Windows Server 2008: TOP 10 lý do để nâng cấp

Thomas Shinder

Cũng đã lâu kể từ khi chúng ta biết về phiên bản mới của Windows Server. Thật khó để có thể tin tưởng rằng quãng thời gian đó là 5 năm kể từ khi Windows Server 2003 được phát hành. Nó là một thời gian dài và Microsoft đã đầu tư một số lượng lớn công việc trong Windows Server 2008 nhằm làm cho nó trở thành một Windows tốt nhất chưa từng có.

Hàng ngàn thay đổi đã được thực hiện trong Windows Server 2008 khi mang ra so với Windows Server 2003. Một số thay đổi chỉ rất nhỏ, nhưng một số thay đổi cũng khá đáng kể. Tuy nhiên câu hỏi đáng quan tâm đối với bất cứ ai là Windows Server 2008 cung cấp những gì để làm cho nó trở thành một phiên bản đáng phải nâng cấp? Đây chính là tâm điểm của bài báo này. Quả thực có quá nhiều những thay đổi để chúng tôi có thể giới thiệu đến các bạn trong một bài báo, chính vì vậy chúng tôi sẽ chia thành loạt bài và chọn ra một số tính năng lẫn khả năng mà Windows Server 2008 đáng được nâng cấp bởi những gì mà nó mang lại cho người dùng.

Dưới đây là một danh sách về những gì chúng tôi cho là làm cho Windows Server 2008 trở nên tuyệt vời và đáng để nâng cấp từ Windows Server 2003:

• Server Manager và Advanced Event Viewer
• Server Core
• Terminal Services Gateway
• Terminal Services RemoteApps
• Hỗ trợ IPv6
• Bộ kiểm soát miền chỉ đọc
• Hyper-V
• Network Access Protection (NAP)
• Secure Sockets Tunneling Protocol (SSTP)
• Windows Advanced Firewall và Policy Based QoS

Server Manager và Advanced Event Viewer

Windows Server 2008 gồm có một giao diện quản lý mới hoàn toàn Server Manager. Server Manager là một trong những sản phẩm hàng đầu cho việc cấu hình, quản lý và kiểm tra máy chủ. Sản phẩm này không giống như Server Manager trước đây; nó thực sự là một sản phẩm mà bạn cần sử dụng mỗi ngày khi quản lý các máy tính Windows Server 2008.

Hình 1

Trong Server Manager, bạn có thể cài đặt Server Roles (như DNS, DHCP, Active Directory) và Role services (như Terminal Services Gateway và RRAS). Khi Server Roles và Role Services được cài đặt, giao diện quản lý MMC cho các dịch vụ đó sẽ được cài đặt trong Server Manager. Bạn sẽ không cần phải tạo một MMC tùy chỉnh cho chính mình!

Server Manager cũng cho thấy nhiều điểm mới và Event Viewer được cải thiện. Đây không phải là một Event Viewer cũ chỉ có các nút System, Security và Application. Event Viewer của Windows Server 2008 mang đến cho bạn các bản ghi sự kiện Event Logs . Có một số bản ghi sự kiện của Windows thông thường: Application, Security và System. Nhưng lúc này, bạn hoàn toàn có khả năng xem các sự kiện Events cho tất cả các ứng dụng và dịch vụ đã được cài đặt trên máy tính. Thêm vào đó, bạn có thể tạo Custom Views của Event Logs, để từ đó tạo các mục (contenner) của chính mình cho các bản ghi sự kiện dựa trên bộ lọc (filter) mà bạn chọn.

Hình 2

Một trong những tính năng mới của bản ghi sự kiện (Event Log) đáng quan tâm nhất là khả năng đăng ký sự kiện (Events) trên các máy tính khác trong mạng. Điều này cho phép bạn có thể lấy dữ liệu bản ghi sự kiện từ các máy tính khác nhờ vào bộ lọc mà bạn cung cấp. Theo cách này, bạn có thể cấu hình các bộ lọc cho sự kiện quan trọng trên các máy chủ quan trọng nhất trong mạng. Thiếu sự tinh vi trong giải pháp kiểm tra chính thức như System Center Operations Manager lại rất tốt khi được xây dựng kèm giải pháp kiểm tra cho các công ty không muốn trả tiền cho SCOM.

Server Core

Windows Server 2008 có thể được cài đặt theo một trong hai cách sau: cài đặt đầy đủ hoặc server core. Cài đặt Server Core là cài đặt một nhóm nhỏ các thành phần được yêu cầu để chạy hệ điều hành lõi. Không có các dịch vụ tùy chọn được cài đặt hay cho phép ở chế độ này. Cũng không có giao diện người dùng khác nào ngoài dòng lệnh. Không có Windows Explorer shell, và tất cả các cấu hình phải được thực hiện cục bộ tại cửa sổ lệnh, hoặc điều khiển xa bằng cách sử dụng giao diện quản lý MMC hoặc ứng dụng quản lý từ xa mới Windows Remote Shell (WinRS) (giống như SSH).

