controller (RODC). Một RODC gồm có một bản copy chỉ đọc của cơ sở dữ liệu Active Directory, và chỉ các thông tin tài khoản được lưu trên RODC mới được sử dụng cho các tài khoản tại văn phòng chi nhánh. Do không có thay đổi gì đối với Active Directory có thể được thực hiện trên RODC nên không có mối lo sợ rằng một người dùng không có chuyên môn nào đó sẽ gây ra các thay đổi có hại đối với Active Directory. Cũng do không có những người dùng có quyền quản trị viên tại các chi nhánh văn phòng nên đồng nghĩa với nó là sẽ có ít rủi ro các tài khoản người dùng quản trị có thể bị thỏa hiệp trong trường hợp RODC bị mất cắp.
RODC cũng có thể được cấu hình để chỉ lưu một số tài khoản nào đó. Và trong trường hợp RODC bị mất thì một danh sách các tài khoản người dùng đã được lưu trên RODC được cung cấp cho quản trị viên Active Directory tại văn phòng chính. Điều này sẽ cho phép quản trị viên Active Directory có thể vô hiệu hóa hoặc thiết lập lại các thông tin xác thực trên các tài khoản này từ văn phòng trung tâm.
Hyper-V
Hyper-V là một chương trình hệ thống cung cấp môi trường ảo của Windows Server 2008, cho phép bạn có thể chạy các máy tính ảo trên máy tính Windows Server 2008. Hyper-V thay thế cho Virtual Server 2005 và là một phần được tích hợp trong hệ điều hành nên bạn không hề phải mất tiền để mua thêm. Những “bit” cuối cùng của Hyper-V hiện vẫn chưa được ngã ngũ (vẫn đang được chỉnh sửa và phát triển), chính vì vậy chúng tôi sẽ đánh giá một cách ngược lại về Hyper-V từ thời điểm này. Tuy nhiên từ những gì mà chúng tôi thất được cho tới nay, quả thực bản thân tôi cũng rất cảm kích với những gì mà nhóm phát triển phần mềm đã thực hiện với công nghệ ảo hóa máy chủ Windows. Nếu bạn đang tìm kiếm một giải pháp ảo hóa miễn phí, thì việc nâng cấp lên Windows Server 2008 là một ý tưởng tốt cho bạn lúc này.
Network Access Protection (NAP)
Network Access Protection cho phép bạn có thể kiểm soát được sự truy cập từ tất cả các máy tính trong mạng. Theo Microsoft, Network Access Protection (NAP) cho phép bạn tạo các chính sách để có thể thiết lập một trạng thái tối thiểu tình trạng sức khỏe máy khách trước khi máy tính đó được cho phép kết nối đến máy tính khác trong mạng. NAP phụ thuộc vào cơ sở hạ tầng Windows Server 2008. Bạn sẽ cần đến một Windows Server 2008 Network Policy Server để lưu các chính sách về sức khỏe cho máy tính. Có một số cách để bạn có thể kiểm soát sự truy cập vào mạng: hạn chế Ipsec, hạn chế DHCP, 801.x và VPN. Các host không hội tụ đủ các yêu cầu cấu hình bảo mật cần thiết sẽ không được cho phép trên mạng bằng việc sử dụng tất cả các phương pháp này. Mặc dù vậy, NAP cho phép bạn có thể tạo các mạng cách ly nhằm cho phép các host không chính thống này kết nối một cách gián tiếp. Khi phần mềm máy khách NAP phát hiện rằng máy tính được thỏa hiệp thì nó có thể gửi thông báo đến các thành phần phía trình NAP chủ,.
NAP là một phương pháp cực mạnh cho vấn đề kiểm soát truy cập đối với mạng của bạn, và nó là một thứ mà chúng tôi đang mong đợi từ khi được tuyên bố vào khoảng thời gian cuối năm 2003, đầu năm 2004. Khi phải mất đến khoảng chừng 5 năm để có được NAP cho chúng ta sử dụng, nó kể cũng đáng để cho sự chờ đợi này. Nhiều quản trị viên mạng còn phân vân NAP liệu có phải lý do chính cho việc nâng cấp lên Windows Server 2008.
Secure Socket Tunneling Protocol (SSTP)
Secure Socket Tunneling Protocol (SSTP) là một SSL VPN đích thực. Từ “đích thực” mà chúng tôi sử dụng ở đây có nghĩa là SSTP có thể cung cấp một sự truy cập VPN mức mạng đầy đủ đối với mạng công ty theo cùng cách các giao thức PPTP và L2TP/IPSec cung cấp. Tuy vậy, ưu điểm của SSTP là ở chỗ, không giống như PPTP và L2TP/IPSec, ở đây bạn không phải lo lắng về các tường lửa trong việc việc khóa các truy cập ra đối với các kết nối SSTP của bạn.