Mục đích của chế độ cài đặt server core là không làm cho nó khó khăn trong việc quản lý (mặc dù nó được thực hiện cho một nội dung nào đó, vì nhiều nhiệm vụ phải được thực hiện từ cửa sổ lệnh và không được thực hiện từ xa từ một giao diện quản lý MMC). Mục đích thực sự của Server Core là nhằm để giảm bề mặt tấn công và giảm số lượng thành phần nâng cấp được yêu cầu cho máy chủ. Vì hầu hết các nâng cấp bảo mật của Windows thường liên quan đến các dịch vụ và ứng dụng mà bạn thường không sử dụng (như Windows Media Player hay Internet Explorer) trên máy chủ, bạn không cần phải nâng cấp các thành phần này. Và với một số lượng nhỏ các ứng dụng và dịch vụ chạy trong chế độ này, bề mặt tấn công sẽ được giảm thiểu.

Server core có một số lượng hạn chế các Server Roles, chính vì vậy bạn cần phải bảo đảm rằng role máy chủ mà bạn quan tâm phải được hỗ trợ trong chế độ cài đặt server core. Cũng vậy, một số Server Roles cũng không được hỗ trợ đầy đủ, như Web Server role chẳng hạn. Server Core cũng không hỗ trợ mã .NET và chính vì vậy bạn sẽ không thể chạy giao diện điều khiển IIS như một MMC điều khiển xa. Điều này tạo một vấn đề đau đầu trong việc quản lý, vì tất cả cấu hình IIS trên máy tính server core phải được thực hiện tại cửa sổ dòng lệnh bằng appcmd.exe. Nếu bạn là một quản trị viên Apache thì sẽ khá hạnh phúc về điều này. Còn nếu bạn là một quản trị viên IIS một phần thì hầu như chắc chắn cần phải đợi trên server core.

Server core rõ ràng là một bước đi đúng hướng. Tuy nhiên, ở thời điểm này chúng tôi sẽ xem xét nó như phát hành 1.0. Chắc chắn các mục đích của server core sẽ làm giảm được bề mặt tấn công và giảm được các yêu cầu nâng cấp, không làm cho nó khó khăn trong việc quản lý. Bạn cũng có thể mong đợi các nâng cấp trong tương lai của Windows Server 2008 sẽ làm cho nó dễ dàng hơn trong việc quản lý thỏa mãn nhiều mong đợi khác.

Terminal Services Gateway

Một trong những sự trở ngại để triển khai đầy đủ Terminal Services cho những người dùng truy cập từ xa là nhiều quản trị viên không thực sự tin tưởng vào trình tự thẩm định và mức độ mã hóa của RDP tunnel. Một vấn đề khác cũng xuất hiện ở đây đó là nhiều tường lửa từ xa không cho phép trao đổi ra ngoài TCP 3389. Microsoft đã giải quyết vấn đề này bằng cách giới thiệu tính năng Terminal Services Gateway trong Windows Server 2008.

Terminal Services Gateway là một kiểu SSL VPN, cũng tương tự như cách RPC/HTTP cho Outlook truy cập vào Exchange Server là SSL VPN. Kiểu SSL VPN là của một proxy giao thức của ứng dụng. Terminal Services Gateway làm việc với RDP 6.0+ client nhằm cho phép các kết nối RDP đã được đóng gói đối với máy đầu cuối TS Gateway.

RDP client đóng gói giao thức RDP trong hai giao thức khác. Đầu tiên, giao thức RDP được đóng gói trong RPC header, sau đó nó được đóng gói lần thứ hai bằng một header HTTP đã được mã hóa (SSL). Giao thức đã sử dụng để kết nối TS Gateway là RDP/RPC/HTTP. Microsoft đã thực hiện điều đó để họ có thể sử dụng mã RPC/HTTP đã có từ trước (đã có cho RPC/HTTP proxy của họ). Khi kết nối được máy đầu cuối TS Gateway, TS Gateway sẽ bóc tách các header RPC và HTTP và chuyển tiếp các kết nối RDP đến một máy Terminal Server tương đương hoặc một máy trạm điều khiển xa Remote Desktop.

Hình dưới đây thể hiện giao diện trong quá trình tạo Connection Authorization Policy hay viết tắt là CAP. CAP được sử dụng để xác định người dùng nào có thể truy cập tài nguyên thông qua máy đầu cuối TS Gateway này. Hộp thoại trong hình thể hiện giao diện cấu hình cho việc kết nối một chứng chỉ với TS Gateway để bảo đảm các kết nối SSL được cho phép.

Hình 3

Terminal Services Gateway cũng hỗ trợ sự thẩm định thẻ thông minh (Smart Card) và bạn cũng có thể tùy chọn để thi hành các kiểm soát truy cập NAP client. Terminal Services Gateway rõ ràng là một trong những lý do chính để nâng cấp lên Windows Server 2008.

Terminal Services RemoteApps

Mục đích của các quản trị viên bảo mật là làm sao người dùng có được quyền hạn ít nhất. Điều đó đặc biệt đúng đối với các kết nối truy cập từ xa. Các quản trị viên bảo mật sẽ có thể bỏ cả ngủ ban đêm để nghĩ cách cung cấp các kết nối máy trạm từ xa đối với người dùng không có quyền quản trị viên. Tất cả những gì cần ở đây là sự thỏa hiệp những thông tin tin cậy cho người dùng bởi một hacker chuyên nghiệp nào đó và hacker đó có môi trường desktop đầy đủ - full desktop environment – dưới sự kiểm soát mình, hắn có thể thỏa hiệp mạng của bạn. Đó là một suy nghĩ kinh hoàng.

Tuy nhiên người dùng của bạn thực sự cần sự truy cập đầy đủ vào một desktop không? Hay họ chỉ cần truy cập vào các ứng dụng trên desktop? Hầu hết, họ chỉ cần truy cập vào các ứng dụng và dữ liệu. Trong trường hợp đó, Windows Server 2008 sẽ cung cấp cho bạn một giải pháp có tên là Terminal Services RemoteApp. Terminal Services RemoteApp cho phép bạn có thể cung cấp việc truy cập chỉ được thực hiện đối với các ứng dụng nào đó thông qua RDP channel. Theo cách đó, người dùng không thể làm được nhiều gì hơn với toàn bộ desktop, và giảm thiểu được bề mặt tấn công hơn so với việc truy cập vào toàn bộ desktop.

TS RemoteApps là một tiện ích rất linh động. Nó giúp kiểm soát các ứng dụng mà người dùng có thể truy cập và cách họ truy cập các ứng dụng như thế nào trên các máy tính của chính họ. TS Remote Apps cùng với TS Gateway làm cho Windows Server 2008 Terminal Server trở thành một giải pháp đáng quan tâm đối với các công ty muốn bảo vệ RDP dựa trên giải pháp truy cập từ xa.

Hình dưới đây thể hiện cửa sổ chính trong giao diện điều khiển TS RemoteApp Manager. Việc thiết lập TS RemoteApps khá dễ dàng và bạn sẽ nhanh chóng chạy được ứng dụng này sau chốc lát.

Hình 4

Hình bên dưới thể hiện biểu tượng trên desktop của người dùng sẽ khởi chạy RemoteApp. Trong hộp thoại Properties bạn có thể thấy được liên kết được cấu hình để bắt đầu file .rdp nhằm mục đích cho phép truy cập nào đó đối với ứng dụng.

Hình 5

Hỗ trợ IPv6

Windows Server 2008 là phiên bản đầu tiên của Windows Server có hỗ trợ IPv6 với tư cách là một phần của ngăn xếp IP. Trong các phiên bản trước của Windows trước Vista, sự hỗ trợ IPv6 được thực hiện song song với IPv4 và không có sự hỗ trợ tích hợp cho IPv6 có trong các dịch vụ cơ sở hạ tầng mạng như DNS và DHCP.

Trong hình dưới đây, bạn có thể thấy được DNS của Windows Server 2008 lúc này đã hỗ trợ IPv6. Và bạn có thể tạo các bản ghi Quad A (AAAA) cũng như có thể tạo các vùng kiểm tra ngược của IPv6.

Hình 6

Dịch vụ DHCP cũng đã được nâng cấp để hỗ trợ IPv6. Trong hình bên dưới, bạn có thể thấy được rằng chúng tôi đã tạo một phạm vi DHCP cho các địa chỉ Unique Local.

Hình 7

Hình bên dưới thể hiện rằng bạn có thể cấu hình giao diện mạng để sử dụng các địa chỉ IPv6 tĩnh, hoặc sử dụng DHCP để đạt được các thông tin về IP.

Hình 8

Các máychủ Windows Server 2008 RRAS đang làm nhiệm vụ như các router có thể được cấu hình thành router IPv6 và cung cấp các thông tin trong bản tin định tuyến về việc những thông tin tiền tố gì các máy khách có thể sử dụng, và cũng như chúng nên hay không nên sử dụng các thông tin về tình trạng này từ máy chủ DHCP. Windows Server 2008 cũng hỗ trợ các công nghệ transition của IPv6, như ISATAP, 6to4 và Teredo. Bất kỳ máy tính Windows Server 2008 nào cũng có thể được cấu hình thành một bộ định tuyến ISATAP bằng cách sử dụng giao diện quản lý dòng lệnh Netsh.

(Còn nữa)