SSTP về bản chất là PPP/SSL. Vì các kết nối PPP được chồng một header HTTP an toàn (SSL), SSTP có thể đi qua bất kỳ một tường lửa hoặc thiết bị Web proxy nào có cho phép outbound SSL (đi ra). Không ít lâu nữa bạn phải thực hiện các cuộc gọi từ người dùng tại hotel và các trung tâm hội thảo, rất nhiều người phàn nàn rằng các tường lửa trong vị trí của họ không cho phép họ vào VPN trong mạng. Một thứ khác nữa về SSTP đó là bạn không phải cho phép truy cập đi ra đối với các kết nối SSTP vì cho phép outbound SSL. Có một giá trị trong header CONNECT mà bạn có thể cấu hình trên ISA Firewall hoặc tường lửa thanh tra lớp ứng dụng khác nhằm mục đích cho phép khóa các kết nối SSTP trong khi vẫn cho phép các kết nối SSL khác. SSTP sẽ làm cho cuộc sống của bạn trở nên dễ dàng hơn đối với các kết nối VPN từ xa. Về cá nhân, tôi cũng sẽ nâng cấp lên Windows Server 2008 vì truy cập SSTP của nó.
Hình 9
Windows Advanced Firewall và Policy Based QoS
Người dùng Windows Vista sẽ nhận ra Windows Advanced Firewall. Lúc này, bạn sẽ có được những lợi ích tương tự như người dùng Vista thông qua Windows Server 2008. Thậm chí còn có những cái tốt hơn là bạn có thể sử dụng Group Policy trong việc quản lý tập trung toàn diện của Windows Advanced Firewall. Windows Advanced Firewall có trong Vista và Windows Server 2008 cho phép bạn có thể tinh chỉnh sự kiểm soát truy cập vào và ra. Việc kiểm soát truy cập đi ra có một số lỗi nhỏ đối với tường lửa Windows XP. Tuy nhiên giờ đây bạn có thể kiểm soát trên các kết nối đi ra để nếu bạn đã phát hiện trên tường lửa của mình có host bị nhiễm sâu hại trên một số cổng nào đó thì bạn hoàn toàn có thể khóa các cổng này trên mỗi host thông qua Group Policy.
Hình dưới đây là New Inbound Rule Wizard. Tiện ích này cho phép bạn có thể sử dụng trong giao diện điều khiển Group Policy dễ dàng cấu hình các cách thức đi vào. Cũng có một tiện ích dành cho cách thức đi ra cho phép bạn khóa các kết nối này, bạn có thể kiểm soát dựa trên các cổng UDP hay TCP, các kiểu thư tín ICMP.
Hình 10
Một trong những tính năng ấn tượng nhất của Windows Firewall là cách nó đơn giản hóa việc tạo các chính sách Ipsec. Trước đây, việc thiết lập các chính sách IPsec khá khó khăn hoặc có thể gây ra thiếu sót. Nhưng từ nay, thông qua tiện ích này bạn có thể thiết lập mọi thứ một cách dễ dàng và chính xác. Hình dưới đây thể hiện bạn có thể dễ dàng sử dụng New Connection Security Rule Wizard để tạo các chính sách cách ly miền Ipsec, chính sách miễn thẩm định, kết nối IPsec giữa các máy chủ và IPsec tunnel. Windows Advanced Firewall đã thay đổi việc thiết lập các chính sách IPsec trở nên rất tuyệt vời.
Hình 11
Một cải thiện đáng kể khác trong Windows Server 2008 được tập trung vào vấn đề quản lý chính sách QoS thông Group Policy. Các phiên bản trước đây của Windows đều có tính năng QoS, nhưng vì nó thực sự không dựa trên một chuẩn nào nên không có nhiều người sử dụng nó. Windows Server 2008 thay đổi vấn đề này bằng cách giới thiệu một tính năng Policy-based QoS để bạn có thể sử dụng các giá trị thông lượng hoặc lợi dụng các giá trị Differentiated Services Code Point (DSCP) đã được cấu hình trên các bộ định tuyến mạng. DSCP là một phương pháp chuẩn công nghiệp cho việc bổ sung QoS vào các mạng công ty.
Mặc dù vậy, cho dù không có các không định tuyến được kích hoạt DSCP hoặc thậm chí nếu không sử dụng DSCP thì bạn vẫn có thể thiết lập chính sách để các host cục bộ có thể thực thi kiểm soát băng thông trên các cổng TCP hay UDP, hoặc trên các ứng dụng nào đó.
Hình dưới đây thể hiện một chính sách QoS để tiết lưu giao thức SMTP trên cổng đích TCP 25. Bạn có thể lựa chọn host nào để áp dụng chính sách này. Ví dụ, bạn không muốn tiết lưu máy chủ SMTP nhưng với các host trên mạng, bạn có thể muốn hạn chế tốc độ lưu lượng SMTP của chúng. Theo cách này, bạn có thể kiểm soát được số lượng spam mà các máy tính bị nhiễm có thể gửi đi trước khi phát hiện ra rằng máy tính này đã bị khai thác.
Hình 12
Kết luận
Windows Server 2008 có đến hàng trăm tính năng cũng như khả năng mới, bất kỳ tính năng nào trong số đó đều có thể là một trong những lý do cho chúng ta nâng cấp phát hành này cho tổ chức của mình. Trong bài này, chúng tôi đã tập trung vào một số lượng nhỏ các tính năng đã được cải thiện và thêm mới mà chúng tôi nghĩ rằng đó là những lý do đáng để nâng cấp lên Windows Server 2008, còn về phía bạn, theo quan điểm cá nhân, có thể bạn sẽ vì nhiều tính năng khác nữa chứ không phải những cái mà chúng tôi nêu trong bài này.
Posted
0 comments:
Post a Comment